DDOS - Distributed Denial Of Service 2

DDOS - Distributed Denial Of Service. • 1998 Chương trình Trinoo Distributed Denial of Service (DDoS) được viết bởi Phifli
Nội dung trích xuất từ tài liệu:
DDOS - Distributed Denial Of Service 2DDOS - Distributed Denial Of Service.• 1998 Chương trình Trinoo Distributed Denial of Service (DDoS) được viết bởiPhifli.• Tháng 5 – 1999 Trang chủ của FBI đã ngừng họat động vì cuộc tấn công bằng(DDOS)• Tháng 6 – 1999 Mạng Trinoo đã được cài đặt và kiểm tra trên hơn 2000 hệthống.DDOS – Distributed Denial Of Service ?• Cuối tháng 8 đầu tháng 9 năm 1999, Tribal Flood Network đầu tiiên ra đời,Chương trình được Mixter Phát triển.• Cuối tháng 9 năm 1999, Công cụ Stacheldraht đã bắt đầu xuất hiện trên những hệthống của Châu âu và Hoa kỳ.• Ngày 21 tháng 10 năm 1999 David Dittrich thuộc trường đại học Washington đãlàm những phân tích về công cụ tấn công từ chối dịch vụ• Ngày 21 tháng 12 năm 1999 Mixter phát hành Tribe Flood Network 2000 (TFN2K ).• 10 : 30 / 7 – 2 -2000 Yahoo! ( Một trung tâm nổi tiếng ) đã bị tấn công từ chốidịch vụ và ngưng trệ hoạt động trong vòng 3 giờ đồng hồ. Web site Mail Yahoo vàGeoCities đã bị tấn công từ 50 địa chỉ IP khác nhau với nhửng yêu cầu chuyễn vậnlên đến 1 gigabit /s.DDOS - Distributed Denial Of Service ?• 8 -2 nhiều Web site lớn như Buy.com, Amazon.com, eBay, Datek, MSN, vàCNN.com bị tấn công từ chối dịch vụ.• Lúc 7 giờ tối ngày 9-2/2000 Website Excite.com là cái đích của một vụ tấn côngtừ chối dịch vụ, dữ liệu được luân chuyễn tới tấp trong vòng 1 giờ cho đến khi kếtthúc, và gói dữ liệu đó đã hư hỏng nặng.• Qua đó ta có thể thấy rõ những vụ tấn công từ chối dịch vụ (Denial Of ServicesAttack ) và những cuộc tấn công về việc gửi nhửng gói dữ liệu tới máy chủ (FloodData Of Services Attack) tới tấp là những mối lo sợ cho nhiều mạng máy tính lớnvà nhỏ hiện nay,• Khi một mạng máy tính bị Hacker tấn công nó sẽ chiếm một lượng lớn tàinguyên trên server như dung lượng ổ cứng, bộ nhớ, CPU, băng thông …. Lượngtài nguyên này tùy thuộc vào khả năng huy động tấn công của mỗi Hacker. Khi đóServer sẽ không thể đáp ứng hết những yêu cầu từ những client của những ngườisử dụng và từ đó server có thể sẽ nhanh chóng bị ngừng hoạt động, crash hoặcreboot.• Tấn công từ chối dịch vụ có rất nhiều dạng như Ping of Death, Teardrop, AlandAttack, Winnuke, Smurf Attack, UDP/ICMP Flooding, TCP/SYN Flooding,Attack DNS.Ping Of Death.Một số máy tính sẽ bị ngưng họat động, Reboot hoặc bị crash khi bị nhận nhữnggói dữ liệu ping có kích thước lớn.• Ví dụ như : ping địachỉ -n 1000trong đó : số 1000 là số lần gửi gói dữ liệu.• TCP/SYN Flooding:Bước 1: Khách hàng gửi một TCP SYN packet đến cổng dịch vụ của máy chủKhách hàng -> SYN Packet -> Máy chủBước 2 : Máy chủ sẽ phản hồi lại khách hàng bằng 1 SYN/ACK Packet và chờnhận một 1 ACK packet từ khách hàngMáy chủ -> SYN/ACK Packet -> Khách hàngBước 3: Khách hàng phản hồi lại Máy chủ bằng một ACK Packet và việc kết nốihòan tất Khách hàng và máy chủ thực hiện công việc trao đổi dữ liệu với nhau.Khách hàng -> ACK Packet -> Máy chủ• Trong trường hợp Hacker thực hiện việc SYN Flooding bằng cách gửi tới tấp,hàng loạt TCP SYN packet đến cổng dịch vụ của máy chủ sẽ làm máy chủ bị quátải và không còn khả năng đáp ứng được nữa.• UDP/ICMP Flooding:Hacker thực hiện bằng cách gửi 1 số lượng lớn các gói tin UDP/ICMP có kíchthước lớn đến hệ thống mạng, khi hệ thống mạng chịu phải sự tấn công này sẽ bịqua tải và chiếm hết băng thông đường truyền đi ra bên ngòai của mạng này, vì thếnó gây ra nhửng ảnh hưởng rất lớn đến đường truyền cũng như tốc độ của mạng,gây nên những khó khăn cho khách hàng khi truy cập từ bên ngoài vào mạng này.• Những điều kiện đủ để có những cuộc tấn công DoS Có hiệu quả:Để có được những cuộc tấn công DOS có hiệu quả thông thường một Hacker phảilựa chọn cho mình những đường truyền có dung lượng lớn cũng như tốc độ máyđược dùng làm công cụ tấn công. Nếu không hội tụ được những điều kiện trên thìcuộc tấn công sẽ không mang lại mấy khả quan.• Nhưng với những tiện ích như Trinoo, TFN2K, Stacheldraht… người tấn côngkhông phải chỉ dùng 1 nơi để tấn công mà sử dụng nhiều mạng lưới khác nhau đểthực hiện việc tấn công đồng lọat. Các máy được dùng để tấn công thường là cácmáy có kết nối Internet bị người tấn công xâm nhập.• Qua đó chúng tôi đã tham khảo và biết một số cách nhưng hầu hết không chốngđược một cách triệt để.1. Khi bạn phát hiện máy chủ mình bị tấn công hãy nhanh chóng truy tìm địa chỉIP đó và cấm không cho gửi dữ liệu đến máy chủ.2. Dùng tính năng lọc dữ liệu của router/firewall để loại bỏ các packet khôngmong muốn, giảm lượng lưu thông trên mạng và tải của máy chủ.3. Sử dụng các tính năng cho phép đặt rate limit trên router/firewall để hạn chế sốlượng packet vào hệ thống.4. Nếu bị tấn công do lỗi của phần mềm hay thiết bị thì nhanh chóng cập nhật cácbản sửa lỗi cho hệ thống đó hoặc thay thế.5. Dùng một số cơ chế, công cụ, phần mềm để chống lại TCP SYN Flooding.6. Tắt các dịch vụ khác nếu có trên máy chủ để giảm tải và có thể đáp ứng tốt hơn.Nếu được c ...