Nghiên cứu kỹ thuật tấn công mạng dos
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.61 MB, 61 trang )
BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC VINH
LƯỜNG HỒNG PHONG
NGHIÊN CỨU KỸ THUẬT TẤN CÔNG MẠNG DOS/DDOS
VÀ MỘT SỐ GIẢI PHÁP PHÁT HIỆN VÀ PHÒNG CHỐNG
ÁP DỤNG TẠI TRƯỜNG ĐẠI HỌC VINH
LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN
NGHỆ AN, 5/2017
BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC VINH
LƯỜNG HỒNG PHONG
NGHIÊN CỨU KỸ THUẬT TẤN CÔNG MẠNG DOS/DDOS
VÀ MỘT SỐ GIẢI PHÁP PHÁT HIỆN VÀ PHÒNG CHỐNG
ÁP DỤNG TẠI TRƯỜNG ĐẠI HỌC VINH
Chuyên ngành: CÔNG NGHỆ THÔNG TIN
Mã số: 60.48.02.01
LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN
Người hướng dẫn khoa học: TS. Trần Xuân Sang
NGHỆ AN, 5/2017
LỜI CẢM ƠN
Với tình cảm chân thành và lịng biết ơn sâu sắc, tác giả luận văn xin
cám ơn quý Thầy, Cô giáo Trường Đại học Vinh đã đem đến cho tác giả
những kiến thức quý báu trong chuyên môn và trong cuộc sống.
Đặc biệt tác giả xin bày tỏ biết ơn chân thành và sâu sắc tới tiến sỹ Trần
Xuân Sang – người trực tiếp hướng dẫn khoa học trong suốt quá trình thực
hiện luận văn, đã chu đáo tận tình hướng dẫn, giúp đỡ tác giả thực hiện hoàn
thành luận văn này.
Xin cảm ơn các bạn học viên lớp K23 Đại học Vinh đoàn kết, phối hợp
hỗ trợ động viên và nhiệt tình giúp đỡ tác giả trong q trình nghiên cứu,
hồn thành luận văn.
Do hạn chế về thời gian và kinh nghiệm, sẽ có những thiếu sót xảy ra
trong q trình thực hiện luận văn. Kính mong được sự chỉ dẫn và góp ý từ
phía q Thầy, Cơ để có thêm những đánh giá và nhận xét quý báu hoàn thiện
hơn.
Nghệ An, ngày 10 tháng 5 năm 2017
Tác giả
LƯỜNG HỒNG PHONG
LỜI CAM ĐOAN
Tơi xin cam đoan đây là cơng trình tìm hiểu và nghiên cứu của tơi, có
sự hỗ trợ của Thầy hướng dẫn và những người tôi đã cảm ơn. Các nghiên cứu
và kết quả trong đề tài này là trung thực và chưa được công bố.
Nghệ An, ngày 10 tháng 5 năm 2017
Học viên
LƯỜNG HỒNG PHONG
MỤC LỤC
DANH MỤC CÁC TỪ VIẾT TẮT ............................................................................1
DANH MỤC CÁC HÌNH ..........................................................................................2
MỞ ĐẦU ....................................................................................................................3
1. Sự cần thiết của vấn đề nghiên cứu .....................................................................3
2. Mục tiêu nghiên cứu ............................................................................................4
3. Đối tượng và phạm vi nghiên cứu .......................................................................5
4. Kết cấu của luận văn ...........................................................................................5
CHƯƠNG 1. TỔNG QUAN VỀ AN TOÀN MẠNG .............................................6
1.1 An tồn mạng ....................................................................................................6
1.2 Tấn cơng cục bộ (local attack) .........................................................................7
1.3 SQL Injection ...................................................................................................7
1.4 Cross Site Scripting (XSS) ...............................................................................8
1.5 Tấn công dạng DoS/DDoS ................................................................................9
1.6. Kết luận chương .............................................................................................10
CHƯƠNG 2. KỸ THUẬT TẤN CƠNG DoS/DDoS ............................................11
2.1. Tổng quan về tấn cơng từ chối dịch vụ phân tán ...........................................11
2.1.1. Giới thiệu về DDoS ..............................................................................11
2.1.2. Các giai đoạn của một cuộc tấn công DdoS .......................................12
2.1.3. Kiến trúc tổng quan của mạng tấn công DDoS....................................12
2.1.4. Phân loại tấn công DDoS .....................................................................16
2.1.5. Một số đặc tính của cơng cụ tấn cơng DDoS .......................................22
2.1.6. Một số công cụ tấn công DDoS ...........................................................26
2.2. Tác động nghiêm trọng và mức độ ảnh hưởng của các cuộc tấn công DDoS
trong nước và trên thế giới ....................................................................................30
2.2.1. Đối với trong nước ...............................................................................30
2.2.2. Trên thế giới .........................................................................................32
2.3. Kết luận chương. ............................................................................................39
CHƯƠNG 3. MỘT SỐ GIẢI PHÁP PHÁT HIỆN VÀ NGĂN CHẶN TẤN
CÔNG DẠNG DoS/DDoS ÁP DỤNG TẠI TRƯỜNG ĐẠI HỌC VINH ...........40
3.1. Hiện trạng website và hệ thống máy chủ Trường Đại học Vinh ...................40
3.3.1. Dò ngược dấu vết IP ............................................................................40
3.3.2. Lọc luồng vào.......................................................................................44
3.4. Một số kết quả thử nghiệm.............................................................................46
3.4.1. Chống tấn công dạng DDoS với Webserver ........................................46
3.4.2. Chống tấn công dạng UDP flood .........................................................49
3.5. Kết luận chương .............................................................................................53
KẾT LUẬN ..............................................................................................................54
TÀI LIỆU THAM KHẢO ......................................................................................55
DANH MỤC CÁC TỪ VIẾT TẮT
Ký hiệu
Giải thích
DoS
Tấn cơng từ chối dịch vụ (Denial of Service)
DDoS
Tấn công từ chối dịch vụ phân tán (Distributed Denial
of Service)
Hacker/Attacker
Kẻ tấn công
Server
Máy chủ
Host
Máy trạm
User
Người dùng
Internet
Tập hợp các mạng liên kết với nhau
Router
Bộ/thiết bị định tuyến
Switch
Bộ/thiết bị chuyển mạch
Traffic
Lưu lượng
Buffer
Bộ đệm
Website
Trang web
Threshold
Ngưỡng
CSDL
Cơ sở dữ liệu
NIDS
Hệ thống phát hiện xâm nhập dựa trên mạng
IIS
Các dịch vụ thông tin Internet
TCP
Transmission Control Protocol - "Giao thức điều khiển
truyền vận")
1
DANH MỤC CÁC HÌNH
STT TÊN HÌNH
1 Hình 2.1: Mơ hình Agent – Handler
2 Hình 2.2: Kiến trúc mạng tấn cơng kiểu Agent – Handler
Hình 2.3: Kiến trúc mạng tấn cơng kiểu dựa vào mạng IRCMơ hình
3
mạng tấn
4 Hình 2.4: Phân loại tấn cơng kiểu DDoS
5 Hình 2.5: Tấn cơng khuếch đại
6 Hình 2.6: Mơ tả về bắt tay ba bước
7 Hình 2.7: Tấn cơng TCP SYN
8 Hình 2.8: Cơng cụ tấn cơng DDoS
9 Hình 2.9: Giao diện hoạt động của DoSHTTP
10 Hình 2.10: Thơng tin về tấn cơng kiểm tra Webserver.
Hình 2.11: Giao diện và các tham số chính dùng để tấn cơng của UDP
11
Unicorn.
12 Hình 2.12. Các cổng tấn cơng được hỗ trợ bởi UDP Unicorn.
13 Hình 3.1 Kỹ thuật kiểm tra liên kết
14 Hình 3.2 Dị ngược dựa trên ICMP.
15 Hình 3.3. Đánh dấu gói tin.
16 Hình 3.4. Lọc luồng vào.
17 Hình 3.5 Tấn cơng DoSHTTP ở máy trạm.
18 Hình 3.6. Lưu lượng gói tại Ethernet 0 của máy chủ sau 60s.
19 Hình 3.7. Các gói tại ethernet 0 của máy chủ chụp bởi WireShark.
20 Hình 3.8. Phản hồi yêu cầu từ máy chủ.
21 Hình 3.9. Tình trạng máy chủ sau chưa đầy 3 phút bị tấn công.
22 Hình 3.10. Danh sách điều khiển truy nhập.
23 Hình 3.11. Trao đổi gói tin sau khi thiết lập điều khiển truy nhập.
24 Hình 3.12. Cấu hình tấn cơng tới máy chủ.
25 Hình 3.13. Bộ nhớ máy chủ sau 60s bị tấn cơng.
26 Hình 3.14. Lọc các gói tin UDP cổng Ehternet của máy chủ.
27 Hình 3.16. Kết quả loại bỏ DDOS trên máy chủ.
2
MỞ ĐẦU
1. Sự cần thiết của vấn đề nghiên cứu
Một trong các vấn đề lớn nhất về an toàn trên Internet hiện nay là phịng
chống kiểu tấn cơng dạng từ chối dịch vụ (DoS – denial of service) [1]. DoS
tạo ra tình huống mà trong đó phía client khơng tạo được yêu cầu một cách
hợp lệ vì nguyên nhân nào đó [2]. Có khá nhiều cách để thực hiện được tấn
cơng bằng kỹ thuật DoS, ví dụ Ping of Death, Teardrop, Aland Attack,
Winnuke, Smurf Attack, UDP/ICMP Flooding, TCP/SYN Flooding, Attack
DNS. Tuy nhiên, theo Houle and Weaver nguyên lý tấn công dạng DoS là
chiếm giữ băng thông đường truyền làm cho quá tải xử lý ở bên nhận yêu cầu
(requests). Như chúng ta đã biết vấn đề băng thông là một trong những hạn
chế cố hữu của mạng Internet cho nên để có một giải pháp triệt để cho vấn đề
này hiện nay vẫn chưa giải quyết được.
Tấn công dạng từ chối dịch vụ phân tán (DDoS - Distributed denial-ofservice) là một kỹ thuật tấn công nhiều nguồn hướng tới một đích [3]. Kỹ
thuật tấn cơng này có liên quan đến các dạng virus hay sâu (worms) trên máy
tính. Mặc dù khơng nằm trong mục đích cuối cùng nhưng DDoS thường làm
cạn kiệt tài nguyên mạng. Do vậy tấn công dạng DDoS là một trong những
dạng tấn công chiếm giữ băng thông nhiều nhất.
Mặc dù tồn tại trong trong một thời gian khá dài nhưng kỹ thuật tấn công
dạng DoS/DDoS chỉ được cộng đồng và các nhà nghiên cứu chú ý đến sau
các sự kiện của các trang Yahoo!, Amazon.com, CNN và eBay bị ngừng vì
tấn cơng dạng DoS/DDoS vào năm 2000. Sau đó, cịn rất nhiều gã khổng lồ
khác đã gục ngã dưới các cuộc tấn công kiểu DDoS, trong đó có cả Microsoft.
Các cuộc tấn cơng trên là điển hình nhất về DDoS, nó phản ánh một đặc điểm
chết người của DDoS: “Rất dễ thực hiện, hầu như không thể tránh, và hậu quả
rất nặng nề”.
Tại Việt nam, kỹ thuật tấn công dạng DoS/DDoS được đánh dấu bằng sự
tấn công vào trang web của công ty cổ phần truyền thông Việt Nam VCCorp
vào tháng 6/2011. Hệ quả là một loạt các trang webs thương mại điện tử được
vận hành bởi VCCorp như Én bạc, Rồng bay,.. bị tê liệt trong hai ngày
3
6,7/2011. Tuy đã được quan tâm khắc phục và phòng chống nhưng sau đó
đúng 1 năm (7/2012) thì một loạt các trang webs của VCCorp lại bị tấn công,
bao gồm aFamily, autoPro, missPhotoVietnam… Nhưng tiêu biểu nhất kể đến
Kênh 14 là một trong những kênh có traffic lớn nhất của VCCorp cũng bị tấn
cơng. Tiếp tục một năm sau đó (2013), các trang web báo điện tử của Việt
Nam bị tấn cơng dạng DDoS như báo Dân trí, Việt nam net, … Với sự hỗ trợ
của các chuyên gia đến từ BKAV và CMC Infosec đã ngăn chặn và vô hiệu
hóa được lần tấn cơng này. Thế nhưng, đến khoảng tháng 10/2014, người
dùng internet tiếp tục không thể truy cập được các website như Dân Trí, Soha
News, Kênh 14, VNEconomy, CafeF, Muachung, Người lao động,
Giadinh.net.vn… Các thông báo lỗi được đưa ra như “Khơng tìm thấy” hay
“Data center đang gặp sự cố, vui lòng quay lại sau”, hoặc trang tải quá chậm,
không thể truy cập nội dung đầy đủ.
Hiện tại hệ thống web của trường Đại học Vinh được cài trên hệ thống
máy chủ khơng có nhiều phần mềm để hổ trợ về bảo mật…vì vậy có nguy cơ
về mất an tồn trong đó nguy cơ tấn cơng dos/ddos có thể gây ra nhưng hậu
quả nghiêm trọng.
Từ những phân tích ở trên chúng ta dễ dàng nhận ra sự cần thiết phải
nghiên cứu một cách nghiêm túc và đầy đủ về kỹ thuật tấn công dạng
DOS/DDOS và đưa ra những giải pháp phòng chống một cách hiệu quả. Là
một học viên đang theo học chuyên ngành công nghệ thông tin và hiện tại
cơng việc có liên quan đến an ninh, an toàn của hệ thống mạng của trường
Đại học Vinh, tôi mạnh dạn lựa chọn đề tài “ Nghiên cứu kỹ thuật tấn công
mạng Dos/Ddos và một số giải pháp phát hiện và phòng chống áp dụng tại
trường Đại học Vinh” với mong muốn thử sức mình và định hướng có ích
cho cơng việc sau này.
2. Mục tiêu nghiên cứu
Với mục đích tăng thêm sự hiểu biết về lĩnh vực và giúp ích cho cơng
việc sau này, trong khn khổ phạm vi của luận văn sẽ nghiên cứu một cách
sâu sắc các nguyên lý tấn công dạng DoS/DDoS và các giải pháp phòng
chống. Đặc biệt là các kỹ thuật tấn công dạng DDoS trên Internet. Từ những
4
hiểu biết tìm hiểu được áp dụng vào cơng việc an ninh cho hệ thống mạng của
Nhà trường.
3. Đối tượng và phạm vi nghiên cứu
3.1. Đối tượng nghiên cứu
Trong phạm vi nghiên cứu của luận văn này những yếu tố liên quan đến
vấn đề an ninh mạng sẽ được xem xét, tuy nhiên nội dung trọng tâm sẽ là các
nguyên lý kỹ thuật tấn công DoS/ DdoS trên hệ thống website của trường Đại
học Vinh. Từ đó chúng ta có thể phân loại các dạng tấn công và đưa ra các
cách phòng chống.
3.2. Phạm vi nghiên cứu
Các nội dung nghiên cứu chính bao gồm:
- Kỹ thuật tấn cơng DoS.
- Kỹ thuật tấn cơng DDoS.
- Phân tích chi tiết kỹ thuật tấn công DDoS và nguyên lý phản hồi DDoS.
- Nghiên cứu, phân tích định hướng phát triển của dạng tấn cơng DDoS.
- Đưa ra các giải pháp phịng chống tấn công dạng DoS/DdoS cho hệ
thống website trường Đại học Vinh.
4. Kết cấu của luận văn
Luận văn gồm có 3 chương:
Chương 1: Tổng quan về an toàn mạng
Chương 2: Kỹ thuật tấn công DoS/DDoS
Chương 3: Một số giải pháp phát hiện và ngăn chặn tấn công dạng
DoS/DDoS áp dụng tại trường đại học Vinh.
5
CHƯƠNG 1
TỔNG QUAN VỀ AN TỒN MẠNG
1.1 An tồn mạng
Thế giới thực của chúng ta đang ngày một hiện hữu trên mạng. Các cơ
sở hạ tầng quan trọng bao gồm vận tải, an ninh giao thông, các nhà máy điện
hạt nhân, điện, và các mạng lưới truyền thông đang được kết nối và quản trị
trên mạng. Sự tiến bộ và phát triển về công nghệ luôn mang lại những thành
quả tích cực, tuy nhiên ln có những đối tượng sử dụng cơng nghệ cho mục
đích khơng tốt của họ.
Theo Europol trong những năm gần đây internet đã tạo điều kiện thuận
lợi cho truyền thông và thúc đẩy sự phát triển và tương tác toàn cầu. Đồng
thời, những thách thức mới, hiện đại đã xuất hiện dưới hình thức tội phạm
mạng vì các nhóm tội phạm khai thác những lợi thế về công nghệ này. Các
mối đe dọa an ninh lớn nhất đối với Liên minh Châu Âu nội bộ là khủng bố,
buôn bán ma túy quốc tế và rửa tiền, gian lận có tổ chức, làm giả đồng euro
và bn lậu người, nhưng các mối đe dọa mới như tội phạm mạng với nạn
buôn người và các mối nguy hiểm hiện đại khác tăng lên. Europol thừa nhận
vào năm 2011 rằng giá trị của toàn bộ hệ thống tội phạm trên mạng là khơng
được biết đến, nhưng ước tính tổn thất của các doanh nghiệp toàn cầu vào
khoảng 750 tỷ Euro mỗi năm (Europol Public Information 2011).
Trong năm 2008, Suleyman Anil, người đứng đầu Trung tâm Điều phối
Khả năng phản ứng Sự cố máy tính của NATO, cảnh báo rằng chủ nghĩa
khủng bố bằng máy tính đặt ra một mối đe dọa cho an ninh quốc gia như là
một cuộc tấn công tên lửa. Cuộc tấn công không gian mạng được xác định
trên cơ sở hạ tầng trực tuyến của các nước sẽ là "thực tế không thể dừng lại"
(Heath 2008).
Ở các phần tiếp theo chúng ta sẽ xem xét một số dạng tấn công mạng
cơ bản đang được thực hiện bởi thế giới tội phạm mạng.
6
1.2 Tấn công cục bộ (local attack)
Local attack là một trong những kiểu hack rất phổ biến và không được
khuyên dùng. Đối một web server thông thường khi đăng ký một tài khoản
trên server nào đó thì sẽ được cấp một tài khoản trên server đó và một thư
mục để quản lý site của mình. Dựa trên các quyền được cấp cục bộ đó hacker
có thể tấn cơng sang hệ thống quản trị tài nguyên mạng.
Để hạn chế Local Attack, chúng ta nên Chmod filemanager, di chuyển
file config.php và sửa đổi file htaccess và nhất là thường xuyên backup dữ
liệu.
1.3 SQL Injection
SQL injection là một kĩ thuật cho phép những kẻ tấn công lợi dụng lỗ
hổng trong việc kiểm tra dữ liệu nhập trong các ứng dụng web và các thông
báo lỗi của hệ quản trị cơ sở dữ liệu để "tiêm vào" (inject) và thi hành các câu
lệnh SQL bất hợp pháp (không được người phát triển ứng dụng lường trước).
Hậu quả của nó rất tai hại vì nó cho phép những kẻ tấn cơng có thể thực hiện
các thao tác xóa, hiệu chỉnh, ... Lỗi này thường xảy ra trên các ứng dụng web
có dữ liệu được quản lí bằng các hệ quản trị cơ sở dữ liệu như SQL Server,
MySQL, Oracle, DB2, Sysbase.
Để phòng tránh các nguy cơ có thể xảy ra, hãy bảo vệ các câu lệnh
SQL là bằng cách kiểm soát chặt chẽ tất cả các dữ liệu nhập nhận được từ đối
tượng Request (Request, Request.QueryString, Request.Form, Requestn
Cookies, and Request.ServerVariables).
Cần có cơ chế kiểm sốt chặt chẽ và giới hạn quyền xử lí dữ liệu đến
tài khoản người dùng mà ứng dụng web đang sử dụng. Các ứng dụng thông
thường nên tránh dùng đến các quyền như dbo hay sa.
Quyền càng bị hạn chế, thiệt hại càng ít. Ngồi ra để tránh các nguy cơ
từ SQL Injection attack, nên chú ý loại bỏ bất kì thông tin kĩ thuật nào chứa
trong thông điệp chuyển xuống cho người dùng khi ứng dụng có lỗi. Các
7
thông báo lỗi thông thường tiết lộ các chi tiết kĩ thuật có thể cho phép kẻ tấn
cơng biết được điểm yếu của hệ thống.
1.4 Cross Site Scripting (XSS)
Cross-Site Scripting (XSS) là một trong những kĩ thuật tấn công phổ
biến nhất hiên nay, đồng thời nó cũng là một trong những vấn đề bảo mật
quan trọng đối với các nhà phát triển web và cả những người sử dụng web.
Bất kì một website nào cho phép người sử dụng đăng thơng tin mà khơng có
sự kiểm tra chặt chẽ các đoạn mã nguy hiểm thì đều có thể tiềm ẩn các lỗi
XSS.
Cross-Site Scripting hay còn được gọi tắt là XSS (thay vì gọi tắt là CSS
để tránh nhầm lẫn với CSS-Cascading Style Sheet của HTML) là một kĩ thuật
tấn công bằng cách chèn vào các website động (ASP, PHP, CGI, JSP ...)
những thẻ HTML hay những đoạn mã Script nguy hiểm có thể gây nguy hại
cho những người sử dụng khác. Trong đó, những đoạn mã nguy hiểm đựơc
chèn vào hầu hết được viết bằng các Client-Site Script như JavaScript,
JScript, DHTML và cũng có thể là cả các thẻ HTML.
Các đoạn mã trong thẻ script không hề bị giới hạn bởi chúng hồn tồn
có thể thay thế bằng một file nguồn trên một server khác thơng qua thuộc tính
src của thẻ script. Cũng chính vì lẽ đó mà chúng ta chưa thể lường hết được
độ nguy hiểm của các lỗi XSS.
Thật vậy, XSS là những Client-Side Script, những đoạn mã này sẽ chỉ
chạy bởi trình duyệt phía client do đó XSS không làm ảnh hưởng đến hệ
thống website nằm trên server.
Mục tiêu tấn cơng của XSS khơng ai khác chính là những người sử
dụng khác của website, khi họ vô tình vào các trang có chứa các đoạn mã
nguy hiểm do các hacker để lại họ có thể bị chuyển tới các website khác, đặt
lại homepage, hay nặng hơn là mất mật khẩu, mất cookie thậm chí máy tính
bạn có thể sẽ bị cài các loại virus, backdoor, worm ..
8
1.5 Tấn công dạng DoS/DDoS
Tấn công dạng DoS/DDoS đã trở nên thường xuyên hơn trong những
năm vừa qua. Một lượng lớn các máy tính bị trên mạng bị lây nhiễm (dạng
bots hoặc zombies) ảnh hưởng đến băng thông và năng lực xử lý để load các
dịch vụ hệ thống và từ chối các người dùng hợp lệ.
Sự tấn công này ảnh hưởng đến các site thương mại điện tử trong năm
2000 và làm tê liệt các DNS server trong những năm 2003 [4] và 2007. Thời
gian sau đó, hầu hết các cuộc tấn công dạng DoS/DDoS nhằm vào các trang
web vừa và nhỏ với mục đích tống tiền chủ nhân các sites đó và ít được cộng
đồng mạng chú ý. Tuy nhiên, các nhà cung cấp dịch vụ mạng vẫn ln phải
quan tâm đến vấn đề này vì DDoS có thể dẫn đến cạn kiệt băng thông và tắc
nghẽn mạng.
Một số công cụ dùng để tấn công như TFN [5], Stacheldraht [6],
Trinoo [5], hay Mstream [7] được sử dụng không mã hóa và theo cấu trúc tổ
chức của hệ thống truyền thơng. Hầu hết các cơng cụ đó đều dùng TCP-SYN,
UDP hay ICMP floods với khả năng thay đổi định danh. Sau khi một số công
cụ bị hạn chế và ngăn chặn thì một thế hệ bots mới xuất hiện SDBot [8],
Agobot [9] hay Phatbot [10]. Các công cụ này sử dụng các giải thuật tự lây
lan và giả mạo, chúng có thể được nâng cấp thơng qua Internet.
Làm hạn chế sự tấn công DoS/DDoS trong phần lõi của mạng Internet
có vẻ như là nhiệm vụ bất khả thi bởi vì độ phân tán và khơng xác thực trong
mạng dựa trên IP. Đã có nhiều giải pháp tìm địa chỉ nguồn của trạm tấn công
bằng kỹ thuật lọc được đề xuất. Một trong số đó là các khuyến nghị của IETF
trong RFC 2827 [11] giúp giảm sự tấn công dạng DDoS với kỹ thuật giả mạo
địa chỉ IP (IP Spoofing). Từ đó đấu tranh trực diện với các lừa đảo trên mạng
bằng cách tạo ra dấu vết luồng trên Internet tới nguồn. Savage [12] đề nghị
giải pháp IP Traceback để tìm tới nguồn của địa chỉ IP giả mạo bằng cách
đánh dấu xác suất các gói. Song [13] đề xuất cải tiến lược đồ đánh dấu xác
9
suất gói tin để giảm bớt tỷ lệ sai khi xây dựng lại đường tấn công. Một cải
tiến lược đồ đánh dấu xác suất gói tin khác nhằm giảm bớt số lượng dữ liệu
đầu vào tính tốn được đề xuất bởi Bellovin [14]. Gần đây, khi kỹ thuật tấn
công DDoS thường sử dụng các hosts dạng zombies một số giải pháp nhằm
hạn chế dạng tấn công này đã được đề xuất [15].
Tóm lại qua các thế hệ phát triển của các dạng tấn cơng DoS/DDoS có
các giải pháp được đề xuất nhằm hạn chế sự tấn công từ các hosts nguồn.
Trong luận văn này chúng tôi nghiên cứu các giải pháp đó và đề nghị ra giải
pháp phù hợp dựa trên IP Table hoặc Entropy.
1.6. Kết luận chương
Nội dung chương một đã đề cập đến một số nguy cơ và dạng tấn cơng
trên mạng máy tính, một hạ tầng khơng thể thiếu trong cuộc sống hiện tại của
mỗi chúng ta. Các cuộc tấn công mạng gây nên mức độ nghiêm trọng không
kém phần những cuộc tấn công bằng tên lửa, thậm chí hậu quả cịn cịn có
phần nghiêm trọng hơn. Hàng ngày các cuộc tấn công đấy vẫn diễn ra một
cách âm thầm dẫn đến sự tàn phá, bất ổn đối với nhiều quốc gia, vùng lãnh
thổ điều đó tạo động lực cho mỗi chúng ta cần phải có kiến thức để chống lại
điều tồi tệ đó bảo vệ bản thân mình và cộng đồng.
Trong phạm vi luận văn này chúng tôi chỉ nghiên cứu sâu về kỹ thuật
tấn công dạng DoS/DDoS nên chi tiết về kỹ thuật tấn công này sẽ được trình
bày ở nội dung chương tiếp theo.
10
CHƯƠNG 2
KỸ THUẬT TẤN CÔNG DoS/DdoS
2.1. Tổng quan về tấn công từ chối dịch vụ phân tán
2.1.1. Giới thiệu về DDoS
Ngày 7/2/2000, yahoo.com đã phải ngừng phục vụ hàng trăm triệu users
trên toàn thế giới nhiều giờ liền. Vài giờ sau, Yahoo đã tìm ra nguyên nhân
gây nên tình trạng này là do họ phải gánh chịu một đợt tấn cơng DDoS với
quy mơ vài nghìn máy tính liên tục gửi hàng triệu yêu cầu đến các máy chủ
dịch vụ làm các máy chủ này không thể phục vụ các user thơng thường khác.
Tiếp tục sau đó ít ngày, một sự kiện tương tự diễn ra nhưng có phần “ồn
ào” hơn do một trong các nạn nhân mới là hãng tin CNN, Fifa.com,
amazon.com, dell.com, Zdnet.com, E-trade.com, Ebay.com. Đây là những
công ty lớn thuộc nhiều lĩnh vực khác nhau. Theo Yankke Group, tổng thiệt
hại do cuộc tấn công lên đến 1.2 triệu USD, nhưng không đáng kể bằng sự
mất mát về lịng tin của khách hàng, uy tín của các cơng ty là khơng thể tính
được. Theo kết quả điều tra đã được cơng bố thì cậu bé 15 tuổi người Canada,
với nickname “mafiaboy” đã tìm tịi và tải về một số chương trình và cơng cụ
của các hacker. Cậu bé này đã dùng một cơng cụ DDoS có tên là TrinOO để
gây nên các cuộc tấn công kiểu DDoS khủng khiếp trên. Một điểm đáng lưu ý
khác là Mafiaboy bị bắt do tự khoe khoang trên các phịng chát cơng cộng,
khơng ai tự truy tìm được dấu vết của cậu bé này([6]).
Từ đó đến nay, trên thế giới cũng như tại Việt Nam, có rất nhiều cơng ty
khổng lồ khác đã gục ngã dưới các cuộc tấn công kiểu DDoS, trong đó có cả
Microsoft. Tuy nhiên cuộc tấn cơng trên là điển hình nhất về DDoS, nó nói
lên một đặc điểm của DDoS: “Rất dễ thực hiện, hầu như không thể tránh, hậu
quả rất nặng nề”.
11
2.1.2. Các giai đoạn của một cuộc tấn công DdoS [18]
Một cuộc tấn công DDoS thông thường gồm bao gồm 03 giai đoạn
Giai đoạn 1: Giai đoạn chuẩn bị.
- Chuẩn bị công cụ là giai đoạn quan trọng của cuộc tấn công, công cụ sử
dụng cho tấn công thông thường hoạt động theo mơ hình client-server. Hacker
có thể viết phần mềm này hay tải từ Internet một cách dễ dàng, có rất nhiều
cơng cụ DDoS được cung cấp miễn phí trên mạng.
- Kế tiếp, hacker dùng các kỹ thuật tấn công khác để nắm trọn quyền một số
host trên mạng, tiến hành cài đặt các phần mềm cần thiết trên các host này.
Việc cấu hình và thử nghiệm tồn bộ mạng tấn công (attack network - bao
gồm mạng lưới các máy đã bị lợi dụng cùng với các phần mềm đã được thiết
lập trên đó, máy của hacker hoặc một số máy khác đã được thiết lập tạo thành
các điểm phát động tấn công) cũng sẽ được thực hiện trong giai đoạn này.
Giai đoạn 2: Giai đoạn xác định mục tiêu và thời điểm.
- Sau khi xác định mục tiêu lần cuối, hacker sẽ có hoạt động điều chỉnh mạng
tấn cơng chuyển hướng tấn cơng về phía mục tiêu.
- Yếu tố thời điểm sẽ quyết định mức độ thiệt hại và tốc độ đáp ứng của mục
tiêu đối với cuộc tấn cơng.
Giai đoạn 3: Phát động tấn cơng và xóa dấu vết.
Đúng thời điểm đã định, hacker phát động tấn cơng từ máy của mình Lệnh tấn
cơng này có thể đi qua nhiều cấp mới đến host thực sự tấn cơng. Tồn bộ
mạng tấn cơng (có thể lên đến hàng nghìn máy), sẽ vắt cạn năng lực của máy
chủ mục tiêu, ngăn chặn không cho các máy chủ này hoạt động như thiết kế.
- Sau một khoảng thời gian tấn cơng thích hợp, Hacker tiến hành xóa mọi dấu
vết có thể truy ngược đến mình. Việc này địi hỏi các kỹ thuật xóa dấu vết ở
trình độ cao.
2.1.3. Kiến trúc tổng quan của mạng tấn cơng DDoS
Nhìn chung mạng tấn cơng DDoS có hai mơ hình chính:
12
+ Mơ hình Agent – Handler
+ Mơ hình IRC – Based (mơ hình dựa vào mạng trao đổi thơng tin).
Dưới đây là sơ đồ chính phân loại các kiểu tấn cơng DDoS (Hình 2.1.).
Mơ hình Agent - Handler
Mạng tấn công
DDoS
IRC - Based
Agent -Handler
Trao đổi Client –
Handler
TCP
UDP
Trao đổi Client –
Handler
ICMP
TCP
UDP
Kênh riêng /
Kênh bí mật
Kênh cơng
cộng
ICMP
Hình 2.1. Mơ hình Agent – Handler
Theo mơ hình này, mạng tấn cơng gồm 3 thành phần: Agent, Client và
Handler:
Client: là thành phần phần mềm cơ sở để hacker điều khiển mọi
hoạt động của mạng tấn công.
Handler: là một thành phần phần mềm trung gian giữa Agent và
Client, làm nhiệm vụ giúp Client điều khiển các Agent.
Agent: là thành phần phần mềm thực hiện sự tấn công vào mục
tiêu, nhận điều khiển từ Client thông qua các Handler
Kiến trúc mạng tấn công kiểu Agent – Handler được mơ tả trên Hình 2.2.
13
Hacker
Handler
Agent
Hacker
Handler
Handler
Agent
Agent
Handler
Agent
Agent
Victim
Hình 2.2. Kiến trúc mạng tấn cơng kiểu Agent – Handler
Hacker sẽ từ Client giao tiếp với Handler để xác định số lượng Agent
đang hoạt động, điều chỉnh thời điểm tấn công và cập nhật các Agent. Tùy
theo cách Hacker thiết lập cấu hình mạng tấn cơng, các Agent sẽ chịu sự quản
lý của một hay nhiều Handler.
Thông thường Hacker sẽ đặt phần mềm Handler trên một bộ định tuyến
hay một máy chủ có lưu lượng mạng lưu thơng nhiều. Việc này nhằm làm cho
các giao tiếp giữa Client, Handler và Agent khó bị phát hiện. Các giao tiếp
này thơng thường xảy ra trên các giao thức TCP, UDP hay ICMP. Chủ nhân
thực sự của các máy tính bị cài Agent thông thường không hề hay biết họ bị
lợi dụng vào cuộc tấn công kiểu DDoS, do người dùng không đủ khả năng
phát hiện. Mặt khác, các Agent được cài dưới dạng cửa hậu (Backdoor)
thường chỉ sử dụng rất ít tài nguyên hệ thống làm cho người dùng hầu như
không thể thấy ảnh hưởng của chúng đến hiệu năng của hệ thống.
Mơ hình dựa vào mạng IRC (IRC – Based)
Internet Relay Chat (IRC) là một hệ thống liên lạc trực tuyến qua mạng
Internet, IRC cho phép người dùng tạo một kết nối đến đa điểm đến nhiều
người dùng khác và trao đổi thảo luận (chat) theo thời gian thực. Kiến trúc
của mạng IRC bao gồm nhiều máy chủ IRC trên khắp mạng giao tiếp với
14
nhau qua nhiều kênh. Mạng IRC cho phép người dùng tạo ba loại kênh: kênh
chung; kênh riêng; kênh bí mật.
- Kênh chung (Public Channel): Cho phép người dùng của kênh đó thấy
tên IRC và nhận được thơng điệp của mọi người dùng khác trên cùng kênh.
- Kênh riêng (Private Channel): Được thiết kế để giao tiếp với các đối
tượng cho phép. Không cho phép các người dùng không cùng kênh thấy tên
IRC và thông điệp trên kênh. Tuy nhiên, nếu người dùng ngồi kênh dùng
một số lệnh channel locator thì có thể biết được sự tồn tại của kênh riêng đó.
- Kênh bí mật (Secret Channel): Tương tự kênh riêng nhưng không thể
xác định bằng bộ định vị kênh (channel locator).
Kiến trúc mạng tấn công của kiểu dựa vào IRC được mơ tả trên hình 2.3 như sau.
Hacker
Hacker
IRC NETWORK
Agent
Agent
Agent
Agent
Agent
Victim
Hình 2.3. Kiến trúc mạng tấn công kiểu dựa vào mạng IRCMô hình mạng tấn
cơng dựa vào IRC cũng tương tự như mơ hình Agent – Handler nhưng mơ
hình này sử dụng các kênh giao tiếp IRC làm phương tiện giao tiếp giữa
Client và Agent (không sử dụng Handler). Sử dụng mô hình này, Hacker cịn
có thêm một số lợi thế khác như:
+ Các giao tiếp dưới dạng bản tin trao đổi (chat message) làm cho việc phát
hiện ra chúng là vô cùng khó khăn.
15
+ Lưu lượng IRC có thể di chuyển trên mạng với số lượng lớn mà không bị
nghi ngờ.
+ Không cần phải duy trì danh sách các Agent, hacker chỉ cần đăng nhập
(logon) vào máy chủ IRC là đã có thể nhận được báo cáo về trạng thái các
Agent do các kênh gửi về.
+ Sau cùng: IRC cũng là một môi trường chia sẻ tệp tin tạo điều kiện phát tán
các mã Agent lên các máy khác.
2.1.4. Phân loại tấn công DDoS
Nhìn chung, có rất nhiều biến thể của kỹ thuật tấn cơng DDoS nhưng nếu
nhìn dưới góc độ chun mơn thì có thể chia các biến thề này thành hai loại
dựa trên mục đích tấn cơng: Làm cạn kiệt băng thông và làm cạn kiệt tài
nguyên hệ thống (19). Dưới đây là sơ đồ mô tả sự phân loại các kiểu tấn công
DDoS.
DDoS attack
Bandwith Deleption
Random
Port
Attack
Protocol Exploit
Attack
Amplification
Attack
Flood Attack
UDP
Resource Deleption
ICMP
Static
Port
Attack
Smuft
Attack
Spoof
Source
Attack
Flaggle
Attack
Direct
Attack
Malformed Paclket
Attack
TCP SYN PUSH
Attack +ACK SYN
Attack
IP @
Attack
IP Packet
Options
Attack
Loop
Attack
Spoof
Source
Attack
Spoof
Source
Attack
Hình 2.4. Phân loại tấn cơng kiểu DDoS
16
Spoof
Source
Attack
Spoof
Source
Attack
a) Những kiểu tấn công làm cạn kiệt băng thông mạng (Bandwidth
Depletion Attack) [18]
Tấn công làm cạn kiệt băng thông mạng được thiết kế nhằm làm tràn ngập
mạng mục tiêu với những lưu lượng khơng cần thiết, với mục đích làm giảm
tối thiểu khả năng lưu thông các lưu lượng hợp lệ đến hệ thống cung cấp dịch
vụ của mục tiêu.
Có hai loại tấn cơng làm cạn kiệt băng thơng mạng:
+ Tấn công ngập lụt (Flood Attack): Điều khiển các Agent gửi một lưu lượng
lớn đến hệ thống dịch vụ của mục tiêu, làm dịch vụ này bị hết khả năng cung
cấp băng thông.[6]
+ Tấn công khuếch đại (Amplification Attack): Điều khiển các Agent hay
Client tự gửi thông điệp đến một địa chỉ IP quảng bá, làm cho tất cả các máy
trong mạng con (subnet) này đồng loạt gửi thông điệp đến hệ thống dịch vụ
của mục tiêu. Phương pháp này làm gia tăng lưu lượng không cần thiết, làm
suy giảm băng thông của mục tiêu.[17]
Tấn công ngập lụt: [18]
Trong phương pháp này, các Agent sẽ gửi một lượng lớn lưu lượng
mạng làm hệ thống dịch vụ của mục tiêu bị chậm lại, hệ thống bị treo hay đạt
đến trạng thái hoạt động bão hòa. Hậu quả là người dùng thực sự của hệ thống
không sử dụng được dịch vụ như mong đợi.
Ta có thể chia tấn cơng ngập lụt thành hai loại:
+ Tấn công ngập lụt UDP (UDP Flood Attack): Do tính chất truyền khơng
theo hướng kết nối của UDP, hệ thống nhận gói tin UDP chỉ đơn giản nhận
vào tất cả các gói tin mình cần phải xử lý. Một lượng lớn các gói tin UDP
được gửi đến hệ thống dịch vụ của mục tiêu sẽ đẩy tồn bộ hệ thống đến
ngưỡng tới hạn. Các gói tin UDP này có thể được gửi đến các cổng tùy ý hay
chỉ duy nhất một cổng. Thơng thường các gói tin sẽ được gửi đến nhiều cổng
làm cho hệ thống mục tiêu phải căng ra để xử lý phân hướng cho các gói tin
17
này. Nếu cổng bị tấn cơng khơng sẵn sàng thì hệ thống mục tiêu sẽ gửi ra một
gói tin ICMP thơng báo "khơng tới được cổng đích" (“destination port
unreachable”). Thơng thường các phần mềm Agent sẽ dùng địa chỉ IP giả để
che giấu hành vi, cho nên các gói tin trả về do khơng có cổng xử lý sẽ dẫn đến
một địa chỉ IP khác. Tấn công ngập lụt UDP cũng có thể làm ảnh hưởng đến
các kết nối xung quanh mục tiêu do sự hội tụ của các gói tin diễn ra rất mạnh.
+ Tấn công ngập lụt ICMP (ICMP Flood Attack): được thiết kế nhằm mục
đích quản lý mạng cũng như định vị thiết bị mạng. Khi các Agent gửi một
lượng lớn ICMP_ECHO_REPLY đến hệ thống mục tiêu thì hệ thống này phải
reply một lượng tương ứng gói tin để trả lời, sẽ dẫn đến nghẽn đường truyền.
Tương tự trường hợp trên, địa chỉ IP của các Agent có thể bị giả mạo.
Tấn cơng khuếch đại
Tấn cơng khuếch đại nhắm đến việc sử dụng các chức năng hỗ trợ địa
chỉ IP quảng bá của các bộ định tuyến (router) nhằm khuyếch đại và hồi
chuyển cuộc tấn công. Mô đun này cho phép bên gửi chỉ định một địa chỉ IP
quảng bá cho toàn subnet bên nhận thay vì nhiều địa chỉ. Bộ định tuyến sẽ có
nhiệm vụ gửi đến tất cả địa chỉ IP trong mạng con (subnet) đó quảng bá gói
tin mà nó nhận được.
Hacker có thể gửi thông điệp quảng bá trực tiếp hay thông qua một số
Agent nhằm làm gia tăng cường độ của cuộc tấn cơng. Nếu Hacker trực tiếp
gửi thơng điệp, thì có thể lợi dụng các hệ thống bên trong mạng để quảng bá
như một Agent.
18
Hình 2.5. Tấn cơng khuếch đại
Có thể chia tấn cơng khuếch đại thành hai loại, tấn công Smurf và tấn công
Fraggle:
+ Tấn công kiểu Smurf: Trong kiểu tấn công này Hacker gửi các gói tin đến
mạng khuếch đại (router hay thiết bị mạng khác hỗ trợ quảng bá), với địa chỉ
của nạn nhân. Thơng thường những gói tin được dùng là ICMP ECHO
REQUEST, các gói tin này yêu cầu bên nhận phải trả lời bằng một gói tin
ICMP ECHO REPLY. Mạng khếch đại sẽ gửi đến gói tin ICMP ECHO
REQUEST đến tất cả các hệ thống thuộc địa chỉ quảng bá và tất cả các hệ
thống này sẽ gửi gói tin REPLY về địa chỉ của mục tiêu tấn công. (16)
+ Tấn công Fraggle: Tương tự như tấn công Smurf nhưng thay vì dùng gói tin
ICMP ECHO REQUEST, Hacker dùng gói tin UDP ECHO gửi đến mục tiêu.
Thật ra cịn một biến thể khác của tấn công Fraggle sẽ gửi gói tin UDP ECHO
đến cổng charge (port 19/UNIX) của mục tiêu, với địa chỉ bên gửi là cổng
echo (port 7/UNIX) của mục tiêu, tạo nên một vịng lặp vơ hạn. Hacker phát
động cuộc tấn công bằng một ECHO REQUEST với địa chỉ bên nhận là một
địa chỉ broadcast, toàn bộ hệ thống thuộc địa chỉ này lập tức gửi REPLY đến
cổng echo của nạn nhân, sau đó từ nạn nhân một ECHO REPLY lại gửi trở về
19
địa chỉ quảng bá, quá trình cứ thế tiếp diễn. Đây chính là ngun nhân làm
cho tấn cơng Flaggle nguy hiểm hơn tấn công Smurf rất nhiều.
b) Những kiểu tấn công làm cạn kiệt tài nguyên:
Tấn công làm cạn kiệt tài ngun là kiểu tấn cơng trong đó Hacker gửi những
gói tin dùng các giao thức sai chức năng thiết kế, hay gửi những gói tin với
dụng ý làm tắc nghẽn tài nguyên mạng, làm cho các tài nguyên này không
phục vụ người dùng thông thường khác được.
Tấn công khai thác giao thức (Protocol Exploit Attack)[18]
+ Tấn công TCP SYN: TCP hỗ trợ truyền nhận với độ tin cậy cao nên sử
dụng phương thức bắt tay giữa bên gửi và bên nhận trước khi truyền dữ liệu.
Bước đầu tiên, bên gửi gửi một gói tin SYN REQUEST (Synchronize). Bên
nhận nếu nhận được SYN REQUEST sẽ trả lời bằng gói tin SYN/ACK
REPLY. Bước cuối cùng, bên gửi sẽ truyền gói tin cuối cùng ACK và bắt đầu
truyền dữ liệu.
SYN
TCP
Client
TCP
Server
SYN/ACK
Client Port
1024-65535
80
ACK
Service Port
1-1023
Hình 2.6. Mơ tả về bắt tay ba bước
Nếu bên máy chủ đã trả lời một yêu cầu SYN bằng một SYN/ACK
REPLY nhưng khơng nhận được gói tin ACK cuối cùng sau một khoảng thời
gian quy định thì nó sẽ gửi trả lại SYN/ACK REPLY cho đến hết thời gian
timeout. Toàn bộ tài nguyên hệ thống “dự trữ” để xử lý phiên giao tiếp nếu
nhận được gói tin ACK cuối cùng sẽ bị “phong tỏa” cho đến hết thời gian
timeout.
20
