Trojan thường được sử dụng để khởi động các cuộc tấn công từ chối dịch vụ phân tán (DDoS) chống lại các hệ thống được nhắm mục tiêu, nhưng chỉ là một cuộc tấn công DDoS là gì và chúng được thực hiện như thế nào?
Ở mức cơ bản nhất của nó, một cuộc tấn công từ chối dịch vụ phân tán (DDoS) áp đảo hệ thống đích với dữ liệu, sao cho phản hồi từ hệ thống đích bị chậm lại hoặc dừng lại hoàn toàn. Để tạo ra lượng lưu lượng cần thiết, một mạng lưới các máy tính zombie hoặc bot thường được sử dụng nhất.
Zombies hoặc botnet là những máy tính đã bị kẻ tấn công xâm phạm, thông thường thông qua việc sử dụng Trojans, cho phép các hệ thống bị xâm nhập này được điều khiển từ xa. Nói chung, các hệ thống này được điều khiển để tạo ra luồng lưu lượng cao cần thiết để tạo ra một cuộc tấn công DDoS.
Việc sử dụng các botnet này thường được bán đấu giá và giao dịch giữa những kẻ tấn công, do đó một hệ thống bị xâm phạm có thể nằm dưới sự kiểm soát của nhiều tội phạm - mỗi tội phạm có mục đích khác nhau trong đầu. Một số kẻ tấn công có thể sử dụng botnet như một spam-relay, những người khác hoạt động như một trang web tải xuống cho mã độc, một số để lưu trữ các mưu đồ lừa đảo và những người khác cho các cuộc tấn công DDoS nói trên.
Một số kỹ thuật có thể được sử dụng để tạo điều kiện tấn công từ chối dịch vụ phân tán. Hai trong số các yêu cầu HTTP GET phổ biến hơn và SYN Floods. Một trong những ví dụ khét tiếng nhất của một cuộc tấn công HTTP GET là từ sâu MyDoom, nhắm vào trang web SCO.com. Cuộc tấn công GET hoạt động như tên gọi của nó - nó sẽ gửi một yêu cầu cho một trang cụ thể (thường là trang chủ) đến máy chủ đích. Trong trường hợp của sâu MyDoom , 64 yêu cầu được gửi mỗi giây từ mọi hệ thống bị nhiễm. Với hàng chục nghìn máy tính được ước tính bị nhiễm MyDoom, cuộc tấn công nhanh chóng tỏ ra áp đảo với SCO.com, khiến nó bị gián đoạn trong vài ngày.
Một SYN Flood về cơ bản là một cái bắt tay bị hủy bỏ. Giao tiếp Internet sử dụng một cái bắt tay ba chiều. Máy khách khởi tạo bắt đầu với SYN, máy chủ phản hồi với SYN-ACK và máy khách sau đó được yêu cầu trả lời bằng ACK. Sử dụng các địa chỉ IP giả mạo, kẻ tấn công gửi SYN mà kết quả trong SYN-ACK được gửi đến một địa chỉ không yêu cầu (và thường không tồn tại). Máy chủ sau đó đợi phản hồi ACK không có kết quả. Khi số lượng lớn các gói SYN bị hủy bỏ được gửi đến một đích, tài nguyên máy chủ bị cạn kiệt và máy chủ không chống được DDN SYN Flood.
Một số loại tấn công DDoS khác có thể được khởi chạy, bao gồm tấn công mảnh vỡ UDP, lũ ICMP và Ping of Death. Để biết thêm chi tiết về các loại tấn công DDoS, hãy truy cập Phòng thí nghiệm quản lý mạng nâng cao (ANML) và xem xét các tài nguyên tấn công từ chối dịch vụ phân tán (DDoS) của họ.
Xem thêm: PC của bạn có phải là zombie không?