1



-




:







VÀ 

GVHD 
SVTH : 1.


MSSV: 0951150005
 CÔNG
MSSV: 0951150006


TP.HCM ngày 20 

2



 




Bảo mật an ninh mạng hiện nay được đặt lên hàng đầu với bất kỳ công ty nào
có hệ thống mạng dù lớn hay nhỏ. Hiện nay, các hacker trong và ngoài nước luôn
tìm cách tấn công và xâm nhập hệ thống để lấy các thông tin nội bộ.Những thông tin
nhạy cảm thường ảnh hưởng tới sống còn của công ty.Chính vì vậy, các nhà quản trị
mạng luôn cố gắng bảo vệ hệ thống của mình tốt nhất có thể và cố gắng hoàn thiện
hệ thống mình để bớt lỗ hổng.

Tuy nhiên, một kiểu tấn công rất cổ điển là tấn công từ chối dịch vụ chưa bao
giờ mất đi tính nguy hiểm đối với hệ thống mạng. Hậu quả mà DoS gây ra không chỉ
tiêu tốn nhiều tiền bạc, và công sức mà còn mất rất nhiều thời gian để khắc phục.
DoS và DDoS vẫn đang là vấn đề nan giải chưa có biện pháp nào chống được hoàn
toàn cuộc tấn công.

Với yêu cầu cấp thiết như vậy, nhóm em chọn đề tài “Tìm hiểu kỹ thuật tấn
công DoS và cách phòng chống” làm đồ án An Ninh Mạng. Mục đích đưa ra khi
làm đề tài là hiểu được các kiểu tấn công và từ đó đưa ra cách phòng chống DoS.

3

 
 TÀI: DOS ATTACK



P I:  QUAN   CÔNG 
Trang
I. Những sự kiện về các cuộc tấn công mạng……………4
II. Hiểu biết về các cuộc tấn công mạng………………….6
III. Những nguy cơ ảnh hưởng đến an toàn mạng………7


PHN II :

I . DoS attack là gì ? …………………………………………12
II. Các kỹ thuật tấn công DoS…………………….………….14
III. Một số công cụ tấn công DoS…………………………….23

P III : DOS

I. Những biện pháp đối phó DoS…………………………27
II. Công cụ phòng chống DoS……………………………31
III . Kiểm tra thâm nhập DoS………………………………34

P IV : DOS

4

 I:  QUAN   CÔNG 

I.     CÁC   CÔNG 

1.Sự kiện bảo mật của năm 2011

 VietNamNet bị tấn công DDoS lớn chưa từng có

Trong vài ngày qua, báo VietNamNet đã phải hứng chịu một cuộc tấn công từ
chối dịch vụ phân tán (DDoS) ở quy mô lớn chưa từng có tại Việt Nam, xuất phát từ
một mạng lưới khổng lồ gồm hàng chục ngàn máy tính bị nhiễm vi rút.

Bắt đầu từ cuối ngày 4/1/2011, lưu lượng truy cập vào trang chủ báo
VietNamNet tại địa chỉ tăng nhanh một cách bất thường, lên tới
hàng trăm ngàn kết nối tại một thời điểm.

Với lượng độc giả truy cập hàng ngày, số lượng kết nối tại một thời điểm chỉ
ở mức dưới một trăm ngàn. Nên việc tại một thời điểm có tới hàng trăm ngàn kết nối
liên tục (bao gồm cả của các độc giả thông thường) tới máy chủ web đã khiến băng
thông đường truyền mạng bị quá tải. Do vậy, độc giả truy cập vào báo VietNamNet
sẽ bị tắc nghẽn ngay từ đường truyền và báo lỗi không tìm thấy máy chủ, phải truy
cập vài lần mới mở được trang web.

Trên thực tế, báo VietNamNet đã từng bị tấn công DDoS nhiều lần nhưng ở
quy mô vài chục ngàn kết nối tại một thời điểm nên băng thông hệ thống và công
suất các máy chủ vẫn có thể chịu đựng được.Trong cuộc tấn công DDoS đang diễn
ra, kẻ thủ ác đã thể hiện khả năng rất chuyên nghiệp khi huy động một mạng lưới
botnet với lượng máy lên tới hàng chục ngàn máy tính.
 "Hacktivism" nổi dậy

Hacktivism là thuật ngữ diễn tả hành động tấn công, đột nhập vào một hệ
thống máy tính nhằm mục đích chính trị. Trên thế giới hiện nay, những nhóm hacker
mang "mác" hacktivism nổi tiếng có thể kể đến bao gồm Anonymous, LulzSec (đã
gác kiếm), hay TeaMp0isoN. Trong suốt năm 2011 qua, các nhóm hacktivism đã
tiến hành nhiều hoạt động khác nhau chống lại các cơ quan luật pháp, ngân hàng,
chính phủ, các công ty bảo mật và những nhà cung cấp phần mềm như tấn công lỗ

thủng an ninh các hệ thống của Tổ chức Liên hiệp quốc (UN), cơ quan tình báo bảo
mật Straffor, CIA…

Đáng lưu ý hơn nữa, trong số những sự việc này, như cuộc tấn công Straffor,
đã tiết lộ những lỗ hổng về mặt an ninh như việc lưu trữ các số thẻ tín dụng dưới

5

hình thức chưa được mã hóa, hay những mật khẩu vô cùng thiếu an toàn được các
nhà quản lý sử dụng.
2.Công ty cung cấp giải pháp bảo mật cho chính phủ Hoa Kỳ bị tấn
công

Vào tháng 1-2011, những hacker thuộc Anonymous đã đột nhập máy chủ web
của HBGary Federal – hbgaryfederal.com – thông qua việc sử dụng những đoạn mã
SQL bất hợp pháp nhằm khai thác một lỗ hổng bảo mật tồn tại trong cơ sở dữ liệu
của một ứng dụng. Sau đó trích xuất mã MD5 cho các mật khẩu thuộc sở hữu
của giám đốc điều hành (CEO), Aaron Barr, và COO, Ted Vera. Cả hai đều dùng
mật khẩu rất đơn giản: 6 kí tự thường và 2 con số.

Những mật khẩu như thế này cho phép những kẻ tấn công tiếp cận vào những
tài liệu nghiên cứu của công ty và hàng chục ngàn email được lưu trữ trong Google
Apps. Như vậy, việc sử dụng những mật khẩu thiếu an toàn cho hệ thống phần mềm
cũ cộng với việc sử dụng điện toán đám mây đã gây ra cơn ác mộng đối với an ninh
bảo mật.
3.Các cuộc tấn công DDoS nổi tiếng trong lịch sử

- Năm 2000, một loạt website nổi tiếng như Yahoo, eBay, eTrade, Amazon và
CNN trở thành nạn nhân của DDoS.
- Tháng 2/2001, máy chủ của Cục tài chính Ireland bị một số sinh viên Đại

học Maynooth ở nước này tấn công DDoS.
- Ngày 15/8/2003, Microsoft chịu đợt tấn công DoS cực mạnh và làm gián
đoạn websites trong vòng 2 giờ.
- Tháng 2/2007, hơn 10.000 máy chủ của game trực tuyến như Return to
Castle Wolfenstein, Halo, Counter-Strike …bị nhóm RUS tấn công với hệ thống
điều khiển chủ yếu đặt tại Nga, Uzbekistan và Belarus.
- Ngày 25/6/2009 khi Michael Jackson qua đời, lượng truy cập tìm kiếm các
từ khóa có liên quan đến ca sĩ này quá lớn khiến Google News lầm tưởng đây là một
cuộc tấn công tự động.
- Tháng 8/2009, các vụ DDoS nhắm tới một loạt trang mạng xã hội đình đám
như Facebook, Twitter, LiveJournal và một số website của Google được thực hiện
chỉ để "khóa miệng" một blogger có tên Cyxymu ở Georgia
- Ngày 7/12/2010, nhóm hacker có tên Anonymous đánh sập website
Visa.com sau khi tổ chức những cuộc tấn công tương tự vào Mastercard và PayPal
để trả đũa cho việc chủ WikiLeaks bị tạm giam ở Anh.
- Ngày 3/3/2011, dịch vụ blog nổi tiếng thế giới WordPress bị tấn công.
- Ngày 4/3/2011, 40 trang web của các cơ quan chính phủ Hàn Quốc bị tê liệt
vì DDoS.


6

II.     CÔNG 


Một cuộc tấn công mạng có thể được định nghĩa là bất kỳ phương pháp, quy
trình, phương tiện được sử dụng độc hại cố gắng để thỏa hiệp an ninh mạng.

Có một số lý do mà một cá nhân muốn tấn công mạng doanh nghiệp.Các cá nhân
thực hiện các cuộc tấn công mạng thường được gọi là kẻ tấn công mạng, tin tặc,…


Một vài loại khác nhau của hoạt động độc hại mà kẻ tấn công mạng và tin tặc
thực hiện được tóm tắt ở đây:

 Sử dụng trái phép tài khoản người dùng và đặc quyền
 Ăn cắp phần cứng
 Phần mềm đánh cắp
 Chạy mã cho các hệ thống thiệt hại
 Chạy mã thiệt hại và dữ liệu tham nhũng
 Sửa đổi dữ liệu được lưu trữ
 Ăn cắp dữ liệu
 Sử dụng dữ liệu cho lợi ích tài chính hoặc hoạt động gián điệp công nghiệp
 Thực hiện các hành động ngăn chặn người dùng hợp pháp có thẩm quyền
truy cập vào các dịch vụ mạng và các nguồn lực.
 Thực hiện hành động để làm cạn kiệt tài nguyên mạng và băng thông.





















7

III. 

1. "Tay trong"
Trong một số doanh nghiệp vừa và nhỏ, những dữ liệu kinh doanh quan trọng
hay thông tin khách hàng thường được giao phó cho một cá nhân. Điều này tạo nên
tình trạng "lệ thuộc quyền hạn" nguy hiểm.
Toàn bộ bản ghi (log) hệ thống mạng, những báo cáo tự động sẽ không được
kiểm tra thường xuyên từ ban quản trị.Việc thất thoát dữ liệu có thể diễn ra trong
khoảng thời gian dài mà không bị phát hiện.
2. Không có kế hoạch xử lý rủi ro
Hệ thống máy tính, mạng của doanh nghiệp luôn phải đối mặt với nhiều nguy
cơ bảo mật, từ việc hư hỏng vật lý cho đến các trường hợp bị tấn công từ tin tặc hay
virus đều có khả năng gây tổn hại cho dữ liệu.
Khá nhiều doanh nghiệp vừa và nhỏ thiếu hẳn chính sách phản ứng với việc
thất thoát dữ liệu hay kế hoạch khắc phục sự cố. Đại đa số đều lúng túng và bắt đầu
các hoạt động mang tính ứng phó.
3. Những thiết lập mặc định không được thay đổi
Tin tặc hiện nay thường dùng các tập tin chứa đựng hàng trăm ngàn tài khoản
mặc định (username và password) của các thiết bị kết nối mạng để dò tìm quyền hạn
truy xuất khả năng đăng nhập vào hệ thống mạng. Nếu các tài khoản, thiết lập mặc
định không được thay đổi, tin tặc sẽ dễ dàng chiếm quyền điểu khiển tài nguyên
mạng.
4. Môi trường mạng tại gia không an toàn

Đối với một vài doanh nghiệp nhỏ, các nhân viên thường đem máy tính xách
tay (laptop) của mình đến văn phòng để làm việc. Trong môi trường mạng tại gia
đình, chế độ bảo mật thường rất kém hay thậm chí không có những thiết lập bảo vệ.
Do đó, những chiếc laptop của nhân viên có thể là nguồn gốc phát tán virus,
malware hay trở thành zombie trung gian để tin tặc tấn công vào hệ thống mạng của
doanh nghiệp.



8


5. Thiếu cảnh giác với mạng công cộng
Một thủ đoạn chung tin tặc hay sử dụng để dẫn dụ những nạn nhân là đặt một
thiết bị trung chuyển wireless access-point không cài đặt mật khẩu (unsecured) rồi
gán một cái nhãn như "Mạng Wi-Fi miễn phí" và rung đùi ngồi chờ những kết nối
"ngây thơ" rơi vào bẫy.
Tin tặc sẽ dùng các công cụ thâu tóm gói dữ liệu mạng giúp nhận biết cả
những văn bản hay bất kỳ những gì mà nhân viên doanh nghiệp gõ rồi gửi ra ngoài.
6. Mất mát thiết bị di động
Rất nhiều doanh nghiệp, thậm chí gần đây còn có cả một vài hãng lớn bị thất
thoát dữ liệu quan trọng do mất cắp máy tính xách tay, thất lạc điện thoại di động
hay các đĩa flash USB lưu trữ. Dữ liệu trong các thiết bị này thường ít được mã hóa
hay bảo vệ bằng mật khẩu, rất dễ dàng xử lý một khi đã sở hữu chúng.
7. Lỗi từ máy chủ web
Hiện còn khá nhiều doanh nghiệp không coi trọng việc đặt website của mình
tại máy chủ nào, mức độ bảo mật ra sao. Do đó, website kinh doanh của doanh
nghiệp sẽ là mồi ngon của các đợt tấn công SQL Injection hay botnet.
8. Duyệt web tràn lan
Không phải nhân viên văn phòng nào cũng đủ am hiểu tường tận về những

hiểm họa rình rập trên mạng Internet như malware, spyware, virus, trojan
Họ cứ vô tư truy cập vào các website không xác định hoặc bị dẫn dụ click vào
những website được tin tặc bày cỗ chào đón và thế là máy tính của nhân viên sẽ là
cánh cửa giúp tin tặc xâm nhập vào trong mạng của doanh nghiệp.
9. Email chứa đựng mã độc
Những cuộc dội bom thư rác sẽ làm tràn ngập hộp thư của bạn với những tiêu
đề hấp dẫn như những vụ scandal tình ái, hình ảnh nóng bỏng hay các lời mời chào
kinh doanh chỉ một cú nhấp chuột sai lầm thì ngay lập tức máy tính sẽ tải về các
đoạn mã độc làm tiền đề cho hàng loạt phần mềm độc hại đi sau xâm nhập vào máy
tính.
10. Không vá lỗi bảo mật

9

Hơn 90% các cuộc tấn công vào hệ thống mạng đều cố gắng khai thác các lỗi
bảo mật đã được biết đến.Mặc dù các bản vá lỗi vẫn thường xuyên được những hãng
sản xuất cung cấp ngay sau khi lỗi được phát hiện nhưng một vài doanh nghiệp lại
không coi trọng việc cập nhật lỗi thường nhật dẫn đến việc các lỗi bảo mật mở toang
cổng chào đón những cuộc tấn công.

11. Một số nguy cơ khác

+ Lỗ hổng Zero-day đối với các phần mềm của Adobe (Flash Player, Adobe
Reader và Acrobat). Đây là lỗ hổng mới phát hiện trong tháng 3/2011 và được đánh
giá là lỗi nghiêm trọng. Nó cho phép kẻ tấn công thực thi các mã lệnh và có thể
chiếm quyền điều khiển hệ thống.Tội phạm mạng đã đính kèm mã độc dưới hình
thức tập tin Flash (.swf) vào các tài liệu có định dạng pdf hoặc Excel.

+ Sâu Conficker xuất hiện từ khá sớm tại Việt Nam và liên tục có nhiều biến
thể khác nhau; ngày càng trở nên nguy hiểm. Ước tính, có đến hàng triệu máy tính

trên thế giới đang nhiễm sâu Conficker và vô tình trở thành mạng máy tính botnet
giúp cho các hacker tổ chức các đợt tấn công DDoS quy mô lớn.

+ Hiện tại, đang xuất hiện loại malware (mã độc) khi lây nhiễm vào máy tính
sẽ chiếm quyền điều khiển hệ thống và đưa ra các thông báo giả mạo. Malware này
đã tấn công vào các máy tính sử dụng Windows không có bản quyền và đưa ra đề
nghị kích hoạt dịch vụ.Nhiều người tiêu dùng đã mất tiền oan khi gọi điện thoại liên
lạc với tổng đài (do hacker chỉ định) để lấy mã số kích hoạt Windows.

12. Những điểm yếu trong vấn đề bảo mật:
Hiểu được những điểm yếu trong bảo mật là một vấn đề hết sức quan trọng để tiến
hành những chính sách bảo mật có hiệu quả.

Hiểu những điểm yếu này giúp bảo mật mạng trước khi bị hacker tấn công. Cisco
xác định những điểm yếu trong bảo mật gồm có: technology weaknesses,
configuration weaknesses và policy weaknesses.

12.1) Technology weaknesses:

Điểm yếu trong kỹ thuật gồm có điểm yếu trong protocol, operating system va
̀

hardware.

12.1.1) TCP/IP weaknesses:


10

Giao thức TCP/IP là điểm yếu trong bảo mật vì nó được thiết kế như một tiêu

chuẩn mở đê
̉
giu
́
p cho việc trao đô
̉
i thông tin được dễ dàng . Điều đó làm cho nó trở
nên sư
̉
du
̣
ng rô
̣
ng ra
̃
i nhưng cu
̃
ng làm cho nó dễ dàng bị tấn công vì hầu hết mọi
người đều thân thuộc với cách thức TCP/IP làm việc.

Hai giao thức mà Cisco thích lựa chọn trong chùm giao thức TCP/IP nhưng
vốn cố hữu lại không được bảo mật la SMTP ( TCP ) va SNMP ( UDP ). Điển hình
của kỹ thuật tấn công vào hai giao thức này là IP spoofing, man-in-the-middle và
session replay.

12.1.2) Operating System weaknesses:

Trong khi tất cả các hệ điều hành đều có điểm yếu thì Linux và Unix được
xem như là ít có điểm yếu hơn Windows. Thực tế, hầu hết mọi người dùng các phiên
bản của Windows.


12.1.3) Network equipment weaknesses:

Hầu hết các thiết bị mạng như là servers, switchs, routers… đều có điểu yếu
trong bảo mật. Nhưng co
́
một chính sách tốt cho việc cấu hì nh và lắp đặt cho các
thiết bị mạng sẽ làm giảm đi rất nhiều sự ảnh hưởng của điểm yếu này.

12.2) Configuration weaknesses:

Đây là lỗi do nhà quản trị tạo ra . Lỗi này do các thiếu sót trong việc cấu hình
như là: không bảo mật tài khoản khách hàng , hệ thống tài khoản với password dễ
dàng đoán biết, không bảo mật các cấu hình mặc định trên thiết bị hay lỗi trong viê
̣
c
cấu hình thiết bị.

12.2.1) Unsecured user account:

Mỗi user account cần có usename và password cho mục đích bảo mật. Các
username và password này thường được truyền đi ở dạng clear text trên mạng. Do
đó, cần có chính sách bảo mật user account như mã hoá, authentication …

12.2.2) System account with easily guessed password:

Một điểm yếu trong lỗi cấu hình khác là bảo mật account với password dễ
dàng bị đánh cắp . Để ngăn chặn tình trạng đó , người quản trị cần có chính sách để
không cho phép một password co
́

hi ệu lực mãi mãi mà password này phải có một
thời hạn kết thúc.

12.2.3) Misconfigured Internet services:

11

Một vài công ty đã sử dụng địa chỉ thật trên mạng internet để đánh địa chỉ cho hosts
và servers. Điều này tạo nên điểm yếu mà các hacker sẽ dễ dàng khai thác thông tin.

Sử dụng giao thức NAT hoặc PAT có thể giải quyết vấn đề trên. Sử dụng địa
chỉ riêng ( private address ) cho phép đánh địa chỉ hosts và servers ma không cần
dùng địa chỉ thật trên mạng, trong khi địa chỉ thật thì được border router định tuyến
ra mạng internet.

Đó không phải là biện pháp tối ưu. Port trên interface kết nối ra internet phải ở
trạng thái open cho phép users vào mạng internet và ngược lại. Đó là lỗ hỏng trên
bức tường lửa ( firewall ) mà hacker có thể tấn công vào.

Bạn có thể tạo ra tính bảo mật cho network bằng cách sử dụng “ conduits ”, là kết
nối bảo mật cơ bản.

Cisco Secure Private Internet Echange ( PIX ) firewall là biện pháp tối ưu tạo
ra tính bảo mật tốt cho mạng.

12.2.4) Unsecured default settings in product:

Nhiều sản phẩm phần cứng được cung cấp mà không có password hoặc là
password sẵn có giúp cho nhà quản trị dễ dàng cấu hình thiết bị. Nó làm cho công
việc dễ dàng hơn, như một số thiết bị chỉ cần cắm vào và hoạt động. Điều này sẽ

giúp cho sự tấn công mạng trở nên dễ dàng. Do đó, ta cần phải thiết lập một chính
sách cấu hình bảo mật trên mỗi thiết bị trước khi thiết bị được lắp đặt vào hệ thống
mạng.

12.2.5) Misconfigured Netword Equipment:

Lỗi cấu hình thiết bị là một lổ hô
̉
ng có th ể khai thác để tấn công mạng:
password yếu, không có chính sách bảo mật hoặc không bảo mật user account… đều
là lỗi cấu hình thiết bị.

Phần cứng và những giao thức chạy trên thiết bị cũng tạo ra lỗ hỏng bảo mật
trong mạng.Nếu bạn không có chính sách bảo mật cho phần cứng và những giao
thức này thì hacker sẽ lợi dụng để tấn công mạng.

Nếu bạn sử dụng SNMP được mặc định thiết lập thì thông tin có thể bị đánh
cắp một cách dễ dàng và nhanh chóng. Do đó, hãy chắc chắn là bạn làm mất hiệu lực
của SNMP hoặc là thay đổi mặc định thiết lập SNMP có sẵn.

12.3) Policy weaknesses:


12

Chính sách bảo mật diễn tả làm thế nào và ở đâu chính sách bảo mật được
thực hiện. Đây là điều kiện quan trọng giúp việc bảo mật có hiệu quả tốt nhất.




I- GII THIU V DOS

1. Khái niệm
Denial Of Services Attack (tấn công từ chối dịch vụ ) là kiểu tấn công rất lợi
hại, với loại tấn công này, bạn chỉ cần một máy tính kết nối Internet là đã có thể thực
hiện việc tấn công được máy tính của đối phương .

Thực chất của DoS attack là hacker sẽ chiếm dụng một lượng lớn tài nguyên
trên server ( tài nguyên đó có thể là băng thông, bộ nhớ, cpu, đĩa cứng, ) làm cho
server không thể nào đáp ứng các yêu cầu từ các máy của nguời khác ( máy của
những người dùng bình thường ) và server có thể nhanh chóng bị ngừng hoạt động,
crash hoặc reboot.

2. Các mục đích của tấn công DoS

 Cố gắng chiếm băng thông mạng và làm hệ thống mạng bị ngập (flood), khi
đó hệ thống mạng sẽ không có khả năng đáp ứng những dịch vụ khác cho
người dùng bình thường.
 Cố gắng làm ngắt kết nối giữa hai máy, và ngăn chặn quá trình truy cập vào
dịch vụ.
 Cố gắng ngăn chặn những người dùng cụ thể vào một dịch vụ nào đó
 Cố gắng ngăn chặn các dịch vụ không cho người khác có khả năng truy cập
vào.

Khi tấn công DoS xảy ra người dùng có cảm giác khi truy cập vào dịch vụ đó như
bị:
+ Disable Network - Tắt mạng

+ Disable Organization - Tổ chức không hoạt động


+ Financial Loss – Tài chính bị mất


13




3. Mục tiêu mà kẻ tấn công thường sử dụng tấn công DoS
Như chúng ta biết ở bên trên tấn công DoS xảy ra khi kẻ tấn công sử dụng hết
tài nguyên của hệ thống và hệ thống không thể đáp ứng cho người dùng bình thường
được vậy các tài nguyên chúng thường sử dụng để tấn công là gì:

Tạo ra sự khan hiếm, những giới hạn và không đổi mới tài nguyên

 Băng thông của hệ thống mạng (Network Bandwidth), bộ nhớ, ổ đĩa, và CPU
Time hay cấu trúc dữ liệu đều là mục tiêu của tấn công DoS.

 Tấn công vào hệ thống khác phục vụ cho mạng máy tính như: hệ thống điều
hoà, hệ thống điện, hệt hống làm mát và nhiều tài nguyên khác của doanh
nghiệp. Bạn thử tưởng tượng khi nguồn điện vào máy chủ web bị ngắt thì
người dùng có thể truy cập vào máy chủ đó không.

 Phá hoại hoặc thay đổi các thông tin cấu hình.

 Phá hoại tầng vật lý hoặc các thiết bị mạng như nguồn điện, điều hoà…

4. Dấu hiệu khi bị tấn công DoS
 Thông thường thì hiệu suất mạng sẽ rất chậm.
 Không thể sử dụng website.

 Không truy cập được bất kỳ website nào.
 Tăng lượng thư rác nhanh chóng.











14



II. CÁC    CÔNG DOS

1. Winnuke

Hình 2.1 

DoS attack loại này chỉ có thể áp dụng cho các máy tính đang chạy
Windows9x. Hacker sẽ gởi các gói tin với dữ liệu "Out of Band" đến cổng 139 của
máy tính đích.( Cổng 139 chính là cổng NetBIOS, cổng này chỉ chấp nhận các gói
tin có cờ Out of Band được bật ). Khi máy tính của victim nhận được gói tin này,
một màn hình xanh báo lỗi sẽ được hiển thị lên với nạn nhân do chương trình của
Windows nhận được các gói tin này nhưng nó lại không biết phản ứng với các dữ
liệu Out Of Band như thế nào dẫn đến hệ thống sẽ bị crash .


2. Ping of Death


15



Tấn công Ping of Death (hay PoD) có thể làm tê liệt cả mạng lưới dựa trên lỗ
hổng của hệ thống TCP/IP. Kích thước tối đa cho 1 gói dữ liệu là 65,535 bytes. Nếu
ta gửi các gói tin lớn hơn nhiều so với kích thước tối đa thông qua lệnh “ping” đến
máy đích thì sẽ làm máy tính đích bị treo.

Nhưng gửi 1 gói tin lớn hơn kích thước quy định là điều trái với luật của giao
thức TCP/IP,vì vậy Hacker đã khéo léo gửi các gói tin trên các đoạn phân mảnh. Khi
máy tính victim ráp các phân mảnh dữ liệu thì sẽ nhận thấy gói tin quá lớn. Điều này
sẽ gây ra lỗi tràn bộ đệm và treo các thiết bị.

Nhưng đến nay thì hầu hết các thiết bị được sản xuất sau năm 1998 đã miễn dịch
với loại tấn công này.


3. Teardrop



16

Hình 2.3 
Như ta đã biết , tất cả các dữ liệu chuyển đi trên mạng từ hệ thống nguồn đến hệ

thống đích đều phải trải qua 2 quá trình : dữ liệu sẽ được chia ra thành các mảnh nhỏ
ở hệ thống nguồn, mỗi mảnh đều phải có một giá trị offset nhất định để xác định vị
trí của mảnh đó trong gói dữ liệu được chuyển đi. Khi các mảnh này đến hệ thống
đích, hệ thống đích sẽ dựa vào giá trị offset để sắp xếp các mảnh lại với nhau theo
thứ tự đúng như ban đầu . Lợi dụng sơ hở đó , ta chỉ cần gởi đến hệ thống đích một
loạt gói packets với giá trị offset chồng chéo lên nhau. Hệ thống đích sẽ không thể
nào sắp xếp lại các packets này, nó không điều khiển được và có thể bị crash, reboot
hoặc ngừng hoạt động nếu số lượng gói packets với giá trị offset chồng chéo lên
nhau quá lớn !

4. SYN Attack






Hình 2.4 

SYN
ACK
SYN/ACK
Client
Server
SYN
SYN/ACK
SYN/ACK
Server
Attacker/Agent


Malicious
TCP
Client

Victim
TCP
Server


SYS packet with a deliberately fraudulent
(spoofed) source IP return address
SYS/ACK
SYN

80

?

TCP
Client

ClientPort
1024-65535

TCP
Server


ServicePort
1-1023

SYS
ACK
SYN/ACK

80


17

Trong SYN Attack, hacker sẽ gởi đến hệ thống đích một loạt SYN packets với
địa chỉ IP nguồn không có thực. Hệ thống đích khi nhận được các SYN packets này
sẽ gởi trở lại các địa chỉ không có thực đó và chờ đợi để nhận thông tin phản hồi từ
các địa chỉ IP giả .
Vì đây là các địa chỉ IP khôngcó thực, nên hệ thống đích sẽ sẽ chờ đợi vô ích
và còn đưa các "request"chờ đợi này vào bộ nhớ , gây lãng phí một lượng đáng kể
bộ nhớ trên máy chủ mà đúng ra là phải dùng vào việc khác thay cho phải chờ đợi
thông tin phản hồi không có thực này . Nếu ta gởi cùng một lúc nhiều gói tin có địa
chỉ IP giả như vậy thì hệ thống sẽ bị quá tải dẫn đến bị crash hoặc boot máy tính .

5. Land Attack

Hình 2.5 Mô Hình tn công bng Land Attack
Land Attack cũng gần giống như SYN Attack, nhưng thay vì dùng các địa chỉ IP
không có thực, hacker sẽ dùng chính địa chỉ IP của hệ thống nạn nhân. Điều này sẽ
tạo nên một vòng lặp vô tận giữa trong chính hệ thống nạn nhân đó,giữa một bên cần
nhận thông tin phản hồi còn một bên thì chẳng bao giờ gởi thông tin phản hồi đó đi
cả . == > Gậy ông đập lưng ông .

6. Smurf Attack


18




Trong Smurf Attack, cần có ba thành phần: hacker (người ra lệnh tấn công),
mạng khuếch đại (sẽ nghe lệnh của hacker) và hệ thống của nạn nhân. Hacker sẽ gởi
các gói tin ICMP đến địa chỉ broadcast của mạng khuếch đại. Điều đặc biệt là các
gói tin ICMP packets này có địa chỉ IP nguồn chính là địa chỉ IP của nạn nhân .

Khi các packets đó đến được địa chỉ broadcast của mạng khuếch đại, các máy
tính trong mạng khuếch đại sẽ tưởng rằng máy tính nạn nhân đã gởi gói tin ICMP
packets đến và chúng sẽ đồng loạt gởi trả lại hệ thống nạn nhân các gói tin phản hồi
ICMP packets. Hệ thống máy nạn nhân sẽ không chịu nổi một khối lượng khổng lồ
các gói tin này và nhanh chóng bị ngừng hoạt động, crash hoặc reboot.

Như vậy, chỉ cần gởi một lượng nhỏ các gói tin ICMP packets đi thì hệ thống
mạng khuếch đại sẽ khuếch đại lượng gói tin ICMP packets này lên gấp bội . Tỉ lệ
khuếch đại phụ thuộc vào số mạng tính có trong mạng khuếch đại . Nhiệm vụ của
các hacker là cố chiếm được càng nhiều hệ thống mạng hoặc routers cho phép
chuyển trực tiếp các gói tin đến địa chỉ broadcast không qua chỗ lọc địa chỉ nguồn ở
các đầu ra của gói tin . Có được các hệ thống này, hacker sẽ dễ dàng tiến hành Smurf
Attack trên các hệ thống cần tấn công . == >Đánh tổng lực .

7. Fraggle Attack

19


Hình 2.7 Mô Hì


Tương tự như Smurt attack nhưng thay vì dùng gói tin ICMP ECHO
REQUEST thì sẽ dùng cách tấn công này sẽ dùng gói tin UDP ECHO gởi đến mục
tiêu. Nhưng Flaggle Attack nguy hiểm hơn Smurt attack rất nhiều.Vì Attacker tấn
công bằng một gói tin ECHO REQUEST với địa chỉ bên nhận là một địa chỉ
broadcast, toàn bộ hệ thống thuộc địa chỉ này lập tức gửi gói tin REPLY đến port
echo của victim, sau đó từ victim một gói tin ECHO REPLY lại gửi trở về địa chỉ
broadcast, và quá trình cứ thế tiếp diễn.

8. UDP Flooding

Hình 2.8 


20

Cách tấn công UDP đòi hỏi phải có 2 hệ thống máy cùng tham gia. Hackers sẽ
làm cho hệ thống của mình đi vào một vòng lặp trao đổi các dữ liệu qua giao thức
UDP. Và giả mạo địa chỉ IP của các gói tin là địa chỉ loopback (127.0.0.1 ) , rồi gởi
gói tin này đến hệ thống của nạn nhân trên cổng UDP echo( 7 ).

Hệ thống của nạn nhân sẽ trả lời lại các messages do 127.0.0.1( chính nó) gởi
đến , kết quả là nó sẽ đi vòng một vòng lặp vô tận. Tuy nhiên, có nhiều hệ thống
không cho dùng địa chỉ loopback nên hacker sẽ giả mạo một địa chỉ IP của một máy
tính nào đó trên mạng nạn nhân và tiến hành ngập lụt UDP trên hệ thống của nạn
nhân . Nếu bạn làm cách này không thành công thì chính máy của bạn sẽ bị đầy.

9. Tấn công DNS
Hacker có thể đổi một lối vào trên Domain Name Server của hệ thống nạn
nhân rồi cho chỉ đến một website nào đó của hacker. Khi máy khách yêu cầu DNS

phân tích địa chỉ bị xâm nhập thành địa chỉ IP, lập tức DNS ( đã bị hacker thay đổi
cache tạm thời ) sẽ đổi thành địa chỉ IP mà hacker đã cho chỉ đến đó . Kết quả là
thay vì phải vào trang Web muốn vào thì các nạn nhân sẽ vào trang Web do chính
hacker tạo ra . Một cách tấn công từ chối dịch vụ thật hữu hiệu !.


10. Distributed DoS Attacks ( DDos )

Attacker:kẻ tấn công

Handler: máy tính bị điều
khiển bởi Attacker

Zombie: máy tính bị điều
khiển bởi Handler

Victim: nạn nhân tấn công
của Attacker

Hình 2.10 Mô hình  công DDos

DDoS yêu cầu phải có ít nhất vài hackers cùng tham gia. Đầu tiên các hackers
sẽ cố thâm nhập vào các mạng máy tính được bảo mật kém, sau đó cài lên các hệ

21

thống này chương trình DDoS server. Bây giờ các hackers sẽ hẹn nhau đến thời
gian đã định sẽ dùng DDoS client kết nối đến các DDoS servers, sau đó đồng loạt ra
lệnh cho các DDoS servers này tiến hành tấn công DDoS đến hệ thống nạn nhân .



11. The Distributed Reflection Denial of Service Attack(DRDoS )

Đây có lẽ là kiểu tấn công lợi hại nhất và làm boot máy tính của đối phương
nhanh gọn nhất. Cách làm thì cũng tương tự như DDos nhưng thay vì tấncông bằng
nhiều máy tính thì người tấn công chỉ cần dùng một máy tấn công thông qua các
server lớn trên thế giới . Vẫn với phương pháp giả mạo địa chỉ IP của victim , kẻ tấn
công sẽ gởi các gói tin đến các server mạnh nhất, nhanh nhất và có đường truyền
rộng nhất như Yahoo .v.v… , các server này sẽ phản hồi các gói tin đó đến địa chỉ
của victim .

Việc cùng một lúc nhận được nhiều gói tin thông qua các server lớn này sẽ nhanh
chóng làm nghẽn đường truyền của máy tính nạn nhân và làm crash , reboot máy
tính đó . Cách tấn công này lợi hại ở chỗ chỉ cần một máy có kết nối Internet đơn
giảnvới đường truyền bình thường cũng có thể đánh bật được hệ thống có đường
truyền tốt nhất thế giới nếu như ta không kịp ngăn chặn . Trang WebHVA của chúng
ta cũng bị DoS vừa rồi bởi cách tấn công này đấy.


22


Hình 2.10 Mô hình  công DRDos


23

III: 



1. DoSHTTP + Sprut:



Hình 3.1 tool DoSHTTP và Sprut


Đây là 2 phần mềm làm “Flood” Website ở mức độ nhẹ và nó thực hiện bằng
cách gửi các gói tin Request đến port 80 của website.

DoSHTTP là một phần mềm sử dụng dễ dàng, mạnh mẽ để tấn công tràn ngập
HTTP nhằm mục địch kiểm thử trên Windows. DoSHTTP bao gồm xác nhận URL,
chuyển hướng HTTP và giám sát hiệu suất.Công cụ DoSHTTP có thể giúp các
chuyên gia CNTT thử nghiệm hiệu năng máy chủ web và đánh giá độ bảo mật.








24

2. LOIC



Hình 3.2 Giao din tool LOIC


LOIC là ứng dụng tấn công từ chối dịch vụ, được viết bằng C#. Loic thực hiện
tấn công từ chối dịch vụ tấn công (hoặc khi được sử dụng bởi nhiều cá nhân, đó sẽ là
một cuộc tấn công DDoS).

Trên một trang web mục tiêu làm ngập các máy chủ với các gói tin TCP hoặc
UDP với ý định làm gián đoạn dịch vụ của một máy chủ cụ thể. Công cụ LOIC là
một botnet tình nguyện kết nối đến một máy chủ từ xa mà chỉ đạo các cuộc tấn
công. Hiện nay, có 40.000 người kết nối với botnet.












25

3. UDP Flood


Hình 3.3 

UDPFlood là một chương trình gửi các gói tin UDP. Nó gửi ra ngoài những
gói tin UDP tới một địa chỉ IP và port không cố định.


Gói tin có khả năng là một đoạn mã văn bản hay một số lượng dữ liệu được
sinh ngẫu nhiên hay từ một file được sử dụng để kiểm tra khả năng đáp ứng của
server.