III TẤN CÔNG DDOS
5. Các công cụ tấn công DDoS
a) Trinoo
Trinoo là 1 công cụ DDoS đầu tiên được biết đến. Nó dùng chiến thuật làm lụt UDP. Truy cập vào chương trình kiểm soát rất đơn giản bằng cách kết nối TCP vào máy chính, máy chính giao tiếp với các Daemon bằng các gói UDP.
b) Tribe Flood Network.
TFN được viết ra vào năm 1999 bởi 1 người có bí danh là “Mixter”. Cùng với việc sử dụng kỹ thuật Trinoo UDP flooding, nó còn dùng đến TCP SYN và ICMP flood và smurf. Các chương trình kiểm soát được truy cập bằng các công cụ kết nối TCP thông thường như telnet hay ssh. Các công cụ khác dùng ICMP tunneling như LOKI cũng có thể được dùng. Kết nối giữa chương trình kiểm soát và các Daemon
dùng các gói ICM_ECHO_REPLY, cách thức này sẽ khó bị phát hiện hơn việc dùng các gói UDP do đó thường vượt qua được các firewall dễ dàng hơn.
c) TFN2K
TFN2K là 1 biến thể của TFN, cũng do “Mixter” tạo ra. Nó được tích hợp 1 số các cải tiến như: mã hóa các giao tiếp giữa các thành phần, điều này làm cho nó khó bị phát hiện hơn nếu dùng các công cụ quét mạng thông thường. Chương trình kiểm soát và các Daemon có thể giao tiếp với nhau thông qua ICMP, UDP hay TCP. Giao thức có thể thay đổi đối với mỗi câu lệnh khác nhau và thường được chọn ngẫu nhiên. Ngoài ra còn có thêm 1 kiểu tấn công gọi là TARGA. TARGA hoạt động theo cơ chế gửi các gói tin định dạng sai để làm chậm hoặc treo nhiều TCP/IP network stack. Một tùy chọn khác có tên là MIX trộn lẫn các kiểu tấn công UDP, SYN và ICMP_ECHO_REPLY flooding.
d) Stacheldraht
Stacheldraht được cho rằng dựa trên 1 phiên bản ban đầu của TFN và hạn chế được 1 số điểm yếu của TFN. Giao tiếp giữa chương trình kiểm soát và các Daemon được thực hiện thông qua ICMP hay TCP. Điều khiển từ xa đối với hệ thống Stacheldraht sử dụng thuật toán mã hóa đối xứng để giao tiếp với chính nó và chương trình kiểm soát. Tương tự TFN, Stacheldraht cũng cấp các dạng thức tấn công sau: ICMP, UDP và TCP SYN Flooding. 1 đặc điểm của Stacheldraht là nó có thể cập nhật tự động cho các Daemon.
e) Tiếp theo là gì?
Tương lai chúng ta sẽ gặp phải các công cụ DDoS tinh vi hơn, tăng cường các tính năng cũ bằng cách mã hóa tốt hơn và đưa ra nhiều các thức tấn công hơn. Các công cụ trong tương lai sẽ còn hứa hẹn sẽ tốt hơn và (giao diện) dễ sử dụng hơn cho người dùng, kể cả người dùng có ít kiến thức. Sau cùng chúng ta còn có thể thấy cả sự tích hợp của giai đoạn phát tán chương trình kiểm soát và các Daemon trong cùng 1 giao diện người dùng. Sự tiến hóa này sẽ chắc chắn làm gia tăng gấp bội số lượng các cuộc tấn công trên mạng.