Đang tải... (xem toàn văn)
MỤC LỤC LỜI CẢM ƠN MỞ ĐẦU 1 CHƯƠNG 1. CÁC NỘI DUNG CƠ BẢN CỦA TẤN CÔNG TỪ CHỐI DỊCH VỤ PHÂN TÁN 3 1. GIỚI THIỆU VỀ TẤN CÔNG TỪ CHỐI DỊCH VỤ DDOS. 3 1.1. Khái niệm DDos. 3 1.2. Các giai đoạn của một cuộc tấn công DDos. 4 1.3. Phân loại tấn công từ chối dịch vụ phân tán: 5 1.4. Mạng BOTNET. 8 1.4.1. Khái niệm mạng Botnet. 8 1.4.2. Mạng Internet Relay Chat. 8 1.4.3. Chương trình Bot và BotNet. 9 1.4.4. Mô hình tấn công DDos. 10 1.4.5. Mô hình tấn công Agent Handler. 11 1.4.6. Mô hình tấn công IRC Based 12 CHƯƠNG 2: CÁC KỸ THUẬT TẤN CÔNG DDOS 14 2.1. Tấn công làm cạn kiệt băng thông (Band with Deleption): 14 2.1.1. Tấn công tràn băng thông (Flood attack): 14 2.1.2. Tấn công tràn băng thông bằng gói tin UDP: 15 2.1.3. Tấn công tràn băng thông bằng gói tin ICMP: 19 2.1.4. Tấn công khuếch đại (Amplification attack): 20 2.1.5. Tấn công kiểu Smuft: 21 2.1.6. Tấn công kiểu Fraggle: 22 2.2. Tấn công làm cạn kiệt tài nguyên (Resoure Deleption): 23 2.3. Các biến thể của tấn công DDoS: 27 2.3.1. Tấn công kiểu Flash DDoS: 27 2.3.2. Tấn công kiểu DRDoS: 29 2.3.3. Tấn công DDoS trên điện thoại di động 30 CHƯƠNG 3: GIẢI PHÁP PHÒNG CHỐNG DDOS HIỆU QUẢ 32 3.1. Phát hiện và ngăn chặn Agent (Detect and Prevent): 33 3.2. Phát hiện và vô hiệu hóa các Handler (detect and neutralize handler) 33 3.3. Phát hiện dấu hiệu của một cuộc tấn công DDOS (Detect and prevent agent): 34 3.4. Làm suy giảm hoặc chặn cuộc tấn công DDOS: 36 3.5. Chuyển hướng cuộc tấn công: 41 3.6. Giai đoạn sau tấn công: 44 3.7. Các giải pháp đơn đối với những cuộc tấn công DDOS nhỏ: 45 CHƯƠNG 4: ĐỀ XUÂT GIẢI PHÁP PHÒNG CHỐNG TẤN CÔNG DDOS CHO HỆ THỐNG THÔNG TIN CỦA TRƯỜNG ĐẠI HỌC 47 4.1.1 Sơ đồ tổng quan. 47 4.1.2. Mô tả hệ thống: 47 4.1.3. Ưu điểm của hệ thống: 48 4.1.4. Nhược điểm của hệ thống: 48 4.2. Đề xuất giải pháp ngăn chặn tấn công DDos, áp dụng cho hệ thống thông tin trường Đại Học Tài Nguyên và Môi Trường Hà Nội. 48 4.2.1. Giải pháp về phần cứng. 49 4.2.1. Giải pháp về phần mềm. 50 4.3 Cách phát hiện xâm nhập. 55 KẾT LUẬN 61 TÀI LIỆU THAM KHẢO 62
LỜI CẢM ƠN Em xin chân thành cảm ơn TS Trần Cảnh Dương tận tình giúp đỡ em suốt trình làm đồ án tốt nghiệp Em xin gửi lời cảm ơn tới thầy cô giáo khoa Công nghệ Thông tin – Trường Đại học Tài nguyên Môi trường Hà Nội truyền đạt kiến thức cho em suốt thời gian học tập nghiên cứu vừa qua Em xin gửi lời cảm ơn tới cán Trung tâm CNTT bớt chút thời gian dẫn truyền đạt kiến thức quý báu để em hoàn thành tốt báo cáo đề tài mình! Em xin chân thành cảm ơn! Hà nội, 01 tháng 09 năm 2015 Sinh viên Nguyễn Mạnh Khang MỤC LỤC DANH MỤC HÌNH DANH MỤC VIẾT TẮT Từ viết tắt Từ tiếng anh OIS Open Systems Interconnection CPU Central Processing Unit TCP Transmission Control Protocol HTTP HyperText Transfer Protocol SMTP Simple Mail Transfer Protocol VoIP Voice over Internet Protocol DNS UDP ICMP DDoS Domain Name System User Datagram Protocol Internet Control Message Protocol Distributed Denial of Service SYN RRDNS ISP The Synchronous Idle Character Round Robin DNS Internet Service Provider URL Uniform Resource Locator XML eXtensible Markup Languag Từ tiếng việt Mở hệ thống kết nối Bộ phận xử lý trung tâm Giao thức điều khiển truyền dẫn Giao thức truyền tải siêu văn Giao thức truyền tải thư tín đơn giản Truyền giọng nói giao thức IP Hệ thống tên miền Giao thức không liên kết Giao thức dành cho lỗi thống kê Tấn công từ chối dịch vu phân tán Ký tự đồng hoá Phương pháp cân tải Nhà cung cấp dịch vụ Internet Định vị Tài nguyên thống Ngôn ngữ Đánh dấu Mở rộng MỞ ĐẦU Ngày nay, mạng Internet phát triển mở trộng phạm vi toàn giới Các cổng thông tin điện tử, dịch vụ mạng sống cá nhân, tổ chức Việc hệ thống bị công gây tổn thất không nhỏ cho cá nhân tổ chức phương pháp công có nhiều hình thức nhiều mục đích khác phương pháp công từ chối dịch vụ phân tán, DDos (Distributed Denial Of Service) nguy hiểm chưa có giải pháp ngăn chặn hiệu Nó xuất sớm, năm 90 kỷ 20 Kiểu công làm cạn kiệt tài nguyên hệ thống Người quản trị, người sử dụng truy cập hệ thống thông tin Tấn công DDos bắt đầu biết đến từ năm 1998, với chương trình Trinoo Distributed Denial of service viết Phifli Từ với phát triển không ngừng Công nghệ thông tin, kỹ thuật công đời, Ping of Death, Teardrop, Aland Attack, Winnuke, Smurf Attack, UDP/ICMP Flooding, TCP/SYN Flooding, Attack DNS Kiểu công DDos kiểu công không mới, nỗi lo lắng nhà quản trị mạng Trong năm qua, không Việt Nam mà giới, công DDos liên tục diễn Những công với nhiều mục đích khác nhau: kinh tế, cá nhân, chí mang màu sắc trị,do vậy, nghiên cứu DDos không cũ, mà phải cập nhật với thiết bị, kỹ thuật công nghệ thông tin Từ vấn đề thực tiễn trên, em chọn đề tài “Tìm hiểu ddos giải pháp ngăn chặn, áp dụng cho hệ thống thông tin trường đại học Tài nguyên Môi trường Hà Nội ” Đề tài chia thành chương sau: Chương Các vấn đề chung DDoS Chương Kỹ thuật công DDoS kỹ thuật Chương Giải pháp phòng, chống DDos hiệu Chương Đề xuất giải pháp phòng chống công DDoS cho hệ thống thông tincủa trường Đại học Tài Nguyên Môi Trường Hà Nội I Mục đích nghiên cứu - Tìm hiểu từ đến chuyên sâu cách hình thành công Dos, DDoS môi trường , điều kiện thuận lợi để tạo công - Từ đưa giải pháp hữu hiệu để ngăn chăn công DDoS II Nhiệm vụ nghiên cứu Tìm hiểu tổng quát loại công DDoS Tìm hiểu mạng BOTNET - Mô hình công DDoS - Các kỹ thuật công DDoS - Các cách phòng chống công DDoS III Đối tượng nghiên cứu - Cac loại công DDoS - Các kỹ thuật công DDoS - Mạng Botnet - Các giải pháp ngăn chặn - Hệ thống mạng trường Đại học Tài nguyên Môi trường Hà Nội IV Phạm vi nghiên cứu phương pháp nghiên cứu - Nghiên cứu tiềm hiểu loại công ddos giải pháp ngăn chặn - Phương pháp nghiên cứu lý thuyết, tìm đọc tài liệu, trao đổi với giảng viên hướng dẫn Thực hành số phần thực tế hay mô mô hình ảo CHƯƠNG CÁC NỘI DUNG CƠ BẢN CỦA TẤN CÔNG TỪ CHỐI DỊCH VỤ PHÂN TÁN GIỚI THIỆU VỀ TẤN CÔNG TỪ CHỐI DỊCH VỤ - DDOS 1.1 Khái niệm DDos Tấn công từ chối dịch vụ phân tán (Distributed Denial of Service attackDDoS attack) hành động ngăn cản người dùng hợp pháp dịch vụ truy cập sử dụng dịch vụ đó, cách làm cho server đáp ứng yêu cầu sử dụng dịch vụ từ client Nguồn công không đến từ máy tính Internet, mà đến từ hệ thống nhiều máy tính với địa IP khác (điểm khác công Dos DDos) Hình 1.1 Mô hình công DDos 1.2 Các giai đoạn công DDos Giai đoạn chuẩn bị: Chuẩn bị công cụ cho công, công cụ thông thường hoạt động theo mô hình Client- Server Hacker viết phần mềm hay download cách dễ dàng mạng Tiếp theo, hacker chiếm quyền điều khiển máy tính mạng, tiến hành tải cài đặt ngầm chương trình độc hại máy tính Để làm điều này, hacker thường lừa cho người dùng click vào link quảng cáo có chứa Trojan, worm Kết thúc giai đoạn này, hacker có attacknetwork (một mạng máy tính ma phục vụ cho việc công DDoS) Giai đoạn xác định mục tiêu thời điểm công: Sau xác định mục tiêu cần công, hacker điều chỉnh attack- network chuyển hướng công mục tiêu Yếu tố thời điểm định mức độ thiệt hại công Vì vậy, phải hacker ấn định trước Giai đoạn phát động công xóa dấu vết: Đúng thời điểm định trước, hacker phát động lệnh công từ máy Toàn attack- network (có thể lên đến hàng ngàn, hàng vạn máy) đồng loạt công mục tiêu, mục tiêu nhanh chóng bị cạn kiệt băng thông tiếp tục hoạt động Sau khoảng thời gian công, hacker tiến hành xóa dấu vết truy ngược đến mình, việc đòi hỏi trình độ cao hacker chuyên nghiệp 1.3 Phân loại công từ chối dịch vụ phân tán: Các loại công DDoS có nhiều biến thể, nên việc phân loại có nhiều cách khác Tuy nhiên, giới chuyên môn thường chia kiểu công DDoS thành dạng chính, dựa vào mục đích kẻ công: - Tấn công DDoS làm cạn kiệt băng thông - Tấn công DDoS làm cạn kiệt tài nguyên hệ thống Hình 1.2 Sơ đồ phân loại DDoS attack theo mục đích công Ngoài việc phân loại trên, phân loại công DDos dựa mô hình OSI 07 tầng Xu hướng công DDos cho thấy thủ phạm thường biến đổi công theo mô hình OSI Các công phân loại sau: - Các công IP nhằm vào băng thông – công vào lớp (tầng mạng) - Các công TCP máy chủ sockets – công vào lớp (tầng vận chuyển) - Các công HTTP máy chủ web – công vào lớp (tầng ứng dụng) - Tấn công vào ứng dụng web, đánh vào tài nguyên CPU công lớp Khi phân tích công DDos nhằm vào lớp 7, phải nghiên cứu lớp khác Do công vào lớp ngụy trang kèm với công nhằm vào lớp khác Về chất, kẻ công vào lớp tạo giao diện cho người sử dụng trình duyệt, dịch vụ email, hình ảnh ứng dụng khác để gửi thông tin qua giao thức (SMTP, HTTP) Một công DDos vào lớp thường nhằm mục đích mục tiêu cụ thể như: làm gián đoạn giao dịch, cản trở truy cập vào sở liệu Kiểu công đòi hỏi nguồn lực kèm với công lớp khác lớp mạng Một công lớp ứng dụng ngụy trang giống truy cập hợp pháp có mục tiêu cụ thể ứng dụng Cuộc công làm gián đoạn chức cụ thể dịch vụ phản hồi thông tin, tìm kiếm … Phân biệt công DDos vào lớp so với công khác dựa số điểm sau: Tấn công DDos vào lớp mạng làm cho máy chủ tải với yêu cầu (request) giả, công lớp buộc máy chủ phải trả lời với yêu cầu thật Trong công DDos vào lớp 7, máy công phải tạo nhiều hết cỡ kết nối TCP Như vậy, địa IP thực tế sử dụng để gửi yêu cầu máy nạn nhận phải đáp ứng truy vấn hợp lệ Vì chúng vượt qua hệ thống phòng thủ DDos nghiêm ngặt Tấn công DDos vào lớp bao gồm công khác lợi dụng lỗ hổng phần mềm ứng dụng để công, đồng thời phân tán ý vào nhiều mục tiêu để che giấu mục tiêu máy chủ Web Hay nói cách khác kiểu công tinh vi hơn, không công toàn mà công vào mục tiêu hướng tới Khác biệt đáng ý công DDos vào lớp tạo khối lượng xử lý lớn đẩy lượng xử lý xuống hạ tầng sở mạng máy chủ làm “ngập lụt” băng thông Các công vào lớp thường đặt mục tiêu vào máy chủ, máy chủ đa phần nhìn nhận nạn nhân phía sau Ví dụ: công nhằm vào HTTP, VoIP hệ thống tên miền DNS Tấn công DDos nhằm vào lớp thường khai thác sai sót, hạn chế ứng dụng Từ làm cho hệ thống tiêu thụ nhiều tài nguyên không giải dẫn tới treo máy chủ Tấn công DDos nhằm lớp không mang tính phổ biến, đa dạng tùy thuộc vào ứng dụng Do thách thức lớn việc chống lại công vào lớp 10 4.1.2 Mô tả hệ thống: Hệ thống kết nối hai đường truyền internet thông qua hai nhà cung cấp FPT CMC hai đường truyền qua firewall juniper chia hai tòa nhà thông qua hai switch đến switch tầng tòa nhà 4.1.3 Ưu điểm hệ thống: - Phù hợp cho hệ thống thông tin vừa nhỏ - Cần nhân lực hiểu biết công nghệ thông tin - Hệ thống thiết kế đơn giản, dễ tiếp cận vận hành Toàn hệ thống sử dụng firewall cứng Juniper nên lọc gói tin nhanh - tốc độ truy cập cao Sử dụng hai đường cáp quang FPT CMC cung cấp đáp ứng khả chịu tải đường chuyền có tính dự phòng 4.1.4 Nhược điểm hệ thống: - Tính bảo mật khả phát phòng chống công phụ thuộc hoàn toàn vào firewall juniper trường hợp firewall bị lỗi hay bị công DDos toàn hệ thống mạng bị ngắt kết nối bên - Hệ thống chưa phân vùng có biện pháp cách ly khu vực máy tính - cho an toàn Giám sát hệ thống mạng khó khăn Hệ thống bảo mật chưa cao Chưa có biện pháp giới hạn băng thông có tượng công 4.2 Đề xuất giải pháp ngăn chặn công DDos, áp dụng cho hệ thống thông tin trường Đại Học Tài Nguyên Môi Trường Hà Nội Để mô hình hệ thống mạng nói chung hệ thống mạng trường Đại học Tài nguyên Môi trường nói riêng hoạt động ổn định đảm bảo an toàn thông tin giải pháp an ninh mạng cho hệ thống thông tin cần phải đáp ứng yêu cầu sau: 52 - Yêu cầu phải bảo vệ hệ thống thông tin trước nguy đe dọa - Mô hình bảo mật yêu cầu thiết lập với nhiều lớp - Các thiết bị an ninh mạng cần phải quản lý tập trung - Có sách nâng cấp, cập nhật sản phẩm hỗ trợ kỹ thuật nhằm đáp ứng khả bảo vệ thiết bị trước nguy nảy sinh - Các thiết bị cần đảm bảo thông lượng, tránh gây nghẽn mạng thiết bị - Giải pháp cần đảm bảo khả mở rộng 4.2.1 Giải pháp phần cứng Hệ thống phân chia vùng vùng máy trạm phục vụ sinh viên thực hành, vùng máy trạm phục vụ cho phòng ban làm việc, vùng DMZ để đặt máy chủ chạy dịch vụ web server, mail server… Sau phân tích kỹ lưỡng dựa thiết bị có sẵn nhà trường đề xuất hệ thống mạng sơ đồ sau: Hình 4.2 Sơ đồ hệ thống mạng đề xuất Hệ thống mạng dùng hai đường truyền internet hai nhà cung cấp dịch vụ FPT CMS hệ thống chia làm hai đường song 53 song với bên đường truyền FPT ta cho qua firewall TMG truyền trực tiếp sang khu nhà A để phục vụ máy trạm cho sinh viên thực tập đơn vị thuộc khối nhà A Còn đường truyền CMC ta cho qua firewall Juniper vào khu nhà C để phục vụ phòng ban khối nhà C bên đường truyền CMC ta tách thêm đường cho khu vực DMZ để đặt server chạy dịch vụ , thông qua hai firewall Sơ đồ hệ thống mạng đem lại khả an toàn bảo mật thông tin, đảm bảo tính cân tải phòng chống công DDos từ bên vào hệ thống 4.2.1 Giải pháp phần mềm Hệ thống tăng cường thêm tường lửa TMG để ngăn chặn truy cập trái phép phát sớm công DDos từ bên vào hệ thống mạng nhà trường quản lý giới hạn băng thông chí ngắt kết nối máy trạm phát máy trạm có tượng chiếm dụng băng thông Một số hình ảnh cài đặt TMG thực số chức quản lý giám sát hệ thống mạng chặn số trang web, đặt lịch làm việc cho máy trạm, giới hạn băng thông người dùng 54 Hình 4.3- Khởi động Rule để cấu hình Hình 4.4- Thiết lập thông số cho người dùng Hình 4.5 Chọn trang cần chặn 55 Kết sau thiết lập người dùng truy cập vào trang truy cập thông báo hình sau: Hình 4.6 Màn hình thông báo truy cập Thiết lập rule giảm băng thông người dùng Hình 4.7 Giao diện hình tạo rule giới hạn băng thông 56 Hình 4.8 Thiết đặt thông số cho băng thông 57 Hình 4.9 Hình ảnh kiểm thử download trước giới hạn Hình 4.10 Hình ảnh kiểm thử download sau giới hạn 58 Hình 4.11 Thiêt lập ngày truy cập 4.3 Cách phát xâm nhập Đây chức tự động phát đợt công từ bên cảnh báo với người quản trị Các bước thực hiện: - Mở TMG -> Intrusion Prevention System-> Behavioral Intrusion Detecsion -> Configure Detection Setting for Common Network Attacks 59 Hình 4.12 Bật chức cảnh báo - Chọn mục Port scan -> ok Hình 4.13 Chọn kiểu công port scan 60 - Chọn Monitoring -> Configure Alert Definitions Hình 4.14 Chọn chức thông báo - Chọn Intrution Detected -> Edit Hình 4.15 Chọn Intrution Detected 61 - Chọn Tab Action -> Ta quy định nhiều hình thức cảnh báo khác Hình 4.16 Chọn hình thức cảnh báo - Tại máy client , Chạy chương trình SuperScan -> vào Tab Host and Service - Discovery -> Bỏ dấu host Discovery Mục Scan Type -> chọn Connect 62 Hình 4.17 Cấu hình Superscan - Vào Tab Scan -> Nhập Ip card lan Forefront TMG server 192.168.0.21 -> Nhấn nút Add -> Nhấn nút Start để tiến hành Scan 63 Hình 4.18 Tiến hành Scan - Sang máy TMG chọn Monitoring -> Alert -> Sẽ thấy xuất dòng thông tin cảnh báo Hình 4.19 Thông báo xâm nhập bên máy TMG 64 KẾT LUẬN Đồ án đạt kết sau: - Đưa khái niệm lý thuyết công DDOS - Phân loại phân tích kiểu công DDOS - Tình hình liên quan tới DDoS giải pháp phòng ngừa - Tìm hiểu hệ thống thông tin mạng trường Đại học Tài nguyên Môi Trường Hà Nội - Đưa giải pháp thích hợp để phòng chống công Ddos Hướng tìm hiểu tiếp theo: - Tìm hiểu sâu cách phát động công, đồng thời thực mô hình mô - Tìm hiểu nghiên cứu giải pháp phòng chống hiệu áp dụng vào thực tế - Xây dựng mô hình mạng khác để thử nghiệm 65 TÀI LIỆU THAM KHẢO [1] Phan Đình Diệu (2002), Lý thuyết mật mã an toàn thông tin Nxb Hà Nội [2] Bài giảng bảo mật hệ thống thông tin Học viện Bưu Viễn Thông [3].http://vnexperts.net/ [4].http://vi.wikipedia.org/wiki/ [5].http://www.cert.org/ddos [6].Luận văn Nguyễn Thành Hữu - Đại học Quốc gia Hà Nội trường Đại học Công Nghệ 66