HỌC VIEN CÔNG NGHỆ BƯU CHÍNH VIỄN THONG
ss fos
BUI VIET HA
PHAT HIEN VA PHONG THU TAN CONG TU CHOI DICH VU
PHAN TAN TREN LOP UNG DUNG
Chuyên ngành: Kỹ thuật viễn thông
Mã số: 60.52.02.08
TOM TAT LUẬN VĂN THẠC SĨ
HA NỘI - NĂM 2015
Trang 2Luận văn được hoàn thành tại:
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIÊN THÔNG
Người hướng dẫn khoa học: PGS.TS NGUYEN TIEN BAN
Phản biện 1: PGS.TS Đỗ Quốc Trinh
Phản biện 2: PGS.TS Trịnh Anh Vũ
Công nghệ Bưu chính Viễn thông
Vào lúc: 13 giờ 45 ngày 20 tháng 9 năm 2015
Có thê tìm hiêu luận văn tại:
- Thư viện của Học viện Công nghệ Bưu chính Viễn thông
Trang 3MỞ ĐẦU
Ngày nay, tấn công từ chối dịch vụ phân tán (DDoS) và các mang máy tính ma (Botnet) đang có xu hướng tăng nhanh trên thé giới cũng như tại Việt Nam trong những năm trở lại đây Tan công DDoS đã và đang trở thành một thách thức đối với hoạt động của bat cứ dịch vụ nào hoạt động trên nên mạng Internet Sự thay đổi linh hoạt của những kẻ tấn
công dẫn đến sự ra đời của rất nhiều công cụ mà được sử dụng cho một cuộc tấn công
DDoS Vì vậy, mọi việc ngày một trở nên đơn giản hơn để thực hiện một cuộc tấn công Việc mạng Internet ngày một mở rộng với tốc độ nhanh, cũng đặt ra những thách thức nhất định trong việc phát hiện và ngăn chặn các cuộc tấn công này Đã có rất nhiều nghiên cứu về tan công DDoS trên lớp truyền tai, lớp có nguy cơ bị tan công nhiều nhất, vì vậy cũng đã
có rât nhiêu phương án và giải pháp được đưa ra nhăm đôi phó với các cuộc tân công này.
Trang 4CHUONG I GIOI THIEU CHUNG VE TAN CONG MANG
1.1 Mở đầu
Ngày nay, với sự phát triển mạnh mẽ của khoa học công nghệ, mạng máy tính không dừng lại ở những hệ thống mạng kết nối dây cé định nữa mà nó đã và dang phát triển ở những hệ thống mạng không dây nham đáp ứng yêu cầu sử dụng mang của người dùng khi
cân di chuyên.
1.2 Tan công mạng
1.2.1 Khái niệm về tan công mang
Tan công mạng là một hành động làm phương hại đến sự an toàn và sẵn sàng phục
vụ của một hệ thống mạng [9]
1.2.2 Các loại tan công mạng * Tan công thụ động (Passive)
* Chu động (Active)
1.2.3 Các kiểu tắn công mang
Theo thống kê của các chuyên gia về an ninh mang, các cuộc tấn công mạng thường có 4 kiểu đó là: Gián đoạn (Interuption), nghe trộm (Interception), thay đổi
(modification) và gia mạo (fabrization) [30].
1.3 Các hình thức tan công mang phé biến
1.3.1 Mã độc
Mã độc là từ viết tắt của phần mềm độc hai Nó là dang phần mềm dùng dé gây hại
cho người dùng máy tính [9].
1.3.2 IP spoofing (Lita đảo IP)
IP Spoofing là sự giả mạo địa chi IP hoặc khống chế tập tin lưu trữ thông tin về địa chỉ IP của các thiết bị trong hệ thống mạng [9].
1.3.3 Tan công bằng cách chen vào giữa (MITM - Man-in-the-middle)
Trong kiểu tấn công này, khi hai máy tính đang truyền tin với nhau một cách bình thường thì kẻ tan công sẽ chặn các gói dữ liệu gửi đi từ hai máy đó, sau đó kẻ tan công thay thế bằng những gói dữ liệu khác và gửi chúng đi Khi đó, hai máy tính bị giả mạo đều không hay biết gì về việc dit liệu của chúng bị thay đồi.
Trang 51.3.4 Tấn công dựa trên mật khẩu
Một mật khâu đơn giản đó là một chuỗi các ký tự có trên bản phím mà một đối tượng
cần ghi nhớ và cung cấp cho hệ thống khi cần thiết như dé đăng nhập vào máy tính, truy cập
tai nguyên trên mạng.
Khi mà sức mạnh tính toán của các máy tính ngày này ngày càng tăng, chúng có kha
năng xử lý một lượng lớn dit liệu chỉ trong một khoảng thời gian ngắn thi thật không may,
các mật khẩu có vẻ như quá phức tạp dé ghi nhớ đối với con người thì lai dé dàng bị dò ra bởi các công cụ bẻ khóa mật khẩu trong một khoảng thời gian ngắn đến kinh ngạc.
1.3.5 Tấn công từ chối dich vụ DoS (Denial of Service)
Đây là một trong những kiểu tan công khó phòng ngừa nhất Nếu kẻ tan công không có khả năng thâm nhập được vào hệ thống, thì chúng cố gắng tìm cách làm cho hệ thong do
sụp đồ và không có khả năng phục vụ người dùng Vi vậy, tấn công từ chối dich vu DoS là
một kiểu tấn công mà một người làm cho một hệ thống không thể sử dụng, hoặc làm cho hệ thống đó chậm đi một cách đáng kể với người dùng bình thường, bang cách làm quá tải tài nguyên của hệ thống [3]
1.3.6 Tan công từ chối dich vụ phân tán DDoS
Tấn công từ chối dịch vụ phân tan DDoS (Distributed Denial of Service Attack) có sức mạnh tăng gấp nhiều lần so với tan công từ chối dich vu DoS cô điển Hau hết các cuộc tan công DDoS nhăm vào việc chiếm dung băng thông gây nghẽn mạng hệ thống từ đó dẫn
1.4 Tan công từ chối dich vụ phân tán DDoS
1.4.1 Khái niệm tan công DDoS
Hầu hết các cuộc tan công DDoS nhăm vào việc chiếm dụng băng thông gây nghẽn mạch hệ thống từ đó dẫn đến hệ thống ngưng hoạt động [26]
1.4.2 Phân loại tấn công DDoS
1.4.2.1 Tan công vào băng thong mang1.4.2.2 Tan công vào giao thức
1.4.2.3 Tan công bằng những gói tin khác thường 1.4.2.4 Tan công qua phần mềm trung gian
Trang 61.4.3 Kiến trúc tắn công DDoS
1.4.3.1.Tan công DDoS trực tiếp
( TMáy tính trung gian | May tính trung, == )
1.4.3.2.Tan công DDoS gián tiếp
Hình 1.10 Kiến trúc tan công DDoS gián tiếp
1.5 Các cuộc tấn công mạng tại Việt Nam [9]
Tại Việt Nam, theo thống kê của Bkav cho thấy, trung bình mỗi tuần có một đến 2
cuộc tan công từ chối dich vụ vào các website phô biến, trong đó tập trung vào các website thương mại điện tử, website công nghệ, báo điện tử có nhiều người truy cập.
- Tw năm 2010 đến nay, hầu như năm nào cũng chứng kiến các cuộc tấn công vào
nhiều tờ báo điện tử phổ biến như Vietnamnet, Tuoitre, Dantri, Kênh14 dẫn đến tắc nghẽn đường truyền, việc truy cập của người dùng hợp pháp bị gián đoạn.
- Dac biệt, theo ghi nhận của Bkav, cuộc tấn công vào Vietnamnet năm 2011 với
cường độ 1,5 triệu kết nối tại một thời điểm là cuộc tấn công lớn nhất.
- Trong hai năm 2012-2013, Trung tâm ứng cứu khan cấp máy tính Việt Nam
(VNCERT) đã ghi nhận: mang botnet Zeus có 14.075 có địa chỉ IP Việt Nam; mangbotnet Sality, Downadup, Trafficconverter có 113.273 địa chỉ IP Việt Nam.
Trang 7Trong năm 2013, các mạng botnet phục vụ tấn công DDoS vẫn hoạt động rất mạnh
mẽ và ngay cảng trở nên nguy hiém, khó kiêm soát.
1.6 Kết luận chương
Chương 1 đã giới thiệu các khái niệm cơ bản về tan công mạng, cũng như các hình
thức phổ biến dé tiến hành một cuộc tấn công mang Qua đó, có thé nhận thấy tấn công mang đang ngày một trở nên tinh vi và phong phú hơn về cách thức tiến hành, điều này gây ảnh hưởng lớn đến các hệ thống bị tấn công cũng như đặt ra thách thức với đội ngũ quản lý
cũng như các đơn vị chức năng trong việc phát hiện và ngăn chặn tân công mạng.
Nội dung chương | cũng đã điểm qua thực trạng tan công mạng hiện nay không chỉ tại Việt Nam mà còn trên thế giới, việc các máy tính có địa chỉ IP Việt Nam nằm trong mang máy tính ma botnet Nội dung chương 2 tiếp theo sẽ tập trung vào việc tan công mạng
trên lớp mạng và truyền tai, các tác hại của nó gây ra đôi với hệ thông.
Trang 8CHƯƠNG 2: TAN CÔNG MẠNG DDOS TRONG LỚP MẠNG VÀ LỚP TRUYEN TAI
2.1 Giới thiệu
Tấn công từ chối dich vụ phân tan DDoS có sức mạnh tăng gấp nhiều lần so với tấn
công từ chối dịch vụ DoS cô điển Hầu hết trong các cuộc tan công từ chối dich vụ phân tán
DDoS, kẻ tấn công tìm cách chiếm dụng và điều khiển nhiều máy tinh/mang máy tính trung gian từ nhiều nơi dé đồng loạt gửi ào ạt các gói tin với số lượng rất lớn nhằm chiếm dụng tai
nguyên và làm tràn ngập đường truyên của một mục tiêu xác định nào đó.2.2 Mang máy tinh ma Botnet [18]
2.2.1 Khai niém Botnet
Botnet là các mang máy tinh được tao lap từ các máy tinh mà kẻ tấn công có thê điều khiến từ xa Các máy tinh trong mạng Botnet là máy đã bị nhiễm malware và bị kẻ tan công điều khiển Một mang Botnet có thé có tới hàng trăm ngàn, thậm chi là hàng triệu máy tính dé phục vụ cho mục đích riêng của kẻ tan công.
2.2.2 Mục dich cua Botnet
Mang máy tinh ma Botnet có thé duoc dung cho nhiều mục dich khác nhau Vì mạng Botnet là một mạng tập hợp của rat rất nhiều máy tính, nên kẻ tấn công có thể dùng mang
Bonet dé thực hiện các cuộc tan công từ chối dich vụ (DDoS) vào một máy chủ web nào đó.
Theo đó, hàng trăm ngàn máy tính sẽ "dội bom", truy cập vào một website mục tiêu tai cùng
một thời điểm, khiến cho lưu lượng truy cập vào site đó bị quá tải Hậu quả là nhiều người
dùng khi truy cập vào website đó thì bị nghẽn mạng dẫn tới không truy cập được.
Botnet cũng có thé được dùng dé gửi mail spam Loi dụng vào mạng các máy tinh
"ma" này, kẻ gửi thư rác có thé tiết kiệm được khá nhiều chi phí cho hoạt động spam kiếm tiền của mình Ngoài ra, Botnet cũng được dùng dé tạo các "click gian lận" - hành vi tải ngầm một website nào đó mà kẻ tan công đã chuẩn bi sẵn, và click và các link quảng cáo từ
đó đem lại lợi nhuận về quảng cáo cho hacker.
2.2.3 Điều khiển Botnet
Botnet có thé được điều khiến theo nhiều cách Một số cách khá cơ bản va dé dang dé ngăn chan, trong khi một số cách khác thì phức tạp hơn.
Cách cơ bản nhất trong điều khiển botnet đó là mỗi máy tính trong mạng sẽ kết nối
tới máy chủ điều khiến từ xa Kẻ tan công sẽ lập trình dé sau mỗi một tiếng, mỗi bot sẽ tự
Trang 9động tải về một file từ một website nào đó và file này sẽ giéng như một file ra lệnh, bắt máy
tính của nạn nhân phải làm theo Một cách khác là máy tính nạn nhân sẽ kết nối tới một kênh IRC nằm trên một server nào đó và đợi lệnh từ kẻ điều khiển.
2.2.4 Toc độ tấn công của Botnet
Mạng máy tính ma Botnet là vũ khí nguy hại nhất trong cuộc chiến không gian mạng hiện nay Nó có thé đe dọa bat kỳ hạ tầng hệ thống mạng nào tùy thuộc vào số lượng "máy tính ma" mà nó sở hữu Tội phạm mạng có thể dùng Botnet theo nhiều phương cách như tấn
công từ chối dich vụ DDoS, một phương thức thường gặp dé hạ gục các website hoặc thu
lợi nhuận khổng 16 bang cách rải thảm thư rác hay quảng cáo Số tiền bất chính thu về có thé lên đến nhiều triệu USD.
2.3 Lịch sử tấn công từ chối dịch vụ phân tán DDoS qua các thời kỳ [9]
Việt Nam, An Độ và Indonesia chưa phải là những quốc gia có hạ tang Internet tiên tiễn nhất, nhưng cả ba nước hiện có một lượng lớn smartphone thiếu an toan thường xuyên online, biến chúng thành những nguồn cho mang máy tinh ma Botnet hoạt động dé sử dụng cho các cuộc tân công từ chối dịch vụ DDoS.
Tan công DDoS là một van nạn lớn đối với các website, những kiểu tan công này tuy "cô điển" nhưng không vì thé mà mất đi tính nguy hiểm đối với hệ thống mạng Thời gian qua, DDoS liên tục tan công vào các trang báo điện tử như Vietnamnet, Nguoiduatin.vn
Những vụ tấn công này không khỏi khiến người ta liên tưởng đến những vụ hacker DDoS từng nổi đình nổi đám trong lịch sử thế giới Cuộc tan công dau tiên liên quan đến máy chủ DNS xảy ra vào tháng 01/2001 và mục tiêu đầu tiên là trang Register.com Chúng
đã sử dụng danh sách hàng ngàn bản ghi có tuổi tho 1 năm tại thời điểm tấn công.
2.4 Các hình thức tấn công từ chối dịch vụ phân tán trên lớp mạng và lớp truyền tải [23]
2.4.1 TCP SYN Flood
Nguy cơ tấn công TCP SYN Flood được dé cập lần đầu tiên bởi Bill Cheswick va
Steve Bellovin vào năm 1994, đến năm 1996 nó được công khai đầu tiên với sự mô tả một công cụ khai thác trong Phrack Magazine Vào tháng 11/ 1996 tan công TCP SYN Flood
lân đâu tiên được chú ý đên khi một mail server bi tân công.
Trang 10128 Checksum Urgent pointer
160 Options (if Data Offset > 5)
2.4.1.2 Cơ chế tan công
Malicious Gói tin SYN với địa chỉ IP giả
Trang 112.4.2 Smurg IP
Smurg IP là thủ phạm sinh ra cực nhiều giao tiếp ICMP (ping) tới địa chi Broadcast
của nhiêu mạng với địa chỉ nguôn là mục tiêu cân tân công.2.4.3 UDP Flood
Kẻ tan công thực hiện bằng cách gửi một số lượng lớn các gói tin UDP có
kích thước lớn đến hệ thống mạng, khi hệ thống mạng bị tắn công UDP Flood sẽ bị
quá tải và chiếm hết băng thông của đường truyền Vì thế nó gây ra những ảnh
hưởng rất lớn đến đường truyền, tốc độ của mạng, gây khó khăn cho người dùng
khi truy cập vào mạng này.
UDP Flood Attack
Hình 2.5 Mô hình tan công bang UDP Flood [11]
Tan công UDP Flood cần có it nhất 2 hệ thống máy tham gia.
2.4.4 Ping oƒ Death
Kiểu tan công ping of death sử dụng dùng giao thức ICMP Bình thường, ping trong ICMP được dùng dé kiểm tra xem một host có sống hay không Một lệnh ping thông thường
có hai thông điệp echo request và echo reply.
Tiến trình ping bình thường diễn ra như sau:
C.\>ping 192.166 10.10
Pinging 192.168.10.10 with 32 bytes of data:
Reply from 192.168.10.10: bytes=32 thne= lms TTL=150Reply from 192.168.10.10: bytes=32 time=Ims TTL=150Reply from 192.168.10.10: bytes=32 time=Ims TTL=150Reply from 192.168.10.10: bytes=32 time=Ims TTL=150
Trang 12Ping statistics for 192.168.10.10:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = Ims, Maximum = Ims, Average = Ims
2.5 Kết luận chương
Trong chương 2 này, luận văn đã nêu lên khái niệm về mạng ma Bonet và tấn công DDoS trong hai lớp là lớp mạng và lớp truyền tải Bên cạnh đó, luận văn cũng đã nêu lên được lich sử các lần tấn công DDoS điển hình trên thế giới và tại Việt Nam.
Dựa trên cơ sở lý thuyết đã được luận văn trình bày trong chương 1 và chương 2,
trong chương 3 luận văn sẽ trình bày cách thức tan công DDoS trên lớp ứng dụng Đây là một hình thức tấn công mới và được sử dụng nhiều tại Việt Nam.
Trang 13CHUONG 3 TAN CÔNG DDOS TREN LỚP UNG DỤNG 3.1 Mở đầu
Trong chương 2 của luận văn đã đi tìm hiểu các dạng tấn công DDoS ở lớp
mạng, lớp truyền tải Bên cạnh đó, luận văn đã điểm được một số cuộc tấn công DDoS nổi
tiếng trên thế giới, dé chúng ta có cách nhìn tổng quan hơn về các hình thức tan công từ chối
dịch vụ phân tán DDoS.
3.2 Các dang tan công từ chối dịch vụ phân tan DDoS trên lớp ứng dụng [21]
3.2.1 Tấn công tràn lụt yêu cau
3.2.2 Tan công kiểu bat đối xứng
3.2.3 Tan công một lan nhắc lại (Repeated One Shot Attacks) 3.2.4 Tan công dựa vào các lỗ héng của ứng dụng
3.3 Các kỹ thuật tan công DDOS
3.3.1 Kỹ thuật tắn công Slowloris
Day là kỹ thuật tan công tương tự như kiểu tan công SYN flood nhưng kiểu tan công
này diễn ra ở lớp ứng dụng.
3.3.2 Kỹ thuật tắn công NTP khuếch đại
Kỹ thuật tấn công NTP dựa trên giao thức đồng bộ thời gian mạng NTP (Network
Time Protocol) Giao thức đồng bộ thời gian mạng NTP giúp cho các máy tính kết nỗi mạng
luôn đồng bộ được giờ một cách chính xác Các client gửi yêu cầu đồng bộ giờ lên máy chủ, các máy chủ có thé có nhiều cấp sẽ cập nhật với nhau dé đồng bộ chính xác giờ nhất cho
3.3.3 Kỹ thuật tắn công tràn lụt HTTP
Các yêu cầu HTTP, mà có vẻ hợp lệ, được khai thác dé tan công một may chủ hoặc ứng dụng Kiểu tan công này đòi hỏi ít băng thông hơn so với các kiểu tan công DDoS khác 3.4 Phương pháp phát hiện tấn công từ chối dịch vụ phân tán DDoS trên lớp ứng
3.4.1 Phương pháp sử dụng phân tích hành vi dé phát hiện tan công từ chỗi dịch vụ phân
tan trên lớp ứng dụng 12]
Trang 14Phan này sẽ giới thiệu phương pháp phát hiện tan công DDOS trên lớp ứng dụng bằng cách sử dụng các cụm phân tích Các phiên làm việc với người dùng sẽ được cụm hóa nhằm ghi lại các hành vi duyệt dữ liệu của người dùng Các thông tin về phiên làm việc, tốc độ yêu cầu, mức độ tín nhiệm trung bình của người dùng hay xác suất trung bình duyệt dữ
liệu được nhóm lại trong các cụm phiên người người dùng.
3.4.1.1 Phương pháp phân tích
Ban đầu, các phiên làm việc của người dùng sẽ được gom lại (cụm hóa) Dé phát hiện tan công DDOS trên lớp ứng dụng, sự khác biệt giữa một phiên làm việc khả nghỉ và các cụm phiên làm việc thông thường đã được gom lại trước đó cần phải được tính toán đến.
3.4.1.2 Mô hình hệ thống nhận diện bằng phương pháp phân tích hành vi
Phương pháp này dựa trên hành vi của người duyệt web, các file log của hệ thống sẽ được phân tích để tạo một ma trận truy nhập (access matrix) Ma trận truy nhập sẽ chưa rất nhiều trường dữ liệu như tốc độ yêu cầu HTTP, tốc độ phiên HTTP, các tải liệu của hệ thống máy chủ, thời gian truy nhập của người dùng.
Hinh 3.4 M6 hinh hé théng str dung phuong phap phan tich hanh vi
3.4.2 Phương pháp phát hiện tấn công từ chối dịch vu trên lớp ứng dung sử dung mô
hình theo dõi khe thời gian (Timeslot Monitoring Model)[20]
Đây là một phương pháp mới cho việc phát hiện tan công DDOS trên lớp ứng dụng.
Mô hình này tạo ra các lý lịch của các mô hình lưu lượng hợp lệ và các mô hình lưu lượng
của kẻ tân công.