Tìm hiểu cơng DoS/DDoS số biện pháp phịng tránh cơng DoS/DDoS LỜI CẢM ƠN Lời luận văn cho phép em bày tỏ lòng cảm ơn sâu sắc thầy giáo ThS Đỗ Ngọc Điệp thầy PGS.TS Hồ Sĩ Đàm bảo tận tình đầy trách nhiệm cho ý kiến đạo suốt trình làm khóa luận, động viên, tạo điều kiện thuận lợi để em hồn thành khóa luận Em xin chân thành cảm ơn thầy, cô khoa Công nghệ ,những người truyền đạt kiến thức bổ ích lý thú giúp ích cho em đường học tập Chân thành cảm ơn lãnh đạo trường Đại học Hịa Bình ln tạo điều kiện thuận lợi hỗ trợ em suốt trình học tập, cung cấp nhiều tư liệu kiến thức nghiệp vụ giúp cho khóa luận em có kết tốt Trong trình thực tập, q trình làm khóa luận, khó tránh khỏi sai sót, đồng thời trình độ lý luận kinh nghiệm thực tiễn cịn hạn chế nên khóa luận khơng thể tránh khỏi thiếu sót, em mong nhận ý kiến đóng góp, lời bảo tận tình q Thầy Cơ Em xin chân thành cảm ơn! Hà Nội, ngày tháng năm 2014 Sinh viên Nguyễn Trung Nghĩa Sinh viên thực hiện: Nguyễn Trung Nghĩa Tìm hiểu cơng DoS/DDoS số biện pháp phịng tránh cơng DoS/DDoS LỜI NĨI ĐẦU Thuật ngữ “Internet” xuất lần đầu vào năm 1974 vào năm 1997 Internet Việt Nam coi thức bắt đầu Internet có vai trị to lớn đời sống người, giúp cho q trình trao đổi thơng tin, truyền thơng trở nên nhanh chóng, hiệu có tính tương tác cao Sự đời Internet kéo theo nhiều dịch vụ, ứng dụng xây dựng, hỗ trợ người công việc cách tốt với khả truyền đạt thông tin đa dạng, với nhiều kiểu liệu khác như: Hình ảnh, âm thanh, video Khi Internet ngày phát triển, phạm vi ứng dụng Web ngày mở rộng khả xuất lỗi bị công cao, trở thành đối tượng cho công với ý đồ, mục đích khác nhau, nhằm vào tất máy tính có mặt Internet, tổ chức quân sự, ngân hàng, trang thơng tin điện tử lớn… Có nhiều kiểu công thời gian gần bật lên kiểu công vô phổ biến tỏ nguy hiểm, cơng từ chối dịch vụ (Denial of Service-DoS) công chối dịch vụ phân tán (Distributed Denial of Service-DDoS) Các hacker sử dụng phương pháp công để công vào trang web phủ, doanh nghiệp lớn, thiết bị công ty lớn làm cho hệ thống máy chủ bị tê liệt khơng cịn khả phục vụ Mục tiêu khóa luận nghiên cứu tìm hiểu chất cơng DoS/DDoS, phân tích số kỹ thuật cơng DoS/DDoS để qua thấy tầm nguy hiểm công DDoS/DDoS cần thiết việc phịng chống cơng DoS/DDoS Sinh viên thực hiện: Nguyễn Trung Nghĩa Tìm hiểu cơng DoS/DDoS số biện pháp phịng tránh cơng DoS/DDoS TĨM TẮT KHĨA LUẬN Đề tài khóa luận “ Tìm hiểu cơng DoS/DDoS số biện pháp phịng tránh cơng DoS/DDoS ” gồm nội dung sau: CHƯƠNG 1: GIỚI THIỆU TỔNG QUÁT Khái quát cơng DoS/DDoS Mạng Botnet Tình hình chung công DoS/ DDoS Việt Nam CHƯƠNG 2: MƠ HÌNH, NGUN LÝ KỸ THUẬT TẤN CƠNG DOS/DDOS Các kĩ thuật cơng DoS/DDoS Botnet Một số kỹ thuật phát công DoS/DDoS Các chiến lược đối kháng DoS/DDoS Các biện pháp đối phó DoS/DDoS Kĩ thuật bảo vệ chống lại Botnet CHƯƠNG 3: CÔNG CỤ TẤN CÔNG VÀ PHỊNG CHỐNG DOS/DDOS Cơng cụ cơng DoS/DDoS: Donut HTTP Flooder 1.4 Công cụ ngăn chặn bảo vệ trước công DoS/DDoS: Tường lửa D-Guard chống DDoS Một số giải pháp đề xuất Sinh viên thực hiện: Nguyễn Trung Nghĩa Tìm hiểu cơng DoS/DDoS số biện pháp phịng tránh cơng DoS/DDoS MỤC LỤC LỜI NÓI ĐẦU TÓM TẮT KHÓA LUẬN DANH SÁCH CÁC TỪ VIẾT TẮT CHƯƠNG 1: GIỚI THIỆU TỔNG QUÁT 1.1 Khái quát công DoS/DDoS 1.1.1 Tấn công từ chối dịch vụ - DoS 1.1.2 Tấn công từ chối dịch vụ phân tán – DdoS 1.1.3 Các mục đích cơng DoS/DDoS 1.1.4 Cách thức công DDoS hoạt động 1.1.5 Các dấu hiệu công DoS/DDoS 1.2 Mạng Botnet 1.2.1 Định nghĩa Botnet 1.2.2 Ý nghĩa Botnet 1.2.3 Mục đích Botnet 1.2.4 Quy trình công máy chủ dựa vào botnet 1.3 Giới thiệu chung tình hình cơng DoS DDoS VN CHƯƠNG 2: MƠ HÌNH, NGUN LÝ KỸ THUẬT TẤN CÔNG DOS/DDOS 11 2.1 Các kĩ thuật công DoS 11 2.1.1 Kỹ thuật công băng thông 11 2.1.2 Kỹ thuật làm tràn yêu cầu dịch vụ 11 2.1.3 Tấn công SYN 12 2.1.4 Trần ngập SYN 13 2.1.5 Tấn công làm ngập ICMP 14 2.1.6 Tấn công máy chủ ngang hàng 15 2.1.7 Tấn công từ chối dịch vụ lâu dài 16 2.1.8 Tấn công làm ngập ứng dụng 17 2.2 Botnet 18 2.2.1 Kĩ thuật lan truyền botnet 18 2.2.2 Hệ sinh thái botnet 19 2.2.3 Tấn công DDoS 20 Sinh viên thực hiện: Nguyễn Trung Nghĩa Tìm hiểu cơng DoS/DDoS số biện pháp phịng tránh cơng DoS/DDoS 2.3 Các kĩ thuật phát 21 2.3.1 Lập hồ sơ hoạt động 21 2.3.2 Phân tích tín hiệu dựa gợn sóng 22 2.3.3 Phát điểm thay đổi nối tiếp 22 2.4 Các chiến lược đối kháng DoS/DDoS 23 2.4.1 Hấp thụ công 23 2.4.2 Giảm hoạt động dịch vụ 23 2.4.3 Đóng dịch vụ 23 2.5 Các biện pháp đối phó DdoS 24 2.5.1 Bảo vệ nạn nhân cấp thứ 24 2.5.2 Kiểm tra vô hiệu hóa trình xử lí 25 2.5.3 Phát công tiềm 26 2.5.4 Làm lệch hướng công 27 2.5.5 Cảm biến KFS 28 2.5.6 Làm giảm nhẹ công 29 2.5.7 Bảo vệ DoS/DDoS mức ISP 30 2.5.8 Kích hoạt chế độ chặn TCP phần mềm Cisco IOS 31 2.5.9 Giám định sau công 32 2.5.10 Phân tích kiểu mẫu lượng truy cập 32 2.5.11 Chạy công cụ Zomie Zapper 33 2.6 Kĩ thuật bảo vệ chống lại Botnets 33 2.6.1 Lọc RFC 3740 33 2.6.2 Lọc lỗ đen 33 2.6.3 Cung cấp ngăn chặn DDoS từ dịch vụ DDoS ISP 34 2.6.4 Lọc danh nghĩa IP nguồn IPS Cisco 34 CHƯƠNG 3: CÔNG CỤ TẤN CÔNG VÀ PHỊNG CHỐNG DOS/DDOS 35 3.1 Cơng cụ công DoS/DDoS: Donut HTTP Flooder 1.4 35 3.1.1 Giao diện Donut HTTP Flooder 1.4 35 3.1.2 Tấn công website localhost Donut HTTP Flooder 1.4 37 3.1.3 Một số công cụ cơng điển hình khác 41 Sinh viên thực hiện: Nguyễn Trung Nghĩa Tìm hiểu cơng DoS/DDoS số biện pháp phịng tránh cơng DoS/DDoS 3.2 Cơng cụ ngăn chặn bảo vệ trước công DoS/DDoS: Tường lửa D-Guard chống DDoS 42 3.2.1 Giao diện Tường lửa D-Guard chống DDoS 43 3.2.2 Một số chương trình phịng chống công DDoS khả dụng khác 54 3.3 Một số giải pháp đề xuất 56 Sinh viên thực hiện: Nguyễn Trung Nghĩa Tìm hiểu cơng DoS/DDoS số biện pháp phịng tránh công DoS/DDoS DANH SÁCH CÁC TỪ VIẾT TẮT Từ viết tắt Nghĩa từ viết tắt DoS DDoS ISP Denial of Service Distributed Denial-of-Service Internet Service Provider FAQ Frequently Asked Questions Kbps Kilo Bits Per Second Mbps Megabit Per Second C&C Command & Conquer SMTP Simple Mail Transfer Protocol TCP Transmission Control Protocol ACK Acknowledgement ICMP Internet Control Message Protocol DC Direct Connected PDoS Permanent Denial of Service CPU Central Processing Unit SQL Structured Query Language LOIC Low Obit Ion Cannon SNMP Simple Network Management Protocol IDDS International Development Design Summit IDS Intrusion Detection System ACL Access Control List RTBH Remotely-Triggered Black Hole HTTP HyperText Transfer Protocol DrDoS Distributed Reflection Denial of Service UDP User Datagram Protocol ARP Address Resolution Protocol NIC Network Interface Card Sinh viên thực hiện: Nguyễn Trung Nghĩa Tìm hiểu cơng DoS/DDoS số biện pháp phịng tránh cơng DoS/DDoS CHƯƠNG 1: GIỚI THIỆU TỔNG QUÁT 1.1 Khái quát công DoS/DDoS 1.1.1 Tấn công từ chối dịch vụ - DoS Tấn công từ chối dịch vụ (DoS:Denial of Service) kiểu công làm cho hệ thống sử dụng, làm cho hệ thống chậm cách đáng kể với người dùng bình thường, cách làm tải tài nguyên hệ thống Nếu kẻ cơng khơng có khả thâm nhập vào hệ thống, chúng cố gắng tìm cách làm cho hệ thống sụp đổ khơng có khả phục vụ người dùng bình thường công Denial of Service (DoS) Mặc dù công DoS khơng có khả truy cập vào liệu thực hệ thống làm gián đoạn dịch vụ mà hệ thống cung cấp Hình 1.1: Tấn cơng từ chối dịch vụ - DoS Sinh viên thực hiện: Nguyễn Trung Nghĩa Trang Tìm hiểu cơng DoS/DDoS số biện pháp phịng tránh công DoS/DDoS Giả thiết đặt ra: Xem xét công ty (Mục tiêu công DoS) cung cấp bánh pizza nhận đơn đặt hàng qua điện thoại Kinh doanh doanh nghiệp phụ thuộc vào đơn hàng qua điện thoại từ khách hàng Giả sử người có ý định làm gián đoạn cơng việc kinh doanh hàng ngày công ty Nếu người đưa cách để giữ cho đường dây điện thoại công ty bận từ chối truy cập cho khách hàng gọi đến, rõ ràng công ty mục doanh thu gián đoạn việc kinh doanh 1.1.2 Tấn công từ chối dịch vụ phân tán – DDoS Tấn công từ chối dịch vụ phân tán (DDoS - Distributed Denial Of Service) kiểu cơng làm cho hệ thống máy tính hay hệ thống mạng tải, cung cấp dịch vụ phải dừng hoạt động Trong công DDoS, máy chủ dịch vụ bị "ngập" hàng loạt lệnh truy cập từ lượng kết nối khổng lồ Khi số lệnh truy cập lớn, máy chủ q tải khơng cịn khả xử lý yêu cầu Hậu người dùng truy cập vào dịch vụ trang web bị công DDoS DDoS dạng cơng khó phát cơng sinh từ nhiều địa IP Internet Nếu địa IP công công ty, chặn Firewall Nếu từ 30.000 địa IP khác, điều vơ khó khăn Hình 1.2: Tấn cơng từ chối dịch vụ phân tán – DdoS Sinh viên thực hiện: Nguyễn Trung Nghĩa Trang Tìm hiểu cơng DoS/DDoS số biện pháp phịng tránh cơng DoS/DDoS 1.1.3 Các mục đích cơng DoS/DDoS 1.1.3.1 Mục đích DoS/DDoS Một cơng DoS (DDoS) công quy mô lớn, kết hợp với cơng vào tính khả dụng dịch vụ hệ thống hay nguồn mạng lưới mục tiêu, khởi động gián tiếp thông qua nhiều máy tính Internet Các dịch vụ bị cơng dịch vụ “mục tiêu chính” hệ thống bị xâm nhập sử dụng để khởi động công thường gọi “mục tiêu phụ” Việc sử dụng mục tiêu phụ việc thực công DDoS cung cấp cho người công khả tạo công rộng gây rối hơn, việc tìm người cơng gặp nhiều khó khăn Theo định nghĩa World Wide Web Security FAQ: “Một công DDoS công sử dụng nhiều máy vi tính để phát động cơng DoS kết hợp lên nhiều mục tiêu Sử dụng máy tính khách hàng/máy chủ, thủ phạm nhân rộng ảnh hưởng DoS cách khai thác tài ngun máy tính vơ tình đồng lõa đóng vai trị cơng” Nếu không kiểm tra, công DDoS mạnh mẽ làm tê liệt vơ hiệu hóa dịch vụ internet cần thiết vài phút 1.1.3.2 Nhiệm vụ công DoS/DDoS Cố gắng chiếm băng thông mạng làm hệ thống mạng bị ngập (flood), hệ thống mạng khơng có khả đáp ứng dịch vụ khác cho người dùng bình thường • Cố gắng làm ngắt kết nối hai máy, ngăn chặn trình truy cập vào dịch vụ • Cố gắng ngăn chặn người dùng cụ thể vào dịch vụ • Cố gắng ngăn chặn dịch vụ không cho người khác có khả truy cập vào Sinh viên thực hiện: Nguyễn Trung Nghĩa Trang Tìm hiểu cơng DoS/DDoS số biện pháp phịng tránh cơng DoS/DDoS Hiển thị cho người quản trị vào thông số Thời gian hoạt động – Running time Cho biết tổng thời gian hoạt động tổng thời gian công Lưu lượng nhận liệu – Receiving Traffic Lưu lượng gửi liệu – Sending Traffic Và cuối khung thông tin IP tĩnh Cho biết số địa IP truy cập số địa IP bị chặn 3.2.1.1.2 Hoa tiêu: Pilot Sinh viên thực hiện: Nguyễn Trung Nghĩa Trang 44 Tìm hiểu cơng DoS/DDoS số biện pháp phịng tránh công DoS/DDoS Tab pilot thị trạng thái bảo trạng thái mạng Hình 3.12: Pilot Trạng thái bảo vệ Sinh viên thực hiện: Nguyễn Trung Nghĩa Trang 45 Tìm hiểu cơng DoS/DDoS số biện pháp phịng tránh cơng DoS/DDoS Như ta thấy, trạng thái bảo vệ cho thấy hệ thống bảo vệ trước công dạng SYN flood, UDP/IP flood… Đồng thời cho phép người quản trị tùy chỉnh mục bảo vệ Trạng thái mạng Cho thấy rõ lưu lượng mạng vào(in/out), số địa Ip bị chặn số ip hợp pháp 3.2.1.1.3 Giám sát lưu thông mạng Cho phép người quản trị giám sát lưu thông mạng thông qua việc giám sát gói tin vào biểu đồ lưu lượng mạng Hình 3.13: Traffic Monitor Sinh viên thực hiện: Nguyễn Trung Nghĩa Trang 46 Tìm hiểu cơng DoS/DDoS số biện pháp phịng tránh cơng DoS/DDoS Giám sát lưu thơng gói tin Cho người quản trị biết lưu thơng (vào/ra) gói tin TCP, UDP,ICMP, NOT-IP Biểu đồ lưu thông mạng Giúp người quản trị dễ dàng giám sát hiệu mạng đồng thời dễ dàng nhận biết thời điểm lưu thông mạng tăng cách đột ngột(khi bị công DDoS) Sinh viên thực hiện: Nguyễn Trung Nghĩa Trang 47 Tìm hiểu cơng DoS/DDoS số biện pháp phịng tránh công DoS/DDoS 3.2.1.1.4 Giám sát địa IP Cho phép người quản trị chặn địa IP khả nghi (khi phát công) làm thời gian, xem thông tin đường dẫn số lượng địa IP bị chặn… Hình 3.14: IP Monitor Sinh viên thực hiện: Nguyễn Trung Nghĩa Trang 48 Tìm hiểu cơng DoS/DDoS số biện pháp phịng tránh cơng DoS/DDoS 3.2.1.2 Bảo vệ công Đây phần mở tinh chỉnh Pilot đề cập phần trước Bảo vệ công chia mục cài đặt tổng thể tinh chỉnh mục nhỏ bao gồm: Chế độ làm việc Và cài đặt bảo vệ cho chế độ: Cho phép người quản trị tinh chỉnh chế độ làm việc khác ví dụ như: Chế độ bình thường: Chế độ bảo mật: Chế độ giám sát: Sinh viên thực hiện: Nguyễn Trung Nghĩa Trang 49 Tìm hiểu cơng DoS/DDoS số biện pháp phịng tránh cơng DoS/DDoS Thì mặc định tất chức nhỏ mở, người quản trị cài đặt chức năng, mở chức đóng chức kia, chặn dải địa IP cho phép dải địa IP phép truy cập… Và chế độ cho phép tất cả: Cùng với chế độ chặn tất cả: Thì mặc định tất chức nhỏ đóng, người quản trị khơng thể điều chỉnh chức 3.2.1.3 IP/ARP list Đúng tên chức Phần phần mở rộng IP Monitor Bao gồm mục IP list ARP list 3.2.1.3.1 IP List Hình 3.15: IP list Sinh viên thực hiện: Nguyễn Trung Nghĩa Trang 50 Tìm hiểu cơng DoS/DDoS số biện pháp phịng tránh cơng DoS/DDoS Được chia làm khung với tên gọi khung IP black list IP white list Theo tên gọi, black list danh sách đen địa IP bị coi nghi ngờ spam Nếu người quản trị đưa dải địa IP vào dánh sách đen gói tin gửi từ địa dải mạng đến máy hệ thống mà người quản trị làm việc gói tin bị hủy Và IP white list ngược lại so với IP black list 3.2.1.3.2 ARP List ARP giao thức để xác định địa nguồn cho địa MAC NIC có địa MAC Chức chủ yếu mục quản lí địa IP địa MAC cách blind IP to MAC hay gọi gán địa IP theo địa MAC Hình 3.16: ARP List Sinh viên thực hiện: Nguyễn Trung Nghĩa Trang 51 Tìm hiểu cơng DoS/DDoS số biện pháp phịng tránh công DoS/DDoS 3.2.1.4 Log Log: chức ghi lại hoạt động báo cáo hoạt động chương trình báo cáo cơng… Hình 3.17: Log Mục cung cấp chức giúp cho người quản trị theo dõi hoạt động chương trình hệ thống thơng qua báo cáo đồng thời xuất báo cáo Sinh viên thực hiện: Nguyễn Trung Nghĩa Trang 52 Tìm hiểu cơng DoS/DDoS số biện pháp phịng tránh cơng DoS/DDoS 3.2.1.5 Management- Quản lí Hình 3.18: Management Chức giúp người quản lí thay đổi giao diện chương trình, đổi password truy cập, truy cập từ xa, cập nhật chương trình, nhập xuất file cấu hình bắt gói tin Sinh viên thực hiện: Nguyễn Trung Nghĩa Trang 53 Tìm hiểu cơng DoS/DDoS số biện pháp phịng tránh cơng DoS/DDoS 3.2.2 Một số chương trình phịng chống cơng DDoS khả dụng khác Ngồi chương trình tường lửa D-Guard chống DDoS cịn nhiều chương trình thiết bị khác phịng chống cơng DDoS 3.2.2.1 Fortigate 311B Fortigate 311B giúp bạn quan sát thơng qua Internet-facing network phát ngăn chặn xâm nhập công DdoS lưu lượng liệu hợp pháp bị ảnh hưởng Thiết bị có chức tự động xác định lưu lượng liệu giới hạn mức độ Khả thực liên tục khác việc hình thành lưu lượng liệu hợp pháp cơng Hình 3.19: Fortigate 311B Sinh viên thực hiện: Nguyễn Trung Nghĩa Trang 54 Tìm hiểu cơng DoS/DDoS số biện pháp phịng tránh công DoS/DDoS 3.2.2.2 DSoS Protector Sử dụng DdoS Protector giúp bạn ngăn chặn công Network Flood công nhằm vào tầng ứng dụng mà không gây hậu hay thiệt hại Phần mềm làm tắc nghẽn lưu lượng liệu bất thường mà không cần động đến lưu lượng liệu hợp pháp Phần mềm giúp hệ thống mạng dịch vụ web bạn bảo vệ cách chọn lọc lưu lượng liệu trước đến tường lửa (Firewall) Hình 3.20: Phần mềm bảo mật DSoS Protector Sinh viên thực hiện: Nguyễn Trung Nghĩa Trang 55 Tìm hiểu cơng DoS/DDoS số biện pháp phịng tránh cơng DoS/DDoS Kết luận: Như trình bầy trên, ta thấy công DdoS đơn giản đa dạng mà mạng lại hiệu cao Với dịch vụ mạng, điều cốt lõi ta biết địa IP tên miền với công cụ( Tools) đơn giản việc đánh sập dịch vụ máy chủ đơn giản 3.3 Một số giải pháp đề xuất Qua trình tìm hiểu cơng cách phịng chống DdoS, em đề xuất vài giải pháp phịng tránh việc cơng DDoS nhằm vào hệ thống mạng server nhà trường thời gian tới ✓ Nâng cao chất lượng đường truyền ✓ Nâng cao sử dụng chức tường lửa nhằm loại bỏ số trường hợp công DoS/DDoS đơn giản ✓ Sử dụng phương pháp cân tải Thay sử dụng server, ta sử dụng nhiều ✓ Sử dụng thiết bị, phần mềm phòng chống DoS/DDoS Sinh viên thực hiện: Nguyễn Trung Nghĩa Trang 56 Tìm hiểu cơng DoS/DDoS số biện pháp phịng tránh cơng DoS/DDoS KẾT LUẬN Trong q trình nghiên cứu thực khóa luận mình, em hồn thành tìm hiểu: ✓ Tìm hiểu mơi trường DoS/DDoS botnet ✓ Một số kỹ thuật công DoS/DDoS ứng dụng botnet vào cơng DDoS ✓ Một số biện pháp phịng chống công DoS/DDoS ✓ Mô đơn giản cơng DoS/DDoS số mạng Từ thấy mức độ nguy hiểm công DoS/DDoS đồng thời thấy mức độ đa dạng kỹ thuật công DoS/DDoS Hướng phát triển em nghiên cứu chuyên sâu kiến thức bảo mật mạng bảo mật hệ thống để nâng cao tầm hiểu biết tích lũy kiến thức kinh nghiệm lĩnh vực Sinh viên thực hiện: Nguyễn Trung Nghĩa Trang 57 Tìm hiểu cơng DoS/DDoS số biện pháp phịng tránh cơng DoS/DDoS TÀI LIỆU THAM KHẢO Trích dẫn: CEHv8 Module 10 Denial of Service Http://vnexperts.net/bai-viet-ky-thuat/security/664-dos-va-ddos-toantp-phn-i.html Http://www.tienphong.vn/xa-hoi/tan-cong-mang-o-viet-nam-ngay-cangnguy-hiem-654090.tpo Tài liệu tham khảo: CEHv8 Module 10 Denial of Service Lê Đình Danh (2008): Giáo trình mạng máy tính Sinh viên thực hiện: Nguyễn Trung Nghĩa Trang 58