Nghiên cứu giải pháp an ninh trong quản trị mạng

LỜI CAM ĐOANLỜI CẢM ƠNDANH MỤC CÁC TỪ VIẾT TẮT VÀ THUẬT NGỮDANH MỤC HÌNH ẢNHLỜI MỞ ĐẦUCHƯƠNG 1: TỔNG QUAN VỀ AN NINH MẠNG11.1. Khái niệm mạng máy tính11.2. Những ưu điểm, nhược điểm của mạng máy tính21.3. Đặc trưng kỹ thuật của an ninh mạng31.4. Một số kiểu tấn công mạng máy tính hiện nay41.4.1. Tấn công bị động (Passive attack)41.4.2. Tấn công rải rác (Distributed attack)41.4.3. Tấn công nội bộ (Insider attack)51.4.4. Tấn công mật khẩu (Password attack)51.4.5. Tấn công từ chối dịch vụ (denial of service attack)51.4.6. Tấn công phá mã khóa (CompromisedKey Attack)61.4.7. Tấn công trực tiếp71.4.8. Nghe trộm81.4.9. Giả mạo địa chỉ81.4.10. Vô hiệu các chức năng của hệ thống81.4.11. Tấn công vào yếu tố con người81.5. Các biện pháp phát hiện hệ thống bị tấn công91.6. Kết luận chương 110CHƯƠNG 2: TẤN CÔNG DOSDDOS VÀ CÁC GIẢI PHÁP PHÒNG CHỐNG112.1. Tấn công từ chối dịch vụ (DoS)112.1.1. Khái niệm tấn công DoS112.1.2. Mục đích của tấn công DoS112.1.3. Dấu hiệu của tấn công DoS122.1.4. Các dạng tấn công DoS122.1.5. Cách phòng chống tấn công DoS152.2. Tấn công DDoS162.2.1. Khái niệm tấn công DDoS162.2.2. Tìm hiểu các đặc tính của tấn công DDoS.162.2.3. Khái niệm mạng Botnet172.2.4. Quy trình của một cuộc tấn công DDoS192.2.5. Phân loại các dạng tấn công DDoS hiện nay.212.2.6. Phân loại tấn công DDoS theo phương thức252.2.7.Tìm hiểu các công cụ thực hiện tấn công DDoS262.2.8. Tìm hiểu các cuộc tấn công DDoS nổi tiếng trong lịch sử272.3. Phương pháp phòng chống tấn công DDoS282.3.1. Phương pháp tối thiểu hóa lượng Agent282.3.2. Phương pháp tìm và vô hiệu hóa các Handler292.3.3. Phương pháp phát hiện sớm dấu hiệu của một cuộc tấn công292.3.4. Phương pháp làm suy giàm hoặc dừng cuộc tấn công302.3.5. Phương pháp chuyển hướng của cuộc tấn công302.3.6. Giai đoạn sau tấn công312.3.7. Xây dựng biện pháp giảm thiểu tấn công312.4. Kết luận chương 232CHƯƠNG 3: XÂY DỰNG GIẢI PHÁP PHÒNG CHỐNG TẤN CÔNG DDOS CHO WEBSITE TRƯỜNG ĐẠI HỌC TÀI NGUYÊN VÀ MÔI TRƯỜNG HÀ NỘI333.1. Khảo sát hiện trạng mạng và máy chủ của trường Đại học Tài nguyên và Môi trường Hà Nội.333.1.1. Mô hình mạng của trường333.1.2. Mô hình logic hệ thống trong vùng DMZ343.1.3. Mô tả về webserver của Trường343.2. Phân tích hiện trạng và đề xuất giải pháp chống tấn công DDoS cho Website trường Đại học Tài nguyên và Môi trường Hà Nội.353.2.1. Phân tích hiện trạng353.2.2. Xác định yêu cầu về khả năng đáp ứng truy vấn hiện tại363.3. Đề xuất giải pháp cân bằng tải cho hệ thống website363.3.1. Giới thiệu chung cho hệ thống cân bằng tải website của trường363.3.2. Sử dụng công nghệ Clustering373.3.3. Chức năng của cân bằng tải373.3.4. Ưu điểm của cân bằng tải383.3.5. Đề xuất mô hình giải pháp393.3.6. Lựa chọn giải pháp mã nguồn mở cho việc xây dựng hệ thống cân bằng tải (Pfsense)413.3.7. Xây dựng hệ thống tách biệt Website và Database453.4. Thử nghiệm và đánh giá giải pháp453.4.1. Mục tiêu thử nghiệm453.4.2. Dự kiến mô hình triển khai463.4.3. Kịch bản tấn công463.4.4. Đánh giá kết quả sau khi thử nghiệm493.5. Kết luận chương 349KẾT LUẬNDANH MỤC CÁC TÀI LIỆU THAM KHẢOPHỤ LỤC

hướng dẫn khoa học của TS Trần Cảnh Dương Các nội dung nghiên cứu, kết quảtrong đề tài này là trung thực và chưa được công bố dưới bất kì hình thức nào trướcđây.

Nếu có bất kì sự gian lận nào em xin hoàn toàn chịu trách nhiệm về nội dungbáo cáo của mình.Mọi sự giúp đỡ cho việc thực hiện luận văn này đã được cám ơn

và các thông tin trong báo cáo đều được ghi rõ nguồn gốc

Hà nội, ngày 06 tháng 06 năm 2016

Người cam đoan

Hà Nội, em đã được các thầy cô giảng dạy, giúp đỡ và được truyền đạt nhiều kiến

thức vô cùng quý giá Ngoài ra, em còn được rèn luyện bản thân trong một môitrường học tập đầy sáng tạo và khoa học Đây là một quá trình hết sức quan trọnggiúp em có thể thành công khi bắt tay vào nghề nghiệp tương lai sau này

Em xin chân thành cảm ơn Ban giám hiệu nhà trường, Ban chủ nhiệm khoa

công nghệ thông tin,các thầy cô trông Trung tâm Công nghệ Thông tin, cùng toàn

thể các thầy cô đã tận tình giảng dạy và trang bị cho em nhiều kiến thức bổ íchtrong suốt quá trình học tập tại trường vừa qua Đây là quãng thời gian vô cùng hữuích, đã giúp em trưởng thành lên rất nhiều khi chuẩn bị ra trường Là những hànhtrang rất quan trọng không thể thiếu trong công việc sau này

Ngoài ra, em xin gửi lời cảm ơn chân thành và sâu sắc TS Trần Cảnh Dươngđồng cảm ơn ThS Nguyễn Văn Hách đã luôn tận tình quan tâm, giúp đỡ, theo sát vàhướng dẫn em trong suốt quá trình làm đồ án vừa qua

Mặc dù đã cố gắng trong suốt quá trình thực tập và làm đồ án, nhưng do kinhnghiệm thực tế và trình độ chuyên môn chưa được nhiều nên em không tránh khỏinhững thiếu sót, em rất mong được sự chỉ bảo, góp ý chân thành từ các thầy, cô giáocùng tất cả các bạn

Em xin chân thành cảm ơn!

Hà Nội, ngày 06 tháng 06 năm 2016

Sinh viên thực hiện

Tên viết tắt Tên Tiếng Anh Tên Tiếng Việt

TCP Transmission Control Protocol Giao thức điều khiển truyền dẫn

DDOS Distributed Denial of Service Tấn công từ chối dịch vụ

DRDOS Distributed Reflection Denial

of Service

Tấn công từ chối dịch vụ phản xạnhiều vùng

ICMP Internet Control Message

Protocol

Giao thức dành cho các lỗi và cácthống kê

HTTP HyperText Transfer Protocol Giao thức truyền tải siêu văn bản

URL Uniform Resource Locator Định vị Tài nguyên thống nhất

Hình 1.2: Hình ảnh về hacker 6

Hình 2.1: Mô hình kiểu tấn công dạng Smurf 12

Hình 2.2: Cấu trúc bản tin IP header trong tấn công Smurf 13

Hình 2.3: Mô hình kiểu tấn công tràn ngập SYN 14

Hình 2.4: Các bước cơ bản chuẩn bị thực hiện tấn công DDoS 20

Hình 2.5: Sơ đồ tổng quan kiểu tấn công DDoS 21

Hình 2.6: Sơ đồ kiến trúc tấn công mạng kiểu Agent – Handler 22

Hình 2.7: Sơ đồ kiến trúc tấn công mạng kiểu IRC-Base 23

Hình 2.8: Sơ đồ mô tả kiểu tấn công DRDoS 24

Hình 3.1: Sơ đồ hệ thống mạng của nhà trường 33

Hình 3.2: Mô hình logic hệ thống webserver của trường 34

Hình 3.3: Mô hình căn bản của hệ thống cụm máy chủ đề xuất 39

Hình 3.4: Mô hình căn bản của hệ thống Clustering cho webserver 40

Hình 3.5: Mô hình logic hệ thống webserver của trường sau khi tách biệt DB 45

Hình 3.6: Mô hình triển khai hệ thống cân bằng tải 46

Hình 3.7: Download file sử dụng phần mềm IDM 47

Hình 3.8: Hình PfSense các liên kết WAN bị download 48

Hình 3.9: Công cụ web stress test kiểm tra sự cân bằng tải 48

LỜI CAM ĐOAN

LỜI CẢM ƠN

DANH MỤC CÁC TỪ VIẾT TẮT VÀ THUẬT NGỮ

DANH MỤC HÌNH ẢNH

LỜI MỞ ĐẦU

CHƯƠNG 1: TỔNG QUAN VỀ AN NINH MẠNG 1

1.1 Khái niệm mạng máy tính 1

1.2 Những ưu điểm, nhược điểm của mạng máy tính 2

1.3 Đặc trưng kỹ thuật của an ninh mạng 3

1.4 Một số kiểu tấn công mạng máy tính hiện nay 4

1.4.1 Tấn công bị động (Passive attack) 4

1.4.2 Tấn công rải rác (Distributed attack) 4

1.4.3 Tấn công nội bộ (Insider attack) 5

1.4.4 Tấn công mật khẩu (Password attack) 5

1.4.5 Tấn công từ chối dịch vụ (denial of service attack) 5

1.4.6 Tấn công phá mã khóa (Compromised-Key Attack) 6

1.4.7 Tấn công trực tiếp 7

1.4.8 Nghe trộm 8

1.4.9 Giả mạo địa chỉ 8

1.4.10 Vô hiệu các chức năng của hệ thống 8

1.4.11 Tấn công vào yếu tố con người 8

1.5 Các biện pháp phát hiện hệ thống bị tấn công 9

1.6 Kết luận chương 1 10

CHƯƠNG 2: TẤN CÔNG DOS/DDOS VÀ CÁC GIẢI PHÁP PHÒNG CHỐNG 11

2.1 Tấn công từ chối dịch vụ (DoS) 11

2.1.1 Khái niệm tấn công DoS 11

2.1.2 Mục đích của tấn công DoS 11

2.1.3 Dấu hiệu của tấn công DoS 12

2.2.1 Khái niệm tấn công DDoS 16

2.2.2 Tìm hiểu các đặc tính của tấn công DDoS 16

2.2.3 Khái niệm mạng Botnet 17

2.2.4 Quy trình của một cuộc tấn công DDoS 19

2.2.5 Phân loại các dạng tấn công DDoS hiện nay 21

2.2.6 Phân loại tấn công DDoS theo phương thức 25

2.2.7.Tìm hiểu các công cụ thực hiện tấn công DDoS 26

2.2.8 Tìm hiểu các cuộc tấn công DDoS nổi tiếng trong lịch sử 27

2.3 Phương pháp phòng chống tấn công DDoS 28

2.3.1 Phương pháp tối thiểu hóa lượng Agent 28

2.3.2 Phương pháp tìm và vô hiệu hóa các Handler 29

2.3.3 Phương pháp phát hiện sớm dấu hiệu của một cuộc tấn công 29

2.3.4 Phương pháp làm suy giàm hoặc dừng cuộc tấn công 30

2.3.5 Phương pháp chuyển hướng của cuộc tấn công 30

2.3.6 Giai đoạn sau tấn công 31

2.3.7 Xây dựng biện pháp giảm thiểu tấn công 31

2.4 Kết luận chương 2 32

CHƯƠNG 3: XÂY DỰNG GIẢI PHÁP PHÒNG CHỐNG TẤN CÔNG DDOS CHO WEBSITE TRƯỜNG ĐẠI HỌC TÀI NGUYÊN VÀ MÔI TRƯỜNG HÀ NỘI 33

3.1 Khảo sát hiện trạng mạng và máy chủ của trường Đại học Tài nguyên và Môi trường Hà Nội 33

3.1.1 Mô hình mạng của trường 33

3.1.2 Mô hình logic hệ thống trong vùng DMZ 34

3.1.3 Mô tả về webserver của Trường 34

3.2 Phân tích hiện trạng và đề xuất giải pháp chống tấn công DDoS cho Website trường Đại học Tài nguyên và Môi trường Hà Nội 35

3.2.1 Phân tích hiện trạng 35

3.2.2 Xác định yêu cầu về khả năng đáp ứng truy vấn hiện tại 36

3.3 Đề xuất giải pháp cân bằng tải cho hệ thống website 36

3.3.1 Giới thiệu chung cho hệ thống cân bằng tải website của trường 36

3.3.5 Đề xuất mô hình giải pháp 39

3.3.6 Lựa chọn giải pháp mã nguồn mở cho việc xây dựng hệ thống cân bằng tải (Pfsense) 41

3.3.7 Xây dựng hệ thống tách biệt Website và Database 45

3.4 Thử nghiệm và đánh giá giải pháp 45

3.4.1 Mục tiêu thử nghiệm 45

3.4.2 Dự kiến mô hình triển khai 46

3.4.3 Kịch bản tấn công 46

3.4.4 Đánh giá kết quả sau khi thử nghiệm 49

3.5 Kết luận chương 3 49 KẾT LUẬN

DANH MỤC CÁC TÀI LIỆU THAM KHẢO

PHỤ LỤC

tạo Đó cũng là lý do mà công nghệ ra đời và được mọi người quan tâm đến vậy.Ngành công nghệ thông tin giúp con người phát triển theo hướng hiện đại, truy cậpthông tin một cách nhanh nhất, giúp giao tiếp được với tất cả mọi người trên thếgiới.

Với sự phát triển mạnh mẽ của công nghệ thông tin và những ứng dụng của

nó trong hoạt động đời sống con người, Internet không còn là một thứ phương tiện

lạ lẫm mà nó trở thành công cụ làm việc, giải trí thông dụng và hữu ích của chúng ta

ở mọi lúc, mọi nơi

Sự bùng nổ dữ liệu đặt ra cho chúng ta những thách thức về việc làm thế nàolưu trữ và xử lý tất cả dữ liệu đó Chính vì thế có rất nhiều phần mềm cũng như cáctrang web được xây dựng nhằm quản lí các tài liệu một cách nhanh gọn không cầnthông qua giấy tờ.Các thông tin đều được lưu trữ một cách thuận tiện, giúp conngười trao đổi dễ dàng hơn.Lợi dụng được điểm yếu này mà có một số thành phầntấn công vào các trang web để ăn cắp thông tin hoặc phá hoại thông tin đó

Từ đó, chúng ta luôn thấy được tầm quan trọng của việc bảo mật các thông

tin Vì vậy mà em đã lựa chọn đề tài này làm đề tài tốt nghiệp Đề tài Nghiên cứu giải pháp an ninh trong quản trị mạng là một đề tài không phải mới, nhưng qua quá

trình nghiên cứu, tham khảo trong phạm vi đồ án em muốn tìm hiểu sâu hơn đểthuận lợi cho công việc sau này Quá trình có thể chưa hoàn thiện nhưng đó lànhững bước cố gắng đầu tiên của em Em mong nhận được những ý kiến đóng gópcủa các Thầy (Cô) để em có thể hoàn thiện hơn

Mục tiêu và nội dung của đề tài

Mục tiêu:

Đề tài được thực hiện nhằm mục đích tìm hiểu tổng quan về an ninh mạng,

ưu điểm, nhược điểm, một số phương pháp tấn công và cách phòng chống hiện

Chương 1: Tổng quan về an ninh mạng

Chương 2: Giải pháp bảo mật an ninh mạng

Chương 3: Phát triển ứng dụng cho giải pháp an ninh quản trị mạng

CHƯƠNG 1: TỔNG QUAN VỀ AN NINH MẠNG 1.1 Khái niệm mạng máy tính

Mạng máy tính hay hệ thống mạng là sự kết hợp các máy tính lại với nhauthông qua các thiết bị nối kết mạng và phương tiện truyền thông (giao thức mạng,môi trường truyền dẫn) theo một cấu trúc nào đó và các máy tính này trao đổi thôngtin qua lại với nhau

Hình 1.1: Mô hình mạng máy tính

Đường truyền là hệ thống các thiết bị truyền dẫn có dây hay không dây dùng

để chuyển các tín hiệu điện tử từ máy tính này đến máy tính khác Các tín hiệu điện

tử đó biểu thị các giá trị dữ liệu dưới dạng các xung nhị phân (on - off) Tất cả cáctín hiệu được truyền giữa các máy tính đều thuộc một dạng sóng điện từ Tùy theotần số của sóng điện từ có thể dùng các đường truyền vật lý khác nhau để truyền cáctín hiệu Ở đây đường truyền được kết nối có thể là dây cáp đồng trục, cáp xoắn,cáp quang, dây điện thoại, sóng vô tuyến Các đường truyền dữ liệu tạo nên cấu trúccủa mạng Hai khái niệm đường truyền và cấu trúc là những đặc trưng cơ bản củamạng máy tính

Với sự trao đổi qua lại giữa máy tính này với máy tính khác đã phân biệt

mạng máy tính với các hệ thống thu phát một chiều như truyền hình, phát thông tin

từ vệ tinh xuống các trạm thu thụ động vì tại đây chỉ có thông tin một chiều từ nơiphát đến nơi thu mà không quan tâm đến có bao nhiêu nơi thu, có thu tốt hay không

1.2 Những ưu điểm, nhược điểm của mạng máy tính

Khi kết nối mạng thì sẽ đem lại được ưu điểm như sau:

Tiết kiệm được tài nguyên phần cứng: như các bạn biết trong một số hệ thống

mạng thì các máy trạm không cần ổ cứng luôn(mạng Boot room), mỗi lần chạy thìload hệ điều hành trên máy chủ lôi về mà thôi Ngoài ra, còn có hệ thống mạng màcác máy con không cần dùng case, chỉ cần có màn hình chuột bàn phím là làm đượcluôn

Giảm được chi phí bản quyền phần mềm: khi kết nối mạng lại chúng ta có thể

sử dụng tính năng chia sẽ ứng dụng trên máy chủ server xuống cho các máy trạm,khi đó các máy trạm không cần cài phần mềm đó mà chỉ cần kết nối đến server đểchạy mà thôi Trong trường hợp này các bạn cũng phải bỏ tiền ra mua bản quyềnnhưng sẽ ít hơn so với ban đầu

Chia sẽ dữ liệu dễ dàng: có thể nói đây là một trong các lý do chính để kết nối

mạng, khi kết nối mạng thì mục đích chính có thể nói là dùng để chia sẽ dữ liệu chocác máy trong hệ thống mạng của mình

Tập trung dữ liệu, bảo mật và backup dễ dàng: nếu chúng ta không sử dụng

mạng thì dữ liệu sẽ được lưu trữ ở mỗi máy riêng biệt nhưng khi ta kết nối mạng thìchỉ cần lưu trữ trên server Các máy trạm mỗi lần muốn truy xuất dữ liệu thì kết nốilên server lấy về Khi tập trung như thế này thì việc backup và bảo mật cũng hiệuquả hơn

Chia sẻ internet: nếu nói lý do này là lý do chính dùng để kết nối mạng thì

không phải là quá đáng Các bạn hãy thử nghĩ xem 1 phòng Internet có 30 máy tínhchẳng lẽ phải đi thuê 30 đường truyền Internet; một cơ quan có 50 máy tính cũngchẳng lẽ phải đi thuê 50 đường truyền internet sao? Khi kết nối mạng chỉ cần 1đường truyền mà thôi đã giải quyết được tất cả

Bên cạnh những ưu điểm thì cũng có những hạn chế sau đây:

Dễ bị tê liệt toàn bộ hệ thống mạng: nếu hệ thống mạng bị tấn công thì rất dễ

làm tê liệt toàn bộ hệ thống mạng, các hacker tấn công vào các máy chủ để làm têliệt nó Khi các máy chủ bị tê liệt rồi thì lấy sức đâu nữa mà phục vụ cho các máytrạm

Trình độ người quản lý: khi kết nối hệ thống mạng cao đến đâu thì đòi hỏi

trình độ người quản lý cũng phải tương ứng đến đó, để có thể phục vụ cho việc thiết

kế, cài đặt và quản trị nó

Dễ bị lây lan virus: khi các bạn kết nối hệ thống mạng thì cũng đang tạo đất

sống rộng lớn cho virus

1.3 Đặc trưng kỹ thuật của an ninh mạng

Tính bảo mật (confidentiality): là đặc tính tin tức không bị tiết lộ cho các thực

thể hay quá trình không được ủy quyền biết hoặc không để cho các đối tượng xấulợi dụng Thông tin chỉ cho phép thực thể được ủy quyền sử dụng Kỹ thuật bảo mậtthường là phòng ngừa dò la thu thập, phòng ngừa bức xạ, tăng cường bảo mật thôngtin, bảo mật vật lý

Tính xác thực (authentication): kiểm tra tính hợp pháp của người sử dụng.

Một thực thể có thể là một người sử dụng, một chương trình máy tính, hoặc mộtthiết bị phần cứng Các hoạt độngkiểm tra tính xác thực được đánh giá là quan trọngnhất trong các hoạt động của một phương thức bảo mật Một hệ thống thông thườngphải thực hiện kiểm tra tính xác thực của một thực thể trước khi thực thể đó thựchiện kết nối với hệ thống

Tính không thể chối cãi (nonrepudiation):trong quá trình giao lưu tin tức trên

mạng, xác nhận tính chân thực đồng nhất của những thực thể tham gia, tức là tất cảcác thực thể tham gia không thể chối bỏ hoặc phủ nhận những thao tác và cam kết

đã được thực hiện

Tính toàn vẹn (integrity):là đặc tính khi thông tin trên mạng chưa được ủy

quyền thì không thể tiến hành được, tức là thông tin trên mạng khi đang lưu giữhoặc trong quá trình truyền dẫn đảm bảo không bị xóa bỏ, sửa đổi, giả mạo, làm dối

loạn trật tự, phát lại, xen vào một cách ngẫu nhiên hoặc cố ý và những sự phá hoạikhác Những yếu tố chủ yếu ảnh hưởng tới sự toàn vẹn thông tin trên mạng gồm: sự

cố thiết bị, sai mã, bị tác động của con người, virus máy tính

Tính khả dụng (availability): là đặc tính mà thông tin trên mạng được các

thực thể hợp pháp tiếp cận và sử dụng theo yêu cầu khi cần thiết bất cứ khi nào,trong hoàn cảnh nào Tính khả dụng nói chung dùng tỉ lệ giữa thời gian hệ thốngđược sử dụng bình thường với thời gian quá trình hoạt động để đánh giá

1.4 Một số kiểu tấn công mạng máy tính hiện nay

Đối với các cuộc tấn công bằng việc khai thác các lỗ hổng, yêu cầu cáchacker phải hiểu biết về các vấn đề bảo mật trên hệ điều hành hoặc các phần mềm

và tận dụng kiến thức này để khai thác các lỗ hổng Các mối đe dọa có thể bắtnguồn từ bên ngoài tổ chức hoặc từ bên trong

1.4.1 Tấn công bị động (Passive attack)

Trong một cuộc tấn công bị động, các hacker sẽ kiểm soát kết nối khôngđược mã hóa và tìm kiếm mật khẩu không được mã hóa (Clear Text password), cácthông tin nhạy cảm có thể được sử dụng trong các kiểu tấn công khác Các cuộc tấncông bị động bao gồm phân tích kết nối, giám sát các cuộc giao tiếp không đượcbảo vệ, giải mã các kết nối mã hóa yếu, và thu thập các thông tin xác thực như mậtkhẩu

Các cuộc tấn công chặn bắt thông tin hệ thống mạng cho phép kẻ tấn công cóthể xem xét các hành động tiếp theo Kết quả của các cuộc tấn công bị động là cácthông tin hoặc file dữ liệu sẽ bị rơi vào tay kẻ tấn công mà người dùng không hềhay biết

1.4.2 Tấn công rải rác (Distributed attack)

Đối với các cuộc tấn công rải rác yêu cầu kẻ tấn công phải giới thiệu mã,chẳng hạn như một chương trình Trojan horse hoặc một chương trình Back-door,với một thành phần "tin cậy" hoặc một phần mềm được phân phối cho nhiều công tykhác và tấn công người dùng bằng cách tập trung vào việc sửa đổi các phần mềmđộc hại của phần cứng hoặc phần mềm trong quá trình phân phối Các cuộc tấn

công giới thiệu mã độc hại chẳng hạn như Back door trên một sản phẩm nhằm mụcđích truy cập trái phép các thông tin hoặc truy cập trái phép các chức năng trên hệthống.

1.4.3 Tấn công nội bộ (Insider attack)

Các cuộc tấn công nội bộ (insider attack) liên quan đến người ở trong cuộc,chẳng hạn như một nhân viên nào đó "bất mãn" với công ty của mình,các cuộc tấncông hệ thống mạng nội bộ có thể gây hại hoặc vô hại

Người trong cuộc cố ý nghe trộm, ăn cắp hoặc phá hoại thông tin, sử dụngcác thông tin một cách gian lận hoặc truy cập trái phép các thông tin

1.4.4 Tấn công mật khẩu (Password attack)

Đối với các cuộc tấn công mật khẩu, các hacker sẽ cố gắng "phá" mật khẩuđược lưu trữ trên cơ sở dữ liệu tài khoản hệ thống mạng hoặc mật khẩu bảo vệ cáctập tin

Các cuộc tấn công mật khẩu bao gồm 3 loại chính: các cuộc tấn công dạng từđiển (dictionary attack), brute-force attack và hybrid attack

Cuộc tấn công dạng từ điển sử dụng danh sách các tập tin chứa các mật khẩutiềm năng

1.4.5 Tấn công từ chối dịch vụ (denial of service attack)

Tấn công từ chối dịch vụ là một loại hình tấn công nhằm ngăn chặn nhữngngười dùng hợp lệ được sử dụng một dịch vụ nào đó Các cuộc tấn công có thểđược thực hiện nhằm vào bất kì một thiết bị mạng nào bao gồm là tấn công vào cácthiết bị định tuyến, web, thư điện tử và hệ thống DNS

Nguyên lý thực hiện: với mạng máy tính không dây và mạng có dây khônggiống như các cuộc tấn công mật khẩu (Password attack), các cuộc tấn công từ chốidịch vụ (denial of service attack) ngăn chặn việc sử dụng máy tính của bạn hoặc hệthống mạng theo cách thông thường bằng người dùng hợp lệ

Tấn công từ chối dịch vụ có thể được thực hiện theo một số cách nhất định

Có năm kiểu tấn công cơ bản sau đây:

- Tấn công nhằm tiêu tốn tài nguyên tính toán như băng thông, dung lượng

đĩa cứng hoặc thời gian xử lý

- Tấn công phá vỡ các thông tin cấu hình như thông tin định tuyến.

- Tấn công phá vỡ các trạng thái thông tin như việc tự động reset lại các

phiên TCP

- Tấn công phá vỡ các thành phần vật lý của mạng máy tinh.

- Tấn công làm tắc nghẽn thông tin liên lạc có chủ đích giữa các người dùng

và nạn nhân dẫn đến việc liên lạc giữa hai bên không được thông suốt

Sau khi tấn công, truy cập hệ thống mạng của bạn, các hacker có thể:

- Chặn kết nối

- Gửi các dữ liệu không hợp lý tới các ứng dụng hoặc các dịch vụ mạng, dẫnđến việc thông báo chấm dứt hoặc các hành vi bất thường trên các ứng dụng hoặcdịch vụ này

- Lỗi tràn bộ nhớ đệm

1.4.6 Tấn công phá mã khóa (Compromised-Key Attack)

Mã khóa ở đây là mã bí mật hoặc các con số quan trọng để “giải mã” cácthông tin bảo mật Mặc dù rất khó để có thể tấn công phá một mã khóa, nhưng vớicác hacker thì điều này là có thể Sau khi các hacker có được một mã khóa, mã khóanày sẽ được gọi là mã khóa gây hại

Hacker sử dụng mã khóa gây hại này để giành quyền truy cập các thông tinliên lạc mà không cần phải gửi hoặc nhận các giao thức tấn công Với các mã khóagây hại, các hacker có thể giải mã hoặc sửa đổi dữ liệu

Hình 1.2: Hình ảnh về hacker

1.4.7 Tấn công trực tiếp

Những cuộc tấn công trực tiếp thông thường được sử dụng trong giai đoạnđầu để chiếm quyền truy nhập bên trong Một phương pháp tấn công cổ điển là dòtìm tên người sử dụng và mật khẩu Đây là phương pháp đơn giản, dễ thực hiện vàkhông đòi hỏi một điều kiện đặc biệt nào để bắt đầu Kẻ tấn công có thể sử dụngnhững thông tin như tên người dùng, ngày sinh, địa chỉ, số nhà để đoán mật khẩu.Trong trường hợp có được danh sách người sử dụng và những thông tin về môitrường làm việc, có một chương trình tự động hoá về việc dò tìm mật khẩu này

Một chương trình có thể dễ dàng lấy được từ Internet để giải các mật khẩu đã

mã hoá của hệ thống unix có tên là crack, có khả năng thử các tổ hợp các từ trongmột từ điển lớn, theo những quy tắc do người dùng tự định nghĩa Trong một sốtrường hợp, khả năng thành công của phương pháp này có thể lên tới 30%

Phương pháp sử dụng các lỗi của chương trình ứng dụng và bản thân hệ điềuhành đã được sử dụng từ những vụ tấn công đầu tiên và vẫn được tiếp tục để chiếmquyền truy nhập Trong một số trường hợp phương pháp này cho phép kẻ tấn công

có được quyền của người quản trị hệ thống (root hay administrator)

Hai ví dụ thường xuyên được đưa ra để minh hoạ cho phương pháp này là ví

dụ với chương trình sendmail và chương trình rlogin của hệ điều hành UNIX

Sendmail là một chương trình phức tạp, với mã nguồn bao gồm hàng ngàndòng lệnh của ngôn ngữ C Sendmail được chạy với quyền ưu tiên của người quảntrị hệ thống, do chương trình phải có quyền ghi vào hộp thư của những người sửdụng máy và Sendmail trực tiếp nhận các yêu cầu về thư tín trên mạng bên ngoài.Đây chính là những yếu tố làm cho Sendmail trở thành một nguồn cung cấp những

lỗ hổng về bảo mật để truy nhập hệ thống

Rlogin cho phép người sử dụng từ một máy trên mạng truy nhập từ xa vàomột máy khác sử dụng tài nguyên của máy này Trong quá trình nhận tên và mậtkhẩu của người sử dụng, rlogin không kiểm tra độ dài của dòng nhập, do đó kẻ tấncông có thể đưa vào một xâu đã được tính toán trước để ghi đè lên mã chương trìnhcủa rlogin, qua đó chiếm được quyền truy nhập

1.4.8 Nghe trộm

Việc nghe trộm thông tin trên mạng có thể đưa lại những thông tin có ích nhưtên, mật khẩu của người sử dụng, các thông tin mật chuyển qua mạng Việc nghetrộm thường được tiến hành ngay sau khi kẻ tấn công đã chiếm được quyền truynhập hệ thống, thông qua các chương trình cho phép đưa card giao tiếp mạng(Network Interface Card-NIC) vào chế độ nhận toàn bộ các thông tin lưu truyềntrên mạng Những thông tin này cũng có thể dễ dàng lấy được trên Internet

1.4.9 Giả mạo địa chỉ

Việc giả mạo địa chỉ IP có thể được thực hiện thông qua việc sử dụng khảnăng dẫn đường trực tiếp (source-routing) Với cách tấn công này, kẻ tấn công gửicác gói tin IP tới mạng bên trong với một địa chỉ IP giả mạo (thông thường là địachỉ của một mạng hoặc một máy được coi là an toàn đối với mạng bên trong), đồngthời chỉ rõ đường dẫn mà các gói tin IP phải gửi đi

1.4.10 Vô hiệu các chức năng của hệ thống

Đây là kiểu tấn công nhằm tê liệt hệ thống, không cho nó thực hiện chứcnăng mà nó thiết kế Kiểu tấn công này không thể ngăn chặn được, do nhữngphương tiện được tổ chức tấn công cũng chính là các phương tiện để làm việc vàtruy nhập thông tin trên mạng

Ví dụ sử dụng lệnh ping với tốc độ cao nhất có thể, buộc một hệ thống tiêuhao toàn bộ tốc độ tính toán và khả năng của mạng để trả lời các lệnh này, khôngcòn các tài nguyên để thực hiện những công việc có ích khác

1.4.11 Tấn công vào yếu tố con người

Kẻ tấn công có thể liên lạc với một người quản trị hệ thống, giả làm mộtngười sử dụng để yêu cầu thay đổi mật khẩu, thay đổi quyền truy nhập của mình đốivới hệ thống, hoặc thậm chí thay đổi một số cấu hình của hệ thống để thực hiện cácphương pháp tấn công khác

Với kiểu tấn công này không một thiết bị nào có thể ngăn chặn một cách hữuhiệu, và chỉ có một cách giáo dục người sử dụng mạng nội bộ về những yêu cầu bảomật để đề cao cảnh giác với những hiện tượng đáng nghi

Nói chung yếu tố con người là một điểm yếu trong bất kỳ một hệ thống bảo

vệ nào, và chỉ có sự giáo dục cộng với tinh thần hợp tác từ phía người sử dụng cóthể nâng cao được độ an toàn của hệ thống bảo vệ

1.5 Các biện pháp phát hiện hệ thống bị tấn công

Không có một hệ thống nào có thể đảm bảo an toàn tuyệt đối, mỗi một dịch

vụ đều có những lỗ hổng bảo mật tiềm tàng Người quản trị hệ thống không nhữngnghiên cứu, xác định các lỗ hổng bảo mật mà còn phải thực hiện các biện pháp kiểmtra hệ thống có dấu hiệu tấn công hay không Một số biện pháp cụ thể:

Kiểm tra các dấu hiệu hệ thống bị tấn công: hệ thống thường bị treo bằng

những thông báo lỗi không rõ ràng Khó xác định nguyên nhân do thiếu thông tinliên quan Trước tiên, xác định các nguyên nhân có phải phần cứng hay không, nếukhông phải thì khả năng máy tính bị tấn công

Kiểm tra các tài khoản người dùngmới lạ, nhất là với các tài khoản có ID bằng không.

Kiểm tra sự xuất hiện của các tập tin lạ: người quản trị hệ thống nên có thói

quen đặt tên tập theo mẫu nhất định để dễ dàng phát hiện tập tin lạ

Kiểm tra thời gian thay đổi trên hệ thống.

Kiểm tra hiệu năng của hệ thống: sử dụng các tiện ích theo dõi tài nguyên và

các tiến trình đang hoạt động trên hệ thống

Kiểm tra hoạt động của các dịch vụ hệ thống cung cấp.

Kiểm tra truy nhập hệ thống bằng các tài khoản thông thường: đề phòng

trường hợp các tài khoản này bị truy nhập trái phép và thay đổi quyền hạn mà người

sử dụng hợp pháp không kiểm soát được

Kiểm tra các file liên quan đến cấu hình mạng và dịch vụ: bỏ các dịch vụ

không cần thiết

Kiểm tra các phiên bản của sendmail, /bin/mail, ftp, … tham gia các nhóm tin

về bảo mật để có thông tin về lỗ hổng của dịch vụ sử dụng.

2.1 Tấn công từ chối dịch vụ (DoS)

2.1.1 Khái niệm tấn công DoS

Tấn công từ chối dịch vụ DoS là dạng tấn công nhằm ngăn chặn người dùnghợp pháp truy nhập các tài nguyên mạng Tấn công DoS đã xuất hiện từ khá sớm,vào đầu những năm 80 của thế kỷ trước

Tấn công DoS là kiểu tấn công vô cùng nguy hiểm, để hiểu được nó ta cầnphải nắm rõ định nghĩa của tấn công DoS và các dạng tấn công DoS

Tấn công DoS là một kiểu tấn công mà một người làm cho một hệ thốngkhông thể sử dụng, hoặc làm cho hệ thống đó chậm đi một cách đáng kể với ngườidùng bình thường, bằng cách làm quá tải tài nguyên của hệ thống

Nếu kẻ tấn công không có khả năng thâm nhập được vào hệ thống, thì chúng

cố gắng tìm cách làm cho hệ thống đó sụp đổ và không có khả năng phục vụ ngườidùng bình thường đó là tấn công DoS

Mặc dù tấn công DoS không có khả năng truy cập vào dữ liệu thực của hệthống nhưng nó có thể làm gián đoạn các dịch vụ mà hệ thống đó cung cấp Nhưđịnh nghĩa trên DoS khi tấn công vào một hệ thống sẽ khai thác những cái yếu nhấtcủa hệ thống để tấn công

2.1.2 Mục đích của tấn công DoS

Cố gắng chiếm băng thông mạng và làm hệ thống mạng bị ngập (flood), khi

đó hệ thống mạng sẽ không có khả năng đáp ứng những dịch vụ khác cho ngườidùng bình thường

Cố gắng làm ngắt kết nối giữa hai máy, ngăn chặn quá trình truy cập vào dịchvụ

Cố gắng ngăn chặn những người dùng cụ thể vào một dịch vụ nào đó

Cố gắng ngăn chặn các dịch vụ không cho người khác có khả năng truy cậpvào

Khi tấn công DoS xảy ra người dùng có cảm giác khi truy cập vào dịch vụ đónhư bị:

- Disable Network - Tắt mạng

- Disable Organization - Tổ chức không hoạt động

- Financial Loss – Tài chính bị mất

2.1.3 Dấu hiệu của tấn công DoS

- Thông thường thì hiệu suất mạng sẽ rất chậm

- Không thể sử dụng website

- Không truy cập được bất kỳ website nào

- Tăng lượng thư rác nhanh chóng

2.1.4 Các dạng tấn công DoS

Bao gồm một số dạng tấn công như: Smurf, Buffer Overflow Attack, Ping ofDeath, Teardrop, SYN Attack

Tấn công kiểu Smurf

Là thủ phạm sinh ra cực nhiều giao tiếp ICMP (ping) tới địa chỉ Broadcastcủa nhiều mạng với địa chỉ nguồn là mục tiêu cần tấn công, theo mô tả hình sau:

Hình 2.1: Mô hình kiểu tấn công dạng Smurf

Kết quả đích tấn công sẽ phải chịu nhận một đợt Reply gói ICMP cực lớn vàlàm cho mạng chậm lại không có khả năng đáp ứng các dịch vụ khác Quá trình nàyđược khuyếch đại khi có luồng ping reply từ một mạng được kết nối với nhau(mạng BOT) Cấu trúc của bản tin IP header trong tấn công Smurf Cấu trúc bản tin

IP header trong tấn công Smurf được mô tả như hình sau:

Hình 2.2: Cấu trúc bản tin IP header trong tấn công Smurf

Tấn công kiểu Buffer Overflow Attack

Buffer Overflow xảy ra tại bất kỳ thời điểm nào có chương trình ghi lượngthông tin lớn hơn dung lượng của bộ nhớ đệm trong bộ nhớ

Kẻ tấn công có thể ghi đè lên dữ liệu và điều khiển chạy các chương trình vàđánh cắp quyền điều khiển của một số chương trình nhằm thực thi các đoạn mãnguy hiểm

Quá trình gửi một bức thư điện tử mà file đính kèm dài quá 256 ký tự có thể

sẽ xảy ra quá trình tràn bộ nhớ đệm

Tấn công kiểu Ping of Death

Kẻ tấn công gửi những gói tin IP lớn hơn số lượng bytes cho phép của tin IP

là 65.536 bytes

Quá trình chia nhỏ gói tin IP thành những phần nhỏ được thực hiện ở tầng 2(dữ liệu) Quá trình chia nhỏ có thể thực hiện với gói IP lớn hơn 65.536 bytes.Nhưng hệ điều hành không thể nhận biết được độ lớn của gói tin này và sẽ bị khởi

động lại, hay đơn giản là sẽ bị gián đoạn giao tiếp Để nhận biết kẻ tấn công gửi góitin lớn hơn gói tin cho phép thì tương đối dễ dàng.

Tấn công kiểu Teardrop

Gói tin IP rất lớn khi đến Router sẽ bị chia nhỏ làm nhiều phần nhỏ Kẻ tấncông sử dụng sử dụng gói IP với các thông số rất khó hiểu để chia ra các phần nhỏ(fragment)

Nếu hệ điều hành nhận được các gói tin đã được chia nhỏ và không hiểuđược, hệ thống cố gắng xác lập lại gói tin và điều đó chiếm một phần tài nguyên hệthống, nếu quá trình đó liên tục xảy ra hệ thống không còn tài nguyên cho các ứngdụng khác, phục vụ các user khác

Tấn công kiểu SYN

Đây là kiểu tấn công mà kẻ tấn công lợi dụng quá trình giao tiếp của TCPtheo Three-way Trong đó TCP hỗ trợ truyền nhận với độ tin cậy cao nên sử dụngphương thức bắt tay giữa bên gửi và bên nhận trước khi truyền dữ liệu Bước đầutiên, bên gửi gửi một SYN REQUEST packet (Synchronize) Bên nhận nếu nhậnđược SYN REQUEST sẽ trả lời bằng SYN/ACK REPLY packet Bước cuối cùng,bên gửi sẽ truyền packet cuối cùng ACK và bắt đầu truyền dữ liệu Mô hình kiểutấn công SYN được mô tả như hình sau:

Hình 2.3: Mô hình kiểu tấn công tràn ngập SYN

Nếu bên server đã trả lời một yêu cầu SYN bằng một SYN/ACK REPLYnhưng không nhận được ACK packet cuối cùng sau một khoảng thời gian quy địnhthì nó sẽ resend lại SYN/ACK REPLY cho đến khi hết thời gian Toàn bộ tàinguyên hệ thống “dự trữ” để xử lý phiên giao tiếp nếu nhận được ACK packet cuốicùng sẽ bị “phong tỏa” cho đến hết khi thời gian.

Nắm được điểm yếu này, người tấn công gửi một SYN packet đến nạn nhânvới địa chỉ bên gửi là giả mạo, kết quả là nạn nhân gửi SYN/ACK REPLY đến mộtđịa chỉ khác và sẽ không bao giờ nhận được ACK packet cuối cùng, cho đến hếtthời gian timeout nạn nhân mới nhận ra được điều này và giải phóng các tài nguyên

hệ thống Tuy nhiên, nếu lượng SYN packet giả mạo đến với số lượng nhiều và dồndập, hệ thống của nạn nhân có thể bị hết tài nguyên

2.1.5 Cách phòng chống tấn công DoS

- Thiết lập password bảo vệ các thiết bị hay các nguồn tài nguyên quan trọng

- Thiết lập các mức xác thực đối với người dùng cũng như các nguồn tin trênmạng (các thông tin cập nhật định tuyến giữa các router cũng nên thiết lập ở chế độxác thực)

- Xây dựng hệ thống lọc thông tin trên router, firewall… và hệ thống bảo vệchống lại SYN flood

- Chỉ chấp nhận các dịch vụ cần thiết, tạm thời dừng các dịch vụ chưa có yêucầu cung cấp hoặc không sử dụng

- Xây dựng hệ thống định mức, giới hạn cho người sử dụng để ngăn ngừatrường hợp người dùng có ác ý muốn lợi dụng các tài nguyên trên server để tấncông chính server hay mạng, server khác

- Liên tục cập nhật, nghiên cứu, kiểm tra để phát hiện các lỗ hổng bảo mật và

có biện pháp khắc phục kịp thời

- Sử dụng các biện pháp kiểm tra hoạt động của hệ thống một cách liên tục đểphát hiện ngay những hành động bất bình thường

- Xây dựng hệ thống dự phòng

2.2 Tấn công DDoS

2.2.1 Khái niệm tấn công DDoS

Tấn công từ chối dịch vụ phân tán DDoS là một dạng phát triển ở mức độ caocủa tấn công DoS được phát hiện lần đầu tiên vào năm 1999

Khác biệt cơ bản của tấn công DoS và DDoS là phạm vi tấn công Trong khilưu lượng tấn công DoS thường phát sinh từ một hoặc một số ít host nguồn, lưulượng tấn công DDoS thường phát sinh từ rất nhiều host nằm rải rác trên mạngInternet

Tấn công từ chối dịch vụ phân tán (DDoS) là sự cố gắng làm cho tài nguyêncủa máy tính không thể sử dụng được nhằm vào những người dùng của nó Mặc dùphương tiện để tiến hành, động cơ, mục tiêu của tấn công từ chối dịch vụ là khácnhau Nhưng nói chung, nó gồm có sự phối hợp, sự cố gắng ác ý của một người haynhiều người để chống lại hoạt động của dịch vụ Web một cách cục bộ hoặc kéo dài.Như vậy, tấn công từ chối dịch vụ phân tán (DDoS) là kiểu tấn công làm cho

hệ thống máy tính hay hệ thống mạng quá tải, không thể cung cấp dịch vụ hoặc phảidừng hoạt động Trong các cuộc tấn công DDoS, máy chủ dịch vụ sẽ bị ngập bởihàng loạt các lệnh truy cập từ lượng kết nối khổng lồ Khi số lệnh truy cập quá lớn,máy chủ sẽ quá tải và không còn khả năng xử lý các yêu cầu Hậu quả là ngườidùng không thể truy cập vào các dịch vụ trên các trang website bị tấn công DDoS

2.2.2 Tìm hiểu các đặc tính của tấn công DDoS.

- Nó được tấn công từ một hệ thống các máy tính cực lớn trên Internet, vàthường dựa vào các dịch vụ có sẵn trên các máy tính trong mạng Botnet

- Các dịch vụ tấn công được điều khiển từ những "nạn nhân chính" trong khicác máy tính bị chiếm quyền sử dụng trong mạng Bot được sử dụng để tấn côngthường được gọi là "nạn nhân thứ cấp"

- Là dạng tấn công rất khó có thể phát hiện bởi tấn công này được sinh ra từnhiều địa chỉ IP trên Internet

- Nếu một địa chỉ IP tấn công một công ty, nó có thể được chặn bởi Firewall.Nếu nó từ 30.000 địa chỉ IP khác, thì điều này là vô cùng khó khăn.

- Thủ phạm có thể gây nhiều ảnh hưởng bởi tấn công từ chối dịch vụ DoS, vàđiều này càng nguy hiểm hơn khi chúng sử dụng một hệ thống mạng Bot trêninternet thực hiện tấn công DoS và đó được gọi là tấn công DDoS

2.2.3 Khái niệm mạng Botnet

Botnet là các mạng máy tính được tạo lập từ các máy tính mà hacker có thểđiều khiển từ xa Các máy tính trong mạng botnetlà máy đã bị nhiễm phần mềm độchại và bị hacker điều khiển Một mạng botnet có thể có tới hàng trăm ngàn, thậmchí là hàng triệu máy tính

- Đặc trưng của mạng Botnet

Đầu tiên, Botnet là một hệ thống Hệ thống này có thể giao tiếp với nhau, cácBot cấp thấp báo cáo kết quả quét hệ thống đã thực hiện được đến trung tâm chỉhuy, cũng như tiếp nhận mệnh lệnh và cập nhật Vì vậy khi phân tích Botnet, cácnhà nghiên cứu không chỉ cần tìm ra các chương trình độc hại mà còn phải tìm được

hệ thống của chính những kẻ tấn công

Thứ hai, các máy tính tham gia vào một Botnet khi đã bị xâm nhập Máy tính

có thể bị xâm nhập bằng nhiều cách khác nhau, ví dụ, thông qua lỗ hổng của ứngdụng hay hệ điều hành, khai thác các đoạn mã tự động, phần mềm độc hại dựa trênnền website (lừa đảo, tải về miễn phí)

Thứ ba, Bot có thể được điều khiển từ xa Bot báo cáo kết quả và nhận mệnhlệnh từ hệ thống chỉ huy và điều khiển (C&C) Do đó, kẻ tấn công có thể tận dụngkhả năng của hầu hết các máy tính bị nhiễm trong Botnet Hệ thống điều khiểnBotnet có thể tập trung hoặc phân cấp

- Mục đích của mạng Botnet

Botnet không hơn gì một công cụ, có nhiều động cơ khác nhau để sử dụngchúng Chúng được sử dụng phổ biến nhất với mục đích phá hoại và tài chính.Botnet có thể làm bất kỳ điều gì mà chúng ta có thể tưởng tượng làm được với một

tập hợp các máy tính đã kết nối mạng Khả năng sử dụng các máy tính bị chiếmquyền điều khiển chỉ phụ thuộc vào trí tưởng tượng và kỹ năng của kẻ tấn công Dựa trên các dữ liệu đã biết, những khả năng sử dụng Botnet phổ biến có thểđược phân loại như liệt kê dưới đây: lây nhiễm sang máy tính khác, tấn công từ chốidịch vụ phân tán, tấn công tràn ngập (Flooding attacks), tải về cài đặt, gửi thư rác vàEmail lừa đảo, lưu trữ và phân phối dữ liệu bất hợp pháp, khai thác dữ liệu, thao tácvới thăm dò bầu cử/ các cuộc thi trực tuyến.

- Phân loại mạng Botnet

+ Dạng Agobot/Phatbot/Forbot/XtremBot: Đây là những bot được viết bằng

C++ trên nền tảng Cross-platform và mã nguồn được tìm trên GPL Agobot có khảnăng sử dụng NTFS Alternate Data Stream (ADS) và như một loại Rootkit nhằm ẩncác tiến trình đang chạy trên hệ thống

+ Dạng SDBot/Rbot/UrBot/UrXbot: SDBot được viết bằng ngồn ngữ C và

cũng được public bởi GPL Nó được coi như là tiền thân của Rbot, RxBot, UrBot,UrXBot, JrBot

+ Dạng mIRC-Based Bots – GT-Bots: GT được viết tắt bởi hai từ Global

Threat, tên thường được sử dụng cho tất cả các mIRC-scripted bots Nó có khả năng

sử dụng phần mềm IM là mIRC để thiết lập một số script và một số đoạn mã khác

- Phân tích các bước xây dựng mạng Botnet

Cách tạo ra một mạng Bot và dùng mạng Bot này tấn công vào một đích nào

đó của mạng Botnet được tạo ra từ Agobot’s

Bước 1: Cách lây nhiễm vào máy tính.

Đầu tiên kẻ tấn công lừa cho người dùng chạy file "chess.exe", một Agobotthường sao chép chúng vào hệ thống và sẽ thêm các thông số trong Registry để đảmbảo sẽ chạy cùng với hệ thống khi khởi động Trong Registry có các vị trí cho cácứng dụng chạy lúc khởi động tại

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

Bước 2: Cách lây lan và xây dựng tạo mạng BOTNET

Sau khi trong hệ thống mạng có một máy tính bị nhiễm Agobot, nó sẽ tự độngtìm kiếm các máy tính khác trong hệ thống và lây nhiễm sử dụng các lỗ hổng trongtài nguyên được chia sẻ trong hệ thống mạng.

Chúng thường cố gắng kết nối tới các dữ liệu chia sẻ mặc định dành cho cácứng dụng quản trị (administrator or administrative), ví dụ như: C$, D$, E$ và print$bằng cách đoán tên người dùng và mật khẩu để có thể truy cập được vào một hệthống khác và lây nhiễm Agobot có thể lây lan rất nhanh bởi chúng có khả năng tậndụng các điểm yếu trong hệ điều hành Windows, hay các ứng dụng, các dịch vụchạy trên hệ thống

Bước 3: Kết nối vào IRC

Bước tiếp theo của Agobot sẽ tạo ra một IRC-Controlled Backdoor để mở cácyếu tố cần thiết, và kết nối tới mạng Botnet thông qua IRC-Controll, sau khi kết nối

nó sẽ mở những dịch vụ cần thiết để khi có yêu cầu chúng sẽ được điều khiển bởi kẻtấn công thông qua kênh giao tiếp IRC

Bước 4: Điều khiển tấn công từ mạng BotNet

Kẻ tấn công điều khiển các máy trong mạng Agobot download những file exe

về chạy trên máy như:

+ Lấy toàn bộ thông tin liên quan và cần thiết trên hệ thống mà kẻ tấn côngmuốn

+ Chạy những file khác trên hệ thống đáp ứng yêu cầu của kẻ tấn công

+ Chạy những chương trình DDoS tấn công hệ thống khác

2.2.4 Quy trình của một cuộc tấn công DDoS

Trong một cuộc tấn công DoS, đầu tiên kẻ tấn công gây tổn hại, chiếm quyềnđiều khiển một số trong hàng trăm triệu máy chủ dễ bị tổn thương trên thế giới quaInternet, sau đó điều khiển những máy chủ bị chiếm tấn công ứng dụng bằng cáchgửi lưu lượng tấn công đến các ứng dụng theo mức cơ sở hạ tầng hoặc mức ứngdụng

Trong trường hợp của các cuộc tấn công DDoS thì máy chủ gửi gói tin điềukhiển tới các máy bị nhiễm trước đó, hướng dẫn chúng tấn công một mục tiêu cụ

Lựa chọn các máy tính trung gianQuá trình làm tổn thương

Sự liên lạc, kết nốiThực hiện tấn công

thể (máy nạn nhân) Những máy nhiễm tạo ra và sử dụng địa chỉ nguồn giả mạohoặc ngẫu nhiên gửi lượng lớn thông báo tới máy nạn nhân, để nạn nhân không thểxác định được kẻ tấn công Các bước cơ bản trong việc chuẩn bị và tiến hành mộtcuộc tấn công DDoS được mô tả dưới hình sau:

Hình 2.4: Các bước cơ bản chuẩn bị thực hiện tấn công DDoS

- Lựa chọn máy tính trung gian:kẻ tấn công chọn các máy tính trung gian để

thực hiện tấn công Đó là những máy tính có một số lỗ hổng (để kẻ tấn công có thể

sử dụng để truy cập tới) và có nguồn tài nguyên phong phú (cho phép tạo nhữngluồng tấn công mạnh) Quá trình này hiện nay được thực hiện tự động, sử dụng cáccông cụ quét

- Quá trình làm tổn thương: kẻ tấn công khai thác các lỗ hổng bảo mật, các lỗ

hổng của các máy tính trung gian và cài đặt mã tấn công vào đó với những nỗ lựcbảo vệ đoạn mã khỏi bị phát hiện và vô hiệu hóa Các công cụ tự lây nhiễm như sâuRamen và Code Red tự động làm công đoạn này Chủ sở hữu, người dùng các máytính trung gian không nhận thức được hệ thống của họ đã bị xâm nhập và sẽ thamgia vào trong một tấn công DDoS Khi tham gia vào một cuộc tấn công DDoS, mỗichương trình tại máy trung gian chỉ sử dụng lượng nhỏ tài nguyên (bộ nhớ và băngthông), để những người dùng thấy thay đổi tối thiểu trong hoạt động

- Sự liên lạc, kết nối: Kẻ tấn công liên lạc với một vài kẻ điều khiển bất kỳ

nào đó để xác định trung gian đang chạy nhằm lập lịch tấn công, hoặc lên kế hoạch

DDoS attack

Client – Handler

Communication

Secret/private channel Public channel

Client – Handler Communication

nâng cấp cho các kẻ trung gian này Tùy vào việc cấu trúc mạng lưới tấn côngDDoS, các kẻ trung gian có thể được hướng dẫn liên lạc với một hoặc nhiều kẻ điềukhiển Việc liên lạc giữa kẻ tấn công điều khiển và trung gian có thể thực hiện quaTCP, UDP hoặc giao thức ICMP

- Tấn công: trong bước này, kẻ tấn công ra lệnh bắt đầu một cuộc tấn công.

Có thể điều chỉnh các nạn nhân, thời gian tấn công, cũng như các đặc điểm riêngcủa mỗi một cuộc tấn công (loại, chiều dài, số thứ tự cổng mạng ) Sự điều chỉnh,thay đổi lớn trong các thuộc tính của các gói tin tấn công tạo điều kiện thuận lợi đốivới kẻ tấn công, xét từ góc độ tránh bị phát hiện Giả mạo IP thường được sử dụngnhiều nhất để che dấu địa chỉ nguồn, loại gói tin, các trường header (trừ địa chỉ IPđích) Cũng có thể thay đổi kênh liên lạc trong suốt cuộc tấn công

2.2.5 Phân loại các dạng tấn công DDoS hiện nay.

- Kiến trúc tổng quan của tấn công DDoS

Tấn công DDoS có hai mô hình chính: mô hình Agent – Handler và mô hìnhIRC – Based Sơ đồ tổng quan tấn công DDoS được mô tả như hình sau:

Hình 2.5: Sơ đồ tổng quan kiểu tấn công DDoS

- Mô hình Agent - Handler

Theo mô hình tấn công kiểu này gồm 3 thành phần:

Client: là phần mềm, mã độc, và là cơ sở để kẻ tấn công điều khiển mọi hoạt

động của hệ thống tấn công mạng

Attacker Attacker

Victim

Handler: là một thành phần phần mềm trung gian giữa Agent và Client Agent: là thành phần thực hiện sự tấn công trực tiếp mục tiêu, nhận điều khiển

từ Client thông qua các Handler

Sơ đồ kiến trúc tấn công mạng kiểu Agent – Handler được mô tả như sau:

Hình 2.6: Sơ đồ kiến trúc tấn công mạng kiểu Agent – Handler

Như vậy, thông thường người tấn công (Attacker) sẽ đặt các phần mềmHandler trên một Router hay một Server có lượng lưu thông nhiều Việc này nhằmlàm cho các giao tiếp giữa Client, Handler và Agent khó bị phát hiện và sử dụng cácgiao thức TCP, UDP hay ICMP để thực hiện Các Agent thông thường không hềbiết mình bị lợi dụng vào cuộc tấn công kiểu DDoS, do các chương trình BackdoorAgent chỉ sử dụng rất ít tài nguyên hệ thống làm cho hầu như không thể thấy ảnhhưởng gì đến hiệu năng của hệ thống

- Mô hình IRC – Based

Mô hình Internet Relay Chat (IRC) là một hệ thống online chat multiuser,IRC cho phép User tạo một kết nối đến multipoint đến nhiều user khác và chat thờigian thực Kiến trúc của IRC network bao gồm nhiều IRC server trên khắp internet,giao tiếp với nhau trên nhiều kênh (channel) IRC network cho phép user tạo ba loạichannel: public, private và serect

Attacker Attacker

Victim

IRC NETWORK

Public channel: cho phép user của channel đó thấy IRC name và nhận được

message của mọi user khác trên cùng channel

Private channel: được thiết kế để giao tiếp với các đối tượng cho phép.

Không cho phép các user không cùng channel thấy IRC name và message trênchannel Tuy nhiên, nếu user ngoài channel dùng một số lệnh channel locator thì cóthể biết được sự tồn tại của private channel đó

Secrect channel: tương tự private channel nhưng không thể xác định bằng

channel locator

Sơ đồ kiến trúc tấn công mạng kiểu IRC – Base được mô tả:

Hình 2.7: Sơ đồ kiến trúc tấn công mạng kiểu IRC-Base

IRC – Based network cũng tương tự như Agent – Handler nhưng mô hìnhnày sử dụng các kênh giao tiếp IRC làm phương tiện giao tiếp giữa Client và Agent(không sử dụng Handler) IRC cũng là một môi trường chỉa sẻ tệp tại điều kiện pháttán các Agent code lên nhiều máy khác Kẻ tấn công sử dụng các mạng IRC để điềukhiển, khuyếch đại và quản lý kết nối với các máy tính trong mạng Botnet

- Tấn công từ chối dịch vụ phản xạ nhiều vùng DRDoS

Tấn công từ chối dịch vụ phản xạ nhiều vùng DRDoS (Distributed ReflectionDenial of Service)là kiểu tấn công mới nhất, mạnh nhất trong họ DoS Nếu được

thực hiện bởi kẻ tấn công có tay nghề thì có thể hạ gục bất cứ hệ thống phút chốc.DRDoS được biết đến từ năm 2002.

Mục tiêu chính của DRDoS là chiếm đoạt toàn bộ băng thông của máy chủ,tức là làm tắc ngẽn hoàn toàn đường kết nối từ máy chủ vào xương sống củaInternet và tiêu hao tài nguyên máy chủ Trong suốt quá trình máy chủ bị tấn côngbằng DRDoS, không một máy khách nào có thể kết nối được vào máy chủ đó Tất

cả các dịch vụ chạy trên nền TCP/IP như DNS, HTTP, FTP, POP3, đều bị vôhiệu hóa

Về cơ bản, DRDoS là sự phối hợp giữa hai kiểu DoS và DDoS Nó có kiểutấn công SYN với một máy tính đơn, vừa có sự kết hợp giữa nhiều máy tính đểchiếm dụng băng thông như kiểu DDoS Kẻ tấn công thực hiện bằng cách giả mạođịa chỉ của server mục tiêu rồi gửi yêu cầu SYN đến các server lớn nhưYahoo,Micorosoft, … để các server này gửi các gói tin SYN/ACK đến server mụctiêu Các server lớn, đường truyền mạnh đã vô tình đóng vai trò zoombies cho kẻtấn công như trong DDoS Sơ đồ mô tả kiểu tấn công DRDoS:

Hình 2.8: Sơ đồ mô tả kiểu tấn công DRDoS

Quá trình gửi cứ lặp lại liên tục với nhiều địa chỉ IP giả từ kẻ tấn công, vớinhiều server lớn tham gia nên server mục tiêu nhanh chóng bị quá tải, bandwidth bịchiếm dụng bởi server lớn Tính nghệ thuật là ở chổ chỉ cần với một máy tính vớimodem 56kbps, một hacker lành nghề có thể đánh bại bất cứ máy chủ nào tronggiây lát mà không cần chiếm đoạt bất cứ máy nào để làm phương tiện thực hiện tấncông.

2.2.6 Phân loại tấn công DDoS theo phương thức

- Tấn công vào băng thông mạng

Trong phương pháp này kẻ tấn công điều khiển mạng lưới Agent đồng loạtgửi các gói tin ICMP hay UDP đến nạn nhân làm cho băng thông mạng của nạnnhân bị quá tải và không thể phục vụ được Ví dụ như trong trường hợp ICMPflood, nạn nhân sẽ phải gửi trả lại các gói tin ICMP_REPLY tương ứng Do sốlượng của Agent gửi đến nạn nhân rất lớn nên việc gửi lại các gói ICMP_REPLYdẫn đến nghẽn mạng Trong trường hợp UDP flood cũng tương tự

Phương pháp tấn công này đặc biệt nguy hiểm do không những băng thôngmạng của nạn nhân bị quá tải mà còn ảnh hưởng đến các mạng lân cận Hiện nay,với sự phát triển của các công cụ DDoS, hầu hết đều hỗ trợ giả mạo địa chỉ IP

- Tấn công vào giao thức

Điển hình của phương pháp tấn công này là TCP SYN flood Kẻ tấn công lợidụng quá trình bắt tay 3 bước trong giao thức TCP Kẻ tấn công liên tục khởi tạo kếtnối TCP Nạn nhân sẽ tiến hành gửi lại trả lời với SYN và ACK để chờ ACK từphía máy khách Tuy nhiên, kẻ tấn công sẽ không gửi ACK đến nạn nhân hay nóicách khác là sẽ không làm gì cả như quá trình bắt tay 3 bước Cứ như vậy, nạn nhân

sẽ tốn nhiều tài nguyên và bộ nhớ để chờ các phiên TCP Do vậy nạn nhân sẽ khôngthể phục vụ được do tốn bộ nhớ để chờ các kết nối ảo do kẻ tấn công khởi tạo

- Tấn công bằng những gói tin khác thường

Trong phương pháp này, kẻ tấn công dựa vào các điểm yếu của giao thứcmạng Ví dụ khi tấn công Ping of Death Kẻ tấn công sẽ gửi một số gói tin ICMP có

kích thước lớn hơn kích thước giới hạn Gói tin sẽ bị chia nhỏ, khi nạn nhân ghéplại nhận thấy rằng là gói tin quá lớn để xử lý Kết quả là, hệ thống không thể xử lýđược tình trạng bất thường này và sẽ bị treo Một trường hợp khác như tấn công LanAttack Kẻ tấn công sẽ gửi các gói tin TCP SYN có địa chỉ nguồn, địa chỉ đích và sốcổng giống nhau Nạn nhân sẽ liên tục khởi tạo và kết nối với chính nó Do vậy hệthống sẽ bị treo hoặc bị chậm lại.

- Tấn công qua phần mềm trung gian

Trong phương pháp tấn công này, kẻ tấn công sẽ sử dụng một phần mềm hợp

lệ trên máy nạn nhân Khai thác một số thuật toán và tiến hành đưa tham số trongtrường hợp xấu nhất Do vậy, máy nạn nhân sẽ phải xử lý quá trình này và có thể bịtreo Đây là phương pháp tấn công khá đơn giản nhưng lại có hiệu quả rất cao.Nhưng nguy hiểm hơn cả là kẻ tấn công đã đột nhập được vào máy nạn nhân để cóthể ăn cắp các thông tin cá nhân của nạn nhân

2.2.7 Tìm hiểu các công cụ thực hiện tấn công DDoS

- Trinoo

Trinoo cho phép kẻ tấn công kiểm soát một số máy để yêu cầu gửi đồng loạtcác gói tin UDP làm tê liệt mục tiêu Master Trinoo có thể điều khiển các deamontrinoo như:

+ Đồng loạt gửi các gói tin UDP

+ Dừng việc gửi gói tin

+ Thay đổi cấu hình của các deamon trinoo

- Tribe Flood Network (TFN)

TFN là công cụ tấn công vào băng thông TFN hỗ trợ tấn công các kỹ thuậtICMP flood, UDP flood, TCP SYN flood Hiên tại, TFN hỗ trợ việc giả mạo địa chỉ

IP Hoạt động hầu hết trên các hệ điều hành DDos

- Stacheldraht

Là một dạng khác của TFN nhưng có khả năng tự động update trên các Agent

- Shaft

Shaft chính là biến thể của Trinoo Hỗ trợ nhiều loại tấn công như ICMP,UDP, TCP flood Shaft còn hỗ trợ tấn công nhiều kỹ thuật cùng lúc Vì vậy, việcngăn chặn shaft cũng sẽ trở nên rất khó khăn Và đặc biệt Shaft còn cho biết cácthông số như là mức độ thiệt hại của nạn nhân để điều khiển các Agent.

- Kaiten

Kaiten chính là biến thể của Knight Kaiten hỗ trợ các kỹ thuật tấn công nhưUDP flood, TCP flood, SYN Có khả năng giả mạo địa chỉ IP Kaiten cũng là công

cụ được sử dụng trong mô hình IRC-Based

2.2.8 Tìm hiểu các cuộc tấn công DDoS nổi tiếng trong lịch sử

- Năm 2000, một loạt website nổi tiếng như Yahoo, eBay, eTrade, Amazon vàCNN trở thành nạn nhân của DDoS

- Tháng 2/2001, máy chủ của Cục tài chính Ireland bị một số sinh viên Đạihọc Maynooth ở nước này tấn công DDoS

- Ngày 15/8/2003, Microsoft chịu đợt tấn công DoS cực mạnh và làm giánđoạn websites trong vòng 2 giờ