BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT Mà ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ BÁO CÁO BÀI TẬP LỚN TÌM HIỂU VỀ KỸ THUẬT TẤN CÔNG TỪ CHỐI DỊCH VỤ (Denial of Service – DoS) Ngành: Công nghệ thông tin Chuyên ngành: An tồn thơng tin Sinh viên thực hiện: Nguyễn Huy Mừng Hạ Văn Mạnh Vũ Ngọc Minh Người hướng dẫn: ThS Vũ Thị Vân Khoa Công nghệ thông tin – Học viện Kỹ thuật mật mã Hà Nội, 2021 LỜI CẢM ƠN Trước hết, chúng em xin chân thành gửi lời cảm ơn đến Học viện Kỹ Thuật Mật Mã đào tạo, trau dồi cho chúng em kiến thức thật bổ ích thời gian qua Chúng em xin cảm ơn cô ThS Vũ Thị Vân hướng dẫn chúng em hồn thành báo cáo mơn học Cảm ơn cô định hướng, hướng dẫn, truyền đạt kiến thức bổ ích, cung cấp tài liệu để chúng em hồn thành đồ án thực tập Cảm ơn nhiệt tình, tận tâm thầy chúng em Trên thực tế, khơng có thành công mà không gắn liền với hỗ trợ, giúp đỡ dù hay nhiều, dù trực tiếp hay gián tiếp người khác Trong thời gian từ bắt đầu đăng ký môn học đến chúng em nhận nhiều quan tâm, giúp đỡ từ quý Thầy Cô Nếu lời hướng dẫn, dạy bảo chúng em nghĩ báo cáo học phần chúng em khó hồn thiện Một lần nữa, chúng em xin chân thành cảm ơn cô.Trong q trình thực hiện, khơng tránh khỏi thiếu sót điều chắn, chúng em mong nhận ý kiến đóng góp q báu q Thầy Cơ bạn học để kiến thức chúng em lĩnh vực hoàn thiện Chúng em kính chúc Vũ Thị Vân tất thầy Khoa An tồn thơng tin Học viện Kỹ thuật Mật mã dồi sức khỏe, gặt hái nhiều thành công nghiệp MỤC LỤC Contents Lời cảm ơn .2 MỤC LỤC .i Danh mục kí hiệu viết tắt ii Lời nói đầu iii Chương Tổng quan VỀ DoS .1 1.1 Khái niệm DoS 1.2 Đối tượng công DoS 1.3 Mục đích Chương KỸ THUẬT TẤN CÔNG DoS 2.1 Một số loại công DoS 2.1.1 SYN Flood Attack .3 2.1.2 UDP Flood Attack 2.1.3 HTTP Flood Attack .4 2.1.4 Ping of Death Attack 2.1.5 Teardrop Attact 2.1.6 Ping (ICMP) Flood .6 Chương TẤN CÔNG DOS .8 3.1 Công cụ hỗ trợ triển khai công DoS 3.2 Tấn công thực nghiệm DoS 10 3.3 Các giải pháp chống công DOS 24 3.4 Một số công cụ phịng chống cơng DOS 25 KẾT LUẬN 27 DANH MỤC KÍ HIỆU VÀ VIẾT TẮT ACK APDOS ARP DOS HTTP ICMP IP NTP OSI SYN TCP UDP VPS WAF Acknowledgement Advanced Persistent Denial-of-service Address Resolution Protocol Denial-of-service Hypertext Transfer Protocol Internet Control Message Protocol Internet Protocol Network Time Protocol Open Systems Interconnection Synchronous Idle Character Transmission Control Protocol User Datagram Protocol Virtual Private Server Web Application Firewall LỜI NĨI ĐẦU Tấn cơng từ chối dịch vụ công nhằm làm sập máy chủ mạng, khiến người dùng khác truy cập vào máy chủ/mạng Kẻ cơng thực điều cách "tuồn" ạt traffic gửi thông tin kích hoạt cố đến máy chủ, hệ thống mạng mục tiêu, từ khiến người dùng hợp pháp (nhân viên, thành viên, chủ tài khoản) truy cập dịch vụ, tài nguyên họ mong đợi Nội dung báo cáo trình bày chương :  Chương Tổng quan DoS Trong chương này, trình bày tổng quan DoS bao gồm: khái niệm, mục đích, đối tượng cơng  Chương Kỹ thuật công DoS giải pháp phòng chống: Trong chương 2, giới thiệu chi tiết cơng điển hình như: SYN Flood, UDP Flood, Ping of Death, Slowloris  Chương Tấn công DoS  Sau thời gian thực hiện, mục tiêu đạt Tuy nhiên cộng mạng vấn đề khó lường phức tạp, thời gian thực tương đối ngắn nên chắn không tránh khỏi thiếu sót Rất mong góp ý thầy cô, bạn học viên báo cáo hoàn thiện CHƯƠNG TỔNG QUAN VỀ DOS 1.1 Khái niệm DoS Khái niệm Dos: Dos viết tắt Denial of Service nghĩa từ chối dịch vụ Dos kiểu công mạng mà người làm cho hệ thống khơng thể sử dụng làm cho hệ thống chậm cách đáng kể với người dùng bình thường, cách làm tải tài nguyên hệ thống Đây kiểu cơng đơn giản Thường tin tặc tạo lượng lớn truy cập đến máy tính mục tiêu, khiến khơng kịp xử lý tác vụ cần kíp, từ dẫn đến tải khiến máy mục tiêu bị chậm sử dụng Các cơng DoS thường khơng có khả truy cập vào liệu thực hệ thống lại làm gián đoạn dịch vụ mà hệ thống cung cấp khiến uy tín doanh nghiệp giảm sút người dùng khơng sử dụng dịch vụ hệ thống cung cấp Tuy nhiên, công DoS đặc trưng việc sử dụng máy tính để bắt đầu cơng nên dễ để theo dõi ngăn chặn Hình 1-1 Minh họa cơng DoS 1.2 Đối tượng công DoS Các Tấn công Từ chối Dịch vụ thường nhắm vào máy chủ ảo (VPS) hay Web Server doanh nghiệp lớn ngân hàng, phủ trang thương mại điện tử Ngoài ra, băng thông hệ thống mạng (Network Bandwidth), nhớ, ổ đĩa, CPU Time hay cấu trúc liệu mục tiêu cơng DoS Khơng vậy, kẻ cơng cịn nhắm vào hệ thống khác phục vụ cho mạng máy tính như: hệ thống điều hoà, hệ thống điện, hệ thống làm mát nhiều tài nguyên khác doanh nghiệp Những hệ thống trực tiếp ảnh hưởng đến hoạt động máy chủ gây thiệt hại cho doanh nghiệp sở hữu 1.3 Mục đích  Cố gắng chiếm băng thông mạng làm hệ thống mạng bị ngập (flood), hệ thống mạng khơng có khả đáp ứng dịch vụ khác cho người dùng bình thường  Cố gắng làm ngắt kết nối hai máy, ngăn chặn trình truy cập vào dịch vụ  Cố gắng ngăn chặn người dùng cụ thể vào dịch vụ  Cố gắng ngăn chặn dịch vụ khơng cho người khác có khả truy cập vào  Khi cơng DoS xảy người dùng có cảm giác truy cập vào dịch vụ bị:  Disable Network – Tắt mạng  Disable Organization – Tổ chức không hoạt động  Phá hoại thay đổi thơng tin cấu hình CHƯƠNG KỸ THUẬT TẤN CƠNG DOS 2.1 Một số loại cơng DoS 2.1.1 SYN Flood Attack SYN Flood hình thức công thực để khai thác điểm yếu giao thức kết nối mạng TCP (quá trình bắt tay bước) Theo phương thức giao tiếp internet thông thường máy chủ nhận thơng điệp nội (SYN) để tiến hành “bắt tay” (handshake) Khi nhận thông điệp, máy chủ gửi cờ báo nhận (ACK) tới máy lưu trữ ban đầu đóng kết nối Nhưng tin tặc công SYN Flood, thông điệp giả mạo gửi liên tục, dẫn đến kết nối khơng đóng lại dịch vụ bị đánh sập Hình 2-2 Minh họa SYN Flood Attack 2.1.2 UDP Flood Attack UDP (User Datagram Protocol) hiểu giao thức kết nối không tin cậy Theo đó, UDP Flood cơng gây ngập lụt UDP Khi thực phương thức công này, tin tặc gửi lượng lớn gói tin UDP tới số cổng ngẫu nhiên server Máy chủ kiểm tra trả lời với ICMP Destination Unreachable (gói tin khơng tìm thấy) Khi số lượng yêu cầu UDP vượt ngưỡng cho phép, máy chủ khả xử lý request, dẫn đến tình trạng từ chối dịch vụ Hình 2-3 Minh họa UDP Flood Attack 2.1.3 HTTP Flood Attack HTTP Flood công, gây tải cách gửi hàng loạt yêu cầu GET POST hợp pháp đến máy chủ Phương pháp tiêu tốn băng thơng kiểu công từ chối dịch vụ khác buộc máy chủ sử dụng nguồn tài nguyên tối đa để xử lý tác vụ Hình 2-4 Minh họa HTTP Flood Attack Hình 3-6 Tấn cơng SYN Flood Sau ta dừng việc công, lưu lượng mạng đột ngột giảm(trở mức ban đầu) gói tin khơng gửi 15 Hình 3-7 Tấn cơng SYN Flood c) Tấn cơng UDP Flood Mơ hình triển khai cơng UDP Flood Với máy công sử dụng hệ điều hành Kali Linux địa 10.10.10.5 máy nạn nhân sử dụng hệ điều hành Windows Server 2008 địa 10.10.10.3 Hình 3-8 Tấn công UDP Flood 16 Trước công ta kiểm tra máy nạn nhân thấy tín hiệu mạng ổn định Hình 3-9 Tấn cơng UDP Flood Mở terminal máy attacker nhập dòng lệnh hping3 -2 –flood 10.10.10.3 để bắt đầu thực cơng 17 Hình 3-10 Tấn công UDP Flood Máy nạn nhân bị công Ta thấy lưu lượng nhận tăng lên đột ngột Sử dụng Wireshark bắt gói tin đường truyền ta thấy lượng lớn gói tin UDP gửi tới số cổng ngẫu nhiên máy nạn nhân Máy kiểm tra trả lời với ICMP Destination Unreachable (gói tin khơng tìm thấy) Khi số lượng yêu cầu UDP vượt ngưỡng cho phép, máy nạn nhân khả xử lý Request 18 Hình 3-11 Tấn cơng UDP Flood Hình 3-12 Tấn cơng UDP Flood 19 d) Tấn cơng Slowloris Mơ hình triển khai công Slowloris Với máy công địa 10.10.10.5 máy nạn nhân sử dụng hệ điều hành Ubuntu 2021 địa 10.10.10.4 cài đặt máy chủ Apache ver2 Hình 3-13 Tấn cơng Slowloris Trước cơng ta truy cập bình thường tới trang web máy nạn nhân Hình 3-14 Tấn cơng Slowloris 20 Mở cửa sổ terminal máy Kali nhập dòng lệnh msfconsole để khởi động Metasploit Hình 3-15 Tấn cơng Slowloris Dùng lệnh search slowloris để tìm payload thực cơng slowloris Ở ta tìm thấy payload auxiliary/dos/http/slowloris ta sử dụng lệnh “use auxiliary/dos/http/slowloris” để vào payload dùng show options để hiển thị cài đặt 21 Hình 3-16 Tấn cơng Slowloris Cài đặt tham số rhost, rport, sockets lệnh “set” hình dùng lệnh exploit để bắt đầu thực gửi request 22 Hình 3-17 Tấn cơng Slowloris Sau thực bước trên, máy công gửi đến Webserver nhiều yêu cầu HTTP Request(trong hình phương thức GET) cố gắng trì tối đa số kết nối đạt Cho đến số kết nối Webserver đạt ngưỡng, chối kết nối Request gửi đến bao gồm Request người dùng Mỗi kết nối trì đến time-out cắt kết nối đó, trả lại tài nguyên để Webserver sẵn sàng nhận kết nối Tuy nhiên, mà máy cơng dùng HTTP Slowloris Webserver liên tục bị đầy kết nối ta ngưng công tiếp tục truy cập lại web bình thường 23 Hình 3-18 Tấn cơng Slowloris Hình 3-19 Tấn công Slowloris 24 3.3 Các giải pháp chống cơng DOS Cách phịng chống cơng DoS Có nhiều cách thức để nhận biết phòng chống bị công từ chối dịch vụ khác Trước tiên cần vá lổ hỗng bảo mật dịch vụ hay ứng dụng chạy máy chủ để tránh bị hacker lợi dụng công từ chối dịch vụ RPC Locator service Sau số giải pháp cần quan tâm : – Network-ingress filtering : Tất hệ thống hay thiết bị cung cấp kết nối truy cập mạng cần thực chế lọc Network-infgress filtering nhằm loại bỏ luồn liệu xuất phát từ địa giả mạo, có nguồn gốc khơng rõ ràng Điều khơng ngăn ngừa cơng giúp chúngta chặn đứng chúng truy tìm có hành động trái phép diễn Các thiết bị dạng Cisco IPS Source IP Reputation Filtering, Black Hole Filtering … – Rate-limiting network system : Nhiều định tuyến có khả hạn chế kiểm sốt băng thơng giao thức khác nhau, kỹ thuật gọi trafic shapping – Instruction Detect System : Triển khai hệ thống dị tìm xâm phạm trái phép để phát kịp thời luồng truyền thông nguy hiểm, công hay virus / worm lan truyền mạng Một ứng dụng IDS nguồn mở sử dụng phổ biến Snort (www.snort.org) – Sử dụng cơng cụ Host-auditing : Một số chương trình có khả quét tập tin hệ thống để tìm cơng cụ cơng DDoS hay chương trình botnet nguy hiểm – Sử dụng cơng cụ Network-auditing : Chạy chương trình quét mạng để phát agent (các thành viên mạng botnet) loại bỏ chúng – Sử dụng chương trình dị tìm cơng cụ DoS : Thường xun qt tìm công cụ DoS hệ thống với chương trình thích hợp Find_ddos, SARA, Zombi Zapper để phát xử lý kịp thời mầm mống gây nên cố từ chối dịch vụ – Tắt dịch vụ khơng cần thiết : Đóng cổng hay tắt dịch vụ không cần thiết hay hạn chế dụng chức get, strcpy … – Cấu hình firewall để chặn tất tín hiệu ICMP từ bên – Thường xuyên cập nhật hệ thống : Cập nhật vá lỗi cho hệ thống ứng dụng liên quan - Hệ thống phát ngăn chặn xâm nhập IDS IPS để tạo dựng môi trường thu hút công attacker Nhằm đánh lạc hướng kẻ công, bảo vệ hệ thống 25 3.4 Một số công cụ phịng chống cơng DOS a) NetFlow Analyzer NetFlow Analyzer, cơng cụ phân tích lưu lượng đầy đủ, thúc đẩy cơng nghệ phân tích lưu lượng để cung cấp khả hiển thị thời gian thực hiệu suất băng thông mạng Chủ yếu NetFlow Analyzerlà công cụ giám sát băng thơng, tối ưu hóa hàng ngàn mạng lưới toàn giới cách đưa nhìn tồn diện băng thơng mạng mẫu lưu lượng truy cập NetFlow Analyzer giải pháp thống thu thập, phân tích báo cáo băng thông mạng bạn sử dụng người sử dụng NetFlow Analyzer đối tác tin cậy tối ưu hóa việc sử dụng băng thơng tồn thể giới ngồi thực giám định mạng phân tích lưu lượng mạng b) FortGuard Firewall FortGuard Firewall - giải pháp giúp người dùng chống lại công DDoS với độ xác hiệu suất cao FortGuard Firewall phần mềm tường lửa Anti-DDoS nhỏ mạnh mẽ với Intrusion Prevention System sẵn có Nó bảo vệ máy tính bạn chống lại cơng DoS/DDoS xác với hiệu suất cao FortGuard Firewall chống lại SYN, TCP Flooding loại công DoS/DDoS khác khả thấy gói cơng thời gian thực Chương trình cho phép bạn vơ hiệu hóa/ kích hoạt truy cập qua proxy vào tầng ứng dụng ngăn chặn 2000 kiểu hoạt động hacker 26 27 KẾT LUẬN Ngày nay, tình hình an tồn thơng tin giới diễn biến vô phức tạp quan tâm hết Các phương thức cơng mạng ngày khó lường phức tạp với phương thức, hình thức cơng mạng khác Một công mạng thường thấy phổ biến công từ chối dịch vụ DoS Ba chương báo cáo tìm hiểu công từ chối dịch vụ thể mục tiêu đặt thực đề tài đạt Cụ thể: Chương hệ thống kiến thức tổng quan công từ chối dịch vụ DoS Tìm hiểu mục đích, đối tượng công DoS Chương đưa hình thức cơng phổ biến biện pháp phịng chống cơng DoS Chương đưa số công cụ công thực nghiệm phịng chống cơng DoS phổ biến Tiến hành thực nghiệm cơng phịng chống cơng DoS máy ảo Vmware Tuy nhiên tìm hiểu nghiên cứu thực hành vấn đề hạn chế kiến thức thời gian mà kiến thức cơng từ chối dịch vụ DoS cịn nhiều thiếu sót Những kiến thức báo cáo kiến thức cịn mang tính lý thuyết, chưa xây dựng nhiều kịch công với nhiều dạng khác Hi vọng tương lai, có hội chúng em tiếp tục nghiên cứu xây dựng để giải vấn đề cịn thiếu sót 28 29 ... Một công mạng thường thấy phổ biến công từ chối dịch vụ DoS Ba chương báo cáo tìm hiểu công từ chối dịch vụ thể mục tiêu đặt thực đề tài đạt Cụ thể: Chương hệ thống kiến thức tổng quan công từ chối. .. dụng dịch vụ hệ thống cung cấp Tuy nhiên, công DoS đặc trưng việc sử dụng máy tính để bắt đầu cơng nên dễ để theo dõi ngăn chặn Hình 1-1 Minh họa công DoS 1.2 Đối tượng công DoS Các Tấn công Từ chối. .. Chương Tổng quan VỀ DoS .1 1.1 Khái niệm DoS 1.2 Đối tượng công DoS 1.3 Mục đích Chương KỸ THUẬT TẤN CÔNG DoS 2.1 Một số loại công DoS 2.1.1