Đang tải... (xem toàn văn)
Tấn công DoS là kiểu tấn công mà một người làm cho một hệ thống không thể sử dụng, hoặc làm cho hệ thống đó chậm đi một cách đáng kể với người dùng bình thường, bằng cách làm quá tải tài nguyên của hệ thống.Nếu kẻ tấn công không có khả năng thâm nhập được vào hệ thống, thì chúng cố gắng tìm cách làm cho hệ thống đó sụp đổ và không có khả năng phục vụ người dùng bình thường đó là tấn công Denial of Service (DoS).Mặc dù tấn công DoS không có khả năng truy cập vào dữ liệu thực của hệ thống nhưng nó có thể làm giám đoạn các dịch vụ mà hệ thống đó cung cấp. Như định nghĩa trên DoS khi tấn công vào một hệ thống mạng sẽ khai thác những cái yếu nhất của hệ thống để tấn công, những mục đích của tấn công DoS
Chương TỔNG QUAN VỀ TẤN CÔNG TỪ CHỐI DỊCH VỤ DOS 1.1 Khái niệm Tấn công DoS kiểu công mà người làm cho hệ thống khơng thể sử dụng, làm cho hệ thống chậm cách đáng kể với người dùng bình thường, cách làm tải tài nguyên hệ thống Nếu kẻ cơng khơng có khả thâm nhập vào hệ thống, chúng cố gắng tìm cách làm cho hệ thống sụp đổ khơng có khả phục vụ người dùng bình thường công Denial of Service (DoS) Mặc dù cơng DoS khơng có khả truy cập vào liệu thực hệ thống làm giám đoạn dịch vụ mà hệ thống cung cấp Như định nghĩa DoS công vào hệ thống mạng khai thác yếu hệ thống để cơng, mục đích cơng DoS 1.2 Các mục đích công DoS - Cố gắng chiếm băng thông mạng làm hệ thống mạng bị ngập (flood), hệ thống khơng có khả đáp ứng dịch vụ khác cho người dùng bình thường - Cố gắng làm ngắt kết nối máy, ngăn chặn trình truy nhập vào dịch vụ - Cố gắng ngăn chặn người dùng cụ thể vào dịch vụ - Khi cơng DoS xảy ra, người dùng có cảm giác truy cập vào dịch vụ bị: + Disable Network - Tắt mạng + Disable Organization - Tổ chức không hoạt động + Financial Loss - Tài bị 1.3 Mục tiêu mà kẻ công thường sử dụng công DoS Tấn công DoS xảy kẻ công sử dụng hết tài nguyên hệ thống đáp ứng cho người dùng bình thường tài nguyên chúng thường sử dụng để công : - Tạo khan hiếm, giới hạn không đổi tài nguyên - Băng thông hệ thống mạng (Network Bandwidth), nhớ, ổ đĩa, CPU Time hay cấu trúc liệu mục tiêu công DoS - Tấn công vào hệ thống khác phục vụ cho mạng máy tính như: hệ thống điều hòa, hệ thống điện, hệ thống làm mát nhiều tài nguyên khác doanh nghiệp - Phá hoại thay đổi thơng tin cấu hình - Phá hoại tầng vật lý thiết bị mạng nguồn điện, điều hòa… Chương KỸ THUẬT DOS Tấn công Denial of Service chia làm hai loại công: - Tấn công DoS: Tấn công từ cá thể, hay tập hợp cá thể - Tấn công DDoS: Đây công từ mạng máy tính thiết kế để cơng tới đích cụ thể 2.1 Một số dạng công DoS 2.1.1 Winnuke Tấn công DoS loại áp dụng cho máy tính chạy Windows9x Hacker gửi gói tin với liệu “Out of Band” đến cổng 139 máy tính đích (Cổng 139 cổng NetBIOS, cổng chấp nhận gói tin có cờ Out of Band bật) Khi máy tính victim nhận gói tin này, hình xanh báo lỗi hiển thị lên với nạn nhân chương trình Windows nhận gói tin lại khơng biết phản ứng với liệu Out of Band dẫn đến hệ thống bị crash 2.1.2 Tấn công Smurf Là thủ phạm sinh cực nhiều giao tiếp ICMP (ping) tới địa Broadcast nhiều mạng với địa nguồn mục tiêu cần công Khi ping tới địa trình hai chiều – Khi máy A ping tới máy B máy B reply lại hồn tất q trình Khi ping tới địa Broadcast mạng tồn máy tính mạng Reply lại Nhưng thay đổi địa nguồn, thay địa nguồn máy C ping tới địa Broadcast mạng đó, tồn máy tính mạng reply lại vào máy C cơng Smurf Kết đích cơng phải chịu nhận đợt Reply gói ICMP cực lớn làm cho mạng bị dớt bị chậm lại khơng có khả đáp ứng dịch vụ khác Quá trình khuyếch đại có luồng ping reply từ mạng kết nối với (mạng BOT) Tấn công Fraggle, chúng sử dụng UDP echo tương tự công Smurf Hình 2.1.2.1 Tấn cơng Smurf sử dụng gói ICMP làm ngập giao tiếp khác 2.1.3 Tấn công Buffer overflow Buffer Overflow xảy thời điểm có chương trình ghi lượng thơng tin lớn dung lượng nhớ đệm nhớ Kẻ cơng ghi đè lên liệu điều khiển chạy chương trình đánh cắp quyền điều khiển số chương trình nhằm thực thi đoạn mã nguy hiểm Quá trình gửi thư điện tử mà file đính kèm dài 256 ký tự xảy q trình tràn nhớ đệm 2.1.4 Tấn công Ping of Death Kẻ cơng gửi gói tin IP lớn số lương bytes cho phép tin IP 65.536 bytes Q trình chia nhỏ gói tin IP thành phần nhỏ thực layer II Quá trình chia nhỏ thực với gói IP lớn 65.536 bytes Nhưng hệ điều hành nhận biết độ lớn gói tin bị khởi động lại, hay đơn giản bị gián đoạn giao tiếp Để nhận biết kẻ công gửi gói tin lớn gói tin cho phép tương đối dễ dàng 2.1.5 Tấn cơng Teardrop Gói tin IP lớn đến Router bị chia nhỏ làm nhiều phần nhỏ Kẻ công sử dụng sử dụng gói IP với thơng số khó hiểu để chia phần nhỏ (fragment) Nếu hệ điều hành nhận gói tin chia nhỏ khơng hiểu được, hệ thống cố gắng build lại gói tin điều chiếm phần tài nguyên hệ thống, q trình liên tục xảy hệ thống khơng tài ngun cho ứng dụng khác, phục vụ user khác 2.1.6 Tấn công SYN Kẻ công gửi yêu cầu (request ảo) TCP SYN tới máy chủ bị công Để xử lý lượng gói tin SYN hệ thống cần tốn lượng nhớ cho kết nối Khi có nhiều gói SYN ảo tới máy chủ chiếm hết yêu cầu xử lý máy chủ Một người dùng bình thường kết nối tới máy chủ ban đầu thực Request TCP SYN lúc máy chủ khơng khả đáp lại - kết nối không thực Đây kiểu công mà kẻ công lợi dụng trình giao tiếp TCP theo - Three-way Các đoạn mã nguy hiểm có khả sinh số lượng cực lớn gói TCP SYN tới máy chủ bị công, địa IP nguồn gói tin bị thay đổi Hình thể giao tiếp bình thường với máy chủ bên máy chủ bị công gói SYN đến nhiều khả trả lời máy chủ lại có hạn máy chủ từ chối truy cập hợp pháp Quá trình TCP Three-way handshake thực hiện: Khi máy A muốn giao tiếp với máy B (1) máy A bắn gói TCP SYN tới máy B – (2) máy B nhận gói SYN từ A gửi lại máy A gói ACK đồng ý kết nối – (3) máy A gửi lại máy B gói ACK bắt đầu giao tiếp liệu Máy A máy B kết nối 75 giây, sau lại thực trình TCP Three-way handshake lần để thực phiên kết nối để trao đổi liệu Kẻ công lợi dụng kẽ hở để thực hành vi công nhằm sử dụng hết tài nguyên hệ thống cách giảm thời gian yêu cầu Three-way handshake xuống nhỏ khơng gửi lại gói ACK, bắn gói SYN liên tục thời gian định không trả lời lại gói SYN&ACK từ máy bị cơng Với ngun tắc chấp nhận gói SYN từ máy tới hệ thống sau 75 giây địa IP vi phạm chuyển vào Rule deny access ngăn cản cơng Hình 2.1.6.2 Mơ hình bắt tay ba bước 2.1.7 Land Attack Land Attack gần giống SYN Attack, thay dùng địa IP khơng có thực, hacker dùng địa IP hệ thống nạn nhân Điều tạo nên vòng lặp vơ tận hệ thống nạn nhân đó, bên cần nhận thơng tin phản hồi bên chẳng gửi thơng tin phản hồi 2.2 Các công cụ công DoS 2.2.1 Tools DoS - Jolt2 - Cho phép kẻ từ chối dịch vụ (DoS) lên hệ thống tảng Windows - Nó nguyên nhân khiên máy chủ bị cơng có CPU ln hoạt động mức độ 100%, CPU xử lý dịch vụ khác - Không phải tảng Windows Cisco Router số loại Router khác bị lỗ hổng bảo mật bị tools cơng Hình 2.2.1.3 Tools DoS - Jolt2 2.2.2 Tools DoS: Bubonic.c - Bubonic.c tools DoS dựa vào lỗ hổng bảo mật Windows 2000 - Nó hoạt động cách ngẫu nhiên gửi gói tin TCP với thiết lập ngẫu nhiên làm cho máy chủ tốn nhiều tài nguyên để xử lý vấn đề này, từ xuất lỗ hổng bảo mật - Sử dụng bubonic.c cách gõ câu lệnh: bubonic 12.23.23.2 10.0.0.1 100 Hình 2.2.2.4 Tool DoS: Bubonic.c 2.2.3 Tools DoS: Land and LaTierra - Giả mạo địa IP kết hợp với trình mở kết nối hai máy tính - Cả hai địa IP, địa nguồn (source) địa IP đích, chỉnh sửa thành địa IP đích kết nối máy A máy B thực có cơng xảy kết nối hai máy A B bị ngắt kết nối - Kết địa IP nguồn địa IP đích gói tin giống gói tin khơng thể đến đích cần đến 2.2.4 Tools DoS: Targa - Targa chương chình sử dụng dạng cơng DoS khác - Nó coi hướng dẫn tích hợp tồn ảnh hưởng DoS thường phiên Rootkit - Kẻ công sử dụng phương thức công cụ thể tới hệ thống đạt mục đích thơi - Targa chương trình đầy sức mạnh có khả tạo nguy hiểm lớn cho hệ thống mạng công ty 2.2.5 Tools DoS Blast 2.0 - Blast nhỏ, công cụ dùng để kiểm tra khả dịch vụ TCP có khả tạo lưu lượng lớn gói TCP gay nguy hiểm cho hệ thống mạng với server yếu - Dưới cách sử dụng để công HTTP Server sử dụng Blast2.0 + Blast 192.168.1.219 80 40 50 /b "GET /some" /e "url/ HTTP/1.0" /nr /dr /v - Tấn công máy chủ POP + Blast 192.168.1.219 110 15 20 /b "user te" /e "d" /v 2.2.6 Tools DoS – Nemesys Hình 2.2.6.5 Tools DoS – Nemesys - Đâylà chương trình sinh gói tin ngẫu nhiên (protocol, port, ect.size,…) - Dựa vào chương trình kẻ cơng chạy đoạn mã nguy hiểm vào máy tính khơng bảo mật 2.2.7 Tool DoS – Panther2 Hình 2.2.7.6 Tool DoS – Panther2 - Tấn công từ chối dịch vụ dựa tảng UDP Attack thiết kế dành riêng cho kết nối 28.8 – 56 Kbps - Nó có khả chiếm tồn băng thơng kết nối - Nó có khả chiếm băng thơng mạng nhiều phương pháp ví thực q trình Ping cực nhanh gây công DoS 2.2.8 Tool DoS – Crazy Pinger Hình 2.2.8.7 Tool DoS - Crazy Pinger Cơng cụ có khả gửi gói ICPM lớn tới hệ thống mạng từ xa 2.2.9 Tool DoS - Some Trouble Hình 2.2.9.8 Tool DoS - Some Trouble 10 - SomeTrouble 1.0 chương trình gây nghẽn hệ thống mạng - SomeTrouble chương trình đơn giản với ba thành phần + Mail Bomb (tự có khả Resole Name với địa mail có) + ICQ Bomb + Net Send Flood 2.2.10 DoS Tools - UDP Flood Hình 2.2.10.9 DoS Tools - UDP Flood - UDPFlood chương trình gửi gói tin UDP - Nó gửi ngồi gói tin UDP tới địa IP port khơng cố định - Gói tin có khả đoạn mã văn hay số lượng liệu sinh ngẫu nhiên hay từ file - Được sử dụng để kiểm tra khả đáp ứng Server 11 2.2.11 Tools DoS - FSMAX Hình 2.2.11.10 Tools DoS – FSMAX - Kiểm tra hiệu đáp ứng máy chủ - Nó tạo file sau chạy Server nhiều lần lặp lặp lại lúc - Tác dụng tools tìm cách cơng làm tràn nhớ đệm công DoS tới máy chủ 2.3 Cách thức phòng chống DoS làm tiêu tốn nhiều thời gian tiền bạc Vì vậy, cần phải có biện pháp để phòng chống - Mơ hình hệ thống phải xây dựng hợp lý, tránh phụ thuộc lẫn mức dễ dẫn đến phận gặp cố làm hệ thống bị trục trặc - Thiết lập password bảo vệ thiết bị hay nguồn tài nguyên quan trọng Thiết lập mức xác thực người dùng nguồn tin mạng (các thông tin cập nhật định tuyến router nên thiết lập chế độ xác thực) - Xây dựng hệ thống lọc thông tin router, firewall… hệ thống bảo vệ chống lại SYN flood - Chỉ chấp nhận dịch vụ cần thiết, tạm thời dừng dịch vụ chưa có yêu cầu cung cấp không sử dụng - Xây dựng hệ thống định mức, giới hạn cho người sử dụng để ngăn ngừa trường hợp người dùng có ác ý muốn lợi dụng tài ngun server để cơng server hay mạng, server khác 12 - Liên tục cập nhật, nghiên cứu, kiểm tra để phát lỗ hổng bảo mật có biện pháp khắc phục kịp thời - Sử dụng biện pháp kiểm tra hoạt động hệ thống cách liên tục để phát hành động bất bình thường - Xây dựng hệ thống dự phòng 13 Chương DEMO TẤN CƠNG BẰNG DOS 14 ...Chương KỸ THUẬT DOS Tấn công Denial of Service chia làm hai loại công: - Tấn công DoS: Tấn công từ cá thể, hay tập hợp cá thể - Tấn công DDoS: Đây cơng từ mạng máy tính thiết... mạng kết nối với (mạng BOT) Tấn công Fraggle, chúng sử dụng UDP echo tương tự cơng Smurf Hình 2.1.2.1 Tấn cơng Smurf sử dụng gói ICMP làm ngập giao tiếp khác 2.1.3 Tấn công Buffer overflow Buffer... build lại gói tin điều chiếm phần tài ngun hệ thống, q trình liên tục xảy hệ thống khơng tài ngun cho ứng dụng khác, phục vụ user khác 2.1.6 Tấn công SYN Kẻ công gửi yêu cầu (request ảo) TCP