HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

KHOA AN TOÀN THÔNG TIN

BÁO CÁO BÀI TẬP LỚN

Môn học: Kiểm thử xâm nhập

ĐỀ TÀI:
TÌM HIỂU VỀ DENIAL OF SERVICE

Giảng viên : Đinh Trường Duy

Nhóm môn học : Nhóm 03

Nhóm bài tập : Nhóm 01

Các thành viên : Nguyễn Hải Long - B19DCAT115

Ngô Quý Đạt - B19DCAT035

Nguyễn Tùng Sơn - B19DCAT154

Phạm Ngọc Hiếu - B19DCAT071

Nguyễn Đức Nhật - B19DCAT131

Hà Nội, 03/2023
 BẢNG PHÂN CHIA NHIỆM VỤ VÀ ĐÁNH GIÁ THÀNH VIÊN
Mã sinh viên Họ và tên Nhiệm vụ Đánh giá

- Tổng quan + Phát - Thường xuyên tổ

hiện lỗ hổng chức các cuộc họp cho
B19DCAT115 Nguyễn Hải Long - Demo ICMP các bạn vào trao đổi.
Flood Attack - Giao hạn nhiệm vụ
hợp lý.

- Tổng quan + Phát - Tham gia các cuộc

hiện lỗ hổng họp nhóm đầy đủ, nhiệt
B19DCAT071 Phạm Ngọc Hiếu
- Demo slowhttptest tình đóng góp ý kiến
- Nộp báo cáo đúng hạn

- Đánh giá mức độ - Tham gia các cuộc

nghiêm trọng của lổ họp nhóm đầy đủ, nhiệt
B19DCAT154 Nguyễn Tùng Sơn
hổng tình đóng góp ý kiến
- Nộp báo cáo đúng hạn

- Giải pháp và khắc - Tham gia các cuộc

phục họp nhóm đầy đủ, nhiệt
B19DCAT035 Ngô Quý Đạt
- Tấn công gây ngập tình đóng góp ý kiến
lụt (Flooding attack) - Nộp báo cáo đúng hạn

- Tóm tắt và kết - Tham gia các cuộc

luận họp nhóm đầy đủ, nhiệt
B19DCAT131 Nguyễn Đức Nhật
- Thuyết trình tình đóng góp ý kiến
- Nộp báo cáo đúng hạn

1
 MỤC LỤC
DANH MỤC HÌNH ẢNH ......................................................................................3
I. Tổng quan .................................................................................................................... 4
1. Giới thiệu về tấn công từ chối dịch vụ ..................................................................... 4
2. Kỹ thuật tấn công DoS/DDoS .................................................................................. 4
3. Các công cụ tấn công DoS/DDoS ............................................................................ 6
II. Phát hiện lổ hổng .......................................................................................................7
1) Giám sát hệ thống .....................................................................................................7
2) Kiểm tra hệ thống bảo mật .......................................................................................8
3) Sử dụng các công cụ phát hiện tấn công DDoS ...................................................... 8
III. Đánh giá mức độ nghiêm trọng của lổ hổng ........................................................ 8
IV. Giải pháp khắc phục ................................................................................................9
1. Giải pháp ...................................................................................................................9
2. Các công cụ bảo vệ DoS .........................................................................................10
V. Tóm tắt & kết luận .................................................................................................. 13
VI. Demo ....................................................................................................................... 13
1. Tấn công gây ngập lụt (Flooding attack) ............................................................... 13
2. Sử dụng slowhttptes tấn công DDoS ..................................................................... 16
3. ICMP Flood Attack ................................................................................................ 17
TÀI LIỆU THAM KHẢO ...........................................................................................19

2
 DANH MỤC HÌNH ẢNH
Thứ tự Tên bảng Số trang
Bảng 6.1 CPU máy Win10 đang ở mức thấp 14
Bảng 6.2 Chọn dos_attack trên màn hình Manage Plugins 14
Bảng 6.3 Nhập ip máy win10 14
Bảng 6.4 CPU của máy Win10 khi bị tấn công 15
Bảng 6.5 Thực hiện tấn công gây ngập lụt theo kỹ thuật SYN Floods 15
Bảng 6.6 CPU của máy Win10 khi bị tấn công 16
Bảng 6.7 Khởi động apache và website mà người dùng có thể truy 16
cập khi chưa bị tấn công
Bảng 6.8 Sau khi chạy lệnh và không thể truy cập vào Website khi bị 17
tấn công
Bảng 6.9 Tần suất sử dụng băng thông của kết nối mạng trước khi bị 18
tấn công
Bảng 6.10 Tần số sử dụng băng thông tăng đột biến khi bị tấn công 18

3
I. Tổng quan
1. Giới thiệu về tấn công từ chối dịch vụ
Từ chối dịch vụ là 1 cuộc tấn công vào máy tính hay mạng làm giảm hạn chế
hoặc ngăn chặn khả năng truy cập tài nguyên hệ thống cho người dung hợp pháp.
Trong tấn công DoS, kẻ tấn công sẽ làm ngập lụt hệ thống nạn nhân với số lượng truy
cập lớn làm quá tải tài nguyên của nó.
Một cuộc tấn công từ chối dịch vụ phân tán (DDoS) tạo ra vô số hệ thống vị xâm
nhập tấn công một mục tiêu duy nhất, do đó gây ra từ chối dịch vụ cho người dung hệ
thống. Để thực hiện tấn công DDoS, kẻ tấn công sử dụng botnet và tấn công 1 hệ
thống duy nhất.
Quy mô trung bình cuộc tấn công tăng lên 7.39 gigabits/s cao hơn 14% so với
quý 3/2014 và 245% so với quý 4/2013.
2. Kỹ thuật tấn công DoS/DDoS
Các Tấn công Tấn công phân Các cuộc tấn công cạn Tần công tầng
loại tấn dung mảnh kiệt trạng thái TCP ứng dụng
công lượng
Đặc Tiêu tốn Áp đảo khả Sử dụng các bảng trạng Tiêu thụ tài
điểm bang năng tái hợp thái kêt nối có trong các nguyên hoặc dịch
thông của của mục tiêu thành phần cơ sở hạ tầng vụ làm cho người
mạng hoặc các gói tin bị mạng như bộ cân bằng dung hợp pháp
dịch vụ phân mảnh tải, tường lửa, máy chủ không thể sử
ứng dụng web. dụng
- Tấn công băng thông
Một cỗ máy không thể đưa ra đủ yêu cầu để áp đảo thiết bị mạng, do đó tấn công
DDoS được tạo ra thì kẻ tấn công sử dụng nhiều máy tính để tấn công nạn nhân.Khi
tấn công DDoS được thực hiện, mạng bị ngập lụt, nó có thể khiến các thiết bị mạng
như bộ chuyển mạch và bộ định tuyến bị quá tải do thay đổi đáng kể trong lưu
lượng mạng.
Khi kẻ tấn công sử dụng botnet và thực hiện tấn công bằng cách làm tràn ngập
mạng với các gói IMCP ECHO. Về cơ bản, tất cả bang thông được sử dụng và
không còn bang thông cho người dung hợp pháp

4
- Gây ngập lụt yêu cầu dịch vụ
Kẻ tấn công hay 1 nhóm zombie cố gắng làm cạn kiệt tài nguyên máy chủ bằng
cach thiết lập và phá bổ kết nối TCP. Yêu cầu gây ngập lụt dịch vụ máy chủ với 1
lượng lớn kết nối từ nguồn hợp lệ. Nó bắt đầu một yêu cầu trên mọi kết nối.
- Tấn công SYN
Kẻ tấn công gửi một lượng lớn yêu cầu SYN đến máy nạn nhân với những địa chỉ
IP giả mạo. Máy nạn nhân sẽ gửi lại SYN ACK trong response và đợi ACK để
hoàn tất cài đặt phiên. Máy nạn nhân không nhận được trả lời bời vì IP đã gửi SYN
đều là giả mạo
- SYN Flooding
SYN Flooding lợi dụng một lỗ hổng trong cách hầu hết các máy chủ thực hiện bắt
tay ba bước. Khi máy chủ B nhận được yêu cầu SYN từ A, nó phải theo dõi kết nối
được mở một phần trong hàng đợi ít nhất 75s. Kẻ tấn công có thể khai thác kích
thước nhỏ của hàng đợi bằng cách gửi nhiều yêu cầu SYN đến máy chủ những
không bảo giờ trả lời SYN/ACK. Hàng đợi của nạn nhân nhanh chóng được lấp đầy
- Tấn công Peer-to-Peer
Sử dụng tấn công ngang hàng, kẻ tấn công hướng khách hàng đến những nơi chia
sẻ tệp ngang hàng ngắt kết nối khỏi mạng ngang hàng của họ và kết nối tới những
trang web giả mạo. Kẻ tấn công khai thác lỗ hổng tìm thấy trong mạng bằng giao
thức DC++, được sử dụng để chia sẻ tệp giữa các máy khách nhắn tin tức thời. Để
sử dụng phương pháp, kẻ tấn công sử dụng tấn công từ chối dịch vụ quy mô lớn và
xâm nhập trang web này.
- Tấn công từ chối dịch vụ vĩnh viễn
Permanent DoS, còn được gọi là phlashing, dùng để chỉ các cuộc tấn công gây ra
thiệt hại không thể khắc phục cho phần cứng hệ thống. Không như các cuộc tấn
công DoS khác, nó phá hoại phần cứng hệ thống, yêu cầu nạn nhân thay thế hoặc
cài đặt lại phần cứng. Cuộc tấn công này được thực hiện bằng phương pháp được
gọi là “ bricking a system”. Sử dụng phương pháp này, kẻ tấn công gửi các bản cập
nhật phần cứng gian lận đến máy nạn nhân.
- Tấn công gây ngập lụt ứng dụng.

5
 Các cuộc tấn công gây ngập lụt ứng dụng dẫn đến mất một số dịch vụ trong mạng
cụ thể, chẳng hạn như email, tài nguyên mạng, ngừng tạm thời các ứng dụng của
dịch vụ.
Sử dụng cuộc tấn công này kẻ tấn công khai thác điểm yếu trong mã nguồn lập
trình để ngăn ứng dụng xử lý yêu cầu hợp lệ. Bằng cách sử dụng các cuộc tấn công
làm ngập lụt ứng dụng, kẻ tấn công cố gắng:
+ Ngập lụt ứng dụng web cho người dùng hợp pháp.
+ Làm gián đoạn hệ thống hoặc người dùng, chặn người dùng truy cập bằng cách
lặp lại thông tin đăng nhập không hợp lệ.
- Tấn công từ chối dịch vụ phân tán (DRDoS)
Một cuộc tấn công từ chối dịch vụ phân tán (DRDoS) hay còn gọi là cuộc tấn
công giả mạo, liên quan đến việc sử dụng nhiều máy trung gian và máy thứ cấp góp
phần vào cuộc tấn công DdoS thực tế vào máy hoặc ứng dụng mục tiêu. Kẻ tấn
công khởi động cuộc tấn công này bằng cách gửi yêu cầu đến các máy chủ trung
gian, các yêu cầu này phản ánh đến máy thứ cấp, từ đó phản ánh lưu lượng tấn công
đến máy mục tiêu. Mục tiêu chính sẽ bị tấn công bởi những mục tiêu phụ, không
phải kẻ tấn công. Vì nhiều máy nạn nhân trung gian được sử dụng để tăng băng
thông tấn công
3. Các công cụ tấn công DoS/DDoS
- Pandora DDoS Bot ToolKit:
+ Là một loại phần mềm độc hại cho phép kẻ tấn công tạo mạng botnet và thực
hiện các cuộc tấn công từ chối dịch vụ (DDoS) phân tán. Nó là một công cụ mạnh
mẽ và có thể tùy chỉnh, có thể được sử dụng để khởi động các cuộc tấn công
nhằm vào nhiều mục tiêu, bao gồm các trang web, máy chủ và mạng.
+ Thường lây lan qua nhiều phương tiện khác nhau, bao gồm email lừa đảo, kỹ
thuật xã hội hoặc khai thác lỗ hổng phần mềm.
+ Nó cung cấp 5 chế độ tấn công từ chối dịch vụ phân tán: HTTP min, HTTP
Download, HTTP Combo, Socket Connect và Max Flood.
- Dereil và HOIC:
+ Dereil: Một công cụ dòng lệnh có thể được sử dụng để khởi chạy các cuộc tấn
công Từ chối dịch vụ (DoS) đối với địa chỉ IP hoặc tên máy chủ mục tiêu thông

6
 qua các phương thức TCP, UDP và HTTP. Công cụ này tạo ra một lượng lớn lưu
lượng truy cập mạng, làm tràn ngập mục tiêu và tiêu tốn tài nguyên của mục tiêu,
khiến mục tiêu không khả dụng đối với người dùng hợp pháp.
+ HOIC: Một công cụ mã nguồn mở, miễn phí cho phép nhiều kẻ tấn công tham gia
vào một cuộc tấn công, khiến cho việc chống lại nó trở nên khó khăn hơn nhiều.
HOIC hoạt động bằng cách làm tràn ngập một trang web hoặc máy chủ mục tiêu
với một lượng lớn yêu cầu HTTP GET và POST, làm quá tải máy chủ web của nó
và khiến nó không phản hồi hoặc gặp sự cố. Công cụ này cũng cho phép kẻ tấn
công chỉ định số luồng và mục tiêu sẽ sử dụng, làm cho nó có khả năng cấu hình
và thích ứng cao.
- DoS HTTP và BanglaDos
+ DoS HTTP: Một loại công cụ được sử dụng để khởi chạy các cuộc tấn công Từ
chối Dịch vụ (DoS) trên các máy chủ web bằng cách làm tràn ngập chúng với
một lượng lớn yêu cầu HTTP. Nó hoạt động bằng cách gửi một số lượng lớn các
yêu cầu HTTP GET hoặc POST tới máy chủ mục tiêu, làm quá tải máy chủ web
của nó và khiến nó không phản hồi hoặc gặp sự cố.
+ BanglaDos: Một loại công cụ Từ chối dịch vụ (DoS) được sử dụng để khởi chạy
các cuộc tấn công DDoS đối với các máy chủ web. Công cụ BanglaDos hoạt
động bằng cách gửi một lượng lớn yêu cầu HTTP GET tới máy chủ web mục tiêu,
làm quá tải tài nguyên của máy chủ đó và khiến máy chủ không phản hồi hoặc
gặp sự cố.
II. Phát hiện lổ hổng
Một số phương pháp phát hiện lỗ hổng:
1) Giám sát hệ thống
Một số thông số quan trọng cần được giám sát để phát hiện lỗ hổng tấn công DDoS:
- Lưu lượng mạng: Một lưu lượng truy cập đột ngột và không đáng kể có thể là
một tín hiệu cho thấy một cuộc tấn công DDoS đang diễn ra. Các giải pháp giám
sát mạng như NetFlow, sFlow hoặc SNMP (Simple Network Management
Protocol) có thể giúp người quản trị mạng giám sát lưu lượng mạng để xác định
các thiết bị có lưu lượng truy cập cao và giúp tìm kiếm các cuộc tấn công DDoS.

7
 - Băng thông: Một tấn công DDoS sẽ gửi một lượng lớn các yêu cầu đến hệ thống,
làm cho băng thông bị bão hòa và gây ra sự chậm trễ trong việc phản hồi.
- Các tiến trình và dịch vụ: Một tấn công DDoS có thể tấn công một dịch vụ cụ thể,
làm cho dịch vụ đó không còn hoạt động.
- CPU và RAM: Một tấn công DDoS có thể gây ra tải lớn trên hệ thống, dẫn đến sử
dụng CPU và RAM cao và gây ra sự chậm trễ trong việc phản hồi.
- Lỗi kết nối mạng: Một tấn công DDoS có thể gây ra sự cố kết nối mạng và dẫn
đến sự chậm trễ trong việc phản hồi hoặc ngăn cản người dùng truy cập vào hệ
thống.
Một vài công cụ phổ biến: Nagios, Zabbix, SolarWinds hoặc PRTG Network
Monitor được sử dụng để giám sát và đánh giá các thông số kỹ thuật của hệ thống.
2) Kiểm tra hệ thống bảo mật
Kiểm tra hệ thống bảo mật để đảm bảo rằng các lỗ hổng bảo mật đã được giải
quyết và các cập nhật phần mềm mới nhất đã được cài đặt. Nếu các lỗ hổng bảo mật
được tìm thấy, thực hiện các biện pháp khắc phục và bảo vệ lại hệ thống.
3) Sử dụng các công cụ phát hiện tấn công DDoS
Một số công cụ phát hiện tấn công DDoS phổ biến:
- Snort: Một công cụ phát hiện xâm nhập mã nguồn mở, được sử dụng rộng rãi để
phát hiện các tấn công mạng, bao gồm các cuộc tấn công DDoS. Nó sử dụng các
quy tắc để phát hiện các mô hình lưu lượng bất thường và cảnh báo người quản trị.
- ModSecurity: Một chương trình tường lửa ứng dụng Web mã nguồn mở, được sử
dụng để phát hiện và ngăn chặn các cuộc tấn công DDoS. Nó hoạt động bằng cách
giám sát các yêu cầu HTTP đến máy chủ web và cảnh báo với người quản trị nếu
phát hiện bất kỳ mô hình lưu lượng bất thường nào.
- Fail2ban: Một công cụ phát hiện và ngăn chặn các cuộc tấn công từ chối dịch vụ
(DoS) và DDoS. Nó hoạt động bằng cách theo dõi các tập tin nhật ký và tạm thời
cấm IP của kẻ tấn công sau khi phát hiện các yêu cầu bất thường hoặc các mô hình
lưu lượng không bình thường. Fail2ban cũng có thể được sử dụng để ngăn chặn các
cuộc tấn công trên các ứng dụng web, chẳng hạn như SSH, FTP, Apache,…
III. Đánh giá mức độ nghiêm trọng của lổ hổng
Những hậu quả điển hình mà DDoS và DoS gây ra

8
 - Hệ thống, máy chủ bị DoS sẽ sập khiến người dùng không truy cập được.
- Doanh nghiệp sở hữu máy chủ, hệ thống sẽ bị mất doanh thu, chưa kể đến khoản
chi phí cần phải bỏ ra để khắc phục sự cố.
- Khi mạng sập, mọi công việc yêu cầu mạng đều không thể thực hiện, làm gián
đoạn công việc, ảnh hưởng đến hiệu suất công việc.
- Nếu người dùng truy cập website khi nó bị sập sẽ ảnh hưởng đến danh tiếng của
công ty, nếu website sập trong thời gian dài thì có thể người dùng sẽ bỏ đi, lựa
chọn dịch vụ khác thay thế.
- Đối với những vụ tấn công DDoS kỹ thuật cao có thể dẫn đến việc lấy trộm tiền
bạc, dữ liệu khách hàng của công ty.
IV. Giải pháp khắc phục
1. Giải pháp
Một số biện pháp đối phó có thể được thực hiện:
- Triển khai các công cụ chống DoS: Sử dụng các công cụ chống DoS chuyên dụng
như tường lửa, hệ thống ngăn chặn xâm nhập (IPS) và bộ cân bằng tải để phát
hiện và chặn lưu lượng độc hại. Các công cụ này có thể phân tích lưu lượng truy
cập đến, xác định các kiểu tấn công và chặn hoặc chuyển hướng lưu lượng truy
cập trước khi đến các máy chủ được nhắm mục tiêu.
- Tăng băng thông: Tăng băng thông có thể giúp giảm thiểu tác động của các cuộc
tấn công DoS bằng cách đảm bảo rằng máy chủ có đủ khả năng xử lý lưu lượng
truy cập đến. Điều này có thể đạt được bằng cách thêm nhiều máy chủ hơn, sử
dụng mạng phân phối nội dung (CDN) hoặc nâng cấp phần cứng của máy chủ.
- Triển khai lọc lưu lượng: Triển khai lọc lưu lượng có thể giúp ngăn chặn các cuộc
tấn công DoS bằng cách chặn hoặc hạn chế lưu lượng truy cập từ các nguồn đáng
ngờ hoặc bằng cách chặn các loại lưu lượng cụ thể thường được sử dụng trong
các cuộc tấn công DoS. Lọc lưu lượng có thể được thực hiện bằng giải pháp phần
mềm hoặc phần cứng.
- Giám sát lưu lượng mạng: Giám sát lưu lượng mạng có thể giúp phát hiện và xác
định các cuộc tấn công DoS tiềm ẩn. Điều này có thể được thực hiện bằng cách
sử dụng các công cụ giám sát mạng có thể xác định các kiểu lưu lượng truy cập

9
 bất thường hoặc lưu lượng truy cập tăng đột biến. Phát hiện sớm có thể cho phép
thực hiện hành động kịp thời để giảm thiểu cuộc tấn công.
- Có kế hoạch dự phòng: Trong trường hợp xảy ra tấn công DoS, việc có sẵn kế
hoạch dự phòng có thể giúp giảm thiểu tác động của cuộc tấn công. Điều này có
thể liên quan đến việc có các máy chủ dự phòng, sử dụng CDN dự phòng hoặc có
sẵn các phương tiện liên lạc thay thế.
- Giáo dục người dùng: Giáo dục người dùng về các cuộc tấn công DoS có thể giúp
ngăn họ vô tình tham gia vào một cuộc tấn công DoS. Điều này có thể liên quan
đến việc hướng dẫn người dùng về sự nguy hiểm khi nhấp vào các liên kết đáng
ngờ hoặc tải xuống phần mềm không xác định
2. Các công cụ bảo vệ DoS
- NetFlow Analyzer: Có thể được sử dụng để bảo vệ mạng khỏi các cuộc tấn công
Denial of Service (DoS) bằng cách giúp phát hiện các lưu lượng mạng bất thường
hoặc có hại. NetFlow Analyzer có khả năng phát hiện các hành vi lạ hoặc bất
thường như khối lượng truy cập đến một máy chủ hay một mạng con cụ thể tăng đột
biến. Nó cũng có thể phát hiện các gói tin có kích thước lớn hoặc địa chỉ IP giả mạo,
những đặc điểm thường được sử dụng trong các cuộc tấn công DoS.
- SDL Regex Fuzzer: Là một công cụ kiểm thử tự động được sử dụng để tìm lỗi trong
các biểu thức chính quy (regex) được sử dụng trong các ứng dụng web. Bằng cách
sử dụng SDL Regex Fuzzer, các nhà phát triển và nhà quản trị mạng có thể phát
hiện và sửa chữa các lỗ hổng bảo mật trong các biểu thức chính quy, giúp bảo vệ
ứng dụng web khỏi các cuộc tấn công DoS được thực hiện bằng cách sử dụng các
chuỗi đầu vào độc hại. Tuy nhiên, việc sử dụng SDL Regex Fuzzer cũng có thể gây
ra những ảnh hưởng tiêu cực đến hiệu suất của ứng dụng web nếu nó được sử dụng
không đúng cách.
- WANGuard Sensor: Là một phần mềm được sử dụng để giám sát và bảo vệ mạng
khỏi các cuộc tấn công DoS và DDoS. Nó hoạt động bằng cách theo dõi lưu lượng
mạng đến các máy chủ và thiết bị mạng và phát hiện các đối tượng tấn công có thể
đang gửi lưu lượng đến mạng. WANGuard Sensor có thể phát hiện và chặn các cuộc
tấn công DoS và DDoS bằng cách sử dụng các kỹ thuật như đánh giá lưu lượng
mạng, giám sát các cổng và giao thức, phát hiện và ngăn chặn các địa chỉ IP độc hại,

10
 v.v. Nó có thể hoạt động như một hệ thống bảo vệ độc lập hoặc kết hợp với các hệ
thống bảo mật khác để tăng cường tính an toàn của mạng.
- NetScaler Application Firewall: Một giải pháp bảo mật ứng dụng được sử dụng để
bảo vệ mạng khỏi các cuộc tấn công DoS và DDoS. Nó hoạt động bằng cách định
tuyến lưu lượng mạng đến các ứng dụng một cách an toàn và bảo vệ chúng khỏi các
cuộc tấn công DoS và DDoS.
NetScaler Application Firewall sử dụng nhiều kỹ thuật để phát hiện và chặn
các cuộc tấn công DoS và DDoS, bao gồm:
+ Giám sát lưu lượng mạng: NetScaler Application Firewall giám sát lưu lượng
mạng để phát hiện các hoạt động bất thường và đối tượng tấn công.
+ Bộ lọc địa chỉ IP: Nó cho phép bạn đặt các quy tắc để chặn các địa chỉ IP độc
hại.
+ Chỉ định giới hạn tài nguyên: Nó cho phép bạn thiết lập giới hạn tài nguyên để
giảm thiểu rủi ro từ các cuộc tấn công DoS và DDoS.
+ Bảo vệ thời gian chờ: Nó có thể bảo vệ các ứng dụng khỏi các cuộc tấn công
DoS và DDoS bằng cách giới hạn số lượng yêu cầu được phép vào các ứng
dụng trong một khoảng thời gian nhất định.
- Incapsula: Một dịch vụ bảo mật mạng được sử dụng để bảo vệ các ứng dụng trực
tuyến khỏi các cuộc tấn công DoS và DDoS. Incapsula hoạt động bằng cách định
tuyến lưu lượng mạng đến các ứng dụng một cách an toàn và bảo vệ chúng khỏi các
cuộc tấn công DoS và DDoS.
Incapsula sử dụng nhiều kỹ thuật để phát hiện và chặn các cuộc tấn công DoS
và DDoS, bao gồm:
+ Bảo vệ lớp 3 và lớp 4: Incapsula có khả năng bảo vệ lớp 3 và lớp 4 của mô
hình OSI để phát hiện và chặn các cuộc tấn công DDoS. Nó sử dụng các giải
pháp như SYN cookies và giới hạn số kết nối để giảm thiểu tác động của các
cuộc tấn công.
+ Bảo vệ lớp 7: Incapsula có khả năng bảo vệ lớp 7 của mô hình OSI để phát
hiện và chặn các cuộc tấn công DoS. Nó sử dụng các giải pháp như kiểm tra
chính tả và phát hiện hình thức để giảm thiểu tác động của các cuộc tấn công.

11
 + Bộ lọc địa chỉ IP: Incapsula cho phép bạn đặt các quy tắc để chặn các địa chỉ IP
độc hại.
+ Bảo vệ thời gian chờ: Incapsula có thể bảo vệ các ứng dụng khỏi các cuộc tấn
công DoS và DDoS bằng cách giới hạn số lượng yêu cầu được phép vào các
ứng dụng trong một khoảng thời gian nhất định.
- FortiDDoS là một giải pháp bảo vệ DoS/DDoS của Fortinet, một công ty chuyên
cung cấp giải pháp bảo mật mạng. FortiDDoS cung cấp nhiều tính năng và chức
năng để giúp bảo vệ mạng của bạn khỏi các cuộc tấn công DoS/DDoS.
Một số tính năng của FortiDDoS bao gồm:
+ Bảo vệ đa lớp: FortiDDoS cung cấp bảo vệ đa lớp bao gồm bảo vệ tại lớp 3 và
lớp 4 (bảo vệ mạng) cũng như bảo vệ tại lớp 7 (bảo vệ ứng dụng). Điều này
giúp giảm thiểu tác động của các cuộc tấn công DoS/DDoS.
+ Phát hiện và phản ứng nhanh: FortiDDoS có khả năng phát hiện các cuộc tấn
công DoS/DDoS trong thời gian thực và phản ứng nhanh bằng cách sử dụng
các chính sách bảo vệ tùy chỉnh. Nó cũng cung cấp các báo cáo chi tiết về các
cuộc tấn công đã xảy ra để giúp bạn phân tích và cải thiện chính sách bảo vệ
của mình.
+ Kiểm soát băng thông: FortiDDoS có khả năng kiểm soát băng thông để đảm
bảo rằng các tài nguyên mạng của bạn không bị quá tải trong khi đang chịu áp
lực của các cuộc tấn công DoS/DDoS.
+ Dễ triển khai và quản lý: FortiDDoS có giao diện đồ họa dễ sử dụng và hỗ trợ
các cấu hình tùy chỉnh để đáp ứng nhu cầu bảo mật của từng mạng cụ thể. Nó
cũng cung cấp các tính năng quản lý như giám sát và báo cáo để giúp bạn theo
dõi hiệu suất và tình trạng bảo mật của mạng.
- DefensePro là một sản phẩm của hãng bảo mật Radware, được sử dụng để bảo vệ
mạng và ứng dụng của khách hàng khỏi các cuộc tấn công từ chối dịch vụ (DoS) và
tấn công từ chối dịch vụ phân tán (DDoS).
DefensePro sử dụng một số kỹ thuật để ngăn chặn các cuộc tấn công
DoS/DDoS, bao gồm:
+ Giám sát lưu lượng mạng: DefensePro giám sát lưu lượng mạng để phát hiện
các cuộc tấn công DoS/DDoS.

12
 + Phân tích hành vi: DefensePro phân tích các hành vi của người dùng để xác
định xem chúng có phải là người dùng hợp lệ hay là kẻ tấn công.
+ Bảo vệ tập trung: DefensePro tập trung vào việc bảo vệ các thành phần cơ bản
của hệ thống, như các máy chủ chính, mạng cốt lõi, và các tài nguyên quan
trọng khác.
+ Phân tích luồng dữ liệu: DefensePro phân tích các luồng dữ liệu để xác định
các gói tin độc hại và ngăn chặn chúng trước khi chúng có thể tấn công hệ
thống.
V. Tóm tắt & kết luận
Denial of Service (DoS) là một kỹ thuật tấn công mạng, trong đó kẻ tấn công cố
gắng làm ngập chìm một hệ thống bằng cách tạo ra lưu lượng truy cập đáng kể hoặc
gửi các yêu cầu không hợp lệ. Kết quả là hệ thống bị quá tải và không thể xử lý các
yêu cầu hợp lệ từ người dùng.
DoS có thể được thực hiện bằng nhiều cách khác nhau, bao gồm tấn công từ chối
dịch vụ phân tán (DDoS) và tấn công SYN Flooding. Để đối phó với DoS, các tổ chức
cần triển khai các giải pháp bảo mật như tường lửa, phát hiện xâm nhập và giám sát
mạng để giảm thiểu tác động của các cuộc tấn công này.
Ngoài ra, cũng cần có sự chú ý đến việc nâng cao năng lực xử lý của hệ thống để
có thể chịu được mức độ tấn công lớn. Các tổ chức cũng nên đào tạo nhân viên về các
kỹ thuật tấn công và cách phòng chống chúng để có thể phát hiện và ứng phó với các
cuộc tấn công mạng DoS.
VI. Demo
1. Tấn công gây ngập lụt (Flooding attack)
Kiểm tra ip của 2 máy
+ Máy Kali (máy tấn công) : 192.168.17.148
+ Máy Win10 (máy bị tấn công) : 192.168.17.149
Và máy Win10 bắt buộc phải tắt Windows Deffender.
Kiểm tra CPU của máy Win10, đang ở mức thấp

13
 Hình 6.1. CPU máy Win10 đang ở mức thấp
- Tấn công gây ngập lụt theo kỹ thuật LAND
Đầu tiên ta truy cập vào Ettercap với câu lệnh: ettercap -G. Sau đó khi khởi động
Ettercap xong ta chọn Plugins  Manage plugins. Rồi ta ấn chọn tấn công
dos_attack

Hình 6.2. Chọn dos_attack trên màn hình Manage Plugins

Sau khi chọn thì ta sữ nhập IP của máy Win10 vào là 192.168.17.149 và 1 IP
Fake Host bất kỳ ta sẽ chọn 192.168.100.1

Hình 6.3. Nhập ip máy win10

14
 Sau khi nhập IP xong thì sẽ tiến hành tấn công sang máy Win10 vào các Port 135,
139, 149. Sau đó ta check xem CPU của máy Win 10 đang hoạt động ở mức cao 
Tấn công thành công

Hình 6.4. CPU của máy Win10 khi bị tấn công

- Tấn công gây ngập lụt theo kỹ thuật SYN FLoods
Đầu tiên ta cũng truy cập và sử dụng quyền root trên máy Kali và sử dụng lệnh :
hping3 -S --flood -V 192.168.17.149

Hình 6.5. Thực hiện tấn công gây ngập lụt theo kỹ thuật SYN Floods
Lệnh hping3 này sẽ tạo ra một luồng lưu lượng ICMP flood đến địa chỉ IP của
máy Win10. Điều này có thể gây ra quá tải cho mạng của máy Win10 và làm cho
máy Win10 trở nên chậm hoặc không thể truy cập được vào mạng.
Sau đó ta check CPU của máy Win10 nếu máy đang hoạt động cao  Tấn công
thành công.

15
 Hình 6.6. CPU của máy Win10 khi bị tấn công
2. Sử dụng slowhttptes tấn công DDoS
Kịch bản: Sử dụng slowhttptest để công vào máy chủ website (Apache Server)
khiến người dùng hợp pháp không thể truy cập website được.
SlowHTTPTest là một công cụ cấu hình nâng cao, mô phỏng một cuộc tấn công
từ chối dịch vụ. Nó hoạt động trên hầu hết các nền tảng Linux, OSX và Cygwin và
một môi trường giống Unix, giao diện command-line cho Microsoft Windows.
IP Victim (Ubuntu): 192.168.1.11
IP Client (Windows 7): 192.168.1.9
IP Attacker (Kali linux): 192.168.1.5

Hình 6.7. Khởi động apache và website mà người dùng có thể truy cập khi chưa bị tấn công
Sử dụng câu lệnh
showhttptest -c 400 -H -I 10 -r 200 -t GET -u http://192.168.1.11 -x 24 -p 5
Trong đó
-c Số lượng các kết nối, theo pr của tác giả SlowHTTPTest thì phiên bản 1.4 này
có thể tạo tới 64000 kết nối

16
 -H, B, Xác định chúng ta sẽ sử dụng phần gọi là “slow down” trong header hay
trong body của gói tin
-g Sinh output dạng csv, xml, html
-i Thời gian giữa 2 connection
-o Định ra đường dẫn, tên file, nếu sử dụng lựa chọn này thì phải có -g
-r Số lượng kết nối trong 1 giây
-s Giá trị byte trong trường Content-Length, yêu cầu phải có -B trước
-u Target URL
-v Mức độ chi tiết, có các mức từ 0-4
-x Độ lớn (byte) tối đa của dữ liệu gửi đến

Hình 6.8. Sau khi chạy lệnh và không thể truy cập vào Website khi bị tấn công
3. ICMP Flood Attack
Kịch bản: Sử dụng ICMP Flood Attack để thực hiện gửi một lượng lớn các gói tin
ICMP đến đích. Và hệ thống sau khi nhận và xử lý các gói tin ICMP. Nhưng do
lượng gói tin lớn dẫn đến hệ thống không xử lý được tất cả các gói tin cùng lúc dẫn
đến bị quá tải.
Trong bản demo này, em demo về việc sử dụng ICMP Flood Attack để tấn công
máy win7.
Địa chỉ IP của máy win7: 192.168.204.130
Kiểm tra tần suất sử dụng băng thông của kết nối mạng trước khi bị tấn công

17
 Hình 6.9. Tần suất sử dụng băng thông của kết nối mạng trước khi bị tấn công
Sử dụng lệnh: hping3 -c 50000 -d 5000 -S -w 64 -p 80 --flood 192.168.204.130
Trong đó:
-c 50000: Tùy chọn này chỉ định số lượng gói tin sẽ được gửi, trong trường hợp này
là 50.000 gói tin.
-d 5000: Tùy chọn này đặt kích thước dữ liệu của mỗi gói tin là 5000 byte.
-S: Tùy chọn này đặt cờ SYN trên mỗi gói tin.
-w 64: Tùy chọn này đặt kích thước cửa sổ của mỗi gói tin là 64.
-p 80: Tùy chọn này đặt cổng đích là 80, là cổng mặc định cho lưu lượng HTTP.

Hình 6.10. Tần số sử dụng băng thông tăng đột biến khi bị tấn công

18
 TÀI LIỆU THAM KHẢO
[1] Bài giảng Kiểm thử xâm nhập 2021 - Nguyễn Ngọc Điệp - Học viện Công Nghệ
Bưu Chính Viễn Thông.
[2] Bản hướng dẫn BTL-KTXN - Denial Of Service - Đinh Trường Duy.

19