Đang tải... (xem toàn văn)
LỜI NÓI ĐẦU Hiện nay, sự phát triển không ngừng của công nghệ thông tin và mạng máy tính đã mang lại cho con người nhiều tiện ích trong cuộc sống nhất là trong lĩnh vực trao đổi thông tin. Trong khi những người dùng bình thường sử dụng mạng Internet để trao đổi thông tin thì một số kẻ lại ra sức phá hoại hệ thống mạng nhằm nhiều mục đích khác nhau. Điều này đã làm ảnh hưởng không tốt tới sự trong sạch của mạng Internet và hoạt động của những người dùng Internet chân chính. Để bảo vệ được một hệ thống mạng trong sạch và phục vụ tốt nhu cầu của người dùng thì người quản trị mạng phải nắm chắc các kiến thức về an ninh mạng. Trong số những loại tấn công nguy hiểm trên mạng thì tấn công DoSDDoS là một loại tấn công vào hàng nguy hiểm hàng đầu vì nó khiến cho máy chủ có thể bị tê liệt về phần mềm hoặc phần cứng và không thể đáp ứng các yêu cầu của các người dùng khác. Nắm rõ nguyên tắc “Tấn công để biết cách phòng chống tấn công” nhóm chúng em đã chọn đề tài nghiên cứu về tấn công DoSDDoS và cách phòng chống loại tấn công này. .... ...................................... ......
TRƯỜNG CAO ĐẲNG CÔNG NGHỆ THÔNG TIN HỮU NGHỊ VIỆT HÀN KHOA: KHOA HỌC MÁY TÍNH - ĐỒ ÁN MÔN HỌC AN NINH MẠNG ĐỀ TÀI: TÌM HIỂU VỀ AN NINH MẠNG VÀ KỸ THUẬT TẤN CÔNG TỪ CHỐI DỊCH VỤ GVHD : Ths Lê Tự Thanh SVTH : Nguyễn Ngọc Sơn Chúc Trần Trung Lớp : MM03C Đà Nẵng, ngày 02 tháng 01 năm 2012 TÌM HIỂU VỀ AN NINH MẠNG VÀ KỸ THUẬT TẤN CÔNG TỪ CHỐI DỊCH VỤ LỜI NÓI ĐẦU Hiện nay, phát triển không ngừng công nghệ thông tin mạng máy tính mang lại cho người nhiều tiện ích sống lĩnh vực trao đổi thông tin Trong người dùng bình thường sử dụng mạng Internet để trao đổi thông tin số kẻ lại sức phá hoại hệ thống mạng nhằm nhiều mục đích khác Điều làm ảnh hưởng không tốt tới mạng Internet hoạt động người dùng Internet chân Để bảo vệ hệ thống mạng phục vụ tốt nhu cầu người dùng người quản trị mạng phải nắm kiến thức an ninh mạng Trong số loại công nguy hiểm mạng công DoS/DDoS loại công vào hàng nguy hiểm hàng đầu khiến cho máy chủ bị tê liệt phần mềm phần cứng đáp ứng yêu cầu người dùng khác Nắm rõ nguyên tắc “Tấn công để biết cách phòng chống công” nhóm chúng em chọn đề tài nghiên cứu công DoS/DDoS cách phòng chống loại công Hy vọng với phần trình bày nhóm chúng em sau góp phần giúp cho nhà quản trị mạng phần hiểu kiểu công DoS/DDoS biện pháp phòng chống tốt cho mạng Nhóm xin gửi lời cảm ơn chân thành đến thầy giáo Lê Tự Thanh tập thể lớp giúp đỡ nhóm hoàn thành báo cáo Nhóm 10 – MM03C SVTH: NHÓM 10 – LỚP MM03C TÌM HIỂU VỀ AN NINH MẠNG VÀ KỸ THUẬT TẤN CÔNG TỪ CHỐI DỊCH VỤ Mục lục Danh mục hình ảnh SVTH: NHÓM 10 – LỚP MM03C TÌM HIỂU VỀ AN NINH MẠNG VÀ KỸ THUẬT TẤN CÔNG TỪ CHỐI DỊCH VỤ CHƯƠNG TÌM HIỂU VỀ AN NINH MẠNG 1.1 Những số liệu thống kê tội phạm mạng 1.1.1 Báo cáo phát tội phạm Internet Hình 1 Sơ đồ thống kê phát tội phạm Internet qua năm 1.1.2 Dữ liệu điều tra vi phạm hồ sơ Hình Biểu đồ điều tra vi phạm hồ sơ SVTH: NHÓM 10 – LỚP MM03C TÌM HIỂU VỀ AN NINH MẠNG VÀ KỸ THUẬT TẤN CÔNG TỪ CHỐI DỊCH VỤ 1.1.3 Các loại liệu bị đánh cắp từ tổ chức Hình Biểu đồ loại liệu bị đánh cắp 1.2 KHÁI NIỆM VỀ HACKING 1.2.1 Các thuật ngữ quan trọng - Giá trị hack: Nó quan niệm tin tặc, có giá trị thực tạo nên thú vị - Mục tiêu việc đánh giá: Một hệ thống, sản phẩm thành phần xác định, phải chịu đánh giá an ninh theo yêu cầu - Tấn công: Một công vào hệ thống an ninh bắt nguồn từ mối đe dọa Một vụ công hành động vi phạm - Khai thác: Một định nghĩa phá vỡ an toàn hệ thống CNTT thông qua lỗ hổng bảo mật - A Zero-day: Một mối đe dọa cố gắng khai thác lỗ hổng mà người khác không tiết lộ với nhà phát triển phần mềm SVTH: NHÓM 10 – LỚP MM03C TÌM HIỂU VỀ AN NINH MẠNG VÀ KỸ THUẬT TẤN CÔNG TỪ CHỐI DỊCH VỤ - Bảo mật: Trạng thái an toàn thông tin sở hạ tầng, khả bị cắp, giả mạo, gián đoạn thông tin dịch vụ giữ mức thấp chấp nhận - Mối đe dọa: Một hành động hay kiện mà ảnh hưởng đến an ninh Một lời đe dọa hành vi tiềm tàng bảo mật - Tính dễ tổn thương: Là tồn điểm yếu, thiết kế triển khai dẫn đến kiện bất ngờ không mong muốn ảnh hưởng đến an ninh hệ thống - Daisy Chaining: Tin tặc thường biến hành vi trộm cắp sở liệu hoàn thành Sau quay lại để che đậy hành vi cách phá hủy nhật ký 1.2.2 Các yếu tố bảo mật thông tin - Tính bảo mật: Đảm bảo thông tin truy cập với người có thẩm quyền truy cập Lộ thông tin bí mật xảy xử lý liệu không bị hack - Tính toàn vẹn: Là tính không bị hiệu chỉnh liệu, đảm bảo thông tin đủ xác để dựa vào - Tính sẵn sàng: Đảm bảo hệ thống chịu trách nhiệm cung cấp, lưu trữ xử lý thông tin truy cập cần thiết người sử dụng có thẩm quyền 1.2.3 Tính xác thực không chối bỏ - Tính xác thực + Xác thực dùng để đặc tính tài liệu, thông tin liên lạc liệu đảm bảo chất lượng xác hay không bị hỏng từ gốc + Vai trò chủ yếu chứng thực bao gồm xác nhận người dùng ông bà tuyên bố đảm bảo thông tin xác thực không bị thay đổi giả mạo + Sinh trắc học, thẻ thông minh chứng thực số sử dụng để đảm bảo tính xác thực liệu, giao dịch, thông tin liên lạc, tài liệu SVTH: NHÓM 10 – LỚP MM03C TÌM HIỂU VỀ AN NINH MẠNG VÀ KỸ THUẬT TẤN CÔNG TỪ CHỐI DỊCH VỤ -Tính không chối bỏ + Nó đề cập đến khả để bảo đảm bêncủa hợp đồng giao tiếp phủ nhận tính xác thực chữ ký họ tài liệu gửi thông điệp từ họ + Đó cách để bảo đảm người phủ nhận họ gửi tin nhắn phủ nhận nhận tin nhắn + Chữ ký số mã hóa sử dụng để thiết lập tính xác thực không chối bỏ tài liệu tin nhắn 1.2.4 Những vấn đề bảo mật -Tam giác bảo mật Mức độ bảo mật hệ thống nào, xác định sức mạnh ba thành phần: +An ninh +Chức +Khả sử dụng -Thách thức an ninh + Tuân thủ quy định phủ + Tác động trực tiếp vi phạm an ninh sở tài sản uy tín công ty + Khó khăn để tập trung bảo mật môi trường tính toán phân tán + Sự phát triển công nghệ tập trung vào tính dễ sử dụng + Tăng số lượng ứng dụng dựa mạng + Tắng tính phức tạp quản trị quản lý sở hạ tầng máy tính 1.2.5 Ảnh hưởng hacking - Kẻ công sử dụng máy tính “spamzombies” “spambots” SVTH: NHÓM 10 – LỚP MM03C TÌM HIỂU VỀ AN NINH MẠNG VÀ KỸ THUẬT TẤN CÔNG TỪ CHỐI DỊCH VỤ - Phá hủy liệu trộm cắp thông tin - Tấn công sử dụng backdoors giống Trojan, rootkits, virus để can thiệp sâu vào hệ thống - Trộm cắp thông tin khách hàng, liệu doanh nghiệp, thông tin tín dụng để gian lận trộm cắp - Trộm cắp địa email để spamming, mật để truy cập ngân hàng online dịch vụ web - Theo nghiên cứu bảo mật Symantec 2010, công hacker vào doanh nghiệp làm tổn thất 2,2 triệu độ năm - Hành vi trộm cắp thông tin cá nhân khách hàng làm ảnh hưởng đến danh tiếng doanh nghiệp bị kiện - Hacking sử dụng để ăn cắp phân phối lại tài sản trí tuệ dẫn đến mát kinh doanh - Kẻ công ăn cắp bí mật công ty bán chúng cho đối thủ cạnh tranh, thông tin tài quan trọng bị rò rỉ cho đối thủ - Botnets sử dụng để khởi động loại Dos khác công dựa web dẫn đến làm giảm thời gian mát đáng kể doanh thu doanh nghiệp 1.2.6 Hacker - Đó người thông minh có kỹ máy tính tuyệt vời, với khả tạo khám phá phần mềm phần cứng máy tính - Đối với số tin tặc, hacking sở thích để xem nhiều máy tính mạng họ thâm nhập vào hay không - Mục đích họ đạt kiến thức làm việc bất hợp pháp SVTH: NHÓM 10 – LỚP MM03C TÌM HIỂU VỀ AN NINH MẠNG VÀ KỸ THUẬT TẤN CÔNG TỪ CHỐI DỊCH VỤ - Một số hacking với mục đích xấu đằng sau phiêu lưu họ, chẳng hạn ăn cắp liệu kinh doanh, thông tin thẻ tín dụng, số an ninh xã hội, mật khẩu, email, vv -Các loại hacker + Mũ đen: Cá nhân có kỹ tính toán phi thường, để làm hoạt động nguy hiểm phá hoại biết đến kẻ phá hoại + Mũ trắng: Cá nhân có kỹ hacker sử dụng chúng nhằm mục đích phòng thủ biết đến người bảo mật + Mũ nâu: Cá nhân làm việc công phòng thủ thời điểm khác + Hacker tự sát: Cá nhân nhằm mục đích mang lại sở quan trọng cho “nguyên nhân” Và họ lo lắng hành động họ -Tin tặc + Tin tặc làm chương trình hack, đặc biệt defacing vô hiệu hóa trang web + Phát triển mạnh môi trường dễ dàng truy cập + Nhằm gửi tin nhắn thông qua hoạt động hacking họ đạt khả hiển thị họ + Các mục tiêu phổ biến bao gồm quan phủ, tập đoàn đa quốc gia, tổ chức coi xấu hay sai nhóm cá nhân + Nó thực tế, nhiên, truy cập trái phép phạm tội, làm mục đích 1.3 Các giai đoạn hacking 1.3.1 Giai đoạn – Thăm dò - Thăm dò đề cập đến gian đoạn chuẩn bị kẻ công tìm kiếm thu thập thông tin mục tiêu trước tung công SVTH: NHÓM 10 – LỚP MM03C TÌM HIỂU VỀ AN NINH MẠNG VÀ KỸ THUẬT TẤN CÔNG TỪ CHỐI DỊCH VỤ - Có thể điểm lợi nhuận tương lai, lưu ý để dễ dàng chấp nhận cho công mục tiêu biết đến quy mô rộng - Thăm dò phạm vi mục tiêu bao gồm khách hàng, nhân viên tổ chức, hoạt động mạng hệ thống - Có hai loại thăm dò chủ động thụ động + Thăm dò thụ động • Thăm dò liên quan đến việc thu thập thông tin mà không cần trực tiếp tương tác với mục tiêu • Ví dụ, tìm kiếm hồ sơ công cộng phát hành tin + Thăm dò chủ động • Thăm dò chủ động liên quan đến việc tương tác trực tiếp với mục tiêu phương tiện • Ví dụ: Các gọi đến bàn trợ giúp phận kỹ thuật 1.3.2 Giai đoạn – Quét dò tìm - Trước công: Quét đề cập đến giai đoạn trước công kẻ công quát mạng lưới thông tin cụ thể sở thu thập thông tin trình trinh sát - Quét: Quét bao gồm sử dụng trình quay số, quét cổng, lập đồ mạng, quét rộng, quét lỗ hổng - Trích xuất thông tin: Kẻ công khai thác thông tin tên máy tính, địa IP tài khoản người dùng để khởi động công 1.3.3 Giai đoạn – Truy cập - Được truy cập đến điểm mà kẻ công có quyền truy cập vào hệ điều hành ứng dụng máy tính mạng - Kẻ công leo thang để có quyền điều khiển hoàn toàn hệ thống, trình hệ thống trung gian kết nối với bị tổn hại SVTH: NHÓM 10 – LỚP MM03C 10 TÌM HIỂU VỀ AN NINH MẠNG VÀ KỸ THUẬT TẤN CÔNG TỪ CHỐI DỊCH VỤ - IRCbot – gọi zombia hay drone - Internet Relay Chat (IRC) dạng truyền liệu thời gian thực Internet Nó thường thiết kế cho người nhắn cho group người giao tiếp với với kênh khác gọi – Channels - Đầu tiên BOT kết nối kênh IRC với IRC Server đợi giao tiếp người với - Kẻ công điều khiển mạng BOT sử dụng mạng BOT sử dụng nhằm mục đích - Nhiều mạng BOT kết nối với người ta gọi BOTNET – botnet 3.5.3 Mạng Botnet - Mạng Botnet bao gồm nhiều máy tính - Nó sử dụng cho mục đích công DDoS - Một mạng Botnet nhỏ bao gồm 1000 máy tính bạn thử tưởng tượng máy tính kết nối tới Internet tốc độ 128Kbps mạng Botnet có khả tạo băng thông 1000*128 ~ 100Mbps – Đây số thể băng thông mà khó nhà Hosting share cho trang web 3.5.4 Mục đích sử dụng mạng Botnets - Tấn công Distributed Denial-of-Service - DDoS + Botnet sử dụng cho công DDoS - Spamming + Mở SOCKS v4/v5 proxy server cho việc Spamming - Sniffing traffic SVTH: NHÓM 10 – LỚP MM03C 27 TÌM HIỂU VỀ AN NINH MẠNG VÀ KỸ THUẬT TẤN CÔNG TỪ CHỐI DỊCH VỤ + Bot sử dụng gói tin sniffer (tóm giao tiếp mạng) sau tóm gói tin cố gắng giải mã gói tin để lấy nội dung có ý nghĩa tài khoản ngân hàng nhiều thông tin có giá trị khác người sử dụng - Keylogging + Với trợ giúp Keylogger nhiều thông tin nhạy cảm người dùng bị kẻ công khai thác tài khoản e-banking, nhiều tài khoản khác - Cài đặt lây nhiễm chương trình độc hại + Botnet sử dụng để tạo mạng mạng BOT - Cài đặt quảng cáo Popup + Tự động bật quảng cáo không mong muốn với người sử dụng - Google Adsense abuse + Tự động thay đổi kết tìm kiếm hiển thị người dùng sử dụng dịch vụ tìm kiểm Google, thay đổi kết lừa người dùng kích vào trang web nguy hiểm - Tấn công vào IRC Chat Networks + Nó gọi clone attack - Phishing + Mạng botnet sử dụng để phishing mail nhằm lấy thông tin nhạy cảm người dùng + Phishing: công với mục đích cuối lấy tiền người bị công Chúng thực cách đánh cắp thông tin cá nhân người sử dụng qua: điện thoại, email, message, web,… Các hoạt động công trực tuyến Phishing phổ biến núp dươí dạng chính: dạng email trang web để lừa gạt người dùng SVTH: NHÓM 10 – LỚP MM03C 28 TÌM HIỂU VỀ AN NINH MẠNG VÀ KỸ THUẬT TẤN CÔNG TỪ CHỐI DỊCH VỤ Chúng sửa trang Web ngân hàng, tổ chức tài để thu thập thông tin công giả mạo trang web, email để đánh lừa người dùng cung cấp thông tin liên quan đến tài khoản,… Sau dùng thông tin chiếm đoạt tài người bị lừa 3.5.5 Các dạng mạng BOT Agobot/Phatbot/Forbot/XtremBot - Đây bot viết C++ tảng Cross-platform mã nguồn tìm GPL Agobot viết Ago nick name người ta biết đến Wonk, niên trẻ người Đức – bị bắt hồi tháng năm 2004 với tội danh tội phạm máy tính - Agobot có khả sử dụng NTFS Alternate Data Stream (ADS) loại Rootkit nhằm ẩn tiến trình chạy hệ thống SDBot/Rbot/UrBot/UrXbot - SDBot viết ngồn ngữ C public GPL Nó đươc coi tiền thân Rbot, RxBot, UrBot, UrXBot, JrBot mIRC-Based Bots – GT-Bots - GT viết tắt tư fhai từ Global Threat tên thường sử dụng cho tất mIRC-scripted bots Nó có khả sử dụng phần mềm IM mIRC để thiết lập số script số đoạn mã khác 3.5.6 Các bước xây dựng mạng BotNet? Cách phân tích mạng Bot Để hiểu xây dựng hệ thống mạng BotNet nghiên cứu từ cách lây nhiễm vào máy tính, cách tạo mạng Bot dùng mạng Bot công vào đích mạng Botnet tạo từ Agobot’s Bước 1: Cách lây nhiễm vào máy tính SVTH: NHÓM 10 – LỚP MM03C 29 TÌM HIỂU VỀ AN NINH MẠNG VÀ KỸ THUẬT TẤN CÔNG TỪ CHỐI DỊCH VỤ - Đầu tiên kẻ công lừa cho người dùng chạy file "chess.exe", Agobot thường copy chúng vào hệ thống thêm thông số Registry để đảm bảo chạy với hệ thống khởi động Trong Registry có vị trí cho ứng dụng chạy lúc khởi động HKLM\Software\Microsoft\Windows\CurrentVersion\Run HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices Bước 2: Cách lây lan xây dựng tạo mạng BOTNET - Sau hệ thống mạng có máy tính bị nhiễm Agobot, tự động tìm kiếm máy tính khác hệ thống lây nhiễm sử dụng lỗ hổng tài nguyên chia sẻ hệ thống mạng - Chúng thường cố gắng kết nối tới liệu share mặc định dành cho ứng dụng quản trị (administrator or administrative) ví dụ như: C$, D$, E$ print$ cách đoán usernames password để truy cập vào hệ thống khác lây nhiễm - Agobot lây lan nhanh chúng có khả tận dụng điểm yếu hệ điều hành Windows, hay ứng dụng, dịch vụ chạy hệ thống Bước 3: Kết nối vào IRC - Bước Agobot tạo IRC-Controled Backdoor để mở yếu tố cần thiết, kết nối tới mạng Botnet thông qua IRC-Control, sau kết nối mở dịch vụ cần thiết để có yêu cầu chúng điều khiển kẻ công thông qua kênh giao tiếp IRC Bước 4: Điều khiển công từ mạng BotNet - Kẻ công điều khiển máy mạng Agobot download file exe chạy máy - Lấy toàn thông tin liên quan cần thiết hệ thống mà kẻ công muốn SVTH: NHÓM 10 – LỚP MM03C 30 TÌM HIỂU VỀ AN NINH MẠNG VÀ KỸ THUẬT TẤN CÔNG TỪ CHỐI DỊCH VỤ - Chạy file khác hệ thống đáp ứng yêu cầu kẻ công - Chạy chương trình DDoS công hệ thống khác 3.5.7 Sơ đồ cách hệ thống bị lây nhiễm sử dụng Agobot Hình Sơ đồ cách hệ thống bị lây nhiễm sử dụng Agobot SVTH: NHÓM 10 – LỚP MM03C 31 TÌM HIỂU VỀ AN NINH MẠNG VÀ KỸ THUẬT TẤN CÔNG TỪ CHỐI DỊCH VỤ CHƯƠNG CÁC KỸ THUẬT PHÒNG CHỐNG DoS/DDoS Có nhiều giải pháp ý tưởng đưa nhằm đối phó với công kiểu DDoS Tuy nhiên giải pháp ý tưởng giải trọn vẹn toán Anti-DDoS Các hình thái khác DDoS liên tục xuất theo thời gian song song với giải pháp đối phó, nhiên đua tuân theo quy luật tất yếu bảo mật máy tính: “Hacker trước giới bảo mật bước” Có ba giai đoạn trình Anti-DDoS: - Giai đoạn ngăn ngừa: tối thiểu hóa lượng Agent, tìm vô hiệu hóa Handler - Giai đoạn đối đầu với công: Phát ngăn chặn công, làm suy giảm dừng công, chuyển hướng công SVTH: NHÓM 10 – LỚP MM03C 32 TÌM HIỂU VỀ AN NINH MẠNG VÀ KỸ THUẬT TẤN CÔNG TỪ CHỐI DỊCH VỤ - Giai đoạn sau công xảy ra: thu thập chứng rút kinh nghiệm DDoS Countermeasures Detect and Neutralize handler Detect and Prevent Agent Detect/Prevent Potential Attack Mitigate/Stop Attack Deflect Attack Post attack Forensic Traffic Pattern Analysis Egress Filtering Invidual user MIB Statistic Throttling Drop Request Honeyspots Network Service Provider Packet Traceback Event Log Shadow Real Network Study Attack Install Software Patch Build in defense Cost Load Balancing Hình Các giai đoạn chi tiết phòng chống DDoS 4.1 Các kỹ thuật phát hiện: 4.1.1 Hồ sơ hóa hoạt động - Một công nhận biết bởi: o Sự gia tăng mức độ hoạt động cụm o Sự tăng số lượng tổng thể cụm riêng biệt SVTH: NHÓM 10 – LỚP MM03C 33 TÌM HIỂU VỀ AN NINH MẠNG VÀ KỸ THUẬT TẤN CÔNG TỪ CHỐI DỊCH VỤ - Là số trung bình gói luồng mạng nơi mà gồm gói tin liên tiếp với trường tương tự - Hồ sơ hoạt động thu nhặt việc theo dõi thong tin gói tin mạng 4.1.2 Phân tích sóng - Phân tích sóng mô tả sóng vào thành phần quang phổ - Phân tích sóng mô tả sóng vào thành phần quang phổ - Chúng xác định thời gian mà chắn có thành phần sóng xuất 4.1.3 Phát điểm thay đổi - Thuật toán điểm thay đổi cô lập lưu lượng liệu chứa thống kê thay đổi gây công - Ban đầu chúng lọc lưu lượng liệu tới đích địa chỉ, cổng giao thức lưu trữ kết lưu lượng theo chuỗi thời gian - Để nhận khoanh vùng công DoS, thuật toán Cusum xác định độ lệch trung bình mạng nội dự kiến so với thực tế thời gian - Nó sử dụng để xác định chức quét hoạt động điển hình loại sâu mạng 4.2 Các biện pháp phòng chống đối phó với công DoS/DDoS 4.2.1 Tối thiểu hóa số lượng Agent: - Từ phía User: phương pháp tốt để ngừa công DDoS internet user tự đề phòng không để bị lợi dụng công hệ thống khác Muốn đạt điều ý thức kỹ thuật phòng chống phải phổ biến rộng rãi cho internet user Attack-Network không hình thành user bị lợi dụng trở thành Agent Các user phải liên tục thực trình bảo mật máy vi tính Họ phải tự kiểm tra diện Agent máy mình, điều khó khăn user thông thường SVTH: NHÓM 10 – LỚP MM03C 34 TÌM HIỂU VỀ AN NINH MẠNG VÀ KỸ THUẬT TẤN CÔNG TỪ CHỐI DỊCH VỤ Một số giải pháp tích hợp sẵn khả ngăn ngừa việc cài đặt code nguy hiểm thông hardware software hệ thống Về phía user họ nên cài đặt update liên tục software antivirus, anti_trojan server patch hệ điều hành - Từ phía Network Service Provider: Thay đổi cách tính tiền dịch vụ truy cập theo dung lượng làm cho user lưu ý đến họ gửi, mặt ý thức tăng cường phát DDoS Agent tự nâng cao User 4.2.2 Tìm vô hiệu hóa Handler: Một nhân tố vô quan trọng attack-network Handler, phát vô hiệu hóa Handler khả Anti-DDoS thành công cao Bằng cách theo dõi giao tiếp Handler Client hay handler va Agent ta phát vị trí Handler Do Handler quản lý nhiều, nên triệt tiêu Handler có nghĩa loại bỏ lượng đáng kể Agent Attack – Network 4.2.3 Hấp thụ công Sử dụng dung lượng bổ sung để hấp thụ công; điều yêu cầu lập kế hoạch trước Nó yêu cầu tài nguyên bổ sung 4.2.4 Cắt giảm dịch vụ Nhận diện dịch vụ quan trọng tắt bớt dịch vụ không quan trọng để giải phóng tài nguyên cho hệ thống 4.2.5 Tắt dịch vụ Khi bị công cần phải tắt hết dịch vụ bật lại công lắng xuống 4.3 Phát dấu hiệu công: Có nhiều kỹ thuật áp dụng: SVTH: NHÓM 10 – LỚP MM03C 35 TÌM HIỂU VỀ AN NINH MẠNG VÀ KỸ THUẬT TẤN CÔNG TỪ CHỐI DỊCH VỤ 4.3.1 Agress Filtering: Kỹ thuật kiểm tra xem packet có đủ tiêu chuẩn khỏi subnet hay không dựa sở gateway subnet biết địa IP máy thuộc subnet Các packet từ bên subnet gửi với địa nguồn không hợp lệ bị giữ lại để điều tra nguyên nhân Nếu kỹ thuật áp dụng tất subnet internet khái nhiệm giả mạo địa IP không tồn 4.3.2 MIB statistics: Trong Management Information Base (SNMP) route có thông tin thống kể biến thiên trạng thái mạng Nếu ta giám sát chặt chẽ thống kê protocol mạng Nếu ta giám sát chặt chẽ thống kê Protocol ICMP, UDP TCP ta có khả phát thời điểm bắt đầu công để tạo “quỹ thời gian vàng” cho việc xử lý tình 4.4 Làm suy giảm hay dừng công: Dùng kỹ thuật sau: 4.4.1 Load balancing: Thiết lập kiến trúc cân tải cho server trọng điểm làm gia tăng thời gian chống chọi hệ thống với công DDoS Tuy nhiên, điều ý nghĩa mặt thực tiễn quy mô công giới hạn 4.4.2 Throttling: Thiết lập chế điều tiết router, quy định khoảng tải hợp lý mà server bên xử lý Phương pháp dùng để ngăn chặn khả DDoS traffic không cho user truy cập dịch vụ Hạn chế kỹ thuật không phân biệt loại traffic, làm dịch vụ bị gián đoạn với user, DDoS traffic xâm nhập vào mạng dịch vụ với số lượng hữu hạn SVTH: NHÓM 10 – LỚP MM03C 36 TÌM HIỂU VỀ AN NINH MẠNG VÀ KỸ THUẬT TẤN CÔNG TỪ CHỐI DỊCH VỤ 4.4.3 Drop request: Thiết lập chế drop request vi phạm số quy định như: thời gian delay kéo dài, tốn nhiều tài nguyên để xử lý, gây deadlock Kỹ thuật triệt tiêu khả làm cạn kiệt lực hệ thống, nhiên giới hạn số hoạt động thông thường hệ thống, cần cân nhắc sử dụng Chuyển hướng công: 4.4.4 Honeyspots: Một kỹ thuật nghiên cứu Honeyspots Honeyspots hệ thống thiết kế nhằm đánh lừa attacker công vào xâm nhập hệ thống mà không ý đến hệ thống quan trọng thực Honeyspots không đóng vai trò “Lê Lai cứu chúa” mà hiệu việc phát xử lý xâm nhập, Honeyspots thiết lập sẵn chế giám sát báo động Ngoài Honeyspots có giá trị việc học hỏi rút kinh nghiệm từ Attacker, Honeyspots ghi nhận chi tiết động thái attacker hệ thống Nếu attacker bị đánh lừa cài đặt Agent hay Handler lên Honeyspots khả bị triệt tiêu toàn attack-network cao 4.5 Giai đoạn sau công: Trong giai đoạn thông thường thực công việc sau: 4.5.1 Traffic Pattern Analysis: Nếu liệu thống kê biến thiên lượng traffic theo thời gian lưu lại đưa phân tích Quá trình phân tích có ích cho việc tinh chỉnh lại hệ thống Load Balancing Throttling Ngoài liệu giúp Quản trị mạng điều chỉnh lại quy tắc kiểm soát traffic vào mạng SVTH: NHÓM 10 – LỚP MM03C 37 TÌM HIỂU VỀ AN NINH MẠNG VÀ KỸ THUẬT TẤN CÔNG TỪ CHỐI DỊCH VỤ 4.5.2 Packet Traceback: Bằng cách dùng kỹ thuật Traceback ta truy ngược lại vị trí Attacker (ít subnet attacker) Từ kỹ thuật Traceback ta phát triển thêm khả Block Traceback từ attacker hữu hiệu gần có kỹ thuật Traceback hiệu truy tìm nguồn gốc công 15 phút, kỹ thuật XXX 4.5.3 Event Logs: Bằng cách phân tích file log sau công, quản trị mạng tìm nhiều manh mối chứng quan trọng 4.6 Bảo vệ công DoS/DDoS từ cấp ISP - Phần lớn ISP chặn tất luồng khoảng công DDoS, từ chối luồng liệu không hợp lệ khỏi truy cập dịch vụ - Các ISP cung cấp bảo vệ DDoS in-the-cloud cho đường truyền Internet nên họ không bị bão hòa công - Luồng công chuyển hướng tói ISP để lọc gửi lại - Những người quản trị yêu cầu ISP chặn IP bị ảnh hưởng di chuyển site họ sang IP khác - Bật chế độ TCP Intercept router Cisco 4.7 Kiểm tra khả chịu đựng hệ thống 4.7.1 Kiểm tra thâm nhập công từ chối dịch vụ - Tấn công DoS nên kết hợp vào việc kiểm tra Pen để tìm máy chủ dễ bị công DoS - Một mạng dễ bị tổn thương xử lý lượng lớn luồng liệu gửi tới để sau bị đổ vỡ chậm lại, theo ngăn cản người dùng truy cập vào SVTH: NHÓM 10 – LỚP MM03C 38 TÌM HIỂU VỀ AN NINH MẠNG VÀ KỸ THUẬT TẤN CÔNG TỪ CHỐI DỊCH VỤ - Kiểm tra DoS Pen xác định ngưỡng nhỏ cho công hệ thống, người kiểm tra chắn hệ thống chịu công DoS - Mục đích kiểm tra DoS Pen để làm ngập mạng luồng thông tin, tương tự hàng trăm người yêu cầu dịch vụ nhiều lần để làm cho server bận không sẵn sàng 4.7.2 DoS Pen testing - Kiểm tra web server sử dụng công cụ tự động Web Application Stress (WAS) Jmeter để tải sức chứa, hiệu server biên, khóa vấn đề mở rộng - Quét mạng sử dụng công cụ tự động NMAP, GFI LanGuard Nessus để khám phá hệ thống dễ bị công DoS - Làm ngập mục tiêu với gói tin yêu cầu kết nối Trin00, Tribe Flood TFN2K - Sử dụng công gây ngập cổng làm tăng sử dụng CPU cách trì yêu cầu cổng theo kiểu phong tỏa Sử dụng công cụ Multilate Pepsi5 để làm ngập cổng tự động - Sử dụng công cụ Mail Bomber, Attache Bomber Advanced Mail Bomber để gửi số lượng lớn email tới mail server - Điền mẫu đơn với mục dài dòng SVTH: NHÓM 10 – LỚP MM03C 39 TÌM HIỂU VỀ AN NINH MẠNG VÀ KỸ THUẬT TẤN CÔNG TỪ CHỐI DỊCH VỤ KẾT LUẬN Sau thực thành công đồ án Nhóm chúng em có nhìn chi tiết công DoS/DDoS, thiệt hại mà công DoS/DDoS gây cho hệ thống mạng từ đưa biện pháp phòng chống DoS/DDoS hiệu Trong thực đồ án có nhiều khiếm khuyết mong độc giả góp ý để đồ án hoàn thiện trở thành tài liệu hữu ích Một lần nhóm xin cảm ơn tập thể lớp thầy Lê Tự Thanh nhiệt tình giúp đỡ chúng em hoàn thành đồ án TÀI LIỆU THAM KHẢO SVTH: NHÓM 10 – LỚP MM03C 40 TÌM HIỂU VỀ AN NINH MẠNG VÀ KỸ THUẬT TẤN CÔNG TỪ CHỐI DỊCH VỤ [1] Slide môn an ninh mạng khoa khoa học máy tính trường cao đẳng công nghệ thông tin hữu nghị việt – hàn [2] Bộ slide Certified Ethical Hacker Version [5] Các website: http://www.google.com.vn http://vnexperts.net http://www.hvaonline.net SVTH: NHÓM 10 – LỚP MM03C 41 [...]... phạm sẽ chuyển vào Rule deny access sẽ ngăn cản tấn công này SVTH: NHÓM 10 – LỚP MM03C 17 TÌM HIỂU VỀ AN NINH MẠNG VÀ KỸ THUẬT TẤN CÔNG TỪ CHỐI DỊCH VỤ SVTH: NHÓM 10 – LỚP MM03C 18 TÌM HIỂU VỀ AN NINH MẠNG VÀ KỸ THUẬT TẤN CÔNG TỪ CHỐI DỊCH VỤ CHƯƠNG 3 DISTRIBUTED DENIAL OF SERVICE (DDOS) 3.1 Lịch sử của tấn công DDoS 3.1.1 Mục tiêu - Mục tiêu các cuộc tấn công thường vào các trang web lớn và các tổ chức... chặn tấn công 3.2.4 Kẻ tấn công khôn ngoan Giờ đây không một kẻ tấn công nào sử dụng luôn địa chỉ IP để điều khiển mạng Botnet tấn công tới đích, mà chúng thường sử dụng một đối tượng trung gian dưới đây là những mô hình tấn công DDoS a Agent Handler Model Kẻ tấn công sử dụng các handler để điều khiển tấn công SVTH: NHÓM 10 – LỚP MM03C 21 TÌM HIỂU VỀ AN NINH MẠNG VÀ KỸ THUẬT TẤN CÔNG TỪ CHỐI DỊCH VỤ... quá trình Anti-DDoS: - Giai đoạn ngăn ngừa: tối thiểu hóa lượng Agent, tìm và vô hiệu hóa các Handler - Giai đoạn đối đầu với cuộc tấn công: Phát hiện và ngăn chặn cuộc tấn công, làm suy giảm và dừng cuộc tấn công, chuyển hướng cuộc tấn công SVTH: NHÓM 10 – LỚP MM03C 32 TÌM HIỂU VỀ AN NINH MẠNG VÀ KỸ THUẬT TẤN CÔNG TỪ CHỐI DỊCH VỤ - Giai đoạn sau khi cuộc tấn công xảy ra: thu thập chứng cứ và rút kinh... dịch vụ cần thiết để khi có yêu cầu chúng sẽ được điều khiển bởi kẻ tấn công thông qua kênh giao tiếp IRC Bước 4: Điều khiển tấn công từ mạng BotNet - Kẻ tấn công điều khiển các máy trong mạng Agobot download những file exe về chạy trên máy - Lấy toàn bộ thông tin liên quan và cần thiết trên hệ thống mà kẻ tấn công muốn SVTH: NHÓM 10 – LỚP MM03C 30 TÌM HIỂU VỀ AN NINH MẠNG VÀ KỸ THUẬT TẤN CÔNG TỪ CHỐI... DỊCH VỤ Hình 3 1 Mô hình Agent Handler b Tấn công DDoS dựa trên nền tảng IRC Kẻ tấn công sử dụng các mạng IRC để điều khiển, khuyếch đại và quản lý kết nối với các máy tính trong mạng Botnet Hình 3 2 Mô hình Tấn công DDoS dựa trên nền tảng IRC SVTH: NHÓM 10 – LỚP MM03C 22 TÌM HIỂU VỀ AN NINH MẠNG VÀ KỸ THUẬT TẤN CÔNG TỪ CHỐI DỊCH VỤ 3.3 Phân loại tấn công DDos - Tấn công gây hết băng thông truy cập... sử dụng tấn công DoS Như chúng ta biết ở bên trên tấn công DoS xảy ra khi kẻ tấn công sử dụng hết tài nguyên của hệ thống và hệ thống không thể đáp ứng cho người dùng bình thường được vậy các tài nguyên chúng thường sử dụng để tấn công là gì: - Tạo ra sự khan hiếm, những giới hạn và không đổi mới tài nguyên SVTH: NHÓM 10 – LỚP MM03C 13 TÌM HIỂU VỀ AN NINH MẠNG VÀ KỸ THUẬT TẤN CÔNG TỪ CHỐI DỊCH VỤ - Băng... script và một số đoạn mã khác 3.5.6 Các bước xây dựng mạng BotNet? Cách phân tích mạng Bot Để hiểu hơn về xây dựng hệ thống mạng BotNet chúng ta nghiên cứu từ cách lây nhiễm vào một máy tính, cách tạo ra một mạng Bot và dùng mạng Bot này tấn công vào một đích nào đó của mạng Botnet được tạo ra từ Agobot’s Bước 1: Cách lây nhiễm vào máy tính SVTH: NHÓM 10 – LỚP MM03C 29 TÌM HIỂU VỀ AN NINH MẠNG VÀ KỸ THUẬT... – LỚP MM03C 34 TÌM HIỂU VỀ AN NINH MẠNG VÀ KỸ THUẬT TẤN CÔNG TỪ CHỐI DỊCH VỤ Một số giải pháp tích hợp sẵn khả năng ngăn ngừa việc cài đặt code nguy hiểm thông ào hardware và software của từng hệ thống Về phía user họ nên cài đặt và update liên tục các software như antivirus, anti_trojan và server patch của hệ điều hành - Từ phía Network Service Provider: Thay đổi cách tính tiền dịch vụ truy cập theo... nguyên cho hệ thống 4.2.5 Tắt các dịch vụ Khi bị tấn công cần phải tắt hết các dịch vụ đi và chỉ bật lại khi cuộc tấn công đã lắng xuống 4.3 Phát hiện dấu hiệu của một cuộc tấn công: Có nhiều kỹ thuật được áp dụng: SVTH: NHÓM 10 – LỚP MM03C 35 TÌM HIỂU VỀ AN NINH MẠNG VÀ KỸ THUẬT TẤN CÔNG TỪ CHỐI DỊCH VỤ 4.3.1 Agress Filtering: Kỹ thuật này kiểm tra xem một packet có đủ tiêu chuẩn ra khỏi một subnet hay... THUẬT TẤN CÔNG TỪ CHỐI DỊCH VỤ - Chạy những file khác trên hệ thống đáp ứng yêu cầu của kẻ tấn công - Chạy những chương trình DDoS tấn công hệ thống khác 3.5.7 Sơ đồ cách hệ thống bị lây nhiễm và sử dụng Agobot Hình 3 5 Sơ đồ cách hệ thống bị lây nhiễm và sử dụng Agobot SVTH: NHÓM 10 – LỚP MM03C 31 TÌM HIỂU VỀ AN NINH MẠNG VÀ KỸ THUẬT TẤN CÔNG TỪ CHỐI DỊCH VỤ CHƯƠNG 4 CÁC KỸ THUẬT PHÒNG CHỐNG DoS/DDoS