Luận văn thạc sĩ: NGHIÊN CỨU XÂY DỰNG HỆ THỐNG CHỐNG TẤN CÔNG TỪ CHỐI DỊCH VỤ PHÂN TÁN KIỂU GIẢ MẠO ĐỊA CHỈ IP NGUỒN TẤN CÔNG CHO HỆ THỐNG MÁY CHỦ DỊCH VỤ

Trang 1 NGHIÊN CỨU XÂY DỰNG HỆ THỐNG CHỐNG TẤN CÔNG TỪCHỐI DỊCH VỤ PHÂN TÁN KIỂU GIẢ MẠO ĐỊA CHỈ IP NGUỒNTẤN CÔNG CHO HỆ THỐNG MÁY CHỦ DỊCH VỤChuyên ngành: Khoa học máy tínhLUẬN VĂN THẠC

NGHIÊN CỨU XÂY DỰNG HỆ THỐNG CHỐNG TẤN CÔNG TỪ CHỐI DỊCH VỤ PHÂN TÁN KIỂU GIẢ MẠO ĐỊA CHỈ IP NGUỒN

TẤN CÔNG CHO HỆ THỐNG MÁY CHỦ DỊCH VỤ

Chuyên ngành: Khoa học máy tính

LUẬN VĂN THẠC SĨ KỸ THUẬT

Hà Nội – Năm 2014

HỌC VIỆN KỸ THUẬT QUÂN SỰ

MỤC LỤC

Mục lục

Tóm tắt luận văn

Danh mục các ký hiệu

Danh mục các bảng

Danh mục các hình vẽ

MỞ ĐẦU 1

Chương 1 TỔNG QUAN VỀ TẤN CÔNG TỪ CHỐI DỊCH VỤ PHÂN TÁN 1.1 Nghiên cứu tổng quan về tấn công từ chối dịch vụ phân tán 2

1.1.1 Giới thiệu về DDoS 2

1.1.2 Các giai đoạn của một cuộc tấn công DDoS 3

1.1.3 Kiến trúc tổng quan của DDoS attack-Network 4

1.1.4 Phân loại tấn công DDoS 8

1.1.5 Một số đặc tính của công cụ DDoS Attack 15

1.1.6 Công cụ DDoS dạng Agent-Handler 20

1.1.7 Công cụ DDoS dạng IRC-Based 21

1.2 Tìm hiểu ảnh hưởng và mức độ nghiêm trọng của các cuộc tấn công từ chối dịch vụ phân tán kiểu giả mạo địa chỉ IP nguồn tấn công trong nước và trên thế giới 21

1.2.1 Những cuộc tấn công DDoS trong nước 22

1.2.2 Những cuộc tấn công DDoS trên thế giới 23

Chương 2

2.1 Nghiên cứu những sản phẩm chống tấn công từ chối dịch vụ phân tán kiểu giả mạo địa chỉ IP nguồn tấn công và đánh giá các giải pháp, công nghệ

đã sử dụng 27

2.1.1 Giải pháp chống DDoS của Cisco 27

2.1.2 Giải pháp chống DDoS của Abor 33

2.1.3 Giải pháp chống DDoS của Huawei 36

2.1.4 Đánh giá các giải pháp công nghệ 40

2.2 Nghiên cứu giải pháp chống tấn công từ chối dịch vụ phân tán kiểu giả mạo địa chỉ IP nguồn tấn công sử dụng giải pháp một hệ thống độc lập 41

2.2.1 Mô hình tổng thể hệ thống 41

2.2.2 Nguyên lý hoạt động của hệ thống 42

2.2.3 Nghiên cứu giải pháp sử dụng Transparent Firewall để chặn IP nguồn giả mạo kết nối tới máy chủ 44

2.2.4 Nghiên cứu giải pháp phát hiện tấn công từ chối dịch vụ phân tán sử dụng nguồn mở (Snort) 46

2.2.5 Nghiên cứu giải pháp xác thực địa chỉ IP nguồn khi hệ thống đang bị tấn công 48

2.3 Nghiên cứu và xây dựng giải pháp chống tấn công từ chối dịch vụ phân tán kiểu giả mạo địa chỉ IP nguồn tấn công sử dụng giải pháp kết hợp giữa hệ thống chống tấn công từ chối dịch vụ phân tán và thiết bị mạng 51

2.3.1 Mô hình tổng thể của hệ thống 51

2.3.2 Nghiên cứu sử dụng ACL của Cisco Access Control List 52

2.3.3 Nghiên cứu phương pháp với thiết bị định tuyến Cisco sử dụng Telnet, SSH 56

DỤNG KẾT HỢP GIỮA HỆ THỐNG CHỐNG TẤN CÔNG TỪ CHỐI DỊCH VỤ PHÂN TÁN VÀ THIẾT BỊ ĐỊNH TUYẾN ROUTER CISCO

3.1 Thiết kế kiến trúc hệ thống 65

3.2 Thiết kế giao diện quản trị hệ thống 66

3.2.1 Yêu cầu về thiết kế phần mềm và giao diện quản trị hệ thống 66

3.2.2 Thiết kết giao diện quản trị hệ thống 67

3.3 Xây dựng môđun phát hiện tấn công từ chối dịch vụ phân tán giả mạo địa chỉ IP nguồn tấn sử dụng nguồn mở 69

3.4 Xây dựng môđun tự động thu thập địa chỉ IP sạch phục vụ cho giai đoạn chống tấn công 72

3.4.1 Sơ đồ thuật toán tự động thu thập địa chỉ IP sạch 72

3.4.2 Xây dựng môđun xử lý địa chỉ nguồn khi hệ thống phát hiện một kết nối mạng thành công 72

3.5 Xây dựng môđun xác thực địa chỉ nguồn kết nối cho phép các kết nối bình thường vẫn có thể truy cập khi tấn công xảy ra 74

3.5.1 Sơ đồ thuật toán xác thực địa chỉ nguồn kết nối 74

3.5.2 Xây dựng môđun xác thực địa chỉ nguồn kết nối 75

3.6 Xây dựng môđun tương tác giữa môđun chống tấn công và thiết bị định tuyến Router Cisco 76

3.6.1 Sơ đồ thuật toán tương tác giữa hệ thống và thiết bị định tuyến Cisco.76 3.6.2 Xây dựng môđun tương tác 77

Chương 4 TRIỂN KHAI VÀ THỬ NGHIỆM

4.3 Xây dựng hệ thống mạng thử nghiệm bao gồm máy chủ dịch vụ thửnghiệm và hệ thống chống tấn công từ chối dịch vụ phân tán kiểu giả mạo địachỉ IP nguồn tấn công 794.4 Kịch bản thử nghiệm khả năng chống tấn công DDOS kiểu giả mạo địachỉ IP nguồn tấn công của hệ thống 80

KẾT LUẬN VÀ KIẾN NGHỊ

1 Kết luận 90

2 Kiến nghị 90TÀI LIỆU THAM KHẢO 92

TÓM TẮT LUẬN VĂN THẠC SĨ

Cán bộ hướng dẫn: PGS.TS Nguyễn Hiếu Minh

Tên luận văn: Nghiên cứu xây dựng hệ thống chống tấn công từ chối dịch vụ phân tán kiểu giả mạo địa chỉ IP nguồn tấn công cho hệ thống máy chủ dịch vụ.

Tóm tắt: Các cuộc tấn công DDOS gây ra nhiều hậu quả nghiêm trọng.Hiện nay chưa có giải pháp nào có thể ngăn chặn triệt để các kiểu tấn công này

Đề tài tập trung và nghiên cứu các nội dung: Nghiên cứu về tấn công từ chốidịch vụ; Tìm hiểu ảnh hưởng và mức độ nghiêm trọng của các cuộc tấn côngDDOS; Nghiên cứu những sản phẩm, giải pháp thương mại chống DDOS ; Xâydựng hệ thống chống tấn công DDOS Trong khi chưa có giải pháp nào có thểtriển khai rộng rãi cho các cơ quan, tổ chức với kinh phí thấp thì sản phẩmcủa đề tài mang tính thực tiễn cũng như khả năng áp dụng cao trong thực tếhiện nay

6 Internet Tập hợp các mạng liên kết với nhau

7 Router Bộ/thiết bị định tuyến

8 Switch Bộ/thiết bị chuyển mạch

9 Traffic Lưu lượng mạng

10 Buffer Bộ nhớ đệm

11 Website Trang web

Bảng 1.2 Tập lệnh của Agent 19 Bảng 2.1 Mô tả các tham số của Threshold 47 Bảng 3.1 Yêu cầu về thiết kế phần mềm và giao diện quản trị 66

Hình 1.3 Kiến trúc attack-network của kiểu IRC-Base 7

Hình 1.4 Phân loại tấn công kiểu DDoS 8

Hình 1.5 Amplification Attack 11

Hình 1.6 TCP 3 way handshake 13

Hình 1.7 TCP SYS Attack 13

Hình 1.8 Công cụ DDoS attack 15

Hình 2.1 Kiến trúc hệ thống Cisco MVP 30

Hình 2.2 Cisco phát triển phòng vệ 32

Hình 2.3 Cisco Guard XT được triển khai tại các lớp phân phối 33

Hình 2.4 Peakflow SP TMS chỉ cần kiểm tra lưu lượng được chuyển hướng 34

Hình 2.5 Giải pháp chống DDoS của Huawei 36

Hình 2.6 Industry's Easiest OAM 38

Hình 2.7 Quản lý và báo cáo dịch vụ 39

Hình 2.8 IDC Security Defense 40

Hình 2.9 Mô hình tổng thể hệ thống 41

Hình 2.11 Sơ đồ và nguyên lý của hệ thống khi phòng chống tấn công 43

Hình 2.12 Sơ đồ và nguyên lý của hệ thống khi xác thực địa chỉ nguồn 44

Hình 2.13 Transparent Firewall 45

Hình 2.14 Nguyên lý khởi tạo kết nối, bắt tay 3 bước của giao thức TCP 49

Hình 2.15 Nguyên lý xác thực địa chỉ nguồn của hệ thống 50

Hình 2.16 Mô hình tổng thể hệ thống 51

Hình 2.9 Mô hình mạng cấu hình Standard ACLs 54

Hình 2.17 Kiến trúc chung của giao thức SSH 59

Hình 3.1 Mô hình tổng thể hệ thống 65

Hình 3.5 Sơ đồ thuật toán tự động thu thập địa chỉ IP sạch 72

Hình 3.6 Sơ đồ thuật toán xác thực địa chỉ nguồn kết nối 74

Hình 3.7 Sơ đồ thuật toán tương tác giữa hệ thống và thiết bị định tuyến Cisco .76

Hình 4.1 Hệ thống mạng thử nghiệm 80

Hình 4.2 Tắt hệ thống phòng thủ 81

Hình 4.3 Giả lập tấn công hệ thống 81

Hình 4.4 Kiểm tra các kết nối đến máy chủ 82

Hình 4.5 Bật hệ thống phòng thủ tấn công 83

Hình 4.6 Kiểm tra trạng thái trên hệ thống phòng thủ 83

Hình 4.7 Kiểm tra trạng thái trên thiết bị định tuyến 84

Hình 4.8 Truy cập dịch vụ trên máy chủ và kiểm tra kết quả 84

Hình 4.9 Kiểm tra địa chỉ mạng của máy kết nối tới hệ thống 85

Hình 4.10 Xoá mạng của máy kết nối nếu có trong WhiteList 85

Hình 4.11 Kết nối hệ thống 86

Hình 4.12 Kiểm tra mạng của máy kết nối trong hệ thống 86

Hình 4.13 Kiểm tra địa chỉ mạng của máy kết nối tới hệ thống 87

Hình 4.14 Xoá mạng của máy kết nối nếu có trong WhiteList 87

Hình 4.16 Thử kết nối vào hệ thống 88

Hình 4.17 Kiểm tra trạng thái xác thực 88

Hình 4.19 Kiểm tra mạng của IP nguồn 89

Hình 4.20 Kiểm tra kết quả kết nối thành công của IP nguồn 89

MỞ ĐẦU

Các cuộc tấn công từ chối dịch vụ phân tán kiểu giả mạo địa chỉ IP nguồntấn công gây ra nhiều hậu quả nghiêm trọng trên thế giới cũng như tại Việt Nam.Hiện nay chưa có giải pháp nào có thể ngăn chặn triệt để các kiểu tấn công này,khi có cuộc tấn công xảy ra thì các đơn vị thường chọn giải pháp là đi thuê cácthiết bị thương mại đắt tiền để khắc phục cuộc tấn công trước mắt mà chưa cógiải pháp lâu dài Đề tài tập trung và nghiên cứu các nội dung sau: Nghiên cứu

về tấn công từ chối dịch vụ; Tìm hiểu ảnh hưởng và mức độ nghiêm trọng củacác cuộc tấn công DDoS; Nghiên cứu những sản phẩm, giải pháp thương mạichống DDoS ; Xây dựng hệ thống chống tấn công DDoS Với mức độ nghiêmtrọng cũng như tần suất các cuộc tấn công từ chối dịch vụ phân tán giả mạo IPnguồn tấn công trong khi chưa có giải pháp nào có thể triển khai rộng rãi chocác cơ quan, tổ chức với kinh phí thấp thì sản phẩm của đề tài mang tính thựctiễn cũng như khả năng áp dụng cao trong thực tế hiện nay

Toàn bộ nội dung của luận văn được tổ chức theo bố cục như sau:

Chương 1: Tổng quan về tấn công từ chối dịch vụ phân tán

Chương 2: Nghiên cứu và xây dựng giải pháp chống tấn công từ chốidịch vụ phân tán kiểu giả mạo địa chỉ IP nguồn tấn công

Chương 3: Xây dựng hệ thống chống tấn công từ chối dịch vụ phân tánkiểu giả mạo địa chỉ IP nguồn tấn công sử dụng kết hợp giữa hệ thống chốngtấn công từ chối dịch vụ phân tán và thiết bị định tuyến của Router Cisco

Để hoàn thành được luận văn, tác giả xin chân thành cảm ơn đến cácthầy cô trong khoa Công nghệ thông tin - Học viện Kỹ thuật Quân sự đã giúp

đỡ và tạo điều kiện trong quá trình thực hiện luận văn Đặc biệt tác giả luận vănxin gửi lời cảm ơn sâu sắc đến thầy giáo hướng dẫn PGS.TS Nguyễn Hiếu

Minh, đã tận tình hướng dẫn và giúp đỡ để tác giả hoàn thành luận văn này.

Chương 1 TỔNG QUAN VỀ TẤN CÔNG TỪ CHỐI DỊCH VỤ PHÂN TÁN

Trong chương này, tác giả sẽ trình bày tổng quan về tấn công từ chốidịch vụ (DDoS) gồm: Các kiểu tấn công, các giai đoạn của một cuộc tấn côngDDOS, phân loại kiểu tấn công DDoS, một số đặc tính của công cụ DDoSattack

1.1 Nghiên cứu tổng quan về tấn công từ chối dịch vụ phân tán

1.1.1 Giới thiệu về DDoS

Ngày 7/3/2000, yahoo.com đã phải ngưng phục vụ hàng trăm triệu usertrên toàn thế giới nhiều giờ liền Vài giờ sau, Yahoo đã tìm ra nguyên nhângây nên tình trạng này là do họ phải gánh chịu một đợt tấn công DDoS vớiquy mô vài nghìn máy tính liên tục gửi hàng triệu request đến các server dịch

vụ làm các server này không thể phục vụ các user thông thường khác

Vài ngày sau, một sự kiện tương tự diễn ra nhưng có phần “ồn ào” hơn

do một trong các nạn nhân mới là hãng tin CNN, amazon.com, buy.com,Zdnet.com, E-trade.com, Ebay.com Đây là những công ty lớn thuộc nhiềulĩnh vực khác nhau Theo Yankke Group, tổng thiệt hại do cuộc tấn công lênđến 1.2 triệu USD, nhưng không đáng kể bằng sự mất mát về lòng tin củakhách hàng, uy tín của các công ty là không thể tính được Theo kết quả điềutra đã được công bố thì cậu bé 15 tuổi người Canada, với nickname

“mafiaboy” đã tìm tòi và tải về một số chương trình và công cụ của cáchacker Cậu đã dùng một công cụ DDoS có tên là TrinOO để gây nên cáccuộc tấn công kiểu DDoS khủng khiếp trên Một điểm đáng lưu ý khác làMafiaboy bị bắt do tự khoe khoang trên các chatroom công cộng, không ai tự

truy tìm được dấu vết của cậu bé này.

Còn rất nhiều công ty khổng lồ khác đã gục ngã dưới các cuộc tấn côngkiểu DDoS, trong đó có cả Microsoft Tuy nhiên cuộc tấn công trên là điểnhình nhất về DDoS, nó nói lên một đặc điểm của DDoS: “Rất dễ thực hiện,hầu như không thể tránh, hậu quả rất nặng nề”

1.1.2 Các giai đoạn của một cuộc tấn công DDOS

Thông thường một cuộc tấn công DDoS bao gồm 03 giai đoạn

Giai đoạn 1: Giai đoạn chuẩn bị

- Chuẩn bị công cụ là giai đoạn quan trọng của cuộc tấn công, công cụnày thông thường hoạt động theo mô hình client-server Hacker có thể viếtphần mềm này hay tải từ Internet một cách dễ dàng, có rất nhiều công cụDDoS được cung cấp miễn phí trên mạng

- Kế tiếp, dùng các kỹ thuật tấn công khác để nắm trọn quyền một sốhost trên mạng, tiến hành cài đặt các phần mềm cần thiết trên các host này,việc cấu hình và thử nghiệm toàn bộ attack-network (bao gồm mạng lưới cácmáy đã bị lợi dụng cùng với các phần mềm đã được thiết lập trên đó, máy củahacker hoặc một số máy khác đã được thiết lập như điểm phát động tấn công)cũng sẽ được thực hiện trong giai đoạn này

Giai đoạn 2: Giai đoạn xác định mục tiêu và thời điểm

- Sau khi xác định mục tiêu lấn cuối, hacker sẽ có hoạt động điều chỉnhattack-network chuyển hướng tấn công về phía mục tiêu

- Yếu tố thời điểm sẽ quyết định mức độ thiệt hại và tốc độ đáp ứng củamục tiêu đối với cuộc tấn công

Giai đoạn 3: Phát động tấn công và xóa dấu vết

Đúng thời điểm đã định, hacker phát động tấn công từ máy của mình,lệnh tấn công này có thể đi qua nhiều cấp mới đến host thực sự tấn công.Toàn bộ attack-network (có thể lên đến hàng nghìn máy), sẽ vắt cạn năng lựccủa máy chủ mục tiêu liên tục, ngăn chặn không cho nó hoạt động như thiếtkế.

- Sau một khoảng thời gian tấn công thích hợp, hacker tiến hành xóa mọidấu vết có thể truy ngược đến mình, việc này đòi hỏi trình độ khác cao

1.1.3 Kiến trúc tổng quan của DDoS attack-Network

Nhìn chung DDoS attack-network có hai mô hình chính:

+ Mô hình Agent – Handler

+ Mô hình IRC – Based

Dưới đây là sơ đồ chính phân loại các kiểu tấn công DDoS

 Mô hình Agent - Handler

Hình 1.1 Mô hình Agent – Handler

Secret/private channel

DDoS attack-network

Theo mô hình này, attack-network gồm 3 thành phần: Agent, Client vàHandler:

Client: là phần mềm cơ sở để hacker điều khiển mọi hoạt động củaattack-network

Handler: là một thành phần phần mềm trung gian giữa Agent và Client

Agent: là thành phần phần mềm thực hiện sự tấn công mục tiêu, nhậnđiều khiển từ Client thông qua các Handler

Kiến trúc attack-network kiểu Agent – Handler

Hình 1.2 Kiến trúc attack-network kiểu Agent – HandlerAttacker sẽ từ Client giao tiếp với Handler để xác định số lượng Agentđang online, điều chỉnh thời điểm tấn công và cập nhật các Agent Tùy theocách attacker cấu hình attack-network, các Agent sẽ chịu sự quản lý của mộthay nhiều Handler

Victim

Thông thường Attacker sẽ đặt phần mềm Handler trên một bộ định tuyếnhay một máy chủ có lượng traffic lưu thông nhiều Việc này nhằm làm chocác giao tiếp giữa Client, handler và Agent khó bị phát hiện Các giao tiếp nàythông thường xảy ra trên các giao thức TCP, UDP hay ICMP Chủ nhân thực

sự của các Agent thông thường không hề hay biết họ bị lợi dụng vào cuộc tấncông kiểu DDOS, do họ không đủ kiến thức hoặc các chương trình BackdoorAgent chỉ sử dụng rất ít tài nguyên hệ thống làm cho hầu như không thể thấyảnh hưởng gì đến hiệu năng của hệ thống

 Mô hình IRC – Based

Internet Relay Chat (IRC) là một hệ thống liên lạc cấp tốc qua mạngInternet, IRC cho phép người dùng tạo một kết nối đến đa điểm đến nhiềungười dùng khác và chat thời gian thực Kiến trúc của IRC network bao gồmnhiều máy chủ IRC trên khắp mạng giao tiếp với nhau qua nhiều kênh(channel) IRC network cho phép người dùng tạo ba loại kênh: public, private

số lệnh channel locator thì có thể biết được sự tồn tại của privatechannel đó

- Secrect channel: tương tự private channel nhưng không thể xác địnhbằng channel locator

Kiến trúc attack-network của kiểu IRC-Base

Hình 1.3 Kiến trúc attack-network của kiểu IRC-BaseIRC – Based network cũng tương tự như Agent – Handler networknhưng mô hình này sử dụng các kênh giao tiếp IRC làm phương tiện giao tiếpgiữa Client và Agent (không sử dụng Handler) Sử dụng mô hình này,attacker còn có thêm một số lợi thế khác như:

+ Các giao tiếp dưới dạng chat message làm cho việc phát hiện chúng là

Agent

Victim IRC NETWORK

+ Sau cùng: IRC cũng là một môi trường chia sẻ tệp tin tạo điều kiện

phát tán các Agent code lên nhiều máy khác

1.1.4 Phân loại tấn công DDoS

Nhìn chung, có rất nhiều biến thể của kỹ thuật tấn công DDoS nhưng

nếu nhìn dưới góc độ chuyên môn thì có thể chia các biến thề này thành hai

loại dựa trên mục đích tấn công: Làm cạn kiệt băng thông và làm cạn kiệt tài

nguyên hệ thống Dưới đây là sơ đồ mô tả sự phân loại các kiểu tấn công

PUSH +AC K

SYN

IP @ Attack

IP Packet Options Attack

Spoof Source Attack

Spoof Source Attack

Spoof Source Attack

Những kiểu tấn công làm cạn kiệt băng thông của mạng (BandWith Depletion Attack)

BandWith Depletion Attack được thiết kế nhằm làm tràn ngập mạngmục tiêu với những traffic không cần thiết, với mục đích làm giảm tối thiểukhả năng của các traffic hợp lệ đến được hệ thống cung cấp dịch vụ của mụctiêu

Có hai loại BandWith Depletion Attack:

+ Flood attack: Điều khiển các Agent gửi một lượng lớn traffic đến hệthống dịch vụ của mục tiêu, làm dịch vụ này bị hết khả năng về băng thông.+ Amplification attack: Điều khiển các Agent hay Client tự gửi messageđến một địa chỉ IP broadcast, làm cho tất cả các máy trong subnet này gửimessage đến hệ thống dịch vụ của mục tiêu Phương pháp này làm gia tăngtraffic không cần thiết, làm suy giảm băng thông của mục tiêu

Flood attack:

Trong phương pháp này, các Agent sẽ gửi một lượng lớn IP traffic làm

hệ thống dịch vụ của mục tiêu bị chậm lại, hệ thống bị treo hay đạt đến trạngthái hoạt động bão hòa Làm cho các User thực sự của hệ thống không sửdụng được dịch vụ

Ta có thể chia Flood Attack thành hai loại:

+ UDP Flood Attack: do tính chất connectionless của UDP, hệ thốngnhận UDP message chỉ đơn giản nhận vào tất cả các gói tin mình cần phải xử

lý Một lượng lớn các gói tin UDP được gửi đến hệ thống dịch vụ của mụctiêu sẽ đẩy toàn bộ hệ thống đến ngưỡng tới hạn

+ Các gói tin UDP này có thể được gửi đến các cổng tùy ý hay chỉ duynhất một cổng Thông thường là sẽ gửi đến nhiều cổng làm cho hệ thống mục

tiêu phải căng ra để xử lý phân hướng cho các gói tin này Nếu cổng bị tấncông không sẵn sàng thì hệ thống mục tiêu sẽ gửi ra một gói tin ICMP loại

“destination port unreachable” Thông thường các phần mềm Agent sẽ dùngđịa chỉ IP giả để che giấu hành tung, cho nên các message trả về do không cócổng xử lý sẽ dẫn đến một địa chỉ IP khác UDP Flood attack cũng có thể làmảnh hưởng đến các kết nối xung quanh mục tiêu do sự hội tụ của các gói tindiễn ra rất mạnh

+ ICMP Flood Attack: được thiết kế nhằm mục đích quản lý mạng cũngnhư định vị thiết bị mạng Khi các Agent gửi một lượng lớnICMP_ECHO_REPLY đến hệ thống mục tiêu thì hệ thống này phải reply mộtlượng tương ứng gói tin để trả lời, sẽ dẫn đến nghẽn đường truyền Tương tựtrường hợp trên, địa chỉ IP của các Agent có thể bị giả mạo

Amplification Attack:

Amplification Attack nhắm đến việc sử dụng các chức năng hỗ trợ địachỉ IP broadcast của các router nhằm khuyếch đại và hồi chuyển cuộc tấncông Môđun này cho phép bên gửi chỉ định một địa chỉ IP broadcast cho toànsubnet bên nhận thay vì nhiều địa chỉ Router sẽ có nhiệm vụ gửi đến tất cảđịa chỉ IP trong subnet đó gói tin broadcast mà nó nhận được

Attacker có thể gửi broadcast message trực tiếp hay thông qua một sốAgent nhằm làm gia tăng cường độ của cuộc tấn công Nếu attacker trực tiếpgửi message, thì có thể lợi dụng các hệ thống bên trong broadcast networknhư một Agent

Hình 1.5 Amplification Attack

Có thể chia amplification attack thành hai loại, Smuft và Fraggle attack:+ Smuft attack: Trong kiểu tấn công này attacker gửi các gói tin đếnnetwork amplifier (router hay thiết bị mạng khác hỗ trợ broadcast), với địa chỉcủa nạn nhân Thông thường những gói tin được dùng là ICMP ECHOREQUEST, các gói tin này yêu cầu bên nhận phải trả lời bằng một gói tinICMP ECHO REPLY Network amplifier sẽ gửi đến gói tin ICMP ECHOREQUEST đến tất cả các hệ thống thuộc địa chỉ broadcast và tất cả các hệthống này sẽ gửi gói tin REPLY về địa chỉ IP của mục tiêu tấn công SmuftAttack

+ Fraggle Attack: tương tự như Smuft attack nhưng thay vì dùng gói tinICMP ECHO REQUEST thì sẽ dùng gói tin UDP ECHO gửi đếm mục tiêu

Thật ra còn một biến thể khác của Fraggle attack sẽ gửi gói tin UDP ECHOđến cổng charge (port 19/UNIX) của mục tiêu, với địa chỉ bên gửi là cổngecho (port 7/UNIX) của mục tiêu, tạo nên một vòng lặp vô hạn Attacker phátđộng cuộc tấn công bằng một ECHO REQUEST với địa chỉ bên nhận là mộtđịa chỉ broadcast, toàn bộ hệ thống thuộc địa chỉ này lập tức gửi REPLY đếncổng echo của nạn nhân, sau đó từ nạn nhân một ECHO REPLY lại gửi trở vềđịa chỉ broadcast, quá trình cứ thế tiếp diễn Đây chính là nguyên nhânFlaggle Attack nguy hiểm hơn Smuft Attack rất nhiều.

Những kiểu tấn công làm cạn kiệt tài nguyên: (Resource DeleptionAttack)

Theo định nghĩa: Resource Deleption Attack là kiểu tấn công trong đóAttacker gửi những gói tin dùng các giao thức sai chức năng thiết kế, hay gửinhững gói tin với dụng ý làm tắt nghẽn tài nguyên mạng làm cho các tàinguyên này không phục vụ user thông thường khác được

Protocol Exploit Attack:

+ TCP SYN Attack: Transfer Control Protocol hỗ trợ truyền nhận với độtin cậy cao nên sử dụng phương thức bắt tay giữa bên gửi và bên nhận trướckhi truyền dữ liệu Bước đầu tiên, bên gửi gửi một gói tin SYN REQUEST(Synchronize) Bên nhận nếu nhận được SYN REQUEST sẽ trả lời bằng góitin SYN/ACK REPLY Bước cuối cùng, bên gửi sẽ truyền gói tin cuối cùngACK và bắt đầu truyền dữ liệu

Hình 1.6 TCP 3 way handshake Nếu bên server đã trả lời một yêu cầu SYN bằng một SYN/ACK REPLYnhưng không nhận được gói tin ACK cuối cùng sau một khoảng thời gian quyđịnh thì nó sẽ gửi trả lại SYN/ACK REPLY cho đến hết thời gian timeout.Toàn bộ tài nguyên hệ thống “dự trữ” để xử lý phiên giao tiếp nếu nhận đượcgói tin ACK cuối cùng sẽ bị “phong tỏa” cho đến hết thời gian timeout.

Hình 1.7 TCP SYN AttackNắm được điểm yếu này, attacker gửi một gói tin SYN đến nạn nhân vớiđịa chỉ bên gửi là giả mạo, kết quả là nạn nhân gửi SYN/ACK REPLY đếnmột địa chỉ khác và sẽ không bao giờ nhận được gói tin ACK cuối cùng, chođến hết thời gian timeout nạn nhân mới nhận ra được điều này và giải phóngcác tài nguyên hệ thống Tuy nhiên, nếu lượng gói tin SYN giả mạo đến với

số lượng nhiều và dồn dập, hệ thống của nạn nhân có thể bị hết tài nguyên

Service Port1-1023

SYS packet with a deliberately fraudulent (spoofed) source IP return address

SYN/ACK

SYN

8 0

?

+ PUSH = ACK Attack: Trong giao thức TCP, các gói tin được chứatrong bộ nhớ đệm (buffer), khi buffer đầy thì các gói tin này sẽ được chuyểnđến nơi cần thiết Tuy nhiên, bên gửi có thể yêu cầu hệ thống unload buffertrước khi buffer đầy bằng cách gửi một gói tin với PUSH và ACK mang giátrị là 1 Những gói tin này làm cho hệ thống của nạn nhân unload tất cả dữliệu trong TCP buffer ngay lập tức và gửi một gói tin ACK trở về khi thựchiện xong điều này, nếu quá trình được diễn ra liên tục với nhiều Agent, hệthống sẽ không thể xử lý được lượng lớn gói tin gửi đến và sẽ bị treo.

Malformed Packet Attack

Malformed Packet Attack là cách tấn công dùng các Agent để gửi cácgói tin có cấu trúc không đúng chuẩn nhằm làm cho hệ thống của nạn nhân bịtreo

Có hai loại Malformed Packet Attack:

+ IP address attack: dùng gói tin có địa chỉ gửi và nhận giống nhau làmcho hệ điều hành của nạn nhân không xử lý nổi và bị treo

+ IP packet options attack ngẫu nhiên hóa vùng OPTION trong IP packet

và thiết lập tất cả các bit QoS lên 1, điều này làm cho hệ thống của nạn nhânphải tốn thời gian phân tích, nếu sử dụng số lượng lớn Agent có thể làm hệthống nạn nhân hết khả năng xử lý

1.1.5 Một số đặc tính của công cụ DDOS Attack

Hình 1.8 Công cụ DDoS attackCác công cụ DDoS Attack có rất nhiều điểm chung như: cách cài phầnmềm Agent, phương pháp giao tiếp giữa các attacker, handler và Agent, điểmchung về loại hệ điều hành hỗ trợ các công cụ này Sơ đồ trên mô tả sự sosánh tương quan giữa các công cụ tấn công DDoS này

Cách thức cài đặt DDoS Agent:

Attacker có thể dùng phương pháp active và passive để cài đặt phầnmềm agent lên các máy khác nhằm thiết lập attack-network kiểu Agent-Handler hay IRC-based

- Cách cài đặt Active:

+ Scaning: dùng các công cụ như Nmap, Nessus để tìm những sơ hở trêncác hệ thống đang online nhằm cài đặt phần mềm Agent Chú ý, Nmap sẽ trả

về những thông tin về một hệ thống đã được chỉ định bằng địa chỉ IP, Nessustìm kiếm từ những địa chỉ IP bất kỳ về một điểm yếu biết trước nào đó

+ Backdoor: Sau khi tìm thấy được danh sách các hệ thống có thể lợidụng, attacker sẽ tiến hành xâm nhập và cài Agentsoftware lên các hệ thốngnày Có rất nhiều thông tin sẵn có về cách thức xâm nhập trên mạng, như sitecủa tổ chức Common Vulnerabilities and Exposures (CVE), ở đây liệt kê vàphân loại trên 4.000 loại lỗi của tất cả các hệ thống hiện có Thông tin nàyluôn sẵn sàng cho cả giới quản trị mạng lẫn hacker

+ Trojan: là một chương trình thực hiện một chức năng thông thườngnào đó, nhưng lại có một số chức năng tiềm ẩn phục vụ cho mục đích riêngcủa người viết mà người dùng không thể biết được Có thể dùng trojan nhưmột phần mềm Agent

+ Buffer Overflow: Tận dụng lỗi buffer overflow, attacker có thể làmcho chu trình thực thi chương trình thông thường bị chuyển sang chu trìnhthực thi chương trình của hacker (nằm trong vùng dữ liệu ghi đè) Có thểdùng cách này để tấn công vào một chương trình có điểm yếu buffer overflow

để chạy chương trình phần mềm Agent

- Cách cài đặt passive:

+ Bug Website: attacker có thể lợi dụng một số lỗi của trình duyệt web

để cài phần mềm Agent vào máy của user truy cập Attacker sẽ tạo mộtwebsite mang nội dung tiềm ẩn những code và lệnh để đặt bẫy user Khi usertruy cập nội dung của website, thì website tải và cài đặt phần mềm Agent mộtcách bí mật Trình duyệt web IE thường là mục tiêu của cách cài đặt này, với

các lỗi của ActiveX có thể cho phép trình duyệt web IE tự động tải và cài đặtcode trên máy của user duyệt web.

+ Corrupted file: Một phương pháp khác là nhúng code vào trong cácfile thông thường Khi user đọc hay thực thi các file này, máy của họ lập tức

bị nhiễm phần mềm Agent Một trong những kỹ thuật phổ biến là đặt tên filerất dài, do default của các hệ điều hành chỉ hiển thị phần đầu của tên file nênattacker có thể gửi kèm theo email cho nạn nhân file như sau:iloveyou.txt_hiiiiiii_NO_this_is_DDoS.exe, do chỉ thấy phần “Iloveyou.txt”hiển thị nên user sẽ mở file này để đọc và lập tức file này được thực thi vàAgent code được cài vào máy nạn nhân Ngoài ra còn nhiều cách khác nhưngụy trang file, ghép file…

- Rootkit: Là những chương trình dùng để xóa dấu vết về sự hiện diệncủa Agent hay Handler trên máy của nạn nhân Rootkit thường được dùngtrên phần mềm Hander đã được cài, đóng vai trò xung yếu cho sự hoạt độngcủa attack-network hay trên các môi trường mà khả năng bị phát hiện củaHandler là rất cao Rootkit rất ít khi dùng trên các Agent do mức độ quantrọng của Agent không cao và nếu có mất một số Agent cũng không ảnhhưởng nhiều đến attack-network

Giao tiếp trên Attack-Network:

- Protocol: Giao tiếp trên attack-network có thể thực hiện trên nền cácgiao thức TCP, UDP, ICMP

- Mã hóa các giao tiếp: một vài công cụ DDoS hỗ trợ mã hóa giao tiếptrên toàn bộ attack-network Tùy theo giao thức được sử dụng để giao tiếp sẽ

có các phương pháp mã hóa thích hợp Nếu attack-network ở dạng IRC-basedthì private và secrect channel đã hỗ trợ mã hóa giao tiếp

- Cách kích hoạt Agent: Có hai phương pháp chủ yếu để kích hoạtAgent Cách thứ nhất là Agent sẽ thường xuyên quét thăm dó Handler hayIRC channel để nhận chỉ thị (active Agent) Cách thứ hai là Agent chỉ đơngiản là “nằm vùng” chờ chỉ thị từ Handler hay IRC Channel.

Các nền tảng hỗ trợ Agent:

Các công cụ DDoS thông thường được thiết kế hoạt động tương thíchvới nhiều hệ điều hành khác nhau như: Unix, Linux, Solaris hay Windows.Các thành phần của attack-network có thể vận hành trên các môi trường hệđiều hành khác nhau

Thông thường Handler sẽ vận hành trên các hệ chạy trên các server lớnnhư Unix, Linux hay Solaris Agent thông thường chạy trên hệ điều hành phổbiến nhất là Windows do cần số lượng lớn dễ khai thác

Các chức năng của công cụ DDoS:

Mỗi công cụ DDoS có một tập lệnh riêng, tập lệnh này được Handler vàAgent thực hiện Tuy nhiên ta có thể phân loại tổng quát tập lệnh chung củamọi công cụ như sau:

Log Off Nhằm dùng để Logoff ra khỏi Handler software

Turn Off Chỉ dẫn Handler ngưng hoạt động, nếu Handler đang

quét tìm Agent thì dừng ngay hành vi nàyInitiate Attack Ra lệnh cho Handler hướng dẫn mọi Agent trực thuộc tấn

công mục tiêu đã địnhList Agents Yên cầu Handler liệt kê các Agent trực thuộc

Kiss Agents Loại bỏ một Agent ra khỏi hàng ngũ Attack-NetworkAdd victim Thêm một mục tiêu để tấn công

Set Attack

Duration

Thông báo độ dài của cuộc tấn công vào mục tiêu

BufferSize Thiết lập kích thước buffer của Agent (nhằm gia tăng sức

mạnh cho Agent)Help Hướng dẫn sử dụng chương trình

Bảng 1.2 Tập lệnh của Agent

TẬP LỆNH CỦA AGENT

Turn On Kích hoạt Agent sẵn sàng nhận lệnh

Turn Off Chỉ dẫn Agent ngưng hoạt động, nếu Agent đang quét tìm

Handler/IRC Channel thì dừng ngay hành vi này lạiInitiate

Attacker

Ra lệnh Agent tấn công mục tiêu đã định

Download

Upgrades

Cập nhật phần mềm Agent (downloaf file exe về và thực thi)

Set Spoofing Thiết lập cơ chế giả mạo địa chỉ IP cho các Agent hoạt độngSet Attack

Duration

Thông báo độ dài các cuộc tấn công vào mục tiêu

Set Packet

Size

Thiết lập kích thước của attack packet

Help Hướng dẫn sử dụng chương trình

1.1.6 Công cụ DDoS dạng Agent-Handler

- TrinOO: Là một trong các công cụ DDoS đầu tiên được phát tán rộng

rãi

TrinOO có kiến trúc Agent – Handler, là công cụ DDoS kiểu BandwidthDepletion Attack, sử dụng kỹ thuật UDP flood Các version đầu tiên củaTrinOO không hỗ trợ giả mạo địa chỉ IP TrinOO Agent được cài đặt lợi dụnglỗi remote buffer overrun Hoạt động trên hệ điều hành Solaris 2.5.1 và RedHat Linux 6.0 Attack – network giao tiếp dùng TCP (attacker client vàhandler) và UDP (Handler và Agent) Mã hóa giao tiếp dùng phương pháp mãhóa đối xứng giữa Client, handler và Agent

- Tribe Flood Network (TFN): Kiểu kiến trúc Agent – Handler, công

cụ DDoS hỗ trợ kiểu Bandwidth Deleption Attack và Resourse DeleptionAttack Sử dụng kỹ thuật UDP flood, ICMP Flood, TCP SYN và SmurfAttack Các version đầu tiên không hỗ trợ giả mạo địa chỉ IP, TFN Agentđược cài đặt lợi dụng lỗi buffer overflow Hoạt động trên hệ điều hành Solaris2.x và Red Hat Linux 6.0 Attack – Network giao tiếp dùng ICMP ECHOREPLY packet (TFN2K hỗ trợ thêm TCP/UDP với tính năng chọn giao thứctùy ý), không mã hóa giao tiếp (TFN2K hỗ trợ mã hóa)

- Stacheldraht: là biến thể của TFN có thêm khả năng update Agent tự

động Giao tiếp telnet mã hóa đối xứng giữa Attacker và Handler

- Shaft: là biến thể của TrinOO, giao tiếp Handler – Agent trên UDP,

Attacker – Hendle trên Internet Tấn công dùng kỹ thuật UDP, ICMP và TCPflood Có thể tấn công phối hợp nhiều kiểu cùng lúc Có thống kê chi tiết chophép attacker biết tình trạng tổn thất của nạn nhân, mức độ quy mô của cuộctấn công để điều chỉnh số lượng Agent

1.1.7 Công cụ DDOS dạng IRC-Based

Công cụ DDoS dạng IRC-based được phát triển sau các công cụ dạngAgent – Handler Tuy nhiên, công cụ DDoS dạng IRC phức tạp hơn rất nhiều,

do tích hợp rất nhiều đặc tính của các công cụ DDoS dạng Agent – Handler

- Trinity: là một điển hình của công cụ dạng này Trinity có hầu hết các

kỹ thuật tấn công bao gồm: UDP, TCP SYS, TCP ACK, TCP fragment, TCPNULL, TCP RST, TCP random flag, TCP ESTABLISHED packet flood Nó

có sẵn khả năng ngẫu nhiên hóa địa chỉ bên gửi Trinity cũng hỗ trợ TCPflood packet với khả năng ngẫu nhân tập CONTROL FLAG Trinity có thểnói là một trong số các công cụ DDoS nguy hiểm nhất

- Ngoài ra có thể nhắc thêm về một số công cụ DDoS khác như Knight,được thiết kế chạy trên Windows, sử dụng kỹ thuật cài đặt của troijan backOrifice Knight dùng các kỹ thuật tấn công như: UDP Flood và Urgent PointerFlooder

- Sau cùng là Kaiten, là biến thể của Knight, hỗ trợ rất nhiều kỹ thuật tấncông như: UDP, TCP flood, SYN, PUSH + ACK attack Kaiten cũng thừahưởng khả năng ngẫu nhiên hóa địa chỉ giả mạo của Trinity

1.2 Tìm hiểu ảnh hưởng và mức độ nghiêm trọng của các cuộc tấn công

từ chối dịch vụ phân tán kiểu giả mạo địa chỉ IP nguồn tấn công trong nước và trên thế giới.

1.2.1 Những cuộc tấn công DDoS trong nước.

- Ngày 1/2/2012 website Bkav.com.vn bị tấn công DDoS và để lại đườngdẫn chứng minh việc mình đã upload thành công dữ liệu vào máy chủ củatrang web cùng lời bình luận ngắn gọn “chỉ thế là đủ” Theo nhận định từnhững chuyên gia trong lĩnh vực bảo mật web, hacker đã “thừa sức” leo thangđặc quyền Nếu muốn, hậu quả có thể trở nên nghiêm trọng hơn rất nhiều

- Forum BKAV bị tấn công đúng ngày lễ Tình yêu 14/2/2012

Sáng ngày 14/2, diễn đàn Bkav (forum.bkav.com.vn) bị tấn công DDoSkhiến người dùng không thể truy cập được và hiện lên thông báo “the pagecannot be displayed”

Ngay sau khi hiện tượng website www.bkav.com.vn khó truy cập, tạitrang chủ http://www.anonymousvn.blogspot.com, nhóm Anonymous đã đưathông tin xác nhận việc đã tấn công và thâm nhập thành công vào server củaBkav Điều này đồng nghĩa với việc, rất có thể nhóm hacker này đã tạo ranhững thay đổi trong hệ thống máy chủ của Bkav Nhiều người lo xa còn chorằng, Anonymous có thể đã chèn được mã độc vào chính phần mềm diệt viruscủa công ty này

- Đầu tháng 7 /2012, trang web của Trung tâm Đào tạo lập trình viên

Aprotrain Aptech (AA) bị tấn công DDoS khiến người dùng không được vào

trang web Bộ phận kỹ thuật kiểm tra hồ sơ (file) nhật ký thấy số lượng kếtnối vào máy chủ tăng bất thường (chỉ trong thời gian ngắn, số kết nối tăngthêm 2.000 lượt), hiệu năng sử dụng Ram, CPU đều trên 90%

- Chiều 8/7/2013, báo điện tử Dân trí đã đưa ra thông báo về việc trangbáo này bị tấn công từ chối dịch vụ (DDoS) với quy mô lớn chưa từng có tạiViệt Nam trong suốt 1 tuần vừa qua Đợt tấn công này chủ yếu nhằm vào cácwebsite có hệ thống máy chủ đặt tại Trung tâm Điện toán - Truyền số liệu KV

2 (VDC2) và ảnh hưởng đến nhiều báo điện tử lớn như Dân trí, Vietnamnet,Tuổi Trẻ… Cho đến chiều ngày 9/7, khi truy cập vào báo điện tử Dantri,người dùng vẫn gặp thông báo “không thể truy cập”

- Website báo Tuổi Trẻ bị tấn công DDoS ngày 11/07/2013

Ngày 11/7/2013, báo Tuổi Trẻ phát đi thông báo cho biết các phiên bảnđiện tử của mình đang bị tấn công DDoS liên tục từ phía hacker, theo đó cácphiên bản: Tuổi Trẻ Online (tuoitre.vn), Tuổi Trẻ Mobile (m.tuoitre.vn), TuổiTrẻ Online tiếng Anh (tuoitrenews.vn) đều rất khó truy cập

Theo đại diện của Tuổi Trẻ, kẻ tấn công đã sử dụng hình thức tấn côngDDoS tạo ra hàng chục triệu lượt truy cập ảo đến các phiên bản của tờ báo

này, gây ra tình trạng nghẽn mạng nghiêm trọng Hiện đội ngũ kỹ thuật củaTuổi Trẻ đang cố gắng khắc phục bằng nhiều giải pháp kỹ thuật nhằm chốnglại các đợt tấn công trên

Cùng với các biện pháp kỹ thuật khắc phục, phía Tuổi Trẻ đã tiến hànhlàm việc với các cơ quan chức năng, hãng bảo mật trong và ngoài nước nhằmnhanh chóng khôi phục hoạt động địa chỉ web các phiên bản của báo TuổiTrẻ

1.2.2 Những cuộc tấn công DDoS trên thế giới

- Anonymous thử “vũ khí” tấn công DDoS mới

Anonymous đang xây dựng một công cụ tấn công DDoS mới nguy hiểm

và tinh vi hơn trước, nhằm thay thế cho “vũ khí” hiện tại

Thông tin trên do trang tin Digital Trend công bố Công cụ mới được gọi

là #RefRef, có rất nhiều đặc điểm ưu việt so với Low Orbit Ion Cannon(LOIC) mà Anonymous sử dụng trong các cuộc tấn công DDoS của họ.Trướcđây, LOIC tỏ ra rất hiệu quả, song công cụ này đã bắt đầu bộc lộ những điểmyếu trước sự phát triển của giới an ninh mạng Điều đó được thể hiện qua các

vụ bắt giữ hàng loạt tin tặc gần đây khi LOIC không thể giúp những tayhacker này “ẩn danh” an toàn Digital Trend tiết lộ, #RefRef được xây dựngbằng mã JavaScript và nhắm vào các máy chủ có hỗ trợ JavaScript vàSQL.Vừa qua, Anonymous đã thử nghiệm “vũ khí” mới bằng việc tấn côngDDoS website Pastebin, và kết quả cho thấy trang web “xấu số” đã bị đánhsập sau khi Anonymous thử nghiệm #RefRef trong…17 giây Theo kế hoạch,công cụ nguy hiểm trên sẽ bắt đầu được nhóm tin tặc số một thế giới mang ra

sử dụng chính thức từ tháng 9 này

Những thông tin trên khiến các nhà hoạt động bảo mật và an ninh mạng

sẽ cần phải hết sức dè chừng nếu không muốn hệ thống của họ trở thành nạnnhân của #RefRef và Anonymous

- Ngày 22/09/2012 website hai ngân hàng lớn của Mỹ là Bank ofAmerica và JPMorgan Chase bị đánh sập

Ngày 22/0/2012 các ngân hàng của Mỹ phải thiết lập tình trạng báo độngcao độ về nguy cơ tin tặc, sau khi trang web của hai ngân hàng Bank ofAmerica và JPMorgan Chase bị nghẽn đường truyền không rõ nguyên nhân

Sự cố xảy ra trên hệ thống trang web của hai ngân hàng Bank ofAmerica và JPMorgan Chase xuất hiện sau khi một cá nhân nặc danh đăng tảilời đe dọa tấn công Ngân hàng Bank of America và sàn chứng khoán NewYork Người này cũng khẳng định chỉ dừng các cuộc tấn công khi một bộphim Mỹ được cho là có nội dung phỉ báng thế giới Hồi giáo bị xóa khỏimạng Internet

Dan Holden, giám đốc an ninh mạng tại Hãng Arbor Networks, nhận xétnhiều ngân hàng của nước Mỹ đang là nạn nhân của một đợt tấn công từ chốidịch vụ DDoS

Trong diễn biến mới nhất có liên quan đến việc hai ngân hàng Mỹ bị tấncông DDoS, kênh truyền hình NBC News (Hoa Kỳ) cho hay Iran là nghi canhàng đầu trong vụ sập đường truyền hai trang web của JPMorgan Chase vàBank of America

- Ngày 22/08/2012 Anonymous tấn công DDOS website chính phủ Anh.Sáng ngày 21/08/2012, một thành viên trong nhóm Anonymous đã đăngmột mẩu tweet lên trang Twitter @AnonIRC của mình, nói rằng “Hiện tại,không thể truy cập vào trang web của Bộ tư pháp Anh tại đường linkhttp://www.justice.gov.uk/ , #OpFreeAssange”

Ngày 21/8, nhóm hacker Anonymous đã ra tay tấn công các website củachính phủ Anh Quốc để thể hiện sự ủng hộ của mình đối với nhà sáng lậptrang web WikiLeaks – Julian Assange – người đang được chính phủ Ecuadorcho phép trú trong đại sứ quán của nước mình đặt tại London, Anh

Nhóm Anonymous vốn nổi tiếng với việc sử dụng phương án tấn công từchối dịch vụ DDoS nhằm thể hiện quan điểm chính trị của mình, được cho là

đã tấn công trang web của Bộ tư pháp Vương quốc Anh, cùng với trangNumber 10 của Văn phòng thủ tướng Anh Những báo cáo khác còn cho thấytrang web của Bộ lao động và Lương hưu Anh cũng là nạn nhân của nhómhacker này

- Ngày 18/09/2012 Anonymous tấn công kho tài liệu mật của CampuchiaĐầu tháng 9 này, đồng sáng lập trang chia sẻ dữ liệu trực tuyến ThụyĐiển The Pirate Bay - Gottfrid Svartholm đã bị bắt giữ và bị trục xuất khỏiCampuchia

Mới đây, để trả đũa động thái này của Chính phủ Campuchia, nhómhacker khét tiếng Anonymous đã tấn công website của chính phủ quốc gianày và đăng tải công khai lên Internet hơn 5.000 tài liệu mật và nhạy cảm Cụthể, tin tặc đã tấn công website của Bộ Ngoại giao Campuchia và Cơ quanhợp tác quốc tế; đặc biệt nghiêm trọng hơn khi những tài liệu bị rò rỉ khôngchỉ nằm trong giới hạn của Campuchia mà còn có liên quan tới nhiều quốc giakhác như Nepal, Ấn Độ, Pakistan

Theo thống kê của trang The Next Web, có tất cả 5.234 tài liệu bị rò rỉ,được lưu trữ vào hai tệp nén trên trang lưu trữ dữ liệu Deposit Files, có dunglượng lần lượt là 161 MB và 230 MB Những tài liệu này được viết bằngTiếng Anh, Hindu, Khmer và tiếng Nga

- Ngày 11/04/2013: Website Bộ Tư pháp Đức bị tin tặc tấn công bằngDDoS Ngày 11/4, trang tin AP dẫn lời Bộ Tư pháp Đức cho hay website của

bộ này đã sập vì bị tin tặc tấn công từ chối dịch vụ (DDoS)

- Cuộc tấn công DDoS lớn nhất lịch sử internet

Ngày 27/03/2013 tổ chức Spamhaus vốn chịu trách nhiệm duy trì danhsách blacklist các máy chủ đang gửi thư spam trên toàn cầu, phải hứng chịumột cuộc tấn công DDoS với lưu lượng lớn nhất lịch sử Internet, lưu lượnghiện đã đạt đỉnh 300 Gbps Trong khi tổng lưu lượng internet của Việt Namchỉ khoảng 361 Gbps, tức là nếu cuộc tấn công này nhắm vào hạ tầng internetViệt Nam thì chúng ta sẽ nhanh chóng bị bão hoà đường truyền và Việt Nam

sẽ sớm bị cách ly hoàn toàn với internet thế giới Các cuộc tấn công DDoSthông thường trên thế giới gần đây chỉ đạt khoảng 50 Gbps là đã đủ làm tê liệt

cơ sở hạ tầng của một tổ chức bị nhắm tới Rất may Spamhaus hiện đangđược chống lưng bởi rất nhiều tập đoàn công nghệ lớn của thế giới nhưGoogle, Microsoft, Yahoo, Amazon, do đó các hãng này hiện đang chia sẻtài nguyên khổng lồ của họ nhằm giúp hấp thụ lưu lượng khổng lồ trên.Nguyên nhân dẫn đến cuộc tấn công là từ một cuộc tranh cãi giữa tổ chứcSpamhaus và một công ty dịch vụ hosting của Đức tên Cyberbunker khi tổchức Spamhaus liệt kê các máy chủ của công ty này vào danh sách Blacklist,danh sách này sẽ giúp các nhà cung cấp dịch vụ mail toàn cầu chặn đứng cácspam mail đến từ công ty Cyberbunker Cuộc tranh cãi này nhanh chóng kéotheo thành các lời đe doạ tấn công và cuối cùng, công ty này đã kết hợp vớinhiều tổ chức tin tặc tại Châu Âu để điều hướng một lượng khổng lồ gồmnhiều mạng máy tính ma (botnets) với nhiều triệu máy tính đã bị thâm nhậptrước đó, tập trung tấn công các máy chủ DNS của Spamhaus Điều đáng ngại

là cuộc tấn công này đã tạo nên một kỷ lục mới về lưu lượng tấn công, nóđánh dấu một thời kì khó khăn sắp tới của internet khi mà các chính phủ có vẻđang bất lực trước các tổ chức tin tặc

Chương 2 NGHIÊN CỨU VÀ XÂY DỰNG GIẢI PHÁP CHỐNG TẤN CÔNG TỪ CHỐI DỊCH VỤ PHÂN TÁN KIỂU GIẢ MẠO ĐỊA CHỈ IP NGUỒN TẤN

CÔNG

Nội dung của chương 2 tác giả sẽ tập trung đi tìm hiểu những sản phẩmchống tấn công từ chối dịch vụ phân tán kiểu giả mạo địa chỉ IP nguồn tấncông của một số nhà cung cấp như của Cisco, Abor, Huawei và đưa ra một số

đánh giá tổng quan về các giải pháp này Ngoài ra tác giả cũng nghiên cứugiải pháp chống tấn công DDoS sử dụng các thiết bị, phần mềm mã nguồn mở(tường lửa, Snort…)

2.1 Nghiên cứu những sản phẩm chống tấn công từ chối dịch vụ phân tán kiểu giả mạo địa chỉ IP nguồn tấn công và đánh giá các giải pháp, công nghệ đã sử dụng

2.1.1 Giải pháp chống DDoS của Cisco

Hệ thống Cisco cung cấp một giải pháp bảo vệ DDoS hoàn toàn dựa trênnguyên tắc phát hiện, chuyển hướng, xác minh và chuyển tiếp giúp đảm bảoviệc bảo vệ tổng thể Khi một cuộc tấn công DDoS thực hiện thì giải phápchống DDoS của Cisco sẽ thực hiện các bước sau:

- Phát hiện tấn công DDoS

- Chuyển hướng lưu lượng dữ liệu dành cho các thiết bị mục tiêu đối vớicác ứng dụng Cisco cho việc xử lý

- Phân tích và lọc các luồng lưu lượng xấu từ những gói tin có luồng lưulượng tốt, ngăn chặn lưu lượng truy cập độc hại từ tác động đến hiệu suấttrong khi cho phép hoàn thành các giao dịch hợp pháp

- Chuyển tiếp lưu lượng truy cập tốt để duy trì tính nghiệp vụ liên tục

Giải pháp thiết lập của Cisco

Giải pháp Cisco cung cấp bảo vệ hoàn toàn chống lại tất cả cuộc tấncông DDoS, ngay cả khi chưa bao giờ được thấy trước đó Với khả năng giảmthiểu hoạt động đó nhanh chóng phát hiện các cuộc tấn công và lưu lượngmạng nguy hiểm Các giải pháp của Cisco cung cấp tùy chọn khả năng mởrộng loại bỏ bất kỳ điểm duy nhất của thất bại và không ảnh hưởng đến hiệusuất hoặc độ tin cậy của thành phần mạng hiện có

Giải pháp của Cisco thiết lập bao gồm hai thành phần Cisco TrafficAnomaly Detector (TAD) XT và Cisco Guard XT, làm việc cùng nhau vàcung cấp đầy đủ môi trường chống DDoS.

- Cisco Traffic Anomaly Detector XT: Hoạt động như một cảnh báosớm, Cisco TAD XT cung cấp phân tích sâu sắc nhất tấn công DDoS phứctạp the Cisco TAD XT giám sát lưu lượng mạng, tìm kiếm bất kỳ sự sai lệch

từ hành vi “normal” hoặc baseline của cuộc tấn công DDoS Khi cuộc tấncông được xác định, Cisco TAD XT cảnh báo của Cisco XT, cung cấp chi tiếtbáo cáo cũng như cảnh báo cụ thể để nhanh chóng phản ứng với các mối đedọa Ví dụ, Cisco TAD XT có thể quan sát thấy tỷ lệ các gói tin UDP từ mộtnguồn IP duy nhất là ra khỏi phạm vi, ngay cả khi các ngưỡng tổng thể khôngvượt quá

- Cisco Guard XT—The Cisco Guard XT là nền tảng thiết lập giải phápCisco DDoS thực hiện tấn công hiệu suất cao, giảm nhẹ thiết bị ở nhà cungcấp dịch vụ ISP, trung tâm dữ liệu hoặc một doanh nghiệp lớn để bảo vệ cả tàinguyên mạng và dữ liệu trung tâm

Khi Cisco Guard XT được thông báo rằng mục tiêu đang bị tấn công(cho dù từ một Cisco TAD XT hoặc một số thiết bị an ninh giám sát khácchẳng hạn như một phát hiện xâm nhập hoặc tường lửa), traffic dành cho cácmục tiêu được chuyển hướng đến các Guard (hoặc Guards) liên kết với cácthiết bị mục tiêu Traffic sau đó được đưa vào phân tích qua năm giai đoạnnghiêm ngặt và quá trình lọc được thiết kế để loại bỏ tất cả các lưu lượngnguy hiểm trong khi cho phép các gói dữ liệu tốt tiếp tục đi qua mà không bịgián đoạn Cisco Guard XT nằm liền kề với một router hoặc switch trên mộtgiao diện mạng riêng biệt, giúp cho phép bảo vệ theo yêu cầu mà không cầnảnh hưởng đến lưu lượng dữ liệu của hệ thống khác Tùy thuộc vào vị trí của

nó, Cisco Guard XT đồng thời có thể bảo vệ nhiều mục tiêu tiềm năng, baogồm cả thiết bị định tuyến, máy chủ web, máy chủ DNS, và băng thông mạngLAN, WAN.

Kiến trúc hệ thống Cisco MVP

Các giải pháp thế hệ tiếp theo của Cisco Guard XT DDoS dựa trên mộtquá trình xác minh cấp bằng sáng chế kiến trúc (MVP) duy nhất tích hợp mộtloạt các kiểm tra, phân tích, và thực thi các kỹ thuật để xác định và tách biệtlưu lượng nguy hiểm từ traffic hợp pháp Quá trình thanh lọc này bao gồmnăm phần hoặc thông qua các bước sau:

- Filtering: Môđun này bao gồm các bộ lọc DDoS cả tính và động Bộlọc tính, trong đó khối traffic không cần thiết từ nạn nhân bị tấn công, làngười dùng có thể cấu hình, và đến từ Cisco với giá trị mặc định cài sẵn.Dynamic filter được chèn vào bằng các bộ phận khác trên cơ sở quan sát hành

vi và phân tích chi tiết về lưu lượng traffic, cung cấp thông tin cập nhật thờigian thực hoặc tăng mức kiểm tra áp dụng cho các nghi ngờ hoặc các khốinguồn và dòng chảy đã được xác nhận là độc hại

Hình 2.1 Kiến trúc hệ thống Cisco MVP

- Active verification: Module này xác nhận rằng các gói tin vào hệ thống

đã không bị giả mạo Cisco Guard XT sử dụng nhiều cơ chế xác thực mã

nguồn độc đáo, để ngăn chăn các gói tin giả mạo đến nạn nhân Các modulekiểm tra hoạt động cũng có một số cơ chế để giúp đảm bảo xác định đúngtraffic hợp pháp, hầu như loại bỏ nguy cơ các gói tin hợp lệ được bỏ đi.

- Anomaly recognition: Module này giám sát tất cả lưu lượng truy cập

và không dừng lại bởi bộ lọc hoặc các module kiểm tra hoạt động và so sánh

nó với hành vi cơ bản ghi nhận theo thời gian, tìm kiếm những sai lệch đó sẽxác định nguồn gốc của gói tin độc hại Nguyên tắc cơ bản đằng sau các hoạtđộng của module này mô hình traffic có nguồn gốc từ “black hat” daemon cưtrú tại một nguồn khác đáng kể từ mô hình được tạo ra bởi các nguồn hợppháp trong quá trình hoạt động bình thường Nguyên tắc này được sử dụng đểxác định nguồn gốc tấn công và chủng loại, cũng như để cung cấp hướng dẫn

để ngăn chặn traffic, thực hiện phân tích chi tiết hơn về dữ liệu đáng ngờ

- Protocol analysis: Module này để xác định các cuộc tấn công ứng dụng

cụ thể chẳng hạn như các cuộc tấn công lỗi HTTP Phân tích giao thức đểphát hiện giao thức truyền lỗi bao gồm cả việc truyền không đầy đủ hoặc lỗi

- Rate limiting: Module này cung cấp tùy chọn thực thi khác và ngănchặn dòng chảy hỏng khó chống lại từ mục tiêu trong khi nhiều giám sát chitiết đang diễn ra Các module thực hiện traffic cho mỗi luồng tạo hình, nguồntiêu thụ quá nhiều tài nguyên (ví dụ, băng thông hoặc kết nối) cho thời gianquá dài Điều quan trọng cần lưu ý rằng, giữa cuộc tấn công, Cisco Guard XT

là trong chế độ (đang học), thụ động giám sát mô hình traffic và lưu lượngcho các nguồn tài nguyên khác nhau bảo vệ hành vi bình thường và thiết lậpmột hồ sơ cá nhân cơ bản Thông tin này sau đó được sử dụng để nắm tìnhhình về chính sách và lọc cả hai được biết và cả chưa biết, các cuộc tấn côngchưa từng thấy trong hoạt động mạng thời gian thực

Giải pháp phòng vệ