Tải bản đầy đủ (.pdf) (96 trang)
  1. Trang chủ
    2. >>
  2. Thạc sĩ - Cao học
    3. >>
  3. Công nghệ thông tin

Nghiên cứu xây dựng hệ thống phát hiện và ngăn chặn xâm nhập trái phép trong hệ thống mạng

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (4.01 MB, 96 trang )

BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƢỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI
-----------------------

Lƣơng Tuấn Cƣờng

NGHIÊN CỨU XÂY DỰNG HỆ THỐNG PHÁT
HIỆN VÀ NGĂN CHẶN XÂM NHẬP TRÁI PHÉP
TRONG HỆ THỐNG MẠNG

Chuyên ngành: Kỹ thuật máy tính
LUẬN VĂN THẠC SĨ KỸ THUẬT

Hà Nội – Năm 2017


BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƢỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI
-----------------------

Lƣơng Tuấn Cƣờng

NGHIÊN CỨU XÂY DỰNG HỆ THỐNG PHÁT
HIỆN VÀ NGĂN CHẶN XÂM NHẬP TRÁI PHÉP
TRONG HỆ THỐNG MẠNG
Chuyên ngành: Kỹ thuật máy tính
LUẬN VĂN THẠC SĨ KỸ THUẬT

NGƢỜI HƢỚNG DẪN KHOA HỌC

PGS.TS. Nguyễn Linh Giang



Hà Nội – Năm 2017


CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập – Tự do – Hạnh phúc

BẢN XÁC NHẬN CHỈNH SỬA LUẬN VĂN THẠC SĨ
Họ và tên tác giả luận văn : Lƣơng Tuấn Cƣờng
Đề tài luận văn: Nghiên cứu xây dựng hệ thống phát hiện và ngăn chặn xâm
nhập trái phép trong hệ thống mạng
Chuyên ngành: Kỹ thuật máy tính
Mã số SV: CA150100
Tác giả, Ngƣời hƣớng dẫn khoa học và Hội đồng chấm luận văn xác nhận tác
giả đã sửa chữa, bổ sung luận văn theo biên bản họp Hội đồng ngày 28/04/2017
với các nội dung sau:
-

Rút gọn phần lý thuyết chƣơng 1, sửa lại một số thuật ngữ chƣa chính xác trong
luận văn.

-

Đánh số lại các chƣơng mục, vẽ lại các hình vẽ theo chuẩn UML.

-

Chỉnh sửa lại tài liệu trong mục “TÀI LIỆU THAM KHẢO”.

Ngày


tháng 05 năm 2017

Giáo viên hƣớng dẫn

Tác giả luận văn

PGS.TS. Nguyễn Linh Giang

Lƣơng Tuấn Cƣờng

CHỦ TỊCH HỘI ĐỒNG

PGS.TS. Ngô Hồng Sơn


LỜI CAM ĐOAN
Sau nhiều tháng tìm hiểu, nghiên cứu, tơi đã hoàn thành đề tài “Nghiên cứu
xây dựng hệ thống phát hiện và ngăn chặn xâm nhập trái phép trong hệ thống
mạng”. Trong thời gian thực hiện đề tài tôi đã nhận đƣợc nhiều sự giúp đỡ từ bạn bè,
các anh chị và thầy cô.
Trƣớc tiên tôi xin gửi lời cảm ơn chân thành và sâu sắc đến thầy PGS.TS.
Nguyễn Linh Giang – Viện Công nghệ thông tin và Truyền thông, trƣờng Đại học
Bách khoa Hà nội đã luôn nhiệt tình nhắc nhở, đốc thúc tơi làm việc chăm chỉ, thầy chỉ
bảo và gửi tôi nhiều bài báo cáo để tơi có thể tham khảo và hồn thành đề tài. Thầy đã
có những góp ý về cả nội dung và trình bày để tơi có thể hồn thành bài báo cáo một
cách tốt nhất.
Tơi xin bày tỏ lịng biết ơn các thầy cô trong Viện Công nghệ thông tin –
Truyền thơng nói riêng và Đại học Bách khoa Hà nội nói chung đã chỉ dạy, cung cấp
những kiến thức quý báu cho tơi trong suốt q trình học tập và nghiên cứu tại trƣờng.

Cuối cùng tôi xin gửi lời cảm ơn tới gia đình, bạn bè, những ngƣời ln cổ vũ,
quan tâm và giúp đỡ tôi trong suốt thời gian học tập và làm luận văn.
Tuy đã cố gắng tìm hiểu, phân tích nhƣng chắc rằng khơng tránh khỏi những
thiếu sót, rất mong nhận đƣợc sự thơng cảm và góp ý của các thầy cô.
Tôi cam đoan đây là công trình nghiên cứu của riêng tơi.
Các số liệu, kết quả trong luận văn là trung thực và chƣa từng đƣợc ai cơng bố
trong bất kỳ cơng trình nào khác.

Tác giả

Lƣơng Tuấn Cƣờng


MỤC LỤC
I. Mở đầu ........................................................................................................... 1
1. Lý do chọn đề tài ...............................................................................................1
2. Mục tiêu nghiên cứu ..........................................................................................1
3. Phƣơng pháp nghiên cứu ...................................................................................2
4. Đối tƣợng nghiên cứu........................................................................................2
5. Dự kiến kết quả nghiên cứu ..............................................................................2
II.

Nội dung nghiên cứu .................................................................................. 3

CHƢƠNG 1: TỔNG QUAN VỀ AN NINH MẠNG ...........................................4
1.1.Giới thiệu về An ninh Mạng................................................................................... 4
1.2. Một số kỹ thuật tấn công hệ thống mạng máy tính.............................................. 6
1.3.Tóm tắt chƣơng ..................................................................................................... 19
CHƢƠNG 2: HỆ THỐNG IDS VÀ IPS ............................................................ 20
2.1. Hệ thống phát hiện xâm nhập mạng máy tính (IDS) ......................................... 20

2.2. Hệ thống ngăn chặn xâm nhập mạng máy tính (IPS) ........................................ 24
CHƢƠNG 3: HỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬP DỰA
TRÊN SNORT ................................................................................................... 37
3.1. Giới thiệu về Snort ............................................................................................... 37
3.2. Triển khai hệ thống Snort .................................................................................... 37
3.3. Đặc điểm của snort............................................................................................... 39
3.4. Các chế độ hoạt động của Snort .......................................................................... 45
3.5. Luật trong snort .................................................................................................... 48
Chƣơng 4: Thử nghiệm hệ thống phát hiện và ngăn chặn xâm nhập ................ 52
4.1. Sơ đồ hệ thống...................................................................................................... 52
4.2. Thử nghiệm hệ thống phát hiện xâm nhập ......................................................... 53
4.3. Đánh giá về hệ thống phát hiện xâm nhập sử dụng Snort (Snort IDS) ............ 74
4.4. Thử nghiệm hệ thống ngăn chặn xâm nhập với Snort Inline (Snort IPS) ........ 75
4.5. Đánh giá chung về hệ thống ngăn chặn và phát hiện xâm nhập với Snort ......... 82
KẾT LUẬN VÀ HƢỚNG NGHIÊN CỨU...................................................... 84
Kết luận .............................................................................................................. 84
Hƣớng nghiên cứu .............................................................................................. 84
TÀI LIỆU THAM KHẢO ................................................................................ 85
PHỤ LỤC HƢỚNG DẪN CÀI ĐẶT SNORT ................................................ 86


MỤC LỤC HÌNH ẢNH
Hình 1: Nguy cơ đối với hệ thống......................................................................... 5
Hình 2: Kiến trúc tấn cơng DDos trực tiếp ......................................................... 10
Hình 3: Kiến trúc tấn cơng DDos gián tiếp hay phản phiếu ............................... 10
Hình 4: Thành phần của một hệ thống IDS ........................................................ 21
Hình 5: Kiến trúc của Snort ................................................................................ 40
Hình 6: Minh họa hệ thống ngăn chặn xâm nhập sử dụng Snort inline (Snort
IPS) ...................................................................................................................... 47
Hình 7: Cấu trúc luật trong snort........................................................................ 49

Hình 8: Mơ phỏng hệ thống thử nghiệm ............................................................. 52
Hình 9: Mơ tả phát hiện của Snort ...................................................................... 53
Hình 10: Mơ tả phát hiện truy cập vào website của snort ................................... 54
Hình 11: Quét cổng FIN Scan ............................................................................. 55
Hình 12: Wireshark bắt gói tin FIN Scan ........................................................... 55
Hình 13: Snort IDS phát hiện quét cổng FIN Scan ............................................. 56
Hình 14: Quét cổng NULL Scan ......................................................................... 56
Hình 15: Snort IDS phát hiện quét cổng NULL Scan ........................................ 57
Hình 16: Quét cổng XMAS Scan ........................................................................ 58
Hình 17: Snort IDS phát hiện quét cổng XMAS Scan........................................ 59
Hình 18: Mã lỗi SQL injection............................................................................ 60
Hình 19: Trang đăng nhập................................................................................... 60
Hình 20: Đăng nhập thành cơng.......................................................................... 61
Hình 21: Đăng nhập thất bại ............................................................................... 61
Hình 22: Mơ phỏng tấn cơng SQL injection qua form đăng nhập ..................... 62
Hình 23: Snort IDS phát hiện tấn cơng SQL injection ....................................... 63
Hình 24: Bắt gói tin tấn cơng có từ khóa truy vấn trong SQL ............................ 64
Hình 25: Phát hiện tấn cơng chứa từ khóa truy vấn trong SQL .......................... 64
Hình 26: Mơ hình bắt tay 3 bƣớc ........................................................................ 65
Hình 27: Mơ hình tấn cơng bằng các gói SYN ................................................... 66
Hình 28: Wireshark bắt gói tin tấn công DOS TCP SYN Flood ........................ 68


Hình 29: Phát hiện tấn cơng TCP SYN Flood .................................................... 69
Hình 30: Tấn cơng UDP Flood ........................................................................... 70
Hình 31: Wireshark bắt gói tin tấn cơng DOS UDP Flood................................. 71
Hình 32: Phát hiện tấn cơng DOS UDP Flood.................................................... 72
Hình 33: Tấn cơng DOS ICMP Flood ................................................................ 72
Hình 34: Tấn cơng DOS ICMP Flood ................................................................ 73
Hình 35: Wireshark bắt gói tin tấn cơng DOS ICMP Flood ............................... 73

Hình 36: Phát hiện tấn cơng DOS ICMP Flood .................................................. 74
Hình 37: Cài đặt thành cơng hệ thống Snort inline ............................................. 77
Hình 38: Minh hoạ demo hệ thống ngăn chặn xâm nhập với Snort inline ......... 77
Hình 39: Mơ tả hệ thống thử nghiệm ngăn chặn xâm nhập ................................ 78
Hình 40: Phát hiện tấn cơng SQL injection trên snort inline .............................. 80
Hình 41: Ngăn chặn tấn cơng DOS TCP SYN Flood ......................................... 81
Hình 42: Ngăn chặn tấn cơng DOS UDP Flood ................................................. 81
Hình 43: Ngăn chặn tấn cơng DOS ICMP Flood................................................ 82
Hình 44: Mơ tả cài đặt thành cơng snort ............................................................. 87
Hình 45: Mơ tả cấu hình snort thành cơng .......................................................... 89


I.

Mở đầu

1. Lý do chọn đề tài

Công nghệ thông tin ngày nay đƣợc áp dụng vào tất cả lĩnh vực của cuộc
sống. Có thể thấy máy tính và mạng Internet là thành phần không thể thiếu của
hầu hết các công ty, trở thành công cụ hỗ trợ đắc lực cho công việc hàng ngày.
Tuy nhiên sự phát triển này cũng kèm theo vấn đề an ninh máy tính đang ngày
càng trở nên nóng bỏng, tội phạm máy tính là một trong những hành vi phạm tội
có tốc độ phát triển nhanh nhất trên tồn hành tinh. Vì vậy việc xây dựng một
nền an ninh máy tính, thiết kế và quản trị mạng đảm bảo và có khả năng kiểm
sốt rủi ro liên quan đến việc sử dụng máy tính khơng thể thiếu ở nhiều lĩnh vực.
Khi một hệ thống thông tin bị hacker kiểm sốt thì hậu quả khơng thể
lƣờng trƣớc đƣợc. Đặc biệt nếu hệ thống đó là một trong những hệ thống xung
yếu của đất nƣớc nhƣ hệ thống chính phủ, hệ thống ngân hàng, hệ thống viễn
thơng, hệ thống thƣơng mại điện tử thì những thiệt hại về kinh tế, an ninh quốc

gia là rất lớn. Việc làm thế nào để có thể phát hiện ra máy tính hoặc mạng máy
tính của mình đang bị xâm nhập trái phép, cũng nhƣ cách phòng và chống xâm
nhập trái phép hiệu quả, luôn là mong muốn của tất cả những ai làm trong lĩnh
vực an ninh mạng.
Xuất phát từ nhu cầu thực tiễn trên, tôi đã chọn đề tài: “Nghiên cứu xây
dựng hệ thống phát hiện và ngăn chặn xâm nhập trái phép trong hệ thống
mạng” với mong muốn tìm hiểu một cách hệ thống về các kỹ thuật tấn cơng
xâm nhập mạng máy tính, cũng nhƣ các cách thức cần thiết để đối phó với vấn
đề này.
2. Mục tiêu nghiên cứu

- Tìm hiểu khái quát về hệ thống phát hiện và ngăn chặn xâm nhập, khái
niệm, kiến trúc, cơ chế và nguyên lý hoạt động.
- Tìm hiểu các kỹ thuật xâm nhập bất hợp pháp mà hacker thƣờng sử dụng
để tấn công vào hệ thống mạng.

Lương Tuấn Cường – TTMMT – 2015A

1


- Xây dựng hệ thống IDS, IPS sử dụng hệ thống mã nguồn mở Snort để
phát hiện và ngăn chặn xâm nhập trái phép trong hệ thống mạng.
- Xây dựng một số tập luật cơ bản cho hệ thống Snort, nhằm phát hiện các
kiểu tấn công xâm nhập bất hợp pháp.
- Thử nghiệm và xây dựng một số tập lệnh có khả năng ngăn chặn
xâm nhập dựa trên tính năng mở rộng của Snort (Snort inline).
3. Phƣơng pháp nghiên cứu

- Sử dụng HĐH mã nguồn mở Linux để xây dựng hệ thống phát hiện và

ngăn chặn xâm nhập.
- Xây dựng hệ thống phát hiện và ngăn chặn xâm nhập bằng phần mềm
mã nguồn mở Snort.
- Nghiên cứu cấu trúc tập lệnh Rules của Snort, từ đó tự xây dựng những
tập lệnh theo nhu cầu thực tế, nhằm đảm bảo cho hệ thống có thể phát hiện và
ngăn chặn những tấn công vào hệ thống mạng.
- Thực nghiệm đƣa ra độ chính xác của các tập lệnh đã xây dựng.
4. Đối tƣợng nghiên cứu

- Các hình thức tấn cơng phổ biến của Hacker vào hệ thống mạng.
- Phần mềm mã nguồn mở Snort
- Cấu trúc của tập lệnh Rules
5. Dự kiến kết quả nghiên cứu

- Hồn thiện việc tìm hiểu các kỹ thuật xâm nhập bất hợp pháp vào hệ
thống mạng.
- Xây dựng thành công hệ thống phát hiện và ngăn chặn xâm nhập
- Xây dựng một số tập lệnh Rules có khả năng phát hiện các kiểu tấn cơng
phổ biến nhƣ Scan hệ thống, SQL Injection, tấn công từ chối dịch vụ.
Cấu trúc của luận văn, ngoài phần mở đầu và phần kết luận có các chƣơng
chính sau đây:

Lương Tuấn Cường – TTMMT – 2015A

2


Chƣơng 1: Tổng quan về an ninh mạng
Nội dung chƣơng này nêu tổng quan về an ninh mạng, các yếu tố đảm bảo
an tồn thơng tin các kỹ thuật tấn cơng và xâm nhập trái phép mạng máy tính

cùng với hậu quả của nó.
Chƣơng 2: Hệ thống IDS và IPS
Nội dung chƣơng trình bày khái niệm, kiến trúc, nguyên lý và cơ chế hoạt
động hệ thống phát hiện và ngăn chặn xâm nhập trái phép mạng máy tính.
Chƣơng 3: Hệ thống phát hiện và ngăn chặn xâm nhập dựa trên
snort
Nội dung chƣơng gồm: Giới thiệu về snort, triển khai hệ thống snort, các
đặc điểm, chế độ hoạt động, luật trông snort.
Chƣơng 4: Thử nghiệm hệ thống phát hiện và ngăn chặn xâm nhập
Nội dung chƣơng gồm: xây dựng kịch bản, cài đặt mô phỏng hệ thống và
thực hiện các bài thử nghiệm, đánh giá và đƣa ra kết luận.

II.

Nội dung nghiên cứu

Lương Tuấn Cường – TTMMT – 2015A

3


CHƢƠNG 1: TỔNG QUAN VỀ AN NINH MẠNG

1.1.

Giới thiệu về An ninh Mạng

1.1.1. An ninh mạng là gì.
Máy tính có phần cứng chứa dữ liệu do hệ điều hành quản lý, đa số các
máy tính nhất là các máy tính trong công ty, doanh nghiệp đƣợc nối mạng Lan

và Internet. Nếu nhƣ máy tính, hệ thống mạng khơng đƣợc trang bị hệ thống bảo
vệ vậy chẳng khác nào đi khỏi căn phịng của mình mà qn khóa cửa, hệ thống
mạng sẽ là mục tiêu của virus, worms, unauthorized user … chúng có thể tấn
cơng vào máy tính hoặc cả hệ thống bất cứ lúc nào.
Vậy an tồn mạng có nghĩa là bảo vệ hệ thống mạng, máy tính khỏi sự
phá hoại phần cứng hay chỉnh sửa dữ liệu (phần mềm) mà không đƣợc sự cho
phép từ những ngƣời cố ý hay vơ tình. An tồn mạng cung cấp giải pháp, chính
sách, bảo vệ máy tính, hệ thống mạng để làm cho những ngƣời dùng trái phép,
cũng nhƣ các phần mềm chứa mã độc không xâm nhập bất hợp pháp vào hệ
thống mạng.
1.1.2. Các yếu tố cần đƣợc bảo vệ trong hệ thống mạng
Yếu tố đầu tiên phải nói đến là dữ liệu, những thông tin lƣu trữ trên hệ
thống máy tính cần đƣợc bảo vệ do các yêu cầu về tính bảo mật, tính tồn vẹn
hay tính kịp thời. Thơng thƣờng yêu cầu về bảo mật đƣợc coi là yêu cầu quan
trọng đối với thông tin lƣu trữ trên mạng. Tuy nhiên, ngay cả khi những thông
tin không đƣợc giữ bí mật, thì u cầu về tính tồn vẹn cũng rất quan trọng.
Không một cá nhân, một tổ chức nào lãng phí tài nguyên vật chất và thời gian để
lƣu trữ những thơng tin mà khơng biết về tính đúng đắn của những thơng tin đó.
Yếu tố thứ hai là về tài nguyên hệ thống, sau khi các Attacker đã làm chủ
đƣợc hệ thống chúng sẽ sử dụng các máy này để chạy các chƣơng trình nhƣ dị
tím mật khẩu để tấn công vào hệ thống mạng.
1.1.3. Các yếu tố đảm bảo an tồn thơng tin
An tồn thơng tin nghĩa là thông tin đƣợc bảo vệ, các hệ thống và những
dịch vụ có khả năng chống lại những tai hoạ, lỗi và sự tác động không mong
Lương Tuấn Cường – TTMMT – 2015A

4


đợi. Mục tiêu của an tồn bảo mật trong cơng nghệ thông tin là đƣa ra một số

tiêu chuẩn an toàn và ứng dụng các tiêu chuẩn an toàn này để loại trừ hoặc giảm
bớt các nguy hiểm.
Hiện nay các biện pháp tấn công càng ngày càng tinh vi, sự đe doạ tới độ
an tồn thơng tin có thể đến từ nhiều nơi khác nhau theo nhiều cách khác nhau,
vì vậy các yêu cầu cần để đảm bảo an toàn thơng tin nhƣ sau:
- Tính bí mật: Thơng tin phải đảm bảo tính bí mật và đƣợc sử dụng
đúng đối tƣợng.
- Tính tồn vẹn: Thơng tin phải đảm bảo đầy đủ, ngun vẹn về cấu
trúc, khơng mâu thuẫn.
- Tính sẵn sàng: Thông tin phải luôn sẵn sàng để tiếp cận, để phục vụ
theo đúng mục đích và đúng cách.
- Tính chính xác: Thơng tin phải chính xác, tin cậy.
- Tính khơng khƣớc từ (chống chối bỏ): Thơng tin có thể kiểm chứng
đƣợc nguồn gốc hoặc ngƣời đƣa tin.
Nguy cơ hệ thống (Risk) đƣợc hình thành bởi sự kết hợp giữa lỗ hổng hệ
thống và các mối đe doạ đến hệ thống, nguy cơ hệ thống có thể định nghĩa trong
ba cấp độ thấp, trung bình và cao. Để xác định nguy cơ đối với hệ thống trƣớc
tiên cần phải đánh giá nguy cơ hệ thống theo sơ đồ sau.

Hình 1: Nguy cơ đối với hệ thống
Lương Tuấn Cường – TTMMT – 2015A

5


1.1.4. Quá trình đánh giá nguy cơ của hệ thống


Xác định các lỗ hổng hệ thống


Việc xác định các lỗ hổng hệ thống đƣợc bắt đầu từ các điểm truy cập vào
hệ thống nhƣ:
- Kết nối mạng Internet
- Các điểm kết nối từ xa
- Kết nối các tổ chức khác
- Các môi trƣờng truy cập vật lý hệ thống
- Các điểm truy cập ngƣời dùng
- Các điểm truy cập không dây
Ở mỗi điểm truy cập phải xác định đƣợc các thơng tin có thể truy cập và
mức độ truy cập vào hệ thống.


Xác định các mối đe đoạ
Đây là một cơng việc khó khăn vì các mối đe dọa thƣờng không

xuất hiện rõ ràng (ẩn), thời điểm và quy mô tấn cơng khơng biết trƣớc. Các hình
thức và kỹ thuật tấn công đa dạng nhƣ:
- DoS/DDoS, BackDoor, Tràn bộ đệm,…
- Virus, Trojan Horse, Worm
- Social Engineering


Các biện pháp an toàn hệ thống

Các biện pháp an toàn hệ thống gồm các biện pháp: Nhƣ firewall, phần
mềm diệt virut, điều khiển truy cập, hệ thống chứng thực (mật khẩu, sinh trắc
học, thẻ nhận dạng), mã hoá dữ liệu, hệ thống chống xâm nhập IDS, hệ thống
ngăn chặn xâm nhập IPS, các kỹ thuật khác, ý thức ngƣời dùng, hệ thống chính
sách bảo mật và tự động vá lỗ hệ thống
1.2.


Một số kỹ thuật tấn cơng hệ thống mạng máy tính

1.2.1. Tấn cơng bị động (Passive attack)
Trong một cuộc tấn công bị động, các hacker sẽ kiểm sốt luồng dữ liệu
khơng đƣợc mã hóa và tìm kiếm mật khẩu khơng đƣợc mã hóa (Clear Text
Lương Tuấn Cường – TTMMT – 2015A

6


password), các thơng tin nhạy cảm có thẻ đƣợc sử dụng trong các kiểu tấn công
khác. Các cuộc tấn công bị động bao gồm phân tích traffic, giám sát các cuộc
giao tiếp không đƣợc bảo vệ, giải mã các traffic mã hóa yếu, và thu thập các
thơng tin xác thực nhƣ mật khẩu.
Các cuộc tấn công chặn bắt thông tin hệ thống mạng cho phép kẻ tấn cơng
có thể xem xét các hành động tiếp theo. Kết quả của các cuộc tấn công bị động
là các thông tin hoặc file dữ liệu sẽ bị rơi vào tay kẻ tấn công mà ngƣời dùng
không hề hay biết.
1.2.2. Tấn công rải rác (Distributed attack)
Đối với các cuộc tấn công rải rác yêu cầu kẻ tấn công phải giới thiệu mã,
chẳng hạn nhƣ một chƣơng trình Trojan horse hoặc một chƣơng trình back-door,
với một thành phần "tin cậy" hoặc một phần mềm đƣợc phân phối cho nhiều
công ty khác và tấn công user bằng cách tập trung vào việc sửa đổi các phần
mềm độc hại của phần cứng hoặc phần mềm trong quá trình phân phối,... Các
cuộc tấn cơng giới thiệu mã độc hại chẳng hạn nhƣ back door trên một sản phẩm
nhằm mục đích truy cập trái phép các thơng tin hoặc truy cập trái phép các chức
năng trên hệ thống.
1.2.3. Tấn công nội bộ (Insider attack)
Các cuộc tấn công nội bộ (insider attack) liên quan đến ngƣời ở trong

cuộc, chẳng hạn nhƣ một nhân viên nào đó "bất mãn" với cơng ty của
mình,…các cuộc tấn cơng hệ thống mạng nội bộ có thể gây hại hoặc vơ hại.
Ngƣời trong cuộc cố ý nghe trộm, ăn cắp hoặc phá hoại thông tin, sử dụng
các thông tin một cách gian lận hoặc truy cập trái phép các thông tin.
1.2.4. Tấn công Phising
Trong các cuộc tấn công phising, các hacker sẽ tạo ra một trang web giả
trông “giống hệt” nhƣ các trang web phổ biến. Trong các phần tấn công phising,
các hacker sẽ gửi một email để ngƣời dùng click vào đó và điều hƣớng đến trang
web giả mạo. Khi ngƣời dùng đăng nhập thông tin tài khoản của họ, các hacker
sẽ lƣu lại tên ngƣời dùng và mật khẩu đó lại.
Lương Tuấn Cường – TTMMT – 2015A

7


1.2.5. Tấn công mật khẩu (Password attack)
Đối với các cuộc tấn công mật khẩu, các hacker sẽ cố gắng "phá" mật
khẩu đƣợc lƣu trữ trên cơ sở dữ liệu tài khoản hệ thống mạng hoặc mật khẩu bảo
vệ các tập tin.
Các cuộc tấn công mật khẩu bao gồm 3 loại chính: các cuộc tấn cơng
dạng từ điển (dictionary attack), brute-force attack và hybrid attack.
Cuộc tấn công dạng từ điển sử dụng danh sách các tập tin chứa các mật
khẩu tiềm năng.
1.2.6. Khai thác lỗ hổng tấn công (Exploit attack)
Đối với các cuộc tấn công bằng việc khai thác các lỗ hổng, yêu cầu các
hacker phải hiểu biết về các vấn đề bảo mật trên hệ điều hành hoặc các phần
mềm và tận dụng kiến thức này để khai thác các lỗ hổng.
1.2.7. Buffer overflow (lỗi tràn bộ đệm)
Một cuộc tấn công buffer attack xảy ra khi các hacker gửi dữ liệu tới một
ứng dụng nhiều hơn so với dự kiến. Và kết quả của cuộc tấn công buffer attack

là các hacker tấn công truy cập quản trị hệ thống trên Command Prompt hoặc
Shell.
1.2.8. Tấn công từ chối dịch vụ (denial of service attack)
Một cuộc tấn công từ chối dịch vụ (tấn công DoS - Viết tắt của Denial
of Service) hay tấn công từ chối dịch vụ phân tán (tấn công DDoS - Viết tắt
của Distributed Denial of Service) là một nỗ lực làm cho những ngƣời dùng
không thể sử dụng tài nguyên của một máy tính. Mặc dù phƣơng tiện để tiến
hành, động cơ, mục tiêu của tấn công từ chối dịch vụ có thể khác nhau, nhƣng
nói chung nó gồm có sự phối hợp, sự cố gắng ác ý của một ngƣời hay nhiều
ngƣời để một trang, hay hệ thống mạng không thể sử dụng, làm gián đoạn, hoặc
làm cho hệ thống đó chậm đi một cách đáng kể với ngƣời dùng bình thƣờng,
bằng cách làm quá tải tài nguyên của hệ thống. Thủ phạm tấn công từ chối dịch
vụ thƣờng nhắm vào các trang mạng hay server tiêu biểu nhƣ ngân hàng, cổng
thanh tốn thẻ tín dụng và thậm chí DNS root servers.
Lương Tuấn Cường – TTMMT – 2015A

8


Đây là một phƣơng thức tấn công phổ biến kéo theo sự bão hoà máy mục
tiêu với các yêu cầu liên lạc bên ngồi, đến mức nó khơng thể đáp ứng giao
thông hợp pháp, hoặc đáp ứng quá chậm. Trong điều kiện chung, các cuộc tấn
công DoS đƣợc bổ sung bởi ép máy mục tiêu khởi động lại hoặc tiêu thụ hết tài
ngun của nó đến mức nó khơng cung cấp dịch vụ, hoặc làm tắc nghẽn liên lạc
giữa ngƣời sử dụng và nạn nhân.
Trung tâm ứng cứu máy tính khẩn cấp Hoa Kỳ xác định dấu hiệu của một
vụ tấn cống từ chối dịch vụ gồm có:


Mạng thực thi chậm khác thƣờng khi mở tập tin hay truy cập Website;




Không thể dùng một website cụ thể;



Không thể truy cập bất kỳ website nào;



Tăng lƣợng thƣ rác nhận đƣợc.

Không phải tất các dịch vụ đều ngừng chạy, thậm chí đó là kết quả của
một hoạt động nguy hại, tất yếu của tấn cơng DoS. Tấn cơng từ chối dịch cũng
có thể dẫn tới vấn đề về nhánh mạng của máy đang bị tấn cơng. Ví dụ băng
thơng của router giữa Internet và LAN có thể bị tiêu thụ bởi tấn cơng, làm tổn
hại khơng chỉ máy tính ý định tấn cơng mà cịn là tồn thể mạng.
1.2.8.1. Kiến trúc tấn cơng DDoS
Mặc dù có nhiều dạng tấn cơng DDoS đƣợc ghi nhận, nhƣng tựu trung có
thể chia kiến trúc tấn cơng DDoS thành 2 loại chính: (i) kiến trúc tấn công
DDoS trực tiếp và (i) kiến trúc tấn công DDoS gián tiếp hay phản chiếu. Hình 1
minh họa kiến trúc tấn cơng DDoS trực tiếp, theo đó tin tặc (Attacker) trƣớc hết
thực hiện chiếm quyền điều khiển hàng ngàn máy tính có kết nối Internet, biến
các máy tính này thành các Zombie – những máy tính bị kiểm sốt và điều khiển
từ xa bởi tin tặc. Tin tặc thƣờng điều khiển các Zombie thông qua các máy trung
gian (Handler). Hệ thống các Zombie chịu sự điều khiển của tin tặc cịn đƣợc
gọi là mạng máy tính ma hay botnet. Theo lệnh gửi từ tin tặc, các Zombie đồng
loạt tạo và gửi các yêu cầu truy nhập giả mạo đến hệ thống nạn nhân (Victim),


Lương Tuấn Cường – TTMMT – 2015A

9


gây ngập lụt đƣờng truyền mạng hoặc làm cạn kiệt tài nguyên của máy chủ, dẫn
đến ngắt quãng hoặc ngừng dịch vụ cung cấp cho ngƣời dùng.

src: truy cập 09/03/2017

Hình 2: Kiến trúc tấn cơng DDos trực tiếp

src: truy cập 09/03/2017

Hình 3: Kiến trúc tấn cơng DDos gián tiếp hay phản phiếu
Kiến trúc tấn công DDoS gián tiếp hay cịn gọi là kiến trúc tấn cơng
DDoS phản chiếu. Tƣơng tự nhƣ kiến trúc tấn công DDoS trực tiếp, tin tặc
(Attacker) trƣớc hết thực hiện chiếm quyền điều khiển một lƣợng rất lớn máy
tính có kết nối Internet, biến các máy tính này thành các Zombie, hay cịn gọi la
Slave. Tin tặc điều khiển các Slave thông qua các máy trung gian (Master). Theo
Lương Tuấn Cường – TTMMT – 2015A

10


lệnh gửi từ tin tặc, các Slave đồng loạt tạo và gửi các yêu cầu truy nhập giả mạo
với địa chỉ nguồn của các gói tin là địa chỉ của máy nạn nhân (Victim) đến đến
một số lớn các máy khác (Reflectors) trên mạng Internet. Các Reflectors gửi
phản hồi (Reply) đến máy nạn nhân do địa chỉ của máy nạn nhân đƣợc đặt vào
yêu cầu giả mạo. Khi các Reflectors có số lƣợng lớn, số phản hồi sẽ rất lớn và

gây ngập lụt đƣờng truyền mạng hoặc làm cạn kiệt tài nguyên của máy nạn
nhân, dẫn đến ngắt quãng hoặc ngừng dịch vụ cung cấp cho ngƣời dùng. Các
Reflectors bị lợi dụng để tham gia tấn công thƣờng là các hệ thống máy chủ có
cơng suất lớn trên mạng Internet và không chịu sự điều khiển của tin tặc.
1.2.8.2. Phân loại tấn công DDoS
Các cuộc tấn công DDoS thƣờng đƣợc tin tặc thực hiện bằng cách huy
động một số lƣợng rất lớn các máy tính có kết nối Internet bị chiếm quyền điều
khiển – tập hợp các máy này đƣợc gọi là mạng máy tính ma hay mạng bot, hoặc
botnet. Các máy của botnet có khả năng gửi hàng ngàn yêu cầu giả mạo mỗi
giây đến hệ thống nạn nhân, gây ảnh hƣởng nghiêm trọng đến chất lƣợng dịch
vụ cung cấp cho ngƣời dùng. Do các yêu cầu của tấn công DDoS đƣợc gửi rải
rác từ nhiều máy ở nhiều vị trí địa lý nên rất khó phân biệt với các yêu cầu của
ngƣời dùng hợp pháp. Một trong các khâu cần thiết trong việc đề ra các biện
pháp phòng chống tấn công DDoS hiệu quả là phân loại các dạng tấn cơng
DDoS và từ đó có biện pháp phịng chống thích hợp. Một cách khái qt, tấn
cơng DDoS có thể đƣợc phân loại dựa trên 6 tiêu chí chính: (1) Dựa trên phƣơng
pháp tấn công, (2) Dựa trên mức độ tự động, (3) Dựa trên giao thức mạng, (4)
Dựa trên phƣơng thức giao tiếp, (5) Dựa trên cƣờng độ tấn công và (6) Dựa trên
việc khai thác các lỗ hổng an ninh. Phần tiếp theo của mục này trình bày chi tiết
từng loại.
Dựa trên phương pháp tấn công
Phân loại DDoS dựa trên phƣơng pháp tấn công là một trong phƣơng
pháp phân loại cơ bản nhất. Theo tiêu chí này, DDoS có thể đƣợc chia thành 2
dạng:
Lương Tuấn Cường – TTMMT – 2015A

11


- Tấn công gây ngập lụt (Flooding Attacks): Trong tấn công gây ngập

lụt, tin tặc tạo một lƣợng lớn các gói tin tấn cơng giống nhƣ các gói tin hợp lệ và
gửi đến hệ thống nạn nhân làm cho hệ thống không thể phục vụ ngƣời dùng hợp
pháp. Đối tƣợng của tấn công dạng này là băng thông mạng, không gian đĩa,
thời gian của CPU…
- Tấn công logic (Logical Attacks): Tấn cơng logic thƣờng khai thác các
tính năng hoặc các lỗi cài đặt của các giao thức hoặc dịch vụ chạy trên hệ thống
nạn nhân, nhằm làm cạn kiệt tài ngun hệ thống. Ví dụ tấn cơng TCP SYN khai
thác quá trình bắt tay 3 bƣớc trong khởi tạo kết nối TCP, trong đó mỗi yêu cầu
kết nối đƣợc cấp một phần không gian trong bảng lƣu yêu cầu kết nối trong khi
chờ xác nhận kết nối. Tin tặc có thể gửi một lƣợng lớn yêu cầu kết nối giả mạo –
các kết nối không thể thực hiện, chiếm đầy không gian bảng kết nối và hệ thống
nạn nhân không thể tiếp nhận yêu cầu kết nối của ngƣời dùng hợp pháp.
Dựa trên mức độ tự động
Theo mức độ tự động, có thể chia tấn cơng DDoS thành 3 dạng:
- Tấn công thủ công: Tin tặc trực tiếp quét các hệ thống tìm lỗ hổng, đột
nhập vào hệ thống, cài đặt mã tấn cơng và ra lệnh kích hoạt tấn công. Chỉ những
tấn công DDoS trong giai đoạn đầu mới đƣợc thực hiện thủ công.
- Tấn công bán tự động: Trong dạng này, mạng lƣới thực hiện tấn công
DDoS bao gồm các máy điều khiển (Master/Handler) và các máy Agent (Slave,
Deamon, Zombie, Bot). Các giai đoạn tuyển chọn máy agent, khai thác lỗ hổng
và lây nhiễm đƣợc thực hiện tự động. Trong đoạn tấn công, tin tặc gửi các thông
tin bao gồm kiểu tấn công, thời điểm bắt đầu, khoảng thời gian duy trì tấn cơng
và đích tấn cơng đến các agent thông qua các handler. Các agent sẽ theo lệnh gửi
các gói tin tấn cơng đến hệ thống nạn nhân.
- Tấn công tự động: Tất cả các giai đoạn trong q trình tấn cơng DDoS,
từ tuyển chọn máy Agent, khai thác lỗ hổng, lây nhiễm đến thực hiện tấn công
đều đƣợc thực hiện tự động. Tất cả các tham số tấn cơng đều đƣợc lập trình sẵn
và đƣa vào mã tấn công. Tấn công dạng này giảm đến tối thiểu giao tiếp giữa tin
Lương Tuấn Cường – TTMMT – 2015A


12


tặc và mạng lƣới tấn công, và tin tặc chỉ cần kích hoạt giai đoạn tuyển chọn các
máy Agent.
Dựa trên giao thức mạng: Dựa trên giao thức mạng, tấn công DDoS có
thể chia thành 2 dạng:
- Tấn cơng vào tầng mạng hoặc giao vận: Ở dạng này, các gói tin TCP,
UDP và ICMP đƣợc sử dụng để thực hiện tấn công.
- Tấn công vào tầng ứng dụng: Ở dạng này, các tấn công thƣờng hƣớng
đến các dịch vụ thông dụng ứng với các giao thức tầng ứng dụng nhƣ HTTP,
DNS và SMTP. Tấn cơng DDoS tầng ứng dụng cũng có thể gây ngập lụt đƣờng
truyền và tiêu hao tài nguyên máy chủ, làm ngắt quãng khả năng cung cấp dịch
vụ cho ngƣời dùng hợp pháp. Dạng tấn công này rất khó phát hiện do các u
cầu tấn cơng tƣơng tự yêu cầu từ ngƣời dùng hợp pháp.
Dựa trên phương thức giao tiếp
Thông thƣờng, để thực hiện tấn công DDoS, tin tặc phải tuyển chọn và
chiếm quyền điều khiển một số lƣợng lớn các máy tính có kết nối Internet, và
các máy tính này sau khi bị cài phần mềm agent trở thành các bots - công cụ
giúp tin tặc thực hiện tấn công DDoS. Tin tặc thông qua các máy điều khiển
(master) giao tiếp với các bots để gửi thông tin và các lệnh điều khiển tấn công.
Theo phƣơng thức giao tiếp giữa các master và bots, có thể chia tấn công DDoS
thành 4 dạng:
- DDoS dựa trên agent-handler: Tấn công DDoS dựa trên dạng này bao
gồm các thành phần: Clients, Handlers và Agents (Bots/Zombies). Tin tặc chỉ
giao tiếp trực tiếp với clients. Clients sẽ giao tiếp với Agents thông qua
Handlers. Nhận đƣợc lệnh và các thông tin thực hiện tấn công, agents trực tiếp
thực hiện việc tấn công.
- DDoS dựa trên IRC: Internet Relay Chat (IRC) là một hệ thống
truyền thông điệp trực tuyến cho phép nhiều ngƣời dùng tạo kết nối và trao đổi

các thông điệp theo thời gian thực. Trong dạng tấn công DDoS này tin tặc sử
dụng IRC làm kênh giao tiếp với các Agents, không sử dụng Handlers.
Lương Tuấn Cường – TTMMT – 2015A

13


- DDoS dựa trên web: Trong dạng tấn công này, tin tặc sử dụng các trang
web làm phƣơng tiện giao tiếp qua kênh HTTP thay cho kênh IRC. Các trang
web của tin tặc đƣợc sử dụng làm trung tâm điều khiển và lây nhiễm các phần
mềm độc hại, các công cụ khai thác các lỗ hổng an ninh, cài đặt các agents
chiếm quyền điều khiển hệ thống máy tính và biến chúng thành các bots. Các
bots có thể đƣợc xác lập cấu hình hoạt động từ đầu, hoặc chúng có thể gửi các
thông điệp đến trang web điều khiển thông qua các giao thức web phổ biến nhƣ
HTTP và HTTPS.
- DDoS dựa trên P2P: Ở dạng này, tin tặc sử dụng giao thức Peer to
Peer – một giao thức ở tầng ứng dụng làm kênh giao tiếp. Bản chất của các
mạng P2P là phân tán nên rất khó để phát hiện các bots giao tiếp với nhau thông
qua kênh này.
Dựa trên cường độ tấn công
Dựa trên cƣờng độ hoặc tần suất gửi u cầu tấn cơng, có thể phân loại
tấn công DDoS thành 5 dạng:
- Tấn công cƣờng độ cao: Là dạng tấn công gây ngắt quãng dịch vụ bằng
cách gửi cùng một thời điểm một lƣợng rất lớn các yêu cầu từ các máy
agents/zombies nằm phân tán trên mạng.
- Tấn công cƣờng độ thấp: Các agents/zombies đƣợc phối hợp sử dụng
để gửi một lƣợng lớn các yêu cầu giả mạo, nhƣng với tần suất thấp, làm suy
giảm dần dần hiệu năng mạng. Dạng tấn cơng này rất khó bị phát hiện do lƣu
lƣơng tấn công tƣơng tự nhƣ lƣu lƣợng đến từ ngƣời dùng hợp pháp.
- Tấn công cƣờng độ hỗn hợp: Là dạng kết hợp giữa tấn công cƣờng độ

cao và tấn công cƣờng độ thấp. Đây là dạng tấn cơng phức hợp, trong đó tin tặc
thƣờng sử dụng các cơng cụ để sinh các gói tin tấn công gửi với tần suất cao và
thấp.
- Tấn công cƣờng độ liên tục: Là dạng tấn công đƣợc thực hiện liên tục
với cƣờng độ tối đa trong suốt khoảng thời gian từ khi bắt đầu đến khi kết thúc.

Lương Tuấn Cường – TTMMT – 2015A

14


- Tấn công cƣờng độ thay đổi: Đây là dạng tấn cơng có cƣờng độ thay
đổi động nhằm tránh bị phát hiện và đáp trả.
Dựa trên việc khai thác các lỗ hổng an ninh
Dựa trên việc khai thác các điểm yếu và lỗ hổng an ninh, tấn cơng DDoS
có thể đƣợc phân loại thành 2 dạng:
- Tấn công gây cạn kiệt băng thông: Các tấn công DDoS dạng này đƣợc
thiết kế để gây ngập lụt hệ thống mạng của nạn nhân bằng các yêu cầu truy nhập
giả mạo, làm ngƣời dùng hợp pháp không thể truy nhập dịch vụ. Tấn công dạng
này thƣờng gây tắc nghẽn đƣờng truyền bằng lƣợng yêu cầu giả mạo rất lớn gửi
bởi các máy tính ma (zombie) của các botnets. Dạng tấn công này cũng cịn
đƣợc gọi là tấn cơng gây ngập lụt hoặc tấn công khuếch đại.
- Tấn công gây cạn kiệt tài nguyên: Các tấn công DDoS dạng này đƣợc
thiết kế để tiêu dùng hết các tài nguyên trên hệ thống nạn nhân, làm cho nó
khơng thể phục vụ các u cầu của ngƣời dùng hợp pháp. Dạng tấn cơng DDoS
này có thể đƣợc chia nhỏ thành 2 dạng (i) tấn công khai thác tính năng hoặc lỗi
cài đặt của các giao thức và (ii) tấn cơng sử dụng các gói tin đƣợc tạo đặc biệt.
Trong dạng thứ nhất, tin tặc khai thác các lỗi hoặc các tính năng đặc biệt của các
giao thức trên hệ thống nạn nhân để gây cạn kiệt tài nguyên. Trong dạng thứ hai,
kẻ tấn công tạo ra các gói tin đặc biệt, nhƣ các gói sai định dạng, gói có khiếm

khuyết, gửi đến hệ thống nạn nhân. Hệ thống nạn nhân có thể bị trục trặc khi cố
gắng xử lý các gói tin dạng này. Ví dụ, trong tấn cơng Ping of Death, tin tặc gửi
các gói tin ICMP có kích thƣớc lớn hơn 64KB gây lỗi các máy chạy hệ điều
hành Windows XP.
1.2.8.3. CÁC BIỆN PHÁP PHỊNG CHỐNG
Do tính chất nghiêm trọng của tấn cơng DDoS, nhiều giải pháp phòng
chống đã đƣợc nghiên cứu và đề xuất trong những năm qua. Tuy nhiên, cho đến
hiện nay gần nhƣ chƣa có giải pháp nào có khả năng phịng chống DDoS một
cách tồn diện và hiệu quả do tính chất phức tạp, quy mơ lớn và tính phân tán rất
cao của tấn công DDoS. Thông thƣờng, khi phát hiện tấn cơng DDoS, việc có
Lương Tuấn Cường – TTMMT – 2015A

15


thể thực hiện đƣợc tốt nhất là ngắt hệ thống nạn nhân khỏi tất cả các tài nguyên
do mọi hành động phản ứng lại tấn công đều cần đến các tài nguyên trong khi
các tài nguyên này đã bị tấn công DDoS làm cho cạn kiệt. Sau khi hệ thống nạn
nhân đƣợc ngắt khỏi các tài nguyên, việc truy tìm nguồn gốc và nhận dạng tấn
cơng có thể đƣợc tiến hành. Nhiều biện pháp phịng chống tấn cơng DDoS đã
đƣợc nghiên cứu trong những năm gần đây. Tựu chung có thể chia các biện
pháp phịng chống tấn cơng DDoS thành 3 dạng theo 3 tiêu chí chính: (i) Dựa
trên vị trí triển khai, (ii) Dựa trên giao thức mạng và (iii) Dựa trên thời điểm
hành động.
Dựa trên vị trí triển khai: Các biện pháp phịng chống tấn cơng DDoS
đƣợc phân loại vào dạng này dựa trên vị trí cài đặt và tiếp tục đƣợc chia nhỏ
thành

3


dạng

con:

Triển khai ở nguồn tấn cơng: Các biện pháp phịng chống tấn cơng DDoS
đƣợc triển khai ở gần nguồn của tấn công. Phƣơng pháp này nhằm hạn chế các
mạng ngƣời dùng tham gia tấn công DDoS. Một số biện pháp cụ thể bao gồm:
- Thực hiện lọc các gói tin sử dụng địa chỉ giả mạo tại các bộ định tuyến
ở cổng mạng;
- Sử dụng các tƣờng lửa có khả năng nhận dạng và giảm tần suất chuyển
các gói tin hoặc u cầu khơng đƣợc xác nhận.
Triển khai ở đích tấn cơng: Các biện pháp phịng chống tấn cơng DDoS
đƣợc triển khai ở gần đích của tấn công, tức là tại bộ định tuyến ở cổng mạng
hoặc bộ định tuyến của hệ thống đích. Các biện pháp cụ thể có thể gồm:
- Truy tìm địa chỉ IP: Gồm các kỹ thuật nhận dạng địa chỉ và ngƣời dùng
giả mạo.
- Lọc và đánh dấu các gói tin: Các gói tin hợp lệ đƣợc đánh dấu sao cho
hệ thống nạn nhân có thể phân biệt các gói tin hợp lệ và gói tin tấn cơng. Một số
kỹ thuật lọc và đánh dấu gói tin đƣợc đề xuất gồm: Lọc IP dựa trên lịch sử, Lọc
dựa trên đếm hop, Nhận dạng đƣờng dẫn,…

Lương Tuấn Cường – TTMMT – 2015A

16


Triển khai ở mạng đích tấn cơng: Các biện pháp phịng chống tấn cơng
DDoS đƣợc triển khai ở các bộ định tuyến của mạng đích dựa trên lọc gói tin,
phát hiện và lọc các gói tin độc hại.
Dựa trên giao thức mạng

Các biện pháp phịng chống tấn cơng DDoS đƣợc chia nhỏ theo tầng
mạng: IP, TCP và ứng dụng:
Phòng chống tấn công DDoS ở tầng IP bao gồm một số biện pháp:
- Pushback: Là cơ chế phịng chống tấn cơng DDoS ở tầng IP cho phép
một bộ định tuyến yêu cầu các bộ định tuyến liền kề phía trƣớc giảm tần suất
truyền các gói tin.
- SIP defender: Một kiến trúc an ninh mở cho phép giám sát luồng các
gói tin giữa các máy chủ SIP và ngƣời dùng và proxy bên ngồi với mục đích
phát hiện và ngăn chặn tấn công vào các máy chủ SIP.
- Các phƣơng pháp dựa trên ô đố chữ: Gồm các phƣơng pháp dựa trên
ô đố chữ mật mã để chống lại tấn công DDoS ở mức IP.
Phịng chống tấn cơng DDoS ở tầng TCP bao gồm một số biện pháp:
- Sử dụng các kỹ thuật lọc gói tin dựa trên địa chỉ IP.
- Tăng kích thƣớc Backlogs giúp tăng khả năng chấp nhận kết nối mới của
hệ thống đích.
- Giảm thời gian chờ xác nhận yêu cầu kết nối TCP-SYN giúp máy chủ
hủy bỏ các yêu cầu kết nối không đƣợc xác nhận trong khoảng thời gian ngắn
hơn, giải phóng tài nguyên các kết nối chờ chiếm giữ.
- Sử dụng SYN cache giúp duy trì Backlogs chung cho tồn máy chủ thay
vì Backlogs riêng cho mỗi ứng dụng. Nhờ vậy có thể tăng số lƣợng kết nối đang
chờ xác nhận.
- Sử dụng SYN Cookies cho phép chỉ cấp phát tài nguyên cho kết nối khi
nó đã đƣợc xác nhận. Các yêu cầu SYN sẽ bị hủy nếu không đƣợc xác nhận
trƣớc khi đƣợc chuyển cho máy chủ đích. Phƣơng pháp này có thể giúp phịng
chống tấn cơng SYN Flood hiệu quả.
Lương Tuấn Cường – TTMMT – 2015A

17



- Sử dụng tƣờng lửa hoặc proxy để lọc các gói tin hoặc thực thi các chính
sách an ninh đã xác lập trƣớc.
Phịng chống tấn cơng DDoS ở tầng ứng dụng có thể bao gồm:
- Tối thiểu hóa hành vi truy nhập trang để phịng chống tấn cơng gây ngập
lụt HTTP.
- Sử dụng các phƣơng pháp thống kê để phát hiện tấn công DDoS ở mức
HTTP.
- Giám sát hành vi của ngƣời dùng trong các phiên làm việc để phát hiện
tấn công.
Dựa trên thời điểm hành động
Dựa trên thời điểm hành động, có thể phân loại các biện pháp phịng
chống tấn công DDoS thành 3 dạng theo 3 thời điểm :
- Trƣớc khi xảy ra tấn công: Các biện pháp phịng chống tấn cơng
DDoS thuộc dạng này đƣợc triển khai nhằm ngăn chặn tấn công xảy ra. Một
phần lớn các biện pháp thuộc dạng này bao gồm việc cập nhật hệ thống, đảm
bảo cấu hình an ninh phù hợp, sửa lỗi, vá các lỗ hổng để giảm thiểu khả năng bị
tin tặc khai thác phục vụ tấn công.
- Trong khi xảy ra tấn cơng: Các biện pháp phịng chống tấn công
DDoS thuộc dạng này tập trung phát hiện và ngăn chặn tấn công. Tƣởng lửa và
các hệ thống IDS/IPS thuộc nhóm này.
- Sau khi xảy ra tấn cơng: Gồm các biện pháp đƣợc triển khai để lần vết
và truy tìm nguồn gốc của tấn công DDoS.
1.2.9. Tấn công vào yếu tố con ngƣời
Kẻ tấn cơng có thể liên lạc với một ngƣời quản trị hệ thống, giả làm một
ngƣời sử dụng để yêu cầu thay đổi mật khẩu, thay đổi quyền truy nhập của mình
đối với hệ thống, hoặc thậm chí thay đổi một số cấu hình của hệ thống để thực
hiện các phƣơng pháp tấn công khác.

Lương Tuấn Cường – TTMMT – 2015A


18


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×