BotNet và cách hoạt động

Một trong những phương thức tấn công DDoS hiệu quả và phổ biến nhấthiện nay là hoạt động dựa trên hàng tr m máy tính ă bị chiếm quyền điềukhiển (tức các zombie). Những zombie này thường bị kiểm soát và quản lýqua các mạng IRC, sử dụng được gọi là các botnet.Botnet hoạt động như thế nàoỞ bài này chúng ta sẽ xem xét một số cách thức tin tặc có thể dùng đểtấn công và chiếm quyền điều khiển máy tính đích, cùng một số biệnpháp đối phó hiệu quả nhằm bảo vệ máy tính trước những mối...
Nội dung trích xuất từ tài liệu:
BotNet và cách hoạt động [Virus]BotNetvàcáchhoạtđộng MộttrongnhữngphươngthứctấncôngDDoShiệuquảvàphổbiếnnhấthiệnnaylàhoạtđộngdựatrênhàngtrămmáytínhbịchiếmquyềnđiềukhiển(tứccáczombie).NhữngzombienàythườngbịkiểmsoátvàquảnlýquacácmạngIRC,sửdụngđượcgọilàcácbotnet.BotnethoạtđộngnhưthếnàoỞbàinàychúngtasẽxemxétmộtsốcáchthứctintặccóthểdùngđểtấncôngvàchiếmquyềnđiềukhiểnmáytínhđích,cùngmộtsốbiệnphápđốiphóhiệuquảnhằmbảovệmáytínhtrướcnhữngmốiđedoạnguyhiểmluônrìnhrậpxungquanh.Chúngtasẽtìmhiểuvề:•Nhưthếnàolàbot,botnet;cáchthứchoạtđộngcủachúng.•Nhữngthànhphầnphổbiếnnhấttrongbot.•Mộthostcóthểbịtấncôngvàchiếmquyềnđiềukhiểnnhưthếnào.•Biệnphápngănchặnhiệuquảvàcáchđốiphótrướchoạtđộngpháhoạicủachúng.Điềugìbạnnênbiết?•Cáchthứchoạtđộngcủaphầnmềmđộchại(malware)nhưtrojan,worm,….•CơchếđượcdùngtrongkiểutấncôngDDoS.•HiểucáckháiniệmcơbảncủaTCP/IP,DNSvàIRC.Cuốithếkỷ19cũngnhưđầuthiênniênkỷmớiđánhdấubướcpháttriểnnhanh,mạnhcủamộtsốchiếnlượctấncôngkhácbiệtnhắmvàohệthốngmạng.DDoS,tứcDistributedDenialofServices,hìnhthứctấncôngtừchốidịchvụphântánkhéttiếngrađời.TươngtựvớingườianhemDoS(tấncôngtừchốidịchvụ),DDoSđượcpháttánrấtrộng,chủyếunhờtínhđơngiảnnhưngrấtkhóbịdòtìmcủachúng.Đãcónhiềukinhnghiệmđốiphóđượcchiasẻ,vớikhốilượngkiếnthứckhôngnhỏvềnó,nhưngngàynayDDoSvẫnđanglàmộtmốiđedoạnghiêmtrọng,mộtcôngcụnguyhiểmcủahacker.ChúngtahãycùngtìmhiểuvềDDoSvàsảnphẩmkếthừatừnó:cáccuộctấncôngbotnet.GiớithiệuvềBotvàBotnetBotlàviếttắtcủarobot,tứccácchươngtrìnhtựđộnghoá(chứkhôngphảilàngườimáynhưnghĩachúngtavẫngọi)thườngxuyênđượcsửdụngtrongthếgiớiInternet.Ngườitađịnhnghĩaspiderđượcdùngbởicáccôngcụtìmkiếmtrựctuyến,ánhxạwebsitevàphầnmềmđápứngtheoyêucầutrênIRC(nhưeggdrop)làrobot.Cácchươngtrìnhtựđộngphảnứngkhigặpsựkiệnngoàimạngnộibộcũngđượcgọilàrobot.Trongbàinày,chúngtasẽquantâmtớimộtkiểurobotcụthể(haybotnhưtêntắtvẫnthườngđượcgọi)làIRCbot.IRCbotsửdụngcácmạngIRCnhưmộtkênhliênlạcđểnhậnlệnhtừngườidùngtừxa.Vídụcụthểnhư,ngườidùnglàmộtkẻtấncông,cònbotlàmộtTrojanhorse.Mộtlậptrìnhviêngiỏicóthểdễdàngtạoramộtsốbotriêngcủamình,hoặcxâydựnglạitừcácbotcósẵn.Chúngcóthểdễdàngẩnnấptrướcnhữnghệthốngbảomậtcơbản,sauđólàpháttánđinhanhchóngtrongthờigianngắn.IRCIRClàtênviếttắtcủaInternetRelayChat.Đólàmộtgiaothứcđượcthiếtkếchohoạtđộngliênlạctheokiểuhìnhthứctángẫuthờigianthực(vídụRFC1459,cácbảnupdateRFC2810,2811,2812,2813)dựatrênkiếntrúcclientserver.HầuhếtmọiserverIRCđềuchophéptruycậpmiễnphí,khôngkểđốitượngsửdụng.IRClàmộtgiaothứcmạngmởdựatrênnềntảngTCP(TransmissionControlProtocolGiaothứcđiềukhiểntruyềnvận),đôikhiđượcnângcaovớiSSL(SecureSocketsLayerTầngsocketbảomật).MộtserverIRCkếtnốivớiserverIRCkháctrongcùngmộtmạng.NgườidùngIRCcóthểliênlạcvớicảhaitheohìnhthứccôngcộng(trêncáckênh)hoặcriêngtư(mộtđốimột).CóhaimứctruycậpcơbảnvàokênhIRC:mứcngườidùng(user)vàmứcđiềuhành(operator).Ngườidùngnàotạomộtkênhliênlạcriêngsẽtrởthànhngườiđiềuhành.Mộtđiềuhànhviêncónhiềuđặcquyềnhơn(tuỳthuộcvàotừngkiểuchếđộdongườiđiềuhànhbanđầuthiếtlập)sovớingườidùngthôngthường.CácbotIRCđượccoinhưmộtngườidùng(hoặcđiềuhànhviên)thôngthường.Chúnglàcácquytrìnhdaemon,cóthểchạytựđộngmộtsốthaotác.Quátrìnhđiềukhiểncácbotnàythôngthườngdựatrênviệcgửilệnhđểthiếtlậpkênhliênlạcdohackerthựchiện,vớimụcđíchchínhlàpháhoại.Tấtnhiên,việcquảntrịbotcũngđòihỏicơchếthẩmđịnhvàcấpphép.Vìthế,chỉcóchủsởhữuchúngmớicóthểsửdụng.Mộtthànhphầnquantrọngcủacácbotnàylànhữngsựkiệnmàchúngcóthểdùngđểpháttánnhanhchóngtớimáytínhkhác.Xâydựngkếhoạchcầnthậnchochươngtrìnhtấncôngsẽgiúpthuđượckếtquảtốthơnvớithờigianngắnhơn(nhưxâmphạmđượcnhiềumáytínhhơnchẳnghạn).Mộtsốnbotkếtnốivàomộtkênhđơnđểchờlệnhtừkẻtấncôngthìđượcgọilàmộtbotnet.Cáchđâychưalâu,cácmạngzombie(mộttênkháccủamáytínhbịtấncôngtheokiểubot)thườngđượcđiềukhiểnquacôngcụđộcquyền,dochínhnhữngkẻchuyênbẻkhoácốtìnhpháttriển.Trảiquathờigian,chúnghướngtớiphươngthứcđiềukhiểntừxa.IRCđượcxemlàcôngcụphátđộngcáccuộctấncôngtốtnhấtnhờtínhlinhhoạt,dễsửdụngvàđặcbiệtlàcácser ...