kỹ thuật tấn công mạng bằng DOS và các phòng chống
1 - : VÀ GVHD SVTH : 1. MSSV: 0951150005 CÔNG MSSV: 0951150006 TP.HCM ngày 20 2 Bảo mật an ninh mạng hiện nay được đặt lên hàng đầu với bất kỳ công ty nào có hệ thống mạng dù lớn hay nhỏ. Hiện nay, các hacker trong và ngoài nước luôn tìm cách tấn công và xâm nhập hệ thống để lấy các thông tin nội bộ.Những thông tin nhạy cảm thường ảnh hưởng tới sống còn của công ty.Chính vì vậy, các nhà quản trị mạng luôn cố gắng bảo vệ hệ thống của mình tốt nhất có thể và cố gắng hoàn thiện hệ thống mình để bớt lỗ hổng. Tuy nhiên, một kiểu tấn công rất cổ điển là tấn công từ chối dịch vụ chưa bao giờ mất đi tính nguy hiểm đối với hệ thống mạng. Hậu quả mà DoS gây ra không chỉ tiêu tốn nhiều tiền bạc, và công sức mà còn mất rất nhiều thời gian để khắc phục. DoS và DDoS vẫn đang là vấn đề nan giải chưa có biện pháp nào chống được hoàn toàn cuộc tấn công. Với yêu cầu cấp thiết như vậy, nhóm em chọn đề tài “Tìm hiểu kỹ thuật tấn công DoS và cách phòng chống” làm đồ án An Ninh Mạng. Mục đích đưa ra khi làm đề tài là hiểu được các kiểu tấn công và từ đó đưa ra cách phòng chống DoS. 3 TÀI: DOS ATTACK P I: QUAN CÔNG Trang I. Những sự kiện về các cuộc tấn công mạng……………4 II. Hiểu biết về các cuộc tấn công mạng………………….6 III. Những nguy cơ ảnh hưởng đến an toàn mạng………7 PHN II : I . DoS attack là gì ? …………………………………………12 II. Các kỹ thuật tấn công DoS…………………….………….14 III. Một số công cụ tấn công DoS…………………………….23 P III : DOS I. Những biện pháp đối phó DoS…………………………27 II. Công cụ phòng chống DoS……………………………31 III . Kiểm tra thâm nhập DoS………………………………34 P IV : DOS 4 I: QUAN CÔNG I. CÁC CÔNG 1.Sự kiện bảo mật của năm 2011 VietNamNet bị tấn công DDoS lớn chưa từng có Trong vài ngày qua, báo VietNamNet đã phải hứng chịu một cuộc tấn công từ chối dịch vụ phân tán (DDoS) ở quy mô lớn chưa từng có tại Việt Nam, xuất phát từ một mạng lưới khổng lồ gồm hàng chục ngàn máy tính bị nhiễm vi rút. Bắt đầu từ cuối ngày 4/1/2011, lưu lượng truy cập vào trang chủ báo VietNamNet tại địa chỉ http://vietnamnet.vn tăng nhanh một cách bất thường, lên tới hàng trăm ngàn kết nối tại một thời điểm. Với lượng độc giả truy cập hàng ngày, số lượng kết nối tại một thời điểm chỉ ở mức dưới một trăm ngàn. Nên việc tại một thời điểm có tới hàng trăm ngàn kết nối liên tục (bao gồm cả của các độc giả thông thường) tới máy chủ web đã khiến băng thông đường truyền mạng bị quá tải. Do vậy, độc giả truy cập vào báo VietNamNet sẽ bị tắc nghẽn ngay từ đường truyền và báo lỗi không tìm thấy máy chủ, phải truy cập vài lần mới mở được trang web. Trên thực tế, báo VietNamNet đã từng bị tấn công DDoS nhiều lần nhưng ở quy mô vài chục ngàn kết nối tại một thời điểm nên băng thông hệ thống và công suất các máy chủ vẫn có thể chịu đựng được.Trong cuộc tấn công DDoS đang diễn ra, kẻ thủ ác đã thể hiện khả năng rất chuyên nghiệp khi huy động một mạng lưới botnet với lượng máy lên tới hàng chục ngàn máy tính. "Hacktivism" nổi dậy Hacktivism là thuật ngữ diễn tả hành động tấn công, đột nhập vào một hệ thống máy tính nhằm mục đích chính trị. Trên thế giới hiện nay, những nhóm hacker mang "mác" hacktivism nổi tiếng có thể kể đến bao gồm Anonymous, LulzSec (đã gác kiếm), hay TeaMp0isoN. Trong suốt năm 2011 qua, các nhóm hacktivism đã tiến hành nhiều hoạt động khác nhau chống lại các cơ quan luật pháp, ngân hàng, chính phủ, các công ty bảo mật và những nhà cung cấp phần mềm như tấn công lỗ thủng an ninh các hệ thống của Tổ chức Liên hiệp quốc (UN), cơ quan tình báo bảo mật Straffor, CIA… Đáng lưu ý hơn nữa, trong số những sự việc này, như cuộc tấn công Straffor, đã tiết lộ những lỗ hổng về mặt an ninh như việc lưu trữ các số thẻ tín dụng dưới 5 hình thức chưa được mã hóa, hay những mật khẩu vô cùng thiếu an toàn được các nhà quản lý sử dụng. 2.Công ty cung cấp giải pháp bảo mật cho chính phủ Hoa Kỳ bị tấn công Vào tháng 1-2011, những hacker thuộc Anonymous đã đột nhập máy chủ web của HBGary Federal – hbgaryfederal.com – thông qua việc sử dụng những đoạn mã SQL bất hợp pháp nhằm khai thác một lỗ hổng bảo mật tồn tại trong cơ sở dữ liệu của một ứng dụng. Sau đó trích xuất mã MD5 cho các mật khẩu thuộc sở hữu của giám đốc điều hành (CEO), Aaron Barr, và COO, Ted Vera. Cả hai đều dùng mật khẩu rất đơn giản: 6 kí tự thường và 2 con số. Những mật khẩu như thế này cho phép những kẻ tấn công tiếp cận vào những tài liệu nghiên cứu của công ty và hàng chục ngàn email được lưu trữ trong Google Apps. Như vậy, việc sử dụng những mật khẩu thiếu an toàn cho hệ thống phần mềm cũ cộng với việc sử dụng điện toán đám mây đã gây ra cơn ác mộng đối với an ninh bảo mật. 3.Các cuộc tấn công DDoS nổi tiếng trong lịch sử - Năm 2000, một loạt website nổi tiếng như Yahoo, eBay, eTrade, Amazon và CNN trở thành nạn nhân của DDoS. - Tháng 2/2001, máy chủ của Cục tài chính Ireland bị một số sinh viên Đại học Maynooth ở nước này tấn công DDoS. - Ngày 15/8/2003, Microsoft chịu đợt tấn công DoS cực mạnh và làm gián đoạn websites trong vòng 2 giờ. - Tháng 2/2007, hơn 10.000 máy chủ của game trực tuyến như Return to Castle Wolfenstein, Halo, Counter-Strike …bị nhóm RUS tấn công với hệ thống điều khiển chủ yếu đặt tại Nga, Uzbekistan và Belarus. - Ngày 25/6/2009 khi Michael Jackson qua đời, lượng truy cập tìm kiếm các từ khóa có liên quan đến ca sĩ này quá lớn khiến Google News lầm tưởng đây là một cuộc tấn công tự động. - Tháng 8/2009, các vụ DDoS nhắm tới một loạt trang mạng xã hội đình đám như Facebook, Twitter, LiveJournal và một số website của Google được thực hiện chỉ để "khóa miệng" một blogger có tên Cyxymu ở Georgia - Ngày 7/12/2010, nhóm hacker có tên Anonymous đánh sập website Visa.com sau khi tổ chức những cuộc tấn công tương tự vào Mastercard và PayPal để trả đũa cho việc chủ WikiLeaks bị tạm giam ở Anh. - Ngày 3/3/2011, dịch vụ blog nổi tiếng thế giới WordPress bị tấn công. - Ngày 4/3/2011, 40 trang web của các cơ quan chính phủ Hàn Quốc bị tê liệt vì DDoS. 6 II. CÔNG Một cuộc tấn công mạng có thể được định nghĩa là bất kỳ phương pháp, quy trình, phương tiện được sử dụng độc hại cố gắng để thỏa hiệp an ninh mạng. Có một số lý do mà một cá nhân muốn tấn công mạng doanh nghiệp.Các cá nhân thực hiện các cuộc tấn công mạng thường được gọi là kẻ tấn công mạng, tin tặc,… Một vài loại khác nhau của hoạt động độc hại mà kẻ tấn công mạng và tin tặc thực hiện được tóm tắt ở đây: Sử dụng trái phép tài khoản người dùng và đặc quyền Ăn cắp phần cứng Phần mềm đánh cắp Chạy mã cho các hệ thống thiệt hại Chạy mã thiệt hại và dữ liệu tham nhũng Sửa đổi dữ liệu được lưu trữ Ăn cắp dữ liệu Sử dụng dữ liệu cho lợi ích tài chính hoặc hoạt động gián điệp công nghiệp Thực hiện các hành động ngăn chặn người dùng hợp pháp có thẩm quyền truy cập vào các dịch vụ mạng và các nguồn lực. Thực hiện hành động để làm cạn kiệt tài nguyên mạng và băng thông. 7 III. 1. "Tay trong" Trong một số doanh nghiệp vừa và nhỏ, những dữ liệu kinh doanh quan trọng hay thông tin khách hàng thường được giao phó cho một cá nhân. Điều này tạo nên tình trạng "lệ thuộc quyền hạn" nguy hiểm. Toàn bộ bản ghi (log) hệ thống mạng, những báo cáo tự động sẽ không được kiểm tra thường xuyên từ ban quản trị.Việc thất thoát dữ liệu có thể diễn ra trong khoảng thời gian dài mà không bị phát hiện. 2. Không có kế hoạch xử lý rủi ro Hệ thống máy tính, mạng của doanh nghiệp luôn phải đối mặt với nhiều nguy cơ bảo mật, từ việc hư hỏng vật lý cho đến các trường hợp bị tấn công từ tin tặc hay virus đều có khả năng gây tổn hại cho dữ liệu. Khá nhiều doanh nghiệp vừa và nhỏ thiếu hẳn chính sách phản ứng với việc thất thoát dữ liệu hay kế hoạch khắc phục sự cố. Đại đa số đều lúng túng và bắt đầu các hoạt động mang tính ứng phó. 3. Những thiết lập mặc định không được thay đổi Tin tặc hiện nay thường dùng các tập tin chứa đựng hàng trăm ngàn tài khoản mặc định (username và password) của các thiết bị kết nối mạng để dò tìm quyền hạn truy xuất khả năng đăng nhập vào hệ thống mạng. Nếu các tài khoản, thiết lập mặc định không được thay đổi, tin tặc sẽ dễ dàng chiếm quyền điểu khiển tài nguyên mạng. 4. Môi trường mạng tại gia không an toàn Đối với một vài doanh nghiệp nhỏ, các nhân viên thường đem máy tính xách tay (laptop) của mình đến văn phòng để làm việc. Trong môi trường mạng tại gia đình, chế độ bảo mật thường rất kém hay thậm chí không có những thiết lập bảo vệ. Do đó, những chiếc laptop của nhân viên có thể là nguồn gốc phát tán virus, malware hay trở thành zombie trung gian để tin tặc tấn công vào hệ thống mạng của doanh nghiệp. 8 5. Thiếu cảnh giác với mạng công cộng Một thủ đoạn chung tin tặc hay sử dụng để dẫn dụ những nạn nhân là đặt một thiết bị trung chuyển wireless access-point không cài đặt mật khẩu (unsecured) rồi gán một cái nhãn như "Mạng Wi-Fi miễn phí" và rung đùi ngồi chờ những kết nối "ngây thơ" rơi vào bẫy. Tin tặc sẽ dùng các công cụ thâu tóm gói dữ liệu mạng giúp nhận biết cả những văn bản hay bất kỳ những gì mà nhân viên doanh nghiệp gõ rồi gửi ra ngoài. 6. Mất mát thiết bị di động Rất nhiều doanh nghiệp, thậm chí gần đây còn có cả một vài hãng lớn bị thất thoát dữ liệu quan trọng do mất cắp máy tính xách tay, thất lạc điện thoại di động hay các đĩa flash USB lưu trữ. Dữ liệu trong các thiết bị này thường ít được mã hóa hay bảo vệ bằng mật khẩu, rất dễ dàng xử lý một khi đã sở hữu chúng. 7. Lỗi từ máy chủ web Hiện còn khá nhiều doanh nghiệp không coi trọng việc đặt website của mình tại máy chủ nào, mức độ bảo mật ra sao. Do đó, website kinh doanh của doanh nghiệp sẽ là mồi ngon của các đợt tấn công SQL Injection hay botnet. 8. Duyệt web tràn lan Không phải nhân viên văn phòng nào cũng đủ am hiểu tường tận về những hiểm họa rình rập trên mạng Internet như malware, spyware, virus, trojan Họ cứ vô tư truy cập vào các website không xác định hoặc bị dẫn dụ click vào những website được tin tặc bày cỗ chào đón và thế là máy tính của nhân viên sẽ là cánh cửa giúp tin tặc xâm nhập vào trong mạng của doanh nghiệp. 9. Email chứa đựng mã độc Những cuộc dội bom thư rác sẽ làm tràn ngập hộp thư của bạn với những tiêu đề hấp dẫn như những vụ scandal tình ái, hình ảnh nóng bỏng hay các lời mời chào kinh doanh chỉ một cú nhấp chuột sai lầm thì ngay lập tức máy tính sẽ tải về các đoạn mã độc làm tiền đề cho hàng loạt phần mềm độc hại đi sau xâm nhập vào máy tính. 10. Không vá lỗi bảo mật 9 Hơn 90% các cuộc tấn công vào hệ thống mạng đều cố gắng khai thác các lỗi bảo mật đã được biết đến.Mặc dù các bản vá lỗi vẫn thường xuyên được những hãng sản xuất cung cấp ngay sau khi lỗi được phát hiện nhưng một vài doanh nghiệp lại không coi trọng việc cập nhật lỗi thường nhật dẫn đến việc các lỗi bảo mật mở toang cổng chào đón những cuộc tấn công. 11. Một số nguy cơ khác + Lỗ hổng Zero-day đối với các phần mềm của Adobe (Flash Player, Adobe Reader và Acrobat). Đây là lỗ hổng mới phát hiện trong tháng 3/2011 và được đánh giá là lỗi nghiêm trọng. Nó cho phép kẻ tấn công thực thi các mã lệnh và có thể chiếm quyền điều khiển hệ thống.Tội phạm mạng đã đính kèm mã độc dưới hình thức tập tin Flash (.swf) vào các tài liệu có định dạng pdf hoặc Excel. + Sâu Conficker xuất hiện từ khá sớm tại Việt Nam và liên tục có nhiều biến thể khác nhau; ngày càng trở nên nguy hiểm. Ước tính, có đến hàng triệu máy tính trên thế giới đang nhiễm sâu Conficker và vô tình trở thành mạng máy tính botnet giúp cho các hacker tổ chức các đợt tấn công DDoS quy mô lớn. + Hiện tại, đang xuất hiện loại malware (mã độc) khi lây nhiễm vào máy tính sẽ chiếm quyền điều khiển hệ thống và đưa ra các thông báo giả mạo. Malware này đã tấn công vào các máy tính sử dụng Windows không có bản quyền và đưa ra đề nghị kích hoạt dịch vụ.Nhiều người tiêu dùng đã mất tiền oan khi gọi điện thoại liên lạc với tổng đài (do hacker chỉ định) để lấy mã số kích hoạt Windows. 12. Những điểm yếu trong vấn đề bảo mật: Hiểu được những điểm yếu trong bảo mật là một vấn đề hết sức quan trọng để tiến hành những chính sách bảo mật có hiệu quả. Hiểu những điểm yếu này giúp bảo mật mạng trước khi bị hacker tấn công. Cisco xác định những điểm yếu trong bảo mật gồm có: technology weaknesses, configuration weaknesses và policy weaknesses. 12.1) Technology weaknesses: Điểm yếu trong kỹ thuật gồm có điểm yếu trong protocol, operating system va ̀ hardware. 12.1.1) TCP/IP weaknesses: 10 Giao thức TCP/IP là điểm yếu trong bảo mật vì nó được thiết kế như một tiêu chuẩn mở đê ̉ giu ́ p cho việc trao đô ̉ i thông tin được dễ dàng . Điều đó làm cho nó trở nên sư ̉ du ̣ ng rô ̣ ng ra ̃ i nhưng cu ̃ ng làm cho nó dễ dàng bị tấn công vì hầu hết mọi người đều thân thuộc với cách thức TCP/IP làm việc. Hai giao thức mà Cisco thích lựa chọn trong chùm giao thức TCP/IP nhưng vốn cố hữu lại không được bảo mật la SMTP ( TCP ) va SNMP ( UDP ). Điển hình của kỹ thuật tấn công vào hai giao thức này là IP spoofing, man-in-the-middle và session replay. 12.1.2) Operating System weaknesses: Trong khi tất cả các hệ điều hành đều có điểm yếu thì Linux và Unix được xem như là ít có điểm yếu hơn Windows. Thực tế, hầu hết mọi người dùng các phiên bản của Windows. 12.1.3) Network equipment weaknesses: Hầu hết các thiết bị mạng như là servers, switchs, routers… đều có điểu yếu trong bảo mật. Nhưng co ́ một chính sách tốt cho việc cấu hì nh và lắp đặt cho các thiết bị mạng sẽ làm giảm đi rất nhiều sự ảnh hưởng của điểm yếu này. 12.2) Configuration weaknesses: Đây là lỗi do nhà quản trị tạo ra . Lỗi này do các thiếu sót trong việc cấu hình như là: không bảo mật tài khoản khách hàng , hệ thống tài khoản với password dễ dàng đoán biết, không bảo mật các cấu hình mặc định trên thiết bị hay lỗi trong viê ̣ c cấu hình thiết bị. 12.2.1) Unsecured user account: Mỗi user account cần có usename và password cho mục đích bảo mật. Các username và password này thường được truyền đi ở dạng clear text trên mạng. Do đó, cần có chính sách bảo mật user account như mã hoá, authentication … 12.2.2) System account with easily guessed password: Một điểm yếu trong lỗi cấu hình khác là bảo mật account với password dễ dàng bị đánh cắp . Để ngăn chặn tình trạng đó , người quản trị cần có chính sách để không cho phép một password co ́ hi ệu lực mãi mãi mà password này phải có một thời hạn kết thúc. 12.2.3) Misconfigured Internet services: [...]... tấn công các loại, bao gồm cả DoS / DDoS, Super DDoS, DrDoS, Fragment tấn công, tấn công SYN lũ lụt, lũ lụt tấn công IP, UDP, UDP đột biến, ngẫu nhiên UDP Flooding tấn công, ICMP, IGMP tấn công, ARP Spoofing, HTTP Proxy tấn công, CC Flooding tấn công, CC Proxy tấn công, … 32 D-Guard Anti-DDoS Firewall cung cấp một cấp trên cách tiếp cận cơ bản để giảm nhẹ các cuộc tấn công DDoS, với một thiết kế tập trung... Cách tấn công này lợi hại ở chỗ chỉ cần một máy có kết nối Internet đơn giảnvới đường truyền bình thường cũng có thể đánh bật được hệ thống có đường truyền tốt nhất thế giới nếu như ta không kịp ngăn chặn Trang WebHVA của chúng ta cũng bị DoS vừa rồi bởi cách tấn công này đấy 21 Hình 2.10 Mô hình tấn công DRDos 22 III: NHỮNG CÔNG CỤ TẤN CÔNG DOS 1 DoSHTTP + Sprut: Hình 3.1 Giao diện tool DoSHTTP và... DDoS server Bây giờ các hackers sẽ hẹn nhau đến thời gian đã định sẽ dùng DDoS client kết nối đến các DDoS servers, sau đó đồng loạt ra lệnh cho các DDoS servers này tiến hành tấn công DDoS đến hệ thống nạn nhân 11 The Distributed Reflection Denial of Service Attack(DRDoS ) Đây có lẽ là kiểu tấn công lợi hại nhất và làm boot máy tính của đối phương nhanh gọn nhất Cách làm thì cũng tương tự như DDos... trọng giúp việc bảo mật có hiệu quả tốt nhất PHẦN II: TẤN CÔNG TỪ CHỐI DỊCH VỤ DOS I- GIỚI THIỆU VỀ DOS 1 Khái niệm Denial Of Services Attack (tấn công từ chối dịch vụ ) là kiểu tấn công rất lợi hại, với loại tấn công này, bạn chỉ cần một máy tính kết nối Internet là đã có thể thực hiện việc tấn công được máy tính của đối phương Thực chất của DoS attack là hacker sẽ chiếm dụng một lượng lớn tài nguyên... cho người khác có khả năng truy cập vào Khi tấn công DoS xảy ra người dùng có cảm giác khi truy cập vào dịch vụ đó như bị: + Disable Network - Tắt mạng + Disable Organization - Tổ chức không hoạt động + Financial Loss – Tài chính bị mất 12 3 Mục tiêu mà kẻ tấn công thường sử dụng tấn công DoS Như chúng ta biết ở bên trên tấn công DoS xảy ra khi kẻ tấn công sử dụng hết tài nguyên của hệ thống và hệ thống... 31 Hình 2.1 Công cụ NetFlow Analyzer 2 Một số công cụ khác D-Guard Anti-DDoS Firewall D-Guard Anti-DDoS Firewall cung cấp đáng tin cậy nhất và nhanh nhất bảo vệ DDoS cho các doanh nghiệp trực tuyến, và các dịch vụ phương tiện truyền thông, thiết yếu hạ tầng công cộng và cung cấp dịch vụ Internet Là một chuyên nghiệp Anti-DDoS Firewall, D-Guard có thể bảo vệ chống lại hầu hết các cuộc tấn công các loại,... vào thì các nạn nhân sẽ vào trang Web do chính hacker tạo ra Một cách tấn công từ chối dịch vụ thật hữu hiệu ! 10 Distributed DoS Attacks ( DDos ) Attacker:kẻ tấn công Handler: máy tính bị điều khiển bởi Attacker Zombie: máy tính bị điều khiển bởi Handler Victim: nạn nhân tấn công của Attacker Hình 2.10 Mô hình tấn công DDos DDoS yêu cầu phải có ít nhất vài hackers cùng tham gia Đầu tiên các hackers... Làm lệch hướng tấn công Hệ thống thiết lập với giới hạn bảo mật, cũng biết như là honeypot, hoạt động cám dỗ đối với kẻ tấn công Phục vụ có nghĩa là giành thông tin từ kẻ tấn công bằng cách lưu trữ một bản ghi các hoạt động, học kiểu tấn công và công cụ phần mềm kẻ tấn công sử dụng Dùng phòng thủ chiều sâu tiếp cận với IPSec tại điểm mạng khác nhau chuyển hướng đáng ngờ luồng DoS đến vài honeypot... tích-sau tấn công- để tìm kiếm đặc điểm riêng biệt trong lưu lượng tấn công Mẫu lưu lượng tấn công DoS có thể giúp người quản trị mạng phát triển kỹ thuật lọc để ngăn ngừa đi vào hoặc đi ra mạng Dùng những đặc điểm, dữ liệu có thể được dùng để cập nhập cân bằng tải và điều chỉnh biện pháp đối phó 4 Bảo vệ DoS 4.1 Mức độ ISP Nhiều ISP đơn giản khóa tất cả yêu cầu trong thời gian tấn công DoS, từ chối... không phải là loại bỏ giao thông tấn công, xử lý các cuộc tấn công kịch bản có thể suy thoái tồi tệ nhất mà không cần hiệu suất Hình 2.2.1 Công cụ D-Guard Anti-DDoS Firewall FortGuard Firewall FortGuard Firewall - một giải pháp giúp người dùng chống lại các cuộc tấn công DDoS với độ chính xác và hiệu suất cao nhất FortGuard Firewall là một phần mềm tường lửa Anti-DDoS nhỏ nhưng mạnh mẽ với Intrusion