Tìm hiểu cơ chế tấn công từ chối dịch vụ DDoS và cách phòng chống

MỤC LỤC DANH MỤC CÁC TỪ VIẾT TẮT DoS: Denial of Service: Tấn công từ chối dịch vụ DDoS: Distributed Denial of Service: Tấn công từ chối dịch vụ phân tán ICMP: Internet Control Message Protocol: Giao thức xử lý thông báo trạng thái cho IP (Transport Layer) DNS: Domain Name System: Hệ thống tên miền SYN: The Synchronous Idle Character: Ký tự đồng hoá ISP: Internet Service Provider: Nhà cung cấp dịch vụ Internet TCP/IP: Transmission Control Protocol and Internet Protocol: Gói tin TCP/IP khối liệu nén, sau kèm thêm header gửi đến máy tính khác Phần header gói tin chứa địa IP người gửi gói tin UDP: User Datagram Protocol: Những gói tin có điểm xuất phát điểm đích xác định IRC: Internet Relay Chat: Là chương trình độc lập nơi mà bạn tham gia vào kênh chat DANH MỤC HÌNH ẢNH MỞ ĐẦU Lý chọn đề tài “Từ năm 1997, với đời công cụ công DDoS công bố rộng rãi, Trinoo Nó dựa cơng UDP flood giao tiếp master-slave (khiến máy trung gian tham gia vào công cách đặt lên chúng chương trình điều khiển từ xa) Trong năm tiếp theo, vài công cụ phổ biến – TFN (tribe flood network), TFN2K Stacheldraht Ngày 7/3/2000, yahoo.com phải ngưng phục vụ hàng trăm triệu user toàn giới nhiều liền Vài sau, Yahoo tìm nguyên nhân gây nên tình trạng này, họ phải gánh chịu đợt cơng DDoS với quy mơ vài ngàn máy tính liên tục gửi hàng triệu request đến server dịch vụ làm server phục vụ user thông thường khác Vài ngày sau, kiện tương tự diễn có phần “ồn ào” nạn nhân hãng tin CNN, amazon.com, buy.com, Zdnet.com, Etrade.com, Ebay.com Tất nạn nhân gã khổng lồ Internet thuộc nhiều lĩnh vực khác Theo Yankke Group, tổng thiệt hại công lên đến 1.2 triệu USD, khơng đáng kể mát lịng tin khách hàng, uy tín cơng ty khơng thể tính Làm đảo lộn dự tính, thủ phạm cậu bé 15 tuổi người Canada, với nickname “mafiaboy” Lại thiên tài bẩm sinh Kevin Mitnick xuất hiện? Khơng Mafiaboy tìm tịi download số chương trình cơng cụ hacker Cậu dùng cơng cụ DDoS có tên TrinOO để gây nên công kiểu DDoS khủng khiếp Một điểm đáng lưu ý khác Mafiaboy bị bắt tự khoe khoang chatroom cơng cộng, khơng truy tìm dấu vết cậu bé Vào ngày 15 tháng năm 2003, Microsoft chịu đợt công DoS cực mạnh làm gián đoạn websites vòng Vào lúc 15:09 GMT ngày 27 tháng năm 2003: toàn phiên tiếng anh website Al-Jazeera bị công làm gián đoạn nhiều Các trang web phủ, ngân hàng, trường học Estonia bị tê liệt công DDos vào tháng 5/2007 Tuy nhiên, trang web bị công khơi phục nhanh chóng sau Năm 2007, sâu Storm xuất lây lan nhanh chóng Một lây nhiễm vào máy tính người dùng, sâu gửi hàng triệu thư rác Sâu Storm phát thực truy tìm máy chủ phát lệnh công, tiến hành trả đũa cách phát động công DDos nhắm vào người đó, nhằm đánh sập kết nối Internet họ Tháng 8/2009, công DDoS vào trang mạng xã hội Twitter, Facebbok, LiveJournal số trang Google, nhằm “đánh phá” trang blog, viết blogger Cyxymu Georgia Nhà cung cấp dịch vụ phân giải tên miền cho Amazon bị công DDoS, khiến người dùng truy cập vào máy chủ Amazon.com Amazon Web Services vào ngày 23/12/2009, thời điểm mua sắm sôi động năm nước khu vực Bắc Mỹ Ngày 7/12/2010, trang Visa.com bị nhóm tin tặc Anonymous cơng DDoS Theo nhóm tin tặc, họ thực cơng nhằm phản đối việc hãng tài khóa tài khoản WikiLeaks, sau trang dự kiến công bố tài liệu mật Bộ ngoại giao Mỹ Trước nhóm tin tặc thực công trang web Mastercard PayPal Ngày 4/3/2011, 40 trang web thuộc phủ Hàn Quốc tê liệt cơng DdoS Trên cơng điển hình DDoS, nói lên đặc điểm chết người DDoS: Rất dễ thực hiện, tránh, hậu nặng nề.” Đây số nhiều báo viết DDoS, ngắn gọn nêu bật đặc điểm bật DDoS: “Rất dễ thực hiện, tránh, hậu nặng nề” Một điều mà chuyên gia thừa nhận, DDoS thực hacker có trình độ, việc chống đỡ khơng thể Rất may mắn, giới hacker quy giới khai trừ kĩ thuật công này, chấm dứt hoạt động nghiên cứu, trình diễn hay phát triển cơng cụ thân họ nhìn thấy mức độ nguy hiểm không công kiểu công Bởi lẽ công từ chối dịch vụ phân tán kiểu công làm cho hệ thống máy tính hay hệ thống mạng q tải, khơng thể cung cấp dịch vụ phải dừng hoạt động Trong công DDoS, máy chủ dịch vụ bị "ngập" hàng loạt lệnh truy cập từ lượng kết nối khổng lồ Khi số lệnh truy cập q lớn, máy chủ q tải khơng cịn khả xử lý yêu cầu Hậu người dùng truy cập vào dịch vụ trang web bị công DDoS Tuy khơng cịn mẻ, DDoS tiếp tục gây nhiều thiệt hại cho cộng đồng mạng nói chung cho doanh nghiệp nói riêng Gần vụ công vào website Bkav, làm giảm uy tín doanh thu doanh nghiệp Cụ thể ngày sau bị công vào Website nhánh webscan.bkav com.vn, từ tối ngày 4/2/2012, trang chủ Bkav địa www.bkav.com.vn truy cập Các khách hàng sử dụng phần mềm diệt virus Bkav phí Bkav Pro khơng thể kết nối tới máy chủ để cập nhật virus Trang web Bkis bị DDoS làm gián đoạn nhiều liền sau phối hợp với bên liên quan, điều tra thủ phạm học sinh trung học Quảng Nam Vậy để tránh giảm thiệt hại bị DDoS, em lựa chọn đề tài :“Tìm hiểu chế tấn công từ chối dịch vụ DDoS và cách phòng chống” Đề tài phục vụ cho nhu cầu thân mà giúp nâng cao ý thức người dùng mạng Internet Mục tiêu nghiên cứu Mục tiêu nghiên cứu tiểu luận (các kết cần đạt được): - Tìm hiểu DDoS Phân loại hình thức cơng DDoS Tìm hiểu đặc tính lưu lượng mạng có khơng có cơng DDoS Khảo sát thuật toán phương pháp phát giảm thiểu công DDoS áp dụng Đối tượng phạm vi nghiên cứu Do tính chất đa dạng DDoS nên khơng có giải pháp phịng chống DDoS tối ưu cho trường hợp Giải pháp mà tiểu luận đề cập đến dành cho mơ hình mạng có server kết nối với Internet liên kết Các vấn đề cần giải quyết: - Nghiên cứu hình thức cơng mạng DDoS phương pháp phịng - chống Trên sở phân tích thuật tốn phát sớm giảm thiểu cơng Tóm tắt đọng nội dung Ngồi phần mở đầu phần kết luận, phần nội dung tiểu luận gồm có chương sau: Chương I Tổng quan công DoS DDoS: - Giới thiệu chung DoS, phân loại kiểu công DoS - Giới thiệu chung DDoS, phân loại kiểu công DDoS Chương II Các phương thức cơng DDoS: Trình bày phương thức, cách thức công DDoS, cách thức xây dựng mạng Botnet, giới thiệu số công cụ công DDoS Chương III Các biện pháp phịng chống cơng DDoS: Trình bày giải pháp phát hiện, ngăn ngừa công DDoS CHƯƠNG I TỔNG QUAN VỀ TẤN CÔNG DOS VÀ DDOS 1.1 Tấn công từ chối dịch vụ DoS 1.1.1 Giới thiệu công DoS Tấn công từ chối dịch vụ DoS dạng công nhằm ngăn chặn người dùng hợp pháp truy nhập tài nguyên mạng Tấn công DoS xuất từ sớm, vào đầu năm 80 kỷ trước Tấn công DoS kiểu công mà người làm cho hệ thống sử dụng, làm cho hệ thống chậm cách đáng kể với người dùng bình thường, cách làm tải tài nguyên hệ thống Nếu kẻ công khả thâm nhập vào hệ thống, chúng cố gắng tìm cách làm cho hệ thống sụp đổ khơng có khả phục vụ người dùng bình thường cơng DoS Mặc dù cơng DoS khơng có khả truy cập vào liệu thực hệ thống làm gián đoạn dịch vụ mà hệ thống cung cấp Như định nghĩa DoS công vào hệ thống khai thác yếu hệ thống để cơng, mục đích cơng DoS 1.1.2 Mục đích cơng DoS hiểm họa 1.1.2.1 Các mục đích tấn công DoS - Cố gắng chiếm băng thông mạng làm hệ thống mạng bị ngập (flood), hệ thống mạng khơng có khả đáp ứng dịch vụ khác cho người dùng bình thường - Cố gắng làm ngắt kết nối hai máy, ngăn chặn trình truy cập vào dịch vụ - Cố gắng ngăn chặn người dùng cụ thể vào dịch vụ - Cố gắng ngăn chặn dịch vụ khơng cho người khác có khả truy cập vào - Khi công DoS xảy người dùng có cảm giác truy cập vào dịch vụ bị: + Tắt mạng + Tổ chức khơng hoạt động + Thiệt hại tài 1.1.2.2 Mục tiêu mà kẻ tấn công thường sử dụng tấn công DoS Ta thấy, công DoS xảy kẻ công sử dụng hết tài nguyên hệ thống hệ thống đáp ứng cho người dùng bình thường Vì tài nguyên chúng thường sử dụng để công là: - Tạo khan hiếm, giới hạn không đổi tài nguyên - Băng thông hệ thống mạng, nhớ, ổ đĩa, CPU Time hay cấu trúc liệu mục tiêu công DoS - Tấn công vào hệ thống khác phục vụ cho mạng máy tính như: hệ thống điều hồ, hệ thống điện, hệt hống làm mát nhiều tài nguyên khác doanh nghiệp Bạn thử tưởng tượng nguồn điện vào máy chủ web bị ngắt người dùng truy cập vào máy chủ khơng - Phá hoại thay đổi thơng tin cấu hình - Phá hoại tầng vật lý thiết bị mạng nguồn điện, điều hịa 1.1.3 Các hình thức cơng DoS - Smurf Buffer Overflow Attack Ping of Death Teardrop SYN Attack 1.1.3.1 Tấn công Smurf Smurf : loại cơng DoS điển hình Máy attacker gởi nhiều lệnh ping đến số lượng lớn máy tính thời gian ngắn, địa IP nguồn gói ICMP echo thay địa IP nạn nhân, Các máy tính trả lại gói ICMP reply đến máy nạn nhân Kết đích cơng phải chịu nhận đợt Reply gói ICMP cực lớn làm cho mạng bị rớt bị chậm lại, khơng có khả đáp ứng dịch vụ khác Hình Tấn cơng Smurf 1.1.3.3 Tấn cơng Buffer Overflow Buffer Overflow xảy thời điểm có chương trình ghi lượng thơng tin lớn dung lượng nhớ đệm nhớ Kẻ cơng ghi đè lên liệu điều khiển chạy chương trình đánh cắp quyền điều khiển số chương trình nhằm thực thi đoạn mã nguy hiểm Quá trình gửi thư điện tử mà file đính kèm dài 256 ký tự xảy trình tràn nhớ đệm 1.1.3.3 Tấn cơng Ping of Death Kẻ cơng gửi gói tin IP lớn số lương bytes cho phép tin IP 65.536 bytes Q trình chia nhỏ gói tin IP thành phần nhỏ thực layer II Quá trình chia nhỏ thực với gói IP lớn 65.536 bytes Nhưng hệ điều hành nhận biết độ lớn gói tin bị khởi động lại, hay đơn giản bị gián đoạn giao tiếp 10 Chương III CÁC BIỆN PHÁP PHỊNG CHỐNG TẤN CƠNG DDOS 3.1 Phịng chống giảm thiểu cơng DDoS 3.1.1 Cách phịng chống cơng DDoS Có nhiều giải pháp ý tưởng đưa nhằm đối phó với cơng kiểu DDoS Tuy nhiên khơng có giải pháp ý tưởng giải trọn vẹn tốn Phịng chống DDoS Các hình thái khác DDoS liên tục xuất theo thời gian song song với giải pháp đối phó, nhiên đua tuân theo quy luật tất yếu bảo mật máy tính: “Hacker ln trước giới bảo mật bước” Có ba giai đoạn q trình Phịng chống DDoS: - Giai đoạn ngăn ngừa: tối thiểu hóa lượng Agent, tìm vơ hiệu hóa Handler - Giai đoạn đối đầu với công: Phát ngăn chặn công, làm suy giảm dừng công, chuyển hướng công - Giai đoạn sau công xảy ra: thu thập chứng rút kinh nghiệm Hình 18 Phịng chống cơng DDoS 3.1.1.1 Tới thiểu hóa lượng Agent Từ phía người dùng: phương pháp tốt để ngăn ngừa công DDoS người dùng Internet tự đề phịng khơng để bị lợi dụng cơng hệ thống khác Muốn đạt điều ý thức kỹ thuật phòng chống phải phổ biến rộng 39 rãi cho người dùng Mạng lưới Botnet khơng hình thành khơng có người bị lợi dụng trở thành Agent Mọi người dùng phải liên tục thực trình bảo mật máy vi tính Họ phải tự kiểm tra diện Agent máy mình, điều khó khăn người dùng thông thường Một giải pháp đơn giản nên cài đặt update liên tục software antivirus, antitrojan patch hệ điều hành Từ phía Network Service Provider: Thay đổi cách tính tiền dịch vụ truy cập theo dung lượng làm cho user lưu ý đến họ gửi, mặt ý thức tăng cường phát DDoS Agent tự nâng cao người dùng 3.1.1.2 Tìm và vô hiệu hóa các Handler Một nhân tố vơ quan trọng mạng Botnet Handler, phát vơ hiệu hóa Handler khả Phịng chống DDoS thành công cao Bằng cách theo dõi giao tiếp Handler Client hay Handler Agent ta phát vị trí Handler Do Handler quản lý nhiều, nên triệt tiêu Handler có nghĩa loại bỏ lượng đáng kể Agent mạng Botnet 3.1.1.3 Phát dấu hiệu tấn cơng Có nhiều kỹ thuật áp dụng: - Agress Filtering: Kỹ thuật kiểm tra xem packet có đủ tiêu chuẩn khỏi subnet hay không dựa sở gateway subnet biết địa IP máy thuộc subnet Các packet từ bên subnet gửi ngồi với địa nguồn khơng hợp lệ bị giữ lại để điều tra nguyên nhân Nếu kỹ thuật áp dụng tất subnet Internet khái nhiệm giả mạo địa IP khơng cịn tồn - MIB statistics: Management Information Base route ln có thơng tin thống kể biến thiên trạng thái mạng Nếu ta giám sát chặt chẽ thống kê Protocol ICMP, UDP TCP ta có khả phát thời điểm bắt đầu công để tạo “quỹ thời gian vàng” cho việc xử lý tình 40 3.1.1.4 Làm suy giảm hay dừng tấn công Dùng kỹ thuật sau: - Load balancing: Thiết lập kiến trúc cân tải cho server trọng điểm làm gia tăng thời gian chống chọi hệ thống với công DDoS Tuy nhiên, điều khơng có ý nghĩa mặt thực tiễn quy mơ cơng khơng có giới hạn - Throttling: Thiết lập chế điều tiết router, quy định khoảng tải hợp lý mà server bên xử lý Phương pháp dung để ngăn chặn khả DDoS traffic không cho user truy cập dịch vụ Hạn chế kỹ thuật không phân biệt loại traffic, làm dịch vụ bị gián đoạn với user, DDoS traffic xâm nhập vào mạng dịch vụ với số lượng hữu hạn - Drop request: Thiết lập chế drop request vi phạm số quy định như: thời gian delay kéo dài, tốn nhiều tài nguyên để xử lý, gây deadlock Kỹ thuật triệt tiêu khả làm cạn kiệt lực hệ thống, nhiên giới hạn số hoạt động thông thường hệ thống, cần cân nhắc sử dụng 3.1.1.5 Chuyển hướng tấn công Honeyspots: Một kỹ thuật nghiên cứu Honeyspots Honeyspots hệ thống thiết kế nhằm đánh lừa attacker công vào xâm nhập hệ thống mà không ý đến hệ thống quan trọng thực Honeyspots hiệu việc phát xử lý xâm nhập, Honeyspots thiết lập sẵn chế giám sát báo động Ngồi ra, Honeyspots cịn có giá trị việc học hỏi rút kinh nghiệm từ Attacker, Honeyspots ghi nhận chi tiết động thái attacker hệ thống Nếu attacker bị đánh lừa cài đặt Agent hay Handler lên Honeyspots khả bị triệt tiêu tồn mạng Botnet cao 3.1.1.6 Giai đoạn sau tấn công Trong giai đoạn thông thường thực công việc sau: - Traffic Pattern Analysis: Nếu liệu thống kê biến thiên lượng traffic theo thời gian lưu lại đưa phân tích Q trình phân tích 41 có ích cho việc tinh chỉnh lại hệ thống Load Balancing Throttling Ngồi liệu cịn giúp quản trị mạng điều chỉnh lại quy tắc kiểm soát traffic vào mạng - Packet Traceback: cách dùng kỹ thuật Traceback ta truy ngược lại vị trí Attacker (ít subnet attacker) Từ kỹ thuật Traceback ta phát triển thêm khả Block Traceback từ attacker hữu hiệu - Bevent Logs: Bằng cách phân tích file log sau cơng, quản trị mạng tìm nhiều manh mối chứng quan trọng 3.1.2 Những vấn đề cần giải DDoS kiểu công đặc biệt, điểm hiểm ác DDoS làm cho khó khắc phục “DDoS đánh vào nhân tố yếu hệ thống thông tin - người” Từ đặc điểm DDoS làm phát sinh nhiều vần đề mà người cộng đồng Internet phải chung sức giải Sau yếu điểm mà cần phải hạn chế: 3.1.2.1 Thiếu trách nhiệm với cộng đồng Con người thông thường quan tâm đầu tư tiền bạc công sức cho hệ thống thông tin “chính mình” DDoS khai thác điểm mạnh phương thức giả mạo địa Broadcast amplification - IP spoofing: cách thức đơn giản hiệu tận dụng tối đa công DDoS Thực chống giả mạo địa khơng có phức tạp, đề cập phần trên, tất subnet Internet giám sát packet khỏi mạng phương diện địa nguồn hợp lệ khơng có packet giả mạo địa truyền Internet Đề nghị: “Tự giác thực Egress Filtering mạng quản lý” Hi vọng ngày có quy định cụ thể vấn đề cho tất ISP toàn cầu - Broadcast Amplification: tương tự IP spoofing, lợi dụng tồn subnet để flood nạn nhân Vì vậy, việc giám sát quản lý chặt chẽ khả broadcast subnet cần thiết Quản trị mạng phải cấu hình tồn hệ thống khơng nhận forward broadcast packet 42 3.1.2.2 Sự im lặng Hầu hết tổ chức khơng có phản ứng hay im lặng hệ thống bị lợi dụng công hay bị công Điều làm cho việc ngăn chặn loại trừ cơng trở nên khó khăn Mọi việc trở nên khó khăn người không chia sẻ kinh nghiệm từ cơng, giới hacker chia sẻ mã nguồn mở công cụ, chơi không cân sức Đề nghị: - Mỗi tổ chức có liên quan nên thiết lập quy trình xử lý xâm nhập vào tổ chức, nhóm chuyên trách với trách nhiệm quy trình thật cụ thể Các ISP nên thiết lập khả phản ứng nhanh chuyên nghiệp để hỗ trợ tổ chức việc thực quy trình xử lý xâm nhập - Khuyến khích quản trị mạng gia nhập mạng lưới thơng tin toàn cầu tổ chức lớn bảo mật nhằm thông tin kịp thời chia sẻ kinh nghiệm với người - Tất công hay khuyết điểm hệ thống phải báo cáo đến phận tương ứng để xử lý 3.1.2.3 Tầm nhìn hạn hẹp Nếu thực giải pháp thơi đưa khỏi tình trạng yếu bảo mật Các giải pháp không thực làm giảm rủi ro hệ thống thông tin mà giải pháp tình Có vấn đề địi hỏi nhìn thái độ đắn cộng đồng Internet Cần phải có nghiên cứu thêm mặt quy định bắt buộc pháp lý nhằm hỗ trợ giải vấn đề mà kỹ thuật không thực Một số vấn đề cần thực thêm tương lai: - Giám sát chi tiết luồng liệu cấp ISP để cảnh cáo công - Xúc tiến đưa IPSec Secure DNS vào sử dụng - Khẳng định tầm quan trọng bảo mật trình nghiên cứu phát triển Internet II - Nghiên cứu phát triển công cụ tự động sinh ACL từ security policy, router firewall - Ủng hộ việc phát triển sản phẩm hướng bảo mật có tính năng: bảo mật mặc định, tự động update 43 - Tài trợ việc nghiên cứu protocol hạ tầng hỗ trợ khả giám sát, phân tích điều khiển dòng liệu thời gian thực - Phát triển router switch có khả xử lý phức tạp - Nghiên cứu phát triển hệ thống tương tự Intrusion Dectection, hoạt động so sánh trạng thái với định nghĩa bình thường củ hệ thống từ đưa cảnh báo - Góp ý kiến để xây dựng nội quy chung cho tất thành phần có liên quan đến Internet - Thiết lập mạng lưới thông tin thời gian thực người chịu trách nhiệm hoạt động hệ thống thông tin nhằm cộng tác-hỗ trợ-rút kinh nghiệm có cơng quy mơ xảy - Phát triển hệ điều hành bảo mật - Nghiên cứu hệ thống tự động hồi phục có khả chống chọi, ghi nhận hồi phục sau công cho hệ thống xung yếu - Nghiên cứu biện pháp truy tìm, cơng cụ pháp lý phù hợp nhằm trừng trị thích đáng attacker mà không xâm phạm quyền tự riêng tư cá nhân - Đào tạo lực lượng tinh nhuệ bảo mật làm nịng cốt cho tính an tồn Internet - Nhấn mạnh yếu tố bảo mật an toàn tính đến chi phí bỏ xây dựng hệ thống thơng tin 3.2 Cách phịng chống Botnet Botnet mối đe dọa ngày lan rộng, nhiên có nhiều cách đối phó để giảm tác hại gây từ nó, cách chuyên nghiệp chống trả lại botnet 3.2.1 Thuê dịch vụ lọc Web Dịch vụ lọc Web cách tốt để đấu tranh với bot Các dịch vụ quét website thấy xuất hành vi khơng bình thường có hành động mã nguy hiểm khóa site từ người dùng Websense, Cyveillance FaceTime Communications ví dụ điển hình Tất kiểm tra Internet theo thời gian thực tìm website bị nghi ngờ có hành động nguy hiểm tải JavaScript trò lừa đảo khác ngồi ranh giới việc 44 duyệt web thơng thường Cyveillance Support Intelligence cung cấp dịch vụ cho biết tổ chức website ISP phát có malware, máy chủ bị cơng sửa chữa kịp thời Hình 19 Dịch vụ lọc Web 3.2.2 Chuyển đổi trình duyệt Một cách khác để ngăn chặn xâm nhập bot khơng nên sử dụng trình duyệt Internet Explorer hay Mozilla Firefox hai trình duyệt phổ biến chúng trình duyệt mà malware tập trung công tới Chúng ta dùng Apple Safari, Google Chrome, Opera, Netscape, Tương tự hệ điều hành Theo thống kê Macs hệ điều hành an tồn với botnet hầu hết chúng nhằm vào Windows Ngồi sử dụng hệ điều hành họ *nix để ngăn chặn phần mềm mã độc virus, trojan, spyware , sworm phần mềm mã độc chạy hệ điều hành phổ biến Windows 3.2.3 Vơ hiệu hóa kịch Một cách vơ hiệu hóa trình duyệt khỏi kịch nói chung (script), điều gây khó khăn cho số nhân viên sử dụng ứng dụng tùy chỉnh dựa web công việc họ 3.2.4 Triển khai hệ thông phát ngăn chặn xâm phạm Một phương pháp khác điều chỉnh IDS ISP để chúng tìm kiếm hoạt động tương tự botnet Ví dụ, máy tính bất ngờ gặp vấn đề cố Internet Relay Chat hoàn toàn đáng nghi ngờ Cũng giống việc kết nối vào địa IP xa địa 45 DNS không hợp lý Tuy vấn đề khó phát có cách phát giác khác phát thấy thu hút bất ngờ lưu lượng SSL máy tính, đặc biệt cổng khơng bình thường Điều kênh mà botnet chiếm quyền điều khiển bị kích hoạt Chính cần ISP để kiểm tra hành vi khơng bình thường để thị cảnh báo công dựa HTTP thủ tục gọi từ xa, Telnet- giả mạo giao thức giải pháp địa chỉ, công khác Mặc dù phải nên ý nhiều cảm biến ISP sử dụng phát dựa chữ ký, điều nghĩa công bổ sung vào sở liệu chúng phát Chính ISP phải cập nhật kịp thời để nhận công này, không phát khơng cịn giá trị 3.2.5 Bảo vệ nội dung tạo người dùng Các hoạt động website riêng bạn phải bảo vệ để tránh trở thành kẻ tịng phạm khơng chủ tâm kẻ viết malware Các blog công cộng forum công ty nên hạn chế dạng văn Nếu site bạn cần cho thành viên trao đổi file phải thiết lập phép kiểu file giới hạn đảm bảo an tồn, ví dụ với file có mở rộng jpeg mp3 (Tuy kẻ viết malware bắt đầu nhắm vào đối tượng người chơi MP3) 3.2.6 Sử dụng công cụ phần mềm Nếu bạn phát thấy máy tính bị tiêm nhiễm mà hệ thống khơng có cách tốt để giải với tình Bạn khơng phải lo sợ điều cơng ty Symantec xác nhận họ phát xóa tiêm nhiễm rootkit nguy hiểm Cơng ty đưa công nghệ Veritas, VxMS (Dịch vụ đồ hóa Veritas – Veritas Mapping Service), đưa quét chống virus bỏ qua Windows File System API, thành phần điều khiển hệ điều hành gây lỗ hổng rootkit VxMS truy cập trực tiếp vào file thô hệ thống 46 Windows NT File System Bên cạnh hãng phần mềm chống virus khác cố gắng việc chống lại rootkit gồm có McAfee FSecure 3.3 Hệ thống phát giảm thiểu DDos Như thấy, khả phát công ảnh hưởng lớn đến trình ngăn chặn làm giảm đến mức thấp tác hại mà công DDos gây Hiện hệ thống phát phát triển công phu Hầu hết phát loại cơng Dos DDos khó đạt độ xác cao Những hệ thống phát DDos thường sử dụng nhiều phương thức để dị tìm phát Thơng thường cơng cụ so sánh lưu lượng với lưu lượng chấp nhận Cơng nghệ cịn có vài thiếu sót Trước tiên, ngưỡng thường đặt tĩnh yêu cầu người sử dụng phải cấu hình để phù hợp với mơi trường, nhiên khó thay đổi thích ứng với mơi trường Thứ hai, có số ngưỡng thiết lập thống kê chi tiết giao thức khơng có giá trị cho người sử dụng Thứ 3, ngưỡng áp dụng mức độ tổng hợp cao Sự thiếu sót dẫn tới đánh giá sai tính rõ ràng tính phủ định hệ thống phát Thậm chí phát xâm hại chặn nhầm địa hợp lệ Do vậy, để hiệu hệ thống phát xâm nhập phải thêm nhiều tính để phát phân biệt cơng với hoạt động bình thường 3.3.1 Các yêu cầu hệ thống phát DDoS 3.3.1.1 Phát nhiều chế Hiện hình thức cơng Ddos đa dạng ln phát triển khơng ngừng Càng ngày có nhiều kiểu công Do vậy, hệ thống phát Ddos thật hiệu phát hầu hết kiểu công Luôn đánh giá hệ thống mạng có dấu hiệu bất thường, phải cập nhật thường xuyên kiểu công để có biện pháp phát nhanh 47 3.3.1.2 Phản ứng Khi công DDos xảy Bước quan trọng phát xác gói tin cơng Hệ thống phòng thủ phải đáp ứng thời gian thực, đặc biệt tốc độ phản ứng phải cao Tránh trường hợp chặn nhầm gói tin hợp lệ 3.3.2 Phân tích phát cơng DDoS 3.3.2.1 Phát gần nguồn tấn công Giả sử tổng số lưu lượng để tắt mạng V, lưu lượng công DDos U Chúng ta dễ dàng phát cơng nạn nhân V lớn đáng kể lưu lượng bình thường Tuy nhiên, số lượng công gần nguồn khơng phân biệt từ lưu lượng bình thường, tỷ số V/U nhỏ U đủ lớn Thơng thường phương án đặt đánh dấu gói tin truy tìm ngược lại Các phương án thường khơng có hiệu cao mà công diễn với quy mô lớn Do việc phát công gần nguồn tránh tắc nghẽn đạt hiệu cao 3.3.2.2 Phát tấn công mạng nạn nhân Như nói phần trước, việc phát cơng nạn nhân khơng khó lúc lưu lượng mạng nạn nhân trở nên cao tất nhiên dẫn đến tình trạng cung cấp dịch vụ Tuy nhiên, thông thường việc phát phản ứng lại nạn nhân thường muộn vào lúc công mức cao Nạn nhân lựa chọn tắt server sau liên hệ với ISP Các ISP sau nhận lời đề nghị nạn nhân tiến hành đẩy ngược lại lưu lượng công router Công việc thường tốn nhiều thời gian Ví dụ nạn nhân phát công, thông điệp gửi đến upstream router nạn nhân Thông điệp bao gồm đích lưu lượng cơng, u cầu để lọc lưu lượng công Tuy nhiên, việc gửi thông điệp thời gian ngắn vơ quan trọng 48 để ngăn chặn cơng DDos Bởi vậy, cần có chế phát thật nhanh để gửi thông điệp giai đoạn cơng 3.3.3 Một số thuật tốn phát DDoS Thực tế chứng minh, cơng DDos xảy Lập tức phân tích thấy lưu lượng mạng khác thường Do hầu hết thuật tốn phân tích phát cơng DDos dựa tính khác thường lưu lượng mạng Một số công nghệ thống kê áp dụng để tiến hành phân tích, thống kê lưu lượng tải làm việc để phát Từ kỹ thuật phân tích này, có thuật toán phát để đưa tham số công nghệ thống kê, mức độ nguy hiểm công Thông số kiểm tra: Thông số kiểm tra dùng để phân loại thuật toán số lượng lớn lưu lượng, số địa IP tỷ lệ gói tin đến mạng Công nghệ thống kê: Sử dụng thuật tốn thống kê để phân tích mạng Ví dụ ngưỡng giới han phù hợp, phát điểm thay đổi phân tích wavelet Mức độ phân tích: Khi phân tích chi tiết thơng số, mức độ nguy hiểm gán Sau đây, giới thiệu tổng quan thuật toán phát DDoS 3.3.3.1 Số lượng lớn lưu lượng - Thuật toán Adaptive Threshold (ngưỡng giới hạn khả đáp ứng) Thuật tốn nói chung đơn giản dễ hiểu Thuật tốn phát khơng bình thường dựa vị phạm ngưỡng khả đáp ứng lưu lượng mạng thời gian gần Thuật tốn đặc biệt có khả phát cao kẻ công tiến hành cuôc công TCP SYN Thuật toán tin tưởng vào việc kiểm tra phép đo lưu lượng có vượt qua ngưỡng giới hạn cụ thể hay không Nếu vượt qua, chứng tỏ có cơng xảy - Thuật tốn CUSUM (tổng tích lũy) Thuật tốn tổng tích lũy dựa giá trị trung bình trình xử lý thống kê Sự phát điểm thay đổi cần phải theo dõi khoảng thời gian Một công 49 thức xây dựng để theo dõi thay đổi này, vượt qua ngưỡng giới hạn chứng tỏ xảy công 3.3.3.2 Source IP Address Monitoring (theo dõi địa IP nguồn) Thuật toán Source IP Address Monitoring (SIM) dựa việc theo dõi đánh giá địa IP Thuật tốn chia làm phần Đó off-line training detection and learning Trong phần off-line training, thuật tốn tiến hành theo dõi, đánh giá phân tích địa IP khoảng thời gian đưa địa IP vào IP address database (IAD) Những địa IAD gọi địa thường xuyên truy cập IAD xóa IP hết hạn để giảm thiểu nhớ cho hệ thống cập nhật đia IP IAD xây dựng cập nhật off-line để chắn IAD không bao gồm địa công Còn phần detection and learning, SIM tiến hành thống kê lưu lượng đến khoảng thời gian So khớp địa IP đến IAD để tìm IP Phân tích IP này, có hàm để đánh giá IP (sử dụng thuật toán CUSUM) Khi thay đổi vượt qua ngưỡng giới hạn chứng tỏ có công xảy 3.3.3.3 Ratio of Input/Output Traffic (tỷ lệ lưu lượng đến và đi) Thuật toán dựa giả định trình hoạt động bình thường internet, gói tin theo hướng ngồi internet tỷ lệ thuận với gói tin theo hướng ngược lại Nếu tỷ lệ lớn chứng tỏ có cơng từ bên ngồi 3.4 Kết luận chương III Chương III tiểu luận trình bày chi tiết cách hạn chế, giảm thiểu thiệt hại công DDoS, cách chống lại mơ hình mạng Botnet, số thuật tốn phát DDoS Ngồi tác giả cịn nghiên cứu kỹ thuật phát giảm thiểu công DDoS thông qua chế kiểm tra địa nguồn, thuật toán CUSUM Nhìn nhận cách tổng qt, ta thấy việc đấu tranh phịng chống DDoS khơng cơng việc cá nhân - người sử dụng dịch vụ Internet mà cịn cơng việc cộng đồng sử dụng mạng Internet 50 51 KẾT LUẬN Tấn công từ chối dịch vụ phân tán phát triển đáng lo ngại năm gần mối đe dọa thường trực với hệ thống mạng quan phủ doanh nghiệp Nhiều công DDoS với quy mô lớn thực gây tê liệt hệ thống mạng Chính phủ Hàn Quốc gây ngắt quãng hoạt động mạng dịch vụ trực truyến tiếng Yahoo Tấn cơng DDoS khó phịng chống hiệu quy mô lớn chất phân tán Nhiều kỹ thuật cơng cụ công DDoS phức tạp phát triển, hỗ trợ đắc lực cho cơng DDoS phát triển nhanh chóng kỹ thuật lây nhiễm phần mềm độc hại, xây dựng hệ thống mạng máy tính ma (zombie, botnets) Tin tặc chiếm quyền điều khiển máy tính có kết nối Internet, điểu khiển mạng botnet với hàng trăm ngàn máy tính để thực cơng DDoS Để có giải pháp tồn diện phịng chống cơng DDoS hiệu quả, việc nghiên cứu dạng công DDoS khâu cần thực Tấn công từ chối dịch vụ phân tán dạng công mạng nguy hiểm, chưa có giải pháp tổng quát cụ thể để phịng chống cơng DDoS tính phức tạp tinh vi chúng Tùy vào tình kẻ công thực để lên phương án phòng chống, kiểm tra xem chúng đánh vào tầng (TCP, Application, ), đánh theo chế từ xem hệ thống có lỗ hổng khơng, chắn có cách thích hợp để xử lý chúng Trong tiểu luận tác giả giới thiệu tổng quan phân loại công DDoS Bên cạnh tác giả giới thiệu phương thức, công cụ công DDoS, bước xây dựng mạng Botnet; Các thuật toán phát DDoS sử dụng phổ biến giới Những thuật tốn giúp phát triển hệ thống dựa tảng có Trên sở có đánh giá khả bị công lựa chọn tập biện pháp phòng ngừa, phát giảm thiểu công cách hiệu 52 TÀI LIỆU THAM KHẢO B E Brodsky and B S Darkhovsky (1993), Nonparametric Methods in Change- point Problems, Kluwer Academic Publishers, pp 78-90 Christos Douligeris and Aikaterini Mitrokotsa (2003), DDoS Attacks and Defense Mechanisms: A Classification, Signal Processing and Information Technology Jelena Mirkovic, Janice Martin and Peter Reiher (2004), A Taxonomy of DDoS Attacks and DDoS Defense Mechanisms, ACM SIGCOMM Computer Communication Review Jameel Hashmi, Manish Saxena, and Rajesh Saini (2012), Classification of DDoS Attacks and their Defense Techniques using Intrusion Prevention System, International Journal of Computer Science & Communication Networks Jelena Mikovic, G Prier and P Reiher (2002), Attacking DdoS at the source, Proceedings of ICNP Jelena Mikovic, G Prier and P Reiher (2002), A Taxonomy of DdoS Attacks and DdoS Defense Mechanisms, UCLA CSD Technical Report no 020018 Jelena Mikovic, G Prier and P Reiher (2002), Source Router Approach to DdoS Defense – UCLA CSD Technical Report no 010042 Kanwal Garg, Rshma Chawla (2011), Detection of DDoS Attacks Using Data Mining, International Journal of Computing and Business Research K Park and H Lee (2001), On the Effectiveness of Route-Based Packet Filtering for Distributed DoS Attack Prevention in Power-Law Internets In Proceedings of ACM SIGCOMM 10 Monowar H Bhuyan, H J Kashyap, D K Bhattacharyya and J K Kalita (2013), Detecting Distributed Denial of Service Attacks: Methods, Tools and Future Directions, The Computer Journal 11 Mohammed Alenezi (2012), Methodologies for detecting DoS/DDoS attacks against network servers, The Seventh International Conference on Systems and Networks Communications - ICSNC 53 ... kiểu công DDoS công cụ công DDoS 2.4.1 Một số kiểu công DDoS Bên cạnh việc phân loại kiểu cơng theo mục đích cơng, ta cịn phân loại theo cách công vào giao thức Dưới phân loại số cách công DDoS. .. giới thiệu số công cụ cơng DDoS Chương III Các biện pháp phịng chống cơng DDoS: Trình bày giải pháp phát hiện, ngăn ngừa công DDoS CHƯƠNG I TỔNG QUAN VỀ TẤN CÔNG DOS VÀ DDOS 1.1 Tấn công từ chối... quan công DoS DDoS: - Giới thiệu chung DoS, phân loại kiểu công DoS - Giới thiệu chung DDoS, phân loại kiểu công DDoS Chương II Các phương thức cơng DDoS: Trình bày phương thức, cách thức công DDoS,