Tải bản đầy đủ (.pdf) (78 trang)
  1. Trang chủ
    2. >>
  2. Kỹ Thuật - Công Nghệ
    3. >>
  3. Kĩ thuật Viễn thông

Nghiên cứu tấn công DDOS và xây dựng giải pháp ngăn chặn (Luận văn thạc sĩ)

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.86 MB, 78 trang )

HỌC VIỆN CÔNG NGHỆ BƢU CHÍNH VIỄN THÔNG
---------------------------------

Hoàng Tuấn Ngọc

NGHIÊN CỨU TẤN CÔNG DDOS VÀ XÂY DỰNG
GIẢI PHÁP NGĂN CHẶN

LUẬN VĂN THẠC SĨ KỸ THUẬT
(Theo định hƣớng ứng dụng)

HÀ NỘI - 2018

-------------------------


HỌC VIỆN CÔNG NGHỆ BƢU CHÍNH VIỄN THÔNG
---------------------------------

Hoàng Tuấn Ngọc

NGHIÊN CỨU TẤN CÔNG DDOS VÀ XÂY DỰNG
GIẢI PHÁP NGĂN CHẶN
Chuyên ngành: Kỹ thuật Viễn thông
Mã số: 8.52.02.08

LUẬN VĂN THẠC SĨ KỸ THUẬT
(Theo định hƣớng ứng dụng)
NGƯỜI HƯỚNG DẪN KHOA HỌC: TS. HOÀNG VĂN VÕ

HÀ NỘI - 2018




i

LỜI CẢM ƠN
Sau thời gian nỗ lực thực hiện, đồ án “Nghiên cứu tấn công DDOS và xây dựng
giải pháp ngăn chặn ” phần nào đã hoàn thành. Ngoài sự nỗ lực của bản thân, học viên
còn nhận đƣợc sự khích lệ rất nhiều từ phía nhà trƣờng, thầy cô, gia đình và bạn bè
trong khoa. Chính điều này đã mang lại cho học viên sự động viên rất lớn để học viên
có thể hoàn thành tốt đồ án của mình.
Trƣớc hết con xin cảm ơn bố mẹ, ông bà và những ngƣời thân yêu đã luôn động
viên, ủng hộ, chăm sóc và tạo mọi điều kiện tốt nhất để con hoàn thành nhiệm vụ của
mình.
Học viên xin cảm ơn Học viện nói chung và Khoa quốc tế và đào tạo sau đại
học nói riêng đã đem lại cho học viên nguồn kiến thức vô cùng quý giá để học viên có
đủ kiến thức hoàn thành đồ án cũng nhƣ làm hành trang bƣớc vào đời.
Học viên xin cảm ơn các thầy cô, đặc biệt là thầy Hoàng Văn Võ- giáo viên
hƣớng dẫn đã tận tình hƣớng dẫn và giúp đỡ mỗi khi học viên có khó khăn trong quá
trình học tập cũng nhƣ trong quá trình làm đồ án tốt nghiệp.
Xin cảm ơn tất cả bạn bè thân yêu đã động viên, giúp đỡ học viên trong suốt quá
trình học tập cũng nhƣ làm đề tài.
Học viên thực hiện

Hoàng Tuấn Ngọc


ii

LỜI CAM ĐOAN
Tôi xin cam đoan đây là công trình nghiên cứu khoa học độc lập của riêng tôi. Các số

liệu sử dụng phân tích trong luận án có nguồn gốc rõ ràng, đã công bố theo đúng quy
định. Các kết quả nghiên cứu trong luận án do tôi tự tìm hiểu, phân tích một cách trung
thực, khách quan và phù hợp với thực tiễn của Việt Nam. Các kết quả này chƣa từng
đƣợc công bố trong bất kỳ nghiên cứu nào khác.
Hà Nội, 10/2017
Học viên thực hiện

Hoàng Tuấn Ngọc


iii

MỤC LỤC
LỜI CẢM ƠN ...................................................................................................................i
LỜI CAM ĐOAN ............................................................................................................ii
MỤC LỤC ...................................................................................................................... iii
THUẬT NGỮ VIẾT TẮT ............................................................................................... v
DANH MỤC HÌNH VẼ ..................................................................................................vi
DANH MỤC CÁC BẢNG.............................................................................................vii
MỞ ĐẦU .......................................................................................................................... 1
CHƢƠNG I. TỔNG QUAN VỀ TẤN CÔNG DDOS..................................................... 4
1.1. Giới thiệu chung về tấn công DDoS. .................................................................... 4
1.2. Phân loại các kiểu tấn công DDoS. ...................................................................... 4
1.2.1 Tấn công làm cạn kiệt băng thông. ................................................................. 5
1.2.2. Tấn công làm cạn kiệt tài nguyên. ................................................................. 7
1.3. Một số kiểu tấn công DDoS và các công cụ tấn công DDoS ............................... 9
1.3.1. Một số kiểu tấn công DDoS .......................................................................... 9
1.3.2. Một số công cụ tấn công DDoS ..................................................................... 9
1.3.3. Một số đặc tính của công cụ tấn công DDoS. ............................................. 10
1.4. Tấn công DDOS với mục tiêu là doanh nghiệp vừa và nhỏ. .............................. 10

CHƢƠNG II. GIẢI PHÁP NGĂN CHẶN TẤN CÔNG DDOS. .................................. 12
2.1. Tại sao DDoS khó giải quyết. ............................................................................. 12
2.2. Những thách thức khi xây dựng hệ thống phòng thủ DDoS. ............................ 13
2.2.1. Những thách thức về mặt kĩ thuật. .............................................................. 13
2.2.2. Những thách thức về mặt xã hội. ................................................................. 14
2.3. Mục tiêu của phòng chống DDOS. ..................................................................... 15
2.3.1. Phòng chống DDoS ..................................................................................... 15
2.3.2. Những vấn đề có liên quan. ......................................................................... 19
2.4. Giải pháp dành cho doanh nghiệp vừa và nhỏ. ................................................... 22
2.4.1. Giải pháp sử dụng phần mềm mã nguồn mở (D)DOS-Deflate và APF
(Advanced Policy Firewall). .................................................................................. 22


iv

2.4.2. Giải pháp sử dụng Snort inline và CSF (ConfigServer Security & Firewall).
............................................................................................................................... 22
2.4.3. vDDoS Proxy. .............................................................................................. 23
2.4.4. Giải pháp của Arbor Network. .................................................................... 25
CHƢƠNG III: CÀI ĐẶT VÀ THỬ NGHIỆM MỘT SỐ GIẢI PHÁP NGĂN CHẶN
TẤN CÔNG DDOS. ...................................................................................................... 30
3.1. Giới thiệu một số phần mềm phòng chống DDOS. ............................................ 30
3.1.1. Phòng chống DDOS bằng phần mềm (D)DOS-Deflate. ............................. 30
3.1.2. Tổng quan về Iptables. ................................................................................ 32
3.1.3. Advanced Policy Firewall (APF). ............................................................... 41
3.1.4. ConfigServer Security & Firewall. .............................................................. 55
3.1.5. Snort............................................................................................................. 58
3.2. Xây dựng giải pháp phòng chống tấn công DDoS cho máy chủ. ....................... 58
3.3. Cài đặt và thử nghiệm giải pháp ngăn chặn tấn công DDOS bằng (D)DosDeflate và APF Firewall. ........................................................................................... 60
3.3.1. Mô hình thử nghiệm. ................................................................................... 60

3.3.2. Kịch bản 1 – Tấn công máy chủ web khi chƣa cài đặt (D)Dos-Deflate và
APF Firewall.......................................................................................................... 61
3.3.3. Kịch bản 2 – Tấn công máy chủ web khi đã cài đặt (D)Dos-Deflate và APF
Firewall. ................................................................................................................. 64
KẾT LUẬN VÀ KIẾN NGHỊ........................................................................................ 68
TÀI LIỆU THAM KHẢO .............................................................................................. 69


v

THUẬT NGỮ VIẾT TẮT

1

Từ viết
Từ đầy đủ
tắt
ACK
Acknowledgement

2

APF

Advanced Policy Firewall

3

BGP


4

CSF

5

DDOS

6
7
8
9

DNS
HTTP
IPS
ISP

10

ICMP

11

MIB

12

SNMP


13

TCP

14

UDP

15

VPS

Border Gateway Protocol
ConfigServer Security &
Cấu hình bảo mật và tƣờng lửa
Firewall
Tấn công từ chối dịch vụ phân
Distributed Denial of Service
tán
Domain Name System
Hệ thống tên miền
Hypertext Transfer Protocol Giao thức truyền tin siêu văn bản
Intrusion Prevention System Hệ thống chống xâm nhập
Nhà cung cấp dịch vụ Internet
Internet Service Provider
Internet Control Message Giao thức bản tin điều khiển
Protocol
Internet
Management
Information Định nghĩa thông tin truy cập

Base
bằng quản lý mạng
Simple
Network
Giao thức quản lý mạng đơn giản
Management Protocol
Transmission
Control
Giao thức điều khiển truyền tải
Protocol
Giao thức truyền tin không tin
User Datagram Protocol
cậy
Virtual Private Server
Máy chủ ảo

STT

Nghĩa của từ
Bản tin xác thực
Tƣờng lửa nâng cao dựa theo
chính sách
Giao thức định tuyến biên mạng.


vi

DANH MỤC HÌNH VẼ
Hình 1.1: Phân loại các kiểu tấn công DDOS. ................................................................. 4
Hình 1.2: Amplification Attack........................................................................................ 6

Hình 1.3: Ba bƣớc kết nối TCP/IP. .................................................................................. 7
Hình 1.4: Trƣờng hợp IP nguồn giả. ............................................................................... 8
Hình 1.5: Đặc điểm chung của các công cụ tấn công DDOS. ....................................... 10
Hình 2.1: Các giai đoạn chi tiết trong phòng chống DDoS. .......................................... 15
Hình 2.2: Mô hình sử dụng IPS để lọc gói tin. .............................................................. 22
Hình 2.3: website hoạt động khi không có cơ chế bảo vệ.............................................. 24
Hình 2.4: Website hoạt chặn các truy cập không hợp lệ từ con ngƣời. ......................... 25
Hình 2.5: Website chặn các truy cập không hợp lệ từ các bot. ...................................... 25
Hình 2.6: Mô hình của giải pháp phòng chống DDoS của Arbor Network................... 27
Hình 2.7: Giao diện thao tác đƣợc cung cấp cho khách hàng. ...................................... 27
Hình 2.8: Bƣớc 1 phát hiện. .......................................................................................... 28
Hình 2.9: Bƣớc 2 thông tin bất thƣờng đƣợc chuyển qua TMS..................................... 28
Hình 2.10: Bƣớc 3 chuyển hƣớng tấn công. .................................................................. 29
Hình 2.11: Bƣớc 4 lọc và chuyển tiếp dữ liệu hợp lệ. ................................................... 29
Hình 3.1: Mô hình Iptables/netfilter. ............................................................................. 33
Hình 3.2: Mô tả đƣờng đi của gói dữ liệu. .................................................................... 35
Hình 3.3: Website “ktvtptit.tk” đƣợc dùng để thử nghiệm. ........................................... 61
Hình 3.4: Tài nguyên của máy chủ web khi chƣa bị tấn công. ...................................... 62
Hình 3.5: Thời gian đáp ứng của máy chủ web khi chƣa bị tấn công ở kịch bản 1. ...... 62
Hình 3.6: Ngƣời dùng không thể truy cập vào trang “ktvtptit.tk”. ................................ 62
Hình 3.7: Tài nguyên của máy chủ web khi bị tấn công ở kịch bản 1. .......................... 63
Hình 3.8: Thời gian đáp ứng của máy chủ web khi bị tấn công ở kịch bản 1. .............. 63
Hình 3.9: Tài nguyên của máy chủ web sau 15 phút bị tấn công ở kịch bản 2. ............ 65
Hình 3.10: Log của máy chủ web sau 15 phút bị tấn công ở kịch bản 2. ...................... 66
Hình 3.11: Thời gian đáp ứng của máy chủ web khi bị tấn công ở kịch bản 2. ............ 66
Hình 3.12: E-mail thông báo đã chặn địa chỉ IP đang thực hiện tấn công DDoS. ......... 67


vii


DANH MỤC CÁC BẢNG
Bảng 3.1: Các loại queues và chức năng của nó. ........................................................... 33
Bảng 3.2: Miêu tả các target mà Iptables thƣờng dùng nhất. ....................................... 36
Bảng 3.3: Bảng các tùy chọn quan trọng của Iptables. .................................................. 38
Bảng 3.4: Các điều kiện TCP và UDP thông dụng. ....................................................... 39


1

MỞ ĐẦU
Tính cấp thiết của đề tài:
Trong những thập kỷ gần đây, thế giới và Việt Nam đã và đang chứng kiến sự
phát triển bùng nổ của công nghệ thông tin, truyền thông. Đặc biệt sự phát triển của các
trang mạng (websites) và các ứng dụng trên các trang mạng đã cung cấp nhiều tiện ích
cho ngƣời sử dụng từ tìm kiếm, tra cứu thông tin đến thực hiện các giao dịch cá nhân,
trao đổi kinh doanh, mua bán, thanh toán hàng hoá, dịch vụ, thực hiện các dịch vụ
công... Tuy nhiên, trong sự phát triển mạnh mẽ của các trang mạng nói riêng và công
nghệ thông tin nói chung, vấn đề đảm bảo an toàn, an ninh thông tin cũng trở thành
một trong những thách thức lớn. Một trong những nguy cơ tác động đến việc đảm bảo
an toàn thông tin trong nhiều năm qua chƣa đƣợc giải quyết đó chính là các hoạt động
tấn công từ chối dịch vụ, một thủ đoạn phổ biến của tội phạm nhằm cản trở hoặc gây
rối loạn hoạt động của mạng máy tính, mạng viễn thông, mạng Internet, thiết bị số.
Tại Việt Nam, trong nhiều năm qua, nhiều trang mạng của Chính phủ, trang
mạng báo điện tử hoặc các trang mạng của các doanh nghiệp thƣơng mại điện tử đã
phải hứng chịu những hậu quả nghiêm trọng cả về tài sản, lẫn uy tín từ những đợt tấn
công từ chối dịch vụ gây ra bởi các tin tặc trong và ngoài nƣớc. Tuy nhiên, công tác
đấu tranh phòng, chống đối với loại hành vi này còn có nhiều vấn đề bất cập. Lực
lƣợng Cảnh sát phòng, chống tội phạm sử dụng công nghệ cao là lực lƣợng chuyên
trách trong đấu tranh phòng, chống tội phạm sử dụng công nghệ cao nói chung, tội cản
trở hoặc gây rối loạn hoạt động của mạng máy tính, mạng viễn thông, mạng Internet,

thiết bị số nói riêng, trong đó có hành vi tấn công từ chối dịch vụ. Để nâng cao hiệu
quả công tác đấu tranh phòng, chống loại hành vi này, lực lƣợng Cảnh sát phòng,
chống tội phạm sử dụng công nghệ cao cần có nhận thức đúng đắn và đầy đủ về các
đặc điểm liên quan đến thủ đoạn tấn công từ chối dịch vụ. Thực tế, cũng đã có nhiều
giải pháp về phòng chống DDoS, tuy nhiên, các giải pháp về phần cứng thì khá đắt đỏ,
các giải pháp về phần mềm thì rời rạc, chƣa tổng hợp. Vì vậy, tôi đã lựa chọn đề tài :


2

”Nghiên cứu tấn công DDOS và xây dựng giải pháp ngăn chặn”, với mục
đích xây dựng, kiểm thử một số giải pháp sử dụng phần mềm mã nguồn mở để các
công ty vừa và nhỏ có thể triển khai dễ dàng.
Tổng quan về vấn đề nghiên cứu:
Tấn công DDoS rất khó phát hiện và phòng chống hiệu quả do số lƣợng các
host bị điều khiển tham gia tấn công thƣờng rất lớn và nằm rải rác ở nhiều nơi. Ở
những quy mô nhỏ đối với các doanh nghiệp vừa và nhỏ, những ngƣời quản trị website
và máy chủ cũng nhƣ cung cấp dịch vụ thông qua các web server và VPS luôn luôn
phải hứng chịu rất nhiều cuộc tấn công DDOS từ các đối thủ cạnh tranh gây trở ngại
trong việc cung cấp và duy trì dịch vụ. Để có giải pháp phòng chống tấn công DDoS
hiệu quả, việc nghiên cứu về các dạng tấn công DDoS là cần thiết. Luận văn này đƣa ra
cái nhìn tổng quan về các dạng tấn công DDoS và các biện pháp phòng chống tấn công
DdoS từ đó xây dựng một số giải pháp giúp nâng cao hiểu biết về dạng tấn công này và
trên cơ sở đó lựa chọn các biện pháp phòng chống hiệu quả.
Mục đích nghiên cứu:
Nghiên cứu tìm hiểu về DDoS, phân loại DDoS, giới thiệu một số công cụ tấn
công DDoS và các giải pháp phòng thủ DDoS mà về mặt chủ quan học viên nhận thấy
đƣợc tính khả thi. Dựa trên các giải pháp đã trình bày xây dựng một số kịch bản kiểm
thử việc ngăn chặn tấn công DDOS với mục tiêu là các server và máy chủ của doanh
nghiệp vừa và nhỏ.

Đối tƣợng và phạm vi nghiên cứu:
Nghiên cứu về các loại hình tấn công từ chối dịch vụ phân tán và một số giải
pháp dựa trên phần mềm mã nguồn mở. Từ đó học viên cài đặt và kiểm thử hai giải
pháp có giá thành rẻ, dễ triển khai với cá nhân và các doanh nghiệp vừa và nhỏ.
Phƣơng pháp nghiên cứu:


3

Học viên thu thập tài liệu, bài báo và các báo cáo về tấn công từ chối dịch vụ
phân tán trong Internet. Nghiên cứu về tình hình và các cách thức tấn công từ chối dịch
vụ trong mạng Internet và nghiên cứu xây dựng một số giải pháp ngăn chặn tấn công.
Luận văn bao gồm 3 chƣơng :
- Chƣơng I. Tổng quan về tấn công DDoS: Giới thiệu chung về DDoS, phân
loại các kiểu tấn công DDoS, giới thiệu một số công cụ tấn công DDoS.
- Chƣơng II. Giải pháp ngăn chặn tấn công DDOS: Trình bày về lý thuyết và
một số cấu hình cơ bản và quan trọng của Iptables và (D)Dos-Deflate.
- Chƣơng III. Cài đặt và thử nghiệm một số giải pháp ngăn chặn tấn công
DDoS: Trình bày mô hình thực tế, giải pháp, mô hình thực nghiệm và quá trình kiểm
tra đánh giá, nhận xét hệ thống phòng chống xâm nhập.


4

CHƢƠNG I. TỔNG QUAN VỀ TẤN CÔNG DDOS.
1.1. Giới thiệu chung về tấn công DDoS.
Tấn công bằng từ chối dịch vụ DoS (Denial of Service) có thể mô tả nhƣ hành
động ngăn cản những ngƣời dùng hợp pháp khả năng truy cập và sử dụng vào một dịch
vụ nào đó. Nó bao gồm: làm tràn ngập mạng, mất kết nối với dịch vụ… mà mục đích
cuối cùng là máy chủ (Server) không thể đáp ứng đƣợc các yêu cầu sử dụng dịch vụ từ

các máy trạm (Client).
Tấn công từ chối dịch vụ phân tán (Distributed Denial of Service – DDoS) là
một dạng phát triển ở mức độ cao của tấn công DoS đƣợc phát hiện lần đầu tiên vào
năm 1999 . Khác biệt cơ bản của tấn công DoS và DDoS là phạm vi tấn công.Trong
khi lƣu lƣợng tấn công DoS thƣờng phát sinh từ một hoặc một số ít host nguồn, lƣu
lƣợng tấn công DDoS thƣờng phát sinh từ rất nhiều host nằm rải rác trên mạng
Internet. Hiện nay, có hai phƣơng pháp tấn công DDoS chủ yếu .

1.2. Phân loại các kiểu tấn công DDoS.
Nhìn chung, có rất nhiều biến thể của kỹ thuật tấn công DDoS nhƣng nếu nhìn
dƣới góc độ chuyên môn thì có thể chia các biến thề này thành hai loại dựa trên mụch
đích tấn công: Làm cạn kiệt băng thông và làm cạn kiệt tài nguyên hệ thống. Dƣới đây
là sơ đồ mô tả sự phân loại các kiểu tấn công DDoS.

Hình 1.1: Phân loại các kiểu tấn công DDOS.


5

1.2.1 Tấn công làm cạn kiệt băng thông.
Tấn công làm cạn kiệt băng thông (BandWith Depletion Attack) đƣợc thiết kế
nhằm làm tràn ngập mạng mục tiêu với những traffic không cần thiết, với mục địch
làm giảm tối thiểu khả năng của các traffic hợp lệ đến đƣợc hệ thống cung cấp dịch vụ
của mục tiêu.
Có hai loại tấn công làm cạn kiệt băng thông :
- Flood attack: Điều khiển các Agent gửi một lƣợng lớn traffic đến hệ thống dịch vụ
của mục tiêu, làm dịch vụ này bị hết khả năng về băng thông.
- Amplification attack: Điều khiển các Agent hay Client tự gửi packet đến một địa
chỉ IP broadcast, làm cho tất cả các máy trong subnet này gửi packet đến hệ thống dịch
vụ của mục tiêu. Phƣơng pháp này làm gia tăng traffic không cần thiết, làm suy giảm

băng thông của mục tiêu.

1.2.1.1 Flood attack.
Trong phƣơng pháp này, các Agent sẽ gửi một lƣợng lớn IP traffic làm hệ
thống dịch vụ của mục tiêu bị chậm lại, hệ thống bị treo hay đạt đến trạng thái hoạt
động bão hòa. Làm cho những ngƣời dùng thực sự của hệ thống không sử dụng đƣợc
dịch vụ.
Ta có thể chia Flood Attack thành hai loại:
- UDP Flood Attack: Điều khiển các Agent gửi một lƣợng lớn traffic đến hệ
thống dịch vụ của mục tiêu, làm dịch vụ này bị hết khả năng về băng thông.
- ICMP Flood Attack: Điều khiển các Agent hay Client tự gửi packet đến một
địa chỉ IP broadcast, làm cho tất cả các máy trong subnet này gửi packet đến hệ thống
dịch vụ của mục tiêu. Phƣơng pháp này làm gia tăng traffic không cần thiết, làm suy
giảm băng thông của mục tiêu.


6

1.2.1.2. Amplification Attack.
Amplification Attack nhắm đến việc sử dụng các chức năng hỗ trợ địa chỉ IP
broadcast của các router nhằm khuyếch đại và hồi chuyển cuộc tấn công. Chức năng
này cho phép bên gửi chỉ định một địa chỉ IP broadcast cho toàn subnet bên nhận thay
vì nhiều địa chỉ. Router sẽ có nhiệm vụ gửi đến tất cả địa chỉ IP trong subnet đó packet
broadcast mà nó nhận đƣợc.
Attacker có thể gửi broadcast packet trực tiếp hay thông qua một số Agent nhằm
làm gia tăng cƣờng độ của cuộc tấn công. Nếu attacker trực tiếp gửi packet, thì có thể
lợi dụng các hệ thống bên trong broadcast network nhƣ một Agent.

Hình 1.2: Amplification Attack.


Có thể chia amplification attack thành hai loại, Smuft va Fraggle attack:
- Smuft attack: trong kiểu tấn công này attacker gửi packet đến network
amplifier (router hay thiết bị mạng khác hỗ trợ broadcast), với địa chỉ của nạn
nhân.


7

- Fraggle Attack: tƣơng tự nhƣ Smuft attack nhƣng thay vì dùng ICMP ECHO
REQUEST packet thì sẽ dùng UDP ECHO packet gửi đến mục tiêu.

1.2.2. Tấn công làm cạn kiệt tài nguyên.
Tấn công làm cạn kiệt tài nguyên (Resource Deleption Attack) là kiểu tấn công
trong đó Attacker gửi những packet dùng các protocol sai chức năng thiết kế, hay gửi
những packet với dụng ý làm tắt nghẽn tài nguyên mạng làm cho các tài nguyên này
không phục vụ những ngƣời dùng thông thƣờng khác đƣợc.

1.2.2.1. Protocol Exploit Attack.
- TCP SYN Attack: Transfer Control Protocol hỗ trợ truyền nhận với độ tin
cậy cao nên sử dụng phƣơng thức bắt tay giữa bên gửi và bên nhận trƣớc khi truyền dữ
liệu. Bƣớc đầu tiên, bên gửi gửi một SYN REQUEST packet (Synchronize). Bên nhận
nếu nhận đƣợc SYN REQUEST sẽ trả lời bằng SYN/ACK packet. Bƣớc cuối cùng,
bên gửi sẽ truyên packet cuối cùng ACK và bắt đầu truyền dữ liệu.

Hình 1.3: Ba bƣớc kết nối TCP/IP.

Nếu bên server đã trả lời một yêu cầu SYN bằng một SYN/ACK nhƣng không
nhận đƣợc ACK packet cuối cùng sau một khoảng thời gian quy định thì nó sẽ gửi lại
SYN/ACK cho đến hết thời gian timeout. Toàn bộ tài nguyên hệ thống “dự trữ” để xử
lý phiên giao tiếp nếu nhận đƣợc ACK packet cuối cùng sẽ bị “phong tỏa” cho đến hết

thời gian timeout.


8

Hình 1.4: Trƣờng hợp IP nguồn giả.

Nắm đƣợc điểm yếu này, attacker gửi một SYN packet đến nạn nhân với địa chỉ
bên gửi là giả mạo, kết quả là nạn nhân gửi SYN/ACK đến một địa chỉ khác và sẽ
không bao giờ nhận đƣợc ACK packet cuối cùng, cho đến hết thời gian timeout nạn
nhân mới nhận ra đƣợc điều này và giải phóng các tài nguyên hệ thống. Tuy nhiên, nếu
lƣợng SYN packet giả mạo đến với số lƣợng nhiều và dồn dập, hệ thống của nạn nhân
có thể bị hết tài nguyên.
- PUSH và ACK Attack: Trong TCP protocol, các packet đƣợc chứa trong
buffer, khi buffer đầy thì các packet này sẽ đƣợc chuyển đến nơi cần thiết. Tuy nhiên,
bên gửi có thể yêu cầu hệ thống unload buffer trƣớc khi buffer đầy bằng cách gửi một
packet với cờ PUSH và ACK mang giá trị là 1. Những packet này làm cho hệ thống
của nạn nhân unload tất cả dữ liệu trong TCP buffer ngay lập tức và gửi một ACK
packet trở về khi thực hiện xong điều này, nếu quá trình đƣợc diễn ra liên tục với nhiều
Agent, hệ thống sẽ không thể xử lý đƣợc lƣợng lớn packet gửi đến và sẽ bị treo.

1.2.2.2 Malformed Packet Attack.
Malformed Packet Attack là cách tấn công dùng các Agent để gửi các packet
có cấu trúc không đúng chuẩn nhằm làm cho hệ thống của nạn nhân bị treo.
Có hai loại Malformed Packet Attack:
- IP address attack: dùng packet có địa chỉ gửi và nhận giống nhau làm cho hệ
điều hành của nạn nhân không xử lý nổi và bị treo.


9


- IP packet options attack: ngẫu nhiên hóa vùng OPTION trong IP packet và
thiết lập tất cả các bit QoS lên 1, điều này làm cho hệ thống của nạn nhân phải tốn thời
gian phân tích, nếu sử dụng số lƣợng lớn Agent có thể làm hệ thống nạn nhân hết khả
năng xử lý.

1.3. Một số kiểu tấn công DDoS và các công cụ tấn công DDoS
1.3.1. Một số kiểu tấn công DDoS
Bên cạnh việc phân loại các kiểu tấn công theo mục đích tấn công, ta còn có thể
phân loại theo cách tấn công vào giao thức. Dƣới đây là phân loại một số cách tấn công
DDoS theo giao thức :
( tham khảo từ />- HTTP Flood
- SYN Flood
- ICMP Flood
- TCP Reset
- UDP Flood

1.3.2. Một số công cụ tấn công DDoS
Một vài công cụ tấn công DDOS thƣờng đƣợc sử dụng để tiến hành tấn công
DDOS và là những công cụ rất dễ sử dụng và luôn sẵn có trên mạng Internet. Hơn nữa,
những công cụ này rất dễ sử dụng kể cả đối với ngƣời không có nhiều chuyên môn.
Chúng ta có thể liệt kê một vài công cụ ở dƣới đây: [1, tr.3]
 HOIC

(High Orbit Ion Canon)

 LOIC

(Low Orbit Ion Canon)


 XOIC


10

 R-U-Dead-Yet
 Pyloris
 OWASP DOS HTTP Post
 GoldenEye HTTP Denial of Service Tool
 Slowloris HTTP Dos

1.3.3. Một số đặc tính của công cụ tấn công DDoS.
Có rất nhiều điểm chung về mặt software của các công cụ DDoS attack. Có thể kể ra
một số điểm chung nhƣ: cách cài Agent software, phƣơng pháp giao tiếp giữa các
attacker, handler và Agent, điểm chung về loại hệ điều hành hỗ trợ các công cụ này.
Hình 1.5 mô tả sự so sánh tƣơng quan giữa các công cụ tấn công DDoS này.

Hình 1.5: Đặc điểm chung của các công cụ tấn công DDOS.

1.4. Tấn công DDOS với mục tiêu là doanh nghiệp vừa và nhỏ.
Theo Verisign, các doanh nghiệp vừa và nhỏ hiện nay gặp nhiều cuộc tấn công
từ chối dịch vụ hơn trƣớc một phần do việc thực hiện một cuộc tấn công DDoS ngày
nay đã trở nên dễ dàng hơn đối với những kẻ tấn công nhờ sự xuất hiện của điện toán
đám mây, hosting giá rẻ, băng thông có sẵn và những công cụ tấn công mã nguồn mở.
Không những thế, thị trƣờng "cho thuê DDoS (DDoS-for-hire)" đang ngày một nở rộ,


11

từ những thiếu niên hay lừa đảo khi chơi trò chơi trực tuyến cho đến những tội phạm

mạng tìm cách gia tăng thu nhập bằng việc cho thuê mạng máy tính botnet của họ để
gia tăng thu nhập. Những lĩnh vực bị tấn công DDoS nhiều nhất gồm: Dịch vụ IT/đám
mây/SaaS (49%); Khối hành chính công (32%).
Tuy nhiên, tiền vẫn là mục tiêu chính cho các cuộc tấn công DdoS. Mối quan
tâm ngày càng tăng với tiền ảo dẫn đến sự gia tăng giá trị trao đổi trong quý II năm
2017. Vụ trao đổi Bitcoin lớn nhất, Bitfinex bị tấn công cùng lúc với việc mua bán loại
tiền IOT mới mà IOTA đã đƣa ra trƣớc đó. BTC-E cho biết, dịch vụ của họ đã bị chậm
do cuộc tấn công DDoS mạnh mẽ này. Rõ ràng, với cách này tội phạm mạng đang cố
gắng thao túng tỷ giá tiền tệ, điều có thể khiến sự biến động tiền ảo tăng cao.
Những tổn thất về tài chính bắt nguồn từ các cuộc tấn công DdoS tăng không
ngừng, các cơ quan thực thi pháp luật bắt đầu có những hành động nghiêm túc hơn.
Vào tháng 4 năm 2017, ở Anh, một thanh niên đã bị kết án 2 năm tù vì một loạt vụ tấn
công mà anh ta đã tiến hành từ 5 năm trƣớc khi vẫn còn là sinh viên. Ngƣời đàn ông
này đã tạo ra mạng botnet Titanium Stresser và kinh doanh các dịch vụ của mình trên
một chợ darknet, và kiếm đƣợc khoảng 386,000$.
Không có nhiều đổi mới kỹ thuật trong các cuộc tấn công DdoS trong Quý II,
tuy nhiên tin tức liên quan đến một cuộc tấn công DdoS vector mới đáng đƣợc chú ý.
Các nhà nghiên cứu từ Corero Network Security báo cáo rằng họ đã đăng ký hơn 400
cuộc tấn công với sự trợ giúp của các máy chủ LDAP đƣợc cấu hình sai.
Trên phƣơng diện là ngƣời quản lý, vận hành website và dịch vụ trực tuyến, bản
thân học viên cũng luôn gặp phải các cuộc tấn công từ chối dịch vụ làm cho việc cung
cấp và duy trì dịch vụ đến ngƣời dùng gặp rất nhiều trở ngại. Chính điều đó đã thôi
thúc học viên nghiên cứu và tìm giải pháp phòng chống lại các cuộc tấn công từ chối
dịch vụ.

1.5. Kết luận chƣơng.
Ta có thể thấy đƣợc việc tấn công DDoS là rất phức tạp cũng nhƣ gây ra hậu quả rất
lớn. Chƣơng này đã chỉ ra đƣợc các vấn đề tổng quan về DDoS và phân loại các kiểu
tấn công DDoS điển hình.



12

CHƢƠNG II. GIẢI PHÁP NGĂN CHẶN TẤN CÔNG DDOS.
2.1. Tại sao DDoS khó giải quyết.
Thực hiện tấn công DDoS có 2 trƣờng phái chính: đó là nhằm vào điểm yếu
(vulnerability attack) và làm ngập mạng (flooding attack). Do có 1 số đặc tính về kĩ
thuật nhƣ sau làm ta rất khó giải quyết đƣợc triệt để các cuộc tấn công DDoS:
- Sự đơn giản: Một ngƣời bình thƣờng không rành về mạng cung có thể thực
hiện 1 cuộc tấn công từ chối dịch vụ. Bởi vì đã có sẵn rất nhiều công cụ DDoS trên
mạng và cả hƣớng dẫn sử dụng đầy đủ từ a-z để thực hiện.
- Sự đa dạng của các gói tin tấn công: Sự giống nhau giữa các traffic tấn công và
các traffic hợp lệ làm quản trị viên khó có thể phân biệt đƣợc. Khác với các nguy cơ
bảo mật nhƣ virut, worm, adware… cần phải có những gói tin mánh khóe, mẹo mực
lợi dụng vào lỗ hổng, nhƣng flood attack chỉ cần lƣu lƣợng lớn traffic và header cũng
nhƣ nội dung packet đều có thể tùy ý theo Attacker.
- IP spoofing: Sự giả mạo IP làm cho các traffic attack từ agents đến nhƣ là từ
những ngƣời dùng hợp lệ. Vì thế quản trị viên rất khó phân biệt để có thể từ chối phục
vụ những request tấn công.
- Lƣợng traffic lớn, gửi với tần suất cao: Lƣợng traffic khổng lồ mà DDoS tạo ra
không chỉ làm ngập tài nguyên của Victim, mà còn làm quản trị viên rất khó mô tả,
phân tích và tách biệt đƣợc packet hợp lệ và packet tấn công chúng.
- Số lƣợng lớn các Agents: Một trong những điểm mạnh của tấn công DDoS là
có thể huy động đƣợc 1 số lƣợng lớn Agent phân tán trên toàn Internet. Khi đó, luồng
tấn công sẽ lan tỏa trên nhiều nhánh tới Victim, điểm tụ tấn công sẽ gần sát nạn nhân,
và hệ thống phòng thủ sẽ rất khó có thể chống từ phía xa. Ngoài ra, hệ thống Agent
phân tán cũng đồng nghĩa với sự phức tạp, phong phú, khác biệt về mô hình quản lý
mạng giữa các ISP khác nhau, vì thế các cơ cơ chế phòng thủ yêu cầu sự phối hợp từ
nhiều nơi sẽ triển khai khó khăn hơn rất nhiều.



13

- Những điểm yếu trên mô hình mạng Internet: Có những cơ chế, giao thức
mạng mà khi thiết kế ngƣời ta chƣa lƣờng trƣớc đƣợc những điểm yếu có thể bị lợi
dụng (ví dụ TCP SYN, ping of Death, LAND Attack…). Đôi khi là lỗi của nhà quản trị
khi cấu hình các policy mạng chƣa hợp lý.

2.2. Những thách thức khi xây dựng hệ thống phòng thủ DDoS.
Do những tính chất phức tạp của DDoS nhƣ đã trình bày ở trên, nên xây dựng 1
hệ thống phòng thủ DDoS là không đơn giản. Để làm đƣợc điều đó cần xử lý đƣợc trên
cả 2 lĩnh vực: kĩ thuật và xã hội.

2.2.1. Những thách thức về mặt kĩ thuật.
Cần sự xử lý phân tán từ nhiều điểm trên Internet: Vì attack traffic xảy ra từ
nhiều nguồn khác nhau, đi qua toàn mạng Internet trong khi thƣờng chỉ có một mình
Victim với ít thiết bị, quyền hạn, khả năng xử lý hạn chế nên không thể đạt đƣợc hiệu
quả cao. Sự tấn công phân tán thì cần sự phòng thủ phân tán thì mới giải quyết triệt để
đƣợc.
Thiếu thông tin chi tiết về các cuộc tấn công thực tế: Có không nhiều thông tin
về tác hại của DDoS gây lên cho các doanh nghiệp, nó thƣờng chỉ có khi tác hại của
nó là rõ ràng và doanh nghiệp không thể tự xử lý đƣợc mà phải báo lên chính quyền.
Vì thế lại càng ít các thông tin chi tiết, nhƣ là bản log các traffic, sơ đồ mạng chi tiết
của doanh nghiệp.
Khó thử nghiệm trên thực tế: Những hệ thống thử nghiệm DDoS ở phòng thí
nghiệm không thể phản ánh đúng thực tế rộng lớn, phong phú trên mạng Internet đƣợc.
Trong khi đó nếu muốn triển khai để thử nghiệm thật qua Internet thì các điều luật
không cho phép, vì tấn công DDoS không chỉ ảnh hƣởng đến Victim, mà còn liên quan
đến rất nhiều các thành phần khác nhƣ router, switch… của ISP quản lý ở phần lõi
Mạng. Còn nếu thử nghiệm luôn trên 1 hệ thống thật đang bị tấn công thì lại thiếu

thông tin cần đo đạc ở Agent, Handler, Attacker…


14

Chƣa có chuẩn đánh giá các hệ thống phòng thủ: Có nhiều vendor đã công bố
rằng giải pháp của họ có thể giải quết đƣợc DDoS. Nhƣng hiện tại chƣa có 1 lộ trình
chuẩn nào để kiểm thử các hệ thống phòng thủ DDoS. Từ đó dẫn đến 2 vấn đề: thứ
nhất là những ngƣời phát triển hệ thống phòng thủ tự test chính họ, do đó những thiết
kế sẽ luôn phù hợp nhất để hệ thống đó hoạt động thuận lợi. Thứ hai là những nghiên
cứu về DDoS không thể so sánh hiệu suất thực tế của các hệ thống phòng thủ khác
nhau, thay vào đó, họ chỉ có thể nhận xét về từng giải pháp trên môi trƣờng thử
nghiệm.

2.2.2. Những thách thức về mặt xã hội.
Một thử thách lớn khi muốn giải quyết triệt để vấn nạn tấn công DDoS là về
yếu tố Xã hội. Có rất nhiều điều luật về an ninh, bảo mật của nhiều đất nƣớc, nhiều ISP
khác nhau mà ngƣời triển khai khó có thể thỏa mãn tất cả để thực hiện hệ thống phòng
thủ của mình. Ví dụ ISP không cho bạn sơ đồ chi tiết cấu hình Mạng, không cho phép
bạn tự do cài đặt chƣơng trình trên các router của họ… Đối với các nạn nhân của
DDoS, thông thƣờng là các doanh nghiệp, thì việc đầu tiên là họ sẽ cố gắng tự mình
giải quyết, nếu thành công thì sẽ giấu kín, không công bố cho bên ngoài là mình đang
bị tấn công vì lo ngại ảnh hƣởng đến danh tiếng của công ty. Chỉ khi nào dịch vụ của
họ bị chết hẳn, không thể tự cứu thì mới liên hệ với các ISP và chính quyền.
Một vấn đề khác là đôi khi cần phải sửa đổi một số điểm yếu của các kiến trúc
mạng để giảm tác hại của DDoS, ví dụ nhƣ giao thức TCP, IP, HTTP… Nhƣng không
dễ làm đƣợc điều đó, vì hiện tại đã có rất nhiều hệ thống xây dựng trên nền tảng cũ, và
không thể ngày thay đổi trong ngày một ngày hai đƣợc.
Có một đặc điểm của DDoS là khi Victim bị tấn công, thì nếu muốn triệt để
không còn traffic DDoS nữa, thì phải làm sao yêu hàng nghìn Agent ngừng tấn công.

Chỉ có 1 cách làm đƣợc điều này là tại các Agent phải cài đặt 1 phần mềm, hay hệ
thống để ngăn chặn gói tin DDoS ngay khi vừa sinh ra. Nhƣng không dễ thuyết phục
đƣợc các End User làm điều đó, vì nó không mang lại lợi ích trực tiếp gì cho bản thân
họ, đôi khi còn làm ảnh hƣởng đến hiệu năng mạng của End User.


15

Yếu tố cuối cùng là thiếu sự thống nhất về các điều luật, chế tài xử phạt các
Attacker, Handler, Agents giữa các bộ luật về Công nghệ thông tin của các nƣớc và
giữa các quy định về bảo mật, an toàn của các Internet Service Provider.

2.3. Mục tiêu của phòng chống DDOS.
2.3.1. Phòng chống DDoS
Có rất nhiều giải pháp và ý tƣởng đƣợc đƣa ra nhằm đối phó với các cuộc tấn
công kiểu DDoS. Tuy nhiên không có giải pháp và ý tƣởng nào là giải quyết trọn vẹn
bài toán Phòng chống DDoS. Các hình thái khác nhau của DDoS liên tục xuất hiện
theo thời gian song song với các giải pháp đối phó, tuy nhiên cuộc đua vẫn tuân theo
quy luật tất yếu của bảo mật máy tính: “Hacker luôn đi trƣớc giới bảo mật một bƣớc”.
Có ba giai đoạn chính trong quá trình Phòng chống DDoS:
- Giai đoạn ngăn ngừa: tối thiểu hóa lƣợng Agent, tìm và vô hiệu hóa các Handler.
- Giai đoạn đối đầu với cuộc tấn công: Phát hiện và ngăn chặn cuộc tấn công, làm suy
giảm và dừng cuộc tấn công, chuyển hƣớng cuộc tấn công.
- Giai đoạn sau khi cuộc tấn công xảy ra: thu thập chứng cứ và rút kinh nghiệm.

Hình 2.1: Các giai đoạn chi tiết trong phòng chống DDoS.


16


2.3.1.1. Tối thiểu hóa lƣợng Agent.
Từ phía ngƣời dùng: một phƣơng pháp rất tốt để ngăn ngừa tấn công DDoS là
từng ngƣời dùng Internet sẽ tự đề phòng không để bị lợi dụng tấn công hệ thống khác.
Muốn đạt đƣợc điều này thì ý thức và kỹ thuật phòng chống phải đƣợc phổ biến rộng
rãi cho mọi ngƣời dùng. Mạng lƣới Botnet sẽ không bao giờ hình thành nếu không có
ngƣời nào bị lợi dụng trở thành Agent. Mọi ngƣời dùng phải liên tục thực hiện các quá
trình bảo mật trên máy vi tính của mình. Họ phải tự kiểm tra sự hiện diện của Agent
trên máy của mình, điều này là rất khó khăn đối với những ngƣời dùng thông thƣờng.
Một giải pháp đơn giản là nên cài đặt và update liên tục các software nhƣ antivirus,
antitrojan và các bản patch của hệ điều hành.
Từ phía Network Service Provider: Thay đổi cách tính tiền dịch vụ truy cập
theo dung lƣợng sẽ làm cho user lƣu ý đến những gì họ gửi, nhƣ vậy về mặt ý thức tăng
cƣờng phát hiện DDoS Agent sẽ tự nâng cao ở mỗi ngƣời dùng.

2.3.1.2. Tìm và vô hiệu hóa các Handler.
Một nhân tố vô cùng quan trọng trong mạng Botnet là Handler, nếu có thể phát
hiện và vô hiệu hóa Handler thì khả năng Phòng chống DDoS thành công là rất cao.
Bằng cách theo dõi các giao tiếp giữa Handler và Client hay Handler và Agent ta có thể
phát hiện ra vị trí của Handler. Do một Handler quản lý nhiều, nên triệt tiêu đƣợc một
Handler cũng có nghĩa là loại bỏ một lƣợng đáng kể các Agent trong mạng Botnet.

2.3.1.3. Phát hiện dấu hiệu của cuộc tấn công.
Có nhiều kỹ thuật đƣợc áp dụng:
- Agress Filtering: Kỹ thuật này kiểm tra xem một packet có đủ tiêu chuẩn ra
khỏi một subnet hay không dựa trên cơ sở gateway của một subnet luôn biết đƣợc địa
chỉ IP của các máy thuộc subnet. Các packet từ bên trong subnet gửi ra ngoài với địa
chỉ nguồn không hợp lệ sẽ bị giữ lại để điều tra nguyên nhân. Nếu kỹ thuật này đƣợc áp



Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×