Nghiên cứu phát triển hệ thống bảo mật web

ABSTRACT In this thesis, we focused on research and development system Modsecurity web application firewall.. From that building the web server firewall system for Ho Chi Minh City vocat

L I CAM OAN

Tôi xin cam đoan đơy lƠ công trình nghiên c u c a riêng tôi Các s li u, k t

qu nêu trong Lu n v n lƠ trung th c vƠ ch a t ng đ c ai công b trong b t k công trình nào khác

Tôi xin cam đoan r ng m i s giúp đ cho vi c th c hi n Lu n v n nƠy

đư đ c c m n vƠ các thông tin trích d n trong Lu n v n đư đ c ch rõ ngu n g c

H c viên th c hi n Lu n v n

(Ký và ghi rõ h tên)

Tr n Thanh Phong

L I C M N

Trong su t quá trình h c t p và quá trình th c hi n đ tƠi, tôi đư đ c ch d n

và h c h i đ c r t nhi u ki n th c quý báu c ng nh nh ng kinh nghi m v nghiên

c u khoa h c t các th y cô, anh ch , b n bè đ ng nghi p

Tr c h t, tôi xin g i l i c m n sơu s c đ n th y TS L u Thanh TrƠ, gi ng viên tr ng đ i h c Bách Khoa TP.HCM, th y đã t n tình h ng d n, giúp đ tôi trong su t quá trình th c hi n lu n v n

Tôi c ng xin c m n quý th y cô c a tr ng i H c Công Ngh Thành Ph

H Chí Minh đư t n tình gi ng d y, trang b cho tôi nh ng ki n th c đáng giá trong

TÓM T T

Trong lu n v n này, chúng tôi t p trung nghiên c u và phát tri n h th ng ng

d ng t ng l a Modsecurity trên web T đó xơy d ng h th ng t ng l a trên web server cho Tr ng Cao ng Ngh Thành Ph H Chí Minh V lu n đi m th nghi m c a lu n v n, chúng tôi t p trung phơn tích, ng n ch n hai lo i t n công đ c

h i: DDos và SQL injection c a Tr ng Cao ng Ngh Thành Ph H Chí Minh

ABSTRACT

In this thesis, we focused on research and development system Modsecurity web application firewall From that building the web server firewall system for Ho Chi Minh City vocational college In the testbed of thesis, we go analyse, prevent two types of malicious attacks: DDoS and SQL injection for website of Ho Chi Minh City vocational college

M C L C

L I CAM OAN i

L I C M N ii

TÓM T T iii

ABSTRACT iv

DANH M C CÁC HÌNH NH ix

DANH M C CÁC B NG xi

M U 1

C S LÝ THUY T 5

1.1 V n B o M t ng D ng Web 5

1.2 Danh Sách R i Ro B o M t Cho Các ng D ng Web OWASP Top 10 6

1.3 T n Công DDoS VƠ Ph ng Pháp Phòng Ch ng 8

1.3.1 Gi i Thi u 8

1.3.2 Chi n L c T n Công 8

1.3.3 Phân Lo i T n Công DDoS 9

1.3.4 Các Ph ng Pháp Phòng Ch ng 14

1.4 T n Công SQL Injection VƠ Ph ng Pháp Phòng Ch ng 14

1.4.1 Gi i Thi u 14

1.4.2 M t S Ki u T n Công SQL Injection 16

1.4.3 Ph ng Pháp Phòng Ch ng 19

MÔ HÌNH H TH NG B O V WEB SERVER NGH 20

2.1 T ng Quan 20

2.2 T ng L a ng D ng Web - Web Application Firewall 21

2.3 Các Lo i T ng L a ng D ng Web B o V ng D ng Web 22

2.3.1 T ng l a ng d ng Allplicure DotDefender 22

2.3.2 T ng l a ng d ng Imperva SecureSphere 22

2.3.3 T ng l a ng d ng FortiWeb 22

2.3.4 T ng l a ng d ng Barracuda 23

2.3.5 T ng l a ng d ng Citrix 23

2.3.6 T ng l a ng d ng ModSecurity 23

2.3.7 T ng l a ng d ng WebKnight 23

2.3.8 T ng l a ng d ng Shadow Daemon 23

2.4 T ng L a ng D ng Web - ModSecurity 25

2.4.1 Tính N ng C a ModSecurity 26

2.4.2 Ph ng Th c Ho t ng C a ModSecurity 27

2.4.3 Các Giai o n X Lý Trong ModSecurity 28

2.5 Mô Hình Xu t 29

TRI N KHAI MÔ HÌNH H TH NG 32

3.1 CƠi t Ch ng Trình 32

3.2 T o Rule Trong ModSecurity VƠ Shell Script Ng n Ch n T n Công DDoS 37 3.2.1 T o Rule Trong ModSecurity Ng n Ch n DDoS 37

3.2.2 T o Shell Script system_status.sh 38

3.2.3 T o Shell Script add_ip.sh 38

3.3 T o Rule Cho ModSecurity Ng n Ch n T n Công SQL Injection 39

TH C NGHI M - ÁNH GIÁ H TH NG 40

4.1 Th c Nghi m T n Công VƠ Ng n Ch n DDoS 40

4.2 Th c Nghi m T n Công SQL Injection VƠ Ng n Ch n 47

K T LU N VÀ H NG PHÁT TRI N 58

TÀI LI U THAM KH O 59

nh n d li u

system /Intrusion Prevention System

HTTPS Hypertext Transfer

Protocol Secure

Giao th c truy n t i siêu

v n b n an toàn

Service

T n công t ch i d ch v phân tán

DANH M C CÁC HÌNH NH

Hình 1.1 Top 10 k thu t t n công trong n m 2014 vƠ 2015 [9] 5

Hình 1.2 S đ phân lo i các ki u t n công DDoS 10

Hình 1.3 Mô hình t n công Agent-Handler [1] 11

Hình 1.4 Mô hình t n công IRC-based [1] 11

Hình 1.5 Mô hình t n công khu ch đ i [2] 12

Hình 1.6 T n công SYN ACK trong giao th c TCP [3] 13

Hình 2.1 T ng l a ng d ng Web (WAF) 21

Hình 2.2 Mô hình h th ng WAF Tr ng Cao ng Ngh Tp.HCM 30

Hình 4.1 H th ng đang tr ng thái bình th ng 40

Hình 4.2 Trang web đang tr ng thái bình th ng 41

Hình 4.3 T p tin system_status.txt tr ng thái bình th ng 41

Hình 4.4 T p tin recentlist.txt tr ng thái bình th ng 41

Hình 4.5 T p tin suspiciouslist.txt tr ng thái bình th ng 41

Hình 4.6 T p tin whitelist.txt khi tr ng thái bình th ng 42

Hình 4.7 T p tin blacklist.txt và blocklist.txt tr ng thái bình th ng 42

Hình 4.8 Giao di n HTTP Flooder 42

Hình 4.9 T p tin system_status.txt đang b t n công 43

Hình 4.10 T p tin recentlist.txt đ m s l ng k t n i khi đang b t n công 43

Hình 4.11 T p tin blocklist.txt khi đang b t n công 44

Hình 4.12 Khi b t n công truy c p vào web s b báo l i 44

Hình 4.13 T p tin suspiciouslist.txt đ m s k t n i l n h n 50 l n đ a vƠo blacklist.txt 44

Hình 4.14 Tr ng thái h th ng khi đang b t n công 44

Hình 4.15 T p tin blacklist.txt l u đ a ch có k t n i trên 50 l n khi b t n công 45

Hình 4.16 T p tin system_status.txt khi đ a ch các máy b đ a vƠo blacklist.txt tr ng thái h th ng tr v 0 45 Hình 4.17 Các IP trong t p tin blocklist.txt b xóa khi tr ng thái h th ng tr v 0 45 Hình 4.18 Khi b t n công IP trong t p tin whitelist.txt truy c p web bình th ng 46

Hình 4.19 Giao di n ph n m m Acunetix sau khi quét l i b o m t 47

Hình 4.20 Thông báo l i b o m t SQL Injection 47

Hình 4.21 Gõ l nh ki m tra c s d li u 48

Hình 4.22 Tên c s d li u có trên webserver 48

Hình 4.23 L nh hi n các b ng c a c s d li u itcdn 48

Hình 4.24 Các b ng c a c s d li u itcdn 49

Hình 4.25 L nh hi n các c t c a b ng d li u kcntt_users 49

Hình 4.26 Các c t c a b ng d li u kcntt_users 50

Hình 4.27 L nh l y d li u các c t c a b ng d li u kcntt_users 50

Hình 4.28 D li u name, email, username password c a b ng d li u kcntt_users 51 Hình 4.29 Tên b ng c n l y d li u 51

Hình 4.30 L nh hi n th các c t c a b ng kcntt_session 52

Hình 4.31 L nh hi n th các c t c n l y d li u 52

Hình 4.32 Hi n th session_id c a admin 53

Hình 4.33 Thêm công c ch nh s a cookie 53

Hình 4.34 ng nh p quy n admin t i máy b t k 54

Hình 4.35 Copy session-id nh hình 4-32 b vào ph n Value 54

Hình 4.36 Truy c p vào trang qu n tr b ng session_id c a admin 55

Hình 4.37 Không th truy c p c s d li u có trên web server 56

Hình 4.38 Không còn thông báo l i b o m t SQL Injection 56

DANH M C CÁC B NG

B ng 2.1 So sánh tính n ng các lo i t ng l a ng d ng web 24

M U

1 Lý Do Ch n Tài

VƠi n m g n đơy v n đ v n đ b o m t ng trong các d ng web nh n đ c s quan tơm đ c bi t V i nhi u doanh nghi p website có th coi là m t h th ng quan

tr ng nh t vì h u h t t t c các d ch v , giao d ch đ u thông qua giao di n web nh :

bán hàng tr c tuy n, qu n lý khách hàng, qu n lý tƠi chính cho đ n qu ng bá doanh

nghi p khi website b t n công có th nh nghiêm tr ng đ n quá trình kinh doanh

c ng nh hình nh, uy tính c a doanh nghi p c bi t là các trang web có thông tin

cá nhân nh y c m c a khách hƠngầvì v y v n đ b o m t ng d ng web là r t quan

tr ng và có tính s ng còn v i doanh nghi p Do nh n th y đ c s nguy hi m n m

các l h ng b o m t c a các ph n m m web server ho c các modules ph tr , đi u

này có th d n đ n vi c m t web server b th a hi p, th t thoát d li u Ngoài ra khi

chi m đ c web server (th ng vùng DMZ), vi c sâm nh p vào bên trong h th ng

máy ch hay h th ng m ng n i b là r t d dàng V i các h th ng ch có t ng l a

m c truy n th ng không th ng n ch n hoàn toàn t n công web server vì t ng l a

thông th ng ho t đ ng t ng 3 và 4 trong mô hình OSI H u qu s r t n ng n

n u không có bi n pháp h p lý đ b o v web server c a các doanh nghi p, t ch c

Vì v y đ b o v web server c n ph i có có m t t ng l a ng d ng web chuyên

d ng (Web Application Firewall - WAF) M t WAF có th là thi t b ph n c ng ho c

ph n m m đ c cƠi đ t trên máy ch đ c đ t gi a t ng l a m ng và máy ch web

T ng l a ng d ng web b o v ng d ng web và máy ch ng d ng web tránh kh i

nh ng cu c t n khác nhau nh SQL Injection, Cross-site Scripting (XSS), Code Injection,ầ T ng l a ng d ng web còn b o v web server ch ng l i nh ng l h ng

đư phát hi n vƠ ng n ch n nh ng k t n công tìm cách khai thác nh ng l h ng đó

Kinh phí đ tri n khai m t t ng l a ng d ng web chuyên d ng nh m đ m b o

an toàn, an ninh thông tin khi s d ng các gi i pháp do n c ngoài cung c p s khá

cao nh : F5 Networks, Imperva, Citrix, Cisco, Barracuda Ví d : giá thi t b Barracuda Web Application Firewall ch a tính đ n chi phí duy trì hƠng n m lên đ n

7,500USD/n m (ngu n http://www.ntsecurity.com)

Hi n nay đa ph n các doanh nghi p, t ch c th ng đ t ng d ng web t i các

nhà cung c p d ch v l u tr web, ngo i tr các doanh nghi p l n nh : công ty tài

chính, ngân hàng,ầ có đ u t h th ng máy ch riêng đ t t i công ty Tuy nhiên, m t

s kh o sát th c t th c hi n t i các nhà cung c p d ch v l u tr web nh : VNPT,

FPT, Viettel, MatBao,ầ thì vi c thuê các d ch v b o m t cho ng d ng web c a

đ n v mình t n r t nhi u chi phí Và th c t t i các tr ng đ i h c, cao đ ng, các

doanh nghi p thuê các d ch v tr c tuy n th ng ch a quan tơm đ n b o m t cho ng

d ng web c a đ n v mình vì nhi u lý do khác nhau

Chúng tôi tìm hi u trên th tr ng thi t b b o m t web server t i Vi t Nam, đ n

nay v n ch a có s n ph m b o m t ng d ng web do trong n c phát tri n vƠ th ng

m i hóa Vì v y đ b o v cho h th ng ng d ng web, có chi phí th p và không c n

đ i ng nhơn viên có trình đ chuyên nghi p Thì vi c nghiên c u h th ng t ng l a

chuyên d ng đ b o v cho các ng d ng Web (WAF) là m t nhu c p thi t c a các

đ n v và doanh nghi p t i t i Vi t Nam

Trong b i c nh đó, đ tài ắNGHIểN C U PHÁT TRI N H TH NG B O

M T WEB” đ c ti n hành nh m góp ph n gi i quy t v n đ b o v an toàn cho

các h th ng web nói chung và h th ng web c a tr ng Cao ng Ngh Thành Ph

H Chí Minh nói riêng

2.2 i T ng Nghiên C u

- S d ng các thông tin, tài li u trên trang web OWASP (Open Web Application Security Project) đ nghiên c u lý thuy t và mô hình tri n khai h th ng

- Tìm hi u m t s ph ng th c t n công đi n hình vƠ ph ng pháp ng n ch n

- Tìm hi u ph ng th c t n công DDoS vƠ SQL Injection vƠ cách ng n ch n

- Tìm hi u SNMP t n n t ng ho t đ ng c a giao th c, ng d ng vƠo vi c qu n lý các thi t b trong m ng, tìm hi u m t s công c SNMP cho phép đ c giám sát

b ng SNMP K t h p SNMP vƠ catti đ theo dõi h th ng

- Tìm hi u vƠ s d ng các ph n m m quét l h ng b o m t web: SQLMAP, Acunetix Web Vulnerability Scanner ầ

- Tìm hi u v Shell Script đ xây d ng h th ng phát hi n t n công

- Tìm hi u nguyên lý ho t đ ng và cách t o rule trong ModSecurity đ ng n ch n hai d ng t n công DDoS và SQL injection

- S d ng k t qu th c hi n t i đ n v đánh giá ho t đ ng c a h th ng

2.3 Ph m Vi Nghiên C u

Xơy d ng t ng l a ng d ng web ng n ch n đ c hai d ng t n công DDoS vƠ SQL Injection cho h th ng web server tr ng Cao ng Ngh ThƠnh Ph H Chí Minh

3 Ý Ngh a Khoa H c Và Th c Ti n

3.1 Ý Ngh a Khoa H c:

K t qu nghiên c u có th làm tài li u tham kh o, tài li u k thu t cho vi c xây

d ng h th ng t ng l a thông minh cho các ng d ng web m t s đ n v v a và

nh

3.2 ụ Ngh a Th c Ti n:

Xây d ng đ c h th ng phát hi n t n công vƠ ng n ch n t n công DDoS và SQL Injection Ch y thành công h th ng phát hi n và gi m thi u các t n công vào web server d a vào ModSecurity cho tr ng Cao ng Ngh Thành Ph H Chí Minh

N i dung c a ch ng nƠy gi i thi u t ng quan v b o m t ng d ng web

và danh sách r i ro b o m t cho các ng d ng web c a OWASP T các k thu t

t n công ph bi n và c nh báo b o m t phân tích hai d ng t n công nguy hi m là: DDoS và SQL Injection

Ch ng 2: Mô Hình H Th ng B o V Web Server Ngh

N i dung c a ch ng nƠy lƠ trình bƠy m t s khái ni m v t ng l a ng

d ng web (WAF), lý do ph i c n đ n t ng l a ng d ng web Trình bày m t s

t ng l a ng d ng web có trên th tr ng hi n nay Trình bƠy tính n ng, ph ng

th c ho t đ ng t ng l a ng d ng Web c a ModSecurity T đó l a ch n đ xây

d ng t ng l a ng d ng web th c nghi m cho lu n v n

Ch ng 3: Tri n Khai Mô Hình H Th ng

N i dung c a ch ng nƠy lƠ cƠi đ t, t o các t p tin Shell Script và các rule

đ đ ng n ch n t n công cho h th ng web server tr ng Cao ng Ngh Thành

C S LÝ THUY T 1.1 V n B o M t ng D ng Web

Trong nh ng n m g n đơy các ng d ng web là m c tiêu t n công c a các tin

t c M c dù các công ty, doanh nghi p th ng có h th ng phát hi n, phòng ch ng xâm nh p và theo dõi h th ng m ng c a đ n v mình i v i các c quan, t ch c website là kênh cung c p thông tin hi u qu và nhanh chóng nh t C ng chính vì đ c

đi m này, các web server th ng xuyên là m c tiêu t n công c a tin t c đ khai thác đánh c p các thông tin liên quan bên trong M t trong nh ng ph ng th c t n công

ph bi n là khai thác các l i b o m t liên quan đ n ng d ng web

Cùng v i s phát tri n c a các công ngh m i và đ c ng d ng r ng rãi nh các ng d ng web hi n nay và đi cùng v i đi u này s là hàng lo t các l h ng b o

m t m i phát sinh a ph n nh ng t n công nghiêm tr ng vào các ng d ng web server là làm l thông tin, d li u ho c truy c p không h n ch v i các h th ng mà các ng d ng đang ho t đ ng

Theo th ng kê c a trang web hackmageddon.com [9] Trang web chuyên v

th ng kê các cu c t n công m ng trong n m 2014 vƠ 2015 (hình 1.1), các cu c t n công không gõ ngu n g c c b n gi ng nhau trong n m 2015 vƠ n m 2014 (24,0%

so v i 23,3%) SQLI t ng t 12,8% trong n m 2014 lên 17,5% trong n m 2015, trong khi t n công thay đ i n i dung gi m 12,4% so v i 14,8% trong báo cáo c a n m

tr c DDoS c b n là n đ nh (9,7% so v i 9,3%)

Hình 1.1 Top 10 k thu t t n công trong n m 2014 vƠ 2015 [9]

V i b ng th ng kê trên chúng ta th y r ng vi c b o m t cho ng d ng web là

r t c n thi t Tuy nhiên các t ng l a thông th ng, h th ng phát hi n và phòng

ch ng xâm nh p s không th giám sát, đánh giá đ c h t các ng d ng đ c xây

d ng trên n n t ng web s d ng giao th c HTTP/HTTPS ng n ch n đ c các

cu c t n công vào web server c n ph i s d ng t ng l a chuyên d ng ng d ng web

- Web Application Firewall (WAF) m i đáp ng yêu c u này

1.2 Danh Sách R i Ro B o M t Cho Các ng D ng Web OWASP Top 10

OWASP là m t d án m v b o m t cho ng d ng Web [12] OWASP Top 10 cung c p m t tài li u nh n th c m nh m cho các ng d ng b o m t web OWASP Top 10 đ i di n cho m t s đ ng thu n r ng rãi v các l h ng b o m t ng d ng web quan tr ng nh t Thành viên d án bao g m m t lo t các chuyên gia b o m t t

kh p n i trên th gi i đư chia s chuyên môn c a h đ đ a ra danh sách này

D án này kêu g i t t c các công ty áp d ng tài li u nh n th c này trong t

ch c c a h và b t đ u quá trình đ m b o r ng các ng d ng web c a h không ch a các sai sót Thông qua OWASP Top 10 lƠ b c đ u đ th c hi n vi c thay đ i hi u

qu nh t v s an toàn phát tri n ng d ng web c a các t ch c

OWASP cung c p mi n phí và tính m đ phát tri n các n i dung:

 Công c và các tiêu chu n v an toàn ng d ng

 B chu n v ki m tra b o m t ng d ng, l p trình an toàn và và các bài vi t

OWASP đ u là các tình nguy n viên, bao g m ban qu n tr , ban đi u hành toàn c u, lưnh đ o các chi nhánh, lưnh đ o các d án, thành viên các d án D án h tr nghiên

c u b o m t tiên ti n v i các kho n tài tr vƠ c s h t ng

Theo OWASP trong n m 2013, 10 r i ro an ninh cao nh t là:

 A1 ậ Injection: L i mã nhúng

 A2 ậ Broken Authentication and Session Management: L i xác th c và qu n

lý phiên làm vi c

 A3 ậ Cross-Site scripting(XSS): Th c thi mã Script x u

 A4 ậ Insecure Direct Object Reference: i t ng tham chi u tr c ti p không

an toàn

 A5ậ Security Misconfiguration : Sai sót c u hình b o m t

 A6 ậ Sensitive Data Exposure: Ph i bƠy d li u nh y c m

 A7 ậ Missing Function Level Access Control : Thi u ch c n ng đi u khi n truy c p

 A8 ậ Cross Site Request Forgery (CSRF): Gi m o yêu c u

 A9 ậ Using Known Vulnerable Components: S d ng các thành ph n t n t i

ph bi n là SQL Injection và t n công t ch i d ch v phân tán (DDoS) đơy lƠ hai

d ng t n công nguy hi m nh t hi n nay Sau khi nghiên c u hai k thu t t n công và cách ng n ch n lu n v n s xây d ng t ng l a ng d ng web đ gi m thi u t n công cho hai d ng này và ch n h th ng web c a tr ng cao ng Ngh Thành Ph H Chí Minh lƠ đ n v th c nghi m cho đ tài

g i là botnets Khi m t đ i quân t n công đư đ c thi t l p, m t k t n công có th

g i ph i h p, t n công quy mô l n đ i v i m t ho c nhi u m c tiêu Làm ng t quãng quá trình cung c p d ch v cho ng i dùng h p pháp, ho c th m chí khi n c h th ng

ng ng ho t đ ng T n công DDoS r t khó phát hi n và phòng ch ng hi u qu do s

l ng các máy b đi u khi n tham gia t n công th ng r t l n và n m r i rác nhi u

n i Xây d ng m t c ch b o v toàn di n ch ng l i DDoS và d đoán các cu c t n công l l t là m t m c tiêu mong mu n c a các phát hi n xâm nh p Tuy nhiên, s phát tri n c a m t c ch nh v y đòi h i m t s hi u bi t toàn di n v các v n đ và các k thu t đư đ c s d ng cho đ n nay trong phòng ng a, phát hi n và ng phó

v i t n công DDoS là c n thi t

Ch ng trình ki m soát t ng th ho t đ ng nh giao di n, giao ti p gi a k

t n công th c s và nh ng k t n công b đi u khi n Ch ng trình ki m soát

t ng th c ng đóng vai trò nh m t ng i b o v cho nh ng k t n công b đi u khi n và nh n đ c l nh t n công t k t n công th c s Và nó ti p t c h ng

d n nh ng k t n công b đi u khi n t n công vào n n nhân

c K t n công b đi u khi n /l thu c /đ i lý

ơy lƠ nh ng t n h i h th ng và các h th ng này có trách nhi m t o ra

l u l ng Nh ng h th ng này có m t s ph n m m c th đư đ c cƠi đ t

mƠ đang đ c đi u khi n b i k t n công th c thông qua ki m soát t ng th

d N n nhân

Máy ch m c tiêu: V i t t c b n y u t trên, t n công DDoS đ c th c hi n trong b n giai đo n sau đơy

- Tuy n d ng/ ch n đ i lý: máy đ i lý không b gì, nh ng các máy tính b

đi u khi n t xa b t n h i ph n nƠo đó b i m t k t n công, v c b n

đ th c hi n các cu c t n công th c t trên máy n n nhân thay m t c a

k t n công Các đ i lý đ c ki m soát b ng cách khai thác m t s các

l i vòng l p có s n ho c các l h ng máy đ i lý đ c l a ch n theo cách

nh v y đ h có đ ngu n l c đ t o ra các cu c t n công m nh m

Ch s h u c a các máy này không bi t r ng máy c a h đư b xâm nh p

- nh h ng/ khai thác: Trong giai đo n này, các l h ng và l h ng b o

m t c a máy đ i lý đ c khai thác b i k t n công đ ki m soát chúng

- Lây nhi m: Trong giai đo n này, m t mã t n công đ c cài trong các máy đ i lý K t n công giao ti p v i các đ i lý đ ki m soát các cu c

t n công

- T n công: Trong giai đo n này, k t n công đ a l nh b t đ u cu c t n công

1.3.3 Phân Lo i T n Công DDoS

M t cu c t n công DDoS [3] th ng đ c tin t c th c hi n b ng cách huy đ ng

m t s l ng r t l n các máy tính có k t n i m ng internet b chi m quy n đi u khi n,

t p h p các máy nƠy đ c g i là m ng máy tính ma hay m ng botnets Các máy c a botnets có kh n ng g i hàng ngàn yêu c u gi m o m i giơy đ n h th ng c a n n nhân, gây nh h ng nghiêm tr ng đ n ch t l ng d ch v cung c p cho ng i dùng

M t trong các b c c n thi t trong vi c đ ra các bi n pháp phòng ch ng t n công DDoS hi u qu là phân lo i các d ng t n công DDoS và phát tri n m t c ch phòng

ch ng thích h p

Có nhi u k thu t t n công DDoS Tuy nhiên có th phân lo i ph ng pháp t n công DDoS nh trong hình 1.2 Có hai lo i chính các cu c t n công DDoS: làm c n

ki t b ng thông vƠ c n ki t tài nguyên h th ng M t cu c t n công làm c n ki t b ng thông đ c thi t k làm c n ki t b ng thông máy n n nhân có làm ng t quãng ho c

ng ng cung c p d ch v cho ng i dùng M t cu c t n công c n ki t tài nguyên là

m t cu c t n công đ c thi t k đ g n lên các ngu n tài nguyên c a m t h th ng

n n nhân Ki u t n công này nh m vào m t máy ch ho c các quá trình trên h th ng

n n nhân làm cho nó không th x lý yêu c u cung c p d ch v chính đáng cho ng i dùng

Hình 1.2 S đ phân lo i các ki u t n công DDoS

1.3.3.1 T n Công Làm C n Ki t B ng Thông

Có hai lo i chính trong t n công DDoS c n ki t b ng thông [2,3] M t là t n công gây ng p l t, các máy tính b ki m soát và b đi u khi n t xa b i tin t c (zombies) g i kh i l ng l n l u l ng đ n h th ng n n nhơn, đ làm ng n b ng thông h th ng c a n n nhân Hai là t n công khu ch đ i liên quan đ n m t trong hai

k t n công ho c các zombies g i tin nh n đ n m t đ a ch qu ng bá IP, hay s d ng

m ng con c a các đ a ch qu ng bá đ g i m t thông đi p t i các h th ng n n nhân

Ph ng pháp nƠy khu ch đ i l u l ng nguy hi m làm gi m b ng thông h th ng

c a n n nhân

T n Công Gây Ng p L t (Flood Attacks):

Trong m t cu c T n công gây ng p l t [2,3], tin t c t o m t l ng l n các gói tin t n công gi ng nh các gói tin h p l và g i đ n h th ng n n nhân làm cho h

th ng không th ph c v ng i dùng h p pháp i t ng c a t n công d ng này là

b ng thông m ng, tài nguyên h th ng Hình 1.3 và 1.4 ch ra m t cu c t n công ng p

l t cho m t m ng l i t n công Agent-Handler và m t m ng l i t n công IRC-based

Hình 1.3 Mô hình t n công Agent-Handler [1]

Hình 1.4 Mô hình t n công IRC-based [1]

Ph ng pháp Flood Attack chia thƠnh hai lo i: UDP Flood Attack, ICMP Flood Attack: 2 d ng d ng nƠy, các gói tin UDP vƠ ICMP đ c s d ng đ th c hi n t n công máy n n nhân

T n công khu ch đ i ( Amplification Attacks ):

M t cu c t n công DDoS khu ch đ i [2,3] là nh m m c đích s d ng các tính n ng

đ a ch qu ng bá IP đ c tìm th y trên h u h t các router đ khu ch đ i và ph n ánh

cu c t n công (hình 1.5) Ph ng pháp nƠy lƠm gia t ng l u l ng không c n thi t, làm suy gi m b ng thông c a m c tiêu

Attacker

Victim Web Server

IP Network

Hình 1.5 Mô hình t n công khu ch đ i [2]

Có th chia t n công khu ch d i thành 2 lo i:

- Smuft attack: Trong m t cu c t n công DDoS Smurf, k t n công g i gói tin

đ n m t s l ng l n máy tính trong m t th i gian ng n, trong đó đ a ch IP ngu n c a gói ICMP echo s đ c thay th b i đ a ch IP c a n n nhân, Các máy tính này s tr l i các gói ICMP reply đ n máy n n nhân K t qu máy

t n công s ph i ch u nh n m t đ t Reply gói ICMP r t l n và làm cho m ng

b r t ho c b ch m l i, không có kh n ng đáp ng các d ch v khác

- Fraggle attack: M t cu c t n công DDoS Fraggle lƠ t ng t nh m t cu c

t n công Smurf trong đó k t n công g i các gói tin đ n m t b khu ch đ i

m ng i m khác nhau gi a Smurf và Fraggle là: Fraggle s d ng các gói UDP ECHO thay vì gói ICMP ECHO

1.3.3.2 T n Công Làm C n Ki t Tài Nguyên

Cu c t n công DDoS c n ki t tài nguyên [2,3] liên quan đ n nh ng k t n công

g i các gói tin mà l m d ng giao th c truy n thông m ng ho c g i các gói tin b thay

đ i đ g n lên các ngu n tài nguyên m ng đ các tài nguyên này không ph c v ng i

s d ng h p pháp

Có 2 d ng t n công: t n công khai thác l h ng trên các giao th c (TCP SYN Attacks), t n công có c u trúc không đúng chu n (Malformed Packet Attacks)

TCP SYN Attacks: Trong m t cu c t n công DDoS TCP SYN, k t n công ra

l nh các zombies đ g i yêu c u nh TCP SYN gi đ n máy ch n n nhân đ bu c máy ch s d ng tài nguyên c a máy ch đ x lý, do đó ng n ch n các máy ch t đáp ng yêu c u h p phát c a ng i dùng Cu c t n công TCP SYN b t tay ba b c

gi a h th ng g i và h th ng ti p nh n b ng cách g i s l ng l n các gói TCP SYN

đ n h th ng n n nhân v i các đ a ch IP ngu n gi m o, vì v y h th ng n n nhân

ph n ng v i m t h th ng không yêu c u v i SYN-ACK Khi m t kh i l ng l n các yêu c u SYN đang đ c x lý b i m t máy ch và không ai trong s các câu tr

l i SYN-ACK đ c tr v , và chi m h t yêu c u s lý c a máy ch Cu i cùng, n u

kh i l ng yêu c u t n công TCP SYN là l n và ti p t c kéo dài, h th ng máy ch không th đáp ng v i b t k yêu c u ng i s d ng h p pháp

Web Server Attacker

SYN - ACK SYN (Spoofed)

SYN (Spoofed)

SYN - ACK

SYN (Spoofed)

Hình 1.6 T n công SYN ACK trong giao th c TCP [3]

Malformed Packet Attacks: T n công c u trúc không đúng chu n là m t cu c

t n công mà k t n công ch th các zombies đ g i gói tin IP thành l p không chính xác đ h th ng n n nhơn đ s p đ c a h th ng n n nhân Có hai lo i t n công c u trúc không đúng chu n:

T n công đ a ch Ip: các gói tin ch a đ a ch IP ngu n vƠ đích gi ng nhau, đi u này có th gây nh m l n cho h đi u hành c a n n nhân không s lý n i d n đ n treo

h th ng

Tùy ch n t n công IP: m t gói tin b thay đ i có th ng u nhiên và thi t l p t t

c các bit lên 1, làm cho h th ng c a n n nhân ph i t n th i gian phân tích l u l ng,

n u s d ng s l ng l n Agent có th làm h th ng n n nhân h t kh n ng x lý

1.3.4 Các Ph ng Pháp Phòng Ch ng

Cân b ng t i: i v i các nhà cung c p d ch v m ng, có m t s k thu t s

d ng đ gi m thi u nh h ng t n công DDoS Nhà cung c p d ch v có th t ng hay

gi m b ng thông k t n i đ ng n ch n m t cu c t n công Thi t l p cân b ng t i cho các máy ch quan tr ng s c i thi n hi u su t ch ng ch i c a h th ng v i cu c t n

công DDoS

i u ch nh l u l ng: Ph ng pháp nƠy thi t l p c ch đi u ch nh đ nh tuy n

đ n m c đ an toàn cho các máy ch đ x lý đ c i u này s ng n ch n thi t h i

ng p l t đ n các máy ch Khó kh n c a ph ng pháp nƠy là nó không phân bi t các

l u l ng nguy hi m Trong quá trình đi u ti t, l u l ng h p pháp có th đôi khi b

r t ho c b trì hoãn và l u l ng đ c h i có th đ c phép đi đ n các máy ch

H y yêu c u: Là m t ph ng th c khác dùng h y yêu c u khi đ t i t ng lên,

đi u này có th th c hi n b i các b đ nh tuy n ho c máy ch nh : th i gian tr kéo dài, tài nguyên s lý c n ki t i u nƠy lƠm cho ng i s d ng h th ng phát hi n

gi m hi u su t, và có th có th ng n ch n s tham gia c a h trong vi c g i l u

t n công c ng t ng lên T t c các ng d ng web duy trì thông tin t i các c s d

li u ph tr mà t đó k t qu đ c tìm th y Khi nh ng d ch v hay ng d ng web,

có th đ c truy c p t b t c n i nƠo trên th gi i và luôn có s n đ ph c v cho t t

c các khách hƠng, đ i tác nhơn viên, vƠ cho ng i dùng khác nhau trên toàn th gi i

T n công SQL Injection ngày nay là m t trong nh ng m i quan tâm l n nh t đ b o

m t ng d ng web vì d th c hi n h n so v i các cu c t n công khác

SQL Injection là m t lo i l h ng b o m t cho phép nh ng k t n công thi hành các câu l nh truy v n SQL b t h p pháp (ng i phát tri n không l ng tr c đ c)

b ng cách l i d ng l h ng trong vi c ki m tra d li u nh p t các ng d ng web

H u qu này r t tai h i vì nó cho phép k t n công có toàn quy n, hi u ch nhầtrên

c s d li u c a ng d ng L i nƠy th ng x y ra trên các ng d ng web có d li u

đ c qu n lí b ng các h qu n tr c s d li u nh SQL Server, Oracle, DB2, Sybase

Nó có th t n t i trong ch c n ng tìm ki m, đ ng nh p ho c các trang hi n th tin t c,

s n ph m, b ng cách truy n tham s (ví d : http://www.site.com/view.aspx?id=10)

Nguyên lý th c hi n:

Ví d : Xét đo n mã truy v n SQL sau:

SELECT * FROM Users WHERE Username =’$username’ AND

Password =’$password’

ơy lƠ m t câu truy v n th ng hay đ c dùng trong các trình ng d ng nh m xác th c ng i dùng N u câu truy v n tr v m t giá tr nói r ng thông tin v ng i dùng đang đ ng nh p lƠ đúng vƠ đ c l u trong c s d li u, thì ng i dùng đ c phép đ ng nh p vào h th ng, ng c l i thì không đ ng nh p đ c

Thay vì nh p đúng tên đ ng nh p và m t kh u, nh p vào các ký t đ c bi t nh :

=1’%20or%20

Khi đó, truy v n s tr v m t giá tr (hay m t lo t các giá tr ) vì đi u ki n trên luôn luôn đúng (OR 1=1) Trong tr ng h p này tin t c s đ ng nh p đ c vào h

th ng mà không c n bi t tên đ ng nh p và m t kh u Tr ng h p này s r t nguy

hi m n u dòng đ u tiên trong b n ắUsers” lƠ tƠi kho n c a ng i qu n tr (admin) vì tin t c s đ ng nh p vào h th ng b ng tài kho n đ u tiên trong b ng này

1.4.2 M t S Ki u T n Công SQL Injection

a T n công b ng m nh đ luôn đúng (Tautologies)

Các câu truy v n SQL injection đ c tiêm [1] vào m t ho c nhi u câu l nh

đi u ki n đ nh ng câu l nh nƠy luôn luôn đúng N u ng i dùng b nhi m mư đ c

ho c k t n công nh p câu l nh nh '1' ho c '1 = 1' thì l nh truy v n trong l p CGI

SELECT * FROM user WHERE id= '1111' AND

password= 'abcd' AND CONVERT(char, no) ';

Cách t n công nƠy đ c s d ng đ thu th p c u trúc và thông tin l p CGI

c a trang web

c M nh đ Union:

Trong ki u t n công này, l nh truy v n tiêm [1]vƠo đ c ghép v i m t truy

v n b o m t s d ng t khóa UNION đ th c hi n liên k t gi a hai hay nhi u truy

v n, t đó l y thông tin liên quan đ n các b ng khác t ng d ng Ví d :

SELECT FROM user WHERE id= '123' UNION

SELECT FROM member WHERE id= 'admin' AND

password='123abc';

T t c các chu i l nh ti p theo sau d u " " đ c coi nh đo n ghi chú và hai câu truy v n SQL trên đ c x lý b i l p c s d li u vƠ CGI, sau đó k t qu đ c

tr v cho ng i dùng Trong ví d trên, n u không b o m t h th ng đúng cách thì

k t qu c a quá trình truy v n s hi n th thông tin c a ng i qu n tr h qu n tr c

CREATE PROCEDURE GetPasswordInfo

@pass varchar2,

ASexec(SELECT @pass = password, FROM Customers

WHERE Id = @pass); GO

Nhóm l nh SQL này có th đ c kích ho t b i k t n công d a trên m t s

đi u ki n nh t đ nh vƠ đ c g i là t n công Stored Procedure R t khó đ phát hi n

vƠ ng n ch n các ki u t n công này vì nó x y ra c p c s d li u

e Chèn thêm câu l nh:

Vì trong SQL nhi u câu truy v n [1]có th đ c x lý n u thêm d u ";" vào

cu i m i l nh truy v n, do đó các cơu truy v n có ch a mư đ c có th đ c thêm vào câu l nh truy v n ban đ u

SELECT LastName FROM user WHERE id= '23' or

address ='pune' ; DROP TABLE user;

SELECT * FROM TABLE where id=33 order by 50;

K t qu c a vi c th c hi n truy v n là câu l nh này s luôn luôn tr v sai

n u s l ng các c t trong m t b ng nh h n 50 Truy v n s tr v đúng n u s c t

l n h n 50 Cách t n công này nh m suy lu n ra thông tin v tên b ng, s c t t thông báo l i

- Th i gian tr

Trong ki u t n công này b ng cách quan sát th i gian ph n h i (hành vi) c a

c s d li u, t đó k t n công có th thu th p nh ng thông tin h u ích B ng cách

s d ng các câu l nh đi u ki n, k t n công có th thi t l p th i gian tr trong truy

v n SQL N u đi u ki n đúng thì th i gian tr x y ra, trong lúc này nh ng k t n công

s l y đ c các thông tin v th i gian ph n h i c a c s d li u

g Mã hoá thay th

ki u t n công này [1] dùng đ tránh b nh n d ng b i mã an ninh b o m t

B ng cách s d ng k t h p các cách t n công này, b t k hacker hay k t n công nƠo c ng có th nh n đ c thông tin h u ích v c s d li u Ch ng h n nh

s l ng các b ng, c t, dòng,ầ Nh ng thông tin v c s d li u này có th đ c s

d ng cho các cu c t n công khác nhau nh t n công mã k ch b n Cross-site, T n công

t ch i d ch v (DOS), IP Spoofing,ầ đ t n công các trang web và các ng d ng

1.4.3 Ph ng Pháp Phòng Ch ng

- Không hi n th thông tin l i cho ng i s d ng th y

- Ki m tra d li u nh p vào: lo i b các ký t nguy hi m (‘, ”, , /ầ) ho c các t khóa là tên các hàm h th ng trên c s d li u, ki m tra ki u d li u truy n vào

- H n ch t i đa quy n truy v n, c p quy n truy v n theo nhu c u s d ng,

ví d : ch c p quy n th c thi l nh SELECT cho ng i dùng ch c n đ c d

li u

- Th ng xuyên ki m tra, quét l i ng d ng b ng các công c ki m th an toàn

MÔ HÌNH H TH NG B O V WEB SERVER NGH 2.1 T ng Quan

Trong nh ng n m qua, xu h ng v m t an toƠn thông tin đư phát tri n m nh

m , các ng d ng web đang b t n công Các m i đe d a t các cu c t n công vào

ng d ng web t các tin t c th ng xuyên h n vƠ tinh vi h n L h ng ng d ng web

có th đ c gán cho nhi u th trong đó có xác nh n đ u vào kém, không an toàn qu n

lý phiên làm vi c, h th ng c u hình không đúng thi t l p và l h ng trong h đi u hành máy ch web H u h t các cu c t n công là tàng hình Nhi u công ty th m chí không bi t h đư t n công B n t i ph m m ng đang tìm ki m thu th p thông tin th tín d ng, đ a ch và các thông tin nh y c m khác trong khi khai thác các l h ng mi n

là h không b phát hi n

M t k thu t có th giúp an toàn cho c s h t ng ng d ng web là m t t ng

l a ng d ng web M t t ng l a ng d ng web (WAF) là m t thi t b ph n c ng

ho c ph n m m ch y trên máy ch máy ch Có ch c n ng theo dõi các thông tin

đ c truy n qua giao th c http/https gi a trình duy t c a ng i dùng và máy ch web

t i l p 7

T ng l a ng d ng web (WAF) b o v các ng d ng web trong trong nhi u

tr ng h p cùng v i t ng l a truy n th ng Nó ki m soát đ u vƠo vƠ đ u ra, c ng

nh vi c ti p c n và b o v d li u web Tuy nhiên, các t ng l a m ng truy n th ng đánh giá các gói tin IP ho c các giao th c mà không có s giám sát v n i dung c a

ng d ng vì v y không th b o v cho l p ng d ng web Vì t ng l a truy n th ng

ho t đ ng ch y u 4 t ng đ u tiên trong mô hình IOS, trong khi đó h u h t các ng

d ng đ c xây d ng trong h th ng m ng tuân th 3 l p trên cùng ơy lƠ nguyên nhân khi n t ng l a truy n th ng không th ki m soát đ c n i dung c a các k t

n i t Web, làm cho các ng d ng web d b t n công Các cu c t n công nh SQL Injection, cross-site scripting hay vi c c p quy n và nhi u h n lƠ nh m vào các l

h ng trong ng d ng web c a mình

T ng l a ng d ng Web đ c g i là ắt ng l a ki m tra gói sâu” B i vì nó nhìn vào m i yêu c u và ph n h i trong c a các d ch v khác nhau l p nh

HTTP/HTTPS Trong khi t ng l a truy n th ng th ng ch n truy c p vào c ng ho c

b l c nh t đ nh theo đ a ch IP

N u không có m t nh n th c v tr ng t i d li u HTML nh ng 3 thi t b l p không th nh n ra và kh c ph c các lo i m i đe d a l p ng d ng mà làm cho các

ng d ng web d b t n công Các cu c t n công nh SQL injection, cross-site scripting hay vi c c p quy n và nhi u h n n a nh m vào l h ng trong các ng

d ng web riêng c a mình

Thông th ng vi c b o v các h th ng m ng đ u đ c giao cho các thi t b

t ng l a truy n th ng Vi c theo dõi, giám sát nƠy đ c t ng l a truy n th ng d a vƠo đ a ch IP ngu n vƠ đích k t h p v i c ng c a lu ng d li u v n hành trong h

th ng m ng

2.2 T ng L a ng D ng Web - Web Application Firewall

T ng l a ng d ng web (WAF) [4] là m t thi t b ph n c ng ho c ph n m m

đ c cài lên máy ch web T ng l a ng d ng web có kh n ng th c thi các chính sách b o m t d a trên các d u hi u t n công, các giao th c tiêu chu n vƠ các l u

l ng truy c p ng d ng web b t th ng M t Web Application Firewall (WAF) là

m t thi t b an ninh đ b o v các ng d ng web và máy ch ng d ng web t các

cu c t n công khác nhau nh SQL Injection, cross site scripting, code injection, WAF b o v m t ng d ng web ch ng l i các l h ng đ c phát hi n vƠ ng n ng a chúng kh i b khai thác b i nh ng k t n công

Network firewall Web Application Firewalls

L u l ng Web đ c h i

L u l ng Web h p pháp

Hình 2.1 T ng l a ng d ng Web (WAF)

WAF đ c thi t k đ c bi t đ ki m tra l u l ng HTTP(s) vƠ đi u ch nh d

li u ch a trong tiêu đ , các thông s URL và n i dung web V i m t WAF t i ch ,

m c tiêu tin t c có th nh m t i là các trang web không an toàn, tuy nhiên các cu c

t n công b ch n và b t ch i tr c khi đ n các mã ng d ng web tùy ch nh WAF

đ c thi t k đ tách l u l ng web an toàn ra kh i l u l ng đ c h i tr c khi đ c

Imperva [13] có th đ c tri n khai nh m t thi t b v t lý, thi t b o ho c là

m t d ch v qu n lý Nó c ng có th đ c tri n khai nh c u n i hay nh proxy Nó cung c p các tính n ng nh ThreatRadar, trong đó s d ng d li u có s n đ ng n

ch n đ a IP đ c h i, các cu c t n công botnet, các URL l a đ o và proxy vô danh

b o v ng d ng web kh i m i đe do nó t ng h p nhi u công c b o m t đ b o v Web Nó c ng tích h p công c vulnerability scanners đ cung c p kh n ng phát

hi n l i b o m t

2.3.3 T ng l a ng d ng FortiWeb

T ng l a ng d ng web FortiWeb [8] b o m t web chuyên sâu, b o v m i đe

d a ng d ng nhi u t ng FortiWeb Tích h p ng d ng web vƠ XML t ng l a b o

v các ng d ng ch y trên web và m ng internet ph i đ i m t các d ng t n công và

m t d li u T ng l a ng d ng FortiWeb cung c p tính n ng nh SQL Injection, XML Schema, gi m o yêu c u ch ng th c, chèn mư đ c h i vƠo máy ng i dùng thông qua trang web và làm rò r thông tin

2.3.4 T ng l a ng d ng Barracuda

T ng l a ng d ng web Barracuda [6] b o v các trang web và các ng d ng web t các l h ng ng d ng đ đi u tra d li u b đánh c p, t ch i d ch v , ho c làm nh h ng đ n website c a m t t ch c T ng l a ng d ng web Barracuda cung c p tính n ng b o v nh : SQL injections, cross-site

2.3.5 T ng l a ng d ng Citrix

T ng l a ng d ng web Citrix [11] ng d ng b l c theo yêu c u c ng nh đáp ng và giám sát b ng ch ng v các ho t đ ng ác ý vƠ ng n ch n chúng n u chúng

t n t i H tr tín n ng nh ng n ch n m t d li u, ng n ch n s a đ i trang web đ

b o m t t truy c p thông tin nh y c m B o v ng d ng web kh i t n công tràn b

đ m, t n công b o m t cookie t n công trình duy t

S n ph m mã ngu n m :

2.3.6 T ng l a ng d ng ModSecurity

ơy lƠ ph n m m ngu n m có th ho t đ ng nh m t module trong máy ch Apache ho c là m t thành ph n đ c l p ModSecurity [10] s d ng bi u th c chính quy trong vi c b o v máy ch web t các cu c t n công đ c xác đ nh tr c d a theo các d u hi u ho c các cu c t n công b t th ng khác Bên c nh đó, ModSecurity

c ng có kh n ng l c các siêu ký t do ng i dùng chèn vào ng d ng web

2.3.7 T ng l a ng d ng WebKnight

WebKnight WAF [17] cho Microsoft IIS ơy lƠ m t b l c ISAPI cho máy ch web b ng cách ng n ch n các yêu c u x u Trong m t c u hình m c đ nh, t t c các yêu c u ch n đ c ghi l i và có th tùy ch nh d a trên nhu c u ng i qu n tr

2.3.8 T ng l a ng d ng Shadow Daemon

T ng l a ng d ng web Shadow Daemon [14] phát hi n, ghi vƠ ng n ch n các

cu c t n công web b ng cách l c theo yêu c u t các thông s đ c h i Nó đi kèm v i

m t giao di n riêng, có th th c hi n qu n tr và qu n lý WAF này Nó h tr PHP, Perl và Python

- Cross-site reques orgery

- Cross-site scripting

- Information Leakage

Dùng th / Tính phí

4 Barracuda - SQL Injection

- Cross-site scripting

- Cookie of Forms Tampering

- Brute Force Protection

Dùng th / Tính phí

5 Citrix - Buffer overflow

attacks Cookie security

- attacks

- Forceful browsing attacks

Dùng th / Tính phí

6 ModSecurity - HTTP Protocol

Protection

Mi n phí