An Ninh Mạng an ninh mang, hoc an ninh mang, network security, quan tri mang, bao mat, thu thuat, mang may tinh, he dieu hanh, tin hoc van phong, kien thuc quan tri mang, mang lan, mang wan DDoS là gì?
1.1 Khái niệm
DDoS (Distributed Denial of Service Attack) là nhiều máy tính hoặc nhiều hệ thống máy tính cùng yêu cầu tài nguyên trên máy đích làm cho máy đích không đủ tài nguyên để phục vụ, hậu quả là có thể treo (mất khả năng phục vụ) và khởi động lại.
Hacker thường tấn công từ chối dịch vụ thường nhắm vào các trang tin tức mạng hay máy chủ của các ngân hàng, cổng thanh toán thẻ tín dụng v.v.
Cách thực hiện: Hacker có thể lợi dụng các máy chủ Free Proxy trên thể giới hoặc sử dụng BOTNET để điều khiển của tấn công, hoặc viết các tools upload lên các diễn đàn để rồi các tools tự động gửi các yêu cầu tới các máy chủ cần tấn công.
1.2 Phân loại tấn công Ddos
1.2.1 Tấn công vào băng thông mạng
Trong phương pháp này kẻ tấn công điều khiển mạng lưới Agent đồng loạt gửi các gói tin ICMP hay UDP đến nạn nhân làm cho băng thông mạng của nạn nhân bị quá tải và không thể phục vụ được. Ví dụ như trong trường hợp ICMP flood, nạn nhân sẽ phải gửi trả lại các gói tin ICMP_REPLY tương ứng. Do số lượng của Agent gửi đến nạn nhân rất lớn nên việc gửi lại các gói ICMP_REPLY dẫn đến nghẽn mạng. Trong trường hợp UDP flood cũng tương tự.
Phương pháp tấn công này đặc biệt nguy hiểm do không những băng thông mạng của nạn nhân bị quá tải mà còn ảnh hưởng đến các mạng lân cận. Hiện nay, với sự phát triển của các công cụDdos, hầu hết đều hỗ trợ giả mạo địa chỉ IP.
1.2.2 Tấn công vào giao thức
Điển hình của phương pháp tấn công này là TCP SYN flood. Kẻ tấn công lợi dụng quá trình bắt tay 3 bước trong giao thức TCP. Kẻ tấn công liên tục khởi tạo kết nối TCP. Nạn nhân sẽ tiến hành gửi lại trả lời với SYN và ACK để chờ ACK từ phía máy khách. Tuy nhiên, kẻ tấn công sẽ không gửi ACK đến nạn nhân hay nói cách khác là sẽ không làm gì cả như quá trình bắt tay 3 bước. Cứ như vậy, nạn nhân sẽ tốn nhiều tài nguyên và bộ nhớ để chờ các phiên TCP. Do vậy nạn nhân sẽ không thể phục vụ được do tốn bộ nhớ đề chờ các kết nối ảo do kẻ tấn công khởi tạo.
1.2.3 Tấn công bằng những gói tin khác thường
Trong phương pháp này, kẻ tấn công dựa vào các điểm yếu của giao thức mạng. Ví dụ khi tấn công Ping of Death. Kẻ tấn công sẽ gửi một số gói tin ICMP có kích thước lớn hơn kích thước giới hạn. Gói tin sẽ bị chia nhỏ, khi nạn nhân ghép lại nhận thấy rằng là gói tin quá lớn để xử lý. Kết quả là, hệ thống không thể xử lý được tình trạng bất thường này và sẽ bị treo. Một trường hợp khác như tấn công Lan Attack. Kẻ tấn công sẽ gửi các gói tin TCP SYN có địa chỉ nguồn, địa chỉ đích và số cổng giống nhau. Nạn nhân sẽ liên tục khởi tạo và kết nối với chính nó. Do vậy hệ thống sẽ bị treo hoặc bị chậm lại.
1.2.4 Tấn công qua phần mềm trung gian
Trong phương pháp tấn công này, kẻ tấn công sẽ sử dụng một phần mềm hợp lệ trên máy nạn nhân. Khai thác một số thuật toán và tiến hành đưa tham số trong trường hợp xấu nhất. Do vậy, máynạn nhân sẽ phải xử lý quá trình này và có thể bị treo. Đây là phương pháp tấn công khá đơn giản nhưng lại có hiệu quả rất cao. Nhưng nguy hiểm hơn cả là kẻ tấn công đã đột nhập được vào máy nạn nhân để có thể ăn cắp các thông tin cá nhân của nạn nhân
2. Một số các công cụ tấn công dùng Proxy
Trinoo
Trinoo cho phép kẻ tấn công kiểm soát một số máy để yêu cầu gửi đồng loạt các gói tin UDP làm tê liệt mục tiêu. Master Trinoo có thể điều khiển các deamon trinoo như:
– Đồng loạt gửi các gói tin UDP
– Dừng việc gửi gói tin
– Thay đổi cấu hình của các deamon trinoo
Flood Network (TFN)
TFN là công cụ tấn công vào băng thông. TFN hỗ trợ tấn công các kỹ thuật ICMP flood, UD.2 Tribe P flood, TCP SYN flood. Hiên tại, TFN hỗ trợ việc giả mạo địa chỉ IP. Hoạt động hầu hết trên các hệ điều hành DDos.
Trinity
Có thể nói Trinity là công cụ nguy hiểm nhất. Nó có khả năng tấn công với hầu hết các kỹ thuật như UDP, SYN và một số dạng flood khác. Tuy nhiên nó còn có thể kết nối internet thông qua mạng Relay Chat (IRC) hoặc AOL’s ICQ. Trinity thường sử dụng các cổng 6667 và cũng có thể là 1 chương trình backdoor lắng nghe ở cổng 33270 qua kết nối TCP
Knight
Knight là một cộng cụ hoạt động trên hệ điều hành windows. Knight cung cấp các kỹ thuật tấn công như UDP flood, SYN flood. Và nó có thể tự động update thông qua các giao thức http hoặcftp. Knight được cài đặt sử dụng Trojan thông qua chương trình backdoor được gọi là Back Oifice. Knight được sử dụng trong mô hình IRC-Based
Kaiten
Kaiten chính là biến thể của Knight. Kaiten hỗ trợ các kỹ thuật tấn công như UDP flood, TCP flood, SYN. Có khả năng giả mạo địa chỉ IP. Kaiten cũng là công cụ được sử dụng trong mô hình IRC-Based
Và một số các công cụ khác.
– MASTER HTTP
-LOIC (sourceforge.net/projects/loic/)
-DDOS UDP
-DOS ProC5
-SYN-Flood-DOS
Tài liệu tham khảo:
http://www.hacking-tutorial.com/
http://vi.wikipedia.org/wiki/Tấn_công_từ_chối_dịch_vụ
Lượt xem (2744)
Bài viết liên quan:
SlowHTTPTest – Phần mềm mô phỏng tấn công DDoS 
Năm 2015, nhiều cuộc tấn công DDoS xuất phát từ Việt Nam? 
Tin tặc lợi dụng lỗ hổng Shellshock tấn công các máy chủ web 
Đánh giá bảo mật (Pentest) và các công cụ (Phần 1) 
Một số cách tấn công trong mạng và phần mềm hỗ trợ 
Đánh giá bảo mật (Pentest) và các công cụ (Phần 2) 
Công cụ loại bỏ phần mềm quảng cáo trên trình duyệt rất hiệu quả 
Cấu hình dịch vụ Neutron trong OpenStack #1 – LBaaS (Load-Balancing-as-a-Service)
Để lại bình luận: