Tải bản đầy đủ (.pdf) (89 trang)
  1. Trang chủ
    2. >>
  2. Cao đẳng - Đại học
    3. >>
  3. Công nghệ thông tin

Kỹ thuật lọc gói tin và ứng dụng trong bảo vệ mạng tại trung tâm GDTX tỉnh vĩnh phúc

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (10.31 MB, 89 trang )

ĐÀO THỊ MINH

BỘ GIÁO DỤC VÀ ĐÀO TẠO
VIỆN ĐẠI HỌC MỞ HÀ NỘI

CÔNG NGHỆ THÔNG TIN

LUẬN VĂN THẠC SỸ
CHUYÊN NGÀNH: CÔNG NGHỆ THÔNG TIN

TÊN ĐỀ TÀI:KỸ THUẬT LỌC GÓI TIN VÀ ỨNG
DỤNG TRONG BẢO VỆ MẠNG
KHÓA HỌC 2015 - 2017

HỌ VÀ TÊN TÁC GIẢ: ĐÀO THỊ MINH

HÀ NỘI - NĂM 2017


BỘ GIÁO DỤC VÀ ĐÀO TẠO
VIỆN ĐẠI HỌC MỞ HÀ NỘI

LUẬN VĂN THẠC SỸ
TÊN ĐỀ TÀI: KỸ THUẬT LỌC GÓI TIN VÀ ỨNG
DỤNG TRONG BẢO VỆ MẠNG
HỌ VÀ TÊN TÁC GIẢ: ĐÀO THỊ MINH
CHUYÊN NGÀNH : CÔNG NGHỆ THÔNG TIN
MÃ SỐ: 60.48.02.018

HƯỚNG DẪN KHOA HỌC: PGS.TS NGUYỄN VĂN TAM


HÀ NỘI - NĂM 2017
ii


LỜI CAM ĐOAN
Những kết quả nghiên cứu được trình bày trong luận văn là hoàn toàn trung
thực không vi phạm bất cứ điều gì trong luật sở hữu trí tuệ và pháp luật Việt nam. Các
thông tin thứ cấp sử dụng trong luận văn có nguồn gốc và được trích dẫn rõ ràng. Tôi
hoàn toàn trách nhiệm về tính xác thực của luận văn.
Hà Nội, tháng 10 năm 2017
Tác giả luận văn

Đào Thị Minh

i


LỜI CẢM ƠN
Trước hết tôi xin gửi lời biết ơn sâu sắc tới PGS.TS Nguyễn Văn Tam đã dành
rất nhiều thời gian và tâm huyết hướng dẫn, nghiên cứu và giúp tôi hoàn thành luận
văn này.
Để hoàn thành chương trình cao học và viết luận văn này, tôi đã nhận được sự
hướng dẫn, giúp đỡ và góp ý nhiệt tình của các thầy cô giáo Viện Đại học Mở Hà Nội.
Tôi xin chân thành cảm ơn các thầy cô đã tận tình dạy bảo tôi trong suốt suốt quá trình
học tập và nghiên cứu.
Đồng thời, tôi xin cảm ơn Ban giám đốc, đồng nghiệp Trung tâm GDTX tỉnh Vĩnh
Phúc đã tạo điều kiện hỗ trợ cho tôi rất nhiều trong suốt thời gian học tập và nghiên cứu
thực hiện đề tài luận văn thạc sỹ một cách hoàn chỉnh.
Điều đặc biệt tôi cần nhắc đến đó là gia đình nhỏ của tôi, Mẹ tôi và anh chị em
trong nhà và cả người cha kính yêu của tôi.

Mặc dù tôi đã cố gắng rất nhiều để thực hiện luận văn, tuy nhiên khó tránh khỏi
những thiếu sót. Tôi rất mong nhận được sự thông cảm và đóng góp ý kiến của các
thầy cô và các bạn.
Học viên
Đào Thị Minh

ii


MỤC LỤC
Trang
LỜI CAM ĐOAN ..................................................................................................... i
LỜI CẢM ƠN .......................................................................................................... ii
MỤC LỤC .............................................................................................................. iii
DANH KÝ HIỆU CÁC TỪ VIẾT TẮT ................................................................... v
DANH MỤC CÁC HÌNH VẼ ................................................................................ vii
MỞ ĐẦU ................................................................................................................. 1
1. Lý do chọn đề tài................................................................................................... 1
2. Mục đích và mục tiêu nghiên cứu .......................................................................... 1
3. Phương pháp nghiên cứu ...................................................................................... 1
4. Nội dung nghiên cứu ............................................................................................ 2
CHƯƠNG 1. TỔNG QUAN VỀ AN TOÀN VÀ BẢO MẬT TRONG MẠNG IP ... 3
1.1. Các kỹ thuật tấn công mạng IP [3] .................................................................... 3
1.1.1. Kỹ thuật thu thập, chặn bắt thông tin ........................................................... 3
1.1.2. Kỹ thuật tấn công xâm nhập mạng............................................................... 4
1.2.3. Kỹ thuật tấn công từ chối dịch vụ DoS, DdoS [6] ........................................ 5
1.2. Giải pháp an toàn bảo vệ mạng IP ................................................................... 10
1.2.1. Các mạng riêng ảo (VPN - Virtual Private Network) [8] ........................... 10
1.2.2. Giải pháp mật mã thông tin (Cryptography) [3] ......................................... 10
1.2.3. Giải pháp phát hiện và phòng tránh xâm nhập IDS, IPS [4] ....................... 16

Kết luận chương 1: ............................................................................................... 19
CHƯƠNG 2: TƯỜNG LỬA VÀ KỸ THUẬT LỌC GÓI TIN ............................... 21
2.1.

Giới thiệu về tường lửa (Firewall) [2] ........................................................ 21

2.1.1. Định nghĩa, chức năng của Bức tường lửa.(BTL) ...................................... 21
2.1.2. Phân loại bức tường lửa ............................................................................ 22
2.1.3. Kiến trúc và cơ chế hoạt động của bức tường lửa lọc gói [6] .................... 26
2.2. Kỹ thuật lọc gói tin [1] .................................................................................... 30
2.2.1. Kỹ thuật lọc gói không trạng thái [4] ......................................................... 32
iii


2.2.1.1. Giải thuật lọc gói không trạng thái ..................................................... 32
2.2.1.2. Lọc gói dựa trên tiêu đề TCP/UDP ..................................................... 34
2.2.1.3. Lọc gói dựa trên tiêu đề của gói tin IP ................................................ 39
2.2.1.4. Mặc định từ chối so với mặc định cho phép........................................ 41
2.2.2. Kỹ thuật lọc gói trạng thái đầy đủ .............................................................. 42
2.2.2.1. Giải thuật lọc gói trạng thái đầy đủ ..................................................... 42
2.2.2.2. Theo dõi trạng thái ............................................................................. 44
2.2.2.3. Lưu giữ và kiểm tra trạng thái ............................................................ 47
2.2.2.4. Theo dõi số trình tự của TCP .............................................................. 48
2.2.2.5. Kiểm tra giao thức .............................................................................. 49
2.2.3. Sự khác nhau giữa kỹ thuật lọc gói không trạng thái và kỹ thuật lọc gói
trạng thái đầy đủ ........................................................................................ 49
Kết luận chương 2: ............................................................................................. 50
CHƯƠNG 3. BÀI TOÁN THỬ NGHIỆM BỨC TƯỜNG LỬA LỌC GÓI TIN CHO
IP ........................................................................................................................... 52
3.1. Bài toán thử nghiệm ........................................................................................ 52

3.1.1. Xây dựng chính sách lọc gói không trạng thái ........................................... 53
3.1.2. Xây dựng chính sách lọc gói trạng trái đầy đủ ........................................... 54
3.2. Phân tích, lựa chọn công cụ thử nghiệm .......................................................... 55
3.3. Kết quả thử nghiệm và đánh giá. ..................................................................... 59
Kết luận chương 3:. .............................................................................................. 61
Phần kết luận: Tóm tắt các kết quả đạt được, hướng phát triển tiếp theo ............. 62
TÀI LIỆU THAM KHẢO ...................................................................................... 64
PHỤ LỤC .............................................................................................................. 65
Phụ lục 1: Cài đặt IPtables ...................................................................................... 65
Phụ lục 2: Cài đặt và thử nghiệm FWBINLDER .................................................... 68

iv


DANH KÝ HIỆU CÁC TỪ VIẾT TẮT
Viết tắt

ACK

Tiếng anh

Tiếng việt

Giao thức điều khiển truyền vận

Acknowledgement

Header xác thực được thêm vào sau
AH


Authentication Header.

AES

Advanced Encryption Standard.

Thuật toán mã hóa khối

DA

Destination Address.

Địa chỉ IP đích

DES

Data Encryption Standard.

Thuật toán mã đối xứng

DNS

Domain Name System.

Hệ thống tên miền

DoS

Denial of Service.


Tấn công từ chối dịch vụ

DDoS

Distributed Denial of Service.

Tấn công từ chối dịch vụ phân tán

DNAT

Destination Network Address
Translation

NAT động

header của gói tin IP

Phương thức đóng gói bảo vệ dữ
ESP

Encapsulated Security Payload.

liệu

ICMP

Internet Control Message Protocol.

IDEA


International Data Encryption Algorithm:

là một giao thức của gói Internet
Protocol. Giao thức này được các
thiết bị mạng như router dùng để
gửi đi
Thuật toán mã hóa dữ liệu
Đặt sự kiểm soát email trên mail

IMAP

Internet Message Access Protocol

server

Internet Protocol

Giao thức truyền trên mạng Internet

IPv6

Internet Protocol version 6

Giao thức IP phiên bản 6

IPv4

Internet Protocol version 4

Giao thức IP phiên bản 4


IDS

Intruction Detect System.

IP

Hệ thống phát hiện xâm nhập

v


IPS

Hệ thống phòng tránh truy cập trái

Intrusion Prevention System:

phép
Giao thức chính được sử dụng

IPX

Internetwork packet Exchange.

trong hệ điều hành mạng

LAN

Local area network.


Mạng cục bộ

MAC
NAT

Điều khiển địa chỉ truyền thông

Media Address Controller

Phương thức chuyển đổi địa chỉ.

Network Address Translation.

RSA là một phương thức mã hoá
RSA

Rivest Shamir Adleman.

công khai

SA

Security Association.

Địa chỉ IP nguồn

SYN

Synchronous Idle Character


SNMP

Simple Network Management
Protocol.

Tập hợp giao thức

SMTP

Simple Mail Transfer Protocol.

Giao thức truyền tải thư tín

UDP

User Datagram Protocol

Giao thức thông tin người sử dụng

OSI

Open Systems Interconnection.

Ký tự đồng bộ hoá

Mô hình tham chiếu kết nối hệ
thống mở
Là tải toàn bộ thông điệp email về
POP

TCP

Post Office Protocol:

client server yêu cầu

Transmission Control Protocol.

Giao thức điều khiển kết nối
Mạng riêng của một tổ chức
những sử dụng đường truyền công
cộng.

Virtual Private Network.
VPN

vi


DANH MỤC CÁC HÌNH VẼ
Trang
Hình 1. 1:Kỹ thuật bắt gói tin thụ động ........................................................................ 3
Hình 1. 2: Kỹ thuật Sniffers chủ động.......................................................................... 4
Hình 1. 3: Kỹ thuật Tấn công kiểu Smurf .................................................................... 6
Hình 1. 4: Kỹ thuật Tấn công kiểu SYN flood ............................................................. 8
Hình 1. 5: Kỹ thuật Tấn công DdoS ............................................................................. 9
Hình 1. 6: Phân loại tấn công DDoS ............................................................................ 9
Hình 1. 7: Mạng riêng ảo ........................................................................................... 10
Hình 1. 8. Sơ đồ thuật toán mã hoá ............................................................................ 12
Hình 1. 9. Vị trí của IDS trên mạng .......................................................................... 17

Hình 1. 10. Vị trí của TPS trên mạng ......................................................................... 19
Hình 2. 1. Firewall lọc gói ......................................................................................... 22
Hình 2. 2. Tường lửa ứng dụng .................................................................................. 24
Hình 2. 3. Tường lửa nhiều tầng ................................................................................ 25
Hình 2. 4. Kiến trúc máy chủ trung gian .................................................................... 26
Hình 2. 5. Kiến trúc máy chủ sàng lọc ....................................................................... 27
Hình 2. 6. Kiến trúc mạng con sàng lọc ..................................................................... 28
Hình 2. 7. Mô hình sử dụng nhiều Bastion Host ........................................................ 28
Hình 2. 8. Kiến trúc ghép chung Router trong và Router ngoài .................................. 29
Hình 2. 9. Kiến trúc ghép chung Bastion Host và Router ngoài ................................. 29
Hình 2. 10. Các luồng gói tin trên bức tường lửa lọc gói ........................................... 31
Hình 2. 11. Tiêu đề mảng tin TCP ............................................................................. 35
Hình 2. 12. Tiêu đề mảng tin UDP............................................................................. 35
Hình 2. 13. Các cổng trong giao thức TCP ................................................................ 37
Hình 2. 14. Quá trình bắt tay ba bước của giao thức TCP .......................................... 38
Hình 2. 15. Tiêu đề của gói tin IP .............................................................................. 39
Hình 2. 16. Thông điệp ICMP trong gói tin IP ........................................................... 46
Hình 3. 1. Sơ đồ kết nối mạng trong trường học ........................................................ 52
vii


Hình 3. 2. Netfilter và Iptables trong nhân Linux ....................................................... 56
Hình 3. 3. Các chính sách luật lọc gói không trạng thái ............................................. 59
Hình 3. 4. Các luật lọc gói tin không trạng thái được cài đặt ...................................... 60
Hình 3. 5. Các chính sách luật lọc gói trạng thái đầy đủ ............................................. 60
Hình 3. 6. Các luật lọc gói trạng thái đầy đủ được cài đặt .......................................... 61

viii



DANH MỤC CÁC LƯU ĐỒ
Lưu đồ 1. Thuật toán lọc gói không trạng thái ........................................................... 33
Lưu đồ 2. Thuật toán lọc gói trạng thái đầy đủ........................................................... 43

ix


DANH MỤC CÁC BẢNG BIỂU
Bảng 2. 1. Bảng dịch vụ và tương ứng với số cổng .................................................... 36
Bảng 3. 1. Miêu tả các target mà iptables thường……………………………………59

x


MỞ ĐẦU
1. Lý do chọn đề tài
Trong thời kỳ bùng nổ thông tin, việc có được thông tin chính xác kịp thời là
hết sức quan trọng đối với mọi tổ chức và doanh nghiệp. Mạng máy tính đặc biệt là
mạng Internet đã giúp cho mọi người tiếp cận, trao đổi những thông tin mới nhất
một cách nhanh chóng, thuận tiện. Mạng Internet đã mang lại cho con người những
lợi ích không thể phủ nhận, tuy nhiên nó cũng đặt ra một số thách thức, đặc biệt là
vấn đề an toàn thông tin.
Giao thức IP đang là giao thức cơ bản nhất của mạng Internet toàn cầu. Việc
kiểm soát luồng dữ liệu giữa mạng nội bộ của tổ chức và doanh nghiệp với mạng
IP bên ngoài là hết sức cần thiết, nó góp phần phòng chống các truy nhập bất hợp
pháp và các tấn công vào mạng nội bộ. Giải pháp lọc gói tin đã và đang là các công
cụ hữu hiệu trong việc bảo vệ mạng.Từ các phân tích trên, học viên chọnĐề tài “Kỹ
thuật lọc gói tin và ứng dụng trong bảo vệ mạng”để nghiên cứu.

2. Mục đích và mục tiêu nghiên cứu

Tìm hiểu và trình bày có chọn lọc về nguy cơ đe dọaan toàn mạng và đưa ra
một số giải pháp an toàn mạng.
Tìm hiểu và trình bày có chọn lọc khái niệm về tường lửa và kỹ thuật lọc gói
tin, sử dụng hai kỹ thuật lọc gói không trạng thái và lọc gói trạng thái đấy đủ.
Đưa ra bài toán và xây dựng phần mềm thử nghiệm cho bài toán lọc gói tin
trong IP với bức tường lửa mã nguồn mở Iptables
Đối tượng và phạm vi nghiên cứu
+ Mạng IP và kỹ thuật lọc gói tin
+ Giải pháp bảo vệ mạng IP, tại Trung tâm GDTX tỉnh Vĩnh Phúc, từ
tháng 4/2017 đến tháng 10/2017.

3. Phương pháp nghiên cứu
- Nghiên cứu tài liệu về kiến trúc IP và bức tường lửa, phân tích, so sánh để
lựa chọn vấn đề cần đi sâu tìm hiểu.
1


- Sử dụng công cụ vàchương trình trên máy tính để minh họa cho các nghiên
cứu về lý thuyết.

4. Nội dung nghiên cứu
- Tiếp cận được một giải pháp lọc gói cho thế hệ Internet mới.
- Vấn đề an toàn và bảo mật thông tin trong IP tránh khỏi các tấn công từ bên
ngoài.
- Nội dung nghiên cứu chính được trình bày như sau: Phần mở đầu, phần nội
dung gồm 3 chương chính và phần kết luận, danh mục và các tài liệu tham khảo.
Chương 1: Tổng quan về an toàn bảo mật trong mạng IP
Chương 2: Tường lửa và kỹ thuật lọc gói tin
Chương 3: Bài toán thử nghiệm bức tường lửa lọc gói tin cho IP
Phần kết luận: Tóm tắt các kết quả đạt được, hướng phát triển tiếp


2


CHƯƠNG 1. TỔNG QUAN VỀ AN TOÀN VÀ BẢO MẬT
TRONG MẠNG IP
1.1. Các kỹ thuật tấn công mạng IP [3]
Trong thực tế kẻ vi phạm có thể xâm phạm vào bất kỳ điểm nào mà thông tin
đi qua hoặc được lưu giữ, điểm đó có thể trên đường truyền dẫn, nút mạng, mạng,
máy tính chủ có nhiều người sử dụng hoặc tại các giao diện kết nối liên mạng
(Bridge, router, gateway…).
1.1.1. Kỹ thuật thu thập, chặn bắt thông tin
Công cụ bắt gói tin (Sniffers) là một chương trình hay thiết bị có khả năng đón
bắt lại các thông tin quan trọng từ giao thông mạng chỉ định đến một mạng riêng. Các
thông tin bị chặn bắt bao gồm: mật khẩu, các thông tin về các thẻ tín dụng, thư điện
tử, các tập tin văn bản mật khác...
Công cụ này thường được sử dụng vào 2 mục đích khác biệt nhau. Theo
hướng tích cực nó có thể là một công cụ giúp cho các quản trị mạng theo dõi và bảo
trì hệ thống mạng của mình. Theo hướng tiêu cực nó có thể là một chương trình được
cài vào một hệ thống mạng máy tính với mục đích chặn dữ liệu, các thông tin trên
đoạn mạng này.
Về bản chất có thể phân loại các hành vi xâm phạm thông tin dữ liệu trên
đường truyền tin và mạng truyền tin làm 2 loại: thụ động và chủ động
Sniffers thụ động: lấy dữ liệu chủ yếu qua Hub. Nó được gọi là thụ động là vì
rất khó có thể phát hiện ra loại bắt gói tin này. Hacker sử dụng máy tính của mình
kết nối đến Hub và bắt đầu thực hiện.

Hình 1. 1:Kỹ thuật bắt gói tin thụ động
3



Công cụ Sniffers chủ động lấy dữ liệu chủ yếu qua Switch, nó rất khó thực
hiện và dễ bị phát hiện. Hacker thực hiện theo trình tự:
- Hacker kết nối đến Switch bằng cách gửi địa chỉ MAC nặc danh.
- Switch xem địa chỉ kết hợp với mỗi khung (Frame).
- Máy tính trong LAN gửi dữ liệu đến cổng kết nối.

Hình 1. 2: Kỹ thuật Sniffers chủ động

1.1.2. Kỹ thuật tấn công xâm nhập mạng
Tấn công xâm nhập mạng gồm 4 bước:
Bước 1: Thu thập thông tin: Mạng, Server, Người dùng…Để thu thập thông
tin, tin tặc thường sử dụng các kỹ thuật như:
Quét cổng (Port Scan): Gửi gói tin tới cổng, xem phản ứng, xác định trạng
thái hoạt động của ứng dụng
Kiểm tra nhãn hiệu (Banner)để biết loại và phiên bản của ứng dụng
Thử tra vấn DNS server để tìm một địa chỉ IP, thực hiện chuyển miền để tìm
máy tính trên mạng
Khai thác giao thức quản trị mạng SNMP: Chiếm thông tin quản trị mạng để xác
định vị trí của máy tính trên mạng
Bước 2: Tấn công, truy nhập, bẻ mật khẩu, tấn công chiếm quyền quản trị.
Để có mật khẩu, tin tặc sử dụng kỹ thuật như:

4


Tấn công vét cạn: Thử các tổ hợp ký tự để truy nhập vào hệ thống đích, dùng
khi truy nhập mạng LAN.
Tấn công bằng từ điển: Sử dụng một số từ khóa, dùng khi truy nhập từ xa
Phân tích để lấy mật khẩu của người quản trị.

Bước 3: Sau khi vào mạng, tin tặc thường khai thác các lỗ hổng như tràn bộ
đệm để chiếm quyền người quản trị rồi phá hoại mạng bao gồm phần cứng, phần
mềm hệ thống và các ứng dụng…
Bước 4: Sau phá hoại mạng tin tặc tạo cửa sau, xoá nhật ký truy nhập, cài các
phần mềm độc hại để điều khiền từ xa…

1.2.3. Kỹ thuật tấn công từ chối dịch vụ DoS, DdoS [6]
Tấn công từ chối dịch vụ (Denial of Service – DoS) là một cuộc tấn công
thực hiện từ một người hoặc một nhóm người nào đó đến hệ thống mục tiêu. Khi
cuộc tấn công xảy ra, trên hệ thống bị tấn công, người dùng không thể truy xuất dữ
liệu hay thực hiện bất kỳ một công việc nào.
Mục đích của tấn công từ chối dịch vụ là không cho phép ủy quyền truy cập
đến máy hoặc dữ liệu, ngăn chặn người dùng hợp pháp truy cập vào các dịch vụ của
hệ thống. Khi tấn công, Hacker có thể thực hiện các công việc sau: Cố gắng làm
ngập hệ thống, ngăn chặn việc trao đổi thông tin giữa các kết nối hợp lệ. Phá vỡ các
kết nối giữa hai máy, ngăn chặn các truy cập đến dịch vụ. Ngăn chặn các thiết lập
đặc biệt đến dịch vụ.
* Tấn công từ chối dịch vụ chia làm hai loại tấn công:
- Tấn công từ chối dịch vụ (DoS - Denial of Service): là kiểu tấn công từ một
cá thể hay tập hợp các cá thể.
- Tấn công từ chối dịch vụ phân tán (DDoS - Distributed Denial of Service):
Đây là sự tấn công từ một mạng máy tính được thiết kế để tấn công tới một đích cụ
thể nào đó.
a. Tấn công DoS
Các dạng tấn công DoS
5


- Smurf:Người tấn công tạo ra một khối lượng lớn các giao tiếp ICMP (Internetwork Control Message Protocol) đến địa chỉ mạng broadcast thiết lập địa chỉ IP giả
rồi đồng loạt gửi đến host của nạn nhân.

Máy tính nạn nhân mất thời gian hồi đáp lại các thông điệp ICMP giả mạo,
dẫn đến tình trạng quá tải. Khi hồi đáp số lượng lớn các ICMP dẫn đến tình trạng
ngập tràn mạng và kết nối không thể thực hiện được nữa.

Hình 1. 3: Kỹ thuật Tấn công kiểu Smurf
- Tấn công tràn bộ đệm - Buffer Overflow Attack: Lỗi tràn bộ đệm là khi bộ
nhớ bị ghi đè nhiều lần trên ngăn xếp (stack). Thông thường nó xảy ra người dùng
gởi một lượng lớn dữ liệu đến server ứng dụng và sau đó tiêm độc hại tấn công vào
lượng lớn dữ liệu này. Khi gởi một lượng lớn dữ liệu thì có một số vấn đề bắt đầu nảy
sinh. Vì vậy các dữ liệu đầu vào nên được validate (xác nhận) một cách kỹ lưỡng. Nó
cần được làm sạch và cần được xác minh (verified) trước khi lưu lại.
Tấn công tràn bộ đệm xuất hiện bất kỳ lúc nào mà chương trình ghi những
thông tin vào bộ đệm lớn hơn không gian cho phép của bộ nhớ. Hacker thực hiện ghi
đè các dữ liệu vào các chương trình để chiếm quyền điều khiển và thực hiện các đoạn
mã của Hacker.
6


Nếu gửi thông điệp email mà số tập tin đính kèm lên đến 256 tập tin thì có thể
là nguyên nhân dẫn đến tình trạng tràn bộ đệm.
- Tấn công tràn bộ đệm bằng Ping – Ping of Death: Hacker chú ý gửi một gói
dữ liệu lớn hơn 65536 bytes mà giao thức IP cho phép.
Phân mảnh gói dữ liệu IP thành những đoạn nhỏ hơn.
Phân đoạn có thể cho phép thêm nhiều hơn 65536 bytes.
Hệ điều hành không thể kiểm soát các gói có kích thước quá lớn nên dẫn đến
tình trạng đóng băng, khởi động lại hoặc hệ thống bị phá hủy. Rất khó có thể nhận
dạng Hacker khi họ gửi dữ liệu vì địa chỉ của họ đã ngụy trang.
- Tấn công Teardrop:Thông thường, khi một gói dữ liệu được truyền đi sẽ phải
trải qua hai bước sau:
- Ở nguồn, dữ liệu được chia ra thành nhiều gói nhỏ (kích thước này được định

bởi hệ thống đích qua trường Window trong gói TCP) và được gửi đi tuần tự. Mỗi gói
có một địa chỉ Offset tương đương với số thứ tự của gói.
- Ở hệ thống đích, dữ liệu được sắp xếp lại dựa theo trường Offset để được dữ
liệu đúng như thứ tự ban đầu.
Khi kiểu tấn công này diễn ra, attacker gửi một luồng dữ liệu lớn có Offset
chồng chéo lên nhau (ví dụ như được khởi tạo bởi hàm Random) và không theo bất
cứ thứ tự nào khiến cho hệ thống không thể sắp xếp được các gói này và những máy
chủ có lượng RAM hạn chế sẽ nhanh chóng bị đầy bộ nhớ, dẫn đến treo hoặc reboot.
Điểm mạnh: Rất mạnh và dễ thực hiện.
Điểm yếu: Ít công cụ có sẵn và cần có kiến thức về mạng.
Khi một địa chỉ IP nào đó yêu cầu một gói dữ liệu nhưng gói này quá lớn để
gửi đến router kế tiếp, hệ thống sẽ phân chia gói này thành các đoạn nhỏ hơn. Lợi
dụng điểm này, Hacker chèn thêm những mảnh nhỏ với những offset khó hiểu. Hệ
điều hành không có khả năng nhận những gói tin không thích hợp, vì vậy hệ thống bị
treo.
- Tấn công SYN – SYN flood: Hacker gửi thêm TCP SYN yêu cầu server của
nạn nhân xử lý. Đây là kiểu tấn công khai thác quá trình bắt tay ba bước của kết nối
7


TCP. Nó sử dụng một tập các gói yêu cầu thiết lập kết nối (SYN) lớn gửi đến hệ
thống nạn nhân với địa chỉ IP giả mạo và dẫn đến việc từ chối dịch vụ trên hệ thống
của nạn nhân.
Khi host B nhận yêu cầu SYN từ host A, nó mở một phần kết nối và đưa vào
hàng đợi. Các host nguy hiểm có các Exploits kích thước nhỏ nằm trong hàng đợi để
từ đó nó gửi nhiều yêu cầu đến host khác. Nhưng khi nhận hồi đáp từ các host này, nó
không trả lại thông báo SYN/ACK.
Hàng đợi đang lắng nghe trên hệ thống của nạn nhân sẽ nhanh chóng bị lấp
đầy. Chính điều này đã dẫn đến quá trình từ chối dịch vụ trên hệ thống của nạn nhân.


Hình 1. 4: Kỹ thuật Tấn công kiểu SYN flood
b. Tấn công từ chối dịch vụ DDoS
Trên Internet, tấn công từ chối dịch vụ phân tán (Distributed Denial of Service
–DDoS) là cuộc tấn công của nhiều hệ thống đến một mục tiêu.
Điều đó làm cho hệ thống của nạn nhân bị quátải và dẫn đến tình trạng tràn hệ
thống, người dùng hợp pháp không thể truy cập vào các tài nguyên và mọi dịch vụ bị
từ chối.

8


Hình 1. 5: Kỹ thuật Tấn công DdoS
* Một số đặc điểm
m của
c tấn công DDOS
DDOS là cuộc tấnn công trên phạm
ph
vi rộng lớn nhắm
m vào các ddịch vụ trên hệ
thống của nạnn nhân. Khi tấn
t công DDoS xảy ra, nó sẽ huy động các hệệ thống zombies
đồng loạtt công kích vào mục
m tiêu chính.
Rất khó phát hiệnn ra tấn
t công DDoS vì chúng huy động từ nhi
nhiều địa chỉ IP
khác nhau. Hacker có khảả năng huy động các tín hiệu tấn công từ ch
chối dịch vụ bằng
việcc khai thác các tài nguyên trên các Zombies.
* Phân loại tấnn công DdoS

D

Hình 1. 6:Phân loại tấn công DDoS
9


1.2. Giải pháp an toàn bảo vệ mạng IP
1.2.1. Các mạng riêng ảo (VPN - Virtual Private Network) [8]
* Khái niệm về VPN
Mạng riêng ảo VPN là một mạng dữ liệu riêng nó lợi dụng kiến trúc hạ tầng
của mạng công cộng (mạng Internet). Ý tưởng của việc sử dụng VPN là đưa ra cho
các tổ chức hoặc công ty mong muốn cùng những khả năng như những đường thuê
riêng (Leased line) nhưng với chi phí thấp hơn. Một VPN cung cấp an toàn chia sẻ
các tài nguyên chung dữ liệu bằng các kỹ thuật mã hoá để đảm bảo rằng chỉ những
người sử dụng hợp lệ có thể xem hoặc “tunnel” vào mạng riêng.

Hình 1. 7: Mạng riêng ảo
Ngày nay, các công ty và tổ chức xem xét các VPN như phương tiện hiệu quả
chi phí cho việc kết nối an toàn giữa các chi nhánh văn phòng, người sử dụng từ xa,
các đối tác và khách hàng đặc quyền với các mạng cục bộ riêng. Phần lớn các firewall có khả năng mã hoá VPN đã được gắn kèm hoặc là một tuỳ chọn mở rộng. Nó
đưa ra một kỹ thuật thay thế đơn giản, hợp lý về chi phí cho các đường thuê riêng
truyền thống hoặc việc truy cập từ xa qua modem.

1.2.2. Giải pháp mật mã thông tin (Cryptography) [3]
Với cách thức an toàn trung chuyển dữ liệu, phương pháp sử dụng mật mã rất
phổ biến. Có thể nói, ngày nay mã hoá được thấy mọi nơi, từ việc băm (hash) các
mật khẩu với mã hoá e-mail cho tới giao thức an toàn internet (IPSec) mạng riêng
ảo (VPN), và thậm chí cả mã hoá các tệp hệ thống. Với phương pháp này, giúp đảm
10



bảo dữ liệu không bị rò rỉ trong quá trình truyền, hoặc thông tin đó có thể được đảm
bảo an toàn trong khoảng thời gian mong muốn.
Lịch sử đã ghi lại rằng, mật mã đã được sử dụng từ hơn 4000 năm trước ở Ai
cập, người đầu tiên sử dụng nó là Julius Caesar và thuật toán này cũng được gọi
chính tên của tác giả, cơ bản của thuật toán này là quay phải 3 ký tự chẳng hạn A
được chuyển thành D và S được chuyển thành V. Đây là mật mã đơn giản, ngày nay
các mật mã được phát minh và đưa vào sử dụng rất mạnh và tinh vi hơn nhiều.

* Các kiểu khoá mã hoá
Việc mật mã sử dụng hai kiểu khoá: đối xứng (Symmetric) và không đối xứng
(Asymmetric). Kiểu mã hoá khoá đối xứng sử dụng một khoá cho cả việc mã hoá (Encryption) và giải mã (Decryption) văn bản mật mã. Kiểu khoá này được gọi là khoá bí mật (se-

cret key) bởi vì chúng phải được giữ bí mật. Nếu không, một người nào đó khi có được
khoá này có thể giải mã được thông điệp đã được mã hoá bởi nó. Các thuật toán hữu dụng
sử dụng trong mã hoá khoá đối xứng nói chung phần lớn đã được biết rộng rãi, cho nên chỉ
có vấn đề bí mật là khoá được sử dụng. Lúc đó việc an toàn được đặt ra tiếp đó là làm sao
việc gửi nhận được an toàn, và nơi gửi và nơi nhận có cùng một khoá giống nhau.
Mật mã không đối xứng có thể được nhận biết bởi thuật ngữ đồng nghĩa: Khoá
mật mã công cộng. Các thuật toán không đối xứng sử dụng hai khoá khác nhau, một
khoá cho mã hoá và một khoá cho giải mã - một khoá công cộng (Public key) và
một khoá riêng (Private key) theo thứ tự.
Có rất nhiều thuật toán mật mã, mỗi thuật toán có một điểm mạnh và điều yếu
riêng, phù hợp với những mục đích sử dụng và thực tế riêng. Trong giới hạn của
luận văn này, sẽ đề cập tới 5 thuật toán có thể được xem là khá phổ biến như sau: 3
thuật toán đồng bộ DES (Data Encryption Stadard), AES [Rijindal], IDEA (International Data Encryption Algorithm), và 2 thuật toán không đồng bộ DiffieHellman,và RSA (Rivest, Shamir, Adleman).
a. Các thuật toán mã hóa khóa đối xứng (Symmetric Algorithms)
Các thuật toán kiều này được phổ biến hay dùng đó là DES, thế hệ tiếp theo
của nó AES, và tiêu chuẩn châu âu IDEA. Điểm mạnh của những thuật toán này
11



chính ở kích thước của khoá sử dụng trong thuật toán, cũng như số chu kỳ của mỗi
thuật toán sử dụng.
DES
Trong số những thuật toán mã hoá lâu đời và phổ biến nhất là DES (Data Encryption Standard), được phát triển bởi IBM và là tiêu chuẩn của Mỹ từ 1976 cho
đến vào khoảng 2001. Cơ bản, DES sử dụng một khoá đơn 64-bit bao gồm 56 bits
dữ liệu và 8 bits chẵn lẻ - và thao tác trên các khối dữ liệu 64-bit. Khoá này được
chia thành 16 khoá con 48-bit riêng lẻ, mỗi một vòng này được gọi là Feistel cycles.
(Hình sau minh hoạ đưa ra sơ đồ về thuật toán mã hoá DES hoạt động như thế nào).
Incoming Data Stream
010011001101011
56-bit Data
Input8-bit Parity Input
Preliminary Permutation
64-bits

F
Module

XOR

Subkey N
KN

Repeat for N
Iterations

Final Permutation
56-bit Data Output


Outgoing Data Stream
111010110100101

Hình 1. 8. Sơ đồ thuật toán mã hoá
12


Mỗi một vòng bao gồm một giai đoạn thay thế, ở một khía cạnh nào đó dữ liệu
được thay thế bằng các mảnh của khoá, và một giai đoạn hoán vị, ở đó dữ liệu thay
thế được trộn lẫn. Cả hai thao tác này xảy ra trong “F Module” của sơ đồ thuật toán.
Vấn đề an toàn của DES nằm chủ yếu ở chỗ khi các thao tác thay thế không phải là
tuyến tính, cho nên văn bản mật mã kết quả không khi nào giống với thông điệp gốc
ban đầu. Bởi vậy kỹ thuật phân tích dựa vào ngôn ngữ sử dụng để chống lại các văn
bản mã hoá không tiết lộ được điều gì. Các thao tác hoán vị bổ sung thêm mức an
toàn bằng cách trộn lẫn từng phần các thông điệp mã hoá.
AES (Rijndeal)
Vào năm 1997, khi sự suy giảm của DES bắt xuất hiện lờ mờ một cách gần
hơn, NIST đã thông báo tìm kiếm một tiêu chuẩn mã hoá cao cấp AES (Advanced
Encryption Standard), thế hệ tiếp theo của DES.
Trong số các yêu cầu của AES đưa ra là:
- AES sẽ là một khối khoá đồng bộ riêng văn bản mật mã (tương tự như DES)
- AES cần mạnh hơn và nhanh hơn 3-DES.
- AES đòi hỏi một khoảng thời gian tồn tại ít nhất 20-30 năm.
- AES sẽ hỗ trợ các kích thước khoá của 128-bits, 192-bits, và 256-bits.
- AES sẽ sẵn dùng cho tất cả - miễn phí, không độc quyền và yêu cầu sáng chế.
Sau một thời gian, tìm kiếm và kiểm nghiệm trên các môi trường khác nhau.
Cuối cùng, tháng 10 năm 2000, thuật toán Rijndael được thông báo là chiến thắng
bởi tính thực thi cao của nó trong cả các cài đặt phần mềm, phần cứng và yêu cầu ít
bộ nhớ của nó. Thuật toán Rijndael được phát triển bởi các chuyên gia mật mã

người Bỉ Dr. Joan Daemen và Dr.Vincent Rijmen, dường như cũng có thể chống lại
các cuộc tấn công dựa vào sức mạnh và thời gian.
Cơ sơ của AES/Rijndael làm việc là, thay cho việc sử dụng các Feistel cycle
trong mỗi vòng giống DES, nó sử dụng các vòng lặp giống IDEA. Dữ liệu được làm
việc trên các khối 128-bit, chúng được nhóm thành 4 nhóm của 4-byte. Số vòng
cũng phụ thuộc vào kích thước của khoá, như các khoá 128-bit có 9 vòng, các khoá
192-bit có 11 vòng, và các khoá 256-bit có 13 vòng. Mỗi vòng bao gồm một bước
13


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×