Nghiên cứu tt́m hiểu an ninh mạng MỤC LỤC LỜI CẢM ƠN i MỤC LỤC ii DANH MỤC VIẾT TẮT .v DANH MỤC HH̀NH ẢNH vi MỞ ĐẦU vii CHƯƠNG 1: TỔNG QUAN VỀ AN NINH MẠNG 1.1 TỔNG QUAN THÔNG TIN BẢO MẬT 1.1.1 Sự kiện bảo mật năm 2011 1.1.1.1 VietNamNet bị cơng DDoS lớn chưa có 1.1.1.2 "Hacktivism" dậy .1 1.1.1.3 Cơng ty cung cấp giải pháp bảo mật cho phủ Hoa Kỳ bị công 1.1.2 Các công DDoS tiếng lịch sử 1.2 KHÁI NIỆM HACKING 1.2.1 Khái niệm Hacker 1.2.2 Các loại Hacker 1.2.2.1 Black Hat 1.2.2.2 White Hat 1.2.2.3 Gray Hat 1.2.2.4 Suicide Hat .4 1.3 CÁC GIAI ĐOẠN TẤN CÔNG 1.3.1 Thăm ḍ (Reconnaissace) 1.3.2 Quét hệ thống (Scanning) 1.3.3 Chiếm quyền điều khiển (Gainning access) 1.3.4 Duy tŕ điều khiển hệ thống (Maitaining access) 1.3.5 Xoá dấu vết (Clearning tracks) 1.4 CÁC KIỂU TẤN CÔNG 1.4.1 Operating System Attacks 1.4.2 Application level Attacks .5 1.4.3 Shrink Wrap Code Attacks 1.4.4 Misconfiguration Attacks i Nghiên cứu tt́m hiểu an ninh mạng CHƯƠNG 2: TỪ CHỐI DỊCH VỤ .7 2.1 KHÁI NIỆM DOS .7 2.1.1 Tấn công từ chối dịch vụ 2.1.2 Tấn công từ chối dịch vụ phân tán .7 2.1.3 Dấu hiệu bị công DoS .7 2.1.4 Các mục đích cơng DoS 2.1.5 Tội phạm mạng 2.1.6 Sơ đồ tổ chức tổ chức tội phạm mạng 2.1.7 Internet Chat Query 2.1.8 Internet Relay Chat 2.2 KỸ THUẬT TẤN CÔNG DOS 2.2.1 Tấn công băng thông 2.2.2 Tấn công tràn ngập yêu cầu dịch vụ 10 2.2.3 Tấn công tràn ngập SYN 10 2.2.4 Tấn công tràn ngập ICMP 11 2.2.5 Tấn công điểm nối điểm 12 2.2.6 Tấn công cố định DoS .12 2.2.7 Tấn công tràn ngập cấp độ dịch vụ 12 2.3 MẠNG BOTNET 12 2.3.1 Khái niệm botnet 12 2.3.2 Hoạt động 13 2.3.3 Tổ chức 14 2.3.4 Xây dựng khai thác .14 2.4 MỘT SỐ CÔNG CỤ TẤN CÔNG 15 2.4.1 LOIC 15 2.4.2 DoSHTTP 16 2.5 BIỆN PHÁP ĐỐI PHÓ 16 2.5.1 Kỹ thuật phát 16 2.5.1.1 Hoạt động định ht́nh .16 2.5.1.2 Phân tích wavelet 17 2.5.1.3 Phát thay đổi điểm theo tŕnh tự 17 2.5.2 Biện pháp đối phó chiến lược DoS/ DdoS 17 SVTH: Lê Quang Hà ii Nghiên cứu tt́m hiểu an ninh mạng 2.5.3 Biện pháp đối phó cơng DoS/ DdoS .17 2.5.3.1 Bảo vệ thứ cấp victims 17 2.5.3.2 Phát vơ hiệu hóa handers 18 2.5.3.3 Phát tiềm công .18 2.5.3.4 Làm lệch hướng công 18 2.5.3.5 Làm dịu công 18 2.5.3.6 Pháp lư 19 2.5.4 Kỹ thuật để pḥng thủ chống lại botnet .19 2.5.5 Biện pháp đối phó DoS/ DdoS 20 2.5.6 Bảo vệ DoS/ DdoS .21 2.5.6.1 Mức độ ISP 21 2.5.6.2 Hệ thống bảo vệ IntelliGuard .21 2.6 CÔNG CỤ BẢO VỆ DOS/ DDOS 21 2.6.1.1 NetFlow Analyzer 21 2.6.1.2 Một số công cụ khác 22 2.7 KIỂM TRA THÂM NHẬP DOS/ DDOS 24 CHƯƠNG 3: MỘT SỐ VÍ DỤ ĐIỂN HH̀NH 26 3.1 Tấn công tràn ngập ICMP 26 3.2 Tấn công tràn ngập TCP, UDP, HTTP 26 3.3 Dùng Bonesi giả lập botnet 27 TÀI LIỆU THAM KHẢO 30 NHẬN XÉT CỦA CÁN BỘ HƯỚNG DẪN 31 SVTH: Lê Quang Hà iii Nghiên cứu tt́m hiểu an ninh mạng DANH MỤC VIẾT TẮT DoS Denial of Service SQL Structured Query Language - ngôn ngữ truy vấn mang tính cấu trúc XSS Cross-site scripting HĐH Hệ điều hành DDoS Distribute Denial of Service ICQ Internet Chat Query IRC Internet Relay Chat ICMP Internet control message protocol PDoS Permanent Denial of Service LOIC Low Orbit Ion Cannon HTTP Hyper Text Transfer Protocol WMN Wireless Mesh Network CNTT Công Nghệ Thông Tin SVTH: Lê Quang Hà iv Nghiên cứu tt́m hiểu an ninh mạng DANH MỤC HH̀NH ẢNH Ht́nh 1- Các giai đoạn công Ht́nh 2- Sơ đồ tổ chức tội phạm mạng Ht́nh 2- Tấn công tràn ngập SYN 11 Ht́nh 2- Tấn công tràn ngập ICMP 11 Ht́nh 2- Hoạt động botnet 13 Ht́nh 2- Cách thức botnet tạo gửi spam 14 Ht́nh 2- Công cụ LOIC 15 Ht́nh 2- Dùng LOIC công DDoS 16 Ht́nh 2- Công cụ DoSHTTP 16 Ht́nh 2- Cấu ht́nh kích hoạt ngắt TCP phần mềm IOS Cisco 21 Ht́nh 2- 10 Công cụ NetFlow Analyzer 22 Ht́nh 2- 11 Công cụ D-Guard Anti-DDoS Firewall 23 Ht́nh 2- 12 Công cụ FortGuard Firewall 24 Ht́nh 3- Ping of death .26 Ht́nh 3- Bắt wireshark bị công tràn ngập ICMP 26 Ht́nh 3- Tấn công nhiểu kiểu với LOIC 27 Ht́nh 3- Bắt gói tin cơng dùng LOIC 27 Ht́nh 3- Giả lập botnet công udp .28 Ht́nh 3- Gửi gói UDP tới Server từ nhiều địa khác 28 Ht́nh 3- Kết nối SYN tới Server từ địa khác .29 Ht́nh 3- Giả lập botnet công tcp vào site 29 SVTH: Lê Quang Hà v Nghiên cứu tt́m hiểu an ninh mạng MỞ ĐẦU Bảo mật an ninh mạng đặt lên hàng đầu với công ty có hệ thống mạng dù lớn hay nhỏ Hiện nay, hacker ngồi nước ln tt́m cách công xâm nhập hệ thống để lấy thông tin nội Những thông tin nhạy cảm thường ảnh hưởng tới sống cc̣n cơng ty Chính vt́ vậy, nhà quản trị mạng cố gắng bảo vệ hệ thống ḿnh tốt cố gắng hoàn thiện hệ thống ḿnh để bớt lỗ hổng Tuy nhiên, kiểu công cổ điển công từ chối dịch vụ chưa tính nguy hiểm hệ thống mạng Hậu mà DoS gây không tiêu tốn nhiều tiền bạc, công sức mà cc̣n nhiều thời gian để khắc phục DoS DDoS vấn đề nan giải chưa có biện pháp chống hồn tồn cơng Với yêu cầu cấp thiết vậy, em chọn đề tài “Nghiên cứu tt́m hiểu an ninh mạng” làm đồ án An Ninh Mạng Mục đích đưa làm đề tài hiểu kiểu công cách pḥng chống DoS/ DDoS Đồ án viết dựa slide CEH v7 chia làm chương: CHƯƠNG I: TỔNG QUAN AN NINH MẠNG CHƯƠNG II: TẤN CƠNG TỪ CHỐI DỊCH VỤ CHƯƠNG III: MỘT SỐ VÍ DỤ ĐIỂN HH̀NH Sinh viên thực hiện: Lê Quang Hà SVTH: Lê Quang Hà vi Nghiên cứu tt́m hiểu an ninh mạng CHƯƠNG 1: TỔNG QUAN VỀ AN NINH MẠNG 1.1 TỔNG QUAN THÔNG TIN BẢO MẬT 1.1.1 Sự kiện bảo mật năm 2011 1.1.1.1 VietNamNet bị cơng DDoS lớn chưa có Trong vài ngày qua, báo VietNamNet đă phải hứng chịu công từ chối dịch vụ phân tán (DDoS) quy mô lớn chưa có Việt Nam, xuất phát từ mạng lưới khổng lồ gồm hàng chục ngàn máy tính bị nhiễm vi rút Bắt đầu từ cuối ngày 4/1/2011, lưu lượng truy cập vào trang chủ báo VietNamNet địa http://vietnamnet.vn tăng nhanh cách bất thường, lên tới hàng trăm ngàn kết nối thời điểm Với lượng độc giả truy cập hàng ngày, số lượng kết nối thời điểm mức trăm ngàn Nên việc thời điểm có tới hàng trăm ngàn kết nối liên tục (bao gồm độc giả thông thường) tới máy chủ web đă khiến băng thông đường truyền mạng bị tải Do vậy, độc giả truy cập vào báo VietNamNet bị tắc nghẽn từ đường truyền báo lỗi không tt́m thấy máy chủ, phải truy cập vài lần mở trang web Trên thực tế, báo VietNamNet đă bị công DDoS nhiều lần quy mô vài chục ngàn kết nối thời điểm nên băng thông hệ thống công suất máy chủ chịu đựng Trong công DDoS diễn ra, kẻ thủ ác đă thể khả chuyên nghiệp huy động mạng lưới botnet với lượng máy lên tới hàng chục ngàn máy tính 1.1.1.2 "Hacktivism" dậy Hacktivism thuật ngữ diễn tả hành động công, đột nhập vào hệ thống máy tính nhằm mục đích trị Trên giới nay, nhóm hacker mang "mác" hacktivism tiếng kể đến bao gồm Anonymous, LulzSec (đă gác kiếm), hay TeaMp0isoN Trong suốt năm 2011 qua, nhóm hacktivism đă tiến hành nhiều hoạt động khác chống lại quan luật pháp, ngân hàng, phủ, cơng ty bảo mật nhà cung cấp phần mềm công lỗ thủng an ninh hệ thống Tổ chức Liên hiệp quốc (UN), quan tt́nh báo bảo mật Straffor, CIA… Đáng lưu nữa, số việc này, công Straffor, đă tiết lộ lỗ hổng mặt an ninh việc lưu trữ số thẻ tín dụng ht́nh SVTH: LÊ QUANG HÀ Nghiên cứu tt́m hiểu an ninh mạng thức chưa mă hóa, hay mật vơ thiếu an tồn nhà quản lư sử dụng 1.1.1.3 Công ty cung cấp giải pháp bảo mật cho phủ Hoa Kỳ bị công Vào tháng 1-2011, hacker thuộc Anonymous đă đột nhập máy chủ web HBGary Federal - hbgaryfederal.com - thông qua việc sử dụng đoạn mă SQL bất hợp pháp nhằm khai thác lỗ hổng bảo mật tồn sở liệu ứng dụng Sau trích xuất mă MD5 cho mật thuộc sở hữu giám đốc điều hành (CEO), Aaron Barr, COO, Ted Vera Cả hai dùng mật đơn giản: kí tự thường số Những mật cho phép kẻ công tiếp cận vào tài liệu nghiên cứu công ty hàng chục ngàn email lưu trữ Google Apps Như vậy, việc sử dụng mật thiếu an toàn cho hệ thống phần mềm cũ cộng với việc sử dụng điện toán đám mây đă gây ác mộng an ninh bảo mật 1.1.2 Các công DDoS tiếng lịch sử - Năm 2000, loạt website tiếng Yahoo, eBay, eTrade, Amazon CNN trở thành nạn nhân DDoS - Tháng 2/2001, máy chủ Cục tài Ireland bị số sinh viên Đại học Maynooth nước công DDoS - Ngày 15/8/2003, Microsoft chịu đợt công DoS cực mạnh làm gián đoạn websites ṿng - Tháng 2/2007, 10.000 máy chủ game trực tuyến Return to Castle Wolfenstein, Halo, Counter-Strike …bị nhóm RUS cơng với hệ thống điều khiển chủ yếu đặt Nga, Uzbekistan Belarus - Trong suốt tuần đầu chiến Nam Ossetia 2008, trang web phủ Georgia ln tt́nh trạng tải, gồm trang web ngân hàng quốc gia tổng thống Georgia Mikhail Saakashvili Chính phủ Nga phủ nhận cáo buộc cho họ đứng đằng sau vụ công - Ngày 25/6/2009 Michael Jackson qua đời, lượng truy cập tt́m kiếm từ khóa có liên quan đến ca sĩ lớn khiến Google News lầm tưởng công tự động SVTH: LÊ QUANG HÀ Nghiên cứu tt́m hiểu an ninh mạng - Tháng 8/2009, vụ DDoS nhắm tới loạt trang mạng xă hội đt́nh đám Facebook, Twitter, LiveJournal số website Google thực để "khóa miệng" blogger có tên Cyxymu Georgia - Ngày 28/11/2010, WikiLeaks bị tê liệt vt́ DDoS họ chuẩn bị tung tài liệu mật phủ Mỹ - Ngày 7/12/2010, nhóm hacker có tên Anonymous đánh sập website Visa.com sau tổ chức công tương tự vào Mastercard PayPal để trả đũa cho việc chủ WikiLeaks bị tạm giam Anh - Ngày 3/3/2011, dịch vụ blog tiếng giới WordPress bị công - Ngày 4/3/2011, 40 trang web quan phủ Hàn Quốc bị tê liệt vt́ DDoS 1.2 KHÁI NIỆM HACKING 1.2.1 Khái niệm Hacker  Giỏi lập tŕnh có kĩ hệ thống mạng  Nên làm quen dần với việc nghiên cứu lổ hỏng, lỗi bảo mật  Thành thạo,có hiểu biết kĩ thuật xâm nhập  Tự đặt cho ḿnh nguyên tắc, phải thật nghiêm khắc 1.2.2 Các loại Hacker 1.2.2.1 Black Hat Loại hacker thường cá nhân có kiến thức, kĩ un thâm máy tính, ln có nghĩ đen tối, xếp lên kế hoạch công thứ ǵ tùy mục đích Black Hat cracker 1.2.2.2 White Hat Trắng có nghĩa ln làm việc sáng, minh bạch để chống lại ác, đen tối Những người phải có kiến thức, kĩ uyên thâm Black Hat, họ khơng dùng kiến thức để thực đồ đen tối công, xâm nhập… mà họ người tt́m lỗ hổng vá lỗ hổng lại họ ln đặt pḥng thủ lên hạng đầu Có thể coi người người phân tích bảo mật 1.2.2.3 Gray Hat Những người thực đồ đen tối hôm ngày mai lại giúp pḥng thủ, bảo mật SVTH: LÊ QUANG HÀ Nghiên cứu tt́m hiểu an ninh mạng 1.2.2.4 Suicide Hat Đây coi loại hacker cảm tử vậy, có nghĩa làm việc mà khơng sợ ǵ, dù có bị giam 30 năm không lo lắng sợ ǵ 1.3 CÁC GIAI ĐOẠN TẤN CƠNG Ht́nh 1-1 Các giai đoạn cơng 1.3.1 Thăm ḍ (Reconnaissace) Thăm ḍ mục tiêu bước qua trọng để biết thông tin hệ thống mục tiêu Hacker sử dụng kỹ thuật để khám phá hệ thống mục tiêu chạy hệ điều hành nào, có dịch vụ chạy dịch vụ đó, cổng dịch vụ đóng cổng mở, gồm hai loại:  Passive: Thu thập thơng tin chung vị trí địa lư, điện thoại, email cá nhân, người điều hành tổ chức  Active: Thu thập thông tin địa IP, domain, DNS… hệ thống 1.3.2 Quét hệ thống (Scanning) Quét thăm ḍ hệ thống phương pháp quan trọng mà Attacker thường dùng để tt́m hiểu hệ thống thu thập thông tin địa IP cụ thể, hệ điều hành hay kiến trúc hệ thống mạng Một vài phương pháp quét thông dụng như: quét cổng, quét mạng quét điểm yếu hệ thống 1.3.3 Chiếm quyền điều khiển (Gainning access) Đến hacker đă bắt đầu xâm nhập hệ thống công ,đă truy cập lệnh khai thác Các lệnh khai thác không gian nào, từ mạng LAN INTERNET đă lan rộng mạng khơng dây Hacker chiếm quyền điều khiển tại:  Mức hệ điều hành/ mức ứng dụng SVTH: LÊ QUANG HÀ Nghiên cứu tt́m hiểu an ninh mạng  Tăng hoạt động clusters  Tăng toàn số lượng rơ ràng clusters (tấn công DDoS) Hoạt động định ht́nh thu cách giám sát thơng tin header gói tin mạng Nó tốc độ trung bt́nh lưu lượng mạng bao gồm gói tin liên tiếp với trường gói tin giống 2.5.1.2 Phân tích wavelet Phân tích wavelet mơ tả tín hiệu vào đầu cuối bao gồm quang phổ Phân tích quang phổ lượng xác định tượng bất thường Wavelets cung cấp đồng thời gian mô tả tần số Họ xác định thời gian xác gồm tần số diện 2.5.1.3 Phát thay đổi điểm theo tŕnh tự Thuật tốn phát thay đổi điểm mơ tả lưu lượng thống kê nguyên nhân thay đổi công Họ bắt đầu lọc lưu lượng liệu tới đích địa chỉ, cổng giao thức lưu trữ kết thành chuỗi thời gian Để nhận diện định vị cơng DoS thuật tốn cusum xác định độ lệch mức trung bt́nh thực tế cục so với dự kiến chuỗi thời gian giao thơng Bạn dùng nhận biết worm thông thường hoạt động scanning 2.5.2 Biện pháp đối phó chiến lược DoS/ DdoS  Hấp thụ công: Dùng khả phụ để hấp thụ công, yêu cầu kế hoạch trước  Làm giảm dịch vụ: Nhận biết dịch vụ nguy hiểm dừng dịch vụ không nguy hiểm  Tắt dịch vụ: Tắt tất dịch vụ công giảm bớt 2.5.3 Biện pháp đối phó cơng DoS/ DdoS 2.5.3.1 Bảo vệ thứ cấp victims  Cài đặt phần mềm anti-virus, anti-Trojan cập nhập  Tăng nhận thức vấn đề bảo mật kỹ thuật ngăn chặn người sử dụng từ tất nguồn internet  Tắt dịch vụ không cần thiết, gỡ bỏ ứng dụng không sử dụng, quét tất files nhận từ nguồn bên  Cấu ht́nh thường xuyên cập nhập xây dựng cấu pḥng thủ lơi phần cứng phần mềm hệ thống SVTH: LÊ QUANG HÀ 17 Nghiên cứu tt́m hiểu an ninh mạng 2.5.3.2 Phát vơ hiệu hóa handers  Phân tích lưu lượng mạng: Nghiên cứu giao tiếp giao thức mô ht́nh handlers client handlers agents để nhận biết node mạng lây với handler  Vơ hiệu hóa botnet handler: Thơng thường vài DDoS handler triển khai gần so với số lượng agent Vơ hiệu hóa vài handler làm cho nhiều agent khơng hữu dụng, để cản trở công DDoS  Giả mạo địa nguồn: Có xác suất lớn giả mạo địa nguồn gói tin cơng DDoS khơng giá trị địa nguồn mạng cụ thể 2.5.3.3 Phát tiềm công  Bộ lọc xâm nhâp: Bảo vệ từ cơng tràn ngập có nguồn gốc từ tiền tố hợp lệ Nó cho phép người khởi tạo truy tt́m nguồn gốc thực  Bộ lọc ra: Quét header gói tin gói tin IP mạng Bộ lọc không chứng thực lưu lượng nguy hiểm không khỏi mạng bên  Ngắt TCP: Cấu ht́nh ngắt TCP ngăn ngừa công cách ngắt yêu cầu kết nối TCP hợp lệ 2.5.3.4 Làm lệch hướng công  Hệ thống thiết lập với giới hạn bảo mật, biết honeypot, hoạt động cám dỗ kẻ cơng  Phục vụ có nghĩa giành thông tin từ kẻ công cách lưu trữ ghi hoạt động, học kiểu công công cụ phần mềm kẻ công sử dụng  Dùng pḥng thủ chiều sâu tiếp cận với IPSec điểm mạng khác chuyển hướng đáng ngờ luồng DoS đến vài honeypot Honeypot hệ thống tài nguyên thông tin xây dựng với mục đích giả dạng đánh lừa kẻ sử dụng xâm nhập không hợp pháp, thu hút chúng, ngăn không cho chúng tiếp xúc với hệ thống thật 2.5.3.5 Làm dịu công  Cân tải: SVTH: LÊ QUANG HÀ 18 Nghiên cứu tt́m hiểu an ninh mạng o Nhà cung cấp tăng băng thông kết nối quan trọng để ngăn ngừa giảm xuống công o Nhân máy chủ cung cấp thêm bảo vệ an tồn o Cân tải cho server cấu trúc nhiều server cải tiến hiệu suất bt́nh thường giảm ảnh hưởng công DoS  Hoạt động điều chỉnh: o Thiết lập cách thức router truy cập server với điều chỉnh logic lưu lượng vào tới mức độ an toàn để server xử lư o Bộ xử lư ngăn ngừa tràn ngập thiệt hại tới server o Bộ xử lư mở rộng để điều chỉnh luồng công DDoS đối lập lưu lượng hợp pháp người sử dụng cho kết tốt 2.5.3.6 Pháp lư  Phân tích router, firewall, IDS logs để nhận biết nguồn lưu lượng DoS Mặc dù kẻ công thông thường giả mạo địa nguồn, dấu vết IP trả lại với trợ giúp ISP thực thi pháp luật quan cho phép bắt thủ phạm  Phân tích mẫu lưu lượng: Dữ liệu phân tích-sau cơng-để tt́m kiếm đặc điểm riêng biệt lưu lượng công  Mẫu lưu lượng công DDoS giúp người quản trị mạng phát triển kỹ thuật lọc để ngăn ngừa vào mạng  Dùng đặc điểm, liệu dùng để cập nhập cân tải điều chỉnh biện pháp đối phó 2.5.4 Kỹ thuật để pḥng thủ chống lại botnet  Lọc: Các gói tin cần phải có nguồn gốc hợp lệ, cho phép địa trống, bao gồm tôpô cấp phát không gian Bất kỳ lưu lượng vào không sử dụng địa ip dành riêng không thật nên lọc ISP trước vào đường link internet  Lọc lỗ đen: Lỗ đen nơi một mạng, nơi lưu lượng chuyển tiếp hủy bỏ Kỹ thuật lọc dùng giao thức cập nhập định tuyến để điều khiển bảng định tuyến biên mạng để hủy lưu lượng khơng thích nghi trước xâm nhập vào mạng nhà cung cấp dịch vụ SVTH: LÊ QUANG HÀ 19 Nghiên cứu tt́m hiểu an ninh mạng  Lọc nguồn ip uy tín Cisco IPS: IPS cisco nhận đe dọa cập nhập từ mạng Cisco SensorBase (trung tâm kiểm sốt cơng) chứa thông tin chi tiết nhân biệt mối đe dọa internet, bao gồm kẻ công, botnet harvester, malware bùng phát dark net  Cung cấp dịch vụ pḥng chống DDoS từ ISP: Bật bảo vệ IP nguồn switch ngăn ngừa host gửi gói tin giả mạo trở thành bot 2.5.5 Biện pháp đối phó DoS/ DdoS Một số biện pháp như:  Hiệu chế mă hóa cần đề xuất cho công nghệ băng thông rộng  Cải tiến giao thức định tuyến kỳ vọng, đặc biệt cho nhiều hop WMN  Tắt dịch vụ không sử dụng khơng bảo mật  Khóa tất gói tin có nguồn vào từ cổng dịch vụ để khóa lưu lượng ánh xạ từ server  Cập nhập kernel tới phiên  Ngăn ngừa truyền địa gói tin lậu mức độ ISP  Thực nhận biệt vô tuyến lớp vật lư để xử lư gây nhiễu xáo trộn công  Cấu ht́nh firewall để từ chối ḍng truy cập giao thức điều khiển thông điệp internet (ICMP)  Ngăn ngừa dùng chức không cấp thiết get, strcpy,  Đảm bảo an toàn cho người quản trị từ xa kiểm tra kết nối  Ngăn chặn địa chị trả lại không bị ghi đè  Dữ liệu xử lư kẻ công nên dừng lại trước chạy  Thực triệt để giá trị nhập vào  Các card mạng gateway gói tin vt́ nên dùng card mạng tốt để xử lư số lượng lớn gói tin SVTH: LÊ QUANG HÀ 20 Nghiên cứu tt́m hiểu an ninh mạng 2.5.6 Bảo vệ DoS/ DdoS 2.5.6.1 Mức độ ISP Nhiều ISP đơn giản khóa tất yêu cầu thời gian công DDoS, từ chối lưu lượng hợp pháp từ truy cập dịch vụ ISP đưa đám mây DDoS bảo vệ đường liên kết internet vt́ họ băo ḥa công Lưu lượng công chuyển hướng tới ISP công để lọc gửi trở lại Quản trị mạng yêu cầu ISP để khóa nguồn IP tác động di chuyển trang web tới IP khác sau thực lan truyền DNS Ht́nh 2-9 Cấu ht́nh kích hoạt ngắt TCP phần mềm IOS Cisco 2.5.6.2 Hệ thống bảo vệ IntelliGuard IntelliGuard DPS trợ giúp làm dịu công DDoS thiết kế tập trung vượt qua lưu lượng hợp pháp bỏ lưu lượng công Cấp bậc học bảo vệ chiến lược nhận biết vị trí truy cập ưu tiên cho khách hàng xếp hạng truy cập họ Quản lư lưu lượng đa cấp độ cấu ht́nh giới hạn lưu lượng đảm bảo cho việc quản lư lưu lượng cho thành phần mạng 2.6 CÔNG CỤ BẢO VỆ DOS/ DDOS 2.6.1.1 NetFlow Analyzer NetFlow Analyzer, cơng cụ phân tích lưu lượng đầy đủ, thúc đẩy cơng nghệ phân tích lưu lượng để cung cấp khả hiển thị thời gian thực hiệu suất băng thông mạng Chủ yếu NetFlow Analyzerlà công cụ giám sát băng thơng, đă tối ưu hóa hàng ngàn mạng lưới toàn giới cách đưa nht́n tồn diện băng thơng mạng mẫu lưu lượng truy cập NetFlow Analyzer giải pháp thống thu thập, phân tích báo cáo băng thông mạng bạn sử dụng người sử dụng NetFlow Analyzer đối tác tin cậy tối ưu hóa việc sử dụng băng thơng tồn thể giới ngồi thực giám định mạng phân tích lưu lượng mạng SVTH: LÊ QUANG HÀ 21 Nghiên cứu tt́m hiểu an ninh mạng Ht́nh 2-10 Công cụ NetFlow Analyzer 2.6.1.2 Một số công cụ khác  D-Guard Anti-DDoS Firewall D-Guard Anti-DDoS Firewall cung cấp đáng tin cậy nhanh bảo vệ DDoS cho doanh nghiệp trực tuyến, dịch vụ phương tiện truyền thông, thiết yếu hạ tầng công cộng cung cấp dịch vụ Internet Là chuyên nghiệp Anti-DDoS Firewall, D-Guard bảo vệ chống lại hầu hết công loại, bao gồm DoS / DDoS, Super DDoS, DrDoS, Fragment công, công SYN lũ lụt, lũ lụt công IP, UDP, UDP đột biến, ngẫu nhiên UDP Flooding công, ICMP, IGMP công, ARP Spoofing, HTTP Proxy công, CC Flooding công, CC Proxy công,… D-Guard Anti-DDoS Firewall cung cấp cấp cách tiếp cận để giảm nhẹ công DDoS, với thiết kế tập trung vào giao thông qua hợp pháp loại bỏ giao thông công, xử lư công kịch suy thối tồi tệ mà khơng cần hiệu suất SVTH: LÊ QUANG HÀ 22 Nghiên cứu tt́m hiểu an ninh mạng Ht́nh 2-11 Công cụ D-Guard Anti-DDoS Firewall  FortGuard Firewall FortGuard Firewall - giải pháp giúp người dùng chống lại công DDoS với độ xác hiệu suất cao FortGuard Firewall phần mềm tường lửa Anti-DDoS nhỏ mạnh mẽ với Intrusion Prevention System sẵn có Nó bảo vệ máy tính bạn chống lại cơng DDoS xác với hiệu suất cao FortGuard Firewall chống lại SYN, TCP Flooding loại công DDoS khác khả thấy gói cơng thời gian thực Chương tŕnh cho phép bạn vơ hiệu hóa/ kích hoạt truy cập qua proxy vào tầng ứng dụng ngăn chặn 2000 kiểu hoạt động hacker SVTH: LÊ QUANG HÀ 23 Nghiên cứu tt́m hiểu an ninh mạng Ht́nh 2-12 Công cụ FortGuard Firewall 2.7 KIỂM TRA THÂM NHẬP DOS/ DDOS Hệ thống server dễ bị công DoS tht́ nên kiểm tra thâm nhập để tt́m hiểu để đối phó Một hệ thống dễ bị công xử lư số lượng lớn lưu lượng gửi sau bị treo giảm tốc độ, ngăn ngừa truy cập cách chứng thực người sử dụng Kiểm tra thâm nhập xác định ngưỡng tối thiểu công DoS hệ thống , người kiểm thử không chủ quan hệ thống bền vững trước chống công DoS Đối tượng để kiểm tra thâm nhập DoS làm tràn ngập lưu lượng hệ thống mục tiêu, tương tự hàng trăm người liên tục yêu cầu dịch vụ, làm cho server hoạt động liên tục khơng có giá trị Dùng tool kiểm tra theo bước sau: Kiểm tra web server dùng công cụ tự động Web Application Stress(WAS) Jmeter cho khả chịu tải, hiệu suất server, khóa, khả mở rộng phát sinh Quét hệ thống dùng công cụ tự động NMAP, GFI LANGuard, Nessus để khám phá hệ thống dễ bị công DoS Tràn ngập mục tiêu với yêu cầu gói tin kết nối dùng công cụ Trin00, Tribe Flood, TFN2K Tấn công tràn ngập cổng để làm đầy cổng tăng sử dụng tŕ tất yêu cầu kết nối làm tắc nghẽn cổng.Dùng công cụ Mutilate and Pepsi5 để tự động cộng tràn ngập cổng SVTH: LÊ QUANG HÀ 24 Nghiên cứu tt́m hiểu an ninh mạng Dùng công cụ Mail Bomber, Attache Bomber, Advanced Mail Bomber để gửi số lượng mail lớn cho mail server mục tiêu Điền vào mẫu nội dung tùy kéo dài làm tràn ngập trang web SVTH: LÊ QUANG HÀ 25 Nghiên cứu tt́m hiểu an ninh mạng CHƯƠNG 3: MỘT SỐ VÍ DỤ ĐIỂN HH̀NH 3.1 Tấn cơng tràn ngập ICMP Mô tả: Tấn công tràn ngập ICMP tới router làm router không xử lư kịp dẫn tới bị treo truy cập internet Chạy lệnh For /L %i in (1,1,100) start ping “ipaddress-victim” -l 65500 tfs để thực công Ht́nh 3-1 Ping of death Ta dùng cơng cụ Nemesy để thay cho dễ sử dụng Kiểu công gửi liên tục gói ping request tới victim victim xử lư cách gửi icmp relay tới máy attacker Ht́nh 3-2 Bắt wireshark bị công tràn ngập ICMP Tấn công liên tục làm router không xử lư bị treo Kết luận:  Kiểu công ICMP kiểu công cổ điển nhất, dễ thực  Các router cấu ht́nh yếu dễ bị cơng treo nhanh chóng Pḥng chống: Tắt ICMP router 3.2 Tấn công tràn ngập TCP, UDP, HTTP SVTH: LÊ QUANG HÀ 26 Nghiên cứu tt́m hiểu an ninh mạng Mô tả: Dùng công cụ LOIC để công website http://mm3a.com nhiều kiểu: TCP, UDP, HTTP chỉnh tốc độ công nhanh hay chậm Ht́nh 3-3 Tấn công nhiểu kiểu với LOIC Ht́nh 3-4 Bắt gói tin cơng dùng LOIC Kết Luận:  Công cụ LOIC mạnh, hỗ trợ nhiều kiểu công  Đặc biệt, LOIC dùng để kết nối tt́nh nguyện viên dạng botnet để công mục tiêu Pḥng chống:  Tăng khả kiểm soát số lượng yêu cầu SYN-ACK tới hệ thống mạng  Hệ thống cần phân tích chống spoofing  Giới hạn số lượng kết nối từ nguồn cụ thể tới server (quota)  áp dụng lọc để giới hạn số lượng kết nối trung bt́nh quan trọng Một lọc xác định ngưỡng tốc độ kết nối cho đối tượng mạng Thông thường, việc số lượng kết nối thời gian định phép dao động lưu lượng 3.3 Dùng Bonesi giả lập botnet Mô tả: Công cụ Bonesi chương tŕnh giả lập botnet để kiểm tra hệ thống trước công DDoS Bonesi thiết kế để nghiên cứu ảnh hưởng cơng DDoS Có thể tải cơng cụ Bonesi http://code.google.com/p/bonesi/ SVTH: LÊ QUANG HÀ 27 Nghiên cứu tt́m hiểu an ninh mạng Chuẩn bị: + Server 2k3 - Web Server (IP: 192.168.137.33) + Backtrack - Attacker (IP: 192.168.137.224) Nội dung: Sử dụng Bonesi công web server dùng file 5k-bots mô nhiều ip công công tràn ngập udp/tcp Mô chia thành hai phần: UDP: Gửi 10 gói udp giây với payload 1390 byte tới 192.168.137.33 port 2234 Ht́nh 3-5 Giả lập botnet công udp Quan sát Server: Ht́nh 3-6 Gửi gói UDP tới Server từ nhiều địa khác TCP: Yêu cầu http://192.168.137.33/index.html 1000 lần giây qua cổng eth0 SVTH: LÊ QUANG HÀ 28 Nghiên cứu tt́m hiểu an ninh mạng Ht́nh 3- Kết nối SYN tới Server từ địa khác Quan sát Server: Ht́nh 3-8 Giả lập botnet công tcp vào site Kết luận:  Đây công cụ mô hay, đầy đủ kiểu công  Công cụ mô hầu hết kiểu công như: ICMP, UDP and TCP (HTTP) Pḥng chống:  Trên Server cần cài phần mềm hỗ trợ nhận biết dấu hiệu D-Guard Anti-DDoS Firewall để sớm có biện pháp đối phó  Tham khảo thêm cách đối phó DoS/ DDoS tŕnh bày SVTH: LÊ QUANG HÀ 29 Nghiên cứu tt́m hiểu an ninh mạng TÀI LIỆU THAM KHẢO [1] CEH V7 Module 10 [2] http://tuoitre.vn [3] http://www.thongtincongnghe.com [4] http://wikipedia.org [5] http://uitstudent.vn/ SVTH: LÊ QUANG HÀ 30 Nghiên cứu tt́m hiểu an ninh mạng NHẬN XÉT CỦA CÁN BỘ HƯỚNG DẪN SVTH: LÊ QUANG HÀ 31 ... Quang Hà v Nghiên cứu tt́m hiểu an ninh mạng MỞ ĐẦU Bảo mật an ninh mạng đặt lên hàng đầu với cơng ty có hệ thống mạng dù lớn hay nhỏ Hiện nay, hacker ngồi nước ln tt́m cách cơng xâm nhập hệ thống. .. domain, DNS… hệ thống 1.3.2 Quét hệ thống (Scanning) Quét thăm ḍ hệ thống phương pháp quan trọng mà Attacker thường dùng để tt́m hiểu hệ thống thu thập thông tin địa IP cụ thể, hệ điều hành... không gian nào, từ mạng LAN INTERNET đă lan rộng mạng không dây Hacker chiếm quyền điều khiển tại:  Mức hệ điều hành/ mức ứng dụng SVTH: LÊ QUANG HÀ Nghiên cứu tt́m hiểu an ninh mạng  Mức mạng