N G H IÊ N C Ứ U P H Ư Ơ N G P H Á P TR U Y T ÌM C H Ứ N G cứ SỚ C Ủ A cu ộc T Ấ N C Ô N G D D O S L ÊN H Ệ TH Ò N G T H Ô N G T IN N IÊ N K H Ó A 2 01 1 20 15 VIỆN ĐẠI HỌC MỚ HÀ NỘI KHOA CÔNG NGHỆ TH.
HƠ NGỌC KHÁNH NGHIÊN CỦXJ PHUONG PHÁP TRUY TÌM CHÚNG cú SĨ CỦA CUỘC TÁN CƠNG DDOS LÊN HỆ THĨNG THƠNG TIN Chun ngành: Cơng nghệ thơng tin NGHIÊN CỨU PHƯƠNG PHÁP TRUY TÌM CHỨNG SỚ CỦA c u ộ c TẤN CƠNG DDOS LÊN HỆ THỊNG THƠNG TIN NIÊN KHÓA : 2011-2015 VIỆN ĐẠI HỌC MỚ HÀ NỘI KHOA CÔNG NGHỆ THÔNG TIN ĐỐ ÁN TỐT NGHIỆP ĐẠI HỌC Hà Nội- Năm 2016 VIỆN ĐẠI HỌC MỚ HÀ NỘI KHOA CÔNG NGHỆ THÔNG TIN HÔ NGỌC KHÁNH NGHIÊN CỬU PHUONG PHÁP TRUY TÌM CHÚNG cú SĨ CỦA CUỘC TẤN CƠNG DDOS LÊN HỆ THĨNG THƠNG TIN Chun ngành: Công nghệ thông tin Giáng viên hướng dẫn: TS Đồ Xuân Chợ ĐỔ ÁN TỐT NGHIỆP ĐẠI HỌC Hà Nội- Năm 2016 LỜI GIỚI THIỆU Đồ án tốt nghiệp kết khóa học thành lao động em Đe có thề thực hoàn thành đồ án này, em nhận hướng dẫn giúp đỡ nhiệt tình cúa thầy cô bạn Khoa Công Nghệ Thông Tin - Viện Đại học Mở Hà Nội Em xin gửi lời câm ơn chân thành sâu sắc tới thay, cô Khoa, người tận tình giáng dạy truyền đạt kiến thức cần thiết, kinh nghiệm quý báu cho em suốt bốn năm học Viện Đại học Mở Hà Nội đế em có thề tự tin thực đồ án Đặc biệt, em xin cám ơn thầy Đồ Xuân Chợ, người tận tình hướng dẫn, chi báo động viên hồ trợ em suốt trình thực đề tài Trong thời gian làm đồ án thay, em học hởi kiến thức mà học khả làm việc nghiêm túc, độc lập có trách nhiệm với cơng vỉệblỉửalíậìhlVÌệri Đại học Mở Hà Nội Mặc dù, em cố gắng hoàn thiện đồ án phạm vi khả cho phép, chán không tránh khỏi thiếu sót Em xin kính mong nhận thơng cảm góp ý thầy, bạn Hà Nội, ngày 23 tháng 11 năm 2016 Sinh viên thực Hồ Ngọc Khánh MỤC LỤC NHIỆM VỤ CÚA ĐỔ ÁN TỐT NGHIỆP LỜI GIÓI THIỆU MỤC LỤC TĨM TẨT ĐỊ ÁN DANH MỤC HÌNH VÈ DANH MỤC BANG BIÊU DANH MỤC THUẬT NGỮ VIẾT TẮT Chương Tồng quan an tồn hệ thống thơng tin 1.1 Tống quan hệ thống thông tin 1.1.1 Khái niệm hệ thống thông tin 1.1.2 Đặc trưng hệ thống thộng tin 1.1.3 Vai trò hệ thơng thơng tín .' 1.1.4 Các thành phần hệ thống thông tin 1.2 Thư vien vien Đai nọc Mơ Ha Nội ■ Các nguy an tồn thơng tin 1.2.1 Các vấn đề đàm bảo an toàn hệ thống thông tin 1.2.1 Các nguy lỗ hổng 1.2.3 Các lồ hổng bào mật hệ thống thông tin 1.3 Các hình thức cơng lên hệ thống thơng tin 10 Chương 16 Tống quan công DDoS 16 2.1 Tấn công DoS 16 2.1.1 Khái niệm công DoS 16 2.1.2 Mục đích cơng DoS .16 2.1.3 Mục tiêu công DoS 17 2.1.4 Các dạng công Dos 17 2.2 Giới thiệu Bot Botnet 24 2.2.1 Khái niệm 24 2.2.2 Ý nghĩa Botnet 26 2.2.3 Xây dựng khai thác Botnet 26 2.3 Tấn công DDoS 27 2.3.1 Khái niệmDDoS 27 2.3.2 Các giai đoạn công DDoS 28 2.3.3 Kiến trúc tổng quan mạng lưới công DDoS 29 2.3.4 Phân loại công DDoS 33 2.3.5 Một số công DDoS lịch sừ 40 2.3.6 2.3.7 Các công DDos Việt Nam 42 Các cotiy c ụ h trợ công DDoS Mỉ\v.! 43 2.4 Các phương pháp phịng chổng cơng DDoS 52 2.4.1 Kỹ thuật phát phòng chống DDoS 52 2.4.2 Cơng cụ phịng chống cơng DDoS 56 Chương 60 Phương pháp truy tìm chứng số cơng DDoS 60 3.1 Tổng quan chung điều tra số 60 3.2 Các kỹ thuật điều tra chứng số DDoS 62 3.2.1 Kỹ thuật điều tra tình 62 3.2.2 Kỹ thuật điều tra động 71 Chương 76 Thực nghiệm đánh giá 76 4.1 Thực mô công DDoS quy mô nhỏ 76 4.1.1 Môi trường công cụ thực 76 4.1.2 Tiến hành mô công 77 4.2 Thực điều tra chứng số công DDoS 80 4.2.1 Điều tra bị công 80 4.2.2 Điều tra sau bị công 82 KÉT LUẬN 86 TÀI LIỆU THAM KHAO 88 Thư viện Viện Đại học Mờ Hà Nội TĨM TẮT ĐỊ ÁN Họ tên: Hồ Ngọc Khánh Chun ngành: Cơng nghệ thơng tin Khóa: 2011 - 2015 Cán hướng dẫn: TS Đỗ Xuân Chợ Tên đề tài: Nghiên cứu phương pháp truy tìm chứng số cùa công DDoS lên hệ thống thơng tin Tóm tắt: Với mong muốn tìm hiếu làm rõ phương pháp truy tìm chứng số công DDoS lên hệ thống thông tin - lĩnh vực tương đối mẽ Việt Nam, sinh viên với hướng dẫn TS Đỗ Xuân Chợ chọn đề tài đồ án tốt nghiệp với tên gọi “Nghiên cứu phương pháp truy tìm chứng số cơng DDoS lên hệ thong thông tin” Ket quà đề tài không chi cung cấp giải pháp nhằm điều tra chứng số cùa cơng DDoS nịà^cộn góp phần tạo tịền^đề v^cr ^ở lĩnh vực truy tìm dấu vết tội phạm cơng mạng cơng DDoS nói riêng DANH MỤC HÌNH VẼ Hình 1.1 Các thành phần HTTT Hình 1.2 Ngữ cảnh báo mật chung (ISO/IEC 15408, 1999) Hình 1.3 Ví dụ cân bàng yếu tố an ninh Hình 1.4 Phân loại hình thức cơng HTTT 11 Hình 2.1 Màn hình xanh báo lồi máy tính bị cơng WinNuke 18 Hình 2.2 Tấn cơng Smurf sir dụng gói tin ICMP 19 Hình 2.3 Mơ hình cơng Ping of Death 21 Hình 2.5 Sơ đồ kỹ thuật cơng SYN 23 Hình 2.6 Mơ hình cơng Land 24 Hình 2.8 Cách thức Botnet tạo gứi spam 27 Hình 2.9 Mơ hình cơng DDoS 28 Hình 2.10 Sơ đồ phân loại kiến trúc cơng DDoS .30 Hình 2.11 Kiến true mơ hình Agent ị-)HandỊer Adở.Hâ Njộĩ 30 Hình 2.12 Kiến trúc mơ hình IRC-Base 32 Hình 2.13 Sơ đồ phân loại công DDoS 33 Hình 2.14 Minh họa cơng khuyếch đại giao tiếp 36 Hình 2.15 Quy trình bắt tay ba bước 38 Hình 2.16 Quy tình gửi gói tin SYN theo cách bất thường 38 Hình 2.17 Minh họa cơng TCP SYS 39 Hình 2.18.Tấn cơng DDoS vào Yahoo.com năm 2000 41 Hình 2.19 Sơ đồ so sánh tương quan cơng cụ cơng DDoS 43 Hình 2.20 Công cụ LOIC 51 Hình 2.21 Dùng LOIC công DDoS 51 Hình 2.22 Cơng cụ DoSHTTP 52 Hình 2.23 Cơng cụ NetFlow Analyzer 57 Hình 2.24 Cơng cụ D-Guard Anti-DDoS Firewall 58 Hình 2.25 Cơng cụ FortGuard Firewall 59 Hình 3.1 Ba yếu tố trình điều tra chứng số 61 Hình 3.2 Bốn giai đoạn truy tìm chứng số 61 Hình 3.3 Cơng cụ Dumplt ghi lại nhớ RAM 64 Hình 3.4 Các tiến trình thực thi nhớ 66 Hình 3.5 Các tập tin mở Registry Handles 67 Hình 3.6 Các kết nối mạng có hệ thống 67 Hình 3.7 Mật mã hóa 68 Hình 3.8 Phân tích mã độc 69 Hình 3.9 Mơ tá công cụ Mandiant Readline 71 Hình 3.10 SANS Investigate Forensic Toolkit 71 Hình 3.11 Mơ tả cơng cụ Microsoft Network Monitor 74 Hình 3.12 Mô tả công cụ Wireshark 75 Hình 4.1 Giao di^í^ệíjaựfgftaĩỹựị.frọc Mở.Hà.Nội 79 Hình 4.2 Web Server hoạt động bình thường 79 Hình 4.3 Web Server bị công DDos 80 Hình 4.4 Sừ dụng WireShark để bắt gói gửi/nhận Web Server 81 Hình 4.5 Tiến trình đáng ngờ máy zoombie 82 Hình 4.6 Tạo file dump cho tiến trình đáng ngờ 83 Hình 4.7 Đọc file dump tiến trình đáng ngờ 84 DANH MỤC BẢNG BIẾU Bảng 2.1 Các tập lệnh Handler 47 Bảng 2.2 Các tập lệnh Agent 48 Thư viện Viện Đại học Mờ Hà Nội 74 Hình 3.11 Mơ tà cơng cụ Microsoft Network Monitor • Wireshark Wireshark trình phân tích giao thức mạng tốt the giới, nhân to chuan nhiêu tô chức giáo dục công nghiệp Wireshark dùng chuyên gia mạng khắp giới đế giải phân tích phát triển phần mềm giao thức Nó có tất tính tiêu chuẩn mà bạn mong muốn trình phân tích giao thức vài tính khơng có sản phẩm khác Nó chạy tất hệ điều hành phô biến nhất, bao gồm Unix Linux, Windows 75 Hình 3.12 Mơ tả cơng cụ Wireshark Thư viên Viên Đai hoc Mở Hà Nôi 76 Chương Thực nghiệm đánh giá 4.1 Thực mơ phịng công DDoS quy mô nhỏ Trong thực tế, công DDOS thường xãy theo quy mô lớn, sở hữu số lượng Botnet khống lồ lên tới hàng ngàn thiết bị, mục tiêu tân cơng đến tố chức trị, doanh nghiệp lớn hay phủ nên diễn phức tạp khó khăn đế phân tích có q nhiều dừ liệu Tuy nhiên, khn khố nhị đồ án mơ phịng lại q trình cơng cơng DDOS đơn giản để qua cho thấy nhìn tống qt quy trình cơng DDOS thông thường 4.1.1 > Môi trường công cụ thực Ba máy ảo Window chương trình Vmwarc > Cõngeụ.áltâoYKllnBă' h9C Mơ Hà NĨ' > Cơng cụ XAMPP > Cơng cụ bắt gói tin qua mạng Wireshark • phần mem Vmware Máy ảo chương trình đóng vai trị máy vi tính ảo Nó chạy hệ điều hành tại( hệ điều hành chú) cung cấp phần cứng ảo tới hệ điều hành khách Vnware phần mềm ảo hóa máy tính mạnh mẽ dành cho nhà phát triến, kiếm tra phần mềm chuyên gia công nghệ thông tin can chạy nhiều hệ điều hành lúc máy tính Chức Vmware: - Giúp máy tính có thê chạy song song nhiều hệ điều hành - Giúp khai thác tối đa cơng suất máy tính 77 - Tăng tính linh hoạt nâng cấp phần cứng ( giảm thời gian- tiền bạccông sức) - Ta lựa chọn Window đê trièn khai máy ảo tính phơ biến tính dề tương thích chương trình Ta cần đến ba máy ảo yêu cầu bắt buộc đẻ thực mơ phóng tan cơng DDOS Ba máy đóng vai trị : máy điều khiến Botnet, máy bị nhiễm Botnet, máy chù web bị cơng • Cơng cụ DDoS Tsunami Là cơng cụ hỗ trợ cơng DDoS • Xampp Xampp chương trình tạo máy chủ Web (Web Server) tích hợp sẵn Apache, PHP, MySQL, FTP Server, Mail Server công cụ phpMyAdmin Không Appserv, Xampp có chương trình qn lý tiện lợi, cho phép chủ động bật tắỊ khới động lại dịqh vụ máy chù lúc • Wireshark Wireshark trình phân tích giao thức mạng tốt giới, nhân tố chuẩn cùa nhiều tổ chức giáo dục công nghiệp Wireshark dùng bời chuyên gia mạng khắp the giới đe giái phân tích phát triển phan mềm giao thức Nó có tất cà tính tiêu chuẩn mà bạn mong muốn trình phân tích giao thức vài tính khơng có sản phẩm khác Nó chạy tất cà hệ diều hành biến nhất, bao gồm Unix Linux, Windows 4.1.2 Tiến hành mô công A Chuẩn bị Các máy công, máy nạn nhân Botnet cài đặt môi trường máy áo VMware Cụ thể: 78 > Attacker: Hệ điều hành: Windows XP Địa chi IP: 192.168.1.111 Công cụ cần sử dụng: XAMP Tsunami > Web Server: Hệ điều hành: Windows Địa chi IP: 192.168.1.112 Công cụ cần sử dụng: XAMP > Zoombiel: Hệ điều hành: Windows Địa chi IP: 192.168.1.100 > Zombie2: Hệ điều hành: Windows Địa chi 1P: 192.168.1.101 „ ™ .í Jhựviện Viện Đại học Mở Hà Nội B Thực tân cơng • - Bước 1: Biến máy tính Zombie thành Botnet Người dùng X sử dụng máy tính Zoombiel Trên máy tính cịn sừ dụng hệ điều hành phần mềm lỗi thời — Ké cơng sứ dụng Malware Server.exe đính kèm vào file FireFox Setup 5-0.exe Người dùng X không cài đặt FireFox từ nguồn tin cậy mà tải FireFox từ Website cùa kẻ công - Sau nạn nhân download mở file FireFox Setup 5.0.exe, kẻ cơng thơng qua mã độc lệnh cho máy tính Máy tính Zombie trờ thành Botnet • Bước 2: Tấn cơng Web Server: Sau xác định thông tin nạn nhân, kẻ công tiến hành theo bước: 79 - Truy cập vào địa chi http://localhost/panel - Nhập địa chi máy Web Server vào trường Target Port 80 - Chọn DDos kiểu cơng ấn Update Hình 4.1 Giao diện Tsunami • Bước 3: Kiếm tra kết quà Web Server bị công: Trước bị tán công, thông sổ CPU RAM bình thường Hình 4.2 Web Server hoạt động bình thường Trong bị cồng, thông số CPU, RAM tăng vọt lên bất thường so với trước bị cơng 80 Hình 4.3 Web Server bị công DDos Thực điều tra chúng số công DDoS 4.2 4.2.1 A Điều tra bị công Kịch bản: Quàn trị viên Web Server phát dấu hiệu hoạt động bất thường máy chủ, CPU, RAM tăng cao Sau kiềm tra quàn trị viên xác định máy bị công B Tiến hành điều tra: Quản trị viên dùng WireShark đe tiến hành bắt gói tin trao đơi Web Server Client Có thấy Server phải nhận lượng lớn gói tin thời gian ngắn 81 He Edt Mew Go CapUre Ankyse Strtrtcs Tetephcnv Wreiea Took Heb « X e q LL » Cl Q ịNgày truy cập: 20 tháng 10 năm 20161 [10], EC Council Computer Forensics Investigating Network Intrusions and Cyber Crime Cengage Learning, 2009 ... nghệ thơng tin Khóa: 2011 - 2015 Cán hướng dẫn: TS Đỗ Xuân Chợ Tên đề tài: Nghiên cứu phương pháp truy tìm chứng số cùa cơng DDoS lên hệ thống thơng tin Tóm tắt: Với mong muốn tìm hiếu làm rõ phương. .. HỌC MỚ HÀ NỘI KHOA CÔNG NGHỆ THÔNG TIN HƠ NGỌC KHÁNH NGHIÊN CỬU PHUONG PHÁP TRUY TÌM CHÚNG cú SĨ CỦA CUỘC TẤN CƠNG DDOS LÊN HỆ THĨNG THƠNG TIN Chun ngành: Cơng nghệ thơng tin Giáng viên hướng... pháp truy tìm chứng số công DDoS lên hệ thong thông tin? ?? Ket quà đề tài không chi cung cấp giải pháp nhằm điều tra chứng số cùa công DDoS nịà^cộn góp phần tạo tịền^đề v^cr ^ở lĩnh vực truy tìm