Đang tải... (xem toàn văn)
Số hóa bởi Trung tâm Học liệu – ĐHTN http //www lrc tnu edu vn ĐẠI HỌC THÁI NGUYÊN TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG TÔN ĐỨC CƯỜNG TÌM HIỂU VÀ XÂY DỰNG CÔNG CỤ PHÁT HIỆN TẤN CÔNG MẠNG[.]
ĐẠI HỌC THÁI NGUYÊN TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THƠNG TƠN ĐỨC CƯỜNG TÌM HIỂU VÀ XÂY DỰNG CÔNG CỤ PHÁT HIỆN TẤN CÔNG MẠNG DỰA TRÊN CÔNG NGHỆ SIEM LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH Thái Ngun, năm 2016 Số hóa Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn ĐẠI HỌC THÁI NGUYÊN TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG TƠN ĐỨC CƯỜNG TÌM HIỂU VÀ XÂY DỰNG CƠNG CỤ PHÁT HIỆN TẤN CÔNG MẠNG DỰA TRÊN CÔNG NGHỆ SIEM Chuyên ngành : Khoa học máy tính Mã số chuyên ngành: 60 48 01 01 LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH NGƯỜI HƯỚNG DẪN KHOA HỌC TS TRẦN ĐỨC SỰ Thái Nguyên, năm 2016 LỜI CAM ĐOAN Tôi là: Tơn Đức Cường Lớp: CK13B Khố học: 2014 - 2016 Chuyên ngành: Khoa học máy tính Mã số chuyên ngành: 60 48 01 01 Cơ sở đào tạo: Trường Đại học Công nghệ thông tin Truyền thông - Đại học Thái Nguyên Giáo viên hướng dẫn: TS Trần Đức Sự Tơi xin cam đoan luận văn “Tìm hiểu xây dựng công cụ phát công mạng dựa cơng nghệ SIEM” cơng trình nghiên cứu riêng Các số liệu sử dụng luận văn trung thực Các kết nghiên cứu trình bày luận văn chưa cơng bố cơng trình khác Thái Ngun, ngày 21 tháng 09 năm 2016 HỌC VIÊN Tôn Đức Cường Số hóa Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn i LỜI CẢM ƠN Sau tháng nỗ lực tìm hiểu, nghiên cứu thực luận văn Cao học với nội dung “Tìm hiểu xây dựng công cụ phát công mạng dựa công nghệ SIEM” hoàn thành Ngoài nỗ lực thân, tơi cịn nhận nhiều quan tâm, giúp đỡ thầy cô trường Đại học Công nghệ thông tin Truyền thông, Viện Cơng nghệ thơng tin để tơi hồn thành tốt luận văn Trước hết tơi xin gửi lời cảm ơn chân thành đến thầy cô trường Đại học Công nghệ thông tin Truyền thông – Đại học Thái Nguyên, thầy cô giáo sư, tiến sỹ công tác Viện Công nghệ thông tin truyền đạt kiến thức quý báu suốt thời gian học thạc sỹ trường Đặc biệt, xin gửi lời cảm ơn tới thầy giáo TS Trần Đức Sự tận tình hướng dẫn bảo suốt thời gian làm luận văn Bên cạnh tơi xin gửi lời cảm ơn tới lãnh đạo trường Cao đẳng Thương mại Du lịch nơi công tác tạo tạo điều kiện, giúp đỡ số trang thiết bị hỗ trợ thử nghiệm cho công cụ xây dựng Do thời gian, kiến thức trang thiết bị hạn chế, luận văn chưa thực nghiệm nhiều, kết đạt mang tính chất thử nghiệm, mong nhận góp ý từ phía thầy cơ, bạn bè để luận văn tơi hồn thiện Thái Ngun, tháng 07 năm 2016 HỌC VIÊN Tôn Đức Cường Số hóa Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn ii MỤC LỤC LỜI CẢM ƠN i MỤC LỤC ii DANH MỤC TỪ VIẾT TẮT iv DANH MỤC HÌNH VẼ v LỜI NÓI ĐẦU CHƯƠNG TỔNG QUAN VỀ TẤN CÔNG VÀ PHÁT HIỆN TẤN CÔNG MẠNG 1.1 TẤN CÔNG TRONG MẠNG MÁY TÍNH .3 1.1.1 Khái niệm công mạng 1.1.2 An toàn mạng 1.1.3 Lỗ hổng bảo mật 1.1.4 Các kiểu công mạng phổ biến 1.1.5 Mơ hình cơng mạng 1.1.6 Một số dấu hiệu phát hệ thống bị công 12 1.2 HỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬP IDS/IPS 13 1.2.1 Hệ thống phát xâm nhập IDS .13 1.2.2 Network-based IDS 13 1.2.3 Host-based IDS 15 1.2.4 Hệ thống ngăn chặn xâm nhập IPS 17 1.3 HỆ THỐNG GIÁM SÁT AN NINH MẠNG 18 1.3.1 Giới thiệu hệ thống giám sát an ninh mạng 18 1.3.2 Mơ hình giám sát an ninh mạng 18 1.3.3 Các công nghệ giám sát an ninh mạng .20 CHƯƠNG PHÁT HIỆN TẤN CÔNG MẠNG VỚI CÔNG NGHỆ SIEM 22 2.1 GIỚI THIỆU VỀ CÔNG NGHỆ SIEM 22 2.1.1 Quản lý nhật ký kiện an ninh 25 2.1.2 Tuân thủ quy định CNTT 26 2.1.3 Tương quan liên kết kiện an ninh .26 2.1.4 Cung cấp hoạt động ứng phó 27 2.1.5 Đảm bảo an ninh thiết bị đầu cuối .27 2.2 THÀNH PHẦN VÀ HOẠT ĐỘNG CỦA SIEM 27 2.2.1 Thiết bị Nguồn .28 2.2.2 Thu thập Log 30 2.2.3 Chuẩn hóa tổng hợp kiện an ninh .32 2.2.4 Tương quan kiện an ninh 33 Số hóa Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn iii 2.2.5 Lưu trữ Log 36 2.2.6 Giám sát cảnh báo 37 2.3 MỘT SỐ HỆ THỐNG TRIỂN KHAI SIEM 39 2.3.1 MARS 39 2.3.2 IBM Qradar 39 2.3.3 Splunk 40 2.3.4 AlienVault OSSIM .41 CHƯƠNG XÂY DỰNG CÔNG CỤ PHÁT HIỆN TẤN CÔNG MẠNG DỰA TRÊN CÔNG NGHỆ SIEM VỚI MÃ NGUỒN MỞ ALIENVAULT OSSIM 42 3.1 MỤC TIÊU XÂY DỰNG CÔNG CỤ 42 3.2 HỆ THỐNG VÀ MƠ HÌNH PHÁT HIỆN TẤN CƠNG MẠNG .42 3.2.1 Hệ thống mã nguồn mở AlienVault OSSIM 42 3.2.2 Một số chức AlienVault OSSIM 43 3.2.3 Mơ hình tổng quan hệ thống phát cơng mạng dựa công nghệ Siem sử dụng công cụ AlienVault OSSIM 44 3.3 TRIỂN KHAI XÂY DỰNG 46 3.3.1 Triển khai OSSIM vào hệ thống mạng 46 3.3.2 Một số công cụ sử dụng OSSIM .46 3.3.3 Đánh giá rủi ro .48 3.3.4 Chuẩn hóa log 48 3.3.5 Xây dựng luật Ossim 51 3.4 THỬ NGHIỆM VÀ KẾT QUẢ 53 3.4.1 Mơ hình thử nghiệm thực tế 53 3.4.2 Tấn cơng thăm dị 54 3.4.3 Tấn công đăng nhập 57 3.4.4 Tấn công từ chối dịch vụ 60 3.4.5 Tấn công vào hệ quản trị sở liệu SQL .62 3.4.6 Đánh giá, kết 64 KẾT LUẬN .65 TÀI LIỆU THAM KHẢO 66 Số hóa Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn iv DANH MỤC TỪ VIẾT TẮT Stt Từ viết tắt Nội dung 01 TCP Transmision control protocol 02 Dos Denial of Service (Từ chối dịch vụ) 03 Ddos Distributed Denial of Service 04 Drdos Distributed Reflection Denial of Service 05 IDS 06 NIDS Network-based Intrusion Detection Systems 07 HIDS Host-based Intrusion Detection Systems 08 CNTT Công nghệ thông tin 09 SIEM Security Infomation and Event Management 10 ARP Address Resolution Protocol 11 CSDL 12 OSSIM 13 IIS Intrusion Detection Systems (Phát xâm nhập) Cơ sở liệu Open Source Security Information Management Internet Information Services Số hóa Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn v DANH MỤC HÌNH VẼ Hình 1.1: Mơ hình cơng phân tán 10 Hình 1.2: Các bước công mạng 10 Hình 1.3: Mơ hình triển khai hệ thống NIDS 14 Hình 1.4: Mơ hình hệ thống HIDS 16 Hình 1.5: Mơ hình giám sát an ninh mạng dạng phân tán 19 Hình 1.6: Mơ hình giám sát an ninh mạng dạng độc lập 19 Hình 1.7: Giao diện web phần mềm NMS 20 Hình 2.1: Hệ thống phát cơng mạng 24 Hình 2.2: Mơ tả chuẩn hóa kiện 33 Hình 2.3: Sự kiện an ninh theo thời gian thực 35 Hình 2.4: Giao diện Web Splunk .40 Hình 2.5: Báo cáo AlienVault OSSIM .41 Hình 3.1: Mơ hình hoạt động OSSIM .43 Hình 3.2: Mơ hình tổng quan phát cơng mạng 44 Hình 3.3: Quản lý kiện theo thời gian thực 52 Hình 3.4: Mơ hình thử nghiệm thực tế 53 Hình 3.5: Phần mềm Nmap .56 Hình 3.6: Cảnh báo cơng qt cổng 56 Hình 3.7: Chi tiết cảnh báo công quét cổng 57 Hình 3.8: Các kiện tương quan cho cảnh báo quét cổng 57 Hình 3.9: Kết nối tới máy chủ Web dịch vụ Remote desktop 59 Hình 3.10: Cảnh báo công đăng nhập 59 Hình 3.11: Các kiện tương quan cho cảnh báo đăng nhập 60 Hình 3.12: Cơng cụ cơng từ chối dịch vụ 61 Hình 3.13: Cảnh báo có cơng dos từ ip nội 62 Hình 3.14: Tấn cơng SQL injection 63 Hình 3.15: Cảnh báo cho công SQL injection 64 Số hóa Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn LỜI NÓI ĐẦU Hiện với phát triển mạnh mẽ khoa học kỹ thuật nói chung cơng nghệ thơng tin nói riêng, việc ứng dụng công nghệ thông tin, Internet ngày trở lên phổ biến đời sống ngày hầu hết lĩnh vực Song song với phát triển hàng loạt nguy an tồn thơng tin Trong năm gần đây, website internet, liệu cá cá nhân, tổ chức, phủ … bị nhiều đợt cơng tội phạm mạng Có nhiều website, hệ thống mạng bị ngừng hoạt động nhiều giờ, nhiều liệu quan trọng bị đánh cắp Những vụ công gây thiệt hại nghiêm trọng có tác động tiêu cực, ảnh hưởng trực tiếp đến nhiều cá nhân, doanh nghiệp… Vấn đề đảm bảo an tồn thơng tin ln quan, tổ chức đặt lên hàng đầu Tuy nhiên hàng năm vụ công mạng liên tục gia tăng mà chưa có biện pháp khắc phục hiệu Để đảm bảo tốt cho hệ thống mạng tránh khỏi đợt cơng chủ động phát công đưa phản ứng thích hợp Để làm cần phải có hệ thống có khả giám sát tồn hành động vào bất thường bên hệ thống mạng cần bảo vệ, có vấn đề công cụ bảo vệ hệ thống triển khai nước ta hầu hết mua nước với giá thành cao khó khăn lớn tổ chức vừa nhỏ Mặt khác sản phẩm thương mại nên cơng nghệ kỹ thuật hệ thống ln ln giữ kín phát sinh dạng công mới, nhà quản trị nước tự phát triển mở rộng Để giảm bớt khó khăn cho quan, tổ chức vừa nhỏ việc giám sát bảo vệ hệ thống mạng cách hiệu Tôi chọn đề tài “Tìm hiểu xây dựng cơng cụ phát công mạng dựa công nghệ Siem” hướng dẫn TS Trần Đức Sự Sau phần mở đầu, nội dung luận văn vào tìm hiểu phương pháp cơng mạng, kỹ thuật phát công công nghệ quản lý thông tin kiện an ninh Luận văn gồm chương sau: Số hóa Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn Chương 1: Tổng quan công phát công mạng Khái quát tình hình an ninh mạng, kiểu cơng mạng phổ biến, sâu tìm hiểu hệ thống phát cơng, mơ hình giám sát an ninh mạng áp dụng Chương 2: Kỹ thuật phát cơng mạng với cơng nghệ Siem Phân tích thành phần cách thức hoạt động Siem Một số phần mềm ứng dụng công nghệ Siem Chương 3: Xây dựng công cụ phát công mạng dựa cơng nghệ Siem Đưa mơ hình hệ thống giám sát, phát tận công thực tế Xây dựng công cụ phát công mạng dựa công nghệ Siem Cuối phần đánh giá, kết luận hướng phát triển đề tài Số hóa Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn CHƯƠNG TỔNG QUAN VỀ TẤN CÔNG VÀ PHÁT HIỆN TẤN CÔNG MẠNG 1.1 Tấn cơng mạng máy tính 1.1.1 Khái niệm công mạng Tấn công mạng hoạt động có chủ ý kẻ phạm tội lợi dụng lỗ hổng hệ thố ng thông tin tiến hành phá vỡ tính sẵn sàng, tính tồn vẹn tính bí mật ̣ thớ ng thơng tin 1.1.2 An toàn mạng Internet ngày phát triển rộng rãi, vấn đề an ninh môi trường mạng ngày trở nên cấp thiết Các công mạng gia tăng số lượng mức độ nghiêm trọng Các phương thức hệ thống bảo mật truyền thống khơng cịn hiệu để đảm bảo an tồn thơng tin liệu cho tổ chức, cá nhân Yêu cầu cần có giải pháp, công cụ tiên tiến để bảo vệ thông tin liệu mạng máy tính An tồn mạng hiểu cách bảo vệ nhằm đảm bảo an toàn cho tất thành phần mạng bao gồm liệu, thiết bị, sở hạ tầng mạng đảm bảo tài nguyên mạng sử dụng tương ứng với sách hoạt động ấn định với người có thẩm quyền tương ứng An toàn mạng thường bao gồm: Xác định xác khả năng, nguy xâm nhập mạng, cố rủi ro thiết bị, liệu mạng để có giải pháp phù hợp đảm bảo an toàn mạng - Các kiểu vi phạm an toàn mạng Các lỗ hổng an toàn bảo mật hệ thống tình có khả gây mát tổn hại hệ thống Có hiểm họa an tồn hệ thống là: Sự phá hoại, sửa đổi, can thiệp giả mạo + Sự phá hoại: Tài nguyên hệ thống bị đi, không trạng thái sẵn sàng sử dụng Cố ý phá hoại thiết bị phần cứng, xóa bỏ file liệu, chương trình làm sai chức quản lý hệ điều hành để khơng thể tìm file cụ thể đĩa Số hóa Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn + Sự can thiệp: đối tượng không phép truy cập vào hệ thống sử dụng tài nguyên hệ thống chép chương trình, chép liệu trái phép + Sự sửa đổi: Thay đổi giá trị sở liệu, sửa đổi chương trình làm chương trình khơng hoạt động với chức thiết kế, thay đổi liệu truyền qua phương tiện điện tử + Sự giả mạo: Giả mạo đối tượng hợp pháp hệ thống, đưa giao dịch giả vào mạng truyền thông, thêm liệu vào sở liệu có - Các mục tiêu an toàn mạng Đảm bảo an toàn mạng nhằm mục đích đảm bảo cho tính đắn, độ tin cậy cao thông tin xử lý, đồng thời bảo vệ thông tin lưu trữ sở liệu thông tin lưu chuyển mạng Một hệ thống xem an tồn có kết hợp ba đặc tính: Tính bảo mật, tính tồn vẹn tính sẵn sàng tài nguyên mạng dịch vụ mạng Vấn đề an tồn thơng tin cịn thể qua mối quan hệ người sử dụng với hệ thống mạng tài nguyên mạng Các quan hệ đảm bảo phương thức xác thực, cấp phép sử dụng từ chối phục vụ [1] + Tính bí mật: Thơng tin phải đảm bảo tính bí mật sử dụng đối tượng + Tính tồn vẹn: Thông tin phải đảm bảo đầy đủ, nguyên vẹn cấu trúc + Tính sẵn sàng: Thơng tin phải sãn sàng để tiếp cận, phục vụ theo mục đích cách + Tính xác: Thơng tin phải có độ xác tin cậy + Tính khơng khước từ: Thơng tin kiểm chứng nguồn gốc người đưa tin 1.1.3 Lỗ hổng bảo mật Lỗ hổng bảo mật lỗi phần mềm, lỗi đặc điểm kỹ thuật thiết kế, đa số lỗi lập trình Cấu trúc phần mềm thiết kế người, dịng code viết người, việc xuất lỗi Số hóa Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn tránh khỏi Đây lỗ hổng nằm ủ hệ thống phần mềm, đợi đến bị phát Khi đó, chúng dùng để công vào hệ thống Các lỗ hổng bảo mật hệ thống điểm yếu tạo ngưng trệ dịch vụ, thêm quyền người sử dụng cho phép truy nhập không hợp pháp vào hệ thống Các lỗ hổng nằm dịch vụ cung cấp sendmail, web, ftp Ngồi lỗ hổng cịn tồn tại hệ điều hành Windows, UNIX; ứng dụng mà người sử dụng thương xuyên sử dụng [1] Phân loại lỗ hổng bảo mật : - Lỗ hổng loại C: Các lỗ hổng loại cho phép thực phương thức công theo Dos Mức độ nguy hiểm thấp, ảnh hưởng tới chất lượng dịch vụ, làm ngưng trệ, gián đoạn hệ thống.Không làm phá hỏng liệu đạt quyền truy nhập bất hợp pháp - Lổ hổng loại B: Các lỗ hổng cho phép người sử dụng có thêm quyền hệ thống mà khơng cần thực kiểm tra tính hợp lệ Mức độ nguy hiểm trung bình; Những lỗ hổng thường có ứng dụng hệ thống, dẫn đến lộ thông tin yêu cầu bảo mật - Lỗ hổng loại A: Các lỗ hổng cho phép người sử dụng ngồi truy nhập vào hệ thống bất hợp pháp Lỗ hổng nguy hiểm, làm phá hủy tồn hệ thống Các lỗ hổng loại thường xuất hệ thống quản trị yếu không kiểm sốt cấu hình mạng 1.1.4 Các kiểu cơng mạng phổ biến - Tấn cơng thăm dị Kiểu cơng thăm dị việc thu thập liệu trái phép tài nguyên, lỗ hổng dịch vụ hệ thống Việc thăm dò thăm dò theo bước thăm dò thụ động (thu thập thơng tin cơng khai) thăm dị chủ động(sử dụng cơng cụ để tìm kiếm thơng tin máy tính nạn nhân) Thăm dị giai đoạn công, giai đoạn mục đích người cơng thu thập thơng tin hệ thống, tìm kiếm lỗ hổng để thực giai đoạn công Số hóa Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn - Nghe trộm (Eavesdropping) Nhìn chung, phần lớn thơng tin liên lạc mạng diễn dạng rõ (cleartext) định dạng khơng bảo đảm an tồn, cho phép kẻ cơng can thiệp vào liệu mạng nghe lén, chỉnh sửa nội dung thông tin Nếu khơng có dịch vụ mã hóa mạnh mẽ dựa mật mã, liệu mạng bị đọc kẻ có ý đồ xấu gây tổn thất lớn cho cá nhân tổ chức Việc nghe trộm thông tin đường truyền thực việc cài keylog, phần mềm chặn bắt gói tin, phân tích giao thức hay chí thiết bị phần cứng hỗ trợ việc “lắng nghe” thông tin liên lạc mạng - Tấn công truy cập Tấn công truy cập kiểu công giúp người xâm nhập lấy quyền truy cập trái phép hệ thống bảo mật với mục đích thao túng liệu, nâng cao đặc quyền hay đơn giản truy cập vào hệ thống + Tấn công truy cập hệ thống: Người cơng thường tìm kiếm quyền truy cập đến thiết bị cách chạy đoạn mã, công cụ hỗ tợ (Hacking tool) khai thác điểm yếu ứng dụng hay dịch vụ chạy máy chủ + Tấn công truy cập thao túng liệu: Thao túng liệu xuất kẻ xâm nhập đọc, viết, xóa, chép hay thay đổi liệu + Tấn công truy cập nâng cao đặc quyền: Nâng cao đặc quyền dạng công phổ biến Bằng cách nâng cao đặc quyền, kẻ xâm nhập truy cập vào files hay folder liệu mà tài khoản người sử dụng ban đầu không cho phép truy cập Khi kẻ xâm nhập đạt mức độ quyền truy cập đủ cao, họ cài đặt phần mềm backdoors Trojan horses, cho phép truy cập sâu thăm dị Mục đích chung chiếm quyền truy cập mức độ quản trị Khi đạt mục đích đó, họ có tồn quyền điều khiển hệ thống mạng - Tấn công từ chối dịch vụ Đây cách công làm cho hệ thống bị công tải cung cấp dịch vụ, làm gián đoạn hoạt động hệ thống hệ thống phải hoạt động Số hóa Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn Tùy theo phương thức thực mà mà biết nhiều tên gọi khác Mục đích lợi dụng yếu giao thức TCP (Transmision control protocol) để thực công tưg chối dịch vụ Dos (Denial of Service), công từ chối dịch vụ phân tán Ddos, công từ chối dịch vụ theo phương pháp phản xạ Drdos + Tấn công từ chối dịch vụ cổ điển Tấn công từ chối dịch vụ cổ điển DoS phương pháp công từ chối dịch vụ xuất với kiểu công Smurf Attack, Tear Drop, SYN Attack… Các kiểu công thường áp dụng đối tượng công hệ thống máy chủ bảo mật kém, băng thông (bandwidth) yếu, chí nhiều trường hợp, đối tượng tin tặc sử dụng đường truyền có tốc độ vừa phải thực thành cơng kiểu công Tear drop: Tất liệu chuyển mạng từ hệ thống nguồn đến hệ thống đích phải trải qua trình: liệu chia thành mảnh nhỏ hệ thống nguồn, mảnh phải có giá trị offset định để xác định vị trí mảnh gói liệu chuyển Khi mảnh đến hệ thống đích, hệ thống đích dựa vào giá trị offset để xếp mảnh lại với theo thứ tự ban đầu Lợi dụng sơ hở đó, ta cần gởi đến hệ thống đích loạt gói packets với giá trị offset chồng chéo lên Hệ thống đích xếp lại packets này, khơng điều khiển bị crash, reboot ngừng hoạt động số lượng gói packets với giá trị offset chồng chéo lên lớn SYN Attack: Trong SYN Attack, hacker gởi đến hệ thống đích loạt SYN packets với địa ip nguồn khơng có thực Hệ thống đích nhận SYN packets gởi trở lại địa khơng có thực chờ đợi để nhận thông tin phản hồi từ địa ip giả Vì địa IP khơng có thực, nên hệ thống đích sẽ chờ đợi vơ ích đưa “request” chờ đợi vào nhớ, gây lãng phí lượng đáng kể nhớ máy chủ mà phải dùng vào việc khác thay cho phải chờ đợi thông tin phản hồi khơng có thực Nếu ta gởi lúc Số hóa Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn nhiều gói tin có địa IP hệ thống bị tải dẫn đến bị crash boot máy tính Smurf Attack: Trong Smurf Attack, hacker gởi gói tin ICMP đến địa broadcast mạng khuếch đại Điều đặc biệt gói tin ICMP packets có địa ip nguồn địa IP nạn nhân Khi packets đến địa broadcast mạng khuếch đại, máy tính mạng khuếch đại tưởng máy tính nạn nhân gởi gói tin ICMP packets đến chúng đồng loạt gởi trả lại hệ thống nạn nhân gói tin phản hồi ICMP packets Hệ thống máy nạn nhân không chịu khối lượng khổng lồ gói tin nhanh chóng bị ngừng hoạt động, crash reboot UDP Flooding: Cách cơng UDP địi hỏi phải có hệ thống máy tham gia Hackers làm cho hệ thống vào vòng lặp trao đổi liệu qua giao thức UDP Và giả mạo địa IP gói tin địa loopback (127.0.0.1) , gởi gói tin đến hệ thống nạn nhân cổng UDP echo (7) Hệ thống nạn nhân trả lời lại messages 127.0.0.1 (chính nó) gửi đến, kết vịng vịng lặp vơ tận Tuy nhiên, có nhiều hệ thống khơng cho dùng địa loopback nên hacker giả mạo địa IP máy tính mạng nạn nhân tiến hành ngập lụt UDP hệ thống nạn nhân Tấn công DNS: Hacker đổi lối vào Domain Name Server hệ thống nạn nhân website hacker Khi máy khách yêu cầu DNS phân tích địa bị xâm nhập thành địa IP, DNS (đã bị hacker thay đổi cache tạm thời) đổi thành địa IP mà hacker Kết thay phải vào trang Web muốn vào nạn nhân vào trang Web hacker tạo Một cách công từ chối dịch vụ thật hữu hiệu + Tấn công từ chối dịch vụ phân tán DDos: Tấn công từ chối dịch vụ phân tán DDoS, so với công DoS cổ điển, sức mạnh tăng gấp nhiều lần Hầu hết công DDoS nhằm vào việc chiếm dụng băng thông (bandwidth) gây nghẽn mạch hệ thống, dẫn đến ngưng hoạt động hệ thống Để thực DDoS, người cơng tìm cách chiếm dụng điều khiển nhiều máy Số hóa Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn tính/mạng máy tính trung gian gọi botnet từ nhiều nơi để đồng loạt gửi ạt gói tin với số lượng lớn nhằm chiếm dụng tài nguyên làm tràn ngập đường truyền mục tiêu xác định + Tấn cơng từ chối dịch vụ phản xạ nhiều vùng DRDoS: Tấn công từ chối dịch vụ phản xạ nhiều vùng DRDoS lại kiểu công nhất, mạnh kiểu công DoS Trong suốt q trình máy chủ bị cơng DRDoS, khơng máy khách kết nối vào máy chủ Tất dịch vụ chạy TCP/IP DNS, HTTP, FTP, POP3 bị vơ hiệu hóa Về bản, DRDoS phối hợp hai kiểu DoS DDoS Nó có kiểu cơng SYN với máy tính đơn, vừa có kết hợp nhiều máy tính để chiếm dụng băng thông kiểu DDoS Kẻ công thực cách giả mạo địa máy chủ mục tiêu gửi yêu cầu SYN đến máy chủ lớn Yahoo, Microsoft, Google để máy chủ gửi gói tin SYN/ACK đến máy chủ mục tiêu Quá trình lặp lại liên tục với nhiều máy chủ lớn tham gia nên máy chủ mục tiêu nhanh chóng bị q tải, băng thơng (bandwitch) bị chiếm dụng máy chủ lớn, dẫn đến máy chủ mục tiêu khơng thể hoạt động bình thường - Giả mạo (Spoofing) Hầu hết mạng hệ điều hành sử dụng địa IP để xác nhận đối tượng hợp lệ Trong số trường hợp, địa IP bị giả mạo, kẻ cơng sử dụng chương trình đặc biệt để xây dựng gói tin IP xuất phát từ địa hợp lệ thuộc mạng nội công ty Sau đoạt quyền truy cập vào mạng IP hợp lệ, kẻ cơng thực ý đồ xấu sửa đổi, định tuyến lại hay xóa liệu hệ thống 1.1.5 Mơ hình cơng mạng - Mơ hình cơng truyền thống Mơ hình cơng truyền thống mơ hình cơng xuất phát từ nguồn từ đến từ đến nhiều Có nghĩa cơng xảy từ nguồn gốc - Mơ hình cơng phân tán Số hóa Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn 10 Mơ hình cơng phân tán sử dụng quan hệ “nhiều đến một” “nhiều đến nhiều” Tấn công phân tán dựa công cổ điển thuộc nhóm từ chối dịch vụ, xác dựa công Flood hay Storm (Những thuật ngữ hiểu tương tự “bão”, “Lũ lụt” hay “Thác tràn”) Hình 1.1: Mơ hình cơng phân tán - Các bước cơng mạng Xác định mục tiêu công Thu thập thông tin, tìm lỗ hổng Lựa chọn mơ hình cơng, xây dựng cơng cụ Thực cơng Xóa dấu vết (Nếu cần) Hình 1.2: Các bước cơng mạng Số hóa Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn 11 Các kiểu cơng có nhiều hình thức khác nhau, thông thường thực qua bước sau: + Xác định mục tiêu công: Xác định rõ mục tiêu công, nơi chuẩn bị cơng + Thu thập thơng tin tìm lỗ hổng: Khảo sát thu thập thông tin hệ thống chuẩn bị cơng nhiều hình thức Sau thu thập thơng tin, người cơng dị tìm thông tin lỗ hổng bảo mật hệ thống dựa thông tin thu thập được, phân tích điểm yếu hệ thống mạng, sử dụng cơng cụ hỗ trợ dị qt, tìm lỗi hệ thống + Lựa chọn mơ hình cơng cơng cụ: Khi có điểm yếu hệ thống mạng, người công sử dụng mơ hình phù hợp, lựa chọn cơng cụ tự xây dựng công cụ để công vào hệ thống + Thực công: Sửa dụng cơng cụ hỗ trợ, áp dụng mơ hình công lựa chọn lỗ hổng hệ thống tiến hành công vào hệ thống, Sau công thành công, khai thác lỗ hổng hệ thống Người công thực việc trì với mục đích khai thác cơng tương lai gần Người cơng sử dụng thuật mở cửa sau (backdoor) cài đặt trojan để nhằm mục đích trì xâm nhập Việc trì làm chủ hệ thống tạo cho kẻ cơng có đủ điều kiện để khai thác, phục vụ nhu cầu thơng tin Ngồi hệ thống mạng bị chiếm quyền điều khiển trở thành nạn nhân hệ thống botnet sử dụng cơng khác Ví dụ cơng từ chối dịch vụ đến hệ thống khác + Xóa dấu vết: Khi cơng thành cơng hệ thống, người cơng cố gắng trì xâm nhập Sau người cơng phải xóa hết dấu vết để khơng bị phát khơng cịn chứng pháp lý Người cơng xóa tập tin log, xóa cảnh báo từ hệ thống phát xâm nhập Ở giai đoạn thu thập thơng tin dị tìm lỗ hổng bảo mật, người công thường làm lưu lượng mạng thay đổi khác với lúc bình thường nhiều, đồng thời tài nguyên hệ thống bị ảnh hưởng đáng kể Số hóa Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn 12 Những dấu hiệu có ích cho người quản trị mạng phân tích đánh giá tình hình hoạt động hệ thống mạng Hầu hết công tiến hành bước nêu Làm để biết hệ thống mạng bị công, xâm nhập từ hai bước quan trọng 1.1.6 Một số dấu hiệu phát hệ thống bị công - Kiểm tra dấu hiệu hệ thống bị công: Hệ thống thường bị treo thường xuyên xuất thông báo lỗi không rõ ràng Khó xác định ngun nhân thiếu thơng tin liên quan Trước tiên, xác định nguyên nhân có phải phần cứng hay khơng, khơng phải hệ thống bị cơng [1] - Kiểm tra tài khoản người dùng hệ thống: Một số tài khoản lạ, ID tài khoản - Kiểm tra xuất tập tin lạ Thông thường phát xuất tập tin lạ thông qua cách đặt tên tập tin Người quản trị hệ thống cần có thói quen đặt tên tập tin theo quy luật định để dễ kiểm soát phát tập tin lạ - Kiểm tra thời gian thay đổi hệ thống, đặc biệt chương trình login - Kiểm tra hiệu hệ thống: Sử dụng tiện ích theo dõi tài nguyên tiến trình hoạt động hệ thống - Kiểm tra hoạt động dịch vụ mà hệ thống cung cấp: Một mục đích cơng làm cho tê liệt hệ thống, hình thức cơng Dos Sử dụng tiện ích mạng để phát nguyên nhân hệ thống - Kiểm tra truy cập hệ thống tài khoản thông thường, đề phòng trường hợp tài khoản bị truy cập trái phép thay đổi quyền truy cập mà người sử dụng hợp pháp khơng kiểm sốt - Kiểm tra tệp tin có liên quan đến cấu hình mạng dịch vụ Nên loại bỏ dịch vụ không cần thiết Nếu không loại bỏ dịch vụ nên chạy quyền root, không nên chạy quyền yếu Các biện pháp kết hợp với tạo nên sách bảo mật hệ thống Số hóa Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn ...ĐẠI HỌC THÁI NGUYÊN TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THƠNG TƠN ĐỨC CƯỜNG TÌM HIỂU VÀ XÂY DỰNG CÔNG CỤ PHÁT HIỆN TẤN CÔNG MẠNG DỰA TRÊN CÔNG NGHỆ SIEM Chuyên ngành : Khoa học máy tính. .. Xây dựng công cụ phát công mạng dựa công nghệ Siem Đưa mơ hình hệ thống giám sát, phát tận cơng thực tế Xây dựng công cụ phát công mạng dựa công nghệ Siem Cuối phần đánh giá, kết luận hướng phát. .. tài ? ?Tìm hiểu xây dựng công cụ phát công mạng dựa công nghệ Siem? ?? hướng dẫn TS Trần Đức Sự Sau phần mở đầu, nội dung luận văn vào tìm hiểu phương pháp công mạng, kỹ thuật phát công công nghệ