Tấn công từ chối dịch vụ, viết tắt là DoS (Denial of Service), là thuật ngữ gọi chung cho những cách tấn công khác nhau về cơ bản làm cho hệ thống nào đó bị quá tải không thể cung cấp dịch vụ, hoặc phải ngưng hoạt động. •Kiểu tấn công này chỉ làm gián đoạn hoạt động chứ rất ít khả năng đánh cắp thông tin hay dữ liệu. •Thông thường mục tiêu của tấn công từ chối dịch vụ là máy chủ (FTP, Web, Mail) tuy nhiên cũng có thể là router, switch. •Tấn công từ chối dịch vụ không chỉ là tấn công qua mạng mà còn có thể là tấn công ở máy cục bộ, hay trong mạng cục bộ còn gọi là local DoS against hosts (dựa vào NetBIOS, fork() bomb).
32 trang |
Chia sẻ: franklove | Lượt xem: 3956 | Lượt tải: 1
Bạn đang xem trước 20 trang tài liệu Kỹ thuật tấn công và phòng thủ trên không gian mạng - Kỹ thuật tấn công - Denial of Service, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
Institute of Network Security - istudy.ispace.edu.vn
KỸ THUẬT TẤN CÔNG VÀ PHÒNG
THỦ TRÊN KHÔNG GIAN MẠNG
Institute of Network Security - istudy.ispace.edu.vn
NỘI DUNG
• Module 01: Tổng quan An ninh mạng
• Module 02: Kỹ thuật tấn công
• Module 03: Kỹ thuật mã hóa
• Module 04: Bảo mật hệ điều hành
• Module 05: Bảo mật ứng dụng
• Module 06: Virus và mã độc
• Module 07: Các công cụ phân tích an ninh mạng
• Module 08: Chính sách bảo mật và phục hồi thảm họa dữ liệu
• Ôn tập
• Báo cáo đồ án
• Thi cuối khóa
tấn c
Institute of Network Security - istudy.ispace.edu.vn
Module 02: KỸ THUẬT TẤN CÔNG
• Lesson 01: Footprinting và Reconnaissance
• Lesson 02: Google Hacking
• Lesson 03: Scanning Networks
• Lesson 04: Enumeration
• Lesson 05: System Hacking
• Lesson 06: Sniffer hệ thống mạng
• Lesson 07: Social Engineering
• Lesson 08: Denial of Service
• Lesson 09: Session Hijacking
• Lesson 10: SQL Injection
• Lesson 11: Hacking Wireless Networks
• Lesson 12: Buffer Overflow
Institute of Network Security - istudy.ispace.edu.vn
Denial of Service
Institute of Network Security - istudy.ispace.edu.vn
Denial of Service
• Tấn công từ chối dịch vụ, viết tắt là DoS (Denial of Service), là thuật
ngữ gọi chung cho những cách tấn công khác nhau về cơ bản làm
cho hệ thống nào đó bị quá tải không thể cung cấp dịch vụ, hoặc
phải ngưng hoạt động.
• Kiểu tấn công này chỉ làm gián đoạn hoạt động chứ rất ít khả năng
đánh cắp thông tin hay dữ liệu.
• Thông thường mục tiêu của tấn công từ chối dịch vụ là máy chủ
(FTP, Web, Mail) tuy nhiên cũng có thể là router, switch.
• Tấn công từ chối dịch vụ không chỉ là tấn công qua mạng mà còn
có thể là tấn công ở máy cục bộ, hay trong mạng cục bộ còn gọi là
local DoS against hosts (dựa vào NetBIOS, fork() bomb).
• Ban đầu tấn công từ chối dịch vụ xuất hiện khai thác sự yếu kém
của giao thức TCP là DoS, sau đó phát triển thành tấn công từ chối
dịch vụ phân tán DDoS (Distributed DoS) và mới xuất hiện là
phương pháp tấn công từ chối dịch vụ phân tán phản xạ DRDoS
(Distributed Reflection DoS).
Institute of Network Security - istudy.ispace.edu.vn
Distributed Denial of Service
• Giới thiệu về DDoS
• Các loại tấn công kiểu DDoS
• Một số công cụ DDoS
• Các kỹ thuật Anti-DDoS
Institute of Network Security - istudy.ispace.edu.vn
Giới thiệu DDOS
• DDoS (Distributed Denial of Service) nghĩa là nhiều
máy tính “zombie” tấn công vào một máy (hoặc nhiều
hơn), thường dưới sự điều khiển của một “master”, điều
khiển bởi kẻ tấn công.
Institute of Network Security - istudy.ispace.edu.vn
Lịch sử
• 1998 Chương trình Trinoo Distributed Denial of Service
(DDoS) được viết bởi Phifli.
• Tháng 5 – 1999 Trang chủ của FBI đã ngừng họat động
vì cuộc tấn công bằng (DDOS)
• 7/2/2000 Yahoo! đã bị tấn công từ chối dịch vụ và
ngưng trệ hoạt động trong vòng 3 giờ đồng hồ
• 8/2 nhiều website lớn như Buy.com, Amazon.com, eBay,
Datek, MSN, và CNN.com bị tấn công từ chối dịch vụ.
• Xem thêm 15 vụ tấn công DDoS nổi tiếng nhất lịch sử
tại:
tieng-nhat-lich-su/76/6001710.epi
Institute of Network Security - istudy.ispace.edu.vn
Các giai đoạn của kiểu tấn công
ddos
• Giai đoạn chuẩn bị
• Giai đoạn xác định mục tiêu và thời điểm
• Phát động tấn công và xóa dấu vết
Institute of Network Security - istudy.ispace.edu.vn
Kiến trúc tổng quan của DDoS
attack-network
Institute of Network Security - istudy.ispace.edu.vn
Mô hình Agent – Handler
Institute of Network Security - istudy.ispace.edu.vn
Mô hình Agent – Handler
• Theo mô hình này, attack-network gồm 3 thành phần:
Agent, Client và Handler
– Client : là software cơ sở để hacker điều khiển mọi hoạt động
của attack-network
– Handler : là một thành phần software trung gian giữa Agent và
Client
– Agent : là thành phần software thực hiện sự tấn công mục tiêu,
nhận điều khiển từ Client thông qua các Handler
Institute of Network Security - istudy.ispace.edu.vn
Mô hình IRC – Based
Institute of Network Security - istudy.ispace.edu.vn
Mô hình IRC – Based
• Internet Relay Chat (IRC) là một hệ thống online chat
multiuser, IRC cho phép User tạo một kết nối đến
multipoint đến nhiều user khác và chat thời gian thực
• Kiến trúc của IRC network bao gồm nhiều IRC server
trên khắp internet, giao tiếp với nhau trên nhiều kênh
(channel).
• IRC network cho phép user tạo ba loại channel: public,
private và serect.
Institute of Network Security - istudy.ispace.edu.vn
Phân loại tấn công kiểu ddos
Institute of Network Security - istudy.ispace.edu.vn
Bandwidth Depletion Attack
• Có hai loại Bandwidth Depletion Attack
– Flood attack
• UDP Flood Attack
• ICMP Flood Attack
– Amplification attack
• Smuft attack
• Fraggle Attack
Institute of Network Security - istudy.ispace.edu.vn
Amplification attack (Tấn công
khuyếch đại )
Institute of Network Security - istudy.ispace.edu.vn
Resource Deleption Attack
• Protocol Exploit Attack (Khai thác lỗ hỗng trên các giao
thức)
• Malformed Packet Attack là cách tấn công dùng các
Agent để gởi các packet có cấu trúc không đúng chuẩn
nhằm làm cho hệ thống của nạn nhân bị treo.
– IP address attack
– IP packet options attack
Institute of Network Security - istudy.ispace.edu.vn
Resource Deleption Attack
• Protocol Exploit Attack (Khai thác lỗ hỗng trên
các giao thức)
TCP
Client
Client Port
1024-65535
TCP
Server
Service Port
1-1023
SYS
ACK
SYN/ACK
80
Institute of Network Security - istudy.ispace.edu.vn
Resource Deleption Attack
• Protocol Exploit Attack (Khai thác lỗ hỗng trên
các giao thức)
Malicious
TCP
Client
Victim
TCP
Server
SYS packet with a deliberately
fraudulent (spoofed) source IP
return address
SYS/ACK
SYN
80
?
Institute of Network Security - istudy.ispace.edu.vn
Resource Deleption Attack
• Protocol Exploit Attack (Khai thác lỗ hỗng trên
các giao thức)
Institute of Network Security - istudy.ispace.edu.vn
Một số công cụ DDoS
• Công cụ DDoS dạng Agent – Handler
– TrinOO
– Tribe Flood Network (TFN):
– Stacheldraht
– Shaft
• Công cụ DDoS dạng IRC – Based
– Trinity có hầu hết các kỹ thuật tấn công
– Công cụ DDoS khác như Knight, Kaiten
Institute of Network Security - istudy.ispace.edu.vn
Các giai đoạn chi tiết trong phòng
chống DDoS
Institute of Network Security - istudy.ispace.edu.vn
1.Tối thiểu hóa số lượng Agent
• Từ phía User: Một phương pháp rất tốt để ngăn ngừa
tấn công DDoS là từng internet user sẽ tự đề phòng
không để bị lợi dụng tấn công hệ thống khác
• Cài đặt và update liên tục các software như antivirus,
anti_trojan và server patch của hệ điều hành.
• Từ phía Network Service Provider: Điều chỉnh cước theo
dung lượng sẽ làm user lưu ý những gì gửi => tăng
cường phát hiện DDoS Agent
Institute of Network Security - istudy.ispace.edu.vn
Tìm và vô hiệu hóa các Handler
• Phát hiện và vô hiệu hóa Handler thì khả năng Anti-
DDoS thành công là rất cao
• => Phát hiện bằng cách theo dõi các giao tiếp giữa
Handler và Client hay handler va Agent ta có thể phát
hiện ra vị trí của Handler
Institute of Network Security - istudy.ispace.edu.vn
3. Phát hiện dấu hiệu của một cuộc
tấn công
• Có nhiều kỹ thuật được áp dụng
– Agress Filtering
• Kỹ thuật này kiểm tra xem một packet có đủ tiêu chuẩn ra
khỏi một subnet hay không ?
• Các packet từ bên trong subnet gửi ra ngoài với địa chỉ
nguồn không hợp lệ sẽ bị giữ lại để điều tra nguyên nhân
– MIB statistics: trong Management Information Base
(SNMP) của route luôn có thông tin thống kể về sự biến thiên
trạng thái của mạng.
Institute of Network Security - istudy.ispace.edu.vn
4. Làm suy giảm hay dừng cuộc
tấn công
• Load balancing: gia tăng thời gian chống chọi của hệ thống
với cuộc tấn công DDoS
• Throttling: Thiết lập cơ chế điều tiết trên router, quy định một
khoảng tải hợp lý mà server bên trong có thể xử lý được.
• Drop request: Thiết lập cơ chế drop request nếu nó vi phạm
một số quy định như: thời gian delay kéo dài, tốn nhiều tài
nguyên để xử lý, gây deadlock
Institute of Network Security - istudy.ispace.edu.vn
5. Chuyển hướng của cuộc tấn
công
• Honeyspots là một hệ thống được thiết kế nhằm đánh lừa
attacker tấn công vào khi xâm nhập hệ thống mà không chú ý
đến hệ thống quan trọng thực sự
• Honeyspots rất hiệu quả trong việc phát hiện và xử lý xâm
nhập, vì trên Honeyspots đã thiết lập sẵn các cơ chế giám sát
và báo động.
Institute of Network Security - istudy.ispace.edu.vn
6. Giai đoạn sau tấn công
• Trong giai đoạn này thông thường thực hiện các công
việc sau:
– Traffic Pattern Analysis
• Nếu dữ liệu về thống kê biến thiên lượng traffic theo thời
gian đã được lưu lại thì sẽ được đưa ra phân tích.
• Quá trình phân tích này rất có ích cho việc tinh chỉnh lại các
hệ thống Load Balancing và Throttling.
• Ngoài ra các dữ liệu này còn giúp Quản trị mạng điều chỉnh
lại các quy tắc kiểm soát traffic ra vào mạng của mình
Institute of Network Security - istudy.ispace.edu.vn
6. Giai đoạn sau tấn công
– Packet Traceback
• Bằng cách dùng kỹ thuật Traceback ta có thể truy ngược lại
vị trí của Attacker (ít nhất là subnet của attacker).
• Từ kỹ thuật Traceback ta phát triển thêm khả năng Block
Traceback từ attacker khá hữu hiệu
– Bevent Logs: Bằng cách phân tích file log sau cuộc tấn công,
quản trị mạng có thể tìm ra nhiều manh mối và chứng cứ quan
trọng.
Institute of Network Security - istudy.ispace.edu.vn
Tóm lược bài học
• DOS.
• DDOS
• Các công cụ cần thiết.
• Các điểm cần lưu ý.
Institute of Network Security - istudy.ispace.edu.vn
Q & A
32