Nghiên cứu tìm hiểu an ninh mạng MỤC LỤC LỜI CẢM ƠN .i MỤC LỤC ii DANH MỤC VIẾT TẮT v DANH MỤC HÌNH ẢNH vi MỞ ĐẦU vii CHƯƠNG 1: TỔNG QUAN VỀ AN NINH MẠNG 1.1 TỔNG QUAN THÔNG TIN BẢO MẬT 1.1.1 Sự kiện bảo mật năm 2011 1.1.1.1 VietNamNet bị công DDoS lớn chưa có 1.1.1.2 "Hacktivism" dậy 1.1.1.3 Công ty cung cấp giải pháp bảo mật cho phủ Hoa Kỳ bị công 1.1.2 Các công DDoS tiếng lịch sử 1.2 KHÁI NIỆM HACKING 1.2.1 Khái niệm Hacker 1.2.2 Các loại Hacker 1.2.2.1 Black Hat 1.2.2.2 White Hat 1.2.2.3 Gray Hat 1.2.2.4 Suicide Hat 1.3 CÁC GIAI ĐOẠN TẤN CÔNG 1.3.1 Thăm dò (Reconnaissace) 1.3.2 Quét hệ thống (Scanning) 1.3.3 Chiếm quyền điều khiển (Gainning access) 1.3.4 Duy trì điều khiển hệ thống (Maitaining access) 1.3.5 Xoá dấu vết (Clearning tracks) 1.4 CÁC KIỂU TẤN CÔNG 1.4.1 Operating System Attacks 1.4.2 Application level Attacks 1.4.3 Shrink Wrap Code Attacks 1.4.4 Misconfiguration Attacks CHƯƠNG 2: TỪ CHỐI DỊCH VỤ SVTH: Lê Quang Hà ii Nghiên cứu tìm hiểu an ninh mạng 2.1 KHÁI NIỆM DOS 2.1.1 Tấn công từ chối dịch vụ 2.1.2 Tấn công từ chối dịch vụ phân tán 2.1.3 Dấu hiệu bị công DoS 2.1.4 Các mục đích công DoS 2.1.5 Tội phạm mạng 2.1.6 Sơ đồ tổ chức tổ chức tội phạm mạng 2.1.7 Internet Chat Query 2.1.8 Internet Relay Chat 2.2 KỸ THUẬT TẤN CÔNG DOS 2.2.1 Tấn công băng thông 2.2.2 Tấn công tràn ngập yêu cầu dịch vụ 10 2.2.3 Tấn công tràn ngập SYN 10 2.2.4 Tấn công tràn ngập ICMP 11 2.2.5 Tấn công điểm nối điểm 12 2.2.6 Tấn công cố định DoS 12 2.2.7 Tấn công tràn ngập cấp độ dịch vụ 12 2.3 MẠNG BOTNET 12 2.3.1 Khái niệm botnet 12 2.3.2 Hoạt động 13 2.3.3 Tổ chức 14 2.3.4 Xây dựng khai thác 14 2.4 MỘT SỐ CÔNG CỤ TẤN CÔNG 15 2.4.1 LOIC 15 2.4.2 DoSHTTP 16 2.5 BIỆN PHÁP ĐỐI PHÓ 16 2.5.1 Kỹ thuật phát 16 2.5.1.1 Hoạt động định hình 16 2.5.1.2 Phân tích wavelet 17 2.5.1.3 Phát thay đổi điểm theo trình tự 17 2.5.2 Biện pháp đối phó chiến lược DoS/ DdoS 17 2.5.3 Biện pháp đối phó công DoS/ DdoS 17 SVTH: Lê Quang Hà iii Nghiên cứu tìm hiểu an ninh mạng 2.5.3.1 Bảo vệ thứ cấp victims 17 2.5.3.2 Phát vô hiệu hóa handers 18 2.5.3.3 Phát tiềm công 18 2.5.3.4 Làm lệch hướng công 18 2.5.3.5 Làm dịu công 18 2.5.3.6 Pháp lý 19 2.5.4 Kỹ thuật để phòng thủ chống lại botnet 19 2.5.5 Biện pháp đối phó DoS/ DdoS 20 2.5.6 Bảo vệ DoS/ DdoS 21 2.5.6.1 Mức độ ISP 21 2.5.6.2 Hệ thống bảo vệ IntelliGuard 21 2.6 CÔNG CỤ BẢO VỆ DOS/ DDOS 21 2.6.1.1 NetFlow Analyzer 21 2.6.1.2 Một số công cụ khác 22 2.7 KIỂM TRA THÂM NHẬP DOS/ DDOS 24 CHƯƠNG 3: MỘT SỐ VÍ DỤ ĐIỂN HÌNH 26 3.1 Tấn công tràn ngập ICMP 26 3.2 Tấn công tràn ngập TCP, UDP, HTTP 26 3.3 Dùng Bonesi giả lập botnet 27 TÀI LIỆU THAM KHẢO 30 NHẬN XÉT CỦA CÁN BỘ HƯỚNG DẪN 31 SVTH: Lê Quang Hà iv Nghiên cứu tìm hiểu an ninh mạng DANH MỤC VIẾT TẮT DoS Denial of Service SQL Structured Query Language - ngôn ngữ truy vấn mang tính cấu trúc XSS Cross-site scripting HĐH Hệ điều hành DDoS Distribute Denial of Service ICQ Internet Chat Query IRC Internet Relay Chat ICMP Internet control message protocol PDoS Permanent Denial of Service LOIC Low Orbit Ion Cannon HTTP Hyper Text Transfer Protocol WMN Wireless Mesh Network CNTT Công Nghệ Thông Tin SVTH: Lê Quang Hà v Nghiên cứu tìm hiểu an ninh mạng DANH MỤC HÌNH ẢNH Hình 1-1 Các giai đoạn công Hình 2-1 Sơ đồ tổ chức tội phạm mạng Hình 2-2 Tấn công tràn ngập SYN 11 Hình 2-3 Tấn công tràn ngập ICMP 11 Hình 2-4 Hoạt động botnet 13 Hình 2-5 Cách thức botnet tạo gửi spam 14 Hình 2-6 Công cụ LOIC 15 Hình 2-7 Dùng LOIC công DDoS 16 Hình 2-8 Công cụ DoSHTTP 16 Hình 2-9 Cấu hình kích hoạt ngắt TCP phần mềm IOS Cisco 21 Hình 2-10 Công cụ NetFlow Analyzer 22 Hình 2-11 Công cụ D-Guard Anti-DDoS Firewall 23 Hình 2-12 Công cụ FortGuard Firewall 24 Hình 3-1 Ping of death 26 Hình 3-2 Bắt wireshark bị công tràn ngập ICMP 26 Hình 3-3 Tấn công nhiểu kiểu với LOIC 27 Hình 3-4 Bắt gói tin công dùng LOIC 27 Hình 3-5 Giả lập botnet công udp 28 Hình 3-6 Gửi gói UDP tới Server từ nhiều địa khác 28 Hình 3-7 Kết nối SYN tới Server từ địa khác 29 Hình 3-8 Giả lập botnet công tcp vào site 29 SVTH: Lê Quang Hà vi Nghiên cứu tìm hiểu an ninh mạng MỞ ĐẦU Bảo mật an ninh mạng đặt lên hàng đầu với công ty có hệ thống mạng dù lớn hay nhỏ Hiện nay, hacker nước tìm cách công xâm nhập hệ thống để lấy thông tin nội Những thông tin nhạy cảm thường ảnh hưởng tới sống công ty Chính vậy, nhà quản trị mạng cố gắng bảo vệ hệ thống tốt cố gắng hoàn thiện hệ thống để bớt lỗ hổng Tuy nhiên, kiểu công cổ điển công từ chối dịch vụ chưa tính nguy hiểm hệ thống mạng Hậu mà DoS gây không tiêu tốn nhiều tiền bạc, công sức mà nhiều thời gian để khắc phục DoS DDoS vấn đề nan giải chưa có biện pháp chống hoàn toàn công Với yêu cầu cấp thiết vậy, em chọn đề tài “Nghiên cứu tìm hiểu an ninh mạng” làm đồ án An Ninh Mạng Mục đích đưa làm đề tài hiểu kiểu công cách phòng chống DoS/ DDoS Đồ án viết dựa slide CEH v7 chia làm chương: CHƯƠNG I: TỔNG QUAN AN NINH MẠNG CHƯƠNG II: TẤN CÔNG TỪ CHỐI DỊCH VỤ CHƯƠNG III: MỘT SỐ VÍ DỤ ĐIỂN HÌNH Sinh viên thực hiện: Lê Quang Hà SVTH: Lê Quang Hà vii Nghiên cứu tìm hiểu an ninh mạng CHƯƠNG 1: TỔNG QUAN VỀ AN NINH MẠNG 1.1 TỔNG QUAN THÔNG TIN BẢO MẬT 1.1.1 Sự kiện bảo mật năm 2011 1.1.1.1 VietNamNet bị công DDoS lớn chưa có Trong vài ngày qua, báo VietNamNet phải hứng chịu công từ chối dịch vụ phân tán (DDoS) quy mô lớn chưa có Việt Nam, xuất phát từ mạng lưới khổng lồ gồm hàng chục ngàn máy tính bị nhiễm vi rút Bắt đầu từ cuối ngày 4/1/2011, lưu lượng truy cập vào trang chủ báo VietNamNet địa http://vietnamnet.vn tăng nhanh cách bất thường, lên tới hàng trăm ngàn kết nối thời điểm Với lượng độc giả truy cập hàng ngày, số lượng kết nối thời điểm mức trăm ngàn Nên việc thời điểm có tới hàng trăm ngàn kết nối liên tục (bao gồm độc giả thông thường) tới máy chủ web khiến băng thông đường truyền mạng bị tải Do vậy, độc giả truy cập vào báo VietNamNet bị tắc nghẽn từ đường truyền báo lỗi không tìm thấy máy chủ, phải truy cập vài lần mở trang web Trên thực tế, báo VietNamNet bị công DDoS nhiều lần quy mô vài chục ngàn kết nối thời điểm nên băng thông hệ thống công suất máy chủ chịu đựng Trong công DDoS diễn ra, kẻ thủ ác thể khả chuyên nghiệp huy động mạng lưới botnet với lượng máy lên tới hàng chục ngàn máy tính 1.1.1.2 "Hacktivism" dậy Hacktivism thuật ngữ diễn tả hành động công, đột nhập vào hệ thống máy tính nhằm mục đích trị Trên giới nay, nhóm hacker mang "mác" hacktivism tiếng kể đến bao gồm Anonymous, LulzSec (đã gác kiếm), hay TeaMp0isoN Trong suốt năm 2011 qua, nhóm hacktivism tiến hành nhiều hoạt động khác chống lại quan luật pháp, ngân hàng, phủ, công ty bảo mật nhà cung cấp phần mềm công lỗ thủng an ninh hệ thống Tổ chức Liên hiệp quốc (UN), quan tình báo bảo mật Straffor, CIA… Đáng lưu ý nữa, số việc này, công Straffor, tiết lộ lỗ hổng mặt an ninh việc lưu trữ số thẻ tín dụng hình SVTH: LÊ QUANG HÀ Nghiên cứu tìm hiểu an ninh mạng thức chưa mã hóa, hay mật vô thiếu an toàn nhà quản lý sử dụng 1.1.1.3 Công ty cung cấp giải pháp bảo mật cho phủ Hoa Kỳ bị công Vào tháng 1-2011, hacker thuộc Anonymous đột nhập máy chủ web HBGary Federal – hbgaryfederal.com – thông qua việc sử dụng đoạn mã SQL bất hợp pháp nhằm khai thác lỗ hổng bảo mật tồn sở liệu ứng dụng Sau trích xuất mã MD5 cho mật thuộc sở hữu giám đốc điều hành (CEO), Aaron Barr, COO, Ted Vera Cả hai dùng mật đơn giản: kí tự thường số Những mật cho phép kẻ công tiếp cận vào tài liệu nghiên cứu công ty hàng chục ngàn email lưu trữ Google Apps Như vậy, việc sử dụng mật thiếu an toàn cho hệ thống phần mềm cũ cộng với việc sử dụng điện toán đám mây gây ác mộng an ninh bảo mật 1.1.2 Các công DDoS tiếng lịch sử - Năm 2000, loạt website tiếng Yahoo, eBay, eTrade, Amazon CNN trở thành nạn nhân DDoS - Tháng 2/2001, máy chủ Cục tài Ireland bị số sinh viên Đại học Maynooth nước công DDoS - Ngày 15/8/2003, Microsoft chịu đợt công DoS cực mạnh làm gián đoạn websites vòng - Tháng 2/2007, 10.000 máy chủ game trực tuyến Return to Castle Wolfenstein, Halo, Counter-Strike …bị nhóm RUS công với hệ thống điều khiển chủ yếu đặt Nga, Uzbekistan Belarus - Trong suốt tuần đầu chiến Nam Ossetia 2008, trang web phủ Georgia tình trạng tải, gồm trang web ngân hàng quốc gia tổng thống Georgia Mikhail Saakashvili Chính phủ Nga phủ nhận cáo buộc cho họ đứng đằng sau vụ công - Ngày 25/6/2009 Michael Jackson qua đời, lượng truy cập tìm kiếm từ khóa có liên quan đến ca sĩ lớn khiến Google News lầm tưởng công tự động SVTH: LÊ QUANG HÀ Nghiên cứu tìm hiểu an ninh mạng - Tháng 8/2009, vụ DDoS nhắm tới loạt trang mạng xã hội đình đám Facebook, Twitter, LiveJournal số website Google thực để "khóa miệng" blogger có tên Cyxymu Georgia - Ngày 28/11/2010, WikiLeaks bị tê liệt DDoS họ chuẩn bị tung tài liệu mật phủ Mỹ - Ngày 7/12/2010, nhóm hacker có tên Anonymous đánh sập website Visa.com sau tổ chức công tương tự vào Mastercard PayPal để trả đũa cho việc chủ WikiLeaks bị tạm giam Anh - Ngày 3/3/2011, dịch vụ blog tiếng giới WordPress bị công - Ngày 4/3/2011, 40 trang web quan phủ Hàn Quốc bị tê liệt DDoS 1.2 KHÁI NIỆM HACKING 1.2.1 Khái niệm Hacker  Giỏi lập trình có kĩ hệ thống mạng  Nên làm quen dần với việc nghiên cứu lổ hỏng, lỗi bảo mật  Thành thạo,có hiểu biết kĩ thuật xâm nhập  Tự đặt cho nguyên tắc, phải thật nghiêm khắc 1.2.2 Các loại Hacker 1.2.2.1 Black Hat Loại hacker thường cá nhân có kiến thức, kĩ uyên thâm máy tính, có ý nghĩ đen tối, xếp lên kế hoạch công thứ tùy mục đích Black Hat cracker 1.2.2.2 White Hat Trắng có nghĩa làm việc sáng, minh bạch để chống lại ác, đen tối Những người phải có kiến thức, kĩ uyên thâm Black Hat, họ không dùng kiến thức để thực ý đồ đen tối công,xâm nhập… mà họ người tìm lổ hổng vá lổ hổng lại họ đặt phòng thủ lên hạng đầu Có thể coi người người phân tích bảo mật 1.2.2.3 Gray Hat Những người thực ý đồ đen tối hôm ngày mai lại giúp phòng thủ, bảo mật SVTH: LÊ QUANG HÀ Nghiên cứu tìm hiểu an ninh mạng 1.2.2.4 Suicide Hat Đây coi loại hacker cảm tử vậy, có nghĩa làm việc mà không sợ gì, dù có bị giam 30 năm không lo lắng sợ 1.3 CÁC GIAI ĐOẠN TẤN CÔNG Hình 1-1 Các giai đoạn công 1.3.1 Thăm dò (Reconnaissace) Thăm dò mục tiêu bước qua trọng để biết thông tin hệ thống mục tiêu Hacker sử dụng kỹ thuật để khám phá hệ thống mục tiêu chạy hệ điều hành nào, có dịch vụ chạy dịch vụ đó, cổng dịch vụ đóng cổng mở, gồm hai loại:  Passive: Thu thập thông tin chung vị trí địa lý, điện thoại, email cá nhân, người điều hành tổ chức  Active: Thu thập thông tin địa IP, domain, DNS,… hệ thống 1.3.2 Quét hệ thống (Scanning) Quét thăm dò hệ thống phương pháp quan trọng mà Attacker thường dùng để tìm hiểu hệ thống thu thập thông tin địa IP cụ thể, hệ điều hành hay kiến trúc hệ thống mạng Một vài phương pháp quét thông dụng như: quét cổng, quét mạng quét điểm yếu hệ thống 1.3.3 Chiếm quyền điều khiển (Gainning access) Đến hacker bắt đầu xâm nhập hệ thống công ,đã truy cập lệnh khai thác Các lệnh khai thác không gian nào, từ mạng LAN INTERNET lan rộng mạng không dây Hacker chiếm quyền điều khiển tại:  Mức hệ điều hành/ mức ứng dụng SVTH: LÊ QUANG HÀ Nghiên cứu tìm hiểu an ninh mạng  Tăng hoạt động clusters  Tăng toàn số lượng rõ ràng clusters (tấn công DDoS) Hoạt động định hình thu cách giám sát thông tin header gói tin mạng Nó tốc độ trung bình lưu lượng mạng bao gồm gói tin liên tiếp với trường gói tin giống 2.5.1.2 Phân tích wavelet Phân tích wavelet mô tả tín hiệu vào đầu cuối bao gồm quang phổ Phân tích quang phổ lượng xác định tượng bất thường Wavelets cung cấp đồng thời gian mô tả tần số Họ xác định thời gian xác gồm tần số diện 2.5.1.3 Phát thay đổi điểm theo trình tự Thuật toán phát thay đổi điểm mô tả lưu lượng thống kê nguyên nhân thay đổi công Họ bắt đầu lọc lưu lượng liệu tới đích địa chỉ, cổng giao thức lưu trữ kết thành chuỗi thời gian Để nhận diện định vị công DoS thuật toán cusum xác định độ lệch mức trung bình thực tế cục so với dự kiến chuỗi thời gian giao thông Bạn dùng nhận biết worm thông thường hoạt động scanning 2.5.2 Biện pháp đối phó chiến lược DoS/ DdoS  Hấp thụ công: Dùng khả phụ để hấp thụ công, yêu cầu kế hoạch trước  Làm giảm dịch vụ: Nhận biết dịch vụ nguy hiểm dừng dịch vụ không nguy hiểm  Tắt dịch vụ: Tắt tất dịch vụ công giảm bớt 2.5.3 Biện pháp đối phó công DoS/ DdoS 2.5.3.1 Bảo vệ thứ cấp victims  Cài đặt phần mềm anti-virus, anti-Trojan cập nhập  Tăng nhận thức vấn đề bảo mật kỹ thuật ngăn chặn người sử dụng từ tất nguồn internet  Tắt dịch vụ không cần thiết, gỡ bỏ ứng dụng không sử dụng, quét tất files nhận từ nguồn bên  Cấu hình thường xuyên cập nhập xây dựng cấu phòng thủ lõi phần cứng phần mềm hệ thống SVTH: LÊ QUANG HÀ 17 Nghiên cứu tìm hiểu an ninh mạng 2.5.3.2 Phát vô hiệu hóa handers  Phân tích lưu lượng mạng: Nghiên cứu giao tiếp giao thức mô hình handlers client handlers agents để nhận biết node mạng lây với handler  Vô hiệu hóa botnet handler: Thông thường vài DDoS handler triển khai gần so với số lượng agent Vô hiệu hóa vài handler làm cho nhiều agent không hữu dụng, để cản trở công DDoS  Giả mạo địa nguồn: Có xác suất lớn giả mạo địa nguồn gói tin công DDoS không giá trị địa nguồn mạng cụ thể 2.5.3.3 Phát tiềm công  Bộ lọc xâm nhâp: Bảo vệ từ công tràn ngập có nguồn gốc từ tiền tố hợp lệ Nó cho phép người khởi tạo truy tìm nguồn gốc thực  Bộ lọc ra: Quét header gói tin gói tin IP mạng Bộ lọc không chứng thực lưu lượng nguy hiểm không khỏi mạng bên  Ngắt TCP: Cấu hình ngắt TCP ngăn ngừa công cách ngắt yêu cầu kết nối TCP hợp lệ 2.5.3.4 Làm lệch hướng công  Hệ thống thiết lập với giới hạn bảo mật, biết honeypot, hoạt động cám dỗ kẻ công  Phục vụ có nghĩa giành thông tin từ kẻ công cách lưu trữ ghi hoạt động, học kiểu công công cụ phần mềm kẻ công sử dụng  Dùng phòng thủ chiều sâu tiếp cận với IPSec điểm mạng khác chuyển hướng đáng ngờ luồng DoS đến vài honeypot Honeypot hệ thống tài nguyên thông tin xây dựng với mục đích giả dạng đánh lừa kẻ sử dụng xâm nhập không hợp pháp, thu hút ý chúng, ngăn không cho chúng tiếp xúc với hệ thống thật 2.5.3.5 Làm dịu công  Cân tải: SVTH: LÊ QUANG HÀ 18 Nghiên cứu tìm hiểu an ninh mạng o Nhà cung cấp tăng băng thông kết nối quan trọng để ngăn ngừa giảm xuống công o Nhân máy chủ cung cấp thêm bảo vệ an toàn o Cân tải cho server cấu trúc nhiều server cải tiến hiệu suất bình thường giảm ảnh hưởng công DoS  Hoạt động điều chỉnh: o Thiết lập cách thức router truy cập server với điều chỉnh logic lưu lượng vào tới mức độ an toàn để server xử lý o Bộ xử lý ngăn ngừa tràn ngập thiệt hại tới server o Bộ xử lý mở rộng để điều chỉnh luồng công DDoS đối lập lưu lượng hợp pháp người sử dụng cho kết tốt 2.5.3.6 Pháp lý  Phân tích router, firewall, IDS logs để nhận biết nguồn lưu lượng DoS Mặc dù kẻ công thông thường giả mạo địa nguồn, dấu vết IP trả lại với trợ giúp ISP thực thi pháp luật quan cho phép bắt thủ phạm  Phân tích mẫu lưu lượng: Dữ liệu phân tích-sau công-để tìm kiếm đặc điểm riêng biệt lưu lượng công  Mẫu lưu lượng công DDoS giúp người quản trị mạng phát triển kỹ thuật lọc để ngăn ngừa vào mạng  Dùng đặc điểm, liệu dùng để cập nhập cân tải điều chỉnh biện pháp đối phó 2.5.4 Kỹ thuật để phòng thủ chống lại botnet  Lọc: Các gói tin cần phải có nguồn gốc hợp lệ, cho phép địa trống, bao gồm tôpô cấp phát không gian Bất kỳ lưu lượng vào không sử dụng địa ip dành riêng không thật nên lọc ISP trước vào đường link internet  Lọc lỗ đen: Lỗ đen nơi một mạng, nơi lưu lượng chuyển tiếp hủy bỏ Kỹ thuật lọc dùng giao thức cập nhập định tuyến để điều khiển bảng định tuyến biên mạng để hủy lưu lượng SVTH: LÊ QUANG HÀ 19 Nghiên cứu tìm hiểu an ninh mạng không thích nghi trước xâm nhập vào mạng nhà cung cấp dịch vụ  Lọc nguồn ip uy tín Cisco IPS: IPS cisco nhận đe dọa cập nhập từ mạng Cisco SensorBase (trung tâm kiểm soát công) chứa thông tin chi tiết nhân biệt mối đe dọa internet, bao gồm kẻ công, botnet harvester, malware bùng phát dark net  Cung cấp dịch vụ phòng chống DDoS từ ISP: Bật bảo vệ IP nguồn switch ngăn ngừa host gửi gói tin giả mạo trở thành bot 2.5.5 Biện pháp đối phó DoS/ DdoS Một số biện pháp như:  Hiệu chế mã hóa cần đề xuất cho công nghệ băng thông rộng  Cải tiến giao thức định tuyến kỳ vọng, đặc biệt cho nhiều hop WMN  Tắt dịch vụ không sử dụng không bảo mật  Khóa tất gói tin có nguồn vào từ cổng dịch vụ để khóa lưu lượng ánh xạ từ server  Cập nhập kernel tới phiên  Ngăn ngừa truyền địa gói tin lậu mức độ ISP  Thực nhận biệt vô tuyến lớp vật lý để xử lý gây nhiễu xáo trộn công  Cấu hình firewall để từ chối dòng truy cập giao thức điều khiển thông điệp internet (ICMP)  Ngăn ngừa dùng chức không cấp thiết get, strcpy,  Đảm bảo an toàn cho người quản trị từ xa kiểm tra kết nối  Ngăn chặn địa chị trả lại không bị ghi đè  Dữ liệu xử lý kẻ công nên dừng lại trước chạy  Thực triệt để giá trị nhập vào  Các card mạng gateway gói tin nên dùng card mạng tốt để xử lý số lượng lớn gói tin SVTH: LÊ QUANG HÀ 20 Nghiên cứu tìm hiểu an ninh mạng 2.5.6 Bảo vệ DoS/ DdoS 2.5.6.1 Mức độ ISP Nhiều ISP đơn giản khóa tất yêu cầu thời gian công DDoS, từ chối lưu lượng hợp pháp từ truy cập dịch vụ ISP đưa đám mây DDoS bảo vệ đường liên kết internet họ bão hòa công Lưu lượng công chuyển hướng tới ISP công để lọc gửi trở lại Quản trị mạng yêu cầu ISP để khóa nguồn IP tác động di chuyển trang web tới IP khác sau thực lan truyền DNS Hình 2-9 Cấu hình kích hoạt ngắt TCP phần mềm IOS Cisco 2.5.6.2 Hệ thống bảo vệ IntelliGuard IntelliGuard DPS trợ giúp làm dịu công DDoS thiết kế tập trung vượt qua lưu lượng hợp pháp bỏ lưu lượng công Cấp bậc học bảo vệ chiến lược nhận biết vị trí truy cập ưu tiên cho khách hàng xếp hạng truy cập họ Quản lý lưu lượng đa cấp độ cấu hình giới hạn lưu lượng đảm bảo cho việc quản lý lưu lượng cho thành phần mạng 2.6 CÔNG CỤ BẢO VỆ DOS/ DDOS 2.6.1.1 NetFlow Analyzer NetFlow Analyzer, công cụ phân tích lưu lượng đầy đủ, thúc đẩy công nghệ phân tích lưu lượng để cung cấp khả hiển thị thời gian thực hiệu suất băng thông mạng Chủ yếu NetFlow Analyzerlà công cụ giám sát băng thông, tối ưu hóa hàng ngàn mạng lưới toàn giới cách đưa nhìn toàn diện băng thông mạng mẫu lưu lượng truy cập NetFlow Analyzer giải pháp thống thu thập, phân tích báo cáo băng thông mạng bạn sử dụng người sử dụng NetFlow Analyzer đối tác tin cậy tối ưu hóa việc sử dụng băng thông toàn thể giới thực giám định mạng phân tích lưu lượng mạng SVTH: LÊ QUANG HÀ 21 Nghiên cứu tìm hiểu an ninh mạng Hình 2-10 Công cụ NetFlow Analyzer 2.6.1.2 Một số công cụ khác  D-Guard Anti-DDoS Firewall D-Guard Anti-DDoS Firewall cung cấp đáng tin cậy nhanh bảo vệ DDoS cho doanh nghiệp trực tuyến, dịch vụ phương tiện truyền thông, thiết yếu hạ tầng công cộng cung cấp dịch vụ Internet Là chuyên nghiệp Anti-DDoS Firewall, D-Guard bảo vệ chống lại hầu hết công loại, bao gồm DoS / DDoS, Super DDoS, DrDoS, Fragment công, công SYN lũ lụt, lũ lụt công IP, UDP, UDP đột biến, ngẫu nhiên UDP Flooding công, ICMP, IGMP công, ARP Spoofing, HTTP Proxy công, CC Flooding công, CC Proxy công,… D-Guard Anti-DDoS Firewall cung cấp cấp cách tiếp cận để giảm nhẹ công DDoS, với thiết kế tập trung vào giao thông qua hợp pháp loại bỏ giao thông công, xử lý công kịch suy thoái tồi tệ mà không cần hiệu suất SVTH: LÊ QUANG HÀ 22 Nghiên cứu tìm hiểu an ninh mạng Hình 2-11 Công cụ D-Guard Anti-DDoS Firewall  FortGuard Firewall FortGuard Firewall - giải pháp giúp người dùng chống lại công DDoS với độ xác hiệu suất cao FortGuard Firewall phần mềm tường lửa Anti-DDoS nhỏ mạnh mẽ với Intrusion Prevention System sẵn có Nó bảo vệ máy tính bạn chống lại công DDoS xác với hiệu suất cao FortGuard Firewall chống lại SYN, TCP Flooding loại công DDoS khác khả thấy gói công thời gian thực Chương trình cho phép bạn vô hiệu hóa/ kích hoạt truy cập qua proxy vào tầng ứng dụng ngăn chặn 2000 kiểu hoạt động hacker SVTH: LÊ QUANG HÀ 23 Nghiên cứu tìm hiểu an ninh mạng Hình 2-12 Công cụ FortGuard Firewall 2.7 KIỂM TRA THÂM NHẬP DOS/ DDOS Hệ thống server dễ bị công DoS nên kiểm tra thâm nhập để tìm hiểu để đối phó Một hệ thống dễ bị công xử lý số lượng lớn lưu lượng gửi sau bị treo giảm tốc độ, ngăn ngừa truy cập cách chứng thực người sử dụng Kiểm tra thâm nhập xác định ngưỡng tối thiểu công DoS hệ thống , người kiểm thử không chủ quan hệ thống bền vững trước chống công DoS Đối tượng để kiểm tra thâm nhập DoS làm tràn ngập lưu lượng hệ thống mục tiêu, tương tự hàng trăm người liên tục yêu cầu dịch vụ, làm cho server hoạt động liên tục giá trị Dùng tool kiểm tra theo bước sau: Kiểm tra web server dùng công cụ tự động Web Application Stress(WAS) Jmeter cho khả chịu tải, hiệu suất server, khóa, khả mở rộng phát sinh Quét hệ thống dùng công cụ tự động NMAP, GFI LANGuard, Nessus để khám phá hệ thống dễ bị công DoS Tràn ngập mục tiêu với yêu cầu gói tin kết nối dùng công cụ Trin00, Tribe Flood, TFN2K Tấn công tràn ngập cổng để làm đầy cổng tăng sử dụng trì tất yêu cầu kết nối làm tắc nghẽn cổng.Dùng công cụ Mutilate and Pepsi5 để tự động cộng tràn ngập cổng SVTH: LÊ QUANG HÀ 24 Nghiên cứu tìm hiểu an ninh mạng Dùng công cụ Mail Bomber, Attache Bomber, Advanced Mail Bomber để gửi số lượng mail lớn cho mail server mục tiêu Điền vào mẫu nội dung tùy ý kéo dài làm tràn ngập trang web SVTH: LÊ QUANG HÀ 25 Nghiên cứu tìm hiểu an ninh mạng CHƯƠNG 3: MỘT SỐ VÍ DỤ ĐIỂN HÌNH 3.1 Tấn công tràn ngập ICMP Mô tả: Tấn công tràn ngập ICMP tới router làm router không xử lý kịp dẫn tới bị treo truy cập internet Chạy lệnh For /L %i in (1,1,100) start ping “ipaddress-victim” -l 65500 – tfs để thực công Hình 3-1 Ping of death Ta dùng công cụ Nemesy để thay cho dễ sử dụng Kiểu công gửi liên tục gói ping request tới victim victim xử lý cách gửi icmp relay tới máy attacker Hình 3-2 Bắt wireshark bị công tràn ngập ICMP Tấn công liên tục làm router không xử lý bị treo Kết luận:  Kiểu công ICMP kiểu công cổ điển nhất, dễ thực  Các router cấu hình yếu dễ bị công treo nhanh chóng Phòng chống: Tắt ICMP router 3.2 Tấn công tràn ngập TCP, UDP, HTTP SVTH: LÊ QUANG HÀ 26 Nghiên cứu tìm hiểu an ninh mạng Mô tả: Dùng công cụ LOIC để công website http://mm3a.com nhiều kiểu: TCP, UDP, HTTP chỉnh tốc độ công nhanh hay chậm Hình 3-3 Tấn công nhiểu kiểu với LOIC Hình 3-4 Bắt gói tin công dùng LOIC Kết Luận:  Công cụ LOIC mạnh, hỗ trợ nhiều kiểu công  Đặc biệt, LOIC dùng để kết nối tình nguyện viên dạng botnet để công mục tiêu Phòng chống:  Tăng khả kiểm soát số lượng yêu cầu SYN-ACK tới hệ thống mạng  Hệ thống cần phân tích chống spoofing  Giới hạn số lượng kết nối từ nguồn cụ thể tới server (quota)  áp dụng lọc để giới hạn số lượng kết nối trung bình quan trọng Một lọc xác định ngưỡng tốc độ kết nối cho đối tượng mạng Thông thường, việc số lượng kết nối thời gian định phép dao động lưu lượng 3.3 Dùng Bonesi giả lập botnet Mô tả: Công cụ Bonesi chương trình giả lập botnet để kiểm tra hệ thống trước công DDoS Bonesi thiết kế để nghiên cứu ảnh hưởng công DDoS Có thể tải công cụ Bonesi http://code.google.com/p/bonesi/ SVTH: LÊ QUANG HÀ 27 Nghiên cứu tìm hiểu an ninh mạng Chuẩn bị: + Server 2k3 - Web Server (IP: 192.168.137.33) + Backtrack - Attacker (IP: 192.168.137.224) Nội dung: Sử dụng Bonesi công web server dùng file 5k-bots mô nhiều ip công công tràn ngập udp/tcp Mô chia thành hai phần: UDP: Gửi 10 gói udp giây với payload 1390 byte tới 192.168.137.33 port 2234 Hình 3-5 Giả lập botnet công udp Quan sát Server: Hình 3-6 Gửi gói UDP tới Server từ nhiều địa khác TCP: Yêu cầu http://192.168.137.33/index.html 1000 lần giây qua cổng eth0 SVTH: LÊ QUANG HÀ 28 Nghiên cứu tìm hiểu an ninh mạng Hình 3-7 Kết nối SYN tới Server từ địa khác Quan sát Server: Hình 3-8 Giả lập botnet công tcp vào site Kết luận:  Đây công cụ mô hay, đầy đủ kiểu công  Công cụ mô hầu hết kiểu công như: ICMP, UDP and TCP (HTTP) Phòng chống:  Trên Server cần cài phần mềm hỗ trợ nhận biết dấu hiệu D-Guard Anti-DDoS Firewall để sớm có biện pháp đối phó  Tham khảo thêm cách đối phó DoS/ DDoS trình bày SVTH: LÊ QUANG HÀ 29 Nghiên cứu tìm hiểu an ninh mạng TÀI LIỆU THAM KHẢO [1] CEH V7 Module 10 [2] http://tuoitre.vn [3] http://www.thongtincongnghe.com [4] http://wikipedia.org [5] http://uitstudent.vn/ SVTH: LÊ QUANG HÀ 30 Nghiên cứu tìm hiểu an ninh mạng NHẬN XÉT CỦA CÁN BỘ HƯỚNG DẪN SVTH: LÊ QUANG HÀ 31 [...]... đến việc hacker khai thác SVTH: LÊ QUANG HÀ 5 Nghiên cứu và tìm hiểu an ninh mạng Do đó phải config hệ thống chính xác, bỏ những dịch vụ và các phần mềm không cần thiết SVTH: LÊ QUANG HÀ 6 Nghiên cứu và tìm hiểu an ninh mạng CHƯƠNG 2: TỪ CHỐI DỊCH VỤ 2.1 KHÁI NIỆM DOS 2.1.1 Tấn công từ chối dịch vụ Tấn công từ chối dịch vụ là kiểu tấn công vào máy tính hoặc một mạng để ngăn chặn sự truy cập hợp pháp... của tổ chức tội phạm chiến tranh mạng với động cơ chính trị (hacktivism) là một vấn đề quan tâm cho các cơ quan an ninh quốc gia 2.1.6 Sơ đồ tổ chức của tổ chức tội phạm mạng Hình 2-1 Sơ đồ tổ chức tội phạm mạng 2.1.7 Internet Chat Query ICQ là chat client được dùng để chat với mọi người Hoạt động: SVTH: LÊ QUANG HÀ 8 Nghiên cứu và tìm hiểu an ninh mạng  Nó gán một số định danh phổ cập xác định người... truy cập NetFlow Analyzer là một giải pháp thống nhất thu thập, phân tích và báo cáo về băng thông mạng của bạn đang được sử dụng và người sử dụng NetFlow Analyzer là đối tác tin cậy tối ưu hóa việc sử dụng băng thông trên toàn thể giới ngoài ra nó thực hiện giám định mạng và phân tích lưu lượng mạng SVTH: LÊ QUANG HÀ 21 Nghiên cứu và tìm hiểu an ninh mạng Hình 2-10 Công cụ NetFlow Analyzer 2.6.1.2... dịch vụ đó như bị: + Tắt mạng + Tổ chức không hoạt động SVTH: LÊ QUANG HÀ 7 Nghiên cứu và tìm hiểu an ninh mạng + Tài chính bị mất 2.1.5 Tội phạm mạng Tội phạm mạng ngày càng được liên kết với các tập đoàn tội phạm có tổ chức để tận dụng lợi thế của các kỹ thuật tinh vi của họ Những nhóm có tổ chức tội phạm mạng làm việc trênhệ thống thiết lập thứ bậc với một mô hình chia sẻ doanh thu, giống như một... khoảng thời gian lưu lượng mạng trạng thái thống kê bình thường 2.5.1.1 Hoạt động định hình Một tấn công được nhận biết bằng: SVTH: LÊ QUANG HÀ 16 Nghiên cứu và tìm hiểu an ninh mạng  Tăng hoạt động giữa các clusters  Tăng toàn bộ số lượng rõ ràng clusters (tấn công DDoS) Hoạt động định hình thu được bằng cách giám sát thông tin header của gói tin trong mạng Nó là tốc độ trung bình lưu lượng mạng bao... Nghiên cứu và tìm hiểu an ninh mạng 2.5.3.2 Phát hiện và vô hiệu hóa handers  Phân tích lưu lượng mạng: Nghiên cứu giao tiếp giao thức và mô hình giữa handlers và client hoặc handlers và agents để nhận biết node mạng có thể lây với các handler  Vô hiệu hóa botnet handler: Thông thường vài DDoS handler được triển khai gần bằng so với số lượng agent Vô hiệu hóa một vài handler có thể làm cho nhiều agent... trên cùng vùng an toàn cho phần còn lại Hình 2-3 Tấn công tràn ngập ICMP SVTH: LÊ QUANG HÀ 11 Nghiên cứu và tìm hiểu an ninh mạng 2.2.5 Tấn công điểm nối điểm Dùng điểm nối điểm để tấn công, kẻ tấn công chỉ đạo clients của mô hình điểm nối điểm chia sẽ file trung tâm gây ngắt kết nối từ mạng của họ và kết nối tới website giả mạo của victim Kẻ tấn công khai thác lỗ hổng tìm thấy trên mạng dùng giao... get, strcpy,  Đảm bảo an toàn cho người quản trị từ xa và kiểm tra kết nối  Ngăn chặn địa chị trả lại không bị ghi đè  Dữ liệu được xử lý bởi kẻ tấn công nên dừng lại trước khi chạy  Thực hiện triệt để giá trị nhập vào  Các card mạng là gateway của gói tin vì vậy nên dùng card mạng tốt hơn để xử lý số lượng lớn gói tin SVTH: LÊ QUANG HÀ 20 Nghiên cứu và tìm hiểu an ninh mạng 2.5.6 Bảo vệ DoS/... không gian Bất kỳ lưu lượng vào không sử dụng hoặc địa chỉ ip dành riêng không thật và nên lọc tại ISP trước khi vào đường link internet  Lọc lỗ đen: Lỗ đen là nơi trên một một mạng, nơi đó lưu lượng được chuyển tiếp hoặc hủy bỏ Kỹ thuật lọc này dùng giao thức cập nhập định tuyến để điều khiển bảng định tuyến tại biên một mạng để hủy lưu lượng SVTH: LÊ QUANG HÀ 19 Nghiên cứu và tìm hiểu an ninh mạng. .. Các router cấu hình yếu rất dễ bị tấn công và treo nhanh chóng Phòng chống: Tắt ICMP trên router 3.2 Tấn công tràn ngập TCP, UDP, HTTP SVTH: LÊ QUANG HÀ 26 Nghiên cứu và tìm hiểu an ninh mạng Mô tả: Dùng công cụ LOIC để tấn công website http://mm3a.com bằng nhiều kiểu: TCP, UDP, HTTP và chỉnh tốc độ tấn công nhanh hay chậm Hình 3-3 Tấn công bằng nhiểu kiểu với LOIC Hình 3-4 Bắt gói tin trong khi tấn