Trình bày khái niệm, đặc điểm, phân loại, cơ chế hoạt động và cách phòng chống đối với tấn công từ chối dịch vụ (DOS) TRƯỜNG ĐẠI HỌC THƯƠNG MẠI HỌC PHẦN AN TOÀN VÀ BẢO MẬT THÔNG TIN ———— BÀI THẢO LUẬN Đề tài Trình bày khái niệm, đặc điểm, phân loại, cơ chế hoạt động và cách phòng chống đối với tấn công từ chối dịch v.
TRƯỜNG ĐẠI HỌC THƯƠNG MẠI HỌC PHẦN AN TOÀN VÀ BẢO MẬT THÔNG TIN ———— BÀI THẢO LUẬN Đề tài Trình bày khái niệm, đặc điểm, phân loại, chế hoạt động cách phịng chống cơng từ chối dịch vụ (DOS) Giáo viên hướng dẫn: Nguyễn Thị Hội Lớp học phần: 2056eCIT0921 Nhóm: 01 Hà Nội - 2020 BẢNG ĐIỂM THÀNH VIÊN NHÓM ST T Họ tên MSV Nhiệm vụ 18D140196 Thuyết trình Điểm Nguyễn Thục Hiền Đinh Hoàng Anh (NT) 18D140001 Word, powerpoint Đoàn Thị Thùy Linh 18D140206 Nguyễn Thị Thắm 18D140103 Cách phòng chống A Trần Thị Thu Hằng 18D140014 Cơ chế hoạt động A Khái niệm, đặc điểm, phân loại A A A CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập – Tự – Hạnh phúc BIÊN BẢN HỌP NHÓM Lớp HP: 2056eCIT0921 Mơn học: An tồn bảo mật thơng tin Nhóm 20 - Địa điểm: Phòng V203 Thời gian: 9h30 ngày 24 tháng 09 năm 2020 Mục tiêu: Phân công nhiệm vụ Nội dung cơng việc: • Nhóm trưởng Đinh Hồng Anh thơng báo đề tài nhóm • Các thành viên nhóm đưa phân tích đề tài • Lập dàn ý cho thảo luận • Nhóm trưởng phân chia nhiệm vụ cho thành viên sau: - Thuyết trình: Nguyễn Thục Hiền - Bản mềm Word Power Point: Đinh Hoàng Anh - Nội dung Khái niệm, đặc điểm, phân loại: Đoàn Thị Thùy Linh Cơ chế hoạt động: Trần Thị Thu Hằng Cách phòng tránh: Nguyễn Thị Thắm Buổi họp kết thúc vào lúc 10h ngày Hà Nội, ngày 24 tháng 09 năm 2020 Nhóm trưởng Đinh Hoàng Anh MỤC LỤC A Mở đầu Trong thời đại công nghệ thông tin nay, mà internet trở nên thân quen dần trở thành công cụ khơng thể thiếu sống lợi ích website quan nhà nước nói chung, người dân doanh nghiệp vô lớn Bên cạnh đó, hình thức phá hoại mạng trở nên tinh vi phức tạp Nếu ngày website bạn nhiên truy cập nhận có lượng traffic cực khủng xảy website bạn, dấu hiệu bạn trở thành đối tượng bị công DOS Hiện tượng công DOS lên server website vấn đề vô nghiêm trọng Cuộc công DoS diễn vào năm 1996 hãng Panix nạn nhân Panix, nhà cung cấp dịch vụ internet lâu đời nhất, bị công SYN, kỹ thuật cơng DoS cổ điển Từ tới nay, vô số công DoS, DoS diễn với quy mô ngày lớn Gần nhất, Amazon Web Services (AWS), dịch vụ điện toán đám mây lớn giới tại, bị công DoS vào tháng 02/2020 Đây công DoS nghiêm trọng lịch sử nhắm vào khách hàng AWS Dựa vào kỹ thuật CLDAP, kẻ công khuếch đại lượng liệu gửi tới địa IP nạn nhân lên từ 56 tới 70 lần Cuộc công kéo dài ngày lúc đỉnh điểm lưu lượng công đạt 2.3Tbps, số khủng khiếp.May mắn Amazon có biện pháp ngăn chặn để giảm thiểu thiệt hại tới mức thấp Tuy nhiên, quy mô cơng khiến khách hàng suy nghĩ lại việc chọn lựa AWS ảnh hưởng tới doanh thu Amazon sau Theo Cisco, công DoS xuất ngày nhiều Dự đốn, số vụ cơng DoS tăng gấp đôi, từ số 7,9 triệu vụ phát vào năm 2018 tới 15 triệu vụ năm 2023 Ngày nay, quy mô vụ DoS ngày tăng hacker có điều kiện tạo mạng botnet lớn chưa thấy Botnet "đội quân" thiết bị sử dụng để tạo lưu lượng truy cập phục vụ việc cơng DoS Botnet tạo cách hack thiết bị người dùng Internet phát triển, nguy bạn trở thành đối tượng công DOS cao Dựa vào trường hợp xảy ra, công ngày mở rộng quy mô lẫn mức độ thiệt hại Bên cạnh ảnh hưởng xấu đến website, cịn để lại hậu nặng nề cho doanh nghiệp kinh doanh, lợi nhuận, uy tín Do đó, cơng DOS chủ đề nhiều người dùng doanh nghiệp quan tâm Nhận thấy tính cấp thiết đề tài, sau đây, nhóm chúng em xin trình bày khái niệm, đặc điểm, phân loại, chế hoạt động cách phòng chống công từ chối dịch vụ (DOS) B Nội dung Tổng quan công từ chối dịch vụ 1.1 Khái niệm Tấn công từ chối dịch vụ kiểu công từ cá thể hay tập hợp cá thể Tấn công từ chối dịch vụ kiểu công mà người làm cho hệ thống sử dụng làm cho hệ thống chậm cách đáng kể với người dùng bình thường cách làm tải tài nguyên hệ thống Đối với hệ thống bảo mật tốt, khó thâm nhập, cơng từ chối dịch vụ hacker sử dụng cú dứt điểm để triệt hạ hệ thống Tùy phương thức thực mà DoS biết nhiều tên gọi khác nhau: cổ điển kiểu DoS (Denial of Service) công cách lợi dụng yếu giao thức TCP (Transmision Control Protocol); sau DDoS (Distributed Denial of Service) - công từ chối dịch vụ phân tán; công từ chối dịch vụ theo phương pháp phản xạ DRDoS (Distributed Reflection Denial of Service) • Mục đích đặc điểm o Mục đích: - Cố gắng chiếm băng thơng mạng làm hệ thống mạng bị ngập (flood), hệ thống mạng khơng có khả đáp ứng dịch vụ khác cho người - dùng bình thương Cố gắng làm ngắt kết nối hai máy ngăn chặn trình truy cập vào dịch vụ Cố gắng ngăn chặn người dùng cụ thể vào dịch vụ Cố gắng ngăn chặn dịch vụ khơng cho người khác có khả truy cập vào Phá hoại thay đổi thơng tin cấu hình Phá hoại tầng vật lý thiết bị mạng nguồn điện, điều hòa, o Đặc điểm: Đặc điểm công từ chối dịch vụ công không lấy thông tin hệ thống, thường gây tê liệt hệ thống không hoạt động có hỏng hóc, phá hoại thơng tin có hệ thống phục vụ khách hàng Nhưng mục tiêu cơng từ chối dịch vụ hệ thống phục vụ khách hàng nên việc ngừng hoạt động thời gian định hệ thống thường gây thiệt hại ước tính xác 1.2 Phân loại • Tấn công từ chối dịch vụ cổ điển DoS (Denial of Service) Tấn công từ chối dịch vụ cổ điển DoS (Denial of Service) phương thức xuất đầu tiên, giản đơn kiểu công từ chối dịch vụ Tấn công từ chối dịch vụ DoS (Denial of Service) tên gọi chung kiểu công làm cho hệ thống bị tải dẫn tới cung cấp dịch vụ, phải ngưng hoạt động Đây hình thức cơng phổ biến nay, khiến cho máy tính mục tiêu xử lý kịp tác vụ dẫn đến tải Nguyên nhân hàng loạt khách gửi yêu cầu đến máy chủ Khi đó, máy chủ không phản hồi nghẽn đường truyền Các công DOS thường nhắm vào máy chủ ảo (VPS) hay Web Server doanh nghiệp lớn ngân hàng, phủ trang thương mại điện tử … hacker công để “bỏ ghét” Tấn công DOS thường công từ địa điểm nhất, tức xuất phát điểm có dải IP thơi Bạn phát ngăn chặn DoS khơng có khả truy cập vào liệu thực hệ thống làm gián đoạn dịch vị mà hệ thống cung cấp • Tấn cơng từ chối dịch vụ phân tán DDoS (Distributed Denial of Service) Tấn công từ chối dịch vụ phân tán DDoS (Distributed Denial of Service) dạng công nhằm gây cạn kiện tài nguyên hệ thống máy chủ làm ngập lưu lượng băng thông Internet, khiến truy cập từ người dùng tới máy chủ bị ngắt quãng, truy cập chập chờn, chí khơng thể truy cập internet, làm tê liệt hệ thống Hoặc chí hệ thống mạng nội Kẻ cơng tìm cách chiếm dụng điều khiển nhiều máy tính mạng máy tính trung gian Từ nhiều nơi đồng loạt ạt gói tin với số lượng lớn Mục đích chiếm dụng tài nguyên, làm tải đường truyền mục tiêu xác định Tấn cơng DDOS mạnh DOS nhiều, điểm mạnh hình thức phân tán từ nhiều dải IP khác nhau, người bị cơng khó phát để ngăn chặn Hacker khơng sử dụng máy tính họ để thực công vào trang web hay hệ thống mạng đó, mà họ cịn lợi dùng hàng triệu máy tính khác để thực việc • Tấn cơng từ chối dịch vụ theo phương pháp phản xạ DRDoS (Distributed Reflection Denial of Service) Tấn công từ chối dịch vụ theo phương pháp phản xạ DRDoS (Distributed Reflection Denial of Service) phối hợp hai kiểu DoS DDoS Xuất vào đầu năm 2002, kiểu công nhất, mạnh họ DoS Mục tiêu DRDoS chiếm đoạt tồn băng thơng máy chủ, tức làm tắc nghẽn hoàn toàn đường kết nối từ máy chủ vào xương sống Internet tiêu hao tài nguyên máy chủ Đây có lẽ kiểu cơng lợi hại làm boot máy tính đối phương nhanh gọn Cách làm tương tự DDos thay cơng nhiều máy tính người cơng cần dùng máy công thông qua server lớn giới Vẫn với phương pháp giả mạo địa IP victim , kẻ công gởi gói tin đến server mạnh nhất, nhanh có đường truyền rộng Yahoo,v.v… , server phản hồi gói tin đến địa victim Việc lúc nhận nhiều gói tin thơng qua server lớn nhanh chóng làm nghẽn đường truyền máy tính nạn nhân làm crash , reboot máy tính Cách công lợi hại chỗ cần máy có kết nối Internet đơn giản với đường truyền bình thường đánh bật hệ thống có đường truyền tốt giới ta không kịp ngăn chặn Cơ chế hoạt đông 2.1 Tấn công thông qua kết nối - SYN Flood Attack - Được xem kiểu công DoS kinh điển Lợi dụng sơ hở thủ tục TCP “bắt tay ba chiều”, client (máy khách) muốn thực kết nối (connection) với server (máy chủ) thực việc bắt tay ba lần (three – ways handshake) thông qua gói tin (packet) Bước 1: Client (máy khách) gửi gói tin (packet chứa SYN=1) đến máy chủ để yêu cầu kết nối Bước 2: Khi nhận gói tin này, server gửi lại gói tin SYN/ACK để thơng báo cho client biết nhận yêu cầu kết nối chuẩn bị tài nguyên cho việc yêu cầu Server giành phần tài nguyên hệ thống nhớ đệm (cache) để nhận truyền liệu Ngồi ra, thơng tin khác client địa IP cổng (port) ghi nhận Bước 3: Cuối cùng, client hoàn tất việc bắt tay ba lần cách hồi âm lại gói tin chứa ACK cho server tiến hành kết nối - Do TCP thủ tục tin cậy việc giao nhận (end – to - end) nên lần bắt tay thứ hai, server gửi gói tin SYN/ACK trả lời lại client mà không nhận lại hồi âm client để thực kết nối bảo lưu nguồn tài ngun chuẩn bị kết nối lập lại việc gửi gói tin SYN/ACK cho client đến nhận hồi đáp - máy client Điểm mấu chốt làm cho client không hồi đáp cho Server Và có hàng nhiều, nhiều client server “ngây thơ” lặp lại việc gửi packet giành tài nguyên để chờ “người về” lúc tài nguyên hệ thống có giới hạn! Các hacker cơng tìm cách để đạt đến giới hạn 10 - Nếu q trình kéo dài, server nhanh chóng trở nên q tải, dẫn đến tình trạng crash (treo) nên yêu cầu hợp lệ bị từ chối khơng thể đáp ứng Có thể hình dung trình giống hư máy tính cá nhân (PC) hay bị “treo” mở - lúc nhiều chương trình lúc Thơng thường, để giả địa IP gói tin, hacker dùng Raw Sockets (khơng phải gói tin TCP hay UDP) để làm giả mạo hay ghi đè giả lên IP gốc gói tin Khi gói tin SYN với IP giả mạo gửi đến server, bao gói tin khác, hợp lệ server server cấp vùng tài nguyên cho đường truyền này, đồng thời ghi nhận toàn thơng tin gửi gói SYN/ACK ngược lại cho Client Vì địa IP client giả mạo nên khơng có client nhận SYN/ACK packet để hồi đáp cho máy chủ Sau thời gian khơng nhận gói tin ACK từ client, server nghĩ gói tin bị thất lạc nên lại tiếp tục gửi tiếp SYN/ACK, thế, kết nối (connections) tiếp tục mở - Nếu kẻ công tiếp tục gửi nhiều gói tin SYN đến server cuối server tiếp nhận thêm kết nối nữa, dù yêu cầu kết nối hợp lệ Việc phục đồng nghĩa với việc máy chủ không tồn Việc 11 đồng nghĩa với xảy nhiều tổn thất ngưng trệ hoạt động, đặc biệt giao - dịch thương mại điện tử trực tuyến Đây kiểu công đường truyền cao, cần máy tính nối internet qua ngã dial-up đơn giản cơng kiểu (tất nhiên lâu chút) 2.2 Lợi dụng tài nguyên nạn nhân để công - Land Attack - Tương tự SYN flood Nhưng hacker sử dụng IP mục tiêu cần cơng để dùng làm địa IP - nguồn gói tin Đẩy mục tiêu vào vịng lặp vơ tận cố gắng thiết lập kết nối với - UDP flood Hacker gửi gói tin UDP echo với địa IP nguồn cổng loopback mục tiêu cần cơng máy tính mạng - Với mục tiêu sử dụng cổng UDP echo (port 7) để thiết lập việc gửi nhận gói tin echo máy tính (hoặc mục tiêu với mục tiêu có cấu hình cổng loopback), khiến cho máy tính sử dụng hết băng thông chúng, cản trở hoạt động chia sẻ tài nguyên mạng máy tính khác mạng 2.3 Sử dụng Băng Thông DDoS (Distributed Denial of Service) - Xuất vào mùa thu 1999, so với công DoS cổ điển, sức mạnh DDoS cao gấp nhiều lần Hầu hết công DDoS nhằm vào việc chiếm dụng băng 12 thông (bandwidth) gây nghẽn mạch hệ thống dẫn đến hệ thống ngưng hoạt động Để thực kẻ cơng tìm cách chiếm dụng điều khiển nhiều máy tính/mạng máy tính trung gian (đóng vai trị zombie) từ nhiều nơi để đồng loạt gửi ạt gói tin (packet) với số lượng lớn nhằm chiếm dụng tài nguyên làm tràn ngập đường truyền mục tiêu xác định - Theo cách dù băng thơng có khơng thể chịu đựng số lượng hàng triệu gói tin nên hệ thống khơng thể hoạt động dẫn đến việc yêu cầu hợp lệ khác đáp ứng, server bị “đá văng” khỏi internet - Nói nơm na giống tình trạng kẹt xe vào cao điểm Ví dụ rõ “cộng hưởng” lần truy cập điểm thi đại học vừa qua có q nhiều máy tính 13 yêu cầu truy cập lúc làm dung lượng đường truyền máy chủ không - tài đáp ứng Hiện nay, xuất dạng virus/worm có khả thực cơng DDoS.Khi bị lây nhiễm vào máy khác, chúng tự động gửi yêu cầu phục vụ đến mục tiêu xác định vào thời điểm xác định để chiếm dụng băng thông tài nguyên hệ thống máy chủ Trường hợp MyDoom ví dụ tiêu biểu cho kiểu 2.4 Sử dụng tài nguyên khác Smurf Attack - Kiểu công cần hệ thống quan trọng mạng khuyếch đại - Hacker dùng địa máy tính cần cơng để gửi gói tin ICMP echo cho tồn mạng (broadcast) 14 - Các máy tính mạng đồng loạt gửi gói tin ICMP reply cho máy tính mà hacker muốn cơng - Kết máy tính xử lý kịp thời lượng lớn thông tin dẫn tới bị treo máy Tear Drop - Trong mạng chuyển mạch gói, liệu chia thành nhiều gói tin nhỏ, gói tin có giá trị offset riêng truyền theo nhiều đường khác để tới đích Tại đích, nhờ vào giá trị offset gói tin mà liệu lại kết - hợp lại ban đầu Lợi dụng điều này, hacker tạo nhiều gói tin có giá trị offset trùng lặp - gửi đến mục tiêu muốn công Kết máy tính đích khơng thể xếp gói tin dẫn tới bị treo máy bị “vắt kiệt” khả xử lý Phá hoại chỉnh sửa thơng tin cấu hình - Lợi dụng việc cấu hình thiếu an tồn việc khơng xác thực thông tin việc gửi/nhận tin cập nhật (update) router… mà kẻ công thay đổi trực - tiếp từ xa thông tin quan trọng Khiến cho người dùng hợp pháp sử dụng dịch vụ Phá hoại chỉnh sửa phần cứng - Lợi dụng quyền hạn thân kẻ công thiết bị hệ thống mạng để tiếp cận phá hoại thiết bị phần cứng router, switch… Ngồi cịn có kiểu công từ chối dịch vụ phản xạ nhiều vùng DRDoS (Distributed Reflection Denial of Service) - Xuất vào đầu năm 2002, kiểu công nhất, mạnh họ DoS Nếu thực kẻ cơng có tay nghề hạ gục hệ - thống giới phút chốc Mục tiêu DDDoS chiếm đoạt tồn băng thơng máy chủ, tức làm tắc nghẽn hoàn toàn đường kết nối từ máy chủ vào xương sống Internet tiêu hao tài nguyên máy chủ Trong suốt trình máy chủ bị công DrDoS, không máy khách kết nối vào máy chủ Tất - dịch vụ chạy TCP/IP DNS, HTTP, FTP, POP3, … bị vơ hiệu hóa Về bản, DRDoS phối hợp hai kiểu DoS DDoS Nó có kiểu cơng SYN với máy tính đơn, vừa có kết hợp nhiều máy tính để chiếm dụng băng thơng kiểu DDoS Kẻ công thực cách giả mạo địa 15 server mục tiêu gửi yêu cầu SYN đến server lớn Yahoo, Micorosoft,… chẳng hạn để server gửi gói tin SYN/ACK đến server mục tiêu Các server lớn, đường truyền mạnh vơ tình đóng vai trị zoombies cho kẻ cơng DDoS Q trình gửi lặp lại liên tục với nhiều địa IP giả từ kẻ công, với nhiều server lớn tham gia nên server mục tiêu nhanh chóng bị tải, bandwidth bị chiếm dụng server lớn Tính “nghệ thuật” chỗ cần với máy tính với modem 56kbps, hacker lành nghề đánh bại máy chủ giây lát mà không cần chiếm đoạt máy để làm phương tiện thực cơng Cách phịng chống 3.1 Phịng ngừa ngăn chặn cống DOS Phòng ngừa điểm yếu ứng dụng (Application Vulnerabilities) Các điểm yếu tầng ứng dụng bị khai thác gây lỗi tràn đệm dẫn đến dịch vụ bị chấm đứt Lỗi chủ yếu tìm thấy ứng dụng mạng nội Windows, chương trình webserver, DNS, hay SQL database Cập nhật vá (patching) yêu cầu quan trọng cho việc phòng ngừa Trong thời 16 gian chưa thể cập nhật toàn mạng, hệ thống phải bảo vệ vá ảo (virtual patch) Ngoài ra, hệ thống cần đặc biệt xem xét yêu cầu trao đổi nội dung client server, nhằm tránh cho server chịu cơng qua thành phần gián tiếp (ví dụ SQL injection) Phòng ngừa việc tuyển mộ zombie Zombie đối tượng lợi dụng trở thành thành phần phát sinh cơng Một số trường hợp điển thông qua rootkit (Sony hay Symantec), hay thành phần hoạt động đính kèm mail, trang web, ví dụ sử dụng file jpeg khai thác lỗi phần mềm xử lý ảnh, đoạn mã đính kèm theo file flash, trojan cài đặt theo phishing, hay thông qua việc lây lan worm (Netsky, MyDoom, Sophos) Để phịng chống, hệ thống mạng cần có công cụ theo dõi lọc bỏ nội dung (content filtering) nhằm ngăn ngừa việc tuyển mộ zombie hacker Ngăn ngừa kênh phát động công sử dụng công cụ Có nhiều cơng cụ tự động công DoS, chủ yếu công phân tán DDoS TFN, TFN2000 (Tribe Flood Network) công dựa nguyên lý Smurf, UDP, SYN, hay ICMP; Trinoo cho UDP flood; Stacheldraht cho TCP ACK, TCP NULL, HAVOC, DNS flood, tràn ngập TCP với packets headers ngẫu nhiên Các cơng cụ có đặc điểm cần phải có kênh phát động để zombie thực công tới đích cụ thể Hệ thống cần phải có giám sát ngăn ngừa kênh phát động Ngăn chặn công băng thông Khi cơng DDoS phát động, thường phát dựa thay đổi đáng kể thành phần lưu lượng hệ thống mạng Ví dụ hệ thống mạng điển hình có 80% TCP 20% UDP ICMP Thống kê có thay đổi rõ rệt dấu hiệu công Slammer worm làm tăng lưu lượng UDP, Welchi worm tạo ICMP flood Việc phân tán lưu lượng gây worm gây tác hại lên router, firewall, sở hạ tầng mạng Hệ thống cần có cơng cụ giám sát điều phối băng thông nhằm giảm thiểu tác hại công dạng Ngăn chặn công qua SYN 17 SYN flood cơng cổ cịn tồn đến tại, dù tác hại khơng giảm Điểm để phịng ngừa việc cơng khả kiểm soát số lượng yêu cầu SYN-ACK tới hệ thống mạng Phát ngăn chặn công tới hạn số kết nối Bản thân server có số lượng tới hạn đáp ứng kết nối tới Ngay thân firewall (đặc biệt với firewall có tính stateful inspection), kết nối ln gắn liền với bảng trạng thái có giới hạn dung lượng Đa phần công sinh số lượng kết nối ảo thông qua việc giả mạo Để phịng ngừa cơng dạng này, hệ thống cần phân tích chống spoofing Giới hạn số lượng kết nối từ nguồn cụ thể tới server (quota) Phát ngăn chặn công tới hạn tốc độ thiết lập kết nối Một điểm server thường bị lợi dụng khả đệm giới hạn giành cho tốc độ thiết lập kết nối, dẫn đến tải phải chịu thay đổi đột ngột số lượng sinh kết nối Ở việc áp dụng lọc để giới hạn số lượng kết nối trung bình quan trọng Một lọc xác định ngưỡng tốc độ kết nối cho đối tượng mạng Thông thường, việc số lượng kết nối thời gian định phép dao động lưu lượng 3.2 Cách phịng chống tổng qt Nhìn chung, cơng từ chối dịch vụ khơng q khó thực hiện, khó phịng chống tính bất ngờ thường phòng chống bị động việc Việc đối phó cách tăng cường “phần cứng” giải pháp tốt, thường xuyên theo dõi để phát ngăn chặn kịp thời gói tin IP từ nguồn không tin cậy hữu hiệu Mơ hình hệ thống cần phải xây dựng hợp lý, tránh phụ thuộc lẫn mức Bởi phận gặp cố làm ảnh hưởng tới toàn hệ thống Thiết lập mật mạnh (strong password) để bảo vệ thiết bị mạng nguồn tài nguyên quan trọng khác 18 Thiết lập mức xác thực người sử dụng nguồn tin mạng Đặc biệt, nên thiết lập chế độ xác thực cập nhật thông tin định tuyến router Xây dựng hệ thống lọc thông tin router, firewall… hệ thống bảo vệ chống lại SYN flood Chỉ kích hoạt dịch vụ cần thiết, tạm thời vơ hiệu hố dừng dịch vụ chưa có yêu cầu không sử dụng Xây dựng hệ thống định mức, giới hạn cho người sử dụng, nhằm mục đích ngăn ngừa trường hợp người sử dụng ác ý muốn lợi dụng tài ngun server để cơng server mạng server khác Liên tục cập nhật, nghiên cứu, kiểm tra để phát lỗ hổng bảo mật có biện pháp khắc phục kịp thời Sử dụng biện pháp kiểm tra hoạt động hệ thống cách liên tục để phát hành động bất bình thường Xây dựng triển khai hệ thống dự phịng Khi phát máy chủ bị cơng nhanh chóng truy tìm địa IP cấm khơng cho gửi liệu đến máy chủ Dùng tính lọc liệu router/firewall để loại bỏ packet không mong muốn, giảm lượng lưu thông mạng tải máy chủ Nếu bị công lỗi phần mềm hay thiết bị nhanh chóng cập nhật sửa lỗi cho hệ thống thay Dùng số chế, công cụ, phần mềm để chống lại TCP SYN Flooding Tắt dịch vụ khác có máy chủ để giảm tải đáp ứng tốt Nếu nâng cấp thiết bị phần cứng để nâng cao khả đáp ứng hệ thống hay sử dụng thêm máy chủ tính khác để phân chia tải 19 Tạm thời chuyển máy chủ sang địa khác 3.3 Phương thức phịng chống cơng từ chối dịch vụ Có nhiều cách thức để nhận biết phịng chống bị công từ chối dịch vụ khác Trước tiên cần vá lổ hỗng bảo mật dịch vụ hay ứng dụng chạy máy chủ để tránh bị hacker lợi dụng công từ chối dịch vụ RPC Locator service Sau số giải pháp cần quan tâm : Lọc xâm nhập mạng (Network-ingress filtering): Tất hệ thống hay thiết bị cung cấp kết nối truy cập mạng cần thực chế lọc Network-infgress filtering nhằm loại bỏ luồn liệu xuất phát từ địa giả mạo, có nguồn gốc khơng rõ ràng Điều không ngăn ngừa cơng giúp chúngta chặn đứng chúng truy tìm có hành động trái phép diễn Các thiết bị dạng Cisco IPS Source IP Reputation Filtering, Black Hole Filtering … Giới hạn tốc độ hệ thống mạng (Rate-limiting network system): Nhiều định tuyến có khả hạn chế kiểm sốt băng thơng giao thức khác nhau, kỹ thuật gọi trafic shapping Hệ thống phát dẫn (Instruction Detect System): Triển khai hệ thống dị tìm xâm phạm trái phép để phát kịp thời luồng truyền thông nguy hiểm, công hay virus / worm lan truyền mạng Sử dụng công cụ kiểm tra máy chủ (Host-auditing): Một số chương trình có khả quét tập tin hệ thống để tìm cơng cụ cơng DDoS hay chương trình botnet nguy hiểm Sử dụng cơng cụ kiểm tra mạng (Network-auditing): Chạy chương trình quét mạng để phát agent (các thành viên mạng botnet) loại bỏ chúng Sử dụng chương trình dị tìm cơng cụ DoS: Thường xun qt tìm cơng cụ DoS hệ thống với chương trình thích hợp Find_ddos, SARA, Zombi Zapper để phát xử lý kịp thời mầm mống gây nên cố từ chối dịch vụ Tắt dịch vụ không cần thiết: 20 Đóng cổng hay tắt dịch vụ không cần thiết hay hạn chế dụng chức get, strcpy … Cấu hình firewall để chặn tất tín hiệu ICMP từ bên ngồi Thường xuyên cập nhật hệ thống: Cập nhật vá lỗi cho hệ thống ứng dụng liên quan Sử dụng hệ thống bảo vệ DdoS: Chuyên dụng IntelliGuard DDoS Protection System (DPS) hay chương trình phịng chống DdoS 3.4 Cách phịng chống cơng từ chối dịch vụ DDOS Phịng chống cơng DDOS theo thời điểm xử lý công Thời điểm trước xảy công: Tại bước thực cơng việc phịng vệ, ngăn chặn cơng xảy Các bước thực là: Rào sách bảo mật chặt chẽ Cập nhật hệ thống vá lỗ hổng thường xuyên Có hệ thống theo dõi realtime bất thường xảy hệ thống cảnh báo có cố Thời điểm bị công: Các công việc bước phát hiện, nhận dạng ngăn chặn công nhanh tốt để dịch vụ hoạt động Trong nhóm có Tường lửa hệ thống IDS/IPS Thời điểm sau xảy công: Đây bước thực sau công xảy ra, bao gồm lần dấu vết truy tìm nguồn gốc cơng Cần truy tìm theo log ghi nhận để phân tích ngăn chặn cơng tiềm ẩn xảy tới Phịng chống cơng DDOS theo vị trí triển khai: Triển khai gần “mạng nguồn” công: Đây phương pháp triển khai nhằm cách ly mạng BootNet tham gia công DOS, biện pháp bao gồm: Lọc gói tin giải mạo Router/Switch/Gateway/Modem 21 Sử dụng tường lửa proxy nhận dạng giới hạn gói tin khơng hợp lệ Triển khai gần “mạng đích” công: Phương pháp thực Router/Swtich/gateway/Modem, gần mạng đích máy tính bị cơng, biện pháp bao gồm: Nhận diện IP yêu cầu giả mạo Tiếp tục lọc đánh dấu gói tin hợp lệ hay khơng hợp lệ để hệ thống bị cơng nhận diện gói tin hợp lệ gói tin công Các kỹ thuật thực bước gồm: Lọc IP theo history log, lọc IP theo kết nối đồng thời, tỷ lệ gói tin truyền qua theo địa IP Triển khai đích cơng Tương tự vị trí thực Router/Swtich/gateway/Modem triển khai máy chủ (máy bị công) Các biện pháp bao gồm: lọc gói tin phát gói tin độc hại Phịng chống cơng DDOS theo giao thức mạng Các biện pháp phòng chống công DDoS chia nhỏ theo tầng mạng: IP, TCP ứng dụng Phịng chống cơng DDoS tầng IP, bao gồm: Pushback: Là chế phòng chống công DDoS tầng IP cho phép định tuyến yêu cầu định tuyến liền kề phía trước giảm tần suất truyền gói tin SIP defender: Một kiến trúc an ninh mở cho phép giám sát luồng gói tin máy chủ SIP người dùng proxy bên ngồi với mục đích phát ngăn chặn công vào máy chủ SIP Các phương pháp dựa ô đố chữ: Gồm phương pháp dựa ô đố chữ mật mã để chống lại cơng DDoS mức IP Phịng chống cơng DDOS tầng TCP: Lọc gói tin dựa theo địa IP, theo sách thiết lập sẵn 22 Tăng Backlogs size để tăng khả chấp nhận kết nối hệ thống máy đích Giảm thời gian chờ nhận gói tin xác thực kết nối TCP-ACK, giúp máy chủ hủy bỏ kết nối không xác thực khoảng thời gian ngắn, điều giúp giải phóng lượng tài nguyên bị chiếm kết nối ko tin cậy SYN Flood dạng công từ chối dịch vụ dựa theo giao thức TCP thường gặp, để chặn hiệu dùng cách sử dụng SYN Cookies với mục đích cấp tài nguyên cho u cầu hợp lệ Phịng chống cơng DDOS tầng ứng dụng Giới hạn tối thiểu hành vi truy cập trang để phịng chống cơng gây ngập lụt HTTP, ví dụ giới hạn kết nối đồng thời truy cập từ IP hay giới hạn tỷ lệ kết nối không 100 request phút Nếu ngưỡng truy cập bị block Sử dụng phương pháp thống kê để phát công DDoS mức HTTP Giám sát hành vi người dùng phiên làm việc để phát cơng 3.5 Một số cơng cụ kỹ thuật phịng chống công từ chối dịch vụ Dos/DDos Tùy khả đầu tư, cổng/trang TTĐT trang bị giải pháp sử dụng dịch vụ chống DOS/DDOS với công cụ kỹ thuật sau: Sử dụng hệ thống thiết bị, phần mềm dịch vụ giám sát an toàn mạng (đặc biệt lưu lượng) để phát sớm công từ chối dịch vụ Sử dụng thiết bị bảo vệ mạng có dịch vụ chống cơng DOS chun nghiệp kèm theo, ví dụ như: Arbor, Checkpoint, Imperva, Perimeter,… C Kết luận Tấn công DoS dạng công gây tác động lớn đến hệ thống, thấy việc thực hành vi xấu thông qua công DoS ngày dễ dàng thực thông qua việc thuê dịch vụ từ bên thứ ba Các dịch vụ cung cấp cơng có hệ thống botnet ngày phức tạp, quy mô ngày lớn Trong thời đại công nghệ thông tin nay, mà internet trở nên thân quen dần trở thành công cụ thiếu sống lợi ích 23 website quan nhà nước nói chung, người dân doanh nghiệp vơ lớn Bên cạnh đó, hình thức phá hoại mạng trở nên tinh vi phức tạp Do hệ thống, nhiệm vụ bảo mật đặt cho người quản trị mạng quan trọng cần thiết Nghiên cứu vấn đề DOS nghiên cứu động, liên tục Kẻ cơng ln tìm cách đổi hình thức kỹ thuật để đối phương bất ngờ, khơng kịp đối phó Trong khi, kỹ thuật phịng chống, chưa có giải pháp thật hữu hiệu Bài tốn phịng chống tốn khó khơng tổ chức sử dụng Internet mà quốc gia, tập đồn lớn, đặc biệt DOS có nguy ngày phổ biến, trở thành loại “vũ khí” đe dọa an ninh, kinh tế quốc gia 24 TÀI LIỆU THAM KHẢO Slide giảng An tồn bảo mật thơng tin – Trường Đại học Thương mại “Tấn công từ chối dịch vụ” – Từ điển bách khoa Wikipedia Luận văn đề tài: Firewall – Tấn công từ chối dịch vụ (Học viện kỹ thuật mật mã) 25 ... chống cơng từ chối dịch vụ (DOS) B Nội dung Tổng quan công từ chối dịch vụ 1.1 Khái niệm Tấn công từ chối dịch vụ kiểu công từ cá thể hay tập hợp cá thể Tấn công từ chối dịch vụ kiểu công mà người... Service) Tấn công từ chối dịch vụ cổ điển DoS (Denial of Service) phương thức xuất đầu tiên, giản đơn kiểu công từ chối dịch vụ Tấn công từ chối dịch vụ DoS (Denial of Service) tên gọi chung kiểu công. .. khả truy cập vào liệu thực hệ thống làm gián đoạn dịch vị mà hệ thống cung cấp • Tấn cơng từ chối dịch vụ phân tán DDoS (Distributed Denial of Service) Tấn công từ chối dịch vụ phân tán DDoS