NGHIÊN CỨU PHƯƠNG PHÁP TRUY TÌM CHỨNG CỨ SỐ CỦA CUỘC TẤN CÔNG DDOS LÊN HỆ THỐNG THÔNG TIN NIÊN KHÓA : 2011-2015 VIỆN ĐẠI HỌC MỞ HÀ NỘI KHOA CÔNG NGHỆ THÔNG TIN HỒ NGỌC KHÁNH NGHIÊN CỨU PHƯƠNG PHÁP TRUY TÌM CHỨNG CỨ SỐ CỦA CUỘC TẤN CƠNG DDOS LÊN HỆ THỐNG THƠNG TIN Chun ngành: Cơng nghệ thông tin ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Hà Nội- Năm 2016 VIỆN ĐẠI HỌC MỞ HÀ NỘI KHOA CÔNG NGHỆ THÔNG TIN HỒ NGỌC KHÁNH NGHIÊN CỨU PHƯƠNG PHÁP TRUY TÌM CHỨNG CỨ SỐ CỦA CUỘC TẤN CƠNG DDOS LÊN HỆ THỐNG THƠNG TIN Chun ngành: Cơng nghệ thơng tin Giảng viên hướng dẫn: TS Đỗ Xuân Chợ ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Hà Nội- Năm 2016 VIỆN ĐẠI HỌC MỞ HÀ NỘI CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM KHOA CÔNG NGHỆ THÔNG TIN Độc lập – Tự – Hạnh phúc Hà Nội, ngày 23 tháng 11 năm 2016 NHIỆM VỤ CỦA ĐỒ ÁN TỐT NGHIỆP Họ tên: Hồ Ngọc Khánh Giới tính: Nam Ngày, tháng, năm sinh: 26/01/1992 Nơi sinh: Hà Nội Chuyên ngành: Công nghệ thông tin Mã số: 11A100355 TÊN ĐỀ TÀI Nghiên cứu phương pháp truy tìm chứng số công DDoS lên hệ thống thông tin NHIỆM VỤ VÀ NỘI DUNG Nhiệm vụ đồ án tốt nghiệp em bao gồm: - Nghiên cứu an tồn hệ thống thơng tin - Nghiên cứu kỹ thuật công điều tra chứng số công DDoS lên hệ thống thông tin - Tiến hành mô cơng DDoS thực truy tìm chứng số công NGÀY GIAO NHỆM VỤ: 30 - 08 - 2016 NGÀY HOÀN THÀNH NHIỆM VỤ: 23 - 11 - 2016 GIẢNG VIÊN HƯỚNG DẪN: TS Đỗ Xuân Chợ GIẢNG VIÊN HƯỚNG DẪN KHOA CÔNG NGHỆ THÔNG TIN LỜI GIỚI THIỆU Đồ án tốt nghiệp kết khóa học thành lao động em Để thực hoàn thành đồ án này, em nhận hướng dẫn giúp đỡ nhiệt tình thầy cô bạn Khoa Công Nghệ Thông Tin – Viện Đại học Mở Hà Nội Em xin gửi lời cảm ơn chân thành sâu sắc tới thầy, cô Khoa, người tận tình giảng dạy truyền đạt kiến thức cần thiết, kinh nghiệm quý báu cho em suốt bốn năm học Viện Đại học Mở Hà Nội để em tự tin thực đồ án Đặc biệt, em xin cám ơn thầy Đỗ Xuân Chợ, người tận tình hướng dẫn, bảo động viên hỗ trợ em suốt trình thực đề tài Trong thời gian làm đồ án thầy, em học hỏi kiến thức mà học khả làm việc nghiêm túc, độc lập có trách nhiệm với cơng việc Mặc dù, em cố gắng hoàn thiện đồ án phạm vi khả cho phép, chắn không tránh khỏi thiếu sót Em xin kính mong nhận thơng cảm góp ý thầy, bạn Hà Nội, ngày 23 tháng 11 năm 2016 Sinh viên thực Hồ Ngọc Khánh MỤC LỤC NHIỆM VỤ CỦA ĐỒ ÁN TỐT NGHIỆP LỜI GIỚI THIỆU MỤC LỤC TÓM TẮT ĐỒ ÁN DANH MỤC HÌNH VẼ DANH MỤC BẢNG BIỂU DANH MỤC THUẬT NGỮ VIẾT TẮT Chương Tổng quan an tồn hệ thống thơng tin 1.1 Tổng quan hệ thống thông tin 1.1.1 Khái niệm hệ thống thông tin 1.1.2 Đặc trưng hệ thống thông tin 1.1.3 Vai trò hệ thống thơng tin 1.1.4 Các thành phần hệ thống thông tin 1.2 Các nguy an tồn thơng tin 1.2.1 Các vấn đề đảm bảo an toàn hệ thống thông tin 1.2.1 Các nguy lỗ hổng 1.2.3 Các lỗ hổng bảo mật hệ thống thông tin 1.3 Các hình thức cơng lên hệ thống thơng tin 10 Chương 16 Tổng quan công DDoS 16 2.1 Tấn công DoS 16 2.1.1 Khái niệm công DoS 16 2.1.2 Mục đích cơng DoS 16 2.1.3 Mục tiêu công DoS 17 2.1.4 Các dạng công Dos 17 2.2 Giới thiệu Bot Botnet 24 2.2.1 Khái niệm 24 2.2.2 Ý nghĩa Botnet 26 2.2.3 Xây dựng khai thác Botnet 26 2.3 Tấn công DDoS 27 2.3.1 Khái niệm DDoS 27 2.3.2 Các giai đoạn công DDoS 28 2.3.3 Kiến trúc tổng quan mạng lưới công DDoS 29 2.3.4 Phân loại công DDoS 33 2.3.5 Một số công DDoS lịch sử 40 2.3.6 Các công DDos Việt Nam 42 2.3.7 Các công cụ hỗ trợ công DDoS 43 2.4 Các phương pháp phòng chống cơng DDoS 52 2.4.1 Kỹ thuật phát phòng chống DDoS 52 2.4.2 Công cụ phòng chống cơng DDoS 56 Chương 60 Phương pháp truy tìm chứng số cơng DDoS 60 3.1 Tổng quan chung điều tra số 60 3.2 Các kỹ thuật điều tra chứng số DDoS 62 3.2.1 Kỹ thuật điều tra tĩnh 62 3.2.2 Kỹ thuật điều tra động 71 Chương 76 Thực nghiệm đánh giá 76 4.1 Thực mô công DDoS quy mô nhỏ 76 4.1.1 Môi trường công cụ thực 76 4.1.2 Tiến hành mô công 77 4.2 Thực điều tra chứng số công DDoS 80 4.2.1 Điều tra bị công 80 4.2.2 Điều tra sau bị công 82 KẾT LUẬN 86 TÀI LIỆU THAM KHẢO 88 TÓM TẮT ĐỒ ÁN Họ tên: Hồ Ngọc Khánh Chuyên ngành: Công nghệ thơng tin Khóa: 2011 - 2015 Cán hướng dẫn: TS Đỗ Xuân Chợ Tên đề tài: Nghiên cứu phương pháp truy tìm chứng số cơng DDoS lên hệ thống thơng tin Tóm tắt: Với mong muốn tìm hiểu làm rõ phương pháp truy tìm chứng số cơng DDoS lên hệ thống thơng tin – lĩnh vực tương đối mẻ Việt Nam, sinh viên với hướng dẫn TS Đỗ Xuân Chợ chọn đề tài đồ án tốt nghiệp với tên gọi “Nghiên cứu phương pháp truy tìm chứng số công DDoS lên hệ thống thông tin” Kết đề tài không cung cấp giải pháp nhằm điều tra chứng số công DDoS mà góp phần tạo tiền đề sở lĩnh vực truy tìm dấu vết tội phạm cơng mạng cơng DDoS nói riêng DANH MỤC HÌNH VẼ Hình 1.1 Các thành phần HTTT Hình 1.2 Ngữ cảnh bảo mật chung (ISO/IEC 15408, 1999) Hình 1.3 Ví dụ cân yếu tố an ninh Hình 1.4 Phân loại hình thức cơng HTTT 11 Hình 2.1 Màn hình xanh báo lỗi máy tính bị cơng WinNuke 18 Hình 2.2 Tấn cơng Smurf sử dụng gói tin ICMP 19 Hình 2.3 Mơ hình cơng Ping of Death 21 Hình 2.5 Sơ đồ kỹ thuật công SYN 23 Hình 2.6 Mơ hình cơng Land 24 Hình 2.8 Cách thức Botnet tạo gửi spam 27 Hình 2.9 Mơ hình công DDoS 28 Hình 2.10 Sơ đồ phân loại kiến trúc cơng DDoS 30 Hình 2.11 Kiến trúc mơ hình Agent – Handler 30 Hình 2.12 Kiến trúc mơ hình IRC-Base 32 Hình 2.13 Sơ đồ phân loại cơng DDoS 33 Hình 2.14 Minh họa công khuyếch đại giao tiếp 36 Hình 2.15 Quy trình bắt tay ba bước 38 Hình 2.16 Quy tình gửi gói tin SYN theo cách bất thường 38 Hình 2.17 Minh họa công TCP SYS 39 Hình 2.18.Tấn cơng DDoS vào Yahoo.com năm 2000 41 Hình 2.19 Sơ đồ so sánh tương quan công cụ cơng DDoS 43 Hình 2.20 Cơng cụ LOIC 51 Hình 2.21 Dùng LOIC cơng DDoS 51 Hình 2.22 Cơng cụ DoSHTTP 52 Hình 2.23 Cơng cụ NetFlow Analyzer 57 Hình 2.24 Cơng cụ D-Guard Anti-DDoS Firewall 58 Hình 2.25 Công cụ FortGuard Firewall 59 Hình 3.1 Ba yếu tố trình điều tra chứng số 61 Hình 3.2 Bốn giai đoạn truy tìm chứng số 61 Hình 3.3 Cơng cụ DumpIt ghi lại nhớ RAM 64 Hình 3.4 Các tiến trình thực thi nhớ 66 Hình 3.5 Các tập tin mở Registry Handles 67 Hình 3.6 Các kết nối mạng có hệ thống 67 Hình 3.7 Mật mã hóa 68 Hình 3.8 Phân tích mã độc 69 Hình 3.9 Mơ tả công cụ Mandiant Readline 71 Hình 3.10 SANS Investigate Forensic Toolkit 71 Hình 3.11 Mơ tả cơng cụ Microsoft Network Monitor 74 Hình 3.12 Mơ tả cơng cụ Wireshark 75 Hình 4.1 Giao diện Tsunami 79 Hình 4.2 Web Server hoạt động bình thường 79 Hình 4.3 Web Server bị công DDos 80 Hình 4.4 Sử dụng WireShark để bắt gói gửi/nhận Web Server 81 Hình 4.5 Tiến trình đáng ngờ máy zoombie 82 Hình 4.6 Tạo file dump cho tiến trình đáng ngờ 83 Hình 4.7 Đọc file dump tiến trình đáng ngờ 84 ... HỌC MỞ HÀ NỘI KHOA CÔNG NGHỆ THÔNG TIN HỒ NGỌC KHÁNH NGHIÊN CỨU PHƯƠNG PHÁP TRUY TÌM CHỨNG CỨ SỐ CỦA CUỘC TẤN CÔNG DDOS LÊN HỆ THỐNG THƠNG TIN Chun ngành: Cơng nghệ thơng tin Giảng viên hướng... Công nghệ thông tin Mã số: 11A100355 TÊN ĐỀ TÀI Nghiên cứu phương pháp truy tìm chứng số công DDoS lên hệ thống thông tin NHIỆM VỤ VÀ NỘI DUNG Nhiệm vụ đồ án tốt nghiệp em bao gồm: - Nghiên cứu. .. Nghiên cứu an tồn hệ thống thơng tin - Nghiên cứu kỹ thuật công điều tra chứng số công DDoS lên hệ thống thông tin - Tiến hành mô công DDoS thực truy tìm chứng số công NGÀY GIAO NHỆM VỤ: 30 - 08