Tải bản đầy đủ (.pdf) (33 trang)

Triển khai mô phỏng tấn công DDoS vào mạng SDN bằng Mininet (Software Define Network)

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.16 MB, 33 trang )

ĐẠI HỌC BÁCH KHOA HÀ NỘI
KHOA CÔNG NGHỆ THÔNG TIN


ĐỒ ÁN TỐT NGHIỆP

Triển khai mô phỏng tấn công DDoS vào mạng SDN
(Software Define Network)

Giáo viên hướng dẫn:………
Sinh viên thực hiện: Nguyễn Đức Long
MSSV: 3574593

Hà Nội 2021


MỤC LỤC
Danh mục kí hiệu và từ viết tắt .............................................................................. 1
DANH MỤC CÁC HÌNH VẼ................................................................................. 2
Lời nói đầu ............................................................................................................... 3
Chương 1. Tổng Quan về mạng sdn ...................................................................... 4
1.1. Khái niệm về mạng SDN .................................................................................. 4
1.2. Kiến trúc của SDN ............................................................................................ 5
1.3. Ưu điểm của SDN ............................................................................................. 7
1.4. Các vấn đề bảo mật trong SDN......................................................................... 8
Chương 2. Tấn công ddos ..................................................................................... 10
2.1. Tổng quan về tấn công DDos.......................................................................... 10
2.2. Phân loại tấn công DDoS ................................................................................ 15
2.3. Các kỹ thuật tấn công DDos ........................................................................... 19
Chương 3. Mô phỏng tấn công DDoS vào mạng SDN ....................................... 25
3.1. Kịch bản tấn công............................................................................................ 25


3.2. Cài đặt và cấu hình mơ phỏng mạng SDN ...................................................... 25
3.3. Thực hiện tấn công DDoS vào mạng SDN ...................................................... 27
Kết luận .................................................................................................................. 30
Tài liệu tham khảo................................................................................................. 31


DANH MỤC KÍ HIỆU VÀ TỪ VIẾT TẮT
Các từ viết tắt phải được liệt kê theo thứ tự trong bảng chữ cái. Các từ viết tắt
tiếng Việt liệt kê trước, các từ viết tắt tiếng nước ngoài liệt kê sau.
Giải thích

Viết tắt
SDN

Software Define Netwwork

HTTP

HyperText Transfer Protocol

TCP

Transmission Control Protocol

SMTP

Simple Mail Transfer Protocol

DNS


Domain Name System

ICMP

Internet Control Message Protocol

1


DANH MỤC CÁC HÌNH VẼ
Hình 1.1: Control plane được tách khỏi mặt phẳng truyền thống ....................... 4
Hình 1.2: Mặt phẳng điều khiển và mặt phẳng chuyển tiếp trong một thiết bị. .. 5
Hình 1.3: Kiến trúc tổng quát của SDN ............................................................... 6
Hình 2.1: Kiến trúc tấn cơng DDoS trực tiếp .................................................... 12
Hình 2.2: Kiến trúc tấn cơng DDoS gián tiếp hay phản chiếu .......................... 13
Hình 2.3: Tấn cơng SYN Flood ......................................................................... 20
Hình 3.1: Cấu hình mạng SDN .......................................................................... 26
Hình 3.2: Giao diện Opendaylight ..................................................................... 27
Hình 3.3: Mơ hình mạng SDN gồm 3 Switch và 3 Host ................................... 27
Hình 3.4: Kiểm tra kết nối giữa các Host trong mạng SDN .............................. 28
Hình 3.5: Host 1 Ping kết nối tới Host 3............................................................ 28
Hình 3.6: Tấn cơng DDoS vào mạng SDN ........................................................ 29

2


LỜI NĨI ĐẦU
Trong tương lai gần cơng nghệ Software Defined Networking (SDN) sẽ là
hướng phát triển tiếp theo của công nghệ mạng. Công nghệ mạng SDN dựa trên cơ
chế tách bạch việc kiểm sốt luồng thơng tin định tuyến với luồng thơng tin dữ liệu

và kiểm sốt số lượng thành phần mạng riêng cho phép luồng các gói dữ liệu đi qua
mạng được kiểm sốt theo một cách thức có lập trình.
Mặc dù SDN cung cấp tính linh hoạt và hiệu quả cho các nhà khai thác, nhưng
khả năng bảo mật không phải là thế mạnh của công nghệ này. Mạng SDN có thể bị
tấn cơng tại mỗi thành phần mạng và do vậy tồn tại những thách thức an ninh mà
các nhà mạng nên lưu ý khi triển khai công nghệ này.

3


CHƯƠNG 1. TỔNG QUAN VỀ MẠNG SDN
1.1. Khái niệm về mạng SDN
Software-Define Network (SDN) là một các tiếp cận mới trong việc thiết kế,
xây dựng và quản lý hệ thống mạng. Về cơ bản SDN chia tách độc lập hai cơ chế
đang tồn tại trong cùng một thiết bị mạng: Control plane và Data plane để có thể tối
ưu hóa hoạt động của hai cơ chế này. Công nghệ SDN tách định tuyển và chuyển
các luồng dữ liệu riêng rẽ và chuyển kiểm sốt luồng sang thành phần riêng có tên
gọi là thiết bị kiểm soát luồng (Flow Controller). Điều này cho phép luồng các gói
dữ liệu đi qua mạng được kiểm sốt theo lập trình.

Hình 1.1: Control plane được tách khỏi mặt phẳng truyền thống
Trong SDN, controller được tách ra từ các thiết bị vật lý và chuyển đến các
controller. Controller này có thể được nhìn thấy trong tồn bộ mạng và do đó cho
phép các kỹ sư mạng làm cho chính sách chuyển tiếp được tối ưu dựa trên tàn bộ
mạng. Các controller tương ứng với các thiết bị vật lý thông qua một giao thức
chuyển OpenFlow. Với SDN, việc quản lý mạng có thể được thực hiện thông qua
giao diện duy nhất, trái ngược với việc cấu hình mạng riêng lẻ.

4



Hình 1.2: Mặt phẳng điều khiển và mặt phẳng chuyển tiếp trong một thiết bị.
Mặt phẳng điều khiển: chịu trách nhiệm xây dưng, trao đổi thông tin định tuyến và
quyết định gói tin sẽ được xử lý như thể nào. Một phần tử mặt phẳng điều khiển:
 Giao thức định tuyến IP
 Bảng định tuyến IP(RIB –Routing Information Based): cơ sở dữ liệu cho tất
cả các giao thức phân phối IP.
Mặt phẳn chuyển tiếp: chịu trách nhiệm chuyển tiếp gói tin.Nó dựa vào
thơng tin từ control Plane cung câp. Một số nhiệm vụ của mặt phẳng chuyển tiếp:
 Bảng chuyển tiếp IP (FIB - Forwarding Information Based)
SDN hay mạng điều khiển bằng phần mềm được dựa trên cơ chế tách biệt việc
kiểm soát một luồng mạng với luồng dữ liệu. SDN dựa trên giao thức luồng mở
(OpenFlow) và là kết quả nghiên cứu của Đại học Stanford và California, Berkeley.
SDN tách định tuyến và chuyển các luồng dữ liệu riêng rẽ và chuyển kiểm soát luồng
sang thành phần mạng riêng có tên gọi là thiết bị kiểm sốt luồng (Flow Controller).
Điều này cho phép luồng các gói dữ liệu đi qua mạng được kiểm sốt dựa trên lập
trình.
1.2. Kiến trúc của SDN
Hình dưới đây mơ tả kiến trúc của SDN một cách đơn giản và đầy đủ: Kiến
trúc của SDN bao gồm: Lớp ứng dung (Application Layer), lớp điều khiển (Control
Layer) và lớp cơ sở hạ tầng (Infrastructure Layer).Các phần sẽ liên kết với nhau
thông qua giao thức hoặc các API.

5


Hình 1.3: Kiến trúc tổng quát của SDN
 Lớp ứng dụng (Applycation Layer)
Lớp ứng dụng: là các ứng dụng được triển khai trên mang, kết nối tới lớp điều
khiển thông qua các API, cung cấp khả năng cho phép ứng dụng lập trình lại (cấu

hình lại) mạng (điều chỉnh các tham số trễ, băng thông, định tuyến…) thông qua
lớp điều khiển lập trình giúp cho hệ thống mạng tối ưu hoạt động theo một yêu
cầu nhất định.
 Lớp điều khiển (Control Layer)
Lớp điều khiển: là nơi tập trung các controller thực hiện việc điều khiển cấu
hình mạng theo các yêu cầu từ lớp ứng dụng và khả năng của mạng. Các
controller này có thể là các phần mềm được lập trình.
Một Controller là một ứng dụng quản lý kiểm sốt luồng lưu lượng trong môi
trường mạng. Để truyển thông điều khiển lớp cơ sở hạ tầng, lớp điều khiển sử
dụng các cơ chế như Openflow, ONOS, ForCES, PCEP, NETCONF, SNMP hoặc
thông qua các cơ chế riêng biệt. Hầu hết các SDN controller hiện nay dựa trên
giao thức Openflow.
SDN controller hoạt động như một loại hệ điều hành (OS) cho mạng. Tất cả
thông tin liên lạc giữa các ứng dụng và các thiết bị phải đi qua controller.
Controller sử dụng giao thức OpenFlow để cấu hình các thiết bị mạng và chọn
đường đi tốt nhất cho các lưu lượng ứng dụng. Cùng với chức năng chính, nó có
thể tiếp tục được mở rộng để thực hiện các nhiệm vụ quan trọng như định tuyền
và truy cập mạng.
Vai trò:
+ Cung cấp API để có thể xây dựng các ứng dụng cho hệ thống mạng
+ Thu nhận thông tin từ hệ thống mạng vật lý, điều khiển hệ
thống mạng vật lý.
 Lớp vật lý (Infrastructure Layer)
6


Lớp vật lý (lớp cơ sở hạ tậng) của hệ thống mạng, bao gồm các thiết bị
mạng thực tế (vật lý hay ảo hóa) thực hiện việc chuyển tiếp gói tin theo sự
điều khiển của lớp điều khiển. Một thiết bị mạng có thể hoạt động theo sự
điều khiển của nhiều controller khác nhau, điều này giúp ăng cường khả năng

ảo hóa của mạng.
 So sánh với kiến trúc mạng truyền thống
Kiến trúc mạng truyền thống

SDN

Trong kiến trúc mạng truyền thống các
thiết bị mạng (Layer 2, Layer 3) phải
mang trên mình nhiều chức năng để
đảm bảo hoạt đơng. Ví dụ: Các chức
năng của Layer Switch hiện nay như:
LAN, Spanningtree, Quality of Service,
Security, và đa số các thiết bị mạng và
các giao thức hoạt động độc lập với
nhau vì mỗi nhà sản xuất cung cấp các
giải pháp mạng khác nhau. Điều này
tạo ra sự phân mảnh hệ thống mạng,
giảm hiệu năng hoạt động

Với SDN việc điều khiển được tập
trung tại Controller Layer, các thiết bị
mạng chó có nhiệm vụ chuyển tiếp gói
tin do đó sự khác biệt giữa những nhà
sản xuất khơng ảnh hưởng tới tồn bộ
hệ thống mạng. Điếu này cũng giống
như sự phát triển của máy tính hiện
nay, mỗi máy tính được cung cấp và
sản xuất bởi những nhà sản xuất hệ
điều hành khác nhau (Dell, HP, IBM
...) chạy các hệ điều hành khác nhua

như (Windows, MacOS, Linux…)
nhưng đều có khả năng truy cập và sử
dụn internet dựa trên giao thức mạng
TCP/IP

1.3. Ưu điểm của SDN
 Controller có thể được lập trình trực tiếp.
 Mạng được điều chỉnh, thay đổi một cách nhanh chóng thơng qua việc thay
đổi trên controller
 Mạng được quản lý taaoh trung do phần điều khiển được tập trung trên
controller.
 Cấu hình lớp cơ sở hạ tầng có thể được lập trình trên lớp ứng dụng và truyền
đạt xuống các lớp dưới.
 Giảm CapEx: SDN giúp giảm thiểu các yêu cầu mua phần cứng theo mục đích
xây dựng các dịch vụ, phần cứng mạng trên cơ sở ASIC và hỗ trợ mơ hình
pay-as-you-grow (trả những gì bạn dùng) để tránh lãng phí cho việc dự phịng.
 Truyền tải nhanh chóng và linh hoạt giúp các tổ chức triển khai nhanh hơn
các ứng dụng, các dịch vụ và cơ sở hạ tầng để nhanh chóng đạt được mục tiêu
kinh doanh.
Cho phép thay đổi: cho phép các tổ chức tạo mới các kiểu ứng dung, dịch vụ và mơ
hình kinh doanh, để có thể tao ra các luồng doanh thu mới và nhiều giá trị hơn từ
mạng.
7


1.4. Các vấn đề bảo mật trong SDN
SDN là công nghệ tiếp cận với môi trường mạng bằng việc chia mặt phẳng
điều khiển (Control Plane) và mặt phẳng chuyển tiếp (forwarding plane) để hỗ trợ
cho việc ảo hóa. SDN là cơng nghệ mới dành cho việc ảo hóa. Mặc dù công nghệ
này luôn được nâng cấp nhưng việc phát triển ngày càng mạnh của SDN nó sẽ trở

thành mục tiêu tấn công của các hacker.
1.4.1. Tấn công vào mặt phẳng dữ liệu (dataplane)
Những kẻ tấn cơng có thể tấn cơng các thành phần mạng từ máy tính
của chúng. Một kẻ tấn cơng về mặt vật lý có thể được truy cập vật lý hay ảo trái phép
vào mạng hoặc thỏa hiệp với một máy chủ đã đưuọc kết nối với SDN và sau đó cố
gắng đê thực hiện các cuộc tấn cơng mang. Đây có thể là một loại tấn cơng từ chối
dịch vụ (DOS) hoặc nó có thể là một kiểu tấn công fuzzing cố gắng để tấn công các
phần từ mạng.
Có rất nhiều giao thức được sử dụng để bộ điều khiển controller giao
tiếp với lớp dữ liệu, ví dụ như: Openflow (OF), BGP-LS, CLI, OpenStack, Neutron,
Open Management infrastructure (OMI). Mỗi giao thức sử dụng cho lớp điều khiển
(control plane) đều có các phương thức, ứng dụng để đảm bảo tính an tồn khi giao
tiếp với các phần tử mạng của lớp dữ liệu. Mặc dù vậy có rất nhiều giao thức mới và
cần có thời gian cũng như các thử nghiêm để xem xét tính bảo mật của giao thức đó.
Một kẻ tấn cơng có thể tận dụng sơ hở để đánh cắp thông tin và thay thế
vào đó là các thơng tin giả. Những kể tấn công muốn cố gắng để giả mạo các thông
tin không được truyền trên mạng. Nếu kẻ tấn cơng có thể tạo ra một thơng tin giả
mạo có thể đánh lừa được tường lủa thì chúng sẽ có một số lợi thế nhất định. Nếu kẻ
tấn cơng có thể điều khiển các luồng thơng tin theo hướng của chúng, chúng có thể
cố gắng tận dụng khả năng để giả mạo và thực hiện một cuộc tấn công nhằm đánh
cắp dữ liệu dữ liệu người dùng.
Nhiều hệ thống SDN được triển khai trong trung tâm dữ liệu (Data
Center) và trung tâm dữ liệu thường xuyên sử dụng giao thức kết nối ảo bằng cách
sử dụng các giao thức như: Stateless Transport Tunneling, Virtual Extensible
LAN(VXLAN), Cisco Overlay Transport Virtualization, …Những giao thức này có
thể thiếu tính xác thực và sử dụng mã hóa đủ mạnh để đảm bảo các nội dung của gói
tin chuyển đi. Các giao thức mới có thể có các lỗ hổng do một lỗi trong việc thiết kế
giao thức hay cách triển khai của nhà cung cấp dịch vụ hoặc khách hàng chưa đúng.
Một kẻ tấn cơng có thể tìm ra các sơ hở này và tạo thành một cuộc tấn cơng DDos
gây nguy hiểm cho tồn bộ hệ thống mạng.

1.4.2. Tấn công vào lớp điều khiển (Controller Layer)
Rõ ràng, bộ điều khiển của SDN là một mục tiêu để tấn công của một hacker.
Một hacker sẽ cố gắng tấn công vào trung tâm điều khiển để thực hiện mục đích
khác nhau. Kẻ tấn cơng sẽ cố gắng giả mạo các bản tin API, các luồng thông tin
hướng về các thiết bị mạng. Nếu kể tấn cơng có thể giả mạo thành công thông tin từ
các bộ điều khiển thì chúng có thể có khả năng cho phép các luồng thông tin đi qua
SDN theo ý muốn của chúng và đi qua các cơ chế bảo mật khác.
8


Một cuộc tấn cơng Dos có thể chiếm dụng rất nhiều dung lượng bộ nhớ trong,
lấp đầy khoảng trống trên bộ nhớ, làm quá tải bộ nhớ. Do đó có thể gây ra các hỏng
hóc nghiêm trọng cho hệ thống. Tấn cơng bằng virus và các đoạn mã chương trình
có nội dung xấu. Với độ phức tạp và nguy hiểm càng cao, sự da dạng của việc lây
nhiễm virus, việc cả một hệ thống bị phá vỡ bởi virus máy tính là điều hồn tồn có
thể.
Thơng thường, bộ điều khiển của SDN chạy trên phiên bản của hệ điều hành
Linux. Nếu bộ điều khiển SDN chạy trên một hệ điều hành thì các lỗ hổng của hệ
điều hành có thể trở thành lỗ hổng cho bộ điều khiển. Hơn nửa, các bộ điều khiển
được triển khai bằng cách sử dụng mật khẩu mặc định và khơng có thiết lập bảo mật
cho cấu hình.
Kẻ tấn cơng có thể tạo ra bộ điều khiển của riêng miềng và làm cho các phần tử
mạng tin rằng thông tin nhận được là của bộ điều khiển trung tâm. Những kẻ tấn
cơng sau đó có thể tạo ra các bảng định tuyến giả của phẩn tử mạng mà các nhà quản
trị mạng không thể phát hiện ra .Trong trường hợp này kẻ tấn công sẽ có quyền kiểm
sốt tồn bộ hệ thống mạng.
1.4.3. Tấn cơng vào lớp SDN
Lớp SDN bao gồm các API. Các API được sử dụng để lớp điều khiển có thể
giao tiếp với các dịch vụ và ứng dụng đang chạy trong hệ thống mạng. Các APIs có
thể sử dụng các ngơn ngữ lập trình như python, java, … Nếu kẻ tấn cơng có thể tận

dụng các API, sau đó kiểm sốt mạng SDN thông qua bộ điều khiển. Nếu bộ điều
khiển khơng có bất kì hình thức bảo mật nào cho API, những kẻ tấn cơng có thể tạo
các chính sách riêng cho bộ điều khiển và đoạt quyền kiểm soát toàn bộ hệ thống
mạng SDN.

9


CHƯƠNG 2. TẤN CƠNG DDOS
2.1. Tổng quan về tấn cơng DDos.
2.1.1. Lịch sử tấn công DDoS
Tấn công từ chối dịch vụ DoS (Denial of Service) là dạng tấn công nhằm ngăn
chặn người dùng hợp pháp truy nhập tới dịch vụ, tài nguyên mạng làm cho hệ thống
mạng không thể sử dụng, bị gián đoạn, hoặc chậm đi một cách đáng kể bằng cách
làm quá tải tài nguyên của hệ thống. Tấn công DoS đã xuất hiện từ khá sớm, vào
đầu những năm 80 của thế kỷ trước.
Tấn công từ chối dịch vụ phân tán (Distributed Denial of Service - DDoS) là
một dạng phát triển ở mức độ cao của tấn công DoS được phát hiện lần đầu tiên vào
năm 1999. Khác biệt cơ bản của tấn công DoS và DDoS là phạm vi tấn công. Trong
khi lưu lượng tấn công DoS thường phát sinh từ một hoặc một số ít host nguồn, lưu
lượng tấn công DDoS thường phát sinh từ rất nhiều host nằm rải rác trên mạng
Internet. Hiện nay, có hai phương pháp tấn cơng DDoS chủ yếu. Trong phương pháp
thứ nhất, kẻ tấn cơng gửi các gói tin được tạo theo dạng đặc biệt gây lỗi trong giao
thức truyền hoặc lỗi trong ứng dụng chạy trên máy nạn nhân. Một dạng tấn cơng
DDoS điển hình theo phương pháp này là tấn công khai thác lỗ hổng an ninh của các
giao thức hoặc dịch vụ trên máy nạn nhân. Phương pháp tấn công DDoS thứ hai phổ
biến hơn phương pháp thứ nhất, gồm hai dạng: (i) dạng tấn công DDoS gây ngắt
quãng kết nối của người dùng đến máy chủ dịch vụ bằng cách làm tắc nghẽn đường
truyền mạng, cạn kiệt băng thông hoặc tài nguyên mạng, và (ii) dạng tấn công DDoS
gây ngắt quãng dịch vụ cung cấp cho người dùng bằng cách làm cạn kiệt các tài

nguyên của máy chủ dịch vụ, như thời gian xử lý của CPU, bộ nhớ, băng thông đĩa,
cơ sở dữ liệu.
Kể từ cuộc tấn công DDoS đầu tiên được xác nhận vào năm 1999, nhiều
cuộc tấn công DDoS gây tắc nghẽn đã được thực hiện vào hệ thống mạng của các
công ty và các tổ chức. Hầu hết các cuộc tấn công DDoS gây tắc nghẽn cho đến hiện
nay đều tập trung vào làm ngắt quãng hoặc ngừng dịch vụ chạy trên hệ thống nạn
10


nhân. Hậu quả là làm giảm doanh thu, tăng chi phí phịng chống và phục hồi dịch
vụ. Ví dụ, vào tháng Hai năm 2000, hệ thống mạng của công ty Internet Yahoo phải
hứng chịu đợt tấn công DDoS đầu tiên làm các dịch vụ của công ty phải ngừng hoạt
động trong 2 giờ, gây thiệt hại lớn về doanh thu quảng cáo. Tháng Hai năm 2004,
một đợt tấn công DDoS rất lớn xuất phát từ một lượng rất lớn các máy tính bị
nhiễm virus Mydoom làm trang web của tập đồn SCO khơng thể truy nhập. Virus
Mydoom chứa các đoạn mã độc hại chạy trên hàng ngàn máy tính bị lây nhiễm
đồng loạt tấn cơng trang web của tập đồn SCO. Mã độc của virus Mydoom còn
được tái sử dụng vào tháng Bảy năm 2009 để tấn công một loạt các trang web của
Chỉnh phủ và các tổ chức tài chính ở Hàn Quốc và Mỹ gây nhiều hậu quả nghiêm
trọng. Vào tháng Mười Hai năm 2010, một nhóm tin tặc có tên là “Anonymous” đã
đạo diễn một loạt các cuộc tấn công DDoS gây ngừng hoạt động các trang web của
các tổ chức tài chính, như Mastercard, Visa International, Paypal và PostFinance.
Tháng Chín năm 2012, một đợt tấn cơng DDoS rất lớn do nhóm tin tặc “Izz ad-Din
al-Qassam Cyber Fighters” thực hiện gây ngắt quãng hoặt ngừng hoạt động các
trang web ngân hàng trực tuyến của 9 ngân hàng lớn của Mỹ. Các dạng tấn công
DDoS được thực hiện ngày một nhiều với quy mô ngày một lớn và tinh vi hơn nhờ
sự phát triển của các kỹ thuật tấn công và sự lan tràn của các công cụ tấn cơng.
2.1.2. Kiến trúc tấn cơng DDoS
Mặc dù có nhiều dạng tấn công Ddos được ghi nhận, nhưng tựu trung lại có
thể chia kiến trúc tấn cơng DDoS gồm 2 loại chính: (i) kiến trúc tấn cơng DDoS trực

tiếp và (i) kiến trúc tấn công DDoS gián tiếp hay phản chiếu. Hình 2.1 minh họa
kiến trúc tấn cơng DDoS trực tiếp, theo đó tin tặc (Attacker) trước hết thực hiện
chiếm quyền điều khiển hàng ngàn máy tính có kết nối Internet, biến các máy tính
này thành các Zombie – những máy tính bị kiểm sốt và điều khiển từ xa bởi tin tặc
Tin tặc thường điều khiển các Zombie thông qua các máy trung gian (Handler). Hệ
thống các Zombie chịu sự điều khiển của tin tặc còn đƣợc gọi là mạng máy tính ma
(botnet).

11


Hình 2.1: Kiến trúc tấn cơng DDoS trực tiếp
Theo lệnh gửi từ tin tặc, các Zombie đồng loạt tạo và gửi các yêu cầu truy
nhập giả mạo đến hệ thống nạn nhân (Victim), gây ngập lụt đường truyền mạng
hoặc làm cạn kiệt tài nguyên của máy chủ, dẫn đến ngắt quãng hoặc ngừng dịch vụ
cung cấp cho người dùng.

12


Hình 2.2: Kiến trúc tấn cơng DDoS gián tiếp hay phản chiếu
Hình 2.2 minh họa kiến trúc tấn cơng DDoS gián tiếp hay kiến trúc tấn công
DdoS phản chiếu. Tương tự như kiến trúc tấn công DDoS trực tiếp, tin tặc (Attacker)
trước hết thực hiện chiếm quyền điều khiển một lượng rất lớn máy tính có kết nối
Internet, biến các máy tính này thành các Zombie, hay cịn gọi la Slave. Tin tặc điều
khiển các Slave thông qua các máy trung gian (Master). Theo lệnh gửi từ tin tặc, các
Slave đồng loạt tạo và gửi các yêu cầu truy nhập giả mạo với địa chỉ nguồn của các
gói tin là địa chỉ của máy nạn nhân (Victim) đến đến một số lớn các máy khác
(Reflectors) trên mạng Internet. Các Reflectors gửi phản hồi (Reply) đến máy nạn
nhân do địa chỉ của máy nạn nhân được đặt vào yêu cầu giả mạo.

Khi các Reflectors có số lượng lớn, số phản hồi sẽ rất lớn và gây ngập lụt
đường truyền mạng hoặc làm cạn kiệt tài nguyên của máy nạn nhân, dẫn đến ngắt
quãng hoặc ngừng dịch vụ cung cấp cho người dùng. Các Reflectors bị lợi dụng để
tham gia tấn công thường là các hệ thống máy chủ có cơng suất lớn trên mạng
Internet và không chịu sự điều khiển của tin tặc.
13


2.1.3. Động cơ tấn công DDos.
Động cơ của tin tặc tấn cơng DDoS khá đa dạng. Tuy nhiên, có thể chia các
dạng tấn công DDoS dựa trên động cơ của tin tặc thành 5 loại chính:
 Nhằm giành được các lợi ích tài chính, kinh tế: Tin tặc tấn cơng DDoS thuộc
loại này thường có kỹ thuật tinh vi và nhiều kinh nghiệm tấn công và chúng
luôn là mối đe dọa thường trực đối với các cơng ty, tập đồn lớn. Các tấn
cơng DDoS nhằm giành được các lợi ích tài chính là những tấn cơng nguy
hiểm và khó phịng chống nhất.
 Để trả thù: Tin tặc tấn công DDoS thuộc loại này thường là những cá nhân
bất mãn và họ thực hiện tấn công để trả đũa những sự việc mà họ cho là bất
công.
 Gây chiến tranh trên không gian mạng: Tin tặc tấn công DDoS thuộc loại
này thường thuộc về các tổ chức quân sự hoặc khủng bố của một nước thực
hiện tấn công vào các hệ thống trọng yếu của một nước khác vì mục đích
chính trị. Các đích tấn cơng thường gặp là các hệ thống mạng của các cơ
quan chính phủ, các tổ chức tài chính ngân hàng, hệ thống cung cấp điện nước và
các nhà cung cấp dịch vụ viễn thông. Tin tặc loại này thƣờng đƣợc
đào tạo tốt và đƣợc sử dụng nguồn lực mạnh phục vụ tấn công trong thời
gian dài. Hậu quả của dạng tấn công này thƣờng rất lớn, gây ngưng trệ nhiều
dịch vụ và có thể gây thiệt hại lớn về kinh tế cho một quốc gia.
 Do niềm tin ý thức hệ: Tin tặc tấn công DDoS thuộc loại này chiểm tỷ trọng
lớn các cuộc tấn công DDoS và thường thực hiện tấn công do niềm tin ý thức

hệ, bao gồm tấn cơng vì các mục đích chính trị, tơn giáo.
 Để thử thách trí tuệ: Tin tặc tấn công DDoS thuộc loại này thường là những
người trẻ tuổi thích thể hiện bản thân, thực hiện tấn công để thử nghiệm và
học cách thực hiện các dạng tấn công khác nhau. Loại tin tặc này đang tăng
nhanh chóng do ngày nay có sẵn nhiều cơng cụ tấn công mạng rất dễ dùng và
một người nghiệp dư cũng có thể sử dụng để thực hiện thành cơng một tấn
công DdoS.
14


2.2. Phân loại tấn công DDoS
Các cuộc tấn công DDoS thường được tin tặc thực hiện bằng cách huy động
một số lượng rất lớn các máy tính có kết nối Internet bị chiếm quyền điều khiển –
tập hợp các máy này được gọi là mạng máy tính ma hay mạng bot, hoặc botnet. Các
máy của botnet có khả năng gửi hàng ngàn yêu cầu giả mạo mỗi giây đến hệ thống
nạn nhân, gây ảnh hưởng nghiêm trọng đến chất lượng dịch vụ cung cấp cho người
dùng. Do các yêu cầu của tấn công DDoS được gửi rải rác từ nhiều máy ở nhiều vị
trí địa lý nên rất khó phân biệt với các yêu cầu của người dùng hợp pháp. Một trong
các khâu cần thiết trong việc đề ra các biện pháp phịng chống tấn cơng DDoS hiệu
quả là phân loại các dạng tấn cơng DDoS và từ đó có biện pháp phịng chống thích
hợp. Một cách khái qt, tấn cơng DDoS có thể được phân loại dựa trên 6 tiêu chí
chính: (1) Dựa trên phương pháp tấn cơng, (2) Dựa trên mức độ tự động, (3) Dựa
trên giao thức mạng, (4) Dựa trên phương thức giao tiếp, (5) Dựa trên cường độ tấn
công và (6) Dựa trên việc khai thác các lỗ hổng an ninh. Phần tiếp theo của mục này
trình bày chi tiết từng loại.
2.2.1. Dựa trên phương pháp tấn công
Phân loại DDoS dựa trên phương pháp tấn công là một trong phương pháp
phân loại cơ bản nhất. Theo tiêu chí này, DDoS có thể được chia thành 2 dạng [5]:
1) Tấn công gây ngập lụt (Flooding attacks): Trong tấn công gây ngập lụt, tin tặc tạo
một lượng lớn các gói tin tấn cơng giống như các gói tin hợp lệ và gửi đến hệ thống

nạn nhân làm cho hệ thống không thể phục vụ người dùng hợp pháp. Đối tượng của
tấn công dạng này là băng thông mạng, không gian đĩa, thời gian của CPU, …
2) Tấn công logic (Logical attacks): Tấn công logic thường khai thác các tính năng
hoặc các lỗi cài đặt của các giao thức hoặc dịch vụ chạy trên hệ thống nạn nhân,
nhằm làm cạn kiệt tài nguyên hệ thống. Ví dụ tấn cơng TCP SYN khai thác q trình
bắt tay 3 bước trong khởi tạo kết nối TCP, trong đó mỗi yêu cầu kết nối được cấp
một phần không gian trong bảng lưu yêu cầu kết nối trong khi chờ xác nhận kết nối.
Tin tặc có thể gửi một lượng lớn yêu cầu kết nối giả mạo – các kết nối không thể
15


thực hiện, chiếm đầy không gian bảng kết nối và hệ thống nạn nhân không thể tiếp
nhận yêu cầu kết nối của người dùng hợp pháp.
2.2.2. Dựa trên mức độ tự động
Theo mức độ tự động, có thể chia tấn công DDoS thành 3 dạng [3]:
1) Tấn công thủ công: Tin tặc trực tiếp quét các hệ thống tìm lỗ hổng, đột nhập vào
hệ thống, cài đặt mã tấn công và ra lệnh kích hoạt tấn cơng. Chỉ những tấn công
DDoS trong giai đoạn đầu mới được thực hiện thủ công.
2) Tấn công bán tự động: Trong dạng này, mạng lưới thực hiện tấn công DDoS bao
gồm các máy điều khiển (master/handler) và các máy agent (slave, deamon, zombie,
bot). Các giai đoạn tuyển chọn máy agent, khai thác lỗ hổng và lây nhiễm được thực
hiện tự động. Trong đoạn tấn công, tin tặc gửi các thông tin bao gồm kiểu tấn cơng,
thời điểm bắt đầu, khoảng thời gian duy trì tấn cơng và đích tấn cơng đến các agent
thơng qua các handler. Các agent sẽ theo lệnh gửi các gói tin tấn công đến hệ thống
nạn nhân.
3) Tấn công tự động: Tất cả các giai đoạn trong quá trình tấn công DDoS, từ tuyển
chọn máy agent, khai thác lỗ hổng, lây nhiễm đến thực hiện tấn công đều được thực
hiện tự động. Tất cả các tham số tấn công đều được lập trình sẵn và đưa vào mã tấn
cơng. Tấn công dạng này giảm đến tối thiểu giao tiếp giữa tin tặc và mạng lưới tấn
công, và tin tặc chỉ cần kích hoạt giai đoạn tuyển chọn các máy agent.

2.2.3. Dựa trên giao thức mạng
Dựa trên giao thức mạng, tấn cơng DDoS có thể chia thành 2 dạng [1]:
1) Tấn công vào tầng mạng hoặc giao vận: Ở dạng này, các gói tin TCP, UDP và
ICMP được sử dụng để thực hiện tấn công.
2) Tấn công vào tầng ứng dụng: Ở dạng này, các tấn công thường hướng đến các
dịch vụ thông dụng ứng với các giao thức tầng ứng dụng như HTTP, DNS và SMTP.
Tấn công DDoS tầng ứng dụng cũng có thể gây ngập lụt đường truyền và tiêu hao
tài nguyên máy chủ, làm ngắt quãng khả năng cung cấp dịch vụ cho người dùng hợp
16


pháp. Dạng tấn cơng này rất khó phát hiện do các yêu cầu tấn công tương tự yêu cầu
từ người dùng hợp pháp.
2.2.4. Dựa trên phương thức giao tiếp
Thông thường, để thực hiện tấn công DDoS, tin tặc phải tuyển chọn và chiếm
quyền điều khiển một số lượng lớn các máy tính có kết nối Internet, và các máy tính
này sau khi bị cài phần mềm agent trở thành các bots - công cụ giúp tin tặc thực hiện
tấn công DDoS. Tin tặc thông qua các máy điều khiển (master) giao tiếp với các bots
để gửi thông tin và các lệnh điều khiển tấn công. Theo phương thức giao tiếp giữa
các master và bots, có thể chia tấn cơng DDoS thành 4 dạng [5]:
1) DDoS dựa trên agent-handler: Tấn công DDoS dựa trên dạng này bao gồm các
thành phần: clients, handlers và agents (bots/zombies). Tin tặc chỉ giao tiếp trực tiếp
với clients. Clients sẽ giao tiếp với agents thông qua handlers. Nhận được lệnh và
các thông tin thực hiện tấn công, agents trực tiếp thực hiện việc tấn công.
2) DDoS dựa trên IRC: Internet Relay Chat (IRC) là một hệ thống truyền thông
điệp trực tuyến cho phép nhiều người dùng tạo kết nối và trao đổi các thông điệp
theo thời gian thực. Trong dạng tấn công DDoS này tin tặc sử dụng IRC làm kênh
giao tiếp với các agents, không sử dụng handlers.
3) DDoS dựa trên web: Trong dạng tấn công này, tin tặc sử dụng các trang web
làm phương tiện giao tiếp qua kênh HTTP thay cho kênh IRC. Các trang web của

tin tặc được sử dụng làm trung tâm điều khiển và lây nhiễm các phần mềm độc hại,
các công cụ khai thác các lỗ hổng an ninh, cài đặt các agents chiếm quyền điều khiển
hệ thống máy tính và biến chúng thành các bots. Các bots có thể được xác lập cấu
hình hoạt động từ đầu, hoặc chúng có thể gửi các thơng điệp đến trang web điều
khiển thông qua các giao thức web phổ biến như HTTP và HTTPS.
4) DDoS dựa trên P2P: Ở dạng này, tin tặc sử dụng giao thức Peer to Peer – một
giao thức ở tầng ứng dụng làm kênh giao tiếp. Bản chất của các mạng P2P là phân
tán nên rất khó để phát hiện các bots giao tiếp với nhau thông qua kênh này.

17


2.2.5. Dựa trên cường độ tấn công
Dựa trên cường độ hoặc tần suất gửi u cầu tấn cơng, có thể phân loại tấn
công DDoS thành 5 dạng [3]:
1) Tấn công cường độ cao: Là dạng tấn công gây ngắt quãng dịch vụ bằng cách
gửi cùng một thời điểm một lượng rất lớn các yêu cầu từ các máy agents/zombies
nằm phân tán trên mạng.
2) Tấn công cường độ thấp: Các agents/zombies được phối hợp sử dụng để gửi một
lượng lớn các yêu cầu giả mạo, nhưng với tần suất thấp, làm suy giảm dần dần hiệu
năng mạng. Dạng tấn công này rất khó bị phát hiện do lưu lương tấn cơng tương tự
như lưu lượng đến từ người dùng hợp pháp.
3) Tấn công cường độ hỗn hợp: Là dạng kết hợp giữa tấn công cường độ cao và
tấn công cường độ thấp. Đây là dạng tấn cơng phức hợp, trong đó tin tặc thường sử
dụng các công cụ để sinh các gói tin tấn cơng gửi với tần suất cao và thấp.
4) Tấn công cường độ liên tục: Là dạng tấn công được thực hiện liên tục với cường
độ tối đa trong suốt khoảng thời gian từ khi bắt đầu đến khi kết thúc.
5) Tấn công cường độ thay đổi: Đây là dạng tấn cơng có cường độ thay đổi động
nhằm tránh bị phát hiện và đáp trả.
2.2.6. Dựa trên việc khai thác các lỗ hổng an ninh

Dựa trên việc khai thác các điểm yếu và lỗ hổng an ninh, tấn cơng DDoS có
thể được phân loại thành 2 dạng [5]:
1) Tấn công gây cạn kiệt băng thông: Các tấn công DDoS dạng này được thiết kế
để gây ngập lụt hệ thống mạng của nạn nhân bằng các yêu cầu truy nhập giả mạo,
làm người dùng hợp pháp không thể truy nhập dịch vụ. Tấn công dạng này thường
gây tắc nghẽn đường truyền bằng lượng yêu cầu giả mạo rất lớn gửi bởi các máy
tính ma (zombie) của các botnets. Dạng tấn cơng này cũng cịn được gọi là tấn cơng
gây ngập lụt hoặc tấn công khuếch đại.

18


2) Tấn công gây cạn kiệt tài nguyên: Các tấn công DDoS dạng này được thiết kế
để tiêu dùng hết các tài nguyên trên hệ thống nạn nhân, làm cho nó khơng thể phục
vụ các u cầu của người dùng hợp pháp. Dạng tấn cơng DDoS này có thể được chia
nhỏ thành 2 dạng (i) tấn cơng khai thác tính năng hoặc lỗi cài đặt của các giao thức
và (ii) tấn cơng sử dụng các gói tin được tạo đặc biệt. Trong dạng thứ nhất, tin tặc
khai thác các lỗi hoặc các tính năng đặc biệt của các giao thức trên hệ thống nạn
nhân để gây cạn kiệt tài nguyên. Trong dạng thứ hai, kẻ tấn công tạo ra các gói tin
đặc biệt, như các gói sai định dạng, gói có khiếm khuyết, gửi đến hệ thống nạn nhân.
Hệ thống nạn nhân có thể bị trục trặc khi cố gắng xử lý các gói tin dạng này. Ví dụ,
trong tấn cơng Ping of Death, tin tặc gửi các gói tin ICMP có kích thước lớn hơn
64KB gây lỗi các máy chạy hệ điều hành Windows XP.
2.3. Các kỹ thuật tấn công DDos
Các cuộc tấn công DDoS thường được tin tặc thực hiện bằng cách huy động
một số lượng rất lớn các máy tính có kết nối Internet bị chiếm quyền điều khiển, tập
hợp các máy này được gọi là mạng máy tính ma hay botnet. Các máy của botnet có
khả năng gửi hàng ngàn yêu cầu giả mạo mỗi giây đến hệ thống nạn nhân, gây ảnh
hưởng nghiêm trọng đến chất lượng dịch vụ cung cấp cho ngƣời dùng. Do các yêu
cầu của tấn công DDoS được gửi rải rác từ nhiều máy ở nhiều vị trí địa lý nên rất

khó phân biệt với các yêu cầu của ngời dùng hợp pháp. Một trong các khâu cần
thiết trong việc đề ra các biện pháp phịng chống tấn cơng DDoS hiệu quả là phân
loại các dạng tấn công DDoS và từ đó có biện pháp phịng chống thích hợp.

19


2.3.1. TCP SYN Flood

Hình 2.3: Tấn cơng SYN Flood
Kiểu tấn công TCP SYN flood là một kiểu tấn công trực tiếp vào máy chủ
bằng cách tạo ra một số lượng lớn các kết nối TCP nhưng khơng hồn thành các kết
nối này.
Một người dùng bình thường kết nối tới máy chủ ban đầu thực hiện Request
TCP SYN và lúc này máy chủ khơng cịn khả năng đáp lại – kết nối khơng được
thực hiện.
Đầu tiên các khách hàng gửi gói tin yêu cầu SYN với số thứ tự x đến các máy
chủ. Các máy chủ đáp ứng bằng cách gửi một thông báo nhận (ACK – SYN). Với
cờ SYN = y và cờ ACK = x + 1. Khi khách hàng nhận được, khách hàng sẽ gửi một
thông báo nhận (ACK) với cờ y + 1.
SYN Flood là một loại tấn công website bằng DDOS. Ở đây, kẻ tấn công gửi
các yêu cầu SYN vĩnh viễn để ăn tài nguyên máy chủ nhiều nhất có thể. Hacker
khơng bao giờ trả lời SYN-ACK hoặc thậm chí nếu nó trả lời nó sử dụng một địa
chỉ IP giả. Vì vậy, các máy chủ khơng bao giờ nhận được các gói tin trả lời thậm chí
chờ đợi cho đến khi hết thời gian chờ.
20


2.3.2. UDP Flood
UDP (User Datagram Protocol) là một giao thức kết nối không tin cậy. Một

cuộc tấn công gây ngập lụt UDP có thể được bắt đầu bằng cách gửi một số lượng
lớn các gói tin UDP tới cổng ngẫu nhiên trên một máy chủ từ xa và kết quả là các
máy chủ ở xa sẽ:
1) Kiểm tra các ứng dụng với cổng;
2) Thấy rằng khơng có ứng dụng nghe ở cổng;
3) Trả lời với một ICMP Destination Unreachable gói.
Như vậy, hệ thống nạn nhân sẽ bị buộc nhận nhiều gói tin ICMP, dẫn đến mất
khả năng xử lý các yêu cầu của các khách hàng thông thường. Những kẻ tấn cơng
cũng có thể giả mạo địa chỉ IP của gói tin UDP, đảm bảo rằng ICMP gói trở lại q
mức khơng tiếp cận họ, và nặc danh hóa vị trí mạng của họ. Hầu hết các hệ điều
hành sẽ giảm nhẹ một phần của cuộc tấn công bằng cách hạn chế tốc độ phản ứng
ICMP được gửi đi.
2.3.3. HTTP Flood
Là hình thức mà các yêu cầu HTTP GET hoặc POST gần như hợp pháp bị
khai thác bởi hackers. Tấn công kiểu HTTP Flood sử dụng hàng loạt botnet và hàng
ngàn máy tính, những máy tính này đã bị kiểm sốt do sử dụng các phần mềm độc
hại. Hình thức này sẽ sử dụng ít băng thơng hơn các loại tấn công khác nhưng các
máy chủ buộc phải sử dụng tối đa nguồn tài nguyên.
2.3.4. Ping of Death
Đây cũng là một kiểu tấn công khá dễ hiểu. Khi một máy tính nhận một gói
ICMP có kích thước dữ liệu q lớn, nó có thể bị crash. Kiểu tấn cơng này rất thường
gặp trong các hệ điều hành Windows NT trở xuống. Đối với các hệ điều hành đời
mới thì việc tấn cơng này trở nên khó khăn hơn. Tuy nhiên đơi khi các lỗi này vẫn
xuất hiện trong các gói phần mềm. Điển hình như Windows IIS Web Server – ‘Ping
of Death’ exploit (CVE-2015-1635) trên các máy chủ Windows 7, Windows Server

21


2008 R2, Windows 8, Windows Server 2012, Windows 8.1 và Windows Server

2012 R2 sử dụng IIS Web Server.
Đây là 1 kiểu tấn công khá nguy hiểm vào những năm 1996 nhưng ngày nay
thì nó khơng thực sự hiệu quả. Hầu hết các ISP chặn được gói tin ICMP hoặc gói tin
ping ngay tại tường lửa. Tuy nhiên, có rất nhiều hình thức khác của cuộc tấn cơng
này nhằm vào đích là các phần cứng hoặc 1 ứng dụng duy nhất. Đơi lúc nó cịn được
gọi với những cái tên khác như: “Teardrop”, “Bonk”, và “Boink”.
2.3.5. Smurf Attack
Smurf là kiểu tấn công bằng cách lợi dụng địa chỉ IP và các giao thức ICMP
nhờ các chương trình độc hại có tên là Smurf. Kẻ tấn công giả vờ lấy địa chỉ IP
nguồn là mục tiêu tấn công để ping nhiều ICMP đến các địa chỉ Broadcast trên nhiều
mạng, làm cho địa chỉ IP này sẽ nhận một loạt phản hồi gói ICMP cực kỳ lớn, khiến
cho mạng bị chậm lại hoặc không thể đáp ứng các dịch vụ khác
2.3.6. Fraggle Attack
Fraggle Attack là một cuộc tấn công sử dụng nhiều lưu lượng UDP vào mạng
phát sóng của Router. Cũng tương tự như cách tấn cơng Smurf nhưng nó khơng sử
dụng nhiều ICMP.
2.3.7. Slowloris
Loại tấn công từ chối dịch vụ phân tán náy rất khó để phát hiện và hạn chế.
Sự việc đáng chú ý nhất là vụ tấn công trong cuộc bầu cử tổng thống Iran năm 2009.
Loại tấn công này có kĩ thuật tương tự như SYN flood (tạo nửa kết nối để làm cạn
kiệt tài nguyên máy chủ) nhưng diễn ra ở lớp HTTP (lớp ứng dụng). Để tấn công,
tin tặc gửi yêu cầu HTTP đến máy chủ, nhưng khơng gửi tồn bộ u cầu, mà chỉ
gửi một phần (và bổ sung nhỏ giọt, để khỏi bị ngắt kết nối). Với hàng trăm kết nối
như vậy, tin tặc chỉ tốn rất ít tài nguyên, nhưng đủ để làm treo máy chủ, không thể
tiếp nhận các kết nối từ người dùng hợp lệ.

22


2.3.8. NTP Amplification

NTP Amplification là một kiểu tấn công bằng các gói tin mà kẻ tấn cơng khai
thác máy chủ NTP (Network Time Protocol) đang hoạt động và khiến cho hệ thống
mạng hoặc máy chủ mục tiêu bị quá tải do một lượng lớn các gói UDP đang được
khuếch đại.
2.3.9. HTTP GET
HTTP GET là hình thức tấn cơng vào những lớp ứng dụng với quy mô nhỏ
nhưng nhắm đến nhiều mục tiêu. Mục tiêu của hình thức tấn cơng HTTP GET chính
là nhắm vào những ứng dụng xảy ra nhiều điểm yếu, đặc biệt là nhắm vào lớp thứ 7
trong mơ hình OSI thay vì lớp thứ 3, vì đây là lớp có lưu lượng mạng cao nhất. Kiểu
tấn cơng này hay sử dụng các URL tiêu chuẩn thay vì các tệp hỏng hoặc tệp có khối
lượng lớn nên việc chống lại là điều tương đối khó.
2.3.10.

Advanced persistent Dos (APDos):

Advanced Persistent Dos (ApDos) là hình thức tấn cơng vơ cùng phức tạp và
nghiêm trọng bởi vì nó sử dụng kết hợp tất cả những hình thức tấn cơng khác như
HTTP Flood hay SYN Flood, …. Kẻ tấn công sử dụng hình thức này ln mong
muốn gây ra những thiệt hại nghiêm trọng. Cuộc tấn công này cực kỳ lớn và nguy
hiểm vì có thể sẽ kéo dài hàng tuần hoặc hằng tháng, với điều kiện là hacker phải có
khả năng thay đổi chiến thuật liên tục tránh các bảo vệ an ninh.
2.3.11. Tấn công Ping (ICMP) flood
Là cuộc tấn công DDoS, trong đó kẻ tấn cơng cố gắng áp đảo một thiết bị mục
tiêu bằng các yêu cầu packets ICMP, khiến mục tiêu khơng thể có lưu lượng truy
cập bình thường. Khi lưu lượng tấn công đến từ nhiều thiết bị, cuộc tấn công sẽ trở
thành một tấn công DDoS hoặc tấn công DDoS phân tán.
Một yêu cầu ICMP cần một số tài nguyên server để xử lý từng yêu cầu và gửi
phản hồi. Yêu cầu cũng cần tổng lưu lượng trên cả tin nhắn đến (echo-request) và
phản hồi đi (echo-reply). Cuộc tấn công Ping Flood nhằm áp đảo khả năng của thiết
bị mục tiêu để phản hồi với số lượng yêu cầu cao hoặc quá tải kết nối mạng với lưu

lượng ảo. Bằng cách có nhiều thiết bị mạng botnet nhắm vào cùng một cơ sở hạ tầng
23


×