KẾT LUẬN
Sau khi đi nghiên cứu về các phương pháp tan công mạng và tìm hiểu sâu về các kiểu tân công DDoS, luận văn đã đạt được một số kết quả nhất định về giải pháp chống tấn công DDoS cho các website, cụ thể luận văn đã thực hiện các nội dung sau:
Nghiên cứu tổng quan về phát hiện xâm nhập mạng
Nghiên cứu một sô kỹ thuật sử dụng để phát hiện ra tấn công DDoS như: thuật toán Cusum, thuật toán SIM, cơ chế kiểm tra địa chỉ nguồn IAD
Nghiên cứu và phân tích một số giải pháp phòng chống tấn công DDoS như: sử dụng giao thức AITF, thiết lập giao thức lan toả ngược và một số phần mềm thiết lập phòng chống tấn công DDoS như:FortGuard Firewall hay Snort để từ đó giúp tăng cường hiệu quả an
toàn thông tin cho các website.
Thử nghiệm thành công hệ thống phát hiện xâm nhập trái phépbằng mã nguồn mở snort
Tuy nhiên về mặt thời gian nghiên cứu có hạn, phạm vi nghiên cứu chưa được sâu rộng và mô phỏng chủ yếu được thực hiện trên hệ
thống giả lập các kết quả đạt được trong bài luận văn không tránh
khỏi những hạn chế nhất định
Hướng phát triển tiếp theo của luận văn:
- Di sâu nghiên cứu phương pháp phát hiện đột nhập lai có khảnăng kết hợp nhiều nguồn đữ liệu và các kỹ thuật phat hiện.
- Hoàn thiện giao thức lan tỏa ngược có thể tính các địa chỉ IP mới một cách chỉ tiết hơn nữa để hạn chế tối đa việc chặn nhằm và việc tự động chạy giao thức lan tỏa ngược trên các router.
MO DAU
Trong thời đại công nghệ thông tin như hiện nay, khi mà Internet
trở nên quen thuộc và dần trở thành một công cụ không thé thiếu trong cuộc sống thì lợi ích của website đối với cơ quan nhà nước nói chung,
người dân và các doanh nghiệp nói riêng là vô cùng lớn{ I, 3].
Bên cạnh đó, các hình thức phá hoại mạng cũng trở nên tinh vi và
phức tạp hơn Do đó với mỗi hệ thống, nhiệm vụ bảo mật được đặt ra cho
người quan trị mang là hết sức quan trọng và cần thiết Xuất phát từ những thực tế đó, việc tìm hiểu về các cách tắn công phổ biến nhất hiện nay và các cách phòng chống cho các loại tấn công này là rất thiết thực.
Tan công từ chối dich vụ phân tán (DDoS) đã phát triền mạnh mẽ
trong những năm gần đây và là một mối đe dọa thường trực đối với hệ
thống mạng và máy chủ dich vụ của các cơ quan và tổ chức[12] Tan
công từ chối dịch vụ gây cạn kiệt tài nguyên hệ thống hoặc ngập lụt
đường truyền, làm ngắt quãng quá trình cung cấp dịch vụ cho người dùng hợp pháp, hoặc thậm chí khiến cả hệ thống ngừng hoạt động Tan công
DDoS rat khó phát hiện và phòng chống hiệu quả do số lượng các Host bị
điều khiển tham gia tấn công thường rất lớn và nằm rải rác ở nhiều nơi.
Để có giải pháp phòng chống tấn công DDoS hiệu quả, việc nghiên cứu
về các dạng tin công DDoS là cần thiết.
Phòng chống tan công từ chối dịch vụ( DDoS), đặc biệt là các cuộc tấn công từ chối dich vụ phân tán vào các Website vẫn đang là dé tài nhận được rất nhiều quan tâm của các nhà nghiên cứu Bên cạnh những khó khăn đo cơ sở hạ tang mạng còn yếu kém, sự phát triển không ngừng của các công cu và phương pháp tấn công khiến cho việc phòng và chống tắn
công từ chối dịch vụ trở thành một vấn đề rất nan giải Như vậy đề giải quyết van đề này em chọn đề tài "Nghiên e_ u giải pháp chống tấn công
DDoS cho các Website" "
Tổng quan về van đề nghiên cứu
Theo Cục An toàn thông tin[20], năm 2014 thì Việt Nam nằm trong danh sách các nước có tỷ lệ website mất an toàn thông tin cao khoảng
Trang 266% Trong khi tỷ lệ này trên thế giới (theo Micirosoft thống kê) chỉ là
Theo trung tâm ứng cứu khẩn cấp VNCERT cho biết[20], trong
năm 2014, Việt Nam cũng hứng chịu hơn 19.000 cuộc tấn công mạng,
chủ yếu là tan công bằng DDoS Cụ thể, có hơn 8.000 cuộc tan công thay đổi giao diện đối với các hệ thống có tên miền ".vn" và hơn 200 cuộc tấn công thay đổi giao diện các hệ thống có tên miền chính phủ ".gov.vn".
Khối doanh nghiệp chịu nhiều cuộc tấn công nhất với tỷ lệ 42%, tiếp đến
là khối cơ quan, tổ chức nhà nước với 38% Và dự báo tỷ lệ tắn công mạng của Việt nam cũng đang có xu hướng tăng lên trong năm 2015, đặc biệt là tan công bằng phương thức từ chối dịch vụ DDoS.
Hiện nay cách phòng chống tấn công DDoS luôn là chủ đề quan tâm của nhiều đơn vị có website giao dịch, nó làm cho hệ thống ngưng trệ, gián đoạn hoặc không thé giao dịch và gây tồn thất lớn cho đơn vị.
Từ mục tiêu nghiên cứu đặt ra, ngoài phần mở đầu, kết luận và
danh mục tài liệu tham khảo, nội dung của luận văn được trình bày trongba chương với các nội dung sau:
Chương 1: Tổng quan về các phương thức tan công mạng phố
biến hiện nay
Trình bày tổng quan về cách thức hoạt động và các dịch vụ ứng dụng trên nền website cũng như mô tả chỉ tiết một số cách thức tắn công mạng máy tính phé biến hiện nay.
Chương 2: Các cơ sở phân tích phát hiện DDoS
"Trong chương này luận văn sẽ tập trung vào phân tích các cuộc tấn
công mạng máy tính bang DDoS và từ đó xây dựng một số thuật toán đề phát hiện các dạng tân công DDoS.
Chương 3: Xây dựng giải pháp phòng chống tắn công DDOS
cho các Website
Trong chương này tác giả sẽ trình bày về một số giải pháp lựa chọn dé phòng chống tan công DDoS cho các website Từ đó làm cơ sở phòng
chống tấn công mạng một cách hiệu quả.
Như vậy, trong trường hop áp dụng ma nguồn mở snort ta có thể
phân tích, cảnh báo và phát hiện được các cuộc tắn công xâm nhập mạng trái phép.
3.5 Kết luận chương 3
Trong nội dung chương 3 này, luận văn đã tập trung đi phân tích
bài toán các yêu cầu khó khăn trước sự tan công DDoS, nêu các mục tiêu
và hướng xây dựng phòng chống, từ đó làm cơ sở đề xuất ra một số giải
pháp phòng chống tắn công DDoS như: giao thức AITF, giao thức lan tỏa ngược, thiết lập mô hình firewall hay dùng một số phần mềm dé phòng chống, trong đó với phần mềm mã nguồn mở snort Trong các giải pháp,
luận văn đã chọn mã nguồn mở snort nêu trên làm thử nghiệm và đánh
giá kết quả của hệ thống phát hiện xâm nhập trái phép và làm cơ sở báo
cáo của luận văn.
Trang 3Hình 3.20: Công cụ thực hiện tấn công DoS
Bước 3: Hệ thông cảnh báo phát hiện xâm nhập trái phép bằng tấn
Chương 1: TONG QUAN VE CÁC PHƯƠNG THUC TAN
CONG MANG PHO BIEN HIEN NAY
1.1 Mô ta website và cách thức hoạt động
Website là một “trang web” trên mạng Internet, đây là nơi giới
thiệu những thông tin, hình ảnh về đoanh nghiệp và sản phẩm, dịch vụ
của doanh nghiệp (hay giới thiệu bat cứ thông tin gì) để khách hàng có thé
truy cập ở bắt kỳ nơi đâu, bất cứ lúc nào.
Website là tập hợp nhiều trang [web page] Khi doanh nghiệp xây
dựng website nghĩa là đang xây dựng nhiều trang thông tin, catalog sản
phẩm, dịch vụ Để tạo nên một website cần phải có 3 yếu tố cơ bản [3]:
- Cần phải có tên miền (domain) - Nơi lưu trữ website (hosting).
- Nội dung các trang thông tin [web page].
1.2 Các dịch vụ và loại hình ứng dụng trên nền Web
Các dịch vụ web (web service): là sự kết hợp các máy tính cá
nhân với các thiết bị khác, các cơ sở dữ liệu và các mạng máy tính để tạo thành một cơ cấu tính toán ảo mà người sử dụng có thể làm việc thông qua các trình duyệt mang[1] Bản thân các dịch vụ này sẽ chạy trên các máy chủ trên nền Internet chứ không phải là các máy tính cá nhân, do vậy có thé chuyền các chức năng từ máy tính cá nhân lên Internet Người sử
dụng có thé làm việc với các địch vụ thông qua bat kỳ loại máy nào có hỗ
trợ web service và có truy cập Internet, kể cả các thiết bị cam tay Do đó
các web service sẽ làm Internet biến đổi thành một nơi làm việc chứ không phải là một phương tiện để xem và tải nội dung.
Với công nghệ hiện nay, website không chỉ đơn giản là một trang
tin cung cấp các tin bài đơn giản Những ứng dụng viết trên nền web không chỉ được gọi là một phần của website nữa, giờ đây chúng được gọi là phần mềm viết trên nền web.
Có rất nhiều phần mềm chạy trên nền web như Google word (xử lý
văn bản), Google spreadsheets (xử lý bảng tinh), Email ,
Trang 4Chúng ta có thể phân loại các ứng dụng web này thành hai loại
chính: ứng dụng web Public và ứng dụng web Private [5].
- Ung dung web Public: là website dùng dé quảng bá thông tin,
cung cấp và trao đổi thông tin với với bên ngoài như các website thương mại điện tử, các website của các công ty chứng khoán, các ngân hàng,
- Ung dụng web Private: là các website cung cấp và trao đổi thông tin trong một tổ chức, doanh nghiệp và các đối tác chiến lược, Các website này thường dùng dé cung cấp thông tin cho các văn phòng, chi
nhánh, các nhân viên đi công tác hoặc làm việc tại nhà và đôi khi là cho
các đối tác chiến lược kết nói qua môi trường internet.
1.3 Các nguy cơ đối với hệ thống và những điểm yếu của ứng dụng web
Các nguy cơ đối với hệ thống web:
- Nguy cơ bị tấn công từ chối dịch vụ (DoS, DDoS) làm cho hệ
thống không còn khả năng phục vụ các yêu cầu chính đáng
- Nguy cơ bị thay đổi nội dung trang web làm giảm uy tín hoặc bôi
nhọ tổ chức.
- Nguy cơ bị kẻ xấu làm sai lệch các thông tin khi thực hiện các giao dịch điện tử trên môi trường internet.
- Nguy cơ bị đánh cắp các thông tin nhạy cảm như: thông tin tài khoản, mật khâu truy cập hệ thống và thông tin thẻ tin dụng,
1.4 Các phương thức tan công mạng
Các phương thức tấn công mạng như: tắn công trực tiếp, nghe trộm,
giả mạo địa chỉ IP, vô hiệu hoá chức năng hệ thống, tan công vào yếu tố con người.
Tấn công trực tiếp: Những cuộc tan công trực tiếp thông thường
được sử dụng trong giai đoạn đầu để chiếm được quyền truy nhập bên
Nghe trộm:Việc nghe trộm thông tin trên mạng có thé đưa lại
những thông tin có ích như tên, mật khẩu của người sử dụng, các thông
tin mật chuyển qua mạng.
Bước 3: Hệ thống cảnh báo phát hiện xâm nhập trái phép bằng
Dieplaing tons 1-48 of 91 toa
T—— =Tmenmp> Em Beat Adn> Layer a Prato
Xây dựng kịch ban tắn công ngập tràn băng thong
Bước 1: Dé snort phát hiện được các trường hợp tan công đến máy
chủ, can xây dựng các tập luật (rule), Do đó ta viết luật trong snort.conf:
Alert udp any any -> $HOME_NET (msg: “Co nguoi dang tan
cong web”; conten: “server”; classtype: DoS;)
Bước 2: Dùng công cụ ByteDoS, đây là công cụ rất mạnh hiện nay, các Hacker thường ding dé tan công DoS từ máy Client, chỉ cần nhập địa
chi IP hoặc tên miền website và với dữ liệu ban đầu từ 0.56Mb/sec, trong
khoảng thời gian gắn dữ liệu sẽ được tăng lên rất nhanh và tất cả dữ liệu đó sẽ đây lên địa chỉ IP của máy chủ và cuối cùng làm cho máy chủ bị tê
liệt băng thông hoặc gián đoạn đường truyền mạng.
Trang 5Bước 4: Trong đó, chúng ta cũng có thể vào cơ sở dữ liệu
phpMyAdmin của snort dé xem cảnh báo hoặc chỉnh sửa, xóa những địa chỉ không cần thié
Hình 3.17 Bảng lưu trữ cơ sở dữ liệu của Snortb Kịch bản thử nghiệm 2
Xây dựng kịch bản điều khiển máy chủ từ xa bằng Remote Desktop Bước 1: Dé snort phát hiện được các trường hợp điều khiển từ xa
đến máy chủ, cần xây dựng các tập luật (rule), Do đó ta viết luật trong snort.conf:
Alert udp any any -> $HOME_NET 3389 (msg: “Remote
Desktop”; sid: 10000003; rev:001;)
Bước 2: Dùng Remote Desktop của máy client dé truy cập từ xa
vào máy chủ
Remote Desktop
2® Connection
Username: None specitod
‘You vl be asked for credentials when you connect
ly Correcting teeo) 192.168 10.129
Desktop Connection x
Inviting remote connection
Hinh 3.18: Diéu khién Remote Desktop tir xa
Giá mạo dia chỉ: Giả mao địa chi IP có thé được thực hiện thông
qua việc sử dụng khả năng dẫn đường trực tiếp (source-routing).
Vô hiệu hoá ch c năng của hệ thong: Đây là kiểu tắn công nhằm tê liệt hệ thống, không cho nó thực hiện chức năng mà nó thiết kế.
Lỗi của người quản trị hệ thống: Đây không phải là một kiểu tan
công của những kẻ đột nhập, tuy nhiên lỗi của người quản trị hệ thống
thường tạo ra những lỗ hồng cho phép kẻ tấn công sử dụng để truy nhập
vào mạng nội bộ.
Tấn công vào yếu t6 con người: Kẻ tan công có thé liên lạc với một người quản trị hệ thống, giả làm một người sử dụng dé yêu cầu thay đồi mật khẩu, thay đổi quyền truy nhập của mình đối với hệ thống, hoặc thậm chí thay đổi một số cấu hình của hệ thống đề thực hiện các phương pháp
tan công khác.
1.5 Một số kiểu tấn công mạng máy tính phố biến hiện nay
- Trojan và Backdoor
- Kiểu tấn công Local Attack
- Tấn công bằng phương pháp SQL injection
- Tấn công Cross Site Scripting (XSS) - Tan công điển yếu cơ sở hạ tang
- Tấn công vào mật khẩu password attack
- Tan công bằng mã độc
- Tấn công giả mạo địa chí, nghe trộm
- Tan công Port redirection - Tấn công từ chối dich vụ
a Tan công từ chối dich vụ DoS
DoS (Denial of Service) có thé mô tả như hành động ngăn cản những người dùng hợp pháp của một dịch vụ nào đó truy cập và sử dụng
dịch vụ đó Nó bao gồm cả việc làm tràn ngập mạng, làm mắt kết nối với
dịch vụ mà mục đích cuối cùng là làm cho server không thể đáp ứng
được các yêu cầu sử dụng dịch vụ từ các client DoS có thể làm ngưng
Trang 6hoạt động của một máy tính, một mạng nội bộ, thậm chí cả một hệ thống
mang rất lớn Thực chất của DoS là kẻ tan công sẽ chiếm dụng một lượng
lớn tài nguyên mạng như băng thông, bộ nhớ và làm mắt khả năng xử lý các yêu cầu dịch vụ đến từ các client khác.
b Tan công từ chối dịch vụ phân tán DDoS
Tắn công từ chối dich vụ phân tán (DDoS) đã phát triển mạnh mẽ
trong những năm gần đây và là một mối đe dọa thường trực đối với hệ thống mạng và máy chủ dịch vụ của các cơ quan và tô chức Tắn công từ
chối dich vụ gây cạn kiệt tài nguyên hệ thống hoặc ngập lụt đường truyền, làm ngắt quãng quá trình cung cấp dịch vụ cho người dùng hợp pháp,
hoặc thậm chí khiến cả hệ thống ngừng hoạt động
Tắn công DDoS có hai mô hình chính: mô hình Agent — Handler và
mô hình IRC — Based [7].
TCP upp ICMP Tc | | uve | | tcwp
Hình 1.1 Sơ dé tổng quan kiểu tắn công DDoS
c Tan công từ chối dịch vụ phản xạ nhiều vùng DRDoS
DRDoS(Distributed Reflection Denial of Service) là chiếm đoạt toàn bộ băng thông của máy chủ, tức là làm tắc ngẽn hoàn toàn đường kết
nối từ máy chủ vào xương sống của Internet và tiêu hao tài nguyên máy
chủ Trong suốt quá trình máy chủ bị tấn công bằng DRDoS, không một máy khách nào ch thé kết nối được vào máy chủ đó Tất cả các dịch vụ
chạy trên nền TCP/IP như DNS, HTTP, FTP, POP3, đều bị vô hiệu hóa.
Bước 1: Dé Snort phát hiện được các trường hợp truy cập đến máy
chủ, cần xây đựng các tập luật (rule), đối với trường hợp thử nghiệm có người dang ping hoặc truy cập website, ta viết luật trong snort.conf:
Alert icmp any any -> $HOME_NET any (msg: “Phat hien co
nguoi dang ping”; sid: 1000003; rev: 1;)
Bước 2: Ding Zenmap trên máy tinh dé quét công hoặc ping đến
Bước 3: Truy cập vào giao diện của Base dé kiểm tra hệ thống phat
hiện xâm nhập, khi đó Base sẽ biết được các tham số như: thời gian thâm
nhập (Timestamp), Câu lệnh thông báo (Signature), địa chỉ IP của máy
tấn công (Source Address), địa chỉ của máy chủ (Dest Address)
Hình 3.16: Snort phát hiện địa chi xâm nhập trái phép
Trang 73.4 Xây dựng thứ nghiệm một số kịch bản phát hiện xâm nhập mạng
Trong các giải pháp đã đề xuất ở trên, tác giả đã chọn một giải pháp
mã nguồn mở Snort đề thực nghiệm trong luận văn này.
3.4.1 Cài đặt Snort
- Cài đặt các gói hỗ trợ cho Web
- Cấu hình firewall, tắt các dịch vụ không cần thiết, bật httpd và mysql - Khởi động httpd và mysql
- Update hệ thống.
- Sửa file sshd_conf
- Tạo người dùng và nhóm người dùng cho Snort
- Tạo thư mục chứa snort, rules, so_rules, log cho snort - Cấu hình file snort.conf
- Cấu hình MySQL - Cài dat PEAR
3.42.Thứ nghiệm một số kịch ban phát hiện xâm nhập mạng trái pháp
Mô hình thử nghiệm
Mô hình thử nghiệm phát hiện xâm nhập mạng được minh hoa theo
hình 3.14 đưới đây Trong đó Snort giám sát toàn bộ hệ thống lưu lượng mạng đi đến máy chủ đê phát hiện hành vi xâm nhập:
Về cơ ban, DRDoS là sự phối hợp giữa hai kiều DoS và DDoS Nó
có kiểu tan công SYN với một máy tính đơn, vừa có sự kết hợp giữa
nhiều máy tính dé chiếm dụng băng thông như kiều DDoS Kẻ tan công thực hiện bằng cách giả mạo địa chỉ của server mục tiêu rồi gửi yêu cầu
SYN đến các server lớn như Yahoo,Micorosoft, dé các server này gửi
các gói tin SYN/ACK đến server mục tiêu Các server lớn, đường truyền
mạnh đã vô tình đóng vai trò zoombies cho kẻ tan công như trong DDoS Quá trình gửi cứ lặp lại liên tục với nhiều địa chi IP giáp từ kẻ tan
công, với nhiều server lớn tham gia nên server mục tiêu nhanh chóng bị
quá tải, bandwidth bị chiếm dụng bởi server lớn Tính nghệ thuật là ở chỗ
chỉ cần với một máy tính với modem 56kbps, một hacker lành nghề có thể đánh bại bất cứ máy chủ nào trong giây lát mà không cần chiếm đoạt
bat cứ máy nào dé làm phương tiện thực hiện tan công 1.6 Phân loại tấn công DDoS
1.6.1.Những kiểu tấn công làm cạn kiệt băng thông của mang (BandWith Depletion)
Kiểu tin công này được thiết kế nhằm làm tràng ngập mạng mục
tiêu với những lưu lượng mạng không cần thiết, với mục đích làm giảm
tối thiểu khả năng của các lưu lượng mạng hợp lệ đến được hệ thông cung cấp dich vu của mục tiêu 1.6.2 Những kiéu tấn công làm cạn kiệt tài nguyên (Resource Deleption)
Đây là kiểu tắn công trong đó Attacker gởi những gói tin ding các
giao thức sai chức năng thiết kế, hay gửi những gói tin với dụng ý làm tắt nghẽn tài nguyên mạng làm cho các tài nguyên này không phục vụ ngườidùng thông thường khác được Chúng được chia làm 2 loại:
- Tan công bằng giao thức Protocol Exploit: - Tan công bằng gói tin Malformed Packet: 1.7 Kết luận chương 1
Trong chương này luận văn đã trình bày được tổng quan về các
phương thức tan công mạng máy tính phô biến hiện nay như: mô tả cách
Trang 8thức hoạt động của website, các dịch vụ và ứng dụng trên nền web, phân loại mức độ nguy hiểm trong lỗ hồng bảo mật, sau đó tập trung mô tả chỉ tiết một số kiểu tan công mạng Tuy nhiên tác giả vẫn chỉ nêu một cách khái quát chung nhất Từ đó làm cơ sở đề nghiên cứu tiếp phần sau.
3.2.2 Định hướng xây dựng phòng chỗng tan công DDoS
Có thé phân loại các phương pháp giải quyết DDoS theo hai tiêu
chí là thời gian và vi trí Xét theo thời gian, có hai xu hướng: trước (phòng.
ngừa) và sau (phản ứng lại khi cuộc tấn công xảy ra) Xét theo vị trí đặt trung
tâm điều khiển việc xử lý phòng chống DDoS, thì có các vị trí: gần Victim, gan Attacker, trong phần lõi của Internet hoặc kết hợp nhiều vi trí
3.3 Một số giải pháp phòng chống DDoS hiệu quả
3.3.1.Sứ dụng giao th c AITF 3.3.2.Giao th c lan tod ngược
3.3.3.Thiết lập mô hình Firewall trên hệ thong
3.3.4.Một số phan mém phát hiện và phòng chống tắn công DDoS a Phần mềm NetFlow Analyzer
NetFlow Analyzer, một công cụ phân tích lưu lượng đầy đủ, thúc
đây công nghệ phân tích lưu lượng để cung cấp khả năng hiền thị thời
gian thực và hiệu suất băng thông mạng Chủ yếu NetFlow Analyzer là một công cụ giám sát băng thông, đã được tối ưu hóa hàng ngàn mạng
lưới trên toàn thé giới bằng cách đưa ra cái nhìn toàn diện về băng thông
mạng và các mẫu lưu lượng truy cập.
b Phần mềm D-Guard Anti-DDoS Firewall
D-Guard Anti-DDoS Firewall cung cấp đáng tin cậy nhất và nhanh
nhất bảo vệ DDoS cho các doanh nghiệp trực tuyến, và các dịch vụ phương tiện truyền thông, thiết yếu hạ tầng công cộng và cung cấp dịch
vụ Internet.
c Phần mềm mã nguồn mở Snort
Snort là một hệ thống phát hiện và phòng chống xâm nhập mã
nguồn mở được đóng gói thành nhiều sản phẩm phù hợp cho từng doanh
nghiệp được phát triển do công ty Sourcefire điều hành bởi Martin Roesch Snort hiện nay đang là công nghệ IDS/IPS được triển khai rộng rãi trên toàn thế giới
Trang 9Victim, điểm tụ tan công sẽ gần sát nạn nhân, và hệ thông phòng thủ sẽ rất
khó có thể chéng từ phía xa Ngoài ra, hệ thống Agent phân tán cũng đồng nghĩa với sự phức tạp, phong phú, khác biệt về mô hình quản lý
mạng giữa các ISP khác nhau, vì thế các cơ cơ chế phòng thủ yêu cầu sự
phối hợp từ nhiều nơi sẽ triển khai khó khăn hơn rất nhiều.
- Những điểm yếu trên mô hình mạng Internet: Có những cơ chế,
giao thức mang mà khi thiết kế chưa lường trước được những điềm yếu
có thé bị lợi dụng (ví dụ TCP SYN, ping of Death, LAND Attack ) Đôi khi là lỗi của nhà quản trị khi cấu hình các policy mạng chưa hợp lý.
3.2 Mục tiêu và định hướng xây dựng phòng chống tấn công DDoS 3.2.1 Các mục tiêu chính can đạt được như sau:
- Tính hiệu quả: yêu cầu các thành phần tham gia vào hệ thống phòng thủ: victim, router đều không phải chịu thêm tải quá nặng Ví dụ khi bình thường CPU Usage của Server chỉ chạy 10% đề phục vụ cho các Client, nhưng sau khi cài đặt hệ thống phòng thủ vào, cho dù chưa xảy ra DDoS thì CPU Usage do phải tính toán thêm nhiều nên đã lên đến 20% là không chấp nhận được.
- Tinh trọn ven: Một hệ thông phòng thủ tốt cần phải bảo vệ Victim được khỏi tat cả các kiểu tan công DDoS Bởi vì đối với Attacker, một khi đã điều khiển được mạng botnet thì hắn hoàn toàn có thé sử dụng nhiều kịch bản tấn công khác nhau, lợi dụng nhiều điểm yếu của giao thức, của mạng hoặc thay đổi thông số bên trong packet Vì thế nếu hệ
thống chỉ có thé phòng thủ được 1 số cách tân công nhất định, thì khi
attacker thay đôi, hệ thống đó sẽ sụp đồ hoàn toàn.
- Cung cấp dịch vụ cho tắt cả các traffic hợp lệ: đây là yêu cầu
quan trọng nhất khi triển khai một hệ thống phòng thủ DDoS.
- Chi phí và điều hành tháp: đây cũng là yêu cầu của các đơn vị khi triển khai ứng dụng và giảm tối thiểu chỉ phí cũng như điều hành hệ
thông được an toàn.
Chương 2: CAC CƠ SO PHAN TÍCH PHÁT HIỆN DDOS
2.1 Hệ thống phát hiện DDoS hiện nay
Có thé thấy, kha năng phát hiện một cuộc tắn công ngay lập tức sẽ
ảnh hưởng rất lớn đến quá trình ngăn chặn và làm giảm đến mức thấp
nhất tác hại mà một cuộc tan công DDoS gây ra.
Hiện nay các hệ thống phát hiện đang được phát triển va khá công
phu Hầu hết đã phát hiện được các loại tấn công DoS và DDoS nhưng
khó có thé đạt được độ chính xác cao.
Những hệ thống phát hiện DDoS này thường sử dụng rất nhiều phương thức dé dd tìm và phát hiện Thông thường các công cụ này so sánh lưu lượng hiện tại với lưu lượng có thể chấp nhận được Công nghệ
này vẫn còn có một vài thiếu sót Trước tiên, ngưỡng này thường đặt tĩnh
và yêu cầu người sử dụng phải cấu hình đề phù hợp với mọi môi trường,
tuy nhiên sẽ khó có thé thay đổi thích ứng với môi trường mới Thứ hai, chỉ có một số ít các ngưỡng được thiết lập vì sự thống kê chỉ tiết các giao
thức không có giá trị cho người sử dụng Thứ ba, ngưỡng chỉ áp dụng ở
mức độ tổng hợp cao Sự thiếu sót này có thể dẫn tới sự đánh giá sai về
tính rõ ràng và tính phủ định của hệ thống phát hiện Thậm chí một phát hiện sự xâm hại có thể chặn nhằm một địa chỉ hợp lệ.
Do vậy, để hiệu quả một hệ thống phát hiện xâm nhập phải thêm
nhiều tính năng dé phát hiện và phân biệt một sự tắn công với các hoạt động bình thường.
2.2 Các kỹ thuật phát hiện dấu hiệu tắn công
2.2.1 Phát hiện sự lạm dụng (Misuse Detection Model)
Phát hiện sự lạm dụng là phát hiện những kẻ xâm nhập đang cố
gắng xâm nhập vào hệ thống mà sử dụng một số kỹ thuật đã biết Nó liên quan đến việc mô tả đặc điểm các cách thức xâm nhập vào hệ thống đã
được biết đến, mỗi cách thức này được mô tả như một mẫu Hệ thống
phát hiện sự lạm dụng chỉ thực hiện kiểm soát đối với các mẫu đã rõ ràng.
Trang 10Mau có thé là một xâu bit cé định (ví dụ như một virus đặc tả việc chèn
xâu), dùng để mô tả một tập hay một chuỗi các hành động đáng nghi
ngờ Ở đây, ta sử dụng thuật ngữ kịch bản xâm nhập (intrusion scenario) Một hệ thống phát hiện sự lạm dung điền hình sẽ liên tục so sánh hành
động của hệ thông hiện tại với một tập các kịch bản xâm nhập để cô gắng
đò ra kịch bản đang được tiến hành Hệ thống này có thể xem xét hành
động hiện tại của hệ thống được bảo vệ trong thời gian thực hoặc có thể là
các bản ghi kiểm tra được ghi lại bởi hệ điều hành Các kỹ thuật dé phát hiện sự lạm dụng khác nhau ở cách thức mà chúng mô hình hoá các hành
vi chỉ định một sự xâm nhập Các hệ thống phát hiện sự lạm dụng thé hệ đầu tiên sử dụng các luật (rules) để mô tả những gì mà các nhà quản trị an ninh tìm kiếm trong hệ thống Một lượng lớn tập luật được tích luỹ dẫn
đến khó có thể hiểu và sửa đổi bởi vì chúng không được tạo thành từng nhóm một cách hợp lý trong một kịch bản xâm nhập.
2.2.2 Phát hiện sự bat thường (Anomaly Detection Model)
Dựa trên việc định nghĩa và mô tả đặc điểm của các hành vi có thể chấp nhận của hệ thống dé phân biệt chúng với các hành vi không mong
muốn hoặc bat thường, tìm ra các thay đổi, các hành vi bat hợp pháp Như vậy, bộ phát hiện sự không bình thường phải có khả năng phân biệt giữa
những hiện tượng thông thường và hiện tượng bắt thường Ranh giới giữa
dạng thức chấp nhận được và dạng thức bất thường của đoạn mã và dữ
liệu lưu trữ được định nghĩa rõ ràng (chỉ cần một bit khác nhau), còn ranh
giới giữa hành vi hợp lệ và hành vi bat thường thì khó xác định hơn Phát hiện sự không bình thường được chia thành hai loại tinh và động
2.2.2.1 Phát hiện tĩnh
2.2.2.2.Phát hiện động
2.3 Phân tích phát hiện các cuộc tắn công DDoS
Tn công DDoS là cuộc tan công từ một hệ thống các máy tính cực lớn trên Internet Thông thường dựa vào các dịch vụ có sẵn trên các máy tính trong mạng Chúng có các đặc điểm chính như sau [14]:
CHƯƠNG 3: XÂY DỰNG GIẢI PHÁP PHÒNG CHONG TAN
CÔNG DDOS CHO CÁC WEBSITE
3.1 Một số vấn đề đặt ra khi xây dựng hệ thống phòng chống tấn
công DDoS
Các van đề đặt ra chủ yếu tập trung theo hai hướng dé thực hiện
tan công DDoS: đó là nhằm vào điềm yếu (vulnerability attack) và làm
ngập mạng (flooding attack) Do có một số đặc tính về kĩ thuật khó khăn trong việc triển khai phòng ngừa các cuộc tan công DDoS:
- Sự đơn giản: Một người sử dụng máy tính bình thường không rành về mạng cũng có thể thực hiện một cuộc tấn công DDoS Bởi vì đã
có sẵn rất nhiều công cụ DDoS trên mạng và ca hướng dẫn sử dung rất chỉ tiết dé thực hiện.
- Sự đa dạng của các gói tin tan công: Sự giống nhau giữa các
traffic tắn công và các traffic hợp lệ làm quản trị viên khó có thé phân biệt được Khác với các nguy cơ bảo mật như virut, worm, adware, cần
phải có những gói tin mánh khóc, dé lợi dụng vào lỗ hong, nhưng flood
attack chỉ cần lưu lượng lớn traffic va header cũng như nội dung packet đều có thé tùy ý theo Attacker
- Sự giả mao IP: làm cho các luồng dữ liệu tấn công từ agents đến như là từ những người dùng hợp lệ Vì thế quản trị viên rất khó phân
biệt dé có thé phát hiện các cuộc tấn công.
- Lượng traffic lớn, gửi với tan suất cao: Lượng traffic khổng lồ
ma DDoS tạo ra không chi làm ngập tài nguyên cua Victim, mà còn làm
quản trị viên rất khó mô tả, phân tích và tách biệt được packet hợp lệ và packet tan công chúng.
- S6 lượng lớn các Agents: Một trong những điểm mạnh của tan
công DDoS là có thé huy động được 1 số lượng lớn Agent phân tán trên toàn Internet Khi đó, luồng tấn công sẽ lan tỏa trên nhiều nhánh tới