• Chú ý

  • Hiện kết quả từ 1 tới 3 của 3
    1. #1
      Sứ giả thiện chí của Bkav
      Danh vọng
      Avatar của dolekien02b6
      Ngày tham gia
      03/11/09
      Bài gửi
      14
      Cảm ơn
      0
      Được cảm ơn 1 lần trong 1 bài viết
      REP Power
      0

      Mặc định Tìm hiểu về tấn công DDOS

      Xin mời mọi người cùng bàn luận về tấn công DDos, cách thức tấn công, phương pháp phòng chống.

      Để thực hiện một cuộc tấn công DDos (Tấn công từ chối dịch vụ), Hacker sẽ sử dụng hệ thống Botnet, để tạo ra hệ thống Botnet, hacker sẽ phát tán backdoor trên các máy tính bằng cách:
      - Gửi email giả mạo có đính kèm mã độc.
      - Lợi dụng lỗ hổng phần mềm.
      - Download File trên internet.
      ...
      Mạng Botnet là tập hợp của các máy tính bị nhiễm Backdoor do hacker phát tán. Theo một khoảng thời gian nào đó, các máy tính này sẽ request tới một server nào đó để nhận các thông tin điều khiển từ Hacker để thực hiện tấn công DDos, nếu có thông tin ra lệnh tấn công, các máy tính này sẽ cùng lúc thực hiện request liên tục tới một server cung cấp dịch vụ nào đó, khiến cho server này bị quá tải, không thể cung cấp dịch vụ. Và cuộc tấn công DDos đã diễn ra.

      Phòng ngừa tấn công từ chối dịch vụ DoS & DDoS

      Hậu quả mà DoS gây ra không chỉ tiêu tốn nhiều tiền bạc, và công sức mà còn mất rất nhiều thời gian để khắc phục. Vì vậy, hãy sử dụng các biện pháp sau để phòng chống DoS & DDoS:
      Phòng ngừa các điểm yếu của ứng dụng (Application Vulnerabilities)
      Các điểm yếu trong tầng ứng dụng có thể bị khai thác gây lỗi tràn bộ đệm dẫn đến dịch vụ bị chấm đứt. Lỗi chủ yếu được tìm thấy trên các ứng dụng mạng nội bộ của Windows, trên các chương trình webserver, DNS, hay SQL database. Cập nhật bản vá (patching) là một trong những yêu cầu quan trọng cho việc phòng ngừa. Trong thời gian chưa thể cập nhật toàn bộ mạng, hệ thống phải được bảo vệ bằng bản vá ảo (virtual patch). Ngoài ra, hệ thống cần đặc biệt xem xét những yêu cầu trao đổi nội dung giữa client và server, nhằm tránh cho server chịu tấn công qua các thành phần gián tiếp (ví dụ SQL injection).
      Phòng ngừa việc tuyển mộ zombie
      Zombie là các đối tượng được lợi dụng trở thành thành phần phát sinh tấn công. Một số trường hợp điển hình như thông qua rootkit (Sony hay Symantec), hay các thành phần hoạt động đính kèm trong mail, hoặc trang web, ví dụ như sử dụng các file jpeg khai thác lỗi của phần mềm xử lý ảnh, các đoạn mã đính kèm theo file flash, hoặc trojan cài đặt theo phishing, hay thông qua việc lây lan worm (Netsky, MyDoom, Sophos). Để phòng chống, hệ thống mạng cần có những công cụ theo dõi và lọc bỏ nội dung (content filtering) nhằm ngăn ngừa việc tuyển mộ zombie của hacker.
      Ngăn ngừa kênh phát động tấn công sử dụng công cụ
      Có rất nhiều các công cụ tự động tấn công DoS, chủ yếu là tấn công phân tán DDoS như TFN, TFN2000 (Tribe Flood Network) tấn công dựa trên nguyên lý Smurf, UDP, SYN, hay ICMP; Trinoo cho UDP flood; Stacheldraht cho TCP ACK, TCP NULL, HAVOC, DNS flood, hoặc tràn ngập TCP với packets headers ngẫu nhiên. Các công cụ này có đặc điểm cần phải có các kênh phát động để zombie thực hiện tấn công tới một đích cụ thể. Hệ thống cần phải có sự giám sát và ngăn ngừa các kênh phát động đó.
      Ngăn chặn tấn công trên băng thông
      Khi một cuộc tấn công DdoS được phát động, nó thường được phát hiện dựa trên sự thay đổi đáng kể trong thành phần của lưu lượng hệ thống mạng. Ví dụ một hệ thống mạng điển hình có thể có 80% TCP và 20% UDP và ICMP. Thống kê này nếu có thay đổi rõ rệt có thể là dấu hiệu của một cuộc tấn công. Slammer worm sẽ làm tăng lưu lượng UDP, trong khi Welchi worm sẽ tạo ra ICMP flood. Việc phân tán lưu lượng gây ra bởi các worm đó gây tác hại lên router, firewall, hoặc cơ sở hạ tầng mạng. Hệ thống cần có những công cụ giám sát và điều phối băng thông nhằm giảm thiểu tác hại của tấn công dạng này.
      Ngăn chặn tấn công qua SYN
      SYN flood là một trong những tấn công cổ nhất còn tồn tại được đến hiện tại, dù tác hại của nó không giảm. Điểm căn bản để phòng ngừa việc tấn công này là khả năng kiểm soát được số lượng yêu cầu SYN-ACK tới hệ thống mạng.
      Phát hiện và ngăn chặn tấn công tới hạn số kết nối
      Bản thân các server có một số lượng tới hạn đáp ứng các kết nối tới nó. Ngay bản thân firewall (đặc biệt với các firewall có tính năng stateful inspection), các kết nối luôn được gắn liền với bảng trạng thái có giới hạn dung lượng. Đa phần các cuộc tấn công đều sinh số lượng kết nối ảo thông qua việc giả mạo. Để phòng ngừa tấn công dạng này, hệ thống cần phân tích và chống được spoofing. Giới hạn số lượng kết nối từ một nguồn cụ thể tới server (quota).
      Phát hiện và ngăn chặn tấn công tới hạn tốc độ thiết lập kết nối
      Một trong những điểm các server thường bị lợi dụng là khả năng các bộ đệm giới hạn giành cho tốc độ thiết lập kết nối, dẫn đến quá tải khi phải chịu sự thay đổi đột ngột về số lượng sinh kết nối. Ở đây việc áp dụng bộ lọc để giới hạn số lượng kết nối trung bình rất quan trọng. Một bộ lọc sẽ xác định ngưỡng tốc độ kết nối cho từng đối tượng mạng. Thông thường, việc này được bằng số lượng kết nối trong thời gian nhất định để cho phép sự dao động trong lưu lượng.

      Các phân tích ở trên được dựa trên những ngầm định cơ bản trong việc bảo vệ hệ thống sau đây:
      1. Các thiết bị bảo vệ cần được đặt trên luồng thông tin và thực hiện trực tiếp việc ngăn ngừa. Điều này xuất phát từ lý do cho tốc độ của một cuộc tấn công (ví dụ khoảng 10.000 đăng ký thành viên trên 1s hướng tới 1 server, hoặc phát tán worm với tốc độ 200ms trên hệ thống mạng Ethernet 100M). Với tốc độ như vậy, cách thức phòng ngừa dạng phát hiện – thông báo ngăn chặn (Host Shun và TCP Reset) không còn phù hợp.
      2. Các cuộc tấn công từ chối dịch vụ chủ yếu nhắm tới khả năng xử lý của hệ thống mạng mà đầu tiên là các thiết bị an ninh thông tin. Năng lực xử lý của IPS hoặc các thành phần content filtering là một trong những điểm cần chú ý, đặc biệt ở sự ổn định trong việc xử lý đồng thời các loại lưu lượng hỗn tạp với kích thước gói tin thay đổi.
      3. Các cuộc tấn công luôn được tích hợp (blend attacks) với sự tổng hợp các phương thức khác nhau. Chính vì vậy, tầm quan trọng của việc phòng ngừa những dấu hiệu lây nhiễm đơn giản là bước đầu tiên để ngăn chặn những cuộc tấn công từ chối dịch vụ.
      Trong hệ thống tổng thể về security, để đối phó với các cuộc tấn công từ chối dịch vụ, thì thành phần IPS được coi là quan trọng nhất ở tính trong suốt với người dùng, nên việc phân tích các luồng thông tin trao đổi giữa server và người dùng không bị ảnh hưởng bởi các luồng tấn công hướng thẳng đến nó.

      Dưới đây là tóm tắt những báo cáo của NSS, tổ chức kiểm tra định khả năng các thiết bị mạng trong môi trường giả lập tấn công cho các thiết bị IPS của các hãng hàng đầu:
      • TopLayer Attack Mitigator IPS
        Theo đúng tên gọi, thiết bị này thực hiện việc chuyển dịch tấn công, không hẳn thực thi ngăn ngừa tấn công. Chính vì thế nên latency tăng cao trong môi trường bị tấn công. Toplayer được khuyến nghị khi sử dụng với đúng mục đích là thiết bị chuyển dịch tấn công.
      • ISS Proventia G
        ISS Proventia G cho thấy khả năng đáp ứng với hầu hết các loại tấn công với latency thấp, ngoại trừ DoS với packet nhỏ. ISS Proventia có thể được dùng trong hệ thống mạng nội bộ với hạ tầng không phải Gigabit.
      • McAffee IntruShield
        MacAffee IntruShield là một thiết bị được đánh giá có khả năng đáp ứng được yêu cầu về bao quát đầy đủ về dấu hiệu tấn công cũng như mức độ latency thấp.
      • TippingPoint UnityOne
        Đây là thiết bị duy nhất NSS cung cấp chứng chỉ NSS Gold (so với các chứng chỉ khác là NSS Approve). Ngoài việc đáp ứng tiêu chí latency và khả năng phát hiện các cuộc tấn công, UnityOne nhỉnh hơn McAffee IntruShield về khả năng dự báo phản hồi (predictable response) với mọi cuộc tấn công.
      • Mô hình hệ thống cần phải được xây dựng hợp lý, tránh phụ thuộc lẫn nhau quá mức. Bởi khi một bộ phận gặp sự cố sẽ làm ảnh hưởng tới toàn bộ hệ thống.
      • Thiết lập mật khẩu mạnh (strong password) để bảo vệ các thiết bị mạng và các nguồn tài nguyên quan trọng khác.
      • Thiết lập các mức xác thực đối với người sử dụng cũng như các nguồn tin trên mạng. Đặc biệt, nên thiết lập chế độ xác thực khi cập nhật các thông tin định tuyến giữa các router.
      • Xây dựng hệ thống lọc thông tin trên router, firewall... và hệ thống bảo vệ chống lại SYN flood.
      • Chỉ kích hoạt các dịch vụ cần thiết, tạm thời vô hiệu hoá và dừng các dịch vụ chưa có yêu cầu hoặc không sử dụng.
      • Xây dựng hệ thống định mức, giới hạn cho người sử dụng, nhằm mục đích ngăn ngừa trường hợp người sử dụng ác ý muốn lợi dụng các tài nguyên trên server để tấn công chính server hoặc mạng và server khác.
      • Liên tục cập nhật, nghiên cứu, kiểm tra để phát hiện các lỗ hổng bảo mật và có biện pháp khắc phục kịp thời.
      • Sử dụng các biện pháp kiểm tra hoạt động của hệ thống một cách liên tục để phát hiện ngay những hành động bất bình thường.
      • Xây dựng và triển khai hệ thống dự phòng
      Lần sửa cuối bởi dolekien02b6; 15/12/09 lúc 10:24 AM Lý do: **** Tự động ghép bài ****

    2. #2
      B------
      Danh vọng
      Avatar của Th13teen
      Ngày tham gia
      22/05/10
      Bài gửi
      1
      Cảm ơn
      0
      Được cảm ơn 0 lần trong 0 Bài viết
      REP Power
      0

      Mặc định

      sv của bọn em đang bị ddos ! Có cách nào để chặn lại các gói tin đồng thời reset đc server nhanh ko anh

    3. #3
      Sứ giả thiện chí của Bkav
      Danh vọng
      Avatar của holiganvn
      Ngày tham gia
      23/11/09
      Đến từ
      TP huế
      Tuổi
      22
      Bài gửi
      261
      Cảm ơn
      192
      Được cảm ơn 342 lần trong 126 Bài viết
      REP Power
      17

      Mặc định

      @dolekien02b6 : cái này do bác viết à,nếu không phải thì nhớ ghi rõ nguồn vào

    Quyền viết bài

    • Bạn không thể gửi chủ đề mới
    • Bạn không thể gửi trả lời
    • Bạn không thể gửi file đính kèm
    • Bạn không thể sửa bài viết của mình