Mơn Học : Chun đề An Tồn Mạng *********************** Báo cáo đề tài 11 Nghiên cứu đưa giải pháp phịng chống cơng DoS, DDoS Giảng viên hướng dẫn Võ Đỗ Thắng Nhóm thực 0512236 Phan Tường Ngun 0512415 Nguyễn Bá Khải Hồn 0512363 Huỳnh Minh Trí 0512354 Nguyễn Hoàng Trung 0512038 Trần Bửu Phát Mục lục 1Khái niệm phân loại 1.1 Khái niệm 2 1.2Phân loại 2Các cách thức công 2.1 Tấn công thông qua kết nối 2.2Lợi dụng tài nguyên nạn nhân để công 2.3 Sử dụng Băng Thông 2.4 Sử dụng tài nguyên khác Cách phòng chống tổng quát 11 Chi tiết phòng chống DDoS 13 Một số vụ công DoS DDoS 26 Chuyên đề an toàn mạng – www.Athena.Edu.Vn Trang 1 Khái niệm phân loại 1.1 Khái niệm Tấn công từ chối dịch vụ DoS (Denial of Service) mô tả hành động ngăn cản người dùng hợp pháp khả truy cập sử dụng vào dịch vụ Nó bao gồm: làm tràn ngập mạng, kết nối với dịch vụ… mà mục đích cuối máy chủ (Server) khơng thể đáp ứng yêu cầu sử dụng dịch vụ từ máy trạm (Client) 1.2 Phân loại Có loại  Loại 1: Dựa theo đặc điểm hệ thống bị công: gây tải khiến hệ thống khả phục vụ • Tin tặc gửi nhiều yêu cầu dịch vụ, bắt chước người dùng thực yêu cầu hệ thống • Để giải yêu cầu, hệ thống phải tốn tài nguyên (CPU, nhớ, đường truyền,…) Mà tài nguyên hữu hạn Do hệ thống khơng cịn tài ngun để phục vụ u cầu sau • Hình thức chủ yếu kiểu công từ chối dịch vụ phân tán  Loại : Làm cho hệ thống bị treo, tê liệt công vào đặc điểm hệ thống lỗi an toàn thơng tin • Tin tặc lợi dụng kẽ hở an tồn thơng tin hệ thống để gửi u cầu gói tin khơng hợp lệ (khơng theo tiêu chuẩn) cách cố ý, khiến cho hệ thống bị công nhận yêu cầu hay gói tin Chun đề an tồn mạng – www.Athena.Edu.Vn Trang này, xử lý khơng khơng theo trình tự thiết kế, dẫn đến sụp đổ hệ thống • Điển hình kiểu công Ping of Death SYN Flood Các cách thức công 2.1 Tấn công thông qua kết nối SYN Flood Attack -Được xem kiểu công DoS kinh điển Lợi dụng sơ hở thủ tục TCP “bắt tay ba chiều”, client (máy khách) muốn thực kết nối (connection) với server (máy chủ) thực việc bắt tay ba lần (three – ways handshake) thông qua gói tin (packet)  Bước 1: Client (máy khách) gửi gói tin (packet chứa SYN=1) đến máy chủ để yêu cầu kết nối  Bước 2: Khi nhận gói tin này, server gửi lại gói tin SYN/ACK để thơng báo cho client biết nhận yêu cầu kết nối chuẩn bị tài nguyên cho việc yêu cầu Server giành phần tài nguyên hệ thống nhớ đệm (cache) để nhận truyền liệu Ngoài ra, thông tin khác client địa IP cổng (port) ghi nhận  Bước 3: Cuối cùng, client hoàn tất việc bắt tay ba lần cách hồi âm lại gói tin chứa ACK cho server tiến hành kết nối Chuyên đề an toàn mạng – www.Athena.Edu.Vn Trang -Do TCP thủ tục tin cậy việc giao nhận (end-to-end) nên lần bắt tay thứ hai,server gửi gói tin SYN/ACK trả lời lại client mà không nhận lại hồi âm client để thực kết nối bảo lưu nguồn tài nguyên chuẩn bị kết nối lập lại việc gửi gói tin SYN/ACK cho client đến nhận hồi đáp máy client Điểm mấu chốt làm cho client không hồi đáp cho Server Và có hàng nhiều, nhiều client server “ngây thơ” lặp lại việc gửi packet giành tài nguyên để chờ “người về” lúc tài nguyên hệ thống có giới hạn! Các hacker cơng tìm cách để đạt đến giới hạn Chun đề an tồn mạng – www.Athena.Edu.Vn Trang -Nếu q trình kéo dài, server nhanh chóng trở nên tải, dẫn đến tình trạng crash (treo) nên yêu cầu hợp lệ bị từ chối đáp ứng Có thể hình dung q trình giống máy tính cá nhân (PC) hay bị “treo” mở lúc nhiều chương trình lúc -Thơng thường, để giả địa IP gói tin, hacker dùng Raw Sockets (khơng phải gói tin TCP hay UDP) để làm giả mạo hay ghi đè giả lên IP gốc gói tin Khi gói tin SYN với IP giả mạo gửi đến server, bao gói tin khác, hợp lệ server server cấp vùng tài nguyên cho đường truyền này, đồng thời ghi nhận toàn thơng tin gửi gói SYN/ACK ngược lại cho Client Vì địa IP client giả mạo nên khơng có client nhận SYN/ACK packet để hồi đáp cho máy chủ Sau thời gian khơng nhận gói tin ACK từ client, server nghĩ gói tin bị thất lạc nên lại tiếp tục gửi tiếp SYN/ACK, thế, kết nối (connections) tiếp tục mở -Nếu kẻ công tiếp tục gửi nhiều gói tin SYN đến server cuối server tiếp nhận thêm kết nối nữa, dù yêu cầu kết nối hợp lệ Việc phục đồng nghĩa với việc máy chủ không tồn Việc đồng nghĩa với xảy nhiều tổn thất ngưng trệ hoạt động, đặc biệt giao Chuyên đề an toàn mạng – www.Athena.Edu.Vn Trang dịch thương mại điện tử trực tuyến -Đây kiểu cơng đường truyền cao, cần máy tính nối internet qua ngã dial-up đơn giản cơng kiểu (tất nhiên lâu chút) 2.2 Lợi dụng tài nguyên nạn nhân để cơng Land Attack • Tương tự SYN flood • Nhưng hacker sử dụng IP mục tiêu cần công để dùng làm địa IP nguồn gói tin • Đẩy mục tiêu vào vịng lặp vơ tận cố gắng thiết lập kết nối với Chun đề an tồn mạng – www.Athena.Edu.Vn Trang UDP flood • Hacker gửi gói tin UDP echo với địa IP nguồn cổng loopback mục tiêu cần cơng máy tính mạng • Với mục tiêu sử dụng cổng UDP echo (port 7) để thiết lập việc gửi nhận gói tin echo máy tính (hoặc mục tiêu với mục tiêu có cấu hình cổng loopback), khiến cho máy tính sử dụng hết băng thơng chúng, cản trở hoạt động chia sẻ tài nguyên mạng máy tính khác mạng 2.3 Sử dụng Băng Thông DDoS (Distributed Denial of Service) -Xuất vào mùa thu 1999, so với công DoS cổ điển, sức mạnh DDoS cao gấp nhiều lần Hầu hết công DDoS nhằm vào việc chiếm dụng băng thông (bandwidth) gây nghẽn mạch hệ thống dẫn đến hệ thống ngưng hoạt động Để thực kẻ cơng tìm cách chiếm dụng điều khiển nhiều máy tính/mạng máy tính trung gian (đóng vai trò zombie) từ nhiều nơi để đồng loạt gửi ạt gói tin (packet) với số lượng lớn nhằm chiếm dụng tài nguyên làm tràn ngập đường truyền mục tiêu xác định Chuyên đề an toàn mạng – www.Athena.Edu.Vn Trang -Theo cách dù băng thơng có khơng thể chịu đựng số lượng hàng triệu gói tin nên hệ thống hoạt động dẫn đến việc yêu cầu hợp lệ khác đáp ứng, server bị “đá văng” khỏi internet - Nói nơm na giống tình trạng kẹt xe vào cao điểm Ví dụ rõ “cộng hưởng” lần truy cập điểm thi đại học vừa qua có nhiều máy tính yêu cầu truy cập lúc làm dung lượng đường truyền máy chủ không tài đáp ứng -Hiện nay, xuất dạng virus/worm có khả thực cơng DDoS Khi bị lây nhiễm vào máy khác, chúng tự động gửi yêu cầu phục vụ đến mục tiêu xác định vào thời điểm xác định để chiếm dụng băng thông tài nguyên hệ thống máy chủ Trường hợp MyDoom ví dụ tiêu biểu cho kiểu 2.4 Sử dụng tài nguyên khác Chuyên đề an toàn mạng – www.Athena.Edu.Vn Trang Smurf Attack • Kiểu cơng cần hệ thống quan trọng mạng khuyếch đại • Hacker dùng địa máy tính cần cơng để gửi gói tin ICMP echo cho tồn mạng (broadcast) • Các máy tính mạng đồng loạt gửi gói tin ICMP reply cho máy tính mà hacker muốn cơng • Kết máy tính xử lý kịp thời lượng lớn thông tin dẫn tới bị treo máy Tear Drop • Trong mạng chuyển mạch gói, liệu chia thành nhiều gói tin nhỏ, gói tin có giá trị offset riêng truyền theo nhiều đường khác để tới đích Tại đích, nhờ vào giá trị offset gói tin mà liệu lại kết hợp lại ban đầu • Lợi dụng điều này, hacker tạo nhiều gói tin có giá trị offset trùng lặp gửi đến mục tiêu muốn cơng • Kết máy tính đích khơng thể xếp gói tin dẫn tới bị treo máy bị "vắt kiệt" khả xử lý Chuyên đề an toàn mạng – www.Athena.Edu.Vn Trang Chuyên đề an toàn mạng – www.Athena.Edu.Vn Trang 14 - Từ phía ISP: Thay đổi cách tính tiền dịch vụ truy cập theo dung lượng làm cho user lưu ý đến họ gửi, mặt ý thức tăng cường phát DDoS Agent tự nâng cao User Tìm vơ hiệu hóa Handler - Một nhân tố vô quan trọng attack-network Handler, phát vơ hiệu hóa Handler khả Anti-DDoS thành cơng cao Bằng cách theo dõi giao tiếp Handler Client hay Handler Agent ta phát vị trí Handler Do Handler quản lý nhiều, nên triệt tiêu Handler có nghĩa loại bỏ lượng đáng kể Agent Attack Network  Phát dấu hiệu công Agress Filtering: Kỹ thuật kiểm tra xem packet có đủ tiêu chuẩn khỏi subnet hay không dựa sở gateway subnet biết địa IP máy thuộc subnet Các packet từ bên subnet gửi ngồi với địa nguồn khơng hợp lệ bị giữ lại để điều tra nguyên nhân Nếu kỹ thuật áp dụng tất subnet internet khái nhiệm giả mạo địa IP khơng cịn tồn  MIB statistics: Trong Management Information Base (SNMP) route ln có thơng tin thống kê biến thiên trạng thái mạng Nếu ta giám sát chặt chẽ thống kê Protocol ICMP, UDP TCP ta có khả phát thời điểm bắt đầu công để tạo “quỹ thời gian vàng” cho việc xử lý tình  Làm suy giàm hay dừng công Load balancing: Thiết lập kiến trúc cân tải cho server trọng điểm làm gia tăng thời gian chống chọi hệ thống với cơng DDoS Tuy nhiên, điều khơng có ý nghĩa mặt thực tiễn quy mơ cơng khơng có giới hạn  Throttling: Chun đề an toàn mạng – www.Athena.Edu.Vn Trang 15 Thiết lập chế điều tiết router, quy định khoảng tải hợp lý mà server bên xử lý Phương pháp dùng để ngăn chặn khả DDoS traffic không cho user truy cập dịch vụ Hạn chế kỹ thuật không phân biệt loại traffic, làm dịch vụ bị gián đoạn với user, DDoS traffic xâm nhập vào mạng dịch vụ với số lượng hữu hạn  Drop request: Thiết lập chế drop request vi phạm số quy định như: thời gian delay kéo dài, tốn nhiều tài nguyên để xử lý, gây deadlock Kỹ thuật triệt tiêu khả làm cạn kiệt lực hệ thống, nhiên giới hạn số hoạt động thông thường hệ thống, cần cân nhắc sử dụng  Chuyển hướng công Honeyspots: -Một kỹ thuật nghiên cứu Honeyspots Honeyspots hệ thống thiết kế nhằm đánh lừa attacker công vào xâm nhập hệ thống mà không ý đến hệ thống quan trọng thực -Honeyspots khơng đóng vai trị “Lê Lai cứu chúa” mà hiệu việc phát xử lý xâm nhập, Honeyspots thiết lập sẵn chế giám sát báo động -Ngồi Honeyspots cịn có giá trị việc học hỏi rút kinh nghiệm từ Attacker, Honeyspots ghi nhận chi tiết động thái attacker hệ thống Nếu attacker bị đánh lừa cài đặt Agent hay Handler lên Honeyspots khả bị triệt tiêu toàn attack-network cao  Giai đoạn sau công: Traffic Pattern Analysis: Nếu liệu thống kê biến thiên lượng traffic theo thời gian lưu lại đưa phân tích Q trình phân tích có ích cho việc tinh chỉnh lại hệ thống Load Balancing Throttling Ngồi liệu cịn giúp Quản trị mạng điều chỉnh lại quy tắc kiểm sốt traffic vào mạng Chun đề an toàn mạng – www.Athena.Edu.Vn Trang 16  Packet Traceback: Bằng cách dùng kỹ thuật Traceback ta truy ngược lại vị trí Attacker (ít subnet attacker) Từ kỹ thuật Traceback ta phát triển thêm khả Block Traceback từ attacker hữu hiệu, gần có kỹ thuật Traceback hiệu truy tìm nguồn gốc cơng 15 phút, kỹ thuật XXX  Bevent Logs: Bằng cách phân tích file log sau cơng, quản trị mạng tìm nhiều manh mối chứng quan trọng a) Sử dụng Load Balancing Giới thiệu chung: Một số đơn vị, chẳng hạn công ty hàng không ngân hàng lớn, mạng máy tính ví hệ thần kinh điều khiển hoạt động toàn doanh nghiệp Sự ngừng hoạt động mạng máy tính quan làm tê liệt hoạt động đơn vị, thiệt hại khó lường trước Các máy chủ trái tim của mạng máy tính, máy chủ mạng hỏng, hoạt động hệ thống bị ngưng trệ Điều đáng tiếc dù hãng sản xuất cố gắng làm cách để nâng cao chất lượng thiết bị, hỏng hóc thiết bị mạng nói chung máy chủ nói riêng điều tránh khỏi Do vậy, vấn đề đặt cần có giải pháp để đảm bảo cho hệ thống hoạt động tốt có cố xảy máy chủ mạng, cơng nghệ clustering (bó) câu trả lời cho vấn đề Bài báo giới thiệu nguyên lý phân tích số giải pháp clustering áp dụng cho hệ thống mạng máy tính lớn với hi vọng giúp độc giả hiểu rõ công nghệ tưởng đơn giản thực tế phức tạp b) Tổng quan công nghệ Clustering Clustering kiến trúc nhằm đảm bảo nâng cao khả sẵn sàng cho hệ thống mạng máy tính Clustering cho phép sử dụng nhiều máy chủ kết hợp với tạo thành cụm (cluster) có khả chịu đựng hay chấp nhận sai sót (fault-tolerant) nhằm nâng cao độ sẵn sàng hệ thống mạng Cluster hệ thống bao gồm nhiều máy chủ kết nối với theo dạng song song hay phân tán sử dụng tài nguyên thống Nếu máy chủ ngừng hoạt động bị cố để nâng cấp, bảo trì, tồn cơng việc mà máy chủ đảm nhận tự động chuyển sang cho máy chủ khác (trong cluster) mà không làm cho hoạt động hệ thống bị ngắt hay gián đoạn Quá trình gọi “fail-over”; việc phục hồi tài nguyên máy chủ hệ thống (cluster) gọi “fail-back” Chuyên đề an toàn mạng – www.Athena.Edu.Vn Trang 17 Hình Mơ hình hệ thống Network Load balancing c) Các yêu cầu hệ thống Cluster: Yêu cầu tính sẵn sàng cao (availability) Các tài nguyên mạng phải sẵn sàng khả cao để cung cấp phục vụ người dùng cuối giảm thiểu ngưng hoạt động hệ thống ý muốn Yêu cầu độ tin cậy cao (reliability) Độ tin cậy cao cluster hiểu khả giảm thiểu tần số xảy cố, nâng cao khả chịu đựng sai sót hệ thống Yêu cầu khả mở rộng (scalability) Hệ thống phải có khả dễ dàng cho việc nâng cấp, mở rộng tương lai Việc nâng cấp mở rộng bao hàm việc thêm thiết bị, máy tính vào hệ thống để nâng cao chất lượng dịch vụ, việc thêm số lượng người dùng, thêm ứng dụng, dịch vụ thêm tài nguyên mạng khác Ba yêu cầu gọi tắt RAS (Reliability-Availability-Scalability), hệ thống đáp ứng ba yêu cầu gọi hệ thống RAS (cần phân biệt với Remote Access Service dịch vụ truy cập từ xa) Cũng cần ý hiệu hoạt động hệ thống Clustering phụ thuộc vào tương thích ứng dụng dịch vụ, phần cứng phần mềm Ngồi ra, kỹ thuật clustering khơng thể chống lại cố xảy virus, sai sót phần mềm hay sai sót người sử dụng Để chống lại cố cần xây dựng sở liệu bảo vệ chắn có kế hoạch khơi phục, backup liệu d) Cluster nhiều địa điểm phân tán Với hệ thống mạng lớn có người dùng phân bố rải rác, hiệu việc phòng chống cố nâng cao tính sẵn sàng mạng cải thiện nhiều xây dựng hệ thống cluster bố trí nhiều địa điểm Kiến trúc nhiều địa điểm thiết kế theo nhiều cách khác nhau, phổ biến có điểm gốc số Chuyên đề an toàn mạng – www.Athena.Edu.Vn Trang 18