Hướng dẫn tấn công DoS (Denial of Service): Ping of Death, DDOS

DoS Attack là gì?

DOS là một cuộc tấn công được sử dụng để từ chối người dùng hợp pháp truy cập vào một tài nguyên như truy cập trang web, mạng, email, v.v. hoặc làm cho nó cực kỳ chậm. DoS là từ viết tắt của Denial oService. Loại tấn công này thường được thực hiện bằng cách đánh vào tài nguyên mục tiêu như máy chủ web có quá nhiều yêu cầu cùng một lúc. Điều này dẫn đến máy chủ không phản hồi tất cả các yêu cầu. Tác động của việc này có thể làm hỏng máy chủ hoặc làm chậm chúng.

Xem phần trước : Hướng dẫn về Wireshark , Mạng & Mật khẩu Sniffer

Việc cắt đứt một số hoạt động kinh doanh khỏi internet có thể dẫn đến tổn thất kinh doanh hoặc tiền bạc đáng kể. Internet và mạng máy tính hỗ trợ rất nhiều doanh nghiệp. Một số tổ chức như cổng thanh toán, trang thương mại điện tử hoàn toàn phụ thuộc vào internet để kinh doanh.

Trong hướng dẫn này, chúng tôi sẽ giới thiệu cho bạn về tấn công từ chối dịch vụ là gì, nó được thực hiện như thế nào và cách bạn có thể bảo vệ khỏi các cuộc tấn công như vậy.

Các chủ đề được đề cập trong hướng dẫn này

  • Các kiểu tấn công Dos
  • Cách thức hoạt động của các cuộc tấn công DoS
  • Các công cụ tấn công DoS
  • DoS Protection: Ngăn chặn một cuộc tấn công
  • Hoạt động hack: Ping of Death
  • Hoạt động lấy cắp dữ liệu: Khởi động một cuộc tấn công DOS

Các kiểu tấn công Dos

Có hai kiểu tấn công Dos cụ thể là;

  • DoS – kiểu tấn công này được thực hiện bởi một máy chủ duy nhất
  • DoS phân tán – kiểu tấn công này được thực hiện bởi một số máy bị xâm nhập nhằm vào cùng một nạn nhân. Nó làm ngập mạng với các gói dữ liệu.

Cách thức hoạt động của các cuộc tấn công DoS

Hãy xem cách các cuộc tấn công DoS được thực hiện và các kỹ thuật được sử dụng. Chúng ta sẽ xem xét năm kiểu tấn công phổ biến.

Ping of Death

Lệnh ping thường được sử dụng để kiểm tra tính khả dụng của tài nguyên mạng. Nó hoạt động bằng cách gửi các gói dữ liệu nhỏ đến tài nguyên mạng. Ping of Death lợi dụng điều này và gửi các gói dữ liệu vượt quá giới hạn tối đa (65,536 byte) mà TCP / IP cho phép. Sự phân mảnh TCP / IP chia nhỏ các gói tin thành các phần nhỏ được gửi đến máy chủ. Vì các gói dữ liệu đã gửi lớn hơn những gì máy chủ có thể xử lý, máy chủ có thể bị treo, khởi động lại hoặc gặp sự cố.

Smurf

Loại tấn công này sử dụng một lượng lớn lưu lượng truy cập ping Internet Control Message Protocol (ICMP) mục tiêu tại một Địa chỉ phát sóng Internet. Địa chỉ IP trả lời là giả mạo địa chỉ IP của nạn nhân dự định. Tất cả các câu trả lời được gửi đến nạn nhân thay vì IP được sử dụng để ping. Vì một Địa chỉ phát sóng Internet duy nhất có thể hỗ trợ tối đa 255 máy chủ, nên một cuộc tấn công smurf sẽ khuếch đại một ping lên 255 lần. Tác động của việc này là làm chậm mạng đến mức không thể sử dụng được.

Buffer overflow

Bộ đệm là một vị trí lưu trữ tạm thời trong RAM được sử dụng để chứa dữ liệu để CPU có thể thao tác trước khi ghi lại vào đĩa. Bộ đệm có giới hạn về kích thước. Kiểu tấn công này tải bộ đệm với nhiều dữ liệu hơn mà nó có thể chứa. Điều này làm cho bộ đệm bị tràn và làm hỏng dữ liệu mà nó lưu giữ. Ví dụ về tràn bộ đệm là gửi email có tên tệp có 256 ký tự.

Teardrop

Kiểu tấn công này sử dụng các gói dữ liệu lớn hơn. TCP / IP chia chúng thành các đoạn được tập hợp trên máy chủ nhận. Kẻ tấn công điều khiển các gói tin khi chúng được gửi đi để chúng chồng lên nhau. Điều này có thể khiến nạn nhân dự định gặp sự cố khi nó cố gắng tập hợp lại các gói.

Tấn công SYN

SYN là một dạng viết tắt của Synchronize. Kiểu tấn công này lợi dụng kiểu bắt tay ba bước để thiết lập giao tiếp bằng TCP. Cuộc tấn công SYN hoạt động bằng cách làm tràn ngập nạn nhân với các thông điệp SYN không đầy đủ. Điều này khiến máy nạn nhân phân bổ tài nguyên bộ nhớ không bao giờ được sử dụng và từ chối quyền truy cập của người dùng hợp pháp.

Các công cụ tấn công DoS

Sau đây là một số công cụ có thể được sử dụng để thực hiện các cuộc tấn công DoS.

  • Nemesy – công cụ này có thể được sử dụng để tạo các gói tin ngẫu nhiên. Nó hoạt động trên windows. Công cụ này có thể được tải xuống từ http://packetstormsecurity.com/files/25599/nemesy13.zip.html . Do tính chất của chương trình, nếu bạn có phần mềm chống vi-rút, rất có thể nó sẽ bị phát hiện là vi-rút.
  • Land và LaTierra – công cụ này có thể được sử dụng để giả mạo IP và mở các kết nối TCP
  • Blast – công cụ này có thể được tải xuống từ http://www.opencomm.co.uk/products/blast/features.php
  • Panther – công cụ này có thể được sử dụng để làm ngập mạng của nạn nhân bằng các gói UDP.
  • Botnet – đây là vô số máy tính bị xâm nhập trên Internet có thể được sử dụng để thực hiện một cuộc tấn công từ chối dịch vụ phân tán.

DoS Protection: Ngăn chặn một cuộc tấn công

Một tổ chức có thể áp dụng chính sách sau để tự bảo vệ mình trước các cuộc tấn công Từ chối Dịch vụ.

  • Các cuộc tấn công như tràn ngập SYN lợi dụng các lỗi trong hệ điều hành. Cài đặt các bản vá bảo mật có thể giúp giảm nguy cơ xảy ra các cuộc tấn công như vậy.
  • Hệ thống phát hiện xâm nhập cũng có thể được sử dụng để xác định và thậm chí ngăn chặn các hoạt động bất hợp pháp
  • Tường lửa có thể được sử dụng để ngăn chặn các cuộc tấn công DoS đơn giản bằng cách chặn tất cả lưu lượng truy cập đến từ kẻ tấn công bằng cách xác định IP của hắn.
  • Rounter có thể được cấu hình thông qua Danh sách kiểm soát truy cập để giới hạn quyền truy cập vào mạng và loại bỏ lưu lượng truy cập bất hợp pháp bị nghi ngờ.

Hoạt động hack: Ping of Death

Chúng tôi sẽ giả sử bạn đang sử dụng Windows . Chúng tôi cũng sẽ giả định rằng bạn có ít nhất hai máy tính trên cùng một mạng. Các cuộc tấn công DOS là bất hợp pháp trên các mạng mà bạn không được phép làm như vậy. Đây là lý do tại sao bạn sẽ cần thiết lập mạng của riêng mình.

Command prompt trên máy tính mục tiêu

Nhập lệnh ipconfig. Bạn sẽ nhận được kết quả tương tự như hình dưới đây

Đối với ví dụ này, chúng tôi đang sử dụng chi tiết kết nối Băng thông rộng Di động . Ghi lại địa chỉ IP. Lưu ý: để ví dụ này hiệu quả hơn, và bạn phải sử dụng mạng LAN.

 Chuyển sang máy tính mà bạn muốn sử dụng tấn công và mở command prompt

Chúng tôi sẽ ping máy tính nạn nhân của chúng tôi với các gói dữ liệu vô hạn là 65500

Nhập lệnh sau

ping 10.128.131.108 –t | 65500
  • “Ping” gửi các gói dữ liệu đến nạn nhân
  • “10.128.131.108” là địa chỉ IP của nạn nhân
  • “-T” có nghĩa là các gói dữ liệu sẽ được gửi cho đến khi chương trình dừng lại
  • “-L” chỉ định tải dữ liệu sẽ được gửi đến nạn nhân

Bạn sẽ nhận được kết quả tương tự như hình dưới đây

Việc làm ngập máy tính mục tiêu với các gói dữ liệu không ảnh hưởng nhiều đến nạn nhân. Để cuộc tấn công hiệu quả hơn, bạn nên tấn công máy tính mục tiêu bằng ping từ nhiều máy tính.

Cuộc tấn công trên có thể được sử dụng để tấn công rounter, máy chủ web, v.v.

Nếu bạn muốn xem ảnh hưởng của cuộc tấn công trên máy tính mục tiêu, bạn có thể mở trình quản lý tác vụ và xem các hoạt động mạng.

  • Nhấp chuột phải vào thanh tác vụ
  • Chọn bắt đầu trình quản lý tác vụ
  • Nhấp vào tab mạng
  • Bạn sẽ nhận được kết quả tương tự như sau

Nếu cuộc tấn công thành công, bạn sẽ có thể thấy các hoạt động mạng gia tăng.

Hoạt động lấy cắp dữ liệu: Khởi động một cuộc tấn công DOS

Trong kịch bản thực tế này, chúng ta sẽ sử dụng Nemesy để tạo các gói dữ liệu và làm ngập máy tính, rounter hoặc máy chủ mục tiêu.

Như đã nêu ở trên, Nemesy sẽ bị phần mềm diệt vi rút của bạn phát hiện là một chương trình bất hợp pháp. Bạn sẽ phải vô hiệu hóa chương trình chống vi-rút cho bài tập này.

  • Tải xuống Nemesy từ http://packetstormsecurity.com/files/25599/nemesy13.zip.html
  • Giải nén nó và chạy chương trình Nemesy.exe
  • Bạn sẽ nhận được giao diện sau

Nhập địa chỉ IP mục tiêu, trong ví dụ này; chúng tôi đã sử dụng IP mục tiêu mà chúng tôi đã sử dụng trong ví dụ trên.

ĐÂY,

  • 0 là số lượng gói có nghĩa là vô hạn . Bạn có thể đặt nó thành số lượng mong muốn nếu bạn không muốn gửi, gói dữ liệu vô tận
  • Trường kích thước chỉ định các byte dữ liệu sẽ được gửi và độ trễ chỉ định khoảng thời gian tính bằng mili giây.

Bấm vào nút gửi

Bạn sẽ có thể thấy các kết quả sau

Thanh tiêu đề sẽ hiển thị cho bạn số lượng gói được gửi

Bấm vào nút dừng để chương trình ngừng gửi các gói dữ liệu.

Bạn có thể giám sát trình quản lý tác vụ của máy tính mục tiêu để xem các hoạt động mạng.

Tóm lược

  • Mục đích của cuộc tấn công từ chối dịch vụ là từ chối người dùng hợp pháp truy cập vào một tài nguyên như mạng, máy chủ, v.v.
  • Có hai loại tấn công, từ chối dịch vụ và từ chối dịch vụ phân tán.
  • Tấn công từ chối dịch vụ có thể được thực hiện bằng cách sử dụng SYN Flooding, Ping of Death, Teardrop, Smurf hoặc tràn bộ đệm
  • Các bản vá bảo mật cho hệ điều hành, cấu hình rounter, tường lửa và hệ thống phát hiện xâm nhập có thể được sử dụng để bảo vệ khỏi các cuộc tấn công từ chối dịch vụ.
Back to top button