Nguyễn Thế Hùng



tải về 1.28 Mb.
trang3/11
Chuyển đổi dữ liệu25.03.2018
Kích1.28 Mb.
#36565
1   2   3   4   5   6   7   8   9   10   11

Ra lệnh gián tiếp


Phương pháp ra lệnh trực tiếp có 1 số nhược điểm đối với Attacker. Handlers cần phải lưu trữ những định nghĩa về các Agents, và đôi khi, chính những Agents cũng lưu những giá trị để xác định Handler. Vì thế phương pháp ra lệnh trực tiếp thường tạo ra nhiều hiện tượng bất thường trên mạng (ví dụ máy tính đột nhiên mở nhiều cổng lạ chờ kết nối, Web server lại tự khởi tạo liên lạc với nhiều IP ngoài…), khiến cho người quản trị nhanh chóng phát hiện ra dấu vết. Trong phương pháp ra lệnh trực tiếp thì Handler và Agent luôn luôn phải ở trạng thái sẵn sàng đợi lệnh. Dù không có thông điệp nào truyền tải giữa Attacker với Handler, giữa Handler với Agent thì người quản trị vẫn có thể phát hiện ra có những tiến trình ngầm hoạt động trong máy tính, mở những cổng lạ để chờ đợi lệnh điều khiển. Vì thế, Attacker cần phải viết trước những đoạn code để lập kịch bản trước, tránh để cho các quản trị viên phát hiện ra.


6
Điển hình của phương pháp ra lệnh gián tiếp này là việc sử dụng hệ thống Internet Relay Chat (IRC) để điều khiển 1 số lượng lớn Agents. Hai chương trình nổi tiếng đã được sử dụng là Kaiten bot trên Unix và Power bot trên Windows. Đầu tiên, cả Attacker và Agent (bot) đều kết nối tới 1 IRC Server như là 1 IRC Client bình thường. Tới khi hầu hết các sites đều chấp nhận các kênh IRC cho người dùng, thì những giao tiếp DDoS đều chưa tạo bất cứ 1 hiện tượng bất thường nào. Vai trò của Attacker chỉ được thể hiện như là 1 kênh truyền bình thường tới IRC Server, và được bảo vệ bởi password. Có những đoạn code chuẩn định nghĩa về kênh truyền mặc định ở trong các bot, đầu tiên nó sẽ học kênh điều khiển hiện tại ở đâu, bot sẽ nhảy sang kênh đó, và có thể nhận các lệnh điều khiển từ Attacker thông qua IRC Server.



(hình 2: mô hình IRC)

Trong trường hợp này, không có Handler chắn giữa Attacker và Agents, vì thế Attacker thường sử dụng 1 máy khác, được gọi là Stepping Stone để che giấu tung tích của mình với IRC Server, và để đề phòng khi các cơ quan an ninh điều tra.

1


7
.1.3. Các loại tấn công DDoS
Một cuộc tấn công DDoS có thể tiêu tốn hoàn toàn băng thông mạng, bộ đệm gói tin trên router, làm tê liệt khả năng xử lý cpu, ram của nạn nhân. Tôi sẽ tập trung chủ yếu vào cách tấn công làm tràn ngập băng thông mạng và thảo luận về cách hoạt động của một packet flood (gói tin gửi bởi kẻ tấn công).

1.1.3.1. SYN flood attack:

Loại tấn công này sử dụng cơ chế của giao thức TCP, là loại tấn công chủ yếu để làm tràn ngập băng thông của nạn nhân. Một kết nối TCP được hình thành sử dụng cơ chế bắt tay 3 bước. đầu tiên một gói tin SYN với địa chỉ nguồn giả yêu cầu được gửi từ host của kẻ tấn công đến nạn nhân. Nạn nhân tiếp nhận yêu cầu là một SYN-ACK, truy cập cấu trúc dữ liệu cho kết nối, và lưu trữ thông tin cần thiết cho kết nối vào hàng đợi, chờ kẻ tấn công gửi gói tin yêu cầu SYN-ACK ở trên. Khi thực hiện xong điều này, hàng đợi xóa thông tin kết nối, kết nối được thành lập. Nhưng nếu địa chỉ nguồn là địa chỉ giả mạo, bước thứ 3 của quá trình bắt tay 3 bước ở trên không bao giờ được hoàn thành. Do vậy, thông tin cần thiết cho việc kết nối được lưu trữ trong hàng đợi cho đến hết một khoảng thời gian mặc định được thiết lập rồi mới bị loại bỏ. Mỗi server chỉ có một số lượng hạn chế bộ nhớ, do vậy sẽ hạn chế số lượng các kết nối chờ cho tới khi kết nối được thiết lập , một kẻ tấn công gửi tói tin SYN-REQUEST sử dụng địa chỉ nguồn ảo với một tốc độ cao có thể khiến hàng đợi kết nối quá tải, do vậy ngăn cản những người dùng hợp lệ yêu cầu dịch vụ của server.






tải về 1.28 Mb.

Chia sẻ với bạn bè của bạn:
1   2   3   4   5   6   7   8   9   10   11



Cơ sở dữ liệu được bảo vệ bởi bản quyền ©hocday.com 2024
được sử dụng cho việc quản lý
    Quê hương
BÁO CÁO
Tài liệu