GVHD: Th.S Lé Manh Hai Ap dung Access List vào bảo VỆ mạng trường ĐHKTCN CHUONG I: GIỚI THIEU DE TAI Chương này giới thiệu sơ lược về hậu quả do các cuộc tấn công trên mạng đã và đang x
Trang 11.2 Mục tiêu, nhiệm vụ của đề tài -s se Ơ 2
1.3 Các thiết bị, cơng cụ sử dụng so sss ssseoozsseeossssee sesses 3 CHUONG II: PHƯƠNG PHÁP NGHIÊN CỨU sesonseasenscnsenseasees 4 2.1 Các tác nhân đe dọa đến bảo ImMậf mạng o-<sssssss s55 s6sss 4 2.1.1 Các tác nhân khơng cĩ cấu trúc 2 ss- ke e©E9csEE+EsEsrsrerrsea 5 2.1.2 Các tác nhân cĩ cấu trÚc -2sc2xkeEEkSEEEEEEEvEEEvrresrreerrreed 5 2.1.3 Các tác nhân xuất phát từ bên ngồi -csccscrscceerseecseea 5 2.1.4 Các tác nhân xuất phát từ bên [TOIE QQ HH ng my 5
2 2 Các loại tấn CƠ TỔ Go 0 0 1g g9 100 9.0 9 SH ve g6 5 2.2.1 IP vo nn 5
2.2.2 Tấn cơng từ chối dich vu (DOS) ccecsecssesssecssscsscsseessesseccssessesssesssecssees 7
2.2.2.1 Ping Of Death - ch TH ch ng ng gi 9 2.2.2.2 Syn EFÌOO( - 25 x12 3S SH HH HT ni 11 2.2.2.3 SŠIHUIÍ G00 HC gu gu Tp g pgeg l6 2.2.2.4 Land EXpỌIK SG G32 n1 SH ST TT HH HH ưyc 19
2.2.3 Tan cơng từ chối dịch vụ phân tán (DDoS) -cscsccsecsse: 21
2.3 Các kỹ thuật phịng chống 2 «<< s se se eeeexeEsereesesesseecse 27
2.3.1 ACC€SS LLỈÏS{ QC HT ng ng ngu 27 2.3.1.1 Định nghĩa .á- Ác HH HH TH TT ng ng cưng ng re cg 27 2.3.1.2 Các loại ACC€SS LLÏS( ng HS kg sp esere 27 2.3.1.3 Wildcard BỊẲ - nung TH ng ga 31 2.3.1.4 Cách gán vào một inferface . - << se cs se ke v3 xxx 32 2.3.1.5 Cách xĩa Access LLÏSÍ uc cưng ng se ra 34 2.3.1.6 Cach xem Access LLiSf ĩc Ăn cư re, 35
2.3.2.1 CiscO ĐOUf€T - G LH HT TH HH ng ng, 39 2.3.2.2 EOT(IAf€ Q- hHnH TH HT TH ng nh nkt 39
2.3.2.3 CheckPoint Safe(@)Office 225 .- - ct nneiedererirerke 40
2.3.2.4 Sonicwall PRO 2040 Gà HH nen kc 40 2.3.3 Câu hình serVer 22+ 22x 12111121111E 1111.0111 40 2.4 Mơ hình mạng trường .o -c- se c s0 Sex gen gee 42 2.4.1 Mơ hình mạng - - HH ng HH ng 81 gs czx 42
2.4.2 Tình trạng hệ thống website khoa CNTT bị tấn cơng 43
2.5 Chính sách bảo mật trên Cisco Router dé chéng Dos, DDoS 44
Trang 2
2.5.1 Sử dụng NetFlow để phát hiện tấn công DoS 2 44
2.5.2 Lọc lưu lượng - Filtering Traffic 2 Sa se SEE TH nen 47 2.5.2.1 Lọc lưu lượng cho các dịch vụ trên Router 2n rna 47 2.5.2.2 Lọc lưu lượng đi qua Router - 2 2 sSsSe+stEstErereeerra 49
2.5.3.1 MÔ (Â cuc HH TH Hee erreereesree 54
2.5.3.2 Cầu hình TCP Intercept .ccscsssccsssessssscesssessssessssesessssesssecessecssn 54
CHUONG 3: GIẢI PHÁP VÀ THỰC NGHIỆM -2- co cccsz 60 3.1 Mô hình ứng dụng 5< co sseessessessssssssss — 60 3.2 Phương án thực hiện 5-<-< Sex ng cxgeEegxeesessesesree 61 3.3 Giải pháp Xử ý ong se Sex sessssse "—¬— 65
CHƯƠNG IV: KÉT LUẬN ¬— sesssssesau ÔÑ
4.1 Những công việc làm đđược - 5 5s 5< ss se seeseeeessseeese 68 4.2 Những công việc chưa làm được .cssssessscssssessceseecossccessecesscesscessscasaces 68
4.3 Hướng phát triễn 2° s se se cessEsEsessesesses ä 68
CHƯƠNG V: PHỤ LỤC mm ¬—- 70 5.1 Dynamips Hồ 00896.08846058080508949.00080.0009 96 00600006 0086889909000 08 955.96 56 960 566666060 70
5.1.2 Cách thực thi chương trình - -¿- c + + scscxS cv czyki 70 5.2 Routing Information Proto€oll (RÏP) co so so seo so s< essssesssese 75
"2Š h6 ‹475 75 2.2.2 Hoạt Ộng QC ng ng S95 ng re eei 75
TAI LIEU THAM KHẢO ssecesscessessacsersacecceassecacsacsaceaceatsacensencacescessens 78
Trang 3
GVHD: Th.S Lé Manh Hai Ap dung Access List vào bảo VỆ mạng trường ĐHKTCN
CHUONG I: GIỚI THIEU DE TAI
Chương này giới thiệu sơ lược về hậu quả do các cuộc tấn công trên mạng đã và đang xảy ra ngày càng tăng cũng như tính cấp thiết, cấp bách là cần
phải có các biện pháp ngăn chặn mối đe dọa tấn công đó có thể gây ra sự tốn
thất cho hệ thống mạng của trường Từ đó, dẫn đến nhu cầu cần phải thực hiện
đê tài này
1.1 GIỚI THIỆU:
Trong những năm gần đây, nền kinh tế Việt Nam đã và đang có những
bước tiến vượt bật và đáng tự hào Trong đó, Công nghệ Thông tin đóng một vai trò rất quan trọng, làm bàn đạp vững chắc thúc đây kinh tế phát triển Do
đó, CNTT đã trở thành một lĩnh vực không thể thiếu trong cuộc sống, điển hình
là Internet Nó là một kho tàng kiến thức vô tận cho cả nhân loại Nhưng bên
cạnh những lợi ích to lớn đó, lại có những người dùng nó làm công cụ với ý đồ xấu là xâm nhập trái phép vào các nhánh mạng Mục đích của kẻ tấn công là lấy thông tin không thuộc về mình Sau đó có thể là thay đổi thông tin hay xóa
bỏ những thông tin nhạy cảm gây ra những tác hại không nhỏ khiến cho bên bị hại có thể đứng trước những nguy cơ phá sản
Qua khảo sát tình hình thực tế công nghệ thông tin trên thế giới hay ở
Việt Nam, chúng tôi nhận thấy rằng các hệ thống mạng lớn hay nhỏ đều có nguy cơ bị đe dọa tân công Trong đó, tấn công từ chối dịch vụ (Denial of
Service - DoS) thực sự là một thảm họa trên Internet Các website lớn như: Yahoo, eBay, Buy.com, đã từng bị DoS
Từ đó, cho thấy rằng vấn đề bảo mật rất cần thiết đối với hệ thống mạng của trường Triển khai các giải pháp tối ưu, hệ thống sẽ ngăn chặn các cuộc tấn công từ chối dịch vụ xuất phát từ bên ngoài
SVTH: Phạm Văn Tâm & Đỗ Lê Mỹ Hạnh Trang I
Trang 4
GVHD: Th.S Lé Manh Hai Ap dung Access List vào bảo VỆ mạng trường ĐHKTCN
1.2 MỤC TIỂU, NHIỆM VỤ CỦA ĐÈ TÀI:
Trên cơ sở những kiến thức thu nhận được trong quá trình học tập tại trường cùng với những kiến thức bảo vệ mạng của Cisco, được sự hướng dẫn
của thầy Lê Mạnh Hải, sau khi khảo sát tình trạng hệ thống của trường ĐHKTCN và yêu cầu cấp thiết về vấn đề trường có nguy cơ bị tân công, chúng
tôi quyết định chọn và thực hiện đề tài:
Áp dung Access List vào bảo vệ mạng máy tính của trường ĐHKTCN
Mục tiêu của đề tài là :
e_ Nghiên cứu tìm hiểu các mối đe dọa và các cuộc tấn công từ chối dịch
vụ thường gặp nhất hiện nay như Smurf, SYN Flood, Ping of Death ;
IP Spoofing - một hình thức giả mạo IP để thực hiện tấn công từ chối
địch vụ (DoS) và tân công từ chối địch vụ phân tán (Distributed Denial
of Service — DDoS)
e_ Đưa ra các kỹ thuật phòng chống, khảo sát mô hình mạng của trường
và nghiên cứu chuyên sâu về ACL
e Triển khai, xây đựng mô hình mạng của trường, sử dụng công cụ để tạo cuộc tấn công SYN Flood và cấu hình ACL dé ngăn chặn tắn công vào Web Server của trường
e© Do Router 7200 hỗ trợ tính năng TCP Intercept của Access-List để phòng chống tấn công DoS, nên chúng tôi chọn phần mềm Dynamips giả lập Router 7200 để cài đặt và cầu hình lệnh
e_ Ngoài ra, dé tài còn nghiên cứu và triển khai thêm các ACL để hạn chế
các dịch vụ như Telnet, SNMP có nguy cơ tạo thuận lợi cho các cuộc tấn công dựa trên dịch vụ đó
SVTH: Phạm Văn Tâm & Đỗ Lê Mỹ Hạnh Trang 2
Trang 5
GVHD: Thị.S Lê Mạnh Hải Ap dung Access List vào bảo vệ mạng trường ĐHKTCN
1.3 CAC THIET BI VA CONG CU SU DUNG:
Để thực hiện đề tài này, chúng tôi chọn sử dụng các thiết bị và các công
cụ sau để demo:
- _ Server: Php Server cấu hình web server và Windows XP
- Phần mềm Dynamips giả lập Router 7200
Trang 6
GVHD: Th.S Lé Manh Hai Ap dung Access List vao bao vé mang truéng DHKTCN
CHUONG II: PHƯƠNG PHÁP NGHIÊN CỨU
Đây là chương nghiên cứu chuyên sâu của đề tài, bao gồm các mục chính
Sau:
2.1
2.2
2.4 2.5
Các tác nhân đe dọa đến bảo mật mạng bao gồm:
Các tác nhân không có cấu trúc
Các tác nhân có cầu trúc
Các tác nhân xuất phát từ bên ngoài Các tác nhân xuất phát từ bên trong
Các loại tấn công bao gồm:
IP Spoofing — Gia mao dia chỉ IP
Tần công từ chối dịch vụ - DoS
Tan công từ chối dịch vụ phan tan - DDoS Các kỹ thuật phòng chống bao gồm:
Dùng ACL :
Firewall
Cấu hình trên Web Server
Mô hình mạng hiện tại của trường
Chính sách bảo mật trên Cisco Router để chống DoS và DDoS
Trọng tâm là tìm hiểu Access List và chức năng traffic filtering,
TCP Intercept của ACL
2.1 CÁC TÁC NHÂN ĐE DỌA ĐÉN BẢO MẬT MẠNG: [3 ]
Cơ bản có bôn môi đe dọa liên quan đến vấn đề bảo mật sau:
Trang 7
GVHD: Th.S Lê Mạnh Hải Ap dung Access List vao bdo vé mang trường ĐHKTCN
2.1.1 Các tác nhân không có cấu trúc:
Các tác nhân này được gây ra bởi những hacker không có kinh nghiệm và
không thực sự lành nghề Mặc dù, chủ thể tấn công theo dang này có thể có chủ
ý, nhưng do muốn biểu diễn tài năng hơn là phá hoại hệ thống mạng
2.1.2 Các tác nhân có câu trúc:
Các tác nhân này được gây ra bởi các hacker có trình độ cao hơn Họ có kỹ
thuật và sự hiểu biết về cấu trúc hệ thống mạng Những hacker này thông thường được thuê bởi các công ty đối thủ của nhau Họ sử dụng các công cụ rất tinh vi để xâm nhập vào hệ thống mạng và có thể lấy cắp các thông tin nhạy
cảm, làm cho bên bị hại có nguy cơ bị phá sản
2.1.3 Các tác nhân xuất phát từ bên ngoài:
Những tác nhân này xuất phát từ bên ngoài mạng Khi các công ty bắt đầu
quảng bá sự có mặt của họ trên Internet, cũng là lúc một số người khai thác các
điểm yếu, đánh cắp đữ liệu và có thể phá hỏng hệ thống mạng Tuy nhiên, có một số người khi tìm được lễ hỏng của hệ thống, họ thông báo cho người quản
trị đó biết và tìm giải pháp khắc phục Do đó, các tác nhân xuất phát phát từ
bên ngoài bao gồm các tác nhân có cấu trúc và không có cấu trúc
2.1.4 Các tác nhân xuất phái từ bên trong:
Những tác nhân này thật sự nguy hiểm vì nó xuất phát từ các nhân viên trong tô chức Họ có thể tấn công một cách nhanh gọn và dễ dàng vì họ am
hiểu sơ đồ cấu trúc cũng như biết rõ điểm yếu của hệ thống mạng
2.2 CAC LOAI TAN CÔNG:
2.2.1 IP Spoofing:
a) Mô tả:
Đây là sự giả mạo địa chỉ trong hệ thống mạng Hacker thường dùng cách
này để mạo danh là máy tính hợp pháp nhằm chiếm quyền điều khiển trình duyệt web trên máy tính bị tấn công
SVTH: Phạm Văn Tâm & Đỗ Lê Mỹ Hạnh Trang 5Š
Trang 8
GVHD: Th.S Lé Manh Hai Ap dung Access List vào bảo vệ mạng truong DHKTCN
Trong phân tiêu đề (header) của những gói dữ liệu luôn có địa chỉ IP của
nguồn xuất phát dữ liệu và chỉ số thứ tự (sequence number - dùng để sắp xếp
các gói dữ liệu nhận được theo một thứ tự định sẵn) Địa chỉ IP nguồn rất dễ bị
giả mạo Nếu đoán được quy tắc gán chỉ số thứ tự của hệ điều hành thì hacker
có thể khống chế được các phiên xác lập kết nối để từ đó khai thác thông tin trên mạng
Khi hacker sử dụng trò đánh lừa IP để chiếm quyên điều khiến trình duyệt web trên máy tính, địa chỉ trang web hợp pháp mà người sử dụng muốn truy
cập sẽ bị đối thành địa chỉ trang web do hacker ấn định Nếu họ tiếp tục truy
cập vào những nội dung động (như nhập dữ liệu vào các ô trắng), hacker có thể thu thập được thông tin nhạy cảm
b) Két hop IP Spoofing voi cac kiéu tan cng:
Kiéu mo mam (blind spoofing):
Để tìm hiểu cách thức truyền tải dữ liệu trong mạng, hacker sẽ gửi nhiều gói
đữ liệu đến một máy nào đó để nhận lại những thông điệp xác nhận Bằng cách phân tích những thông điệp này, chúng có thể biết được quy tắc gán chỉ số thứ
tự cho từng gói dữ liệu của hệ thống mạng Kiểu tấn công này hiện nay ít được
áp dụng vì các hệ điều hành mới ứng dụng phương pháp gán chỉ số thứ tự một
cách ngẫu nhiên, khiến chúng khó có thê lần ra
Kiểu ẫn mình (nonblind spoofing):
Trong kiểu tấn công này, hacker tìm cách ẳn mình trong cùng mạng phụ với
máy tính sẽ bị tắn công Từ đó, chúng có thể nắm được toàn bộ chu trình gửi tin và trả lời tín hiệu giữa máy bị tắn công với các máy tính khác trong mạng Băng cách đó, hacker biết được các chỉ số thứ tự của gói dữ liệu và có thé chiếm quyền điều khiển các phiên trao đổi thông tin, vượt qua chu trình xác
nhận đã được lập trước đó
Từ chối dich vu (Denial of Service):
Đây là một trong những kiểu tắn công khó phòng ngừa nhất Mục đích của
hacker là làm cho đường truyền bị tắc nghẽn do có quá nhiều yêu cầu được gửi
SVTH: Pham Van Tâm & Đỗ Lê Mỹ Hạnh Trang 6
Trang 9
GVHD: Th.S Lé Manh Hai Ap dung Access List vao bảo VỆ mạng trường ĐHKTCN
đến máy tính bị tấn công trong một khoảng thời gian ngắn, khiến cho hệ thống
mạng không thể gửi các gói tin bao nhận kịp thời Hacker thường giả mạo địa
chỉ IP của nhiều máy tính khiến cho việc truy tìm các địa chỉ này và ngăn chặn tan công không đạt kết quả cao
Chen giữa các máy tính (Man ïn the Middle):
Trong kiểu tấn công này, khi hai máy tính đang truyễền tin với nhau một
cách bình thường, hacker sẽ chặn các gói dữ liệu gửi đi từ hai máy đó, thay thế
bằng những gói dữ liệu khác và gửi chúng đi Khi đó, hai máy tính bị giả mạo
đều không hay biết gì về việc đữ liệu của chúng bị thay đổi Kiểu tấn công này
thường được dùng để lấy những thông tin bảo mật của máy tính
c) Các cách giảm thiểu, phòng chống:
- Sử dụng bộ giao thức IPSec để mã hóa và xác nhận các gói đữ liệu trao đổi ở lớp mạng
- Dùng danh sách kiểm soát việc truy cập để ngăn chặn những gói tin dữ liệu
tải về có địa chỉ IP cá nhân
- Cài đặt bộ lọc đữ liệu đi vào và đi ra khỏi hệ thống mạng
- Cấu hình các bộ chuyển mạch và bộ định tuyến để loại trừ những gói dữ liệu
từ bên ngoài vào hệ thống mạng nhưng lại khai báo là có nguồn gốc từ một
máy tính năm trong hệ thống
2.2.2 Tấn công từ chối dịch vụ (DoS): [ 7 ] Tan công theo kiểu từ chối dịch vụ là kiểu tấn công với mục đích không nhằm vào việc chiếm quyền truy xuất vào hệ thống của bạn để lấy thông tin mà tập trung vào việc làm cho dịch vụ nào đó trong hệ thống không còn khả năng đáp ứng hay phục vụ cho các yêu cầu dịch vụ như bình thường Việc này được thực hiện băng cách làm cạn kiệt tài nguyên trong hệ thống mạng, trong các hệ
điều hành hoặc các ứng dụng đầu cuối Tấn công theo kiểu này rất dễ được
thực hiện bởi vì chúng thường tận dụng các yếu điểm của các giao thức mạng hay dựa vào các lưu lượng mạng được cho phép lưu thông trong hệ thống
SVTH: Phạm Văn Tâm & Đỗ Lê Mỹ Hạnh Trang 7
Trang 10
GVHD: Th.S Lé Manh Hai Ap dung Access List vào bảo vé mang trường DHKTCN
mang Do đó, tấn công theo kiểu từ chối dịch vụ được xem là khó có thể loại bỏ hoàn toàn trong hệ thống mạng
Tấn công từ chối dịch vu ( Denial of Service-DoS) thực sự là thảm họa trên Internet Những Web site lớn như : Yahoo, eBay, Buy.com cũng đã từng bị
DoS Cuộc tân công DoS nổi tiếng nhất diễn ra vào tháng 9/1996 Nhà cung
cấp dịch vụ Internet "Public Access Networks Corporations" (PANIX), đã bị
tấn công hơn một tuần, từ chối dịch vụ Internet cho khoảng 6000 cá nhân và
1000 công ty
Các kiểu tấn công DoS :
Ngon dải bang thong (Bandwidth consumption):
Kẻ tấn công sẽ khuếch đại cuốc tấn công của anh ta bằng cách dùng nhiều địa điểm để làm ngập kết nối mạng của nạn nhân Bản chất của việc tấn công
này là: kẻ tấn công sẽ nhờ vào yếu tố "mạng khuếch đại" để làm ngập
Bandwidth của nạn nhân
Tước tài nguyén (Resource Starvation):
Kiểu tấn công này khác với kiểu tấn công trước ở chỗ kiểu này sẽ chiếm dụng tài nguyên của hệ thống (CPU, RAM) thay vì chiếm dụng tài nguyên mạng Khi hệ thống bị chiếm hết tài nguyên (ví dụ : bộ nhớ) hệ thống sẽ không thể hoạt động được dẫn đến bị "treo" > SYN Food dựa trên dạng này
Lỗi lập trình (Programing Flaws):
Đây là những lỗi của chương trình ứng dụng, hệ điều hành Kẻ tắn công sẽ gửi những packet khó hiểu đến nạn nhân nhằm xác định xem ngăn xếp mạng (Network Stack) có xử lí ngoại lệ hay không hay là sẽ làm toàn bộ hệ thông ngừng hoạt động Đối với những ứng dụng cần nhập đữ liệu kẻ tấn công có thể gửi những chuỗi dữ liệu dài đến hàng ngàn dòng (dẫn đến tràn bộ đệm > dẫn đến hệ thống ngưng hoạt động)
Tấn công bằng định tuyến và DNS (Routing and DNS attack):
Tan céng dinh tuyén:
SVTH: Pham Van Tam & Dé Lé Mj Hanh Trang 8
Trang 11
GVID: Th.Š Lê Mạnh Hải Áp dụng Access List vào bảo vệ mạng trường ĐHKTCN
Đa số các giao thức định tuyến như RIP không có chứng thực hoặc chứng thức rất yếu, đây là điểm tuyệt vời cho kẻ tấn công Kẻ tấn công sẽ thay đổi tuyến đường hợp lệ bằng cách giả mạo địa chỉ IP nguồn
DNS:
Kẻ tấn công có thể đổi một lối vào trên Domain Name Server của hệ thông
nạn nhân rồi cho chỉ đến một website nào đó của kẻ tấn công Khi máy khách
yêu cầu DNS phân tích địa chỉ bị xâm nhập thành địa chỉ ip, lập tức DNS ( đã
bị kẻ tấn công thay đổi cache tạm thời ) sẽ đổi thành địa chỉ ip mà kẻ tắn công
đã cho chỉ đến đó Kết quả là thay vì phải vào trang Web muốn vào thì các nạn
nhân sẽ vào trang Web do chính kẻ tấn công tạo ra
2.2.2.1 Ping of Death:
Các biến thể: Không có
Hệ điều hành bị ảnh hưởng: Tắt cả các hệ điều hành
Giao thức/ Dịch vụ: ICMP
Mức độ nguy hiểm: Cao
Đây là một phương thức tấn công từ chối dịch vụ bằng cách gửi một lượng lớn các gói tin ping đến một máy đích nào đó Ping of Death là một cuộc tấn công vào lớp mạng (lớp thứ ba của mô hình OSI) của máy đích với mục đích loại bỏ tất cả các dịch vụ đang hoạt động trên máy nạn nhân Thủ phạm gửi một lượng lớn các gói tin ping đến nạn nhân Vấn đề là ở chỗ, hệ điều hành của
nạn nhân không biết sẽ giải quyết như thế nào đối với các gói tin có kích thước lớn hơn kích cỡ max của nó (65536) Vì vậy, sẽ làm cho hệ điều hành nạn nhân
không hoạt động bình thường hoặc là bị treo Ví dụ đối với người dùng WinNT
trước đây, thì có thể xác định được hiện tượng này khi gặp màn hình màu xanh
của Windows
a) Mô tả:
Ping of Death sử dụng một lượng lớn các gói tin Internet Control Message Protocol (CMP) hay ping để tạo nên một cuộc tấn công DoS đối với một hệ
SVTH: Phạm Văn Tâm & Đỗ Lê Mỹ Hạnh Trang 9
Trang 12Chức năng của ICMP:
ICMP ở lớp thứ ba của mô hình OSI ICMP điều khiến lỗi và thay đổi các message điều khiển ICMP được sử dụng để truyền thông tin trạng thái và lỗi,
bao gồm đường truyền mạng và những vấn đề tắt nghẽn mạng
Hoạt động của ICMP:
Định dạng thông điệp ICMP Header (vùng TYPE § bít CODE 8 bít và CHECKSUM 16 bit)
Ping là một chương trình sử dụng ICMP để kiểm tra xem các kết nối của mạng Bau đầu, máy tính gửi sẽ gửi một tín hiệu ICMP ECHO REQUEST đến một địa chỉ xác định Nếu máy tính nhận sau khi nhận thành công gói tin trên, nó sẽ
gửi một ICMP ECHO REPLY Nếu máy gửi đi nhận được ICMP ECHO
REPLY thì đường truyền tốt
Dưới đây là một ví dụ về lệnh Ping:
C:\> ping www.hutech.edu.vn
Chú ý rằng gói tin ping 6 day str dụng kích thước là 32 byte Bằng cách sử dụng lệnh ping có các tuỳ chọn, ta có thể thay đổi được kích thước của gói tin ping Dưới đây là một ví dụ, ta đã thay đồi kích thước gói tin thành 500 byte
C:> ping -l 500 www.hutech.edu.vn
TCP/IP cho phép các gói tin chỉ có kích thước tối đa 65536 octet (1 octet =
8 bit = 1 byte), bao gồm 20 octet cho thông tin về header và 0 hoặc nhiều octet cho các thông tin tùy chọn, phần còn lại là data Cần phải biết rằng, một số hệ
thống sẽ đáp ứng trở lại bằng các cách không thể xác định được khi nhận gói
tin có kích thước không theo chuẩn hoặc quá lớn Theo các báo cáo và nghiên
cứu thì hầu hết các tác động này có liên quan đến việc tắc nghẽn, tình trạng rỗi
và việc khởi động lại
SVTH: Phạm Văn Tâm & Đỗ Lê Mỹ Hạnh Trang 10
Trang 13
GVHD: Th.S Lé Manh Hai Ap dung Access List vào bảo vệ mạng trường ĐHKTCN
Trong một số trường hợp liên quan, hầu hết các cuộc tấn công cho thấy
răng, các gói tin ICMP được sử dụng thông qua lệnh ping đề kích hoạt một đợt
tấn công Hai vẫn đề quan trọng của gói tin ICMP mà ta cần biết đó là ICMP Echo_Request và ICMP Echo Response Một máy, muốn xác định một máy
khác có tồn tại hay không thì lệnh ping sẽ gửi gói tin ICMP_Echo_ Request,
nếu máy đó đang hoạt động, nó sẽ gửi trả lời lại bằng một gói tin
ICMP Echo_Response Một Acttacker sẽ sử dụng lệnh Ping để xây dựng một
gói ICMP có kích cỡ vượt quá qui định nhằm thực hiện một cuộc tấn công
Nhiều lệnh ping thi hành gửi I[CMP chỉ có 8 octet của header theo mặc định,
nhưng cũng có thê tạo các gói tin có kích thước lớn hơn, và không theo khuôn
dạng của gói tin có thê là lớn hơn 65536 byte
b) Dấu hiệu nhận biết phương thức tấn công:
Trên máy tính nạn nhân bị tràn ngập các gói tin ICMP ECHO REQUEST,
có thể làm cho máy tính nạn nhận bị treo
c) Cách giảm thiếu, ngăn chặn tấn công:
- _ Liên tục cập nhật bản vá lỗi do nhà sản xuất cung cấp
- Su dung Big Firewall
- Cau hinh cho router loai bỏ các gói tin có kích thước khác thường, trước khi
nó có thể đến được máy trạm
222.2 SYN Flood:
Biến thể: Không có
Hệ điều hành bị ảnh hưởng - OS: Tất cả các hệ điều hành
Giao thức/Dịch vu: IP
Mức độ nguy hiểm: Cao
Do TCP/IP là chuẩn giao thức ứng dụng mạnh Nó được sử dụng phổ biến
trong mô hình địa chỉ Internet toàn cầu và kết nối client/server Dựa vào
phương thức bắt tay ba bước của TCP, kẻ tấn công tấn công có chủ đích vào
phương thức này tạo ra một cuộc tấn công từ chối dịch vụ
SVTH: Phạm Văn Tâm & Đỗ Lê Mỹ Hạnh Trang 11
Trang 14
GVHD: ThS Lê Mạnh Hải Ap dung Access List vào bảo vệ mụng trường ĐHKTCN
Do đây là cuộc tân công dựa trên giao thức TCP/IP, nên ta cẦn nắm rõ chức năng và cấu trúc của TCP/IP:
TCP: Thiết lập kết nối giữa các hệ thống (inter-system communication)
A datagram with its TCP header
+ Synchronize — con goi la “SYN”
Dung để khởi tạo một kết nối piữa các máy trạm
+ Acknowledgement — con ggi la “ACK”
Dùng để thiết lập kết nối giữa các máy trạm
Dùng để tái tạo lại kết nối
IP: dùng để truyền dữ liệu
SVTH: Phạm Văn Tâm & Đỗ Lê Mỹ Hạnh Trang 12
Trang 15
GVHD: Th.S Lê Mạnh Hải Ap dụng Access List vào bảo vệ mạng trường ĐHKTCN
A datagram with TCP and IP headers
IP
Header
Hình 2.3: Cấu trúc gói tin TCP/IP headers
Cơ chế bắt tay ba bước:
Theo ta biết một gói tin IP để có thể truyền được trên mạng Internet thì nó phải có một địa chỉ đích và một địa chỉ nguồn Trong gói tin, còn chứa thông tin, dữ liệu cần truyền, và các por( của các dịch vụ TCP Khi client muốn tạo
một kết nối đến một server thì cả client và server đều phải thiết lập một chuỗi
các message để thực hiện việc bắt tay 3 bước Tất cả các kết nối TCP như telnet, web, email, đều thực hiện theo phương pháp bắt tay 3 bước Minh
họa phương pháp bắt tay 3 bước giữa client và server:
SVTH: Phạm Văn Tâm & Đỗ Lê Mỹ Hạnh Trang 13
Trang 16GVHD: Th.S Lé Manh Hai Ap dung Access List vao bảo vệ mạng trường ĐHKTCN
Bước 1: Client gửi một gói tin SYN cho server để thiết lập kết nối đến
Sau khi Server nhận được gói ACK, khi đó kết nối giữa client và server đã
được tạo, client có thể truyền hay nhận dữ liệu
Hình 2.4 : Mô hình bắt tay ba bước hoàn tất
‘Client gti g6i SYN cho Server:
Hình 2.5: Mô hình bắt tay 3 bước không hoàn tắt
Dựa vào cơ chê bắt tay, kẻ tân công sẽ tân công vào bước thứ ba của cơ chế Ban đầu, kẻ tấn công sẽ giả mạo địa chỉ IP Hệ thống của kẻ tấn công sẽ gửi
những gói tin SYN hợp pháp đến server cần tấn công với địa chỉ nguồn là giả
Trang 17
GVHD: Th.S Lé Manh Hai Ap dung Access List vao bao vé mang truong DHKTCN
mạo của một máy hiện tại không kết nối trong mạng Do đó, server bị tấn công gửi gói tin SYN-ACK cho client nhưng nó không nhận được gói tin ACK do client gửi Nếu như địa chỉ IP mà kẻ tấn công giả mạo tôn tại, máy client sẽ gửi
packet bat cd RST (reset) cho server do nó không khởi động kết nối Nhưng
nếu kẻ tắn công muốn tấn công vào server, kẻ tấn công không bao giờ giả mạo
IP của một máy có thực
Vẫn đề ở đây là server không có cách nào nhận biết yêu cầu kết nối của
client nào hợp pháp hay có ý đồ xấu thâm nhập vào trong mạng Vì vậy, đối
với client hợp lệ và kẻ tấn công, server xử lý giống như kết nối đang xảy ra
Server thực hiện việc bắt tay ba bước với client Nếu server không nhận được tín hiệu ACK, nó sẽ gởi lại tín hiệu SYN-ACK vì nó cho rằng gói SYN-ACK
đã bị mắt trên đường di
Khi đó, server đặt tín hiệu (SYN_RECV) kết nối này vào hàng đợi Lúc đó, hàng đợi của các half-open connection trên hệ thống server sẽ bị tràn ngập và server sẽ từ chối không tiếp nhận các kết nối khác đến nó cho đến khi các kết
nối này được giải phóng Tuy nhiên, các hệ thống server bị tấn công luôn có
một thời gian timeout để giải phóng các half-open connection (đang treo- pending) và hệ thống sẽ hoạt động bình thường Do đó, để thực hiện tắn công,
kẻ tấn công tiếp tục gửi các gói tin đã giả mạo địa chỉ IP để yêu cầu những kết nôi mới với thời gian nhanh hơn thời gian time-out của server bị tân công
Mức độ nguy hiểm: Mặc dù, các cuộc tấn công SYN Flood này thường chỉ tác động đến một dịch vụ sẵn có nào đó, và các địch vụ khác vẫn có thể tồn tại Nhưng trong một số trường hợp khác, nó cũng có thé lam cạn kiệt bộ nhớ của
hệ thống, làm tắt nghẽn hoặc làm cho mạng hoạt động không như mong muốn Mức độ nguy hiểm của kiểu tấn công này là ở chỗ do gói SYN thường được gán địa chỉ IP không có thực nên việc tìm kiếm đối tượng đã tấn công là rất
khó
SVTH: Phạm Văn Tâm & Đỗ Lê Mỹ Hạnh Trang 15
Trang 18Packet2:SYN Reply 2: SYN-ACK
Khi ta nhận được một số lượng lớn các gói tỉn xuất hiện trên mạng mà
không có các gói tin trả lời, như vậy, có thể mạng của ta đã bị tấn công dưới
hình thức SYN Flood Sử dụng lệnh øe£sa¿ để nhận biết một cuộc tấn công với
một số lượng lớn các half-open connection Bên cạnh đó, để người quản trị mạng nhận biết được rằng các gói tin gửi như vậy là có thực hay không
c) Cách giảm thiếu, ngăn chặn tấn công:
- Sw dung Big Firewall
- Cấu hình TCP Intercept cua Access List trén Router
- C4u hinh trén Windows Advanced Server 2000 hay 2003
2.223 Smurf:
Bién thé: Papa Smurf va Fraggle
Hệ điều hành bị ảnh hưởng - OS: Các hệ điều hành và Router
Giao thức/Dịch vụ: ICMP Ping
Mức độ nguy hiểm: Cao
SVTH: Pham Văn Tâm & Đỗ Lê Mỹ Hạnh Trang 16
Trang 19
GVHD: Th.S Lé Manh Hải Ap dung Access List vào bảo vệ mạng trường ĐHXTCN
Đây là một phương thức tấn công từ chối dịch vụ, kẻ tấn công sử dụng các
gói tin ICMP có địa chỉ nguồn giả mạo là của nạn nhân để gửi đến địa chỉ
Broadcast của subnet tương ứng với IP đó Cuộc tấn công Smurf nhằm vào lớp
Network của các host nhằm từ chối tất cả các dịch vụ đến Host
Địa chỉ Broadcast: là địa chỉ IP được dùng để đại diện cho tất cả các host trong mạng Phần host_id chứa các bit 1 Nó dùng để gửi một gói tin đến tất cả
cac host trén m6t segment mang
Vi du: 172.429.255.255 la dia chi Broadcast cha mang 172.29.0.0/16
a) Mo ta:
Dựa vào đặc tính của địa chỉ broadcast, nếu ta gửi một gói tin đến địa chỉ
172.29.255.255 thì nó sẽ tự động forward đến tất cả các máy trong mạng
172.29.0.0 Nếu như ở đây ta sử dụng một địa chỉ lớp A thì số lượng máy trong
mạng rất lớn, chính điều này sẽ dẫn đến các gói tin ồ ạt gửi đến các máy trong
cùng segment Nó sẽ làm cho băng thông của mạng bị giảm sút nghiêm trọng,
gây ra tình trạng tắt nghẽn mạng, ngập lụt gói tin
Hai thành phần chính của tấn công Smurf là việc sử dụng các gói tin giả mạo địa chỉ IP của nạn nhân và địa chỉ broadcast Trong cuộc tấn cong Smurf, attacker sé gid mao dia chi ngu6n trong ICMP echo request và gửi chúng đến
một địa chỉ broadcast Khi mỗi máy trên mạng nhận và đáp ứng trở lại cho địa
chỉ nguồn mà attacker sử dụng để giả mạo Minh họa các giai đoạn của cuộc tan công Smurf:
SVTH: Phạm Văn Tâm & Đỗ Lê Mỹ Hạnh _ Trang 17