HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
---------------------------------------
THIENXAY BOLIBOUN
NGHIÊN CỨU VỀ HỆ THỐNG GIÁM SÁT AN TOÀN
MẠNG CHO TRUNG TÂM ỨNG CỨU KHẨN CẤP MÁY
TÍNH LÀO - LaoCERT
LUẬN VĂN THẠC SĨ KỸ THUẬT
(Theo định hướng ứng dụng)
HÀ NỘI – 2017
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
---------------------------------------
THIENXAY BOLIBOUN
NGHIÊN CỨU VỀ HỆ THỐNG GIÁM SÁT AN TOÀN
MẠNG CHO TRUNG TÂM ỨNG CỨU KHẨN CẤP MÁY
TÍNH LÀO - LaoCERT
CHUYÊN NGÀNH: HỆ THỐNG THÔNG TIN
MÃ SỐ: 60.48.01.04
LUẬN VĂN THẠC SĨ KỸ THUẬT
(Theo định hướng ứng dụng)
NGƯỜI HƯỚNG DẪN KHOA HỌC: PGS.TS. HOÀNG ĐĂNG HẢI
HÀ NỘI – 2017
i
LỜI CAM ĐOAN
Trước hết em xin gửi lời cảm ơn chân thành đến các thầy cô trường Học viện
Công nghệ Bưu chính Viễn thông nói chung, các thầy cô Khoa Quốc tế và Đào tạo
sau đại học nói riêng, đã truyền đạt những kiến thức quý báu cho em trong suốt quá
trình học tập. Đặc biệt, trong quá trình làm đề tài luận văn em xin gửi lời cảm ơn sâu
sắc tới PGS.TSKH Hoàng Đăng Hải (Phó Giám đốc Học viện Công nghệ Bưu chính
Viễn thông) người đã tận tình định hướng, hướng dẫn em hoàn thành luận văn tốt
nghiệp này.
Trong quá trình làm luận văn, em đã được Trung tâm ứng cứu khẩn cấp máy
tính Lào (LaoCERT) tạo điều kiện thuận lợi và cung cấp cho em một số trang thiết
bị, máy chủ cùng các thông tin tài liệu hữu ích và cảm ơn tới Trung tâm ứng cứu
khẩn cấp máy tính Việt nam (VNCERT) cung cấp cho em một số tài liệu hữu ích,
chia sẻ kinh nghiệm về hệ thống giám sát an toàn mạng. Nhân dịp này, em xin bày
tỏ lòng biết ơn sâu sắc tới những sự hỗ trợ quý báu đó.
Tôi xin cam đoan đây là công trình nghiên cứu của riêng tôi và dưới sự hướng
dẫn của PGS.TSKH Hoàng Đăng Hải. Các số liệu, kết quả nêu trong luận văn là
trung thực và chưa từng được ai công bố trong bất kỳ công trình nào khác.
Hà Nội, tháng 08 năm 2017
Tác giả luận văn ký và ghi rõ họ tên
THIENXAY BOLIBOUN
ii
MỤC LỤC
Trang
Lời cam đoan ........................................................................................................ i
Mục lục ............................................................................................................... ii
Danh mục từ viết tắt ............................................................................................ v
Danh mục hình vẽ .............................................................................................. vii
LỜI MỞ ĐẦU ..................................................................................................... 1
Chương I TỔNG QUAN VỀ GIÁM SÁT AN TOÀN MẠNG .......................... 3
1.1 Giới thiệu chương ...................................................................................... 3
1.2 Tổng quan về một số loại tấn công mạng điển hình .................................. 3
1.2.1 Các giai đoạn quá trình tấn công mạng ............................................. 3
1.2.2 Tấn công thăm dò .............................................................................. 4
1.2.3 Tấn công từ chối dịch vụ ................................................................... 5
1.2.4 Một số loại tấn công khác ................................................................... 9
1.3 Nhu cầu và vai trò hệ thống giám sát an toàn mạng ............................... 16
1.4 Kiến trúc hệ thống mạng Internet của Lào và khả năng triển khai áp dụng hệ
thống giám sát an toàn mạng ..................................................................... 18
1.5 Kết luận chương ..................................................................................... 19
Chương II CÁC THÀNH PHẦN HỆ THỐNG GIÁM SÁT AN TOÀN MẠNG .20
2.1 Giới thiệu chương ................................................................................... 20
2.2 Mô hình kiến trúc hệ thống giám sát an toàn mạng ................................. 20
2.2.1 Mô hình chức năng hệ thống giám sát an toàn mạng ........................ 21
2.2.2 Thành phần trung tâm của hệ thống giám sát an toàn mạng ............ 21
2.2.3 IP sec VNP gateway ........................................................................... 22
2.2.4 IDS / IPS ......................................................................................... 22
2.3 Các chức năng tối thiểu của hệ thống giám sát an toàn mạng .................. 22
2.3.1 Bốn hoạt động thiết yếu ................................................................... 22
iii
2.3.2 Các chức năng chủ yếu của hệ thống giám sát an toàn mạng ........... 23
2.3.3 Các kỹ thuật phân tích ..................................................................... 24
2.3.4 Các kỹ thuật phát hiện ..................................................................... 24
2.3.5 Cảnh báo của hệ thống giám sát an toàn mạng ................................. 25
2.4 Kiến trúc hệ thống thu thập thông tin ...................................................... 26
2.4.1 Kiến trúc hệ thống ........................................................................... 26
2.4.2 Các thiết bị phục vụ thu thập mẫu, thu thập thông tin ...................... 27
2.4.3 Các module cơ bản .......................................................................... 30
2.5 Một số phương pháp phát hiện bất thường .............................................. 31
2.6 Các mô hình điển hình cho phát hiện bất thường .................................... 33
2.6.1 Nhóm mô hình thống kê ................................................................... 34
2.6.2 Nhóm mô hình dựa vào tri thức ....................................................... 35
2.6.3 Nhóm các mô hình dựa vào khai phá dữ liệu (Data mining) ............ 36
2.6.4 Nhóm các mô hình học máy (Machine Learning Models) ................. 36
2.7 Kết luận chương .................................................................................. 38
Chương III TRIỂN KHAI HỆ THỐNG GIÁM SÁT AN TOÀN MẠNG TỐI
THIỂU CHO LAOCERT .................................................................................. 39
3.1 Giới thiệu chương ................................................................................... 39
3.2 Kiến trúc hệ thống thu thập thông tin từ mạng ........................................ 39
3.3 Hệ thống trung tâm giám sát an toàn mạng LaoCERT ............................ 41
3.4 Vấn đề truyển dữ liệu từ các bộ Sensor về trung tâm .............................. 42
3.5 Một số tiện ích phần mềm trong hệ thống giám sát ................................. 43
3.5.1 Phần mềm Snort ............................................................................... 43
3.5.2 Phần mềm Suricata ........................................................................... 46
3.6 Demo một số kết quả thử nghiệm ........................................................... 48
3.6.1 Tải Snort trên mạng để cài đặt ........................................................ 47
3.6.2 Khởi tạo Snort và Suricata cho việc phát hiện xâm nhập ................ 52
3.6.3 Cấu hình Snort và Suricata .............................................................. 53
3.7 Khả năng triển khai cho các cơ quan, tổ chức, doanh nghiệp tại Lào ...... 60
iv
3.8 Kết luận chương ..................................................................................... 60
KẾT LUẬN ....................................................................................................... 61
TÀI LIỆU THAM KHẢO ................................................................................. 63
v
DANH MỤC TỪ VIẾT TẮT
Từ viết
Tiếng Anh
Tiếng Việt
tắt
CSDL
Database File System
Hệ thống file cơ sở dữ liệu
DNS
Domain Name System
Hệ thống tên miền
IDS
Intrusion Detection System
Hệ thống phát hiện đột nhập
Internet Control Massage
Giao thức điểu kiển Internet
IP
Internet Protocol
Giao thức mạng Internet
IPS
Internet Protection System
Nhà cung cấp dịch vụ mạng
ICPM
Internet
FTP
File Transfer Protocol
Giao thức truyền tập tin
NSM
Network Security Monitoring
Hệ thống giám sát an toàn
mạng
Network Intrusion Detection Sys
Hệ thống phát hiện đột nhập
tem
mạng
NFS
Network File System
Hệ thống flie
LAN
Local Area Network
Mạng cục bộ
Lao Computer Emergency Respon
Trung tâm ứng cứu khẩn cấp
se Team
máy tính Lào
NIDS
LaoCERT
vi
LANIC
Lao National Internet Center
Trung tâm mạng Internet quốc
gia Lào
SIEM
SNMP
Security information and Event
Hệ thống thu thập thông tin và
Manager
phân tích dữ liệu
Simple Network Management Pro
Giao thức sử dụng để giám sát
tocol
SMTP
Simple Mail transfer Protocol
Giao thức truyền thư
SVM
Support Vector Machines
Hổ trợ máy Vector
TCP
Transmission Control Protocol
Bộ giao thức Internet
UDP
User Datagram Protocol
Những gói tin có điểm xuất
phát và điểm đích xác định
WAN
Wide Area Network
Khung kết nối mạng
vii
DANH MỤC HÌNH VẼ
Trang
Hình 1.1: Tấn công kiểu Syn Flood .................................................................... 6
Hình 1.2: Tấn công kiểu DDoS ........................................................................... 7
Hình 1.3: Tấn công kiểu DRDoS ........................................................................ 7
Hình 1.4: Tấn công kiểu Smurf Attack ............................................................... 8
Hình 1.5: Tấn công kiểu giả mạo địa chỉ IP ........................................................ 9
Hình 1.6: Tấn công kiểu nghe trộm ................................................................... 10
Hình 1.7: Tấn công kiểu người đứng giữa ......................................................... 10
Hình 1.8: Tấn công kiểu Social Engineering ..................................................... 11
Hình 1.9: Tấn công kiểu tấn phishing ............................................................... 11
Hình 1.10: Tấn công kiểu Pharming ................................................................. 12
Hình 1.11: Tấn công ứng dụng Web ................................................................. 13
Hình 1.12: Chèn mã thực thi trên trình duyệt .................................................... 14
Hình 1.13: Kiến trúc hệ thống mạng Internet của Lào ....................................... 19
Hinh 2.1: Mô hình kiến trúc hệ thống giám sát LaoCERT ................................ 20
Hình 2.2: Mô hình chức năng hệ thống giám sát LàoCERT .................................. 21
Hình 2.3: Hoạt động thiết yếu của hệ thống giám sát an toàn mạng ................... 22
Hình 2.4: Giám sát và đưa ra cảnh báo ............................................................. 26
Hình 2.5: Sơ đồ kiến trúc vị trí chặn bắt gói tin ................................................. 27
Hình 2.6: Thiết bị Tap dùng để kế nối và trích lấy mẫu ...................................... 29
Hình 2.7: Phương án sử dụng thiết bị Tap dùng để trích lấy mẫu ...................... 33
Hình 2.8: Phân loại nhóm mô hình phát hiện bất thường ............................................. 33
Hình 3.1: Hệ thống trung tâm xử lý thông tin ................................................... 40
Hình 3.2: Hệ thống giám sát an toàn mạng trung tâm LaoCERT ....................... 41
Hình 3.3: Kết nối các thiết bị Sensor về trung tâm giám sát an toàn mạng ........ 42
Hình 3.4: Mô hình một hệ thống sử dụng SNORT ............................................ 43
viii
Hình 3.5: Cơ chế hoạt động của SNORT .......................................................... 44
Hình 3.6: Thành phần của SNORT ................................................................... 45
Hình 3.7: Mô tả kiến trúc đa luồng của Suricata ................................................ 46
Hình 3.8: Kiến trúc tổng quan của Suricata ....................................................... 47
Hình 3.9: Quá trình bắt gói tin của Suricata ....................................................... 48
Hình 3.10: Đăng ký cài đặt snort ....................................................................... 48
Hình 3.11: Tạo một tải khoản trên snort. Org .................................................... 49
Hình 3.12: Cài đặt Snort trên PFSense ............................................................... 49
Hình 3.13: Cấu hình giao diện trên Snort ........................................................... 50
Hình 3.14: Tạo giao diện trên Snort ................................................................... 51
Hình 3.15: Cấu hình các chức năng tường lửa cho Snort .................................... 51
Hình 3.16: System Log ...................................................................................... 52
1
LỜI MỞ ĐẦU
Hiện nay mạng Internet ở Lào đang có sự phát triển nhanh chóng ngày càng
phổ biển rộng rãi góp phần quan trọng vào phát triển kinh tế, văn hóa và xã hội tại
Lào cho mọi người để trao đổi chia sẻ, tìm kiếm thông tin và các tài nguyên trên
mạng. khả năng kết nối trên toàn thế giới đang mang lại thuận tiện cho tất cả mọi
người, nhưng nó tiểm ẩn những nguy cơ khó lường đe dọa tới mọi mặt của đời sống
xã hội, các vụ tấn công trên mạng Internet cũng tăng lên nhanh chóng, ảnh hưởng lớn
đến phát triển Internet và xã hội mà các phương pháp dùng để tấn công cũng liên tục
được hoàn thiện. Không chỉ số lượng các cuộc tấn công tăng lên nhanh chóng mà các
phương pháp dùng để tấn công cũng liên tục được hoàn thiện, những vụ tấn công
nhằm tất cả vào các máy tính đang kết nối vào mạng Internet các máy tính tất cả của
các công ty lớn, ngân hàng, các trường đại học, cơ quan, tổ chức và doanh nghiệp.
Mạng máy tính và các hệ thống phân tán làm thay đổi phạm vi tổ chức xứ lý thông
tin. Đa số nhiều hệ thống máy tính được dựng lên và đưa vào sử dụng nhưng mới
dựng lại ở mức hoạt động và dùng được chưa chú trọng đến việc đảm bảo an toàn
thông tin từ đó nếu bị đánh cắp, gây mất mát an toàn thông tin sẽ không phát hiện ra
được. Con người không theo dõi số lượng các sự kiến lớn, việc lưu trữ cũng rất khó
khăn và quan trọng đối chiếu với các tấn công mạng. Việc giám sát an toàn mạng là
hoạt động lựa chọn đối tượng giám sát, phân tích trạng thái trong thông tin của đối
tượng giám sát nhằm xác định những nhân tố ảnh hưởng đến an toàn hệ thống thông
tin, bảo đảm tính nguyên vẹn, tính bảo mật, cảnh báo hành vi xâm phạm an toàn thông
tin mạng hoặc hành vi có khả năng gây ra sự cố an toàn thông tin mạng. Do vậy, cùng
với sự phát triển của công nghệ mạng máy tính đòi hỏi một hệ thống mà từ hệ thống
đó có thể đo đạc được mức độ nguy hiểm từ đó theo dõi được các hành vi trong mạng
để đánh giá rủi ro xảy ra. Với hệ thống này sẽ phát hiện ra các tấn công xảy ra từ bên
ngoài hay bên trong đến hệ thống của mình. Điểm mạnh của hệ thống là theo dõi
được thời gian thực, do đó người quản trị có thể biết được hệ thống của mình đang bị
sự cố và sẽ có giải pháp khắc phục kịp thời.
2
Trên cơ sở hệ thống giám sát an toàn mạng của LaoCERT và mạng Internet tại
Lào, luận văn nghiên cứu, đưa ra một kiến trúc hệ thống giám sát an toàn mạng
có vai trò bảo đảm an toàn thông tin quốc gia, hệ thống giám sát an toàn mạng cho
LaoCERT sẽ góp phần quan trọng vào tăng cường năng lực theo dõi, giám sát sự
cố mạng tại Lào, giúp công việc quản lý và theo dõi được tập trung và đạt hiệu quả,
phù hợp với điều kiện thực tế nhằm đáp ứng nhu cầu theo dõi, giám sát các sự
cố trên mạng, đưa ra cảnh báo.
Trong một hệ thống giám sát an toàn mạng, các máy chủ, máy trạm, máy tính
trong mạng LAN thường là mục tiêu chính trong các cuộc tấn công, truy cập trái
phép hay lấy cắp thông tin, mã hoá tài liệu. Một hệ thống mạng phải được bảo vệ
theo nhiều tầng để tăng cường khả năng bảo vệ hệ thống. Hiện nay, các chương trình
bảo mật, phòng chống virus bảo vệ hệ thống ( Anti-Virus, IDS, IPS, Firewall...) đã
được triển khai, tuy nhiên các cuộc tấn công ngày càng tinh vi vượt qua các hệ thống
này, khi đã xảy ra tấn công thì phải mất một khoảng thời gian khá dài mới phát hiện
ra. Ngoài ra, các chương trình firewall bảo vệ mạng hiện nay hầu hết được tích hợp
trong các thiết bị phần cứng của mạng. Bên cạnh đó, các chương trình được phát
triển riêng lẻ với các tính năng tương đối độc lập với nhau cho nên việc khai thác các
chức năng của các chương trình này nhằm phục vụ công việc giám sát và quản trị hệ
thống bị hạn chế.
Xuất phát từ hạn chế trên và nắm bắt nhu cầu thực tiễn, một hệ thống thực
hiện chức năng giám sát, theo dõi các lưu lượng, kết nối đã được tìm hiểu và xây
dựng nhằm phát hiện các xâm nhập trái phép để giúp cho công việc quản trị mạng
được tập trung và đạt hiệu quả cao.
3
Chương I TỔNG QUAN VỀ GIÁM SÁT AN TOÀN MẠNG
1.1 Giới thiệu chương
Trong nội dung chương này đề cập đến vấn đề tổng quan về một số loại tấn
công mạng điển hình trên mạng. Trong chương nêu rõ các các giai đoạn quá trình
tấn công, trình bày hai loại tấn công điển hình nhất là tấn công thăm dò, tấn công từ
chối dịch vụ, ngoài ra có một số loại tấn công khác. Nội dung chương cũng trình bày
nhu cầu vai trò hệ thống giám sát an toàn mạng, kiến trúc mạng Internet của Lào và
khả năng triển khai áp dụng hệ thống giám sát an toàn mạng.
1.2 Tổng quan về một số loại tấn công mạng điển hình
1.2.1 Các giai đoạn quá trình tấn công mạng
Tấn công là một hoạt động nhằm khai thác các điểm yếu phục vụ các mục
đích khác nhau. Điểm yếu là những điểm nhạy cảm hoặc những rủi ro tiểm ẩn trong
hệ thống thông tin, mà có tồn tại điểm yếu thì sẽ có nguy cơ bị tấn công. Để thiết kế
được hệ thống theo dõi giám sát và ghi nhận hoạt động tấn công của tin tặc, cần hiểu
rõ các bước thực hiện tấn công mạng có 5 giai đoạn chủ yếu nhất của một cuộc tấn
công là: trinh sát (Reconnaissance), khai thác (exploitation), tấn công (reinfor
cement), duy trì cửa hậu củng cố (consolidation), phá hoại (pillage).
Trinh sát: Trinh sát là quá trình tìm kiếm đối tượng tấn công và điểm yếu hệ
thống.
Khai thác: Khai thác là quá trình lạm dụng, làm biến chất, chia cắt các dịch vụ
của mục tiêu. Ví dụ, tin tặc có thể qua Telnet, Secure Shell… để đăng nhập hệ
thống với tài khoản đánh cắp được, biến đổi dịch vụ hệ thống, ngăn chặn dịch
vụ hoạt động.
Tấn công: Đây là giai đoạn tin tặc tập trung toàn lực chuẩn bị tấn công. Tin tặc
tìm cách chiếm quyền điều khiển hoặc giành những đặc quyền cần thiết để kiểm
soát hệ thống. Tin tặc tìm cách tải thêm công cụ cần thiết vào hệ thống để khai
thác và tấn công. Một phương pháp hay dùng là mở các cổng hậu vào hệ thống.
Duy trì cổng hậu: Đây là giai đoạn tin tặc trao đổi thông tin với máy nạn nhân
4
thông qua cổng hậu. Thông thường, cổng hậu này được mở ở dạng lắng nghe và
im lặng chờ. Trong giai đoạn này, tin tặc khẳng định thêm những thông tin đã
khai thác được sau quá trình trinh sát và khai thác.
Phá hoại: Đây là giai đoạn tin tặc thực hiện kế hoạch phá hoại đã chủ đích. Tin
tặc có thể đánh cắp các thông tin nhạy cảm, tạo nền móng vững chắc hơn bên
trong hệ thống hoặc làm bất cứ gì tin tặc muốn. Một số tin tặc có thể tiếp tục biến
giai đoạn này thành giai đoạn trinh sát và khai thác mới trên các hệ thống tiếp
đó, biến hệ thống đã bị xâm nhập thành công cụ để tấn công tiếp.
1.2.2 Tấn công thăm dò
Đối với loại tấn công này, kẻ tấn công chủ yếu muốn thăm dò hệ thống, và
tập hợp các thông tin cần thiết xoay quanh tổ chức của hệ thống. Đây là loại tấn công
điển hình nhất vì muốn tấn công kiểu gì thì kẻ tấn công cũng bắt đầu bằng một cuộc
tấn công thăm dò. Trong hầu hết trường hợp, thông tin này sẽ được kẻ tấn công dùng
để tổ chức một cuộc đột nhập trái phép hoặc một cuộc tấn công từ chối dịch vụ (DoS).
Các hình thức tấn công kiểu thăm dò bao gồm:
In dấu chân (footprinting): In dấu chân là việc dùng các công cụ và kỹ thuật để
lấy thông tin cơ bản đầu tiên về một tổ chức hoặc một chuyên khu web muốn tấn
công. In dấu chân một cách có hệ thống sẽ cho phép kẻ tấn công lưu trữ đầy đủ
về bố trí bảo mật tổ chức. Thông qua kết hợp các công cụ và kỹ thuật, kẻ tấn
công có thể lấy số lượng không rõ rồi rút thành dãy tên vùng cụ thể, khối mạng,
địa chỉ IP của hệ thống nối thẳng Internet. Tuy có nhiều loại kỹ thuật in dấu chân
song chủ yếu nhằm vào khám phá thông tin liên quan đến những công nghệ như:
Internet, intranet, truy nhập từ xa và extranet.
Quét (scanning): kẻ tấn công thường sử dụng công cụ quét cổng để nhận dạng
các điểm yếu trong hệ thống. Công cụ quét cổng kết nối đến máy tính để xác
định dãy địa chỉ IP, máy phục vụ DNS nào được mở và có thể truy nhập vào máy
tính. Từ đó xác định được dịch vụ\ứng dụng nào đang chạy trên hệ thống.
Liệt kê (Enumerationning): Giả sử việc thực hiện các bước in dấu chân và quét
đều không thành công hoặc những thông tin thu được không thể đủ để phát động
5
một cuộc tấn công tức thời nào, kẻ tấn công sẽ chuyển sang phương pháp định
danh tài khoản người dùng hợp lệ hoặc các tài nguyên dùng chung không được
bảo vệ kỹ. Liệt kê (enumeration) là một cách để trích các tài khoản hợp lệ hoặc
các tài nguyên từ hệ thống. Sự khác biệt chính giữa các kỹ thuật thu thập thông
tin bằng footprinting, scanning và kỹ thuật enumerationning nằm ở cấp xâm
nhập của kẻ tấn công. Liệt kê liên quan đến các tuyến nối tích cực với các hệ
thống và các truy vấn có định hướng.
1.2.3 Tấn công từ chối dịch vụ
Tấn công từ chối dịch vụ (DoS –Denial of Sevicec Attacks) là loại tấn công
điển hình hiện nay. Đây là loại tấn công mà người thực hiện có thể dùng để khiến
cho một hệ thống không thể sử dụng được hoặc làm chậm hệ thống lại, khiến nó
không thể phục vụ cho những người dùng truy cập vào dịch vụ của server. Với loại
tấn công này, kẻ tấn công cố gắng vô hiệu hóa hoặc ngắt các truy nhập mạng, khai
thác tài nguyên mạng, các dịch vụ và cả hệ thống. Mục đích của kẻ tấn công là làm
cho hệ thống không cung cấp dịch vụ được, mất kết nối, không cho phép người dùng
truy nhập ứng dụng, thay đổi nội dung, gây ảnh hưởng, thậm chí ngăn chặn quá trình
đăng nhập vào các nguồn tài nguyên mạng của những người dùng hợp lệ.
Các cách thức tấn công DoS chủ yếu như sau:
Thông qua kết nối:
Tấn công kiểu SYN flood:
Kẻ tấn công gửi một lượng lớn gói tin yêu cầu mở kết nối (SYN-REQ) đến
máy tính nạn nhân, máy tính nạn nhân yêu cầu kết nối và dành một chỗ trong bảng
lưu kết nối trong bộ nhớ cho mỗi yêu cầu kết nối, máy tính nạn nhân sau đó gửi gói
tin xác nhận kết nối SYN-ACK để thiết lập kết nối đến kẻ tấn công. Do kẻ tấn công
không bao giờ trả lời xác nhận kết nối, nên máy tính nạn nhân phải lưu tất cả các yêu
cầu kết nối chưa được xác nhận trong bảng kết nối.
6
Hình 1.1: Tấn công kiểu Syn Flood
Lợi dụng nguồn tài nguyên của chính nạn nhân để tấn công
Kiểu tấn công Land Attack
Kiểu tấn công Land Attack cũng tương tự như SYN flood, nhưng kẻ tấn công
sử dụng chính IP của mục tiêu cần tấn công để dùng làm địa chỉ IP nguồn trong gói
tin, đẩy mục tiêu vào một vòng lặp vô tận khi cố gắng thiết lập kết nối với chính nó.
Kiểu tấn công UDP flood
Kẻ tấn công gửi gói tin UDP echo với địa chỉ IP nguồn là cổng loopback của
chính mục tiêu cần tấn công hoặc của một máy tính trong cùng mạng. Với mục tiêu
sử dụng cổng UDP echo (port 7) để thiết lập việc gửi và nhận các gói tin echo trên 2
máy tính (hoặc giữa mục tiêu với chính nó nếu mục tiêu có cấu hình cổng loopback),
khiến cho 2 máy tính này dần dần sử dụng hết băng thông của chúng, và cản trở hoạt
động chia sẻ tài nguyên mạng của các máy tính khác trong mạng.
Sử dụng băng thông:
Tấn công kiểu DDoS (Distributed Denial of Service)
Trên Internet, tấn công DDoS (Distributed Denial of Service) là một dạng tấn
công từ nhiều máy tính tới một đích, nó gây ra từ chối các yêu cầu hợp lệ của các
User bình thường. Bằng cách tạo ra những gói tin cực nhiều đến một đích cụ thể, nó
có thể gây tình trạng tương tự như hệ thống bị shutdown, nó được tấn công từ một
hệ thống các máy tính cực lớn trên Internet và thường dựa vào các dịch vụ có sẵn
trên các máy tính trong mạng botnet, các dịch vụ tấn công được điều khiển từ những
“primary victim” trong khi các máy tính chiếm quyền sử dụng trong mạng Bot được
sử dụng để tấn công thường được gọi là “secondary victim”, rất khó có thể phát hiện
7
ra bởi tấn công này được sinh ra từ nhiều địa chỉ IP khác nhau trên mạng Internet.
Thủ phạm có thể gây nhiều ảnh hưởng bởi tấn công từ chối dịch vụ DoS, và điều này
càng nguy hiểm hơn khi chúng sử dụng một hệ thống mạng Bot trên Internet thực
hiện tấn công DoS và đó được gọi là tấn công DDoS.
Hình 1.2: Tấn công kiểu DDoS
Tấn công kiểu DRDoS (Distributed Reflection Denial of Service Attack)
Hình 1.3: Tấn công kiểu DRDoS [4]
8
Đây có lẽ là kiểu tấn công lợi hại nhất và làm hỏng máy tính của đối phương
nhanh gọn nhất. Cách làm thì cũng tương tự như DDos nhưng thay vì tấn công bằng
nhiều máy tính thì người tấn công chỉ cần dùng một máy tấn công thông qua các
server lớn trên thế giới. Vẫn với phương pháp giả mạo địa chỉ IP của mục tiêu cần
tấn công (victim), kẻ tấn công sẽ gửi các gói tin đến các server mạnh nhất, nhanh
nhất và có đường truyền rộng nhất như Yahoo …, các server này sẽ phản hồi các gói
tin đó đến địa chỉ của victim. Việc cùng một lúc nhận được nhiều gói tin thông qua
các server lớn này sẽ nhanh chóng làm nghẽn đường truyền của máy tính nạn nhân
và làm crash, reboot máy tính đó. Cách tấn công này lợi hại ở chỗ chỉ cần một máy
có kết nối Internet đơn giản với đường truyền bình thường cũng có thể đánh bật được
hệ thống có đường truyền tốt nhất thế giới nếu như ta không kịp ngăn chặn.
Sử dụng các nguồn tài nguyên khác:
Kẻ tấn công lợi dụng các nguồn tài nguyên mà nạn nhân cần sử dụng để tấn
công. Những kẻ tấn công có thể thay đổi dữ liệu và tự sao chép dữ liệu mà nạn nhân
cần lên nhiều lần, làm CPU bị quá tải và các quá trình xử lý dữ liệu bị đình trệ.
Hình 1.4: Tấn công kiểu Smurf Attack [5]
9
Tấn công kiểu Smurf Attack:
Tấn công Smurf là sử dụng kiểu phát quảng bá có định hướng để gây ngập lụt
đường truyền mạng của máy nạn nhân. Kẻ tấn công gửi quảng bá một lượng lớn gói
tin ICMP (ping) với địa chỉ IP nguồn là địa chỉ của máy nạn nhân đến một mạng sử
dụng một địa chỉ quảng bá (IP Broadcast address). Các máy khác trong mạng nhận
được thông điệp ICMP sẽ gửi trả lời đến máy có địa chỉ nguồn IP (là máy nạn nhân).
Kết quả là máy tính này sẽ không thể xử lý kịp thời một lượng lớn thông tin và dẫn
tới bị treo máy.
1.2.4 Một số loại tấn công khác
Tấn công giả mạo địa chỉ IP (IP Spoofing):
Là dạng tấn công trong đó kẻ tấn công sử dụng địa chỉ IP giả, thường để đánh
lừa máy nạn nhân để vượt qua các hàng rào kiểm soát an ninh, nếu kẻ tấn công giả
địa chỉ IP là địa chỉ cục bộ của mạng LAN, hẳn có thể có nhiều cơ hội đột nhập vào
các máy tính khác trong mạng LAN do chính sách kiểm soát an ninh với các máy
tính trong mạng LAN thường được giảm nhẹ, nếu Router hoặc Firewall không được
cấu hình để nhận ra IP giả mạo của mạng LAN trong nội bộ kẻ tấn công có thể thực
hiện.
Hình 1.5: Tấn công kiểu giả mạo địa chỉ IP
10
Tấn công nghe trộm (Sniffing):
Là dạng tấn công sử dụng thiết bị phần cứng hoặc phần mềm lắng nghe trên
card mạng, Hub hoặc Router để bắt các gói tin.
Hình 1.6: Tấn công kiểu nghe trộm
Tấn công người đứng giữa (Man in the middle):
Lợi dụng quá trình chuyển gói tin đi qua nhiều trạm, thuộc các mạng khác
nhau, kẻ tấn công chặn bắt các thông điệp giữa 2 bên tham gia chuyển thông và
chuyển thông điệp lại cho các bên kia, thường được sử dụng để đánh cắp thông tin.
Hình 1.7: Tấn công kiểu người đứng giữa
Tấn công bằng bom thư (Mail bombing):
Là dạng tấn công Dos khi kẻ tấn công chuyển một lượng lớn email đến nạn
nhân, có thể thực hiện được bằng kĩ thuật Social Engineering hoặc khai thác lỗi trong
hệ thống gửi nhận email SMTP. Kẻ tấn công có thể lợi dụng các máy chủ email
không được cấu hình tốt để gửi email cho chúng.
Tấn công bằng thư rác (Spam emails):
Là những email không mong muốn, thường là các email quảng cáo, Spams
gây lãng phí tài nguyên tính toán và thời gian của người dùng (phải lọc, xóa), Spams
cũng có thể dùng để chuyển các phần mền độc hại.
11
Tấn công kiểu Social Engineering:
Tấn công kiểu Social Engineering là dạng tấn công sử dụng kĩ thuật xã hội để
thuyết phục người dùng tiết lộ thông tin truy cấp hoặc thông tin có giá trị cho kẻ tấn
công. Kẻ tấn công có thể giả danh làm người có vị trí cao hơn do với nạn nhân để có
được sự tin tượng. Kẻ tấn công có thể mạo nhận là người có ủy quyền của người có
thẩm quyền để yêu cầu các nhân viên tiết lộ thông tin về cả nhân/ tổ chức. Kẻ tấn
công có thể lập trang web giả để đánh lừa người dùng cung cấp các thông tin cá nhân,
thông tin tải khoản và thẻ tín dụng.
Hình 1.8: Tấn công kiểu Social Engineering
Tấn công kiểu Phishing:
Hình 1.9: Tấn công kiểu tấn phishing
12
Một kiểu tấn công phishing là kẻ tấn công sẽ tạo ra một trang web giả
trông“giống hệt” như các trang web phổ biến. Trong tấn công phishing, kẻ tấn công
sẽ gửi một email để người dùng click vào đó và điều hướng đến trang web giả mạo,
khi người dùng đăng nhập thông tin tài khoản của họ, kẻ tấn công sẽ lưu lại tên người
và mật khẩu đó lại.
Tấn công kiểu Pharming:
Pharming là kiểu tấn công vào trình duyệt người dùng gõ địa chỉ 1 website,
trình duyệt lại yêu cầu 1 website khác (độc hại). Kẻ tấn công thường sử dụng sau,
virus hoặc các phần mềm độc hại cài vào hệ thống để điều kiển trình duyệt của người
dùng, kẻ tấn công cũng có thể tấn công vào hệ thông DNS để thay đổi kết quả truy
vấn như: địa chỉ IP của website hợp pháp thành IP của website độc hại
Hình 1.10: Tấn công kiểu Pharming
Tấn công ứng dụng web:
Tấn công ứng dụng web là khai thác các lỗ bảo mật liên quan đến ứng dụng
web. Các lỗi bảo mật ứng dụng web là nguyên nhân chủ yếu gây ra các lỗi đối với
website đang vận hành. Sau khi xác định các lỗi này, tin tặc sẽ sử dụng các kỹ thuật
khác nhau để tiến hành khai thác hệ thống đích.
Mô hình hoạt động của một ứng dụng web cụ thể như sau:
13
Hình 1.11: Tấn công ứng dụng Web
Các kẻ tấn công có thể lợi dụng các lỗi ứng dụng web để thực hiện các cuộc
tấn công. Tấn công các ứng dụng web rất phổ biến với các kỹ thuật như sau.
Thâm nhập hệ thống qua cửa sau (Backdoor):
Các kỹ thuật cổng sau rất phong phú, phụ thuộc vào sở trường, trình độ của
từng người. Cổng hậu thường cho phép truy nhập trực tiếp vào hệ thống mà không
qua các thủ tục kiểm tra an ninh thông thường. Khi cổng hậu được lập trình viên tạo
ra để truy nhập hệ thống bất hợp pháp, nó trở thành một mối đe dọa đến an ninh hệ
thống. Rất khó phát hiện ra cổng hậu vì nó thường được thiết kế và cài đặt khéo léo.
Chúng ta có thể liệt kê một số kỹ thuật như sau:
Backdoor qua inetd: ghi thêm một vài dòng vào các tập tin /etc/services và
/etc/inetd.conf. Thường các chương trình của kẻ xâm nhập (shell chẳng hạn) sẽ
mang một tên giống như service chuẩn của hệ điều hành.
Backdoor dạng daemon: Là tiến trình luôn chạy trên bộ nhớ với một cái tên giống
như chương trình bình thường.
Trojaned backdoor: Một số chương trình tiện ích như sshd đã được viết sẵn với
backdoor cài trong. Kẻ xâm nhập có thể tải về và thay sshd gốc bằng trojaned
sshd cho phép kết nối vào máy qua cổng này.
Backdoor hoặc sniffer qua cron. Hoàn toàn có thể kẻ xâm nhập cài chương trình
cổng sau hoặc nghe lén theo giờ định sẵn.
Các kiểu kết nối của backdoor ngược về máy của kẻ xâm nhập rất phong phú để
vô hiệu hóa tường lửa (Firewall). Có những backdoor active mở kết nối từ trong
ra, có backdoor chạy trên UDP, có backdoor mở kết nối dạng raw socket và liên
14
lạc với máy của kẻ xâm nhập qua các gói icmp. Với netstat còn nguyên vẹn (chưa
bị nhiễm mã độc) và hiểu biết tốt về máy của mình, chúng ta có thể phát hiện
được các backdoor kiểu này.
Chèn mã lệnh thực thi trên trình duyệt nạn nhân (Cross Side Scripting):
Đây là kỹ thuật tấn công chủ yếu nhằm vào thông tin trên máy tính của người
dùng hơn là vào hệ thống máy chủ. Bằng cách thêm một đoạn mã bất kì (thường
được lập trình bằng ngôn ngữ kịch bản như JavaScript, VBScript…), kẻ tấn công có
thể thực hiện việc đánh cắp thông tin quan trọng như cookie để từ đó trở thành người
dùng hợp lệ của ứng dụng, dựa trên những thông tin đánh cắp này. Cross-Site
scripting cũng là một kiểu tấn công “session hijacking”.
Quá trình thực hiện XSS có thể được mô tả qua hình dưới đây:
Hình 1.12: Chèn mã thực thi trên trình duyệt
Bước 1: Kẻ tấn công biết được người dùng đang sử dụng một ứng dụng Web có
lỗ hổng XSS.
Bước 2: Người dùng nhận được 1 liên kết thông qua email hay trên chính trang
Web (như trên guestbook, banner dễ dàng thêm 1 liên kết do chính kẻ tấn công
tạo ra…). Thông thường kẻ tấn công khiến người dùng chú ý bằng những câu
kích thích sự tò mò của người dùng như “ Kiểm tra tài khoản”, “Một phần thưởng
hấp dẫn đang chờ bạn”…
15
Bước 3: Chuyển nội dung thông tin (cookie, tên, mật khẩu…) về máy chủ của kẻ
tấn công.
Bước 4: Kẻ tấn công tạo một chương trình cgi (ví dụ steal.cgi) hoặc một trang
Web để ghi nhận những thông tin đã đánh cắp vào 1 tập tin.
Bước 5: Sau khi nhận được thông tin cần thiết, kẻ tấn công có thể sử dụng để
thâm nhập vào tài khoản của người dùng.
Ngoài cách tấn công truyền thống trên, XSS ngày nay còn có một biến thể, đó
là tấn công XSS bằng Flash. Macromedia Flash cho phép lập trình bằng một ngôn
ngữ kịch bản đã được xây dụng sẵn trong Flash là ActionScript. ActionScript có cú
pháp đơn giản và tương tự như JavaScript, C hay PERL.
Chèn câu truy vấn SQL (SQL Injection)
Trong lập trình với cơ sở dữ liệu, nhiều lập trình viên đã sai sót trong vấn đề
kiểm tra giá trị nhập vào để từ đó kẻ tấn công lợi dụng thêm vào những câu truy vấn
hay những giá trị không hợp lệ để dễ dàng đăng nhập vào hệ thống. SQL Injection là
cách lợi dụng những lỗ hổng trong quá trình lập trình Web về phần truy xuất cơ sở
dữ liệu. Đây không chỉ là khuyết điểm của riêng SQL Server mà nó còn là vấn đề
chung cho toàn bộ các cơ sở dữ liệu khác như Oracle, MS Access hay IBM DB2.
Khi kẻ tấn công gửi những dữ liệu (thông qua các form), ứng dụng Web sẽ thực hiện
và trả về cho trình duyệt kết quả câu truy vấn hay những thông báo lỗi có liên quan
đến cơ sở dữ liệu. Nhờ những thông tin này mà kẻ tấn công biết được nội dung cơ sở
dữ liệu và từ đó có thể điều khiển toàn bộ hệ thống ứng dụng.
Một số cách tấn công SQL Inject thông dụng như sau:
Dạng tấn công vượt qua kiểm tra đăng nhập
Dạng tấn công sử dụng câu lệnh SELECT
Dạng tấn công sử dụng câu lệnh INSERT
Trojan – Virus – Worm
Trojan: Là một đoạn mã chương trình không có tính chất lây lan.
Trojan dùng để đánh cắp thông tin quan trọng trên máy tính nạn nhân để gửi
về cho kẻ tấn công hoặc xóa dữ liệu.