• If this is your first visit, be sure to check out the FAQ by clicking the link above. You may have to register before you can post: click the register link above to proceed. To start viewing messages, select the forum that you want to visit from the selection below.
Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

DoS và DDoS

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • DoS và DDoS


    2.5 DoS và DDoS


    2.5.1 Một số thông tin thực tế về DoS và DDoS
    • 1998 Chương trình Trinoo Distributed Denial of Service (DDoS) được viết bởi Phifli.
    • Tháng 5 – 1999 Trang chủ của FBI đã ngừng họat động vì cuộc tấn công bằng (DDOS)
    • Tháng 6 – 1999 Mạng Trinoo đã được cài đặt và kiểm tra trên hơn 2000 hệ thống.
    • Cuối tháng 8 đầu tháng 9 năm 1999, Tribal Flood Network đầu tiiên ra đời, Chương trình được Mixter Phát triển.
    • Cuối tháng 9 năm 1999, Công cụ Stacheldraht đã bắt đầu xuất hiện trên những hệ thống của Châu âu và Hoa kỳ.
    • Ngày 21 tháng 10 năm 1999 David Dittrich thuộc trường đại học Washington đã làm những phân tích về công cụ tấn công từ chối dịch vụ
    • Ngày 21 tháng 12 năm 1999 Mixter phát hành Tribe Flood Network 2000 (TFN2K ).
    • 10 : 30 / 7 – 2 -2000 Yahoo! ( Một trung tâm nổi tiếng ) đã bị tấn công từ chối dịch vụ và ngưng trệ hoạt động trong vòng 3 giờ đồng hồ. Web site Mail Yahoo và GeoCities đã bị tấn công từ 50 địa chỉ IP khác nhau với nhửng yêu cầu chuyễn vận lên đến 1 gigabit /s.
    • Lúc 7 giờ tối ngày 9-2/2000 Website Excite.com là cái đích của một vụ tấn công từ chối dịch vụ, dữ liệu được luân chuyễn tới tấp trong vòng 1 giờ cho đến khi kết thúc, và gói dữ liệu đó đã hư hỏng nặng.
    • Một nghiên cứu trong 3 tuần vào tháng 2/2001 cho thấy có khoảng 4000 tấn công DoS mỗi tuần. Hầu hết tấn công DoS không được công bố trên phương tiện thông tin và cũng không bị truy tố.
    • Tháng 5/2001, các hacker đã làm quá tải các router của Weather.com và của công ty Web hosting của nó với các lưu thông giả. Để chống lại cuộc tấn công, weather.com đã chuyển đến một router riêng và đã cài đặt phần mềm lọc để bảo vệ các switch và server, cũng như phần mềm phát hiện xâm nhập để ghi lại tất cả các hoạt động đang diễn ra. Công ty này phải mất 7 giờ để đưa site hoạt động trở lại.

    5/2001 và 1/2002 – hai tấn công lớn vào website grc.com. Các tấn công này là duy nhất do các phân tích kỹ càng đã được thực hiện về chúng bởi Steve Gibson, một trong những người chủ của site này. Ông đã xuất bản hai bài báo
    • chi tiết, mô tả sự tiến hóa của các tấn công này, cách mà đội ngũ của ông phân tích chúng và cách họ vượt qua chúng.
    • 4/2002 – hàng ngàn máy tính trên toàn thế giới đã làm ngập mọi website tin tức gaming nổi tiếng với hàng trăm yêu cầu cho một file không xác định 11081109.exe. Tấn công đáng ngạc nhiên này đã làm down hầu hết các site tin tức phổ biến, bao gồm Shacknews, Bluesnews, Gamespy và nhiều site khác. Ngay cả các site không phải gaming cũng bị ảnh hưởng, do hầu hết các điểm routing lớn bị ngập hoặc shut down do lưu thông lớn.
    • Vài tấn công này còn được thúc đẩy bởi động cơ chính trị - các ví dụ điển hình có thể tìm thấy ở Trung Đông, những người ủng hộ Israel đã tiến hành một tấn công DDoS lên site của Hezbollah vào 9/2000, ngược lại, những người ủng hộ Palestin đã thành công trong việc làm “crashing” site của Bộ Ngoại giao Israel trong vài ngày, và làm tràn ngập lưu thông trong các ISP chính.
    • Gần đây là vào tháng 1/2011, vietnamnet.vn đã bị tấn công DDoS dẫn đến treo hệ thống.


    2.5.2 Khái niệm về DoS và DDoS
    Denial-of-service attack (DoS attack) hay distributed denial-of-service attack (DDoS attack) hay còn gọi là tấn công từ chối dịch vụ là kiểu tấn công nhằm mục đích làm cho tài nguyên của nạn nhân không sử dụng được như ý muốn.
    DoS và DDoS là phương pháp tấn công đã có từ khá lâu, tuy nhiên, mức độ nguy hại của nó cho tới hiện tại vẫn còn rất cao, và hầu như chưa có một giải pháp nào tối ưu để khắc phục.

    2.5.3Tìm hiểu và phân loại DoS và DDoS

    Về cơ bản, hoạt động của DoS và DDoS có thể được mô tả như sau:

    Hình 2.2. Mô tả tấn công DDoS

    Các hacker sẽ làm nghẽn bang thông của nạn nhân bằng cách đồng loạt gửi yêu cầu tới địa chỉ mục tiêu.
    Sau đây là một số phương pháp DoS và DDoS cổ điển và thông dụng :
    Winnuke :
    DoS attack loại này chỉ có thể áp dụng cho các máy tính đang chạy Windows9x . Hacker sẽ gởi các gói tin với dữ liệu ``Out of Band`` đến cổng 139 của máy tính đích.( Cổng 139 chính là cổng NetBIOS, cổng này chỉ chấp nhận các gói tin có cờ Out of Band được bật ) . Khi máy tính của victim nhận được gói tin này, một màn hình xanh báo lỗi sẽ được hiển thị lên với nạn nhân do chương trình của Windows nhận được các gói tin này nhưng nó lại không biết phản ứng với các dữ liệu Out Of Band như thế nào dẫn đến hệ thống sẽ bị crash .

    b. Ping of Death :
    Ở kiểu DoS attack này , ta chỉ cần gửi một gói dữ liệu có kích thước lớn thông qua lệnh ping đến máy đích thì hệ thống của họ sẽ bị treo .
    _ VD : ping –l 65000

    c . Teardrop :
    Tất cả các dữ liệu chuyển đi trên mạng từ hệ thống nguồn đến hệ thống đích đều phải trải qua 2 quá trình : dữ liệu sẽ được chia ra thành các mảnh nhỏ ở hệ thống nguồn, mỗi mảnh đều phải có một giá trị offset nhất định để xác định vị trí của mảnh đó trong gói dữ liệu được chuyển đi. Khi các mảnh này đến hệ thống đích, hệ thống đích sẽ dựa vào giá trị offset để sắp xếp các mảnh lại với nhau theo thứ tự đúng như ban đầu . Lợi dụng sơ hở đó , hacker chỉ cần gởi đến hệ thống đích một loạt gói packets với giá trị offset chồng chéo lên nhau. Hệ thống đích sẽ không thể nào sắp xếp lại các packets này, nó không điều khiển được và có thể bị crash, reboot hoặc ngừng hoạt động nếu số lượng gói packets với giá trị offset chồng chéo lên nhau quá lớn !

    d . SYN Attack :
    Trong SYN Attack, hacker sẽ gởi đến hệ thống đích một loạt SYN packets với địa chỉ ip nguồn không có thực. Hệ thống đích khi nhận được các SYN packets này sẽ gởi trở lại các địa chỉ không có thực đó và chờ đợI để nhận thông tin phản hồi từ các địa chỉ ip giả . Vì đây là các địa chỉ ip không có thực, nên hệ thống đích sẽ sẽ chờ đợi vô ích và còn đưa các “request” chờ đợi này vào bộ nhớ , gây lãng phí một lượng đáng kể bộ nhớ trên máy chủ mà đúng ra là phải dùng vào việc khác thay cho phải chờ đợi thông tin phản hồi không có thực này . Nếu hacker gởi cùng một lúc nhiều gói tin có địa chỉ IP giả như vậy thì hệ thống sẽ bị quá tải dẫn đến bị crash hoặc boot máy tính.

    e . Land Attack :
    Land Attack cũng gần giống như SYN Attack, nhưng thay vì dùng các địa chỉ ip không có thực, hacker sẽ dùng chính địa chỉ ip của hệ thống nạn nhân. Điều này sẽ tạo nên một vòng lặp vô tận giữa trong chính hệ thống nạn nhân đó, giữa một bên cần nhận thông tin phản hồi còn một bên thì chẳng bao giờ gởi thông tin phản hồi đó đi cả .

    f . Smurf Attack :
    Trong Smurf Attack, cần có ba thành phần: hacker (người ra lệnh tấn công), mạng khuếch đại (sẽ nghe lệnh của hacker) và hệ thống của nạn nhân. Hacker sẽ gởi các gói tin ICMP đến địa chỉ broadcast của mạng khuếch đại. Điều đặc biệt là các gói tin ICMP packets này có địa chỉ ip nguồn chính là địa chỉ ip của nạn nhân . Khi các packets đó đến được địa chỉ broadcast của mạng khuếch đại, các máy tính trong mạng khuếch đại sẽ tưởng rằng máy tính nạn nhân đã gởi gói tin ICMP packets đến và chúng sẽ đồng loạt gởi trả lại hệ thống nạn nhân các gói tin phản hồi ICMP packets. Hệ thống máy nạn nhân sẽ không chịu nổi một khối lượng khổng lồ các gói tin này và nhanh chóng bị ngừng hoạt động, crash hoặc reboot. Như vậy, chỉ cần gởi một lượng nhỏ các gói tin ICMP packets đi thì hệ thống mạng khuếch đại sẽ khuếch đại lượng gói tin ICMP packets này lên gấp bội . Tỉ lệ khuếch đại phụ thuộc vào số mạng tính có trong mạng khuếch đại . Nhiệm vụ của các hacker là cố chiếm được càng nhiều hệ thống mạng hoặc routers cho phép chuyển trực tiếp các gói tin đến địa chỉ broadcast không qua chỗ lọc địa chỉ nguồn ở các đầu ra của gói tin . Có được các hệ thống này, hacker sẽ dễ dàng tiến hành Smurf Attack trên các hệ thống cần tấn công .

    g . UDP Flooding :
    Cách tấn công UDP đòi hỏi phải có 2 hệ thống máy cùng tham gia. Hackers sẽ làm cho hệ thống của mình đi vào một vòng lặp trao đổi các dữ liệu qua giao thức UDP. Và giả mạo địa chỉ ip của các gói tin là địa chỉ loopback ( 127.0.0.1 ) , rồi gởi gói tin này đến hệ thống của nạn nhân trên cổng UDP echo ( 7 ). Hệ thống của nạn nhân sẽ trả lời lại các messages do 127.0.0.1( chính nó ) gởi đến , kết quả là nó sẽ đi vòng một vòng lặp vô tận. Tuy nhiên, có nhiều hệ thống không cho dùng địa chỉ loopback nên hacker sẽ giả mạo một địa chỉ ip của một máy tính nào đó trên mạng nạn nhân và tiến hành ngập lụt UDP trên hệ thống của nạn nhân .

    h . Tấn công DNS :
    Hacker có thể đổi một lối vào trên Domain Name Server của hệ thống nạn nhân rồi cho chỉ đến một website nào đó của hacker. Khi máy khách yêu cầu DNS phân tích địa chỉ bị xâm nhập thành địa chỉ ip, lập tức DNS ( đã bị hacker thay đổi cache tạm thời ) sẽ đổi thành địa chỉ ip mà hacker đã cho chỉ đến đó . Kết quả là thay vì phải vào trang Web muốn vào thì các nạn nhân sẽ vào trang Web do chính hacker tạo ra .

    g . Distributed DoS Attacks ( DDos ) :
    DDoS yêu cầu phải có ít nhất vài hackers cùng tham gia. Đầu tiên các hackers sẽ cố thâm nhập vào các mạng máy tính được bảo mật kém, sau đó cài lên các hệ thống này chương trình DDoS server. Bây giờ các hackers sẽ hẹn nhau đến thời gian đã định sẽ dùng DDoS client kết nối đến các DDoS servers, sau đó đồng loạt ra lệnh cho các DDoS servers này tiến hành tấn công DDoS đến hệ thống nạn nhân . Hiện nay, các hacker có thể viết một con bot, và tìm cách cho nó được cài vào các máy tính khác tạo thành Zombies. Khi hacker phát lệnh tấn công thì các Zombies sẽ đồng loạt truy cập vào địa chỉ nạn nhân, gây ra hiện tượng nghẽ mạng. ( phương pháp sử dụng bot còn được gọi là bot net).

    h . DRDoS ( The Distributed Reflection Denial of Service Attack ) :
    Đây có lẽ là kiểu tấn công lợi hại nhất và làm boot máy tính của đối phương nhanh gọn nhất . Cách làm thì cũng tương tự như DDos nhưng thay vì tấn công bằng nhiều máy tính thì ngườI tấn công chỉ cần dùng một máy tấn công thông qua các server lớn trên thế giới . Vẫn với phương pháp giả mạo địa chỉ IP của victim , kẻ tấn công sẽ gởi các gói tin đến các server mạnh nhất , nhanh nhất và có đường truyền rộng nhất như Yahoo .v.v… , các server này sẽ phản hồi các gói tin đó đến địa chỉ của victim . Việc cùng một lúc nhận được nhiều gói tin thông qua các server lớn này sẽ nhanh chóng làm nghẽn đường truyền của máy tính nạn nhân và làm crash , reboot máy tính đó . Cách tấn công này lợi hại ở chỗ chỉ cần một máy có kết nối Internet đơn giản với đường truyền bình thường cũng có thể đánh bật được hệ thống có đường truyền tốt nhất thế giới nếu như không kịp ngăn chặn .

    2.5.4 Tác hại của DoS và DDoS
    Phương pháp này không được thực hiện để đánh cắp thông tin hay dữ liệu của nạn nhân. Tác hại chính của phương pháp tấn công này là làm giảm khả năng đáp ứng của hệ thống dẫn đến hệ thống bị chậm hoặc tê liệt. Và điều này là rất nguy hiểm đối với các hệ thống quan trọng của ngân hang hay của chính phủ,v.v…

    2.5.5Đề xuất một số phương pháp phòng ngừa và ngăn chặn

    DoS v à DDoS hiện nay vẫn chưa có phương pháp ngăn chặn tối ưu, mà chỉ có thể giảm thiểu được phần nào tác hại do nó gây ra. Một số phương án thường được đề xuất để giảm thiểu phần nào trước DoS và DDoS là:
    Lập trình code tối ưu, hạn chế mức tối thiểu những dữ liệu ko cần thiết (ví dụ như trong 1 ứng dụng web ajax, khi 1 yêu cầu đc thực hiện xong, server trả về kết quả, thì thay vì trả về 1 dòng thông báo "yêu cầu cầu bạn đã được thực hiện xong", thì có thể chỉ cần gởi trả "1", rồi dùng javascript trên client xử lý thông báo tùy vào bạn, vì js sẽ đc cache), đây chỉ là 1 ví dụ nhỏ nhằm hạn chế tiêu hao băng thông, ngoài ra còn phải áp dụng code tối ưu trên chính những dòng lệnh xử lý trên server (xử nhanh, hiệu quả, ít tốn tài nguyên...)
    luôn mang những hiểm họa khôn lường vì nó nằm ngoài tầm kiểm soát của ta)
    - dùng file .htaccess để ngăn chặn IP từ 1 nước nào đó (hoặc chỉ cho phép IP trong nước vào, còn lại chặn hết), mặc dù nó có thể fake IP nhưng dù sao cũng giảm thiểu đc rất đáng kể
    • thiết lập các policy cho firewall.
    • ….



    Thiết lập bộ lọc:
    - áp dụng trước khi webserver chuyển giao dữ liệu cho ngôn ngữ server xử lý (php, asp, jsp,...) bằng .htaccess chẳng hạn
    - trước khi ngôn ngữ server bắt đầu xử lý yêu cầu như việc chặn các referer chứa x-flash, hoặc chặn các referer từ bên ngoài (đối với form gởi dữ liệu từ người dùng hoặc đặc biệt là các ứng dụng web ajax, thì các referer từ bên ngoài
    Lâm Văn Tú
    Email :
    cntt08520610@gmail.com
    Viet Professionals Co. Ltd. (VnPro)
    149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
    Tel: (08) 35124257 (5 lines)
    Fax (08) 35124314
    Tập tành bước đi....



  • #2
    More info: http://en.wikipedia.org/wiki/Denial-of-service_attack
    Regard!
    Nothing :(

    Comment


    • #3
      tấn công bằng cái này nhức đầu lắm đây=))
      Pro Spammer

      Comment

      Working...
      X