3.
Phân Loại Bot :
Theo cách điêur khỉên botnet đượcchia làmhai loại
+ DNS Bot :điều khiển qua nền web,nguyên tắc hoạt động như sau : đầu tiên tạihost điềukhiển botmaster sẽtại mộttệp lệnh.txt sau đó bot sẽdownload tệp này,tiến hành phân tích và thựchiện yêu cấu của ngườiviết.
-Ưu đỉêm : Thựchiện dễ dàng viết và điều khỉên đơn giản chỉ cần một host bất kỳ làcó thể điều khiển được ,bot thựchiện lệnh được công việc ngaycả khi chủ bot onlinehay offline.
-Nhược đỉêm : tốc độ xửlý chậm (do phải mất công cho cả download và upload ) – khôngcó sựtrao đổi qua lại giữa chủbot
và zombie .
+ mIRC : điều khiển qua các mạng chat mIRC :ta đã biết là tại hình thức chat Internet ReplayChat, một chương trình có thể tuỳý
đăng ký và sửdụng một nick name mà khôngcần phải đăng ký ,
lợi dụng lỗhổng này bot mIRC sửdụng chúng đểhoạt đông
.Nguyên tắc như sau :bot sẽ sử dụng winsock gửi cáctệp lệnh IRC để nhận lệnh từhacker qua mộtport đã địnhsẵn khi cấu hình bot cần lưu ýđến Chanel ( gọi tắt làChan), Port (mặc đinh là
4.
Cách Phòng Chống:
a. Thuê một dịch vụ lọc Web
Dịch vụlọc Web làmột trong những cách tốt nhấtđể đấu tranhvới bot. Cácdịch vụ này quét website khi thấy xuất hiện hành vi không bình
thường hoặc có cáchành động mãnguy hiểm và khóa site đó từ người
dùng.
Websense, Cyveillance và FaceTime Communications làcác ví dụ
điển hình. Tất cảsẽ kiểm tra Internet theo thờigian thực tìm các website bị nghingờ có hành động nguyhiểm như tải JavaScript và các trò lừađảo khác ngoài ranh giới củaviệc duyệt web thông thường.Cyveillance và Support Intelligencecũng cung cấp dịch vụ cho biết về các tổchức website vàISP đã pháthiện là có malware, vì vậy các máychủ bị tấn công có thể đượcsửa chữa kịpthời.
b. Chuyển đổi trình duyệt
Mộtcách khác đểngăn chặn sựxâm nhập của bot làkhông nên sử
dụng một trìnhduyệt. Internet Explorer hay MozillaFirefox là hai trình duyệt phổ biến nhất và vìvậy chúng cũng là các trìnhduyệt màmalware tập trung tấn công tới. Tươngtự như vậyđối với các hệ điềuhành. Theo thốngkê thì Macs là hệ điều hành antoàn vớibotnet bởivì hầuhết chúng
đều nhằm vào Windows.
c. Vô hiệu hóa các kịch bản
Một cách nữa làvô hiệu hóa trình duyệt khỏi các kịch bản nói chung (script), điều này có thể gâykhó khăn cho một số nhân viên sử dụng ứng dụng tùy chỉnh vàdựa trên nền web trong công việc của họ.
d. Triển khai các hệ thông phát hiện xâm phạm và ngăn chặn xâm phạm
Một phươngpháp khác đó làđiều chỉnh các IDS và ISP để chúng có
tính nào đóbất ngờ gặp vấn đềsự cố trên InternetRelay Chatlà hoàn toàn đángnghi ngờ.Cũng giống như việc kết nốivào cácđịa chỉ IP ở xa hoặc địa chỉ DNS khônghợp lý.Tuy vấn đề này là khóphát hiện nhưng chúng ta có cáchphát giác khác khi phát hiện thấy sựthu hút bất ngờtrong lưu lượng SSLtrên một máy tính, đặc biệt trongcác cổng khôngbình thường. Điều đó cóthể là kênh mà botnetchiếm quyền điều khiển đãbị kích hoạt.
Chính vì vậy chúng ta cầnmột ISP để kiểm tra vềnhững hành vi khôngbình thường để chỉ thị cảnhbáo các tấn công dựa trên HTTPvà thủ tục gọi từxa, Telnet-và giả mạo giao thức giải pháp địa chỉ, các tấn công khác. Mặc dùvậy chúng ta phảinên chú ý rằngnhiều bộ cảm biến ISP sử dụng phát hiện dựa trênchữ ký, điều đónghĩa là các tấn công chỉ được bổ sung vào cơ sởdữ liệu khi nào chúng đượcphát hiện. Chính vì vậy các ISP phải cập nhật kịp thờiđể nhận ra đượccác tấn công này, bằng không bộ phát hiện sẽ khôngcòn giá trị.
e. Bảovệ nội dung được tạo bởingười dùng
Cáchoạt động website của riêngbạn cũng phải được bảo vệđể tránhtrở thành kẻtòng phạm không chủ tâmđối vớinhững kẻ viết
malware. Các blog công cộng và forumcủa công tynên được hạn chế chỉ
ởdạng văn bản.
Nếu site của bạn cần cho cácthành viên traođổi file thìnó phải được thiết lập để chophép cáckiểu file đượcgiớihạn và đảm bảo an toàn, vídụ với các file có đuôi mởrộng .jpeghoặc .mp3. (Tuy vậynhững kẻ viết
malware cũng đãbắt đầu nhắm vào đối tượngngười chơi MP3)
f. Sử dụng công cụ phần mềm
Nếu bạn pháthiện thấy máytính bị tiêm nhiễm mà hệ thống
khôngcó cách nào tốt nhất để giải quyết vớitình huống này.Bạn khôngphải lo sợđiều đó vì các công ty như Symantecxác nhận rằng họ cóthể phát hiện và xóa sạch sự tiêmnhiễm rootkitnguy
hiểm nhất. Công ty nàyđã đưa ra một nghệ mớitrongVeritas,
VxMS (Dịch vụ bản đồ hóa Veritas – Veritas Mapping Service),
đưa rabộ quét chống virus bỏqua Windows File SystemAPI, thành
phần đượcđiều khiển bởihệ điều hành có thể gây ralỗ hổng bởi một rootkit. VxMS truy cập trực tiếp vào các file thô của hệthống
Windows NT File System. Bên cạnh đó các hãng phần mềm chống
virus khác cũng đang cố gắng trong việc chống lại rootkit này gồm
có McAfeevà FSecure.
B. : Dos
1.Khái Niệm:
-Tấncông DoSlà kiểu tấn công vô cùng nguy hiểm,để hiểu đượcnó ta cần phải lắm rõđịnh nghĩa của tấn công DoS và các dạng tấncông DoS.
- Tấn công DoSlà một kiểu tấn công mà một người làm cho một hệ thống
khôngthể sử dụng,hoặc làmcho hệthống đó chậm đimột cách đángkể
vớingười dùng bình thường,bằng cáchlàm quá tải tài nguyên của hệ thống.
- Nếu kẻtấn công không cókhả năng thâmnhập được vào hệ thống, thì
chúng cố gắng tìm cách làm cho hệ thốngđó sụp đổvà không cókhả năng
phục vụ ngườidùng bình thường đó làtấn công Denial of Service (DoS).
Mặc dù tấncông DoSkhông cókhả năng truy cập vào dữ liệu thực củahệ
thốngnhưng nó có thể làm gián đoạn các dịch vụ màhệ thống đó cung
cấp. Nhưđịnh nghĩa trên DoS khi tấn công vào mộthệ thống sẽkhai thác những cái yếu nhất của hệ thống để tấn công, những mục đích của tấn
2.
Mục Đích: -Cố gắng chiếm băng thông mạng và làm hệ thống mạng bị
ngập (flood), khi đó hệ thống mạng sẽ khôngcókhả năng đáp ứngnhững
dịch vụ khác cho ngườidùng bình thường.
- Cốgắng làm ngắt kết nối giữa hai máy, và ngăn chặn quá trình truy cập vào dịch vụ.
- Cốgắng ngăn chặn những ngườidùng cụthể vào mộtdịch vụ nào đó
- Cốgắng ngăn chặn các dịch vụkhông cho ngườikhác có khả năng truy
cập vào.
- Khitấn công DoS xảy ra ngườidùng có cảm giác khi truy cập vào dịch vụ đónhư bị:
+ Disable Network - Tắt mạng
+ Disable Organization - Tổ chức khônghoạt động
3.
Mục Tiêu Tấn Công:
Như chúngta biết ở bêntrên tấn công DoS xảy ra khikẻ tấn công sử dụng hết tài nguyên của hệ thống và hệ thống khôngthể đáp ứng cho người
dùng bình thường đượcvậy các tài nguyên chúng thườngsử dụng để tấn
công là gì:
- Tạora sựkhan hiếm,những giới hạn và khôngđổi mớitài nguyên
- Băng thôngcủa hệ thống mạng (NetworkBandwidth), bộ nhớ,ổ đĩa,và
CPU Timehay cấu trúc dữ liệu đều là mụctiêu củatấn công DoS.
- Tấn công vàohệ thống khác phục vụ cho mạng máytính như: hệ thống
điều hoà, hệthống điện, hệthống làm mát và nhiều tài nguyên khác của
doanh nghiệp. Bạn thửtưởng tượngkhi nguồn điện vào máy chủ web bị
ngắtthì người dùngcó thể truy cập vào máychủ đó không. - Phá hoại hoặc thay đổi các thông tin cấu hình.
- Phá hoại tầng vật lýhoặc các thiết bị mạng như nguồn điện, điều hoà…
4.
Các kiểu tấn công :
Tấn công Denialof Service chia ralàm hai loại tấn công
- Tấn công DoS: Tấn côngtừ một cá thể,hay tập hợpcác cá thể.
- Tấn công DDoS: Đây là sựtấn công từmột mạng máytính được thiết kế
để tấn công tớimột đích cụ thể nàođó.
Cácdạng tấn công DoS
- Smurf
- Ping of Death
- Teardrop
- SYN Attack