LINK TẢI LUẬN VĂN MIỄN PHÍ CHO AE KET-NOI
LỜI MỞ ĐẦU
Trong những thập kỷ gần đây, thế giới và Việt Nam đã và đang chứng kiến sự phát
triển bùng nổ của công nghệ thông tin, truyền thông. Đặc biệt sự phát triển của các trang
mạng (websites) và các ứng dụng trên các trang mạng đã cung cấp nhiều tiện ích cho
người sử dụng từ tìm kiếm, tra cứu thông tin đến thực hiện các giao dịch cá nhân, trao đổi
kinh doanh, mua bán, thanh toán hàng hoá, dịch vụ, thực hiện các dịch vụ công... Tuy
nhiên, trong sự phát triển mạnh mẽ của các trang mạng nói riêng và công nghệ thông tin
nói chung, vấn đề đảm bảo an toàn, an ninh thông tin cũng trở thành một trong những
thách thức lớn. Một trong những nguy cơ tác động đến việc đảm bảo an toàn thông tin
trong nhiều năm qua chưa được giải quyết đó chính là các hoạt động tấn công từ chối
dịch vụ, một thủ đoạn phổ biến của tội phạm nhằm cản trở hay gây rối loạn hoạt động
của mạng máy tính, mạng viễn thông, mạng Internet, thiết bị số.
Tấn công từ chối dịch vụ (Dos, Denial of Services) đã ngày càng trở thành một
mối đe dọa lớn đối với sự tin cậy của mạng Internet. Là các cuộc tấn công sử dụng nhiều
cách thức tổ chức và thực hiện khác nhau, từ việc dùng chỉ một máy tới việc thu thập các
máy agent dưới quyền với số lượng lên đến hàng chục ngàn máy phục vụ tấn công, mục
đích của các cuộc tấn công là làm tê liệt các ứng dụng, máy chủ, toàn bộ mạng lưới, hoặc
làm gián đoạn kết nối của người dùng hợp pháp tới Website đích. Trong quá khứ đã từng
xảy ra các vụ tấn công DoS đặc biệt nghiêm trọng với các website thương mại hàng đầu
thế giới, có tính bảo mật rất cao như Amazon, Yahoo, eBay, Microsoft… gây thiệt hại
hàng triệu USD.
Tuy nhiên, việc phòng ngừa, ngăn chặn cũng như tiến hành điều tra, xử lý các đối
tượng này lại chưa được thực sự quan tâm đúng mức. Do vậy, trong nhiều trường hợp,
chúng ta bị đặt vào trạng thái bị động, không phản ứng kịp trước các cuộc tấn công. Vì
vậy em chọn đề tài “ Tìm hiểu giải pháp phát hiện tấn công từ chối dịch vụ sử dụng
phương pháp phân tích thống kê”.
Nội dung đồ án được tổ chức như sau:
Chương 1: Tổng quan về tấn công từ chối dịch vụ DoS/DDoS. Nêu khái niệm, mục
đích, mục tiêu của tấn công từ chối dịch vụ. Các cách thức một kẻ tấn công phải thực
hiện nhằm tạo ra một cuộc tấn công từ chối dịch vụ.
Chương 2: Tìm hiểu giải pháp phát hiện tấn công dịch vụ bằng phương pháp phân
tích thông kê.
Chương 3: Thực nghiệm kết quả
1
1
TỔNG QUAN VỀ TẤN CÔNG TỪ CHỐI DỊCH VỤ DOS/DDOS
Khái niệm
Tấn công bằng từ chối dịch vụ DoS (Denial of Service) có thể mô tả như hành
động ngăn cản những người dùng hợp pháp khả năng truy cập và sử dụng vào một dịch
vụ nào đó. DoS đánh vào bản chất tự nhiên của một quá trình truyền thông của client và
server, nếu có quá nhiều clicent truy cập thì server sẽ bị quá tải, buộc lòng phải từ chối
các yêu cầu truy cập khác. Tấn công từ chối dịch vụ là một trong những thủ đoạn nhằm
ngăn cản những người dùng hợp pháp khả năng truy cập và sử dụng vào một dịch vụ nào
đó. DoS có thể làm ngưng hoạt động của một máy tính, một mạng nội bộ thậm chí cả một
hệ thống mạng rất lớn. Về bản chất thực sự của DoS, kẻ tấn công sẽ chiếm dụng một
lượng lớn tài nguyên mạng như băng thông, bộ nhớ... và làm mất khả năng xử lý các yêu
cầu dịch vụ từ các khách hàng khác. Tấn công DoS nói chung không nguy hiểm như các
kiểu tấn công khác, vì kẻ tấn công ít có khả năng thâm nhập hay chiếm được thông tin dữ
liệu của hệ thống. Tuy nhiên, nếu máy chủ tồn tại mà không thể cung cấp thông tin, dịch
vụ cho người sử dụng thì sự tồn tại này là không có ý nghĩa, đặc biệt là các hệ thống phục
vụ các giao dịch điện tử thì thiệt hại là vô cùng lớn. Đối với hệ thống máy chủ được bảo
mật tốt, khó thâm nhập, việc tấn công từ chối dịch vụ DoS được các hacker sử dụng như
là “cú chót” để triệt hạ hệ thống đó.
Nó bao gồm: làm tràn ngập mạng, mất kết nối với dịch vụ… mà mục đích cuối
cùng là máy chủ (Server) không thể đáp ứng được các yêu cầu sử dụng dịch vụ từ các
máy trạm (Client).
Tấn công từ chối dịch vụ phân tán (DDoS - Distributed Denial Of Service) là kiểu
tấn công làm cho hệ thống máy tính hay hệ thống mạng quá tải, không thể cung cấp dịch
vụ hay phải dừng hoạt động, song từ nhiều nguồn tấn công khác nhau, phân tán trên
mạng. Sự khác biệt cơ bản giữa tấn công DoS và DDoS là DDoS sử dụng một mạng lưới
tấn công rộng khắp, gồm nhiều máy tấn công nằm rải rác trên mạng (còn gọi là các máy
tính ma - Zoombi, hay mạng Botnet).
Có nhiều loại công cụ tấn công DoS khác nhau và mỗi loại sử dụng những cơ chế
riêng để làm tràn ngập hệ thống nhưng kết quả cuối cùng vẫn là như nhau – làm cho hệ
thống mục tiêu trở nên quá bận rộn hay bị quá tải mà không thể đáp ứng được các yêu
cầu của người dùng, và một khi không thể đáp ứng được những yêu cầu này sẽ làm thiệt
hại về mặt kinh tế, uy tín cho đơn vị chủ quản của trang web bị tấn công (thường thì DoS
hay nhắm vào các trang web có chức năng kinh doanh trực tuyến, ứng dụng thương mại
điện tử). Ví dụ như vào các kì đại hội thể thao diễn ra như Euro, WorldCup thì các nhà cái
như Bet365.Com, SportingBet … có rất nhiều khách hàng đăng kí tham gia đoán kết
quả của những trận cầu nóng bỏng đen đến các nguồn lợi khổng lồ. Và các hacker biết rất
rõ những điều này, chính vì vậy họ thường hăm dọa những nhà cái trên sẽ tấn công DoS /
DDoS làm tê liệt trang web ngăn không cho khách hàng truy cập, còn nếu không muốn bị
tấn công thì phải đồng ý trả cho các hacker một khoản tiền lớn. Hình thức tống tiền này
được các băng nhóm tội phạm mạng ưa chuộng vì đem đến hiệu quả cao.
-
Dấu hiệu khi bị tấn công DoS
Thông thường thì hiệu suất mạng sẽ rất chậm.
Không thể sử dụng website.
Không truy cập được bất kỳ website nào.
Tăng lượng thư rác nhanh chóng.
Tấn công từ chối dịch cũng có thể dẫn tới vấn đề về nhánh mạng của máy
đang bị tấn công. Ví dụ băng thông của router giữa Internet và Lan có thể bị
tiêu thụ bởi tấn công, làm tổn hại không chỉ máy tính ý định tấn công mà còn
là toàn thể mạng.
2
Lịch sử các cuộc tấn công và phát triển của DoS
-
Các tấn công DoS bắt đầu vào khoảng đầu những năm 90. Đầu tiên, chúng hoàn
toàn “nguyên thủy”, bao gồm chỉ một kẻ tấn công khai thác băng thông tối đa từ nạn
nhân, ngăn những người khác được phục vụ. Điều này được thực hiện chủ yếu bằng
cách dùng các phương pháp đơn giản như ping floods, SYN floods và UDP floods. Sau
đó, các cuộc tấn công trở nên phức tạp hơn, bằng cách giả làm nạn nhân, gửi vài thông
điệp và để các máy khác làm ngập máy nạn nhân với các thông điệp trả lời. (Smurf
attack, IP spoofing…).
-
Các tấn công này phải được đồng bộ hoá một cách thủ công bởi nhiều kẻ tấn công
để tạo ra một sự phá huỷ có hiệu quả. Sự dịch chuyển đến việc tự động hoá sự đồng bộ,
kết hợp này và tạo ra một tấn công song song lớn trở nên phổ biến từ 1997, với sự ra
đời của công cụ tấn công Dos đầu tiên được công bố rộng rãi, Trinoo. Nó dựa trên tấn
công UDP flood và các giao tiếp master-slave (khiến các máy trung gian tham gia vào
trong cuộc tấn công bằng cách đặt lên chúng các chương trình được điều khiển từ xa).
Trong những năm tiếp theo, vài công cụ nữa được phổ biến – TFN (tribe flood
network), TFN2K, vaf Stacheldraht.
-
Tuy nhiên, chỉ từ cuối năm 1999 mới có những báo cáo về những tấn công như
vậy, và đề tài này được công chúng biết đến chỉ sau khi một cuộc tấn công lớn vào các
site công cộng tháng 2/2000. Trong thời gian 3 ngày, các site Yahoo.com,
amazon.com, buy.com, cnn.com và eBay.com đã đặt dưới sự tấn công (ví dụ như
Yahoo bị ping với tốc độ 1 GB/s). Từ đó các cuộc tấn công Dos thường xuyên xảy ra ví
dụ : Vào ngày 15 tháng 8 năm 2003, Microsoft đã chịu đợt tấn công DoS cực mạnh và
làm gián đoạn websites trong vòng 2 giờ; Vào lúc 15:09 giờ GMT ngày 27 tháng 3
năm 2003: toàn bộ phiên bản tiếng anh của website Al-Jazeera bị tấn công làm gián
đoạn trong nhiều giờ.
- Tháng 2/2007, hơn 10.000 máy chủ của game trực tuyến như Return to Castle
Wolfenstein, Halo, Counter-Strike …bị nhóm RUS tấn công với hệ thống điều khiển chủ
yếu đặt tại Nga, Uzbekistan và Belarus.
- Trong suốt các tuần đầu của cuộc chiến Nam Ossetia 2008, các trang web của chính phủ
Georgia luôn trong tình trạng quá tải, gồm các trang web ngân hàng quốc gia và của tổng
thống Georgia Mikhail Saakashvili. Chính phủ Nga phủ nhận mọi sự cáo buộc cho rằng
họ đứng đằng sau vụ tấn công.
- Tháng 8/2009, các vụ DDoS nhắm tới một loạt trang mạng xã hội đình đám như
Facebook, Twitter, LiveJournal và một số website của Google được thực hiện chỉ để
-
"khóa miệng" một blogger có tên Cyxymu ở Georgia
Ngày 28/11/2010, WikiLeaks bị tê liệt vì DDoS ngay khi họ chuẩn bị tung ra những tài
liệu mật của chính phủ Mỹ.
- Ngày 7/12/2010, nhóm hacker có tên Anonymous đánh sập website Visa.com sau khi tổ
chức những cuộc tấn công tương tự vào Mastercard và PayPal để trả đũa cho việc chủ
WikiLeaks bị tạm giam ở Anh.
- Ngày 3/3/2011, dịch vụ blog nổi tiếng thế giới WordPress bị tấn công.
- Ngày 4/3/2011, 40 trang web của các cơ quan chính phủ Hàn Quốc bị tê liệt vì DDoS.
3
1
Mục đích, mục tiêu của tấn công DoS
Mục đích
- Cố gắng chiếm băng thông mạng và làm hệ thống mạng bị ngập(flood), khi đó hệ thống
sẽ không có khả năng đáp ứng những dịch vụ khác cho người dùng bình thường.
- Cố gắng làm ngắt kết nối giữa 2 máy, và ngăn chặn quá trình truy nhập vào dịch vụ
- Cố gắng ngăn chặn những người dùng cụ thể vào một dịch vụ nào đó
-Cố gắng ngăn chặn các dịch vụ không cho người khác có khả năng truy cập vào các dịch
vụ như bị:
+ Tắt mạng
+ Tổ chức không hoạt động
+ Tài chính bị mất
2
Mục tiêu
Như chúng ta biết ở trên tấn công DoS xảy ra khi kẻ tấn công sử dụng hết tài
nguyên của hệ thống không thể đáp ứng cho người dùng bình thường được vậy các tài
nguyên chúng thường sử dụng để tấn công là :
- Tạo ra sự khan hiếm, những giới hạn và không đổi mới tài nguyên
- Băng thông của hệ thống mạng (Network Bandwidth), bộ nhớ, ổ đĩa, và CPU Time hay
cấu trúc dữ liệu đều là mục tiêu của tấn công DoS
- Tấn công vào hệ thống khác phục vụ cho mạng máy tính như: hệ thống điều hòa, hệ
thống điện, hệ thống làm mát và nhiều tài nguyên khác của doanh nghiệp.
- Phá hoại hay thay đổi các thông tin cấu hình
- Phá hoại tầng vật lý hay các thiết bị mạng như nguồn điện, điều hòa…
4
Phân loại
Có nhiều loại công cụ tấn công DoS khác nhau và mỗi loại sử dụng những cơ chế
riêng để làm tràn ngập hệ thống nhưng kết quả cuối cùng vẫn là như nhau – làm cho hệ
thống mục tiêu trở nên quá bận rộn hay bị quá tải mà không thể đáp ứng được các yêu
cầu của người dùng, và một khi không thể đáp ứng được những yêu cầu này sẽ làm thiệt
hại về mặt kinh tế, uy tín cho đơn vị chủ quản của trang web bị tấn công (thường thì DoS
hay nhắm vào các trang web có chức năng kinh doanh trực tuyến, ứng dụng thương mại
điện tử). Ví dụ như vào các kì đại hội thể thao diễn ra như Euro, WorldCup thì các nhà cái
như Bet365.Com, SportingBet … có rất nhiều khách hàng đăng kí tham gia đoán kết
quả của những trận cầu nóng bỏng đen đến các nguồn lợi khổng lồ. Và các hacker biết rất
rõ những điều này, chính vì vậy họ thường hăm dọa những nhà cái trên sẽ tấn công DoS /
DDoS làm tê liệt trang web ngăn không cho khách hàng truy cập, còn nếu không muốn bị
tấn công thì phải đồng ý trả cho các hacker một khoản tiền lớn. Hình thức tống tiền này
được các băng nhóm tội phạm mạng ưa chuộng vì đem đến hiệu quả cao.
Có 2 loại:
Loại 1: Dựa theo đặc điểm của hệ thống bị tấn công: gây quá tải khiến hệ thống mất khả
năng phục vụ
• Tin tặc gửi rất nhiều yêu cầu dịch vụ, bắt chước như người dùng thực sự yêu cầu
đối với hệ thống
• Để giải quyết yêu cầu, hệ thống phải tốn tài nguyên (CPU, bộ nhớ, đường truyền,
…). Mà tài nguyên này thì là hữu hạn. Do đó hệ thống sẽ không còn tài nguyên để
phục vụ các yêu cầu sau
• Hình thức chủ yếu của kiểu này tấn công từ chối dịch vụ phân tán
Loại 2 : Làm cho hệ thống bị treo, tê liệt do tấn công vào đặc điểm của hệ thống hay lỗi
về an toàn thông tin
• Tin tặc lợi dụng kẽ hở an toàn thông tin của hệ thống để gửi các yêu cầu hay các
gói tin không hợp lệ (không đúng theo tiêu chuẩn) một cách cố ý, khiến cho hệ
thống bị tấn công khi nhận được yêu cầu hay gói tin này, xử lý không đúng hoặc
không theo trình tự đã được thiết kế, dẫn đến sự sụp đổ của chính hệ thống đó
• Điển hình là kiểu tấn công Ping of Death hay SYN Flood
5
Các cách thức tấn công
Có một số phương pháp gây ra từ chối dịch vụ. Tất cả những cách tấn công trên
đều nhằm mục đích làm giảm chức năng của hệ thống mạng và có thể dẫn đến đánh sập
hệ thống, làm hệ thống không có khả năng hoạt động. Tạo ra một hiệu ứng DoS là tất cả
các cách có thể để phá hỏng hay làm cho hệ thống ngừng hoạt động. Có nhiều cách để
làm một hệ thống ngừng hoạt động, và thường sẽ tồn tại nhiều lỗ hổng trong hệ thống để
những kẻ tấn công sẽ cố gắng khai thác hay định vị để tấn công vào trong chúng cho đến
khi hắn nhận được kết quả mong muốn: mục tiêu bị phải chuyển sang trạng thái offline.
1
Tấn công thông qua kết nối (SYN Flood Attack)
Được xem là một trong những kiểu tấn công DoS kinh điển nhất. Lợi dụng sơ hở
của thủ tục TCP khi “bắt tay ba chiều”, mỗi khi client (máy khách) muốn thực hiện kết
nối (connection) với server (máy chủ) thì nó thực hiện việc bắt tay ba lần (three – ways
handshake) thông qua các gói tin (packet).
• Bước 1: Client (máy khách) sẽ gửi các gói tin (packet chứa SYN=1) đến máy chủ
để yêu cầu kết nối.
• Bước 2: Khi nhận được gói tin này, server sẽ gửi lại gói tin SYN/ACK để thông
báo cho client biết là nó đã nhận được yêu cầu kết nối và chuẩn bị tài nguyên cho
việc yêu cầu này. Server sẽ giành một phần tài nguyên hệ thống như bộ nhớ đệm
(cache) để nhận và truyền dữ liệu. Ngoài ra, các thông tin khác của client như địa
chỉ IP và cổng (port) cũng được ghi nhận.
• Bước 3: Cuối cùng, client hoàn tất việc bắt tay ba lần bằng cách hồi âm lại gói tin
chứa ACK cho server và tiến hành kết nối.
Do TCP là thủ tục tin cậy trong việc giao nhận (end-to-end) nên trong lần bắt tay
thứ hai,server gửi các gói tin SYN/ACK trả lời lại client mà không nhận lại được hồi âm
của client để thực hiện kết nối thì nó vẫn bảo lưu nguồn tài nguyên chuẩn bị kết nối đó và
lập lại việc gửi gói tin SYN/ACK cho client đến khi nào nhận được hồi đáp của máy
client.
Điểm mấu chốt là ở đây là làm cho client không hồi đáp cho Server. Và có hàng
nhiều, nhiều client như thế trong khi server vẫn “ngây thơ” lặp lại việc gửi packet đó và
giành tài nguyên để chờ “người về” trong lúc tài nguyên của hệ thống là có giới hạn! Các
hacker tấn công sẽ tìm cách để đạt đến giới hạn đó.
Nếu quá trình đó kéo dài, server sẽ nhanh chóng trở nên quá tải, dẫn đến tình trạng
crash (treo) nên các yêu cầu hợp lệ sẽ bị từ chối không thể đáp ứng được. Có thể hình
dung quá trình này cũng giống hư khi máy tính cá nhân (PC) hay bị “treo” khi mở cùng
lúc quá nhiều chương trình cùng lúc vậy .
Thông thường, để giả địa chỉ IP gói tin, các hacker có thể dùng Raw Sockets
(không phải gói tin TCP hay UDP) để làm giả mạo hay ghi đè giả lên IP gốc của gói tin.
Khi một gói tin SYN với IP giả mạo được gửi đến server, nó cũng như bao gói tin khác,
vẫn hợp lệ đối với server và server sẽ cấp vùng tài nguyên cho đường truyền này, đồng
thời ghi nhận toàn bộ thông tin và gửi gói SYN/ACK ngược lại cho Client. Vì địa chỉ IP
của client là giả mạo nên sẽ không có client nào nhận được SYN/ACK packet này để hồi
đáp cho máy chủ. Sau một thời gian không nhận được gói tin ACK từ client, server nghĩ
rằng gói tin bị thất lạc nên lại tiếp tục gửi tiếp SYN/ACK, cứ như thế, các kết nối
(connections) tiếp tục mở.
Do Drive thay đổi chính sách, nên một số link cũ yêu cầu duyệt download. các bạn chỉ cần làm theo hướng dẫn.
Password giải nén nếu cần: ket-noi.com | Bấm trực tiếp vào Link để tải:
LỜI MỞ ĐẦU
Trong những thập kỷ gần đây, thế giới và Việt Nam đã và đang chứng kiến sự phát
triển bùng nổ của công nghệ thông tin, truyền thông. Đặc biệt sự phát triển của các trang
mạng (websites) và các ứng dụng trên các trang mạng đã cung cấp nhiều tiện ích cho
người sử dụng từ tìm kiếm, tra cứu thông tin đến thực hiện các giao dịch cá nhân, trao đổi
kinh doanh, mua bán, thanh toán hàng hoá, dịch vụ, thực hiện các dịch vụ công... Tuy
nhiên, trong sự phát triển mạnh mẽ của các trang mạng nói riêng và công nghệ thông tin
nói chung, vấn đề đảm bảo an toàn, an ninh thông tin cũng trở thành một trong những
thách thức lớn. Một trong những nguy cơ tác động đến việc đảm bảo an toàn thông tin
trong nhiều năm qua chưa được giải quyết đó chính là các hoạt động tấn công từ chối
dịch vụ, một thủ đoạn phổ biến của tội phạm nhằm cản trở hay gây rối loạn hoạt động
của mạng máy tính, mạng viễn thông, mạng Internet, thiết bị số.
Tấn công từ chối dịch vụ (Dos, Denial of Services) đã ngày càng trở thành một
mối đe dọa lớn đối với sự tin cậy của mạng Internet. Là các cuộc tấn công sử dụng nhiều
cách thức tổ chức và thực hiện khác nhau, từ việc dùng chỉ một máy tới việc thu thập các
máy agent dưới quyền với số lượng lên đến hàng chục ngàn máy phục vụ tấn công, mục
đích của các cuộc tấn công là làm tê liệt các ứng dụng, máy chủ, toàn bộ mạng lưới, hoặc
làm gián đoạn kết nối của người dùng hợp pháp tới Website đích. Trong quá khứ đã từng
xảy ra các vụ tấn công DoS đặc biệt nghiêm trọng với các website thương mại hàng đầu
thế giới, có tính bảo mật rất cao như Amazon, Yahoo, eBay, Microsoft… gây thiệt hại
hàng triệu USD.
Tuy nhiên, việc phòng ngừa, ngăn chặn cũng như tiến hành điều tra, xử lý các đối
tượng này lại chưa được thực sự quan tâm đúng mức. Do vậy, trong nhiều trường hợp,
chúng ta bị đặt vào trạng thái bị động, không phản ứng kịp trước các cuộc tấn công. Vì
vậy em chọn đề tài “ Tìm hiểu giải pháp phát hiện tấn công từ chối dịch vụ sử dụng
phương pháp phân tích thống kê”.
Nội dung đồ án được tổ chức như sau:
Chương 1: Tổng quan về tấn công từ chối dịch vụ DoS/DDoS. Nêu khái niệm, mục
đích, mục tiêu của tấn công từ chối dịch vụ. Các cách thức một kẻ tấn công phải thực
hiện nhằm tạo ra một cuộc tấn công từ chối dịch vụ.
Chương 2: Tìm hiểu giải pháp phát hiện tấn công dịch vụ bằng phương pháp phân
tích thông kê.
Chương 3: Thực nghiệm kết quả
1
1
TỔNG QUAN VỀ TẤN CÔNG TỪ CHỐI DỊCH VỤ DOS/DDOS
Khái niệm
Tấn công bằng từ chối dịch vụ DoS (Denial of Service) có thể mô tả như hành
động ngăn cản những người dùng hợp pháp khả năng truy cập và sử dụng vào một dịch
vụ nào đó. DoS đánh vào bản chất tự nhiên của một quá trình truyền thông của client và
server, nếu có quá nhiều clicent truy cập thì server sẽ bị quá tải, buộc lòng phải từ chối
các yêu cầu truy cập khác. Tấn công từ chối dịch vụ là một trong những thủ đoạn nhằm
ngăn cản những người dùng hợp pháp khả năng truy cập và sử dụng vào một dịch vụ nào
đó. DoS có thể làm ngưng hoạt động của một máy tính, một mạng nội bộ thậm chí cả một
hệ thống mạng rất lớn. Về bản chất thực sự của DoS, kẻ tấn công sẽ chiếm dụng một
lượng lớn tài nguyên mạng như băng thông, bộ nhớ... và làm mất khả năng xử lý các yêu
cầu dịch vụ từ các khách hàng khác. Tấn công DoS nói chung không nguy hiểm như các
kiểu tấn công khác, vì kẻ tấn công ít có khả năng thâm nhập hay chiếm được thông tin dữ
liệu của hệ thống. Tuy nhiên, nếu máy chủ tồn tại mà không thể cung cấp thông tin, dịch
vụ cho người sử dụng thì sự tồn tại này là không có ý nghĩa, đặc biệt là các hệ thống phục
vụ các giao dịch điện tử thì thiệt hại là vô cùng lớn. Đối với hệ thống máy chủ được bảo
mật tốt, khó thâm nhập, việc tấn công từ chối dịch vụ DoS được các hacker sử dụng như
là “cú chót” để triệt hạ hệ thống đó.
Nó bao gồm: làm tràn ngập mạng, mất kết nối với dịch vụ… mà mục đích cuối
cùng là máy chủ (Server) không thể đáp ứng được các yêu cầu sử dụng dịch vụ từ các
máy trạm (Client).
Tấn công từ chối dịch vụ phân tán (DDoS - Distributed Denial Of Service) là kiểu
tấn công làm cho hệ thống máy tính hay hệ thống mạng quá tải, không thể cung cấp dịch
vụ hay phải dừng hoạt động, song từ nhiều nguồn tấn công khác nhau, phân tán trên
mạng. Sự khác biệt cơ bản giữa tấn công DoS và DDoS là DDoS sử dụng một mạng lưới
tấn công rộng khắp, gồm nhiều máy tấn công nằm rải rác trên mạng (còn gọi là các máy
tính ma - Zoombi, hay mạng Botnet).
Có nhiều loại công cụ tấn công DoS khác nhau và mỗi loại sử dụng những cơ chế
riêng để làm tràn ngập hệ thống nhưng kết quả cuối cùng vẫn là như nhau – làm cho hệ
thống mục tiêu trở nên quá bận rộn hay bị quá tải mà không thể đáp ứng được các yêu
cầu của người dùng, và một khi không thể đáp ứng được những yêu cầu này sẽ làm thiệt
hại về mặt kinh tế, uy tín cho đơn vị chủ quản của trang web bị tấn công (thường thì DoS
hay nhắm vào các trang web có chức năng kinh doanh trực tuyến, ứng dụng thương mại
điện tử). Ví dụ như vào các kì đại hội thể thao diễn ra như Euro, WorldCup thì các nhà cái
như Bet365.Com, SportingBet … có rất nhiều khách hàng đăng kí tham gia đoán kết
quả của những trận cầu nóng bỏng đen đến các nguồn lợi khổng lồ. Và các hacker biết rất
rõ những điều này, chính vì vậy họ thường hăm dọa những nhà cái trên sẽ tấn công DoS /
DDoS làm tê liệt trang web ngăn không cho khách hàng truy cập, còn nếu không muốn bị
tấn công thì phải đồng ý trả cho các hacker một khoản tiền lớn. Hình thức tống tiền này
được các băng nhóm tội phạm mạng ưa chuộng vì đem đến hiệu quả cao.
-
Dấu hiệu khi bị tấn công DoS
Thông thường thì hiệu suất mạng sẽ rất chậm.
Không thể sử dụng website.
Không truy cập được bất kỳ website nào.
Tăng lượng thư rác nhanh chóng.
Tấn công từ chối dịch cũng có thể dẫn tới vấn đề về nhánh mạng của máy
đang bị tấn công. Ví dụ băng thông của router giữa Internet và Lan có thể bị
tiêu thụ bởi tấn công, làm tổn hại không chỉ máy tính ý định tấn công mà còn
là toàn thể mạng.
2
Lịch sử các cuộc tấn công và phát triển của DoS
-
Các tấn công DoS bắt đầu vào khoảng đầu những năm 90. Đầu tiên, chúng hoàn
toàn “nguyên thủy”, bao gồm chỉ một kẻ tấn công khai thác băng thông tối đa từ nạn
nhân, ngăn những người khác được phục vụ. Điều này được thực hiện chủ yếu bằng
cách dùng các phương pháp đơn giản như ping floods, SYN floods và UDP floods. Sau
đó, các cuộc tấn công trở nên phức tạp hơn, bằng cách giả làm nạn nhân, gửi vài thông
điệp và để các máy khác làm ngập máy nạn nhân với các thông điệp trả lời. (Smurf
attack, IP spoofing…).
-
Các tấn công này phải được đồng bộ hoá một cách thủ công bởi nhiều kẻ tấn công
để tạo ra một sự phá huỷ có hiệu quả. Sự dịch chuyển đến việc tự động hoá sự đồng bộ,
kết hợp này và tạo ra một tấn công song song lớn trở nên phổ biến từ 1997, với sự ra
đời của công cụ tấn công Dos đầu tiên được công bố rộng rãi, Trinoo. Nó dựa trên tấn
công UDP flood và các giao tiếp master-slave (khiến các máy trung gian tham gia vào
trong cuộc tấn công bằng cách đặt lên chúng các chương trình được điều khiển từ xa).
Trong những năm tiếp theo, vài công cụ nữa được phổ biến – TFN (tribe flood
network), TFN2K, vaf Stacheldraht.
-
Tuy nhiên, chỉ từ cuối năm 1999 mới có những báo cáo về những tấn công như
vậy, và đề tài này được công chúng biết đến chỉ sau khi một cuộc tấn công lớn vào các
site công cộng tháng 2/2000. Trong thời gian 3 ngày, các site Yahoo.com,
amazon.com, buy.com, cnn.com và eBay.com đã đặt dưới sự tấn công (ví dụ như
Yahoo bị ping với tốc độ 1 GB/s). Từ đó các cuộc tấn công Dos thường xuyên xảy ra ví
dụ : Vào ngày 15 tháng 8 năm 2003, Microsoft đã chịu đợt tấn công DoS cực mạnh và
làm gián đoạn websites trong vòng 2 giờ; Vào lúc 15:09 giờ GMT ngày 27 tháng 3
năm 2003: toàn bộ phiên bản tiếng anh của website Al-Jazeera bị tấn công làm gián
đoạn trong nhiều giờ.
- Tháng 2/2007, hơn 10.000 máy chủ của game trực tuyến như Return to Castle
Wolfenstein, Halo, Counter-Strike …bị nhóm RUS tấn công với hệ thống điều khiển chủ
yếu đặt tại Nga, Uzbekistan và Belarus.
- Trong suốt các tuần đầu của cuộc chiến Nam Ossetia 2008, các trang web của chính phủ
Georgia luôn trong tình trạng quá tải, gồm các trang web ngân hàng quốc gia và của tổng
thống Georgia Mikhail Saakashvili. Chính phủ Nga phủ nhận mọi sự cáo buộc cho rằng
họ đứng đằng sau vụ tấn công.
- Tháng 8/2009, các vụ DDoS nhắm tới một loạt trang mạng xã hội đình đám như
Facebook, Twitter, LiveJournal và một số website của Google được thực hiện chỉ để
-
"khóa miệng" một blogger có tên Cyxymu ở Georgia
Ngày 28/11/2010, WikiLeaks bị tê liệt vì DDoS ngay khi họ chuẩn bị tung ra những tài
liệu mật của chính phủ Mỹ.
- Ngày 7/12/2010, nhóm hacker có tên Anonymous đánh sập website Visa.com sau khi tổ
chức những cuộc tấn công tương tự vào Mastercard và PayPal để trả đũa cho việc chủ
WikiLeaks bị tạm giam ở Anh.
- Ngày 3/3/2011, dịch vụ blog nổi tiếng thế giới WordPress bị tấn công.
- Ngày 4/3/2011, 40 trang web của các cơ quan chính phủ Hàn Quốc bị tê liệt vì DDoS.
3
1
Mục đích, mục tiêu của tấn công DoS
Mục đích
- Cố gắng chiếm băng thông mạng và làm hệ thống mạng bị ngập(flood), khi đó hệ thống
sẽ không có khả năng đáp ứng những dịch vụ khác cho người dùng bình thường.
- Cố gắng làm ngắt kết nối giữa 2 máy, và ngăn chặn quá trình truy nhập vào dịch vụ
- Cố gắng ngăn chặn những người dùng cụ thể vào một dịch vụ nào đó
-Cố gắng ngăn chặn các dịch vụ không cho người khác có khả năng truy cập vào các dịch
vụ như bị:
+ Tắt mạng
+ Tổ chức không hoạt động
+ Tài chính bị mất
2
Mục tiêu
Như chúng ta biết ở trên tấn công DoS xảy ra khi kẻ tấn công sử dụng hết tài
nguyên của hệ thống không thể đáp ứng cho người dùng bình thường được vậy các tài
nguyên chúng thường sử dụng để tấn công là :
- Tạo ra sự khan hiếm, những giới hạn và không đổi mới tài nguyên
- Băng thông của hệ thống mạng (Network Bandwidth), bộ nhớ, ổ đĩa, và CPU Time hay
cấu trúc dữ liệu đều là mục tiêu của tấn công DoS
- Tấn công vào hệ thống khác phục vụ cho mạng máy tính như: hệ thống điều hòa, hệ
thống điện, hệ thống làm mát và nhiều tài nguyên khác của doanh nghiệp.
- Phá hoại hay thay đổi các thông tin cấu hình
- Phá hoại tầng vật lý hay các thiết bị mạng như nguồn điện, điều hòa…
4
Phân loại
Có nhiều loại công cụ tấn công DoS khác nhau và mỗi loại sử dụng những cơ chế
riêng để làm tràn ngập hệ thống nhưng kết quả cuối cùng vẫn là như nhau – làm cho hệ
thống mục tiêu trở nên quá bận rộn hay bị quá tải mà không thể đáp ứng được các yêu
cầu của người dùng, và một khi không thể đáp ứng được những yêu cầu này sẽ làm thiệt
hại về mặt kinh tế, uy tín cho đơn vị chủ quản của trang web bị tấn công (thường thì DoS
hay nhắm vào các trang web có chức năng kinh doanh trực tuyến, ứng dụng thương mại
điện tử). Ví dụ như vào các kì đại hội thể thao diễn ra như Euro, WorldCup thì các nhà cái
như Bet365.Com, SportingBet … có rất nhiều khách hàng đăng kí tham gia đoán kết
quả của những trận cầu nóng bỏng đen đến các nguồn lợi khổng lồ. Và các hacker biết rất
rõ những điều này, chính vì vậy họ thường hăm dọa những nhà cái trên sẽ tấn công DoS /
DDoS làm tê liệt trang web ngăn không cho khách hàng truy cập, còn nếu không muốn bị
tấn công thì phải đồng ý trả cho các hacker một khoản tiền lớn. Hình thức tống tiền này
được các băng nhóm tội phạm mạng ưa chuộng vì đem đến hiệu quả cao.
Có 2 loại:
Loại 1: Dựa theo đặc điểm của hệ thống bị tấn công: gây quá tải khiến hệ thống mất khả
năng phục vụ
• Tin tặc gửi rất nhiều yêu cầu dịch vụ, bắt chước như người dùng thực sự yêu cầu
đối với hệ thống
• Để giải quyết yêu cầu, hệ thống phải tốn tài nguyên (CPU, bộ nhớ, đường truyền,
…). Mà tài nguyên này thì là hữu hạn. Do đó hệ thống sẽ không còn tài nguyên để
phục vụ các yêu cầu sau
• Hình thức chủ yếu của kiểu này tấn công từ chối dịch vụ phân tán
Loại 2 : Làm cho hệ thống bị treo, tê liệt do tấn công vào đặc điểm của hệ thống hay lỗi
về an toàn thông tin
• Tin tặc lợi dụng kẽ hở an toàn thông tin của hệ thống để gửi các yêu cầu hay các
gói tin không hợp lệ (không đúng theo tiêu chuẩn) một cách cố ý, khiến cho hệ
thống bị tấn công khi nhận được yêu cầu hay gói tin này, xử lý không đúng hoặc
không theo trình tự đã được thiết kế, dẫn đến sự sụp đổ của chính hệ thống đó
• Điển hình là kiểu tấn công Ping of Death hay SYN Flood
5
Các cách thức tấn công
Có một số phương pháp gây ra từ chối dịch vụ. Tất cả những cách tấn công trên
đều nhằm mục đích làm giảm chức năng của hệ thống mạng và có thể dẫn đến đánh sập
hệ thống, làm hệ thống không có khả năng hoạt động. Tạo ra một hiệu ứng DoS là tất cả
các cách có thể để phá hỏng hay làm cho hệ thống ngừng hoạt động. Có nhiều cách để
làm một hệ thống ngừng hoạt động, và thường sẽ tồn tại nhiều lỗ hổng trong hệ thống để
những kẻ tấn công sẽ cố gắng khai thác hay định vị để tấn công vào trong chúng cho đến
khi hắn nhận được kết quả mong muốn: mục tiêu bị phải chuyển sang trạng thái offline.
1
Tấn công thông qua kết nối (SYN Flood Attack)
Được xem là một trong những kiểu tấn công DoS kinh điển nhất. Lợi dụng sơ hở
của thủ tục TCP khi “bắt tay ba chiều”, mỗi khi client (máy khách) muốn thực hiện kết
nối (connection) với server (máy chủ) thì nó thực hiện việc bắt tay ba lần (three – ways
handshake) thông qua các gói tin (packet).
• Bước 1: Client (máy khách) sẽ gửi các gói tin (packet chứa SYN=1) đến máy chủ
để yêu cầu kết nối.
• Bước 2: Khi nhận được gói tin này, server sẽ gửi lại gói tin SYN/ACK để thông
báo cho client biết là nó đã nhận được yêu cầu kết nối và chuẩn bị tài nguyên cho
việc yêu cầu này. Server sẽ giành một phần tài nguyên hệ thống như bộ nhớ đệm
(cache) để nhận và truyền dữ liệu. Ngoài ra, các thông tin khác của client như địa
chỉ IP và cổng (port) cũng được ghi nhận.
• Bước 3: Cuối cùng, client hoàn tất việc bắt tay ba lần bằng cách hồi âm lại gói tin
chứa ACK cho server và tiến hành kết nối.
Do TCP là thủ tục tin cậy trong việc giao nhận (end-to-end) nên trong lần bắt tay
thứ hai,server gửi các gói tin SYN/ACK trả lời lại client mà không nhận lại được hồi âm
của client để thực hiện kết nối thì nó vẫn bảo lưu nguồn tài nguyên chuẩn bị kết nối đó và
lập lại việc gửi gói tin SYN/ACK cho client đến khi nào nhận được hồi đáp của máy
client.
Điểm mấu chốt là ở đây là làm cho client không hồi đáp cho Server. Và có hàng
nhiều, nhiều client như thế trong khi server vẫn “ngây thơ” lặp lại việc gửi packet đó và
giành tài nguyên để chờ “người về” trong lúc tài nguyên của hệ thống là có giới hạn! Các
hacker tấn công sẽ tìm cách để đạt đến giới hạn đó.
Nếu quá trình đó kéo dài, server sẽ nhanh chóng trở nên quá tải, dẫn đến tình trạng
crash (treo) nên các yêu cầu hợp lệ sẽ bị từ chối không thể đáp ứng được. Có thể hình
dung quá trình này cũng giống hư khi máy tính cá nhân (PC) hay bị “treo” khi mở cùng
lúc quá nhiều chương trình cùng lúc vậy .
Thông thường, để giả địa chỉ IP gói tin, các hacker có thể dùng Raw Sockets
(không phải gói tin TCP hay UDP) để làm giả mạo hay ghi đè giả lên IP gốc của gói tin.
Khi một gói tin SYN với IP giả mạo được gửi đến server, nó cũng như bao gói tin khác,
vẫn hợp lệ đối với server và server sẽ cấp vùng tài nguyên cho đường truyền này, đồng
thời ghi nhận toàn bộ thông tin và gửi gói SYN/ACK ngược lại cho Client. Vì địa chỉ IP
của client là giả mạo nên sẽ không có client nào nhận được SYN/ACK packet này để hồi
đáp cho máy chủ. Sau một thời gian không nhận được gói tin ACK từ client, server nghĩ
rằng gói tin bị thất lạc nên lại tiếp tục gửi tiếp SYN/ACK, cứ như thế, các kết nối
(connections) tiếp tục mở.
Do Drive thay đổi chính sách, nên một số link cũ yêu cầu duyệt download. các bạn chỉ cần làm theo hướng dẫn.
Password giải nén nếu cần: ket-noi.com | Bấm trực tiếp vào Link để tải:
You must be registered for see links