Botnet
Botnet dùng để thực hiện một nhiệm vụ liên tục. Những botnet ác ý truy cập đến hệ thống bằng script và mã độc, nó thông báo cho kẻ tấn công khi hệ thống bị botnet kiểm soát. Thông qua botnet, kẻ tấn công có thể kiểm soát hệ thống và gửi yêu cầu để thực hiện tấn công DoS.
Thiết lập Botnet
Botnet được thiết lập bằng cách cài đặt một bot trên máy nạn nhân thông qua Trojan. Trojan mang bot giả làm payload được chuyển tiếp đến nạn nhân bằng phishing hay chuyển hướng đến website ác ý hoặc website chính thống thỏa hiệp.
Khi Trojan được thực thi, máy tính nạn nhân sẽ bị nhiễm độc và bị kiểm soát bởi handler. Handler là Bộ lệnh và kiểm soát (CandC) sẽ gửi hướng dẫn đến hệ thống nhiễm độc (Bots) để tấn công lên mục tiêu chính.
Quét máy dễ xâm nhập
Có nhiều kĩ thuật để quét máy dễ xâm nhập bao gồm Random, Hit-list, Topological, Subnet, và Permutation scanning.
| Phương pháp | Mô tả |
| Random (quét ngẫu nhiên) | Máy nhiễm độc dò ngẫu nhiên địa chỉ IP để tạo không gian địa chỉ IP và quét chúng tìm lỗ hổng bảo mật. Khi tìm được một máy dễ tổn thương, nó xâm nhập và lây nhiễm máy đó bằng script dùng để nhiễm độc chính nó. Phương pháp quét ngẫu nhiên lan truyền nhiễm độc rất nhanh bởi vì nó thỏa hiệp với nhiều host. |
| Hit-list (quét theo danh sách) | Kẻ tấn công sẽ thu thập thông tin về nhiều máy dễ xâm nhập để tạo một hit-list. Tiếp theo, kẻ tấn công tìm mục tiêu và lây nhiễm độc cho nó. Sau khi lây nhiễm một máy, danh sách được chia thành hai, một nửa được giao cho hệ thống mới thỏa hiệp. Quy trình quét trong hit-list chạy cùng lúc. Kĩ thuật này dùng để bảo đảm mã độc được lan truyền và cài đặt trong thời gian ngắn. |
| Topological (quét topo) | Phương pháp này thu thập thông tin từ hệ thống nhiễm độc để tìm mục tiêu mới. Ban đầu máy thỏa hiệp tìm URL từ đĩa, sau đó lây nhiễm và kiểm tra lỗ hổng bảo mật. Nếu URL chính xác thì phương pháp này có độ chính xác rất cao. |
| Subnet (quét mạng con) | Kĩ thuật này thực hiện để host thỏa hiệp quét mục tiêu trong mạng cục bộ của nó sau một tường lửa. Mục tiêu của kĩ thuật này là tạo một đội quân zombie trong thời gian ngắn. |
| Permutation Scanning (quét hoán vị) | Quét hoán vị sử dụng hoán vị ngẫu nhiên giả. Trong kĩ thuật này, máy nhiễm độc chia sẻ hoán vị ngẫu nhiên giả của địa chỉ IP. Nếu phát hiện một hệ thống đã nhiễm độc bằng hit-list hoặc một phương pháp khác, nó bắt đầu quét từ IP tiếp theo trong danh sách. Nếu phát hiện một hệ thống đã nhiễm độc trong danh sách hoán vị, nó bắt đầu quét từ một điểm ngẫu nhiên trong danh sách. |
Lan truyền code ác ý
Có 3 phương pháp lan truyền code ác ý phổ biến nhất bao gồm lan truyền trung tâm, quay lui và tự quản.
Lan truyền trung tâm
Phương pháp này cần nguồn trung tâm nơi cài đặt bộ công cụ tấn công. Khi kẻ tấn công khai thác máy dễ xâm nhập, nó mở kết nối trên hệ thống nhiễm độc để nghe truyền tệp. Sau đó, bộ công cụ được sao chép từ nguồn trung tâm. Bộ công cụ này được tự động cài đặt sau khi chuyển từ nguồn trung tâm, dùng để thực hiện các tấn công sau này. Cơ chế chuyển tệp để truyền mã độc thường là HTTP, FTP hoặc RPC.
Lan truyền quay lui
Lan truyền quay lui yêu cầu bộ công cụ tấn công cài đặt trên máy kẻ tấn công. Khi kẻ tấn công khai thác máy dễ xâm nhập, nó mở kết nối trên hệ thống nhiễm độc để nghe truyền tệp. Sau đó, bộ công cụ được sao chép từ nguồn trung tâm. Khi cài đặt toolkit trên hệ thống nhiễm độc xong, nó sẽ tìm các hệ thống dễ xâm nhập khác và quá trình lại tiếp tục.
Lan truyền tự quản
Trong quá trình này, kẻ tấn công khai thác và gửi code ác ý đến hệ thống dễ xâm nhập. Toolkit được cài đặt và tìm các hệ thống dễ xâm nhập khác. Khác với phương pháp lan truyền trung tâm, phương pháp này không cần nguồn trung tâm bởi vì nó tự cài đặt toolkit trên máy nạn nhân.
Một số Botnet Trojan
- Blackshades NET
- Cythosia Botnet và Andromeda Bot
- PlugBot
Kĩ thuật phát hiện DoS/DDoS
Profile hoạt động
Kĩ thuật này bao gồm quan sát các hoạt động diễn ra trên mạng hay hệ thống. Bằng cách quan sát và phân tích thông tin header của gói tin như TCP Sync, UDP, ICMP và giao thông netflow, chúng ta có thể quan sát tấn công DoS/DDoS. Profile hoạt động được nhờ so sánh nó với lưu lượng giao thông trung bình của mạng.
Phân tích wavelet
Đây là một quy trình tự động phát hiện tấn công DoS/DDoS qua phân tích dấu hiệu đầu vào. Cơ chế phát hiện tự động hóa này được dùng để phát hiện những bất thường về lưu lượng. Phân tích wavelet đánh giá giao thông và bộ lọc trên một phạm vi nhất định trong khi kĩ thuật Adaptive threshold dùng để phát hiện tấn công DoS.
Phát hiện điểm thay đổi tuần tự
Phát hiện điểm thay đổi là một thuật toán dùng để phát hiện tấn công từ chối dịch vụ. Kĩ thuật này sử dụng thuật toán tính tổng lũy tính không thông số để phát hiện bất thường. Phát hiện điểm thay đổi yêu cầu rất ít chi phí dùng máy điện toán nên hiệu quả và độ chính xác cao.
Chiến thuật đối phó DoS/DDoS
- Bảo vệ nạn nhân thứ cấp
- Phát hiện và trung hòa handler
- Kích hoạt bộ lọc đầu ra và đầu vào
- Làm chệch hướng tấn công bằng cách hướng nó đến honeypot
- Giảm thiểu tấn công bằng cân bằng tải
- Vô hiệu hóa dịch vụ không cần thiết
- Sử dụng anti-malware
- Kích hoạt điều khiển bộ định tuyến
- Sử dụng proxy đảo ngược
- Hấp thụ tấn công
- Hệ thống phát hiện xâm nhập
Kĩ thuật đối phó Botnet
Bộ lọc RFC 3704
RFC 3704 được phát triển để lọc đầu vào cho mạng đa chủ, qua đó giảm thiểu tấn công DDoS. Nó từ chối trao quyền truy cập cho giao thông với địa chỉ giả và đảm bảo theo dõi đến địa chỉ nguồn của nó.
Bộ lọc nguồn IP uy tín
Tính năng lọc nguồn IP uy tín được Cisco IPS đảm bảo lọc giao thông dựa trên điểm uy tín và nhiều yếu tố khác. Thiết bị IPS thu thập thông tin thực từ mạng cơ sở cảm biến. Tính năng tương quan toàn cầu của thiết bị giúp máy tính cập nhật và các mối nguy cơ đã biết như botnet và malware để có thể phát hiện những nguy cơ nâng cao mới. Những cập nhật này thường được tải về trên IPS và các thiết bị tường lửa của Cisco.
Bộ lọc hố đen
Đây là quá trình ngừng giao thông ngầm (giao thông vào hoặc ra) để nguồn không phát hiện sự loại trừ gói tin. Bộ lọc hố đen kích hoạt từ xa (RTBHF), một kĩ thuật định tuyến, được dùng để giảm thiểu tấn công DoS bằng giao thức định tuyến BGB (Border Gateway Protocol). Bộ định tuyến thực hiện lọc hố đen qua giao diện null o. Ngoài ra, kĩ thuật này cũng có thể thực hiện kết hợp với BGB hoặc thiết lập một giao diện null o.
Kích hoạt chặn bắt TCP trên phần mềm Cisco IOS
Lệnh chặn bắt TCP dùng trên bộ định tuyến Cisco IOS để bảo vệ TCP server khỏi tấn công tràn TCP. Tính năng này ngăn chặn tấn công bằng cách chặn bắt hoặc xác nhận kết nối TCP hợp lệ. Gói tin TCP đồng bộ hóa ở đầu vào được so sánh trong danh sách truy cập mở rộng.
Phần mềm chặn bắt TCP phản hồi với yêu cầu kết nối TCP với client dưới danh nghĩa server đích. Nếu kết nối thành công, nó bắt đầu session với server đích như một client và ngầm gắn hai kết nối với nhau. Do đó, tấn công tràn SYN sẽ không thể tới server đích.
Mind Map
