Mô tả:
Từ chối dịch vụ(DoS)
Module 10
Tin tức bảo mật
Việt Hàn IT
LOGO
2
Mục tiêu của module
Tấn công DoS và DDoS là gì?
Làm thế nào để tấn công
DDoS?
Dấu hiệu DoS
Internet Relay Chat(IRC)
Kỹ thuật tấn công DoS
Botnet
Botnet ecosystem
Việt Hàn IT
LOGO
Nghiên cứu các tình huống
DDoS
Công cụ DoS
Kỹ thuật phát hiện
Biện pháp đối phó DoS/DDoS
Kỹ thuật đề phòng botnets tấn
công lại
Công cụ bảo vệ DoS/DDoS
Kiểm tra sự thâm nhập DoS
3
LOGO
Việt Hàn IT
4
Tấn công từ chối dịch vụ là gì?
LOGO
Tấn công từ chối dịch vụ là kiểu tấn công vào máy tính hoặc một
mạng để ngăn chặn sự truy cập hợp pháp.
Trên kiểu tấn công DoS, attackers làm tràn ngập hệ thống của
victim với luồng yêu cầu dịch vụ không hợp pháp làm quá tải
nguồn(server), ngăn chặn server thực hiện nhiệm vụ có mục
đích.
Việt Hàn IT
5
Tấn công từ chối dịch vụ phân tán là gì?
LOGO
Ảnh hưởng
của DoS
Mất lòng
tốt
Ngắt
mạng
Mất tài
chính
Phá doanh
nghiệp
Việt Hàn IT
Tấn công từ chối dịch vụ
phân tán bao gồm vô số
các thỏa hiệp của hệ
thống để tấn công mục
tiêu duy nhất, là nguyên
nhân người sử dụng bị từ
chối dịch vụ của hệ
thống.
Để khởi động một cuộc
tấn công DDoS, một kẻ
tấn công sử dụng botnet
và tấn công một hệ thống
duy nhất
6
Tấn công từ chối dịch vụ phân tán hoạt động
như thế nào?
Việt Hàn IT
LOGO
7
LOGO
Dấu hiệu cuộc tấn công DoS
Không thể dùng
một website cụ
thể
Thông thường
hiệu suất mạng
sẽ chậm
Không thể truy
cập bất kỳ
website nào
Đột ngột tăng
lượng thư rác
nhận được
Việt Hàn IT
8
Tội phạm mạng
LOGO
Tội phạm mạng đang ngày càng được liên kết với các tập đoàn tội
phạm có tổ chức để tận dụng lợi thế của các kỹ thuật tinh vi của họ.
Những nhóm có tổ chức tội phạm mạng làm việc trên thiết lập thứ bậc vớ
một mô hình chia sẻ doanh thu được xác định trước, giống như một tập
đoàn lớn cung cấp các dịch vụ phạm tội.
Nhóm tổ chức tạo ra và thuê botnet để cung cấp các dịch vụ khác nhau, từ
việc viết phần mềm độc hại, tấn công các tài khoản ngân hàng, để tạo ra
tấn công DoS lớn đối với bất kỳ mục tiêu với một mức giá.
Theo Verizon 2010 dữ liệu báo cáo điều tra vi phạm, phần lớn các vi phạm
đã điều khiển bởi các nhóm có tổ chức và hầu như tất cả các dữ liệu b
đánh cắp (70%) là công việc của bọn tội phạm tổ chức bên ngoài.
Sự tham gia ngày càng tăng của đoàn tổ chức tội phạm chiến tranh mạng
động cơ chính trị và hacktivism là một vấn đề quan tâm cho các cơ quan an
ninh quốc gia.
www.themegallery.com
Company Name
Việt Hàn IT
9
Sơ đồ tổ chức của tổ chức tội phạm mạng:
LOGO
Boss
Kẻ tấn công crimeware sở hữu công
cụ trojan phân phối trên trang web
hợp pháp
Việt Hàn IT
Underboss cung cấp, quản lý và
điều khiển trojan
10
Internet Query Chat (ICQ)
LOGO
ICQ là chat client được dùng để chat với mọi người.
Nó gán một số định danh phổ cập (UIN) xác định
người dùng duy nhất giữa những người sử dụng ICQ
Khi một người sử dụng ICQ kết nối với Internet, ICQ
khởi động và cố gắng để kết nối với máy chủ Mirabilis
(Mirabilis là công ty phát triển ICQ), là nơi cơ sở dữ liệu
chứa thông tin của tất cả người dùng ICQ.
Tại máy chủ Mirabilis, ICQ tìm kiếm yêu cầu số UIN
bên trong cơ sở dữ liệu của nó (một loại điện thoại của
thư mục), và cập nhật thông tin.
Bây giờ người dùng có thể liên hệ với người bạn của
mình bởi vì ICQ biết địa chỉ IP.
Việt Hàn IT
11
Internet Relay Chat (IRC)
LOGO
IRC là hệ thống để trò chuyện bao gồm thiết lập nguyên tắc,
quy ước và phần mềm client/server
Nó cho phép chuyển hướng kết nối máy tính tới máy tính với
mục đích dễ dàng chia sẽ giữa clients
Một vài website (như là Talk City) hoặc mạng IRC (như là
Undernet) cung cấp server và hỗ trợ người sử dụng tải IRC
clients tới PC của họ
Sau khi người sử dụng tải ứng dụng client, họ bắt đầu chat
nhóm (gọi là kênh) hoặc gia nhập một nhóm có trước
Kênh IRC đang được ưu chuộng là #hottub và #riskybus.
Giao thức IRC dùng giao thức điều khiển truyền vận (có thể
Việt Hàn IT dùng IRC qua telnet client), thông thường dùng port 6667
12
LOGO
Việt Hàn IT
13
Kỹ thuật tấn công DoS
Việt Hàn IT
LOGO
14
LOGO
Tấn công băng thông
Một máy tính riêng lẻ
không thể đáp ứng đủ
yêu cầu tràn ngập thiết
bị mạng; do đó tấn công
DDoS được tạo ra từ
nơi mà kẻ tấn công
dùng nhiều máy tính
làm tràn ngập victim
Kẻ tấn công dùng
botnets và thực hiện tấn
công DDoS bằng tràn
ngập mạng với ICMP
ECHO packets
Việt Hàn IT
Khi tấn công DDoS được
chạy, tràn ngập một mạng,
nó có thể gây ra tràn ngập
thiết bị mạng như là
switches và routers do
thống kê quan trọng trong
lưu lượng mạng
Về cơ
thông
không
duy trì
lệ
bản, tất cả băng
được dùng và
băng thông nào
để sử dụng hợp
15
Tràn ngập yêu cầu dịch vụ
Một kẻ tấn công hoặc
nhóm zombie cố gắng
làm cạn kiệt tài nguyên
máy chủ bằng cách
thiết lập và phá hủy
các kết nối TCP
LOGO
Yêu cầu dịch vụ tấn
công tràn ngập servers
với kết nối tốc độ cao
từ nguồn hợp lệ
Nó bắt đầu gửi yêu
cầu trên tất cả kết
nối
Việt Hàn IT
16
Tấn công SYN
LOGO
Kẻ tấn công gửi giả mạo TCP SYN
yêu cầu tới máy chủ đích (victim)
Victim gửi lại một SYN ACK đáp ứng
yêu cầu và chờ đợi ACK để hoàn tất
thiết lập phiên
Victim sẽ không nhận đáp ứng bởi
vì địa chỉ nguồn là giả mạo
Việt Hàn IT
Lưu ý: Tấn công này khai thác cách thức bắt tay ba bước 17
Làm ngập SYN
Thực hiện tràn ngập SYN dựa
vào thuận lợi lỗ hổng bằng bắt tay
ba bước TCP
Khi Host B nhận yêu cầu SYN từ
A, nó phải giữ đường đi một phần
mở kết nối trên "hàng đợi lắng
nghe" tối thiểu 75 giây
Một host nguy hiểm có thể khám
phá kích cỡ nhỏ để lắng nghe theo
hàng bằng cách gửi nhiều yêu cầu
SYN tới host, nhưng không bao giờ
trả lời bằng SYN/ACK
Victim lắng nghe hàng đợi nhanh
chóng bị lấp đầy
Khả năng loại bỏ một host từ
mạng tối thiểu là 75 giây có thể
được dùng như tấn công DoS
Việt Hàn IT
LOGO
Thiết lập kết nối
bình thường
18
Tấn công tràn ngập ICMP
Kiểu tấn công ICMP là thủ
phạm gửi số lượng lớn của gói
tin giả mạo địa chỉ nguồn tới
server đích để phá hủy nó và
gây ra ngừng đáp ứng yêu cầu
TCP/IP.
Sau khi đến ngưỡng ICMP
đạt đến, các router từ chối yêu
cầu phản hồi ICMP từ tất cả địa
chỉ trên cùng vùng an toàn cho
phần còn lại.
LOGO
Kẻ tấn công gửi yêu cầu
ICMP ECHO với địa chỉ
nguồn giả mạo
Phản hồi yêu cầu ICMP hợp lệ từ địa chỉ
trên vùng an toàn
Việt Hàn IT
19
Tấn công điểm nối điểm
LOGO
Dùng điểm nối điểm để tấn công, kẻ tấn công chỉ đạo clients của mô hình điểm nối
điểm chia sẽ file trung tâm gây ngắt kết nối từ mạng của họ và kết nối tới website giả
mạo của victim.
Kẻ tấn công khai thác lỗ hổng tìm thấy trên mạng dùng giao thức DC++(kết nối trực
tiếp), cho phép hoán đổi file giữa các tin nhắn clients ngay lập tức.
Dùng phương pháp này, kẻ tấn công chạy tấn công DoS rất lớn và làm hại website.
Việt Hàn IT
20
- Xem thêm -