Tổng quan DoS - DDoS - DRDoS >> KSEC CLUB << Nội dung TRÌNH BÀY • Phần 1: Tổng quan về DoS - Denial of Service • Phần 2: Tổng quan về DDoS - Distributed Denial of Service • Phần 3: Tổng quan về DRDoS - Distributed Reflection Denial of Service Phần 1: Tổng quan về DoS 1. Mục tiêu - mục đích - khái niệm - nhận diện 2. Các dạng tấn công DoS a. Smuff và Fraggle b. Tấn công Buffer overflow c. Tấn công Ping of Death d. Tấn công Teardrop e. Tấn công SYN f. Slowloris HTTP DoS g. Slow read HTTP DoS 1. Mục tiêu - mục đích - khái niệm - nhận diện • Cố gắng chiếm băng thông mạng và làm hệ thống mạng bị ngập (flood), khi đó hệ thống mạng sẽ không có khả năng đáp ứng những dịch vụ khác cho người dùng bình thường. • Cố gắng làm ngắt kết nối giữa hai máy, và ngăn chặn quá trình truy cập vào dịch vụ. • Cố gắng ngăn chặn những người dùng cụ thể vào một dịch vụ nào đó • Cố gắng ngăn chặn các dịch vụ không cho người khác có khả năng truy cập vào. a. Mục Tiêu 1. Mục tiêu - mục đích - khái niệm - nhận diện • Mục tiêu các cuộc tấn công thường vào các trang web lớn và các tổ chức thương mại điện tử trên Internet. b. Mục Đích 1. Mục tiêu - mục đích - khái niệm - nhận diện • Là kiểu tấn công từ một cá thể, hay tập hợp các cá thể. • Là một kiểu tấn công mà một người làm cho một hệ thống không thể sử dụng, hoặc làm cho hệ thống đó chậm đi một cách đáng kể với người dùng bình thường, bằng cách làm quá tải tài nguyên của hệ thống. • DoS không có khả năng truy cập vào dữ liệu thực của hệ thống nhưng nó có thể làm gián đoạn các dịch vụ mà hệ thống đó cung cấp. c. Khái Niệm 1. Mục tiêu - mục đích - khái niệm - nhận diện • Mạng thực thi chậm khác thường khi mở tập tin hay truy cập Website. • Không thể dùng một website cụ thể. • Không thể truy cập bất kỳ website nào. • Tăng lượng thư rác nhận được. d. Nhận Diện 2. Các dạng tấn công DoS • Là thủ phạm sinh ra cực nhiều giao tiếp ICMP (ping) tới địa chỉ Broadcast của nhiều mạng với địa chỉ nguồn là mục tiêu cần tấn công. • Chúng ta cần lưu ý là: Khi ping tới một địa chỉ là quá trình hai chiều – Khi máy A ping tới máy B máy B reply lại hoàn tất quá trình. Khi tôi ping tới địa chỉ Broadcast của mạng nào đó thì toàn bộ các máy tính trong mạng đó sẽ Reply lại tôi. Nhưng giờ tôi thay đổi địa chỉ nguồn, thay địa chỉ nguồn là máy C và tôi ping tới địa chỉ Broadcast của một mạng nào đó, thì toàn bộ các máy tính trong mạng đó sẽ reply lại vào máy C chứ không phải tôi và đó là tấn công Smurf. • Kết quả đích tấn công sẽ phải chịu nhận một đợt Reply gói ICMP cực lớn và làm cho mạng bị dớt hoặc bị chậm lại không có khả năng đáp ứng các dịch vụ khác. • Quá trình này được khuyếch đại khi có luồng ping reply từ một mạng được kết nối với nhau (mạng BOT). • Tấn công Fraggle, chúng sử dụng UDP echo và tương tự như tấn công Smurf. a. Smuff và Fraggle (1) 2. Các dạng tấn công DoS a. Smuff và Fraggle (2) 2. Các dạng tấn công DoS • Buffer Overflow xảy ra tại bất kỳ thời điểm nào có chương trình ghi lượng thông tin lớn hơn dung lượng của bộ nhớ đệm trong bộ nhớ. • Kẻ tấn công có thể ghi đè lên dữ liệu và điều khiển chạy các chương trình và đánh cắp quyền điều khiển của một số chương trình nhằm thực thi các đoạn mã nguy hiểm. • Quá trình gửi một bức thư điện tử mà file đính kèm dài quá 256 ký tự có thể sẽ xảy ra quá trình tràn bộ nhớ đệm. b. Tấn công Buffer overflow [...]... các packet có cấu trúc không đúng chuẩn nhằm làm cho hệ thống của nạn nhân bị treo Phần 3: Tổng quan về DRDoS 1 2 3 4 Giới thiệu Lợi dụng TCP: phương pháp SYN flood truyền thống Sự phát triển của cách tấn công bằng Bandwidth DRDoS – Thế hệ tiếp theo của DDoS 1 Giới thiệu • • • Vào lúc 2 giờ sáng ngày 11 - 1 - 2002, Trang web GRC.COM đã b ị đánh tung khỏi Internet b ằng m ột kiểu t ấn công t ừ chối... • • • • • • • • • Tấn công Distributed Denial-of-Service - DDoS Spamming Sniffing traffic Keylogging Cài đặt và lây nhiễm chương trình độc hại Cài đặt những quảng cáo Popup Google Adsense abuse Tấn công vào IRC Chat Networks Phishing 5 Các dạng của mạng BOT • • • • • AgoBOT/PhatBOT/ForBOT/XtremBOT - Đây là những BOT được viết bằng C++ trên nền t ảng Cross-platform và mã ngu ồn được tìm trên GPL AgoBOT... Có thể phòng chống với nginx, apache mod_antiloris 2 Các dạng tấn công DoS g Slow read HTTP DoS • Tấn công vào tầng ứng dụng của bộ giao thức TCP, cụ thể là body (windows size) c ủa giao th ức HTTP trong vi ệc nh ận response • Tốc độ tấn công chậm, yêu cầu tài nguyên không cao nhưng cực kì khó chống đ ỡ Phần 2: Tổng quan về DDoS 1 2 3 4 5 6 7 Ý nghĩa của mạng BOT Mạng BOT Mạng BOTNET Mục đích sử... 400.000 máy chủ và cùng một lúc ra l ệnh cho chúng download m ột file trên trang web c ủa bạn Và đó chính là DDoS – Distributed Denial of Servcie Không có một phương thức chống tấn công DDoS một cách hoàn toàn nh ưng trong bài vi ết này tôi cũng gi ới thi ệu v ới các b ạn những phương pháp phòng chống DDoS khi chúng ta đã hiểu về nó 2 Mạng BOT • • • • • • BOT từ viết tắt của từ RoBOT IRCBOT – còn được gọi... quay l ại internet, 1 072 519 399 packet b ị ch ặn đ ứng trước khi cuộc tấn công bị dừng Đây chính là những thông tin được Steve Gibson mô t ả trong bài báo v ề DRDoS mà ông đã g ặp ngày 1 1-1 -2 002 và bây gi ờ chúng ta sẽ tìm hiểu xem DRDoS là gì và cách tấn công như th ế nào ... năng đáp l ại - k ết n ối không đ ược th ực hiện Đây là kiểu tấn công mà kẻ tấn công lợi dụng quá trình giao ti ếp của TCP theo – Three-way Các đoạn mã nguy hiểm có khả năng sinh ra một số l ượng cực l ớn các gói TCP SYN t ới máy chủ b ị t ấn công, đ ịa ch ỉ IP ngu ồn của gói tin đã bị thay đổi và đó chính là tấn công DoS 2 Các dạng tấn công DoS e Tấn công SYN (2) • • • Quá trình TCP Three-way handshake... điều khiển các máy trong mạng AgoBOT download những file exe về chạy trên máy Lấy toàn bộ thông tin liên quan và cần thiết trên hệ thống mà k ẻ t ấn công muốn Chạy những file khác trên hệ thống đáp ứng yêu cầu của kẻ t ấn công Chạy những chương trình DDoS tấn công hệ thống khác 7 Phân loại tấn công DDoS • • 7.1 Bandwith Depletion Attack 7.2 Resource Depletion Attack 7.1 Bandwith Depletion Attack (1)... mạng BOT Mạng BOT Mạng BOTNET Mục đích sử dụng mạng BOTNET Các dạng của mạng BOT Xây dựng và phát triển mạng BOTNET Phân loại tấn công DDoS 1 Ý nghĩa của mạng BOT (1) • • • Khi sử dụng một Tool tấn công DoS tới một máy chủ đôi khi không gây ảnh hưởng gì cho máy chủ - Gi ả s ử b ạn s ử d ụng tool Ping of Death tới một máy chủ, trong đó máy chủ kết nối với m ạng t ốc đ ộ 100Mbps b ạn k ết n ối t ới máy... SDBOT/RBOT/UrBOT/UrXBOT SDBOT được viết bằng ngồn ngữ C và cũng được public bởi GPL Nó đ ươc coi nh ư là ti ền thân c ủa RBOT, RxBOT, UrBOT, UrXBOT, JrBOT mIRC-Based BOTs – GT-BOTs GT được viết tắt tư fhai từ Global Threat và tên thường được s ử d ụng cho t ất c ả các mIRC-scripted BOTs Nó có kh ả năng s ử dụng phần mềm IM là mIRC để thiết lập một số script và một số đoạn mã khác 6 Xây dựng và phát triển mạng BOTNET... SYN&ACK t ừ máy b ị t ấn công 2 Các dạng tấn công DoS e Tấn công SYN (3) • Hình dưới thể hiện các giao tiếp bình thường với máy chủ và bên dưới thế hiện khi máy chủ b ị t ấn công gói SYN đ ến s ẽ r ất nhiều trong khi đó khả năng trả lời của máy chủ l ại có hạn và khi đó máy chủ sẽ t ừ ch ối các truy c ập h ợp pháp 2 Các dạng tấn công DoS f Slowloris HTTP DoS • • • Tấn công vào tầng ứng dụng của bộ giao . Tổng quan DoS - DDoS - DRDoS >> KSEC CLUB << Nội dung TRÌNH BÀY • Phần 1: Tổng quan về DoS - Denial of Service • Phần 2: Tổng quan về DDoS - Distributed Denial. Service • Phần 3: Tổng quan về DRDoS - Distributed Reflection Denial of Service Phần 1: Tổng quan về DoS 1. Mục tiêu - mục đích - khái niệm - nhận diện 2. Các dạng tấn công DoS a. Smuff và Fraggle b. Tấn. tiêu - mục đích - khái niệm - nhận diện • Mục tiêu các cuộc tấn công thường vào các trang web lớn và các tổ chức thương mại điện tử trên Internet. b. Mục Đích 1. Mục tiêu - mục đích - khái niệm -