IV. Những hình thức tấn công 1 Tấn công từ chối dịch vụ DOS
e.Chống tấn công từ chối dịch vụ phân tán – DDoS
Hình thức tấn công DDoS đã từng hạ bệ rất nhiều các trang web nổi tiếng như yahoo hay amazon. Kỹ thuật tấn công này dễ thực hiện nhưng khó phòng chống.
Để thực hiện một cuộc tấn công bằng kỹ thuật DdoS, kẻ tấn công cấn có tối thiểu ba yếu tố:
- Client. Đây là hệ thống bị kiểm soát bởi kẻ tấn công. Nó được dùng
rồi dò tìm những site quản lý kém để có thể lợi dụng như một bộ điều khiển.
- Handler. Bộ điều khiển đó đến lượt mình bị nhiễm và được dung để tác
động truy tìm các Zombine ( hay Zombie). Thường thì các server sử dụng hệ điều hành unix có độ bảo mật kém. Sau khi tìm được Zombine, handler sẽ tập hợp chúng lại để điều khiển cuộc tấn công.
- Zombine. Zombine được lây nhiễm vào các server có cấu hình bảo mật
kém. Hacker sẽ dùng trực tiếp các server này để tấn công mục tiêu. Zombine sẽ tấn công mục tiêu cho đến khi nào có lệnh chấm dứt tấn công của hacker.
Làm thế nào để biết được hệ thống của mình bị các hacker lợi dụng để biến thành zombine. Bạn có thế sử dụng công cụ Zombine Zapper khi bị nghi ngờ hệ thống đang có nguy cơ trở thành Zombine.
Zombine Zapper là một chương trình có khả năng hoạt động như những client đến các DDOS Server đang gửi những gói tin làm ngập mục tiêu. Nó là một công cụ khá hữu hiệu khi bạn nghi ngờ hệ thống của mình có khả năng trở thành một Zombine. Với công cụ này bạn có thể nhanh chóng vô hiệu hóa Zombine này trước khi hệ thống của bạn bị lợi dụng. Ngoài ra, Zombine Zapper còn có thể đóng các DDOS Server.
Bạn có thể cấu hình IDS (dò xâm nhập – đã đề cập ở trên) để chúng tự chạy Zombine Zapper. Bạn có thể tải chương trình Zombine Zapper tại địa chỉ:
http://razor.bindview.com/tools/ZombineZapper_form.shtml
Cài đặt Zombine Zapper
Trước hết bạn cần một hệ thống Unix hoặc Linux. Ngoài ra bạn cần có thư viện Libnet. Libnet là thư viện hộ trợ cho phép việc hệ thống tạo ra nhữn gói tin sử dụng trên mạng. Hệ thống của bạn buộc phải có thư viện này nếu như muốn sử dụng Zombine. Đây là một thư viện hết sức phổ dụng trên nền hệ điều hành Unix hay Linux. Bạn có thể tải chúng từ địa chỉ
http://www.canvasnet.com/libnet.
Lúc này bạn đã có trong tay mã nguồn của Zombine Zapper và Libnet. Bạn tiến hành các bước sau để cài Libnet
• Bung nén cho các gói bằng lệnh sau: tar –zxvf*.tar.gz.
• Cài Libnet bằng cách chuyển đến thư mục vừa bung nén Libnet rồi chạy scrip cấu hình bằng lệnh: ./configure.
• Gõ tiếp các lệnh: make, make all.
• Để kết thúc việc cài đặt Libnet, gõ lệnh: make supp, make ulti.
• Biên dịch trình Zombine Zapper
Cấu trúc lệnh của Zombine Zapper
Sau khi biên dịch Zombine Zapper xong, bạn gõ lệnh sau: ./zz. Bạn nhận được một màn hình với các thông tin sau, đó chính là bảng chỉ dẫn lệnh và các tùy chọn của Zombine Zapper:
Zombie Zapper v1.2 – DDoS killer
More info anhd free tools at http://razor.bindview.com
Copyright (c) 2000 BindView Development
=== You must speccify target(s) or a class C to send to USAGE:
./zz [-a 0-5] [-c class C] [-d dev] p-h] [-m host] [-s src] [-u udp]
[-v] hosts
-a antiddos type to kill: 0 types 1-4 (default) 1 trinoo
2 tfn (adsbygoogle = window.adsbygoogle || []).push({});
3 stacheldraht
4 trinoo on Windows
5 shart (requires you use the –m option) -c class C in x.x.x.0 form
-f time in seconds to send packets (default 1) -d grab local IP from dev (default eht0) -h this help screen
-m my host being flooded (used with –a 5 above, only one host)
-s spoofed source address (just in case) -u UDP cource port for trinoo (default 53) -v verbose mode (use twice for more verbosity) Host(s) are target hosts (ignored if using –c) Trong đó, hãy chú ý một số tùy chọn phổ dụng sau:
-a: Cho phép chỉ rõ địa chỉ bạn nghi ngờ đang là Zombine.
-c: Tùy chọn này được dùng để quyết toàn bộ các host thuộc phân lớp C, nếu chưa biết chính xác host nào đang bị nhiễm Zombine.
-s: Spồ địa chỉ của bạn, không cho hacker biết ai đã ngăn chặn Zombine của hắn.
-u: Chuyển đổi cổng UDP mặc định.
Một số ví dụ cụ thể trong việc sử dụng Zombine Zapper
Như phần trước, sau khi biên dịch Zombine Zapper, bạn có thể chạy nó. Nếu nhìn thấy một menu help thì bạn đã biên dịch thành công. Bây giờ, giả sử bạn đang nghi ngờ trong hệ thống mạng của bạn là 192.168.5.0 có một vài host đang gửi những gói tin TFN (Tribal Flood Network). Thông thường, TFN Server hay sử dụng những mật mã mặc định. Nếu bạn muốn Server TFN ở trên host đó ngừng hoạt động, hãy sử dụng lệnh sau: ./zz –c 192.168.5.0. Khi đó, toàn bộ những TFN Server trên phân lớp mạng C sẽ bị vô hiệu hóa. Nếu bạn muốn vô hiệu hóa TFN Server trên một địa chỉ cụ thể, chẳng hạn như 207.192.45.2 thì bạn sử dụng lệnh: ./zz –a 2 207.192.45.2.
Để biết nhiều thông tin hơn về gói tin được gửi ra, bạn có thể sử dụng tùy chọn
–vv. Còn nếu muốn Spoof địa chỉ của mình để các hacker không biết ai đã ngăn
chặn các gói tin làm ngập của hắn thì bạn có thể sử dụng tùy chọn –s đi kèm với địa chỉ IP muốn Spoof, VD: ./zz –a 2 –vv 207.192.45.2 –s 10.1.2.3.