hướng dẫn demo chi tiết cụ thể !
BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT Mà ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ THỰC TẬP CƠ SỞ XÂY DỰNG CÁC GIẢI PHÁP CHỐNG TẤN CƠNG TRÊN MẠNG DOS Ngành: Cơng nghệ thơng tin Chun ngành: An tồn thơng tin Mã số: Hà Nội, 2017 BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT Mà ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ THỰC TẬP CƠ SỞ XÂY DỰNG CÁC GIẢI PHÁP CHỐNG TẤN CÔNG TRÊN MẠNG DOS Ngành: Cơng nghệ thơng tin Chun ngành: An tồn thông tin Mã số: Sinh viên thực hiện: Nguyễn Tấn Tài Đỗ Thành Long Nguyễn Thị Anh Thư Lớp: L02 Người hướng dẫn: ThS Nguyễn Đào Trường Khoa Công nghệ thông tin – Học viện Kỹ thuật mật mã Hà Nội, 2017 Mục lục CHƯƠNG TỔNG QUAN VỀ DOS .4 1.1 Tình hình chung an ninh mạng .4 1.1.1 VietNamNet bị công DOS lớn chưa có 1.1.2 Tình hình cơng DOS tồn cầu năm 2016 1.2 Khái niêm DOS (Denial of service) 1.2.1 Định nghĩa công từ chối dịch vụ 1.2.2 Đặc điểm công từ chối dịch vụ .7 1.2.3 Phân loại kiểu công từ chối dịch vụ 1.3 Kỹ thuật công DOS 1.3.1 Tấn công kiểu SYN Flood 1.3.2 Tấn công kiểu Ping Of Death 10 1.3.3 Tấn công kiểu Smurf Attack 12 1.3.4 Tấn công kiểu Lan Attack 13 1.3.5 Tấn công kiểu DDOS 14 CHƯƠNG BIỆN PHÁP ĐỐI PHÓ VÀ PHỊNG THỦ CÁC CUỘC TẤN CƠNG DOS 17 2.1 Kỹ thuật phát 17 2.1.1 Kỹ thuật Agress Filtering 17 2.1.2 Kỹ thuật MIB Statistics 17 2.1.3 Hoạt động định hình .17 2.2 Biện pháp đối phó chiến lược 17 2.2.1 Làm giảm dịch vụ 17 2.2.2 Tắt dịch vụ 17 2.3 Biện pháp đối phó công DoS 17 2.3.1 Bảo vệ thứ cấp victims 17 2.3.2 Phát vơ hiệu hóa handler 18 2.3.3 Phát tiềm công 18 2.3.4 Làm lệch hướng công .18 2.3.5 Làm dịu công 19 2.4 Biện pháp đối phó DoS 19 2.5 Bảo vệ DoS 20 2.5.1 Mức độ ISP .20 2.5.2 Hệ thống bảo vệ Intelliguard 20 2.6 Các công cụ bảo vệ thông dụng .21 2.6.1 Netflow Analyzer 21 2.6.2 D-Guard Anti-DDoS Firewall 21 2.6.3 FortGuard Firewall 22 CHƯƠNG TRIỂN KHAI TẤN CƠNG VÀ TIẾN HÀNH PHỊNG THỦ 24 3.1 Ping of death 24 3.1.1 Triển khai công 24 3.1.2.Triên khai phòng thủ 26 3.2 Syn flood attack .28 3.2.1 Triển khai công 28 3.2.2 Triên khai phòng thủ .30 3.3 Land attack .31 3.3.1 Tấn công 31 3.3.2 Triển khai phòng thủ .33 Mục viết tắt Danh mục hình ảnh Bảng CHƯƠNG TỔNG QUAN VỀ DOS 1.1 Tình hình chung an ninh mạng Năm 2016 tình hình cơng mạng giới nước gia tăng đáng kể, có diễn biến phức tạp khó đốn trước Năm 2016 năm gắn liền với nhiều “tai tiếng” vấn đề an ninh mạng xã hội lớn Yahoo hàng loạt công ty bị đánh cắp tài khoản người dùng Tháng 12/2016, Yahoo cho biết, công ty nạn nhân vụ công từ tháng 8/2013, tin tặc lấy liệu từ tỉ tài khoản người dùng bao gồm tên, địa email, số điện thoại, ngày sinh, mật dạng hàm băm,… Đây vụ rò rỉ thơng tin tài khoản lớn từ trước đến Những công mạng mã độc lây nhiễm thiết bị IoT lên Tháng 10/2016, mạng botnet cỡ lớn công từ chối dịch vụ vào Dyn (Domain Name System), nhà cung cấp hệ thống tên miền lớn giới, khiến gần nửa nước Mỹ bị kết nối Internet Đợt công khiến hàng loạt trang web lớn Twitter, GitHub Netflix bị đánh sập ngày Theo nhà nghiên cứu, mã độc với tên gọi Mirai lợi dụng lỗ hổng sử dụng thiết bị nhiễm để tung công từ chối dịch vụ quy mô lớn Tháng 11/2016 900.000 thiết bị định tuyến băng thông nhà cung cấp dịch vụ viễn thông Deutsche Telekom, Đức bị ngưng trệ hoạt động sau công gây ảnh hưởng đến hệ thống điện thoại, truyền hình dịch vụ Internet nước này, thiết bị bị lây nhiễm Mirai Năm 2016, Singapore lần bị điện diện rộng, nguyên nhân xuất phát từ vụ công từ chối dịch vụ vào nhà cung cấp viễn thông Starhub Tại Việt nam, cơng mạng lớn gia tăng Điển sân bay Nội Bài, Tân Sơn Nhất bị tin tặc cơng Chiều 29/7/2016, hàng loạt hình hiển thị thông tin chuyến bay (và) hệ thống phát sân bay Nội Bài, Tân Sơn Nhất bất ngờ bị cơng, hình thị nội dung kích động, xun tạc Biển Đơng Hệ thống phát sân bay phát thông điệp tương tự Cùng thời điểm đó, website hãng hàng không quốc gia Việt Nam (vietnamairlines.com) bị thay đổi nội dung, đồng thời đăng tải thông tin 400.000 thành viên Golden Lotus Đây vụ công mạng nghiêm trọng vào hệ thống hạ tầng CNTT quan trọng quốc gia để lại nhiều hệ lụy xấu Và hàng loạt website, diễn đàn lớn nước bị công Các website bị cơng kể đến: Vietnamworks.com, svvn.vn, athena.vn, athena.com.vn,… Một mục tiêu tin tặc website cơng ty chun ATTT, có website trung tâm Đào tạo Quản trị mạng An ninh mạng Athena Tin tặc công thay đổi giao diện trang chủ đơn vị vào ngày 5/8/2016 Và nhiều cơng khác, qua cơng trên, thấy tình hình an ninh mạng diễn phức tạp khó lường, cần phải trọng quan tâm nhiều 1.1.1 VietNamNet bị công DOS lớn chưa có Năm 2011 báo VietNamNet phải hứng chịu công từ chối dịch vụ quy mơ lớn chưa có Việt Nam, xuất phát từ mạng lưới khổng lồ gồm hàng chục ngàn máy tính bị nhiễm virus Bắt đầu từ cuối ngày 04/01/2011, lưu lượng truy cập vào trang chủ báo VietNamNet địa http://vietnamnet.vn tăng nhanh cách bất thường, lên tới hàng trăm ngàn kết nối thời điểm Với lượng độc giả truy cập hàng ngày, số lượng kết nối thời điểm mức trăm ngàn Nên việc thời điểm có tới hàng trăm ngàn kết nối liên tục (bao gồm độc giả thông thường) tới máy chủ web khiến băng thông đường truyền mạng bị tải Do vậy, độc giả truy cập vào báo VietNamNet bị tắc nghẽn từ đường truyền báo lỗi khơng tìm thấy máy chủ, phải truy cập vài lần mở trang web Trên thực tế, báo VietNamNet bị công DDoS nhiều lần quy mô vài chục ngàn kết nối thời điểm nên băng thông hệ thống cơng suất máy chủ chịu đựng Trong công DDoS diễn ra, kẻ thủ ác thể khả chuyên nghiệp huy động mạng lưới botnet với lượng máy lên tới hàng chục ngàn máy tính 1.1.2 Tình hình cơng DOS tồn cầu năm 2016 Tấn cơng từ chối dịch vụ ngày trở nên phổ biến nỗi ác mộng với tổ chức, doanh nghiệp Đến thời điểm tại, gần website lớn nạn nhân loại công từ chối dịch vụ Năm 2016 chứng kiến bùng nổ công DoS/DDoS quy mô sức mạnh Theo ghi nhận mạng lưới phân bố nội dung khổng lồ Akamai, số lượng công DoS/DDoS quý 3/2016 tăng 71% so với kỳ năm trước, tăng 8% so với quý 2/2016 Có cần bảng so sánh ko? Tháng 9/2016, website hãng an ninh mạng KrebsOnSecurity bị công tê liệt vòng 24h, lưu lượng lên đến 620 Gbps Vài ngày sau, xuất công lên tới 1,1 Tbps vào nhà cung cấp dịch vụ Pháp Làm cách tin tặc tạo công với số ấn tượng vậy? Các công lớn trước sử dụng kỹ thuật “DNS reflection”, lợi dụng máy chủ DNS không quản lý tốt để khuếch đại công Tuy nhiên, công vừa qua đến từ kết nối hợp lệ client server dịch vụ web, cho thấy có mạng lưới botnet khổng lồ tồn mạng Internet Tháng 10/2016 nhà sản xuất webcam Trung Quốc khẳng định sản phẩm họ bị kiểm soát để thực vụ công từ chối dịch vụ khiến “một nửa Internet bị ngưng trệ” Đầu tháng 10/2016, trung tâm kỹ thuật FPT Telecom nhận nhiều phản hồi từ khách hàng việc đường truyền không ổn định Tiến hành kiểm tra số trường hợp, chuyên viên phát camera giám sát hộ gia đình liên tục gửi gói tin làm tràn bảng ghi modem, gây tình trạng kết nối - dạng công từ chối dịch vụ Nguyên nhân công thiết bị bị lây nhiễm virus Mirai Mã độc nhắm mục tiêu vào thiết bị IoT “yếu” để lây lan mở rộng mạng lưới bonet Phương thức lây lan thực đơn giản: Mirai liên tục quét mạng Internet để tìm thiết bị IoT camera, DVR, router,… Lợi dụng việc nhà sản suất thiết bị IoT thường để mật quản trị mặc định cho sản phẩm mình, Mirai sử dụng từ điển tài khoản/mật mặc định để xâm nhập vào hệ thông, thiết bị IoT Sau “gieo rắc” thành phần độc hại vào thiết bị, biến thành cơng cụ cơng Cuối tháng 9/2016, 25.000 camera an ninh bị khai thác để tạo mạng lưới botnet nhằm thực công từ chối dịch vụ vào website Kẻ công làm tê liệt nhiều trang web, dịch vụ quan phủ, ngân hàng trực tuyến nhiều quốc gia 1.2 Khái niêm DOS (Denial of service) 1.2.1 Định nghĩa công từ chối dịch vụ Tấn công từ chối dịch vụ kiểu công vào máy tính mạng để ngăn chặn truy cập hợp pháp Trên kiểu công DoS, kẻ công làm tràn ngập hệ thống victim với luồng yêu cầu dịch vụ không hợp pháp làm tải nguồn (Server), ngăn chặn server thực nhiệm vụ hợp lệ DOS khơng có khả truy cập vào liệu thực hệ thống làm gián đoạn dịch vụ hệ thống cung cấp 1.2.2 Đặc điểm công từ chối dịch vụ Đặc điểm công từ chối dịch vụ: - Mạng thực thi chậm khác thường mở tập tin hay truy cập trang web; - Không thể sử dụng website cụ thể; - Không thể truy cập website nào; - Số lượng thư rác nhận tăng lên nhanh chóng Các mục đích công từ chối dịch vụ: - Cố gắng chiếm băng thông mạng làm hệ thống mạng bị ngập, hệ thống mạng khơng có khả đáp ứng dịch vụ khác cho người dùng bình thường; - Cố gắng làm ngắt kết nối hai máy, ngăn chặn trình truy cập vào dịch vụ; - Cố gắng ngăn chặn người dùng cụ thể vào dịch vụ đó; - Cố gắng ngăn chặn dịch vụ không cho người khác có khả truy cập - Khi cơng DOS xảy người dùng có cảm giác truy cập vào dịch bị: Tắt mạng; Tổ chức khơng hoạt động; Tài bị 1.2.3 Phân loại kiểu công từ chối dịch vụ 1.2.3.1 Tấn cơng từ chối dịch vụ Hình thức công làm cho hệ thống bị treo, tê liệt công vào đặc điểm hệ thống lỗi an tồn thơng tin Kẻ cơng lợi dụng kẽ hở an tồn thơng tin hệ thống để gửi u cầu gói tin khơng hợp lệ (không theo tiêu chuẩn) cách cố ý, khiến cho hệ thống bị công nhận u cầu hay gói tin này, xử lý khơng khơng theo trình tự thiết kế, dẫn đến sụp đổ hệ thống Điển hình cơng cơng Ping of Death SYN Flood 1.2.3.2 Tấn công từ chối dịch vụ phân tán 10 cách đưa nhìn tồn diện băng thơng mạng mẫu lưu lượng truy cập NetFlow Analyzer giải pháp thống thu thập, phân tích báo cáo băng thông mạng bạn sử dụng người sử dụng NetFlow Analyzer đối tác tin cậy tối ưu hóa việc sử dụng băng thơng tồn giới ngồi thực giám định mạng phân tích lưu lượng mạng Hình 2.2: Cơng cụ NetFlow Analyzer 2.6.2 D-Guard Anti-DDoS Firewall D-Guard Anti-DDoS Firewall cung cấp đáng tin cậy nhanh bảo vệ DDoS cho doanh nghiệp trực tuyến, dịch vụ phương tiện truyền thông, thiết yếu hạ tầng công cộng cung cấp dịch vụ Internet Là chuyên nghiệp Anti-DDoS Firewall, D-Guard bảo vệ chống lại hầu hết công loại, bao gồm DoS / DDoS, Super DDoS, DRDoS, Fragment công, công SYN Flood, lũ lụt công IP, UDP đột biến, ngẫu nhiên UDP Flooding công, ICMP, IGMP công, ARP Spoofing, HTTP Proxy công, CC Flooding công, CC Proxy công,… D-Guard Anti-DDoS Firewall cung cấp cấp cách tiếp cận để giảm nhẹ công DDoS, với thiết kế tập trung vào giao thông qua hợp pháp loại bỏ giao thông công, xử lý cơng kịch suy thối tồi tệ mà khơng cần hiệu suất 24 Hình 2.3: Công cụ D-Guard Anti-DDoS Firewall 2.6.3 FortGuard Firewall ForGuard Firewall – giải pháp giúp người dùng chống lại cơng DDoS với độ xác hiệu suất cao nhất… FortGuard Firewall phần mềm tường lửa Anti-DDoS nhỏ mạnh mẽ với Intrusion Prevention System sẵn có Nó bảo vệ máy tính bạn chống lại cơng DDoS xác với hiệu suất cao FortGuard Firewall chống lại SYN, TCP Flooding loại cơng DDoS khác khả thấy gói tin cơng thời gian thực Chương trình cho phép bạn vơ hiệu hóa/kích hoạt truy cập qua proxy vào tầng ứng dụng ngăn chặn 2000 kiểu hoạt động hacker 25 Hình 2.4: Cơng cụ FortGuard Firewall 26 CHƯƠNG TRIỂN KHAI TẤN CÔNG VÀ TIẾN HÀNH PHÒNG THỦ 3.1 Ping of death 3.1.1 Triển khai công Trong Phương pháp kiểu công dùng giao thức ICMP, máy công sử dụng hệ điều hành Kali linux gửi tới máy victim (SERVER) sử dụng hệ điều hành window 2003 gói tin có kích thước lớn kích thước cho phép 65,536 bytes Gói tin bị chia nhỏ thánh segment nhỏ hơn, máy đích ráp lại gói tin q lớn với buffer bên nhận nên hệ thống quản lý gây reboot bị treo Hình 3.1: Mơ hình công Ping of death - Bước ta xác định địa IP máy công server Hình 3.2: Địa IP máy attack 27 - Hình 3.3: Địa IP máy victim Bước thứ 2: Tại máy công ta thực lệnh ping với kích thước 65500 bytes với mã lệnh sau : Hping3 10.0.0.2 -1 -d 65500 -I u1 -V -n Trong đó: Hping3: tên tool dùng cơng 10.0.0.2: IP đích địa cần công -1: chọn ICMP mode -d: kích thước tâp tin (65500) -I: tốc độ cơng (u1 cơng nhanh) Hình ảnh chạy lệnh cơng: Hình 3.3: Lệnh cơng Ta chạy wireshark máy công để xem việc gửi gói tin máy 28 Hình 3.4: wireshark - Tiếp theo ta mở task manager thấy lưu lượng CPU đo ln 50% Hình 3.5: lưu lượng CPU cơng 3.1.2 Triển khai phòng thủ Để thực bảo vệ may Victim, ta sử dụng phần mềm D-Guard AntiDdos, phần mềm ngăn chặn hầu hết công Dos Ddos 29 phổ biến Sau cài đặt máy victim, ta bắt đầu cơng lần để xem kết Hình 3.6: Cảnh báo bảo vệ victim 30 Hình 3.7: Chi tiết công 3.2 Syn flood attack 3.2.1 Triển khai công Trong cách công hacker lợi dụng tiến trình bắt tay bước, công trực tiếp vào máy chủ window server cách tạo lượng lớn kết nối TCP khơng hồn thành kết nối Trong SYN Attack, hacker gửi đến hệ thống đích loạt SYN packets với địa IP nguồn khơng có thực Hệ thống đích nhận SYN packets gởi trở lại SYN/ACK packet đến địa thực vào chờ nhận ACK messages từ địa IP khơng có thực Vì địa IP khơng có thực, hệ thống đích chờ đợi vơ ích nối “request” chờ đợi hàng đợi, gây lãng phí lượng đáng kể nhớ máy chủ mà phải dùng vào việc khác thay cho phải chờ đợi ACK messages 31 Hình 3.8: Mơ hình công syn flood attack - Tại máy công ta dùng lệnh sau : Hping3 10.0.0.2 -a 10.0.0.100 -1 -S -i u1 -V -n Trong đó: Hping3: tên tool dùng -a: địa giả mạo công -S: bật cờ Syn -i: Tốc độ cơng Hình ảnh lệnh cơng kali chạy linux: Hình 3.9: Câu lệnh Ta bật wireshark xem gói tin gửi 32 Hình 3.10: Wireshark Tiếp theo ta mở task manager thấy lưu lượng CPU đo bất thường tăng lên so với trước lúc chưa bị cơng Hình 3.11: Lưu lượng mạng 3.2.2 Triển khai phòng thủ Khởi chạy D-guard anti Dos /DDos Hình 3.12: Cảnh báo bảo vệ victim 33 Hình 3.13: Chi tiết công 3.3 Land attack 3.3.1 Tấn công Tấn công land attack Syn flood, kiểu công dùng Ip nạn nhân cơng mình->nghĩa máy victim tự hỏi trả lời vơ hạn Hình 3.14: Mơ hình công land attack - Tại máy công ta dùng lệnh sau : Hping3 10.0.0.2 -a 10.0.0.2 -1 -S -i u1 -V -n Trong đó: 34 Hping3: tên tool dùng 10.0.0.2: IP đích cần cơng -a: địa giả mạo công -S: bật cờ Syn -I: tốc độ cơng Hình ảnh chạy lệnh cơng kali linux Hình 3.15: Câu lệnh kali Hình 3.16: Wireshark Tiếp theo ta mở task manager thấy lưu lượng CPU đo bất thường tăng lên so với trước lúc chưa bị công 35 Hình 3.17: Lưu lượng mạng 3.3.2 Triển khai phòng thủ Khởi chạy D-guard anti Dos /DDos 36 Hình3.18: Cảnh báo bảo vệ victim 37 Hình 3.19: Chi tiết công 38