presentation dos final it-slideshares.blogspot.com
DESCRIPTION
more from http://it-slideshares.blogspot.com and japanese-zen-garden.blogspot.comTRANSCRIPT
Các loại tấn công từ chối dịch vụ
Giáo viên hướng dẫn:
Ts. Phạm Văn TínhThành viên trong nhóm:
Nguyễn Lê Bảo Toàn 06130205Lê Công Bằng 06130007Nguyễn Trí Cảnh 06130108Đỗ Hoàng TuyênPhạm Thanh Phương
Đề tài:Bảo mật mạng và hệ thống
DoSDDoSDRDoS
Giới thiệu về DOS
Định nghĩa DOS
Các dạng tấn công DOS
Một số tool có thể sử dụng tấn công DOS
Nguyên nhân
Mục tiêu
Lịch sử một số cuộc tấn công DOS
Nguyên nhân:
Xuất phát từ động cơ chính trị.
Che dấu hành vi lừa đảo.
Các doanh nghiệp chơi xấu nhau
Mục đích trả thù cá nhân
Một số hacker mới vào nghề muốn chứng tỏ mình
………………………..
Mục tiêu tấn công:Mục tiêu các cuộc tấn công thường nhằm vào các trang
web lớn và các tổ chức thương mại điện tử trên Internet.Lịch sử một số cuộc tấn công:
15/8/2003 : Website của Microsoft gián đoạn trong 2h. 27/3/2003: Website Al-Jazeera bị gián đoạn trong
nhiều giờ. 8 / 2009 : Twitter, Facebook, Google bị tấn công.…………………..
DOS
Vậy DOS là gì?
DOS viết tắt của Denial Of Services.
DOS làm cho một hệ thống không thể sử dụng được hoặc
chậm đi đáng kể đối với người dùng bình thường bằng cách
chiếm giữ tài nguyên của hệ thống.
Mặc dù tấn công DoS ít có khả năng truy cập vào dữ liệu
thực của hệ thống nhưng nó có thể làm gián đoạn các dịch
vụ mà hệ thống đó cung cấp.
DOS là một dạng tấn công nguy hiểm và khó phòng chống.
Server busy
Smurf Buffer Overflow Attack Ping of Death Teardrop SYN Attack
Kẻ tấn công gửi những gói tin IP lớn hơn số lương bytes cho phép của IP là 65.536 bytes.
Quá trình chia nhỏ gói tin IP thành những phần nhỏ được thực hiện ở layer II.
Quá trình chia nhỏ có thể thực hiện với gói IP lớn hơn 65.536 bytes. Nhưng hệ điều hành không thể nhận biết được độ lớn của gói tin này và sẽ bị khởi động lại, hay đơn giản là sẽ bị gián đoạn giao tiếp.
Để nhận biết kẻ tấn công gửi gói tin lớn hơn gói tin cho phép thì tương đối dễ dàng.
Gói tin IP rất lớn khi đến Router sẽ bị chia nhỏ làm nhiều phần.
Kẻ tấn công sử dụng sử dụng gói IP với các thông số rất khó
hiểu để chia IP.
Khi hệ điều hành nhận được các gói tin đã được chia nhỏ sẽ
không hiểu được, hệ thống cố gắng build lại gói tin và điều đó
chiếm một phần tài nguyên hệ thống.
Nếu quá trình đó liên tục xảy ra hệ thống không còn tài nguyên
để phục vụ các ứng dụng khác.
giả sử rằng 4000 bytes này được chia thành 3 gói nhỏ(packet):
packet thứ nhất sẽ mang các 1bytes dữ liệu từ 1 đến 1500packet thứ hai sẽ mang các bytes dữ liệu từ 1501 đến 3000packet thứ ba sẽ mang các bytes dữ liệu còn lại, từ 3001 đến 4000
Khi các packets này đến đích, hệ thống đích sẽ dựa vào offset của các gói packets để sắp xếp lại cho đúng với thứ tự ban đầu: packet thứ nhất -> packet thứ hai -> packet thứ ba
Buffer Overflow xảy ra khi một chương trình phải ghi thông tin xuống buffer nhiều hơn khoảng trống trong bộ nhớ quy định cho nó.
Khi đó attacker có thể overwrite lại đường dẫn thực thi của chương trình, điều khiển cho chương trình chạy đoạn mã của attacker thay vì đoạn mã của chương trình.
Ví dụ :Send một email với file đính kèm có tên lớn hơn 256 ký
tự.Send một gói ICMP với size lớn .
Được xem là một trong những kiểu tấn công DoS kinh điển nhất. Lợi dụng sơ hở của thủ tục TCP khi “bắt tay ba lần”, mỗi khi client (máy khách) muốn thực hiện kết nối(connection) với server (máy chủ) thì nó thực hiện việc bắt tay ba lần (three – wayshandshake) thông qua các gói tin (packet).
Bước 1: Client (máy khách) sẽ gửi các gói tin (packet chứa SYN) đến máy chủ để yêu cầu kết nối.
Bước 2: Khi nhận được gói tin này, server sẽ gửi lại gói tin SYN/ACK để thôngbáo cho client biết là nó đã nhận được yêu cầu kết nối và chuẩn bị tài nguyên cho việc yêu cầu này. Server sẽ giành một phần tài nguyên hệ thống như bộ nhớ đệm(cache) để nhận và truyền dữ liệu. Ngoài ra, các thông tin khác của client như địa chỉ IP và cổng (port) cũng được ghi nhận.
Bước 3: Cuối cùng, client hoàn tất việc bắt tay ba lần bằng cách hồi âm lại gói tin chứa ACK cho server và tiến hành kết nối.
Do TCP là giao thức hướng kết nối nên trong lần bắt tay thứ hai,server gửi các gói tin SYN/ACK trả lời lại client mà không nhận lại được hồi âm của client để hoàn tất quá trình kết nối thì server nó vẫn bảo lưu nguồn tài nguyên chuẩn bị kết nối đó và lập lại việc gửi gói tin SYN/ACK cho client đến khi nào nhận được hồi đáp của máy client.
Điểm mấu chốt là ở đây là làm cho client không hồi đáp cho Server. Và có hàng nhiều,nhiều client như thế trong khi server vẫn lặp lại việc gửi packet ACK đó và giành tài nguyên để chờ trong lúc tài nguyên của hệ thống là có giới hạn! Các hacker tấn công sẽ tìm cách để đạt đến giới hạn đó.
Nếu quá trình đó kéo dài, server sẽ nhanh chóng trở nên quá tải, dẫn đến tình trạng crash(treo) nên các yêu cầu hợp lệ sẽ bị từ chối không thể đáp ứng được. Có thể hình dung quátrình này cũng giống như khi máy tính cá nhân (PC) hay bị “treo” khi mở cùng lúc quá nhiều chương trình cùng lúc vậy .
Hacker sẽ giả địa chỉ IP gói tin. Khi một gói tin SYN với IP giả mạo được gửi đến server và server sẽ cấp vùng tài nguyên cho đường truyền này, đồng thời ghi nhận toàn bộ thông tin và gửi gói SYN/ACK ngược lại cho Client.
Vì địa chỉ IP của client là giả mạo nên sẽ không có client nào nhận được SYN/ACK packet này để hồi đáp cho máy chủ. Sau một thời gian không nhận được gói tin ACK từ client, server nghĩ rằng gói tin bị thất lạc nên lại tiếp tục gửi tiếp SYN/ACK, cứ như thế, các kết nối (connections) tiếp tụcmở.
Nếu như kẻ tấn công tiếp tục gửi nhiều gói tin SYN đến server thì cuối cùng server đã không thể tiếp nhận thêm kết nối nào nữa, dù đó là các yêu cầu kết nối hợp lệ. Việc không thể phục nữa cũng đồng nghĩa với việc máy chủ không thể cung cấp dich vụ.
Land AttackLà một dạng của SYN attack(thay ip giả chính là ip
victim)
DNS AttackGiao thức DNS là giao thức phân giải địa chỉ, dùng để
ánh xạ giữa tên miền (domain name) địa chỉ Internet (IP). Theo giao thức này, máy chủ DNS khi nhận được yêu cầu phân giải địa chỉ (request) từ máy trạm, nó sẽ tra cứu trong bộ đệm (cache) và trả về địa chỉ IP tương ứng với tên miền mà máy trạm yêu cầu. Tuy nhiên, nếu không tìm thấy trong bộ đệm, máy chủ DNS sẽ chuyển tiếp yêu cầu phân giải tới một máy chủ DNS khác và đây chính là lỗ hổng mà hacker sẽ khai thác.
Cấu trúc của gói tin DNS
1. Transaction ID : nó là một số ngẫu nhiên (random) dùng để so khớp với truy vấn phản hồi trở lại. Khi client nhận được một phản hồi (respone) từ server, nó sẽ kiểm tra xem số transaction ID này có trùng với số transaction ID mà nó đã gửi đi ban đầu hay không.2. Additional Resource Record structures : phần này là thông tin resource record được thêm vào để gửi cho máy nhận (receiver)
Lưu ý : nếu có 2 phản hồi (responces), trình tự tiếp nhận của client sẽ diễn ra như sau : cái nào đến trước sẽ được chấp nhận trước, sau đó bỏ thông tin đã nhận trước đó khi nhận được cái sau. Đây thật sự là điểm yếu để tấn công đầu độc cache.
Tiêu chí để xác định xem những phản hồi (responces) có hợp lệ hay không đó là dựa trên các thông số ban đầu của các yêu cầu (requests) mà client đó đã gửi đi. Client chỉ chấp nhận những phản hồi với cùng một địa chỉ IP, số cổng (port number) và số transaction ID ban đầu do client đã gửi đi. Ví dụ theo bảng sau thì gói tin phản hồi sẽ được chấp nhận :
Tấn công đầu độc cache (cache poisoning attack) Như đã đề cập trong phần lý thuyết bên trên, các DNS
Server sau khi trả lời thông tin đã phân giải được vào cache (cache trên DNS Server), mục đích là để tối ưu cho việc phân giải lần sau. Lợi dụng cơ chế này, các attacker tiến hành đầu độc cache của DNS Server.
Cách thực hiện : thiết lập một DNS Server giả mạo với các record độc hại.
Mục đích của kẻ tấn công là muốn dẫn các client khi phân giải một cái tên nào đó về địa chỉ IP giả mạo, ví dụ khi client cần phân giải địa chỉ www.cnn.com thì được trả về địa chỉ IP giả là 66.66.66.66. Kẻ tấn công có thể thực hiện được việc đó bằng cách theo các bước sau đây:
1. Thiết lập 1 DNS Server giả mạo, ví dụ tên của server này là ns.attacker.com.
2. Sau đó kẻ tấn công tạo ra một truy vấn đến DNS Server của nạn nhân (server này tạm gọi là ns.victim.com), yêu cầu phân giải tên www.attacker.com.
3. Khi đó DNS Server (lúc này chưa có record nào phục vụ cho việc phân giải tên www.attacker.com trong cache) của nạn nhân sẽ liên lạc với DNS Server giả mạo của attacker là ns.attacker.com để lấy thông tin trả lời cho việc phân giải tên www.attacker.com
4. Ns.attacker.com trả lời cho địa chỉ www.attacker.com = 44.44.44.44 đến ns.victim.com. Tuy nhiên, cũng trong thời điểm đó, trong gói tin reply trả về thì một record khác cũng được thêm vào chứa thông tin là www.cnn.com = 66.66.66.66 tại vùng Additional Resource Record structures (xem lại cấu trúc gói tin DNS đã trình bày bên trên).
5. Sau khi nhận được reply này từ máy ns.attacker.com, ns.victim.com sẽ trả lời cho attacker là www.attacker.com=44.44.44.44. Tuy nhiên, lúc này ns.victim.com đã cache lại thông tin về www.attacker.com=44.44.44.44 và www.cnn.com=66.66.66.66.
6. Thông tin record www.attacker.com sẽ được trả về cho kẻ tấn công, tuy nhiên đây không phải là mục tiêu chính của kẻ tấn công, mà mục tiêu chính là đặt thông tin sai vào bộ nhớ cache của DNS Server nạn nhân.
7. Khi nào record giả còn tồn tại trong cache của DNS Server nạn nhân, từ đây về sau, các truy vấn của www.cnn.com sẽ được chuyển hướng đến 66.66.66.66, đây có thể là một máy tính được đặc dưới sự kiểm soát của attacker.
Với mục đích đạt được như trên thì hacker có thể dẫn nạn nhân tới địa chỉ mà hacker đã kiểm soát(có thể là địa chỉ tài khoản ngân hàng, tài khoản ….) để ăn cắp thông tin.
DDOSDISTRIBUTED DENIAL OF SERVICEPHẦN I:
GIỚI THIỆU VỀ IRC,BOT,BOTNETS CÁC KIỂU BOT MÔ HÌNH CÁCH LÂY NHIỄM VÀ ĐIỀU KHIỂN BOT.
PHẦN II: GIỚI THIỆU DDOS,ĐẶC ĐIỂM DDOS MÔ HÌNH VÀ PHÂN LOẠI CÁC KIỂU TẤN CÔNG DDOS PHÒNG CHỐNG DDOS
Internet Relay Chat (IRC) Là một hệ thống online
chat multiuser, IRC cho phép User tạo một kết nối đến multipoint(chanel) đến nhiều user khác và chat thời gian thực.
Ngoài chat, IRC còn dùng để chia sẻ tập tin và tư liệu theo hình thức mạng ngang hàng.
Bot(bắt nguồn tư robot)
Là các chương trình tự động hóa thường xuyên được sử dụng trong Internet .
Thường là một file thực thi, có khả năng thực hiện một tập lệnh đã được lập trình trước .
Bot chủ động kết nối đến chanel IRC trong server IRC và đợi lệnh từ xa.
Kẻ tấn công có thể điều khiển bot từ rất xa vì 1 mục đích nào đó
BotnetsMột botnet bao gồm tối thiểu: 1 bot header hoăc
controller và 1 hoặc nhiều botclents(bot).Botnet được quản lý bởi 1 BotheaderBotheader có thể điều khiển cả nhóm bot từ xa,
thường là qua một phương tiện chẳng hạn như IRC
Được sử dụng cho 1 cuộc tấn công DDoS.1 botnets tương đối nhỏ với 1ooo bots tạo 1 băng
thông lớn hơn kết nối Internet của danh nghiệp(1.000 PCs với mức trung bình 128KB / s có thể cung cấp nhiều hơn 100Mbit / s )
Mục đích sử dụng mạng Botnets Tấn công Distributed Denial-of-Service – DDoS Spamming
Mở một SOCKS v4/v5 proxy server cho việc Spamming - Sniffing traffic
Bot cũng có thể sử dụng các gói tin nó sniffer (tóm được các giao tiếp trên mạng) sau khi tóm được các gói tin nó cố gắng giải mã gói tin để lấy được các nội dung có ý nghĩa như tài khoản ngân hàng và nhiều thông tin có giá trị khác của người sử dụng.
Keylogging Với sự trợ giúp của Keylogger rất nhiều thông tin nhạy cảm của người
dùng có thể sẽ bị kẻ tấn công khai thác như tài khoản trên e-banking, cũng như nhiều tài khoản khác.
Cài đặt và lây nhiễm chương trình độc hại Botnet có thể sử dụng để tạo ra mạng những mạng BOT mới.
Phishing Mạng botnet còn được sử dụng để phishing mail nhằm lấy các thông
tin nhạy cảm của người dùng. ….
Cấu trúc của một botnet điển hình
Types of BotsAgobot/Phatbot/Forbot/XtremBot
-Đây là những bot được viết bằng C++ trên nền tảng Cross-platform và mã nguồn được tìm trên GPL. Agobot được viết bởi Ago nick name được người ta biết đến là Wonk, một thanh niên trẻ người Đức – đã bị bắt hồi tháng 5 năm 2004 với tội danh về tội phạm máy tính.
Agobot có khả năng sử dụng NTFS Alternate Data Stream (ADS) và như một loại Rootkit nhằm ẩn các tiến trình đang chạy trên hệ thống
SDBot/RBot/UrBot/UrXBot SDBot được viết bằng ngồn ngữ C và cũng được public bởi GPL.
Nó đươc coi như là tiền thân của Rbot, RxBot, UrBot, UrXBot, JrBot
mIRC-based Bots - GT-Bots GT được viết tắt từ Global Threat và tên thường được sử dụng cho
tất cả các mIRC-scripted bots. Nó có khả năng sử dụng phần mềm IM là mIRC để thiết lập một số script và một số đoạn mã khác.
Cách lây nhiễm của bot(Agobot’s) Bước 1: Cách lây nhiễm vào máy tính
Đầu tiên kẻ tấn công lừa cho người dùng chạy file “chess.exe”, một Agobot thường copy chúng vào hệ thống và sẽ thêm các thông số trong Registry để đảm bảo sẽ chạy cùng với hệ thống khi khởi động. Trong Registry có các vị trí cho các ứng dụng chạy lúc khởi động tại.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Bước 2: Cách lây lan và xây dựng tạo mạng BOTNET - Sau khi trong hệ thống mạng có một máy tính bị nhiễm Agobot, nó sẽ
tự động tìm kiếm các máy tính khác trong hệ thống và lây nhiễm sử dụng các lỗ hổng trong tài nguyên được chia sẻ trong hệ thống mạng.
- Chúng thường cố gắng kết nối tới các dữ liệu share mặc định dành cho các ứng dụng quản trị (administrator or administrative) ví dụ như: C$, D$, E$ và print$ bằng cách đoán usernames và password để có thể truy cập được vào một hệ thống khác và lây nhiễm.
- Agobot có thể lây lan rất nhanh bởi chúng có khả năng tận dụng các điểm yếu trong hệ điều hành Windows, hay các ứng dụng, các dịch vụ chạy trên hệ thống.
Cách lây nhiễm của bot(Agobot’s)Bước 3: Kết nối vào IRC.
Bước tiếp theo của Agobot sẽ tạo ra một IRC-Controlled Backdoor để mở các yếu tố cần thiết, và kết nối tới mạng Botnet thông qua IRC-Controll, sau khi kết nối nó sẽ mở những dịch vụ cần thiết để khi có yêu cầu chúng sẽ được điều khiển bởi kẻ tấn công thông qua kênh giao tiếp IRC.
Bước 4: Điều khiển tấn công từ mạng BotNet. - Kẻ tấn công điều khiển các máy trong mạng Agobot
download những file .exe về chạy trên máy. - Lấy toàn bộ thông tin liên quan và cần thiết trên hệ
thống mà kẻ tấn công muốn. - Chạy những file khác trên hệ thống đáp ứng yêu cầu của
kẻ tấn công. - Chạy những chương trình DDoS tấn công hệ thống khác.
Sơ đồ cách hệ thống bị lây nhiễm và sử dụng Agobot.
Tấn công DDoS Trên Internet tấn công Distributed Denial of
Service là một dạng tấn công từ nhiều máy tính tới một đích, nó gây ra từ chối các yêu cầu hợp lệ của các user bình thường. Bằng cách tạo ra những gói tin cực nhiều đến một đích cụ thể, nó có thể gây tình trạng tương tự như hệ thống bị shutdown.
Các đặc tính của tấn công DDoS. - Nó được tấn công từ một hệ thống các máy tính cực lớn
trên Internet, và thường dựa vào các dịch vụ có sẵn trên các máy tính trong mạng botnet
- Các dịch vụ tấn công được điều khiển từ những “primary victim” trong khi các máy tính bị chiếm quyền sử dụng trong mạng Bot được sử dụng để tấn công thường được gọi là “secondary victims”.
- Là dạng tấn công rất khó có thể phát hiện bởi tấn công này được sinh ra từ nhiều địa chỉ IP trên Internet.
- Nếu một địa chỉ IP tấn công một công ty, nó có thể được chặn bởi Firewall. Nếu nó từ 30.000 địa chỉ IP khác, thì điều này là vô cùng khó khăn.
- Thủ phạm có thể gây nhiều ảnh hưởng bởi tấn công từ chối dịch vụ DoS, và điều này càng nguy hiểm hơn khi chúng sử dụng một hệ thống mạng Bot trên internet thực hiện tấn công DoS và đó được gọi là tấn công DDoS.
Tấn công DDoS không thể ngăn chặn hoàn toàn. - Các dạng tấn công DDoS thực hiện tìm kiếm các lỗ hổng
bảo mật trên các máy tính kết nối tới Internet và khai thác các lỗ hổng bảo mật để xây dựng mạng Botnet gồm nhiều máy tính kết nối tới Internet.
- Một tấn công DDoS được thực hiện sẽ rất khó để ngăn chặn hoàn toàn.
- Những gói tin đến Firewall có thể chặn lại, nhưng hầu hết chúng đều đến từ những địa chỉ IP chưa có trong các Access Rule của Firewall và là những gói tin hoàn toàn hợp lệ.
- Nếu địa chỉ nguồn của gói tin có thể bị giả mạo, sau khi bạn không nhận được sự phản hồi từ những địa chỉ nguồn thật thì bạn cần phải thực hiện cấm giao tiếp với địa chỉ nguồn đó.
- Tuy nhiên một mạng Botnet bao gồm từ hàng nghìn tới vài trăm nghìn địa chỉ IP trên Internet và điều đó là vô cùng khó khăn để ngăn chặn tấn công.
Những mô hình tấn công DDoSAgent Handler Model gồm 3 thành phần:
Agent, Client và Handler Client : là software cơ sở để hacker điều
khiển mọi hoạt động của attack-network Handler : là một thành phần software
trung gian giữa Agent và Client Agent : là thành phần software thực hiện
sự tấn công mục tiêu, nhận điều khiển từ Client thông qua các Handler
Những mô hình tấn công DDoS Agent Handler Model
Những mô hình tấn công DDoSTấn công DDoS dựa trên nền tảng IRC cũng tương
tự như Agent – Handler network nhưng mô hình này sử dụng các kênh giao tiếp IRC làm phương tiện giao tiếp giữa Client và Agent (không sử dụng Handler). Sử dụng mô hình này, attacker còn có thêm một số lợi thế khác như:
+ Các giao tiếp dưới dạng chat message làm cho việc phát hiện chúng là vô cùng khó khăn
+ IRC traffic có thể di chuyển trên mạng với số lượng lớn mà không bị nghi ngờ
+ Không cần phải duy trì danh sách các Agent, hacker chỉ cần logon vào IRC server là đã có thể nhận được report về trạng thái các Agent do các channel gửi về.
+ IRC cũng là một môi trường file sharing tạo điều kiện phát tán các Agent code lên nhiều máy khác.
Những mô hình tấn công DDoSTấn công DDoS dựa trên nền tảng IRC
Phân loại tấn công DDoS Tấn công gây hết băng
thông truy cập tới máy chủ.Tràn băng thông
TCP,UDP và ICMP Flood (flood – gây ngập lụt)
Tấn công khuếch đại các giao tiếp
Smurf Fraggle attack
Sử dụng hết tài nguyên:Khai thác lỗ hỗng các
protocolGởi các gói tin khó hiều.
Tấn công khuếch đại các giao tiếp
Tấn công Reflective DNS (reflective – phản chiếu) - Một Hacker có thể sử dụng mạng botnet để gửi rất nhiều yêu
cầu tới máy chủ DNS. - Những yêu cầu sẽ làm tràn băng thông mạng của các máy
chủ DNS, - Việc phòng chống dạng tấn công này có thể dùng Firewall
ngăn cấm những giao tiếp từ các máy tính được phát hiện ra. - Nhưng việc cấm các giao tiếp từ DNS Server sẽ có nhiều vấn
đề lớn. Một DNS Server có nhiệm vụ rất quan trọng trên Internet.
- Việc cấm các giao tiếp DNS đồng nghĩa với việc cấm người dùng bình thường gửi mail và truy cập Website.
- Một yêu cầu về DNS thường chiếm bằng 1/73 thời gian của gói tin trả lời trên máy chủ. Dựa vào yếu tố này nếu dùng một Tools chuyên nghiệp để làm tăng các yêu cầu tới máy chủ DNS sẽ khiến máy chủ DNS bị quá tải và không thể đáp ứng cho các người dùng bình thường được nữa.
Tấn công Reflective DNS
Các tools sử dụng để tấn công DDoS. - Trinoo -Tribe flood Network (TFN) -
TFN2K - Stacheldraht - Shaft - Trinity - Knight - Mstream - Kaiten
Phòng chống DDoSCó ba giai đoạn chính trong quá trình Anti-
DDoS: Giai đoạn ngăn ngừa: tối thiểu hóa lượng
Agent, tìm và vô hiệu hóa các Handler Giai đoạn đối đầu với cuộc tấn công: Phát hiện
và ngăn chặn cuộc tấn công, làm suy giảm và dừng cuộc tấn công, chuyển hướng cuộc tấn công.
Giai đoạn sau khi cuộc tấn công xảy ra: thu thập chứng cứ và rút kinh nghiệm
Phòng chống DDoS
Tối thiểu hóa số lượng Agent Tìm và vô hiệu hóa các Handler . Attack-Network sẽ không bao giờ hình
thành nếu không có user nào bị lợi dụng trở thành Agent.
Muốn đạt được điều này thì ý thức và kỹ thuật phòng chống phải được phổ biến rộng rãi cho các internet user.
Về phía user họ nên cài đặt và updat liên tục các software như antivirus, anti_trojan và server patch của hệ điều hành
Phát hiện dấu hiệu của một cuộc tấn công Có nhiều kỹ thuật được áp dụng:
Agress Filtering: Kỹ thuật này kiểm tra xem một packet có đủ tiêu chuẩn ra khỏi một subnet hay không dựa trên cơ sở gateway của một subnet luôn biết được địa chỉ IP của các máy thuộc subnet. Các packet từ bên trong subnet gửi ra ngoài với địa chỉ nguồn không hợp lệ sẽ bị giữ lại để điều tra nguyên nhân. Nếu kỹ thuật này được áp dụng trên tất cả các subnet của internet thì khái nhiệm giả mạo địa chỉ IP sẽ không còn tồn tại.
MIB statistics: trong Management Information Base (SNMP) của route luôn có thông tin thống kể về sự biến thiên trạng thái của mạng. Nếu ta giám sát chặt chẽ các thống kê của protocol mạng. Nếu ta giám sát chặt chẽ các thống kê của Protocol ICMP, UDP và TCP ta sẽ có khả năng phát hiện được thời điểm bắt đầu của cuộc tấn công để tạo “quỹ thời gian vàng” cho việc xử lý tình huống.
Làm suy giảm hay dừng cuộc tấn côngLoad balancing: Thiết lập kiến trúc cân bằng tải cho các
server trọng điểm sẽ làm gia tăng thời gian chống chọi của hệ thống với cuộc tấn công DDoS. Tuy nhiên, điều này không có ý nghĩa lắm về mặt thực tiễn vì quy mô của cuộc tấn công là không có giới hạn.
- Throttling: Thiết lập cơ chế điều tiết trên router, quy định một khoảng tải hợp lý mà server bên trong có thể xử lý được. Phương pháp này cũng có thể được dùng để ngăn chặn khả năng DDoS traffic không cho user truy cập dịch vụ. Hạn chế của kỹ thuật này là không phân biệt được giữa các loại traffic, đôi khi làm dịch vụ bị gián đoạn với user, DDoS traffic vẫn có thể xâm nhập vào mạng dịch vụ nhưng với số lượng hữu hạn.
- Drop request: Thiết lập cơ chế drop request nếu nó vi phạm một số quy định như: thời gian delay kéo dài, tốn nhiều tài nguyên để xử lý, gây deadlock. Kỹ thuật này triệt tiêu khả năng làm cạn kiệt năng lực hệ thống, tuy nhiên nó cũng giới hạn một số hoạt động thông thường của hệ thống, cần cân nhắc khi sử dụng.
Chuyển hướng của cuộc tấn côngHoneyspots: Một kỹ thuật đang được nghiên
cứu là Honeyspots. Honeyspots là một hệ thống được thiết kế nhằm đánh lừa attacker tấn công vào khi xâm nhập hệ thống mà không chú ý đến hệ thống quan trọng thực sự.
Giai đoạn sau tấn công:Traffic Pattern Analysis: Nếu dữ liệu về thống kê biến
thiên lượng traffic theo thời gian đã được lưu lại thì sẽ được đưa ra phân tích. Quá trình phân tích này rất có ích cho việc tinh chỉnh lại các hệ thống Load Balancing và Throttling. Ngoài ra các dữ liệu này còn giúp Quản trị mạng điều chỉnh lại các quy tắc kiểm soát traffic ra vào mạng của mình.
- Packet Traceback: bằng cách dùng kỹ thuật Traceback ta có thể truy ngược lại vị trí của Attacker (ít nhất là subnet của attacker). Từ kỹ thuật Traceback ta phát triển thêm khả năng Block Traceback từ attacker khá hữu hiệu. gần đây đã có một kỹ thuật Traceback khá hiệu quả có thể truy tìm nguồn gốc của cuộc tấn công dưới 15 phút, đó là kỹ thuật XXX.
- Bevent Logs: Bằng cách phân tích file log sau cuộc tấn công, quản trị mạng có thể tìm ra nhiều manh mối và chứng cứ quan trọng.
Giới thiệu kiểu tấn công DRDOS.Mục tiêu tấn công của DRDOS.Sơ đồ minh họa
Xuất hiện vào đầu năm 2002, là kiểu tấn công mới nhất, mạnh nhất trong họ DoS. Nếu được thực hiện bởi kẻ tấn công có tay nghề thì nó có thể hạ gục bất cứ hệ thống nào trên
thế giới trong phút chốc.
Về cơ bản, DRDoS là sự phối hợp giữa hai kiểu DoS và DDoS.
Mục tiêu chính của DRDoS là chiếm đoạt toàn bộ băng thông của máy chủ, tức là làm tắc nghẽn hoàn toàn đường kết nối từ máy chủ vào xương sống của Internet và tiêu hao tài nguyên máy chủ. Trong suốt quá trình máy chủ bị tấn công bằng DrDoS, không một máy khách nào có thể kết nối được vào máy chủ đó. Tất cả các dịch vụ chạy trên nền TCP/IP như DNS, HTTP, FTP, POP3, ... đều bị vô hiệu hóaVề cơ bản, DRDoS là sự phối hợp giữa hai kiểu DoS và DDoS.
Nó có kiểu tấn công SYN với một máy tính đơn, vừa có sự kết hợp giữa nhiều máy tính để chiếm dụng băng thông như kiểu DDoS.
Kẻ tấn công thực hiện bằng cách giả mạo địa chỉ của server mục tiêu rồi gửi yêu cầu SYN đến các server lớn như Yahoo, Micorosoft,… chẳng hạn để các serve này gửi các gói tin SYN/ACK đến server mục tiêu. Các server lớn, đường truyền mạnh đó đã vô tình đóng vai trò zoombies cho kẻ tấn công như trong DDoS.
Quá trình gửi cứ lặp lại liên tục với nhiều địa chỉ IP giả từ kẻ tấn công, với nhiều server lớn tham gia nên server mục tiêu nhanh chóng bị quá tải, bandwidth bị chiếm dụng bởi server lớn.Tính “nghệ thuật” là ở chỗ chỉ cần với một máy tính với modem 56kbps, một hacker lành nghề có thể đánh bại bất cứ máy chủ nào trong giây lát mà không cần chiếm đoạt bất cứ máy nào để làm phương tiện thực hiện tấn công.
Bảo vệ bằng cách dùng iptables để cản ICMP traffic
ICMP="0 3 8 11"for icmp in $ICMP; do$IPTABS -A INPUT -s $NET -p icmp --icmp-type $icmp \-m state --state ESTABLISHED -m limit --limit 1/s --limit-burst 1 -j ACCEPT
$IPTABS -A OUTPUT -s $LOCAL -p icmp --icmp-type $icmp \-m state --state NEW,ESTABLISHED -m limit --limit 1/s --limit-burst 1 -j ACCEPTdone
trong đó: $NET là biến số cho các địa chỉ từ bên ngoài Internet vào$LOCAL là biến số cho dãy IP thuộc nội mạngNếu có DMZ thì thêm một output rule nữa là xong.
Dòng thứ nhất chỉ định rằng tất cả ICMP traffic loại 0, 3, 8 và 11 đi từ Internet vào mà đã ở tình trạng "ESTABLISHED" thì chấp nhận. Điều này có nghĩa các ICMP packet "mới tinh" do bên ngoài khởi tạo thì không được chấp nhận (phụ thuộc vào default policy của iptables). Các ICMP từ bên ngoài vào chỉ được chấp thuận ở mức độ "trả lời" cho những gì bên trong LAN "hỏi".
Dòng thứ hai chỉ định rằng tất cả CMP traffic loại 0, 3, 8 và 11 đi từ nội mạng ra mà ở tình trạng "NEW" và "ESTABLISHED" thì tiếp nhận. Điều này có nghĩa các ICMP packet "mới tinh" do bên trong nội mạng khởi tạo thì OK, các ICMP packets từ bên ngoài vào chỉ có thể tiếp nhận khi nó trả lời các packet bên trong LAN đi ra.
"limit" ở trên cho cả 2 rules dùng để giảm thiểu "request rate" ra vào.
Nên chú ý rằng chỉ có bốn loại ICMP (0, 3, 8 và 11) ở trên được cho phép ra vào và những ICMP thuộc diện "broadcast" với smurf attack sẽ không ra vào được và sẽ bị DROP ngay ở IP layer.
Giớ thiệu kiểu tấn công DRDOS.Mục tiêu tấn công của DRDOS.Sơ đồ minh họa
04/13/23 Đỗ Hoàng Tuyên
DrDoS (distributed reflection denial of service):dịch vụ phát tán ánh xạ.
Xuất hiện vào đầu năm 2002, là kiểu tấn công mới nhất, mạnh nhất trong họ DoS. Nếu được thực hiện bởi kẻ tấn công có tay nghề thì nó có thể hạ gục bất cứ hệ thống nào trên
thế giới trong phút chốc.
Về cơ bản, DRDoS là sự phối hợp giữa hai kiểu DoS và DDoS.04/13/23 Đỗ Hoàng Tuyên
Mục tiêu chính của DRDoS là chiếm đoạt toàn bộ băng thông của máy chủ, tức là làm tắc nghẽn hoàn toàn đường kết nối từ máy chủ vào xương sống của Internet và tiêu hao tài nguyên máy chủ. Trong suốt quá trình máy chủ bị tấn công bằng DrDoS, không một máy khách nào có thể kết nối được vào máy chủ đó. Tất cả các dịch vụ chạy trên nền TCP/IP như DNS, HTTP, FTP, POP3, ... đều bị vô hiệu hóaVề cơ bản, DRDoS là sự phối hợp giữa hai kiểu DoS và DDoS.
Nó có kiểu tấn công SYN với một máy tính đơn, vừa có sự kết hợp giữa nhiều máy tính để chiếm dụng băng thông như kiểu DDoS.
04/13/23 Đỗ Hoàng Tuyên
Kẻ tấn công thực hiện bằng cách giả mạo địa chỉ của server mục tiêu rồi gửi yêu cầu SYN đến các server lớn như Yahoo, Micorosoft,… chẳng hạn, để các serve này gửi các gói tin SYN/ACK đến server mục tiêu.
Các server lớn, đường truyền mạnh đó đã vô tình đóng vai trò zoombies cho kẻ tấn công như trong DDoS.
04/13/23 Đỗ Hoàng Tuyên
Quá trình gửi cứ lặp lại liên tục với nhiều địa chỉ IP giả từ kẻ tấn công, với nhiều server lớn tham gia nên server mục tiêu nhanh chóng bị quá tải, bandwidth bị chiếm dụng bởi server lớn.
Tính “nghệ thuật” là ở chỗ chỉ cần với một máy tính với modem 56kbps, một hacker lành nghề có thể đánh bại bất cứ máy chủ nào trong giây lát mà không cần chiếm đoạt bất cứ máy nào để làm phương tiện thực hiện tấn công. 04/13/23 Đỗ Hoàng Tuyên
04/13/23 Đỗ Hoàng Tuyên
DEMODOSDDOS
WapdateSpynet
SPY-NETSpy-Net là gì ?Nguyên lí hoạt động của Spy-netHướng dẫn cách cấu hình và dùng spynet
Một số tính năng hay của spynetDemo nhỏ của Spy-net trong Deny of Service(ping of death)
04/13/23 Đỗ Hoàng Tuyên
Giới thiệu SPY-NETSPY-Net là con botnet Nguyên lí hoạt đông của Spy-net cũng giống với
một số Botnet khác như: Agobot…Mục đích chính của con spy-net là đánh cắp
thông tin người dùng-nhưng có nhiều tính năng hay sử dụng trong DOS
Dung lượng chỉ vài chục đến vài trăm KB ,nên nó có thể đính kèm với bất kì loại file
Dễ dàng lây nhiễm sang máy tính khácNgười dùng chỉ cần chạy file có đính kèm
SPY_NET là đã bị nhiễm
04/13/23 Đỗ Hoàng Tuyên
Nguyên lí hoạt động của Spy-net
Hoạt động giống những botnet khácSử dụng giao thức IRC để hoạt độngIRC(Internet Replay Chat):tán gẫu thời gian thực là một giao thức được thiết kế cho hoạt động liên lạc theo kiểu
hình thức tán gẫu thời gian thựcdựa trên kiến trúc client-serverIRC là một giao thức mạng mở dựa trên nền tảng
TCPlà một nơi hội họp ảo mà mọi người trên khắp thế giớicó thể đến
gặp gỡ và nói chuyện
04/13/23 Đỗ Hoàng Tuyên
04/13/23 Đỗ Hoàng Tuyên
Hướng Dẫn cấu hình SPY_NETĐăng kí một tên miền miễn phí hoặc có phí để
cập nhật địa chỉ ip của máy Attacker,nếu như máy Attacker dùng địa chỉ ip động(tự đăng kí-lên google search)
Cài đặt phần mềm để cập nhật địa chỉ ip lên domain mà Attacker đăng kí
Nat Modem để Spy-net truyền thông tin về chính xác của máy của Attacker(tự làm luôn nha)
Cấu hình Spy-net và tạo con Spy-Net để đưa vào máy của Vim
Thế là ok rồi đó ,chờ đợi và ….04/13/23 Đỗ Hoàng Tuyên
Cài đặt và cấu hình phần mềm cập nhật ip(Direct update)
Phần mềm sử dụng:Direct Update (cập nhật ip cho Domain)
Trong phần config bạn chỉ cần hình hai chỗ :o IP Detectionso DNS accounto click chuôt phải vào phần DNS account nhấp vào mục Create
New Account .bạn chú ý những phần bôi đỏ trên hình sau:o Điền thông tin lúc bạn đăng kí DNS
04/13/23 Đỗ Hoàng Tuyên
04/13/23 Đỗ Hoàng Tuyên
04/13/23 Đỗ Hoàng Tuyên
Cấu Hình SPY_NET
04/13/23 Đỗ Hoàng Tuyên
04/13/23 Đỗ Hoàng Tuyên
04/13/23 Đỗ Hoàng Tuyên
Một số tính năng hay của Spy-netSend file and ……: đây là tính năng rất hay
mà Hacker dùng nó gửi các mã độc cho VIM tấn công DOS mà VIM không hề hay biết
Remote DesktopKey LoggerDownload and Excute FileRun CommandService ListDOS prompt…………………
04/13/23 Đỗ Hoàng Tuyên
DemoGửi đoạn mã sang Vim để tấn công DOS vào
một máy nào đó Phương thức tấn công là dùng ping of Death
(cái này chỉ để test cho vui thôi)
04/13/23 Đỗ Hoàng Tuyên
Demo Botnet Cách sử dụng chương trình chat mIRC. Chức năng con bonet Wupdate. Mô hình dome.
Cách sử dụng chương trình chat mIRCMở ứng dụng chat mIRC, chọn server IRC mà
mình muốn kết nối tới.Sau khi kết nối tới server IRC, muốn chat với
một người nào đấy thì mình phải join vào một phòng chat(chanel), hoặc tự tạo cho mình một phong chat rồi mời mọi người vô chat:Lệnh: /join <#tên chanel> [<passwd chanel>]
Chức năng con bonet WupdateCon Wupdate luôn lắng nghe trên một host,
để nó biết sẽ connect tới server IRC nào, vào chanel nào.
Con Wupdate mình chỉ nghe lệnh của một nick.
Tự copy chính nó vào C:\WINDOWS\Resources\Themes\ để khởi động theo hệ thống.
Chạy ẩn trong task Manager.
Chức năng con bonet Wupdate(tt)Login <passwd> : đăng nhập vào con bot.Cmd <path> <command> : thực hiện một số
lệnh trong dos: ví dụ: cmd c:\ dirInfo : xem máy zombie chạy hđh gì, tên máy
tính, đăng nhập với user gìDdos <host> <path> : ra lệnh cho các
zombie gởi request liên tục đến <host>, truy xuất vào <path>.
Chức năng con bonet Wupdate(tt)Mgs <message> : gởi một thông điệp cho
zombie.Download <link> <dir> : download một file
từ <link> lưu tại <dir> và thực thi.Abort : dừng download.Rundos <command> : thực hiện một lệnh
trong dos tương tự như: startrun<command>
Chức năng con bonet Wupdate(tt)Pl : list các tiến trình đang chạy trên máy zombie.Kill : dừng một tiến trình đang chạy trên zombie.Webhide <link> : chạy ẩn một trang web.Shutdown : tắt máy zombie.Del <file> : xoa fileConectagain :cho các zombie thiết lập lại kết nối.Logout :cho tất cả bot thoát khỏi chanel.Run <file> : chạy file (file thực thi)
Mô hình demo Botnet
Mô hình của những ảnh minh họa sau
mIRC
Host để bot lắng nghe.Bot sẽ lắng nghe trên hosts
chukydientu.net/tnlb/Info.php, để nó biết là login vô server IRC nào, vào chanel nào.
Một số hình ảnh minh họa quá trình điều khiển bot
Một số hình ảnh minh họa quá trình điều khiển bot
Một số hình ảnh minh họa quá trình điều khiển botAttack ra lệnh
zombie
Một số hình ảnh minh họa quá trình điều khiển botAttack thực hiện tấn công ddos: cho các
zombie download file on.exe, file này sẽ gởi request theo giao thức http, gởi liên tục đến trang http://192.168.1.7/OnlineShoppingBC/
Một số hình ảnh minh họa quá trình điều khiển botVictim server web
http://192.168.1.7/OnlineShoppingBC/