DOS/DDOS
SV1 : 08520234_Phạm Nhật Minh
SV2 : 08520358_Đỗ Công Thành
SV3 : 08520279_Lê Ngọc Phi
SV4 : 08520092_Lê Phước Đông
Mục lục
I. Lý thuyết :
1. Tấn công DOS :
1.1. tấn công slow read
- Trong phần này em xin giới thiệu về tấn công Slow Read Denial of Service attack là một loại
tấn công DOS dựa vào lỗ hổng của dịch vụ http trên server bị tấn công.
- Cuộc tấn công khai thác một lỗ hổng mà hầu như các máy chủ web server mắc phải là
không hạn chế thời gian kết nối của một luồng dữ liệu đi vào. Với khả năng kéo dài kết
nối TCP hầu như là mãi mãi
- Nó có khả năng tranh chấp các kết nối của ứng dụng
- Khả năng kéo dài kết nối TCP thì được mô tả trong một vài lỗ hổng được báo cáo dưới
đây:
MS09-048, CVE-2008-4609, CVE-2009-1925, CVE-2009-1926 .
- Điều kiện tiên quyết để tấn công thành công là :
 Server phải chấp nhận kết nối với một cửa sổ quảng cáo(trường window size)
nhỏ hơn bộ đệm socket server gửi. Nó càng nhỏ càng tốt.
 Kẻ tấn công yêu cầu cần có một tài nguyên mà không phù hợp với bộ đệm của
server gửi. Ở đây thường sử dụng giữa 64kb và 128kb. Để làm đầy bộ đệm của
socket server có thể sử dụng việc tạo ống dẫn HTTP(-k tham số của slowhttptest)
1.2. tấn công Smurf
- Kiểu tấn công này cần một hệ thống rất quan trọng là mạng khuyếch đại
- Hacker dùng địa chỉ của máy tính cần tấn công để gửi gói tin ICMP echo cho toàn bộ
mạng (broadcast)
- Các máy tính trong mạng sẽ đồng loạt gửi gói tin ICMP reply cho máy tính mà hacker
muốn tấn công
1.3. Fraggle Attack

1.1. Tấn công Slow Read Denial of Service attack :
192.168.91.167 192.168.91.150

Attacker Server
Hình 1.1 : mô hình triển khai tấn công Slow-Read DoS attack
- Công cụ sử dụng để thực hiện tấn công Slow-Read DoS attack dùng để gửi các request
TCP đến server tấn công.
- Công cụ có thể thực hiện tấn công chạy trên hệ thống linux và cần có môi trường biên
dịch gcc.
- Attacker gửi rất nhiều request TCP đến server tấn công và các kết nối TCP này sẽ bị kéo
dài làm server phải chờ đợi để kết thúc 1 kết nối TCP, điều này làm cho cho máy server
cạn kiệt tài nguyên.
- Hình dưới đây minh họa cuộc tấn công slow – read DOS attack
 Số lượng request gửi đi là 1000 request
 Ở đây sử dụng request GET để thực hiện tấn công
 Số lượng kết nối cho mỗi giao là 200 kết nối/ 1 giây
 Tham giò kết nối máy server bị DOS, nếu không có phản ứng đã nhận sau 3 giây
- kết quả của cuộc tấn công :
 ở giây 181 : có 1000 kết nối
 số lượng kết nối đang chờ server giai quyết ở khoảng giây thứ 5-76 là tầm 600 kết
nối.
 kết nối đã hoàn thành tầm 375 kết nối
 server vailable : server đáp ứng các kết nối đã hoạt động quá tải

1.2 tấn công Smurf và Fraggle
- Là thủ phạm sinh ra cực nhiều giao tiếp ICMP (ping) tới địa chỉ Broadcast của nhiều
mạng với địa chỉ nguồn là mục tiêu cần tấn công.
* Chúng ta cần lưu ý là: Khi ping tới một địa chỉ là quá trình hai chiều – Khi máy A ping
tới máy B máy B reply lại hoàn tất quá trình. Khi tôi ping tới địa chỉ Broadcast của mạng
nào đó thì toàn bộ các máy tính trong mạng đó sẽ Reply lại tôi. Nhưng giờ tôi thay đổi

- Giải nén tools slowhttptest-1.4.tar.gz bằng lệnh :
Bot cammad &
control central
Bots tấn công
server
Bots kết nối server &
chờ lệnh tử server
www.zing.vn
192.168.91.1
Attacker gửi lệnh, điều khiển
bots thong qua server
4
Thiết lập
điều khiển
các botnet
thong qua
server
Lây lan bot qua hệ
thống khác và hình
thành 1 mạng
botnet
Phát tán Trojan tạo
mạng botnet
192.168.91.150
192.168.91.1
Tar –xzvf slowhttptest-1.4.tar.gz
- sau khi giải nén
- thực hiện cài đặt, biên dịch source code chương trình bằng các lệnh sau :
class="bi x1 y8d w10 h14"
- sau khi cài đặt xong chúng ta có thể sử dụng tools đã được cài đặt để tấn công. Bằng cách sử

2.1. điều khiển qua web
- webserver có IP : 192.168.91.1
- máy bị dính bot có IP : 192.168.91.150 sử dụng hệ điều hành window xp sp3
- Đầu tiên kẻ tấn công cần thiết lập 1 webserver để điều khiển botnet.
- Máy bị tấn công : www.zing.vn
- Sau đó attacker cần tạo mạng botnet, ở đây attacker có thể sử dụng phương thức đính kèm con
bot vào 1 chương trình hợp pháp mà người sử dụng hay dùng.
- Ở đây để đính kèm con bot vào 1 chương trình khác em sử dụng chương trình “ Senna Spy
One EXE maker 2000”. Con bot sẽ được đính kèm với chương trinh IDM. Khi người dùng cài
chương trình IDM thì con Bot cũng sẽ được tự động cài theo.
- khi chạy 1 chương trình thì bot này sẽ tự động cài đặt và chạy ẩn trong hệ thống. Và đưới đây là
hình ảnh con bot được cài đặt khi người dùng double click vào chương trình IDM mà attacker đã
đính kèm bot vào.
- Sau khi máy victim bị nhiễm con bot thì con bot sẽ thực hiện mở các kết nối về webserver để
chờ lệnh. Lúc này webserver sẽ xuất hiện con bot cho attacker điều khiển
- Attacker dùng webserver này gửi 1 lệnh tấn công website: zing.vn (có ip là 120.138.69.70) cho
các botnet.
- dưới đây là các gói tin của máy bot khi bị attacker gửi lệnh tấn công trang “zing.vn” .
class="bi x1 yac w10 h1a"
2.2. điều khiển qua kênh IRC
- đầu tiên chúng ta mở một kênh IRC có tên là #lephi
- tiếp theo chúng ta up lên web server đoạn code chứa thông tin kênh IRC. Sau khi máy bị nhiễm
bot được bật lên nó sẽ tự động kết nối đến kênh IRC này và chúng ta có thể kết nối đến kênh IRC
#lephi để điều khiển bot
- hình trên cho thấy người điều khiển bot có tên là lephi còn con bot là V-LOCK-*
- trong con bot đã được lập trình sẵn là phải đúng user lephi và phải login với password là 123456
thì mới điều khiển được bot
IV. Nhận xét và giải pháp phòng chống :
1. ưu điểm của cuộc tấn công :
- Đối với tấn công DOS dạng Slow Read Denial of Service attack thì đơn giản và ai cũng