You are on page 1of 19

BO CO BI T P L N MN B O M T M NG

TI :

DDoS attacks

Gi ng vin h

ng d n : Nguy n Khnh V n

Sinh vin th c hi n : Phng M nh Hng 20071428 i M nh Tng 20073280 Bi c Phc 20072226 L p : IS1 Vi t Nh t.

I.

Khi ni m b o m t.

V it c pht tri n internet hi n nay v n an ninh m ng v b o m t d li u ang tr ln r t c p thi t. Cng v i s pht tri n v cc d ch v internet th n n t n cng qua m ng l i cng tr nn nguy hi m h n bao gi h t. T i ph m cng ngy cng tinh vi h n, s d ng cng ngh cao h n. Chnh v v y v n b o m t cng ngy cng c ch tr ng. M t doanh nghi p mu n pht tri n tr c tin h th ng thng tin c a h ph i c b o v an ton, khng cho k khc nghe tr m l y c p thng tin. Gi tr thng tin c a m t doanh nghi p l ti s n v ga. Khng ch thu n ty v v t ch t, nh ng gi tr khc khng th o m c nh uy tn c a h v i khch hng s ra sao, n u nh ng thng tin giao d ch v i khch hng b nh c p, r i sau b l i d ng v i nh ng m c ch khc nhau. Hacker, attacker, virusqu quen thu c v i m i chng ta.V chnh v v y, t t c nh ng h th ng ny c n trang b nh ng cng c m nh i ph v i nh ng ph ng th c t n cng vo h th ng m ng c a chng ta. Ai t o ra b c t ng l a m nh ny c th ch ng m i xm nh p vo h th ng? khng ai c . an ton b o m t n m trong chnh chng ta!

II. Cc hnh th c t n cng trn m ng.


1. T n cng tr c ti p.
Hacker s s d ng thng tin bi t v user d tm m t kh u. Cch ny th kh l n gi n v d s d ng. Ngoi ra hacker c ng c th dng ph n m m d tm m t kh u ng i dng trn m ng. Cch ny tuy n gi n nh ng t l thnh cng kh cao. Chnh v th ng i dng nn phng v i cch ny c a hacker. 2. Nghe tr m trn m ng. Khi g i d li u i. D li u khng n tr c ti p my tnh ch m thng qua nhi u my trung gian. Chnh v th k t n cng l i d ng c h i ny ki m sot quy n truy nh p vo h th ng. Hacker s ng trung gian l y c p d li u v c th thay d li u b ng d li u khc nguy hi m h n. Thng tin c a chng ta tr c khi t i ch b sai l ch hon ton.
2

i u ny r t nguy hi m n u nh chng ta ngh ra nhi u cch nh s d ng ch k i n t .

l 1 giao d ch tr c tuy n. chnh v th h n ch s nghe tr m c a k th 3 v d

3. Gi m o

a ch .

Gi m o a ch c th c th c hi n thng qua s d ng kh n ng d n ng tr c ti p. V i cch t n cng ny k t n cng g i cc gi tin t i m ng khc v i m t a ch gi m o, ng th i ch r ng d n m cc gi tin ph i i. Th d ng i no c th gi m o a ch c a b n g i i nh ng thng tin c th lm nh h ng x u t i b n.

4. V hi u ho cc ch c n ng c a h th ng.
y l ki u t n cng lm t li t h th ng, t ch i d ch v (Denial of Service - DoS) khng cho h th ng th c hi n c cc ch c n ng m n c thi t k . Ki u t n cng ny r t kh ng n ch n b i chnh nh ng ph ng ti n dng t ch c t n cng l i chnh l nh ng ph ng ti n dng lm vi c v truy c p thng tin trn m ng. M t th d v tr ng h p c th x y ra l m t ng i trn m ng s d ng ch ng trnh y ra nh ng gi tin yu c u v m t tr m no . Khi nh n c gi tin, tr m lun lun ph i x l v ti p t c thu cc gi tin n sau cho n khi b m y, d n t i tnh tr ng nh ng nhu c u cung c p d ch v c a cc my khc n tr m khng c ph c v . i u ng s l cc ki u t n cng DoS ch c n s d ng nh ng ti nguyn gi i h n m v n c th lm ng ng tr d ch v c a cc site l n v ph c t p. Do v y lo i hnh t n cng ny cn c g i l ki u t n cng khng cn x ng (asymmetric attack). Ch ng h n nh k t n cng ch c n m t my tnh PC thng th ng v i m t modem t c ch m v n c th t n cng lm ng ng tr cc my tnh m nh hay nh ng m ng c c u hnh ph c t p. i u ny c th hi n r qua cc t t n cng vo cc Website c a M u thng 2/2000 v a qua.

5. T n cng vo cc y u t con ng

i.

y l m t hnh th c t n cng nguy hi m nh t n c th d n t i nh ng t n th t h t s c kh l ng. K t n cng c th lin l c v i ng i qu n tr h th ng thay i m t s thng tin nh m t o i u ki n cho cc ph ng th c t n cng khc.

Ngoi ra, i m m u ch t c a v n an ton, an ninh trn m ng chnh l ng i s d ng. H l i m y u nh t trong ton b h th ng do k n ng, trnh s d ng my tnh, b o m t d li u khng cao. Chnh h t o i u ki n cho nh ng k ph ho i xm nh p c vo h th ng thng qua nhi u hnh th c khc nhau nh qua email ho c s d ng nh ng ch ng trnh khng r ngu n g c, thi u an ton. V i ki u t n cng nh v y s khng c b t c m t thi t b no c th ng n ch n m t cch h u hi u ch c ph ng php duy nh t l h ng d n ng i s d ng m ng v nh ng yu c u b o m t nng cao c nh gic. Ni chung y u t con ng i l m t I m y u trong b t k m t h th ng b o v no v ch c s h ng d n c a ng i qu n tr m ng cng v i tinh th n h p tc t pha ng i s d ng m i c th nng cao an ton c a h th ng b o v .

6. M t s ki u t n cng khc.
Ngoi cc hnh th c t n cng k trn, cc hacker cn s d ng m t s ki u t n cng khc nh t o ra cc virus t n m ti m n trn cc file khi ng i s d ng do v tnh trao i thng tin qua m ng m ng i s d ng t ci t n ln trn my c a mnh. Ngoi ra hi n nay cn r t nhi u ki u t n cng khc m chng ta cn ch a bi t t i v chng c a ra b i nh ng hacker.

7. Ph

ng php chung ng n ch n cc ki u t n cng.

th c hi n vic ng n ch n cc truy nh p b t h p php i h i chng ta ph i a ra nh ng yu c u ho ch nh chnh sch nh : xc nh nh ng ai c quy n s d ng ti nguyn c a h th ng, ti nguyn m h th ng cung c p s c s d ng nh th no nh ng ai c quy n xm nh p h th ng. Ch nn a ra v a quy n cho m i ng i th c hi n cng vi c c a mnh. Ngoi ra c n xc nh quy n l i v trch nhi m c a ng i s d ng cng v i quy n l i v ngh a v c a ng i qu n tr h th ng. Hi n nay, qu n l thng tin truy nh p t ngoi vo trong hay t trong ra ngoi ng i ta thi t l p m t b c t ng l a (Firewall) ng n ch n nh ng truy nh p b t h p php t bn ngoi ng th i nh ng server thng tin c ng c tch kh i cc h th ng site bn trong l nh ng n i khng i h i cc cu c xm nh p t bn ngoi. Cc cu c t n cng c a hacker gy nhi u thi t h i nh t th ng l nh m vo cc server. H i u hnh m ng, cc ph n m m server, cc CGI script...
4

u l nh ng m c tiu cc hacker khai thc cc l h ng nh m t n cng server. Cc hacker c th l i d ng nh ng l h ng trn server t kch vo cc trang web v thay i n i dung c a trang web , ho c tinh vi h n n a l t nh p vo m ng LAN v s d ng server t n cng vo b t k my tnh no trong m ng LAN . V v y, vi c m an ton tuy t i cho pha server khng ph i l m t nhi m v n gi n. i u ph i lm tr c tin l ph i l p kn cc l h ng c th xu t hi n trong ci t h i u hnh m ng, t c u hnh cc ph n m m server, cc CGI script, c ng nh ph i qu n l ch t ch cc ti kho n c a cc user truy c p. Vi c b o m t thng tin c nhn c a ng i s d ng truy n i trn m ng c ng l m t v n c n xem xt nghim tc. Ta khng th bi t r ng thng tin c a chng ta g i i trn m ng c b ai nghe trm ho c thay i n i dung thng tin khng hay s d ng thng tin c a chng ta vo cc m c ch khc. c th m b o thng tin truy n i trn m ng m t cch an ton, i h i ph i thi t l p m t c ch b o m t. i u ny c th th c hi n c thng qua vi c m ho d li u tr c khi g i i ho c thi t l p cc knh truy n tin b o m t. Vi c b o m t s gip cho thng tin c b o v an ton, khng b k khc l i d ng. Ngy nay, trn Internet ng i ta s d ng nhi u ph ng php b o m t khc nhau nh s d ng thu t ton m i x ng v m khng i x ng (thu t ton m cng khai) m ho thng tin tr c khi truy n trn internet. Tuy nhin ngoi cc gi i php ph n m m hi n nay ng i ta cn p d ng c cc gi i php ph n c ng. M t y u t ch ch t ch ng l i truy nh p b t h p php l y u t con ng i, chng ta ph i lun lun nh c nh m i ng i c th c trong vi c s d ng ti nguyn chung, trnh nh ng s c lm nh h ng t i nhi u ng i. Cng tc b o m t th ng c b t u b ng nh ng cch thi t l p ngay trn h th ng, c ng nh chnh sch c a cng ty (cc Group Policy tri n khai):

a.

i v i cc ti kho n trn h th ng:

i password theo nh k v i cc password ph c t p v i di t nh t l 6 k t trong ph i c k t ph c t p. Xc nh th i gian c th ng nh p vo h th ng, thot kh i h th ng khi h t th i i m s d ng m ng. Users ch c php s d ng m t my c nh no v my ph i gia nh p vo Domain.
5

b.

i v i n i l u tr :

m b o phn quy n m t cch h p l, h n ch nh ng phn quy n m c nh. C p quy n ph h p cho t ng nhm ng i c trch nhi m v t ng tc v i d li u. m b o lun lun c backup ph c h i khi c s c . An ton v m t v y l: gi i php ch ng chy, s c v i n. D li u truy n t i ph i m b o an ton, khng c s thay i ho c nh c p thng tin.

c.

i v i h th ng:

m b o h th ng lun lun c c p nh t, khng ch cc h i u hnh m cn c nh ng ng d ng c a ng i dng. S d ng cc ch ng trnh Antivirus, AntiSpyware. m t cch h p l v ph h p. Tri n khai cc chnh sch ph h p cho vi c theo di, b o tr c ng nh nng c p h th ng. Ghi nh n cc s ki n.

III. DDoS attack.


y l ki u t n cng lm t li t h th ng, t ch i d ch v (Denial of Service - DoS) khng cho h th ng th c hi n c cc ch c n ng m n c thi t k . Ki u t n cng ny r t kh ng n ch n b i chnh nh ng ph ng ti n dng t ch c t n cng l i chnh l nh ng ph ng ti n dng lm vi c v truy c p thng tin trn m ng

1. L ch s c a DDoS attacks.
- V i v vi c lin quan n vi c t n cng cc trang web c a M v Hn qu c g n y c a DDoS attacks ch ng minh r ng DDoS attacks v n ang l m t m i e do nghim tr ng i v i internet, m t cng c nguy hi m c a hacker.

- Vi c tm hi u v t c bi n phng ng a l r t c n thi t cho cc cng ty, doanh nghi p v m i c nhn s d ng Internet. - L ch s c a DDoS attacks: + 1998 Ch ng trnh Trinoo Distributed Denial of Service (DDoS) c vi t b i Phifli. + Thng 5 1999 Trang ch c a FBI ng ng h at ng v cu c t n cng b ng (DDOS). + Thng 6 1999 M ng Trinoo c ci t v ki m tra trn h n 2000 h th ng. + Cu i thng 8 u thng 9 n m 1999, Tribal Flood Network u tiin ra i, Ch ng trnh c Mixter Pht tri n. + Cu i thng 9 n m 1999, Cng c Stacheldraht b t u xu t hi n trn nh ng h th ng c a Chu u v Hoa k . + Ngy 21 thng 10 n m 1999 David Dittrich thu c tr ng i h c Washington lm nh ng phn tch v cng c t n cng t ch i d ch v . + Ngy 21 thng 12 n m 1999 Mixter pht hnh Tribe Flood Network 2000 ( TFN2K ). + 10 : 30 / 7 2 -2000 Yahoo! ( M t trung tm n i ti ng ) b t n cng t ch i d ch v v ng ng tr ho t ng trong vng 3 gi ng h . Web site Mail Yahoo v GeoCities b t n cng t 50 a ch IP khc nhau v i nh ng yu c u chuy n v n ln n 1 gigabit /s. + 8 -2 nhi u Web site l n nh Buy.com, Amazon.com, eBay, Datek, MSN, v CNN.com b t n cng t ch i d ch v . + Lc 7 gi t i ngy 9-2/2000 Website Excite.com l ci ch c a m t v t n cng t ch i d ch v , d li u c lun chuy n t i t p trong vng 1 gi cho n khi k t thc, v gi d li u h h ng n ng. - V m i g n y thi. DDoS attacks lm xn xao c dn m ng th gi i khi t n cng vo cc trang web l n c a M v Hn Qu c

2.

nh ngh a DDoS attacks.

DDoS attacks (t n cng DDoS) l s c g ng lm cho ti nguyn c a m t my tnh khng th s d ng c nh m vo nh ng ng i dng c a n. M c d ph ng ti n ti n hnh, ng c , m c tiu c a t n cng t ch i d ch v l khc nhau, nh ng ni chung n g m c s ph i h p, s c g ng c c a m t ng i hay nhi u ng i ch ng l i Internet site ho c service (d ch v Web) v n hnh hi u qu ho c trong t t c , t m th i hay m t cch khng xc nh. Th ph m t n cng t ch i d ch v nh m vo cc m c tiu site hay server tiu bi u nh ngn hng, c ng thanh ton th tn d ng v th m ch DNS root servers. M t ph ng th c t n cng ph bi n ko theo s bo ho my m c tiu v i cc yu c u lin l c bn ngoi, n m c n khng th p ng giao thng h p php, ho c p ng qu ch m. Trong i u ki n chung, cc cu c t n cng DoS c b sung b i p my m c tiu kh i ng l i ho c tiu th h t ti nguyn c a n n m c n khng cung c p d ch v , ho c lm t c ngh n lin l c gi a ng i s d ng v n n nhn. DoS c th lm ng ng ho t ng c a m t my tnh, m t m ng n i b , th m ch c m t h th ng m ng r t l n. V b n ch t th c s c a DoS, k t n cng s chi m d ng m t l ng l n ti nguyn m ng nh b ng thng, b nh v lm m t kh n ng x l cc yu c u d ch v t cc client khc. T i sao DDoS - M t hnh thi t n cng t ch i d ch v c cc hacker chn chnh khng cn th a nh n n a - l i ang ph bi n v tr thnh th v kh nguy hi m n m c khng th ch ng ? Trong nhi u
8

nguyn nhn, c m t i u au lng l DDoS pht sinh t chnh nh ng tham v ng x u khi lm ch v i u khi n c thng tin c a nh ng c nhn.

3. Ki n trc t ng quan c a DDoS attacks a. M hnh Agent Handler

TrinOO: l m t trong cc cng c DDoS ri.

u tin

c pht tn r ng

TrinOO c ki n trc Agent Handler, l cng c DDoS ki u Bandwidth Depletion Attack, s d ng k thu t UDP flood. Cc version u tin c a TrinOO khng h tr gi m o a ch IP. TrinOO Agent c ci t l i d ng l i remote buffer overrun. Ho t ng trn h i u hnh Solaris 2.5.1 Red Hat Linux 6.0. Attack network giao ti p dng TCP (attacker client v handler) v UDP (Handler v Agent). M ha giao ti p dng ph ng php m ha i x ng gi a Client, handler v Agent. Tribe Flood Network (TFN): Ki u ki n trc Agent Handler, cng c DDoS ho tr ki u Bandwidth Deleption Attack v Resourse Deleption Attack. S d ng k thu t UDP flood, ICMP Flood, TCP SYN v Smurf Attack. Cc version u tin khng h tr gi m o a ch IP, TFN Agent
9

c ci t l i d ng l i buffer overflow. Ho t ng trn h i u hnh Solaris 2.x v Red Hat Linux 6.0. Attack Network giao ti p dng ICMP ECHO REPLY packet (TFN2K h tr thm TCP/UDP v i tnh n ng ch n protocol ty ), khng m ha giao ti p ( TFN2K h tr m ha) Stacheldraht: l bi n th c a TFN c thm kh n ng updat Agent t ng. Giao ti p telnet m ha i x ng gi a Attacker v Handler. Shaft: l bi n th c a TrinOO, giao ti p Handler Agent trn UDP, Attacker Hendle trn Internet. T n cng dng k thu t UDP, ICMP v TCP flood. C th t n cng ph i h p nhi u ki u cng lc. C th ng k chi ti t cho php attacker bi t tnh tr ng t n th t c a n n nhn, m c quy m c a cu c t n cng i u ch nh s l ng Agent.

b. M hnh IRC Based

Cng c DDoS d ng IRC-based c pht tri n sau cc cng c d ng Agent Handler. Tuy nhin, cng c DDoS d ng IRC ph c t p h n r t nhi u, do tch h p r t nhi u c tnh c a cc cng c DDoS d ng Agent Handler.
10

Trinity: l m t i n hnh c a cng c d ng ny. Trinity c h u h t cc k thu t t n cng bao g m: UDP, TCP SYS, TCP ACK, TCP fragment, TCP NULL, TCP RST, TCP random flag, TCP ESTABLISHED packet flood. N c s n kh n ng ng u nhin ha a ch bn g i. Trinity c ng h tr TCP flood packet v i kh n ng ng u nhn t p CONTROL FLAG. Trinity c th ni l m t trong s cc cng c DDoS nguy hi m nh t. Ngoi ra c th nh c thm v m t s cng c DDoS khc nh Knight, c thi t k ch y trn Windows, s d ng k thu t ci t c a troijan back Orifice. Knight dng cc k thu t t n cng nh SYV, UDP Flood v Urgent Pointer Flooder. Sau cng l Kaiten, l bi n th c a Knight, h tr r t nhi u k thu t t n cng nh : UDP, TCP flood, SYN, PUSH + ACK attack. Kaiten c ng th a h ng kh n ng ng u nhin ha a ch gi m o c a Trinity.

4. Phn lo i ki u t n cng DDoS

a. Nh ng ki u t n cng lm c n ki t b ng thng c a m ng (BandWith Depletion Attack) BandWith Depletion Attack c thi t k nh m lm trng ng p m ng m c tiu v i nh ng traffic khng c n thi t, v i m c ch lm gi m t i thi u kh n ng c a cc traffic h p l n c h th ng cung c p d ch v c a m c tiu. C hai lo i BandWith Depletion Attack:
11

- Flood attack: i u khi n cc Agent g i m t l ng l n traffic n h th ng d ch v c a m c tiu, lm d ch v ny b h t kh n ng v b ng thng. - Amplification attack: i u khi n cc agent hay Client t g i message n m t a ch IP broadcast, lm cho t t c cc my trong subnet ny g i message n h th ng d ch v c a m c tiu. Ph ng php ny lm gia t ng traffic khng c n thi t, lm suy gi m b ng thng c a m c tiu. 1/ Flood attack: Trong ph ng php ny, cc Agent s g i m t l ng l n IP traffic lm h th ng d ch v c a m c tiu b ch m l i, h th ng b treo hay t n tr ng thi ho t ng bo ha. Lm cho cc User th c s c a h th ng khng s d ng c d ch v . Ta c th chia Flood Attack thnh hai lo i: + UDP Flood Attack: do tnh ch t connectionless c a UDP, h th ng nh n UDP message ch n gi n nh n vo t t c cc packet mnh c n ph i x l. M t l ng l n cc UDP packet c g i n h th ng d ch v c a m c tiu s y ton b h th ng n ng ng t i h n. + Cc UDP packet ny c th c g i n nhi u port ty hay ch duy nh t m t port. Thng th ng l s g i n nhi u port lm cho h th ng m c tiu ph i c ng ra x l phn h ng cho cc packet ny. N u port b t n cng khng s n sng th h th ng m c tiu s g i ra m t ICMP packet lo i destination port unreachable. Thng th ng cc Agent software s dng a ch IP gi che gi u hnh tung, cho nn cc message tr v do khng c port x l s d n n m t i ch Ip khc. UDP Flood attack c ng c th lm nh h ng n cc k t n i xung quanh m c tiu do s h i t c a packet di n ra r t m nh. + ICMP Flood Attack: c thi t k nh m m c ch qu n l m ng c ng nh nh v thi t b m ng. Khi cc Agent g i m t l ng l n ICMP_ECHO_REPLY n h th ng m c tiu th h th ng ny ph i reply m t l ng t ng ng Packet tr l i, s d n n ngh n ng truy n. T ng t tr ng h p trn, a ch IP c a c Agent c th b gi m o. 2/ Amplification Attack: Amplification Attack nh m n vi c s d ng cc ch c n ng h tr a ch IP broadcast c a cc router nh m khuy ch i v h i chuy n cu c t n cng. Ch c n ng ny cho php bn g i ch nh m t a ch IP broadcast cho ton subnet bn nh n thay v nhi u a ch . Router s c nhi m v g i n t t c a ch IP trong subnet packet broadcast m n nh n c. Attacker c th g i broadcast message tr c ti p hay thng qua m t s
12

Agent nh m lm gia t ng c ng c a cu c t n cng. N u attacker tr c ti p g i message, th c th l i d ng cc h th ng bn trong broadcast network nh m t Agent.


Open DNS Servers

The Internet
Attacker 192.168.3.4

Zombie

Zombie

C th chia amplification attack thnh hai lo i, Smuft va Fraggle attack: Victim Zombie 1.1.1.1 + Smuft attack: trong ki u t n cng ny attacker g i packet n network amplifier (router hay thi t b m ng khc h tr broadcast), v i a ch c a n n nhn. Thng th ng nh ng packet c dng l ICMP ECHO REQUEST, cc packet ny yu c u yu c u bn nh n ph i tr l i b ng m t ICMP ECHO REPLY packet. Network amplifier s g i n ICMP ECHO REQUEST packet n t t c cc h th ng thu c a ch broadcast v t t c cc h th ng ny s REPLY packet v a ch IP c a m c tiu t n cng Smuft Attack.

13

+ Fraggle Attack: t ng t nh Smuft attack nh ng thay v dng ICMP ECHO REQUEST packet th s dng UDP ECHO packet g i m m c tiu. Th t ra cn m t bi n th khc c a Fraggle attack s g i n UDP ECHO packet n chargen port (port 19/UNIX) c a m c tiu, v i a ch bn g i l echo port (port 7/UNIX) c a m c tiu, t o nn m t vng l p v h n. Attacker pht ng cu c t n cng b ng m t ECHO REQUEST v i a ch bn nh n l m t a ch broadcast, ton b h th ng thu c a ch ny l p t c g i REPLY n port echo c a n n nhn, sau t n n nhn m t ECHO REPLY l i g i tr v a ch broadcast, qu trnh c th ti p di n. y chnh l nguyn nhn Flaggle Attack nguy hi m h n Smuft Attack r t nhi u. b. Nh ng ki u t n cng lm c n ki t ti nguyn: (Resource Deleption Attack) Theo nh ngh a: Resource Deleption Attack l ki u t n cng trong Attacker g i nh ng packet dng cc protocol sai ch c n ng thi t k , hay g i nh ng packet v i d ng lm t t ngh n ti nguyn m ng lm cho cc ti nguyn ny khng ph c v user thng th ng khc c.
14

1/ Protocol Exploit Attack: + TCP SYN Attack: Transfer Control Protocol h tr truy n nh n v i tin c y cao nn s d ng ph ng th c b t tay gi a bn g i v bn nh n tr c khi truy n d li u. B c u tin, bn g i g i m t SYN REQUEST packet (Synchronize). Bn nh n n u nh n c SYN REQUEST s tr l i b ng SYN/ACK REPLY packet. B c cu i cng, bn g i s truyn packet cu i cng ACK v b t u truy n d li u. N u bn server tr l i m t yu c u SYN b ng m t SYN/ACK REPLY nh ng khng nh n c ACK packet cu i cng sau m t kho ng th i gian quy nh th n s resend l i SYN/ACK REPLY cho n h t th i gian timeout. Ton b ti nguyn h th ng d tr x l phin giao ti p n u nh n c ACK packet cu i cng s b phong t a cho n h t th i gian timeout. N m c i m y u ny, attacker g i m t SYN packet n n n nhn v i a ch bn g i l gi m o, k t qu l n n nhn g i SYN/ACK REPLY n m t a ch kh v s khng bao gi nh n c ACK packet cu i cng, cho n h t th i gian timeout n n nhn m i nh n ra c i u ny v gi i phng cc ti nguyn h th ng. Tuy nhin, n u l ng SYN packet gi m o n v i s l ng nhi u v d n d p, h th ng c a n n nhn c th b h t ti nguyn. M t n gi n nh sau: B c 1: Khch hng g i m t TCP SYN packet n c ng d ch v c a my ch Khch hng -> SYN Packet -> My ch B c 2 : My ch s ph n h i l i khch hng b ng 1 SYN/ACK Packet v ch nh n m t 1 ACK packet t khch hng My ch -> SYN/ACK Packet -> Khch hng B c 3: Khch hng ph n h i l i My ch b ng m t ACK Packet v vi c k t n i han t t Khch hng v my ch th c hi n cng vi c trao i d li u v i nhau. Khch hng -> ACK Packet -> My ch + PUSH = ACK Attack: Trong TCP protocol, cc packet c ch a trong buffer, khi buffer y th cc packet ny s c chuy n n n i c n thi t. Tuy nhin, bn g i c th yu c u h th ng unload buffer tr c khi buffer y b ng cch g i m t packet v i PUSH v ACK mang gi tr
15

l 1. Nh ng packet ny lm cho h th ng c a n n nhn unload t t c d li u trong TCP buffer ngay l p t c v g i m t ACK packet tr v khi th c hi n xong i u ny, n u qu trnh c di n ra lin t c v i nhi u Agent, h th ng s khng th x l c l ng l n packet g i n v s b treo. 2/ Malformed Packet Attack: Malformed Packet Attack l cch t n cng dng cc Agent g i cc packet c c u trc khng ng chu n nh m lm cho h th ng c a n n nhn b treo. C hai lo i Malformed Packet Attack: + IP address attack: dng packet c a ch g i v nh n gi ng nhau lm cho h i u hnh c a n n nhn khng x l n i v b treo. + IP packet options attack ng u nhin ha vng OPTION trong IP packet v thi t l p t t c cc bit QoS ln 1, i u ny lm cho h th ng c a n n nhn ph i t n th i gian phn tch, n u s d ng s l ng l n Agent c th lm h th ng n n nhn h t kh n ng x l. 5. Cc ph ng th c phng 1/ T i thi u ha s l ng Agent: - T pha User: m t ph ng php r t t t n ng ng a t n cng DDoS l t ng internet user s t phng khng b l i d ng t n cng h th ng khc. Mu n t c i u ny th th c v k thu t phng ch ng ph i c ph bi n r ng ri cho cc internet user. Attack-Network s khng bao gi hnh thnh n u khng c user no b l i d ng tr thnh Agent. Cc user ph i lin t c th c hi n cc qu trnh b o m t trn my vi tnh c a mnh. H ph i t ki m tra s hi n di n c a Agent trn my c a mnh, i u ny l r t kh kh n i v i user thng th ng. M t s gi i php tch h p s n kh n ng ng n ng a vi c ci t code nguy hi m thng o hardware v software c a t ng h th ng. V pha user h nn ci t v updat lin t c cc software nh antivirus, anti_trojan v server patch c a h i u hnh. - T pha Network Service Provider: Thay i cch tnh ti n d ch v truy c p theo dung l ng s lm cho user l u n nh ng g h g i, nh v y v m t th c t ng c ng pht hi n DDoS Agent s t nng cao m i User. :D 2/ Tm v v hi u ha cc Handler: M t nhn t v cng quan tr ng trong attack-network l Handler, n u c th pht hi n v v hi u ha Handler th kh n ng Anti-DDoS thnh cng l r t cao. B ng cch theo di cc giao ti p gi a Handler v Client hay handler va Agent ta c th pht hi n ra v tr c a Handler. Do m t Handler
16

qu n l nhi u, nn tri t tiu c m t Handler c ng c ngh a l lo i b m t l ng ng k cc Agent trong Attack Network. 3/ Pht hi n d u hi u c a m t cu c t n cng: C nhi u k thu t c p d ng: - Agress Filtering: K thu t ny ki m tra xem m t packet c tiu chu n ra kh i m t subnet hay khng d a trn c s gateway c a m t subnet lun bi t c a ch IP c a cc my thu c subnet. Cc packet t bn trong subnet g i ra ngoi v i a ch ngu n khng h p l s b gi l i i u tra nguyn nhn. N u k thu t ny c p d ng trn t t c cc subnet c a internet th khi nhi m gi m o a ch IP s khng cn t n t i. - MIB statistics: trong Management Information Base (SNMP) c a route lun c thng tin th ng k v s bi n thin tr ng thi c a m ng. N u ta gim st ch t ch cc th ng k c a protocol m ng. N u ta gim st ch t ch cc th ng k c a Protocol ICMP, UDP v TCP ta s c kh n ng pht hi n c th i i m b t u c a cu c t n cng t o qu th i gian vng cho vi c x l tnh hu ng. 4/ Lm suy gim hay d ng cu c t n cng: Dng cc k thu t sau: - Load balancing: Thi t l p ki n trc cn b ng t i cho cc server tr ng i m s lm gia t ng th i gian ch ng ch i c a h th ng v i cu c t n cng DDoS. Tuy nhin, i u ny khng c ngh a l m v m t th c ti n v quy m c a cu c t n cng l khng c gi i h n. - Throttling: Thi t l p c ch i u ti t trn router, quy nh m t kho ng t i h p l m server bn trong c th x l c. Ph ng php ny c ng c th c dng ng n ch n kh n ng DDoS traffic khng cho user truy c p d ch v . H n ch c a k thu t ny l khng phn bi t c gi a cc lo i traffic, i khi lm d ch v b gin o n v i user, DDoS traffic v n c th xm nh p vo m ng d ch v nh ng v i s l ng h u h n. - Drop request: Thi t l p c ch drop request n u n vi ph m m t s quy nh nh : th i gian delay ko di, t n nhi u ti nguyn x l, gy deadlock. K thu t ny tri t tiu kh n ng lm c n ki t n ng l c h th ng, tuy nhin n c ng gi i h n m t s ho t ng thng th ng c a h th ng, c n cn nh c khi s d ng. 5/ Chuy n h ng c a cu c t n cng: Honeyspots: M t k thu t ang c nghin c u l Honeyspots. Honeyspots l m t h th ng c thi t k nh m nh l a attacker t n cng vo khi xm nh p h th ng m khng ch n h th ng quan tr ng th c s .

17

Honeyspots khng ch ng vai tr L Lai c u cha m cn r t hi u qu trong vi c pht hi n v x l xm nh p, v trn Honeyspots thi t l p s n cc c ch gim st v bo ng. Ngoi ra Honeyspots cn c gi tr trong vi c h c h i v rt kinh nghi m t Attacker, do Honeyspots ghi nh n kh chi ti t m i ng thi c a attacker trn h th ng. N u attacker b nh l a v ci t Agent hay Handler ln Honeyspots th kh n ng b tri t tiu ton b attack-network l r t cao. 6/ Giai o n sau t n cng: Trong giai o n ny thng th ng th c hi n cc cng vi c sau: -Traffic Pattern Analysis: N u d li u v th ng k bi n thin l ng traffic theo th i gian c l u l i th s c a ra phn tch. Qu trnh phn tch ny r t c ch cho vi c tinh ch nh l i cc h th ng Load Balancing v Throttling. Ngoi ra cc d li u ny cn gip Qu n tr m ng i u ch nh l i cc quy t c ki m sot traffic ra vo m ng c a mnh. - Packet Traceback: b ng cch dng k thu t Traceback ta c th truy ng c l i v tr c a Attacker (t nh t l subnet c a attacker). T k thu t Traceback ta pht tri n thm kh n ng Block Traceback t attacker kh h u hi u. g n y c m t k thu t Traceback kh hi u qu c th truy tm ngu n g c c a cu c t n cng d i 15 pht, l k thu t XXX. - Bevent Logs: B ng cch phn tch file log sau cu c t n cng, qu n tr m ng c th tm ra nhi u manh m i v ch ng c quan tr ng. Nh ng v n c lin quan n DDoS - Khi b n pht hi n my ch mnh b t n cng hy nhanh chng truy tm a ch IP v c m khng cho g i d li u n my ch . - Dng tnh n ng l c d li u c a router/firewall lo i b cc packet khng mong mu n, gi m l ng l u thng trn m ng v t i c a my ch . - S d ng cc tnh n ng cho php t rate limit trn router/firewall h n ch s l ng packet vo h th ng. - N u b t n cng do l i c a ph n m m hay thi t b th nhanh chng c p nh t cc b n s a l i cho h th ng ho c thay th . - Dng m t s c ch , cng c , ph n m m ch ng l i TCP SYN Flooding. - T t cc d ch v khc n u c trn my ch gi m t i v c th p ng t t h n. N u c c th nng c p cc thi t b ph n c ng nng cao kh n ng p ng c a h th ng hay s d ng thm cc my ch cng tnh n ng khc phn chia t i. - T m th i chuy n my ch sang m t a ch khc. IV. K t lu n
18

- Qua qu trnh tm hi u ti ny chng em c ng bi t v n m c m t s lo i hnh t n cng c a DDOS. M t cng c t n cng h t s c nguy hi m, t c ng rt ra nhi u kinh ngh m v c h ng i v b o m t m ng, bi t c c ch t n cng, v cc l h ng gy h i cho h th ng H NG M : p d ng m t s bi n php phng ng a vi c t n cng DDOS

Ti li u tham kh o 1.DDoS-Attacks-A-Complete-Guide(http://findebookee.com/d/ddos-attack) 2.Tm hi u v t n cng t ch i d ch v DoS


- http://www.kenh360.com/cntt/mang-truyen-thong/an-ninh-mang/tim-hieu-ve-tancong-tu-choi-dich-vu-dos.html - http://forum.bkav.com.vn/showthread.php?2291-Tim-hieu-ve-tan-cong-DDOS - http://tailieu.vn/xem-tai-lieu/tim-hieu-ve-tan-cong-tu-choi-dich-vu-dos.593653.html 19

You might also like