Nghiên cứu giải pháp phát hiện và phòng chống tấn công mạng Nghiên cứu giải pháp phát hiện và phòng chống tấn công mạng Nghiên cứu giải pháp phát hiện và phòng chống tấn công mạng luận văn tốt nghiệp,luận văn thạc sĩ, luận văn cao học, luận văn đại học, luận án tiến sĩ, đồ án tốt nghiệp luận văn tốt nghiệp,luận văn thạc sĩ, luận văn cao học, luận văn đại học, luận án tiến sĩ, đồ án tốt nghiệp
BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI - NGUYỄN HUYỀN ANH NGHIÊN CỨU GIẢI PHÁP PHÁT HIỆN VÀ PHỊNG CHỐNG TẤN CƠNG MẠNG LUẬN VĂN THẠC SĨ KỸ THUẬT CHUYÊN NGÀNH: KỸ THUẬT VIỄN THÔNG NGƯỜI HƯỚNG DẪN KHOA HỌC: TS.VÕ LÊ CƯỜNG Hà Nội – 2019 CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập – Tự – Hạnh phúc BẢN XÁC NHẬN CHỈNH SỬA LUẬN VĂN THẠC SĨ Họ tên tác giả luận văn: Nguyễn Huyền Anh Đề tài luận văn: Nghiên cứu giải pháp phát phòng chống công mạng Chuyên ngành: Kỹ thuật viễn thông Mã số SV: CB160141 Tác giả, Người hướng dẫn khoa học Hội đồng chấm luận văn xác nhận tác giả sửa chữa, bổ sung luận văn theo biên họp hội đồng ngày 26/04/2019 với nội dung sau: - Chỉnh sửa lại phần kích thước hình vẽ - Bổ sung kết luận chương, tóm tắt đồ án tiếng anh - Chương phân tích cụ thể cơng cụ phát phịng chống cơng - Chỉnh sửa danh mục hình vẽ theo chương - Trình bày rõ giải pháp phát công - Chỉnh sửa lại số lỗi tả Ngày Giáo viên hướng dẫn tháng năm Tác giả luận văn CHỦ TỊCH HỘI ĐỒNG i LỜI CAM ĐOAN Tôi xin cam đoan luận văn nghiên cứu thân Các nghiên cứu luận văn dựa tổng hợp lý thuyết hiểu biết thực tế mình, khơng chép từ luận văn khác Mọi thơng tin trích dẫn tuân theo luật sở hữu trí tuệ, liệt kê rõ ràng tài liệu tham khảo Tơi xin chịu hồn toàn trách nhiệm với nội dung viết luận văn Học viên Nguyễn Huyền Anh ii MỤC LỤC BẢN XÁC NHẬN CHỈNH SỬA LUẬN VĂN THẠC SĨ i LỜI CAM ĐOAN ii MỤC LỤC DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT DANH MỤC CÁC HÌNH VẼ, ĐỒ THỊ MỞ ĐẦU THESIS SUMMARY CHƯƠNG 1-TỔNG QUAN VỀ TẤN CÔNG MẠNG 11 1.1 Định nghĩa công mạng 11 1.2 Các hình thức cơng mạng phổ biến 11 1.2.1 Tấn công từ chối dịch vụ 11 1.2.1.1 Tấn công ICMP Flood 13 1.2.1.2 Tấn công UDP Flood 14 1.2.1.3 Tấn công Smuft 15 1.2.1.4 Tấn công SYN Flood 16 1.2.1.5 Tấn công Http Flood 18 1.2.2 Tấn công theo kiểu Man-In-The-Middle Attack 20 1.2.2.1 Tấn công ARP spoofing 21 1.2.2.2 Tấn công DNS spoofing 25 1.2.2.3 Tấn công DHCP spoofing 28 1.2.3 1.3 Tấn công mật 30 Kết luận chương 33 CHƯƠNG 2- CÁC GIẢI PHÁP PHÁT HIỆN VÀ PHỊNG CHỐNG TẤN CƠNG 34 2.1 Tổng quan 34 2.2 Cách thức phát phòng chống công mạng 34 2.2.1 Phát phịng chống cơng DDoS 34 2.2.1.1 Phát chống công 34 2.2.1.2 Sử dụng thiết bị chống công DDoS chuyên dụng 37 2.2.2 Phòng chống công kiểu Man-In-The-Middle 41 2.2.3 2.3 Phịng chống cơng mật 43 Kết luận chương 46 CHƯƠNG 3- TRIỂN KHAI MƠ HÌNH TẤN CƠNG VÀ PHỊNG CHỐNG DDoS 47 3.1 Triển khai mơ hình mơ cơng 47 3.1.1 Môi trường triển khai 47 3.1.2 Mơ hình triển khai 48 3.1.3 Tấn công ICMP Flood 49 3.1.4 Tấn công UDP Flood 51 3.1.5 Tấn công TCP-SYN 52 3.1.6 Tấn công Http Flood 53 3.2 Kết sau dùng thiết bị chống DDoS 54 3.2.1 Kết chống công ICMP flood 56 3.2.2 Kết chống công TCP-SYN 58 3.2.3 Kết chống công UDP 59 3.2.4 Kết chống công Http flood 63 3.3 Kết luận chương 65 KẾT LUẬN CHUNG 66 TÀI LIỆU THAM KHẢO 67 DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT Từ viết tắt Từ đầy đủ Nghĩa Tiếng Việt A ANS Authority Name Server Máy chủ tên miền có thẩm quyền ARP Address Resolution Protocol Giao thức ARP D DoS Denial of Service Từ chối dịch vụ DDoS Distributed Denial of Service Tấn công từ chối dịch vụ phân tán DHCP Dynamic Protocol Giao thức cấu hình động máy chủ DNS Domain Name System Host Configuration Hệ thống phân giải tên miền E EPS Even Per Second Số lượng even giây H HTTP HyperText Transfer Protocol Giao thức truyền tải siêu văn I ICMP Internet Control Message Protocol Giao thức ICMP IP Internet Protocol Giao thức Internet M MAC Media Access Control Điều khiển truy nhập môi trường O OSI Open Systems Interconnection Reference Model Mơ hình tham chiếu kết nối hệ thống mở R RNS Resolving name Server Máy chủ phân giải tên miền nhà mạng T TCP Transmission Control Protocol Giao thức điều khiển truyền vận TLD Top-Level-Domain Máy chủ quản lý tên miền TPS Transaction Per Second Số lượng Transaction giây U UDP User Datagram Protocol Giao thức không liên kết URL Uniform Resource Locator Định vị tài nguyên thống DANH MỤC CÁC HÌNH VẼ, ĐỒ THỊ Chương 1: Hình 1.1: Tấn công từ chối dịch vụ 11 Hình 1.2: Các loại công kiểu DDoS 12 Hình 1.3: Giao thức ICMP 14 Hình 1.4: Tấn cơng ICMP Flood 14 Hình 1.5: Tấn Cơng UDP Flood 15 Hình 1.6: Tấn công Smuft 16 Hình 1.7: Quá trình bắt tay ba bước giao thức TCP 17 Hình 1.8: Tấn cơng TCP SYN-Flood 18 Hình 1.9: Tấn cơng Http flood 20 Hình 1.10: Tấn công Man-In-The-Middle 21 Hình 1.11: Giao thức ARP mơ hình OSI 22 Hình 1.12: Cách thức hoạt động giao thức ARP (ARP request) 23 Hình 1.13: Cách thức hoạt động giao thức ARP (ARP reply) 23 Hình 1.14: Tấn cơng ARP spoofing (ARP request) 24 Hình 1.15: Tấn cơng ARP Spoofing (ARP reply) 25 Hình 1.16 Hệ thống DNS 26 Hình 1.17: Tấn cơng DNS Spoofing 28 Hình 1.18: Quá trình cấp phát DHCP 29 Hình 1.19: Tấn cơng DHCP Spoofing 30 Hình 1.20: Tấn cơng từ điển (Dictionary attack) 31 Hình 1.21: Tấn cơng Brute Force 32 Chương Hình 2.1: Thơng số phát cơng thiết bị chống DDoS 37 Hình 2.2: Thông số phát công layer thiết bị chống DDoS 39 Hình 2.3: Phương thức xử lý thiết bị phát cơng 39 Hình 2.4: Chống công nhập CAPCHA 40 Hình 2.5: Chống cơng Rate Limit Block all 41 Hình 2.6: Chống cơng ARP spoofing tính port security 42 Hình 2.7: Chống công DHCP Spoofing 42 Hình 2.8: Thời gian Brute Forte tìm mật thông thường 45 Hình 2.9: Thời gian Brute Forte tìm mật mạnh 46 Chương 3: Hình 3.1: Mơ hình mơ cơng 48 Hình 3.2: Kết sau Tấn cơng ICMP với source địa attacker 49 Hình 3.3: Kết sau công ICMP spoof Source 50 Hình 3.4: Kết Ping từ client đến Webserver 50 Hình 3.5: Kết sau công UDP Flood 51 Hình 3.6: Kết sau cơng TCP SYN 52 Hình 3.7: Thiết lập thơng số cơng Http flood 53 Hình 3.8: Kết sau công Http Flood 54 Hình 3.9: Mơ hình sử dụng thiết bị chống DDoS chuyên dụng 55 Hình 3.10: Kết chống công ICMP flood thiết bị 56 Hình 3.11: Lưu lượng tin ICMP trước có thiết bị chống DDoS 56 Hình 3.12: Lưu lượng tin ICMP sau dùng thiết bị chống DDoS 57 Hình 3.13: Kết chống công SYN flood thiết bị 58 Hình 3.14: Lưu lượng tin TCP-SYN trước có thiết bị chống DDoS 59 Hình 3.15: Lưu lượng tin TCP-SYN sau có thiết bị chống DDoS 59 Hình 3.16: Kết chống cơng UDP flood thiết bị 60 Hình 3.17: Lưu lượng tin UDP trước có thiết bị chống DDoS 60 Hình 3.18: Lưu lượng tin UDP sau có thiết bị chống DDoS 61 Hình 3.19: Kết phát công Http flood thiết bị 63 Hình 3.20: Kết chống công Http flood phần mềm 63 Hình 3.21: Trình duyệt máy attacker bị block 64 Hình 3.22: Trình duyệt từ client truy nhập vào web bình thường 64 MỞ ĐẦU Công nghệ thơng tin ngày có vai trị quan trọng lĩnh vực đời sống nói chung hoạt động kinh doanh doanh nghiệp nói riêng Với nhu cầu trao đổi thông tin, bắt buộc cá nhân, doanh nghiệp phải kết nối vào mạng Internet xuất rủi ro hòa chung mạng nội quan, doanh nghiệp, cá nhân với Internet Ngày nay, biện pháp an tồn thơng tin cho máy tính cá nhân mạng nội nghiên cứu triển khai Tuy nhiên, thường xuyên xuất công mạng, bị đánh cắp thông tin gây nên hậu vô nghiêm trọng Không vụ công tăng lên nhanh chóng mà phương pháp cơng liên tục thay đổi hoàn thiện Việc nghiên cứu kỹ thuật cơng, phịng thủ, giải pháp đảm bảo an tồn mạng nơi có vai trò quan trọng Qua nghiên cứu thực tế khơng có hệ thống tuyệt đối an tồn trước attacker mạng doanh nghiệp thường tồn lỗ hổng an ninh tạo điều kiện cho hacker phần mềm gián điệp xâm nhập gây hậu làm hệ thống bị tải, dịch vụ hay bị đánh cắp thông tin Gây thiệt hại cho cá nhân, quan hay doanh nghiệp tiền bạc uy tín Xuất phát từ lý em định lựa chọn sâu phân tích nghiên cứu đề tài “Nghiên cứu giải pháp phát phòng chống công mạng” Mục tiêu luận văn: - Nghiên cứu số kỹ thuật công mạng phổ biến - Tìm hiểu cách phịng chống cơng mạng - Tìm hiểu ngun lý phịng chống cơng thiết bị chống công DDoS - Xây dựng mô hình mơ cơng mạng, mơ hình triển khai thiết bị phòng chống DDoS chuyên dụng Nội dung luận văn bao gồm nội dung sau: 3.1.6 Tấn công Http Flood Máy Attacker sử dụng phần mềm win thực công http flood vào Web server (IP: 172.16.1.50) với thông số cài đặt sau: Địa target IP chọn: 172.16.1.50 Giao thức cơng: Http Điều chỉnh tốc độ flood gói tin Chọn cơng Hình 3.7: Thiết lập thơng số cơng Http flood Kết quả: 53 Hình 3.8: Kết sau công Http Flood Sau cơng dùng phần mềm wireshark bắt gói tin từ attacker nhận thấy gói tin TCP, HTTP từ attacker gửi với số lượng lớn 3.2 Kết sau dùng thiết bị chống DDoS Mơ hình mơ sau dùng thiết bị chống DDoS chuyên dụng 54 Attacker Client 192.168.10.6 192.168.10.5 192.168.10.15 172.16.1.15 172.16.1.50 Server Mô chống DDoS thiết bị Hình 3.9: Mơ hình sử dụng thiết bị chống DDoS chuyên dụng 55 3.2.1 Kết chống cơng ICMP flood Hình 3.10: Kết chống công ICMP flood thiết bị Trên thiết bị chống công phát công ICMPv4 flood action thiết bị đưa drop gói tin Hình 3.11: Lưu lượng tin ICMP trước có thiết bị chống DDoS 56 Trước sử dụng thiết bị lưu lượng gói tin ICMP atacker gửi đến web server thời gian 10s khoảng 135,000 gói tin Hình 3.12: Lưu lượng tin ICMP sau dùng thiết bị chống DDoS 57 3.2.2 Kết chống cơng TCP-SYN Hình 3.13: Kết chống công SYN flood thiết bị Trên thiết bị chống công phát công TCP SYN/ACK Flood action thiết bị đưa drop gói tin 58 Hình 3.14: Lưu lượng tin TCP-SYN trước có thiết bị chống DDoS Nhận thấy trước sử dụng thiết bị lưu lượng gói tin TCP atacker gửi đến web server thời gian 10s khoảng 420,000 gói tin Hình 3.15: Lưu lượng tin TCP-SYN sau có thiết bị chống DDoS Kết quả: Sau sử dụng thiết bị chống DDoS số gói tin bị chặn hoàn toàn Nguyên nhân thiết bị tạo sever ảo (Virtual server), nhận thấy công, thiết bị thay server trả lời gói tin SYN-ACK từ attacker 3.2.3 Kết chống công UDP 59 Hình 3.16: Kết chống cơng UDP flood thiết bị Trên thiết bị chống công phát công UDP flood action thiết bị đưa drop gói tin Hình 3.17: Lưu lượng tin UDP trước có thiết bị chống DDoS Nhận thấy trước sử dụng thiết bị lưu lượng gói tin UDP atacker gửi đến web server thời gian 10s khoảng 386,000 gói tin Địa cơng liên tục attacker giả mạo 60 Hình 3.18: Lưu lượng tin UDP sau có thiết bị chống DDoS Kết quả: Sau sử dụng thiết bị chống DDos số lượng gói tin đến web server thời gian 10s cịn khoảng 1000 gói tin Thiết bị phịng chống DDoS drop phần lớn gói tin cơng đến server Sau sử dụng thiết bị chống DDoS số lượng gói tin 10s cịn khoảng 300 gói Thiết bị sử dụng thông số sau để phát ngăn chặn công ICMP Flood, SYN-Flood, UDP Flood 61 Detection threshold (Even per second): Là ngưỡng phát cơng cấu hình sẵn Nếu lưu lương gói tin đến server có EPS lớn detection thresshold thiết bị cảnh báo công Ngưỡng phát lưu lượng cao ngưỡng mà quản trị viên cấu hình sẵn Detection Threshold percent: Là ngưỡng phát công thiết bị giám sát tính tốn khoảng thời gian trước đưa ngưỡng phát cách lấy thông số EPS trung bình + Detection Threshold percent x EPS Ví dụ Trong thiết bị giám sát EPS trung bình trước 20.000 EPS Quản trị viên cấu hình ngưỡng Detection Threshold percent: 200% Ngưỡng tính cơng thức: 20000 + (20000*200%) = 60000 EPS Nếu lưu lượng vượt ngưỡng, thiết bị F5 đưa cảnh báo Ngưỡng nhằm phát lưu lượng mạng tăng bất thường Mitigation Threshold EPS: Là ngưỡng block lưu lượng Ví dụ Detection threshold: 20000 Mitigation Threshold EPS: 20000 Lưu lượng trafffic đến server: 25000 Lưu lượng F5 thực tế cho qua 20000 EPS, Blocking 5000 EPS Ngưỡng block lưu lượng lưu lượng tăng thông số cấu hình quản trị viên Với cơng L4 trở xuống thiết bị phịng chống cơng DDoS chun dụng sử dụng thông số phổ biến Detection threshold, Detection Threshold percent, Mitigation Threshold EPS để phát phịng chống cơng Trong cơng DDoS địa công cố định Thiết bị phịng chống cơng block tất lưu lượng từ địa nguồn Nếu attacker công từ nhiều nguồn lúc giả mạo địa nguồn Thiết bị phát bị cơng nhờ ngưỡng cấu hình Nhưng thay block địa công thiết bị drop bớt 62 gói tin đến server để đảm bảo cho server ln hoạt động bình thường action drop bớt gói tin cơng khơng ảnh hưởng đến dịch vụ mà server cung cấp gói tin cơng đa phần gói tin layer ,4 nhằm mục đích chiếm băng thơng đường truyền thiết bị chống công DDoS drop bớt gói tin khơng cần thiết dịch vụ mà server cung cấp thường hoạt động layer hoạt động bình thường bị cơng 3.2.4 Kết chống công Http flood Trên thiết bị F5 phát cơng DoS L7 Ngồi thiết bị cung cấp tham số TPS đến server cho người quản trị biết để đưa biện pháp ngăn chặn Hình 3.19: Kết phát cơng Http flood thiết bị Hình 3.20: Kết chống cơng Http flood phần mềm Nhận thấy phần mềm công gửi tin request không nhận tin trả từ web server thiết bị chống DDos chặn toàn lưu lượng từ máy attacker Và truy cập web trình duyệt attacker bị chặn 63 Hình 3.21: Trình duyệt máy attacker bị block Kết quả: thiết bị phòng chống DDoS block địa công attacker Attacker truy nhập cơng web server Hình 3.22: Trình duyệt từ client truy nhập vào web bình thường Thiết bị chống cơng DDoS chặn tin từ máy attacker client khác truy nhập dịch vụ web bình thường 64 3.3 Kết luận chương Khi sử dụng Tool công DoS tới máy chủ khơng gây ảnh hưởng cho máy chủ giả sử 100 máy tính gửi tin ICMP thời điểm làm máy chủ tải dịch vụ khả phục vụ client Khi sử dụng thiết bị chống công DDoS nhận thấy loại công thông thường thiết bị nhận biết ngăn chặn phần lớn gói tin từ attacker, client truy nhập vào web server bình thường Với dạng cơng mà attacker khai thác yếu điểm giao thức TCP, thiết bị phòng chống ddos phát chủ động gửi trả tin lại block attacker nên server hoạt động bình thường Vì cơng lớp application khó nhận biết ngăn chặn nên nhận thấy máy chủ có lưu lượng bất thường gửi đến server, thiết bị đưa action để người vận hành tùy chọn xem xét lưu lượng truy cập http có sử dụng java script khơng Nếu đồng ý khơng block Hoặc bắt thiết bị truy cập nhập đoạn mã Nếu thiết bị truy cập nhập sai nhiều lần bị block Mơ hình mơ cơng phịng thủ cho thấy khác lưu lượng truy cập client bình thường lưu lượng cơng attacker Lưu lượng cơng lớn gấp vài trăm đến vài nghìn lần lưu lượng truy nhập bình thường 65 KẾT LUẬN CHUNG Sau trình nghiên cứu, luận văn em hoàn thành hướng dẫn tận tình thầy Võ Lê Cường Luận văn trình bày lý thuyết tổng quan hình thức cơng mạng qua thấy tầm quan trọng việc phòng chống công việc ứng dụng thiết bị chống công chuyên dụng Trong thực tế giá thành thiết bị chống công chuyên dụng đắt, doanh nghiệp mua dịch vụ từ nhà mạng trả phí theo tháng theo lưu lượng traffic Luận văn sâu vào nghiên cứu phương thức phát ngăn chặn công thiết bị Kết mô Chương cho nhìn tổng quan lưu lượng cơng attacker bình thường tạo từ khẳng định việc phịng chống cơng cần thiết cho hệ thống mạng Do thời gian có hạn hạn chế thân, em chưa thể triển khai tồn mơ hình cơng khác…Trong tương lai, em mong muốn tiếp tục sâu nghiên cứu nhằm hoàn thiện kiến thức an ninh mạng 66 TÀI LIỆU THAM KHẢO [1] Https://en.wikipedia.org/wiki/Denial-of-service_attack [2] Https://www.incapsula.com/ddos/ddos-attacks.html [3] Https://en.wikipedia.org/wiki/SYN_flood: Tham khảo lần cuối ngày 14/02/2019 [4] Https://www.cloudflare.com/learning/ddos/http-flood-ddos-attack/ : Tham khảo lần cuối ngày 30/01/2019 [5] Https://en.wikipedia.org/wiki/Domain_Name_System: Tham khảo lần cuối ngày 14/02/2019 [6] White Paper by David Holmes (2016) F5 DDoS Protection: Recommended Practices [7] White Paper by f5 (2016) The F5 DDoS Protection Reference Architecture [8] Configuring Port Security CHAPTER 14 Cisco Nexus 7000 Series NX-OS Security Configuration Guide [9] Configuring DHCP Snooping CHAPTER 37 Catalyst 6500 Series Switch Cisco IOS Software Configuration Guide [10] Https://www.f5.com/services/resources/glossary/syn-flood Tham khảo lần cuối ngày 30/01/2019 67 ... CÁC GIẢI PHÁP PHÁT HIỆN VÀ PHÒNG CHỐNG TẤN CÔNG 34 2.1 Tổng quan 34 2.2 Cách thức phát phịng chống cơng mạng 34 2.2.1 Phát phịng chống cơng DDoS 34 2.2.1.1 Phát chống công. .. bạc uy tín Xuất phát từ lý em định lựa chọn sâu phân tích nghiên cứu đề tài ? ?Nghiên cứu giải pháp phát phòng chống công mạng? ?? Mục tiêu luận văn: - Nghiên cứu số kỹ thuật công mạng phổ biến -... cơng mạng? ??: Tìm hiểu tổng quan phương thức công mạng chủ yếu, nguyên lý hoạt động phương thức công Chương 2: “Các giải pháp phát phòng chống công mạng? ??: Đưa các giải pháp khắc phục phòng chống,