HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - - BÁO CÁO MÔN HỌC : AN NINH MẠNG TRUYỀN THƠNG ĐỀ TÀI: TÌM HIỂU VỀ TẤN CƠNG DDOS VÀ CÁC BIỆN PHÁP PHỊNG CHỐNG Bài thi cuối kỳ môn ANM MỤC LỤC THUẬT NGỮ VIẾT TẮT DANH MỤC HÌNH VẼ DANH MỤC BẢNG BIỂU .5 LỜI NÓI ĐẦU PHẦN : KHÁI NIỆM TỔNG QUÁT 1.1 Khái niệm công chủ động 1.1.1 Tấn công từ chối dịch vụ 1.1.2 Tấn công thay đổi tin 1.2 Khái niệm tổng quát công DDOS PHẦN : CÁC KỸ THUẬT TẤN CÔNG DDoS 2.1 Tấn công cạn kiệt tài nguyên 10 2.1.1 Tấn công theo lỗ hổng giao thức 10 2.1.2 Tấn công tin không xác định 11 2.2 Tấn công cạn kiệt băng thông 12 2.2.1 Tấn công tràn tài nguyên (Floodbandwith) 12 2.2.2 Tấn công khuếch đại 14 PHẦN : MỘT SỐ PHƯƠNG PHÁP NGĂN CHẶN .15 3.1 Chặn ip source 15 3.2 Sử dụng firewall policy 16 PHẦN : MÔ PHỎNG CUỘC TẤN CÔNG SYN-FLOODING .16 4.1 Công cụ thực 17 4.2 Tổng quan bước thực sản phẩm 17 TỔNG KẾT 22 TÀI LIỆU THAM KHẢO 23 Bài thi cuối kỳ môn ANM THUẬT NGỮ VIẾT TẮT DDOS Distributed Denial of Service Tấn công từ chối dịch vụ phân tán DNS Domain Name System Hệ thống tên miền POD Ping of Dead Tấn công ping TCP Tranmisstion Control Protocol Giao thức khiển truyền vận UDP User Datagram Protocol Giao thức liệu người dùng PoD Ping Of Dead ICMP Internet Control Message Protocol Giao thức điều khiển truy cập mạng Bài thi cuối kỳ mơn ANM DANH MỤC HÌNH VẼ Hình : Tấn cơng từ chối dịch vụ DOS Hình : Tấn công thay đổi tin Hình : DDOS attack Hình : Mơ hình phân nhánh kỹ thuật tấncông Hình : TCP - Three handshake 10 Hình : Syn - flood 11 Hình : Mơ hình cơng POD 12 Hình : Bot request Visitor request 13 Hình : Mơ hình cơng UDP flood 14 Hình 10 : Mơ hình cơng Khuếch đại DNS 15 Hình 11 : bảo vệ máy tính firewall 16 Hình 12 : Policy firewall 16 Hình 13 : Kali kết nối thành cơng với máy chủ Win 17 Hình 14: PC admin kết nối thành công với máy chủ Win 17 Hình 15 : Tình trạng máy chủ trước công 18 Hình 16 : khởi chạy megaspoit 19 Hình 17 : Quét port 19 Hình 18 : cài đặt thơng số bắt đầu tán công 19 Hình 19 : Quan sát tình trạng máy chủ 21 Bài thi cuối kỳ môn ANM DANH MỤC BẢNG BIỂU Bảng : So sánh khác kiểu công Bài thi cuối kỳ mơn ANM LỜI NĨI ĐẦU Từ cơng nghệ số 4.0 phát triển cách vượt bậc , cá nhân thấy tiện lợi từ mang lại Tuy nhiên, kèm với tiện lợi trải nghiệm thoải mái vấn nạn an ninh , an toàn mạng thông tin ngày bị réo lên hồi chuông gay gắt Mỗi tham gia truy cập internet trở thành đối tượng kẻ công nhằm ăn cắp thông tin chế bảo mật từ người dùng để nhắm mục đích xấu xa diễn Chính , từ kiến thức quý giá học môn An ninh mạng viễn thơng, tiểu luận cuối kỳ nhóm 10 chúng em định lựa chọn đề tài công DDoS – vấn nạn an ninh mạng tương lai tiếp diễn Bài tiểu luận chúng em tập chung vào cách thức công nguyên lý công phân tán DOS bao gồm phần : Phần : Khái niệm tổng quát Đề cập đến khái niệm tổng quát cơng có an ninh mạng truyền thơng Phần : Các kỹ thuật công DDOS Phần : Một số phương pháp ngăn chặn Phần : Mô cơng SYN-flood Trong q trình học tập môn , chúng em tiếp thu nhiều kiến thức liên quan đến bảo mật xác thực Chúng em xin gửi lời cảm ơn đặc biệt tới giảng viên - PGS.TS Phạm Anh Thư, trực tiếp hướng dẫn giảng dạy cho chúng em môn An ninh mạng viễn thông khoa học thực tiễn, giúp chúng em hồn thành tiểu luận tốt Chúng em xin gửi lời cảm ơn tới Học viện tạo điều kiện cho sinh viên có hội tham gia học tập nghiên cứu môn An ninh mạng viễn thông Bài tiểu luận cịn nhiều sai sót , chúng em mong thầy phê bình góp ý thêm để chúng em hoàn thành tốt vào luận lần sau Chúng em xin chân thành cảm ơn ! Bài thi cuối kỳ môn ANM PHẦN : KHÁI NIỆM TỔNG QUÁT 1.1 Khái niệm công chủ động Tấn công chủ động cơng kẻ cơng cố gắng sửa đổi thông tin tạo thông báo sai Việc ngăn chặn cơng khó khăn loạt lỗ hổng vật lý, mạng phần mềm tiềm Thay phịng ngừa, nhấn mạnh vào việc phát công phục hồi từ gián đoạn chậm trễ gây Bảng so sánh khác kiểu công phổ biến : Cơ sở so sánh Mức ảnh hưởng Tấn công chủ động Ảnh hưởng đến hệ thống Tấn công bị động Không ảnh hưởng Sửa đổi thông tin Diễn Không diễn Mối đe dọa Tính tồn vẹn tin Bảo mật Nhận biết công Nạn nhân thông báo công Phát Không thể nhận biết Nhấn mạnh Phòng ngừa Bảng : So sánh khác kiểu công 1.1.1 Tấn công từ chối dịch vụ Tấn công từ chối dịch vụ kẻ cơng chặn tồn tin làm sập hoàn toàn mạng Tiêu biểu , DOS (Denial of Service) Tấn công từ chối dịch vụ DoS công nhằm làm sập máy chủ mạng, khiến người dùng khác truy cập vào máy chủ/mạng Kẻ cơng thực điều cách "tuồn" ạt traffic gửi thơng tin kích hoạt cố đến máy chủ, hệ thống mạng mục tiêu, từ khiến người dùng hợp pháp (nhân viên, thành viên, chủ tài khoản) truy cập dịch vụ, tài nguyên họ mong đợi Hình : Tấn cơng từ chối dịch vụ DOS Hình mơ tả việc cơng chủ động từ máy client đến máy chủ victim DOS công từ nguồn Bài thi cuối kỳ môn ANM 1.1.2 Tấn công thay đổi tin Hình : Tấn cơng thay đổi tin Hình mơ tả cơng chủ động , cụ thể công thay đổi tin việc : Kẻ công (Darth) cách , đánh cắp tin từ người gửi (BoB) đến người nhận (Alice) Sau đó, thay đổi tin gửi cho người nhận (Alice) người nhận không nhận biết điều 1.2 Khái niệm tổng quát công DDOS DDoS ( Distributed denial of service ) - từ chối dịch vụ phân tán Tấn công DDoS nỗ lực làm sập dịch vụ cách làm tải từ nhiều nguồn khác nhau, làm cho server đáp ứng yêu cầu sử dụng dịch vụ từ client (máy khách) Bằng cách lợi dụng lỗ hổng bảo mật khơng hiểu biết,attacker dành quyền điều khiển máy tính bạn Sau đó,chúng dùng máy tính bạn gửi liệu lớn website thư rác đến địa email Đây kiểu cơng phân tán , attacker dùng nhiều máy tính số lượng lớn bao gồm máy tính bạn để gửi mã độc để thực mục đích So với loại cơng khác, DDoS có chế độ cơng đơn giản hơn,tuy nhiên ngày tinh vi Có loại cơng bật làm rõ phần : - Volume-based: Sử dụng lưu lượng truy cập cao để làm tràn ngập băng thông mạng Protocol: Tập trung vào việc khai thác tài nguyên máy chủ Bài thi cuối kỳ môn ANM - Application: Tập trung vào ứng dụng web xem loại công tinh vi nghiêm trọng Hình : DDOS attack PHẦN : CÁC KỸ THUẬT TẤN CƠNG DDoS Tấn cơng DDoS ngày trở nên phổ biến với nhiều kỹ thuật công khác Các thức thực hầu hết đơn giản, nhiên chúng gây thiệt hại lớn tài nguyên băng thông Các kỹ thuật cơng phổ biến khơng dễ để phịng bị phịng ngừa Hình : Mơ hình phân nhánh kỹ thuật tấncơng Hình miêu tả tổng qt kỹ thuật cơng DDoS Hình vẽ thể đa dạng cách thức công DDoS Bài thi cuối kỳ môn ANM 2.1 Tấn công cạn kiệt tài nguyên Kiểu công công cạn kiệt tài nguyên , định nghĩa kiểu cơng kẻ cơng gửi gói tin dùng protocol sai chức năng, gói tin mục đích để làm tắc nghẽn tài nguyên mạng Nhằm làm cho server cạn kiệt tài nguyên hệ thống phục vụ người dùng thống Có loại cơng : - Gửi tin khó hiểu - Khai thác sâu lỗ hổng giao thức 2.1.1 Tấn công theo lỗ hổng giao thức Giao thức phổ biến mà DDOS dùng để công giao thức TCP (syn-flood) Kẻ công tập chung vào giao thức bắt tay bước (three handshake) TCP Cơ chế hoạt động TCP : hoạt động mơ hình client-server Server gửi liệu chúng nhận yêu cầu bắt tay bước thiết lập thành cơng giao thức Hình miêu tả bước để thực giao thức bắt tay bước thành cơng Hình : TCP - Three handshake Lợi dụng lỗ hổng việc bắt tay bước server – client Kẻ công tiến hành bước gửi gói tin SYN yêu cầu bắt tay bước , nhiên không phản hồi cho server gói tin ACK (segment +1) để hồn thành trình thiết lập phiên TCP 10 Bài thi cuối kỳ mơn ANM Hình : Syn - flood Cuộc công Syn-flooding máy chủ A client X hình miêu tả lần đầu phiên thiết lập thành cơng bình thường sau công Syn flooding Khi server nhận nhiều tin SYN mà thiết lập thành công, tượng tăng tải CPU xuất Server rơi vào trạng thái chờ đợi (đợi gói ACK từ X) server liện tục gửi lại X gói tin ACK thiết lập kết nối Do vậy, khách hàng thống khơng thể thiết lập phiên TCP với server để khai thác tài nguyên dẫn đến dịch vụ truy cập xuống 2.1.2 Tấn công tin khơng xác định Có nhiều kiểu cơng cách gửi tin không xác định, nhiên chúng em để cập đến phương pháp tiêu biểu, phương pháp có tên Ping Of Dead(PoD) Cuộc công PoD cơng từ chối dịch vụ, kẻ cơng gửi gói tin có kích thước lớn kích thước tối đa mà hệ thống chúng muốn công cho phép, việc dẫn đến hệ thống bị đóng băng sập Hiện phương pháp PoD bớt phổ biến nhiều mà thay vào phương pháp khác gọi ICMP flood attack * Cách thức hoạt động công PoD: Giao thức điều khiển truyền tin Internet (ICMP) hồi đáp tin nhắn hay “ping”, giao thức mạng sử dụng để kiểm tra kết nối mạng hoạt động giống sóng siêu âm - “xung” gửi “tiếng vọng” từ xung cho hệ thống 11 Bài thi cuối kỳ môn ANM biết thông tin môi trường Nếu kết nối hoạt động, máy nguồn nhận phản hồi từ hệ thống nhắm đến Trong số gói tin ping nhỏ, gói ping IP4 lớn nhiều lớn kích thước gói tối đa cho phép 65,535 byte Một số hệ thống TCP/IP không thiết kế để xử lý gói tin lớn mức tối đa, khiến chúng dễ bị công gói lớn kích thước tối đa cho phép Hình : Mơ hình cơng POD Gói tin độc hại có kích thước lớn, gói tin gửi từ kẻ cơng bị chia làm phân mảnh nhỏ để không vượt giới hạn cho phép Sau nhận được, hệ thống đích tập hợp gói tin lại tạo thành gói có kích thước lớn dẫn đến việc tràn đệm buộc hệ thống phải ngừng hoạt động phải khởi động lại 2.2 Tấn công cạn kiệt băng thông 2.2.1 Tấn công tràn tài nguyên (Floodbandwith) UDP flood attack loại công từ chối dịch vụ số lượng lớn gói tin UDP gửi đến máy chủ với mục đích lấn át khả xử lý phản hồi thiết bị Tường lửa bảo vệ máy chủ trở nên tải , dẫn đến từ chối dịch vụ lưu lượng truy cập hợp pháp * Cách thức hoạt động công UDP flood attack: UDP flood hoạt động chủ yếu cách khai thác bước mà máy chủ thực phản hồi gói UDP gửi đến cổng Trong điều kiện bình thường, máy chủ nhận gói UDP cổng cụ thể, trải qua hai bước để phản hồi: Bước 1: Trước tiên, máy chủ kiểm tra xem có chương trình trực để phản hồi yêu cầu cổng định hay khơng Bước 2: Nếu khơng có chương trình nhận gói tin cổng đó, máy chủ phản hồi gói ICMP (ping) để thơng báo cho người gửi gói tin khơng thể truy cập đích Ta liên hệ đến thực tế: server lễ tân khách sạn công việc điều tiết gọi đến phòng khách sạn Đầu tiên, lễ tân nhận điện thoại yêu cầu kết nối với phòng cụ thể Lễ tân xem qua danh sách để đảm bảo khách có phịng sẵn sàng nhận gọi Nếu mà lễ tân nhận khách phịng khơng nhận gọi lễ tân phải thực gọi lại cho 12 Bài thi cuối kỳ môn ANM người yêu cầu gọi nói khách khơng nhận gọi Nếu tất đường dây điện thoại sáng lên đồng thời có chung yêu cầu tương tự lễ tân ko thể phản hồi kịp dẫn đến tải Hình : Bot request Visitor request Khi gói UDP máy chủ nhận, trải qua bước để xử lý yêu cầu, sử dụng tài ngun máy chủ q trình Khi gói UDP truyền đi, gói bao gồm địa IP thiết bị nguồn Trong kiểu công DDoS này, kẻ công thường không sử dụng địa IP thực chúng mà thay vào sử dụng đại giả mạo IP nguồn gói UDP, che giấu địa thật Do máy chủ sử dụng tài nguyên để kiểm tra sau phản hồi gói UDP nhận, tài nguyên nhanh chóng cạn kiệt nhận lượng lớn gói UDP, dẫn đến từ chối dịch vụ lưu lượng truy cập bình thường 13 Bài thi cuối kỳ mơn ANM Hình : Mơ hình cơng UDP flood 2.2.2 Tấn cơng khuếch đại Cuộc công DDoS cơng từ chối dịch vụ (DDoS) , kẻ công sử dụng chức DNS Resolve mở để áp đảo máy chủ hệ thống mạng với lượng lưu lượng truy cập khuếch đại, làm máy chủ sở hạ tầng xung quanh khơng thể tiếp cận * Cách thức hoạt động công khuếch đại DNS Resolver: Tất công khuếch đại khai thác chênh lệch mức tiêu thụ băng thông kẻ công tài nguyên web Khi chênh lệch tăng lên theo nhiều request, kết làm gián đoạn sở hạ tầng mạng Bằng cách gửi truy vấn nhỏ khối lượng thông tin phản hồi lớn, kẻ công cần gửi gói tin nhỏ gây ảnh hưởng lớn đến web resource Bằng cách sử dụng hệ thống botnet, bot mang request tương tự nhau, kẻ cơng vừa ẩn danh gia tăng lưu lượng công Do bot thực yêu cầu DNS Resolver mở địa IP giả mạo, địa IP giả mạo địa IP nguồn nạn nhân, nạn nhân sau nhận phản hồi từ trình DNS Resolver Để tạo lượng lớn lưu lượng truy cập, kẻ công thiết lập yêu cầu để phản hồi từ DNS Resolver lớn tốt Kết nạn nhân nhận phản hổi khuếch đại từ DNS Resolver với lưu lượng giả, gây việc hệ thống bị treo sập 14 Bài thi cuối kỳ môn ANM Hình 10 : Mơ hình cơng Khuếch đại DNS Q trình cơng khuếch đại chia thành bước: Bước 1: Kẻ công gửi gói tin UDP có địa IP giả mạo đến DNS Resolver Địa giả mạo địa nạn nhân Bước 2: Mỗi gói tin UDP thực yêu cầu đến DNS Resolver , thường chuyển đổi số thành “ANY” để nhận phản hồi lớn Bước 3: Sau nhận yêu cầu, DNS Resolver gửi phản hồi đến địa IP giả mạo Bước 4: Nạn nhân nhận lượng lớn phản hồi từ DNS Resolver, hệ thống mạng nạn nhân bị tải, dẫn đến yêu cầu người dùng thường không đáp ứng PHẦN : MỘT SỐ PHƯƠNG PHÁP NGĂN CHẶN Thật , việc công DDoS đến chưa ngăn chặn hồn tồn công đa dạng công nhằm vào đánh sập dễ nhầm lẫn với việc truy cập máy khách client Tuy nhiên , có vài phương pháp để giảm phịng ngừa cơng DDOS 3.1 Chặn ip source Sau xác định đươc tính trạng cơng từ attacker đến , Server trang web sử dụng firewall để bảo vệ máy tính khỏi cơng cách xác định ip source đáng nghi vấn chặn hoàn toàn ip source Nhóm 10 | 15 Bài thi cuối kỳ mơn ANM Hình 11 : bảo vệ máy tính firewall Tuy nhiên,độ hiệu phương thức chưa cao kẻ cơng thay đổi địa ip source gửi đến server Chi tiết nhóm trình bày phần 3.2 Sử dụng firewall policy Firewall thiết bị thiếu với server cấu trúc mạng doanh nghiệp vừa nhỏ Ngày nay, có nhiều dịng firewall hỗ trợ tính thiết lập Policy chặt chẽ Hình 12 policy firewall Một policy thiết lập chi tiết dẫn đến bảo mật cao PHẦN : MÔ PHỎNG CUỘC TẤN CÔNG SYN-FLOODING Như đề cập (phần 2.1.1) , chúng em xin phép dựng mô công SYN-flood theo nguyên lý đề cập phần Nhóm 10 | 16 Bài thi cuối kỳ mơn ANM 4.1 Công cụ thực Dựa vào điều kiện thực tế, mơ hình cơng nhóm dựng kèm để thực bao gồm: Kali Linux 2021.2 (192.168.1.85) Win–xp Server (192.168.1.83) Host Client PC Admin (192.168.1.82) Máy ảo Vm-ware workstastion 4.2 Tổng quan bước thực sản phẩm Bước : Dựng thành công máy ảo VM-ware, Kali Linux , Win–xp server máy ảo, toàn chung dải địa LAN máy thật 192.168.1.0/24 Kiểm tra kết nối lệnh ping Hình 13 : Kali kết nối thành cơng với máy chủ Win Hình 14: PC admin kết nối thành cơng với máy chủ Win Nhóm 10 | 17 Bài thi cuối kỳ mơn ANM Hình 15 : Tình trạng máy chủ trước công Bước : Sau kiếm tra kết nối xác định mục tiêu công , attacker (Kali) tiến hành quét port 445 mở máy sau thực cơng cơng cụ megapoilt Nhóm 10 | 18 Bài thi cuối kỳ mơn ANM Hình 16 : khởi chạy megaspoit Hình 17 : Quét port Hình 18 : cài đặt thơng số bắt đầu tán cơng Nhóm 10 | 19 Bài thi cuối kỳ môn ANM Cài đặt thông số bắt buộc cho công, : Rhost : địa máy chủ server bị công Rport : port quét máy chủ Rhost : giả mạo địa IP để tránh bị phát Timeout : thời gian đợi phản hồi Bước 3: Quan sát từ server bị công ta thấy : o Tình trạng 100% CPU, tăng tải o Trên wizeshark, bắt gói tin từ địa nguồn giả mạo gửi SYN liên tục mà khơng có tin ACK segquence number +1 Nhóm 10 | 20 Bài thi cuối kỳ mơn ANM Hình 19 : Quan sát tình trạng máy chủ Nhóm 10 | 21 Bài thi cuối kỳ môn ANM TỔNG KẾT Cuộc công tiếp tục trì thời gian đủ lớn dẫn đến việc SERVER tăng tải lâu treo máy,đơ máy sập dịch vụ không phát kịp thời DdoS nguy tiềm tàng bộc phát lúc khơng có sách bảo vệ ngăn ngừa kịp thời Qua tiểu luận cuối kỳ, cá nhân nhóm chúng em ơn tập tổng hợp lại nhiều kiên thức Mỗi thành viên qua tiểu luận học hỏi thêm nhiều kiến thức an ninh mạng bảo mật , kiến thức mạng, giao thức như: - Tấn công chủ động , cơng bị động Ơn tập lại giao thức TCP/UDP Một số phương pháp bảo mật Những công phổ biến Hậu nghiêm trọng công DDOS Cách khắc phục phát nhanh công Vậy qua tiểu luận trên, chúng em có hệ thống phần việc bảo mật ứng dụng bảo mật thông tin mạng truyền thơng Qua đó, ý thức hóa thân cần phải làm hành động để bảo vệ thơng tin cơng nghiệp 4.0 ngày tăng mạnh tương lai cịn nhiều mối lo ngại sâu sắc Nhóm 10 | 22 Bài thi cuối kỳ môn ANM TÀI LIỆU THAM KHẢO Dũng, N P (2013) An ninh mạng viễn thông Hà Nội Thư,N.A.(2021).Slide giảng an ninh mạng viễn thông,Hà Nội https://resources.cystack.net/cach-chong-cuoc-tan-cong-ddos https://www.thegioifirewall.com https://vi.wikipedia.org https://www.cloudflare.com/learning/ddos/dns-amplification-ddos-attack/ https://www.cloudflare.com/learning/ddos/ping-of-death-ddos-attack/ https://www.cloudflare.com/learning/ddos/udp-flood-ddos-attack/ Nhóm 10 | 23 Bài thi cuối kỳ mơn ANM Nhóm 10 | 24 ... niệm công chủ động 1.1.1 Tấn công từ chối dịch vụ 1.1.2 Tấn công thay đổi tin 1.2 Khái niệm tổng quát công DDOS PHẦN : CÁC KỸ THUẬT TẤN CÔNG DDoS 2.1 Tấn công. .. 2.1.1 Tấn công theo lỗ hổng giao thức 10 2.1.2 Tấn công tin không xác định 11 2.2 Tấn công cạn kiệt băng thông 12 2.2.1 Tấn công tràn tài nguyên (Floodbandwith) 12 2.2.2 Tấn công. .. Tập trung vào ứng dụng web xem loại công tinh vi nghiêm trọng Hình : DDOS attack PHẦN : CÁC KỸ THUẬT TẤN CƠNG DDoS Tấn cơng DDoS ngày trở nên phổ biến với nhiều kỹ thuật công khác Các thức thực