XÂY DỰNG hệ THỐNG PHÒNG CHỐNG tấn CÔNG MẠNG máy TÍNH

Do đó vấn đề bảo mật mạng máy tính trở nên cần thiết hiện nay, cũng vì những lí do trên, tác giả chọn đề tài “Xây dựng hệ thống phòng chống tấn công mạng máy tính” cho khóa luận tốt nghi

ĐẠI HỌC QUỐC GIA TP HCM

TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN

LỜI CẢM ƠN

Em xin chân thành cảm ơn quý thầy cô trường Đại học Công nghệ thông tin đã tận tình chỉ dạy cho em nhiều kiến thức bổ ích trong suốt thời gian học tập tại trường Em kính chúc quý thầy cô luôn dồi dào sức khoẻ và thành công trong công việc

Em xin bày tỏ lòng biết ơn chân thành và sâu sắc nhất đến thầy TS Đàm Quang Hồng Hải, người thầy đã tận tâm, nhiệt tình hướng dẫn và chỉ bảo cho em trong suốt quá trình thực hiện khóa luận này

Con gửi tất cả lòng biết ơn và sự kính trọng đến ông bà, cha mẹ đã nuôi dạy, luôn bên cạnh động viên và ủng hộ con trên con đường mà con đã yêu thích và lựa chọn, đã cho con niềm tin và nghị lực vượt qua mọi khó khăn

Xin cảm ơn tất cả bạn bè đã động viên, giúp đỡ và hỗ trợ tôi rất nhiều, cũng như đóng góp cho tôi nhiều ý kiến quý báu giúp tôi hoàn thiện hơn cho khóa luận này

Khóa luận đã hoàn thành và đạt được một số kết quả nhất định tuy nhiên vẫn không tránh khỏi thiếu sót Kính mong sự cảm thông và đóng góp ý kiến từ quý

thầy cô và các bạn

Một lần nữa tôi xin chân thành cảm ơn!

Tp Hồ Chí Minh, ngày 10 tháng 11 năm 2015

Nguyễn Thanh Bình

LỜI CAM ĐOAN

Tôi xin cam đoan đây là công trình nghiên cứu của riêng tôi, các số liệu và kết quả nghiên cứu nêu trong khóa luận là trung thực.Vì vậy tôi xin chịu trách nhiệm hoàn toàn về công trình nghiên cứu của mình

Tp Hồ Chí Minh, ngày 10 tháng 11 năm 2015

Nguyễn Thanh Bình

Mục lục

DANH MỤC CÁC TỪ VIẾT TẮT 3

DANH MỤC HÌNH VẼ 6

MỞ ĐẦU 8 Chương 1: TỔNG QUAN 9

1.1 TỔNG QUAN TÌNH HÌNH NGHIÊN CỨU 9

1.2 MỤC TIÊU VÀ PHẠM VI CỦA ĐỀ TÀI 10

1.3 PHƯƠNG PHÁP NGHIÊN CỨU 11

1.4 NỘI DUNG THỰC HIỆN 11

Chương 2: CÁC LỖ HỔNG MẠNG MÁY TÍNH 13

2.1 CÁC LỖ HỔNG MẠNG MÁY TÍNH 13

2.2 MỘT SỐ LỖ HỔNG CƠ BẢN 14

2.2.1 Lỗi mã nhúng (Injection) 14

2.2.2 Thực thi mã script độc (Cross Site Scripting - XSS) 15

2.2.3 Hư hỏng cơ chế chứng thực và quản lý phiên làm việc 15

2.2.4 Giả mạo yêu cầu (Cross Site Request Forgery - CSRF) 15

2.2.5 Sai sót cấu hình an ninh 16

2.2.6 Lưu trữ mật mã không an toàn 16

2.2.7 Sai sót hạn chế truy cập 16

2.2.8 Thiếu bảo vệ lớp vận chuyển 17

2.3 PHÁT HIỆN CÁC LỖ HỔNG MẠNG MÁY TÍNH 17

2.3.1 Nikto 18

2.3.2 Paros proxy 18

2.3.3 WebScarab 18

2.3.4 Acunetix Web Vulnerability Scanner 19

2.3.5 Metasploit Framework 19

2.3.6 Nessus 19

2.3.7 Arachni 20

2.3.8 W3AF 20

Chương 3: CÁC DẠNG TẤN CÔNG MẠNG MÁY TÍNH 21

3.1 GIỚI THIỆU VỀ TẤN CÔNG MẠNG MÁY TÍNH 21

3.2 TẤN CÔNG TỪ CHỐI DỊCH VỤ DOS 23

3.2.1 Winnuke 24

3.2.2 Teardrop 24

3.2.3 SYN Attack 24

3.2.4 Land Attack 25

3.2.5 Smurf Attack 25

3.2.6 UDP Flooding 25

3.2.7 Tấn công DNS 26

3.2.8 DRDoS 26

3.3 TẤN CÔNG TỪ CHỐI DỊCH VỤ DDOS 26

3.3.1 Giới Thiệu DDoS 26

3.3.2 Các giai đoạn của DDoS 28

3.3.3 Kiến trúc tổng quan của DDoS 28

3.4 TẤN CÔNG SOCIAL ENGINEERING 30

3.5 TẤN CÔNG NGHE TRỘM SNIFFER 30

3.6 TẤN CÔNG VIRUSES 31

3.7 TẤN CÔNG TROJAN 31

3.8 TẤN CÔNG BOTNET 32

Chương 4: HỆ THỐNG IDS/IPS 34

4.1 GIỚI THIỆU VỀ IDS 34

4.2 GIỚI THIỆU VỀ IPS 35

4.3 GIỚI THIỆU VỀ SNORT 36

4.3.1 Snort là gì 36

4.3.2 Kiến trúc của Snort 37

4.3.3 Bộ luật của Snort 39

4.4 HỆ THỐNG MONITOR ELK 43

4.5 GIỚI THIỆU CÁC THÀNH PHẦN BNORT 45

4.5.1 Giới thiệu Framework 45

4.5.2 Giới thiệu CakePHP 45

Chương 5: HỆ THỐNG BNORT PHÁT HIỆN VÀ PHÒNG CHỐNG TẤN CÔNG MẠNG 47

5.1 THIẾT KẾ HỆ THỐNG 47

5.1.1 Mục tiêu hê ̣ thống BNort 47

5.1.2 Yêu cầu và chức năng của hệ thống 47

5.1.3 Thiết kế hê ̣ thống 49

5.2 KẾT QUẢ THỬ NGHIỆM VỚI SNORT IDS 63

5.2.1 Tấn công ICMP 63

5.2.2 Tấn công UDP 65

5.2.3 Tấn công TCP 67

5.3 KẾT QUẢ THỬ NGHIỆM VỚI HỆ THỐNG BNORT 70

Chương 6: KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 83

6.1 KẾT LUẬN 83

6.2 HẠN CHẾ 84

6.3 HƯỚNG PHÁT TRIỂN 84

TÀI LIỆU THAM KHẢO 85

DANH MỤC CÁC TỪ VIẾT TẮT

Từ viết tắt Cụm từ đầy đủ tiếng Anh Dịch sang tiếng Việt ACID Atomicity Consistency Isolation

Durability API Application Programming

Interface

Giao diê ̣n lâ ̣p trình ƣ́ng du ̣ng

ARP Address Resolution Protocol Giao thƣ́c phân giải đi ̣a chỉ ASCII American Standard Code for

Bộ phận phân tích gói tin

CPU Central Processing Unit Bô ̣ xƣ̉ lý trung tâm

CSS Cascading Style Sheets

DDoS Distributed Deny of Service Tấn công từ chối dịch vụ

phân tán DHCP Dynamic Host Configuration

Protocol

Giao thức DHCP

DMA Direct Memory Access Truy xuất bô ̣ nhớ trƣ̣c tiếp

DOS Disk Operating System/Microsoft

Disk Operating System

Hê ̣ điều hành DOS/MS-DOS

DRDoS Distributed Reflection DoS

ELK Elasticsearch Logstash Kibana Hệ thống quan sát log

FTP File Transfer Protocol Giao thức truyền file FTP

Flush Firewall xóa các luật của

iptables/ipset IDP Intrusion Detection and

Prevention IDS Intrusion Detection System Hệ thống phát hiện xâm nhập IPS Intrusion Prevention System Hệ thống chống xâm nhập HIDS Host Intrusion Detection System

HTTP HyperText Transfer Protocol Giao thức HTTP

ICMP Internet Control Message Protocol

IRC Internet Relay Chat Chat chuyển tiếp Internet JDBC Java DataBase Connectivity

JSON JavaScript Object Notatio

MTU Maximum Transfer Units

NetBiOS Network Basic Input/Output

System

Chia sẽ tài nguyên các máy trong ma ̣ng LAN

NIC Network Interface Card Card giao tiếp ma ̣ng

NIDS Network Intrusion Detection

System ODBC Open Database Connectivity Kết nối cơ sở dƣ̃ liê ̣u

OSI Open Systems Interconnection Mô hình 7 tầng OSI

OWASP Open Web Application Security

ROM Read Only Memory Bô ̣ nhớ chỉ đo ̣c

RFC Request for Comments Đề nghị duyệt thảo và bình

luận RPC Remote procedure call

SMB Server Message Block Giao thức chia sẽ file SMB SNMP Simple Network Management

Protocol

SQL Structured Query Language Ngôn ngữ truy vấn cấu trúc

SSL Secure Sockets Layer

SSN Social Security Number

TCP Transmission Control Protocol

TCP/IP Transmission Control Protocol/

Internet Protocol TSL Transport Layer Security Bảo mật tầng truyền tải TSR Terminate and Stay Resident Chương trình thường trú

UDP User Datagram Protocol

XML Extensible Markup Language

XSS Cross Site Scripting

DANH MỤC HÌNH VẼ

Hình 3.1 Mô hình tấn công mạng từ một máy 22

Hình 3.2 Mô hình tấn công mạng từ nhiều máy 22

Hình 3.3 Các bước tấn công 23

Hình 3.4 Biểu đồ tấn công DDoS 27

Hình 4.1 Mô hình NIDS cơ bản 34

Hình 4.2 Mô hình HIDS cơ bản 35

Hình 4.3 Mô hình kiến trúc Snort 38

Hình 4.4 Cấu trúc của Snort 40

Hình 4.5 Header luật của Snort 40

Hình 4.6 Kiến trúc hệ thống trong ELK 44

Hình 5.1 Mô hình xử lý gói tin của Snort IDS 49

Hình 5.2 Mô hình của Hệ thống quan sát ELK 52

Hình 5.3 Cơ chế xử lý gói tin của Snort IPS – Ngăn chặn địa chỉ IP của kẻ tấn công 58

Hình 5.4 Cơ chế xử lý gói tin của Snort IPS – Ngăn chặn Quốc gia tấn công 59

Hình 5.5 Tấn công bằng giao thức ICMP với địa chỉ IP bất kỳ 64

Hình 5.6 Thống kê các giáo thức tấn công 65

Hình 5.7 Chỉ ra các quốc gia tấn công trên bản đồ 65

Hình 5.8 Tấn công UDP với địa chỉ IP bất kỳ 66

Hình 5.9 Tấn công bằng giao thức UDP với địa chỉ IP được chỉ định 67

Hình 5.10 Thống kê các giao thức tấn công 67

Hình 5.11 Tấn công bằng giao thức TCP với địa chỉ IP bất kỳ 69

Hình 5.12 Tấn công bằng giao thức TCP với địa chỉ IP được chỉ định 69

Hình 5.13 Thống kê các giao thức tấn công 70

Hình 5.14 Hệ thống BNort phát hiê ̣n và phòng chống tấn công ma ̣ng 71

Hình 5.15 Hệ thống BNort với triển khai IPS 75

Hình 5.16 Hệ thống BNort – Bắt đầu triển khai ngăn chặn IP 75

Hình 5.17 Hệ thống BNort – Hoàn thành Bắt đầu ngăn chặn địa chỉ IP 76

Hình 5.18 Sơ đồ logic khi thực thi IPS ngăn chặn IP hay quốc gia tấn công 79

Hình 5.19 Trang Bảo trì hệ thống của Hệ thống BNort 80

Hình 5.20 Giao diện trang Terminal Linux củ a BNort 80

MỞ ĐẦU

Ngày nay, ngày càng phát triển của internet, và sự phổ biến của các thiết bị

di động, smartphone, máy tính, v.v Từ đó internet trở thành môi trường quan trọng của các cá nhân, doanh nghiệp, công ty, của các tổ chức thương mại, chính phủ, v.v Bên cạnh những thành tựu to lớn của mạng Internet mang lại cho nhân loại mà chúng ta đang đạt được, nỗi lo về an toàn thông tin ngày càng được quan tâm hơn

Gần đây các cuộc tấn công mạng máy tính có tính chất phức tạp hơn, quy mô lớn hơn, gây thiệt hại nhiều hơn không những cho các doanh nghiệp, thiệt hại về kinh tế, an ninh quốc phòng, v.v Do đó vấn đề bảo mật mạng máy tính trở nên cần

thiết hiện nay, cũng vì những lí do trên, tác giả chọn đề tài “Xây dựng hệ thống phòng chống tấn công mạng máy tính” cho khóa luận tốt nghiệp của mình

Đề tài sẽ xây dựng một hệ thống phòng chống tấn công mạng máy tính

IDS(Intrusion Detection System)/ IPS(Intrusion Prevention System) trên nền Snort và monitor log cảnh báo trên Hệ thống quan sát ELK – Elasticsearch Logstash Kibana Giới hạn của đề tài là cảnh báo các dạng log dựa trên lớp 4 của mô hình OSI (Open Systems Interconnection)

Chương 1 Tổng quan

Chương 1: TỔNG QUAN

1.1 TỔNG QUAN TÌNH HÌNH NGHIÊN CỨU

Với sự phát triển của internet ngày nay, cùng với sự phát triển như vũ bảo của các mạng xã hội, điện toán đám mấy, thương mại điện tử, v.v Từ đó internet trở thành môi trường quan trọng của các cá nhân, doanh nghiệp, công ty, của các tổ chức thương mại, chính phủ, v.v

Bên cạnh những thành tựu to lớn của mạng internet mang lại cho nhân loại

mà chúng ta đang đạt được, nỗi lo về an toàn thông tin ngày càng được quan tâm hơn Gần đây các cuộc tấn công mạng máy tính có tính chất phức tạp hơn, quy mô lớn hơn, gây thiệt hại nhiều hơn không những cho các doanh nghiệp, thiệt hại về kinh tế, an ninh quốc phòng, v.v

Với khả năng kết nối nhiều máy tính và mạng, bảo mật trở thành vấn đề lớn

và khó khăn hơn bao giờ hết trong môi trường doanh nghiệp, kinh tế, an quốc phòng, v.v

Hacker và những kẻ xâm nhập đã dễ dàng đạt được nhiều mục đích trong việc phá hủy hệ thống mạng và dịch vụ web Rất nhiều hãng có uy tín về bảo mật đã

có nhiều giải pháp để hạn chế sự tấn công trên mạng và những phương thức đã được triển khai trong nỗ lực bảo vệ hạ tầng mạng và truyền thông qua mạng internet bao gồm firewall, các phương thức mã hóa, và các mạng riêng ảo, v.v

Hệ thống phát hiện xâm nhập IDS - Intrusion Detection System, được sử dụng để tạo sự bảo mật đối với các gói tin vào và ra trong mạng IDS thường được

sử dụng để phát hiện, đưa ra những cảnh báo khi có truy cập bất thường xảy ra

Hệ thống ngăn ngừa xâm nhập IPS - Intrusion Prevention System, là một hệ

thống chống xâm nhập (ngăn chặn xâm nhập) có thể là một phần mềm hoặc một thiết bị chuyên dụng có khả năng phát hiện xâm nhập và có thể ngăn chặn các nguy

cơ gây mất an ninh IDS và IPS có rất nhiều điểm chung, do đó hệ thống IDS và IPS

có thể được gọi chung là IDP- Intrusion Detection and Prevention IDS chỉ có chức

đi sâu nghiên cứu về hệ thống phòng chống xâm nhập Còn có tác giả Nguyễn Phương Chính với đề tài “ Giải pháp phát hiện và ngăn chặn truy cập trái phép vào mạng” năm 2009 Tác giả đã dùng các thuật toán phát hiện bất thường trong khai phá dữ liệu, hệ thống phát hiện dựa trên dấu hiệu mẫu và dò dựa trên phát hiện bất thường Điểm hạn chế của hệ thống này là thuật toán chưa tối ưu, chưa qua thử nghiệm, vẫn còn cảnh báo sai, v.v

Có nhiều tác giả nước ngoài nghiên cứu về phòng chống xâm nhập mạng máy tính như Mit Hteshbhai Dave ở Ấn Độ năm 2013, “Hệ thống phòng chống xâm nhập mạng máy tính sử dụng thuật toán di truyền – Intrusion Detection System Using Genetic Algorithm” Bài báo đã ứng dụng thuật toán di truyền vào Snort để phân loại các rules của Snort dựa trên chức năng của rules Hạn chế của bài báo này

là mất nhiều thời gian cho việc kiểm tra những rules

Với mục tiêu tìm hiểu và xây dựng hệ quản lý luật nhằm phát hiện và ngăn

chặn tấn công mạng máy tính, tác giả chọn đề tài “Xây dựng hệ thống phòng chống tấn công mạng máy tính” cho cho khóa luận tốt nghiệp của mình

1.2 MỤC TIÊU VÀ PHẠM VI CỦA ĐỀ TÀI

Mục tiêu của khóa luận là thiết kế hệ thống phòng chống, ngăn chặn tấn công mạng – Hệ thống IDS/IPS Hệ thống phát hiện và phòng chống tấn công mạng, sẽ phát hiện và phòng chống tấn công một cách tự động, phát hiện các dạng tấn công

và đưa ra những cảnh báo cho người quản trị, phát hiện các dạng tấn công và ngăn chặn tấn công một cách tự động

Từ đó, khóa luận sẽ xây dựng, triển khai Hệ thống BNort phát hiện và phòng chống tấn công mạng Hệ thống BNort được viết trên ngôn ngữ PHP, framework CakePHP, ngôn ngữ Javascript, ngôn ngữ Shell script, ngôn ngữ JSON, ngôn ngữ

Chương 1 Tổng quan

Grok, v.v Hệ thống BNort gồm các thành phần như, Hệ thống quan sát ELK – Elasticsearch Logstash Kibana, triển khai ngăn chặn tấn công – IPS, bảo trì hệ thống, giao diện terminal linux tương tác với server

Hệ thống BNort sẽ tự động phát hiện các dạng tấn công dựa trên các luật của Snort IDS và đưa ra log cảnh báo tấn công tới người quản trị Trên giao diện quan sát ELK, người quản trị có thể quan sát, theo dõi, log cảnh báo, thống kê được các dạng tấn công, theo dõi thành phố, quốc gia của kẻ tấn công, xem đươ ̣c chi tiết bản đồ các dấu hiê ̣u tấn công

Người quản trị có thể triển khai ngăn chă ̣n địa chỉ IP của kẻ tấn công, hoặc quốc gia của kẻ tấn công, hay bảo trì các dịch vụ hệ thống như khởi động lại Snort, Logstash, Elasticsearch, Firewall Người quản trị có thể tương tác với server , qua giao diện Terminal Linux , thực hiê ̣n mô ̣t số lê ̣nh cơ bản trên trên giao diê ̣n dòng

lê ̣nh

1.3 PHƯƠNG PHÁP NGHIÊN CỨU

Đề tài nghiên cứu các phương pháp phát hiện tấn công từ chối dịch vụ phân tán của các tác giả trước đó Ứng dụng những phương pháp phù hợp nhất cho hệ thống của mình, đề xuất các cải tiến trong quá trình nghiên cứu Một số phương pháp được khóa luận sử dụng bao gồm:

Phương pháp theo dõi địa chỉ nguồn: Lưu trữ những địa chỉ đã truy cập để phân tích và phân loại nhằm quyết định xem địa chỉ truy cập đó có phải là địa chỉ hợp lệ hay không

Phương pháp dựa vào thời gian và bất thường để xác định địa chỉ nguồn tấn công và cô lập nó

Phương pháp phân tích ngữ đoạn áp dụng vào việc phân tích log cảnh báo

1.4 NỘI DUNG THỰC HIỆN

Tìm hiểu tổng quan về đề tài nghiên cứu, tìm hiểu các đề tài, bài báo có liên quan Tìm hiểu các lỗ hổng mạng máy tính, các dạng tấn công mạng máy tính Thu thập được các kiến thức về lỗ hổng, bảo mật mạng máy tính

Chương 1 Tổng quan

Đƣa ra mô hình phòng chống tấn công mạng máy tính IDS/IPS Snort IDS sẽ đƣa ra log cảnh báo khi có attacker/hacker tấn công Dùng log cảnh báo của Snort kết hợp với Iptables/Ipset cho thiết kế mô hình IDS/IPS

Xây dựng mô hình monitor log bằng Hệ thống quan sát ELK Log cảnh báo của Snort sẽ dùng Grok để phân tích cấu trúc log, sau đó sẽ monitor trên giao diện của kibana của Hệ thống quan sát ELK Trên Hệ thống quan sát ELK này, chúng ta

có thể phân tích, tổng hợp các kết quả so với lý thuyết

Hê ̣ thống BNort sẽ tích hợp Hệ thống quan sát ELK, triển khai IPS, bảo trì các dịch vụ hệ thống nhƣ khởi động, dừng dịch vụ Snort, ELK, Firewall

Chương 2 Các lỗ hổng mạng máy tính

Chương 2: CÁC LỖ HỔNG MẠNG MÁY TÍNH

2.1 CÁC LỖ HỔNG MẠNG MÁY TÍNH

Trong bảo mật máy tính, thuật ngữ lỗ hổng được dùng cho một hệ thống yếu

mà cho phép một kẻ tấn công xâm phạm vào sự toàn vẹn của hệ thống Lỗ hổng có thể là kết quả của mật khẩu yếu, các lỗi phần mềm, một virus máy tính hoặc phần mềm độc hại khác, một đoạn mã lỗi, một lệnh SQL lỗi hoặc cấu hình sai, v.v

Các lỗ hổng bảo mật trên một hệ thống là các điểm yếu có thể tạo ra sự ngưng trệ của dịch vụ, thêm quyền đối với người sử dụng hoặc cho phép các truy nhập không hợp pháp vào hệ thống Các lỗ hổng cũng có thể nằm ngay các dịch vụ cung cấp như sendmail, web, ftp, v.v Ngoài ra các lỗ hổng còn tồn tại ngay chính tại hệ điều hành như trong Windows, Unix, Linux, v.v

The OWASP – The Open Web Application Security Project (dự án mở về bảo mật ứng dụng Web), dự án là một sự cố gắng chung của cộng đồng, giúp các tổ chức có thể phát triển, mua hoặc bảo trì các ứng dụng an toàn OWASP là công cụ

và các tiêu chuẩn về an toàn thông tin, sách về kiểm tra bảo mật ứng dụng, lập trình

an toàn và các bài viết về kiểm định mã nguồn, v.v OWASP đã công bố danh sách

10 lỗi an ninh ứng dụng web nguy hại nhất gọi là OWASP top 10 như:

o A1 – Lỗi mã nhúng (Injection)

o A2 – Thực thi mã script độc (XSS)

o A3 – Hư hỏng cơ chế chứng thực và quản lý phiên làm việc

o A4 – Đối tượng tham chiếu thiếu an toàn

o A5 – Giả mạo yêu cầu (CSRF)

o A6 – Sai sót cấu hình an ninh

o A7 – Lưu trữ mật mã không an toàn

o A8 – Sai sót hạn chế truy cập

Chương 2 Các lỗ hổng mạng máy tính

o A9 – Thiếu bảo vệ lớp vận chuyển

o A10 – Chuyển hướng và chuyển tiếp thiếu thẩm tra

Một số nguyên nhân lỗ hổng mạng

Quản lý mật khẩu sai sót: Người dùng máy tính sử dụng các mật khẩu yếu có thể bị kẻ tấn công khai thác bằng vét cạn – brute force attack, hoặc lưu trữ các mật khẩu trên máy tính dễ dàng truy xuất như, lưu trên file, màn hình desktop, v.v Thiết kế hệ điều hành cơ bản sai sót: Hệ điều hành không cập nhật (updated) thường xuyên để vá các lỗ hổng bảo mật, cập nhật các hotfix, hoặc dùng tài khoản quản trị administrator/root để cấu hình hệ thống, v.v Kẻ tấn công có thể khai thác các lỗ hổng bảo mật để tấn công server, hoặc brute force để dò mật khẩu của tài khoản quản trị

Lỗi phần mềm: Cấu trúc phần mềm được viết bởi con người, những dòng code

đó cũng viết bởi con người, vì vậy xuất hiện lỗi là không thể tránh khỏi Kẻ tấn công có thể khai thác lỗ hổng này để chèn thêm đoạn mã và phần mềm, hoặc kẻ tấn công có thể upload Trojan/Viruses tới phần mềm này và thực hiện tấn công

Không kiểm tra dữ liệu vào của người dùng Một chương trình giả định rằng tất cả dữ liệu nhập vào của người dùng là an toàn Các chương trình sẽ không thực hiện việc kiểm tra nhập vào của người dùng có thể cho phép sự thực thi trực tiếp mà không được định trước của các câu lệnh hoặc các câu lệnh SQL như tràn bộ đệm, SQL Injection

2.2 MỘT SỐ LỖ HỔNG CƠ BẢN

2.2.1 Lỗi mã nhúng (Injection)

Trong các ứng dụng như SQL, khi những dữ liệu không xác thực được gửi tới

hệ thống biên dịch như một phần của mã lệnh Lỗi Injection có thể sảy ra khi một ứng dụng gửi những đoạn mã độc đến trình biên dịch Lỗi này rất phổ biến, đặc biệt

ở những đoạn mã nguồn được sử dụng nhiều, như trong truy vấn SQL

Để ngăn chặn cần phải phân biệt được mã độc và câu lệnh hay truy vấn

Chương 2 Các lỗ hổng mạng máy tính

Thường được dùng là một thư viên API an toàn, kiểm tra dữ liệu đầu vào hợp lệ bằng các từ điển tiêu chuẩn phù hợp Đây vẫn chưa phải là cách phòng thủ an toàn nhất vì nhiều ứng dụng sử dụng những ký tự đặc biệt trong các thông tin đầu vào

2.2.2 Thực thi mã script độc (Cross Site Scripting - XSS)

Khi một ứng dụng tiếp nhận những dữ liệu không đáng tin cậy và gửi chúng đến cho trình duyệt web mà không qua xử lý và kiểm duyệt XSS cho phép kẻ tấn công thực hiện mã độc trên trình duyệt của người bị tấn công và lợi dụng ăn cắp phiên truy cập để mạo danh hoặc hủy hoại trang web hoặc lừa người sử dụng đến những trang web chứa mã độc khác, v.v Kẻ tấn công có thể gửi những mã script tấn công dạng văn bản, mà có thể khai thác trình biên dịch của trình duyệt web

Để ngăn chặn XSS đòi hỏi phân biệt được giữa mã độc và nội dung web Khuyến khích loại bỏ những ký tự đặc biệt một cách cẩn thận dựa trên nội dung của HTML (phần thân, các thuộc tính, Javascript, CSS, URL) mà dữ liệu sẽ xuất hiện Xác thực dữ liệu đầu vào hợp lệ

2.2.3 Hư hỏng cơ chế chứng thực và quản lý phiên làm việc

Những đoạn chương trình kiểm tra danh tính và quản lý phiên làm việc của người sử dụng thường hay được làm qua loa không đúng cách Điều này giúp kẻ thâm nhập có thể ăn cắp mật mã, khóa, mã của các phiên làm việc hoặc tận dụng những lỗi khác để giả mạo danh tính các người dùng khác Kẻ tấn công lợi dụng những sơ hở trong các đoạn mã kiểm tra định danh (ví dụ: xem tài khoản, password,

ID phân làm việc) để giả mạo người dùng.danh

2.2.4 Giả mạo yêu cầu (Cross Site Request Forgery - CSRF)

Kiểu tấn công này ép buộc trình duyệt web của một người dùng đã đăng nhập gửi những yêu cầu giao thức web, tới một trang web bị lỗi, bao gồm cookie của phiên truy cập và những thông tin tự động khác như thông tin đăng nhập Cách thức này cho phép kẻ tấn công buộc trình duyệt web tạo ra những yêu cầu cho ứng

2.2.5 Sai sót cấu hình an ninh

Một cơ chế an ninh tốt cần phải định nghĩa những hiệu chỉnh về an ninh và triển khai nó cho các ứng dụng, máy chủ web, máy chủ dữ liệu và các ứng dụng nền tảng Những công cụ quét tự động cũng có thể hữu ích trong việc phát hiện những bản vá lỗi bị thiếu, sai sót trong cấu hình, v.v

Một tiến trình bảo mật có thể dễ dàng lặp lại giúp cho việc triển khai trên môi trường khác nhanh chóng và dễ dàng, nên được thiết lập giống nhau, nên được tự động để giảm thiểu công sức thiết lập một môi trường mới an toàn Hãy thường xuyên chác các chương trình quét lỗ hổng mạng, để kiểm tra hệ thống mạng của chúng ta đã sẵn sàng

2.2.6 Lưu trữ mật mã không an toàn

Nhiều ứng dụng web không bảo vệ dữ liệu nhạy cảm như thẻ tín dụng, SSN – Social Security Number, v.v Kẻ tấn công có thể ăn cắp hay thay đổi những dữ liệu nhạy cảm này và tiến hành hành vi trộm cắp, gian lận thẻ tín dụng, v.v

Sai lầm phổ biến là không mã hóa các dữ liệu cần được mã hóa, mật khẩu dễ đoán, v.v Vì vậy để an toàn cho tất cả các dữ liệu quan trọng cần được mã hóa, xem xét các nguy cơ đe dọa tới sự bảo mật của các dữ, dùng các thuật toán mạnh, v.v

2.2.7 Sai sót hạn chế truy cập

Nhiều ứng dụng web kiểm tra quyền thực thi địa chỉ truy cập trước khi dựng các liên kết và nút nhấn được bảo vệ Tuy nhiên ứng dụng cũng phải thực hiện những kiểm tra tương tự mỗi khi những trang thông tin được truy cập trực tiếp nếu không kẻ tấn công có thể giả mạo URL để truy cập vào những trang thông tin này

Chương 2 Các lỗ hổng mạng máy tính

Các lập trình viên cũng đôi khi quên tích hợp những mã kiểm tra Phát hiện những lỗi như vậy không khó Phần khó nhất là xác định những trang (URL) tồn tại để tấn công

Ngăn chặn truy cập trái phép đòi hỏi việc chọn lựa một cách cẩn thận để yêu cầu xác thực và xác minh một cách phù hợp cho mỗi trang Quy định nên có khả năng cấu hình cao, để giảm thiểu bất kỳ thiết lập cứng nào trong quy định Nếu trang là một phần của một quy trình công việc, đảm bảo các điều kiện đang ở trạng thái thích hợp để cho phép truy cập

2.2.8 Thiếu bảo vệ lớp vận chuyển

Các ứng dụng thường xuyên mắc sai lầm trong việc kiểm tra định danh, mã hóa và bảo vệ sự tuyệt mật và tính toàn vẹn của những thông tin nhạy cảm Nó thường được bảo vệ bởi những thuật toán yếu, sử dụng những chứng nhận đã hết hiệu lực hoặc không sử dụng đúng cách Phần lớn các ứng dụng chỉ sử dụng SSL/TLS trong qúa trình xác thực và do đó không bảo vệ dữ liệu và định danh phiên làm việc

Yêu cầu SSL cho tất cả trang web chứa dữ liệu quan trọng Đảm bảo chứng chỉ SSL hợp lệ, chưa quá hạn, không bị thu hồi và phù hợp với tên miền của trang web

2.3 PHÁT HIỆN CÁC LỖ HỔNG MẠNG MÁY TÍNH

Scanning network là quá trình thu thập thông tin về lỗ hổng bảo mật, trong đó

có thể bao gồm giám sát lưu lượng dữ liệu cũng như giám sát hoạt động của các thiết bị mạng Scanning network thúc đẩy cả sự an toàn và hiệu suất của một mạng, cũng có thể được sử dụng từ bên ngoài một mạng, để xác định các lỗ hổng mạng Phát hiện các lỗ hổng an ninh mạng máy tính là một việc quan trọng trong quá trình xây dựng mạng bảo mật, an toàn, vá lỗi các lỗ hổng, v.v Dò tìm lỗ hổng ứng dụng web là công cụ tự động quét các ứng dụng web để tìm các lỗ hổng bảo mật được biết đến như cross-site scripting, SQL injection, v.v Một số lượng lớn công cụ dò

tự động hóa quá trình vá lỗ hổng Hiện nay có rất nhiều tools scanning vulnerability network như: Nikto, Paros proxy, Nessus, Arachni, Acunetix WVS, Retina, v.v

2.3.1 Nikto

Nikto - Là một phần mềm mã nguồn mở với tính năng Web Server Scanner, tính năng kiểm tra các máy chủ Web Bao gồm hơn 3200 phương thức nhận diện các file, lỗi logic nguy hiểm, hỗ trợ hơn 625 phiên bản Web Server, bao gồm những lỗi trên 230 Web Server khác nhau Tính năng Scan kết hợp với các Plugins luôn được cập nhật tự động, đảm bảo đưa ra kết quả đầy đủ và chính xác nhất Là một công cụ rất hữu hiệu nhưng không được cập nhật thường xuyên Các lỗi mới nhất thường được cập nhật chậm và không thể tìm thấy

2.3.2 Paros proxy

Một ứng dụng kiểm tra các lỗ hổng bảo mật trên cá ứng dụng web trên Proxy Một trang web trên nền Java thường kết hợp dạng proxy điều đó dẫn tới có nhiều lỗ hổng bảo mật Phần mềm này hỗ trợ cho phép thay đổi, xem các gói tin HTTP/HTTPS và thay đổi chúng ở cookies Bao gồm một tính năng Web Recorder, web spider, và công cụ Scanner cho phép kiểm tra các ứng dụng có khả năng bị tấn công như lỗi SQL Injection và Cross-site Scripting

2.3.3 WebScarab

Một khung hoạt động cho phép phân tích các ứng dụng giao tiếp sử dụng giao thức HTTP và HTTPS Một dạng rất đơn giản, WebScarab lưu các Request và

Chương 2 Các lỗ hổng mạng máy tính

Response cho phép tái sử dụng trong các phiên làm việc khác WebScarab được thiết kế cho mọi người muốn xem hoạt động của các ứng dụng sử dụng giao thức HTTP(S), tuy nhiên công cụ này cũng cho phép phát triển và sửa những lỗi khó, hoặc cho phép nhận biết những lỗ hổng bảo mật trên các ứng dụng được thiết kế và triển khai

2.3.4 Acunetix Web Vulnerability Scanner

Một phiên bản thương mại của chương trình tìm kiếm các lỗ hổng bảo mật trên các ứng dụng Web Acunetix WVS tự động kiểm tra các ứng dụng Web để tìm kiếm các lỗ hổng bảo mật như SQL Injection, hay Cross-Site Scripting, tìm kiếm những chính sách đối với mật khẩu đăng nhập cũng như các phương thức xác thực vào Web Site Với giao diện đồ họa thân thiện, những Report đầy đủ cho phép chúng ta, kiểm tra những vấn đề trên máy chủ và ứng dụng Web

2.3.5 Metasploit Framework

Không thể bàn cãi đây là một công cụ khai thác lỗ hổng rất hiệu quả Được phát triển và đưa ra phiên bản đầu tiên năm 2004, đã vượt qua hầu hết các phần mềm khác và đứng hàng đầu tiên và được nhiều người biết đến nhất khi sử dụng để khai thác các lỗ hổng bảo mật trên máy tính Nhiều tính năng mở rộng như hỗ trợ thêm các Payloads, Encoders, hay no-op generator, có thể sử dụng Metasploit Framework cho các nghiên cứu khai thác các lỗ hổng bảo mật trên các Server Chương trình thân thiện với những người mới sử dụng và bắt đầu nghiên cứu Security, những tính năng cao cấp cho phép mọi người tự động viết những module Exploit và tích hợp thêm vào Metasploit làm hài lòng các nhà bảo mật chuyên nghiệp

2.3.6 Nessus

Một công cụ Scan lỗ hổng bảo mật trên Unix hiệu quả nhất Nessus là một công cụ miễn phí scan lỗ hổng bảo mật hiệu quả nhất từng có, và tốt nhất là chạy trên hệ thống Unix, Linux Tính năng tự động cập nhật và hơn 11.000 plugin miễn

Chương 2 Các lỗ hổng mạng máy tính

phí Tính năng bao gồm cho phép thực hiện từ xa hay tại local, cho phép thực hiện quá trình kiểm tra bảo mật, đặc biệt hỗ trợ mô hình Client/Server với giao diện đồ họa, tích hợp ngôn ngữ scripting cho phép chúng ta tự ghi những plugin Nessus đƣợc biết đến nhƣ một phần mềm Closed Source, nhƣng vẫn có bản miễn phí và không hỗ trợ những Plugin mới nhất

2.3.8 W3AF

Là một công cụ dùng để rà soát lỗi bảo mật và kiểm định mức độ an toàn của

hệ thống W3AF cung cấp một máy quét lỗ hổng và công cụ khai thác các ứng dụng web, nó cung cấp thông tin về lỗ hổng bảo mật và hổ trợ trong nổ lực thử nghiệm thâm nhập, và khi có kết quả kiếm định thì chúng ta có thể vá các các lỗ hổng này W3AF xác định các lỗ hổng ứng dụng web sử dụng hơn 130 plug-in Sau khi xác định các lỗ hổng nhƣ SQL Injection, hệ điều hành chỉ huy, XSS, và tải lên tập tin không an toàn, có thể khai thác để đạt đƣợc các loại khác nhau của quyền truy cập vào hệ thống từ xa

Chương 3 Các dạng tấn công mạng máy tinh

Chương 3: CÁC DẠNG TẤN CÔNG MẠNG MÁY TÍNH

3.1 GIỚI THIỆU VỀ TẤN CÔNG MẠNG MÁY TÍNH

Tấn công (attack, intrusion) mạng là các tác động hoặc là trình tự liên kết giữa các tác động với nhau để phá hủy, dẫn đến việc thực hóa các nguy cơ bằng cách lợi dụng đặc tính dễ bị tổn thương của các hệ thống thông tin này

Các hình thức tấn công mạng máy tính: Tấn công chủ động, tấn công thụ động; tấn công password, tấn công code

Tấn công chủ động là các cuộc tấn công mà người tấn công hoàn toàn công khai và chủ động trong tổ chức và thực hiện cuộc tấn công với mục đích làm giảm hiệu năng hoặc làm tê liệt hoạt động của hệ thống Bao gồm các phương pháp tấn công từ chối dịch vụ - DoS, tấn công từ chối dịch vụ phân tán - DDoS, tấn công tràn

bộ đệm (Buffer Overflow), giả mạo (Spoofing), người trung gian (MITM), giả mạo giao thức điều khiển truyền tin qua Internet, v.v

Tấn công bị động bao gồm quét, bắt trộm và nghe trộm các gói tin

Tấn công mật khẩu bao gồm việc dự đoán, so sánh và tra mật khẩu thông qua một bộ từ điển mật khẩu (Brute force)

Tấn công mã nguồn là bao gồm tấn công từ bên trong (Backdoor), Viruses, Trojans, Worms, lỗ hổng phần mềm, khóa hoặc giải thuật yếu

Tấn công bên trong mạng gồm có, tấn công không chủ ý là nhiều hư hại của mạng do người dùng trong mạng vô ý gây nên Những người này có thể vô ý để hacker bên ngoài hệ thống lấy được password hoặc các tài nguyên của mạng Tấn công có chủ ý là kẻ tấn công có chủ ý chống lại các qui tắc, các qui định do các chính sách an ninh mạng đưa ra

Tấn công từ ngoài mạng gồm có, kẻ tấn công nghiệp dư thường dùng các kịch bản đã tạo sẵn và có thể tạo nên các thiệt hại đối với mạng Kẻ tấn công đích thực, mục đích chính của nhóm người này khi thực hiện các tấn công mạng là để mọi người thừa nhận khả năng của họ và để được nổi tiếng Kẻ tấn công chuyên nghiệp, thực hiện các tấn công mạng để thu lợi bất chính

Chương 3 Các dạng tấn công mạng máy tinh

Các mô hình tấn công mạng gồm, mô hình tấn công truyền thống được tạo dụng theo nguyên tắc “một đến một” hoặc “một đến nhiều”, có nghĩa là cuộc tấn công xảy ra từ một nguôn gốc

Hình 3.1 Mô hình tấn công mạng từ một máy

Mô hình tấn công phân tán, sử dụng quan hệ “nhiều đến một” và “nhiều đến nhiều” Tấn công này dựa vào Flood hay Storm

Hình 3.2 Mô hình tấn công mạng từ nhiều máy

Các bước tấn công và thâm nhập hệ thống

Thâm nhập vào một hệ thống không phải là một công việc đơn giản nhưng cũng không quá khó khăn cho những người có kiến thức về công nghệ thông tin nói

Chương 3 Các dạng tấn công mạng máy tinh

chung Để đạt được mục đích, các hacker thường thực hiện một tấn công thâm nhập theo những bước sau:

o FootPrinting – In dấu

o Scanning – Dò quét

o Enumeration – Điểm danh

o Gaining Access – Có quyền truy cập

o Escalating Privileges – nâng cấp quyền

o Pilfering – Khai thác hệ thống

o Covering Tracks – Xóa dấu vết

o Creating "Back Doors" – Tạo cổng hậu

o DoS – Tấn công từ chối dịch vụ

Chú ý rằng những bước trên hoàn toàn linh động khi áp dụng vào thực tế Các hành động khi tấn công thâm nhập có thể là đan xen nhau thậm chí một hành động được thực hiện lặp lại nhiều lần hay bỏ qua không cần thực hiện Tuy nhiên cũng có thể sắp xếp thứ tự các hành động đó theo trình tự như hình dưới đây:

Hình 3.3 Các bước tấn công

3.2 TẤN CÔNG TỪ CHỐI DỊCH VỤ DOS

Tấn công từ chối dịch vụ là kiểu tấn công rất lợi hại, với loại tấn công này, chúng ta chỉ cần một máy tính kết nối Internet là đã có thể thực hiện việc tấn công

Chương 3 Các dạng tấn công mạng máy tinh

được máy tính của đối phương, thực chất của tấn công DoS là kẻ tấn công sẽ chiếm dụng một lượng lớn tài nguyên trên server làm cho server không thể nào đáp ứng các yêu cầu từ các máy của nguời khác và server có thể nhanh chóng bị ngừng hoạt động, crash hoặc reboot Bên dưới sẽ trình bày các loại tấn công DoS phổ biến hiê ̣n

nay như:

3.2.1 Winnuke

Tấn công DoS loại này chỉ có thể áp dụng cho các máy tính đang chạy Windows 9x Hacker sẽ gởi các gói tin với dữ liệu “Out of Band” đến cổng 139 của máy tính đích Cổng 139 chính là cổng NetBIOS, cổng này chỉ chấp nhận các gói tin có cờ Out of Band được bật Khi máy tính của nạn nhân, nhận được gói tin này, một màn hình xanh báo lỗi sẽ được hiển thị lên với nạn nhân do chương trình của Windows nhận được các gói tin này nhưng nó lại không biết phản ứng với các dữ

liệu Out Of Band như thế nào dẫn đến hệ thống sẽ bị crash

3.2.2 Teardrop

Như ta đã biết, tất cả các dữ liệu chuyển đi trên mạng từ hệ thống nguồn đến

hệ thống đích đều phải trải qua 2 quá trình, dữ liệu sẽ được chia ra thành các mảnh nhỏ ở hệ thống nguồn, mỗi mảnh đều phải có một giá trị offset nhất định để xác định vị trí của mảnh đó trong gói dữ liệu được chuyển đi Khi các mảnh này đến hệ thống đích, hệ thống đích sẽ dựa vào giá trị offset để sắp xếp các mảnh lại với nhau theo thứ tự đúng như ban đầu Lợi dụng sơ hở đó, kẻ tấn công chỉ cần gởi đến hệ thống đích một loạt gói tin với giá trị offset chồng chéo lên nhau Hệ thống đích sẽ không thể nào sắp xếp lại các packets này, nó không điều khiển được và có thể bị crash, reboot hoặc ngừng hoạt động nếu số lượng gói packets với giá trị offset chồng chéo lên nhau quá lớn

3.2.3 SYN Attack

SYN Attack kẻ tấn cô ng sẽ gởi đến hệ thống đích một loạt SYN packets với địa chỉ IP nguồn không có thực Hệ thống đích khi nhận được các SYN packets này

Chương 3 Các dạng tấn công mạng máy tinh

sẽ gởi trở lại các địa chỉ không có thực đó và chờ đơ ̣i để nhận thông tin phản hồi từ các địa chỉ ip giả Vì đây là các địa chỉ ip không có thực, nên hệ thống đích sẽ sẽ chờ đợi vô ích và còn đưa các “request” chờ đợi này vào bộ nhớ, gây lãng phí một lượng đáng kể bộ nhớ trên máy chủ mà đúng ra là phải dùng vào việc khác thay cho phải chờ đợi thông tin phản hồi không có thực này Nếu ta gởi cùng một lúc nhiều gói tin có địa chỉ ip giả như vậy thì hệ thống sẽ bị quá tải dẫn đến bị crash hoặc boot máy tính

3.2.4 Land Attack

Cũng gần giống như SYN Attack, nhưng thay vì dùng các địa chỉ ip không có thực, hacker sẽ dùng chính địa chỉ ip của hệ thống nạn nhân Điều này sẽ tạo nên một vòng lặp vô tận giữa trong chính hệ thống nạn nhân đó, giữa một bên cần nhận thông tin phản hồi còn một bên thì chẳng bao giờ gởi thông tin phản hồi đó đi cả

3.2.5 Smurf Attack

Trong Smurf Attack, cần có ba thành phần: hacker (người ra lệnh tấn công), mạng khuếch đại và hệ thống của nạn nhân Hacker sẽ gởi các gói tin ICMP đến địa chỉ broadcast của mạng khuếch đại Điều đặc biệt là các gói tin ICMP packets này

có địa chỉ ip nguồn chính là địa chỉ ip của nạn nhân Khi các packets đó đến được địa chỉ broadcast của mạng khuếch đại, các máy tính trong mạng khuếch đại sẽ tưởng rằng máy tính nạn nhân đã gởi gói tin ICMP packets đến và chúng sẽ đồng loạt gởi trả lại hệ thống nạn nhân các gói tin phản hồi ICMP packets Hệ thống máy nạn nhân sẽ không chịu nổi một khối lượng khổng lồ các gói tin này và nhanh chóng bị ngừng hoạt động, crash hoặc reboot

3.2.6 UDP Flooding

Cách tấn công UDP đòi hỏi phải có 2 hệ thống máy cùng tham gia Hackers sẽ làm cho hệ thống của mình đi vào một vòng lặp trao đổi các dữ liệu qua giao thức UDP Và giả mạo địa chỉ ip của các gói tin là địa chỉ loopback (127.0.0.1), rồi gởi gói tin này đến hệ thống của nạn nhân trên cổng UDP echo(7) Hệ thống của nạn

Chương 3 Các dạng tấn công mạng máy tinh

nhân sẽ trả lời lại các messages do 127.0.0.1 (chính nó) gởi đến , kết quả là nó sẽ đi vòng một vòng lặp vô tận Tuy nhiên, có nhiều hệ thống không cho dùng địa chỉ loopback nên hacker sẽ giả mạo một địa chỉ ip của một máy tính nào đó trên mạng nạn nhân và tiến hành ngập lụt UDP trên hệ thống của nạn nhân

3.2.7 Tấn công DNS

Hacker có thể đổi một lối vào trên Domain Name Server của hệ thống nạn nhân rồi cho chỉ đến một website nào đó của hacker Khi máy khách yêu cầu DNS phân tích địa chỉ bị xâm nhập thành địa chỉ ip, lập tức DNS (đã bị hacker thay đổi cache tạm thời) sẽ đổi thành địa chỉ ip mà hacker đã cho chỉ đến đó Kết quả là thay

vì phải vào trang web muốn vào thì các nạn nhân sẽ vào trang web do chính hacker tạo ra

3.3 TẤN CÔNG TỪ CHỐI DỊCH VỤ DDOS

3.3.1 Giới Thiệu DDoS

Tấn công từ chối dịch vụ phân tán là kiểu tấn công làm cho hệ thống máy tính hay hệ thống mạng quá tải, không thể cung cấp dịch vụ hoặc phải dừng hoạt động Trong các cuộc tấn công DDoS, máy chủ dịch vụ sẽ bị "ngập" bởi hàng loạt các

Chương 3 Các dạng tấn công mạng máy tinh

lệnh truy cập từ lượng kết nối khổng lồ Khi số lệnh truy cập quá lớn, máy chủ sẽ quá tải và không còn khả năng xử lý các yêu cầu

DDoS yêu cầu phải có ít nhất vài hackers cùng tham gia Đầu tiên các hackers

sẽ cố thâm nhập vào các mạng máy tính được bảo mật kém, sau đó cài lên các hệ thống này chương trình DDoS server Bây giờ các hackers sẽ hẹn nhau đến thời gian đã định sẽ dùng DDoS client kết nối đến các DDoS servers, sau đó đồng loạt ra lệnh cho các DDoS servers này tiến hành tấn công DDoS đến hệ thống nạn nhân Vào tháng 3/2013, kỹ thuật tấn công khuếch đại DNS (DNS Amplication hay

DNS Reflection) này đã trở thành chiêu thức chủ chốt trong cuộc tấn công mạng

nhắm vào tổ chức chống thư rác – Spamhaus, đã làm mạng internt trên toàn cầu bị trì trệ do cường độ tấn công rất lớn, trong đó châu Âu chịu ảnh hưởng nặng nề nhất Đây được xem là cuộc tấn công mạng lớn nhất trong lịch sử từ trước đến nay

với ước tính lượng dữ liệu “rác” được nhóm tin tặc “bơm” vào hệ thống mạng

Spamhaus khoảng 300 gigabyte dữ liệu (GB)/giây Gấp 6 lần so với các cuộc tấn công DDoS thông thường (vào khoảng 50 gigabyte dữ liệu/giây)

Hình 3.4 Biểu đồ tấn công DDoS

Kẻ tấn công gửi các truy vấn (query) DNS đến một máy chủ DNS trên Internet nhưng dùng địa chỉ nạn nhân giả mạo thành nguồn gốc của truy vấn đó Khi máy

Chương 3 Các dạng tấn công mạng máy tinh

chủ DNS phản hồi trở lại (thường có kích thước gấp nhiều lần truy vấn gửi đi), nạn nhân sẽ hứng chịu “phản hồi” đó Hàng trăm ngàn truy vấn sẽ liên tục gửi đến máy

chủ DNS để “mượn tay” tấn công hệ thống nạn nhân khiến hệ thống bị nghẽn do

lưu lượng dữ liệu gửi đến quá lớn “như một cơn lũ”

3.3.2 Các giai đoạn của DDoS

Giai đoạn chuẩn bị: Chuẩn bị công cụ quan trọng của cuộc tấn công, công cụ

này thông thường hoạt động theo mô hình client/server Hacker có thể viết phần mềm này hay download một cách dễ dàng Kế tiếp, dùng các kỹ thuật hack khác để nắm trọn quyền một số host trên mạng, tiến hành cài đặt các phần mềm cần thiết trên các host này, việc cấu hình và thử nghiệm toàn bộ tấn công mạng, cũng sẽ được thực hiện trong giai đoạn này

Giai đoạn xác định mục tiêu và thời điểm: Sau khi xác định mục tiêu lấn

cuối, hacker sẽ có hoạt động điều chỉnh tấn công mạng, chuyển hướng tấn công về phía mục tiêu Yếu tố thời điểm sẽ quyết định mức độ thiệt hại và tốc độ đáp ứng của mục tiêu đối với cuộc tấn công

Phát động tấn công và xóa dấu vết: Đúng thời điểm đã định, hacker phát

động tấn công từ máy của mình, lệnh tấn công này có thể đi qua nhiều cấp mói đến host thực sự tấn công Toàn bộ tấn công mạng (có thể lên đến hàng ngàn máy), sẽ vắt cạn năng lực của server mục tiêu liên tục, ngăn chặn không cho nó hoạt động

như thiết kế Sau một khoảng thời gian tấn công thích hợp, hacker tiến hành xóa

mọi dấu vết có thể truy ngược đến mình, việc này đòi hỏi trình độ khác cao và

không tuyệt đối cần thiết

3.3.3 Kiến trúc tổng quan của DDoS

Nhìn chung DDoS Attack có hai mô hình chính: Mô hình Agent – Handler;

mô hình IRC – Based Dưới đây sẽ trình bày hai mô hình này

Mô hình Agent – Handler: Theo mô hình này, gồm 3 thành phần:

o Client là phần mềm cơ sở để hacker điều khiển mọi hoạt động

o Handler là một thành phần phần mềm trung gian giữa Agent và Client

Chương 3 Các dạng tấn công mạng máy tinh

o Agent là thành phần phần mềm thực hiện sự tấn công mục tiêu, nhận điều khiển từ Client thông qua các Handler

Attacker sẽ từ Client giao tiếp với các Handler để xác định số lượng Agent đang online, điều chỉnh thời điểm tấn công và cập nhật các Agent

Mô hình IRC – Based: Internet Relay Chat (IRC) là một hệ thống online chat

nhiều người dùng, IRC cho phép User tạo một kết nối đến nhiều user khác và chat thời gian thực Kiến trúc củ IRC network bao gồm nhiều IRC server trên khắp

internet, giao tiếp với nhau trên nhiều kênh (channel)

IRC cũng là một môi trường file sharing tạo điều kiện phát tán các Agent code lên nhiều máy khác Nhìn chung, có rất nhiều biến thể của kỹ thuật tấn công DDoS nhưng nếu nhìn dưới góc độ chuyên môn thì có thể chia các biến thề này thành hai loại dựa trên mụch đích tấn công như làm cạn kiệt băng thông và làm cạn kiệt tài nguyên hệ thống Dưới đây là sơ đồ mô tả sự phân loại các kiểu tấn công DDoS Những kiểu tấn công làm cạn kiệt băng thông của mạng (Bandwith Depletion Attack), được thiết kế nhằm làm tràng ngập mạng mục tiêu với những băng thông không cần thiết, với mục địch làm giảm tối thiểu khả năng của các băng thông hợp

lệ đến được hệ thống cung cấp dịch vụ của mục tiêu Một số loại tấn công làm tràn ngập băng thông như sau:

Flood attack các Agent sẽ gửi một lượng lớn IP traffic làm hệ thống dịch vụ

của mục tiêu bị chậm lại, hệ thống bị treo hay đạt đến trạng thái hoạt động bão hòa Làm cho các User thực sự của hệ thống không sử dụng được dịch vụ Ta có thể chia Flood Attack thành các loại sau:

UDP Flood Attack do tính chất connectionless của UDP, hệ thống nhận UDP

message chỉ đơn giản nhận vào tất cả các packet mình cần phải xử lý Một lượng lớn các UDP packet được gởi đến hệ thống dịch vụ của mục tiêu sẽ đẩy toàn bộ hệ thống đến ngưỡng tới hạn Thông thường các Agent software sẽ dùng địa chỉ IP giả

để che giấu hành tung, cho nên các message trả về do không có port xử lý sẽ dẫn đến một đại chỉ Ip khác UDP Flood attack cũng có thể làm ảnh hưởng đến các kết nối xung quanh mục tiêu do sự hội tụ của packet diễn ra rất mạnh

Chương 3 Các dạng tấn công mạng máy tinh

ICMP Flood Attack được thiết kế nhằm mục đích quản lý mạng cũng như

định vị thiết bị mạng Khi các Agent gởi một lượng lớn “ICMP ECHO REPLY” đến

hệ thống mục tiêu thì hệ thống này phải reply một lượng tương ứng Packet để trả lời, sẽ dẫn đến nghẽn đường truyền Tương tự trường hợp trên, địa chỉ IP của các Agent có thể bị giả mạo

Amplification Attack điều khiển các agent hay Client tự gửi message đến

một địa chỉ IP broadcast, làm cho tất cả các máy trong subnet này gửi message đến

hệ thống dịch vụ của mục tiêu Phương pháp này làm gia tăng băng thông không cần thiết, làm suy giảm băng thông của mục tiêu

3.4 TẤN CÔNG SOCIAL ENGINEERING

Đây là kỷ thuật lừa đảo không đòi hỏi sử dụng quá nhiều yếu tố kỷ thuật Thậm chí không có liên quan đến kỷ thuật thuần túy để tìm kiếm, khai thác thông tin phục vụ cho mục tiêu tấn công

Phương pháp thực hiện có thể thông qua thư tín, email, điện thoại hay tiếp xúc trực tiếp, thông qua người quen, các mối quan hệ cá nhân,v.v nhằm dẫn dụ, khai thác thông tin do vô tình bị tiết lộ từ phía người dùng Khai thác các yếu tố tâm lý, khai thác khía cạnh giap tiếp xã hội nhiều hơn là sử dụng các yếu tố kỷ thuật thông thường

3.5 TẤN CÔNG NGHE TRỘM SNIFFER

Việc nghe trộm thông tin trên mạng có thể đa lại những thông tin có ích như tên, mật khẩu của người sử dụng, các thông tin mật chuyển qua mạng Việc nghe trộm thường được tiến hành ngay sau khi kẻ tấn công đã chiếm đợc quyền truy nhập

hệ thống, thông qua các chương trình cho phép giao tiếp card mạng vào chế độ nhận toàn bộ các thông tin lưu truyền trên mạng Những thông tin này cũng có thể dễ dàng lấy được trên Internet

Một số tool dùng để tấn công Sniffer có thể giám sát và lấy được nội dung của các gói dữ liệu đi trên dây dẫn hoặc qua không khí trong mạng không dây

Chương 3 Các dạng tấn công mạng máy tinh

3.6 TẤN CÔNG VIRUSES

Một chương trình máy tính được thiết kế dưới dạng một trò chơi khăm, hoặc một sự phá hoại ngầm, có thể lây lan bằng cách gắn vào các chương trình khác và tiến hành các thao tác vô ích, vô nghĩa, đôi khi là thao tác phá hoại

Khi một virus nhiễm vào tài nguyên máy tính, nó tự lây lan bằng cách gắn vào các chương trình khác trong hệ thống, kể cả phần mềm hệ thống

Giống như virus ở người, tác hại của virus máy tính có thể chưa phát hiện được torng thời gian vài ngày hay vài tuần Trong thời gian đó mọi tài nguyên đưa vào hệ máy đều mang theo một bản sao ẩn của virus đó – các tài nguyên này đều bị nhiễm virus Thông thường, dựa vào đối tượng lây lan là file hay đĩa mà virus được chia thành các nhóm sau:

B-virus là loại virus lây nhiễm vào các tệp tin khởi động (Boot record) Cách

thức lây nhiễm của loại virus này là thông qua một đĩa mềm khởi động có nhiễm virus Khi lây nhiễm vào máy, B-virus sẽ khống chế, kiểm soát bộ nhớ của máy tính rồi lây lan và các boot record B-Virus có tốc độ lây lan nhanh trên bất cứ hệ điều hành nào, nhưng nó lại có một nhược điểm là chỉ lây nhiễm vào hệ thống thông qua đĩa mềm

F-Virus: là loại virus lây nhiễm vào các file có đuôi: “.com” và “.exe” Mỗi

lần người dùng kích hoạt vào các file khởi động “.exe”, virus sẽ được phát tán trong khắp hệ thống Do việc sử dụng các chương trình “.com” và “.exe” cao nên khả năng phát tán của virus là rất lớn

Macro: Mặc dù xuất hiện cách đây không lâu nhưng virus Macro vẫn được

xếp vào danh sách các loại virus nguy hiểm và có cơ hội lây nhiễm cao Virus Macro có tiền thân là Concept, được tạo ra để lây nhiễm trên các tệp tin văn bản (chủ yếu là Microsoft Word) Macro còn có thể lây nhiễm trong môi trường Excel nhưng với mức độ hạn chế

3.7 TẤN CÔNG TROJAN

Trojan là các chương trình máy tính trông có vẻ như là một phần mềm hữu ích, nhưng thực ra chúng làm tổn thương bảo mật và gây ra rất nhiều phá hủy

Chương 3 Các dạng tấn công mạng máy tinh

Chúng chiếm quyền điều khiển máy bị nhiễm và cho phép người ngoài truy cập trái pháp tới, hoặc chúng có thể tự động tải về các lệnh thực thi từ một địa chỉ ngoài Trojan thường đi kèm với key logger, một phần mềm lưu lại các thao tác bàn phím của người dùng và gửi cho kẻ điều khiển hoặc phần mềm theo dõi màn hình máy tính Việc có được những mật khẩu hợp lệ làm cho kẻ tấn công chiếm được toàn quyền với tài khoản của người dùng

3.8 TẤN CÔNG BOTNET

Botnet là là những chương trình tương tự Trojan backdoor cho phép kẻ tấn công sử dụng máy của họ như là những Zoombie (máy tính thây ma – máy tính bị chiếm quyền điều khiển hoàn toàn) và chúng chủ động kết nối với một Server để dễ dàng điều khiển Chính vì sự chủ động này mà máy tính bị cài đặt chúng kết nối trở nên chậm chạp, một đặc điểm giúp ta dễ dàng nhận diện bot

Mạng botnet là một mạng rất lớn gồm hàng trăm hàng ngàn máy tính Zombie kết nối với một máy chủ mIRC (Internet Replay Chat) hoặc qua các máy chủ DNS

để nhận lệnh từ hacker một cách nhanh nhất Các mạng bot gồm hàng ngàn “thành viên” là một công cụ lý tưởng cho các cuộc chiến tranh như DDoS, Spam, cài đặt các chương trình quảng cáo, v.v

IRC là tên viết tắt của Internet Relay Chat Đó là một giao thức được thiết kế cho hoạt động liên lạc theo kiểu hình thức tán gẫu thời gian thực dựa trên kiến trúc client-server Một server IRC kết nối với server IRC khác trong cùng một mạng Người dùng IRC có thể liên lạc với cả hai theo hình thức công cộng (trên các kênh) hoặc riêng tư

Các Botnet được sử dụng thường xuyên trong các cuộc tấn công DDoS Một

kẻ tấn công có thể điều khiển số lượng lớn máy tính bị chiểm quyền điều khiển tại một trạm từ xa, khai thác băng thông của chúng và gửi yêu cầu kết nối tới máy đích Đầu tiên kẻ tấn công sẽ phát tán trojan horse vào nhiều máy tính khác nhau Các máy tính này trở thành zombie (máy tính bị chiếm quyền điều khiển) và kết nối tới IRC server để nghe thêm nhiều lệnh sắp tới Server IRC có thể là một máy công cộng ở một trong các mạng IRC, nhưng cũng có thể là máy chuyên dụng do kẻ tấn

Chương 3 Các dạng tấn công mạng máy tinh

công cài đặt lên một trong các máy bị chiếm quyền điều khiển Các bot chạy trên máy tính bị chiếm quyền điều khiển, hình thành một botnet

Cách phòng chống Botnet là một mối đe dọa đang ngày một lan rộng, tuy nhiên chúng ta có nhiều cách đối phó để giảm được các tác hại gây ra từ nó, chúng tôi sẽ giới thiệu 6 cách khá chuyên nghiệp có thể chống trả lại được botnet Có thể phòng chống Botnet bằng thuê 1 dịch vụ lọc web, chuyển đổi trình duyệt, vô hiệu hóa các kịch bản, triển khai các hệ thống phát hiện xâm phạm và ngăn chặn xâm phạm, bảo vệ nội dung được tạo bởi người dùng,v.v

Chương 4 Xây dựng hệ thống IDS/IPS

Chương 4: HỆ THỐNG IDS/IPS

4.1 GIỚI THIỆU VỀ IDS

IDS - Intrusion Detection System: Là hệ thống phát hiện xâm nhập, có

nhiệm vụ theo dõi, phát hiện, giám sát lưu thông mạng, các hoạt động khả nghi và cảnh báo cho nhà quản trị hệ thống

IDS cũng có thể phân biệt giữa những tấn công bên trong từ bên trong (từ những người trong công ty) hay tấn công từ bên ngoài (từ các hacker) IDS phát hiện dựa trên các dấu hiệu đặc biệt về các nguy cơ đã biết (giống như cách các phần mềm diệt virus dựa vào các dấu hiệu đặc biệt để phát hiện và diệt virus) hay dựa trên so sánh lưu thông mạng hiện tại với baseline (thông số đo đạc chuẩn của hệ thống) để tìm ra các dấu hiệu khác thường

Có 2 loại IDS là Network Based IDS (NIDS) và Host Based IDS (HIDS): NIDS sẽ kiểm tra các giao tiếp trên mạng với thời gian thực Nó kiểm tra các giao tiếp, quét header của các gói tin, và có thể kiểm tra nội dung của các gói đó để phát hiện ra các đoạn mã nguy hiểm hay các dạng tấn công khác nhau Một NIDS hoạt động tin cậy trong việc kiểm tra, phát hiện các dạng tấn công trên mạng, ví dụ như dựa vào băng thông của tấn công DoS

Hình 4.1 Mô hình NIDS cơ bản

HIDS làm nhiệm vụ giám sát và ghi lại log cho một máy chủ (host-system) Đây là dạng IDS với giới hạn chỉ giám sát và ghi lại toàn bộ những khả năng của

Chương 4 Xây dựng hệ thống IDS/IPS

host-system (nó bao gồm cả hệ điều hành và các ứng dụng cũng như toàn bộ dịch

vụ của máy chủ đó) HIDS có khả năng phát hiện các vấn đề nếu các thông tin về máy chủ đó được giám sát và ghi lại Là thiết bị bảo mật cho phát hiện các tấn công trực tiếp tới một máy chủ,

Hình 4.2 Mô hình HIDS cơ bản

4.2 GIỚI THIỆU VỀ IPS

IPS - Intrusion Prevention System: Là một hệ thống chống xâm nhập, được

định nghĩa là một phần mềm hoặc một thiết bị chuyên dụng có khả năng phát hiện xâm nhập và có thể ngăn chặn các nguy cơ gây mất an ninh IDS và IPS có rất nhiều

điểm chung, do đó hệ thống IDS và IPS có thể được gọi chung là IDP - Intrusion

Detection and Prevention

IDS chỉ có chức năng phát hiện xâm nhập dựa vào các mẫu có sẵn IPS có chức năng ngăn chặn những xâm nhập được nghi ngờ ở IDS

Trước các hạn chế của hệ thống IDS, nhất là sau khi xuất hiện các cuộc tấn công ồ ạt trên quy mô lớn, một vấn đề được đặt ra là làm sao có thể tự động ngăn chặn được các tấn công chứ không chỉ đưa ra các cảnh báo nhằm giảm thiểu công việc của người quản trị hệ thống Hệ thống IPS được ra đời vào năm 2003 và ngay sau đó, năm 2004 nó được phổ biến rộng rãi

Kết hợp với việc nâng cấp các thành phần quản trị, hệ thống IPS xuất hiện đã dần thay thế cho IDS bởi nó giảm bớt được các yêu cầu tác động của con người

Chương 4 Xây dựng hệ thống IDS/IPS

trong việc đáp trả lại các nguy cơ phát hiện được, cũng như giảm bớt được phần nào gánh nặng của việc vận hành

Có 3 lý do để người ta xem xét sử dụng hệ thống ngăn chặn xâm nhập:

o Cung cấp khả năng điều khiển truy cập mạng

o Tăng mức độ kiểm sóat những gì đang chạy trên mạng( gồm có giám sát, lập hồ sơ, kiểm tra các điều kiện)

o Được cảnh báo về nguy cơ tấn công và ngăn chặn những cuộc tấn công mạng Khuynh hướng vĩ mô, phát hiện và ngăn chặn càng nhiều càng tốt Khuynh hướng vi mô, trước hết là ngăn chặn tất cả các cuộc tấn công có tính chất nghiêm trọng đối với mạng đang hoạt động, sau đó là phân tích các điều kiện có thể xảy ra các cuộc tấn công mới, nhằm mục đích giảm thiểu đến mức tối đa các cuộc tấn công mạng

Sự khác nhau giữa IDS và IPS: Có thể nhận thấy sự khác biệt giữa hai khái

niệm ngay ở tên gọi: “phát hiện” và “ngăn chặn” Các hệ thống IDS được thiết kế với mục đích chủ yếu là phát hiện và cảnh báo các nguy cơ xâm nhập đối với mạng máy tính, một hệ thống IPS ngoài khả năng phát hiện còn có thể tự hành động chống lại các nguy cơ theo các quy định được người quản trị thiết lập sẵn

Hệ thống IPS lại không mang đầy đủ chức năng của một hệ thống phòng chống theo đúng nghĩa Trong trường hợp các mạng có quy mô nhỏ, với một máy chủ an ninh, thì giải pháp IPS thường được cân nhắc nhiều hơn do tính chất kết hợp giữa phát hiện, cảnh báo và ngăn chặn của nó

4.3 GIỚI THIỆU VỀ SNORT

4.3.1 Snort là gì

Snort là một NIDS được Martin Roesh phát triển dưới mô hình mã nguồn mở Tuy Snort miễn phí nhưng nó lại có rất nhiều tính năng tuyệt vời mà không phải sản phẩm thương mại nào cũng có thể có được Với kiến trúc thiết kế theo kiểu module, người dùng có thể tự tăng cường tính năng cho hệ thống Snort của mình bằng việc cài đặt hay viết thêm mới các module Cơ sở dữ liệu luật của Snort đã lên tới gần ba

Chương 4 Xây dựng hệ thống IDS/IPS

nghìn luật và được cập nhật thường xuyên bởi một cộng đồng người sử dụng Snort

có thể chạy trên nhiều hệ thống nền như Ubuntu, CentOS, v.v

Snort chủ yếu là một IDS dựa trên luật, tuy nhiên các input plug-in cũng tồn tại để phát hiện sự bất thường trong các header của giao thức Dữ liệu được thu thập

và phân tích bởi Snort Sau đó, Snort có thể lưu trữ dữ liệu trong cơ sở dữ liệu MySQL bằng cách dùng output plug-in, hoặc lưu trữ dữ liê ̣u với Elasticsearch Snort sử dụng các luật được lưu trữ trong các file text, có thể được chỉnh sửa bởi người quản trị Các luật được nhóm thành các kiểu, các luật thuộc về mỗi loại được lưu trong các file khác nhau Snort đọc những luật này vào lúc khởi tạo và xây dựng cấu trúc dữ liệu để cung cấp các luật để bắt giữ dữ liệu Tìm ra các dấu hiệu và

sử dụng chúng trong các luật là một vấn đề đòi hỏi sự tinh tế, càng sử dụng nhiều luật thì năng lực xử lý càng được đòi hỏi để thu thập dữ liệu trong thực tế Snort có một tập hợp các luật được định nghĩa trước để phát hiện các hành động xâm nhập và cũng có thể thêm vào các luật của chính người quản trị,cũng có thể xóa một vài luật

đã được tạo trước để tránh việc báo động sai

Trong khóa luận này, dữ liệu log cảnh báo của Snort sẽ được biểu diễn trên Hệ thống quan sát ELK Không những chúng ta monitor log cảnh báo của Snort mà còn

có thể monitor, thống kê được quốc gia, thành phố của kẻ tấn công, v.v

4.3.2 Kiến trúc của Snort

Snort bao gồm nhiều thành phần, với mỗi phần có một chức năng riêng Các phần chính đó là:

o Module giải mã gói tin (Packet Decoder)

o Module tiền xử lý (Preprocessors)

o Module phát hiện (Detection Engine)

o Module log và cảnh báo (Logging and Alerting System)

o Module kết xuất thông tin (Output Module)

o Kiến trúc của Snort được mô tả trong hình sau: