LỜI CẢM ƠN Trước tiên em xin gửi lời cảm ơn chân thành và sâu sắc nhất tới các thầy cô giáo trong trường Đại học Duy Tân nói chung và các thầy cô giáo trong khoa Công nghệ thông tin, bộ môn Kỹ thuật mạng nói riêng đã tận tình giảng dạy, truyền đạt cho em những kiến thức, kinh nghiệm quý báu trong suốt thời gian qua. Đặc biệt, em xin gửi lời cảm ơn đến thầy giáo Nguyễn Gia Như, thầy đã tận tình giúp đỡ, trực tiếp chỉ bảo, hướng dẫn em trong suốt quá trình làm khóa luận tốt nghiệp này. Trong thời gian làm việc với thầy, em không ngừng tiếp thu thêm nhiều kiến thức bổ ích mà còn học tập được tinh thần làm việc, thái độ nghiên cứu nghiêm túc, hiệu quả, đây là những điều rất cần thiết cho em trong quá trình học tập và công tác sau này. Sau cùng xin gửi lời cảm ơn chân thành tới gia đình, bạn bè đã động viên, đóng góp ý kiến và giúp đỡ trong quá trình học tập, nghiên cứu và hoàn thành đồ án tốt nghiệp này. Mặc dù đã rất cố gắng, nhưng trong một khoảng thời gian cho phép, cũng như hạn chế về mặt kiến thức của bản thân, cuốn đồ án này không thể tránh khỏi nhiều thiếu sót. Chính vì vậy, em rất mong nhận được sự góp ý của các thầy giáo, cô giáo cũng như của bạn bè và những người có quan tâm đến lĩnh vực mà cuốn đồ án này đã được trình bày. Đà Nẵng, tháng 5 năm 2014 NGUYỄN HỮU NGUYÊN TÂM 1 MỤC LỤC 2 DANH MỤC HÌNH VẺ 3 Hình 2.1: Cơ chế thiết lập kết nối trước khi truyền số liệu 26 Hình 2.2: Tấn công DoS truyền thống 26 Hình 2.3. Kiểu tấn công DoS vào băng thông 28 Hình 2.4. Tiến trình Scanning 30 Hình 2.5. IRC bot Scanning 32 Hình 2.6. Kiến trúc tổng quan của DDos attack-network 33 Hình 2.7. Kiến trúc attack-network kiểu Agent – Handler 34 Hình 2.8. Kiến trúc attack-network của kiểu IRC- Base 35 Hình 2.9. Những kiểu tấn công DDoS 37 Hình 2.10. Amplification Attack 39 Hình 2.11. Protocol Exploit Attack(1) 40 Hình 2.12. Protocol Exploit Attack (2) 41 Hình 2.13. Protocol Exploit Attack (3) 41 Hình 2.14. Mô hình kiến trúc phát hiện xâm nhập 44 Hình 2.15. Mô Hình NIDS 46 Hình 2.16 . Cơ chế hoạt động của IDS 50 Hình 2.17. Cấu trúc Rule 52 Hình 3.1. Mô hình triển khai demo 63 Hình 3.2. Kiểm tra môi trường cài đặt Snort 66 Hình 3.3. Biên dịch Snort 67 Hình 3.4. Đưa cấu hình Snort vào các thư mục cần thiết cấu hình Snort 67 Hình 3.5. Bảng Tables trong mysql 70 Hình 3.6. Giao diện Base trước khi tiến hành ping 73 4 Hình 3.7. Ping đến máy 192.168.1.10 73 Hình 3.8. Giao diện Base sau khi ping 74 Hình 3.9. Bảng hiển thị cảnh báo 75 Hình 3.10. Giao diện ping không thành công 76 Hình 3.11. Giao diện của base sau khi ping không thành công 76 Hình 3.12. Tool tấn công DDoS(1) 77 Hình 3.13. Tool tấn công DDoS(2) 77 Hình 3.14. Giao diện của base sau khi ping không thành công 78 Hình 3.15. Giao diện khi truy cập web test.html 78 Hình 3.16. Giao diện Base sau khi có người truy cập web 79 Hình 3.17. Thông báo khi phát hiện có người truy cập web 79 Hình 3.18. Giao diện base thông báo truy cập web đã bị chặn 80 Hình 3.19. Giao diện khi truy cập web test.html không thành công 80 5 THUẬT NGỮ, TỪ VIẾT TẮT Scanning, là tiến trình “quét”, trước đây được attacker thực hiện bằng tay, sử dụng những công cụ “thô”. Qua thời gian, những công cụ scanning được cải thiện và những chức năng của nó đã tích hợp và tự động. Như chúng ta từng nghe nói đến về worm, một trong những hình thức tự động scanning. Blended threat đầu tiên cũng là những chương trình đơn thuần hoặc một nhóm các chương trình cung cấp nhiều dịch vụ, nó là những tập lệnh và điều khiển sử dụng một IRC bot và scanning lỗ hổng. Flooding thường được dùng trong cuộc tấn công từ chối dịch vụ (DoS). Nó 6 tạo ra một số lượng rất lớn các gói tin vào hệ thống mục tiêu, khiến hệ thống bị sụp đỗ. ODBC cung cấp một chuẩn bằng phương thức client kết nối vào một CSDL. Để biết nhiều thông tin về ODBC, vào http://odb c .o r g . Cleartext là dạng thông điệp chứa những ký tự mà khi nhìn vào nó, ta có thể hiểu đầy đủ ý nghĩa của những chuỗi ký tự này. Attacker: người tấn công vào hệ thống máy tính, đồng nghĩa với intruder, craker, hacker. Master: cũng thường gọi là handler,client là hệ thống bị cài phần mềm xâm nhập, chịu sự quản lý của attacker. Daemon: hay còn gọi là agent, bcast (broadcast) program, hay zombie. Là hệ thống bị cài đặt phần mềm giúp attacker tấn công. Nó chịu sự quản lý của master. Victim: nạn nhân bị tấn công. Signature: dấu hiệu. Mỗi một cuộc tấn công hay xâm nhập vào tổ chức mạng đều mang một dấu hiệu đặc trưng. Nhờ đó, người ta mới rút ra được những luật định và xây dựng thành những tập luật riêng. Rule hay Ruleset: tập luật luôn được sử dụng trong các hệ thống phát hiện xâm nhập (IDS) hay các hệ thống ngăn chặn xâm nhập (IPS, Firewall) nhằm phát hiện và ngăn chặn các hành động hay dấu hiệu xâm phạm vào hệ thống. False Posities: khi nhận ra những định dạng xuất loại này, tức là hệ thống IDS đã sinh ra những cảnh báo mà thực chất lưu lượng nó “bắt được” là những lưu lượng “bình thường” (không phải lưu lượng nguy hiểm). Tcpdump là một chương trình, tiện ích tích hợp sẵn trên các hệ thống Linux, Unix. Sử dụng tcpdump cũng giống như các chương trình bắt gói tin. C ác t ừ ng ữ vi ế t t ắ t: - IDS - Intrusion Detection System: Hệ thống phát hiện xâm nhập. - IPS – Intrusion Prevention System: Hệ thống ngăn chặn xâm nhập. - Snort: là một chương trình IDS. - Firewall: tường lửa. 7 - DoS - Denial of Service. Từ chối dịch vụ. - DDoS - Distribute Denial of Service. Từ chối dịch vụ phân tán. - IRC – Internet Relay Chat. - ISP - Internet Service Provider. Nhà cung cấp dịch vụ internet. - DNS - Domain Name Service. Dịch vụ tên miền. - TFN - Tribe Flood Network. Một công cụ tấn công DDoS. - TFN2K - Tribe Flood Network 2000. - FTP- File Transfer Protocol. Giao thức truyền tập tin. - SNMP - Simple Network Managerment Protocol. - TCP – Transfer Control Protocol: giao thức điều khiển truyền vận. - UDP – User Datagram Protocol: giao thức dữ liệu người dùng. - ICMP – Internet Control Message Protocol: giao thức thông điệp điều khiển internet. - IP – Internet Protocol: giao thức internet. - TTL – Time To Live. - ToS – Time of Service. - ACID - Analysis Console for Intrusion Databases. - BASE – Basic Analysis and Security Engine. - HTTP – HyperText Trasfer Protocol. - HTML – HyperText Mark Language. 8 Nghiên cứu và xây dựng mô hình phòng chống tấn công từ chối dịch vụ ứng dụng Snort MỞ ĐẦU 1. LÝ DO CHỌN ĐỀ TÀI Việc tin tặc tấn công các trang web đã xẩy ra từ nhiều năm nay. Trong đó có các thủ thuật như: lợi dụng các lỗ thủng của software quản lý server hay database,… để phá từ bên trong máy chủ, gửi spam làm tràn ngập hộp thư điện tử (e-mail), dùng DoS hay DDoS,… để tấn công từ bên ngoài, ăn cắp mật khẩu (bằng cách cài một phần mềm gián điệp vào máy PC cá nhân), tên miền, chiếm đoạt hộp thư,… Website có lượt truy cập cao là mong muốn của hầu hết những khách hàng thiết kế website. Tuy nhiên, có đôi lúc con số thống kê số lượng truy cập không chính xác bởi sự tấn công của những kẻ phá hoại. Sự tấn công này làm giảm khả năng đáp ứng yêu cầu từ người dùng và làm ngập lụt hệ thống, khiến website không thể trả lại thông tin theo truy vấn của khách hàng và rõ ràng đây là việc mà không nhà quản trị website nào mong muốn. Và một trong những cách mà tin tặc dùng để tấn công các trang web là Dos hay DDos. Trong bài viết này tôi sẽ trình bày một cách tổng quát nhất có thể, về cách thức tấn công các trang web của hình thức này. Từ đó đưa ra những giải pháp tốt nhất để phòng chống cách thức tấn công này. Và đó cũng chính là lý do tôi chọn để tài “ Nghiên cứu và xây dựng mô hình phòng chống tấn công từ chối dịch vụ ứng dụng Snort” làm hướng nghiên cứu trong báo cáo khóa luận. 2. MỤC TIÊU VÀ NHIỆM VỤ - Hiểu rõ đặc điểm và cách thức tấn công của DoS & DDoS. - Nắm vững các lỗ hổng mà DoS & DDoS dựa vào để tấn công. - Cách thức phòng chống thông qua IDS. 3. ĐỐI TƯỢNG NGHIÊN CỨU Nghiên cứu lý thuyết về DoS & DDoS, tìm hiểu cách thức phòng chống của hệ thống IDS ứng dụng Snort, từ đó đưa ra các giải pháp phòng thủ trước các cuộc tấn công của DoS & DDoS. 4. PHẠM VI NGHIÊN CỨU - Tìm hiểu về đặc điểm và cách thức tấn công của DoS & DDoS. - Tìm hiểu các thành phần chức năng của IDS và đưa ra giải pháp phòng thủ. SVTH: Nguyễn Hữu Nguyên Tâm 9 Nghiên cứu và xây dựng mô hình phòng chống tấn công từ chối dịch vụ ứng dụng Snort 5. Ý NGHĨA KHOA HỌC VÀ THỰC TIỄN Hiện nay, bất kỳ một nhà quảng trị mạng nào cũng phải luôn đề cao cảnh giác với các loại hình tấn công các trang web do mình quảng trị. Mà loại hình tấn công nguy hiểm nhất là dùng Dos (tấn công từ chối dịch vụ) hay Ddos (phân bố tấn công từ chối dịch vụ). Để thuận lợi cho công việc sau này, tôi muốn đi sâu tìm hiểu về cách thức tấn công của loại này từ đó có những giải pháp khả dỉ nhất để phòng chống. Thông qua bài viết này, tôi cũng muốn những ai chưa biết nhiều về sự nguy hiểm cũng như nguy cơ tiềm ẩn của hệ thống có thể bị tấn công Dos hay Ddos sẽ có sự chuẩn bị tốt nhất cho hệ thống, giảm tối thiểu các ảnh hưởng của các cuộc tấn công. 6. BỐ CỤC - CHƯƠNG 1: TỔNG QUAN AN TOÀN MẠNG - CHƯƠNG 2: KỸ THUẬT TẤN CÔNG DOS /DDOS VÀ HỆ THỐNG IDS - CHƯƠNG 3: MÔ PHỎNG TẤN CÔNG VÀ PHÒNG THỦ - KẾT LUẬN CHƯƠNG 1: TỔNG QUAN AN TOÀN MẠNG Trong bối cảnh tiến trình hội nhập, vấn đề an ninh mạng và bảo mật dữ liệu đang trở nên rất được quan tâm. Khi cơ sở hạ tầng và các công nghê mạng đã đáp SVTH: Nguyễn Hữu Nguyên Tâm 10 [...]... 1.2.1 CÁC DỊCH VỤ CƠ CHẾ BẢO MẬT VÀ TẤN CÔNG Dịch vụ bảo mật ( Security service) SVTH: Nguyễn Hữu Nguyên Tâm 18 Nghiên cứu và xây dựng mô hình phòng chống tấn công từ chối dịch vụ ứng dụng Snort Là thông qua việc đánh giá các thành phần hê thống phần trong hệ thống của khách hàng về khía cạnh bảo mật, bao gồm: 1 Hệ thống mạng/ cơ sở dữ liệu liên quan ứng dụng 2 Các máy chủ ứng dụng 3 Các ứng dụng, đặc... (asymmetric attack) Chẳng hạn như kẻ tấn công chỉ cần một máy tính PC thông thường với một SVTH: Nguyễn Hữu Nguyên Tâm 12 Nghiên cứu và xây dựng mô hình phòng chống tấn công từ chối dịch vụ ứng dụng Snort modem tốc độ chậm vẫn có thể tấn công làm ngưng trệ các máy tính mạnh hay những mạng có cấu hình phức tạp • Tấn công vào các yếu tố con người Đây là một hình thức tấn công nguy hiểm nhất nó có thể dẫn... Nguyễn Hữu Nguyên Tâm 30 Nghiên cứu và xây dựng mô hình phòng chống tấn công từ chối dịch vụ ứng dụng Snort phương pháp phổ biến trong quá trình “tuyển nạp” những DDoS agent, vì thế worm payload thường chứa đoạn mã tấn công DDoS c Phát động tấn công Đúng thời điểm đã định, hacker phát động tấn công từ máy của mình, lệnh tấn công này có thể đi qua nhiều cấp mới đến host thực sự tấn công Toàn bộ attacknetwork... nhà cung cấp dịch vụ mail toàn SVTH: Nguyễn Hữu Nguyên Tâm 21 Nghiên cứu và xây dựng mô hình phòng chống tấn công từ chối dịch vụ ứng dụng Snort cầu chặn ứng các spam mail đến từ công ty Cyberbunker Nhiều quan điểm cho rằng DDoS không chỉ là phá hoại hay đánh cắp dữ liệu mà nó mang một ý nghĩa tích cực hơn Cuộc tranh cãi này nhanh chóng leo theo thành các lời đe doạ tấn công và cuối cùng, công ty này... đầy swap space • Tấn công trên BANDWIDTH SVTH: Nguyễn Hữu Nguyên Tâm 22 Nghiên cứu và xây dựng mô hình phòng chống tấn công từ chối dịch vụ ứng dụng Snort Phần băng thông dành cho mỗi hệ thống là giới hạn, vì thế nếu hacker cùng lúc gửi nhiều yêu cầu đến hệ thống thì phần băng thông không đủ đáp ứng cho một khối lượng dữ liệu lớn đó và dẫn đến hệ thống bị phá vỡ • Tấn công vào RAM Tấn công Dos chiếm... các ứng dụng này để tìm ra điểm yếu và bắt đầu tấn công 1.1.3.2 Access attacks Trong phương pháp này, kẻ xâm nhập điển hình tấn công vào mạng nhằm: đánh cắp dữ liệu, giành lấy quyền access, và giành lấy những đặc quyền access sau này Access attacks có thể bao gồm: Password attack Trust exploitation SVTH: Nguyễn Hữu Nguyên Tâm 16 Nghiên cứu và xây dựng mô hình phòng chống tấn công từ chối dịch vụ ứng dụng. .. NETWORK SVTH: Nguyễn Hữu Nguyên Tâm 33 Nghiên cứu và xây dựng mô hình phòng chống tấn công từ chối dịch vụ ứng dụng Snort Hình 2.8 Kiến trúc attack-network của kiểu IRC-Base IRC – Based net work cũng tương tự như Agent – Handler network nhưng mô hình này sử dụng các kênh giao tiếp IRC làm phương tiện giao tiếp giữa Client và Agent (không sử dụng Handler) Sử dụng mô hình này, attacker còn có thêm một số... lần ra dấu vết của attacker Tổ chức bảo mật World Wide SVTH: Nguyễn Hữu Nguyên Tâm 26 Nghiên cứu và xây dựng mô hình phòng chống tấn công từ chối dịch vụ ứng dụng Snort Web định nghĩa: Một cuộc tấn công DDoS sử dụng những máy tính nhằm mở ra tập trung tấn công DoS hướng vào một hay nhiều mục tiêu Bằng cách sử dụng công nghệ client/server, thủ phạm có thể nhân đôi tính hiệu lực của DoS tới một mức độ... SVTH: Nguyễn Hữu Nguyên Tâm 11 Nghiên cứu và xây dựng mô hình phòng chống tấn công từ chối dịch vụ ứng dụng Snort 1.1.2 Các kỹ thuật tấn công trên mạng • Tấn công trực tiếp Những cuộc tấn công trực tiếp thông thường được sử dụng trong giai đoạn đầu để chiếm được quyền truy nhập hệ thống mạng bên trong • Nghe trộm trên mạng Thông tin gởi đi trên mạng thường được luân chuyển từ máy tính này qua các máy... 19 Nghiên cứu và xây dựng mô hình phòng chống tấn công từ chối dịch vụ ứng dụng Snort CHƯƠNG 2: KỸ THUẬT TẤN CÔNG DOS /DDOS VÀ HỆ THỐNG IDS GIỚI THIỆU CHUNG VỀ DOS/DDOS Ngày 7/3/2000, yahoo.com đã phải ngưng phục vụ hàng trăm triệu user trên toàn thế giới nhiều giờ liền Vài giờ sau, Yahoo đã tìm ra nguyên nhân gây nên tình trạng này, họ đang phải gánh chịu một đợt tấn công DDoS với quy mô vài ngàn máy