Tải bản đầy đủ (.doc) (96 trang)
  1. Trang chủ
    2. >>
  2. Luận Văn - Báo Cáo
    3. >>
  3. Kỹ thuật

Tìm hiểu tấn công ddos

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.87 MB, 96 trang )

đồ án tốt nghiệp
Đề ti: Tìm hiểu tấn công DDoSi: Tìm hiểu tấn công DDoS

GVHD: ThS. Hoàng Sỹ Tơng

Lời nói đầu
Ngày nay, khi Internet đợc phổ biến rộng rÃi, các tổ chức, cá nhân đều có
nhu cầu giới thiệu thông tin của mình trên xa lộ thông tin, các giao dịch thơng
mại điện ngày càng trở lên gần gũi với mọi ngời. Vấn đề này nảy sinh khi phạm
vi ứng dụng của các ứng dụng web ngày càng mở rộng thì khả năng xuất hiện lỗi
và bị tấn công ngay càng cao, trở thành đối tợng tấn công cho nhiều ngời tấn
công với mục đích khác nhau. Những cuộc tấn công này không chỉ gây ra tổn
thất về mặt tài chính mà còn làm ảnh hởng nặng nền đến uy tín của các tổ chức
hoạt động trên internet. Một hình thức tấn công mà nó đà và đang là nỗi lo âu,
khiếp sợ của các website thơng mại điện tử, các tổ chức hoạt động trên môi trờng
mạng internet phải kể đến đó là DDoS (Distributed Denial of Service - Kiểu tấn
công từ chối dịch vụ phân tán)
Kể từ khi xuất hiện vào mùa thu năm 1999, DDoS đà khiến các website
trên thế giới phải điêu đứng. Ngày 7/3/2000, website www.yahoo.com phải
ngng phục vụ hàng trăm triệu ngời dùng trên thế giới trong vài giờ do phải gánh
chịu một đợt tấn DDoS với quy mô vài ngàn máy tính liên tục gửi hàng triệu
request đến các server dịch vụ làm cho các server này không thể phục vụ ngời sử
dụng thông thờng khác. Vài ngày sau, một sự kiện tơng tự diễn ra với hàng loạt
các website trong đó có những website đà quá nổi tiếng trên thể giới nh h·ng tin
CNN, amazon.com, buy.com, Zden.com, E-trade.com, Ebay.com . Tỉng thiƯt hại
do các cuộc tấn đó gây ra lên đến 1.2 triệu USD, nhng không đáng kể bắng sự
mất lòng tin từ phía khách hàng, uy tín của các công ty là không thể tính đợc
ở Việt Nam trong một vài năm trở lại đây, tấn công kiểu DDoS phát triển
một cách chóng mặt. Mục tiêu yêu thích của các cuộc tấn công này là các
website thơng mại điện tử, các website nổi tiếng (có lợng truy cập nhiều), các tạp
chí, báo điện tử, các cơ quan, tổ chức chính phủ và phi chính phủ. Điển hình là


các vụ tấn công vào các website bảo mật lớn nhất Việt Nam là HVA
(www.hvaforum.net) và VietHacker.org vào cuối năm 2005 khiến các website bị
tê liệt hoàn toàn trong vài ngày. Vào đầu năm 2006 website thơng mại điện tử
www.vietco.com của công ty cổ phần Việt Cơ đà phải hứng chịu một cuộc tấn
công với qui mô hàng nghìn máy tính khiến công ty phải tạm thời bị gián đoạn
hoạt động và đứng trớc nguy cơ phá sảnVà còn hàng trăm các cuộc tấn côngVà còn hàng trăm các cuộc tấn công
DDoS khác đang diƠn ra tõng ngµy, tõng giê víi kü tht ngµy càng tinh vi và
khó lờng, thiệt hại gây ra là không thể kể hết.

SVTH: Đỗ văn tú

Trang 1


đồ án tốt nghiệp
Đề ti: Tìm hiểu tấn công DDoSi: Tìm hiểu tấn công DDoS

GVHD: ThS. Hoàng Sỹ Tơng

Từ những dẫn chứng cụ thể trên cũng đủ để cho chúng ta thÊy tÊn c«ng
kiĨu DDoS cã søc nguy hiĨm nh thế nào. Đồ án này đợc thực hiện nhằm mục
đích nghiên cứu, tìm hiểu về cách thức hoạt động và các biện pháp phòng chống
DDoS, giúp mọi ngời có cái nhìn tổng quan về kiểu tấn công nguy hiểm này.

TổNG

Chơng 1
QUAN VỊ DDOS
1.1. Giíi thiƯu chung vỊ DDoS:


DDoS (distributed denial-of-service attack) là một kiểu tấn công đa một hệ
thống cung cấp dịch vụ đến mức hoạt động tới hạn về tài nguyên, hay gây nhầm
lẫn logic dẫn đến hệ thống ngừng hoạt động.
Khác với DoS (denial-of-service attack) là chỉ cần một máy để tấn công,
DDoS sử dụng nhiều máy tính bị chiếm quyền điều khiển kết nối với nhau (mạng
Botnet) để tấn công nên sức hủy hoại là rất lớn.

1.2. Phân loại các kiểu tấn công DDoS
Nhìn chung, có rất nhiều cách để phân loại các kiểu tấn công DDoS nhng
theo em cách phân loại theo mục đích tấn công là khá đầy đủ, đơn giản và dễ
hiểu. Dới đây là sơ đồ mô tả sự phân loại các kiểu tấn công DDoS dựa theo mục
đích tấn công: làm cạn kiệt băng thông và làm cạn kiệt tài nguyên hệ thống.
SVTH: Đỗ văn tú

Trang 2


đồ án tốt nghiệp
Đề ti: Tìm hiểu tấn công DDoSi: Tìm hiểu tấn công DDoS

GVHD: ThS. Hoàng Sỹ Tơng

Hình 1-: Phân loại các kiểu tấn công DDoS
Tấn công làm cạn kiệt băng thông
Tấn công làm cạn kiệt băng thông (BandWith Depletion Attack) đợc thiết
kế nhằm làm tràn ngập mạng mục tiêu với những traffic không cần thiết, với
mục địch làm giảm tối thiểu khả năng của các traffic hợp lệ đến đợc hệ thống
cung cấp dịch vụ của mục tiêu.
Có hai loại tấn công làm cạn kiệt băng thông :
Flood attack: Điều khiển các Agent gửi một lợng lớn traffic đến hệ

thống dịch vụ của mục tiêu, làm dịch vụ này bị hết khả năng về băng thông.
Amplification attack: Điều khiển các Agent hay Client tự gửi
packet đến một địa chỉ IP broadcast, làm cho tất cả các máy trong subnet này gửi
packet đến hệ thống dịch vụ của mục tiêu. Phơng pháp này làm gia tăng traffic
không cần thiết, làm suy giảm băng thông của mục tiêu.
1.2.1. Flood attack:
Trong phơng pháp này, các Agent sẽ gửi một lợng lớn IP traffic làm hệ
thống dịch vụ của mục tiêu bị chậm lại, hệ thống bị treo hay đạt đến trạng thái
hoạt động bÃo hòa. Làm cho những ngời dùng thực sự của hệ thống không sử
dụng đợc dịch vụ.
Ta có thể chia Flood Attack thành hai loại:
- UDP Flood Attack: do tÝnh chÊt connectionless cđa UDP, hƯ thèng
nhËn UDP message chỉ đơn giản nhận vào tất cả các packet mình cần phải xử lý.
Một lợng lớn các UDP packet đợc gửi đến hệ thống dịch vụ của mục tiêu sẽ đẩy
toàn bộ hệ thống đến ngỡng tới hạn.

SVTH: Đỗ văn tó

Trang 3


đồ án tốt nghiệp
Đề ti: Tìm hiểu tấn công DDoSi: Tìm hiểu tấn công DDoS

GVHD: ThS. Hoàng Sỹ Tơng

- Các UDP packet này có thể đợc gửi đến nhiều port tùy ý hay chỉ duy
nhất một port. Thông thờng là sẽ gửi đến nhiều port làm cho hệ thống mục tiêu
phải căng ra để xử lý phân hớng cho các packet này. Nếu port bị tấn công không
sẵn sàng thì hƯ thèng mơc tiªu sÏ gưi ra mét ICMP packet loại destination port

unreachable. Thông thờng các Agent software sẽ dùng địa chỉ IP giả để che
giấu hành tung, cho nên các packet trả về do không có port xử lý sẽ dẫn đến một
địa chỉ IP khác. UDP Flood attack cũng có thể làm ảnh hởng đến các kết nối
xung quanh mơc tiªu do sù héi tơ cđa packet diƠn ra rất mạnh.
- ICMP Flood Attack: đợc thiết kế nhằm mục đích quản lý mạng cũng
nh định vị thiết bị mạng. Khi các Agent gửi một lợng lớn ICMP ECHO
REQUEST đến hệ thống mục tiêu thì hệ thống này phải reply một lợng tơng ứng
Packet để trả lời, sẽ dẫn đến nghẽn đờng truyền. Tơng tự trờng hợp trên, địa chỉ
IP của các Agent có thể bị giả mạo.
1.2.2. Amplification Attack:
Amplification Attack nhắm đến việc sử dụng các chức năng hỗ trợ địa chỉ
IP broadcast của các router nhằm khuyếch đại và hồi chuyển cuộc tấn công.
Chức năng này cho phép bên gửi chỉ định một địa chỉ IP broadcast cho toàn
subnet bên nhận thay vì nhiều địa chỉ. Router sẽ có nhiệm vụ gửi đến tất cả địa
chỉ IP trong subnet đó packet broadcast mà nó nhận đợc.
Attacker có thĨ gưi broadcast packet trùc tiÕp hay th«ng qua mét số Agent
nhằm làm gia tăng cờng độ của cuộc tấn công. Nếu attacker trực tiếp gửi packet,
thì có thể lợi dụng các hệ thống bên trong broadcast network nh một Agent.

Hình 1-: Amplification Attack
Có thể chia amplification attack thành hai loại, Smuft và Fraggle attack:

SVTH: Đỗ văn tú

Trang 4


đồ án tốt nghiệp
Đề ti: Tìm hiểu tấn công DDoSi: Tìm hiểu tấn công DDoS


GVHD: ThS. Hoàng Sỹ Tơng

- Smuft attack: trong kiểu tấn công này attacker gửi packet đến network
amplifier (router hay thiết bị mạng khác hỗ trợ broadcast), với địa chỉ của nạn
nhân. Thông thờng những packet đợc dùng là ICMP ECHO REQUEST, các
packet này yêu cầu yêu cầu bên nhận phải trả lời bằng một ICMP ECHO REPLY
packet. Network amplifier sÏ gưi ®Õn ICMP ECHO REQUEST packet đến tất cả
các hệ thống thuộc địa chỉ broadcast và tất cả các hệ thống này sẽ REPLY
packet về địa chỉ IP của mục tiêu tấn công Smuft Attack.
- Fraggle Attack: tơng tự nh Smuft attack nhng thay vì dùng ICMP
ECHO REQUEST packet th× sÏ dïng UDP ECHO packet gưi đến mục tiêu. Thật
ra còn một biến thể khác của Fraggle attack sÏ gưi ®Õn UDP ECHO packet ®Õn
chargen port (port 19/UNIX) của mục tiêu, với địa chỉ bên gửi là echo port (port
7/UNIX) của mục tiêu, tạo nên một vòng lặp vô hạn. Attacker phát động cuộc
tấn công bằng một ECHO REQUEST với địa chỉ bên nhận là một địa chỉ
broadcast, toàn bộ hệ thống thuộc địa chỉ này lập tức gửi REPLY đến port echo
của nạn nhân, sau đó từ nạn nhân một ECHO REPLY lại gửi trở về địa chỉ
broadcast, quá trình cứ thế tiếp diễn. Đây chính là nguyên nhân Flaggle Attack
nguy hiểm hơn Smuft Attack rất nhiều.
Tấn công làm cạn kiệt tài nguyên
Tấn công làm cạn kiệt tài nguyên (Resource Deleption Attack) là kiểu tấn
công trong đó Attacker gửi những packet dùng các protocol sai chức năng thiết
kế, hay gửi những packet với dụng ý làm tắt nghẽn tài nguyên mạng làm cho các
tài nguyên này không phục vụ những ngời dùng thông thờng khác ®ỵc.
1.2.3. Protocol Exploit Attack
- TCP SYN Attack: Transfer Control Protocol hỗ trợ truyền nhận với độ
tin cậy cao nên sử dụng phơng thức bắt tay giữa bên gửi và bên nhận trớc khi
truyền dữ liệu. Bớc đầu tiên, bên gửi gửi một SYN REQUEST packet
(Synchronize). Bên nhận nếu nhận đợc SYN REQUEST sÏ tr¶ lêi b»ng
SYN/ACK packet. Bíc ci cïng, bên gửi sẽ truyên packet cuối cùng ACK và

bắt đầu truyền dữ liệu.

Hình 1-: Ba bớc kết nối TCP/IP
Nếu bên server đà trả lời một yêu cầu SYN bằng một SYN/ACK nhng
không nhận đợc ACK packet cuối cùng sau một khoảng thời gian quy định thì
SVTH: Đỗ văn tú

Trang 5


đồ án tốt nghiệp
Đề ti: Tìm hiểu tấn công DDoSi: Tìm hiểu tấn công DDoS

GVHD: ThS. Hoàng Sỹ Tơng

nó sẽ gửi lại SYN/ACK cho đến hết thời gian timeout. Toàn bộ tài nguyên hệ
thống dự trữ để xử lý phiên giao tiếp nếu nhận đợc ACK packet cuối cùng sẽ
bị phong tỏa cho đến hết thời gian timeout.

Hình 1-: Trờng hợp IP nguồn giả
Nắm đợc điểm yếu này, attacker gửi một SYN packet đến nạn nhân với địa
chỉ bên gửi là giả mạo, kết quả là nạn nhân gửi SYN/ACK đến một địa chỉ khác
và sẽ không bao giờ nhận ®ỵc ACK packet ci cïng, cho ®Õn hÕt thêi gian
timeout nạn nhân mới nhận ra đợc điều này và giải phóng các tài nguyên hệ
thống. Tuy nhiên, nếu lợng SYN packet giả mạo đến với số lợng nhiều và dồn
dập, hệ thống của nạn nhân có thể bị hết tài nguyên.
- PUSH và ACK Attack: Trong TCP protocol, các packet đợc chứa
trong buffer, khi buffer đầy thì các packet này sẽ đợc chuyển đến nơi cần thiết.
Tuy nhiên, bên gửi có thể yêu cầu hệ thống unload buffer trớc khi buffer đầy
bằng cách gửi một packet với cờ PUSH và ACK mang giá trị là 1. Những packet

này làm cho hệ thống của nạn nhân unload tất cả dữ liệu trong TCP buffer ngay
lËp tøc vµ gưi mét ACK packet trở về khi thực hiện xong điều này, nếu quá trình
đợc diễn ra liên tục với nhiều Agent, hệ thống sẽ không thể xử lý đợc lợng lớn
packet gửi đến và sẽ bị treo.
1.2.4. Malformed Packet Attack
Malformed Packet Attack là cách tấn công dùng các Agent để gửi các
packet có cấu trúc không đúng chuẩn nhằm làm cho hệ thống của nạn nhân bị
treo.
Có hai loại Malformed Packet Attack:
- IP address attack: dùng packet có địa chỉ gửi và nhận giống nhau làm
cho hệ điều hành của nạn nhân không xử lý nổi và bị treo.
- IP packet options attack ngẫu nhiên hóa vùng OPTION trong IP
packet và thiết lập tất cả các bit QoS lên 1, điều này làm cho hệ thống của nạn
nhân phải tốn thời gian phân tÝch, nÕu sư dơng sè lỵng lín Agent cã thĨ làm hệ
thống nạn nhân hết khả năng xử lý.

SVTH: Đỗ văn tú

Trang 6


đồ án tốt nghiệp
Đề ti: Tìm hiểu tấn công DDoSi: Tìm hiểu tấn công DDoS

GVHD: ThS. Hoàng Sỹ Tơng

1.3. Sơ đồ mạng Botnet
Sơ đồ Handler-Agent

Hình 1-: Sơ đồ Handler-Agent

Mạng Handler-Agent thông thờng bao gồm 3 thành phần: Agent, Client
và Handler. Trong đó :
- Client: Là phần mềm cơ sở để hacker điều khiển mọi hoạt động của
mạng Handler-Agent.
- Handler: Là một phần mềm trung gian giữa Agent và Client.
- Agent: Là một phần mềm thực hiện sự tấn công mục tiêu, nhận điều
khiển từ Client thông quan các Handler.
Attacker sẽ từ Client giao tiếp với Handler để xác định số lợng các Agent
đang online, điều chỉnh thời điểm tấn công và cập nhật các Agent. Tuỳ theo cách
attacker cấu hình mạng Botnet, các Agent sẽ chịu sự quản lý của một hay nhiều
Handler.
Thông thờng Attacker sẽ đặt các Handler trên một Router hay Server có lợng lu thông lớn. Việc này nhằm làm cho các giao tiếp giữa Client, Handler và
Agent khó bị phát hiện. Các giao thức này thờng diễn ra trên các giao thức TCP,
UDP hay ICMP. Chủ nhân thực sự của các Agent thờng không biết họ bị lợi
dụng trong các cuộc tấn công DDoS, do họ không đủ kiến thức hoặc các chơng
trình Backdoor Agent chỉ sử dụng rất ít tài nguyên hệ thống làm cho hầu nh
không thể thấy ảnh hởng gì đến hiệu năng của hệ thống.

SVTH: Đỗ văn tú

Trang 7


đồ án tốt nghiệp
Đề ti: Tìm hiểu tấn công DDoSi: Tìm hiểu tấn công DDoS

GVHD: ThS. Hoàng Sỹ Tơng

Sơ đồ IRC Base


Hình 1-: Sơ đồ IRC Base
Internet Relay Chat(IRC) là mét hƯ thèng online chat nhiỊu ngêi. IRC
cho phÐp ngêi sử dụng tạo một kết nối đến nhiều điểm khác với nhiều ngời sử
dụng khác nhau và chat thời gian thùc. KiÕn tróc cị cđa IRC network bao gåm
nhiỊu IRC server trên khắp Internet, giao tiếp với nhau trên nhiều kênh
(channnel). IRC network cho phép user tao ba loại channel: Public, Private và
Secrect. Trong đó :
Public channel: Cho phép user của channel đó thấy IRC name và
nhận đợc message của mọi user khác trên cùng channel.
Private channel: Đợc thiết kế để giao tiếp với các đối tợng cho
phép.Không cho phép các user không cùng channel thấy IRC name và message
trên channel. Tuy nhiên, nếu user ngoài channel dùng một số lệnh channel
locator thì có thể biết đợc sự tồn tại của private channel đó.
Secrect channel: Tơng tự private channel nhng không thể xác định
bằng channel locator.
Mạng IRC-based cũng tơng tự nh mạng Agent-Handler nhng mô hình
này sử dụng các kênh giao tiếp IRC làm phơng tiện giao tiếp giữa Client và
Agent (không sử dụng Handler). Sử dụng mô hình này, attacker còn có thêm một
số lợi thế khác nh:
Các giao tiếp dới dạng chat message làm cho việc phát hiện chúng
là vô cùng khó khăn.
Lu thông IRC có thể di chuyển trên mạng với số lợng lớn mà không
bị nghi ngờ.

SVTH: Đỗ văn tú

Trang 8


đồ án tốt nghiệp

Đề ti: Tìm hiểu tấn công DDoSi: Tìm hiểu tấn công DDoS

GVHD: ThS. Hoàng Sỹ Tơng

Không cần phải duy trì danh sách các Agent, hacker chỉ cần logon
vào IRC server là đà có thể nhận đợc report về trạng thái các Agent do các
channel gửi về.
Sau cùng: IRC cũng là một môi trờng chia sẻ file tạo điều kiện phát
tán các Agent code lên nhiều máy khác.

1.4. Các phơng pháp xây dựng tài nguyên tấn
công
Có rất nhiều điểm chung của các công cụ DDoS attack. Có thể kể ra một
số điểm chung nh: cách cài chơng trình Agent, phơng pháp giao tiếp giữa các
attacker, Handler và Agent, điểm chung về loại hệ điều hành hỗ trợ các công cụ
này. Sơ đồ sau mô tả sự so sánh tơng quan giữa các công cụ tấn công DDoS này.

Hình 1-: Các phơng pháp xây dựng tài nguyên tấn côngCách thức cài đặt DDoS
Agent
Attacker có thể dùng phơng pháp active và passive để cài đặt chơng trình
Agent lên các máy khác nhằm thiết lập mạng tấn công kiểu Agent-Handler hay
IRC-based.
* Các cách cài đặt sử dụng phơng pháp active nh:
- Scaning: dùng các công cụ nh Nmap, Nessus để tìm những sơ hở trên
các hệ thống đang online nhằm cài đặt chơng trình Agent. Chú ý, Nmap sẽ trả về
những thông tin về một hệ thống đà đợc chỉ định bằng địa chỉ IP, Nessus tìm
kiếm từ những địa chỉ IP bất kỳ về một điểm yếu biết trớc nào đó.
- Backdoor: sau khi tìm thấy đợc danh sách các hệ thống có thể lợi dụng,
attacker sẽ tiến hành xâm nhập và cài chơng trình Agent lên các hệ thống này.


SVTH: Đỗ văn tú

Trang 9


đồ án tốt nghiệp
Đề ti: Tìm hiểu tấn công DDoSi: Tìm hiểu tấn công DDoS

GVHD: ThS. Hoàng Sỹ Tơng

Có rất nhiều thông tin sẵn có về cách thức xâm nhập trên mạng, nh site của tổ
chức Common Vulnerabilities and Exposures (CVE), ở đây liệt kê và phân loại
trên 4.000 loại lỗi của tất cả các hệ thống hiện có. Thông tin này luôn sẵn sàng
cho cả giới quản trị mạng lẫn hacker.
- Trojan: là một chơng trình thực hiện một chức năng thông thờng nào
đó, nhng lại có một số chức năng tiềm ẩn phục vụ cho mục đích riêng của ngời
viết mà ngời dùng không thể biết đợc. Có thể dùng Trojan nh một chơng trình
Agent.
- Buffer Overflow: tận dụng lỗi buffer overflow, attacker có thể làm cho
chu trình thực thi chơng trình thông thờng bị chuyển sang chu trình thực thi chơng trình của hacker (nằm trong vùng dữ liệu ghi đè). Có thể dùng cách này để
tấn công vào một chơng trình có điểm yếu buffer overflow để chạy chơng trình
Agent.
* Cách cài đặt sử dụng passive:
- Bug trình duyệt web: attacker có thể lợi dụng một số lỗi của trình
duyệt web để cài chơng trình Agent vào máy của user truy cập. Attacker sẽ tạo
một trang web mang nội dung tiềm ẩn những code và lệnh ®Ĩ ®Ỉt bÉy user. Khi
user truy cËp néi dung cđa trang web, thì trang web download và cài đặt chơng
trình Agent mét c¸ch bÝ mËt. Microsoft Internet Explorer (IE) thêng là mục tiêu
của cách cài đặt này, với các lỗi của ActiveX có thể cho phép trình duyệt IE tự
động download và cài đặt code trên máy của ngời dùng duyệt web.

- Corrupted file: một phơng pháp khác là nhúng code vào trong các file
thông thờng. Khi user đọc hay thực thi các file này, máy của họ lập tức bị nhiễm
chơng trình Agent software. Một trong những kỹ thuật phổ biến là đặt tên file rất
dài, do mặc định của các hệ điều hành chỉ hiển thị phần đầu cđa tªn file nªn
attacker cã thĨ gưi kÌm theo email cho nạn nhân file nh sau:
iloveyou.txt_hiiiiiii_NO_this_is_DDoS.exe, do chỉ thấy phần Iloveyou.txt hiển
thị nên user sẽ mở file này để đọc và lập tức file này đợc thực thi và Agent code
đợc cài vào máy nạn nhân. Ngoài ra còn nhiều cách khác nh ngụy trang file,
ghép fileVà còn hàng trăm các cuộc tấn công
* Giao tiếp trên mạng Botnet
Protocol: giao tiếp trên mạng Botnetcó thể thực hiện trên nền các protocol
TCP, UDP, ICMP.
Mà hóa các giao tiếp: một vài công cụ DDoS hỗ trợ mà hóa giao tiếp trên
toàn bộ mạng Botnet. Tùy theo protocol đợc sử dụng để giao tiếp sẽ có các ph-

SVTH: Đỗ văn tú

Trang 10


đồ án tốt nghiệp
Đề ti: Tìm hiểu tấn công DDoSi: Tìm hiểu tấn công DDoS

GVHD: ThS. Hoàng Sỹ Tơng

ơng pháp mà hóa thích hợp. Nếu mạng Botnet ở dạng IRC-based thì private và
secrect channel đà hỗ trợ mà hóa giao tiếp.
Cách kích hoạt Agent: có hai phơng pháp chủ yếu để kích hoạt Agent.
Cách thứ nhất là Agent sẽ thờng xuyên quét thăm dò Handler hay IRC channel
để nhận chỉ thị (active Agent). Cách thứ hai là Agent chỉ đơn giản là nằm vùng

chờ chỉ thị từ Handler hay IRC Channel.

1.5. Một số kiểu tấn công DDoS và các công cụ
tấn công DDoS
Một số kiểu tấn công DDoS
Bên cạnh việc phân loại các kiểu tấn công theo mục đích tấn công, ta còn
có thể phân loại theo cách tấn công vào giao thức. Dới đây là phân loại một số
cách tấn công DDoS theo giao thức : (Tham khảo từ ).
HTTP Flood.
SYN Flood.
ICMP Flood.
TCP Reset.
UDP Flood.
Mét sè c«ng cơ tấn công DDoS
1.5.1. Trinoo
Trinoo là một công cụ tấn công từ chối dịch vụ bằng kĩ thuật UDP
Flood đợc kết hợp từ nhiều nguồn.
Một cuộc tấn công DDoS bằng Trinoo ®ỵc thùc hiƯn bëi kÕt nèi cđa
attacker ®Õn mét hay nhiều Trinoo Master và chỉ dẫn cho Master phát động tấn
công DDoS đến một hoặc nhiều mục tiêu. Master sẽ liên lạc với các daemons để
ra lệnh cho các daemons gửi các UDP packet đến mục tiêu.
Mô hình :
Attacker(s)-->Master(s)-->daemon(s)-->victim(s)
Attacker -----> Master : port 27665/TCP
Master -----> Deamons : port 27444/UDP
Daemon ------> Master : port 31335/UDP
Deamon -----> UDP Flood đến mục tiêu (random port)
1.5.2. Tribe Flood Network (TFN/TFN2K)
T¬ng tù nh Trinoo nhng Tribe Flood Network còn cho phép attacker sử
dụng thêm ICMP flood, SYN flood và Smurf .

Mô hình :
Attacker(s)-->client(s)-->daemon(s)-->victim(s)

SVTH: Đỗ văn tó

Trang 11


đồ án tốt nghiệp
Đề ti: Tìm hiểu tấn công DDoSi: Tìm hiểu tấn công DDoS

GVHD: ThS. Hoàng Sỹ Tơng

1.5.3. Stacheldraht
Stacheldraht là sự kết hợp các tính năng của Trinoo và TFN, bên cạnh đó
còn thêm khả năng mà hóa giao tiếp giữa attacker và stacheldraht masters.
Stacheldraht cung cấp cho attacker khá nhiều phơng thức tấn công từ chối dịch
vụ : ICMP flood, SYN flood, UDP flood và Smurf .
Mô hình :
Client(s)-->handler(s)-->agent(s)-->victim(s)
- Client ---> handler(s) : port 16660/tcp
- Handler <----> agent(s): port 65000/tcp, ICMP ECHO REPLY
1.5.4. Trinity
Trinity có hầu hết các kü thuËt tÊn c«ng bao gåm: UDP, TCP SYN, TCP
ACK, TCP fragment, TCP NULL, TCP RST, TCP random flag, TCP
ESTABLISHED packet flood. Nó có sẵn khả năng ngẫu nhiên hóa địa chỉ bên
gởi. Trinity cũng hỗ trợ TCP flood packet với khả năng ngẫu nhiên tập
CONTROL FLAG. Trinity có thể nói là một trong số các công cụ DDoS nguy
hiểm nhất.
1.5.5. Shaft

Shaft có các kĩ thuật tấn công UDP, ICMP và TCP flood. Có thể tấn công
phối hợp nhiều kiểu cïng lóc. Cã thèng kª chi tiÕt cho phÐp attacker biết tình
trạng tổn thất của nạn nhân, mức độ quy mô của cuộc tấn công để điều chỉnh số
lợng Agent.
Mô h×nh :
Client(s)-->handler(s)-->agent(s)-->victim(s)
Client ----> handler(s): port 20432/tcp
Handler ---> agent(s): port 18753/udp
Agent ---> handler(s): port 20433/udp
1.5.6. X-flash
VÊn ®Ị then chèt cđa hacker tấn công bằng hình thái cổ điển là nắm quyền
điều khiển càng nhiều máy tính càng tốt, sau đó anh ta sẽ trực tiếp phát động tấn
công hàng loạt từ xa thông qua một kênh điều khiển. Với quy mô mạng lới tấn
công bao gồm vài trăm nghìn máy, hình thái này có thể đánh gục ngay lập tức
bất cứ hệ thống nào. Phối hợp với khả năng giả mạo địa chỉ IP, kiểu tấn công này
sẽ rất khó lần theo dấu vết.

SVTH: Đỗ văn tú

Trang 12


đồ án tốt nghiệp
Đề ti: Tìm hiểu tấn công DDoSi: Tìm hiểu tấn công DDoS

GVHD: ThS. Hoàng Sỹ Tơng

Hình 1-: Mô hình mạng Classic DDoS
Tuy nhiên, mô hình này có một số nhợc điểm:
Mạng lới tấn công là cố định và tấn công xảy ra đồng loạt nên rất dễ

điều tra ngợc tìm manh mối.
Software cài lên các Infected Agent lµ gièng nhau vµ cã thĨ dïng
lµm b»ng chøng kÕt tội hacker.
Phía nạn nhân có thể điều chỉnh hệ thống phòng vệ để ngăn chặn vì
mạng lới tấn công là khả kiến.
Hacker buộc phải trực tiếp kết nối đến mạng lới các máy tấn công
tại thời điểm tấn công để điều khiển nên rất dễ lần ra thủ phạm.
X-Flash xuất hiện sau khi DantruongX và nhóm BeYeu phát hiện ra những
lỗ hổng bảo mật của IE và Flash Player. Nó chỉ bằng cách đơn giản là gửi yêu
cầu tới web server dạng HTTP Request ( yêu cầu dạng POST hay GET) với một
tốc độ cực kì nhanh kiến web services bị crash.
Cách tấn công : Hacker treo một file flash trªn mét trang web trung gian
cã nhiỊu ngêi truy xt, ngêi dïng truy xuÊt trang web nµy file flash sÏ đợc tải
về máy và đợc chơng trình Flash thực thi. Từ đây vô số các yêu cầu truy xuất sẽ
gởi đến trang web mục tiêu.

SVTH: Đỗ văn tú

Trang 13


đồ án tốt nghiệp
Đề ti: Tìm hiểu tấn công DDoSi: Tìm hiểu tấn công DDoS

GVHD: ThS. Hoàng Sỹ Tơng

Hình 1-: Mô hình mạng X-Flash DDoS
Flash DDOS có một số đặc tính khiến cho việc ngăn chặn và phát hiện
gần nh là không thể. Do mạng lới tấn công phức tạp và tự hình thành :
Không cần thiết phải nắm quyền điều khiển và cài DDOS software

vào các infected agent. Thay vào đó mọi user với một trình duyệt có hỗ trợ nội
dung Flash (có Flash Player) sẽ trở thành công cụ tấn công.
Số lợng attack agent tùy thuộc vào số lợng user truy xuất các trang
web đà bị hacker nhúng nội dung flash, số lợng này thay đổi theo thời gian và
hoàn toàn không thể nhận biết địa chỉ IP nguồn, vì đây là các user thông thờng.
Không hề có quá trình gởi lệnh và nhận báo cáo giữa hacker và
mạng lới tấn công, toàn bộ lệnh tấn công đợc nhúng trong nội dung flash và
hacker không cần nhận báo cáo do đây là mô hình tấn công bất đồng bộ.
Tấn công bất đồng bộ: Việc tấn công diễn ra không cần có mệnh
lệnh. Ngời dùng truy xuất trang web , load nội dung flash về trình duyệt và Flash
player thực thi nội dung flash thì ngay lập tức máy của họ trở thành một attack
agent-liên tục gởi hàng trăm request đến máy chủ web nạn nhân.
Quy mô tấn công phụ thuộc vào số lợng trang web bị lợi dụng và số
lợng ngời dùng thờng xuyên truy xuất các trang web này. Chỉ tính trung bình
hacker lợi dụng đợc 10 trang web và mỗi trang web này có số lợng truy xuất
khoảng 100 user tại một thời điểm thì tổng số request mà server nạn nhân phải
hứng chịu tại một thời điểm lên đến con số vài chục ngàn. Đây lµ mét sè liƯu
kinh hoµng víi bÊt kú ai lµm quản trị hệ thống của bất cứ trang web nào và kết
quả thờng là hệ thống tê liệt ngay lập tức.

SVTH: Đỗ văn tú

Trang 14


đồ án tốt nghiệp
Đề ti: Tìm hiểu tấn công DDoSi: Tìm hiểu tấn công DDoS

GVHD: ThS. Hoàng Sỹ Tơng


Tuy nhiên, hiện nay chơng trình Flash player mới nhất đà đợc fix lỗi, cách
tấn công Flash đà phần nào đợc hạn chế.

1.6. Phòng chống DDoS
Phòng chống DDoS
Có rất nhiều giải pháp và ý tởng đợc đa ra nhằm đối phó với các cuộc tấn
công kiểu DDoS. Tuy nhiên không có giải pháp và ý tởng nào là giải quyết trọn
vẹn bài toán Phòng chống DDoS. Các hình thái khác nhau của DDoS liªn tơc
xt hiƯn theo thêi gian song song víi các giải pháp đối phó, tuy nhiên cuộc đua
vẫn tuân theo quy luật tất yếu của bảo mật máy tính: Hacker luôn đi trớc giới
bảo mật một bớc.
Có ba giai đoạn chính trong quá trình Phòng chống DDoS:
Giai đoạn ngăn ngừa: tối thiểu hóa lợng Agent, tìm và vô hiệu hóa
các Handler.
Giai đoạn đối đầu với cuộc tấn công: Phát hiện và ngăn chặn cuộc
tấn công, làm suy giảm và dừng cuộc tấn công, chuyển hớng cuộc tấn công.
Giai đoạn sau khi cuộc tấn công xảy ra: thu thập chứng cứ và rút
kinh nghiệm.

Hình 1-: Các giai đoạn chi tiết trong phòng chống DDoS
1.6.1. Tối thiểu hóa lợng Agent
Từ phía ngời dùng: một phơng pháp rất tốt để ngăn ngừa tấn công DDoS
là từng ngời dùng Internet sẽ tự đề phòng không để bị lợi dụng tấn công hệ thống
khác. Muốn đạt đợc điều này thì ý thức và kỹ thuật phòng chống phải đợc phổ
biến rộng rÃi cho mọi ngời dùng. Mạng lới Botnet sẽ không bao giờ hình thành
nếu không có ngời nào bị lợi dụng trở thành Agent. Mọi ngời dùng phải liên tục
thực hiện các quá trình bảo mật trên máy vi tính của mình. Họ phải tự kiểm tra
SVTH: Đỗ văn tú

Trang 15



đồ án tốt nghiệp
Đề ti: Tìm hiểu tấn công DDoSi: Tìm hiểu tấn công DDoS

GVHD: ThS. Hoàng Sỹ Tơng

sự hiện diện của Agent trên máy của mình, điều này là rất khó khăn đối với
những ngời dùng thông thờng. Một giải pháp đơn giản là nên cài đặt và update
liên tục các software nh antivirus, antitrojan và các bản patch của hệ điều hành.
Từ phía Network Service Provider: Thay đổi cách tính tiền dịch vụ truy
cập theo dung lợng sẽ làm cho user lu ý đến những gì họ gửi, nh vậy về mặt ý
thức tăng cờng phát hiện DDoS Agent sẽ tự nâng cao ở mỗi ngời dùng.
1.6.2. Tìm và vô hiệu hóa các Handler:
Một nhân tố vô cùng quan trọng trong mạng Botnet là Handler, nếu có thể
phát hiện và vô hiệu hóa Handler thì khả năng Phòng chống DDoS thành công là
rất cao. Bằng cách theo dõi các giao tiếp giữa Handler và Client hay Handler và
Agent ta có thể phát hiện ra vị trí của Handler. Do một Handler quản lý nhiều,
nên triệt tiêu đợc một Handler cũng có nghĩa là loại bỏ một lợng đáng kể các
Agent trong mạng Botnet.
1.6.3. Phát hiện dấu hiệu của cuộc tấn công:
Có nhiều kỹ thuật đợc áp dụng:
- Agress Filtering: Kü tht nµy kiĨm tra xem mét packet cã đủ tiêu
chuẩn ra khỏi một subnet hay không dựa trên cơ sở gateway của một subnet luôn
biết đợc địa chỉ IP của các máy thuộc subnet. Các packet từ bên trong subnet gửi
ra ngoài với địa chỉ nguồn không hợp lệ sẽ bị giữ lại để điều tra nguyên nhân.
Nếu kỹ thuật này đợc áp dụng trên tất cả các subnet của Internet thì khái nhiệm
giả mạo địa chỉ IP sẽ không còn tồn tại.
- MIB statistics: trong Management Information Base (SNMP-Simple
Network Management Protocol ) cđa route lu«n cã th«ng tin thống kể về sự biến

thiên trạng thái của mạng. Nếu ta giám sát chặt chẽ các thống kê của Protocol
ICMP, UDP và TCP ta sẽ có khả năng phát hiện đợc thời điểm bắt đầu của cuộc
tấn công để tạo quỹ thời gian vàng cho việc xử lý tình huống.
1.6.4. Làm suy giảm hay dừng cuộc tấn công
Dùng các kü tht sau:
- Load balancing: ThiÕt lËp kiÕn tróc c©n bằng tải cho các server trọng
điểm sẽ làm gia tăng thêi gian chèng chäi cđa hƯ thèng víi cc tÊn công DDoS.
Tuy nhiên, điều này không có ý nghĩa lắm về mặt thực tiễn vì quy mô của cuộc
tấn công là không có giới hạn.
- Throttling: Thiết lập cơ chế điều tiết trên router, quy định một khoảng
tải hợp lý mà server bên trong có thể xử lý đợc. Phơng pháp này cũng có thể đợc
dùng để ngăn chặn khả năng DDoS traffic không cho user truy cập dịch vụ. Hạn
chế của kỹ thuật này là không phân biệt đợc giữa các loại traffic, đôi khi làm

SVTH: Đỗ văn tú

Trang 16


đồ án tốt nghiệp
Đề ti: Tìm hiểu tấn công DDoSi: Tìm hiểu tấn công DDoS

GVHD: ThS. Hoàng Sỹ Tơng

dịch vụ bị gián đoạn với user, DDoS traffic vẫn có thể xâm nhập vào mạng dịch
vụ nhng với số lợng hữu hạn.
- Drop request: Thiết lập cơ chế drop request nếu nó vi phạm một số quy
định nh: thời gian delay kéo dài, tốn nhiều tài nguyên để xử lý, gây deadlock. Kỹ
thuật này triệt tiêu khả năng làm cạn kiệt năng lực hệ thống, tuy nhiên nó cũng
giới hạn một số hoạt động thông thờng của hệ thống, cần cân nhắc khi sử dụng.

1.6.5. Chuyển hớng cuộc tấn công
Honeyspots: Một kỹ thuật đang đợc nghiên cứu là Honeyspots.
Honeyspots là một hệ thống đợc thiết kế nhằm đánh lừa attacker tấn công vào
khi xâm nhập hệ thống mà không chú ý ®Õn hƯ thèng quan träng thùc sù.
Honeyspots kh«ng chØ ®ãng vai trò Lê Lai cứu chúa mà còn rất hiệu quả
trong việc phát hiện và xử lý xâm nhập, vì trên Honeyspots đà thiết lập sẵn các
cơ chế giám sát và báo động.
Ngoài ra, Honeyspots còn có giá trị trong viƯc häc hái vµ rót kinh nghiƯm
tõ Attacker, do Honeyspots ghi nhận khá chi tiết mọi động thái của attacker trên
hệ thống. Nếu attacker bị đánh lừa và cài đặt Agent hay Handler lên Honeyspots
thì khả năng bị triệt tiêu toàn bộ mạng Botnet là rất cao.
1.6.6. Giai đoạn sau tấn công
Trong giai đoạn này thông thờng thực hiện các công việc sau:
- Traffic Pattern Analysis: Nếu dữ liệu về thống kê biến thiên lợng
traffic theo thời gian đà đợc lu lại thì sẽ đợc đa ra phân tích. Quá trình phân tích
này rất có ích cho việc tinh chỉnh lại các hệ thống Load Balancing và Throttling.
Ngoài ra các dữ liệu này còn giúp quản trị mạng điều chỉnh lại các quy tắc kiểm
soát traffic ra vào mạng của mình.
- Packet Traceback: bằng cách dùng kỹ thuật Traceback ta có thể truy
ngợc lại vị trí của Attacker (ít nhất là subnet của attacker). Từ kỹ thuật
Traceback ta phát triển thêm khả năng Block Traceback từ attacker khá hữu hiệu.
- Bevent Logs: Bằng cách phân tích file log sau cuộc tấn công, quản trị
mạng có thể tìm ra nhiều manh mối và chứng cứ quan trọng.
Những vấn đề có liên quan
DDoS là một kiểu tấn công rất đặc biệt, điểm cực kỳ hiểm ác của DDoS
làm cho nó khó khắc phục là DDoS đánh vào nhân tố yếu nhất của hệ thống
thông tin con ngời. Từ đặc điểm này của DDoS làm phát sinh rất nhiều các
vần đề mà mọi ngời trong cộng đồng Internet phải cùng chung sức mới có thể
giải quyết.
Sau đây là các yếu điểm mà chúng ta cần phải hạn chế :


SVTH: Đỗ văn tú

Trang 17


đồ án tốt nghiệp
Đề ti: Tìm hiểu tấn công DDoSi: Tìm hiểu tấn công DDoS

GVHD: ThS. Hoàng Sỹ Tơng

1.6.7. Thiếu trách nhiệm với cộng đồng
Con ngời thông thờng chỉ quan tâm đầu t tiền bạc và công sức cho hệ
thống thông tin của chính mình. DDoS khai thác điểm này rất mạnh ở phơng
thức giả mạo địa chỉ và Broadcast amplification.
IP spoofing: một cách thức đơn giản nhng rất hiệu quả đợc tận
dụng tối đa trong các cuộc tấn công DDoS. Thực ra chống giả mạo địa chỉ không
có gì phức tạp, nh đà đề cập ở phần trên, nếu tất cả các subnet trên Internet đều
giám sát các packet ra khỏi mạng của mình về phơng diện địa chỉ nguồn hợp lệ
thì không có một packet giả mạo địa chỉ nào có thể truyền trên Internet đợc.
Đề nghị: Tự giác thực hiện Egress Filtering ở mạng do mình quản lý.
Hi vọng một ngày nào đó sẽ có quy định cụ thể về vấn đề này cho tất cả các ISP
trên toàn cầu.
- Broadcast Amplification: tơng tự IP spoofing, nó lợi dụng toàn bộ một
subnet để flood nạn nhân. Vì vậy, việc giám sát và quản lý chặt chẽ khả năng
broadcast của một subnet là rất cần thiết. Quản trị mạng phải cấu hình toàn bộ hệ
thống không nhận và forward broadcast packet.
1.6.8. Sự im lặng
Hầu hết các tổ chức đều không có phản ứng hay im lặng khi hệ thống của
mình bị lợi dụng tấn công hay bị tấn công. Điều này làm cho việc ngăn chặn và

loại trừ các cuộc tấn công trở nên khó khăn. Mọi việc trở nên khó khăn khi mọi
ngời không chia sẻ kinh nghiệm từ các cuộc tấn công, trong khi giới hacker thì
chia sẻ mà nguồn mở của các công cụ, một cuộc chơi không cân sức.
Đề nghị:
Mỗi tổ chức có liên quan nên thiết lập quy trình xử lý xâm nhập vào tổ
chức, nhóm chuyên trách với trách nhiệm và quy trình thật cụ thể. Các ISP nên
thiết lập khả năng phản ứng nhanh và chuyên nghiệp để hỗ trợ các tổ chức trong
việc thực hiện quy trình xử lý xâm nhập của mình.
Khuyến khích các quản trị mạng gia nhập mạng lới thông tin toàn cầu của
các tổ chức lớn về bảo mật nhằm thông tin kịp thời và chia sẻ kinh nghiệm với
mọi ngời.
Tất cả các cuộc tấn công hay khuyết điểm của hệ thống đều phải đợc báo
cáo đến bộ phận tơng ứng để xử lý.
1.6.9. Tầm nhìn hạn hẹp
Nếu chỉ thực hiện các giải pháp trên thôi thì đa chúng ta ra khỏi tình trạng
cực kỳ yếu kém về bảo mật. Các giải pháp này không thực sự làm giảm các rủi
ro của hệ thống thông tin mà chỉ là các giải pháp tình thế. Có những vấn đề đòi

SVTH: Đỗ văn tú

Trang 18


đồ án tốt nghiệp
Đề ti: Tìm hiểu tấn công DDoSi: Tìm hiểu tấn công DDoS

GVHD: ThS. Hoàng Sỹ Tơng

hỏi một cái nhìn và thái độ đúng đắn của cộng đồng Internet. Cần phải có những
nghiên cứu thêm về mặt quy định bắt buộc và pháp lý nhằm hỗ trợ chúng tac giải

quyết các vấn đề mà kỹ thuật không thực hiện nỗi. Một số vấn đề cần thực hiện
thêm trong tơng lai:
Giám sát chi tiết về luồng dữ liệu ở cấp ISP để cảnh cáo về cuộc tấn
công.
Xúc tiến đa IPSec và Secure DNS vào sử dụng.
Khẳng định tầm quan trọng của bảo mật trong quá trình nghiên cứu
và phát triển của Internet II.
Nghiên cứu phát triển công cụ tự ®éng sinh ra ACL tõ security
policy, router vµ firewall.
đng hé việc phát triển các sản phẩm hớng bảo mật có các tính
năng: bảo mật mặc định, tự động update.
Tài trợ việc nghiên cứu các protocol và các hạ tầng mới hỗ trợ khả
năng giám sát, phân tích và điều khiển dòng dữ liệu thời gian thực.
Phát triển các router và switch có khả năng xử lý phức tạp hơn.
Nghiên cứu phát triển các hệ thống tơng tự nh Intrusion Dectection,
hoạt động so sánh trạng thái hiện tại với định nghĩa bình thờng củ hệ thống từ đó
đa ra các cảnh báo.
Góp ý kiến để xây dựng nội quy chung cho tất cả các thành phần có
liên quan đến Internet.
Thiết lập mạng lới thông tin thời gian thực giữa những ngời chịu
trách nhiệm về hoạt động của hệ thống thông tin nhằm cộng tác-hỗ trợ-rút kinh
nghiệm khi có một cuộc tấn công quy mô xảy ra.
Phát triển hệ điều hành bảo mật hơn.
Nghiên cứu các hệ thống tự động hồi phục có khả năng chống chọi,
ghi nhận và hồi phục sau tấn công cho các hệ thống xung yếu.
Nghiên cứu các biện pháp truy tìm, công cụ pháp lý phù hợp nhằm
trừng trị thích đáng các attacker mà vẫn không xâm phạm quyền tự do riêng t cá
nhân.
Đào tạo lực lợng tinh nhuệ về bảo mật làm nòng cốt cho tính an
toàn của Internet.

Nhấn mạnh yếu tố bảo mật và an toàn hơn là chỉ tính đến chi phí
khi bỏ ra xây dựng một hệ thống thông tin.
Nhận xét:

SVTH: Đỗ văn tó

Trang 19


đồ án tốt nghiệp
Đề ti: Tìm hiểu tấn công DDoSi: Tìm hiểu tấn công DDoS

GVHD: ThS. Hoàng Sỹ Tơng

Thông qua chơng này, ta có thể thấy DDoS thực sự là Rất dễ thực hiện,
hầu nh không thể tránh, hậu quả rất nặng nề. Chính vì vậy việc đấu tranh phòng
chống DDoS là công việc không chỉ của một cá nhân, một tập thể hay một quốc
gia mà là công việc của toàn thế giới nói chung và cộng đồng sử dụng mạng
Internet nói riêng.

Chơng 2
Hệ
THốNG PHáT HIệN Và CHốNG XÂM NHËP CHèNG X¢M
NHËP – IDS & IPS IDS & IPS
Qua ch¬ng 1 chóng ta cã thĨ thÊy râ mèi nguy hiểm từ các cuộc tấn công
DDoS. Việc phát hiện và nhất là công việc phòng tranh cũng nh đối phó lại với
DDoS không phải chuyện đơn giản. Cùng với thời gian, các kỹ thuật tấn công
ngày càng tinh vi hơn khiến các hệ thống an ninh mạng trở nên mất hiệu qủa.
Các hệ thống an ninh mạng truyền thống thuần túy dựa trên các tờng lửa nhằm
kiểm soát luồng thông tin ra vào hệ thống mạng một cách cứng nhắc dựa trên

các luật bảo vệ cố định. Với kiểu phòng thủ này, các hệ thống an ninh sẽ bất lực
trớc kỹ thuật tấn công mới, đặc biệt là các cuộc tấn công nhằm vào điểm yếu của
hệ thống. Hệ thống phòng chống thâm nhập IPS là một kỹ thuật an ninh mới, kết
hợp các u điểm của kỹ thuật tờng lửa với hệ thống phát hiện xâm nhập IDS, có
khả năng phát hiện các cuộc tấn công và tự động ngăn chặn các cuộc tấn công
đó.
Trong chơng này chúng ta sẽ tìm hiểu về vai trò, chức năng và cơ chế hoạt
động của hệ thống IPS và IPS trong việc phát hiện và phòng chống tấn công từ
chối dịch vụ DDoS

2.1. IDS (Intrusion Detection System):
Định nghĩa:
IDS (Intrusion Detection System - hệ thống phát hiện xâm nhập) là một hệ
thống giám sát lu thông mạng, các hoạt động khả nghi và cảnh báo cho hệ thống,
nhà quản trị.
IDS cũng có thể phân biệt giữa những tấn công bên trong từ bên trong (từ
những ngời trong công ty) hay tấn công từ bên ngoài (từ các hacker). IDS phát
hiện dựa trên các dấu hiệu đặc biệt về các nguy cơ đà biết (giống nh cách các
phần mềm diệt virus dựa vào các dấu hiệu đặc biệt để phát hiện và diệt virus)
hay dựa trên so sánh lu thông mạng hiện tại với baseline (thông số đo đạc chuẩn
của hệ thống) để tìm ra các dấu hiệu khác thờng.
Khái niệm Phát hiện xâm nhập: Phát hiện xâm nhập là tiến trình theo
dõi các sự kiện xảy ra trên một hệ thống máy tính hay hệ thống mạng, phân tích
chúng để tìm ra các dấu hiệu xâm nhập bất hợp pháp. Xâm nhập bất hợp pháp
SVTH: Đỗ văn tú

Trang 20




Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×