1. Tấn công từ chối dịch vụ (Denial of Service – DoS) Là dạng tấn công nhằm ngăn chặn người dùng hợp pháp truy nhập các tài nguyên mạng. Tấn công DoS đã xuất hiện từ khá sớm, vào đầu những năm 80 của thế kỷ trước .2.Tấn công từ chối dịch vụ phân tán (Distributed Denial of Service – DDoS) Là một dạng phát triển ở mức độ cao của tấn công DoS được phát hiện lần đầu tiên vào năm 1999 . Khác biệt cơ bản của tấn công DoS và DDoS là phạm vi tấn công.Trong khi lưu lượng tấn công DoS thường phát sinh từ một hoặc một số ít host nguồn, lưu lượng tấn công DDoS thường phát sinh từ rất nhiều host nằm rải rác trên mạng Internet. Hiện nay, có hai phương pháp tấn công DDoS chủ yếu .
BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI VIỆN CNTT & TT BÀI TẬP LỚN MÔN: Quản Trị Mạng ĐỀ TÀI: Tìm hiểu công DDOS công cụ Sguil Giảng viên hướng dẫn : Lê Xuân Thành Sinh viên thực : Nguyễn Văn Lượng – MSSV: 20146959 Nguyễn Thành Trung-MSSV: 20146970 Hà Nội 04-2016 Mục Lục Lời Nói Đầu Tấn công từ chối dịch vụ phân tán (DDoS) phát triển mạnh mẽ năm gần mối đe dọa thường trực hệ thống mạng máy chủ dịch vụ quan tổ chức Tấn công từ chối dịch vụ gây cạn kiệt tài nguyên hệ thống ngập đường truyền, làm ngắt quãng trình cung cấp dịch vụ cho người dùng hợp pháp, chí khiến hệ thống ngừng hoạt động Tấn công DDoS khó phát phòng chống hiệu số lượng host bị điều khiển tham gia công thường lớn nằm rải rác nhiều nơi Để có giải pháp phòng chống công DDoS hiệu quả, việc nghiên cứu dạng công DDoS cần thiết I Giới thiệu chung Tấn công từ chối dịch vụ (Denial of Service – DoS) Là dạng công nhằm ngăn chặn người dùng hợp pháp truy nhập tài nguyên mạng Tấn công DoS xuất từ sớm, vào đầu năm 80 kỷ trước 2.Tấn công từ chối dịch vụ phân tán (Distributed Denial of Service – DDoS) Là dạng phát triển mức độ cao công DoS phát lần vào năm 1999 Khác biệt công DoS DDoS phạm vi công.Trong lưu lượng công DoS thường phát sinh từ host nguồn, lưu lượng công DDoS thường phát sinh từ nhiều host nằm rải rác mạng Internet Hiện nay, có hai phương pháp công DDoS chủ yếu • Phương pháp thứ : kẻ công gửi gói tin tạo theo dạng đặc biệt gây lỗi giao thức truyền lỗi ứng dụng chạy máy nạn nhân Một dạng công DDoS điển hình theo phương pháp công khai thác lỗ hổng an ninh giao thức dịch vụ máy nạn nhân • Phương pháp công thứ hai : phổ biến phương pháp thứ nhất, gồm hai dạng + Dạng công DDoS gây ngắt quãng kết nối người dùng đến máy chủ dịch vụ cách làm nghẽn đường truyền mạng, cạn kiệt băng thông tài nguyên mạng + Dạng công DDoS gây ngắt quãng dịch vụ cung cấp cho người dùng cách làm cạn kiệt tài nguyên máy chủ dịch vụ, thời gian xử lý CPU, nhớ, băng thông đĩa, sở liệu Dạng công bảo gồm loại công gây ngập mức ứng dụng Hầu hết công DDoS tập trung vào làm ngắt quãng ngừng dịch vụ chạy hệ thống nạn nhân Hậu làm giảm doanh thu, tăng chi phí phòng chống phục hồi dịch vụ , điển • Tháng Hai năm 2000, hệ thống mạng công ty Internet Yahoo phải hứng chịu đợt công DDoS làm dịch vụ công ty phải ngừng hoạt động giờ, gây thiệt hại lớn doanh thu quảng cáo • Tháng Mười Hai năm 2010, “Anonymous” thực loạt công DDoS gây ngừng hoạt động trang web tổ chức tài chính, Mastercard, Visa International, Paypal PostFinance • Tháng Chín năm 2012, đợt công DDoS lớn nhóm tin tặc “Izz ad-Din alQassam Cyber Fighters” thực gây ngắt quãng hoặt ngừng hoạt động trang web ngân hàng trực tuyến ngân hàng lớn Mỹ Các dạng công DDoS thực ngày nhiều với quy mô ngày lớn tinh vi nhờ phát triển kỹ thuật công lan tràn công cụ công Động Động tin tặc công DDoS đa dạng Tuy nhiên, chia dạng công DDoS dựa động tin tặc thành loại 3.1.Nhằm giành lợi ích tài chính, kinh tế: Tin tặc công DDoS thuộc loại thường có kỹ thuật tinh vi nhiều kinh nghiệm công chúng mối đe dọa thường trực công ty, tập đoàn lớn Các công DDoS nhằm giành lợi ích tài công nguy hiểm khó phòng chống 3.2.Để trả thù: Tin tặc công DDoS thuộc loại thường cá nhân bất mãn họ thực công để trả đũa việc mà họ cho bất công 3.3.Gây chiến tranh không gian mạng: Tin tặc công DDoS thuộc loại thường thuộc tổ chức quân khủng bố nước thực công vào hệ thống trọng yếu nước khác mục đích trị Các đích công thường gặp hệ thống mạng quan phủ, tổ chức tài ngân hàng, hệ thống cung cấp điện nước nhà cung cấp dịch vụ viễn thông 3.4.Do niềm tin ý thức hệ: Tin tặc công DDoS thuộc loại chiểm tỷ trọng lớn công DDoS thường thực công niềm tin ý thức hệ, bao gồm công mục đích trị, tôn giáo 3.5.Để thử thách trí tuệ: Tin tặc công DDoS thuộc loại thường người trẻ tuổi thích thể thân, thực công để thử nghiệm học cách thực dạng công khác Loại tin tặc tăng nhanh chóng ngày có sẵn nhiều công cụ công mạng dễ dùng người nghiệp dư sử dụng để thực thành công công DDoS Để phòng chống công DDoS cách hiệu nhằm hạn chế giảm thiểu thiệt hại công DDoS gây ra, việc nghiên cứu dạng công biện pháp phòng chống cần thiết II PHÂN LOẠI TẤN CÔNG DDOS Kiến trúc công DDoS Mặc dù có nhiều dạng công DDoS ghi nhận, chia kiến trúc công DDoS thành loại chính: (i) kiến trúc công DDoS trực tiếp (i) kiến trúc công DDoS gián tiếp hay phản chiếu Hình minh họa kiến trúc công DDoS trực tiếp, theo tin tặc (Attacker) trước hết thực chiếm quyền điều khiển hàng ngàn máy tính có kết nối Internet, biến máy tính thành Zombie – máy tính bị kiểm soát điều khiển từ xa tin tặc Tin tặc thường điều khiển Zombie thông qua máy trung gian (Handler) Hệ thống Zombie chịu điều khiển tin tặc gọi mạng máy tính ma hay botnet Theo lệnh gửi từ tin tặc, Zombie đồng loạt tạo gửi yêu cầu truy nhập giả mạo đến hệ thống nạn nhân (Victim), gây ngập lụt đường truyền mạng làm cạn kiệt tài nguyên máy chủ, dẫn đến ngắt quãng ngừng dịch vụ cung cấp cho người dùng DDoS phản chiếu Tương tự kiến trúc công DDoS trực tiếp, tin tặc (Attacker) trước hết thực chiếm quyền điều khiển lượng lớn máy tính có kết nối Internet, biến máy tính thành Zombie, hay gọi la Slave Tin tặc điều khiển Slave thông qua máy trung gian (Master) Theo lệnh gửi từ tin tặc, Slave đồng loạt tạo gửi yêu cầu truy nhập giả mạo với địa nguồn gói tin địa máy nạn nhân (Victim) đến đến số lớn máy khác (Reflectors) mạng Internet Các Reflectors gửi phản hồi (Reply) đến máy nạn nhân địa máy nạn nhân đặt vào yêu cầu giả mạo Khi Reflectors có số lượng lớn, số phản hồi lớn gây ngập lụt đường truyền mạng làm cạn kiệt tài nguyên máy nạn nhân, dẫn đến ngắt quãng ngừng dịch vụ cung cấp cho người dùng Các Reflectors bị lợi dụng để tham gia công thường hệ thống máy chủ có công suất lớn mạng Internet không chịu điều khiển tin tặc Phân loại công DDoS Các công DDoS thường tin tặc thực cách huy động số lượng lớn máy tính có kết nối Internet bị chiếm quyền điều khiển – tập hợp máy gọi mạng máy tính ma hay mạng bot, botnet Các máy botnet có khả gửi hàng ngàn yêu cầu giả mạo giây đến hệ thống nạn nhân, gây ảnh hưởng nghiêm trọng đến chất lượng dịch vụ cung cấp cho người dùng Do yêu cầu công DDoS gửi rải rác từ nhiều máy nhiều vị trí địa lý nên khó phân biệt với yêu cầu người dùng hợp pháp Một khâu cần thiết việc đề biện pháp phòng chống công DDoS hiệu phân loại dạng công DDoS từ có biện pháp phòng chống thích hợp Nhiều phương pháp phân loại công DDoS đề xuất công trình [1][3][4][5][8][9][11] Một cách khái quát, công DDoS phân loại dựa tiêu chí chính: (1) Dựa phương pháp công, (2) Dựa mức độ tự động, (3) Dựa giao thức mạng, (4) Dựa phương thức giao tiếp, (5) Dựa cường độ công (6) Dựa việc khai thác lỗ hổng an ninh Phần mục trình bày chi tiết loại 2.1 Dựa phương pháp công Phân loại DDoS dựa phương pháp công phương pháp phân loại Theo tiêu chí này, DDoS chia thành dạng [5]: 1) Tấn công gây ngập lụt (Flooding attacks): Trong công gây ngập lụt, tin tặc tạo lượng lớn gói tin công giống gói tin hợp lệ gửi đến hệ thống nạn nhân làm cho hệ thống phục vụ người dùng hợp pháp Đối tượng công dạng băng thông mạng, không gian đĩa, thời gian CPU,… 2) Tấn công logic (Logical attacks): Tấn công logic thường khai thác tính lỗi cài đặt giao thức dịch vụ chạy hệ thống nạn nhân, nhằm làm cạn kiệt tài nguyên hệ thống Ví dụ công TCP SYN khai thác trình bắt tay bước khởi tạo kết nối TCP, yêu cầu kết nối cấp phần không gian bảng lưu yêu cầu kết nối chờ xác nhận kết nối Tin tặc gửi lượng lớn yêu cầu kết nối giả mạo – kết nối thực hiện, chiếm đầy không gian bảng kết nối hệ thống nạn nhân tiếp nhận yêu cầu kết nối người dùng hợp pháp 2.2 Dựa mức độ tự động Theo mức độ tự động, chia công DDoS thành dạng [3]: 1) Tấn công thủ công: Tin tặc trực tiếp quét hệ thống tìm lỗ hổng, đột nhập vào hệ thống, cài đặt mã công lệnh kích hoạt công Chỉ công DDoS giai đoạn đầu thực thủ công 2) Tấn công bán tự động: Trong dạng này, mạng lưới thực công DDoS bao gồm máy điều khiển (master/handler) máy agent (slave, deamon, zombie, bot) Các giai đoạn tuyển chọn máy agent, khai thác lỗ hổng lây nhiễm thực tự động Trong đoạn công, tin tặc gửi thông tin bao gồm kiểu công, thời điểm bắt đầu, khoảng thời gian trì công đích công đến agent thông qua handler Các agent theo lệnh gửi gói tin công đến hệ thống nạn nhân 3) Tấn công tự động: Tất giai đoạn trình công DDoS, từ tuyển chọn máy agent, khai thác lỗ hổng, lây nhiễm đến thực công thực tự động Tất tham số công lập trình sẵn đưa vào mã công Tấn công dạng giảm đến tối thiểu giao tiếp tin tặc mạng lưới công, tin tặc cần kích hoạt giai đoạn tuyển chọn máy agent 2.3 Dựa giao thức mạng Dựa giao thức mạng, công DDoS chia thành dạng [1]: 1) Tấn công vào tầng mạng giao vận: Ở dạng này, gói tin TCP, UDP ICMP sử dụng để thực công 2) Tấn công vào tầng ứng dụng: Ở dạng này, công thường hướng đến dịch vụ thông dụng ứng với giao thức tầng ứng dụng HTTP, DNS SMTP Tấn công DDoS tầng ứng dụng gây ngập lụt đường truyền tiêu hao tài nguyên máy chủ, làm ngắt quãng khả cung cấp dịch vụ cho người dùng hợp pháp Dạng công khó phát Thông thường, để thực công DDoS, tin tặc phải tuyển chọn chiếm quyền điều khiển số lượng lớn máy tính có kết nối Internet, máy tính sau bị cài phần mềm agent trở thành bots - công cụ giúp tin tặc thực công DDoS Tin tặc thông qua máy điều khiển (master) giao tiếp với bots để gửi thông tin lệnh điều khiển công Theo phương thức giao tiếp master bots, chia công DDoS thành dạng [5]: 1) DDoS dựa agent-handler: Tấn công DDoS dựa dạng bao gồm thành phần: clients, handlers agents (bots/zombies) Tin tặc giao tiếp trực tiếp với clients Clients giao tiếp với agents thông qua handlers Nhận lệnh thông tin thực công, agents trực tiếp thực việc công 2) DDoS dựa IRC: Internet Relay Chat (IRC) hệ thống truyền thông điệp trực tuyến cho phép nhiều người dùng tạo kết nối trao đổi thông điệp theo thời gian thực Trong dạng công DDoS tin tặc sử dụng IRC làm kênh giao tiếp với agents, không sử dụng handlers 3) DDoS dựa web: Trong dạng công này, tin tặc sử dụng trang web làm phương tiện giao tiếp qua kênh HTTP thay cho kênh IRC Các trang web tin tặc sử dụng làm trung tâm điều khiển lây nhiễm phần mềm độc hại, công cụ khai thác lỗ hổng an ninh, cài đặt agents chiếm quyền điều khiển hệ thống máy tính biến chúng thành bots Các bots xác lập cấu hình hoạt động từ đầu, chúng gửi thông điệp đến trang web điều khiển thông qua giao thức web phổ biến HTTP HTTPS 4) DDoS dựa P2P: Ở dạng này, tin tặc sử dụng giao thức Peer to Peer – giao thức tầng ứng dụng làm kênh giao tiếp Bản chất mạng P2P phân tán nên khó để phát bots giao tiếp với thông qua kênh 2.4 Dựa cường độ công Dựa cường độ tần suất gửi yêu cầu công, phân loại công DDoS thành dạng [3]: 1) Tấn công cường độ cao: Là dạng công gây ngắt quãng dịch vụ cách gửi thời điểm lượng lớn yêu cầu từ máy agents/zombies nằm phân tán mạng 2) Tấn công cường độ thấp: Các agents/zombies phối hợp sử dụng để gửi lượng lớn yêu cầu giả mạo, với tần suất thấp, làm suy giảm hiệu mạng Dạng công khó bị phát lưu lương công tương tự lưu lượng đến từ người dùng hợp pháp 3) Tấn công cường độ hỗn hợp: Là dạng kết hợp công cường độ cao công cường độ thấp Đây dạng công phức hợp, tin tặc thường sử dụng công cụ để sinh gói tin công gửi với tần suất cao thấp 4) Tấn công cường độ liên tục: Là dạng công thực liên tục với cường độ tối đa suốt khoảng thời gian từ bắt đầu đến kết thúc 5) Tấn công cường độ thay đổi: Đây dạng công có cường độ thay đổi động nhằm tránh bị phát đáp trả 2.5 Dựa việc khai thác lỗ hổng an ninh Dựa việc khai thác điểm yếu lỗ hổng an ninh, công DDoS phân loại thành dạng [5] 1) Tấn công gây cạn kiệt băng thông: Các công DDoS dạng thiết kế để gây ngập lụt hệ thống mạng nạn nhân yêu cầu truy nhập giả mạo, làm người dùng hợp pháp truy nhập dịch vụ Tấn công dạng thường gây tắc nghẽn đường truyền lượng yêu cầu giả mạo lớn gửi máy tính ma (zombie) botnets Dạng công gọi công gây ngập lụt công khuếch đại 2) Tấn công gây cạn kiệt tài nguyên: Các công DDoS dạng thiết kế để tiêu dùng hết tài nguyên hệ thống nạn nhân, làm cho phục vụ yêu cầu người dùng hợp pháp Dạng công DDoS chia nhỏ thành dạng (i) công khai thác tính lỗi cài đặt giao thức (ii) công sử dụng gói tin tạo đặc biệt Trong dạng thứ nhất, tin tặc khai thác lỗi tính đặc biệt giao thức hệ thống nạn nhân để gây cạn kiệt tài nguyên Trong dạng thứ hai, kẻ công tạo gói tin đặc biệt, gói sai định dạng, gói có khiếm khuyết, gửi đến hệ thống nạn nhân Hệ thống nạn nhân bị trục trặc cố gắng xử lý gói tin dạng Ví dụ, công Ping of Death, tin tặc gửi gói tin ICMP có kích thước lớn 64KB gây lỗi máy chạy hệ điều hành Windows XP CÁC BIỆN PHÁP PHÒNG CHỐNG • • • • • • • Khi bạn phát máy chủ bị công nhanh chóng truy tìm địa IP cấm không cho gửi liệu đến máy chủ Dùng tính lọc liệu router/firewall để loại bỏ packet không mong muốn, giảm lượng lưu thông mạng tải máy chủ Sử dụng tính cho phép đặt rate limit router/firewall để hạn chế số lượng packet vào hệ thống Nếu bị công lỗi phần mềm hay thiết bị nhanh chóng cập nhật sửa lỗi cho hệ thống thay Dùng số chế, công cụ, phần mềm để chống lại TCP SYN Flooding Tắt dịch vụ khác có máy chủ để giảm tải đáp ứng tốt Nếu nâng cấp thiết bị phần cứng để nâng cao khả đáp ứng hệ thống hay sử dụng thêm máy chủ tính khác để phân chia tải Tạm thời chuyển máy chủ sang địa khác 10 Tìm hiểu công cụ Sguil Sguil phần mềm miễn phí giành cho giám sát an ninh mạng Các Client Sguil viết Tcl/Tk chạy hệ điều hành hỗ trợ Sguil tích hợp liệu cảnh báo từ Snort , liệu phiên từ SANCP Sguil thực hệ thống giám sát an ninh mạng NSM định nghĩa "bộ sưu tập, phân tích, leo thang dẫn cảnh báo để phát đối phó với xâm nhập Sguil phát hành theo giấy phép GPL 3.0 Download cài đặt - Tải Sguil phiên trang chủ http://bammv.github.io/sguil/index.html - Phiên Sguil 0.9.0 - Tải file Client exe (với window) bin (với linux) chạy trực tiếp 11 - Đăng nhập với username/password demo/sguil để vào trang demo.sguil.net Kiến trúc phần mềm Một hệ thống sguil bao gồm máy chủ sguil số tùy ý cảm biến mạng sguil Các cảm biến thực tất nhiệm vụ giám sát an ninh thông tin phản hồi đến máy chủ cách thường xuyên Các máy chủ điều phối thông tin này, lưu sở liệu giao tiếp với client sguil chạy hình máy tính quản trị viên Nó phát hành yêu cầu thông tin cụ thể từ cảm biến Mỗi cảm biến giám sát liên kết mạng (mặc dù bạn có nhiều cảm biến máy vật lý) Họ thu thập loại thông tin khác nhau: Snort giám sát liên kết cho kiện an ninh, ghi chúng vào tập tin ổ đĩa Barnyard kiện từ file snort log gửi chúng đến cảm biến, mà chèn chúng vào sở liệu chạy máy chủ sguil thời gian gần thực Một trường hợp riêng biệt snort ghi đầy đủ nội dung tất gói liệu mạng vào ổ đĩa (điều thường đòi hỏi phân vùng liệu lớn riêng biệt) SANCP ghi lại TCP / IP phiên chuyển tiếp chúng đến sở liệu máy chủ sguil Các máy cài sguil nghe lệnh từ máy chủ sguil Các lệnh thường yêu cầu cho liệu gói trước đăng nhập Snort 12 Công cụ tạo nên Sguil MySQL 4.x 5.x Snort 2.x / Suricata Barnyard / Barnyard2 SANCP tcpflow p0f tcpdump Wireshark 13