Ngày nay, mạng Internet đang phát triển và mở rộng trên phạm vi toàn thế giới. Các cổng thông tin điện tử, dịch vụ mạng có thể là sự sống còn của cá nhân, tổ chức. Việc những hệ thống đó bị quá tải, không truy cập được trong một khoảng thời gian có thể gây ra tổn thất không nhỏ. Từ vấn đề thực tế trên kiểu tấn công từ chối dịch vụ phân tán, DDoS (Distributed Denial Of Service) đã xuất hiện rất sớm từ những năm 90 của thế kỷ XX. Kiểu tấn công này làm cạn kiệt tài nguyên của hệ thống. Người quản trị, người sử dụng không thể truy cập được hệ thống thông tin. Tấn công DDos xuất hiện từ năm 1999, cùng với sự phát triển không ngừng của Công nghệ thông tin, các kỹ thuật tấn công mới của DDoS cũng lần lượt ra đời. Tuy rằng tấn công DDoS không còn là mới mẻ, nhưng vẫn luôn là nỗi lo lắng của các nhà quản trị mạng. Không bằng cách nào khác để phòng vệ là chúng ta phải học cách tấn công để tìm ra các lỗ hổng còn tồn tại trong hệ thống nhằm khắc phục và đưa ra các bản vá lỗi cho hệ thống. Vì vậy, nhóm em quyết định lựa chọn đề tài : “Tấn công DDoS và cách phòng chống”.
BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA: AN TỒN THƠNG TIN BÀI TẬP LỚN MƠN HỌC KỸ THUẬT LẬP TRÌNH Đề tài: TẤN CƠNG DDOS VÀ CÁCH PHỊNG CHỐNG Nhóm thực hiện: Nhóm – L01 Sinh viên thực hiện: Lê Ngọc Hưng – AT170722 Nguyễn Quang Đáng – AT270717 Vũ Tú Linh – AT270728 Nguyễn Huy Đào – AT270708 Ngơ Trí Bân – AT270705 Hà Nội, tháng năm 2023 LỜI NÓI ĐẦU Ngày nay, mạng Internet phát triển mở rộng phạm vi tồn giới Các cổng thơng tin điện tử, dịch vụ mạng sống cịn cá nhân, tổ chức Việc hệ thống bị tải, không truy cập khoảng thời gian gây tổn thất khơng nhỏ Từ vấn đề thực tế kiểu công từ chối dịch vụ phân tán, DDoS (Distributed Denial Of Service) xuất sớm từ năm 90 kỷ XX Kiểu công làm cạn kiệt tài nguyên hệ thống Người quản trị, người sử dụng truy cập hệ thống thông tin Tấn công DDos xuất từ năm 1999, với phát triển không ngừng Công nghệ thông tin, kỹ thuật công DDoS đời Tuy cơng DDoS khơng cịn mẻ, nỗi lo lắng Giảng viên hướng dẫn: TS Nguyễn Mạnh Thắng nhà quản trị mạng Không cách khác để phịng vệ phải học cách cơng để tìm lỗ hổng cịn tồn hệ thống nhằm khắc phục đưa vá lỗi cho hệ thống Vì vậy, nhóm em định lựa chọn đề tài : “Tấn công DDoS cách phòng chống” Từ vấn đề thực tiễn trên, vào lý thuyết an ninh an toàn hệ thống thơng tin, báo cáo trình bày: Các vấn đề chung DDoS Kỹ thuật cơng DDoS Đưa mơ hình thực nghiệm cụ thể để cơng DDos Giải pháp phịng, chống DDos hiệu LỜI CẢM ƠN Sau tháng nỗ lực thực hiện, báo cáo đề tài “Tấn cơng DDoS cách phịng chống” phần hồn thành Ngồi nỗ lực nhóm, nhóm em cịn nhận khích lệ nhiều từ phía nhà trường, thầy gia đình bạn bè khoa Chính điều mang lại cho nhóm em động viên lớn để nhóm em hồn thành tốt báo cáo nhóm Trước hết nhóm em xin cảm ơn thầy thuộc mơn “Kỹ thuật lập trình”, đặc biệt thầy Nguyễn Mạnh Thắng - giáo viên hướng dẫn nhóm em tận tình hướng dẫn giúp chúng em gặp khó khăn q trình học tập q trình làm báo cáo Nhóm em xin gửi lời cảm ơn tới nhà trường nói chung thầy khoa An Tồn thơng tin – Học viện Kỹ thuật Mật Mã nói riêng đem lại cho nhóm em nguồn kiến thức vơ q giá để nhóm em hồn thành báo cáo hành trang bước vào đời Nhóm em xin chân thành cảm ơn bạn bè, gia đình người thân chia sẻ, giúp đỡ, động viên, tạo điều kiện thuận lợi để nhóm hồn thành nhiệm vụ học tập hoàn thành báo cáo Hà Nội, tháng năm 2023 MỤC LỤC LỜI NÓI ĐẦU LỜI CẢM ƠN MỤC LỤC CHƯƠNG I GIỚI THIỆU CHUNG VỀ DDOS 1 Khái niệm DDoS Phân loại kiểu công DDoS 2.1 Tấn công làm cạn kiệt băng thông 2.2 Tấn công làm cạn kiệt tài nguyên hệ thống Các giai đoạn công công DDos 3.1 Giai đoạn chuẩn bị 3.2 Giai đoạn xác định mục tiêu thời điểm công 3.3 Giai đoạn sau công Mạng Botnet 4.1 Khái niệm mạng Botnet 4.2 Mơ hình cơng Handler - Agent 4.3 Mơ hình cơng IRC - Base CHƯƠNG II CÁC KỸ THUẬT TẤN CÔNG DDOS SYN flood 7 1.1 Định nghĩa 1.2 Giao thức TCP 1.3 Các giai đoạn công SYN flood Slowloris 10 2.1 Định nghĩa 10 2.2 Giao thức HTTP 10 2.3 Các giai đoạn công Slowloris 11 CHƯƠNG III THỰC NGHIỆM TẤN CƠNG DDOS 12 Mơ hình thực nghiệm 12 Kịch 12 2.1 Mục tiêu 12 2.2 Tiến hành thực nghiệm 12 Đánh giá hạn chế 19 3.1 Đánh giá 19 3.2 Hạn chế 20 CHƯƠNG IV CÁCH PHỊNG CHỐNG DDOS Phịng chống DDoS 21 21 1.1 Tối thiểu hóa lượng Agent 22 1.2 Tìm vơ hiệu hóa Handler 22 1.3 Phát dấu hiệu công 22 1.4 Làm suy giảm hay dừng công 23 1.5 Chuyển hướng công 24 1.6 Giai đoạn sau công 24 Những vấn đề liên quan 25 KẾT LUẬN 27 PHỤ LỤC 28 BẢNG PHÂN CHIA CÔNG VIỆC 30 TÀI LIỆU THAM KHẢO 31 DANH MỤC HÌNH VẼ Hình Phân loại kiểu cơng DDoS Hình Mơ hình cơng Handler - Agent Hình Mơ hình cơng IRC - Base Hình Quy trình bắt tay ba bước Hình Mơ hình cơng SYN flood Hình Mơ hình hoạt động HTTP 10 Hình Mơ hình cơng Slowloris 11 Hình Mơ hình minh họa thực nghiệm 12 Hình Thực công SYN flood 15 Hình 10 Kết chạy câu lệnh công SYN flood 15 Hình 11 CPU Ethernet nạn nhân sau công 16 Hình 12 Kết chạy câu lệnh công Slowloris 18 Hình 13 Trang web trước bị công 19 Hình 14 Trang web sau bị công 19 Hình 15 Các giai đoạn chi tiết phòng chống DDoS 21 DANH MỤC TỪ VIẾT TẮT Từ viết tắt Tiếng Anh DoS Denial of Service DDoS Distributed Denial of Service IRC Internet Relay Chat UDP User Datagram Protocol TCP Transmission Control Protocol IP Internet Protocol HTTP Hypertext Transfer Protocol ICMP Internet Control Massage Protocol WWW World Wide Web CHƯƠNG I GIỚI THIỆU CHUNG VỀ DDOS Khái niệm DDoS Tấn công từ chối dịch vụ phân tán (Distributed Denial of Service attack - DDoS attack) hành động ngăn cản người dùng hợp pháp dịch vụ truy cập sử dụng dịch vụ đó, cách làm cho server khơng thể đáp ứng yêu cầu sử dụng dịch vụ từ client Nguồn công không đến từ máy tính Internet, mà đến từ hệ thống nhiều máy tính với địa IP khác Xuất lần vào năm 1999, so với công dịch vụ (Denial of Service attack - DoS attack), sức mạnh DDoS cao nhiều, nguồn cơng khơng đến từ máy tính cơng DoS mà đến từ nhiều máy tính Hầu hết công DDoS nhằm vào việc chiếm dụng băng thông gây nghẽn mạng dẫn đến hệ thống ngưng hoạt động Tuy nhiên với phát triển thiết bị phần cứng hệ thống phòng thủ, dạng công DDos ngày phức tạp thông minh, không chiếm dụng băng thông, mà khai thác lỗ hổng ứng dụng để công làm cạn kiệt tài nguyên hệ thống Những kiểu công đánh giá nguy hiểm hơn, chúng gây tổn hại trực tiếp đến sở liệu Phân loại kiểu công DDoS Các loại công DDoS có nhiều biến thể, nên việc phân loại có nhiều cách khác Tuy nhiên, giới chuyên môn thường chia kiểu công DDoS thành dạng chính, dựa vào mục đích kẻ cơng: - Tấn công DDoS làm cạn kiệt băng thông - Tấn công DDoS làm cạn kiệt tài nguyên hệ thống Hình Phân loại kiểu công DDoS 2.1 Tấn công làm cạn kiệt băng thông Tấn công làm cạn kiệt băng thông (BandWith Depletion Attack) thiết kế nhằm làm tràn ngập mạng mục tiêu với lưu lượng không cần thiết, với mục địch làm giảm tối thiểu khả lưu lượng hợp lệ đến hệ thống cung cấp dịch vụ mục tiêu Có hai loại cơng làm cạn kiệt băng thông: - Flood attack: Điều khiển Agent gửi lượng lớn lưu lượng đến hệ thống dịch vụ mục tiêu, làm dịch vụ bị hết khả băng thông - Amplification attack: Điều khiển Agent hay Client tự gửi packet đến địa IP broadcast, làm cho tất máy subnet gửi packet đến hệ thống dịch vụ mục tiêu Phương pháp làm gia tăng lưu lượng không cần thiết, làm suy giảm băng thông mục tiêu 2.2 Tấn công làm cạn kiệt tài nguyên hệ thống Tấn công làm cạn kiệt tài nguyên (Resource Deleption Attack) kiểu cơng Attacker gửi packet dùng protocol sai chức thiết kế, hay gửi packet với dụng ý làm tắc nghẽn tài nguyên mạng làm cho tài nguyên không phục vụ người dùng thông thường khác Các giai đoạn công công DDos 3.1 Giai đoạn chuẩn bị Chuẩn bị công cụ cho công, công cụ thông thường hoạt động theo mơ hình Client - Server Hacker viết phần mềm hay tải xuống cách dễ dàng mạng Tiếp theo, hacker chiếm quyền điều khiển máy tính mạng, tiến hành tải cài đặt ngầm chương trình độc hại máy tính Để làm điều này, hacker thường lừa cho người dùng click vào link quảng cáo có chứa Trojan, Worm Kết thúc giai đoạn này, hacker có attack network (một mạng máy tính ma phục vụ cho việc công DDoS) 3.2 Giai đoạn xác định mục tiêu thời điểm công Sau xác định mục tiêu cần công, hacker điều chỉnh attack network chuyển hướng cơng mục tiêu Yếu tố thời điểm định mức độ thiệt hại cơng Vì vậy, phải hacker ấn định trước 3.3 Giai đoạn công Đúng thời điểm định trước, hacker phát động lệnh công từ máy Tồn attack - network (có thể lên đến hàng ngàn, hàng vạn máy) đồng loạt cơng mục tiêu, mục tiêu nhanh chóng bị cạn kiệt băng thông tiếp tục hoạt động Sau khoảng thời gian công, hacker tiến hành xóa dấu vết truy ngược đến mình, việc địi hỏi trình độ cao hacker chuyên nghiệp