ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ Vũ Thanh Tuấn NÂNG CẤP HỆ THỐNG PAC THÊM CHỨC NĂNG TỰ ĐỘNG XÁC ĐỊNH ĐỐI TƯỢNG TẤN CÔNG KHỐ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY Ngành: Mạng truyền thông HÀ NỘI - 2010 - - LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ Vũ Thanh Tuấn NÂNG CẤP HỆ THỐNG PAC THÊM CHỨC NĂNG TỰ ĐỘNG XÁC ĐỊNH ĐỐI TƯỢNG TẤN CƠNG KHỐ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY Ngành: Mạng truyền thơng Cán hướng dẫn: Ths Đoàn Minh Phương HÀ NỘI - 2010 - - LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com LỜI CẢM ƠN Để hoàn thành luận tốt nghiệp, lời xin bầy tỏ cám ơn tới ThS.Đồn Minh Phương, người giúp tơi lựa chọn đề tài, đưa nhận xét quý giá trực tiếp hướng dẫn suốt trình hồn thành luận văn tốt nghiệp Tơi xin chân thành cám ơn thầy cô khoa CNTT- trường Đại học Công nghệ ĐHQG Hà Nội truyền đạt kiến thức cho suốt khoảng thời gian năm học tập trường Trong q trình hồn thành luận văn tốt nghiệp, nhận nhiều giúp đỡ, động viên từ bạn bè Đặc biệt anh Hồng Văn Qn (K49CB) người góp ý giải số vấn đề luận văn Tôi xin gửi lời cám ơn tới người bạn bên cạnh để chia sẻ kinh nghiệm học tập sống Vũ Thanh Tuấn - - LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com TÓM TẮT NỘI DUNG Trong luận văn tốt nghiệp chủ yếu giới thiệu kỹ thuật phát Ddos kỹ thuật ngăn chặn Ddos với giao thức Lan tỏa ngược Có thể chia thành phần Phần thứ tổng quan phân loại công Ddos Phần thứ kỹ thuật phát Ddos chi tiết vào kỹ thuật phát Ddos sử dụng “Source IP Address Monitoring” Phần cuối giới thiệu giao thức lan tỏa ngược kết hợp với hệ thống phát ddos mà xây dựng - - LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com M ỤC L ỤC Vũ Thanh Tuấn Vũ Thanh Tuấn L ỜI M Ở Đ ẦU - - LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Tấn công từ chối dịch vụ phân tán (Distributed Denial of Service-DDos) phương pháp công nguy hiểm Việc ngăn chặn hồn tồn Ddos khó thực hiên tính chất cơng phân tán tồn internet Do việc phát sớm dấu hiệu cơng giúp hạn chế tối đa thiệt hại mà công Ddos gây nên Trong luận văn xây dựng hệ thống tự động phát ngăn chặn công Ddos kết hợp giao thức lan tỏa ngược để giải vấn đề vừa nêu Ch ương 1: GI ỚI THI ỆU V Ề T ẤN CÔNG DDOS - - LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 1.1 Khái niệm Tấn công từ chối dịch vụ phân tán (DDos – Distributed Denial of Service) hoạt động làm chấm dứt gián đoạn dịch vụ máy nạn nhân Tấn công Ddos huy động số lượng lớn máy bị lợi dụng để công nạn nhân vào thời điểm Do DDos có tính chất phân tán nên việc ngăn chặn khó khăn Việc ngăn chặn DDos khơng thể từ máy tính bị cơng mà phải kết hợp router để tiến hành phân tích chặn Do có số lượng Agent lớn bao phủ diện rộng nên việc phát gói tin cơng khó có khả giải triệt để DDos Ở Agent máy trực tiếp gửi thông điệp công 1.2 Cấu trúc mạng DDos 1.2.1 Tuyển mộ mạng Agent Trước tiên kẻ công phải làm xây dựng lên mạng botnet Kẻ cơng tiến hành thăm dị máy tính dễ bị lợi dụng Quá trình gọi scaning Scaning làm tay kẻ công sử dụng công cụ hỗ trợ scaning nmap Các công cụ ngày phát triển hồn thiện Một chương trình khác hỗ trợ scaning, thực thi cách hoàn toàn tự động để nhận dạng máy dễ bị lợi dụng, chương trình gọi internet worm Các internet worm thực thi hoàn toàn tự động thể dễ dàng lây nhiễm từ máy sang máy khác Một worm thường có chức sau: + Scaning: Tìm kiếm máy dễ bị lợi dụng + Khai thác: Tiến hành lây nhiễm điều khiển từ xa + Tải kịch công Các worm chọn lựa địa để scaning dạng sau: + Lựa chọn 32 bit địa IP (IPv4) Hiệu phương pháp không cao phải sử dụng nhiều địa IP để scan + Sử dụng dải địa lựa chọn chọn bit 16 bit địa IP (IPv4) Quá trình dùng để scan mạng đơn lẻ nhóm mạng thời điểm + Tạo danh sách địa IP ưu tiên tiến hành scan Trong scan bỏ qua dải IP khơng tồn có độ bảo mật cao - - LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com + Sử dụng thông tin máy bị nhiễm Worm tiến hành phân tích khai thác log file máy bị nhiễm scan Ví dụ log file web browser lưu trữ địa truy cập vào website.và file dùng để lưu trữ địa IP đích giao tiếp thơng qua giao thức SSH Một chương trình máy khách chạy máy tính bị hại gọi bot, thơng báo cho kẻ công thông tin trạng thái máy dễ bị lợi dụng chờ đợi lệnh điều khiển từ kẻ công để công 1.2.2 Điều khiển mạng Agent Khi số lượng Agent lớn, lên đến hàng nghìn host Kẻ cơng phải có phương pháp điều khiển mạng lưới Agent.Việc tìm phương pháp tốt giúp kẻ công dễ dàng thu thập dược thông tin hành vi Agent Ở có hai mơ hình để kẻ cơng điều khiển mạng lưới Agent 1.2.1.1 Agent-Handler Hình 1: Mơ hình Agent-Handler Trong mơ hình này, kẻ cơng điều khiển mạng Handler Các Hanlder trực tiếp điều khiển Agent gửi thơng điệp cơng nạn nhân Trong mơ hình này, kẻ cơng dễ bị phát máy Handler phải lưu trữ thông tin - - LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Agent Agent phải lưu trữ thông tin Handler Do việc truy tìm ngược lại kẻ cơng hồn tồn thực 1.2.1.2 Internet Relay Chat(IRC)-Based Hình 2: Mơ hình IRC-Based Một mơ hình khác triển khai sử dụng hệ thống Internet Relay Chat (IRC) Đầu tiên, Attacker (kẻ công) Agent truy cập vào IRC Server người dùng bình thường Các Agent phải học kênh truyền tại, sau nhảy sang kênh để nhận lệnh điều khiển từ kẻ cơng thơng Trong mơ hình này, kẻ cơng truy cập vào IRC Server qua máy khác, gọi Steeping stone để tránh bị phát 1.2.3 Cập nhật mailware - - LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Cũng phần mềm khác, chương trình cài đặt Handler hay Agent phải thường xuyên cập nhật Hầu hết công cụ Ddos yêu cầu kẻ công gửi dòng lệnh cập nhật Handler Agent việc download phiên qua giao thức http 1.3 Phân loại công Ddos 1.3.1 Tấn công vào băng thông mạng Trong phương pháp kẻ công điều khiển mạng lưới Agent đồng loạt gửi gói tin ICMP hay UDP đến nạn nhân làm cho băng thông mạng nạn nhân bị tải khơng thể phục vụ Ví dụ trường hợp ICMP flood, nạn nhân phải gửi trả lại gói tin ICMP_REPLY tương ứng Do số lượng Agent gửi đến nạn nhân lớn nên việc gửi lại gói ICMP_REPLY dẫn đến nghẽn mạng Trong trường hợp UDP flood tương tự Phương pháp công đặc biệt nguy hiểm băng thông mạng nạn nhân bị tải mà ảnh hưởng đến mạng lân cận Hiện nay, với phát triển công cụ Ddos, hầu hết hỗ trợ giả mạo địa IP 1.3.2 Tấn cơng vào giao thức Điển hình phương pháp công TCP SYN flood Kẻ công lợi dụng trình bắt tay bước giao thức TCP Kẻ công liên tục khởi tạo kết nối TCP Nạn nhân tiến hành gửi lại trả lời với SYN ACK để chờ ACK từ phía máy khách Tuy nhiên, kẻ công không gửi ACK đến nạn nhân hay nói cách khác khơng làm q trình bắt tay bước Cứ vậy, nạn nhân tốn nhiều tài nguyên nhớ để chờ phiên TCP Do nạn nhân phục vụ tốn nhớ đề chờ kết nối ảo kẻ công khởi tạo 1.3.3 Tấn công gói tin khác thường Trong phương pháp này, kẻ công dựa vào điểm yếu giao thức mạng Ví dụ cơng Ping of Death Kẻ cơng gửi số gói tin ICMP có kích thước lớn kích thước giới hạn Gói tin bị chia nhỏ, nạn nhân ghép lại nhận thấy gói tin lớn để xử lý Kết là, hệ thống khơng thể xử lý tình trạng bất thường bị treo Một trường hợp khác công Lan Attack Kẻ công gửi gói tin TCP SYN có địa nguồn, địa đích số cổng giống Nạn nhân liên tục khởi tạo kết nối với Do hệ thống bị treo bị chậm lại - - LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com điệp xác nhận xem router có hỗ trợ lan tỏa ngược không Hai router trả lời sớm giả sử X Y Router X Y sau nhận yêu cầu xác nhận từ Victim_GW tiến hành xác nhận lại Victim_GW Ở có hai trường hợp xảy ra: Trường hợp thứ Victim có địa trùng với Victim_GW bỏ qua bước xác nhận xác Victim người yêu cầu Trường hợp thứ hai Victim Victim_GW có địa khác router X router Y kiểm tra Victim_GW có đứng kề trước Victim đường hay không Giải thuật cho cách kiểm tra là: Router X Router Y tiến hành ping đến Victim với tham số TTL h+1 h, với h số hops từ Vimtim_GW đến router tương ứng Nếu router không nhận trả lời hợp lệ từ Victim Victim_GW gửi thơng báo từ chối ngắt kết nối tới Victim _GW Giải thuật kết thúc Nếu tất hợp lệ routerX, routerY Victim_GW tin tưởng lẫn nhau, kết nối tin cậy để thực tiếp ngăn chặn 4.2.5 Ngăn chặn Sau kết nối tin cậy với router X router Y, Victim _GW yêu cầu router Y đặt lọc khoảng thời gian tY gửi lưu lượng DDos R1 từ a.b.c.d nhận Victim _GW thiết lập kết nối tin cậy với Router X Yêu cầu đặt file shadowX để giám sát luồng Ddos từ a.b.c.d khoảng thời gian ∆t, sau ngắt kết nối với RouterX Nếu khoảng thời gian ∆t thấy có lưu lượng Ddos từ cạc mạng kết nối với router Y, chứng tỏ router không đặt lọc Tiến hành đặt lọc với thời gian tlong RouterY sau đặt FilterY với thời gian tY, vừa ngăn chặn lưu lượng DDos, đồng thời theo dõi lưu lượng gói tin R2 request từ a.b.c.d đến nạn nhân qua Nếu R1 lớn R2 nhiều tức Agent mạo danh địa a.b.c.d RouterY hủy lọc, sau gửi R2 cho Victim _GW Victim _GW nhận được, so sánh với R1 ngắt kết nối với RouterY, thực lan tỏa ngược Nếu R1 xấp xỉ R2 có nghĩa a.b.c.d địa Agent công, RouterY thông báo lại với Victim _GW, Victim _GW xác nhận lại ngắt kết nối RouterY thực lan tỏa ngược đóng vai trị Victim _GW - - LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Hình 7: Ngăn chặn Ddos 4.2.6 Lan tỏa ngược Trong trình Victim _GW đặt lọc với thời gian tstart, sau gửi yêu cầu thiết lập lọc qua router hàng xóm với cạc mạng mà nhận gói tin Ddos Router hàng xóm sau nhận yêu cầu, lập lọc với thời gian ttmp tiến hành gửi yêu cầu thiết lập lọc tới router kề sau.Trong trường hợp router đặt lọc nhận yêu cầu đặt lọc tương tự khởi động lại thời gian lọc đặt Trong khoảng thời gian đặt lọc ttmp, router sau gửi yêu cầu lập lọc tới router hàng xóm mà thấy cịn lưu lượng DDos từ phía router này, tiến hành gửi lần yêu cầu lập lọc cho router hàng xóm kết nối với cạc mạng Nếu sau lần gửi mà lưu lượng DDos khơng giảm có nghĩa router hàng xóm khơng đặt lọc, router tự động lập lọc với thời gian tlong Kết thúc giải thuật Sau hết thời gian đặt lọc, router tạo file shadow để giám sát router hàng xóm sau nó.Trong khoảng thời gian mà thấy có lưu lượng Ddos bật lại lọc với thời gian tlong.Giải thuật kết thúc Khi trình lan tỏa ngược đến router gần Agent (A_GW), xảy IP router hàng xóm trùng với IP Agent, router lập lọc có thời gian t long >> ttmp Giải thuật kết thúc 4.3 Hạn chế giao thức lan tỏa ngược - - LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Thứ việc cài đặt giao thức lan tỏa ngược phức tạp Phải cài đặt giao thức router Do thực tế việc khó làm Thứ hai kẻ cơng có chế giả mạo IP, ứng với IP, A_GW phải tạo lọc khác 4.4 Phát triển giao thức lan tỏa ngược Như phần nghiên cứu nhóm anh Hồng Văn Qn triển khai thực thi giao thức lan tỏa ngược Nhưng phần rút gọn chống lừa dối chưa triển khai Trong phần phát triển giao thức lan tỏa ngược phát triển thêm phần chống lừa dối phần rút gọn anh Nguyễn Thế Hùng nhóm nghiên cứu lan tỏa ngược triển khai 4.4.1 Chống lừa dối Kẻ cơng chiếm quyền router đường không đặt filter yêu cầu router kề trước Kẻ cơng điều khiển Agent_GW giả vờ đặt lọc thời gian tcheat tcheat