Đang tải... (xem toàn văn)
I.TẤN CÔNG DOS31.GIỚI THIỆU VỀ CÁC CUỘC TẤN CÔNG DOS32.ĐỊNH NGHĨA VỀ TẤN CÔNG DOS3a.Các mục đích của tấn công DoS3b.Mục tiêu mà kẻ tấn công thường sử dụng tấn công DoS:33.CÁC DẠNG TẤN CÔNG DOS4a.Tấn công Smurf4b.Tấn công Buffer overflow4c.Tấn công Ping of Death5d.Tấn công Teardrop5e.Tấn công SYN6II.TẤN CÔNG DDOS71.GIỚI THIỆU VỀ CÁC CUỘC TẤN CÔNG DDOS72.KHÁI NIỆM VỀ TẤN CÔNG DDOS73.CÁC GIAI ĐOẠN CỦA MỘT CUỘC TẤN CÔNG DDOS74.KIẾN TRÚC TỔNG QUAN CỦA DDOS ATTACK – NETWORK8a.Mô hình Agent – Handler9b.Mô hình IRC – Based105.PHÂN LOẠI TẤN CÔNG DDOS10a.DdoS – SYN Flood11b.DdoS – UDP Flood12c.DdoS – HTTP Flood12d.DdoS – Pings of Death13e.DdoS – Fraggle Attack14f.DdoS – Slowloris14g.DDoS – Application Level Attack14h.DDoS – NTP Amplification15i.DDoS – Advance Persistent DoS (APDoS)16j.DDoS – Zero – Day DdoS Attack16III.TÁC HẠI CỦA CÁC CUỘC TẤN CÔNG DOSDDOS17IV.BIỆN PHÁP PHÒNG CHỐNG DOSDDOS171.NHẬN BIẾT TẤN CÔNG DOSDDOS172.NHỮNG BIỆN PHÁP ĐỐI PHÓ VỚI DOSDDOS173.CÔNG CỤ PHÒNG CHỐNG DDOS17V.SO SÁNH TẤN CÔNG DOS VÀ DDOS18VI.DEMO CÔNG CỤ TẤN CÔNG DOS VÀ DDOS181.MÔ PHỎNG TẤN CÔNG DOS18a.Chuẩn bị:18b.Tiến hành:19c.Tiến hành tấn công:202.MÔ PHỎNG TẤN CÔNG DDOS22a.Các tool hỗ trợ thực hiện22b.Thực hiện22VII.TÀI LIỆU THAM KHẢO25
KHOA CƠNG NGHỆ THƠNG TIN BÁO CÁO AN TỒN VÀ BẢO MẬT HỆ THỐNG THÔNG TIN ĐỀ TÀI TẤN CÔNG DOS VÀ DDOS GIẢNG ĐINH VIỄN TRƯỜNG DUY HỌC VIỆN CƠNG NGHỆVIÊN: BƯU CHÍNH THƠNG NHĨM: D1902G03 SINH VIÊN THỰC HIỆN: Nguyễn Duy Mạnh B19DCCN417 (Nhóm Trưởng) Nguyễn Bá Việt Lâm B19DCCN367 Vũ Trung Kiên B19DCCN351 Lê Việt Anh B19DCCN018 Nguyễn Đình Hiệp B19DCCN235 Mục Lục I TẤN CÔNG DOS 3 II a b a b c d e GIỚI THIỆU VỀ CÁC CUỘC TẤN CÔNG DOS ĐỊNH NGHĨA VỀ TẤN CÔNG DOS Các mục đích cơng DoS .3 Mục tiêu mà kẻ công thường sử dụng công DoS: .3 CÁC DẠNG TẤN CÔNG DOS Tấn công Smurf Tấn công Buffer overflow .4 Tấn công Ping of Death Tấn công Teardrop Tấn công SYN TẤN CÔNG DDOS a b a b c d e f g h i j GIỚI THIỆU VỀ CÁC CUỘC TẤN CÔNG DDOS KHÁI NIỆM VỀ TẤN CÔNG DDOS CÁC GIAI ĐOẠN CỦA MỘT CUỘC TẤN CÔNG DDOS KIẾN TRÚC TỔNG QUAN CỦA DDOS ATTACK – NETWORK .8 Mơ hình Agent – Handler .9 Mơ hình IRC – Based 10 PHÂN LOẠI TẤN CÔNG DDOS 10 DdoS – SYN Flood 11 DdoS – UDP Flood 12 DdoS – HTTP Flood .12 DdoS – Pings of Death 13 DdoS – Fraggle Attack 14 DdoS – Slowloris 14 DDoS – Application Level Attack 14 DDoS – NTP Amplification 15 DDoS – Advance Persistent DoS (APDoS) .16 DDoS – Zero – Day DdoS Attack 16 III TÁC HẠI CỦA CÁC CUỘC TẤN CÔNG DOS/DDOS 17 IV BIỆN PHÁP PHÒNG CHỐNG DOS/DDOS 17 NHẬN BIẾT TẤN CÔNG DOS/DDOS 17 NHỮNG BIỆN PHÁP ĐỐI PHÓ VỚI DOS/DDOS 17 CƠNG CỤ PHỊNG CHỐNG DDOS 17 V SO SÁNH TẤN CÔNG DOS VÀ DDOS 18 VI DEMO CÔNG CỤ TẤN CÔNG DOS VÀ DDOS 18 MÔ PHỎNG TẤN CÔNG DOS 18 Chuẩn bị: 18 Tiến hành: .19 Tiến hành công: .20 MÔ PHỎNG TẤN CÔNG DDOS 22 a Các tool hỗ trợ thực .22 b Thực 22 VII a b c TÀI LIỆU THAM KHẢO 25 I Tấn công DoS Giới thiệu công DoS Trường hợp ghi lại Tấn công Từ chối Dịch vụ vào tháng năm 2000 hacker Canada 15 tuổi công vào máy chủ web Amazon eBay Kể từ đó, ngày có nhiều đối tượng sử dụng công DoS để nhắm vào mục tiêu nhiều ngành công nghiệp Vào ngày 15 tháng năm 2003, Microsoft chịu đợt công DoS cực mạnh làm gián đoạn websites vòng Vào lúc 15:09 GMT ngày 27 tháng năm 2003, toàn phiên tiếng anh website Al-Jazeera bị công làm gián đoạn nhiều Định nghĩa công DoS Tấn công DoS kiểu công mà người làm cho hệ thống sử dụng, làm cho hệ thống chậm cách đáng kể với người dùng bình thường, cách làm tải tài nguyên hệ thống DoS làm máy tính ngưng hoạt động, từ mạng nội đến hệ thống mạng lớn Nếu kẻ cơng khơng có khả thâm nhập vào hệ thống, chúng cố gắng tìm cách làm cho hệ thống sụp đổ khơng có khả phục vụ người dùng bình thường, cơng Denial of Service (DoS) Mặc dù cơng DoS khơng có khả truy cập vào liệu thực hệ thống làm gián đoạn dịch vụ mà hệ thống cung cấp Nói chung, cơng DoS không nguy hiểm kiểu công khác kẻ cơng có khả chiếm dụng hay xây nhập thông tin liệu hệ thống Nhưng máy chủ mà không cung cấp dịch vụ, thơng tin cho khách truy cập tồn máy chủ khơng có ý nghĩa Đặc biệt hệ thống giao dịch điện tử thiệt hại việc ảnh hưởng lớn Tuy nhiên, hệ thống máy chủ bảo mật tốt, khó thâm nhập, việc cơng từ chối dịch vụ DoS coi phương pháp cuối cho hacker triệt hạ hệ thống a Các mục đích công DoS - Cố gắng chiếm băng thông mạng làm hệ thống mạng bị ngập( flood), hệ thống mạng khơng có khả đáp ứng dịch vụ khác cho người dùng bình thường Cố gắng làm ngắt kết nối hai máy, ngăn chặn trình truy cập vào dịch vụ Cố gắng ngăn chặn người dùng cụ thể vào dịch vụ Cố gắng ngăn chặn dịch vụ khơng cho người khác có khả truy cập vào Khi cơng DoS xảy người dùng có cảm giác truy cập dịch vụ bị: Disable Network – Tắt mạng Disable Organization - Tở chức không hoạt động Financial Loss – Tài bị b Mục tiêu mà kẻ công thường sử dụng công DoS: - Tạo khan hiếm, giới hạn không đổi tài nguyên - - Băng thông hệ thống mạng (Network Bandwidth), nhớ, ổ đĩa, CPU Time hay cấu trúc liệu mục tiêu công DoS Tấn công vào hệ thống khác phục vụ cho mạng máy tính như: hệ thống điều hồ, hệ thống điện, hệ thống làm mát nhiều tài nguyên khác doanh nghiệp Bạn thử tưởng tượng nguồn điện vào máy chủ web bị ngắt người dùng truy cập vào máy chủ khơng Phá hoại thay đổi thơng tin cấu hình Phá hoại tầng vật lý thiết bị mạng nguồn điện, điều hồ… Các dạng cơng DoS a Tấn công Smurf - Là thủ phạm sinh cực nhiều giao tiếp ICMP (ping) tới địa Broadcast nhiều mạng với địa nguồn mục tiêu cần công - Khi ping tới địa trình hai chiều – Khi máy A ping tới máy B máy B reply lại hồn tất q trình Khi ping tới địa Broadcast mạng tồn máy tính mạng Reply lại Nhưng thay đổi địa nguồn, thay địa nguồn máy C ping tới địa Broadcast mạng đó, tồn máy tính mạng reply lại vào máy C khơng phải pc gửi cơng Smurf Kết đích cơng phải chịu nhận đợt Reply gói ICMP cực lớn làm cho mạng bị rớt bị chậm lại khơng có khả đáp ứng dịch vụ khác Q trình khuếch đại có luồng ping reply từ mạng kết nối với (mạng BOT) b Tấn công Buffer overflow - - Buffer Overflow xảy thời điểm có chương trình ghi lượng thơng tin lớn dung lượng nhớ đệm nhớ Kẻ công ghi đè lên liệu điều khiển chạy chương trình đánh cắp quyền điều khiển số chương trình nhằm thực thi đoạn mã nguy hiểm - Tấn công Buffer Overflow trình bày cách khai thác lỗi viết trước hacking windows trang VnExperts - Training CCNA, CCNP, CCSP, MCSA, MCSE, MCITP, Linux+, Security+, CEH Quá trình gửi thư điện tử mà file đính kèm dài 256 ký tự xảy q trình tràn nhớ đệm c Tấn cơng Ping of Death - Kẻ cơng gửi gói tin IP lớn số lương bytes cho phép tin IP 65.536 bytes Q trình chia nhỏ gói tin IP thành phần nhỏ thực layer II Q trình chia nhỏ thực với gói IP lớn 65.536 bytes Nhưng hệ điều hành khơng thể nhận biết độ lớn gói tin bị khởi động lại, hay đơn giản bị gián đoạn giao tiếp Để nhận biết kẻ cơng gửi gói tin lớn gói tin cho phép tương đối dễ dàng - Gói tin IP lớn đến Router bị chia nhỏ làm nhiều phần nhỏ - d Tấn công Teardrop - Kẻ cơng sử dụng sử dụng gói IP với thơng số khó hiểu để chia phần nhỏ (fragment) Nếu hệ điều hành nhận gói tin chia nhỏ khơng hiểu được, hệ thống cố gắng build lại gói tin điều chiếm phần tài nguyên hệ thống, q trình liên tục xảy hệ thống khơng tài nguyên cho ứng dụng khác, phục vụ user khác e Tấn công SYN - - - - Kẻ công gửi yêu cầu (request ảo) TCP SYN tới máy chủ bị công Để xử lý lượng gói tin SYN hệ thống cần tốn lượng nhớ cho kết nối Khi có nhiều gói SYN ảo tới máy chủ chiếm hết yêu cầu xử lý máy chủ Một người dùng bình thường kết nối tới máy chủ ban đầu thực Request TCP SYN lúc máy chủ khơng cịn khả đáp lại - kết nối không thực Đây kiểu công mà kẻ cơng lợi dụng q trình giao tiếp TCP theo – Three-way Các đoạn mã nguy hiểm có khả sinh số lượng cực lớn gói TCP SYN tới máy chủ bị cơng, địa IP nguồn gói tin bị thay đổi cơng DoS Hình bên thể giao tiếp bình thường với máy chủ bên máy chủ bị cơng gói SYN đến nhiều khả trả lời máy chủ lại có hạn máy chủ từ chối truy cập hợp pháp Quá trình TCP Three-way handshake thực hiện: Khi máy A muốn giao tiếp với máy B (1) máy A bắn gói TCP SYN tới máy B – (2) máy B nhận - - - II gói SYN từ A gửi lại máy A gói ACK đồng ý kết nối – (3) máy A gửi lại máy B gói ACK bắt đầu giao tiếp liệu Máy A máy B kết nối 75 giây, sau lại thực q trình TCP Three-way handshake lần để thực phiên kết nối để trao đổi liệu Thật không may kẻ công lợi dụng kẽ hở để thực hành vi công nhằm sử dụng hết tài nguyên hệ thống cách giảm thời gian yêu cầu Threeway handshake xuống nhỏ không gửi lại gói ACK, bắn gói SYN liên tục thời gian định không trả lời lại gói SYN&ACK từ máy bị cơng Với nguyên tắc chấp nhận gói SYN từ máy tới hệ thống sau 75 giây địa IP vi phạm chuyển vào Rule deny access ngăn cản công Tấn công DdoS Giới thiệu công DdoS Ngày 7/3/2000, yahoo.com phải ngưng phục vụ hàng trăm triệu user toàn giới nhiều liền Vài sau, Yahoo tìm nguyên nhân gây nên tình trạng này, họ phải gánh chịu đợt công DDoS với quy mơ vài ngàn máy tính liên tục gửi hàng triệu request đến server dịch vụ làm server phục vụ user thông thường khác Đội ngũ Google Cloud team tiết lộ thơng tin thức cơng DDoS lớn chưa có, nhắm mục tiêu trực tiếp đến dịch vụ Google diễn khoảng thời gian tháng năm 2017 Cuộc cơng DDoS có độ lớn ước tính lên tới 2,54 Tbps, khiến trở thành công DDoS đáng sợ ghi nhận lịch sử phát triển internet thời điểm Khái niệm công DdoS Một công từ chối dịch vụ phân tán (viết tắt Distributed Denial of Service attack-DDos attack) hành động ngăn cản người dùng hợp pháp dịch vụ truy cập sử dụng dịch vụ cách làm cho sever khơng thể đáp ứng yêu cầu sử dụng dịch vụ từ khách hàng. Tấn công DDoS xảy số lượng yêu cầu truy cập vào trang web lớn, dẫn đến việc máy chủ q tải khơng cịn khả xử lý. Khi cơng hình thức DDOS, tin tặc lợi dụng máy tính khách hàng để cơng vào máy tính khác Sau đó, chúng sử dụng máy tính khách hàng để gửi số lượng lớn liệu yêu cầu đến trang web địa email Đơi cơng DDos cịn sử dụng công cụ chắn cho công mạng phí sau, mà nhân an ninh mạng tập trung xử lí cố cho trang web bị công DDos, tin tặc lợi dụng thời để chèn vào công cụ SQL, lúc doanh nghiệp nhận muộn Nguồn cơng khơng đến từ máy tính internet, mà đến từ hệ thống nhiều máy tính với địa IP khác nhau, hệ thống gọi DDOS attack network (khác với Dos) Các giai đoạn công DdoS Một công DDos có giai đoạn chính: chuẩn bị, xác định mục tiêu thời điểm, phát động công xóa dấu vết Chúng ta cụ thể vào giai đoạn: - - - Giai đoạn chuẩn bị: Giai đoạn tin tặc chuẩn bị công cụ cho công, thơng thường cơng cụ hoạt động theo mơ hình client-server Tin tặc trực tiếp viết phần mềm tải số công cụ dùng để công DDos chia sẻ miễn phí mạng Trinoo, Tribe flood Network, Knight, Mstream,… Tiếp theo, chúng tìm cách chiếm quyền điều khiển máy tính mạng, tiến hành tải cài đặt ngầm chương trình độc hại máy tính cách lừa cho người dùng click vào link quảng cáo có chứa Trojan, worm. Kết thúc giai đoạn này, tin tặc có mạng lưới máy tính để phục vụ cho việc cơng DDos. Giai đoạn xác định mục tiêu thời điểm công: Sau xác định mục tiêu cần cơng, tin tặc có hoạt động điều chỉnh mạng cơng phía mục tiêu. Thời điểm công phụ thuộc vào mức độ thiệt hại tốc độ đáp ứng mục tiêu, tin tặc ấn định trước. Giai đoạn phát động cơng xóa dấu vết: Đúng thời điểm ấn định, tin tặc phát lệnh công từ máy mình, lệnh cơng qua nhiều cấp đến mục tiêu Toàn mạng máy tính mà tin tặc chiếm quyền điều khiển đồng loạt công mục tiêu, mục tiêu nhanh chóng bị cạn kiệt băng thơng tiếp tục hoạt động. Sau khoảng thời gian cơng tin tặc tiến hành xóa dấu vết truy cập ngược đến mình, địi hỏi tin tặc phải có trình độ cao chuyên nghiệp Kiến trúc tổng quan DdoS Attack – Network - - Như tìm hiểu phần trên, tin tặc chiếm quyền điều khiển hàng loạt máy tính khác nhau, tạo nên mạng lưới hỗ trợ cho chúng gọi DDos attack network Kĩ thuật công DDos attack-network có mơ hình chính: Mơ hình Agent-handler Mơ hình IRC-based Sơ đồ phân loại mơ hình cơng DDos attack-network: a Mơ hình Agent – Handler Gồm phần: Client: software sở để tin tặc điều khiển hoạt động attack-network Handler: thành phần software trung gian Agent Client Agent: thành phần software thực công mục tiêu, nhận điều khiển từ Client thông qua Handler Attacker từ Client giao tiếp với Handler để xác định số lượng Agent online, điều chỉnh thời điểm công cập nhật với Agent Tùy theo cách attacker cấu hình attack-network, Agent chịu quản lý hay nhiều Handler Thông thường Attacker đặt Handler software router hay server có lượng traffic lưu thơng nhiều Việc này nhằm làm cho giao tiếp Client, handler agent khó bị phát Các giao tiếp thơng thường xảy Protocol TCP, UDP hay ICMP Chủ nhân thực sự Agent thông thường không hay biết họ bị lợi dụng vào công kiểu ddos, Do họ không đủ kiến thức chương trình Backdoor agent sử dụng tài nguyên hệ thống làm cho thấy ảnh hưởng đến hiệu hệ thống b Mơ hình IRC – Based - - Internet Relay Chat (IRC) hệ thống online chat multiuser, IRC cho phép người dùng tạo kết nối multipoint đến nhiều user khác chat thời gian thực Kiến trúc IRC network bao gồm nhiều IRC server khắp internet, giao tiếp với nhiều kênh (channel) IRC network cho phép người dùng tạo loại kênh: public, private secret Public Channel: cho phép người dùng Channel thấy IRC name nhận message người dùng khác Channel Private Channel: thiết kế để giao tiếp với đối tượng cho phép Không cho phép người dùng khác Channel thấy IRC name message channel Tuy nhiên, nếu người dùng Channel dùng số lệnh Channel locator biết tồn Private Channel đó. Secret Channel: Tương tự Private Channel xác định Channel locator IRC-Based network tương tự agent-Handler network mơ hình sử dụng kệnh giao tiếp IRC làm phương tiện giao tiếp Client agent (không sử dụng Handler) Sử dụng mơ hình này, kẻ cơng cịn có số lợi khác như: Các giao tiếp dạng chat message làm cho việc phát chúng vơ khó khăn IRC traffic di chuyển mạng với số lượng lớn mà không bị nghi ngờ Không cần phải trì danh sách Agent, tin tặc cần login vào IRC server nhận report trạng thái Agent channel gửi Sau cùng: IRC môi trường file sharing tạo điều kiện phát tán agent code nhiều máy khác Phân loại công DdoS 10 - - Tấn cơng DDos có nhiều loại biến thể giới chuyên môn thường chia kiểu cơng DDos thành loại dựa vào mục đích kẻ cơng: Tấn cơng DDos làm cạn kiệt băng thông Tấn công DDos làm cạn kiệt tài nguyên hệ thống Sơ đồ phân loại cơng DDos theo mục đích cơng: - Sau đây, tìm hiểu chi tiết số kiểu công thường gặp nay: a DdoS – SYN Flood SYN Flood hình thức cơng thực để khai thác điểm yếu giao thức kết nối mạng TCP (quá trình bắt tay bước) Theo phương thức giao tiếp internet thơng thường máy chủ nhận thông điệp nội (SYN) để tiến hành “bắt tay” (handshake) Khi nhận thông điệp, máy chủ gửi cờ báo nhận (ACK) tới máy lưu trữ ban đầu đóng kết nối Nhưng tin tặc công SYN Flood, thông điệp giả mạo gửi liên tục, dẫn đến kết nối khơng đóng lại dịch vụ bị đánh sập 11 b DdoS – UDP Flood UDP (User Datagram Protocol) hiểu giao thức kết nối khơng tin cậy Theo đó, UDP Flood công gây ngập lụt UDP Khi thực phương thức công này, tin tặc gửi lượng lớn gói tin UDP tới số cổng ngẫu nhiên server Máy chủ kiểm tra trả lời với ICMP Destination Unreachable (gói tin khơng tìm thấy) Khi số lượng yêu cầu UDP vượt ngưỡng cho phép, máy chủ khả xử lý request, dẫn đến tình trạng từ chối dịch vụ c DdoS – HTTP Flood HTTP Flood công, gây tải cách gửi hàng loạt yêu cầu GET POST hợp pháp đến máy chủ Phương pháp tiêu tốn băng thông kiểu công 12 từ chối dịch vụ khác buộc máy chủ sử dụng nguồn tài nguyên tối đa để xử lý tác vụ d DdoS – Pings of Death Ping of Death kỹ thuật công làm tải hệ thống máy chủ trực tuyến cách gửi đến gói tin ICMP có kích thước 65.536 byte đến mục tiêu Bởi kích thước tệp vượt mức cho phép gói tin IP nên chúng chia thành phần nhỏ gửi đến hệ thống máy đích Khi đến nơi, phần phép lại thành gói tin hồn chỉnh vượt q khả xử lý hệ thống, gây tràn nhớ đệm khiến máy chủ bị treo Smurf Attack sử dụng phần mềm độc hại tên Smurf để giả mạo địa IP gửi gói ICMP đến máy chủ, gây tải hệ thống 13 e DdoS – Fraggle Attack Fraggle Attack kiểu cơng tương tự Smurf Thay sử dụng ICMP, Fraggle Attack gửi lượng lớn UDP đến máy chủ f DdoS – Slowloris - Tin tặc gửi đến server lượng lớn yêu cầu HTTP không hồn chỉnh Đồng thời cố gắng trì số kết nối tối đa thời gian dài Khi số lượng kết nối webserver đạt cực đại (webserver bị đầy kết nối), máy chủ chối yêu cầu kết nối tiếp theo, bao gồm request người dùng thông thường g DDoS – Application Level Attack 14 Application Level Attack công vào lỗ hổng bảo mật thiết bị mạng, hệ điều hành server Đây xem loại công tinh vi gây hậu lớn h DDoS – NTP Amplification NTP Amplification kiểu công khai thác lỗ hổng tính Monlist máy chủ NTP Monlist gì? Monlist danh sách máy tính kết nối với máy chủ NTP Cụ thể, tin tặc gửi request yêu cầu Monlist đến NTP server IP giả Source IP bị giả mạo địa IP máy tính mục tiêu Vì vậy, NTP server liên tục gửi phản hồi Monlist cho nạn nhân Điều khiến hệ thống webserver mục tiêu bị q tải Vì sử dụng IP giả mạo có khả khuếch đại sử dụng băng thông lớn nên NTP Amplification kiểu công “ném đá giấu tay” có tính phá hoại cao 15 i DDoS – Advance Persistent DoS (APDoS) Đây loại cơng gây nhiều thiệt hại nghiêm trọng cho nạn nhân Advanced Persistent Dos sử dụng kết hợp nhiều kiểu công đề cập Ví dụ HTTP Flood, SYN Flood,… Để làm tải hệ thống webserver mục tiêu Thường APDos gửi hàng triệu yêu cầu giây công kéo dài hàng tuần j DDoS – Zero – Day DdoS Attack Zero-day DDos Attack kiểu công DDos mới, gây tải hệ thống cách khai thác lỗ hổng chưa vá máy chủ 16 III Tác hại công DoS/DdoS - IV Hệ thống, máy chủ bị công DDoS sập khiến người dùng không truy cập Doanh nghiệp sở hữu máy chủ, hệ thống bị doanh thu, chưa kể đến khoản chi phí cần phải bỏ để khắc phục cố Khi mạng sập, công việc yêu cầu mạng thực hiện, làm gián đoạn công việc, ảnh hưởng đến hiệu suất công việc Nếu người dùng truy cập website bị sập ảnh hưởng đến danh tiếng công ty, website sập thời gian dài người dùng bỏ đi, lựa chọn dịch vụ khác thay Đối với vụ cơng DDoS kỹ thuật cao dẫn đến việc lấy trộm tiền bạc, liệu khách hàng cơng ty Biện pháp phịng chống DoS/DdoS Nhận biết công DoS/DdoS Tấn công Dos/DDos khó để phân biệt với hoạt động truy cập mạng thông thường Tuy nhiên, gặp phải biểu có đủ chứng để nghi ngờ hệ thống máy chủ mục tiêu công Dos/DDos: Kết nối mạng nhiên chậm cách bất thường (khi mở file truy cập website tốn nhiều thời gian) Không thể vào trang web bình thường truy cập Thậm chí, công mạnh,sẽ vào website/blog Số lượng thư rác tài khoản dưng tăng đột biến Những biện pháp đối phó với DoS/DdoS - - - - - Thật ra, cách thức cụ thể ngăn chặn hồn tồn việc bị cơng DDos Tuy nhiên có vài phương pháp giúp giảm bớt phần nguy trở thành nạn nhân DDos -Định tuyến hố đen: Đây giải pháp đa số quản trị viên mạng thực để phòng tránh công Dos/DDos Cần tạo tuyến đường lỗ đen để chuyển cá traffic vào Nhằm tránh tình trạng tải hệ thống Khi website gặp phải công từ chối dịch vụ, nhà cung cấp dịch vụ internet đưa tất lưu lượng truy cập tải từ website vào lỗ đen để tự bảo vệ - Giới hạn tỉ lệ: Việc giới hạn số lượng yêu cầu khả máy chủ chấp nhận khoảng thời gian định cách tốt để giảm thiểu hậu Dos/DDos gây ra.Việc giới hạn gửi yêu cầu làm chậm q trình cơng tin tặc Tuy nhiên, sử dụng phương pháp hacker khiến bạn gặp rắc rối với kiểu DDos phức tạp - Tường lửa ứng dụng web: Sử dụng tường lửa ứng dụng web (WAF) biện pháp giảm thiểu công DDos tầng Theo đó, WAF lọc yêu cầu truy cập dựa vào quy tắc định Từ giúp máy chủ tránh khỏi số lượng truy cập độc hại - Anycast Network Diffusion:Phương pháp giúp máy chủ tránh khỏi tình trạng tải Anycast giống chuyển nước từ sông lớn sang kênh nhỏ Cách thức xử lý cho phép chuyển lượng traffic Dos/DDos đến điểm quản lý Cơng cụ phịng chống DdoS 17 Cloudflare: bảo vệ lớp cloudfare hấp thụ cơng trước đến máy chủ, cân tải, tường lửa định tuyến không Bảo vệ lớp phân biệt lưu lượng có lợi có hại Mạng F5: Cung cấp bảo vệ cấp đến Silverline ngăn chặn mạng cí khối lượng lớn, ngăn chặn chúng tiếp cận mạng cơng ty Mạng lưới Arbor: Nó cung cấp dịch vụ quét lưu lượng truy cập đa nhu cầu, theo yêu cầu hỗ trợ DdoS 24/7 thông qua trung tâm hoạt động bảo mật Ngồi cịn số công cụ khác Hoa sen đen, Incapsula…… - - V - So sánh công DoS DdoS DoS Viết tắt Denial of service Chỉ hệ thống nhắm mục tiêu vào hệ thống nạn nhân Viết tắt Distributed Denial of service Nhiều hệ thống công hệ thống nạn nhân PC bị nhắm mục tiêu load từ gói liệu gửi từ vị trí PC bị nhắm mục tiêu load từ gói liệu gửi từ nhiều vị trí Tấn công Dos chậm so với DDoS Tấn công DDoS nhanh so với cơng DoS Có thể bị ngăn chặn dễ dàng sử dụng hệ thống Rất khó để ngăn chặn cơng nhiều thiết bị gửi gói tin cơng từ nhiều vị trí Chỉ hệ thống sử dụng với công cụ công DoS Rất dễ theo dõi Lưu lượng nhỏ truy cập đến mạng nạn nhận Nhiều bot sử dụng để cơng lúc Khó theo dõi Lưu lượng lớn truy cập đến mạng nạn nhận VI Các loại công DoS là: Tấn công tràn đệm Tấn công Ping of Death ICMP Flood Tấn công Tearfrop Attack Demo công cụ công DoS DDoS Mô Phỏng công DoS a Chuẩn bị: - 18 DdoS Các loại công DDoS là: Tấn công Volumetric( công băng thông) Tấn công Fragmentation Attack( phân mảng liệu) Application Layer Attack( khai thác lỗ hổng ứng dụng) Máy công: Máy ảo kali linux; Máy nạn nhân: Máy ảo window 10; Sử dụng phần mềm wireshark để bắt gói tin máy nạn nhân - Sử dụng lệnh hping3 để gửi gói tin đến máy nạn nhân gây ngập lụt b Tiến hành: 19 - Máy nạn nhân có ip : 192.168.88.130 - Máy cơng có ip: 192.168.88.131 - Phần mềm wireshark bắt gói tin máy nạn nhân: - Trạng thái cpu nhớ máy nạn nhân trước công: mức ổn định c Tiến hành công: - 20 Sử dụng lệnh : sudo hping3 192.168.88.130 –flood Trạng thái flood khởi động: ... loại công DoS là: Tấn công tràn đệm Tấn công Ping of Death ICMP Flood Tấn công Tearfrop Attack Demo công cụ công DoS DDoS Mô Phỏng công DoS a Chuẩn bị: - 18 DdoS Các loại công DDoS là: Tấn công. .. 17 CƠNG CỤ PHỊNG CHỐNG DDOS 17 V SO SÁNH TẤN CÔNG DOS VÀ DDOS 18 VI DEMO CÔNG CỤ TẤN CÔNG DOS VÀ DDOS 18 MÔ PHỎNG TẤN CÔNG DOS 18 Chuẩn... HẠI CỦA CÁC CUỘC TẤN CÔNG DOS/ DDOS 17 IV BIỆN PHÁP PHÒNG CHỐNG DOS/ DDOS 17 NHẬN BIẾT TẤN CÔNG DOS/ DDOS 17 NHỮNG BIỆN PHÁP ĐỐI PHÓ VỚI DOS/ DDOS 17