HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA CÔNG NGHỆ THÔNG TIN ĐỀ TÀI FIREWALL Tìm hiểu tấn công từ chối dịch vụ(DOS và DDOS) và các chính sách an ninh FW chống tấn công này MỤC LỤC 1 ĐỀ TÀI FIREWALL 1 CHƯƠNG 1: TỔNG QUAN VỀ TỪ CHỐI DỊCH VỤ VÀ CÁCH PHÒNG CHỐNG 3 1. Tổng quan về tấn công từ chối dịch vụ: 3 KẾT QUẢ THU ĐƯỢC VÀ PHƯƠNG HƯỚNG PHÁT TRIỂN 27 TÀI LIỆU THAM KHẢO 28 DANH MỤC HÌNH ẢNH Hình 1: Một mô hình Dos cơ bản Hình2: 1 mô hình DDOS Hình 3: SYN attack Hình 4: Mô hình tấn công khuếch đại Hình 5: Mô hình tấn công DdoS Hình 7: Mô hình agent handler Hình 6: Sơ đồ mạng tấn công DDOS Hình 8: Mô hình tấn công dạng IRC-Based 2 Hình 9: Smurf Attack (DRDoS) CHƯƠNG 1: TỔNG QUAN VỀ TỪ CHỐI DỊCH VỤ VÀ CÁCH PHÒNG CHỐNG 1. Tổng quan về tấn công từ chối dịch vụ: 1.1 Khái Niệm về tấn công từ chối dịch vụ: 1.1.1 Giới thiệu về DoS - Tấn công DoS là một kiểu tấn công mà một người làm cho một hệ thống không thể sử dụng, hoặc làm cho hệ thống đó chậm đi một cách đáng kể với người dùng bình thường, bằng cách làm quá tải tài nguyên của hệ thống . - Nếu kẻ tấn công không có khả năng thâm nhập được vào hệ thống, thì chúng cố gắng tìm cách làm cho hệ thống đó sụp đổ và không có khả năng phục vụ người dùng bình thường đó là tấn công Denial of Service (DoS). Mặc dù tấn công DoS không có khả năng truy cập vào dữ liệu thực của hệ thống nhưng nó có thể làm gián đoạn các dịch vụ mà hệ thống đó cung cấp. Như định nghĩa trên DoS khi tấn công vào một hệ thống sẽ khai thác những cái yếu nhất của hệ thống để tấn công, những mục đích của tấn công DoS 1.1.2 Lịch sử các cuộc tấn công và phát triển của DoS - Các tấn công DoS bắt đầu vào khoảng đầu những năm 90. Đầu tiên, chúng hoàn toàn “nguyên thủy”, bao gồm chỉ một kẻ tấn công khai thác băng thông tối đa từ nạn nhân, ngăn những người khác được phục vụ. 3 Điều này được thực hiện chủ yếu bằng cách dùng các phương pháp đơn giản như ping floods, SYN floods và UDP floods. Sau đó, các cuộc tấn công trở nên phức tạp hơn, bằng cách giả làm nạn nhân, gửi vài thông điệp và để các máy khác làm ngập máy nạn nhân với các thông điệp trả lời. (Smurf attack, IP spoofing…). - Các tấn công này phải được đồng bộ hoá một cách thủ công bởi nhiều kẻ tấn công để tạo ra một sự phá huỷ có hiệu quả. Sự dịch chuyển đến việc tự động hoá sự đồng bộ, kết hợp này và tạo ra một tấn công song song lớn trở nên phổ biến từ 1997, với sự ra đời của công cụ tấn công DDoS đầu tiên được công bố rộng rãi, Trinoo. Nó dựa trên tấn công UDP flood và các giao tiếp master-slave (khiến các máy trung gian tham gia vào trong cuộc tấn công bằng cách đặt lên chúng các chương trình được điều khiển từ xa). Trong những năm tiếp theo, vài công cụ nữa được phổ biến – TFN (tribe flood network), TFN2K, vaf Stacheldraht. - Tuy nhiên, chỉ từ cuối năm 1999 mới có những báo cáo về những tấn công như vậy, và đề tài này được công chúng biết đến chỉ sau khi một cuộc tấn công lớn vào các site công cộng tháng 2/2000. Trong thời gian 3 ngày, các site Yahoo.com, amazon.com, buy.com, cnn.com và eBay.com đã đặt dưới sự tấn công (ví dụ như Yahoo bị ping với tốc độ 1 GB/s). Từ đó các cuộc tấn công Dos thường xuyên sảy ra ví dụ : Vào ngày 15 tháng 8 năm 2003, Microsoft đã chịu đợt tấn công DoS cực mạnh và làm gián đoạn websites trong vòng 2 giờ; Vào lúc 15:09 giờ GMT ngày 27 tháng 3 năm 2003: toàn bộ phiên bản tiếng anh của website Al-Jazeera bị tấn công làm gián đoạn trong nhiều giờ 1.1.3 Mục đích của tấn công DoS và hiểm họa • Mục đích của tấn công DoS 4 - Cố gắng chiếm băng thông mạng và làm hệ thống mạng bị ngập (flood), khi đó hệ thống mạng sẽ không có khả năng đáp ứng những dịch vụ khác cho người dùng bình thường. - Cố gắng làm ngắt kết nối giữa hai máy, và ngăn chặn quá trình truy cập vào dịch vụ. - Cố gắng ngăn chặn những người dùng cụ thể vào một dịch vụ nào đó - Cố gắng ngăn chặn các dịch vụ không cho người khác có khả năng truy cập vào. - Khi tấn công DoS xảy ra người dùng có cảm giác khi truy cập vào dịch vụ đó như bị: + Disable Network - Tắt mạng + Disable Organization - Tổ chức không hoạt động + Financial Loss – Tài chính bị mất Như chúng ta biết ở bên trên tấn công DoS xảy ra khi kẻ tấn công sử dụng hết tài nguyên của hệ thống và hệ thống không thể đáp ứng cho người dùng bình thường được vậy các tài nguyên chúng thường sử dụng để tấn công là gì: - Tạo ra sự khan hiếm, những giới hạn và không đổi mới tài nguyên - Băng thông của hệ thống mạng (Network Bandwidth), bộ nhớ, ổ đĩa, và CPU Time hay cấu trúc dữ liệu đều là mục tiêu của tấn công DoS. - Tấn công vào hệ thống khác phục vụ cho mạng máy tính như: hệ thống điều hoà, hệ thống điện, hệt hống làm mát và nhiều tài nguyên khác của doanh nghiệp. Bạn thử tưởng tượng khi nguồn điện vào máy chủ web bị ngắt thì người dùng có thể truy cập vào máy chủ đó không. - Phá hoại hoặc thay đổi các thông tin cấu hình. - Phá hoại tầng vật lý hoặc các thiết bị mạng như nguồn điện, điều hoà… 1.2 Phân loại: 1.2.1 Trường hợp đơn giản 1-1 (DoS: tấn công từ chối dịch vụ): 5 DoS (Denial of Service) là hình thức tấn công từ chối dịch vụ, có nhiều cách để thực hiện tấn công kiểu này (VD : SYN Flooding, ), thực chất là Hacker tận dụng lỗ hổng bảo mật nào đó để yêu cầu Server làm việc "giời ơi" nào đó, mục đính là không để Server có khả năng đáp ứng yêu cầu dịch vụ của các Client khác, như vậy gọi là "từ chối dịch vụ" của các Client khác. Thường thì kẻ tấn công là từ một máy. Hình 1: Một mô hình Dos 1.2.2 Qua các máy trung gian (DDOS: tấn công từ chối dịch vụ phân tán): 6 DDoS (Distributed Denial of Service) là một dạng DoS nhưng kẻ tấ công sử dụng nhiều máy để thực hiện. Hình2: 1 mô hình DDOS 7 Sự khác nhau là : DoS là tấn công từ một nguồn còn DDoS là từ nhiều nguồn khác nhau nên phương pháp chống lại cũng khác đôi chút. VD : nếu phát hiện dấu hiệu của DoS thì chỉ cần tìm và ngắt các hoạt động hoặc kết nối liên quan đến nguồn phát (chỉ 1), còn DDoS thì rất nhiều nguồn tấn công nên không làm như vậy được. Một điểm quan trọng là nếu bị tấn công DDoS thì không thể chống đỡ. 2 Các cơ chế tấn công từ chối dịch vụ: 2.1 Tấn công từ chối dịch vụ (DoS): Là phương thức xuất hiện đầu tiên, giản đơn nhất trong kiểu tấn công từ chối dịch vụ.Các kiểu tấn công thuộc phương thức này rất đa dạng: 2.1.1 Tấn công chiếm dụng tài nguyên (Resource Depletion): Bằng cách lạm dụng quá trình giao tiếp của giao thức mạng hoặc những gói tin dị thường, attacker sẽ chiếm dụng nguồn tài nguyên hệ thống như CPU, RAM,… khiến cho người dùng chia sẽ không truy xuất được hệ thống do hệ thống không đủ khả năng xử lý 2.1.1.a SYN Attack Được xem là một trong những kiểu tấn công DoS kinh điển nhất. Lợi dụng sơ hở của thủ tục TCP khi “bắt tay ba chiều”, mỗi khi client (máy khách) muốn thực hiện kết nối (connection) với server (máy chủ) thì nó thực hiện việc bắt tay ba lần (three – wayshandshake) thông qua các gói tin (packet). - Bước 1: Client (máy khách) sẽ gửi các gói tin (packet chứa SYN=1) đến máy chủ để yêu cầu kết nối. - Bước 2: Khi nhận được gói tin này, server sẽ gửi lại gói tin SYN/ACK để thông báo cho client biết là nó đã nhận được yêu cầu kết nối và chuẩn bị tài nguyên cho việc yêu cầu này. Server sẽ giành một phần tài nguyên hệ thống như bộ nhớ đệm (cache) để nhận và truyền dữ liệu. Ngoài ra, 8 các thông tin khác của client như địa chỉ IP và cổng (port) cũng được ghi nhận. - Bước 3: Cuối cùng, client hoàn tất việc bắt tay ba lần bằng cách hồi âm lại gói tin chứa ACK cho server và tiến hành kết nối. Hình 3: SYN attack Do TCP là thủ tục tin cậy trong việc giao nhận (end-to-end) nên trong lần bắt tay thứ hai, server gửi các gói tin SYN/ACK trả lời lại client mà không nhận lại được hồi âm của client để thực hiện kết nối thì nó vẫn bảo lưu nguồn tài nguyên chuẩn bị kết nối đó và lập lại việc gửi gói tin SYN/ACK cho client đến khi nào nhận được hồi đáp của máy client. Điểm mấu chốt là ở đây là làm cho client không hồi đáp cho Server. Và có hàng nhiều, nhiều client như thế trong khi server vẫn “ngây thơ” lặp lại việc gửi packet đó và giành tài nguyên để chờ “người về” trong lúc tài nguyên của hệ thống là có giới hạn! Các hacker tấn công sẽ tìm cách để đạt đến giới hạn đó. Nếu quá trình đó kéo dài, server sẽ nhanh chóng trở nên quá tải, dẫn đến tình trạng crash (treo) nên các yêu cầu hợp lệ sẽ bị từ chối không thể đáp ứng được 2.1.1.b Flood Attack Một kiểu tấn công DoS nữa cũng rất hay được dùng vì tính đơn giản của nó và vì có rất nhiều công cụ sẵn có hỗ trợ đắc lực cho kẻ tấn công là Flood Attack, chủ yếu thông qua các website. 9 Về nguyên tắc, các website đặt trên máy chủ khi chạy sẽ tiêu lượng tài nguyên máy chủ nhất định, nhất là lượng bộ nhớ (RAM) và bộ vi xử lý (CPU). Dựa vào việc tiêu hao đó, những kẻ tấn công đơn giản là dùng các phần mềm như smurf chẳng hạn để liên tục yêu cầu máy chủ phục vụ trang web đó để chiếm dụng tài nguyên. Cách tấn công này tuy không làm máy chủ ngừng cung cấp dịch vụ hoàn toàn nhưng sẽ làm cho tốc độ phục vụ của toàn bộ hệ thống giảm mạnh, người dùng sẽ cảm nhận rõ ràng việc phải chờ lâu hơn để trang web hiện ra trên màn hình. Nếu thực hiện tấn công ồ ạt và có sự phối hợp nhịp nhàng, phương thức tấn công này hoàn toàn có thể làm tê liệt máy chủ trong một thời gian dài. 2.1.1.c Tấn công bằng gói dị hình: Tấn công dạng này attacker sẽ yêu cầu zombie gửi những gói IP có hình thức không đúng đến máy victim. Có 2 loại tấn công theo phương pháp này. Thứ nhất, những gói này có địa chỉ nguồn và địa chỉ đích giống nhau. Nó làm cho hệ điều hành bị đảo lộn và sụp đổ (Land Attack). Thứ 2 là thiết lập tất cả các trường chất lượng dịch vụ trong gói IP bằng 1 để hệ thống nạn nhân phải tốn nhiều thời gian để phân tích gói (Teardrop Attack). Nếu như agent gửi nhiều gói IP theo phương pháp tấn công này, hệ thống victim phải xử lý nhiều, kết quả là nó shut down 2.1.2 Tấn công chiếm dụng băng thông (Bandwidth Depletion): Có 2 loại tấn công chính: - Thứ nhất là làm ngập bằng cách gửi liên tục các gói tin có kích thước lớn đến hệ thống nạn nhân, làm nghẽn băng thông nạn nhân - Thứ hai là sử dụng mạng khuếch đại, attacker hay zombie gửi thông 10 [...]... lập tài liệu đánh giá phân tích rủi ro có thể sảy ra đối với các ứng dụng của tổ chức khi bị tấn công từ chối dịch vụ Kết quả của sự phân tích này sẽ bao gồm một ản danh sách các ứng dụng, và phương pháp bảo vệ các ứng dụng này như thế nào Rủi ro là mặt đối lập của bảo mật nên chúng ta thường cố gắng loại trừ nó Tuy nhiên, thực tế cho thấy các rủi ro không bao giờ loại trừ hết được Các chính sách chống. .. mục tiêu nhanh chóng bị quá tải, bandwidth bị chiếm dụng bởi server lớn Tính “nghệ thuật” là ở chỗ chỉ 22 cần với một máy tính với modem 56kbps, một hacker lành nghề có thể đánh bại bất cứ máy chủ nào trong giây lát mà không cần chiếm đoạt bất cứ máy nào để làm phương tiện thực hiện tấn công CHƯƠNG 2: CHÍNH SÁCH AN NINH FIREWALL CHỐNG LẠI TẤN CÔNG TỪ CHỐI DỊCH VỤ Trước khi thiết lập chính sách cho tường... mạng tấn công DDOS 16 2.2.1 Các giai đoạn của một cuộc tấn công kiểu DDoS Bao gồm 3 giai đoạn: 2.2.1.a Giai đoạn chuẩn bị: - Chuẩn bị công cụ quan trọng của cuộc tấn công, công cụ này thông thường hoạt động theo mô hình client-server Hacker có thể viết phần mềm này hay down load một cách dễ dàng, theo thống kê tạm thời có khoảng hơn 10 công cụ DDoS được cung cấp miễn phí trên mạng (các công cụ này sẽ... Nếu máy chủ bị tấn công dồn dập và TIME_WAIT trở nên quá nhiều thì máy chủ có thể bị hết tài nguyên (out of memory) mà gục ngã 24 - Stop Virus, Trojan Một công cụ mà bất cứ ai sử dụng ISA Server đều phải sử dụng nó, tìm trên net phần mềm mang tên là GFI’s DownloadSecurity Đặc điểm chính của công cụ này, nó được tích hợp vào ISA Firewall và nó ngăn chặn các tập tin tự chạy exe, kiểm soát các tập tin được... được download từ Internet dzìa, kiểm tra ActiveX trong trình duyệt và đưa ra cảnh báo cho các user (http://www.isaserver.org/tutorials/downloadsecurity.html ) Hoặc sử dụng công cụ từ các hảng bảo mật như BitDefender for ISA, Symantec AntiVirus for ISA Server, Những kẻ tấn công có thể lợi dụng virus hay trojan này để điều khiển các máy trong mạng làm zombie để thực hiện tấn công DDOS Khi tấn công sảy ra... - Ngăn chặn các Web xxx và có nguy cơ chứa nhiều mã độc Đối với các ứng dụng sử dụng hệ điều hành Windows Server nên download công cụ UrlScan, nó tạo ra một bộ lọc tên là ISAPI trên hệ thống và nó phân tích các gói tin đến ISA và nếu OK thì nó accept và not Ok thì drop - Khi bị tấn công thì có thể chặn IP đó không cho giao tiếp với server đó nữa 25 KẾT LUẬN Nhìn chung, tấn công từ chối dịch vụ không... phải làm và chuẩn bị để kiểm soát được DDOS Chúng ta phải có những bước đi cụ thể & mạnh mẽ hơn để cùng khống chế loại hình tấn công nay 26 KẾT QUẢ THU ĐƯỢC VÀ PHƯƠNG HƯỚNG PHÁT TRIỂN - Hiểu rõ bản chất, sự nguy hại của tấn công từ chối dịch vụ - Đối với tấn công DDOS với sự tham gia của nhiều máy tính Người quản trị sẽ phải cấu hình Firewall chặn nhiều IP một cách thủ công dẫn tới không hiệu quả và có... quả và có thể là tự từ chối dịch vụ của chính mình.Nên phương hướng phát triển tiếp theo là kết hợp giữa IDS đưa ra hành động và giới hạn thời gian chặn và Firewall thực hiện tạo thành IPS 27 TÀI LIỆU THAM KHẢO [1] DoS và DDoS toàn tập http://vnexperts.net/bai-viet-ky-thuat/security/664-dos-va-ddos-toan-tp-phn-i.html [2] Distributed Reflection Denial of Service - Tấn công từ chối dịch vụ bằng phương... đoạn này 2.2.1.b Giai đoạn xác định mục tiêu và thời điểm: - Sau khi xác định mục tiêu lấn cuối, hacker sẽ có hoạt động điều chỉnh attack-netword chuyển hướng tấn công về phía mục tiêu - Yếu tố thời điểm sẽ quyết định mức độ thiệt hại và tốc độ đáp ứng của mục tiêu đối với cuộc tấn công 2.2.1.c Phát động tấn công và xóa dấu vết: Đúng thời điểm đã định, hacker phát động tấn công từ máy của mình, lệnh tấn. .. bị giả mạo là dịch vụ hồi đáp (echo service, port 7 trên Unix) của máy victim để nó tạo ra một vòng lặp vô hạn Mỗi một hệ thống trên sẽ sinh ra một ký tự gửi đến dịch vụ hồi đáp trong máy victim, victim sẽ trả về một gói hồi đáp đến character generator, và cứ tiếp tục lặp lại như vậy Loại tấn công này thậm chí cón nguy hiểm hơn Smurf 2.2 Tấn công từ chối dịch vụ phân tán (DDoS): Tấn công DDoS là một . MÃ KHOA CÔNG NGHỆ THÔNG TIN ĐỀ TÀI FIREWALL Tìm hiểu tấn công từ chối dịch vụ(DOS và DDOS) và các chính sách an ninh FW chống tấn công này MỤC LỤC 1 ĐỀ TÀI FIREWALL 1 CHƯƠNG 1: TỔNG QUAN VỀ TỪ CHỐI. TỔNG QUAN VỀ TỪ CHỐI DỊCH VỤ VÀ CÁCH PHÒNG CHỐNG 1. Tổng quan về tấn công từ chối dịch vụ: 1.1 Khái Niệm về tấn công từ chối dịch vụ: 1.1.1 Giới thiệu về DoS - Tấn công DoS là một kiểu tấn công. dịch vụ: 2.1 Tấn công từ chối dịch vụ (DoS): Là phương thức xuất hiện đầu tiên, giản đơn nhất trong kiểu tấn công từ chối dịch vụ .Các kiểu tấn công thuộc phương thức này rất đa dạng: 2.1.1 Tấn