Đang tải... (xem toàn văn)
Các phương pháp thu thập thông tin:Unearth initial informationLocate the network range.Ascertain active machines.Discover open portsaccess ports.Detect operating systems.Uncover services on ports.Map the network.
Mơn An Tồn Bảo Mật Mạng CÁC KỸ THUẬT TẤN CƠNG MẠNG I Các Bước Chuẩn Bị: • Footprinting: - kỹ thuật để thu thập thông tin tổ chức, quan hay cá nhân đảm nhiệm chức vụ - yếu tố cần thiết trước thực công - kết sau thực footprinting thông tin chi tiết cụ thể đối tượng Có nhiều mơi trường để thu thập thơng tin như: internet, intranet, extranet, wireless hệ thống phức tạp khác Mỗi mơi trường có điểm mà ta cần khai thác Các phương pháp thu thập thông tin: - Unearth initial information - Locate the network range - Ascertain active machines - Discover open ports/access ports - Detect operating systems - Uncover services on ports Nhóm Page Mơn An Tồn Bảo Mật Mạng - Map the network đây, ta tìm hiểu phương pháp thu thập thông tin liên quan đến footprinting Unearth initial information Locate the network range Unearth initial information: thu thập, tìm kiếm thơng tin gốc đối tượng, từ khoanh vùng cần tìm kiếm Những thơng tin thường là: + tìm kiếm tên miền + vị trí + thơng tin liên lạc: mail, điện thoại Open source Footprinting cách dễ an toàn để tìm kiếm thơng tin đối tượng Thơng tin mang tính phổ biến, sẵn có địa chỉ, số điện thoại Thực câu truy vấn whois, tìm kiếm thông qua DNS table dạng khác open source footprinting Hầu hết thông tin dễ dàng lấy hợp pháp Một cách dễ dàng để kiểm tra thông tin nhanh xác kiểm tra HTML source code website để tìm kiếm liên kết, comment, Việc gõ tên công ty vào cỗ máy tìm kiếm lấy domain name Loại thơng tin sẵn có từ nguồn mở bao gồm thông tin thông thường mục tiêu, thông tin nhân viên, thông tin kinh doanh, thông tin từ nhóm thơng tin thơng tin hệ thống, đường link đến website công ty hay website cá nhân HTML source code Attacker tìm kiếm domain name với whois client sử dụng Nslookup Whois: Có vài whois lookup clients mạng số cung cấp nhiều thông tin so với whois lookup chuẩn, giống hình Việc truy vấn whois cung cấp thêm số thông tin loại server(server type), số lượng danh sách DMOZ(DMOZ listing), trạng thái website, có website mà web server làm host Nó nêu tùy chọn cho việc giám sát cho site cụ thể Nhóm Page Mơn An Toàn Bảo Mật Mạng Một số whois clients cung cấp kiểu truy vấn ngược Ở đây, biết địa IP tìm ngược trở lại domain Nguồn tài nguyên xác cho database whois là: Có RIR, trì database whois nắm giữ chi tiết việc đăng ký địa IP khu vực Vì lý lịch sử, whois database ARIN thường điểm khởi đầu trình tìm kiếm Nếu địa nằm ngồi vùng ARIN cung cấp tham chiếu đến APNIC hay RIPE NCC Tools: Có vài tool cho trình whois lookup Một số Sam Spade(www.samspade.org) SmartWhois(www.tamos.com)Netscan(www.netscantools.com) Một vài hệ điều hành cung cấp đặc tính whois Để thực câu truy vấn command line, format là: whois –h hostname identifier Nhóm Page Mơn An Tồn Bảo Mật Mạng Ví dụ: whois –h whois.arin.net Để có nhiều phản hồi cụ thể hơn, câu truy vấn sử dụng cờ Nhiều loại cờ thiết lập với để định đầu cụ thể Nslookup: - Nslookup chương trình dùng để truy vấn domain name server Hiển thị thơng tin dùng để chẩn đốn cấu trúc DNS - Giúp tìm kiếm thêm địa IP DNS biết whois - Bản ghi MX cho biết địa IP mail server Nslookup cơng cụ có giá trị để truy vấn thơng tin DNS cho q trình phân giải tên miền Nó đóng gói với UNIX Windows truy xuất dịng lệnh Khi nslookup chạy, hostname địa IP DNS server cấu hình cho local system, sau hiển thị dấu nhắc cho câu lệnh Đây chế độ mang tính tương tác Chế độ mang tính tương tác cho phép người dùng truy vấn name server thông tin host domain hay để in danh sách host domain Khi địa IP hay hostname nối thêm vào câu truy vấn nslookup, hành động chế độ passive Ở chế độ không tương tác dùng để in tên thông tin yêu cầu cho host hay domain Phương pháp công: Nslookup cho phép máy cục tập trung vào DNS khác với DNS mặc định việc sử dụng câu lệnh server Bằng việc gõ câu lệnh ‘server’ (với hostname server mà bạn muốn sử dụng cho việc lookup tương lai) hệ thống tập trung vào DNS domain Zone transer thực security khơng chặt chẽ, tất thông tin cập nhật từ DNS Locate the network range: Bao gồm: - Tìm range địa IP - Xác định subnetmask Nguổn tài nguyên thông tin: - ARIN(American Registry of Internet Numbers) - Traceroute Công cụ hack: - NeoTrace - Visual Route Sau thu thập thông tin từ nguồn mở, attacker tiến hành tìm kiếm network range hệ thống mục tiêu Anh ta lấy thêm nhiều thông tin từ nơi đăng ký sở liệu miền thích hợp(regional registry database) liên quan đến việc cấp phát địa IP Anh ta biết subnet mask domain Thơng tin hữu ích cho attacker địa ip private Nếu DNS server không cài đặt cách xác, attacker có hội có danh sách máy cục Đôi attacker thực traceroute đến máy đó, có địa IP gateway cục Nhóm Page Mơn An Tồn Bảo Mật Mạng - Nhóm ARIN: Arin cho phép tìm kiếm sở liệu whois để xác định số hệ thống tự quản( AS number), điểm kết nối liên quan khác ARIN whois cho phép việc truy vấn địa IP để giúp đỡ việc tìm kiếm thơng tin hướng chia địa mạng Trang ARIN công cụ thêm vào đường liên kết đến site khác Rwhois.net ARIN điểm khởi đầu tốt cho việc thu thập thông tin chi tiết so với whois lookup chuẩn Kết whois cho google.com Câu truy vấn đưa đến kết địa thật google, network range, ngày đăng ký/cập nhật thông tin kết nối Page Mơn An Tồn Bảo Mật Mạng Phương pháp công: Từ câu truy vấn nslookup, attacker tìm thấy tên name server, mail exchange server chúng thuộc lớp Mail exchange server chuyển sang địa IP Hơn liệt kê mạng việc thực câu truy vấn IP ngược Trong trường hợp này, ta tìm kiếm 216.239.33.25 địa IP smtp1.google.com Nhóm Page Mơn An Tồn Bảo Mật Mạng Traceroute: - Traceroute khai thác đặc tính Internet protocol Time To Live(TTL) - Traceroute khám phá đường gói tin IP di chuyển hệ thống việc gửi liên tiếp gói tin UDP với trường TTL tăng liên tục - Khi router thực thi gói tin IP, giảm trường TTL xuống Khi trường TTL 0, gửi thông điệp “TTL exceeded” việc sử dụng gói tin ICMP trở nơi gửi - Router với DNS entry xác định tên router, vị trí mối quan hệ Mục đích việc thu thập thông tin mà cụ thể footprinting, thông tin này, hacker quản trị hệ thống thu thập theo cách khơng cần phải thâm nhập Tất phương pháp đề cập mang tính thụ động khơng bị phát đối tượng(ngoại trừ traceroute) Những thông tin thu thập suốt trình dùng liên tục suốt trình thâm nhập Thực footprinting tổ chức giúp người quản trị hệ thống biết loại thông tin nằm bên hệ thống, luồng tiềm ẩn pose vào tổ chức Anh ta thực việc đo lường mang tính phịng ngừa để thấy thứ không dùng phương tiện để khai thác nâng cao nhận thức user việc sử dụng tài sản thông tin • Kỹ thuật Scanning: Giới thiệu: Scanning bước hacker, qua scan xác định: yếu tố: • Địa IP • Hệ điều hành • Cấu trúc hệ thống • Các chương trình, dịch vụ chạy máy tính Phân loại: Nhóm Page Mơn An Tồn Bảo Mật Mạng - Port scan (quét port) Thực kết nối với port, sau “thử” xác định chương trình sử dụng port Thơng thường dựa port thông dụng Network Scanning : Dò quét host hoạt động mạng Vulnerability Scanning : Dò quét lỗ hỏng bảo mật ứng dụng chạy máy đích Các bước scanning: Checking for Live Systems-ICMP Scanning Kiểm tra máy đích cịn hoạt động mạng giao thức ICMP (ping) Checking for open ports Kiểm tra port mở máy đích, hacker kết nối với port đó, phân tích xác định ứng dụng chạy hệ thống đích Đối với giao thức TCP, có kỹ thuật scan sau: a TCP connect: Đây kiểu kết nối TCp bản, trình phải qua bước hay cịn gọi Three Way Handshake Bước 1: Hacker gửi gói tin TCP yêu cầu kết nối có cờ đặt SYN Bước 2: Hacker nhận gói tin trả lời máy đích với cờ SYN ACK Bước 3: Hacker gửi gói tin trả lời với cị ACK tới máy đích Kết quả: kết nối Hacker máy đích thành cơng b Stealth Scan: Đây kĩ thuật scan bán mở , kỹ thuật khơng hồn tất chế Three Way Handshake Mục đích: kiểm tra trạng thái port đóng hay mở Nhóm Page Mơn An Tồn Bảo Mật Mạng Tại bước 3: Gói tin thay RST đặt RST, port máy đích vào trạng thái đóng Như hacker gửi gói tin RST để kết thúc trình khởi tạo trước kết nối thiết lập c Xmas Scan: Kỹ thuật kiểm tra giao thức TCP cách gửi gói "Xmas Tree " đến máy đích, port mở khơng có phản hồi, port đóng có phản hồi Mục đích: Xmas Scan làm việc mơi trường Windows xác định port máy đích đóng d FIN Scan: Kỹ thuật giống kiểu Xmas Scan, gói FIN gửi đi, port mở khơng có phản hồi,và ngược lại có trả lời gói RST/ACK port trạng thái đóng Mục đích: Fin Scan làm việc mơi trường Windows xác định port máy đích đóng e NULL Scan: Kỹ thuật ương tự Xmas Tree Scan, gói tin gửi không đặt cờ nào, nhận gói tin có cờ SYN ACK Nhóm Page Mơn An Tồn Bảo Mật Mạng f IDLE Scan: Kỹ thuật mà nhà nghiên cứu Antirez phát qua sử dụng chế TCP kĩ thuật scan port mà kĩ thuật khác khó xác định trạng thái, Hacker scan mục tiêu mà khơng cần gửi gói tin có IP (Hacker ẩn IP tránh bị pahst hiện) cụ thể: - Đa số dich vụ lắng nghe port TCP phổ biến: web server : 80, FTP: 21 - Nếu port trạng thái listening có nghĩa mở, ngược lại đóng - Kiểm tra port đóng hay mở cách gửi gói tin SYN, máy đích phản hồi SYN+ACK mở RST đóng - Mỗi gói tin IP tren mạng có ID gọi IPID - Một số hệ thống tăng số IPID gửi - Số IPID cho Hacker biết có gói tin IP gửi B1: Hacker chọn "Zombie " gửi gói tin SYN/ACK đến Zombie xem thử IPID B2: Hacker gửi gói tin SYN tới máy đích với IP giả mao Zombie - Nếu máy đích gửi cho Zombielà RST có nghĩa port đóng, Zombie khơng gửi tiếp gói - Hacker tiếp tục gửi gói tin SYN/ACK đến Zombie xem thử IPID Giờ số tăng lên có nghĩa port máy đích mở g FTP Bounce Scan: Kỹ thuật sử dụng FTP server trung gian để cơng FTP server đích Nhóm Page 10 Mơn An Tồn Bảo Mật Mạng DDoS server Bây hackers hẹn đến thời gian định dùng DDoS client kết nối đến DDoS servers, sau đồng loạt lệnh cho DDoS servers tiến hành công DDoS đến hệ thống nạn nhân Một số tool dùng để thực DDoS:Trinoo, Tribe Flood Network, Shaft… Vd: Tribal flood network 2.11 DRDoS Đây có lẽ kiểu cơng lợi hại làm boot máy tính đối phương nhanh gọn Cách làm tương tự DDos thay cơng nhiều máy tính ngườI cơng cần dùng máy công thông qua server lớn giới Vẫn với phương pháp giả mạo địa IP victim , kẻ cơng gởi gói tin đến server mạnh , nhanh có đường truyền rộng Yahoo v.v… , server phản hồi gói tin đến địa victim Việc lúc nhận nhiều gói tin thơng qua server lớn nhanh chóng làm nghẽn đường truyền máy tính nạn nhân làm crash , reboot máy tính Cách công lợi hại chỗ cần máy có kết nối Internet đơn giản với đường truyền bình thường đánh bật hệ thống có đường truyền tốt giớI ta khơng kịp ngăn chặn Nhóm Page 67 Mơn An Tồn Bảo Mật Mạng III CÁC CƠNG CỤ TẤN CÔNG DoS PHỔ BIẾN - Jolt2 - Bubonic.c - Land and LaTierra - Targa - Blast20 - Nemesy - Panther2 - Crazy Pinger - Some Trouble - UDP Flood - FSMax Tools DoS – Jolt2 Nhóm Page 68 Mơn An Toàn Bảo Mật Mạng - Cho phép kẻ từ chối dịch vụ (DoS) lên hệ thống tảng Windows - Nó nguyên nhân khiên máy chủ bị cơng có CPU ln hoạt động mức độ 100%, CPU xử lý dịch vụ khác - Không phải tảng Windows Cisco Router số loại Router khác bị lỗ hổng bảo mật bị tools công Tools DoS: Bubonic.c - Bubonic.c tools DoS dựa vào lỗ hổng bảo mật Windows 2000 - Nó hoạt động cách ngẫu nhiên gửi gói tin TCP với thiết lập ngẫu nhiên làm cho máy chủ tốn nhiều tài nguyên để xử lý vấn đề này, từ xuất lỗ hổng bảo mật - Sử dụng bubonic.c cách gõ câu lệnh: bubonic 12.23.23.2 10.0.0.1 100 Nhóm Page 69 Mơn An Tồn Bảo Mật Mạng Tools DoS: Land and LaTierra - Giả mạo địa IP kết hợp với trình mở kết nối hai máy tính - Cả hai địa IP, địa nguồn (source) địa IP đích, chỉnh sửa thành địa IP đích kết nối máy A máy B thực có cơng xảy kết nối hai máy A B bị ngắt kết nối - Kết địa IP nguồn địa IP đích gói tin giống gói tin khơng thể đến đích cần đến Tools DoS: Targa - Targa chương chình sử dụng dạng cơng DoS khác - Nó coi hướng dẫn tích hợp tồn ảnh hưởng DoS thường phiên Rootkit - Kẻ công sử dụng phương thức công cụ thể tới hệ thống đạt mục đích thơi - Targa chương trình đầy sức mạnh có khả tạo nguy hiểm lớn cho hệ thống mạng công ty Tools DoS Blast 2.0 - Blast nhỏ, công cụ dùng để kiểm tra khả dịch vụ TCP có khả tạo lưu lượng lớn gói TCP gay nguy hiểm cho hệ thống mạng với server yếu Nhóm Page 70 Mơn An Tồn Bảo Mật Mạng - Dưới cách sử dụng để công HTTP Server sử dụng Blast2.0 + Blast 192.168.1.219 80 40 50 /b "GET /some" /e "url/ HTTP/1.0" /nr /dr /v - Tấn công máy chủ POP + Blast 192.168.1.219 110 15 20 /b "user te" /e "d" /v Tools DoS – Nemesys - Đây chương trình sinh gói tin ngẫu nhiên (protocol, port, etc size, …) - Dựa vào chương trình kẻ cơng chạy đoạn mã nguy hiểm vào máy tính khơng bảo mật Tool DoS – Panther2 Nhóm Page 71 Mơn An Tồn Bảo Mật Mạng - Tấn công từ chối dịch vụ dựa tảng UDP Attack thiết kế dành riêng cho kết nối 28.8 – 56 Kbps - Nó có khả chiếm tồn băng thơng kết nối - Nó có khả chiếm băng thơng mạng nhiều phương pháp ví thực q trình Ping cực nhanh gây cơng DoS Tool DoS – Crazy Pinger - Cơng cụ có khả gửi gói ICPM lớn tới hệ thống mạng từ xa Tool DoS – Some Trouble Nhóm Page 72 Mơn An Tồn Bảo Mật Mạng - SomeTrouble 1.0 chương trình gây nghẽn hệ thống mạng - SomeTrouble chương trình đơn giản với ba thành phần + Mail Bomb (tự có khả Resole Name với địa mail có) + ICQ Bomb + Net Send Flood 10 DoS Tools – UDP Flood Nhóm Page 73 Mơn An Tồn Bảo Mật Mạng - UDPFlood chương trình gửi gói tin UDP - Nó gửi ngồi gói tin UDP tới địac hỉ IP port không cố định - Gói tin có khả đoạn mã văn hay số lượng liệu sinh ngẫu nhiên hay từ file - Được sử dụng để kiểm tra khả đáp ứng server 11 Tools DoS – FSMAX - Kiểm tra hiệu đáp ứng máy chủ - Nó tạo file sau chạy Server nhiều lần lặp lặp lại lúc - Tác dụng tools tìm cách cơng làm chàn nhớ đệm cơng DoS tới máy chủ Nhóm Page 74 Mơn An Tồn Bảo Mật Mạng IV BIỆN PHÁP PHỊNG CHỐNG DoS ATTACK 4.1 Chính sách chung phịng chống DoS attack: Một cách chung nhất, có phạm trù tổ chức cần xem xét đối phó với mối đe dọa DoS sau: Phòng ngừa điểm yếu ứng dụng (Application Vulnerabilities) Các điểm yếu tầng ứng dụng bị khai thác gây lỗi tràn đệm dẫn đến dịch vụ bị chấm đứt Lỗi chủ yếu tìm thấy ứng dụng mạng nội Windows, chương trình webserver, DNS, hay SQL database Cập nhật vá (patching) yêu cầu quan trọng cho việc phịng ngừa.Trong thời gian chưa thể cập nhật tồn mạng, hệ thống phải bảo vệ vá ảo (virtual patch) Ngoài ra, hệ thống cần đặc biệt xem xét yêu cầu trao đổi nội dung client server, nhằm tránh cho server chịu công qua thành phần gián tiếp (ví dụ SQL injection) Phòng ngừa việc tuyển mộ zombie Zombie đối tượng lợi dụng trở thành thành phần phát sinh cơng Một số trường hợp điển thông qua rootkit (Sony hay Symantec), hay thành phần hoạt động đính kèm mail, trang web, ví dụ sử dụng file jpeg khai thác lỗi phần mềm xử lý ảnh, đoạn mã đính kèm theo file flash, trojan cài đặt theo phishing, hay thông qua việc lây lan worm (Netsky, MyDoom, Sophos) Để phịng chống, hệ thống mạng cần có cơng cụ theo dõi lọc bỏ nội dung (content filtering) nhằm ngăn việc tuyển mộ zombie hacker Ngăn ngừa kênh phát động công sử dụng công cụ Nhóm Page 75 Mơn An Tồn Bảo Mật Mạng Có nhiều công cụ tự động công DoS, chủ yếu công phân tán DDoS TFN, TFN2000 (Tribe Flood Network) công dựa nguyên lý Smurf, UDP, SYN, hay ICMP; Trinoo cho UDP flood; Stacheldraht cho TCP ACK, TCP NULL, HAVOC, DNS flood, tràn ngập TCP với packets headers ngẫu nhiên Các công cụ có đặc điểm cần phải có kênh phát động để zombie thực cơng tới đích cụ thể Hệ thống cần phải có giám sát ngăn ngừa kênh phát động Ngăn chặn công băng thông Khi cơng DdoS phát động, thường phát dựa thay đổi đáng kể thành phần lưu lượng hệ thống mạng Ví dụ hệ thống mạng điển hình có 80% TCP 20% UDP ICMP Thống kê có thay đổi rõ rệt dấu hiệu công Slammer worm làm tăng lưu lượng UDP, Welchi worm tạo ICMP flood Việc phân tán lưu lượng gây worm gây tác hại lên router, firewall, sở hạ tầng mạng Hệ thống cần có cơng cụ giám sát điều phối băng thông nhằm giảm thiểu tác hại công dạng Ngăn chặn công qua SYN SYN flood cơng cổ cịn tồn đến tại, dù tác hại khơng giảm Điểm để phịng ngừa việc cơng khả kiểm soát số lượng yêu cầu SYN-ACK tới hệ thống mạng Phát ngăn chặn công tới hạn số kết nối Bản thân server có số lượng tới hạn đáp ứng kết nối tới Ngay thân firewall (đặc biệt với firewall có tính stateful inspection), kết nối ln gắn liền với bảng trạng thái có giới hạn dung lượng Đa phần công sinh số lượng kết nối ảo thông qua việc giả mạo Để phịng ngừa cơng dạng này, hệ thống cần phân tích chống spoofing Giới hạn số lượng kết nối từ nguồn cụ thể tới server (quota) Phát ngăn chặn công tới hạn tốc độ thiết lập kết nối Một điểm server thường bị lợi dụng khả đệm giới hạn giành cho tốc độ thiết lập kết nối, dẫn đến tải phải chịu thay đổi đột ngột số lượng sinh kết nối Ở việc áp dụng lọc để giới hạn số lượng kết nối trung bình quan trọng Một lọc xác định ngưỡng tốc độ kết nối cho đối tượng mạng Thông thường, việc đo số lượng kết nối thời gian định phép dao động lưu lượng Các phân tích dựa ngầm định sau việc bảo vệ hệ thống Đó thiết bị bảo vệ cần đặt luồng thông tin thực trực tiếp việc ngăn ngừa Điều xuất phát từ lý cho tốc độ cơng (ví dụ khoảng 10.000 đăng ký thành viên 1s hướng tới server, phát tán worm với tốc độ 200s hệ thống Nhóm Page 76 Mơn An Tồn Bảo Mật Mạng mạng Ethernet 100M) Với tốc độ vậy, cách thức phịng ngừa dạng phát thơng báo ngăn chặn (Host Shun TCP Reset) khơng cịn phù hợp Các công từ chối dịch vụ chủ yếu nhắm tới khả xử lý hệ thống mạng mà thiết bị an ninh thông tin Năng lực xử lý IPS thành phần content filtering điểm cần ý, đặc biệt ổn định việc xử lý đồng thời loại lưu lượng hỗn tạp với kích thước gói tin thay đổi Các cơng ln tích hợp (blend attacks) với tổng hợp phương thức khác Chính vậy, tầm quan trọng việc phòng ngừa dấu hiệu lây nhiễm đơn giản bước để ngăn chặn công từ chối dịch vụ Trong hệ thống tổng thể security, để đối phó với cơng từ chối dịch vụ, thành phần IPS coi quan trọng tính suốt với người dùng, nên việc phân tích luồng thông tin trao đổi server người dùng không bị ảnh hưởng luồng công hướng thẳng đến 4.2 Các kỹ thuật Anti-DDoS: Có nhiều giải pháp ý tưởng đưa nhằm đối phó với cơng kiểu DDoS Tuy nhiên khơng có giải pháp ý tưởng giải trọn vẹn tốn Anti-DDoS Các hình thái khác DDoS liên tục xuất theo thời gian song song với giải pháp đối phó, nhiên đua tuân theo quy luật tất yếu bảo mật máy tính: “Hacker ln trước giới bảo mật bước” Có ba giai đoạn trình Anti-DDoS: - Giai đoạn ngăn ngừa: tối thiểu hóa lượng Agent, tìm vơ hiệu hóa Handler - Giai đoạn đối đầu với công: Phát ngăn chặn công, làm suy giảm dừng công, chuyển hướng công - Giai đoạn sau công xảy ra: thu thập chứng rút kinh nghiệm Các giai đoạn chi tiết phòng chống DDoS: 1/ Tối thiểu hóa số lượng Agent: Từ phía User: phương pháp tốt để ngừa công DDoS internet user tự đề phịng khơng để bị lợi dụng công hệ thống khác Muốn đạt điều ý thức kỹ thuật phịng chống phải phổ biến rộng rãi cho internet user Attack-Network khơng hình thành khơng có user bị lợi dụng trở thành Agent Các user phải liên tục thực trình bảo mật máy vi tính Họ phải tự kiểm tra diện Agent máy mình, điều khó khăn user thơng thường Một số giải pháp tích hợp sẵn khả ngăn ngừa việc cài đặt code nguy hiểm thông hardware software hệ thống Về phía user họ nên cài đặt updat liên tục software antivirus, anti_trojan server patch hệ điều hành Từ phía Network Service Provider: Thay đổi cách tính tiền dịch vụ truy cập theo dung lượng làm cho user lưu ý đến họ gửi, mặt ý thức tăng cường phát DDoS Agent tự nâng cao User Nhóm Page 77 Mơn An Tồn Bảo Mật Mạng 2/ Tìm vơ hiệu hóa Handler: Một nhân tố vơ quan trọng attack-network Handler, phát vơ hiệu hóa Handler khả Anti-DDoS thành công cao Bằng cách theo dõi giao tiếp Handler Client hay handler va Agent ta phát vị trí Handler Do Handler quản lý nhiều, nên triệt tiêu Handler có nghĩa loại bỏ lượng đáng kể Agent Attack – Network 3/ Phát dấu hiệu cơng: Có nhiều kỹ thuật áp dụng: Agress Filtering: Kỹ thuật kiểm tra xem packet có đủ tiêu chuẩn khỏi subnet hay không dựa sở gateway subnet biết địa IP máy thuộc subnet Các packet từ bên subnet gửi ngồi với địa nguồn khơng hợp lệ bị giữ lại để điều tra nguyên nhân Nếu kỹ thuật áp dụng tất subnet internet khái nhiệm giả mạo địa IP khơng cịn tồn MIB statistics: Management Information Base (SNMP) route ln có thông tin thống kể biến thiên trạng thái mạng Nếu ta giám sát chặt chẽ thống kê protocol mạng Nếu ta giám sát chặt chẽ thống kê Protocol ICMP, UDP TCP ta có khả phát thời điểm bắt đầu công để tạo “quỹ thời gian vàng” cho việc xử lý tình 4/ Làm suy giàm hay dừng công: Dùng kỹ thuật sau: Load balancing: Thiết lập kiến trúc cân tải cho server trọng điểm làm gia tăng thời gian chống chọi hệ thống với cơng DDoS Tuy nhiên, điều khơng có ý nghĩa mặt thực tiễn quy mơ cơng khơng có giới hạn Throttling: Thiết lập chế điều tiết router, quy định khoảng tải hợp lý mà server bên xử lý Phương pháp dùng để ngăn chặn khả DDoS traffic không cho user truy cập dịch vụ Hạn chế kỹ thuật không phân biệt loại traffic, làm dịch vụ bị gián đoạn với user, DDoS traffic xâm nhập vào mạng dịch vụ với số lượng hữu hạn Drop request: Thiết lập chế drop request vi phạm số quy định như: thời gian delay kéo dài, tốn nhiều tài nguyên để xử lý, gây deadlock Kỹ thuật triệt tiêu khả làm cạn kiệt lực hệ thống, nhiên giới hạn số hoạt động thông thường hệ thống, cần cân nhắc sử dụng 5/ Chuyển hướng công: - Honeyspots: Một kỹ thuật nghiên cứu Honeyspots Honeyspots hệ thống thiết kế nhằm đánh lừa attacker công vào xâm nhập hệ thống mà không ý đến hệ thống quan trọng thực Nhóm Page 78 Mơn An Tồn Bảo Mật Mạng - Honeyspots khơng đóng vai trị “Lê Lai cứu chúa” mà hiệu việc phát xử lý xâm nhập, Honeyspots thiết lập sẵn chế giám sát báo động - Ngồi Honeyspots cịn có giá trị việc học hỏi rút kinh nghiệm từ Attacker, Honeyspots ghi nhận chi tiết động thái attacker hệ thống Nếu attacker bị đánh lừa cài đặt Agent hay Handler lên Honeyspots khả bị triệt tiêu toàn attack-network cao 6/ Giai đoạn sau công: Trong giai đoạn thông thường thực công việc sau: Traffic Pattern Analysis: Nếu liệu thống kê biến thiên lượng traffic theo thời gian lưu lại đưa phân tích Q trình phân tích có ích cho việc tinh chỉnh lại hệ thống Load Balancing Throttling Ngoài liệu giúp Quản trị mạng điều chỉnh lại quy tắc kiểm soát traffic vào mạng Packet Traceback: cách dùng kỹ thuật Traceback ta truy ngược lại vị trí Attacker (ít subnet attacker) Từ kỹ thuật Traceback ta phát triển thêm khả Block Traceback từ attacker hữu hiệu gần có kỹ thuật Traceback hiệu truy tìm nguồn gốc cơng 15 phút, kỹ thuật XXX Event Logs: Bằng cách phân tích file log sau cơng, quản trị mạng tìm nhiều manh mối chứng quan trọng V TỔNG KẾT - Tấn công DoS attack dạng công làm cho người sử dụng truy cập hay sử dụng dịch vụ cách làm tải tài nguyên hệ thống - Hậu DoS attack nghiêm trọng, ngưng trệ lưu thông mạng, làm tê liệt công ty, tổ chức dẫn đến mát lớn tài niềm tin người sử dụng dịch vụ mạng - Smurt, Buffer Overflow, Ping od Death, Teardrop, SYN số dạng công DoS phổ biến Một số công cụ thường sử sụng cho công DoS Winnuke, Targa, Land, Bubonic.c … - DDoS attack dạng nguy hiểm DoS attack, cơng diện rộng, khó ngăn chặn DoS thơng thường Một số công cụ công DDoS phổ biến Trinoo, TFN, Shaft, Trinity… - Biện pháp phòng chống DoS attack phát vơ hiệu hóa handler, ngăn chặn trước, migrating deflecting công DoS, hay trường hợp DDoS ngăn chặn việc hình thành secondary victims (những hệ thống máy bị hacker dùng để triển khai DDoS attack) Nhóm Page 79 Mơn An Tồn Bảo Mật Mạng NHẬN XÉT CỦA GIẢNG VIÊN Nhóm Page 80 ... Task Manager: Nhóm Page 38 Mơn An Toàn Bảo Mật Mạng Đứng máy ta remote tới máy qua port 8800 password vne Nhóm Page 39 Mơn An Toàn Bảo Mật Mạng Cách phát Trojan: Có ba ngun lý chương trình Trojan... Mơn An Toàn Bảo Mật Mạng e ICMP Trojan: Sử dụng tunnel ICMP gần đồng ý firewall hay hệ thống Trên máy nạn nhân sử dụng ICMP Trojan Server phải cài Trojan với câu lệnh Nhóm Page 35 Mơn An Toàn Bảo. .. đích thành công b Stealth Scan: Đây kĩ thuật scan bán mở , kỹ thuật khơng hồn tất chế Three Way Handshake Mục đích: kiểm tra trạng thái port đóng hay mở Nhóm Page Mơn An Tồn Bảo Mật Mạng Tại bước