BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI - NGUYỄN ĐÌNH TÌNH lu an n va PHÁT HIỆN VÀ PHÒNG CHỐNG p ie gh tn to XÂM NHẬP TRÁI PHÉP MẠNG MÁY TÍNH d oa nl w nf va an lu lm ul LUẬN VĂN THẠC SĨ KỸ THUẬT z at nh oi KỸ THUẬT MÁY TÍNH z m co l gm @ an Lu Hà Nội – 2017 n va ac th si BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI - NGUYỄN ĐÌNH TÌNH lu PHÁT HIỆN VÀ PHÒNG CHỐNG an n va XÂM NHẬP TRÁI PHÉP MẠNG MÁY TÍNH p ie gh tn to d oa nl w Chuyên ngành: KỸ THUẬT MÁY TÍNH lu nf va an LUẬN VĂN THẠC SĨ KỸ THUẬT KỸ THUẬT MÁY TÍNH z at nh oi lm ul NGƯỜI HƯỚNG DẪN KHOA HỌC: z m co l gm @ PGS.TS NGUYỄN LINH GIANG an Lu n va Hà Nội – 2017 ac th si LỜI CAM ĐOAN u c Các s liu, kt qu nêu lu       công b bt k công trình khác Tác gi Nguyễn Đình Tình lu an n va p ie gh tn to d oa nl w nf va an lu z at nh oi lm ul z m co l gm @ an Lu n va ac th i si DANH MỤC CÁC THUẬT NGỮ lu an n va ACK Acknowledgement DNS Domain Name System DOS Denial of Service DDOS Distributed Denial of Service FTP File Transfer Protocol HTTP HyperText Transfer Protocol ICMP Internet Control Message Protocol IDS Intrusion Detection System IP Internet Protocol 10 IPS Intrusion Prevention System 11 NAT Network Address Translation 12 NTP Network Time Protocol 13 UDP User Datagram Protocol p ie gh tn to RPC Remote Procedure Call 15 TCP Transmission Control Protocol d oa nl w 14 nf va an lu z at nh oi lm ul z m co l gm @ an Lu n va ac th ii si MỤC LỤC LỜI CAM ĐOAN i DANH MỤC CÁC THUẬT NGỮ ii MỤC LỤC iii DANH MỤC CÁC BẢNG v DANH MỤC HÌNH VẼ VÀ SƠ ĐỒ vi MỞ ĐẦU CHƢƠNG I: TỔNG QUAN VỀ TẤN CÔNG TỪ CHỐI DỊCH VỤ PHÂN TÁN 1.1 Tn công t chi dch v phân tán lu 1.2 Lch s tn công t chi dch v n ca mt cuc tn công DDOS an va n n chun b nh mc tiêu thm tn công ng tn công p ie gh tn to 1.3.1.1 K thut scanning  lây lac oa nl w n xóa du vt 1.4 Mơ hình kin trúc tng quan ca DDOS attack-network 14 d 1.4.1 Mơ hình Agent-Handler 14 1.4.2 Mơ hình da nn tng IRC 16 an lu nf va CHƢƠNG II: PHÂN LOẠI CÁC DẠNG TẤN CÔNG DDOS 18 2.1 Dn công lm ul 2.2 Da m t ng 19 z at nh oi 2.3 Da giao thc mng 19 2.4 Dg thc giao tip z 2.5 D tn công 2.6 Da vic khai thác l hng an ninh 21 @ l gm 2.6.1 Tn công gây cn ki 2.6.2 Tn công gây cn kit tài nguyên 25 m co CHƢƠNG III: PHÁT HIỆN VÀ NGĂN CHẶN DDOS 30 3.1 Yêu ci vi mt h thng phát hin DDoS 3.2 Các bin pháp phát hin DDOS an Lu n va ac th iii si t gn nn nhân 3.2t gn ngun tn công t ti phn lõi ca internet 3.3 Mt s nghiên cu v h thn DDOS 3.3.1 Giao thc Active Internet Traffic Filtering (AITF) 33 3.3.2 H thng D-WARD 35 CHƢƠNG IV: TRIỂN KHAI THÍ NGHIỆM PHƢƠNG PHÁP NGĂN CHẶN DDOS SỬ DỤNG SNORT-INLINE 39 4.1 Phn mm phát hin xâm nhp Snort-inline  hong ca Snort lu 4.1.2 Kin trúc ca Snort 41 4.1.3 Cu trúc lut (rule) ca Snort 42 4.1.3.1 Cu trúc ca rule Header .42 an n va 4.2 Mơ hình trin khai 49 4.2.1 Mơ hình h th ie gh tn to 4.1.3.2 Cu trúc ca rule option 43 p 4.2.2 Gii pháp tích hp Snort-inline vào h thng 51 4.3 c trin khai 52 w d oa nl 4.3c .52 c .52 an lu c 53 nf va 4.4 Trin khai h thng 53 t h u hành gói ph thuc lm ul z at nh oi 4.4t gói cn thit cho snort 54 t Snort 55 t Barnyard 56 4.5 Kt qu thí nghim 57 z 4.5.1 Kt qu c 57 4.5.2 Kt qu c 59 gm @ l 4.5.3 Kt qu c 63 m co KẾT LUẬN 66 TÀI LIỆU THAM KHẢO an Lu n va ac th iv si DANH MỤC CÁC BẢNG Bng 1: Cu trúc rule ca Snort .42 Bng 2: Cu trúc rule header 42 lu an n va p ie gh tn to d oa nl w nf va an lu z at nh oi lm ul z m co l gm @ an Lu n va ac th v si DANH MỤC HÌNH VẼ VÀ SƠ ĐỒ Hình 1: Mơ hình lan truyc qua ngun trung tâm 10 Hình 2: Mơ hình lan truyc theo kiu chui kt nc Hình 3: Mơ hình lan truyc theo kiu t u khin 12 Hình 4: Mơ hình DDOS attack-network .14 Hình 5: Mơ hình network attack kiu Agent-Handler 15 Hình 6: Mơ hình network attack kiu IRC-Base 17 Hình 1: Mơ hình mng botnet .23 lu Hình 2.2: Mơ hình tn công thông qua data center 24 Hình 3: Mơ hình tn cơng khui 25 an n va Hình 2.4: Mơ hình giao thc TCP SYN 26 Hình 2.5: Mơ hình TCP SYN attack 27 gh tn to t gn nn nhân Hình 2t gn Attacker .32 p ie t ti lõi ca internet nl w Hình 4: Mơ hình giao thc AITF 33 Hình 5: Hong ca AITF 34 d oa Hình 6: Mơ hình trin khai D-WARD 36 Hình 3.7: Mơ t dòng kt ni .37 lu nf va an Hình 4.1: Netfilter Snort-inline 40 Hình 4.2 lung d liua Snort z at nh oi lm ul Hình 4.3: Mơ hình m Hình 4.4 lung d li Hình 4.5: Mơ hình h thng tích hp Snort-inline 51 Hình 4.6 lung d liu tích hp Snort-inline Iptables 51 Hình 4.7: Tài nguyên h th tn công z gm @ Hình 4.8: Truy cp vào web server 59 Hình 4.9: S dng Slow POST HTTP request attack 60 m co l Hình 4.10: Tài nguyên h thng b tn cơng DDOS khong phút 60 Hình 4.11: Log apache bu tc phút an Lu Hình 4.12: Log h thng b tn công DDOS khong phút 61 Hình 4.13: Log h thơng sau tn công khong phút 61 n va ac th vi si Hình 4.14: Log cnh báo nhc h thng b tn công DDOS 62 Hình 4.15: Access log ca apache sever cuc tn công xy 62 Hình 4.16: Truy cp vào web server b tn cơng DDOS .62 Hình 4.17: S dng Slow POST HTTP request attack 63 Hình 4.18: Log h thng chn tn công DDOS .64 Hình 4.19: Tài nguyên h thng sau phút DDOS b n 64 Hình 4.20: Truy cp vào web server DDOS attacks b n 65 lu an n va p ie gh tn to d oa nl w nf va an lu z at nh oi lm ul z m co l gm @ an Lu n va ac th vii si MỞ ĐẦU   , internet tr thành không gian xã hi m th thc hin hành vi mang bn cht xã hi c sáng to, hc tp, sn xui trí c b phát trin nhanh chóng ca kt ni không dây, kt ni mng 3G, 4G, mng xã hi, thit b di ng thông minh dch v           c th lu an mi quan h xã hi lên internet n va Cùng vi nhng li ích to la t khơng gian m  ng ca t ch gh tn to mi quu ca nhiu quc gia S phát trin công ngh thông tin p ie ng bt hp pháp không gian mng, chun chng phá nhm kim sốt thơng   p d liu,  n ho ng ca t chc, doanh ng nl w  Trong nht nhiu v tn công DDOS (tn d oa dch v phân tán) ln, nhm vào h thng ca t chc ph an lu an ninh hay t hp công nghip, n t ln toàn th gii g hi nf va nhng thit hi to ln v an ninh quc phịng, kinh t, tr làm mt nh xã lm ul T           z at nh oi  Các quc gia, t chc, doanh nghip cn ph b tt nh ng phó vi v tn cơng bt ng có bin pháp khc phc k z th hn ch tt hi mà DDoS gây Vic hiu rõ d gm @ DDOn cn thit Vi mon l th nghim phòng chng mt s ng hp tn công DDOS nhm gim tác hi gây phịng chống xâm nhập trái phép mạng máy tính m co vi mt s h thng ph bin  Vit Nam, tác gi  tài lu an Lu Mc tiêu nghiên cu gii hn ca lu n va ac th si Nhn xét 4.3.3 Bước Ki      t h thng phát hi  thng chy  n) th Kim tra tài nguyên h thng Truy cp vào server  n xét 4.4 Triển khai hệ thống 4.4.1 Cài đặt hệ điều hành gói phụ thuộc lu an  t h u hành Ubuntu 12.0.4 X86-64 n va  t gói ph thuc: tn to # apt-get -y install apache2 gh # apt-get -y install apache2-doc p ie # apt-get -y install libapache2-mod-php5 # apt-get -y install flex oa nl w # apt-get -y install bison # apt-get -y install g++ d an lu # apt-get -y install gcc nf va # apt-get -y install gcc-4.4 lm ul # apt-get -y install libcrypt-ssleay-perl # apt-get -y install libmysqlclient-dev z at nh oi # apt-get -y install libnet1 # apt-get -y install libnet1-dev z # apt-get -y install libpcre3 m co l # apt-get -y install libssl-dev gm # apt-get -y install libphp-adodb @ # apt-get -y install libpcre3-dev # apt-get -y install libtool an Lu # apt-get -y install libwww-perl n va ac th 53 si # apt-get -y install make # apt-get -y install mysql-client # apt-get -y install mysql-common # apt-get -y install mysql-server # apt-get -y install php5-cli # apt-get -y install php5-gd # apt-get -y install php5-mysql # apt-get -y install php-pear 4.4.2 Cài đặt gói cần thiết cho snort lu  t gói libpcap: an va # cd /usr/src n # wget http://www.tcpdump.org/release/libpcap-1.6.4.tar.gz to gh tn # tar -zxf libpcap-1.6.4.tar.gz p ie # cd libpcap-1.6.4 # /configure prefix=/usr && make && make install nl w  t gói libdnet: d oa # cd /usr/src an lu # wget http://libdnet.googlecode.com/files/libdnet-1.12.tgz nf va # tar -zxf libdnet-1.12.tgz # cd libdnet-1.12 lm ul # /configure prefix=/usr enable-shared && make && make install # cd /usr/src z at nh oi  t gói daq: z # wget https://www.snort.org/downloads/snort/daq-2.0.4.tar.gz # cd daq-2.0.4 co # /configure && make && make install l gm @ # tar -zxf daq-2.0.4.tar.gz m  Cp nht ng dc chia s: an Lu # echo >> /etc/ld.so.conf /usr/lib n va ac th 54 si # echo >> /etc/ld.so.conf /usr/local/lib && ldconfig 4.4.3 Cài đặt Snort  t Snort: # cd /usr/src # wget https://www.snort.org/downloads/snort/snort-2.9.8.0.tar.gz # tar -zxf snort-2.9.7.0.tar.gz && cd snort-2.9.8.0 # /configure enable-sourcefire && make && make install  Tc cho Snort: # mkdir /usr/local/etc/snort lu an # mkdir /usr/local/etc/snort/rules n va # mkdir /var/log/snort to # touch /usr/local/etc/snort/rules/local.rules gh tn # touch /usr/local/etc/snort/rules/snort.rules p ie # touch /usr/local/etc/snort/sid-msg.map # groupadd snort && useradd -g snort snort nl w  To user phân quyn: d oa # chown snort:snort /var/log/snort an lu  Copy file cu hình Snort: nf va # cp /usr/src/snort-2.9.7.0/etc/*.conf* /usr/local/etc/snort # cp /usr/src/snort-2.9.7.0/etc/*.map /usr/local/etc/snort lm ul  Cu hình Snort (Chnh sa file snort.conf): z at nh oi #vim /usr/local/etc/snort/snort.conf Line #45 - ipvar HOME_NET 27.118.23.30/28 - Line #48 - ipvar EXTERNAL_NET !$HOME_NET - Line #104 - var RULE_PATH rules - Line #293  Thêm vào sau   max_g z - l gm @ m co 104857600 Line #521  Thêm dòng - output unified2: filename snort.log, limit 128 - Line #265 an Lu - n va ac th 55 si preprocessor normalize_ip4 preprocessor normalize_tcp: ips ecn stream preprocessor normalize_icmp4 preprocessor normalize_ip6 preprocessor normalize_icmp6 - Line #188 - Cui step #2 ca file snort.cong thêm: config policy_mode: inline  Cu hình daq: - Line #159 in snort.cong lu an config daq: afpacket va config daq_dir: /usr/local/lib/daq n config daq_mode: inline to gh tn config daq_var: buffer_size_mb=512 p ie  snort.conf 4.4.4 Cài đặt Barnyard nl w Barnyard2 mt trình thơng dch mã ngun m cho t u nh ph d oa Snort unified2 Nhim v ca cho phép Snort phân tích d liu nh phân an lu  nh dng khác   t cách hiu qu nf va tồn c l khơng n q  lm ul  t Barnyard2: z at nh oi # cd /usr/src # wget https://github.com/binf/barnyard2/tree/bug-fix-release z # unzip bug-fix-release.zip gm @ # cd barnyard2-bug-fix-release l # autoreconf -fvi -I /m4 && /configure with-mysql with-mysql- co libraries=/usr/lib/x86_64-linux-gnu m # make && make install an Lu  Configure Barnyard2: n va ac th 56 si #cp /usr/src/barnyard2-bug-fix-release/etc/barnyard2.conf /usr/local/etc/snort # mkdir /var/log/barnyard2 # chown snort:snort /var/log/barnyard2 # nano /usr/local/etc/snort/barnyard2.conf lu an va - Line #27 i thành /usr/local/etc/snort/reference.config - Line #28 i thành /usr/local/etc/snort/classification.config - Line #29 i thành /usr/local/etc/snort/gen-msg.map - Line #30 i thành /usr/local/etc/snort/sid-msg.map - Line #227 i thành output alert_fast - Cui file: output database: log, mysql, user=snort password= n dbname=snort host=localhost gh tn to  Thit lp Database: p ie Login to MySQL: mysql> create database snort; nl w # mysql uroot p d oa mysql> grant CREATE, INSERT, SELECT, DELETE, UPDATE on an lu snort.* to snort@localhost; //thit lp nf va mysql> snort@localhost=PASSWORD(''); password cho snort database user; lm ul mysql> use snort; mysql> show tables; mysql> exit; z at nh oi mysql>source/usr/src/barnyard2-bug-fixrelease/schemas/create_mysql; z gm @ 4.5 Kết thí nghiệm l 4.5.1 Kết bước m co  Tài nguyên h thng: an Lu n va ac th 57 si lu an n va p ie gh tn to d oa nl w nf va an lu Hình 4.7: Tài nguyên hệ thống chưa bị công z at nh oi lm ul  Truy cp vào server: z m co l gm @ an Lu n va ac th 58 si lu an n va T kt qu trên, ta thy khơng b tn cơng DDOS thơng s ti ca h p ie gh tn to Hình 4.8: Truy cập vào web server thng rt thp i x ng RAM free khong 67 M oa nl w cng 4.5.2 Kết bước d an lu  Thêm rule vào file /usr/local/etc/snort/rules/local.rules: nf va alert tcp any any -> 192.168.73.128/24  lm ul "POST"; nocase; flow: established,to_server; threshold:type threshold, track by_src, count 60, seconds 1; sid:1000852; rev:1; ) z at nh oi  S dng công c  tn công máy ch web bng Slow POST HTTP request: z m co l gm @ an Lu n va ac th 59 si lu an va n Hình 4.9: Sử dụng Slow POST HTTP request attack p ie gh tn to  Bu thc hin cu hình tn cơng: d oa nl w nf va an lu z at nh oi lm ul z co l gm @ m Hình 4.10: Tài nguyên hệ thống bị công DDOS khoảng phút an Lu n va ac th 60 si Hình 4.11: Log apache bắt đầu công phút  Log cnh báo bu xut hin (mã li 408 http): lu an n va to p ie gh tn Hình 4.12: Log hệ thống bị cơng DDOS khoảng phút d oa nl w nf va an lu z at nh oi lm ul z @ m co l gm Hình 4.13: Log hệ thông sau công khoảng phút an Lu n va ac th 61 si  Log cnh báo: lu an Hình 4.14: Log cảnh báo nhận hệ thống bị công DDOS n va  Log access ca Apache server: p ie gh tn to d oa nl w nf va an lu lm ul Hình 4.15: Access log apache sever công xảy z at nh oi  Truy cp vào web server: z m co l gm @ an Lu Hình 4.16: Truy cập vào web server bị công DDOS n va ac th 62 si  Nhn xét: - Khi tn công DDOS xy ra, ti ca h thc, %CPU dàn ti c x n 94,4%  gim dn, sau tn công phút cịn khong  50 MB H thng khơng th tip tc x lý b treo - Liên tc nhc cnh báo xy tn công DDOS - Access log ca apache server gm rt nhiu gói tin POST (gói tin tn cơng) - Khơng th truy cp vào web server sau phút b tn công DDOS 4.5.3 Kết bước lu an  Thêm rule vào file /usr/local/etc/snort/rules/local.rules: n va drop tcp any any -> 192.168.73.128/24 phat hien va DROP - to  rev:1; ) p ie gh tn threshold:type threshold, track by_src, count 60, seconds 1; sid:1000852; Chy lnh: snort  kích hot mode inline snort nl w  S dng công c  tn công máy ch web bng d oa Slow POST HTTP request: nf va an lu z at nh oi lm ul z m co l gm @ an Lu Hình 4.17: Sử dụng Slow POST HTTP request attack n va ac th 63 si  Log h thng nhc: lu an n va tn to p ie gh Hình 4.18: Log hệ thống chặn công DDOS d oa nl w  Tài nguyên h thng sau phút: nf va an lu z at nh oi lm ul z l gm @ m co Hình 4.19: Tài nguyên hệ thống sau phút DDOS bị ngăn chặn an Lu n va ac th 64 si  Truy cp vào web server: lu an n va p ie gh tn to Hình 4.20: Truy cập vào web server DDOS attacks bị ngăn chặn Khi kích hot h thn DDOS, mc dù b t d oa - nl w  Nhn xét: an lu ti ca h thng, %CPU dành cho ti x lý ch  - nf va ng RAM free khong gn 63 MB Khi phát hin b tn công DDOS, h thng phát hi lm ul drop gói tin t thng Access log ca apache server ch có nhng gói tin GET mà khơng có gói tin POST Truy cp vào web server bìnng z - z at nh oi - m co l gm @ an Lu n va ac th 65 si KẾT LUẬN Những kết đạt đƣợc  Tìm hiu v tn công t chi dch v    kin hình ca tn cơng DDOS  ng mng tn cơng t chi dch v phâ  Phân tích lo k thut t  Tìm hiu mt s n DDOS  Trin khai thành cơng thí nghim h thn DDOS da thng phát hin xâm nhp Snort-inline lu Vic phát hin cuc tn công t chi dch v phân tán an toàn mu r Các quc gia, t chc, doanh nghip c va n s chun b tt nh ng phó vi v tn cơng bt ng có bin pháp kh tn to phc kp th hn ch tt hi mà DDoS gây Hy vng gh có th giúp làm rõ v bn cht, cách thc tn công k thu phịng chng p ie li kiu tn cơng DDoS w Kt qu lu  c s d  tham kh oa nl dng h thng có kh chng lc cng tn công t chi dch v tán, có th áp dng vào thc tin d an lu Hƣớng phát triển nf va           lm ul   z at nh oi  T      -    z @  gm           m co l  an Lu n va ac th 66 si TÀI LIỆU THAM KHẢO [1] A Cisco Guide to Defending Against Distributed Denial of Service Attacks  http://www.cisco.com/c/en/us/about/security-center/guide-ddosdefense.html [2] David Dittrich dittrich@cac.washington.edu University of Washington Copyright 1999 All rights reserved October 21, 1999 - The DoS Project's "trinoo" distributed denial of service attack tool [3] DNS Amplification - https://www.incapsula.com/ddos/attackglossary/dns- amplification.html lu an [4] Hellinton H - Instituto Tecnológico de Aeronáutica S J dos Campos  n va Brazil, Takada and Ulrich Hofmann - Univ of Applied Sciences & Salzburg Detect Highly Distributed Denial of Service Attacks using Different Attack Traffic gh tn to Research Salzburg  Austria - Application and Analyses of Cumulative Sum to p ie Patterns [5].http://www.cisco.com/web/about/ac123/ac147/archived_issues/ipj_74/do nl w s_attacks.html d oa [6].http://www.linuxhomenetworking.com/wiki/index.php/Quick_HOWTO_ an lu :_Ch14_:_Linux_Firewalls_Using_iptables#.VthdZ-a6KM8 nf va [7] http://manual.snort.org/ [8] Network Time Protocol  lm ul https://en.wikipedia.org/wiki/Network_Time_Protocol z at nh oi [9] www.linux.com/ [10] Secure your network, protect your critical infrastructure gm @ [11] http://openmaniak.com/inline.php z https://www.corero.com - co Vmware ESXi, Snort and Debian Linux l [12] Vladimir Koychev (2015), Build IPS Virtual Appliance Based on m [13] Hypertext Transfer Protocol HTTP/1.1 - Copyright (C) The Internet an Lu Society (1999) n va ac th si