Luận văn Áp dụng Access List vào bảo vệ mạng trường Đại học khoa học tự nhiên

Luận văn Áp dụng Access List vào bảo vệ mạng trường Đại học khoa học tự nhiên ACL là một danh sách các câu lệnh được áp đặt vào các cổng (interface) của router. Danh sách này...

Trang 2

MUC LUC

CHƯƠNG I: GIỚI THIỆU ĐỀ TÀI 5< se se ©se92zstvsessseezzse 1

1.1 Giới thiỆu s- chư Sư ga Sư vs se seesesrsssse 1

1.2 Mục tiêu, nhiệm vụ của để tài 5< s<csssesssvsstssesssecesrsssssse 2

1.3 Các thiết bị, cơng CỤ SỬ ỤNE d.o- 5-59 29968 SSS558555 556 5556 3

CHƯƠNG II: PHƯƠNG PHÁP NGHIÊN CỨU .5 -cccccs 4

2.1 Các tác nhân đe dọa đến bảo mật IHẠN SG 0 5955689656685508 4

2.1.1 Các tác nhân khơng cĩ cấu trúc . s-:-cs+x+c2verscrsrssrsrrsrra 5

2.1.2 Các tac nhan 66 CAU tric ccesccsssesssssseessessessesssessessssesssssessssssessneeeenen 5

2.1.3 Các tác nhân xuất phát từ bên TIBỒII QQnHn HH người 5

2.1.4 Các tác nhân xuất phát từ bên trong ¿- +©cs+zzserxeerseczserscee 5

2 2 Cac loai tan CONQ sccsccsseccoosessecssssassssecsecenceccecsersarsecsssessesssssessessuseersasers 5 2.2.1 IP Spoofing cececccssssscsescssssssescscscsscscsesceevscacecsvacsecssssacacacacseeesaas 5

2.2.2 Tn cơng từ chối dịch vu (DoS) cccccsssssssssescsssesssssecssssecssscsssseesesseces 7

2.2.2.1 Ping Of Death cành HH ng HH ng ryg 9

"5000 na 11

"5Š nh -::l 16 2.2.2.4 Land EXpỌÏ c1 11v 9101911113 c1 HH HH kg 19

2.2.3 Tan cơng từ chối dịch vụ phân tán (DDoS) -ccsccccce¿ 21 2.3 Các kỹ thuật phịng chống s- < scsssss+eeeeeesceeceeeseree 27

2.3.1 Access List 0 27 2.3.1.1 Định nghia oo ecessessssescsessesessssesscscsscscsecscsscessscsssscesssesesacaees 27 2.3.1.2 Cac loai Access LLÏS Ăn ng SH nh sec 27 2.3.1.3 Wildcard' BÍt - co ch HH HH TH TH HH Hung 31 2.3.1.4 Cách gắn vào một in€rfaCe . sa cv vccekcee 32 2.3.1.5 Cách xĩa Access LÏSf -. sa canh nghe 34 2.3.1.6 Cách xem ACcCess LLISỂ cà St nh gen ree 35 2.3.2 Big TEIr€WAll ác n HH HH TH TH TH Trà rkc 35 2.3.2.1 CiSCO ]ĐOU€T Q- nc vn TH HH HH ng ra 39 2.3.2.2 EOTÏAEG LH HH TH TH TT HT HT HH che 39 2.3.2.3 CheckPoint Safe(@Office 225 .- St nctekceererrrrrrvee 40 2.3.2.4 Sonicwall PRO 2040 -G SÁT HH HH HH ng nrec 40 2.3.3 Cau hinh Server ccccccssssssssscsssssssvscssesessecssuveesuesesutesavecsussessesssueessuesases 40 2.4 MG hinh mang truOng .csscssssssssscecscscecscscscesscsesssscesscsssssssessesvaseceveseces 42 2.4.1 Mơ hình mạng ĩc cv TT TY TH kg E18 cecrsez 42

2.4.2 Tình trạng hệ thống website khoa CNTT bị tấn cơng 43

2.5 Chính sách bảo mật trên Cisco Router để chống Dos, DDOS 44

Trang 3

2.5.1 Str dung NetFlow dé phat hiện tắn công DoS 22s 44

2.5.2 Loc luu long - Filtering Traffic i.c cesescessssessessesessessessessessescessosees 47 2.5.2.1 Loc lu lugng cho cdc dich vu trén Router ccccccccccscscsssseseseses 47 2.5.2.2 Loc luu lugng di qua Router .c.cccccccsscsssessssssssesesscsessescscsessceees 49

"S92 n 54 2.5.3.1 MÔ {Ả HH HH HH HT re 54

2.5.3.2 Cau hinh TCP Intercept .sccsscsssesscssssescssssecsssscsessesecssssssessssens 54 CHUONG 3: GIẢI PHÁP VÀ THỰC NGHIỆM . 2- se 60

3.1 Mô hình ứng dung sóc S9 SE gen SEsEsSstseseesse 60 3.2 Phương án thực hiện o-s-s- << «sư S6 eEcgeeesesesescsessee 61 3.3 Gidi Phap XU IY csssssssscsssscessssecsssessvsssonscsssessssesscsesessesessesessesesessvsavaesaes 65

CHƯƠNG IV: KẾT LUẬN 2-e°ce<<€+eseeeEreevrssesssetsseozsscosee 68

4.1 Những công việc làm đđưỢC <5 s5 << se 99s 2s eSesesesese 68 4.2 Những công việc chưa làm được .5-s-s-sosesss<sssseessese 68

4.3 Hướng phát triỄn .2- s-° s©s©esESscavseEeetrxseCsetrserssesssesz 68

CHƯƠNG V: PHỤ LLỤCC 2-2 se se se se se eseerseeeeeveeoxeeosse 70 Š.l DYTAINÌDS G099 E90 Hư e8 eSsø9s6ce 70

"5¬ 70 5.1.2 Cách thực thi chương trình ¿cv vs rsersex 70 5.2 Routing Information Protoeol (IÍP) -sssssessssssesssssseseessse 75

"“AM.1 d ÔỎ 75 5.2.2 Hat Gn cece ceeesscsccsscsssssesssssssssvsscssessecseceecesscaesseseacenecsesereaasens 75

Trang 4

GVHD: Th.S Lé Manh Hai Ap dụng Áccess List vào bảo vệ mạng trường ĐHKTCN

CHUONG I: GIỚI THIỆU ĐÈ TÀI

Chương này giới thiệu sơ lược về hậu quả do các cuộc tấn công trên mạng đã và đang xảy ra ngày càng tăng cũng như tính cấp thiết, cấp bách là cần phải có các biện pháp ngăn chặn mối đe dọa tấn công đó có thê gây ra sự tốn thất cho hệ thống mạng của trường Từ đó, dẫn đến nhu cầu cần phải thực hiện

dé tai nay

1.1 GIOI THIEU:

Trong những năm gần đây, nền kinh tế Việt Nam đã và đang có những bước tiến vượt bật và đáng tự hào Trong đó, Công nghệ Thông tin đóng một vai trò rất quan trọng, làm bàn đạp vững chắc thúc đây kinh tế phát triển Do

đó, CNTT đã trở thành một lĩnh vực không thể thiếu trong cuộc sống, điển hình

là Internet Nó là một kho tàng kiến thức vô tận cho cả nhân loại Nhưng bên cạnh những lợi ích to lớn đó, lại có những người dùng nó làm công cụ với ý đồ xấu là xâm nhập trái phép vào các nhánh mạng Mục đích của kẻ tấn công là lấy thông tin không thuộc về mình Sau đó có thể là thay đổi thông tin hay xóa

bỏ những thông tin nhạy cảm gây ra những tác hại không nhỏ khiến cho bên bị hại có thê đứng trước những nguy cơ phá sản

Qua khảo sát tình hình thực tế công nghệ thông tin trên thế giới hay ở Việt Nam, chúng tôi nhận thấy răng các hệ thống mạng lớn hay nhỏ đều có nguy cơ bị đe dọa tan công Trong đó, tan cong ttr chéi dich vu (Denial of Service - DoS) thực sự là một thảm họa trên Internet Các website lớn như: Yahoo, eBay, Buy.com, đã từng bị DoS

Từ đó, cho thấy rằng vấn đề bảo mật rất cần thiết đối với hệ thống mạng của trường Triển khai các giải pháp tối ưu, hệ thống sẽ ngăn chặn các cuộc tan công từ chối dịch vụ xuất phát từ bên ngoài

SVTH: Phạm Văn Tâm & Đỗ Lê Mỹ Hạnh Trang 1

Trang 5

GVHD: Th.S Lé Manh Hai Ap dung Access List vao bao VỆ mạng trường ĐHKTCN

1.2 MỤC TIỂU, NHIỆM VỤ CỦA ĐÈ TÀI:

Trên cơ sở những kiến thức thu nhận được trong quá trình học tập tại trường cùng với những kiến thức bảo vệ mạng của Cisco, được sự hướng dẫn của thầy Lê Mạnh Hải, sau khi khảo sát tình trạng hệ thống của trường ĐHKTCN và yêu cầu cấp thiết về vấn đề trường có nguy cơ bị tắn công, chúng

tôi quyết định chọn và thực hiện đề tài:

Áp dụng Access List vào bảo vệ mạng máy tính của trường DHKTCN

Mục tiêu của đê tài là :

e Nghiên cứu tìm hiểu các mối đe dọa và các cuộc tấn công từ chối dịch

vụ thường gặp nhất hiện nay như Smurf, SYN Flood, Ping of Death ;

IP Spoofing - một hình thức giả mạo IP để thực hiện tấn công từ chối dịch vụ (Do§) và tắn công từ chối dịch vụ phân tán (Distributed Denial

of Service — DDo®)

e_ Đưa ra các kỹ thuật phòng chống, khảo sát mô hình mạng của trường

và nghiên cứu chuyên sâu về ACL

e© Triển khai, xây dựng mô hình mạng của trường, sử dụng công cụ để tạo cuộc tấn công SYN Flood và cấu hình ACL dé ngăn chặn tấn công vào Web Server của trường

e Do Router 7200 hỗ trợ tính năng TCP Intercept của Access-List dé phòng chống tấn công DoS, nên chúng tôi chọn phần mềm Dynamips giả lập Router 7200 để cài đặt và cấu hình lệnh

e© Ngoài ra, đề tài còn nghiên cứu và triển khai thêm các ACL để hạn chế các dịch vụ như Telnet, SNMP có nguy cơ tạo thuận lợi cho các cuộc tấn công dựa trên dịch vụ đó

Trang 6

GVHD: Th.S Lé Manh Hai Ap dung Access List vao bao vé mang trwoéng DHKTCN

1.3 CAC THIET BI VA CONG CU SU DUNG:

Để thực hiện đề tài này, chúng tôi chọn sử dụng các thiết bị và các công

cụ sau để demo:

- _ Server: Php Server cấu hình web server và Windows XP

- Phần mềm Dynamips giả lập Router 7200

Trang 7

GVHD: Th.S Lé Manh Hai Ap dung Access List vao bao vệ mạng trường ĐHKTCN

CHƯƠNG II: PHƯƠNG PHÁP NGHIÊN CỨU

Đây là chương nghiên cứu chuyên sâu của đề tài, bao gồm các mục chính Sau:

2.1 Các tác nhân đe dọa đến bảo mật mạng bao gồm:

- _ Các tác nhân không có cấu trúc

- _ Các tác nhân có cấu trúc

- _ Các tác nhân xuất phát từ bên ngoài

- _ Các tác nhân xuất phát từ bên trong 2.2 _ Các loại tắn công bao gồm:

- IP Spoofing — Gia mao dia chi IP

- Tấn cong tir chéi dich vu - DoS

- _ Tấn công từ chối dịch vụ phan tan - DDoS 2.3 Các kỹ thuật phòng chống bao gồm:

- Firewall

- _ Cấu hình trên Web Server

2.4 Mô hình mạng hiện tại của trường

2.5 _ Chính sách bảo mật trên Cisco Router dé chéng DoS va DDoS

Trọng tâm là tìm hiểu Access List và chức nang traffic filtering, TCP Intercept cha ACL

2.1 CÁC TÁC NHÂN ĐE DỌA ĐÉN BẢO MẬT MẠNG: [ 3 ]

Cơ bản có bôn môi đe dọa liên quan đến vấn đề bảo mật sau:

SVTH: Phạm Văn Tâm & Dé Lé Mj Hanh Trang 4

Trang 8

GVHD: Th.S Lé Manh Hai Ap dung Access List vào bảo vệ mạng trường ĐHKTCN

21.1 Các tác nhân không có cấu trúc:

Các tác nhân này được gây ra bởi những hacker không có kinh nghiệm và không thực sự lành nghề Mặc dù, chủ thể tấn công theo dạng này có thể có chủ

ý, nhưng do muốn biểu diễn tài năng hơn là phá hoại hệ thống mạng

2.1.2 Các tác nhân có câu trúc:

Các tác nhân này được gây ra bởi các hacker có trình độ cao hơn Họ có kỹ thuật và sự hiểu biết về cấu trúc hệ thống mạng Những hacker này thông thường được thuê bởi các công ty đối thủ của nhau Họ sử dụng các công cụ rất tỉnh vi để xâm nhập vào hệ thống mạng và có thể lấy cắp các thông tin nhạy cảm, làm cho bên bị hại có nguy cơ bị phá sản

2.1.3 Các tác nhân xuất phát từ bên ngoài:

Những tác nhân này xuất phát từ bên ngoài mạng Khi các công ty bắt đầu quảng bá sự có mặt của họ trên Internet, cũng là lúc một số người khai thác các điểm yếu, đánh cắp dữ liệu và có thể phá hỏng hệ thống mạng Tuy nhiên, có một số người khi tìm được lỗ hỏng của hệ thống, họ thông báo cho người quản trị đó biết và tìm giải pháp khắc phục Do đó, các tác nhân xuất phát phát từ bên ngoài bao gồm các tác nhân có cấu trúc và không có câu trúc

2.1.4 Các tác nhân xuất phát từ bên trong:

Những tác nhân này thật sự nguy hiểm vì nó xuất phát từ các nhân viên trong tô chức Họ có thể tấn công một cách nhanh gọn và dễ dàng vì họ am hiệu sơ đồ câu trúc cũng như biết rõ điểm yêu của hệ thông mạng

SVTH: Phạm Văn Tâm & Đỗ Lê Mj Hanh Trang 5

Trang 9

GVHD: Th.S Lê Mạnh Hải Ap dung Access List vao bao vé mang truong DHKTCN

Trong phan tiéu dé (header) của những gói dữ liệu luôn có địa chi IP của nguồn xuất phát đữ liệu và chỉ số thứ tự (sequence number - dùng để sắp xếp các gói dữ liệu nhận được theo một thứ tự định sẵn) Địa chỉ IP nguồn rất dễ bị giả mạo Nếu đoán được quy tắc gán chỉ số thứ tự của hệ điều hành thì hacker

có thể khống chế được các phiên xác lập kết nối để từ đó khai thác thông tin

trên mạng

Khi hacker sử dụng trò đánh lừa IP để chiếm quyền điều khiến trình duyệt web trên máy tính, địa chỉ trang web hợp pháp mà người sử dụng muốn truy cập sẽ bị đổi thành địa chỉ trang web do hacker ấn định Nếu họ tiếp tục truy cập vào những nội dung động (như nhập dữ liệu vào các ô trắng), hacker có thể thu thập được thông tin nhạy cảm

b) Kết hợp IP Spoofing với các kiểu tấn công:

Kiểu mò mẫm (blind spoofing):

Để tìm hiểu cách thức truyền tải dữ liệu trong mạng, hacker sẽ gửi nhiều gói

dữ liệu đến một máy nào đó để nhận lại những thông điệp xác nhận Bằng cách phân tích những thông điệp này, chúng có thể biết được quy tắc gán chỉ số thứ

tự cho từng gói dữ liệu của hệ thống mạng Kiểu tắn công này hiện nay ít được

áp dụng vì các hệ điều hành mới ứng dụng phương pháp gán chỉ số thứ tự một

cách ngẫu nhiên, khiến chúng khó có thể lần ra

Kiểu Gn mình (nonblind spoofing):

Trong kiểu tắn công này, hacker tìm cách Ấn mình trong cùng mạng phụ với máy tính sẽ bị tấn công Từ đó, chúng có thể nắm được toàn bộ chu trình gửi tin và trả lời tín hiệu giữa máy bị tấn công với các máy tính khác trong mạng Bằng cách đó, hacker biết được các chỉ số thứ tự của gói dữ liệu và có thé chiém quyền điều khiến các phiên trao đổi thông tin, vượt qua chu trình xác nhận đã được lập trước đó

Tit chéi dich vu (Denial of Service):

Đây là một trong những kiểu tắn công khó phòng ngừa nhất Mục đích của hacker là làm cho đường truyền bị tắc nghẽn đo có quá nhiều yêu cầu được gửi

SVTH: Pham Van Tam & Đỗ Lê Mỹ Hạnh Trang 6

Trang 10

GVHD: Th.S Lé Manh Hai Ap dung Access List vao bdo vé mang truéng PHKTCN

đến máy tinh bị tắn công trong một khoảng thời gian ngắn, khiến cho hệ thống mạng không thể gửi các gói tin báo nhận kịp thời Hacker thường giả mạo địa chỉ IP của nhiều máy tính khiến cho việc truy tìm các địa chỉ này và ngăn chặn tấn công không đạt kết quả cao

Chen gitta cdc mdy tinh (Man in the Middle):

Trong kiéu tan công này, khi hai máy tính đang truyền tin với nhau một cách bình thường, hacker sẽ chặn các gói dữ liệu gửi đi từ hai máy đó, thay thế bằng những gói dữ liệu khác và gửi chúng đi Khi đó, hai máy tính bị giả mạo đều không hay biết gì về việc dữ liệu của chúng bị thay đổi Kiểu tấn công này thường được dùng để lấy những thông tin bảo mật của máy tính

- Cài đặt bộ lọc đữ liệu đi vào và đi ra khỏi hệ thống mạng

- Cấu hình các bộ chuyển mạch và bộ định tuyến để loại trừ những gói dữ liệu

từ bên ngoài vào hệ thống mạng nhưng lại khai báo là có nguồn gốc từ một máy tính nằm trong hệ thống

2.2.2 Tấn công từ chối dich vu (DoS): [7 |

Tấn công theo kiểu từ chối dịch vụ là kiểu tấn công với mục đích không nhằm vào việc chiếm quyên truy xuất vào hệ thống của bạn để lấy thông tin ma tập trung vào việc làm cho dịch vụ nào đó trong hệ thống không còn khả năng đáp ứng hay phục vụ cho các yêu cầu dịch vụ như bình thường Việc này được thực hiện bằng cách làm cạn kiệt tài nguyên trong hệ thống mạng, trong các hệ điều hành hoặc các ứng dụng đầu cuối Tấn công theo kiểu này rất dễ được thực hiện bởi vì chúng thường tận dụng các yếu điểm của các giao thức mạng hay dựa vào các lưu lượng mạng được cho phép lưu thông trong hệ thống

Trang 11

GVHD: Th.S Lé Manh Hai Ap dụng Access List vào bảo vệ mạng trường ĐHKTCN

mạng Do đó, tắn công theo kiểu từ chối dịch vụ được xem là khó có thể loại bỏ hoàn toàn trong hệ thống mạng

Tấn công từ chối dịch vụ ( Denial of Service-DoS) thực sự là thảm họa trên Internet Những Web site lớn như : Yahoo, eBay, Buy.com cũng đã từng bị

DoS Cuộc tắn công Do§ nổi tiếng nhất diễn ra vào tháng 9/1996 Nhà cung

cấp dịch vụ Internet "Public Access Networks Corporations" (PANIX), đã bị tan công hơn một tuần, từ chối dịch vụ Internet cho khoảng 6000 cá nhân và

Tước tài nguyén (Resource Starvation):

Kiểu tấn công này khác với kiểu tấn công trước ở chỗ kiểu này sẽ chiếm dụng tài nguyên của hệ thống (CPU, RAM) thay vì chiếm dụng tài nguyên

mạng Khi hệ thống bị chiếm hết tài nguyên (ví dụ : bộ nhớ) hệ thống sẽ không

thể hoạt động được dẫn đến bị "treo" > SYN Food dựa trên dạng này

Lỗi lập trình (Programing Flaws):

Đây là những lỗi của chương trình ứng dụng, hệ điều hành Kẻ tấn công sẽ gửi những packet khó hiểu đến nạn nhân nhằm xác định xem ngăn xếp mạng (Network Stack) có xử lí ngoại lệ hay không hay là sẽ làm toàn bộ hệ thông ngừng hoạt động Đối với những ứng dụng cần nhập dữ liệu kẻ tấn công có thể gửi những chuỗi đữ liệu dài đến hàng ngàn dòng (dẫn đến tràn bộ đệm > dẫn

đến hệ thống ngưng hoạt động)

Tắn công bằng định tuyến và DNS (Routing and DNS attack):

Tan cong dinh tuyén:

SVTH: Pham Van Tam & Đỗ Lê Mỹ Hạnh Trang 8

Trang 12

GVHD: Th.S Lé Manh Hai Ap dung Access List vao bdo vệ mạng trường ĐHKTCN

Đa số các giao thức định tuyến như RIP không có chứng thực hoặc chứng thức rất yếu, đây là điểm tuyệt vời cho kẻ tấn công Kẻ tấn công sẽ thay đổi tuyến đường hợp lệ bằng cách giả mạo địa chỉ IP nguồn

DNS:

Kẻ tấn công có thể đổi một lối vào trên Domain Name Server của hệ thống nạn nhân rồi cho chỉ đến một website nào đó của kẻ tắn công Khi máy khách yêu cầu DNS phân tích địa chỉ bị xâm nhập thành địa chỉ ip, lập tức DNS ( đã

bị kẻ tấn công thay đổi cache tạm thời ) sẽ đổi thành địa chỉ ip mà kẻ tấn công

đã cho chỉ đến đó Kết quả là thay vì phải vào trang Web muốn vào thì các nạn nhân sẽ vào trang Web do chính kẻ tắn công tạo ra

2.2.2.1 Ping of Death:

Các biến thể: Không có

Hệ điều hành bị ảnh hưởng: Tắt cả các hệ điều hành

Giao thirc/ Dich vu: ICMP Mức độ nguy hiểm: Cao Đây là một phương thức tấn công từ chối dịch vụ bằng cách gửi một lượng lớn các gói tin ping đến một máy đích nào đó Ping of Death là một cuộc tắn công vào lớp mạng (lớp thứ ba của mô hình OSI) của máy đích với mục đích loại bỏ tất cả các dịch vụ đang hoạt động trên máy nạn nhân Thủ phạm gửi một lượng lớn các gói tin ping đến nạn nhân Vấn đề là ở chỗ, hệ điều hành của nạn nhân không biết sẽ giải quyết như thế nào đối với các gói tin có kích thước lớn hơn kích cỡ max của nó (65536) Vì vậy, sẽ làm cho hệ điều hành nạn nhân không hoạt động bình thường hoặc là bị treo Ví dụ đối với người dùng WinNT trước đây, thì có thể xác định được hiện tượng này khi gặp màn hình màu xanh của Windows

Trang 13

GVHD: Th.S Lé Manh Hai Ap dung Access List vao bao vé mang truong DHKTCN

thống cho sẵn

ICMP:

Chức năng của ICMP:

ICMP ở lớp thứ ba của mô hình OSI ICMP điều khiển lỗi và thay đổi các

message điều khiển ICMP được sử dụng để truyền thông tin trạng thái và lỗi, bao gồm đường truyền mạng và những vấn đẻ tắt nghẽn mạng

Hoạt động của ICMP:

Định dạng thông điệp ICMP Header (vùng TYPE 8 bit, CODE 8 bit va

CHECKSUM 16 bit)

Ping là một chương trình sử dụng ICMP để kiểm tra xem các kết nối của mạng Bau đầu, máy tính gửi sẽ gửi một tín hiệu ICMP ECHO REQUEST đến một địa chỉ xác định Nếu máy tính nhận sau khi nhận thành công gói tin trên, nó sẽ gửi một ICMP ECHO REPLY Nếu máy gửi đi nhận được ICMP ECHO REPLY thì đường truyền tốt

Dưới đây là một ví dụ về lệnh Ping:

C:\> ping www.hutech.edu.vn

Chú ý rằng gói tin ping ở đây sử dụng kích thước là 32 byte Bằng cách sử

dụng lệnh ping có các tuỳ chọn, ta có thé thay đổi được kích thước của gói tin ping Dưới đây là một ví dụ, ta đã thay đổi kích thước gói tin thành 500 byte

C> ping -l 500 www.hutech.edu.vn TCP/IP cho phép các gói tin chỉ có kích thước tối đa 65536 octet (1 octet =

8 bit = 1 byte), bao gồm 20 octet cho thông tin về header và 0 hoặc nhiều octet cho các thông tin tùy chọn, phần còn lại là data Cần phải biết rằng, một số hệ thống sẽ đáp ứng trở lại bằng các cách không thể xác định được khi nhận gói tin có kích thước không theo chuẩn hoặc quá lớn Theo các báo cáo và nghiên cứu thì hầu hết các tác động này có liên quan đến việc tắc nghẽn, tình trạng rỗi

và việc khởi động lại

Trang 14

GVHD: Th.S Lé Manh Hai Ap dung Access List vao bao vệ mạng trường ĐHKTCN

Trong một số trường hợp liên quan, hầu hết các cuộc tấn công cho thấy rằng, các gói tin ICMP được sử dụng thông qua lệnh ping để kích hoạt một đợt tấn công Hai vấn đề quan trọng của gói tin ICMP mà ta cần biết đó là ICMP Echo_Request và ICMP Echo_Response Một máy, muốn xác định một máy

khác có tồn tại hay không thì lệnh ping sẽ gửi gói tin ICMP_Echo_Request,

nếu máy đó đang hoạt động, nó sẽ gửi trả lời lại bằng một gói tin ICMP_Echo_Response Một Acttacker sẽ sử dụng lệnh Ping để xây dựng một

gói ICMP có kích cỡ vượt quá qui định nhằm thực hiện một cuộc tấn công

Nhiều lệnh ping thi hành gửi ICMP chỉ có 8 octet của header theo mặc định, nhưng cũng có thể tạo các gói tin có kích thước lớn hơn, và không theo khuôn

dạng của gói tin có thể là lớn hơn 65536 byte

b) Dấu hiệu nhận biết phương thức tấn công:

Trên máy tính nạn nhân bị tràn ngập các gói tin ICMP ECHO REQUEST,

có thể làm cho máy tính nạn nhận bị treo

c) Cách giảm thiếu, ngăn chặn tắn công:

- _ Liên tục cập nhật bản vá lỗi do nhà sản xuất cung cấp

- Sw dung Big Firewall

- _ Cấu hình cho router loại bỏ các gói tin có kích thước khác thường, trước khi

Mức độ nguy hiểm: Cao

Do TCP/IP là chuẩn giao thức ứng dụng mạnh Nó được sử dụng phổ biến trong mô hình địa chỉ Internet toàn cầu và kết nối client/server Dựa vào phương thức bắt tay ba bước của TCP, kẻ tấn công tấn công có chủ đích vào phương thức này tạo ra một cuộc tắn công từ chối dịch vụ

SVTH: Pham Văn Tâm & Đỗ Lê Mj Hanh Trang 11

Trang 15

GVHD: Th.S Lé Manh Hai Ap dung Access List vao bdo vé mang trường ĐHKTCN

a) — Mô tả:

Do đây là cuộc tấn công dựa trên giao thức TCP/IP, nên ta cần nắm rõ chức

nang va cau trac cua TCP/IP:

TCP: Thiết lập kết nối giữa các hệ thống (inter-system communication)

A datagram with its TCP header

TCP Header

Hình 2.2: Cấu trúc gói tin TCP

Các tham số của cờ Flags:

Synchronize — còn gọi là “SYN”

Dùng để khởi tạo một kết nối giữa các máy trạm

+ Acknowledgement — con gọi là “ACK”

Dùng để thiết lập kết nối giữa các máy trạm

Dùng để tái tạo lại kết nối

IP: dùng để truyền đữ liệu

Trang 16

Hình 2.3: Cấu trúc gói tin TCP/IP headers

Cơ chế bắt tay ba bước:

Theo ta biết một gói tin IP để có thể truyền được trên mạng Internet thì nó phải có một địa chỉ đích và một địa chỉ nguồn Trong gói tin, còn chứa thông tin, dữ liệu cần truyền, và các port của các dịch vụ TCP Khi client muốn tạo một kết nối đến một server thì cả client và server đều phải thiết lập một chuỗi các message để thực hiện việc bắt tay 3 bước Tất cả các kết nối TCP như telnet, web, email, đều thực hiện theo phương pháp bắt tay 3 bước Minh họa phương pháp bắt tay 3 bước giữa client và server:

Trang 17

Bước 1: Clien( gửi một gói tin SYN cho server để thiết lập kết nối đến

Bước 3: Client sau khi nhận được SYN-ACK, nó sẽ hoàn tất việc kết nối

băng cách gửi lại một message lại cho server

Hình 2.4 : Mô hình bắt tay ba bước hoàn tất

Client giri g6i SYN cho Server

Trang 18

GVHD: Th.S Lé Manh Hai Ap dung Access List vao bảo vệ mạng trường ĐHKTCN

mạo của một máy hiện tại không kết nối trong mạng Do đó, server bị tấn công gửi gói tin SYN-ACK cho client nhưng nó không nhận được gói tin ACK do client gửi Nếu như địa chỉ IP mà kẻ tấn công giả mạo tồn tại, máy client sẽ gửi packet bật cờ RST (reset) cho server do nó không khởi động kết nối Nhưng nếu kẻ tấn công muốn tấn công vào server, kẻ tắn công không bao giờ giả mạo

IP của một máy có thực

Vấn đề ở đây là server không có cách nào nhận biết yêu cầu kết nối của client nào hợp pháp hay có ý đồ xấu thâm nhập vào trong mạng Vì vậy, đối với client hợp lệ và kẻ tấn công, server xử lý giống như kết nối đang xảy ra Server thực hiện việc bắt tay ba bước với client Nếu server không nhận được tín hiệu ACK, nó sẽ gởi lại tín hiệu SYN-ACK vì nó cho rằng gói SYN-ACK

đã bị mắt trên đường đi

Khi đó, server đặt tín hiệu (SYN_RECV) kết nối này vào hàng đợi Lúc đó,

hàng đợi của các half-open connection trên hệ thống server sẽ bị tràn ngập và server sẽ từ chối không tiếp nhận các kết nối khác đến nó cho đến khi các kết nối này được giải phóng Tuy nhiên, các hệ thống server bị tắn công luôn có một thời gian timeout để giải phóng các half-open connection (dang treo- pending) và hệ thống sẽ hoạt động bình thường Do đó, để thực hiện tắn công,

kẻ tắn công tiếp tục gửi các gói tin đã giả mạo địa chỉ IP để yêu cầu những kết nội mới với thời gian nhanh hơn thời gian time-out của server bị tân công Mức độ nguy hiểm: Mặc dù, các cuộc tấn công SYN Flood này thường chỉ tác động đến một dịch vụ sẵn có nào đó, và các dịch vụ khác vẫn có thể tồn tại Nhưng trong một số trường hợp khác, nó cũng có thể làm cạn kiệt bộ nhớ của

hệ thống, làm tắt nghẽn hoặc làm cho mạng hoạt động không như mong muốn Mức độ nguy hiểm của kiểu tấn công này là ở chỗ do gói SYN thường được gán địa chỉ IP không có thực nên việc tìm kiếm đối tượng đã tấn công là rất khó

Trang 19

GVHD: Th.S Lé Manh Hai Ap dung Access List vao béo vệ mạng trường ĐHKTCN

Các gói tin SYN Server không nhận được

Packet 1; SYN Renly !: SYN-ACK:

Packetr2:SYN Reply 2: SYN-ACK Packet 4; SYN

hinh thirc SYN Flood St dung lénh netstat để nhận biết một cuộc tấn công với

một số lượng lớn các half-open connection Bén canh do, dé người quản trị mạng nhận biết được rằng các gói tin gửi như vậy là có thực hay không

c) Cách giảm thiếu, ngăn chặn tấn công:

- Su dung Big Firewall

- Cấu hình TCP Intercept của Access List trên Router

- _ Cấu hình trên Windows Advanced Server 2000 hay 2003

2.2.23 Smurf:

Bién thé: Papa Smurf va Fraggle

Hệ điều hành bị ảnh hưởng - OS: Các hệ điều hanh va Router

Giao thức/Dịch vụ: ICMP Ping

Mức độ nguy hiểm: Cao

Trang 20

Địa chỉ Broadcast: là địa chỉ IP được dùng để đại diện cho tất cả các host trong mạng Phần host_id chứa các bit 1 Nó dùng để gửi một gói tin đến tất cả các host trên một segment mạng

Vi du: 172.429.255.255 1a dia chi Broadcast cha mạng 172.29.0.0/16

a) M6 ta:

Dựa vào đặc tính của địa chỉ broadcast, nếu ta gửi một gói tin đến địa chỉ 172.29.255.255 thì nó sẽ tự động forward đến tất cả các máy trong mạng 172.29.0.0 Nếu như ở đây ta sử dụng một địa chỉ lớp A thì số lượng máy trong mạng rất lớn, chính điều này sẽ dẫn đến các gói tin ồ ạt gửi đến các máy trong cùng segment N6 sẽ làm cho băng thông của mạng bị giảm sút nghiêm trọng, gây ra tình trạng tắt nghẽn mạng, ngập lụt gói tin

Hai thành phần chính của tấn công Smurf là việc sử dụng các gói tin giả

mạo địa chỉ IP của nạn nhân và địa chỉ broadcast Trong cuộc tấn công Smurf, attacker sẽ giả mạo địa chỉ nguồn trong ICMP echo request và gửi chúng đến một địa chỉ broadcast Khi mỗi máy trên mạng nhận và đáp ứng trở lại cho địa chỉ nguồn mà attacker sử dụng để giả mạo Minh họa các giai đoạn của cuộc tắn công Smurf:

Trang 21

GVHD: Th.S Lé Manh Hai Ap dung Access List vao bao vé mạng trường ĐHKTCN

Giai doan 1:

chỉ IP của nạn nhân- IP | broadcast)

Giai doan 3:

Giri ICMP ECHO Các máy tính trong cling segment m „ị Địa chỉ IP của mạng với địa chỉ broadcast REPLY nạn nhân

Hình 2.7: Mô hình các giai đoạn tắn công dạng Smurf Khi các máy đồng loạt trả lời, có nghĩa là một tan cong tir chéi dich vu được tạo ra Lúc này, máy tính nạn nhân sẽ bị tràn ngập các gói tin ICMP ECHO REPLY của các máy tính trung gian

Hậu quả do cuộc tắn công Smurf gây ra không những làm cho máy tính nạn nhân bị treo hay xử lý chậm mà còn có thể làm cho các đường truyền bị tắc nghẽn liên tục

Trang 22

b) Dấu hiệu nhận biết phương thức tấn công:

Dâu hiệu thông thường của cuộc tân công là làm giảm khả năng truy cập mạng ở cả mạng nội bộ và mạng Internet Kiểu tân công này không chỉ tác động vào các mạng nội bộ, mà còn có thể dùng để tấn công vào các nhà ISP

Nó làm giảm chất lượng dịch vụ của các ISP

Hai đặc điểm chính giúp người quản trị mạng nhận biết hệ thống đang bị

tắn công bởi Smurf là:

- - Một ICMP request được gửi đến địa chi broadcast

- _ Số lượng quá lớn các ICMP request cùng gửi đến một host xác định

e) Cách giảm thiếu, ngăn chặn tấn công:

Để ngăn chặn các cuộc tấn công, báo vệ hệ thống thì ta dùng:

- - Access List đê khóa các địa chỉ broadcast trên router đề ngăn câm đáp ứng các ICMP request gửi đến một địa chỉ broadcast

- _ Liệt kê tất cả các giải pháp để ngăn chặn tấn công

Gói tin IP được sử dụng để gửi thông tin thông qua Internet Gói tin IP

tương tự gói tin TCP SYN Trong hầu hết các trường hợp thì địa chỉ đích và

nguồn, số cổng nguồn và đích là hoàn toàn khác nhau Khi đó, IP sé lam VIỆC bình thường như đã được định Nhưng khi gói tin IP mang các thông số không

Trang 23

theo quy ước thì hầu hết các chồng ngăn xếp TCP/IP (TCP/IP stack) không thể giải quyêt được và nó sẽ bị treo

Khi gặp tình trạng này xảy ra, chắc chắn TCP/IP sẽ tạo ra các gói tin SYN hoàn toàn sai lệch Lợi dụng điều này mà các kẻ tấn công sẽ giả mạo cả địa chỉ đích và sô công đích

“* Dưới đây là một số đặc điểm của một cuộc tấn công Land:

- - Các gói tin sẽ có cùng địa chỉ đích và nguôn

- - Các gói tin cũng sẽ mang các sô công đích và nguôn giông nhau TCP là một giao thức kết nối tin cậy và có định hướng, hoạt động ở lớp 4 của mô hình OSI Bởi vì TCP là tin cậy, nên buộc nó phải sử dụng phương thức

bắt tay 3 bước dé thiết lập một kết nối Khi một kết nối mới được tạo thì nó sẽ

sử dụng gói tin SYN để đồng bộ giữa 2 máy Gói tin SYN cũng chỉ là một gói

tin bình thường và nó có bit SYN đuợc bật Đương nhiên gói tin này phải là gói

tin đầu tiên của một kết nối mới Land exploit chỉ xảy ra khi một phiên làm

việc mới được tạo chính vì vậy mà bắt buộc kẻ tắn công phải sử dụng gói tin SYN Khi tạo một kết nối, kẻ tấn công sẽ giả mạo địa chỉ và công đích bằng

cách thiết lập nó giống như địa chỉ và cổng nguồn, khi máy đích nhận được, nó

sẽ không thể nào xử lý được vấn đề này và lập tức máy nạn nhân sẽ bị treo

b) Dấu hiệu cuộc tấn công:

Như đã trình bày ở trên, do phương thức tấn công này sử dụng kiểu tấn công bằng cách gán địa chỉ nguồn, đích giống nhau, số công nguồn đích cũng như nhau, nên để phát hiện ra dấu hiệu của cuộc tấn công này không khó lắm Chỉ cần sử dụng một chương trình debug nào đó và dò ra các gói tin [P có đặc điểm như trên ta có thể xác định ngay được là có phải xuất hiện cuộc tấn công kiểu này hay không

c) Cách giảm thiểu, ngăn chặn tấn công:

- - Cập nhật các bản vá lỗi cho hệ điều hành của mình Chỉ có cập nhật thường

xuyên các bản vá lỗi thì mới có thể giảm thấp nguy cơ bị tấn công

Trang 24

GVHD: Th.S Lé Manh Hai Ap dung Access List vao bao vé mang trường ĐHKTCN

- Su dung router dé loc bé cac géi tin cé dia chi nguồn, đích giống nhau, số công nguôn đích giông nhau

Tuy nhiên với việc sử dụng router thì ta chỉ có thể ngăn chặn được các cuộc tân công từ bên ngoài, còn các cuộc tân công xuất phát và kết thúc tại các máy trong mạng Lan thì xem như phương pháp này không có tác dụng

2.2.3 Tấn công từ chối dịch vụ phân tán (DDoS): [3]

Là thế hệ tiếp theo của kiểu tấn công từ chối dịch vụ trước đây Kiểu tấn công này gây tràn các gói tin đồng bộ TCP và UDP SYN, các gói tin ICMP echo, nạn nhân của cuộc tấn công này sẽ nhận rất nhiều gói tin (hiện tượng tràn

- flooding) từ nhiều nguồn xuất phát khác nhau, đa số là các gói tin dạng IP Spoof, làm cho các kết nối trong hệ thống mạng bị nghẽn và gây ùn tắt đữ liệu nặng nê

2 Cai dat cdc phan mém

điều khiến từ xa lên các

Hình 2.8: M6 hinh Attacker diéu khién DDoS Client (Zoombie)

Đây là cách thức tấn công rất nguy hiểm Hacker xâm nhập vào các hệ thống máy tính, cài đặt các chương trình điều khiển từ xa, và sẽ kích hoạt đồng thời các chương trình này vào cùng một thời điểm để đồng loạt tấn công vào một mục tiêu Với DDoS, các hacker có thể huy động tới hàng trăm thậm chí hàng ngàn máy tính cùng tham gia tấn công cùng một thời điểm (tùy vào sự

TRUONG BHD KONI

4

THU VEEN ` |

510109 35 q _— ) Sew a 2: ENO ma RN Trang 21

SVTH: Pham Van Tam & Đỗ Lê Mỹ Hạnh

Trang 25

GVHD: Th.S Lé Manh Hai Ap dụng Áccess List vào bảo vệ mạng trường ĐHKTCN

chuân bị trước đó của hacker) và có thể "ngốn" hết băng thông của mục tiêu trong nháy mắt

Cac DDoS Client (Zoombie)

Hình 2.9: Mô hình tắn công DDoS

DDo§ yêu cầu phải có ít nhất vài kẻ tấn công cùng tham gia Đầu tiên các

kẻ tắn công sẽ cố thâm nhập vào các mạng máy tính được bảo mật kém Sau

đó, cài lên các hệ thống này chương trình DDoS server (như Trinoo, Tribe flood network-TEN, Wintrinoo, TEN2K .) Bây giờ các kẻ tấn công sẽ hẹn nhau đến thời gian đã định sẽ dùng DDoS client két néi dén cdc DDoS servers,

sau đó đồng loạt ra lệnh cho các DDoS servers này tiến hành tấn công DDoS

đến hệ thống nạn nhân

Cách phòng thủ:

Thực ra thì DDo§ chỉ là một biến thể của tắn công DoS Phương pháp này tấn công cực kỳ hiệu quả và rất khó để có thể ngăn chặn Một hệ thống để hoạt

động thông suốt và giảm thiểu được lỗi tối đa thì cần phải được bảo vệ thật tốt

Một cuộc tấn công DoS hay DDoS thì đều có một mục đích chung là muốn làm cho hệ thống của nạn nhân bị tràn ngập các gói tin (packet), làm cho hệ thống không thể tạo được các phiên làm việc khác với các kết nối hợp pháp Để tạo được các cuộc tấn công loại này thì máy của kẻ tấn công hay một số máy của

kẻ tấn công phải tạo ra một số lượng packet tương ứng mà máy nạn nhân nhận được Bởi vì các cuộc tấn công DDoS sẽ phải thực hiện bằng cách là các kẻ tấn công sẽ tân công một hệ thông nào đó, sau đó thì sẽ tiếp tục thỏa hiệp với các

Trang 26

GVHD: Th.S Lé Manh Hai Ap dụng ccess List vào bảo vệ mạng trường ĐHKTCN

máy của hệ thống này để tấn công tiếp tục vào hệ thống chính mà đối tượng cần tấn công Nếu số lượng máy tấn công càng nhiều thì nguy cơ bị hạ gục của nạn nhân càng cao Nhưng chính điều này cũng là một điểm bắt lợi của DDoS

đó là chính các máy chủ (server) của các hệ thống cũng không muốn trở thành đồng minh của một cuộc tấn công DDo§ vì vậy các hệ thống này cũng sẽ có những phương pháp bảo vệ nhằm giảm thiểu tình trạng trở thành đồng minh của hacker Nhưng như vậy không phải là cách tốt để bảo vệ hệ thống của

mình Sau đây là một số phương thức bảo vệ hệ thống để giảm thiểu khỏi các

cuộc tấn công DDoS cực kỳ nguy hiểm

- _ Tốt nhất là nên bảo mật hệ thống của chúng ta

- _ Cài đặt các hệ thống phát hiện xâm nhập bất hợp pháp

- Su dung cac công cu Scan

- Chay cdc cong cu phuc héi (Zoombie)

Bảo mật hệ thống:

Nếu một attacker không thể truy cập được đến một mạng và thoả hiệp được với host, thì không thê khởi tạo được một cuộc tấn công DDOS vào hệ thống

Để thiết lập một hệ thống như là một server, thì nhất định phải có một số bước

thoả hiệp với hệ thống Vì vậy nếu như bước đầu tiên này mà không thể vượt qua được và hệ thống được bảo mật tốt thì không thể có chuyện xảy ra DDoS Cài đặt các hệ thống phát hiện xâm nhập (Intrusion Detection System): Tuy vậy, đối với một người quản trị mạng thì dứt khoát việc phát hiện ra các cuộc tấn công kiểu này là điều bắt buộc Tuy có đôi lúc ta nghĩ là không cần, nhưng khi thấy mạng tắc nghẽn liên tục thì cẦn phải xem lại khả năng bị tan công DDoS Một công ty khi kết nối vào mạng thì nhất định nó sẽ bị tấn công, không cách này thì cũng cách khác Nếu sử dụng đường quay số như trước đây thì chỉ cần tắt kết nối và rút dây điện thoại ra là có thể bảo vệ an toàn cho mạng, nhưng ngày nay, với các đường truyền băng thông rộng, tốc độ cao thì việc online thường xuyên của đường truyền cũng đồng nghĩa với khả năng

bị tân công xảy ra là nhiêu hơn Vì vậy việc phát hiện ra dâu hiệu của các cuộc

Trang 27

GVHD: Th.S Lé Manh Hai Ap dung 1ccess List vào bảo vệ mạng trường ĐHKTCN

tân công vào hệ thông được khuyên cáo là càng sớm càng tốt Vì vậy việc cài

đặt các hệ thống phát hiện xâm nhập là rất cần thiết

Có 2 loại IDS: Network-based và Host-based

Network-based: Là một thiết bị thụ động được đặt trong mạng, và quản lý tất cả các gói tin chạy trong một segment mạng Bằng cách xem xét các gói tin,

nó sẽ xét xem trong gói tin có mang dấu hiệu của các cuộc tấn công hay không

và bật các báo động nếu như gói tin đó là bất hợp pháp

Host-based IDS: Sẽ chạy trên một server bên trong và được phép xem xét các phiên truy cập đê tìm kiêm các dâu hiệu đáng ngờ của một cuộc tân công

Đó là 2 loại IDS cơ bản và cũng chỉ có 2 kỹ thuật chung mà hầu hết các IDS được xây dựng dựa vào đó là: tìm kiếm các dấu hiệu theo một mẫu được lập

sẵn và các kiểu tìm kiếm tự đo Về kĩ thuật thứ nhất thì các IDS này sẽ được

xây dựng một bảng cơ sở đữ liệu về dấu hiệu của các vụ tấn công đã được biết Khi nó tìm thấy dấu hiệu của một cuộc tấn công trong cơ sỡ dữ liệu của nó thì

nó sẽ bật các cảnh báo Còn các IDS dựa vào kỹ thuật thứ 2 thì sẽ hoạt động như sau: Nó sẽ bỏ qua tất cả các lưu lượng (traffic) mạng đối với một hệ thống

nếu như các lưu lượng đó là bình thường, tuy nhiên nếu như nó chỉ cần phát

hiện ra rằng có dấu hiệu lưu lượng mạng không bình thường thì IDS sẽ hoạt động Chính vì vấn đẻ này mà host-based là ít được sử dụng vì có thé nghi ngay

ra là: thế nào là một lưu lượng mạng bình thường vì mỗi công ty, mỗi hệ thống khác nhau thì sẽ có lưu lượng mạng khác nhau vì vậy phương pháp này là không khả dụng

Do đó, dé bảo vệ hệ thống tốt nhất thì nên thiết lập các IDS sử dụng cả 2 kĩ

thuật trên Trong một số trường hợp có thể host-base sẽ khả dụng hơn là network-based

Sử dụng các công cụ SCAN

Vì các hệ thống của các công ty hiện nay không coi trọng vấn đề bảo mật,

vì vậy rat dé dang để cho một Attacker có thể thỏa hiệp với hệ thống đó nhằm

tân công một hệ thông cụ thê Chính vì vậy việc scan, tìm kiêm để khóa hoặc

Trang 28

loại bỏ các chương trình tạo thỏa hiệp là cần thiết Dưới đây là một số công cụ

để dò tìm xem hệ thống có đóng vai trò là một server bất đắc đĩ của một vụ tấn công DDoS không

Find_DDoS:

Chương trình dùng để tìm kiếm các hệ thống bị cài đặt các chương trình

thoả hiệp, có nhiều phiên bản cho các hệ điều hành khác nhau Chương trình này được phát triển bởi chính phủ Mỹ Ưu điểm của chương trình này là có thể

quét được hết tất cả các chương trình được cài đặt để tạo các cuộc tấn công

DDoS được cài đặt trên nhiều hệ điều hành khác nhau như TEN2K client,

TFN2K Daemon, Trinoo Daemon, Trinoo Master, Tfn Daemon, Tfn Client, Stacheldraht Master, Stacheldrant Client, Stachelrant Daemon va TFN-Rush Client

SARA (Security Auditor’s Research Assitant):

Là một chương trình tìm kiếm các hệ thống hoặc các vùng dễ bị tổn thương của hệ thống Nó còn hỗ trợ thêm khá năng có thể phát hiện các phần mềm tạo DDoS được cài đặt tại hệ thống

Saint:

Đây cũng là một chương trình quét các vùng dễ bị tổn thương của hệ

thống và được tích hợp cả khả năng quét các phần mém DDoS

DDoSPing v2.0:

Đây là chương trình được sử dụng rộng rãi trong giới attacker và cả quản trị mạng, do có giao diện đồ hoạ, dễ sử dụng, có thé phát hiện được WinTrinoo, Trinoo, Stacheldrant và TEN

RID:

Cũng là chương trình để phát hiện các phần mềm DDoS đã được cài đặt Tuy vậy, các phần mềm này chỉ có thể làm việc nếu chương trình DDoS được cài đặt trên các công mặc định Nếu một attacker đã cấu hình lại cho các chương trình này với các công mới được thêm vào thì các phần mềm này sẽ có

Trang 29

thể không làm việc nữa Vì vậy, điều quan trọng là khi dùng các phần mềm này thì các attacker cũng có thể sử dụng các chương trình này để tìm cách tấn công chúng ta Vì vậy, vấn đề là phải luôn đề cao cảnh giác

Chạy các Zombie tool:

Trong một vài trường hợp, một hệ thống không thé phát hiện được rằng server đã được sử dụng cho một cuộc tấn công đến khi cuộc tấn công xảy ra Trong trường hợp này, hi vọng của chúng ta chính là ở chỗ đã sử dụng IDS Với một số lượng lớn các gói tin được gửi đi một cách bất thường sẽ tác động đến IDS Khi phát hiện được điều này, ta cần chạy các chương trình Zombie để dừng việc gửi flood các packet của hệ thống Sau đó là ta chạy các chương trình scan để tìm kiếm các chương trình tạo DDoS đã được cài đặt trên hệ thống

Ngoài ra để bảo vệ cho hệ thống tốt hơn, chúng ta còn nên tuân thủ các phương pháp sau:

+ Xây dựng hệ thống định mức, giới hạn cho người sử dụng

+ Mô hình hệ thống cần phải được xây dựng hợp lý, tránh phụ thuộc lẫn nhau quá mức Bởi khi một bộ phận gặp sự cố sẽ làm ảnh hướng tới

toàn bộ hệ thống

+ Thiết lập mật khẩu mạnh (song password) đễ bảo vệ các thiết bị

mạng và các nguôn tài nguyên quan trọng khác

+ Xây dựng hệ thống loc thông tin trên router, firewall va hệ thống bảo vệ chống lại SYN flood

+ Thiết lập các mức xác thực đối với người sử dụng cũng như các nguồn

tin trên mạng Đặc biệt, nên thiết lập chế độ xác thực khi cập nhật các

thông tin định tuyến giữa các router

+ Chỉ kích hoạt các dịch vụ cần thiết, tạm thời vô hiệu hóa và đừng các

dịch vụ chưa có yêu cầu hoặc không sử dụng nhằm mục đích ngăn ngừa trường hợp người sử dụng ác ý muốn lợi dụng các tài nguyên trên server đê tân công chính server hoặc mạng và server khác

SVTH: Pham Vin Tam & Đỗ Lê Mỹ Hạnh Trang 26

Trang 30

GVHD: Th.S Lé Manh Hai Ap dung Access List vao bao vé mang trường ĐHKTCN

+ Liên tục cập nhật, nghiên cứu, kiểm tra để phát hiện các lỗ hỗng bảo

mật và có biện pháp khắc phục kịp thời

+ Sử dụng các biện pháp kiểm tra hoạt động của hệ thống một cách liên tục để phát hiện ngay những hành động bắt bình thường

+ Xây dựng và triển khai hệ thống dự phòng

2.3 CAC KY THUAT PHONG CHONG:

2.3.1 Access List: [4]

23.1.1 Định nghĩa:

Access List (ACL) là một tập danh sách điều khiển truy cập, cung cấp khả năng lọc gói nhằm ngăn ngừa những lưu thông không cần thiết trên mạng Một ACL có thể chứa đựng một hoặc nhiều quy luật do người quản trị mạng định nghĩa

Khi những gói tin phù hợp với những điều kiện được mô tả trong ACL thì

nó được phép (permif) đi qua, ngược lại, thì bị loại bỏ (deny) Đối với IP traffic, có ba kiểu ACL, đó là: Standard, Extended va Named ACL

2.3.1.2 Các loại Access List:

Tiên trình kiểm tra và thực thỉ

Trang 31

GVHD: Th.S Lé Manh Hai Ap dung Access List vao bao vé mang truong DHKTCN

UDP, ICMP, .), lưu lượng gói tin dựa trên các giao thức của nó

+ Named ACL : Co thé chi dinh kiéu Standard hoặc Extended

Ca Standard, Extended ACL va Named ACL co thé duge gan vao cac céng trén Router, vty lines, IPSec, và các giao thức định tuyến theo hướng từ trong

ra (inbound) hay từ ngoài vào (outbound) Nhưng chỉ có Standard IP ACL có thể được gán cho SNMP

Ta nhận thấy rằng Extended ACL có khả năng lọc gói linh động hơn vì nó

có thể can thiệp sâu hơn vào bên trong các giao thức, các port,

Cú pháp tông quát:

access-list access-list-number { deny | permit } condition

Y nghĩa các tham số của cú pháp trên:

access-lisf-number: Là con sô của Access-List cho IOS của Cisco biệt nó là ACL loại gì

deny: Là không cho phép truy cập khi thỏa điều kiện (condition)

permit: Là cho phép truy cập khi thỏa điều kiện (condition)

condition (điều kiện): Đôi với những ACL khác nhau thì có các điều kiện

khác nhau Thông thường, là thông tin của giao thức và địa chỉ

Chú ý:

+ Mặc định cuối mỗi ACL Ia deny any

+ Cac dòng lệnh trong mỗi ACL sẽ được kiểm tra và thực thi theo thứ tự

từ trên xuống dưới, từ trái sang phải

+ Gói tin khi đi qua 1 interface có cấu hình ACL sẽ được phân tích và kiểm tra

- Nếu ACL cấu hình và gán vào interface theo chiều inbound thì gói tin sẽ được lọc trước khi nó được định tuyến

- Nếu ACL cấu hình theo kiểu outbound thì gói tin sẽ được lọc sau

khi định tuyến

SVTH: Pham Văn Tâm & Đỗ Lê Mỹ Hạnh Trang 28

Trang 32

GVHD: Th.S Lé Manh Hai Ap dụng 4ccess List vào bảo vệ mạng trường ĐHKTCN

+ Do đó, nếu một gói tin không so trùng bất kỳ dong nao trong ACL thi mặc định là nó bị khóa

a) Standard ACL:

Cu phap IP Standard ACL:

access-list access-list-number { deny | permit} source [ source-wildcard ]

Ý nghĩa các tham sỗ của cú phap trén:

access-list-number: La mét con sé thap phan ngau nhién tir 1 — 99, va day

mo rong tir 1300- 1999, source: La dia chi IP cha mét mạng hoặc của một máy tính, nơi gói tin được gửi

source-wildcard: Là chuỗi bit tương ứng với source

Để tạo Standard ACL dùng để cấm mạng 192.168.0.0 truy cập vào Router, ta dùng câu lệnh sau:

R(config)# access-list 1 deny 192.168.0.0 0.0.255.255 R(config)# access-list 1 permit ip any

b) Extended IP ACL:

Cu phap Extended ACL:

access-list access-list-number { deny | permit } protocol source [ source- wildcard ] source-qualifiers destination [ destination-wildcard | destination-qualifiers | log |

Ý nghĩa các tham số của cú pháp trên:

access-lisi-number: Là một con số thập phân ngẫu nhiên từ 100 — 199, day

mở rộng từ 2000 đến 26909,

protocol: Là tên hoặc số của một giao thức quan hệ IP Nó có thể là một trong các từ khóa sau: EIGRP IGMP, IGRP, IP, OSPF, TCP hoặc UDP

Hoặc nó có thể là một số nguyên nằm trong khoảng từ 0 đến 255 biểu diễn

sô công của một giao thức IP

Trang 33

GVHD: Th.S Lé Manh Hai Ap dung Access List vao béo vé mang trường ĐHKTCN

source-qualifiers: M6 ta chi tiét sau hon trén gói tin nguồn, bao gồm port number và thông tin của một giao thức cụ thể nào đó Tùy chọn này có hay không

destination: La dia chi IP cua một mạng hoặc của một máy tính, nơi gói tin

đến đích

destination-qualifier: M6 ta chi tiết sâu hơn trên gói tin đích, bao gồm port number và thông tin của một giao thức cụ thể nào đó Tùy chọn này có hay không

[log |: Tùy chọn này có thể hoặc không Nếu có, thì nó được đặt vào cuối mỗi câu lệnh deny trong mỗi Exteneded ACL Nó ghi nhận thông tin về gói tin bị loại bỏ, điều đó giúp ích cho việc dò tìm và phân tích các cuộc tấn công vào mạng

any: Có thể được thay thế cho source, source wildcard, destination, destination-wildcard

Dé tao Extended ACL cho phép mạng 172.16.3.0/24 truy cập được vào Web

của mạng 172.16.4.0/24, ta dùng câu lệnh sau:

R(config)#access-list 110 permit tcp 172.16.3.0 0.0.0.255 172.16.4.0

0.0.0.255 eq 80 R(config)# access-list 110 deny tcp any any log

ip access-list { standard | extended } name

Ý nghĩa các tham số của cú phúp trên:

standard: Mô tả đây là standard ACL

Trang 34

R(config)# ip access-list extended Hanh

R(config-ext-nacl)# deny tep 192.168.0.0 0.0.255.255 203.162.47.0 0.0.0.2555

eq 23 R(config-ext-nacl)# permit ip any any

2.3.1.3 Wildcard Bit:

Wildcard mask 1a s6 32 bit dugc chia lam 4 octet, ngugc véi subnet mask

Wildcard mask bit 0 có nghĩa là kiểm tra bit địa chỉ tương ứng, bit 1 có nghĩa là

không kiểm tra bit địa chỉ tương ứng

8 09 1 4 1 1 1 4 #&&| Bo 6 bit sau cting

Kiểm tra 2 bit cuối

4 1 3 1 4 1 3 4 = Bo qua tat

Hinh 2.11: Cac kiéu Wildcard-bit

Cach tinh Wildcard-bit:

- Để tính Wildcard-bit ta phải xác định được địa chỉ mạng, địa chỉ host và subnet mask ACL sẽ kiểm tra địa chỉ tương ứng với wildcard đã chỉ ra, vì vậy phải xác định chính xác wildcard

Trang 35

- Dé kiém tra 1 host thi tất cả các bit cha wildcard phải là 0: nghĩa là wildcard sé là: 0.0.0.0 Trong trường hợp này dùng từ khóa bos¿ để thay cho Wildcard trước địa chỉ IP (access-list 1 permit host 192.168.1.3)

- Dé bé6 qua kiém tra thi wildcard sé la : 255.255.255.255

- Trong trudng hop nay ta cé thé ding tir khéa any dé thay cho dia chi IP

va Wildcard ( access-list 110 permit tcp any any eq www)

Vi du Wildcard - bit:

Dé tinh Wildcard-bit cho dia chi mang: 192.168.16.0/24

Ta viết tất cả các bit trong 4 Octet(32 bit):

192 168 16 0

00000000 00000000 00001111 11111111 Wildcard sé 1a : 0.0.15.255

Dé tinh Wildcard-bit cho dia chi 1 host: 192.168.16.1/24

Ta viết tắt cả các bit trong 4 Octet(32 bit):

192 168 16 1

00000000 00000000 00000000 00000000 Wildcard sé 1a : 0.0.0.0

Trang 36

Trên 1 router có thể có nhiều ACL Một ACL chi được gán 1 lần vào 1 interface theo hướng nhất định là đi vào (inbound) hay di ra (outbound) Tuy theo chính sách bảo mật của người quản trị mà ACL có thể đặt ở những nơi phù hợp

- Vi Standard ACL chi kiém tra duoc dia chi IP nguồn nên dé cho ACL

lọc tối ưu nhất, ta nên đặt ACL gần đích nhất

- Do Extended ACL cé kha năng kiểm tra được địa chỉ IP nguồn và IP đích các giao thức cũng như các port nên để đạt được kết quả lọc tối ưu nhất ta nên đặt Extended ACL gần nguồn nhát

Trang 37

R(config)# access-list 7 deny 172.16.3.0 0.0.0.255 R(config)# access-list 7 permit any

R(config)# interface ethernet 1 R(config-if}# ip access-group 7 out

Dé tao Extended ACL dùng để cho phép mang 172.16.3.0/24 truy cập được

vào Web của mang 172.16.4.0/24 và gán vào công Ethernet 1 trén router, ta str dụng các câu lệnh sau:

R(config)# access-list 110 permit tcp 172.16.0.0 0.0.0.255 172.16.4.0

0.0.0.25 eq 80 R(config)# interface ethernet 0

R(config-if)# ip access-group 110 in

Để tạo Named ACL dùng để cho phép mạng 172.16.3.0/24 truy cập được vào Web của mạng 172.16.4.0/24 va gán vào céng Ethernet 1 trén router, ta str dụng các câu lệnh sau:

R(config)# ip access-list extended Hanh R(config-ext-nacl)# permit tep 172.16.3.0 0.0.0.255 172.16.4.0 0.0.0.255

eq 80 R(config)# interface ethernet 0

R(config-if}# ip access-group Hanh in 2.3.1.5 Cách xóa ACL:

Để xóa một ACL ta chỉ cần thêm từ khóa øø vào trước câu lệnh access-ÏIst

Cú pháp:

Trang 38

GVHD: Th.S Lé Manh Hai Ap dụng 4ccess List vào bảo vệ mạng trường ĐHKTCN

no access-list access-list-number

Để bỏ qua access-list 110, ta str dung lénh sau:

R(config)# no access-list 110 permit tcp 172.16.0.0 0.0.0.255 172.16.4.0

0.0.0.255 eq 80

Chú ý:

+ Đối với Standard và Extended ACL, khi xóa ACL sẽ xóa toàn bộ các câu lệnh bên trong nó

+ Đối với Named ACL ta có thể xóa linh động hơn, tức là có thể can

thiệp vào từng dòng lệnh bên trong nó

2.3.1.6 Cach xem access-list:

Để xem các câu lệnh trong một ACL, ta dùng cú pháp sau:

Tường lửa là một khái niệm mới xuất hiện từ khi mạng máy tính ra đời, đó

là phương pháp bảo vệ mạng khỏi sự xâm nhập của những kẻ lạ Tường lửa thực chất là một trạm kiểm soát, bao gồm một bộ định tuyến độc lập, một hay nhiều bộ lọc, mỗi bộ lọc có một chức năng lọc riêng, có khả năng phát hiện và ngăn cản những khối thông tin không mong muốn đi qua, chẳng hạn như virus, truy cập bất hợp pháp, thư rác

Trang 39

Bức tường lửa được sử dụng rộng rãi cho phép người sử dụng truy nhập Internet an toàn Tường lửa thường được sử dụng để phân cách mạng nội bộ hay mạng riêng với một mạng chung khác, ví dụ Internet cũng như có thể tách một server Web công cộng của một công ty khỏi mạng nội bộ

Bức tường lửa cũng được sử dụng để đảm bảo an ninh cho các phần mạng nội bộ Ví dụ, trong một doanh nghiệp mạng kế toán thường dễ bị tấn công

Trên thực tế, nhiều bức tường lửa có những thiết lập mặc định không đảm bảo

được tính an ninh nếu đội ngũ nhân viên có trình độ không triển khai các biện pháp cụ thể

Các bức tường lửa được lắp đặt để bảo vệ tổng thể các mạng thường được triển khai băng phần cứng còn các bức tường lửa phần mềm là để bảo vệ các trạm làm việc riêng rẽ khỏi bị tấn công Có một số loại bức tường lửa Loại đơn giản là chặn các đòi hỏi xuất hiện từ tên miền và các địa chỉ giao thirc Internet (IP) Đối với người sử dụng di động, bức tường lửa cho phép truy nhập mạng

cá nhân từ xa bằng cách sử dụng các thủ tục truy nhập an ninh và các chứng nhận nhận thực

Phân loại bức tường lửa

Theo cấu trúc: Tường lửa phần cứng và tường lửa phần mềm

Theo chức năng: chia làm bỗn loại cụ thê: các bức tường lửa lọc gói, các công kênh, mức ứng dụng và kiểm duyệt đa lớp tĩnh

Các bức tường lửa lọc gói vận hành trên mạng theo mô hình OSI, hoặc ở lớp IP của TCP/IP Chúng là một phần của bức tường lửa định tuyến Trong một bức tường lửa lọc gói, mỗi gói sẽ được so sánh với một bộ tiêu chuẩn trước khi được chuyển tiếp Trên cơ sở gói và tiêu chuẩn, bức tường lửa có thể làm rớt gói, chuyền tiếp nó hoặc gửi một thông báo đến người nhận Các thủ tục có thể bao gồm các địa chỉ IP nguồn và đích, số và giao thức cổng nguồn và đích được sử dụng ưu điểm của các bức tường lửa lọc gói này là chi phí thấp và ít ảnh hưởng đến hiệu năng của mạng Phần lớn các bộ lọc hỗ trợ lọc gói Thậm chí nêu sử dụng các bức tường lửa khác, thì triển khai lọc gói tại mức bộ định

Trang 40

tuyến có thể đảm bảo được mức an ninh ban đầu tại lớp mạng thấp Tuy nhiên, bức tường lửa loại này chỉ có thể vận hành tại lớp mạng và không hỗ trợ các

mô hình thủ tục phức tạp Loại tưởng lửa cổng kênh vận hành tại lớp phiên của mô hình OSI, hoặc lớp TCP của TCP/IP Bức tường lửa loại này có thể giám sát kết nối kiểu bắt tay

TCP giữa các gói để quyết định phiên yêu cầu nào là phù hợp Thông tin được

chuyền tới một máy tính ở xa nhờ một cổng mức kênh Điều này rất hữu ích để che dấu những thông tin về mạng cá nhân mà họ cần bảo vệ, nhưng loại tường lửa này không lọc được các gói cá nhân

Các tường lửa cổng mức ứng dụng cũng được gọi là các proxy giống như các cổng mức kênh nhưng không liên quan đến ứng dụng Loại tường lửa này

có thể lọc được các gói ở lớp ứng dụng của mô hình OSI Các gói vào và ra không thể truy nhập các dịch vụ không có proxy Bởi vì chúng có thể kiểm tra các gói tại lớp ứng dụng, các công mức ứng dụng có thể lọc các lệnh ứng dụng như http: post và get Hơn nữa, các cổng mức ứng dụng có thể được sử dụng

để ghi lại các hoạt động của người sử dụng và đăng nhập

Các bức tường lửa kiểm tra đa lớp tĩnh kết hợp các khía cạnh của cả ba loại bức tường lửa kia Loại tường lửa này có thể lọc các gói ở lớp mạng, quyết định các gói phiên nào là phù hợp và đánh giá nội dung các gói tại lớp ứng dụng Loại bức tường lửa này cho phép kết nối trực tiếp giữa khách và chủ, hạn chế lỗi do sự thiếu sự trong suốt trong các công ứng dụng Bức tường lửa loại nay phụ thuộc vào các thuật toán nhận dạng và xử lý các dữ liệu lớp ứng dụng thay cho việc các proxy ứng dụng

Định dạng
Số trang	80
Dung lượng	4,23 MB