LIÊN MINH HỢP TÁC XÃ VIỆT NAM
TRƯỜNG CAO ĐẲNG KINH TẾ - KỸ THUẬT TRUNNG ƯƠNG
BÁO CÁO THỰC TẬP TỐT NGHIỆP
MÔ PHỎNG TẤN CÔNG HỆ THỐNG MẠNG VÀ THỰC
HIỆN GIẢI PHÁP PHÒNG VỆ
Giáo viên hướng dẫn
Họ và tên sinh viên
Lớp
Địa điểm thực tập
:
:
:
:
Vũ Thị Thu Hiền
PHẠM THỊ HƯỜNG
CN1MBK11
CÔNG TY CỔ PHẦN TRUYỀN
THÔNG VÀ CÔNG NGHỆ ICHIP
MỤC LỤC
LỜI NĨI ĐẦU................................................................................1
CHƯƠNG 1: TỞNG QUAN VỀ AN NINH MẠNG.............................2
1.1 Giới thiệu về An ninh mạng................................................2
1.2 Các nguy cơ ảnh hưởng đến an tồn mạng.......................3
1.3. Các kỹ thuật tấn cơng mạng.............................................4
1.3.1.Tấn công bằng phần mềm độc hại (Malware attack)....4
1.3.2 Tấn công giả mạo (Phishing attack).............................5
1.3.4 Tấn công từ chối dịch vụ (DoS và DDoS)......................5
1.3.6 Khai thác lỗ hổng Zero-day (Zero day attack)..............6
1.3.7 Các loại khác.................................................................6
CHƯƠNG 2: KỸ THUẬT TẤN CÔNG DOS / DDOS.........................7
2.1 Định nghĩa về DOS / DDOS........................................................7
2.2. Tìm hiểu về DoS................................................................8
2.2.1 Mục đích tấn cơng DoS.................................................8
2.2.2 Mục tiêu mà kẻ tấn công thường sử dụng tấn công DoS
...............................................................................................9
2.2.3 Tấn công DoS................................................................9
2.2.4. Các dạng tấn công DoS...............................................9
2.3 Tấn công DDoS.................................................................13
2.3.1 Các đặc tính của tấn cơng DDoS............................................14
2.3.2 Tấn cơng DDoS khơng thể ngăn chặn hồn tồn.........................15
2.3.3 Kiến trúc tổng quan của DDoS attack-network...........................15
CHƯƠNG 3: CÁC PHẦN MỀM VÀ CÔNG CỤ CẦN CÀI ĐẶT..........17
3.1 Vmware Workstation 16.2.1.............................................17
3.1.1 Giới thiệu....................................................................17
3.1.2 Tính năng chính của phần mềm tạo máy ảo
VmwareWorkstation.............................................................18
3.2 Giới thiệu EVE-NG.............................................................21
3.2.1 Khái niệm....................................................................21
3.2.2 Một số ưu điểm vượt trội của EVE-NG.........................22
3.3 Hệ điều hành Kali-Linux....................................................22
3.3.1 Kali Linux là gì?...........................................................22
3.3.2. Cách để có thể sử dụng hệ điều hành Kali Linux.......24
3.3.3. Đặc điểm giúp cho Kali Linux nổi bật.........................25
3.3.4. Ưu điểm và nhược điểm............................................25
CHƯƠNG 4: MÔ PHỎNG CÁC KỸ THUẬT TẤN CÔNG HỆ THỐNG
MẠNG VÀ GIẢI PHÁP PHÒNG VỆ................................................27
4.1 SYN-Flood.......................................................................27
4.2 MAC-Overflow..................................................................41
4.3 DHCP Starvation and Rogue Server Attack....................49
4.4 VLAN Hopping................................................................58
4.5 STP Attack......................................................................68
4.6 Access-Cracking.............................................................75
4.7 ARP-Poisoning................................................................81
KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN..........................................88
TÀI LIỆU THAM KHẢO................................................................89
MỤC LỤC
Y
Hình 2.1 : Mơ hình DDOS............................................................8
Hình 2.2: Tấn cơng Smurf sử dụng gói ICMP làm ngập các giao
tiếp khác...................................................................................10
Hình 2.3 : Mơ hình bắt tay ba bước...........................................12
Hình 2.4 : Tấn cơng DDoS.........................................................13
Hình 2.6 : Sơ đồ chính phân loại các kiểu tấn cơng DDoS........16
Hình 3.1 : Demo tấn cơng DoS..................................................25
Hình 3.20 : Giải pháp đối với tấn cơng DoS..............................38
Hình 3.21 : Giải pháp đối với tấn cơng DoS..............................39
Hình 3.22 : Giải pháp đối với tấn cơng DoS..............................41
Hình 4.2 : Sơ đồ bảng MAC.......................................................43
Hình 4.3 : Demo tấn cơng MAC Flooding..................................43
Hình 4.9 : Giải pháp với tấn cơng MAC Flooding.......................48
Hình 4.13 : Sơ đồ bài lab tấn cơng DHCP..................................52
Hình 4.14 : Demo tấn cơng DHCP.............................................53
Hình 4.23 : Giải pháp phịng vệ................................................58
Hình 4.27 : Sơ dồ bài lab tấn cơng VLAN Hopping....................62
Hình 4.28 : Demo tấn cơng VLAN Hopping...............................62
Hình 4.41 : Giải pháp phịng vệ VLAN Hopping........................65
Hình 4.43 : Sơ đồ bài lab tấn cơng STP.....................................67
Hình 4.44 : Demo tấn cơng STP................................................68
Hình 4.27 : Sơ dồ bài lab tấn cơng VLAN Hopping....................70
Hình 4.51 : Sơ đồ bài lab tấn cơng Access-Cracking.................73
Hình 4.52 : Demo tấn cơng Access-Cracking............................74
Hình 4.61 : Sơ đồ bài lab tấn cơng ARP-Poisoning....................81
Hình 4.62 : Demo tấn cơng ARP-Poisoning...............................81
LỜI NÓI ĐẦU
Lý do em chọn đề tài này là mong muốn được nội dung đề
tài của em sẽ xuất hiện trong các buổi học về an toàn, an ninh
mạng cho các sinh viên khóa sau của trường đại học Điện lực.
Với những nội dung về tấn công mạng luôn là một sự hấp dẫn
với những sinh viên khoa CNTT chúng em.
An ninh mạng là một chiến lược được một công ty sử dụng
để bảo vệ tài sản kỹ thuật số khỏi bị tấn cơng. Các chiến lược
có thể bao gồm cơng nghệ, quy trình và các biện pháp bảo mật
khác cho hệ thống, thiết bị và dữ liệu. Trong khi các cơ sở về hạ
tầng an ninh mạng đã phát triển để thấy được sự tiến triển của
các mối đe dọa cơng nghệ, triển khai.Tuy nhiên thì các tổ chức
tư vấn hệ thống mạng an tồn thơng tin phân tích cho thấy
rằng số lượng các mối đe dọa đáng kể thì hồn tồn bỏ qua.
Với mục đích làm rõ các kiến thức đã được học và được sự hỗ trợ từ thầy
hướng dẫn, em xin thực hiện mô phỏng các cuộc tấn cơng hệ thống mạng và sau
đó sẽ thực hiện các giải pháp phòng vệ.
1
CHƯƠNG 1: TỔNG QUAN VỀ AN NINH MẠNG
1.1 Giới thiệu về An ninh mạng
An ninh mạng ngày càng trở nên quan trọng khi điện thoại
thơng minh, máy tính và máy tính bảng là một phần khơng thể
thiếu trong cơng việc hàng ngày và cuộc sống cá nhân mỗi
chúng ta. Mức độ phụ thuộc vào các công cụ trực tuyến trong
các khía cạnh khác nhau của hoạt động kinh doanh – từ mạng
xã hội và tiếp thị qua email đến lưu trữ dữ liệu nhân viên và
khách hàng trên đám mây – đặt ra nhu cầu bổ sung cho chúng
ta trong việc bảo vệ những thông tin quý giá này.[2]
Sự phụ thuộc vào các công cụ số khiến nhiều doanh
nghiệp gặp rủi ro từ các cuộc tấn công mạng. Kiến thức vững
chắc về an ninh mạng là chìa khóa ở đây, vì các cuộc tấn cơng
như vậy vẫn khơng ngừng phát triển và ngày càng tinh vi hơn.
Nạn nhân của các cuộc tấn cơng mạng có thể có nguy cơ:
Mất dữ liệu nhạy cảm
Tổn thất tài chính do trộm cắp dữ liệu
Chi phí cao cho việc khơi phục dữ liệu bị đánh cắp
Mất đi danh tiếng
Đóng cửa (trong trường hợp nghiêm trọng)
Với sự phát triển của việc chúng ta sử dụng internet, các
công cụ trực tuyến và các thiết bị liên quan, tội phạm mạng đã
lan rộng trong doanh nghiệp. Vì an ninh mạng khơng có giải
pháp chung cho tất cả, bạn cần xem xét các lĩnh vực khác nhau
2
có liên quan đến doanh nghiệp của bạn, dữ liệu của bạn và nơi
nó được lưu trữ trực tuyến.
Các loại an ninh mạng quan trọng nhất mà các công ty
đang tập trung xây dựng tuyến phòng thủ vững chắc nên là:
Network security – Bảo vệ chống lại việc truy cập trái
phép vào cơ sở hạ tầng nội bộ, thường được cung cấp bởi
các quản trị viên mạng, những người thực hiện các chính
sách về mật khẩu và thơng tin đăng nhập mạnh, tường
lửa, mã hóa và phần mềm chống vi-rút.
App security – Các bản cập nhật và thử nghiệm thường
xuyên có thể bảo vệ ứng dụng của bạn khỏi các mối đe
dọa.
Information and data security – Mạng và ứng dụng lưu
trữ dữ liệu cần được bảo vệ bổ sung thêm.
Endpoint protection – giảm rủi ro khi truy cập từ xa.
Cloud security – phần mềm giám sát và bảo vệ dữ liệu
được lưu trữ trên đám mây.
Mobile security and IoT – điện thoại thơng minh, máy
tính bảng và các thiết bị khác được kết nối với Internet của
Vạn vật (Internet of Things; ioT) có các nhu cầu an tồn cụ
thể khác nhau.
Business
continuity
planning
and
emergency
recovery – Mọi doanh nghiệp cần có kế hoạch dự phịng
trong trường hợp xảy ra tấn cơng bằng hack, thảm họa
3
thiên nhiên hoặc các sự kiện khác đe dọa đến an ninh
mạng của mình.
1.2 Các nguy cơ ảnh hưởng đến an tồn mạng
Có nhiều loại tấn cơng mạng cơng khai và âm thầm – cả
hai đều được thiết kế để làm gián đoạn hoạt động kinh doanh
của doanh nghiệp theo những cách khác nhau. Khi ngày càng
có nhiều cơng ty nhận thức được tầm quan trọng của việc bảo
vệ tài nguyên của họ và thực hiện đào tạo về an ninh mạng, thì
tin tặc và tội phạm mạng cũng đang phát triển các hình thức
tấn cơng khác ngày càng tinh vi hơn.
Bằng cách cập nhật kiến thức của mình, bạn có thể bảo vệ
doanh nghiệp của mình khỏi chúng tốt hơn. Có năm loại tấn
cơng mạng phổ biến nhất:
Malware là một lỗ hổng trên hệ thống bảo vệ mạng của
bạn, chẳng hạn như phần mềm gián điệp, phần mềm tống
tiền và vi rút.
Phishing – Là những tin nhắn độc hại (thường là email)
chứa các liên kết độc hại mà khi được nhấp vào, chúng sẽ
gửi quyền truy cập vào thông tin nhạy cảm.
Denial of Service (DoS) – Tin tặc tràn ngập mạng hoặc
hệ thống của bạn với nhiều thông tin dư thừa nhằm làm
quá tải và buộc hệ thống của bạn phải dừng lại.
Man in the middle (MitM) – tội phạm mạng làm gián
đoạn kết nối, thường là qua mạng wi-fi cơng cộng khơng
an tồn và sau đó đánh cắp dữ liệu nhạy cảm.
4
Zero-day attack – một cuộc tấn cơng ít phổ biến hơn
nhưng xảy ra ngày càng nhiều giữa việc công bố bản cập
nhật hoặc bản vá bảo mật và cài đặt của nó.
Những kiểu tấn cơng mạng này có thể ảnh hưởng đến
nhiều doanh nghiệp, chẳng hạn như quán cà phê có mạng wi-fi
khơng an tồn hoặc các shop online có nguy cơ bị tấn công
zero-day.
1.3. Các kỹ thuật tấn công mạng
1.3.1.Tấn công bằng phần mềm độc hại (Malware attack)
Tấn
công
nhất. Malware bao
malware
gồm
là
hình
spyware
thức
(phần
phổ
biến
mềm
gián
điệp), ransomware (mã độc tống tiền), virus và worm (phần
mềm độc hại có khả năng lây lan nhanh). Thơng thường, tin tặc
sẽ tấn công người dùng thông qua các lỗ hổng bảo mật, cũng
có thể là dụ dỗ người dùng click vào một đường link hoặc
email (phishing) để phần mềm độc hại tự động cài đặt vào máy
tính. Một khi được cài đặt thành công, malware sẽ gây ra:
Ngăn cản người dùng truy cập vào một file hoặc folder
quan trọng (ransomware)
Cài đặt thêm những phần mềm độc hại khác
Lén lút theo dõi người dùng và đánh cắp dữ liệu (spyware)
Làm hư hại phần mềm, phần cứng, làm gián đoạn hệ
thống.
5
1.3.2 Tấn cơng giả mạo (Phishing attack)
Phishing là hình thức giả mạo thành một đơn vị/cá nhân uy
tín để chiếm lịng tin của người dùng, thơng thường qua email.
Mục đích của tấn công Phishing thường là đánh cắp dữ liệu
nhạy cảm như thơng tin thẻ tín dụng, mật khẩu, đơi khi
phishing là một hình thức để lừa người dùng cài đặt malware
vào thiết bị (khi đó, phishing là một cơng đoạn trong cuộc tấn
công malware).1.3.3.Tấn công trung gian (Man-in-themiddle attack)
Tấn công trung gian (MITM), hay tấn công nghe lén, xảy
ra khi kẻ tấn công xâm nhập vào một giao dịch/sự giao tiếp
giữa 2 đối tượng. Khi đã chen vào giữa thành cơng, chúng có
thể đánh cắp dữ liệu của giao dịch đó.
Loại hình này xảy ra khi:
Nạn nhân truy cập vào một mạng Wifi cơng cộng khơng an
tồn, kẻ tấn cơng có thể “chen vào giữa” thiết bị của nạn
nhân và mạng Wifi đó. Vơ tình, những thơng tin nạn nhân
gửi đi sẽ rơi vào tay kẻ tấn công.
Khi phần mềm độc hại được cài đặt thành công vào thiết
bị, một kẻ tấn cơng có thể dễ dàng xem và điều chỉnh dữ
liệu của nạn nhân.
1.3.4 Tấn công từ chối dịch vụ (DoS và DDoS)
DoS (Denial of Service) là hình thức tấn công mà tin tặc
“đánh sập tạm thời” một hệ thống, máy chủ, hoặc mạng nội bộ.
6
Để thực hiện được điều này, chúng thường tạo ra một lượng
traffic/request khổng lồ ở cùng một thời điểm, khiến cho hệ
thống bị q tải, từ đó người dùng khơng thể truy cập vào dịch
vụ trong khoảng thời gian mà cuộc tấn cơng DoS diễn ra.
Một hình thức biến thể của DoS là DDoS (Distributed
Denial of Service): tin tặc sử dụng một mạng lưới các máy tính
(botnet) để tấn cơng nạn nhân. Điều nguy hiểm là chính các
máy tính thuộc mạng lưới botnet cũng không biết bản thân
đang bị lợi dụng để làm công cụ tấn công. Đọc thêm: Sự nguy
hiểm của Tấn công DDoS
1.3.5 Tấn công cơ sở dữ liệu (SQL injection)
Tin tặc “tiêm” một đoạn code độc hại vào server sử dụng
ngơn ngữ truy vấn có cấu trúc (SQL), mục đích là khiến máy
chủ trả về những thơng tin quan trọng mà lẽ ra không được tiết
lộ. Các cuộc tấn công SQL injection xuất phát từ các lỗ hổng
của website, đơi khi tin tặc có thể tấn cơng chỉ bằng cách chèn
một đoạn mã độc vào thanh công cụ “Tìm kiếm” là đã có thể
tấn cơng website.
1.3.6 Khai thác lỗ hổng Zero-day (Zero day attack)
Lỗ hổng Zero-day (0-day vulnerabilities) là các lỗ hổng bảo
mật chưa được công bố, các nhà cung cấp phần mềm chưa biết
tới, và dĩ nhiên, chưa có bản vá chính thức. Chính vì thế, việc
khai thác những lỗ hổng “mới ra lị” này vơ cùng nguy hiểm và
khó lường, có thể gây hậu quả nặng nề lên người dùng và cho
chính nhà phát hành sản phẩm.
7
1.3.7 Các loại khác
Ngồi ra, cịn rất nhiều hình thức tấn công mạng khác
như: Tấn công chuỗi cung ứng, Tấn công Email, Tấn công vào
con người, Tấn công nội bộ tổ chức, v.v. Mỗi hình thức tấn cơng
đều có những đặc tính riêng, và chúng ngày càng tiến hóa phức
tạp, tinh vi đòi hỏi các cá nhân, tổ chức phải liên tục cảnh giác
& cập nhật các cơng nghệ phịng chống mới.
8
CHƯƠNG 2: KỸ THUẬT TẤN CÔNG DOS / DDOS
2.1 Định nghĩa về DOS / DDOS
Tấn công DoS là kiểu tấn cơng vơ cùng nguy hiểm, để hiểu được nó ta
cần phải lắm rõ định nghĩa của tấn công DoS và các dạng tấn công DoS.
Tấn công DoS (Denial of Service) là một kiểu tấn công mà một người
làm cho một hệ thống không thể sử dụng, hoặc làm cho hệ thống đó chậm
đi một cách đáng kể với người dùng bình thường, bằng cách làm quá tải
tài nguyên của hệ thống . Đây là kiểu tấn công đơn giản nhất.[10]
Nếu kẻ tấn cơng khơng có khả năng thâm nhập được vào hệ thống, thì
chúng cố gắng tìm cách làm cho hệ thống đó sụp đổ và khơng có khả
năng phục vụ người dùng bình thường đó là tấn cơng Denial of Service
(DoS).
Mặc dù tấn cơng DoS khơng có khả năng truy cập vào dữ liệu thực của hệ
thống nhưng nó có thể làm gián đoạn các dịch vụ mà hệ thống đó cung
cấp. Như định nghĩa trên DoS khi tấn công vào một hệ thống sẽ khai thác
những cái yếu nhất của hệ thống để tấn cơng, những mục đích của tấn
công DoS.
Tấn công DDoS (Distributed Denial of Service) là một dạng DoS
nhưng kẻ tấn công sử dụng nhiều máy để thực hiện cuộc tấn cơng. Các
máy tính trung gian được sử dụng để tấn công được gọi là zombie (máy
tính ma). Giới tin tặc cũng bỏ ra khá nhiều thời gian và công sức đầu tư
nhằm nâng cao cách thức tấn công của chúng. Hiện nay, người dùng
mạng máy tính như chúng ta đang phải đối mặt với nhiều kỹ thuật tinh vi
hơn xa so kiểu tấn công DDoS truyền thống. Những kỹ thuật này cho
phép kẻ tấn công điều khiển một số lượng cực kỳ lớn máy tính bị chiếm
quyền điều khiển (zombie) tại một trạm từ xa mà đơn giản chỉ cần dùng
giao thức IRC.[6]
9
Hình 2.1 : mơ hình DDOS
VD : nếu phát hiện dấu hiệu của DoS thì chỉ cần tìm và ngắt các
hoạt động hoặc kết nối liên quan đến nguồn phát (chỉ 1), cịn
DDoS thì rất nhiều nguồn tấn cơng nên không làm như vậy
được. Một điểm quan trọng là nếu bị tấn cơng DDoS thì khơng
thể chống đỡ
2.2. Tìm hiểu về DoS
2.2.1 Mục đích tấn cơng DoS
Cố gắng chiếm băng thông mạng và làm hệ thống mạng bị ngập (flood),
khi đó hệ thống mạng sẽ khơng có khả năng đáp ứng những dịch vụ khác
cho người dùng bình thường.
Cố gắng làm ngắt kết nối giữa hai máy, và ngăn chặn quá trình truy cập vào
dịch vụ.
Cố gắng ngăn chặn những người dùng cụ thể vào một dịch vụ nào đó
Cố gắng ngăn chặn các dịch vụ không cho người khác có khả năng truy cập
vào.
10
Khi tấn cơng DoS xảy ra người dùng có cảm giác khi truy cập vào dịch vụ
đó như bị:
Disable Network - Tắt mạng
Disable Organization - Tổ chức không hoạt động
Financial Loss – Tài chính bị mất
2.2.2 Mục tiêu mà kẻ tấn công thường sử dụng tấn công
DoS
Như đã biết ở bên trên tấn công DoS xảy ra khi kẻ tấn công sử dụng hết
tài nguyên của hệ thống và hệ thống không thể đáp ứng cho người dùng bình
thường được vậy các tài nguyên chúng thường sử dụng để tấn cơng là gì:
Tạo ra sự khan hiếm, những giới hạn và không đổi mới tài nguyên
Băng thông của hệ thống mạng (Network Bandwidth), bộ nhớ, ổ đĩa, và
CPU Time hay cấu trúc dữ liệu đều là mục tiêu của tấn công DoS.
Tấn công vào hệ thống khác phục vụ cho mạng máy tính như: hệ thống
điều hồ, hệ thống điện, hệt hống làm mát và nhiều tài nguyên khác của
doanh nghiệp. Bạn thử tưởng tượng khi nguồn điện vào máy chủ web bị
ngắt thì người dùng có thể truy cập vào máy chủ đó khơng.
Phá hoại hoặc thay đổi các thơng tin cấu hình.
Phá hoại tầng vật lý hoặc các thiết bị mạng như nguồn điện, điều hồ…
2.2.3 Tấn cơng DoS
Tấn cơng Denial of Service chia ra làm hai loại tấn công
Tấn công DoS: Tấn công từ một cá thể, hay tập hợp các cá thể.
Tấn công DDoS: Đây là sự tấn công từ một mạng máy tính được thiết kế
để tấn cơng tới một đích cụ thể nào đó.
2.2.4. Các dạng tấn cơng DoS
2.2.4.1. Tấn cơng Smurf
Là thủ phạm sinh ra cực nhiều giao tiếp ICMP (ping) tới địa chỉ
Broadcast của nhiều mạng với địa chỉ nguồn là mục tiêu cần tấn công.
11
Lưu ý : Khi ping tới một địa chỉ là quá trình hai chiều – Khi máy A ping
tới máy B máy B reply lại hồn tất q trình. Khi ping tới địa chỉ Broadcast của
mạng nào đó thì tồn bộ các máy tính trong mạng đó sẽ Reply lại. Nhưng giờ ta
thay đổi địa chỉ nguồn, thay địa chỉ nguồn là máy C và ta ping tới địa chỉ
Broadcast của một mạng nào đó, thì tồn bộ các máy tính trong mạng đó sẽ
reply lại vào máy C chứ khơng phải ta và đó là tấn cơng Smurf.
Kết quả đích tấn cơng sẽ phải chịu nhận một đợt Reply gói ICMP cực lớn
và làm cho mạng bị rớt hoặc bị chậm lại khơng có khả năng đáp ứng các dịch vụ
khác.
Q trình này được khuyếch đại khi có luồng ping reply từ một mạng
được kết nối với nhau (mạng BOTNET).
Tấn công Fraggle, chúng sử dụng UDP echo và tương tự như tấn cơng
Smurf:
Hình 2.2: Tấn cơng Smurf sử dụng gói ICMP làm ngập các giao tiếp khác.
12
2.2.4.2. Tấn công Buffer overflow.
Buffer Overflow xảy ra tại bất kỳ thời điểm nào có chương trình ghi
lượng thơng tin lớn hơn dung lượng của bộ nhớ đệm trong bộ nhớ.
Kẻ tấn cơng có thể ghi đè lên dữ liệu và điều khiển chạy các chương trình
và đánh cắp quyền điều khiển của một số chương trình nhằm thực thi các
đoạn mã nguy hiểm.
Quá trình gửi một bức thư điện tử mà file đính kèm dài quá 256 ký tự có
thể sẽ xảy ra q trình tràn bộ nhớ đệm.
2.2.4.3. Tấn cơng Ping of Death
Kẻ tấn cơng gửi những gói tin IP lớn hơn số lương bytes cho phép của tin
IP là 65.536 bytes.
Q trình chia nhỏ gói tin IP thành những phần nhỏ được thực hiện ở
layer II.
Quá trình chia nhỏ có thể thực hiện với gói IP lớn hơn 65.536 bytes.
Nhưng hệ điều hành không thể nhận biết được độ lớn của gói tin này và
sẽ bị khởi động lại, hay đơn giản là sẽ bị gián đoạn giao tiếp.
Để nhận biết kẻ tấn cơng gửi gói tin lớn hơn gói tin cho phép thì tương
đối dễ dàng.
2.2.4.4. Tấn cơng Teardrop
Gói tin IP rất lớn khi đến Router sẽ bị chia nhỏ làm nhiều phần nhỏ.
Kẻ tấn công sử dụng sử dụng gói IP với các thơng số rất khó hiểu để chia
ra các phần nhỏ (fragment).
Nếu hệ điều hành nhận được các gói tin đã được chia nhỏ và không hiểu
được, hệ thống cố gắng build lại gói tin và điều đó chiếm một phần tài
nguyên hệ thống, nếu q trình đó liên tục xảy ra hệ thống khơng cịn tài
ngun cho các ứng dụng khác, phục vụ các user khác.
2.2.4.5. Tấn công SYN
13
- Kẻ tấn công gửi các yêu cầu (request ảo) TCP SYN tới máy chủ bị tấn công.
Để xử lý lượng gói tin SYN này hệ thống cần tốn một lượng bộ nhớ cho kết nối.
Hình 2.3 : Mơ hình bắt tay ba bước
- Khi có rất nhiều gói SYN ảo tới máy chủ và chiếm hết các yêu cầu xử lý của
máy chủ. Một người dùng bình thường kết nối tới máy chủ ban đầu thực hiện
Request TCP SYN và lúc này máy chủ khơng cịn khả năng đáp lại - kết nối
không được thực hiện.
- Đây là kiểu tấn cơng mà kẻ tấn cơng lợi dụng q trình giao tiếp của TCP theo
quy tắc bắt tay 3 bước.
- Các đoạn mã nguy hiểm có khả năng sinh ra một số lượng cực lớn các gói
TCP SYN tới máy chủ bị tấn cơng, địa chỉ IP nguồn của gói tin đã bị thay đổi.
- Hình bên trên thể hiện các giao tiếp bình thường với máy chủ và bên dưới thế
hiện khi máy chủ bị tấn cơng gói SYN đến sẽ rất nhiều trong khi đó khả năng
trả lời của máy chủ lại có hạn và khi đó máy chủ sẽ từ chối các truy cập hợp
pháp.
14
- Quá trình TCP bắt tay 3 bước được thực hiện: Khi máy A muốn giao tiếp với
máy B. (1) máy A bắn ra một gói TCP SYN tới máy B – (2) máy B khi nhận
được gói SYN từ A sẽ gửi lại máy A gói ACK đồng ý kết nối – (3) máy A gửi lại
máy B gói ACK và bắt đầu các giao tiếp dữ liệu.
- Máy A và máy B sẽ dữ kết nối ít nhất là 75 giây, sau đó lại thực hiện một q
trình TCP bắt tay 3 bước lần nữa để thực hiện phiên kết nối tiếp theo để trao đổi
dữ liệu.
- Thật không may kẻ tấn công đã lợi dụng kẽ hở này để thực hiện hành vi tấn
công nhằm sử dụng hết tài nguyên của hệ thống bằng cách giảm thời gian yêu
cầu bắt tay 3 bước xuống rất nhỏ và khơng gửi lại gói ACK, cứ bắn gói SYN ra
liên tục trong một thời gian nhất định và không bao giờ trả lời lại gói
SYN&ACK từ máy bị tấn cơng.
2.3 Tấn cơng DDoS
Hình 2.4 : tấn cơng DDoS
15
Trên Internet tấn công Distributed Denial of Service là một dạng tấn cơng
từ nhiều máy tính tới một đích, nó gây ra từ chối các yêu cầu hợp lệ của các
user bình thường. Bằng cách tạo ra những gói tin cực nhiều đến một đích cụ thể,
nó có thể gây tình trạng tương tự như hệ thống bị shutdown.
Tấn cơng DDoS là một biến thể của Foolding DoS (Tấn công từ chối dịch
vụ tràn). Mục đích của hình thức này là gây tràn mạng đích. Kẻ tấn cơng sau đó
sẽ sử tồn bộ lượng băng thơng khổng lồ của BOTNET để làm tràn website
đích. Đó là cách phát động tấn công tốt nhất. Một trong các kiểu tấn công phổ
biến nhất được thực hiện thông qua sử dụng giao thức TCP (một giao thức
hướng kết nối), gọi là TCP SYN flooding (tràn đồng bộ TCP). Cách thức hoạt
động của chúng là gửi đồng thời cùng lúc một số lượng khổng lồ yêu cầu kết
nối TCP tới một Web Server (hoặc bất kỳ dịch vụ nào khác), gây tràn tài nguyên
server, dẫn đến tràn băng thông và ngăn không cho người dùng khác mở kết nối
riêng của họ. Quả là đơn giản nhưng thực sự nguy hiểm! Kết quả thu được cũng
tương tự khi dùng giao thức UDP (một giao thức khơng kết nối).
2.3.1 Các đặc tính của tấn cơng DDoS.
Nó được tấn cơng từ một hệ thống các máy tính cực lớn trên Internet, và
thường dựa vào các dịch vụ có sẵn trên các máy tính trong mạng
BOTNET
Các dịch vụ tấn công được điều khiển từ những "primary victim" trong
khi các máy tính bị chiếm quyền sử dụng trong BOTNET được sử dụng
để tấn công thường được gọi là "zombie".
Là dạng tấn cơng rất khó có thể phát hiện bởi tấn công này được sinh ra
từ nhiều địa chỉ IP trên Internet.
Nếu một địa chỉ IP tấn công một công ty, nó có thể được chặn bởi
Firewall. Nếu nó từ 30.000 địa chỉ IP khác, thì điều này là vơ cùng khó
khăn.
Thủ phạm có thể gây nhiều ảnh hưởng bởi tấn công từ chối dịch vụ DoS,
và điều này càng nguy hiểm hơn khi chúng sử dụng một hệ thống
16
BOTNET trên internet thực hiện tấn cơng DoS và đó được gọi là tấn công
DDoS.
2.3.2 Tấn công DDoS không thể ngăn chặn hồn tồn.
Các dạng tấn cơng DDoS thực hiện tìm kiếm các lỗ hổng bảo mật trên
các máy tính kết nối tới Internet và khai thác các lỗ hổng bảo mật để xây
dựng mạng BOTNET gồm nhiều máy tính kết nối tới Internet.
Một cuộc tấn công DDoS tốt được thực hiện sẽ rất khó để ngăn chặn hồn
tồn.
Những gói tin đến Firewall có thể chặn lại, nhưng hầu hết chúng đều đến
từ những địa chỉ IP chưa có trong các Access Rule của Firewall và là
những gói tin hồn tồn hợp lệ.
Nếu địa chỉ nguồn của gói tin có thể bị giả mạo, sau khi bạn không nhận
được sự phản hồi từ những địa chỉ nguồn thật thì bạn cần phải thực hiện
cấm giao tiếp với địa chỉ nguồn đó.
Tuy nhiên một mạng BOTNET bao gồm từ hàng nghìn tới vài trăm nghìn
địa chỉ IP trên Internet và điều đó là vơ cùng khó khăn để ngăn chặn tấn
cơng.
2.3.3 Kiến trúc tổng quan của DDoS attack-network.
Giờ đây không một kẻ tấn công nào sử dụng luôn địa chỉ IP để điều khiển
mạng BOTNET tấn cơng tới đích, mà chúng thường sử dụng một đối tượng
trung gian dưới đây là những mơ hình tấn cơng DDoS. Nhìn chung DDoS
attack-network có hai mơ hình chính:
+ Mơ hình Agent – Handler
+ Mơ hình IRC – Based
17
Hình 2.6 : sơ đồ chính phân loại các kiểu tấn công DDoS
18
CHƯƠNG 3: CÁC PHẦN MỀM VÀ CÔNG CỤ CẦN CÀI ĐẶT
3.1 Vmware Workstation 16.2.1
3.1.1 Giới thiệu
Workstation 16.2.1 là một phần mềm giả lập hệ điều
hành rất nổi tiếng của hãng VMware Inc. Workstation cung cấp
giải pháp ảo hóa máy tính để bàn được thiết kế cho mọi người
sử dụng Windows. VMware Workstation có thể thay đổi đáng kể
cách thức làm việc với các máy ảo và cực kì hữu ích với các nhà
phát triển.
VMwareWorkstation Pro có thể thay đổi hồn tồn cách
các chun gia cơng nghệ phát triển, thử nghiệm, triển khai
phần mềm bằng cách chạy nhiều hệ điều hành chip x86 cùng
lúc trên cùng 1 máy tính. Với 16 năm ra đời và phát triển,
Workstation Pro đã dành được nhiều giải thưởng, hỗ trợ người
dùng khi hệ điều hành của họ khơng tương thích, mang tới trải
19
nghiệm sử dụng giàu tính năng và hiệu quả hoạt động mượt
mà.
Workstation 16.2.1 là một phần mềm giả lập hệ điều
hành rất nổi tiếng của hãng VMware Inc. Workstation cung cấp
giải pháp ảo hóa máy tính để bàn được thiết kế cho mọi người
sử dụng Windows. VMware Workstation có thể thay đổi đáng kể
cách thức làm việc với các máy ảo và cực kì hữu ích với các nhà
phát triển.
Workstation 16.2.1 là một phần mềm giả lập hệ điều
hành rất nổi tiếng của hãng VMware Inc. Workstation cung cấp
giải pháp ảo hóa máy tính để bàn được thiết kế cho mọi người
sử dụng Windows. VMware Workstation có thể thay đổi đáng kể
cách thức làm việc với các máy ảo và cực kì hữu ích với các nhà
phát triển.
Workstation 16.2.1 là một phần mềm giả lập hệ điều
hành rất nổi tiếng của hãng VMware Inc. Workstation cung cấp
giải pháp ảo hóa máy tính để bàn được thiết kế cho mọi người
sử dụng Windows. VMware Workstation có thể thay đổi đáng kể
cách thức làm việc với các máy ảo và cực kì hữu ích với các nhà
phát triển.
Workstation 16.2.1 là một phần mềm giả lập hệ điều
hành rất nổi tiếng của hãng VMware Inc. Workstation cung cấp
giải pháp ảo hóa máy tính để bàn được thiết kế cho mọi người
sử dụng Windows. VMware Workstation có thể thay đổi đáng kể
cách thức làm việc với các máy ảo và cực kì hữu ích với các nhà
phát triển.
20
3.1.2 Tính năng chính của phần mềm tạo máy ảo
VmwareWorkstation
Máy ảo cho máy tính Windows và Linux
Sao chép mơi trường máy chủ, desktop, máy tính bảng
trong máy ảo.
Chạy các ứng dụng trên nhiều hệ điều hành mà không cần
phải reboot.
Đánh giá các hệ điều hành như Windows 10, thử nghiệm
phần mềm, ứng dụng, patch và tham chiếu trong môi
trường tách biệt và an toàn.
Tạo máy ảo mạnh mẽ
Phân bổ nhiều lõi vi xử lý, GB của bộ nhớ chính và bộ nhớ
đồ họa tới từng máy chủ, từ đó tối đa hóa nguồn lực của
máy tính và chạy các ứng dụng yêu cầu cao trong môi
trường ảo.
Cho phép chạy ESXi host và vSphere, tạo Software
Defined Data Center ngay trên máy tính.
21