Tải bản đầy đủ

Đồ án tấn công DDos (Tham Khảo)

- Các kỹ huậ ấn công Webs e: DoS, DDoS, DRDoS & Bo ne ::..

..::

Mục Lục

Mục Lục ........................................................................................................................................................ 0
L
I - Tấ cô g từ chố dịch vụ (DoS): .............................................................................................................. 2
I.1 - G ớ th ệ về DoS

2

I.2 - Lịch sử các c ộc tấ cô g và phát tr ể của DoS 2
I.3 - Mục ích của tấ cô g DoS và h ểm họa 4
I.4 - Các hì h thức tấ cô g DoS cơ bả :

5

4.a - Smurf : .......................................................................................................................................... 5
4.b - Buffer Overflow Attack : .............................................................................................................. 5

4. c - Ping of death : .............................................................................................................................. 6
4.d - Teardrop : ..................................................................................................................................... 7
4.e - SYN Attack: .................................................................................................................................. 7
II - Tấ cô g từ chố dịch vụ phâ tá (DDoS) : ........................................................................................ 10
II.1 - G ớ th ệ DDoS :

10

II.2 - Các ặc tí h của tấ cô g DDoS:

12

II.3 - Tấ cô g DDoS khô g thể gă chặ hoà toà : 13
II.4 - Kẻ tấ cô g khô

goa :

13

4.a - Agent Handler Model: ................................................................................................................ 13
4.b - Tấ cô g DDoS dựa trê
II.5 - Phâ loạ tấ cô g DDoS:

ề tả g IRC: ..................................................................................... 14
14

II.6 - Tấ cô g Reflect ve DNS (reflect ve - phả ch ế ):
6.a - Các vấ

16

ề l ê q a tớ tấ cô g Reflect ve DNS:.................................................................... 16

6.b - Tool tấ cô g Reflect ve DNS – ihateperl.pl:............................................................................. 17
II.7 - Các tools sử dụ g ể tấ cô g DDoS:

17

III - DRDoS (Distributed Reflection Denial of Service) ............................................................................ 17
III.1 – G ớ th ệ DRDOS.



18

III.2 - Cách Phò g chố g :

19
0
Báo cáo : n o n hông

n

ng – JCAlex Min


..::

- Các kỹ huậ ấn công Webs e: DoS, DDoS, DRDoS & Bo ne ::..

2.a - Tố th ể h a số lượ g Age t: .................................................................................................... 20
2.b - Tìm và vô h ệ h a các Ha dler: ................................................................................................ 20
2.c - Phát h ệ dấ h ệ của một c ộc tấ cô g: ................................................................................. 21
2.d - Làm s y g àm hay dừ g c ộc tấ cô g: ..................................................................................... 21
2.e - Ch yể hướ g của c ộc tấ cô g: .............................................................................................. 22
2.f - G a

oạ sa tấ cô g: ............................................................................................................... 22

2.g - Phò g chố g tổ g q át : ............................................................................................................. 22
IV – Botnet.................................................................................................................................................. 23
IV.1 - G ớ th ệ về Bot và Bot et

23

1.a - Bot là gì ? .................................................................................................................................... 24
1.b - Tạ sao gọ là mạ g bot et ? ....................................................................................................... 24
1.c - IRC .............................................................................................................................................. 24
IV.2 - Bot và các ứ g dụ g của chú g 25
2.a - DDoS .......................................................................................................................................... 26
2.b - Spamm g (phát tá thư rác) ...................................................................................................... 26
2.c - Sniffing và Keylogging ............................................................................................................... 27
2.d - Ă cắp hậ dạ g ....................................................................................................................... 27
2.e - Sở hữ ph

mềm bất hợp pháp.................................................................................................. 27

IV.3 - Các k ể bot khác ha 27
3.a - GT-Bot ........................................................................................................................................ 28
3.b - Agobot ........................................................................................................................................ 28
3.c - DSNX.......................................................................................................................................... 28
IV.4 - Các yế tố của một c ộc tấ cô g.
IV.5 - Cách phò g chố g Bot et:

28

33

5.a - Th ê một dịch vụ lọc Web .......................................................................................................... 33
5.b - Ch yể

ổ trì h d yệt ............................................................................................................... 33

5.c - Vô h ệ h a các kịch bả ............................................................................................................ 33
5.d - Tr ể kha các hệ thô g phát h ệ xâm phạm và gă chặ xâm phạm ..................................... 34
5.e - Bảo vệ ộ d

g ược tạo bở

5.f - Sử dụ g cô g cụ ph



dù g .................................................................................. 34

mềm ........................................................................................................ 34

V – Kết L ậ :............................................................................................................................................. 35
VI – Tà L ệ Tham Khảo .......................................................................................................................... 35

1
Báo cáo : n o n hông

n

ng – JCAlex Min


..::

I–L

- Các kỹ huậ ấn công Webs e: DoS, DDoS, DRDoS & Bo ne ::..

:
chào toà thể a h em tro g Hack g
ch g và Ha ds Team
r ê g tô
là CAlex M – Leader of Ha ds Team và hoạt ộ g tro g Hack g ược hơ
ăm
tro g hơ
ăm tô gh ê cứ về DDos và Bot et và c g c một số k ế thức về mả g
ày ê hôm ay tô v ết lạ book ày h m ma g lạ và c g hư ch a sẻ hữ g k ế
thức cơ bả mà tô c ược cho các bạ mớ vào và c g hư các bạ tìm lạ k ế thức cơ
bả cho mì h. Tô khô g hậ là mì h pro hay g về mả g ày hư g tô b ết gì thì
tr yề ạt lạ vớ các bạ mo g các bạ ủ g hộ và g p cù g tô ể tô hoà th ệ k ế
thức cho mì h và s v ết thêm một và book â g cao hơ ch yê sâ hơ cho các bạ
khác mớ vào tìm h ể về DDos và Bot et.
- book ày là báo cáo của tô ( hư một bà test k ế thức ) về A Toà Thô g
T Mạ g vớ ề tà : Các k th ật tấ cô g Webs te: DoS, DDoS, DRDoS & Botnet ể bắt
làm v ệc bê l h vực A N h Mạ g.
- Bây g m các bạ cù g tô tìm h ể về các k th ật tấ cô g Webs te: DoS,
DDoS, DRDoS & Botnet xem
g y h ểm và cách phò g chố g hư thế ào.

I - Tấ cô g từ chố dịch vụ (DoS):
I.1 - G ớ th ệ về DoS
- Tấ cô g DoS là một k ể tấ cô g mà một gư
thể sử dụ g hoặc làm cho hệ thố g
bì h thư

g b g cách làm q á tả tà

chậm

làm cho một hệ thố g khô g

một cách á g kể vớ



dù g

g yê của hệ thố g .

- Nế kẻ tấ cô g khô g c khả ă g thâm hập ược vào hệ thố g thì chú g cố
gắ g tìm cách làm cho hệ thố g
bì h thư

g

sụp ổ và khô g c khả ă g phục vụ gư

dù g

là tấ cô g De al of Serv ce (DoS).

- Mặc dù tấ cô g DoS khô g c khả ă g tr y cập vào dữ l ệ thực của hệ thố g
hư g

c thể làm g á

oạ các dịch vụ mà hệ thố g

c g cấp. Như ị h gh a

trê DoS kh tấ cô g vào một hệ thố g s kha thác hữ g cá yế
ể tấ cô g

hất của hệ thố g

hữ g mục ích của tấ cô g DoS

I.2 - Lịch sử các c ộc tấ cô g và phát tr ể của DoS
- Các tấ cô g DoS bắt

vào khoả g

hữ g ăm 90. Đ



chú g hoà

toà “ g yê thủy” bao gồm chỉ một kẻ tấ cô g kha thác bă g thô g tố




hữ g gư

khác ược phục vụ. Đ ề

a từ ạ

ày ược thực h ệ chủ yế b g

2
Báo cáo : n o n hông

n

ng – JCAlex Min


- Các kỹ huậ ấn công Webs e: DoS, DDoS, DRDoS & Bo ne ::..

..::

cách dù g các phươ g pháp ơ g ả

hư ping floods, SYN floods và UDP floods.

Sa

các c ộc tấ cô g trở ê phức tạp hơ

b g cách g ả làm ạ

thô g

ệp và ể các máy khác làm gập máy ạ



hâ vớ các thô g

gử và

ệp trả l .

(Sm rf attack IP spoof g…).
- Các tấ cô g ày phả

ược ồ g bộ hoá một cách thủ cô g bở

cô g ể tạo ra một sự phá h ỷ c h ệ q ả. Sự dịch ch yể

h ề kẻ tấ

ế v ệc tự ộ g hoá sự

ồ g bộ kết hợp ày và tạo ra một tấ cô g so g so g lớ trở ê phổ b ế từ 1997
vớ sự ra

của cô g cụ tấ cô g DDoS



ược cô g bố rộ g rã



Tr oo. N dựa trê tấ cô g UDP flood và các g ao t ếp master-slave (kh ế các máy
tr

g g a tham g a vào tro g c ộc tấ cô g b g cách ặt lê chú g các chươ g

trì h ược

ề kh ể từ xa). Tro g hữ g ăm t ếp theo và cô g cụ ữa ược phổ

b ế – TFN (tribe flood network), TFN2K, vaf Stacheldraht.
-T y hê
vậy và ề tà

chỉ từ c ố

ăm 1999 mớ c

hữ g báo cáo về hữ g tấ cô g hư

ày ược cô g chú g b ết ế chỉ sa kh một c ộc tấ cô g lớ vào

các site cô g cộ g thá g 2/2000. Tro g th

ga

gày các s te Yahoo.com

amazo .com b y.com c .com và eBay.com ã ặt dướ sự tấ cô g (ví dụ hư
Yahoo bị p g vớ tốc ộ 1 GB/s).
Từ

các c ộc tấ cô g Dos thư

g x yê sảy ra

Ví dụ : - Vào gày 15 thá g 8 ăm 200
mạ h và làm g á

M crosoft ã chị

oạ webs tes tro g vò g 2 g ;

- Vào lúc 15:09 g

GMT gày 27 thá g

t ế g a h của webs te Al- azeera bị tấ cô g làm g á
-G

ăm 200 : toà bộ ph ê bả
oạ tro g h ề g .

ây hất là 2 vụ DDos lớ vào các tra g mạ g ô g gư

ở V ệt Nam

là: DDos vào VCCrop gây chấ

th

ây hacker phá hoạ server gây l

ga g

ợt tấ cô g DoS cực

ộ ga

tr y cập

h mạ g ở V ệt Nam tro g

data ce ter hà g loạt webs te báo

mạ g hư: Dâ trí, Kênh 14, Soha v.v.v ( chưa tìm ra thủ phạm ) và vụ thứ 2 là
DDos vào d
do CAlex M

à cô g ghệ thô g t

VN- oom vào lúc 19 g

gày 2 /10/201 (

thực h ệ )
3
Báo cáo : n o n hông

n

ng – JCAlex Min


- Các kỹ huậ ấn công Webs e: DoS, DDoS, DRDoS & Bo ne ::..

..::

I.3 - Mục ích của tấ cô g DoS và h ểm họa
- Cố gắ g ch ếm bă g thô g mạ g và làm hệ thố g mạ g bị gập (Flood) kh
hệ thố g mạ g s khô g c khả ă g áp ứ g hữ g dịch vụ khác cho gư
bì h thư

dù g

g.

- Cố gắ g làm gắt kết ố g ữa ha máy và gă chặ q á trì h tr y cập vào
dịch vụ.
- Cố gắ g gă chặ

hữ g gư

dù g cụ thể vào một dịch vụ ào

- Cố gắ g gă chặ các dịch vụ khô g cho gư
- Kh tấ cô g DoS xảy ra gư

khác c khả ă g tr y cập vào.

dù g c cảm g ác kh tr y cập vào dịch vụ

hư bị:
+ Disable Network - Tắt mạ g
+ Disable Organization - Tổ chức khô g hoạt ộ g
+ Financial Loss – Tà chí h bị mất
- Như chú g ta b ết ở bê trê tấ cô g DoS xảy ra kh kẻ tấ cô g sử dụ g hết tà
g yê của hệ thố g và hệ thố g khô g thể áp ứ g cho gư
ược vậy các tà

g yê chú g thư

- Tạo ra sự kha h ếm

dù g bì h thư

g sử dụ g ể tấ cô g là gì:

hữ g g ớ hạ và khô g ổ mớ tà

g yê

- Bă g thô g của hệ thố g mạ g (Network Ba dw dth) bộ hớ ổ
T me hay cấ trúc dữ l ệ

a và CPU

ề là mục t ê của tấ cô g DoS.

- Tấ cô g vào hệ thố g khác phục vụ cho mạ g máy tí h hư: hệ thố g
hệ thố g



hệt hố g làm mát và h ề tà

tưở g tượ g kh
vào máy chủ

g ồ

g

ề hoà

g yê khác của doa h gh ệp. Bạ thử

ệ vào máy chủ web bị gắt thì gư

dù g c thể tr y cập

khô g.

- Phá hoạ hoặc thay ổ các thô g t

cấ hì h.
4

Báo cáo : n o n hông

n

ng – JCAlex Min


- Các kỹ huậ ấn công Webs e: DoS, DDoS, DRDoS & Bo ne ::..

..::

- Phá hoạ t g vật l hoặc các th ết bị mạ g hư g ồ



ề hoà…

I.4 - Các hì h thức tấ cô g DoS cơ bả :
 - Smurf
 - Buffer Overflow Attack
 - Ping of death
 - Teardrop
 - SYN Attack

4.a - Smurf :
- Sm rf : là một loạ tấ cô g DoS

ể hì h. Máy của attacker s gở rất h ề lệ h p g

ế một số lượ g lớ máy tí h tro g một th
g

ICMP echo s

các g

ược thay thế bở

ICMP reply ế máy ạ

ga

gắ

ịa chỉ IP của ạ

tro g

ịa chỉ IP

g ồ của



Các máy tí h ày s trả lạ

hậ một ợt Reply g

ICMP cực lớ và làm cho

hâ .

- Kết q ả ích tấ cô g s phả chị

mạ g bị rớt hoặc bị chậm lạ khô g c khả ă g áp ứ g các dịch vụ khác.

4.b - Buffer Overflow Attack :

5
Báo cáo : n o n hông

n

ng – JCAlex Min


- Các kỹ huậ ấn công Webs e: DoS, DDoS, DRDoS & Bo ne ::..

..::

- B ffer Overflow xảy ra tạ bất kỳ th
hơ d

lớ

g lượ g của bộ hớ ệm tro g bộ hớ.

- Kẻ tấ cô g c thể gh
q yề

ểm ào c chươ g trì h gh lượ g thô g t

è lê dữ l ệ và

ề kh ể chạy các chươ g trì h và á h cắp

ề kh ể của một số chươ g trì h h m thực th các oạ mã g y h ểm.

- Q á trì h gử một bức thư

ệ tử mà f le í h kèm dà q á 25 k tự c thể s xảy ra

q á trì h trà bộ hớ ệm.

4. c - Ping of death :
- Kẻ tấ cô g gử

hữ g g

t

IP lớ hơ số lươ g bytes cho phép của t

IP là 5.5

bytes.
- Q á trì h ch a h

g

t

IP thà h hữ g ph

- Q á trì h ch a h c thể thực h ệ vớ g

h

IP lớ hơ

ược thực h ệ ở layer II.
5.5

bytes. Như g hệ



6
Báo cáo : n o n hông

n

ng – JCAlex Min


- Các kỹ huậ ấn công Webs e: DoS, DDoS, DRDoS & Bo ne ::..

..::

hà h khô g thể hậ b ết ược ộ lớ của g
là s bị g á

t

ày và s bị khở

ộ g lạ hay ơ g ả

oạ g ao t ếp.

- Để hậ b ết kẻ tấ cô g gử g

t

lớ hơ g

t

cho phép thì tươ g ố d dà g.

VD : Ping -l 65500 address
– -l : buffer size
Khoả g ăm 1997-1998 l

ãy ã ược f x vì vậy bây g

chỉ ma g tí h lịch sử.

4.d - Teardrop :


Tro g mạ g ch yể mạch g

dữ l ệ

ược ch a thà h h ề g

một g á trị offset r ê g và c thể tr yề
Tạ

ích

h vào g á trị offset của từ g g

theo h ề co
t

ư

mà dữ l ệ lạ

t

h

m

g khác ha

g

t

ể tớ

ược kết hợp lạ

c
ích.

hư ba

.


Lợ dụ g



ày hacker c thể tạo ra h ề g

t

c g á trị offset trù g lặp ha gử

ế mục t ê m ố tấ cô g


Kết q ả là máy tí h ích khô g thể sắp xếp ược hữ g g

t

ày và dẫ tớ bị treo máy

vì bị "vắt k ệt" khả ă g xử l .

4.e - SYN Attack:
- Kẻ tấ cô g gử các yê c
lượ g g

t

SYN ày hệ thố g c

- Kh c rất h ề g
Một gư

(req est ảo) TCP SYN tớ máy chủ bị tấ cô g. Để xử l
tố một lượ g bộ hớ cho kết ố .

SYN ảo tớ máy chủ và ch ếm hết các yê c

dù g bì h thư

g kết ố tớ máy chủ ba

xử l của máy chủ.

thực h ệ Req est TCP SYN

và lúc ày máy chủ khô g cò khả ă g áp lạ - kết ố khô g ược thực h ệ .

7
Báo cáo : n o n hông

n

ng – JCAlex Min


..::

- Các kỹ huậ ấn công Webs e: DoS, DDoS, DRDoS & Bo ne ::..

Mô hì h tấ cô g b g các gói SYN

8
Báo cáo : n o n hông

n

ng – JCAlex Min


- Các kỹ huậ ấn công Webs e: DoS, DDoS, DRDoS & Bo ne ::..

..::

Bước 1: Cl e t (máy khách) s gử các g
c

t

(packet chứa SYN=1) ế máy chủ ể yê

kết ố .
Bước 2: Kh

cl e t b ết là

hậ

ã hậ

Server s g à h một ph
Ngoà ra các thô g t

ược g

t

ày server s gử lạ g

ược yê c


t

kết ố và ch ẩ bị tà

SYN/ACK ể thô g báo cho
g yê cho v ệc yê c

ày.

g yê hệ thố g hư bộ hớ ệm (cache) ể hậ và tr yề dữ l ệ .

khác của cl e t hư ịa chỉ IP và cổ g (port) c g ược gh

Bước 3: C ố cù g cl e t hoà tất v ệc bắt tay ba l

hậ .

b g cách hồ âm lạ g

t

chứa

ACK cho server và t ế hà h kết ố .

- Do TCP là thủ tục t
ha server gử các g

t

ể thực h ệ kết ố thì
g

t

cậy tro g v ệc g ao hậ (e d-to-e d) ê tro g l

SYN/ACK trả l
vẫ bảo lư

SYN/ACK cho cl e t ế kh

lạ cl e t mà khô g hậ lạ

g ồ tà

ào hậ

ược hồ âm của cl e t

g yê ch ẩ bị kết ố

ược hồ

bắt tay thứ

và lặp lạ v ệc gử

áp của máy cl e t.

9
Báo cáo : n o n hông

n

ng – JCAlex Min


..::

- Nế q á trì h
crash (treo) ê các yê c

- Các kỹ huậ ấn công Webs e: DoS, DDoS, DRDoS & Bo ne ::..

kéo dà server s

ha h ch

g trở ê q á tả dẫ

ế tì h trạ g

hợp lệ s bị từ chố khô g thể áp ứ g ược. C thể hì h d

gq á

trì h ày c g g ố g hư kh máy tí h cá hâ (PC) hay bị “treo” kh mở cù g lúc q á h ề
chươ g trì h cù g lúc vậy .

II - Tấ cô g từ chố dịch vụ phâ tá (DDoS) :
II.1 - G ớ th ệ DDoS :

10
Báo cáo : n o n hông

n

ng – JCAlex Min


..::

- Các kỹ huậ ấn công Webs e: DoS, DDoS, DRDoS & Bo ne ::..

Trê I ter et tấ cô g Distributed Denial of Service (DDoS) hay cò gọ là Tấ cô g
từ chố dịch vụ phâ tá là một dạ g tấ cô g từ h ề máy tí h tớ một ích
các yê c
ích cụ thể

hợp lệ của các ser bì h thư

g. B g cách tạo ra hữ g g

t

gây ra từ chố

cực h ề

ế một

c thể gây tì h trạ g tươ g tự hư hệ thố g bị sh tdow .

11
Báo cáo : n o n hông

n

ng – JCAlex Min


- Các kỹ huậ ấn công Webs e: DoS, DDoS, DRDoS & Bo ne ::..

..::

Nhìn chung, có rất h ề b ế thể của kỹ th ật tấ cô g DDoS hư g ế

hì dướ g c

ộ ch yê mô thì c thể ch a các b ế thề ày thà h ha loạ dựa trê mụch ích tấ cô g:
 Làm cạ k ệt bă g thô g.
 Làm cạ k ệt tà

g yê hệ thố g.

Một c ộc tấ cô g từ chố dịch vụ c thể bao gồm cả v ệc thực th malware h m:
 Làm q á tả

ă g lực xử l

dẫ

ế hệ thố g khô g thể thực th bất kì một cô g

v ệc ào khác.
 Nhữ g l

gọ tức thì tro g m crocode của máy tí h.

 Nhữ g l

gọ tức thì tro g ch

ộ g khô g ổ
 Nhữ g l

chỉ thị dẫ

ế máy tí h rơ vào trạ g thá hoạt

ị h hoặc bị ơ.

c thể kha thác ược ở hệ

ề hà h dẫ

ế v ệc th ế thố tà

hoặc bị thrash g. VD: hư sử dụ g tất cả các ă g lực c sẵ dẫ

g yê

ế khô g một

cô g v ệc thực tế ào c thể hoà thà h ược.
 Gây crash hệ thố g.
 Tấ cô g từ chố dịch vụ Frame: tro g một tra g HTML c thể gọ
web ào
tra g web

vớ rất h ề yê c

và tro g rất h ề l

ế một tra g

cho ế kh bă g thô g của

bị q á hạ .

II.2 - Các ặc tí h của tấ cô g DDoS:
-N

ược tấ cô g từ một hệ thố g các máy tí h cực lớ trê I ter et và thư

g

dựa vào các dịch vụ c sẵ trê các máy tí h tro g mạ g bot et
- Các dịch vụ tấ cô g ược

ề kh ể từ hữ g "pr mary v ct m" tro g kh các

máy tí h bị ch ếm q yề sử dụ g tro g mạ g Bot ược sử dụ g ể tấ cô g thư

g ược

gọ là "seco dary v ct ms".
- Là dạ g tấ cô g rất kh c thể phát h ệ bở tấ cô g ày ược s h ra từ h ề
ịa chỉ IP trê I ter et.
- Nế một ịa chỉ IP tấ cô g một cô g ty
từ 0.000 ịa chỉ IP khác thì



c thể ược chặ bở F rewall. Nế

ày là vô cù g kh khă .
12

Báo cáo : n o n hông

n

ng – JCAlex Min


- Các kỹ huậ ấn công Webs e: DoS, DDoS, DRDoS & Bo ne ::..

..::

- Thủ phạm c thể gây h ề ả h hưở g bở tấ cô g từ chố dịch vụ DoS và
ày cà g g y h ểm hơ kh chú g sử dụ g một hệ thố g mạ g Bot trê
h ệ tấ cô g DoS và



ter et thực

ược gọ là tấ cô g DDoS.

II.3 - Tấ cô g DDoS khô g thể gă chặ hoà toà :
- Các dạ g tấ cô g DDoS thực h ệ tìm k ếm các l hổ g bảo mật trê các máy
tí h kết ố tớ I ter et và kha thác các l hổ g bảo mật ể xây dự g mạ g Bot et gồm
h ề máy tí h kết ố tớ I ter et.
- Một tấ cô g DDoS ược thực h ệ s rất kh

ể gă chặ hoà toà .

- Nhữ g g

hư g h

t

ế F rewall c thể chặ lạ

hết chú g ề

hữ g ịa chỉ IP chưa c tro g các Access R le của F rewall và là hữ g g

ế từ
t

hoàn

toà hợp lệ.
- Nế

ịa chỉ g ồ của g

t

c thể bị g ả mạo sa kh bạ khô g hậ

phả hồ từ hữ g ịa chỉ g ồ thật thì bạ c
g ồ

ược sự

phả thực h ệ cấm g ao t ếp vớ

ịa chỉ

.
- T y h ê một mạ g Bot et bao gồm từ hà g ghì tớ và trăm ghì

trê I ter et và



là vô cù g kh khă

II.4 - Kẻ tấ cô g khô
G

ể gă chặ tấ cô g.

goa :

ây khô g một kẻ tấ cô g ào sử dụ g l ô

Bot et tấ cô g tớ

ịa chỉ IP

ích mà chú g thư

ịa chỉ IP ể

g sử dụ g một ố tượ g tr

ề kh ể mạ g

g g a dướ

ây là

hữ g mô hì h tấ cô g DDoS

4.a - Agent Handler Model:
Kẻ tấ cô g sử dụ g các ha dler ể

ề kh ể tấ cô g

13
Báo cáo : n o n hông

n

ng – JCAlex Min


..::

- Các kỹ huậ ấn công Webs e: DoS, DDoS, DRDoS & Bo ne ::..

4.b - Tấ cô g DDoS dựa trê

ề tả g IRC:

Kẻ tấ cô g sử dụ g các mạ g IRC ể

ề kh ể

kh yếch ạ và q ả l kết ố

vớ các máy tí h tro g mạ g Bot et.

II.5 - Phâ loạ tấ cô g DDoS:
- Tấ cô g gây hết bă g thô g tr y cập tớ máy chủ.
+ Flood attack
+ UDP và ICMP Flood (flood – gây gập lụt)
- Tấ cô g kh ếch ạ các g ao t ếp
+ Smurf and Fraggle attack

14
Báo cáo : n o n hông

n

ng – JCAlex Min


..::

Tấ

- Các kỹ huậ ấn công Webs e: DoS, DDoS, DRDoS & Bo ne ::..

cô g

DDoS

vào

Yahoo.com

ăm

2000

Sơ ồ phâ loạ tấ cô g DDoS:

Sơ ồ tấ cô g DDoS ở dạ g kh ếch ạ g ao t ếp:
Như chú g ta ã b ết tấ cô g Sm rf là tấ cô g b g cách P g ế
Broadcast của một mạ g ào

mà ịa chỉ g ồ chí h là ịa chỉ của máy c

kh

ược ch yể tớ

toà bộ các g

Reply s

ịa chỉ
tấ cô g

ịa chỉ IP của máy tí h bị tấ cô g.

15
Báo cáo : n o n hông

n

ng – JCAlex Min


- Các kỹ huậ ấn công Webs e: DoS, DDoS, DRDoS & Bo ne ::..

..::

II.6 - Tấ cô g Reflect ve DNS (reflect ve - phả ch ế ):
6.a - Các vấn đ l ên quan ớ ấn công Reflec ve DNS:
- Một Hacker c thể sử dụ g mạ g bot et ể gử rất h ề yê c

tớ máy chủ

DNS.
- Nhữ g yê c

s làm trà bă g thô g mạ g của các máy chủ DNS

- V ệc phò g chố g dạ g tấ cô g ày c thể dù g F rewall gă cấm hữ g g ao
t ếp từ các máy tí h ược phát h ệ ra.
- Như g v ệc cấm các g ao t ếp từ DNS Server s c
Server c

h ề vấ

ề lớ . Một DNS

h ệm vụ rất q a trọ g trê I ter et.

- V ệc cấm các g ao t ếp DNS ồ g gh a vớ v ệc cấm gư

dù g bì h thư

g

gử ma l và tr y cập Webs te.
- Một yê c

về DNS thư

g ch ếm b g 1/7 th

máy chủ. Dựa vào yế tố ày ế dù g một Tools ch yê

g a của g

t

trả l

trê

gh ệp ể làm tă g các yê c

tớ máy chủ DNS s kh ế máy chủ DNS bị q á tả và khô g thể áp ứ g cho các gư
dù g bì h thư

g ược ữa.
16
Báo cáo : n o n hông

n

ng – JCAlex Min


- Các kỹ huậ ấn công Webs e: DoS, DDoS, DRDoS & Bo ne ::..

..::

6.b - ool ấn công Reflec ve DNS – ihateperl.pl:
- Ihateperl.pl là chươ g trì h rất h

rất h ệ q ả dựa trê k ể tấ cô g DNS-

Reflective
- N sử dụ g một da h sách các máy chủ DNS ể làm trà hệ thố g mạ g vớ các
g

yê c

Name Resolution.

- B g một ví dụ
thể ổ tê doma

c thể sử dụ g google.com ể resole gử tớ máy chủ và c

thà h www.v experts. et hay bất kỳ một tra g web ào mà kẻ tấ

công muôn.
- Cách sử dụ g cô g cụ ày rất ơ g ả : ta chỉ c

tạo ra một da h sách các máy

chủ DNS ch yể cho ịa chỉ IP của máy cá hâ và th ết lập số lượ g các g ao t ếp.

II.7 - Các tools sử dụ g ể tấ cô g DDoS:
Dướ

ây là các Tools tấ cô g DDoS.

 Trinoo
 Tribe flood Network (TFN)
 TFN2K
 Stacheldraht
 Shaft
 Trinity
 Knight
 Mstream
 Kaiten
Các tools ày hoà toà c thể ược dow load m
chỉ là các tools yế

phí trê I ter et và lư

ây

ể ma g tí h Demo về tấ cô g DDoS mà thô

III - DRDoS (Distributed Reflection Denial of Service)
17
Báo cáo : n o n hông

n

ng – JCAlex Min


- Các kỹ huậ ấn công Webs e: DoS, DDoS, DRDoS & Bo ne ::..

..::

III.1 – G ớ th ệ DRDOS.
ất h ệ vào

-

Nế

ăm 2002 là k ể tấ cô g mớ

hất mạ h hất tro g họ DoS.

ược thực h ệ bở kẻ tấ cô g c tay ghề thì

c thể hạ gục bất cứ hệ

thố g ào trê thế g ớ tro g phút chốc.
-

DRDoS là sự phố hợp g ữa ha k ể DoS và DDoS.

-

Mục t ê chí h của DRDoS là ch ếm oạt toà bộ bă g thô g của máy chủ tức là
làm tắc gh
và t ê hao tà

-

hoà toà

ư

g kết ố từ máy chủ vào xươ g số g của I ter et

g yê máy chủ.

Ta c Server A và V ct m g ả sử ta gử 1 SYN packet ế Server A tro g
g ồ

ã bị g ả mạo thà h IP của V ct m. Server A s mở 1 co

SYN/ACK packet cho V ct m vì gh r g V ct m m ố mở co
Và ây chí h là khá

ect o và gủ

ect o vớ mì h.

ệm của Reflect o ( Phả xạ ). Hacker s

ề kh ể Spoof

SYN ge erator gử SYN packet ế tất cả các TCP Server lớ

lúc ày các TCP

Server ày vô tì h thà h
gh
-

IP

Vớ

ư

omb e cho Hacker ể cù g tấ cô g V ct m và làm

g tr yề của V ct m.

h ề server lớ tham g a ê server mục t ê

ha h ch

g bị q á tả

ba dw dth bị ch ếm dụ g bở server lớ .

18
Báo cáo : n o n hông

n

ng – JCAlex Min


- Các kỹ huậ ấn công Webs e: DoS, DDoS, DRDoS & Bo ne ::..

..::

-

Tính “ ghệ th ật” là ở ch

chỉ c

vớ một máy tí h vớ modem 5 kbps

mộthacker là h ghề c thể á h bạ bất cứ máy chủ ào tro g g ây lát mà khô g
c

ch ếm oạt bất cứ máy ào ể làm phươ g t ệ thực h ệ tấ cô g.

III.2 - Cách Phò g chố g :
C rất h ề g ả pháp và

tưở g ược ưa ra h m ố ph vớ các c ộc tấ cô g k ể

DDoS. T y h ê khô g c g ả pháp và

tưở g ào là g ả q yết trọ vẹ bà toá A t -DDoS.

Các hì h thá khác ha của DDoS l ê tục x ất h ệ theo th
ố ph

t y h ê c ộc

g a so g so g vớ các g ả pháp

a vẫ t â theo q y l ật tất yế của bảo mật máy tí h: “Hacker l ô

trước g ớ bảo mật một bước”.
C ba g a

oạ chí h tro g q á trì h A t -DDoS:

-Ga



oạ

gừa: tố th ể h a lượ g Age t tìm và vô h ệ h a các Handler

19
Báo cáo : n o n hông

n

ng – JCAlex Min


-Ga

oạ

..::

- Các kỹ huậ ấn công Webs e: DoS, DDoS, DRDoS & Bo ne ::..



vớ c ộc tấ cô g: Phát h ệ và gă chặ c ộc tấ cô g làm s y

g ảm và dừ g c ộc tấ cô g ch yể hướ g c ộc tấ cô g.
-Ga

oạ sa kh c ộc tấ cô g xảy ra: th thập chứ g cứ và rút k h gh ệm

Các g a

oạ ch t ết tro g phò g chố g DDoS:

2.a - Tố th ể h a số lượ g Age t:
- Từ phía User: một phươ g pháp rất tốt ể ă g gừa tấ cô g DDoS là từ g
ser s tự ề phò g khô g ể bị lợ dụ g tấ cô g hệ thố g khác. M ố
thức và kỹ th ật phò g chố g phả
s khô g bao g

ược phổ b ế rộ g rã cho các

hì h thà h ế khô g c

ạt ược



ter et
ày thì

ter et ser. Attack-Network

ser ào bị lợ dụ g trở thà h Age t. Các ser phả

l ê tục thực h ệ các q á trì h bảo mật trê máy v tí h của mì h. Họ phả tự k ểm tra sự h ệ
d ệ của Age t trê máy của mì h



ày là rất kh khă

- Một số g ả pháp tích hợp sẵ khả ă g gă

ố vớ

ser thô g thư

gừa v ệc cà

ặt code g y h ểm thô g ào

hardware và software của từ g hệ thố g. Về phía ser họ ê cà
software hư a t v r s a t _troja và server patch của hệ

g.

ặt và pdat l ê tục các

ề hà h.

- Từ phía Network Serv ce Prov der: Thay ổ cách tí h t ề dịch vụ tr y cập theo d
lượ g s làm cho ser lư

ế

DDoS Age t s tự â g cao ở m

hữ g gì họ gử

hư vậy về mặt

thức tă g cư

g

g phát h ệ

User.

2.b - Tìm và vô h ệ h a các Ha dler:
Một hâ tố vô cù g q a trọ g tro g attack- etwork là Ha dler

ế c thể phát h ệ và

vô h ệ h a Ha dler thì khả ă g A t -DDoS thà h cô g là rất cao. B g cách theo dõi các giao
t ếp g ữa Ha dler và Cl e t hay ha dler va Age t ta c thể phát h ệ ra vị trí của Ha dler. Do
một Ha dler q ả l

hề

ê tr ệt t ê

ược một Ha dler c g c

gh a là loạ b một lượ g

á g kể các Age t tro g Attack – Network.

20
Báo cáo : n o n hông

n

ng – JCAlex Min


- Các kỹ huậ ấn công Webs e: DoS, DDoS, DRDoS & Bo ne ::..

..::

2.c - Phát h ệ dấ h ệ của một c ộc tấ cô g:
C

h ề kỹ th ật ược áp dụ g:

- Agress F lter g: Kỹ th ật ày k ểm tra xem một packet c

ủ t ê ch ẩ ra kh

một

s b et hay khô g dựa trê cơ sở gateway của một s b et l ô b ết ược ịa chỉ IP của các máy
th ộc s b et. Các packet từ bê tro g s b et gử ra goà vớ
g ữ lạ



ề tra g yê

ter et thì khá

ịa chỉ g ồ khô g hợp lệ s bị

hâ . Nế kỹ th ật ày ược áp dụ g trê tất cả các s b et của

h ệm g ả mạo ịa chỉ IP s khô g cò tồ tạ .

- MIB statist cs: tro g Ma ageme t I format o Base (SNMP) của ro te l ô c thô g
t

thố g kể về sự b ế th ê trạ g thá của mạ g. Nế ta g ám sát chặt ch các thố g kê của

protocol mạ g. Nế ta g ám sát chặt ch các thố g kê của Protocol ICMP UDP và TCP ta s c
khả ă g phát h ệ

ược th

ểm bắt

của c ộc tấ cô g ể tạo “q ỹ th

g a và g” cho

v ệc xử l tì h h ố g.

2.d - Làm s y g àm hay dừ g c ộc tấ cô g:
Dù g các kỹ th ật sa :
- Load bala c g: Th ết lập k ế trúc câ b g tả cho các server trọ g
tă g th

g a chố g chọ của hệ thố g vớ c ộc tấ cô g DDoS. T y h ê

gh a lắm về mặt thực t



ểm s làm g a
ày khô g c

vì q y mô của c ộc tấ cô g là khô g c g ớ hạ .

- Throttl g: Th ết lập cơ chế
server bê tro g c thể xử l

ề t ết trê ro ter q y ị h một khoả g tả hợp l mà

ược. Phươ g pháp ày c g c thể ược dù g ể gă chặ khả

ă g DDoS traff c khô g cho ser tr y cập dịch vụ. Hạ chế của kỹ th ật ày là khô g phâ b ệt
ược g ữa các loạ traff c

ô kh làm dịch vụ bị g á

oạ vớ

ser DDoS traff c vẫ c thể

xâm hập vào mạ g dịch vụ hư g vớ số lượ g hữ hạ .
- Drop req est: Th ết lập cơ chế drop req est ế
g a delay kéo dà tố

h ề tà

g yê

làm cạ k ệt ă g lực hệ thố g t y h ê
hệ thố g c



ể xử l
c

v phạm một số q y ị h hư: th

gây deadlock. Kỹ th ật ày tr ệt t ê khả ă g
g g ớ hạ một số hoạt ộ g thô g thư

g của

hắc kh sử dụ g.

21
Báo cáo : n o n hông

n

ng – JCAlex Min


- Các kỹ huậ ấn công Webs e: DoS, DDoS, DRDoS & Bo ne ::..

..::

2.e - Ch yể hướ g của c ộc tấ cô g:
Ho eyspots: Một kỹ th ật a g ược gh ê cứ là Ho eyspots. Ho eyspots là một hệ
thố g ược th ết kế h m á h lừa attacker tấ cô g vào kh xâm hập hệ thố g mà khô g chú
ế hệ thố g q a trọ g thực sự.
Ho eyspots khô g chỉ

g va trò “Lê La cứ chúa” mà cò rất h ệ q ả tro g v ệc

phát h ệ và xử l xâm hập vì trê Ho eyspots ã th ết lập sẵ các cơ chế g ám sát và báo
ộ g.
Ngoà ra Ho eyspots cò c g á trị tro g v ệc học h
Ho eyspots gh
lừa và cà

hậ khá ch t ết mọ

và rút k h gh ệm từ Attacker do

ộ g thá của attacker trê hệ thố g. Nế attacker bị á h

ặt Age t hay Ha dler lê Ho eyspots thì khả ă g bị tr ệt t ê toà bộ attack-network

là rất cao.

2.f - G a

oạ sa tấ cô g:

Tro g g a

oạ

ày thô g thư

g thực h ệ các cô g v ệc sa :

-Traff c Patter A alys s: Nế dữ l ệ về thố g kê b ế th ê lượ g traff c theo th
ã ược lư lạ thì s

ược ưa ra phâ tích. Q á trì h phâ tích ày rất c ích cho v ệc t h

chỉ h lạ các hệ thố g Load Bala c g và Throttl g. Ngoà ra các dữ l ệ
mạ g

ga

ày cò g úp Q ả trị

ề chỉ h lạ các q y tắc k ểm soát traff c ra vào mạ g của mì h.
- Packet Traceback: b g cách dù g kỹ th ật Traceback ta c thể tr y gược lạ vị trí của

Attacker (ít hất là s b et của attacker). Từ kỹ th ật Traceback ta phát tr ể thêm khả ă g
Block Traceback từ attacker khá hữ h ệ . g

ây ã c một kỹ th ật Traceback khá h ệ q ả

c thể tr y tìm g ồ gốc của c ộc tấ cô g dướ 15 phút

là kỹ th ật

.

- Beve t Logs: B g cách phâ tích f le log sa c ộc tấ cô g q ả trị mạ g c thể tìm
ra h ề ma h mố và chứ g cứ q a trọ g.

2.g - Phò g chố g tổ g q át :

22
Báo cáo : n o n hông

n

ng – JCAlex Min


- Các kỹ huậ ấn công Webs e: DoS, DDoS, DRDoS & Bo ne ::..

..::

1. Kh bạ phát h ệ máy chủ mì h bị tấ cô g hãy ha h ch
khô g cho gử dữ l ệ

g tr y tìm ịa chỉ IP

và cấm

ế máy chủ.

2. Dù g tí h ă g lọc dữ l ệ của ro ter/f rewall ể loạ b các packet khô g mo g m ố

g ảm

lượ g lư thô g trê mạ g và tả của máy chủ.
. Sử dụ g các tí h ă g cho phép ặt rate l m t trê ro ter/f rewall ể hạ chế số lượ g packet
vào hệ thố g.
. Nế bị tấ cô g do l
hệ thố g

của ph

mềm hay th ết bị thì ha h ch

g cập hật các bả sửa l

cho

hoặc thay thế.

5. Dù g một số cơ chế

cô g cụ

ph

mềm

ể chố g lạ

TCP SYN Flood g.

. Tắt các dịch vụ khác ế c trê máy chủ ể g ảm tả và c thể áp ứ g tốt hơ . Nế
thể â g cấp các th ết bị ph

ược c

cứ g ể â g cao khả ă g áp ứ g của hệ thố g hay sử dụ g

thêm các máy chủ cù g tí h ă g khác ể phâ ch a tả .
7. Tạm th

ch yể máy chủ sa g một ịa chỉ khác.

IV – Botnet.
Sơ lược lịch sử :
- C ố thế kỷ 19 c g hư

th ê

ê kỷ mớ

á h dấ bước phát tr ể

ha h mạ h

của một số ch ế lược tấ cô g khác b ệt hắm vào hệ thố g mạ g. DDoS tức D str b ted
De al of Serv ces hì h thức tấ cô g từ chố dịch vụ phâ tá khét t ế g ra


. Tươ g tự vớ

a h em DoS (tấ cô g từ chố dịch vụ) DDoS ược phát tá rất rộ g chủ yế

ơ gả

hư g rất kh bị dò tìm của chú g. Đã c

khố lượ g k ế thức khô g h về

h ề k h gh ệm ố ph

hư g gày ay DDoS vẫ

h tí h

ược ch a sẻ vớ

a g là một mố

e doạ

gh êm trọ g một cô g cụ g y h ểm của hacker. Chú g ta hãy cù g tìm h ể về DDoS và sả
phẩm kế thừa từ

: các c ộc tấ cô g bot et.

IV.1 - G ớ th ệ về Bot và Bot et

23
Báo cáo : n o n hông

n

ng – JCAlex Min


- Các kỹ huậ ấn công Webs e: DoS, DDoS, DRDoS & Bo ne ::..

..::

1.a - Bot là gì ? : là hữ g chươ g trì h tươ g tự Troja backdoor cho phép kẻ tấ cô g
sử dụ g máy của họ hư là hữ g oombie ( máy tính thây ma – máy tí h bị ch ếm q yề
kh ể hoà toà ) và chú g chủ ộ g kết ố vớ một Server ể d dà g
chữ “chủ ộ g”

là một ặc

này mà máy tí h bị cà

ề kh ể



các bạ lư

ểm khác của bot so vớ troja backdoor . Chí h vì sự chủ ộ g

ặt chú g kết ố trở ê chậm chạp một ặc

ểm g úp ta d dà g hậ

d ệ bot .

1.b - Tạ sao gọ là mạ g bot et ? : mạ g bot et là một mạ g rất lớ gồm hà g trăm
hà g gà máy tí h omb e kết ố vớ một máy chủ mIRC ( I ter et Replay Chat ) hoặc q a
các máy chủ DNS ể hậ lệ h từ hacker một cách ha h hất . Các mạ g bot gồm hà g gà
“thà h v ê ” là một cô g cụ l tưở g cho các c ộc ch ế tra h ọ má

hư DDOS spam cà

ặt

các chươ g trì h q ả g cáo …..

1.c - IRC
-IRC là tê v ết tắt của I ter et Relay Chat. Đ là một g ao thức ược th ết kế cho hoạt
ộ g l ê lạc theo k ể hì h thức tá gẫ th

g a thực (ví dụ RFC 1 59 các bả

2810 2811 2812 281 ) dựa trê k ế trúc cl e t-server. H
tr y cập m

pdate RFC

hết mọ server IRC ề cho phép

phí khô g kể ố tượ g sử dụ g. IRC là một g ao thức mạ g mở dựa trê

TCP (Transmission Control Protocol - G ao thức

ề kh ể tr yề vậ )

ô kh

ề tả g

ược â g cao

vớ SSL (Sec re Sockets Layer - T g socket bảo mật).
-Một server IRC kết ố vớ server IRC khác tro g cù g một mạ g. Ngư

dù g IRC c

thể l ê lạc vớ cả ha theo hì h thức cô g cộ g (trê các kê h) hoặc r ê g tư (một ố một). C
ha mức tr y cập cơ bả vào kê h IRC: mức gư
Ngư
hề
vớ

dù g ( ser) và mức

dù g ào tạo một kê h l ê lạc r ê g s trở thà h gư

ề hà h. Một

ặc q yề hơ (t ỳ th ộc vào từ g k ể chế ộ do gư


dù g thô g thư

thô g thư

ề hà h ba

ề hà h v ê c
th ết lập ) so

g.

-Các bot IRC ược co
là các q y trì h daemo

ề hà h (operator).

hư một gư

dù g (hoặc

ề hà h v ê ) thô g thư

c thể chạy tự ộ g một số thao tác. Q á trì h

ề kh ể các bot ày

g dựa trê v ệc gử lệ h ể th ết lập kê h l ê lạc do hacker thực h ệ

chí h là phá hoạ . Tất h ê

v ệc q ả trị bot c g ò h

g. Chú g

vớ mục ích

cơ chế thẩm ị h và cấp phép. Vì thế

chỉ c chủ sở hữ chú g mớ c thể sử dụ g.

24
Báo cáo : n o n hông

n

ng – JCAlex Min


Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay

×