TỔNG LIÊN ĐOÀN LAO ĐỘNG VIỆT NAM TRƯỜNG ĐẠI HỌC TÔN ĐỨC THẮNG KHOA CÔNG NGHỆ THÔNG TIN LUẬN VĂN TỐT NGHIỆP XÂY DỰNG PHẦN MỀM PHÂN TÍCH DẤU HIỆU TẤN CÔNG TỪ WEBLOG Giảng viên hướng dẫn : Th.S NUYỄN HỒ MINH ĐỨC Sinh viên thực hiện: VŨ THANH LAI MSSV: 081268T Lớp : 08TH2D Khoá : 12 ĐỒNG THỊ THANH HẰNG Lớp : 08TH2D Khoá : 12 MSSV: 080034T TP Hồ Chí Minh, tháng năm 2012 Lời cảm ơn Để hồn thành đề tài luận văn này, chúng em nhận nhiều giúp đỡ từ quý thầy cô khoa Công Nghệ Thông Tin trường Đại Học Tôn Đức Thắng Lời chúng em xin chân thành gửi lời cảm ơn đến thầy Ths Nguyễn Hồ Minh Đức, người tận tình giúp đỡ chúng em suốt trình nghiên cứu thực luận văn Thầy người tận tình hường dẫn cung cấp cho chúng em kiến thức bổ ích vơ vàn kiến thức mà chúng em phải tìm hiểu, thầy định hướng cho chúng em cần phải làm, góp ý sửa chữa sai sót cho chúng em Một lần xin gửi lời tri ân đến điều mà thầy dành cho chúng em Chúng em xin chân thành cảm ơn đến tập thể thầy cô khoa Cơng Nghệ Thơng Tin tồn thể thầy cô trường, thầy cô người truyền đạt kiến thức bổ ích cho chúng em suốt năm học trường Chính kiến thức tảng vững để chúng em hồn thành tốt luận văn Tp.Hồ Chí Minh, tháng 7/2012 Trang Mục lục Lời cảm ơn Danh mục từ viết tắt thuật ngữ sử dụng Danh mục hình ảnh Chương 1: Tổng quan đề tài 1.1 Lý thực đề tài 1.2 Mục tiêu phạm vi thực Chương 2: Giao thức HTTP 10 2.1 Giao thức HTTP 10 2.2 Giao thức HTTP hoạt động 10 2.3 Cấu trúc HTTP Message 11 2.3.1 Dòng mở đầu 11 2.3.2 Header thông điệp 12 2.3.3 Nội dung thông điệp 13 2.4 HTTP Etag 13 2.5 Các trường Header chuẩn giao thức HTTP 14 2.5.1 Các trường header chuẩn HTTP Request 14 2.5.2 Các trường header chuẩn HTTP Response 21 2.6 Các phương thức HTTP 27 2.6.1 Phương thức GET 27 2.6.2 Phương thức POST 27 2.6.3 Phương thức HEAD 27 2.6.4 Phương thức PUT 27 2.6.5 Phương thức DELETE 27 2.6.6 Phương thức OPTIONS 27 2.6.7 Phương thức TRACE 27 2.6.8 Phương thức PATCH 28 Chương 3: Web log 29 3.1 Web log ? 29 3.2 Log format & cách cấu hình Apache 29 3.2.1 Tổng quan 29 3.2.2 Log format Apache 29 Chương 4: Các kiểu công vào ứng dụng web mối liên hệ với weblog 32 4.1 Sơ lược DOS DDOS 32 4.2 HTTP DOS 33 4.2.1 Mô tả 33 4.2.2 HTTP DOS weblog 33 4.3 HTTP DOS thông qua Proxy 34 4.3.1 Mô tả 34 4.3.2 HTTP DOS thông qua Proxy weblog 35 4.4 X-Flash DDOS 35 Trang 4.4.1 Mô tả 35 4.4.2 X-Flash DDOS weblog 36 4.5 Fake Search Engine 37 4.5.1 Mô tả 37 4.5.2 Fake search engine weblog 38 4.6 HTTP Flood 38 4.6.1 Mô tả 38 4.6.2 HTTP Flood weblog 39 4.7 Brute Force Attack 40 4.7.1 Mô tả 40 4.7.2 Brute force attack weblog 40 4.8 SQL Injection 41 4.8.1 Mô tả 41 4.8.2 SQL injection weblog 43 4.9 XSS (Cross Site Scripting) 43 4.9.1 Mô tả 43 4.9.2 XSS weblog 44 4.10 Remote code execution 45 4.10.1 Mô tả 45 4.10.2 Remote code execution weblog 46 4.11 Uncontrolled format string 46 4.11.1 Mô tả 46 4.11.2 Uncontrolled format string weblog 47 4.12 Local Attack 47 4.12.1 Mô tả 47 4.12.2 Local attack weblog 48 Chương 5: Giải thuật phân tích weblog phát công 49 5.1 Hướng xây dựng giải thuật kiểu DOS DDOS 49 5.1.1 Tại phải có burst, timeout, balance maxnagetive 51 5.1.2 Timestamp ? 52 5.2 HTTP DOS 53 5.2.1 Cơ sở 53 5.2.2 Giải thuật phân tích 53 5.3 HTTP DOS thông qua Proxy 55 5.3.1 Cơ sở 55 5.3.2 Giải thuật phân tích 55 5.4 X-Flash DDOS 56 5.4.1 Cơ sở 56 5.4.2 Giải thuật phân tích 57 5.5 Fake Search Engine 59 5.5.1 Cơ sở 59 5.5.2 Giải thuật phân tích 59 5.6 HTTP Flood 60 Trang 5.6.1 Cơ sở 60 5.6.2 Giải thuật phân tích 60 5.7 Brute Force Attack 61 5.7.1 Cơ sở 61 5.7.2 Giải thuật phân tích 61 5.8 SQL Injection 63 5.8.1 Cơ sở 63 5.8.2 Giải thuật phân tích 63 5.9 XSS (Cross Site Scripting) 64 5.9.1 Cơ sở 64 5.9.2 Giải thuật phân tích 64 5.10 Remote Code Execution 64 5.10.1 Cơ sở 64 5.10.2 Giải thuật phân tích 65 5.11 Uncontrolled format string 65 5.11.1 Cơ sở 65 5.12.2 Giải thuật phân tích 65 5.12 Local Attack 66 5.12.1 Cơ sở 66 5.12.2 Giải thuật phân tích 66 Chương 6: Thực nghiệm đánh giá 67 6.1 Ứng dụng môi trường thực nghiệm 67 6.1.1 Ứng dụng thực nghiệm 67 6.1.2 Môi trường thực nghiệm 68 6.1.3 Các website thực nghiệm phân tích tập tin log 68 6.2 Kết thực nghiệm 68 6.2.1 Kết thực nghiệm với website sinhvienit.net 68 6.2.2 Kết thực nghiệm với website kenhsinhvien.net 74 6.2.3 Kết thực nghiệm với website vuthanhlai.net 76 6.2.4 Kết thực nghiệm với tính phân tích định kỳ bảo vệ website kịp thời 78 6.3 Đánh giá 80 Chương 7: Kết luận 82 Tài liệu tham khảo 83 Trang Danh mục từ viết tắt thuật ngữ sử dụng DOS Denial of service DDOS Distributed denial of service SQLI SQL Injection XSS Cross Site Scripting HTTP Hypertext transfer protocol NIDS Network intrusion detecing system HTML Hypertext markup language URI Uniform resource identifier URL Uniform resource locator Etag Entity tag CSDL Cơ sở liệu Cache Lưu kết xử lý trước để phục vụ lần sau Attacker Người công vào ứng dụng web Victim Nạn nhân bị công HTTP Request Thông điệp HTTP gửi từ máy trạm HTTP Response Phản hồi từ máy chủ web trả máy trạm HTTP Message Thông điệp HTTP Header Phần thông tin bổ sung thông điệp HTTP Method Phương thức Weblog (Web log) File nhật ký máy chủ web Client Máy gửi yêu cầu Web server Máy chủ web Log format Định dạng log Fake Search Engine Giả mạo máy tìm kiếm Flood Làm ngập lụt liệu File Tập tin (Tệp) Trang Danh mục hình ảnh Hình 2-1: Mơ hình hoạt động giao thức HTTP 10 Hình 4-1: Mơ tả kiểu cơng HTTP DoS 33 Hình 4-2: Mô tả kiểu công HTTP DoS thông qua Proxy 34 Hình 4-3: Mơ tả kiểu công X-Flash 36 Hình 4-4: Mơ tả kiểu cơng Flood 39 Hình 6-1: DoS sinhvienit.net donut http flooder 1.4 69 Hình 6-2: Tấn cơng SQL Injection sinhvienit Chrome v20 69 Hình 6-3: Kết phân tích log sinhvienit.net 70 Hình 6-4: Kết log từ IP bị nghi ngờ DOS 115.78.133.13 71 Hình 6-5: Kết log từ IP bị nghi ngờ DOS 113.172.136.219 72 Hình 6-6: Dấu hiệu X-Flash từ kenhsinhvien.net 73 Hình 6-7: Tấn cơng HTTP DOS kết hợp giả máy tìm kiếm Google 74 Hình 6-8: Kết phân tích kenhsinhvien.net 74 Hình 6-9: Kết log từ IP bị nghi ngờ giả danh Google 115.78.133.13 75 Hình 6-10: Kết kiểm tra IP bị nghi ngờ giả danh Google 75 Hình 6-11: Tấn cơng lỗi XSS vuthanhlai.net 76 Hình 6-12: Kết phân tích vuthanhlai.net 77 Hình 6-13: Kết log IP bị nghi ngờ công XSS 77 Hình 6-14: Thiết lập phân tích định kỳ 78 Hình 6-15: Tấn cơng DOS thử nghiệm tính phân tích định kỳ 79 Hình 6-16: IP bị khóa truy cập sau 30s cơng 79 Hình 6-17: Email cảnh báo phát công 80 Hình 6-18: Tin nhắn SMS cảnh báo phát công 80 Trang Chương 1: Tổng quan đề tài 1.1 Lý thực đề tài Việc sử dụng internet ứng dụng trực tuyến có bước tăng trưởng ngoạn mục Hiện nay, có hàng tỷ người sử dụng internet ngày Tuy nhiên, giao thức HTTP, giao thức dùng nhiều internet lại thiết kế đơn giản nên bị lợi dụng để đánh cắp thông tin lừa đảo danh tính Trong danh sách 20 nguy bảo mật hàng đầu năm 2007 cần khắc phục "SANS Top-20 2007 Security Risks (2007 Annual Update)" ứng dụng web đứng đầu danh sách nguy bảo mật nằm nhóm lỗ hổng phía server Ứng dụng web cổng thông tin điện tử, diễn đàn trực tuyến, mạng xã hội trực tuyến, ngân hàng trực tuyến, hệ thống quản lý nội dung, bán hàng trực tuyến Điều đáng lo theo tạp chí SC Magazine 2007 tạp chí IT Week 2006 ứng dụng web nhà nước mục tiêu công hàng đầu tội phạm mạng Điều làm cho việc tăng cường bảo mật cho ứng dụng web ngày ưu tiên coi trọng Tuy vậy, thời điểm tại, việc ứng dụng web bị tin tặc công, lấy cắp thông tin dựa vào lỗ hổng ứng dụng để làm bàn đạp tạo cơng có quy mơ lớn có mức ảnh hưởng nghiêm trọng đến uy tín sống cịn doanh nghiệp xảy ngày nhiều mức độ tinh vi nghiêm trọng ngày cao Khơng tổ chức bình thường, quan cấp cao phủ, cơng ty an ninh mạng hàng đầu giới nạn nhân tin tặc  Vào đầu năm 2011, Vietnamnet, trang báo hàng đầu Việt Nam bị công từ chối dịch vụ nhiều tháng liền khiến website bị ¾ độc giả, doanh thu uy tín sụt giảm lại thêm nhiều để đầu tư tăng cường sở hạ tầng chống chọi với DDOS Trang  Vào tháng 4/2011,một hãng điện tử hàng đầu giới Sony bị Hacker xâm nhập lấy thông tin cá nhân thẻ tín dụng 77 triệu khách hàng  Vào tháng 6/2011, 1500 website lớn nhỏ Việt Nam bị công thay đổi giao diện trang chủ  Vào tháng 12/2011, website hãng bảo mật hàng đầu giới kapersky NOD32 bị công thay đổi giao diện trang chủ  Vào 18/1/2012, trang web thức Unikey, phần mềm gõ tiếng Việt sử dụng nhiều Việt Nam bị công chiếm quyền kiếm soát Hacker thay đổi đường dẫn tải phần mềm thành đường dẫn đến đường dẫn chương trình giả mạo có cài sẵn virus khiến hàng vạn máy tính bị nhiễm virus  Vào 10/2/2012, website cục tình báo trung ương Mỹ (CIA) bị công từ chối dịch vụ khiến website suốt nhiều không truy cập Cùng thời gian này, mã nguồn công ty Symantech bị hacker cơng bố mạng  Đình đám năm 2012 Việt Nam kể đến trường hợp công ty bảo mật hàng đầu Việt Nam BKAV BKAV bị hacker lần công vào ứng dụng web công ty webscan forum Sau đó, nhiều tài liệu mật công ty như: danh sách nhân viên,danh sách khách hàng, tài liệu mật làm việc với công an, thơng tin tài khoản 100 nghìn thành viên diễn đàn BKAV, mã nguồn hệ thống hỗ trợ khách hàng … bị hacker công bố khơng đáp ứng u sách Hacker Uy tín BKAV bị đe dọa nghiêm trọng tới mức cao suốt lịch sử hoạt động công ty  Những kiện phần nhỏ tình hình bảo mật ứng dụng web xảy năm vừa qua Chúng rung lên hồi chuông báo động mức cấp bách việc tăng cường bảo mật ứng dụng web thời gian tới Trang Tuy nhiên, việc theo dõi phân tích lưu lượng truy cập vào ứng dụng web thời gian thực lại có bất cập bật sau:  Lưu lượng HTTP mã hóa (HTTPS) gây khó khăn cho việc phân tích  Có thể khơng có NIDS (Network intrusion detection system) khó khăn triển khai chi phí …  Có NIDS NIDS chất NIDS không thiết kế để làm việc tầng ứng dụng nên thật không hiệu sử dụng chúng để phát ngăn chặn tất công vào ứng dụng web  Lưu lượng truy cập lớn gây khó khăn việc phân tích lưu lượng thời gian thực  Việc phân tích thời gian thực cần nhiều tài nguyên hệ thống triển khai  Khi ứng dụng bị công bị kiểm sốt bị cắp thơng tin khơng thể tra cứu, phân tích lại xảy khó lần vết tội phạm (Vì kẻ cơng vượt qua bước phân tích thời gian thực nên hệ thống khơng lưu lại liệu kẻ công) Từ bất cập trên, cần có giải pháp phân tích, rà sốt nội dung lưu trữ ổ cứng để phân tích cần thiết Và file log webserver giải pháp đề cập Tuy nhiên, file log webserver thường có dung lượng lớn, chứa nhiều thông tin phải lưu lại toàn yêu cầu gửi đến máy chủ nên việc phân tích tay vấn đề khó khăn Do đó, địi hỏi phải có phần mềm hỗ trợ phân tích file để phát dấu hiệu công ngăn chặn kịp thời việc công vào ứng dụng giúp ta lần vết thủ phạm 1.2 Mục tiêu phạm vi thực Xây dựng giải thuật phân tích tập tin log máy chủ web phát dấu hiệu cơng từ kết phân tích Từ đó, xây dựng cơng cụ phân tích có khả phát hầu hết loại công vào ứng dụng web dựa vào file log mang phân tích Trang Hình 6-1: DoS sinhvienit.net donut http flooder 1.4 Hình 6-2: Tấn cơng SQL Injection sinhvienit Chrome v20 Trang 69  Kết phân tích: Kết phân tích tổng qt: Hình 6-3:Kết phân tích log sinhvienit.net Tổng số đối tượng phát 4, đó: - HTTP DOS: - X-Flash: - SQL Injection: Trang 70 Kết xác nhận dấu hiệu DOS xem log IP 115.78.133.13 Hình 6-4: Kết log từ IP bị nghi ngờ DOS 115.78.133.13  Từ hình 6-4 ta kết luận IP 115.78.133.13 hồn tồn có ý đồ cơng DOS Như kết phân tích xuất IP 115.78.133.13 có dấu hệu DOS Trang 71 Kết xác nhận dấu hiệu DOS xem log IP 113.172.136.219 Hình 6-5: Kết log từ IP bị nghi ngờ DOS 113.172.136.219  Từ hình 6-4 ta kết luận IP 113.172.136.219 hồn tồn có ý đồ cơng DOS Như kết phân tích xuất IP 113.172.136.219 có dấu hệu DOS Website sinhvienit.net website hoạt động thật năm qua Đây IP bị phát có dấu hiệu DOS ngồi dự tính tiến hành thực nghiệm Nhóm dùng IP 115.78.133.13 (hình 6-4) để thử cơng cụ thực nghiệm Trang 72 Kết xác nhận dấu hiệu cơng X-Flash xem log từ nguồn kenhsinhvien.net Hình 6-6: Dấu hiệu X-Flash từ kenhsinhvien.net  Từ hình 6-6 ta kết luận website kenhsinhvien.net hồn tồn có ý đồ cơng X-Flash Như kết phân tích xuất website kenhsinhvien.net có dấu hiệu công dạng X-Flash Trang 73 6.2.2 Kết thực nghiệm với website kenhsinhvien.net  Công cụ phương thức cơng: Nhóm thực cơng kenhsinhvien.net phương thức HTTP DOS kết hợp giả mạo máy tìm kiếm Google cơng cụ DoSHTTP 2.5.1 Hình 6-7:Tấn cơng HTTP DOS kết hợp giả máy tìm kiếm Google  Kết phân tích Hình 6-8: Kết phân tích kenhsinhvien.net Trang 74 Kết xác nhận dấu hiệu Giả Search Engine xem log IP 115.78.133.13 Hình 6-9: Kết log từ IP bị nghi ngờ giả danh Google 115.78.133.13 Kết kiểm tra thông tin IP 115.78.133.13 từ cơng cụ xây dựng Hình 6-10: Kết kiểm tra IP bị nghi ngờ giả danh Google  Từ hình 6-9và 6-10 ta hồn tồn kết luận IP 115.78.133.13 giả mạo Google Trang 75 6.2.3 Kết thực nghiệm với website vuthanhlai.net  Công cụ phương thức công: Tấn công thơng qua lỗi XSS trình duyệt Chrome v20 Hình 6-11: Tấn công lỗi XSS vuthanhlai.net Trang 76  Kết phân tích Hình 6-12:Kết phân tích vuthanhlai.net Kết xác nhận dấu hiệu công XSS xem log IP 115.78.133.13 Hình 6-13: Kết log IP bị nghi ngờ cơng XSS Từ hình 6-13 ta hồn tồn kết luận IP 115.78.133.13 có ý đồ cơng XSS Trang 77 6.2.4 Kết thực nghiệm với tính phân tích định kỳ bảo vệ website kịp thời Khơng kiểm sốt liệu theo thời gian thực Web Firewall Tính công cụ xây dựng giúp quản trị viên bảo vệ website kịp thời mà không tốn tài nguyên hệ thống web Firewall Ngồi ra, chức cịn gửi email tin nhắn SMS phát dấu hiệu công cho quản trị viên biết để nắm bắt thông tin kịp thời  Thiết lập công cụ xây dựng: Hình 6-14:Thiết lập phân tích định kỳ Trang 78  Sử dụng donut http flooder để công DOS: Hình 6-15: Tấn cơng DOS thử nghiệm tính phân tích định kỳ  Kết sau bấm Start 30 giây bị chặn: Hình 6-16: IP bị khóa truy cập sau 30s công Trang 79  Ngay sau khoảng giây nhận email tin nhắn cảnh báo: Email cảnh báo Hình 6-17: Email cảnh báo phát công Và tin nhắn cảnh báo Hình 6-18: Tin nhắn SMS cảnh báo phát công 6.3 Đánh giá Như vậy, giải thuật đề xuất công cụ xây dựng dựa giải thuật nêu chương hoạt động tốt môi trường thực tế Cho kết phân tích xác 100% q trình thực nghiệm Trang 80 Hơn tính phân tích, cơng cụ cịn bảo vệ website tương đương với firewall tầng ứng dụng không tốn tài nguyên firewall khơng cần kiểm sốt thơng điệp HTTP truyền tải máy chủ web client Ngồi ra, cơng cụ cịn có khả phát xác thơng báo kịp thời kiểu công phát nhận thông điệp (Ví dụ: HTTP DOS, X-Flash DDOS…) mà phải cần có thời gian để xác định hành vi nguồn gửi yêu cầu kết luận có dấu hiệu công hay không Trang 81 Chương 7: Kết luận Luận văn đưa giải pháp gần tồn diện để phát xác dấu hiệu công vào ứng dụng web Luận văn đưa chương trình thực nghiệm hiệu ngồi thực tế giúp phát công bảo vệ website kịp thời khỏi Attacker Ngồi ra, luận văn cịn có nhiều ưu điểm sau: - Hỗ trợ phân tích định dạng log Đây điều chưa có chương trình giới liên quan tới weblog hỗ trợ - Phát xác dấu hiệu công hầu hết loại tất công từ chối dịch vụ, loại công gây hậu nghiêm trọng khó đối phó lại dễ triển khai người khơng có nhiều kiến thức chun mơn - Chưa có sản phẩm có chức tương tự thị trường - Hỗ trợ gửi cảnh báo qua email SMS phát công, giúp quản trị viên nằm bắt tình hình nhanh chóng Đề tài cịn hạn chế chưa phát loại công liệu công nằm nội dung POST lên máy chủ máy chủ web không ghi lại thông tin vào file log Nếu phiên máy chủ web sau hỗ trợ điều đề tài mở rộng trở thành cơng cụ bảo mật hồn hảo cho ứng dụng web Trang 82 Tài liệu tham khảo Tiếng anh: [1] Roger Meyer , 2008, Detecting Attacks on Web Applications from Log Files Website: http://php.net/ http://httpd.apache.org/docs/2.0/mod/mod_log_config.html#formats http://en.wikipedia.org/wiki/List_of_HTTP_header_fields#Requests Trang 83 ... tra IP bị nghi ngờ giả danh Google 75 Hình 6-11: Tấn cơng lỗi XSS vuthanhlai.net 76 Hình 6-12: Kết phân tích vuthanhlai.net 77 Hình 6-13: Kết log IP bị nghi ngờ công XSS 77... Ví dụ: Trên trang http://sinhvienit.vn/ có liên kết đến http://vuthanhlai.com người dùng click vào link u cầu gửi đến vuthanhlai.com có trường Referer mang giá trị http://sinhvienit.vn/ Trang... dnV0aGFuaGxhaTptYXRraGF1Y3VhdHVp Trang 14 (dnV0aGFuaGxhaTptYXRraGF1Y3VhdHVp nội dung mã hóa theo chuẩn base64 chuỗi vuthanhlai:matkhaucuatui)  Accept-Datetime Lấy phiên liệu tạo chỉnh sửa trước thời gian Ví dụ: Accept-Datetime: