Kiến trúc có tên WebSOS, với thành phần chính là mạng bao phủ bảo vệ làm nhiệm vụ kiểm tra và định tuyến toàn bộ yêu cầu từ người sử dụng tới server đích, với mục tiêu chỉ cho phép các yêu cầu hợp lệ tới đích sau khi vượt qua yêu cầu xác thực. Mặc dù khá thành công trong việc phân biệt luồng dữ liệu giữa người dùng hợp lệ và không hợp lệ. Kiến trúc lại tỏ ra bất lực khi một hoặc một số các node trong mạng bao phủ bị chiếm dụng trở thành node gây hại và tấn công mạng. Luận văn đã thực hiện các cải tiến, để có thể phát hiện tình huống node gây hại tấn công và tự động chuyển hướng truy vấn để tránh khỏi sự tấn công gây hại.
Đồ án tốt nghiệp đại học Phòng chống tấn công từ chối dịch vụ TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI VIỆN ĐIỆN TỬ - VIỄN THÔNG ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Đề tài: XÂY DỰNG VÀ CẢI TIẾN KIẾN TRÚC MẠNG BAO PHỦ TRONG PHÒNG CHỐNG TẤN CÔNG TỪ CHỐI DỊCH VỤ PHÂN TẤN VÀO CÁC WEBSITE Sinh viên thực hiện : HOÀNG THANH HÙNG Lớp : ĐIỆN TỬ 9 – K52 Giảng viên hướng dẫn : TS. TRẦN MINH TRUNG Cán bộ phản biện : Hà Nội, 6-2012 BỘ GIÁO DỤC VÀ ĐÀO TẠO CỘNG HÒA XÃ HÔI CHỦ NGHĨA VIỆT NAM Hoàng Thanh Hùng – ĐT9 -K52 Trang 1 Đồ án tốt nghiệp đại học Phòng chống tấn công từ chối dịch vụ TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI Độc lập - Tự do - Hạnh phúc NHIỆM VỤ ĐỒ ÁN TỐT NGHIỆP Họ và tên sinh viên: .…………….………….…… Số hiệu sinh viên: ……………… Khoá:…………………….Khoa: Điện tử - Viễn thông Ngành: ……………… 1. Đầu đề đồ án: ……………………………………………… …………………………………………………………………………………………… ……………………………………… 2. Các số liệu và dữ liệu ban đầu: …………………………………… …………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… ……… 3. Nội dung các phần thuyết minh và tính toán: …………………………………………………………………………………………… ………………… …. …………………………………………………………………………………………… ……………………………………… …. …………………………………………………………………………… 4. Các bản vẽ, đồ thị ( ghi rõ các loại và kích thước bản vẽ ): Hoàng Thanh Hùng – ĐT9 -K52 Trang 2 Đồ án tốt nghiệp đại học Phòng chống tấn công từ chối dịch vụ …………………………………………………………………………………………… ………………………… …. …………………………………………………………………………………………… …………………………… ……….…………………… 5. Họ tên giảng viên hướng dẫn: ……………………………………………………… 6. Ngày giao nhiệm vụ đồ án: ………………………………………………….……………… 7. Ngày hoàn thành đồ án: …………………………………………………………… Ngày tháng năm Chủ nhiệm Bộ môn Giảng viên hướng dẫn Sinh viên đã hoàn thành và nộp đồ án tốt nghiệp ngày tháng năm Cán bộ phản biện Hoàng Thanh Hùng – ĐT9 -K52 Trang 3 Đồ án tốt nghiệp đại học Phòng chống tấn công từ chối dịch vụ BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI BẢN NHẬN XÉT ĐỒ ÁN TỐT NGHIỆP Họ và tên sinh viên: Số hiệu sinh viên: Ngành: Khoá: Giảng viên hướng dẫn:………………………………………………………………… Cán bộ phản biện: 1. Nội dung thiết kế tốt nghiệp: 2. Nhận xét của cán bộ phản biện: Hoàng Thanh Hùng – ĐT9 -K52 Trang 4 Đồ án tốt nghiệp đại học Phòng chống tấn công từ chối dịch vụ Ngày tháng năm Cán bộ phản biện ( Ký, ghi rõ họ và tên ) Hoàng Thanh Hùng – ĐT9 -K52 Trang 5 Đồ án tốt nghiệp đại học Phòng chống tấn công từ chối dịch vụ MỤC LỤC LỜI NÓI ĐẦU Em xin chân thành cảm ơn các thầy cô giáo trong trường Đại học Bách Khoa Hà Nội đã tận tình giúp đỡ và truyền đạt kiến thức cho em trong suốt 5 năm học qua để em có đủ kiến thức hoàn thành luận án tốt nghiệp này. Hoàng Thanh Hùng – ĐT9 -K52 Trang 6 Đồ án tốt nghiệp đại học Phòng chống tấn công từ chối dịch vụ Đặc biệt, em xin gửi lời cảm ơn sâu sắc tới thầy Trần Minh Trung – người đã nhiệt tình động viên, định hướng em trong quá trình định hình, nghiên cứu và hoàn thành luận văn. Đồng thời, em xin cảm ơn sự nhiệt tình chia sẻ kinh nghiệm, đóng góp ý kiến hướng dẫn của anh Nguyễn Duy Hiếu – trưởng nhóm Hệ thống của công ty cổ phần và phát triển công nghệ An Minh. Nhờ sự chỉ bạo tận tình của anh, em đã bổ sung được các kiến thức còn thiếu sót trong quá trình hoàn thành luận văn tốt nghiệp. Mặc dù đã rất cố gắng hoàn thành luận văn này, xong sẽ khó tránh khỏi những thiếu sót, kính mong quý thầy cô tận tình chỉ bảo giúp em. Một lần nữa em xin cảm ơn tất cả mọi người. Hà Nội, ngày 15/6/2012 Hoàng Thanh Hùng Hoàng Thanh Hùng – ĐT9 -K52 Trang 7 Đồ án tốt nghiệp đại học Phòng chống tấn công từ chối dịch vụ TÓM TẮT LUẬN VĂN Ngày nay, sự bùng nổ của Internet đã đem lại cho con người rất nhiều lợi ích. Internet làm cho giao tiếp giữa mọi người trở nên dễ dàng hơn, hiệu quả công việc cũng được gia tăng đáng kể. Tuy nhiên, bên cạnh những lợi ích đó, con người lại phải đối mặt với nhiều vấn đề nguy hiểm mà Internet mang lại, đặc biệt là các hình thức tấn công thông qua Internet với hình thức tấn công phổ biến nhất hiện nay chính là tấn công từ chối dịch vụ (DoS). Theo thời gian, với kiến thức ngày càng được nâng cao, các hình thức tấn công từ chối dịch vụ (DoS) cũng trở nên tinh vi và phức tạp hơn rất nhiều. Sẽ là rất khó khăn cho giới quản trị mạng và bảo mật trong nhiệm vụ phát hiện và phòng chống lại tấn công DoS, đặc biệt là các hệ thống nhỏ và vừa chỉ phục vụ một số lượng giới hạn người sử dụng. Chính vì lẽ đó, trong luận văn này em sẽ trình bày một kiến trúc phòng chống tấn công từ chối dịch vụ để giải quyết vấn đề trên. Kiến trúc có tên WebSOS, với thành phần chính là mạng bao phủ bảo vệ làm nhiệm vụ kiểm tra và định tuyến toàn bộ yêu cầu từ người sử dụng tới server đích, với mục tiêu chỉ cho phép các yêu cầu hợp lệ tới đích sau khi vượt qua yêu cầu xác thực. Mặc dù khá thành công trong việc phân biệt luồng dữ liệu giữa người dùng hợp lệ và không hợp lệ. Kiến trúc lại tỏ ra bất lực khi một hoặc một số các node trong mạng bao phủ bị chiếm dụng trở thành node gây hại và tấn công mạng. Luận văn đã thực hiện các cải tiến, để có thể phát hiện tình huống node gây hại tấn công và tự động chuyển hướng truy vấn để tránh khỏi sự tấn công gây hại. ABSTRACT Nowadays, with the Internet explosion bring to human many benefits. It make human in all over the word can communicate together easily, work more effectively. Hoàng Thanh Hùng – ĐT9 -K52 Trang 8 Đồ án tốt nghiệp đại học Phòng chống tấn công từ chối dịch vụ Besides that, the Internet is also an object of many attacks and one type of attack that many current attackers using is Dos (Denial of service) attack. Moreover, with the development of information, programs, there are more sophisticated methods that attacker using to attack victim and it hard to detect and defense again attack with limited infrastructure especially in small and medium system. So that SOS and WebSOS has been developed to address this problem. WebSOS architecture consist of an overlay network that will check all requests sent to server, and only valid requests that pass captcha test are able to go to server. WebSOS is a good system for distinguish request from legitimate user and zombie. However,the standard WebSOS architecture assume that all nodes in system are safe and work right. The system will be in challenging if some nodes in the overlay network are become malicious nodes under the control of attackers. Therefore, the thesis will mention about improvement that be able to detect, remove malicious nodes to guarantee query from real user can go to server. DANH MỤC HÌNH VẼ Hoàng Thanh Hùng – ĐT9 -K52 Trang 9 Đồ án tốt nghiệp đại học Phòng chống tấn công từ chối dịch vụ THUẬT NGỮ VIẾT TẮT STT Từ viết tắt Tên đầy đủ 01 DoS Denial of Service 02 PoD Ping of Death 03 ACK Acknowledgment 04 SYN Synchronize 05 UDP User Datagram Protocol 06 ICMP Internet Control Message Protocol 07 RST Reset Field 08 ISP Internet Service Provider 09 DNS Domain Name System 10 HTTP Hypertext Transfer Protocol 11 DDoS Distributed Denial of Service 12 DRDoS Distributed Reflection Denial of Service 13 IRC Internet Relay Chat 14 SSL Sercure Sockets Layer 15 TCP Transmission Control Protocol 16 ADSL Asymmetric Digital Subscriber Line 17 ADS Alternate Data Stream 18 NTFS New Technology File System 19 ACC Aggregate-Based Congestion Control 20 DSL Digital Subscriber Line 21 TTL Time to Live 22 SOAP Sercure Overlay Access Point 23 SOS Sercure Overlay Servcice 24 DHT Distributed Hash Table 25 P2P Peer to Peer Hoàng Thanh Hùng – ĐT9 -K52 Trang 10 [...]... niệm tấn công từ chối dịch vụ phân tán (DDoS) , các mô hình triển khai tấn công DDoS • Chương 3: Các mô hình phòng chống tấn công DDoS đã được sử dụng • Chương 4: SOS và WebSOS, giới thiệu về cơ chế của hai kiến trúc bảo vệ Website khỏi tấn công từ chối dịch vụ thông qua việc sử dụng mạng bao phủ và node bí mật • Chương 5: Mô phỏng hệ thống thực nghiệm trên mô hình máy ảo Đề xuất các kịch bản tấn công. .. địa chỉ Hoàng Thanh Hùng – ĐT9 -K52 Trang 26 Đồ án tốt nghiệp đại học Phòng chống tấn công từ chối dịch vụ nguồn đó Tuy nhiên một mạng Botnet bao gồm từ hàng nghìn tới vài trăm nghìn địa chỉ IP trên Internet và điều đó là vô cùng khó khăn để ngăn chặn tấn công 2.2 Các mô hình tấn công DDoS 2.2.1 Mô hình Agent-Handler Hình Mô hình Agent-Handler Trong mô hình attack network trên bao gồm 3 thành phần:... khác trên hệ thống đáp ứng yêu cầu của kẻ tấn công - Chạy những chương trình DDoS tấn công hệ thống khác Hoàng Thanh Hùng – ĐT9 -K52 Trang 34 Đồ án tốt nghiệp đại học Phòng chống tấn công từ chối dịch vụ Hình Sơ đồ lây nhiễm Agobot hình thành mạng BOTNET đối với người dùng cuối CHƯƠNG 3 CÁC BIỆN PHÁP PHÒNG CHỐNG DDoS TRUYỀN THỐNG Ngay sau khi các cuộc tấn công quy mô lớn đầu tiên, nhiều nghiên cứu đã được... môi trường file sharing tạo điều kiện phát tán các Agent code lên nhiều máy khác 2.3 Phân loại tấn công DDoS Nhìn chung, có rất nhiều biến thể của kỹ thuật tấn công DDoS nhưng nếu nhìn dưới góc độ chuyên môn thì có thể chia các biến thể này thành hai loại dựa trên mụch đích tấn công: Làm cạn kiệt băng thông và làm cạn kiệt tài nguyên hệ thống Dưới đây là sơ đồ mô tả sự phân loại các kiểu tấn công DDoS. .. ra cải tiến giúp hệ thống trở lên mạnh mẽ hơn chống lại các cuộc tấn công ngay từ trong các node thuộc mạng bao phủ khi một số node bị chiếm dụng trở thành nguồn tấn công CHƯƠNG 1 TẤN CÔNG DoS (DENIAL OF SERVICE) 1.1 Định nghĩa tấn công từ chối dịch vụ - DoS Attack Là phương thức tấn công từ chối dịch vụ xuất hiện đầu tiên, giản đơn nhất, cổ điển nhất trong kiểu tấn công từ chối dịch vụ Về cơ bản, tấn. .. bản, tấn công từ chối dịch vụ (Denial Of Services Attack) chỉ là tên gọi chung của cách tấn công làm cho một hệ thống nào đó bị Hoàng Thanh Hùng – ĐT9 -K52 Trang 13 Đồ án tốt nghiệp đại học Phòng chống tấn công từ chối dịch vụ quá tải không thể cung cấp dịch vụ Tấn công DoS [2] là tấn công ngăn cản người dùng hợp pháp sử dụng tài nguyên được chỉ định như dịch vụ Web, mạng hoặc máy chủ Người tấn công cố... SYN ACK không thể đi đến đích do địa chỉ IP nguồn là không có thật Kiểu tấn công SYN flood được các attacker áp dụng để tấn công một hệ thống mạng có băng thông lớn hơn hệ thống của attacker Hình Kiểu tấn công SYN Flood Hoàng Thanh Hùng – ĐT9 -K52 Trang 21 Đồ án tốt nghiệp đại học 1.3.2 Phòng chống tấn công từ chối dịch vụ Tấn công kiểu UDP flood Phá hoại dựa trên tính giới hạn không thể phục hồi của... nghĩa tấn công DDoS Là một dạng tấn công DoS, kẻ tấn công thực hiện hành vi tấn công của mình từ nhiều máy tính mà hắn có thể kiểm soát tới cùng một đích Như vậy các gói tin trong Hoàng Thanh Hùng – ĐT9 -K52 Trang 25 Đồ án tốt nghiệp đại học Phòng chống tấn công từ chối dịch vụ được gửi tới đích xuất phát từ nhiều máy tính khác nhau phân tán trong mạng internet Tấn công DDoS [2] làm hệ thống từ chối các... dụng một hệ thống mạng Bot trên Internet thực hiện tấn công DoS và đó được gọi là tấn công DDoS 2.1.2 Tấn công DDoS không thể ngăn chặn hoàn toàn Các dạng tấn công DDoS thực hiện tìm kiếm các lỗ hổng bảo mật trên các máy tính kết nối tới Internet và khai thác các lỗ hổng bảo mật để xây dựng mạng Botnet gồm nhiều máy tính kết nối tới Internet Một tấn công DDoS được thực hiện sẽ rất khó để ngăn chặn hoàn... phủ có thể bị tấn công để sẵn sàng được thay thế bằng các SOAP khác, giúp cho Website được bảo vệ và hạn chế tối đa tác động của các cuộc tấn công Ngoài phần mởi đầu, luận văn của em bao gồm các chương: Hoàng Thanh Hùng – ĐT9 -K52 Trang 12 Đồ án tốt nghiệp đại học • Phòng chống tấn công từ chối dịch vụ Chương 1: Khái niệm tấn công từ chối dịch vụ (DoS), các phương thức và một số dạng tấn công DoS phổ . : HOÀNG THANH HÙNG Lớp : ĐIỆN TỬ 9 – K52 Giảng viên hướng dẫn : TS. TRẦN MINH TRUNG Cán bộ phản biện : Hà Nội, 6-2012 BỘ GIÁO DỤC VÀ ĐÀO TẠO CỘNG HÒA XÃ HÔI CHỦ NGHĨA VIỆT NAM Hoàng Thanh Hùng. bảo giúp em. Một lần nữa em xin cảm ơn tất cả mọi người. Hà Nội, ngày 15/6/2012 Hoàng Thanh Hùng Hoàng Thanh Hùng – ĐT9 -K52 Trang 7 Đồ án tốt nghiệp đại học Phòng chống tấn công từ chối dịch. Hoàng Thanh Hùng – ĐT9 -K52 Trang 4 Đồ án tốt nghiệp đại học Phòng chống tấn công từ chối dịch vụ Ngày tháng năm Cán bộ phản biện ( Ký, ghi rõ họ và tên ) Hoàng Thanh