MỞ ĐẦUNgày nay, tấn công từ chối dịch vụ phân tán DDoS và các mang máy tính maBotnet đang có xu hướng tăng nhanh trên thé giới cũng như tại Việt Nam trong nhữngnăm trở lại đây.. Tan công
Trang 1HỌC VIEN CÔNG NGHỆ BƯU CHÍNH VIỄN THONG
A
(PẤT
ss fos
BUI VIET HA
PHAT HIEN VA PHONG THU TAN CONG TU CHOI DICH VU
PHAN TAN TREN LOP UNG DUNG
Chuyên ngành: Kỹ thuật viễn thông
Mã số: 60.52.02.08
TOM TAT LUẬN VĂN THẠC SĨ
HA NỘI - NĂM 2015
Trang 2Luận văn được hoàn thành tại:
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIÊN THÔNG
Người hướng dẫn khoa học: PGS.TS NGUYEN TIEN BAN
Phản biện 1: PGS.TS Đỗ Quốc Trinh
Phản biện 2: PGS.TS Trịnh Anh Vũ
Công nghệ Bưu chính Viễn thông
Vào lúc: 13 giờ 45 ngày 20 tháng 9 năm 2015
Có thê tìm hiêu luận văn tại:
- Thư viện của Học viện Công nghệ Bưu chính Viễn thông
Trang 3MỞ ĐẦU
Ngày nay, tấn công từ chối dịch vụ phân tán (DDoS) và các mang máy tính ma(Botnet) đang có xu hướng tăng nhanh trên thé giới cũng như tại Việt Nam trong nhữngnăm trở lại đây Tan công DDoS đã và đang trở thành một thách thức đối với hoạt động củabat cứ dịch vụ nào hoạt động trên nên mạng Internet Sự thay đổi linh hoạt của những kẻ tấn
công dẫn đến sự ra đời của rất nhiều công cụ mà được sử dụng cho một cuộc tấn công
DDoS Vì vậy, mọi việc ngày một trở nên đơn giản hơn để thực hiện một cuộc tấn công.Việc mạng Internet ngày một mở rộng với tốc độ nhanh, cũng đặt ra những thách thức nhấtđịnh trong việc phát hiện và ngăn chặn các cuộc tấn công này Đã có rất nhiều nghiên cứu
về tan công DDoS trên lớp truyền tai, lớp có nguy cơ bị tan công nhiều nhất, vì vậy cũng đã
có rât nhiêu phương án và giải pháp được đưa ra nhăm đôi phó với các cuộc tân công này.
Trang 4cân di chuyên.
1.2 Tan công mạng
1.2.1 Khái niệm về tan công mang
Tan công mạng là một hành động làm phương hại đến sự an toàn và sẵn sàng phục
vụ của một hệ thống mạng [9]
1.2.2 Các loại tan công mạng
* Tan công thụ động (Passive)
* Chu động (Active)
1.2.3 Các kiểu tắn công mang
Theo thống kê của các chuyên gia về an ninh mang, các cuộc tấn công mạngthường có 4 kiểu đó là: Gián đoạn (Interuption), nghe trộm (Interception), thay đổi
(modification) và gia mạo (fabrization) [30].
1.3 Các hình thức tan công mang phé biến
1.3.1 Mã độc
Mã độc là từ viết tắt của phần mềm độc hai Nó là dang phần mềm dùng dé gây hại
cho người dùng máy tính [9].
1.3.2 IP spoofing (Lita đảo IP)
IP Spoofing là sự giả mạo địa chi IP hoặc khống chế tập tin lưu trữ thông tin về địachỉ IP của các thiết bị trong hệ thống mạng [9]
1.3.3 Tan công bằng cách chen vào giữa (MITM - Man-in-the-middle)
Trong kiểu tấn công này, khi hai máy tính đang truyền tin với nhau một cách bìnhthường thì kẻ tan công sẽ chặn các gói dữ liệu gửi đi từ hai máy đó, sau đó kẻ tan công thaythế bằng những gói dữ liệu khác và gửi chúng đi Khi đó, hai máy tính bị giả mạo đều khônghay biết gì về việc dit liệu của chúng bị thay đồi
Trang 51.3.4 Tấn công dựa trên mật khẩu
Một mật khâu đơn giản đó là một chuỗi các ký tự có trên bản phím mà một đối tượng
cần ghi nhớ và cung cấp cho hệ thống khi cần thiết như dé đăng nhập vào máy tính, truy cập
tai nguyên trên mạng.
Khi mà sức mạnh tính toán của các máy tính ngày này ngày càng tăng, chúng có kha
năng xử lý một lượng lớn dit liệu chỉ trong một khoảng thời gian ngắn thi thật không may,
các mật khẩu có vẻ như quá phức tạp dé ghi nhớ đối với con người thì lai dé dàng bị dò rabởi các công cụ bẻ khóa mật khẩu trong một khoảng thời gian ngắn đến kinh ngạc
1.3.5 Tấn công từ chối dich vụ DoS (Denial of Service)
Đây là một trong những kiểu tan công khó phòng ngừa nhất Nếu kẻ tan công không
có khả năng thâm nhập được vào hệ thống, thì chúng cố gắng tìm cách làm cho hệ thong do
sụp đồ và không có khả năng phục vụ người dùng Vi vậy, tấn công từ chối dich vu DoS là
một kiểu tấn công mà một người làm cho một hệ thống không thể sử dụng, hoặc làm cho hệthống đó chậm đi một cách đáng kể với người dùng bình thường, bang cách làm quá tải tàinguyên của hệ thống [3]
1.3.6 Tan công từ chối dich vụ phân tán DDoS
Tấn công từ chối dịch vụ phân tan DDoS (Distributed Denial of Service Attack) cósức mạnh tăng gấp nhiều lần so với tan công từ chối dich vu DoS cô điển Hau hết các cuộctan công DDoS nhăm vào việc chiếm dung băng thông gây nghẽn mạng hệ thống từ đó dẫn
1.4 Tan công từ chối dich vụ phân tán DDoS
1.4.1 Khái niệm tan công DDoS
Hầu hết các cuộc tan công DDoS nhăm vào việc chiếm dụng băng thông gây nghẽnmạch hệ thống từ đó dẫn đến hệ thống ngưng hoạt động [26]
1.4.2 Phân loại tấn công DDoS
1.4.2.1 Tan công vào băng thong mang
1.4.2.2 Tan công vào giao thức
1.4.2.3 Tan công bằng những gói tin khác thường
1.4.2.4 Tan công qua phần mềm trung gian
Trang 61.4.3 Kiến trúc tắn công DDoS
1.4.3.1.Tan công DDoS trực tiếp
( TMáy tính trung gian | May tính trung, == )
1.4.3.2.Tan công DDoS gián tiếp
Hình 1.10 Kiến trúc tan công DDoS gián tiếp
1.5 Các cuộc tấn công mạng tại Việt Nam [9]
Tại Việt Nam, theo thống kê của Bkav cho thấy, trung bình mỗi tuần có một đến 2
cuộc tan công từ chối dich vụ vào các website phô biến, trong đó tập trung vào các websitethương mại điện tử, website công nghệ, báo điện tử có nhiều người truy cập
- Tw năm 2010 đến nay, hầu như năm nào cũng chứng kiến các cuộc tấn công vào
nhiều tờ báo điện tử phổ biến như Vietnamnet, Tuoitre, Dantri, Kênh14 dẫn đếntắc nghẽn đường truyền, việc truy cập của người dùng hợp pháp bị gián đoạn
- Dac biệt, theo ghi nhận của Bkav, cuộc tấn công vào Vietnamnet năm 2011 với
cường độ 1,5 triệu kết nối tại một thời điểm là cuộc tấn công lớn nhất.
- Trong hai năm 2012-2013, Trung tâm ứng cứu khan cấp máy tính Việt Nam
(VNCERT) đã ghi nhận: mang botnet Zeus có 14.075 có địa chỉ IP Việt Nam; mang botnet Sality, Downadup, Trafficconverter có 113.273 địa chỉ IP Việt Nam.
Trang 7Trong năm 2013, các mạng botnet phục vụ tấn công DDoS vẫn hoạt động rất mạnh
mẽ và ngay cảng trở nên nguy hiém, khó kiêm soát.
1.6 Kết luận chương
Chương 1 đã giới thiệu các khái niệm cơ bản về tan công mạng, cũng như các hình
thức phổ biến dé tiến hành một cuộc tấn công mang Qua đó, có thé nhận thấy tấn côngmang đang ngày một trở nên tinh vi và phong phú hơn về cách thức tiến hành, điều này gâyảnh hưởng lớn đến các hệ thống bị tấn công cũng như đặt ra thách thức với đội ngũ quản lý
cũng như các đơn vị chức năng trong việc phát hiện và ngăn chặn tân công mạng.
Nội dung chương | cũng đã điểm qua thực trạng tan công mạng hiện nay không chỉtại Việt Nam mà còn trên thế giới, việc các máy tính có địa chỉ IP Việt Nam nằm trongmang máy tính ma botnet Nội dung chương 2 tiếp theo sẽ tập trung vào việc tan công mạng
trên lớp mạng và truyền tai, các tác hại của nó gây ra đôi với hệ thông.
Trang 8CHƯƠNG 2: TAN CÔNG MẠNG DDOS TRONG LỚP MẠNG VÀ LỚP TRUYEN TAI
2.1 Giới thiệu
Tấn công từ chối dich vụ phân tan DDoS có sức mạnh tăng gấp nhiều lần so với tấn
công từ chối dịch vụ DoS cô điển Hầu hết trong các cuộc tan công từ chối dich vụ phân tán
DDoS, kẻ tấn công tìm cách chiếm dụng và điều khiển nhiều máy tinh/mang máy tính trunggian từ nhiều nơi dé đồng loạt gửi ào ạt các gói tin với số lượng rất lớn nhằm chiếm dụng tai
nguyên và làm tràn ngập đường truyên của một mục tiêu xác định nào đó.
2.2 Mang máy tinh ma Botnet [18]
2.2.1 Khai niém Botnet
Botnet là các mang máy tinh được tao lap từ các máy tinh mà kẻ tấn công có thê điềukhiến từ xa Các máy tinh trong mạng Botnet là máy đã bị nhiễm malware và bị kẻ tan côngđiều khiển Một mang Botnet có thé có tới hàng trăm ngàn, thậm chi là hàng triệu máy tính
dé phục vụ cho mục đích riêng của kẻ tan công
2.2.2 Mục dich cua Botnet
Mang máy tinh ma Botnet có thé duoc dung cho nhiều mục dich khác nhau Vì mạngBotnet là một mạng tập hợp của rat rất nhiều máy tính, nên kẻ tấn công có thể dùng mang
Bonet dé thực hiện các cuộc tan công từ chối dich vụ (DDoS) vào một máy chủ web nào đó
Theo đó, hàng trăm ngàn máy tính sẽ "dội bom", truy cập vào một website mục tiêu tai cùng
một thời điểm, khiến cho lưu lượng truy cập vào site đó bị quá tải Hậu quả là nhiều người
dùng khi truy cập vào website đó thì bị nghẽn mạng dẫn tới không truy cập được.
Botnet cũng có thé được dùng dé gửi mail spam Loi dụng vào mạng các máy tinh
"ma" này, kẻ gửi thư rác có thé tiết kiệm được khá nhiều chi phí cho hoạt động spam kiếmtiền của mình Ngoài ra, Botnet cũng được dùng dé tạo các "click gian lận" - hành vi tảingầm một website nào đó mà kẻ tan công đã chuẩn bi sẵn, và click và các link quảng cáo từ
đó đem lại lợi nhuận về quảng cáo cho hacker.
2.2.3 Điều khiển Botnet
Botnet có thé được điều khiến theo nhiều cách Một số cách khá cơ bản va dé dang
dé ngăn chan, trong khi một số cách khác thì phức tạp hơn
Cách cơ bản nhất trong điều khiển botnet đó là mỗi máy tính trong mạng sẽ kết nối
tới máy chủ điều khiến từ xa Kẻ tan công sẽ lập trình dé sau mỗi một tiếng, mỗi bot sẽ tự
Trang 9động tải về một file từ một website nào đó và file này sẽ giéng như một file ra lệnh, bắt máy
tính của nạn nhân phải làm theo Một cách khác là máy tính nạn nhân sẽ kết nối tới mộtkênh IRC nằm trên một server nào đó và đợi lệnh từ kẻ điều khiển
2.2.4 Toc độ tấn công của Botnet
Mạng máy tính ma Botnet là vũ khí nguy hại nhất trong cuộc chiến không gian mạnghiện nay Nó có thé đe dọa bat kỳ hạ tầng hệ thống mạng nào tùy thuộc vào số lượng "máytính ma" mà nó sở hữu Tội phạm mạng có thể dùng Botnet theo nhiều phương cách như tấn
công từ chối dich vụ DDoS, một phương thức thường gặp dé hạ gục các website hoặc thu
lợi nhuận khổng 16 bang cách rải thảm thư rác hay quảng cáo Số tiền bất chính thu về cóthé lên đến nhiều triệu USD
2.3 Lịch sử tấn công từ chối dịch vụ phân tán DDoS qua các thời kỳ [9]
Việt Nam, An Độ và Indonesia chưa phải là những quốc gia có hạ tang Internet tiêntiễn nhất, nhưng cả ba nước hiện có một lượng lớn smartphone thiếu an toan thường xuyênonline, biến chúng thành những nguồn cho mang máy tinh ma Botnet hoạt động dé sử dụngcho các cuộc tân công từ chối dịch vụ DDoS
Tan công DDoS là một van nạn lớn đối với các website, những kiểu tan công này tuy
"cô điển" nhưng không vì thé mà mất đi tính nguy hiểm đối với hệ thống mạng Thời gianqua, DDoS liên tục tan công vào các trang báo điện tử như Vietnamnet, Nguoiduatin.vn
Những vụ tấn công này không khỏi khiến người ta liên tưởng đến những vụ hackerDDoS từng nổi đình nổi đám trong lịch sử thế giới Cuộc tan công dau tiên liên quan đếnmáy chủ DNS xảy ra vào tháng 01/2001 và mục tiêu đầu tiên là trang Register.com Chúng
đã sử dụng danh sách hàng ngàn bản ghi có tuổi tho 1 năm tại thời điểm tấn công
2.4 Các hình thức tấn công từ chối dịch vụ phân tán trên lớp mạng và lớp truyền tải [23]
2.4.1 TCP SYN Flood
Nguy cơ tấn công TCP SYN Flood được dé cập lần đầu tiên bởi Bill Cheswick va
Steve Bellovin vào năm 1994, đến năm 1996 nó được công khai đầu tiên với sự mô tả mộtcông cụ khai thác trong Phrack Magazine Vào tháng 11/ 1996 tan công TCP SYN Flood
lân đâu tiên được chú ý đên khi một mail server bi tân công.
Trang 10128 Checksum Urgent pointer
160 Options (if Data Offset > 5)
2.4.1.2 Cơ chế tan công
Malicious Gói tin SYN với địa chỉ IP giả
Trang 112.4.2 Smurg IP
Smurg IP là thủ phạm sinh ra cực nhiều giao tiếp ICMP (ping) tới địa chi Broadcast
của nhiêu mạng với địa chỉ nguôn là mục tiêu cân tân công.
2.4.3 UDP Flood
Kẻ tan công thực hiện bằng cách gửi một số lượng lớn các gói tin UDP có
kích thước lớn đến hệ thống mạng, khi hệ thống mạng bị tắn công UDP Flood sẽ bị
quá tải và chiếm hết băng thông của đường truyền Vì thế nó gây ra những ảnh
hưởng rất lớn đến đường truyền, tốc độ của mạng, gây khó khăn cho người dùng
khi truy cập vào mạng này.
UDP Flood Attack
Hình 2.5 Mô hình tan công bang UDP Flood [11]
Tan công UDP Flood cần có it nhất 2 hệ thống máy tham gia
2.4.4 Ping oƒ Death
Kiểu tan công ping of death sử dụng dùng giao thức ICMP Bình thường, ping trongICMP được dùng dé kiểm tra xem một host có sống hay không Một lệnh ping thông thường
có hai thông điệp echo request và echo reply.
Tiến trình ping bình thường diễn ra như sau:
C.\>ping 192.166 10.10 Pinging 192.168.10.10 with 32 bytes of data:
Reply from 192.168.10.10: bytes=32 thne= lms TTL=150 Reply from 192.168.10.10: bytes=32 time=Ims TTL=150 Reply from 192.168.10.10: bytes=32 time=Ims TTL=150 Reply from 192.168.10.10: bytes=32 time=Ims TTL=150
Trang 12Ping statistics for 192.168.10.10:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = Ims, Maximum = Ims, Average = Ims
2.5 Kết luận chương
Trong chương 2 này, luận văn đã nêu lên khái niệm về mạng ma Bonet và tấn côngDDoS trong hai lớp là lớp mạng và lớp truyền tải Bên cạnh đó, luận văn cũng đã nêu lênđược lich sử các lần tấn công DDoS điển hình trên thế giới và tại Việt Nam
Dựa trên cơ sở lý thuyết đã được luận văn trình bày trong chương 1 và chương 2,
trong chương 3 luận văn sẽ trình bày cách thức tan công DDoS trên lớp ứng dụng Đây làmột hình thức tấn công mới và được sử dụng nhiều tại Việt Nam
Trang 13CHUONG 3 TAN CÔNG DDOS TREN LỚP UNG DỤNG
3.1 Mở đầu
Trong chương 2 của luận văn đã đi tìm hiểu các dạng tấn công DDoS ở lớp
mạng, lớp truyền tải Bên cạnh đó, luận văn đã điểm được một số cuộc tấn công DDoS nổi
tiếng trên thế giới, dé chúng ta có cách nhìn tổng quan hơn về các hình thức tan công từ chối
dịch vụ phân tán DDoS.
3.2 Các dang tan công từ chối dịch vụ phân tan DDoS trên lớp ứng dụng [21]
3.2.1 Tấn công tràn lụt yêu cau
3.2.2 Tan công kiểu bat đối xứng
3.2.3 Tan công một lan nhắc lại (Repeated One Shot Attacks)
3.2.4 Tan công dựa vào các lỗ héng của ứng dụng
3.3 Các kỹ thuật tan công DDOS
3.3.1 Kỹ thuật tắn công Slowloris
Day là kỹ thuật tan công tương tự như kiểu tan công SYN flood nhưng kiểu tan công
này diễn ra ở lớp ứng dụng.
3.3.2 Kỹ thuật tắn công NTP khuếch đại
Kỹ thuật tấn công NTP dựa trên giao thức đồng bộ thời gian mạng NTP (Network
Time Protocol) Giao thức đồng bộ thời gian mạng NTP giúp cho các máy tính kết nỗi mạng
luôn đồng bộ được giờ một cách chính xác Các client gửi yêu cầu đồng bộ giờ lên máy chủ,các máy chủ có thé có nhiều cấp sẽ cập nhật với nhau dé đồng bộ chính xác giờ nhất cho
Client.
3.3.3 Kỹ thuật tắn công tràn lụt HTTP
Các yêu cầu HTTP, mà có vẻ hợp lệ, được khai thác dé tan công một may chủ hoặcứng dụng Kiểu tan công này đòi hỏi ít băng thông hơn so với các kiểu tan công DDoS khác.3.4 Phương pháp phát hiện tấn công từ chối dịch vụ phân tán DDoS trên lớp ứng
dụng
3.4.1 Phương pháp sử dụng phân tích hành vi dé phát hiện tan công từ chỗi dịch vụ phân
tan trên lớp ứng dụng 12]
Trang 14Phan này sẽ giới thiệu phương pháp phát hiện tan công DDOS trên lớp ứng dụngbằng cách sử dụng các cụm phân tích Các phiên làm việc với người dùng sẽ được cụm hóanhằm ghi lại các hành vi duyệt dữ liệu của người dùng Các thông tin về phiên làm việc, tốc
độ yêu cầu, mức độ tín nhiệm trung bình của người dùng hay xác suất trung bình duyệt dữ
liệu được nhóm lại trong các cụm phiên người người dùng.
3.4.1.1 Phương pháp phân tích
Ban đầu, các phiên làm việc của người dùng sẽ được gom lại (cụm hóa) Dé pháthiện tan công DDOS trên lớp ứng dụng, sự khác biệt giữa một phiên làm việc khả nghỉ vàcác cụm phiên làm việc thông thường đã được gom lại trước đó cần phải được tính toán đến.3.4.1.2 Mô hình hệ thống nhận diện bằng phương pháp phân tích hành vi
Phương pháp này dựa trên hành vi của người duyệt web, các file log của hệ thống sẽđược phân tích để tạo một ma trận truy nhập (access matrix) Ma trận truy nhập sẽ chưa rấtnhiều trường dữ liệu như tốc độ yêu cầu HTTP, tốc độ phiên HTTP, các tải liệu của hệthống máy chủ, thời gian truy nhập của người dùng
Hinh 3.4 M6 hinh hé théng str dung phuong phap phan tich hanh vi
3.4.2 Phương pháp phát hiện tấn công từ chối dịch vu trên lớp ứng dung sử dung mô
hình theo dõi khe thời gian (Timeslot Monitoring Model)[20]
Đây là một phương pháp mới cho việc phát hiện tan công DDOS trên lớp ứng dụng
Mô hình này tạo ra các lý lịch của các mô hình lưu lượng hợp lệ và các mô hình lưu lượng
của kẻ tân công.