HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA CÔNG NGHỆ THÔNG TIN ĐỒ ÁN MÔN HỌC THỰC TẬP CƠ SỞ ĐỀ TÀI NGHIÊN CỨU PHƯƠNG PHÁP TẤN CÔNG DOS, DDOS VÀ CÁCH PHÒNG CHỐNG Giảng viên hướng dẫn ThS Lê Thị Hồng Vân Sinh viên.
HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA CÔNG NGHỆ THÔNG TIN ĐỒ ÁN MÔN HỌC THỰC TẬP CƠ SỞ ĐỀ TÀI: NGHIÊN CỨU PHƯƠNG PHÁP TẤN CÔNG DOS, DDOS VÀ CÁCH PHÒNG CHỐNG Giảng viên hướng dẫn: Sinh viên thực hiện: ThS Lê Thị Hồng Vân Lê Duy Nhất-AT160733 Vi Xuân Lãm-AT160723 Phạm Thanh Long-AT160724 Hà Nội, 8/2022 MỤC LỤC 2 DANH MỤC TỪ VIẾT TẮT STT Từ viết tắt CGI DNS FTP ICMP IIS ISP LAN OS OSI Tiếng Anh Common Gateway Interface Domain Name System File Transfer Protocol Internet Control Message Protocol Internet Information Server Internet Service Provider Local Area Network Operation System Open System Interconnection Simple Message Transfer 3 10 SMTP 11 SYN 12 TCP/IP Protocol Synchronous Idle Character Transmission Control Protocol and Internet Protocol Tiếng Việt Giao diện cổng chung Hệ thống tên miền Giao thức truyền file mạng Giao thức xử lý thơng báo trạng thái cho IP Là chương trình WebServer tiếng Microsoft Nhà cung cấp dịch vụ Internet Mạng nội Hệ điều hành Mơ hình định nghĩa tiêu chuẩn liên kết thiết bị mạng Giao thức dùng để gửi thư thông qua chương trình Ký tự đồng hố Bộ giao thức liên mạng DANH MỤC HÌNH VẼ, BẢNG 4 MỞ ĐẦU Ngày nay, mạng Internet phát triển mở trộng phạm vi toàn giới Các cổng thơng tin điện tử, dịch vụ mạng sống cá nhân, tổ chức Việc hệ thống bị q tải, khơng truy cập khoảng thời gian gây tổn thất không nhỏ Từ vấn đề thực tế kiểu công từ chối dịch vụ phân tán, DDos (Distributed Denial Of Service) xuất sớm, năm 90 kỷ 20 Kiểu công làm cạn kiệt tài nguyên hệ thống Người quản trị, người sử dụng truy cập hệ thống thông tin Tấn công DDos bắt đầu biết đến từ năm 1998, với chương trình Trinoo Distributed Denial of service viết Phifli Từ với phát triển không ngừng Công nghệ thông tin, kỹ thuật công đời, Ping of Death, Teardrop, Aland Attack, Winnuke, Smurf Attack, UDP/ICMP Flooding, TCP/SYN Flooding, Attack DNS gần kiểu cơng DDos sử dụng cơng cụ #RefRef nhóm Hacker Anonymous Do vậy, công DDos kiểu công không mới, nỗi lo lắng nhà quản trị mạng Trong năm qua, không Việt Nam mà giới, công DDos liên tục diễn Những công với nhiều mục đích khác nhau: kinh tế, cá nhân, chí mang màu sắc trị (Trung Quốc – Mỹ, Trung Quốc – Việt Nam ) Do vậy, nghiên cứu DDos không cũ, mà phải cập nhật với thiết bị, kỹ thuật công nghệ thông tin Từ vấn đề thực tiễn trên, vào lý thuyết an ninh an tồn hệ thống thơng tin, đề tài trình bày 5 • Các vấn đề chung DDos; • Kỹ thuật cơng DDos kỹ thuật mới; • Phịng, chống cơng DDos; • Giải pháp phịng, chống DDos hiệu quả; • Đưa kịch cụ thể để phịng chống cơng Ddos CÁC NỘI DUNG CƠ BẢN CỦA TẤN CÔNG DoS, DdoS 1.1 Khái niệm Dos, Ddos Hình 1 Mơ hình công DoS, DDoS Tấn công DoS: Tấn công từ chối dịch vụ (Denial of Service - DoS) dịch tiếng Việt từ chối dịch vụ Tấn công từ chối dịch vụ DoS công nhằm làm sập máy chủ mạng, khiến người dùng khác khơng thể truy cập vào máy chủ/mạng Kẻ công thực điều cách “tuồn” ạt traffic gửi thơng tin kích hoạt cố đến máy chủ, hệ thống mạng mục tiêu, từ khiến người dùng hợp pháp (nhân viên, thành viên, chủ tài khoản) truy cập dịch vụ, tài nguyên họ mong đợi Nạn nhân công DoS thường máy chủ web tổ chức cao cấp ngân hàng, doanh nghiệp thương mại, công ty truyền thông, trang báo, mạng xã hội Tấn công DdoS: Tấn công từ chối dịch vụ phân tán (Distributed Denial of Service attack- DDoS attack) hành động ngăn cản người dùng hợp pháp dịch vụ truy cập sử dụng dịch vụ đó, cách làm cho server khơng thể đáp ứng yêu cầu sử dụng dịch vụ từ client Nguồn công không đến từ máy tính Internet, mà đến từ hệ thống nhiều máy tính với địa IP khác (điểm khác công Dos DDos) Xuất lần vào năm 1999, so với công DoS cổ điển, sức mạnh DDoS cao nhiều, nguồn công không đến từ máy tính nhờ cơng Dos mà đến từ nhiều máy tính Hầu hết cơng DDoS nhằm vào việc chiếm dụng băng thông gây nghẽn mạng dẫn đến hệ thống ngưng hoạt động Tuy nhiên 6 với phát triển thiết bị phần cứng hệ thống phịng thủ, dạng cơng DDos ngày phức tạp thông minh, không chiếm dụng băng thơng, mà cịn khai thác lỗ hổng ứng dụng để công làm cạn kiệt tài nguyên hệ thống Những kiểu công đánh giá nguy hiểm hơn, chúng gây tổn hại trực tiếp đến sở liệu 1.2 Các giai đoạn công DDos 1/ Giai đoạn chuẩn bị: Chuẩn bị công cụ cho công, công cụ thông thường hoạt động theo mơ hình Client- Server Hacker viết phần mềm hay download cách dễ dàng mạng Tiếp theo, hacker chiếm quyền điều khiển máy tính mạng, tiến hành tải cài đặt ngầm chuơng trình độc hại máy tính Để làm điều này, hacker thường lừa cho người dùng click vào link quảng cáo có chứa Trojan, worm Kết thúc giai đoạn này, hacker có attack- network (một mạng máy tính ma phục vụ cho việc công DDoS) 2/ Giai đoạn xác định mục tiêu thời điểm công: Sau xác định mục tiêu cần công, hacker điều chỉnh attacknetwork chuyển hướng cơng mục tiêu Yếu tố thời điểm định mức độ thiệt hại cơng Vì vậy, phải hacker ấn định trước 3/ Giai đoạn phát động công xóa dấu vết: Đúng thời điểm định trước, hacker phát động lệnh cơng từ máy Tồn attack- network (có thể lên đến hàng ngàn, hàng vạn máy) đồng loạt công mục tiêu, mục tiêu nhanh chóng bị cạn kiệt băng thơng tiếp tục hoạt động Sau khoảng thời gian cơng, hacker tiến hành xóa dấu vết truy ngược đến mình, việc địi hỏi trình độ cao hacker chuyên nghiệp 1.3 Phân loại công từ chối dịch vụ phân tán Các loại cơng DDoS có nhiều biến thể, nên việc phân loại có nhiều cách khác Tuy nhiên, giới chuyên môn thường chia kiểu công DDoS thành dạng chính, dựa vào mục đích kẻ cơng: • 7 Tấn cơng DDoS làm cạn kiệt băng thơng • Tấn cơng DDoS làm cạn kiệt tài nguyên hệ thống Hình Sơ đồ phân loại DDoS attack theo mục đích cơng Ngồi việc phân loại trên, phân loại cơng DDos dựa mơ hình OSI 07 tầng Xu hướng công DDos cho thấy thủ phạm thường biến đổi cơng theo mơ hình OSI Các công phân loại sau: • Các công IP nhằm vào băng thông – cơng vào lớp (tầng mạng) • Các công TCP máy chủ sockets – cơng vào lớp (tầng vận chuyển) • Các công HTTP máy chủ web – công vào lớp (tầng ứng dụng) • Tấn cơng vào ứng dụng web, đánh vào tài nguyên CPU – cơng lớp Ngày nay, hệ thống phịng thủ DDos liên tục hoàn thiện đa dạng, thường tập trung tầng thấp mơ hình OSI Do cơng vào lớp ứng dụng (Lớp 7) ngày phổ biến Khi phân tích công DDos nhằm vào Lớp 7, phải nghiên cứu lớp khác Do công vào Lớp ngụy trang kèm với công nhằm vào lớp khác Về chất, kẻ công vào Lớp tạo giao diện 8 cho người sử dụng trình duyệt, dịch vụ email, hình ảnh ứng dụng khác để gửi thông tin qua giao thức (SMTP, HTTP) Một công DDos vào Lớp thường nhằm mục đích mục tiêu cụ thể như: làm gián đoạn giao dịch, cản trở truy cập vào sở liệu Kiểu cơng địi hỏi nguồn lực kèm với công Lớp khác lớp mạng Một công lớp ứng dụng ngụy trang giống truy cập hợp pháp có mục tiêu cụ thể ứng dụng Cuộc công làm gián đoạn chức cụ thể dịch vụ phản hồi thơng tin, tìm kiếm … Phân biệt công DDos vào Lớp so với công khác dựa số điểm sau: • Tấn cơng DDos vào Lớp mạng làm cho máy chủ tải với yêu cầu (request) giả, công Lớp buộc máy chủ phải trả lời với yêu cầu thật • Trong công DDos vào Lớp 7, máy công phải tạo nhiều hết cỡ kết nối TCP Như vậy, địa IP thực tế sử dụng để gửi yêu cầu máy nạn nhận phải đáp ứng truy vấn hợp lệ Vì chúng vượt qua hệ thống phịng thủ DDos nghiêm ngặt • Tấn cơng DDos vào Lớp bao gồm cơng khác lợi dụng lỗ hổng phần mềm ứng dụng để công, đồng thời phân tán ý vào nhiều mục tiêu để che giấu mục tiêu máy chủ Web Hay nói cách khác kiểu công tinh vi hơn, không công tồn mà cơng vào mục tiêu hướng tới • Khác biệt đáng ý công DDos vào Lớp tạo khối lượng xử lý lớn đẩy lượng xử lý xuống hạ tầng sở mạng máy chủ làm “ngập lụt” băng thông Các công vào Lớp thường đặt mục tiêu vào máy chủ, máy chủ đa phần nhìn nhận nạn nhân phía sau Ví dụ: công nhằm vào HTTP, VoIP hệ thống tên miền DNS 9 • Tấn cơng DDos nhằm vào Lớp thường khai thác sai sót, hạn chế ứng dụng Từ làm cho hệ thống tiêu thụ nhiều tài nguyên không giải dẫn tới treo máy chủ • Tấn cơng DDos nhằm Lớp khơng mang tính phổ biến, đa dạng tùy thuộc vào ứng dụng Do thách thức lớn việc chống lại công vào lớp 1.4 Mạng BOTNET 1.4.1 Khái niệm mạng Botnet BotNet mạng gồm từ hàng trăm tới hàng triệu máy tính hồn tồn quyền kiểm sốt Các máy tính hoạt động bình thường, chúng khơng biết bị hacker kiểm sốt điều khiển Các máy tính bị hacker lợi dụng để tải chương trình quảng cáo, hay đồng loạt cơng trang web mà ta gọi DDoS Hầu hết chủ máy tính khơng biết hệ thống họ sử dụng theo cách Khi chiếm quyền điều khiển, hacker xâm nhập vào hệ thống này, ấn định thời điểm phát động công từ chối dịch vụ Với hàng triệu máy tính công vào thời điểm, nạn nhân bị ngốn hết băng thông nháy mắt, dẫn tới đáp ứng yêu cầu hợp lệ bị loại khỏi internet 1.4.2 Mạng Internet Relay Chat Mạng Internet Relay Chat (IRC) sáng tạo Jarkko Oikarinen (nickname “WiZ”) vào 8-1988 để thay cho chương trình có tên MUT (MultiUser Talk) kênh BBS gọi OuluBox Phần Lan Ơng tìm cảm hứng cho dự án từ hệ thống Bitnet Relay Chat mạng Bitnet IRC nhiều người ý đến từ dùng sau Bức sắt (Iron Curtain) để viết phóng trực tuyến sụp đổ Liên bang Xô Viết tất phương tiện truyền thông khác không hoạt động IRC viết tắt cụm từ Internet Relay Chat, dạng liên lạc cấp tốc qua mạng Internet Nó thiết kế với mục đích cho phép nhóm người phịng thảo luận (channel) liên lạc với Tuy nhiên, cho phép người dùng liên lạc riêng họ thích Hiện nay, IRC mạng trò chuyện trực tuyến lớn, có vài triệu kênh máy chủ khắp giới Giao thức viễn thơng cũ hơn, khó sử dụng IM (Instant Message- tin nhắn nhanh), IRC hồn tồn dựa vào nhập thơ ASCII Tuy nhiên, có nhiều ứng dụng đồ họa làm cho IRC dễ sử dụng 10 10 Còn -n có tác dụng hiển thị cổng địa dạng số học Như ta xem cổng hoạt động máy window server 2012 Trong thực nghiệm dễ dàng biết thơng tin cổng dịch vụ để dễ dàng thực nghiệm Tuy nhiên, thực tế kẻ công cần phải trải qua nhiều bước dò quét để lấy thơng tin mục tiêu Để xem chi tiết tất tùy chọn ta nhập lệnh: nestat -h 56 56 Công cụ sử dụng: - Wireshark: Sử dụng để bắt gói tin Link download: Wireshark · Go Deep - Pentmenu: Đây phần mềm mã nguồn mở sử dụng để cơng DoS dị qt, thám Link download: GitHub - GinjaChris/pentmenu: A bash script for recon and DOS attacks Thực nghiệm cơng: • 57 57 Mở tab task manager chọn mục Perfromence để xem thông số tài nguyên máy sử dụng Khi chưa bị công máy window server không tiêu tốn nhiều tài nguyên CPU sử dụng khoảng – % 58 58 • Để cơng ta mở phần mềm Pentmenu.Tại chọn tùy chọn số để cơng DoS • Có thể thấy có nhiều tùy chọn công DoS.Trong thực nghiệm này, dạng cơng sử dụng Syn Flood chọn tùy chọn • Tại nhập vào địa IP mục tiêu • Sau nhập vào cổng để cơng khơng nhập cổng mặc định pần mềm sử dụng cổng 80 • Tại tùy chọn phần mềm yêu cầu nhập nguồn IP để công, tùy chọn -r hệ thống tạo ngẫu nhiên IP, tùy chọn -i hệ thống lấy IP card mạng máy Nếu khơng nhập mặc định máy lấy Ip cảu card mạng • Tiếp theo phần mềm hỏi có gửi liệu với gói SYN hay khơng Nếu khơng nhập mặc định khơng • Cuối phần mềm u cầu nhập số lượng liệu byte để gửi Mặc định 3000 • Sau nhập xong yêu cầu phần mềm bắt đầu việc công cách gửi liên tục packet tin yêu cầu kết nối ban đầu (SYN) đến mục tiêu 59 59 60 60 • Có thể thấy máy window server sau bị công CPU làm việc đạt mức 100% xảy tượng bị treo máy, thực thao tác • Kiểm tra phần mềm Wireshark ta thấy có nhiều IP từ nhiều nguồn khác liên tục gửi yêu cầu đến máy IP 192.168.44.131 IP máy window server 2012 4.3 Tấn công HTTP Flood Môi trường thực nghiệm: Máy Kali Linux đóng vai trị máy cơng Web server cài đặt Ubuntu máy bị công Các máy chạy phần mềm ảo hóa Vmware 61 61 Cài đặt mơi trường: Phần cài đặt Kali Linux Ubuntu tương tự phần công TCP Syn-Flood Cài đặt Apache Kali Linux: sudo apt install apache2 Trạng thái mặc định cài đặt thành công: Công cụ: Wireshark: Tương tự phần TCP Syn-Flood PyFlooder: Câu lệnh download: 62 62 Thực nghiệm công HTTP Flood Attack: Trạng thái web server chưa công: (Số request/s CPU load thấp khơng có truy cập nào.) Thao tác công: (Ảnh thao tác) - 63 63 (Tool thực thi công) Kiểm tra wireshark: - 64 64 Có nhiều request gửi đến, nhiên số khơng thể phản hồi bị lỗi Rất nhiều GET request gửi đến localhost, gây thiệt hại tài nguyên máy chủ Hệ thống bị ảnh hưởng băng thông, giảm hiệu suất, thời gian để request hợp pháp truy cập tới máy chủ 4.4 Tấn công DdoS BotNet Để thực công DDoS tiêu chuẩn cần chuẩn bị từ máy client trở lên để xây dựng thành mạng botnet Kịch có máy ảo tham gia phục vụ cho công - Máy kali linux máy chủ công ( Sever) - máy win 10 đóng vai trị máy Zombie để gửi gói tin - máy win sever 2012 đóng vai trị máy nạn nhân mơ hình cơng DDOS địa IP máy tính Ghi chỗ hình : mơ hình cơng DDOS địa IP máy tính Sử dụng cơng cụ Py-Botnet Để thực công cần làm theo bước : Bước 1: Đưa file Client.py kết nối máy zombie với máy chủ công 65 65 chạy file Client.py máy zombie Kết nối thành công máy zombie với máy công Bước 2: Trên máy kali tiến hành chạy file Server.py Bước 3:Tấn công Sử dụng câu lệnh : attack udp 66 66 Tiếp nhận kết nối từ máy Client công Kết : Sau lệnh công thực , thấy CPU nạn nhân tăng cao cách bất bình thường Kết quả thực công DDoS 67 67 Kết quả thực công DDoS Sử dụng Wireshark để bắt gói tin nhận thấy thay địa IP gửi gói tin đến máy nạn nhân loạt địa IP mạng botnet tiến hành gửi tin 68 68 Sử dụng Wireshark để kiểm tra Điều dẫn đến tăng số lượng tin gửi đến cần xử lý dẫn đến hiệu công trở nên tốt KẾT LUẬN Bài báo cáo đạt kết sau : - Đưa khái niệm lý thuyết cơng DoS, DDoS Đề xuất giải pháp phịng chống DoS, DDoS Phân loại phân tích kiểu công DoS, DdoS Hạn Chế : - Chưa triển khai hình thức phịng thủ cho cơng mục Error: Reference source not found Hướng phát triển tương lai : Đối với công việc tương lai, nghiên cứu sâu nội dung liên quan tới việc truy nguyên nguồn công DDoS, kiểu công DDoS chậm cách phát - Nghiên cứu triển khai phòng thủ cho công DDoS Nghiên cứu vấn đề DDOS nghiên cứu động, liên tục Kẻ công ln tìm cách đổi hình thức kỹ thuật để đối phƣơng bất ngờ, khơng kịp đối phó Trong khi, kỹ thuật phịng chống, chƣa có giải pháp thật hữu hiệu Bài tốn phịng chống tốn khó khơng tổ chức sử dụng Internet mà quốc gia, tập đoàn lớn, đặc biệt DDOS có nguy ngày phổ biến, trở thành loại “vũ khí” đe dọa an ninh, kinh tế quốc gia - 69 69 TÀI LIỆU THAM KHẢO Nguy lộ lọt thông tin quan Đảng, Chính phủ Đề tài khoa học cấp nhà nước Ban yếu phủ [2] PGS.TS Trịnh Nhật Tiến, 2013 Bài giảng “Phát diệt Virus máy tính” Hà Nội: Đại học Cơng nghệ - Đại học Quốc gia Hà Nội [3] M Li An approach to reliably identifying signs of DDOS flood attacks based on LRD traffic pattern recognition Computers & Security, 23(7): 549-558, 2004 [4] Protecting Against Application DDoS Attacks with BIG-IP ASM: A Three-Step Solution By Or Katz Principal Security Engineer [5] https://www.hocviendaotao.com/2019/08/tim-hieu-ve-tancong-tu-choi-dich-vu.html [6] https://123docz.net/document/4820349-nghien-cuu-tan-congddos-va-xay-dung-giai-phap-ngan-chan-luan-van-thac-si.htm [7] https://vi.wikipedia.org/wiki/T%E1%BA%A5n_c %C3%B4ng_t%E1%BB%AB_ch%E1%BB%91i_d%E1%BB %8Bch_v%E1%BB%A5 [8] https://blogchiasekienthuc.com/dan-cong-nghe/dos-ddos-la-gihacker-tan-cong-ddos-bang-cach-nao.html [1] 70 70 ... dụng p2(u) IAD Như |p1(d)| |p2(u)| nhỏ giảm nhớ yêu cầu để trì IAD, |f1(d)| |f2(u)| lớn có nhiều địa IP cở sở liệu Trong thuật tốn trên, có hai tham số đưa Đó số ngày (d) số gói tin địa IP (u) Hai... DoS, DdoS 1.1 Khái niệm Dos, Ddos Hình 1 Mơ hình công DoS, DDoS Tấn công DoS: Tấn công từ chối dịch vụ (Denial of Service - DoS) dịch tiếng Việt từ chối dịch vụ Tấn công từ chối dịch vụ DoS công. .. băng thông (Band with Deleption ) Tấn công làm cạn kiệt tài nguyên (Resoure Deleption) Phần trình bày chi tiết loại 2.1 Tấn cơng làm cạn kiệt băng thông (Band with Deleption): 2.1.1 Tấn công tràn