DOS/DDOS SV1 : 08520234_Phạm Nhật Minh SV2 : 08520358_Đỗ Công Thành SV3 : 08520279_Lê Ngọc Phi SV4 : 08520092_Lê Phước Đông Mục lục I. Lý thuyết : 1. Tấn công DOS : 1.1. tấn công slow read - Trong phần này em xin giới thiệu về tấn công Slow Read Denial of Service attack là một loại tấn công DOS dựa vào lỗ hổng của dịch vụ http trên server bị tấn công. - Cuộc tấn công khai thác một lỗ hổng mà hầu như các máy chủ web server mắc phải là không hạn chế thời gian kết nối của một luồng dữ liệu đi vào. Với khả năng kéo dài kết nối TCP hầu như là mãi mãi - Nó có khả năng tranh chấp các kết nối của ứng dụng - Khả năng kéo dài kết nối TCP thì được mô tả trong một vài lỗ hổng được báo cáo dưới đây: MS09-048, CVE-2008-4609, CVE-2009-1925, CVE-2009-1926 . - Điều kiện tiên quyết để tấn công thành công là :  Server phải chấp nhận kết nối với một cửa sổ quảng cáo(trường window size) nhỏ hơn bộ đệm socket server gửi. Nó càng nhỏ càng tốt.  Kẻ tấn công yêu cầu cần có một tài nguyên mà không phù hợp với bộ đệm của server gửi. Ở đây thường sử dụng giữa 64kb và 128kb. Để làm đầy bộ đệm của socket server có thể sử dụng việc tạo ống dẫn HTTP(-k tham số của slowhttptest) 1.2. tấn công Smurf - Kiểu tấn công này cần một hệ thống rất quan trọng là mạng khuyếch đại - Hacker dùng địa chỉ của máy tính cần tấn công để gửi gói tin ICMP echo cho toàn bộ mạng (broadcast) - Các máy tính trong mạng sẽ đồng loạt gửi gói tin ICMP reply cho máy tính mà hacker muốn tấn công 1.3. Fraggle Attack - Tương tự như tấn công smurf nhưng thay vì sử dụng gói ICMP thì chúng ta sử dụng gói UDP ECHO gởi tới mục tiêu - Nhưng Flaggle Attack nguy hiểm hơn Smurt attack rấtvnhiều.Vì Attacker tấn công bằng một gói tin ECHO REQUEST với địa chỉ bên nhận là một địa chỉ broadcast, toàn bộ hệ thống thuộc địa chỉ này lậptức gửi gói tin REPLY đến port echo của victim, sau đó từ victim một gói tin ECHO REPLY lại gửi trở về địa chỉ broadcast, và quá trình cứ thế tiếp diễn. 2. Tấn công DDOS : 2.1. điều khiển qua web. - Attacker sẽ thiết lập một webserver để đưa ra các lệnh điều khiển mạng botnet để thực hiện các cuộc tấn công. - Attacker cần tạo ra mạng botnet để điều khiển tấn công thông qua việc phát tán Trojan. Các Trojan có nhiệm vụ kết nối đến webserver và chờ lệnh từ attacker thông qua webserver. - Attacker sẽ điều khiển mạng botnet này để thực hiện tấn công DDOS dựa vào mạng botnet để gửi số lượng lớn các request đến server tấn công - Nó làm cho server bị tấn công sẽ bị cạn kiệt nguồn tài nguyên(băng thông, bộ nhớ, CPU xử lý…) và không thể đáp ứng yêu cầu của người dùng được nữa. 2.2. điều khiển qua kênh IRC - Tương tự như DDOS điều khiển qua web , thay vì sử dụng web để điều khiển con bot thì chúng ta dùng kênh IRC để điều khiển 3. Kết quả của các cuộc tấn công : 3.1 Đối với tấn công DOS :. - Làm cho server bị crack hoặc bị treo 3.2 Đối với tấn tấn công DDOS : - Kết quả của cuộc tấn công này là attacker có thể điều khiển, ăn cắp các thống tin quan trọng … các máy bị nhiễm trojan do attacker phát tán. - Attacker có thể điều khiển mạng botnet này để thực hiện tấn công DDOS đến các server và làm cho server này cạn kiệt tài nguyên, ngưng hoạt động. II. Mô hình triển khai tấn công : 1. Tấn công DOS : 1.1. Tấn công Slow Read Denial of Service attack : 192.168.91.167 192.168.91.150 Attacker Server Hình 1.1 : mô hình triển khai tấn công Slow-Read DoS attack - Công cụ sử dụng để thực hiện tấn công Slow-Read DoS attack dùng để gửi các request TCP đến server tấn công. - Công cụ có thể thực hiện tấn công chạy trên hệ thống linux và cần có môi trường biên dịch gcc. - Attacker gửi rất nhiều request TCP đến server tấn công và các kết nối TCP này sẽ bị kéo dài làm server phải chờ đợi để kết thúc 1 kết nối TCP, điều này làm cho cho máy server cạn kiệt tài nguyên. - Hình dưới đây minh họa cuộc tấn công slow – read DOS attack  Số lượng request gửi đi là 1000 request  Ở đây sử dụng request GET để thực hiện tấn công  Số lượng kết nối cho mỗi giao là 200 kết nối/ 1 giây  Tham giò kết nối máy server bị DOS, nếu không có phản ứng đã nhận sau 3 giây - kết quả của cuộc tấn công :  ở giây 181 : có 1000 kết nối  số lượng kết nối đang chờ server giai quyết ở khoảng giây thứ 5-76 là tầm 600 kết nối.  kết nối đã hoàn thành tầm 375 kết nối  server vailable : server đáp ứng các kết nối đã hoạt động quá tải 1.2 tấn công Smurf và Fraggle - Là thủ phạm sinh ra cực nhiều giao tiếp ICMP (ping) tới địa chỉ Broadcast của nhiều mạng với địa chỉ nguồn là mục tiêu cần tấn công. * Chúng ta cần lưu ý là: Khi ping tới một địa chỉ là quá trình hai chiều – Khi máy A ping tới máy B máy B reply lại hoàn tất quá trình. Khi tôi ping tới địa chỉ Broadcast của mạng nào đó thì toàn bộ các máy tính trong mạng đó sẽ Reply lại tôi. Nhưng giờ tôi thay đổi địa chỉ nguồn, thay địa chỉ nguồn là máy C và tôi ping tới địa chỉ Broadcast của một mạng nào đó, thì toàn bộ các máy tính trong mạng đó sẽ reply lại vào máy C chứ không phải tôi và đó là tấn công Smurf. - Kết quả đích tấn công sẽ phải chịu nhận một đợt Reply gói ICMP cực lớn và làm cho mạng bị dớt hoặc bị chậm lại không có khả năng đáp ứng các dịch vụ khác. - Quá trình này được khuyếch đại khi có luồng ping reply từ một mạng được kết nối với nhau (mạng BOT). - tấn công Fraggle, chúng sử dụng UDP echo và tương tự như tấn công Smurf. 2. Tấn công DDOS : - Mô hình triển khai tấn công 5 6 target server 1 zombie 2 3 Attacker victim - Attacker phát tán Trojan cho các máy victim để tạo ra mạng botnet để attacker có thể điều khiển tấn công. - Bot command & control central : là trung tâm điều khiển mạng botnet để thực hiện các cuộc tấn công DDOS. Các lệnh điều khiển này sẽ do attacker thực hiện. Trong demo này thì trung tâm này chính là một webserver do attacker thuê. - Zombie : là các máy tính(victim) mà bị nhiễm Trojan,bot … và bị hacker điều khiển.Số lượng zombie càng lớn thì cuộc tấn công càng mạng và nguy hiểm. III. Triển khai tấn công : 1. Tấn công DOS : 1.1. Triển khai tấn công Slow Read Denial of Service attack : - Để sử dụng tool trên cần 1 máy tính chạy hệ điều hành Linux.  Ở đây em sử dụng Backtrack 5r1 có địa chỉ IP: 192.168.91.167 để thực hiện tấn công.  Còn máy bị tấn công là window xp có địa chỉ IP : 192.168.91.150 - Giải nén tools slowhttptest-1.4.tar.gz bằng lệnh : Bot cammad & control central Bots tấn công server Bots kết nối server & chờ lệnh tử server www.zing.vn 192.168.91.1 Attacker gửi lệnh, điều khiển bots thong qua server 4 Thiết lập điều khiển các botnet thong qua server Lây lan bot qua hệ thống khác và hình thành 1 mạng botnet Phát tán Trojan tạo mạng botnet 192.168.91.150 192.168.91.1 Tar –xzvf slowhttptest-1.4.tar.gz - sau khi giải nén - thực hiện cài đặt, biên dịch source code chương trình bằng các lệnh sau : [...]...- sử dụng wiresharke trên máy bị tấn công có IP : 192.168.91.150 để xem các gói tin mà máy tấn công thực hiện - Một gói tin được máy tấn công sử dụng để tấn công : Chúng ta phân tích gói tin sau đây để thấy các tham số mà máy tấn công đã sử dụng ở trên  Timestamp value : 231872  window scale : 3 - đây là ảnh kết thúc tấn công 2.2 tấn công Smurf - đâu tiên chúng ta cần... lephi và phải login với password là 123456 thì mới điều khiển được bot IV Nhận xét và giải pháp phòng chống : 1 ưu điểm của cuộc tấn công : - Đối với tấn công DOS dạng Slow Read Denial of Service attack thì đơn giản và ai cũng có khả năng thực hiện một cuộc tấn công này - Đối với tấn công DDOS thì việc tấn công rất hiệu quả và mạnh vì nó dựa vào số lượng botnet, nếu botnet càng đông thì cuộc tấn công. .. mạnh và server bị tấn công sẽ nhanh chóng ngừng hoạt động 2 Khuyết điểm : - - Đối với tấn công DOS dạng Slow Read Denial of Service attack để server ngừng hoạt động thì server đó cần sử dụng các dịch vụ apache bản 2.2 trở về trước Nên nếu server đã cập nhập bản cho lỗ hổng này thì cuộc tấn công trên sẽ bị vô hiệu hóa Và server bị tấn công sẽ hoạt động lại nếu cuộc tấn công kết thúc Đối với tấn công DDOS. .. lớn và việc tạo botnet thì không đơn giản vì các người dùng có thể sử dụng các chương trình diệt virus,Trojan …nên việc phát tán Trojan để tạo mạng botnet cũng khó khăn 3 Giải pháp phòng chống : - Đối với tấn công DOS thì lien tục cập nhập các bản vá lỗi mới nhất của các dịch vụ, phần mềm Tắt các dịch vụ không cần thiết khi hoạt động … Đối với tấn công DDOS thì việc ngăn chặn triệt để các cuộc tấn công. .. victim và dẫn đến việc quá tải trên máy của nạn nhân 2 .Tấn công DDOS : 2.1 điều khiển qua web - webserver có IP : 192.168.91.1 - máy bị dính bot có IP : 192.168.91.150 sử dụng hệ điều hành window xp sp3 - Đầu tiên kẻ tấn công cần thiết lập 1 webserver để điều khiển botnet - Máy bị tấn công : www.zing.vn - Sau đó attacker cần tạo mạng botnet, ở đây attacker có thể sử dụng phương thức đính kèm con bot vào... thể phòng chống các cuộc tấn công này bằng cách xây dựng các hệ thống như :  Ngưỡng giới hạn đáp ứng của server nếu vượt quá ngưỡng này thì server bị tấn công  Theo dõi nguồn IP : Sử dụng thuật toán để phân tích lưu lượng đến và đi trong khoảng thời gian để và từ đó đưa ra đánh giá xem IP đó có phải là 1 botnet không  Theo dõi lưu lượng đến và đi : phân tích lưu lượng đến và đi của server, số lượng... click vào chương trình IDM mà attacker đã đính kèm bot vào - Sau khi máy victim bị nhiễm con bot thì con bot sẽ thực hiện mở các kết nối về webserver để chờ lệnh Lúc này webserver sẽ xuất hiện con bot cho attacker điều khiển - Attacker dùng webserver này gửi 1 lệnh tấn công website: zing.vn (có ip là 120.138.69.70) cho các botnet - dưới đây là các gói tin của máy bot khi bị attacker gửi lệnh tấn công. .. biên dịch mã nguồn Smurf - sau khi biên dịch song ta chạy chương trình tấn công Smurf - với các tham số saddr: là địa chỉ IP nguồn mà chúng ta cần giả mạo trong trường hợp này là địa chỉ của victim - tham số daddr: là địa chỉ IP của hệ thống khuyết đại ví dụ như địa chỉ IP Broadcast của google hoặc yahoo Chương trình đang chạy và tấn công địa chỉ victim là 192.168.1.1 các máy trong miền sub IP 192.168.1.0/24... 1 chương trình hợp pháp mà người sử dụng hay dùng - Ở đây để đính kèm con bot vào 1 chương trình khác em sử dụng chương trình “ Senna Spy One EXE maker 2000” Con bot sẽ được đính kèm với chương trinh IDM Khi người dùng cài chương trình IDM thì con Bot cũng sẽ được tự động cài theo - khi chạy 1 chương trình thì bot này sẽ tự động cài đặt và chạy ẩn trong hệ thống Và đưới đây là hình ảnh con bot được... botnet - dưới đây là các gói tin của máy bot khi bị attacker gửi lệnh tấn công trang “zing.vn” 2.2 điều khiển qua kênh IRC - đầu tiên chúng ta mở một kênh IRC có tên là #lephi - tiếp theo chúng ta up lên web server đoạn code chứa thông tin kênh IRC Sau khi máy bị nhiễm bot được bật lên nó sẽ tự động kết nối đến kênh IRC này và chúng ta có thể kết nối đến kênh IRC #lephi để điều khiển bot - hình trên cho . tấn công : 3.1 Đối với tấn công DOS :. - Làm cho server bị crack hoặc bị treo 3.2 Đối với tấn tấn công DDOS : - Kết quả của cuộc tấn công này là attacker có thể điều khiển, ăn cắp các thống tin. bị nhiễm Trojan,bot … và bị hacker điều khiển.Số lượng zombie càng lớn thì cuộc tấn công càng mạng và nguy hiểm. III. Triển khai tấn công : 1. Tấn công DOS : 1.1. Triển khai tấn công Slow Read. về tấn công Slow Read Denial of Service attack là một loại tấn công DOS dựa vào lỗ hổng của dịch vụ http trên server bị tấn công. - Cuộc tấn công khai thác một lỗ hổng mà hầu như các máy chủ