Đề tài XÂY DỰNG CÁC GIẢI PHÁP CHỐNG TẤN CÔNG TRÊN MẠNG (DoSDDoS) Để tải tài liệu 123doc miễn phí, các bạn truy cập vào trang 123doc. Sau đó, chọn bài viết mà bạn muốn tải, các bạn sẽ không copy tài liệu được đâu.
HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA CÔNG NGHỆ THÔNG TIN ĐỒ ÁN MÔN HỌC THỰC TẬP CƠ SỞ Đề tài: XÂY DỰNG CÁC GIẢI PHÁP CHỐNG TẤN CÔNG TRÊN MẠNG (DoS/DDoS) Sinh viên thực hiện: NGUYỄN VĂN ĐẠT AT160708 NGUYỄN VĂN HƯNG AT160720 TRƯƠNG MINH TỒN AT160751 Nhóm 21 Giảng viên hướng dẫn: TS NGUYỄN ĐÀO TRƯỜNG MỤC LỤC Table of Contents MỤC LỤC DANH MỤC TỪ VIẾT TẮT DANH MỤC HÌNH VẼ, BẢNG .3 LỜI MỞ ĐẦU CHƯƠNG NỘI DUNG CƠ BẢN VỀ TẤN CÔNG DoS/DDoS 1.1 Giới thiệu công DoS/DDoS 1.1.1 Tổng quan DoS/DDoS 1.1.2 Khái niệm 1.1.3 Các giai đoạn công DDoS .9 1.1.4 Phân loại công dịch vụ phân tán .10 1.1.5 Mạng BOTNET 12 1.2 Các kĩ thuật công DoS/DDoS phổ biến 14 1.2.1 Tấn công làm cạn kiệt băng thông 14 1.2.2 Tấn công làm cạn kiệt tài nguyên 19 CHƯƠNG PHỊNG, CHỐNG MỘT CUỘC TẤN CƠNG DOS/DDOS 23 2.1 Giai đoạn ngăn ngừa .23 2.1.1 Phát ngăn chặn Agent (Detect and Prevent): .24 2.1.2 Phát vơ hiệu hóa Handler .25 2.1.3 Phát dấu hiệu công DOS/DDOS .25 2.2 Biện pháp đối phó cơng DOS/DDoS .27 2.2.1 Bảo vệ thứ cấp victims 27 2.2.2 Phát tiềm công 27 2.2.3 Làm suy giảm công 28 2.2.4 Chuyển hướng công 29 2.3 Biện pháp đối phó DOS/DoS 30 CHƯƠNG TRIỂN KHAI THỰC NGHIỆM 31 3.1 Tấn công Ping of death attack .31 3.1.1 Môi trường thực nghiệm: 31 3.1.2 Triển khai công: 31 3.2 Tấn công Syn flood attack 34 3.2.1 Môi trường thực nghiệm: 34 3.2.2 Công cụ sử dụng: 37 3.2.3 Triển khai công: 37 3.3 Tấn công HTTP flood attack 41 3.3.1 Môi trường thực nghiệm: 41 3.3.2 Công cụ sử dụng: 41 3.3.3 Triển khai công: 42 3.4 Triển khai phòng thủ: .45 3.4.1 Giới thiệu công cụ .45 3.4.2 Cấu hình công cụ 45 3.4.3 Tiến hành phòng thủ 51 3.5 Kết luận 53 TÀI LIỆU THAM KHẢO 53 DANH MỤC TỪ VIẾT TẮT ST Từ viết tắt Tiếng Anh Tiếng việt DNS Domain Name System Hệ thống tên miền ICMP T Internet Control Message Protocol ISP Giao thức xử lí thơng báo trạng thái cho IP Internet Service Provider Nhà cung cấp dịch vụ mạng OS SMTP Operation System Simple Message Transfer Protocol Hệ điều hành Giao thức dùng để gửi thư thông qua chương trình SYN Synchronous Idle Kí tự đồng hóa Character TCP/IP Transmission Control Protocol and Internet Bộ giao thức liên mạng Protocol DANH MỤC HÌNH VẼ, BẢ Hình 1: Biểu đồ gia tăng DDOS .5 Hình 2: Mơ hình Botnet 11 Hình 3: Mơ hình cơng UDP Flood .13 Hình 4: Tấn công ICMP Flood 14 Hình 5: Tấn công ICMP Flood 16 Hình 6: Tấn công Ping of Death 17 Hình 7: Quy trình bắt tay bước .18 Hình 8: Tấn công SYN Floods 19 Hình 9: Tấn cơng HTTP Flood 20 Y Hình 1: Mơ hình Agent-Handler .22 Hình 1: Máy nạn nhân chưa công 31 Hình 2: Tạo file bat 31 Hình 3: Tấn cơng POD 32 Hình 4: Trạng thái máy bị công 33 Hình 5: Trạng thái IP máy Kali .34 Hình 6: Trạng thái IP máy Ubuntu 34 Hình 7: Trạng thái IP máy Win .35 Hình 8: Máy win trước cơng 36 Hình 9: Nmap máy win 36 Hình 10: Tool cơng Hping3 .37 Hình 11: Máy win sau công 38 Hình 12: Dùng Wireshark kiểm tra 38 Hình 13: Cơng cụ PyFlooder 39 Hình 14: Trạng thái Apache server 40 Hình 15: Tấn cơng qua PyFlooder 40 Hình 16: PyFlooder thực cơng 41 Hình 17: Kiểm tra qua Wireshark 41 Hình 18: Status Apache Server 42 Hình 19: Cơng cụ Pfsense .44 Hình 20: Thơng tin hệ thống Pfsense 44 Hình 21: Cài đặt package 45 Hình 22: Cài đặt rules .45 Hình 23: Updates Rules 46 Hình 24: Thông tin rules 46 Hình 25: Cài đặt Alert ans Block .47 Hình 26: Chi tiết rules 47 Hình 27: Hồn thành cấu hình Suricata 48 Hình 28: Trạng thái máy Kali 48 Hình 29: Kết phịng thủ 49 Hình 30: Chi tiết Alerts .50 Hình 31: Thơng tin logs 50 LỜI MỞ ĐẦU Ngày nay, dịch vụ sản phẩm sử dụng máy tính internet phương tiện để trao đổi liệu tiền giới mạng internet mở Công nghệ thông tin công nghệ thú vị ngày, địi hỏi hệ thống thơng tin liên lạc để trao đổi liệu dịch vụ Tuy nhiên, tiềm tàng lỗ hổng bảo mật Tấn cơng từ chối dịch vụ phân tán (DDoS) cơng vào sẵn sàng có tài ngun có sẵn, để người dùng xác thực khơng sử dụng tài nguyên Đề tài nhằm khám phá mối đe dọa lỗ hổng có DoS/DDoS với giải pháp chống lại cơng Tính bảo mật, tính tồn vẹn tính khả dụng ba tính hệ thống truyền thơng mạng máy tính DDoS tập hợp công Từ chối dịch vụ (DoS), dẫn đến việc áp đảo máy nạn nhân từ chối dịch vụ cho người dùng hợp pháp nó, dẫn đến khơng có sẵn tài nguyên dịch vụ cho khách hàng quan tâm Từ vấn đề thực tiễn trên, vào lý thuyết an ninh an toàn hệ thống thơng tin, đề tài trình bày Giới thiệu tổng quan DDos Kỹ thuật cơng DDos phổ biến Phịng, chống cơng DDos; Giải pháp phịng, chống DDos hiệu CHƯƠNG NỘI DUNG CƠ BẢN VỀ TẤN CƠNG DoS/DDoS 1.1 Giới thiệu cơng DoS/DDoS 1.1.1 Tổng quan DoS/DDoS 1.1.1.1 Tình hình an ninh mạng chung Đại dịch COVID-19 tạo điều kiện hoàn hảo cho tác nhân đe dọa tăng cường nỗ lực để phá vỡ dịch vụ mà người sử dụng chăm sóc sức khỏe, giáo dục sở hạ tầng quan trọng chẳng hạn tiện ích, dịch vụ điện thoại vận chuyển, để ngăn chặn thông tin liên lạc cá nhân quan phủ Trong giới bắt đầu trạng thái bình thường mới, công mạng, bao gồm công nhà nước tài trợ tiếp tục gia tăng Các công từ chối dịch vụ phân tán (DDoS) gây mối đe dọa lớn doanh nghiệp tổ chức cung cấp dịch vụ trực tuyến Trong công vậy, tội phạm mạng gửi nhiều yêu cầu đến tài nguyên web bị cơng với mục đích vượt q khả trang web để xử lý nhiều yêu cầu ngăn trang web hoạt động bình thường Các cơng kéo dài vài ngày, gây gián đoạn lớn cho tổ chức Từ tháng 10 đến cuối tháng 12 năm 2021, nhà nghiên cứu Kaspersky quan sát thấy gia tăng lớn số lượng công DoS/DDoS - số kỷ lục toàn lịch sử quan sát Kaspersky mối đe dọa Hình 1: Biểu đồ gia tăng DDOS Trong năm 2021, lỗ hổng Log4j phát sinh mối quan tâm tổ chức tồn giới Báo cáo nêu chi tiết vai trị việc tạo botnet DDoS Apache Log4j khung ghi nhật ký sử dụng để ghi lại thông tin bảo mật hiệu suất truyền đạt thơng điệp chẩn đốn cho quản trị viên hệ thống Nó sử dụng hàng ngàn gói Java loạt sản phẩm tiêu dùng doanh nghiệp Việc tiết lộ CVE-2021-44228 vào ngày 10 tháng 12 năm 2021 nguyên nhân thực gây lo ngại quy mơ sử dụng Log4j mở rộng đến hàng tỷ thiết bị toàn giới Cuộc xung đột diễn Ukraine ví dụ chiến tranh mạng nhà nước tài trợ, nơi công mạng DoS/DDoS sử dụng không công cụ tùy tiện phân tâm gián đoạn thời bình, mà cịn cơng phối hợp chặt chẽ bổ sung cho đối đầu vật lý mặt đất Khi chiến Ukraine tiếp tục mặt đất, không mặt nước, tiếp tục khơng gian mạng Các đối tượng nhắm vào công ty Ukraine dường cố gắng bịt miệng thông tin Năm ngành công nghiệp bị công nhiều Ukraine phát truyền hình, Internet, phương tiện truyền thơng trực tuyến xuất - gần 80% tất Tấn công DDoS nhắm vào Ukraine Một số lý dẫn đến số lượng công gia tăng Ba tháng cuối năm có nhiều cơng DoS/DDoS Bán lẻ trực tuyến đạt đỉnh điểm doanh số bán hàng ngày lễ, kỳ thi sinh viên bắt đầu điều dẫn đến gia tăng số lượng cơng Máy tính, máy chủ, định tuyến, máy ảnh thiết bị IoT khác bị nhiễm phần mềm độc hại kiểm soát tác nhân độc hại công cụ kẻ cơng DoS/DDoS sử dụng Những vũ khí này, gọi drones, bot botnet, dễ dàng có nguồn gốc từ địa điểm khác nhau, tùy thuộc vào yêu cầu kẻ công Khối lượng thị trường DoS/DDoS tỷ lệ nghịch với thị trường tiền điện tử Điều khả tổ chức DoS/DDoS khai thác tiền điện tử hốn đổi cho chủ sở hữu mạng botnet có xu hướng chuyển hướng sức mạnh khai thác tiền điện tử phát triển DoS/DDoS giảm Đây xác chúng tơi quan sát thấy quý 4, gia tăng số lượng công DoS/DDoS bối cảnh giá trị tiền điện 10 Hình 14: Trạng thái Apache server - Triển khai tool cơng: Hình 15: Tấn cơng qua PyFlooder Hình 16: PyFlooder thực công - Kiểm tra wireshark sau cơng: Hình 17: Kiểm tra qua Wireshark Có nhiều request gửi đến, nhiên số phản hồi bị lỗi Trên web server, kiểm tra server-status: 46 Hình 18: Status Apache Server Rất nhiều GET request gửi đến local host, gây thiệt hại tài nguyên máy chủ Hệ thống bị ảnh hưởng băng thông, giảm hiệu suất, thời gian để request hợp pháp truy cập tới máy chủ Giảm thiểu cơng lớp ứng dụng đặc biệt phức tạp, lưu lượng độc hại khó phân biệt với lưu lượng bình thường Hầu hết trang web sử dụng capcha, kiểm tra 48 thủ công người dùng hợp pháp Điều phát botnet đưa địa IP vào danh sách đen 3.4 Triển khai phịng thủ: 3.4.1 Giới thiệu cơng cụ Pfsense là phần mềm định tuyến/tường lửa mã nguồn mở miễn phí dành cho máy tính dựa hệ điều hành FreeBSD phát triển Netgate pfSense cài đặt máy tính vật lý máy ảo để xây dựng hệ thống định tuyến/tường lửa cho mạng Suricata: hệ thống phát xâm nhập hệ thống ngăn chặn xâm nhập(IDS/IPS) dựa mã nguồn mở Nó dựa quy tắc phát triển bên để giám sát lưu lượng mạng cung cấp cảnh báo cho người quản trị hệ thống xảy kiện đáng ngờ Được thiết kế để tương thích với thành phần bảo mật mạng có, cung cấp chức đầu hợp tùy chọn thư viện 3.4.2 Cấu hình cơng cụ Sau cài đặt thành cơng, sử dụng IP pfsense cung cấp để truy cập vào trang quản lí Hình 19: Cơng cụ Pfsense Tài khoản mật mặc định “admin-pfsense” Sau đăng nhập thành công hiển thị thông tin hệ thống Hình 20: Thơng tin hệ thống Pfsense Để cài đặt Suricata chọn System->Package Manager -> chọn Available Pakages -> tìm Suricata sau Install Các gói tin sau cài đặt thành cơng hiển thị mục Install Pakages Hình 21: Cài đặt package 50 Để cấu hình Suricata chọn Service->Suricata->Global Setting Chọn Use a custom URL for ETOpen dowloads Use a custom URL for SNORT GPLv2 rules dowloads sau paste link để hệ thống dowloads rules Cịn lại để mặc định sau chọn SAVE Hình 22: Cài đặt rules Có thể lấy link tải rules trang web: ET OPEN Ruleset Download Instructions (emergingthreats.net) Tiếp theo chọn sang phần Updates chọn update chờ để hệ thống tải rules Hình 23: Updates Rules Sau hồn thành việc tải rules hệ thống hiển thị thơng tin Hình 24: Thơng tin rules Tiếp theo chọn Interface -> Add Tại Wan settings phần Alert and Block Settings tích chọn Block Offenders để bật chức ngăn chặn xâm nhập (IPS) lại để mặc định 52 Hình 25: Cài đặt Alert ans Block Chọn mục WAN rules, phần Category chọn để xem chi tiết rules Hình 26: Chi tiết rules Tại phần WAN categories chọn rule để sử dụng thêm tùy mục đích Có thể chọn tồn rules để sử dụng sau chọn SAVE Hồn thành q trình cấu hình Suricata Hình 27: Hồn thành cấu hình Suricata Tiến hành cơng sau cấu hình xong Suricata Hình 28: Trạng thái máy Kali 54 3.4.3 Tiến hành phòng thủ Kết giảm thiểu phần cơng Mặc dù khơng ngăn chặn hồn tồn công giúp cho máy windows sử dụng chức ko xảy tình trạng bị ngốn hết tồn tài nguyên dẫn đến bị treo máy Hình 29: Kết phòng thủ Để xem kiện mà Suricata ghi lại Chọn Service -> Suricata -> Alert Tại phần Alert logs view Filter, thấy Suricata ghi lại kiện bị công SYN-Flood kiện bị Block Có thể tải kiện máy để phục vụ nhu cầu phân tích Hình 30: Chi tiết Alerts Để xem chi tiết kiện chọn phần Logs View phần Log File to View chọn alert.log 56 Hình 31: Thơng tin logs Tuy nhiên thực tế, máy server hay website đơn vị, doanh nghiệp phải đối mặt với cơng DDOS nhiều lớp, phức tạp có sức tải lớn Khơng thể cảnh giác kẻ cơng sở hữu nhiều cơng nghệ tiên tiến tinh vi qua mặt nhiều lớp bảo vệ Do đó, cần phải ln cảnh giác cao độ, kết hợp nhiều yếu tố kĩ thuật người để việc phòng chống đạt kết tốt 3.5 Kết luận Bài báo cáo đạt kết sau: Tình hình liên quan tới DoS/DDoS giới Việt Nam Đưa khái niệm lý thuyết cơng DoS/DDOS Phân loại phân tích kiểu cơng DoS/DDOS Cách thức phịng chống DoS/DDOS, thành phần mơ hình phịng thủ Đề xuất giải pháp phòng chống DoS/DDoS Hạn chế: Còn nhiều thiếu xót nội dung kiến thức Hạn chế cấu hình máy tính để triển khai nội dung thực nghiệm Chưa có giải pháp thực hữu hiệu Định hướng tương lai: Nghiên cứu sâu nội dung liên quan tới việc điều tra nguồn cơng DoS/DDoS Tìm hiểu thêm phương pháp phòng thủ, Nghiên cứu phương pháp , mơ hình phịng thủ tiên tiến áp dụng triển khai thực tiễn TÀI LIỆU THAM KHẢO [1] Stephen M Specht, Distributed Denial of Service: Taxonomies of Attacks, Tools, and Countermeasures (researchgate.net) Availble: https://www.researchgate.net/publication/220922510_Distributed_Denial_of_Service_Taxon omies_of_Attacks_Tools_and_Countermeasures [2] Botnet Attacks: Transforming Your IT Resources into an Army of Zombies Cynet [online] Availble: https://www.cynet.com/blog/botnet-attacks-transforming-your-itresources-into-an-army-of-zombies/ [3] M Li An approach to reliably identifying signs of DDOS flood attacks based on LRD traffic pattern recognition Computers & Security, 23(7): 549-558, 2004 [4] Protecting Against Application DDoS Attacks with BIG-IP ASM: A Three-Step Solution By Or Katz Principal Security Engineer [5] ThS.Nguyễn Thành Hữu, Luận văn thạc sĩ công nghệ thông tin "NGHIÊN CỨU VỀ DDOS VÀ GIẢI PHÁP NGĂN CHẶN" Hà Nội: Đại học Công nghệ - Đại học Quốc gia Hà Nội [6] David Balaban (2020, May 7) “Are you Ready for These 26 Different Types of DDoS Attacks?” 2020–05-07 | Security Magazine [online] Availble: https://www.securitymagazine.com/articles/92327-are-you-ready-for-these-26-differenttypes-of-ddos-attacks [7] Radwan Tahboub, Internet Scale DoS Attacks Availble: https://www.researchgate.net/publication/264971772_Internet_Scale_DoS_Attacks Hà nội, ngày 22 tháng năm 2022 XÁC NHẬN CỦA GIẢNG VIÊN HƯỚNG DẪN 58 TS NGUYỄN ĐÀO TRƯỜNG ... phương pháp phịng chống hữu hiệu, tốn tài nguyên Tuy nhiên, thực tế, ta khơng thể đốn trước công DDOS nhằm vào hệ thống ta Do đó, cần đưa giải pháp chung chống lại nhiều kiểu cơng DOS/DDOS Giải pháp. .. Hình 5: Tấn cơng ICMP Flood 16 Hình 6: Tấn công Ping of Death 17 Hình 7: Quy trình bắt tay bước .18 Hình 8: Tấn công SYN Floods 19 Hình 9: Tấn công HTTP... giả mạo Hơn nữa, kẻ công Ping of Death khơng cần tìm hiểu q chi tiết máy mà ta công, ngoại trừ địa IP Hình 6: Tấn cơng Ping of Death 1.2.2 Tấn công làm cạn kiệt tài nguyên Tấn công làm cạn kiệt