Đề tài DDoS attacks
BÁO CÁO BÀI TẬP LỚN MÔN BẢO MẬT MẠNG ĐỀ TÀI : DDoS attacks Giảng viên hướng dẫn : Nguyễn Khánh Văn NHÓM Lớp : IS1 – Việt Nhật I Khái niệm bảo mật Với tốc độ phát triển internet vấn đề an ninh mạng bảo mật liệu trở lên cấp thiết Cùng với phát triển dịch vụ internet nạn công qua mạng lại trở nên nguy hiểm hết Tội phạm ngày tinh vi hơn, sử dụng công nghệ cao Chính vấn đề bảo mật ngày trọng Một doanh nghiệp muốn phát triển trước tiên hệ thống thông tin họ phải bảo vệ an toàn, không kẻ khác nghe trộm lấy cắp thông tin Giá trị thông tin doanh nghiệp tài sản vô gía Không túy vật chất, giá trị khác đo đếm uy tín họ với khách hàng sao, thông tin giao dịch với khách hàng bị đánh cắp, sau bị lợi dụng với mục đích khác Hacker, attacker, virus…quá quen thuộc với chúng ta.Và vậy, tất hệ thống cần trang bị công cụ đủ mạnh để đối phó với phương thức công vào hệ thống mạng Ai tạo tường lửa đủ mạnh để chống đỡ ý đồ xâm nhập vào hệ thống? không an toàn bảo mật nằm chúng ta! II Các hình thức công mạng Tấn công trực tiếp Hacker sử dụng thông tin biết user để dò tìm mật Cách đơn giản dễ sử dụng Ngoài hacker có thề dùng phần mềm để dò tìm mật người dùng mạng Cách đơn giản tỉ lệ thành công cao Chính người dùng nên đề phòng với cách hacker Nghe trộm mạng Khi gửi liệu Dữ liệu không đến trực tiếp máy tính đích mà thông qua nhiều máy trung gian Chính kẻ công lợi dụng hội đề kiểm soát quyền truy nhập vào hệ thống Hacker đứng trung gian để lấy cắp liệu thay liệu liệu khác nguy hiểm Thông tin trước tới đích bị sai lệch hoàn toàn Điều nguy hiểm giao dịch trực tuyến nghĩ nhiều cách để hạn chế nghe trộm kẻ thứ ví dụ sử dụng chữ kí điện tử… Giả mạo địa Giả mạo địa thực thông qua sử dụng khả dẫn đường trực tiếp Với cách công kẻ công gửi gói tin tới mạng khác với địa giả mạo, đồng thời rõ đường dẫn mà gói tin phải Thí dụ người giả mạo địa bạn để gửi thông tin làm ảnh hưởng xấu tới bạn Vô hiệu hoá chức hệ thống Đây kiểu công làm tê liệt hệ thống, từ chối dịch vụ (Denial of Service - DoS) không cho hệ thống thực chức mà thiết kế Kiểu công khó ngăn chặn phương tiện dùng để tổ chức công lại phương tiện dùng để làm việc truy cập thông tin mạng Một thí dụ trường hợp xảy người mạng sử dụng chương trình đẩy gói tin yêu cầu trạm Khi nhận gói tin, trạm luôn phải xử lý tiếp tục thu gói tin đến sau đệm đầy, dẫn tới tình trạng nhu cầu cung cấp dịch vụ máy khác đến trạm không phục vụ Điều đáng sợ kiểu công DoS cần sử dụng tài nguyên giới hạn mà làm ngưng trệ dịch vụ site lớn phức tạp Do loại hình công gọi kiểu công không cân xứng (asymmetric attack) Chẳng hạn kẻ công cần máy tính PC thông thường với modem tốc độ chậm công làm ngưng trệ máy tính mạnh hay mạng có cấu hình phức tạp Điều thể rõ qua đợt công vào Website Mỹ đầu tháng 2/2000 vừa qua Tấn công vào yếu tố người Đây hình thức công nguy hiểm dẫn tới tổn thất khó lường Kẻ công liên lạc với người quản trị hệ thống thay đổi số thông tin nhằm tạo điều kiện cho phương thức công khác Ngoài ra, điểm mấu chốt vấn đề an toàn, an ninh mạng người sử dụng Họ điểm yếu toàn hệ thống kỹ năng, trình độ sử dụng máy tính, bảo mật liệu không cao Chính họ tạo điều kiện cho kẻ phá hoại xâm nhập vào hệ thống thông qua nhiều hình thức khác qua email sử dụng chương trình không rõ nguồn gốc, thiếu độ an toàn Với kiểu công thiết bị ngăn chặn cách hữu hiệu có phương pháp hướng dẫn người sử dụng mạng yêu cầu bảo mật để nâng cao cảnh giác Nói chung yếu tố người đIểm yếu hệ thống bảo vệ có hướng dẫn người quản trị mạng với tinh thần hợp tác từ phía người sử dụng nâng cao độ an toàn hệ thống bảo vệ Một số kiểu công khác Ngoài hình thức công kể trên, hacker sử dụng số kiểu công khác tạo virus đặt nằm tiềm ẩn file người sử dụng vô tình trao đổi thông tin qua mạng mà người sử dụng tự cài đặt lên máy Ngoài nhiều kiểu công khác mà chưa biết tới chúng đưa hacker Phương pháp chung ngăn chặn kiểu công Để thực viêc ngăn chặn truy nhập bất hợp pháp đòi hỏi phải đưa yêu cầu hoạch định sách như: xác định có quyền sử dụng tài nguyên hệ thống, tài nguyên mà hệ thống cung cấp sử dụng có quyền xâm nhập hệ thống Chỉ nên đưa vừa đủ quyền cho người để thực công việc Ngoài cần xác định quyền lợi trách nhiệm người sử dụng với quyền lợi nghĩa vụ người quản trị hệ thống Hiện nay, để quản lý thông tin truy nhập từ vào hay từ người ta thiết lập tường lửa (Firewall) ngăn chặn truy nhập bất hợp pháp từ bên đồng thời server thông tin tách khỏi hệ thống site bên nơi không đòi hỏi xâm nhập từ bên Các công hacker gây nhiều thiệt hại thường nhằm vào server Hệ điều hành mạng, phần mềm server, CGI script mục tiêu để hacker khai thác lỗ hỗng nhằm công server Các hacker lợi dụng lỗ hổng server để đột kích vào trang web thay đổi nội dung trang web đó, tinh vi đột nhập vào mạng LAN sử dụng server để công vào máy tính mạng LAN Vì vậy, việc đảm an toàn tuyệt đối cho phía server nhiệm vụ đơn giản Điều phải làm trước tiên phải lấp kín lỗ hỗng xuất cài đặt hệ điều hành mạng, đặt cấu hình phần mềm server, CGI script, phải quản lý chặt chẽ tài khoản user truy cập Việc bảo mật thông tin cá nhân người sử dụng truyền mạng vấn đề cần xem xét nghiêm túc Ta biết thông tin gửi mạng có bị nghe trôm thay đổi nội dung thông tin không hay sử dụng thông tin vào mục đích khác Để đảm bảo thông tin truyền mạng cách an toàn, đòi hỏi phải thiết lập chế bảo mật Điều thực thông qua việc mã hoá liệu trước gửi thiết lập kênh truyền tin bảo mật Việc bảo mật giúp cho thông tin bảo vệ an toàn, không bị kẻ khác lợi dụng Ngày nay, Internet người ta sử dụng nhiều phương pháp bảo mật khác sử dụng thuật toán mã đối xứng mã không đối xứng (thuật toán mã công khai) để mã hoá thông tin trước truyền internet Tuy nhiên giải pháp phần mềm người ta áp dụng giải pháp phần cứng Một yếu tố chủ chốt để chống lại truy nhập bất hợp pháp yếu tố người, phải luôn nhắc nhở người có ý thức việc sử dụng tài nguyên chung, tránh cố làm ảnh hưởng tới nhiều người Công tác bảo mật thường bắt đầu cách thiết lập hệ thống, sách công ty (các Group Policy triển khai): a Đối với tài khoản hệ thống: Đổi password theo định kỳ với password phức tạp với độ dài ký tự phải có ký tự phức tạp Xác định thời gian đăng nhập vào hệ thống, thoát khỏi hệ thống hết thời điểm sử dụng mạng Users phép sử dụng máy cố định máy phải gia nhập vào Domain b Đối với nơi lưu trữ: Đảm bảo phân quyền cách hợp lý, hạn chế phân quyền mặc định Cấp quyền phù hợp cho nhóm người có trách nhiệm tương tác với liệu Đảm bảo luôn có backup để phục hồi có cố An toàn mặt lý: giải pháp chống cháy, cố điện… Dữ liệu truyền tải phải đảm bảo an toàn, thay đổi đánh cắp thông tin c Đối với hệ thống: Đảm bảo hệ thống luôn cập nhật, không hệ điều hành mà ứng dụng người dùng 10 Sử dụng chương trình Antivirus, AntiSpyware… cách hợp lý phù hợp 11 Triển khai sách phù hợp cho việc theo dõi, bảo trì nâng cấp hệ thống 12 Ghi nhận kiện III DDoS attack Đây kiểu công làm tê liệt hệ thống, từ chối dịch vụ (Denial of Service - DoS) không cho hệ thống thực chức mà thiết kế Kiểu công khó ngăn chặn phương tiện dùng để tổ chức công lại phương tiện dùng để làm việc truy cập thông tin mạng Lịch sử DDoS attacks - Với vụ việc liên quan đến việc công trang web Mĩ Hàn quốc gần DDoS attacks chứng minh DDoS attacks mối đe doạ nghiêm trọng internet, công cụ nguy hiểm hacker - Việc tìm hiểu từ có biện để phòng ngừa cần thiết cho công ty, doanh nghiệp cá nhân sử dụng Internet - Lịch sử DDoS attacks: + 1998 Chương trình Trinoo Distributed Denial of Service (DDoS) viết Phifli + Tháng – 1999 Trang chủ FBI ngừng họat động công (DDOS) + Tháng – 1999 Mạng Trinoo cài đặt kiểm tra 2000 hệ thống + Cuối tháng đầu tháng năm 1999, Tribal Flood Network đầu tiiên đời, Chương trình Mixter Phát triển + Cuối tháng năm 1999, Công cụ Stacheldraht bắt đầu xuất hệ thống Châu âu Hoa kỳ + Ngày 21 tháng 10 năm 1999 David Dittrich thuộc trường đại học Washington làm phân tích công cụ công từ chối dịch vụ + Ngày 21 tháng 12 năm 1999 Mixter phát hành Tribe Flood Network 2000 ( TFN2K ) + 10 : 30 / – -2000 Yahoo! ( Một trung tâm tiếng ) bị công từ chối dịch vụ ngưng trệ hoạt động vòng đồng hồ Web site Mail Yahoo GeoCities bị công từ 50 địa IP khác với nhửng yêu cầu chuyễn vận lên đến gigabit /s + -2 nhiều Web site lớn Buy.com, Amazon.com, eBay, Datek, MSN, CNN.com bị công từ chối dịch vụ + Lúc tối ngày 9-2/2000 Website Excite.com đích vụ công từ chối dịch vụ, liệu luân chuyễn tới tấp vòng kết thúc, gói liệu hư hỏng nặng - Và gần DDoS attacks làm xôn xao cư dân mạng giới công vào trang web lớn Mĩ Hàn Quốc Định nghĩa DDoS attacks DDoS attacks (tấn công DDoS) cố gắng làm cho tài nguyên máy tính sử dụng nhằm vào người dùng Mặc dù phương tiện để tiến hành, động cơ, mục tiêu công từ chối dịch vụ khác nhau, nói chung gồm có phối hợp, cố gắng ác ý người hay nhiều người để chống lại Internet site service (dịch vụ Web) vận hành hiệu tất cả, tạm thời hay cách không xác định Thủ phạm tẩn công từ chối dịch vụ nhằm vào mục tiêu site hay server tiêu biểu ngân hàng, cổng toán thẻ tín dụng chí DNS root servers Một phương thức công phổ biến kéo theo bão hoà máy mục tiêu với yêu cầu liên lạc bên ngoài, đến mức đáp ứng giao thông hợp pháp, đáp ứng chậm Trong điều kiện chung, công DoS bổ sung ép máy mục tiêu khởi động lại tiêu thụ hết tài nguyên đến mức không cung cấp dịch vụ, làm tắc nghẽn liên lạc người sử dụng nạn nhân DoS làm ngưng hoạt động máy tính, mạng nội bộ, chí hệ thống mạng lớn Về chất thực DoS, kẻ công chiếm dụng lượng lớn tài nguyên mạng băng thông, nhớ… làm khả xử lý yêu cầu dịch vụ từ client khác Tại DDoS - Một hình thái công từ chối dịch vụ hacker chân không thừa nhận - lại phổ biến trở thành thứ vũ khí nguy hiểm đến mức chống đỡ? Trong nhiều nguyên nhân, có điều đau lòng DDoS phát sinh từ tham vọng xấu làm chủ điều khiển thông tin cá nhân Kiến trúc tổng quan DDoS attacks a Mô hình Agent – Handler TrinOO: công cụ DDoS phát tán rộng rãi TrinOO có kiến trúc Agent – Handler, công cụ DDoS kiểu Bandwidth Depletion Attack, sử dụng kỹ thuật UDP flood Các version TrinOO không hỗ trợ giả mạo địa IP TrinOO Agent cài đặt lợi dụng lỗi remote buffer overrun Hoạt động hệ điều hành Solaris 2.5.1 Red Hat Linux 6.0 Attack – network giao tiếp dùng TCP (attacker client handler) UDP (Handler Agent) Mã hóa giao tiếp dùng phương pháp mã hóa đối xứng Client, handler Agent Tribe Flood Network (TFN): Kiểu kiến trúc Agent – Handler, công cụ DDoS hoễ trợ kiểu Bandwidth Deleption Attack Resourse Deleption Attack Sử dụng kỹ thuật UDP flood, ICMP Flood, TCP SYN Smurf Attack Các version không hỗ trợ giả mạo địa IP, TFN Agent cài đặt lợi dụng lỗi buffer overflow Hoạt động hệ điều hành Solaris 2.x Red Hat Linux 6.0 Attack – Network giao tiếp dùng ICMP ECHO REPLY packet (TFN2K hỗ trợ thêm TCP/UDP với tính chọn protocol tùy ý), không mã hóa giao tiếp ( TFN2K hỗ trợ mã hóa) Stacheldraht: biến thể TFN có thêm khả updat Agent tự động Giao tiếp telnet mã hóa đối xứng Attacker Handler Shaft: biến thể TrinOO, giao tiếp Handler – Agent UDP, Attacker – Hendle Internet Tấn công dùng kỹ thuật UDP, ICMP TCP flood Có thể công phối hợp nhiều kiểu lúc Có thống kê chi tiết cho phép attacker biết tình trạng tổn thất nạn nhân, mức độ quy mô công để điều chỉnh số lượng Agent b Mô hình IRC – Based Công cụ DDoS dạng IRC-based phát triển sau công cụ dạng Agent – Handler Tuy nhiên, công cụ DDoS dạng IRC phức tạp nhiều, tích hợp nhiều đặc tính công cụ DDoS dạng Agent – 10 Handler Trinity: điển hình công cụ dạng Trinity có hầu hết kỹ thuật công bao gồm: UDP, TCP SYS, TCP ACK, TCP fragment, TCP NULL, TCP RST, TCP random flag, TCP ESTABLISHED packet flood Nó có sẵn khả ngẫu nhiên hóa địa bên gởi Trinity hỗ trợ TCP flood packet với khả ngẫu nhân tập CONTROL FLAG Trinity nói số công cụ DDoS nguy hiểm Ngoài nhắc thêm số công cụ DDoS khác Knight, thiết kế chạy Windows, sử dụng kỹ thuật cài đặt troijan back Orifice Knight dùng kỹ thuật công SYV, UDP Flood Urgent Pointer Flooder Sau Kaiten, biến thể Knight, hỗ trợ nhiều kỹ thuật công như: UDP, TCP flood, SYN, PUSH + ACK attack Kaiten thừa hưởng khả ngẫu nhiên hóa địa giả mạo Trinity Phân loại kiểu công DDoS a Những kiểu công làm cạn kiệt băng thông mạng (BandWith Depletion Attack) BandWith Depletion Attack thiết kế nhằm làm tràng ngập mạng mục tiêu với traffic không cần thiết, với mục địch làm giảm tối thiểu khả traffic hợp lệ đến hệ thống cung cấp dịch vụ mục tiêu 11 Có hai loại BandWith Depletion Attack: - Flood attack: Điều khiển Agent gởi lượng lớn traffic đến hệ thống dịch vụ mục tiêu, làm dịch vụ bị hết khả băng thông - Amplification attack: Điều khiển agent hay Client tự gửi message đến địa IP broadcast, làm cho tất máy subnet gửi message đến hệ thống dịch vụ mục tiêu Phương pháp làm gia tăng traffic không cần thiết, làm suy giảm băng thông mục tiêu 1/ Flood attack: Trong phương pháp này, Agent gửi lượng lớn IP traffic làm hệ thống dịch vụ mục tiêu bị chậm lại, hệ thống bị treo hay đạt đến trạng thái hoạt động bão hòa Làm cho User thực hệ thống không sử dụng dịch vụ Ta chia Flood Attack thành hai loại: + UDP Flood Attack: tính chất connectionless UDP, hệ thống nhận UDP message đơn giản nhận vào tất packet cần phải xử lý Một lượng lớn UDP packet gởi đến hệ thống dịch vụ mục tiêu đẩy toàn hệ thống đến ngưỡng tới hạn + Các UDP packet gửi đến nhiều port tùy ý hay port Thông thường gửi đến nhiều port làm cho hệ thống mục tiêu phải căng để xử lý phân hướng cho packet Nếu port bị công không sẵn sàng hệ thống mục tiêu gửi ICMP packet loại “destination port unreachable” Thông thường Agent software dùng địa IP giả để che giấu hành tung, message trả port xử lý dẫn đến đại Ip khác UDP Flood attack làm ảnh hưởng đến kết nối xung quanh mục tiêu hội tụ packet diễn mạnh + ICMP Flood Attack: thiết kế nhằm mục đích quản lý mạng định vị thiết bị mạng Khi Agent gởi lượng lớn ICMP_ECHO_REPLY đến hệ thống mục tiêu hệ thống phải reply lượng tương ứng Packet để trả lời, dẫn đến nghẽn đường truyền Tương tự trường hợp trên, địa IP cá Agent bị giả mạo 2/ Amplification Attack: Amplification Attack nhắm đến việc sử dụng chức hỗ trợ địa IP broadcast router nhằm khuyếch đại hồi chuyển công Chức cho phép bên gửi định địa IP broadcast cho toàn subnet bên nhận thay nhiều địa Router có nhiệm vụ gửi đến tất địa IP subnet packet broadcast mà nhận 12 Attacker gửi broadcast message trực tiếp hay thông qua số Agent nhằm làm gia tăng cường độ công Nếu attacker trực tiếp gửi message, lợi dụng hệ thống bên broadcast network Agent Open DNS Servers The Internet Zombie Attacker 192.168.3.4 Zombie Có thể chia amplification attack thành hai loại, Smuft va Fraggle attack: Victim Zombie 1.1.1.1 + Smuft attack: kiểu công attacker gởi packet đến network amplifier (router hay thiết bị mạng khác hỗ trợ broadcast), với địa nạn nhân Thông thường packet dùng ICMP ECHO REQUEST, packet yêu cầu yêu cầu bên nhận phải trả lời ICMP ECHO REPLY packet Network amplifier gửi đến ICMP ECHO REQUEST packet đến tất hệ thống thuộc địa broadcast tất hệ thống REPLY packet địa IP mục tiêu công Smuft Attack 13 + Fraggle Attack: tương tự Smuft attack thay dùng ICMP ECHO REQUEST packet dùng UDP ECHO packet gởi đếm mục tiêu Thật biến thể khác Fraggle attack gửi đến UDP ECHO packet đến chargen port (port 19/UNIX) mục tiêu, với địa bên gửi echo port (port 7/UNIX) mục tiêu, tạo nên vòng lặp vô hạn Attacker phát động công ECHO REQUEST với địa bên nhận địa broadcast, toàn hệ thống thuộc địa gửi REPLY đến port echo nạn nhân, sau từ nạn nhân ECHO REPLY lại gửi trở địa broadcast, trình tiếp diễn Đây nguyên nhân Flaggle Attack nguy hiểm Smuft Attack nhiều b Những kiểu công làm cạn kiệt tài nguyên: (Resource Deleption Attack) Theo định nghĩa: Resource Deleption Attack kiểu công Attacker gởi packet dùng protocol sai chức thiết kế, hay gửi packet với dụng ý làm tắt nghẽn tài nguyên mạng làm cho tài nguyên không phục vụ user thông thường khác 14 1/ Protocol Exploit Attack: + TCP SYN Attack: Transfer Control Protocol hỗ trợ truyền nhận với độ tin cậy cao nên sử dụng phương thức bắt tay bên gởi bên nhận trước truyền liệu Bước đầu tiên, bên gửi gởi SYN REQUEST packet (Synchronize) Bên nhận nhận SYN REQUEST trả lời SYN/ACK REPLY packet Bước cuối cùng, bên gửi truyên packet cuối ACK bắt đầu truyền liệu Nếu bên server trả lời yêu cầu SYN SYN/ACK REPLY không nhận ACK packet cuối sau khoảng thời gian quy định resend lại SYN/ACK REPLY hết thời gian timeout Toàn tài nguyên hệ thống “dự trữ” để xử lý phiên giao tiếp nhận ACK packet cuối bị “phong tỏa” hết thời gian timeout Nắm điểm yếu này, attacker gởi SYN packet đến nạn nhân với địa bên gởi giả mạo, kết nạn nhân gởi SYN/ACK REPLY đến địa không nhận ACK packet cuối cùng, hết thời gian timeout nạn nhân nhận điều giải phóng tài nguyên hệ thống Tuy nhiên, lượng SYN packet giả mạo đến với số lượng nhiều dồn dập, hệ thống nạn nhân bị hết tài nguyên Mô tả đơn giản sau: Bước 1: Khách hàng gửi TCP SYN packet đến cổng dịch vụ máy chủ Khách hàng -> SYN Packet -> Máy chủ Bước : Máy chủ phản hồi lại khách hàng SYN/ACK Packet chờ nhận ACK packet từ khách hàng Máy chủ -> SYN/ACK Packet -> Khách hàng Bước 3: Khách hàng phản hồi lại Máy chủ ACK Packet việc kết nối hòan tất Khách hàng máy chủ thực công việc trao đổi liệu với Khách hàng -> ACK Packet -> Máy chủ + PUSH = ACK Attack: Trong TCP protocol, packet chứa buffer, buffer đầy packet chuyển đến nơi cần thiết Tuy nhiên, bên gởi yêu cầu hệ thống unload buffer trước buffer đầy cách gởi packet với PUSH ACK mang giá trị 15 Những packet làm cho hệ thống nạn nhân unload tất liệu TCP buffer gửi ACK packet trở thực xong điều này, trình diễn liên tục với nhiều Agent, hệ thống xử lý lượng lớn packet gửi đến bị treo 2/ Malformed Packet Attack: Malformed Packet Attack cách công dùng Agent để gởi packet có cấu trúc không chuẩn nhằm làm cho hệ thống nạn nhân bị treo Có hai loại Malformed Packet Attack: + IP address attack: dùng packet có địa gởi nhận giống làm cho hệ điều hành nạn nhân không xử lý bị treo + IP packet options attack ngẫu nhiên hóa vùng OPTION IP packet thiết lập tất bit QoS lên 1, điều làm cho hệ thống nạn nhân phải tốn thời gian phân tích, sử dụng số lượng lớn Agent làm hệ thống nạn nhân hết khả xử lý Các phương thức đề phòng 1/ Tối thiểu hóa số lượng Agent: - Từ phía User: phương pháp tốt để ngừa công DDoS internet user tự đề phòng không để bị lợi dụng công hệ thống khác Muốn đạt điều ý thức kỹ thuật phòng chống phải phổ biến rộng rãi cho internet user Attack-Network không hình thành user bị lợi dụng trở thành Agent Các user phải liên tục thực trình bảo mật máy vi tính Họ phải tự kiểm tra diện Agent máy mình, điều khó khăn user thông thường Một số giải pháp tích hợp sẵn khả ngăn ngừa việc cài đặt code nguy hiểm thông hardware software hệ thống Về phía user họ nên cài đặt updat liên tục software antivirus, anti_trojan server patch hệ điều hành - Từ phía Network Service Provider: Thay đổi cách tính tiền dịch vụ truy cập theo dung lượng làm cho user lưu ý đến họ gửi, mặt ý thức tăng cường phát DDoS Agent tự nâng cao User :D 2/ Tìm vô hiệu hóa Handler: Một nhân tố vô quan trọng attack-network Handler, phát vô hiệu hóa Handler khả Anti-DDoS thành công cao Bằng cách theo dõi giao tiếp Handler Client hay handler va Agent ta phát vị trí Handler Do Handler 16 quản lý nhiều, nên triệt tiêu Handler có nghĩa loại bỏ lượng đáng kể Agent Attack – Network 3/ Phát dấu hiệu công: Có nhiều kỹ thuật áp dụng: - Agress Filtering: Kỹ thuật kiểm tra xem packet có đủ tiêu chuẩn khỏi subnet hay không dựa sở gateway subnet biết địa IP máy thuộc subnet Các packet từ bên subnet gửi với địa nguồn không hợp lệ bị giữ lại để điều tra nguyên nhân Nếu kỹ thuật áp dụng tất subnet internet khái nhiệm giả mạo địa IP không tồn - MIB statistics: Management Information Base (SNMP) route có thông tin thống kể biến thiên trạng thái mạng Nếu ta giám sát chặt chẽ thống kê protocol mạng Nếu ta giám sát chặt chẽ thống kê Protocol ICMP, UDP TCP ta có khả phát thời điểm bắt đầu công để tạo “quỹ thời gian vàng” cho việc xử lý tình 4/ Làm suy giàm hay dừng công: Dùng kỹ thuật sau: - Load balancing: Thiết lập kiến trúc cân tải cho server trọng điểm làm gia tăng thời gian chống chọi hệ thống với công DDoS Tuy nhiên, điều ý nghĩa mặt thực tiễn quy mô công giới hạn - Throttling: Thiết lập chế điều tiết router, quy định khoảng tải hợp lý mà server bên xử lý Phương pháp dùng để ngăn chặn khả DDoS traffic không cho user truy cập dịch vụ Hạn chế kỹ thuật không phân biệt loại traffic, làm dịch vụ bị gián đoạn với user, DDoS traffic xâm nhập vào mạng dịch vụ với số lượng hữu hạn - Drop request: Thiết lập chế drop request vi phạm số quy định như: thời gian delay kéo dài, tốn nhiều tài nguyên để xử lý, gây deadlock Kỹ thuật triệt tiêu khả làm cạn kiệt lực hệ thống, nhiên giới hạn số hoạt động thông thường hệ thống, cần cân nhắc sử dụng 5/ Chuyển hướng công: Honeyspots: Một kỹ thuật nghiên cứu Honeyspots Honeyspots hệ thống thiết kế nhằm đánh lừa attacker công vào xâm nhập hệ thống mà không ý đến hệ thống quan trọng thực 17 Honeyspots không đóng vai trò “Lê Lai cứu chúa” mà hiệu việc phát xử lý xâm nhập, Honeyspots thiết lập sẵn chế giám sát báo động Ngoài Honeyspots có giá trị việc học hỏi rút kinh nghiệm từ Attacker, Honeyspots ghi nhận chi tiết động thái attacker hệ thống Nếu attacker bị đánh lừa cài đặt Agent hay Handler lên Honeyspots khả bị triệt tiêu toàn attack-network cao 6/ Giai đoạn sau công: Trong giai đoạn thông thường thực công việc sau: -Traffic Pattern Analysis: Nếu liệu thống kê biến thiên lượng traffic theo thời gian lưu lại đưa phân tích Quá trình phân tích có ích cho việc tinh chỉnh lại hệ thống Load Balancing Throttling Ngoài liệu giúp Quản trị mạng điều chỉnh lại quy tắc kiểm soát traffic vào mạng - Packet Traceback: cách dùng kỹ thuật Traceback ta truy ngược lại vị trí Attacker (ít subnet attacker) Từ kỹ thuật Traceback ta phát triển thêm khả Block Traceback từ attacker hữu hiệu gần có kỹ thuật Traceback hiệu truy tìm nguồn gốc công 15 phút, kỹ thuật XXX - Bevent Logs: Bằng cách phân tích file log sau công, quản trị mạng tìm nhiều manh mối chứng quan trọng Những vấn đề có liên quan đến DDoS - Khi bạn phát máy chủ bị công nhanh chóng truy tìm địa IP cấm không cho gửi liệu đến máy chủ - Dùng tính lọc liệu router/firewall để loại bỏ packet không mong muốn, giảm lượng lưu thông mạng tải máy chủ - Sử dụng tính cho phép đặt rate limit router/firewall để hạn chế số lượng packet vào hệ thống - Nếu bị công lỗi phần mềm hay thiết bị nhanh chóng cập nhật sửa lỗi cho hệ thống thay - Dùng số chế, công cụ, phần mềm để chống lại TCP SYN Flooding - Tắt dịch vụ khác có máy chủ để giảm tải đáp ứng tốt Nếu nâng cấp thiết bị phần cứng để nâng cao khả đáp ứng hệ thống hay sử dụng thêm máy chủ tính khác để phân chia tải - Tạm thời chuyển máy chủ sang địa khác IV Kết luận 18 - Qua trình tìm hiểu đề tài chúng em biết nắm số loại hình công DDOS Một công cụ công nguy hiểm, từ rút nhiều kinh nghệm có hướng bảo mật mạng, biết chế công, lỗ hổng gây hại cho hệ thống HƯỚNG MỞ: Áp dụng số biện pháp phòng ngừa việc công DDOS Tài liệu tham khảo 1.DDoS-Attacks-A-Complete-Guide(http://findebookee.com/d/ddos-attack) 2.Tìm hiểu công từ chối dịch vụ DoS - http://www.kenh360.com/cntt/mang-truyen-thong/an-ninh-mang/tim-hieu-ve-tancong-tu-choi-dich-vu-dos.html - http://forum.bkav.com.vn/showthread.php?2291-Tim-hieu-ve-tan-cong-DDOS - http://tailieu.vn/xem-tai-lieu/tim-hieu-ve-tan-cong-tu-choi-dich-vu-dos.593653.html 19 [...]... hiểu đề tài này chúng em cũng đã biết và nắm được một số loại hình tấn công của DDOS Một công cụ tấn công hết sức nguy hiểm, từ đó cũng rút ra nhiều kinh nghệm và có hướng đi về bảo mật mạng, biết được cơ chế tấn công, và các lỗ hổng gây hại cho hệ thống HƯỚNG MỞ: Áp dụng một số biện pháp phòng ngừa việc tấn công DDOS Tài liệu tham khảo 1 .DDoS- Attacks- A-Complete-Guide(http://findebookee.com/d /ddos- attack)... nhân phải tốn thời gian phân tích, nếu sử dụng số lượng lớn Agent có thể làm hệ thống nạn nhân hết khả năng xử lý 5 Các phương thức đề phòng 1/ Tối thiểu hóa số lượng Agent: - Từ phía User: một phương pháp rất tốt để năng ngừa tấn công DDoS là từng internet user sẽ tự đề phòng không để bị lợi dụng tấn công hệ thống khác Muốn đạt được điều này thì ý thức và kỹ thuật phòng chống phải được phổ biến rộng... Attack nguy hiểm hơn Smuft Attack rất nhiều b Những kiểu tấn công làm cạn kiệt tài nguyên: (Resource Deleption Attack) Theo định nghĩa: Resource Deleption Attack là kiểu tấn công trong đó Attacker gởi những packet dùng các protocol sai chức năng thiết kế, hay gửi những packet với dụng ý làm tắt nghẽn tài nguyên mạng làm cho các tài nguyên này không phục vụ user thông thường khác được 14 1/ Protocol Exploit... sẵn khả năng ngẫu nhiên hóa địa chỉ bên gởi Trinity cũng hỗ trợ TCP flood packet với khả năng ngẫu nhân tập CONTROL FLAG Trinity có thể nói là một trong số các công cụ DDoS nguy hiểm nhất Ngoài ra có thể nhắc thêm về một số công cụ DDoS khác như Knight, được thiết kế chạy trên Windows, sử dụng kỹ thuật cài đặt của troijan back Orifice Knight dùng các kỹ thuật tấn công như SYV, UDP Flood và Urgent Pointer... theo dung lượng sẽ làm cho user lưu ý đến những gì họ gửi, như vậy về mặt ý thức tăng cường phát hiện DDoS Agent sẽ tự nâng cao ở mỗi User :D 2/ Tìm và vô hiệu hóa các Handler: Một nhân tố vô cùng quan trọng trong attack-network là Handler, nếu có thể phát hiện và vô hiệu hóa Handler thì khả năng Anti -DDoS thành công là rất cao Bằng cách theo dõi các giao tiếp giữa Handler và Client hay handler va Agent... tăng thời gian chống chọi của hệ thống với cuộc tấn công DDoS Tuy nhiên, điều này không có ý nghĩa lắm về mặt thực tiễn vì quy mô của cuộc tấn công là không có giới hạn - Throttling: Thiết lập cơ chế điều tiết trên router, quy định một khoảng tải hợp lý mà server bên trong có thể xử lý được Phương pháp này cũng có thể được dùng để ngăn chặn khả năng DDoS traffic không cho user truy cập dịch vụ Hạn chế... kỹ thuật này là không phân biệt được giữa các loại traffic, đôi khi làm dịch vụ bị gián đoạn với user, DDoS traffic vẫn có thể xâm nhập vào mạng dịch vụ nhưng với số lượng hữu hạn - Drop request: Thiết lập cơ chế drop request nếu nó vi phạm một số quy định như: thời gian delay kéo dài, tốn nhiều tài nguyên để xử lý, gây deadlock Kỹ thuật này triệt tiêu khả năng làm cạn kiệt năng lực hệ thống, tuy nhiên... của cuộc tấn công dưới 15 phút, đó là kỹ thuật XXX - Bevent Logs: Bằng cách phân tích file log sau cuộc tấn công, quản trị mạng có thể tìm ra nhiều manh mối và chứng cứ quan trọng Những vấn đề có liên quan đến DDoS - Khi bạn phát hiện máy chủ mình bị tấn công hãy nhanh chóng truy tìm địa chỉ IP đó và cấm không cho gửi dữ liệu đến máy chủ - Dùng tính năng lọc dữ liệu của router/firewall để loại bỏ các... và sẽ không bao giờ nhận được ACK packet cuối cùng, cho đến hết thời gian timeout nạn nhân mới nhận ra được điều này và giải phóng các tài nguyên hệ thống Tuy nhiên, nếu lượng SYN packet giả mạo đến với số lượng nhiều và dồn dập, hệ thống của nạn nhân có thể bị hết tài nguyên Mô tả đơn giản như sau: Bước 1: Khách hàng gửi một TCP SYN packet đến cổng dịch vụ của máy chủ Khách hàng -> SYN Packet -> Máy... đã trả lời một yêu cầu SYN bằng một SYN/ACK REPLY nhưng không nhận được ACK packet cuối cùng sau một khoảng thời gian quy định thì nó sẽ resend lại SYN/ACK REPLY cho đến hết thời gian timeout Toàn bộ tài nguyên hệ thống “dự trữ” để xử lý phiên giao tiếp nếu nhận được ACK packet cuối cùng sẽ bị “phong tỏa” cho đến hết thời gian timeout Nắm được điểm yếu này, attacker gởi một SYN packet đến nạn nhân ... hư hỏng nặng - Và gần DDoS attacks làm xôn xao cư dân mạng giới công vào trang web lớn Mĩ Hàn Quốc Định nghĩa DDoS attacks DDoS attacks (tấn công DDoS) cố gắng làm cho tài nguyên máy tính sử... để làm việc truy cập thông tin mạng Lịch sử DDoS attacks - Với vụ việc liên quan đến việc công trang web Mĩ Hàn quốc gần DDoS attacks chứng minh DDoS attacks mối đe doạ nghiêm trọng internet, công... thống HƯỚNG MỞ: Áp dụng số biện pháp phòng ngừa việc công DDOS Tài liệu tham khảo 1 .DDoS- Attacks- A-Complete-Guide(http://findebookee.com/d /ddos- attack) 2.Tìm hiểu công từ chối dịch vụ DoS - http://www.kenh360.com/cntt/mang-truyen-thong/an-ninh-mang/tim-hieu-ve-tancong-tu-choi-dich-vu-dos.html