Posted on

AppSec, DDoS, cơ bản nguyên tắc

Phát tấn công từ khi phân tán dịch vụ (DDoS)
Tấn công từ phân tán dịch vụ (DDoS) là một nỗ lực độc hại làm cho một dịch vụ trực tuyến không sử dụng được với người dùng, thường bằng cách tạm dừng làm gián đoạn hoặc tạm ngừng dịch vụ của máy chủ lưu trữ của họ.

ddos-la-gi_compressed
DDoS, cơ bản nguyên tắc

Nhịp mỗi giây

Cuộc tấn công DDoS được phát động từ nhiều đầu nhập thiết bị, thường xuyên rộng khắp thế giới trong cái gọi là botnet. Nó khác với công cụ tấn công từ dịch vụ (DoS) khác ở chỗ nó sử dụng một thiết bị được kết nối với Internet (một mạng kết nối) để làm tràn ngập mục tiêu bằng lưu lượng độc hại. This color is the reason for the same as for the tồn tại của hai định nghĩa khác nhau.

tac-hai-cua-tan-cong-ddos_compressed
Phát hành tấn công từ phân tán dịch vụ (DDoS)

“Và điều đó kết thúc bữa tiệc DDoS của chúng tôi: Escapist tạp chí, Eve Online, Minecraft, Liên minh huyền thoại – 8 yêu cầu qua điện thoại.”
Tweet bởi LulzSec – ngày 14 tháng 6 năm 2011, 11:07 CH

Nói chung, doS tấn công và DDoS có thể được chia thành ba loại:

Các cuộc tấn công theo khối lượng
Bao gồm lũ UDP, lũ ICMP và các gói lũ giả khác. Mục tiêu của cuộc tấn công là làm bão hòa băng thông của trang web bị tấn công, được đo bằng bit trên giây (Bps).

Giao thức tấn công
Bao gồm lũ lụt SYN, Tấn công hàng loạt bị phân mảnh, Ping of Death, Smurf DDoS, v.v. Kiểu tấn công này tiêu tốn tài nguyên máy chủ thực tế hoặc tài nguyên của thiết bị truyền thông trung gian như tường lửa và bộ cân bằng tải và được đo bằng gói tin trên giây (Pps).

phan-loai-cac-ddos_compressed
Các kiểu tấn công DDoS phổ biến

Các cuộc tấn công lớp ứng dụng
Bao gồm các cuộc tấn công tốc độ thấp và chậm, lũ GET / POST, các cuộc tấn công nhắm vào các lỗ hổng Apache, Windows hoặc OpenBSD, v.v. Bao gồm các yêu cầu dường như hợp pháp và vô tội, các cuộc tấn công này nhằm mục đích làm sập máy chủ web và được đo bằng yêu cầu mỗi giây (Rps).

Các kiểu tấn công DDoS phổ biến

Một số kiểu tấn công DDoS được sử dụng phổ biến nhất bao gồm:

Lũ UDP

Theo định nghĩa, tràn ngập UDP là bất kỳ cuộc tấn công DDoS nào làm ngập mục tiêu bằng các gói Datagram User Protocol (UDP). Mục đích của cuộc tấn công là làm ngập các cổng ngẫu nhiên trên máy chủ từ xa. Điều này buộc máy chủ phải kiểm tra lại xem ứng dụng có đang lắng nghe trên cổng đó hay không và (khi không tìm thấy ứng dụng nào) phản hồi bằng gói ICMP ‘Destination Unreachable’. Quá trình này làm suy yếu tài nguyên của máy chủ, cuối cùng có thể dẫn đến không có sẵn.

ICMP (Ping) Lũ lụt

Tương tự như nguyên tắc của cuộc tấn công lũ lụt UDP, lũ lụt ICMP làm ngập tài nguyên mục tiêu bằng các gói ICMP Echo Request (ping), thường gửi các gói đó càng nhanh càng tốt mà không cần chờ phản hồi. Kiểu tấn công này có thể tiêu thụ cả băng thông đầu ra và đầu vào, vì máy chủ của nạn nhân thường cố gắng phản hồi bằng các gói ICMP Echo Reply, dẫn đến hệ thống chậm lại đáng kể.

Syn Flood

Cuộc tấn công DDoS tràn ngập SYN khai thác một điểm yếu đã biết trong trình tự kết nối TCP (“bắt tay ba năm”) trong đó yêu cầu SYN để bắt đầu giao tiếp TCP với máy chủ phải được nhận với phản hồi syn-ACK từ máy chủ đó và sau đó được xác nhận với phản hồi ACK từ người yêu cầu. Trong một kịch bản syn-lũ, người yêu cầu gửi nhiều yêu cầu SYN, nhưng không trả lời phản hồi SYN-ACK của máy chủ hoặc gửi yêu cầu SYN từ một địa chỉ IP giả mạo. Trong mọi trường hợp, hệ thống tiếp nhận tiếp tục đợi xác nhận cho từng yêu cầu, buộc tài nguyên cho đến khi không có kết nối mới nào được thực hiện và cuối cùng dẫn đến từ chối dịch vụ.

Ping chết

Cuộc tấn công ping chết chóc (“POD”) liên quan đến việc kẻ tấn công gửi nhiều ping sai hoặc độc hại đến máy tính. Độ dài tối đa của một gói IP (bao gồm cả tiêu đề) là 65,535 byte. Tuy nhiên, lớp liên kết dữ liệu thường áp đặt các giới hạn về kích thước khung hình tối đa – ví dụ: 1500 byte qua Ethernet. Trong trường hợp này, gói IP lớn được chia thành nhiều gói IP (được gọi là các đoạn) và máy chủ nhận sẽ tập hợp các đoạn IP thành một gói hoàn chỉnh. Trong kịch bản Ping of Death, sau khi thao túng nội dung của các đoạn mã một cách độc hại, người nhận kết thúc với một gói IP lớn hơn 65,535 byte trong lắp ráp. Điều này có thể làm tràn bộ đệm bộ nhớ được cấp phát cho gói, khiến các gói hợp pháp bị từ chối dịch vụ.

Sloloris

Slowloris là một công cụ tấn công có mục tiêu chủ cho phép một máy chủ chạy web trên một máy chủ khác mà không ảnh hưởng đến các dịch vụ hoặc khác cổng trên mạng mục tiêu. Slowloris thực hiện điều này bằng cách giữ càng nhiều kết nối đến mục web máy chủ càng mở càng sớm càng tốt. Điều này được thực hiện bằng cách tạo kết nối đến đích máy chủ, nhưng chỉ gửi một yêu cầu phần. Slowloris liên tục gửi nhiều bộ HTTP hơn nhưng không bao giờ hoàn thành yêu cầu. Giữ đích máy chủ cho mỗi kết nối không có thật luôn mở. Cuối cùng điều này sẽ vượt qua tối đa thời gian kết nối nhóm và dẫn đến bổ sung kết nối từ các hợp tác khách hàng.

Leave a Reply

Your email address will not be published. Required fields are marked *