DoS Attack

MỤC LỤC I. GIỚI THIỆU ............................................................ 2 1.1 Khái niệm ....................................................................................... 2 1.2 Lịch sử của DoS attack .................................................................. 2 II. PHÂN LOẠI ............................................................ 4 2.1 Winnuke......................................................................................... 4 2.2 Ping of Death ................................................................................. 4 2.3 Teardrop ........................................................................................ 5 2.4 Smurt Attack ................................................................................. 6 2.5 Fraggle Attack ............................................................................... 8 2.6 SYN flood Attack............................................................................ 8 2.7 Land Attack.................................................................................. 12 2.8 UDP Flood .................................................................................... 13 2.9 Tấn công DNS .............................................................................. 13 2.10 DDoS Attack ............................................................................... 13 2.11 DRDoS Attack ............................................................................ 14 III.CÁC CÔNG CỤ TẤN CÔNG DoS PHỔ BIẾN ........... 15 IV. BIỆN PHÁP PHÒNG CHỐNG DoS ATTACK ........... 21 4.1 Chính sách chung phòng chống DoS Attack................................ 21 4.2 Các kỹ thuật Anti – DDoS ............................................................ 23 V. TỔNG KẾT ............................................................. 25 NHẬN XÉT CỦA GIẢNG VIÊN .................................... 26 1 I. GIỚI THIỆU 1.1 Khái niệm Denial of Service Attack là một dạng tấn công mà người thực hiện có thể dung để khiến cho một hệ thống không sử dụng được hoặc làm chậm hệ thống lại, khiến nó không thể phục vụ cho các users. Nguyên lý hoạt động cơ bản của nó là làm quá tải tài nguyên của hệ thống. Mục tiêu của DoS Attack không phải là để chiếm quyền truy cập vào máy tính hay dữ liệu mà là để ngăn cản những người sử dụng (users) sử dụng dịch vụ đó (sử dụng máy tính hay truy cập dữ liệu) Kẻ tấn công có thể cố thực hiện những việc sau: - Làm ngập (flood) một network, do vậy sẽ làm nghẽn việc lưu thông trên network đó - Làm gián đoạn sự kết nối giữa hai máy tính, do vậy sẽ ngăn cản việc truy cập, sử dụng dịch vụ - Cố gắng ngăn chặn một cá nhân nào đó truy cập, sử dụng dịch vụ - Cố gắng làm gián đoạn việc cung cấp dịch vụ đến một hệ thống hay một người nào đó 1.2 Lịch sử của DoS attack Tấn công DoS đã có cuối những năm 90 của thế kỷ trước. Hoạt động này bắt nguồn từ khi một số chuyên gia bảo mật, trong quá trình phát hiện khiếm khuyết hệ thống trên hệ điều hành Windows 98, đã phát hiện ra rằng chỉ cần gửi một gói dữ liệu ping có dung lượng lớn cũng đủ để làm tê liệt một server mục tiêu. Phát hiện này sau đó ngay lập tức được giới hacker sử dụng để triệt tiêu những đối tượng mà họ có ý định tấn công. Từ đây, hình thức sơ khai của DoS (Denial of Service) đã ra đời. Trong khi đó, dạng DDoS (Distributed Denial of Service) thì dựa vào việc gửi một lệnh ping tới một danh sách gồm nhiều server (kiểu này gọi là amplifier, tức là khuếch đại độ rộng mục tiêu), giả dạng là một gói ping để địa chỉ IP gốc được trá hình với IP của mục tiêu nạn nhân. Các server khi trả lời yêu cầu ping này khi đó sẽ làm “lụt” nạn nhân với những phản hồi (answer) gọi là pong. Cách hoạt động: Một lệnh truy cập được gửi tới server. Server xác thực và rồi chờ lệnh đó khẳng định việc xác thực nói trên trước khi cho phép máy tính của người sử dụng truy nhập. Trong các cuộc tấn công DDoS, server bị ngập bởi các lệnh truy cập của một lượng kết nối khổng lồ từ những địa chỉ không có thực và điều đó có nghĩa là server không thể tìm thấy người sử dụng có nhu cầu truy cập đích thực. Khi số lệnh truy cập lớn quá, server bị lụt và không thể xử lý được số lệnh mà nó đang được yêu cầu giải quyết. Một số loại virus và sâu mạng cũng đã gây tấn công DDoS. Các trường hợp đầu tiên là những virus phát tán e-mail số lượng lớn như Loveletter, Melissa, làm lụt mail server khiến các máy chủ không thể xử lý những yêu cầu hợp lệ. Hiện nay, nhiều loại sâu Internet lợi dụng lỗi trong máy tính (ví dụ virus Sasser năm 2004) để làm lụt các máy tính chạy Windows có khiếm khuyết, khiến PC không thể tải về các bản vá lỗi. 2 Nói chung, kẻ tấn công thường khống chế một máy tính từ xa bằng cách khai thác một khiếm khuyết nào đó. Máy tính này (về sau sẽ trở thành mầm của mạng lưới máy tính bị khống chế phục vụ tấn công DDoS, gọi là botnet) sẽ được cài đặt một quy trình ẩn nhằm đảm bảo nó luôn được kết nối trong một phòng chat bí mật, nơi mà tác giả ra lệnh cho nó. Máy tính này cũng đồng thời tìm cách quét trên Internet để tìm những computer khác có lỗ hổng, lây nhiễm phần mềm điều khiển từ xa vào chúng để tất cả những máy mới bị không chế sẽ cùng gia nhập vào chatroom nói trên và sẵn sàng nhận lệnh của hacker hoặc tham gia tìm kiếm trên Internet những PC có lỗi khác. Nói chung, chỉ trong vài ngày, mạng máy tính ma này sẽ tăng từ một cái lên hàng trăm hoặc hàng nghìn thành viên. Đến thời điểm lực lượng này đủ hùng hậu, chúng sẽ đồng loạt được sử dụng để thực hiện lệnh tấn công vào mục tiêu theo ý muốn của tác giả. Mục tiêu sẽ biến mất khỏi mạng, tức là offline hoàn toàn. Đồng thời tất cả những hoạt động tương tác trên môi trường Internet của nạn nhân cũng ngừng luôn. Một dạng riêng nguy hiểm hơn của DoS attack là DDoS (Distributed Denial of Service) attack DDoS attack là dạng tấn công trong đó nhiều hệ thống tấn công một hệ thống duy nhất, khiến users của hệ thống mục tiêu không thể sử dụng dịch vụ. Luồng dữ liệu được gửi tới quá lớn sẽ làm ngập (flood) hệ thống mục tiêu nhanh chóng, buộc nó phải shutdown và ngưng cung cấp dịch vụ cho người sử dụng. DDoS attack nguy hiểm hơn DoS attack thông tường vì nó là tấn công trên diện rộng (large-scale) , có sự phối hợp (coordinated) trong đó hệ thống bị tấn công là “nạn nhân chính” còn những hệ thống bị hacker dùng để triển khai tấn công vào hệ thống mục tiêu là “nạn nhân phụ”. Điều này cũng làm DDoS khó ngăn chặn hơn vì việc tấn công xuất phát từ nhiều địa chỉ IP khác nhau, và nó dễ thành công hơn DoS attack thông thường (ví dụ như một địa chỉ IP tấn công vào website của một công ty, nó có thể dễ dàng bị ngăn chặn bởi các biện pháp an ninh của công ty này, nhưng nếu 30000 địa chỉ IP cùng tấn công vào công ty này trong một lúc thì lại là chuyện khác) • 1998 Chương trình Trinoo Distributed Denial of Service (DDoS) được viết bởi Phifli. • Tháng 5 – 1999 Trang chủ của FBI đã ngừng họat động vì cuộc tấn công bằng (DDOS) • Tháng 6 – 1999 Mạng Trinoo đã được cài đặt và kiểm tra trên hơn 2000 hệ thống. • Cuối tháng 8 đầu tháng 9 năm 1999, Tribal Flood Network đầu tiiên ra đời, Chương trình được Mixter Phát triển. • Cuối tháng 9 năm 1999, Công cụ Stacheldraht đã bắt đầu xuất hiện trên những hệ thống của Châu âu và Hoa kỳ. • Ngày 21 tháng 10 năm 1999 David Dittrich thuộc trường đại học Washington đã làm những phân tích về công cụ tấn công từ chối dịch vụ • Ngày 21 tháng 12 năm 1999 Mixter phát hành Tribe Flood Network 2000 ( TFN2K ). • 10 : 30 / 7 – 2 -2000 Yahoo! ( Một trung tâm nổi tiếng ) đã bị tấn công từ chối dịch vụ và ngưng trệ hoạt động trong vòng 3 giờ đồng hồ. Web site Mail Yahoo và GeoCities đã bị tấn công từ 50 địa chỉ IP khác nhau với nhửng yêu cầu chuyễn vận lên đến 1 gigabit /s. • 8 -2 nhiều Web site lớn như Buy.com, Amazon.com, eBay, Datek, MSN, và CNN.com bị tấn công từ chối dịch vụ. 3 • Lúc 7 giờ tối ngày 9-2/2000 Website Excite.com là cái đích của một vụ tấn công từ chối dịch vụ, dữ liệu được luân chuyễn tới tấp trong vòng 1 giờ cho đến khi kết thúc, và gói dữ liệu đó đã hư hỏng nặng. • Qua đó ta có thể thấy rõ những vụ tấn công từ chối dịch vụ (Denial Of Services Attack) và những cuộc tấn công về việc gửi nhửng gói dữ liệu tới máy chủ (Flood Data Of Services Attack) tới tấp là những mối lo sợ cho nhiều mạng máy tính lớn và nhỏ hiện nay. • Khi một mạng máy tính bị Hacker tấn công nó sẽ chiếm một lượng lớn tài nguyên trên server như dung lượng ổ cứng, bộ nhớ, CPU, băng thông …. Lượng tài nguyên này tùy thuộc vào khả năng huy động tấn công của mỗi Hacker. Khi đó Server sẽ không thể đáp ứng hết những yêu cầu từ những client của những người sử dụng và từ đó server có thể sẽ nhanh chóng bị ngừng hoạt động, crash hoặc reboot. II. PHÂN LOẠI Tấn công từ chối dịch vụ có rất nhiều dạng như Ping of Death, Teardrop, Aland Attack, Winnuke, Smurf Attack, UDP/ICMP Flooding, TCP/SYN Flooding, Attack DNS. 2.1 Winnuke: DoS attack loại này chỉ có thể áp dụng cho các máy tính đang chạy Windows9x . Hacker sẽ gởi các gói tin với dữ liệu ``Out of Band`` đến cổng 139 của máy tính đích.( Cổng 139 chính là cổng NetBIOS, cổng này chỉ chấp nhận các gói tin có cờ Out of Band được bật ) . Khi máy tính của victim nhận được gói tin này, một màn hình xanh báo lỗi sẽ được hiển thị lên với nạn nhân do chương trình của Windows nhận được các gói tin này nhưng nó lại không biết phản ứng với các dữ liệu Out Of Band như thế nào dẫn đến hệ thống sẽ bị crash. 2.2 Ping of Death: Ping of death (POD) là send 1 gói ping malformed tới máy tính đích. 1 gói ping thông thường là 64 bytes (84 bytes nếu tính đến IP header). Nhiều hệ thống máy tính không thể xu li được 1 gói ping lớn hơn kích cỡ gói IP lớn nhất (2^16-1=65,535 bytes), vì vậy send gói ping với kích cỡ lớn như vậy có thể làm crash máy tính đích. 4 Nói chung, send 1 gói ping có kích cỡ quá lớn là bất hợp pháp về mặt giao thức mạng nhưng có thể thực hiện được nếu chia gói ping ra làm nhiều phần (phân mảnh - fragment) để gởi đi. Khi máy tính đích nhận được gói ping đã bị phân mảnh nó phải hợp lại các mảnh đó thành gói ban đầu, việc này có thể gây ra lỗi tràn bộ đệm và làm crash máy tính đích. Ping of death ảnh hưởng rất lớn đến các hệ điều hành như Unix, Linux, Mac, Windows và các thiết bị như printer và router. Bạn có thể thực hiện ping of Death trong linux bằng cách dùng lệnh “ping –f –x 65537 ”. Chú ý từ khóa –f. Từ khóa này ra lệnh cho máy gửi ra các gói tin càng nhanh càng tốt. Tấn công PofD thường không chỉ là tổng lưu lượng hay kích thước lưu lượng mà còn là tốc độ mà ở đó gói tin gửi đến máy đích. Bạn có thể thực hiện các công cụ sau để thực hiện tấn công Ping of Death. • Jolt • SPing • ICMP Bug • IceNewk Khoảng năm 1997-1998, lỗi nãy đã được fix, vì vậy bây giờ nó chỉ mang tính lịchsử. Đối với các máy chưa fix lỗi nếu tổng của 2 "trường": "Fragment Offset" and "Total length" trong IP header của mỗi IP fragment lớn hơn 65,535 thì packet bất hợp lệ và IP fragment bị bỏ qua --> có thể thực hiện bằng cách cấu hình Firewall. Cách khác là dùng vùng nhớ đệm có kích thước > 65,535 bytes cho việc "hợp gói", tuy nhiên điều này vi phạm các đặc tả của giao thức mạng. Ping flooding: dùng lệnh Ping gởi 1 lượng lớn packet chiếm hết băng thông của victim khiến các gói tin bình thường không đến được.Chỉ có hiệu quả khi có sự chênh lệc băng thông lớn giữa hacker và victim. Ví dụ: ADSL vs Dial 2.3 Tear Drop: Tất cả các dữ liệu chuyển đi trên mạng từ hệ thống nguồn đến hệ thống đích đều phải trải qua 2 quá trình sau: dữ liệu sẽ được chia ra thành các mảnh nhỏ ở hệ thống nguồn, mỗi mảnh đều phải có một giá trị offset nhất định để xác định vị trí của mảnh đó trong gói dữ liệu được chuyển đi. Khi các mảnh này đến hệ thống đích, hệ thống đích sẽ dựa vào giá trị offset để sắp xếp các mảnh lại với nhau theo thứ tự đúng như ban đầu. Ví dụ, có một dữ liệu gồm 4000 bytes cần được chuyển đi, giả sử rằng 4000 bytes này được chia thành 3 gói nhỏ(packet): packet thứ nhất sẽ mang các 1bytes dữ liệu từ 1 đến 1500 packet thứ hai sẽ mang các bytes dữ liệu từ 1501 đến 3000 packet thứ ba sẽ mang các bytes dữ liệu còn lại, từ 3001 đến 4000 Khi các packets này đến đích, hệ thống đích sẽ dựa vào offset của các gói packets để sắp xếp lại cho đúng với thứ tự ban đầu: packet thứ nhất -> packet thứ hai -> packet thứ ba Trong tấn công Teardrop, một loạt gói packets với giá trị offset chồng chéo lên nhau được gởi đến hệ thống đích. Hệ thống đích sẽ không thể nào sắp xếp lại các packets này, nó không điều khiển 5 ... - tailieumienphi.vn