[CEH] Module 10 – Phần 5: Thực hành DoS sử dụng Metasploit và Hping3

TCP SYN Flooding sử dụng Metasploit

SYN flooding tận dụng lỗ hổng liên quan đến cách mà hầu hết các server triển khai 3 bước của TCP three-way handshake. Cuộc tấn công này xảy ra khi hacker gửi các gói SYN (yêu cầu) vô hạn đến server. Quá trình truyền các gói như vậy nhanh hơn hệ thống có thể xử lý. Bình thường, kết nối được thiết lập với TCP three-way handshake và server theo dõi các kết nối trong hàng đợi, đợi các gói ACK phản hồi.

Các bạn có thể tìm đọc thêm các bài viết khác trong chuyên mục CEH Tiếng Việt.

Metasploit là một nền tảng kiểm thử xâm nhập cho phép người dùng tìm kiếm, khai thác và xác minh các lỗ hổng. Ngoài ra, nó cung cấp cơ sở hạ tầng, nội dung và công cụ để kiểm thử xâm nhập và kiểm tra bảo mật toàn diện. Metasploit Framework có nhiều tập lệnh module phụ trợ có thể được dùng để tấn công DoS.

Mình có 3 máy như hình vẽ. Ở đây mình sẽ sử dụng Kali Linux (192.168.31.146) để tấn công máy Windows 7 (192.168.31.141) nhưng giả mạo là IP của máy Linux (192.168.31.145) tấn công.

Trên máy Kali Linux, kiểm tra xem máy Windows 7 có những port nào đang mở bằng công cụ nmap:

nmap 192.168.36.131

Ở đây ta thấy có 3 port 145, 139, 445 đang mở.

Trên máy Windows 7 bật Wireshark để giám sát lưu lượng mạng.

Trên máy Kali Linux, khởi động Metasploit bằng lệnh msfconsole:

Tiếp theo ta tìm kiếm các module liên quan đến SYN Flood attack trong Metasploit Framework bằng câu lệnh search synflood.

Ta tìm thấy module tên là auxiliary/dos/tcp/synflood. Để sử dụng module này, gõ lệnh use auxiliary/dos/tcp/synflood. Sau đó gõ lệnh show options để xem các tham số cần thiết của module:

Mình nhập các tham số:

• RHOSTS: IP của máy mục tiêu cần tấn công
• RPORT: port của máy mục tiêu, ở đây mình chọn 139 là 1 port đang mở trên máy Windows 7
• SHOST: đây là IP cần giả mạo, mình sẽ giả mạo thành IP của máy Linux (192.168.36.145)

Gõ lệnh như sau:

Khi gõ exploit, công cụ sẽ tiến hành tấn công SYN Flooding vào IP đích. Tại máy Windows 7, mình thấy nhận được hàng chục nghìn gói tin đến từ IP 192.168.36.145. Do đó ta đã giả mạo thành công.

Quan sát rằng máy mục tiêu (Windows 7) đã bị chậm đáng kể, cho thấy tấn công DoS đang diễn ra trên máy. Nếu cuộc tấn công tiếp tục trong một thời gian, tài nguyên của máy sẽ dần được tiêu hao hoàn toàn, dẫn đến máy không còn phản hồi được.

DoS sử dụng Hping3

hping3 là một công cụ tạo và quét gói tin dòng lệnh dành cho giao thức TCP/IP, cho phép gửi các yêu cầu ICMP echo và hỗ trợ các giao thức TCP, UDP, ICMP và raw-IP. Nó có thể kiểm tra an ninh mạng, kiểm tra tường lửa, MTU, traceroute, nhận dạng hệ điều hành từ xa, đoán thời gian hoạt động từ xa, kiểm tra TCP/IP stack và các chức năng khác.

Ở đây, chúng ta sẽ sử dụng công cụ hping3 để thực hiện tấn công DoS như SYN flooding, tấn công Ping of Death (PoD) và tấn công tầng ứng dụng UDP flood trên một máy mục tiêu.

SYN Flooding

Tương tự như bên trên, mình sẽ dùng máy Kali Linux để tấn công máy Windows 7.

Trên Windows 7, chuẩn bị sẵn Wireshark để bắt gói tin. Tại máy Kali Linux, sử dụng lệnh sau để tấn công SYN Flooding:

hping3 -S <Target IP Address> -a <Spoofable IP Address> -p <port> --flood

Với các tùy chọn:

• -S: gói SYN
• -a: IP giả mạo
• -p: chỉ định số port tấn công
• --flood: gửi một lượng lớn gói tin

Ở đây IP đích là 192.168.36.141, IP giả mạo là 192.168.36.145 và port đích là port 139.

Sau khi bị tấn công, máy Windows 7 bị chậm (lag) do xử lý không kịp. Tốc độ gửi gói tin của hping3 nhanh hơn Metasploit Framework. Kết quả gói tin bắt được, ta thấy source IP là IP giả mạo 192.168.36.145.

Quan sát giao diện đồ họa của các gói tin đã bắt được. Nhấp vào mục Statistics trên thanh menu, sau đó chọn I/O Graph từ danh sách thả xuống.

Ping-of-Death

Tiếp theo, tương tự dùng lệnh sau để tấn công Ping-of-Death:

hping3 -d 65538 -S -p <port> --flood <Target IP Address>

Với -d chỉ định data size. Kết quả trên Kali Linux:

Trên Wireshark:

Trong tấn công PoD, hacker cố gắng làm cho hệ thống hoặc dịch vụ mục tiêu bị sập, đóng băng hoặc mất ổn định bằng cách gửi các gói tin không đúng cấu trúc hoặc quá lớn bằng cách sử dụng lệnh ping đơn giản.

Lưu ý: Ví dụ, hacker gửi một gói tin có kích thước là 65.538 bytes tới web server mục tiêu. Kích thước gói tin này vượt quá giới hạn kích thước quy định bởi RFC 791 IP, là 65.535 byte. Quá trình tái lắp gói tin trên server nhận có thể gây sự cố hệ thống.

hping3 gửi các gói tin số lượng lớn liên tục đến máy mục tiêu, gây quá tải tài nguyên trên máy đó.

UDP Flooding

Sử dụng câu lệnh sau với option -2 chỉ định mode UDP.

hping3 -2 -p <port> --flood <Target IP Address>

Kết quả như sau:

Trên Wireshark:

Ta thấy 1 lượng lớn gói tin UDP đến từ IP 192.168.36.146.

Một số giao thức ứng dụng dựa trên UDP khác mà hacker có thể sử dụng để tấn công mạng mục tiêu bao gồm:

• CharGEN (Port 19)
• SNMPv2 (Port 161)
• QOTD (Port 17)
• RPC (Port 135)
• SSDP (Cổng 1900)
• CLDAP (Port 389)
• TFTP (Port 69)
• NetBIOS (Port 137, 138, 139)
• NTP (Port 123)
• Quake Network Protocol (Port 26000)
• VoIP (Port 5060)