ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN KHOA MẠNG VÀ TRUYỀN THÔNG o0o MÔN: Xây Dựng Chuẩn Chính Sách An Toàn Thông Tin Trong Doanh Nghiệp DENIAL OF SERVICES SINH VIÊN THỰC HIỆN: GIÁO VIÊN HƯỚNG DẪN: Nguyễn Lâm 08520194 GV : CH.Nguyễn Duy Cao Nhật Quang 08520304 Ngô Tấn Tài 08520323 Lâm Văn Tú 08520610 Thành Phố Hồ Chí Minh -26/03/2012- [DENIAL OF SERVICES] LỜI MỞ ĐẦU Với những kiến thức đã được học về DoS/DDoS, nhóm chúng em quyết định tìm hiểu rõ hơn về DoS/DDoS, dùng các tool mà Hacker sử dụng để tấn công để có thể hiểu các bước triển khai một cuộc tấn công, đưa ra cách phòng chống và ngăn ngừa trong hệ thống mạng . Chúng em xin chân thành cảm ơn sự giúp đỡ của thầy Nguyễn Duy – Giảng viên trực tiếp hướng dẫn đã giúp đỡ nhóm em hoàn thành đồ án này. Trong quá trình tìm hiểu và viết báo cáo không tránh khỏi sai sót, rất mong nhận được sự góp ý của thầy. Chúng em xin chân thành cảm ơn. TPHCM, ngày 31 tháng 03 năm 2012 Lớp MMT03 – Nhóm07 thực hiện Nhóm 07 – MMT03 |ĐH. Công nghệ thông tin 2 [DENIAL OF SERVICES] MỤC LỤC 1 DOS 1.1 Khái niệm DOS Tấn công từ chối dịch vụ DoS (Denial of Service) có thể mô tả hành động ngăn cản những người dùng hợp pháp khả năng truy cập và sử dụng vào một dịch vụ nào đó.Nó bao gồm : làm tràn ngập mạng, mất kết nối với dịch vụ… mà mục đích cuối cùng là máy chủ (Server) không thể đáp ứng được các yêu cầu sử dụng dịch vụ từ các máy trạm (Client). Hình 1: Băng thông khi tấn công DoS 1.2 Phân loại Được phân theo 2 loại : Loại 1: Dựa theo đặc điểm của hệ thống bị tấn công: gây quá tải khiến hệ thống mất khả năng phục vụ • Tin tặc gửi rất nhiều yêu cầu dịch vụ, bắt chước như người dùng thực sự yêu cầu đối với hệ thống. • Để giải quyết yêu cầu, hệ thống phải tốn tài nguyên(CPU, bộ nhớ, đường truyền,…). Mà tài nguyên này thì là hữu hạn. Do đó hệ thống sẽ không còn tài nguyên để phục vụ các yêu cầu sau • Hình thức chủ yếu của kiểu tấn công từ chối dịch vụ phân tán Nhóm 07 – MMT03 |ĐH. Công nghệ thông tin 3 [DENIAL OF SERVICES] Loại 2: Làm cho hệ thống bị treo, tê liệt do tấn công vào đặc điểm của hệ thống hoặc lỗi về an toàn thông tin • Tin tặc lợi dụng kẽ hở an toàn thông tin của hệ thống để gửi các yêu cầu hoặc các gói tin không hợp lệ (không đúng theo tiêu chuẩn) một cách cố ý, khiến cho hệ thống bị tấn công khi nhận được yêu cầu hay gói tin này, xử lý không đúng hoặc không theo trình tự đã được thiết kế, dẫn đến sự sụp đổ của chính hệ thống đó • Điển hình là kiểu tấn công Ping of Death hoặc SYN Flood. 1.3 Các kỹ thuật tấn công DOS 1.3.1 Winnuke : DoS Attack loại này chỉ có thể áp dụng cho các máy tính đang chạy Windows9x. Hacker sẽ gởi các gói tin với dữ liệu ‘Out of Band’ đến cổng 139 của máy tính đích (cổng 139 là cổng NetBIOS, cổng này chỉ chấp nhận các gói tin có cờ Out of Band được bật ). Khi máy tính của Victim nhận được gói tin này, một màn hình xanh báo lỗi sẽ hiện lên do chương trình của Windows nhận được các gói tin này nhưng nó lại không biết phản ứng với các dữ liệu Out Of Band như thế nào dẫn đến hệ thống sẽ bị crash. Hình 2: thông báo lỗi khi bị tấn công Winnuke Nhóm 07 – MMT03 |ĐH. Công nghệ thông tin 4 [DENIAL OF SERVICES] 1.3.2 Ping of Death : Ở kiểu DoS Attack này, chỉ cần gửi một gói dữ liệu có kích thước lớn thông qua lệnh ping đến máy đích thì hệ thống của họ sẽ bị treo. Hình 3: cách truyền gói ICMP 1.3.3 Teardrop : Dữ liệu chuyển đi trên mạng từ hệ thống nguồn đến hệ thống đích đều phải trải qua 2 quá trình : dữ liệu sẽ được chia ra thành các mảnh nhỏ ở hệ thống nguồn, mỗi mảnh đều phải có một giá trị offset để các định vị trí của mảnh đó trong gói dữ liệu được chuyển đi. Khi các mảnh này đến hệ thống đích, hệ thống đích sẽ dựa vào giá trị offset để sắp xếp các mảnh lại với nhau theo thứ tự đúng như ban đầu. Lợi dụng sơ hở đó, Hacker gởi đến hệ thống đích một loạt gói packets có giá trị offset chồng chéo lên nhau. Hệ thống đích sẽ không thể nào sắp xếp lại các packets này, nó không điều khiển được và có thể bị crash, reboot hoặc ngừng hoạt động nếu số lượng gói packets với giá trị offset chồng chéo lên nhau quá lớn . 1.3.4 SYN Attack : Hacker sẽ gởi đến hệ thống đích một loạt SYN packets với địa chỉ IP nguồn không có thực. Hệ thống đích khi nhận được các SYN packets này sẽ gửi trở lại các địa chỉ không có thực đó và chờ đợi để nhận thông tin phản hồi từ các địa chỉ IP giả. Vì đây là các địa chỉ IP không có thực, nên hệ thống đích sẽ chờ đợi vô ích và còn đưa ra các ‘request’ chờ đợi này vào bộ nhớ, gây lãng phí một lượng đáng kể bộ nhớ trên máy chủ mà đúng ra là phải dung Nhóm 07 – MMT03 |ĐH. Công nghệ thông tin 5 [DENIAL OF SERVICES] vào việc khác thay cho phải chờ đợi thông tin phản hồi không có thực này. Nếu ta gửi cùng một lúc nhiều gói tin có địa chỉ IP giả như vậy thì hệ thống sẽ bị quá tải dẫn đến bị crash hoặc boot máy tính. Hình 4: Quá trình làm việc của gói tin SYN 1.3.5 Land Attack : Land Attack cũng gần giống như SYN Attack, nhưng thay vì dùng các địa chỉ IP không có thực, Hacker sẽ dùng chính địa chỉ IP của hệ thống nạn nhân. Điều này sẽ tạo nên một vòng lặp vô hạn trong chính hệ thống nạn nhân đó, giữa một bên cần nhận thông tin phản hồi còn một bên thì chẳng bao giờ gửi thông tin phản hồi đó đi cả. 1.3.6 Smurf Attack: Trong Smurf Attack, cần có 3 thành phần : Hacker (người ra lệnh tấn công), mạng khuếch đại (sẽ nghe lệnh của Hacker) và hệ thống của nạn nhân. Hacker sẽ gửi các gói tin ICMP đến địa chỉ Broadcast của mạng khuếch đại. Điều đặc biệt là các gói tin ICMP packets này có địa chỉ IP nguồn chính là địa chỉ IP của nạn nhân. Khi các packets đó đến được địa chỉ broadcast của mạng khuếch đại, các máy tính trong mạng khuếch đại sẽ tưởng rằng máy tính nạn nhân đã gửi gói tin ICMP packets đến và chúng sẽ đồng loạt gửi trả lại hệ thống nạn nhân các gói tin phản hồi ICMP packets. Hệ thống má nạn nhân sẽ không chịu nổi một khối lượng khỏng lồ các gói tin này và nhanh chóng sẽ ngừng hoạt động, crash hoặc reboot. Như vậy, chỉ cần gởi một lượng nhỏ các gói tin ICMP packets đi thì hệ thống mạng khuếch đại sẽ khuếch đại lượng gói tin ICMP packets này lên gấp bội. Tỉ lệ khuếch đại phụ thuộc vào số máy tính có trong mạng khuếch đại. Nhiệm vụ của các Hacker là cố chiếm được càng nhiều Nhóm 07 – MMT03 |ĐH. Công nghệ thông tin 6 [DENIAL OF SERVICES] hệ thống mạng hoặc Routers cho phép chuyển trực tiếp các gói tin đến địa chỉ Broadcast không qua chỗ lọc địa chỉ nguồn ở các đầu ra của gói tin. Có được các hệ thống này, Hacker sẽ dễ dàng tiến hành Smurf Attack trên các hệ thống cần tấn công. Hình 5: Phương thức tấn công Smurf 1.3.7 UDP Flooding : Cách tấn công UDP đòi hỏi phải có 2 hệ thống máy cùng tham gia. Hackers sẽ làm cho hệ thống của mình đi vào một vòng lặp trao đổi các dữ liệu qua giao thức UDP. Và giả mạo địa chỉ IP của các gói tin là địa chỉ Loopback (127.0.0.1) rồi gửi gói tin này đến hệ thống của nạn nhân trên cổng UDP Echo (7). Hệ thống của nạn nhân sẽ trả lời lại các messages do nhiều hệ thống không cho dung địa chỉ loopback nên Hacker sẽ giả mạo một địa chỉ IP của một máy tính nào đó trên mạng và tiến hành UDP Flood trên hệ thống của nạn nhân . 1.3.8 Tấn công DNS : Hacker có thể đổi một lối vào trên Domain Name Server của hệ thống nạn nhân cho chỉ đến một website nào đó của Hacker. Khi máy khách yêu cầu DNS phân tích địa chỉ bị xâm nhập thành địa chỉ IP, lập tức DNS (đã bị Hacker thay đổi cache tạm thời) sẽ đổi thành địa chỉ IP mà Hacker đã cho chỉ đến đó. Kết quả là thay vì phải vào trang Web muốn vào thì các nạn nhân sẽ vào trang Web do chính Hacker tạo ra. Nhóm 07 – MMT03 |ĐH. Công nghệ thông tin 7 [DENIAL OF SERVICES] 1.3.9 Distributed DoS Attacks (DDoS) : DDoS yêu cầu phải có ít nhất vài Hackers cùng tham gia. Đầu tiên các Hackers sẽ cố thâm nhập vào các mạng máy tính được bảo mật kém, sau đó cài lên các hệ thống này chương trình DDoS Server. Bây giờ các Hackers sẽ hẹn nhu đến thời gian đã định sẽ dùng DDoS Client kết nối đến các DDoS Server, sau đó đồng loạt ra lệnh cho các DDoS Server này tiến hành tấn dông DDoS đến hệ thống nạn nhân. 1.3.10 Distributed Reflection Denial of Service Attack (DRDoS): Kiểu tấn công lợi hại nhất và làm boot máy tính của đối phương nhanh gọn nhất. Cách làm thì cũng tương tự như DDoS nhưng thay vì tấn công bằng nhiều máy tính thì Hacker chỉ cần dùng một máy tán công thông qua các Server lớn trên thế giới. Vẫn với phương pháp giả mạo đại chỉ IP của victim, kẻ tấn công sẽ gởi các gói tin đến các Server mạnh nhất, nhanh nhất và có đường truyền rộng nhất như Yahoo .v.v…, các Server này sẽ phản hồi các gói tin đó đến đại chỉ của Victim. Việc cùng một lúc nhận được nhiều gói tin thông qua các Server lớn này sẽ nhanh cóng làm nghẽn đường truyền của máy tính nạn nhân và làm crash, reboot máy tính đó. Cách tấn công này lợi hại ở chỗ chỉ cần một máy có kết nối Internet đơn giản với đường truyền bình thường cũng có thể đánh bật được hệ thống có đường truyền tốt nhất thế giới nếu như ta không kịp ngăn chặn . 1.4 Mô hình triển khai tấn công DOS - Mô hình tấn công DoS rất đơn giản . Chỉ cần một máy tính kết nối internet là có thể tấn công bất kỳ mục tiêu mong muốn . - Các công cụ để thực hiện tấn công DoS : • Freak88 • Engage Packet builder Nhóm 07 – MMT03 |ĐH. Công nghệ thông tin 8 [DENIAL OF SERVICES] • Crazy Pinger • Nemesy • Panther mode 2 nuker-firewall killer • DDoSPing2.00 • UDP flooder • Wireless De-authentication Attack - Để triển khai cuộc tấn công DoS cần : • Biết được địa chỉ IP của nơi muốn tấn công. • Công cụ tấn công được cài trên máy Hacker. 1.5 Triển khai tấn công DOS 1.5.1 Tool Icmp Packets Sender : là tool tấn công ping of death IP Hacker:10.0.0.2 và IP Victim: 10.0.0.4 Giao diện sử dụng Nhóm 07 – MMT03 |ĐH. Công nghệ thông tin 9 [DENIAL OF SERVICES] Thông báo làm việc Kết quả ở máy Victim Nhóm 07 – MMT03 |ĐH. Công nghệ thông tin 10 [...]... thông tin 27 [DENIAL OF SERVICES] • Bước 2: Cài đặt mã nguồn lên host để điều khiển Thay đồi thông tin để kết nối csdl và host • Thay đổi tên cơ sở dữ liệu,username,password Nhóm 07 – MMT03 |ĐH Công nghệ thông tin 28 [DENIAL OF SERVICES] • Import file cơ sở dữ liệu(vertexnet.sql) trên host • Sửa tên và upload toàn bộ thông tin lên host doanuit.tk Nhóm 07 – MMT03 |ĐH Công nghệ thông tin 29 [DENIAL OF. .. nghệ thông tin 12 [DENIAL OF SERVICES] 1.5.4 Panther mode 2 nuker-firewall: - IPVictim: 10.0.0.4 • Giao diện sử dụng • Dùng WireShark để kiểm tra kết quả trên máy Victim Nhóm 07 – MMT03 |ĐH Công nghệ thông tin 13 [DENIAL OF SERVICES] 1.5.5 Tool Sprut: IP Victim: 118.69.199.197 Hostname Victim: doanuit.tk • Giao diện sử dụng: • Tình trạng khi làm việc Nhóm 07 – MMT03 |ĐH Công nghệ thông tin 14 [DENIAL OF. .. – Handler Theo mô hìnhAgent-Handler gồm 3 thành phần: Agent, Client và Handler • • • Client : là software cơ sở để Hacker điều khiển mọi hoạt động của attack-network Handler : là một thành phần software trung gian giữa Agent và Client Agent : là thành phần software thực hiện sự tấn công mục tiêu, nhận điều khiển từ Client thông qua các Handler Nhóm 07 – MMT03 |ĐH Công nghệ thông tin 20 [DENIAL OF SERVICES] ... [DENIAL OF SERVICES] • Dùng WireShare trên máy Hacker để kiểm tra thông tin • Kiểm tra kết quả khi vào trang web Victim (doanuit.tk): Nhóm 07 – MMT03 |ĐH Công nghệ thông tin 15 [DENIAL OF SERVICES] 1.5.6 Tool Engage Packet builder: • Giao diện sử dụng: • • Tool này có thể cấu hình bằng tay hay sử dụng Script Đoạn Script được sử dụng để tấn công: Nhóm 07 – MMT03 |ĐH Công nghệ thông tin 16 [DENIAL OF SERVICES] ... tạo kênh và đăng nhập kênh Nhóm 07 – MMT03 |ĐH Công nghệ thông tin 35 [DENIAL OF SERVICES] 1.Điền thông tin chung về người sử dụng 2.Tạo Server IRC (không quan trọng): 3 Điền thông tin IRC Server Quan trong nhất 4.Kết nối ra ngoài Internet là tên IRC Server “irc.abjects.net” 5.Thêm 1 Channel cho Server IRC Nhóm 07 – MMT03 |ĐH Công nghệ thông tin 36 ... Bot Bước 4: điều khiển Bot • Khi Bots đã được kích hoạt sẽ thông báo số Bots Online,Bots Offline.IP của Bots Nhóm 07 – MMT03 |ĐH Công nghệ thông tin 32 [DENIAL OF SERVICES] • Điền nội dung muốn gửi đi cho Bots • Kết quả ở máy nhiễm Bots Nhóm 07 – MMT03 |ĐH Công nghệ thông tin 33 [DENIAL OF SERVICES] • Các câu lệnh có thể điều khiển Bots: • Gửi tin nhắn • Flood 1 website • Thực thi 1 tiến trình • Download... IPDESTINATION : địa chỉ IP Victim PORTDESTINATION: port cần tấn công của Victim SYN=1 : Đặt SYN có giá trị là 1 SEND 100000 TCP : gửi 100000 gói TCP • Chỉ đến đoạn Script để tiến hành dos và chạy Script • Dùng WireShake để kiểm tra kết quả: Nhóm 07 – MMT03 |ĐH Công nghệ thông tin 17 [DENIAL OF SERVICES] • Giá trị SYN=1 Nhóm 07 – MMT03 |ĐH Công nghệ thông tin 18 [DENIAL OF SERVICES] 2 Distributed Denial. .. thời gian thực Kiến trúc củ IRC network bao gồm nhiều IRC Server trên khắp Internet, giao tiếp với nhau trên nhiều kênh (channel) IRC network cho phép user tạo ba loại channel: public, private và serect Nhóm 07 – MMT03 |ĐH Công nghệ thông tin 21 [DENIAL OF SERVICES] • Public channel: Cho phép user của channel đó thấy IRC name và nhận được message của • mọi user khác trên cùng channel Private channel:... [DENIAL OF SERVICES] • Giao diện sử dụng Bước 3 : Tạo Bot và kích hoạt Bot Nhóm 07 – MMT03 |ĐH Công nghệ thông tin 30 [DENIAL OF SERVICES] • Điền url và path đã được cài đặt trước đó • Tab Build loader  Build Nhóm 07 – MMT03 |ĐH Công nghệ thông tin 31 [DENIAL OF SERVICES] • Khi build thành công và double click để kích hoạt Cũng có thể dùng phần mềm để đính kèm vào các file khác nhau để lây lan Bot Bước... băng thông là 1000*128 ~ 100Mbps Nhóm 07 – MMT03 |ĐH Công nghệ thông tin 23 [DENIAL OF SERVICES] (đây là một con số thể hiện băng thông mà khó một nhà Hosting nào có thể share cho mỗi trang web của mình) 3.3 Mục đích sử dụng mạng BotNet Tấn công Distributed Denial- of- Service (DDoS) - Spamming: mở một SOCKS v4/v5 proxy Server cho việc Spamming - Sniffing traffic: Bot cũng có thể sử dụng các gói tin nó . CHÍ MINH TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN KHOA MẠNG VÀ TRUYỀN THÔNG o0o MÔN: Xây Dựng Chuẩn Chính Sách An Toàn Thông Tin Trong Doanh Nghiệp DENIAL OF SERVICES SINH VIÊN THỰC HIỆN: GIÁO. nghệ thông tin 3 [DENIAL OF SERVICES] Loại 2: Làm cho hệ thống bị treo, tê liệt do tấn công vào đặc điểm của hệ thống hoặc lỗi về an toàn thông tin • Tin tặc lợi dụng kẽ hở an toàn thông tin của. quả: Nhóm 07 – MMT03 |ĐH. Công nghệ thông tin 17 [DENIAL OF SERVICES] • Giá trị SYN=1 Nhóm 07 – MMT03 |ĐH. Công nghệ thông tin 18 [DENIAL OF SERVICES] 2 Distributed Denial of Service Attacks (DDoS Attacks) 2.1