MỤC LỤC LỜI MỞ ĐẦU DANH MỤC CÁC HÌNH LIỆT KÊ CHỮ VIẾT TẮT Từ viết tắt Diễn giải Từ viết tắt Diễn giải DoS Denial of Service DDoS Distributed Denial of Service CNTT Công nghệ thông tin ADSL Asymmetric Digital Subscriber Line IRC Internet Relay Chat LỜI MỞ ĐẦU Bảo mật an ninh mạng đặt lên hàng đầu với công ty có hệ thống mạng dù lớn hay nhỏ Hiện nay, hacker nước tìm cách công xâm nhập hệ thống để lấy thông tin nội Những thông tin nhạy cảm thường ảnh hưởng tới sống công ty Chính vậy, nhà quản trị mạng cố gắng bảo vệ hệ thống tốt cố gắng hoàn thiện hệ thống để bớt lỗ hổng Tuy nhiên, kiểu công cổ điển công từ chối dịch vụ chưa tính nguy hiểm hệ thống mạng Hậu mà DoS gây không tiêu tốn nhiều tiền bạc, công sức mà nhiều thời gian để khắc phục DoS DDoS vấn đề nan giải chưa có biện pháp chống hoàn toàn công Với yêu cầu cấp thiết vậy, em chọn đề tài “Nghiên cứu triển khai thử nghiệm công từ chối dịch vụ phân tán mạng internet” làm đồ án An Ninh Mạng Mục đích đưa làm đề tài hiểu kiểu công cách phòng chống DoS/ DDoS Đồ án được chia làm chương: Chương 1: Tổng quan an ninh mạng Chương 2: Kỹ thuật công DoS- DDoS Chương 3: Triển khai thử nghiệm biện pháp phòng chống Chương 4: Kết luận Do có mặt hạn chế định mặt kiến thức kinh nghiệm thực tế nên đồ án tránh thiếu sót, khuyết điểm Em mong thầy cô bạn giúp đỡ để kiến thức thân đồ án hoàn thiện CHƯƠNG 1: TỔNG QUAN AN NINH MẠNG 1.1 Giới thiệu an ninh mạng Mạng máy tính tập máy tính kết nối với để trao đổi thông tin Các máy tính tham gia vào mạng chia sẻ phương tiện vật lý chung, quan trọng sư chia sẻ, khai thác tài nguyên thông tin máy tính với Cùng phát triển Internet tạo cách mạng lĩnh vực, hầu hết mạng doanh nghiệp kết nối Internet Trong môi trường công cộng nảy sinh nhiều nguy như: thông tin, thông tin quan trọng bị rơi vào tay kẻ xấu, phá hoại hoạt động tổ chức hay quan, giả mạo thông tin Trong hoàn cảnh đó, doanh nghiệp hay tổ chức cần thiết phải có hệ thống để bảo vệ mạnh hệ thống an ninh mạng Hệ thống an ninh mạng hệ thống ngăn không cho truy cập trai phép hay từ máy tính thiết bị ngoại vi bạn bạn không cho phép Hình 1.: Mô hình mạng máy tính An ninh mạng máy tính bao gồm an toàn mạng bảo mật thông tin - An toàn mạng công tác đảm bảo cho mạng hoạt động điều kiện môi trường khác Bảo mật thông tin chế đảm bảo cho mạng hoạt động thỏa mãn mục tiêu sau: • Bảo đảm điều điện thuận lợi cho người sử dụng hợp pháp trình khai thác sử dụng tài nguyên mạng • Ngăn chặn có hiệu kẻ truy cập trái phép hay xâm nhập chưa có cho phép Vi phạm bất hợp pháp chia làm loại vi phạm thụ động vi phạm chủ động Vi phạm thụ động vô tình không cố ý vi phạm chủ động có mục đích phá hoại rõ ràng hậu khôn lường Ngày nguy an ninh mạng phát triển lên thành khái niệm chiến tranh thông tin mạng đầu tư công sức tiền bạc lớn 1.2 Khái niệm Hacker Giỏi lập trình có kĩ hệ thống mạng Nên làm quen dần với việc nghiên cứu lổ hỏng, lỗi bảo mật Thành thạo,có hiểu biết kĩ thuật xâm nhập Tự đặt cho nguyên tắc, phải thật nghiêm khắc Các loại Hacker - Black Hat Loại hacker thường cá nhân có kiến thức, kĩ uyên thâm máy tính, có ý nghĩ đen tối, xếp lên kế hoạch công thứ tùy mục đích Black Hat cracker - White Hat Trắng có nghĩa làm việc sáng, minh bạch để chống lại ác, đen tối Những người phải có kiến thức, kĩ uyên thâm Black Hat, họ không dùng kiến thức để thực ý đồ đen tối công, xâm nhập… mà họ người tìm lỗ hổng vá lỗ hổng lại họ đặt phòng thủ lên hạng đầu Có thể coi người người phân tích bảo mật - Gray Hat Những người thực ý đồ đen tối hôm ngày mai lại giúp phòng thủ, bảo mật - Suicide Hat Đây coi loại hacker cảm tử vậy, có nghĩa làm việc mà không sợ gì, dù có bị giam 30 năm không lo lắng sợ 1.3 Nguy tiềm ẩn an ninh mạng Nhìn từ quan điểm hacker, có vô số cách để công, lấy cắp thông tin hệ thống Lỗ hống ứng dụng, lỗ hổng dịch vụ trực tuyến(web, mail ),lỗ hổng hệ điều hành… Vì khó để thiết lập trì bảo mật thông tin Lỗi bỏ sót, cố tình bỏ qua Nguy xếp vào hàng nguy hiểm Khi lập trình, cảnh báo lỗi trình biên dịch đưa thường bị bỏ qua dẫn đến việc không đáng có, ví dụ tràn đệm, tràn heap Khi người dùng vô tình (hay cố ý) sử dụng đầu vào không hợp lý chương trình xử lý sai, dẫn đến việc bị khai thác, đổ vỡ (crash) Kỹ thuật lập trình đóng vài trò quan trọng ứng dụng Và lập trình viên phải luôn cập nhật thông tin, lỗi bị khai thác, cách phòng chống, sử dụng phương thức lập trình an toàn Một cách tốt để phòng tránh sử dụng sách “lease privilege” (có nghĩa quyền hạn có thể) Người dùng xử lý, truy cập đến số vùng thông tin định Một sách khác thiết phải có, phải lưu liệu thường xuyên Lừa đảo lấy cắp thông tin Tưởng tượng có đồng nghiệp công ty làm để làm việc, mà để lấy cắp thông tin quan trọng công ty Chuyện hoàn toàn xảy ra, đặc biệt công ty làm việc quân sự, quan nhà nước… Như thống kê trên, nhiều công ty bị lộ thông tin từ bên Rất khó phát kẻ công từ bên Việc lấy cắp thực nhiều hình thức: lấy cắp văn in hay lấy cắp thông tin số, cung cấp thông tin nội cho bên Cách tốt để phòng tránh nguy là: phải có sách bảo mật thiết kế tốt Những sách giúp người quản lý bảo mật thông tin thu thập thông tin, từ điều tra đưa kết luận xác, nhanh chóng Khi có sách tốt, người quản trị sử dụng kỹ thuật điều tra số (forensics) để truy vết hành động công Ví dụ hình thức lấy cắp thông tin số, nhân viên truy cập vào khu vực đặt tài liệu bí mật công ty, hệ thống ghi lại thời gian, IP, tài liệu bị lấy, sử dụng phần mềm để truy cập, phần mềm bị cài đặt trái phép… từ đó, người quản trị chứng minh làm việc Hacker (Tin tặc) Có nhiều cách hacker công hệ thống Mỗi kẻ công có thủ thuật, công cụ, kiến thức, hiểu biết hệ thống Và có vô số sách, diễn đàn đăng tải nội dung Trước tiên, hacker thu thập thông tin hệ thống, nhiều Càng nhiều thông tin, khả thành công việc công lớn Những thông tin là: tên ứng dụng, phiên ứng dụng, hệ điều hành, email quản trị… Bước quét hệ thống để tìm lỗ hổng Các lỗ hổng gây ứng dụng xử lý thông tin hệ điều hành, thành phần có liên quan Từ đó, họ lợi dụng lỗ hổng tìm được, sử dụng tài khoản mặc định nhằm chiếm quyền truy cập vào ứng dụng Khi thành công, hacker cài đặt phần mềm, mã độc để xâm nhập vào hệ thống lần sau Bước cuối xóa vết công Các trang mạng tiếng như: The World Street Jounals, The NewYork Times công bố bị hacker công.Để phòng tránh nguy này, ứng dụng tương tác với người dùng, liệu cần phải giấu thông tin quan trọng (nếu có thể) phiên bản, loại ứng dụng, thành phần kèm theo… Sử dụng phần mềm phát truy cập trái phép, rà soát hệ thống thường xuyên xem có phần mềm lạ không, cấu hình tường lửa hợp lý, sách truy cập nhóm người dùng, quản lý truy cập… Lây lan mã độc Có nhiều loại mã độc kể đến như: virus, sâu máy tính, Trojan horse, logic bomb… Nguy chúng gây hoàn toàn rõ ràng, vô phong phú Khi xâm nhập vào máy nạn nhân, mã độc có thể: mở cổng hậu (back door) để kẻ công truy cập làm việc máy nạn nhân; ghi lại thông tin sử dụng máy tính (thao tác bàn phím, sử dụng mạng, thông tin đăng nhập…) Đã có nhiều công ty bị cài đặt mã độc Mới đây, Facebook bị nhóm hacker công máy tính số nhân viên bị cài mã độc Cài mã độc vào máy tính qua nhiều đường: lỗ hổng phần mềm (điển adobe Flash, nhiều lỗ hổng 0-days phát hiện, hay Java Runtime Environment thời gian gần liên tục đưa vá bảo mật); hệ thống bị hacker điều khiển; sử dụng phần mềm crack, giấy phép sử dụng.Cách tốt để tránh nguy cập nhật phần mềm xử lý liệu, hệ điều hành phần mềm an ninh mạng, diệt virus Tấn công từ chối dịch vụ Nếu hacker cướp quyền truy cập vào hệ thống, họ tìm cách công từ chối dịch vụ (làm hệ thống phục vụ người dùng khoảng thời gian, cách truy cập đến hệ thống liên tục, số lượng lớn, có tổ chức) Có kiểu công từ chối dịch vụ: DoS (Denny of Service – công từ chối dịch vụ): công xảy với ứng dụng trực tuyến ứng dụng offline Với ứng dụng trực tuyến, hacker sử dụng công cụ công (tấn công Syn floods, Fin floods, Smurfs, Fraggles) máy tính để công vào hệ thống, khiến xử lý yêu cầu, làm nghẽn băng thông khiến người dùng khác khó mà truy cập Với ứng dụng offline, hacker tạo liệu cực lớn, liệu xấu (làm cho trình xử lý ứng dụng bị ngưng trệ, treo) DDoS (Distributed Denny of Service – công từ chối dịch vụ phân tán): hình thức cao cấp DoS, nguồn công điều khiển (một vài) server hacker (gọi server điều khiển), công vào hệ thống Loại công khó phát cho hệ thống phát tự động, giúp hacker ẩn tốt hơn.Để chống lại nguy này, hệ thống cần có nhiều server phục vụ, server phân tải, chế phát công DoS hiệu Social engineering Thuật ngữ phổ biến công nghệ thông tin Đây kỹ thuật khai thác nhằm vào điểm yếu người Con người trực tiếp quản lý phần mềm, hệ thống Do đó, họ nắm thông tin quan trọng Kỹ thuật ngày hữu ích có độ xác tương đối cao Điển hình cho hình thức hacker tiếng: Kevin Mitnick Trong lần, anh cần vài thông tin quan trọng tổng thống Mỹ, gọi điện cho thư ký ông lấy toàn thông tin thẻ tín dụng tổng thống 1.4 Các giai đoạn công Hình 1.: Các giai đoạn công 1.4.1 Thăm dò (Reconnaissance) Thăm dò mục tiêu bước qua trọng để biết thông tin hệ thống mục tiêu Hacker sử dụng kỹ thuật để khám phá hệ thống mục tiêu chạy hệ điều hành nào, có dịch vụ chạy dịch vụ đó, cổng dịch vụ đóng cổng mở, gồm hai loại: Passive: Thu thập thông tin chung vị trí địa lý, điện thoại, email cá nhân, người điều hành tổ chức Active: Thu thập thông tin địa IP, domain, DNS… hệ thống 1.4.2 Quét hệ thống (Scanning) Quét thăm dò hệ thống phương pháp quan trọng mà Attacker thường dùng để tìm hiểu hệ thống thu thập thông tin địa IP cụ thể, hệ điều hành hay kiến trúc hệ thống mạng Một vài phương pháp quét thông dụng như: quét cổng, quét mạng quét điểm yếu hệ thống 1.4.3 Chiếm quyền điều khiển (Gainning access) Đến hacker bắt đầu xâm nhập hệ thống công nó, truy cập lệnh khai thác Các lệnh khai thác không gian nào, từ mạng LAN INTERNET lan rộng mạng không dây Hacker chiếm quyền điều khiển tại: 1.4.4 Mức hệ điều hành/ mức ứng dụng Mức mạng Từ chối dịch vụ Duy trì điều khiển hệ thống (Maitaining access) Đến hacker bắt đầu phá hỏng làm hại, cài trojan, rootkit, backdoor để lấy thông tin thêm Thường thấy sử dụng để đánh cắp tài khoản tín dụng, ngân hàng 1.4.5 Xoá dấu vết (Clearning tracks) Được đề cập đến hoạt động thực cách hacker cố tình che dấu hành động xâm nhập Hacker phải tìm cách xóa dấu vết đột nhập phương thức Steganography, tunneling, and altering log file 1.5 Các kiểu công 1.5.1 Operating System Attacks Tấn công vào hệ điều hành, hệ thống Thường việc mặc định cài đặt hệ thống có số lượng lớn dịch vụ chạy cổng kết nối Điều làm kẻ công có nhiều hội công Tìm vá lỗi dường khó khăn hệ thống mạng 10 1.16 Mô hình hệ điều hành Kali linux, Attacker , Webserver 1.16.1 Mô hình hệ điều hành Kali linux Hình 3.: Mô hình hệ điều hành Kali linux 1.16.2 Attacker Hình 3.: Mô hình Attacker 45 1.16.3 Webserver Web Server (máy phục vụ Web): máy tính mà cài đặt phần mềm phục vụ Web, người ta gọi phần mềm Web Server Tất Web Server hiểu chạy file *.htm *.html, nhiên Web Server lại phục vụ số kiểu file chuyên biệt chẳng hạn IIS Microsoft dành cho *.asp, *.aspx ; Apache dành cho *.php ; Sun Java System Web Server SUN dành cho *p Hình 3.: Mô hình websever 1.17 Cơ chế tool UFONet Hình 3.: Mô hình chế công tool UFONet 46 1.18 Demo 1.18.1 Tính tool UFONet Hình 3.: Tính Tool UFONet 1.18.2 Kiểm tra mục tiêu công Hình 3.: Kiểm tra mục tiêu công 47 1.18.3 Tìm kiếm Zombie Hình 3.: Tìm kiếm Zombie 1.18.4 Kết thúc trình công Hình 3.: Kết thúc trình công 48 1.18.5 Dấu hiệu nhận biết công Hình 3.: Bắt gói tin wireshark 1.19 Biện pháp phòng chống công Do tính chất nghiêm trọng công DDoS, nhiều giải pháp phòng chống nghiên cứu đề xuất năm qua Tuy nhiên, gần chưa có giải pháp có khả phòng chống DDoS cách toàn diện hiệu tính chất phức tạp, quy mô lớn tính phân tán cao công DDoS Thông thường, phát công DDoS, việc thực tốt ngắt hệ thống nạn nhân khỏi tất tài nguyên hành động phản ứng lại công cần đến tài nguyên tài nguyên bị công DDoS làm cho cạn kiệt Sau hệ thống nạn nhân ngắt khỏi tài nguyên, việc truy tìm nguồn gốc nhận dạng công tiến hành Nhiều biện pháp phòng chống công DDoS nghiên cứu năm gần Tựu chung chia biện pháp phòng chống công DDoS thành dạng theo tiêu chí chính: dựa vị trí triển khai, dựa giao thức mạng dựa thời điểm hành động 1.19.1 Dựa vị trí triển khai Triển khai nguồn công: Các biện pháp phòng chống công DDoS triển khai gần nguồn công Phương pháp nhằm hạn chế mạng người dùng tham gia công DDoS Một số biện pháp cụ thể bao gồm: 49 • • • • • Thực lọc gói tin sử dụng địa giả mạo định tuyến cổng mạng; Sử dụng tường lửa có khả nhận dạng giảm tần suất chuyển gói tin yêu cầu không xác nhận Triển khai đích công: Các biện pháp phòng chống công DDoS triển khai gần đích công, tức định tuyến cổng mạng định tuyến hệ thống đích Các biện pháp cụ thể gồm: Truy tìm địa IP: Gồm kỹ thuật nhận dạng địa người dùng giả mạo Lọc đánh dấu gói tin: Các gói tin hợp lệ đánh dấu cho hệ thống nạn nhân phân biệt gói tin hợp lệ gói tin công Một số kỹ thuật lọc đánh dấu gói tin đề xuất gồm: Lọc IP dựa lịch sử, Lọc dựa đếm hop, Nhận dạng đường dẫn,… Triển khai mạng đích công: Các biện pháp phòng chống công DDoS triển khai định tuyến mạng đích dựa lọc gói tin, phát lọc gói tin độc hại 1.19.2 Dựa giao thức mạng Phòng chống công DDoS tầng IP bao gồm số biện pháp: - - - - Pushback: Là chế phòng chống công DDoS tầng IP cho phép định tuyến yêu cầu định tuyến liền kề phía trước giảm tần suất truyền gói tin SIP defender: Một kiến trúc an ninh mở cho phép giám sát luồng gói tin máy chủ SIP người dùng proxy bên với mục đích phát ngăn chặn công vào máy chủ SIP Các phương pháp dựa ô đố chữ: Gồm phương pháp dựa ô đố chữ mật mã để chống lại công DDoS mức IP Phòng chống công DDoS tầng TCP bao gồm số biện pháp: Sử dụng kỹ thuật lọc gói tin dựa địa IP Tăng kích thước Backlogs giúp tăng khả chấp nhận kết nối hệ thống đích Giảm thời gian chờ xác nhận yêu cầu kết nối TCP-SYN giúp máy chủ hủy bỏ yêu cầu kết nối không xác nhận khoảng thời gian ngắn hơn, giải phóng tài nguyên kết nối chờ chiếm giữ Sử dụng SYN cache giúp trì Backlogs chung cho toàn máy chủ thay Backlogs riêng cho ứng dụng Nhờ tăng số lượng kết nối chờ xác nhận Sử dụng SYN Cookies cho phép cấp phát tài nguyên cho kết nối xác nhận Các yêu cầu SYN bị hủy không xác nhận trước chuyển cho máy chủ đích Phương pháp giúp phòng chống công SYN Flood hiệu Sử dụng tường lửa proxy để lọc gói tin thực thi sách an ninh xác lập trước Phòng chống công DDoS tầng ứng dụng bao gồm: Tối thiểu hóa hành vi truy nhập trang để phòng chống công gây ngập lụt HTTP Sử dụng phương pháp thống kê để phát công DDoS mức HTTP 50 - Giám sát hành vi người dùng phiên làm việc để phát công 1.19.3 Dựa thời điểm hành động Trước xảy công: Các biện pháp phòng chống công DDoS thuộc dạng triển khai nhằm ngăn chặn công xảy Một phần lớn biện pháp thuộc dạng bao gồm việc cập nhật hệ thống, đảm bảo cấu hình an ninh phù hợp, sửa lỗi, vá lỗ hổng để giảm thiểu khả bị tin tặc khai thác phục vụ công Trong xảy công: Các biện pháp phòng chống công DDoS thuộc dạng tập trung phát ngăn chặn công Tưởng lửa hệ thống IDS/IPS thuộc nhóm Sau xảy công: Gồm biện pháp triển khai để lần vết truy tìm nguồn gốc công DDoS Ngoài có số thao thác phòng chống như: - - Khi bạn phát máy chủ bị công nhanh chóng truy tìm địa IP cấm không cho liệu đến máy chủ Dùng tính lọc liệu router/firewall để loại bỏ packet không mong muốn, giảm lượng lưu thông mạng tài nguyên máy chủ Sử dụng tính cho phép đặt rate limit router/firewall để hạn chế số lượng packet vào hệ thống Nếu bị công lỗi phần mềm hay thiết bị nhanh chóng cập nhật sửa lỗi cho hệ thống thay Dùng số chế, công cụ, phần mềm để chống lại TCP SYN Flooding Tắt dịch vụ khác có máy chủ để giảm tải đáp ứng tốt Nếu nâng cấp thiết bị phần cứng để nâng cao khả đáp ứng hệ thống hay sử dụng thêm máy chủ tính khác để phân chia tải Tạm thời chuyển máy chủ sang địa khác 1.20 Biện pháp đối phó chiến lược DoS/ DdoS Hấp thụ công: Dùng khả phụ để hấp thụ công, yêu cầu kế hoạch trước Làm giảm dịch vụ: Nhận biết dịch vụ nguy hiểm dừng dịch vụ không nguy hiểm Tắt dịch vụ: Tắt tất dịch vụ công giảm bớt 1.21 Biện pháp đối phó công DoS/ DdoS 1.21.1 Bảo vệ thứ cấp victims Cài đặt phần mềm anti-virus, anti-Trojan cập nhập Tăng nhận thức vấn đề bảo mật kỹ thuật ngăn chặn người sử dụng từ tất nguồn internet Tắt dịch vụ không cần thiết, gỡ bỏ ứng dụng không sử dụng, quét tất files nhận từ nguồn bên 51 Cấu hình thường xuyên cập nhập xây dựng cấu phòng thủ lõi phần cứng phần mềm hệ thống 1.21.2 Phát vô hiệu hóa handers Phân tích lưu lượng mạng: Nghiên cứu giao tiếp giao thức mô hình handlers client handlers agents để nhận biết node mạng lây với handler Vô hiệu hóa botnet handler: Thông thường vài DDoS handler triển khai gần so với số lượng agent Vô hiệu hóa vài handler làm cho nhiều agent không hữu dụng, để cản trở công DDoS Giả mạo địa nguồn: Có xác suất lớn giả mạo địa nguồn gói tin công DDoS không giá trị địa nguồn mạng cụ thể 1.21.3 Phát tiềm công Bộ lọc xâm nhâp: Bảo vệ từ công tràn ngập có nguồn gốc từ tiền tố hợp lệ Nó cho phép người khởi tạo truy tìm nguồn gốc thực Bộ lọc ra: Quét header gói tin gói tin IP mạng Bộ lọc không chứng thực lưu lượng nguy hiểm không khỏi mạng bên Ngắt TCP: Cấu hình ngắt TCP ngăn ngừa công cách ngắt yêu cầu kết nối TCP hợp lệ 1.21.4 Làm lệch hướng công Hệ thống thiết lập với giới hạn bảo mật, biết honeypot, hoạt động cám dỗ kẻ công Phục vụ có nghĩa giành thông tin từ kẻ công cách lưu trữ ghi hoạt động, học kiểu công công cụ phần mềm kẻ công sử dụng Dùng phòng thủ chiều sâu tiếp cận với IPSec điểm mạng khác chuyển hướng đáng ngờ luồng DoS đến vài honeypot Honeypot hệ thống tài nguyên thông tin xây dựng với mục đích giả dạng đánh lừa kẻ sử dụng xâm nhập không hợp pháp, thu hút ý chúng, ngăn không cho chúng tiếp xúc với hệ thống thật 1.21.5 Làm dịu công Cân tải: Nhà cung cấp tăng băng thông kết nối quan trọng để ngăn ngừa giảm xuống công Nhân máy chủ cung cấp thêm bảo vệ an toàn Cân tải cho server cấu trúc nhiều server cải tiến hiệu suất bình thường giảm ảnh hưởng công DoS 52 Hoạt động điều chỉnh: Thiết lập cách thức router truy cập server với điều chỉnh logic lưu lượng vào tới mức độ an toàn để server xử lý Bộ xử lý ngăn ngừa tràn ngập thiệt hại tới server Bộ xử lý mở rộng để điều chỉnh luồng công DDoS đối lập lưu lượng hợp pháp người sử dụng cho kết tốt 1.21.6 Pháp lý Phân tích router, firewall, IDS logs để nhận biết nguồn lưu lượng DoS Mặc dù kẻ công thông thường giả mạo địa nguồn, dấu vết IP trả lại với trợ giúp ISP thực thi pháp luật quan cho phép bắt thủ phạm Phân tích mẫu lưu lượng: Dữ liệu phân tích-sau công-để tìm kiếm đặc điểm riêng biệt lưu lượng công Mẫu lưu lượng công DDoS giúp người quản trị mạng phát triển kỹ thuật lọc để ngăn ngừa vào mạng Dùng đặc điểm, liệu dùng để cập nhập cân tải điều chỉnh biện pháp đối phó 1.22 Kỹ thuật để phòng thủ chống lại botnet Lọc: Các gói tin cần phải có nguồn gốc hợp lệ, cho phép địa trống Bất kỳ lưu lượng vào không sử dụng địa ip dành riêng không thật nên lọc ISP trước vào đường link internet Lọc lỗ đen: Lỗ đen nơi một mạng, nơi lưu lượng chuyển tiếp hủy bỏ Kỹ thuật lọc dùng giao thức cập nhập định tuyến để điều khiển bảng định tuyến biên mạng để hủy lưu lượng không thích nghi trước xâm nhập vào mạng nhà cung cấp dịch vụ Lọc nguồn ip uy tín Cisco IPS: IPS cisco nhận đe dọa cập nhập từ mạng Cisco SensorBase (trung tâm kiểm soát công) chứa thông tin chi tiết nhân biệt mối đe dọa internet, bao gồm kẻ công, botnet harvester, malware bùng phát dark net Cung cấp dịch vụ phòng chống DDoS từ ISP: Bật bảo vệ IP nguồn switch ngăn ngừa host gửi gói tin giả mạo trở thành bot 1.23 Công cụ bảo vệ công DoS- DDoS 1.23.1 NetFlow Analyzer NetFlow Analyzer, công cụ phân tích lưu lượng đầy đủ, thúc đẩy công nghệ phân tích lưu lượng để cung cấp khả hiển thị thời gian thực hiệu suất băng thông mạng Chủ yếu 53 NetFlow Analyzerlà công cụ giám sát băng thông, tối ưu hóa hàng ngàn mạng lưới toàn giới cách đưa nhìn toàn diện băng thông mạng mẫu lưu lượng truy cập NetFlow Analyzer giải pháp thống thu thập, phân tích báo cáo băng thông mạng bạn sử dụng người sử dụng NetFlow Analyzer đối tác tin cậy tối ưu hóa việc sử dụng băng thông toàn thể giới thực giám định mạng phân tích lưu lượng mạng Hình 3.: Công cụ NetFlow Analyzer 1.23.2 Một số công cụ khác D-Guard Anti-DDoS Firewall D-Guard Anti-DDoS Firewall cung cấp đáng tin cậy nhanh bảo vệ DDoS cho doanh nghiệp trực tuyến, dịch vụ phương tiện truyền thông, thiết yếu hạ tầng công cộng cung cấp dịch vụ Internet Là chuyên nghiệp Anti-DDoS Firewall, D-Guard bảo vệ chống lại hầu hết công loại, bao gồm DoS / DDoS, Super DDoS, DrDoS, Fragment công, công SYN lũ lụt, lũ lụt công IP, UDP, UDP đột biến, ngẫu nhiên UDP Flooding công, ICMP, IGMP công, ARP Spoofing, HTTP Proxy công, CC Flooding công, CC Proxy công … 54 D-Guard Anti-DDoS Firewall cung cấp cấp cách tiếp cận để giảm nhẹ công DDoS, với thiết kế tập trung vào giao thông qua hợp pháp loại bỏ giao thông công, xử lý công kịch suy thoái tồi tệ mà không cần hiệu suất Hình 3.: Công cụ D-Guard Anti-DDoS Firewall FortGuard Firewall FortGuard Firewall - giải pháp giúp người dùng chống lại công DDoS với độ xác hiệu suất cao FortGuard Firewall phần mềm tường lửa Anti-DDoS nhỏ mạnh mẽ với Intrusion Prevention System sẵn có Nó bảo vệ máy tính bạn chống lại công DDoS xác với hiệu suất cao FortGuard Firewall chống lại SYN, TCP Flooding loại công DDoS khác khả thấy gói công thời gian thực Chương trình cho phép bạn vô hiệu hóa/ kích hoạt truy cập qua proxy vào tầng ứng dụng ngăn chặn 2000 kiểu hoạt động hacker 55 Hình 3.: Công cụ FortGuard Firewall 1.24 Kiểm tra thâm nhập DoS-DDoS Hệ thống server dễ bị công DoS nên kiểm tra thâm nhập để tìm hiểu để đối phó Một hệ thống dễ bị công xử lý số lượng lớn lưu lượng gửi sau bị treo giảm tốc độ, ngăn ngừa truy cập cách chứng thực người sử dụng Kiểm tra thâm nhập xác định ngưỡng tối thiểu công DoS hệ thống , người kiểm thử không chủ quan hệ thống bền vững trước chống công DoS Đối tượng để kiểm tra thâm nhập DoS làm tràn ngập lưu lượng hệ thống mục tiêu, tương tự hàng trăm người liên tục yêu cầu dịch vụ, làm cho server hoạt động liên tục giá trị Dùng tool kiểm tra theo bước sau: - Kiểm tra web server dùng công cụ tự động Web Application Stress (WAS) Jmeter cho khả chịu tải, hiệu suất server, khóa, khả mở rộng phát sinh Quét hệ thống dùng công cụ tự động NMAP, GFI LANGuard, Nessus để khám phá hệ thống dễ bị công DoS Tràn ngập mục tiêu với yêu cầu gói tin kết nối dùng công cụ Trin00, Tribe Flood, TFN2K Tấn công tràn ngập cổng để làm đầy cổng tăng sử dụng trì tất yêu cầu kết nối làm tắc nghẽn cổng.Dùng công cụ Mutilate and Pepsi5 để tự động cộng tràn ngập cổng 56 Dùng công cụ Mail Bomber, Attache Bomber, Advanced Mail Bomber để gửi số lượng mail lớn cho mail server mục tiêu Điền vào mẫu nội dung tùy ý kéo dài làm tràn ngập trang web - 1.25 Thực tế Gần sáng 4/7 Hà Nội diễn hội thảo: Giới thiệu demo giải pháp bảo mật phòng chống DDoS linh vực Chính Phủ Tài công Hội thảo đề cập tới nội dung liên quan trực tiếp đến giải pháp phòng chống công từ chối dịch vụ (DDoS) phủ các đơn vị Tài công quan tâm như: - Mối nguy hiểm, cách phát cách phòng chống DDoS Demo sản phẩm phòng chống DDoS Arbor Network Báo cáo tổng hợp Fost and Sullivan tầm quan trọng sản phầm dịch vụ phòng chống DDoS Hình thức công từ chối dịch vụ phân tán (Distributed denial of server- DDoS) thay đổi nhiều vòng 24 tháng qua Một chuỗi công DDoS thành công vào doanh nghiệp lớn, quan phủ toàn giới cho thấy mức độ quan trọng phương pháp đối phó phần tầng chống lại công Những công cho thấy gia tốc sáng tạo từ phía hacker – người chủ động gây DDoS Trong môi trường tại, doanh nghiệp kinh doanh trực tuyến trở thành mục tiêu công DDoS Sự phổ biến rộng rãi công cụ công rẻ tiền cho pháp cũng công DDoS Điều ảnh hưởng lớn đến tranh mối đe dọa, phân tích nguy cơ, kiến trúc hệ thống triển khai an ninh bảo mật nhà cung cấp dịch vụ Internet, doanh nghiệp kết nối Internet 57 KẾT LUẬN Tấn công từ chối dịch vụ phân tán (DDoS) phát triển đáng lo ngại năm gần mối đe dọa thường trực với hệ thống mạng quan phủ doanh nghiệp Nhiều công DDoS với quy mô lớn thực gây tê liệt hệ thống mạng gây ngắt quãng hoạt động mạng dịch vụ trực truyến tiếng Yahoo Tấn công DDoS khó phòng chống hiệu quy mô lớn chất phân tán Nhiều kỹ thuật công cụ công DDoS phức tạp phát triển, hỗ trợ đắc lực cho công DDoS phát triển nhanh chóng kỹ thuật lây nhiễm phần mềm độc hại, xây dựng hệ thống mạng máy tính ma (zombie, botnets) Tin tặc chiếm quyền điều khiển máy tính có kết nối Internet, điểu khiển mạng botnet với hàng trăm ngàn máy tính để thực công DDoS Để có giải pháp toàn diện phòng chống công DDoS hiệu quả, việc nghiên cứu dạng công DDoS khâu cần thực Trên sở có đánh giá khả bị công lựa chọn tập biện pháp phòng ngừa, phát ngăn chặn công cách hiệu 58 TÀI LIỆU THAM KHẢO [1] Mei Li, Wang-Chien Lee, Anand Sivasubramaniam (2005)“Semantic Small World: An Overlay Network for Peer-to-Peer Search”.Proceedings of the 12th IEEE International Conference on Network Protocols [2] Ralf Steinmetz, Klaus Wehrle (2005) “Peer-to-Peer Systems and Applications”, Springer [3] Jo˜ao Leit˜ao, Nuno A Carvalho, Jos´e Pereira, Rui Oliveira, Lu´ıs Rodrigues () “On Adding Structure to Unstructured Overlay Networks” [4] Ken Y K Hui, John C S Lui, David K.Y Y au (2005) “Small-World Overlay P2P Networks: Construction and Handling Dynamic Flash Crowd” The Chinese University of Hong Kong & Purdue University [5] http://ufonet.03c8.net/ 59 [...]... thuật đơn giản như sử dụng proxy nạp danh hay giả mạo địa chỉ IP.Cũng chính vì vậy chúng để lại dấu vết cho người quản lý server lần theo Trong hầu hết các trường hợp tấn công của Bot, nạn nhân của yếu là người dùng máy tính đơn lẻ sever của các trường đại học hay mạng doanh nghiệp nhỏ Lý do vì máy tính ở nhưng nơi không được giám sát mạnh mẽ và để hoàn toàn lớp bảo vệ mạng.Những đối tượng người dùng... có thể xử lý Ví dụ các máy chủ web phải mất một thời gian nhất định để phục vụ yêu cầu trang web bình thường, và do đó sẽ tồn tại một số hữu hạn các yêu cầu tối đa cho mỗi giây mà họ có thể duy trì Nếu chúng ta giả định rằng các máy chủ web có thể xử lý 1.000 yêu cầu mỗi giây để tải các file tạo nên trang chủ của một công ty, do đó nhiều nhất là 1.000 yêu cầu của khách hàng có thể được xử lý đồng thời... thác như tài khoản trên e-banking, cũng như nhiều tài khoản khác Cài đặt và lây nhiễm chương trình độc hại - Botnet có thể sử dụng để tạo ra mạng và những mạng Bot mới Cài đặt những quảng cáo Popup Tự động bật ra những quảng cáo không mong muốn cho người dùng 18 Google adsense abuse - - 1.8 Tự động thay đổi các kết quả tìm kiếm hiện thị mỗi người khi sử dụng dịch vụ tìm kiếm Google, khi thay đổi kết... mình trong thời gian tiếp theo hàm mũ đối với tham số nhập vào Khi kẻ tấn công có thể tự do gửi dữ liệu được xử lý bằng cách sử dụng hàng băm dễ bị tổn thương, hẳn có thể gây ra việc CPU của máy chủ bị sử dụng quá năng lực khiến cho nhưng 23 hoạt động bình thường chỉ tốn vài phần của giây để xử lý, giờ phải mất vài phút để hoàn thành Và nó cũng không cần đến một lượng lớn request để thực hiện cũng có thể... việc này, như cuộc tấn công Straffor, đã tiết lộ những lỗ hổng về mặt an ninh như việc lưu trữ các số thẻ tín dụng dưới hình thức chưa được mã hóa, hay những mật khẩu vô cùng thiếu an toàn được các nhà quản lý sử dụng Công ty cung cấp giải pháp bảo mật cho chính phủ Hoa Kỳ bị tấn công Vào tháng 1-2011, những hacker thuộc Anonymous đã đột nhập máy chủ web của HBGary Federal – hbgaryfederal.com – thông qua... sẽ từ Client giao tiếp với Handler để xác định số lượng Agent đang online, điều chỉnh thời điểm tấn công và cập nhật các Agent Tùy theo cách của Attacker cấu hình attacknetwork , các Agent sẽ chịu sự quản lý của một hay nhiều Handler Thông thường các Attacker sẽ đặt Handler software trên một Router hay một server có lượng traffic lương thông nhiều Việc này làm cho các giao tiếp giữa Client, Handler và... khai thác các điểm yếu của mục tiêu bao gồm việc gửi các gói tin khai thác các lỗ hổng tồn tại trong máy tính mục tiêu Ví dụ có một lỗi trong Win 95 và NT và một số phiên bản nhân Linux, trong việc xử lý không đúng các gói phân mảnh Thông thường khi một gói tin quá lớn cho một mạng nào đó, nó được chia thành hai hoặc các gói nhỏ hơn và mỗi phần tử trong số họ được đánh số thứ tự phân mảnh Việc đánh... treo máy bằng việc chỉ cần gửi lặp lại một hoặc hai gói tin được chọn lựa cẩn thận Tuy nhiên một khi lỗ hổng được vá các cuộc tấn công ban đầu trở nên không hiệu quả Tấn công vào giao thức Một ví dụ lý tưởng của các cuộc tấn công giao thức đó là tấn công tràn ngập gói TCP SYN.Một phiên kết nối TCP bắt đầu với việc bắt tay ba bước giữa một máy khách và máy chủ Khách hàng gửi một gói tin TCP SYN đến... Trong phần đầu gói SYN, khách hàng cung cấp số thứ tự - sequence number của mình, một uniqueper – số kết nối sẽ được sử dụng để đếm dữ liệu được gửi đến máy chủ ( vì vậy các máy chủ có thể nhận ra và xử lý mất tích, thủ tiêu dữ liệu không đúng, hoặc dữ liệu lặp đi lặp lại ) Khi nhận được gói SYN máy chủ cấp phát một khối điều khiển truyền dẫn (TCB), lưu thông tin về khách hàng Sau đó trả lời bằng một... trường hợp việc sử dụng giao thức hiện tại một cách thông minh có thể giải quyết vấn đề Như việc sử dụng TCP SYN cookies có thể giải quyết được tấn công tràn gói SYN mà chỉ cần thay đổi cách sever xử lý kết nối đến Tấn công vào Middleware Các cuộc tấn công có thể thực hiện trên các thuật toán, chẳng hạn như hàm băm thông thường sẽ thực hiện các hoạt động của mình trong thời gian tuyến tính cho mỗi ... Có kiểu công từ chối dịch vụ: DoS (Denny of Service – công từ chối dịch vụ) : công xảy với ứng dụng trực tuyến ứng dụng offline Với ứng dụng trực tuyến, hacker sử dụng công cụ công (tấn công Syn... điều hành phần mềm an ninh mạng, diệt virus Tấn công từ chối dịch vụ Nếu hacker cướp quyền truy cập vào hệ thống, họ tìm cách công từ chối dịch vụ (làm hệ thống phục vụ người dùng khoảng thời... vào dịch vụ Cố gắng ngăn chặn người dùng cụ thể vào dịch vụ Cố gắng ngăn chặn dịch vụ không cho người khác có khả truy cập vào 21 - Khi công DoS xảy người dùng có cảm giác truy cập vào dịch vụ