1. Trang chủ
  2. » Kỹ Thuật - Công Nghệ

Nghiên cứu tấn công DDOS và xây dựng giải pháp ngăn chặn (tt)

20 403 2

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 20
Dung lượng 639,21 KB

Nội dung

Nghiên cứu tấn công DDOS và xây dựng giải pháp ngăn chặn (Luận văn thạc sĩ)Nghiên cứu tấn công DDOS và xây dựng giải pháp ngăn chặn (Luận văn thạc sĩ)Nghiên cứu tấn công DDOS và xây dựng giải pháp ngăn chặn (Luận văn thạc sĩ)Nghiên cứu tấn công DDOS và xây dựng giải pháp ngăn chặn (Luận văn thạc sĩ)Nghiên cứu tấn công DDOS và xây dựng giải pháp ngăn chặn (Luận văn thạc sĩ)Nghiên cứu tấn công DDOS và xây dựng giải pháp ngăn chặn (Luận văn thạc sĩ)Nghiên cứu tấn công DDOS và xây dựng giải pháp ngăn chặn (Luận văn thạc sĩ)Nghiên cứu tấn công DDOS và xây dựng giải pháp ngăn chặn (Luận văn thạc sĩ)Nghiên cứu tấn công DDOS và xây dựng giải pháp ngăn chặn (Luận văn thạc sĩ)Nghiên cứu tấn công DDOS và xây dựng giải pháp ngăn chặn (Luận văn thạc sĩ)

Trang 1

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

-HOÀNG TUẤN NGỌC

NGHIÊN CỨU TẤN CÔNG DDOS VÀ XÂY DỰNG GIẢI PHÁP NGĂN

CHẶN

Chuyên ngành: Kỹ thuật Viễn thông

Mã số: 60.52.02.08

TÓM TẮT LUẬN VĂN THẠC SĨ KỸ THUẬT

HÀ NỘI – 2017

Luận văn được hoàn thành tại:

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

Trang 2

Người hướng dẫn khoa học: TS HOÀNG VĂN VÕ

Phản biện 1:

Phản biện 2:

Luận văn đã được bảo vệ trước Hội đồng chấm luận văn thạc sĩ tại Học viện Công nghệ Bưu chính Viễn thông

Vào lục: giờ ngày tháng năm 2017

Có thể tìm hiểu luận văn tại:

‐ Thư viện của Học viện Công nghệ Bưu chính Viễn Thông

Trang 3

MỞ ĐẦU

Trong những thập kỷ gần đây, thế giới và Việt Nam đã và đang chứng kiến sự phát triển bùng nổ của công nghệ thông tin, truyền thông Đặc biệt sự phát triển của các trang mạng (websites) và các ứng dụng trên các trang mạng đã cung cấp nhiều tiện ích cho người sử dụng từ tìm kiếm, tra cứu thông tin đến thực hiện các giao dịch cá nhân, trao đổi kinh doanh, mua bán, thanh toán hàng hoá, dịch vụ, thực hiện các dịch

vụ công Tuy nhiên, trong sự phát triển mạnh mẽ của các trang mạng nói riêng và công nghệ thông tin nói chung, vấn đề đảm bảo an toàn, an ninh thông tin cũng trở thành một trong những thách thức lớn Một trong những nguy cơ tác động đến việc đảm bảo an toàn thông tin trong nhiều năm qua chưa được giải quyết đó chính là các hoạt động tấn công từ chối dịch vụ, một thủ đoạn phổ biến của tội phạm nhằm cản trở hoặc gây rối loạn hoạt động của mạng máy tính, mạng viễn thông, mạng Internet, thiết

bị số

Tại Việt Nam, trong nhiều năm qua, nhiều trang mạng của Chính phủ, trang mạng báo điện tử hoặc các trang mạng của các doanh nghiệp thương mại điện tử đã phải hứng chịu những hậu quả nghiêm trọng cả về tài sản, lẫn uy tín từ những đợt tấn công từ chối dịch vụ gây ra bởi các tin tặc trong và ngoài nước Tuy nhiên, công tác đấu tranh phòng, chống đối với loại hành vi này còn có nhiều vấn đề bất cập Lực lượng Cảnh sát phòng, chống tội phạm sử dụng công nghệ cao là lực lượng chuyên trách trong đấu tranh phòng, chống tội phạm sử dụng công nghệ cao nói chung, tội cản trở hoặc gây rối loạn hoạt động của mạng máy tính, mạng viễn thông, mạng Internet, thiết bị số nói riêng, trong đó có hành vi tấn công từ chối dịch vụ Để nâng cao hiệu quả công tác đấu tranh phòng, chống loại hành vi này, lực lượng Cảnh sát phòng, chống tội phạm sử dụng công nghệ cao cần có nhận thức đúng đắn và đầy đủ về các đặc điểm liên quan đến thủ đoạn tấn công từ chối dịch vụ Thực tế, cũng đã có nhiều giải pháp về phòng chống DDoS, tuy nhiên, các giải pháp về phần cứng thì khá đắt đỏ, các giải pháp về phần mềm thì rời rạc, chưa tổng hợp Vì vậy, tôi đã lựa chọn đề tài :

”Nghiên cứu tấn công DDOS và xây dựng giải pháp ngăn chặn”, với mục đích xây dựng, kiểm thử một số giải pháp sử dụng phần mềm mã nguồn mở để các công ty vừa

và nhỏ có thể triển khai dễ dàng

Luận văn bao gồm 3 chương :

Trang 4

- Chương I Tổng quan về tấn công DDoS: Giới thiệu chung về DDoS, phân loại các kiểu tấn công DDoS, giới thiệu một số công cụ tấn công DDoS

- Chương II Giải pháp ngăn chặn tấn công DDoS: Trình bày về lý thuyết

và một số cấu hình cơ bản và quan trọng của Iptables và (D)Dos-Deflate

- Chương III Cài đặt và thử nghiệm một số giải pháp ngăn chặn tấn công DDoS: Trình bày mô hình thực tế, giải pháp, mô hình thực nghiệm và quá trình kiểm tra đánh giá, nhận xét hệ thống phòng chống xâm nhập

Trang 5

CHƯƠNG 1: TỔNG QUAN VỀ TẤN CÔNG DDOS 1.1 Giới thiệu chung về DDoS

Tấn công từ chối dịch vụ (Denial of Service – DoS) là dạng tấn công nhằm ngăn chặn người dùng hợp pháp truy nhập các tài nguyên mạng Tấn công DoS đã xuất hiện từ khá sớm, vào đầu những năm 80 của thế kỷ trước

Tấn công từ chối dịch vụ phân tán (Distributed Denial of Service – DDoS) là một dạng phát triển ở mức độ cao của tấn công DoS được phát hiện lần đầu tiên vào năm 1999 Khác biệt cơ bản của tấn công DoS và DDoS là phạm vi tấn công.Trong khi lưu lượng tấn công DoS thường phát sinh từ một hoặc một số ít host nguồn, lưu lượng tấn công DDoS thường phát sinh từ rất nhiều host nằm rải rác trên mạng Internet Hiện nay, có hai phương pháp tấn công DDoS chủ yếu

1.2 Phân loại các kiểu tấn công DDOS

Nhìn chung, có rất nhiều cách để phân loại các kiểu tấn công DDOS nhưng theo tôi cách phân loại theo mục đích tấn công là khá đầy đủ, đơn giản và dễ hiểu Dưới đây là sơ đồ mô tả sự phân loại các kiểu tấn công DDoS dựa theo mục đích tấn công: làm cạn kiệt băng thông và làm cạn kiệt tài nguyên hệ thống

Hình 1.1: Phân loại các kiểu tấn công DDOS

1.2.1 Tấn công làm cạn kiệt băng thông

Tấn công làm cạn kiệt băng thông (BandWith Depletion Attack) được thiết kế nhằm làm tràn ngập mạng mục tiêu với những traffic không cần thiết, với mục địch

Trang 6

làm giảm tối thiểu khả năng của các traffic hợp lệ đến được hệ thống cung cấp dịch vụ của mục tiêu

1.2.2 Tấn công làm cạn kiệt tài nguyên

Tấn công làm cạn kiệt tài nguyên (Resource Deleption Attack) là kiểu tấn công trong đó Attacker gửi những packet dùng các protocol sai chức năng thiết kế, hay gửi những packet với dụng ý làm tắt nghẽn tài nguyên mạng làm cho các tài nguyên này không phục vụ những người dùng thông thường khác được

1.3 Một số kiểu tấn công DDoS và các công cụ tấn công DDoS

1.3.1 Một số kiểu tấn công DDoS

Bên cạnh việc phân loại các kiểu tấn công theo mục đích tấn công, ta còn có thể phân loại theo cách tấn công vào giao thức Dưới đây là phân loại một số cách tấn công DDoS theo giao thức :

( tham khảo từ

http://www.cisco.com/web/about/ac123/ac147/archived_issues/ipj_7-4/dos_attacks.html)

- HTTP Flood

- SYN Flood

- ICMP Flood

- TCP Reset

- UDP Flood

1.3.2 Một số công cụ tấn công DDoS

• HOIC (High Orbit Ion Canon)

• LOIC (Low Orbit Ion Canon)

• R-U-Dead-Yet

• Pyloris

• OWASP DOS HTTP Post

• GoldenEye HTTP Denial of Service Tool

• Slowloris HTTP Dos

1.4 Tấn công DDOS với mục tiêu là doanh nghiệp vừa và nhỏ

Trang 7

CHƯƠNG 2: GIẢI PHÁP NGĂN CHẶN TẤN CÔNG

DDOS

2.1 Tại sao DDoS khó giải quyết

Thực hiện tấn công DDoS có 2 trường phái chính: đó là nhằm vào điểm yếu (vulnerability attack) và làm ngập mạng (flooding attack) Do có 1 số đặc tính về kĩ thuật như sau làm ta rất khó giải quyết được triệt để các cuộc tấn công DDoS:

Sự đơn giản

Sự đa dạng của các gói tin tấn công

IP Spoofing

Lượng traffic lớn, gửi với tần suất cao

Số lượng lớn các Agents

Những điểm yếu trên mô hình mạng Internet

2.2 Những thách thức khi xây dựng hệ thống phòng thủ DDoS

Do những tính chất phức tạp của DDoS như đã trình bày ở trên, nên xây dựng 1

hệ thống phòng thủ DDoS là không đơn giản Để làm được điều đó cần xử lý được trên cả 2 lĩnh vực: kĩ thuật và xã hội

2.2.1 Những thách thức về mặt kĩ thuật

Cần sự xử lý phân tán từ nhiều điểm trên Internet: Vì attack traffic xảy ra từ nhiều nguồn khác nhau, đi qua toàn mạng Internet trong khi thường chỉ có một mình Victim với ít thiết bị, quyền hạn, khả năng xử lý hạn chế nên không thể đạt được hiệu quả cao Sự tấn công phân tán thì cần sự phòng thủ phân tán thì mới giải quyết triệt để được

Thiếu thông tin chi tiết về các cuộc tấn công thực tế: Có không nhiều thông tin

về tác hại của DDoS gây lên cho các doanh nghiệp, nó thường chỉ có khi tác hại của

nó là rõ ràng và doanh nghiệp không thể tự xử lý được mà phải báo lên chính quyền

Vì thế lại càng ít các thông tin chi tiết, như là bản log các traffic, sơ đồ mạng chi tiết của doanh nghiệp

Khó thử nghiệm trên thực tế: Những hệ thống thử nghiệm DDoS ở phòng thí nghiệm không thể phản ánh đúng thực tế rộng lớn, phong phú trên mạng Internet được Trong khi đó nếu muốn triển khai để thử nghiệm thật qua Internet thì các điều luật không cho phép, vì tấn công DDoS không chỉ ảnh hưởng đến Victim, mà còn liên

Trang 8

quan đến rất nhiều các thành phần khác như router, switch… của ISP quản lý ở phần lõi Mạng Còn nếu thử nghiệm luôn trên 1 hệ thống thật đang bị tấn công thì lại thiếu thông tin cần đo đạc ở Agent, Handler, Attacker…

Chưa có chuẩn đánh giá các hệ thống phòng thủ: Có nhiều vendor đã công bố rằng giải pháp của họ có thể giải quết được DDoS Nhưng hiện tại chưa có 1 lộ trình chuẩn nào để kiểm thử các hệ thống phòng thủ DDoS Từ đó dẫn đến 2 vấn đề: thứ nhất là những người phát triển hệ thống phòng thủ tự test chính họ, do đó những thiết

kế sẽ luôn phù hợp nhất để hệ thống đó hoạt động thuận lợi Thứ hai là những nghiên cứu về DDoS không thể so sánh hiệu suất thực tế của các hệ thống phòng thủ khác nhau, thay vào đó, họ chỉ có thể nhận xét về từng giải pháp trên môi trường thử nghiệm

2.2.2 Những thách thức về mặt xã hội

Một thử thách lớn khi muốn giải quyết triệt để vấn nạn tấn công DDoS là về yếu tố Xã hội Có rất nhiều điều luật về an ninh, bảo mật của nhiều đất nước, nhiều ISP khác nhau mà người triển khai khó có thể thỏa mãn tất cả để thực hiện hệ thống phòng thủ của mình Ví dụ ISP không cho bạn sơ đồ chi tiết cấu hình Mạng, không cho phép bạn tự do cài đặt chương trình trên các router của họ… Đối với các nạn nhân của DDoS, thông thường là các doanh nghiệp, thì việc đầu tiên là họ sẽ cố gắng tự mình giải quyết, nếu thành công thì sẽ giấu kín, không công bố cho bên ngoài là mình đang bị tấn công vì lo ngại ảnh hưởng đến danh tiếng của công ty Chỉ khi nào dịch vụ của họ bị chết hẳn, không thể tự cứu thì mới liên hệ với các ISP và chính quyền

Một vấn đề khác là đôi khi cần phải sửa đổi một số điểm yếu của các kiến trúc mạng để giảm tác hại của DDoS, ví dụ như giao thức TCP, IP, HTTP… Nhưng không dễ làm được điều đó, vì hiện tại đã có rất nhiều hệ thống xây dựng trên nền tảng cũ, và không thể ngày thay đổi trong ngày một ngày hai được

Có một đặc điểm của DDoS là khi Victim bị tấn công, thì nếu muốn triệt để không còn traffic DDoS nữa, thì phải làm sao yêu hàng nghìn Agent ngừng tấn công Chỉ có 1 cách làm được điều này là tại các Agent phải cài đặt 1 phần mềm, hay hệ thống để ngăn chặn gói tin DDoS ngay khi vừa sinh ra Nhưng không dễ thuyết phục được các End User làm điều đó, vì nó không mang lại lợi ích trực tiếp gì cho bản thân

họ, đôi khi còn làm ảnh hưởng đến hiệu năng mạng của End User

Trang 9

Yếu tố cuối cùng là thiếu sự thống nhất về các điều luật, chế tài xử phạt các Attacker, Handler, Agents giữa các bộ luật về Công nghệ thông tin của các nước và giữa các quy định về bảo mật, an toàn của các Internet Service Provider

2.3 Mục tiêu của phòng chống DDOS

2.3.1 Phòng chống DDoS

Có rất nhiều giải pháp và ý tưởng được đưa ra nhằm đối phó với các cuộc tấn công kiểu DDoS Tuy nhiên không có giải pháp và ý tưởng nào là giải quyết trọn vẹn bài toán Phòng chống DDoS Các hình thái khác nhau của DDoS liên tục xuất hiện theo thời gian song song với các giải pháp đối phó, tuy nhiên cuộc đua vẫn tuân theo quy luật tất yếu của bảo mật máy tính: “Hacker luôn đi trước giới bảo mật một bước”

2.3.2 Những vấn đề có liên quan

DDoS là một kiểu tấn công rất đặc biệt, điểm cực kỳ hiểm ác của DDoS làm cho nó khó khắc phục là “DDoS đánh vào nhân tố yếu nhất của hệ thống thông tin – con người” Từ đặc điểm này của DDoS làm phát sinh rất nhiều các vần đề mà mọi người trong cộng đồng Internet phải cùng chung sức mới có thể giải quyết

2.4 Giải pháp dành cho doanh nghiệp vừa và nhỏ

Do tính chất đa dạng của DDoS nên không có giải pháp phòng chống DDoS nào là tối ưu nhất cho mọi trường hợp Giải pháp mà đồ án đề cập đến là dành cho mô hình mạng chỉ có một server kết nối với Internet bằng một liên kết

Hiện nay, trên thế giới có rất nhiều cách phòng chống DDoS nói chung và phòng chống DDoS cho máy chủ web nói riêng như sử dụng firewall, triển khai IPS (Intrusion Prevention System- Hệ thống chống xâm nhập), load balancing (cân bằng tải) Có thể đơn cử ra một vài ví dụ cụ thể như :

2.4.1 Giải pháp sử dụng phần mềm mã nguồn mở (D)DOS-Deflate và APF (Advanced Policy Firewall)

Trang 10

Với phương pháp này, máy chủ sẽ cài APF(Advanced Policy Firewall) để cản lọc gói tin từ tầng mạng và (D)DOS-Deflate để lọc gói tin tầng ứng dụng Mặc dù nó không bảo vệ hệ thống hoàn toàn chống lại các cuộc tấn công DDOS lớn, nhưng nó vẫn rất hữu ích DDOS deflate được coi là một script bash shell nhẹ được thiết kế để giúp đỡ trong quá trình ngăn chặn một cuộc tấn công từ chối dịch vụ Nó thường theo dõi và giám sát tất cả các địa chỉ IP làm cho các kết nối đến máy chủ bằng lệnh netstat Bất cứ khi nào nó phát hiện tấn công, nghĩa là số lượng kết nối từ một nút đơn vượt quá giới hạn nhất định được định nghĩa trong tập tin cấu hình quy định, kịch bản sẽ tự động đi và chặn địa chỉ IP đó bằng các bảng IP hoặc APF dựa trên cấu hình các gói tin nào hợp lệ sẽ được máy chủ phục vụ

2.4.2 Giải pháp sử dụng Snort inline và CSF (ConfigServer Security & Firewall)

Phương pháp này sử dụng một máy chủ làm gateway, trên máy chủ này cài CSF

để cản lọc gói tin từ tầng mạng và Snort inline để lọc gói tin tầng ứng dụng, các gói tin nào hợp lệ sẽ được gửi đến máy chủ phục vụ nằm phía sau Snort inline nhận các gói tin từ iptables (không như Snort lấy các gói tin từ libpcap) sau đó dựa vào các luật đã được định nghĩa để quyết định cấm hay cho phép gói tin đi qua

2.4.3 vDDoS Proxy

vDDoS Proxy là một giải pháp miễn phí kết hợp vDDoS Protection và vDDoS Layer4 Mapping giúp bạn cài đặt lên một máy chủ Reverse Proxy Server chạy giao thức HTTP(S) hoạt động như một tường lửa có tác dụng giảm thiểu sự truy vấn tràn ngập của các công cụ auto bot DOS, DDOS, SYN Floods, HTTP Floods attack giúp

đỡ bảo vệ cho Website của bạn

2.4.4 Giải pháp của Arbor Network

Hiện tại, Arbor Networks là đơn vị cung cấp giải pháp phòng chống tấn công DDOS hàng đầu thế giới Hơn 70% ISP trên toàn cầu đang sử dụng giải pháp này (thống kê từ nhà cung cấp) Sự phổ biến của giải pháp khẳng định tính hiệu quả của việc phòng chống DDOS với những công nghệ tiên tiến dưới đây:

Network Behavior Analysis

Active Threat Level Analysis System (ATLAS)

Cung cấp thông tin về rủi ro theo thời gian thực

Cloud Signaling Coalition

Trang 11

CHƯƠNG 3: CÀI ĐẶT VÀ THỬ NGHIỆM MỘT SỐ GIẢI

PHÁP NGĂN CHẶN TẤN CÔNG DDOS

3.1 Giới thiệu một số phần mềm phòng chống DDOS

3.1.1 Phòng chống DDOS bằng phần mềm (D)DOS-Deflate

3.1.1.1 Giới thiệu

(D)DoS-Deflate là một mã nguồn mở miễn phí Unix / Linux được phát triển bởi MediaLayer tự động giảm nhẹ tấn công (D)Dos Được xem là phần mềm tốt nhất, miễn phí, mã nguồn mở giải pháp để bảo vệ máy chủ chống lại hầu hết các cuộc tấn công DDoS Dos Deflate cơ bản giám sát và theo dõi các địa chỉ IP đang gửi và thiết lập số lượng lớn các kết nối mạng TCP như gửi email tin đại chúng, DoS ping, các yêu cầu HTTP bằng cách sử dụng “netstat” command, đó là triệu chứng của một cuộc tấn công từ chối dịch vụ Khi phát hiện số lượng kết nối từ một nút duy nhất vượt quá giới hạn nhất định cài sẵn, kịch bản sẽ tự động sử dụng APF hoặc iptables cấm và chặn IP Tùy thuộc vào cấu hình, các địa chỉ IP bị cấm sử dụng sẽ được unbanned APF hoặc iptables (chỉ hoạt động trên APF v 0,96 hoặc các bản mới hơn)

3.1.1.2 Cài đặt và cấu hình (D)DOS-Deflate

3.1.2 Tổng quan về Iptables

3.1.2.1 Giới thiệu chung về Iptables

Iptables là một tường lửa ứng dụng lọc gói dữ liệu rất mạnh, miễn phí và có sẵn trên Linux Netfilter/Iptables gồm 2 phần là Netfilter ở trong nhân Linux và Iptables nằm ngoài nhân Iptables chịu trách nhiệm giao tiếp giữa người dùng và Netfilter để đẩy các luật của người dùng vào cho Netfiler xử lí Netfilter tiến hành lọc các gói dữ liệu ở mức IP Netfilter làm việc trực tiếp trong nhân, nhanh và không làm giảm tốc độ của hệ thống

3.1.2.2 Cấu trúc của Iptables

Tất cả mọi gói dữ liệu đều được kiểm tra bởi Iptables bằng cách dùng các bản tuần tự xây dựng sẵn (queues) Có 3 loại bảng này gồm:

Ngày đăng: 19/03/2018, 21:53

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w