Nghiên cứu phương pháp truy tìm chứng cứ số của cuộc tấn công DDOS lên hệ thống thông tin
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (5.84 MB, 99 trang )
HƠ NGỌC KHÁNH
NGHIÊN CỦXJ PHUONG PHÁP TRUY TÌM CHÚNG cú SĨ CỦA
CUỘC TÁN CƠNG DDOS LÊN HỆ THĨNG THƠNG TIN
Chun ngành: Cơng nghệ thơng tin
NGHIÊN CỨU PHƯƠNG PHÁP TRUY TÌM CHỨNG
cứ
SỚ CỦA c u ộ c TẤN CÔNG DDOS LÊN HỆ THỊNG THƠNG TIN NIÊN KHĨA : 2011-2015
VIỆN ĐẠI HỌC MỚ HÀ NỘI
KHOA CÔNG NGHỆ THÔNG TIN
ĐỐ ÁN TỐT NGHIỆP ĐẠI HỌC
Hà Nội- Năm 2016
VIỆN ĐẠI HỌC MỚ HÀ NỘI
KHOA CÔNG NGHỆ THÔNG TIN
HÔ NGỌC KHÁNH
NGHIÊN CỬU PHUONG PHÁP TRUY TÌM CHÚNG cú SĨ CỦA
CUỘC TẤN CƠNG DDOS LÊN HỆ THĨNG THƠNG TIN
Chun ngành: Công nghệ thông tin
Giáng viên hướng dẫn: TS Đồ Xuân Chợ
ĐỔ ÁN TỐT NGHIỆP ĐẠI HỌC
Hà Nội- Năm 2016
LỜI GIỚI THIỆU
Đồ án tốt nghiệp là kết quả của một khóa học và là thành quá lao động
của em. Đe có thề thực hiện và hồn thành đồ án này, em đã nhận được sự
hướng dẫn và giúp đỡ rất nhiệt tình cúa các thầy cơ và các bạn trong Khoa
Công Nghệ Thông Tin - Viện Đại học Mở Hà Nội. Em xin gửi lời câm ơn
chân thành và sâu sắc tới các thay, các cô trong Khoa, những người đã tận
tình giáng dạy và truyền đạt những kiến thức cần thiết, những kinh nghiệm
quý báu cho em trong suốt bốn năm học tại Viện Đại học Mở Hà Nội đế em
có thề tự tin khi thực hiện đồ án này.
Đặc biệt, em xin cám ơn thầy Đồ Xuân Chợ, người đã tận tình hướng
dẫn, chi báo động viên và hồ trợ em trong suốt quá trình thực hiện đề tài này.
Trong thời gian làm đồ án cùng thay, em khơng những học hởi được những
kiến thức mà cịn học được khả năng làm việc nghiêm túc, độc lập và có trách
nhiệm với cơng vỉệblỉửalíậìhlVÌệri
Đại học Mở Hà Nội
Mặc dù, em đã cố gắng hoàn thiện đồ án trong phạm vi và khả năng
cho phép, nhưng chắc chán không tránh khỏi những thiếu sót. Em xin kính
mong nhận được sự thơng cảm và góp ý của các thầy, cơ và các bạn.
Hà Nội, ngày 23 tháng 11 năm 2016
Sinh viên thực hiện
Hồ Ngọc Khánh
MỤC LỤC
NHIỆM VỤ CÚA ĐỔ ÁN TỐT NGHIỆP..........................................................
LỜI GIÓI THIỆU...................................................................................................
MỤC LỤC..............................................................................................................
TĨM TẨT ĐỊ ÁN.................................................................................................
DANH MỤC HÌNH VÈ........................................................................................
DANH MỤC BANG BIÊU...................................................................................
DANH MỤC THUẬT NGỮ VIẾT TẮT..............................................................
Chương 1............................................................................................................... 1
Tồng quan về mất an tồn hệ thống thơng tin..................................................... 1
1.1.
Tống quan về hệ thống thông tin........................................................... 1
1.1.1.
Khái niệm hệ thống thông tin......................................................... 1
1.1.2.
Đặc trưng của hệ thống thộng tin....................................................1
1.1.3.
Vai trị của hệ thơng thơng tín......................... .'............................ 2
1.1.4.
Các thành phần của hệ thống thơng tin......................................... 2
1.2.
Thư vien vien Đai nọc Mơ Ha Nội
■
Các nguy mất an tồn thơng tin.............................................................5
1.2.1.
Các vấn đề về đàm bảo an tồn trên hệ thống thơng tin.............. 5
1.2.1.
Các nguy cơ và lỗ hổng.................................................................. 8
1.2.3.
Các lồ hổng bào mật trên hệ thống thơng tin................................9
1.3.
Các hình thức tấn cơng lên hệ thống thông tin.................................. 10
Chương 2............................................................................................................. 16
Tống quan về tấn công DDoS............................................................................. 16
2.1.
Tấn công DoS....................................................................................... 16
2.1.1.
Khái niệm về tấn công DoS......................................................... 16
2.1.2.
Mục đích của tấn cơng DoS.........................................................16
2.1.3.
Mục tiêu tấn công DoS................................................................. 17
2.1.4.
Các dạng tấn công Dos cơ bản..................................................... 17
2.2.
Giới thiệu về Bot và Botnet................................................................. 24
2.2.1.
Khái niệm....................................................................................... 24
2.2.2.
Ý nghĩa của Botnet........................................................................26
2.2.3.
Xây dựng và khai thác Botnet...................................................... 26
2.3.
Tấn công DDoS................................................................................... 27
2.3.1.
Khái niệmDDoS........................................................................... 27
2.3.2.
Các giai đoạn tấn công bằng DDoS............................................ 28
2.3.3.
Kiến trúc tổng quan của mạng lưới tấn công DDoS...................29
2.3.4.
Phân loại tấn công DDoS............................................................. 33
2.3.5.
Một số cuộc tấn công DDoS trong lịch sừ..................................40
2.3.6.
2.3.7.
Các cuộc tấn công DDos tại Việt Nam....................................... 42
Các cotiy c ụ h ồ trợ tấn công. DDoS..Mỉ\v.!................... 43
2.4.
Các phương pháp phịng chổng tấn cơng DDoS................................52
2.4.1.
Kỹ thuật phát hiện và phịng chống DDoS.................................. 52
2.4.2.
Cơng cụ phịng chống tấn cơng DDoS........................................ 56
Chương 3............................................................................................................. 60
Phương pháp truy tìm chứng cứ số của tấn công DDoS.................................. 60
3.1.
Tổng quan chung về điều tra số.......................................................... 60
3.2.
Các kỹ thuật điều tra chứng cứ số DDoS........................................... 62
3.2.1.
Kỹ thuật điều tra tình.................................................................... 62
3.2.2.
Kỹ thuật điều tra động.................................................................. 71
Chương 4............................................................................................................. 76
Thực nghiệm và đánh giá................................................................................... 76
4.1.
Thực hiện mô phỏng một cuộc tấn công DDoS quy mô nhỏ.......... 76
4.1.1.
Môi trường và các công cụ thực hiện.......................................... 76
4.1.2.
Tiến hành mô phỏng tấn công.................................................... 77
4.2.
Thực hiện điều tra chứng cứ số tấn công DDoS............................... 80
4.2.1.
Điều tra trong khi bị tấn công...................................................... 80
4.2.2.
Điều tra sau khi bị tấn công..........................................................82
KÉT LUẬN......................................................................................................... 86
TÀI LIỆU THAM KHAO................................................................................. 88
Thư viện Viện Đại học Mờ Hà Nội
TĨM TẮT ĐỊ ÁN
Họ và tên: Hồ Ngọc Khánh
Chun ngành: Cơng nghệ thơng tin
Khóa: 2011 - 2015
Cán bộ hướng dẫn: TS. Đỗ Xuân Chợ
Tên đề tài: Nghiên cứu phương pháp truy tìm chứng cứ số cùa cuộc tấn cơng
DDoS lên hệ thống thơng tin
Tóm tắt: Với mong muốn tìm hiếu và làm rõ các phương pháp truy tìm chứng
cứ số của cuộc tấn công DDoS lên hệ thống thông tin - một lĩnh vực còn
tương đối mới mẽ ở Việt Nam, sinh viên với sự hướng dẫn của TS. Đỗ Xuân
Chợ đã chọn đề tài đồ án tốt nghiệp với tên gọi “Nghiên cứu phương pháp
truy tìm chứng cứ số của cuộc tấn công DDoS lên hệ thong thông tin”. Ket
quà của đề tài sẽ không chi cung cấp giải pháp nhằm điều tra chứng cứ số cùa
tấn công DDoS nịà^cộn góp phần tạo tịền^đề v^cr ^ở trong lĩnh vực truy tìm
dấu vết tội phạm tấn cơng mạng và tấn cơng DDoS nói riêng.
DANH MỤC HÌNH VẼ
Hình 1.1 Các thành phần của HTTT.................................................................... 3
Hình 1.2 Ngữ cảnh báo mật chung (ISO/IEC 15408, 1999).............................. 6
Hình 1.3 Ví dụ về sự cân bàng giữa các yếu tố an ninh.....................................8
Hình 1.4 Phân loại các hình thức tấn cơng HTTT.............................................11
Hình 2.1 Màn hình xanh báo lồi khi máy tính bị tấn cơng WinNuke............. 18
Hình 2.2 Tấn cơng Smurf sir dụng gói tin ICMP.............................................. 19
Hình 2.3 Mơ hình tấn cơng Ping of Death........................................................ 21
Hình 2.5 Sơ đồ kỹ thuật tấn cơng SYN............................................................. 23
Hình 2.6 Mơ hình tấn cơng Land....................................................................... 24
Hình 2.8 Cách thức một Botnet được tạo và gứi spam.................................... 27
Hình 2.9 Mơ hình tấn cơng DDoS..................................................................... 28
Hình 2.10 Sơ đồ chính phân loại các kiến trúc tấn cơng DDoS.......................30
Hình 2.11 Kiến true mơ hình Agent ị-)HandỊer Adở.Hâ..Njộĩ........................30
Hình 2.12 Kiến trúc mơ hình IRC-Base............................................................ 32
Hình 2.13 Sơ đồ phân loại tấn cơng DDoS....................................................... 33
Hình 2.14 Minh họa tấn cơng khuyếch đại giao tiếp........................................ 36
Hình 2.15 Quy trình bắt tay ba bước................................................................. 38
Hình 2.16 Quy tình gửi gói tin SYN theo cách bất thường............................. 38
Hình 2.17 Minh họa tấn cơng TCP SYS........................................................... 39
Hình 2.18.Tấn cơng DDoS vào Yahoo.com năm 2000................................... 41
Hình 2.19 Sơ đồ so sánh sự tương quan giữa các cơng cụ tấn cơng DDoS ...43
Hình 2.20 Cơng cụ LOIC................................................................................... 51
Hình 2.21 Dùng LOIC tấn cơng DDoS............................................................. 51
Hình 2.22 Cơng cụ DoSHTTP........................................................................... 52
Hình 2.23 Cơng cụ NetFlow Analyzer.............................................................. 57
Hình 2.24 Cơng cụ D-Guard Anti-DDoS Firewall........................................... 58
Hình 2.25 Cơng cụ FortGuard Firewall............................................................ 59
Hình 3.1 Ba yếu tố căn bản trong quá trình điều tra chứng cứ số................... 61
Hình 3.2 Bốn giai đoạn truy tìm chứng cứ số...................................................61
Hình 3.3 Cơng cụ Dumplt ghi lại bộ nhớ RAM............................................... 64
Hình 3.4 Các tiến trình đang thực thi trong bộ nhớ.......................................... 66
Hình 3.5 Các tập tin đang mở và Registry Handles......................................... 67
Hình 3.6 Các kết nối mạng đang có trong hệ thống......................................... 67
Hình 3.7 Mật khẩu được mã hóa....................................................................... 68
Hình 3.8 Phân tích mã độc................................................................................. 69
Hình 3.9 Mơ tá cơng cụ Mandiant Readline..................................................... 71
Hình 3.10 SANS Investigate Forensic Toolkit..................................................71
Hình 3.11 Mơ tả cơng cụ Microsoft Network Monitor...................................74
Hình 3.12 Mơ tả cơng cụ Wireshark................................................................. 75
Hình 4.1 Giao di^í^ệíjaựfgftaĩỹựị.frọc..Mở.Hà.Nội........................79
Hình 4.2 Web Server khi hoạt động bình thường............................................. 79
Hình 4.3 Web Server trong khi bị tấn cơng DDos........................................... 80
Hình 4.4 Sừ dụng WireShark để bắt các gói gửi/nhận của Web Server......... 81
Hình 4.5 Tiến trình đáng ngờ trên máy zoombie............................................. 82
Hình 4.6 Tạo file dump cho tiến trình đáng ngờ............................................. 83
Hình 4.7 Đọc file dump của tiến trình đáng ngờ............................................. 84
DANH MỤC BẢNG BIẾU
Bảng 2.1. Các tập lệnh của Handler...................................................................47
Bảng 2.2. Các tập lệnh của Agent...................................................................... 48
Thư viện Viện Đại học Mờ Hà Nội
DANH MỤC THUẬT NGỮ VIẾT TẮT
Số thứ
Tên dịch ra Tiếng
Tên đầy đú
Tên viết
tắt
tự
Việt
1
ACK
Acknowledgement
2
API
Application Programming Interface
3
DDoS
Distributed Denial of Service
4
DNS
Domain Name System
5
DoS
Denial of Service
6
ICMP
Internet Control Message Protocol
7
IP
Internet Protocol
8
IRC
Internet Relay Chat
9
MySQL
My Structured Query Language
10
PHP
11
RAM
12
SQL
Structured Query Language
13
SYN
Synchronize
14
TCP
Transmission Control Protocol
15
UDP
User Datagram Protocol
Hypertext Preprocessor
TI
Random Access Memory
1
Ộ1
Chương 1
Tổng quan về mất an tồn hệ thống thơng tin
Tồng quan về hệ thống thông tin
1.1.
1.1.1.
Khái niệm hệ thống thông tin
Hệ thống thông tin (Information System) (HTTT) là một hệ thống tích
hợp các thành phần nham phục vụ việc thu thập, lưu trữ, xử lý và trao đối
thông tin, tri thức và các sàn phẩm số. Hệ thống thông tin ngày nay được các
doanh nghiệp và các tố chức sử dụng phố biến với nhiều mục đích khác nhau
đế thực hiện và quăn lý một số hoạt động như:
❖
Tương tác với khách hàng
❖
Tương tác với các nhà cung cấp
❖
Tương tác với các tổ chức chính quyền
Quáng bá thương hiệu và sản phẩm
Mộ. số hệ thống tW
học
❖
Mờ Hà Nội
❖
Các kho dừ liệu (data warehouses)
❖
Các hệ lập kế hoạch nguồn lực doanh nghiệp (enterprise resource
planning)
❖
Các hệ thống thông tin doanh nghiệp (enterprise systems)
❖
Các hệ chun gia (expert systems)
❖
Các máy tính tìm kiếm (search engines)
❖
Các hệ thống thông tin địa lý (geographic information system)
❖
Các hệ thống thơng tin tồn cầu (global information system)
❖
Các hệ tự động hóa văn phịng (office automation)
1.1.2.
Đặc trưng của hệ thống thông tin
Trong đồ án này, chi nghiên cứu về đặc tính của HTTT dựa trên máy tính
(Computer-Based Information System). Vậy HTTT dựa trên máy tính là một
hệ thống thơng tin sừ dụng cơng nghệ máy tính đe thực thi các nhiệm vụ.
2
Các thành phần cúa hệ thống thông tin dựa trên máy tính:
❖
Hardware: phần cứng để thu thập, lưu trừ, xử lý và biếu diễn dữ liệu
❖
Software: các phần mềm chạy trên phần cứng để xứ lý dữ liệu
❖
Databases: lưu trữ dừ liệu
❖
Networks: hệ thống truyền dần thông tin/dữ liệu
❖
Procedures: tập hợp các lệnh kết hợp các bộ phận nêu trên đề xử lý dữ
liệu, đưa ra kết quà mong muốn.
1.1.3.
-
Vai trị của hệ thống thơng tin
Thu thập thơng tin: phân tích, chọn lọc và ghi nhận thơng tin cần thiết
và có ích cho qn lý.
-
Xử lý thơng tin: thực hiện tính tốn, cập nhật, lưu trữ dữ liệu.
-
Truyền thơng tin: thực hiện truyền thông thông tin sao cho đàm bào
thời gian và bào mật.
1.1.4.
Các thành phần của hệ thống thông tin
.”
Danipc Mớ I la Nội
Có nhiều cách đê phân loại các thành phần cơ bán của HTTT, trong đồ
án này, sẽ trình bày 2 cách để phân loại các thành phần HTTT.
3
A. Phân loại theo thành phần:
Hình 1.1 Các thành phần cúa HTTT
Theo Hình 1.1, có năm thành phần chính cấu tạo nên HTTT:
-
Phần cứng: gồm các thiết bị, phương tiện kỳ thuật dùng đề xử lý, kru
trữ thông tin. Trong đó chu yếu là máy tính, các thiết bị ngoại vi dùng đề lưu
irữ và nháp vào/^^ityịên Đại học Mo. I Ià Nội
- Phan mềm: là thuật ngữ đề cập đến các chương trình máy tính hay các
hướng dẫn sử dụng (nếu có) đế phục vụ cho việc hỗ trợ. Chương trình máy
tính là các chi dần mà máy tính có thể đọc được để điều khiển hoạt động các
mạch điện bên trong các thành phần phần cứng cúa hệ thống để nhằm tạo ra
các thơng tin hữu ích từ dữ liệu. Chương trình này thường được lưu trữ trên
một số phương tiện đầu vào / đầu ra, thường là một ổ đĩa hoặc băng.
- Dữ liệu: là những mô tã về sự vật, con người và sự kiện ở thế giới thực
được các chương trình sử dụng đế tạo ra thơng tin hữu ích. Cũng giống như
các chương trình, dữ liệu thường được lưu trữ dưới dạng máy có thể đọc được
như số, ký tự, văn bản.hình ánh,đồ họa, âm thanh, đoạn phim ... trên đìa hoặc
băng cho đen khi máy tính can sứ dụng chúng.
-
máy tính.
Thủ tục: là những quy luật chi phối hoạt động của cùa một hệ thống
4
- Con người: mọi hệ thống nếu muốn trờ nên hữu dụng đều cần con
người. Thường thì con người chính là yếu tố vượt mức trơng đợi của hệ
thống, có lẽ đây là thành phần ãnh hưởng nhiều nhất đến sự thành công hay
thất bại của một hệ thống thông tin.
Dữ liệu là cầu nối giữa phần cứng và con người. Điều này có nghĩa là
các dữ liệu mà thu thập chi là dữ liệu, cho đến khi nó có liên quan đến con
người.
B. Phân loại theo nền tảng công nghệ thơng tin
- Máy trạm (Client): Là một máy tính dành cho cá nhân sử dụng nhưng
có cấu hình mạnh hơn, chạy nhanh hơn, và có nhiều khả năng hơn một máy
tính cá nhân thơng dụng. Máy trạm chù yếu dành cho nhu cầu sử dụng doanh
nghiệp hay chuyên nghiệp (hơn là dùng cho nhu cầu gia đình hay giải trí). Nó
được thiết kế và cấu hình cho các ứng dụng kỹ thuật (CAD/CAM), phát triển
phần mềm, các kiến trúc sư, nhà thiết kế đồ họa,... hay bất cứ ai có nhu cầu
Thư viền Viện Đại học Mớ Ha'Nội
sức mạnh điện toán vừa phái, dung lượng bộ nhớ RAM lớn, và các khá năng
đồ họa tương đối cao cấp. Hai hệ điều hành thường được dùng cho máy trạm
là Unix và Windows NT.[1J
- Hệ thống CSDL: Cơ sở dữ liệu (CSDL) của các tồ chức, doanh nghiệp
luôn là mục tiêu của nhiều cuộc tẩn công. Bới đây là nơi lưu trữ các thông tin
về khách hàng và nhiều dừ liệu bí mật khác. Một trong những nguyên nhân
khiến cho các CSDL dễ bị tổn thương bởi các tấn công là do các tổ chức,
doanh nghiệp chưa có biện pháp bào vệ đầy đủ cho tài nguyên này. Khi truy
nhập vào dừ liệu nhạy cám, ké xấu có thế thực hiện tất cả các công việc để
gây mất mát về tài chính hoặc phá hoại danh tiếng của tổ chức, doanh nghiệp.
- Vùng LAN: Là một hệ thống mạng dùng để kết nối các máy tính trong
một phạm vi nhỏ (phịng ban...). Các máy tính trong mạng LAN có the chia
5
sẻ tài nguyên với nhau, điên hình là chia sẻ tập tin, máy in, máy quét... và
một số thiết bị khác.[21
- Vùng WAN (Wide Area Networks): là mạng được thiết lập đề liên kết
các máy tính của hai hay nhiều khu vực khác nhau, ờ khoáng cách xa về mặt
địa lý, như giữa các quận trong một thành phố, hay giữa các thành phố hay
các miền trong nước. WAN có thể kết nối thành mạng riêng của một tố chức,
hay có thể kết nối qua nhiều hạ tầng mạng cơng cộng và cúa các công ty viễn
thông khác nhau.[3]
- Vùng ứng dụng: Nó cịn được gọi là APPSERVER. Là một chương
trình mà điều khiến tất cả các hoạt động ứng dụng giữa những người sử dụng
và các ứng dụng tầng cuối của một tố chức doanh nghiệp hoặc là các cơ sờ dữ
liệu.
- Phan mềm hệ thong: Là phần mềm máy tính thiết kế cho việc vận hành
và điều khiến phần cứng máy . tính và cung cấp một kiến trúc cho việc
pưyiẹnTịện^ạiậocMơ Hap® “
.
chạy phần mềm ứng dụng. Phần mềm hệ thống có thê được chia thành hai
loại, hệ điều hành và phần mềm tiện ích.
1.2. Các nguy mất an tồn thơng tin
1.2.1. Các vấn đồ về đảm bảo an tồn trên hệ thống thơng tin
Ngày nay, các HTTT thường được sử dụng đề lưu trừ, xứ lý và phân
phối những tài ngun thơng tin có giá trị. Thơng tin có thế được định nghĩa
là dữ liệu có nghĩa và có ích đối với người nhận. Việc xác định chính xác
thơng tin nào là thơng tin có giá trị phụ thuộc vào từng doanh nghiệp, nhưng
thường là những thông tin chiến lược và tài sàn sở hữu trí tuệ, cho phép một
doanh nghiệp có lợi thế trong q trình cạnh tranh với các doanh nghiệp khác.
Vì lý do đó, các hệ thong lưu trữ thơng tin có giá trị luôn phải đối mặt
với hàng loạt mối đe dọa từ cà bên trong và bên ngoài. Các tác nhân đe dọa
luôn cố gắng khai thác lồ hổng trong hệ thống thông tin cũng như lỗ hổng
trong cơ chế báo mật thông tin. Cơ chế bão mật thông tin là các biện pháp
6
được áp dụng bới mỗi doanh nghiệp đế bảo vệ tài nguyên thông tin, giảm
thiểu và chống lại các mối đe dọa có thế xáy ra. Ngữ cảnh chung cúa bào mật
thơng tin có thế được mơ tá như hình 1.2.
Hình 1.2 Ngừ cảnh báo mật chung (ISO/IEC 15408. 1999)
Cơ chế báo mật khơng thích hợp có thế dần đến các tác động xấu như
làm lộ thông tin, làm thông tin bị sửa đồi hay gián đoạn, hay nói cách khác là
vi phạm ba tính chất báo mật cùa thơng tin. Ba tính chất đó là bí mật, tồn vẹn
và sẵn sàng (ISO/IEC 15408, 1999):
• Bí mật
Bí mật là thuật ngữ được sử dụng để tránh lộ thông tin đến những đối
tượng không được xác thực hoặc đế lọt vào các hệ thống khác. Ví dụ: một
giao dịch tín dụng qua Internet, số thẻ tín dụng được gửi từ người mua hàng
đến người bán, và từ người bán đến nhà cung cấp dịch vụ thè tín dụng. Hệ
7
thống sẽ cố gắng thực hiện tính bí mật bằng cách mã hóa số thé trong suốt q
trình truyền tin, giới hạn nơi nó có thể xuất hiện (cơ sở dừ liệu, log file, sao
lưu (backup), in hóa đơn...) và bằng việc giới hạn truy cập những nơi mà nó
được lưu lại. Nếu một bên khơng được xác thực (ví dụ người dùng khơng có
trong giao dịch, hacker...) lay so the này bằng bất kì cách nào, thì tính bí mật
khơng cịn nữa. Tính bí mật rất cần thiết (nhưng chưa đủ) đế duy trì sự riêng
tư cùa người có thơng tin được hệ thống lưu giữ.
• Tồn vẹn
Trong an tồn thơng tin, tồn vẹn có nghĩa rằng dữ liệu không thế bị
chinh sửa hoặc làm gián đoạn dù cố tình hay vơ ý. Nó khác với tính tồn vẹn
trong tham chiếu cúa cơ sờ dữ liệu, mặc dù nó có thế được xem như là một
trường hợp đặc biệt của tính nhất qn trong mơ hình cơ điên ACID (tính
nguyên từ (atomicity), tính nhất quán (consistency), tính tính cách ly
(isolation), tính lâu ben (durability) - là một tập các thuộc tính đàm bão ràng
Thư vienVien Đại hoc MỞ ,Hà Nội___
cơ sở dữ liệu đáng tin cậy). Tính tồn vẹn bị xâm phạm khi một thông điệp bị
chinh sứa. Hệ thống thơng tin an tồn ln cung cấp các thơng điệp tồn vẹn
và bí mật.|4|
• sẵn sàng
Mọi hệ thống thơng tin đều phục vụ mục đích riêng của nó và thông tin
phái luôn luôn sẵn sàng khi cần thiết. Điều đó có nghĩa rằng hệ thống tính
tốn và lưu trữ, xừ lý thông tin được bào vệ bởi một hệ thống điều khiến, và
kênh kết nối sừ dụng đế truy cập nó phái ln hoạt động chính xác. Hệ thống
có tính sẵn sàng cao hướng đến sự sẵn sàng ở mọi thời điếm, tránh được
những rủi ro cả về phần cứng, phần mềm như: sự cố mất điện, hóng phần
cứng, cập nhật, nâng cấp hệ thống... đảm bào tính sẵn sàng cũng có nghĩa là
tránh được tấn cơng từ chối dịch vụ.
Đảm bảo sự cân bằng giữa ba yếu tố báo mật là một việc khó khăn. Ví
dụ, các tổ chức y tế luôn lưu trữ và xử lý một lượng dữ liệu lớn về bệnh nhân.
8
Mặc dù giữ bí mật các dữ liệu này việc quan trọng nhưng đảm bảo tính sẵn
sàng của nó cịn quan trọng hơn. Nếu thơng tin khơng sẵn sàng thì nó có thế
gây ra những thiệt hại lớn cho người bệnh. Việc thực hiện ba yếu tố bí mật,
tồn vẹn, sẵn dùng cùa thông tin phụ thuộc vào từng tổ chức, doanh nghiệp và
có thể xem đây là nhiệm vụ cũng như mục tiêu hàng đầu. Hình 1.2 là một ví
dụ về sự cân bàng giữa các yếu tố an ninh trong lĩnh vực y tế. Có thể thấy
rang các tơ chức y tế tập trung nhiều vào tính san sàng và bí mật hơn là tính
tồn vẹn.
Bí mật
/
/
o
sàn sàng
\
\
Chú thích:
Tồn vẹn
I----- 1 Các tồ chức y tế
1 Iiư yiẹn ,vlẹiỊ vai IIỌC 1V1O na 1NỌI
Hình 1.3 Ví dụ về sự cân bằng giữa các yểu tố an ninh
Có thế kết luận rang bên cạnh việc đánh giá tài nguyên thông tin, các
doanh nghiệp cũng phái bão vệ thông tin khỏi các tác nhân đe dọa. Đe thực
hiện việc này. các doanh nghiệp cần xác định các moi đe dọa và rủi ro có thế
xảy ra đế đưa ra các biện pháp đối phó hoặc giảm nhẹ thích hợp.
1.2.1. Các nguy cơ và lỗ hổng
“Một hệ thống chỉ thật sự an tồn khi tắt điện, rút các phích cắm, bỏ vào
két titan khóa lại, rồi chơn trong boongke bê tơng, bao phú bởi khí trơ và
được báo vệ bởi lính canh có vũ trang và có thù lao hậu hĩnh. Và dù the, lôi
cũng không dám đánh cược cuộc đời mình cho điều đó” - theo Gene spafford
(Chun gia an ninh máy tính, đồng thời là giáo sư ngành khoa học máy tính
thuộc Trung tâm giáo dục và nghiên cứu về bảo đàm và an tồn thơng tin
Trường Đại Học Purude)
9
Hệ thống máy tính ln bị đe dọa bởi các nguy cơ mất an tồn. Một trong
những cơng việc để báo vệ hệ thống là làm sao giúp hệ thống tránh khởi các
nguy cơ đó. Có bốn loại mối đe dọa an tồn:
Chặn bắt (Interception): chi thành phần khơng được phép cũng có thể
❖
truy cập đen các dịch vụ hay các dữ liệu, “nghe trộm” thông tin đang
được truyền đi.
Đứt đoạn (Interruption): là mối đe dọa mà làm cho dịch vụ hay dữ liệu
❖
bị mất mát, bị hỏng, không thể dùng được nữa...
Thay đối (Modification): là hiện tượng thay đồi dữ liệu hay can thiệp
❖
vào các dịch vụ làm cho chúng khơng cịn giữ được các đặc tính ban
đầu.
Giả mạo (Fabrication): là hiện tượng thêm vào dữ liệu ban đầu các dữ
❖
liệu hay hoạt động đặc biệt mà không thể nhận biết được để ăn cắp dừ
liệu của hệ thống.
. *Thtr yien^yien Đại hoc Mở HLNơi,
KT
.
Nguy cơ mat an tồn thông tin do nhiêu nguyên nhân, đôi tượng tân công
đa dạng... Thiệt hại từ những vụ tấn công là rất lớn, đặc biệt là những thông
tin thuộc lĩnh vực kinh tế, an ninh, quốc phịng... Do đó, việc xây dựng hàng
rào kĩ thuật đế ngăn chặn những truy cập trái phép trở thành nhu cầu cấp
bách.
1.2.3. Các lỗ hổng báo mật trên hệ thống thông tin
A. Mối đe dọa (Threat)
Mối đe dọa là bất kỳ hành động nào có thế gây tổn hại đến các tài
nguyên hệ thống (phần cứng, phần mềm, các file, dữ liệu. CSDL, ... hoặc hạ
tầng mạng vật lý, ...). Tuy nhiên, khơng phải tồn bộ các mối đe dọa đều là
độc hại, và mối đe dọa cũng có thể được tạo nên từ nguyên nhân vơ hình hoặc
khách quan.
Các mối đe dọa thường gặp có thể gồm:
❖
Phá hoại của các phần mềm độc hại
10
B.
❖
Hư hịng phần cứng hoặc phần mềm
❖
Kẻ tấn cơng ờ bên trong
❖
Mất trộm các thiết bị
❖
Kẻ tấn công ở bên ngoài
Lỗ hổng (Vulnerability)
Lồ hổng là bất kỳ khiếm khuyết hoặc điểm yếu nào trong hệ thống có
thề tạo điều kiện cho phép một mối đe dọa gây tác hại. Các lỗ hống an ninh
tồn tại trong cà 7 vùng của nền táng CNTT. gồm:
❖
Lồ hổng trong vùng người dùng
❖
Lồ hổng trong vùng máy trạm
❖
Lổ hổng trong vùng mạng LAN
❖
Lồ hổng trong vùng LAN-to-WAN
❖
Lỗ hổng trong vùng WAN
❖
Lỗ hổng trong vùng truy nhập từ xa
’ T Ã ZlZlEl
Roc_MỞ Hà Nội
Lô hông trong vùng hệ thông/ứng dụng
Trong các hộ điều hành và phần mềm ứng dụng, các lỗ hông an ninh
thường gặp có the gồm:
❖
Lỗi tràn bộ đệm (Buffer Overflows)
❖
Khơng kiếm tra đầu vào (Unvalidated Input)
❖
Các vấn đề với diều khiến truy cập (Access-Control Problems)
❖
Các điếm yếu trong xác thực, trao quyền (Weaknesses in
Authentication, Authorization)
❖
Các điếm yếu trong các hệ mật mã (Weaknesses in Crytographic
Practices)
1.3. Các hình thức tấn cơng lên hệ thống thơng tin
Có nhiều cách định nghĩa và phân loại tấn công lên HTTT. Trong đồ án
này phân loại tấn cơng lên HTTT theo hai cách:
A.
Phân loại theo hình thức tấn công
11
Các hình thức tấn cơng lên một HTTT được chia làm hai loại là tấn bị
động (passive attacks) và chủ động (active attacks).
Hình 1.4 Phân loại các hình thức tấn cơng HTTT
Mục đích của cuộc tan cơng bị động là đế kẻ tấn cơng biết được thơng
tin. Có hai kiếu tấn công bị động là khai thác nội dung thông điệp và phân tích
dịng dừ liệu. Tấn cơng bị động rất khó bị phát hiện vì nó khơng làm thay đối
dữ liệu và không để lại dấu vết rõ ràng.
Mục đích cúa cuộc tấn cơng chú động là để kẽ tấn cơng khơng những
biết được thơng tSUIà^cố^ìỉư^dứỉl^ỉỉíồk^tóíột^tehMẳ h^rp'phap. Có ba kiểu
tấn công là tấn công chặn bắt thông tin, tấn công sừa đối thông tin và chèn
thông tin giá mạo
B. Phân loại theo kỹ thuật tấn công
Trong thực tế, để tấn cơng lên HTTT có rất nhiều kỹ thuật tấn công
khác nhau. Trong báo cáo đồ án chi liệt kê một số loại kỹ thuật tấn công phố
biến và điến hình:
• Tấn cơng trực tiếp
Sử dụng một máy tính đề tấn cơng một máy tính khác với mục đích dị
tìm mật mã, tên tài khoăn tương ứng, ... Họ có thế sử dụng một số chương
trình giái mã đê giải mã các file chứa mật khấu trên hệ thống máy tính cùa
nạn nhân. Do đó, những mật khâu ngắn và đơn giãn thường rất dễ bị phát
hiện. Ngoài ra, tin tặc có thế tấn cơng trực tiếp thơng qua các lồi của chương
12
trình hay hệ điều hành làm cho hệ thống đó tê liệt hoặc hư hóng. Trong một
số trường hợp, hacker đoạt được quyền của người quàn trị hệ thống.
• Kỹ thuật đánh lừa (Social Engineering)
Đây là thủ thuật được nhiều tin tặc sử dụng cho các cuộc tấn công thâm
nhập vào hệ thống mạng và máy tính bời tính đơn giãn mà hiệu quà của nó.
Kỹ thuật này thường được sử dụng để lấy cấp mật khấu, thông tin, tấn cơng
vào và phá húy hệ thống. Ví dụ cho kỹ thuật đánh lừa này là Fake Email
Login, về nguyên tắc, mỗi khi đãng nhập vào hộp thư thì bạn phải nhập thơng
tin tài khoăn cùa mình bao gồm tên đang nhập và mật khâu rồi gửi thông tin
đến Mail Server xử lý. Lợi dụng việc này, những người tấn công đã thiết kế
một trang web giống hệt như trang đăng nhập mà bạn hay sứ dụng. Tuy nhiên,
đó là một trang web giã và tất cà thông tin mà bạn điền vào đều được gởi đen
cho họ. Ket quả, bạn bị đánh cắp mật khấu.
• Kỹ thuật tấn cơng vào vùng ẩn
’
Til ự vĩện Viẹn Đại h ọc M ơ 11 a N p 1
Những phân bị dâu đi trong các website thường chứa những thông tin
về phiên làm việc cùa các máy khách. Các phiên làm việc này thường được
ghi lại ở máy khách chứ không tổ chức cơ sở dữ liệu trên máy chù. Vì vậy,
người tấn cơng có thể sử dụng chiêu thức xem mã nguồn cùa trình duyệt để
đọc phần đầu đi này và từ đó có thế tìm ra các sơ hờ của trang Web mà họ
muốn tấn cơng. Từ đó, có thề tấn cơng vào hệ thống máy chú.
• Tấn cơng vào các lỗ hống bảo mật
Hiện nay các lồ hổng bảo mật được phát hiện càng nhiều trong các hệ
điều hành, các web server hay các phần mềm khác, ... Các hãng sàn xuất cũng
luôn cập nhật các bàn vá lồ hông và đưa ra các phiên bàn mới sau khi đã vá
lại các lỗ hong của các phiên bản trước. Do đó, người sử dụng phái luôn cập
nhật thông tin và nâng cấp phiên bản cũ mà mình đang sử dụng để tránh các
tin tặc lợi dụng điều này tấn công vào hệ thống.
13
• Khai thác tình trạng tràn hộ đệm
Tràn bộ đệm là một tình trạng xảy ra khi dữ liệu dược gửi quá nhiều so
với khà năng xử lý của hệ thống hay CPU. Neu tin tặc khai thác tình trạng
tràn bộ đệm này thì họ có the làm cho hệ thống bị tê liệt hoặc làm cho hệ
thống mất khă năng kiếm soát. Đề khai thác được việc này, tin tặc cần biết
kiến thức về tố chức bộ nhớ, stack, các lệnh gọi hàm.
• Nghe trộm
Các hệ thống trao đối thông tin qua mạng đôi khi không dược bảo mật
tốt và lợi dụng điều này, tin tặc có thế truy cập vào data paths đế nghe trộm
hoặc đọc trộm luồng dừ liệu truyền qua. Nó sẽ thu thập những thơng tin quý
giá về hệ thống như một gói tin chứa mật khấu và tên đăng nhập của một ai
đó. Các chương trình nghe trộm cịn được gọi là các sniffing. Các sniffing này
có nhiệm vụ lắng nghe các cổng của một hệ thống mà hacker muốn nghe
trộm. Nó sẽ thu thập dữ liệu trên các cồng này và chuyển về cho tin tặc.
I nil vien Viện Đại nọc Mớ Ila Nội
• Kỹ thuật giá mạo địa chi
Thơng thường, các mạng máy tính nối với Internet đều được bảo vệ
bằng tường lira(firewall). Tường lứa có thể hiểu là cống duy nhất mà người đi
vào nhà hay đi ra cũng phải qua đó. Tường lửa hạn chế rất nhiều khả năng tấn
cơng từ bên ngoài và gia tăng sự tin tướng lẫn nhau trong việc sử dụng tài
nguyên chia sẻ trong mạng nội bộ. Sự giả mạo địa chi nghĩa là người bên
ngồi sẽ giả mạo địa chỉ máy tính của mình là một trong những máy tính của
hệ thống cần tấn cơng. Họ tự đặt địa chi IP cùa máy tính mình trùng với địa
chi IP của một máy tính trong mạng bị tấn công. Nếu như làm được điều này,
tin tặc có the lay dừ liệu, phá hủy thơng tin hay phá hoại hệ thong.
14
• Kỹ thuật chèn mã lệnh
Một kỹ thuật tấn cơng căn bàn và được sử dụng cho một số kỹ thuật tan
công khác là chèn inã lệnh vào trang web từ một máy khách bất kỳ của người
tấn công. Kỳ thuật chèn mã lệnh cho phép người tan công đưa mã lệnh thực
thi vào phiên làm việc trên web của một người dùng khác. Khi mã lệnh này
chạy, nó sẽ cho phép người tấn công thực hiện nhiều hành vi như giám sát
phiên làm việc trên trang web hoặc có thề tồn quyền điều khiến máy tính của
nạn nhân. Kỹ thuật tấn công này thành công hay thất bại tùy thuộc vào khá
năng và sự linh hoạt của người tấn cơng.
• Tấn cơng vào hệ thống có cấu hình khơng an tồn
Cấu hình khơng an tồn cũng là một lồ hống báo mật cúa hệ thống. Các
lỗ hổng này được tạo ra do các ứng dụng có các thiết lập khơng an tồn hoặc
người qn trị hệ thống định cấu hình khơng an tồn. Chẳng hạn như cấu hình
máy chủ web cho phép ai cùng có quyền duyệt qua hệ thống thư mục. Việc
,
^Tnuyjen VỊệnĐaĩ nọc MỚHàNội
_ ,
thiêt lập như trên có thê làm lộ các thơng tin nhạy cám như mã nguôn, mật
khẩu hay các thông tin cùa khách hàng.
• Tấn cơng dùng Cookies
Cookie là những phần tử dừ liệu nhỏ có cấu trúc được chia sẻ giữa
website và trình duyệt của người dùng. Cookies được lưu trữ dưới những tệp
dữ liệu nhô dạng văn bản (size dưới 4KB). Chúng được các site tạo ra để lưu
trữ, truy tìm, nhận biết các thông tin về người dùng đã ghé thăm site và những
vùng mà họ đi qua trong site. Những thơng tin này có thế bao gồm tên, định
danh người dùng, mật khấu, sở thích, thói quen... Cookies được trình duyệt
web cùa người dùng chấp nhận lưu trên đĩa cứng của máy tính, khơng phái
trình duyệt web nào cũng hổ trợ Cookies.
