ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH TRƯỜNG ĐẠI HỌC KINH TẾ - LUẬT - - - -  - - - - ĐỒ ÁN MƠN HỌC TÌM HIỂU VỀ DDOS, MÔ TẢ CÁCH TẤN CÔNG VÀ PHƯƠNG PHÁP PHỊNG THỦ Giảng viên hướng dẫn Nhóm thực Thạc sĩ : Trương Hoài Phan Nguyễn Thị Diệu K094061108 Tống Thị Hoa K094061126 Đặng Thị Liên K094061150 Nguyễn Thị Kim Nga K094061163 Dương Trọng Vinh K094061216 Thành phố Hồ Chí Minh, tháng 11/2012 Mục Lục Chương : CƠ SỞ LÝ THUYẾT VÀ TỔNG QUAN VỀ DDOS 1.1 Nguồn gốc Cuối kỷ 19 đầu thiên niên kỷ đánh dấu bước phát triển nhanh, mạnh số chiến lược công khác biệt nhắm vào hệ thống mạng DDoS, tức Distributed Denial of Services, hình thức cơng từ chối dịch vụ phân tán khét tiếng đời Tương tự với người anh em DoS (tấn công từ chối dịch vụ), DDoS phát tán rộng, chủ yếu nhờ tính đơn giản khó bị dị tìm chúng Đã có nhiều kinh nghiệm đối phó chia sẻ, với khối lượng kiến thức khơng nhỏ nó, ngày DDoS mối đe doạ nghiêm trọng, công cụ nguy hiểm hacker Chúng ta tìm hiểu DDoS sản phẩm kế thừa từ nó: cơng botnet a Giới thiệu Bot Botnet Bot viết tắt robot, tức chương trình tự động hố (chứ khơng phải người máy nghĩa gọi) thường xuyên sử dụng giới Internet Người ta định nghĩa spider dùng cơng cụ tìm kiếm trực tuyến, ánh xạ website phần mềm đáp ứng theo yêu cầu IRC (như eggdrop) robot Các chương trình tự động phản ứng gặp kiện mạng nội gọi robot Chúng ta quan tâm tới kiểu robot cụ thể (hay bot tên tắt thường gọi) IRC bot IRC bot sử dụng mạng IRC kênh liên lạc để nhận lệnh từ người dùng từ xa Ví dụ cụ thể như, người dùng kẻ cơng, cịn bot Trojan horse Một lập trình viên giỏi dễ dàng tạo số bot riêng mình, xây dựng lại từ bot có sẵn Chúng dễ dàng ẩn nấp trước hệ thống bảo mật bản, sau phát tán nhanh chóng thời gian ngắn b IRC IRC tên viết tắt Internet Relay Chat Đó giao thức thiết kế cho hoạt động liên lạc theo kiểu hình thức tán gẫu thời gian thực (ví dụ RFC 1459, update RFC 2810, 2811, 2812, 2813) dựa kiến trúc client-server Hầu hết server IRC cho phép truy cập miễn phí, khơng kể đối tượng sử dụng IRC giao thức mạng mở dựa tảng TCP (Transmission Control Protocol - Giao thức điều khiển truyền vận), nâng cao với SSL (Secure Sockets Layer - Tầng socket bảo mật) Một server IRC kết nối với server IRC khác mạng Người dùng IRC liên lạc với hai theo hình thức cơng cộng (trên kênh) riêng tư (một đối một) Có hai mức truy cập vào kênh IRC: mức người dùng (user) mức điều hành (operator) Người dùng tạo kênh liên lạc riêng trở thành người điều hành Một điều hành viên có nhiều đặc quyền (tuỳ thuộc vào kiểu chế độ người điều hành ban đầu thiết lập ) so với người dùng thông thường Các bot IRC coi người dùng (hoặc điều hành viên) thông thường Chúng quy trình daemon, chạy tự động số thao tác Q trình điều khiển bot thơng thường dựa việc gửi lệnh để thiết lập kênh liên lạc hacker thực hiện, với mục đích phá hoại Tất nhiên, việc quản trị bot địi hỏi chế thẩm định cấp phép Vì thế, có chủ sở hữu chúng sử dụng Một thành phần quan trọng bot kiện mà chúng dùng để phát tán nhanh chóng tới máy tính khác Xây dựng kế hoạch cần thận cho chương trình cơng giúp thu kết tốt với thời gian ngắn (như xâm phạm nhiều máy tính chẳng hạn) Một số n bot kết nối vào kênh đơn để chờ lệnh từ kẻ công gọi botnet Các mạng zombie (một tên khác máy tính bị cơng theo kiểu bot) thường điều khiển qua công cụ độc quyền, kẻ chun bẻ khố cố tình phát triển Trải qua thời gian, chúng hướng tới phương thức điều khiển từ xa IRC xem công cụ phát động cơng tốt nhờ tính linh hoạt, dễ sử dụng đặc biệt server chung dùng phương tiện liên lạc IRC cung cấp cách thức điều khiển đơn giản hàng trăm, chí hàng nghìn bot lúc cách linh hoạt Nó cho phép kẻ cơng che đậy nhân dạng thật với số thủ thuật đơn giản sử dụng proxy nặc danh hay giả mạo địa IP Song mà chúng để lại dấu vết cho người quản trị server lần theo Trong hầu hết trường hợp công bot, nạn nhân chủ yếu người dùng máy tính đơn lẻ, server trường đại học mạng doanh nghiệp nhỏ Lý máy tính nơi khơng giám sát chặt chẽ thường để hở hoàn toàn lớp bảo vệ mạng Những đối tượng người dùng thường khơng xây dựng cho sách bảo mật, có khơng hồn chỉnh, cục số phần Hầu hết người dùng máy tính cá nhân kết nối đường truyền ADSL không nhận thức mối nguy hiểm xung quanh không sử dụng phần mềm bảo vệ công cụ diệt virus hay tường lửa cá nhân c Ứng dụng Bot - Tấn công từ chối dịch vụ phân tán (DDoS) Spamming (phát tán thư rác) Sniffing Keylogging - … 1.2 Lịch sử công DDoS a Mục tiêu Mục tiêu công thường vào trang web lớn tổ chức thương mại điện tử Internet Mục tiêu thực đối tượng: • Điển hình cộng đồng hacker kinh điển tốn khơng giấy mực báo chí Anonymous (Nhóm hacker biết đến nhiều thông tin định danh hành tung cộng đồng biết đến) Nhóm hacker thực hàng loạt vụ công DDoS, nhằm vào nhiều website phủ, đánh cắp thơng tin cá nhân… chiến tích Anonymous tham khảo trực tiếp http://www.baomoi.com/Nhom-hacker- • Anonymous-Tu-vo-danh-den-noi-danh/76/6527224.epi Ngồi cịn có cá nhân khác, hoạt động khơng có tổ chức nhằm mục đích kiếm tiền ăn cắp thông tin cá nhân để thực gian lận Khơng đâu xa tìm thấy tin rao vặt nhiều nơi điển hình như: Ví dụ: “Tình hình kinh tế việt nam khăn nên đánh liều DDoS Vào thẳng vấn đề ln.DDoS site giá tối thiểu 250k/h (tức site die tiếng) Cho test ddos thử trước Bạn có nhu cầu liên hệ: maifamily.maianhkhoa p/s: Kèm bán ln tool ddos: 150m” b Các công - Vào ngày 15 tháng năm 2003, Microsoft chịu đợt công DDoS cực mạnh làm gián đoạn websites vòng - Vào lúc 15:09 GMT ngày 27 tháng năm 2003: toàn phiên tiếng anh website Al-Jazeera bị công làm gián đoạn nhiều - 1998 Chương trình Trinoo Distributed Denial of Service (DDoS) viết Phifli - Tháng – 1999 Trang chủ FBI ngừng họat động cơng (DDOS) - Tháng – 1999 Mạng Trinoo cài đặt kiểm tra 2000 hệ thống - Lúc tối ngày 9-2/2000 Website Excite.com đích vụ công từ chối dịch vụ, liệu luân chuyễn tới tấp vòng kết thúc, gói liệu hư hỏng nặng - 7/2/2000 Yahoo! bị công từ chối dịch vụ ngưng trệ hoạt động vòng đồng hồ - Gần vụ công website Bkav Cụ thể Chỉ ngày sau bị công vào Website nhánh webscan.bkav.com.vn , từ tối ngày 4/2/2012, trang chủ Bkav địa www.bkav.com.vn truy cập Các khách hàng sử dụng phần mềm diệt virus Bkav phí Bkav Pro khơng thể kết nối tới máy chủ để cập nhật virus Đến rạng sáng (5/2), trang chủ Bkav tiếp tục chuyển hướng tới trang “/trang-chu3″, kết nối thành cơng Khi truy cập được, trang chủ Bkav khơng có dấu hiệu bị sửa đổi hacker khơng có thông báo liên quan tới cố Trước đó, vào tháng 10/2008, Website Bkav bị cơng DDoS mạng botnet có quy mơ lớn Việt Nam thời điểm với khoảng 1.000 máy tính, khiến hệ thống khơng thể hoạt động Đối tượng gây vụ công bị bắt sau khơng lâu  Và 15 vụ công DDoS tiếng lịch sử, xem thêm http://www.baomoi.com/15vu-tan-cong-DDoS-noi-tieng-nhat-lich-su/76/6001710.epi Tấn công từ chối dịch vụ DDoS (Distributed Denial of Service) hình thức gây “ngập lụt” hệ thống băng thông nạn nhân khối lượng lớn truy cập đồng thời từ hệ thống mạng máy tính gồm nhiều máy bị chiếm quyền điều khiển Đây thường coi hành động cơng thuộc loại “bẩn thỉu” khó chống đỡ 1.3 Định nghĩa khái quát công DdoS a Khái niệm Tấn công từ chối dịch vụ phân tán (DDoS – Distributed Denial of Service) hoạt động làm chấm dứt gián đoạn dịch vụ máy nạn nhân Tấn công Ddos huy động số lượng lớn máy bị lợi dụng để công nạn nhân vào thời điểm Do DDoS có tính chất phân tán nên việc ngăn chặn khó khăn Việc ngăn chặn DDoS khơng thể từ máy tính bị cơng mà phải kết hợp router để tiến hành phân tích chặn Do có số lượng Agent lớn bao phủ diện rộng nên việc phát gói tin cơng khó có khả giải triệt để DDoS Ở Agent máy trực tiếp gửi thông điệp công Trên Internet công Distributed Denial of Service dạng công từ nhiều máy tính tới đích, gây từ chối yêu cầu hợp lệ user bình thường Bằng cách tạo gói tin cực nhiều đến đích cụ thể, gây tình trạng tương tự hệ thống bị shutdown Kết luận - Qua ta thấy rõ vụ công từ chối dịch vụ (Denial Of Services Attack ) cơng việc gửi nhửng gói liệu tới máy chủ (Flood Data Of Services Attack) tới tấp mối lo sợ cho nhiều mạng máy tính lớn nhỏ nay, - Khi mạng máy tính bị Hacker cơng chiếm lượng lớn tài nguyên server dung lượng ổ cứng, nhớ, CPU, băng thông … Lượng tài nguyên tùy thuộc vào khả huy động cơng Hacker Khi Server khơng thể đáp ứng hết yêu cầu từ client người sử dụng từ server nhanh chóng bị ngừng hoạt động, crash reboot Nguyên tắc hoạt động Cùng lúc server địa IP bị hàng chục ngàn máy khác công vào ,điều khiến cho máy bị tràn nhớ ==> làm serve bị treo reset lại ,rất nguy hiểm xóa Database web b Các đặc tính DDoS - Nó cơng từ hệ thống máy tính cực lớn Internet, thường dựa vào dịch vụ có sẵn máy tính mạng botnet - Các dịch vụ công điều khiển từ "primary victim" máy tính bị chiếm quyền sử dụng mạng Bot sử dụng để công thường gọi "secondary victims" - Là dạng cơng khó phát công sinh từ nhiều địa IP Internet - Nếu địa IP công cơng ty, chặn Firewall Nếu từ 30.000 địa IP khác, điều vơ khó khăn - Thủ phạm gây nhiều ảnh hưởng công từ chối dịch vụ DdoS 1.4 Những khả bị công DDoS a Các giai đoạn công DDoS Bao gồm giai đoạn : • Giai đoạn chuẩn bị - Chuẩn bị công cụ quan trọng công, công cụ thông thường hoạt động theo mơ hình client-server Hacker viết phần mềm hay down load cách dễ dàng, theo thống kê tạm thời có khoảng 10 cơng cụ DDoS cung cấp miễn phí mạng (các cơng cụ phân tích chi tiết vào phần sau) - Kế tiếp, dùng kỹ thuật hack khác để nắm trọn quyền số host mạng tiến hành cài đặt software cần thiết host này, việc cấu hình thử nghiệm tồn attack8 netword (bao gồm mạng lưới máy bị lợi dụng với software thiết lập đó, máy hacker số máy khác thiết lập điểm phát động công) thực giai đoạn • Giai đoạn xác định mục tiêu thời điểm - Sau xác định mục tiêu lấn cuối, hacker có hoạt động điều chỉnh attack-netword chuyển hướng cơng phía mục tiêu - Yếu tố thời điểm định mức độ thiệt hại tốc độ đáp ứng mục tiêu cơng • Phát động cơng xóa dấu vết - Đúng thời điểm định, hacker phát động cơng từ máy mình, lệnh cơng qua nhiều cấp mói đến host thực cơng Tồn attack-network (có thể lên đến hàng ngàn máy), vắt cạn lực server mục tiêu liên tục, ngăn chặn không cho hoạt động thiết kế - Sau khoảng thời gian cơng thích hợp, hacker tiến hành xóa dấu vết truy ngược đến mình, việc địi hỏi trình độ khác cao khơng tuyệt đối cần thiết b Kiến trúc tổng quan DDoS attack-network Nhìn chung DDoS attack-network có hai mơ hình  Mơ hình Agent – Handler  Mơ hình IRC – Based DDoS attack-network Agent -Handler Client – Handler Communication IRC - Based Client – Handler Secret/private channel Communication TCP UDP ICMP TCP UDP ICMP 4.b Sơ đồ phân loại kiểu công DDoS Chi tiết mơ hình  Mơ hình Agent – Handler Public channel Theo mơ hình này, attack-network gồm thành phần: Agent, Client Handler + Client: software sở để hacker điều khiển hoạt động attack-network + Handler: thành phần software trung gian Agent Client + Agent: thành phần software thực công mục tiêu, nhận điều khiển từ Client thông qua Handler Kiến trúc attack-network kiểu Agent – Handler Attacker từ Client giao tiếp với cc1 Handler để xác định số lượng Agent online, điều chỉnh thời điểm công cập nhật Agent Tùy theo cách attacker cấu hình attack-network, Agent chịu quản lý hay nhiều Handler Thông thường Attacker đặt Handler software Router hay server có lượng traffic lưu thơng nhiều Việc nhằm làm cho giao tiếp Client, handler Agent khó bị phát Các gia tiếp thơng thường xảy protocol TCP, UDP hay ICMP Chủ nhân thực Agent thông thường không hay biết họ bị lợi dụng vào công kiểu DDoS, họ không đủ kiến thức chương trình Backdoor Agent sử dụng tài nguyên hệ thống làm cho thấy ảnh hưởng đến hiệu hệ thống  Mơ hình IRC – Based 10 Chương 2: ĐẶC TÍNH CỦA CÔNG CỤ TẤN CÔNG VÀ MỘT SỐ CÔNG CỤ TẤN CƠNG DDOS A Đặc tính cơng cụ cơng DDoS Có nhiều điểm giống mặt software tool DDoS attack Được thể sơ đồ sau: Có điểm chung sau: 2.1 Cách thức cài đặt DDoS Agent Attacker dùng phương pháp active passive để cài đặt agent software lên máy khác nhằm thiết lập attack-network kiểu Agent-Handler hay IRC-based - Cách cài đặt Active: + Scaning: dùng cơng cụ Nmap, Nessus để tìm sơ hở hệ thống online nhằm cài đặt Agentsoftware Chú ý, Nmap trả thông tin hệ thống định địa IP, Nessus tìm kiếm từ địa IP điểm yếu biết trước + Backdoor: sau tìm thấy danh sách hệ thống lợi dụng, attacker tiến hành xâm nhập cài Agentsoftware lên hệ thống Có nhiều thơng tin sẵn có cách thức xâm nhập mạng, site tổ chức Common Vulnerabilities and Exposures (CVE), liệt kê phân loại 4.000 loại lỗi tất hệ thống có Thơng tin ln sẵn sàng cho giới quản trị mạng lẫn hacker 18 + Trojan: chương trình thực chức thơng thường đó, lại có số chức tiềm ẩn phục vụ cho mục đích riêng người viết mà người dùng khơng thể biết Có thể dùng trojan Agent software + buffer Overflow: tận dụng lỗi buffer overflow, attacker làm cho chu trình thực thi chương trình thơng thường bị chuyển sang chu trình thực thi chương trình hacker (nằm vùng liệu ghi đè) Có thể dùng cách để cơng vào chương trình có điểm yếu buffer overflow để chạy chương trình Agent software - Cách cài đặt passive: + Bug Website: attacker lợi dụng số lỗi web brower để cài Agent software vào máy user truy cập Attaker tạo website mang nội dung tiềm ẩn code lệnh để đặt bẫy user Khi user truy cập nội dung website, website download cài đặt Agent software cách bí mật Microsoft Internet Explorer web browser thường mục tiêu cách cài đặt này, với lỗi ActiveX cho phép IE brower tự động download cài đặt code máy user duyệt web + Corrupted file: phương pháp khác nhúng code vào file thông thường Khi user đọc hay thực thi file này, máy họ bị nhiễm Agent software Một kỹ thuật phổ biến đặt tên file dài, default hệ điều hành hiển thị phần đầu tên file nên attacker gửi kèm theo email cho nạn nhân file sau: iloveyou.txt_hiiiiiii_NO_this_is_DDoS.exe, thấy phần “Iloveyou.txt” hiển thị nên user mở file để đọc file thực thi Agent code cài vào máy nạn nhân Ngồi cịn nhiều cách khác ngụy trang file, ghép file… + Rootkit: chương trình dùng để xóa dấu vết diện Agent hay Handler máy nạn nhân Rootkit thường dùng Hander software cài, đóng vai trò xung yếu cho hoạt động attack-network hay môi trường mà khả bị phát Handler cao Rootkit dùng Agent mức độ quan trọng Agent khơng cao có số Agent không ảnh hưởng nhiều đến attack-network 2.2 Giao tiếp Attack-Network - Protocol: giao tiếp attack-network thực protocol TCP, UDP, ICMP - Mã hóa giao tiếp: vài cơng cụ DDoS hỗ trợ mã hóa giao tiếp tồn attacknetwork Tùy theo protocol sử dụng để giao tiếp có phương pháp mã hóa thích hợp Nếu attack-network dạng IRC-based private secrect channel hỗ trợ mã hóa giao tiếp 19 - Cách kích hoạt Agent: có hai phương pháp chủ yếu để kích hoạt Agent Cách thứ Agent thường xuyên quét thăm dó Handler hay IRC channel để nhận thị (active Agent) Cách thứ hai Agent đơn giản “nằm vùng” chờ thị từ Handler hay IRC Channel 2.3 Các tảng hỗ trợ Agent Các công cụ DDoS thơng thường thiết kế hoạt động tương thích với nhiều hệ điều hành khác như: Unix, Linux, Solaris hay Windows Các thành phần attack-network vận hành môi trường hệ điều hành khác Thông thường Handler vận hành hệ chạy server lớn Unix, Linux hay Solaris Agent thông thường chạy hệ điều hành phổ biến windows cần số lượng lớn dễ khai thác 2.4 Các chức công cụ DDoS Tập hợp lệnh chung TẬP LỆNH CỦA HANDLER Lệnh Mô tả Log On Nhằm dùng để logon vào Handler software (user + password) Turn On Kích hoạt Handler sẵn sàng nhận lệnh Log Off Nhằm dùng để Logoff khỏi Handler software Turn Off Chỉ dẫn Handler ngưng hoạt động, Handler quét tìm Agent dừng hành vi Initiate Attack List Agents Ra lệnh cho Handler hướng dẫn Agent trực thuộc công mục tiêu định Yên cầu Handler liệt kê Agent trực thuộc Kiss Agents Loại bỏ Agent khỏi hàng ngũ Attack-Network Add victim Thêm mục tiêu để công Download Upgrades Set Spoofing Cập nhật cho Handler software (downloads file.exe thực thi) Kích hoạt thiết lập chế giả mạo địa IP cho Agent Set Attack Time Định thời điểm công cho Agent Set Attack Duration Thông báo độ dài cơng vào mục tiêu BufferSize Thiết lập kích thước buffer Agent (nhằm gia tăng sức mạnh cho Agent) 20 Help Hướng dẫn sử dụng chương trình Turn On Turn Off Initiate Attacke Download Upgrades Set Spoofing Set Attack Duration Set Packet Size Help 2.5 TẬP LỆNH AGENT Kich hoat Agent sẵn sàng nhận lệnh Chỉ dẫn Agent ngưng hoạt động, Agent quét tìm Handler/IRC Channel dừng hành vi lại Ra lệnh Agent công mục tiêu định Cập nhật cho Agent software (downloaf file exe thực thi) Thiết lập chế giả mạo địa IP cho Agent hoạt động Thông báo độ dài cơng vào mục tiêu Thiết lập kích thước attack packet Hướng dẫn sử dụng chương trình Tấn cơng DDoS khơng thể ngăn chặn hồn tồn Tấn cơng DDoS khơng thể ngăn chặn hồn tồn ngun nhân sau: - Các dạng cơng DDoS thực tìm kiếm lỗ hổng bảo mật máy tính kết nối tới Internet khai thác lỗ hổng bảo mật để xây dựng mạng Botnet gồm nhiều máy tính kết nối tới Internet - Một công DDoS thực khó để ngăn chặn hồn tồn - Những gói tin đến Firewall chặn lại, hầu hết chúng đến từ địa IP chưa có Access Rule Firewall gói tin hồn tồn hợp lệ - Nếu địa nguồn gói tin bị giả mạo, sau bạn không nhận phản hồi từ địa nguồn thật bạn cần phải thực cấm giao tiếp với địa nguồn - Tuy nhiên mạng Botnet bao gồm từ hàng nghìn tới vài trăm nghìn địa IP Internet điều vơ khó khăn để ngăn chặn công B Một số công cụ công DDoS Đây vấn đề không lỗi thời, tool DDoS Các tools bạn hoàn tồn Download miễn phí Internet lưu ý để thử, tools yếu mang tính Demo cơng DdoS mà 2.6 Công cụ DDoS dạng Agent – Handler 2.6.1 TrinOO 21 Là công cụ DDoS phát tán rộng rãi TrinOO có kiến trúc Agent – Handler, công cụ DDoS kiểu Bandwidth Depletion Attack, sử dụng kỹ thuật UDP flood Các version TrinOO không hỗ trợ giả mạo địa IP TrinOO Agent cài đặt lợi dụng lỗi remote buffer overrun Hoạt động hệ điều hành Solaris 2.5.1 Red Hat Linux 6.0 Attack – network giao tiếp dùng TCP (attacker client handler) UDP (Handler Agent) Mã hóa giao tiếp dùng phương pháp mã hóa đối xứng Client, handler Agent 2.6.2 Tribe Flood Network (TFN) Kiểu kiến trúc Agent – Handler, công cụ DDoS hỗ trợ kiểu Bandwidth Deleption Attack Resourse Deleption Attack Sử dụng kỹ thuật UDP flood, ICMP Flood, TCP SYN Smurf Attack Các version không hỗ trợ giả mạo địa IP, TFN Agent cài đặt lợi dụng lỗi buffer overflow Hoạt động hệ điều hành Solaris 2.x Red Hat Linux 6.0 Attack – Network giao tiếp dùng ICMP ECHO REPLY packet (TFN2K hỗ trợ thêm TCP/UDP với tính chọn protocol tùy ý), khơng mã hóa giao tiếp (TFN2K hỗ trợ mã 2.6.3 hóa) Stacheldraht Là biến thể TFN có thêm khả updat Agent tự động Giao tiếp telnet mã hóa đối 2.6.4 xứng Attacker Handler Shaft Là biến thể TrinOO, giao tiếp Handler – Agent UDP, Attacker – Hendle Internet Tấn công dùng kỹ thuật UDP, ICMP TCP flood Có thể cơng phối hợp nhiều kiểu lúc Có thống kê chi tiết cho phép attacker biết tình trạng tổn thất nạn nhân, mức độ quy mô công để điều chỉnh số lượng Agent 2.7 Công cụ DDoS dạng IRC – Based Công cụ DDoS dạng IRC-based phát triển sau công cụ dạng Agent – Handler Tuy nhiên, công cụ DDoS dạng IRC phức tạp nhiều, tích hợp nhiều đặc tính cơng cụ DDoS dạng Agent – Handler • Trinity Là điển hình cơng cụ dạng Trinity có hầu hết kỹ thuật cơng bao gồm: UDP, TCP SYS, TCP ACK, TCP fragment, TCP NULL, TCP RST, TCP random flag, TCP ESTABLISHED packet flood Nó có sẵn khả ngẫu nhiên hóa địa bên gởi Trinity hỗ trợ TCP flood packet với khả ngẫu nhân tập CONTROL FLAG Trinity nói số công cụ DDoS nguy hiểm Ngồi cịn nhiều phần mềm khác Knight, Kaiten, Mstream 22 Chương 3: ĐỀ MƠ Mơ tả: sử dụng công cụ để công trang web với công cụ • Supper Scan: Một cơng cụ scan IP nhanh, ngồi cịn nhiều cơng cụ tương tự khác tốt • Smurf2k: Cơng cụ dùng địa IP có sẳn để truy cập vào website Quy trình thực Bước 1: Dị tìm địa IP online phần mền Supper Scan Trong trường hợp này, người dùng nhập vào khoản địa IP để dị tìm ví dụ như: - StartIP: 192.168.1.1 - EndIP: 192.168.1.254 Sau nhấn nút bắt đầu, chương trình dị tìm địa IP hoạt động vùng từ địa bắt đầu địa cuối Các bạn dị nhiều lần với địa bắt đầu kết thúc khác Kết q trình chương chình tự động phát sinh file tên scanlog nội dung file địa IP hoạt động hình sau: 23 Copy file scanlog vào thư mục chứa Smurf2k Bước 2: Sử dụng Smurf2k để dùng địa IP dò truy cập vào website - Đầu tiên dò địa IP Website: Run gõ cmd - Khởi động Smurf2k nhâp địa IP Website vào Victim - Chọn load list chọn danh sách IP hoạt động mạng chọn file scanlog vừa đã copy vao thư mục smurf2k 24 - Bấm chọn nút smurt chương chình bắt đầu: - Chọn halt bạn muốn dừng lại Bạn xem cụ thể đây: http://www.mediafire.com/?jnr3hh051z51kzq Một demo khác đề cập tới hack web DDoS bạn tham khảo http://www.mediafire.com/?w61i26ahhy969b8 Kết thu công Làm cho web site bị treo truy cập Nhưng tool DDoS chủ yếu tool cũ có từ lâu, đến hầu hết website có phương pháp bảo vệ riêng, dễ dàng mà công trang web tool có sẵn Nên nhóm dùng tool mà không đạt kết mong muốn Demo mang tính chất minh họa rõ nét công DDoS 25 Chương 4: BIỆN PHÁP PHỊNG THỦ 4.1 Đối với đợt cơng có quy mơ lớn Để website hoạt động tốt có sức chống chọi với cơng DDoS bạn nên: • Tối ưu hóa website ví dụ bạn xây dựng nhớ đệm (cache) cho website để nhằm giảm số kết nối vào CSDL • Lựa chọn nhà cung cấp hosting lưu trữ web tốt để có đối phó với đợt cơng 4.2 Đối với đợt cơng nhỏ lẻ Có số phương pháp, hầu hết không triệt để mang tính chống đỡ giản đơn áp dụng cho đợt cơng nhỏ lẻ • Cách 1: Chống iframe Đây phương pháp xem thô sơ Kẻ cơng mượn website có lượt truy cập lớn chèn iframe hướng website cần đánh cho chạy lệnh refresh (tải lại) nhiều lần họ viết sẵn tập tin flash với công dụng tương tự đặt lên website người dùng truy cập vào website họ vơ tình bất đắc dĩ trở thành người cơng website Với hình thức cơng kiểu bạn hồn tồn chống lại cách chèn đoạn mã Javascript chống chèn iframe từ website khác đến website bạn if (top.location != self.location) {top.location = self.location} Bạn đoạn mã tại: http://www.mediafire.com/?weephu8sgdphwel • Cách 2: Chống tải lại trang web có ác ý 26 Một hình thức cơng khác dùng phím F5 liên tục có chủ ý, dùng phần mềm lập trình sẵn với cơng dụng tương tự (tải lại trang web liên tục sau khoảng thời gian định sẵn) nhóm người làm cho trang web bạn tải lại (reload) liên tục Việc làm tốn băng thông trang web làm trang web chạy chậm kết nối ảo Với cách thức cơng dùng cách để chống coi vơ ích Nếu bạn bị cơng bạn thiết lập tập tin htaccess với nội dung: RewriteEngine on RewriteCond %{HTTP_REFERER} !^http(s)?://(www.)?domain.com [NC] RewriteRule !antiddos.phtml http://www.domain.com/antiddos.phtml?%{REQUEST_URI} [QSA] Sau tạo thêm một tập tin antiddos.phtml có nội dung Sau bạn upload tập tin lên thư mục gốc website Như truy cập vào website, lần có thơng báo u cầu nhấn chuột bạn vào website lần sau khơng có phần mềm DDOS lập trình bị chặn lại bước click chuột để vào trang web lần truy cập nên việc tải lại trang web đơn trang HTML nhỏ không ảnh hưởng nhiều đến hệ thống Bạn đoạn mã tại: http://www.mediafire.com/?c41hmfeod3qxii8 Chú ý cách áp dụng cho website sử dụng server chạy Linux • Cách 3: Giới hạn số kết nối website thời điểm Khi khách truy cập vào website tạo truy vấn kết nối với sở liệu (CSDL) lấy thông tin trả thông qua hiển thị website Mỗi máy chủ có phép truy vấn kết nối hạn định vượt q hạn mức việc truy cập khó khăn 27 truy xuất Các tin tặc lợi dụng vào điều để tạo truy cập ảo, kết nối ảo thông qua proxy hay chuyên nghiệp mạng botnet nhằm đánh sập trang web phá hỏng CSDL website Để hạn chế điều ta chủ động giới hạn số kết nối truy vấn tin (lượt truy cập) thời điểm • Bạn thêm dịng đoạn mã sau vào trang chủ website function server_busy($numer) { if (THIS_IS == 'WEBSITE' && PHP_OS == 'Linux' and @file_exists ( '/proc/loadavg' ) and $filestuff = @file_get_contents ( '/proc/loadavg' )) { $loadavg = explode ( ' ', $filestuff ); if (trim ( $loadavg [0] ) > $numer) { print ''; print 'Lượng truy cập tải, mời bạn quay lại sau vài phút.'; exit ( ); } } } $srv = server_busy ( 1000 ); // 1000 số người truy cập thời điểm Đoạn mã có ý nghĩa cho phép 1000 người online website thời điểm Nếu vượt qua số 1000 khách truy cập nhận thơng báo: Lượng truy cập tải Mời bạn quay lại sau vài phút Bạn tải đoạn mã tại: http://www.mediafire.com/?exsl6hpd37eqnk3 Chú ý đoạn mã áp dụng cho ngơn ngữ lập trình PHP • Ngồi cịn số thao tác phòng chống o Khi bạn phát máy chủ bị cơng nhanh chóng truy tìm địa IP o cấm khơng cho gửi liệu đến máy chủ Dùng tính lọc liệu router/firewall để loại bỏ packet không mong muốn, o giảm lượng lưu thông mạng tải máy chủ Sử dụng tính cho phép đặt rate limit router/firewall để hạn chế số lượng o packet vào hệ thống Nếu bị cơng lỗi phần mềm hay thiết bị nhanh chóng cập nhật sửa o lỗi cho hệ thống thay Dùng số chế, công cụ, phần mềm để chống lại TCP SYN Flooding 28 o Tắt dịch vụ khác có máy chủ để giảm tải đáp ứng tốt Nếu nâng cấp thiết bị phần cứng để nâng cao khả đáp ứng hệ thống o hay sử dụng thêm máy chủ tính khác để phân chia tải Tạm thời chuyển máy chủ sang địa khác 4.3 Thực Tế Gần Sáng 4/7 Hà Nội diễn Hội thảo: Giới thiệu demo giải pháp bảo mật phòng chống DDOS lĩnh vực Chính phủ tài cơng Hội thảo đề cập tới nội dung liên quan trực tiếp đến giải pháp phịng chống cơng từ chối dịch vụ (DDOS) Chính phủ đơn vị Tài cơng quan tâm như: - Mối nguy hiểm, cách phát cách phòng chống DDOS - Demo sản phẩm phòng chống DDOS Arbor Networks - Báo cáo tổng hợp Frost and Sullivan tầm quan trọng sản phẩm dịch vụ phịng chống DDOS Hình thức cơng từ chối dịch vụ phân tán (Distributed denial of service – DDOS) thay đổi nhiều vòng 24 tháng qua Một chuỗi công DDOS thành công vào doanh nghiệp lớn, quan phủ toàn giới cho thấy mức độ quan trọng phương pháp đối phó phân tầng chống lại công Những công cho thấy gia tốc sáng tạo từ phía hacker – người chủ động gây DDOS Trong môi trường tại, doanh nghiệp kinh doanh trực tuyến trở thành mục tiêu công DDOS Sự phổ biến rộng rãi công cụ công rẻ tiền cho phép tần cơng DDOS Điều ảnh hưởng lớn đến tranh mối đe dọa, phân tích nguy cơ, kiến trúc hệ thống triển khai an ninh bảo mật nhà cung cấp dịch vụ Internet, doanh nghiệp kết nối Internet 29 ... có phương pháp bảo vệ riêng, dễ dàng mà công trang web tool có sẵn Nên nhóm dùng tool mà khơng đạt kết mong muốn Demo mang tính chất minh họa rõ nét công DDoS 25 Chương 4: BIỆN PHÁP PHÒNG THỦ... vòng 24 tháng qua Một chuỗi công DDOS thành công vào doanh nghiệp lớn, quan phủ toàn giới cho thấy mức độ quan trọng phương pháp đối phó phân tầng chống lại công Những công cho thấy gia tốc sáng... khăn - Thủ phạm gây nhiều ảnh hưởng cơng từ chối dịch vụ DdoS 1.4 Những khả bị công DDoS a Các giai đoạn công DDoS Bao gồm giai đoạn : • Giai đoạn chuẩn bị - Chuẩn bị công cụ quan trọng công, công