BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI NGUYỄN ĐÌNH MỸ NGHIÊN CỨU THUẬT TOÁN PHÁT HIỆN VÀ GIẢM THIỂU MỘT SỐ HÌNH THỨC TẤN CÔNG DOS Chuyên ngành: CÔNG NGHỆ THÔNG TIN LUẬN VĂN THẠC SỸ KỸ THUẬT Hà Nội – 2015 BỘ GIÁO DỤC VÀ ĐÀO TẠO i TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI NGUYỄN ĐÌNH MỸ NGHIÊN CỨU THUẬT TOÁN PHÁT HIỆN VÀ GIẢM THIỂU MỘT SỐ HÌNH THỨC TẤN CÔNG DOS Chuyên ngành: CÔNG NGHỆ THÔNG TIN Mã đề tài: CNTTVINH13B - 18 LUẬN VĂN THẠC SỸ KỸ THUẬT NGƯỜI HƯỚNG DẪN TS NGUYỄN KHANH VĂN Hà Nội – 2015 LỜI CAM ĐOAN ii Luận văn thạc sỹ nghiên cứu, thực hướng dẫn Thầy giáo TS Nguyễn Khanh Văn giúp đỡ triển khai thực nghiệm NCS Trần Mạnh Thắng – công tác Cục An toàn thông tin – Bộ thông tin Truyền thông Với mục đích tìm hiểu, học tập, nghiên cứu để nâng cao kiến thức trình độ chuyên môn làm luận văn cách cầu thị, nghiêm túc hoàn toàn trung thực Để hoàn thành luận văn này, tài liệu tham khảo liệt kê, xin cam đoan không chép toàn văn công trình nghiên cứu luận văn tốt nghiệp người khác Tôi xin chân thành cảm ơn Thầy giáo TS Nguyễn Khanh Văn, NCS Trần Mạnh Thắng hướng dẫn tận tình chu hoàn thành đề tài Hà nội, tháng năm 2015 Học viên Nguyễn Đình Mỹ iii MỤC LỤC iv DANH MỤC CÁC THUẬT NGỮ VÀ TỪ VIẾT TẮT Ký hiệu Giải thích DoS Tấn công từ chối dịch vụ (Denial of Service) DDoS Tấn công từ chối dịch vụ phân tán (Distributed Denial of Service) Hacker/Attacker Kẻ công Server Máy chủ Host Máy trạm User Người dùng Internet Tập hợp mạng liên kết với Router Bộ/thiết bị định tuyến Switch Bộ/thiết bị chuyển mạch Traffic Lưu lượng Buffer Bộ đệm Website Trang web Threshold Ngưỡng CSDL Cơ sở liệu NIDS Hệ thống phát xâm nhập dựa mạng IIS Các dịch vụ thông tin internet v DANH MỤC CÁC HÌNH VẼ vi MỞ ĐẦU Trong thời đại bùng nổ thông tin nay, hệ thống thông tin thành phần quan trọng quan, tổ chức, đơn vị, đem lại khả xử lý, truyền tải cung cấp thông tin hữu ích, hệ thống thông tin chứa nhiều điểm yếu, nguy rủi ro an toàn thông tin Càng ngày, phát triển nhanh chóng phần mềm ứng dụng để đáp ứng nhiều yêu cầu người dùng, phiên phát hành liên tục với tính thêm vào ngày nhiều, điều làm cho chúng tiềm ẩn nguy cơ, lỗ hổng dễ dàng bị lợi dụng Một đặc điểm khác việc phát triển hệ thống mạng internet, phân tán hệ thống thông tin, mục đích người dùng truy cập thông tin dễ dàng tin tặc có nhiều mục tiêu công, nguy rủi ro thông tin tăng lên Do đó, bên cạnh việc thiết kế, xây dựng hệ thống thông tin (trang/cổng thông tin điện tử, thư điện tử, ứng dụng tác nghiệp,…) đại, đáp ứng nhu cầu thông tin hỗ trợ xử lý công việc quan, tổ chức cần phải bảo vệ tốt hệ thống thông tin, đảm bảo cho hệ thống hoạt động ổn định tin cậy Vì vậy, đảm bảo an toàn bảo mật thông tin vấn đề cấp thiết quan, tổ chức, doanh nghiệp Nhiệm vụ đặt là sách bảo mật cần phải xác định tài nguyên cần phải bảo vệ, bảo vệ mức định hướng triển khai sao? Mặt khác, tình hình tính chất, mức độ phạm vi công vào hệ thống thông tin ngày gia tăng việc tiếp cận với kỹ thuật sử dụng công cụ công từ nhiều nguồn internet dễ dàng, phần mềm hỗ trợ công thiết kế tinh vi, tính mạnh đặc biệt dễ vận hành sử dụng Và quan xuất phát từ động cơ, mục đích việc công, đánh cắp thông tin để kiếm lợi, phục vụ trị, thể lực khiến đối tượng mà hacker nhắm đến tổ chức trị, tài thông tin cá nhân Tất mối nguy hại cho thấy vai trò vấn đề đảm bảo an toàn thông tin quan trọng chiến phức tạp, khốc liệt liên tục với mạng lưới công mạng mà giới Việt Nam đã, xảy Dù tổ chức, doanh nghiệp hay cá nhân mục tiêu cần đạt đảm bảo an toàn thông tin quan trọng, cụ thể mục tiêu cần đạt bao gồm: Tính bí mật (Confidentiality), Tính toàn vẹn (Integrity) tính Sẵn sàng (Availability) Như đề cập việc an toàn, an ninh thông tin quan, tổ chức không nguy cơ, rủi ro mà trở thành vấn đề xảy nghiêm trọng An toàn thông tin không an toàn thông tin cá nhân, tổ chức, doanh nghiệp gây thiệt hại đến uy tín, danh dự tài mà chí ảnh hưởng lớn đến chủ quyền, an ninh quốc gia Theo báo cáo Cục an toàn thông tin, năm 2014, có khoảng 4.000 công ghi nhận có xâm phạm an toàn thông tin hệ thống có tên miền Việt Nam, số có 200 công vào hệ thống có tên miền gov.vn([10]) Theo số liệu thống kê DDoS Intelligence ([11]) Kaspersky vừa công bố, vào quý II năm 2015, Việt Nam nằm top 10 nước có nguồn tài nguyên bị công từ chối dịch vụ phân tán (DDoS) nhiều Trong công DDoS kiểu công phức tạp, nguy hiểm, khó phát ngăn chặn Tấn công từ chối dịch vụ (Denial of Service - DoS) dạng công nhằm ngăn chặn người dùng hợp pháp truy nhập tài nguyên mạng Tấn công DoS xuất từ sớm, vào đầu năm 80 kỷ XX Tấn công từ chối dịch vụ phân tán (Distributed Denial of Service - DDoS) dạng phát triển mức độ cao công DoS phát lần vào năm 1999 Sự khác biệt công DoS DDoS phạm vi công Lưu lượng công DoS thường phát sinh từ host nguồn, lưu lượng công DDoS thường phát sinh từ nhiều host nằm rải rác mạng Internet Hiện nay, có hai phương pháp công DDoS chủ yếu Phương pháp thứ nhất, kẻ công gửi gói tin tạo theo dạng đặc biệt gây lỗi giao thức truyền lỗi ứng dụng chạy máy nạn nhân Một dạng công DDoS điển hình theo phương pháp công khai thác lỗ hổng an ninh giao thức dịch vụ máy nạn nhân Phương pháp công DDoS thứ hai phổ biến phương pháp thứ nhất, gồm hai dạng: (1) dạng công DDoS gây ngắt quãng kết nối người dùng đến máy chủ dịch vụ cách làm ngập lụt đường truyền mạng, cạn kiệt băng thông tài nguyên mạng, (2) dạng công DDoS gây ngắt quãng dịch vụ cung cấp cho người dùng cách làm cạn kiệt tài nguyên máy chủ dịch vụ, thời gian xử lý CPU, nhớ, băng thông, ổ đĩa, sở liệu Dạng công bảo gồm loại công gây ngập lụt mức ứng dụng Kể từ công DDoS xác nhận vào năm 1999 ([3]), nhiều công DDoS gây ngập lụt thực vào hệ thống mạng công ty tổ chức Hầu hết công DDoS gây ngập lụt tập trung vào làm ngắt quãng ngừng dịch vụ chạy hệ thống nạn nhân Hậu làm giảm doanh thu, tăng chi phí phòng chống phục hồi dịch vụ Ví dụ, vào tháng Hai năm 2000, hệ thống mạng công ty Internet Yahoo phải hứng chịu đợt công DDoS làm dịch vụ công ty phải ngừng hoạt động giờ, gây thiệt hại lớn doanh thu quảng cáo Tháng 2/2004, đợt công DDoS lớn xuất phát từ lượng lớn máy tính bị nhiễm virus Mydoom làm trang web tập đoàn SCO truy nhập Vào tháng 12/2010, nhóm tin tặc có tên “Anonymous” tạo loạt công DDoS gây ngừng hoạt động trang web tổ chức tài chính, Mastercard, Visa International, Paypal PostFinance Tháng 9/2012, đợt công DDoS lớn nhóm tin tặc “Izz ad-Din al-Qassam Cyber Fighters” thực gây ngắt quãng hoặt ngừng hoạt động trang web ngân hàng trực tuyến ngân hàng lớn Mỹ Các dạng công DDoS thực ngày nhiều với quy mô ngày lớn tinh vi nhờ phát triển kỹ thuật công lan tràn công cụ công Tại Việt Nam, gần vào tháng 6/2013, nhiều trang báo điện tử Việt Nam, có trang với lượng truy cập lớn báo điện tử Dân trí (http://dantri.com.vn), báo điện tử Vietnamnet (http://vietnamnet.vn) báo Tuổi trẻ (http://tuoitre.com.vn) phải hứng chịu đợt công DDoS vô mạnh mẽ Tháng 10/2014 hàng loạt website thuộc hệ thống Công ty Cổ phần truyền thông Việt Nam (VCCorp) website hỗ trợ vận hành đơn vị đồng loạt gặp cố Các công từ chối dịch vụ phân tán gây nhiều hậu nghiêm trọng giới Việt Nam Hiện chưa có giải pháp ngăn chặn triệt để kiểu công này, quan đơn vị quan tâm vấn đề cảnh báo, chuẩn bị phương án đối phó với dạng này, hầu hết có công dạng xảy ra, quan, tổ chức thường thuê thiết bị nhân lực xử lý cố, tận dụng mối quan hệ để nhận hỗ trợ quan chức mà chưa có giải pháp lâu dài Việc nghiên cứu đưa giải pháp cảnh báo hướng đến xây dựng hệ thống chống công DDoS nhu cầu thực tế cấp thiết Vì vậy, đề tài tập trung nghiên cứu theo hướng đề xuất, giới thiệu giải pháp để tiến tới xây dựng hệ thống phòng chống công DDoS hiệu thực tế Nhận thức vấn đề nêu trên, mục đích cuối để đảm bảo an toàn thông tin, muốn đảm bảo an toàn thông tin, phát ngăn chặn công DDoS làm nào? Có hình thức để giảm thiểu hình thức công DDoS hiệu quả? Công tác dự báo, cảnh báo có vai trò phòng chống công DDoS để từ đề xuất mô hình nhằm giảm thiểu số hình thức công DDoS Chính lý nêu trên, tác giả lựa chọn đề tài Nghiên cứu thuật toán phát giảm thiểu số hình thức công DoS Nội dung cụ thể luận văn bao gồm số vấn đề liên quan sau: - Khảo sát tổng quan công từ chối dịch vụ phân tán (Chương 1): Tác giả trình bày thu hoạch cụ thể trình nghiên cứu khảo sát công từ chối dịch vụ phân tán; tìm hiểu tác động nghiệm trọng mức độ ảnh hưởng công dịch vụ phân tán - Trình bày số thuật toán phát công từ chối dịch vụ phân tán (Chương 2): Tác giả trình bày nội dung thuật toán, kết hợp với áp dụng thuật toán vào thực tế Nghiên cứu đề xuất mô hình triển khai giải pháp cảnh bảo nhằm giảm thiểu hình thức công từ chối dịch vụ phân tán - Tìm hiểu số sản phẩm thương mại miễn phí để phát hiện, cảnh báo giảm Số hiệu cổng dùng để áp dụng luật cho gói tin đến từ đến cổng hay phạm vi cổng cụ thể Ví dụ ta sử dụng số cổng nguồn 23 để áp dụng luật cho tất gói tin đến từ server Telnet Từ any dùng để đại diện cho tất cổng Chú ý số hiệu cổng có ý nghĩa giao thức TCP UDP Nếu protocol luật IP hay ICMP số hiệu cổng không đóng vai trò Ví dụ : alert tcp 192.168.2.0/24 23 -> any any (content: “confidential”; msg: ”Detected confidential”;) Số hiệu cổng hữu dụng ta muốn áp dụng luật cho loại gói tin liệu cụ thể Ví dụ luật để chống hack cho web ta cần sử dụng cổng 80 để phát công − Phạm vi cổng (Port Ranges) Ta áp dụng luật cho dãy cổng thay cho cổng Cổng bắt đầu cổng kết thúc phân cách dấu hai chấm “:” Ví dụ : alert udp any 1024:2048 -> any any (msg: “UDP ports”;) − Cận cận cổng (Upper and Lower Boundaries) Ta dùn cổng theo kiểu cận cận dưới, tức sử dụng cổng bắt đầu cổng kết thúc mà Ví dụ “1024:” tức cổng cận cổng 1024, “:2048” có nghĩa cổng cận đến cổng 2048 mà − Ký hiệu phủ định (Negation Symbol) Ký hiệu phủ định áp dụng việc sử dụng cổng Ví dụ sau log tất gói tin ngoại trừ gói tin xuất phát từ cổng 53 log udp any !53 -> any any log udp Dựa vào cú pháp quy định phạm vi cổng sử dụng phạm vị 53:55, không sử dụng dấu “,” để liệt kê cổng − Danh sách số cổng thông dụng Sau danh sách số cổng dịch vụ thông dụng nhất: ▪ 80 HTTP ▪ 443 HTTPS 66 ▪ 20 FTP data ▪ 21 FTP ▪ 22 SSH ▪ 23 Telnet ▪ 24 SMTP ▪ 53 DNS Server ▪ 110 POP3 ▪ 161 SNMP ▪ 3360 MySQL  Hướng (Direction) Trường hướng để xác định địa nguồn, địa đích cổng luật hướng -> hay ký hiệu cho thấy địa cổng số phía bên tay trái trường hướng nguồn gói tin địa số cổng phía bên tay phải lĩnh vực đích ▪ A $HOME_NET 80 (flags: S; msg: “Nghi ngo tan cong DDoS!!”; flow: stateless; threshold: type both, track by_dst, count 70, seconds 10; sid:10001;rev:1;)  Cài đặt gói cài BASE (Basic Analysis and Security Engine) Gói cài BASE sản phẩm phần mềm nguồn mở viết ngôn ngữ lập trình PHP để theo dõi, giám sát cảnh báo tình trạng hệ thống thông qua giao diện web Để gói cài hoạt động, cần phải cài đặt cấu hình số thành phần gồm MySQL, barnyard2, Apache - Tạo CSDL môi trường MySQL cho BASE - Cài đặt barnyard2 sửa cấu hình − Tải cài đặt gói cài BASE − Cấu hình Apache − Truy cập BASE môi trường web 72 Hình 4.4 Giao diện phần mềm quản lý cảnh báo 4.2 Chuẩn bị nguồn công Đối với yêu cầu thực nghiệm này, tác giả tiến hành cài đặt máy chủ công sử dụng hệ điều hành KALI Linux, phiên 1.1.0 máy ảo VMWare Sử dụng hping3 để công đến máy chủ website 4.3 Tiến hành thử nghiệm theo kịch Kịch thứ nhất: Bước 1: Truy cập kiểm tra tốc độ xử lý máy chủ website 73 Hình 4.5 Ứng dụng web hoạt động bình thường Bước 2: Bật Snort để sniffer gói tin nghi ngờ công DdoS hay không, kiểm tra trạng thái Snort Hình 4.6 Trạng thái Snort bật, chưa có cảnh báo Bước 3: Xem cảnh báo Snort (nếu có) Hình 4.7 Ứng dụng giám sát cảnh báo không ghi nhận cảnh báo đưa lưu vào CSDL Kịch thứ hai: 74 Bước 1: Giữ nguyên bước chuẩn bị kịch Bước 2: Sử dụng công cụ hping3 để công vào máy chủ website Hình 4.8 Giao diện hình sử dụng hping3 để công Bước 3: Truy cập kiểm tra cách kết nối đến máy chủ website Hình 4.9 Ứng dụng website bị công tê liệt Bước 4: Xem cảnh báo phân tích cánh báo (nếu có cảnh báo) 75 Hình 4.10 Giao diện cảnh báo Terminal Snort Hình 4.11 Giao diện cảnh báo ứng dụng giám sát 76 Hình 4.12 Giao diện IP nguồn công lưu ứng dụng giám sát Nhìn vào kết thực nghiệm nhận thấy có nhiều IP nguồn hping3 tạo để công vào máy chủ web có địa IP 192.168.0.105 khoảng thời gian tương đối ngắn, kiểm tra băng công cụ kiểm tra IP thông thường IP thuộc quốc gia khác giới quản lý chẳng hạn như: Hoa Kỳ, Trung Quốc,… 77 KẾT LUẬN Kết luận Trên giới Việt Nam năm gần công từ chối dịch vụ phân tán ngày nhiều nguy hiểm, gây thiệt hại nặng nề nguy hiểm hệ thống thông tin, trang/cổng TTĐT quan, phủ hệ thống toán trực tuyến Tấn công từ chối dịch vụ phân tán đa dạng, phức tạp biến thể botnet ngày tinh vi Vì vậy, để đưa giải pháp ngăn chặn kiểu công dạng vấn đề thách thức lớn người làm công tác đảm bảo an toàn, an ninh thông tin Trong trình thực đề tài, tác giả đạt số kết nghiên cứu cụ thể sau: − Nghiên cứu công DDoS, nguy hậu bị công DDoS − Tìm hiểu thuật toán phát công DDoS Trên sở tìm hiểu sản phẩm cảnh báo sớm để giảm thiểu công dạng − Nghiên cứu công cụ dạng NIDS Snort để cảnh báo sớm nguy an toàn thông tin hệ thống, tìm hiểu luật Snort cảnh báo công DDoS − Xây dựng hệ thống thực nghiệm: giả lập công, tiếp nhận phân tích cảnh cáo để thu kiến thức mô hình phù hợp với yêu cầu giảm thiểu công DDoS hệ thống mà tác giả người quản trị, vận hành Hệ thống thực nghiệm triển khai dựa mô hình theo chức mà tác giả đề cập đề tài Do đó, nhiều hạn chế chưa có điều kiện để giải sau: − Ngưỡng thiết lập luật tác giả tự đưa để thực thử nghiệm, chưa đánh giá cụ thể khuyến nghị cụ thể cho số mô hình tham số ngưỡng Để lựa chọn ngưỡng thật tốt cần trình sử theo dõi, sử dụng thực tế 78 − Hệ thống thực nghiệm đưa cảnh báo cho người quản trị theo dõi, giám sát mà chưa kết hợp với thiết bị router, firewall, IPS khác… để ngăn chặn dựa kết cảnh báo − Do thời gian lực tác giả nên chưa đánh giá kết hợp luật đưa với luật khác Hướng nghiên cứu Hướng nghiên cứu để làm rõ thêm khắc phục hạn chế nói sau: − Kết hợp với thiết bị chống công DDoS khác để loại bỏ kết nối có dấu hiệu nghi ngờ sở cảnh báo Snort; Thiết lập ngưỡng tự động theo đặc điểm hệ thống lịch thời gian 79 TÀI LIỆU THAM KHẢO [1] CMC Infosec (2015), “Báo cáo tình hình bảo mật tháng 6/2015 CMC InfoSec” [2] J Mirkovic, S Dietrich (2011), “Internet Denial of Service, Attack and Defense Mechanisms, University of Pittsburgh Technical Report” [3] Karthik Pai B.H, Nagesh H.R, Abhijit Bhat , Detection and Performance Evaluation of DoS/DDoS Attacks using SYN Flooding Attacks [4] M.R.Reg (2005), “Victim-based defense against IP packet flooding denial of service attacks” [5] Rafeeq Ur Rehman (2003), Intrusion Detection with SNORT: Advanced IDS Techniques Using SNORT, Apache, MySQL, PHP, and ACID, Prentice Hall, New Jersey, USA [6] Saman Taghavi Zargar, James Joshi and David Tipper, A Survey of Defense Mechanisms Against [7] T.Peng, C.Leckie, K.Ramamohanarao, Proactively Detecting Distributed Denial of Service Attacks Using Source IP Address Monitoring [8] T.Peng, C.Leckie, K.Ramamohanarao (2003), “Protection from Distributed Denial of Service Attack Using History-based IP Filtering” [9] VasiliosA Siris (2002), Denial of Service and Anomaly Detection [10] http://mic.gov.vn [11]https://securelist.com/analysis/quarterly-malware-reports/71663/kasperskyddos-intelligence-report-q2-2015/ 80