Đồ án “Nghiên cứu và tìm hiểu an ninh mạng” - Lê Quang Hà

docx 38 trang phuongnguyen 3520
Bạn đang xem 20 trang mẫu của tài liệu "Đồ án “Nghiên cứu và tìm hiểu an ninh mạng” - Lê Quang Hà", để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên

Tài liệu đính kèm:

  • docxdo_an_nghien_cuu_va_tim_hieu_an_ninh_mang_le_quang_ha.docx

Nội dung text: Đồ án “Nghiên cứu và tìm hiểu an ninh mạng” - Lê Quang Hà

  1. Nghiên cứu và tìm hiểu an ninh mạng LỜI CẢM ƠN SVTH: Lê Quang Hà i
  2. Nghiên cứu và tìm hiểu an ninh mạng MỤC LỤC LỜI CẢM ƠN i MỤC LỤC ii DANH MỤC VIẾT TẮT v DANH MỤC HÌNH ẢNH vi MỞ ĐẦU vii CHƯƠNG 1: TỔNG QUAN VỀ AN NINH MẠNG 1 1.1. TỔNG QUAN THÔNG TIN BẢO MẬT 1 1.1.1. Sự kiện bảo mật của năm 2011 1 1.1.1.1. VietNamNet bị tấn công DDoS lớn chưa từng có 1 1.1.1.2. "Hacktivism" nổi dậy 1 1.1.1.3. Công ty cung cấp giải pháp bảo mật cho chính phủ Hoa Kỳ bị tấn công 2 1.1.2. Các cuộc tấn công DDoS nổi tiếng trong lịch sử 2 1.2. KHÁI NIỆM HACKING 3 1.2.1. Khái niệm Hacker 3 1.2.2. Các loại Hacker 3 1.2.2.1. Black Hat 3 1.2.2.2. White Hat 3 1.2.2.3. Gray Hat 3 1.2.2.4. Suicide Hat 4 1.3. CÁC GIAI ĐOẠN TẤN CÔNG 4 1.3.1. Thăm dò (Reconnaissace) 4 1.3.2. Quét hệ thống (Scanning) 4 1.3.3. Chiếm quyền điều khiển (Gainning access) 4 1.3.4. Duy trì điều khiển hệ thống (Maitaining access) 5 1.3.5. Xoá dấu vết (Clearning tracks) 5 1.4. CÁC KIỂU TẤN CÔNG 5 1.4.1. Operating System Attacks 5 1.4.2. Application level Attacks 5 1.4.3. Shrink Wrap Code Attacks 5 1.4.4. Misconfiguration Attacks 5 CHƯƠNG 2: TỪ CHỐI DỊCH VỤ 7 SVTH: Lê Quang Hà ii
  3. Nghiên cứu và tìm hiểu an ninh mạng 2.1. KHÁI NIỆM DOS 7 2.1.1. Tấn công từ chối dịch vụ 7 2.1.2. Tấn công từ chối dịch vụ phân tán 7 2.1.3. Dấu hiệu khi bị tấn công DoS 7 2.1.4. Các mục đích của tấn công DoS 7 2.1.5. Tội phạm mạng 8 2.1.6. Sơ đồ tổ chức của tổ chức tội phạm mạng 8 2.1.7. Internet Chat Query 8 2.1.8. Internet Relay Chat 9 2.2. KỸ THUẬT TẤN CÔNG DOS 9 2.2.1. Tấn công băng thông 9 2.2.2. Tấn công tràn ngập yêu cầu dịch vụ 10 2.2.3. Tấn công tràn ngập SYN 10 2.2.4. Tấn công tràn ngập ICMP 11 2.2.5. Tấn công điểm nối điểm 12 2.2.6. Tấn công cố định DoS 12 2.2.7. Tấn công tràn ngập ở cấp độ dịch vụ 12 2.3. MẠNG BOTNET 12 2.3.1. Khái niệm botnet 12 2.3.2. Hoạt động 13 2.3.3. Tổ chức 14 2.3.4. Xây dựng và khai thác 14 2.4. MỘT SỐ CÔNG CỤ TẤN CÔNG 15 2.4.1. LOIC 15 2.4.2. DoSHTTP 16 2.5. BIỆN PHÁP ĐỐI PHÓ 16 2.5.1. Kỹ thuật phát hiện 16 2.5.1.1. Hoạt động định hình 16 2.5.1.2. Phân tích wavelet 17 2.5.1.3. Phát hiện thay đổi điểm theo trình tự 17 2.5.2. Biện pháp đối phó chiến lược DoS/ DdoS 17 2.5.3. Biện pháp đối phó tấn công DoS/ DdoS 17 SVTH: Lê Quang Hà iii
  4. Nghiên cứu và tìm hiểu an ninh mạng 2.5.3.1. Bảo vệ thứ cấp victims 17 2.5.3.2. Phát hiện và vô hiệu hóa handers 18 2.5.3.3. Phát hiện tiềm năng tấn công 18 2.5.3.4. Làm lệch hướng tấn công 18 2.5.3.5. Làm dịu cuộc tấn công 18 2.5.3.6. Pháp lý 19 2.5.4. Kỹ thuật để phòng thủ chống lại botnet 19 2.5.5. Biện pháp đối phó DoS/ DdoS 20 2.5.6. Bảo vệ DoS/ DdoS 21 2.5.6.1. Mức độ ISP 21 2.5.6.2. Hệ thống bảo vệ IntelliGuard 21 2.6. CÔNG CỤ BẢO VỆ DOS/ DDOS 21 2.6.1.1. NetFlow Analyzer 21 2.6.1.2. Một số công cụ khác 22 2.7. KIỂM TRA THÂM NHẬP DOS/ DDOS 24 CHƯƠNG 3: MỘT SỐ VÍ DỤ ĐIỂN HÌNH 26 3.1. Tấn công tràn ngập ICMP 26 3.2. Tấn công tràn ngập TCP, UDP, HTTP 26 3.3. Dùng Bonesi giả lập botnet 27 TÀI LIỆU THAM KHẢO 30 NHẬN XÉT CỦA CÁN BỘ HƯỚNG DẪN 31 SVTH: Lê Quang Hà iv
  5. Nghiên cứu và tìm hiểu an ninh mạng DANH MỤC VIẾT TẮT DoS Denial of Service SQL Structured Query Language - ngôn ngữ truy vấn mang tính cấu trúc XSS Cross-site scripting HĐH Hệ điều hành DDoS Distribute Denial of Service ICQ Internet Chat Query IRC Internet Relay Chat ICMP Internet control message protocol PDoS Permanent Denial of Service LOIC Low Orbit Ion Cannon HTTP Hyper Text Transfer Protocol WMN Wireless Mesh Network CNTT Công Nghệ Thông Tin SVTH: Lê Quang Hà v
  6. Nghiên cứu và tìm hiểu an ninh mạng DANH MỤC HÌNH ẢNH Hình 1-1 Các giai đoạn tấn công 4 Hình 2-1 Sơ đồ tổ chức tội phạm mạng 8 Hình 2-2 Tấn công tràn ngập SYN 11 Hình 2-3 Tấn công tràn ngập ICMP 11 Hình 2-4 Hoạt động botnet 13 Hình 2-5 Cách thức một botnet được tạo và gửi spam 14 Hình 2-6 Công cụ LOIC 15 Hình 2-7 Dùng LOIC tấn công DDoS 16 Hình 2-8 Công cụ DoSHTTP 16 Hình 2-9 Cấu hình kích hoạt ngắt TCP trên phần mềm IOS Cisco 21 Hình 2-10 Công cụ NetFlow Analyzer 22 Hình 2-11 Công cụ D-Guard Anti-DDoS Firewall 23 Hình 2-12 Công cụ FortGuard Firewall 24 Hình 3-1 Ping of death 26 Hình 3-2 Bắt wireshark khi bị tấn công tràn ngập ICMP 26 Hình 3-3 Tấn công bằng nhiểu kiểu với LOIC 27 Hình 3-4 Bắt gói tin trong khi tấn công dùng LOIC 27 Hình 3-5 Giả lập botnet tấn công udp 28 Hình 3-6 Gửi gói UDP tới Server từ nhiều địa chỉ khác nhau 28 Hình 3-7 Kết nối SYN tới Server từ địa chỉ khác nhau 29 Hình 3-8 Giả lập botnet tấn công tcp vào site 29 SVTH: Lê Quang Hà vi
  7. Nghiên cứu và tìm hiểu an ninh mạng MỞ ĐẦU Bảo mật an ninh mạng hiện nay được đặt lên hàng đầu với bất kỳ công ty nào có hệ thống mạng dù lớn hay nhỏ. Hiện nay, các hacker trong và ngoài nước luôn tìm cách tấn công và xâm nhập hệ thống để lấy các thông tin nội bộ. Những thông tin nhạy cảm thường ảnh hưởng tới sống còn của công ty. Chính vì vậy, các nhà quản trị mạng luôn cố gắng bảo vệ hệ thống của mình tốt nhất có thể và cố gắng hoàn thiện hệ thống mình để bớt lỗ hổng. Tuy nhiên, một kiểu tấn công rất cổ điển là tấn công từ chối dịch vụ chưa bao giờ mất đi tính nguy hiểm đối với hệ thống mạng. Hậu quả mà DoS gây ra không chỉ tiêu tốn nhiều tiền bạc, và công sức mà còn mất rất nhiều thời gian để khắc phục. DoS và DDoS vẫn đang là vấn đề nan giải chưa có biện pháp nào chống được hoàn toàn cuộc tấn công. Với yêu cầu cấp thiết như vậy, em chọn đề tài “Nghiên cứu và tìm hiểu an ninh mạng” làm đồ án An Ninh Mạng. Mục đích đưa ra khi làm đề tài là hiểu được các kiểu tấn công và cách phòng chống DoS/ DDoS. Đồ án được viết dựa trên slide CEH v7 và được chia làm 3 chương: CHƯƠNG I: TỔNG QUAN AN NINH MẠNG CHƯƠNG II: TẤN CÔNG TỪ CHỐI DỊCH VỤ CHƯƠNG III: MỘT SỐ VÍ DỤ ĐIỂN HÌNH Sinh viên thực hiện: Lê Quang Hà SVTH: Lê Quang Hà vii
  8. Nghiên cứu và tìm hiểu an ninh mạng CHƯƠNG 1: TỔNG QUAN VỀ AN NINH MẠNG 1.1. TỔNG QUAN THÔNG TIN BẢO MẬT 1.1.1. Sự kiện bảo mật của năm 2011 1.1.1.1. VietNamNet bị tấn công DDoS lớn chưa từng có Trong vài ngày qua, báo VietNamNet đã phải hứng chịu một cuộc tấn công từ chối dịch vụ phân tán (DDoS) ở quy mô lớn chưa từng có tại Việt Nam, xuất phát từ một mạng lưới khổng lồ gồm hàng chục ngàn máy tính bị nhiễm vi rút. Bắt đầu từ cuối ngày 4/1/2011, lưu lượng truy cập vào trang chủ báo VietNamNet tại địa chỉ tăng nhanh một cách bất thường, lên tới hàng trăm ngàn kết nối tại một thời điểm. Với lượng độc giả truy cập hàng ngày, số lượng kết nối tại một thời điểm chỉ ở mức dưới một trăm ngàn. Nên việc tại một thời điểm có tới hàng trăm ngàn kết nối liên tục (bao gồm cả của các độc giả thông thường) tới máy chủ web đã khiến băng thông đường truyền mạng bị quá tải. Do vậy, độc giả truy cập vào báo VietNamNet sẽ bị tắc nghẽn ngay từ đường truyền và báo lỗi không tìm thấy máy chủ, phải truy cập vài lần mới mở được trang web. Trên thực tế, báo VietNamNet đã từng bị tấn công DDoS nhiều lần nhưng ở quy mô vài chục ngàn kết nối tại một thời điểm nên băng thông hệ thống và công suất các máy chủ vẫn có thể chịu đựng được. Trong cuộc tấn công DDoS đang diễn ra, kẻ thủ ác đã thể hiện khả năng rất chuyên nghiệp khi huy động một mạng lưới botnet với lượng máy lên tới hàng chục ngàn máy tính. 1.1.1.2. "Hacktivism" nổi dậy Hacktivism là thuật ngữ diễn tả hành động tấn công, đột nhập vào một hệ thống máy tính nhằm mục đích chính trị. Trên thế giới hiện nay, những nhóm hacker mang "mác" hacktivism nổi tiếng có thể kể đến bao gồm Anonymous, LulzSec (đã gác kiếm), hay TeaMp0isoN. Trong suốt năm 2011 qua, các nhóm hacktivism đã tiến hành nhiều hoạt động khác nhau chống lại các cơ quan luật pháp, ngân hàng, chính phủ, các công ty bảo mật và những nhà cung cấp phần mềm như tấn công lỗ thủng an ninh các hệ thống của Tổ chức Liên hiệp quốc (UN), cơ quan tình báo bảo mật Straffor, CIA Đáng lưu ý hơn nữa, trong số những sự việc này, như cuộc tấn công Straffor, đã tiết lộ những lỗ hổng về mặt an ninh như việc lưu trữ các số thẻ tín dụng dưới hình SVTH: LÊ QUANG HÀ 1
  9. Nghiên cứu và tìm hiểu an ninh mạng thức chưa được mã hóa, hay những mật khẩu vô cùng thiếu an toàn được các nhà quản lý sử dụng. 1.1.1.3. Công ty cung cấp giải pháp bảo mật cho chính phủ Hoa Kỳ bị tấn công Vào tháng 1-2011, những hacker thuộc Anonymous đã đột nhập máy chủ web của HBGary Federal – hbgaryfederal.com – thông qua việc sử dụng những đoạn mã SQL bất hợp pháp nhằm khai thác một lỗ hổng bảo mật tồn tại trong cơ sở dữ liệu của một ứng dụng. Sau đó trích xuất mã MD5 cho các mật khẩu thuộc sở hữu của giám đốc điều hành (CEO), Aaron Barr, và COO, Ted Vera. Cả hai đều dùng mật khẩu rất đơn giản: 6 kí tự thường và 2 con số. Những mật khẩu như thế này cho phép những kẻ tấn công tiếp cận vào những tài liệu nghiên cứu của công ty và hàng chục ngàn email được lưu trữ trong Google Apps. Như vậy, việc sử dụng những mật khẩu thiếu an toàn cho hệ thống phần mềm cũ cộng với việc sử dụng điện toán đám mây đã gây ra cơn ác mộng đối với an ninh bảo mật. 1.1.2. Các cuộc tấn công DDoS nổi tiếng trong lịch sử - Năm 2000, một loạt website nổi tiếng như Yahoo, eBay, eTrade, Amazon và CNN trở thành nạn nhân của DDoS. - Tháng 2/2001, máy chủ của Cục tài chính Ireland bị một số sinh viên Đại học Maynooth ở nước này tấn công DDoS. - Ngày 15/8/2003, Microsoft chịu đợt tấn công DoS cực mạnh và làm gián đoạn websites trong vòng 2 giờ. - Tháng 2/2007, hơn 10.000 máy chủ của game trực tuyến như Return to Castle Wolfenstein, Halo, Counter-Strike bị nhóm RUS tấn công với hệ thống điều khiển chủ yếu đặt tại Nga, Uzbekistan và Belarus. - Trong suốt các tuần đầu của cuộc chiến Nam Ossetia 2008, các trang web của chính phủ Georgia luôn trong tình trạng quá tải, gồm các trang web ngân hàng quốc gia và của tổng thống Georgia Mikhail Saakashvili. Chính phủ Nga phủ nhận mọi sự cáo buộc cho rằng họ đứng đằng sau vụ tấn công. - Ngày 25/6/2009 khi Michael Jackson qua đời, lượng truy cập tìm kiếm các từ khóa có liên quan đến ca sĩ này quá lớn khiến Google News lầm tưởng đây là một cuộc tấn công tự động. SVTH: LÊ QUANG HÀ 2
  10. Nghiên cứu và tìm hiểu an ninh mạng - Tháng 8/2009, các vụ DDoS nhắm tới một loạt trang mạng xã hội đình đám như Facebook, Twitter, LiveJournal và một số website của Google được thực hiện chỉ để "khóa miệng" một blogger có tên Cyxymu ở Georgia - Ngày 28/11/2010, WikiLeaks bị tê liệt vì DDoS ngay khi họ chuẩn bị tung ra những tài liệu mật của chính phủ Mỹ. - Ngày 7/12/2010, nhóm hacker có tên Anonymous đánh sập website Visa.com sau khi tổ chức những cuộc tấn công tương tự vào Mastercard và PayPal để trả đũa cho việc chủ WikiLeaks bị tạm giam ở Anh. - Ngày 3/3/2011, dịch vụ blog nổi tiếng thế giới WordPress bị tấn công. - Ngày 4/3/2011, 40 trang web của các cơ quan chính phủ Hàn Quốc bị tê liệt vì DDoS. 1.2. KHÁI NIỆM HACKING 1.2.1. Khái niệm Hacker  Giỏi về lập trình và có kĩ năng trong hệ thống mạng.  Nên làm quen dần với việc nghiên cứu các lổ hỏng, các lỗi bảo mật.  Thành thạo,có hiểu biết về kĩ thuật xâm nhập.  Tự đặt cho mình một nguyên tắc, phải thật nghiêm khắc. 1.2.2. Các loại Hacker 1.2.2.1. Black Hat Loại hacker này thường là một cá nhân có kiến thức, kĩ năng uyên thâm về máy tính, luôn có ý nghĩ đen tối, sắp xếp và lên kế hoạch tấn công bất cứ thứ gì tùy mục đích. Black Hat cũng có thể là một cracker. 1.2.2.2. White Hat Trắng ở đây có nghĩa là luôn làm việc trong sáng, minh bạch để chống lại cái ác, cái đen tối. Những người này cũng phải có kiến thức, kĩ năng uyên thâm như Black Hat, nhưng họ không dùng kiến thức đó để thực hiện những ý đồ đen tối là tấn công,xâm nhập mà họ là những người đi tìm ra lổ hổng và vá lổ hổng đó lại và họ luôn đặt phòng thủ lên hạng đầu. Có thể coi những người này như những người phân tích bảo mật. 1.2.2.3. Gray Hat Những người này có thể thực hiện ý đồ đen tối hôm nay nhưng ngày mai lại giúp phòng thủ, bảo mật. SVTH: LÊ QUANG HÀ 3
  11. Nghiên cứu và tìm hiểu an ninh mạng 1.2.2.4. Suicide Hat Đây có thể coi như là loại hacker cảm tử vậy, có nghĩa là làm việc mà không sợ gì, dù có bị giam 30 năm nhưng vẫn không lo lắng sợ gì. 1.3. CÁC GIAI ĐOẠN TẤN CÔNG Hình 1-1 Các giai đoạn tấn công 1.3.1. Thăm dò (Reconnaissace) Thăm dò mục tiêu là một trong những bước qua trọng để biết những thông tin trên hệ thống mục tiêu. Hacker sử dụng kỹ thuật này để khám phá hệ thống mục tiêu đang chạy trên hệ điều hành nào, có bao nhiêu dịch vụ đang chạy trên các dịch vụ đó, cổng dịch vụ nào đang đóng và cổng nào đang mở, gồm hai loại:  Passive: Thu thập các thông tin chung như vị trí địa lý, điện thoại, email của các cá nhân, người điều hành trong tổ chức.  Active: Thu thập các thông tin về địa chỉ IP, domain, DNS, của hệ thống 1.3.2. Quét hệ thống (Scanning) Quét thăm dò hệ thống là phương pháp quan trọng mà Attacker thường dùng để tìm hiểu hệ thống và thu thập các thông tin như địa chỉ IP cụ thể, hệ điều hành hay các kiến trúc hệ thống mạng. Một vài phương pháp quét thông dụng như: quét cổng, quét mạng và quét các điểm yếu trên hệ thống. 1.3.3. Chiếm quyền điều khiển (Gainning access) Đến đây hacker đã bắt đầu dần dần xâm nhập được hệ thống và tấn công nó ,đã truy cập được nó bằng các lệnh khai thác. Các lệnh khai thác luôn ở bất cứ không gian nào, từ mạng LAN cho tới INTERNET và đã lan rộng ra mạng không dây. Hacker có thể chiếm quyền điều khiển tại:  Mức hệ điều hành/ mức ứng dụng. SVTH: LÊ QUANG HÀ 4
  12. Nghiên cứu và tìm hiểu an ninh mạng  Mức mạng.  Từ chối dịch vụ. 1.3.4. Duy trì điều khiển hệ thống (Maitaining access) Đến đây hacker bắt đầu phá hỏng làm hại, hoặc có thể cài trojan, rootkit, backdoor để lấy thông tin thêm. Thường được thấy sử dụng để đánh cắp tài khoản tín dụng, ngân hàng 1.3.5. Xoá dấu vết (Clearning tracks) Được đề cập đến hoạt động được thực hiện bằng cách hacker cố tình che dấu hành động xâm nhập của mình. Hacker phải tìm cách xóa đi dấu vết mỗi khi đột nhập bằng các phương thức như Steganography, tunneling, and altering log file. 1.4. CÁC KIỂU TẤN CÔNG 1.4.1. Operating System Attacks Tấn công vào hệ điều hành, hệ thống. Thường thì việc mặc định cài đặt một hệ thống có một số lượng lớn các dịch vụ cùng chạy và các cổng kết nối. Điều này sẽ làm kẻ tấn công có nhiều cơ hội tấn công hơn. Tìm ra các bản vá lỗi dường như khó khăn trong một hệ thống mạng phức tạp như ngày nay. Hacker luôn tìm kiếm các hệ điều hành, nghiên cứu các lệnh khai thác lổ hỏng để truy cập, xâm nhập hệ thống. 1.4.2. Application level Attacks Tấn công dựa trên những phần mềm ứng dụng. Những kiểu tấn công như: tấn công tràn bộ đệm, tấn công XSS, DoS, tấn công SQL injection, 1.4.3. Shrink Wrap Code Attacks Khi cài đặt một HĐH nào đó thì có một số lượng cực lớn các tập tin làm việc và sẽ hoàn chỉnh một HĐH, khi đó việc quản trị HĐH đó là việc đơn giản. Nhưng vấn đề ở đây là bạn không điều khiển hay tùy biến, chỉnh sửa tập lệnh này. Các tập tin độc này sẽ đè lên các tập tin mặc định. 1.4.4. Misconfiguration Attacks Tấn công dựa vào các lỗi cấu hình hệ thống  Do hệ thống cấu hình không chính xác ít được bảo mật.  Hệ thống phức tạp nên admin không có đủ hết kỹ năng để fix hết lỗi.  Đa số admin chọn cấu hình default để dễ làm điều này dễ dẫn đến việc hacker khai thác. SVTH: LÊ QUANG HÀ 5
  13. Nghiên cứu và tìm hiểu an ninh mạng Do đó phải config hệ thống chính xác, bỏ những dịch vụ và các phần mềm không cần thiết SVTH: LÊ QUANG HÀ 6
  14. Nghiên cứu và tìm hiểu an ninh mạng CHƯƠNG 2: TỪ CHỐI DỊCH VỤ 2.1. KHÁI NIỆM DOS 2.1.1. Tấn công từ chối dịch vụ Tấn công từ chối dịch vụ là kiểu tấn công vào máy tính hoặc một mạng để ngăn chặn sự truy cập hợp pháp. Trên kiểu tấn công DoS, attackers làm tràn ngập hệ thống của victim với luồng yêu cầu dịch vụ không hợp pháp làm quá tải nguồn (Server), ngăn chặn server thực hiện nhiệm vụ hợp lệ. 2.1.2. Tấn công từ chối dịch vụ phân tán Tấn công từ chối dịch vụ phân tán hay DDoS bao gồm các thỏa hiệp của hệ thống để tấn công mục tiêu duy nhất, là nguyên nhân người sử dụng bị từ chối dịch vụ của hệ thống. Để khởi động một cuộc tấn công DDoS, một kẻ tấn công sử dụng botnet và tấn công một hệ thống duy nhất. 2.1.3. Dấu hiệu khi bị tấn công DoS  Thông thường thì hiệu suất mạng sẽ rất chậm.  Không thể sử dụng website.  Không truy cập được bất kỳ website nào.  Tăng lượng thư rác nhanh chóng. 2.1.4. Các mục đích của tấn công DoS - Cố gắng chiếm băng thông mạng và làm hệ thống mạng bị ngập (flood), khi đó hệ thống mạng sẽ không có khả năng đáp ứng những dịch vụ khác cho người dùng bình thường. - Cố gắng làm ngắt kết nối giữa hai máy, và ngăn chặn quá trình truy cập vào dịch vụ. - Cố gắng ngăn chặn những người dùng cụ thể vào một dịch vụ nào đó. - Cố gắng ngăn chặn các dịch vụ không cho người khác có khả năng truy cập vào. - Khi tấn công DoS xảy ra người dùng có cảm giác khi truy cập vào dịch vụ đó như bị: + Tắt mạng . + Tổ chức không hoạt động. SVTH: LÊ QUANG HÀ 7
  15. Nghiên cứu và tìm hiểu an ninh mạng + Tài chính bị mất. 2.1.5. Tội phạm mạng Tội phạm mạng ngày càng được liên kết với các tập đoàn tội phạm có tổ chức để tận dụng lợi thế của các kỹ thuật tinh vi của họ. Những nhóm có tổ chức tội phạm mạng làm việc trênhệ thống thiết lập thứ bậc với một mô hình chia sẻ doanh thu, giống như một tập đoàn lớn cung cấp các dịch vụ phạm tội . Nhóm tổ chức tạo ra và thuê botnet để cung cấp các dịch vụ khác nhau, từ việc viết phần mềm độc hại, tấn công các tài khoản ngân hàng, để tạo ra tấn công DoS lớn đối với bất kỳ mục tiêu với một mức giá. Theo Verizon 2010 dữ liệu báo cáo điều tra vi phạm, phần lớn các vi phạm đã điều khiển bởi các nhóm có tổ chức và hầu như tất cả các dữ liệu bị đánh cắp (70%) là công việc của bọn tội phạm tổ chức bên ngoài. Sự tham gia ngày càng tăng của tổ chức tội phạm chiến tranh mạng với động cơ chính trị (hacktivism) là một vấn đề quan tâm cho các cơ quan an ninh quốc gia. 2.1.6. Sơ đồ tổ chức của tổ chức tội phạm mạng Hình 2-1 Sơ đồ tổ chức tội phạm mạng 2.1.7. Internet Chat Query ICQ là chat client được dùng để chat với mọi người Hoạt động: SVTH: LÊ QUANG HÀ 8
  16. Nghiên cứu và tìm hiểu an ninh mạng  Nó gán một số định danh phổ cập xác định người dùng duy nhất giữa những người sử dụng ICQ.  Khi một người sử dụng ICQ kết nối với Internet, ICQ khởi động và cố gắng để kết nối với máy chủ Mirabilis (Mirabilis là công ty phát triển ICQ), là nơi cơ sở dữ liệu chứa thông tin của tất cả người dùng ICQ.  Tại máy chủ Mirabilis, ICQ tìm kiếm yêu cầu số UIN bên trong cơ sở dữ liệu của nó (một loại điện thoại của thư mục), và cập nhật thông tin.  Bây giờ người dùng có thể liên hệ với người bạn của mình bởi vì ICQ biết địa chỉ IP. 2.1.8. Internet Relay Chat IRC là hệ thống để trò chuyện bao gồm thiết lập nguyên tắc, quy ước và phần mềm client/server. Nó cho phép chuyển hướng kết nối máy tính tới máy tính với mục đích dễ dàng chia sẽ giữa clients. Một vài website (như là Talk City) hoặc mạng IRC (như là Undernet) cung cấp server và hỗ trợ người sử dụng tải IRC clients tới PC của họ. Sau khi người sử dụng tải ứng dụng client, họ bắt đầu chat nhóm (gọi là kênh) hoặc gia nhập một nhóm có trước. Kênh IRC đang được ưu chuộng là #hottub và #riskybus. Giao thức IRC dùng giao thức điều khiển truyền vận (có thể dùng IRC qua telnet client), thông thường dùng port 6667. 2.2. KỸ THUẬT TẤN CÔNG DOS 2.2.1. Tấn công băng thông Tấn công băng thông nhằm làm tràn ngập mạng mục tiêu với những traffic không cần thiết, với mục địch làm giảm tối thiểu khả năng của các traffic hợp lệ đến được hệ thống cung cấp dịch vụ của mục tiêu. Có hai loại BandWith Depletion Attack: + Flood attack: Điều khiển các Agent gởi một lượng lớn traffic đến hệ thống dịch vụ của mục tiêu, làm dịch vụ này bị hết khả năng về băng thông. + Amplification attack: Điều khiển các agent hay client tự gửi message đến một địa chỉ IP broadcast, làm cho tất cả các máy trong subnet này gửi message đến hệ thống dịch vụ của mục tiêu. Phương pháp này làm gia tăng traffic không cần thiết, làm suy giảm băng thông của mục tiêu. SVTH: LÊ QUANG HÀ 9
  17. Nghiên cứu và tìm hiểu an ninh mạng 2.2.2. Tấn công tràn ngập yêu cầu dịch vụ Một kẻ tấn công hoặc nhóm zombie cố gắng làm cạn kiệt tài nguyên máy chủ bằng cách thiết lập và phá hủy các kết nối TCP. Nó bắt đầu gửi yêu cầu trên tất cả kết nối và nguồn gốc từ server kết nối tốc độ cao. 2.2.3. Tấn công tràn ngập SYN Transfer Control Protocol hỗ trợ truyền nhận với độ tin cậy cao nên sử dụng phương thức bắt tay giữa bên gởi và bên nhận trước khi truyền dữ liệu. Bước đầu tiên, bên gửi gởi một SYN REQUEST packet (Synchronize). Bên nhận nếu nhận được SYN REQUEST sẽ trả lời bằng SYN/ACK REPLY packet. Bước cuối cùng, bên gửi sẽ truyền packet cuối cùng ACK và bắt đầu truyền dữ liệu. Nếu bên server đã trả lời một yêu cầu SYN bằng một SYN/ACK REPLY nhưng không nhận được ACK packet cuối cùng sau một khoảng thời gian quy định thì nó sẽ resend lại SYN/ACK REPLY cho đến hết thời gian timeout. Toàn bộ tài nguyên hệ thống “dự trữ” để xử lý phiên giao tiếp nếu nhận được ACK packet cuối cùng sẽ bị “phong tỏa” cho đến hết thời gian timeout. Nắm được điểm yếu này, attacker gởi một SYN packet đến nạn nhân với địa chỉ bên gởi là giả mạo, kết quả là nạn nhân gởi SYN/ACK REPLY đến một địa chỉ khác và sẽ không bao giờ nhận được ACK packet cuối cùng, cho đến hết thời gian timeout nạn nhân mới nhận ra được điều này và giải phóng các tài nguyên hệ thống. Tuy nhiên, nếu lượng SYN packet giả mạo đến với số lượng nhiều và dồn dập, hệ thống của nạn nhân có thể bị hết tài nguyên. SVTH: LÊ QUANG HÀ 10
  18. Nghiên cứu và tìm hiểu an ninh mạng Hình 2-2 Tấn công tràn ngập SYN 2.2.4. Tấn công tràn ngập ICMP Kiểu tấn công ICMP là thủ phạm gửi số lượng lớn của gói tin giả mạo địa chỉ nguồn tới server đích để phá hủy nó và gây ra ngừng đáp ứng yêu cầu TCP/IP. Sau khi đến ngưỡng ICMP đạt đến, các router từ chối yêu cầu phản hồi ICMP từ tất cả địa chỉ trên cùng vùng an toàn cho phần còn lại. Hình 2-3 Tấn công tràn ngập ICMP SVTH: LÊ QUANG HÀ 11
  19. Nghiên cứu và tìm hiểu an ninh mạng 2.2.5. Tấn công điểm nối điểm Dùng điểm nối điểm để tấn công, kẻ tấn công chỉ đạo clients của mô hình điểm nối điểm chia sẽ file trung tâm gây ngắt kết nối từ mạng của họ và kết nối tới website giả mạo của victim. Kẻ tấn công khai thác lỗ hổng tìm thấy trên mạng dùng giao thức DC++(kết nối trực tiếp), cho phép hoán đổi file giữa các tin nhắn clients ngay lập tức. Dùng phương pháp này, kẻ tấn công chạy tấn công DoS rất lớn và làm hại website. 2.2.6. Tấn công cố định DoS Tấn công cố định DoS hay PDoS còn được gọi như phlashing, là một cuộc tấn công gây tổn thương một hệ thống nhiều đến nổi nó đòi hỏi phải thay thế hoặc cài đặt lại phần cứng, Không giống như các cuộc tấn công DDoS, PDoS một cuộc tấn công khai thác lỗ hổng bảo mật cho phép quản trị từ xa trên các giao diện quản lý phần cứng của nạn nhân, chẳng hạn như router, máy in, hoặc phần cứng mạng khác. Tấn công thực hiện dùng phương pháp như "xây dựng hệ thống”. Dùng phương pháp này, kẻ tấn công gửi cập nhập phần cứng lừa đảo tới victim. 2.2.7. Tấn công tràn ngập ở cấp độ dịch vụ Tấn công làm tràn ở cấp độ ứng dụng là kết quả mất dịch vụ của mạng đặc biệt như là: email, tài nguyên mạng, tạm thời ngừng ứng dụng và dịch vụ, Dùng kiểu tấn công này, kẻ tấn công phá hủy mã nguồn chương trình và file làm ảnh hưởng tới hệ thống máy tính. Tấn công làm tràn ngập ở cấp độ ứng dụng, kẻ tấn công cố gắng:  Tràn ngập ứng dụng web tới lưu lượng người sử dụng hợp lệ.  Ngắt dịch vụ cụ thể của hệ thống hoặc con người.  Làm tắt nghẽn cơ sở dữ liệu của ứng dụng kết nối bằng truy vấn thủ công nguy hiểm SQL. 2.3. MẠNG BOTNET 2.3.1. Khái niệm botnet Botnet là từ chỉ một tập hợp các rô bôt phần mềm hoặc các con bot hoạt động một cách tự chủ. Từ này còn được dùng để chỉ một mạng các máy tính sử dụng phần mềm tính toán phân tán. SVTH: LÊ QUANG HÀ 12
  20. Nghiên cứu và tìm hiểu an ninh mạng 2.3.2. Hoạt động Tuy từ "botnet" có thể dùng để chỉ một nhóm bot bất kỳ, chẳng hạn IRC bot, từ này thường được dùng để chỉ một tập hợp các máy tính đã bị tấn công và thỏa hiệp và đang chạy các chương trình độc hại, thường là sâu máy tính, trojan horse hay backdoor, dưới cùng một hạ tầng cơ sở lệnh và điều khiển. Một chương trình chỉ huy botnet có thể điều khiển cả nhóm bot từ xa, thường là qua một phương tiện chẳng hạn như IRC, và thường là nhằm các mục đích bất chính. Mỗi con bot thường chạy ẩn và tuân theo chuẩn RFC 1459 (IRC). Thông thường, kẻ tạo botnet trước đó đã thỏa hiệp một loạt hệ thống bằng nhiều công cụ đa dạng (tràn bộ nhớ đệm, ). Các bot mới hơn có thể tự động quét môi trường của chúng và tự lan truyền bản thân bằng cách sử dụng các lỗ hổng an ninh và mật khẩu yếu. Nếu một con bot có thể quét và tự lan truyền qua càng nhiều lỗ hổng an ninh, thì nó càng trở nên giá trị đối với một cộng đồng điều khiển botnet. Hình 2-4 Hoạt động botnet Các botnet đã trở nên một phần quan trọng của Internet, tuy chúng ngày càng ẩn kĩ. Do đa số các mạng IRC truyền thống thực hiện các biện pháp cấm truy nhập đối với các botnet đã từng ngụ tại đó, những người điều khiển botnet phải tự tìm các server cho mình. Một botnet thường bao gồm nhiều kết nối, chẳng hạn quay số, ADSL và cáp, và nhiều loại mạng máy tính, chẳng hạn mạng giáo dục, công ty, chính phủ và thậm chí quân sự. Đôi khi, một người điều khiển giấu một cài đặt IRC server trên một site công ty hoặc giáo dục, nơi các đường kết nối tốc độ cao có thể hỗ trợ một số lớn các bot khác. Chỉ đến gần đây, phương pháp sử dụng bot để chỉ huy các bot khác mới SVTH: LÊ QUANG HÀ 13
  21. Nghiên cứu và tìm hiểu an ninh mạng phát triển mạnh, do đa số hacker không chuyên không đủ kiến thức để sử dụng phương pháp này. 2.3.3. Tổ chức Các server botnet thường liên kết với nhau, sao cho một nhóm có thể chứa từ 20 máy riêng biệt tốc độ cao đã bị phá hoại, các máy này nối với nhau với vai trò các server nhằm mục tiêu tạo môi trường dư thừa lớn hơn. Các cộng đồng botnet thực tế thường bao gồm một hoặc nhiều người điều khiển - những người tự coi là có quyền truy nhập hợp lệ tới một nhóm bot. Những điều khiển viên này hiếm khi có các hệ thống chỉ huy phân cấp phức tạp trong họ; họ dựa vào các quan hệ thân hữu cá nhân. Mâu thuẫn thường xảy ra giữa những điều khiển viên về chuyện ai có quyền đối với máy nào, và những loại hành động nào là được phép hay không được phép làm. 2.3.4. Xây dựng và khai thác Ví dụ này minh họa cách thức một botnet được tạo và dùng để gửi thư rác (spam). 1. Một điều phối viên botnet phát tán virus hoặc sâu máy tính, làm nhiễm các máy tính cá nhân chạy Windows của những người dùng bình thường, dữ liệu của virus hay sâu đó là một ứng dụng trojan con bot. 2. Tại máy tính bị nhiễm, con bot đăng nhập vào một server IRC nào đó (hay là một web server). Server đó được coi là command-and-control server (C&C). 3. Một người phát tán spam mua quyền truy nhập botnet từ điều phối viên. 4. Người phát tán spam gửi các lệnh qua IRC server tới các máy tính bị nhiễm, làm cho các máy tính này gửi các thông điệp rác tới các máy chủ thư điện tử. Hình 2-5 Cách thức một botnet được tạo và gửi spam SVTH: LÊ QUANG HÀ 14
  22. Nghiên cứu và tìm hiểu an ninh mạng Các botnet được khai thác với nhiều mục đích khác nhau, trong đó có các tấn công từ chối dịch vụ, tạo và lạm dụng việc gửi thư điện tử để phát tán thư rác (xem Spambot), click fraud, và ăn trộm các số serial của ứng dụng, tên đăng nhập, và các thông tin tài chính quan trọng chẳng hạn như số thẻ tín dụng. Cộng đồng điều khiển botnet luôn có một cuộc đấu tranh liên tục về việc ai có được nhiều bot nhất, nhiều băng thông nhất, và số lượng lớn nhất các máy tính "chất lượng cao" bị nhiễm, chẳng hạn như máy tính tại trường đại học, các công ty, hay thậm chí cả trong các cơ quan chính phủ. 2.4. MỘT SỐ CÔNG CỤ TẤN CÔNG 2.4.1. LOIC LOIC là ứng dụng tấn công từ chối dịch vụ, được viết bằng C#. Loic thực hiện tấn công từ chối dịch vụ tấn công (hoặc khi được sử dụng bởi nhiều cá nhân, một cuộc tấn công DDoS) trên một trang web mục tiêu làm lũ lụt các máy chủ với các gói tin TCP hoặc UDP với ý định làm gián đoạn dịch vụ của một máy chủ cụ thể. Công cụ LOIC là một botnet tình nguyện kết nối đến một máy chủ từ xa mà chỉ đạo các cuộc tấn công. Hiện nay, có 40.000 người kết nối với botnet. Hình 2-6 Công cụ LOIC SVTH: LÊ QUANG HÀ 15
  23. Nghiên cứu và tìm hiểu an ninh mạng Hình 2-7 Dùng LOIC tấn công DDoS 2.4.2. DoSHTTP DoSHTTP là một phần mềm sử dụng dễ dàng, mạnh mẽ để tấn công tràn ngập HTTP nhằm mục địch kiểm thử trên Windows. DoSHTTP bao gồm xác nhận URL, chuyển hướng HTTP và giám sát hiệu suất. Công cụ DoSHTTP có thể giúp các chuyên gia CNTT thử nghiệm hiệu năng máy chủ web và đánh giá độ bảo mật. Hình 2-8 Công cụ DoSHTTP 2.5. BIỆN PHÁP ĐỐI PHÓ 2.5.1. Kỹ thuật phát hiện Kỹ thuật phát hiện dựa trên nhận biết, phân biệt nhờ tăng lên dòng dữ liệu không hợp lệ và trường hợp flask từ lưu lượng gói tin hợp lệ. Tất cả kỹ thuật phát hiện định nghĩa tấn công không bình thường và đáng chú ý độ lệch từ khoảng thời gian lưu lượng mạng trạng thái thống kê bình thường 2.5.1.1. Hoạt động định hình Một tấn công được nhận biết bằng: SVTH: LÊ QUANG HÀ 16
  24. Nghiên cứu và tìm hiểu an ninh mạng  Tăng hoạt động giữa các clusters.  Tăng toàn bộ số lượng rõ ràng clusters (tấn công DDoS). Hoạt động định hình thu được bằng cách giám sát thông tin header của gói tin trong mạng. Nó là tốc độ trung bình lưu lượng mạng bao gồm gói tin liên tiếp với trường gói tin giống nhau. 2.5.1.2. Phân tích wavelet Phân tích wavelet được mô tả là tín hiệu vào đầu cuối bao gồm quang phổ. Phân tích mỗi quang phổ năng lượng xác định hiện tượng bất thường. Wavelets cung cấp đồng bộ thời gian và mô tả tần số. Họ xác định thời gian chính xác gồm các tần số hiện diện. 2.5.1.3. Phát hiện thay đổi điểm theo trình tự Thuật toán phát hiện thay đổi điểm mô tả lưu lượng thống kê nguyên nhân thay đổi bởi cuộc tấn công. Họ bắt đầu lọc lưu lượng dữ liệu tới đích bằng địa chỉ, cổng hoặc giao thức và lưu trữ kết quả thành chuỗi thời gian. Để nhận diện và định vị cuộc tấn công DoS các thuật toán cusum xác định độ lệch trong mức trung bình thực tế cục bộ so với dự kiến trong chuỗi thời gian giao thông. Bạn cũng có thể dùng nhận biết worm thông thường bằng hoạt động scanning. 2.5.2. Biện pháp đối phó chiến lược DoS/ DdoS  Hấp thụ cuộc tấn công: Dùng khả năng phụ để hấp thụ tấn công, yêu cầu kế hoạch trước.  Làm giảm dịch vụ: Nhận biết dịch vụ nguy hiểm và dừng dịch vụ không nguy hiểm.  Tắt dịch vụ: Tắt tất cả dịch vụ cho tới khi cuộc tấn công giảm bớt. 2.5.3. Biện pháp đối phó tấn công DoS/ DdoS 2.5.3.1. Bảo vệ thứ cấp victims  Cài đặt phần mềm anti-virus, anti-Trojan và cập nhập bản mới.  Tăng nhận thức về vấn đề bảo mật và kỹ thuật ngăn chặn người sử dụng từ tất cả nguồn trên internet.  Tắt dịch vụ không cần thiết, gỡ bỏ ứng dụng không sử dụng, và quét tất cả files nhận từ nguồn bên ngoài.  Cấu hình và thường xuyên cập nhập xây dựng cơ cấu phòng thủ trên lõi phần cứng và phần mềm hệ thống. SVTH: LÊ QUANG HÀ 17
  25. Nghiên cứu và tìm hiểu an ninh mạng 2.5.3.2. Phát hiện và vô hiệu hóa handers  Phân tích lưu lượng mạng: Nghiên cứu giao tiếp giao thức và mô hình giữa handlers và client hoặc handlers và agents để nhận biết node mạng có thể lây với các handler.  Vô hiệu hóa botnet handler: Thông thường vài DDoS handler được triển khai gần bằng so với số lượng agent. Vô hiệu hóa một vài handler có thể làm cho nhiều agent không hữu dụng, để cản trở cuộc tấn công DDoS.  Giả mạo địa chỉ nguồn: Có một xác suất lớn giả mạo địa chỉ nguồn gói tin tấn công DDoS sẽ không hiện giá trị địa chỉ nguồn của mạng cụ thể. 2.5.3.3. Phát hiện tiềm năng tấn công  Bộ lọc xâm nhâp: Bảo vệ từ tấn công tràn ngập có nguồn gốc từ các tiền tố hợp lệ. Nó cho phép người khởi tạo truy tìm nguồn gốc thực sự.  Bộ lọc đi ra: Quét header gói tin của gói tin IP ra một mạng. Bộ lọc đi ra không chứng thực hoặc lưu lượng nguy hiểm không được ra khỏi mạng bên ngoài.  Ngắt TCP: Cấu hình ngắt TCP ngăn ngừa tấn công bằng cách ngắt và yêu cầu kết nối TCP hợp lệ. 2.5.3.4. Làm lệch hướng tấn công  Hệ thống thiết lập với giới hạn bảo mật, cũng biết như là honeypot, hoạt động cám dỗ đối với kẻ tấn công.  Phục vụ có nghĩa là giành thông tin từ kẻ tấn công bằng cách lưu trữ một bản ghi các hoạt động, học kiểu tấn công và công cụ phần mềm kẻ tấn công sử dụng.  Dùng phòng thủ chiều sâu tiếp cận với IPSec tại điểm mạng khác nhau chuyển hướng đáng ngờ luồng DoS đến vài honeypot. Honeypot là một hệ thống tài nguyên thông tin được xây dựng với mục đích giả dạng đánh lừa những kẻ sử dụng và xâm nhập không hợp pháp, thu hút sự chú ý của chúng, ngăn không cho chúng tiếp xúc với hệ thống thật. 2.5.3.5. Làm dịu cuộc tấn công  Cân bằng tải: SVTH: LÊ QUANG HÀ 18
  26. Nghiên cứu và tìm hiểu an ninh mạng o Nhà cung cấp tăng băng thông trên kết nối quan trọng để ngăn ngừa và giảm xuống tấn công. o Nhân bản máy chủ có thể cung cấp thêm bảo vệ an toàn. o Cân bằng tải cho mỗi server trên cấu trúc nhiều server có thể cải tiến hiệu suất bình thường như là giảm ảnh hưởng của cuộc tấn công DoS.  Hoạt động điều chỉnh: o Thiết lập cách thức router truy cập một server với điều chỉnh logic lưu lượng đi vào tới mức độ sẽ an toàn để server xử lý. o Bộ xử lý có thể ngăn ngừa tràn ngập thiệt hại tới server. o Bộ xử lý này có thể mở rộng để điều chỉnh luồng tấn công DDoS đối lập lưu lượng hợp pháp của người sử dụng cho kết quả tốt hơn. 2.5.3.6. Pháp lý  Phân tích router, firewall, và IDS logs để nhận biết nguồn của lưu lượng DoS. Mặc dù kẻ tấn công thông thường giả mạo địa chỉ nguồn, dấu vết IP trả lại với trợ giúp ngay lập tức của ISP và thực thi pháp luật các cơ quan có thể cho phép bắt các thủ phạm.  Phân tích mẫu lưu lượng: Dữ liệu có thể được phân tích-sau tấn công-để tìm kiếm đặc điểm riêng biệt trong lưu lượng tấn công.  Mẫu lưu lượng tấn công DDoS có thể giúp người quản trị mạng phát triển kỹ thuật lọc để ngăn ngừa đi vào hoặc đi ra mạng  Dùng những đặc điểm, dữ liệu có thể được dùng để cập nhập cân bằng tải và điều chỉnh biện pháp đối phó. 2.5.4. Kỹ thuật để phòng thủ chống lại botnet  Lọc: Các gói tin cần phải được có nguồn gốc hợp lệ, cho phép địa chỉ trống, bao gồm tôpô và cấp phát không gian. Bất kỳ lưu lượng vào không sử dụng hoặc địa chỉ ip dành riêng không thật và nên lọc tại ISP trước khi vào đường link internet.  Lọc lỗ đen: Lỗ đen là nơi trên một một mạng, nơi đó lưu lượng được chuyển tiếp hoặc hủy bỏ. Kỹ thuật lọc này dùng giao thức cập nhập định tuyến để điều khiển bảng định tuyến tại biên một mạng để hủy lưu lượng SVTH: LÊ QUANG HÀ 19
  27. Nghiên cứu và tìm hiểu an ninh mạng không thích nghi trước nó xâm nhập vào mạng của nhà cung cấp dịch vụ.  Lọc nguồn ip uy tín trên Cisco IPS: IPS cisco nhận đe dọa cập nhập từ mạng Cisco SensorBase (trung tâm kiểm soát tấn công) chứa thông tin chi tiết nhân biệt mối đe dọa trên internet, bao gồm tuần tự kẻ tấn công, botnet harvester, malware bùng phát và dark net.  Cung cấp dịch vụ phòng chống DDoS từ ISP: Bật bảo vệ IP nguồn trên switch ngăn ngừa một host gửi gói tin giả mạo trở thành bot. 2.5.5. Biện pháp đối phó DoS/ DdoS Một số biện pháp như:  Hiệu quả của cơ chế mã hóa cần đề xuất cho mỗi công nghệ băng thông rộng.  Cải tiến giao thức định tuyến được kỳ vọng, đặc biệt là cho nhiều hop WMN.  Tắt những dịch vụ không sử dụng và không bảo mật.  Khóa tất cả gói tin có nguồn đi vào từ cổng dịch vụ để khóa lưu lượng ánh xạ từ server.  Cập nhập kernel tới phiên bản mới nhất.  Ngăn ngừa truyền địa chỉ gói tin lậu ở mức độ ISP.  Thực hiện nhận biệt vô tuyến ở lớp vật lý để xử lý gây nhiễu và xáo trộn cuộc tấn công.  Cấu hình firewall để từ chối dòng truy cập giao thức điều khiển thông điệp internet (ICMP).  Ngăn ngừa dùng chức năng không cấp thiết như get, strcpy,  Đảm bảo an toàn cho người quản trị từ xa và kiểm tra kết nối.  Ngăn chặn địa chị trả lại không bị ghi đè.  Dữ liệu được xử lý bởi kẻ tấn công nên dừng lại trước khi chạy.  Thực hiện triệt để giá trị nhập vào.  Các card mạng là gateway của gói tin vì vậy nên dùng card mạng tốt hơn để xử lý số lượng lớn gói tin. SVTH: LÊ QUANG HÀ 20
  28. Nghiên cứu và tìm hiểu an ninh mạng 2.5.6. Bảo vệ DoS/ DdoS 2.5.6.1. Mức độ ISP Nhiều ISP đơn giản khóa tất cả yêu cầu trong thời gian tấn công DDoS, từ chối lưu lượng hợp pháp từ truy cập dịch vụ. ISP đưa ra đám mây DDoS bảo vệ đường liên kết internet vì vậy họ không thể bão hòa bởi cuộc tấn công. Lưu lượng tấn công được chuyển hướng tới ISP trong cuộc tấn công để lọc và gửi trở lại. Quản trị mạng có thể yêu cầu ISP để khóa nguồn IP tác động và di chuyển trang web tới IP khác sau khi thực hiện lan truyền DNS. Hình 2-9 Cấu hình kích hoạt ngắt TCP trên phần mềm IOS Cisco 2.5.6.2. Hệ thống bảo vệ IntelliGuard IntelliGuard DPS trợ giúp làm dịu tấn công DDoS được thiết kế tập trung vượt qua lưu lượng hợp pháp hơn là bỏ quả lưu lượng tấn công. Cấp bậc học bảo vệ chiến lược nhận biết vị trí truy cập bằng ưu tiên cho khách hàng và xếp hạng truy cập của họ. Quản lý lưu lượng đa cấp độ cấu hình giới hạn lưu lượng và đảm bảo cho việc quản lý lưu lượng cho mỗi thành phần của mạng. 2.6. CÔNG CỤ BẢO VỆ DOS/ DDOS 2.6.1.1. NetFlow Analyzer NetFlow Analyzer, một công cụ phân tích lưu lượng đầy đủ, thúc đẩy công nghệ phân tích lưu lượng để cung cấp khả năng hiển thị thời gian thực và hiệu suất băng thông mạng. Chủ yếu NetFlow Analyzerlà một công cụ giám sát băng thông, đã được tối ưu hóa hàng ngàn mạng lưới trên toàn thế giới bằng cách đưa ra cái nhìn toàn diện về băng thông mạng và các mẫu lưu lượng truy cập. NetFlow Analyzer là một giải pháp thống nhất thu thập, phân tích và báo cáo về băng thông mạng của bạn đang được sử dụng và người sử dụng. NetFlow Analyzer là đối tác tin cậy tối ưu hóa việc sử dụng băng thông trên toàn thể giới ngoài ra nó thực hiện giám định mạng và phân tích lưu lượng mạng. SVTH: LÊ QUANG HÀ 21
  29. Nghiên cứu và tìm hiểu an ninh mạng Hình 2-10 Công cụ NetFlow Analyzer 2.6.1.2. Một số công cụ khác  D-Guard Anti-DDoS Firewall D-Guard Anti-DDoS Firewall cung cấp đáng tin cậy nhất và nhanh nhất bảo vệ DDoS cho các doanh nghiệp trực tuyến, và các dịch vụ phương tiện truyền thông, thiết yếu hạ tầng công cộng và cung cấp dịch vụ Internet. Là một chuyên nghiệp Anti-DDoS Firewall, D-Guard có thể bảo vệ chống lại hầu hết các cuộc tấn công các loại, bao gồm cả DoS / DDoS, Super DDoS, DrDoS, Fragment tấn công, tấn công SYN lũ lụt, lũ lụt tấn công IP, UDP, UDP đột biến, ngẫu nhiên UDP Flooding tấn công, ICMP, IGMP tấn công, ARP Spoofing, HTTP Proxy tấn công, CC Flooding tấn công, CC Proxy tấn công, D-Guard Anti-DDoS Firewall cung cấp một cấp trên cách tiếp cận cơ bản để giảm nhẹ các cuộc tấn công DDoS, với một thiết kế tập trung vào giao thông qua hợp pháp chứ không phải là loại bỏ giao thông tấn công, xử lý các cuộc tấn công kịch bản có thể suy thoái tồi tệ nhất mà không cần hiệu suất. SVTH: LÊ QUANG HÀ 22
  30. Nghiên cứu và tìm hiểu an ninh mạng Hình 2-11 Công cụ D-Guard Anti-DDoS Firewall  FortGuard Firewall FortGuard Firewall - một giải pháp giúp người dùng chống lại các cuộc tấn công DDoS với độ chính xác và hiệu suất cao nhất FortGuard Firewall là một phần mềm tường lửa Anti-DDoS nhỏ nhưng mạnh mẽ với Intrusion Prevention System sẵn có. Nó có thể bảo vệ máy tính của bạn chống lại các cuộc tấn công DDoS chính xác nhất với hiệu suất cao nhất. FortGuard Firewall có thể chống lại SYN, TCP Flooding và các loại tấn công DDoS khác và khả năng thấy được các gói tấn công thời gian thực. Chương trình cho phép bạn vô hiệu hóa/ kích hoạt truy cập qua proxy vào tầng ứng dụng và có thể ngăn chặn hơn 2000 kiểu hoạt động của hacker. SVTH: LÊ QUANG HÀ 23
  31. Nghiên cứu và tìm hiểu an ninh mạng Hình 2-12 Công cụ FortGuard Firewall 2.7. KIỂM TRA THÂM NHẬP DOS/ DDOS Hệ thống server dễ bị tấn công DoS thì nên kiểm tra thâm nhập để tìm hiểu để đối phó. Một hệ thống dễ bị tấn công không thể xử lý số lượng lớn lưu lượng gửi và sau đó bị treo hoặc giảm tốc độ, do đó ngăn ngừa truy cập bằng cách chứng thực người sử dụng. Kiểm tra thâm nhập xác định ngưỡng tối thiểu cuộc tấn công DoS trên hệ thống , nhưng người kiểm thử không chủ quan là hệ thống bền vững trước chống tấn công DoS. Đối tượng chính để kiểm tra thâm nhập DoS làm tràn ngập lưu lượng hệ thống mục tiêu, tương tự như hàng trăm người liên tục yêu cầu dịch vụ, làm cho server hoạt động liên tục không có giá trị. Dùng tool kiểm tra theo các bước như sau: 1. Kiểm tra web server dùng công cụ tự động như là Web Application Stress(WAS) và Jmeter cho khả năng chịu tải, hiệu suất server, khóa, và khả năng mở rộng phát sinh. 2. Quét hệ thống dùng công cụ tự động như NMAP, GFI LANGuard, và Nessus để khám phá bất kỳ hệ thống dễ bị tấn công DoS. 3. Tràn ngập mục tiêu với yêu cầu gói tin kết nối dùng công cụ Trin00, Tribe Flood, và TFN2K. 4. Tấn công tràn ngập cổng để làm đầy cổng và tăng sử dụng duy trì tất cả yêu cầu kết nối làm tắc nghẽn cổng.Dùng công cụ Mutilate and Pepsi5 để tự động tấn cộng tràn ngập cổng. SVTH: LÊ QUANG HÀ 24
  32. Nghiên cứu và tìm hiểu an ninh mạng 5. Dùng công cụ Mail Bomber, Attache Bomber, và Advanced Mail Bomber để gửi số lượng mail lớn cho mail server mục tiêu. 6. Điền vào các mẫu nội dung tùy ý và kéo dài làm tràn ngập trang web. SVTH: LÊ QUANG HÀ 25
  33. Nghiên cứu và tìm hiểu an ninh mạng CHƯƠNG 3: MỘT SỐ VÍ DỤ ĐIỂN HÌNH 3.1. Tấn công tràn ngập ICMP Mô tả: Tấn công tràn ngập ICMP tới router làm router không xử lý kịp dẫn tới bị treo và không thể truy cập internet được nữa. Chạy lệnh For /L %i in (1,1,100) do start ping “ipaddress-victim” -l 65500 – tfs để thực hiện tấn công. Hình 3-1 Ping of death Ta có thể dùng công cụ Nemesy để thay thế cho dễ sử dụng. Kiểu tấn công này sẽ gửi liên tục gói ping request tới victim và victim xử lý bằng cách gửi icmp relay tới máy attacker. Hình 3-2 Bắt wireshark khi bị tấn công tràn ngập ICMP Tấn công liên tục làm router không xử lý được và bị treo. Kết luận:  Kiểu tấn công ICMP là kiểu tấn công cổ điển nhất, rất dễ thực hiện.  Các router cấu hình yếu rất dễ bị tấn công và treo nhanh chóng. Phòng chống: Tắt ICMP trên router. 3.2. Tấn công tràn ngập TCP, UDP, HTTP SVTH: LÊ QUANG HÀ 26
  34. Nghiên cứu và tìm hiểu an ninh mạng Mô tả: Dùng công cụ LOIC để tấn công website bằng nhiều kiểu: TCP, UDP, HTTP và chỉnh tốc độ tấn công nhanh hay chậm. Hình 3-3 Tấn công bằng nhiểu kiểu với LOIC Hình 3-4 Bắt gói tin trong khi tấn công dùng LOIC Kết Luận:  Công cụ LOIC rất mạnh, hỗ trợ nhiều kiểu tấn công.  Đặc biệt, LOIC dùng để kết nối các tình nguyện viên dạng botnet để tấn công mục tiêu. Phòng chống:  Tăng khả năng kiểm soát được số lượng yêu cầu SYN-ACK tới hệ thống mạng.  Hệ thống cần phân tích và chống được spoofing.  Giới hạn số lượng kết nối từ một nguồn cụ thể tới server (quota).  áp dụng bộ lọc để giới hạn số lượng kết nối trung bình rất quan trọng. Một bộ lọc sẽ xác định ngưỡng tốc độ kết nối cho từng đối tượng mạng. Thông thường, việc này được bằng số lượng kết nối trong thời gian nhất định để cho phép sự dao động trong lưu lượng. 3.3. Dùng Bonesi giả lập botnet Mô tả: Công cụ Bonesi là chương trình giả lập botnet để kiểm tra hệ thống trước cuộc tấn công DDoS. Bonesi được thiết kế để nghiên cứu ảnh hưởng của các cuộc tấn công DDoS. Có thể tải trên công cụ Bonesi SVTH: LÊ QUANG HÀ 27
  35. Nghiên cứu và tìm hiểu an ninh mạng Chuẩn bị: + Server 2k3 - Web Server (IP: 192.168.137.33) + Backtrack 5 - Attacker (IP: 192.168.137.224) Nội dung: Sử dụng Bonesi tấn công web server dùng file 5k-bots mô phỏng nhiều ip tấn công và tấn công tràn ngập udp/tcp. Mô phỏng được chia thành hai phần: 1. UDP: Gửi 10 gói udp mỗi giây với một payload 1390 byte tới 192.168.137.33 port 2234 Hình 3-5 Giả lập botnet tấn công udp Quan sát trên Server: Hình 3-6 Gửi gói UDP tới Server từ nhiều địa chỉ khác nhau 2. TCP: Yêu cầu 1000 lần mỗi giây qua cổng eth0 SVTH: LÊ QUANG HÀ 28
  36. Nghiên cứu và tìm hiểu an ninh mạng Hình 3-7 Kết nối SYN tới Server từ địa chỉ khác nhau Quan sát trên Server: Hình 3-8 Giả lập botnet tấn công tcp vào site Kết luận:  Đây là công cụ mô phỏng hay, đầy đủ kiểu tấn công.  Công cụ mô phỏng hầu hết kiểu tấn công như: ICMP, UDP and TCP (HTTP). Phòng chống:  Trên Server cần cài phần mềm hỗ trợ nhận biết dấu hiệu như D-Guard Anti-DDoS Firewall để sớm có biện pháp đối phó.  Tham khảo thêm cách đối phó DoS/ DDoS được trình bày ở trên. SVTH: LÊ QUANG HÀ 29
  37. Nghiên cứu và tìm hiểu an ninh mạng TÀI LIỆU THAM KHẢO [1] CEH V7 Module 10 [2] [3] [4] [5] SVTH: LÊ QUANG HÀ 30
  38. Nghiên cứu và tìm hiểu an ninh mạng NHẬN XÉT CỦA CÁN BỘ HƯỚNG DẪN SVTH: LÊ QUANG HÀ 31