Tải bản đầy đủ (.doc) (66 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. Quản trị mạng

nghiên cứu phát triển hệ thống chống dos

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.79 MB, 66 trang )

BAN CƠ YẾU CHÍNH PHỦ
HỌC VIỆN KỸ THUẬT MẬT MÃ
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

ĐỒ ÁN TỐT NGHIỆP

NGHIÊN CỨU PHÁT TRIỂN HỆ THỐNG CHỐNG TẤN CÔNG
TỪ CHỐI DỊCH VỤ TRÊN MÁY CHỦ HỆ ĐIỀU HÀNH LINUX

Ngành: An tồn thơng tin
Mã số: 7.48.02.02

Sinh viên thực hiện:
Trần Quốc Quý
Lớp: AT13K
Người hướng dẫn :
TS. Nguyễn Đào Trường
Khoa Công nghệ thông tin – Học viện Kỹ thuật mật mã

Hà Nội, 2021


BAN CƠ YẾU CHÍNH PHỦ
HỌC VIỆN KỸ THUẬT MẬT MÃ
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

ĐỒ ÁN TỐT NGHIỆP

NGHIÊN CỨU PHÁT TRIỂN HỆ THỐNG CHỐNG TẤN CÔNG
TỪ CHỐI DỊCH VỤ TRÊN MÁY CHỦ HỆ ĐIỀU HÀNH LINUX


Ngành: An tồn thơng tin
Mã số: 7.48.02.02

Sinh viên thực hiện:
Trần Quốc Quý
Lớp: AT13K
Người hướng dẫn :
TS. Nguyễn Đào Trường
Khoa Công nghệ thông tin – Học viện Kỹ thuật mật mã

Hà Nội, 2021


Mục Lục
DANH MỤC HÌNH ẢNH iii
LỜI NĨI ĐẦU.............................................................................................................. iii
CHƯƠNG 1: CƠ SỞ LÝ THUYẾT.............................................................................1
1.1

Tổng quan.............................................................................................1

1.1.1 Tấn công từ chối dịch vụ....................................................................1
1.1.2. Nhận diện. Cluster 3 node hoạt động ổn định.....................................2
1.1.3. Các phương thức tấn công..................................................................2
1.2. DOS và DDOS...........................................................................................3
1.2.1. DOS....................................................................................................3
1.2.2. DDOS..................................................................................................4
1.2.3. Sự khác nhau giữa DOS và DDOS......................................................5
1.2.4. Các kiểu tấn công từ chối dịch vụ phổ biến hiện nay..........................6
1.3. Tác hại của tấn công từ chối dịch vụ.......................................................8

CHƯƠNG 2: GIẢI PHÁP PHỊNG CHỐNG TẤN CƠNG TỪ CHỐI DỊCH VỤ........9
2.1. Cách phòng chống tổng quát..................................................................9
2.2. Chi tiết phòng chống..............................................................................10
2.2.1. Tối thiểu hóa số lượng Agent............................................................10
2.2.2. Tìm và vơ hiệu hóa các Handler.......................................................11
2.2.3. Phát hiện dấu hiệu của một cuộc tấn công........................................11
2.2.4. Làm suy giàm hay dừng cuộc tấn công.............................................11
2.2.5. Chuyển hướng của cuộc tấn công.....................................................12
2.2.6. Giai đoạn sau tấn công:....................................................................12
2.2.7. Sử dụng Load Balancing...................................................................13
2.3. Phịng chống chống tấn cơng từ chối dịch vụ trên máy chủ hệ điều
hành linux...............................................................................................................16
2.3.1. Sử dụng IPtables..............................................................................16
2.3.2. Sử dụng các công cụ CSF.................................................................19
CHƯƠNG 3: TRIỂN KHAI GIẢI PHÁP PHỊNG CHỐNG TẤN CƠNG TỪ CHỐI
DỊCH VỤ
3.1.

.............................................................................................................22
Trường hợp đặt ra..............................................................................22
i


3.2.

Khảo sát hệ thống...............................................................................22

3.3.

Giải pháp.............................................................................................25


3.3.1. Yêu cầu đặt ra..................................................................................25
3.3.2. Giải pháp đưa ra.............................................................................25
3.4.

Triển khai demo..................................................................................28

3.4.1. Mơ hình anti từ OS..........................................................................28
3.4.2. Modun mod_evasive Apache...........................................................30
3.5.

Sử dụng giải pháp HA-Load Balancing............................................35

3.5.1. Mơ hình hoạt động...........................................................................36
3.5.2. Kết quả cần đạt được.......................................................................36
3.5.3. Ưu điểm, nhược điểm của hệ thống.................................................37
3.6.

Triển khai hệ thống HA-Load Balancing.........................................37

3.6.1. Cài đặt phần cứng...........................................................................37
3.6.2. Thiết lập trên OS server...................................................................40
3.6.3. Cài đặt MariaDB (10.2)..................................................................43
3.6.4. Cấu hình Galera Cluster.................................................................43
3.6.5. Cài đặt HAProxy bản 1.8.................................................................47
3.6.6. Triển khai Cluster Pacemaker.........................................................50
3.6.7. Mở port trên firewall.......................................................................55
3.6.8. Kiểm tra...........................................................................................56
KẾT LUẬN


.............................................................................................................58

TÀI LIỆU THAM KHẢO............................................................................................59

ii


DANH MỤC HÌNH ẢNH

Hình 1.1 : Mơ tả cơng cụ tấn cơng DDOS Stachledraht.................................................1
Hình 1.2 : Tấn cơng DOS..............................................................................................3
Hình 1.3 : Tấn cơng DDOS............................................................................................4
Hình 2.1 : Ngun lý hoạt động của một Cluster.........................................................15
Hình 3.1. Sơ đồ tổng quan...........................................................................................22
Hình 3.2 : Hệ thống tích hợp thiết bị............................................................................25
Hình 3.3: Giải pháp đề xuất.........................................................................................27
Hình 3.4: Mơ hình thiết kế Database............................................................................35
Hình 3.5 : Mơ hình hoạt động.....................................................................................36
Hình 3.6 : Cluster 3 node hoạt động ổn định................................................................36
Hình 3.7 : Mở port 3306..............................................................................................55
Hình 3.8 : Mở port 80..................................................................................................55

iii


LỜI NĨI ĐẦU
Lý do chọn đề tài
Cùng với tiến trình phát triển chung của nền kinh tế toàn cầu, Internet ra đời
được ví như một cuộc cách mạng trong thế giới kinh doanh và truyền thông. Internet
đã và đang thay đổi mọi quan điểm về học tập, kinh doanh và đưa chúng ta đến với

thời đại mới - thời đại công nghệ số. Internet trở thành một môi trường kinh doanh xoá
đi mọi ranh giới quốc gia và tạo ra một thị trường lớn nhất trong lịch sử nhận loại,
cùng với nó là sự phát triển như vũ bão của mạng toàn cầu tại Việt Nam.
Bên cạnh những thành tựu to lớn của mạng Internet mang lại cho nhân loại mà
chúng ta đang đạt được, nỗi lo về an toàn thông tin ngày càng được quan tâm hơn.
Hàng ngày chúng ta được nghe rất nhiều thông tin về các cuộc tấn công vào các hệ
thống thông tin quan trọng với những thiệt hại rất lớn về tài chính, thơng tin riêng tư
của các cá nhân và các tổ chức. Mục tiêu của các cuộc tấn cơng mạng thì rất đa dạng,
từ những vấn đề cá nhân, những mục đích xấu trong kinh doanh cho đến mục tiêu
chính trị với tầm ảnh hưởng trên nhiều quốc gia. Tội phạm an ninh mạng ngày càng
phát triển cả về số lượng, quy mô và mức độ nguy hiểm. Do vậy vấn đề bảo mật, an
ninh mạng luôn luôn được bất cứ cá nhân, công ty hay tổ chức đặt lên hàng đầu.
Với khả năng kết nối nhiều máy tính và mạng, bảo mật trở thành vấn đề lớn và
khó khăn hơn bao giờ hết trong môi trường doanh nghiệp. Hacker và những kẻ xâm
nhập đã dễ dàng đạt được nhiều mục đích trong việc phá hủy hệ thống mạng và dịch
vụ web. Rất nhiều hãng có uy tín về bảo mật đã có nhiều giải pháp để hạn chế sự tấn
công trên mạng và những phương thức đã được triển khai trong nỗ lực bảo vệ hạ tầng
mạng và truyền thông qua mạng internet bao gồm firewall, các phương thức mã hóa,
và các mạng riêng ảo,…

iv


Có thể bạn đã từng nghe nhiều về DoS, DDoS hay tấn cơng từ chối dịch vụ và
cũng có thể đã từng là nạn nhân của kiểu tấn công này. Vậy DoS, DDoS là gì, dấu hiệu
nào để nhận biết DoS, DDoS và tác hại của chúng ra sao? Trong đè tài này, chúng em
sẽ cùng bạn tìm hiểu về kiểu tấn công kinh điển này, cũng như đưa ra cho bạn một số
việc cần làm nếu nghi ngờ dịch vụ của mình đang bị DDoS, rơi cách kiểm tra, phòng
tránh DDoS đang được áp dụng tại các trung tâm dữ liệu.
Với mục tiêu tìm hiểu và “Nghiên cứu phát triển hệ thống chống tấn công từ

chối dịch vụ trên máy chủ hệ điều hành linux” cho luận văn tốt nghiệp của mình.
Mục tiêu của đề tài
- Tìm hiểu được các kiến thức về mạng máy tính.
- Hiểu về Dos và DDos.
- Tìm hiểu được một số kiến thức về Antidos
- Xây dựng được hệ thống kiến trúc và mô hình hoạt động phịng chống Dos cho
doanh nghiệp.
Giới hạn và phạm vi của đề tài
- Tìm hiểu và xây dựng một số dịch vụ cơ bản, thiết yếu theo yêu cầu của
khách hàng để quản trị hệ thống Ossec cho doanh nghiệp.
Nội dung thực hiện
- Tìm hiểu lý thuyết tổng quan về Dos và DDos.
- Cách cài đặt và cấu hình mod evasive và CSF.
- Phân tích u cầu của công ty và đề xuất giải pháp.
- Xây dựng hệ thống chống Dos tối ưu triển khai cho doanh nghiệp.
- Đưa ra nhận xét.
Phương pháp nghiên cứu
- Khảo sát thực tế, phân tích đánh giá u cầu của cơng ty.
- Đặt ra các bài tốn và tìm hiểu các kiến thức nhằm giải quyết các bài toán đặt ra.
- Phân tích, thiết kế mơ hình mạng.

v


CHƯƠNG 1:
1.1

CƠ SỞ LÝ THUYẾT

Tổng quan.


1.1.1 Tấn công từ chối dịch vụ.
Một cuộc tấn công từ chối dịch vụ (tấn công DoS - viết tắt của Denial of Service)
hay tấn công từ chối dịch vụ phân tán (tấn công DDoS - viết tắt của Distributed Denial
of Service) là một nỗ lực làm cho những người dùng không thể sử dụng tài nguyên của
một máy tính. Mặc dù phương tiện để tiến hành, động cơ, mục tiêu của tấn công từ
chối dịch vụ có thể khác nhau, nhưng nói chung nó gồm có sự phối hợp, sự cố gắng ác
ý của một người hay nhiều người để một trang, hay hệ thống mạng không thể sử dụng,
làm gián đoạn, hoặc làm cho hệ thống đó chậm đi một cách đáng kể với người dùng
bình thường, bằng cách làm quá tải tài nguyên của hệ thống. Thủ phạm tấn công từ
chối dịch vụ thường nhắm vào các trang mạng hay server tiêu biểu như ngân hàng,
cổng thanh tốn thẻ tín dụng và thậm chí DNS root servers.
Một phương thức tấn cơng phổ biến kéo theo sự bão hoà máy mục tiêu với các
u cầu liên lạc bên ngồi, đến mức nó khơng thể đáp ứng lưu lượng hợp pháp, hoặc
đáp ứng quá chậm. Trong điều kiện chung, các cuộc tấn công DoS được bổ sung bởi
ép máy mục tiêu khởi động lại hoặc tiêu thụ hết tài nguyên của nó đến mức nó khơng
cung cấp dịch vụ, hoặc làm tắc nghẽn liên lạc giữa người sử dụng và nạn nhân.
Tấn công từ chối dịch vụ là sự vi phạm chính sách sử dụng internet của IAB
(Internet Architecture Board) và những người tấn cơng hiển nhiên vi phạm luật dân sự.

Hình 1.1 : Mô tả công cụ tấn công DDOS Stachledraht
1


1.1.2. Nhận diện.
US-CERT xác định dấu hiệu của một vụ tấn cống từ chối dịch vụ gồm có:


Mạng thực thi chậm khác thường khi mở tập tin hay truy cập Website;




Không thể dùng một website cụ thể;



Không thể truy cập bất kỳ website nào;



Tăng lượng thư rác nhận được.

Không phải tất các dịch vụ đều ngừng chạy, thậm chí đó là kết quả của một hoạt
động nguy hại, tất yếu của tấn công DoS. Tấn công từ chối dịch cũng có thể dẫn tới
vấn đề về nhánh mạng của máy đang bị tấn cơng. Ví dụ băng thơng của router giữa
Internet và LAN có thể bị tiêu thụ bởi tấn cơng, làm tổn hại khơng chỉ máy tính ý định
tấn cơng mà cịn là tồn thể mạng.
1.1.3. Các phương thức tấn công.
Tấn công từ chối dịch vụ là một loại hình tấn cơng nhằm ngăn chặn những người
dùng hợp lệ được sử dụng một dịch vụ nào đó. Các cuộc tấn cơng có thể được thực
hiện nhằm vào bất kì một thiết bị mạng nào bao gồm là tấn công vào các thiết bị định
tuyến, web, thư điện tử và hệ thống DNS,...
Tấn cơng từ chối dịch vụ có thể được thực hiện theo một số cách nhất định. Có
năm kiểu tấn công cơ bản sau đây:
1. Nhằm tiêu tốn tài ngun tính tốn như băng thơng, dung lượng đĩa cứng hoặc
thời gian xử lý
2. Phá vỡ các thông tin cấu hình như thơng tin định tuyến
3. Phá vỡ các trạng thái thông tin như việc tự động reset lại các phiên TCP.
4. Phá vỡ các thành phần vật lý của mạng máy tính
5. Làm tắc nghẽn thơng tin liên lạc có chủ đích giữa các người dùng và nạn nhân

dẫn đến việc liên lạc giữa hai bên không được thơng suốt.
Một cuộc tấn cơng từ chối dịch vụ có thể bao gồm cả việc thực thi malware nhằm:


Làm quá tải năng lực xử lý, dẫn đến hệ thống không thể thực thi bất kì một

cơng việc nào khác.


Những lỗi gọi tức thì trong microcode của máy tính.



Những lỗi gọi tức thì trong chuỗi chỉ thị, dẫn đến máy tính rơi vào trạng thái

hoạt động không ổn định hoặc bị đơ.

2




Những lỗi có thể khai thác được ở hệ điều hành dẫn đến việc thiếu thốn tài

nguyên hoặc bị crashing. VD: như sử dụng tất cả các năng lực có sẵn dẫn đến khơng
một cơng việc thực tế nào có thể hồn thành được.


Gây crash hệ thống.




Tấn cơng từ chối dịch vụ iFrame: trong một trang HTML có thể gọi đến một

trang web nào đó với rất nhiều yêu cầu và trong rất nhiều lần cho đến khi băng thông
của trang web đó bị quá hạn.
1.2. DOS và DDOS
1.2.1. DOS.
DoS tên đầy đủ tiếng Anh là Denial of Service, dịch ra tiếng Việt là từ chối dịch vụ.
Tấn công từ chối dịch vụ DoS là cuộc tấn công nhằm làm sập một máy chủ hoặc mạng,
khiến người dùng khác không thể truy cập vào máy chủ/mạng đó. Kẻ tấn cơng thực hiện
điều này bằng cách "tuồn" ồ ạt traffic hoặc gửi thơng tin có thể kích hoạt sự cố đến máy
chủ, hệ thống hoặc mạng mục tiêu, từ đó khiến người dùng hợp pháp (nhân viên, thành
viên, chủ tài khoản) không thể truy cập dịch vụ, tài nguyên họ mong đợi.
Nạn nhân của tấn công DoS thường là máy chủ web của các tổ chức cao cấp như
ngân hàng, doanh nghiệp thương mại, công ty truyền thông, các trang báo, mạng xã hội...
Ví dụ, khi bạn nhập vào URL của một website vào trình duyệt, lúc đó bạn đang
gửi một yêu cầu đến máy chủ của trang này để xem. Máy chủ chỉ có thể xử lý một số
yêu cầu nhất định trong một khoảng thời gian, vì vậy nếu kẻ tấn công gửi ồ ạt nhiều
yêu cầu đến máy chủ sẽ làm nó bị quá tải và yêu cầu của bạn không được xử lý. Đây là
kiểu “từ chối dịch vụ” vì nó làm cho bạn khơng thể truy cập đến trang đó.

Hình 1.2 : Tấn cơng DOS
3


Một số kiểu tấn công mà Hacker hay sử dụng là.
 SYN Flood Attack.
 Ping Flood Attack.
1.2.2. DDOS

DDoS (Distributed Denial of Service), nghĩa tiếng Việt là từ chối dịch vụ phân
tán. Tấn công DDoS là nỗ lực làm sập một dịch vụ trực tuyến bằng cách làm tràn ngập
nó với traffic từ nhiều nguồn.
Khi DDoS, kẻ tấn cơng có thể sử dụng máy tính của bạn để tấn cơng vào các máy
tính khác. Bằng cách lợi dụng những lỗ hổng về bảo mật cũng như sự không hiểu biết,
kẻ này có thể giành quyền điều khiển máy tính của bạn. Sau đó chúng sử dụng máy
tính của bạn để gửi số lượng lớn dữ liệu đến một website hoặc gửi thư rác đến địa chỉ
email nào đó. Đây là kiểu tấn cơng phân tán vì kẻ tấn cơng sử dụng nhiều máy tính,
bao gồm có cả máy tính của bạn để thực hiện tấn công Dos.
Mặc dù DDoS cung cấp một chế độ tấn cơng ít phức tạp hơn các dạng tấn công
mạng khác, nhưng chúng đang ngày càng mạnh mẽ và tinh vi hơn. Có ba loại tấn cơng
cơ bản:


Volume-based: Sử dụng lưu lượng truy cập cao để làm tràn ngập băng thông mạng



Protocol: Tập trung vào việc khai thác các tài nguyên máy chủ



Application: Tập trung vào các ứng dụng web và được xem là loại tấn công tinh

vi và nghiêm trọng nhất

Hình 1.3 : Tấn cơng DDOS
4



1.2.3. Sự khác nhau giữa DOS và DDOS.
Tóm lại, tấn cơng DoS nghĩa là một máy tính gửi một lượng lớn lưu lượng truy
cập đến máy tính của nạn nhân và đánh "sập" nó. Tấn cơng DoS là một cuộc tấn công
trực tuyến được sử dụng để làm cho trang web không khả dụng với người dùng, khi
được thực hiện trên một trang web. Cuộc tấn công này làm cho máy chủ của một trang
web được kết nối với Internet "sập" bằng cách gửi một lượng lớn lưu lượng truy cập
đến nó.
Cịn trong cuộc tấn cơng DDoS, các cuộc tấn công được thực hiện từ nhiều địa
điểm khác nhau bằng cách sử dụng nhiều hệ thống.
2 kiểu tấn công này có những điểm khác biệt như sau:

DOS
DoS là viết tắt của Denial of service.
Trong cuộc tấn công DoS, chỉ một hệ
thống nhắm mục tiêu vào hệ thống nạn
nhân.

DDOS
DDoS là viết tắt của Distributed Denial of
service.
Trong DDos, nhiều hệ thống tấn công hệ
thống nạn nhân.

PC bị nhắm mục tiêu được load từ gói dữ PC bị nhắm mục tiêu được load từ gói dữ
liệu gửi từ một vị trí duy nhất.

liệu gửi từ nhiều vị trí.

Tấn cơng DoS chậm hơn so với DDoS.


Tấn cơng DDoS nhanh hơn tấn cơng DoS.

Có thể bị chặn dễ dàng vì chỉ sử dụng một
hệ thống.

Rất khó để ngăn chặn cuộc tấn cơng này vì
nhiều thiết bị đang gửi gói tin và tấn cơng
từ nhiều vị trí.

Trong tấn cơng DoS, chỉ một thiết bị duy Trong cuộc tấn công DDoS, nhiều bot
nhất được sử dụng công cụ tấn công DoS. được sử dụng để tấn công cùng một lúc.
Các cuộc tấn công DoS rất dễ theo dõi.
Lưu lượng truy cập trong cuộc tấn cơng
DoS ít hơn so với DDoS.

Các cuộc tấn cơng DDoS rất khó theo dõi.
Các cuộc tấn công DDoS cho phép kẻ tấn
công gửi một lượng lớn lưu lượng truy cập
đến mạng nạn nhân.

Các loại tấn công DoS là:

Các loại tấn công DDoS là:

1. Tấn công tràn bộ đệm

1. Tấn công Volumetric (tấn công băng

2. Tấn công Ping of Death hoặc ICMP


thông)
5


DOS

DDOS
2. Tấn công Fragmentation Attack (phân

flood

mảnh dữ liệu)

3. Tấn công Teardrop Attack

3. Application Layer Attack (khai thác lỗ
hổng trong các ứng dụng)

1.2.4. Các kiểu tấn công từ chối dịch vụ phổ biến hiện nay
SYN Flood:
SYN Flood khai thác điểm yếu trong chuỗi kết nối TCP, được gọi là bắt tay ba
chiều. Máy chủ sẽ nhận được một thông điệp đồng bộ (SYN) để bắt đầu "bắt tay".
Máy chủ nhận tin nhắn bằng cách gửi cờ báo nhận (ACK) tới máy lưu trữ ban đầu, sau
đó đóng kết nối. Tuy nhiên, trong một SYN Flood, tin nhắn giả mạo được gửi đi và kết
nối khơng đóng => dịch vụ sập.
UDP Flood:
User Datagram Protocol (UDP) là một giao thức mạng không session. Một UDP
Flood nhắm đến các cổng ngẫu nhiên trên máy tính hoặc mạng với các gói tin UDP.
Máy chủ kiểm tra ứng dụng tại các cổng đó nhưng khơng tìm thấy ứng dụng nào.
HTTP Flood:

HTTP Flood gần giống như các yêu cầu GET hoặc POST hợp pháp được khai
thác bởi một hacker. Nó sử dụng ít băng thơng hơn các loại tấn cơng khác nhưng nó có
thể buộc máy chủ sử dụng các nguồn lực tối đa.
Ping of Death:
Ping of Death điều khiển các giao thức IP bằng cách gửi những đoạn mã độc đến
một hệ thống. Đây là loại DDoS phổ biến cách đây hai thập kỷ nhưng đã khơng cịn
hiệu quả vào thời điểm hiện tại.
Smurf Attack:
Smurf Attack khai thác giao thức Internet (IP) và ICMP (Internet Control Message
Protocol) sử dụng một chương trình phần mềm độc hại gọi là smurf. Nó giả mạo một địa
chỉ IP và sử dụng ICMP, sau đó ping các địa chỉ IP trên một mạng nhất định.
Fraggle Attack:
Fraggle Attack sử dụng một lượng lớn lưu lượng UDP vào mạng phát sóng của
router. Nó giống như một cuộc tấn cơng Smurf, sử dụng UDP nhiều hơn là ICMP.
6


Slowloris:
Slowloris cho phép kẻ tấn công sử dụng nguồn lực tối thiểu trong một cuộc tấn
công và các mục tiêu trên máy chủ web. Khi đã kết nối với mục tiêu mong muốn,
Slowloris giữ liên kết đó mở càng lâu càng tốt với HTTP tràn ngập. Kiểu tấn công này
đã được sử dụng trong một số DDoSing kiểu hacktivist (tấn cơng vì mục tiêu chính trị)
cao cấp, bao gồm cuộc bầu cử tổng thống Iran năm 2009. Việc giảm thiểu ảnh hưởng
với loại hình tấn cơng này là rất khó khăn.
Application Level Attacks:
Application Level Attacks khai thác lỗ hổng trong các ứng dụng. Mục tiêu của
loại tấn công này không phải là toàn bộ máy chủ, mà là các ứng dụng với những điểm
yếu được biết đến.
NTP Amplification:
NTPAmplification khai thác các máy chủ NTP (Network Time Protocol), một

giao thức được sử dụng để đồng bộ thời gian mạng, làm tràn ngập lưu lượng UDP.
Đây là reflection attack bị khuếch đại. Trong reflection attack bất kỳ nào đều sẽ có
phản hồi từ máy chủ đến IP giả mạo, khi bị khuếch đại, thì phản hồi từ máy chủ sẽ
khơng cịn tương xứng với yêu cầu ban đầu. Vì sử dụng băng thơng lớn khi bị DDoS
nên loại tấn cơng này có tính phá hoại và volumne cao.
Advanced Persistent DoS (APDoS):
Advanced Persistent DoS (APDoS) là một loại tấn công được sử dụng bởi hacker
với mong muốn gây ra những thiệt hại nghiêm trọng. Nó sử dụng nhiều kiểu tấn cơng
được đề cập trước đó HTTP Flood, SYN Flood, v.v...) và thường nhắm tấn công theo
kiểu gửi hàng triệu yêu cầu/giây. Các cuộc tấn cơng của APDoS có thể kéo dài hàng
tuần, phụ thuộc vào khả năng của hacker để chuyển đổi các chiến thuật bất cứ lúc nào
và tạo ra sự đa dạng để tránh các bảo vệ an ninh.
Zero-day DDoS Attacks:
Zero-day DDoS Attacks là tên được đặt cho các phương pháp tấn công DDoS
mới, khai thác các lỗ hổng chưa được vá.
HTTP GET
HTTP GET là một kiểu tấn công lớp ứng dụng (Application Layer attack), quy
mô nhỏ hơn và được nhắm tới những mục tiêu hơn. Application Level Attacks khai
7


thác lỗ hổng trong các ứng dụng. Mục tiêu của loại tấn cơng này khơng phải là tồn bộ
máy chủ, mà là các ứng dụng với những điểm yếu được biết đến.
Kiểu tấn công này sẽ nhắm vào Lớp thứ 7 trong mơ hình OSI. Đây là lớp có lưu
lượng mạng cao nhất, thay vì hướng vào lớp thứ 3 thường được chọn làm mục tiêu
trong các cuộc tấn công Bulk Volumetric. HTTP GET khai thác quy trình trình của
một trình duyệt web hoặc ứng dụng HTTP nào đó và yêu cầu một ứng dụng hoặc máy
chủ cho mỗi yêu cầu HTTP, đó là GET hoặc POST.
HTTP Flood gần giống như các yêu cầu GET hoặc POST hợp pháp được khai
thác bởi một hacker. Nó sử dụng ít băng thơng hơn các loại tấn cơng khác nhưng nó có

thể buộc máy chủ sử dụng các nguồn lực tối đa. Rất khó để chống lại kiểu tấn cơng
này vì chúng sử dụng các yêu cầu URL tiêu chuẩn, thay vì các tập lệnh bị hỏng hoặc
khối lượng lớn.
1.3. Tác hại của tấn cơng từ chối dịch vụ
Những hậu quả điển hình mà DDoS và DoS gây ra:


Hệ thống, máy chủ bị DoS sẽ sập khiến người dùng không truy cập được



Doanh nghiệp sở hữu máy chủ, hệ thống sẽ bị mất doanh thu, chưa kể đến

khoản chi phí cần phải bỏ ra để khắc phục sự cố.


Khi mạng sập, mọi công việc yêu cầu mạng đều không thể thực hiện, làm gián

đoạn công việc, ảnh hưởng đến hiệu suất công việc.


Nếu người dùng truy cập website khi nó bị sập sẽ ảnh hưởng đến danh tiếng của

công ty, nếu website sập trong thời gian dài thì có thể người dùng sẽ bỏ đi, lựa chọn
dịch vụ khác thay thế.


Đối với những vụ tấn cơng DDoS kỹ thuật cao có thể dẫn đến việc lấy trộm tiền

bạc, dữ liệu khách hàng của cơng ty.

Tổng kết chương
Thơng qua chương này, ta có thể thấy DDoS thực sự là “Rất dễ thực hiện, hầu
như khơng thể tránh, hậu quả rất nặng nề.” Chính vì vậy việc đấu tranh phịng chống
DDoS là cơng việc khơng chỉ của một cá nhân, một tập thể hay một quốc gia mà là
cơng việc của tồn thế giới nói chung và cộng đồng sử dụng mạng Internet nói riêng
CHƯƠNG 2: GIẢI PHÁP PHỊNG CHỐNG TẤN CƠNG TỪ CHỐI
DỊCH VỤ
8


Sau khi đã có cái nhìn sơ lược về tấn công từ chối dịch vụ DDoS và các hậu quả,
câu hỏi tất yếu sẽ là: “Làm sao để phòng chống một cuộc tấn cơng ddos?” Có nhiều
cách để giảm nhẹ ảnh hưởng của một cuộc tấn công DDoS đến mức gần như là vơ hại.
2.1. Cách phịng chống tổng qt.
Nhìn chung, tấn cơng từ chối dịch vụ khơng q khó thực hiện, nhưng rất khó
phịng chống do tính bất ngờ và thường là phòng chống trong thế bị động khi sự việc
đã rồi. Việc đối phó bằng cách tăng cường “phần cứng” cũng là giải pháp tốt, nhưng
thường xuyên theo dõi để phát hiện và ngăn chặn kịp thời cái gói tin IP từ các nguồn
khơng tin cậy là hữu hiệu nhất.
 Mơ hình hệ thống cần phải được xây dựng hợp lý, tránh phụ thuộc lẫn nhau quá
mức. Bởi khi một bộ phận gặp sự cố sẽ làm ảnh hưởng tới toàn bộ hệ thống
 Thiết lập mật khẩu mạnh (strong password) để bảo vệ các thiết bị mạng và các
nguồn tài nguyên quan trọng khác.
 Thiết lập các mức xác thực đối với người sử dụng cũng như các nguồn tin trên
mạng. Đặc biệt, nên thiết lập chế độ xác thực khi cập nhật các thông tin định tuyến
giữa các router.
 Xây dựng hệ thống lọc thông tin trên router, firewall… và hệ thống bảo vệ
chống lại SYN flood.
 Chỉ kích hoạt các dịch vụ cần thiết, tạm thời vơ hiệu hố và dừng các dịch vụ
chưa có yêu cầu hoặc không sử dụng.

 Xây dựng hệ thống định mức, giới hạn cho người sử dụng, nhằm mục đích ngăn
ngừa trường hợp người sử dụng ác ý muốn lợi dụng các tài ngun trên server để tấn
cơng chính server hoặc mạng và server khác.
 Liên tục cập nhật, nghiên cứu, kiểm tra để phát hiện các lỗ hổng bảo mật và có
biện pháp khắc phục kịp thời.
 Sử dụng các biện pháp kiểm tra hoạt động của hệ thống một cách liên tục để
phát hiện ngay những hành động bất bình thường.
 Xây dựng và triển khai hệ thống dự phịng.
 Khi bạn phát hiện máy chủ mình bị tấn cơng hãy nhanh chóng truy tìm địa chỉ
IP đó và cấm khơng cho gửi dữ liệu đến máy chủ.
 Dùng tính năng lọc dữ liệu của router/firewall để loại bỏ các packet không
mong muốn, giảm lượng lưu thông trên mạng và tải của máy chủ.
9


 Nếu bị tấn công do lỗi của phần mềm hay thiết bị thì nhanh chóng cập nhật các
bản sửa lỗi cho hệ thống đó hoặc thay thế.
 Dùng một số cơ chế, công cụ, phần mềm để chống lại TCP SYN Flooding. Tắt
các dịch vụ khác nếu có trên máy chủ để giảm tải và có thể đáp ứng tốt hơn. Nếu được
có thể nâng cấp các thiết bị phần cứng để nâng cao khả năng đáp ứng của hệ thống hay
sử dụng thêm các máy chủ cùng tính năng khác để phân chia tải.
 Tạm thời chuyển máy chủ sang một địa chỉ khác.
2.2. Chi tiết phịng chống.
Có rất nhiều giải pháp và ý tưởng được đưa ra nhằm đối phó với các cuộc tấn
cơng từ chối dịch vụ. Tuy nhiên khơng có giải pháp và ý tưởng nào là giải quyết trọn
vẹn bài tốn chống tấn cơng từ chối dịch vụ. Các hình thái khác nhau của từ chối dịch
vụ liên tục xuất hiện theo thời gian song song với các giải pháp đối phó, tuy nhiên
cuộc đua vẫn tuân theo quy luật tất yếu của bảo mật máy tính: “Hacker ln đi trước
giới bảo mật một bước”
Có ba giai đoạn chính trong q trình:

 Giai đoạn ngăn ngừa: tối thiểu hóa lượng Agent, tìm và vơ hiệu hóa các
Handler
 Giai đoạn đối đầu với cuộc tấn công: Phát hiện và ngăn chặn cuộc tấn công, làm
suy giảm và dừng cuộc tấn công, chuyển hướng cuộc tấn công.
 Giai đoạn sau khi cuộc tấn công xảy ra: thu thập chứng cứ và rút kinh nghiệm
2.2.1. Tối thiểu hóa số lượng Agent
 Từ phía User: một phương pháp rất tốt để năng ngừa tấn công DDoS là từng
internet user sẽ tự đề phịng khơng để bị lợi dụng tấn cơng hệ thống khác. Muốn đạt
được điều này thì ý thức và kỹ thuật phòng chống phải được phổ biến rộng rãi cho các
internet user. Attack-Network sẽ không bao giờ hình thành nếu khơng có user nào bị
lợi dụng trở thành Agent. Các user phải liên tục thực hiện các q trình bảo mật trên
máy vi tính của mình. Họ phải tự kiểm tra sự hiện diện của Agent trên máy của mình,
điều này là rất khó khăn đối với user thơng thường.
 Một số giải pháp tích hợp sẵn khả năng ngăn ngừa việc cài đặt code nguy hiểm
vào hardware và software của từng hệ thống. Về phía user họ nên cài đặt và cập nhật
liên tục các software như antivirus, anti_trojan và server patch của hệ điều hành.

10


 Từ phía ISP: Thay đổi cách tính tiền dịch vụ truy cập theo dung lượng sẽ làm
cho user lưu ý đến những gì họ gửi, như vậy về mặt ý thức sẽ tăng cường phát hiện
DDoS Agent sẽ tự nâng cao ở mỗi User.
2.2.2. Tìm và vơ hiệu hóa các Handler
 Một nhân tố vô cùng quan trọng trong attack-network là Handler, nếu có thể
phát hiện và vơ hiệu hóa Handler thì khả năng Anti-DDoS thành cơng là rất cao. Bằng
cách theo dõi các giao tiếp giữa Handler và Client hay Handler và Agent ta có thể phát
hiện ra vị trí của Handler. Do một Handler quản lý nhiều, nên triệt tiêu được một
Handler cũng có nghĩa là loại bỏ một lượng đáng kể các Agent trong Attack Network.
2.2.3. Phát hiện dấu hiệu của một cuộc tấn công

 Agress Filtering:
Kỹ thuật này kiểm tra xem một packet có đủ tiêu chuẩn ra khỏi một subnet hay
không dựa trên cơ sở gateway của một subnet luôn biết được địa chỉ IP của các máy
thuộc subnet. Các packet từ bên trong subnet gửi ra ngồi với địa chỉ nguồn khơng hợp
lệ sẽ bị giữ lại để điều tra nguyên nhân. Nếu kỹ thuật này được áp dụng trên tất cả các
subnet của internet thì khái nhiệm giả mạo địa chỉ IP sẽ khơng cịn tồn tại.
 MIB statistics:
Trong Management Information Base (SNMP) của route ln có thơng tin thống
kê về sự biến thiên trạng thái của mạng. Nếu ta giám sát chặt chẽ các thống kê của
Protocol ICMP, UDP và TCP ta sẽ có khả năng phát hiện được thời điểm bắt đầu của
cuộc tấn công để tạo “quỹ thời gian vàng” cho việc xử lý tình huống.
2.2.4. Làm suy giàm hay dừng cuộc tấn công
 Load balancing:
Thiết lập kiến trúc cân bằng tải cho các server trọng điểm sẽ làm gia tăng thời
gian chống chọi của hệ thống với cuộc tấn cơng DDoS. Tuy nhiên, điều này khơng có
ý nghĩa lắm về mặt thực tiễn vì quy mơ của cuộc tấn cơng là khơng có giới hạn.
 Throttling:
Thiết lập cơ chế điều tiết trên router, quy định một khoảng tải hợp lý mà server
bên trong có thể xử lý được. Phương pháp này cũng có thể được dùng để ngăn chặn
khả năng DDoS traffic không cho user truy cập dịch vụ. Hạn chế của kỹ thuật này là
không phân biệt được giữa các loại traffic, đôi khi làm dịch vụ bị gián đoạn với user,
DDoS traffic vẫn có thể xâm nhập vào mạng dịch vụ nhưng với số lượng hữu hạn.
11


 Drop request:
Thiết lập cơ chế drop request nếu nó vi phạm một số quy định như: thời gian
delay kéo dài, tốn nhiều tài nguyên để xử lý, gây deadlock. Kỹ thuật này triệt tiêu khả
năng làm cạn kiệt năng lực hệ thống, tuy nhiên nó cũng giới hạn một số hoạt động
thông thường của hệ thống, cần cân nhắc khi sử dụng.

2.2.5. Chuyển hướng của cuộc tấn công
 Honeyspots:
Một kỹ thuật đang được nghiên cứu là Honeyspots. Honeyspots là một hệ thống
được thiết kế nhằm đánh lừa attacker tấn công vào khi xâm nhập hệ thống mà không
chú ý đến hệ thống quan trọng thực sự.
 Honeyspots không chỉ đóng vai trị “thế thân” mà cịn rất hiệu quả trong việc
phát hiện và xử lý xâm nhập, vì trên Honeyspots đã thiết lập sẵn các cơ chế giám sát
và báo động.
 Ngồi ra Honeyspots cịn có giá trị trong việc học hỏi và rút kinh nghiệm từ
Attacker, do Honeyspots ghi nhận khá chi tiết mọi động thái của attacker trên hệ
thống. Nếu attacker bị đánh lừa và cài đặt Agent hay Handler lên Honeyspots thì khả
năng bị triệt tiêu toàn bộ attack-network là rất cao.
2.2.6. Giai đoạn sau tấn công:
 Traffic Pattern Analysis:
Nếu dữ liệu về thống kê biến thiên lượng traffic theo thời gian đã được lưu lại thì
sẽ được đưa ra phân tích. Q trình phân tích này rất có ích cho việc tinh chỉnh lại các
hệ thống Load Balancing và Throttling. Ngoài ra các dữ liệu này còn giúp Quản trị
mạng điều chỉnh lại các quy tắc kiểm sốt traffic ra vào mạng của mình.
 Packet Traceback:
Bằng cách dùng kỹ thuật Traceback ta có thể truy ngược lại vị trí của Attacker (ít
nhất là subnet của attacker). Từ kỹ thuật Traceback ta phát triển thêm khả năng Block
Traceback từ attacker khá hữu hiệu, gần đây đã có một kỹ thuật Traceback khá hiệu
quả có thể truy tìm nguồn gốc của cuộc tấn cơng dưới 15 phút, đó là kỹ thuật XXX.
 Bevent Logs:
Bằng cách phân tích file log sau cuộc tấn cơng, quản trị mạng có thể tìm ra nhiều
manh mối và chứng cứ quan trọng.
12


2.2.7. Sử dụng Load Balancing.

a) Giới thiệu chung:
Một số đơn vị, chẳng hạn như các công ty hàng không hoặc các ngân hàng lớn,
mạng máy tính có thể ví như hệ thần kinh điều khiển hoạt động của toàn doanh nghiệp.
Sự ngừng hoạt động của mạng máy tính trong những cơ quan này có thể làm tê liệt các
hoạt động chính của đơn vị, và thiệt hại khó có thể lường trước được.
Các máy chủ là trái tim của của mạng máy tính, nếu máy chủ mạng hỏng, hoạt
động của hệ thống sẽ bị ngưng trệ. Điều đáng tiếc là dù các hãng sản xuất đã cố gắng
làm mọi cách để nâng cao chất lượng của thiết bị, nhưng những hỏng hóc đối với các
thiết bị mạng nói chung và các máy chủ nói riêng là điều khơng thể tránh khỏi. Do
vậy, vấn đề đặt ra là cần có một giải pháp để đảm bảo cho hệ thống vẫn hoạt động tốt
ngay cả khi có sự cố xảy ra đối với máy chủ mạng, và cơng nghệ clustering (bó) là
câu trả lời cho vấn đề này. Bài báo này giới thiệu nguyên lý và phân tích một số giải
pháp clustering đang được áp dụng cho các hệ thống mạng máy tính lớn với hi vọng
có thể giúp độc giả hiểu rõ hơn về công nghệ tưởng như đơn giản nhưng thực tế khá
phức tạp này.
b) Tổng quan về công nghệ Clustering
Clustering là một kiến trúc nhằm đảm bảo nâng cao khả năng sẵn sàng cho các hệ
thống mạng máy tính. Clustering cho phép sử dụng nhiều máy chủ kết hợp với nhau tạo
thành một cụm (cluster) có khả năng chịu đựng hay chấp nhận sai sót (fault-tolerant)
nhằm nâng cao độ sẵn sàng của hệ thống mạng. Cluster là một hệ thống bao gồm nhiều
máy chủ được kết nối với nhau theo dạng song song hay phân tán và được sử dụng như
một tài nguyên thống nhất. Nếu một máy chủ ngừng hoạt động do bị sự cố hoặc để nâng
cấp, bảo trì, thì tồn bộ cơng việc mà máy chủ này đảm nhận sẽ được tự động chuyển
sang cho một máy chủ khác (trong cùng một cluster) mà không làm cho hoạt động của
hệ thống bị ngắt hay gián đoạn. Quá trình này gọi là “fail-over”; và việc phục hồi tài
nguyên của một máy chủ trong hệ thống (cluster) được gọi là “fail-back”.
c) Các yêu cầu của 1 hệ thống Cluster:
Yêu cầu về tính sẵn sàng cao (availability). Các tài nguyên mạng phải luôn sẵn
sàng trong khả năng cao nhất để cung cấp và phục vụ các người dùng cuối và giảm
thiểu sự ngưng hoạt động hệ thống ngoài ý muốn.

Yêu cầu về độ tin cậy cao (reliability). Độ tin cậy cao của cluster được hiểu là
khả năng giảm thiểu tần số xảy ra các sự cố, và nâng cao khả năng chịu đựng sai sót
của hệ thống.
13



Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×