Đồ án phòng chống tấn công DDoS qua mô hình cải tiến SOS WebSOS

Kiến trúc có tên WebSOS, với thành phần chính là mạng bao phủ bảo vệ làm nhiệm vụ kiểm tra và định tuyến toàn bộ yêu cầu từ người sử dụng tới server đích, với mục tiêu chỉ cho phép các yêu cầu hợp lệ tới đích sau khi vượt qua yêu cầu xác thực. Mặc dù khá thành công trong việc phân biệt luồng dữ liệu giữa người dùng hợp lệ và không hợp lệ. Kiến trúc lại tỏ ra bất lực khi một hoặc một số các node trong mạng bao phủ bị chiếm dụng trở thành node gây hại và tấn công mạng. Luận văn đã thực hiện các cải tiến, để có thể phát hiện tình huống node gây hại tấn công và tự động chuyển hướng truy vấn để tránh khỏi sự tấn công gây hại.

TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI

VIỆN ĐIỆN TỬ - VIỄN THÔNG

TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI

-Độc lập - Tự do - Hạnh phúc

-NHIỆM VỤ ĐỒ ÁN TỐT NGHIỆP Họ và tên sinh viên: ……….………….…… Số hiệu sinh viên: ………

Khoá:……….Khoa: Điện tử - Viễn thông Ngành: ………

1. Đầu đề đồ án: ………

………

………

2. Các số liệu và dữ liệu ban đầu: ……… ………

………

………

………

3. Nội dung các phần thuyết minh và tính toán: ………

……… …

………

……… …

………

4. Các bản vẽ, đồ thị ( ghi rõ các loại và kích thước bản vẽ ):

……… …

………

……… ……….………

5. Họ tên giảng viên hướng dẫn: ………

6. Ngày giao nhiệm vụ đồ án: ……….………

7. Ngày hoàn thành đồ án: ………

Ngày tháng năm

Sinh viên đã hoàn thành và nộp đồ án tốt nghiệp ngày tháng năm

Cán bộ phản biện

BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI

-BẢN NHẬN XÉT ĐỒ ÁN TỐT NGHIỆP Họ và tên sinh viên: Số hiệu sinh viên:

Ngành: Khoá:

Giảng viên hướng dẫn:………

Cán bộ phản biện:

1. Nội dung thiết kế tốt nghiệp:

2. Nhận xét của cán bộ phản biện:

Ngày tháng năm

Cán bộ phản biện

( Ký, ghi rõ họ và tên )

MỤC LỤC

LỜI NÓI ĐẦU

Em xin chân thành cảm ơn các thầy cô giáo trong trường Đại học Bách Khoa Hà Nội đã tận tình giúp đỡ và truyền đạt kiến thức cho em trong suốt 5 năm học qua để em

có đủ kiến thức hoàn thành luận án tốt nghiệp này

Đặc biệt, em xin gửi lời cảm ơn sâu sắc tới thầy Trần Minh Trung – người đã nhiệt tình động viên, định hướng em trong quá trình định hình, nghiên cứu và hoàn thành luận văn.

Đồng thời, em xin cảm ơn sự nhiệt tình chia sẻ kinh nghiệm, đóng góp ý kiến hướng dẫn của anh Nguyễn Duy Hiếu – trưởng nhóm Hệ thống của công ty cổ phần và phát triển công nghệ An Minh Nhờ sự chỉ bạo tận tình của anh, em đã bổ sung được các kiến thức còn thiếu sót trong quá trình hoàn thành luận văn tốt nghiệp

Mặc dù đã rất cố gắng hoàn thành luận văn này, xong sẽ khó tránh khỏi những thiếu sót, kính mong quý thầy cô tận tình chỉ bảo giúp em Một lần nữa em xin cảm ơn tất cả mọi người

Hà Nội, ngày 15/6/2012Hoàng Thanh Hùng

TÓM TẮT LUẬN VĂN

Ngày nay, sự bùng nổ của Internet đã đem lại cho con người rất nhiều lợi ích Internet làm cho giao tiếp giữa mọi người trở nên dễ dàng hơn, hiệu quả công việc cũng được gia tăng đáng kể Tuy nhiên, bên cạnh những lợi ích đó, con người lại phải đối mặt với nhiều vấn đề nguy hiểm mà Internet mang lại, đặc biệt là các hình thức tấn công thông qua Internet với hình thức tấn công phổ biến nhất hiện nay chính là tấn công từ chối dịch vụ (DoS) Theo thời gian, với kiến thức ngày càng được nâng cao, các hình thức tấn công từ chối dịch vụ (DoS) cũng trở nên tinh vi và phức tạp hơn rất nhiều Sẽ là rất khó khăn cho giới quản trị mạng và bảo mật trong nhiệm vụ phát hiện và phòng chống lại tấn công DoS, đặc biệt là các hệ thống nhỏ và vừa chỉ phục vụ một số lượng giới hạn người sử dụng Chính vì lẽ đó, trong luận văn này em sẽ trình bày một kiến trúc phòng chống tấn công từ chối dịch vụ để giải quyết vấn đề trên Kiến trúc có tên WebSOS, với thành phần chính là mạng bao phủ bảo vệ làm nhiệm vụ kiểm tra và định tuyến toàn bộ yêu cầu từ người sử dụng tới server đích, với mục tiêu chỉ cho phép các yêu cầu hợp lệ tới đích sau khi vượt qua yêu cầu xác thực Mặc dù khá thành công trong việc phân biệt luồng dữ liệu giữa người dùng hợp lệ và không hợp lệ Kiến trúc lại tỏ ra bất lực khi một hoặc một số các node trong mạng bao phủ bị chiếm dụng trở thành node gây hại và tấn công mạng Luận văn đã thực hiện các cải tiến, để có thể phát hiện tình huống node gây hại tấn công và tự động chuyển hướng truy vấn để tránh khỏi sự tấn công gây hại

ABSTRACT

Nowadays, with the Internet explosion bring to human many benefits It make human in all over the word can communicate together easily, work more effectively

Besides that, the Internet is also an object of many attacks and one type of attack that many current attackers using is Dos (Denial of service) attack Moreover, with the development of information, programs, there are more sophisticated methods that attacker using to attack victim and it hard to detect and defense again attack with limited infrastructure especially in small and medium system So that SOS and WebSOS has been developed to address this problem WebSOS architecture consist of an overlay network that will check all requests sent to server, and only valid requests that pass captcha test are able to go to server WebSOS is a good system for distinguish request from legitimate user and zombie However,the standard WebSOS architecture assume that all nodes in system are safe and work right The system will be in challenging if some nodes in the overlay network are become malicious nodes under the control of attackers Therefore, the thesis will mention about improvement that be able to detect, remove malicious nodes to guarantee query from real user can go to server.

DANH MỤC HÌNH VẼ

THUẬT NGỮ VIẾT TẮT

STT Từ viết tắt Tên đầy đủ

06 ICMP Internet Control Message Protocol

10 HTTP Hypertext Transfer Protocol

11 DDoS Distributed Denial of Service

12 DRDoS Distributed Reflection Denial of Service

16 ADSL Asymmetric Digital Subscriber Line

22 SOAP Sercure Overlay Access Point

26 TLS Transport Layer Sercurity

28 CAPTCHA Completely Automated Public Turing test to tell Computers

and Human Apart

35 UMAC Universe Message Access Control

MỞ ĐẦU

Tấn công từ chối dịch vụ (Denial of Services) đã ngày càng trở thành một mối đe dọa lớn đối với sự tin cậy của mạng Internet Là các cuộc tấn công sử dụng nhiều cách thức tổ chức và thực hiện khác nhau, từ việc dùng chỉ một máy tới việc thu thập các máy agent dưới quyền với số lượng lên đến hàng chục ngàn máy phục vụ tấn công, mục đích của các cuộc tấn công là làm tê liệt các ứng dụng, máy chủ, toàn bộ mạng lưới, hoặc làm gián đoạn kết nối của người dùng hợp pháp tới Website đích Có nhiều phương pháp đã được đề xuất nhằm chống lại các cuộc tấn công từ chối dịch vụ, từ việc lọc các gói tin để tránh giả mạo địa chỉ nguồn, chuyển hướng tấn công, đẩy ngược luồng giao thông tấn công trở lại mạng, cách ly để phân biệt máy khách và giao thông máy chủ, … Mỗi giải pháp đó đều rất tốt, và cung cấp kĩ thuật giúp chúng ta định vị vấn đề tấn công từ chối dịch vụ Tuy nhiên các phương pháp chỉ có thể bảo vệ từng khía cạnh của tấn công từ chối dịch vụ mà thôi Trong khóa luận này, em sẽ trình bày một kiến trúc phòng chống tấn công dịch vụ phân tán khá hiệu quả ở thời điểm hiện tại Áp dụng kiến trúc mạng phủ bảo vệ nhằm cách ly và bảo vệ mục tiêu khỏi sự tiếp cận của kẻ tấn công

Trong kiến trúc này, một nhóm các SOAP - Secure Overlay Access Point, sẽ thực hiện chức năng kiểm tra và phân biệt người truy cập với các chương trình độc hại của những kẻ tấn công, để đưa yêu cầu của người dùng hợp lệ đến các node bí mật trong mạng bao phủ bằng kết nối SSL thông qua mạng đó Sau đó các node bí mật sẽ chuyển tiếp yêu cầu người dùng qua một vùng lọc đến với Server đích Việc dùng các bộ lọc mạnh để lọc các yêu cầu độc hại gửi trực tiếp đến Server đích, chỉ cho phép các node bí mật được truy cập, cùng với việc sử dụng mạng bao phủ để che giấu các node bí mật, và nhóm các SOAP trong mạng bao phủ có thể bị tấn công để sẵn sàng được thay thế bằng các SOAP khác, giúp cho Website được bảo vệ và hạn chế tối đa tác động của các cuộc tấn công

Ngoài phần mởi đầu, luận văn của em bao gồm các chương:

• Chương 1: Khái niệm tấn công từ chối dịch vụ (DoS), các phương thức và một số dạng tấn công DoS phổ biến.

• Chương 2: Khái niệm tấn công từ chối dịch vụ phân tán (DDoS), các mô hình triển khai tấn công DDoS

• Chương 3: Các mô hình phòng chống tấn công DDoS đã được sử dụng

• Chương 4: SOS và WebSOS, giới thiệu về cơ chế của hai kiến trúc bảo vệ Website khỏi tấn công từ chối dịch vụ thông qua việc sử dụng mạng bao phủ và node bí mật

• Chương 5: Mô phỏng hệ thống thực nghiệm trên mô hình máy ảo Đề xuất các kịch bản tấn công và các phân tích nhằm đưa ra cải tiến giúp hệ thống trở lên mạnh mẽ hơn chống lại các cuộc tấn công ngay từ trong các node thuộc mạng bao phủ khi một số node bị chiếm dụng trở thành nguồn tấn công

CHƯƠNG 1 TẤN CÔNG DoS (DENIAL OF SERVICE)

1.1 Định nghĩa tấn công từ chối dịch vụ - DoS Attack

Là phương thức tấn công từ chối dịch vụ xuất hiện đầu tiên, giản đơn nhất, cổ điển nhất trong kiểu tấn công từ chối dịch vụ Về cơ bản, tấn công từ chối dịch vụ (Denial Of Services Attack) chỉ là tên gọi chung của cách tấn công làm cho một hệ thống nào đó bị

quá tải không thể cung cấp dịch vụ Tấn công DoS [2] là tấn công ngăn cản người dùng hợp pháp sử dụng tài nguyên được chỉ định như dịch vụ Web, mạng hoặc máy chủ Người tấn công cố tình ngăn chặn sự sẵn sàng của tài nguyên đến người dùng được xác thực của nó.

DoS có thể làm ngưng hoạt động của một máy tính, một mạng nội bộ, thậm chí cả một hệ thống mạng rất lớn Về bản chất thực sự của DoS, kẻ tấn công sẽ chiếm dụng một lượng lớn tài nguyên mạng như băng thông, bộ nhớ… và làm mất khả năng xử lý các yêu cầu dịch vụ từ các client khác.và có thể nhanh chóng bị ngừng hoạt động, crash hoặc reboot

1.2 Phương thức tấn công từ chối dịch vụ

Tạo ra cuộc tấn công DoS là tất cả các cách có thể để phá hỏng hoặc làm cho hệ thống ngừng hoạt động Có nhiều cách để làm một hệ thống ngừng hoạt động, và thường

sẽ tồn tại nhiều lỗ hổng trong hệ thống để những kẻ tấn công sẽ cố gắng khai thác hoặc định vị để tấn công vào trong chúng cho đến khi kẻ tấn công nhận được kết quả mong muốn: mục tiêu bị phải chuyển sang trạng thái offline

1.2.1 Khai thác các điểm yếu của mục tiêu

Việc tấn công bằng cách khai thác các điểm yếu của mục tiêu bao gồm việc gửi các gói tin khai thác các lỗ hổng tồn tại trong máy mục tiêu đó Ví dụ, có một lỗi trong Windows 95 và NT, và một số phiên bản nhân Linux, trong việc xử lý không đúng các gói phân mảnh Thông thường, khi một gói tin quá lớn cho một mạng nào đó, nó được chia thành hai (hoặc hơn) các gói nhỏ hơn, và mỗi phần trong số họ được đánh số thứ tự phân mảnh Việc đánh dấu chỉ ra thứ tự của byte đầu tiên và byte cuối cùng trong gói tin, đối với bản gốc Tại máy nhận các gói tin, chúng được hợp lại thành các gói dữ liệu gốc thông qua việc nối các gói tin theo số thứ tự đã đánh Tuy vậy các lỗ hổng trong nhân trên

đã khiến cho máy trở nên không ổn định khi nhận các gói tin không đúng số thứ tự phân mảnh, khiến nó có thể treo, sụp đổ, hoặc khởi động lại Điểm dễ bị tổn thương này có thể

được khai thác bằng cách gửi gói tin UDP với số thứ tự lặp cho nạn nhân Có một số biến thể của việc khai thác này – gửi các mảnh có số thứ tự chồng nhau, một gói tin có offset chồng lên gói thứ hai trước khi bắt đầu tiêu đề trong gói đầu tiên, và như vậy Chúng được biết đến như là các khai thác bonk, boink, teardrop, và newtear.

Các cuộc tấn công đặc biệt dễ gây tổn thương xấu bởi vì chúng có thể làm sụp đổ hay treo máy bằng việc chỉ cần gửi lặp lại một hoặc hai gói tin được chọn lựa cẩn thận Tuy nhiên, một khi lỗ hổng được vá, các cuộc tấn công ban đầu trở nên hoàn toàn không hiệu quả

1.2.2 Tấn công vào giao thức

Một ví dụ lý tưởng của các cuộc tấn công giao thức đó là tấn công tràn ngập gói TCP SYN Một phiên kết nối TCP bắt đầu với việc bắt tay ba bước giữa một máy khách

và máy chủ Khách hàng gửi một gói tin TCP SYN đến máy chủ, yêu cầu một số dịch

vụ Trong phần đầu gói SYN, khách hàng cung cấp số thứ tự - sequence number của mình, một uniqueper- số kết nối sẽ được sử dụng để đếm dữ liệu được gửi đến máy chủ (vì vậy các máy chủ có thể nhận ra và xử lý mất tích, thủ tiêu dữ liệu không đúng, hoặc

dữ liệu lặp đi lặp lại) Khi nhận được gói SYN, máy chủ cấp phát một khối điều khiển truyền dẫn (TCB), lưu trữ thông tin về khách hàng Sau đó nó trả lời bằng một SYN-ACK, thông báo cho khách hàng có yêu cầu rằng dịch vụ của nó sẽ được cấp, ghi nhận số thứ tự của khách hàng và gửi thông tin về số thứ tự ban đầu của máy chủ Các khách hàng, khi nhận được gói SYN-ACK, cũng cấp phát một khối điều khiển truyền dẫn, sau

đó trả lời với một gói ACK đến máy chủ, để hoàn thành việc mở kết nối

Tiềm năng lạm dụng nằm trong việc cấp phát nguồn tài nguyên của máy chủ ngay từ khi nhận được gói SYN Khi máy chủ giao TCB của mình và trả lời bằng một SYN-ACK, kết nối được cho là nửa mở Nghĩa là tài nguyên máy chủ cấp phát sẽ được giữ để dành cho kết nối với khách hàng, cho đến khi khách hàng gửi một gói tin ACK, đóng kết nối (bằng cách gửi gói tin RST) hoặc cho đến khi hết hạn chờ và server ngắt kết nối, giải phóng không gian đệm Và cho dù khách hàng có gửi lại gói tin khác, hay không, thì tài

nguyên đó sẽ được cấp phát giữ trong một khoảng thời gian nhất định Trong một cuộc tấn công tràn gói tin TCP SYN, kẻ tấn công tạo ra vô số các kết nối nửa mở bằng cách sử dụng giả mạo IP nguồn Những yêu cầu nhanh chóng vắt kiệt bộ nhớ TCB của máy chủ,

và khi đó máy chủ sẽ không còn có thể chấp nhận yêu cầu kết nối đến nữa Để có thể giữ cho tình trạng này được kéo dài như mong muốn, kẻ tấn công cần phải tạo ra một dòng đều đặn các gói SYN đối với nạn nhân (để giành lấy những tài nguyên đã được giải phóng bởi thời gian tạm ngưng hoặc hoàn thành các phiên TCP)

Đây là một cuộc tấn công đặc biệt nguy hiểm, khi mà máy chủ nhận được một số lượng lớn các gói SYN hợp pháp và không thể dễ dàng phân biệt các gói từ khách hàng hợp pháp với các gói từ giao thông tấn công

Để thực hiện thành công một cuộc tấn công tràn ngập gói SYN, kẻ tấn công cần xác định vị trí cổng mở trên máy của nạn nhân Sau đó, chỉ cần gửi một lưu lượng gói tin nhỏ, tầm 10 gói SYN/ phút là có thể dần dần vắt kiệt tài nguyên của nạn nhân Một kiểu tấn công SYN ít phổ biến hơn đó là tấn công tràn gói SYN với cổng ngẫu nhiên Trong đó,

kẻ tấn công tạo ra một khối lượng lớn các gói tin TCP SYN nhắm mục tiêu cổng ngẫu nhiên của nạn nhân, với mục tiêu áp đảo tài nguyên mạng của nạn nhân, hơn là làm đầy

bộ nhớ đệm của nạn nhân

Tấn công vào giao thức rất khó để có thể chống lại bằng phương pháp sửa chữa, tạo bản vá Bởi tạo bản vá yêu cầu phải thay đổi giao thức, trong khi thực tế cho thấy việc thay đổi giao thức internet gần như là bất khả thi Trong một số trường hợp, việc sử dụng giao thức hiện tại một cách thông minh có thể giải quyết vấn đề Như việc sử dụng TCP SYN cookies có thể giải quyết được tấn công tràn gói SYN mà chỉ cần thay đổi cách server xử lý kết nối đến

1.2.3 Tấn công vào Middleware

Các cuộc tấn công có thể được thực hiện trên các thuật toán, chẳng hạn như hàm băm mà thông thường sẽ thực hiện các hoạt động của mình trong thời gian tuyến tính cho

mỗi mục tiếp theo Bằng cách chèn các giá trị mà tạo ra các trường hợp xấu nhất, kẻ tấn công có thể khiến các ứng dụng thực hiện chức năng của mình trong thời gian tiếp theo hàm mũ đối với mỗi tham số nhập vào

Khi kẻ tấn công có thể tự do gửi dữ liệu được xử lý bằng cách sử dụng hàm băm dễ

bị tổn thương, hắn có thể gây ra việc CPU của máy chủ bị sử dụng quá năng lực khiến cho những hoạt động bình thường chỉ tốn vài phần của giây để xử lý, giờ phải mất vài phút để hoàn thành Và nó cũng không cần đến một số lượng lớn request để thực hiện cũng có thể làm quá tải các ứng dụng, khiến nó không còn năng lực để phục vụ được người dùng hợp pháp

1.2.4 Tấn công vào ứng dụng

Những kẻ tấn công có thể nhắm mục tiêu một ứng dụng cụ thể và gửi gói tin để đạt tới giới hạn của yêu cầu dịch vụ ứng dụng này có thể xử lý Ví dụ, các máy chủ web phải mất một thời gian nhất định để phục vụ yêu cầu trang Web bình thường, và do đó sẽ tồn tại một số hữu hạn các yêu cầu tối đa cho mỗi giây mà họ có thể duy trì Nếu chúng ta giả định rằng các máy chủ Web có thể xử lý 1.000 yêu cầu mỗi giây để tải các file tạo nên trang chủ của một công ty, do đó nhiều nhất là 1.000 yêu cầu của khách hàng có thể được

xử lý đồng thời Chúng ta giả định là máy chủ Web này bình thường xử lý hàng ngày là

100 yêu cầu / giây (một phần mười công suất)

Nhưng nếu kẻ tấn công điều khiển 10.000 máy agent, và có khả năng mỗi một máy trong số đó có thực hiện một yêu cầu mỗi 10 giây đến máy chủ Web Đó là tần suất 1.000 yêu cầu / giây, cộng thêm vào giả định giao thông bình thường nữa trở thành 110% công suất của máy chủ Bây giờ một phần lớn các yêu cầu hợp pháp sẽ không thể thông qua bởi vì máy chủ bị bão hòa

Cũng như các cuộc tấn công vào middleware, một cuộc tấn công ứng dụng có thể không làm tê liệt toàn bộ máy chủ lưu trữ hoặc xuất hiện như một số lượng lớn các gói

tin gửi tới server Vì vậy, một lần nữa, nhiều cách phòng thủ không thể giúp bảo vệ chống lại loại hình tấn công này.

1.2.5 Pure Flooding

Với một số lượng đủ lớn các agent, kẻ tấn công chỉ cần gửi bất kì loại gói tin nào đến mục tiêu, càng nhanh càng tốt từ mỗi máy là đủ tiêu thụ hết băng thông mạng của mục tiêu Đây được gọi là cuộc tấn công tiêu thụ băng thông Nạn nhân không thể một mình chống đỡ lại được cuộc tấn công này, vì các gói tin hợp pháp được gửi vào liên kết giữa nhà cung cấp dịch vụ và mạng của nạn nhân Vì vậy, nạn nhân thường phải yêu cầu

sự giúp đỡ của các ISP để lọc ra các gói tin tấn công gửi tới

Trong các trường hợp đó, thường các ISP cũng bị ảnh hưởng bởi cuộc tấn công, ít nhất là trên router kết nối giữa mạng của ISP và của nạn nhân Thường chính họ cũng cần phải lọc lại trên router và thậm chí còn phải yêu cầu nhà cung cấp đường truyền upstream lọc các giao thông đến mạng của họ Trong vài trường hợp, các gói tin tấn công là đơn giản để lọc như các gói tin UDP đến các cổng không được sử dụng, các gói tin với giá trị

IP 255 Ở trường hợp khác, các gói tin rất khó để lọc, như gói DNS query, HTTP request… thì việc lọc sẽ loại cả các gói tin hợp lệ, do đó sau khi lọc thì giao thông gửi tới khách hàng của nạn nhân sẽ trở về không, kẻ tấn công đạt được kết quả của tấn công DoS

1.2.6 IP Spoofing

Một chiến thuật được sử dụng trong các cuộc tấn công nguy hiểm, đặc biệt ở DDoS

đó là IP Spoofing, hay IP giả mạo Trong các gói tin mạng bình thường, trường tiêu đề sẽ

là nơi chứa địa chỉ IP của máy nguồn, địa chỉ máy đích Giả mạo IP diễn ra khi một phần mềm độc hại tạo ra các gói tin riêng và thay thế địa chỉ IP nguồn bằng một địa chỉ IP nào khác, thông qua việc tạo và thiết lập các raw socket, socket do người dùng định nghĩa

Có một vài mức giả mạo ip khác nhau:

• Giả mạo IP một cách ngẫu nhiên: phần mềm sẽ tạo ra một địa chỉ IPv4 ngẫu nhiên trong khoảng từ 0.0.0.0 đến 255.255.255.255 Trong một số trường hợp, nó sẽ tạo

ra các địa chỉ IPv4 sai, như địa chỉ thuộc miền 192.168.0.0 là miền dùng cho mạng

cá nhân, hoặc địa chỉ multicast, broastcast, địa chỉ không tồn tại (như 0.1.2.3) Tuy vậy trong hầu hết trường hợp thì nó đều tạo được địa chỉ IP hợp lệ và có thể định tuyến được

• Giả mạo mặt nạ mạng: Nếu một máy thuộc mạng 192.168.1.0/24 thì nó dễ dàng giả mạo một máy nào khác ở trong cùng một mạng, ví dụ như máy 192.168.1.34

có thể giả mạo dễ dàng máy 192.168.1.35 hoặc 192.168.1.99

• Giả mạo chính địa chỉ của nạn nhân: Đây là một kiểu giả mạo rất nguy hiểm nếu như máy chủ nạn nhân không có được những thiết lập phòng chống Kẻ tấn công chỉ cần đơn giản giả mạo địa chỉ của máy nạn nhân, gửi một gói tin request, ví dụ như gói tin TCP SYN, và nếu máy nạn nhân không có một cơ chế lọc tốt, nó sẽ nhận gói tin, cấp phát tài nguyên cho request và gửi trả lời lại cho chính nó Điều này dẫn tới một vòng lặp vô tận trong chính máy nạn nhân, giữa một bên cần nhận thông tin phản hồi còn một bên thì không bao giờ gửi thông tin phản hồi đó cả.Trong thực tế, giả mạo địa chỉ IP không phải là cần thiết cho một cuộc tấn công DDoS thành công, bởi vì kẻ tấn công có thể vắt kiệt tài nguyên và khả năng xử lý của nạn nhân với một lượng lớn các gói tin mà không cần liên quan gì đến địa chỉ nguồn Tuy vậy một số kẻ tấn công sử dụng IP Spoofing cho một vài lý do, như để che giấu địa chỉ của các agent, từ đó che giấu được địa chỉ của handler và của kẻ tấn công tốt hơn, hoặc sử dụng cho tấn công phản xạ nhiều vùng DRDoS là hình thức tấn công mạnh nhất hiện nay giả mạo địa chỉ IP của nạn nhân để yêu cầu một số server lớn gửi các truy vấn hợp pháp đến server nạn nhân, kết quả là nạn nhân bị tấn công các server lớn trên thế giới, và không thể nào chống đỡ nổi IP Spoofing cũng giúp kẻ tấn công vượt qua cơ chế bảo vệ của một số máy chủ khi họ lưu địa chỉ các khách hàng thường xuyên và dùng nó làm danh sách địa chỉ tin cậy ưu tiên truy cập trong trường hợp bị tấn công

1.3 Tìm hiểu một số dạng tấn công từ chối dịch vụ DoS

Tùy phương thức thực hiện mà tấn công DoS được biết dưới nhiều tên gọi khác nhau Các kiểu tấn công thuộc phương thức này rất đa dạng:

- Ping of Death Attack

- SYN Flood Attack

- UDP Flood Attack

- Land Attack

- Smurf Attack

- Teardrop Attack

- Buffer Overflow Attack

1.3.1 Tấn công kiểu Ping of Death

Phá hoại dựa trên tính giới hạn hoặc không thể phục hồi của tài nguyên mạng thông qua sử dụng các nguồn tài nguyên khác Một số máy tính sẽ ngưng hoạt động, reboot hoặc bị crash khi gởi gói data ping với kích thước lớn (>65536 bytes) đến chúng

Ví dụ: C:\ > ping -l 655540

Hình : Tấn công kiểu PoD

Gói tin IP lớn được chia nhỏ để chuyển đến đích Bên hệ thống đích tiến hành gộp các phân mảnh tạo gói IP hoàn chỉnh nhưng hệ điều hành không thể nhận biết được độ lớn của gói tin này do quá kích thước cho phép của gói IP và sẽ bị khởi động lại, hay đơn giản là sẽ bị gián đoạn giao tiếp Để nhận biết kẻ tấn công gửi gói tin lớn hơn gói tin cho phép thì tương đối dễ dàng

1.3.2 Tấn công kiểu SYN flood

Phá hoại dựa trên tính giới hạn hoặc không thể phục hồi của tài nguyên mạng thông qua kết nối Lợi dụng cách thức hoạt động của kết nối TCP/IP, attacker bắt đầu quá trình thiết lập một kết nối TPC/IP tới mục tiêu muốn tấn công mà không gửi trả gói tin ACK, khiến cho mục tiêu luôn rơi vào trạng thái chờ (đợi gói tin ACK từ phía yêu cầu thiết lập kết nối) và liên tục gửi gói tin SYN ACK để thiết lập kết nối

Một cách khác là giả mạo địa chỉ IP nguồn của gói tin yêu cầu thiết lập kết nối SYN

và cũng như trường hợp trên, máy tính đích cũng rơi vào trạng thái chờ vì các gói tin SYN ACK không thể đi đến đích do địa chỉ IP nguồn là không có thật Kiểu tấn công SYN flood được các attacker áp dụng để tấn công một hệ thống mạng có băng thông lớn hơn hệ thống của attacker

Hình Kiểu tấn công SYN Flood

1.3.2 Tấn công kiểu UDP flood

Phá hoại dựa trên tính giới hạn không thể phục hồi của tài nguyên mạng, lợi dụng chính tài nguyên của nạn nhân để thực hiện hành vi tấn công Attacker gửi gói tin UDP echo với địa chỉ IP nguồn là địa chỉ của cổng loopback của chính mục tiêu cần tấn công hoặc của một máy tính khác cùng mạng.Với mục tiêu sử dụng cổng UDP echo (port 7) để thiết lập việc gửi và nhận các gói tin echo trên 2 máy tính (hoặc là giữa mục tiêu với chính nó nếu mục tiêu có cấu hình cổng loopback) Khiến cho 2 máy tính này dần dần sử dụng hết băng thông của chúng, cản trở hoạt động chia sẻ tài nguyên của các máy tính khác trong mạng

1.3.3 Tấn công kiểu Land Attack

Phá hoại dựa trên tính giới hạn không thể phục hồi của tài nguyên mạng và lợi dụng chính nguồn tài nguyên của nạn nhân để tấn công Kiểu tấn công Land attack cũng tương

tự như kiểu tấn công SYN flood, nhưng attacker sử dụng chính địa chỉ IP của nạn nhân làm địa chỉ IP nguồn trong các gói tin được gửi đi, đẩy mục tiếu vào vòng lặp vô hạn khi

cố gắng thiết lập kết nối với chính nó

Hình Kiếu tấn công Land Attack

1.3.4 Tấn công kiểu Smurf

Phá hoại dựa trên tính giới hạn hoặc không thể phục hồi của tài nguyên mạng sử dụng các nguồn tài nguyên khác Thủ phạm sinh ra cực nhiều giao tiếp ICMP (ping) tới địa chỉ Broadcast của nhiều mạng với địa chỉ nguồn là mục tiêu cần tấn công.

Hình : Kiểu tấn công Smuft Attack

Khi máy A ping tới máy B thì máy B phải reply lại hoàn tất quá trình Khi A ping tới địa chỉ Broadcast của mạng nào đó thì toàn bộ các máy tính trong mạng đó sẽ Reply lại Nhưng khi thay đổi địa chỉ nguồn, thay địa chỉ nguồn là máy C và ping tới địa chỉ Broadcast của một mạng nào đó, thì toàn bộ các máy tính trong mạng đó sẽ reply lại vào máy C chứ không phải A và đó là tấn công Smurf Kết quả đích tấn công sẽ phải chịu nhận một đợt Reply gói ICMP cực lớn và làm cho mạng bị treo hoặc bị chậm lại không

có khả năng đáp ứng các dịch vụ khác Quá trình này được khuếch đại khi có luồng ping reply từ một mạng được kết nối với nhau

Hình Kiểu tấn công Smuft sử dụng bản tin ICMP làm tràn ngập các giao tiếp khác

Dạng tấn công Smurf sử dụng gói ICMP làm ngập các giao tiếp khác Kiểu tấn công này cần một hệ thống rất quan trọng, đó là mạng khuyếch đại Attacker dùng địa chỉ của

máy tính cần tấn công bằng cách gửi gói tin ICMP echo cho toàn bộ mạng (broadcast) Các máy tính trong mạng sẽ đồng loạt gửi gói tin ICMP reply cho máy tính mà attacker

muốn tấn công Kết quả là máy tính này sẽ không thể xử lý kịp thời một lượng lớn thông tin và dẫn tới bị treo máy

1.3.5 Tấn công kiểu Tear Drop

Phá hoại dựa trên tính giới hạn hoặc không thể phục hồi của tài nguyên mạng sử dụng các nguồn tài nguyên khác

Trong mạng chuyển mạch gói, dữ liệu được chia thành nhiều gói tin nhỏ, mỗi gói tin

có một giá trị offset riêng và có thể truyền đi theo nhiều con đường khác nhau để tới đích Tại đích, nhờ vào giá trị offset của từng gói tin mà dữ liệu lại được kết hợp lại như ban đầu Lợi dụng điều này, attacker có thể tạo ra nhiều gói tin có giá trị offset trùng lặp nhau

hoặc khó hiểu (giá trị offset khó hiểu trong phân đoạn thứ 2 hoặc cuối cùng)gửi đến mục tiêu muốn tấn công Kết quả là máy tính đích không thể sắp xếp được những gói tin này

và dẫn tới bị treo máy vì bị "vắt kiệt" khả năng xử lý

Hình Kiểu tấn công Tear Drop

1.3.6 Tấn công kiểu Buffer Overflow

- Buffer Overflow xảy ra tại bất kỳ thời điểm nào có chương trình ghi lượng thông tin lớn hơn dung lượng của bộ nhớ đệm trong bộ nhớ

- Kẻ tấn công có thể ghi đè lên dữ liệu và điều khiển đường dẫn thực thi chương trình và đánh cắp quyền điều khiển của chương trình nhằm thực thi các đoạn mã nguy hiểm của người tấn công thay vì xử lý mã

- Quá trình gửi một bức thư điện tử mà file đính kèm dài quá 256 kí tự có thể sẽ xảy

ra quá trình tràn bộ nhớ đệm

CHƯƠNG 2 DISTRIBUTED DENIAL OF SERVICE (DDOS)

2.1 Định nghĩa tấn công DDoS

Là một dạng tấn công DoS, kẻ tấn công thực hiện hành vi tấn công của mình từ nhiều máy tính mà hắn có thể kiểm soát tới cùng một đích Như vậy các gói tin trong

được gửi tới đích xuất phát từ nhiều máy tính khác nhau phân tán trong mạng internet Tấn công DDoS [2] làm hệ thống từ chối các yêu cầu hợp lệ từ người dùng thông thường, đồng thời có thể làm hệ thống bị shutdown nhanh chóng

2.1.1 Các đặc tính của tấn công DDoS.

Nó được tấn công từ một hệ thống các máy tính cực lớn trên Internet, và thường dựa vào các dịch vụ có sẵn trên các máy tính trong mạng botnet

Các dịch vụ tấn công được điều khiển từ những "primary victim" trong khi các máy tính bị chiếm quyền sử dụng trong mạng Bot được sử dụng để tấn công thường được gọi

là "secondary victims"

Là dạng tấn công rất khó có thể phát hiện bởi tấn công này được sinh ra từ nhiều địa chỉ IP trên Internet Nếu một địa chỉ IP tấn công một công ty, nó có thể được chặn bởi Firewall Nếu nó từ 30.000 địa chỉ IP khác, thì điều này là vô cùng khó khăn

Thủ phạm có thể gây nhiều ảnh hưởng bởi tấn công từ chối dịch vụ DoS, và điều này càng nguy hiểm hơn khi chúng sử dụng một hệ thống mạng Bot trên Internet thực hiện tấn công DoS và đó được gọi là tấn công DDoS

2.1.2 Tấn công DDoS không thể ngăn chặn hoàn toàn.

Các dạng tấn công DDoS thực hiện tìm kiếm các lỗ hổng bảo mật trên các máy tính kết nối tới Internet và khai thác các lỗ hổng bảo mật để xây dựng mạng Botnet gồm nhiều máy tính kết nối tới Internet

Một tấn công DDoS được thực hiện sẽ rất khó để ngăn chặn hoàn toàn Những gói tin đến Firewall có thể chặn lại, nhưng hầu hết chúng đều đến từ những địa chỉ IP chưa có trong các Access Rule của Firewall và là những gói tin hoàn toàn hợp lệ

Nếu địa chỉ nguồn của gói tin có thể bị giả mạo, sau khi bạn không nhận được sự phản hồi từ những địa chỉ nguồn thật thì bạn cần phải thực hiện cấm giao tiếp với địa chỉ

nguồn đó Tuy nhiên một mạng Botnet bao gồm từ hàng nghìn tới vài trăm nghìn địa chỉ

IP trên Internet và điều đó là vô cùng khó khăn để ngăn chặn tấn công

2.2 Các mô hình tấn công DDoS

2.2.1 Mô hình Agent-Handler

Hình Mô hình Agent-Handler

Trong mô hình attack network trên bao gồm 3 thành phần:

- Client: software cơ sở dùng để điều khiển mọi hoạt động của attack network

- Handler: thành phần software trung gian giữa attacker và agent.

- Agent: là thành phần software thực hiện hành vi tấn công mục tiêu và nhận sự

điều khiển từ Client thông qua Handler

Attacker sẽ từ Client giao tiếp với Handler để xác định số lượng Agent đang online, điều chỉnh thời điểm tấn công và cập nhật các Agent Tùy theo cách attacker cấu hình attack network, các Agent sẽ chịu sự quản lý của một hay nhiều Handler Thông thường Attacker sẽ đặt Handler software trên một Router hay một server có lượng traffic lưu thông nhiều Việc này nhằm làm cho các giao tiếp giữa Client, handler và Agent khó bị phát hiện Các giao tiếp này thông thường xảy ra trên các protocol TCP, UDP hay ICMP

2.2.2 Mô hình IRC-Based

Hình Mô hình IRC Based

Internet Relay Chat (IRC) là một hệ thống online chat multiuser, IRC cho phép user tạo một kết nối đến multipoint đến nhiều user khác và chat thời gian thực Kiến trúc của IRC network bao gồm nhiều IRC server trên khắp internet, giao tiếp với nhau trên nhiều kênh (channel) IRC network cho phép user tạo ba loại channel: public, private và serect

• Public channel: Cho phép user của channel đó thấy IRC name và nhận được

message của mọi user khác trên cùng channel

• Private channel: được thiết kế để giao tiếp với các đối tượng cho phép

Không cho phép các user không cùng channel thấy IRC name và message trên channel Tuy nhiên, nếu user ngoài channel dùng một số lệnh channel locator thì có thể biết được sự tồn tại của private channel đó

• Secrect channel : tương tự private channel nhưng không thể xác định bằng

channel locator

IRC – Based net work cũng tương tự như Agent – Handler network nhưng mô hình này sử dụng các kênh giao tiếp IRC làm phương tiện giao tiếp giữa Client và Agent thay

vì sử dụng Handler như mô hình Agent-Handler ở trên Sử dụng mô hình này, attacker có thể lợi dụng các ưu điểm:

- Các giao tiếp dưới dạng chat message làm cho việc phát hiện chúng là vô cùng khó khăn

- IRC traffic có thể di chuyển trên mạng với số lượng lớn mà không bị nghi ngờ

- Không cần phải duy trì danh sách các Agent, hacker chỉ cần logon vào IRC server

là đã có thể nhận được report về trạng thái các Agent do các channel gửi về

- IRC là một môi trường file sharing tạo điều kiện phát tán các Agent code lên nhiều máy khác

2.3 Phân loại tấn công DDoS

Nhìn chung, có rất nhiều biến thể của kỹ thuật tấn công DDoS nhưng nếu nhìn dưới góc độ chuyên môn thì có thể chia các biến thể này thành hai loại dựa trên mụch đích tấn

công: Làm cạn kiệt băng thông và làm cạn kiệt tài nguyên hệ thống Dưới đây là sơ đồ

mô tả sự phân loại các kiểu tấn công DDoS

Hình Sơ đồ phân loại các kiểu tấn công DDoS

2.4 Internet Relay Chat (IRC)

IRC là tên viết tắt của Internet Relay Chat Đó là một giao thức được thiết kế cho hoạt động liên lạc theo kiểu hình thức tán gẫu thời gian thực dựa trên kiến trúc client-server Hầu hết mọi server IRC đều cho phép truy cập miễn phí, không kể đối tượng sử dụng IRC là một giao thức mạng mở dựa trên nền tảng TCP (Transmission Control Protocol - Giao thức điều khiển truyền vận), đôi khi được nâng cao với SSL (Secure Sockets Layer - Tầng socket bảo mật)

Một server IRC kết nối với server IRC khác trong cùng một mạng Người dùng IRC

có thể liên lạc với cả hai theo hình thức công cộng (trên các kênh) hoặc riêng tư (một đối một) Có hai mức truy cập cơ bản vào kênh IRC: mức người dùng (user) và mức điều hành (operator) Người dùng nào tạo một kênh liên lạc riêng sẽ trở thành người điều hành Một điều hành viên có nhiều đặc quyền hơn (tuỳ thuộc vào từng kiểu chế độ do người điều hành ban đầu thiết lập ) so với người dùng thông thường

Các bot IRC được coi như một người dùng (hoặc điều hành viên) thông thường Chúng là các quy trình daemon, có thể chạy tự động một số thao tác Quá trình điều khiển các bot này thông thường dựa trên việc gửi lệnh để thiết lập kênh liên lạc do hacker thực hiện, với mục đích chính là phá hoại Tất nhiên, việc quản trị bot cũng đòi hỏi cơ chế thẩm định và cấp phép Vì thế, chỉ có chủ sở hữu chúng mới có thể sử dụng

Một thành phần quan trọng của các bot này là những sự kiện mà chúng có thể dùng

để phát tán nhanh chóng tới máy tính khác Xây dựng kế hoạch cần thận cho chương trình tấn công sẽ giúp thu được kết quả tốt hơn với thời gian ngắn hơn (như xâm phạm được nhiều máy tính hơn chẳng hạn) Một số n bot kết nối vào một kênh đơn để chờ lệnh

từ kẻ tấn công thì được gọi là một mạng botnet

Cách đây chưa lâu, các mạng zombie (một tên khác của máy tính bị tấn công theo kiểu bot) thường được điều khiển qua công cụ độc quyền, do chính những kẻ chuyên bẻ khoá cố tình phát triển Trải qua thời gian, chúng hướng tới phương thức điều khiển từ

xa IRC được xem là công cụ phát động các cuộc tấn công tốt nhất nhờ tính linh hoạt, dễ

sử dụng và đặc biệt là các server chung có thể được dùng như một phương tiện liên lạc IRC cung cấp cách thức điều khiển đơn giản hàng trăm, thậm chí hàng nghìn bot cùng lúc một cách linh hoạt Nó cũng cho phép kẻ tấn công che đậy nhân dạng thật của mình với một số thủ thuật đơn giản như sử dụng proxy nặc danh hay giả mạo địa chỉ IP Song cũng chính bởi vậy mà chúng để lại dấu vết cho người quản trị server lần theo

Trong hầu hết các trường hợp tấn công bởi bot, nạn nhân chủ yếu là người dùng máy tính đơn lẻ, server ở các trường đại học hoặc mạng doanh nghiệp nhỏ Lý do là bởi máy tính ở những nơi này không được giám sát chặt chẽ và thường để hở hoàn toàn lớp bảo vệ mạng Những đối tượng người dùng này thường không xây dựng cho mình chính sách bảo mật, hoặc nếu có thì không hoàn chỉnh, chỉ cục bộ ở một số phần Hầu hết người dùng máy tính cá nhân kết nối đường truyền ADSL đều không nhận thức được các mối nguy hiểm xung quanh và không sử dụng phần mềm bảo vệ như các công cụ diệt virus hay tường lửa cá nhân

2.5 Mạng BOTNET

2.5.1 Ý nghĩa của mạng Botnet

- Khi sử dụng một Tool tấn công DoS tới một máy chủ đôi khi không gây ảnh hưởng

gì cho máy chủ - Giả sử người sử dụng dùng tool Ping of Death tới một máy chủ, trong

đó máy chủ kết nối với mạng tốc độ 100Mbps, còn người đó kết nối tới máy chủ tốc độ 3Mbps - Vậy tấn công không có ý nghĩa gì

- Nhưng hãy tưởng tượng có 1000 người cùng một lúc tấn công vào máy chủ kia khi

đó toàn bộ băng thông của 1000 người cộng lại tối đa đạt 3Gbps và tốc độ kết nối của máy chủ là 100 Mbps vậy kết quả hoàn toàn khác biệt

- Nhưng làm cách nào để có 1000 máy tính kết nối với mạng? - đi mua một nghìn chiếc và thuê 1000 thuê bao kết nốii - chắc chắn không kẻ tấn công nào sử dụng phương pháp này cả

- Khi có trong tay mạng BOT kẻ tấn công sử dụng những tool tấn công đơn giản để tấn công vào một hệ thống máy tính Dựa vào những truy cập hoàn toàn hợp lệ của hệ thống, cùng một lúc chúng sử dụng một dịch vụ của máy chủ, tưởng tượng khi kẻ tấn công có trong tay 400.000 máy chủ và cùng một lúc ra lệnh cho chúng download một file trên trang web của bạn Và đó chính là DDoS – Distributed Denial of Servcie.

2.5.2 Mạng BOT

- BOT từ viết tắt của từ RoBOT

- IRCbot – còn được gọi là zombia hay drone

- Internet Relay Chat (IRC) là một dạng truyền dữ liệu thời gian thực trên Internet

Nó thường được thiết kế sao cho một người có thể nhắn được cho một group và mỗi người có thể giao tiếp với nhau với một kênh khác nhau được gọi là – Channels

- Đầu tiên BOT kết nối kênh IRC với IRC Server và đợi giao tiếp giữa những người với nhau

- Kẻ tấn công có thể điều khiển mạng BOT và sử dụng mạng BOT cũng như sử dụng nhằm một mục đích nào đó

- Nhiều mạng BOT kết nối với nhau người ta gọi là BOTNET

2.5.3 Mạng Botnet

- Mạng Botnet bao gồm nhiều máy tính

- Nó được sử dụng cho mục đích tấn công DdoS

- Một mạng Botnet nhỏ có thể chỉ bao gồm 1000 máy tính nhưng chúng ta thử tưởng tượng mỗi máy tính này kết nối tới Internet tốc độ chỉ là 128Kbps thì mạng Botnet này đã

có khả năng tạo băng thông là 1000*128 ~ 100Mbps – Đây là một con số thể hiện băng thông mà khó một nhà Hosting nào có thể share cho mỗi trang web của mình

2.5.4 Các bước xây dựng mạng Botnet

Để hiểu hơn về xây dựng hệ thống mạng Botnet, ta nghiên cứu từ cách lây nhiễm vào một máy tính, cách tạo ra một mạng Bot và dùng mạng Bot này tấn công vào một đích nào đó của mạng Botnet được tạo ra từ Agobot’s Trong đó Agobot là những bot được viết bằng C++ trên nền tảng Cross-platform và mã nguồn được tìm trên GPL Agobot có khả năng sử dụng NTFS Alternate Data Stream (ADS) và như một loại Rootkit nhằm ẩn các tiến trình đang chạy trên hệ thống

Bước 1: Cách lây nhiễm vào máy tính.

- Đầu tiên kẻ tấn công lừa cho người dùng chạy file "chess.exe", một Agobot thường copy chúng vào hệ thống và sẽ thêm các thông số trong Registry để đảm bảo sẽ chạy cùng với hệ thống khi khởi động Trong Registry có các vị trí cho các ứng dụng chạy lúc khởi động tại

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

Bước 2: Cách lây lan và xây dựng tạo mạng BOTNET

- Sau khi trong hệ thống mạng có một máy tính bị nhiễm Agobot, nó sẽ tự động tìm kiếm các máy tính khác trong hệ thống và lây nhiễm sử dụng các lỗ hổng trong tài nguyên được chia sẻ trong hệ thống mạng

- Chúng thường cố gắng kết nối tới các dữ liệu share mặc định dành cho các ứng dụng quản trị (administrator or administrative) ví dụ như: C$, D$, E$ và print$ bằng cách đoán username và password để có thể truy cập được vào một hệ thống khác và lây nhiễm

- Agobot có thể lây lan rất nhanh bởi chúng có khả năng tận dụng các điểm yếu trong hệ điều hành Windows, hay các ứng dụng, các dịch vụ chạy trên hệ thống

Bước 3: Kết nối vào IRC.

- Bước tiếp theo của Agobot sẽ tạo ra một IRC-Controled Backdoor để mở các yếu

tố cần thiết, và kết nối tới mạng Botnet thông qua IRC-Control, sau khi kết nối nó sẽ mở những dịch vụ cần thiết để khi có yêu cầu chúng sẽ được điều khiển bởi kẻ tấn công thông qua kênh giao tiếp IRC

Bước 4: Điều khiển tấn công từ mạng BotNet.

- Kẻ tấn công điều khiển các máy trong mạng Agobot download những file exe về chạy trên máy

- Lấy toàn bộ thông tin liên quan và cần thiết trên hệ thống mà kẻ tấn công muốn

- Chạy những file khác trên hệ thống đáp ứng yêu cầu của kẻ tấn công

- Chạy những chương trình DDoS tấn công hệ thống khác

Hình Sơ đồ lây nhiễm Agobot hình thành mạng BOTNET đối với người dùng cuối

CHƯƠNG 3 CÁC BIỆN PHÁP PHÒNG CHỐNG DDoS TRUYỀN

THỐNG

Ngay sau khi các cuộc tấn công quy mô lớn đầu tiên, nhiều nghiên cứu đã được dành riêng cho các vấn đề mới về ngăn chặn, loại bỏ, và bằng cách nào đó lọc ra các cuộc

tấn công DoS nhằm vào các hệ thống đầu cuối host Trong khi DDoS là một vấn đề tương đối mới, các nghiên cứu liên quan đã tồn tại trong lĩnh vực kiểm soát tắc nghẽn, giảm nhẹ các cuộc tấn công DoS đơn giản, dung thứ lỗi, và duy trì hoạt động của node trong mạng.Nhiều nghiên cứu đã cố gắng tiếp cận để giải quyết bài toán con nhỏ hơn của vấn đề phức tạp này Do tính chất nhạy cảm của dữ liệu trong mạng và sự phức tạp của hiện tượng này, thật khó để hiểu một cách đầy đủ ảnh hưởng của DDoS Nhiều nguyên mẫu được kiểm tra trong các môi trường phòng thí nghiệm mà không có nền hay giao thông hoạt động Một số ý tưởng cho rằng giao thông tấn công chủ yếu là giả mạo, và điều này

rõ ràng là sai lầm, và những người khác cho rằng kiến thức nhất định về topology của mạng, hoặc truy cập vào cơ sở dữ liệu có thể nhận biết được lưu lượng truy cập là DDoS hay không Những người khác yêu cầu sửa đổi đáng kể về cơ sở hạ tầng Internet, điều có thể làm cho nó trở thành không tương thích với các giao thức hiện tại và các ứng dụng của khách hàng, hoặc là không thực tế về kỹ thuật, chính sách

Chương 3 này sẽ thảo luận về một số phương pháp tiếp cận nghiên cứu đã được thực hiện và triển khai

3.1 Biện pháp Pushback

Pushback, đề xuất của Mahajan [3] vào tháng 7 năm 2002 , từ các cuộc thảo luận trong nhóm nghiên cứu DDoS tại hội thảo DSIT, Trung tâm Điều phối CERT Ý tưởng lấy từ thực tế, là nhà quản trị mạng cố gắng để đẩy lùi các giao thông tấn công trở lại nguồn của nó, hoặc bằng cách rút một cáp mạng trong các bộ định tuyến và xem liệu lưu lượng truy cập có dừng lại không, hay bằng cách quan sát lưu lượng mạng trên các thiết

bị giám sát Giới hạn tỷ lệ gửi gói tin ra ngoài từ nạn nhân (pushback), sau đó giảm bớt

áp lực vào nạn nhân, cho phép nó trao đổi lưu lượng truy cập và tồn tại hiệu quả trong một thời điểm khi các nguồn tấn công ngừng hoặc gỡ bỏ Trường hợp này với giả định rằng các vi phạm giao thông phân bố không đều trên tất cả các điểm có thể thâm nhập

Có hai kỹ thuật sử dụng ở đây: Điều khiển tắc nghẽn tổng hợp (ACC) cấp địa phương và pushback Điều khiển tắc nghẽn tổng hợp cấp địa phương phát hiện ra tắc

nghẽn ở cấp router và đặt một tín hiệu tấn công (hoặc nhiều hơn trong từng bối cảnh thích hợp), một tín hiệu tắc nghẽn, mà có thể được dịch ra trong một bộ lọc router Các tín hiệu định nghĩa ra một tập hợp băng thông cao, một tập hợp con của lưu lượng mạng, và điều khiển tắc nghẽn tổng hợp địa phương xác định tỷ lệ giới hạn thích hợp cho tập hợp này Pushback sau đó gửi tỉ lệ giới hạn này ngay lập tức đến những giao thông upstream lân cận, nơi đóng góp số lượng lớn của giao thông tổng hợp Cơ chế này hoạt động tốt nhất chống lại kiểu tấn công gửi tràn DDoS và flash, vì chúng chia sẻ những đặc điểm chung,

và cố gắng để xử lý những hiện tượng từ góc độ của công việc kiểm soát tắc nghẽn Việc đặt ra giới hạn tỷ lệ quá cao có thể khiến các giao thông hợp lệ cũng bị giới hạn, mất mát, còn việc đặt ra giới hạn quá thấp có thể khiến kẻ tấn công vượt qua được sự bảo vệ.Nhìn chung pushback dường như đòi hỏi các mô hình triển khai tiếp cận tới router Phương pháp tiếp cận hiện tại không thể đẩy tỷ lệ giới hạn qua một router mà không hiểu phương pháp pushback Pushback cũng yêu cầu các router duy trì các trạng thái về luồng giao thông, đó là một gánh nặng thêm về cơ sở hạ tầng mạng của phương pháp

3.2 Biện pháp D-WARD

D -WARD, đề xuất của Mirkovic và các đồng nghiệp [9] vào tháng 8-2003 Hệ thống này dựa trên mạng nguồn nhằm mục đích phát hiện các cuộc tấn công trước hoặc khi chúng rời khỏi mạng lưới DDoS của các agent Nó là một hệ thống nội tuyến, trong suốt với người sử dụng trên mạng, thông qua việc tập hợp số liệu thống kê giao thông hai chiều từ các router biên tại các mạng nguồn và so sánh chúng với các mô hình giao thông mạng xây dựng dựa trên giao thức ứng dụng và giao vận, phản ánh sự bình thường (hợp pháp), nghi ngờ, hoặc hành vi tấn công Dựa trên mô hình ba tầng này (tấn công, nghi ngờ, bình thường), D-WARD áp dụng tỷ lệ giới hạn tại router ở tất cả các giao thông đi ra của một đích cho trước, ưu tiên giao thông kết nối hợp pháp, hơi làm chậm lại lưu lượng truy cập đáng ngờ, và làm chậm lại các kết nối tấn công mà nó cảm nhận Tỷ lệ giới hạn năng động và thay đổi theo thời gian, dựa trên quan sát của tín hiệu tấn công và các chính

sách hạn chế về giao thông tiêu cực Ít giao thông tiêu cực sẽ làm giảm nhẹ các chính sách hạn chế

Giống như hầu hết các hệ thống nghiên cứu, D-WARD đã được thử nghiệm với một homegrown thiết lập các tiêu chí chuẩn DDoS, và giống như hầu hết các hệ thống nghiên cứu, nó hoạt động tốt theo các tiêu chí chuẩn Tuy nhiên, hệ thống D-WARD cũng trải qua nhiều thử nghiệm độc lập vào cuối chu kỳ chương trình DARPA FTN Những thí nghiệm chỉ ra rằng D-WARD có khả năng để nhanh chóng phát hiện những vụ tấn công tạo ra dị thường ở giao thông hai chiều, chẳng hạn như tấn công gửi tràn nặng nề D-WARD kiểm soát hiệu quả tất cả các giao thông, trong đó có giao thông tấn công, và có thiệt hại và một mức độ sai lầm chủ động thấp Nó kịp thời khôi phục hoạt động bình thường khi kết thúc cuộc tấn công Bằng cách giới hạn tỷ lệ lưu lượng tấn công hơn là ngăn chặn nó, hệ thống này một cách nhanh chóng phục hồi từ các sai lầm chủ động Theo thiết kế, nó ngừng các cuộc tấn công tại nguồn mạng, do đó nó yêu cầu việc triển khai trên diện rộng (bao gồm một phần lớn các nguồn thực tế) để đạt được hiệu quả mong muốn Trừ khi có một hình phạt cho các các hosting của DDoS agent đặt ra đối với các mạng nguồn, đây không phải là một hệ thống mà nhà khai thác mạng sẽ hăm hở triển khai, bởi D-WARD không cung cấp một lợi ích đáng kể cho các nhà triển khai này Tuy nhiên, nó có thể được thể tích hợp nó với cơ chế bảo vệ khác mà có yêu cầu hành động từ mạng nguồn, để cung cấp các response chọn lọc cho request

Tóm lại, lợi thế của D-WARD nằm trong việc phát hiện và kiểm soát các cuộc tấn công, giả định rằng giao thông tấn công thay đổi đầy đủ so với các mô hình giao thông bình thường Theo thực tế rằng D-WARD chọn lọc giới hạn tỷ lệ lưu lượng truy cập, nó

có thiệt hại thấp, và đáp ứng tấn công tương đối nhanh Mặt khác, những kẻ tấn công vẫn

có thể thực hiện các cuộc tấn công thành công từ các mạng không được trang bị với hệ thống này

3.3 Biện pháp NetBouncer

NetBouncer, đề xuất của O'Brien [18] Đây là một cơ chế xác thực người dùng khi đứng ở trên mạng của Server mục tiêu Lý tưởng nhất, nó được định vị tại điểm nút của mạng lưới và nhằm mục đích chỉ cho phép các gói tin đến từ khách hàng hoặc người sử dụng "hợp pháp" Một số thử nghiệm cho tính chính đáng được thực hiện trên máy khách, ví dụ, một gói ping (ICMP Echo) thử nghiệm được gửi để xem liệu có một khách hàng thực sự đằng sau những gói đã được nhận được bởi Server đích, và cũng là một Reverse Turing Test, kiểm tra phân biệt giữa người và máy Người đọc có thể đã xem như một bài kiểm tra khi đăng ký một tài khoản e-mail trên các dịch vụ e-mail Yahoo: khách hàng được yêu cầu nhập một cụm từ hay chữ bị biến dạng, hiển thị trong một hình ảnh nền làm cho nó trở nên khó đọc, một bài kiểm tra mà thường chỉ một con người có thể làm, không phải là một máy hay chương trình tự động Và nếu bài kiểm tra được vượt qua, chứng tỏ người dùng là “hợp pháp”, thì yêu cầu đến Server đích được tiếp tục Nếu không, NetBouncer chấm dứt kết nối

Một khi các khách hàng đã chứng tỏ rằng người đó thực sự là hợp pháp, họ được thêm vào danh sách của khách hàng hợp pháp và được cho ưu đãi đối với khách hàng chưa được hợp pháp Danh sách này được quản lý bằng kỹ thuật quản lý dịch vụ chất lượng và đảm bảo chia sẻ công bằng các tài nguyên giữa tất cả các khách hàng hợp pháp

Để ngăn chặn một cuộc tấn công từ việc kế thừa các thông tin của một khách hàng hợp pháp, tính hợp pháp hết hạn sau một thời gian nhất định và cần phải được đánh giá lại bằng cách sử dụng cùng một hoặc một vài bài kiểm tra khác nhau

Như vậy cách tiếp cận có thể làm việc? Nó có thể đánh bại nhiều cuộc tấn công giả mạo, bởi những bài kiểm tra challenge phải tiếp cận nguồn gốc thực sự của các gói tin để giao dịch hoàn thành Các tài nguyên mạng sẵn có được chia sẻ một cách công bằng giữa các khách hàng đã được chứng minh tính hợp pháp của họ

Tuy nhiên, NetBouncer giả định những thuộc tính nhất định của khách hàng, chẳng hạn như khả năng để trả lời cho ping (ví dụ, để kiểm tra sự hiện diện của một khách hàng), mà không phải tất cả khách hàng đều hỗ trợ, đặc biệt là những người có cài tường

lửa hay bộ định tuyến DSL có bật tính năng an ninh bổ sung Mặc dù khách hàng là hợp pháp, hệ thống không được bảo vệ chống lại các cuộc tấn công mạo danh, nghĩa là, một

kẻ tấn công có thể lợi dụng thực tế là một khách hàng hợp pháp đã thực hiện tất cả các công việc cần thiết để chứng minh tính hợp pháp của mình với NetBouncer và sau đó tấn công mạng nhờ việc giả mạo địa chỉ IP hợp pháp của khách hàng Ngoài ra, hệ thống không phải là miễn dịch với nguồn tài nguyên cạn kiệt do một số lượng lớn các khách hàng hợp pháp Hơn nữa, giống như tất cả phòng thủ phía mục tiêu, nó có thể bị tràn ngập bởi khối lượng của các gói trên đường truyền đến

Giống như tất cả các phương án phòng thủ tốt chống lại DDoS, NetBouncer có lợi thế và hạn chế của nó Về mặt tích cực, nó xuất hiện để cung cấp dịch vụ tốt cho khách hàng hợp pháp trong phần lớn các trường hợp Vì nó nằm nội tuyến trên mạng, có nghĩa

là nó không có một sự hiện diện có thể nhìn thấy trên mạng giống như một cầu nối mạng,

nó không yêu cầu sửa đổi cho các máy chủ và khách hàng trên mạng được bảo vệ hoặc các máy chủ kết nối với nhau Các địa điểm triển khai gần nạn nhân và nó không yêu cầu hợp tác với NetBouncers khác Về mặt tiêu cực, những kẻ tấn công có thể thực hiện các cuộc tấn công thành công vào mục tiêu bằng cách giả mạo hợp pháp hoặc tuyển dụng một số lượng lớn các agent, cả hai đều là dễ dàng đạt được thông qua giả mạo và tuyển dụng đủ, tương ứng Ngoài ra, NetBouncer đặt ra các giả định nhất định về các khách hàng hợp pháp mà không phải luôn luôn được chia sẻ bởi tất cả các khách hàng và như vậy sẽ làm cho họ bị loại trừ khỏi truy cập vào tài nguyên được bảo vệ Các bài kiểm tra tính hợp pháp đặt một gánh nặng đáng kể đến chính NetBouncer và có thể gây cạn kiệt nguồn lực của các cơ chế bảo vệ

3.4 Biện pháp DefCOM

DefCOM, đề xuất của Mirkovic [19] Nó là một hệ thống phân tán kết hợp bảo vệ nguồn cấp, nạn nhân, và lõi mạng Nó phát hiện một cuộc tấn công đến và đáp ứng bằng việc hạn chế tỷ lệ giao thông, trong khi vẫn cho phép lưu thông hợp pháp đi qua hệ thống

Nó bao gồm ba loại nút (router hoặc host): node phát cảnh báo phát hiện một cuộc tấn