Luận văn Thạc sĩ: Nghiên cứu về DDOS và Giải pháp Ngăn chặn Tấn công

Tìm hiểu chi tiết về tấn công DDoS và các giải pháp ngăn chặn hiệu quả. Bảo vệ an toàn cho website và hệ thống trước các mối đe dọa mạng.

Chuyên ngành

Công Nghệ Thông Tin

Người đăng

Ẩn danh

Thể loại

Luận Văn Thạc Sĩ

2014

80
2
0

Phí lưu trữ

30 Point

Mục lục chi tiết

LỜI CAM ĐOAN

LỜI CẢM ƠN

DANH MỤC TỪ VIẾT TẮT

DANH MỤC HÌNH VẼ, BẢNG

1. CHƢƠNG 1: CÁC NỘI DUNG CƠ BẢN CỦA TẤN CÔNG TỪ CHỐI DỊCH VỤ PHÂN TÁN

1.1. GIỚI THIỆU VỀ TẤN CÔNG TỪ CHỐI DỊCH VỤ - DDOS:

1.1.1. Khái niệm DDos:

1.1.2. Các giai đoạn của một cuộc tấn công DDos:

1.1.3. Phân loại tấn công từ chối dịch vụ phân tán:

1.1.4. Khái niệm mạng Botnet

1.1.5. Mạng Internet Relay Chat

1.1.6. Chƣơng trình Bot và BotNet

1.1.7. Mạng IRC botnet

1.1.8. Các bƣớc xây dựng mạng botnet

1.1.9. Mô hình tấn công DDoS

1.1.10. Mô hình tấn công Agent- Handler

1.1.11. Mô hình tấn công IRC- Based

2. CHƢƠNG 2: CÁC KỸ THUẬT TẤN CÔNG DDOS

2.1. Tấn công làm cạn kiệt băng thông (Band with Deleption):

2.2. Tấn công tràn băng thông (Flood attack):

2.3. Tấn công tràn băng thông bằng gói tin UDP:

2.4. Tấn công tràn băng thông bằng gói tin ICMP:

2.5. Tấn công khuếch đại (Amplification attack):

2.6. Tấn công kiểu Smuft:

2.7. Tấn công kiểu Fraggle:

2.8. Tấn công làm cạn kiệt tài nguyên (Resoure Deleption):

2.9. Các biến thể của tấn công DDos:

2.10. Tấn công kiểu Flash DDos

2.11. Tấn công kiểu DRDos:

2.12. Tấn công DDoS trên điện thoại di động

2.13. Một số công cụ tấn công DDoS phố biến hiện nay:

3. CHƢƠNG 3: PHÒNG, CHỐNG CUỘC TẤN CÔNG DDOS

3.1. Phát hiện và ngăn chặn Agent (Detect and Prevent):

3.2. Phát hiện và vô hiệu hóa các Handler (detect and neutralize handler)

3.3. Phát hiện dấu hiệu của một cuộc tấn công DDos (Detect and prevent agent):

3.4. Làm suy giảm hoặc chặn cuộc tấn công DDos:

3.5. Chuyển hƣớng cuộc tấn công:

3.6. Giai đoạn sau tấn công:

3.7. Các giải pháp đơn đối với những cuộc tấn công DDos nhỏ:

4. CHƢƠNG 4: ĐỀ XUẤT GIẢI PHÁP PHÒNG CHỐNG DDOS

4.1. Tình hình liên quan tới DDos ở Việt Nam:

4.2. Giải pháp phòng chống DDos đang đƣợc thực hiện ở Việt Nam:

4.3. Giải pháp đề xuất của tác giả:

4.4. Nghiên cứu hệ thống Citrix NetScaler

4.5. Nguyên tắc xây dựng và khả năng của hệ thống Citrix NetScaler:

4.6. Chức năng của hệ thống Citrix NetScaler:

4.6.1. Duy trì tính sẵn sàng:

4.6.2. Tăng tốc độ ứng dụng:

4.6.3. Bảo mật ứng dụng:

4.6.4. Tối ƣu hóa đầu cuối:

4.7. Cài đặt và chạy hệ thống Citrix NetScaler:

4.8. Đánh giá hệ thống:

4.9. Xây dựng kịch bản phòng, chống DDos:

4.9.1. Giai đoạn chuẩn bị:

4.9.2. Giai đoạn phát hiện, chống một cuộc tấn công DDos:

4.9.3. Giai đoạn sau tấn công:

TÀI LIỆU THAM KHẢO

MỞ ĐẦU

Tóm tắt

I. DDOS là gì Tổng quan về Tấn công Từ chối Dịch vụ Phân tán

Tấn công từ chối dịch vụ phân tán (DDOS) là một nỗ lực độc hại nhằm làm cho một dịch vụ trực tuyến không khả dụng đối với người dùng hợp pháp. Nó được thực hiện bằng cách làm quá tải dịch vụ với lưu lượng truy cập từ nhiều nguồn khác nhau. DDOS có thể gây ra thiệt hại đáng kể về tài chính và uy tín cho các tổ chức. Sự khác biệt cơ bản giữa DoSDDOS nằm ở nguồn tấn công. Trong DoS, tấn công xuất phát từ một máy tính duy nhất. Ngược lại, DDOS sử dụng một mạng lưới các máy tính bị nhiễm mã độc, được gọi là Botnet, để thực hiện tấn công. Điều này làm cho việc theo dõi và ngăn chặn DDOS trở nên khó khăn hơn nhiều. Các cuộc tấn công DDOS nhắm vào việc chiếm dụng băng thông, gây nghẽn mạng và dẫn đến hệ thống ngừng hoạt động. Tuy nhiên, với sự phát triển của phần cứng và hệ thống phòng thủ, các dạng tấn công DDOS ngày càng phức tạp và thông minh hơn. Chúng không chỉ chiếm dụng băng thông mà còn khai thác các lỗ hổng trong các ứng dụng để tấn công, làm cạn kiệt tài nguyên của hệ thống. Những kiểu tấn công này được đánh giá là nguy hiểm hơn, vì chúng có thể gây tổn hại trực tiếp đến cơ sở dữ liệu. Các loại tấn công DDOS có rất nhiều biến thể, nên việc phân loại cũng có nhiều cách khác nhau. Tuy nhiên, giới chuyên môn thường chia các kiểu tấn công DDOS thành 2 dạng chính, dựa vào mục đích của kẻ tấn công: Tấn công DDOS làm cạn kiệt băng thôngTấn công DDOS làm cạn kiệt tài nguyên hệ thống.

1.1. Khái niệm DDOS Định nghĩa Mục tiêu Cơ chế hoạt động

Tấn công từ chối dịch vụ phân tán (Distributed Denial of Service attack - DDoS attack) là hành động ngăn cản những người dùng hợp pháp của một dịch vụ nào đó truy cập và sử dụng dịch vụ đó, bằng cách làm cho server không thể đáp ứng được các yêu cầu sử dụng dịch vụ từ các client. Nguồn tấn công không đến từ một máy tính trên Internet, mà đến từ một hệ thống nhiều máy tính với các địa chỉ IP khác nhau (điểm khác nhau giữa tấn công DosDDos). Các cuộc tấn công DDOS nhằm vào việc chiếm dụng băng thông gây nghẽn mạng dẫn đến hệ thống ngừng hoạt động. Tuy nhiên cùng với sự phát triển của các thiết bị phần cứng và các hệ thống phòng thủ, các dạng tấn công DDos cũng ngày càng phức tạp thông minh, không chỉ chiếm dụng băng thông, mà còn khai thác các lỗ hổng trong các ứng dụng để tấn công làm cạn kiệt tài nguyên của hệ thống. Những kiểu tấn công này được đánh giá là nguy hiểm hơn, do chúng có thể gây tổn hại trực tiếp đến cơ sở dữ liệu.

1.2. Phân loại Tấn công DDOS Theo Mục đích và Mô hình OSI 7 tầng

Các loại tấn công DDOS có rất nhiều biến thể, nên việc phân loại cũng có rất nhiều cách khác nhau. Tuy nhiên, giới chuyên môn thường chia các kiểu tấn công DDOS thành 2 dạng chính, dựa vào mục đích của kẻ tấn công: Tấn công DDOS làm cạn kiệt băng thôngTấn công DDOS làm cạn kiệt tài nguyên hệ thống. Ngoài việc phân loại như trên, có thể phân loại tấn công DDos dựa trên mô hình OSI 07 tầng. Xu hướng các cuộc tấn công DDos cho thấy thủ phạm thường biến đổi các cuộc tấn công theo mô hình OSI. Các cuộc tấn công được phân loại như sau: Các cuộc tấn công IP nhằm vào băng thông – tấn công vào lớp 3 (tầng mạng). Các cuộc tấn công TCP trên máy chủ sockets – tấn công vào lớp 4 (tầng vận chuyển). Các cuộc tấn công HTTP trên máy chủ web – tấn công vào lớp 7 (tầng ứng dụng). Tấn công vào ứng dụng web, đánh vào tài nguyên CPU – tấn công trên lớp 7.

II. Mạng Botnet IRC Cấu trúc Cách thức Xây dựng Hoạt động DDOS

BotNet là một mạng gồm từ hàng trăm tới hàng triệu máy tính hoàn toàn mất quyền kiểm soát. Các máy tính này vẫn hoạt động bình thường, nhưng chúng không hề biết rằng đã bị các hacker kiểm soát và điều khiển. Các máy tính này có thể bị hacker lợi dụng để tải về các chương trình quảng cáo, hay cùng đồng loạt tấn công một trang web nào đó mà ta gọi là DDoS. Hầu hết chủ của những máy tính này không hề biết rằng hệ thống của họ đang được sử dụng theo cách này. Mạng Internet Relay Chat (IRC) được sáng tạo bởi Jarkko Oikarinen vào 8-1988 để thay thế cho một chương trình có tên là MUT (MultiUser Talk) trên một kênh BBS gọi là OuluBox tại Phần Lan. IRC là viết tắt của cụm từ Internet Relay Chat, là một dạng liên lạc cấp tốc qua mạng Internet. Nó được thiết kế với mục đích chính là cho phép các nhóm người trong một phòng thảo luận (channel) liên lạc với nhau. Tuy nhiên, nó cũng cho phép người dùng liên lạc riêng nếu họ thích.

2.1. BotNet Định nghĩa Cơ chế Lây nhiễm và Vai trò trong Tấn công DDOS

BotNet là một mạng gồm từ hàng trăm tới hàng triệu máy tính hoàn toàn mất quyền kiểm soát. Các máy tính này vẫn hoạt động bình thường, nhưng chúng không hề biết rằng đã bị các hacker kiểm soát và điều khiển. Các máy tính này có thể bị hacker lợi dụng để tải về các chương trình quảng cáo, hay cùng đồng loạt tấn công một trang web nào đó mà ta gọi là DDoS. Hầu hết chủ của những máy tính này không hề biết rằng hệ thống của họ đang được sử dụng theo cách này. Khi đã chiếm được quyền điều khiển, hacker sẽ xâm nhập vào các hệ thống này, ấn định thời điểm và phát động tấn công từ chối dịch vụ. Với hàng triệu các máy tính cùng tấn công vào một thời điểm, nạn nhân sẽ bị ngốn hết băng thông trong nháy mắt, dẫn tới không thể đáp ứng các yêu cầu hợp lệ và bị loại khỏi internet.

2.2. Mạng IRC Botnet Cách thức Xây dựng và Sử dụng cho Mục đích DDOS

Mỗi một máy tính bị kiểm soát, bị cài một phần mềm nguy hiểm bí mật kết nối đến kênh IRC của kẻ tấn công gọi là một bot. Mạng các kết nối tới một kênh IRC gọi là một IRC botnet. Các bước xây dựng mạng botnet: Bƣớc 1: Lây nhiễm vào máy tính. Đầu tiên, kẻ tấn công lừa cho ngƣời dùng chạy file có phần mở rộng “. Một khi đƣợc kích hoạt, nó sẽ thêm các thông số trong Registry để đảm bảo sẽ đƣợc chạy cùng hệ thống khi khởi động. Bƣớc 2: Lây lan và xây dựng mạng botnet. Khi trong mạng có một máy tính bị nhiễm Agobot, nó sẽ tự động tìm kiếm các máy tính khác trong hệ thống và lây nhiễm sử dụng các lỗ hổng trong tài nguyên đƣợc chia sẻ trong hệ thống mạng. Bƣớc 3: Kết nối vào IRC. Agobot sẽ tạo ra một IRC- Controlled Backdoor để mở các yếu tố cần thiết, và kết nối tới mạng botnet thông qua IRC. Sau khi kết nối, chúng sẽ mở những dịch vụ cần thiết để khi có yêu cầu chúng sẽ đƣợc điều khiển bởi kẻ tấn công thông qua giao thức IRC. Bƣớc 4: Điều khiển tấn công từ mạng botnet. Kẻ tấn công điều khiển các máy trong mạng download những file .exe về chạy trên máy.

III. Các Kỹ thuật Tấn công DDOS Phổ biến Phân tích Hướng dẫn Phòng tránh

Có rất nhiều kỹ thuật tấn công DDOS khác nhau, mỗi kỹ thuật nhắm vào một khía cạnh khác nhau của hệ thống mục tiêu. Các kỹ thuật này bao gồm: Tấn công làm cạn kiệt băng thông (Band with Deleption), Tấn công tràn băng thông (Flood attack), Tấn công tràn băng thông bằng gói tin UDP, Tấn công tràn băng thông bằng gói tin ICMP, Tấn công khuếch đại (Amplification attack), Tấn công kiểu Smuft, Tấn công kiểu Fraggle, Tấn công làm cạn kiệt tài nguyên (Resoure Deleption), Các biến thể của tấn công DDos, Tấn công kiểu Flash DDos, Tấn công kiểu DRDos, Tấn công DDoS trên điện thoại di động,... Hiểu rõ các kỹ thuật này là rất quan trọng để xây dựng các biện pháp phòng thủ hiệu quả.

3.1. Tấn công Flood UDP Flood ICMP Flood Nguyên lý Cách giảm thiểu

Trong tấn công tràn băng thông, các Agent sẽ gửi một lƣợng lớn các gói tin làm hệ thống nạn nhân bị chậm lại, treo và không thể đáp ứng các yêu cầu hợp lệ. Có thể chia Flood attack thành 2 loại: UDP flood attackICMP flood attack. Tấn công tràn UDP là một kỹ thuật tấn công từ chối dịch vụ sử dụng các gói tin UDP. Trong tấn công tràn UDP, các cuộc tấn công tràn ngập đƣợc khởi chạy với việc gửi một số lƣợng lớn các gói UDP đến các port ngẫu nhiên hoặc đƣợc chỉ định trên hệ thống của nạn nhân. Để xác định ứng dụng đƣợc yêu cầu, hệ thống nạn nhân phải xử lý dữ liệu vào. Tấn công tràn ICMP: Các Agent sẽ gửi một lƣợng lớn các ICMP_ECHO_REQUEST đến hệ thống mục tiêu, làm hệ thống này phải reply một lƣợng tƣơng ứng packet để trả lời, dẫn đến nghẽn đƣờng truyền và không thể đáp ứng những yêu cầu hợp lệ.

3.2. Tấn công khuếch đại Smuft Fraggle Cách thức Hoạt động Biện pháp

Đây cũng là một kiểu tấn công vào băng thông hệ thống, kẻ tấn công sẽ Ping đến địa chỉ của một mạng nào đó mà địa chỉ nguồn chính là địa chỉ của nạn nhân. Khi đó, toàn bộ các gói Reply sẽ đƣợc chuyển tới địa chỉ IP của máy nạn nhân. Nghĩa là ở đây kẻ tấn công sẽ khuếch đại cuộc tấn công bằng việc dùng thêm một yếu tố thứ 3- mạng khuếch đại- để làm ngập băng thông của nạn nhân. Có thể chia Amplification attack thành 2 loại: Tấn công kiểu Smuft (Smuft attack)Tấn công kiểu Fraggle (Fraggle attack). Trong Smuft attack, kẻ tấn công sẽ gửi các gói tin ICMP echo đến địa chỉ broadcast của mạng khuếch đại. Điều đặc biệt là các gói tin ICMP này có địa chỉ IP của chính nạn nhân. Tấn công kiểu Fraggle: Tƣơng tự nhƣ tấn công kiểu Smuft, nhƣng thay vì dùng gói tin ICMP, kiểu tấn công này sử dụng các gói tin UDP.

IV. Ngăn chặn DDOS Phát hiện Giảm thiểu Chuyển hướng Tấn công

Giải pháp tổng thể về phòng, chống DDOS được chia thành 3 giai đoạn chính: (1) Giai đoạn ngăn ngừa: Tối thiểu hoá lƣợng Agent, tìm và vô hiệu hoá các Handle. (2) Giai đoạn đối đầu với cuộc tấn công: Phát hiện và ngăn chặn cuộc tấn công, làm suy giảm và dừng cuộc tấn công, chuyển hƣớng cuộc tấn công. (3) Giai đoạn sau khi cuộc tấn công xảy ra: thu thập chứng cứ và rút kinh nghiệm. Ngăn chặn DDOS yêu cầu một cách tiếp cận đa lớp, kết hợp nhiều kỹ thuật khác nhau để phát hiện và giảm thiểu tác động của cuộc tấn công.

4.1. Phát hiện Ngăn chặn Kỹ thuật Agress Filtering IP Spoofing MIB statistics

Có nhiều kỹ thuật đƣợc áp dụng để phát hiện một cuộc tấn công DDOS. Phổ biến có 02 kỹ thuật sau: Agress Filtering: Kỹ thuật này kiểm tra xem một gói tin có đủ tiêu chuẩn ra khỏi một subnet hay không dựa trên cơ sở gateway của một subnet luôn biết đƣợc địa chỉ IP của các máy thuộc subnet. Các gói tin từ bên trong subnet gửi ra ngoài với địa chỉ nguồn không hợp lệ sẽ bị giữ lại để điều tra nguyên nhân. IP spoofing: Việc chống giả mạo địa chỉ đƣợc thực hiện khá dễ dàng, tuy nhiên phải tiến hành đồng bộ. Broadcast Amplification: Tƣơng tự IP spoofing lợi dụng toàn bộ subnet để làm “ngập lụt” nạn nhân. Do đó, việc giám sát và quản lý chặt chẽ khả năng broadcast của một subnet là rất cần thiết. MIB statistics: Trong việc quản lý thông tin cơ bản – Management Information Base (SNMP) của route luôn có thông tin thống kê về sự biến thiên trạng thái của mạng. Nếu ta giám sát chặt chẽ, thống kê các gói tin UDP, ICMP, TCP sẽ có khả năng phát hiện đƣợc thời điểm bắt đầu của cuộc tấn công để tạo “quỹ thời gian vàng” cho xử lý tình huống.

4.2. Giảm thiểu Chặn Load Balancing và Adaptive Threshold Algorithm

Việc làm suy giảm hay chặn cuộc tấn công DDOS thƣờng sử dụng các kỹ thuật sau: Load banlancing: Thiết lập kiến trúc cân bằng tải cho các server trọng điểm sẽ làm gia tăng thời gian chống chọi của hệ thống với cuộc tấn công DDOS. Tuy nhiên, điều này không có ý nghĩa thực tiễn vì quy mô của cuộc tấn công là không giới hạn. Trƣờng hợp này có thể áp dụng Thuật toán Adaptive Threshold (ngƣỡng giới hạn khả năng đáp ứng). Thuật toán này nói chung khá đơn giản và dễ hiểu. Thuật toán phát hiện sự không bình thƣờng dựa trên vi phạm một ngƣỡng khả năng đáp ứng của lƣu lƣợng mạng trong thời gian gần. Thuật toán đặc biệt có khả năng phát hiện cao nhất khi kẻ tấn công tiến hành một cuôc tấn công TCP SYN.

24/09/2025

Trích đoạn nội dung tài liệu

MỞ ĐẦU Ngày nay, mạng Internet đang phát triển và mở trộng trên phạm vi toàn thế giới. Các cổng thông tin điện tử, dịch vụ mạng có thể là sự sống còn của cá nhân, tổ chức. Việc những hệ thống đó bị quá tải, không truy cập đƣợc trong một khoảng thời gian có thể gây ra tổn thất không nhỏ. Từ vấn đề thực tế trên kiểu tấn công từ chối dịch vụ phân tán, DDos (Distributed Denial Of Service) đã xuất hiện rất sớm, những năm 90 của thế kỷ 20.

Kiểu tấn công này làm cạn kiệt tài nguyên của hệ thống. Ngƣời quản trị, ngƣời sử dụng không thể truy cập đƣợc hệ thống thông tin. Tấn công DDos bắt đầu đƣợc biết đến từ năm 1998, với chƣơng trình Trinoo Distributed Denial of service đƣợc viết bởi Phifli. Từ đó cùng với sự phát triển không ngừng của Công nghệ thông tin, các kỹ thuật tấn công mới lần lƣợt ra đời, Ping of Death, Teardrop, Aland Attack, Winnuke, Smurf Attack, UDP/ICMP Flooding, TCP/SYN Flooding, Attack DNS.

gần đây là kiểu tấn công DDos sử dụng công cụ #RefRef của nhóm Hacker Anonymous. Do vậy, tấn công DDos một kiểu tấn công không mới, nhƣng vẫn luôn là nỗi lo lắng của các nhà quản trị mạng. Trong những năm qua, không chỉ Việt Nam mà cả thế giới, các cuộc tấn công DDos liên tục diễn ra. Những cuộc tấn công này với nhiều mục đích khác nhau: kinh tế, cá nhân, thậm chí mang cả màu sắc chính trị (Trung Quốc – Mỹ, Trung Quốc – Việt Nam.

Do vậy, nghiên cứu DDos không bao giờ là cũ, mà luôn phải cập nhật cùng với các thiết bị, kỹ thuật công nghệ thông tin mới. Từ những vấn đề thực tiễn trên, căn cứ vào lý thuyết về an ninh an toàn của hệ thống thông tin, đề tài sẽ trình bày 1. Các vấn đề chung về DDos; 2. Kỹ thuật tấn công DDos cơ bản và các kỹ thuật mới; 3.

Phòng, chống một cuộc tấn công DDos; 4. Giải pháp phòng, chống DDos hiệu quả; 5. Đƣa ra một kịch bản cụ thể để phòng chống một cuộc tấn công Ddos. TIEU LUAN MOI download : skknchat@gmail.com 11 CHƢƠNG 1: CÁC NỘI DUNG CƠ BẢN CỦA TẤN CÔNG TỪ CHỐI DỊCH VỤ PHÂN TÁN 1.

GIỚI THIỆU VỀ TẤN CÔNG TỪ CHỐI DỊCH VỤ - DDOS: 1. Khái niệm DDos: Tấn công từ chối dịch vụ phân tán (Distributed Denial of Service attack- DDoS attack) là hành động ngăn cản những ngƣời dùng hợp pháp của một dịch vụ nào đó truy cập và sử dụng dịch vụ đó, bằng cách làm cho server không thể đáp ứng đƣợc các yêu cầu sử dụng dịch vụ từ các client. Nguồn tấn công không đến từ một máy tính trên Internet, mà đến từ một hệ thống nhiều máy tính với các địa chỉ IP khác nhau (điểm khác nhau giữa tấn công Dos và DDos).1 Mô hình tấn công DDoS Xuất hiện lần đầu tiên vào năm 1999, so với tấn công DoS cổ điển, sức mạnh của DDoS cao hơn rất nhiều, do nguồn tấn công không đến từ một máy tính nhƣ tấn công Dos mà đến từ nhiều máy tính. Hầu hết các cuộc tấn công DDoS nhằm vào việc chiếm dụng băng thông gây nghẽn mạng dẫn đến hệ thống ngƣng hoạt động.

Tuy nhiên cùng với sự phát triển của các thiết bị phần cứng và các hệ thống phòng thủ, các dạng tấn công DDos cũng ngày càng phức tạp thông minh, không chỉ chiếm dụng băng thông, mà còn khai thác các lỗ hổng trong các ứng dụng để tấn công làm cạn kiệt tài nguyên TIEU LUAN MOI download : skknchat@gmail.com 12 của hệ thống. Những kiểu tấn công này đƣợc đánh giá là nguy hiểm hơn, do chúng có thể gây tổn hại trực tiếp đến cơ sở dữ liệu. Các giai đoạn của một cuộc tấn công DDos: 1/. Giai đoạn chuẩn bị: Chuẩn bị công cụ cho cuộc tấn công, công cụ này thông thƣờng hoạt động theo mô hình Client- Server.

Hacker có thể viết phần mềm này hay download một cách dễ dàng trên mạng. Tiếp theo, hacker chiếm quyền điều khiển các máy tính trên mạng, tiến hành tải và cài đặt ngầm các chƣơng trình độc hại trên máy tính đó. Để làm đƣợc điều này, hacker thƣờng lừa cho ngƣời dùng click vào một link quảng cáo có chứa Trojan, worm. Kết thúc giai đoạn này, hacker sẽ có một attack- network (một mạng các máy tính ma phục vụ cho việc tấn công DDoS).

Giai đoạn xác định mục tiêu và thời điểm tấn công: Sau khi xác định đƣợc mục tiêu cần tấn công, hacker sẽ điều chỉnh attack- network chuyển hƣớng tấn công mục tiêu đó Yếu tố thời điểm sẽ quyết định mức độ thiệt hại của cuộc tấn công. Vì vậy, nó phải đƣợc hacker ấn định trƣớc. Giai đoạn phát động tấn công và xóa dấu vết: Đúng thời điểm đã định trƣớc, hacker phát động lệnh tấn công từ máy của mình. Toàn bộ attack- network (có thể lên đến hàng ngàn, hàng vạn máy) đồng loạt tấn công mục tiêu, mục tiêu sẽ nhanh chóng bị cạn kiệt băng thông và không thể tiếp tục hoạt động.

Sau một khoảng thời gian tấn công, hacker tiến hành xóa dấu vết có thể truy ngƣợc đến mình, việc này đòi hỏi trình độ cao của những hacker chuyên nghiệp. Phân loại tấn công từ chối dịch vụ phân tán: Các loại tấn công DDoS có rất nhiều biến thể, nên việc phân loại cũng có rất nhiều cách khác nhau. Tuy nhiên, giới chuyên môn thƣờng chia các kiểu tấn công DDoS thành 2 dạng chính, dựa vào mục đích của kẻ tấn công: - Tấn công DDoS làm cạn kiệt băng thông - Tấn công DDoS làm cạn kiệt tài nguyên hệ thống TIEU LUAN MOI download : skknchat@gmail.2 Sơ đồ phân loại DDoS attack theo mục đích tấn công Ngoài việc phân loại nhƣ trên, có thể phân loại tấn công DDos dựa trên mô hình OSI 07 tầng. Xu hƣớng các cuộc tấn công DDos cho thấy thủ phạm thƣờng biến đổi các cuộc tấn công theo mô hình OSI.

Các cuộc tấn công đƣợc phân loại nhƣ sau: - Các cuộc tấn công IP nhằm vào băng thông – tấn công vào lớp 3 (tầng mạng). - Các cuộc tấn công TCP trên máy chủ sockets – tấn công vào lớp 4 (tầng vận chuyển). - Các cuộc tấn công HTTP trên máy chủ web – tấn công vào lớp 7 (tầng ứng dụng). - Tấn công vào ứng dụng web, đánh vào tài nguyên CPU – tấn công trên lớp 7.

Ngày nay, hệ thống phòng thủ DDos liên tục đƣợc hoàn thiện và đa dạng, nhƣng thƣờng tập trung ở tầng thấp trong mô hình OSI. Do đó các cuộc tấn công vào lớp ứng dụng (Lớp 7) đang ngày càng phổ biến. Khi phân tích một cuộc tấn công DDos nhằm vào Lớp 7, phải nghiên cứu các lớp khác. Do cuộc tấn công vào Lớp 7 luôn đƣợc ngụy trang và đi kèm với các cuộc tấn công nhằm vào lớp khác.

Về bản chất, kẻ tấn công vào Lớp 7 sẽ tạo ra một giao diện TIEU LUAN MOI download : skknchat@gmail.com 14 cho ngƣời sử dụng nhƣ trình duyệt, các dịch vụ email, hình ảnh và những ứng dụng khác để gửi thông tin qua giao thức (SMTP, HTTP). Một cuộc tấn công DDos vào Lớp 7 thƣờng nhằm mục đích và mục tiêu cụ thể nhƣ: làm gián đoạn giao dịch, cản trở truy cập vào cơ sở dữ liệu. Kiểu tấn công này đòi hỏi nguồn lực ít hơn và đi kèm với các cuộc tấn công ở Lớp khác nhƣ lớp mạng. Một cuộc tấn công lớp ứng dụng sẽ đƣợc ngụy trang giống nhƣ những truy cập hợp pháp và nó có mục tiêu cụ thể là các ứng dụng.

Cuộc tấn công có thể làm gián đoạn các chức năng cụ thể của dịch vụ nhƣ phản hồi thông tin, tìm kiếm … Phân biệt cuộc tấn công DDos vào Lớp 7 so với các cuộc tấn công khác dựa trên một số điểm nhƣ sau: 1. Tấn công DDos vào Lớp mạng làm cho máy chủ quá tải với các yêu cầu (request) giả, trong khi tấn công Lớp 7 buộc máy chủ phải trả lời với mỗi yêu cầu thật. Trong tấn công DDos vào Lớp 7, các máy tấn công phải tạo ra nhiều hết cỡ các kết nối TCP. Nhƣ vậy, các địa chỉ IP thực tế sẽ đƣợc sử dụng để gửi yêu cầu và máy nạn nhận phải đáp ứng các truy vấn hợp lệ đó.

Vì vậy chúng có thể vƣợt qua các hệ thống phòng thủ DDos nghiêm ngặt. Tấn công DDos vào Lớp 7 có thể bao gồm các tấn công khác và lợi dụng lỗ hổng trong các phần mềm ứng dụng để tấn công, đồng thời phân tán sự chú ý vào nhiều mục tiêu để che giấu mục tiêu chính là máy chủ Web. Hay nói cách khác kiểu tấn công này tinh vi hơn, không tấn công toàn bộ mà tấn công vào đúng mục tiêu đang hƣớng tới. Khác biệt đáng chú ý nhất là các cuộc tấn công DDos vào Lớp 7 tạo ra một khối lƣợng xử lý lớn và đẩy lƣợng xử lý này xuống hạ tầng cơ sở mạng của máy chủ làm “ngập lụt” băng thông.

Các cuộc tấn công vào Lớp 7 thƣờng đặt mục tiêu vào máy chủ, nhƣng những máy chủ này đa phần đƣợc nhìn nhận là nạn nhân phía sau. Ví dụ: các cuộc tấn công nhằm vào HTTP, VoIP hoặc hệ thống tên miền DNS. Tấn công DDos nhằm vào Lớp 7 thƣờng khai thác những sai sót, hạn chế của các ứng dụng. Từ đó làm cho hệ thống tiêu thụ nhiều tài nguyên nhƣng không giải quyết đƣợc dẫn tới treo máy chủ.

Tấn công DDos nhằm Lớp 7 không mang tính phổ biến, nhƣng đa dạng và tùy thuộc vào mỗi ứng dụng. Do đó đây là một thách thức lớn trong việc chống lại các cuộc tấn công vào lớp này. TIEU LUAN MOI download : skknchat@gmail. Khái niệm mạng Botnet BotNet là một mạng gồm từ hàng trăm tới hàng triệu máy tính hoàn toàn mất quyền kiểm soát.

Các máy tính này vẫn hoạt động bình thƣờng, nhƣng chúng không hề biết rằng đã bị các hacker kiểm soát và điều khiển. Các máy tính này có thể bị hacker lợi dụng để tải về các chƣơng trình quảng cáo, hay cùng đồng loạt tấn công một trang web nào đó mà ta gọi là DDoS. Hầu hết chủ của những máy tính này không hề biết rằng hệ thống của họ đang đƣợc sử dụng theo cách này. Khi đã chiếm đƣợc quyền điều khiển, hacker sẽ xâm nhập vào các hệ thống này, ấn định thời điểm và phát động tấn công từ chối dịch vụ.

Với hàng triệu các máy tính cùng tấn công vào một thời điểm, nạn nhân sẽ bị ngốn hết băng thông trong nháy mắt, dẫn tới không thể đáp ứng các yêu cầu hợp lệ và bị loại khỏi internet. Chúng ta hãy cùng xem ví dụ sau để thấy đƣợc sự nguy hiểm của mạng BotNet.

Nội dung được bảo vệ bản quyền — Tải xuống đầy đủ