Đang tải... (xem toàn văn)
ĐẠI HỌC DUY TÂNTRƯỜNG KHOA HỌC MÁY TÍNH
KHOA KỸ THUẬT MẠNG MÁY TÍNH & TRUYỀN THÔNG
ĐỒ ÁN NHÓM Tên đề tài:
Tìm hiểu về kỹ thuật DOS/DDOS Giáo viên hướng dẫn : NGUYỄN KIM TUẤN
Trang 2MỞ ĐẦU
Trong thời đại công nghệ thông tin ngày nay, an ninh mạng trở thành một vấn đề cực kỳ quan trọng và không thể bỏ qua Cùng với sự phát triển của Internet và sự phổ biến của các dịch vụ trực tuyến, tấn công mạng Denial of Service (DoS) và Distributed Denial of Service (DDoS) đã trở thành một trong những mối đe dọa lớn nhất đối với các hệ thống mạng và dịch vụ trực tuyến Tấn công mạng DoS và DDoS nhằm làm cho một hệ thống hoặc dịch vụ không khả dụng cho người dùng hợp lệ bằng cách tạo ra một lượng lớn yêu cầu hoặc lưu lượng truy cập Mục tiêu của những tấn công này là làm quá tải tài nguyên của hệ thống, gây gián đoạn hoạt động của dịch vụ, gây mất dữ liệu quan trọng và có thể gây thiệt hại tài chính và ảnh hưởng đến uy tín của tổ chức hoặc doanh nghiệp.Tấn công mạng DoS và DDoS có thể gây ra nhiều hậu quả nghiêm trọng Đối với doanh nghiệp, nó có thể gây gián đoạn hoạt động kinh doanh, làm gián đoạn dịch vụ trực tuyến và gây mất cơ hội kinh doanh Ngoài ra, nó còn có thể gây mất dữ liệu quan trọng, làm giảm hiệu suất và uy tín của tổ chức Đối với cá nhân, tấn công mạng DoS và DDoS có thể làm mất kết nối Internet, gây phiền hà trong việc truy cập và sử dụng các dịch vụ trực tuyến Để bảo vệ chống lại tấn công mạng DoS và DDoS, các tổ chức và cá nhân cần triển khai các biện pháp bảo mật phù hợp Điều này bao gồm việc tăng cường khả năng chịu tải của hệ thống, xây dựng mạng bảo mật đáng tin cậy, sử dụng các công cụ chống tấn công mạng và thực hiện các biện pháp phòng ngừa như giám sát mạng và phân tích lưu lượng Ngoài ra, việc nâng cao nhận thức và đào tạo về an ninh mạng cũng rất quan trọng để ngăn chặn và phòng ngừa các cuộc tấn công Trong phần tiếp theo, chúng ta sẽ đi sâu vào từng loại tấn công mạng DoS và DDoS, cùng với các biện pháp bảo mật và phòng ngừa cần được thực hiện.
Trang 3CHƯƠNG 1: KHÁI NIỆM CƠ BẢN 1.1 Khái niệm về Dos:
Tấn công mạng DoS là một loại tấn công nhằm làm ngập chìm hoặc làm cho một hệ thống, mạng hoặc trang web không hoạt động Trong tấn công này, kẻ tấn công gửi một lượng lớn yêu cầu không hợp lệ hoặc giả mạo đến hệ thống mục tiêu, làm quá tải tài nguyên của hệ thống như băng thông mạng, tài nguyên máy chủ, hoặc dung lượng lưu trữ.
1.2 Khái niệm về Ddos:
Tấn công mạng DDoS là một dạng nâng cao của tấn công mạng DoS, trong đó sử dụng nhiều nguồn tấn công để tạo ra một lượng lớn yêu cầu không hợp lệ hoặc giả mạo đồng thời đến hệ thống mục tiêu Thay vì chỉ sử dụng một máy tính hoặc mạng điều khiển duy nhất, kẻ tấn công DDoS kiểm soát một botnet (một mạng các máy tính đã bị xâm nhập và kiểm soát từ xa) để gửi lưu lượng truy cập đến hệ thống mục tiêu.
1.3 Mục tiêu và nhận dạng:
Mục tiêu:
o Mục tiêu chính của tấn công là làm cho hệ thống hoặc dịch vụ không khả dụng cho người dùng hợp lệ.
o Mục tiêu của tấn công có thể là một tổ chức, doanh nghiệp, trang web nổi tiếng, dịch vụ trực tuyến, hoặc thậm chí cả một cá nhân Nhận dạng:
o Tăng đột ngột và không bình thường trong lưu lượng truy cập đến hệ thống hoặc dịch vụ.
o Sự chậm trễ, gián đoạn, hoặc mất kết nối với trang web hoặc ứng dụng o Giảm hiệu suất của hệ thống, máy chủ hoặc mạng.
o Các báo cáo lỗi không xác định hoặc thông báo không thể truy cập được.
Trang 41.4 Điểm khác nhau giữa Dos và Ddos:
Sự khác nhau trong cách thức hoạt động của Dos và DDos
Tấn công Dos chậm hơn so với DDos Tấn công Ddos nhanh hơn Dos
Có thể ngăn chặn dễ dàng vì sử dụng 1 hệ thống Khó ngăn chặn vì sử dụng nhiều hệ thống Chỉ 1 thiết bị duy nhất được sử dụng để tấn công Nhiều bot đuọc sử dụng để tấn công cùng 1 lú Lưu lượng truy cập trong cuộc tấn công ít hơn Lưu lượng truy cập lơn đến mạng nạn nhân
Trang 5CHƯƠNG 2: CÁC LOẠI TẤN CÔNG2.1 Dos
2.1.1 Thông qua kết nối
Tấn công kiêu SYN flood:
Lợi dụng cách thức hoạt động của kết nối TCP/IP, hacker bắt đầu quá trình thiết lập một kết nối TPC/IP tới mục tiêu muốn tấn công mà không gửi trả gói tin ACK, khiến cho mục tiêu luôn rơi vào trạng thái chờ (đợi gói tin ACK từ phía yêu cầu thiết lập kết nối) và liên tục gửi gói tin SYN ACK để thiết lập kết nối Một cách khác là giả mạo địa chỉ IP nguồn của gói tin yêu cầu thiết lập kết nối SYN và cũng như trường hợp trên, máy tính đích cũng rơi vào trạng thái chờ vì các gói tin SYN ACK không thể đi đến đích do địa chỉ IP nguồn là không có thật Kiểu tấn công SYN flood được các hacker áp dụng để tấn công một hệ thống mạng có băng thông lớn hơn hệ thống của hacker.
Cách thức hoạt động:
Khởi tạo yêu cầu kết nối:
o Kẻ tấn công gửi một lượng lớn gói tin TCP/SYN đến hệ thống mục tiêu Gói tin TCP/SYN này được gửi đến cổng đích trên hệ thống mục tiêu, và địa chỉ nguồn của gói tin SYN được giả mạo.
Hệ thống mục tiêu phản hồi:
o Khi hệ thống mục tiêu nhận được gói tin TCP/SYN, nó sẽ tạo ra một bản ghi kết nối trong bộ nhớ và gửi lại một gói tin TCP/SYN+ACK đến địa chỉ nguồn giả mạo.
Không phản hồi gói tin ACK:
o Thay vì gửi gói tin TCP/ACK để xác nhận kết nối, kẻ tấn công không phản hồi gói tin ACK từ hệ thống mục tiêu Điều này khiến hệ thống mục tiêu chờ đợi trong khoảng thời gian timeout để xác định liệu kết nối có hợp lệ hay không.
Lặp lại quá trình tạo yêu cầu kết nối:
o Kẻ tấn công tiếp tục gửi nhiều yêu cầu kết nối TCP/SYN giả mạo đến hệ thống mục tiêu Với số lượng lớn yêu cầu kết nối không hoàn chỉnh và không có phản hồi gói tin ACK từ kẻ tấn công, hệ thống mục tiêu sẽ nhanh chóng cạn kiệt tài nguyên, bao gồm bộ nhớ, băng thông và số kết nối đồng thời.
Tài nguyên cạn kiệt và không khả dụng:
o Khi tài nguyên của hệ thống mục tiêu cạn kiệt, hệ thống không thể xử lý
Trang 6các yêu cầu kết nối mới từ người dùng hợp lệ Điều này dẫn đến gián đoạn dịch vụ và làm cho hệ thống mục tiêu trở nên không khả dụng cho người dùng hợp
Hình 2.1.1: Tấn công SYN flood
Trang 72.1.2 Lợi dụng tài nguyên
a) Land attack:
Kiểu tấn công Land Attack cũng tương tự như SYN flood, nhưng hacker sử dụng chính IP của mục tiêu cần tấn công để dùng làm địa chỉ IP nguồn trong gói tin, đẩy mục tiêu vào một vòng lặp vô tận khi cố gắng thiết lập kết nối với chính nó Cách hoạt động:
Gửi gói tin với địa chỉ nguồn và đích giống nhau:
o Kẻ tấn công tạo và gửi các gói tin với địa chỉ nguồn và đích giống nhau đến hệ thống mục tiêu Điều này khiến cho hệ thống mục tiêu không thể xác định đâu là yêu cầu hợp lệ và đâu là phản hồi cho những yêu cầu đó Hệ thống bị mắc kẹt trong vòng lặp:
o Khi hệ thống mục tiêu nhận được gói tin với địa chỉ nguồn và đích giống nhau, nó sẽ cố gắng xử lý gói tin và gửi lại phản hồi Tuy nhiên, do địa chỉ nguồn và đích giống nhau, phản hồi sẽ được gửi đến chính hệ thống mục tiêu Điều này tạo ra một vòng lặp vô tận trong hệ thống, khiến nó bị mắc kẹt và không thể xử lý các yêu cầu khác.
Quá tải tài nguyên của hệ thống:
o Với việc phải xử lý liên tục các gói tin trong vòng lặp, hệ thống mục tiêu sẽ tiêu tốn tài nguyên quan trọng như băng thông mạng, xử lý CPU và bộ nhớ Khi tài nguyên cạn kiệt, hệ thống không còn khả năng phục vụ yêu cầu từ người dùng hợp lệ và trở nên không khả dụng.
Hình 2.1.2: Tấn công Land
Trang 8b) Kiểu tấn công UDP flood
Hacker gửi gói tin UDP echo với địa chỉ IP nguồn là cổng loopback của chính mục tiêu cần tấn công hoặc của một máy tính trong cùng mạng Với mục tiêu sử dụng cổng UDP echo (port 7) để thiết lập việc gửi và nhận các gói tin echo trên 2 máy tính (hoặc giữa mục tiêu với chính nó nếu mục tiêu có cấu hình cổng loopback), khiến cho 2 máy tính này dần dần sử dụng hết băng thông của chúng, và cản trở hoạt động chia sẻ tài nguyên mạng của các máy tính khác trong mạng.
Cách thức hoạt động:
Gửi gói tin UDP đến hệ thống mục tiêu:
o Kẻ tấn công sử dụng các công cụ hoặc kỹ thuật để gửi một lượng lớn gói tin UDP đến hệ thống mục tiêu Gói tin UDP không yêu cầu xác nhận như gói tin TCP, do đó chúng được gửi nhanh chóng và không cần thiết lập kết nối trước.
Quá tải hệ thống:
o Với lượng gói tin UDP lớn, hệ thống mục tiêu sẽ phải xử lý và đáp ứng cho tất cả các gói tin này Tuy nhiên, vì không có quá trình xác nhận hay kiểm soát kết nối, hệ thống mục tiêu sẽ nhanh chóng cạn kiệt tài nguyên, bao gồm băng thông mạng, xử lý CPU và bộ nhớ.
Cạn kiệt tài nguyên và gián đoạn dịch vụ:
o Khi hệ thống mục tiêu không còn khả năng xử lý gói tin UDP đến, nó sẽ trở nên không khả dụng cho người dùng hợp lệ Điều này dẫn đến gián đoạn dịch vụ và gây ảnh hưởng đến hiệu suất hoạt động của hệ thống mục tiêu.
Hình 2.1.3: Tấn công UDP flood
Trang 92.1.3 Sử dụng băng thông
Tấn công kiểu DDoS (Distributed Denial of Service):
Đây là một loại tấn công mạng mà kẻ tấn công sử dụng một mạng lưới các máy tính được kiểm soát từ xa (botnet) để tạo ra một lượng lớn yêu cầu truy cập đến một hệ thống mục tiêu, làm quá tải hệ thống và làm cho nó không khả dụng cho người dùng hợp lệ.
Cách thức hoạt động:
Xâm nhập và kiểm soát máy tính từ xa (botnet):
o Kẻ tấn công xâm nhập vào các máy tính khác nhau trên Internet bằng các phương pháp như malware, trojan hoặc kỹ thuật xâm nhập từ xa Khi các máy tính này bị kiểm soát, chúng trở thành thành viên của mạng lưới máy tính được điều khiển từ xa, được gọi là botnet.
Gửi yêu cầu truy cập từ botnet đến hệ thống mục tiêu:
o Khi botnet được kiểm soát, kẻ tấn công sử dụng nó để gửi một lượng lớn yêu cầu truy cập đến hệ thống mục tiêu Các yêu cầu này có thể là yêu cầu truy cập vào trang web, yêu cầu kết nối TCP hoặc gửi gói tin UDP Số lượng yêu cầu truy cập lớn và đồng thời từ các máy tính trong botnet tạo ra một lượng lớn lưu lượng mạng đổ về hệ thống mục tiêu Quá tải hệ thống mục tiêu:
o Với lượng yêu cầu truy cập lớn đến từ botnet, hệ thống mục tiêu không thể xử lý và đáp ứng tất cả các yêu cầu này Quá trình xử lý yêu cầu truy cập tốn tài nguyên, bao gồm băng thông mạng, xử lý CPU và bộ nhớ, khiến hệ thống trở nên quá tải và không khả dụng cho người dùng hợp lệ.
Gián đoạn dịch vụ và ảnh hưởng đến hiệu suất hoạt động:
o Khi hệ thống mục tiêu không thể xử lý các yêu cầu truy cập từ botnet, nó sẽ trở nên không khả dụng cho người dùng hợp lệ Điều này dẫn đến gián đoạn dịch vụ và ảnh hưởng đến hiệu suất hoạt động của hệ thống mục tiêu.
Trang 10Hình 2.1.4: Tấn công DDoS
Trang 112.1.4 Sử dụng các nguồn tài nguyên khác
a)Tấn công kiểu Smurf Attack :
Kiểu tấn công này cần một hệ thống rất quan trọng, đó là mạng khuyếch đại Hacker dùng địa chỉ của máy tính cần tấn công bằng cách gửi gói tin ICMP echo cho toàn bộ mạng (broadcast) Các máy tính trong mạng sẽ đồng loạt gửi gói tin ICMP reply cho máy tính mà hacker muốn tấn công Kết quả là máy tính này sẽ không thể xử lý kịp thời một lượng lớn thông tin và dẫn tới bị treo máy.
Cách thức tấn công:
Phát tán yêu cầu ping giả mạo:
o Kẻ tấn công gửi các gói tin ICMP Echo Request (yêu cầu ping) đến mạng phủ sóng với địa chỉ nguồn bị giả mạo Địa chỉ nguồn trong gói tin ICMP Echo Request được đặt là địa chỉ IP của nạn nhân, điều này khiến cho các máy tính trong mạng phủ sóng tin rằng yêu cầu ping đến từ nạn nhân.
Phản hồi từ các máy tính trong mạng phủ sóng:
o Khi các máy tính trong mạng phủ sóng nhận được yêu cầu ping, chúng sẽ tự động phản hồi bằng các gói tin ICMP Echo Reply (phản hồi ping) Vì địa chỉ nguồn trong gói tin ICMP Echo Request bị giả mạo là địa chỉ IP của nạn nhân, các máy tính trong mạng phủ sóng sẽ gửi phản hồi ping đến nạn nhân.
Quá tải hệ thống mục tiêu:
o Với sự phản hồi lớn từ các máy tính trong mạng phủ sóng, hệ thống mục tiêu sẽ nhận được một lượng lớn gói tin ICMP Echo Reply Điều này gây ra tình trạng quá tải tài nguyên trong hệ thống mục tiêu, bao gồm băng thông mạng, xử lý CPU và bộ nhớ.
Cạn kiệt tài nguyên và gián đoạn dịch vụ:
o Khi tài nguyên trong hệ thống mục tiêu cạn kiệt, nó không còn khả năng xử lý các yêu cầu và phản hồi từ người dùng hợp lệ Điều này dẫn đến gián đoạn dịch vụ và làm cho hệ thống mục tiêu trở nên không khả dụng.
Trang 12Hình 2.1.5: Tấn công Smurf
Trang 13b) Tấn công kiểu Tear Drop:
Tấn công Tear Drop là một loại tấn công mạng trong đó kẻ tấn công gửi các gói tin IP được tạo theo cách không hợp lệ hoặc tùy chỉnh để tạo ra lỗi hệ thống trong quá trình ghép nối các gói tin lại với nhau Tấn công này nhằm tạo ra những gói tin “hỏng” hoặc chứa các lỗi ghi lại (overlap) trong phần dữ liệu và thông tin về độ dài của gói tin, dẫn đến sự lỗi ghép nối và làm quá tải hệ thống.
Cách thức hoạt động: Tạo gói tin tấn công:
o Kẻ tấn công tạo và gửi các gói tin IP đến hệ thống mục tiêu Các gói tin này được tạo sao cho chứa các phần dữ liệu chồng chéo (overlap) và thông tin độ dài không hợp lệ Điều này khiến quá trình ghép nối các gói tin bị lỗi và gây ra sự quá tải hệ thống.
Xử lý lỗi ghép nối:
o Hệ thống mục tiêu nhận các gói tin tấn công và cố gắng ghép nối chúng lại với nhau Tuy nhiên, do sự chồng chéo và lỗi độ dài của các gói tin, quá trình ghép nối bị lỗi và gây ra những tác động không mong muốn đến hệ thống.
Quá tải hệ thống:
o Khi hệ thống mục tiêu cố gắng xử lý các gói tin tấn công và ghép nối chúng lại với nhau, nó tiêu tốn tài nguyên xử lý CPU và bộ nhớ Với sự tạo ra các gói tin "hỏng" liên tục, hệ thống sẽ trở nên quá tải và không thể xử lý các yêu cầu khác từ người dùng hợp lệ.
Hình 2.1.6: Tấn công Tear Drop
Trang 142.2 Ddos2.2.1 Kiến Trúc
Kỹ thuật tấn công DDoS attack-network có hai mô hình chính: Mô hình Agent – Handler
Mô hình IRC – Based
Dưới đây là sơ đồ chính phân loại các kiểu tấn công DDoS:
Hình 2.2.1: Mô hình tấn công của DDOS
Trang 15a) Mô hình Agent – Handler
Với mô hình Agent - Handler, attack-network gồm 3 thành phần: Agent, Client và Handler.
Client: là software cơ sở để hacker điều khiển mọi hoạt động của attack-network
Handler: là một thành phần software trung gian giữa Agent và Client Agent: là thành phần software thực hiện sự tấn công mục tiêu, nhận điều khiển từ Client thông qua các Handler
Hình 2.2.2 Mô hình Agent – Handler
Attacker sẽ từ Client giao tiếp với Handler để xác định số lượng Agent đang online, điều chỉnh thời điểm tấn công và cập nhật các Agent Tùy theo cách attacker cấu hình attack-network, các Agent sẽ chịu sự quản lý của một hay nhiều Handler.
Thông thường Attacker sẽ đặt Handler software trên một Router hay một server có lượng traffic lưu thông nhiều Việc này nhằm làm cho các giao tiếp giữa Client, handler và Agent khó bị phát hiện Các gia tiếp này thông thường xảy ra trên các protocol TCP, UDP hay ICMP Chủ nhân thực sự của các Agent thông thường không hề hay biết họ bị lợi dụng vào cuộc tấn công kiểu DDoS, do họ không đủ kiến thức hoặc các chương trình Backdoor Agent chỉ sử dụng rất ít tài nguyên hệ thống làm cho hầu như không thể thấy ảnh hưởng gì đến hiệu năng của hệ thống.
Trang 16b) Mô Hình IRC – Based:
Internet Relay Chat (IRC) là một hệ thống online chat multiuser, IRC cho phép User tạo một kết nối đến multipoint đến nhiều user khác và chat thời gian thực Kiến trúc củ IRC network bao gồm nhiều IRC server trên khắp internet, giao tiếp với nhau trên nhiều kênh (channel) IRC network cho phép user tạo ba loại channel: public, private và serect.
Public channel: Cho phép user của channel đó thấy IRC name và nhận được
message của mọi user khác trên cùng channel
Private channel: được thiết kế để giao tiếp với các đối tượng cho phép Không
cho phép các user không cùng channel thấy IRC name và message trên channel Tuy nhiên, nếu user ngoài channel dùng một số lệnh channel locator thì có thể biết được sự tồn tại của private channel đó.
Secrect channel: tương tự private channel nhưng không thể xác định bằng
channel locator.
Hình 2.2.3 Mô hình IRC – Based