Nghiên cứu và xây dựng mô hình phòng chống tấn công từ chối dịch vụ ứng dụng Snort

Sự tấn công này làm giảm khả năng đáp ứngyêu cầu từ người dùng và làm ngập lụt hệ thống, khiến website không thể trả lạithông tin theo truy vấn của khách hàng và rõ ràng đây là việc mà k

giáo trong trường Đại học Duy Tân nói chung và các thầy cô giáo trong khoa Côngnghệ thông tin, bộ môn Kỹ thuật mạng nói riêng đã tận tình giảng dạy, truyền đạtcho em những kiến thức, kinh nghiệm quý báu trong suốt thời gian qua.

Đặc biệt, em xin gửi lời cảm ơn đến thầy giáo Nguyễn Gia Như, thầy đã tậntình giúp đỡ, trực tiếp chỉ bảo, hướng dẫn em trong suốt quá trình làm khóa luận tốtnghiệp này Trong thời gian làm việc với thầy, em không ngừng tiếp thu thêm nhiềukiến thức bổ ích mà còn học tập được tinh thần làm việc, thái độ nghiên cứu nghiêmtúc, hiệu quả, đây là những điều rất cần thiết cho em trong quá trình học tập và côngtác sau này

Sau cùng xin gửi lời cảm ơn chân thành tới gia đình, bạn bè đã động viên,đóng góp ý kiến và giúp đỡ trong quá trình học tập, nghiên cứu và hoàn thành đồ ántốt nghiệp này

Mặc dù đã rất cố gắng, nhưng trong một khoảng thời gian cho phép, cũngnhư hạn chế về mặt kiến thức của bản thân, cuốn đồ án này không thể tránh khỏinhiều thiếu sót Chính vì vậy, em rất mong nhận được sự góp ý của các thầy giáo,

cô giáo cũng như của bạn bè và những người có quan tâm đến lĩnh vực mà cuốn đồ

án này đã được trình bày

Đà Nẵng, tháng 5 năm 2014

NGUY N H U NGUYÊN TÂM ỄN HỮU NGUYÊN TÂM ỮU NGUYÊN TÂM

L I C M N ỜI CẢM ƠN ẢM ƠN ƠN 1

M C L C ỤC LỤC ỤC LỤC 2

DANH M C HÌNH V ỤC LỤC Ẻ 5

THUẬT NG , T ỮU NGUYÊN TÂM Ừ VIẾT TẮT 7

M Đ U Ở ĐẦU ẦU 10

1 LÝ DO CH N Đ TÀI ỌN ĐỀ TÀI Ề TÀI 10

2 MỤC LỤCC TIÊU VÀ NHIỆM VỤC LỤC 10

3 Đ I T ỐI TƯỢNG NGHIÊN CỨU ƯỢNG NGHIÊN CỨU NG NGHIÊN C U ỨU 10

4 PH M VI NGHIÊN C U ẠM VI NGHIÊN CỨU ỨU 10

5 Ý NGHĨA KHOA H C VÀ TH C TI N ỌN ĐỀ TÀI ỰC TIỄN ỄN HỮU NGUYÊN TÂM 11

6 B C C 11 ỐI TƯỢNG NGHIÊN CỨU ỤC LỤC CH ƯƠN NG 1: T NG QUAN AN TOÀN M NG ỔNG QUAN AN TOÀN MẠNG ẠM VI NGHIÊN CỨU 12

M Đ U Ở ĐẦU ẦU 12

1.1 NGUY C NH H ƠN ẢM ƠN ƯỞ ĐẦU NG Đ N AN TOÀN M NG Ế ẠM VI NGHIÊN CỨU 12

1.1.1 L h ng ổ hổng ổ hổng 12

1.1.2 Các kỹ thu t t n công trên m ng ật tấn công trên mạng ấn công trên mạng ạng 13

1.1.3 Các hình th c t n công trên m ng ức tấn công trên mạng ấn công trên mạng ạng 14

1.2 CÁC D CH V C CH B O M T VÀ T N CÔNG ỊCH VỤ CƠ CHẾ BẢO MẬT VÀ TẤN CÔNG ỤC LỤC ƠN Ế ẢM ƠN Ậ ẤN CÔNG 20

1.2.1 D ch v b o m t ( Security service) ịch vụ bảo mật ( Security service) ụ bảo mật ( Security service) ảo mật ( Security service) ật tấn công trên mạng 20

1.2.2 C ch b o m t (Security Mechanish) ơ chế bảo mật (Security Mechanish) ế bảo mật (Security Mechanish) ảo mật ( Security service) ật tấn công trên mạng 20

1.3.3 T n công b o m t (Security Attack) ấn công trên mạng ảo mật ( Security service) ật tấn công trên mạng 21

CH ƯƠN NG 2: KỸ THU T T N CÔNG DOS /DDOS VÀ H TH NG IDS Ậ ẤN CÔNG Ệ ỐI TƯỢNG NGHIÊN CỨU 22

GI I THI U CHUNG V DOS/DDOS 22 $ Ệ Ề TÀI 2.1 KHÁI NI M DOS (DENIAL OF SERVICE) Ệ 23

2.2 CÁC KỸ THU T T N CÔNG Ậ ẤN CÔNG 24

2.2.1 Khái ni m TCP b t tay ba chi u ệm TCP bắt tay ba chiều ắt tay ba chiều ều 24

2.2.3 T n công vào băng thông ấn công trên mạng 26

2.2.4 Ki u t n công vào tài nguyên h th ng ểu tấn công vào tài nguyên hệ thống ấn công trên mạng ệm TCP bắt tay ba chiều ống 27

2.3 KHÁI NI M DDOS (DISTRIBUTED DENIAL OF SERVICE) Ệ 28

2.3.1 Các giai đo n c a cu c t n công DDos ạng ủa cuộc tấn công DDos ộc tấn công DDos ấn công trên mạng 28

2.3.2 Ki n trúc t ng quan c a DDos attack-network: ế bảo mật (Security Mechanish) ổ hổng ủa cuộc tấn công DDos 32

2.3.3 Mô hình Agent – Handler 32

2.3.4 Mô hình IRC – Based 33

2.4 PHÂN LO I KI U T N CÔNG DDOS ẠM VI NGHIÊN CỨU ỂU TẤN CÔNG DDOS ẤN CÔNG 35

2.4.1 Nh ng ki u t n công làm c n ki t băng thông ững kiểu tấn công làm cạn kiệt băng thông ểu tấn công vào tài nguyên hệ thống ấn công trên mạng ạng ệm TCP bắt tay ba chiều 35

2.4.2 Nh ng ki u t n công làm c n ki t tài nguyên ững kiểu tấn công làm cạn kiệt băng thông ểu tấn công vào tài nguyên hệ thống ấn công trên mạng ạng ệm TCP bắt tay ba chiều 39

2.5 TÌM HI U V IDS ỂU TẤN CÔNG DDOS Ề TÀI 41

2.5.1 Khái ni m ệm TCP bắt tay ba chiều 41

2.5.2 Các thành ph n và ch c năng c a IDS ần và chức năng của IDS ức tấn công trên mạng ủa cuộc tấn công DDos 42

2.5.3 Phân lo i IDS ạng 43

2.5.4 Network Base IDS (NIDS) 43

2.5.5 Host Base IDS (HIDS) 45

2.6 TÌM HI U V SNORT ỂU TẤN CÔNG DDOS Ề TÀI 46

2.6.1 Gi i thi u chung v Snort ới thiệu chung về Snort ệm TCP bắt tay ba chiều ều 46

2.6.2 Các thành ph n và ần và chức năng của IDS cơ chế bảo mật (Security Mechanish) chế bảo mật (Security Mechanish) hoạngt đ ng ộc tấn công DDos c a ủa cuộc tấn công DDos Snort 47

2.6.3 Tật tấn công trên mạngp lu t ật tấn công trên mạng (rulesets) trong Snort 50

2.7 XÂY D NG C CH PHÒNG TH ỰC TIỄN ƠN Ế Ủ 51

2.7.1 Chu n ẩn b ịch vụ bảo mật ( Security service) trưới thiệu chung về Snortc mộc tấn công DDost cuộc tấn công DDosc t n ấn công trên mạng công DoS/DDoS 52

2.7.2 X lý h ử lý h ệm TCP bắt tay ba chiều th ng khi x y ống ảo mật ( Security service) ra t n ấn công trên mạng công DoS/DDoS 58

CH ƯƠN NG 3: MÔ PH NG T N CÔNG VÀ PHÒNG TH ỎNG TẤN CÔNG VÀ PHÒNG THỦ ẤN CÔNG Ủ 61

3.1 GI I THI U MÔ HÌNH $ Ệ 61

3.1.1 Các b ưới thiệu chung về Snort c th c hi n ực hiện phương pháp SYN flood truyền thống ệm TCP bắt tay ba chiều 62

3.1.2 Cài đ t Snort ặt Snort 64

3.1.3 Cài đặt tập luật cho Snort 66

3.2 KI M TH ỂU TẤN CÔNG DDOS Ử 70

3.2.3 Ki m tra khi truy c p web ểu tấn công vào tài nguyên hệ thống ật tấn công trên mạng 76

K T LU N Ế Ậ 79

TÀI LIỆU THAM KHẢM ƠNO 82

Hình 2.1: Cơ chế thiết lập kết nối trước khi truyền số

liệu 26

Hình 2.2: Tấn công DoS truyền thống 26

Hình 2.3 Kiểu tấn công DoS vào băng thông 28

Hình 2.4 Tiến trình Scanning 30

Hình 2.5 IRC bot Scanning 32

Hình 2.8 Kiến trúc attack-network của kiểu

IRC-Base 35

Hình 2.9 Những kiểu tấn công DDoS 37

Hình 2.10 Amplification Attack 39

Hình 2.11 Protocol Exploit Attack(1) 40

Hình 2.12 Protocol Exploit Attack (2) 41

Hình 2.13 Protocol Exploit Attack (3) 41

Hình 2.14 Mô hình kiến trúc phát hiện xâm nhập 44

Hình 2.15 Mô Hình NIDS 46

Hình 2.16 C ơ chế hoạt đ n ộn g c a ủa IDS 50

Hình 2.17 Cấu trúc Rule 52

Hình 3.1 Mô hình triển khai demo 63

Hình 3.2 Kiểm tra môi trường cài đặt Snort 66

Hình 3.3 Biên dịch Snort 67

Hình 3.4 Đưa cấu hình Snort vào các thư mục cần thiết cấu hình Snort 67

Hình 3.5 Bảng Tables trong mysql 70

Hình 3.6 Giao diện Base trước khi tiến hành ping 73

Hình 3.7 Ping đến máy 192.168.1.10 73

Hình 3.8 Giao diện Base sau khi ping 74

Hình 3.9 Bảng hiển thị cảnh báo 75

Hình 3.10 Giao diện ping không thành công 76

Hình 3.13 Tool tấn công DDoS(2) 77 Hình 3.14 Giao diện của base sau khi ping không thành công 78 Hình 3.15 Giao diện khi truy cập web

Scanning, là tiến trình “quét”, trước đây được attacker thực hiện bằng

tay, sử dụng những công cụ “thô” Qua thời gian, những công cụ scanning đượccải thiện và những chức năng của nó đã tích hợp và tự động Như chúng tatừng nghe nói đến về worm, một trong những hình thức tự động scanning

Blended threat đầu tiên cũng là những chương trình đơn thuần hoặc

một nhóm các chương trình cung cấp nhiều dịch vụ, nó là những tập lệnh và điều

khiển sử dụng một IRC bot và scanning lỗ hổng.

Flooding thường được dùng trong cuộc tấn công từ chối dịch vụ (DoS) Nó

tạo ra một số lượng rất lớn các gói tin vào hệ thống mục tiêu, khiến hệ thống bị sụpđỗ

ODBC cung cấp một chuẩn bằng phương thức client kết nối vào một CSDL.

Để biết nhiều thông tin về ODBC, vào http://odb c o r g

Cleartext là dạng thông điệp chứa những ký tự mà khi nhìn vào nó, ta có

thể hiểu đầy đủ ý nghĩa của những chuỗi ký tự này

Attacker: người tấn công vào hệ thống máy tính, đồng nghĩa với intruder, craker, hacker.

Master: cũng thường gọi là handler,client là hệ thống bị cài phần mềm xâm

nhập, chịu sự quản lý của attacker

Daemon: hay còn gọi là agent, bcast (broadcast) program, hay zombie Là

Signature: dấu hiệu Mỗi một cuộc tấn công hay xâm nhập vào tổ chức

mạng đều mang một dấu hiệu đặc trưng Nhờ đó, người ta mới rút ra được nhữngluật định và xây dựng thành những tập luật riêng

Rule hay Ruleset: tập luật luôn được sử dụng trong các hệ thống phát hiện

xâm nhập (IDS) hay các hệ thống ngăn chặn xâm nhập (IPS, Firewall) nhằm pháthiện và ngăn chặn các hành động hay dấu hiệu xâm phạm vào hệ thống

False Posities: khi nhận ra những định dạng xuất loại này, tức là hệ thống

IDS đã sinh ra những cảnh báo mà thực chất lưu lượng nó “bắt được” là nhữnglưu lượng “bình thường” (không phải lưu lượng nguy hiểm)

Tcpdump là một chương trình, tiện ích tích hợp sẵn trên các hệ thống Linux,

Unix Sử dụng tcpdump cũng giống như các chương trình bắt gói tin

C

ác t ừ ng ữ vi ế t t ắ t:

- IDS - Intrusion Detection System: Hệ thống phát hiện xâm nhập

- IPS – Intrusion Prevention System: Hệ thống ngăn chặn xâm nhập

- Snort: là một chương trình IDS

- Firewall: tường lửa

- DoS - Denial of Service Từ chối dịch vụ

- DDoS - Distribute Denial of Service Từ chối dịch vụ phân tán

- IRC – Internet Relay Chat

- ISP - Internet Service Provider Nhà cung cấp dịch vụ internet

- DNS - Domain Name Service Dịch vụ tên miền

- TFN - Tribe Flood Network Một công cụ tấn công DDoS

- TFN2K - Tribe Flood Network 2000

- FTP- File Transfer Protocol Giao thức truyền tập tin

- SNMP - Simple Network Managerment Protocol

- TCP – Transfer Control Protocol: giao thức điều khiển truyền vận

điều khiển internet.

- IP – Internet Protocol: giao thức internet

- TTL – Time To Live

- ToS – Time of Service

- ACID - Analysis Console for Intrusion Databases

- BASE – Basic Analysis and Security Engine

- HTTP – HyperText Trasfer Protocol

- HTML – HyperText Mark Language

Website có lượt truy cập cao là mong muốn của hầu hết những khách hàng thiết kếwebsite Tuy nhiên, có đôi lúc con số thống kê số lượng truy cập không chính xácbởi sự tấn công của những kẻ phá hoại Sự tấn công này làm giảm khả năng đáp ứngyêu cầu từ người dùng và làm ngập lụt hệ thống, khiến website không thể trả lạithông tin theo truy vấn của khách hàng và rõ ràng đây là việc mà không nhà quản trịwebsite nào mong muốn.

Và một trong những cách mà tin tặc dùng để tấn công các trang web là Dos hayDDos Trong bài viết này tôi sẽ trình bày một cách tổng quát nhất có thể, về cáchthức tấn công các trang web của hình thức này Từ đó đưa ra những giải pháp tốtnhất để phòng chống cách thức tấn công này Và đó cũng chính là lý do tôi chọn đểtài “Nghiên c u và xây d ng mô hình phòng ch ng t n công t ch i d ch ức tấn công trên mạng ực hiện phương pháp SYN flood truyền thống ống ấn công trên mạng ừ chối dịch vụ DosHTTP ống ịch vụ bảo mật ( Security service)

v ng d ng Snort ụ bảo mật ( Security service) ức tấn công trên mạng ụ bảo mật ( Security service) ” làm hướng nghiên cứu trong báo cáo khóa luận

2 MỤC TIÊU VÀ NHIỆM VỤ

- Hiểu rõ đặc điểm và cách thức tấn công của DoS & DDoS

- Nắm vững các lỗ hổng mà DoS & DDoS dựa vào để tấn công

3 ĐỐI TƯỢNG NGHIÊN CỨU

Nghiên cứu lý thuyết về DoS & DDoS, tìm hiểu cách thức phòng chống của hệthống IDS ứng dụng Snort, từ đó đưa ra các giải pháp phòng thủ trước các cuộc tấncông của DoS & DDoS

4 PHẠM VI NGHIÊN CỨU

- Tìm hiểu về đặc điểm và cách thức tấn công của DoS & DDoS

- Tìm hiểu các thành phần chức năng của IDS và đưa ra giải pháp phòng thủ

5 Ý NGHĨA KHOA HỌC VÀ THỰC TIỄN

Hiện nay, bất kỳ một nhà quảng trị mạng nào cũng phải luôn đề cao cảnh giác vớicác loại hình tấn công các trang web do mình quảng trị Mà loại hình tấn công nguyhiểm nhất là dùng Dos (tấn công từ chối dịch vụ) hay Ddos (phân bố tấn công từchối dịch vụ)

Để thuận lợi cho công việc sau này, tôi muốn đi sâu tìm hiểu về cách thức tấn côngcủa loại này từ đó có những giải pháp khả dỉ nhất để phòng chống

Thông qua bài viết này, tôi cũng muốn những ai chưa biết nhiều về sự nguy hiểmcũng như nguy cơ tiềm ẩn của hệ thống có thể bị tấn công Dos hay Ddos sẽ có sựchuẩn bị tốt nhất cho hệ thống, giảm tối thiểu các ảnh hưởng của các cuộc tấn công

6 BỐ CỤC

CHƯƠNG 1: TỔNG QUAN AN TOÀN MẠNG

Trong bối cảnh tiến trình hội nhập, vấn đề an ninh mạng và bảo mật dữ liệuđang trở nên rất được quan tâm Khi cơ sở hạ tầng và các công nghê mạng đã đápứng các yêu cầu về băng thông, chất lượng dịch vụ, đồng thời thực trạng tấn côngtrên mạng đang ngày một gia tăng thì vấn đề bảo mật càng được chú trọng hơn.Không chỉ các nhà cung cấp dịch vụ Internet, các cơ quan chính phủ mà các doanhnghiệp, tổ chức cũng có ý thức hơn về an toàn thông tin

1.1.1 Lổ hổng

Các lỗ hổng bảo mật trên một hệ thống là các điểm yếu có thể tạo ra sựngưng trệ của dịch vụ, thêm quyền đối với người sử dụng hoặc cho phép các truynhập không hợp pháp vào hệ thống Các lỗ hổng cũng có thể nằm ngay các dịch vụcung cấp như sendmail, web, ftp Ngoài ra các lỗ hổng còn tồn tại ngay chính tại

hệ điều hành như trong Windows NT, Windows 95, UNIX; hoặc trong các ứngdụng mà người sử dụng thương xuyên sử dụng như Word processing, các hệ thốngdatabases

Có nhiều tổ chức khác nhau tiến hành phân loại các dạng lỗ hổng đặc biêt.Theo cách phân loại của Bộ quốc phòng Mỹ, các loại lỗ hổng bảo mật trên một hệthống được chia như sau:

- Lỗ hổng loại C: các lỗ hổng loại này cho phép thực hiện các phương thức

tấn công theo DoS (Dinal of Services - Từ chối dịch vụ) Mức độ nguy hiểm thấp,chỉ ảnh hưởng tới chất lượng dịch vụ, có thể làm ngưng trệ, gián đoạn hệ thống,không làm phá hỏng dữ liệu hoặc đạt được quyền truy nhập bất hợp pháp

- Lổ hổng loại B: Các lỗ hổng cho phép người sử dụng có thêm các quyền

trên hệ thống mà không cần thực hiện kiểm tra tính hợp lệ Mức độ nguy hiểm trungbình, những lỗ hổng này thường có trong các ứng dụng trên hệ thống, có thể dẫnđến mất hoặc lộ thông tin yêu cầu bảo mật

- Lỗ hổng loại A: Các lỗ hổng này cho phép người sử dụng ở ngoài có thể

truy nhập vào hệ thống bất hợp pháp Lỗ hổng rất nguy hiểm, có thể làm phá hủytoàn bộ hệ thống

1.1.2 Các kỹ thuật tấn công trên mạng

 Giả mạo địa chỉ

Giả mạo địa chỉ có thể được thực hiện thông qua sử dụng khả năng dẫnđường trực tiếp Với cách tấn công này kẻ tấn công gửi các gói tin tới mạng khácvới một địa chỉ giả mạo, đồng thời chỉ rõ đường dẫn mà các gói tin phải đi Thí dụngười nào đó có thể giả mạo địa chỉ của bạn để gửi đi những thông tin có thể làmảnh hưởng xấu tới bạn

 Vô hiệu hoá các chức năng của hệ thống

Đây là kiểu tấn công làm tê liệt hệ thống, làm mất khả năng cung cấp dịch vụ(Denial of Service - DoS) không cho hệ thống thực hiện được các chức năng mà nóđược thiết kế Kiểu tấn công này rất khó ngăn chặn bởi chính những phương tiệndùng để tổ chức tấn công lại chính là những phương tiện dùng để làm việc và truycập thông tin trên mạng Một thí dụ về trường hợp có thể xảy ra là một người trênmạng sử dụng chương trình đẩy ra những gói tin yêu cầu về một trạm nào đó Khinhận được gói tin, trạm luôn luôn phải xử lý và tiếp tục thu các gói tin đến sau chođến khi bộ đệm đầy, dẫn tới tình trạng những nhu cầu cung cấp dịch vụ của các máykhác đến trạm không được phục vụ

Điều đáng sợ là các kiểu tấn công DoS chỉ cần sử dụng những tài nguyêngiới hạn mà vẫn có thể làm ngưng trệ dịch vụ của các site lớn và phức tạp Do vậyloại hình tấn công này còn được gọi là kiểu tấn công không cân xứng (asymmetricattack) Chẳng hạn như kẻ tấn công chỉ cần một máy tính PC thông thường với mộtmodem tốc độ chậm vẫn có thể tấn công làm ngưng trệ các máy tính mạnh haynhững mạng có cấu hình phức tạp

 Tấn công vào các yếu tố con người

Đây là một hình thức tấn công nguy hiểm nhất nó có thể dẫn tới những tổnthất hết sức khó lường Kẻ tấn công có thể liên lạc với người quản trị hệ thống thayđổi một số thông tin nhằm tạo điều kiện cho các phương thức tấn công khác

Ngoài ra, điểm mấu chốt của vấn đề an toàn, an ninh trên mạng chính là người sửdụng Họ là điểm yếu nhất trong toàn bộ hệ thống do kỹ năng, trình độ sử dụng máytính, bảo mật dữ liệu không cao Chính họ đã tạo điều kiện cho những kẻ phá hoạixâm nhập được vào hệ thống thông qua nhiều hình thức khác nhau như qua emailhoặc sử dụng những chương trình không rõ nguồn gốc, thiếu độ an toàn

Với kiểu tấn công như vậy sẽ không có bất cứ một thiết bị nào có thể ngănchặn một cách hữu hiệu chỉ có phương pháp duy nhất là hướng dẫn người sử dụngmạng về những yêu cầu bảo mật để nâng cao cảnh giác Nói chung yếu tố con người

là một điểm yếu trong bất kỳ một hệ thống bảo vệ nào và chỉ có sự hướng dẫn củangười quản trị mạng cùng với tinh thần hợp tác từ phía người sử dụng mới có thểnâng cao độ an toàn của hệ thống bảo vệ

internet information queries

a) Packet sniffers:

Là phần mềm ứng dụng dùng một card adapter với promiseous mode để bắtgiữ tất cả các gói tin gởi xuyên qua một mạng LAN Kỹ thuật này chỉ thực hiệnđược trên cùng một collision domain

Packet sniffers sẽ khai thác những thông tin được truyền ở dạng clear text.Những giao thức truyền ở dạng clear text bao gồm: Telnet, FTP, SNMP, POP,HTTP…

Line 1: PASS secretpass

Ta nhận thấy password được truyền đi ở dạng clear text là secrectpass

Bởi vì packet được truyền đi không được mã hoá như trên, nó có thể bị xử lýbởi bất kỳ ai sử dụng kỹ thuật packet sniffers

Những công cụ sau được dùng ngăn cản packet sniffers gồm: authentication,switched infrastrutured, antisniffer và cryptography

b) Authentication:

Kỹ thuật xác thực này được thực hiện phổ biến như one-type password(OTPs) Kỹ thuật này được thực hiện bao gồm hai yếu tố: personal identificationnumber ( PIN ) và token card để xác thực một thiết bị hoặc một phần mềm ứngdụng

Token card là thiết bị phần cứng hoặc phần mềm sản sinh ra thông tin một cáchngẫu nhiên ( password ) tai một thời điểm, thường là 60 giây

Khách hàng sẽ kết nối password đó với một PIN để tạo ra một password duynhất Giả sử một hacker học được password đó bằng kỹ thuật packet sniffers, thôngtin đó cũng không có giá trị vì nó đã hết hạn

c) Switched infrastructured:

Kỹ thuật này có thể dùng để ngăn chặn packet sniffers trong môi trườngmạng Vd: nếu toàn bộ hệ thống sử dụng switch ethernet, hacker chỉ có thể xâmnhập vào luồng traffic đang lưu thông tại một host mà hacker kết nối đến Kỹ thuậtnày không làm ngăn chặn hoàn toàn packet sniffer nhưng nó có thể giảm được tầmảnh hưởng của nó

 Antisniffer tools:

Là những phần mềm và phần cứng được thiết kế để ngăn chặn sniffer Thật

sự những ứng dụng này không ngăn chặn được hoàn toàn nguy cơ bị sniffer nhưngcũng giống như những công cụ khác, nó là một phần của toàn bộ hệ thống

Kỹ thuật mã hoá này giúp cho dữ liệu được truyền đi qua mạng mà không ở

dạng clear text Giả sử hacker có bắt được dữ liệu thì cũng không thể giải mã đượcthông tin

Phương pháp này có hiệu lực hơn so với việc dò tìm và ngăn cản sniffer.Nếu như một kênh truyền được mã hoá, dữ liệu mà packet sniffer dò tìm được cũngkhông có giá trị và không phải là thông tin chính xác ban đầu

Hệ thống mã hóa của Cisco dựa trên kỹ thuật IPSec, giao thức mã hóa “đường hầm” dựa trên địa chỉ IP Những giao thức gồm: Secure Sell Protocol( SSH ) và Secure Socket Layer ( SSL )

d) Port scans and ping sweeps:

 Kỹ thuật này được tiến hành nhằm những mục đích như sau:

Kỹ thuật IDS được dùng để cảnh báo cho nhà quản trị khi có reconnaissanceattacks như là port scans và ping sweeps IDS giúp nhà quản trị có sự chuẩn bị tốtnhằm ngăn cản hacker

e) Internet information queries:

DNS queries có thể chỉ ra nhiều thông tin như là người sở hữu một domainnào đó và range địa chỉ nào được ấn định cho domain đó

Hacker sử dụng công cụ này để “ trinh sát” tìm ra các thông tin trên mạng Cùng với port scans và ping sweeps, sau khi tìm ra được những thông tin đầy

đủ như các port active, các giao thức chạy trên port đó, hacker tiến hành kiểm tra

những đặc trưng của các ứng dụng này để tìm ra điểm yếu và bắt đầu tấn công

1.1.3.2 Access attacks

Trong phương pháp này, kẻ xâm nhập điển hình tấn công vào mạng nhằm:đánh cắp dữ liệu, giành lấy quyền access, và giành lấy những đặc quyền access saunày

Access attacks có thể bao gồm:

sẻ quyền lợi Nếu như có đủ tài nguyên thì hacker sẽ tạo ra một cửa sổ kín cho lầnaccess sau

Hacker có thể làm thay đổi bảng định tuyến trong mạng Điều đó sẽ làm chắcchắn rằng tất cả các gói tin sẽ được gởi đến hacker trước khi được gởi đến đíchcuối cùng

Trong một vài trường hợp, hacker có thể giám sát tất cả các traffic, thật sự trởthành một man in the middle

Ta có thể hạn chế password attack bằng những cách sau:

Không cho phép user dùng cùng password trên các hệ thống

Làm mất hiệu lực account sau một vài lần login không thành công Bước kiểm tranày giúp ngăn chặn việc rà soát password nhiều lần

Không dùng passwords dạng clear text: dùng kỹ thuật OTP hoặc mã hoá password

như đã trình bày phần trên

Dùng “strong” passwords: Dạng password này dùng ít nhất 8 ký tự, chứa cácuppercase letters, lowercase letters, những con số và những ký tự đặc biệt

ra một traffic trực tiếp từ host outside đến host inside Kết nối này sẽ ko thực hiệnthông qua firewall Như vậy, host bên ngoài giành được quyền kết nối với host bêntrong thông qua qui trình port redirection tại host trung tâm ( public services host )

d) Man in the middle attack:

 Kỹ thuật man in the middle được thực hịên bao gồm:

- Netword packet sniffers

- Giao thức routing và transport

- Tấn công man in the middle nhằm mục đích:

- Đánh cắp dữ liệu

- Giành lấy một phiên giao dịch

- Phân tích traffic trong mạng

- Phá hỏng dữ liệu được truyền

Một ví dụ của man in the middle attack đó là: một người làm việc cho ISP và

cố gắng access đến tất cả các gói dữ liệu vận chuyển giữa ISP và bất kỳ một mạngnào khác

Ta có thể ngăn chặn hình thức tấn công này bằng kỹ thuật mã hoá: mã hoátraffic trong một đường hầm IPSec, hacker sẽ chỉ nhìn thấy những thông tin không

có giá trị

1.2.1 Dịch vụ bảo mật ( Security service)

Là thông qua việc đánh giá các thành phần hê thống phần trong hệ thống củakhách hàng về khía cạnh bảo mật, bao gồm:

1 Hệ thống mạng/ cơ sở dữ liệu liên quan ứng dụng

2 Các máy chủ ứng dụng

3 Các ứng dụng, đặc biệt là các ứng dụng trên nền web/ ứng dụng cho phép giaodịch trực tuyến như e-banking, các trang web thương mại điện tử

1.2.2 Cơ chế bảo mật (Security Mechanish)

Phần trên đã trình bày các hình thức tấn công, một hệ truyền tin được gọi là

an toàn và bảo mật thì phải có khả năng chống lại được các hình thức tấn công trên.Như vậy hệ truyền tin phải có các đặt tính sau:

1) Tính bảo mật (Confidentiality): Ngăn chặn được vấn đề xem trộm thông điệp.2) Tính chứng thực (Authentication): Nhằm đảm bảo cho B rằng thông điệp mà Bnhận được thực sự được gửi đi từ A, và không bị thay đổi trong quá trình truyền tin.Như vậy tính chứng thực ngăn chặn các hình thức tấn công sửa thông điệp, mạodanh, và phát lại thông điệp

3) Tính không từ chối (Nonrepudiation): Ngăn ch n hi n tặn hiện tượng người gửi hoặc ện tượng người gửi hoặc ượng người gửi hoặcng người gửi hoặc ửi hoặci g i ho cặn hiện tượng người gửi hoặc

người gửi hoặci nh n t ch i m t thông đi p đã đận từ chối một thông điệp đã được (họ) chuyển đi ừ chối dịch vụ ứng dụng ống tấn công từ chối dịch vụ ứng dụng ột thông điệp đã được (họ) chuyển đi ện tượng người gửi hoặc ượng người gửi hoặcc (h ) chuy n đi.ọ) chuyển đi ển đi

1.3.3 Tấn công bảo mật (Security Attack)

Security Attack – Tấn công bảo mật: Đây là hành động nhằm tiết lộ bí mậtthông tin

• Interruption: Tấn công vào availability – Sự khả dụng của dịch vụ

• Interception: Tấn công vào confidentiality – Thông tin không bị tiết lộ

• Modification: Tấn công vào integrity – Sự bảo toàn của thông tin, không bị thayđổi

• Fabrication: Tấn công vào authenticity – Xác thực

CHƯƠNG 2: KỸ THUẬT TẤN CÔNG DOS /DDOS VÀ HỆ

THỐNG IDS

GIỚI THIỆU CHUNG VỀ DOS/DDOS

Ngày 7/3/2000, yahoo.com đã phải ngưng phục vụ hàng trăm triệu user trêntoàn thế giới nhiều giờ liền Vài giờ sau, Yahoo đã tìm ra nguyên nhân gây nên tìnhtrạng này, họ đang phải gánh chịu một đợt tấn công DDoS với quy mô vài ngànmáy tính liên tục gửi hàng triệu request đến các server dịch vụ làm các server nàykhông thể phục vụ các user thông thường khác

Vài ngày sau, một sự kiện tương tự diễn ra nhưng có phần “ồn ào” hơn domột trong các nạn nhân mới là hãng tin CNN, amazon.com, buy.com, Zdnet.com,E-trade.com, Ebay.com Tất cả các nạn nhân là những gã khổng lồ trên internetthuộc nhiều lĩnh vực khác nhau Theo Yankke Group, tổng thiệt hại do cuộc tấncông lên đến 1.2 triệu USD, nhưng không đáng kể bằng sự mất mát về lòng tin củakhách hàng, uy tín của các công ty là không thể tính được

Làm đảo lộn mọi dự tính, thủ phạm là một cậu bé 15 tuổi người Canada, vớinickname “mafiaboy” Lại là một thiên tài bẩm sinh như Kevin Mitnick xuất hiện?Không Mafiaboy chỉ tìm tòi và download về một số chương trình công cụ của cáchacker Cậu đã dùng một công cụ DDos có tên là TrinOO để gây nên các cuộc tấncông kiểu DDoS khủng khiếp trên Một điểm đáng lưu ý khác là Mafiaboy bị bắt do

tự khoe khoang trên các chatroom công cộng, không ai tự truy tìm được dấu vết củacậu bé này

Mới đay nhất, ngày 19/3/2013 tổ chức Spamhaus hứng chịu cuộc tấn côngDdos lớn nhất trong lịch sử Internet, tổ chức Spamhaus vốn chịu trách nhiệm duy trìdanh sách blacklist các máy chủ đang gửi thư spam trên toàn phải hứng chịu mộtcuộc tấn công DDoS với lưu lượng lớn nhất lịch sử Internet, lưu lượng hiện đã đạtđỉnh 300 Gbps ( tương đương 37 GB/s ) Cũng nên nhắc bạn rằng tổng lưu lượnginternet của Việt Nam chỉ khoảng 361 Gbps, tức là nếu cuộc tấn công này nhắm vào

hạ tầng internet Việt Nam thì chúng ta sẽ nhanh chóng bị bão hoà đường truyền vàViệt Nam sẽ sớm bị cách ly hoàn toàn với internet thế giới Các cuộc tấn côngDDoS thông thường trên thế giới gần đây chỉ đạt khoảng 50 Gbps là đã đủ làm têliệt cơ sở hạ tầng của một tổ chức bị nhắm tới Rất may Spamhaus hiện đang đượcchống lưng bởi rất nhiều tập đoàn công nghệ lớn của thế giới như Google,Microsoft, Yahoo, Amazon,… do đó các hãng này chia sẻ tài nguyên khổng lồ của

họ nhằm giúp hấp thụ lưu lượng khổng lồ trên Nguyên nhân dẫn đến cuộc tấn công

là từ một cuộc tranh cãi giữa tổ chức Spamhaus và một công ty dịch vụ hosting củaĐức tên Cyberbunker khi tổ chức Spamhaus liệt kê các máy chủ của công ty nàyvào danh sách Blacklist, danh sách này sẽ giúp các nhà cung cấp dịch vụ mail toàncầu chặn đứng các spam mail đến từ công ty Cyberbunker Nhiều quan điểm chorằng DDoS không chỉ là phá hoại hay đánh cắp dữ liệu mà nó mang một ý nghĩatích cực hơn Cuộc tranh cãi này nhanh chóng leo theo thành các lời đe doạ tấn công

và cuối cùng, công ty này đã kết hợp với nhiều tổ chức tin tặc tại Châu Âu để điềuhướng một lượng khổng lồ gồm nhiều mạng máy tính ma ( botnets ) với nhiều triệumáy tính đã bị thâm nhập trước đó, tập trung tấn công các máy chủ DNS củaSpamhaus Điều đáng ngại là cuộc tấn công này đã tạo nên một kỷ lục mới về lưulượng tấn công, nó đánh dấu một thời kì khó khăn sắp tới của internet khi mà cácchính phủ có vẻ đang bất lực trước các tổ chức tin tặc

Còn rất nhiều gã khổng lồ khác đã gục ngã dưới các cuộc tấn công kiểuDDoS sau đó, trong đó có cả Microsodt Tuy nhiên hai cuộc tấn công trên là điểnhình nhất về DDoS, nó nói lên một đặc điểm chết người của DDoS: “Rất dễ thựchiện, hầu như không thể tránh, hậu quả rất nặng nề”

2.1 KHÁI NIỆM DOS (DENIAL OF SERVICE)

DoS (Denial of Service) có thể mô tả như hành động ngăn cản những ngườidùng hợp pháp của một dịch vụ nào đó truy cập và sử dụng dịch vụ đó Nó bao gồm

cả việc làm tràn ngập mạng, làm mất kết nối với dịch vụ… mà mục đích cuối cùng

là làm cho server không thể đáp ứng được các yêu cầu sử dụng dịch vụ từ các client.DoS có thể làm ngưng hoạt động của một máy tính, một mạng nội bộ, thậm chí cảmột hệ thống mạng rất lớn Thực chất của DoS là kẻ tấn công sẽ chiếm dụng mộtlượng lớn tài nguyên mạng như băng thông, bộ nhớ… và làm mất khả năng xử lýcác yêu cầu dịch vụ đến từ các client khác

Những khả năng bị tấn công bằng Dos:

Hầu hết các hệ thống đều có vài trăm MB không gian chuyển đổi (swapspace) để phục vụ cho những yêu cầu từ máy khách Swap space thường dung chocác tiến trình con có thời gian ngắn nên DoS có thể được dựa trên phương thức làmtràn đầy swap space

Phần băng thông dành cho mỗi hệ thống là giới hạn, vì thế nếu hacker cùnglúc gửi nhiều yêu cầu đến hệ thống thì phần băng thông không đủ đáp ứng cho mộtkhối lượng dữ liệu lớn đó và dẫn đến hệ thống bị phá vỡ

Tấn công Dos chiếm 1 khoảng lớn của RAM cũng có thể gây ra các vấn đềphá hủy hệ thống Kiểu tấn công BufferOverflow là một ví dụ cho cách phá hủy

Một kiểu tấn công cổ điển là làm đầy đĩa cứng Đĩa cứng có thể bị tràn vàkhông thể được sử dụng nữa

2.2 CÁC KỸ THUẬT TẤN CÔNG

2.2.1 Khái niệm TCP bắt tay ba chiều

Đầu tiên, để tìm hiểu phương pháp tấn công DoS , luận văn sẽ trình bày cơchế làm việc “tcp bắt tay ba chiều”

Gói dữ liệu TCP chứa flag bits (cờ) để mô tả nội dung và mục đích của gói dữ liệu

Ví dụ 1-1:

• Gói dữ liệu TCP với cờ SYN (synchoronize) dùng để bắt đầu 1 kết nối

• ACK (acknowledgement)

• FIN (finish) dùng để cắt 1 kết nối

Cách hoạt động của gói TCP:

Hình 2.1 Cơ chế thiết lập kết nối trước khi truyền số liệu

Buớc 1: Máy con gửi gói tin SYN yêu cầu kết nối

Bước 2: Nếu máy chủ chấp nhận kết nối, máy chủ sẽ gửi gói tin SYN/ACK Serverbắt buộc phải gửi thông báo lại bởi vì TCP là chuẩn tin cậy nên nếu máy con khôngnhận được thông báo thì sẽ nghĩ rằng packet đã bị lạc và gửi lại một packet mới Bước 3: Máy con gửi hồi đáp bằng gói tin ACK Báo cho máy chủ biết rằng máycon đã nhận được SYN/ACK packet và lúc này kết nối đã được thiết lập

2.2.2 Lợi dụng TCP thực hiện phương pháp SYN flood truyền thống

Hình 2.2 Tấn công DoS truyền thống

Như đã đề cập về vấn đề thiết lập kết nối trong phần trên, bất cứ 1 gói tinSYN, máy chủ cũng phải để 1 phần tài nguyên của hệ thống như bộ nhớ đệm đểnhận và truyền dữ liệu cho đường truyền đó Tuy nhiên, tài nguyên của hệ thống là

có hạn và hacker sẽ tìm mọi cách để hệ thống tràn qua giới hạn đó

Nếu máy chủ sau khi gửi trả một gói tin SYN/ACK để thông báo chấp nhậnkết nối cho máy yêu cầu nhưng nếu địa chỉ IP của máy yêu cầu này là giả mạo thìgói tin không thể đến được đích, nên máy chủ vẫn phải dành tài nguyên cho yêu cầu

đó Sau một thời gian không nhận được phản hồi từ máy khách, máy chủ lại tiếp tụcgửi một gói tin SYN/ACK để xác nhận lần nữa và cứ như vậy, kết nối vẫn tiếp tục

2.2.3 Tấn công vào băng thông

Hacker hoàn toàn có khả năng làm ngập hệ thống vì băng thông của hacker lớn hơn băng thông của máy đích Kiểu tấn công này không bị hạn chế bởi tốc độ truyền mạng

Hình 2.3 Kiểu tấn công DoS vào băng thông

Tất cả các gói tin đi vào 1 mạng máy tính qua 1 "Big-Pipe" (ống dẫn lớn),sau đó được router chia ra những "Small Pipe" (ống dẫn nhỏ) cho nhiều máy tínhcon tùy theo địa chỉ IP của gói tin

Nhưng nếu toàn bộ "Big-Pipe" bị làm ngập bằng những gói tin chỉ hướngđến 1 máy nhất định trong mạng máy tính con này, router đành phải chấp nhận loại

bỏ phần lớn các packet để chỉ còn lại số lượng vừa đủ đi qua "Small Pipe" của máytính đó Kiểu tấn công này sẽ loại máy đích ra khỏi Internet

Đây là phương pháp tấn công kiểu từ chối dịch vụ nhưng không là DoS màgọi là DDoS (kiểu từ chối dịch vụ phân tán), nghĩa là cùng một lúc nhiều máy sẽđược phát động để gửi gói tin đến máy đích (mặc dù đường truyền của mỗi máy

không cao nhưng nhiều đường truyền lại hợp thành một ống dẫn “ Big Pipe”), làmcho máy đích không còn khả năng tiếp nhận gói tin và bị loại khỏi mạng Internet.

2.2.4 Kiểu tấn công vào tài nguyên hệ thống

Đây là kiểu tấn công nhằm vào tài nguyên hệ thống hơn là tài nguyên mạngnhư CPU, bộ nhớ, file hệ thống, tiến trình… Hacker là một người dùng hợp lệ của

hệ thống, và được một lượng tài nguyên giới hạn trên hệ thống Tuy nhiên, hacker

sẽ lạm dụng quyền truy cập này để yêu cầu thêm tài nguyên Như vậy, hệ thống haynhững người dùng hợp lệ sẽ bị từ chối sử dụng tài nguyên chia sẻ

Kiểu tấn công sẽ khiến cho hệ thống không thể sử dụng được vì tài nguyên đã bị sửdụng hết, không còn tiến trình để thực thi nữa

2.3 KHÁI NIỆM DDOS (DISTRIBUTED DENIAL OF SERVICE)

Tấn công từ chối dịch vụ (DoS) nhằm mục đích ngăn cản người dùng truycập hợp pháp vào hệ thống máy tính hay hệ thống mạng của victim Tấncông từ chối dịch vụ phân tán(DDoS) mang tính rộng lớn hơn, tập trung tấncông trên những dịch vụ sẵn có của tài nguyên hệ thống máy tính hay tài nguyênmạng, mở trực tiếp thông qua nhiều máy tính cùng tham gia trên Internet Dịch vụdưới hình thức tấn công được gọi là “nạn nhân chính”, trong khi các máy tính cùngtham gia tấn công gọi là “nạn nhân phụ” Những nạn nhân phụ cung cấp choattacker khả năng tiến hành rộng hơn và tấn công mạnh hơn, lợi dụng những nạnnhân phụ sẽ rất khó khăn lần ra dấu vết của attacker Tổ chức bảo mật World

Wide Web định nghĩa: Một cuộc tấn công DDoS sử dụng những máy tính nhằm

mở ra tập trung tấn công DoS hướng vào một hay nhiều mục tiêu Bằng cách sử dụng công nghệ client/server, thủ phạm có thể nhân đôi tính hiệu lực của DoS tới một mức độ to lớn bằng cách khai thác nguồn tài nguyên của những máy tính“tòng phạm” (những máy tính này có thể vô tình bị attacker điều khiển, phục

vụ làm nền cho cuộc tấn công).

2.3.1 Các giai đoạn của cuộc tấn công DDos

a Tìm tools và đồng minh

Hacker sẽ tự tay viết hoặc download những tool trên mạng về để chuẩn bịphục vụ cho cuộc tấn công.

Sử dụng nhiều kỹ thuật khác nhau để tiến hành thâm nhập vào một hoặcnhiều máy tính khác hoặc có thể cả một hệ thống mạng Mục đích là cài những toolhoặc phần mềm chuẩn bị sẵn lên những máy này nhằm biến những máy này thànhđồng minh của mình trong cuộc tấn công

họ tuyển dụng cho mục đích tấn công DDoS của mình Sự thay đổi về cấu trúc cácmáy tính agent đồng nghĩa với việc cần phải thay đổi công cụ tấn công phù hợp,nếu như trước đây hầu như các hệ thống đều chạy hệ điều hành Unix, thì ngày nay

là Windows, do đó mã nguồn (source code) cũng cần phải biên dịch lại cho phùhợp

Tiến trình tìm kiếm các máy tính chứa lỗ hỗng gọi là scanning Hình 2.4

mô tả đơn giản tiến trình scanning Attacker gửi một số gói tin (packet) để chọnmục tiêu, xem chúng có tồn tại hay có “chổ hỡ” nào không Nếu có, attcker nổ lựcxâm nhập vào đó

Hình 2.4 Tiến trình Scanning

Có một thuật ngữ mà “dân DDoS” hay nói là bot Một bot (viết tắt của từ

“robot”) là một chương trình client chạy trên nền của một máy tính bịcompromise, và nó “nhìn” vào chuỗi ký tự hiển thị trong một kênh IRC.Những chuỗi ký tự này là những lệnh đã mã hóa để chương trình bot thựcthi, chẳng hạn như bot mời một ai đó tham gia vào một kênh IRC, cấp quyền hoạtđộng cho người dùng, scanning khối địa chỉ (netblock) hay thực hiện một cuộc

tấn công DDoS Nói về Netblock, ví dụ như bot Power, bằng cách chỉ định một

số octet đầu tiên (ví dụ: 192.168 có nghĩa là quét tất cả đoạn mạng

từ 192.168.0.0 đến 192.168.255.255) Khi một bot lấy danh sách của những

máy tính có lỗ hổng, chúng thông báo cho attacker đang sử dụng botnet (một mạng

bot, ở đó tất cả đều đồng bộ thông qua giao tiếp trong một kênh IRC) Attackernhận tập tin từ bot và thêm nó (các máy tính có lỗ hổng) vào danh sách Có mộtmột số chương trình tự động thực hiện việc này, bằng cách đó nó sẽ tạo thành mộtmạng tấn công Công việc scanning cho một đoạn mạng thường attacker cho thựchiện ngẫu nhiên Sau đó attacker sẽ chọn ra những máy tính “béo bở” trong danhsách của họ (chẳng hạn như những máy thuộc khuôn viên trường đại học thì vẫntốt hơn những máy thuộc tổ chức chính phủ hay quân sự)

Quá trình scanning có thể được thực hiện với những chương trình riêng biệt,

gọi là những“plugged in” được chèn vào tool kit như chương trình Phatbot, được

xây dựng thành một module với nhiều tính năng) Một IRC bot scanning mô phỏngnhư sau:

Hình 2.5 IRC bot Scanning

Một chương trình khác cũng thực hiện công việc scanning mà ta thường

biết đến đó là Internet worm Những Internet worm là những chương trình tự động

lây lan từ host này qua host khác, nó giống như virus đời thường trong cuộc sống

(chẳng hạn như worm fly) Một worm có 3 chức năng chính riêng biệt: (1)

scanning; (2) exploitation – khai thác, thỏa hiệp và xác lập điều khiển từ xa; (3) mộtpayload (nội dung packet) – đó là mã thực thi được ra lệnh để tấn công chẳng hạn.Khi một worm truyền đi, nó “nhiễm” vào một máy nào đó, nó sẽ quét và lây nhiễmđến máy khác (quá trình cứ lặp đi lặp lai) Phần payload chỉ đơn giản đó là mộtbảnsao của worm Ngày nay Internet worm phát triển như là một phương pháp

DDoS attack-network

Agent -Handler IRC - Based

Client – Handler

Communication

Secret/private channel Public channel

Client – Handler Communication

phổ biến trong quá trình “tuyển nạp” những DDoS agent, vì thế worm payloadthường chứa đoạn mã tấn công DDoS

c Phát động tấn công

Đúng thời điểm đã định, hacker phát động tấn công từ máy của mình, lệnhtấn công này có thể đi qua nhiều cấp mới đến host thực sự tấn công Toàn bộ attack-network (có thể lên đến hàng ngàn máy), sẽ gửi request đến máy nạn nhân, làm hệthống nạn nhân phải huy động hết tài nguyên để reply lại nên không thể đáp ứng lạitruy vấn của client hợp pháp, tệ hơn nữa là có thể tê liệt toàn bộ hệ thống

d Xóa dấu vết

Sau một khoảng thời gian tấn công thích hợp, hacker tiến hành xóa mọi dấuvết có thể truy ngược đến mình, việc này đòi hỏi trình độ khác cao và không tuyệtđối cần thiết

2.3.2 Kiến trúc tổng quan của DDos attack-network:

Nhìn chung DDoS attack-network có hai mô hình chính

+ Mô hình Agent – Handler+ Mô hình IRC – Based

Hình 2.6 Kiến trúc tổng quan của DDos attack-network

2.3.3 Mô hình Agent – Handler

Theo mô hình này, attack-network gồm 3 thành phần: Agent, Client và Handler

Attacker Attacker

Victim

 Client : là software cơ sở để hacker điều khiển mọi hoạt động của attack-network

 Handler : là một thành phần software trung gian giữa Agent và Client

 Agent : là thành phần software thực hiện sự tấn công mục tiêu, nhận điều khiển

từ Client thông qua các Handler

Hình 2.7 Kiến trúc attack-network kiểu Agent – Handler

Attacker sẽ từ Client giao tiếp với Handler để xác định số lượng Agent đangonline, điều chỉnh thời điểm tấn công và cập nhật các Agent Tùy theo cách attackercấu hình attack-network, các Agent sẽ chịu sự quản lý của một hay nhiều Handler

Thông thường Attacker sẽ đặt Handler software trên một Router hay mộtserver có lượng traffic lưu thông nhiều Việc này nhằm làm cho các giao tiếp giữaClient, handler và Agent khó bị phát hiện Các giao tiếp này thông thường xảy ratrên các protocol TCP, UDP hay ICMP Chủ nhân thực sự của các Agent thôngthường không hề hay biết họ bị lợi dụng vào cuộc tấn công kiểu DDoS, do họ

Attacker Attacker

VictimIRC NETWORK

không đủ kiến thức hoặc các chương trình Backdoor Agent chỉ sử dụng rất ít tàinguyên hệ thống làm cho hầu như không thể thấy ảnh hưởng gì đến hiệu năng của

hệ thống

2.3.4 Mô hình IRC – Based

Internet Relay Chat (IRC) là một hệ thống online chat multiuser, IRC chophép User tạo một kết nối đến multipoint đến nhiều user khác và chat thời gianthực Kiến trúc của IRC network bao gồm nhiều IRC server trên khắp internet, giaotiếp với nhau trên nhiều kênh (channel) IRC network cho phép user tạo ba loạichannel: public, private và serect

được message của mọi user khác trên cùng channel

 Private channel: được thiết kế để giao tiếp với các đối tượng cho phép.Không cho phép các user không cùng channel thấy IRC name và message trênchannel Tuy nhiên, nếu user ngoài channel dùng một số lệnh channel locator thì cóthể biết được sự tồn tại của private channel đó

bằng channel locator

Hình 2.8 Kiến trúc attack-network của kiểu IRC-Base

IRC – Based net work cũng tương tự như Agent – Handler network nhưng

mô hình này sử dụng các kênh giao tiếp IRC làm phương tiện giao tiếp giữa Client

và Agent (không sử dụng Handler) Sử dụng mô hình này, attacker còn có thêm một

2.4.1 Những kiểu tấn công làm cạn kiệt băng thông

Nhìn chung, có rất nhiều biến thể của kỹ thuật tấn công DDoS nhưng nếunhìn dưới góc độ chuyên môn thì có thể chia các biến thề này thành hai loại dựatrên mục đích tấn công: Làm cạn kiệt băng thông và làm cạn kiệt tài nguyên hệthống Dưới đây là sơ đồ mô tả sự phân loại các kiểu tấn công DDoS

BandWith Depletion Attack được thiết kế nhằm làm tràng ngập mạng mục tiêu vớinhững traffic không cần thiết, với mục địch làm giảm tối thiểu khả năng của cáctraffic hợp lệ đến được hệ thống cung cấp dịch vụ của mục tiêu

Có hai loại BandWith Depletion Attack:

+ Flood attack: Điều khiển các Agent gởi một lượng lớn traffic đến hệ thốngdịch vụ của mục tiêu, làm dịch vụ này bị hết khả năng về băng thông

+ Amplification attack: Điều khiển các agent hay Client tự gửi message đếnmột địa chỉ IP broadcast, làm cho tất cả các máy trong subnet này gửi message đến

hệ thống dịch vụ của mục tiêu Phương pháp này làm gia tăng traffic không cầnthiết, làm suy giảm băng thông của mục tiêu

DDoS attack

Bandwith DeleptionDeleption Resource Deleption

Flood Attack Amplification Attack

Protocol Exploit Attack Malformed Paclket attack

Flaggle Attack

Direct Attack

Loop Attack

TCP SYS

Attack

Spoof source Attack

PUSH +ACK SYN Attack

IP @ Attack

IP Packet Options Attack

Spoof source Attack

Spoof source Attack

Spoof source Attack

Hình 2.9 Những kiểu tấn công DDoS

2.4.1.1 Flood attack

Trong một cuộc tấn công làm ngập lụt DDoS, các zombie sẽ gửi một số

lượng lớn các gói tin đến máy victim làm khả năng thực thi, chậm máy hay tràn

ngập băng thông mạng Điều này khiến cho người dùng hệ thống hợp pháp bị

cản trở truy cập vào hệ thống victim

Tấ

n c ôn g n g ậ p lụt b ằ ng UD P:

UDP (User Datagram Protocol – giao thức dữ liệu người dùng) là một

giao thức hướng không kết nối Có nghĩa là khi những gói tin truyền bằng giao

thức này, không có một cơ chế bắt tay nào giữa bên gửi và bên nhận, và hệ

thống bên nhận khi nhận được gói tin sẽ phải xử lý nó Khi gửi một số lượng lớn

các gói tin UDP đến hệ thống nạn nhân có thể gây ra tràn ngập mạng, làm suy yếu

mạng

Khi tấn công DDoS dạng UDP, những gói tin UDP được gửi qua những

port ngẫu nhiên hoặc được chỉ định một port nào đó Thường thì công việc thực

hiện là những port ngẫu nhiên để nó bao quát toàn diện hơn Kết quả là victim sẽphải xử lý những gói đi vào nó để cố gắng xác định xem có ứng dụng nào yêucầu không Nếu hệ thống victim không có ứng dụng nào nằm trên port đích, hệthống victim sẽ gửi gửi một gói ICMP đến nơi gửi với thông điệp là “destinationport unreachable”.

Thông thường, công cụ tấn công DDoS sẽ giả địa chỉ IP nguồn của gói dữliệu Vì thế nó làm ẩn danh hệ thống máy nạn nhân phụ, do đó các gói trả về từmáy victim sẽ không đến được zombie, mà nó đến một máy tính khác nào đó

Đôi khi tấn công ngập lụt UDP cũng có thể làm đầy băng thông của nhữngkết nối xung quanh hệ thống victim (phụ thuộc vào kiến trúc mạng và tốc độ đườngtruyền) Vì thế có thể những hệ thống kết nối gần hệ thống victim gặp vấn đề trongkết nối của họ

Tấ

n c ôn g n g ậ p lụt b ằ ng I CMP:

Những gói tin ICMP (Internet Control Message Protocol – giao thức thôngđiệp vận chuyển Internet) được thiết kế cho tính năng quản lý chẳng hạn như xácđịnh thiết bị mạng và xác định số hop (hop là thuật ngữ nói lên gói tin sẽ đi quamột thiết bị định tuyến chẳng hạn như qua một router thì router gọi là hop) haythời gian di chuyển từ nguồn đến đích Ví dụ, gói tin ICMP_ECHO_REPLY(ping) cho phép người dùng gởi yêu cầu đến hệ thống đích và nhận đáp ứng vớithời gian đã đi đến đích

Tấn công DDoS làm ngập ICMP xuất hiện khi zombie gởi số lượng lớn cácgói tin ICMP_ECHO_REPLY đến hệ thống nạn nhân Dấu hiệu của những gói tinnày là phản hồi (reply) Cũng giống như tấn công làm ngập UDP, địa chỉ IP nguồn

bị giả mạo

2.4.1.2 Amplification Attack

Amplification Attack nhắm đến việc sử dụng các chức năng hỗ trợ địa chỉ IPbroadcast của các router nhằm khuyếch đại và hồi chuyển cuộc tấn công Chức năngnày cho phép bên gửi chỉ định một địa chỉ IP broadcast cho toàn subnet bên nhận

Attacker/Agent VICTIM

Amplifier

Amplifier Network System

thay vì nhiều địa chỉ Router sẽ có nhiệm vụ gửi đến tất cả địa chỉ IP trong subnet

đó packet broadcast mà nó nhận được

Attacker có thể gửi broadcast message trực tiếp hay thông qua một số Agentnhằm làm gia tăng cường độ của cuộc tấn công Nếu attacker trực tiếp gửi message,thì có thể lợi dụng các hệ thống bên trong broadcast network như một Agent

Hình 2.10 Amplification Attack

Có thể chia amplification attack thành hai loại, Smuft va Fraggle attack:+ Smuft attack: trong kiểu tấn công này attacker gởi packet đến networkamplifier (router hay thiết bị mạng khác hỗ trợ broadcast), với địa chỉ của nạn nhân.Thông thường những packet được dùng là ICMP ECHO REQUEST, các packet nàyyêu cầu yêu cầu bên nhận phải trả lời bằng một ICMP ECHO REPLY packet.Network amplifier sẽ gửi đến ICMP ECHO REQUEST packet đến tất cả các hệthống thuộc địa chỉ broadcast và tất cả các hệ thống này sẽ REPLY packet về địachỉ IP của mục tiêu tấn công Smuft Attack

+ Fraggle Attack: tương tự như Smuft attack nhưng thay vì dùng ICMPECHO REQUEST packet thì sẽ dùng UDP ECHO packet gởi đếm mục tiêu Thật racòn một biến thể khác của Fraggle attack sẽ gửi đến UDP ECHO packet đếnchargen port (port 19/UNIX) của mục tiêu, với địa chỉ bên gửi là echo port (port 7/