Tài liệu Tấn công dos ddos

Từ chối dịch vụ(DoS) Module 10 Tin tức bảo mật Việt Hàn IT LOGO 2 Mục tiêu của module  Tấn công DoS và DDoS là gì?  Làm thế nào để tấn công DDoS?  Dấu hiệu DoS  Internet Relay Chat(IRC)  Kỹ thuật tấn công DoS  Botnet  Botnet ecosystem Việt Hàn IT LOGO  Nghiên cứu các tình huống DDoS  Công cụ DoS  Kỹ thuật phát hiện  Biện pháp đối phó DoS/DDoS  Kỹ thuật đề phòng botnets tấn công lại  Công cụ bảo vệ DoS/DDoS  Kiểm tra sự thâm nhập DoS 3 LOGO Việt Hàn IT 4 Tấn công từ chối dịch vụ là gì? LOGO  Tấn công từ chối dịch vụ là kiểu tấn công vào máy tính hoặc một mạng để ngăn chặn sự truy cập hợp pháp.  Trên kiểu tấn công DoS, attackers làm tràn ngập hệ thống của victim với luồng yêu cầu dịch vụ không hợp pháp làm quá tải nguồn(server), ngăn chặn server thực hiện nhiệm vụ có mục đích. Việt Hàn IT 5 Tấn công từ chối dịch vụ phân tán là gì? LOGO Ảnh hưởng của DoS Mất lòng tốt Ngắt mạng Mất tài chính Phá doanh nghiệp Việt Hàn IT Tấn công từ chối dịch vụ phân tán bao gồm vô số các thỏa hiệp của hệ thống để tấn công mục tiêu duy nhất, là nguyên nhân người sử dụng bị từ chối dịch vụ của hệ thống. Để khởi động một cuộc tấn công DDoS, một kẻ tấn công sử dụng botnet và tấn công một hệ thống duy nhất 6 Tấn công từ chối dịch vụ phân tán hoạt động như thế nào? Việt Hàn IT LOGO 7 LOGO Dấu hiệu cuộc tấn công DoS Không thể dùng một website cụ thể Thông thường hiệu suất mạng sẽ chậm Không thể truy cập bất kỳ website nào Đột ngột tăng lượng thư rác nhận được Việt Hàn IT 8 Tội phạm mạng LOGO Tội phạm mạng đang ngày càng được liên kết với các tập đoàn tội phạm có tổ chức để tận dụng lợi thế của các kỹ thuật tinh vi của họ. Những nhóm có tổ chức tội phạm mạng làm việc trên thiết lập thứ bậc vớ một mô hình chia sẻ doanh thu được xác định trước, giống như một tập đoàn lớn cung cấp các dịch vụ phạm tội. Nhóm tổ chức tạo ra và thuê botnet để cung cấp các dịch vụ khác nhau, từ việc viết phần mềm độc hại, tấn công các tài khoản ngân hàng, để tạo ra tấn công DoS lớn đối với bất kỳ mục tiêu với một mức giá. Theo Verizon 2010 dữ liệu báo cáo điều tra vi phạm, phần lớn các vi phạm đã điều khiển bởi các nhóm có tổ chức và hầu như tất cả các dữ liệu b đánh cắp (70%) là công việc của bọn tội phạm tổ chức bên ngoài. Sự tham gia ngày càng tăng của đoàn tổ chức tội phạm chiến tranh mạng động cơ chính trị và hacktivism là một vấn đề quan tâm cho các cơ quan an ninh quốc gia. www.themegallery.com Company Name Việt Hàn IT 9 Sơ đồ tổ chức của tổ chức tội phạm mạng: LOGO Boss Kẻ tấn công crimeware sở hữu công cụ trojan phân phối trên trang web hợp pháp Việt Hàn IT Underboss cung cấp, quản lý và điều khiển trojan 10 Internet Query Chat (ICQ) LOGO  ICQ là chat client được dùng để chat với mọi người.  Nó gán một số định danh phổ cập (UIN) xác định người dùng duy nhất giữa những người sử dụng ICQ  Khi một người sử dụng ICQ kết nối với Internet, ICQ khởi động và cố gắng để kết nối với máy chủ Mirabilis (Mirabilis là công ty phát triển ICQ), là nơi cơ sở dữ liệu chứa thông tin của tất cả người dùng ICQ.  Tại máy chủ Mirabilis, ICQ tìm kiếm yêu cầu số UIN bên trong cơ sở dữ liệu của nó (một loại điện thoại của thư mục), và cập nhật thông tin.  Bây giờ người dùng có thể liên hệ với người bạn của mình bởi vì ICQ biết địa chỉ IP. Việt Hàn IT 11 Internet Relay Chat (IRC) LOGO IRC là hệ thống để trò chuyện bao gồm thiết lập nguyên tắc, quy ước và phần mềm client/server Nó cho phép chuyển hướng kết nối máy tính tới máy tính với mục đích dễ dàng chia sẽ giữa clients Một vài website (như là Talk City) hoặc mạng IRC (như là Undernet) cung cấp server và hỗ trợ người sử dụng tải IRC clients tới PC của họ Sau khi người sử dụng tải ứng dụng client, họ bắt đầu chat nhóm (gọi là kênh) hoặc gia nhập một nhóm có trước Kênh IRC đang được ưu chuộng là #hottub và #riskybus. Giao thức IRC dùng giao thức điều khiển truyền vận (có thể Việt Hàn IT dùng IRC qua telnet client), thông thường dùng port 6667 12 LOGO Việt Hàn IT 13 Kỹ thuật tấn công DoS Việt Hàn IT LOGO 14 LOGO Tấn công băng thông Một máy tính riêng lẻ không thể đáp ứng đủ yêu cầu tràn ngập thiết bị mạng; do đó tấn công DDoS được tạo ra từ nơi mà kẻ tấn công dùng nhiều máy tính làm tràn ngập victim Kẻ tấn công dùng botnets và thực hiện tấn công DDoS bằng tràn ngập mạng với ICMP ECHO packets Việt Hàn IT Khi tấn công DDoS được chạy, tràn ngập một mạng, nó có thể gây ra tràn ngập thiết bị mạng như là switches và routers do thống kê quan trọng trong lưu lượng mạng Về cơ thông không duy trì lệ bản, tất cả băng được dùng và băng thông nào để sử dụng hợp 15 Tràn ngập yêu cầu dịch vụ Một kẻ tấn công hoặc nhóm zombie cố gắng làm cạn kiệt tài nguyên máy chủ bằng cách thiết lập và phá hủy các kết nối TCP LOGO Yêu cầu dịch vụ tấn công tràn ngập servers với kết nối tốc độ cao từ nguồn hợp lệ Nó bắt đầu gửi yêu cầu trên tất cả kết nối Việt Hàn IT 16 Tấn công SYN LOGO Kẻ tấn công gửi giả mạo TCP SYN yêu cầu tới máy chủ đích (victim) Victim gửi lại một SYN ACK đáp ứng yêu cầu và chờ đợi ACK để hoàn tất thiết lập phiên Victim sẽ không nhận đáp ứng bởi vì địa chỉ nguồn là giả mạo Việt Hàn IT Lưu ý: Tấn công này khai thác cách thức bắt tay ba bước 17 Làm ngập SYN  Thực hiện tràn ngập SYN dựa vào thuận lợi lỗ hổng bằng bắt tay ba bước TCP  Khi Host B nhận yêu cầu SYN từ A, nó phải giữ đường đi một phần mở kết nối trên "hàng đợi lắng nghe" tối thiểu 75 giây  Một host nguy hiểm có thể khám phá kích cỡ nhỏ để lắng nghe theo hàng bằng cách gửi nhiều yêu cầu SYN tới host, nhưng không bao giờ trả lời bằng SYN/ACK  Victim lắng nghe hàng đợi nhanh chóng bị lấp đầy  Khả năng loại bỏ một host từ mạng tối thiểu là 75 giây có thể được dùng như tấn công DoS Việt Hàn IT LOGO Thiết lập kết nối bình thường 18 Tấn công tràn ngập ICMP  Kiểu tấn công ICMP là thủ phạm gửi số lượng lớn của gói tin giả mạo địa chỉ nguồn tới server đích để phá hủy nó và gây ra ngừng đáp ứng yêu cầu TCP/IP.  Sau khi đến ngưỡng ICMP đạt đến, các router từ chối yêu cầu phản hồi ICMP từ tất cả địa chỉ trên cùng vùng an toàn cho phần còn lại. LOGO Kẻ tấn công gửi yêu cầu ICMP ECHO với địa chỉ nguồn giả mạo Phản hồi yêu cầu ICMP hợp lệ từ địa chỉ trên vùng an toàn Việt Hàn IT 19 Tấn công điểm nối điểm LOGO  Dùng điểm nối điểm để tấn công, kẻ tấn công chỉ đạo clients của mô hình điểm nối điểm chia sẽ file trung tâm gây ngắt kết nối từ mạng của họ và kết nối tới website giả mạo của victim.  Kẻ tấn công khai thác lỗ hổng tìm thấy trên mạng dùng giao thức DC++(kết nối trực tiếp), cho phép hoán đổi file giữa các tin nhắn clients ngay lập tức.  Dùng phương pháp này, kẻ tấn công chạy tấn công DoS rất lớn và làm hại website. Việt Hàn IT 20