Bài thi cuối kì môn ANM 1 | P a g e HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG BÀI TIỂU LUẬN Các kiểu tấn công mạng và biện pháp phòng chống Bài thi cuối kì môn ANM ó 2 | P a g e MỤC LỤC BẢNG PHÂ[.]
Bài thi ći kì mơn ANM HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG BÀI TIỂU LUẬN Các kiểu cơng mạng biện pháp phịng chống | Page Bài thi cuối kì môn ANM MỤC LỤC BẢNG PHÂN CHIA CÔNG VIỆC DANH MỤC HÌNH VẼ DANH MỤC BẢNG I Mở đầu Tấn công mạng gì? Đối tượng bị công: Những đối tượng công mạng: Mục đích cơng mạng gì? II Các kiểu công không gian mạng Tấn công thụ động: Tấn công chủ động: 2.1 Tấn công mạo danh: 2.2 Tấn công phát lại: 11 2.3 Thay đổi tin: 13 2.4 Tấn công từ chối dịch vụ: 15 III Các biện pháp chung phòng ngừa công không gian mạng 22 IV Kết Luận 23 Tài liệu tham khảo 24 ó | Page Bài thi cuối kì mơn ANM BẢNG PHÂN CHIA CƠNG VIỆC Bùi Minh Hoàng Nguyễn Hữu Nam Lê Đức Thành I, Mở đầu II, Các kiểu tấn công không gian mạng: Tấn công thụ động Tấn công chủ động III, Các biện pháp chung phòng ngừa tấn công không gian mạng 2.1 Tấn công mạo danh 2.2 Tấn công phát lại 2.3 Thay đổi tin 2.4 Tấn công từ chới dịch vụ IV, Kết Ḷn DANH MỤC HÌNH VẼ Hình Phương thức tấn cơng thụ đợng Hình Phương thức tấn công chủ động Hình Tấn cơng mạo danh Hình Tấn cơng phát lại 11 Hình Thay đổi tin 13 Hình Mơ hình bắt tay bước thiết lập phiên truyền thơng 17 Hình Mơ hình tấn cơng SYN flood attacks 18 Hình Mơ hình Smurf attack 19 Hình Mơ hình LAND attacks 20 DANH MỤC BẢNG Bảng So sánh DoS DDoS 16 | Page Bài thi cuối kì môn ANM I Mở đầu • Theo chuyên gia an ninh mạng, vấn đề bảo mật khơng gian mạng là khơng có tính tụt đới Ngay những q́c gia phát triển, hay các cường quốc ngành công nghệ thông tin, bảo mật Anh, Pháp, Đức, Mỹ, Trung Quốc, vẫn bị Hacker tấn công Với xu thế phát triển rất mạnh của cuộc cách mạng công nghiệp 4.0 toàn thế giới, đó có Việt Nam, việc bùng nổ thiết bị số, IoT… càng tiềm ẩn nhiều nguy bị tấn công bị kẻ xấu lợi dụng để tấn công vào hạ tầng mạng, sở dữ liệu.Các mối đe dọa an ninh mạng hiện tập trung vào kỹ thuật phising, DDoS phát tán các mã độc, mạng máy tính ma, Hacker tấn cơng có thể đánh cắp dữ liệu để lấy thông tin nhạy cảm của tổ chức, cá nhân để nhằm mục đích xấu bên cạnh đó có những mục đích tốt Nhưng trước tiên cần hiểu rõ tấn công mạng là gì ? Các kiểu tấn công mạng mục đích ?… Bài tiểu luận của chúng em với mục đích làm rõ khái quát những vấn đề đó của tấn công mạng một số biện pháp, cách thức phòng chống của các kiểu tấn công phổ biến mạng hiện Tấn cơng mạng gì? - Tấn cơng mạng hay cịn gọi chiến tranh khơng gian mạng, khái niệm tấn công mạng (hoặc “tấn công không gian mạng“) tiếng Anh là “CYBER ATTACK”, ghép bởi từ: “Cyber” (thuộc nghĩa là không gian mạng Internet) và “Attack” ( là những tấn công, phá hoại) Có thể hiểu tấn cơng mạng tất hình thức xâm nhập trái phép vào mợt hệ thống máy tính, website, sở dữ liệu, hạ tầng mạng, thiết bị của một cá nhân tổ chức… thông qua mạng internet với những mục đích bất hợp pháp Đối tượng bị công: - Đối tượng bị tấn cơng có thể cá nhân, doanh nghiệp, tổ chức nhà nước Các Hacker tiếp cận thơng qua mạng nợi bợ (gồm máy tính, thiết bị, người) Trong ́u tớ người, hacker có thể tiếp cận thông qua thiết bị di động, mạng xã hội, ứng dụng phần mềm… | Page Bài thi cuối kì môn ANM Những đối tượng công mạng: - Ban đầu, những kẻ tấn công mạng gọi Cyber-crime (tội phạm mạng), nhiên họ thường biết đến cái tên “Hacker” (kẻ xâm nhập), ở Việt Nam thì quen gọi tin tặc Các hacker những người có kiến thức chuyên sâu an ninh mạng, khoa học máy tính, khoa học mật mã, sở dữ liệu,…Thậm chí, kiến thức của các Hacker còn đánh giá là sâu và rộng các Kỹ sư CNTT thông thường Mục đích cơng mạng gì? - Mục tiêu của một cuộc tấn công mạng rất đa dạng, có thể đánh cắp, thay đổi, mã hóa, phá hủy, có thể nhắm tới phá hoại tồn vẹn của hệ thớng (gây gián đoạn, cản trở dịch vụ), hay đơn giản chỉ là lợi dụng tài nguyên của nạn nhân (hiển thị quảng cáo, mã độc đào tiền ảo…) Bên cạnh những mục đích phổ biến trục lợi phi pháp, tống tiền doanh nghiệp, hiện thị quảng cáo kiếm tiền, cịn tồn tại một số mục đích khác phức tạp nguy hiểm hơn: Cạnh tranh không lành mạnh giữa công ty và doanh nghiệp, tấn công an ninh kinh tế của một quốc gia, tấn công đánh sập một tổ chức tơn giáo, v.v - Ngồi ra, mợt sớ hacker tấn công mạng chỉ để mua vui, thử sức, tị mị ḿn khám phá vấn đề an ninh mạng Nhưng có thể chia làm kiểu mục đích chính là: Tích cực: Tìm những lỗ hổng bảo mật, những nguy tấn công mạng cho cá nhân tổ chức từ đó chỉ giải pháp phịng chớng, ngăn chặn đe dọa từ tin tặc Tiêu cực: Phá hoại, lừa đảo tống tiền, mua vui, đe dọa nạn nhân ➢ Một cuộc tấn cơng khơng gian mạng bất kỳ hình thức tấn cơng của q́c gia, cá nhân, nhóm tổ chức nhắm vào hệ thống thông tin máy tính, các sở hạ tầng, mạng máy tính thiết bị máy tính cá nhân Các c̣c tấn công bởi một hay nhiều cách khác bằng các hành vi đợc hại thường có nguồn gớc từ một nguồn giấu tên, mà đánh cắp, thay đổi, hủy hoại một mục tiêu cụ thể bằng cách hack vào một hệ thống dễ bị tổn thương Đây có thể chiến dịch không gian mạng, chiến tranh mạng khủng bố không gian mạng ngữ cảnh khác Tấn cơng mạng có thể từ việc cài đặt phần mềm gián điệp máy tính cá nhân để cố gắng để phá hủy sở hạ tầng của quốc gia Tấn công mạng ngày trở nên phức tạp nguy hiểm Tiêu biểu có thể kể đến mợt vài c̣c tấn cơng tiếng khơng gian mạng như: • Trong tháng 11 năm 2009, xảy một cố tin tặc tại trung tâm nghiên cứu khí hậu của Đại học East Anglia (còn gọi Climategate giới truyền thông) qua đó các tài liệu của nhà nghiên cứu tại Đơn vị nghiên cứu khí hậu (CRU) của Đại học East Anglia (Vương quốc Anh) bị tin tặc đánh cắp phát tán lên | Page Bài thi cuối kì môn ANM Internet Sự cố cáo buộc không trung thực khoa học sau đó đới với nhà khoa học khí hậu trước thềm Hợi nghị biến đổi khí hậu của Liên Hợp Quốc tại Copenhagen, gây cuộc tranh cãi sôi các blog và đề cập đến các phương tiện truyền thông quốc tế Các tài liệu quan trọng bí mật với khoảng 1.073 thư điện tử 3485 tập tin khác - từ năm 1996-2009 theo Philip D Jones, giám đốc của CRU, bị đánh cắp và là tổn thất rất lớn gây hậu nghiêm trọng đến uy tín danh dự của tổ chức • Vào ngày 20 tháng năm 2013, xảy một vụ tấn công mạng chống lại các nhà băng và các đài truyền hình tại Hàn Q́c Cùng lúc khoảng 14 trưa có những xáo trợn lớn mạng máy tính Bợ Q́c phịng Hàn Quốc tại Seoul nâng mức cảnh báo đối với mối đe dọa không gian mạng lên điểm một quy mô điểm cảnh báo báo đợng của nước • Ći năm 2014 các chuyên gia CNTT, quy cho từ Liên bang Nga, xâm nhập hệ thớng máy tính của cơng ty vũ khí của Thụy Sĩ, RUAG, đánh cắp sớ dữ liệu dự án bí mật của Bợ Q́c phịng nước • Trong cùng năm 2014 đó dữ liệu của 500 triệu người sử dụng tại Yahoo bị đánh cắp Bộ Tư pháp Mỹ đưa vấn đề này vào tháng năm 2017 với một cáo trạng đối với hai nhân viên mật vụ FSB của Nga • Vào tháng năm 2015, có mợt c̣c tấn cơng tồn diện vào hệ thớng mạng máy tính ở Bundestag Đức • Trong tháng 12 năm 2015, có một cuộc tấn công của hacker vào quan cung cấp điện lực Ukraina, dẫn đến vài mất điện ở miền tây Ukraina • Năm 2016 những kẻ phạm pháp nhiều lần tìm cách lọt vào hệ thớng trả tiền tồn cầu SWIFT Một lần họ thành công và cướp nhất 81 triệu Dollar từ ngân hàng Trung ương Bangladesh • Trong tháng năm 2017, mợt c̣c tấn cơng mạng tồn cầu với phần mềm đợc hại WannaCry, lợi dụng mợt lỗ hổng của Windows, khóa ổ cứng của 230 ngàn máy tính từ 150 quốc gia bị tấn công khiến cho thế giới mạng điêu đứng phải thay đổi cách đánh giá loại hình tợi phạm khơn gian mạng vì chính là một những loại hình tợi phạm dần trở nên phổ biến nguy hiểm nhất hiện | Page Bài thi cuối kì môn ANM II Các kiểu công không gian mạng Tấn công thụ động: - Tấn cơng thụ đợng hay cịn gọi tấn cơng bị động là các đối tượng tấn công mạng cố gắng thực hiện hành vi đánh cắp hay thu thập, lợi dụng thông tin hệ thống không làm ảnh hưởng đến các tài nguyên là những mật từ email, HTTP, telnet, … - Là các hành động nghe trộm, giám sát các hoặt động một cách truyền thống Có kiểu: o Xem trộm nội dung các tin o Phân tích luồng thông tin còn xem cuộc tấn công chặn nắm hệ thống thông tin mạng cho phép hacker thực hiện các hành động Rất khó để phát hiện kiểu tấn công này chúng không liên quan đến bất kỳ thay đổi nào của dữ liệu và làm người dùng mất dữ liệu vào tay kẻ tấn công mà không hay biết - Ngăn ngừa kiểu tấn công này bằng cách sử dụng các kiểu mật mã hóa dữ liệu Hình Phương thức công thụ động | Page Bài thi cuối kì môn ANM Tấn công chủ động: - Là các hành động cố gắng thay đổi các tài nguyên hệ thống gây ảnh hưởng đến các hoạt động của người dùng - Những cuộc tấn công trực tiếp thông thường sử dụng giai đoạn đầu để chiếm quyền truy nhập bên thường liên quan đến việc sửa đổi dòng dữ liệu tạo sai lệch của dòng dữ liệu Tấn công chủ đợng mợt hình thức tấn cơng mạng tinh vi và đòi hỏi kỹ thuật cao, tốn Tuy hiện khơng phải hình thức tấn công phổ biến tương lại đem lại nhiều ảnh hưởng rắc rối cho doanh nghiệp nếu không đề cao cảnh giác đối với loại tấn cơng - Biện pháp tớt nhất để phịng vệ cho kiểu tấn cơng này bảo mật máy tính của người dùng các ứng dụng cập nhật thường xuyên Có đầy đủ ứng dụng bảo mật tường lửa, chống malware, phần mềm quét virus … Nhìn chung kiểu tấn công này chia thành bốn loại chính: Tấn công mạo danh (Masquerade) Tấn công phát lại tin (Replay) Tấn công theo kiểu thay đổi tin Tấn công theo kiểu từ chới dịch vụ Hình Phương thức cơng chủ động | Page Bài thi cuối kì môn ANM 2.1 Tấn công mạo danh: 2.1.1 Tấn công mạo danh ? - Tấn cơng mạo danh (Masquerade): Là c̣c tấn cơng sử dụng tính danh giả mạo để có thể truy cập khơng thức thiết bị của người dùng điện thoại, máy tính của cá nhân hay tổ chức thông qua nhận dạng truy cập hợp pháp Các cuộc tấn công giả mạo thường thực hiện bằng cách sử dụng tài khoản mật đánh cắp của người dung để đăng nhập, xác định lỗ hổng chương trình q trình xác thực C̣c tấn cơng này thực hiện bởi người nào đó tổ chức người ngồi nếu tổ chức đó kết nới với mạng cơng cợng Hình Tấn cơng mạo danh o Mô tả: Nạn nhân Bob Alice, kẻ tấn công Darth Sau đánh cắp thông tin, dữ liệu người dùng của Bob Darth giả mạo Bob tiến hành một cuộc tấn công giả mạo để thực hiện một cuộc giao dịch với Alice Như thường lệ, Alice yêu cầu xác thực thông tin dữ liệu người dùng của Bob, kẻ tấn công có thông tin dữ liệu của Bob chỉ cần dùng thông tin đó xác thực khiến cho Alice lầm tưởng kẻ tấn công Bob Xác thực thành công, Alice tiến hành giao dịch với Darth một người dùng hợp pháp | Page Bài thi cuối kì môn ANM 2.1.2 Một số cách kẻ công giả mạo đánh cắp thơng tin của người dung: - Có rất nhiều kĩ thuật để đánh cấp cắp thông tin cá nhân hay userdb, passdb của tài khoản người dùng hợp pháp, từ đó kẻ tấn cơng có thể mạo danh người dùng thực hiện hành vi truy nhâp hợp pháp vào hệ thớng và vượt qua q trình xác thực dễ dàng • Trường hợp nợi gián nhân viên của tổ chức hay người quen than thiết của người dùng hợp pháp, nợi gián có rất nhiều cách để có thông tin quay lén, đột nhập bằng thiết bị của người dùng hợp pháp, Có cách gián tiếp đó là cài phần mềm giám sát lên thiết bị của người dùng hợp pháp điển hình Keylogger , phần mềm theo dõi theo tác thực hiện bàn phím, ghi lại hình ảnh hình thiết bị của người dùng hợp pháp • Trường hợp khơng phải nợi gián mà người dùng hợp pháp nằm tầm ngắm của kẻ tấn công: - Tạo máy chủ giả: Những kẻ tấn cơng có thể thực hiện c̣c tấn công giả mạo bằng cách tạo máy chủ giả để thu thập thông tin cá nhân, tài khoản mật của người dùng Sau thu thập đầy đủ, kẻ tấn cơng có thể tùy ý sử dụng thơng tin để truy nhập vào hệ thống, vượt qua trình xác thực để thực hiện hành vi - Kẻ tấn công khai thác những lỗ hổng trên trang web hay một một hệ thống mà người dùng truy nhập với mục đích chiếm quyền sử dụng trang web, hệ thống để thu thập thông tin từ người dùng cung cấp - Ăn cắp dữ liệu thông tin người dùng sử dụng mạng công cộng kẻ tấn công tạo nên chỉ cần người dùng sử dụng truy nhập hệ thớng của kẻ tấn công có thông tin - Gửi email giả mạo: kẻ tấn công giả mạo tổ chức y tế, thuế, bảo hiểm gửi email mạo danh đến cho người dùng yêu cầu họ truy nhập cung cấp thông tin 2.1.3 Một số cách chống lại cơng mạo danh: • Sử dụng Firewall: Firewall bảo vệ thiết bị di đợng máy tính của người dùng khỏi cuộc tấn công mạng từ tin tặc không cho phép cài đặt phần mềm độc hại Firewall lựa chọn thiết yếu cho tổ chức cá nhân vì bảo vệ thơng tin cá nhân, dữ liệu, tài sản 10 | P a g e Bài thi cuối kì môn ANM • Bảo mật thiết bị: Thiết lập tài khoản mật cho thiết bị lưu trữ dữ liệu thông tin của tổ chức cá nhân Mật phải thường xuyên thay đổi và để mật ở đợ khó • Ln cập nhật phiển của phần mềm: Việc nhằm vá lỗi cho phiên trước tránh việc kẻ tấn công lợi dụng cố lỗi để xâm nhập vào hệ thớng và đánh cắp thơng tin • Sử dụng xác thực lớp bảo mật để nâng mức bảo mật lên cao nhất • Sử dụng mạng riêng ảo : Là giải pháp an tồn sử dụng mạng mạng tới ưu hóa quyền riêng tư • Hạn chế việc sử dụng mạng công cộng truy cập vào hệ thống thông tin, dữ liệu đăng nhập vào tài khoản ngân hàng, ví điện tử sử dụng mạng công cộng 2.2 Tấn cơng phát lại: 2.2.1 Tấn cơng phát lại gì? - Tấn công phát lại (replay attack): Là cuộc tấn công mạng bởi kẻ tấn công nghe lén phát hiện q trình truyền dữ liệu giữa đới tượng, kẻ tấn công cố chặn truyền dữ liệu khiến cho trình truyền dữ liệu bị gián đoạn lặp lặp lại việc truyền dữ liệu Việc làm cho cuộc tấn công này coi mợt hình thức truyền tải dữ liệu thơng thường tính hợp lệ của dữ liệu bị kẻ tấn công chặn truyền lại.Cuộc tấn cong phát lại giúp kẻ tấn cơng có quyền truy cập vào hệ thớng, mạng để thực hiện hành vi hợp pháp Hình Tấn công phát lại 11 | P a g e Bài thi cuối kì môn ANM o Mô tả: Với A user, B server, E attacker Server và khách hàng trao đổi thông tin dữ liệu qua lại Trong trình xác thực ban đầu, người dùng phải xác thực với server với thông tin tên mật của người dùng, tên mật gửi qua mạng dạng băm Thông tin đó gửi đến server để xác thực, kẻ tấn công chặn giữa mạng chuyển hướng thông tin băm đến thiết bị của họ Việc dẫn đến họ có của thông tin gửi từ người dùng tới server Kẻ tấn cơng có thể giả mạo người dùng hợp pháp bằng cách gửi thông tin tên mà mật băm đến server Lúc này, server coi điều này là một xác thực thông thường đến từ người dùng hợp pháp Điều đó có nghĩa là kẻ tấn cơng có quyền truy cập hợp pháp vào server 2.2.2 Một số cách chặn, chuyển hướng và đánh cắp thông tin liệu dùng đường truyền mạng: • ARP Poisoning : Là một lọaị tấn công mạng thực hiện qua mạng cục bộ Cuộc tấn công với mục đích kết hợp địa chỉ MAC của kẻ tấn công với địa chỉ IP của máy đích để bất kì lưu lượng truy cập nào gửi đến máy của kẻ tấn công Cuộc tấn công này thực hiện dựa vào việc kẻ tấn công giả mạo default gateway với mục đích đầu đọc bộ nhớ cache ARP để lừa thay thế dịa chỉ MAC của default gateway bằng địa chỉ MAC của kẻ tấn công lần nạn nhân gửi dữ liệu gửi tới cho kẻ tấn cơng • ARP spoofing : Cho phép kẻ tấn công chăn dữ , sửa đổi, chủn hướng thơng tin dữ liệu • Cịn nhiều kĩ thuật lợi dụng lỗ hổng ARP ARP cache poisoning hay ARP poison routing 2.2.3 Một số cách phòng chống cơng phát lại: • Ngăn chặn bằng giao thức xác thực Kerberos: Một những ưu điểm của Kerberos chống lại tấn công phát lại với chế đăng nhập một lần và chế xác thực của Autheticator Server Ticket Granting Server cung cấp cho người dùng vé cho phiên truy nhập Vé có tác dụng phiên truy nhập đó và có thời hạn nhất định Hơn nữa,giao thức xác thực Kerberos cịn cung cấp Nonce – sớ ngẫu nhiên sử dụng nhất một phiên truy cập đó Số Nonce phiên số ngẫu nhiên khác 12 | P a g e Bài thi cuối kì mơn ANM • Các nhà phát triển mạng cịn có biện pháp tránh kẻ tấn cơng hàm băm là đảm bảo client server giao tiếp qua kênh sử dụng giao thức mã hóa SSL TSL, vậy kẻ tấn cơng có thể lấy thông tin mã hóa kẻ tấn công không thể lấy thông tin dữ liệu băm hay bắt cứ thứ khác • Sử dụng ID phiên, ID phiên đó gửi cùng thông tin dữ liệu băm và mã hóa từ client đến server để xác thực ID phiên chỉ có tác dụng xác thực mợt lần kẻ tấn công nếu có đánh cắp thì khơng sử dụng lại • Đảm bảo giao tiếp giữa bên ln mã hóa, kẻ tấn cơng khơng thể có ID phiên, tài khoản mật băm các thông tin này mã hóa • Bảo mật cookie trình dụt web vì cookie là nơi chứa thông tin dữ liệu quan trình duyệt web 2.3 Thay đổi tin: 2.3.1 Thay đổi tin gì? - Thay đổi tin (Message modification attack): Là một dạng tấn công mạng với mục đích thay đổi thông tin dữ liệu phá hủy tính tồn vẹn của thơng tin dữ liệu gửi của để gây bất ổn giữa các đối tượng phiên giao tiếp Việc làm gây bất hịa nợi bợ mợt cơng ty tổ chức Hình Thay đổi tin 13 | P a g e Bài thi cuối kì môn ANM o Mô tả: Kịch xảy với Bob Alice nạn nhân, Darth kẻ tấn công Bob Alice bắt đầu thực hiện phiên giao dịch với qua đường truyền mạng.Bob gửi một tin yêu cầu tới Alice qua đường truyền mạng Darth – kẻ tấn công mạng trực chờ ở đó thực hiện các kĩ thuật chặn, chuyển hưởng tin của Bob đến máy của Darth ngăn không cho tin đến với Alice Khi kẻ tấn công có tin, thay đổi tin thêm, sửa, xóa gửi tin đến cho Alice Như vậy với việc điều khiển và thay đổi tin kẻ tấn cơng làm mất tính tồn vẹn của tin gây bất ổn cho nạn nhân 2.3.2 Một số cách để chặn, chuyển hướng tin để thay đổi tin đường truyền: • Với lỗ hổng ARP kẻ tấn cơng có thể khai vào với các kĩ tḥt tốn cơng mạng cục bộ ARP spoofing, ARP poisoning, nhằm chặn, chuyển hướng tin đường truyền và thay đổi tin gửi đến nạn nhân • DNS poisoning/spoofing : Là kĩ thuật chuyển hướng địa chỉ đích đến của tin gửi đến đích nhận Kĩ thuật có thể thực hiện khi kẻ tấn công chiếm quyền kiểm soát máy chủ DNS để thay đổi địa chỉ IP đích mà người dùng muốn gửi tin đến bằng một địa chỉ IP khác Với mục đích vậy có rất nhiều kĩ tḥt sinh mục đích vậy DNS hijacking, DNS cache Poisoning, • BGP hijacking: Là kĩ thuật chiếm quyền kiểm soát định tuyến kẻ tấn công cố tình định tuyến lại lưu lượng truy cập bằng giao thức BGP 2.3.3 Một số cách chống lại thay đổi tin: • Thay thế DNS bằng DNS SEC: Là công nghê bảo mật để bảo vệ hệ thống DNS chống lại các nguy DNS giả mạo, DNS cache poisoning, làm sai lệch dữ liệu • Đảm bảo đầu giao tiếp phải mã hóa thơng tin dữ liệu • Thường xun qt phần mềm đợc hại mà kẻ tấn cơng cớ tình cài vào thiết bị • Thay đổi mật cho bợ đinh tún • Sử dụng VPN vì VPN cho phép người dùng Internet mợt cách an tồn 14 | P a g e Bài thi cuối kì môn ANM 2.4 Tấn công từ chối dịch vụ: 2.4.1 Khái niệm: - Tấn công từ chối dịch vụ một thuật ngữ dùng để nói c̣c tấn cơng mạng mà đó kẻ tấn cơng khiến cho tài ngun máy tính không khả dụng Các mục tiêu thường bị nhắm đến tấn công từ chối dịch vụ thường là các server có thể thiết bị mạng khác là routers hay load balancers Có kiểu tấn công từ chối dịch vụ bao gồm: - Volume Based Attacks: Mục đích chính của kiểu tấn công làm cho băng thông của website hay hệ thống ở mức tối đa Có thể kể đến mợt vài ví dụ của kiểu tấn cơng này: UDP flood, ICMP flood, … - Protocol Attacks: Kiểu tấn công tấn công vào tài nguyên hệ thống thiết bị trung gian router và khiến chúng không khả dụng Một vài kiểu tấn công điển hình: SYN floods, Smurf, Teardrop, … - Application Layer Attacks: Sử dụng lưu lượng mạng bất hợp pháp để làm crash mợt web server Ví dụ: Zero-day attacks, … - Session Exhaustion: Đây là một kiểu tấn công lơi dụng hạn chế của session Kẻ tấn công liên tục mở những phiên kết nối không đóng các phiên làm việc, điều gây tiêu thụ tài nguyên hệ thống 2.4.1.1 DoS (Denial of Service): - Tấn công từ chối dịch vụ hay Denial of Service (DoS) một kiểu tấn công cản trở người dùng hợp pháp truy cập vào các máy tính, đường truyền mạng hay tài ngun hệ thớng khác Có kiểu tấn công DoS phổ biến bào gồm: - Tấn công logic (Logic attacks): tấn công dựa vào lỗi phần mềm khiến cho dịch vụ ngưng hoạt động hay làm giảm hiệu của hệ thống - Tấn công gây ngập lụt (Flood attacks): Kẻ tấn công gửi một lượng lớn yêu cầu một thời điểm để gây cạn kiệt tài nguyên hệ thống làm nghẽn băng thông đường truyền mạng 2.4.1.2 DDoS (Distributed Denial of Service): - Tấn công DDoS một kiểu tấn công DoS Kẻ tấn công gây ngập lụt máy nạn nhân bằng một lượng rất lớn yêu cầu kết nối giả mạo Mặc dù DDoS một kiểu tấn công DoS giữa chúng có mợt khác biệt lớn Nhóm 10 15 | P a g e Bài thi cuối kì môn ANM DoS Phạm vi công - Phạm vi tấn công nhỏ DDoS - Phạm vi tấn cơng rợng có thể tấn cơng từ nhiều nơi thế giới Lượng máy tham - Số lượng máy tham gia tấn - Số lượng máy tham gia tấn cơng cơng nhỏ thơng thường mợt lớn có thể từ hàng tram cho đến gia công máy dùng để tấn cơng hàng nghìn máy Mức độ đe dọa - Mức độ đe dọa thấp - Mức độ đe dọa từ trung bình đến cao bởi những c̣c tấn công nếu xảy gây ảnh hưởng nghiêm trọng đến hệ thống mạng thiết bị hệ thớng Mức độ ngăn chặn - Có thể ngăn chặn dễ dàng - Rất khó có thể ngăn chặn c̣c tấn chỉ sử dụng mợt máy tính một công bởi vì các gói tin gửi từ rất nhiều thiết bị những đường truyền mạng c̣c tấn cơng thực hiện từ nhiều vị trí Bảng So sánh DoS DDoS 2.4.2 Một số kiểu cơng DoS điển hình: 2.4.2.1 SYN flood attack: - SYN flood attack (half-open attack): Là một kiểu tấn công từ chối dịch vụ Trong đó, mục đích chính của kiểu tấn công khiến cho máy chủ khơng cịn khả dụng với người dùng hợp pháp bằng cách tiêu thụ tất tài nguyên hiện có máy chủ SYN flood khiến cho máy chủ ngưng hoạt đợng khơng cịn khả dụng để mở u cầu kết nối SYN flood kỹ thuật gây ngập lụt gói tin mở kết nới TCP Đây là kiểu tấn công khai thác vào điểm yếu của mơ hình bắt tay bước thiết lập mợt phiên truyền thông TCP/IP Nhóm 10 16 | P a g e Bài thi ći kì mơn ANM Hình Mơ hình bắt tay bước thiết lập phiên truyền thông 2.4.2.1.1 Kịch công SYN flood: Bước 1: Kẻ tấn công sử dụng một địa chỉ IP giả mạo mợt địa chỉ IP khơng có thực làm IP nguồn gói tin IP Sau đó, một phiên kết nối kẻ tấn công mở đến server máy tính nạn nhân Bước 2: Server máy tính nạn nhân lúc nhận mợt yêu cầu kết nối Yêu cầu thêm vào một chỗ bảng lưu kết nối bộ nhớ cho yêu cầu kết nối Bước 3: Server máy tính nạn nhân lúc gửi tin xác nhận kết nối trả cho kẻ tấn công Nhưng kẻ tấn công sử dụng một địa chỉ IP khơng có thực hay IP giả mạo, điều gây việc gói tin trả kẻ tấn cơng khơng bao h đến đích Bởi tin SYN-ACK này chưa xác nhận nên server hay máy tính lúc vẫn phải lưu tất yêu cầu kết nối chưa xác nhận bảng truy cập ▪ Kết quả: Một lượng lớn yêu cầu vậy kẻ tấn công tạo nhằm mục đích: - Điền đầy bảng kết nối khiến server máy tính nạn nhân khơng thể chấp nhận yêu cầu từ người dùng khác Nhóm 10 17 | P a g e Bài thi cuối kì môn ANM - Làm cạn kiệt tài nguyên bộ nhớ của server hay máy tính Dẫn đến ngừng hoạt đợng - Làm đường truyền mạng bị nghẽn Hình Mơ hình công SYN flood attacks 2.4.2.1.2 Một số phương pháp phòng chống SYN flood attack: - Sử dụng kỹ thuật lọc (Filtering): Sử dụng một IPS (Intrusion Prevention Systems) IPS chứa dải địa chỉ IP hợp lệ để cho phép truy nhập vào hệ thống Bằng cách này, có thể lọc mợt lượng địa chỉ giả mạo mà kẻ tấn công sử dụng - Tăng kích thước bảng kết nối (Backlog): Tăng kích thước Backlog lưu các yêu cầu kết nối khiến cho bảng kết nối tăng khả chấp nhận yêu cầu - Giảm thời gian chờ phản hồi từ máy khách làm cho kết nối có thời gian chờ bị xóa khỏi bảng kết nới Nhóm 10 18 | P a g e Bài thi cuối kì môn ANM o Sử dụng Firewalls Proxies: Có khả nhận dạng các địa chỉ IP nguồn địa chỉ IP khơng có thựcCó khả tiếp nhận kết nới chờ đến có xác nhận chuyển tiếp lại cho máy chủ đích 2.4.2.2 Smurf attack: - Smurf attack: Là một kiểu tấn công từ chối dịch vụ phân tán (DDoS) Smurf attack một kiểu tấn công nhắm vào lớp IP của mô hình OSI Trong đó, kẻ tấn công cố gắng làm ngập lụt một máy chủ nhắm đến bằng gói tin ICMP 2.4.2.2.1 Kịch công: Bước 1: Kẻ tấn công gửi mợt gói tin ICMP echo request đến mợt địa chỉ đích một broadcast address (địa chỉ của một mạng khuếch đại) và địa chỉ nguồn địa chỉ IP của nạn nhân Bước 2: Các máy tính mạng khuếch đại đồng loạt gửi trả tin ICMP echo reply cho địa chỉ của nạn nhân Kết quả: lúc máy tính của nạn nhân nhận một lượng rất lớn tin ICMP echo reply phải xử lý Điều gây cạn kiệt tài nguyên hệ thống của máy nạn nhân khiến cho nạn nhân bị treo máy từ chối dịch vụ Tỷ lệ khuếch đại tỉ lệ thuận với số lượng máy mạng khuếch đại Do đó, chỉ cần một số lượng tin ICMP nhỏ gửi đến một mạng khuếch đại lớn khiến cho sớ lượng gói tin ICMP gửi đến máy tính nạn nhân vơ lớn Hình Mơ hình Smurf attack Nhóm 10 19 | P a g e Bài thi cuối kì môn ANM 2.4.2.2.2 Một số cách phịng chống Smurf attack: - Cấu hình máy router không trả lời yêu cầu ICMP yêu cầu phát quảng bá - Cấu hình router không chuyển tiếp yêu cầu gửi đến các địa chỉ quảng bá - Cấu hình mợt IPS dùng để lọc gói tin với các địa chỉ mạo danh 2.4.2.3 LAND attack: - LAND (Local Area Network Denial) attack: Là một kiểu tấn công DoS vào lớp Transport mơ hình OSI Kẻ tấn cơng cài đặt tin có địa chỉ IP nguồn và IP đích giớng Máy tính nạn nhân hay hệ thống sập ngưng hoạt động tin TCP xử lý nhiều lần 2.4.2.3.1 Kịch công: Bước 1: Kẻ tấn công tạo một gói tin mà đó địa chỉ IP nguồn là địa chỉ IP của máy chủ máy tính nạn nhân và địa chỉ đích là địa chỉ IP của máy chủ máy tính nạn nhân Bước 2: Kẻ tấn công gửi gói tin này đến máy chủ máy tính nạn nhân Kết quả: Máy tính server nhận gói tin phản hồi gói tin nhận Khi chúng cớ gắng phản hồi tin tạo một vịng lặp gói tin trả lời mà gửi Điều dẫn đến tài nguyên hệ thớng dần cạn kiệt làm sập hệ thớng Hình Mơ hình LAND attacks Nhóm 10 20 | P a g e ... Mục đích cơng mạng gì? II Các kiểu công không gian mạng Tấn công thụ động: Tấn công chủ động: 2.1 Tấn công mạo danh: 2.2 Tấn công phát lại:... CHIA CÔNG VIỆC DANH MỤC HÌNH VẼ DANH MỤC BẢNG I Mở đầu Tấn công mạng gì? Đối tượng bị công: Những đối tượng công mạng: ... Page Bài thi cuối kì môn ANM II Các kiểu công không gian mạng Tấn công thụ động: - Tấn cơng thụ đợng hay cịn gọi tấn cơng bị động là các đối tượng tấn công mạng cố gắng thực hiện hành