Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (4.89 MB, 62 trang )
<span class="text_page_counter">Trang 2</span><div class="page_container" data-page="2">
Tội phạm mạng đang ngày càng được liên kết với các tập đoàn tội phạm có tổ chức để tận dụng lợi thế của các kỹ thuật tinh vi của họ.
Những nhóm có tổ chức tội phạm mạng làm việc trên thiết lập thứ bậc với một mơ hình chia sẻ doanh thu được xác định trước, giống như một tập đoàn lớn cung cấp các dịch vụ phạm tội.
Nhóm tổ chức tạo ra và thuê botnet để cung cấp các dịch vụ khác nhau, từ việc viết phần mềm độc hại, tấn công các tài khoản ngân hàng, để tạo ra tấn công DoS lớn đối với bất kỳ mục tiêu với một mức giá.
Theo Verizon 2010 dữ liệu báo cáo điều tra vi phạm, phần lớn các vi phạm đã điều khiển bởi các nhóm có tổ chức và hầu như tất cả các dữ liệu bị đánh cắp (70%) là công việc của bọn tội phạm tổ chức bên ngoài.
Sự tham gia ngày càng tăng của đoàn tổ chức tội phạm chiến tranh mạng động cơ chính trị và hacktivism là một vấn đề quan tâm cho các cơ quan an ninh quốc gia.
</div><span class="text_page_counter">Trang 9</span><div class="page_container" data-page="9"> Nó gán một số định danh phổ cập (UIN) xác định người dùng duy nhất giữa những người sử dụng ICQ
Khi một người sử dụng ICQ kết nối với Internet, ICQ khởi động và cố gắng để kết nối với máy chủ Mirabilis
(Mirabilis là công ty phát triển ICQ), là nơi cơ sở dữ liệu chứa thông tin của tất cả người dùng ICQ.
Tại máy chủ Mirabilis, ICQ tìm kiếm yêu cầu số UIN
bên trong cơ sở dữ liệu của nó (một loại điện thoại của thư mục), và cập nhật thơng tin.
Bây giờ người dùng có thể liên hệ với người bạn của mình bởi vì ICQ biết địa chỉ IP.
</div><span class="text_page_counter">Trang 11</span><div class="page_container" data-page="11">routers do thống kê quan trọng trong lưu lượng mạng
</div><span class="text_page_counter">Trang 15</span><div class="page_container" data-page="15"> Thực hiện tràn ngập SYN dựa vào thuận lợi lỗ hổng bằng bắt tay ba bước TCP
Khi Host B nhận yêu cầu SYN từ A, nó phải giữ đường đi một phần mở kết nối trên "hàng đợi lắng nghe" tối thiểu 75 giây
Một host nguy hiểm có thể khám phá kích cỡ nhỏ để lắng nghe theo hàng bằng cách gửi nhiều yêu cầu SYN tới host, nhưng không bao giờ trả lời bằng SYN/ACK
Victim lắng nghe hàng đợi nhanh chóng bị lấp đầy
Khả năng loại bỏ một host từ mạng tối thiểu là 75 giây có thể được dùng như tấn công DoS
</div><span class="text_page_counter">Trang 18</span><div class="page_container" data-page="18"> Kiểu tấn công ICMP là thủ phạm gửi số lượng lớn của gói tin giả mạo địa chỉ nguồn tới server đích để phá hủy nó và gây ra ngừng đáp ứng yêu cầu TCP/IP.
Sau khi đến ngưỡng ICMP đạt đến, các router từ chối yêu cầu phản hồi ICMP từ tất cả địa chỉ trên cùng vùng an tồn cho phần cịn lại.
<small>Kẻ tấn công gửi yêu cầuICMP ECHO với địa chỉnguồn giả mạo</small>
<small>Phản hồi yêu cầu ICMP hợp lệ từ địa chỉ trên vùng an tồn</small>
</div><span class="text_page_counter">Trang 19</span><div class="page_container" data-page="19">Dùng điểm nối điểm để tấn công, kẻ tấn cơng chỉ đạo clients của mơ hình điểm nối điểm chia sẽ file trung tâm gây ngắt kết nối từ mạng của họ và kết nối tới website giả mạo của victim.
Kẻ tấn công khai thác lỗ hổng tìm thấy trên mạng dùng giao thức DC++(kết nối trực tiếp), cho phép hoán đổi file giữa các tin nhắn clients ngay lập tức.
Dùng phương pháp này, kẻ tấn công chạy tấn công DoS rất lớn và làm hại website.
</div><span class="text_page_counter">Trang 20</span><div class="page_container" data-page="20"><small>Tấn công DoS liên tục, được biết như</small>
<small>phlashing, nghĩa là tấn công gây thiệt hại chohệ thống phần cứng mà không phục hồi được</small>
Khơng giống như tấn cơng DoS khác, nó phá hoại hệ thống phần cứng, yêu cầu victim thay thế hoặc cài đặt lại phần cứng
<small>Tấn công thực hiện dùng phương pháp như </small>
<small>"xây dựng hệ thống”</small>
<small>Dùng phương pháp này, kẻ tấn công gửicậpnhập phần cứng lừa đảotới victim</small>
<small>Gửi email, IRC chats, tweets, video với nộidung lừa đảo để cập nhập phần cứng</small>
<small>Kẻ tấn cơng truy cập tới</small>
<small>máy tính của victim</small> <sub>(Mã nguy hiểm chạy trên hệ</sub>
<small>thống victim)</small>
</div><span class="text_page_counter">Trang 21</span><div class="page_container" data-page="21">Dùng kiểu tấn công này, kẻ tấn công phá hủy mã nguồn chương trình và file làm ảnh hưởng tới hệ thống máy tính
Tấn cơng làm tràn ngập ở cấp độ ứng dụng, kẻ tấn công cố gắng: Làm tràn ngập ứng dụng web tới lưu lượng người sử dụng hợp lệ.
Ngắt dịch vụ cụ thể của hệ thống hoặc con người, ví dụ: khóa người dùng cố gắng truy cập lại khi đăng nhập không có giá trị.
Làm tắc nghẽn cơ sở dữ liệu của ứng dụng kết nối bằng truy vấn thủ công nguy hiểm SQL
<small>Kẻ tấn công khai thác mã nguồn ứng dụng</small>
</div><span class="text_page_counter">Trang 23</span><div class="page_container" data-page="23"><small>tin liên tiếpvớitrường gói tin giống</small>
<small>Hoạt động định hìnhthu được bằng cáchgiám sátthơng tin header của gói tin trong mạng</small>
</div><span class="text_page_counter">Trang 40</span><div class="page_container" data-page="40">Phân tích wavelet được mơ tả là tín hiệu vào đầu cuối bao gồm quang phổ
Wavelets cung cấp đồng bộ thời gian và mô tả tần số
Phân tích mỗi quang phổ năng lượng xác định hiện tượng bất thường
Họ xác định thời gian chính xác gồm các tần số hiện diện
</div><span class="text_page_counter">Trang 41</span><div class="page_container" data-page="41">Bạn cũng có thể dùng nhận biết worm thơng thường bằng hoạt động scanning
Để nhận diện và định vị cuộc tấn cơng DoS các thuật tốn
cusum xác định độ lệch trong mức trung bình thực tế cục bộ so với dự kiến trong chuỗi thời gian kết nối
Họ bắt đầu lọc lưu lượng dữ liệu tới đích bằng địa chỉ, cổng hoặc giao thức và lưu trữ kết quả thành chuỗi thời gian
Thuật toán phát hiện thay đổi điểm mô tả lưu lượng thống kê nguyên nhân thay đổi bởi cuộc tấn công
</div><span class="text_page_counter">Trang 42</span><div class="page_container" data-page="42">nguồn bên ngồi.
Cấu hình và thường xun cập nhập xây dựng cơ cấu phòng thủ trên lõi phần cứng và phần mềm hệ thống
Thông thường vài DDoS handler được triển khai mạo địa chỉ nguồn gói tin tấn cơng DDoS sẽ không hiện giá trị địa chỉ nguồn của mạng cụ thể.
Qt header gói tin của gói tin IP ra một mạng.
Bộ lọc đi ra không chứng thực hoặc lưu lượng nguy hiểm không được ra khỏi
</div><span class="text_page_counter">Trang 47</span><div class="page_container" data-page="47"> Hệ thống thiết lập với giới hạn bảo mật, cũng biết như
</div><span class="text_page_counter">Trang 48</span><div class="page_container" data-page="48"><small> Nhà cung cấp tăng băng thông trên</small>
<small>kết nối quan trọngđể ngăn ngừa vàgiảm xuống tấn cơng.</small>
<small> Nhân bản máy chủ có thể cung cấpthêm bảo vệan toàn.</small>
<small> Cân bằng tải cho mỗi server trêncấu trúc nhiều server có thể cải tiếnhiệu suất bình thường như làgiảmảnh hưởngcủa cuộc tấn công DoS</small>
<small> Thiết lập cách thức router truycập một server với điều chỉnh logiclưu lượng đi vào tới mức độ sẽ antồn đểserver xử lý.</small>
<small> Bộ xử lý có thểngăn ngừa trànngậpthiệt hại tới server.</small>
<small> Bộ xử lý này có thể mở rộng đểđiều chỉnh luồng tấn công DDoS đốilậplưu lượng hợp phápcủa ngườisử dụng cho kết quả tốt hơn</small>
Phân tích router, firewall, và IDS logs để nhận biết nguồn của lưu lượng DoS. Mặc dù kẻ tấn công thông thường giả mạo địa chỉ nguồn, dấu vết IP trả lại với trợ giúp ngay lập tức của ISP và thực thi pháp luật các cơ quan có thể cho phép bắt các thủ phạm
Phân tích mẫu lưu lượng: Dữ liệu có thể được phân tích sau tấn cơng để tìm kiếm đặc điểm riêng biệt trong lưu lượng tấn cơng
Mẫu lưu lượng tấn cơng DDoS có thể giúp người quản trị mạng phát triển kỹ thuật lọc để ngăn ngừa đi vào hoặc đi ra mạng
Dùng những đặc điểm, dữ liệu có thể được dùng để cập nhập cân bằng tải và điều chỉnh biện pháp đối phó
</div><span class="text_page_counter">Trang 50</span><div class="page_container" data-page="50"><small>Các gói tin cần phải được có nguồn gốc hợplệ, cho phép địa chỉ trống, bao gồm tôpô vàcấp phát không gian.</small>
<small>Bất kỳ lưu lượng vào không sử dụng hoặc địachỉ ip dành riêng là không thật nên lọc tại ISP trước khi vào đường link internet.</small>
<small>Lỗ đen là nơi trên một một mạng, nơi đó lưulượng được chuyển tiếp hoặc hủy bỏ.</small>
<small>Kỹ thuật lọc này dùng giao thức cập nhậpđịnh tuyến để điều khiển bảng định tuyến tạibiên một mạng để hủy lưu lượng khơng thíchnghi trước nó xâm nhập vào mạng của nhàcung cấp dịch vụ.</small>
<small>IPS cisco nhận đe dọa cập nhập từ mạngCisco SensorBase chứa thông tin chi tiếtnhân biệt mối đe dọa trên internet, bao gồmtuần tự kẻ tấn công, botnet harvester, </small>
<small>malware bùng phát và dark net.</small>
<small>Bật bảo vệ IP nguồn trên switch ngăn ngừamột host gửi gói tin giả mạo trở thành bot.</small>
</div><span class="text_page_counter">Trang 51</span><div class="page_container" data-page="51">Hiệu quả của cơ chế mã hóa cần đề xuất cho mỗi cơng nghệ băng thông rộng. Cải tiến giao thức định tuyến được kỳ vọng, đặc biệt là cho nhiều hop WMN
Tắt những dịch vụ không sử dụng và không bảo mật.
Cập nhập kernel tới phiên bản mới nhất.
Ngăn ngừa truyền địa chỉ gói tin lậu ở mức độ ISP.
Thực hiện nhận biệt vô tuyến ở lớp vật lý để xử lý gây nhiễu và xáo trộn cuộc tấn cơng.
Khóa tất cả gói tin có nguồn đi vào từ cổng dịch vụ để khóa lưu lượng ánh xạ từ server.
</div><span class="text_page_counter">Trang 52</span><div class="page_container" data-page="52">Cấu hình firewall để từ chối dòng truy cập giao thức điều khiển thông điệp internet (ICMP)
Ngăn ngừa dùng chức năng không cấp thiết như get, strcpy,... Đảm bảo an toàn cho người quản trị từ xa và kiểm tra kết nối Ngăn chặn địa chị trả lại không bị ghi đè
Dữ liệu được xử lý bởi kẻ tấn công nên dừng lại trước khi chạy Thực hiện triệt để giá trị nhập vào
Các card mạng là gateway của gói tin vì vậy nên dùng card mạng tốt hơn để xử lý số lượng lớn gói tin.
</div><span class="text_page_counter">Trang 53</span><div class="page_container" data-page="53"><small>Nhiều ISP đơn giản khóa tất cả yêu cầutrong thời giantấn công DDoS, từ chốilưu lượng hợp pháptừ truy cập dịch vụ.ISP đưa ra đám mây DDoS bảo vệđường liên kết internet vì vậy họ khơngthểbão hịa bởi cuộc tấn cơng</small>
<small>Lưu lượng tấn cơng đượcchuyển hướngtới ISPtrong cuộc tấn công để lọc và gửitrở lại</small>
<small>Quản trị mạng có thểyêu cầu ISP đểkhóa nguồn IP tác động và di chuyểntrang web tới IP khác sau khi thực hiệnlan truyền DNS </small>
</div><span class="text_page_counter">Trang 54</span><div class="page_container" data-page="54">Ngắt TCP có thể diễn ra với mỗi chế độ ngắt chủ động hoặc bị động chế độ theo dõi. Mặc
</div><span class="text_page_counter">Trang 55</span><div class="page_container" data-page="55"><small>IntelliGuard DPS trợ giúplàmdịu tấn công DDoSđược thiếtkế tập trung vượt qua lưulượng hợp pháp hơn là bỏ quảlưu lượng tấn công</small>
<small>Cấp bậc học bảo vệ chiến lược</small>
<small>nhận biết vị trí truy cập bằngưu tiên cho khách hàng và xếphạng truy cập của họ.</small>
<small>Quản lý lưu lượng đa cấp độ</small>
<small>cấu hình giới hạn lưu lượng vàđảm bảo cho việc quản lý lưulượng cho mỗi thành phần củamạng</small>
</div><span class="text_page_counter">Trang 57</span><div class="page_container" data-page="57"><small>Hệ thống server dễ bị tấn cơng DoS thì nên kiểm tra thâm nhập để tìm hiểu để đối phó.</small>
<small>Một hệ thống dễ bị tấn cơng khơng thể xử lý số lượng lớnlưu lượng gửi và sau đó bị treo hoặc giảm tốc độ, do đóngăn ngừa truy cập bằng cách chứng thực người sử dụng.</small>
<small>Kiểm tra thâm nhập xác định ngưỡng tối thiểu cuộc tấncông DoS trên hệ thống, nhưng người kiểm thử khôngchủ quan là hệ thống bền vững trước chống tấn cơngDoS.</small>
<small>Đối tượng chính để kiểm tra thâm nhập DoS làm tràn ngập lưu lượng hệ thống mục tiêu, tương tự như hàng trăm người liên tục yêu cầu dịch vụ, làm cho server hoạt động liên tục khơng có giá trị.</small>
</div><span class="text_page_counter">Trang 61</span><div class="page_container" data-page="61"><small> Kiểm tra web server dùng công cụ tự độngnhư làWeb Application Stress(WAS)vàJmeter</small>
<small>cho khả năng chịu tải, hiệu suất server, khóa, vàkhả năng mở rộng phát sinh.</small>
<small> Quét hệ thống dùng công cụ tự động như</small>
<small>NMAP, GFI LANGuard, vàNessusđể khámphá bất kỳ hệ thống dễ bị tấn công DoS.</small>
<small> Tràn ngập mục tiêu với yêu cầu gói tin kếtnối dùng cơng cụTrin00,Tribe Flood, và</small>
<small> Tấn công tràn ngập cổng để làm đầy cổng vàtăng sử dụng duy trì tất cả yêu cầu kết nối làmtắc nghẽn cổng.Dùng công cụMutilateand</small>
<small>Pepsi5để tự động tấn cộng tràn ngập cổng. Dùng công cụMailBomber,AttacheBomber, vàAdvanced Mail Bomberđể gửi sốlượng mail lớn cho mail server mục tiêu.</small>
<small> Điền vào các mẫu với nội dungtùy ývàkéodàilàm tràn ngập trang web.</small>
</div>