Phần I: của bài viết tập trung vào DoS
Trong phần II này tôi cũng trình bày với các bạn chi
tiết các phương thức tấn công DDoS các thực hiện các phương thức tấn
công này. Nhưng bài viết này chỉ có tác dụng giúp các bạn hiểu biết sâu
về tấn công DDoS mà thôi, các tools giới thiệu chỉ mang tính giới thiệu
vì nó là các tools DDoS cũ.
VI. Mạng BOT NET
1. Ý nghĩa của mạng BOT
- Khi sử dụng một Tool tấn công DoS tới một máy chủ
đôi khi không gây ảnh hưởng gì cho máy chủ - Giả sử bạn sử dụng tool
Ping of Death tới một máy chủ, trong đó máy chủ kết nối với mạng tốc độ
100Mbps bạn kết nối tới máy chủ tốc độ 3Mbps - Vậy tấn công của bạn
không có ý nghĩa gì.
- Nhưng bạn hãy tưởng tượng có 1000 người như bạn
cùng một lúc tấn công vào máy chủ kia khi đó toàn bộ băng thông của 1000
người cộng lại tối đa đạt 3Gbps và tốc độ kết nối của máy chủ là 100
Mbps vậy kết quả sẽ ra sao các bạn có khả năng tưởng tượng.
- Nhưng tôi đang thử hỏi làm cách nào để có 1000 máy
tính kết nối với mạng – tôi đi mua một nghìn chiếc và thuê 1000 thuê bao
kết nối - chắc chắn tôi không làm như vậy rồi và cũng không kẻ tân công
nào sử dụng phương pháp này cả.
- Kẻ tấn công xây dựng một mạng gồm hàng nghìn máy
tính kết Internet (có mạng BOT lên tới 400.000 máy). Vậy làm thể nào
chúng có khả năng lợi dụng người kết nối tới Internet để xây dựng mạng
BOT trong bài viết này tôi sẽ giới thiệu với các bạn các mạng BOT và
cách xây dựng, những Tool xây dựng.
- Khi có trong tay mạng BOT kẻ tấn công sử dụng những
tool tấn công đơn giản để tấn công vào một hệ thống máy tính. Dựa vào
những truy cập hoàn toàn hợp lệ của hệ thống, cùng một lúc chúng sử dụng
một dịch vụ của máy chủ, bạn thử tưởng tượng khi kẻ tấn công có trong
tay 400.000 máy chủ và cùng một lúc ra lệnh cho chúng download một file
trên trang web của bạn. Và đó chính là DDoS – Distributed Denial of
Servcie
- Không có một phương thức chống tấn công DDoS một
cách hoàn toàn nhưng trong bài viết này tôi cũng giới thiệu với các bạn
những phương pháp phòng chống DDoS khi chúng ta đã hiểu về nó.
2. Mạng BOT
- BOT từ viết tắt của từ RoBOT
- IRCbot – còn được gọi là zombia hay drone.
- Internet Relay Chat (IRC) là một dạng truyền dữ
liệu thời gian thực trên Internet. Nó thường được thiết kế sao cho một
người có thể nhắn được cho một group và mỗi người có thể giao tiếp với
nhau với một kênh khác nhau được gọi là – Channels.
- Đầu tiên BOT kết nối kênh IRC với IRC Server và đợi giao tiếp giữa những người với nhau.
- Kẻ tấn công có thể điều khiển mạng BOT và sử dụng mạng BOT cũng như sử dụng nhằm một mục đích nào đó.
- Nhiều mạng BOT kết nối với nhau người ta gọi là BOTNET – botnet.
3. Mạng Botnet.
- Mạng Botnet bao gồm nhiều máy tính
- Nó được sử dụng cho mục đích tấn công DDoS
- Một mạng Botnet nhỏ có thể chỉ bao gồm 1000 máy
tính nhưng bạn thử tưởng tượng mỗi máy tính này kết nối tới Internet tốc
độ chỉ là 128Kbps thì mạng Botnet này đã có khả năng tạo băng thông là
1000*128 ~ 100Mbps – Đây là một con số thể hiện băng thông mà khó một
nhà Hosting nào có thể share cho mỗi trang web của mình.
4. Mục đích sử dụng mạng Botnets
- Tấn công Distributed Denial-of-Service - DDoS
+ Botnet được sử dụng cho tấn công DDoS
- Spamming
+ Mở một SOCKS v4/v5 proxy server cho việc Spamming
- Sniffing traffic
+ Bot cũng có thể sử dụng các gói tin nó sniffer (tóm
được các giao tiếp trên mạng) sau khi tóm được các gói tin nó cố gắng
giải mã gói tin để lấy được các nội dung có ý nghĩa như tài khoản ngân
hàng và nhiều thông tin có giá trị khác của người sử dụng.
- Keylogging
+ Với sự trợ giúp của Keylogger rất nhiều thông tin
nhạy cảm của người dùng có thể sẽ bị kẻ tấn công khai thác như tài khoản
trên e-banking, cũng như nhiều tài khoản khác.
- Cài đặt và lây nhiễm chương trình độc hại
+ Botnet có thể sử dụng để tạo ra mạng những mạng BOT mới.
- Cài đặt những quảng cáo Popup
+ Tự động bật ra những quảng cáo không mong muốn với người sử dụng.
- Google Adsense abuse
+ Tự động thay đổi các kết quả tìm kiếm hiển thị mỗi
khi người dùng sử dụng dịch vụ tìm kiểm của Google, khi thay đổi kết quả
nó sẽ lừa người dùng kích vào những trang web nguy hiểm.
- Tấn công vào IRC Chat Networks
+ Nó được gọi là clone attack
- Phishing
+ Mạng botnet còn được sử dụng để phishing mail nhằm lấy các thông tin nhạy cảm của người dùng.
5. Các dạng của mạng BOT.
Agobot/Phatbot/Forbot/XtremBot
- Đây là những bot được viết bằng C++ trên nền tảng
Cross-platform và mã nguồn được tìm trên GPL. Agobot được viết bởi Ago
nick name được người ta biết đến là Wonk, một thanh niên trẻ người Đức –
đã bị bắt hồi tháng 5 năm 2004 với tội danh về tội phạm máy tính.
- Agobot có khả năng sử dụng NTFS Alternate Data
Stream (ADS) và như một loại Rootkit nhằm ẩn các tiến trình đang chạy
trên hệ thống
SDBot/Rbot/UrBot/UrXbot
- SDBot được viết bằng ngồn ngữ C và cũng được public
bởi GPL. Nó đươc coi như là tiền thân của Rbot, RxBot, UrBot, UrXBot,
JrBot
mIRC-Based Bots – GT-Bots
- GT được viết tắt tư fhai từ Global Threat và tên
thường được sử dụng cho tất cả các mIRC-scripted bots. Nó có khả năng sử
dụng phần mềm IM là mIRC để thiết lập một số script và một số đoạn mã
khác.
6. Các bước xây dựng mạng BotNet? Cách phân tích mạng Bot.
Để hiểu hơn về xây dựng hệ thống mạng BotNet chúng ta
nghiên cứu từ cách lây nhiễm vào một máy tính, cách tạo ra một mạng Bot
và dùng mạng Bot này tấn công vào một đích nào đó của mạng Botnet được
tạo ra từ Agobot’s.
Bước 1: Cách lây nhiễm vào máy tính.
- Đầu tiên kẻ tấn công lừa cho người dùng chạy file
"chess.exe", một Agobot thường copy chúng vào hệ thống và sẽ thêm các
thông số trong Registry để đảm bảo sẽ chạy cùng với hệ thống khi khởi
động. Trong Registry có các vị trí cho các ứng dụng chạy lúc khởi động
tại.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Bước 2: Cách lây lan và xây dựng tạo mạng BOTNET
- Sau khi trong hệ thống mạng có một máy tính bị
nhiễm Agobot, nó sẽ tự động tìm kiếm các máy tính khác trong hệ thống và
lây nhiễm sử dụng các lỗ hổng trong tài nguyên được chia sẻ trong hệ
thống mạng.
- Chúng thường cố gắng kết nối tới các dữ liệu share
mặc định dành cho các ứng dụng quản trị (administrator or
administrative) ví dụ như: C$, D$, E$ và print$ bằng cách đoán usernames
và password để có thể truy cập được vào một hệ thống khác và lây nhiễm.
- Agobot có thể lây lan rất nhanh bởi chúng có khả
năng tận dụng các điểm yếu trong hệ điều hành Windows, hay các ứng dụng,
các dịch vụ chạy trên hệ thống.
Bước 3: Kết nối vào IRC.
- Bước tiếp theo của Agobot sẽ tạo ra một
IRC-Controlled Backdoor để mở các yếu tố cần thiết, và kết nối tới mạng
Botnet thông qua IRC-Controll, sau khi kết nối nó sẽ mở những dịch vụ
cần thiết để khi có yêu cầu chúng sẽ được điều khiển bởi kẻ tấn công
thông qua kênh giao tiếp IRC.
Bước 4: Điều khiển tấn công từ mạng BotNet.
- Kẻ tấn công điều khiển các máy trong mạng Agobot download những file .exe về chạy trên máy.
- Lấy toàn bộ thông tin liên quan và cần thiết trên hệ thống mà kẻ tấn công muốn.
- Chạy những file khác trên hệ thống đáp ứng yêu cầu của kẻ tấn công.
- Chạy những chương trình DDoS tấn công hệ thống khác.
7. Sơ đồ cách hệ thống bị lây nhiễm và sử dụng Agobot.
VII. Các tools tấn công DDoS
1. Nuclear Bot.
- Nuclear Bot là một tool cực mạnh "Multi Advanced
IRC BOT" có thể sử dụng để Floods, Managing, Utilities, Spread, IRC
Related, tấn công DDoS và nhiều mục đích khác.
VIII. Tấn công DDoS
Trên Internet tấn công Distributed Denial of Service
là một dạng tấn công từ nhiều máy tính tới một đích, nó gây ra từ chối
các yêu cầu hợp lệ của các user bình thường. Bằng cách tạo ra những gói
tin cực nhiều đến một đích cụ thể, nó có thể gây tình trạng tương tự như
hệ thống bị shutdown.
2. Các đặc tính của tấn công DDoS.
- Nó được tấn công từ một hệ thống các máy tính cực
lớn trên Internet, và thường dựa vào các dịch vụ có sẵn trên các máy
tính trong mạng botnet
- Các dịch vụ tấn công được điều khiển từ những
"primary victim" trong khi các máy tính bị chiếm quyền sử dụng trong
mạng Bot được sử dụng để tấn công thường được gọi là "secondary
victims".
- Là dạng tấn công rất khó có thể phát hiện bởi tấn công này được sinh ra từ nhiều địa chỉ IP trên Internet.
- Nếu một địa chỉ IP tấn công một công ty, nó có thể
được chặn bởi Firewall. Nếu nó từ 30.000 địa chỉ IP khác, thì điều này
là vô cùng khó khăn.
- Thủ phạm có thể gây nhiều ảnh hưởng bởi tấn công từ
chối dịch vụ DoS, và điều này càng nguy hiểm hơn khi chúng sử dụng một
hệ thống mạng Bot trên internet thực hiện tấn công DoS và đó được gọi là
tấn công DDoS.
3. Tấn công DDoS không thể ngăn chặn hoàn toàn.
- Các dạng tấn công DDoS thực hiện tìm kiếm các lỗ
hổng bảo mật trên các máy tính kết nối tới Internet và khai thác các lỗ
hổng bảo mật để xây dựng mạng Botnet gồm nhiều máy tính kết nối tới
Internet.
- Một tấn công DDoS được thực hiện sẽ rất khó để ngăn chặn hoàn toàn.
- Những gói tin đến Firewall có thể chặn lại, nhưng
hầu hết chúng đều đến từ những địa chỉ IP chưa có trong các Access Rule
của Firewall và là những gói tin hoàn toàn hợp lệ.
- Nếu địa chỉ nguồn của gói tin có thể bị giả mạo,
sau khi bạn không nhận được sự phản hồi từ những địa chỉ nguồn thật thì
bạn cần phải thực hiện cấm giao tiếp với địa chỉ nguồn đó.
- Tuy nhiên một mạng Botnet bao gồm từ hàng nghìn tới
vài trăm nghìn địa chỉ IP trên Internet và điều đó là vô cùng khó khăn
để ngăn chặn tấn công.
4. Kẻ tấn công khôn ngoan.
Giờ đây không một kẻ tấn công nào sử dụng luôn địa
chỉ IP để điều khiển mạng Botnet tấn công tới đích, mà chúng thường sử
dụng một đối tượng trung gian dưới đây là những mô hình tấn công DDoS
a. Agent Handler Model
Kẻ tấn công sử dụng các handler để điều khiển tấn công
b. Tấn công DDoS dựa trên nền tảng IRC
Kẻ tấn công sử dụng các mạng IRC để điều khiển, khuyếch đại và quản lý kết nối với các máy tính trong mạng Botnet.
IX. Phân loại tấn công DDoS
- Tấn công gây hết băng thông truy cập tới máy chủ.
+ Flood attack
+ UDP và ICMP Flood (flood – gây ngập lụt)
- Tấn công khuếch đại các giao tiếp
+ Smurf and Fraggle attack
Tấn công DDoS vào Yahoo.com năm 2000
Sơ đồ phân loại tấn công DDoS
Sơ đồ tấn công DDoS ở dạng Khuếch đại giao tiếp.
Như các bạn biết tấn công Smurf khi sử dụng sẽ Ping
đến địa chỉ Broadcast của một mạng nào đó mà địa chỉ nguồn chính là địa
chỉ của máy cần tấn công, khi đó toàn bộ các gói Reply sẽ được chuyển
tới địa chỉ IP của máy tính bị tấn công.
X. Tấn công Reflective DNS (reflective - phản chiếu).
a. Các vấn đề liên quan tới tấn công Reflective DNS
- Một Hacker có thể sử dụng mạng botnet để gửi rất nhiều yêu cầu tới máy chủ DNS.
- Những yêu cầu sẽ làm tràn băng thông mạng của các máy chủ DNS,
- Việc phòng chống dạng tấn công này có thể dùng Firewall ngăn cấm những giao tiếp từ các máy tính được phát hiện ra.
- Nhưng việc cấm các giao tiếp từ DNS Server sẽ có nhiều vấn đề lớn. Một DNS Server có nhiệm vụ rất quan trọng trên Internet.
- Việc cấm các giao tiếp DNS đồng nghĩa với việc cấm người dùng bình thường gửi mail và truy cập Website.
- Một yêu cầu về DNS thường chiếm bằng 1/73 thời gian
của gói tin trả lời trên máy chủ. Dựa vào yếu tố này nếu dùng một Tools
chuyên nghiệp để làm tăng các yêu cầu tới máy chủ DNS sẽ khiến máy chủ
DNS bị quá tải và không thể đáp ứng cho các người dùng bình thường được
nữa.
b. Tool tấn công Reflective DNS – ihateperl.pl
- ihateperl.pl là chương trình rất nhỏ, rất hiệu quả, dựa trên kiểu tấn công DNS-Reflective
- Nó sử dụng một danh sách các máy chủ DNS để làm tràn hệ thống mạng với các gói yêu cầu Name Resolution.
- Bằng một ví dụ nó có thể sử dụng google.com để
resole gửi tới máy chủ và có thể đổi tên domain đó thành
www.vnexperts.net hay bất kỳ một trang web nào mà kẻ tấn công muôn.
- Để sử dụng công cụ này, rất đơn giản bạn tạo ra một
danh sách các máy chủ DNS, chuyển cho địa chỉ IP của máy cá nhân và
thiết lập số lượng các giao tiếp.
XI. Các tools sử dụng để tấn công DDoS.
Trong toàn bộ các tools tôi giới thiệu trong bài viết
này hầu hết là các tools cũ và không hiệu quả, và chỉ mang tính chất sư
phạm để các bạn có thể hiểu về dạng tấn công DDoS hơn mà thôi. Dưới đây
là các Tools tấn công DDoS.
- Trinoo - Tribe flood Network (TFN) - TFN2K - Stacheldraht - Shaft
- Trinity - Knight - Mstream - Kaiten
Các tools này bạn hoàn toàn có thể Download miễn phí
trên Internet và lưu ý là chỉ để thử đây là các tools yếu và chỉ mang
tính Demo về tấn công DdoS mà thôi.
Theo VnExperts
