Luận văn: Cải thiện hiệu năng giải thuật RRED chống tấn công từ chối dịch vụ tốc độ thấp

Luận văn thạc sĩ: Cải thiện hiệu năng giải thuật RED chống tấn công từ chối dịch vụ tốc độ thấp. Nghiên cứu chuyên sâu ngành Công nghệ Thông tin.

Chuyên ngành

Công nghệ thông tin

Người đăng

Ẩn danh

Thể loại

Luận văn thạc sĩ

2014

100
0
0

Phí lưu trữ

35 Point

Mục lục chi tiết

LỜI CAM ĐOAN

LỜI CẢM ƠN

MỤC LỤC

DANH MỤC CÁC BẢNG

DANH MỤC CÁC HÌNH VẼ

LỜI MỞ ĐẦU

1. Chƣơng 1: TỔNG QUAN VỀ TẤN CÔNG TỪ CHỐI DỊCH VỤ PHÂN TÁN

1.1. Thiết lập mạng tấn công

1.1.1. Tìm kiếm các máy có lỗ hổng

1.1.2. Xâm nhập vào máy có lỗ hổng

1.1.3. Phƣơng thức phát tán mã độc hại

1.2. Điều khiển mạng tấn công

1.2.1. Câu lệnh trực tiếp

1.2.2. Câu lệnh gián tiếp

1.2.3. Cập nhật chƣơng trình tấn công

1.2.4. Các chƣơng trình tấn công cục bộ

1.3. Các phƣơng pháp thực hiện tấn công DoS

1.3.1. Khai thác một lỗ hổng

1.3.2. Tấn công một giao thức

1.3.3. Tấn công các hàm chức năng

1.3.4. Tấn công một ứng dụng

1.3.5. Tấn công một tài nguyên

1.3.6. Phát tràn thuần tuý

2. Chƣơng 2: TẤN CÔNG TỪ CHỐI DỊCH VỤ TỐC ĐỘ THẤP

2.1. Khái niệm chung

2.1.1. Các tên gọi của tấn công LDoS

2.1.2. Các đặc điểm của LDoS

2.1.3. Cơ chế Timeout của giao thức TCP

2.1.4. Tấn công từ chối dịch vụ tốc độ thấp nhằm vào giao thức TCP

2.2. Các cơ chế phòng chống chung

2.2.1. Cơ chế hỗ trợ router

2.2.2. Cơ chế hỗ trợ thiết bị đầu cuối

2.2.3. Giải thuật RRED

2.2.4. Các biến thể của giải thuật RRED

2.2.4.1. Thuật toán của tác giả Phạm Văn Hợi
2.2.4.2. Thuật toán của tác giả Nguyễn Quang Quý

3. Chƣơng 3: PHÂN TÍCH GIẢI THUẬT RRED

3.1. Cấu hình mô phỏng

3.2. Phân tích chƣơng trình mô phỏng

3.3. Các kết quả mô phỏng

3.3.1. Biến thiên Ta

3.3.2. Biến thiên Tb

3.3.3. Biến thiên Rb

3.3.4. Biến thiên T* khi kích thƣớc bộ nhớ nhỏ (N = 23)

3.3.5. Biến thiên T* khi kích thƣớc bộ nhớ lớn hơn (N = 60)

3.3.6. Đánh giá chung

4. Chƣơng 4: ĐỀ XUẤT CẢI TIẾN

4.1. Cải tiến thứ nhất

4.2. Mô tả giải thuật

4.3. Đánh giá hiệu năng khi kích thƣớc bộ nhớ nhỏ (N = 23)

4.4. Cải tiến thứ hai

4.5. Mô tả giải thuật

4.6. Đánh giá hiệu năng khi kích thƣớc bộ nhớ lớn hơn (N = 31)

KẾT LUẬN VÀ HƢỚNG NGHIÊN CỨU TIẾP THEO

TÀI LIỆU THAM KHẢO

Mã nguồn thuật toán của tác giả Phạm Văn Hợi

Mã nguồn thuật toán của tác giả Nguyễn Quang Quý

Mã nguồn thuật toán LF-RED (T* updated)

Tóm tắt

I. Tổng Quan Về Chống Tấn Công DDoS Tốc Độ Thấp Giới Thiệu

Tấn công DDoS (Từ chối dịch vụ phân tán) vẫn là một trong những mối đe dọa an ninh mạng đáng lo ngại nhất. Tấn công DDoS tốc độ thấp (LDoS) ngày càng trở nên phổ biến, gây ra nhiều khó khăn cho việc phát hiện và phòng chống. Các phương pháp truyền thống thường tập trung vào việc chặn lưu lượng lớn, nhưng tấn công LDoS tinh vi hơn, sử dụng lưu lượng nhỏ nhưng liên tục để làm cạn kiệt tài nguyên. Một trong những kỹ thuật hiệu quả để đối phó với LDoS là sử dụng các thuật toán quản lý hàng đợi động (AQM) như RRED (Random Early Detection with Rate Estimation and Dropping), đặc biệt là các biến thể cải tiến của nó. Bài viết này sẽ đi sâu vào giải thuật RRED cải tiến, cách nó hoạt động, và các kết quả nghiên cứu liên quan đến hiệu quả của nó trong việc chống tấn công DDoS tốc độ chậm. Các cuộc tấn công DDoS Layer 7, bao gồm tấn công HTTP Flood, tấn công Slowloristấn công Slow Read, thường khó phát hiện hơn so với các tấn công dựa trên lưu lượng lớn. Các giải pháp như tường lửa ứng dụng web (WAF), cân bằng tải (Load Balancer)CDN (Content Delivery Network) cũng đóng vai trò quan trọng trong việc bảo vệ website trước DDoS. Tuy nhiên, sự kết hợp giữa các giải pháp này với các thuật toán như RRED mang lại một lớp bảo vệ toàn diện hơn, đặc biệt là chống lại các cuộc tấn công tinh vi.

1.1. Khái Niệm Về Tấn Công DDoS Tốc Độ Chậm LDoS

Tấn công DDoS tốc độ chậm, hay LDoS, là một loại tấn công từ chối dịch vụ phân tán, trong đó kẻ tấn công gửi các gói tin với tốc độ chậm nhưng liên tục, nhằm làm cạn kiệt tài nguyên của máy chủ mục tiêu. Các cuộc tấn công LDoS thường khó phát hiện hơn so với các cuộc tấn công DDoS truyền thống, vì chúng không tạo ra lượng lưu lượng lớn đột ngột. Thay vào đó, chúng tận dụng các cơ chế timeout của giao thức TCP để giữ cho các kết nối bị trì hoãn hoặc bị ngắt quãng, gây ra tình trạng từ chối dịch vụ cho người dùng hợp pháp. LDoS khai thác điểm yếu của giao thức TCP bằng cách tận dụng các khoảng thời gian cách đều nhau để gửi các gói tin với tốc độ cao, làm tràn bộ đệm của kết nối nghẽn cổ chai. Nếu kẻ tấn công biết thời gian của bên gửi, hắn sẽ thực hiện tấn công “xung vuông” đó và liên tiếp làm cho bên gửi rơi vào trạng thái timeout trong khi thông lƣợng của máy chủ xấp xỉ bằng không.

1.2. Tại Sao Cần Giải Pháp Chống DDoS Tốc Độ Chậm Hiệu Quả

Các biện pháp bảo mật truyền thống thường không hiệu quả trong việc chống lại các cuộc tấn công LDoS vì chúng được thiết kế để phát hiện và chặn lưu lượng lớn. Tấn công LDoS được thiết kế để vượt qua các biện pháp bảo mật này bằng cách sử dụng lưu lượng nhỏ nhưng liên tục. Vì vậy, cần có các giải pháp bảo mật hiệu quả hơn để chống lại các cuộc tấn công LDoS. Giải pháp chống DDoS tốc độ thấp hiệu quả giúp bảo vệ tính khả dụng của dịch vụ, ngăn chặn các cuộc tấn công làm gián đoạn hoạt động kinh doanh. Một giải pháp tốt cũng sẽ có khả năng phát hiện bất thườngphân tích hành vi, cho phép xác định và chặn các cuộc tấn công trước khi chúng gây ra thiệt hại nghiêm trọng.

II. Thách Thức Phát Hiện Phòng Chống Tấn Công DDoS Chậm

Phát hiện và ngăn chặn tấn công DDoS tốc độ chậm đặt ra nhiều thách thức. Lưu lượng tấn công DDoS tốc độ chậm thường lẫn vào lưu lượng truy cập thông thường, khiến việc phân biệt và xác định trở nên khó khăn. Các hệ thống phát hiện dựa trên ngưỡng thường không hiệu quả, vì lưu lượng tấn công không vượt quá ngưỡng thông thường. Việc phân tích lưu lượng mạng chi tiết và phân tích hành vi người dùng trở nên cần thiết để xác định các mẫu tấn công tinh vi. Hơn nữa, các cuộc tấn công LDoS thường khai thác các lỗ hổng ở lớp ứng dụng (Layer 7), nơi mà các tường lửa truyền thống ít có khả năng phát hiện. Để đối phó với những thách thức này, các giải pháp phòng chống DDoS tốc độ chậm cần phải kết hợp nhiều kỹ thuật khác nhau, bao gồm phân tích lưu lượng nâng cao, phát hiện bất thường dựa trên học máy, và các biện pháp bảo mật lớp ứng dụng như tường lửa ứng dụng web (WAF).

2.1. Khó Khăn Trong Phân Biệt Lưu Lượng Tấn Công Thông Thường

Một trong những thách thức lớn nhất trong việc chống tấn công DDoS tốc độ chậm là việc phân biệt lưu lượng tấn công với lưu lượng truy cập thông thường. Tấn công LDoS thường được thiết kế để bắt chước lưu lượng truy cập hợp pháp, sử dụng các yêu cầu HTTP hoặc TCP thông thường, nhưng với tốc độ chậm và liên tục. Do đó, các hệ thống phát hiện dựa trên chữ ký hoặc quy tắc đơn giản thường không thể xác định được các cuộc tấn công này. Các kỹ thuật phân tích lưu lượng nâng cao, chẳng hạn như phân tích luồng, phân tích thời gian, và phân tích hành vi, cần thiết để phát hiện các mẫu tấn công tinh vi.

2.2. Các Hạn Chế Của Giải Pháp An Ninh Mạng Truyền Thống

Các giải pháp an ninh mạng truyền thống, như tường lửa, hệ thống phát hiện xâm nhập (IDS), và hệ thống phòng chống xâm nhập (IPS), thường tập trung vào việc chặn lưu lượng độc hại hoặc phát hiện các cuộc tấn công dựa trên chữ ký đã biết. Tuy nhiên, các giải pháp này thường không hiệu quả trong việc chống lại các cuộc tấn công LDoS, vì chúng không được thiết kế để phát hiện và chặn lưu lượng chậm nhưng liên tục. Tấn công LDoS khai thác các lỗ hổng ở lớp ứng dụng (Layer 7), trong khi các giải pháp an ninh mạng truyền thống chủ yếu hoạt động ở các lớp thấp hơn của mô hình OSI.

2.3. Yêu Cầu Về Phân Tích Nâng Cao Học Máy Để Phát Hiện

Để đối phó với các cuộc tấn công LDoS, cần có các giải pháp bảo mật sử dụng các kỹ thuật phân tích nâng cao và học máy. Các kỹ thuật này có thể được sử dụng để xây dựng mô hình lưu lượng thông thường và phát hiện bất thường so với mô hình đó. Học máy có thể được sử dụng để tự động phát hiện các mẫu tấn công mới và điều chỉnh các biện pháp bảo mật để đối phó với các cuộc tấn công đang phát triển. Phân tích hành vi người dùng và ứng dụng cũng đóng vai trò quan trọng trong việc xác định các hoạt động đáng ngờ và chặn các cuộc tấn công trước khi chúng gây ra thiệt hại.

III. Giải Thuật RRED Cải Tiến Phương Pháp Chống DDoS Chậm

Giải thuật RRED (Random Early Detection with Rate Estimation and Dropping) là một thuật toán quản lý hàng đợi động (AQM) được thiết kế để chống tấn công DDoS tốc độ chậm. RRED hoạt động bằng cách theo dõi lưu lượng truy cập và ước tính tốc độ của các kết nối. Khi phát hiện một kết nối có tốc độ quá cao hoặc có các đặc điểm bất thường, RRED sẽ bắt đầu loại bỏ các gói tin từ kết nối đó. Các cải tiến của giải thuật RRED nhằm mục đích tăng cường khả năng phát hiện và giảm thiểu ảnh hưởng của các cuộc tấn công LDoS. Các cải tiến này thường tập trung vào việc tối ưu hóa RRED, cấu hình RRED và nâng cao độ nhạy của RREDtính chính xác của RRED trong việc phát hiện các cuộc tấn công.

3.1. Nguyên Lý Hoạt Động Của Giải Thuật RRED Gốc

Giải thuật RRED (Random Early Detection with Rate Estimation and Dropping) là một thuật toán quản lý hàng đợi động (AQM) được thiết kế để cải thiện hiệu suất của mạng trong điều kiện tắc nghẽn. RRED hoạt động bằng cách giám sát hàng đợi và tính toán trung bình kích thước hàng đợi. Nếu trung bình kích thước hàng đợi vượt quá một ngưỡng nhất định, RRED sẽ bắt đầu loại bỏ các gói tin một cách ngẫu nhiên. Mục đích của việc loại bỏ gói tin ngẫu nhiên là để báo hiệu cho các nguồn lưu lượng giảm tốc độ truyền của chúng, giúp giảm tắc nghẽn.

3.2. Các Cải Tiến Chính Trong Thuật Toán RRED Cải Tiến

Các cải tiến của thuật toán RRED nhằm mục đích tăng cường khả năng phát hiện và giảm thiểu ảnh hưởng của các cuộc tấn công LDoS. Một số cải tiến phổ biến bao gồm: Sử dụng các thuật toán ước tính tốc độ chính xác hơn, Sử dụng các ngưỡng động để điều chỉnh độ nhạy của RRED, Kết hợp RRED với các kỹ thuật phát hiện bất thường khác, Tối ưu hóa RRED, Cấu hình RRED giúp hệ thống linh hoạt hơn trước nhiều loại tấn công.

3.3. Ưu Điểm Của RRED Cải Tiến So Với Các Phương Pháp Truyền Thống

RRED cải tiến có nhiều ưu điểm so với các phương pháp bảo mật truyền thống. Thứ nhất, RRED cải tiến có thể phát hiện và chặn các cuộc tấn công LDoS một cách hiệu quả hơn. Thứ hai, RRED cải tiến ít gây ra các tác động tiêu cực đến lưu lượng hợp pháp hơn. Thứ ba, RRED cải tiến có thể được triển khai trên các bộ định tuyến hiện có mà không cần thay đổi phần cứng hoặc phần mềm đáng kể. Triển khai RRED khá đơn giản và dễ dàng tích hợp vào các hệ thống hiện có. Quan trọng nhất, Hiệu quả của RRED đã được chứng minh thông qua nhiều nghiên cứu và thử nghiệm thực tế.

IV. Ứng Dụng Thực Tế Kết Quả Nghiên Cứu Về RRED Cải Tiến

Nhiều nghiên cứu đã chứng minh hiệu quả của các giải thuật RRED cải tiến trong việc chống tấn công DDoS tốc độ chậm. Các kết quả nghiên cứu cho thấy rằng RRED cải tiến có thể giảm đáng kể ảnh hưởng của các cuộc tấn công LDoS đến hiệu suất của mạng và tính khả dụng của dịch vụ. Các ứng dụng thực tế của RRED cải tiến bao gồm bảo vệ các trang web, các dịch vụ trực tuyến, và các cơ sở hạ tầng mạng quan trọng. Việc phân tích lưu lượng mạng thực tế cho phép phân tích hành viphát hiện bất thường, từ đó cung cấp cơ sở cho việc điều chỉnh và tối ưu hóa RRED.

4.1. Các Kịch Bản Triển Khai RRED Cải Tiến Trong Mạng

RRED cải tiến có thể được triển khai trong nhiều kịch bản mạng khác nhau, bao gồm: Trên các bộ định tuyến biên để bảo vệ mạng khỏi các cuộc tấn công từ bên ngoài, Trên các bộ định tuyến lõi để giảm thiểu ảnh hưởng của các cuộc tấn công đến các dịch vụ bên trong, Trên các máy chủ web để bảo vệ các ứng dụng web khỏi các cuộc tấn công LDoS. RRED cho server, RRED cho web server đều là những ứng dụng cụ thể.

4.2. Phân Tích Hiệu Năng Của RRED Cải Tiến Trong Môi Trường Thực Tế

Việc phân tích hiệu năng của RRED cải tiến trong môi trường thực tế là rất quan trọng để đảm bảo rằng nó hoạt động hiệu quả và không gây ra các tác động tiêu cực đến hiệu suất của mạng. Các phương pháp phân tích hiệu năng có thể bao gồm: Giám sát lưu lượng truy cập, Đo lường thời gian phản hồi, Đánh giá tác động đến các dịch vụ khác. Các kết quả đo lường hiệu năng giúp xác định ngưỡng phát hiện DDoS thích hợp và điều chỉnh bộ lọc lưu lượng hiệu quả.

4.3. Các Thử Nghiệm So Sánh Với Các Giải Pháp Chống DDoS Khác

Các thử nghiệm và so sánh với các giải pháp chống DDoS khác là cần thiết để đánh giá khách quan hiệu quả của RRED cải tiến. Các thử nghiệm nên được thực hiện trong môi trường mạng mô phỏng hoặc thực tế, sử dụng các cuộc tấn công LDoS khác nhau. Các kết quả thử nghiệm nên được so sánh với các giải pháp chống DDoS khác, chẳng hạn như tường lửa, hệ thống phát hiện xâm nhập (IDS), và hệ thống phòng chống xâm nhập (IPS), DNS scrubbing.

V. Kết Luận Hướng Nghiên Cứu Tương Lai Về Chống DDoS Chậm

Giải thuật RRED cải tiến là một giải pháp đầy hứa hẹn để chống tấn công DDoS tốc độ chậm. Tuy nhiên, vẫn còn nhiều hướng nghiên cứu cần được khám phá để cải thiện hiệu quả và khả năng thích ứng của RRED cải tiến. Các hướng nghiên cứu tương lai có thể bao gồm: Phát triển các thuật toán ước tính tốc độ chính xác hơn, Tự động điều chỉnh các tham số của RRED, Kết hợp RRED với các kỹ thuật phân tích lưu lượng nâng cao, Sử dụng học máy để phát hiện các cuộc tấn công LDoS mới. Để tăng cường an ninh mạng cần liên tục cập nhật các giải pháp và nghiên cứu mới.

5.1. Tóm Tắt Các Kết Quả Đóng Góp Của Nghiên Cứu

Nghiên cứu này đã trình bày một cái nhìn tổng quan về các cuộc tấn công LDoS và các thách thức liên quan đến việc phát hiện và phòng chống chúng. Nghiên cứu cũng đã đánh giá hiệu quả của RRED cải tiến trong việc chống lại các cuộc tấn công LDoS và đề xuất các hướng nghiên cứu tương lai.

5.2. Các Hướng Nghiên Cứu Tiềm Năng Để Phát Triển RRED

Các hướng nghiên cứu tiềm năng để phát triển RRED bao gồm: Phát triển các thuật toán ước tính tốc độ chính xác hơn, Tự động điều chỉnh các tham số của RRED, Kết hợp RRED với các kỹ thuật phân tích lưu lượng nâng cao, Sử dụng học máy để phát hiện các cuộc tấn công LDoS mới.

5.3. Tầm Quan Trọng Của Bảo Vệ Ứng Dụng Web Trước Tấn Công Mạng

Bảo vệ ứng dụng web trước tấn công mạng là rất quan trọng để đảm bảo tính khả dụng của dịch vụ, bảo vệ dữ liệu người dùng, và ngăn chặn các cuộc tấn công gây thiệt hại tài chính. Các giải pháp bảo mật ứng dụng web nên bao gồm: Tường lửa ứng dụng web (WAF), Hệ thống phát hiện và phòng chống xâm nhập (IDS/IPS), Quản lý lỗ hổng, Kiểm tra bảo mật thường xuyên. Các giải pháp này cần phối hợp với biện pháp chống DDoS để tạo thành một hệ thống phòng thủ toàn diện.

23/09/2025

Trích đoạn nội dung tài liệu

Chương 1: Tổng quan về tấn công từ chối dịch vụ phân tán Chƣơng này trình bày tổng quan về DDoS, các cách thức khác nhau mà kẻ tấn công thực hiện một tấn công DDoS. Chương 2: Tấn công từ chối dịch vụ tốc độ thấp TIEU LUAN MOI download : skknchat@gmail.com 9 Chƣơng này trình bày tấn công LDoS và đề xuất cơ chế hỗ trợ router để chống lại loại tấn công này. Chương 3: Phân tích giải thuật RRED Chƣơng này trình bày sơ đồ mạng đƣợc dùng trong các mô phỏng, phân tích chƣơng trình mô phỏng thuật toán RRED, các kết quả mô phỏng thu đƣợc. Chương 4: Đề xuất cải tiến Chƣơng này trình bày 2 giải pháp nhằm cải thiện hiệu năng của thuật toán RRED, so sánh hiệu năng của thuật toán mới với thuật toán RRED gốc và các biến thể của RRED.

TIEU LUAN MOI download : skknchat@gmail.com 10 Chƣơng 1: TỔNG QUAN VỀ TẤN CÔNG TỪ CHỐI DỊCH VỤ PHÂN TÁN Một tấn công từ chối dịch vụ phân tán (DDoS – Distributed Denial of Service) [7, 13] cần phải đƣợc chuẩn bị kỹ càng bởi kẻ tấn công. Ở bƣớc thứ nhất, kẻ tấn công sẽ điều khiển các máy trạm khác bằng cách tìm kiếm các máy trạm có lỗ hổng dễ bị tấn công, sau đó xâm nhập vào các máy này và cài đặt mã tấn công. Bƣớc tiếp theo là thiết lập các kênh giao tiếp với các máy này, bởi vậy các máy này có thể đƣợc chỉ đạo và phối hợp trong cuộc tấn công. Kẻ tấn công có thể thực hiện việc này bằng cách áp dụng mô hình máy kiểm soát/máy tấn công hoặc với một bộ điều khiển và điều khiển các kênh giao tiếp thông qua mạng IRC [8].

Một khi mạng tấn công DDoS đƣợc xây dựng, nó có thể đƣợc sử dụng để tấn công nhiều lần đến các máy nạn nhân khác nhau.1 Thiết lập mạng tấn công Phụ thuộc vào mỗi kiểu tấn công DoS, kẻ tấn công cần phải tìm ra và thiết lập một mạng với số lƣợng các máy đủ lớn. Công việc này có thể đƣợc thực hiện một cách thủ công, bán tự động hoặc tự động hoàn toàn. Đối với Trinoo và Shaft là hai công cụ DDoS đƣợc nhiều ngƣời biết đến, chỉ có việc cài đặt là tự động trong khi việc phát hiện và khai thác các máy có lỗ hổng đƣợc thực hiện một cách thủ công [13, ch. Cho đến nay những kẻ tấn công thƣờng sử dụng các tệp tin kịch bản để tự động hoá tất cả các khâu đó.1 Tìm kiếm các máy có lỗ hổng Quá trình tìm kiếm các máy có lỗ hổng gọi là “quét”.

Kẻ tấn công gửi một vài gói tin đến máy nạn nhân để kiểm tra xem máy nạn nhân có đang hoạt động và có lỗ hổng hay không, nếu có, kẻ tấn công sẽ cố gắng xâm nhập vào máy nạn nhân [13, ch.2 Xâm nhập vào máy có lỗ hổng Kẻ tấn công cần phải khai thác các lỗ hổng của các máy mà anh ta định cài chƣơng trình tấn công vào nhằm mục đích chiếm lấy quyền truy cập vào máy. Phần lớn các lỗ hổng có thể cho phép kẻ tấn công truy cập vào hệ thống với quyền của ngƣời quản trị (administrator), và anh ta có thể thêm, xoá, sửa các tập tin hoặc cấu hình của hệ thống. Để cho việc truy cập vào hệ thống các lần sau đƣợc dễ dàng, kẻ tấn công thƣờng cài đặt và khởi động một chƣơng trình “lắng nghe” các kết nối ở một cổng nhất định, chƣơng trình này gọi là “cửa sau”. Truy cập thông qua cửa sau có khi đƣợc bảo vệ bởi mật khẩu mạnh, trong các trƣờng hợp khác lại đƣợc mở rộng và đáp ứng bất kỳ yêu cầu kết nối nào.

Mặc dù các lỗ hổng đã đƣợc phát hiện thƣờng đƣợc sửa chữa và làm cho an toàn hơn bằng các bản vá, kẻ tấn công vẫn sẽ cố gắng khai thác và tìm ra các lỗ hổng an ninh khác mà máy nạn nhân có thể có. Mật khẩu yếu là một lỗ hổng không thể giải quyết đƣợc bằng các bản vá. Một số chƣơng trình khai thác lỗ hổng có một danh sách các mật khẩu yếu hoặc thông dụng, chúng cố gắng áp dụng các mật khẩu này để xâm nhập vào máy nạn nhân sử dụng phƣơng pháp thử lần lƣợt từng mật khẩu hoặc sử TIEU LUAN MOI download : skknchat@gmail.com 11 dụng phƣơng pháp Brute-Force. Nó có thể mất nhiều thời gian nhƣng trong một số trƣờng hợp, các mật khẩu này đƣợc chấp nhận và kẻ tấn công sẽ giành đƣợc quyền truy cập máy nạn nhân một cách hợp pháp.

Ngƣời dùng thƣờng nghĩ rằng không đặt mật khẩu cho tài khoản Administrator là hợp lý, hoặc mật khẩu là “password” hoặc một từ đơn giản nào khác là đủ để bảo vệ tài khoản.3 Phƣơng thức phát tán mã độc hại Kẻ tấn công cần phải quyết định một phƣơng thức phát tán cho việc cài đặt mã độc của anh ta. Một mô hình phát tán mã độc đơn giản đó là mô hình kho chứa trung tâm: kẻ tấn công đặt mã độc vào một kho chứa tệp (chẳng hạn một máy chủ FTP) hoặc là một website và mỗi máy nạn nhân tải mã độc từ kho chứa này. Với mô hình kho chứa trung tâm này ngƣời bị hại có thể dễ dàng xác định đƣợc kho chứa trung tâm và loại bỏ nó. Kẻ tấn công cài đặt chƣơng trình Trinoo và Shaft sử dụng mô hình trung tâm này trong thời kỳ đầu của DoS.

Sâu máy tính “W32/Leaves” năm 2001 và sâu “W32 / SoBig” năm 2003 sử dụng một loạt các sites có thể cấu hình đƣợc làm kho chứa với mô hình này [13, ch.1: Phát tán mã độc với mô hình kho chứa trung tâm Kỹ thuật này thực hiện một câu lệnh để truyền một bộ công cụ tấn công từ một vị trí trung tâm đến máy nạn nhân và đƣợc gọi là sự phát tán mã độc trung tâm. Các tệp tin kịch bản sau đó sẽ điều khiển quá trình cài đặt tự động các công cụ và khởi tạo một vòng tấn công mới. Kỹ thuật truyền tệp tin thƣờng sử dụng là giao thức HTTP, FTP và RPC. Sâu “1i0n” cũng sử dụng mô hình phát tán mã độc trung tâm này [7, tr.

Một mô hình khác là mô hình chuỗi dây xích, trong đó kẻ tấn công mang theo công cụ tấn công từ một máy bị hại khởi đầu tới các máy bị hại ngay sau đó. TIEU LUAN MOI download : skknchat@gmail.2: Mô hình phát tán mã độc dây xích Kỹ thuật này thực hiện một câu lệnh để truyền một bộ công cụ tấn công từ máy đang tấn công đến máy nạn nhân. Để thực hiện đƣợc điều này, các công cụ tấn công trên máy tấn công bao gồm một vài phƣơng thức để chấp nhận kết nối từ máy nạn nhân và truyền một tệp tin đến máy nạn nhân. Ƣu điểm của mô hình này là nó có thể tồn tại tốt hơn so với mô hình phát tán mã độc trung tâm vì không có một vị trí trung tâm, tất cả các vị trí trong mô hình dây xích đều có thể truyền tệp tin đƣợc, nếu một vị trí bị phát hiện không ảnh hƣởng nhiều đến hoạt động của phƣơng thức tấn công này.

Sâu “ramen” sử dụng phƣơng thức phát tán mã độc dây xích này [7, tr.3: Phương thức phát tán mã độc tự trị Phƣơng thức phát tán mã độc tự trị kết hợp quá trình phát tán và quá trình khai thác lỗ hổng trong một quá trình. Sự khác nhau của phƣơng thức này và phƣơng thức phát tán mã độc dây xích là quá trình khai thác bao gồm mã độc sẽ đƣợc phát tán đến site mới, hơn là thực hiện một thao tác copy mã độc đó sau khi khai thác lỗ hổng và xâm nhập đƣợc vào máy nạn nhân. Các sâu máy tính có trƣờng payload chứa một công cụ DDoS và cài đặt nó vào mỗi máy bị nhiễm. Các sâu máy tính hiện nay kết hợp mã lệnh khai thác và mã lệnh tấn công và đƣợc mã hoá yếu sử dụng các thanh ghi dịch trả về tuyến tính.

Việc mã hoá này đƣợc sử dụng để tránh sự phát hiện một tập các mã lệnh khai thác đã biết (chẳng hạn một dãy các câu lệnh NOOP) bởi các chƣơng trình diệt virus máy tính hoặc các phần mềm tƣờng lửa cá nhân. Một khi các mã này xâm nhập vào máy nạn nhân, nó sẽ tự giải mã và tiếp tục quá trình phát tán.2 Điều khiển mạng tấn công Khi mạng tấn công có số lƣợng máy đủ lớn, kẻ tấn công sẽ giao tiếp với các máy này để chỉ đạo chúng tấn công máy nạn nhân. Mục đích của việc giao tiếp này là TIEU LUAN MOI download : skknchat@gmail.com 13 kẻ tấn công thiết lập lệnh bắt đầu/kết thúc của một cuộc tấn công cụ thể và có thể thu thập các thông tin thống kê liên quan đến hoạt động của máy tấn công.1 Câu lệnh trực tiếp Một vài công cụ DDoS nhƣ Trinoo xây dựng một mạng bao gồm một vài máy kiểm soát (handler) và các máy tấn công (agents hay zombies). Kẻ tấn công điều khiển mạng này bằng cách gửi đi các lệnh đến các máy kiểm soát, các máy này sau đó lại trung chuyển các lệnh đến các máy tấn công.

Các lệnh có thể bao gồm văn bản thƣờng, văn bản mã hoá, giá trị số. Việc phân tích các lệnh này và lƣu lƣợng điều khiển giữa các máy kiểm soát và các máy tấn công có thể mang lại hiểu biết sâu sắc về công cụ tấn công mà không cần phải truy cập vào tệp tin thực thi của mã độc hay mã nguồn của nó.4: Kiến trúc của một tấn công DDoS TIEU LUAN MOI download : skknchat@gmail.5: Tấn công DDoS thông qua máy Stepping Stone Nhằm cản trở việc truy vết máy tấn công, kẻ tấn công có thể truy cập vào một số máy trung gian (gọi là stepping stone) trƣớc khi truy cập vào các máy kiểm soát nhƣ mô tả ở hình 1. Nhằm mục đích cho các máy kiểm soát và máy tấn công hoạt động (trong các công cụ nhƣ Trinoo, Stacheldraht, Shaft), các máy kiểm soát phải học đƣợc địa chỉ của các máy tấn công và nhớ các địa chỉ này ngay cả khi chƣơng trình hoặc máy tính khởi động lại. Các công cụ DDoS lúc đầu lƣu trữ địa chỉ IP của một máy kiểm soát và các máy tấn công phải thông báo cho máy kiểm soát này trong quá trình xây dựng mạng tấn công.

Thông thƣờng danh sách các máy tấn công đƣợc lƣu trong một tệp tin mà máy kiểm soát duy trì để lƣu giữ thông tin trạng thái của mạng tấn công. Trong một vài trƣờng hợp, không có sự xác thực một máy tính có phải là máy kiểm soát hay không (thực tế một máy tính bất kỳ có thể gửi lệnh tới một vài máy tấn công và chúng vẫn sẽ trả lời).

Nội dung được bảo vệ bản quyền — Tải xuống đầy đủ