TRƯỜNG ĐH KỸ THUẬT CÔNG NGHỆ TP.

HCM
KHOA CÔNG NGHỆ THÔNG TIN
*************************

MÔN: Đồ Án Cơ Sở

BÁO CÁO DoS

(Denial of Services)

SINHVIEN: LƯU TẤN LỘC (0851020088)

GVHD: VĂN THIÊN HOÀNG

34
 MỤC LỤC
Mở Đầu
Chương 1: Giới Thiệu
1.1 Lịch sử phát triển
1.2 Khái Niệm
1.3 Triệu Chứng
1.4 Thiệt Hại
Chương 2: Các Kỹ Thuật Tấn Công & Một Số Tools Tấn Công
2.1 Winnuke
2.2 Teardrop
2.3 Fraggle Attack
2.4 Smurf Attack
2.5 SYN Flood Attack
2.6 Land Attack
2.7 UDP Flood
2.8 Ping of Death
2.9 Tấn Công DNS
2.10 Các Tools Tấn Công DoS
Chương 3: Biện Pháp Phòng Chống và Mô Hình
3.1 Các giải pháp phòng chống tấn công DoS
3.2 Tổng quan về IPS
3.2.1 Giới Thiệu
3.2.2 Phân Loại
3.3 Mô hình thực tế
Chương 4: Thực Nghiệm
4.1 Giới thiệu về tấn công thực nghiệm
4.2 Công cụ và các bước chuẩn bị
4.3 Thực nghiệm
Kết Luận
Nguồn tài liệu

34
 Mở Đầu
Giới Thiệu:
Ngày nay với sự phát triển của khoa học kỹ thuật cũng như về Công
nghệ thông tin,theo đó mạng máy tính phát triển rất mạnh và là nguồn tài
nguyên mà bất kì công ty hay các cơ quan xí nghiệp đều khai thác.Qua đó
tạo tiền đề cho việc phát triển kinh tế,xã hội…Bên cạnh sự phát triển đó thì
có sự xuất hiện của những phần tử xấu chuyên phá hoại và đánh cắp các
thông tin trên mạng.Vì thế,việc tìm hiểu về các cách tấn công sẽ giúp
chúng ta đưa ra được các phương pháp phòng chống và bảo mật tốt cho
cơ sở hạ tầng mạng,cơ sở dữ liệu và an toàn thông tin cho người dùng.

Mục Tiêu Đề Tài:

Hiện nay đã có rất nhiều cuộc tấn công DoS vào các website,forum
và điển hình là cuộc tấn trang tin tức “vietnamnet.vn” vừa qua.Qua đó,đề
tài này nghiên cứu những phương pháp tấn công cở bản và là nền tảng
cho các cuộc tấn công lớn như DdoS hay DRDoS.
Bố cục đề tài:
Chương 1: Giới Thiệu
Giới thiệu sơ lược về khái niệm,lịch sử và các mặt hại cũng như
những triệu chứng khi bị tấn công DoS.Qua đó giúp ta nắm rõ về sự ra đời
cũng như là những điều căn bản của tấn công từ chối dịch vụ.
Chương 2: Các kỹ thuật tấn công & Một Số Tools Tấn Công
Giới thiệu 1 số công cụ kỹ thuật,cách thức tấn công DoS hiện nay và
các công cụ tấn công.Qua đó hiểu rõ thêm về cách thức tấn công và cách
sử dụng các Tools.
Chương 3: Biện pháp phòng chống và Mô Hình

34
 Dựa vào các nghiên cứu về cách tấn công DoS mà ta có những cách
phòng chống tối ưu nhất và khắc phục kịp thời trước tình trạng bị tấn công
nhằm đảm bảo đường truyền,băng thông,dữ liệu và thiết bị của hệ thống.
Chương 4: Thực Nghiệm
Thực nghiệm tấn công DoS vào 1 trang web hay 1 server bất kì và ở
đây chỉ mang tính học tập và nghiên cứu.

34
 Chương 1
Giới Thiệu:
1.1 Khái Niệm:
DoS (Denial of Services Attack) hay còn gọi là “Tấn Công Từ Chối
Dịch Vụ” là 1 dạng tấn công mà người thực hiện có thể dùng để khiến cho
một hệ thống không thể sử dụng được hoặc làm chậm hệ thống lại,khiến
nó không thể phục vụ cho những người dùng truy cập vào dịch vụ của
server.Nguyên lý hoạt động cơ bản của nó là làm quá tải tài nguyên của hệ
thống (tài nguyên ở đây có thể là băng thông,bộ nhớ,CPU,đĩa
cứng..v..v.),làm cho server không thể đáp ứng các yêu cầu từ các máy
Client và Server sẽ nhanh chóng bị ngừng hoạt động hoặc reboot.Mục tiêu
của DoS Attack không phải để chiếm quyền truy cập vào máy tính,dữ liệu
hay kiểm soát 1 hệ thống mà là để ngăn cản những người dùng (User) sử
dụng dịch vụ đó.
Kẻ tấn công có thể cố thực hiện những việc sau:
- Làm ngập lụt mạng,sẽ làm nghẽn việc lưu thông trong mạng.
- Làm gián đoạn kết nối giữa 2 máy tính,sẽ ngăn cản việc truy
cập,sử dụng dịch vụ của server.
- Ngăn chặn 1 cá nhân nào đó truy cập,sử dụng dịch vụ của server.
- Làm gián đoạn việc cung cấp dịch vụ đến một hệ thống hay một
user nào đó.
1.2 Lịch sử phát triển:
Tấn công từ chối dịch vụ (DoS) xuất hiện vào cuối những năm 90.
Hoạt động này bắt nguồn trong quá trình,các chuyên gia bảo mật đã phát
hiện khiếm khuyết hệ thống trên HĐH Windows 98 là chỉ cần gửi một gói
dữ liệu ping có dung lượng lớn cũng đủ để làm tê liệt một server mục tiêu.
Phát hiện này ngay lập tức được giới hacker sử dụng để triệt tiêu
những đối tượng mà họ có ý định tấn công. Từ đây, hình thức sơ khai của
tấn công từ chối dịch vụ (DoS) ra đời. Trong khi đó, DDoS (Distributed
Denial of Service) thì dựa vào việc gửi một lệnh ping tới một danh sách
gồm nhiều server (kiểu này gọi là amplifier), giả một gói ping với IP của

34
 victim thay vì IP của Hacker. Các server khi trả lời yêu cầu ping này khi đó
sẽ làm “lụt” nạn nhân với những phản hồi gọi là pong.
Ngoài ra,1 số loại virus và worm cũng có thể gây tấn công DDoS. Ví
dụ như những virus phát tán e-mail số lượng lớn như Loveletter, Melissa,
làm lụt mail server khiến các máy chủ không thể xử lý những yêu cầu hợp
lệ. Hiện nay, nhiều loại sâu Internet lợi dụng lỗi trong máy tính (ví dụ virus
Sasser năm 2004) để làm lụt các máy tính chạy Windows có khiếm khuyết,
khiến PC không thể tải về các bản vá lỗi.
Và Hacker thường khống chế một máy tính từ xa bằng một lỗ hổng
của máy tính.Máy tính này (về sau sẽ trở thành mầm của mạng lưới máy
tính bị khống chế phục vụ tấn công DDoS, gọi là botnet) sẽ được cài 1
phần mềm để đảm bảo nó luôn được kết nối trong mạng.Máy tính này
cũng đồng thời Scan trên mạng Internet các máy tính có lỗ hổng về bảo
mật hay về lỗi hệ điều hành mà lây lan mã độc nhằm khống chế và đảm
bảo luôn online trong mạng như máy trên và sẵn sàng nhận lệnh của
hacker hay tham gia tìm kiếm các PC có lỗi khác trong mạng Internet.
Chỉ trong vài ngày, mạng máy tính ma này sẽ tăng lên hàng trăm
hoặc hàng nghìn thành viên. Đến thời điểm lực lượng này đủ hùng hậu,
chúng sẽ đồng loạt được sử dụng để thực hiện lệnh tấn công vào mục tiêu
theo ý muốn của Hacker. Mục tiêu sẽ biến mất khỏi mạng, tức là offline
hoàn toàn. Đồng thời tất cả những hoạt động tương tác trên môi trường
Internet của nạn nhân cũng ngừng luôn.
1.3 Triệu Chứng:
The United States Computer Emergency Response Team xác định các
triệu chứng tấn công từ chối dịch vụ bao gồm:
• Hiệu suất mạng chậm 1 cách bất thường (mở file hay truy cập
các web)
• Không có khả năng truy cập các trang web
• Tăng đột biến số lượng thư rác nhận được(đây là 1 loại tấn
công DoS được ví như là email-bomb)
Tấn công từ chối dịch vụ có thể dẫn đến các vấn đề trong các mạng
nội bộ xung quanh các máy tính đang bị tấn công. Ví dụ,băng thông của
router giữa mạng Internet và mạng Lan có thể bị chiếm dụng bởi một cuộc
tấn công,không chỉ làm ảnh hưởng các máy tính theo dự định ban đầu, mà
còn toàn bộ mạng.
Nếu cuộc tấn công được tiến hành trên quy mô lớn thì toàn bộ các
kết nối Internet trong 1 khu vực địa lý có thể bị tổn hại.Và điều đó sẽ không
xảy ra khi mà hacker không có kiến thức nhất định về mạng hay cấu hình
các thiết bị mạng không đúng hoặc cơ sở hạ tầng yếu.

34
 1.4 Thiệt Hại:
- Ngắt kết nối mạng
- Tổ chức không hoạt động
- Thiệt hại về tài chính
- Mất uy tín với khách hàng

34
 Chương 2
Các Kỹ Thuật Tấn Công & Một Số Tools Tấn Công
2.1 Winnuke

(Hình 1.1: Gói tin TCP Header được Attacker sử dụng)

Attack loại này chỉ có thể áp dụng cho các máy tính đang chạy
Windows9x . Hacker sẽ gởi các gói tin với dữ liệu “Out of Band” đến port
139 của máy tính đích.( Cổng 139 chính là cổng NetBIOS, cổng này chỉ
chấp nhận các gói tin có cờ Out of Band được bật ). Khi victim nhận được
gói tin, một màn hình xanh báo lỗi sẽ được hiển thị do chương trình của
Windows nhận được các gói tin dẫn đến hệ thống sẽ bị treo.

34
 2.2 Teardrop

(Hình 1.2: Cơ chế tấn công bằng Teardrop)

Dựa vào quá trình di chuyển dữ liệu từ máy nguồn tới máy đích qua
2 quá trình là dữ liệu sẽ được phân ra thành các mảnh nhỏ ở hệ thống
nguồn và mỗi mảnh đều có một giá trị offset định để xác định vị trí của
mảnh đó trong gói dữ liệu được chuyển đi.Khi các mảnh này đến hệ thống
đích, hệ thống đích sẽ dựa vào giá trị offset để sắp xếp các mảnh lại với
nhau theo thứ tự đúng như ban đầu.Tận dụng điều đó Hacker gởi đến hệ
thống đích một loạt gói packets với giá trị offset chồng chéo lên nhau. Hệ
thống đích sẽ không thể nào sắp xếp lại các packets này,vì vậy hệ thống
đích có thể bị treo, reboot hoặc ngừng hoạt động nếu số lượng gói packets
với giá trị offset chồng chéo lên nhau quá lớn.Các hệ điều hành như
Windows NT,Windows 95..thậm chí cả Linux trước khi lên phiên bản 2.1.63
là rất dễ bị tấn công bởi phương pháp này.

34
 2.3 Smuft Attack

(Hình 1.3: Mô hình tấn công Smuft Attack)

Hai nhân tố chính trong Smuft Attack là là các ICMP echo request
packets và chuyển trực tiếp các packets đến các địa chỉ broadcast.
+ Giao thức ICMP thường dùng để xác định một máy tính trên mạng
Internet có còn hoạt động(alive) hay không.
+ Mỗi mạng máy tính đều có địa chỉ địa chỉ broadcast và địa chỉ
mạng. Địa chỉ broadcast có các bit host đều bằng 0 và địa chỉ broadcast có
các bit host đều bằng 1.
Một kiểu tấn công khó chịu của DoS là Smurf Attack .Trong
Smurf Attack, có ba thành phần: hacker (người ra lệnh tấn công), mạng
khuếch đại (sẽ lệnh của hacker) và hệ thống của nạn nhân. Hacker sẽ gởi
các gói tin ICMP echo đến địa chỉ broadcast của mạng khuếch đại. Điều
đặc biệt là các gói tin ICMP packets này có địa chỉ IP nguồn chính là địa
chỉ IP của victim. Khi các packets đó đến được địa chỉ broadcast của mạng
khuếch đại, các máy tính trong mạng khuếch đại sẽ tưởng rằng máy tính
nạn nhân đã gởi gói tin ICMP packets đến và chúng sẽ đồng loạt gởi trả lại
hệ thống nạn nhân các gói ICMP reply packets. Victim sẽ không chịu nổi

34
 một khối lượng khổng lồ các gói tin này và nhanh chóng bị ngừng hoạt
động, crash hoặc reboot.Phần khó chịu của cuộc tấn công này là Hacker
có thể sử dụng kết nối băng thông thấp để diệt kết nối băng thông cao.Như
vậy, chỉ cần gởi một lượng nhỏ các gói tin ICMP packets đi thì hệ thống
mạng khuếch đại sẽ khuếch đại lượng gói tin ICMP packets này lên gấp
bộI.Tỉ lệ khuếch đại phụ thuộc vào số máy tính phía sau Router có trong
mạng khuếch đại. Nhiệm vụ của các hacker là cố chiếm được càng nhiều
hệ thống mạng hoặc routers cho phép chuyển trực tiếp các gói tin đến địa
chỉ broadcast không qua chỗ lọc địa chỉ nguồn ở các đầu ra của gói tin.Có
được các hệ thống này, hacker sẽ dễ dàng tiến hành Smurf Attack trên các
hệ thống cần tấn công.

2.4 Fraggle Attack

(Hình 1.4: Mô Hình tấn công bằng Fraggle Attack)

Tương tự như Smurt attack nhưng thay vì dùng gói tin ICMP ECHO
REQUEST thì sẽ dùng cách tấn công này sẽ dùng gói tin UDP ECHO gởi
đến mục tiêu.Nhưng Flaggle Attack nguy hiểm hơn Smurt attack rất
nhiều.Vì Attacker tấn công bằng một gói tin ECHO REQUEST với địa chỉ
bên nhận là một địa chỉ broadcast, toàn bộ hệ thống thuộc địa chỉ này lập
tức gửi gói tin REPLY đến port echo của victim, sau đó từ victim một gói tin

34
 ECHO REPLY lại gửi trở về địa chỉ broadcast, và quá trình cứ thế tiếp
diễn.

34
 2.5 SYN Flood Attack

(Hình 1.5: Mô hình tấn công bằng SYN Flood Attack)

 Attacker gửi các gói tin TCP SYN request tới máy chủ muốn tấn
công. Để xử lý lượng gói tin SYN này hệ thống cần tốn một lượng bộ
nhớ cho kết nối.
 Khi máy chủ nhận các gói SYN ảo và chiếm hết các yêu cầu xử lý
của máy chủ.Thì lúc này bất kì người dùng nào muốn truy cập máy
chủ đều không được vì máy chủ không còn khả năng đáp lại Đây là
kiểu tấn công mà kẻ tấn công lợi dụng quá trình giao tiếp của TCP
theo bắt tay 3 bước.
 Quá trình bắt tay 3 bước là: Khi A muốn kết nối với B. (1) A gửi một
gói TCP SYN tới B ,(2) B khi nhận được gói SYN từ A sẽ gửi lại máy
A gói ACK đồng ý kết nối ,(3) A gửi lại B gói ACK và bắt đầu các giao
tiếp dữ liệu.A và B sẽ giữ kết nối ít nhất là 75 giây để trao đổi dữ liệu.
 Các đoạn mã nguy hiểm có khả năng sinh ra một số lượng cực lớn
các gói TCP SYN tới máy chủ bị tấn công, địa chỉ IP nguồn của gói
tin đã bị thay đổi và đó chính là tấn công DoS.

34
  Hacker lợi dụng kẽ hở này để thực hiện hành vi tấn công nhằm sử
dụng hết tài nguyên của hệ thống bằng cách giảm thời gian yêu cầu
Three-way handshake xuống rất nhỏ và không gửi lại gói ACK, cứ
bắn gói SYN ra liên tục trong một thời gian nhất định và không bao
giờ trả lời lại gói SYN&ACK từ máy bị tấn công.
2.6 Land Attack

(Hình 1.6: Mô Hình tấn công bằng Land Attack)

Land Attack là một kiểu tấn công cũng gần giống như SYN Attack,
nhưng thay vì dùng các địa chỉ ip không có thực, hacker sẽ dùng chính địa
chỉ ip của nạn nhân. Điều này sẽ tạo nên một vòng lặp vô tận trong chính
hệ thống nạn nhân đó, giữa một bên cần nhận thông tin phản hồi còn một
bên thì chẳng bao giờ gởi thông tin phản hồi.Và nghiên cứu gần đây cho
thấy,Windows XP SP2 và Windows 2003 rất dễ bị tấn công bởi phương
pháp này.Nhưng trên thực tế thì các hệ điều hành như Sun OS,BSD (Unix)
và Macs là dễ bị tấn công bằng phương pháp này.

34
 2.7 UDP Flood

(Hình 1.7: Mô hình tấn công bằng UDP Flood)

Hacker thực hiện bằng cách gửi 1 số lượng lớn các gói tin UDP có
kích thước lớn đến hệ thống mạng, khi hệ thống mạng bị tấn công UDP
Flood sẽ bị quá tải và chiếm hết băng thông của đường truyền, vì thế nó
gây ra những ảnh hưởng rất lớn đến đường truyền , tốc độ của mạng, gây
khó khăn cho người dùng khi truy cập vào mạng này.

UDP Flood cần có ít nhất 2 hệ thống máy tham gia. Hackers tự làm
hệ thống của mình đi vào một vòng lặp trao đổi các dữ liệu qua giao thức
UDP bằng việc giả mạo địa chỉ IP của các gói tin là địa chỉ loopback và gởi
gói tin đến máy của vitim thông qua cổng UDP echo ( 7 ).Máy của victim
sẽ request các gói tin do 127.0.0.1(chính nó) gởi đến,kết quả là nó sẽ đi
vòng một vòng lặp vô tận. Nhưng đó là con dao 2 lưỡi vì hiện nay có rất
nhiều hệ thống cấm sử dụng địa chỉ loopback nên khi Hacker thực hiện tấn
công này thì sẽ rơi vào vòng lập do chính mình tạo ra.

34
34
 2.8 Ping of Death

(Hình 1.8: Mô hình tấn công Ping Of Death)

Tấn công Ping of Death (hay PoD) có thể làm tê liệt cả mạng lưới
dựa trên lổ hổng của hệ thống TCP/IP.Kích thước tối đa cho 1 gói dữ liệu
là 65,535 bytes.Nếu ta gửi các gói tin lớn hơn nhiều so với kích thước tối
đa thông qua lệnh “ping” đến máy đích thì sẽ làm máy tính đích bị treo
Nhưng gửi 1 gói tin lớn hơn kích thước quy định là điều trái với luật
của giao thức TCP/IP,vì vậy Hacker đã khéo léo gửi các gói tin trên các
đoạn phân mảnh.Khi máy tính victim ráp các phân mảnh dữ liệu thì sẽ
nhận thấy gói tin quá lớn.Điều này sẽ gây ra lỗi tràn bộ đệm và treo các
thiết bị.
Nhưng đến nay thì hầu hết các thiết bị được sản xuất sau năm 1998
đã miễn dịch với loại tấn công này.

34
 2.9 Tấn Công DNS

(Hình 1.3: Mô hình tấn công DNS)

Đầu tiên,Hacker tấn công vào DNS server bằng các phương pháp
khai thác lỗ hổng hoặc lợi dụng sự kém bảo mật của hệ thống.Sau
đó,Hacker có thể đổi đường dẫn vào Domain Name Server của hệ thống
nạn nhân nhằm làm cho DNS của hệ thống phân giải đến một Fake
Website của hacker. Khi máy khách yêu cầu DNS phân tích địa chỉ bị xâm
nhập thành địa chỉ IP, lập tức DNS ( đã bị hacker thay đổi cache tạm thờI )
sẽ đổi thành địa chỉ IP mà hacker đã cho chỉ đến đó . Kết quả là thay vì
phải vào trang Web muốn vào thì các nạn nhân sẽ vào trang Web do chính
hacker tạo ra.

34
 2.10 Các Tools Tấn Công DoS
2.10.1 Nemesys

(Hình 2.1: Giao diện phần mềm Nemesys)

- Đây là một chương trình sinh ra những gói tin ngẫu nhiên như (protocol,
port,size, …)
- Dựa vào chương trình này kẻ tấn công có thể chạy các đoạn mã nguy
hiểm vào máy tính không được bảo mật.

2.10.2 DoSHTTP 2.5.1

(Hình 2.2 Giao diện phần mềm DoSHTTP 2.5.1)

Đây là phần mềm làm “Flood” Website ở mức độ nhẹ và nó thực hiện
bằng cách gửi các gói tin Request đến port 80 của website.
Mục đích của phần mềm là giúp các quản trị viên đánh giá được
năng suất hoạt động và hiệu quả của hệ thống nhằm đưa ra phương án tốt
nhất.

34
 2.10.3 UDP Flood

(Hình 2.3: Giao diện phần mềm UDP Flood)

- UDPFlood là một chương trình gửi các gói tin UDP

- Nó gửi ra ngoài những gói tin UDP tới một địac hỉ IP và port không cố
định
- Gói tin có khả năng là một đoạn mã văn bản hay một số lượng dữ liệu
được sinh ngẫu nhiên hay từ một file
- Được sử dụng để kiểm tra khả năng đáp ứng của server

2.10.4 rDoS

(Hình 2.4: Giao diện phần mềm rDoS)

34
 Phần mềm chạy trên nền TCP và phương pháp tấn công là làm ngập lụt
SYN.
Chỉ cần nhập IP của Vitim và Port muốn tấn công thì chương trình sẽ tự
động chạy.
Lưu ý:Khi sử dụng thì phải cẩn thận và thoát ra đúng cách vì nếu không
máy tính của mình sẽ tự động tấn công DoS tới victim đã chỉ định khi mình
bật máy lên,dù chưa làm 1 thao tác nào.Để kiểm tra thì chúng ta sử dụng
WireShark sẽ thấy rõ vấn đề.

34
 Chương 3
Biện Pháp Phòng Chống DoS và Mô Hình
3.1 Các giải pháp phòng chống tấn công DoS
Dựa vào thực trạng hiện nay và mật độ các cuộc tấn công DoS xảy ra có
xu hướng gia tăng thì việc bảo vệ hệ thống và phòng chống các cuộc tấn
công là điều tất yếu.Vì vậy việc phòng chống tấn công DoS cũng không
ngoại lệ.Do đó,những chuyên gia đã đề ra 1 số biện pháp như sau:
Phòng ngừa các điểm yếu của ứng dụng (Application Vulnerabilities)
Hacker có thể khai thác các lỗ hổng gây lỗi tràn bộ đệm dẫn đến dịch vụ bị
chấm dứt ở tầng Application.Lỗi chủ yếu được tìm thấy trên các ứng dụng
mạng của Windows như Webserver, DNS,hay SQL Database.Vì vậy việc
cập nhật các bản vá lỗi dành cho hệ thống của các nhà cung cấp là hết
sức quan trong và cần thiết.Ngoài ra, hệ thống cần theo dõi các yêu cầu
trao đổi nội dung giữa client và server, nhằm tránh cho server chịu tấn
công qua các thành phần gián tiếp.
Ngăn ngừa kênh phát động tấn công sử dụng công cụ
Có rất nhiều các công cụ tự động tấn công DoS, chủ yếu là tấn công phân
tán DDoS như TFN, TFN2000 (Tribe Flood Network) tấn công dựa trên
nguyên lý Smurf, UDP, SYN, hay ICMP. Các công cụ này có đặc điểm cần
phải có các kênh phát động để zombie thực hiện tấn công tới một đích cụ
thể.Vì vậy hệ thống cần phải có sự giám sát và ngăn ngừa các kênh phát
động đó.
Ngăn chặn tấn công trên băng thông
Khi một cuộc tấn công DoS được phát động, dựa vào sự thay đổi các
thành phần của lưu lượng hệ thống mạng mà ta có thể phát hiện của tấn
công DoS. Ví dụ một hệ thống mạng điển hình có thể có 80% TCP và 20%
UDP và ICMP. Thống kê này nếu có thay đổi rõ rệt có thể là dấu hiệu của
một cuộc tấn công.
Việc phân tán lưu lượng trong hệ thống mạng gây ra bởi các WORM để lại
các tác hại lên router, firewall, hoặc cơ sở hạ tầng mạng.Do đó hệ thống
cần được giám sát và điều phối băng thông nhằm giảm thiểu tác hại của
tấn công dạng này.
Ngăn chặn tấn công qua SYN
SYN Flood là một trong những tấn công cổ nhất còn tồn tại được đến hiện
tại, dù tác hại của nó không giảm. Điểm căn bản để phòng ngừa việc tấn
công này là khả năng kiểm soát được số lượng yêu cầu SYN-ACK tới hệ
thống mạng.

34
 Phát hiện và ngăn chặn tấn công tới hạn số kết nối
Bản thân các server có một số lượng tới hạn đáp ứng các kết nối tới nó.
Ngay bản thân firewall (đặc biệt với các firewall có tính năng stateful
inspection), các kết nối luôn được gắn liền với bảng trạng thái có giới hạn
dung lượng. Đa phần các cuộc tấn công đều sinh số lượng kết nối ảo
thông qua việc giả mạo. Để phòng ngừa tấn công dạng này, hệ thống cần
phân tích và chống được spoofing. Giới hạn số lượng kết nối từ một nguồn
cụ thể tới server (quota).
Phát hiện và ngăn chặn tấn công tới hạn tốc độ thiết lập kết nối
Một trong những điểm các server thường bị lợi dụng là khả năng các bộ
đệm giới hạn giành cho tốc độ thiết lập kết nối, dẫn đến quá tải khi phải
chịu sự thay đổi đột ngột về số lượng sinh kết nối. Ở đây việc áp dụng bộ
lọc để giới hạn số lượng kết nối trung bình rất quan trọng. Một bộ lọc sẽ
xác định ngưỡng tốc độ kết nối cho từng đối tượng mạng. Thông thường,
việc này được bằng số lượng kết nối trong thời gian nhất định để cho phép
sự dao động trong lưu lượng.
Các cách chống DoS khá hiệu quả được các chuyện gia đưa ra là:
• Mở rộng băng thông.
• Sử dụng cơ chế cân bằng tải (Load Balancing)
• Cản lọc các gói tin từ tầng IP (ít nhất là giới hạn số lượng request
liên tục từ 1 IP trong một khoảng thời gian nào đó).
• Tối ưu hóa TCP Stack.
• Tối ưu hóa Web Server.
• Không nên sử dụng Flash hoặc ít nhất mặc định là không cho
chạy Flash, rồi có thể cho phép theo từng website cụ thể.Vì
Hacker có thể lợi dụng việc chạy Flash mà nhúng các mã độc vào
nhằm tấn công hệ thống.

34
 3.2 Tổng Quan Về IPS
3.2.1 Giới thiệu
Hệ thống phát hiện chống xâm nhập IPS (Intrusion Prevention System) là 1
thiết bị bảo mật mạng nhằm kiểm tra các hoạt động trong mạng để xác
định các hoạt động mang tính nguy hiểm tới hệ thống.

3.2.2 Phân Loại

Hệ thống phòng chống xâm nhập có thể thân thành 4 loại khác nhau
• Network-based Intrusion Prevention (NIPS) : giám sát toàn bộ lưu
lượng đáng ngờ trong mạng lưới bằng cách phân tích các hoạt động
của giao thức
• Wireless Intrusion Prevention Systems (WIPS) : giám sát toàn bộ lưu
lượng đáng ngờ trong mạng không dây bằng cách phân tích các hoạt
động của giao thức mạng không dây.
• Network Behavior Analysis (NBA) : kiểm tra lưu lượng mạng để xác
định mối đe dọa cho hệ thống từ các luồng dữ liệu bất thường trong
hệ thống.
• Host-based Intrusion Prevention (HIPS): là 1 gói phần mềm được cài
đặt nhằm theo dõi 1 máy chủ có các hoạt động bất thường nào
không bằng cách phân tích các sự kiện xảy ra ở máy chủ.

3.3 Mô hình phòng chống tấn công IPS đơn giản:

Như ta đã biết,trong hệ thống tổng thể về security, để đối phó với các
cuộc tấn công từ chối dịch vụ (DoS), thì thành phần IPS được coi là quan
trọng nhất ở tính trong suốt với người dùng, nên việc phân tích các luồng
thông tin trao đổi giữa server và người dùng không bị ảnh hưởng bởi các
luồng tấn công hướng thẳng đến nó.
Mô hình dưới gồm:
• 2 Router (Mô Phổng Mạng Internet)
• IPS (intruction Prevention System - Hệ thống báo động xâm
nhập)
• 1 Máy server
• 1 Máy Client (Attacker)
• Tool SDM (Dùng để dựng và cập nhật các dấu hiệu bị tấn
công)

34
 (Hình 3.1: Mô hình tấn công và phòng thủ trên GNS3)

34
 Bảng Cấu Hình Của IPS
version 12.4 !
service timestamps debug datetime msec interface Serial0/0
service timestamps log datetime msec ip address 20.0.0.2 255.0.0.0
no service password-encryption ip ips sdm_ips_rule in
! ip virtual-reassembly
hostname IPS serial restart-delay 0
! no dce-terminal-timing-enable
boot-start-marker !
boot-end-marker interface Serial0/1
! no ip address
no logging buffered shutdown
! serial restart-delay 0
no aaa new-model no dce-terminal-timing-enable
! !
resource policy interface Serial0/2
! no ip address
memory-size iomem 5 shutdown
! serial restart-delay 0
ip cef no dce-terminal-timing-enable
! !
ip ips sdf location flash://sdmips.sdf interface Serial0/3
ip ips sdf location tftp://40.0.0.2 no ip address
ip ips notify SDEE shutdown
ip ips name sdm_ips_rule serial restart-delay 0
! no dce-terminal-timing-enable
! !
crypto pki trustpoint TP-self-signed-0 interface FastEthernet1/0
enrollment selfsigned ip address 10.0.0.1 255.0.0.0
subject-name cn=IOS-Self-Signed- ip virtual-reassembly
Certificate-0 duplex auto
revocation-check none speed auto
rsakeypair TP-self-signed-0 !
! router rip
! network 10.0.0.0
crypto pki certificate chain TP-self-signed-0 network 20.0.0.0
certificate self-signed 01 nvram:IOS-Self- !
Sig#3001.cer ip http server
! ip http secure-server
! !
username loc privilege 15 password 0 loc control-plane
! !

34
 line con 0 login local
line aux 0 transport input telnet ssh
line vty 0 4 !
privilege level 15 end
Bảng Cấu Hình Router SGon
version 12.4 serial restart-delay 0
service timestamps debug datetime msec no dce-terminal-timing-enable
service timestamps log datetime msec !
no service password-encryption interface Serial0/1
! ip address 30.0.0.1 255.0.0.0
hostname SGon serial restart-delay 0
! no dce-terminal-timing-enable
boot-start-marker !
boot-end-marker interface Serial0/2
! no ip address
! shutdown
no aaa new-model serial restart-delay 0
! no dce-terminal-timing-enable
resource policy !
! interface Serial0/3
memory-size iomem 5 no ip address
! shutdown
! serial restart-delay 0
ip cef no dce-terminal-timing-enable
! !
! router rip
! network 20.0.0.0
! network 30.0.0.0
! !
! ip http server
! no ip http secure-server
! !
! !
! !
! !
! !
! !
! control-plane
! !
interface Serial0/0 !
ip address 20.0.0.1 255.0.0.0 !

34
 ! line aux 0
! line vty 0 4
! !
! !
! end
line con 0

34
 Bảng Cấu Hình Router HNoi
version 12.4 interface Serial0/1
service timestamps debug datetime msec no ip address
service timestamps log datetime msec shutdown
no service password-encryption serial restart-delay 0
! no dce-terminal-timing-enable
hostname HNoi !
! interface Serial0/2
boot-start-marker no ip address
boot-end-marker shutdown
! serial restart-delay 0
! no dce-terminal-timing-enable
no aaa new-model !
! interface Serial0/3
resource policy no ip address
! shutdown
memory-size iomem 5 serial restart-delay 0
! no dce-terminal-timing-enable
! !
ip cef interface FastEthernet1/0
! ip address 40.0.0.1 255.0.0.0
! duplex auto
! speed auto
! !
! router rip
! network 30.0.0.0
! network 40.0.0.0
! !
! ip http server
no ip http secure-server
! !
! !
! !
! !
! !
! !
! control-plane
interface Serial0/0 !
ip address 30.0.0.2 255.0.0.0 !
serial restart-delay 0 !
no dce-terminal-timing-enable !
! !

34
 ! !
line con 0 !
line aux 0 end
line vty 0 4
Sau đó chúng ta sử dụng SDM để khởi tạo IPS bằng cách tạo kết nối tới Router
IPS (IP:10.0.0.1)

(Hình 3.2: Giao diện đăng nhập để sử dụng SDM)

Màn hình chính sau khi kết nối tới Router IPS có dạng như sau:

34
 (Hình 3.3: Giao diện sau khi đăng nhập thành công)

Chọn “Launch IPS Rule Wizard…” để khởi tạo IPS và đổ dữ liệu xuống Router
IPS ban đầu.

34
 (Hình 3.4: Giao diện khởi tạo IPS bằng SDM)
Tiếp theo Import các file cảnh báo dấu hiệu và xử lý các cảnh báo đó dành cho
IPS.Các file có dạng *.sdf

(Hình 3.5: Import các rule vào hệ thống IPS)

34
 Thư viện các dấu hiệu sau khi Import và đổ dữ liệu vào Router IPS có dạng:

(Hình 3.6: Giao diện chỉnh sửa các rule IPS )

Như vậy,ta đã cấu hình xong IPS 1 cách đơn giản với tool SDM và các file dấu
hiêu *.sdf.
Còn bây giờ ta sử dụng thủ thuật Ping Of Death như đã giới thiệu ở trên bằng
lệnh trong CMD: ping <IP> -t –l 65000.

34
 (Hình 3.7: Giao diện sử dụng cách tấn công Ping Of Death)

Và kết quả đạt được sau khi cấu hình IPS:

(Hình 3.8: Giao diện cảnh báo và xử lý của IPS)

Như vậy,ta đã xây dựng 1 hướng giải quyết việc tấn công bằng DoS,đó là xây
dưng hệ thống IPS.
Nhưng nhìn chung,nếu chúng ta xây dựng 1 hệ thống tốt thì chúng ta chỉ có thể
hạn chế việc bị tấn công DoS quy mô vừa và nhỏ.Nếu Server hay hệ thống bị tấn
công với quy mô lớn thì ngay cả chúng ta xây dựng hệ thống tốt thì cũng xảy ra
sự cố và vấn đề.Và ví dụ cụ thể là việc trang web vietnamnet bị tấn công DoS đã
làm cho thiệt hại cả người và của.

34
 Chương 4
Thực Nghiệm
4.1 Giới thiệu về tấn công thực nghiệm
Cuộc tấn công DoS trong thực nghiệm dưới đây chỉ mang tính minh họa cho lý
thuyết ở trên và không mang tính phá hoại nên chỉ sử dụng công cụ có các tính năng
nhẹ nhằm giảm tính phá hoại hệ thống.Công cụ sử dụng ở đây là DoSHTTP 2.5.1,là
công cụ có tính phá hoại nhẹ và cũng là công cụ giúp đỡ cho các quản trị viên kiểm tra
và đánh giá hiệu năng của máy chủ Web nhằm đảm bảo tính ổn định và đưa ra các
giải pháp tốt nhất cho hệ thống.
4.2 Công cụ và các bước chuẩn bị:
Đầu tiên ta cần chuẩn bị:
• Phần mềm DoSHTTP 2.5.1 (Được giới thiệu ở mục 2.10.2)
• Phần mềm phân tích gói tin WireShark
• Xác định mục tiêu cần tấn công (ở đây ta sử dụng www.ithutech.net)
4.3 Thực Nghiệm: Gồm 9 bước

34
 Bước 1: Cài đặt DoSHTTP 2.5.1

Bước 2: Bật WireShark

34
34
 Bước 3: Vào Website mục tiêu để kiểm tra : www.ithutech.net

Bước 4: Kiểm tra WireShark thấy các kết nối tới www.ithutech.net bình thường

34
 Bước 5: Xác định mục tiêu và bắt đầu tấn công
là : www.ithutech.net

Bước 6: Kiểm tra các kết nối trong WireShark khi tấn công

34
34
 Bước 7: Kiểm tra Website bằng cách vào lại Website 1 lần nữa và thấy không vào
được.

Bước 8: Tắt phần mềm

34
 Bước 9: File báo cáo sau khi sử dụng phần mềm DoSHTTP 2.5.1

Kết Luận

34
 Dựa vào kết quả thực nghiệm và kết quả của mô hình phòng chống.Ta đã phần
nào hiểu hơn về việc thế nào là tấn công từ chối dịch vụ (DoS).Qua đó chứng minh
cho ta thấy tính phá hoại của các cuộc tấn công DoS gây hậu quả như thế nào với hệ
thống,nó có thể làm cho hệ thống bị nghẽn và nếu là 1 cuộc tấn công lớn thì có thể
làm hệ thống reboot và nếu hệ thống đó liên quan đến tài chính thì có thể ảnh hưởng
không nhỏ đến tài chính của công ty chứa hệ thống đó.

34
 Nguồn tài liệu:
http://ceh.vn/@4rum/forumdisplay.php?37-DDOS

http://www.juniper.net/

http://www.securitydocs.com

http://congdongit.org/security/671-ngua-va-phong-chong-tan-cong-tu-choi-dich-vu-dos-
ddos.html

http://en.wikipedia.org/wiki/Intrusion_prevention_system

http://vnsharing.net/forum/showthread.php?t=272349

Và các đồ án tham khảo về Tấn công và phòng chống DoS & DDoS của các khóa
trước.

34