Tiểu luận Tìm hiểu về tấn công trên mạng dùng kỹ thuật DoS/DDoS/DRDoS
I. Mở đầu.
Chưa khi nào chủ đề an ninh mạng được đề cập dồn dập trên các báo, truyền hình, internet như trong năm 2011 và những tháng đầu năm 2012. Danh sách các website bị tấn công mỗi ngày một dài gây lo ngại cho nhiều tổ chức, doanh nghiệp. Các cuộc tấn công tin học này nhằm vào mọi cơ quan tổ chức, từ các cơ quan chính phủ, các công ty lớn tới các tổ chức quốc tế.
Bên cạnh đó tình trạng tội phạm công nghệ cao vẫn còn tồn tại nhức nhối. Qua rồi thời các hacker tấn công âm thầm, đơn lẻ với mục đích chủ yếu là chứng minh năng lực cá nhân. Xu hướng chung của hacker hiện nay là tập trung thành những nhóm có tổ chức, có đường hướng hoạt động, công khai kế hoạch tấn công và chủ động nhắm đến các mục tiêu là doanh nghiệp, tổ chức tầm cỡ, kể cả các cơ quan Chính phủ với mục đích thị uy và trục lợi. Những cuộc tấn công này gây ra thiệt hại không chỉ về tài sản, thông tin kinh doanh mà còn cả về uy tín đơn vị.
Các hệ thống thông tin của Việt Nam năm 2011 bị một số cuộc tấn công từ hacker. Điển hình như tháng 6/2011, hơn 275 website của Việt Nam đã bị tấn công trong vòng nửa tháng, trong đó có khoảng 70 website là của các cơ quan nhà nước. Các hình thức tấn công bao gồm tấn công từ chối dịch vụ, tấn công khai thác lỗ hổng bảo mật để lấy dữ liệu hoặc thâm nhập hệ thống, thay đổi nội dung website, Hay như vụ việc của Công ty An ninh mạng Bkav, ban đầu chỉ là việc một hacker tấn công vào trang web WebScan.vn của Bkav và để lại một file có nội dung “hacked :))” trên trang WebScan.vn để rồi sau khi hacker đó bị bắt, một nhóm hacker tự xưng là Anonymous VN đã tiến hành hack vào trang chủ của Bkav và khiến cho trang này không thể nào truy cập được và chỉ hiện các thông báo lỗi như "Service Unavailable" hay "Bad Request (Invalid Hostname), chính từ vụ việc này mà uy tín của Bkav sụt giảm nghiêm trọng, cộng đồng mạng cũng bắt đầu tiến hành tẩy chay phần mềm diệt virus của Bkav không thương tiếc.
Có thể thấy sự gia tăng về số lượng các website trong xu hướng hội nhập toàn cầu và thương mại điện tử ngày càng phát triển mạnh đã biến internet trở thành một mục tiêu béo bở. Bên cạnh đó, khối lượng virus, trojan, worm thế hệ mới ra đời và lan tràn với tốc độ chóng mặt. Các phương tiện bảo vệ máy tính như phần mềm diệt virus, hệ thống tường lửa, máy chủ giúp phát hiện và ngăn chặn các cuộc tấn công mạng còn nhiều hạn chế. Việc bảo mật mạng cũng chưa được các tổ chức, doanh nghiệp quan tâm đúng mức. Điều này dẫn đến hoạt động đào tạo về an ninh mạng còn bó hẹp, khiến nguồn nhân lực trong lĩnh vực này dù rất cần nhưng lại thiếu cả về chất lẫn lượng.
Tóm tắt nội dung tài liệu: Tiểu luận Tìm hiểu về tấn công trên mạng dùng kỹ thuật DoS/DDoS/DRDoS
BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC KHOA HỌC KHOA CÔNG NGHỆ THÔNG TIN & BÀI TIỂU LUẬN MÔN : THỰC TẬP VIẾT NIÊN LUẬN Đề Tài : Tìm hiểu về tấn công trên mạng dùng kỹ thuật DoS / DDoS / DRDoS. Giảng viên hướng dẫn : Trương Công Tuấn Sinh viên thực hiện : Nguyễn Quang Hà MỤC LỤC CHƯƠNG I: TỔNG QUAN AN TOÀN MẠNG I. Mở đầu. Chưa khi nào chủ đề an ninh mạng được đề cập dồn dập trên các báo, truyền hình, internet như trong năm 2011 và những tháng đầu năm 2012. Danh sách các website bị tấn công mỗi ngày một dài gây lo ngại cho nhiều tổ chức, doanh nghiệp. Các cuộc tấn công tin học này nhằm vào mọi cơ quan tổ chức, từ các cơ quan chính phủ, các công ty lớn tới các tổ chức quốc tế. Bên cạnh đó tình trạng tội phạm công nghệ cao vẫn còn tồn tại nhức nhối. Qua rồi thời các hacker tấn công âm thầm, đơn lẻ với mục đích chủ yếu là chứng minh năng lực cá nhân. Xu hướng chung của hacker hiện nay là tập trung thành những nhóm có tổ chức, có đường hướng hoạt động, công khai kế hoạch tấn công và chủ động nhắm đến các mục tiêu là doanh nghiệp, tổ chức tầm cỡ, kể cả các cơ quan Chính phủ với mục đích thị uy và trục lợi. Những cuộc tấn công này gây ra thiệt hại không chỉ về tài sản, thông tin kinh doanh mà còn cả về uy tín đơn vị. Các hệ thống thông tin của Việt Nam năm 2011 bị một số cuộc tấn công từ hacker. Điển hình như tháng 6/2011, hơn 275 website của Việt Nam đã bị tấn công trong vòng nửa tháng, trong đó có khoảng 70 website là của các cơ quan nhà nước. Các hình thức tấn công bao gồm tấn công từ chối dịch vụ, tấn công khai thác lỗ hổng bảo mật để lấy dữ liệu hoặc thâm nhập hệ thống, thay đổi nội dung website, Hay như vụ việc của Công ty An ninh mạng Bkav, ban đầu chỉ là việc một hacker tấn công vào trang web WebScan.vn của Bkav và để lại một file có nội dung “hacked :))” trên trang WebScan.vn để rồi sau khi hacker đó bị bắt, một nhóm hacker tự xưng là Anonymous VN đã tiến hành hack vào trang chủ của Bkav và khiến cho trang này không thể nào truy cập được và chỉ hiện các thông báo lỗi như "Service Unavailable" hay "Bad Request (Invalid Hostname), chính từ vụ việc này mà uy tín của Bkav sụt giảm nghiêm trọng, cộng đồng mạng cũng bắt đầu tiến hành tẩy chay phần mềm diệt virus của Bkav không thương tiếc. Có thể thấy sự gia tăng về số lượng các website trong xu hướng hội nhập toàn cầu và thương mại điện tử ngày càng phát triển mạnh đã biến internet trở thành một mục tiêu béo bở. Bên cạnh đó, khối lượng virus, trojan, worm thế hệ mới ra đời và lan tràn với tốc độ chóng mặt. Các phương tiện bảo vệ máy tính như phần mềm diệt virus, hệ thống tường lửa, máy chủ giúp phát hiện và ngăn chặn các cuộc tấn công mạng còn nhiều hạn chế. Việc bảo mật mạng cũng chưa được các tổ chức, doanh nghiệp quan tâm đúng mức. Điều này dẫn đến hoạt động đào tạo về an ninh mạng còn bó hẹp, khiến nguồn nhân lực trong lĩnh vực này dù rất cần nhưng lại thiếu cả về chất lẫn lượng. II. Các nguy cơ ảnh hưởng đến an toàn mạng. 1. Các lỗ hổng. Các hacker thường xuyên lợi dụng các lỗ hổng có sẵn để có thể có cơ hội tấn công, dù web được bảo mật bằng những phương thức khác nhau, thế nhưng hacker là những người rất tinh tế. Họ tìm tòi và suy nghĩ ra những phương pháp tấn công rất thông minh và độc đáo dựa trên các lỗ hổng của ứng dụng web. Dưới đây là thống kê vào năm 2009 về một vài phương pháp tấn công phổ biến. Hình 2.1 Một số lỗ hổng bảo mật phổ biến được thống kê vào năm 2009 Trong đó: SQL Injection: Một vụ tấn công "SQL Injection" (SQLI) dựa trên sự tiên tiến của một trang web nghèo nàn về kỹ thuật, và có lỗi trong bảo mật dữ liệu. Kết quả của một vụ tấn công có thể lấy toàn bộ dữ liệu từ database hay server. Không như tấn công bằng DDoS, một vụ SQLI hoàn toàn dễ dàng ngăn chặn nếu web được lập trình đúng cách. The Cross-Site Scripting: Cross-site Scripting (XSS) là lỗ hổng cho phép hacker có thể chèn những đoạn mã client-script (thường là Javascript hoặc HTML) vào trang web, khi người dùng vào những trên web này, mã độc sẽ được thực thi trên máy của người dùng, là một lỗi phổ biến, có rất nhiều trang web bị mắc phải lỗi này, chính vì thế ngày càng có nhiều người quan tâm đến lỗi này. Lỗi này thường được dùng để thực hiện tấn công XSS. Buffer errors: Lỗi tràn bộ đệm là một lỗi lập trình có thể gây ra một ngoại lệ truy nhập bộ nhớ máy tính và chương trình bị kết thúc, hoặc khi người dùng có ý phá hoại, họ có thể lợi dụng lỗi này để phá vỡ an ninh hệ thống. Lỗi tràn bộ đệm là một điều kiện bất thường khi một tiến trình lưu dữ liệu vượt ra ngoài biên của một bộ nhớ đệm có chiều dài cố định. Kết quả là dữ liệu đó sẽ đè lên các vị trí bộ nhớ liền kề. Dữ liệu bị ghi đè có thể bao gồm các bộ nhớ đệm khác, các biến và dữ liệu điều khiển luồng chạy của chương trình (program flow control). Các lỗi tràn bộ đệm có thể làm cho một tiến trình đổ vỡ hoặc cho ra các kết quả sai. Các lỗi này có thể được kích hoạt bởi các dữ liệu vào được thiết kế đặc biệt để thực thi các đoạn mã phá hoại hoặc để làm cho chương trình hoạt động một cách không như mong đợi. Bằng cách đó, các lỗi tràn bộ đệm gây ra nhiều lỗ hổng bảo mật (vulnerability) đối với phần mềm và tạo cơ sở cho nhiều thủ thuật khai thác (exploit). Việc kiểm tra biên (bounds checking) đầy đủ bởi lập trình viên hoặc trình biên dịch có thể ngăn chặn các lỗi tràn bộ đệm. 2. Các kỹ thuật tấn công mạng. Giới hacker có rất nhiều phương thức tấn công mạng nhưng phương thức được ưa chuộng nhất hiện nay có thể nói là tấn công DoS và DDos, đó là 2 phương thức tấn công đơn giản nhưng lại mang lại hiệu quả to lớn cho hacker - Authentication attacks: Authentication đóng một vai trò rất quan trọng trong việc đảm bảo tính an ninh của một web application. Khi một user cung cấp login name và password để xác thực tài khoản của mình, web application cấp quyền truy xuất cho user dựa vào login name mà user nhập vào đã được lưu trong cơ sở dữ liệu. Kiểu tấn công này không dựa vào lỗ hổng an ninh trên hệ điều hành và phần mềm của server. Nó phụ thuộc vào mức độ an ninh và phức tạp của password được lưu và mức độ khó khăn để cho attacker có thể tiếp cận được server. Khi thực hiện tấn công này, hacker có thể vượt rào xác thực, và vào hệ thống với quyền truy xuất mà mình mong muốn. Với quyền đăng nhập cao nhất (admin), hacker có thể toàn quyền điều khiển hệ thống web bị tấn công. - HTTP Response Splitting: Lỗi HTTP Response Splitting tấn công vào ứng dụng web và diễn ra khi nó không thể xử lý đúng các thông tin đầu vào người dùng nhập. Kẻ tấn công từ xa có thể gửi một yêu cầu HTTP đặc biệt làm cho máy chủ web định dạng yêu cầu nhầm tưởng rằng nó chứa 2 yêu cầu HTTP chứ không phải một. Chỉ yêu cầu thứ nhất được xử lý bởi người sử dụng. HTTP Response Splitting cho phép tiến hành một lượng lớn các cuộc tấn công kiểu như web cache poisioning, deface, “cross-user defacement”, chặn và ăn cắp thông tin người dùng và Cross site Scritpting. - Directory traversal: Directory traversal hay còn được biết với một số tên khác như “dot-dot-slash”, “Path Traversal”,”directory clumbing” và “backtracking” là hình thức tấn công truy cập đến những file và thư mục mà được lưu bên ngoài thư mục webroot. Hình thức tấn công này không cần sử dụng một công cụ nào mà chỉ đơn thuần thao tác các biến với “../” (dot-dot-slash) để truy cập đến file, thư mục, bao gồm cả source code, những file hệ thống - File Inclusion Attacks: Khi một trang web sử dụng các lệnh include, require, để gọi đến một file khác. Và sơ ý để người dùng có thể thay đổi file cần gọi đến. Như vậy website đó đang đứng trước nguy cơ bị tấn công File Inclusion. Tùy vào mức độ bảo mật của Server, hacker có thể include đến file trên Server( local include) đó hoặc include đến file trên Server khác( remote include). Với từng mức độ hacker có thể có nhiều cách để up shell. Nếu server kém bảo mật thì kẻ tấn công có thể đọc được file của toàn bộ hệ thống, file của các website khác trên cùng máy chủ đó. Lỗi này hay được tấn dụng để tấn công local : kiểu tấn công máy chủ, website qua một site bị lỗi trên máy chủ. Nếu có quyền ghi, tất cả các file có thể bị thay đổi: deface trang chủ, chèn mã độc để thu thập thông tin đăng nhập, ẩn dấu backdoor để lần sau vào tiếp, Có thể lấy thông tin truy nhập cơ sở dữ liệu (database) qua file cấu hình của website, sau đó truy nhập vào cơ sở dữ liệu : xem dữ liệu, xóa, thay đổi dữ liệu, Trong trường hợp này, cơ sở dữ liệu là MySql cho phép sử dụng hàm load_file(). - DoS, DDoS và DRDoS: Đây chính là phương pháp phá hoại mạng cổ điển nhưng cũng đầy hiệu quả của giới hacker. Phương pháp này không được thực hiện để đánh cắp thông tin hay dữ liệu của nạn nhân. Tác hại chính của phương pháp tấn công này là làm giảm khả năng đáp ứng của hệ thống dẫn đến hệ thống bị chậm hoặc tê liệt. Và điều này là rất nguy hiểm đối với các hệ thống quan trọng của ngân hang hay của chính phủ,v.v - XSS: là một kĩ thuật tấn công bằng cách chèn vào các website động (ASP, PHP, CGI, JSP ) những thẻ HTML hay những đoạn mã script nguy hiểm có thể gây nguy hại cho những người sử dụng khác. Trong đó những đoạn mã nguy hiểm được chèn vào hầu hết được viết bằng Client-Site Script như javascript, Jscript, DHTML và cũng có thể là các thẻ HTML. XSS thường được sử dụng với các mục đích như : Đánh cắp thông tin của nạn nhân, giúp hacker có thể truy cập được vào những thông tin nhạy cảm, lấy được quyền truy cập miễn phí vào những nội dung đúng ra phải trả tiền mới có được, dò xét sở thích của người sử dụng mạng, thay đổi diện mạo ( deface) một trang web nào đó Tấn công từ chối dịch vụ (DoS). -Virus, worms và Trojan: Đây có lẽ là kỹ thuật tấn công mạng được nhiều người biết đến nhất kể cả những người không am hiểu CNTT vì hiện nay nó là một vấn nạn cho người sử dụng CNTT. Khi các virus này kết hợp với nhau ta gọi đó là mối đe dọa hỗn hợp. Chúng tổng hợp các đặc tính của virus, worm, Trojan Horse và các đoạn code gây tổn thương máy chủ và mạng Internet. Bằng nhiều phương pháp và kỹ thuật, các cuộc tấn công nhanh chóng lan tỏa và gây thiệt hại trên diện rộng. Những đặc trưng sự pha trộn này là: Gây ra thiệt hại, truyền “bệnh” theo nhiều phương pháp, tấn công từ nhiều hướng. Kể từ khi những con virus đầu tiên ra đời thì đây được xem như là loại virus nguy hiểm nhất với đa số các virus không cần sự can thiệp con người mà tự động phát triển. CHƯƠNG II: KỸ THUẬT TẤN CÔNG DOS /DDOS I. Các cuộc tấn công DoS/DDoS - Các tấn công DoS bắt đầu vào khoảng đầu những năm 90. Đầu tiên, chúng hoàn toàn “nguyên thủy”, bao gồm chỉ một kẻ tấn công khai thác băng thông tối đa từ nạn nhân, ngăn những người khác được phục vụ. Điều này được thực hiện chủ yếu bằng cách dùng các phương pháp đơn giản như ping floods, SYN floods và UDP floods. Sau đó, các cuộc tấn công trở nên phức tạp hơn, bằng cách giả làm nạn nhân, gửi vài thông điệp và để các máy khác làm ngập máy nạn nhân với các thông điệp trả lời. (Smurf attack, IP spoofing). - Các tấn công này phải được đồng bộ hoá một cách thủ công bởi nhiều kẻ tấn công để tạo ra một sự phá huỷ có hiệu quả. Sự dịch chuyển đến việc tự động hoá sự đ ... công DDoS hơn mà thôi. Dưới đây là các Tools tấn công DDoS. - Trinoo - Tribe flood Network (TFN) - TFN2K - Stacheldraht - Shaft - Trinity - Knight - Mstream - Kaiten Các tools này hoàn toàn có thể Download miễn phí trên Internet và lưu ý là chỉ để thử đây là các tools yếu và chỉ mang tính Demo về tấn công DdoS mà thôi. - Nuclear Bot: là một tool cực mạnh "Multi Advanced IRC BOT" có thể sử dụng để Floods, Managing, Utilities, Spread, IRC Related, tấn công DDoS và nhiều mục đích khác. a. Công cụ DDoS dạng Agent – Handler: - TrinOO: là một trong các công cụ DDoS đầu tiên được phát tán rộng rãi. TrinOO có kiến trúc Agent – Handler, là công cụ DDoS kiểu Bandwidth Depletion Attack, sử dụng kỹ thuật UDP flood. Các version đầu tiên của TrinOO không hỗ trợ giả mạo địa chỉ IP. TrinOO Agent được cài đặt lợi dụng lỗi remote buffer overrun. Hoạt động trên hệ điều hành Solaris 2.5.1 à Red Hat Linux 6.0. Attack – network giao tiếp dùng TCP (attacker client và handler) và UDP (Handler và Agent). Mã hóa giao tiếp dùng phương pháp mã hóa đối xứng giữa Client, handler và Agent. - Tribe Flood Network (TFN): Kiểu kiến trúc Agent – Handler, công cụ DDoS hoễ trợ kiểu Bandwidth Deleption Attack và Resourse Deleption Attack. Sử dụng kỹ thuật UDP flood, ICMP Flood, TCP SYN và Smurf Attack. Các version đầu tiên không hỗ trợ giả mạo địa chỉ IP, TFN Agent được cài đặt lợi dụng lỗi buffer overflow. Hoạt động trên hệ điều hành Solaris 2.x và Red Hat Linux 6.0. Attack – Network giao tiếp dùng ICMP ECHO REPLY packet (TFN2K hỗ trợ thêm TCP/UDP với tính năng chọn protocol tùy ý), không mã hóa giao tiếp (TFN2K hỗ trợ mã hóa). - Stacheldraht: là biến thể của TFN có thêm khả năng updat Agent tự động. Giao tiếp telnet mã hóa đối xứng giữa Attacker và Handler. - Shaft: là biến thể của TrinOO, giao tiếp Handler – Agent trên UDP, Attacker – Hendle trên Internet. Tấn công dùng kỹ thuật UDP, ICMP và TCP flood. Có thể tấn công phối hợp nhiều kiểu cùng lúc. Có thống kê chi tiết cho phép attacker biết tình trạng tổn thất của nạn nhân, mức độ quy mô của cuộc tấn công để điều chỉnh số lượng Agent. b. Công cụ DDoS dạng IRC – Based: Công cụ DDoS dạng IRC-based được phát triển sau các công cụ dạng Agent – Handler. Tuy nhiên, công cụ DDoS dạng IRC phức tạp hơn rất nhiều, do tích hợp rất nhiều đặc tính của các công cụ DDoS dạng Agent – Handler. - Trinity: là một điển hình của công cụ dạng này. Trinity có hầu hết các kỹ thuật tấn công bao gồm: UDP, TCP SYS, TCP ACK, TCP fragment, TCP NULL, TCP RST, TCP random flag, TCP ESTABLISHED packet flood. Nó có sẵn khả năng ngẫu nhiên hóa địa chỉ bên gởi. Trinity cũng hỗ trợ TCP flood packet với khả năng ngẫu nhân tập CONTROL FLAG. Trinity có thể nói là một trong số các công cụ DDoS nguy hiểm nhất. - Ngoài ra có thể nhắc thêm về một số công cụ DDoS khác như Knight, được thiết kế chạy trên Windows, sử dụng kỹ thuật cài đặt của troijan back Orifice. Knight dùng các kỹ thuật tấn công như SYV, UDP Flood và Urgent Pointer Flooder. - Sau cùng là Kaiten, là biến thể của Knight, hỗ trợ rất nhiều kỹ thuật tấn công như: UDP, TCP flood, SYN, PUSH + ACK attack. Kaiten cũng thừa hưởng khả năng ngẫu nhiên hóa địa chỉ giả mạo của Trinity. VI. Tấn công DRDoS (DistributedReflection Denial of Service) – Tấn từ chối dịch vụ theo phương pháp phản xạ. Đây có lẽ là kiểu tấn công lợi hại nhất và làm boot máy tính của đối phương nhanh gọn nhất . Nếu được thực hiện bởi các hacker chuyên nghiệp, không một hệ thống nào có thể đứng vững được trước nó. Cách làm thì cũng tương tự như DDos nhưng thay vì tấn công bằng nhiều máy tính thì người tấn công chỉ cần dùng một máy tấn công thông qua các server lớn trên thế giới . Vẫn với phương pháp giả mạo địa chỉ IP của victim , kẻ tấn công sẽ gởi các gói tin đến các server mạnh nhất , nhanh nhất và có đường truyền rộng nhất như Yahoo .v.v , các server này sẽ phản hồi các gói tin đó đến địa chỉ của victim . Việc cùng một lúc nhận được nhiều gói tin thông qua các server lớn này sẽ nhanh chóng làm nghẽn đường truyền của máy tính nạn nhân và làm crash , reboot máy tính đó . Cách tấn công này lợi hại ở chỗ chỉ cần một máy có kết nối Internet đơn giản với đường truyền bình thường cũng có thể đánh bật được hệ thống có đường truyền tốt nhất thế giới nếu như ta không kịp ngăn chặn . CHƯƠNG III: DEMO MỘT TRƯỜNG HỢP DOS HTTP. I. Giới thiệu về tấn công thực nghiệm Cuộc tấn công DoS trong thực nghiệm dưới đây chỉ mang tính minh họa cho lý thuyết ở trên và không mang tính phá hoại nên chỉ sử dụng công cụ có các tính năng nhẹ nhằm giảm tính phá hoại hệ thống.Công cụ sử dụng ở đây là DoSHTTP 2.5.1,là công cụ có tính phá hoại nhẹ và cũng là công cụ giúp đỡ cho các quản trị viên kiểm tra và đánh giá hiệu năng của máy chủ Web nhằm đảm bảo tính ổn định và đưa ra các giải pháp tốt nhất cho hệ thống. II. Công cụ và các bước chuẩn bị: Đầu tiên ta cần chuẩn bị: Phần mềm DoSHTTP 2.5.1 Phần mềm phân tích gói tin WireShark Xác định mục tiêu cần tấn công (ở đây ta sử dụng sieuthihue.vn) III. Thực Nghiệm: Gồm 9 bước Bước 1: Cài đặt DoSHTTP 2.5.1 Bước 2: Bật WireShark Chọn card mạng để thực hiện bắt gói tin, rồi nhấn start Bước 3: Vào Website mục tiêu để kiểm tra : sieuthihue.vn Bước 4: Kiểm tra WireShark thấy các kết nối tới sieuthihue.vn tuy có nhiều gói tin bị mất khi truy cập nhưng nhìn chung việc truy cập trang web vẫn diễn ra bình thường. Bước 5: Xác định mục tiêu và bắt đầu tấn công Nhấn vào đây để thực hiện DDoS là : sieuthihue.vn Nhập địa chỉ web vào đây Bước 6: Kiểm tra các kết nối trong WireShark khi tấn công, các gói tin HTTP rớt hoàn toàn, chỉ có các gói tin TCP gửi đến để thực hiện kết nối theo 3 bước bắt tay là được nhận và có hồi đáp bằng gói tin ACK từ sieuthihue.vn. Bước 7: Kiểm tra Website bằng cách vào lại Website 1 lần nữa và đồng thời mở một trang web bất kì ở cửa sổ khác (ở đây là trang www.vn-zoom.com), ta thấy rằng sieuthihue.vn không thể truy cập vào được trong khi đó trang www.vn-zoom.com vẫn có thể truy cập được. Bước 8: Tắt phần mềm Nhấn vào đây để kết thúc DDoS Số request được gửi đi Bước 9: File báo cáo sau khi sử dụng phần mềm DoSHTTP 2.5.1 NHẬN XÉT: Tuy việc demo chỉ diễn ra nhanh (khoảng 1 phút 14 giây) với một tool DoSHTTP đơn giản nhưng trang web sieuthihue.vn đã không thể chịu nổi sức phá hoại của việc DoS khiến cho việc truy cập vào trang web không thể thực hiện được. Qua đó có thể hình dung ra được sức phá hoại kinh khủng của các tool DoS và DDoS khác nếu như được sử dụng để phá hoại một website có chủ đích và kế hoạch là như thế nào, việc đó có thể giết chết website đó nếu không có sự phòng chống từ trước. Vì vậy nên chúng ta cần áp dụng một số phương pháp để phòng chống DoS và DDoS.CHƯƠNG IV: CÁC CÁCH PHÒNG CHỐNG DoS/DDoS/DRDoS. Trước khi thiết lập chính sách cho tường lửa, chúng ta cần lập tài liệu đánh giá phân tích rủi ro có thể sảy ra đối với các ứng dụng của tổ chức khi bị tấn công từ chối dịch vụ. Kết quả của sự phân tích này sẽ bao gồm một danh sách các ứng dụng, và phương pháp bảo vệ các ứng dụng này như thế nào. Rủi ro là mặt đối lập của bảo mật nên chúng ta thường cố gắng loại trừ nó. Tuy nhiên, thực tế cho thấy các rủi ro không bao giờ loại trừ hết được. Các chính sách chống lại tấn công từ chối dịch vụ: Đặc quyền tối thiểu: đây là nguyên tắc an ninh căn bản nhất. Mọi đối tượng tượng (người dùng, người quản trị, chương trình, hệ thống...) chỉ nên có đủ đặc quyền để đối tượng thực hiện nhiệm vụ của chúng. Ví dụ trong firewall ta nên thiết lập rule mặc định là chặn tất cả các gói tin đi từ mạng bên trong ra bên ngoài và ngược lại, sau đó thiết lập dịch vụ nào được chạy, những user nào có quyền được làm gì Để hạn chế sự mở rộng của tấn công và tác hại của chúng. Kiểm soát dịch vụ: Xác định kiểu dịch vụ nào có thể được truy nhập (vào/ra). Ví dụ: Dịch vụ web, mail, FTP, telnet, SHH Kiểm soát hướng: Khi mở 1 dịch vụ sẽ cho request từ mạng nào vào (tin cậy hoặc không tin cây) Ví dụ: Một mạng định nghĩa có 3 miền: interner, externer, DMZ. Trong miền DMZ cấu hình dịch vụ chia sẻ file FTP, chỉ cho phép những request từ miền interner và drop những request từ miền khác. Firewall kiểm soát hướng vào ra của gói tin. Kiểm soát số lượng connections trên 1 IP trong 1 đơn vị thời gian: Hay nói các khác là giới hạn các gói SYN. Ví dụ chỉ cho phép 5 gói SYN tới server trong 3 giây nhiều hơn firewall sẽ chặn để giảm tải cho server không phải xử lí nhiều. Cách này là phương pháp tốt nhất để ngăn chặn SYN attack. Ngăn chặn Virus, Trojan, Worm: đây là cách làm hạn chế quy mô của BOTNET và tạo sự an toàn cho mạng nội bộ. Một công cụ mà bất cứ ai sử dụng ISA Server đều phải sử dụng nó, đó là GFI’s Download Security. Đặc điểm chính của công cụ này, nó được tích hợp vào ISA Firewall và nó ngăn chặn các tập tin tự chạy .exe, kiểm soát các tập tin được download từ Internet về, kiểm tra ActiveX trong trình duyệt và đưa ra cảnh báo cho các user. Hoặc sử dụng công cụ từ các hảng bảo mật như BitDefender for ISA, Symantec AntiVirus for ISA Server, Những kẻ tấn công có thể lợi dụng virus hay trojan này để điều khiển các máy trong mạng làm zombie để thực hiện tấn công DDOS. Khi tấn công xảy ra có thể làm nghẽn băng thông của mạng của tổ chức. Chuyển sang IPv6: Nếu chuyển sang IPv6 thì 90% những kẻ hở của giao thức trong IPv4 sẽ bị loại bỏ và bởi thế, DDoS cũng bị loại bỏ 1 phần lớn. Một trong những tính năng quan trọng của IPv6 là IPSec hoàn toàn được hỗ trợ (natively). Vì tính năng này, những dạng DDoS sử dụng reflection không thể thực hiện được vì các packets refection không có giá trị. Những dạng DDoS sử dụng spoof addresses như với IPv4 sẽ không thực hiện được với IPv6. Các dạng DDoS sử dụng biện pháp spoofing và reflection chiếm tỉ lệ rất lớn ở IPv4. Khi chuyển sang IPv6, mỗi thiết bị được gán cho 1 IP riêng và nếu IP ấy dùng để DDoS thì nó sẽ bị ban vĩnh viễn. Giúp loại bỏ tác nhân DDoS. Không may, với IPv6, dạng flood bằng TCP, UDP và ICMP vẫn không thể triệt tiêu vì cơ chế "bắt tay" vẫn không thay đổi. Tuy nhiên, vì IPv6 có thừa IP để cấp cho mỗi thiết một IP tĩnh riêng biệt cho nên nếu sử dụng biện pháp ban IP vi phạm thì chỉ ảnh hưởng có 1 người thay vì ban 1 IPv4 IP như hiện nay có thể ban hàng chục, hàng trăm hay hàng ngàn người (vì sử dụng proxy, nat....). KẾT LUẬN Nhìn chung, tấn công từ chối dịch vụ không quá khó thực hiện, nhưng rất khó phòng chống do tính bất ngờ và thường là phòng chống trong thế bị động khi sự việc đã rồi. Việc đối phó bằng cách tăng cường “phần cứng” cũng là giải pháp tốt, nhưng thường xuyên theo dõi để phát hiện và ngăn chặn kịp thời cái gói tin IP từ các nguồn không tin cậy là hữu hiệu nhất. Tùy mô hình, quy mô cụ thể của hệ thống mà có các biện pháp bảo vệ, phòng chống khác nhau. DoS, DDoS, DRDoS đang và sẽ là vấn nạn nguy hại lớn cho nền Internet toàn cầu. Tuy nhiên có thể loại trừ nó ra khỏi mạng internet hiện nay là rất khó. Có rất nhiều việc phải làm và chuẩn bị để kiểm soát được DDoS. Chúng ta phải có những bước đi cụ thể & mạnh mẽ hơn để cùng khống chế loại hình tấn công nay.
File đính kèm:
- tieu_luan_tim_hieu_ve_tan_cong_tren_mang_dung_ky_thuat_dosdd.doc