NGHIÊN CỨU GIẢI PHÁP PHÒNG, CHỐNG TẤN CÔNG DDOS
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (4.02 MB, 89 trang )
Nghiên cứu DDOS cơng thức mạng
và phương pháp phịng chống = b
Nghiên cứu các dạng tấn công
Electrical Engineering
Ho Chi Minh City University of Transport (HCMCUT)
88 pag.
Document shared on />Downloaded by: bui-thi-hong-hanh ()
BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI
--------------------------------------NGUYỄN THỊ LỆ THỦY
Nguyễn Thị Lệ Thủy
KỸ THUẬT VIỄN THƠNG
NGHIÊN CỨU CÁC HÌNH THỨC TẤN CƠNG MẠNG DDOS VÀ
PHƯƠNG PHÁP PHÒNG CHỐNG
(STUDY THE PATTERNS OF NETWORK ATTACKS AND
DDOS MITIGATION METHODS)
LUẬN VĂN THẠC SĨ KỸ THUẬT
Kỹ thuật viễn thông
2014B
Hà Nội – Năm 2016
Document shared on />
Downloaded by: bui-thi-hong-hanh ()
BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI
--------------------------------------Nguyễn Thị Lệ Thủy
NGHIÊN CỨU CÁC HÌNH THỨC TẤN CƠNG MẠNG DDOS VÀ
PHƯƠNG PHÁP PHỊNG CHỐNG
(STUDY THE PATTERNS OF NETWORK ATTACKS AND DDOS
MITIGATION METHODS)
Chuyên ngành : Kỹ thuật viễn thông
LUẬN VĂN THẠC SĨ KỸ THUẬT
Kỹ thuật viễn thông
NGƯỜI HƯỚNG DẪN KHOA HỌC :
1. Tiến sỹ Nguyễn Tài Hưng
Hà Nội – Năm 2016
Document shared on />
Downloaded by: bui-thi-hong-hanh ()
MC LC
LỜI CẢM ƠN .............................................................................................................4
LỜI CAM ĐOAN .......................................................................................................5
DANH MỤC CÁC TỪ VIẾT TẮT ............................................................................7
DANH MỤC CÁC HÌNH VẼ, ĐỒ THỊ .....................................................................8
PHẦN MỞ ĐẦU .......................................................................................................10
PHẦN NỘI DUNG ...................................................................................................14
CHƢƠNG I : TỔNG QUAN VỀ TẤN CÔNG DoS VÀ DDoS ..............................14
1.1. Định nghĩa tấn cơng DoS: ..................................................................................14
1.2. Mục đích của tấn cơng và hiểm họa ...................................................................14
1.2.1. Các mục đích của tấn cơng DoS .................................................................14
1.2.2. Mục tiêu mà kẻ tấn công thƣờng sử dụng tấn cơng DoS ............................ 15
1.3. Các hình thức tấn cơng DoS cơ bản: ..................................................................15
1.3.1. Tấn công Smurf ..........................................................................................15
1.3.3. Tấn công Ping of Death ..............................................................................16
1.3.4. Tấn công Teardrop ......................................................................................16
1.3.5. Tấn công SYN ............................................................................................17
1.4. Các công cụ tấn công DoS .................................................................................18
1.4.1. Tools DoS: Jolt2 .........................................................................................18
1.4.2. Tools DoS: Bubonic.c .................................................................................18
1.4.3. Tools DoS: Land and LaTierra ...................................................................19
1.4.4. Tools DoS: Targa ........................................................................................19
1.4.5. Tools DoS: Blast 2.0 ...................................................................................20
1.4.6. Tools DoS: Nemesys ..................................................................................20
1.4.7. Tool DoS: Panther2. ...................................................................................20
1.4.8. Tool DoS: Crazy Pinger
. ...................................................................20
1.4.9. Tool DoS: Some Trouble ............................................................................21
1.4.10. Tools DoS: UDP Flooder..........................................................................21
1.4.11. Tools DoS – FSMAX ...............................................................................21
1
Document shared on />
Downloaded by: bui-thi-hong-hanh ()
1.5. Định nghĩa tấn cơng DDoS ................................................................................22
1.6. Các đặc tính của tấn công DDoS. ......................................................................23
1.7. Tấn công DDoS không thể ngăn chặn hoàn toàn. ..............................................23
1.8. Kiến trúc tổng quan của DDoS attack-network. ................................................24
1.8.1. Mơ hình Agent – Handler .......................................................................25
1.8.2. Mơ hình IRC – Based .............................................................................26
1.9. Phân loại tấn cơng DDoS ...................................................................................27
1.9.1. Những kiểu tấn công làm cạn kiệt băng thông của mạng (BandWith
Depletion Attack) .............................................................................................28
1.9.2. Kiểu tấn công làm cạn kiệt tài nguyên ...................................................30
1.10. Kết luận chƣơng I. ............................................................................................32
CHƢƠNG II: .............................................................................................................33
CÁC PHƢƠNG THỨC TẤN CƠNG VÀ PHỊNG CHỐNG DDOS ......................33
2.1. Ý nghĩa của mạng BOT......................................................................................33
2.2. Mạng BOT. ........................................................................................................34
2.3. Mạng BOTNET. .................................................................................................34
2.4. Mục đích sử dụng mạng BOTNETs...................................................................34
2.5. Các dạng của mạng BOTNET: ..........................................................................35
2.6. Các bƣớc xây dựng mạng BotNet? ....................................................................35
Bƣớc 1: Cách lây nhiễm vào máy tính..................................................................36
Bƣớc 2: Cách lây lan và xây dựng tạo mạng BOTNET .......................................36
Bƣớc 3: Kết nối vào IRC. .....................................................................................36
Bƣớc 4: Điều khiển tấn công từ mạng BotNet. ....................................................36
2.7. Sơ đồ cách hệ thống bị lây nhiễm và sử dụng Agobot.......................................37
2.8. Sơ đồ mạng Botnet .............................................................................................38
2.8.1 Sơ đồ Handler-Agent ...............................................................................38
2.8.2 Sơ đồ IRC Base ......................................................................................39
2.9. Các phƣơng pháp xây dựng tài nguyên tấn công ...............................................40
2.9.1 Cách thức cài đặt DDoS Agent ...............................................................41
2
Document shared on />
Downloaded by: bui-thi-hong-hanh ()
2.9.2 Giao tiếp trên mạng Botnet......................................................................42
2.9.3. Các chức năng của công cụ DDoS: ........................................................43
2.10. Một số kiểu tấn công DDoS và các công cụ tấn công DDoS ..........................44
2.10.1 Một số kiểu tấn công DDoS ..................................................................44
2.10.2 Một số công cụ tấn cơng DDoS .............................................................44
2.11. Phịng chống giảm thiểu tấn cơng DDoS .........................................................48
2.11.1 Phịng chống giảm thiểu tấn cơng DDoS ..............................................48
2.11.2 Những vấn đề có liên quan ....................................................................52
2.12. Hệ thống phát hiện và giảm thiểu DDos hiện nay ...........................................54
2.12.1. Các yêu cầu đối với môt hệ thống phát hiện DDos ..............................55
2.12.2. Phân tích phát hiện các cuộc tấn cơng DDos .......................................55
2.12.3 Một số thuật toán phát hiện DDos ........................................................56
2.13. Hệ thống phát hiện giảm thiểu DDoS tự động .................................................58
2.13.1. Cơ chế kiểm tra địa chỉ nguồn ..............................................................58
2.13.2 Kỹ thuật phát hiện giảm thiểu theo thuật toán CUSUM .......................60
2.14. Kết luận chƣơng II: ..........................................................................................63
CHƢƠNG III: DEMO TẤN CÔNG DDoS ..............................................................64
3.1. Kịch bản DeMo tấn công DDoS ........................................................................64
3.2. Hƣớng dẫn tạo cuộc tấn công DDoS:.................................................................68
3.2.1. Cài đặt Clone máy trạm ..........................................................................68
3.3.2. Khởi động máy chủ Webserver và thiết lập cấu hình ............................69
3.3.3 Khởi động máy chủ Botnet ......................................................................72
3.3.4. Khởi động máy chủ C&C Server và thực hiện tấn công. .......................77
KẾT LUẬN VÀ HƢỚNG PHÁT TRIỂN ................................................................83
TÀI LIỆU THAM KHẢO....................................................................................... 833
3
Document shared on />
Downloaded by: bui-thi-hong-hanh ()
Tôi xin gửi lời cảm ơn trân trọng nhất tới T S , ng
đã cho tôi những định hƣớng và những ý kiến rất q báu để tơi hồn thành đƣợc
khóa luận tốt nghiệp này.
Tơi xin tỏ lịng biết ơn sâu sắc tới các thầy cơ, bạn bè đã dìu dắt, giúp đỡ tơi
tiến bộ trong suốt q trình làm khóa luận tốt nghiệp. Xin cảm ơn gia đình và bè
bạn, những ngƣời ln khuyến khích và giúp đỡ tơi trong mọi hồn cảnh khó khăn.
Tơi xin cảm ơn Viện Điện tử viễn thông, Viện Đào tạo Sau đại học – Trƣờng Đại
học Bách khoa Hà Nội đã hết sức tạo điều kiện cho tơi trong q trình học, làm và
hồn thành khóa luận này.
Hà Nội, ngày … tháng …năm 2016
Người thực hiện
4
Document shared on />
Downloaded by: bui-thi-hong-hanh ()
Tơi xin cam đoan, những gì mà tơi viết trong luận văn này là do sự tìm hiểu,
nghiên cứu của bản thân và sự hƣớng dẫn của T . Mọ
quả nghiên cứu cũng nhƣ ý tƣởng của các tác giả khác nếu có đều đƣợc trích dẫn
nguồn gốc cụ thể.
Tơi xin hồn tồn chịu trách nhiệm về những gì mà tôi đã cam đoan ở trên.
Hà Nội, ngày … tháng …năm 2016
Người thực hiện
5
Document shared on />
Downloaded by: bui-thi-hong-hanh ()
6
Document shared on />
Downloaded by: bui-thi-hong-hanh ()
DoS: Denial of Service: Tấn công từ chối dịch vụ.
DDoS: Distributed Denial of Service: Tấn công từ chối dịch vụ phân tán.
ICMP: Internet Control Message Protocol : Giao thức xử lý các thông báo trạng
thái cho IP. (Transport Layer).
DNS: Domain Name System : Hệ thống tên miền
SYN: The Synchronous Idle Character: Ký tự đồng bộ hoá.
LAN: Local Area Network: Hệ thống các máy tính và thiết bị ngoại vi đƣợc liên
kết với nhau.
ISP: Internet Service Provider: Nhà cung cấp dịch vụ Internet.
TCP/IP: Transmission Control Protocol and Internet Protocol. Gói tin TCP/IP
là một khối dữ liệu đã đƣợc nén, sau đó kèm thêm một header và gửi đến một máy
tính khác. Phần header trong một gói tin chứa địa chỉ IP của ngƣời gửi gói tin.
Security: Bảo mật
UDP: User Datagram Protocol : Những gói tin có điểm xuất phát và điểm đích
xác định.
Domain :Tên miền của một website nào đó.VD :
OS: Operation System : Hệ điều hành
IRC: Internet Relay Chat: Là một chƣơng trình độc lập nơi mà bạn có thể tham
gia vào các kênh chat.
Packet: Gói dữ liệu
Server: Máy chủ
Client: Máy con, dùng để kết nối với máy chủ (Server)
Info: Là chữ viết tắt của "Information", tức là thông tin
Firewall: .
Exploit: Khai thác (một lỗi nào đó)
Fake IP: IP giả mạo
Local Exploit: Là khai thác cục bộ.
7
Document shared on />
Downloaded by: bui-thi-hong-hanh ()
Hình 1.1: Tấn cơng Ping of Death .................................................................. 16
Hình 1.2:Tấn cơng SYN (mơ hình bắt tay ba bƣớc) ...................................... 17
Hình 1.3:Tấn cơng kiểu Tools DoS: Jolt2 ...................................................... 18
Hình 1.4:Tấn cơng kiểu Tools DoS: Bubonic.c ............................................. 19
Hình 1.5: Tấn cơng kiểu Tools DoS: Nemesys .............................................. 20
Hình 1.6: Tấn cơng kiểu Tool DoS: Crazy Pinger ......................................... 20
Hình 1.7: Tấn cơng kiểu Tool DoS: Some Trouble ....................................... 21
Hình 1.8: Tấn cơng kiểu Tool DoS: FSMAX ................................................ 21
Hình 1.9: Mơ hình tấn cơng DDoS................................................................. 22
Hình 1.10: Mơ hình tổng quan DDoS attack-network ................................... 24
Hình 1.11: Mơ hình Agent - Handler ............................................................. 25
Hình 1.12: Mơ hình IRC - Based ................................................................... 26
Hình 1.13: Sơ đồ phân loại tấn cơng DDoS ................................................... 27
Hình 1.14:Amplifier Network System ........................................................... 29
Hình 1.15: Mơ hình truyền – nhận dữ liệu (SYN REQEST packet).............. 30
Hình 1.16: Mơ hình truyền – nhận dữ liệu (SYN/ACK REPLY) .................. 31
Hình 1.17: Mơ hình Client/Server .................................................................. 31
Hình 2.1: Mơ hình DDoS Attack.................................................................... 33
Hình 2.2: Sơ đồ hệ thống bị lây nhiễm DDoS................................................ 37
Hình 2.3: Sơ đồ Handler-Agent...................................................................... 38
Hình 2.4: Sơ đồ IRC Base .............................................................................. 39
Hình 2.5: Các phƣơng pháp xây dựng tài nguyên tấn công ........................... 41
Hình 2.6: Mơ hình mạng Classic DDoS ......................................................... 46
Hình 2.7: Mơ hình mạng X-Flash DDoS ...................................................... 47
Hình 2.8: Các giai đoạn chi tiết trong phịng chống DDoS ........................... 49
Hình 2.9: Tỷ lệ phần trăm new IP với n=10s............................................... 62
Hình 2.10: Thuật tốn CUSUM khi lƣu lƣợng mạng bình thƣờng ................ 62
: Mơ hình Demo tấn cơng DDoS ...................................................... 64
h 3.2: cài đặt Clone máy trạm .................................................................. 68
Đặt tên cho các máy trạm ............................................................... 69
Cấu hình máy chủ WebServer ........................................................ 69
Thiết lập các cấu hình cho Webserver ........................................... 70
Cài đặt địa chỉ IP cho máy chủ ...................................................... 70
Thiết lập thông số cho XAMPP ..................................................... 71
Giao diện khi chạy Apache ............................................................ 71
Kiểm tra dịch vụ Webserver .......................................................... 72
Giao diện BOTNET01 ................................................................. 72
Đạt IP cho BOTNET01 ................................................................ 73
8
Document shared on />
Downloaded by: bui-thi-hong-hanh ()
Giao diện thiết lập file Botnet.Bat ............................................... 73
Cách tạo file Botnet.Bat ............................................................... 74
Giao diện sau khi tạo file Botnet.Bat ........................................... 74
Giao diện sau khi tạo file Invisible.vbs ........................................ 75
Giao diện sau khi tạo file Botnetstartup.bat ................................. 75
Tạo shortcut cho file Botnetstartup.bat ........................................ 76
Đƣờng dẫn cho file Botnetstartup.bat .......................................... 76
Kiểm tra cấu hình file Hyenaed.exe trong cmd.exe ..................... 77
Địa chỉ MAC của C&C Server .................................................... 77
3.21: Giao diện máy C&C ..................................................................... 78
: Giao diện C&C khi đặt lệnh tấn công .......................................... 79
: Trƣớc khi tấn công DDDoS xảy ra .............................................. 79
: Wireshark bắt gói tin trong khi tấn cơng DDoS xảy ra................ 80
: DU meter bắt lƣợng tin khi DDoS xảy ra .................................... 80
: Trang web bị mất kết nối.............................................................. 81
: DU Meter bắt đƣợc lƣợng tin khi DDoS ...................................... 81
Wireshark bắt đƣợc 10 gói SYN .................................................. 82
Web đã bị sập sau khi DDoS ....................................................... 82
9
Document shared on />
Downloaded by: bui-thi-hong-hanh ()
“Từ năm 1997, với sự ra đời của công cụ tấn công DDoS đầu tiên đƣợc công
bố rộng rãi, Trinoo. Nó dựa trên tấn cơng UDP flood và các giao tiếp master-slave
(khiến các máy trung gian tham gia vào trong cuộc tấn cơng bằng cách đặt lên
chúng các chƣơng trình đƣợc điều khiển từ xa). Trong những năm tiếp theo, vài
công cụ nữa đƣợc phổ biến – TFN (tribe flood network), TFN2K, vaf Stacheldraht.
Ngày 7/3/2000, yahoo.com đã phải ngƣng phục vụ hàng trăm triệu user trên
toàn thế giới nhiều giờ liền. Vài giờ sau, Yahoo đã tìm ra nguyên nhân gây nên tình
trạng này, họ đang phải gánh chịu một đợt tấn cơng DDoS với quy mơ vài ngàn
máy tính liên tục gửi hàng triệu request đến các server dịch vụ làm các server này
không thể phục vụ các user thông thƣờng khác.
Vài ngày sau, một sự kiện tƣơng tự diễn ra nhƣng có phần “ồn ào” hơn do một
trong các nạn nhân mới là hãng tin CNN, amazon.com, buy.com, Zdnet.com, Etrade.com, Ebay.com. Tất cả các nạn nhân là những gã khổng lồ trên Internet thuộc
nhiều lĩnh vực khác nhau. Theo Yankke Group, tổng thiệt hại do cuộc tấn công lên
đến 1.2 triệu USD, nhƣng không đáng kể bằng sự mất mát về lịng tin của khách
hàng, uy tín của các cơng ty là khơng thể tính đƣợc.
Làm đảo lộn mọi dự tính, thủ phạm là một cậu bé 15 tuổi ngƣời Canada, với
nickname “mafiaboy”. Lại là một thiên tài bẩm sinh nhƣ Kevin Mitnick xuất hiện?
Khơng. Mafiaboy chỉ tìm tịi và download về một số chƣơng trình cơng cụ của các
hacker. Cậu đã dùng một cơng cụ DDoS có tên là TrinOO để gây nên các cuộc tấn
công kiểu DDoS khủng khiếp trên. Một điểm đáng lƣu ý khác là Mafiaboy bị bắt do
tự khoe khoang trên các chatroom cơng cộng, khơng ai truy tìm đƣợc dấu vết của
cậu bé này.
Vào ngày 15 tháng 8 năm 2003, Microsoft đã chịu đợt tấn công DoS cực mạnh
và làm gián đoạn websites trong vòng 2 giờ.
10
Document shared on />
Downloaded by: bui-thi-hong-hanh ()
Vào lúc 15:09 giờ GMT ngày 27 tháng 3 năm 2003: toàn bộ phiên bản tiếng
anh của website Al-Jazeera bị tấn công làm gián đoạn trong nhiều giờ.
Các trang web của chính phủ, ngân hàng, trƣờng học tại Estonia bị tê liệt do
tấn công DDos vào tháng 5/2007. Tuy nhiên, các trang web bị tấn công này đã khôi
phục nhanh chóng sau đó.
Năm 2007, sâu Storm xuất hiện và lây lan nhanh chóng. Một khi đã lây nhiễm
vào máy tính ngƣời dùng, sâu sẽ gửi đi hàng triệu thƣ rác. Sâu Storm có thể phát
hiện những ai đang thực hiện truy tìm các máy chủ phát lệnh tấn cơng, và tiến hành
trả đũa bằng cách phát động tấn công DDos nhắm vào ngƣời đó, nhằm đánh sập kết
nối Internet của họ.
Tháng 8/2009, tấn công DDoS vào các trang mạng xã hội nhƣ Twitter,
Facebbok, LiveJournal và một số trang của Google, chỉ nhằm “đánh phá” các trang
blog, bài viết của blogger Cyxymu ở Georgia.
Nhà cung cấp dịch vụ phân giải tên miền cho Amazon bị tấn công DDoS,
khiến ngƣời dùng không thể truy cập vào máy chủ Amazon.com và Amazon Web
Services vào ngày 23/12/2009, đây là thời điểm mua sắm sôi động nhất trong năm
tại các nƣớc khu vực Bắc Mỹ.
Ngày 7/12/2010, trang Visa.com bị nhóm tin tặc Anonymous tấn cơng DDoS.
Theo nhóm tin tặc, họ thực hiện cuộc tấn cơng này nhằm phản đối việc các hãng tài
chính khóa tài khoản của WikiLeaks, sau khi trang này dự kiến công bố các tài liệu
mật của Bộ ngoại giao Mỹ. Trƣớc đó nhóm tin tặc này đã thực hiện các cuộc tấn
công các trang web Mastercard và PayPal.
Ngày 4/3/2011, 40 trang web thuộc chính phủ Hàn Quốc tê liệt vì tấn công
DDoS
Trên đây là những cuộc tấn công trên là điển hình nhất về DDoS, nó nói lên
một đặc điểm chết ngƣời của DDoS: Rất dễ thực hiện, hầu nhƣ không thể tránh, hậu
quả rất nặng nề.”
Đây chỉ là một trong số rất nhiều bài báo viết về DDoS, tuy khá ngắn gọn
nhƣng cũng đã nêu bật đƣợc những đặc điểm nổi bật nhất của DDoS: “Rất dễ thực
11
Document shared on />
Downloaded by: bui-thi-hong-hanh ()
hiện, hầu như không thể tránh, hậu quả rất nặng nề”. Một điều mà các chuyên gia
ai cũng thừa nhận, đó là nếu DDoS đƣợc thực hiện bởi một hacker có trình độ, thì
việc chống đỡ là khơng thể. Rất may mắn, giới hacker chính quy thế giới đã khai trừ
kĩ thuật tấn công này, và chấm dứt mọi hoạt động nghiên cứu, trình diễn hay phát
triển cơng cụ do chính bản thân họ cũng nhìn thấy mức độ nguy hiểm và không
công bằng của kiểu tấn công này. Bởi lẽ tấn công từ chối dịch vụ phân tán là kiểu
tấn cơng làm cho hệ thống máy tính hay hệ thống mạng quá tải, không thể cung cấp
dịch vụ hoặc phải dừng hoạt động. Trong các cuộc tấn công DDoS, máy chủ dịch
vụ sẽ bị "ngập" bởi hàng loạt các lệnh truy cập từ lƣợng kết nối khổng lồ. Khi số
lệnh truy cập quá lớn, máy chủ sẽ quá tải và khơng cịn khả năng xử lý các u cầu.
Hậu quả là ngƣời dùng không thể truy cập vào các dịch vụ trên các trang web bị tấn
công DDoS.
Tuy rằng khơng cịn là mới mẻ, nhƣng DDoS vẫn tiếp tục gây rất nhiều thiệt
hại cho cộng đồng mạng nói chung và cho các doanh nghiệp nói riêng. Gần đây
nhất là vụ tấn cơng vào website Bkav, làm giảm uy tín và doanh thu của doanh
nghiệp. Cụ thể là chỉ 2 ngày sau khi bị tấn công vào Website nhánh webscan.bkav.
com.vn, từ tối ngày 4/2/2012, trang chủ của Bkav tại địa chỉ www.bkav.com.vn đã
không thể truy cập.
Các khách hàng sử dụng phần mềm diệt virus Bkav bản mất phí Bkav Pro
cũng không thể kết nối tới máy chủ để cập nhật các virus mới. Trang web của Bkis
bị DDoS làm gián đoạn trong nhiều giờ liền và sau khi phối hợp với các bên liên
quan, đã điều tra ra thủ phạm là một học sinh trung học ở Quảng Nam.
Vậy làm sao để tránh hoặc ít nhất giảm đƣợc thiệt hại khi bị DDoS , tôi đã lựa
chọn đề tài :Nghiên cứu các hình thức tấn cơng mạng DDoS và phương pháp
phòng chống (Study the patterns of network attacks and DDoS mitigation
methods)”. Đề tài này không những phục vụ cho nhu cầu của bản thân mà còn giúp
nâng cao ý thức của ngƣời dùng mạng Internet. Nhận thấy đây vừa là một đề tài tốt
nghiệp, vừa có vai trị ứng dụng trong thực tế và với sự giúp đỡ tận tình của thầy
12
Document shared on />
Downloaded by: bui-thi-hong-hanh ()
giáo Tiến sĩ Nguyễn Tài Hƣng, tôi đã cố gắng hết sức để thực hiện tốt bài khóa luận
tốt nghiệp của mình.
Mục đích nghiên cứu của luận văn (các kết quả cần đạt đƣợc):
- Tìm hiểu về DDoS
- Phân loại các hình thức tấn cơng của DDoS
- Tìm hiểu đặc tính lưu lượng mạng khi có và khơng có tấn cơng DDoS
- Khảo sát các thuật tốn và phương pháp phát hiện và giảm thiểu các cuộc tấn
công của DDoS hiện đang được áp dụng
- Mô phỏng và đánh giá
Do tính chất đa dạng của DDoS nên khơng có giải pháp phòng chống DDoS
nào là tối ƣu nhất cho mọi trƣờng hợp. Giải pháp mà đồ án đề cập đến là dành cho
mơ hình mạng chỉ có một server kết nối với Internet bằng một liên kết.
Các vấn đề cần giải quyết:
- Nghiên cứu các hình thức tấn cơng mạng DDoS và phương pháp phịng chống.
- Trên cơ sở đó phân tích thuật tốn phát hiện sớm và giảm thiểu các cuộc tấn cơng.
Ngồi phần mở đầu và phần kết luận, phần nội dung của luận văn gồm có 4
chương như sau:
Ch DoS và DDoS:
Giới thiệu chung về DoS, phân loại các kiểu tấn công DoS.
Giới thiệu chung về DDoS, phân loại các kiểu tấn công DDoS, cách thức
xây dựng mạng Botnet, giới thiệu một số công cụ tấn công DDoS
II.
các phƣơng thức, cách thức tấn cơng DDoS
. Demo t DDoS: Trình bày mơ hình thực tế mạng Botne
giả định, giải pháp, mơ hình thực nghiệm và quá trình kiểm tra đánh giá, nhận xét
hệ thống trƣớc khi có xâm nhập và sau khi có xâm nhập.
13
Document shared on />
Downloaded by: bui-thi-hong-hanh ()
Tấn công từ chối dịch vụ DoS là dạng tấn công nhằm ngăn chặn ngƣời dùng
hợp pháp truy nhập các tài nguyên mạng. Tấn công DoS đã xuất hiện từ khá sớm,
vào đầu những năm 80 của thế kỷ trƣớc. Tấn công DoS là một kiểu tấn công mà
một ngƣời làm cho một hệ thống không thể sử dụng, hoặc làm cho hệ thống đó
chậm đi một cách đáng kể với ngƣời dùng bình thƣờng, bằng cách làm quá tải tài
ngun của hệ thống.
Nếu kẻ tấn cơng khơng có khả năng thâm nhập đƣợc vào hệ thống, thì chúng
cố gắng tìm cách làm cho hệ thống đó sụp đổ và khơng có khả năng phục vụ ngƣời
dùng bình thƣờng đó là tấn cơng DoS.
Mặc dù tấn cơng DoS khơng có khả năng truy cập vào dữ liệu thực của hệ
thống nhƣng nó có thể làm gián đoạn các dịch vụ mà hệ thống đó cung cấp. Nhƣ
định nghĩa trên DoS khi tấn công vào một hệ thống sẽ khai thác những cái yếu nhất
của hệ thống để tấn công, những mục đích của tấn cơng DoS.
1.2.1
Cố gắng chiếm băng thơng mạng và làm hệ thống mạng bị ngập (flood), khi
đó hệ thống mạng sẽ khơng có khả năng đáp ứng những dịch vụ khác cho ngƣời
dùng bình thƣờng.
Cố gắng làm ngắt kết nối giữa hai máy, và ngăn chặn quá trình truy cập vào
dịch vụ.
Cố gắng ngăn chặn những ngƣời dùng cụ thể vào một dịch vụ nào đó
Cố gắng ngăn chặn các dịch vụ khơng cho ngƣời khác có khả năng truy cập
vào.
Khi tấn công DoS xảy ra ngƣời dùng có cảm giác khi truy cập vào dịch vụ đó
nhƣ bị:
14
Document shared on />
Downloaded by: bui-thi-hong-hanh ()
+ Disable Network
- Tắt mạng
+ Disable Organization
- Tổ chức không hoạt động
+ Financial Loss
- Thiệt hại tài chính
1.2.2
Ta thấy, tấn công DoS xảy ra khi kẻ tấn công sử dụng hết tài nguyên của hệ
thống và hệ thống không thể đáp ứng cho ngƣời dùng bình thƣờng đƣợc. Vì vậy
các tài nguyên chúng thƣờng sử dụng để tấn công là:
- Tạo ra sự khan hiếm, những giới hạn và không đổi mới tài nguyên
- Băng thông của hệ thống mạng, bộ nhớ, ổ đĩa, và CPU Time hay cấu trúc dữ
liệu đều là mục tiêu của tấn công DoS.
- Tấn công vào hệ thống khác phục vụ cho mạng máy tính nhƣ: hệ thống điều
hồ, hệ thống điện, hệt hống làm mát và nhiều tài nguyên khác của doanh nghiệp.
Bạn thử tƣởng tƣợng khi nguồn điện vào máy chủ web bị ngắt thì ngƣời dùng có thể
truy cập vào máy chủ đó khơng.
- Phá hoại hoặc thay đổi các thơng tin cấu hình.
- Phá hoại tầng vật lý hoặc các thiết bị mạng nhƣ nguồn điện, điều hoà…
- Smurf.
- Teardrop.
- Buffer Overflow Attack.
- SYN Attack.
- Ping of Death.
1.3.1.
Là thủ phạm sinh ra cực nhiều giao tiếp ICMP (ping) tới địa chỉ Broadcast của
nhiều mạng với địa chỉ nguồn là mục tiêu cần tấn công.
1.3.2. Tấn công Buffer overflow.
Buffer Overflow xảy ra tại bất kỳ thời điểm nào có chƣơng trình ghi lƣợng
thơng tin lớn hơn dung lƣợng của bộ nhớ đệm trong bộ nhớ.
Kẻ tấn cơng có thể ghi đè lên dữ liệu và điều khiển chạy các chƣơng trình và
đánh cắp quyền điều khiển của một số chƣơng trình nhằm thực thi các đoạn mã
nguy hiểm..
15
Document shared on />
Downloaded by: bui-thi-hong-hanh ()
Quá trình gửi một bức thƣ điện tử mà file đính kèm dài q 256 ký tự có thể sẽ
xảy ra q trình tràn bộ nhớ đệm.
1.3.3
Hình 1.1: Tấn cơng Ping of Death
Kẻ tấn cơng gửi những gói tin IP lớn hơn số lƣơng bytes cho phép của tin IP là
65.536 bytes.
Q trình chia nhỏ gói tin IP thành những phần nhỏ đƣợc thực hiện ở layer II.
Quá trình chia nhỏ có thể thực hiện với gói IP lớn hơn 65.536 bytes. Nhƣng hệ
điều hành không thể nhận biết đƣợc độ lớn của gói tin này và sẽ bị khởi động lại,
hay đơn giản là sẽ bị gián đoạn giao tiếp.
Để nhận biết kẻ tấn cơng gửi gói tin lớn hơn gói tin cho phép thì tƣơng đối dễ
dàng.
1.3.4
Gói tin IP rất lớn khi đến Router sẽ bị chia nhỏ làm nhiều phần nhỏ.
Kẻ tấn công sử dụng sử dụng gói IP với các thơng số rất khó hiểu để chia ra
các phần nhỏ (fragment).
16
Document shared on />
Downloaded by: bui-thi-hong-hanh ()
1.3.5
Hình 1.2:Tấn cơng SYN (mơ hình bắt tay ba bƣớc)
Kẻ tấn công gửi các yêu cầu (request ảo) TCP SYN tới máy chủ bị tấn cơng.
Để xử lý lƣợng gói tin SYN này hệ thống cần tốn một lƣợng bộ nhớ cho kết nối.
Khi có rất nhiều gói SYN ảo tới máy chủ và chiếm hết các yêu cầu xử lý của
máy chủ. Một ngƣời dùng bình thƣờng kết nối tới máy chủ ban đầu thực hiện
Request TCP SYN và lúc này máy chủ khơng cịn khả năng đáp lại - kết nối không
đƣợc thực hiện.
Đây là kiểu tấn công mà kẻ tấn cơng lợi dụng q trình giao tiếp của TCP theo
– Three-way.
Q trình TCP Three-way handshake (mơ hình bắt tay ba bƣớc) đƣợc thực
hiện: Khi máy A muốn giao tiếp với máy B. (1) máy A bắn ra một gói TCP SYN tới
máy B – (2) máy B khi nhận đƣợc gói SYN từ A sẽ gửi lại máy A gói ACK đồng ý
kết nối – (3) máy A gửi lại máy B gói ACK và bắt đầu các giao tiếp dữ liệu.
Máy A và máy B sẽ dữ kết nối ít nhất là 75 giây, sau đó lại thực hiện một quá
trình TCP Three-way handshake lần nữa để thực hiện phiên kết nối tiếp theo để trao
đổi dữ liệu.
17
Document shared on />
Downloaded by: bui-thi-hong-hanh ()
- Jolt2
- Blast20
- Some Trouble
- Bubonic.c
- Nemesy
- UDP Flooder
- Land and LaTierra
- Panther2
- FSMax
- Targa
- Crazy Pinger
1.4.1. Tools DoS: Jolt2
Hình 1.3:Tấn công kiểu Tools DoS: Jolt2
Cho phép kẻ tấn từ chối dịch vụ lên các hệ thống trên nền tảng Window.
Nó là ngun nhân khiến máy chủ bị tấn cơng có CPU ln hoạt động ở mức
độ 100%, CPU khơng thể xử lý các dịch vụ khác.
Không phải trên nền tảng Windows nhƣ Cisco Router và một số loại Router
khác cũng có thể bị lỗ hổng bảo mật này và bị tools này tấn công.
1.4.2. Tools DoS: Bubonic.c
Bubonic.c là một tools DoS dựa vào các lỗ hổng bảo mật trên Windows 2000.
Nó hoạt động bằng cách ngẫu nhiên gửi các gói tin TCP với các thiết lập ngẫu
18
Document shared on />
Downloaded by: bui-thi-hong-hanh ()
nhiên làm cho máy chủ tốn rất nhiều tài nguyên để xử lý vấn đề này, và từ đó sẽ
xuất hiện những lỗ hổng bảo mật.
Sử dụng bubonic.c bằng cách gõ câu lệnh: bubonic 12.23.23.2 10.0.0.1 100
Hình 1.4:Tấn cơng kiểu Tools DoS: Bubonic.c
1.4.3. Tools DoS: Land and LaTierra
Giả mạo địa chỉ IP đƣợc kết hợp với quá trình mở các kết nối giữa hai máy
tính.
Cả hai địa chỉ IP, địa chỉ nguồn (source) và địa chỉ IP đích, đƣợc chỉnh sửa
thành một địa chỉ của IP đích khi đó kết nối giữa máy A và máy B đang đƣợc thực
hiện nếu có tấn cơng này xảy ra thì kết nối giữa hai máy A và B sẽ bị ngắt kết nối.
Kết quả này do địa chỉ IP nguồn và địa chỉ IP đích của gói tin giống nhau và
gói tin khơng thể đi đến đích cần đến.
1.4.4. Tools DoS: Targa
Targa là một chƣơng trình có thể sử dụng 8 dạng tấn cơng DoS khác nhau. Nó
đƣợc coi nhƣ một hƣớng dẫn tích hợp tồn bộ các ảnh hƣởng của DoS.
19
Document shared on />
Downloaded by: bui-thi-hong-hanh ()
1.4.5. Tools DoS: Blast 2.0
Blast rất nhỏ, là một công cụ dùng để kiểm tra khả năng của dịch vụ TCP nó
có khả năng tạo ra một lƣu lƣợng rất lớn gói TCP và có thể sẽ gây nguy hiểm cho
một hệ thống mạng với các server yếu.
1.4.6. Tools DoS: Nemesys
Hình 1.5: Tấn cơng kiểu Tools DoS: Nemesys
Đây là một chƣơng trình sinh ra những gói tin ngẫu nhiên nhƣ (protocol, port,
etc. size, …)
Dựa vào chƣơng trình này kẻ tấn cơng có thể chạy các đoạn mã nguy hiểm vào
máy tính khơng đƣợc bảo mật.
1.4.7. Tool DoS: Panther2.
Tấn cơng từ chối dịch vụ dựa trên nền tảng UDP Attack đƣợc thiết kế dành
riêng cho kết nối 28.8 – 56 Kbps.
1.4.8. Tool DoS: Crazy Pinger
Cơng cụ này có khả năng gửi những gói ICPM lớn tới một hệ thống mạng từ xa.
Hình 1.6: Tấn cơng kiểu Tool DoS: Crazy Pinger
20
Document shared on />
Downloaded by: bui-thi-hong-hanh ()
1.4.9. Tool DoS: Some Trouble
Hình 1.7: Tấn cơng kiểu Tool DoS: Some Trouble
SomeTrouble 1.0 là một chƣơng trình gây nghẽn hệ thống mạng
SomeTrouble là một chƣơng trình rất đơn giản với ba thành phần
Mail Bomb (tự có khả năng Resole Name với địa chỉ mail có)
ICQ Bomb
Net Send Flood
1.4.10. Tools DoS: UDP Flooder
UDP Flooder là một chƣơng trình gửi các gói tin UDP. Nó gửi ra ngồi những
gói tin UDP tới một địa chỉ IP và port khơng cố định. Gói tin có khả năng là một
đoạn mã văn bản hay một số lƣợng dữ liệu đƣợc sinh ngẫu nhiên hay từ một file.
Đƣợc sử dụng để kiểm tra khả năng đáp ứng của Server.
1.4.11. Tools DoS FSMAX
Kiểm tra hiệu năng đáp ứng của máy chủ.
Nó tạo ra một file sau đó chạy trên Server nhiều lần lặp đi lặp lại một lúc.
Hình 1.8: Tấn cơng kiểu Tool DoS: FSMAX
21
Document shared on />
Downloaded by: bui-thi-hong-hanh ()
Tấn công từ chối dịch vụ phân tán là một dạng phát triển ở mức độ cao của tấn
công DoS đƣợc phát hiện lần đầu tiên vào năm 1999. Trên thực tế, tấn công từ chối
dịch vụ phân tán là kiểu tấn cơng làm hệ thống máy tính hay hệ thống mạng quá tải,
không thể cung cấp dịch vụ hoặc phải dừng hoạt động, song từ nhiều nguồn tấn
công khác nhau, phân tán trên mạng. Khác biệt cơ bản của tấn công DoS và DDoS
là phạm vi tấn công. Trong khi lƣu lƣợng tấn công DoS thƣờng phát sinh từ một
hoặc một số ít host nguồn, lƣu lƣợng tấn cơng DDoS thƣờng phát sinh từ rất nhiều
host nằm rải rác trên mạng Internet..
Hình 1.9: Mơ hình tấn cơng DDoS
Trong các cuộc tấn công DDoS, máy chủ dịch vụ sẽ bị “ngập” bởi hàng loạt
các lệnh truy cập từ lƣợng kết nối khổng lồ từ nhiều máy tấn công ở nhiều nơi. Khi
số lệnh truy cập quá lớn, máy chủ sẽ q tải và khơng có khả năng xử lý các yêu
cầu. Hậu quả là ngƣời dùng không thể truy cập vào các dịch vụ trên các trang web
bị tấn công DDoS là DDoS sử dụng một mạng lƣới tấn công rộng khắp, gồm nhiều
máy tấn công nằm rải rác trên mạng. Bằng cách tạo ra những gói tin cực nhiều đến
một đích cụ thể, nó có thể gây tình trạng tƣơng tự nhƣ hệ thống bị shutdown.
Tấn công DDoS là một biến thể của Foolding DoS (Tấn công từ chối dịch vụ
tràn). Mục đích của hình thức này là gây tràn mạng đích. Kẻ tấn cơng sau đó sẽ sử
22
Document shared on />
Downloaded by: bui-thi-hong-hanh ()
