Monday , 20 August 2018
Home » Tự học Quản trị mạng » Mạng cơ bản » Tấn công từ chối dịch vụ phân tán (DDOS) là gì?

Tấn công từ chối dịch vụ phân tán (DDOS) là gì?

 DDoS là gì?

1.1  Khái niệm

DDoS (Distributed Denial of Service Attack) là nhiều máy tính hoặc nhiều hệ thống máy tính cùng yêu cầu tài nguyên trên máy đích làm cho máy đích không đủ tài nguyên để phục vụ, hậu quả là có thể treo (mất khả năng phục vụ) và khởi động lại.

Hacker thường tấn công từ chối dịch vụ thường nhắm vào các trang tin tức mạng hay máy chủ của các ngân hàng, cổng thanh toán thẻ tín dụng v.v.

Tấn công DDOS

Cách thực hiện: Hacker có thể lợi dụng các máy chủ Free Proxy trên thể giới hoặc sử dụng BOTNET để điều khiển của tấn công, hoặc viết các tools upload lên các diễn đàn để rồi các tools tự động gửi các yêu cầu tới các máy chủ cần tấn công.

1.2  Phân loại tấn công Ddos

1.2.1 Tấn công vào băng thông mạng

Trong phương pháp này kẻ tấn công điều khiển mạng lưới Agent đồng loạt gửi các gói tin ICMP hay UDP đến nạn nhân làm cho băng thông mạng của nạn nhân bị quá tải và không thể phục vụ được. Ví dụ như trong trường hợp ICMP flood, nạn nhân sẽ phải gửi trả lại các gói tin ICMP_REPLY tương ứng. Do số lượng của Agent gửi đến nạn nhân rất lớn nên việc gửi lại các gói ICMP_REPLY dẫn đến nghẽn mạng. Trong trường hợp UDP flood cũng tương tự.

Phương pháp tấn công này đặc biệt nguy hiểm do không những băng thông mạng của nạn nhân bị quá tải mà còn ảnh hưởng đến các mạng lân cận. Hiện nay, với sự phát triển của các công cụDdos, hầu hết đều hỗ trợ giả mạo địa chỉ IP.

1.2.2 Tấn công vào giao thức

Điển hình của phương pháp tấn công này là TCP SYN flood. Kẻ tấn công lợi dụng quá trình bắt tay 3 bước trong giao thức TCP. Kẻ tấn công liên tục khởi tạo kết nối TCP. Nạn nhân sẽ tiến hành gửi lại trả lời với SYN và ACK để chờ ACK từ phía máy khách. Tuy nhiên, kẻ tấn công sẽ không gửi ACK đến nạn nhân hay nói cách khác là sẽ không làm gì cả như quá trình bắt tay 3 bước. Cứ như vậy, nạn nhân sẽ tốn nhiều tài nguyên và bộ nhớ để chờ các phiên TCP. Do vậy nạn nhân sẽ không thể phục vụ được do tốn bộ nhớ đề chờ các kết nối ảo do kẻ tấn công khởi tạo.

1.2.3 Tấn công bằng những gói tin khác thường

Trong phương pháp này, kẻ tấn công dựa vào các điểm yếu của giao thức mạng. Ví dụ khi tấn công Ping of Death. Kẻ tấn công sẽ gửi một số gói tin ICMP có kích thước lớn hơn kích thước giới hạn. Gói tin sẽ bị chia nhỏ, khi nạn nhân ghép lại nhận thấy rằng là gói tin quá lớn để xử lý. Kết quả là, hệ thống không thể xử lý được tình trạng bất thường này và sẽ bị treo. Một trường hợp khác như tấn công Lan Attack. Kẻ tấn công sẽ gửi các gói tin TCP SYN có địa chỉ nguồn, địa chỉ đích và số cổng giống nhau. Nạn nhân sẽ liên tục khởi tạo và kết nối với chính nó. Do vậy hệ thống sẽ bị treo hoặc bị chậm lại.

1.2.4 Tấn công qua phần mềm trung gian

Trong phương pháp tấn công này, kẻ tấn công sẽ sử dụng một phần mềm hợp lệ trên máy nạn nhân. Khai thác một số thuật toán và tiến hành đưa tham số trong trường hợp xấu nhất. Do vậy, máynạn nhân sẽ phải xử lý quá trình này và có thể bị treo. Đây là phương pháp tấn công khá đơn giản nhưng lại có hiệu quả rất cao. Nhưng nguy hiểm hơn cả là kẻ tấn công đã đột nhập được vào máy nạn nhân để có thể ăn cắp các thông tin cá nhân của nạn nhân

2. Một số các công cụ tấn công dùng Proxy

 Trinoo

Trinoo cho phép kẻ tấn công kiểm soát một số máy để yêu cầu gửi đồng loạt các gói tin UDP làm tê liệt mục tiêu. Master Trinoo có thể điều khiển các deamon trinoo như:

– Đồng loạt gửi các gói tin UDP

– Dừng việc gửi gói tin

– Thay đổi cấu hình của các deamon trinoo

Flood Network (TFN)

TFN là công cụ tấn công vào băng thông. TFN hỗ trợ tấn công các kỹ thuật ICMP flood, UD.2 Tribe P flood, TCP SYN flood. Hiên tại, TFN hỗ trợ việc giả mạo địa chỉ IP. Hoạt động hầu hết trên các hệ điều hành DDos.

Trinity

Có thể nói Trinity là công cụ nguy hiểm nhất. Nó có khả năng tấn công với hầu hết các kỹ thuật như UDP, SYN và một số dạng flood khác. Tuy nhiên nó còn có thể kết nối internet thông qua mạng Relay Chat (IRC) hoặc AOL’s ICQ. Trinity thường sử dụng các cổng 6667 và cũng có thể là 1 chương trình backdoor lắng nghe ở cổng 33270 qua kết nối TCP

Knight

Knight là một cộng cụ hoạt động trên hệ điều hành windows. Knight cung cấp các kỹ thuật tấn công như UDP flood, SYN flood. Và nó có thể tự động update thông qua các giao thức http hoặcftp. Knight được cài đặt sử dụng Trojan thông qua chương trình backdoor được gọi là Back Oifice. Knight được sử dụng trong mô hình IRC-Based

Kaiten

Kaiten chính là biến thể của Knight. Kaiten hỗ trợ các kỹ thuật tấn công như UDP flood, TCP flood, SYN. Có khả năng giả mạo địa chỉ IP. Kaiten cũng là công cụ được sử dụng trong mô hình IRC-Based

Và một số các công cụ khác.

– MASTER HTTP

Công cụ DDOS

-LOIC (sourceforge.net/projects/loic/)

DDOS IOIC

-DDOS UDP

-DOS ProC5

-SYN-Flood-DOS

Tài liệu tham khảo:
http://www.hacking-tutorial.com/

http://vi.wikipedia.org/wiki/Tấn_công_từ_chối_dịch_vụ

 

 

Lượt xem (2264)

About Nguyễn Thanh Sơn

Nguyễn Thanh Sơn
Network Security, Web Design, Computer Science

Xem thêm

Cấu hình đầu tiên trên thiết bị Juniper

I. Cấu hình cơ bản: 1.1 Cấu hình password root: set system root-authentication plain-text-password New …

Để lại bình luận:

Loading Facebook Comments ...

Leave a Reply

Your email address will not be published. Required fields are marked *