Tải bản đầy đủ (.docx) (71 trang)
  1. Trang chủ
    2. >>
  2. Công nghệ thông tin
    3. >>
  3. Quản trị mạng

Nghiên cứu giải pháp an ninh trong quản trị mạng

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.29 MB, 71 trang )

LỜI CAM ĐOAN
Em xin cam đoan đây là công trình nghiên cứu của riêng em và được sự
hướng dẫn khoa học của TS. Trần Cảnh Dương. Các nội dung nghiên cứu, kết quả
trong đề tài này là trung thực và chưa được công bố dưới bất kì hình thức nào trước
đây.
Nếu có bất kì sự gian lận nào em xin hoàn toàn chịu trách nhiệm về nội dung
báo cáo của mình.Mọi sự giúp đỡ cho việc thực hiện luận văn này đã được cám ơn
và các thông tin trong báo cáo đều được ghi rõ nguồn gốc.
Hà nội, ngày 06 tháng 06 năm 2016
Người cam đoan


LỜI CẢM ƠN
Trong suốt quá trình học tập tại Trường Đại học Tài nguyên và Môi trường
Hà Nội, em đã được các thầy cô giảng dạy, giúp đỡ và được truyền đạt nhiều kiến
thức vô cùng quý giá. Ngoài ra, em còn được rèn luyện bản thân trong một môi
trường học tập đầy sáng tạo và khoa học. Đây là một quá trình hết sức quan trọng
giúp em có thể thành công khi bắt tay vào nghề nghiệp tương lai sau này.
Em xin chân thành cảm ơn Ban giám hiệu nhà trường, Ban chủ nhiệm khoa
công nghệ thông tin,các thầy cô trông Trung tâm Công nghệ Thông tin, cùng toàn
thể các thầy cô đã tận tình giảng dạy và trang bị cho em nhiều kiến thức bổ ích
trong suốt quá trình học tập tại trường vừa qua. Đây là quãng thời gian vô cùng hữu
ích, đã giúp em trưởng thành lên rất nhiều khi chuẩn bị ra trường. Là những hành
trang rất quan trọng không thể thiếu trong công việc sau này.
Ngoài ra, em xin gửi lời cảm ơn chân thành và sâu sắc TS. Trần Cảnh Dương
đồng cảm ơn ThS. Nguyễn Văn Hách đã luôn tận tình quan tâm, giúp đỡ, theo sát và
hướng dẫn em trong suốt quá trình làm đồ án vừa qua.
Mặc dù đã cố gắng trong suốt quá trình thực tập và làm đồ án, nhưng do kinh
nghiệm thực tế và trình độ chuyên môn chưa được nhiều nên em không tránh khỏi
những thiếu sót, em rất mong được sự chỉ bảo, góp ý chân thành từ các thầy, cô giáo
cùng tất cả các bạn.


Em xin chân thành cảm ơn!
Hà Nội, ngày 06 tháng 06 năm 2016
Sinh viên thực hiện


DANH MỤC CÁC TỪ VIẾT TẮT VÀ THUẬT NGỮ

Tên viết tắt
Tên Tiếng Anh
TCP
Transmission Control Protocol

Tên Tiếng Việt
Giao thức điều khiển truyền dẫn

IP
DOS
DDOS
DRDOS

Giao thức mạng
Từ chối dịch vụ
Tấn công từ chối dịch vụ
Tấn công từ chối dịch vụ phản xạ
nhiều vùng
Giao thức dành cho các lỗi và các
thống kê
Hệ thống tên miền
Giao thức truyền tải siêu văn bản
Định vị Tài nguyên thống nhất


ICMP
DNS
HTTP
URL

Internet Protocol
Denial of Service
Distributed Denial of Service
Distributed Reflection Denial
of Service
Internet
Control
Message
Protocol
Domain Name System
HyperText Transfer Protocol
Uniform Resource Locator


DANH MỤC HÌNH ẢNH


MỤC LỤC


LỜI MỞ ĐẦU
Xã hội ngày càng phát triển đòi hỏi con người càng cần phải năng động, sáng
tạo. Đó cũng là lý do mà công nghệ ra đời và được mọi người quan tâm đến vậy.
Ngành công nghệ thông tin giúp con người phát triển theo hướng hiện đại, truy cập

thông tin một cách nhanh nhất, giúp giao tiếp được với tất cả mọi người trên thế
giới.
Với sự phát triển mạnh mẽ của công nghệ thông tin và những ứng dụng của
nó trong hoạt động đời sống con người, Internet không còn là một thứ phương tiện
lạ lẫm mà nó trở thành công cụ làm việc, giải trí thông dụng và hữu ích của chúng ta
ở mọi lúc, mọi nơi.
Sự bùng nổ dữ liệu đặt ra cho chúng ta những thách thức về việc làm thế nào
lưu trữ và xử lý tất cả dữ liệu đó. Chính vì thế có rất nhiều phần mềm cũng như các
trang web được xây dựng nhằm quản lí các tài liệu một cách nhanh gọn không cần
thông qua giấy tờ.Các thông tin đều được lưu trữ một cách thuận tiện, giúp con
người trao đổi dễ dàng hơn.Lợi dụng được điểm yếu này mà có một số thành phần
tấn công vào các trang web để ăn cắp thông tin hoặc phá hoại thông tin đó.
Từ đó, chúng ta luôn thấy được tầm quan trọng của việc bảo mật các thông
tin. Vì vậy mà em đã lựa chọn đề tài này làm đề tài tốt nghiệp. Đề tài Nghiên cứu
giải pháp an ninh trong quản trị mạng là một đề tài không phải mới, nhưng qua quá
trình nghiên cứu, tham khảo trong phạm vi đồ án em muốn tìm hiểu sâu hơn để
thuận lợi cho công việc sau này. Quá trình có thể chưa hoàn thiện nhưng đó là
những bước cố gắng đầu tiên của em. Em mong nhận được những ý kiến đóng góp
của các Thầy (Cô) để em có thể hoàn thiện hơn.
Mục tiêu và nội dung của đề tài
Mục tiêu:
Đề tài được thực hiện nhằm mục đích tìm hiểu tổng quan về an ninh mạng,
ưu điểm, nhược điểm, một số phương pháp tấn công và cách phòng chống hiện
nay.Tập trung nghiên cứu vai trò, phương pháp cũng như ứng dụng của giải pháp an


ninh quản trị mạng.
Với các nội dung đã đặt ra, đồ án xây dựng theo 3 chương sau:
Chương 1: Tổng quan về an ninh mạng
Chương 2: Giải pháp bảo mật an ninh mạng

Chương 3: Phát triển ứng dụng cho giải pháp an ninh quản trị mạng


8

CHƯƠNG 1: TỔNG QUAN VỀ AN NINH MẠNG
1.1.

Khái niệm mạng máy tính
Mạng máy tính hay hệ thống mạng là sự kết hợp các máy tính lại với nhau
thông qua các thiết bị nối kết mạng và phương tiện truyền thông (giao thức mạng,
môi trường truyền dẫn) theo một cấu trúc nào đó và các máy tính này trao đổi thông
tin qua lại với nhau.

Hình 1.1: Mô hình mạng máy tính
Đường truyền là hệ thống các thiết bị truyền dẫn có dây hay không dây dùng
để chuyển các tín hiệu điện tử từ máy tính này đến máy tính khác. Các tín hiệu điện
tử đó biểu thị các giá trị dữ liệu dưới dạng các xung nhị phân (on - off). Tất cả các
tín hiệu được truyền giữa các máy tính đều thuộc một dạng sóng điện từ. Tùy theo
tần số của sóng điện từ có thể dùng các đường truyền vật lý khác nhau để truyền các
tín hiệu. Ở đây đường truyền được kết nối có thể là dây cáp đồng trục, cáp xoắn,
cáp quang, dây điện thoại, sóng vô tuyến. Các đường truyền dữ liệu tạo nên cấu trúc
của mạng. Hai khái niệm đường truyền và cấu trúc là những đặc trưng cơ bản của
mạng máy tính.


9

Với sự trao đổi qua lại giữa máy tính này với máy tính khác đã phân biệt
mạng máy tính với các hệ thống thu phát một chiều như truyền hình, phát thông tin

từ vệ tinh xuống các trạm thu thụ động... vì tại đây chỉ có thông tin một chiều từ nơi
phát đến nơi thu mà không quan tâm đến có bao nhiêu nơi thu, có thu tốt hay không.
1.2. Những ưu điểm, nhược điểm của mạng máy tính
Khi kết nối mạng thì sẽ đem lại được ưu điểm như sau:
Tiết kiệm được tài nguyên phần cứng: như các bạn biết trong một số hệ thống
mạng thì các máy trạm không cần ổ cứng luôn(mạng Boot room), mỗi lần chạy thì
load hệ điều hành trên máy chủ lôi về mà thôi. Ngoài ra, còn có hệ thống mạng mà
các máy con không cần dùng case, chỉ cần có màn hình chuột bàn phím là làm được
luôn.
Giảm được chi phí bản quyền phần mềm: khi kết nối mạng lại chúng ta có thể
sử dụng tính năng chia sẽ ứng dụng trên máy chủ server xuống cho các máy trạm,
khi đó các máy trạm không cần cài phần mềm đó mà chỉ cần kết nối đến server để
chạy mà thôi. Trong trường hợp này các bạn cũng phải bỏ tiền ra mua bản quyền
nhưng sẽ ít hơn so với ban đầu.
Chia sẽ dữ liệu dễ dàng: có thể nói đây là một trong các lý do chính để kết
nối mạng, khi kết nối mạng thì mục đích chính có thể nói là dùng để chia sẽ dữ liệu
cho các máy trong hệ thống mạng của mình.
Tập trung dữ liệu, bảo mật và backup dễ dàng: nếu chúng ta không sử dụng
mạng thì dữ liệu sẽ được lưu trữ ở mỗi máy riêng biệt nhưng khi ta kết nối mạng thì
chỉ cần lưu trữ trên server. Các máy trạm mỗi lần muốn truy xuất dữ liệu thì kết nối
lên server lấy về. Khi tập trung như thế này thì việc backup và bảo mật cũng hiệu
quả hơn.
Chia sẻ internet: nếu nói lý do này là lý do chính dùng để kết nối mạng thì
không phải là quá đáng. Các bạn hãy thử nghĩ xem 1 phòng Internet có 30 máy tính
chẳng lẽ phải đi thuê 30 đường truyền Internet; một cơ quan có 50 máy tính cũng
chẳng lẽ phải đi thuê 50 đường truyền internet sao? Khi kết nối mạng chỉ cần 1
đường truyền mà thôi đã giải quyết được tất cả.


10


Bên cạnh những ưu điểm thì cũng có những hạn chế sau đây:
Dễ bị tê liệt toàn bộ hệ thống mạng: nếu hệ thống mạng bị tấn công thì rất dễ
làm tê liệt toàn bộ hệ thống mạng, các hacker tấn công vào các máy chủ để làm tê
liệt nó. Khi các máy chủ bị tê liệt rồi thì lấy sức đâu nữa mà phục vụ cho các máy
trạm.
Trình độ người quản lý: khi kết nối hệ thống mạng cao đến đâu thì đòi hỏi
trình độ người quản lý cũng phải tương ứng đến đó, để có thể phục vụ cho việc thiết
kế, cài đặt và quản trị nó.
Dễ bị lây lan virus: khi các bạn kết nối hệ thống mạng thì cũng đang tạo đất
sống rộng lớn cho virus.
1.3. Đặc trưng kỹ thuật của an ninh mạng
Tính bảo mật (confidentiality): là đặc tính tin tức không bị tiết lộ cho các thực
thể hay quá trình không được ủy quyền biết hoặc không để cho các đối tượng xấu
lợi dụng. Thông tin chỉ cho phép thực thể được ủy quyền sử dụng. Kỹ thuật bảo mật
thường là phòng ngừa dò la thu thập, phòng ngừa bức xạ, tăng cường bảo mật thông
tin, bảo mật vật lý.
Tính xác thực (authentication): kiểm tra tính hợp pháp của người sử dụng.
Một thực thể có thể là một người sử dụng, một chương trình máy tính, hoặc một
thiết bị phần cứng. Các hoạt độngkiểm tra tính xác thực được đánh giá là quan trọng
nhất trong các hoạt động của một phương thức bảo mật. Một hệ thống thông thường
phải thực hiện kiểm tra tính xác thực của một thực thể trước khi thực thể đó thực
hiện kết nối với hệ thống.
Tính không thể chối cãi (nonrepudiation):trong quá trình giao lưu tin tức trên
mạng, xác nhận tính chân thực đồng nhất của những thực thể tham gia, tức là tất cả
các thực thể tham gia không thể chối bỏ hoặc phủ nhận những thao tác và cam kết
đã được thực hiện.
Tính toàn vẹn (integrity):là đặc tính khi thông tin trên mạng chưa được ủy
quyền thì không thể tiến hành được, tức là thông tin trên mạng khi đang lưu giữ
hoặc trong quá trình truyền dẫn đảm bảo không bị xóa bỏ, sửa đổi, giả mạo, làm dối



11

loạn trật tự, phát lại, xen vào một cách ngẫu nhiên hoặc cố ý và những sự phá hoại
khác. Những yếu tố chủ yếu ảnh hưởng tới sự toàn vẹn thông tin trên mạng gồm: sự
cố thiết bị, sai mã, bị tác động của con người, virus máy tính.
Tính khả dụng (availability): là đặc tính mà thông tin trên mạng được các
thực thể hợp pháp tiếp cận và sử dụng theo yêu cầu khi cần thiết bất cứ khi nào,
trong hoàn cảnh nào. Tính khả dụng nói chung dùng tỉ lệ giữa thời gian hệ thống
được sử dụng bình thường với thời gian quá trình hoạt động để đánh giá.
1.4. Một số kiểu tấn công mạng máy tính hiện nay
Đối với các cuộc tấn công bằng việc khai thác các lỗ hổng, yêu cầu các
hacker phải hiểu biết về các vấn đề bảo mật trên hệ điều hành hoặc các phần mềm
và tận dụng kiến thức này để khai thác các lỗ hổng. Các mối đe dọa có thể bắt
nguồn từ bên ngoài tổ chức hoặc từ bên trong.
1.4.1. Tấn công bị động (Passive attack)
Trong một cuộc tấn công bị động, các hacker sẽ kiểm soát kết nối không
được mã hóa và tìm kiếm mật khẩu không được mã hóa (Clear Text password), các
thông tin nhạy cảm có thể được sử dụng trong các kiểu tấn công khác. Các cuộc tấn
công bị động bao gồm phân tích kết nối, giám sát các cuộc giao tiếp không được
bảo vệ, giải mã các kết nối mã hóa yếu, và thu thập các thông tin xác thực như mật
khẩu.
Các cuộc tấn công chặn bắt thông tin hệ thống mạng cho phép kẻ tấn công có
thể xem xét các hành động tiếp theo. Kết quả của các cuộc tấn công bị động là các
thông tin hoặc file dữ liệu sẽ bị rơi vào tay kẻ tấn công mà người dùng không hề
hay biết.
1.4.2. Tấn công rải rác (Distributed attack)
Đối với các cuộc tấn công rải rác yêu cầu kẻ tấn công phải giới thiệu mã,
chẳng hạn như một chương trình Trojan horse hoặc một chương trình Back-door,

với một thành phần "tin cậy" hoặc một phần mềm được phân phối cho nhiều công
ty khác và tấn công người dùng bằng cách tập trung vào việc sửa đổi các phần mềm
độc hại của phần cứng hoặc phần mềm trong quá trình phân phối. Các cuộc tấn


12

công giới thiệu mã độc hại chẳng hạn như Back door trên một sản phẩm nhằm mục
đích truy cập trái phép các thông tin hoặc truy cập trái phép các chức năng trên hệ
thống.
1.4.3. Tấn công nội bộ (Insider attack)
Các cuộc tấn công nội bộ (insider attack) liên quan đến người ở trong cuộc,
chẳng hạn như một nhân viên nào đó "bất mãn" với công ty của mình,các cuộc tấn
công hệ thống mạng nội bộ có thể gây hại hoặc vô hại.
Người trong cuộc cố ý nghe trộm, ăn cắp hoặc phá hoại thông tin, sử dụng
các thông tin một cách gian lận hoặc truy cập trái phép các thông tin.
1.4.4. Tấn công mật khẩu (Password attack)
Đối với các cuộc tấn công mật khẩu, các hacker sẽ cố gắng "phá" mật khẩu
được lưu trữ trên cơ sở dữ liệu tài khoản hệ thống mạng hoặc mật khẩu bảo vệ các
tập tin.
Các cuộc tấn công mật khẩu bao gồm 3 loại chính: các cuộc tấn công dạng từ
điển (dictionary attack), brute-force attack và hybrid attack.
Cuộc tấn công dạng từ điển sử dụng danh sách các tập tin chứa các mật khẩu
tiềm năng.
1.4.5. Tấn công từ chối dịch vụ (denial of service attack)
Tấn công từ chối dịch vụ là một loại hình tấn công nhằm ngăn chặn những
người dùng hợp lệ được sử dụng một dịch vụ nào đó. Các cuộc tấn công có thể
được thực hiện nhằm vào bất kì một thiết bị mạng nào bao gồm là tấn công vào các
thiết bị định tuyến, web, thư điện tử và hệ thống DNS.
Nguyên lý thực hiện: với mạng máy tính không dây và mạng có dây không

giống như các cuộc tấn công mật khẩu (Password attack), các cuộc tấn công từ chối
dịch vụ (denial of service attack) ngăn chặn việc sử dụng máy tính của bạn hoặc hệ
thống mạng theo cách thông thường bằng người dùng hợp lệ.
Tấn công từ chối dịch vụ có thể được thực hiện theo một số cách nhất định.
Có năm kiểu tấn công cơ bản sau đây:
-

Tấn công nhằm tiêu tốn tài nguyên tính toán như băng thông, dung lượng đĩa cứng


13

-

hoặc thời gian xử lý.
Tấn công phá vỡ các thông tin cấu hình như thông tin định tuyến.
Tấn công phá vỡ các trạng thái thông tin như việc tự động reset lại các phiên TCP.
Tấn công phá vỡ các thành phần vật lý của mạng máy tinh.
Tấn công làm tắc nghẽn thông tin liên lạc có chủ đích giữa các người dùng và nạn
nhân dẫn đến việc liên lạc giữa hai bên không được thông suốt.
Sau khi tấn công, truy cập hệ thống mạng của bạn, các hacker có thể:
- Chặn kết nối.
- Gửi các dữ liệu không hợp lý tới các ứng dụng hoặc các dịch vụ mạng, dẫn
đến việc thông báo chấm dứt hoặc các hành vi bất thường trên các ứng dụng hoặc
dịch vụ này.
- Lỗi tràn bộ nhớ đệm.
1.4.6. Tấn công phá mã khóa (Compromised-Key Attack)
Mã khóa ở đây là mã bí mật hoặc các con số quan trọng để “giải mã” các
thông tin bảo mật. Mặc dù rất khó để có thể tấn công phá một mã khóa, nhưng với
các hacker thì điều này là có thể. Sau khi các hacker có được một mã khóa, mã khóa

này sẽ được gọi là mã khóa gây hại.
Hacker sử dụng mã khóa gây hại này để giành quyền truy cập các thông tin
liên lạc mà không cần phải gửi hoặc nhận các giao thức tấn công. Với các mã khóa
gây hại, các hacker có thể giải mã hoặc sửa đổi dữ liệu.

Hình 1.2: Hình ảnh về hacker
1.4.7. Tấn công trực tiếp
Những cuộc tấn công trực tiếp thông thường được sử dụng trong giai đoạn
đầu để chiếm quyền truy nhập bên trong. Một phương pháp tấn công cổ điển là dò


14

tìm tên người sử dụng và mật khẩu. Đây là phương pháp đơn giản, dễ thực hiện và
không đòi hỏi một điều kiện đặc biệt nào để bắt đầu. Kẻ tấn công có thể sử dụng
những thông tin như tên người dùng, ngày sinh, địa chỉ, số nhà để đoán mật khẩu.
Trong trường hợp có được danh sách người sử dụng và những thông tin về môi
trường làm việc, có một chương trình tự động hoá về việc dò tìm mật khẩu này.
Một chương trình có thể dễ dàng lấy được từ Internet để giải các mật khẩu đã
mã hoá của hệ thống unix có tên là crack, có khả năng thử các tổ hợp các từ trong
một từ điển lớn, theo những quy tắc do người dùng tự định nghĩa. Trong một số
trường hợp, khả năng thành công của phương pháp này có thể lên tới 30%.
Phương pháp sử dụng các lỗi của chương trình ứng dụng và bản thân hệ điều
hành đã được sử dụng từ những vụ tấn công đầu tiên và vẫn được tiếp tục để chiếm
quyền truy nhập. Trong một số trường hợp phương pháp này cho phép kẻ tấn công
có được quyền của người quản trị hệ thống (root hay administrator).
Hai ví dụ thường xuyên được đưa ra để minh hoạ cho phương pháp này là ví
dụ với chương trình sendmail và chương trình rlogin của hệ điều hành UNIX.
Sendmail là một chương trình phức tạp, với mã nguồn bao gồm hàng ngàn
dòng lệnh của ngôn ngữ C. Sendmail được chạy với quyền ưu tiên của người quản

trị hệ thống, do chương trình phải có quyền ghi vào hộp thư của những người sử
dụng máy và Sendmail trực tiếp nhận các yêu cầu về thư tín trên mạng bên ngoài.
Đây chính là những yếu tố làm cho Sendmail trở thành một nguồn cung cấp những
lỗ hổng về bảo mật để truy nhập hệ thống.
Rlogin cho phép người sử dụng từ một máy trên mạng truy nhập từ xa vào
một máy khác sử dụng tài nguyên của máy này. Trong quá trình nhận tên và mật
khẩu của người sử dụng, rlogin không kiểm tra độ dài của dòng nhập, do đó kẻ tấn
công có thể đưa vào một xâu đã được tính toán trước để ghi đè lên mã chương trình
của rlogin, qua đó chiếm được quyền truy nhập.
1.4.8. Nghe trộm
Việc nghe trộm thông tin trên mạng có thể đưa lại những thông tin có ích như
tên, mật khẩu của người sử dụng, các thông tin mật chuyển qua mạng. Việc nghe


15

trộm thường được tiến hành ngay sau khi kẻ tấn công đã chiếm được quyền truy
nhập hệ thống, thông qua các chương trình cho phép đưa card giao tiếp mạng
(Network Interface Card-NIC) vào chế độ nhận toàn bộ các thông tin lưu truyền
trên mạng. Những thông tin này cũng có thể dễ dàng lấy được trên Internet.
1.4.9. Giả mạo địa chỉ
Việc giả mạo địa chỉ IP có thể được thực hiện thông qua việc sử dụng khả
năng dẫn đường trực tiếp (source-routing). Với cách tấn công này, kẻ tấn công gửi
các gói tin IP tới mạng bên trong với một địa chỉ IP giả mạo (thông thường là địa
chỉ của một mạng hoặc một máy được coi là an toàn đối với mạng bên trong), đồng
thời chỉ rõ đường dẫn mà các gói tin IP phải gửi đi.
1.4.10. Vô hiệu các chức năng của hệ thống
Đây là kiểu tấn công nhằm tê liệt hệ thống, không cho nó thực hiện chức
năng mà nó thiết kế. Kiểu tấn công này không thể ngăn chặn được, do những
phương tiện được tổ chức tấn công cũng chính là các phương tiện để làm việc và

truy nhập thông tin trên mạng.
Ví dụ sử dụng lệnh ping với tốc độ cao nhất có thể, buộc một hệ thống tiêu
hao toàn bộ tốc độ tính toán và khả năng của mạng để trả lời các lệnh này, không
còn các tài nguyên để thực hiện những công việc có ích khác.
1.4.11. Tấn công vào yếu tố con người
Kẻ tấn công có thể liên lạc với một người quản trị hệ thống, giả làm một
người sử dụng để yêu cầu thay đổi mật khẩu, thay đổi quyền truy nhập của mình đối
với hệ thống, hoặc thậm chí thay đổi một số cấu hình của hệ thống để thực hiện các
phương pháp tấn công khác.
Với kiểu tấn công này không một thiết bị nào có thể ngăn chặn một cách hữu
hiệu, và chỉ có một cách giáo dục người sử dụng mạng nội bộ về những yêu cầu bảo
mật để đề cao cảnh giác với những hiện tượng đáng nghi.
Nói chung yếu tố con người là một điểm yếu trong bất kỳ một hệ thống bảo
vệ nào, và chỉ có sự giáo dục cộng với tinh thần hợp tác từ phía người sử dụng có
thể nâng cao được độ an toàn của hệ thống bảo vệ.


16

1.5. Các biện pháp phát hiện hệ thống bị tấn công
Không có một hệ thống nào có thể đảm bảo an toàn tuyệt đối, mỗi một dịch
vụ đều có những lỗ hổng bảo mật tiềm tàng. Người quản trị hệ thống không những
nghiên cứu, xác định các lỗ hổng bảo mật mà còn phải thực hiện các biện pháp
kiểm tra hệ thống có dấu hiệu tấn công hay không. Một số biện pháp cụ thể:
Kiểm tra các dấu hiệu hệ thống bị tấn công: hệ thống thường bị treo bằng
những thông báo lỗi không rõ ràng. Khó xác định nguyên nhân do thiếu thông tin
liên quan. Trước tiên, xác định các nguyên nhân có phải phần cứng hay không, nếu
không phải thì khả năng máy tính bị tấn công.
Kiểm tra các tài khoản người dùngmới lạ, nhất là với các tài khoản có ID
bằng không.

Kiểm tra sự xuất hiện của các tập tin lạ: người quản trị hệ thống nên có thói
quen đặt tên tập theo mẫu nhất định để dễ dàng phát hiện tập tin lạ.
Kiểm tra thời gian thay đổi trên hệ thống.
Kiểm tra hiệu năng của hệ thống: sử dụng các tiện ích theo dõi tài nguyên và
các tiến trình đang hoạt động trên hệ thống.
Kiểm tra hoạt động của các dịch vụ hệ thống cung cấp.
Kiểm tra truy nhập hệ thống bằng các tài khoản thông thường: đề phòng
trường hợp các tài khoản này bị truy nhập trái phép và thay đổi quyền hạn mà người
sử dụng hợp pháp không kiểm soát được.
Kiểm tra các file liên quan đến cấu hình mạng và dịch vụ: bỏ các dịch vụ
không cần thiết.
Kiểm tra các phiên bản của sendmail, /bin/mail, ftp, … tham gia các nhóm tin
về bảo mật để có thông tin về lỗ hổng của dịch vụ sử dụng.


17

1.6. Kết luận chương 1
Nội dung của chương 1, em đã tập trung nghiên cứu giới thiệu về an ninh
mạng cũng như ưu điểm và hạn chế khi kết nối mạng. Trên thực tế hiện nay người
ta đã cố gắng làm cho ưu điểm của nó ngày càng nhiều lên và hạn chế càng ngày
càng ít lại. Ngoài ra chúng ta còn được biết thêm một số phương pháp tấn công hiện
nay và từ đó ta có thể đề ra cách phòng chống.


18

CHƯƠNG 2: TẤN CÔNG DOS/DDOS VÀ CÁC GIẢI PHÁP
PHÒNG CHỐNG
2.1. Tấn công từ chối dịch vụ (DoS)

2.1.1. Khái niệm tấn công DoS
Tấn công từ chối dịch vụ DoS là dạng tấn công nhằm ngăn chặn người dùng
hợp pháp truy nhập các tài nguyên mạng. Tấn công DoS đã xuất hiện từ khá sớm,
vào đầu những năm 80 của thế kỷ trước.
Tấn công DoS là kiểu tấn công vô cùng nguy hiểm, để hiểu được nó ta cần
phải nắm rõ định nghĩa của tấn công DoS và các dạng tấn công DoS.
Tấn công DoS là một kiểu tấn công mà một người làm cho một hệ thống
không thể sử dụng, hoặc làm cho hệ thống đó chậm đi một cách đáng kể với người
dùng bình thường, bằng cách làm quá tải tài nguyên của hệ thống.
Nếu kẻ tấn công không có khả năng thâm nhập được vào hệ thống, thì chúng
cố gắng tìm cách làm cho hệ thống đó sụp đổ và không có khả năng phục vụ người
dùng bình thường đó là tấn công DoS.
Mặc dù tấn công DoS không có khả năng truy cập vào dữ liệu thực của hệ
thống nhưng nó có thể làm gián đoạn các dịch vụ mà hệ thống đó cung cấp. Như
định nghĩa trên DoS khi tấn công vào một hệ thống sẽ khai thác những cái yếu nhất
của hệ thống để tấn công.
2.1.2. Mục đích của tấn công DoS
Cố gắng chiếm băng thông mạng và làm hệ thống mạng bị ngập (flood), khi
đó hệ thống mạng sẽ không có khả năng đáp ứng những dịch vụ khác cho người
dùng bình thường.
Cố gắng làm ngắt kết nối giữa hai máy, ngăn chặn quá trình truy cập vào dịch
vụ.
Cố gắng ngăn chặn những người dùng cụ thể vào một dịch vụ nào đó.
Cố gắng ngăn chặn các dịch vụ không cho người khác có khả năng truy cập
vào.
Khi tấn công DoS xảy ra người dùng có cảm giác khi truy cập vào dịch vụ đó


19


như bị:
- Disable Network - Tắt mạng
- Disable Organization - Tổ chức không hoạt động
- Financial Loss – Tài chính bị mất
2.1.3. Dấu hiệu của tấn công DoS
- Thông thường thì hiệu suất mạng sẽ rất chậm.
- Không thể sử dụng website.
- Không truy cập được bất kỳ website nào.
- Tăng lượng thư rác nhanh chóng.
2.1.4. Các dạng tấn công DoS
Bao gồm một số dạng tấn công như: Smurf, Buffer Overflow Attack, Ping of
Death, Teardrop, SYN Attack
Tấn công kiểu Smurf
Là thủ phạm sinh ra cực nhiều giao tiếp ICMP (ping) tới địa chỉ Broadcast của
nhiều mạng với địa chỉ nguồn là mục tiêu cần tấn công, theo mô tả hình sau:

Hình 2.1: Mô hình kiểu tấn công dạng Smurf
Kết quả đích tấn công sẽ phải chịu nhận một đợt Reply gói ICMP cực lớn và
làm cho mạng chậm lại không có khả năng đáp ứng các dịch vụ khác. Quá trình này
được khuyếch đại khi có luồng ping reply từ một mạng được kết nối với nhau
(mạng BOT). Cấu trúc của bản tin IP header trong tấn công Smurf. Cấu trúc bản tin


20

IP header trong tấn công Smurf được mô tả như hình sau:

Hình 2.2: Cấu trúc bản tin IP header trong tấn công Smurf
Tấn công kiểu Buffer Overflow Attack
Buffer Overflow xảy ra tại bất kỳ thời điểm nào có chương trình ghi lượng

thông tin lớn hơn dung lượng của bộ nhớ đệm trong bộ nhớ.
Kẻ tấn công có thể ghi đè lên dữ liệu và điều khiển chạy các chương trình và
đánh cắp quyền điều khiển của một số chương trình nhằm thực thi các đoạn mã
nguy hiểm.
Quá trình gửi một bức thư điện tử mà file đính kèm dài quá 256 ký tự có thể
sẽ xảy ra quá trình tràn bộ nhớ đệm.
Tấn công kiểu Ping of Death
Kẻ tấn công gửi những gói tin IP lớn hơn số lượng bytes cho phép của tin IP
là 65.536 bytes.
Quá trình chia nhỏ gói tin IP thành những phần nhỏ được thực hiện ở tầng 2
(dữ liệu). Quá trình chia nhỏ có thể thực hiện với gói IP lớn hơn 65.536 bytes.


21

Nhưng hệ điều hành không thể nhận biết được độ lớn của gói tin này và sẽ bị khởi
động lại, hay đơn giản là sẽ bị gián đoạn giao tiếp. Để nhận biết kẻ tấn công gửi gói
tin lớn hơn gói tin cho phép thì tương đối dễ dàng.
Tấn công kiểu Teardrop
Gói tin IP rất lớn khi đến Router sẽ bị chia nhỏ làm nhiều phần nhỏ. Kẻ tấn
công sử dụng sử dụng gói IP với các thông số rất khó hiểu để chia ra các phần nhỏ
(fragment).
Nếu hệ điều hành nhận được các gói tin đã được chia nhỏ và không hiểu
được, hệ thống cố gắng xác lập lại gói tin và điều đó chiếm một phần tài nguyên hệ
thống, nếu quá trình đó liên tục xảy ra hệ thống không còn tài nguyên cho các ứng
dụng khác, phục vụ các user khác.
Tấn công kiểu SYN
Đây là kiểu tấn công mà kẻ tấn công lợi dụng quá trình giao tiếp của TCP theo
Three-way. Trong đó TCP hỗ trợ truyền nhận với độ tin cậy cao nên sử dụng
phương thức bắt tay giữa bên gửi và bên nhận trước khi truyền dữ liệu. Bước đầu

tiên, bên gửi gửi một SYN REQUEST packet (Synchronize). Bên nhận nếu nhận
được SYN REQUEST sẽ trả lời bằng SYN/ACK REPLY packet. Bước cuối cùng,
bên gửi sẽ truyền packet cuối cùng ACK và bắt đầu truyền dữ liệu. Mô hình kiểu
tấn công SYN được mô tả như hình sau:


22

Hình 2.3: Mô hình kiểu tấn công tràn ngập SYN
Nếu bên server đã trả lời một yêu cầu SYN bằng một SYN/ACK REPLY
nhưng không nhận được ACK packet cuối cùng sau một khoảng thời gian quy định
thì nó sẽ resend lại SYN/ACK REPLY cho đến khi hết thời gian. Toàn bộ tài nguyên
hệ thống “dự trữ” để xử lý phiên giao tiếp nếu nhận được ACK packet cuối cùng sẽ
bị “phong tỏa” cho đến hết khi thời gian.
Nắm được điểm yếu này, người tấn công gửi một SYN packet đến nạn nhân
với địa chỉ bên gửi là giả mạo, kết quả là nạn nhân gửi SYN/ACK REPLY đến một
địa chỉ khác và sẽ không bao giờ nhận được ACK packet cuối cùng, cho đến hết
thời gian timeout nạn nhân mới nhận ra được điều này và giải phóng các tài nguyên
hệ thống. Tuy nhiên, nếu lượng SYN packet giả mạo đến với số lượng nhiều và dồn
dập, hệ thống của nạn nhân có thể bị hết tài nguyên.
2.1.5. Cách phòng chống tấn công DoS
- Thiết lập password bảo vệ các thiết bị hay các nguồn tài nguyên quan trọng.
- Thiết lập các mức xác thực đối với người dùng cũng như các nguồn tin trên
mạng (các thông tin cập nhật định tuyến giữa các router cũng nên thiết lập ở chế độ
xác thực).
- Xây dựng hệ thống lọc thông tin trên router, firewall… và hệ thống bảo vệ
chống lại SYN flood.
- Chỉ chấp nhận các dịch vụ cần thiết, tạm thời dừng các dịch vụ chưa có yêu
cầu cung cấp hoặc không sử dụng.
- Xây dựng hệ thống định mức, giới hạn cho người sử dụng để ngăn ngừa

trường hợp người dùng có ác ý muốn lợi dụng các tài nguyên trên server để tấn
công chính server hay mạng, server khác.
- Liên tục cập nhật, nghiên cứu, kiểm tra để phát hiện các lỗ hổng bảo mật và
có biện pháp khắc phục kịp thời.
- Sử dụng các biện pháp kiểm tra hoạt động của hệ thống một cách liên tục để
phát hiện ngay những hành động bất bình thường.
- Xây dựng hệ thống dự phòng.


23

2.2. Tấn công DDoS
2.2.1. Khái niệm tấn công DDoS
Tấn công từ chối dịch vụ phân tán DDoS là một dạng phát triển ở mức độ cao
của tấn công DoS được phát hiện lần đầu tiên vào năm 1999.
Khác biệt cơ bản của tấn công DoS và DDoS là phạm vi tấn công. Trong khi
lưu lượng tấn công DoS thường phát sinh từ một hoặc một số ít host nguồn, lưu
lượng tấn công DDoS thường phát sinh từ rất nhiều host nằm rải rác trên mạng
Internet.
Tấn công từ chối dịch vụ phân tán (DDoS) là sự cố gắng làm cho tài nguyên
của máy tính không thể sử dụng được nhằm vào những người dùng của nó. Mặc dù
phương tiện để tiến hành, động cơ, mục tiêu của tấn công từ chối dịch vụ là khác
nhau. Nhưng nói chung, nó gồm có sự phối hợp, sự cố gắng ác ý của một người hay
nhiều người để chống lại hoạt động của dịch vụ Web một cách cục bộ hoặc kéo dài.
Như vậy, tấn công từ chối dịch vụ phân tán (DDoS) là kiểu tấn công làm cho
hệ thống máy tính hay hệ thống mạng quá tải, không thể cung cấp dịch vụ hoặc phải
dừng hoạt động. Trong các cuộc tấn công DDoS, máy chủ dịch vụ sẽ bị ngập bởi
hàng loạt các lệnh truy cập từ lượng kết nối khổng lồ. Khi số lệnh truy cập quá lớn,
máy chủ sẽ quá tải và không còn khả năng xử lý các yêu cầu. Hậu quả là người
dùng không thể truy cập vào các dịch vụ trên các trang website bị tấn công DDoS.

2.2.2. Tìm hiểu các đặc tính của tấn công DDoS.
- Nó được tấn công từ một hệ thống các máy tính cực lớn trên Internet, và
thường dựa vào các dịch vụ có sẵn trên các máy tính trong mạng Botnet.
- Các dịch vụ tấn công được điều khiển từ những "nạn nhân chính" trong khi
các máy tính bị chiếm quyền sử dụng trong mạng Bot được sử dụng để tấn công
thường được gọi là "nạn nhân thứ cấp".
- Là dạng tấn công rất khó có thể phát hiện bởi tấn công này được sinh ra từ
nhiều địa chỉ IP trên Internet.
- Nếu một địa chỉ IP tấn công một công ty, nó có thể được chặn bởi Firewall.


24

Nếu nó từ 30.000 địa chỉ IP khác, thì điều này là vô cùng khó khăn.
- Thủ phạm có thể gây nhiều ảnh hưởng bởi tấn công từ chối dịch vụ DoS, và
điều này càng nguy hiểm hơn khi chúng sử dụng một hệ thống mạng Bot trên
internet thực hiện tấn công DoS và đó được gọi là tấn công DDoS.
2.2.3. Khái niệm mạng Botnet
Botnet là các mạng máy tính được tạo lập từ các máy tính mà hacker có thể
điều khiển từ xa. Các máy tính trong mạng botnetlà máy đã bị nhiễm phần mềm độc
hại và bị hacker điều khiển. Một mạng botnet có thể có tới hàng trăm ngàn, thậm
chí là hàng triệu máy tính.
-

Đặc trưng của mạng Botnet
Đầu tiên, Botnet là một hệ thống. Hệ thống này có thể giao tiếp với nhau, các

Bot cấp thấp báo cáo kết quả quét hệ thống đã thực hiện được đến trung tâm chỉ
huy, cũng như tiếp nhận mệnh lệnh và cập nhật. Vì vậy khi phân tích Botnet, các
nhà nghiên cứu không chỉ cần tìm ra các chương trình độc hại mà còn phải tìm được

hệ thống của chính những kẻ tấn công.
Thứ hai, các máy tính tham gia vào một Botnet khi đã bị xâm nhập. Máy tính
có thể bị xâm nhập bằng nhiều cách khác nhau, ví dụ, thông qua lỗ hổng của ứng
dụng hay hệ điều hành, khai thác các đoạn mã tự động, phần mềm độc hại dựa trên
nền website (lừa đảo, tải về miễn phí).
Thứ ba, Bot có thể được điều khiển từ xa. Bot báo cáo kết quả và nhận mệnh
lệnh từ hệ thống chỉ huy và điều khiển (C&C). Do đó, kẻ tấn công có thể tận dụng
khả năng của hầu hết các máy tính bị nhiễm trong Botnet. Hệ thống điều khiển
Botnet có thể tập trung hoặc phân cấp.
-

Mục đích của mạng Botnet
Botnet không hơn gì một công cụ, có nhiều động cơ khác nhau để sử dụng

chúng. Chúng được sử dụng phổ biến nhất với mục đích phá hoại và tài chính.
Botnet có thể làm bất kỳ điều gì mà chúng ta có thể tưởng tượng làm được với một
tập hợp các máy tính đã kết nối mạng. Khả năng sử dụng các máy tính bị chiếm
quyền điều khiển chỉ phụ thuộc vào trí tưởng tượng và kỹ năng của kẻ tấn công.


25

Dựa trên các dữ liệu đã biết, những khả năng sử dụng Botnet phổ biến có thể
được phân loại như liệt kê dưới đây: lây nhiễm sang máy tính khác, tấn công từ chối
dịch vụ phân tán, tấn công tràn ngập (Flooding attacks), tải về cài đặt, gửi thư rác và
Email lừa đảo, lưu trữ và phân phối dữ liệu bất hợp pháp, khai thác dữ liệu, thao tác
với thăm dò bầu cử/ các cuộc thi trực tuyến.
-

Phân loại mạng Botnet

+ Dạng Agobot/Phatbot/Forbot/XtremBot: Đây là những bot được viết bằng

C++ trên nền tảng Cross-platform và mã nguồn được tìm trên GPL. Agobot có khả
năng sử dụng NTFS Alternate Data Stream (ADS) và như một loại Rootkit nhằm ẩn
các tiến trình đang chạy trên hệ thống.
+ Dạng SDBot/Rbot/UrBot/UrXbot: SDBot được viết bằng ngồn ngữ C và
cũng được public bởi GPL. Nó được coi như là tiền thân của Rbot, RxBot, UrBot,
UrXBot, JrBot.
+ Dạng mIRC-Based Bots – GT-Bots: GT được viết tắt bởi hai từ Global
Threat, tên thường được sử dụng cho tất cả các mIRC-scripted bots. Nó có khả năng
sử dụng phần mềm IM là mIRC để thiết lập một số script và một số đoạn mã khác
-

Phân tích các bước xây dựng mạng Botnet
Cách tạo ra một mạng Bot và dùng mạng Bot này tấn công vào một đích nào

đó của mạng Botnet được tạo ra từ Agobot’s.
Bước 1: Cách lây nhiễm vào máy tính.
Đầu tiên kẻ tấn công lừa cho người dùng chạy file "chess.exe", một Agobot
thường sao chép chúng vào hệ thống và sẽ thêm các thông số trong Registry để đảm
bảo sẽ chạy cùng với hệ thống khi khởi động. Trong Registry có các vị trí cho các
ứng dụng chạy lúc khởi động tại.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Bước 2: Cách lây lan và xây dựng tạo mạng BOTNET
Sau khi trong hệ thống mạng có một máy tính bị nhiễm Agobot, nó sẽ tự động
tìm kiếm các máy tính khác trong hệ thống và lây nhiễm sử dụng các lỗ hổng trong



Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×