ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ Vũ Thanh Tuấn NÂNG CẤP HỆ THỐNG PAC THÊM CHỨC NĂNG TỰ ĐỘNG XÁC ĐỊNH ĐỐI TƯỢNG TẤN CÔNG KHỐ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY Ngành: Mạng truyền thông HÀ NỘI - 2010 - - LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ Vũ Thanh Tuấn NÂNG CẤP HỆ THỐNG PAC THÊM CHỨC NĂNG TỰ ĐỘNG XÁC ĐỊNH ĐỐI TƯỢNG TẤN CƠNG KHỐ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY Ngành: Mạng truyền thơng Cán hướng dẫn: Ths Đoàn Minh Phương HÀ NỘI - 2010 - - LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com LỜI CẢM ƠN Để hoàn thành luận tốt nghiệp, lời xin bầy tỏ cám ơn tới ThS.Đồn Minh Phương, người giúp tơi lựa chọn đề tài, đưa nhận xét quý giá trực tiếp hướng dẫn suốt trình hồn thành luận văn tốt nghiệp Tơi xin chân thành cám ơn thầy cô khoa CNTT- trường Đại học Công nghệ ĐHQG Hà Nội truyền đạt kiến thức cho suốt khoảng thời gian năm học tập trường Trong q trình hồn thành luận văn tốt nghiệp, nhận nhiều giúp đỡ, động viên từ bạn bè Đặc biệt anh Hồng Văn Qn (K49CB) người góp ý giải số vấn đề luận văn Tôi xin gửi lời cám ơn tới người bạn bên cạnh để chia sẻ kinh nghiệm học tập sống Vũ Thanh Tuấn - - LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com TÓM TẮT NỘI DUNG Trong luận văn tốt nghiệp chủ yếu giới thiệu kỹ thuật phát Ddos kỹ thuật ngăn chặn Ddos với giao thức Lan tỏa ngược Có thể chia thành phần Phần thứ tổng quan phân loại công Ddos Phần thứ kỹ thuật phát Ddos chi tiết vào kỹ thuật phát Ddos sử dụng “Source IP Address Monitoring” Phần cuối giới thiệu giao thức lan tỏa ngược kết hợp với hệ thống phát ddos mà xây dựng - - LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com MỤC LỤC Chương 1: GIỚI THIỆU VỀ TẤN CÔNG DDOS 1.1 Khái niệm 1.2 Cấu trúc mạng DDos 1.2.1 Tuyển mộ mạng Agent 1.2.2 Điều khiển mạng Agent 1.2.3 Cập nhật mailware 1.3 Phân loại công Ddos 1.3.1 Tấn công vào băng thông mạng 1.3.2 Tấn công vào giao thức 1.3.3 Tấn cơng gói tin khác thường 1.3.4 Tấn công qua phần mềm trung gian 1.4 Các công cụ DDos 1.4.1 Trinoo 1.4.2 Tribe Flood Network (TFN) 1.4.3 Stacheldraht 1.4.4 Shaft 1.4.5 Trinity 1.4.6 Knight 1.4.7 Kaiten Chương : CÁC CỞ SỞ PHÂN TÍCH PHÁT HIỆN DDOS 2.1 Hệ thống phát DDos 2.2 Các yêu cầu môt hệ thống phát DDos 2.2.1 Phát nhiều chế 2.2.2 Phản ứng - - LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 2.3 Phân tích phát công DDos 2.3.1 Tổng quan phát công DDos 2.3.2 Một số thuật toán phát DDos 10 Chương 3: XÂY DỰNG HỆ THỐNG PHÁT HIỆN NGĂN CHẶN DDOS TỰ ĐỘNG 13 3.1 Cơ chế kiểm tra địa nguồn 13 3.1.1 IP Address Database (IAD) 13 3.1.2 Duy trì hoạt động IAD 14 3.2 Kỹ thuật phát cơng DDos theo thuật tốn CUSUM 15 Chương 4: PHÁT TRIỂN HOÀN THIỆN GIAO THỨC LAN TỎA NGƯỢC 18 4.1 Khái niệm 18 4.2.1 Khởi động 19 4.2.2 Bắt đầu 19 4.2.3 Kiểm tra giả mạo 19 4.2.4 Rút gọn 19 4.2.5 Ngăn chặn 20 4.2.6 Lan tỏa ngược 21 4.3 Hạn chế giao thức lan tỏa ngược 22 4.4 Phát triển giao thức lan tỏa ngược 22 4.4.1 Chống lừa dối 22 4.4.2 Giải pháp 22 4.4.3 Giải thuật 22 4.4.4 Triển khai 23 Chương 5: TRIỂN KHAI HỆ THỐNG PHÁT HIỆN NGĂN CHẶN TỰ ĐỘNG KẾT HỢP GIAO THỨC LAN TỎA NGƯỢC 25 5.1 Đánh giá hiệu hệ thống 25 - - LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 5.2 Cơ chế hoạt động 26 5.3 Triển khai hệ thống 26 5.4 Kết luận 32 - - LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com LỜI MỞ ĐẦU Tấn công từ chối dịch vụ phân tán (Distributed Denial of Service-DDos) phương pháp công nguy hiểm Việc ngăn chặn hoàn toàn Ddos khó thực hiên tính chất cơng phân tán toàn internet Do việc phát sớm dấu hiệu cơng giúp hạn chế tối đa thiệt hại mà công Ddos gây nên Trong luận văn xây dựng hệ thống tự động phát ngăn chặn công Ddos kết hợp giao thức lan tỏa ngược để giải vấn đề vừa nêu LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Chương 1: GIỚI THIỆU VỀ TẤN CÔNG DDOS 1.1 Khái niệm Tấn công từ chối dịch vụ phân tán (DDos – Distributed Denial of Service) hoạt động làm chấm dứt gián đoạn dịch vụ máy nạn nhân Tấn công Ddos huy động số lượng lớn máy bị lợi dụng để công nạn nhân vào thời điểm Do DDos có tính chất phân tán nên việc ngăn chặn khó khăn Việc ngăn chặn DDos từ máy tính bị cơng mà phải kết hợp router để tiến hành phân tích chặn Do có số lượng Agent lớn bao phủ diện rộng nên việc phát gói tin cơng khó có khả giải triệt để DDos Ở Agent máy trực tiếp gửi thông điệp công 1.2 Cấu trúc mạng DDos 1.2.1 Tuyển mộ mạng Agent Trước tiên kẻ công phải làm xây dựng lên mạng botnet Kẻ cơng tiến hành thăm dị máy tính dễ bị lợi dụng Quá trình gọi scaning Scaning làm tay kẻ công sử dụng công cụ hỗ trợ scaning nmap Các công cụ ngày phát triển hồn thiện Một chương trình khác hỗ trợ scaning, thực thi cách hoàn toàn tự động để nhận dạng máy dễ bị lợi dụng, chương trình gọi internet worm Các internet worm thực thi hoàn toàn tự động thể dễ dàng lây nhiễm từ máy sang máy khác Một worm thường có chức sau: + Scaning: Tìm kiếm máy dễ bị lợi dụng + Khai thác: Tiến hành lây nhiễm điều khiển từ xa + Tải kịch công Các worm chọn lựa địa để scaning dạng sau: + Lựa chọn 32 bit địa IP (IPv4) Hiệu phương pháp không cao phải sử dụng nhiều địa IP để scan + Sử dụng dải địa lựa chọn chọn bit 16 bit địa IP (IPv4) Quá trình dùng để scan mạng đơn lẻ nhóm mạng thời điểm LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com + Tạo danh sách địa IP ưu tiên tiến hành scan Trong scan bỏ qua dải IP khơng tồn có độ bảo mật cao + Sử dụng thông tin máy bị nhiễm Worm tiến hành phân tích khai thác log file máy bị nhiễm scan Ví dụ log file web browser lưu trữ địa truy cập vào website.và file dùng để lưu trữ địa IP đích giao tiếp thơng qua giao thức SSH Một chương trình máy khách chạy máy tính bị hại gọi bot, thơng báo cho kẻ công thông tin trạng thái máy dễ bị lợi dụng chờ đợi lệnh điều khiển từ kẻ công để công 1.2.2 Điều khiển mạng Agent Khi số lượng Agent lớn, lên đến hàng nghìn host Kẻ cơng phải có phương pháp điều khiển mạng lưới Agent.Việc tìm phương pháp tốt giúp kẻ công dễ dàng thu thập dược thông tin hành vi Agent Ở có hai mơ hình để kẻ công điều khiển mạng lưới Agent 1.2.1.1 Agent-Handler Hình 1: Mơ hình Agent-Handler Trong mơ hình này, kẻ công điều khiển mạng Handler Các Hanlder trực tiếp điều khiển Agent gửi thông điệp cơng nạn nhân Trong mơ hình LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com điệp xác nhận xem router có hỗ trợ lan tỏa ngược khơng Hai router trả lời sớm giả sử X Y Router X Y sau nhận yêu cầu xác nhận từ Victim_GW tiến hành xác nhận lại Victim_GW Ở có hai trường hợp xảy ra: Trường hợp thứ Victim có địa trùng với Victim_GW bỏ qua bước xác nhận xác Victim người yêu cầu Trường hợp thứ hai Victim Victim_GW có địa khác router X router Y kiểm tra Victim_GW có đứng kề trước Victim đường hay không Giải thuật cho cách kiểm tra là: Router X Router Y tiến hành ping đến Victim với tham số TTL h+1 h, với h số hops từ Vimtim_GW đến router tương ứng Nếu router không nhận trả lời hợp lệ từ Victim Victim_GW gửi thơng báo từ chối ngắt kết nối tới Victim _GW Giải thuật kết thúc Nếu tất hợp lệ routerX, routerY Victim_GW tin tưởng lẫn nhau, kết nối tin cậy để thực tiếp ngăn chặn 4.2.5 Ngăn chặn Sau kết nối tin cậy với router X router Y, Victim _GW yêu cầu router Y đặt lọc khoảng thời gian tY gửi lưu lượng DDos R1 từ a.b.c.d nhận Victim _GW thiết lập kết nối tin cậy với Router X Yêu cầu đặt file shadowX để giám sát luồng Ddos từ a.b.c.d khoảng thời gian ∆t, sau ngắt kết nối với RouterX Nếu khoảng thời gian ∆t thấy có lưu lượng Ddos từ cạc mạng kết nối với router Y, chứng tỏ router không đặt lọc Tiến hành đặt lọc với thời gian tlong RouterY sau đặt FilterY với thời gian tY, vừa ngăn chặn lưu lượng DDos, đồng thời theo dõi lưu lượng gói tin R2 request từ a.b.c.d đến nạn nhân qua Nếu R1 lớn R2 nhiều tức Agent mạo danh địa a.b.c.d RouterY hủy lọc, sau gửi R2 cho Victim _GW Victim _GW nhận được, so sánh với R1 ngắt kết nối với RouterY, thực lan tỏa ngược Nếu R1 xấp xỉ R2 có nghĩa a.b.c.d địa Agent công, RouterY thông báo lại với Victim _GW, Victim _GW xác nhận lại ngắt kết nối RouterY thực lan tỏa ngược đóng vai trị Victim _GW 20 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Hình 7: Ngăn chặn Ddos 4.2.6 Lan tỏa ngược Trong trình Victim _GW đặt lọc với thời gian tstart, sau gửi yêu cầu thiết lập lọc qua router hàng xóm với cạc mạng mà nhận gói tin Ddos Router hàng xóm sau nhận yêu cầu, lập lọc với thời gian ttmp tiến hành gửi yêu cầu thiết lập lọc tới router kề sau.Trong trường hợp router đặt lọc nhận yêu cầu đặt lọc tương tự khởi động lại thời gian lọc đặt Trong khoảng thời gian đặt lọc ttmp, router sau gửi yêu cầu lập lọc tới router hàng xóm mà thấy cịn lưu lượng DDos từ phía router này, tiến hành gửi lần yêu cầu lập lọc cho router hàng xóm kết nối với cạc mạng Nếu sau lần gửi mà lưu lượng DDos khơng giảm có nghĩa router hàng xóm khơng đặt lọc, router tự động lập lọc với thời gian tlong Kết thúc giải thuật Sau hết thời gian đặt lọc, router tạo file shadow để giám sát router hàng xóm sau nó.Trong khoảng thời gian mà thấy có lưu lượng Ddos bật lại lọc với thời gian tlong.Giải thuật kết thúc Khi trình lan tỏa ngược đến router gần Agent (A_GW), xảy IP router hàng xóm trùng với IP Agent, router lập lọc có thời gian tlong >> ttmp Giải thuật kết thúc 21 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 4.3 Hạn chế giao thức lan tỏa ngược Thứ việc cài đặt giao thức lan tỏa ngược phức tạp Phải cài đặt giao thức router Do thực tế việc khó làm Thứ hai kẻ cơng có chế giả mạo IP, ứng với IP, A_GW phải tạo lọc khác 4.4 Phát triển giao thức lan tỏa ngược Như phần nghiên cứu nhóm anh Hồng Văn Qn triển khai thực thi giao thức lan tỏa ngược Nhưng phần rút gọn chống lừa dối chưa triển khai Trong phần phát triển giao thức lan tỏa ngược phát triển thêm phần chống lừa dối phần rút gọn anh Nguyễn Thế Hùng nhóm nghiên cứu lan tỏa ngược triển khai 4.4.1 Chống lừa dối Kẻ cơng chiếm quyền router đường không đặt filter yêu cầu router kề trước Kẻ cơng điều khiển Agent_GW giả vờ đặt lọc thời gian tcheat tcheat