MỤC LỤC Mở Đầu Chương 1: Giới Thiệu 1.1 Lịch sử phát triển 1.2 Khái Niệm 1.3 Triệu Chứng 1.4 Thiệt Hại Chương 2: Các Kỹ Thuật Tấn Công Một Số Tools Tấn Công 2.1 Winnuke 2.2 Teardrop 2.3 Fraggle Attack 2.4 Smurf Attack 2.5 SYN Flood Attack 2.6 Land Attack 2.7 UDP Flood 2.8 Ping of Death 2.9 Tấn Công DNS 2.10 Các Tools Tấn Công DoS Chương 3: Biện Pháp Phòng Chống và Mô Hình 3.1 Các giải pháp phòng chống tấn công DoS 3.2 Tổng quan về IPS 3.2.1 Giới Thiệu 3.2.2 Phân Loại 3.3 Mô hình thực tế Chương 4: Thực Nghiệm 4.1 Giới thiệu về tấn công thực nghiệm 4.2 Công cụ và các bước chuẩn bị 4.3 Thực nghiệm Kết Luận Nguồn tài liệu Mở Đầu Giới Thiệu: Ngày nay với sự phát triển của khoa học kỹ thuật cũng như về Công nghệ thông tin,theo đó mạng máy tính phát triển rất mạnh và là nguồn tài nguyên mà bất kì công ty hay các cơ quan xí nghiệp đều khai thác.Qua đó tạo tiền đề cho việc phát triển kinh tế,xã hội…Bên cạnh sự phát triển đó thì có sự xuất hiện của những phần tử xấu chuyên phá hoại và đánh cắp các thông tin trên mạng.Vì thế,việc tìm hiểu về các cách tấn công sẽ giúp chúng ta đưa ra được các phương pháp phòng chống và bảo mật tốt cho cơ sở hạ tầng mạng,cơ sở dữ liệu và an toàn thông tin cho người dùng. Mục Tiêu Đề Tài: Hiện nay đã có rất nhiều cuộc tấn công DoS vào các website,forum và điển hình là cuộc tấn trang tin tức “vietnamnet.vn” vừa qua.Qua đó,đề tài này nghiên cứu những phương pháp tấn công cở bản và là nền tảng cho các cuộc tấn công lớn như DdoS hay DRDoS. Bố cục đề tài: Chương 1: Giới Thiệu Giới thiệu sơ lược về khái niệm,lịch sử và các mặt hại cũng như những triệu chứng khi bị tấn công DoS.Qua đó giúp ta nắm rõ về sự ra đời cũng như là những điều căn bản của tấn công từ chối dịch vụ. Chương 2: Các kỹ thuật tấn công Một Số Tools Tấn Công Giới thiệu 1 số công cụ kỹ thuật,cách thức tấn công DoS hiện nay và các công cụ tấn công.Qua đó hiểu rõ thêm về cách thức tấn công và cách sử dụng các Tools. Chương 3: Biện pháp phòng chống và Mô Hình Dựa vào các nghiên cứu về cách tấn công DoS mà ta có những cách phòng chống tối ưu nhất và khắc phục kịp thời trước tình trạng bị tấn công nhằm đảm bảo đường truyền,băng thông,dữ liệu và thiết bị của hệ thống. Chương 4: Thực Nghiệm Thực nghiệm tấn công DoS vào 1 trang web hay 1 server bất kì và ở đây chỉ mang tính học tập và nghiên cứu.
34 TRƯỜNG ĐH KỸ THUẬT CÔNG NGHỆ TP.HCM KHOA CÔNG NGHỆ THÔNG TIN ************************* MÔN: Đồ Án Cơ Sở BÁO CÁO DoS (Denial of Services) SINHVIEN: LƯU TẤN LỘC (0851020088) GVHD: VĂN THIÊN HOÀNG 34 MỤC LỤC Mở Đầu Chương 1: Giới Thiệu 1.1 Lịch sử phát triển 1.2 Khái Niệm 1.3 Triệu Chứng 1.4 Thiệt Hại Chương 2: Các Kỹ Thuật Tấn Công & Một Số Tools Tấn Công 2.1 Winnuke 2.2 Teardrop 2.3 Fraggle Attack 2.4 Smurf Attack 2.5 SYN Flood Attack 2.6 Land Attack 2.7 UDP Flood 2.8 Ping of Death 2.9 Tấn Công DNS 2.10 Các Tools Tấn Công DoS Chương 3: Biện Pháp Phòng Chống và Mô Hình 3.1 Các giải pháp phòng chống tấn công DoS 3.2 Tổng quan về IPS 3.2.1 Giới Thiệu 3.2.2 Phân Loại 3.3 Mô hình thực tế Chương 4: Thực Nghiệm 4.1 Giới thiệu về tấn công thực nghiệm 4.2 Công cụ và các bước chuẩn bị 4.3 Thực nghiệm Kết Luận Nguồn tài liệu 34 Mở Đầu Giới Thiệu: Ngày nay với sự phát triển của khoa học kỹ thuật cũng như về Công nghệ thông tin,theo đó mạng máy tính phát triển rất mạnh và là nguồn tài nguyên mà bất kì công ty hay các cơ quan xí nghiệp đều khai thác.Qua đó tạo tiền đề cho việc phát triển kinh tế,xã hội…Bên cạnh sự phát triển đó thì có sự xuất hiện của những phần tử xấu chuyên phá hoại và đánh cắp các thông tin trên mạng.Vì thế,việc tìm hiểu về các cách tấn công sẽ giúp chúng ta đưa ra được các phương pháp phòng chống và bảo mật tốt cho cơ sở hạ tầng mạng,cơ sở dữ liệu và an toàn thông tin cho người dùng. Mục Tiêu Đề Tài: Hiện nay đã có rất nhiều cuộc tấn công DoS vào các website,forum và điển hình là cuộc tấn trang tin tức “vietnamnet.vn” vừa qua.Qua đó,đề tài này nghiên cứu những phương pháp tấn công cở bản và là nền tảng cho các cuộc tấn công lớn như DdoS hay DRDoS. Bố cục đề tài: Chương 1: Giới Thiệu Giới thiệu sơ lược về khái niệm,lịch sử và các mặt hại cũng như những triệu chứng khi bị tấn công DoS.Qua đó giúp ta nắm rõ về sự ra đời cũng như là những điều căn bản của tấn công từ chối dịch vụ. Chương 2: Các kỹ thuật tấn công & Một Số Tools Tấn Công Giới thiệu 1 số công cụ kỹ thuật,cách thức tấn công DoS hiện nay và các công cụ tấn công.Qua đó hiểu rõ thêm về cách thức tấn công và cách sử dụng các Tools. Chương 3: Biện pháp phòng chống và Mô Hình Dựa vào các nghiên cứu về cách tấn công DoS mà ta có những cách phòng chống tối ưu nhất và khắc phục kịp thời trước tình trạng bị tấn công nhằm đảm bảo đường truyền,băng thông,dữ liệu và thiết bị của hệ thống. 34 Chương 4: Thực Nghiệm Thực nghiệm tấn công DoS vào 1 trang web hay 1 server bất kì và ở đây chỉ mang tính học tập và nghiên cứu. 34 Chương 1 Giới Thiệu: 1.1 Khái Niệm: DoS (Denial of Services Attack) hay còn gọi là “Tấn Công Từ Chối Dịch Vụ” là 1 dạng tấn công mà người thực hiện có thể dùng để khiến cho một hệ thống không thể sử dụng được hoặc làm chậm hệ thống lại,khiến nó không thể phục vụ cho những người dùng truy cập vào dịch vụ của server.Nguyên lý hoạt động cơ bản của nó là làm quá tải tài nguyên của hệ thống (tài nguyên ở đây có thể là băng thông,bộ nhớ,CPU,đĩa cứng v v.),làm cho server không thể đáp ứng các yêu cầu từ các máy Client và Server sẽ nhanh chóng bị ngừng hoạt động hoặc reboot.Mục tiêu của DoS Attack không phải để chiếm quyền truy cập vào máy tính,dữ liệu hay kiểm soát 1 hệ thống mà là để ngăn cản những người dùng (User) sử dụng dịch vụ đó. Kẻ tấn công có thể cố thực hiện những việc sau: - Làm ngập lụt mạng,sẽ làm nghẽn việc lưu thông trong mạng. - Làm gián đoạn kết nối giữa 2 máy tính,sẽ ngăn cản việc truy cập,sử dụng dịch vụ của server. - Ngăn chặn 1 cá nhân nào đó truy cập,sử dụng dịch vụ của server. - Làm gián đoạn việc cung cấp dịch vụ đến một hệ thống hay một user nào đó. 1.2 Lịch sử phát triển: Tấn công từ chối dịch vụ (DoS) xuất hiện vào cuối những năm 90. Hoạt động này bắt nguồn trong quá trình,các chuyên gia bảo mật đã phát hiện khiếm khuyết hệ thống trên HĐH Windows 98 là chỉ cần gửi một gói dữ liệu ping có dung lượng lớn cũng đủ để làm tê liệt một server mục tiêu. Phát hiện này ngay lập tức được giới hacker sử dụng để triệt tiêu những đối tượng mà họ có ý định tấn công. Từ đây, hình thức sơ khai của tấn công từ chối dịch vụ (DoS) ra đời. Trong khi đó, DDoS (Distributed Denial of Service) thì dựa vào việc gửi một lệnh ping tới một danh sách gồm nhiều server (kiểu này gọi là amplifier), giả một gói ping với IP của victim thay vì IP của Hacker. Các server khi trả lời yêu cầu ping này khi đó sẽ làm “lụt” nạn nhân với những phản hồi gọi là pong. Ngoài ra,1 số loại virus và worm cũng có thể gây tấn công DDoS. Ví dụ như những virus phát tán e-mail số lượng lớn như Loveletter, Melissa, làm lụt mail server khiến các máy chủ không thể xử lý những yêu cầu hợp 34 lệ. Hiện nay, nhiều loại sâu Internet lợi dụng lỗi trong máy tính (ví dụ virus Sasser năm 2004) để làm lụt các máy tính chạy Windows có khiếm khuyết, khiến PC không thể tải về các bản vá lỗi. Và Hacker thường khống chế một máy tính từ xa bằng một lỗ hổng của máy tính.Máy tính này (về sau sẽ trở thành mầm của mạng lưới máy tính bị khống chế phục vụ tấn công DDoS, gọi là botnet) sẽ được cài 1 phần mềm để đảm bảo nó luôn được kết nối trong mạng.Máy tính này cũng đồng thời Scan trên mạng Internet các máy tính có lỗ hổng về bảo mật hay về lỗi hệ điều hành mà lây lan mã độc nhằm khống chế và đảm bảo luôn online trong mạng như máy trên và sẵn sàng nhận lệnh của hacker hay tham gia tìm kiếm các PC có lỗi khác trong mạng Internet. Chỉ trong vài ngày, mạng máy tính ma này sẽ tăng lên hàng trăm hoặc hàng nghìn thành viên. Đến thời điểm lực lượng này đủ hùng hậu, chúng sẽ đồng loạt được sử dụng để thực hiện lệnh tấn công vào mục tiêu theo ý muốn của Hacker. Mục tiêu sẽ biến mất khỏi mạng, tức là offline hoàn toàn. Đồng thời tất cả những hoạt động tương tác trên môi trường Internet của nạn nhân cũng ngừng luôn. 1.3 Triệu Chứng: The United States Computer Emergency Response Team xác định các triệu chứng tấn công từ chối dịch vụ bao gồm: • Hiệu suất mạng chậm 1 cách bất thường (mở file hay truy cập các web) • Không có khả năng truy cập các trang web • Tăng đột biến số lượng thư rác nhận được(đây là 1 loại tấn công DoS được ví như là email-bomb) Tấn công từ chối dịch vụ có thể dẫn đến các vấn đề trong các mạng nội bộ xung quanh các máy tính đang bị tấn công. Ví dụ,băng thông của router giữa mạng Internet và mạng Lan có thể bị chiếm dụng bởi một cuộc tấn công,không chỉ làm ảnh hưởng các máy tính theo dự định ban đầu, mà còn toàn bộ mạng. Nếu cuộc tấn công được tiến hành trên quy mô lớn thì toàn bộ các kết nối Internet trong 1 khu vực địa lý có thể bị tổn hại.Và điều đó sẽ không xảy ra khi mà hacker không có kiến thức nhất định về mạng hay cấu hình các thiết bị mạng không đúng hoặc cơ sở hạ tầng yếu. 1.4 Thiệt Hại: - Ngắt kết nối mạng - Tổ chức không hoạt động - Thiệt hại về tài chính - Mất uy tín với khách hàng 34 Chương 2 Các Kỹ Thuật Tấn Công & Một Số Tools Tấn Công 2.1 Winnuke (Hình 1.1: Gói tin TCP Header được Attacker sử dụng) Attack loại này chỉ có thể áp dụng cho các máy tính đang chạy Windows9x . Hacker sẽ gởi các gói tin với dữ liệu “Out of Band” đến port 139 của máy tính đích.( Cổng 139 chính là cổng NetBIOS, cổng này chỉ chấp nhận các gói tin có cờ Out of Band được bật ). Khi victim nhận được gói tin, một màn hình xanh báo lỗi sẽ được hiển thị do chương trình của Windows nhận được các gói tin dẫn đến hệ thống sẽ bị treo. 34 2.2 Teardrop (Hình 1.2: Cơ chế tấn công bằng Teardrop) Dựa vào quá trình di chuyển dữ liệu từ máy nguồn tới máy đích qua 2 quá trình là dữ liệu sẽ được phân ra thành các mảnh nhỏ ở hệ thống nguồn và mỗi mảnh đều có một giá trị offset định để xác định vị trí của mảnh đó trong gói dữ liệu được chuyển đi.Khi các mảnh này đến hệ thống đích, hệ thống đích sẽ dựa vào giá trị offset để sắp xếp các mảnh lại với nhau theo thứ tự đúng như ban đầu.Tận dụng điều đó Hacker gởi đến hệ thống đích một loạt gói packets với giá trị offset chồng chéo lên nhau. Hệ thống đích sẽ không thể nào sắp xếp lại các packets này,vì vậy hệ thống đích có thể bị treo, reboot hoặc ngừng hoạt động nếu số lượng gói packets với giá trị offset chồng chéo lên nhau quá lớn.Các hệ điều hành như Windows NT,Windows 95 thậm chí cả Linux trước khi lên phiên bản 2.1.63 là rất dễ bị tấn công bởi phương pháp này. 34 2.3 Smuft Attack (Hình 1.3: Mô hình tấn công Smuft Attack) Hai nhân tố chính trong Smuft Attack là là các ICMP echo request packets và chuyển trực tiếp các packets đến các địa chỉ broadcast. + Giao thức ICMP thường dùng để xác định một máy tính trên mạng Internet có còn hoạt động(alive) hay không. + Mỗi mạng máy tính đều có địa chỉ địa chỉ broadcast và địa chỉ mạng. Địa chỉ broadcast có các bit host đều bằng 0 và địa chỉ broadcast có các bit host đều bằng 1. Một kiểu tấn công khó chịu của DoS là Smurf Aack .Trong Smurf Attack, có ba thành phần: hacker (người ra lệnh tấn công), mạng khuếch đại (sẽ lệnh của hacker) và hệ thống của nạn nhân. Hacker sẽ gởi các gói tin ICMP echo đến địa chỉ broadcast của mạng khuếch đại. Điều đặc biệt là các gói tin ICMP packets này có địa chỉ IP nguồn chính là địa chỉ IP của victim. Khi các packets đó đến được địa chỉ broadcast của mạng khuếch đại, các máy tính trong mạng khuếch đại sẽ tưởng rằng máy tính nạn nhân đã gởi gói tin ICMP packets đến và chúng sẽ đồng loạt gởi trả lại hệ thống nạn nhân các gói ICMP reply packets. Victim sẽ không chịu nổi một khối lượng khổng lồ các gói tin này và nhanh chóng bị ngừng hoạt động, crash hoặc reboot.Phần khó chịu của cuộc tấn công này là Hacker có thể sử dụng kết nối băng thông thấp để diệt kết nối băng thông cao.Như vậy, chỉ cần gởi một lượng nhỏ các gói tin ICMP packets đi thì hệ thống mạng khuếch đại sẽ khuếch đại lượng gói tin ICMP packets này lên gấp bộI.Tỉ lệ 34 khuếch đại phụ thuộc vào số máy tính phía sau Router có trong mạng khuếch đại. Nhiệm vụ của các hacker là cố chiếm được càng nhiều hệ thống mạng hoặc routers cho phép chuyển trực tiếp các gói tin đến địa chỉ broadcast không qua chỗ lọc địa chỉ nguồn ở các đầu ra của gói tin.Có được các hệ thống này, hacker sẽ dễ dàng tiến hành Smurf Attack trên các hệ thống cần tấn công. 2.4 Fraggle Attack (Hình 1.4: Mô Hình tấn công bằng Fraggle Attack) Tương tự như Smurt attack nhưng thay vì dùng gói tin ICMP ECHO REQUEST thì sẽ dùng cách tấn công này sẽ dùng gói tin UDP ECHO gởi đến mục tiêu.Nhưng Flaggle Attack nguy hiểm hơn Smurt attack rất nhiều.Vì Attacker tấn công bằng một gói tin ECHO REQUEST với địa chỉ bên nhận là một địa chỉ broadcast, toàn bộ hệ thống thuộc địa chỉ này lập tức gửi gói tin REPLY đến port echo của victim, sau đó từ victim một gói tin ECHO REPLY lại gửi trở về địa chỉ broadcast, và quá trình cứ thế tiếp diễn. [...]... hệ thống của các nhà cung cấp là hết sức quan trong và cần thiết.Ngoài ra, hệ thống cần theo dõi các yêu cầu trao đổi nội dung giữa client và server, nhằm tránh cho server chịu tấn công qua các thành phần gián tiếp Ngăn ngừa kênh phát động tấn công sử dụng công cụ Có rất nhiều các công cụ tự động tấn công DoS, chủ yếu là tấn công phân tán DDoS như TFN, TFN2000 (Tribe Flood Network) tấn công dựa trên... UDP, SYN, hay ICMP Các công cụ này có đặc điểm cần phải có các kênh phát động để zombie thực hiện tấn công tới một đích cụ thể.Vì vậy hệ thống cần phải có sự giám sát và ngăn ngừa các kênh phát động đó Ngăn chặn tấn công trên băng thông Khi một cuộc tấn công DoS được phát động, dựa vào sự thay đổi các thành phần của lưu lượng hệ thống mạng mà ta có thể phát hiện của tấn công DoS Ví dụ một hệ thống mạng... sẽ tự động tấn công DoS tới victim đã chỉ định khi mình bật máy lên,dù chưa làm 1 thao tác nào.Để kiểm tra thì chúng ta sử dụng WireShark sẽ thấy rõ vấn đề 34 Chương 3 Biện Pháp Phòng Chống DoS và Mô Hình 3.1 Các giải pháp phòng chống tấn công DoS Dựa vào thực trạng hiện nay và mật độ các cuộc tấn công DoS xảy ra có xu hướng gia tăng thì việc bảo vệ hệ thống và phòng chống các cuộc tấn công là điều... sự cố và vấn đề .Và ví dụ cụ thể là việc trang web vietnamnet bị tấn công DoS đã làm cho thiệt hại cả người và của 34 Chương 4 Thực Nghiệm 4.1 Giới thiệu về tấn công thực nghiệm Cuộc tấn công DoS trong thực nghiệm dưới đây chỉ mang tính minh họa cho lý thuyết ở trên và không mang tính phá hoại nên chỉ sử dụng công cụ có các tính năng nhẹ nhằm giảm tính phá hoại hệ thống .Công cụ sử dụng ở đây là DoSHTTP... ngừa việc tấn công này là khả năng kiểm soát được số lượng yêu cầu SYN-ACK tới hệ thống mạng 34 Phát hiện và ngăn chặn tấn công tới hạn số kết nối Bản thân các server có một số lượng tới hạn đáp ứng các kết nối tới nó Ngay bản thân firewall (đặc biệt với các firewall có tính năng stateful inspection), các kết nối luôn được gắn liền với bảng trạng thái có giới hạn dung lượng Đa phần các cuộc tấn công đều... đã khéo léo gửi các gói tin trên các đoạn phân mảnh.Khi máy tính victim ráp các phân mảnh dữ liệu thì sẽ nhận thấy gói tin quá lớn.Điều này sẽ gây ra lỗi tràn bộ đệm và treo các thiết bị Nhưng đến nay thì hầu hết các thiết bị được sản xuất sau năm 1998 đã miễn dịch với loại tấn công này 34 2.9 Tấn Công DNS (Hình 1.3: Mô hình tấn công DNS) Đầu tiên,Hacker tấn công vào DNS server bằng các phương pháp... DoSHTTP 2.5.1,là công cụ có tính phá hoại nhẹ và cũng là công cụ giúp đỡ cho các quản trị viên kiểm tra và đánh giá hiệu năng của máy chủ Web nhằm đảm bảo tính ổn định và đưa ra các giải pháp tốt nhất cho hệ thống 4.2 Công cụ và các bước chuẩn bị: Đầu tiên ta cần chuẩn bị: • Phần mềm DoSHTTP 2.5.1 (Được giới thiệu ở mục 2.10.2) • Phần mềm phân tích gói tin WireShark • Xác định mục tiêu cần tấn công (ở đây... 80% TCP và 20% UDP và ICMP Thống kê này nếu có thay đổi rõ rệt có thể là dấu hiệu của một cuộc tấn công Việc phân tán lưu lượng trong hệ thống mạng gây ra bởi các WORM để lại các tác hại lên router, firewall, hoặc cơ sở hạ tầng mạng.Do đó hệ thống cần được giám sát và điều phối băng thông nhằm giảm thiểu tác hại của tấn công dạng này Ngăn chặn tấn công qua SYN SYN Flood là một trong những tấn công cổ... Giao diện sử dụng cách tấn công Ping Of Death) Và kết quả đạt được sau khi cấu hình IPS: (Hình 3.8: Giao diện cảnh báo và xử lý của IPS) Như vậy,ta đã xây dựng 1 hướng giải quyết việc tấn công bằng DoS, đó là xây dưng hệ thống IPS Nhưng nhìn chung,nếu chúng ta xây dựng 1 hệ thống tốt thì chúng ta chỉ có thể hạn chế việc bị tấn công DoS quy mô vừa và nhỏ.Nếu Server hay hệ thống bị tấn công với quy mô lớn... năng là một đoạn mã văn bản hay một số lượng dữ liệu được sinh ngẫu nhiên hay từ một file - Được sử dụng để kiểm tra khả năng đáp ứng của server 2.10.4 rDoS (Hình 2.4: Giao diện phần mềm rDoS) 34 Phần mềm chạy trên nền TCP và phương pháp tấn công là làm ngập lụt SYN Chỉ cần nhập IP của Vitim và Port muốn tấn công thì chương trình sẽ tự động chạy Lưu ý:Khi sử dụng thì phải cẩn thận và thoát ra đúng cách