Tải bản đầy đủ (.doc) (117 trang)
  1. Trang chủ
    2. >>
  2. Luận Văn - Báo Cáo
    3. >>
  3. Thạc sĩ - Cao học

nghiên cứu cơ chế hoạt động của giao thức trao đổi khóa ike(internet key exchange) và ứng dụng trong bảo mật thông tin mạng

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.18 MB, 117 trang )

Đồ án tốt nghiệp Giao thức trao đổi khóa Internet Key
Exchange(IKE)
LỜI CẢM ƠN
Em xin gửi lời cảm ơn chân thành nhất tới ThS.Nguyễn Thanh Sơn,
người thầy đã hướng dẫn em trong quá trình nghiên cứu về giao thức trao đổi
khóa Internet Key Exchange(IKE) và cho em những định hướng nghiên
cứu,giúp đỡ em về những kiến thức liên quan tới mật mã.
Em cũng xin tỏ lòng biết ơn sâu sắc tới thầy cô, bạn bè cùng khóa đã
giúp đỡ em học tập và rèn luyện trong suốt những năm học vừa qua.
Em xin cảm ơn gia đình và bạn bè, những người luôn khuyến khích và
tạo mọi điều kiện hỗ trợ tốt nhất cho em trong mọi hoàn cảnh.
Em xin chân thành cảm ơn trường Học viện Kỹ thuật Mật Mã đã cho em một
môi trường học tập lành mạnh và vững chắc, tạo cho em những điều kiện tốt
nhất trong quá trình học tập và làm đồ án này.
Do thời gian hoàn thành đồ án có hạn cho nên em không tránh khỏi
những khiếm khuyết, em rất mong có được những góp ý và giúp đỡ của các
thầy cô giáo để em có thể tiếp tục đồ án này ở mức ứng dụng cao hơn trong
tương lai.
Em xin chân thành cảm ơn!
Hà Nội, tháng 5 năm 2011
Sinh viên thực hiện
Lê Thị Thanh
Lê Thị Thanh AT3C-HV
KTMM
1
Đồ án tốt nghiệp Giao thức trao đổi khóa Internet Key
Exchange(IKE)
MỤC LỤC
LỜI CẢM ƠN 1
MỤC LỤC 2
DANH MỤC TỪ VIẾT TẮT 3


DANH MỤC HÌNH VẼ VÀ BẢNG 5
KÍ HIỆU 7
LỜI NÓI ĐẦU 8
Chương 1. TỔNG QUAN VỀ AN TOÀN BẢO MẬT THÔNG TIN TRÊN MẠNG
11
1.1. Mở đầu 11
1.3. Nguy cơ ảnh hưởng đến an toàn mạng 13
1.3.1. Các hình thức tấn công trên mạng 13
1.3.2. Các kỹ thuật tấn công trên mạng 14
1.4. Một số kiểu tấn công điển hình 19
1.4.1 Định nghĩa về tấn công từ chối dich vụ-Denial Of Service (DoS) 19
1.4.2 Các dạng tấn công DoS 20
1.4.3 Các cách phòng chống tấn công DoS 24
1.4.4 Tấn công từ chối dịch vụ phân tán-Distributed Denial Of Service
(DDoS) 25
1.4.5 Phân loại tấn công DDoS 30
1.4.6 Một số kỹ thuật phòng chống tấn công từ chối dịch vụ phân tán(DDoS)
36
Chương 2. GIAO THỨC TRAO ĐỔI KHÓA IKE (Internet Key Exchange) 40
2.1 Giới thiệu về IKE 40
2.1.1 Lịch sử 40
2.1.2 Giao thức trao đổi khóa-Internet Key Exchange (IKE) 40
2.1.3 Giao thức quản trị khóa và liên kết an toàn Internet – Internet Security
Association and Key Management Protocol(ISAKMP) 43
2.1.3.1 Trao đổi cơ sở(Base Exchanges) 44
2.1.3.2 Bảo vệ trao đổi tính danh(Identity Protection Exchange) 45
2.1.3.4 Trao đổi linh hoạt(Aggressive Exchange) 45
2.1.3.5 Trao đổi thông tin(Informational Exchange) 45
2.2 Các pha trao đổi của IKE(IKE Phases) 45
2.2.1 Giai đoạn I của IKE(Pha 1) 46

2.2.2 Giai đoạn II của IKE(Pha 2) 49
2.3 Các chế độ hoạt động trong IKE(IKE Modes) 50
2.3.1 Chế độ chính-Main mode 50
2.3.2 Chế độ linh hoạt-Aggressive Mode 52
2.3.3 Chế độ nhanh-Quick Mode 53
2.3.4 Chế độ nhóm-New Group Mode 54
2.4. Các phương pháp xác thực trong IKE 54
2.4.1 Xác thực với chữ ký 54
Lê Thị Thanh AT3C-HV
KTMM
2
Đồ án tốt nghiệp Giao thức trao đổi khóa Internet Key
Exchange(IKE)
2.4.2 Xác thực với mã hóa khóa công khai(Authenticated With Public Key
Encryption) 56
2.4.3 Xác thực với chế độ sửa đổi của mã hóa khóa công khai 57
(Authenticated With a Revised Mode of Public Key Encryption) 57
2.4.4 Xác thực với khóa trước khi chia sẻ- tiền chia sẻ(Pre-Shared Key)
(Authenticated With a Pre-Shared Key) 60
2.5 Oakley Groups 61
2.6.1 IKE có thể bảo vệ khỏi các tấn công 62
2.6.1.1 Tấn công người ở giữa(Man-In-The-Middle) 62
2.6.1.2 Từ chối dịch vụ 62
2.6.1.3 Replay / Reflection 62
2.6.1.4 Chặn cướp kết nối(Hijacking) 63
2.6.2 Chuyển tiếp an toàn-Perfect Forward Secrecy 63
2.7. IKE phiên bản 2-IKEv2 64
2.8. Triển khai 65
Chương 3. ỨNG DỤNG IKE TRONG BẢO MẬT THÔNG TIN MẠNG 67
3.1 Ứng dụng IKE 67

3.2.1 IPsec(IPsec cho IP-VPNs) 68
3.2.1.1 Khái niệm về Ipsec 68
3.2.1.2 Đóng gói thông tin của IPSec 71
3.2.1.3 Kết hợp an ninh SA và giao thức trao đổi khóa IKE 88
a. Kết hợp an ninh SA 88
b. Giao thức trao đổi khóa IKE 92
3.2.2 FreeS/WAN 100
KẾT LUẬN 105
TÀI LIỆU THAM KHẢO 107
Phụ lục 1: Diffie-Hellman 108
Phụ lục 2: Cấu hình giao thức IKE trong Windows 110
DANH MỤC TỪ VIẾT TẮT
Kí hiệu Thuật ngữ Ý nghĩa
API Application Programming Giao diện lập trình ứng dụng
Lê Thị Thanh AT3C-HV
KTMM
3
Đồ án tốt nghiệp Giao thức trao đổi khóa Internet Key
Exchange(IKE)
Interface
DOI Domain of Interpretation Miền của Giải thích
GPL GNU Public License Giấy phép Công cộng GNU
IKE Internet Key Exchange Giao thức trao đổi khóa
IP Internet Protocol Giao thức Internet
IPsec Internet Security Protocol Giao thức Internet Security
ISAKMP
Internet Security Association
and Key Management Protocol
Giao thức quản trị khóa và liên
kết an toàn Internet

MODP Modular exponentiation group Modular nhóm lũy thừa
PFS Perfect Forward Secrecy Chuyển tiếp an toàn
PKI Public Key Infrastructure Cơ sở hạ tầng khóa công khai
SA Security Association Liên kết an toàn
TLS Transport Layer Security
Giao thức bảo mật trên đường
truyền
UDP User Datagram Protocol
Giao thức truyền dữ liệu không
qua xác thực
IETF Internet Engineering Task Force
AH Authentication Header Giao thức xác thực tiêu đề
ESP Encapsulating Security Payload
Giao thức đóng gói tập tin an
toàn
KE Key exchange Tải trọng trao đổi khóa
CA Certification Authority Cơ quan cấp giấy chứng nhận
SHA Secure Hash Algorithm
Là một thuật toán băm được sử
dụng để xác thực dữ liệu gói.
Lê Thị Thanh AT3C-HV
KTMM
4
Đồ án tốt nghiệp Giao thức trao đổi khóa Internet Key
Exchange(IKE)
MD5 Message Digest 5
Là một thuật toán băm được sử
dụng để xác thực dữ liệu gói.
DES Data Encryption Standard
Là thuật toán mã hóa được

dùng để mã hóa dữ liệu gói.
VPN Virtual Private Network Mạng riêng ảo
DoS Denial Of Service (Tấn công)Từ chối dịch vụ
ACL Access Control List Danh sách điều khiển truy cập
TCP Transmission Control Protocol
Giao thức điều khiển truyền
vận
ICMP
Internet Control Message
Protocol
Giao thức điều khiển các thông
báo qua mạng
IRC Internet Relay Chat
IRC là một dạng liên lạc cấp
tốc qua mạng Internet.
SPI Serial Peripheral Interface Giao diện nối tiếp ngoại vi
SCTP
Stream Control Transmission
Protocol
Giao thức điều khiển truyền
luồng dữ liệu
DANH MỤC HÌNH VẼ VÀ BẢNG
Hình 1.1: Tấn công Smurf
Hình 1.2: SYN attack
Hình 1.3: DdoS attack
Hình 1.4: Sơ đồ chính phân loại các kiểu tấn công DdoS
Hình 1.5: Mô hình Agent-Handler
Hình 1.6: Mô hình IRC – Based
Hình 1.7: Sơ đồ mô tả sự phân loại các kiểu tấn công DdoS
Hình 1.8: Amplification Attack

Lê Thị Thanh AT3C-HV
KTMM
5
Đồ án tốt nghiệp Giao thức trao đổi khóa Internet Key
Exchange(IKE)
Hình 1.9: Quá trình bắt tay 3 bước
Hình 1.10: Gói tin SYN với địa chỉ giả mạo
Hình 2.1: Các pha trao đổi của IKE
Hình 2.2: Thông điệp 1
Hình 2.3: Thông điệp 2
Hình 2.4: Thông điệp 3
Hình 2.5: Thông điệp 1 của phase thứ II
Hình 2-6 : Main mode
Hình 2-7 : Aggressive Mode
Hình 2-8 : Quick Mode
Hình 2-9 : New Group Mode
Hình 2-10: Sự tích hợp của IKE để hệ điều hành
Bảng 3.1: Các RFC đưa ra có liên quan đến IPSec
Hình3-1 : Gói tin IP ở kiểu Transport
Hình3-2: Gói tin IP ở kiểu Tunnel
Hình3-3: Thiết bị mạng thực hiện IPSec kiểu Tunnel
Hình3-4: Cấu trúc tiêu đề AH cho IPSec Datagram
Hình 3.5: Khuôn dạng IPv4 trước và sau khi xử lý AH ở kiểu Transport
Hình 3.6: Khuôn dạng IPv6 trước và sau khi xử lý AH ở kiểu Traport
Hình 3.7: Khuôn dạng gói tin đã xử lý AH ở kiểu Tunnel
Hình 3.8: Xử lý đóng gói ESP
Hình 3.9: Khuôn dạng gói ESP
Hình 3.10: Khuôn dạng IPv4 trước và sau khi xử lý ESP ở kiểu Transport
Hình 3.11: Khuôn dạng IPv6 trước và sau khi xử lý ESP ở kiểu Transport
Hình 3.12: Khuôn dạng gói tin đã xử lý ESP ở kiểu Tunnel

Hình 3.13: Kết hợp SA kiểu Tunnel khi 2 điểm cuối trùng nhau
Hình 3.14: Kết hợp SA kiểu Tunnel khi một điểm cuối trùng nhau
Hình 3.15: Kết hợp SA kiểu Tunnel khi không có điểm cuối trùng nhau
Hình 3.16: Các chế độ chính, chế độ tấn công, chế độ nhanh của IKE
Hình 3.17: Danh sách bí mật ACL
Bảng 3.2: Kết quả khi kết hợp lệnh permit và deny
Lê Thị Thanh AT3C-HV
KTMM
6
Đồ án tốt nghiệp Giao thức trao đổi khóa Internet Key
Exchange(IKE)
Hình 3.18: IKE pha thứ nhất sử dụng chế độ chính (Main Mode)
Hình 3.19: Các tập chuyển đổi IPSec
Bảng pl-a: Các bước thực hiện để trao đổi khóa Diffie Hellman
KÍ HIỆU
HDR : HDR là một tiêu để ISAKMP tương ứng với chế độ được dùng
HDR*: Tất cả các tải trọng sau tiêu đề ISAKMP được mã hóa.
SA : SA là một thương lượng SA tải trọng với một hoặc nhiều đề nghị.
Người khởi xướng cung cấp nhiều đề xuất đàm phán, người trả lời phải trả
lời chỉ có một.
Nonce : tải trong nonce
KE : KE là trọng tải trao đổi khóa. trong đó có các thông tin trao đổi
công khai trong một trao đổi Diffie-Hellman. Không có mã hóa cụ được sử
dụng cho dữ liệu của một tải trọng KE.
IDii : Định nghĩa tải trọng, khởi tạo giai đoạn I
IDci : Định nghĩa tải trọng, khởi tạo giai đoạn II
IDir : Định nghĩa tải trọng, đáp trả giai đoạn I
IDcr : Định nghĩa tải trọng, đáp trả giai đoạn II
Auth : Một cơ chế xác thực chung chung, chẳng hạn như băm hoặc tải
trọng chữ ký.

SIG : là tải trọng chữ ký. Các dữ liệu đăng nhập được trao đổi cụ thể.
Cert: là giấy chứng nhận
CERTREQ : Certificate Request
HASH : tải trọng hàm băm
PRF (key, msg) là chứcnăng khóa giả ngẫunhiên - thường là
mộthàm băm có khóa - được sử dụng để tạo ra một sản lượng tính quyết
định xuất hiện giả ngẫu nhiên.
SKEYID là một chuỗi dẫn xuất từ vật liệu bí mật
SKEYID_e là vật liệu được sử dụng bởi keying ISAKMP SA để bảo
vệ các bí mật của các thông điệp của nó.
Lê Thị Thanh AT3C-HV
KTMM
7
Đồ án tốt nghiệp Giao thức trao đổi khóa Internet Key
Exchange(IKE)
SKEYID_a là vật liệu được sử dụng bởi keying ISAKMP SA để xác
thực thông điệp của nó.
SKEYID_d là vật liệu keying sử dụng để lấy chìa khóa cho các security
associations phi ISAKMP.
<x> y chỉ ra rằng "x" được mã hóa với khóa "y".
-> nghĩa là "khởi xướng để đáp trả" truyền thông (yêu cầu).
<- nghĩa là "đáp trả cho người khởi" truyền thông (trả lời).
| nghĩa nối thông tin
[x] chỉ ra rằng x là tuỳ chọn.
LỜI NÓI ĐẦU
Ngày nay, Internet đã phát triển mạnh về mặt mô hình cho đến công
nghệ, đáp ứng các nhu cầu của người sử dụng. Internet đã được thiết kế để kết
nối nhiều mạng khác nhau và cho phép thông tin chuyển đến người sử dụng
Lê Thị Thanh AT3C-HV
KTMM

8
Đồ án tốt nghiệp Giao thức trao đổi khóa Internet Key
Exchange(IKE)
một cách thuận tiện. Điều mà kỹ thuật còn tiếp tục phải giải quyết là năng lực
truyền thông của các mạng viễn thông công cộng. Với Internet, những dịch vụ
như giáo dục từ xa, mua hàng trực tuyến, tư vấn y tế, và rất nhiều điều khác
đã trở thành hiện thực.
Tuy nhiên, do Internet có phạm vi toàn cầu và không một tổ chức,
chính phủ cụ thể nào quản lý nên rất khó khăn trong việc bảo mật và an toàn
dữ liệu cũng như trong việc quản lý các dịch vụ. Do đó có rất nhiều vấn đề
phát sinh khi truyền dữ liệu hay trao đổi trên Internet. Các nguy cơ trên mạng
như thông tin có thể bị trộm cắp, có thể sai lệch, có thể bị giả mạo…Điều này
làm ảnh hưởng đến các công ty, các tổ chức nhất là khi các thông tin đó là các
thông tin quan trọng, là bí quyết kinh doanh hoặc có thể là bí mật mang tầm
cỡ quốc gia. Chính vì vậy đảm bảo an toàn thông tin là là một nhu cầu được
đặt lên hàng đầu. Nhu cầu này không chỉ có ở các bộ máy an ninh, quốc
phòng, quản lý nhà nước mà đã trở thành cấp thiết trong các hoạt động kinh tế
xã hội: tài chính, ngân hàng, thương mại…thậm chí trong cả các hoạt động
thường ngày như thư điện tử, thanh toán thẻ tín dụng…Do đó mà những năm
gần đây công nghệ mật mã và an toàn thông tin có những bước tiến vượt bậc
và đang được quan tâm nghiên cứu.
Trong mã hóa hiện đại người ta luôn giả thiết rằng phương pháp mã
hóa thông tin là không thể giữ bí mật, chúng sẽ được công khai, còn việc thực
hiện thì cho phép thay đổi theo một tham số do từng người sử dụng tự ấn
định(mỗi giá trị của tham số sẽ xác định một cách mã hóa riêng), việc lập mã
và giải mã chỉ được thực hiện khi biết tham số đó. Tham số như vậy được gọi
là “khóa”-key và đó là thông tin duy nhất cần giữ bí mật. Chốt tính bảo mật là
khóa mật mã(tham số khóa) chứ không phải thuật toán. Vì vậy nên an toàn
trong trao đổi khóa là vô cùng quan trọng. Một giao thức hiện nay đang được
sử dụng trong nhiều ứng dụng bảo mật đó là giao thức trao đổi khóa

IKE(Internet Key Exchange). Internet Key Exchange giúp các bên giao tiếp
các tham số bảo mật và xác nhận khóa.
Lê Thị Thanh AT3C-HV
KTMM
9
Đồ án tốt nghiệp Giao thức trao đổi khóa Internet Key
Exchange(IKE)
IKE được sử dụng trong nhiều ứng dụng bảo mật hiện nay nhất là trong
công nghệ VPN. Vì vậy em đã chọn đề tài “Nghiên cứu cơ chế hoạt động
của giao thức trao đổi khóa IKE(Internet Key Exchange) và ứng dụng
trong bảo mật thông tin mạng” làm đồ án tốt nghiệp. Đồ án bao gồm 3
chương :
Chương 1 : Tổng quan về an toàn, bảo mật thông tin trên mạng máy tính.
Chương này nêu lên một số vấn đề về mất an toàn thông tin, các nguy cơ ảnh
hưởng, các hình thức tấn công trên mạng và nêu rõ một số tấn công điển hình
mà máy tính tham gia internet hay bị tấn công.
Chương 2: Giao thức trao đổi khóa IKE. Chương 2 giới thiệu về IKE, lịch sử,
cơ chế hoạt động, các hàm, các phương pháp xác thức trong giao thức một
cách cụ thể.
Chương 3 : Ứng dụng IKE trong bảo mật thông tin trên mạng. Chương 3 nêu
lên ứng dụng của IKE và tìm hiểu một số sản phẩm an toàn bảo mật có sử
dụng IKE, trong đó tập trung vào giao thức IPsec ứng dụng trong VPNs.
Em xin được gửi lời cảm ơn đến các thầy cô giáo trong trường, đặc biệt
là giáo viên hướng dẫn trực tiếp thầy giáo ThS. Nguyễn Thanh Sơn-công tác
tại khoa Mật Mã, Học Viện Kỹ Thuật Mật Mã đã tận tình hướng dẫn và giúp
đỡ em trong suốt quá trình làm đồ án.
Do thời gian có hạn và trình độ hạn chế nên đồ án của em không tránh
khỏi thiếu sót. Em rất mong nhận được sự góp ý của các thầy cô và các bạn để
hoàn hiện hơn.
Em xin chân thành cảm ơn !

Hà Nội, tháng 5 năm 2011
Sinh viên : Lê Thị Thanh
Lê Thị Thanh AT3C-HV
KTMM
10
Đồ án tốt nghiệp Giao thức trao đổi khóa Internet Key
Exchange(IKE)
Chương 1. TỔNG QUAN VỀ AN TOÀN BẢO MẬT THÔNG
TIN TRÊN MẠNG
1.1. Mở đầu
Mục tiêu của việc chúng ta nối mạng là để nhiều người có thể dùng
chung tài nguyên từ những vị trí địa lý khác nhau, chính vì thế mà các tài
nguyên sẽ rất phân tán, dẫn đến một điều tất yếu là dễ bị xâm phạm gây mất
mát dữ liệu, thông tin. Càng giao thiệp rộng thì càng dễ bị tấn công, đó là quy
luật. Mọi nguy cơ trên mạng đều có thể nguy hiểm: Một lỗi nhỏ của các hệ
thống sẽ được lợi dụng với tần xuất cao, lỗi lớn thì thiệt hại lớn ngay lập tức,
tóm lại trên một quy mô rộng lớn như Internet thì mọi khe hở hay lỗi hệ thống
đều có nguy cơ gây ra thiệt hại như nhau.
Như vậy số vụ tấn công ngày càng tăng, mặt khác các kỹ thuật ngày
càng mới. Điều này cũng dễ hiểu, một vấn đề luôn luôn có hai mặt đối lập.
Công nghệ Thông tin, mạng Internet phát triển như vũ bão thì tất yếu cũng
kéo theo nạn trộm cắp, tấn công, phá hoại thông tin trên mạng. Internet ngày
nay không còn nghi ngờ gì nữa, đã trở thành mạng dữ liệu công cộng làm cho
việc liên lạc cá nhân, công việc trở nên thuận tiện hơn nhiều. Khối lượng trao
đổi qua Internet được tăng theo số mũ mỗi ngày. Ngày càng nhiều các công
ty, các chi nhánh ngân hàng thông qua mạng Internet để liên lạc với nhau.
Rõ ràng rằng mạng Internet đã làm thay đổi cuộc sống của con người,
làm thay đổi công việc kinh doanh làm cho nó trở nên dễ dàng hơn. Nhưng
đồng thời với lợi ích to lớn của nó, mạng Internet cùng với các công nghệ liên
quan đã mở ra một cánh cửa làm tăng số lượng các vụ tấn công vào những

công ty , cơ quan và cả những cá nhân, nơi lưu giữ những dữ liệu nhạy cảm
như bí mật Quốc gia, số liệu tài chính, số liệu cá nhân Hậu quả của các cuộc
tấn công này có thể chỉ là phiền phức nhỏ, nhưng cũng có thể làm suy yếu
hoàn toàn, các dữ liệu quan trọng bị xóa, sự riêng tư bị xâm phạm, và chỉ sau
vài ngày, thậm chí vài giờ sau, toàn bộ hệ thống có thể bị tê liệt hoàn toàn.
Lê Thị Thanh AT3C-HV
KTMM
11
Đồ án tốt nghiệp Giao thức trao đổi khóa Internet Key
Exchange(IKE)
Quả thực có thể nói rằng, không đâu lại mất an toàn như trên Internet,
bạn có thể hình dung như thế này, Internet giúp cho bạn "nói một câu" ở nơi
này thì ngay lập tức ở một nới khác cách đó hàng chục ngàn cây số có thể
"nghe" được (nghe và nói ở đây chính là việc trao đổi thông tin giữa các máy
tính nối mạng). Hay nói cách khác là, có thể ví những người đang nối mạng
Internet giống như những người đang cùng ngồi với nhau trong một phòng
họp, chỉ có khác một điều là họ không nhìn thấy nhau bằng xương, bằng thịt
mà thôi. Điều này có nghĩa là mỗi hành động của bạn sẽ có thể "đập vào mắt"
của hàng triệu người khác, điều này là sự thực xét trên khía cạnh kỹ thuật
chuyên môn, nhưng bạn, tôi, chúng ta không hề nhìn thấy gì cả bằng mắt
thường, những điều đó chỉ diễn ra trong một thế giới ảo của 0 và 1, chỉ bằng
những công cụ kỹ thuật chúng ta mới có thể nhìn thấy được
Có lẽ nếu có cặp kính "số" thì tôi chắc rằng đa số chúng ta sẽ giật mình
khi nhìn thấy một sự thật, Internet quả thực quá mất an toàn! Bạn sẽ thấy vô
số những người "đi ra khỏi nhà mà không khoá cửa, sổ tiết kiệm để trên bậu
cửa sổ và chưa biết chừng sẽ gặp khối người đại loại như đi chân đất tới dự
những bữa tiệc quan trọng " những người đó có cả tôi, cả bạn, chúng ta có
nhìn thấy gì đâu? và tưởng rằng người khác cũng không thấy gì cả. Tuy vậy,
không thể vì những mặt trái kể trên mà chúng ta quay lưng lại với Internet,
những lợi ích mà nó đem lại còn to lớn hơn nhiều, ngày nay không có Internet

con người sẽ khó mà phát triển hơn được.
1.2 Chúng ta cần bảo vệ những gì ?
a. Dữ liệu
Đối với dữ liệu chúng ta phải lưu ý những yếu tố sau:
Tính bảo mật: Chỉ người có quyền mới được truy nhập.
Tính toàn vẹn: Không bị sửa đổi, bị hỏng.
Tính sẵn sàng: Sẵn sàng bất cứ lúc nào.
b. Tài nguyên:
Tài nguyên máy có thể bị lợi dụng bởi Tin tặc. Nếu máy tính của bạn
không có dữ liệu quan trọng thì bạn cũng đừng nghĩ rằng nó không cần được
Lê Thị Thanh AT3C-HV
KTMM
12
Đồ án tốt nghiệp Giao thức trao đổi khóa Internet Key
Exchange(IKE)
bảo vệ, Tin tặc có thể đột nhập và sử dụng nó làm bàn đạp cho các cuộc tấn
công khác, lúc đó thì bạn sẽ lãnh trách nhiệm là thủ phạm!
c. Danh tiếng:
Như trên đã nói Tin tặc có thể dùng dùng máy của người sử dụng để
tấn công nơi khác, gây tổn thất về uy tín của người sử dụng đó.
1.3. Nguy cơ ảnh hưởng đến an toàn mạng
1.3.1. Các hình thức tấn công trên mạng
a. Ngăn chặn thông tin
Tài nguyên thông tin bị phá hủy, không sãn sàng phục vụ hoặc không sử dụng
được. Đây là hình thức tấn công làm mất khả năng sẵn sàng phục vụ.
VD: Hủy đĩa cứng, cắt đứt đường truyền tin, vô hiệu hóa hệ thống quản lý
tệp.
b. Chặn bắt thông tin
Kẻ tấn công có thể truy nhập vào (hệ thống) tài nguyên thông tin. Đây là hình
thức tấn công vào tính bí mật.

Một trong số các trường hợp là kẻ tấn công là một chương trình hoặc một
máy tính. Việc chặn bắt thông tin có thể là nghe trộm để thu tin trên mạng và
sao chép bất hợp pháp các tệp hoặc các chương trình.
c. Sửa đổi thông tin
Kẻ tấn công truy nhập, chỉnh sửa thông tin trên mạng, là hình thức tấn công
lên tính toàn vẹn của thông tin. Nó có thể thay đổi giá trị trong tập dữ liệu,
sửa đổi một số chương trình để nó vận hành khác đi và sửa đổi nộ dung các
thông báo truyền trên mạng.
d. Chèn thông tin giả
Kẻ tấn công chèn các thông tin và dữ liệu giả và hệ thống, là kiểu tấn công
vào tính xác thực của thông tin. Có thể là chèn các thông báo giả mạo vào
mạng hoặc thêm các bảng ghi vào tệp.
Chia làm hai lớp cơ bản là: chủ động và bị động
 Bị động - Chặn bắt thông tin như nghe trộm và quan sát truyền tin
Mục đích: Biết được thông tin truyền trên mạng
Lê Thị Thanh AT3C-HV
KTMM
13
Đồ án tốt nghiệp Giao thức trao đổi khóa Internet Key
Exchange(IKE)
Chia làm 2 loại: khám phá nội dung thông báo và phân tích luồng thông
tin.
 Chủ động-Là các tấn công sửa đổi luồng dữ liệu tạo ra luồng số liệu
giả.
Có thể chia làm 4 loại: Đóng giả
Dùng lại(Replay)
Sửa đổi thông báo
Từ chối dịch vụ
1.3.2. Các kỹ thuật tấn công trên mạng
Có những kiểu tấn công nào ?

Có rất nhiều cách tấn công đã biết cũng như chưa biết, tuy nhiên hiện nay có
thể chia làm 4 loại chính:
a. Tấn công trực tiếp
• Phần lớn sự tấn công là trực tiếp, tức là dùng một máy tính tấn công
trực tiếp máy tính khác
• Dò tìm User name và Password, bằng cách thử với một số từ thông
dụng như "xin chao", ""hello", dùng tên người thân, ngày sinh, số điện thoại
Vì vậy bạn nên tránh việc đặt mật khẩu quá đơn giản hoặc thuộc những kiểu
kể trên.
• Dùng chương trình để giải mã các file chứa mật khẩu trên máy để tìm
ra mật khẩu, thường những mật khẩu đặt quá ngắn sẽ bị phát hiện bằng cách
này. Bạn nên đặt mật khẩu của mình tối thiểu là 6 ký tự, càng dài càng tốt
• Dùng lỗi của chương trình ứng dụng hay hệ điều hành để làm cho các
ứng dụng hay hệ điều hành đó bị tê liệt. Điều này cũng giống như gót chân a-
sin của con người vậy, rõ ràng đó có thể coi là điểm yếu của cơ thể con người,
nếu bị lợi dụng nó sẽ gây ra những tác hại khôn lường. Phần mềm cũng thế,
cũng có những điểm yếu có thể là vô tình hay hữu ý, nơi Tin tặc có thể lợi
dụng để tấn công
b. Nghe trộm
Không dùng máy trực tiếp mà thông qua các dịch vụ mạng, bằng cách
Lê Thị Thanh AT3C-HV
KTMM
14
Đồ án tốt nghiệp Giao thức trao đổi khóa Internet Key
Exchange(IKE)
này Tin tặc có thể nghe được những thông tin được truyền qua lại trên mạng,
như phần giới thiệu đã đề cập, nếu có cặp kính "số" thì bạn sẽ thấy việc nghe
trộm như thế quả là rất dễ dàng. Hãy hạn chế "nói" những gì quan trọng đối
với bạn trên mạng.
Nghe trộm password. Cũng với cách như trên, Tin tặc có thể lấy được

mật khẩu của người sử dụng, sau đó chúng truy nhập một cách chính quy vào
hệ thống, nó cũng giống như là lấy được chìa khoá, sau đó đàng hoàng mở
cửa và khuân đồ ra.
c. Giả mạo địa chỉ
Thường thì các mạng máy tính nối với Internet đều được bảo vệ bởi
Bức tường lửa, Bức tường lửa có thể coi như cái cửa duy nhất mà người đi
vào nhà hay đi ra khỏi cũng đều bắt buộc phải qua đó (như cửa khẩu ở sân
bay). Như vậy những người trong nhà (trong mạng) sẽ có sự tin tưởng lẫn
nhau, tức là được phép dùng tất cả mọi thứ trong nhà (dùng mọi dịch vụ trong
mạng). Còn những người bên ngoài sẽ bị hạn chế tối đa việc sử dụng đồ đạc
trong nhà đó. Việc này làm được nhờ Bức tường lửa.
Giả mạo địa chỉ là người bên ngoài (máy tính của tin tặc) sẽ giả mạo
mình là một người ở trong nhà (tự đặt địa chỉ IP của mình trùng với một địa
chỉ nào đó ở mạng bên trong). Nếu làm được điều đó thì nó sẽ được đối xử
như một người (máy) bên trong, tức là được làm mọi thứ, để từ đó tấn cống,
lấy trộm, phá huỷ thông tin
Kiểu mò mẫm (blind spoofing)
Để tìm hiểu cách thức truyền tải dữ liệu trong mạng, hacker sẽ gửi
nhiều gói dữ liệu đến một máy nào đó để nhận lại những thông điệp xác nhận.
Bằng cách phân tích những thông điệp này, chúng có thể biết được quy tắc
gán chỉ số thứ tự cho từng gói dữ liệu của hệ thống mạng. Kiểu tấn công này
hiện nay ít được áp dụng vì các hệ điều hành mới ứng dụng phương pháp gán
chỉ số thứ tự một cách ngẫu nhiên, khiến chúng khó có thể lần ra.
Kiểu ẩn mình (nonblind spoofing)
Lê Thị Thanh AT3C-HV
KTMM
15
Đồ án tốt nghiệp Giao thức trao đổi khóa Internet Key
Exchange(IKE)
Trong kiểu tấn công này, hacker tìm cách ẩn mình trong cùng mạng

phụ với máy tính sẽ bị tấn công. Từ đó, chúng có thể nắm được toàn bộ chu
trình gửi tin và trả lời tín hiệu giữa máy bị tấn công với các máy tính khác
trong mạng. Bằng cách đó, hacker biết đượccác chỉ số thứ tự của gói dữ liệu
và có thể chiếm quyền điều khiển các phiene trao đổi thông tin, vượt qua chu
trình xác nhận đã được lập trước đó.
Chèn giữa các máy tính (Man in the Middle)
Trong kiểu tấn công này, khi 2 máy tính đang truyền tin với nhau một
cách bình thường, hacker sẽ chặn các gói dữ liệu gửi đi từ 2 máy đó, thay thế
bằng những gói dữ liệu khác và gửi chúng đi. Khi đó, 2 máy tính bị giả mạo
đều không hay biết gì về việc dữ liệu của chúng bị thay đổi. Kiểu tấn công
này thường được dùng để lấy những thông tin bảo mật của máy tính.
Tuy nhiên, đánh lừa IP cũng có một số ứng dụng hợp pháp. Ví dụ:
trong việc truy cập Internet vệ tinh, nhà cung cấp dịch vụ có thể can thiệp vào
những giao thức để các gói dữ liệu có thể đến được nơi nhận nhanh chóng
hơn. Việc này cũng có thể áp dụng trong mạng riêng ảo VPN để tránh sự
chậm trễ trong việc xác nhận các kết nối.
Cách phòng chống:
Sử dụng bộ giao thức IPSec để mã hóa và xác nhận các gói dữ liệu trao
đổi ở lớp mạng.
Dùng danh sách kiểm soát việc truy cập để ngăn chặn những gói tin dữ
liệu tải về có địa chỉ IP cá nhân.
Cài đặt bộ lọc dữ liệu đi vào và đi ra khỏi hệ thống mạng.
Cấu hình các bộ chuyển mạch và bộ định tuyến để loại trừ những gói
dữ liệu từ bên ngoài vào hệ thống mạng nhưng lại khai báo là có nguồn gốc từ
một máy tính nằm trong hệ thống.
Kích hoạt các quy trình mã hóa trong bộ định tuyến để những máy tính
đã được xác nhận nhưng nằm ngoài hệ thống mạng có thể liên lạc một cách
an toàn với các máy tính trong hệ thống.
d. Vô hiệu hoá các dịch vụ - từ chối dịch vụ
Lê Thị Thanh AT3C-HV

KTMM
16
Đồ án tốt nghiệp Giao thức trao đổi khóa Internet Key
Exchange(IKE)
Làm tê liệt một số dịch vụ nào đó. Thường cách tấn công này được gọi
là DoS (Denial of Service) hay "từ chối dịch vụ". Cách tấn công này lợi dụng
một số lỗi của phần mềm, Tin tặc ra lệnh cho máy tính của chúng đưa những
yêu cầu "dị dạng" tới những máy server trên mạng. Với yêu cầu "dị dạng"
như vậy các server tiếp nhận yêu cầu sẽ bị tê liệt. Có thể ví như việc bọn Mẹ
mìn lừa trẻ con bằng những lời ngon ngọt, còn nạn nhân thì chưa đủ lớn để
hiểu những thủ đoạn đó và tự nguyện đi theo chúng. Nếu các cháu nhỏ đã
được người lớn chỉ cho biết những thủ đoạn đó thì chắc chúng sẽ được bảo
vệ, điều này cũng như việc dùng Bức tường lửa để bảo vệ mạng máy tính.
Tấn công từ chối dịch vụ cũng có thể hoàn toàn là những yêu cầu hợp
lện. Ví dụ như virus máy tính được cài đặt chức năng tấn công như đã nói tới
trong phần về virus, tại một thời điểm từ hàng triệu máy tính trên mạng, tất cả
đồng thời yêu cầu một server phục vụ, ví dụ cùng vào trang web của Nhà
Trắng. Những yêu cầu này là hoàn toàn hợp lệ, nhưng tại cùng một thời điểm
có quá nhiều yêu cầu như vậy, thì server không thể phục vụ được nữa và dẫn
đến không thể tiếp nhận các yêu cầu tiếp theo -> từ chối dịch vụ.
e. Yếu tố con người
Kẻ tấn công giả vờ liên lạc với người quản trị mạng yêu cầu đổi mật
khẩu của User nào đó, nếu người quản trị mạng làm theo thì vô tình đã tiếp
tay cho tin tặc (vì không nhìn thấy mặt, nên anh ta cứ tưởng đấy chính là
người sử dụng hợp pháp). Vì vậy nếu bạn là quản trị mạng phải tuyệt đối cẩn
thận, không nhận các yêu cầu qua điện thoại.
Tương tự kẻ tấn công có thể yêu cầu quản trị mạng thay đổi cấu hình
hệ thống để tiếp đó chúng có thể tiến hành được các cuộc tấn công.
Máy móc không thể chống được kiểu tấn công này, chỉ có sự cảnh giác
và biện pháp giáo dục mới có thể giải quyết được.

Như vậy yếu tố con người luôn là điểm yếu nhất trong các hệ thống
bảo mật.
Những kẻ tấn công là ai ? Hacker hay Tin tặc
Lê Thị Thanh AT3C-HV
KTMM
17
Đồ án tốt nghiệp Giao thức trao đổi khóa Internet Key
Exchange(IKE)
Có rất nhiều kẻ tấn công trên mạng Internet, khó mà phân loại đầy đủ
được, tuy nhiên có thể chia ra như sau:
 Người qua đường
• Những kẻ buồn chán với công việc hàng ngày, muốn giải trí bằng cách
đột nhập vào các hệ thống mạng.
• Chúng thích thú khi đột nhập được vào máy tính của người khác mà
không được phép.
• Bọn này không chủ định phá hoại, nhưng những hành vi xâm nhập và
việc chúng xoá dấu vết khi rút lui có thể vô tình làm cho hệ thống bị trục
trặc.
 Kẻ phá hoại
• Chúng chủ định phá hoại hệ thống, vui thú khi phá hoại người khác.
• Gây ra những tác hại lớn, rất may trên thế giới không nhiều kẻ như thế.
 Kẻ ghi điểm
• Những kẻ muốn khẳng định mình qua những kiểu tấn công mới, số lượng
hệ thống chúng đã thâm nhập
• Chúng thích đột nhập những nơi nổi tiếng, canh phòng cẩn mật.
 Gián điệp
Truy nhập để ăn cắp tài liệu để phục vụ những mục đích khác nhau, để
mua bán, trao đổi
 Tin tặc (Hacker) là gì? chúng thường chính là những nhóm người kể
trên, ngoài ra còn bao gồm những kẻ tạo ra virus, bẻ khoá phần mềm.

Tin tặc thường là những người tương đối am hiểu hệ thống, tuy nhiên
cũng có những Tin tặc không hiểu biết nhiều về hệ thống, chúng chỉ
đơn thuần là dùng những công cụ có sẵn để đột nhập hệ thống, bẻ khoá
phần mềm, tạo ra virus Tựu chung lại chúng là một số nhười có kiến
thức nhưng lại đem kiến thức đó phục vụ cho những mục đích xấu và
chúng cần phải bị lên án. Ngoài ra để hạn chế sự phát triển của Tin tặc,
nhất thiết phải dùng tới pháp luật nghiêm minh và biện pháp giáo dục
những người trẻ tuổi trong ngành CNTT ngay khi còn trên ghế nhà
trường.
Lê Thị Thanh AT3C-HV
KTMM
18
Đồ án tốt nghiệp Giao thức trao đổi khóa Internet Key
Exchange(IKE)
1.4. Một số kiểu tấn công điển hình
DoS và DDoS là một trong những dạng tấn công nguy hiểm nhất đối
với một hệ thống mạng.Vì vậy trong bài em chỉ nêu về các dạng tấn công dos
và ddos.
1.4.1 Định nghĩa về tấn công từ chối dich vụ-Denial Of Service (DoS)
Tấn công từ chối dịch vụ (DoS) là một kiểu tấn công mà một người làm
cho một hệ thống không thể sử dụng, hoặc làm cho hệ thống đó chậm đi một
cách đáng kể với người dùng bình thường, bằng cách làm quá tải tài nguyên
của hệ thống.
Nếu kẻ tấn công không có khả năng thâm nhập được vào hệ thống, thì
chúng cố gắng tìm cách làm cho hệ thống đó sụp đổ và không có khả năng
phục vụ người dùng bình thường đó là tấn công Denial of Service (DoS).
Mặc dù tấn công DoS không có khả năng truy cập vào dữ liệu thực của
hệ thống nhưng nó có thể làm gián đoạn các dịch vụ mà hệ thống đó cung
cấp. Như định nghĩa trên DoS khi tấn công vào một hệ thống sẽ khai thác
những cái yếu nhất của hệ thống để tấn công, những mục đích của tấn công

DoS:
a. Các mục đích của tấn công DoS
- Cố gắng chiếm băng thông mạng và làm hệ thống mạng bị ngập (flood), khi
đó hệ thống mạng sẽ không có khả năng đáp ứng những dịch vụ khác cho
người dùng bình thường.
- Cố gắng làm ngắt kết nối giữa hai máy, và ngăn chặn quá trình truy cập vào
dịch vụ.
- Cố gắng ngăn chặn những người dùng cụ thể vào một dịch vụ nào đó
- Cố gắng ngăn chặn các dịch vụ không cho người khác có khả năng truy cập
vào.
- Khi tấn công DoS xảy ra người dùng có cảm giác khi truy cập vào dịch vụ
đó như bị:
+ Disable Network - Tắt mạng
+ Disable Organization - Tổ chức không hoạt động
Lê Thị Thanh AT3C-HV
KTMM
19
Đồ án tốt nghiệp Giao thức trao đổi khóa Internet Key
Exchange(IKE)
+ Financial Loss – Tài chính bị mất
b. Mục tiêu mà kẻ tấn công thường sử dụng tấn công DoS
Như chúng ta biết ở bên trên tấn công DoS xảy ra khi kẻ tấn công sử dụng hết
tài nguyên của hệ thống và hệ thống không thể đáp ứng cho người dùng bình
thường được vậy các tài nguyên chúng thường sử dụng để tấn công là gì:
- Tạo ra sự khan hiếm, những giới hạn và không đổi mới tài nguyên
- Băng thông của hệ thống mạng (Network Bandwidth), bộ nhớ, ổ đĩa, và
CPU Time hay cấu trúc dữ liệu đều là mục tiêu của tấn công DoS.
- Tấn công vào hệ thống khác phục vụ cho mạng máy tính như: hệ thống điều
hoà, hệ thống điện, hệt hống làm mát và nhiều tài nguyên khác của doanh
nghiệp. Bạn thử tưởng tượng khi nguồn điện vào máy chủ web bị ngắt thì

người dùng có thể truy cập vào máy chủ đó không.
- Phá hoại hoặc thay đổi các thông tin cấu hình.
- Phá hoại tầng vật lý hoặc các thiết bị mạng như nguồn điện, điều hoà…
1.4.2 Các dạng tấn công DoS
- Smurf
- Buffer Overflow Attack
- Ping of Death
- Teardrop
- SYN Attack
a. Tấn công Smurf
- Là thủ phạm sinh ra cực nhiều giao tiếp ICMP (ping) tới địa chỉ Broadcast
của nhiều mạng với địa chỉ nguồn là mục tiêu cần tấn công.
Chúng ta cần lưu ý là : Khi ping tới một địa chỉ là quá trình hai chiều – Khi
máy A ping tới máy B máy B reply lại hoàn tất quá trình. Khi tôi ping tới địa
chỉ Broadcast của mạng nào đó thì toàn bộ các máy tính trong mạng đó sẽ
Reply lại tôi. Nhưng giờ tôi thay đổi địa chỉ nguồn, thay địa chỉ nguồn là máy
C và tôi ping tới địa chỉ Broadcast của một mạng nào đó, thì toàn bộ các máy
tính trong mạng đó sẽ reply lại vào máy C chứ không phải tôi và đó là tấn
công Smurf.
Lê Thị Thanh AT3C-HV
KTMM
20
Đồ án tốt nghiệp Giao thức trao đổi khóa Internet Key
Exchange(IKE)
- Kết quả đích tấn công sẽ phải chịu nhận một đợt Reply gói ICMP cực lớn và
làm cho mạng bị dớt hoặc bị chậm lại không có khả năng đáp ứng các dịch vụ
khác.
- Quá trình này được khuyếch đại khi có luồng ping reply từ một mạng được
kết nối với nhau (mạng BOT).
- tấn công Fraggle, chúng sử dụng UDP echo và tương tự như tấn công

Smurf.
Hình 1.1: Tấn công Smurf
Hình hiển thị tấn công DoS - dạng tấn công Smurf sử dụng gói ICMP làm
ngập các giao tiếp khác.
b. Tấn công lỗi tràn bộ đệm-Buffer overflow.
- Buffer Overflow xảy ra tại bất kỳ thời điểm nào có chương trình ghi lượng
thông tin lớn hơn dung lượng của bộ nhớ đệm trong bộ nhớ.
- Kẻ tấn công có thể ghi đè lên dữ liệu và điều khiển chạy các chương trình và
đánh cắp quyền điều khiển của một số chương trình nhằm thực thi các đoạn
mã nguy hiểm
- Quá trình gửi một bức thư điện tử mà file đính kèm dài quá 256 ký tự có thể
sẽ xảy ra quá trình tràn bộ nhớ đệm.
Lê Thị Thanh AT3C-HV
KTMM
21
Đồ án tốt nghiệp Giao thức trao đổi khóa Internet Key
Exchange(IKE)
c. Tấn công Ping of Death
- Kẻ tấn công gửi những gói tin IP lớn hơn số lương bytes cho phép của tin
IP là 65.536 bytes.
- Quá trình chia nhỏ gói tin IP thành những phần nhỏ được thực hiện ở layer
II.
- Quá trình chia nhỏ có thể thực hiện với gói IP lớn hơn 65.536 bytes. Nhưng
hệ điều hành không thể nhận biết được độ lớn của gói tin này và sẽ bị khởi
động lại, hay đơn giản là sẽ bị gián đoạn giao tiếp.
- Để nhận biết kẻ tấn công gửi gói tin lớn hơn gói tin cho phép thì tương đối
dễ dàng.
d. Tấn công Teardrop
- Gói tin IP rất lớn khi đến Router sẽ bị chia nhỏ làm nhiều phần nhỏ.
- Kẻ tấn công sử dụng sử dụng gói IP với các thông số rất khó hiểu để chia ra

các phần nhỏ (fragment).
- Nếu hệ điều hành nhận được các gói tin đã được chia nhỏ và không hiểu
được, hệ thống cố gắng build lại gói tin và điều đó chiếm một phần tài
nguyên hệ thống, nếu quá trình đó liên tục xảy ra hệ thống không còn tài
nguyên cho các ứng dụng khác, phục vụ các user khác.
e. Tấn công SYN
Lê Thị Thanh AT3C-HV
KTMM
22
Đồ án tốt nghiệp Giao thức trao đổi khóa Internet Key
Exchange(IKE)
Hình 1.2: SYN attack
- Kẻ tấn công gửi các yêu cầu (request ảo) TCP SYN tới máy chủ bị tấn công.
Để xử lý lượng gói tin SYN này hệ thống cần tốn một lượng bộ nhớ cho kết
nối.
- Khi có rất nhiều gói SYN ảo tới máy chủ và chiếm hết các yêu cầu xử lý của
máy chủ. Một người dùng bình thường kết nối tới máy chủ ban đầu thực hiện
Request TCP SYN và lúc này máy chủ không còn khả năng đáp lại - kết nối
không được thực hiện.
- Đây là kiểu tấn công mà kẻ tấn công lợi dụng quá trình giao tiếp của TCP
theo – Three-way.
- Các đoạn mã nguy hiểm có khả năng sinh ra một số lượng cực lớn các gói
TCP SYN tới máy chủ bị tấn công, địa chỉ IP nguồn của gói tin đã bị thay đổi
và đó chính là tấn công DoS.
- Hình bên trên thể hiện các giao tiếp bình thường với máy chủ và bên dưới
thế hiện khi máy chủ bị tấn công gói SYN đến sẽ rất nhiều trong khi đó khả
Lê Thị Thanh AT3C-HV
KTMM
23
Đồ án tốt nghiệp Giao thức trao đổi khóa Internet Key

Exchange(IKE)
năng trả lời của máy chủ lại có hạn và khi đó máy chủ sẽ từ chối các truy cập
hợp pháp.
- Quá trình TCP Three-way handshake được thực hiện: Khi máy A muốn giao
tiếp với máy B. (1) máy A bắn ra một gói TCP SYN tới máy B – (2) máy B
khi nhận được gói SYN từ A sẽ gửi lại máy A gói ACK đồng ý kết nối – (3)
máy A gửi lại máy B gói ACK và bắt đầu các giao tiếp dữ liệu.
- Máy A và máy B sẽ dữ kết nối ít nhất là 75 giây, sau đó lại thực hiện một
quá trình TCP Three-way handshake lần nữa để thực hiện phiên kết nối tiếp
theo để trao đổi dữ liệu.
- Thật không may kẻ tấn công đã lợi dụng kẽ hở này để thực hiện hành vi tấn
công nhằm sử dụng hết tài nguyên của hệ thống bằng cách giảm thời gian yêu
cầu Three-way handshake xuống rất nhỏ và không gửi lại gói ACK, cứ bắn
gói SYN ra liên tục trong một thời gian nhất định và không bao giờ trả lời lại
gói SYN&ACK từ máy bị tấn công.
- Với nguyên tắc chỉ chấp nhận gói SYN từ một máy tới hệ thống sau mỗi 75
giây nếu địa chỉ IP nào vi phạm sẽ chuyển vào Rule deny access sẽ ngăn cản
tấn công này.
1.4.3 Các cách phòng chống tấn công DoS
Hậu quả mà DoS gây ra không chỉ tiêu tốn nhiều tiền bạc, và công sức
mà còn mất rất nhiều thời gian để khắc phục. Vì vậy, hãy sử dụng các biện
pháp sau để phòng chống DoS:
• Mô hình hệ thống cần phải được xây dựng hợp lý, tránh phụ thuộc lẫn
nhau quá mức. Bởi khi một bộ phận gặp sự cố sẽ làm ảnh hưởng tới
toàn bộ hệ thống.
• Thiết lập mật khẩu mạnh (strong password) để bảo vệ các thiết bị mạng
và các nguồn tài nguyên quan trọng khác.
• Thiết lập các mức xác thực đối với người sử dụng cũng như các nguồn
tin trên mạng. Đặc biệt, nên thiết lập chế độ xác thực khi cập nhật các
thông tin định tuyến giữa các router.

Lê Thị Thanh AT3C-HV
KTMM
24
Đồ án tốt nghiệp Giao thức trao đổi khóa Internet Key
Exchange(IKE)
• Xây dựng hệ thống lọc thông tin trên router, firewall… và hệ thống bảo
vệ chống lại SYN flood.
• Chỉ kích hoạt các dịch vụ cần thiết, tạm thời vô hiệu hoá và dừng các
dịch vụ chưa có yêu cầu hoặc không sử dụng.
• Xây dựng hệ thống định mức, giới hạn cho người sử dụng, nhằm mục
đích ngăn ngừa trường hợp người sử dụng ác ý muốn lợi dụng các tài
nguyên trên server để tấn công chính server hoặc mạng và server khác.
• Liên tục cập nhật, nghiên cứu, kiểm tra để phát hiện các lỗ hổng bảo
mật và có biện pháp khắc phục kịp thời.
• Sử dụng các biện pháp kiểm tra hoạt động của hệ thống một cách liên
tục để phát hiện ngay những hành động bất bình thường.
• Xây dựng và triển khai hệ thống dự phòng.
1.4.4 Tấn công từ chối dịch vụ phân tán-Distributed Denial Of Service
(DDoS)
DDoS là một dạng DoS nhưng kẻ tấn công sử dụng nhiều máy để thực
hiện.
Hình 1.3: DdoS attack
Các đặc tính của tấn công DDoS.
Lê Thị Thanh AT3C-HV
KTMM
25

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×