[Miễn Phí] DDoS là gì? Tìm hiểu về tấn công từ chối dịch vụ từ A-Z | tấn công từ chối dịch vụ – Xác minh

tấn công từ chối dịch vụ: Here is a bài viết related to this topic.

32

phút đọc

Nếu bạn là một người tìm hiểu về DDoS hoặc công ty của các bạn bị tấn công DDoS thì nội dung này giành cho bạn. ddos.com.vn sẽ giải thích rõ khúc mắc DDoS là gì? Các cuộc tấn công từ chối dịch vụ phân tán có mục đích gì & có những kiểu tấn công DDoS nào?

Sau khoảng thời gian đọc hết nội dung này, chúng tôi mơ ước bạn sẽ hiểu rằng vì sao các trang web, server game thường xuyên bị DDoS & cách phòng chống như vậy nào? Hãy cùng khởi đầu tìm hiểu ngay thôi!

DDoS là gì?

  • DoS (viết tắt của Denial of Service): Tấn công từ chối dịch vụ
  • DDoS (viết tắt của Distributed Denial of Service): Tấn công từ chối dịch vụ phân tán

DDoS là gì?

Tấn công DDoS chính là một mẹo tấn công bắng nhiều laptop hoặc nhiều hệ thống laptop yêu cầu tài nguyên thuộc máy chủ đích cùng 1 lúc. Làm quá tải tài nguyên của hệ thống máy chủ đích, khiến hệ thống bị chậm đi một cách đáng kể hoặc người dùng không còn truy cập & sử dụng được nữa.

Nạn nhân của các cuộc tấn công từ chối dịch vụ phân tán thường là các trang mạng hay server tiêu biểu như: website game, cổng thanh toán thẻ tín dụng, bank & thậm chí là DNS root servers.

Đối tượng tấn công DDoS không những sử dụng laptop của họ để tấn công mà còn sử dụng laptop của những người dùng khác. Bằng cách xâm nhập & chiếm quyền kiểm tra laptop của người dùng một các trái phép. Tấn công từ chối dịch vụ phấn tán là vi phạm cơ chế sử dụng mạng internet của IAB (Mạng internet Architecture Board) & những người tấn công DDoS sẽ vi phạm luật dân sự.

Mục tiêu của các cuộc tấn công DDoS là gì?

  • Làm tiêu pha tài nguyên của hệ thống,có thể làm hết băng thong,đầy dung tích lưu trữ trên đĩa hoặc tăng thời gian giải quyết.
  • Phá vỡ các thành phần vật lý của mạng laptop.
  • Làm tắc nghẽn thông tin liên lạc bên ra bên ngoài.
  • Phá vỡ các thông tin cấu dường như thông tin định tuyến
  • Phá vỡ các tình trạng thông tin như việc auto reset lại các phiên TCP.
  • Làm quá tải năng lực giải quyết,kéo theo hệ thống chẳng thể thực thi bất kỳ một công việc nào khác.
  • Những lỗi gọi tức thì trong microcode của dòng sản phẩm tính.
  • Những lỗi gọi tức thì trong chuỗi chỉ thị,kéo theo laptop rơi vào hiện trạng hoạt động không ổn định hoặc bị đơ
  • Những lỗi có thể khai thác được ở HĐH kéo theo việc thiếu thốn tài nguyên hoặc bị tharshing.Chẳng hạn như sử dụng toàn bộ các năng lực có sẵn kéo theo không một công việc thực tiễn nào có thể giải quyết được.
  • Gây crash hệ thống

Các kiểu tấn công DDoS

Các cuộc tấn công DDoS đem lại nhiều doanh số cho hacker, chính vì như vậy ngày càng nhiều các cuộc tấn công xảy ra & đơn giản để một người có thể thực hiện 1 cuộc tấn công DDoS (nhỏ, vừa & cực lớn).

Sau đây là các kiểu tấn công DDoS thông dụng nhất hiện tại:

  • Tấn công DDoS dạng SYN Flood
  • Tấn công DDoS dạng UDP Flood
  • Tấn công DDoS dạng HTTP Flood
  • Tấn công dạng Ping Of Death
  • Tấn công dạng Smurf Attack
  • Tấn công dạng Fraggle Attack
  • Tấn công dạng Slowloris
  • Tấn công dạng Application Level
  • Tấn công dạng NTP Amplification
  • Tấn công dạng Advanced Persistent DoS (APDoS)
  • Tấn công DDoS dạng Zero-Day

1. Tấn công Smurf

Là thủ phạm ra đời cực nhiều giao tiếp ICMP (ping) tới địa chỉ Broadcast của nhiều mạng với địa chỉ nguồn là mục tiêu cần tấn công.

* Tất cả chúng ta cần cảnh báo là: Khi ping tới một địa chỉ là công cuộc hai chiều – Khi máy A ping tới máy B máy B reply lại hoàn tất công cuộc. Khi tôi ping tới địa chỉ Broadcast của mạng nào đó thì toàn thể các laptop trong mạng đó sẽ Reply lại tôi. Nhưng giờ tôi biến đổi địa chỉ nguồn, thay địa chỉ nguồn là máy C & tôi ping tới địa chỉ Broadcast của một mạng nào đó, thì toàn thể các laptop trong mạng đó sẽ reply lại vào máy C chứ không phải tôi & đó là tấn công Smurf.

Kết quả đích tấn công sẽ phải chịu nhận một đợt Reply gói ICMP cực lớn & khiến cho mạng bị dớt hoặc bị chậm dần không có khả năng thỏa mãn các dịch vụ khác.

Tiến trình này được khuyếch đại khi có luồng ping reply từ một mạng được connect với nhau (mạng BOT).

Tấn công Fraggle, chúng sử dụng UDP echo & cũng giống như tấn công Smurf.

3. Tấn công Buffer overflow

Buffer Overflow xảy ra tại bất kỳ thời điểm nào có chương trình ghi lượng thông tin to hơn dung tích của bộ nhớ lưu trữ đệm trong bộ nhớ lưu trữ.

Kẻ tấn công có thể ghi đè lên dữ liệu & điều khiển chạy các chương trình & đánh cắp quyền điều khiển của một số chương trình nhằm thực thi các đoạn mã bất trắc. – Tấn công Buffer Overflow tôi đã trình bày cách khai thác lỗi này trong nội dung trước về hacking windows cũng trên trang www.vnexperts.net.

Tiến trình gửi một bức email mà file đính kèm dài quá 256 ký tự có thể sẽ xảy ra công cuộc tràn bộ nhớ lưu trữ đệm.

4. Tấn công Ping of Death

Kẻ tấn công gửi những gói tin IP to hơn số lương bytes cho phép của tin IP là 65.536 bytes.

Tiến trình chia nhỏ gói tin IP thành những phần nhỏ được thực hiện ở layer II.

Tiến trình chia nhỏ có thể thực hiện với gói IP to hơn 65.536 bytes. Nhưng HĐH chẳng thể nhận thấy được độ lớn của gói tin này & sẽ bị khởi động lại, hay dễ dàng là sẽ bị gián đoạn giao tiếp.

Để nhận thấy kẻ tấn công gửi gói tin to hơn gói tin cho phép thì tương đối đơn giản.

5. Tấn công Teardrop

Gói tin IP rất lớn khi đến Router sẽ bị chia nhỏ làm nhiều phần nhỏ.

Kẻ tấn công sử dụng sử dụng gói IP với các thông số kỹ thuật rất khó hiểu để chia ra các phần nhỏ (fragment).

Nếu HĐH thu được các gói tin đã được chia nhỏ & không hiểu được, hệ thống phấn đấu build lại gói tin & điều đó chiếm một phần tài nguyên hệ thống, nếu công cuộc đó liên tục xảy ra hệ thống không còn tài nguyên cho các vận dụng khác, phục vụ các user khác.

6. Tấn công SYN

Kẻ tấn công gửi các yêu cầu (request ảo) TCP SYN tới máy chủ bị tấn công. Để giải quyết lượng gói tin SYN này hệ thống cần tốn một lượng bộ nhớ lưu trữ cho connect.

Khi có rất là nhiều gói SYN ảo tới máy chủ & chiếm hết các yêu cầu giải quyết của dòng sản phẩm chủ. Một người dùng bình bình connect tới máy chủ ban đầu thực hiện Request TCP SYN & bây giờ máy chủ không còn khả năng đáp lại – connect không được thực hiện.

Đây là kiểu tấn công mà kẻ tấn công lợi dụng công cuộc giao tiếp của TCP theo – Three-way.

Các đoạn mã bất trắc có khả năng ra đời một số lượng cực lớn các gói TCP SYN tới máy chủ bị tấn công, địa chỉ IP nguồn của gói tin đã bị biến đổi & đó chính là tấn công DoS.

Hình bên trên trổ tài các giao tiếp bình bình với máy chủ & bên dưới thế hiện khi máy chủ bị tấn công gói SYN đến sẽ rất là nhiều trong lúc đó khả năng giải đáp của dòng sản phẩm chủ lại có hạn & khi đó máy chủ sẽ từ chối các truy cập hợp pháp.

Tiến trình TCP Three-way handshake được thực hiện: Khi máy A mong muốn giao tiếp với máy B. (1) máy A bắn ra 1 gói TCP SYN tới máy B – (2) máy B khi thu được gói SYN từ A sẽ gửi lại máy A gói ACK chấp thuận connect – (3) máy A gửi lại máy B gói ACK & khởi đầu các giao tiếp dữ liệu.

Máy A & máy B sẽ dữ connect tối thiểu là 75 giây, sau này lại thực hiện một công cuộc TCP Three-way handshake lần nữa để thực hiện phiên kết tiếp nối theo để thỏa thuận dữ liệu.

Thật không may kẻ tấn công đã lợi dụng sơ hở này để thực hiện hành vi tấn công nhằm sử dụng hết tài nguyên của hệ thống bằng cách giảm thời gian yêu cầu Three-way handshake xuống rất nhỏ & không gửi lại gói ACK, cứ bắn gói SYN ra liên tục trong một thời gian khẳng định & không khi nào giải đáp lại gói SYNvàamp;ACK từ máy bị tấn công.

Xem Thêm  16 Thì trong tiếng Anh: Mẹo ghi nhớ, công thức, cấu trúc, bài tập - số thứ tự trong tiếng anh

Với phép tắc chỉ đồng ý gói SYN từ một máy tới hệ thống sau mỗi 75 giây nếu địa chỉ IP nào vi phạm sẽ chuyển vào Rule deny access sẽ ngăn cản tấn công này.

Phân loại tấn công DDoS

Dựa trên ebook phân tích của ddos.com.vn thì phân loại tấn công DDoS có:

  • Tấn công vào đường truyền mạng
  • Tấn công vào giao thức
  • Tấn công bằng những gói tin khác thường
  • Tấn công qua PM trung gian
  • Một số công cụ tấn công dùng Proxy
  • & một số công cụ khác

Phân loại tấn công DDoS

Tấn công vào đường truyền mạng

Trong mẹo này kẻ tấn công điều khiển mạng lưới Agent hàng loạt gửi các gói tin ICMP hay UDP đến nạn nhân khiến cho đường truyền mạng của nạn nhân bị quá tải & chẳng thể phục vụ được. Chẳng hạn như trong trường hợp ICMP flood, nạn nhân sẽ phải gửi trả lại các gói tin ICMP_REPLY tương ứng. Do số lượng của Agent gửi đến nạn nhân rất lớn nên việc gửi lại các gói ICMP_REPLY kéo theo nghẽn mạng. Trong trường hợp UDP flood cũng tương tự như.

Bí quyết tấn công này đặc biệt bất trắc do chẳng những đường truyền mạng của nạn nhân bị quá tải mà còn tác động đến các mạng sát bên. Hiện tại, với sự tiến triển của các công cụDdos, chủ yếu đều trợ giúp giả mạo địa chỉ IP.

Tấn công vào giao thức

Điển hình của mẹo tấn công này là TCP SYN flood. Kẻ tấn công lợi dụng công cuộc bắt tay 3 bước trong giao thức TCP. Kẻ tấn công liên tục khởi tạo connect TCP. Nạn nhân sẽ tiến hành gửi lại giải đáp với SYN & ACK để chờ ACK từ phía máy khách.

Không những thế, kẻ tấn công sẽ không gửi ACK đến nạn nhân hay nói cách khác là sẽ không làm gì cả như công cuộc bắt tay 3 bước. Cứ như thế, nạn nhân sẽ tốn nhiều tài nguyên & bộ nhớ lưu trữ để chờ các phiên TCP. Cho nên nạn nhân sẽ chẳng thể phục vụ được do tốn bộ nhớ lưu trữ đề chờ các connect ảo do kẻ tấn công khởi tạo.

Tấn công bằng những gói tin khác thường

Trong mẹo này, kẻ tấn công dựa theo các khuyết điểm của giao thức mạng. Chẳng hạn khi tấn công Ping of Death. Kẻ tấn công sẽ gửi một số gói tin ICMP có kích cỡ to hơn kích cỡ hạn chế. Gói tin sẽ bị chia nhỏ, khi nạn nhân ghép lại nhận ra rằng là gói tin quá lớn để giải quyết.

Kết quả là hệ thống chẳng thể giải quyết được hiện trạng dị thường này & sẽ bị treo. Một trường hợp khác như tấn công Lan Attack. Kẻ tấn công sẽ gửi các gói tin TCP SYN có địa chỉ nguồn, địa chỉ đích & số cổng giống nhau. Nạn nhân sẽ liên tục khởi tạo & connect với chính nó. Cho nên hệ thống sẽ bị treo hoặc bị chậm dần.

Tấn công qua PM trung gian

Trong mẹo tấn công này, kẻ tấn công sẽ sử dụng một PM hợp lệ thuộc máy nạn nhân. Khai thác một số thuật toán & tiến hành mang tham số trong trường hợp xấu nhất. Cho nên, máynạn nhân sẽ phải giải quyết công cuộc này & có thể bị treo. Đây là mẹo tấn công khá dễ dàng nhưng lại có hiệu quả rất cao. Nhưng bất trắc hơn hết là kẻ tấn công đã đột nhập được vào máy nạn nhân để có thể ăn trộm các thông tin cá nhân của nạn nhân

Một số công cụ tấn công dùng Proxy

Trinoo

  • Trinoo cho phép kẻ tấn công kiểm tra một số máy để yêu cầu gửi hàng loạt các gói tin UDP làm tê liệt mục tiêu. Master Trinoo có thể điều khiển các deamon trinoo như:
  • Hàng loạt gửi các gói tin UDP
  • Dừng việc gửi gói tin
  • Biến đổi cấu hình của các deamon trinoo

Flood Network (TFN)

TFN là công cụ tấn công vào đường truyền. TFN trợ giúp tấn công các kỹ thuật ICMP flood, UD.2 Tribe P flood, TCP SYN flood. Hiện thời, TFN trợ giúp việc giả mạo địa chỉ IP. Hoạt động chủ yếu trên các HĐH DDos.

Trinity

Có thể nói Trinity là công cụ bất trắc nhất. Nó có khả năng tấn công với chủ yếu các kỹ thuật như UDP, SYN & một số dạng flood khác. Không những thế nó còn tồn tại thể connect mạng internet thông qua mạng Relay Chat (IRC) hoặc AOL’s ICQ. Trinity thường sử dụng các cổng 6667 & cũng có thể là 1 chương trình backdoor lắng nghe ở cổng 33270 qua connect TCP.

Knight

Knight là một cộng cụ hoạt động trên HĐH windows. Knight phân phối các kỹ thuật tấn công như UDP flood, SYN flood. & nó có thể auto cập nhật thông qua các giao thức http hoặcftp. Knight được setup sử dụng Trojan thông qua chương trình backdoor được gọi là Back Oifice. Knight được sử dụng trong mô hình IRC-Based

Kaiten

Kaiten chính là biến thể của Knight. Kaiten trợ giúp các kỹ thuật tấn công như UDP flood, TCP flood, SYN. Có khả năng giả mạo địa chỉ IP. Kaiten cũng là công cụ được sử dụng trong mô hình IRC-Based

& một số công cụ khác

MASTER HTTP

LOIC (sourceforge.net/projects/loic/)

Dấu nhận thấy đang xảy ra hiện trạng tấn công DDoS

Các server bị tấn công từ chối dịch vụ phân tán sẽ có những biểu hiện sau đây:

  • Mạng của các bạn hoặc mạng của hệ thống bị chậm đi đáng kể khi truy cập vào trang web hoặc mở tệp.
  • Nhận nhiều thư rác một cách dị thường.
  • Chẳng thể truy cập vào trang web của server.

Các bí quyết phòng chống DDoS

Do thuộc tính cực kỳ nghiêm trọng của tấn công DDoS, nhiều biện pháp phòng chống đã được phân tích & đề nghị trong những năm qua. Không những thế, cho đến hiện tại hầu hết chưa có biện pháp nào có khả năng phòng chống DDoS một cách toàn diện & hiệu quả do thuộc tính cầu kỳ, quy mô lớn & tính phân tán rất cao của tấn công DDoS.

Thông thường, khi phát hiện tấn công DDoS, việc có thể thực hiện được tốt nhất là ngắt hệ thống nạn nhân khỏi toàn bộ các tài nguyên do mọi hành động phản ứng lại tấn công đều cần đến các tài nguyên trong lúc các tài nguyên này đã bị tấn công DDoS khiến cho hết sạch. Sau khoảng thời gian hệ thống nạn nhân được ngắt khỏi các tài nguyên, việc truy tìm nguồn gốc & nhận dạng tấn công có thể được tiến hành.

Nhiều bí quyết phòng chống tấn công DDoS đã được phân tích trong những năm gần đây  thành tích chung có thể chia các bí quyết phòng chống tấn công DDoS thành 3 dạng theo 3 tiêu chuẩn chính:

  • Dựa theo địa điểm triển khai.
  • Dựa theo giao thức mạng.
  • Dựa theo thời điểm hành động.

Các bí quyết phòng chống tấn công DDoS

Dựa theo địa điểm triển khai

Các bí quyết phòng chống tấn công DDoS được triển khai ở gần nguồn của tấn công. Bí quyết này nhằm giới hạn các mạng người dùng gia nhập tấn công DDoS.

Một số bí quyết rõ ràng bao gồm:

  • Thực hiện lọc các gói tin sử dụng địa chỉ giả mạo tại các bộ định tuyến ở cổng mạng;
  • Sử dụng các tường lửa có khả năng nhận dạng & giảm tần suất chuyển các gói tin hoặc
    yêu cầu không được công nhận.
  • Triển khai ở đích tấn công: Các bí quyết phòng chống tấn công DDoS được triển khai
    ở gần đích của tấn công, tức là tại bộ định tuyến ở cổng mạng hoặc bộ định tuyến của hệ thống đích. Các bí quyết rõ ràng có thể gồm:
  • Truy tìm địa chỉ IP: Gồm các kỹ thuật nhận dạng địa chỉ & người dùng giả mạo.
  • Lọc & đánh dấu các gói tin: Các gói tin hợp lệ được đánh dấu sao cho hệ thống nạn
    nhân có thể phân biệt các gói tin hợp lệ & gói tin tấn công. Một số kỹ thuật lọc & đánh
    dấu gói tin được đề nghị gồm: Lọc IP dựa theo lịch sử, Lọc dựa theo đếm hop, Nhận
    dạng đường dẫn,…
  • Triển khai ở mạng đích tấn công: Các bí quyết phòng chống tấn công DDoS được triển khai ở các bộ định tuyến của mạng đích dựa theo lọc gói tin, phát hiện & lọc các gói tin độc hại.

Dựa theo giao thức mạng

Các bí quyết phòng chống tấn công DDoS được chia nhỏ theo tầng mạng: IP, TCP & vận dụng :

  • Phòng chống tấn công DDoS ở tầng IP bao gồm một số bí quyết:
  • Pushback: Là chế độ phòng chống tấn công DDoS ở tầng IP cho phép một bộ định tuyến yêu cầu các bộ định tuyến liền kề phía trước giảm tần suất truyền các gói tin.
  • SIP defender: Một thiết kế an ninh mở cho phép giám sát luồng các gói tin giữa các máy chủ SIP & người dùng & proxy bên ngoài với mục đích phát hiện & ngăn chặn tấn công vào các máy chủ SIP.
  • Các mẹo dựa theo ô đố chữ: Gồm các mẹo dựa theo ô đố chữ mật mã để chống lại tấn công DDoS ở mức IP.
  • Phòng chống tấn công DDoS ở tầng TCP bao gồm một số bí quyết:
  • Sử dụng các kỹ thuật lọc gói tin dựa theo địa chỉ IP.
  • Tăng kích cỡ Backlogs giúp tăng khả năng đồng ý connect mới của hệ thống đích.
  • Giảm thời gian chờ công nhận yêu cầu connect TCP-SYN giúp máy chủ hủy bỏ các yêu cầu connect không được công nhận trong thời gian ngắn hơn, giải phóng tài nguyên các connect chờ chiếm giữ.
  • Sử dụng SYN cache giúp duy trì Backlogs chung cho toàn máy chủ thay vì Backlogs riêng cho mỗi vận dụng. Nhờ vậy có thể tăng số lượng connect đang chờ công nhận.
  • Sử dụng SYN Cookies cho phép chỉ cấp phát tài nguyên cho connect khi nó đã được công nhận. Các yêu cầu SYN sẽ bị hủy còn nếu không được công nhận trước khi được chuyển cho máy chủ đích. Bí quyết này có thể giúp phòng chống tấn công SYN Flood hiệu quả.
  • Sử dụng tường lửa hoặc proxy để lọc các gói tin hoặc thực thi các cơ chế an ninh đã xác lập trước.
  • Phòng chống tấn công DDoS ở tầng vận dụng có thể bao gồm:
  • Ít nhất hóa hành vi truy nhập trang để phòng chống tấn công gây ngập lụt HTTP.
  • Sử dụng các mẹo tổng hợp để phát hiện tấn công DDoS ở mức HTTP.
  • Giám sát hành vi của người dùng trong các phiên làm việc để phát hiện tấn công.
Xem Thêm  Hướng dẫn cách chỉnh giọng nói sau khi thu âm - phần mềm chỉnh sửa giọng nói

Dựa theo thời điểm hành động

Tùy thuộc thời điểm hành động của các cuộc tấn công DDoS mà tất cả chúng ta sẽ vận dụng những bí quyết phòng chống DDoS thích hợp. Một số bí quyết như ddos.com.vn đã nếu ở trên sẽ giúp công ty của các bạn có thể chủ động phát hiện & chống lại các đợt tấn công DDoS hiệu quả.

Phải làm sao khi bị tấn công DDoS?

Mặc dầu các công ty đã biết rằng đang bị tấn DDoS/DDoS nhưng rất khó để phát hiện được nguồn hay đích của cuộc tấn công. Vì thế, hãy liên hệ với nhà sản xuất server của các bạn hoặc các nhà sản xuất dịch vụ chống DDoS để tư vấn & trợ giúp công ty của các bạn.

Thông tin liên hệ dịch vụ phòng chống DDoS 24/7:

  • Thư điện tử: contact@ddos.com.vn
  • Số smartphone: 0965 3333 02
  • Fb: fb.com/ddos.com.vn

Lịch sử các cuộc tấn công DDoS tiêu biểu

  • 1998 Chương trình Trinoo Distributed Denial of Service (DDoS) được viết bởi Phifli.
  • Tháng 5 – 1999 Trang chính của FBI đã ngừng họat động vì cuộc tấn công bằng (DDOS).
  • Tháng 5 – 1999 Trang chính của FBI đã ngừng họat động vì cuộc tấn công bằng (DDOS).
  • Cuối tháng 8 đầu tháng 9 năm 1999, Tribal Flood Network trước nhất chào đời. Cuối tháng 9 năm 1999.
  • Ngày 21 tháng 10 năm 1999 David Dittrich thuộc trường đại học Washington đã làm những nghiên cứu về công cụ tấn công từ chối dịch vụ .
  • Ngày 21 tháng 12 năm 1999 Mixter cho ra đời Tribe Flood Network 2000 ( TFN2K ).
  • 7 – 2 -2000 Yahoo! ( Một trọng tâm nổi tiếng ) đã bị tấn công từ chối dịch vụ & trì trệ hoạt động trong vòng 3 giờ đồng hồ. Website site Mail Yahoo & GeoCities đã bị tấn công từ 50 địa chỉ IP khác nhau với nhửng yêu cầu chuyễn vận lên đến 1 gigabit/s.
  • 8-2 nhiều Website site lớn như Buy.com, Amazon.com, eBay, Datek, MSN, & CNN.com bị tấn công từ chối dịch vụ.
  • Lúc 7 giờ tối ngày 9-2/2000 Trang web Excite.com là cái đích của một vụ tấn công từ chối dịch vụ, dữ liệu được luân chuyễn tới tấp trong vòng 1 giờ cho đến khi chấm dứt, & gói dữ liệu đó đã hư hại nặng.

Lịch sử các cuộc tấn công DDoS

Qua đó ta có thể thấy rõ những vụ tấn công từ chối dịch vụ (Denial Of Services Attack ) & những cuộc tấn công về việc gửi nhửng gói dữ liệu tới máy chủ (Flood Data Of Services Attack) tới tấp là những mối lo sợ cho nhiều mạng laptop lớn & nhỏ hiện tại.

Khi một mạng laptop bị Hacker tấn công nó sẽ chiếm một lượng lớn tài nguyên trên server như dung tích ổ cứng, bộ nhớ lưu trữ, Chip xử lý, đường truyền …. Lượng tài nguyên này tùy thuộc vào vào khả năng kêu gọi tấn công của mỗi Hacker. Khi đó Server sẽ chẳng thể thỏa mãn hết những yêu cầu từ những client của những người tiêu dùng & từ đó server có thể sẽ mau lẹ bị ngừng hoạt động, crash hoặc reboot. Tấn công từ chối dịch vụ có rất là nhiều dạng như Ping of Death, Teardrop, Aland Attack, Winnuke, Smurf Attack, UDP/ICMP Flooding, TCP/SYN Flooding, Attack DNS.

Các chẳng hạn về tấn công DDoS

Tấn công Smurf

Kiểu tấn công smurf attack diễn ra khi một hosting gửi một sll gói tin ICMP Echo request với vài địa chỉ IP nhập nhằng trong phần địa chỉ nguồn của gói tin. Địa chỉ đích sẽ là địa chỉ subnet broadcast hoặc còn gọi là directed broadcast.

Router sẽ truyền các gói tin này dựa theo việc so sánh trong bảng định tuyến cho đến bao giờ gói tin qua được cổng của router connect vào mạng đích. Router sau đó sẽ truyền gói tin vào trong LAN như là LAN broadcast, gửi một bản sao chép cho toàn bộ các hosting. Xem hình vẽ bên dưới.

Mô hình tấn công Smurf

Trong hình trên, kẻ tấn công gửi gói tin về địa chỉ directed-broadcast, địa chỉ nguồn của gói tin là 1.1.1.1 (cho một đợt tấn cống phụ). R1 khi thu được gói tin, kiểm soát địa chỉ đích & sẽ truyền gói tin vào trong LAN như là LAN broadcast. R1 giải đáp với thông điệp ICMP echo reply với gói tin gửi trả về 1.1.1.2.

Một dấu hiệu khác của smurf attack là địa chỉ nguồn IP của gói tin được gửi từ máy tấn công là địa chỉ IP của dòng sản phẩm bị tấn công. Chẳng hạn trong hình trên, nhiều hosting sẽ nhận gói tin ICMP Echo request ở bước 2. Sau đó các hosting này giải đáp lại với Echo reply về địa chỉ 10.1.1.2 – là địa chỉ nguồn của gói tin ICMP Echo ở bước 1. Kết quả là máy 10.1.1.2 sẽ bị nhận một số lượng rất lớn các gói tin.

Có vài biện pháp cho vấn đề. Trước hết là, nếu dùng Cisco IOS 12.0, đặt lệnh no ip directed-broadcast trong cổng của router, giúp ngăn ngừa router truyền lượt truy cập vào trong LAN (chặn bước 2).

không chỉ thế, dùng phép kiểm soát reverse-path-forwarding (RPF test) bằng cách sử dụng lệnh ip verify unicast source reachable-via any [allow-default] [allowself-ping][list] ở cơ chế interface. Lệnh này có hai công dụng:

Kiểm soát RPF chặt chẽ: Dùng từ khóa rx routers sẽ kiểm soát nếu một route được so trùng trong bảng định tuyến dùng một cổng đi ra (outgoing interface) mà cổng này đúng bằng cổng nhận gói tin. Còn nếu như không trùng, gói tin bị loại bỏ.

Kiểm soát RPF lỏng lẻo: Dùng từ khóa any, router sẽ kiểm soát bất kỳ route nào có thể được dùng để đến được nguồn của gói tin IP.

Lệnh này cũng có thể bỏ qua các tuyến đuờng mặc định default-route khi nó thực hiện kiểm soát (mặc định) hoặc dùng default route khi kiểm soát bằng cách sử dụng từ khóa allow-default. Có nghĩa là, trong chế độ kiểm soát lỏng, chỉ phải có một tuyến đường (kể cả tuyến mặc định default route) đến được nguồn của gói tin thì gói tin đó được router xem là hợp lệ.

không chỉ thế, dù rằng không được lời khuyên lệnh này có thể kích hoạt lệnh ping về địa chỉ nguồn để kiểm soát connect. Cuối cùng, những địa chỉ mà RPF kiểm soát có thể được hạn chế bởi một ACL.

Chẳng hạn trong hình trên, nếu R1 dùng kiểm soát RPF theo kiểu chặt chẽ, nó sẽ cảnh báo rằng đường đi của nó để đến 1.1.1.2 (là nguồn của gói tin ở bước 1) không những đến cổng s0/0 như cổng ra, chính vì vậy gói tin sẽ bị drop. Nếu dùng kiểm soát RPF lỏng lẻo, R1 sẽ tìm ra một route connect trực tiếp đúng bằng 1.1.1.2. Vì thế router sẽ cho phép gói tin đi ngang qua.

Sau cùng, giả sử rằng AS1 sẽ không khi nào thu được gói tin với địa chỉ nguồn 1.0.0.0, R1 có thể dùng một inbound ACL để loại bỏ bất kỳ gói tin nào đến từ 1.0.0.0/8 khi nó đi vào s0/0 từ Mạng internet.

Xem Thêm  Hướng dẫn nhập code võ lâm truyền kỳ mobile vip 2021, vo lam viet mobile gift code - nhập code võ lâm truyền kỳ 1 mobile

Tấn công Buffer overflow

Mô hình tấn công Buffer Overflow

Buffer Overflow xảy ra tại bất kỳ thời điểm nào có chương trình ghi lượng thông tin to hơn dung tích của bộ nhớ lưu trữ đệm trong bộ nhớ lưu trữ.

Kẻ tấn công có thể ghi đè lên dữ liệu & điều khiển chạy các chương trình & đánh cắp quyền điều khiển của một số chương trình nhằm thực thi các đoạn mã bất trắc.

Tiến trình gửi một bức email mà file đính kèm dài quá 256 ký tự có thể sẽ xảy ra công cuộc tràn bộ nhớ lưu trữ đệm.

Tấn công Ping of Death

Kiểu tấn công ping of death dùng giao thức ICMP. Bình bình, ping được dùng để kiểm soát xem một hosting có sống hay không. Một lệnh ping thông thường có hai thông điệp echo request & echo reply.

Mô hình tấn công Ping of Death

Quá trình ping bình thường niên như sau:

C:>ping 192.168.10.10

Pinging 192.168.10.10 with 32 bytes of data:

Reply from 192.168.10.10: bytes=32 time=1ms TTL=150

Reply from 192.168.10.10: bytes=32 time=1ms TTL=150

Reply from 192.168.10.10: bytes=32 time=1ms TTL=150

Reply from 192.168.10.10: bytes=32 time=1ms TTL=150

Reply from 192.168.10.10: bytes=32 time=1ms TTL=150

Reply from 192.168.10.10: bytes=32 time=1ms TTL=150

Ping statistics for 192.168.10.10:

Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

Minimum = 1ms, Maximum = 1ms, Average = 1ms

Khi tấn công bằng Ping of Death, 1 gói tin echo đựoc gửi có kích cỡ to hơn kích cỡ cho phép là 65,536 bytes. Gói tin sẽ bị chia nhỏ ra thành các segment bé hơn, nhưng khi máy đích ráp lại, hosting đích nhận ra rằng là gói tin quá lớn so với buffer bên nhận. Kết quả là, hệ thống chẳng thể làm chủ nổi hiện trạng dị thường này & sẽ reboot hoặc bị treo.

Tấn công Teardrop

Toàn bộ các dữ liệu chuyển đi trên mạng từ hệ thống nguồn đến hệ thống đích đều phải trải qua 2 công cuộc sau: dữ liệu sẽ được chia ra thành các mảnh nhỏ ở hệ thống nguồn, mỗi mảnh đều cần có một giá trị offset khẳng định để xác nhận địa điểm của mảnh đó trong gói dữ liệu được chuyển đi.

Khi các mảnh này đến hệ thống đích, hệ thống đích sẽ dựa theo giá trị offset để sắp đặt các mảnh lại với nhau theo thứ tự đúng như ban đầu. Chẳng hạn, có một dữ liệu gồm 4000 bytes cần được chuyển đi, giả sử rằng 4000 bytes này được chia thành 3 gói nhỏ(packet):

Mô hình tấn công Teardrop

  • Packet đầu tiên sẽ đưa các 1bytes dữ liệu từ 1 đến 1500
  • Packet thứ hai sẽ đưa các bytes dữ liệu từ 1501 đến 3000
  • Packet thứ ba sẽ đưa các bytes dữ liệu còn sót lại, từ 3001 đến 4000

Khi các packets này đến đích, hệ thống đích sẽ dựa theo offset của các gói packets để sắp đặt lại cho đúng với thứ tự ban đầu: packet đầu tiên – > packet thứ hai – > packet thứ ba

Trong tấn công Teardrop, một loạt gói packets với giá trị offset chồng chéo lên nhau được gởi đến hệ thống đích. Hệ thống đích sẽ chẳng thể nào sắp đặt lại các packets này, nó không điều khiển được & có thể bị crash, reboot hoặc ngừng hoạt động nếu số lượng packets với giá trị offset chồng chéo lên nhau quá lớn!

Hãy xem lại chẳng hạn trên, lẽ ra các packet được gởi đến hệ thống đích có dạng như sau: (1- > 1500 bytes trước nhất) (1501- > 3000 bytes kế đến) (3001- > 4000 bytes sau cùng), trong tấn công Teardrop sẽ có dạng khác: (1- > 1500 bytes) (1501- > 3000 bytes) (1001- > 4000 bytes). Gói packet thứ ba có lượng dữ liệu sai!

Tấn công SYN

Kẻ tấn công gửi các yêu cầu (request ảo) TCP SYN tới máy chủ bị tấn công. Để giải quyết lượng gói tin SYN này hệ thống cần tốn một lượng bộ nhớ lưu trữ cho connect.

Khi có rất là nhiều gói SYN ảo tới máy chủ & chiếm hết các yêu cầu giải quyết của dòng sản phẩm chủ.

Một người dùng bình bình connect tới máy chủ ban đầu thực hiện Request TCP SYN & bây giờ máy chủ không còn khả năng đáp lại – connect không được thực hiện.

Mô hình tấn công bằng SYN

Mô hình tấn công bằng các gói SYN

Bước 1: Client (máy khách) sẽ gửi các gói tin (packet chứa SYN=1) đến máy chủ để yêu cầu connect.

Bước 2: Khi thu được gói tin này, server sẽ gửi lại gói tin SYN/ACK để cảnh báo cho client biết là nó đã thu được yêu cầu connect & chuẩn bị tài nguyên cho việc yêu cầu này.

Server sẽ giành một phần tài nguyên hệ thống như bộ nhớ lưu trữ đệm (cache) để nhận & truyền dữ liệu. không chỉ thế, các thông tin khác của client như địa chỉ IP & cổng (port) cũng được ghi nhận.

Bước 3: Cuối cùng, client hoàn tất việc bắt tay ba lần bằng cách phúc đáp lại gói tin chứa ACK cho server & tiến hành connect.

Mô hình tấn công bằng các gói SYN

Do TCP là thủ tục tin cậy trong việc vận chuyển (end-to-end) nên trong lần bắt tay thứ hai, server gửi các gói tin SYN/ACK giải đáp lại client mà không nhận lại được phúc đáp của client để thực hiện connect thì nó vẫn bảo lưu nguồn tài nguyên chuẩn bị connect đó & lặp lại việc gửi gói tin SYN/ACK cho client đến bao giờ thu được đền đáp của dòng sản phẩm client.

Mô hình tấn công bằng các gói SYN

Nếu công cuộc đó kéo dài, server sẽ mau lẹ trở nên quá tải, kéo theo hiện trạng crash (treo) nên các yêu cầu hợp lệ sẽ bị từ chối chẳng thể giải quyết được. Có thể hình dung công cuộc này cũng giống hư khi laptop cá nhân (máy tính) hay bị “treo” khi mở song song quá nhiều chương trình song song vậy .

Lời kết

Trên đây là nội dung DDoS là gì? được ban chỉnh sửa đo đạc từ nhiều nguồn, nhiều Chuyên Viên khác nhau. Nếu có khúc mắc hay đóng góp quan niệm gì thêm, mời bạn để lại phản hồi hoặc có thể liên hệ với chúng tôi. Xin chân tình cảm ơn bạn đã quan tâm!


Dùng thử tấn công DDOS bằng mẹo sync flood attack – ITSupport


ITSupport

In addition to looking at this article You can also see other useful information. Many more we provide here: See more knowledge here.

Dùng thử tấn công từ chối dịch vụ (SYN Flood, ACK Flood,…).


Sinh viên nhóm 10_Khóa D17_Bộ môn: Chuyên mục An ninh mạng.
00:00 Giới thiệu
00:30 SYN Flood
3:18 ACK Flood
5:05 ICMP Flood
6:28 HTTP Bài viết Attack
8:09 HTTP GET Attack
9:29 Tấn công DDOS
12:31 Phòng vệ & ngăn chặn SYN Flood
12:55 Phòng vệ & ngăn chặn ACK Flood
14:30 Phòng vệ & ngăn chặn ICMP Flood
15:17 Phòng vệ & ngăn chặn HTTP Attack
17:10 Nền tảng phòng chống & chặn bắt DDOS
21:35 Thiết lập Cloudflare cho Trang web

Demo tấn công từ chối dịch vụ (SYN Flood, ACK Flood,...).

Tấn công từ chối dịch vụ DDos là như vậy nào – Tập 7


Tấn công từ chối dịch vụ DDos là như thế nào - Tập 7

Tấn công từ chối dịch vụ thông qua giao thức SMB


Giao thức SMB phục vụ chia sẻ tài nguyên & điều khiển Tên miền trong môi trường Windows không những thế chứa đựng nhiều rủi ro bảo mật cực kỳ nghiêm trọng.
Bên cạnh những lỗ hổng điển dường như MS08067 hay MS17010 có thể phòng tránh được bằng các bản vá tương ứng thì vẫn còn những lỗi tồn đọng như SMBLoris mà Microsoft đã phát ngôn sẽ không fix.
SMBLoris là lỗ hổng cho phép hacker tấn công từ chối dịch vụ (DoS theo dạng chiếm hữu tài nguyên hệ thống) từ xa không cần xác thực, tác động đến chủ yếu các phiên bản Windows từ 2000 đến 10, SMB từ v1 đến v3 bất kì có đạng enable hay không. Thông tin cụ thể có tại: https://smbloris.com/
Hiện thời chưa có cách phòng chống hữu ích, các bí quyết chung có thể vận dụng là vô hiệu hóa hoàn toàn SMB còn nếu không sử dụng, đóng port hoặc không public port 445 ra mạng internet.
Itech
bảomậtmạng

VIỆN ĐÀO TẠO công nghệ thông tin QUỐC TẾ ITECH
Nhà cung cấp huấn luyện công nghệ thông tin bậc nhất tại VN
Địa chỉ: Nhà C, Số 290, Tây Sơn, Đống Đa, Hà Nội .
Thư điện tử: info@itech.edu.vn Smartphone: 024.666.222.76 / 09.666.222.76
Trang web: http://itech.edu.vn/
Fb: https://www.facebook.com/itech.edu.vn

Tấn công từ chối dịch vụ thông qua giao thức SMB

Tấn công từ chối dịch vụ với GoldenEye


Backlink github đẻ clone:
https://github.com/jseidl/GoldenEye

Tấn công từ chối dịch vụ với GoldenEye

In addition to looking at this article You can also see other useful information. Many more we provide here: See other waystips/

Thank you very much for viewing the bài viết topic. tấn công từ chối dịch vụ

Trả lời