Liên Hệ Quảng Cáo
Kết quả 1 đến 3 của 3
  1. #1
    thanhthanh's Avatar Hội Thương Gia
    Title
    Thành Viên VIP
    Ngày tham gia
    Dec 2009
    Đang ở
    P.phú cường, TX.TDM, Bình Dương
    Bài viết
    123

    Mặc định Tấn công bằng từ chối dịch vụ - DoS Attack là gì?

    Tấn công từ chối dịch vụ ngày này đã trở thành nổi ám ảnh lớn đối với tất cả các mạng máy tính. Như bạn biết đó, các websites lớn như Yahoo, eBay đã từng bị hackers tấn công bằng DDoS. Thực chất của tấn công bằng từ chối dịch vụ(Denial Of Services Attack) là:

    hacker sẽ chiếm dụng một lựợng lớn tài nguyên trên server, tài nguyên có thể là băng thông, bộ nhớ, cpu, đĩa cứng, ... làm cho server không thể nào đáp ứng các yêu cầu khác từ các clients của những người dùng bình thường và có thể nhanh chónh bị ngừng hoạt động, crash hoặc reboot.

    Một số dạng tấn công từ chối dịch vụ

    Có rất nhiều kiểu tấn công bằng từ chối dịch vụ, bao gồm tấn công từ bên ngoài và tấn công từ mạng bên trong. Ở đây chỉ đề cập đến một số dạng tấn công từ chối dịch vụ thường gặp.

    Ping of Death

    Một số máy tính sẽ ngưng hoạt động, reboot hoặc bị crash khi gởi gói data ping với kích thước lớn đến chúng.

    Ví dụ: C:\ > ping -l 655540

    Teardrop

    Tất cả các dữ liệu chuyển đi trên mạng từ hệ thống nguồn đến hệ thống đích đều phải trải qua 2 quá trình sau: dữ liệu sẽ được chia ra thành các mảnh nhỏ ở hệ thống nguồn, mỗi mảnh đều phải có một giá trị offset nhất định để xác định vị trí của mảnh đó trong gói dữ liệu được chuyển đi. Khi các mảnh này đến hệ thống đích, hệ thống đích sẽ dựa vào giá trị offset để sắp xếp các mảnh lại với nhau theo thứ tự đúng như ban đầu. Ví dụ, có một dữ liệu gồm 4000 bytes cần được chuyển đi, giả sử rằng 4000 bytes này được chia thành 3 gói nhỏ(packet):

    packet thứ nhất sẽ mang các 1bytes dữ liệu từ 1 đến 1500
    packet thứ hai sẽ mang các bytes dữ liệu từ 1501 đến 3000
    packet thứ ba sẽ mang các bytes dữ liệu còn lại, từ 3001 đến 4000

    Khi các packets này đến đích, hệ thống đích sẽ dựa vào offset của các gói packets để sắp xếp lại cho đúng với thứ tự ban đầu: packet thứ nhất - > packet thứ hai - > packet thứ ba

    Trong tấn công Teardrop, một loạt gói packets với giá trị offset chồng chéo lên nhau được gởi đến hệ thống đích. Hệ thống đích sẽ không thể nào sắp xếp lại các packets này, nó không điều khiển được và có thể bị crash, reboot hoặc ngừng hoạt động nếu số lượng packets với giá trị offset chồng chéo lên nhau quá lớn!

    Hãy xem lại ví dụ trên, đúng ra các packet được gởi đến hệ thống đích có dạng như sau: (1- > 1500 bytes đầu tiên) (1501- > 3000 bytes tiếp theo) (3001- > 4000 bytes sau cùng), trong tấn công Teardrop sẽ có dạng khác: (1- > 1500 bytes) (1501- > 3000 bytes) (1001- > 4000 bytes). Gói packet thứ ba có lượng dữ liệu sai!

    SYN Attack

    Trước hết, bạn hãy xem lại tiến trình bắt tay 3 bước của một kết nối TCP/IP. Một client muốn kết nối đến một host khác trên mạng.

    Bước 1: client gởi một SYN packet với số Sequence Number ban đầu(ISN) đến host cần kết nối:
    client-----SYN packet----- > host

    Bước 2: host sẽ phản hồi lại client bằng một SYN/ACK packet, ACK của packet này có giá trị đúng bằng ISN ban đầu do client gởi đã gởi đến host ở bước 1 và chờ nhận một ACK packet từ client

    host-----SYN/ACK packet----- > client

    Bước 3: client phản hồi lại host bằng một ACK packet

    client-----ACK packet----- > host

    Khi host nhân được ACK packet này thì kết nối được thiết lập, client vào host có thể trao đổi các dữ liệu cho nhau.

    Trong SYN Attack, hacker sẽ gởi đến hệ thống đích một loạt SYN packets với địa chỉ ip nguồn không có thực. Hệ thống đích khi nhận được các bad SYN packets này sẽ gởi trở lại SYN/ACK packet đến các địa chỉ không có thực này vào chờ nhận được ACK messages từ các địa chỉ ip đó. Vì đây là các địa chỉ ip không có thực, hệ thống đích sẽ sẽ chờ đợi vô ích và còn nối đuôi các ``request`` chờ đợi này nào hàng đợi, gây lãng phí một lượng đáng kể bộ nhớ trên máy chủ mà đúng ra là phải dùng vào việc khác thay cho phải chờ đợi ACK messages.

    Land Attack
    Land Attack cũng gần giống như SYN Attack, nhưng thay vì dùng các địa chỉ ip không có thực, hacker sẽ dùng chính địa chỉ ip của hệ thống nạn nhân. Điều này sẽ tạo nên một vòng lặp vô tận giữa hệ thống nạn nhân với chính hệ thống nạn nhân đó, giữa một bên cần nhận ACK messages còn một bên thì chảng bao giờ gởi ACK messages. Tuy nhiên, hầu hết các hệ thống đều dùng filter hoặc firewall để tránh khỏi kiểu tấn công này!

    Winnuke
    DoS attack này chỉ có thể áp dụng cho các máy tính đang chạy Windows9x . Hacker sẽ gởi các packets với dữ liệu ``Out of Band`` đến cổng 139 của máy tính đích. Cổng 139 chính là cổng NetBIOS, cổng này chỉ chấp nhận các packets có cờ OOB được bật(OOB là chữ viết tắc của Out Of Band). Khi máy tính đích nhận được packets này, một màn hình xanh báo lỗi sẽ đến với nạn nhân do chương trình của Windows đã nhận được các packets này, tuy nhiên nó lại không biết được cần phải đối xử với các dữ liệu Out Of Band như thế nào nữa dẫn đến hệ thống sẽ bị crash.

    Smurf Attack

    Hai nhân tố chính trong Smuft Attack là là các ICMP echo request packets và chuyển trực tiếp các packets đến các địa chỉ broadcast.

    + Giao thức ICMP thường dùng để xác định một máy tính trên mạng Internet có còn hoạt động(alive) hay không. Để xác định một máy có alive không, bạn cần gởi một ICMP echo request đến máy đó. Khi máy nhận được packet này, nó sẽ gởi trả lại bạn một ICMP echo reply packet. Trong trường hợp bạn không nhận được ICMP echo reply packet, điều này có nghĩa là máy đó không còn hoạt động(not alive). Đây cũng chính là cách hoạt động của các chương trình ping.

    + Mỗi mạng máy tính đều có địa chỉ địa chỉ broadcast và địa chỉ mạng. Địa chỉ broadcast có các bit host đều bằng 0 và địa chỉ broadcast có các bit host đều bằng 1. Ví dụ địa chỉ ip lớp B 140.179.220.200 sẽ có địa chỉ mạng là 140.179.0.0 và địa chỉ broadcast mặc định là 140.179.0.0. Khi một packet được gởi đến địa chỉ broadcast, lập tức packet này sẽ được chuyển đến tất cả các máy trong mạng.

    Trong Smurf Attack, cần có ba thành phần: hacker(người ra lệnh tấn công), mạng khuếch đại(sẽ nghe lệnh của hacker) và dĩ nhiên là hê thống nạn nhân. Hacker sẽ gởi các ICMP echo request packets đến địa chỉ broadcast của mạng khuếch đại. Điều đặc biệt là các ICMP echo request packets này có địa chỉ ip nguồn chính là địa chỉ ip của nạn nhân. Khi các packets đó đến được địa chỉ broadcast của mạng khuếch đại, lập tức tất cả các máy tính trong mạng khuếch đại sẽ nhận được các packets này.

    Các máy này tưởng rằng máy tính nạn nhân đã gởi ICMP echo request packets đến(do hacker đã làm giả địa chỉ ip nguồn), lập tức chúng sẽ đồng loạt gởi trả lại hệ thống nạn nhân các ICMP reply echo request packets. Hệ thống máy nạn nhân sẽ không chịu nỗi một khối lượng khổng lồ các packets này và nhanh chóng bị ngừng hoạt động, crash hoặc reboot. Như vậy, bạn có thể thấy rằng hacker chỉ cần gởi một lượng nhỏ các ICMP echo request packets đi, và hệ thống mạng khuếch đại sẽ khuếch đại lượng ICMP echo request packets này lên gấp bội.

    Tỉ lệ khuếch đại phụ thuộc vào số mạng tính có trong mạng khuếch đại. Nhiệm vụ của các hacker là cố chiếm được càng nhiều hệ thống mạng hoặc routers cho phép chuyển trực tiếp các packets đến địa chỉ broadcast và không lọc địa chỉ nguồn của các outgoing packets. Có được các hệ thống này, hacker sẽ dễ dàng tiến hành Smurf Attack trên các hệ thống cần tấn công.

    UDP Flooding

    Ngập lụt UDP đòi hỏi phải có 2 hệ thống máy cùng tham gia. Hackers sẽ làm cho hệ thống đi vào môt vòng lặp trao đổi các dữ liệu vô ích qua giao thức UDP. Hacker có thể giả mạo địa chỉ ip của các packets là địa chỉ loopback(127.0.0.1), gởi packet này đến hệ thống của nạn nhân trên cổng udp echo(7).

    Hệ thống của nạn nhân sẽ echo lại các messages do 127.0.0.1(chính nó) gởi đến, kết quả là nó sẽ đi vòng một vòng lặp echo vô tận. Tuy nhiên, nhiều hệ thống sẽ không cho dùng địa chỉ loopback. Hacker sẽ giả mạo một địa chỉ ip của một máy tính nào đó trên mạng nạn nhân và tiến hành ngập lụt udp trên hệ thống của nạn nhân.

    Tấn công DNS

    Hacker có thể đổi một entry trên Domain Name Server của hệ thống nạn nhân chỉ đến một website nào đó của hacker. Khi client yêu cầu DNS phân tích địa chỉ
    www.company.com thành địa chỉ ip, lập tức DNS(đã bị hacker thay đổi cache tạm thời) sẽ đổi thành địa chỉ ip của www.hacker.com. Kết quả là thay vì phải vào http://www.company.com/ thì các nạn nhân sẽ vào http://www.hacker.com/. Một cách tấn công từ chối dịch vụ thật hữu hiệu!

    Distributed DoS Attacks (DDOS)
    Phân pháp tấn công DoS hay còn gọi là DDoS yêu cầu phải có ít nhất vài hackers cùng tham gia. Đầu tiên các hackers sẽ cố thâm nhập vào các mạng máy tính được bảo mật kém, sau đó cài lên các hệ thống này chương trình DDoS server. Bây giờ các hackers sẽ hẹn nhau đến thời gian đã định sẽ dùng DDoS client kết nối đến các DDoS servers, sau đó đồng loạt ra lệnh cho các DDoS servers này tiến hành tấn công DDoS đến hệ thống nạn nhân.

    Các công cụ DDoS Attack

    Hiện nay có hai công cụ mà các hackers thường dùng để tiến hành DDoS Attack. Đó là Tribe Flood Network(TFN2K) và Stacheldraht. Stacheldraht mạnh hơn TF2K, dùng TCP và ICMP ECHO_REPLY, không dùng UDP nhưng có thêm chức năng bảo mật rất đáng tin cậy.

    Tấn công "Từ chối dịch vụ": Nỗi ám ảnh của các website

    Mô phỏng kiểu tấn công DoS
    "Kính gửi quý báo: đúng 7 giờ tối hôm nay, chúng tôi sẽ tiến hành cuộc tấn công vào trang web báo điện tử của quý báo bằng hình thức DoS (tấn công từ chối dịch vụ), với mục đích... kiểm tra khả năng phòng thủ của quý báo. Xin báo trước: các dữ liệu sẽ không bị tổn thất nhưng trang web sẽ buộc phải ngừng hoạt động trong thời gian chúng tôi tiến hành cuộc tấn công!".

    Cách đây 2 tuần, lời đe dọa trên đã được gửi đến Báo Thanh Niên, tác giả tự xưng là "Nhóm hacker miền Trung". Đến “giờ G” tối hôm đó, website Báo Thanh Niên vẫn hoạt động bình thường. Có thể "Nhóm hacker miền Trung" đột nhiên thay đổi kế hoạch vào giờ cuối hoặc lời đe dọa đó chỉ là trò đùa của kẻ rỗi hơi. Cho dù cuộc tấn công đã không xảy ra nhưng kiểu hack từ chối dịch vụ như lời "đe dọa” trên luôn là nỗi ám ảnh của các website.

    Mặc dù kẻ tấn công theo hình thức DoS không thể chiếm quyền truy cập hệ thống hay có thể thay đổi, nhưng nếu một hệ thống không thể cung cấp thông tin, dịch vụ cho người sử dụng thì sự tồn tại đó cũng là vô nghĩa! Đã từng xảy ra các vụ tấn công DoS nổi đình nổi đám vào các site thương mại hàng đầu thế giới như Yahoo, Amazone, eBay hay thậm chí là cả Microsoft vài năm trước gây thiệt hại hàng triệu USD. Gần đây, nhiều trang web trong nước, trong đó có một số báo điện tử, đã trở thành nạn nhân của hình thức tấn công này. Hậu quả là người sử dụng không thể truy cập vào trang web, ảnh hưởng không nhỏ đến hoạt động của website.

    Tấn công từ chối dịch vụ DoS (Denial of Service) là tên gọi chung của kiểu tấn công làm cho một hệ thống nào đó bị quá tải dẫn tới không thể cung cấp dịch vụ, hoặc phải ngưng hoạt động. Đối với các hệ thống bảo mật tốt, khó thâm nhập, tấn công từ chối dịch vụ được hacker sử dụng như cú dứt điểm để triệt hạ hệ thống đó. Tùy phương thức thực hiện mà DoS được biết dưới nhiều tên gọi khác nhau: cổ điển nhất là kiểu DoS (Denial of Service) tấn công bằng cách lợi dụng sự yếu kém của giao thức TCP (Transmision Control Protocol); sau đó là DDoS (Distributed Denial of Service) - tấn công từ chối dịch vụ phân tán; mới nhất là tấn công từ chối dịch vụ theo phương pháp phản xạ DRDoS (DistributedReflection Denial of Service).

    Để thực hiện "Tấn công từ chối dịch vụ phân tán DDoS", kẻ tấn công tìm cách chiếm dụng và điều khiển nhiều máy tính hoặc mạng máy tính trung gian (đóng vai trò zombie) từ nhiều nơi để đồng loạt gửi ào ạt các gói tin (packet) với số lượng rất lớn, mục đích chiếm dụng tài nguyên và làm tràn ngập đường truyền của một mục tiêu xác định nào đó. Riêng "Tấn công từ chối dịch vụ phản xạ DRDoS" chỉ mới xuất hiện gần đây nhưng lại là loại nguy hiểm nhất. Nếu được thực hiện bởi các hacker chuyên nghiệp, không một hệ thống nào có thể đứng vững được trước nó. Đáng nói hơn, hiện cũng đã xuất hiện nhiều loại virus, worm, trojan có chức năng tự động thực hiện tấn công DoS.

    Ngoài ra còn có các biến thể khác như: Broadcast Storms, SYN, Finger, Ping, Flooding... với mục tiêu chiếm dụng các tài nguyên của hệ thống như: Bandwidth, Kernel Table, Swap Space, Cache, Hardisk, RAM, CPU... làm hoạt động của hệ thống bị quá tải dẫn đến không đáp ứng được các yêu cầu (request) hợp lệ nữa. Đặc biệt, biến thể đang là "mốt" hiện nay là hình thức Flood - làm "ngập lụt". Kẻ tấn công sử dụng các script (đoạn mã) dạng tập tin flash, gắn vào các web forum có đông người truy cập.

    Mỗi thành viên khi truy cập vào các forum đó sẽ vô tình kích hoạt tập tin flash thực hiện các cuộc tấn công DoS vào những mục tiêu xác định. Không ít kẻ tấn công trong nước hiện nay còn viết các phần mềm có khả năng tự động hóa quá trình làm tràn ngập các form nhập liệu, tự động gửi request (yêu cầu) liên tục đến máy chủ khiến hệ thống bị quá tải.

    Tấn công từ chối dịch vụ thường rất khó phòng chống do tính bất ngờ và thường phải phòng chống trong thế bị động "trận đánh" đã diễn ra. Các quản trị hệ thống nên thường xuyên cập nhật các bản vá lỗi phần mềm, các chương trình chống virus, trojan, worm mới nhất cho hệ thống. Tắt tất cả các dịch vụ không cần thiết trên hệ thống và đóng tất cả các cổng (port) dịch vụ không có nhu cầu sử dụng.

    Thiết lập thêm máy chủ dự phòng ở địa chỉ khác để luân chuyển ngay khi xảy ra sự cố, hệ thống sẽ không bị gián đoạn hoạt động. Dùng router/firewall để hạn chế, loại bỏ các gói tin không hợp lệ, giảm lượng lưu thông trên mạng và tải của hệ thống. Đối với các website có sử dụng form nhập liệu nên cài thêm tính năng "Mã xác nhận" (security code); giới hạn IP đăng ký ở cùng thời điểm... để hạn chế bị flood dữ liệu.

    Ngoài ra, cần thông tin cho các nhà cung cấp dịch vụ Internet (ISP) để chặn ngay các gói dữ liệu không hợp lệ từ xa. Đặc biệt, đóng vai trò quan trọng hơn cả vẫn là các quản trị viên với việc phải theo dõi, giám sát chặt chẽ hệ thống để kịp thời phân tích, tìm nguyên nhân để đối phó khi có sự cố xảy ra và đừng quên thường xuyên cập nhật kiến thức mới...

    HVA


    DDOS - Distributed Denial Of Service ?

    • 1998 Chương trình Trinoo Distributed Denial of Service (DDoS) được viết bởi Phifli.

    • Tháng 5 – 1999 Trang chủ của FBI đã ngừng họat động vì cuộc tấn công bằng (DDOS)

    • Tháng 6 – 1999 Mạng Trinoo đã được cài đặt và kiểm tra trên hơn 2000 hệ thống.

    DDOS – Distributed Denial Of Service ?

    • Cuối tháng 8 đầu tháng 9 năm 1999, Tribal Flood Network đầu tiiên ra đời, Chương trình được Mixter Phát triển.

    • Cuối tháng 9 năm 1999, Công cụ Stacheldraht đã bắt đầu xuất hiện trên những hệ thống của Châu âu và Hoa kỳ.

    • Ngày 21 tháng 10 năm 1999 David Dittrich thuộc trường đại học Washington đã làm những phân tích về công cụ tấn công từ chối dịch vụ

    • Ngày 21 tháng 12 năm 1999 Mixter phát hành Tribe Flood Network 2000 ( TFN2K ).

    • 10 : 30 / 7 – 2 -2000 Yahoo! ( Một trung tâm nổi tiếng ) đã bị tấn công từ chối dịch vụ và ngưng trệ hoạt động trong vòng 3 giờ đồng hồ. Web site Mail Yahoo và GeoCities đã bị tấn công từ 50 địa chỉ IP khác nhau với nhửng yêu cầu chuyễn vận lên đến 1 gigabit /s.


    DDOS - Distributed Denial Of Service ?

    • 8 -2 nhiều Web site lớn như Buy.com, Amazon.com, eBay, Datek, MSN, và CNN.com bị tấn công từ chối dịch vụ.

    • Lúc 7 giờ tối ngày 9-2/2000 Website Excite.com là cái đích của một vụ tấn công từ chối dịch vụ, dữ liệu được luân chuyễn tới tấp trong vòng 1 giờ cho đến khi kết thúc, và gói dữ liệu đó đã hư hỏng nặng.

    • Qua đó ta có thể thấy rõ những vụ tấn công từ chối dịch vụ (Denial Of Services Attack ) và những cuộc tấn công về việc gửi nhửng gói dữ liệu tới máy chủ (Flood Data Of Services Attack) tới tấp là những mối lo sợ cho nhiều mạng máy tính lớn và nhỏ hiện nay,

    • Khi một mạng máy tính bị Hacker tấn công nó sẽ chiếm một lượng lớn tài nguyên trên server như dung lượng ổ cứng, bộ nhớ, CPU, băng thông …. Lượng tài nguyên này tùy thuộc vào khả năng huy động tấn công của mỗi Hacker. Khi đó Server sẽ không thể đáp ứng hết những yêu cầu từ những client của những người sử dụng và từ đó server có thể sẽ nhanh chóng bị ngừng hoạt động, crash hoặc reboot.

    • Tấn công từ chối dịch vụ có rất nhiều dạng như Ping of Death, Teardrop, Aland Attack, Winnuke, Smurf Attack, UDP/ICMP Flooding, TCP/SYN Flooding, Attack DNS.
    Ping Of Death.

    Một số máy tính sẽ bị ngưng họat động, Reboot hoặc bị crash khi bị nhận những gói dữ liệu ping có kích thước lớn.

    • Ví dụ như : ping địachỉ -n 1000

    trong đó : số 1000 là số lần gửi gói dữ liệu.

    • TCP/SYN Flooding:

    Bước 1: Khách hàng gửi một TCP SYN packet đến cổng dịch vụ của máy chủ

    Khách hàng -> SYN Packet -> Máy chủ
    Bước 2 : Máy chủ sẽ phản hồi lại khách hàng bằng 1 SYN/ACK Packet và chờ nhận một 1 ACK packet từ khách hàng
    Máy chủ -> SYN/ACK Packet -> Khách hàng
    Bước 3: Khách hàng phản hồi lại Máy chủ bằng một ACK Packet và việc kết nối hòan tất Khách hàng và máy chủ thực hiện công việc trao đổi dữ liệu với nhau.

    Khách hàng -> ACK Packet -> Máy chủ

    • Trong trường hợp Hacker thực hiện việc SYN Flooding bằng cách gửi tới tấp, hàng loạt TCP SYN packet đến cổng dịch vụ của máy chủ sẽ làm máy chủ bị quá tải và không còn khả năng đáp ứng được nữa.

    • UDP/ICMP Flooding:
    Hacker thực hiện bằng cách gửi 1 số lượng lớn các gói tin UDP/ICMP có kích thước lớn đến hệ thống mạng, khi hệ thống mạng chịu phải sự tấn công này sẽ bị qua tải và chiếm hết băng thông đường truyền đi ra bên ngòai của mạng này, vì thế nó gây ra nhửng ảnh hưởng rất lớn đến đường truyền cũng như tốc độ của mạng, gây nên những khó khăn cho khách hàng khi truy cập từ bên ngoài vào mạng này.

    • Những điều kiện đủ để có những cuộc tấn công DoS Có hiệu quả:
    Để có được những cuộc tấn công DOS có hiệu quả thông thường một Hacker phải lựa chọn cho mình những đường truyền có dung lượng lớn cũng như tốc độ máy được dùng làm công cụ tấn công. Nếu không hội tụ được những điều kiện trên thì cuộc tấn công sẽ không mang lại mấy khả quan.

    • Nhưng với những tiện ích như Trinoo, TFN2K, Stacheldraht… người tấn công không phải chỉ dùng 1 nơi để tấn công mà sử dụng nhiều mạng lưới khác nhau để thực hiện việc tấn công đồng lọat. Các máy được dùng để tấn công thường là các máy có kết nối Internet bị người tấn công xâm nhập.

    • Qua đó chúng tôi đã tham khảo và biết một số cách nhưng hầu hết không chống được một cách triệt để.

    1. Khi bạn phát hiện máy chủ mình bị tấn công hãy nhanh chóng truy tìm địa chỉ IP đó và cấm không cho gửi dữ liệu đến máy chủ.

    2. Dùng tính năng lọc dữ liệu của router/firewall để loại bỏ các packet không mong muốn, giảm lượng lưu thông trên mạng và tải của máy chủ.

    3. Sử dụng các tính năng cho phép đặt rate limit trên router/firewall để hạn chế số lượng packet vào hệ thống.

    4. Nếu bị tấn công do lỗi của phần mềm hay thiết bị thì nhanh chóng cập nhật các bản sửa lỗi cho hệ thống đó hoặc thay thế.

    5. Dùng một số cơ chế, công cụ, phần mềm để chống lại TCP SYN Flooding.

    6. Tắt các dịch vụ khác nếu có trên máy chủ để giảm tải và có thể đáp ứng tốt hơn. Nếu được có thể nâng cấp các thiết bị phần cứng để nâng cao khả năng đáp ứng của hệ thống hay sử dụng thêm các máy chủ cùng tính năng khác để phân chia tải.

    7. Tạm thời chuyển máy chủ sang một địa chỉ khác.

    Flooding Data Attack ?

    • Hoàn toàn khác với DDos về khả năng tấn công cũng như sự huy động tấn công rất dễ dàng để làm tràn ngập dữ liệu (Flood data attack !) được phát triển ở rất nhiều dạng nó dựa vào những lỗi của hầu hết các mã nguồn mở của ASP, PHP, JSP, CGI …..

    • Với DDOS như chúng ta đã biết khi một số Hacker muốn mở những cuộc tấn công đều phải hội tụ những điều kiện, là phải dùng những máy chủ có đường truyền cao và thường thì phải Hack vào server đó mới có thể huy động làm công cụ tấn công được, ngược lại với Flood data attack việc huy động quá dễ, nó chia ra làm 2 dạng tấn công như sau:

    • Dạng 1: Được chạy trên trên môi trường Windonw, Unix, Linux …

    • Dạng 2: Được đính kèm trên các Website và nhận lệnh tấn công từ một địa chỉ nào đó trên Mạng toàn cầu.

    • Dạng 1: Với kích thước từ 500 byte đến 1Kb các Hacker dễ dàng đính kèm vào một Website nào đó có nhiều người hiện đang có mặt truy cập trên Website đó. Với đọan mã trên ta có thể thấy Hacker đã đặt kích thước tập tin Flooddata.swf ở chế độ Chiều rộng (width) là bằng 0 và chiều cao (height) cũng bằng 0 như thế tập tin này sẽ không thể hiển thị được trên trên trang Web đó
    Khi người sử dụng vào Website này lập tức sẽ kích họat chương trình Flood Data Attack ! của Hacker tại địa chỉ là
    http://noitancong.com/filedata.swf
    Hacker có thể kiểm soát được số người hiện đang kích hoạt chương trình Flood data của mình trên Website đó và khi nào Hacker cảm thấy số lượng người đang kích hoạt chương trình đã đủ để việc tấn công một Website nào đó trên mạng thành công thì công việc đó có thể được bắt đầu.
    Ví dụ như hacker vào một địa chỉ như
    http://www.vbuleetin.com để thực hiện công việc tấn công trang này hacker cần phải tìm những nơi có sự trao đổi dữ liệu cho nhau như Register, Search, Login, Sendmail ….. Sau khi đã thu thập được những thành phần trên Hacker bắt đầu thực hiện lấy những đầu vào(input) và gán nhửng giá trị đầu vào trên lên nơi điều khiển của chương trình Flood data attack!.
    Ví dụ phần trên sẽ được gán với biến như sau :
    Url=http://www.vbuleetin.com/register.php&username=user + random(999999999)&password = flood&passwordconfim=password&email=random(1000000 00)+@vbulleetin.com

    Trong đó Url là giá trị của Website bị tấn công, Username với giá trị là một user nào đó do hacker đặt ra và cộng với biến ngẫu nhiên ở sau mỗi user mà hacker đặt ra là khác nhau. Một khi Website này bị tấn công, toàn bộ họat động của Server chứa Website đó sẽ bị hậu quả rất ngiêm trọng tùy theo số lượng người kích họat vào chương trình Flood data attack! Của hacker đó, Lúc này những phần bị ảnh hưởng sẽ là MailServer, MySQL, PHP, Apache, FTP….

    • Đối với MySQL : Khi bị Flood data attack! Những yêu cầu sẽ được gửi liên tục đến Server và được chuyển qua MySQL xử lý với số lượng lớn và nối tiếp nhau cho đến khi quá tải chương trình MySQL sẽ hòan toàn bị vô tác dụng song song với việc ảnh hưởng đến MySQL là việc ảnh hưởng đến MailServer.
    Với giá trị là random(100000000)+@vbuleetin.com thì khi thực thi nó sẽ gửi từ ‘1@vbuleetin.com’ cho đến ‘100000000@vbuleetin.com’ tất nhiên nhửng email này sẽ không có thực đối với trang chủ của Website ‘
    http://www. vbuleetin.com.

    • Đối với sẽ nhửng địa chỉ email này MailServer đưa vào danh sách “Msgs Failed” nhưng với giá trị là @vbulletin.com thì hầu hết một nhà cung cấp “domain” và “hosting” sẽ chuyển về một số email mặc định như là postmaster, admin, administrator, supervisor, hostmaster, webmaster.
    Những Hacker có thể lợi dụng những Form mail trong việc trao đổi thông tin giữa khách hàng với chủ cung cấp dịch vụ để thực hiện những cuộc tấn công, những cuốc tấn công này thường rất nguy hiễm vì có thể trong 1 giây Hacker thực hiện từ 100 lần đến hàng nghìn lần với những yêu cầu SendEmail từ 1 user trên server đó đến MailServer.

    • Dạng 2: Được chạy dưới dạng file.exe với dạng thức này thì khả năng tấn công vẫn giống như cách tấn công nằm trên website nhưng khả năng tấn công được nâng thêm nhiều dạng như Ping, Flood Ftp, Flood Smtp… tùy vào khả năng phát triển của Hacker.
    Cũng giống như chương trình Flood data attack! Được gắn trên website dạng .exe này cũng được điều khiển từ 1 Website. Thường thì nơi điều khiển được đặt chung 1 nơi để tiện cho việc điều khiển.
    Với những phương thức tấn công như vậy ta cũng có thể thấy được tầm nguy hiểm của nó nếu như được đặt trên một server với số lượng người truy cập đông như Google hoặc 1 Website nổi tiếng nào đó thì sức phá hoại của nó là rất khủng khiếp.

    • Với 1 client/1s có thể gửi từ 3 – 8 yêu cầu có thực đến máy chủ thực thi và xử lý thông qua đó nó có thể ảnh hưởng đến Php, Apache, Phpmail, MySQL, FTP …., Tùy theo những mã nguồn của ASP, PHP, JSP, CGI, PL hoặc chung quy là những mã nguồn có liên quan đến công việc xuất và nhập dữ liệu.
    Nếu hacker huy động hoặc hack được những server hoặc Website nào đó có số lượng người Online khoảng 2000 thì trong 1 giây Server đó sẽ phải thực thi khoảng 6000 yêu cầu từ các client gửi đến Server đó.
    Ví dụ : Có User nằm trên server X nào đó user đó có cài đặt mã nguồn mở như Forum IPB (Invision Power Boards) khi hacker sử dụng mục đăng ký làm nơi tấn công Flood data thì trong vòng một giây như phần trên đã nêu sẽ có khoãng 6000 nickname được khởi tạo đi kèm theo đó là 6000 yêu cầu đã được mã nguồn mử thiết lập khi đăng ký và sẽ kèm theo việc gửi email đến các địa chỉ đã đăng ký.

    • Như vậy đi kèm với 6000 nickname trên, MailServer sẽ phải gửi đi 6000 yêu cầu trong vòng 1/s việc này nếu như bị kéo dài từ 5 – 10 phút thì Server đó hầu như sẽ không còn họat động được.
    Bandwith lúc này có thể tăng 5 – 10 MB/s cộng thêm data khi được chuyển đến MySQL lúc này có thể đạt tới 5 -7 MB/s nữa khi đó toàn bộ các phần mềm như Apache, MailServer, PHP, MySQL, FTP đều bị ngưng họat động. Lúc đó server có thể sẽ bị reboot.
    Vì Hacker sử dụng phương tiện tấn công Online trên Website và dựa vào lượng khách truy cập thông tin ở nhiều Website nên phương pháp này hầu như rất khó chống, mỗi ngày Hacker có thể dùng hàng ngàn địa chỉ IP trên khắp thế giới để thực hiện việc tấn công như thế ta có thể thấy nó đơn giản so với DDos rất nhiều nhưng sự nguy hiểm có lẽ hơn hẳn DDos. Vì Flooding Data Attack tấn công theo dạng địa chỉ ‘
    http://victim.com/data.php&bien1&bien2&bien3’ theo cổng GET hoặc POST vì vậy, cho dù bất cứ lý do gì khi tấn công cũng phải đi qua hướng này.
    Do lỗi được xuất hiện ở các mã nguốn ASP hay PHP nên cách tốt nhất là sửa và xem lại những mã nguồn mà người sử dụng muốn đưa lên mạng. Để tránh bị Flood data Attack! Thì cách phòng chống tạm thời vẫn là thêm một chuỗi ngẫu nhiên trên mỗi Form có sự xuất và nhập dữ liệu tuy nhiên những cách trên chưa phải là những cách hòan thiện để chống lại nhửng cuộc tấn công tràn ngập dữ liệu (Flooding Data Attack).
    Các tấn công được thực hiện như thế nào?

    Hầu hết các tấn công được thực hiện trên các công cụ hacker có sẵn miễn phí. Các công cụ này đều có những mục đích riêng và thực hiện được với một hiểu quả cao như nó dễ dàng tìm kiếm và đăng nhập một máy tính khi hệ thống không an toàn. Hãy tưởng tượng, nếu như có một tên trộm đang thử toàn bộ các cửa ra vào của một thành phố chỉ với thời gian ít phút. Rõ ràng, nó sẽ không mấy khó khăn khi tìm được một cửa vào đang mở.
    Các công ty đã tiêu tốn rất nhiều thời gian và tiền của trong vấn đề an toàn với các tấn công từ bên ngoài trong khi lại quên mất biện pháp bảo mật thông tin ngay bên trong nội bộ. Chính điều này mới là vấn đề làm tê liệt các máy tính. Các kẻ tấn công không cần phải tốn nhiều thời gian với firewall của bạn, họ chỉ cần vượt qua địa chỉ Internet theo cổng (port) 80, nếu bản sửa lỗi bảo mật chưa được cài đặt, firewall của bạn sẽ rất ‘hài lòng’ khi cho họ được quyền xem nội dung các trang web được tổ chức và hiển thị như thế nào. Ban đầu, kẻ tấn công này sử dụng các công cụ hacker thông thường để nhanh chóng làm tê liệt hệ thống bảo mật bên trong và hệ thống của bạn lúc này đã bị hack. Bạn sẽ không biết hệ thống của mình bị hack và họ sẽ tiếp tục chui được vào sâu bên trong và sử dụng các công cụ tự động khác để lấy thông tin.

    Các lỗ hổng bảo mật

    Hầu hết các cách để chui được qua một hệ thống là tìm kiếm các máy tính đang chạy mà chưa sửa các lỗi bảo mật đã được công bố. Các bản sửa lỗi này phải được chạy trên hệ thống chỉ sau một vài giờ để giữ cho hệ thống được an toàn. Nếu các bản sửa lỗi không được chạy, sẽ có một số người ngay lập tức có thể kiểm soát máy tính của bạn mà không phải cố gắng nhiều. Các bản sửa lỗi phải được chạy đối với toàn bộ các phần mềm được sử dụng, từ các ứng dụng email, các trình duyệt Internet, tới các phần mềm hệ thống quan trọng như hệ điều hành.

    Các mật khẩu yếu

    Một vài kỹ thuật khác là tìm ra các mật khẩu yếu trên các account máy tính. Ban đầu, các mật khẩu được tìm ra này sẽ được thử trên một vài hệ thống mà các mật khẩu này hay được sử dụng lại. Các mật khẩu dễ đoán này cho phép kẻ tấn công trở thành một người khác, một người được chứng thực. Một kẻ tấn công đột nhiên xuất hiện như một người khác sẽ làm bạn tin là bạn đang làm việc với người đó. Hãy tưởng tượng xem có điều gì xảy ra nếu một tên trộm được làm bất cứ điều gì trong nhà mà bạn lại nghĩ đó là một người bạn hay thành viên gia đình. Sự nguỵ trang này giúp cho kẻ tấn công có thể làm được bất cứ điều gì mà họ muốn trên hệ thống mà bạn không hề hay biết. Khó khăn bước đầu đã qua, có quyền truy cập hệ thống, công việc thông thường mà kẻ tấn công làm là tạo ra nhiều account quản trị hơn và kiểm soát hệ thống.

    Các file chia sẻ

    Việc mở các file chia sẻ thông tin là một trong những vấn đề bảo mật rất dễ gặp. Điều này cho phép bất kì ai cũng có thể truy cập các file nếu bạn không có cơ chế bảo mật tốt.

    Không có firewall

    Mọi hệ thống khi kết nối với internet cần phải có một firewall để xây dựng hệ thống bảo mật. Với những người sử dụng gia đình có các lựa chọn hệ thống firewall từ 39 USD (Black Ice Firewall) tới 359 USD (WatchGuard), để có hệ thống bảo vệ tốt nhất, giá có thể lên tới 5000 USD. Các firewall giúp ngăn chặn các truy nhập bất hợp pháp từ bên ngoài vào hệ thống thông qua Internet. Đây chính là bước đầu tiên trong hệ thống bảo mật.

    Dữ liệu không được mã hoá

    Các file dữ liệu quan trọng phải được mã hoá cả khi lưu trữ và khi gửi đi tới nơi khác. Các công cụ mã hoá thường miễn phí hoặc có giá thành thấp. Microsoft Windows 2000 có các bộ công cụ mã hoá miễn phí, PGP (Pretty Good Privacy) được sử dụng miễn phí với các dịch vụ không phải thương mại và có giá thành thấp với dịch vụ thương mại. Việc mã hoá làm cho người khác muốn đọc thông tin của bạn sẽ khó có thể đọc được nếu bạn không cho phép. IP Sec và VPNs là các công cụ mã hoá mức hệ thống và mã hoá tự động toàn bộ các dữ liệu được gửi đi. Cả hai loại này đều có sẵn miễn phí trong Windows 2000 và có giá thấp cho các nhà thương mại khác. Chữ kí điện tử phải được sử dụng cho các thông tin quan trọng để đảm bảo thông tin đó đến từ một tài nguyên được chứng thực.

    Email

    Nói chung, khó có thể kiểm tra ngăn chặn và trường hợp tấn công khi user chạy các chương trình phá hoại. Bất cứ điều gì trên mạng giống như trò đùa có thể ẩn sâu bên trong đó là các chương trình virus hay Trojan nguy hiểm. Cũng giống như các trò lừa được sử dụng trong cả hai virus Melissa và Loveletter, và có thể dẫn tới nguy hiểm cho cả các khách hàng của bạn nếu nhận thư của bạn. Một vài file thư khác lại có chức năng lấy trộm thông tin và gửi các thông tin về máy tính của bạn tới các site khác ở bất kì đâu trên thế giới qua chu kỳ thời gian. Một số sản phẩm phần mềm lại có tính năng tìm kiếm các máy tính của bạn và lắng nghe cổng để bắt lấy thông tin bạn truyền đi. Chúng thậm chí còn có khả năng thu cả các tín hiệu do bạn dùng microphone và lắng nghe cuộc hội đàm của bạn.

    Vậy ai là những kẻ tấn công?

    Nên nhớ rằng, đó có thể chính là các thành viên bên trong công ty vì những người này có nhiều quyền hạn đối với các tài nguyên và có tính chứng thực cao. Một thành viên công ty chỉ cần sử dụng các công cụ trong Windows cũng có thể tìm được các máy tính mở. Các thành viên mà có ý định thu thập thông tin trong công ty thì càng có khả năng tìm được các tài liệu quan trong trong công ty, có thể chỉ mất khoản 30 phút. Mỗi thành viên như vậy chỉ cần giấu mình trong đội ngũ làm việc và âm thầm lấy đi các thông tin mà bạn không hay biết như số điện thoại, danh sách các khách hàng hay các vật dụng có sẵn của đồng nghiệp,..

    Trong một môi trường đầy cạnh tranh và mưu mẹo, thông tin thật quý giá. Vậy làm cách nào để bạn biết nhân viên của bạn lấy thông tin về khách hàng trên máy của bạn và chuyển tới đối thủ cạnh tranh hay không? Có rất nhiều rủi ro mà có thể được ngăn chặn bằng cách đơn giản sử dụng các mật khẩu bảo vệ màn hình máy tính của bạn. Nhưng tính năng này vẫn có thể đơn giản bị phá khi khởi động lại máy, như đối với hệ điều hành Window 98, những người không có quyền truy cập hệ thống vẫn có thể lấy thông tin bằng các mã chương trình nhỏ được cài vào trong máy tính của bạn và duy trì việc truy cập các tài nguyên, lấy các thông tin quan trọng của bạn. Toàn bộ các email và các tài liệu cá nhân được gửi tới bất cứ đâu trên thế giới hàng ngày đều đặn. Điều này thật dễ dàng hơn rất nhiều những suy nghĩ của mọi người và có thể được làm chỉ trong một vài phút nếu hệ thống của bạn không được cấu hình với các bản sửa lỗi bảo mật mới nhất. Thực tế, bạn không hay biết gì, có chăng chỉ thấy là công ty cạnh tranh của bạn luôn có các suy nghĩ đi trước bạn một bước.

    Ai là những kẻ tấn công này? Có rất nhiều các mã Script hay những người mà đang chạy các công cụ bảo mật và các công nghệ được phát triển bởi người khác. Trong thực tế, có rất ít người có khả năng tạo ra các kiểu tấn công mới vào hệ thống. Điều này cũng giống như những trò đùa thú vị mà chúng ta có thể chia sẻ nhưng rất ít trong số chúng ta viết ra chúng. Chỉ có khoảng xấp xỉ 100 người trên thế giới biết làm cách nào có thể đột nhập vào hệ thống đã được bảo mật, nhưng lại có đến hàng triệu người có thể chạy các script có sẵn. Hãy nhìn vào các mã nguồn được viết, các kết quả cuối cùng đều giống nhau. Với các hacker thực sự, người mà có khả năng kết hợp các công nghệ hiện đại với hiểu biết thì dường như hiện tại, chúng ta chỉ hi vọng là họ không nhắm vào chúng ta mà thôi, và nếu họ làm, thì mức độ nguy hiểm sẽ là nhỏ nhất đối với hệ thống. Nhưng còn đối với sự phá hoại chính hiện nay lại không phải những người này, mà là những “Script Kiddies”, người mà tìm mọi cách gây nguy hiểm cho hệ thống. Không phải mọi hacker đều có ý định đánh cắp thông tin, mà có thể chỉ là một trò đùa để xem xem họ có thể tìm thấy những gì trên hệ thống, hay họ muốn cảnh báo để tăng bảo mật cho hệ thống đó. Trong bất kì trường hợp nào, tốt hơn hết ta luôn giữ cho hệ thống không bị ai xâm nhập.

    Sự nguy hiểm

    Cách làm cho bảo mật hoạt động không hiệu quả chính do cá nhân, hay một công ty, là những thành viên bên trong tổ chức có thể kiểm tra, thay đổi, thậm chí đánh cắp các thông tin về khách hàng khi họ dời đi. Các kế hoạch thương mại được giữ kín của công ty trở thành phổ biến, và các đối thủ cạnh tranh có thể làm giảm giá trị của kế hoạch đó theo thông tin của người bên trong cung cấp. Với các hacker ngoài có thể hoàn toàn kiểm soát các email server của bạn và thực hiện các công việc mà họ muốn. Họ có thể thực hiện các công việc tương tự với internet server và với các máy tính cá nhân của bạn. Hãy nghĩ về sự phân cấp, một số người muốn điều khiển hệ thống internet server, nếu bạn không biết, trong vòng một tháng, một năm, hay nhiều hơn nũa. Bạn có các thông tin quan trọng, cá nhân sẽ được gửi tới một người nào đó mà bạn không biết. Bạn không có cách nào điều khiển và buộc tội họ. Nguy hiểm hơn nữa, có rất nhiều kẻ tấn công trong số này đẩy danh sách các máy tính này lên mạng, điều này cho phép người khác có thể sử dụng các thông tin đó, và điều này cũng không một ai biết.

    infosec -vietnamlab


    Một loạt lỗi trong phần mềm DNS được phát hiện

    Các chuyên gia nghiên cứu tại Đại học Oulu (Phần Lan) đã khám phá ra nhiều lỗ hổng trong các phần mềm quản lý hệ thống tên miền Internet (DNS). Cisco, Microsoft và Sun Microsystems đang kiểm tra xem khách hàng của họ có bị ảnh hưởng hay không.

    Những lỗi này có thể bị hacker khai thác để "gây nhiều rắc rối khác nhau", như làm trục trặc máy chủ DNS hoặc tạo điều kiện cho tin tặc cài phần mềm bất hợp pháp.

    Các chuyên gia Oulu đã phát hành bộ thử nghiệm dò lỗi và nhiều nhà cũng cấp công cụ quản lý DNS, trong đó có Juniper Networks và Hiệp hội phần mềm Internet (ISC - Internet Software Consortium), cũng thừa nhận một số sản phẩm của họ đã bị hổng. Tuy nhiên, lỗi trong phần mềm BIND (Berkeley Internet Name Domain) của ISC được đánh giá là "không nghiêm trọng". Trong khi đó, Hitachi và Wind River tuyên bố không bị ảnh hưởng.

    Máy chủ DNS đang được quản lý chặt chẽ do một số vụ tấn công gần đây cho thấy chúng hoàn toàn có thể bị khống chế để đánh sập đồng loạt nhiều website. :
    http://vnexpress.net/Vietnam/Vi-tinh...6/03/3B9E82DE/

    Tháng trước, công ty dịch vụ Internet VeriSign (Mỹ) thông báo một nhóm tội phạm mạng đã khống chế máy tính và máy chủ tên miền để thực hiện tấn công từ chối dịch vụ (DDoS) chống lại khoảng 1.500 tổ chức. Ngay sau khi vụ việc được công bố, hacker tiếp tục "dội bom" vào DNS server của Network Solutions (Mỹ) và Joker.com (Đức).

    Thông tin thêm về các lỗ hổng mới có thể xem tại đây:
    http://www.niscc.gov.uk/niscc/docs/r...12.pdf?lang=en.


    Written by lethanhnam67


    Cisco vá lỗ hổng nguy hiểm trong dòng switch và router Catalyst

    Trước đây việc tấn công DoS hay DDoS được thực hiện từ mạng máy tính tới các đối tượng cần tấn công, nhưng với lỗ hổng mới của Cisco vừa vá. Nếu các Router của nhà cung cấp dịch vụ bị lợi dụng thì khả năng tấn công cũng như điều khiển luồng dữ liệu được thực hiện một nguy hiểm hơn rất nhiều. Với lỗ hổng của các thiết bị mạng thường cảnh báo là nguy hiểm hơn rất nhiều với lỗ hổng trên hệ điều hành hay các ứng dụng, bởi chúng có thể ảnh hưởng tới hàng loạt các thiết bị khác nhau...

    Đây là các dòng Catalyst của Cisco

    Một số sản phẩm switch và router dòng Catalyst của Cisco có chứa lỗ hổng cho phép hacker chiếm quyền kiểm soát toàn bộ hệ thống bị ảnh hưởng. Cisco vừa cho sửa chữa các sai sót bảo mật "chết người" này.

    Theo thông báo của Cisco, dòng switch Cisco Catalyst 6000 & 6500 và dòng router Cisco 7600 có cài đặt Network Analysis Module (NAM) đều mắc một lỗ hổng giả mạo giao tiếp Simple Network Management Protocol (SNMP).


    SNMP là giao thức dùng để quản lý các thiết bị, nhiều thiết bị hỗ trợ cả tính năng console trực tiếp từ SNMP Server, từ SNMP Server bạn có thể nhìn được trạng thái, cũng như có thể làm được một số tác vụ. Việc nợi dụng gói tin rả mạo dạng SNMP này cho phép kẻ tấn công quản lý được các thiết bị hỗ trợ SNMP. Hầu hết các hệ điều hành, các thiết bị mạng cao cấp đều hỗ trợ khả năng quản lý qua SNMP.

    Bằng cách giả mạo giao tiếp SNMP giữa hệ thống Catalyst và NAM, kẻ tấn công có thể chiếm quyền điều khiển toàn bộ hệ thống Catalyst. Lỗ hổng được xác định ảnh hưởng tới các router chạy hệ điều hành liên mạng (IOS) và hệ điều hành Catalyst (CatOS) của Cisco.

    Được biết, NAM cung cấp khả năng phân tích và theo dõi giao vận mạng từ các switch và router từ xa, cho phép người quản trị có thể nắm được những ứng dụng nào đang chạy và chúng hoạt động ra sao.

    Cũng trong một cảnh báo khác của Cisco, hãng này cho biết kẻ tấn công có thể khởi phát một cuộc tấn công DoS trên các dòng switch và router Catalyst 6000, 6500 và 7600 bằng cách gửi một gói MPLS (Multi Protocol Label Switching) giả mạo tới hệ thống bị ảnh hưởng.

    Được biết, dòng switch Catalyst 6500 được tung ra thị trường cách 7 năm, và cho tới nay doanh thu đã đạt 20 tỷ USD.
    và Hacker cũng dễ dàng điều khiển chương trình bằng 1 file nguồn ở 1 Website nào đó của Hacker trên mạng mà Hacker đó đặt ra trong chương trình Flooding data Attack.

  2. #2
    thanhthanh's Avatar Hội Thương Gia
    Title
    Thành Viên VIP
    Ngày tham gia
    Dec 2009
    Đang ở
    P.phú cường, TX.TDM, Bình Dương
    Bài viết
    123

    Mặc định

    cấu hình tham khảo : http://supportwiki.cisco.com/ViewWik...%28DoS/DDoS%29

    DoS và DDoS toàn tập - Phần I
    DoS và DDoS là một trong những dạng tấn công nguy hiểm nhất đối với một hệ thống mạng. Bài viết này không muốn các bạn dựa vào các tools trong này để tấn công, mục đích trình bày để các bạn hiểu về kiểu tấn công này, và có những giải pháp phòng chống.

    Trong bài viết này tôi sẽ trình bày với các bạn chi tiết về định nghĩa, các dạng tấn công DoS và DDoS, cùng hàng loạt các kiến thức liên quan được tổng hợp. DoS và DDoS là một trong những dạng tấn công nguy hiểm nhất đối với một hệ thống mạng. Bài viết này tôi không muốn các bạn dựa vào các tools trong này để tấn công, mục đích trình bày để các bạn hiểu về kiểu tấn công này, và có những giải pháp phòng chống.
    Phần I: của bài viết tập trung vào DoS
    Phần II của bài viết về định nghĩa, các tools và cách phòng chống DDoS

    1. Lịch sử các cuộc tấn công DoS và DDoS
    2. Định nghĩa về: Denial of Service Attack
    3. Các dạng tấn công DoS
    4. Các tool tấn công DoS
    5. Mạng BOT net
    6. Tấn công DDoS
    7. Phân loại tấn công DDoS
    8. Các tools tấn công DDoS
    9. Sâu máy tính (worms) trong tấn công DDoS
    I. Lịch sử của tấn công DoS
    1. Mục tiêu
    - Mục tiêu các cuộc tấn công thường vào các trang web lớn và các tổ chức thương mại điện tử trên Internet.
    2. Các cuộc tấn công.
    - Vào ngày 15 tháng 8 năm 2003, Microsoft đã chịu đợt tấn công DoS cực mạnh và làm gián đoạn websites trong vòng 2 giờ.
    - Vào lúc 15:09 giờ GMT ngày 27 tháng 3 năm 2003: toàn bộ phiên bản tiếng anh của website Al-Jazeera bị tấn công làm gián đoạn trong nhiều giờ
    II. Định nghĩa về tấn công DoS
    Tấn công DoS là kiểu tấn công vô cùng nguy hiểm, để hiểu được nó ta cần phải lắm rõ định nghĩa của tấn công DoS và các dạng tấn công DoS.
    - Tấn công DoS là một kiểu tấn công mà một người làm cho một hệ thống không thể sử dụng, hoặc làm cho hệ thống đó chậm đi một cách đáng kể với người dùng bình thường, bằng cách làm quá tải tài nguyên của hệ thống.
    - Nếu kẻ tấn công không có khả năng thâm nhập được vào hệ thống, thì chúng cố gắng tìm cách làm cho hệ thống đó sụp đổ và không có khả năng phục vụ người dùng bình thường đó là tấn công Denial of Service (DoS).
    Mặc dù tấn công DoS không có khả năng truy cập vào dữ liệu thực của hệ thống nhưng nó có thể làm gián đoạn các dịch vụ mà hệ thống đó cung cấp. Như định nghĩa trên DoS khi tấn công vào một hệ thống sẽ khai thác những cái yếu nhất của hệ thống để tấn công, những mục đích của tấn công DoS:
    1. Các mục đích của tấn công DoS
    - Cố gắng chiếm băng thông mạng và làm hệ thống mạng bị ngập (flood), khi đó hệ thống mạng sẽ không có khả năng đáp ứng những dịch vụ khác cho người dùng bình thường.
    - Cố gắng làm ngắt kết nối giữa hai máy, và ngăn chặn quá trình truy cập vào dịch vụ.
    - Cố gắng ngăn chặn những người dùng cụ thể vào một dịch vụ nào đó
    - Cố gắng ngăn chặn các dịch vụ không cho người khác có khả năng truy cập vào.
    - Khi tấn công DoS xảy ra người dùng có cảm giác khi truy cập vào dịch vụ đó như bị:
    + Disable Network - Tắt mạng
    + Disable Organization - Tổ chức không hoạt động
    + Financial Loss – Tài chính bị mất
    2. Mục tiêu mà kẻ tấn công thường sử dụng tấn công DoS
    Như chúng ta biết ở bên trên tấn công DoS xảy ra khi kẻ tấn công sử dụng hết tài nguyên của hệ thống và hệ thống không thể đáp ứng cho người dùng bình thường được vậy các tài nguyên chúng thường sử dụng để tấn công là gì:
    - Tạo ra sự khan hiếm, những giới hạn và không đổi mới tài nguyên
    - Băng thông của hệ thống mạng (Network Bandwidth), bộ nhớ, ổ đĩa, và CPU Time hay cấu trúc dữ liệu đều là mục tiêu của tấn công DoS.
    - Tấn công vào hệ thống khác phục vụ cho mạng máy tính như: hệ thống điều hoà, hệ thống điện, hệt hống làm mát và nhiều tài nguyên khác của doanh nghiệp. Bạn thử tưởng tượng khi nguồn điện vào máy chủ web bị ngắt thì người dùng có thể truy cập vào máy chủ đó không.
    - Phá hoại hoặc thay đổi các thông tin cấu hình.
    - Phá hoại tầng vật lý hoặc các thiết bị mạng như nguồn điện, điều hoà…
    III. Các dạng tấn công
    Tấn công Denial of Service chia ra làm hai loại tấn công
    - Tấn công DoS: Tấn công từ một cá thể, hay tập hợp các cá thể.
    - Tấn công DDoS: Đây là sự tấn công từ một mạng máy tính được thiết kế để tấn công tới một đích cụ thể nào đó.
    1. Các dạng tấn công DoS
    - Smurf
    - Buffer Overflow Attack
    - Ping of Death
    - Teardrop
    - SYN Attack
    a. Tấn công Smurf
    - Là thủ phạm sinh ra cực nhiều giao tiếp ICMP (ping) tới địa chỉ Broadcast của nhiều mạng với địa chỉ nguồn là mục tiêu cần tấn công.
    * Chúng ta cần lưu ý là: Khi ping tới một địa chỉ là quá trình hai chiều – Khi máy A ping tới máy B máy B reply lại hoàn tất quá trình. Khi tôi ping tới địa chỉ Broadcast của mạng nào đó thì toàn bộ các máy tính trong mạng đó sẽ Reply lại tôi. Nhưng giờ tôi thay đổi địa chỉ nguồn, thay địa chỉ nguồn là máy C và tôi ping tới địa chỉ Broadcast của một mạng nào đó, thì toàn bộ các máy tính trong mạng đó sẽ reply lại vào máy C chứ không phải tôi và đó là tấn công Smurf.
    - Kết quả đích tấn công sẽ phải chịu nhận một đợt Reply gói ICMP cực lớn và làm cho mạng bị dớt hoặc bị chậm lại không có khả năng đáp ứng các dịch vụ khác.
    - Quá trình này được khuyếch đại khi có luồng ping reply từ một mạng được kết nối với nhau (mạng BOT).
    - tấn công Fraggle, chúng sử dụng UDP echo và tương tự như tấn công Smurf.

    Hình hiển thị tấn công DoS - dạng tấn công Smurf sử dụng gói ICMP làm ngập các giao tiếp khác.
    b. Tấn công Buffer overflow.
    - Buffer Overflow xảy ra tại bất kỳ thời điểm nào có chương trình ghi lượng thông tin lớn hơn dung lượng của bộ nhớ đệm trong bộ nhớ.
    - Kẻ tấn công có thể ghi đè lên dữ liệu và điều khiển chạy các chương trình và đánh cắp quyền điều khiển của một số chương trình nhằm thực thi các đoạn mã nguy hiểm. - Tấn công Buffer Overflow tôi đã trình bày cách khai thác lỗi này trong bài viết trước về hacking windows cũng trên trang ?ào t?o ngh?, ch?ng ch? tin h?c Qu?c t? CCNA, MCSA, Linux, Security+, CEH....
    - Quá trình gửi một bức thư điện tử mà file đính kèm dài quá 256 ký tự có thể sẽ xảy ra quá trình tràn bộ nhớ đệm.
    c. Tấn công Ping of Death

    - Kẻ tấn công gửi những gói tin IP lớn hơn số lương bytes cho phép của tin IP là 65.536 bytes.
    - Quá trình chia nhỏ gói tin IP thành những phần nhỏ được thực hiện ở layer II.
    - Quá trình chia nhỏ có thể thực hiện với gói IP lớn hơn 65.536 bytes. Nhưng hệ điều hành không thể nhận biết được độ lớn của gói tin này và sẽ bị khởi động lại, hay đơn giản là sẽ bị gián đoạn giao tiếp.
    - Để nhận biết kẻ tấn công gửi gói tin lớn hơn gói tin cho phép thì tương đối dễ dàng.
    d. Tấn công Teardrop
    - Gói tin IP rất lớn khi đến Router sẽ bị chia nhỏ làm nhiều phần nhỏ.
    - Kẻ tấn công sử dụng sử dụng gói IP với các thông số rất khó hiểu để chia ra các phần nhỏ (fragment).
    - Nếu hệ điều hành nhận được các gói tin đã được chia nhỏ và không hiểu được, hệ thống cố gắng build lại gói tin và điều đó chiếm một phần tài nguyên hệ thống, nếu quá trình đó liên tục xảy ra hệ thống không còn tài nguyên cho các ứng dụng khác, phục vụ các user khác.
    e. Tấn công SYN

    - Kẻ tấn công gửi các yêu cầu (request ảo) TCP SYN tới máy chủ bị tấn công. Để xử lý lượng gói tin SYN này hệ thống cần tốn một lượng bộ nhớ cho kết nối.
    - Khi có rất nhiều gói SYN ảo tới máy chủ và chiếm hết các yêu cầu xử lý của máy chủ. Một người dùng bình thường kết nối tới máy chủ ban đầu thực hiện Request TCP SYN và lúc này máy chủ không còn khả năng đáp lại - kết nối không được thực hiện.
    - Đây là kiểu tấn công mà kẻ tấn công lợi dụng quá trình giao tiếp của TCP theo – Three-way.
    - Các đoạn mã nguy hiểm có khả năng sinh ra một số lượng cực lớn các gói TCP SYN tới máy chủ bị tấn công, địa chỉ IP nguồn của gói tin đã bị thay đổi và đó chính là tấn công DoS.
    - Hình bên trên thể hiện các giao tiếp bình thường với máy chủ và bên dưới thế hiện khi máy chủ bị tấn công gói SYN đến sẽ rất nhiều trong khi đó khả năng trả lời của máy chủ lại có hạn và khi đó máy chủ sẽ từ chối các truy cập hợp pháp.
    - Quá trình TCP Three-way handshake được thực hiện: Khi máy A muốn giao tiếp với máy B. (1) máy A bắn ra một gói TCP SYN tới máy B – (2) máy B khi nhận được gói SYN từ A sẽ gửi lại máy A gói ACK đồng ý kết nối – (3) máy A gửi lại máy B gói ACK và bắt đầu các giao tiếp dữ liệu.
    - Máy A và máy B sẽ dữ kết nối ít nhất là 75 giây, sau đó lại thực hiện một quá trình TCP Three-way handshake lần nữa để thực hiện phiên kết nối tiếp theo để trao đổi dữ liệu.
    - Thật không may kẻ tấn công đã lợi dụng kẽ hở này để thực hiện hành vi tấn công nhằm sử dụng hết tài nguyên của hệ thống bằng cách giảm thời gian yêu cầu Three-way handshake xuống rất nhỏ và không gửi lại gói ACK, cứ bắn gói SYN ra liên tục trong một thời gian nhất định và không bao giờ trả lời lại gói SYN&ACK từ máy bị tấn công.
    - Với nguyên tắc chỉ chấp nhận gói SYN từ một máy tới hệ thống sau mỗi 75 giây nếu địa chỉ IP nào vi phạm sẽ chuyển vào Rule deny access sẽ ngăn cản tấn công này.
    IV. Các công cụ tấn công DoS
    - Jolt2
    - Bubonic.c
    - Land and LaTierra
    - Targa
    - Blast20
    - Nemesy
    - Panther2
    - Crazy Pinger
    - Some Trouble
    - UDP Flood
    - FSMax
    1. Tools DoS – Jolt2

    - Cho phép kẻ tấn từ chối dịch vụ (DoS) lên các hệ thống trên nền tảng Windows
    - Nó là nguyên nhân khiên máy chủ bị tấn công có CPU luôn hoạt động ở mức độ 100%, CPU không thể xử lý các dịch vụ khác.
    - Không phải trên nền tảng Windows như Cisco Router và một số loại Router khác cũng có thể bị lỗ hổng bảo mật này và bị tools này tấn công.
    2. Tools DoS: Bubonic.c
    - Bubonic.c là một tools DoS dựa vào các lỗ hổng bảo mật trên Windows 2000
    - Nó hoạt động bằng cách ngẫu nhiên gửi các gói tin TCP với các thiết lập ngẫu nhiên làm cho máy chủ tốn rất nhiều tài nguyên để xử lý vấn đề này, và từ đó sẽ xuất hiện những lỗ hổng bảo mật.
    - Sử dụng bubonic.c bằng cách gõ câu lệnh: bubonic 12.23.23.2 10.0.0.1 100

    3. Tools DoS: Land and LaTierra
    - Giả mạo địa chỉ IP được kết hợp với quá trình mở các kết nối giữa hai máy tính.
    - Cả hai địa chỉ IP, địa chỉ nguồn (source) và địa chỉ IP đích, được chỉnh sửa thành một địa chỉ của IP đích khi đó kết nối giữa máy A và máy B đang được thực hiện nếu có tấn công này xảy ra thì kết nối giữa hai máy A và B sẽ bị ngắt kết nối.
    - Kết quả này do địa chỉ IP nguồn và địa chỉ IP đích của gói tin giống nhau và gói tin không thể đi đến đích cần đến.
    4. Tools DoS: Targa
    - Targa là một chương chình có thể sử dụng 8 dạng tấn công DoS khác nhau.
    - Nó được coi như một bộ hướng dẫn tích hợp toàn bộ các ảnh hưởng của DoS và thường là các phiên bản của Rootkit.
    - Kẻ tấn công sử dụng một trong các phương thức tấn công cụ thể tới một hệ thống bao giờ đạt được mục đích thì thôi.
    - Targa là một chương trình đầy sức mạnh và nó có khả năng tạo ra một sự nguy hiểm rất lớn cho hệ thống mạng của một công ty.
    5. Tools DoS Blast 2.0
    - Blast rất nhỏ, là một công cụ dùng để kiểm tra khả năng của dịch vụ TCP nó có khả năng tạo ra một lưu lượng rất lớn gói TCP và có thể sẽ gay nguy hiểm cho một hệ thống mạng với các server yếu.
    - Dưới đây là cách sử dụng để tấn công HTTP Server sử dụng Blast2.0
    + Blast 192.168.1.219 80 40 50 /b "GET /some" /e "url/ HTTP/1.0" /nr /dr /v
    - Tấn công máy chủ POP
    + Blast 192.168.1.219 110 15 20 /b "user te" /e "d" /v
    6. Tools DoS – Nemesys

    - Đây là một chương trình sinh ra những gói tin ngẫu nhiên như (protocol, port, etc. size, …)
    - Dựa vào chương trình này kẻ tấn công có thể chạy các đoạn mã nguy hiểm vào máy tính không được bảo mật.
    7. Tool DoS – Panther2.

    - Tấn công từ chối dịch vụ dựa trên nền tảng UDP Attack được thiết kế dành riêng cho kết nối 28.8 – 56 Kbps.
    - Nó có khả năng chiếm toàn bộ băng thông của kết nối này.
    - Nó có khả năng chiếm băng thông mạng bằng nhiều phương pháp ví như thực hiện quá trình Ping cực nhanh và có thể gây ra tấn công DoS
    8. Tool DoS – Crazy Pinger
    - Công cụ này có khả năng gửi những gói ICPM lớn tới một hệ thống mạng từ xa.

    9. Tool DoS – Some Trouble

    - SomeTrouble 1.0 là một chương trình gây nghẽn hệ thống mạng
    - SomeTrouble là một chương trình rất đơn giản với ba thành phần
    + Mail Bomb (tự có khả năng Resole Name với địa chỉ mail có)
    + ICQ Bomb
    + Net Send Flood
    10. DoS Tools – UDP Flood

    - UDPFlood là một chương trình gửi các gói tin UDP
    - Nó gửi ra ngoài những gói tin UDP tới một địac hỉ IP và port không cố định
    - Gói tin có khả năng là một đoạn mã văn bản hay một số lượng dữ liệu được sinh ngẫu nhiên hay từ một file.
    - Được sử dụng để kiểm tra khả năng đáp ững của Server
    11. Tools DoS – FSMAX

    - Kiểm tra hiệu năng đáp ứng của máy chủ.
    - Nó tạo ra một file sau đó chạy trên Server nhiều lần lặp đi lặp lại một lúc.
    - Tác dụng của tools này là tìm cách tấn công làm chàn bộ nhớ đệm và tấn công DoS tới máy chủ.
    V. Kết luận phần I.
    - Khi sử dụng một Tool tấn công DoS tới một máy chủ đôi khi không gây ảnh hưởng gì cho máy chủ - Giả sử bạn sử dụng tool Ping of Death tới một máy chủ, trong đó máy chủ kết nối với mạng tốc độ 100Mbps bạn kết nối tới máy chủ tốc độ 3Mbps - Vậy tấn công của bạn không có ý nghĩa gì.
    - Nhưng bạn hãy tưởng tượng có 1000 người như bạn cùng một lúc tấn công vào máy chủ kia khi đó toàn bộ băng thông của 1000 người cộng lại tối đa đạt 3Gbps và tốc độ kết nối của máy chủ là 100 Mbps vậy kết quả sẽ ra sao các bạn có khả năng tưởng tượng.
    - Trong phần II của loạt bài viết tôi sẽ trình bày với các bạn những nội dung về định nghĩa BOT, BOTNET, cách xây dựng, cách sử dụng các BOTNET từ đó chúng ta hiểu cách hoạt động và tìm ra những giải pháp để chống tấn công DDoS một cách hiệu quả nhất.

  3. #3
    thanhthanh's Avatar Hội Thương Gia
    Title
    Thành Viên VIP
    Ngày tham gia
    Dec 2009
    Đang ở
    P.phú cường, TX.TDM, Bình Dương
    Bài viết
    123

    Mặc định

    DoS và DDoS toàn tập – Phần II
    Trong phần II của bài viết về tấn công DoS và DDoS tôi sẽ trình bày với các bạn nội dung chi tiết về mạng Bot, các dạng mạng Bot và cách tạo ra mạng Botnet. Khi hiểu về mạng Botnet bạn có thể hình dung ra phương thức tấn công DDoS.

    Phần I: của bài viết tập trung vào DoS
    Trong phần II này tôi cũng trình bày với các bạn chi tiết các phương thức tấn công DDoS các thực hiện các phương thức tấn công này. Nhưng bài viết này chỉ có tác dụng giúp các bạn hiểu biết sâu về tấn công DDoS mà thôi, các tools giới thiệu chỉ mang tính giới thiệu vì nó là các tools DDoS cũ.
    VI. Mạng BOT NET
    1. Ý nghĩa của mạng BOT
    - Khi sử dụng một Tool tấn công DoS tới một máy chủ đôi khi không gây ảnh hưởng gì cho máy chủ - Giả sử bạn sử dụng tool Ping of Death tới một máy chủ, trong đó máy chủ kết nối với mạng tốc độ 100Mbps bạn kết nối tới máy chủ tốc độ 3Mbps - Vậy tấn công của bạn không có ý nghĩa gì.
    - Nhưng bạn hãy tưởng tượng có 1000 người như bạn cùng một lúc tấn công vào máy chủ kia khi đó toàn bộ băng thông của 1000 người cộng lại tối đa đạt 3Gbps và tốc độ kết nối của máy chủ là 100 Mbps vậy kết quả sẽ ra sao các bạn có khả năng tưởng tượng.
    - Nhưng tôi đang thử hỏi làm cách nào để có 1000 máy tính kết nối với mạng – tôi đi mua một nghìn chiếc và thuê 1000 thuê bao kết nối - chắc chắn tôi không làm như vậy rồi và cũng không kẻ tân công nào sử dụng phương pháp này cả.
    - Kẻ tấn công xây dựng một mạng gồm hàng nghìn máy tính kết Internet (có mạng BOT lên tới 400.000 máy). Vậy làm thể nào chúng có khả năng lợi dụng người kết nối tới Internet để xây dựng mạng BOT trong bài viết này tôi sẽ giới thiệu với các bạn các mạng BOT và cách xây dựng, những Tool xây dựng.
    - Khi có trong tay mạng BOT kẻ tấn công sử dụng những tool tấn công đơn giản để tấn công vào một hệ thống máy tính. Dựa vào những truy cập hoàn toàn hợp lệ của hệ thống, cùng một lúc chúng sử dụng một dịch vụ của máy chủ, bạn thử tưởng tượng khi kẻ tấn công có trong tay 400.000 máy chủ và cùng một lúc ra lệnh cho chúng download một file trên trang web của bạn. Và đó chính là DDoS – Distributed Denial of Servcie
    - Không có một phương thức chống tấn công DDoS một cách hoàn toàn nhưng trong bài viết này tôi cũng giới thiệu với các bạn những phương pháp phòng chống DDoS khi chúng ta đã hiểu về nó.
    2. Mạng BOT
    - BOT từ viết tắt của từ RoBOT
    - IRCbot – còn được gọi là zombia hay drone.
    - Internet Relay Chat (IRC) là một dạng truyền dữ liệu thời gian thực trên Internet. Nó thường được thiết kế sao cho một người có thể nhắn được cho một group và mỗi người có thể giao tiếp với nhau với một kênh khác nhau được gọi là – Channels.
    - Đầu tiên BOT kết nối kênh IRC với IRC Server và đợi giao tiếp giữa những người với nhau.
    - Kẻ tấn công có thể điều khiển mạng BOT và sử dụng mạng BOT cũng như sử dụng nhằm một mục đích nào đó.
    - Nhiều mạng BOT kết nối với nhau người ta gọi là BOTNET – botnet.
    3. Mạng Botnet.
    - Mạng Botnet bao gồm nhiều máy tính
    - Nó được sử dụng cho mục đích tấn công DDoS
    - Một mạng Botnet nhỏ có thể chỉ bao gồm 1000 máy tính nhưng bạn thử tưởng tượng mỗi máy tính này kết nối tới Internet tốc độ chỉ là 128Kbps thì mạng Botnet này đã có khả năng tạo băng thông là 1000*128 ~ 100Mbps – Đây là một con số thể hiện băng thông mà khó một nhà Hosting nào có thể share cho mỗi trang web của mình.
    4. Mục đích sử dụng mạng Botnets
    - Tấn công Distributed Denial-of-Service - DDoS
    + Botnet được sử dụng cho tấn công DDoS
    - Spamming
    + Mở một SOCKS v4/v5 proxy server cho việc Spamming
    - Sniffing traffic
    + Bot cũng có thể sử dụng các gói tin nó sniffer (tóm được các giao tiếp trên mạng) sau khi tóm được các gói tin nó cố gắng giải mã gói tin để lấy được các nội dung có ý nghĩa như tài khoản ngân hàng và nhiều thông tin có giá trị khác của người sử dụng.
    - Keylogging
    + Với sự trợ giúp của Keylogger rất nhiều thông tin nhạy cảm của người dùng có thể sẽ bị kẻ tấn công khai thác như tài khoản trên e-banking, cũng như nhiều tài khoản khác.
    - Cài đặt và lây nhiễm chương trình độc hại
    + Botnet có thể sử dụng để tạo ra mạng những mạng BOT mới.
    - Cài đặt những quảng cáo Popup
    + Tự động bật ra những quảng cáo không mong muốn với người sử dụng.
    - Google Adsense abuse
    + Tự động thay đổi các kết quả tìm kiếm hiển thị mỗi khi người dùng sử dụng dịch vụ tìm kiểm của Google, khi thay đổi kết quả nó sẽ lừa người dùng kích vào những trang web nguy hiểm.
    - Tấn công vào IRC Chat Networks
    + Nó được gọi là clone attack
    - Phishing
    + Mạng botnet còn được sử dụng để phishing mail nhằm lấy các thông tin nhạy cảm của người dùng.
    5. Các dạng của mạng BOT.
    Agobot/Phatbot/Forbot/XtremBot
    - Đây là những bot được viết bằng C++ trên nền tảng Cross-platform và mã nguồn được tìm trên GPL. Agobot được viết bởi Ago nick name được người ta biết đến là Wonk, một thanh niên trẻ người Đức – đã bị bắt hồi tháng 5 năm 2004 với tội danh về tội phạm máy tính.
    - Agobot có khả năng sử dụng NTFS Alternate Data Stream (ADS) và như một loại Rootkit nhằm ẩn các tiến trình đang chạy trên hệ thống
    SDBot/Rbot/UrBot/UrXbot
    - SDBot được viết bằng ngồn ngữ C và cũng được public bởi GPL. Nó đươc coi như là tiền thân của Rbot, RxBot, UrBot, UrXBot, JrBot
    mIRC-Based Bots – GT-Bots
    - GT được viết tắt tư fhai từ Global Threat và tên thường được sử dụng cho tất cả các mIRC-scripted bots. Nó có khả năng sử dụng phần mềm IM là mIRC để thiết lập một số script và một số đoạn mã khác.
    6. Các bước xây dựng mạng BotNet? Cách phân tích mạng Bot.
    Để hiểu hơn về xây dựng hệ thống mạng BotNet chúng ta nghiên cứu từ cách lây nhiễm vào một máy tính, cách tạo ra một mạng Bot và dùng mạng Bot này tấn công vào một đích nào đó của mạng Botnet được tạo ra từ Agobot’s.
    Bước 1: Cách lây nhiễm vào máy tính.
    - Đầu tiên kẻ tấn công lừa cho người dùng chạy file "chess.exe", một Agobot thường copy chúng vào hệ thống và sẽ thêm các thông số trong Registry để đảm bảo sẽ chạy cùng với hệ thống khi khởi động. Trong Registry có các vị trí cho các ứng dụng chạy lúc khởi động tại.
    HKLM\Software\Microsoft\Windows\CurrentVersion\Run
    HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services
    Bước 2: Cách lây lan và xây dựng tạo mạng BOTNET
    - Sau khi trong hệ thống mạng có một máy tính bị nhiễm Agobot, nó sẽ tự động tìm kiếm các máy tính khác trong hệ thống và lây nhiễm sử dụng các lỗ hổng trong tài nguyên được chia sẻ trong hệ thống mạng.
    - Chúng thường cố gắng kết nối tới các dữ liệu share mặc định dành cho các ứng dụng quản trị (administrator or administrative) ví dụ như: C$, D$, E$ và print$ bằng cách đoán usernames và password để có thể truy cập được vào một hệ thống khác và lây nhiễm.
    - Agobot có thể lây lan rất nhanh bởi chúng có khả năng tận dụng các điểm yếu trong hệ điều hành Windows, hay các ứng dụng, các dịch vụ chạy trên hệ thống.
    Bước 3: Kết nối vào IRC.
    - Bước tiếp theo của Agobot sẽ tạo ra một IRC-Controlled Backdoor để mở các yếu tố cần thiết, và kết nối tới mạng Botnet thông qua IRC-Controll, sau khi kết nối nó sẽ mở những dịch vụ cần thiết để khi có yêu cầu chúng sẽ được điều khiển bởi kẻ tấn công thông qua kênh giao tiếp IRC.
    Bước 4: Điều khiển tấn công từ mạng BotNet.
    - Kẻ tấn công điều khiển các máy trong mạng Agobot download những file .exe về chạy trên máy.
    - Lấy toàn bộ thông tin liên quan và cần thiết trên hệ thống mà kẻ tấn công muốn.
    - Chạy những file khác trên hệ thống đáp ứng yêu cầu của kẻ tấn công.
    - Chạy những chương trình DDoS tấn công hệ thống khác.
    7. Sơ đồ cách hệ thống bị lây nhiễm và sử dụng Agobot.

    VII. Các tools tấn công DDoS
    1. Nuclear Bot.
    - Nuclear Bot là một tool cực mạnh "Multi Advanced IRC BOT" có thể sử dụng để Floods, Managing, Utilities, Spread, IRC Related, tấn công DDoS và nhiều mục đích khác.

    VIII. Tấn công DDoS

    Trên Internet tấn công Distributed Denial of Service là một dạng tấn công từ nhiều máy tính tới một đích, nó gây ra từ chối các yêu cầu hợp lệ của các user bình thường. Bằng cách tạo ra những gói tin cực nhiều đến một đích cụ thể, nó có thể gây tình trạng tương tự như hệ thống bị shutdown.
    2. Các đặc tính của tấn công DDoS.
    - Nó được tấn công từ một hệ thống các máy tính cực lớn trên Internet, và thường dựa vào các dịch vụ có sẵn trên các máy tính trong mạng botnet
    - Các dịch vụ tấn công được điều khiển từ những "primary victim" trong khi các máy tính bị chiếm quyền sử dụng trong mạng Bot được sử dụng để tấn công thường được gọi là "secondary victims".
    - Là dạng tấn công rất khó có thể phát hiện bởi tấn công này được sinh ra từ nhiều địa chỉ IP trên Internet.
    - Nếu một địa chỉ IP tấn công một công ty, nó có thể được chặn bởi Firewall. Nếu nó từ 30.000 địa chỉ IP khác, thì điều này là vô cùng khó khăn.
    - Thủ phạm có thể gây nhiều ảnh hưởng bởi tấn công từ chối dịch vụ DoS, và điều này càng nguy hiểm hơn khi chúng sử dụng một hệ thống mạng Bot trên internet thực hiện tấn công DoS và đó được gọi là tấn công DDoS.
    3. Tấn công DDoS không thể ngăn chặn hoàn toàn.
    - Các dạng tấn công DDoS thực hiện tìm kiếm các lỗ hổng bảo mật trên các máy tính kết nối tới Internet và khai thác các lỗ hổng bảo mật để xây dựng mạng Botnet gồm nhiều máy tính kết nối tới Internet.
    - Một tấn công DDoS được thực hiện sẽ rất khó để ngăn chặn hoàn toàn.
    - Những gói tin đến Firewall có thể chặn lại, nhưng hầu hết chúng đều đến từ những địa chỉ IP chưa có trong các Access Rule của Firewall và là những gói tin hoàn toàn hợp lệ.
    - Nếu địa chỉ nguồn của gói tin có thể bị giả mạo, sau khi bạn không nhận được sự phản hồi từ những địa chỉ nguồn thật thì bạn cần phải thực hiện cấm giao tiếp với địa chỉ nguồn đó.
    - Tuy nhiên một mạng Botnet bao gồm từ hàng nghìn tới vài trăm nghìn địa chỉ IP trên Internet và điều đó là vô cùng khó khăn để ngăn chặn tấn công.
    4. Kẻ tấn công khôn ngoan.
    Giờ đây không một kẻ tấn công nào sử dụng luôn địa chỉ IP để điều khiển mạng Botnet tấn công tới đích, mà chúng thường sử dụng một đối tượng trung gian dưới đây là những mô hình tấn công DDoS
    a. Agent Handler Model
    Kẻ tấn công sử dụng các handler để điều khiển tấn công

    b. Tấn công DDoS dựa trên nền tảng IRC
    Kẻ tấn công sử dụng các mạng IRC để điều khiển, khuyếch đại và quản lý kết nối với các máy tính trong mạng Botnet.

    IX. Phân loại tấn công DDoS
    - Tấn công gây hết băng thông truy cập tới máy chủ.
    + Flood attack
    + UDP và ICMP Flood (flood – gây ngập lụt)
    - Tấn công khuếch đại các giao tiếp
    + Smurf and Fraggle attack
    Tấn công DDoS vào Yahoo.com năm 2000

    Sơ đồ phân loại tấn công DDoS

    Sơ đồ tấn công DDoS ở dạng Khuếch đại giao tiếp.
    Như các bạn biết tấn công Smurf khi sử dụng sẽ Ping đến địa chỉ Broadcast của một mạng nào đó mà địa chỉ nguồn chính là địa chỉ của máy cần tấn công, khi đó toàn bộ các gói Reply sẽ được chuyển tới địa chỉ IP của máy tính bị tấn công.

    X. Tấn công Reflective DNS (reflective - phản chiếu).
    a. Các vấn đề liên quan tới tấn công Reflective DNS
    - Một Hacker có thể sử dụng mạng botnet để gửi rất nhiều yêu cầu tới máy chủ DNS.
    - Những yêu cầu sẽ làm tràn băng thông mạng của các máy chủ DNS,
    - Việc phòng chống dạng tấn công này có thể dùng Firewall ngăn cấm những giao tiếp từ các máy tính được phát hiện ra.
    - Nhưng việc cấm các giao tiếp từ DNS Server sẽ có nhiều vấn đề lớn. Một DNS Server có nhiệm vụ rất quan trọng trên Internet.
    - Việc cấm các giao tiếp DNS đồng nghĩa với việc cấm người dùng bình thường gửi mail và truy cập Website.
    - Một yêu cầu về DNS thường chiếm bằng 1/73 thời gian của gói tin trả lời trên máy chủ. Dựa vào yếu tố này nếu dùng một Tools chuyên nghiệp để làm tăng các yêu cầu tới máy chủ DNS sẽ khiến máy chủ DNS bị quá tải và không thể đáp ứng cho các người dùng bình thường được nữa.
    b. Tool tấn công Reflective DNS – ihateperl.pl
    - ihateperl.pl là chương trình rất nhỏ, rất hiệu quả, dựa trên kiểu tấn công DNS-Reflective
    - Nó sử dụng một danh sách các máy chủ DNS để làm tràn hệ thống mạng với các gói yêu cầu Name Resolution.
    - Bằng một ví dụ nó có thể sử dụng google.com để resole gửi tới máy chủ và có thể đổi tên domain đó thành ?ào t?o ngh?, ch?ng ch? tin h?c Qu?c t? CCNA, MCSA, Linux, Security+, CEH... hay bất kỳ một trang web nào mà kẻ tấn công muôn.
    - Để sử dụng công cụ này, rất đơn giản bạn tạo ra một danh sách các máy chủ DNS, chuyển cho địa chỉ IP của máy cá nhân và thiết lập số lượng các giao tiếp.
    XI. Các tools sử dụng để tấn công DDoS.
    Trong toàn bộ các tools tôi giới thiệu trong bài viết này hầu hết là các tools cũ và không hiệu quả, và chỉ mang tính chất sư phạm để các bạn có thể hiểu về dạng tấn công DDoS hơn mà thôi. Dưới đây là các Tools tấn công DDoS.
    - Trinoo - Tribe flood Network (TFN) - TFN2K - Stacheldraht - Shaft
    - Trinity - Knight - Mstream - Kaiten
    Các tools này bạn hoàn toàn có thể Download miễn phí trên Internet và lưu ý là chỉ để thử đây là các tools yếu và chỉ mang tính Demo về tấn công DdoS mà thôi.

Tag của Chủ đề này

Quyền viết bài

  • Bạn Không thể gửi Chủ đề mới
  • Bạn Không thể Gửi trả lời
  • Bạn Không thể Gửi file đính kèm
  • Bạn Không thể Sửa bài viết của mình
  •