Đang tải... (xem toàn văn)
Cùng với sự ra đời và phát triển của máy tính thì mạng máy tính cũng không kém phần phát triển. Bên cạnh đó, các hình thức phá hoại mạng cũng trở nên tinh vi và phức tạp hơn. Do đó đối với mỗi hệ thống, nhiệm vụ bảo mật được đặt ra cho người quản trị mạng là hết sức quan trọng và cần thiết. Xuất phát từ vấn đề đó, nhóm em đã tìm hiểu và nghiên cứu đề tài: “Tìm hiểu và thử nghiệm tấn công SYN Flood”. Báo cáo trình bày những vấn đề về giới thiệu về tấn công từ chối dịch vụ và thử nghiệm tấn công SYN Flood
MỤC LỤC DANH MỤC NHỮNG TỪ VIẾT TẮT DOS Denial of Service DDOS Distributed Denial of Service DRDOS Distributed Reflection Denial of Service IRC Internet Relay Chat UDP User Datagram Protocol TCP Transmission Control Protocol LỜI NÓI ĐẦU Tính cấp thiết Ngày lĩnh vực cần đến máy tính, máy tính hữu ích với đời sống người Chính nhờ có mặt máy tính phát triển làm cho hầu hết lĩnh vực xã hội phát triển vượt bậc, nhanh chóng thần kỳ Cùng với đời phát triển máy tính mạng máy tính không phần phát triển Bên cạnh đó, hình thức phá hoại mạng trở nên tinh vi phức tạp Do hệ thống, nhiệm vụ bảo mật đặt cho người quản trị mạng quan trọng cần thiết Xuất phát từ vấn đề đó, nhóm em tìm hiểu nghiên cứu đề tài: “Tìm hiểu thử nghiệm công SYN Flood” Báo cáo trình bày vấn đề giới thiệu công từ chối dịch vụ thử nghiệm công SYN Flood Do thiếu kinh nghiệm thực tiễn nên báo cáo không tránh khỏi thiếu sót Rất mong đóng góp ý kiến quý thầy cô bạn bè để báo cáo hoàn thiện Mục tiêu Chuyên đề - Tìm hiểu tổng quan công từ chối dịch vụ - Tìm hiểu SYN Flood - Nghiên cứu xây dựng mô công SYN Flood Đối tượng nghiên cứu - Tấn công SYN Flood Phạm vi nghiên cứu - Tấn công từ chối dịch vụ - Tấn công SYN Flood Phương pháp nghiên cứu * Phương pháp nghiên cứu tài liệu - Phương pháp áp dụng để tìm hiểu, phân tích tài liệu liên quan đến đề tài nghiên cứu Trong đó, áp dụng phương pháp vào tài liệu công từ chối dịch vụ, công SYN Flood - Nguồn tài liệu: + Từ hệ thống giáo trình SYN Flood + Từ nghiên cứu người nghiên cứu trước đó, sách, tạp chí, ngân hàng đề tài khoa học có liên quan đến đề tài + Từ thông tin mạng Internet * Phương pháp nghiên cứu thực nghiệm - Thử nghiệm đánh giá kết số phương pháp đề xuất: + Thu thập phương pháp công SYN Flood + Đánh giá phân tích kết Nội dung nghiên cứu Chương Tổng quan công từ chối dịch vụ Chương Tổng quan kỹ thuật công SYN Flood Chương Thử nghiệm công SYN Flood Dự kiến sản phẩm đạt Gồm hai sản phẩm là: - Báo cáo tổng hợp đề tài “Tìm hiểu thử nghiệm công SYN Flood.” - Thử nghiệm công SYN Flood CHƯƠNG TỔNG QUAN VỀ TẤN CÔNG TỪ CHỐI DỊCH VỤ 1.1 Khái niệm công từ chối dịch vụ Trong thập kỷ gần đây, giới Việt Nam chứng kiến phát triển bùng nổ công nghệ thông tin, truyền thông Đặc biệt phát triển trang mạng (websites) ứng dụng trang mạng cung cấp nhiều tiện ích cho người sử dụng từ tìm kiếm, tra cứu thông tin đến thực giao dịch cá nhân, trao đổi kinh doanh, mua bán, toán hàng hoá, dịch vụ, thực dịch vụ công Tuy nhiên, phát triển mạnh mẽ trang mạng nói riêng công nghệ thông tin nói chung, vấn đề đảm bảo an toàn, an ninh thông tin trở thành thách thức lớn Một nguy tác động đến việc đảm bảo an toàn thông tin nhiều năm qua chưa giải hoạt động công từ chối dịch vụ, thủ đoạn phổ biến tội phạm nhằm cản trở gây rối loạn hoạt động mạng máy tính, mạng viễn thông, mạng Internet, thiết bị số Hình 1.1.1.1.1 Tấn công từ chối dịch vụ Tấn công từ chối dịch vụ (hay gọi DoS - Denial of Service) thủ đoạn nhằm ngăn cản người dùng hợp pháp khả truy cập sử dụng vào dịch vụ DoS làm ngưng hoạt động máy tính, mạng nội chí hệ thống mạng lớn Về chất thực DoS, kẻ công chiếm dụng lượng lớn tài nguyên mạng băng thông, nhớ làm khả xử lý yêu cầu dịch vụ từ khách hàng khác Tấn công DoS nói chung không nguy hiểm kiểu công khác, kẻ công có khả thâm nhập hay chiếm thông tin liệu hệ thống Tuy nhiên, máy chủ tồn mà cung cấp thông tin, dịch vụ cho người sử dụng tồn ý nghĩa, đặc biệt hệ thống phục vụ giao dịch điện tử thiệt hại vô lớn Đối với hệ thống máy chủ bảo mật tốt, khó thâm nhập, việc công từ chối dịch vụ DoS hacker sử dụng “cú chót” để triệt hạ hệ thống Tất hệ thống máy tính có giới hạn định nên đáp ứng yêu cầu dịch vụ giới hạn mà Như vậy, hầu hết máy chủ trở thành mục tiêu công DoS Tùy cách thức thực mà DoS biết nhiều tên gọi khác nhau; nhiên, phổ biến, nguy hiểm kể đến số dạng sau: Tấn công từ chối dịch vụ cổ điển DoS Tấn công từ chối dịch vụ cổ điển DoS phương pháp công từ chối dịch vụ xuất với kiểu công Smurf Attack, Tear Drop, SYN Attack… Các kiểu công thường áp dụng đối tượng công hệ thống máy chủ bảo mật kém, băng thông (bandwidth) yếu, chí nhiều trường hợp, đối tượng tin tặc sử dụng đường truyền có tốc độ vừa phải thực thành công kiểu công Trong công từ chối dịch vụ, kẻ công cố gắng ngăn cản người dùng truy cập thông tin dịch vụ Bằng cách nhằm vào máy tính sử dụng mạng máy tính mà bạn dùng, kẻ công ngăn cản truy cập email, website, tài khoản trực tuyến (ví dụ ngân hàng) dịch vụ khác Một kiểu Dos rõ ràng phổ biến kẻ công “làm lụt” mạng thông tin Khi bạn nhập vào URL website vào trình duyệt, lúc bạn gửi yêu cầu đến máy chủ trang để xem Máy chủ xử lý số yêu cầu kẻ công làm tải máy chủ với nhiều yêu cầu yêu cầu bạn không xử lý Đây kiểu “từ chối dịch vụ” làm cho bạn truy cập đến trang Kẻ công sử dụng thư rác để thực công tương tự tài khoản email bạn Dù bạn có tài khoản email cung cấp nhân viên bạn hay có sẵn qua dịch vụ miễn phí Yahoo hay Hotmail bị giới hạn số lượng liệu tài khoản Bằng cách gửi nhiều email đến tài khoản bạn, kẻ công tiêu thụ hết phần nhận mail ngăn chặn bạn nhận mail khác Tấn công từ chối dịch vụ phân tán DDoS Tấn công từ chối dịch vụ phân tán DDoS, so với công DoS cổ điển, sức mạnh tăng gấp nhiều lần Hầu hết công DDoS nhằm vào việc chiếm dụng băng thông (bandwidth) gây nghẽn mạch hệ thống, dẫn đến ngưng hoạt động hệ thống Để thực DDoS, kẻ công tìm cách chiếm dụng điều khiển nhiều máy tính/mạng máy tính trung gian gọi botnet (đóng vai trò zombie) từ nhiều nơi để đồng loạt gửi ạt gói tin (packet) với số lượng lớn nhằm chiếm dụng tài nguyên làm tràn ngập đường truyền mục tiêu xác định Hình 1.1.1.1.2 Tấn công từ chối dịch vụ phân tán(DDoS) Tấn công từ chối dịch vụ phản xạ nhiều vùng DRDoS Tấn công từ chối dịch vụ phản xạ nhiều vùng DRDoS lại kiểu công nhất, mạnh kiểu công DoS Trong suốt trình máy chủ bị công DRDoS, không máy khách kết nối vào máy chủ Tất dịch vụ chạy TCP/IP DNS, HTTP, FTP, POP3 bị vô hiệu hóa Về bản, DRDoS phối hợp hai kiểu DoS DDoS Nó có kiểu công SYN với máy tính đơn, vừa có kết hợp nhiều máy tính để chiếm dụng băng thông kiểu DDoS Kẻ công thực cách giả mạo địa máy chủ mục tiêu gửi yêu cầu SYN đến máy chủ lớn Yahoo, Microsoft, Google để máy chủ gửi gói tin SYN/ACK đến máy chủ mục tiêu Quá trình lặp lại liên tục với nhiều máy chủ lớn tham gia nên máy chủ mục tiêu nhanh chóng bị tải, băng thông (bandwitch) bị chiếm dụng máy chủ lớn, dẫn đến máy chủ mục tiêu hoạt động bình thường 1.2 Lịch sử công từ chối dịch vụ Các công DoS bắt đầu vào khoảng đầu năm 90 Đầu tiên, chúng hoàn toàn “nguyên thủy”, bao gồm kẻ công khai thác băng thông tối đa từ nạn nhân, ngăn người khác phục vụ Điều thực chủ yếu cách dùng phương pháp đơn giản Ping Floods, SYN Floods UDP Floods Sau đó, công trở nên phức tạp hơn, cách giả làm nạn nhân, gửi vài thông điệp để máy khác làm ngập máy nạn nhân với thông điệp trả lời (Smurf attack, IP spoofing…) Các công phải đồng hoá cách thủ công nhiều kẻ công để tạo phá huỷ có hiệu Sự dịch chuyển đến việc tự động hoá đồng bộ, kết hợp tạo công song song lớn trở nên phổ biến từ 1997, với đời công cụ công DDoS công bố rộng rãi, Trinoo Nó dựa công UDP Flood giao tiếp master-slave (khiến máy trung gian tham gia vào công cách đặt lên chúng chương trình điều khiển từ xa) Trong năm tiếp theo, vài công cụ phổ biến – TFN (tribe Flood network), TFN2K, vaf Stacheldraht Tuy nhiên, từ cuối năm 1999 có báo cáo công vậy, đề tài công chúng biết đến sau công lớn vào site công cộng tháng 2/2000 Trong thời gian ngày, site Yahoo.com, amazon.com, buy.com, cnn.com eBay.com đặt công (ví dụ Yahoo bị ping với tốc độ GB/s) Người ta phát khoảng 50 máy tính Stanford University máy tính University of California at Santa Barbara nằm số máy tính “zombie” gửi ping công DoS Trong tháng tiếp theo, công phổ biến khác tổ chức chống lại site sử dụng rộng rãi (thương mại phủ): Một nghiên cứu tuần vào tháng 2/2001 cho thấy có khoảng 4000 công DoS tuần Hầu hết công DoS không công bố phương tiện thông tin không bị truy tố Tháng 5/2001, hacker làm tải router Weather.com công ty Web hosting với lưu thông giả Để chống lại công, weather.com chuyển đến router riêng cài đặt phần mềm lọc để bảo vệ switch server, phần mềm phát xâm nhập để ghi lại tất hoạt động diễn Công ty phải để đưa site hoạt động trở lại 5/2001 1/2002, Hai công lớn vào website grc.com Các công phân tích kỹ thực chúng Steve Gibson, người chủ site Ông xuất hai báo chi tiết, mô tả tiến hóa công này, cách mà đội ngũ ông phân tích chúng cách họ vượt qua chúng 4/2002, Hàng ngàn máy tính toàn giới làm ngập website tin tức gaming tiếng với hàng trăm yêu cầu cho file không xác định 11081109.exe Tấn công đáng ngạc nhiên làm down hầu hết site tin tức phổ biến, bao gồm Shacknews, Bluesnews, Gamespy nhiều site khác Ngay site gaming bị ảnh hưởng, hầu hết điểm routing lớn bị ngập shut down lưu thông lớn Vài công thúc đẩy động trị - ví dụ điển hình tìm thấy Trung Đông, người ủng hộ Israel tiến hành công DDoS lên site Hezbollah vào 9/2000, ngược lại, người ủng hộ Palestin thành công việc làm “crashing” site Bộ Ngoại giao Israel vài ngày, làm tràn ngập lưu thông ISP 21/10/2016, Hacker vừa thực vụ công DDoS vào Dyn, công ty có chức giúp người dùng kết nối tới website, khiến người dùng truy cập dịch vụ lớn Twitter, Spotify Airbnb 1.3 Mục đích động công DDoS 1.3.1 Mục đích công DDoS Cố gắng chiếm băng thông mạng làm hệ thống mạng bị ngập (Flood), hệ thống mạng khả đáp ứng dịch vụ khác cho người dùng bình thường Cố gắng làm ngắt kết nối hai máy, ngăn chặn trình truy cập vào dịch vụ Cố gắng ngăn chặn người dùng cụ thể vào dịch vụ Cố gắng ngăn chặn dịch vụ không cho người khác có khả truy cập vào Khi công DoS xảy ra, người dùng có cảm giác truy cập vào dịch vụ bị: + Tắt mạng + Tổ chức không hoạt động + Tài bị 1.3.2 Động công DDoS Động tin tặc công DDoS đa dạng Tuy nhiên, chia dạng công DDoS dựa động tin tặc thành loại chính: Nhằm giành lợi ích tài chính, kinh tế: Tin tặc công DDoS thuộc loại thường có kỹ thuật tinh vi nhiều kinh nghiệm công chúng mối đe dọa thường trực công ty, tập đoàn lớn Các công DDoS nhằm giành lợi ích tài công nguy hiểm khó phòng chống Để trả thù: Tin tặc công DDoS thuộc loại thường cá nhân bất mãn họ thực công để trả đũa việc mà họ cho bất công Gây chiến tranh không gian mạng: Tin tặc công DDoS thuộc loại thường thuộc tổ chức quân khủng bố nước thực công vào hệ thống trọng yếu nước khác mục đích trị Các đích công thường gặp hệ thống mạng quan phủ, tổ chức tài ngân hàng, hệ thống cung cấp điện nước nhà cung cấp dịch vụ viễn thông Tin tặc loại thường đào tạo tốt sử dụng nguồn lực mạnh phục vụ công thời gian dài Hậu dạng công thường lớn, gây ngưng trệ nhiều dịch vụ gây thiệt hại lớn kinh tế cho quốc gia Do niềm tin ý thức hệ: Tin tặc công DDoS thuộc loại chiểm tỷ trọng lớn công DDoS thường thực công niềm tin ý thức hệ, bao gồm công mục đích trị, tôn giáo Để thử thách trí tuệ: Tin tặc công DDoS thuộc loại thường người trẻ tuổi thích thể thân, thực công để thử nghiệm học cách thực dạng công khác Loại tin tặc tăng nhanh chóng ngày có sẵn nhiều công cụ công mạng dễ dùng người nghiệp dư sử dụng để thực thành công công DDoS 1.4 Phân loại công từ chối dịch vụ 1.4.1 Kiến trúc công Mặc dù có nhiều dạng công DDoS ghi nhận, chia kiến trúc công DDoS thành loại chính:[1] 1.4.1.1 Kiến trúc công DDoS trực tiếp: Kiến trúc công DDoS trực tiếp Theo tin tặc (Attacker) trước hết thực chiếm quyền điều khiển hàng ngàn máy tính có kết nối Internet, biến máy tính thành Zombie – máy tính bị kiểm soát điều khiển từ xa tin tặc Tin tặc thường điều khiển Zombie thông qua máy trung gian (Handler) Hệ thống Zombie chịu điều khiển tin tặc gọi mạng máy tính ma hay botnet Theo lệnh gửi từ tin tặc, Zombie đồng loạt tạo gửi yêu cầu truy nhập giả mạo đến hệ thống nạn nhân (Victim), gây ngập lụt đường truyền mạng làm cạn kiệt tài nguyên máy chủ, dẫn đến ngắt quãng ngừng dịch vụ cung cấp cho người dùng 1.4.1.2 Kiến trúc công DDoS gián tiếp hay phản chiếu: Tương tự kiến trúc công DDoS trực tiếp, tin tặc (Attacker) trước hết thực chiếm quyền điều khiển lượng lớn máy tính có kết nối Internet, biến máy tính thành Zombie, hay gọi la Slave Tin tặc điều khiển Slave thông qua máy trung gian (Master) Theo lệnh gửi từ 10 2.4 Giới thiệu SYN Flood Tấn công từ chối dịch vụ thủ đoạn nhằm ngăn cản người dùng hợp pháp khả truy cập sử dụng vào dịch vụ Tấn công từ chối dịch vụ làm ngưng hoạt động máy tính, mạng nội chí hệ thống mạng lớn Về chất thực công từ chối dịch vụ, kẻ công chiếm dụng lượng lớn tài nguyên mạng băng thông, nhớ làm khả xử lý yêu cầu dịch vụ từ khách hàng khác Tấn công từ chối dịch vụ nói chung không nguy hiểm kiểu công khác, kẻ công có khả thâm nhập hay chiếm thông tin liệu hệ thống Tuy nhiên, máy chủ tồn mà cung cấp thông tin, dịch vụ cho người sử dụng tồn ý nghĩa, đặc biệt hệ thống phục vụ giao dịch điện tử thiệt hại vô lớn Đối với hệ thống máy chủ bảo mật tốt, khó thâm nhập, việc công từ chối dịch vụ hacker sử dụng “cú chót” để triệt hạ hệ thống Kiểu công từ chối dịch vụ áp dụng phổ biến SYN Flood (được gọi tràn SYN) Nguy công TCP SYN Flood đề cập lần đầu Bill Cheswick Steve Bellovin vào năm 1994 Tấn công SYN Flood công khai năm 1996 với mô tả công cụ khai thác Phrack Magazine Vào tháng 11 năm 1996 công SYN Flood lần ý đến mail server bị công Trong kiểu công từ chối dịch vụ này, hệ thống nguồn (hệ thống khởi tạo công) gửi số lượng lớn gói tin TCP “SYN” đến hệ thống đích (hệ thống bị công) - gói tin SYN sử dụng để khởi tạo kết nối TCP Khi phía đích nhận gói “SYN”, trả lời gói tin TCP “SYN ACK”, gói tin cho biết chấp nhận tín hiệu SYN gửi lại thông tin thiết lập kết nối trở lại cho hệ thống gửi tín hiệu SYN Hệ thống đích lưu thông tin kết nối vào “bộ đệm kết nối” để chờ giải Đối với kết nối TCP thông thường, hệ thống nguồn gửi trả gói tin TCP “ACK” sau nhận gói tin “SYN ACK” Nhưng công từ chối dịch vụ loại này, hệ thống nguồn bỏ qua gói tin “SYN ACK” mà nhận tiếp tục gửi gói tin “SYN” khác đến hệ thống đích Do “bộ đệm kết nối” đích bị lấp đầy (bị tràn) hệ thống đích giải cho yêu cầu từ kết nối khác, buộc phải từ chối kết nối Đây lý mà ta gọi công từ chối dịch vụ Nếu có hàng loạt gói tin “SYN” gửi đến từ địa IP xác định được, dễ dàng xác định hệ thống nguồn dừng công Nhưng địa nguồn địa định tuyến đuợc, khó khăn nhiều - địa nguồn địa bị che dấu 37 2.5 Mục đích công SYN Flood Cố gắng chiếm băng thông mạng làm hệ thống mạng bị ngập (Flood), hệ thống mạng khả đáp ứng dịch vụ khác cho người dùng bình thường Cố gắng làm ngắt kết nối hai máy, ngăn chặn trình truy cập vào dịch vụ Cố gắng ngăn chặn người dùng cụ thể vào dịch vụ Cố gắng ngăn chặn dịch vụ không cho người khác có khả truy cập vào 2.6 Kỹ thuật công SYN Flood SYN Flood dạng công từ chối dịch vụ, kẻ công gửi gói tin kết nối SYN đến hệ thống Đây loại công phổ biến Loại công nguy hiểm hệ thống cấp phát tài nguyên sau nhận gói tin SYN từ kẻ công trước nhận gói ACK SYN Flood xem kiểu công từ chối dịch vụ kinh điển Lợi dụng sơ hở thủ tục TCP “bắt tay ba chiều”, client (máy khách) muốn thực kết nối (connection) với server (máy chủ) thực việc bawsts tay ba bước (three – ways handshake) thông qua gói tin (packet) Bước 1: Client (máy khách) gửi gói tin (packet chứa SYN = 1) đến máy chủ để yêu cầu kết nối Bước 2: Khi nhận gói tin này, server gửi lại gói tin SYN/ACK để thông báo cho client biết nhận yêu cầu kết nối chuẩn bị tài nguyên cho việc yêu cầu Server giành phần tài nguyên hệ thống nhớ đệm (cache) để nhận truyền liệu Ngoài ra, thông tin khác client địa IP cổng (port) ghi nhận Bước 3: Cuối cùng, client hoàn tất việc bắt tay ba bước cách hồi âm lại gói tin chứa ACK cho server tiến hành kết nối 38 Mô tả trình bắt tay bước Do TCP thủ tục tin cậy việc giao nhận (end-to-end) nên lần bắt tay thứ hai, server gửi gói tin SYN/ACK trả lời lại client mà không nhận lại hồi âm client để thực kết nối bảo lưu nguồn tài nguyên chuẩn bị kết nối lập lại việc gửi gói tin SYN/ACK cho client server “không hay biết”lặp lại việc gửi packet giành tài nguyên để chờ “người về” lúc tài nguyên hệ thống có giới hạn! Các hacker công tìm cách để đạt đến giới hạn Nếu trình kéo dài, server nhanh chóng trở nên tải, dẫn đến tình trạng crash (treo) nên yêu cầu hợp lệ bị từ chối đáp ứng Có thể hình dung qusa trình giống máy tính cá nhân (PC) hay bị “treo” mở lúc qusa nhiều chương trình lúc 39 Hình 2.6.1.1.1 Tấn công SYN Flood Thường để giả địa IP gói tin, hacker dùng Raw Sockets (không phải gói tin TCP hay UDP) để làm giả mạo hay ghi đè giả lên IP gốc gói tin Khi gói tin SYN với IP giả mạo gửi đến server, bao gói tin khác, hợp lệ server cấp vùng tài nguyên cho đường truyền này, đồng thời ghi nhận toàn thông tin gửi gói SYN/ACK ngược lại cho client Vifddiaj IP client giả mạo nên client nhận SY/ACK packet để hối đáp cho máy chủ Sau thời gian không nhận gói tin ACK từ client, server nghĩ gói tin bị thất lạc nên lại tiếp tục gửi tiếp SYN/ACK, thế, kết nối (connection) tiếp tục mở Nếu kẻ công tiếp tục gửi nhiều gói tin SYN đến server cuối server tiếp nhận thêm kết nối nữa, dù yêu cầu hợp lệ Việc đồng nghĩa với việc máy chủ không tồn Việc đồng nghĩa với xảy nhiều tổn thất ngưng trệ hoạt dộng, đặc biệt giao dịch thương mại điện tử trực tuyến Đây kiểu công đường truyền cao, dù cần máy tính kết nối internet, dial-up đơn giản công kiểu 40 2.7 Phòng chống công SYN Flood Việc phát kiểu công SYN Flood thường dễ thấy, khó phát lúc đâu Các biểu thường là: - Các hoạt động mạng tăng cao CPU Router tăng cao Không trả lời từ Host Các máy bị treo vài thời điểm Một số để ngăn ngừa kiểu công SYN Flood: Sử dụng đếm BF: + BF1: lưu trữ tham số gói SYN kết nối + BF2: lưu trữ tham số gói SYN, kết nối hoàn thành bắt tay bước + BF-3: Lưu trữ tham số gói SYN lại Khi gói SYN nhận, tham số so sánh với giá trị BF Xảy trường hợp sau: Giá trị không nằm BF, kết nối bị drop, ta insert giá trị vào BF1 Nếu giá trị có BF-1, gói SYN thứ ta chuyển giá trị từ BF1-BF3 Nếu trị nằm BF-2 Ta cho gói tin qua Nếu giá trị nằm BF-3 ta cho gói tín qua với xác xuất p=1/n, với n số giá trị nằm BF-3 Nếu gói ACK nhận giá trị so sánh với giá trị BF Xảy trường hợp: Giá trị không nằm BF, drop gói tin Giá trị nằm BF-2 Cho gói tin qua Giá trị nằm BF-3 Kết nối hoàn thành, di chuyển tham số từ BF3 sang BF-2 Khi gói SYN gửi từ địa nguồn lần đầu tiên, gói bị drop Trong lần từ địa gói SYN qua Nếu địa nguồn tiếp tục gửi gói tin SYN, xác suất qua 1/n với n số lần gửi gói SYN Với n tăng, xác suất gói tin qua nhỏ dần, số gói tin SYN đến host bị công giảm bớt 41 CHƯƠNG THỬ NGHIỆM TẤN CÔNG SYN FLOOD BẰNG METASPLOIT 3.1 Mô hình thử nghiệm Hình 3.1.1.1.1 Mô hình thử nghiêm công SYN Flood 3.2 Giới thiệu Metasploit Metasploit Framework môi trường dùng để kiểm tra ,tấn công khai thác lỗi service Metasploit xây dựng từ ngôn ngữ hướng đối tượng Perl, với components viết C, assembler, Python Metasploit chạy hầu hết hệ điều hành: Linux, Windows, MacOS Có thể download chương trình www.metasploit.com Metasploit Framework (MSF) ứng dụng mã nguồn mở cung cấp môi trường dùng để kiểm tra sử dụng đoạn code khai thác lỗ hổng bảo mật Chúng ta cài đặt MSF hệ thống Linux, Solaris, AIX hay MS Windows Ví dụ để cài đặt MFS Windows, tải MFS phiên dành cho Windows (version 2.4) từ trang web www.metasploit.com, sau chạy chương trình framework-2.4.exe hoàn thành bước theo yêu cầu tiến trình cài đặt 42 3.2.1 Các thành phần Metasploit 3.2.1.1 Cấu trúc Metasploit Cấu trúc Metasploit 3.2.1.2 Thành phần Metasploit Metasploit hỗ trợ nhiều giao diện với người dùng: - Console interface: dùng msfconsole.bat Msfconsole interface sử dụng dòng lệnh để cấu hình, kiểm tra nên nhanh mềm dẻo Web interface: dùng msfweb.bat, giao tiếp với người dùng thông qua giao diện web Command line interface: dùng msfcli.bat Enviroment + Global Enviroment:được thực thi thông qua câu lệnh setg unsetg, options gán mang tính toàn cục, đưa vào tất module exploits + Temporary Enviroment: thực thi thông qua câu lệnh set unset, enviroment đưa vào module exploit load tại, không ảnh hưởng đến module exploit khác + Bạn lưu lại enviroment cấu hình thông qua lệnh save Môi trường lưu /.msf/config load trở lại user interface thực + Những options mà chung exploits module là: LPORT, LHOST, PAYLOAD bạn nên xác định Global Enviroment Ví dụ: msf> setg LPORT 80 msf> setg LHOST 172.16.8.2 43 3.2.1.3 Sử dụng Metasploit Chọn module exploit: lựa chọn chương trình, dịch vụ lỗi mà Metasploit có hỗ trợ để khai thác + show exploits: xem module exploit mà framework có hỗ + use exploit_name: chọn module exploit + info exploit_name: xem thông tin module exploit Cấu hình module exploit chọn + show options: Xác định options cần cấu hình + set: cấu hình cho option module + Một vài module có advanced options, sử dụng dòng lệnh show advanceds Verify options vừa cấu hình: + check: kiểm tra xem option set xác chưa + Lựa chọn target: lựa chọn hệ diều hành để thực + show targets: target cung cấp module + set: xác định target Ví dụ: smf> use windows_ssl_pct Show targets + exploit liệt kê target như: winxp, winxp SP1, win2000, win2000 SP1 Lựa chọn payload Payload đoạn code mà chạy hệ thống remote machine + show payloads: liệt kê payload module exploit + info payload_name: xem thông tin chi tiết payload + set PAYLOAD payload_name: xác định payload module name.Sau lựa chọn payload nào, dùng lệnh show options để xem options payload + show advanced: xem advanced options payload Thực thi exploit + exploit: lệnh dùng để thực thi payload code Payload sau cung cấp cho bạn thông tin hệ thống khai thác 3.3 Thử nghiệm công Metasploit Bước 1: Mở chạy Metasploit console 44 Giao diện msf console Bước 2: Search mã khai thác (exploit) SYN Flood chương trình Hình 3.3.1.1.1 Tìm Exploit SYN Flood Bước 3: sau tìm thấy mã khai thác, tiến hành khai thác mã 45 Hình 3.3.1.1.2 Sử dụng SYN Flood Bước 4: Nếu muốn xem tùy chọn có sẵn Metasplot sử dụng “ show options” để cài đặt thông số LHOST,RHOST,PAYLOAD,RPORT… Hình 3.3.1.1.3 Show options Bước 5: Sau tiến hành đặt địa muốn công RHOST 46 Hình 3.3.1.1.4 Chọn địa công Bước 6: sau chọn địa công tiến hành công câu lệnh :” RUN” “exploit” Hình 3.3.1.1.5 Tiến hành công SYN Flood Kết công - Trước công 47 Hình 3.3.1.1.6 Trước công SYN Flood - Sau công Hình 3.3.1.1.7 Kết sau công SYN Flood Sử dụng Wireshark bắt gói tin công SYN Flood 48 Hình 3.3.1.1.8 Gói tin TCP bắt Wireshark 49 KẾT LUẬN Kết đạt Tìm hiểu, nghiên cứu trình bày tổng quan công từ chối dịch vụ phương diện: - Phương thức công Cách thức tạo Botnet Cách nhận biết công từ chối dịch vụ Thử nghiệm công từ chối dịch vụ với hình thức SYN Flood đạt kết tốt Hạn chế Bên cạnh kết đạt số hạn chế: - Do thời gian nghiên cứu có hạn khả hạn chế nên chưa mở rộng phạm vi công - Chưa thực công nhiều cách khác Hướng phát triển - Tối ưu hóa việc công SYN Flood nhiều phương pháp khác - Thử nghiệm mạng Botnet 50 TÀI LIÊU THAM KHẢO A Tiếng Việt [1] Ths Nguyễn Văn Hạnh, Phân tích mô hình hóa hình thức công phân tán 2013 [2] Hoàng Xuân Diệu, Phân loại công DDos biện pháp phòng chống B Tiếng Anh [3] Saman Taghavi Zargar, James Joshi, Member and David Tippe, A Survey of Defense Mechanisms Against Distributed Denial of Service (DDoS) Flooding Attacks, IEEE Communications Surveys & Tutorials, 2013 C Internet [4] www.ceh.vn [5] www.hnvonline.vn [6].http://www.vnpro.org/forum/forum/ccnp-security-%C2%AEccsp/secure-snd-snrs/12910-nguy%C3%AAn-l%C3%BD-c%E1%BB%A7a-ki %E1%BB%83u-t%E1%BA%A5n-c%C3%B4ng-tcp-synflood [7].https://anninhmang.net/tu-hoc-quan-tri-mang/mang-can-ban/tancong-tu-choi-dich-vu-phan-tan-ddos-la-gi/ 51 ... nguy hiểm vào máy tính không bảo mật 22 1.9.4 Tool DoS: Panther2 Công cụ Panther2 Tấn công từ chối dịch vụ dựa tảng UDP Attack thiết kế dành riêng cho kết nối 28 .8 – 56 Kbps Nó có khả chiếm toàn... nguyên để xử lý vấn đề này, từ xuất lỗ hổng bảo mật Sử dụng bubonic.c cách gõ câu lệnh: bubonic 12. 23 .23 .2 10.0.0.1 100 1.9.3 Tools DoS: Nemesys Công cụ Nemesys Đây chương trình sinh gói tin ngẫu nhiên... mảnh thành gói IP gốc sau xử lý gói Ip bình thường thực hợp gói hệ thống đích cảu gói 2. 2 Giao thức UDP TCP 2. 2.1 Giao thức gói tin người sử dụng UDP UDP giao thức không liên kết UDP sử dụng cho