MỤC LỤC
LỜI CẢM ƠN .............................................................................................................4
LỜI CAM ĐOAN .......................................................................................................5
DANH MỤC CÁC TỪ VIẾT TẮT ............................................................................7
DANH MỤC CÁC HÌNH VẼ, ĐỒ THỊ .....................................................................8
PHẦN MỞ ĐẦU .......................................................................................................10
PHẦN NỘI DUNG ...................................................................................................14
CHƢƠNG I : TỔNG QUAN VỀ TẤN CÔNG DoS VÀ DDoS ..............................14
1.1. Định nghĩa tấn công DoS: ..................................................................................14
1.2. Mục đích của tấn công và hiểm họa ...................................................................14
1.2.1. Các mục đích của tấn công DoS .................................................................14
1.2.2. Mục tiêu mà kẻ tấn công thƣờng sử dụng tấn công DoS ............................15
1.3. Các hình thức tấn công DoS cơ bản: ..................................................................15
1.3.1. Tấn công Smurf ..........................................................................................15
1.3.3. Tấn công Ping of Death ..............................................................................16
1.3.4. Tấn công Teardrop ......................................................................................16
1.3.5. Tấn công SYN ............................................................................................17
1.4. Các công cụ tấn công DoS .................................................................................18
1.4.1. Tools DoS: Jolt2 .........................................................................................18
1.4.2. Tools DoS: Bubonic.c .................................................................................18
1.4.3. Tools DoS: Land and LaTierra ...................................................................19
1.4.4. Tools DoS: Targa ........................................................................................19
1.4.5. Tools DoS: Blast 2.0 ...................................................................................20
1.4.6. Tools DoS: Nemesys ..................................................................................20
1.4.7. Tool DoS: Panther2. ...................................................................................20
1.4.8. Tool DoS: Crazy Pinger
. ...................................................................20
1.4.9. Tool DoS: Some Trouble ............................................................................21
1.4.10. Tools DoS: UDP Flooder ..........................................................................21
2.8.1 Sơ đồ Handler-Agent ...............................................................................38
2.8.2 Sơ đồ IRC Base ......................................................................................39
2.9. Các phƣơng pháp xây dựng tài nguyên tấn công ...............................................40
2.9.1 Cách thức cài đặt DDoS Agent ...............................................................41
2
2.9.2 Giao tiếp trên mạng Botnet......................................................................42
2.9.3. Các chức năng của công cụ DDoS: ........................................................43
2.10. Một số kiểu tấn công DDoS và các công cụ tấn công DDoS ..........................44
2.10.1 Một số kiểu tấn công DDoS ..................................................................44
2.10.2 Một số công cụ tấn công DDoS .............................................................44
2.11. Phòng chống giảm thiểu tấn công DDoS .........................................................48
2.11.1 Phòng chống giảm thiểu tấn công DDoS ..............................................48
2.11.2 Những vấn đề có liên quan ....................................................................52
2.12. Hệ thống phát hiện và giảm thiểu DDos hiện nay ...........................................54
2.12.1. Các yêu cầu đối với môt hệ thống phát hiện DDos ..............................55
2.12.2. Phân tích phát hiện các cuộc tấn công DDos .......................................55
2.12.3 Một số thuật toán phát hiện DDos ........................................................56
2.13. Hệ thống phát hiện giảm thiểu DDoS tự động .................................................58
2.13.1. Cơ chế kiểm tra địa chỉ nguồn ..............................................................58
2.13.2 Kỹ thuật phát hiện giảm thiểu theo thuật toán CUSUM .......................60
2.14. Kết luận chƣơng II: ..........................................................................................63
CHƢƠNG III: DEMO TẤN CÔNG DDoS ..............................................................64
3.1. Kịch bản DeMo tấn công DDoS ........................................................................64
3.2. Hƣớng dẫn tạo cuộc tấn công DDoS:.................................................................68
3.2.1. Cài đặt Clone máy trạm ..........................................................................68
3.3.2. Khởi động máy chủ Webserver và thiết lập cấu hình ............................69
3.3.3 Khởi động máy chủ Botnet ......................................................................72
Hà Nội, ngày … tháng …năm 2016
Người thực hiện
5
6
DANH MỤC CÁC TỪ VIẾT TẮT
DoS: Denial of Service: Tấn công từ chối dịch vụ.
DDoS: Distributed Denial of Service: Tấn công từ chối dịch vụ phân tán.
ICMP: Internet Control Message Protocol : Giao thức xử lý các thông báo trạng
thái cho IP. (Transport Layer).
DNS: Domain Name System : Hệ thống tên miền
SYN: The Synchronous Idle Character: Ký tự đồng bộ hoá.
LAN: Local Area Network: Hệ thống các máy tính và thiết bị ngoại vi đƣợc liên
kết với nhau.
ISP: Internet Service Provider: Nhà cung cấp dịch vụ Internet.
TCP/IP: Transmission Control Protocol and Internet Protocol. Gói tin TCP/IP
là một khối dữ liệu đã đƣợc nén, sau đó kèm thêm một header và gửi đến một máy
tính khác. Phần header trong một gói tin chứa địa chỉ IP của ngƣời gửi gói tin.
Security: Bảo mật
UDP: User Datagram Protocol : Những gói tin có điểm xuất phát và điểm đích
xác định.
Domain :Tên miền của một website nào đó.VD : http://www.quantrimang.com
OS: Operation System : Hệ điều hành
IRC: Internet Relay Chat: Là một chƣơng trình độc lập nơi mà bạn có thể tham
gia vào các kênh chat.
Packet: Gói dữ liệu
Hình 2.1: Mô hình DDoS Attack.................................................................... 33
Hình 2.2: Sơ đồ hệ thống bị lây nhiễm DDoS................................................ 37
Hình 2.3: Sơ đồ Handler-Agent...................................................................... 38
Hình 2.4: Sơ đồ IRC Base .............................................................................. 39
Hình 2.5: Các phƣơng pháp xây dựng tài nguyên tấn công ........................... 41
Hình 2.6: Mô hình mạng Classic DDoS ......................................................... 46
Hình 2.7: Mô hình mạng X-Flash DDoS ...................................................... 47
Hình 2.8: Các giai đoạn chi tiết trong phòng chống DDoS ........................... 49
Hình 2.9: Tỷ lệ phần trăm new IP với n=10s............................................... 62
Hình 2.10: Thuật toán CUSUM khi lƣu lƣợng mạng bình thƣờng ................ 62
H nh : Mô hình Demo tấn công DDoS ...................................................... 64
H nh 3.2: cài đặt Clone máy trạm .................................................................. 68
H nh
Đặt tên cho các máy trạm ............................................................... 69
H nh
Cấu hình máy chủ WebServer ........................................................ 69
H nh
Thiết lập các cấu hình cho Webserver ........................................... 70
H nh
Cài đặt địa chỉ IP cho máy chủ ...................................................... 70
H nh
Thiết lập thông số cho XAMPP ..................................................... 71
H nh
Giao diện khi chạy Apache ............................................................ 71
H nh
Kiểm tra dịch vụ Webserver .......................................................... 72
H nh
Giao diện BOTNET01 ................................................................. 72
H nh
Đạt IP cho BOTNET01 ................................................................ 73
: DU meter bắt lƣợng tin khi DDoS xảy ra .................................... 80
H nh
: Trang web bị mất kết nối.............................................................. 81
H nh
: DU Meter bắt đƣợc lƣợng tin khi DDoS ...................................... 81
H nh
Wireshark bắt đƣợc 10 gói SYN .................................................. 82
H nh
Web đã bị sập sau khi DDoS ....................................................... 82
9
PHẦN MỞ ĐẦU
Lý do chọn đề tài
“Từ năm 1997, với sự ra đời của công cụ tấn công DDoS đầu tiên đƣợc công
bố rộng rãi, Trinoo. Nó dựa trên tấn công UDP flood và các giao tiếp master-slave
(khiến các máy trung gian tham gia vào trong cuộc tấn công bằng cách đặt lên
chúng các chƣơng trình đƣợc điều khiển từ xa). Trong những năm tiếp theo, vài
công cụ nữa đƣợc phổ biến – TFN (tribe flood network), TFN2K, vaf Stacheldraht.
Ngày 7/3/2000, yahoo.com đã phải ngƣng phục vụ hàng trăm triệu user trên
toàn thế giới nhiều giờ liền. Vài giờ sau, Yahoo đã tìm ra nguyên nhân gây nên tình
trạng này, họ đang phải gánh chịu một đợt tấn công DDoS với quy mô vài ngàn
máy tính liên tục gửi hàng triệu request đến các server dịch vụ làm các server này
không thể phục vụ các user thông thƣờng khác.
Vài ngày sau, một sự kiện tƣơng tự diễn ra nhƣng có phần “ồn ào” hơn do một
trong các nạn nhân mới là hãng tin CNN, amazon.com, buy.com, Zdnet.com, Etrade.com, Ebay.com. Tất cả các nạn nhân là những gã khổng lồ trên Internet thuộc
nhiều lĩnh vực khác nhau. Theo Yankke Group, tổng thiệt hại do cuộc tấn công lên
đến 1.2 triệu USD, nhƣng không đáng kể bằng sự mất mát về lòng tin của khách
hàng, uy tín của các công ty là không thể tính đƣợc.
Ngày 7/12/2010, trang Visa.com bị nhóm tin tặc Anonymous tấn công DDoS.
Theo nhóm tin tặc, họ thực hiện cuộc tấn công này nhằm phản đối việc các hãng tài
chính khóa tài khoản của WikiLeaks, sau khi trang này dự kiến công bố các tài liệu
mật của Bộ ngoại giao Mỹ. Trƣớc đó nhóm tin tặc này đã thực hiện các cuộc tấn
công các trang web Mastercard và PayPal.
Ngày 4/3/2011, 40 trang web thuộc chính phủ Hàn Quốc tê liệt vì tấn công
DDoS
Trên đây là những cuộc tấn công trên là điển hình nhất về DDoS, nó nói lên
một đặc điểm chết ngƣời của DDoS: Rất dễ thực hiện, hầu nhƣ không thể tránh, hậu
quả rất nặng nề.”
Đây chỉ là một trong số rất nhiều bài báo viết về DDoS, tuy khá ngắn gọn
nhƣng cũng đã nêu bật đƣợc những đặc điểm nổi bật nhất của DDoS: “Rất dễ thực
11
hiện, hầu như không thể tránh, hậu quả rất nặng nề”. Một điều mà các chuyên gia
ai cũng thừa nhận, đó là nếu DDoS đƣợc thực hiện bởi một hacker có trình độ, thì
việc chống đỡ là không thể. Rất may mắn, giới hacker chính quy thế giới đã khai trừ
kĩ thuật tấn công này, và chấm dứt mọi hoạt động nghiên cứu, trình diễn hay phát
triển công cụ do chính bản thân họ cũng nhìn thấy mức độ nguy hiểm và không
công bằng của kiểu tấn công này. Bởi lẽ tấn công từ chối dịch vụ phân tán là kiểu
tấn công làm cho hệ thống máy tính hay hệ thống mạng quá tải, không thể cung cấp
dịch vụ hoặc phải dừng hoạt động. Trong các cuộc tấn công DDoS, máy chủ dịch
vụ sẽ bị "ngập" bởi hàng loạt các lệnh truy cập từ lƣợng kết nối khổng lồ. Khi số
lệnh truy cập quá lớn, máy chủ sẽ quá tải và không còn khả năng xử lý các yêu cầu.
Hậu quả là ngƣời dùng không thể truy cập vào các dịch vụ trên các trang web bị tấn
công DDoS.
Tuy rằng không còn là mới mẻ, nhƣng DDoS vẫn tiếp tục gây rất nhiều thiệt
hại cho cộng đồng mạng nói chung và cho các doanh nghiệp nói riêng. Gần đây
mô hình mạng chỉ có một server kết nối với Internet bằng một liên kết.
Các vấn đề cần giải quyết:
- Nghiên cứu các hình thức tấn công mạng DDoS và phương pháp phòng chống.
- Trên cơ sở đó phân tích thuật toán phát hiện sớm và giảm thiểu các cuộc tấn công.
Tóm tắt cô đọng các nội dung chính
Ngoài phần mở đầu và phần kết luận, phần nội dung của luận văn gồm có 4
chương như sau:
Chƣơng I Tổng quan về tấn công DoS và DDoS:
Giới thiệu chung về DoS, phân loại các kiểu tấn công DoS.
Giới thiệu chung về DDoS, phân loại các kiểu tấn công DDoS, cách thức
xây dựng mạng Botnet, giới thiệu một số công cụ tấn công DDoS
Chƣơng II. Các phƣơng thức tấn công và phòng chống DDoS: Trình bày
các phƣơng thức, cách thức tấn công DDoS
Chƣơng III. Demo tấn công DDoS: Trình bày mô hình thực tế mạng Botnet
giả định, giải pháp, mô hình thực nghiệm và quá trình kiểm tra đánh giá, nhận xét
hệ thống trƣớc khi có xâm nhập và sau khi có xâm nhập.
Kết luận và hƣớng phát triển
13
PHẦN NỘI DUNG
CHƢƠNG I TỔNG QUAN VỀ TẤN CÔNG DoS VÀ DDoS
Định nghĩa tấn công DoS
Tấn công từ chối dịch vụ DoS là dạng tấn công nhằm ngăn chặn ngƣời dùng
hợp pháp truy nhập các tài nguyên mạng. Tấn công DoS đã xuất hiện từ khá sớm,
vào đầu những năm 80 của thế kỷ trƣớc. Tấn công DoS là một kiểu tấn công mà
một ngƣời làm cho một hệ thống không thể sử dụng, hoặc làm cho hệ thống đó
chậm đi một cách đáng kể với ngƣời dùng bình thƣờng, bằng cách làm quá tải tài
nguyên của hệ thống.
+ Financial Loss
- Thiệt hại tài chính
1.2.2 Mục tiêu mà kẻ tấn công thƣờng sử dụng tấn công DoS
Ta thấy, tấn công DoS xảy ra khi kẻ tấn công sử dụng hết tài nguyên của hệ
thống và hệ thống không thể đáp ứng cho ngƣời dùng bình thƣờng đƣợc. Vì vậy
các tài nguyên chúng thƣờng sử dụng để tấn công là:
- Tạo ra sự khan hiếm, những giới hạn và không đổi mới tài nguyên
- Băng thông của hệ thống mạng, bộ nhớ, ổ đĩa, và CPU Time hay cấu trúc dữ
liệu đều là mục tiêu của tấn công DoS.
- Tấn công vào hệ thống khác phục vụ cho mạng máy tính nhƣ: hệ thống điều
hoà, hệ thống điện, hệt hống làm mát và nhiều tài nguyên khác của doanh nghiệp.
Bạn thử tƣởng tƣợng khi nguồn điện vào máy chủ web bị ngắt thì ngƣời dùng có thể
truy cập vào máy chủ đó không.
- Phá hoại hoặc thay đổi các thông tin cấu hình.
- Phá hoại tầng vật lý hoặc các thiết bị mạng nhƣ nguồn điện, điều hoà…
Các h nh thức tấn công DoS cơ bản
- Smurf.
- Teardrop.
- Buffer Overflow Attack.
- SYN Attack.
- Ping of Death.
1.3.1. Tấn công Smurf
Là thủ phạm sinh ra cực nhiều giao tiếp ICMP (ping) tới địa chỉ Broadcast của
1.3.5 Tấn công SYN
Hình 1.2:Tấn công SYN (mô hình bắt tay ba bƣớc)
Kẻ tấn công gửi các yêu cầu (request ảo) TCP SYN tới máy chủ bị tấn công.
Để xử lý lƣợng gói tin SYN này hệ thống cần tốn một lƣợng bộ nhớ cho kết nối.
Khi có rất nhiều gói SYN ảo tới máy chủ và chiếm hết các yêu cầu xử lý của
máy chủ. Một ngƣời dùng bình thƣờng kết nối tới máy chủ ban đầu thực hiện
Request TCP SYN và lúc này máy chủ không còn khả năng đáp lại - kết nối không
đƣợc thực hiện.
Đây là kiểu tấn công mà kẻ tấn công lợi dụng quá trình giao tiếp của TCP theo
– Three-way.
Quá trình TCP Three-way handshake (mô hình bắt tay ba bƣớc) đƣợc thực
hiện: Khi máy A muốn giao tiếp với máy B. (1) máy A bắn ra một gói TCP SYN tới
máy B – (2) máy B khi nhận đƣợc gói SYN từ A sẽ gửi lại máy A gói ACK đồng ý
kết nối – (3) máy A gửi lại máy B gói ACK và bắt đầu các giao tiếp dữ liệu.
Máy A và máy B sẽ dữ kết nối ít nhất là 75 giây, sau đó lại thực hiện một quá
trình TCP Three-way handshake lần nữa để thực hiện phiên kết nối tiếp theo để trao
đổi dữ liệu.
17
Các công cụ tấn công DoS
- Jolt2
- Blast20
- Some Trouble
nhiên làm cho máy chủ tốn rất nhiều tài nguyên để xử lý vấn đề này, và từ đó sẽ
xuất hiện những lỗ hổng bảo mật.
Sử dụng bubonic.c bằng cách gõ câu lệnh: bubonic 12.23.23.2 10.0.0.1 100
Hình 1.4:Tấn công kiểu Tools DoS: Bubonic.c
1.4.3. Tools DoS: Land and LaTierra
Giả mạo địa chỉ IP đƣợc kết hợp với quá trình mở các kết nối giữa hai máy
tính.
Cả hai địa chỉ IP, địa chỉ nguồn (source) và địa chỉ IP đích, đƣợc chỉnh sửa
thành một địa chỉ của IP đích khi đó kết nối giữa máy A và máy B đang đƣợc thực
hiện nếu có tấn công này xảy ra thì kết nối giữa hai máy A và B sẽ bị ngắt kết nối.
Kết quả này do địa chỉ IP nguồn và địa chỉ IP đích của gói tin giống nhau và
gói tin không thể đi đến đích cần đến.
1.4.4. Tools DoS: Targa
Targa là một chƣơng trình có thể sử dụng 8 dạng tấn công DoS khác nhau. Nó
đƣợc coi nhƣ một hƣớng dẫn tích hợp toàn bộ các ảnh hƣởng của DoS.
19
1.4.5. Tools DoS: Blast 2.0
Blast rất nhỏ, là một công cụ dùng để kiểm tra khả năng của dịch vụ TCP nó
có khả năng tạo ra một lƣu lƣợng rất lớn gói TCP và có thể sẽ gây nguy hiểm cho
một hệ thống mạng với các server yếu.
1.4.6. Tools DoS: Nemesys
Hình 1.5: Tấn công kiểu Tools DoS: Nemesys
Đây là một chƣơng trình sinh ra những gói tin ngẫu nhiên nhƣ (protocol, port,
Hình 1.8: Tấn công kiểu Tool DoS: FSMAX
21
Định nghĩa tấn công DDoS
Tấn công từ chối dịch vụ phân tán là một dạng phát triển ở mức độ cao của tấn
công DoS đƣợc phát hiện lần đầu tiên vào năm 1999. Trên thực tế, tấn công từ chối
dịch vụ phân tán là kiểu tấn công làm hệ thống máy tính hay hệ thống mạng quá tải,
không thể cung cấp dịch vụ hoặc phải dừng hoạt động, song từ nhiều nguồn tấn
công khác nhau, phân tán trên mạng. Khác biệt cơ bản của tấn công DoS và DDoS
là phạm vi tấn công. Trong khi lƣu lƣợng tấn công DoS thƣờng phát sinh từ một
hoặc một số ít host nguồn, lƣu lƣợng tấn công DDoS thƣờng phát sinh từ rất nhiều
host nằm rải rác trên mạng Internet..
Hình 1.9: Mô hình tấn công DDoS
Trong các cuộc tấn công DDoS, máy chủ dịch vụ sẽ bị “ngập” bởi hàng loạt
các lệnh truy cập từ lƣợng kết nối khổng lồ từ nhiều máy tấn công ở nhiều nơi. Khi
số lệnh truy cập quá lớn, máy chủ sẽ quá tải và không có khả năng xử lý các yêu
cầu. Hậu quả là ngƣời dùng không thể truy cập vào các dịch vụ trên các trang web
bị tấn công DDoS là DDoS sử dụng một mạng lƣới tấn công rộng khắp, gồm nhiều
máy tấn công nằm rải rác trên mạng. Bằng cách tạo ra những gói tin cực nhiều đến
một đích cụ thể, nó có thể gây tình trạng tƣơng tự nhƣ hệ thống bị shutdown.
Tấn công DDoS là một biến thể của Foolding DoS (Tấn công từ chối dịch vụ
tràn). Mục đích của hình thức này là gây tràn mạng đích. Kẻ tấn công sau đó sẽ sử
22
Nếu địa chỉ nguồn của gói tin có thể bị giả mạo, sau khi bạn không nhận
đƣợc sự phản hồi từ những địa chỉ nguồn thật thì bạn cần phải thực hiện cấm giao
tiếp với địa chỉ nguồn đó.
Tuy nhiên một mạng BOTNET bao gồm từ hàng nghìn tới vài trăm nghìn
địa chỉ IP trên Internet và điều đó là vô cùng khó khăn để ngăn chặn tấn công.
Kiến trúc tổng quan của DDoS attack-network
Giờ đây không một kẻ tấn công nào sử dụng luôn địa chỉ IP để điều khiển
mạng BOTNET tấn công tới đích, mà chúng thƣờng sử dụng một đối tƣợng trung
gian dƣới đây là những mô hình tấn công DDoS. Nhìn chung DDoS attack-network
có hai mô hình chính:
Mô hình Agent – Handler
Mô hình IRC – Based
DDoS attack - network
Agent - Handler
Client-Handler
Communication
TCP
UDP
ICMP
IRC - Based
Client-Handler
Attacker
Handler
Agent
Handler
Agent
Agent
Victim
Hình 1.11: Mô hình Agent - Handler
Kẻ tấn công sử dụng các handler để điều khiển tấn công kiến trúc attacknetwork kiểu Agent – Handler
Theo mô hình này, attack-network gồm 3 thành phần: Agent, Client và Handler
Client : là software cơ sở để hacker điều khiển mọi hoạt động của attack-network
Handler : là một thành phần software trung gian giữa Agent và Client
Agent : là thành phần software thực hiện sự tấn công mục tiêu, nhận điều khiển
từ Client thông qua các Handler
Attacker sẽ từ Client giao tiếp với cc1 Handler để xác định số lƣợng Agent
đang online, điều chỉnh thời điểm tấn công và cập nhật các Agent. Tùy theo cách
attacker cấu hình attack-network, các Agent sẽ chịu sự quản lý của một hay nhiều
Handler.
Thông thƣờng Attacker sẽ đặt Handler software trên một Router hay một
server có lƣợng traffic lƣu thông nhiều. Việc này nhằm làm cho các giao tiếp giữa
Client, handler và Agent khó bị phát hiện. Các gia tiếp này thông thƣờng xảy ra trên
các protocol TCP, UDP hay ICMP. Chủ nhân thực sự của các Agent thông thƣờng
không hề hay biết họ bị lợi dụng vào cuộc tấn công kiểu DDoS, do họ không đủ
kiến thức hoặc các chƣơng trình Backdoor Agent chỉ sử dụng rất ít tài nguyên hệ
Copyright: Tài liệu đại học ©