Tấn Công Ddos

..:: - Các kỹ huậ ấn công Webs e: DoS, DDoS, DRDoS & Bo ne ::..
Mục Lục
Mục Lục ........................................................................................................................................................ 0

L
I - Tấ cô g từ chố dịch vụ (DoS): .............................................................................................................. 2

I.1 - G ớ th ệ về DoS 2
I.2 - Lịch sử các c ộc tấ cô g và phát tr ể của DoS 2
I.3 - Mục ích của tấ cô g DoS và h ểm họa 4
I.4 - Các hì h thức tấ cô g DoS cơ bả : 5
4.a - Smurf : .......................................................................................................................................... 5

4.b - Buffer Overflow Attack : .............................................................................................................. 5
4. c - Ping of death : .............................................................................................................................. 6
4.d - Teardrop : ..................................................................................................................................... 7
4.e - SYN Attack: .................................................................................................................................. 7
II - Tấ cô g từ chố dịch vụ phâ tá (DDoS) : ........................................................................................ 10
II.1 - G ớ th ệ DDoS : 10
II.2 - Các ặc tí h của tấ cô g DDoS: 12
II.3 - Tấ cô g DDoS khô g thể gă chặ hoà toà : 13
II.4 - Kẻ tấ cô g khô goa : 13
4.a - Agent Handler Model: ................................................................................................................ 13

4.b - Tấ cô g DDoS dựa trê ề tả g IRC: ..................................................................................... 14
II.5 - Phâ loạ tấ cô g DDoS: 14
II.6 - Tấ cô g Reflect ve DNS (reflect ve - phả ch ế ): 16
6.a - Các vấ ề l ê q a tớ tấ cô g Reflect ve DNS:.................................................................... 16

6.b - Tool tấ cô g Reflect ve DNS – ihateperl.pl:............................................................................. 17
II.7 - Các tools sử dụ g ể tấ cô g DDoS: 17
III - DRDoS (Distributed Reflection Denial of Service) ............................................................................ 17

III.1 – G ớ th ệ DRDOS. 18
III.2 - Cách Phò g chố g : 19
0
Báo cáo : n o n hông n ng – JCAlex Min
2.a - Tố th ể h a số lượ g Age t: .................................................................................................... 20

2.b - Tìm và vô h ệ h a các Ha dler: ................................................................................................ 20
2.c - Phát h ệ dấ h ệ của một c ộc tấ cô g: ................................................................................. 21
2.d - Làm s y g àm hay dừ g c ộc tấ cô g: ..................................................................................... 21
2.e - Ch yể hướ g của c ộc tấ cô g: .............................................................................................. 22
2.f - G a oạ sa tấ cô g: ............................................................................................................... 22
2.g - Phò g chố g tổ g q át : ............................................................................................................. 22
IV – Botnet.................................................................................................................................................. 23
IV.1 - G ớ th ệ về Bot và Bot et 23
1.a - Bot là gì ? .................................................................................................................................... 24

1.b - Tạ sao gọ là mạ g bot et ? ....................................................................................................... 24
1.c - IRC .............................................................................................................................................. 24
IV.2 - Bot và các ứ g dụ g của chú g 25
2.a - DDoS .......................................................................................................................................... 26

2.b - Spamm g (phát tá thư rác) ...................................................................................................... 26
2.c - Sniffing và Keylogging ............................................................................................................... 27
2.d - Ă cắp hậ dạ g ....................................................................................................................... 27
2.e - Sở hữ ph mềm bất hợp pháp.................................................................................................. 27
IV.3 - Các k ể bot khác ha 27
3.a - GT-Bot ........................................................................................................................................ 28

3.b - Agobot ........................................................................................................................................ 28
3.c - DSNX.......................................................................................................................................... 28
IV.4 - Các yế tố của một c ộc tấ cô g. 28
IV.5 - Cách phò g chố g Bot et: 33
5.a - Th ê một dịch vụ lọc Web .......................................................................................................... 33

5.b - Ch yể ổ trì h d yệt ............................................................................................................... 33
5.c - Vô h ệ h a các kịch bả ............................................................................................................ 33
5.d - Tr ể kha các hệ thô g phát h ệ xâm phạm và gă chặ xâm phạm ..................................... 34
5.e - Bảo vệ ộ d g ược tạo bở gư dù g .................................................................................. 34
5.f - Sử dụ g cô g cụ ph mềm ........................................................................................................ 34
V – Kết L ậ :............................................................................................................................................. 35
VI – Tà L ệ Tham Khảo .......................................................................................................................... 35
1
I–L :
- chào toà thể a h em tro g Hack g ch g và Ha ds Team r ê g tô
là CAlex M – Leader of Ha ds Team và hoạt ộ g tro g Hack g ược hơ ăm
tro g hơ ăm tô gh ê cứ về DDos và Bot et và c g c một số k ế thức về mả g
ày ê hôm ay tô v ết lạ book ày h m ma g lạ và c g hư ch a sẻ hữ g k ế
thức cơ bả mà tô c ược cho các bạ mớ vào và c g hư các bạ tìm lạ k ế thức cơ
bả cho mì h. Tô khô g hậ là mì h pro hay g về mả g ày hư g tô b ết gì thì
tr yề ạt lạ vớ các bạ mo g các bạ ủ g hộ và g p cù g tô ể tô hoà th ệ k ế
thức cho mì h và s v ết thêm một và book â g cao hơ ch yê sâ hơ cho các bạ
khác mớ vào tìm h ể về DDos và Bot et.
- book ày là báo cáo của tô ( hư một bà test k ế thức ) về A Toà Thô g

T Mạ g vớ ề tà : Các k th ật tấ cô g Webs te: DoS, DDoS, DRDoS & Botnet ể bắt
làm v ệc bê l h vực A N h Mạ g.
- Bây g m các bạ cù g tô tìm h ể về các k th ật tấ cô g Webs te: DoS,

DDoS, DRDoS & Botnet xem g y h ểm và cách phò g chố g hư thế ào.
I - Tấ cô g từ chố dịch vụ (DoS):

I.1 - G ớ th ệ về DoS
- Tấ cô g DoS là một k ể tấ cô g mà một gư làm cho một hệ thố g khô g
thể sử dụ g hoặc làm cho hệ thố g chậm một cách á g kể vớ gư dù g
bì h thư g b g cách làm q á tả tà g yê của hệ thố g .
- Nế kẻ tấ cô g khô g c khả ă g thâm hập ược vào hệ thố g thì chú g cố

gắ g tìm cách làm cho hệ thố g sụp ổ và khô g c khả ă g phục vụ gư dù g
bì h thư g là tấ cô g De al of Serv ce (DoS).
- Mặc dù tấ cô g DoS khô g c khả ă g tr y cập vào dữ l ệ thực của hệ thố g

hư g c thể làm g á oạ các dịch vụ mà hệ thố g c g cấp. Như ị h gh a
trê DoS kh tấ cô g vào một hệ thố g s kha thác hữ g cá yế hất của hệ thố g
ể tấ cô g hữ g mục ích của tấ cô g DoS
I.2 - Lịch sử các c ộc tấ cô g và phát tr ể của DoS

- Các tấ cô g DoS bắt vào khoả g hữ g ăm 90. Đ tê chú g hoà
toà “ g yê thủy” bao gồm chỉ một kẻ tấ cô g kha thác bă g thô g tố a từ ạ
hâ gă hữ g gư khác ược phục vụ. Đ ề ày ược thực h ệ chủ yế b g
2
cách dù g các phươ g pháp ơ g ả hư ping floods, SYN floods và UDP floods.
Sa các c ộc tấ cô g trở ê phức tạp hơ b g cách g ả làm ạ hâ gử và
thô g ệp và ể các máy khác làm gập máy ạ hâ vớ các thô g ệp trả l .
(Sm rf attack IP spoof g…).
- Các tấ cô g ày phả ược ồ g bộ hoá một cách thủ cô g bở h ề kẻ tấ

cô g ể tạo ra một sự phá h ỷ c h ệ q ả. Sự dịch ch yể ế v ệc tự ộ g hoá sự
ồ g bộ kết hợp ày và tạo ra một tấ cô g so g so g lớ trở ê phổ b ế từ 1997
vớ sự ra của cô g cụ tấ cô g DDoS tê ược cô g bố rộ g rã là
Tr oo. N dựa trê tấ cô g UDP flood và các g ao t ếp master-slave (kh ế các máy
tr g g a tham g a vào tro g c ộc tấ cô g b g cách ặt lê chú g các chươ g
trì h ược ề kh ể từ xa). Tro g hữ g ăm t ếp theo và cô g cụ ữa ược phổ
b ế – TFN (tribe flood network), TFN2K, vaf Stacheldraht.
-T y hê chỉ từ c ố ăm 1999 mớ c hữ g báo cáo về hữ g tấ cô g hư

vậy và ề tà ày ược cô g chú g b ết ế chỉ sa kh một c ộc tấ cô g lớ vào
các site cô g cộ g thá g 2/2000. Tro g th ga gày các s te Yahoo.com
amazo .com b y.com c .com và eBay.com ã ặt dướ sự tấ cô g (ví dụ hư
Yahoo bị p g vớ tốc ộ 1 GB/s).
Từ các c ộc tấ cô g Dos thư g x yê sảy ra
Ví dụ : - Vào gày 15 thá g 8 ăm 200 M crosoft ã chị ợt tấ cô g DoS cực

mạ h và làm g á oạ webs tes tro g vò g 2 g ;
- Vào lúc 15:09 g GMT gày 27 thá g ăm 200 : toà bộ ph ê bả

t ế g a h của webs te Al- azeera bị tấ cô g làm g á oạ tro g h ề g .
-G ây hất là 2 vụ DDos lớ vào các tra g mạ g ô g gư tr y cập

ở V ệt Nam là: DDos vào VCCrop gây chấ ộ ga h mạ g ở V ệt Nam tro g
th ga g ây hacker phá hoạ server gây l data ce ter hà g loạt webs te báo
mạ g hư: Dâ trí, Kênh 14, Soha v.v.v ( chưa tìm ra thủ phạm ) và vụ thứ 2 là
DDos vào d à cô g ghệ thô g t VN- oom vào lúc 19 g gày 2 /10/201 (
do CAlex M thực h ệ )
3
I.3 - Mục ích của tấ cô g DoS và h ểm họa

- Cố gắ g ch ếm bă g thô g mạ g và làm hệ thố g mạ g bị gập (Flood) kh
hệ thố g mạ g s khô g c khả ă g áp ứ g hữ g dịch vụ khác cho gư dù g
bì h thư g.
- Cố gắ g làm gắt kết ố g ữa ha máy và gă chặ q á trì h tr y cập vào

dịch vụ.
- Cố gắ g gă chặ hữ g gư dù g cụ thể vào một dịch vụ ào
- Cố gắ g gă chặ các dịch vụ khô g cho gư khác c khả ă g tr y cập vào.
- Kh tấ cô g DoS xảy ra gư dù g c cảm g ác kh tr y cập vào dịch vụ

hư bị:
+ Disable Network - Tắt mạ g
+ Disable Organization - Tổ chức khô g hoạt ộ g
+ Financial Loss – Tà chí h bị mất
- Như chú g ta b ết ở bê trê tấ cô g DoS xảy ra kh kẻ tấ cô g sử dụ g hết tà

g yê của hệ thố g và hệ thố g khô g thể áp ứ g cho gư dù g bì h thư g
ược vậy các tà g yê chú g thư g sử dụ g ể tấ cô g là gì:
- Tạo ra sự kha h ếm hữ g g ớ hạ và khô g ổ mớ tà g yê
- Bă g thô g của hệ thố g mạ g (Network Ba dw dth) bộ hớ ổ a và CPU

T me hay cấ trúc dữ l ệ ề là mục t ê của tấ cô g DoS.
- Tấ cô g vào hệ thố g khác phục vụ cho mạ g máy tí h hư: hệ thố g ề hoà

hệ thố g ệ hệt hố g làm mát và h ề tà g yê khác của doa h gh ệp. Bạ thử
tưở g tượ g kh g ồ ệ vào máy chủ web bị gắt thì gư dù g c thể tr y cập
vào máy chủ khô g.
- Phá hoạ hoặc thay ổ các thô g t cấ hì h.
4
- Phá hoạ t g vật l hoặc các th ết bị mạ g hư g ồ ệ ề hoà…
I.4 - Các hì h thức tấ cô g DoS cơ bả :

 - Smurf
 - Buffer Overflow Attack
 - Ping of death
 - Teardrop
 - SYN Attack
4.a - Smurf :
- Sm rf : là một loạ tấ cô g DoS ể hì h. Máy của attacker s gở rất h ề lệ h p g
ế một số lượ g lớ máy tí h tro g một th ga gắ tro g ịa chỉ IP g ồ của
g ICMP echo s ược thay thế bở ịa chỉ IP của ạ hâ Các máy tí h ày s trả lạ
các g ICMP reply ế máy ạ hâ .
- Kết q ả ích tấ cô g s phả chị hậ một ợt Reply g ICMP cực lớ và làm cho
mạ g bị rớt hoặc bị chậm lạ khô g c khả ă g áp ứ g các dịch vụ khác.
4.b - Buffer Overflow Attack :
5
- B ffer Overflow xảy ra tạ bất kỳ th ểm ào c chươ g trì h gh lượ g thô g t lớ

hơ d g lượ g của bộ hớ ệm tro g bộ hớ.
- Kẻ tấ cô g c thể gh è lê dữ l ệ và ề kh ể chạy các chươ g trì h và á h cắp

q yề ề kh ể của một số chươ g trì h h m thực th các oạ mã g y h ểm.
- Q á trì h gử một bức thư ệ tử mà f le í h kèm dà q á 25 k tự c thể s xảy ra

q á trì h trà bộ hớ ệm.
4. c - Ping of death :
- Kẻ tấ cô g gử hữ g g t IP lớ hơ số lươ g bytes cho phép của t IP là 5.5
bytes.
- Q á trì h ch a h g t IP thà h hữ g ph h ược thực h ệ ở layer II.
- Q á trì h ch a h c thể thực h ệ vớ g IP lớ hơ 5.5 bytes. Như g hệ ề
6
hà h khô g thể hậ b ết ược ộ lớ của g t ày và s bị khở ộ g lạ hay ơ g ả

là s bị g á oạ g ao t ếp.
- Để hậ b ết kẻ tấ cô g gử g t lớ hơ g t cho phép thì tươ g ố d dà g.
VD : Ping -l 65500 address
– -l : buffer size
Khoả g ăm 1997-1998 l ãy ã ược f x vì vậy bây g chỉ ma g tí h lịch sử.
4.d - Teardrop :
 Tro g mạ g ch yể mạch g dữ l ệ ược ch a thà h h ề g t h m g t c
một g á trị offset r ê g và c thể tr yề theo h ề co ư g khác ha ể tớ ích.
Tạ ích h vào g á trị offset của từ g g t mà dữ l ệ lạ ược kết hợp lạ hư ba
.
 Lợ dụ g ề ày hacker c thể tạo ra h ề g t c g á trị offset trù g lặp ha gử

ế mục t ê m ố tấ cô g
 Kết q ả là máy tí h ích khô g thể sắp xếp ược hữ g g t ày và dẫ tớ bị treo máy
vì bị "vắt k ệt" khả ă g xử l .
4.e - SYN Attack:

- Kẻ tấ cô g gử các yê c (req est ảo) TCP SYN tớ máy chủ bị tấ cô g. Để xử l
lượ g g t SYN ày hệ thố g c tố một lượ g bộ hớ cho kết ố .
- Kh c rất h ề g SYN ảo tớ máy chủ và ch ếm hết các yê c xử l của máy chủ.

Một gư dù g bì h thư g kết ố tớ máy chủ ba thực h ệ Req est TCP SYN
và lúc ày máy chủ khô g cò khả ă g áp lạ - kết ố khô g ược thực h ệ .
7
Mô hì h tấ cô g b g các gói SYN
8
Bước 1: Cl e t (máy khách) s gử các g t (packet chứa SYN=1) ế máy chủ ể yê

c kết ố .
Bước 2: Kh hậ ược g t ày server s gử lạ g t SYN/ACK ể thô g báo cho

cl e t b ết là ã hậ ược yê c kết ố và ch ẩ bị tà g yê cho v ệc yê c ày.
Server s g à h một ph tà g yê hệ thố g hư bộ hớ ệm (cache) ể hậ và tr yề dữ l ệ .
Ngoà ra các thô g t khác của cl e t hư ịa chỉ IP và cổ g (port) c g ược gh hậ .
Bước 3: C ố cù g cl e t hoà tất v ệc bắt tay ba l b g cách hồ âm lạ g t chứa

ACK cho server và t ế hà h kết ố .
- Do TCP là thủ tục t cậy tro g v ệc g ao hậ (e d-to-e d) ê tro g l bắt tay thứ
ha server gử các g t SYN/ACK trả l lạ cl e t mà khô g hậ lạ ược hồ âm của cl e t
ể thực h ệ kết ố thì vẫ bảo lư g ồ tà g yê ch ẩ bị kết ố và lặp lạ v ệc gử
g t SYN/ACK cho cl e t ế kh ào hậ ược hồ áp của máy cl e t.
9
- Nế q á trì h kéo dà server s ha h ch g trở ê q á tả dẫ ế tì h trạ g

crash (treo) ê các yê c hợp lệ s bị từ chố khô g thể áp ứ g ược. C thể hì h d gq á
trì h ày c g g ố g hư kh máy tí h cá hâ (PC) hay bị “treo” kh mở cù g lúc q á h ề
chươ g trì h cù g lúc vậy .
II - Tấ cô g từ chố dịch vụ phâ tá (DDoS) :

II.1 - G ớ th ệ DDoS :
10
Trê I ter et tấ cô g Distributed Denial of Service (DDoS) hay cò gọ là Tấ cô g

từ chố dịch vụ phâ tá là một dạ g tấ cô g từ h ề máy tí h tớ một ích gây ra từ chố
các yê c hợp lệ của các ser bì h thư g. B g cách tạo ra hữ g g t cực h ề ế một
ích cụ thể c thể gây tì h trạ g tươ g tự hư hệ thố g bị sh tdow .
11
Nhìn chung, có rất h ề b ế thể của kỹ th ật tấ cô g DDoS hư g ế hì dướ g c

ộ ch yê mô thì c thể ch a các b ế thề ày thà h ha loạ dựa trê mụch ích tấ cô g:
 Làm cạ k ệt bă g thô g.
 Làm cạ k ệt tà g yê hệ thố g.
Một c ộc tấ cô g từ chố dịch vụ c thể bao gồm cả v ệc thực th malware h m:
 Làm q á tả ă g lực xử l dẫ ế hệ thố g khô g thể thực th bất kì một cô g

v ệc ào khác.
 Nhữ g l gọ tức thì tro g m crocode của máy tí h.
 Nhữ g l gọ tức thì tro g ch chỉ thị dẫ ế máy tí h rơ vào trạ g thá hoạt
ộ g khô g ổ ị h hoặc bị ơ.
 Nhữ g l c thể kha thác ược ở hệ ề hà h dẫ ế v ệc th ế thố tà g yê
hoặc bị thrash g. VD: hư sử dụ g tất cả các ă g lực c sẵ dẫ ế khô g một
cô g v ệc thực tế ào c thể hoà thà h ược.
 Gây crash hệ thố g.
 Tấ cô g từ chố dịch vụ Frame: tro g một tra g HTML c thể gọ ế một tra g
web ào vớ rất h ề yê c và tro g rất h ề l cho ế kh bă g thô g của
tra g web bị q á hạ .
II.2 - Các ặc tí h của tấ cô g DDoS:

-N ược tấ cô g từ một hệ thố g các máy tí h cực lớ trê I ter et và thư g
dựa vào các dịch vụ c sẵ trê các máy tí h tro g mạ g bot et
- Các dịch vụ tấ cô g ược ề kh ể từ hữ g "pr mary v ct m" tro g kh các

máy tí h bị ch ếm q yề sử dụ g tro g mạ g Bot ược sử dụ g ể tấ cô g thư g ược
gọ là "seco dary v ct ms".
- Là dạ g tấ cô g rất kh c thể phát h ệ bở tấ cô g ày ược s h ra từ h ề

ịa chỉ IP trê I ter et.
- Nế một ịa chỉ IP tấ cô g một cô g ty c thể ược chặ bở F rewall. Nế

từ 0.000 ịa chỉ IP khác thì ề ày là vô cù g kh khă .
12
- Thủ phạm c thể gây h ề ả h hưở g bở tấ cô g từ chố dịch vụ DoS và ề

ày cà g g y h ểm hơ kh chú g sử dụ g một hệ thố g mạ g Bot trê ter et thực
h ệ tấ cô g DoS và ược gọ là tấ cô g DDoS.
II.3 - Tấ cô g DDoS khô g thể gă chặ hoà toà :

- Các dạ g tấ cô g DDoS thực h ệ tìm k ếm các l hổ g bảo mật trê các máy
tí h kết ố tớ I ter et và kha thác các l hổ g bảo mật ể xây dự g mạ g Bot et gồm
h ề máy tí h kết ố tớ I ter et.
- Một tấ cô g DDoS ược thực h ệ s rất kh ể gă chặ hoà toà .
- Nhữ g g t ế F rewall c thể chặ lạ hư g h hết chú g ề ế từ

hữ g ịa chỉ IP chưa c tro g các Access R le của F rewall và là hữ g g t hoàn
toà hợp lệ.
- Nế ịa chỉ g ồ của g t c thể bị g ả mạo sa kh bạ khô g hậ ược sự

phả hồ từ hữ g ịa chỉ g ồ thật thì bạ c phả thực h ệ cấm g ao t ếp vớ ịa chỉ
g ồ .
- T y h ê một mạ g Bot et bao gồm từ hà g ghì tớ và trăm ghì ịa chỉ IP

trê I ter et và ề là vô cù g kh khă ể gă chặ tấ cô g.
II.4 - Kẻ tấ cô g khô goa :

G ây khô g một kẻ tấ cô g ào sử dụ g l ô ịa chỉ IP ể ề kh ể mạ g
Bot et tấ cô g tớ ích mà chú g thư g sử dụ g một ố tượ g tr g g a dướ ây là
hữ g mô hì h tấ cô g DDoS
4.a - Agent Handler Model:

Kẻ tấ cô g sử dụ g các ha dler ể ề kh ể tấ cô g
13
4.b - Tấ cô g DDoS dựa trê ề tả g IRC:

Kẻ tấ cô g sử dụ g các mạ g IRC ể ề kh ể kh yếch ạ và q ả l kết ố
vớ các máy tí h tro g mạ g Bot et.
II.5 - Phâ loạ tấ cô g DDoS:

- Tấ cô g gây hết bă g thô g tr y cập tớ máy chủ.
+ Flood attack
+ UDP và ICMP Flood (flood – gây gập lụt)
- Tấ cô g kh ếch ạ các g ao t ếp
+ Smurf and Fraggle attack
14
Tấ cô g DDoS vào Yahoo.com ăm 2000
Sơ ồ phâ loạ tấ cô g DDoS:
Sơ ồ tấ cô g DDoS ở dạ g kh ếch ạ g ao t ếp:
Như chú g ta ã b ết tấ cô g Sm rf là tấ cô g b g cách P g ế ịa chỉ

Broadcast của một mạ g ào mà ịa chỉ g ồ chí h là ịa chỉ của máy c tấ cô g
kh toà bộ các g Reply s ược ch yể tớ ịa chỉ IP của máy tí h bị tấ cô g.
15
II.6 - Tấ cô g Reflect ve DNS (reflect ve - phả ch ế ):

6.a - Các vấn đ l ên quan ớ ấn công Reflec ve DNS:
- Một Hacker c thể sử dụ g mạ g bot et ể gử rất h ề yê c tớ máy chủ
DNS.
- Nhữ g yê c s làm trà bă g thô g mạ g của các máy chủ DNS
- V ệc phò g chố g dạ g tấ cô g ày c thể dù g F rewall gă cấm hữ g g ao

t ếp từ các máy tí h ược phát h ệ ra.
- Như g v ệc cấm các g ao t ếp từ DNS Server s c h ề vấ ề lớ . Một DNS

Server c h ệm vụ rất q a trọ g trê I ter et.
- V ệc cấm các g ao t ếp DNS ồ g gh a vớ v ệc cấm gư dù g bì h thư g

gử ma l và tr y cập Webs te.
- Một yê c về DNS thư g ch ếm b g 1/7 th g a của g t trả l trê

máy chủ. Dựa vào yế tố ày ế dù g một Tools ch yê gh ệp ể làm tă g các yê c
tớ máy chủ DNS s kh ế máy chủ DNS bị q á tả và khô g thể áp ứ g cho các gư
dù g bì h thư g ược ữa.
16
6.b - ool ấn công Reflec ve DNS – ihateperl.pl:

- Ihateperl.pl là chươ g trì h rất h rất h ệ q ả dựa trê k ể tấ cô g DNS-
Reflective
- N sử dụ g một da h sách các máy chủ DNS ể làm trà hệ thố g mạ g vớ các
g yê c Name Resolution.
- B g một ví dụ c thể sử dụ g google.com ể resole gử tớ máy chủ và c

thể ổ tê doma thà h www.v experts. et hay bất kỳ một tra g web ào mà kẻ tấ
công muôn.
- Cách sử dụ g cô g cụ ày rất ơ g ả : ta chỉ c tạo ra một da h sách các máy

chủ DNS ch yể cho ịa chỉ IP của máy cá hâ và th ết lập số lượ g các g ao t ếp.
II.7 - Các tools sử dụ g ể tấ cô g DDoS:

Dướ ây là các Tools tấ cô g DDoS.
 Trinoo
 Tribe flood Network (TFN)
 TFN2K
 Stacheldraht
 Shaft
 Trinity
 Knight
 Mstream
 Kaiten
Các tools ày hoà toà c thể ược dow load m phí trê I ter et và lư ây
chỉ là các tools yế ể ma g tí h Demo về tấ cô g DDoS mà thô
III - DRDoS (Distributed Reflection Denial of Service)
17
III.1 – G ớ th ệ DRDOS.
- ất h ệ vào ăm 2002 là k ể tấ cô g mớ hất mạ h hất tro g họ DoS.
- Nế ược thực h ệ bở kẻ tấ cô g c tay ghề thì c thể hạ gục bất cứ hệ

thố g ào trê thế g ớ tro g phút chốc.
- DRDoS là sự phố hợp g ữa ha k ể DoS và DDoS.
- Mục t ê chí h của DRDoS là ch ếm oạt toà bộ bă g thô g của máy chủ tức là
làm tắc gh hoà toà ư g kết ố từ máy chủ vào xươ g số g của I ter et
và t ê hao tà g yê máy chủ.
- Ta c Server A và V ct m g ả sử ta gử 1 SYN packet ế Server A tro g IP

g ồ ã bị g ả mạo thà h IP của V ct m. Server A s mở 1 co ect o và gủ
SYN/ACK packet cho V ct m vì gh r g V ct m m ố mở co ect o vớ mì h.
Và ây chí h là khá ệm của Reflect o ( Phả xạ ). Hacker s ề kh ể Spoof
SYN ge erator gử SYN packet ế tất cả các TCP Server lớ lúc ày các TCP
Server ày vô tì h thà h omb e cho Hacker ể cù g tấ cô g V ct m và làm
gh ư g tr yề của V ct m.
- Vớ h ề server lớ tham g a ê server mục t ê ha h ch g bị q á tả

ba dw dth bị ch ếm dụ g bở server lớ .
18
- Tính “ ghệ th ật” là ở ch chỉ c vớ một máy tí h vớ modem 5 kbps

mộthacker là h ghề c thể á h bạ bất cứ máy chủ ào tro g g ây lát mà khô g
c ch ếm oạt bất cứ máy ào ể làm phươ g t ệ thực h ệ tấ cô g.
III.2 - Cách Phò g chố g :
C rất h ề g ả pháp và tưở g ược ưa ra h m ố ph vớ các c ộc tấ cô g k ể

DDoS. T y h ê khô g c g ả pháp và tưở g ào là g ả q yết trọ vẹ bà toá A t -DDoS.
Các hì h thá khác ha của DDoS l ê tục x ất h ệ theo th g a so g so g vớ các g ả pháp
ố ph t y h ê c ộc a vẫ t â theo q y l ật tất yế của bảo mật máy tí h: “Hacker l ô
trước g ớ bảo mật một bước”.
C ba g a oạ chí h tro g q á trì h A t -DDoS:
-Ga oạ gă gừa: tố th ể h a lượ g Age t tìm và vô h ệ h a các Handler
19
-Ga oạ ố vớ c ộc tấ cô g: Phát h ệ và gă chặ c ộc tấ cô g làm s y

g ảm và dừ g c ộc tấ cô g ch yể hướ g c ộc tấ cô g.
-Ga oạ sa kh c ộc tấ cô g xảy ra: th thập chứ g cứ và rút k h gh ệm
Các g a oạ ch t ết tro g phò g chố g DDoS:
2.a - Tố th ể h a số lượ g Age t:
- Từ phía User: một phươ g pháp rất tốt ể ă g gừa tấ cô g DDoS là từ g ter et
ser s tự ề phò g khô g ể bị lợ dụ g tấ cô g hệ thố g khác. M ố ạt ược ề ày thì
thức và kỹ th ật phò g chố g phả ược phổ b ế rộ g rã cho các ter et ser. Attack-Network
s khô g bao g hì h thà h ế khô g c ser ào bị lợ dụ g trở thà h Age t. Các ser phả
l ê tục thực h ệ các q á trì h bảo mật trê máy v tí h của mì h. Họ phả tự k ểm tra sự h ệ
d ệ của Age t trê máy của mì h ề ày là rất kh khă ố vớ ser thô g thư g.
- Một số g ả pháp tích hợp sẵ khả ă g gă gừa v ệc cà ặt code g y h ểm thô g ào

hardware và software của từ g hệ thố g. Về phía ser họ ê cà ặt và pdat l ê tục các
software hư a t v r s a t _troja và server patch của hệ ề hà h.
- Từ phía Network Serv ce Prov der: Thay ổ cách tí h t ề dịch vụ tr y cập theo d g
lượ g s làm cho ser lư ế hữ g gì họ gử hư vậy về mặt thức tă g cư g phát h ệ
DDoS Age t s tự â g cao ở m User.
2.b - Tìm và vô h ệ h a các Ha dler:
Một hâ tố vô cù g q a trọ g tro g attack- etwork là Ha dler ế c thể phát h ệ và

vô h ệ h a Ha dler thì khả ă g A t -DDoS thà h cô g là rất cao. B g cách theo dõi các giao
t ếp g ữa Ha dler và Cl e t hay ha dler va Age t ta c thể phát h ệ ra vị trí của Ha dler. Do
một Ha dler q ả l hề ê tr ệt t ê ược một Ha dler c g c gh a là loạ b một lượ g
á g kể các Age t tro g Attack – Network.
20
2.c - Phát h ệ dấ h ệ của một c ộc tấ cô g:
C h ề kỹ th ật ược áp dụ g:
- Agress F lter g: Kỹ th ật ày k ểm tra xem một packet c ủ t ê ch ẩ ra kh một

s b et hay khô g dựa trê cơ sở gateway của một s b et l ô b ết ược ịa chỉ IP của các máy
th ộc s b et. Các packet từ bê tro g s b et gử ra goà vớ ịa chỉ g ồ khô g hợp lệ s bị
g ữ lạ ể ề tra g yê hâ . Nế kỹ th ật ày ược áp dụ g trê tất cả các s b et của
ter et thì khá h ệm g ả mạo ịa chỉ IP s khô g cò tồ tạ .
- MIB statist cs: tro g Ma ageme t I format o Base (SNMP) của ro te l ô c thô g
t thố g kể về sự b ế th ê trạ g thá của mạ g. Nế ta g ám sát chặt ch các thố g kê của
protocol mạ g. Nế ta g ám sát chặt ch các thố g kê của Protocol ICMP UDP và TCP ta s c
khả ă g phát h ệ ược th ểm bắt của c ộc tấ cô g ể tạo “q ỹ th g a và g” cho
v ệc xử l tì h h ố g.
2.d - Làm s y g àm hay dừ g c ộc tấ cô g:
Dù g các kỹ th ật sa :
- Load bala c g: Th ết lập k ế trúc câ b g tả cho các server trọ g ểm s làm g a

tă g th g a chố g chọ của hệ thố g vớ c ộc tấ cô g DDoS. T y h ê ề ày khô g c
gh a lắm về mặt thực t vì q y mô của c ộc tấ cô g là khô g c g ớ hạ .
- Throttl g: Th ết lập cơ chế ề t ết trê ro ter q y ị h một khoả g tả hợp l mà

server bê tro g c thể xử l ược. Phươ g pháp ày c g c thể ược dù g ể gă chặ khả
ă g DDoS traff c khô g cho ser tr y cập dịch vụ. Hạ chế của kỹ th ật ày là khô g phâ b ệt
ược g ữa các loạ traff c ô kh làm dịch vụ bị g á oạ vớ ser DDoS traff c vẫ c thể
xâm hập vào mạ g dịch vụ hư g vớ số lượ g hữ hạ .
- Drop req est: Th ết lập cơ chế drop req est ế v phạm một số q y ị h hư: th
g a delay kéo dà tố h ề tà g yê ể xử l gây deadlock. Kỹ th ật ày tr ệt t ê khả ă g
làm cạ k ệt ă g lực hệ thố g t y h ê c g g ớ hạ một số hoạt ộ g thô g thư g của
hệ thố g c câ hắc kh sử dụ g.
21
2.e - Ch yể hướ g của c ộc tấ cô g:
Ho eyspots: Một kỹ th ật a g ược gh ê cứ là Ho eyspots. Ho eyspots là một hệ

thố g ược th ết kế h m á h lừa attacker tấ cô g vào kh xâm hập hệ thố g mà khô g chú
ế hệ thố g q a trọ g thực sự.
Ho eyspots khô g chỉ g va trò “Lê La cứ chúa” mà cò rất h ệ q ả tro g v ệc

phát h ệ và xử l xâm hập vì trê Ho eyspots ã th ết lập sẵ các cơ chế g ám sát và báo
ộ g.
Ngoà ra Ho eyspots cò c g á trị tro g v ệc học h và rút k h gh ệm từ Attacker do

Ho eyspots gh hậ khá ch t ết mọ ộ g thá của attacker trê hệ thố g. Nế attacker bị á h
lừa và cà ặt Age t hay Ha dler lê Ho eyspots thì khả ă g bị tr ệt t ê toà bộ attack-network
là rất cao.
2.f - G a oạ sa tấ cô g:
Tro g g a oạ ày thô g thư g thực h ệ các cô g v ệc sa :
-Traff c Patter A alys s: Nế dữ l ệ về thố g kê b ế th ê lượ g traff c theo th ga

ã ược lư lạ thì s ược ưa ra phâ tích. Q á trì h phâ tích ày rất c ích cho v ệc t h
chỉ h lạ các hệ thố g Load Bala c g và Throttl g. Ngoà ra các dữ l ệ ày cò g úp Q ả trị
mạ g ề chỉ h lạ các q y tắc k ểm soát traff c ra vào mạ g của mì h.
- Packet Traceback: b g cách dù g kỹ th ật Traceback ta c thể tr y gược lạ vị trí của

Attacker (ít hất là s b et của attacker). Từ kỹ th ật Traceback ta phát tr ể thêm khả ă g
Block Traceback từ attacker khá hữ h ệ . g ây ã c một kỹ th ật Traceback khá h ệ q ả
c thể tr y tìm g ồ gốc của c ộc tấ cô g dướ 15 phút là kỹ th ật .
- Beve t Logs: B g cách phâ tích f le log sa c ộc tấ cô g q ả trị mạ g c thể tìm

ra h ề ma h mố và chứ g cứ q a trọ g.
2.g - Phò g chố g tổ g q át :
22
1. Kh bạ phát h ệ máy chủ mì h bị tấ cô g hãy ha h ch g tr y tìm ịa chỉ IP và cấm

khô g cho gử dữ l ệ ế máy chủ.
2. Dù g tí h ă g lọc dữ l ệ của ro ter/f rewall ể loạ b các packet khô g mo g m ố g ảm

lượ g lư thô g trê mạ g và tả của máy chủ.
. Sử dụ g các tí h ă g cho phép ặt rate l m t trê ro ter/f rewall ể hạ chế số lượ g packet
vào hệ thố g.
. Nế bị tấ cô g do l của ph mềm hay th ết bị thì ha h ch g cập hật các bả sửa l cho

hệ thố g hoặc thay thế.
5. Dù g một số cơ chế cô g cụ ph mềm ể chố g lạ TCP SYN Flood g.

. Tắt các dịch vụ khác ế c trê máy chủ ể g ảm tả và c thể áp ứ g tốt hơ . Nế ược c
thể â g cấp các th ết bị ph cứ g ể â g cao khả ă g áp ứ g của hệ thố g hay sử dụ g
thêm các máy chủ cù g tí h ă g khác ể phâ ch a tả .
7. Tạm th ch yể máy chủ sa g một ịa chỉ khác.
IV – Botnet.
Sơ lược lịch sử :
- C ố thế kỷ 19 c g hư th ê ê kỷ mớ á h dấ bước phát tr ể ha h mạ h

của một số ch ế lược tấ cô g khác b ệt hắm vào hệ thố g mạ g. DDoS tức D str b ted
De al of Serv ces hì h thức tấ cô g từ chố dịch vụ phâ tá khét t ế g ra . Tươ g tự vớ
gư a h em DoS (tấ cô g từ chố dịch vụ) DDoS ược phát tá rất rộ g chủ yế h tí h
ơ gả hư g rất kh bị dò tìm của chú g. Đã c h ề k h gh ệm ố ph ược ch a sẻ vớ
khố lượ g k ế thức khô g h về hư g gày ay DDoS vẫ a g là một mố e doạ
gh êm trọ g một cô g cụ g y h ểm của hacker. Chú g ta hãy cù g tìm h ể về DDoS và sả
phẩm kế thừa từ : các c ộc tấ cô g bot et.
IV.1 - G ớ th ệ về Bot và Bot et
23
1.a - Bot là gì ? : là hữ g chươ g trì h tươ g tự Troja backdoor cho phép kẻ tấ cô g

sử dụ g máy của họ hư là hữ g oombie ( máy tính thây ma – máy tí h bị ch ếm q yề ề
kh ể hoà toà ) và chú g chủ ộ g kết ố vớ một Server ể d dà g ề kh ể các bạ lư
chữ “chủ ộ g” là một ặc ểm khác của bot so vớ troja backdoor . Chí h vì sự chủ ộ g
này mà máy tí h bị cà ặt chú g kết ố trở ê chậm chạp một ặc ểm g úp ta d dà g hậ
d ệ bot .
1.b - Tạ sao gọ là mạ g bot et ? : mạ g bot et là một mạ g rất lớ gồm hà g trăm

hà g gà máy tí h omb e kết ố vớ một máy chủ mIRC ( I ter et Replay Chat ) hoặc q a
các máy chủ DNS ể hậ lệ h từ hacker một cách ha h hất . Các mạ g bot gồm hà g gà
“thà h v ê ” là một cô g cụ l tưở g cho các c ộc ch ế tra h ọ má hư DDOS spam cà ặt
các chươ g trì h q ả g cáo …..
1.c - IRC
-IRC là tê v ết tắt của I ter et Relay Chat. Đ là một g ao thức ược th ết kế cho hoạt
ộ g l ê lạc theo k ể hì h thức tá gẫ th g a thực (ví dụ RFC 1 59 các bả pdate RFC
2810 2811 2812 281 ) dựa trê k ế trúc cl e t-server. H hết mọ server IRC ề cho phép
tr y cập m phí khô g kể ố tượ g sử dụ g. IRC là một g ao thức mạ g mở dựa trê ề tả g
TCP (Transmission Control Protocol - G ao thức ề kh ể tr yề vậ ) ô kh ược â g cao
vớ SSL (Sec re Sockets Layer - T g socket bảo mật).
-Một server IRC kết ố vớ server IRC khác tro g cù g một mạ g. Ngư dù g IRC c
thể l ê lạc vớ cả ha theo hì h thức cô g cộ g (trê các kê h) hoặc r ê g tư (một ố một). C
ha mức tr y cập cơ bả vào kê h IRC: mức gư dù g ( ser) và mức ề hà h (operator).
Ngư dù g ào tạo một kê h l ê lạc r ê g s trở thà h gư ề hà h. Một ề hà h v ê c
hề ặc q yề hơ (t ỳ th ộc vào từ g k ể chế ộ do gư ề hà h ba th ết lập ) so
vớ gư dù g thô g thư g.
-Các bot IRC ược co hư một gư dù g (hoặc ề hà h v ê ) thô g thư g. Chú g

là các q y trì h daemo c thể chạy tự ộ g một số thao tác. Q á trì h ề kh ể các bot ày
thô g thư g dựa trê v ệc gử lệ h ể th ết lập kê h l ê lạc do hacker thực h ệ vớ mục ích
chí h là phá hoạ . Tất h ê v ệc q ả trị bot c g ò h cơ chế thẩm ị h và cấp phép. Vì thế
chỉ c chủ sở hữ chú g mớ c thể sử dụ g.
24
-Một thà h ph q a trọ g của các bot ày là hữ g sự k ệ mà chú g c thể dù g ể

phát tá ha h ch g tớ máy tí h khác. ây dự g kế hoạch c thậ cho chươ g trì h tấ cô g
s g úp th ược kết q ả tốt hơ vớ th ga gắ hơ ( hư xâm phạm ược h ề máy tí h
hơ chẳ g hạ ). Một số bot kết ố vào một kê h ơ ể ch lệ h từ kẻ tấ cô g thì ược gọ
là một bot et.
-Cách ây chưa lâ các mạ g zomb e (một tê khác của máy tí h bị tấ cô g theo k ể

bot) thư g ược ề kh ể q a cô g cụ ộc q yề do chí h hữ g kẻ ch yê bẻ khoá cố tì h
phát tr ể . Trả q a th ga chú g hướ g tớ phươ g thức ề kh ể từ xa. IRC ược xem là
cô g cụ phát ộ g các c ộc tấ cô g tốt hất h tí h l h hoạt d sử dụ g và ặc b ệt là các
server ch g c thể ược dù g hư một phươ g t ệ l ê lạc. IRC c g cấp cách thức ề kh ể
ơ g ả hà g trăm thậm chí hà g ghì bot cù g lúc một cách l h hoạt. N c g cho phép kẻ
tấ cô g che ậy hâ dạ g thật của mì h vớ một số thủ th ật ơ g ả hư sử dụ g proxy ặc
da h hay g ả mạo ịa chỉ IP. So g c g chí h bở vậy mà chú g ể lạ dấ vết cho gư q ả
trị server l theo.
Đ ể hì h ở V ệt Nam chú g ta c g c một mạ g bot et IRC tươ g ố lớ khoả g 1000

zomb rả ề cả ước do Hacker LlyK l gư Q ả g Nam thực h ệ k ể soát và ề kh ể ể
tấ cô g tr o gto . et và h ề webs te ổ t ế g V ệt Nam vào hữ g ăm 2008. Và Llyk l bị
bắt kh vừa thực h ệ xo g c ộc tấ cô g và BKAV (Webs te chươ g trì h d ệt V r s của V ệt
Nam) thô g q a Bot et b g kê h chat IRC ày.
-Tro g h hết các trư g hợp tấ cô g bở bot ạ hâ chủ yế là gư dù g máy

tí h ơ lẻ server ở các trư g ạ học hoặc mạ g doa h gh ệp h . L do là bở máy tí h ở
hữ g ơ ày khô g ược g ám sát chặt ch và thư g ể hở hoà toà lớp bảo vệ mạ g.
Nhữ g ố tượ g gư dù g ày thư g khô g xây dự g cho mì h chí h sách bảo mật hoặc
ế c thì khô g hoà chỉ h chỉ cục bộ ở một số ph . H hết gư dù g máy tí h cá hâ kết
ố ư g tr yề ADSL ề khô g hậ thức ược các mố g y h ểm x g q a h và khô g sử
dụ g ph mềm bảo vệ hư các cô g cụ d ệt v r s hay tư g lửa cá hâ .
IV.2 - Bot và các ứ g dụ g của chú g

-Khả ă g sử dụ g bot và các ứ g dụ g của chú g cho máy tí h bị ch ếm q yề ề
kh ể hoà toà phụ th ộc vào sức sá g tạo và kỹ ă g của kẻ tấ cô g. Chú g ta hãy xem một
số ứ g dụ g phổ b ế hất.
25
2.a - DDoS
-Các bot et ược sử dụ g thư g x yê tro g các c ộc tấ cô g D str b ted De al of
Serv ce (DDoS). Một kẻ tấ cô g c thể ề kh ể số lượ g lớ máy tí h bị ch ểm q yề ề
kh ể tạ một trạm từ xa kha thác bă g thô g của chú g và gử yê c kết ố tớ máy ích.
Nh ề mạ g trở ê hết sức tồ tệ sa kh hứ g chị các c ộc tấ cô g k ể ày. Và tro g một số
trư g hợp thủ phạm ược tìm thấy gay kh a g t ế hà h c ộc phá hoạ ( hư ở các c ộc
ch ế dotcom).
Tấ cô g từ chố dịch vụ phâ tán (DDoS)

-Tấ cô g DDoS là một b ế thể của Foold g DoS (Tấ cô g từ chố dịch vụ trà ). Mục
ích của hì h thức ày là gây trà mạ g ích sử dụ g tất cả bă g thô g c thể. Kẻ tấ cô g sa
s c toà bộ lượ g bă g thô g khổ g lồ trê mạ g ể làm trà webs te ích. Đ là cách phát
ộ g tấ cô g tốt hất ể ặt ược h ề máy tí h dướ q yề k ểm soát. M máy tí h s ưa ra
bă g thô g r ê g (ví dụ vớ gư dù g PC cá hâ ố ADSL). Tất cả s ược dù g một l và
h phâ tá ược c ộc tấ cô g vào webs te ích. Một tro g các k ể tấ cô g phổ b ế
hất ược thực h ệ thô g q a sử dụ g g ao thức TCP (một g ao thức hướ g kết ố ) gọ là TCP
sy flood g (trà ồ g bộ TCP). Cách thức hoạt ộ g của chú g là gử ồ g th cù g lúc một
số lượ g khổ g lồ yê c kết ố TCP tớ một Web Server (hoặc bất kỳ dịch vụ ào khác) gây
trà tà g yê server dẫ ế trà bă g thô g và gă khô g cho gư dù g khác mở kết ố
r ê g của họ. Q ả là ơ g ả hư g thực sự g y h ểm! Kết q ả th ược c g tươ g tự khi
dù g g ao thức UDP (một g ao thức khô g kết ố ).
-Gớ t tặc c g b ra khá h ề th g a và cô g sức tư h m â g cao cách thức

tấ cô g của chú g. H ệ ay gư dù g mạ g máy tí h hư chú g ta a g phả ố mặt vớ
h ề kỹ th ật t h v hơ xa so k ể tấ cô g DDoS tr yề thố g. Nhữ g kỹ th ật ày cho phép
kẻ tấ cô g ề kh ể một số lượ g cực kỳ lớ máy tí h bị ch ếm q yề ề kh ể (zomb e) tạ
một trạm từ xa mà ơ g ả chỉ c dù g g ao thức IRC.
2.b - Spamm g (phát tá thư rác)

- Bot et là một cô g cụ l tưở g cho các spammer (kẻ phát tá thư rác). Chú g ã a g
và s ược dù g vừa ể trao ổ ịa chỉ e-ma l th thập ược vừa ể ề kh ể cơ chế phát tá
thư rác theo cù g một cách vớ k ể tấ cô g DDoS. Thư rác ược gử tớ bot et sa phâ
26
phố q a các bot và từ phát tá tớ máy tí h a g bị ch ếm q yề ề kh ể . Tất cả spammer

ề lấy tê ặc da h và mọ hậ q ả thì máy tí h bị phá hoạ gá h chị .
2.c - Sniffing và Keylogging

- Các bot c g c thể ược sử dụ g một cách h ệ q ả ể â g cao ghệ th ật cổ ể
của hoạt ộ g s ff g. Nế theo dõ lư lượ g dữ l ệ tr yề bạ c thể xác ị h ược co
số kh t lượ g thô g t ược tr yề tả . Đ c thể là th q e của gư dù g trọ g tả g
TCP và một số thô g t thú vị khác ( hư mật khẩ tê gư dù g). C g tươ g tự hư vậy vớ
keylogg g một hì h thức th thập tất cả thô g t trê bà phím kh gư dù g gõ vào máy
tí h ( hư e-ma l password dữ l ệ gâ hà g tà khoả PayPal …).
2.d - Ă cắp hậ dạ g
- Các phươ g thức ược ề cập ở trê cho phép kẻ tấ cô g ề kh ể bot et ể th thập
một lượ g thô g t cá hâ khổ g lồ. Nhữ g dữ l ệ c thể ược dù g ể xây dự g hậ dạ g
g ả mạo sa lợ dụ g ể c thể tr y cập tà khoả cá hâ hoặc thực h ệ h ề hoạt ộ g
khác (c thể là ch ẩ bị cho h ề c ộc tấ cô g khác) mà gư gá h chị hậ q ả khô g a
khác chí h là chủ hâ của các thô g t .
2.e - Sở hữ ph mềm bất hợp pháp

- Đây là hì h thức c ố cù g hư g chưa phả là kết thúc. Các máy tí h bị tấ cô g theo
k ể bot c thể ược dù g hư một kho lư trữ ộ g tà l ệ bất hợp pháp (ph mềm ă cắp bả
q yề tra h ả h kh ê dâm …). Dữ l ệ ược lư trữ trê ổ cứ g tro g kh gư dù g ADSL
khô g hề hay b ết.
- Cò rất h ề rất h ề k ể ứ g dụ g khác ữa ược phát tr ể dựa trê bot et ( hư trả

tề cho m l kích ch ột ể sử dụ g một chươ g trì h ph sh g h jack g kết ố
HTTP/HTTPS…) hư g l ệt kê ra ược hết c l s phả mất hà g g . Bả thâ bot chỉ là một
cô g cụ vớ khả ă g lắp ghép và thích ứ g d dà g cho mọ hoạt ộ g ò h ặt q yề k ểm
soát ơ lê một số lượ g lớ máy tí h.
IV.3 - Các k ể bot khác ha

- Nh ề k ể bot ã ược xây dự g và cho phép dow load ược c g cấp ha hả
khắp I ter et. M kể c hữ g thà h ph ặc b ệt r ê g. Chú g ta s xem xét một số bot phổ
bế hất và thảo hữ g thà h ph chí h và các yế tố phâ b ệt của chú g.
27
3.a - GT-Bot
- Tất cả các bot GT (Global Threat) ề dựa trê k ể cl e t IRC phổ b ế dà h cho
W dows gọ là mIRC. Cốt lõ của các bot ày là xây dự g tập hợp scr pt (kịch bả ) mIRC ược
dù g ể ể kh ể hoạt ộ g của hệ thố g từ xa. K ể bot ày khở chạy một ph ê cl e t â g
cao vớ các scr pt ề kh ể và dù g một ứ g dụ g thứ ha thô g thư g là H deW dows ể
ẩ mIRC trước gư dù g máy tí h ích. Một f le DLL bổ s g s thêm một số thà h ph mớ
vào mIRC ể các scr pt c thể ch phố h ề khía cạ h khác ha trê máy tí h bị ch ếm q yề
ề kh ể .
3.b - Agobot
- Agobot là một tro g hữ g k ể bot phổ b ế hất thư g ược các tay bẻ khoá (craker)
ch yê gh ệp sử dụ g. Chú g ược v ết trê ề gô gữ C++ và phát hà h dướ dạ g bả
q yề GPL. Đ ểm thú vị ở Agobot là mã g ồ . Được mod l hoá ở mức cao Agobot cho phép
thêm chức ă g mớ vào d dà g. N c g c g cấp h ề cơ chế ẩ mì h trê máy tí h gư
dù g. Thà h ph chí h của Agobot gồm: NTFS Alter ate Data Stream ( ếp l â ph ê dò g
dữ l ệ NTFS) A t v r s K ller (bộ d ệt chươ g trì h chố g v r s) và Polymorph c cryptor
g e (cơ chế mã hoá hì h dạ g). Agobot c g cấp tí h ă g sắp xếp và s ff lư lượ g. Các
g ao thức khác goà IRC c g c thể ược dù g ể ề kh ể k ể bot ày.
3.c - DSNX
- Dataspy Network X (DSNX) c g ược v ết trê ề gồ gữ C++ và mã g ồ dựa
trê bả q yề GPL. Ở k ể bot ày c thêm một tí h ă g mớ là k ế trúc pl g- ơ
gả .
3.d - SDBot
- SDBot ược v ết trê ề gô gữ C và c g sử dụ g bả q yề GPL. Khô g g ố g

hư Agobot mã g ồ của k ể bot ày rất rõ rà g và bả thâ ph mềm c một lượ g g ớ hạ
chức ă g. Như g SDBot rất phổ b ế và ã ược phát tr ể ra h ề dạ g b ế thể khác ha .
IV.4 - Các yế tố của một c ộc tấ cô g.
Hì h 1 thể h ệ cấ trúc của một bot et ể hình:
28
Hình 1: Cấu trúc của một botnet điển hình
•Đ t ê kẻ tấ cô g s phát tá troja horse vào h ề máy tí h khác ha . Các máy

tí h ày trở thà h zomb e (máy tí h bị ch ếm q yề ề kh ể ) và kết ố tớ IRC server
ể ghe thêm h ề lệ h sắp tớ .
• Server IRC c thể là một máy cô g cộ g ở một tro g các mạ g IRC hư g c g c thể
là máy ch yê dụ g do kẻ tấ cô g cà ặt lê một tro g các máy bị ch ếm q yề ề
kh ể .
• Các bot chạy trê máy tí h bị ch ếm q yề ề kh ể hì h thà h một botnet.
Một ví dụ cụ thể
Hoạt ộ g của kẻ tấ cô g c thể ch a thà h bố g a oạ khác ha :
+ Tạo
+ Cấ hì h
29
+ Tấ cô g
+ Đ ề kh ể
-Ga oạ Tạo phụ th ộc lớ vào kỹ ă g và ò h của kẻ tấ cô g. Nế là gư bẻ

khoá ch yê gh ệp họ c thể câ hắc g ữa v ệc v ết mã bot r ê g hoặc ơ g ả chỉ là mở
rộ g t ỳ b ế cá ã c . Lượ g bot c sẵ là rất lớ và khả ă g cấ hì h cao. Một số cò cho
phép thao tác d dà g hơ q a một g ao d ệ ồ hoạ. G a oạ ày khô g c gì kh khă
thư g dà h cho hữ g kẻ mớ vào ghề.
-Ga oạ Cấ hì h là c g cấp server IRC và kê h thô g t . Sa kh cà ặt lê một

máy tí h ã ược k ểm soát bot s kết ố tớ host ược chọ . Đ t ê kẻ tấ cô g hập dữ l ệ
c th ết vào ể g ớ hạ q yề tr y cập bot bảo vệ a toà cho kê h và c ố cù g c g cấp một
da h sách gư dù g ược cấp phép ( hữ g gư c thể ề kh ể bot). Ở g a oạ ày bot
c thể ược ề chỉ h sâ hơ hư ị h gh a phươ g thức tấ cô g và ích ế .
-Ga oạ Tấ cô g là sử dụ g h ề kỹ th ật khác ha ể phát tá bot cả trực t ếp và

g á t ếp. Hì h thức trực t ếp c thể là kha thác l hổ g của hệ ề hà h hoặc dịch vụ. Cò g á
t ếp thư g là tr ể kha một số ph mềm khác phục vụ cho cô g v ệc e tố hư sử dụ g f le
HTML dị dạ g ể kha thác l hổ g I ter et xplorer sử dụ g một số ph mềm ộc hạ khác
phâ phố q a các mạ g ga g hà g hoặc q a trao ổ f le DCC (D rect Cl e t–to–Client) trên
IRC. Tấ cô g trực t ếp thư g ược thực h ệ tự ộ g thô g q a các sâ (worm). Tất cả cô g
v ệc hữ g sâ ày phả làm là tìm k ếm mạ g co tro g hệ thố g c l hổ g và chè mã bot
vào. M hệ thố g bị xâm phạm sa s t ếp tục thực h ệ chươ g trì h tấ cô g cho phép kẻ
tấ cô g gh lạ tà g yê ã dù g trước và c ược h ề th ga ể tìm k ếm ạ hâ
khác.
- Cơ chế ược dù g ể phâ phố bot là một tro g hữ g l do chí h gây ê cá gọ là

tạp h ề I ter et. Một số cổ g chí h ược dù g cho W dows cụ thể là W dows 2000
P SP1 (xem Bả g 1). Chú g dư g hư là ích gắm yê thích của hacker vì rất d tìm ra một
máy tí h W dows chưa ược cập hật bả vá y ủ hoặc khô g cà ặt ph mềm tư g lửa.
Trư g hợp ày c g rất phổ b ế vớ gư dù g máy tí h g a ì h và các doa h gh ệp h
hữ g ồ tượ g thư g b q a vấ ề bảo mật và l ô kết ố I ter et bă g thô g rộ g.
30
Cổ g Dịch vụ
42 WINS (Host Name Server)
80 HTTP (l hổ g IIS hay Apache)
135 RPC (Remote Procedure Call)
137 NetBIOS Name Service
139 NetBIOS Session Service
445 Microsoft–DS–Service
1025 Windows Messenger
1433 Microsoft–SQL–Server
2745 Bagle worm backdoor
3127 MyDoom worm backdoor
3306 MySQL UDF (User Definable Functions)
5000 UPnP (Universal Plug and Play)
Danh sách các cổng gắn với lỗ hổng dịch vụ
-Ga oạ Đ ề kh ể gồm một số hoạt ộ g thực h ệ sa kh bot ã ược cà ặt lê

máy ích tro g một thư mục chọ . Để khở ộ g vớ W dows bot pdate các khoá ă g k
thô g thư g là
KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\.
- V ệc t ê bot thực h ệ sa kh ược cà ặt thà h cô g là kết ố tớ một server

IRC và l ê kết vớ kê h ề kh ể thô g q a sử dụ g một mật khẩ . N ck ame trê IRC ược
tạo gẫ h ê . Sa bot ở trạ g thá sẵ sà g ch lệ h từ ứ g dụ g chủ. Kẻ tấ cô g c g
phả sử dụ g một mật khẩ ể kết ố tớ bot et. Đ ề ày là c th ết ể khô g a khác c thể sử
dụ g mạ g bot et ã ược c g cấp.
- IRC khô g chỉ c g cấp phươ g t ệ ề kh ể hà g trăm bot mà cò cho phép kẻ tấ

cô g sử dụ g h ề kỹ th ật khác ha ểẩ hâ dạ g thực của chú g. Đ ề kh ế v ệc ố
31
ph trước các c ộc tấ cô g trở ê kh khă . Như g may mắ là do ặc ểm tự h ê của

chú g các bot et l ô tạo ra lư lượ g á g g tạo ề k ệ d dà g ể c thể dò tìm h
một số k ể mẫ hay mô hì h ã b ết. Đ ề g úp các q ả trị v ê IRC phát h ệ và ca th ệp
kịp th cho phép họ gỡ b các mạ g bot et và hữ g sự lạm dụ g khô g á g c trê hệ thố g
của họ.
- Trước tì h hì h ày hữ g kẻ tấ cô g b ộc phả gh ra cách thức khác cả t ế kỹ

th ật C&C (Co trol a d Comma d - Đ ề kh ể q a lệ h) thà h bot et harde g. Ở kỹ th ật
mớ ày các bot thư g ược cấ hì h ể kết ố vớ h ề server khác ha sử dụ g một
host ame á h xạ ộ g. Nh kẻ tấ cô g c thể ch yể bot sa g server mớ d dà g vẫ
hoà toà ắm q yề k ểm soát gay cả kh bot ã bị phát h ệ . Các dịch vụ DNS ộ g hư
dyndns.com hay no-IP.com thư g ược dù g tro g k ể tấ cô g ày.
DNS ộ g
- Một DNS ộ g ( hư RFC 21 ) là một hệ thố g l ê kết tê m ề vớ ịa chỉ IP ộ g.

Ngư dù g kết ố I ter et q a modem ADSL hoặc cáp thư g khô g c ịa chỉ IP cố ị h.
Kh một ố tượ g gư dù g kết ố tớ I ter et hà c g cấp dịch vụ mạ g (ISP) s gá một
ịa chỉ IP chưa ược sử dụ g lấy ra từ vù g ược chọ . Địa chỉ ày thư g ược g ữ g yê cho
tớ kh gư dù g gừ g sử dụ g kết ố .
- Cơ chế ày g úp các hã g c g cấp dịch vụ mạ g (ISP) tậ dụ g ược tố a khả ă g

kha thác ịa chỉ IP hư g cả trở ố tượ g gư dù g c thực h ệ một số dịch vụ ào
q a mạ g I ter et tro g th g a dà so g khô g phả sử dụ g ịa chỉ IP t h. Để g ả q yết vấ
ề ày DNS ộ g ược cho ra . Hã g c g cấp s tạo cho dịch vụ một chươ g trì h ch yê
dụ g gử tí h ệ tớ cơ sở dữ l ệ DNS m kh ịa chỉ IP của gư dù g thay ổ .
- Để ẩ hoạt ộ g kê h IRC ược cấ hì h g ớ hạ q yề tr y cập và ẩ thao tác. Các

mô hì h IRC ể hì h cho kê h bot et là: +k ( ò h phả hập mật khẩ kh dù g kê h); +s
(khô g ược h ể thị trê da h sách các kê h cô g cộ g); + (chỉ c gư ề hành (operator)
là ược h ể thị trê da h sách gư dù g); +m (chỉ c gư dù g ở trạ g thá sử dụ g âm
tha h +v mớ c thể gử t ế kê h). H hết mọ ch yê g a tấ cô g ề dù g server IRC cá
hâ mã hoá tất cả l ê lạc trê kê h dẫ . Chú g c g c kh y h hướ g sử dụ g h ề b ế thể
cá hâ hoá của ph mềm IRC server ược cấ hì h ể ghe trê các cổ g goà t ê ch ẩ và
32
sử dụ g ph ê bả ã ược chỉ h sửa của g ao thức ể một IRC cl e t thô g thư g khô g thể
kết ố vào mạ g.
IV.5 - Cách phò g chố g Bot et:

- Bot et là một mố e dọa a g gày một la rộ g t y h ê chú g ta c h ề cách ố
ph ể g ảm ược các tác hạ gây ra từ chú g tô s g ớ th ệ cách khá ch yê gh ệp c
thể chố g trả lạ ược bot et.
5.a - Th ê một dịch vụ lọc Web

- Dịch vụ lọc Web là một tro g hữ g cách tốt hất ể ấ tra h vớ bot. Các dịch vụ ày
q ét webs te kh thấy x ất h ệ hà h v khô g bì h thư g hoặc c các hà h ộ g mã g y h ểm
và kh a s te từ gư dù g.
- Websense, Cyveillance và FaceTime Comm cat o s là các ví dụ ể hì h. Tất cả s

k ểm tra I ter et theo th g a thực tìm các webs te bị gh g c hà h ộ g g y h ểm hư tả
avaScr pt và các trò lừa ảo khác goà ra h g ớ của v ệc d yệt web thô g thư g. Cyve lla ce
và Support Intell ge ce c g c g cấp dịch vụ cho b ết về các tổ chức webs te và ISP ã phát
h ệ là c malware vì vậy các máy chủ bị tấ cô g c thể ược sửa chữa kịp th .
5.b - Ch yể ổ trì h d yệt

- Một cách khác ể gă chặ sự xâm hập của bot là khô g ê sử dụ g một trì h
d yệt. I ter et xplorer hay Moz lla F refox là ha trì h d yệt phổ b ế hất và vì vậy chú g
c g là các trì h d yệt mà malware tập tr g tấ cô g tớ . Chú g ta c thể dù g Apple Safar
Google Chrome Opera Netscape ... Tươ g tự hư vậy ố vớ các hệ ề hà h. Theo thố g kê
thì Macs là hệ ề hà h a toà vớ bot et bở vì h hết chú g ề h m vào W dows. Ngoà
c thể sử dụ g hệ ề hà h họ * x ể gă chặ các ph mềm mã ộc hư v r s troja
spyware sworm .... vì các ph mềm mã ộc ày chỉ chạy trê hệ ề hà h phổ b ế hất là
Windows.
5.c - Vô h ệ h a các kịch bả

- Một cách ữa là vô h ệ h a trì h d yệt kh các kịch bả ch g (scr pt) ề ày
c thể gây kh khă cho một số hâ v ê sử dụ g ứ g dụ g tùy chỉ h và dựa trê ề web
tro g cô g v ệc của họ.
33
5.d - Tr ể kha các hệ thô g phát h ệ xâm phạm và gă chặ xâm phạm
- Một phươ g pháp khác là ề chỉ h các IDS và ISP ể chú g c thể tìm k ếm ược
các hoạt ộ g tươ g tự hư bot et.
- Ví dụ một máy tí h ào bất g gặp vấ ề sự cố trê I ter et Relay Chat là hoà

toà á g gh g . C g g ố g hư v ệc kết ố vào các ịa chỉ IP ở xa hoặc ịa chỉ DNS
khô g hợp l . T y vấ ề ày là kh phát h ệ hư g chú g ta c cách phát g ác khác kh phát
h ệ thấy sự th hút bất g tro g lư lượ g SSL trê một máy tí h ặc b ệt tro g các cổ g
khô g bì h thư g. Đ ề c thể là kê h mà bot et ch ếm q yề ề kh ể ã bị kích hoạt.
- Chí h vì vậy chú g ta c một ISP ể k ểm tra về hữ g hà h v khô g bì h thư g ể

chỉ thị cả h báo các tấ cô g dựa trê HTTP và thủ tục gọ từ xa Tel et- và g ả mạo g ao thức
g ả pháp ịa chỉ các tấ cô g khác. Mặc dù vậy chú g ta phả ê chú r g h ề bộ cảm b ế
ISP sử dụ g phát h ệ dựa trê chữ k ề gh a là các tấ cô g chỉ ược bổ s g vào cơ sở
dữ l ệ kh ào chú g ược phát h ệ . Chí h vì vậy các ISP phả cập hật kịp th ể hậ ra
ược các tấ cô g ày b g khô g bộ phát h ệ s khô g cò g á trị.
5.e - Bảo vệ ộ d g ược tạo bở gư dù g

- Các hoạt ộ g webs te của r ê g bạ c g phả ược bảo vệ ể trá h trở thà h kẻ tò g
phạm khô g chủ tâm ố vớ hữ g kẻ v ết malware. Các blog cô g cộ g và for m của cô g ty
ê ược hạ chế chỉ ở dạ g vă bả .
- Nế s te của bạ c cho các thà h v ê trao ổ f le thì phả ược th ết lập ể cho
phép các k ể f le ược g ớ hạ và ảm bảo a toà ví dụ vớ các f le c ô mở rộ g .jpeg
hoặc .mp . (T y vậy hữ g kẻ v ết malware c g ã bắt hắm vào ố tượ g gư chơ
MP3)
5.f - Sử dụ g cô g cụ ph mềm
- Nế bạ phát h ệ thấy máy tí h bị t êm h m mà hệ thố g khô g c cách ào tốt hất
ể g ả q yết vớ tì h h ố g ày. Bạ khô g phả lo sợ ề vì các cô g ty hư Syma tec xác
hậ r g họ c thể phát h ệ và x a sạch sự t êm h m rootk t g y h ểm hất. Cô g ty ày ã
ưa ra một cô g ghệ mớ tro g Ver tas VxMS (Dịch vụ bả ồ h a Ver tas – Veritas Mapping
34
Serv ce) ưa ra bộ q ét chố g v r s b q a W dows F le System API thà h ph ược ề

kh ể bở hệ ề hà h c thể gây ra l hổ g bở một rootk t. VxMS tr y cập trực t ếp vào các
f le thô của hệ thố g W dows NT F le System. Bê cạ h các hã g ph mềm chố g v r s
khác c g a g cố gắ g tro g v ệc chố g lạ rootk t ày gồm c McAfee và FSec re.
V – Kết L ậ :
- Nhì ch g tấ cô g từ chố dịch vụ khô g q á kh thực h ệ hư g rất kh

phò g chố g do tí h bất g và thư g là phò g chố g tro g thế bị ộ g kh sự
v ệc ã rồ . V ệc ố ph b g cách tă g cư g “ph cứ g” c g là g ả pháp tốt
hư g thư g x yê theo dõ ể phát h ệ và gă chặ kịp th cá g t IP từ
các g ồ khô g t cậy là hữ h ệ hất.
- Tùy mô hì h q y mô cụ thể của hệ thố g mà c các b ệ pháp bảo vệ phò g

chố g khác ha .
- Các kỹ th ật trê a g và vẫ là vấ ạ g y hạ lớ cho ề I ter et toà c .

C rất h ề v ệc phả làm và ch ẩ bị ể k ểm soát ược chú g. Chú g ta phả
c hữ g bước cụ thể và mạ h m hơ ể cù g khố g chế loạ hì h tấ cô g
này.
VI – Tà L ệ Tham Khảo
1 - Sách:
[1] - Tactical Perimeter Defense
[2] - Sl de “A Toà Mạ g” – Th.s T. Ng. Nhật Q a g.
2 – Website:
[1] - http://www.hvaonline.net
35
[2] - http://ceh.vn
[3] - http://huynhdegroup.net
[4] - http://handsteamsys.com
book ày tô c tham khảo một số bà v ết c g hư tà l ệ của một số à a h

trước.
châ thà h cảm ơ Hacker Llyk l ( gư thực h ệ DDos Trư g Tồ và Bkv cù g

hà g loạt Webs te khác ăm 2008) c g hư a h Hồ Đức D g ( Mr.Soleil ) một số gư bạ
ã g úp ỡ mì h hoà thà h book ày.
Các bạ c thể l ê hệ và g p châ thà h cho mì h ể mì h c thể học h thêm và

hoà th ệ hơ ... cảm ơ các bạ rất rất h ề
Email:
jcalexminmagic@yahoo.com.vn
jcalexmin@gmail.com
jchakingteam@gmail.com
Facebook:
http://www.facebook.com/jcalexmin
Website:
http://jc.bl.ee
..:: JCAlex Min ::..
36

Tấn Công Ddos

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Tấn Công Ddos

Uploaded by

Copyright:

Available Formats

..:: - Các kỹ huậ ấn công Webs e: DoS, DDoS, DRDoS & Bo ne ::..

Mục Lục ........................................................................................................................................................ 0

I - Tấ cô g từ chố dịch vụ (DoS): .............................................................................................................. 2

I.2 - Lịch sử các c ộc tấ cô g và phát tr ể của DoS 2

I.3 - Mục ích của tấ cô g DoS và h ểm họa 4

I.4 - Các hì h thức tấ cô g DoS cơ bả : 5

4.a - Smurf : .......................................................................................................................................... 5

II.2 - Các ặc tí h của tấ cô g DDoS: 12

II.3 - Tấ cô g DDoS khô g thể gă chặ hoà toà : 13

II.4 - Kẻ tấ cô g khô goa : 13

4.a - Agent Handler Model: ................................................................................................................ 13

II.6 - Tấ cô g Reflect ve DNS (reflect ve - phả ch ế ): 16

6.a - Các vấ ề l ê q a tớ tấ cô g Reflect ve DNS:.................................................................... 16

III - DRDoS (Distributed Reflection Denial of Service) ............................................................................ 17

III.2 - Cách Phò g chố g : 19

2.a - Tố th ể h a số lượ g Age t: .................................................................................................... 20

1.a - Bot là gì ? .................................................................................................................................... 24

2.a - DDoS .......................................................................................................................................... 26

3.a - GT-Bot ........................................................................................................................................ 28

IV.5 - Cách phò g chố g Bot et: 33

5.a - Th ê một dịch vụ lọc Web .......................................................................................................... 33

- book ày là báo cáo của tô ( hư một bà test k ế thức ) về A Toà Thô g

- Bây g m các bạ cù g tô tìm h ể về các k th ật tấ cô g Webs te: DoS,

I - Tấ cô g từ chố dịch vụ (DoS):

- Nế kẻ tấ cô g khô g c khả ă g thâm hập ược vào hệ thố g thì chú g cố

- Mặc dù tấ cô g DoS khô g c khả ă g tr y cập vào dữ l ệ thực của hệ thố g

I.2 - Lịch sử các c ộc tấ cô g và phát tr ể của DoS

- Các tấ cô g ày phả ược ồ g bộ hoá một cách thủ cô g bở h ề kẻ tấ

-T y hê chỉ từ c ố ăm 1999 mớ c hữ g báo cáo về hữ g tấ cô g hư

Từ các c ộc tấ cô g Dos thư g x yê sảy ra

Ví dụ : - Vào gày 15 thá g 8 ăm 200 M crosoft ã chị ợt tấ cô g DoS cực

- Vào lúc 15:09 g GMT gày 27 thá g ăm 200 : toà bộ ph ê bả

-G ây hất là 2 vụ DDos lớ vào các tra g mạ g ô g gư tr y cập

I.3 - Mục ích của tấ cô g DoS và h ểm họa

- Cố gắ g làm gắt kết ố g ữa ha máy và gă chặ q á trì h tr y cập vào

- Cố gắ g gă chặ hữ g gư dù g cụ thể vào một dịch vụ ào

- Cố gắ g gă chặ các dịch vụ khô g cho gư khác c khả ă g tr y cập vào.

- Kh tấ cô g DoS xảy ra gư dù g c cảm g ác kh tr y cập vào dịch vụ

+ Disable Network - Tắt mạ g

+ Disable Organization - Tổ chức khô g hoạt ộ g

+ Financial Loss – Tà chí h bị mất

- Như chú g ta b ết ở bê trê tấ cô g DoS xảy ra kh kẻ tấ cô g sử dụ g hết tà

- Tạo ra sự kha h ếm hữ g g ớ hạ và khô g ổ mớ tà g yê

- Bă g thô g của hệ thố g mạ g (Network Ba dw dth) bộ hớ ổ a và CPU

- Tấ cô g vào hệ thố g khác phục vụ cho mạ g máy tí h hư: hệ thố g ề hoà

- Phá hoạ hoặc thay ổ các thô g t cấ hì h.

- Phá hoạ t g vật l hoặc các th ết bị mạ g hư g ồ ệ ề hoà…

I.4 - Các hì h thức tấ cô g DoS cơ bả :

 - Buffer Overflow Attack

4.b - Buffer Overflow Attack :

- B ffer Overflow xảy ra tạ bất kỳ th ểm ào c chươ g trì h gh lượ g thô g t lớ

- Kẻ tấ cô g c thể gh è lê dữ l ệ và ề kh ể chạy các chươ g trì h và á h cắp

- Q á trì h gử một bức thư ệ tử mà f le í h kèm dà q á 25 k tự c thể s xảy ra

hà h khô g thể hậ b ết ược ộ lớ của g t ày và s bị khở ộ g lạ hay ơ g ả

- Để hậ b ết kẻ tấ cô g gử g t lớ hơ g t cho phép thì tươ g ố d dà g.

VD : Ping -l 65500 address

Khoả g ăm 1997-1998 l ãy ã ược f x vì vậy bây g chỉ ma g tí h lịch sử.

 Lợ dụ g ề ày hacker c thể tạo ra h ề g t c g á trị offset trù g lặp ha gử

4.e - SYN Attack:

- Kh c rất h ề g SYN ảo tớ máy chủ và ch ếm hết các yê c xử l của máy chủ.

Mô hì h tấ cô g b g các gói SYN

Bước 1: Cl e t (máy khách) s gử các g t (packet chứa SYN=1) ế máy chủ ể yê

Bước 2: Kh hậ ược g t ày server s gử lạ g t SYN/ACK ể thô g báo cho

Bước 3: C ố cù g cl e t hoà tất v ệc bắt tay ba l b g cách hồ âm lạ g t chứa