Một số loại công cụ DDoS phổ biến khác

7. Một số công cụ tấn công DDoS phổ biến hiện nay

7.3. Một số loại công cụ DDoS phổ biến khác

Low Orbit Ion Cannon được biết đến là cụ tấn công DDoS hot nhất hiện nay. Tool này đã được nhóm hacker nổi tiếng Anonymous sử dụng để attack nhiều mạng của các doanh nghiệp lớn vào năm ngoái. Anonymous vừa sử dụng công cụ này vừa yêu cầu người dùng Internet tham gia các cuộc tấn công DDoS thông qua IRC.

Low Orbit Ion Canon có thể được điều khiển tấn công DoS lên các máy chủ có công suất yếu bởi các cá nhân. Tool này tiến hành tấn công từ chối dịch vụ bằng cách gửi các yêu cầu UDP, TCP, HTTP tới con mồi. Chỉ cần phân tích được IP của máy chủ còn lại phần mềm sẽ thực hiện các Request. Đây là ứng dụng tất dễ sử dụng với bất cứ 1 bạn nào biết sử dụng máy tính cơ bản.

Muốn tấn công 1 website hoặc máy chủ bạn cần nhập IP hoặc địa chỉ. Sau đó điền các tham số request. Nếu không điền thì nó đã có các tham số default của phần mềm. Tiếp đó, bấm vào nút “IMMA CHARGIN MAH LAZER”. Chờ vài giây khi truy cập con mồi đã bị tê liệt hoàn toàn.

XOIC cũng tương tự như LOIC có khả năng mở các cuộc tấn công DoS. Bằng các hình thức tấn công thông qua URL và IP và hacker có thể chọn bất cứ giao thức nào mà mình nhắm đến. Các chuyên gia black hacker cho rằng có thể XOIC mạnh hơn LOIC theo nhiều cách. XOIC có giao diện GUI dễ sử dụng, thân thiện, vì vậy bất cứ ai cũng có thể dễ dàng sử dụng công cụ này để thực hiện các cuộc tấn công trên các trang web hoặc máy chủ khác.

Tool có ba chế độ tấn công: thử nghiệm, chế độ tấn công DoS bình thường, tấn công DoS cùng các giao thức TCP / HTTP / UDP / ICMP.

Đây là một phần mềm ddos web mạnh nhất và đừng dại gì lấy web của mình ra làm chuột bạch nhé bởi nó có thể phá hỏng máy chủ web của bạn.

DDOSIM là công cụ mô phỏng tấn công DDoS Layer 7, nó được sử dụng để phát động các cuộc tấn công DDoS bằng cách mô phỏng một số máy chủ zombie. Các máy chủ zombie bị kiểm soát tạo các kết nối TCP đầy đủ đến máy chủ đích. Công cụ này được viết trên ngôn ngữ C++ và chạy trên các server Linux.

Các chức năng cơ bản của DDOSIM là:

+ Mô phỏng lại máy chủ zombies trong phương thức tấn công + Che dấu bằng cách sinh ra ngẫu nhiên các địa chỉ IP

+ Tấn công dựa trên các giao thức TCP-connection + Tấn công từ chối dịch vụ với tầng ứng dụng

+ Tấn công giao thức HTTP DDoS với truy vấn hợp lệ. + Tấn công DDoS HTTP với truy vấn không hợp lệ + Tấn công email qua giao thức SMTP DDoS

CHƯƠNG 2: PHÒNG CHỐNG CUỘC TẤN CÔNG DDOS

Như đã trình bày, DDOS là một phương pháp phá hoại, một loại tấn công sử dụng số lượng lớn máy tính để tấn công nạn nhân nhằm vào server dẫn đến quá tải với quy mô lớn nhỏ khác nhau và kiểu tấn công khác nhau. Từ những cách phân chia này, các nhà phát triển có thể lựa chọn giải pháp phù hợp tiết kiệm chi phí nhất.

Nhiều biện pháp phòng chống tấn công DDoS đã được nghiên cứu trong những năm gần đây. Tựu chung có thể chia các biện pháp phòng chống tấn công DDoS thành 3 dạng theo 3 tiêu chí chính: (1) Dựa trên vị trí triển khai; (2) Dựa trên giao thức mạng và (3) Dựa trên thời điểm hành động. Phần tiếp theo nhóm em sẽ mô tả các biện pháp phòng chống tấn công DDoS thuộc 3 dạng trên.

(1)Dựa trên vị trí triển khai

Các biện pháp phòng chống tấn công DDoS được phân loại vào dạng này dựa trên vị trí cài đặt và tiếp tục được chia nhỏ thành 3 dạng con:

* Triển khai ở nguồn tấn công: Các biện pháp phòng chống tấn công DDoS được triển khai ở gần nguồn của tấn công. Phương pháp này nhằm hạn chế các mạng người dùng tham gia tấn công DDoS. Một số biện pháp cụ thể bao gồm:

- Thực hiện lọc các gói tin sử dụng địa chỉ giả mạo tại các bộ định tuyến ở cổng mạng;

- Sử dụng các tường lửa có khả năng nhận dạng và giảm tần suất chuyển các gói tin hoặc yêu cầu không được xác nhận.

* Triển khai ở đích tấn công: Các biện pháp phòng chống tấn công DDoS được triển khai ở gần đích của tấn công, tức là tại bộ định tuyến ở cổng mạng hoặc bộ định tuyến của hệ thống đích. Các biện pháp cụ thể có thể gồm:

- Truy tìm địa chỉ IP: Gồm các kỹ thuật nhận dạng địa chỉ và người dùng giả mạo.

- Lọc và đánh dấu các gói tin: Các gói tin hợp lệ được đánh dấu sao cho hệ thống nạn nhân có thể phân biệt các gói tin hợp lệ và gói tin tấn công. Một số kỹ thuật lọc và đánh dấu gói tin được đề xuất gồm: Lọc IP dựa trên lịch sử, Lọc dựa trên đếm họp, Nhận dạng đường dẫn,...

* Triển khai ở mạng đích tấn công: Các biện pháp phòng chống tấn công DDoS được triển khai ở các bộ định tuyến của mạng đích dựa trên lọc gói tin, phát hiện và lọc các gói tin độc hại.

(2)Dựa trên giao thức mạng

Các biện pháp phòng chống tấn công DDoS được chia nhỏ theo tầng mạng: IP, TCP và ứng dụng:

* Phòng chống tấn công DDoS ở tầng IP bao gồm một số biện pháp:

- Pushback: Là cơ chế phòng chống tấn công DDoS ở tầng IP cho phép một bộ định tuyến yêu cầu các bộ định tuyến liền kề phía trước giảm tần suất truyền các gói tin.

- SIP defender: Một kiến trúc an ninh mở cho phép giám sát luồng các gói tin giữa các máy chủ SIP và người dùng và proxy bên ngoài với mục đích phát hiện và ngăn chặn tấn công vào các máy chủ SIP.

- Các phương pháp dựa trên ô đố chữ: Gồm các phương pháp dựa trên ô đố chữ mật mã để chống lại tấn công DDoS ở mức IP.

* Phòng chống tấn công DDoS ở tầng TCP bao gồm một số biện pháp: - Sử dụng các kỹ thuật lọc gói tin dựa trên địa chỉ IP.

- Tăng kích thước Backlogs giúp tăng khả năng chấp nhận kết nối mới của hệ thống đích.

- Giảm thời gian chờ xác nhận yêu cầu kết nối TCP-SYN giúp máy chủ hủy bỏ các yêu cầu kết nối không được xác nhận trong khoảng thời gian ngắn hơn, giải phóng tài nguyên các kết nối chở chiếm giữ.

- Sử dụng SYN cache giúp duy trì Backlogs chung cho toàn máy chủ thay vì Backlogs riêng cho mỗi ứng dụng. Nhờ vậy có thể tăng số lượng kết nối đang chờ xác nhận.

- Sử dụng SYN Cookies cho phép chỉ cấp phát tài nguyên cho kết nối khi nó đã được xác nhận. Các yêu cầu SYN sẽ bị hủy nếu không được xác nhận trước khi được chuyển cho máy chủ đích. Phương pháp này có thể giúp phòng chống tấn công SYN Flood hiệu quả

- Sử dụng tường lửa hoặc proxy để lọc các gói tin hoặc thực thi các chính sách an ninh đã xác lập trước

* Phòng chống tấn công DDoS ở tầng ứng dụng có thể bao gồm:

- Tối thiểu hóa hành vi truy nhập trang để phòng chống tấn công gây ngập lụt HTTP.

- Sử dụng các phương pháp thống kê để phát hiện tấn công DDoS ở mức HTTP.

- Giám sát hành vi của người dùng trong các phiên làm việc để phát hiện tấn công.

(3)Dựa trên thời điểm hành động

Dựa trên thời điểm hành động, có thể phân loại các biện pháp phòng chống tấn công DDoS thành 3 dạng theo 3 thời điểm:

* Trước khi xảy ra tấn công: Các biện pháp phòng chống tấn công DDoS thuộc dạng này được triển khai nhằm ngăn chặn tấn công xảy ra. Một phần lớn các biện pháp thuộc dạng này bao gồm việc cập nhật hệ thống, đảm bảo cấu hình an ninh phù hợp, sửa lỗi, vá các lỗ hổng để giảm thiểu khả năng bị tin tặc khai thác phục vụ tấn công.

* Trong khi xảy ra tấn công: Các biện pháp phòng chống tấn công DDoS thuộc dạng này tập trung phát hiện và ngăn chặn tấn công. Tưởng lửa và các hệ thống IDS/IPS thuộc nhóm này.

* Sau khi xảy ra tấn công: Gồm các biện pháp được triển khai để lần vết và truy tìm nguồn gốc của tấn công DDos

Tuy nhiên, thực tế thì các thủ thuật của những hacker sẽ khác nhau và chúng ta không thể đoán trước về việc tấn công. Do đó, trên cơ sở bài báo cáo này nhóm em đưa ra giải pháp chung nhất để hạn chế tối đa thiệt hại do các vụ tấn công DDOS. Giải pháp tổng thể chia làm 3 giai đoạn chính:

- Giai đoạn ngăn ngừa: Tối thiểu hóa lượng Agent, tìm và vô hiệu hoá các

Handler.

- Giai đoạn đối đầu với cuộc tấn công: Phát hiện và ngăn chặn cuộc tấn công,

làm suy giảm và dừng cuộc tấn công, chuyển hướng cuộc tấn công.

- Giai đoạn sau khi cuộc tấn công xảy ra: thu thập chứng cứ và rút kinh

nghiệm

Một số loại công cụ DDoS phổ biến khác

Chuyển hướng cuộc tấn công: