Welcome to Scribd, the world's digital library. Read, publish, and share books and documents. See more
Download
Standard view
Full view
of .
Look up keyword
Like this
4Activity
0 of .
Results for:
No results containing your search query
P. 1
Tim Hieu Tan Cong Tu Choi Dich Vu DoS DDoS DRDoS

Tim Hieu Tan Cong Tu Choi Dich Vu DoS DDoS DRDoS

Ratings: (0)|Views: 506 |Likes:
Published by heocon240995

More info:

Published by: heocon240995 on Sep 23, 2010
Copyright:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as PDF, TXT or read online from Scribd
See more
See less

07/08/2013

pdf

text

original

 
TÌM HIỂU TẤN CÔNG TỪ CHỐI DỊCH VỤ DoS, DDoS, DRDoS1. Giới thiệu chung
-1998 Chương trình Trinoo Distributed Denial of Service (DDoS) được viết bởiPhifli.-Tháng 5 – 1999 Trang chủ của FBI đã ngừng họat động vì cuộc tấn công bằng(DDOS)-Tháng 6 – 1999 Mạng Trinoo đã được cài đặt và kiểm tra trên hơn 2000 hệ thống.-Cuối tháng 8 đầu tháng 9 m 1999, Tribal Flood Network đầu tin ra đời,Chương trình được Mixter Phát triển.-Cuối tháng 9 năm 1999, Công cụ Stacheldraht đã bắt đầu xuất hiện trên những hthống của Châu âu và Hoa kỳ.-Ngày 21 tháng 10 năm 1999 David Dittrich thuộc trường đại học Washington đãlàm những phân tích về công cụ tấn công từ chối dịch vụ-Ngày 21 tháng 12 năm 1999 Mixter phát nh Tribe Flood Network 2000( TFN2K ).
-
10 : 30 / 7 – 2 -2000 Yahoo bị tấn công từ chối dịch vụ và ngưng trệ hoạt độngtrong vòng 3 giờ đồng hồ. Web site Mail Yahoo và GeoCities đã bị tấn công từ 50địa chỉ IP khác nhau với nhửng yêu cầu chuyễn vận lên đến 1 gigabit /s.-8 -2 nhiều Web site lớn như Buy.com, Amazon.com, eBay, Datek, MSN, CNN.com bị tấn công từ chối dịch vụ.-Lúc 7 giờ tối ngày 9-2/2000 Website Excite.com là cái đích của một vụ tấn côngtừ chối dịch vụ, dữ liệu được luân chuyễn tới tấp trong vòng 1 giờ cho đến khi kếtthúc, và gói dữ liệu đó đã hư hỏng nặng. Ngày 23/10/2003, hàng chục server chủ chốt duy trì hoạt động của internet bị gián đoạnhoạt động do các cuộc tấn công “từ chối dịch vụ - DDoS” hàng loạt. Hai năm trước đó,hàng loạt các website thương mại điện tử lớn như eBays, Amazone, Yahoo,… cũng bịnhiều thiệt hại nghiêm trọng và làm gián đoạn nhiều hoạt động trên internet một thời giancũng bởi các cuộc tấn công “từ chối dịch vụ”. Vậy tấn công từ chối dịch vụ là gì?Về cơ bản, tấn công từ chối dịch vụ chỉ là tên gọi chung của cách tấn công làm cho mộthệ thống nào đó bị quá tải không thể cung cấp dịch vụ, hoặc phải ngưng hoạt động. Tấncông kiểu này chỉ làm gián đoạn hoạt động của hệ thống chứ rất ít có khả năng thâm nhậphay chiếm được thông tin dữ liệu của nó.Tùy theo phương thức thực hiện mà nó được biết dưới nhiều tên gọi khác nhau. Khởithủy là lợi dụng sự yếu kém của giao thức TCP (Transmision Control Protocol) để thựchiện tấn công từ chối dịch vụ cổ điển DoS (Denial of Service), sau đó là tấn công từ chốidịch vụ phân tán DDoS (Distributed Denial of Service) và mới nhất là tấn công từ chốidịch vụ theo phương pháp phản xạ DRDoS (Distributed Reflection Denial of Service).Theo thời gian, xuất hiện nhiều biến thể tấn công DoS như: Broadcast Storms, SYN,Finger, Ping, Flooding,… với mục tiêu nhằm chiếm dụng các tài nguyên của hệ thống(máy chủ) như: Bandwidth, Kernel Table, Swap Space, Cache, Hardisk, RAM, CPU,…
Tấn công từ chối dịch vụ DoS, DDoS, DRDoS (Version 1.0, 2003)
Ng. Ng. Thanh Nghị Email: diemxua_hva@yahoo.com
 
làm hoạt động của hệ thống bị quá tải dẫn đến không thể đáp ứng được các yêu cầu(request) hợp lệ nữa. Như đã nói, tấn công DoS nói chung không nguy hiểm như các kiểu tấn công khác ở chỗnó không cho phép kẻ tấn công chiếm quyền truy cập hệ thống hay có quyền thay đổi hệthống. Tuy nhiên, nếu một máy chủ tồn tại mà không thể cung cấp thông tin, dịch vụ chongười sử dụng, sự tồn tại là không có ý nghĩa nên thiệt hại do các cuộc tấn công DoS domáy chủ bị đình trệ hoạt động là vô cùng lớn, đặc biệt là các hệ thống phụ vụ các giaodịch điện tử. Đối với các hệ thống máy chủ được bảo mật tốt, rất khó để thâm nhập vàothì tấn công từ chối dịch vụ được các hacker sử dụng như là “cú chót” để triệt hạ hệ thốngđó. Các loại tấn công từ chối dịch vụ tiêu biểu:
2. Tấn công từ chối dịch vụ cổ điển DoS (Denial of Service)
Là phương thức xuất hiện đầu tiên, giản đơn nhất trong kiểu tấn công từ chối dịch vụ.Các kiểu tấn công thuộc phương thức này rất đa dạng:
2.1. SYN Attack 
Được xem là một trong những kiểu tấn công DoS kinh điển nhất. Lợi dụng sơ hở của thủtục TCP khi “bắt tay ba chiều”, mỗi khi client (máy khách) muốn thực hiện kết nối(connection) với server (máy chủ) thì nó thực hiện việc bắt tay ba lần (three – wayshandshake) thông qua các gói tin (packet).
-
Bước 1: Client (máy khách) sẽ gửi các gói tin (packet chứa SYN=1) đến máy chủđể yêu cầu kết nối.
-
Bước 2: Khi nhận được gói tin này, server sẽ gửi lại gói tin SYN/ACK để thông báo cho client biết là nó đã nhận được yêu cầu kết nối và chuẩn bị tài nguyên choviệc yêu cầu này. Server sẽ giành một phần tài nguyên hệ thống như bộ nhớ đệm(cache) để nhận và truyền dữ liệu. Ngoài ra, các thông tin khác của client như địachỉ IP và cổng (port) cũng được ghi nhận.
-
Bước 3: Cuối cùng, client hoàn tất việc bắt tay ba lần bằng cách hồi âm lại gói tinchứa ACK cho server và tiến hành kết nối.Do TCP là thủ tục tin cậy trong việc giao nhận (end-to-end) nên trong lần bắt tay thứ hai,server gửi các gói tin SYN/ACK trả lời lại client mà không nhận lại được hồi âm của
Tấn công từ chối dịch vụ DoS, DDoS, DRDoS (Version 1.0, 2003)
Ng. Ng. Thanh Nghị Email: diemxua_hva@yahoo.com
 
client để thực hiện kết nối thì nó vẫn bảo lưu nguồn tài nguyên chuẩn bị kết nối đó và lậplại việc gửi gói tin SYN/ACK cho client đến khi nào nhận được hồi đáp của máy client.Điểm mấu chốt là ở đây là làm cho client không hồi đáp cho Server. Và có hàng nhiều,nhiều client như thế trong khi server vẫn “ngây thơ” lặp lại việc gửi packet đó và giànhtài nguyên để chờ “người về” trong lúc tài nguyên của hệ thống là có giới hạn! Cáchacker tấn công sẽ tìm cách để đạt đến giới hạn đó. Nếu quá trình đó kéo dài, server sẽ nhanh chóng trở nên quá tải, dẫn đến tình trạng crash(treo) nên các yêu cầu hợp lệ sẽ bị từ chối không thể đáp ứng được. Có thể hình dung quátrình này cũng giống như khi máy tính cá nhân (PC) hay bị “treo” khi mở cùng lúc quánhiều chương trình cùng lúc vậy .Thường, để giả địa chỉ IP gói tin, các hacker có thể dùng Raw Sockets (không phải góitin TCP hay UDP) để làm giả mạo hay ghi đè giả lên IP gốc của gói tin. Khi một gói tinSYN với IP giả mạo được gửi đến server, nó cũng như bao gói tin khác, vẫn hợp lệ đốivới server và server sẽ cấp vùng tài nguyên cho đường truyền này, đồng thời ghi nhậntoàn bộ thông tin và gửi gói SYN/ACK ngược lại cho Client. Vì địa chỉ IP của client làgiả mạo nên sẽ không có client nào nhận được SYN/ACK packet này để hồi đáp cho máychủ. Sau một thời gian không nhận được gói tin ACK từ client, server nghĩ rằng gói tin bịthất lạc nên lại tiếp tục gửi tiếp SYN/ACK, cứ như thế, các kết nối (connections) tiếp tụcmở. Nếu như kẻ tấn công tiếp tục gửi nhiều gói tin SYN đến server thì cuối cùng server đãkhông thể tiếp nhận thêm kết nối nào nữa, dù đó là các yêu cầu kết nối hợp lệ. Việckhông thể phục nữa cũng đồng nghĩa với việc máy chủ không tồn tại. Việc này cũngđồng nghĩa với xảy ra nhiều tổn thất do ngưng trệ hoạt động, đặc biệt là trong các giaodịch thương mại điện tử trực tuyến.Đây không phải là kiểu tấn công bằng đường truyền cao, bởi vì chỉ cần một máy tính nốiinternet qua ngã dial-up đơn giản cũng có thể tấn công kiểu này (tất nhiên sẽ lâu hơnchút).
2.2. Flood Attack 
Tấn công từ chối dịch vụ DoS, DDoS, DRDoS (Version 1.0, 2003)
Ng. Ng. Thanh Nghị Email: diemxua_hva@yahoo.com

Activity (4)

You've already reviewed this. Edit your review.
1 hundred reads
1 thousand reads
Vũ Trọng Trí liked this
Zet Man liked this

You're Reading a Free Preview

Download
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->