Nghiên cứu tìm hiểu an ninh mạng LỜI CẢM ƠN SVTH: Lê Quang Hà i Nghiên cứu tìm hiểu an ninh mạng MỤC LỤC LỜI CẢM ƠN .i MỤC LỤC ii DANH MỤC VIẾT TẮT iii DANH MỤC HÌNH ẢNH iv MỞ ĐẦU v CHƯƠNG 1:TỔNG QUAN VỀ AN NINH MẠNG CHƯƠNG 2:TỪ CHỐI DỊCH VỤ CHƯƠNG 3:MỘT SỐ VÍ DỤ ĐIỂN HÌNH 25 TÀI LIỆU THAM KHẢO .30 NHẬN XÉT CỦA CÁN BỘ HƯỚNG DẪN 31 SVTH: Lê Quang Hà ii Nghiên cứu tìm hiểu an ninh mạng DANH MỤC VIẾT TẮT DoS SQL Denial of Service Structured Query Language - ngôn ngữ truy vấn mang tính XSS HĐH DDoS ICQ IRC ICMP PDoS LOIC HTTP WMN CNTT cấu trúc Cross-site scripting Hệ điều hành Distribute Denial of Service Internet Chat Query Internet Relay Chat Internet control message protocol Permanent Denial of Service Low Orbit Ion Cannon Hyper Text Transfer Protocol Wireless Mesh Network Công Nghệ Thông Tin SVTH: Lê Quang Hà iii Nghiên cứu tìm hiểu an ninh mạng DANH MỤC HÌNH ẢNH Hình 1-1 Các giai đoạn công .4 Hình 2-2 Sơ đồ tổ chức tội phạm mạng Hình 2-3 Tấn công tràn ngập SYN 10 Hình 2-4 Tấn công tràn ngập ICMP 11 Hình 2-5 Hoạt động botnet 13 Hình 2-6 Cách thức botnet tạo gửi spam 14 Hình 2-7 Công cụ LOIC 15 Hình 2-8 Dùng LOIC công DDoS .15 Hình 2-9 Công cụ DoSHTTP 16 Hình 2-10 Cấu hình kích hoạt ngắt TCP phần mềm IOS Cisco 20 Hình 2-11 Công cụ NetFlow Analyzer 21 Hình 2-12 Công cụ D-Guard Anti-DDoS Firewall 22 Hình 2-13 Công cụ FortGuard Firewall 23 Hình 3-14 Ping of death 25 Hình 3-15 Bắt wireshark bị công tràn ngập ICMP 25 Hình 3-16 Tấn công nhiểu kiểu với LOIC 26 Hình 3-17 Bắt gói tin công dùng LOIC 26 Hình 3-18 Giả lập botnet công udp 27 Hình 3-19 Gửi gói UDP tới Server từ nhiều địa khác 28 Hình 3-20 Kết nối SYN tới Server từ địa khác .28 Hình 3-21 Giả lập botnet công tcp vào site 28 SVTH: Lê Quang Hà iv Nghiên cứu tìm hiểu an ninh mạng MỞ ĐẦU Bảo mật an ninh mạng đặt lên hàng đầu với công ty có hệ thống mạng dù lớn hay nhỏ Hiện nay, hacker nước tìm cách công xâm nhập hệ thống để lấy thông tin nội Những thông tin nhạy cảm thường ảnh hưởng tới sống công ty Chính vậy, nhà quản trị mạng cố gắng bảo vệ hệ thống tốt cố gắng hoàn thiện hệ thống để bớt lỗ hổng Tuy nhiên, kiểu công cổ điển công từ chối dịch vụ chưa tính nguy hiểm hệ thống mạng Hậu mà DoS gây không tiêu tốn nhiều tiền bạc, công sức mà nhiều thời gian để khắc phục DoS DDoS vấn đề nan giải chưa có biện pháp chống hoàn toàn công Với yêu cầu cấp thiết vậy, em chọn đề tài “Nghiên cứu tìm hiểu an ninh mạng” làm đồ án An Ninh Mạng Mục đích đưa làm đề tài hiểu kiểu công cách phòng chống DoS/ DDoS Đồ án viết dựa slide CEH v7 chia làm chương: CHƯƠNG I: TỔNG QUAN AN NINH MẠNG CHƯƠNG II: TẤN CÔNG TỪ CHỐI DỊCH VỤ CHƯƠNG III: MỘT SỐ VÍ DỤ ĐIỂN HÌNH Sinh viên thực hiện: Lê Quang Hà SVTH: Lê Quang Hà v Nghiên cứu tìm hiểu an ninh mạng CHƯƠNG 1: TỔNG QUAN VỀ AN NINH MẠNG 1.1 TỔNG QUAN THÔNG TIN BẢO MẬT 1.1.1 Sự kiện bảo mật năm 2011 1.1.1.1 VietNamNet bị công DDoS lớn chưa có Trong vài ngày qua, báo VietNamNet phải hứng chịu công từ chối dịch vụ phân tán (DDoS) quy mô lớn chưa có Việt Nam, xuất phát từ mạng lưới khổng lồ gồm hàng chục ngàn máy tính bị nhiễm vi rút Bắt đầu từ cuối ngày 4/1/2011, lưu lượng truy cập vào trang chủ báo VietNamNet địa http://vietnamnet.vn tăng nhanh cách bất thường, lên tới hàng trăm ngàn kết nối thời điểm Với lượng độc giả truy cập hàng ngày, số lượng kết nối thời điểm mức trăm ngàn Nên việc thời điểm có tới hàng trăm ngàn kết nối liên tục (bao gồm độc giả thông thường) tới máy chủ web khiến băng thông đường truyền mạng bị tải Do vậy, độc giả truy cập vào báo VietNamNet bị tắc nghẽn từ đường truyền báo lỗi không tìm thấy máy chủ, phải truy cập vài lần mở trang web Trên thực tế, báo VietNamNet bị công DDoS nhiều lần quy mô vài chục ngàn kết nối thời điểm nên băng thông hệ thống công suất máy chủ chịu đựng Trong công DDoS diễn ra, kẻ thủ ác thể khả chuyên nghiệp huy động mạng lưới botnet với lượng máy lên tới hàng chục ngàn máy tính 1.1.1.2 "Hacktivism" dậy Hacktivism thuật ngữ diễn tả hành động công, đột nhập vào hệ thống máy tính nhằm mục đích trị Trên giới nay, nhóm hacker mang "mác" hacktivism tiếng kể đến bao gồm Anonymous, LulzSec (đã gác kiếm), hay TeaMp0isoN Trong suốt năm 2011 qua, nhóm hacktivism tiến hành nhiều hoạt động khác chống lại quan luật pháp, ngân hàng, phủ, công ty bảo mật nhà cung cấp phần mềm công lỗ thủng an ninh hệ thống Tổ chức Liên hiệp quốc (UN), quan tình báo bảo mật Straffor, CIA… Đáng lưu ý nữa, số việc này, công Straffor, tiết lộ lỗ hổng mặt an ninh việc lưu trữ số thẻ tín dụng hình thức chưa mã hóa, hay mật vô thiếu an toàn nhà quản SVTH: LÊ QUANG HÀ Nghiên cứu tìm hiểu an ninh mạng lý sử dụng 1.1.1.3 Công ty cung cấp giải pháp bảo mật cho phủ Hoa Kỳ bị công Vào tháng 1-2011, hacker thuộc Anonymous đột nhập máy chủ web HBGary Federal – hbgaryfederal.com – thông qua việc sử dụng đoạn mã SQL bất hợp pháp nhằm khai thác lỗ hổng bảo mật tồn sở liệu ứng dụng Sau trích xuất mã MD5 cho mật thuộc sở hữu giám đốc điều hành (CEO), Aaron Barr, COO, Ted Vera Cả hai dùng mật đơn giản: kí tự thường số Những mật cho phép kẻ công tiếp cận vào tài liệu nghiên cứu công ty hàng chục ngàn email lưu trữ Google Apps Như vậy, việc sử dụng mật thiếu an toàn cho hệ thống phần mềm cũ cộng với việc sử dụng điện toán đám mây gây ác mộng an ninh bảo mật 1.1.2 Các công DDoS tiếng lịch sử - Năm 2000, loạt website tiếng Yahoo, eBay, eTrade, Amazon CNN trở thành nạn nhân DDoS - Tháng 2/2001, máy chủ Cục tài Ireland bị số sinh viên Đại học Maynooth nước công DDoS - Ngày 15/8/2003, Microsoft chịu đợt công DoS cực mạnh làm gián đoạn websites vòng - Tháng 2/2007, 10.000 máy chủ game trực tuyến Return to Castle Wolfenstein, Halo, Counter-Strike …bị nhóm RUS công với hệ thống điều khiển chủ yếu đặt Nga, Uzbekistan Belarus - Trong suốt tuần đầu chiến Nam Ossetia 2008, trang web phủ Georgia tình trạng tải, gồm trang web ngân hàng quốc gia tổng thống Georgia Mikhail Saakashvili Chính phủ Nga phủ nhận cáo buộc cho họ đứng đằng sau vụ công - Ngày 25/6/2009 Michael Jackson qua đời, lượng truy cập tìm kiếm từ khóa có liên quan đến ca sĩ lớn khiến Google News lầm tưởng công tự động - Tháng 8/2009, vụ DDoS nhắm tới loạt trang mạng xã hội đình đám Facebook, Twitter, LiveJournal số website Google thực SVTH: LÊ QUANG HÀ Nghiên cứu tìm hiểu an ninh mạng để "khóa miệng" blogger có tên Cyxymu Georgia - Ngày 28/11/2010, WikiLeaks bị tê liệt DDoS họ chuẩn bị tung tài liệu mật phủ Mỹ - Ngày 7/12/2010, nhóm hacker có tên Anonymous đánh sập website Visa.com sau tổ chức công tương tự vào Mastercard PayPal để trả đũa cho việc chủ WikiLeaks bị tạm giam Anh - Ngày 3/3/2011, dịch vụ blog tiếng giới WordPress bị công - Ngày 4/3/2011, 40 trang web quan phủ Hàn Quốc bị tê liệt DDoS 1.2 KHÁI NIỆM HACKING 1.2.1 Khái niệm Hacker     Giỏi lập trình có kĩ hệ thống mạng Nên làm quen dần với việc nghiên cứu lổ hỏng, lỗi bảo mật Thành thạo,có hiểu biết kĩ thuật xâm nhập Tự đặt cho nguyên tắc, phải thật nghiêm khắc 1.2.2 Các loại Hacker 1.2.2.1 Black Hat Loại hacker thường cá nhân có kiến thức, kĩ uyên thâm máy tính, có ý nghĩ đen tối, xếp lên kế hoạch công thứ tùy mục đích Black Hat cracker 1.2.2.2 White Hat Trắng có nghĩa làm việc sáng, minh bạch để chống lại ác, đen tối Những người phải có kiến thức, kĩ uyên thâm Black Hat, họ không dùng kiến thức để thực ý đồ đen tối công, xâm nhập… mà họ người tìm lỗ hổng vá lỗ hổng lại họ đặt phòng thủ lên hạng đầu Có thể coi người người phân tích bảo mật 1.2.2.3 Gray Hat Những người thực ý đồ đen tối hôm ngày mai lại giúp phòng thủ, bảo mật 1.2.2.4 Suicide Hat Đây coi loại hacker cảm tử vậy, có nghĩa làm việc mà không sợ gì, dù có bị giam 30 năm không lo lắng sợ 1.3 CÁC GIAI ĐOẠN TẤN CÔNG SVTH: LÊ QUANG HÀ Nghiên cứu tìm hiểu an ninh mạng Hình 1-1 Các giai đoạn công 1.3.1 Thăm dò (Reconnaissace) Thăm dò mục tiêu bước qua trọng để biết thông tin hệ thống mục tiêu Hacker sử dụng kỹ thuật để khám phá hệ thống mục tiêu chạy hệ điều hành nào, có dịch vụ chạy dịch vụ đó, cổng dịch vụ đóng cổng mở, gồm hai loại:  Passive: Thu thập thông tin chung vị trí địa lý, điện thoại, email cá nhân, người điều hành tổ chức  Active: Thu thập thông tin địa IP, domain, DNS… hệ thống 1.3.2 Quét hệ thống (Scanning) Quét thăm dò hệ thống phương pháp quan trọng mà Attacker thường dùng để tìm hiểu hệ thống thu thập thông tin địa IP cụ thể, hệ điều hành hay kiến trúc hệ thống mạng Một vài phương pháp quét thông dụng như: quét cổng, quét mạng quét điểm yếu hệ thống 1.3.3 Chiếm quyền điều khiển (Gainning access) Đến hacker bắt đầu xâm nhập hệ thống công ,đã truy cập lệnh khai thác Các lệnh khai thác không gian nào, từ mạng LAN INTERNET lan rộng mạng không dây Hacker chiếm quyền điều khiển tại:  Mức hệ điều hành/ mức ứng dụng  Mức mạng  Từ chối dịch vụ SVTH: LÊ QUANG HÀ Nghiên cứu tìm hiểu an ninh mạng 1.3.4 Duy trì điều khiển hệ thống (Maitaining access) Đến hacker bắt đầu phá hỏng làm hại, cài trojan, rootkit, backdoor để lấy thông tin thêm Thường thấy sử dụng để đánh cắp tài khoản tín dụng, ngân hàng 1.3.5 Xoá dấu vết (Clearning tracks) Được đề cập đến hoạt động thực cách hacker cố tình che dấu hành động xâm nhập Hacker phải tìm cách xóa dấu vết đột nhập phương thức Steganography, tunneling, and altering log file 1.4 CÁC KIỂU TẤN CÔNG 1.4.1 Operating System Attacks Tấn công vào hệ điều hành, hệ thống Thường việc mặc định cài đặt hệ thống có số lượng lớn dịch vụ chạy cổng kết nối Điều làm kẻ công có nhiều hội công Tìm vá lỗi dường khó khăn hệ thống mạng phức tạp ngày Hacker tìm kiếm hệ điều hành, nghiên cứu lệnh khai thác lổ hỏng để truy cập, xâm nhập hệ thống 1.4.2 Application level Attacks Tấn công dựa phần mềm ứng dụng Những kiểu công như: công tràn đệm, công XSS, DoS, công SQL injection,… 1.4.3 Shrink Wrap Code Attacks Khi cài đặt HĐH có số lượng cực lớn tập tin làm việc hoàn chỉnh HĐH, việc quản trị HĐH việc đơn giản Nhưng vấn đề bạn không điều khiển hay tùy biến, chỉnh sửa tập lệnh Các tập tin độc đè lên tập tin mặc định 1.4.4 Misconfiguration Attacks Tấn công dựa vào lỗi cấu hình hệ thống  Do hệ thống cấu hình không xác bảo mật  Hệ thống phức tạp nên admin đủ hết kỹ để fix hết lỗi  Đa số admin chọn cấu hình default để dễ làm điều dễ dẫn đến việc hacker khai thác Do phải config hệ thống xác, bỏ dịch vụ phần mềm không cần thiết SVTH: LÊ QUANG HÀ Nghiên cứu tìm hiểu an ninh mạng giao thức lưu trữ kết thành chuỗi thời gian Để nhận diện định vị công DoS thuật toán cusum xác định độ lệch mức trung bình thực tế cục so với dự kiến chuỗi thời gian giao thông Bạn dùng nhận biết worm thông thường hoạt động scanning 1.9.2 Biện pháp đối phó chiến lược DoS/ DdoS  Hấp thụ công: Dùng khả phụ để hấp thụ công, yêu cầu kế hoạch trước  Làm giảm dịch vụ: Nhận biết dịch vụ nguy hiểm dừng dịch vụ không nguy hiểm  Tắt dịch vụ: Tắt tất dịch vụ công giảm bớt 1.9.3 Biện pháp đối phó công DoS/ DdoS 1.9.3.1 Bảo vệ thứ cấp victims  Cài đặt phần mềm anti-virus, anti-Trojan cập nhập  Tăng nhận thức vấn đề bảo mật kỹ thuật ngăn chặn người sử dụng từ tất nguồn internet  Tắt dịch vụ không cần thiết, gỡ bỏ ứng dụng không sử dụng, quét tất files nhận từ nguồn bên  Cấu hình thường xuyên cập nhập xây dựng cấu phòng thủ lõi phần cứng phần mềm hệ thống 1.9.3.2 Phát vô hiệu hóa handers  Phân tích lưu lượng mạng: Nghiên cứu giao tiếp giao thức mô hình handlers client handlers agents để nhận biết node mạng lây với handler  Vô hiệu hóa botnet handler: Thông thường vài DDoS handler triển khai gần so với số lượng agent Vô hiệu hóa vài handler làm cho nhiều agent không hữu dụng, để cản trở công DDoS  Giả mạo địa nguồn: Có xác suất lớn giả mạo địa nguồn gói tin công DDoS không giá trị địa nguồn mạng cụ thể 1.9.3.3 Phát tiềm công  Bộ lọc xâm nhâp: Bảo vệ từ công tràn ngập có nguồn gốc từ tiền tố hợp lệ Nó cho phép người khởi tạo truy tìm nguồn gốc thực  Bộ lọc ra: Quét header gói tin gói tin IP mạng Bộ lọc không chứng thực lưu lượng nguy hiểm không khỏi mạng bên SVTH: LÊ QUANG HÀ 17 Nghiên cứu tìm hiểu an ninh mạng  Ngắt TCP: Cấu hình ngắt TCP ngăn ngừa công cách ngắt yêu cầu kết nối TCP hợp lệ 1.9.3.4 Làm lệch hướng công  Hệ thống thiết lập với giới hạn bảo mật, biết honeypot, hoạt động cám dỗ kẻ công  Phục vụ có nghĩa giành thông tin từ kẻ công cách lưu trữ ghi hoạt động, học kiểu công công cụ phần mềm kẻ công sử dụng  Dùng phòng thủ chiều sâu tiếp cận với IPSec điểm mạng khác chuyển hướng đáng ngờ luồng DoS đến vài honeypot Honeypot hệ thống tài nguyên thông tin xây dựng với mục đích giả dạng đánh lừa kẻ sử dụng xâm nhập không hợp pháp, thu hút ý chúng, ngăn không cho chúng tiếp xúc với hệ thống thật 1.9.3.5 Làm dịu công  Cân tải: o Nhà cung cấp tăng băng thông kết nối quan trọng để ngăn ngừa giảm xuống công o Nhân máy chủ cung cấp thêm bảo vệ an toàn o Cân tải cho server cấu trúc nhiều server cải tiến hiệu suất bình thường giảm ảnh hưởng công DoS  Hoạt động điều chỉnh: o Thiết lập cách thức router truy cập server với điều chỉnh logic lưu lượng vào tới mức độ an toàn để server xử lý o Bộ xử lý ngăn ngừa tràn ngập thiệt hại tới server o Bộ xử lý mở rộng để điều chỉnh luồng công DDoS đối lập lưu lượng hợp pháp người sử dụng cho kết tốt 1.9.3.6 Pháp lý  Phân tích router, firewall, IDS logs để nhận biết nguồn lưu lượng DoS Mặc dù kẻ công thông thường giả mạo địa nguồn, dấu vết IP trả lại với trợ giúp ISP thực thi pháp luật quan cho phép bắt thủ phạm  Phân tích mẫu lưu lượng: Dữ liệu phân tích-sau công-để tìm kiếm đặc điểm riêng biệt lưu lượng công  Mẫu lưu lượng công DDoS giúp người quản trị mạng phát SVTH: LÊ QUANG HÀ 18 Nghiên cứu tìm hiểu an ninh mạng triển kỹ thuật lọc để ngăn ngừa vào mạng  Dùng đặc điểm, liệu dùng để cập nhập cân tải điều chỉnh biện pháp đối phó 1.9.4 Kỹ thuật để phòng thủ chống lại botnet  Lọc: Các gói tin cần phải có nguồn gốc hợp lệ, cho phép địa trống, bao gồm tôpô cấp phát không gian Bất kỳ lưu lượng vào không sử dụng địa ip dành riêng không thật nên lọc ISP trước vào đường link internet  Lọc lỗ đen: Lỗ đen nơi một mạng, nơi lưu lượng chuyển tiếp hủy bỏ Kỹ thuật lọc dùng giao thức cập nhập định tuyến để điều khiển bảng định tuyến biên mạng để hủy lưu lượng không thích nghi trước xâm nhập vào mạng nhà cung cấp dịch vụ  Lọc nguồn ip uy tín Cisco IPS: IPS cisco nhận đe dọa cập nhập từ mạng Cisco SensorBase (trung tâm kiểm soát công) chứa thông tin chi tiết nhân biệt mối đe dọa internet, bao gồm kẻ công, botnet harvester, malware bùng phát dark net  Cung cấp dịch vụ phòng chống DDoS từ ISP: Bật bảo vệ IP nguồn switch ngăn ngừa host gửi gói tin giả mạo trở thành bot 1.9.5 Biện pháp đối phó DoS/ DdoS Một số biện pháp như:  Hiệu chế mã hóa cần đề xuất cho công nghệ băng thông rộng  Cải tiến giao thức định tuyến kỳ vọng, đặc biệt cho nhiều hop WMN  Tắt dịch vụ không sử dụng không bảo mật  Khóa tất gói tin có nguồn vào từ cổng dịch vụ để khóa lưu lượng ánh xạ từ server  Cập nhập kernel tới phiên  Ngăn ngừa truyền địa gói tin lậu mức độ ISP  Thực nhận biệt vô tuyến lớp vật lý để xử lý gây nhiễu xáo trộn công  Cấu hình firewall để từ chối dòng truy cập giao thức điều khiển thông điệp internet (ICMP)  Ngăn ngừa dùng chức không cấp thiết get, strcpy,  Đảm bảo an toàn cho người quản trị từ xa kiểm tra kết nối  Ngăn chặn địa chị trả lại không bị ghi đè SVTH: LÊ QUANG HÀ 19 Nghiên cứu tìm hiểu an ninh mạng  Dữ liệu xử lý kẻ công nên dừng lại trước chạy  Thực triệt để giá trị nhập vào  Các card mạng gateway gói tin nên dùng card mạng tốt để xử lý số lượng lớn gói tin 1.9.6 Bảo vệ DoS/ DdoS 1.9.6.1 Mức độ ISP Nhiều ISP đơn giản khóa tất yêu cầu thời gian công DDoS, từ chối lưu lượng hợp pháp từ truy cập dịch vụ ISP đưa đám mây DDoS bảo vệ đường liên kết internet họ bão hòa công Lưu lượng công chuyển hướng tới ISP công để lọc gửi trở lại Quản trị mạng yêu cầu ISP để khóa nguồn IP tác động di chuyển trang web tới IP khác sau thực lan truyền DNS Hình 2-10 Cấu hình kích hoạt ngắt TCP phần mềm IOS Cisco 1.9.6.2 Hệ thống bảo vệ IntelliGuard IntelliGuard DPS trợ giúp làm dịu công DDoS thiết kế tập trung vượt qua lưu lượng hợp pháp bỏ lưu lượng công Cấp bậc học bảo vệ chiến lược nhận biết vị trí truy cập ưu tiên cho khách hàng xếp hạng truy cập họ Quản lý lưu lượng đa cấp độ cấu hình giới hạn lưu lượng đảm bảo cho việc quản lý lưu lượng cho thành phần mạng 1.10 CÔNG CỤ BẢO VỆ DOS/ DDOS 1.10.1.1 NetFlow Analyzer NetFlow Analyzer, công cụ phân tích lưu lượng đầy đủ, thúc đẩy công nghệ phân tích lưu lượng để cung cấp khả hiển thị thời gian thực hiệu suất băng thông mạng Chủ yếu NetFlow Analyzerlà công cụ giám sát băng thông, tối ưu hóa hàng ngàn mạng lưới toàn giới cách đưa nhìn toàn diện băng thông mạng mẫu lưu lượng truy cập NetFlow Analyzer giải pháp thống thu thập, phân tích báo cáo SVTH: LÊ QUANG HÀ 20 Nghiên cứu tìm hiểu an ninh mạng băng thông mạng bạn sử dụng người sử dụng NetFlow Analyzer đối tác tin cậy tối ưu hóa việc sử dụng băng thông toàn thể giới thực giám định mạng phân tích lưu lượng mạng Hình 2-11 Công cụ NetFlow Analyzer 1.10.1.2 Một số công cụ khác  D-Guard Anti-DDoS Firewall D-Guard Anti-DDoS Firewall cung cấp đáng tin cậy nhanh bảo vệ DDoS cho doanh nghiệp trực tuyến, dịch vụ phương tiện truyền thông, thiết yếu hạ tầng công cộng cung cấp dịch vụ Internet Là chuyên nghiệp Anti-DDoS Firewall, D-Guard bảo vệ chống lại hầu hết công loại, bao gồm DoS / DDoS, Super DDoS, DrDoS, Fragment công, công SYN lũ lụt, lũ lụt công IP, UDP, UDP đột biến, ngẫu nhiên UDP Flooding công, ICMP, IGMP công, ARP Spoofing, HTTP Proxy công, CC Flooding công, CC Proxy công,… D-Guard Anti-DDoS Firewall cung cấp cấp cách tiếp cận SVTH: LÊ QUANG HÀ 21 Nghiên cứu tìm hiểu an ninh mạng để giảm nhẹ công DDoS, với thiết kế tập trung vào giao thông qua hợp pháp loại bỏ giao thông công, xử lý công kịch suy thoái tồi tệ mà không cần hiệu suất Hình 2-12 Công cụ D-Guard Anti-DDoS Firewall  FortGuard Firewall FortGuard Firewall - giải pháp giúp người dùng chống lại công DDoS với độ xác hiệu suất cao FortGuard Firewall phần mềm tường lửa Anti-DDoS nhỏ mạnh mẽ với Intrusion Prevention System sẵn có Nó bảo vệ máy tính bạn chống lại công DDoS xác với hiệu suất cao FortGuard Firewall chống lại SYN, TCP Flooding SVTH: LÊ QUANG HÀ 22 Nghiên cứu tìm hiểu an ninh mạng loại công DDoS khác khả thấy gói công thời gian thực Chương trình cho phép bạn vô hiệu hóa/ kích hoạt truy cập qua proxy vào tầng ứng dụng ngăn chặn 2000 kiểu hoạt động hacker Hình 2-13 Công cụ FortGuard Firewall 1.11 KIỂM TRA THÂM NHẬP DOS/ DDOS Hệ thống server dễ bị công DoS nên kiểm tra thâm nhập để tìm hiểu để đối phó Một hệ thống dễ bị công xử lý số lượng lớn lưu lượng gửi sau bị treo giảm tốc độ, ngăn ngừa truy cập cách chứng thực người sử dụng Kiểm tra thâm nhập xác định ngưỡng tối thiểu công DoS hệ thống , người kiểm thử không chủ quan hệ thống bền vững trước chống công DoS Đối tượng để kiểm tra thâm nhập DoS làm tràn ngập lưu lượng hệ thống mục tiêu, tương tự hàng trăm người liên tục yêu cầu dịch vụ, làm cho server hoạt động liên tục giá trị Dùng tool kiểm tra theo bước sau: Kiểm tra web server dùng công cụ tự động Web Application Stress(WAS) Jmeter cho khả chịu tải, hiệu suất server, khóa, SVTH: LÊ QUANG HÀ 23 Nghiên cứu tìm hiểu an ninh mạng khả mở rộng phát sinh Quét hệ thống dùng công cụ tự động NMAP, GFI LANGuard, Nessus để khám phá hệ thống dễ bị công DoS Tràn ngập mục tiêu với yêu cầu gói tin kết nối dùng công cụ Trin00, Tribe Flood, TFN2K Tấn công tràn ngập cổng để làm đầy cổng tăng sử dụng trì tất yêu cầu kết nối làm tắc nghẽn cổng.Dùng công cụ Mutilate and Pepsi5 để tự động cộng tràn ngập cổng Dùng công cụ Mail Bomber, Attache Bomber, Advanced Mail Bomber để gửi số lượng mail lớn cho mail server mục tiêu Điền vào mẫu nội dung tùy ý kéo dài làm tràn ngập trang web SVTH: LÊ QUANG HÀ 24 Nghiên cứu tìm hiểu an ninh mạng CHƯƠNG 3: MỘT SỐ VÍ DỤ ĐIỂN HÌNH 1.12 Tấn công tràn ngập ICMP Mô tả: Tấn công tràn ngập ICMP tới router làm router không xử lý kịp dẫn tới bị treo truy cập internet Chạy lệnh For /L %i in (1,1,100) start ping “ipaddress-victim” -l 65500 – tfs để thực công Hình 3-14 Ping of death Ta dùng công cụ Nemesy để thay cho dễ sử dụng Kiểu công gửi liên tục gói ping request tới victim victim xử lý cách gửi icmp relay tới máy attacker Hình 3-15 Bắt wireshark bị công tràn ngập ICMP Tấn công liên tục làm router không xử lý bị treo SVTH: LÊ QUANG HÀ 25 Nghiên cứu tìm hiểu an ninh mạng Kết luận:  Kiểu công ICMP kiểu công cổ điển nhất, dễ thực  Các router cấu hình yếu dễ bị công treo nhanh chóng Phòng chống: Tắt ICMP router 1.13 Tấn công tràn ngập TCP, UDP, HTTP Mô tả: Dùng công cụ LOIC để công website http://mm3a.com nhiều kiểu: TCP, UDP, HTTP chỉnh tốc độ công nhanh hay chậm Hình 3-16 Tấn công nhiểu kiểu với LOIC Hình 3-17 Bắt gói tin công dùng LOIC Kết Luận:  Công cụ LOIC mạnh, hỗ trợ nhiều kiểu công  Đặc biệt, LOIC dùng để kết nối tình nguyện viên dạng botnet để công mục tiêu Phòng chống:  Tăng khả kiểm soát số lượng yêu cầu SYN-ACK tới hệ thống mạng  Hệ thống cần phân tích chống spoofing  Giới hạn số lượng kết nối từ nguồn cụ thể tới server (quota) SVTH: LÊ QUANG HÀ 26 Nghiên cứu tìm hiểu an ninh mạng  áp dụng lọc để giới hạn số lượng kết nối trung bình quan trọng Một lọc xác định ngưỡng tốc độ kết nối cho đối tượng mạng Thông thường, việc số lượng kết nối thời gian định phép dao động lưu lượng 1.14 Dùng Bonesi giả lập botnet Mô tả: Công cụ Bonesi chương trình giả lập botnet để kiểm tra hệ thống trước công DDoS Bonesi thiết kế để nghiên cứu ảnh hưởng công DDoS Có thể tải công cụ Bonesi http://code.google.com/p/bonesi/ Chuẩn bị: + Server 2k3 - Web Server (IP: 192.168.137.33) + Backtrack - Attacker (IP: 192.168.137.224) Nội dung: Sử dụng Bonesi công web server dùng file 5k-bots mô nhiều ip công công tràn ngập udp/tcp Mô chia thành hai phần: UDP: Gửi 10 gói udp giây với payload 1390 byte tới 192.168.137.33 port 2234 Hình 3-18 Giả lập botnet công udp Quan sát Server: SVTH: LÊ QUANG HÀ 27 Nghiên cứu tìm hiểu an ninh mạng Hình 3-19 Gửi gói UDP tới Server từ nhiều địa khác TCP: Yêu cầu http://192.168.137.33/index.html 1000 lần giây qua cổng eth0 Hình 3-20 Kết nối SYN tới Server từ địa khác Quan sát Server: Hình 3-21 Giả lập botnet công tcp vào site SVTH: LÊ QUANG HÀ 28 Nghiên cứu tìm hiểu an ninh mạng Kết luận:  Đây công cụ mô hay, đầy đủ kiểu công  Công cụ mô hầu hết kiểu công như: ICMP, UDP and TCP (HTTP) Phòng chống:  Trên Server cần cài phần mềm hỗ trợ nhận biết dấu hiệu D-Guard Anti-DDoS Firewall để sớm có biện pháp đối phó  Tham khảo thêm cách đối phó DoS/ DDoS trình bày SVTH: LÊ QUANG HÀ 29 Nghiên cứu tìm hiểu an ninh mạng TÀI LIỆU THAM KHẢO [1] CEH V7 Module 10 [2] http://tuoitre.vn [3] http://www.thongtincongnghe.com [4] http://wikipedia.org [5] http://uitstudent.vn/ SVTH: LÊ QUANG HÀ 30 Nghiên cứu tìm hiểu an ninh mạng NHẬN XÉT CỦA CÁN BỘ HƯỚNG DẪN SVTH: LÊ QUANG HÀ 31