Xem mẫu
- Nghiên cứu và tìm hiểu an ninh mạng
LỜI CẢM ƠN
SVTH: Lê Quang Hà 1
- Nghiên cứu và tìm hiểu an ninh mạng
MỤC LỤC
SVTH: Lê Quang Hà 2
- Nghiên cứu và tìm hiểu an ninh mạng
DANH MỤC VIẾT TẮT
DoS Denial of Service
SQL Structured Query Language - ngôn ngữ truy vấn mang tính
cấu trúc
XSS Cross-site scripting
HĐH Hệ điều hành
DDoS Distribute Denial of Service
ICQ Internet Chat Query
IRC Internet Relay Chat
ICMP Internet control message protocol
PDoS Permanent Denial of Service
LOIC Low Orbit Ion Cannon
HTTP Hyper Text Transfer Protocol
WMN Wireless Mesh Network
CNTT Công Nghệ Thông Tin
SVTH: Lê Quang Hà 3
- Nghiên cứu và tìm hiểu an ninh mạng
DANH MỤC HÌNH ẢNH
SVTH: Lê Quang Hà 4
- Nghiên cứu và tìm hiểu an ninh mạng
Bảo mật an ninh mạng hiện nay được đặt lên hàng đầu với bất kỳ công ty nào
có hệ thống mạng dù lớn hay nhỏ. Hiện nay, các hacker trong và ngoài nước luôn tìm
cách tấn công và xâm nhập hệ thống để lấy các thông tin nội bộ. Những thông tin
nhạy cảm thường ảnh hưởng tới sống còn của công ty. Chính vì vậy, các nhà quản trị
mạng luôn cố gắng bảo vệ hệ thống của mình tốt nhất có thể và cố gắng hoàn thiện
hệ thống mình để bớt lỗ hổng.
Tuy nhiên, một kiểu tấn công rất cổ điển là tấn công từ chối dịch vụ chưa bao
giờ mất đi tính nguy hiểm đối với hệ thống mạng. Hậu quả mà DoS gây ra không chỉ
tiêu tốn nhiều tiền bạc, và công sức mà còn mất rất nhiều thời gian để khắc phục.
DoS và DDoS vẫn đang là vấn đề nan giải chưa có biện pháp nào chống đ ược hoàn
toàn cuộc tấn công.
Với yêu cầu cấp thiết như vậy, em chọn đề tài “Nghiên cứu và tìm hiểu an
ninh mạng” làm đồ án An Ninh Mạng. Mục đích đưa ra khi làm đề tài là hiểu được
các kiểu tấn công và cách phòng chống DoS/ DDoS. Đồ án được viết dựa trên slide
CEH v7 và được chia làm 3 chương:
CHƯƠNG I: TỔNG QUAN AN NINH MẠNG
CHƯƠNG II: TẤN CÔNG TỪ CHỐI DỊCH VỤ
CHƯƠNG III: MỘT SỐ VÍ DỤ ĐIỂN HÌNH
Sinh viên thực hiện:
Lê Quang Hà
SVTH: Lê Quang Hà 5
- Nghiên cứu và tìm hiểu an ninh mạng
CHƯƠNG 1:...................................TỔNG QUAN VỀ AN NINH MẠNG
1. TỔNG QUAN THÔNG TIN BẢO MẬT
1.1. Sự kiện bảo mật của năm 2011
1.1.1. VietNamNet bị tấn công DDoS lớn chưa từng có
Trong vài ngày qua, báo VietNamNet đã phải hứng chịu một cuộc tấn công từ
chối dịch vụ phân tán (DDoS) ở quy mô lớn chưa từng có tại Việt Nam, xuất phát từ
một mạng lưới khổng lồ gồm hàng chục ngàn máy tính bị nhiễm vi rút.
Bắt đầu từ cuối ngày 4/1/2011, lưu lượng truy cập vào trang chủ báo
VietNamNet tại địa chỉ http://vietnamnet.vn tăng nhanh một cách bất thường, lên tới
hàng trăm ngàn kết nối tại một thời điểm.
Với lượng độc giả truy cập hàng ngày, số lượng kết nối tại một thời điểm chỉ
ở mức dưới một trăm ngàn. Nên việc tại một thời điểm có tới hàng trăm ngàn kết
nối liên tục (bao gồm cả của các độc giả thông thường) tới máy chủ web đã khiến
băng thông đường truyền mạng bị quá tải. Do vậy, độc giả truy cập vào báo
VietNamNet sẽ bị tắc nghẽn ngay từ đường truyền và báo lỗi không tìm thấy máy
chủ, phải truy cập vài lần mới mở được trang web.
Trên thực tế, báo VietNamNet đã từng bị tấn công DDoS nhiều lần nhưng ở
quy mô vài chục ngàn kết nối tại một thời điểm nên băng thông hệ thống và công
suất các máy chủ vẫn có thể chịu đựng được. Trong cuộc tấn công DDoS đang diễn
ra, kẻ thủ ác đã thể hiện khả năng rất chuyên nghiệp khi huy động một mạng lưới
botnet với lượng máy lên tới hàng chục ngàn máy tính.
1.1.2. "Hacktivism" nổi dậy
Hacktivism là thuật ngữ diễn tả hành động tấn công, đột nhập vào một hệ
thống máy tính nhằm mục đích chính trị. Trên thế giới hiện nay, những nhóm hacker
mang "mác" hacktivism nổi tiếng có thể kể đến bao gồm Anonymous, LulzSec (đã
gác kiếm), hay TeaMp0isoN. Trong suốt năm 2011 qua, các nhóm hacktivism đã tiến
hành nhiều hoạt động khác nhau chống lại các cơ quan luật pháp, ngân hàng, chính
phủ, các công ty bảo mật và những nhà cung cấp phần mềm như tấn công lỗ thủng
an ninh các hệ thống của Tổ chức Liên hiệp quốc (UN ), cơ quan tình báo bảo mật
Straffor, CIA…
- Nghiên cứu và tìm hiểu an ninh mạng
Đáng lưu ý hơn nữa, trong số những sự việc này, như cuộc tấn công Straffor,
đã tiết lộ những lỗ hổng về mặt an ninh như việc lưu trữ các số thẻ tín dụng dưới
hình thức chưa được mã hóa, hay những mật khẩu vô cùng thiếu an toàn đ ược các
nhà quản lý sử dụng.
1.1.3. Công ty cung cấp giải pháp bảo mật cho chính phủ Hoa Kỳ bị tấn công
Vào tháng 1-2011, những hacker thuộc Anonymous đã đột nhập máy chủ web
của HBGary Federal – hbgaryfederal.com – thông qua việc sử dụng những đoạn mã
SQL bất hợp pháp nhằm khai thác một lỗ hổng bảo mật tồn tại trong cơ sở dữ liệu
của một ứng dụng. Sau đó trích xuất mã MD5 cho các mật khẩu thuộc s ở h ữu
của giám đốc điều hành (CEO), Aaron Barr, và COO, Ted Vera. Cả hai đều dùng mật
khẩu rất đơn giản: 6 kí tự thường và 2 con số.
Những mật khẩu như thế này cho phép những kẻ tấn công tiếp cận vào những
tài liệu nghiên cứu của công ty và hàng chục ngàn email được lưu trữ trong Google
Apps. Như vậy, việc sử dụng những mật khẩu thiếu an toàn cho hệ thống phần
mềm cũ cộng với việc sử dụng điện toán đám mây đã gây ra cơn ác mộng đối với an
ninh bảo mật.
1.2. Các cuộc tấn công DDoS nổi tiếng trong lịch sử
- Năm 2000, một loạt website nổi tiếng như Yahoo, eBay, eTrade, Amazon và
CNN trở thành nạn nhân của DDoS.
- Tháng 2/2001, máy chủ của Cục tài chính Ireland bị một số sinh viên Đại học
Maynooth ở nước này tấn công DDoS.
- Ngày 15/8/2003, Microsoft chịu đợt tấn công DoS cực mạnh và làm gián đoạn
websites trong vòng 2 giờ.
- Tháng 2/2007, hơn 10.000 máy chủ của game trực tuyến như Return to Castle
Wolfenstein, Halo, Counter-Strike …bị nhóm RUS tấn công với hệ thống điều khiển
chủ yếu đặt tại Nga, Uzbekistan và Belarus.
- Trong suốt các tuần đầu của cuộc chiến Nam Ossetia 2008, các trang web của
chính phủ Georgia luôn trong tình trạng quá tải, gồm các trang web ngân hàng quốc
gia và của tổng thống Georgia Mikhail Saakashvili. Chính phủ Nga phủ nhận mọi sự
cáo buộc cho rằng họ đứng đằng sau vụ tấn công.
- Nghiên cứu và tìm hiểu an ninh mạng
- Ngày 25/6/2009 khi Michael Jackson qua đời, lượng truy cập tìm kiếm các từ
khóa có liên quan đến ca sĩ này quá lớn khiến Google News lầm tưởng đây là một
cuộc tấn công tự động.
- Tháng 8/2009, các vụ DDoS nhắm tới một loạt trang mạng xã hội đình đám
như Facebook, Twitter, LiveJournal và một số website của Google được thực hiện chỉ
để "khóa miệng" một blogger có tên Cyxymu ở Georgia
- Ngày 28/11/2010, WikiLeaks bị tê liệt vì DDoS ngay khi họ chuẩn bị tung ra
những tài liệu mật của chính phủ Mỹ.
- Ngày 7/12/2010, nhóm hacker có tên Anonymous đánh sập website Visa.com
sau khi tổ chức những cuộc tấn công tương tự vào Mastercard và PayPal để trả đũa
cho việc chủ WikiLeaks bị tạm giam ở Anh.
- Ngày 3/3/2011, dịch vụ blog nổi tiếng thế giới WordPress bị tấn công.
- Ngày 4/3/2011, 40 trang web của các cơ quan chính phủ Hàn Quốc bị tê liệt vì
DDoS.
2. KHÁI NIỆM HACKING
2.1. Khái niệm Hacker
Giỏi về lập trình và có kĩ năng trong hệ thống mạng.
Nên làm quen dần với việc nghiên cứu các lổ hỏng, các lỗi bảo mật.
Thành thạo,có hiểu biết về kĩ thuật xâm nhập.
Tự đặt cho mình một nguyên tắc, phải thật nghiêm khắc.
2.2. Các loại Hacker
2.2.1. Black Hat
Loại hacker này thường là một cá nhân có kiến thức, kĩ năng uyên thâm v ề
máy tính, luôn có ý nghĩ đen tối, sắp xếp và lên kế hoạch tấn công bất c ứ thứ gì tùy
mục đích. Black Hat cũng có thể là một cracker.
2.2.2. White Hat
Trắng ở đây có nghĩa là luôn làm việc trong sáng, minh bạch để chống l ại cái
ác, cái đen tối. Những người này cũng phải có kiến thức, kĩ năng uyên thâm nh ư
Black Hat, nhưng họ không dùng kiến thức đó để thực hiện những ý đồ đen tối là tấn
công,xâm nhập… mà họ là những người đi tìm ra lổ hổng và vá lổ hổng đó lại và họ
- Nghiên cứu và tìm hiểu an ninh mạng
luôn đặt phòng thủ lên hạng đầu. Có thể coi những người này như những người phân
tích bảo mật.
2.2.3. Gray Hat
Những người này có thể thực hiện ý đồ đen tối hôm nay nhưng ngày mai lại
giúp phòng thủ, bảo mật.
2.2.4. Suicide Hat
Đây có thể coi như là loại hacker cảm tử vậy, có nghĩa là làm việc mà không
sợ gì, dù có bị giam 30 năm nhưng vẫn không lo lắng sợ gì.
3. CÁC GIAI ĐOẠN TẤN CÔNG
Hình 1 Các giai đoạn tấn công
3.1. Thăm dò (Reconnaissace)
Thăm dò mục tiêu là một trong những bước qua trọng để biết những thông tin
trên hệ thống mục tiêu. Hacker sử dụng kỹ thuật này để khám phá hệ thống mục tiêu
đang chạy trên hệ điều hành nào, có bao nhiêu dịch vụ đang chạy trên các dịch vụ đó,
cổng dịch vụ nào đang đóng và cổng nào đang mở, gồm hai loại:
Passive: Thu thập các thông tin chung như vị trí địa lý, điện thoại, email
của các cá nhân, người điều hành trong tổ chức.
Active: Thu thập các thông tin về địa chỉ IP, domain, DNS,… của hệ
thống
3.2. Quét hệ thống (Scanning)
Quét thăm dò hệ thống là phương pháp quan trọng mà Attacker thường dùng
để tìm hiểu hệ thống và thu thập các thông tin như địa chỉ IP cụ thể, hệ điều hành
hay các kiến trúc hệ thống mạng. Một vài phương pháp quét thông dụng nh ư: quét
cổng, quét mạng và quét các điểm yếu trên hệ thống.
- Nghiên cứu và tìm hiểu an ninh mạng
3.3. Chiếm quyền điều khiển (Gainning access)
Đến đây hacker đã bắt đầu dần dần xâm nhập được hệ thống và tấn công
nó ,đã truy cập được nó bằng các lệnh khai thác. Các lệnh khai thác luôn ở bất c ứ
không gian nào, từ mạng LAN cho tới INTERNET và đã lan rộng ra mạng không dây.
Hacker có thể chiếm quyền điều khiển tại:
Mức hệ điều hành/ mức ứng dụng.
Mức mạng.
Từ chối dịch vụ.
3.4. Duy trì điều khiển hệ thống (Maitaining access)
Đến đây hacker bắt đầu phá hỏng làm hại, hoặc có thể cài trojan, rootkit,
backdoor để lấy thông tin thêm. Thường được thấy sử dụng để đánh cắp tài khoản
tín dụng, ngân hàng...
3.5. Xoá dấu vết (Clearning tracks)
Được đề cập đến hoạt động được thực hiện bằng cách hacker cố tình che
dấu hành động xâm nhập của mình. Hacker phải tìm cách xóa đi dấu vết mỗi khi đột
nhập bằng các phương thức như Steganography, tunneling, and altering log file.
4. CÁC KIỂU TẤN CÔNG
4.1. Operating System Attacks
Tấn công vào hệ điều hành, hệ thống. Thường thì việc mặc định cài đặt một
hệ thống có một số lượng lớn các dịch vụ cùng chạy và các cổng kết nối. Điều này
sẽ làm kẻ tấn công có nhiều cơ hội tấn công hơn. Tìm ra các bản vá lỗi dường nh ư
khó khăn trong một hệ thống mạng phức tạp như ngày nay. Hacker luôn tìm kiếm các
hệ điều hành, nghiên cứu các lệnh khai thác lổ hỏng để truy cập, xâm nhập hệ
thống.
4.2. Application level Attacks
Tấn công dựa trên những phần mềm ứng dụng. Những kiểu tấn công như: tấn
công tràn bộ đệm, tấn công XSS, DoS, tấn công SQL injection,…
4.3. Shrink Wrap Code Attacks
Khi cài đặt một HĐH nào đó thì có một số lượng cực lớn các tập tin làm việc
và sẽ hoàn chỉnh một HĐH, khi đó việc quản trị HĐH đó là việc đơn giản. Nhưng
- Nghiên cứu và tìm hiểu an ninh mạng
vấn đề ở đây là bạn không điều khiển hay tùy biến, chỉnh sửa tập lệnh này. Các tập
tin độc này sẽ đè lên các tập tin mặc định.
4.4. Misconfiguration Attacks
Tấn công dựa vào các lỗi cấu hình hệ thống
Do hệ thống cấu hình không chính xác ít được bảo mật.
Hệ thống phức tạp nên admin không có đủ hết kỹ năng để fix hết lỗi.
Đa số admin chọn cấu hình default để dễ làm điều này dễ dẫn đến
việc hacker khai thác.
Do đó phải config hệ thống chính xác, bỏ những dịch vụ và các phần mềm
không cần thiết
- Nghiên cứu và tìm hiểu an ninh mạng
CHƯƠNG 2:.............................................................TỪ CHỐI DỊCH VỤ
5. KHÁI NIỆM DOS
5.1. Tấn công từ chối dịch vụ
Tấn công từ chối dịch vụ là kiểu tấn công vào máy tính hoặc một mạng đ ể
ngăn chặn sự truy cập hợp pháp.
Trên kiểu tấn công DoS, attackers làm tràn ngập hệ thống của victim với
luồng yêu cầu dịch vụ không hợp pháp làm quá tải nguồn (Server), ngăn chặn server
thực hiện nhiệm vụ hợp lệ.
5.2. Tấn công từ chối dịch vụ phân tán
Tấn công từ chối dịch vụ phân tán hay DDoS bao gồm các thỏa hiệp của hệ
thống để tấn công mục tiêu duy nhất, là nguyên nhân người sử dụng bị t ừ chối d ịch
vụ của hệ thống.
Để khởi động một cuộc tấn công DDoS, một kẻ tấn công sử dụng botnet và
tấn công một hệ thống duy nhất.
5.3. Dấu hiệu khi bị tấn công DoS
Thông thường thì hiệu suất mạng sẽ rất chậm.
Không thể sử dụng website.
Không truy cập được bất kỳ website nào.
Tăng lượng thư rác nhanh chóng.
5.4. Các mục đích của tấn công DoS
- Cố gắng chiếm băng thông mạng và làm hệ thống mạng bị ngập (flood), khi
đó hệ thống mạng sẽ không có khả năng đáp ứng những dịch vụ khác cho người
dùng bình thường.
- Cố gắng làm ngắt kết nối giữa hai máy, và ngăn chặn quá trình truy cập vào
dịch vụ.
- Cố gắng ngăn chặn những người dùng cụ thể vào một dịch vụ nào đó.
- Cố gắng ngăn chặn các dịch vụ không cho người khác có khả năng truy cập
vào.
- Khi tấn công DoS xảy ra người dùng có cảm giác khi truy cập vào dịch vụ đó
như bị:
+ Tắt mạng .
- Nghiên cứu và tìm hiểu an ninh mạng
+ Tổ chức không hoạt động.
+ Tài chính bị mất.
5.5. Tội phạm mạng
Tội phạm mạng ngày càng được liên kết với các tập đoàn tội phạm có tổ
chức để tận dụng lợi thế của các kỹ thuật tinh vi của họ. Những nhóm có tổ chức
tội phạm mạng làm việc trênhệ thống thiết lập thứ bậc với một mô hình chia sẻ
doanh thu, giống như một tập đoàn lớn cung cấp các dịch vụ phạm tội .
Nhóm tổ chức tạo ra và thuê botnet để cung cấp các dịch vụ khác nhau, từ việc
viết phần mềm độc hại, tấn công các tài khoản ngân hàng, để tạo ra tấn công DoS
lớn đối với bất kỳ mục tiêu với một mức giá.
Theo Verizon 2010 dữ liệu báo cáo điều tra vi phạm, phần lớn các vi phạm đã
điều khiển bởi các nhóm có tổ chức và hầu như tất cả các dữ liệu bị đánh cắp (70%)
là công việc của bọn tội phạm tổ chức bên ngoài.
Sự tham gia ngày càng tăng của tổ chức tội phạm chiến tranh mạng với động
cơ chính trị (hacktivism) là một vấn đề quan tâm cho các cơ quan an ninh quốc gia.
5.6. Sơ đồ tổ chức của tổ chức tội phạm mạng
Hình 2 Sơ đồ tổ chức tội phạm mạng
5.7. Internet Chat Query
ICQ là chat client được dùng để chat với mọi người
- Nghiên cứu và tìm hiểu an ninh mạng
Hoạt động:
Nó gán một số định danh phổ cập xác định người dùng duy nhất giữa
những người sử dụng ICQ.
Khi một người sử dụng ICQ kết nối với Internet, ICQ khởi động và cố
gắng để kết nối với máy chủ Mirabilis (Mirabilis là công ty phát triển
ICQ), là nơi cơ sở dữ liệu chứa thông tin của tất cả người dùng ICQ.
Tại máy chủ Mirabilis, ICQ tìm kiếm yêu cầu số UIN bên trong cơ sở
dữ liệu của nó (một loại điện thoại của thư mục), và cập nhật thông
tin.
Bây giờ người dùng có thể liên hệ với người bạn của mình bởi vì ICQ
biết địa chỉ IP.
5.8. Internet Relay Chat
IRC là hệ thống để trò chuyện bao gồm thiết lập nguyên tắc, quy ước và phần
mềm client/server. Nó cho phép chuyển hướng kết nối máy tính tới máy tính với mục
đích dễ dàng chia sẽ giữa clients.
Một vài website (như là Talk City) hoặc mạng IRC (như là Undernet) cung cấp
server và hỗ trợ người sử dụng tải IRC clients tới PC của họ. Sau khi người sử dụng
tải ứng dụng client, họ bắt đầu chat nhóm (gọi là kênh) hoặc gia nhập một nhóm có
trước.
Kênh IRC đang được ưu chuộng là #hottub và #riskybus. Giao thức IRC dùng
giao thức điều khiển truyền vận (có thể dùng IRC qua telnet client), thông thường
dùng port 6667.
6. KỸ THUẬT TẤN CÔNG DOS
6.1. Tấn công băng thông
Tấn công băng thông nhằm làm tràn ngập mạng mục tiêu với những traffic
không cần thiết, với mục địch làm giảm tối thiểu khả năng của các traffic hợp lệ
đến được hệ thống cung cấp dịch vụ của mục tiêu.
Có hai loại BandWith Depletion Attack:
+ Flood attack: Điều khiển các Agent gởi một lượng lớn traffic đến hệ thống
dịch vụ của mục tiêu, làm dịch vụ này bị hết khả năng về băng thông.
- Nghiên cứu và tìm hiểu an ninh mạng
+ Amplification attack: Điều khiển các agent hay client tự gửi message đến
một địa chỉ IP broadcast, làm cho tất cả các máy trong subnet này gửi message đến hệ
thống dịch vụ của mục tiêu. Phương pháp này làm gia tăng traffic không cần thiết,
làm suy giảm băng thông của mục tiêu.
6.2. Tấn công tràn ngập yêu cầu dịch vụ
Một kẻ tấn công hoặc nhóm zombie cố gắng làm cạn kiệt tài nguyên máy chủ
bằng cách thiết lập và phá hủy các kết nối TCP. Nó bắt đầu gửi yêu cầu trên tất cả
kết nối và nguồn gốc từ server kết nối tốc độ cao.
6.3. Tấn công tràn ngập SYN
Transfer Control Protocol hỗ trợ truyền nhận với độ tin cậy cao nên sử dụng
phương thức bắt tay giữa bên gởi và bên nhận trước khi truyền dữ liệu. Bước đầu
tiên, bên gửi gởi một SYN REQUEST packet (Synchronize). Bên nhận nếu nhận
được SYN REQUEST sẽ trả lời bằng SYN/ACK REPLY packet. Bước cuối cùng,
bên gửi sẽ truyền packet cuối cùng ACK và bắt đầu truyền dữ liệu.
Nếu bên server đã trả lời một yêu cầu SYN bằng một SYN/ACK REPLY nhưng
không nhận được ACK packet cuối cùng sau một khoảng thời gian quy định thì nó sẽ
resend lại SYN/ACK REPLY cho đến hết thời gian timeout. Toàn bộ tài nguyên hệ
thống “dự trữ” để xử lý phiên giao tiếp nếu nhận được ACK packet cuối cùng sẽ bị
“phong tỏa” cho đến hết thời gian timeout.
Nắm được điểm yếu này, attacker gởi một SYN packet đến nạn nhân với đ ịa
chỉ bên gởi là giả mạo, kết quả là nạn nhân gởi SYN/ACK REPLY đến một địa chỉ
khác và sẽ không bao giờ nhận được ACK packet cuối cùng, cho đến hết thời gian
timeout nạn nhân mới nhận ra được điều này và giải phóng các tài nguyên hệ thống.
Tuy nhiên, nếu lượng SYN packet giả mạo đến với số lượng nhiều và dồn dập, hệ
thống của nạn nhân có thể bị hết tài nguyên.
- Nghiên cứu và tìm hiểu an ninh mạng
Hình 2 Tấn công tràn ngập SYN
6.4. Tấn công tràn ngập ICMP
Kiểu tấn công ICMP là thủ phạm gửi số lượng lớn của gói tin giả mạo địa chỉ
nguồn tới server đích để phá hủy nó và gây ra ngừng đáp ứng yêu cầu TCP/IP.
Sau khi đến ngưỡng ICMP đạt đến, các router từ chối yêu cầu phản hồi
ICMP từ tất cả địa chỉ trên cùng vùng an toàn cho phần còn lại.
Hình 2 Tấn công tràn ngập ICMP
- Nghiên cứu và tìm hiểu an ninh mạng
6.5. Tấn công điểm nối điểm
Dùng điểm nối điểm để tấn công, kẻ tấn công chỉ đạo clients của mô hình
điểm nối điểm chia sẽ file trung tâm gây ngắt kết nối từ mạng của họ và kết nối tới
website giả mạo của victim.
Kẻ tấn công khai thác lỗ hổng tìm thấy trên mạng dùng giao thức DC++(kết
nối trực tiếp), cho phép hoán đổi file giữa các tin nhắn clients ngay lập tức.
Dùng phương pháp này, kẻ tấn công chạy tấn công DoS rất lớn và làm hại
website.
6.6. Tấn công cố định DoS
Tấn công cố định DoS hay PDoS còn được gọi như phlashing, là một cuộc tấn
công gây tổn thương một hệ thống nhiều đến n ổi nó đòi hỏi phải thay thế hoặc cài
đặt lại phần cứng, Không giống như các cuộc tấn công DDoS, PDoS một cuộc tấn
công khai thác lỗ hổng bảo mật cho phép quản trị từ xa trên các giao diện quản lý
phần cứng của nạn nhân, chẳng hạn như router, máy in, hoặc phần cứng mạng khác.
Tấn công thực hiện dùng phương pháp như "xây dựng hệ thống”. Dùng
phương pháp này, kẻ tấn công gửi cập nhập phần cứng lừa đảo tới victim.
6.7. Tấn công tràn ngập ở cấp độ dịch vụ
Tấn công làm tràn ở cấp độ ứng dụng là kết quả mất dịch vụ của mạng đ ặc
biệt như là: email, tài nguyên mạng, tạm thời ngừng ứng dụng và dịch vụ,... Dùng
kiểu tấn công này, kẻ tấn công phá hủy mã nguồn chương trình và file làm ảnh
hưởng tới hệ thống máy tính.
Tấn công làm tràn ngập ở cấp độ ứng dụng, kẻ tấn công cố gắng:
Tràn ngập ứng dụng web tới lưu lượng người sử dụng hợp lệ.
Ngắt dịch vụ cụ thể của hệ thống hoặc con người.
Làm tắt nghẽn cơ sở dữ liệu của ứng dụng kết nối bằng truy vấn thủ
công nguy hiểm SQL.
7. MẠNG BOTNET
7.1. Khái niệm botnet
Botnet là từ chỉ một tập hợp các rô bôt phần mềm hoặc các con bot hoạt động
một cách tự chủ. Từ này còn được dùng để chỉ một mạng các máy tính sử dụng phần
mềm tính toán phân tán.
- Nghiên cứu và tìm hiểu an ninh mạng
7.2. Hoạt động
Tuy từ "botnet" có thể dùng để chỉ một nhóm bot bất kỳ, chẳng hạn IRC bot,
từ này thường được dùng để chỉ một tập hợp các máy tính đã bị tấn công và thỏa
hiệp và đang chạy các chương trình độc hại, thường là sâu máy tính, trojan horse hay
backdoor, dưới cùng một hạ tầng cơ sở lệnh và điều khiển. Một chương trình chỉ
huy botnet có thể điều khiển cả nhóm bot từ xa, thường là qua một phương tiện
chẳng hạn như IRC, và thường là nhằm các mục đích bất chính. Mỗi con bot thường
chạy ẩn và tuân theo chuẩn RFC 1459 (IRC). Thông thường, kẻ tạo botnet trước đó
đã thỏa hiệp một loạt hệ thống bằng nhiều công cụ đa dạng (tràn bộ nhớ đ ệm, ...).
Các bot mới hơn có thể tự động quét môi trường của chúng và tự lan truyền bản thân
bằng cách sử dụng các lỗ hổng an ninh và mật khẩu yếu. Nếu một con bot có th ể
quét và tự lan truyền qua càng nhiều lỗ hổng an ninh, thì nó càng trở nên giá trị đối
với một cộng đồng điều khiển botnet.
Hình 2 Hoạt động botnet
Các botnet đã trở nên một phần quan trọng của Internet, tuy chúng ngày càng
ẩn kĩ. Do đa số các mạng IRC truyền thống thực hiện các biện pháp cấm truy nh ập
đối với các botnet đã từng ngụ tại đó, những người điều khiển botnet phải tự tìm các
server cho mình. Một botnet thường bao gồm nhiều kết nối, chẳng hạn quay số,
ADSL và cáp, và nhiều loại mạng máy tính, chẳng hạn mạng giáo dục, công ty, chính
phủ và thậm chí quân sự. Đôi khi, một người điều khiển giấu một cài đặt IRC server
trên một site công ty hoặc giáo dục, nơi các đường kết nối tốc độ cao có thể hỗ tr ợ
một số lớn các bot khác. Chỉ đến gần đây, phương pháp sử dụng bot đ ể chỉ huy các
- Nghiên cứu và tìm hiểu an ninh mạng
bot khác mới phát triển mạnh, do đa số hacker không chuyên không đủ kiến thức đ ể
sử dụng phương pháp này.
7.3. Tổ chức
Các server botnet thường liên kết với nhau, sao cho một nhóm có thể chứa từ
20 máy riêng biệt tốc độ cao đã bị phá hoại, các máy này nối với nhau với vai trò các
server nhằm mục tiêu tạo môi trường dư thừa lớn hơn. Các cộng đồng botnet thực tế
thường bao gồm một hoặc nhiều người điều khiển - những người tự coi là có quyền
truy nhập hợp lệ tới một nhóm bot. Những điều khiển viên này hiếm khi có các hệ
thống chỉ huy phân cấp phức tạp trong họ; họ dựa vào các quan hệ thân hữu cá nhân.
Mâu thuẫn thường xảy ra giữa những điều khiển viên về chuyện ai có quyền đối với
máy nào, và những loại hành động nào là được phép hay không được phép làm.
7.4. Xây dựng và khai thác
Ví dụ này minh họa cách thức một botnet được tạo và dùng để gửi thư rác
(spam).
1. Một điều phối viên botnet phát tán virus hoặc sâu máy tính, làm nhiễm
các máy tính cá nhân chạy Windows của những người dùng bình
thường, dữ liệu của virus hay sâu đó là một ứng dụng trojan -- con bot.
2. Tại máy tính bị nhiễm, con bot đăng nhập vào một server IRC nào đó
(hay là một web server). Server đó được coi là command-and-control
server (C&C).
3. Một người phát tán spam mua quyền truy nhập botnet từ điều phối viên.
4. Người phát tán spam gửi các lệnh qua IRC server tới các máy tính bị
nhiễm, làm cho các máy tính này gửi các thông điệp rác tới các máy chủ
thư điện tử.
Hình 2 Cách thức một botnet được tạo và gửi spam
- Nghiên cứu và tìm hiểu an ninh mạng
Các botnet được khai thác với nhiều mục đích khác nhau, trong đó có các tấn
công từ chối dịch vụ, tạo và lạm dụng việc gửi thư điện tử để phát tán thư rác (xem
Spambot), click fraud, và ăn trộm các số serial của ứng dụng, tên đăng nhập, và các
thông tin tài chính quan trọng chẳng hạn như số thẻ tín dụng.
Cộng đồng điều khiển botnet luôn có một cuộc đấu tranh liên tục về việc ai
có được nhiều bot nhất, nhiều băng thông nhất, và số lượng lớn nhất các máy tính
"chất lượng cao" bị nhiễm, chẳng hạn như máy tính tại trường đại học, các công ty,
hay thậm chí cả trong các cơ quan chính phủ.
8. MỘT SỐ CÔNG CỤ TẤN CÔNG
8.1. LOIC
LOIC là ứng dụng tấn công từ chối dịch vụ, được viết bằng C#. Loic thực
hiện tấn công từ chối dịch vụ tấn công (hoặc khi được sử dụng bởi nhiều cá nhân,
một cuộc tấn công DDoS) trên một trang web mục tiêu làm lũ lụt các máy chủ với các
gói tin TCP hoặc UDP với ý định làm gián đoạn dịch vụ của một máy chủ cụ thể.
Công cụ LOIC là một botnet tình nguyện kết nối đến một máy chủ từ xa
mà chỉ đạo các cuộc tấn công. Hiện nay, có 40.000 người kết nối với botnet.
Hình 2 Công cụ LOIC
nguon tai.lieu . vn