Tải bản đầy đủ (.pdf) (58 trang)
  1. Trang chủ
    2. >>
  2. Kỹ Thuật - Công Nghệ
    3. >>
  3. Kĩ thuật Viễn thông

Bài tập lớn môn mạng và truyền thông (8)

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.69 MB, 58 trang )

HỌC VIỆN NGÂN HÀNG
KHOA HỆ THỐNG THÔNG TIN QUẢN LÝ
******

BÀI TẬP LỚN
HỌC PHẦN: MẠNG TRUYỀN THƠNG

ĐỀ TÀI:

TÌM HIỂU VỀ TẤN CƠNG MẠNG DDOS

Giảng viên hướng dẫn:

Thầy Lê Văn Hùng

Nhóm sinh viên thực hiện:

Trần Khánh Nam

21A4040076

Chu Thúy Quỳnh

22A4040087

Tô Văn Tuấn

22A4040056

Đỗ Thị Lan Hương


22A4040048

Tô Thị Linh

23A4040072

HÀ NỘI 2022
1


LỜI CAM ĐOAN
Chúng em xin cam đoan kết quả đạt được trong báo cáo là sản
phẩm tự nghiên cứu, tự tìm hiểu của riêng chúng em. Trong tồn bộ nội
dung của báo cáo, những điều được trình bày hoặc là của chúng em
hoặc là được tổng hợp từ nhiều nguồn tài liệu. Tất cả tài liệu tham khảo
đều có xuất xứ rõ ràng và được trích dẫn hợp pháp.
Chúng em xin hồn tồn chịu trách nhiệm và chịu mọi hình thức
kỷ luật theo quy định theo lời cam đoan của mình.

Nhóm sinh viên thực hiện
Trần Khánh Nam
Chu Thúy Quỳnh
Tơ Văn Tuấn
Đỗ Thị Lan Hương
Tô Thị Linh

2


LỜI CẢM ƠN

Chúng em xin gửi lời cảm ơn chân thành tới thầy Lê Văn Hùng Giảng viên Khoa Hệ thống thông tin quản lý, Học viện Ngân hàng.
Trong quá trình học tập và thực hiện bài báo cáo “Tìm hiểu và tấn công
mạng DDoS”, thầy đã luôn tạo điều kiện, giúp đỡ để chúng em hoàn
thành tốt nhất bài tập lớn lần này.
Chúng em đã cố gắng hoàn thiện bài báo cáo với tất cả sự nỗ lực và
cố gắng của cả nhóm. Tuy nhiên, do cịn thiếu nhiều kinh nghiệm, chắc
chắn bài báo cáo sẽ không tránh khỏi thiếu sót. Vì vậy, chúng em rất
mong nhận được sự quan tâm, những ý kiến đóng góp của thầy để bài
báo cáo của chúng em có thể hồn thiện hơn.
Chúng em xin chân thành cảm ơn!

3


Phân Chia Công Việc
Mã sinh viên

Họ và tên

Công việc thực hiện

Đóng góp

21A4040076

Trần Khánh Nam

Thuyết trình chương 2 + hồn
thiện word


20%

22A4040087

Chu Thúy Quỳnh

Thuyết trình chương 1 + nội
dung chương 1 (phần 1,2,3)

20%

22A4040056

Tô Văn Tuấn

Nội dung chương 1 (phần 4, 5, 6,
7)

20%

22A4040048

Đỗ Thị Lan Hương Nội dung chương 2 (phần 4, 5, 6,
7, 8)

20%

23A4040072

Tơ Thị Linh


Nội dung chương 2 (phần 1,2,3)
+ hồn thiện word + pp

20%

4


MỤC LỤC

LỜI MỞ ĐẦU ......................................................................................................................7
CHƯƠNG 1: TỔNG QUAN VỀ DDOS .............................................................................8
1. DDoS là gì? ......................................................................................................................8
2. Mục đích của các cuộc tấn công DDoS ...........................................................................9
3. Thực trạng tấn công DDoS ............................................................................................ 10
3.1. Trên thế giới ................................................................................................................10
3.2. Tại Việt Nam...............................................................................................................12
4. Phân loại các kiểu tấn công DDoS.................................................................................13
4.1. Tấn công làm cạn kiệt băng thông (BandWith Depletion Attack) ............................. 13
4.1.1. Tấn công tràn băng thông (Flood Attack) ................................................................ 13
4.1.2. Khuếch đại giao tiếp (Amplification attack)............................................................ 15
4.2. Tấn công làm cạn kiệt tài nguyên (Resource Deleption Attack) ................................ 16
4.2.1. Tấn công khai thác giao thức (Protocol Exploit Attack) .........................................17
4.2.2. Tấn cơng gói khơng đúng định dạng (Malformed Packet Attack) .......................... 18
4.3. Các loại tấn công DDoS khác .....................................................................................18
5. Botnet ............................................................................................................................. 20
5.1. Khái niệm ....................................................................................................................20
5.2. Cấu trúc tổng quan của DDoS Attack-Network .........................................................21
5.2.1. Mơ hình Agent Handler ........................................................................................... 21

5.2.2. Mơ hình IRC-Based .................................................................................................22
6. Các đặc tính của cơng cụ DDoS Attack .........................................................................23
6.1. Chức năng của công cụ DDoS Attack ........................................................................23
6.2. Giao tiếp trên mạng Botnet .........................................................................................24
6.3. Cách thức cài đặt DDoS Agent ...................................................................................25
7. Một số công cụ tấn công DDoS phổ biến hiện nay .......................................................26
7.1. Công cụ DDoS dạng Agent-Handler ..........................................................................26
7.2. Công cụ DDoS dạng IRC – Based: .............................................................................28
7.3. Một số loại công cụ DDoS phổ biến khác ..................................................................28
5


CHƯƠNG 2: PHỊNG CHỐNG CUỘC TẤN CƠNG DDOS ..........................................32
1. Phát hiện và ngăn chặn Agent (Detect and Prevent) ...................................................35
2. Phát hiện và vơ hiệu hóa các Handler (Detect and neutralize handler) .........................36
3. Phát hiện dấu hiệu của một cuộc tấn công DDOS (Detect and prevent agent) .............36
4. Cách ngăn chặn các cuộc tấn công DDOS cho website WordPress .............................. 38
5. Làm suy giảm hoặc chặn cuộc tấn công DDOS ............................................................ 42
6. Chuyển hướng cuộc tấn công: .......................................................................................47
7. Giai đoạn sau tấn công: ..................................................................................................51
8. Các giải pháp đơn đối với những cuộc tấn công DDOS nhỏ: .......................................52
KẾT LUẬN ........................................................................................................................55
Danh Mục Tài Liệu Tham Khảo ........................................................................................56

6


LỜI MỞ ĐẦU
Hiện nay trong thời đại công nghệ 4.0, Internet đang phát triển mạnh mẽ trên
toàn thế giới. Rất nhiều dịch vụ, thông tin quan trọng đối với cá nhân, doanh

nghiệp được sử dụng và lưu trữ trên mạng, máy tính. Một cuộc tấn cơng gây đình
chỉ hoặc khơng thể truy cập dịch vụ, thông tin trong một thời gian ngắn cũng có thể
ảnh hưởng xấu đến những website. Ngồi ra, nó cịn để lại hậu quả nặng nề cho các
doanh nghiệp về kinh doanh, lợi nhuận và uy tín.
Một trong các kiểu tấn cơng phổ biến hiện nay đó chính là DDoS, các cuộc
tấn cơng DDoS cịn được tội phạm mạng dùng để đánh lạc hướng chuyên gia an
ninh mạng nhằm tiến hành các cuộc tấn công xâm nhập, đánh cắp dữ liệu.
Cuộc tấn công DDoS đầu tiên diễn ra vào năm 1966, từ đó đến nay, vơ số các
cuộc tấn công DDoS đã diễn ra với quy mô ngày càng lớn. Theo Cisco, các cuộc
tấn công DDoS sẽ xuất hiện ngày càng nhiều. Dự đoán, số vụ tấn công DDoS sẽ
tăng gấp đôi, từ con số 7,9 triệu vụ được phát hiện vào năm 2018 tới hơn 15 triệu
vào năm 2023. Do đó, tấn cơng DDoS là chủ đề đang được rất nhiều người dùng
và doanh nghiệp quan tâm. Và chủ đề của nhóm em sẽ đi sâu vào tìm hiểu về
DDoS cũng như cung cấp thơng tin tổng quan về từ chối dịch vụ trên internet cũng
như giải pháp phòng chống DDoS.

7


CHƯƠNG 1: TỔNG QUAN VỀ DDOS
1. DDoS là gì?
DDoS (Distributed Denial of Service) tấn công từ chối dịch vụ phân tán là
một hình thức tấn cơng mạng. Nó khiến người dùng khơng thể truy cập bình
thường vào máy chủ, dịch vụ hoặc mạng bị tấn công bằng cách làm quá tải tài
nguyên của hệ thống. Lấy ví dụ trực quan, việc bạn không thể tham gia các hoạt
động của đối tượng bị nhắm đến cũng giống như phương tiện giao thông không thể
nhập vào làn đường đang quá ùn tắc.

Cách thức thực hiện một cuộc tấn công DDoS về cơ bản khá giống với DoS
(Denial of Service). Nhưng thay vì chỉ tấn công bởi một máy chủ, DDoS sử dụng

nhiều thiết bị, nhiều nguồn để thực hiện tấn công vào mục tiêu.

8


2. Mục đích của các cuộc tấn cơng DDoS
Nạn nhân của các cuộc tấn công thường là máy chủ web của các tổ chức cao cấp
như ngân hàng, công ty truyền thơng, mạng xã hội, thậm chí là cả các tổ chức chính
phủ,… Để có thể ngăn chặn tấn cơng DDoS, trước hết cần biết các động lực thúc đẩy
thực hiện chúng là gì? Có thể kể đến một số mục đích như sau:
• Tài chính: Tấn cơng DDoS thường được kết hợp với tấn công ransomeware
(ransomeware là một dạng phần mềm độc hại chuyên mã hóa dữ liệu hoặc khóa
quyền truy cập thiết bị của người dùng, thường được hiểu là phần mềm tống tiền
hoặc mã độc tống tiền – WannaCry). Những kẻ tấn công thường là một phần của
nhóm tội phạm có tổ chức. Các doanh nghiệp đối thủ cũng có thể là thực hiện tấn
cơng DDoS để có được lợi thế cạnh tranh.
• Bất đồng về ý thức hệ, chính trị xã hội: Các cuộc tấn cơng thường nhắm vào các
cơ quan quản lý hay các nhóm biểu tình áp bức trong chính trị, Những cuộc tấn
cơng với mục đích này thường được thực hiện nhằm hỗ trợ một hệ thống chính trị
hoặc một tơn giáo cụ thể. Điền hình là cuộc tấn cơng DDoS đối với Nga trong
cuộc chiến tranh Ukraina (2022).
• Chiến thuật: Trong trường hợp này, tấn công DDoS chỉ là một phần trong các
chiến dịch lớn với những mục đích lớn hơn. Lúc đó, tấn cơng DDoS cịn được kết
hợp với các cuộc tấn công vật lý hay tấn công phần mềm khác.

9


• Thương mại: Tấn cơng DDoS có thể thu thập được nhiều thông tin, dữ liệu quan
trọng hoặc gây thiệt hại cho các ngành công nghiệp, các doanh nghiệp. Cụ thể, các

cuộc tấn công vào Sony (2014) hay British Airways, …dẫn đến tình trạng trải
nghiệm của người dùng giảm do gián đoạn kết nối và mất niềm tin vào các nhãn
hiệu đó.
• Tống tiền: Tương tự như các cuộc tấn cơng ransomeware, DDoS có thể được tiến
hành nhằm phục vụ lợi ích cá nhân mà chủ yếu là tống tiền.
• Tấn cơng chính trị: Một số cuộc tấn cơng DDoS nhằm gây mất trật tự trị an hoặc
gây rối loạn trong quân sự.

3. Thực trạng tấn công DDoS
3.1. Trên thế giới
Tấn công từ chối dịch vụ (DDoS) diễn ra thường xuyên trong những năm gần
đây với mục tiêu làm gián đoạn dịch vụ được cung cấp qua Internet tới khách
hàng, bản chất DDoS không làm thay đổi hay đánh cắp thông tin. Tuy nhiên, với
khả năng gây tê liệt hệ thống trong thời gian các đợt tấn công diễn ra cũng đủ
khiến các tổ chức/doanh nghiệp phải “đau đầu”.
Để làm gián đoạn một dịch vụ trực tuyến, kẻ tấn công DDoS huy động một số
lượng lớn máy tính (bị chiếm quyền điều khiển bằng nhiều hình thức) cùng truy
cập vào một dịch vụ trực tuyến liên tục, dẫn đến hệ thống dịch vụ trực tuyến bị quá
tải và không thể phục vụ vào thời điểm đó.
Các cuộc tấn cơng DDoS có xu hướng tăng về quy mơ và số lượng. Dưới đây
là phân tích của Cisco và dự báo về số lượng những cuộc tấn cơng DDoS có thể
diễn ra trên Internet.

10


Phương thức của các cuộc tấn công cũng trở nên tinh vi hơn. Tấn cơng DDoS
hiện nay khơng cịn dừng ở lớp thứ 3 nữa. Đã ghi nhận các cuộc tấn công được
thực hiện tại lớp ứng dụng lớn. Neustar cho biết, có tới 77% các cuộc tấn cơng
trong q I năm 2019 sử dụng hai hoặc nhiều vector để tấn công (multivector).

Sự phát triển của AI và học máy cũng cho hacker thêm nhiều công cụ tiến
hành DDoS. Lấy ví dụ, các botnet DDoS đã ứng dụng phương pháp học máy để
tiến hành trinh sát các mạng tinh vi, từ đó tìm ra các hệ thống dễ xâm nhập nhất.
Ngoài ra, AI cũng được áp dụng để tự cấu hình lại nhằm thay đổi chiến lược tấn
cơng, tránh bị phát hiện.
Các cuộc tấn cơng DDoS thường có chủ đích nhắm vào các tổ chức, doanh
nghiệp có quy mơ, tầm ảnh hưởng lớn. Một trong số cuộc tấn công DDoS đáng chú
ý trên thế giới có thể kể đến như: Cuộc tấn công DDoS đối với Amazon Web
Service (AWS) vào tháng 2/2020. Đây là cuộc tấn công DDoS mạnh mẽ nhất từ
trước tới nay nhắm vào một khách hàng sử dụng nền tảng AWS.
Hai dịch vụ trực tuyến của Sony là Playstation Network và Sony
Entertainment Network cũng đã từng bị tin tặc tấn cơng theo phương thức này.
Trước đó, một loạt các nền tảng mạng xã hội như Instagram, Facebook và
WhatsApp cũng đồng loạt gặp phải sự cố không thể truy cập (2009). Với
Wikipedia, trang bách khoa toàn thư mở cực kỳ phổ biến này cũng từng gặp phải
11


tình trạng tương tự vào tháng 9/2017, gây ảnh hưởng tới việc truy cập của hàng
trăm nghìn người dùng.
Mới đây nhất, vào năm 2022, người phát ngôn Bộ Ngoại giao Nga Maria
Zakharova cho biết trang web của bộ này đã bị tấn công từ chối dịch vụ DDoS cả
ngày lẫn đêm.
3.2. Tại Việt Nam
Theo thông tin công bố vào tháng 5/2019 của Nexusguard Limited, Việt Nam
đang giữ một vị trí đáng quan ngại trong bức tranh tấn cơng DDOS tồn cầu. Số
liệu được tổ chức Nexusguard Limited thống kê cho thấy, Việt Nam đứng vị trí thứ
6 về nguồn tấn cơng DDoS trên tồn cầu sau Trung Quốc, Mỹ, Pháp, Nga và
Brazil.
Tại khu vực Châu Á Thái Bình Dương, Việt Nam đứng thứ vị trí thứ 2 về

nguồn tấn cơng DDoS với tỷ lệ 9,52%, sau Trung Quốc và trên vị trí của Ấn Độ và
Indonesia… Nexusguard cũng cơng bố các doanh nghiệp bị tấn công từ chối dịch
vụ nhiều nhất tại Việt Nam lần lượt là VNPT, Viettel, FPT, Vietnamobile... (tính từ
ngày 1/1 đến hết ngày 15/4/2019).
Năm 2008 và 2012, Bkav cũng từng bị tấn công từ chối dịch vụ dù đã dựng
hệ thống tường lửa. Kẻ tấn công đã huy động bạn bè cài đặt virus tại các cửa hàng
game, Internet công cộng. Từ đây, virus được phát tán qua USB. Bằng cách này,
thủ phạm đã tạo dựng được một mạng botnet với khoảng 1.000 máy tính ma và
biến nó thành cơng cụ DDoS.
Tháng 11/2021, cuộc tấn cơng vào báo điện tử VOV - Đài tiếng nói Việt Nam
được gây ra bởi một thiếu niên 16 tuổi nhằm gây ra tình trạng khơng thể truy cập
trang web.
Bên cạnh những cơ hội mà kỷ nguyên của công nghệ Internet mang lại, các tổ
chức/doanh nghiệp hoạt động trên môi trường Internet cũng cần phải được chuẩn

12


bị tốt để đương đầu với những “mặt tối” mà nó mang lại, trong đó an ninh mạng và
bảo mật thông tin là một trong những vấn đề cần được quan tâm hơn nữa.
4. Phân loại các kiểu tấn công DDoS
Hiện nay, có rất nhiều kiểu tấn cơng DDoS phổ biến. Dựa trên mục đích tấn
cơng mà phân loại các kiểu tấn công DDoS thành 2 loại: tấn công làm cạn kiệt
băng thông và tấn công làm cạn kiệt tài nguyên. Dưới đây là sơ đồ phân loại các
kiểu tấn công DDoS.

4.1. Tấn công làm cạn kiệt băng thông (BandWith Depletion Attack)
Tấn công làm cạn kiệt băng thông (BandWith Depletion Attack) được thiết kế
nhằm làm tràn ngập mạng mục tiêu với những traffic không cần thiết, với mục địch
làm giảm tối thiểu khả năng của các traffic hợp lệ đến được hệ thống cung cấp dịch

vụ của mục tiêu.
4.1.1. Tấn công tràn băng thông (Flood Attack)
Trong kiểu tấn công này, các Agent sẽ gửi một lượng lớn IP traffic làm cho hệ
thống dịch vụ của mục tiêu hoạt động chậm lại, hệ thống bị treo hay đạt đến trạng
thái hoạt động bão hòa. Làm cho những người dùng thực sự của hệ thống không sử
dụng được dịch vụ.
13


Có thể chia Flood Attack thành hai loại:
- UDP Flood Attack: UDP – User Datagram Protocol được hiểu là giao
thức kết nối khơng tin cậy. Theo đó, UDP Flood sẽ tấn công gây ngập
lụt UDP.
Khi thực hiện phương thức tấn công này, tin tặc sẽ gửi một lượng lớn các gói
tin UDP tới một số cổng ngẫu nhiên trên server. Máy chủ kiểm tra và trả lời với
một ICMP Destination Unreachable (gói tin khơng tìm thấy). Khi số lượng u
cầu UDP vượt quá ngưỡng cho phép, máy chủ sẽ mất khả năng xử lý request, dẫn
đến tình trạng từ chối dịch vụ.

- ICMP Flood Attack: ICMP flood attack hoặc ping flood là khi kẻ tấn công
cố gắng tràn ngập một thiết bị mục tiêu bằng các gói tin ICMP request/reply.
Mục tiêu phải xử lý và trả lời từng gói tin, sử dụng tài ngun máy tính của
nó cho đến khi người dùng hợp lệ không thể được phục vụ.

14


4.1.2. Khuếch đại giao tiếp (Amplification attack)
Amplification Attack nhắm đến việc sử dụng các chức năng hỗ trợ địa chỉ IP
broadcast của các router nhằm khuếch đại và hồi chuyển cuộc tấn công.

Chức năng này cho phép bên gửi chỉ định một địa chỉ IP broadcast cho toàn
subnet bên nhận thay vì nhiều địa chỉ. Router sẽ có nhiệm vụ gửi đến tất cả
địa chỉ IP trong subnet đó.
- Fraggle Attack: sử dụng một phần mềm độc hại để giả mạo địa chỉ IP và
gửi một lượng lớn UDP đến máy chủ, gây quá tải hệ thống.

15


- Smurf Attack: là kiểu tấn cơng mà trong đó, kẻ tấn công cố gắng làm sập
máy chủ mục tiêu bằng giao thức Internet Control Message Protocol
(ICMP). Họ tiến hành điều khiển các agent hay client tự gửi message đến
một địa chỉ IP broadcast. Điều này làm cho tất cả các máy trong subnet này
gửi message đến hệ thống dịch vụ của mục tiêu. Do đó, làm gia tăng traffic
khơng cần thiết, làm suy giảm băng thông mục tiêu và dẫn tới không truy
cập được.

4.2. Tấn công làm cạn kiệt tài nguyên (Resource Deleption Attack)
Tấn công làm cạn kiệt tài ngun (Resource Deleption Attack) là kiểu tấn
cơng trong đó attacker gửi những packet dùng các protocol sai chức năng thiết kế,
hay gửi những packet với dụng ý làm tắc nghẽn tài nguyên mạng làm cho các tài
nguyên này không phục vụ user thông thường khác được.
Tấn công làm cạn kiệt tài nguyên (Resource Deleption Attack) phân thành 2
loại: tấn công khai thác giao thức (Protocol Exploit Attack) và tấn công gói khơng
đúng định dạng (Malformed Packet Attack)

16


4.2.1. Tấn công khai thác giao thức (Protocol Exploit Attack)


SYN Flood là hình thức tấn cơng được thực hiện để khai thác điểm yếu
trong giao thức kết nối mạng TCP (quá trình bắt tay 3 bước). Theo phương thức
giao tiếp internet thơng thường thì máy chủ sẽ nhận 1 thơng điệp nội bộ (SYN) để
tiến hành “bắt tay” (handshake). Khi đã nhận được thông điệp, máy chủ sẽ gửi cờ
báo nhận (ACK) tới máy lưu trữ ban đầu và đóng kết nối. Nhưng một khi tin tặc đã
tấn công SYN Flood, các thông điệp giả mạo sẽ được gửi đi liên tục, dẫn đến kết
nối khơng được đóng lại và dịch vụ bị đánh sập.
ACK & PUSH ACK Flood Attack : Trong một phiên TCP-SYN đang hoạt
động, các gói ACK hoặc PUSH ACK mang thông tin đến và đi từ máy chủ và máy
khách cho đến khi phiên kéo dài. Trong một cuộc tấn công ACK & PUSH ACK
Flood, một lượng lớn các gói ACK giả mạo được gửi đến máy chủ mục tiêu để làm
giảm nó.
Vì các gói này không được liên kết với bất kỳ phiên nào trong danh sách kết
nối của máy chủ, máy chủ dành nhiều tài nguyên hơn để xử lý các yêu cầu này.
Kết quả là một máy chủ không khả dụng để xử lý các yêu cầu hợp pháp do tài
nguyên cạn kiệt cho đến khi cuộc tấn công kéo dài.

17


4.2.2. Tấn cơng gói khơng đúng định dạng (Malformed Packet Attack)
Malformed Packet Attack là cách tấn công dùng các Agent để gửi các packet
có cấu trúc khơng đúng chuẩn nhằm làm cho hệ thống của nạn nhân bị treo.
Có hai loại Malformed Packet Attack:
- IP packet options attack ngẫu nhiên hóa vùng lựa chọn (option) trong IP
packet và thiết lập tất cả các bit QoS lên 1, điều này làm cho hệ thống của
nạn nhân phải tốn thời gian phân tích, nếu sử dụng số lượng lớn Agent có
thể làm hệ thống nạn nhân hết khả năng xử lý.
- IP address attack: dùng packet có địa chỉ gửi và nhận giống nhau làm cho

hệ điều hành của nạn nhân không xử lý nổi và bị treo.
4.3. Các loại tấn công DDoS khác


Slowloris

18


Tin tặc sẽ gửi đến server một lượng lớn yêu cầu HTTP khơng hồn chỉnh.
Đồng thời cố gắng duy trì số kết nối tối đa trong thời gian dài. Khi số lượng kết nối
của webserver đạt cực đại (webserver bị đầy kết nối), máy chủ sẽ bắt đầu từ chối
những yêu cầu kết nối tiếp theo, bao gồm cả request của người dùng thông thường.


Application Level Attack

Application Level Attack tấn công vào lỗ hổng bảo mật các thiết bị mạng, hệ
điều hành server. Đây được xem là loại tấn công tinh vi và gây ra hậu quả lớn nhất.


NTP Amplification

19


NTP Amplification là kiểu tấn công khai thác lỗ hổng tính năng Monlist của
máy chủ NTP. Monlist là gì? Monlist là danh sách các máy tính kết nối với máy
chủ NTP. Cụ thể, tin tặc sẽ gửi request yêu cầu Monlist đến NTP server bằng IP
giả. Source IP bị giả mạo chính là địa chỉ IP của máy tính mục tiêu. Vì vậy, các

NTP server sẽ liên tục gửi phản hồi Monlist về cho nạn nhân. Điều này khiến hệ
thống webserver mục tiêu bị quá tải.
Vì sử dụng IP giả mạo và có khả năng khuếch đại và sử dụng băng thông lớn
nên NTP Amplification là một kiểu tấn công “ném đá giấu tay” có tính phá hoại rất
cao.
5. Botnet
5.1. Khái niệm
Botnet (tên đầy đủ là “Bots Network”) dùng để chỉ một mạng lưới các máy
tính bị chi phối và bị điều khiển từ xa bởi một máy tính khác để cùng thực hiện
một nhiệm vụ nào đó. Mỗi máy tính trên mạng hoạt động như một “bot”, và được
kẻ xấu kiểm soát để lây truyền malware, spam hoặc nội dung độc hại nhằm khởi
động cuộc tấn công. Botnet cũng có thể hiểu là một tập hợp các rơ bốt phần mềm
hoặc các con bot hoạt động một cách tự chủ.
20


Nguồn gốc của botnet chủ yếu là để phục vụ như một công cụ trong các kênh
Internet Relay Chat (IRC). Cuối cùng, những kẻ xấu sẽ khai thác các lỗ hổng có
trong mạng IRC và các bot được phát triển. Điều này được cố ý tạo ra để thực hiện
các hoạt động độc hại như ghi nhật ký về hành động nhấn phím, đánh cắp mật
khẩu, v.v...
5.2. Cấu trúc tổng quan của DDoS Attack-Network
Nhìn chung, DDoS Attack-Network được chia thành 2 mơ hình chính: Mơ
hình Agent-Handler và Mơ hình IRC-Based
5.2.1. Mơ hình Agent Handler

Theo mơ hình này, attack-network gồm 3 thành phần: Agent, Client và
Handler trong đó:



Client: là software cơ sở để hacker điều khiển mọi hoạt động của attacknetwork.



Handler: là một thành phần software trung gian giữa Agent và Client.



Agent: là thành phần software thực hiện sự tấn công mục tiêu, nhận điều
khiển từ Client thông qua các Handler.

Attacker sẽ từ Client giao tiếp với Handler để xác định số lượng Agent đang
online, điều chỉnh thời điểm tấn công và cập nhật các Agent. Tùy theo cách
21


attacker cấu hình attack-network, các Agent sẽ chịu sự quản lý của một hay nhiều
Handler.
Thông thường Attacker sẽ đặt Handler software trên một Router hay một
server có lượng traffic lưu thông nhiều. Việc này nhằm làm cho các giao tiếp giữa
Client, handler và Agent khó bị phát hiện. Các giao tiếp này thông thường xảy ra
trên các protocol TCP, UDP hay ICMP. Chủ nhân thực sự của các Agent thông
thường không hề hay biết họ bị lợi dụng vào cuộc tấn công kiểu DDoS, do họ
không đủ kiến thức hoặc các chương trình Backdoor Agent chỉ sử dụng rất ít tài
nguyên hệ thống làm cho hầu như không thể thấy ảnh hưởng gì đến hiệu năng của
hệ thống.
5.2.2. Mơ hình IRC-Based

IRC – Based network cũng tương tự như Agent – Handler network nhưng mơ
hình này sử dụng các kênh giao tiếp IRC làm phương tiện giao tiếp giữa Client và

Agent (khơng sử dụng Handler). Sử dụng mơ hình này, attacker cịn có thêm một
số lợi thế khác như:


Các giao tiếp dưới dạng chat message làm cho việc phát hiện chúng là vơ
cùng khó khăn.



IRC traffic có thể di chuyển trên mạng với số lượng lớn mà không bị nghi
ngờ.
22




Khơng cần phải duy trì danh sách các Agent, hacker chỉ cần logon vào IRC
server là đã có thể nhận được report về trạng thái các Agent do các channel
gửi về.



Sau cùng IRC cũng là một môi trường file sharing tạo điều kiện phát tán các
Agent code lên nhiều máy khác.

6. Các đặc tính của cơng cụ DDoS Attack
6.1. Chức năng của cơng cụ DDoS Attack
Mỗi cơng cụ DDoS có một tập lệnh riêng, tập lệnh này được Handler và
Agent thực hiện. Tuy nhiên ta có thể phân loại tổng quát tập lệnh chung của mọi
công cụ như sau:


23


6.2. Giao tiếp trên mạng Botnet
Protocol: giao tiếp trên mạng Botnet có thể thực hiện trên nền các protocol
TCP, UDP, ICMP.

24


Mã hóa các giao tiếp: một vài cơng cụ DDoS hỗ trợ mã hóa giao tiếp trên tồn
bộ mạng Botnet. Tùy theo protocol được sử dụng để giao tiếp sẽ có các phương
pháp mã hóa thích hợp. Nếu mạng Botnet ở dạng IRC-based thì private và secrect
channel đã hỗ trợ mã hóa giao tiếp.
Cách kích hoạt Agent: có hai phương pháp chủ yếu để kích hoạt Agent. Cách
thứ nhất là Agent sẽ thường xuyên quét thăm dò Handler hay IRC channel để nhận
chỉ thị (active Agent). Cách thứ hai là Agent chỉ đơn giản là “nằm vùng” chờ chỉ
thị từ Handler hay IRC Channel.
6.3. Cách thức cài đặt DDoS Agent
Attacker có thể dùng phương pháp active và passive để cài đặt phần mềm
Agent lên các máy khác nhằm thiết lập mạng tấn công kiểu Agent-Handler hay
IRC-based.
- Một số cách cài đặt sử dụng phương pháp active như:
+ Backdoor: sau khi tìm thấy được danh sách các hệ thống có thể lợi dụng,
attacker sẽ tiến hành xâm nhập và cài chương trình Agent lên các hệ thống
này. Có rất nhiều thơng tin sẵn có về cách thức xâm nhập trên mạng, như
site của tổ chức Common Vulnerabilities and Exposures (CVE), ở đây liệt
kê và phân loại trên 4.000 loại lỗi của tất cả các hệ thống hiện có. Thơng tin
này ln sẵn sàng cho cả giới quản trị mạng lẫn hacker.

+ Buffer Overflow: tận dụng lỗi buffer overflow, attacker có thể làm cho
chu trình thực thi chương trình thơng thường bị chuyển sang chu trình thực
thi chương trình của hacker (nằm trong vùng dữ liệu ghi đè). Có thể dùng
cách này để tấn cơng vào một chương trình có điểm yếu buffer overflow để
chạy chương trình Agent.
+ Trojan: là một chương trình thực hiện một chức năng thơng thường nào
đó, nhưng lại có một số chức năng tiềm ẩn phục vụ cho mục đích riêng của
người viết mà người dùng khơng thể biết được. Có thể dùng Trojan như một
chương trình Agent.
25


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×