An Toàn và Bảo Mật HTTT Tấn Công Từ Chối Dịch Vụ DoS (DoS Attack) Giảng viên hướng dẫn: Trương Hoài Phan Nhóm thực hiện: 13 Thành viên: Phạm Ngọc Hiệp K094061124 Nguyễn Đình Khởi K094061144 Phạm Phương Nam K094061162 Nguyễn Hữu Trình K094061208 Hồ Anh Vũ K094061221 Mục Lục 1 Mục Lục 1 I.Giới thiệu: 3 II.Các loại DoS Attack: 3 a.Winnuke: 3 b.Ping of Death: 4 c.Teardrop: 4 d.SYN attack: 5 e.Land Attack: 6 f.Smurf Attack: 7 g.UDP Flood: 8 h.Tấn công DNS: 8 2 I. Giới thiệu: • Tấn công từ chối dịch vụ DoS hay còn gọi là DoS attack (Denial Of Services Attack) là kiểu tấn công rất lợi hại, với loại tấn công này chỉ cần một máy tính kết nối Internet là đã có thể thực hiện việc tấn công được máy tính của đối phương. • Thực chất DoS attack là hacker sẽ chiếm dụng một lượng lớn tài nguyên trên server (tài nguyên đó có thể băng thông, bộ nhớ, cpu, đĩa cứng,…) làm cho server không thể nào đáp ứng các yêu cầu từ các máy của người khác (máy của những người dùng bình thường) và server có thể nhanh chóng bị ngừng hoạt động, crash hoặc reboot. II. Các loại DoS Attack: a. Winnuke:  DoS attack loại này chỉ có thể áp dụng cho các máy tính đang chạy Windows9x. Hacker sẽ gởi các gói tin với dữ liệu “Out of Band” đến cổng 139 của máy tính đích. (Cổng 139 chính là cổng NetBIOS, cổng này chỉ chấp nhận các gói tin có cờ Out of Band được bật). Khi máy tính của victim nhận được gói tin này, một màn hình xanh thông báo lỗi sẽ được hiển thị lên với nạn nhân do chương trình của Windows nhận được các gói tin này nhưng nó lại không biết phản ứng với các dữ liệu Out of Band như thế nào dẫn đến hệ thống sẽ bị crash. Hình 1: Gói tin TCP Header được Hacker sử dụng 3 b. Ping of Death:  Hacker gửi những gói tin IP lớn hơn số lượng bytes cho phép của tin IP là 65.536 bytes.  Một gói tin như vậy khi được gửi đi thì sẽ bị chia nhỏ ra thành các segment nhỏ hơn, nhưng khi máy đích ráp lại, host đích nhận thấy rằng là gói tin quá lớn đối với đối với buffer bên nhận. Kết quả là hệ thống không thể quản lý nổi tình trạng bất thường này và sẽ reboot hoặc bị treo. Hình 2: Mô hình tấn công Ping Of Death c. Teardrop:  Tất cả các dữ liệu chuyển đi trên mạng từ hệ thống nguồn đến hệ thống đích đều phải trải qua 2 quá trình: dữ liệu được chia ra thành các mảnh nhỏ ở hệ thống nguồn, mỗi mảnh đều phải có giá trị offset nhất định để xác định vị trí của mảnh đó trong gói dữ liệu được chuyển đi. Khi các mảnh này đến hệ thống đích, hệ thống đích sẽ dựa vào giá trị offset để sắp xếp các mảnh lại với nhau theo thứ tự đúng như ban đầu. Lợi dụng sơ hở đó, hacker chỉ cần gửi đến hệ thống đích một loạt gói packets với giá trị offset chồng chéo lên nhau. Hệ thống đích sẽ không thể nào sắp xếp lại các packets này, nó không điều khiển được và có thể bị crash, reboot hoặc ngừng hoạt động nếu số lượng gói packets với giá trị offset chống chéo lên nhau quá lớn. 4 Hình 3: Cơ chế tấn công bằng Teardrop d. SYN attack:  Kẻ tấn công gửi các yêu cầu (request ảo) TCP SYN tới máy chủ bị tấn công. Để xử lý lượng gói tin SYN này hệ thống cần tốn một lượng bộ nhớ cho kết nối.  Khi có rất nhiều gói SYN ảo tới máy chủ và chiếm hết các yêu cầu xử lý của máy chủ. Một người dùng bình thường kết nối tới máy chủ ban đầu thực hiện request TCP SYN và lúc này máy chủ không còn khả năng đáp lại – kết nối không được thực hiện.  Đây là kiểu tấn công mà kẻ tấn công lợi dụng quá trình giao tiếp của TCP (three-way handshake).  Các đoạn mã nguy hiểm có khả năng sinh ra một số lượng cực lớn các gói TCP SYN tới máy chủ bị tấn công, đia chỉ IP nguồn của gói tin đã bị thay đổi và đó chính là tấn công DoS.  Hacker lợi dụng kẽ hở này để thực hiện hành vi tấn công nhằm sử dụng hết tài nguyên của hệ thống bằng cách giảm thời gian yêu cầu Three-way handshake xuống rất nhỏ và không gửi lại gói ACK, cứ bắn gói SYN ra liên tục trong một thời gian nhất định và không bao giờ trả lời lại gói SYN & ACK từ máy bị tấn công. 5 Hình 4: Mô hình tấn công bằng SYN Flood Attack e. Land Attack:  Land Attack cũng gần giống như SYN Attack, nhưng thay vì dùng các đia chỉ ip không có thực, hacker sẽ dùng chính địa chỉ ip của hệ thống nạn nhân. Điều này sẽ tạo nên một vòng lặp vô tận giữa trong chính hệ thống nạn nhân đó, giữa một bên cần nhận thông tin phản hồi còn một bên thì chẳng bao giờ gởi thông tin phản hồi đó đi cả. Hình 5: Mô hình tấn công bằng Land Attack 6 f. Smurf Attack:  Hai nhân tố chính trong Smurf Attack là các ICMP echo request packets và chuyển trực tiếp các packets đến các địa chỉ broadcast. o Giao thức ICMP thường dùng để xác định một máy tính trên mạng Internet có còn hoạt động (alive) hay không. o Mỗi mạng máy tính đều có địa chỉ broadcast và địa chỉ mạng.  Trong Smurf Attack, cần có 3 thành phần: hacker (người hạ lệnh tấn công), mạng khuếch đại (sẽ nghe lệnh của hacker) và hệ thống của nạn nhân. Hacker sẽ gởi các gói tin ICMP đến địa chỉ broadcast của mạng khuếch đại. Điều đặc biệt là các gói tin ICMP packets này có địa chỉ ip nguồn chính là địa chỉ ip của nạn nhân. Khi các packets đó đến được địa chỉ broadcast của mạng khuếch đại, các máy tính trong mạng khuếch đại sẽ đồng loạt gửi trả lại hệ thống nạn nhân các gói tin phản hồi ICMP packets. Hệ thống máy nạn nhân sẽ không chịu nổi một khối lượng khổng lồ các gói tin này và nhanh chóng bị ngừng hoạt động, crash hoặc reboot. Như vậy chỉ cần gửi một lượng nhỏ các gói tin ICMP đi thì hệ thống mạng khuếch đại sẽ khuếch đại lượng gói tin ICMP packets này lên gấp bội. Tỉ lệ khuếch đại phụ thuộc vào số máy tính có trong mạng khuếch đại. Nhiệm vụ của các hacker là cố chiếm được càng nhiều hệ thống mạng hoặc routers cho phép chuyển trực tiếp các gói tin đến địa chỉ broadcast không qua chỗ lọc địa chỉ nguồn ở các đầu ra của gói tin. Có được các hệ thống này, hacker sẽ dễ dàng tiến hàng Smurf Attack trên các hệ thống cần tấn công. Hình 6: Mô hình tấn công Smurf Attack 7 g. UDP Flood:  Hacker thực hiện bằng cách gửi 1 số lượng lớn các gói tin UDP có kích thước lớn đến hệ thống mạng, khi hệ thống mạng bị tấn công UDP Flood sẽ bị quá tải và chiếm hết băng thông của đường truyền, vì thế nó gây ra những ảnh hưởng rất lớn đến đường truyền, tốc độ của mạng, gây khó khăn cho người dùng khi truy cập vào mạng này.  UDP Flood cần có ít nhất 2 hệ thống máy tham gia. Hackers tự làm hệ thống của mình đi vào một vòng lặp trao đổi các dữ liệu qua giao thức UDP bằng việc giả mạo địa chỉ IP của gói tin là địa chỉ loopback và gởi gói tin đến máy của victim thông qua cổng UDP echo (7). Máy của victim sẽ request các gói tin do 127.0.0.1 (chính nó) gửi đến, kết quả là nó sẽ đi vòng một vòng lặp vô tận. Nhưng đó là con dao 2 lưỡi vì hiện nay có rất nhiều hệ thống cấm sử dụng địa chỉ loopback nên khi Hacker thực hiện tấn công này thì sẽ rơi vào vòng lặp do chính mình tạo ra. Hình 7: Mô hình tấn công bằng UDP Flood h. Tấn công DNS:  Đầu tiên, Hacker tấn công vào DNS server bằng các phương pháp khai thác lỗ hổng hoặc lợi dụng sự kém bảo mật của hệ thống. Sau đó, hacker có thể đổi đường dẫn vào Domain Name Server của hệ thống nạn nhân nhằm làm cho DNS của hệ thống phân giải đến một Fake Website của hacker. Khi máy khách yêu cầu DNS phân tích địa chỉ bị xâm nhập thành địa chỉ IP, lập tức DNS (đã bị hacker thay đổi cache tạm thời) sẽ đổi thành địa chỉ IP mà hacker đã cho chỉ 8 đến đó. Kết quả là thay vì phải vào trang Web muốn vào thì các nạn nhân sẽ vào trang Web do chính hacker tạo ra. Hình 8: Mô hình tấn công DNS III. Các công cụ tấn công DoS - Jolt2 - Bubonic.c - Land and LaTierra - Targa - Blast20 - Nemesy - Panther2 - Crazy Pinger - Some Trouble - UDP Flood - FSMax 1. Tools DoS – Jolt2 9 - Cho phép kẻ tấn từ chối dịch vụ (DoS) lên các hệ thống trên nền tảng Windows - Nó là nguyên nhân khiên máy chủ bị tấn công có CPU luôn hoạt động ở mức độ 100%, CPU không thể xử lý các dịch vụ khác. - Không phải trên nền tảng Windows như Cisco Router và một số loại Router khác cũng có thể bị lỗ hổng bảo mật này và bị tools này tấn công. 2. Tools DoS: Bubonic.c - Bubonic.c là một tools DoS dựa vào các lỗ hổng bảo mật trên Windows 2000 - Nó hoạt động bằng cách ngẫu nhiên gửi các gói tin TCP với các thiết lập ngẫu nhiên làm cho máy chủ tốn rất nhiều tài nguyên để xử lý vấn đề này, và từ đó sẽ xuất hiện những lỗ hổng bảo mật. - Sử dụng bubonic.c bằng cách gõ câu lệnh: bubonic 12.23.23.2 10.0.0.1 100 10 [...]... "url/ HTTP/1.0" /nr /dr /v 11 - Tấn công máy chủ POP + Blast 192.168.1.219 110 15 20 /b "user te" /e "d" /v 6 Tools DoS – Nemesys - Đây là một chương trình sinh ra những gói tin ngẫu nhiên như (protocol, port, etc size, …) - Dựa vào chương trình này kẻ tấn công có thể chạy các đoạn mã nguy hiểm vào máy tính không được bảo mật 7 Tool DoS – Panther2 12 - Tấn công từ chối dịch vụ dựa trên nền tảng UDP Attack... nguồn và địa chỉ IP đích của gói tin giống nhau và gói tin không thể đi đến đích cần đến 4 Tools DoS: Targa - Targa là một chương chình có thể sử dụng 8 dạng tấn công DoS khác nhau - Nó được coi như một bộ hướng dẫn tích hợp toàn bộ các ảnh hưởng của DoS và thường là các phiên bản của Rootkit - Kẻ tấn công sử dụng một trong các phương thức tấn công cụ thể tới một hệ thống bao giờ đạt được mục đích thì... Kbps - Nó có khả năng chiếm toàn bộ băng thông của kết nối này - Nó có khả năng chiếm băng thông mạng bằng nhiều phương pháp ví như thực hiện quá trình Ping cực nhanh và có thể gây ra tấn công DoS 8 Tool DoS – Crazy Pinger - Công cụ này có khả năng gửi những gói ICPM lớn tới một hệ thống mạng từ xa 9 Tool DoS – Some Trouble 13 - SomeTrouble 1.0 là một chương trình gây nghẽn hệ thống mạng - SomeTrouble... là một chương trình đầy sức mạnh và nó có khả năng tạo ra một sự nguy hiểm rất lớn cho hệ thống mạng của một công ty 5 Tools DoS Blast 2.0 - Blast rất nhỏ, là một công cụ dùng để kiểm tra khả năng của dịch vụ TCP nó có khả năng tạo ra một lưu lượng rất lớn gói TCP và có thể sẽ gay nguy hiểm cho một hệ thống mạng với các server yếu - Dưới đây là cách sử dụng để tấn công HTTP Server sử dụng Blast2.0...3 Tools DoS: Land and LaTierra - Giả mạo địa chỉ IP được kết hợp với quá trình mở các kết nối giữa hai máy tính - Cả hai địa chỉ IP, địa chỉ nguồn (source) và địa chỉ IP đích, được chỉnh sửa thành một địa chỉ của IP đích khi đó kết nối giữa máy A và máy B đang được thực hiện nếu có tấn công này xảy ra thì kết nối giữa hai máy A và B sẽ bị ngắt kết nối - Kết quả này do địa chỉ IP nguồn và địa chỉ... mail có) + ICQ Bomb + Net Send Flood 10 DoS Tools – UDP Flood 14 - UDPFlood là một chương trình gửi các gói tin UDP - Nó gửi ra ngoài những gói tin UDP tới một địac hỉ IP và port không cố định - Gói tin có khả năng là một đoạn mã văn bản hay một số lượng dữ liệu được sinh ngẫu nhiên hay từ một file - Được sử dụng để kiểm tra khả năng đáp ững của Server 11 Tools DoS – FSMAX 15 - Kiểm tra hiệu năng đáp... 11 Tools DoS – FSMAX 15 - Kiểm tra hiệu năng đáp ứng của máy chủ - Nó tạo ra một file sau đó chạy trên Server nhiều lần lặp đi lặp lại một lúc - Tác dụng của tools này là tìm cách tấn công làm chàn bộ nhớ đệm và tấn công DoS tới máy chủ 16 . An Toàn và Bảo Mật HTTT Tấn Công Từ Chối Dịch Vụ DoS (DoS Attack) Giảng viên hướng dẫn: Trương Hoài Phan Nhóm thực hiện: 13 Thành viên: Phạm Ngọc Hiệp. 7 g.UDP Flood: 8 h .Tấn công DNS: 8 2 I. Giới thiệu: • Tấn công từ chối dịch vụ DoS hay còn gọi là DoS attack (Denial Of Services Attack) là kiểu tấn công rất lợi hại, với loại tấn công này chỉ cần. etc. size, …) - Dựa vào chương trình này kẻ tấn công có thể chạy các đoạn mã nguy hiểm vào máy tính không được bảo mật. 7. Tool DoS – Panther2. 12 - Tấn công từ chối dịch vụ dựa trên nền tảng