HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG
---------------------------------------
Nguyễn Văn Thịnh
NGHIÊN CỨU PHÂN TÍCH MỘT SỐ PHƯƠNG THỨC TẤN CƠNG ĐIỂN HÌNH
TRÊN MẠNG MÁY TÍNH VÀ PHƯƠNG PHÁP
NGĂN CHẶN
Chun ngành: Truyền dữ liệu và mạng máy tính
Mã số: 60.48.15
TĨM TẮT LUẬN VĂN THẠC SỸ
HÀ NỘI - 2012
Luận văn được hồn thành tại:
HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG
Người hướng dẫn khoa học: PGS.TSKH.Hồng Đăng Hải
Phản biện 1:
Phản biện 2:
Luận văn sẽ được bảo vệ trước Hội đồng chấm luận văn thạc sĩ tại Học viện Cơng nghệ
Bưu chính Viễn thơng
Vào lúc:
giờ ngày 20 tháng 01 năm 2013
Có thể tìm hiểu luận văn tại:
- Thư viện của Học viện Cơng nghệ Bưu chính Viễn thơng
MỞ ĐẦU
1. Lý do chọn đề tài
Ngày nay cùng với sự phát triển của Internet thì số lượng người tham gia các
dịch vụ ứng dụng trên Internet ngày càng cao. Các dịch vụ trên mạng đã thâm nhập
vào hầu hết các lĩnh vực xã hội. Các thông tin trên Internet cũng đa dạng về nội
dung và hình thức trong đó có nhiều thơng tin cần được bảo mật cao hơn. Nhưng
bên cạnh đó số lượng các cuộc tấn cơng trái phép trên mạng cũng gia tăng nhanh
chóng. Điều đó thật dễ hiểu bởi khi ta gia tăng lượng thông tin, ích lợi trên Internet
thì cũng sẽ làm nảy sinh các xâm nhập để khai thác trái phép các thông tin đó nhằm
phục vụ lợi ích riêng. Chính vì vậy mà vấn đề phịng chống sự xâm nhập đó ngày
càng được coi trọng. Nhưng muốn làm tốt được công tác bảo vệ thì ta cần có sự
nhìn nhận cụ thể về cách thức và phương pháp của các cuộc tấn công. Vì vậy tơi đã
quyết định chọn đề tài “Nghiên cứu phân tích một số phương thức tấn cơng điển
hình trên mạng máy tính và phương pháp ngăn chặn” cho luận văn này.
2. Mục đích nghiên cứu
- Mục đích của luận văn là nghiên cứu, phân tích một số phương thức tấn cơng điển
hình trên mạng máy tính hay mạng Internet và phương pháp ngăn chặn.
3. Đối tượng và phạm vi nghiên cứu
- Đối tượng nghiên cứu của luận văn là các kỹ thuật tấn công phổ biến hiện nay
- Phạm vi nghiên cứu: Các tấn cơng trên mạng máy tính ( ví dụ tấn cơng mạng, tấn
cơng máy chủ web, các phần mềm ứng dụng,…)
4. Phương pháp nghiên cứu
- Phương pháp nghiên cứu: phương pháp phân tích, phương pháp mơ hình hố, giải
thuật, phương pháp mơ phỏng, thực nghiệm, phân tích, đánh giá…
Luận văn được tổ chức thành 3 chương:
Chương 1: Tổng quan về mạng máy tính và các phương pháp tấn công mạng.
Khái quát một số đặc điểm chính của mạng máy tính, các điểm yếu và nguy
cơ tấn cơng mạng. Hệ thống hố các loại hình tấn cơng và trình bày tổng quan về
các phương thức tấn công, các kỹ thuật tấn công.
Chương 2: Một số kỹ thuật tấn công mạng điển hình và phương pháp ngăn chặn.
Phân tích kỹ thuật tấn công SQL, từ chối dịch vụ phân tán và đề xuất phương
pháp phịng chống.
Chương 3: Mơ phỏng một số kỹ thuật tấn cơng điển hình
Trong chương này tơi sẽ mơ phỏng một số tấn cơng điển hình như SQL
(SQL Injection), DoS.
CHƯƠNG I: MẠNG MÁY TÍNH VÀ CÁC PHƯƠNG THỨC
TẤN CƠNG MẠNG
Chương này nói về một số đặc điểm chính của mạng máy tính, các điểm yếu
và nguy cơ tấn cơng mạng. Hệ thống hố các loại hình tấn cơng và trình bày tổng
quan về các phương thức tấn cơng, các kỹ thuật tấn công như: Tấn công Trojan and
Backdoor, tấn công XSS, tấn công SQL(SQL Injection), từ chối dịch vụ.
1.1. Mạng máy tính
1.1.1. Định nghĩa mạng máy tính
Mạng máy tính là tập hợp các máy tính đơn lẻ được kết nối với nhau bằng
các phương tiện truyền vật lý và theo một kiến trúc mạng xác định.
1.1.2. Kiến trúc mạng máy tính
Kiến trúc mạng gồm cấu trúc mạng( topology) và giao thức mạng( protocol).
Topology là cấu trúc hình học của các thực thể mạng và giao thức mạng là tập các
quy tắc chuẩn các thực thể hoạt động truyền thông phải tuân theo.
1.1.3. Các dịch vụ phổ biến của mạng máy tính
Các dịch vụ in ấn:
Các dịch vụ tệp
Các dịch vụ ứng dụng hướng đối tượng:
Các dịch vụ ứng dụng quản trị luồng cơng việc trong nhóm làm việc:
Dịch vụ cơ sở dữ liệu:
1.2. Các điểm yếu và nguy cơ tấn cơng mạng máy tính
1.2.1. Lỗ hổng bảo mật
Các lỗ hổng bảo mật trên một hệ thống là các điểm yếu có thể tạo ra sự
ngưng trệ của dịch vụ, thêm quyền đối với người sử dụng hoặc cho phép các truy
nhập không hợp pháp vào hệ thống.
1.2.2. Phân loại lỗ hổng
Có nhiều tổ chức khác nhau tiến hành phân loại các dạng lỗ hổng đặc biệt.
Theo cách phân loại của Bộ quốc phòng Mỹ, các loại lỗ hổng bảo mật trên một hệ
thống được chia như sau:
- Lỗ hổng loại A:
- Lổ hổng loại B:
- Lỗ hổng loại C:
1.2.3. Đối tượng tấn công
Là các cá nhân hoặc các tổ chức sử dụng các kiến thức về mạng và các công
cụ phá hoại (phần mềm hoặc phần cứng) để dị tìm các điểm yếu, lỗ hổng bảo mật
trên hệ thống, thực hiện các hoạt động xâm nhập và chiếm đoạt tài nguyên mạng
trái phép.
Một số đối tượng tấn công mạng là: Hacker, Masquerader, Eavesdropping.
Những đối tượng tấn cơng mạng có thể nhằm nhiều mục đích khác nhau như:
ăn cắp các thơng tin có giá trị về kinh tế, phá hoại hệ thống mạng có chủ định hoặc
cũng có thể chỉ là những hành động vơ ý thức, thử nghiệm các chương trình khơng
kiểm tra cẩn thận.
1.3. Tình hình an ninh mạng hiện nay
Theo thống kê của Bkav, trong năm 2012 vẫn có tới 2.203 website của các
cơ quan doanh nghiệp tại Việt Nam bị tấn công, chủ yếu thông qua các lỗ hổng trên
hệ thống mạng. So với năm 2011 (có 2.245 website bị tấn cơng), con số này hầu
như không giảm.
Trên thế giới năm 2012 theo khảo sát của Kaspersky, 50% rủi ro kinh doanh
của các doanh nghiệp là từ các mối đe dọa qua mạng, 26% là các vấn đề liên quan
đến an ninh mạng.
Từ thực trạng trên đã chỉ ra rằng, các đợt tấn công của hacker nhắm vào các
doanh nghiệp, website hiện đang ngày càng tăng.
1.4. Tổng quan về một số phương pháp tấn cơng mạng
Phần này sẽ nói về một số phương thức tấn công mạng như: tấn công trực
tiếp, nghe trộm, giả mạo địa chỉ IP, vơ hiệu hố chức năng hệ thống, tấn công vào
yếu tố con người.
Tấn công trực tiếp: Những cuộc tấn công trực tiếp thông thường được sử dụng
trong giai đoạn đầu để chiếm được quyền truy nhập bên trong.
.
Nghe trộm:Việc nghe trộm thơng tin trên mạng có thể đưa lại những thơng tin có
ích như tên, mật khẩu của người sử dụng, các thông tin mật chuyển qua mạng.
Giả mạo địa chỉ: Giả mạo địa chỉ IP có thể được thực hiện thông qua việc sử dụng
khả năng dẫn đường trực tiếp (source-routing).
Vơ hiệu hố chức năng của hệ thống: Đây là kiểu tấn công nhằm tê liệt hệ thống,
khơng cho nó thực hiện chức năng mà nó thiết kế.
Lỗi của người quản trị hệ thống: Đây không phải là một kiểu tấn công của những
kẻ đột nhập, tuy nhiên lỗi của người quản trị hệ thống thường tạo ra những lỗ hổng
cho phép kẻ tấn công sử dụng để truy nhập vào mạng nội bộ.
Tấn công vào yếu tố con người: Kẻ tấn cơng có thể liên lạc với một người quản trị
hệ thống, giả làm một người sử dụng để yêu cầu thay đổi mật khẩu, thay đổi quyền
truy nhập của mình đối với hệ thống, hoặc thậm chí thay đổi một số cấu hình của hệ
thống để thực hiện các phương pháp tấn công khác.
1.5. Tổng quan một số kỹ thuật tấn công mạng
Trong phần này đi vào tổng quan một số kỹ thuật tấn công như: Trojan và
Backdoor, tấn công XSS, tấn công từ chối dịch vụ, SQL (SQL Injection), lỗi tràn bộ
nhớ đệm,…
1.5.1.Trojan và Backdoor
Trojan: Là một chương trình nhỏ chạy chế độ ẩn và gây hại cho máy tính. Với sự
trợ giúp của Trojan, một kẻ tấn cơng có thể dễ dàng truy cập vào máy tính của nạn
nhân để thực hiện một số việc nguy hại như lấy cắp dữ liệu, xóa file, và nhiều khả
năng khác.
1.5.2. Backdoor
Là tên một cơng cụ thuộc họ Trojan. Đúng như tên gọi "Backdoor" nguyên
lý hoạt động của công cụ này khá đơn giản, khi được chạy trên máy nạn nhân nó sẽ
thường trực trên bộ nhớ và mở một cổng cho phép ta dễ dàng đột nhập và máy tính
nạn nhân qua cổng đã mở đó. Ta có thể tồn quyền điều khiển máy nạn nhân.
Lây nhiễm Backdoor vào máy nạn nhân:
Có rất nhiều cách để lây nhiểm Backdoor vào máy nạn nhân. Có thể dùng
Godwill, Godmessage, HKC... để những server của Backdoor vào file .html (server
phải <=50Kb). Tuy nhiên nếu server q lớn thì ta có thể dùng những chương trình
downloader, nó sẽ downloader server về máy nạn nhân và chạy nó từ địa chỉ mà ta
đã config
1.5.3. Tấn cơng XSS
Cross-Site Scripting (XSS) là một trong những kĩ thuật tấn cơng phổ biến
nhất hiện nay, đồng thời nó cũng là một trong những vấn đề bảo mật quan trọng đối
với các nhà phát triển web và cả những người sử dụng web. Bất kì một website nào
cho phép người sử dụng đăng thơng tin mà khơng có sự kiểm tra chặt chẽ các đoạn
mã nguy hiểm thì đều có thể tiềm ẩn các lỗi XSS.
1.5.4. Tấn công từ chối dịch vụ
Về cơ bản, tấn công từ chối dịch vụ chỉ là tên gọi chung của cách tấn công
làm cho một hệ thống nào đó bị q tải khơng thể cung cấp dịch vụ, hoặc phải
ngưng hoạt động. Tấn công kiểu này chỉ làm gián đoạn hoạt động của hệ thống chứ
rất ít có khả năng thâm nhập hay chiếm được thơng tin dữ liệu của nó.
1.5.5. Tấn cơng SQL Injection
SQL Injection (cịn gọi là SQL Insertion) là một hình thức tấn cơng trong đó
truy vấn SQL của ứng dụng đã bị chèn thêm các tham số đầu vào “không an tồn”
do người dùng nhập vào, từ đó mã lệnh được gửi tới máy chủ database để phân tích
cú pháp và thực thi.
1.6. Kết luận chương 1
Trong chương này, tôi đã khái quát về một số đặc điểm chính của mạng máy
tính, các điểm yếu và nguy cơ tấn cơng mạng. Hệ thống hố các loại hình tấn cơng
và trình bày tổng quan về các phương thức tấn công, các kỹ thuật tấn công. Tuy
nhiên tôi chỉ nêu các vấn đề một cách khái quát nhất. Để đi vào nội dung cụ thể hơn
tơi sẽ trình bày trong các phần tiếp theo của cuốn luận văn này.
CHƯƠNG II: PHÂN TÍCH MỘT SỐ KỸ THUẬT TẤN CƠNG
MẠNG ĐIỂN HÌNH VÀ PHƯƠNG PHÁP NGĂN CHẶN
Trong chương này sẽ đi phân tích 2 kỹ thuật tấn cơng phổ biến hiện nay là:
SQL Injection và từ chối dịch vụ phân tán (DDoS) từ đó đề xuất phương pháp
phịng chống.
2.1. Tấn cơng SQL Injection
Ở nước ta, trong q trình đào tạo, các lập trình viên ứng dụng Web được
đào tạo nhiều kiến thức và kỹ năng cần thiết, tuy nhiên các kiến thức về bảo mật
hầu như không được chú trọng đúng mức. Điều này vơ hình chung dẫn đến hệ quả
là các sản phẩm của họ đều có nguy cơ mắc phải những vấn đề về bảo mật, điều mà
không đáng có nếu họ được trang bị tốt hiểu biết từ đầu.
Mục đích của phần này tập trung phân tích cơ bản, cách hình thành và các kỹ
thuật tấn cơng của một cuộc tấn công SQL Injection tới một ứng dụng Web, thơng
qua đó tổng hợp và đề xuất một mơ hình phát triển ứng dụng Web an tồn cho các
nhà phát triển ứng dụng Web. Các kiến thức được đề cập trong khn khổ khóa
luận này có thể khơng đảm bảo tính thời sự, mới nhất của tình hình các cuộc tấn
công hiện tại. Tuy nhiên người thực hiện vẫn hy vọng có thể đề cập và cung cấp
một cái nhìn tổng thể, căn bản nhất cho cộng đồng các nhà phát triển ứng dụng web
hiện tại và sau này.
2.1.1. Nhận diện điểm yếu SQL injection trong ứng dụng Web
Công việc nhận diện điểm yếu này là công việc đầu tiên trong chuỗi các thao
tác cần để khắc phục điểm yếu SQL Injection trong ứng dụng. Công việc này được
thực hiện tương tự các thao tác hacker tiến hành thăm dò lỗi SQL Injection của ứng
dụng. Chúng ta xét một số cơng việc cần thực hiện trong q trình thăm dò lỗi SQL
Injection.
2.1.1.1. Thăm dò dựa trên phản hồi
Thăm dò dựa trên phản hồi là phương pháp tự nhiên nhất. Chúng ta cần tối thiểu
là một trình duyệt web, có thể trang bị thêm một ứng dụng Proxy (ví dụ Burp proxy,
Web Scarab proxy, …) và tiến hành các phép thử SQL Injection ngẫu nhiên và tiến
hành phân tích, thống kê kết quả.
2.1.1.2. Cơ chế sinh truy vấn SQL bên trong các ứng dụng và các phương
pháp chèn truy vấn SQL
a. Cơ chế sinh truy vấn SQL bên trong ứng dụng.
Tham số được nhập vào sẽ được sử dụng để xây dựng các truy vấn SQL nên
nó sẽ cần thỏa mãn các ràng buộc cú pháp với thành phần trước và sau trong truy
vấn gốc.
b. Các phương pháp chèn tham số
Tùy thuộc vào câu truy vấn gốc mà các tham số được chèn vào sẽ có vị trí
khác nhau trong truy vấn đó. Ứng với từng trường hợp đó, chúng ta có các mơ hình
chèn tham số sau:
-
Chèn vào giữa truy vấn: chèn vào giữa truy vấn là mơ hình chỉ đơn thuần thao
tác với tham số, không hề tác động đến cấu trúc và các thành phần của truy vấn
gốc.
-
Chèn và ngắt truy vấn: đây là mơ hình chèn truy vấn phổ biến nhất, truy vấn
được chèn vào sẽ bao gồm thêm ở cuối các ký tự comment nhằm ngắt truy vấn
tại đó, vơ hiệu hóa các phần tử trong truy vấn gốc nằm phía sau vị trí tham số.
2.1.2. Phân tích các kỹ thuật tấn cơng SQL Injection
Các cuộc tấn công nhắm tới lớp database của ứng dụng Web được chia
làm bốn loại như sau:
- Tấn công vượt qua kiểm tra đăng nhập
- Tấn công sử dụng câu lệnh select
- Tấn công sử dụng câu lện insert
- Tấn công sử dụng stored-procedures
Sau đây sẽ đi phân tích từng kỹ thuật tấn công
2.1.2.1. Kỹ thuật tấn công vượt qua kiểm tra khi đăng nhập
Với dạng tấn cơng này, tin tặc có thể dễ dàng vượt qua các trang đăng nhập
nhờ vào lỗi khi dùng các câu lệnh SQL thao tác trên cơ sở dữ liệu của ứng dụng
web.
2.1.2.2. Dạng tấn công sử dụng câu lệnh SELECT
Dạng tấn công này phức tạp hơn. Để thực hiện được kiểu tấn công này, kẻ
tấn công phải có khả năng hiểu và lợi dụng các sơ hở trong các thơng báo lỗi từ hệ
thống để dị tìm các điểm yếu khởi đầu cho việc tấn cơng. Xét một ví dụ rất thường
gặp trong các website về tin tức. Thơng thường, sẽ có một trang nhận ID của tin cần
hiển thị rồi sau đó truy vấn nội dung của tin có ID này.
2.1.2.3. Dạng tấn cơng sử dụng câu lệnh INSERT
Thông thường các ứng dụng web cho phép người dùng đăng kí một tài khoản
để tham gia. Chức năng khơng thể thiếu là sau khi đăng kí thành cơng, người dùng
có thể xem và hiệu chỉnh thơng tin của mình. SQL injection có thể được dùng khi
hệ thống khơng kiểm tra tính hợp lệ của thơng tin nhập vào.
2.1.2.4. Dạng tấn công sử dụng stored-procedures
Việc tấn công bằng stored-procedures sẽ gây tác hại rất lớn nếu ứng dụng
được thực thi với quyền quản trị hệ thống 'sa'.
2.1.3. Phòng chống SQL injection
Các biện pháp an ninh trên bất cứ hệ thống thông tin nào đều được triển khai
theo ngun tắc phịng thủ theo chiều sâu, do đó các biện pháp phòng chống SQL
Injection chúng ta sẽ đề cập cũng hướng theo mơ hình này. Các nội dung được đề
cập sau đây sẽ bao gồm việc xây dựng các mã nguồn đảm bảo an tồn, cấu hình
máy chủ database, DBMS, và các cơng cụ dạng tường lửa.
2.1.3.1. Phịng chống từ mức xây dựng mã nguồn ứng dụng
Điểm yếu SQL Injection bắt nguồn từ việc xử lý dữ liệu từ người dùng
khơng tốt, do đó vấn đề xây dựng mã nguồn đảm bảo an ninh là cốt lõi của việc
phòng chống SQL Injection.
Làm sạch dữ liệu đầu vào
Xây dựng truy vấn theo mơ hình tham số hóa
Chuẩn hóa dữ liệu
Mơ hình thiết kế mã nguồn tổng quát
2.1.3.2. Các biện pháp bảo vệ từ mức nền tảng hệ thống
Các biện pháp phòng chống từ mức nền tảng hệ thống (platform-level) là
những biện pháp cải tiến trong thời gian hoạt động (runtime) hoặc các thay đổi
trong cấu hình sao cho có thể nâng cao mức độ an ninh tổng thể của ứng dụng.
2.1.3.3. Các biện pháp bảo vệ tức thời
Những biện pháp bảo vệ tức thời là những biện pháp có thể áp dụng mà
khơng cần phải thực hiện biên dịch lại mã nguồn của ứng dụng. Các biện pháp bảo
vệ trong thời gian hoạt động là các cơng cụ hữu ích nhằm phịng tránh việc lợi dụng
các điểm yếu SQL Injection đã được xác định.
a. Các ứng dụng tường lửa Web
Ứng dụng tường lửa Web (Web Application Firewall - WAF) là một ứng
dụng được bố trí đóng vai trị trung gian giữa client và web server, làm nhiệm vụ
điều phối các thông tin luân chuyển, cân bằng tải.
b. Các bộ lọc ngăn chặn
Hầu hết các ứng dụng tường lửa web (WAF) đều cài đặt các mẫu lọc ngăn
chặn trong cấu trúc của mình. Các bộ lọc này là một chuỗi các module độc lập có
thể được gắn kết với nhau để thực hiện thao tác xử lý trước và sau các xử lý chính
bên trong ứng dụng (Web page, URL, script
2.1.3.4. Các biện pháp bảo vệ database
Các biện pháp bảo vệ chính database nhằm đề phịng những trường hợp xấu,
khi kẻ tấn cơng đã khai thác được điểm yếu, và từ đó có thể điều khiển các hoạt
động của database nhằm ăn cắp dữ liệu hoặc làm bàn đạp thâm nhập vào hệ thống
bên trong, đằng sau database.
2.1.3.5. Đề xuất một số giải pháp
Thực tế cho thấy không một hệ thống ứng dụng Web nào được coi là an ninh
tuyệt đối. Các giải pháp an ninh hệ thống chỉ có thể hướng tới việc bảo vệ hệ thống
một cách tối đa, và giảm thiểu các nguy cơ tấn cơng xuống mức tối thiểu. Một mơ
hình an ninh nhiều mức là một sự lựa chọn sáng suốt cho vấn đề này.
Các biện pháp an ninh chúng ta đã đề cập tới bao gồm các biện pháp quản lý
luồng thông tin trao đổi giữa ứng dụng và database server như: lọc request từ client
thông qua tường lửa Web, chuẩn hóa các tham số lấy được từ request, xây dựng các
truy vấn tham số hóa, lọc tiếp lần cuối các http response tại tường lửa Web. Ngồi
ra cịn cần áp dụng các biện pháp an ninh mức nền tảng hệ thống.
2.2. Tấn công từ chối dịch vụ phân tán DDoS
Khi sử dụng một Tool tấn công Dos (chương 1) tới một máy chủ đơi khi
khơng gây ảnh hưởng gì cho máy chủ. Giả sử bạn sử dụng Ping of death tới một
máy chủ trong khi máy chủ đó kết nối với mạng tốc độ 100Mbps, bạn kết nối tới
máy chủ tốc độ 3Mbps thì tấn cơng của bạn khơng có ý nghĩa gì.
Nhưng nếu cùng lúc có 1000 người như bạn tấn cơng vào máy chủ kia thì khi
đó băng thông của 1000 người cộng lại tối đa đạt 3Gbps và tốc độ kết nối của máy
chủ đạt 100Mbps thì cuộc tấn cơng này thật là lớn. Chính vì vậy kẻ tấn cơng trên
mạng máy tính với quy mơ lớn hiện nay trở nên rất phổ biến.
2.2.1. Các giai đoạn tấn công DDoS
Một cuộc tấn công DDoS gồm ba giai đoạn: giai đoạn chuẩn bị, giai đoạn xác định
mục tiêu và thời điểm, giai đoạn phát động tấn công và xố dấu vết.
2.2.1.1. Giai đoạn chuẩn bị
Chuẩn bị cơng cụ quan trọng của cuộc tấn công, công cụ này thông thường
hoạt động theo mơ hình client-server.
2.2.1.2. Giai đoạn xác định mục tiêu
Sau khi xác định mục tiêu lấn cuối, hacker sẽ có hoạt động điều chỉnh attacknetword chuyển hướng tấn cơng về phía mục tiêu. Yếu tố thời điểm sẽ quyết định
mức độ thiệt hại và tốc độ đáp ứng của mục tiêu đối với cuộc tấn công.
2.2.1.3. Giai đoạn tấn cơng và xố dấu vết
Đúng thời điểm đã định, hacker phát động tấn cơng từ máy của mình, lệnh
tấn cơng này có thể đi qua nhiều cấp mói đến host thực sự tấn cơng. Tồn bộ attack-
network (có thể lên đến hàng ngàn máy), sẽ vắt cạn năng lực của server mục tiêu
liên tục, ngăn chặn khơng cho nó hoạt động như thiết kế.
2.2.2. Kiến trúc tổng quan của DDoS attack-network
Nhìn chung DDoS attack-network có hai mơ hình chính:
Mơ hình Agent – Handler
Mơ hình IRC – Based
2.2.3. Phân loại tấn cơng DDoS
Nhìn chung, có rất nhiều biến thể của kỹ thuật tấn công DDoS nhưng nếu
nhìn dưới góc độ chun mơn thì có thể chia các biến thề này thành hai loại dựa
trên mục đích tấn cơng: làm cạn kiệt băng thơng và làm cạn kiệt tài nguyên hệ
thống.
2.2.3.1. Những kiểu tấn công làm cạn kiệt tài nguyên: (Resource Deleption
Attack)
Theo định nghĩa: Resource Deleption Attack là kiểu tấn cơng trong đó
Attacker gởi những packet dùng các protocol sai chức năng thiết kế, hay gửi những
packet với dụng ý làm tắt nghẽn tài nguyên mạng làm cho các tài nguyên này không
phục vụ user thông thường khác được.
2.2.4. Một số phương pháp phòng chống DDoS
Ngay sau khi các cuộc tấn công quy mô lớn đầu tiên, nhiều nghiên cứu đã
được dành riêng cho các vấn đề mới về ngăn chặn, loại bỏ, và bằng cách nào đó lọc
ra các cuộc tấn cơng DoS nhằm vào các hệ thống đầu cuối host. Trong khi DDoS là
một vấn đề tương đối mới, các nghiên cứu liên quan đã tồn tại trong lĩnh vực kiểm
soát tắc nghẽn, giảm nhẹ các cuộc tấn công DoS đơn giản, dung thứ lỗi, và duy trì
hoạt động của node trong mạng.
2.2.5. Đề xuất phương pháp phòng chống DDoS
Trong luận văn này đã nghiên cứu và đưa ra hệ thống tự động phát hiện và
ngăn chặn một cuộc tấn công DDos kết hợp giao thức lan tỏa ngược để phòng
chống các cuộc tấn công DDos.
2.2.6. Đánh giá hiệu quả của phương pháp phòng chống DDoS
Hệ thống phát hiện và tự động ngăn chặn được thiết kế đặt ở nạn nhân. Do
cơ chế của giao thức lan tỏa ngược là đẩy lùi đến gần nguồn tấn công nhất. Việc kết
hợp hai phương pháp này sẽ có hiệu quả tương đối cao.
Những ưu điểm của hệ thống:
-
Tự động cảnh báo khi phát hiện có cuộc tấn công Ddos
-
Chặn tự động những địa chỉ IP mới khi có cuộc tấn cơng
-
Chặn được khi có giả mạo địa chỉ IP
-
Hệ thống vẫn hoạt động khi router hàng xóm khơng hỗ trợ lan tỏa ngược
Tuy nhiên bên cạnh đó hệ thống còn rất nhiều nhược điểm. Thứ nhất giao thức
lan tỏa ngược khá phức tạp và phải cài đặt trên các router. Thứ hai hệ thống ngăn
chặn tự động sẽ chặn những địa chỉ IP mới. Chính vì thế có thể chặn nhầm những
địa chỉ IP khơng thường xun lui tới nhưng tỷ lệ này sẽ rất thấp do kỹ thuật xây
dựng IAD đã trình bày.
Một vấn đề nữa, do đây là hệ thống tự động ngăn chặn nên tôi sẽ để giao thức
trong lan tỏa ngược với tham số là “all”. Còn về thời gian sẽ thiết lập một tham số
cố định.
2.3. Kết luận chương 2
Với cách nhìn cụ thể hơn về các phương thức tấn công trên mạng máy tính,
chương 2 đã đi vào phân tích cụ thể về 2 kỹ thuật tấn công phổ biến là SQL
Injection và từ chối dịch vụ phân tán (DDoS). Một số phương pháp ngăn chặn cũng
đã được đề suất trong chương này. Tuy nhiên để giúp các bạn dễ hình dung hơn về
2 kỹ thuật này thì phần tiếp theo của luận văn sẽ đi mô phỏng một kỹ thuật tấn cơng
trong hai loại trên. Từ đó hi vọng các bạn sẽ hiểu rõ hơn.
CHƯƠNG 3: MÔ PHỎNG KỸ THUẬT TẤN CÔNG TỪ CHỐI
DỊCH VỤ
Chương này sẽ thực hiện mô phỏng một cuộc tấn công từ chối dịch vụ Dos. Như đã
giới thiệu trong chương 2
3.1. Tấn công từ chối dịch vụ
3.1.1. Giới thiệu về tấn công mô phỏng
Cuộc tấn công DoS trong thực nghiệm dưới đây chỉ mang tính minh họa cho
lý thuyết ở trên khơng mang tính phá hoại nên chỉ sử dụng cơng cụ có tính năng nhẹ
nhằm giảm tính phá hoại hệ thống. Công cụ sử dụng ở đây là DoS HTTP 2.5.1, là
cơng cụ có tính phá hoại nhẹ và cũng là công cụ giúp đỡ cho các quản trị viên kiểm
tra và đánh giá hiệu năng của máy chủ web nhằm đảm bảo tính ổn định và đưa ra
các giải pháp tốt nhất cho hệ thống.
3.1.2. Công cụ và các bước chuẩn bị
-
Phần mềm DoS HTTP 2.5.1
-
Phần mềm phân tích gói tin WireShark
-
Xác định mục tiêu cần tấn công (ở đây ta sử dụng diễn đàn www.ithutech.net )
3.1.3. Tiến hành tấn công.
Cuộc tấn công với công cụ DoS HTTP 2.5.1 sẽ liên tiếp tạo các resquest từ
client với một IP nguồn đến server web làm cho ngập băng thơng của server. Khi đó
các client hợp lệ truy cập vào server web sẽ bị từ chối
Được thực hiện qua 9 bước như sau:
-
Bước 1: Cài đặt DoSHTTP 2.5.1
-
Bước 2: Bật Wireshark
-
Bước 3: Vào Website mục tiêu để kiểm tra =>
-
Bước 4: Kiểm tra WireShark thấy các kết nối tới www.ithutech.net bình
thường
-
Bước 5: Xác định mục tiêu và bắt đầu tấn công là:
-
Bước 6: Kiểm tra các kết nối trong WireShark khi tấn công
-
Bước 7: Kiểm tra website bằng cách vào lại lần nữa thấy không vào được
-
Bước 8: Tắt phần mềm
-
Bước 9: File báo cáo sau khi sử dụng phần mềm DoS HTTP 2.5.1
3.2. Đánh giá
Dựa vào kết quả mô phỏng ta đã phần nào hiểu hơn về việc thế nào là tấn
cơng từ chối dịch vụ (DoS). Qua đó chứng minh cho ta thấy tính phá hoại của cuộc
tấn cơng DoS gây hậu quả thế nào với hệ thống, nó làm cho hệ thống bị nghẽn và
nếu là một cuộc tấn cơng quy mơ lớn thì có thể làm cho hệ thống bị reboot và nếu
hệ thống đó liên quan đến tài chính có thể ảnh hưởng khơng nhỏ đến tài chính của
cơng t
3.3. Phương pháp ngăn chặn tấn cơng DoS
3.4. Kết luận chương 3
Chương 3 đã mô phỏng về cách thức của một cuộc tấn công từ chối dịch vụ
như thế nào. Đồng thời cũng cho thấy hậu quả của nó gây ra, đưa ra được một số
biện pháp ngăn chặn thiết thực. Hi vọng bạn đọc đã phần nào hiểu và tự rút cho
mình các kinh nghiêm cũng như các biện pháp ngăn chặn cho riêng mình sao cho
hiệu quả nhất.
KẾT LUẬN VÀ KIẾN NGHỊ
Với đề tài “Nghiên cứu phân tích một số phương thức tấn cơng điển hình
trên mạng máy tính và phương pháp ngăn chặn” và mục đích nghiên cứu ban đầu
là phân tích một số phương thức tấn cơng điển hình trên mạng máy tính và phương
pháp ngăn chặn, đến thời điểm hiện tại về cơ bản luận văn đã đạt được các vấn đề
chính như: có cái nhìn tổng quan về một số kỹ thuật tấn công mạng hiện nay như:
XSS, Troijan, Buffer Over, SQL Injection, DoS. Và đã đi sâu vào phân tích một
cách cụ thể về phương pháp, cách thức hoạt động, kỹ thuật của một số kỹ thuật tấn
cơng mạng điển hình như: SQL Injection, DoS.
Luận văn hồn thành có một ý nghĩa thực tiễn là trở thành một tài liệu tham
khảo cho người đọc khi muốn tìm hiểu về các vấn đề liên quan đến tấn cơng mạng
máy tính: hiểu được một số cách thức tấn cơng mạng điển hình và phương pháp
ngăn chặn, đặc biệt cịn có chương trình mơ phỏng để giúp người đọc- những người
u thích cơng nghệ thơng tin có cái nhìn sâu sắc hơn để có các biện pháp bảo vệ an
toàn khi sử dụng Internet.
Luận văn hoàn thành cũng đem lại một ý nghĩa khoa học là trở thành một
cơng trình nghiên cứu nhỏ góp phần vào hệ thống các cơng trình nghiên cứu lớn của
nền khoa học nói chung.
Luận văn đã đạt được các kết quả sau:
-
Nghiên cứu về một số kỹ thuật tấn công mạng như: XSS, Troijan, Buffer
Over, SQL Injection, DoS.
Nghiên cứu về hai loại hình tấn cơng điển hình là SQL Injection, DoS.
-
Qua nghiên cứu đã đề xuất được một số biện pháp ngăn chặn và bảo vệ.
-
Thử nghiệm được tấn công DDoS bằng các công cụ…
Tuy nhiên trong phạm vi thời gian thực hiện, luận văn vẫn còn nhiều hạn
chế, thiếu sót. Vì vậy bản thân tơi mong muốn đề tài này sẽ được phát triển thêm
nếu điều kiện cho phép, và tôi xin được đưa ra một số kiến nghị sau cho hướng phát
triển tiếp theo của đề tài:
-
Tìm hiểu thêm về các kỹ thuật tấn công một cách sâu sắc hơn nữa.
-
Mở rộng khung tìm hiểu, nghiên cứu về các kỹ thuật tấn công khác như: Tấn
công Trojan và Backdoor,...
-
Bên cạnh đó sẽ tìm hiểu và đưa ra các biện pháp phịng chống, ngăn chặn các
cuộc tấn cơng một cách cụ thể và chi tiết hơn.
Như vậy với đề tài “Nghiên cứu phân tích một số phương thức tấn cơng
điển hình trên mạng máy tính và phương pháp ngăn chặn” tơi hy vọng sẽ được
sự góp ý của các thầy cô và các bạn đọc, và cũng mong muốn đem lại phần nào kiến
thức để giúp mọi người có các biện pháp an toàn cần thiết khi sử dụng Internet.