Phân tích và đánh giá hệ thống phát hiện xâm nhập IDS

Tóm tắt nội dung chính Luận văn gồm phần mở đầu, 3 chương chính và cuối cùng là phần kết luận và hướng phát triển, cụ thể: Phần mở đầu Chương 1: Tổng quan về tấn công và một số kỹ thuậ

BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI

-

TRIỆU XUÂN NGHIÊM

PHÂN TÍCH VÀ ĐÁNH GIÁ HỆ THỐNG PHÁT HIỆN

BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI

-

TRIỆU XUÂN NGHIÊM

PHÂN TÍCH VÀ ĐÁNH GIÁ HỆ THỐNG PHÁT HIỆN

MỤC LỤC

Trang

MỞ ĐẦU 8

1 Lý do chọn đề tài 8

2 Mục đích, phương pháp, đối tượng, dự kiến kết quả nghiên cứu luận văn 9

Chương 1 TỔNG QUAN VỀ TẤN CÔNG VÀ MỘT SỐ KỸ THUẬT TẤN CÔNG MẠNG 11

1.1 Tổng quan về tấn công mạng 11

1.2 Một số kỹ thuật tấn công hệ thống mạng máy tính 11

1.2.1 Tấn công bị động (Passive attack) 11

1.2.2 Tấn công rải rác (Distributed attack) 12

1.2.3 Tấn công nội bộ (Insider attack) 12

1.2.4 Tấn công Phising 12

1.2.5 Tấn công mật khẩu (Password attack) 12

1.2.6 Khai thác lỗ hổng tấn công (Exploit attack) 13

1.2.7 Buffer overflow (lỗi tràn bộ đệm) 13

1.2.8 Tấn công bằng phần mềm độc hại 13

1.3 Tấn công từ chối dịch vụ (Denial of service attack) 13

1.3.1 Phân loại các dạng tấn công DoS/DDoS 14

1.3.2 Một số kiểu tấn công và các công cụ tấn công DoS/DDoS 24

Chương 2 GIẢI PHÁP PHÁT HIỆN VÀ PHÒNG CHỐNG TẤN CÔNG DOS/DDOS 30

2.1 Mô hình phát hiện tấn công DoS/DDoS 30

2.1.1 Mô hình đặt gần nạn nhân 30

2.1.2 Mô hình đặt gần đích tấn công 31

2.1.3 Mô hình đặt tại phần lõi của Internet 31

2.2 Một số hướng tiếp cận trong phát hiện và phòng chống DoS/DDoS 31

2.2.1 Giải pháp dành cho doanh nghiệp cung cấp Hosting 31

2.2.2 Giải pháp sử dụng IPS để lọc gói tin 32

2.2.3 Giải pháp sử dụng GeoIP DNS 32

2.2.4 Giải pháp sử dụng HAProxy 33

2.2.5 Giải pháp sử dụng hệ thống phát hiện xâm nhập mạng (IDS) 33

2.3 Phần mềm phát hiện và ngăn chặn xâm nhập Snort-Inline 37

2.3.1 Các cơ chế hoạt động của Snort -Inline 38

2.3.2 Kiến trúc của Snort 39

2.3.3 Cấu trúc luật (Rule) của Snort 40

Chương 3 TRIỂN KHAI THỬ NGHIỆM HỆ THỐNG PHÁT HIỆN XÂM NHẬP DỰA TRÊN SNORT 46

3.1 Mô phỏng, thử nghiệm hệ thống phát hiện xâm nhập dựa trên Snort .46

3.1.1 Kịch bản và sơ đồ mô phỏng thử nghiệm 46

3.1.2 Thử nghiệm hệ thống phát hiện xâm nhập 47

3.2 Nhận xét, đánh giá về hệ thống phát hiện xâm nhập, sử dụng Snort IDS 60

KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 62

TÀI LIỆU THAM KHẢO 64

LỜI CAM ĐOAN Tôi xin cam đoan: Luận văn thạc sĩ Công nghệ thông tin với đề tài “Phân tích

và đánh giá hệ thống phát hiện xâm nhập IDS” là công trình nghiên cứu thật sự

của cá nhân tôi dưới sự hướng dẫn của TS.Trần Quang Đức Các kết quả nêu trong luận văn là trung thực và chưa từng được công bố trong bất kỳ công trình nào khác Tôi xin chịu trách nhiệm về lời cam đoan này./

Hà Nội, ngày tháng năm 2018

Tác giả

Triệu Xuân Nghiêm

Cuối cùng tôi xin bày tỏ lòng biết ơn đến gia đình và những người bạn thân, đồng nghiệp đã giúp đỡ, động viên tôi rất nhiều trong quá trình học tập và làm luận văn

Do năng lực kiến thức chuyên môn còn có phần hạn chế nên luận văn em thực hiện chắc chắn không tránh khỏi những thiếu sót nhất định, rất mong nhận được sự thông cảm và ý kiến đóng góp của thầy, cô giáo

Em xin chân thành cảm ơn!

DANH MỤC CÁC CHỮ VIẾT TẮT VÀ KÝ HIỆU

TCP Transfer Control Protocol

UDP User Datagram Protocol

IP Internet Protocol

DDoS Distributed Denial Of Service

DoS Denial Of Service

IDS Intrusion Detection System

IPS Intrusion Prevention Systems

ICMP Internet Control Message Protocol

CNTT Công nghệ thông tin

DANH MỤC CÁC HÌNH

Hình 1: Phân loại các kiểu tấn công DoS/DDoS 15 Hình 2: Mô hình mạng Botnet 20 Hình 3: Mô hình mạng tấn công thông qua Data Center 20 Hình 4: Mô hình tấn công khuếch đại 21 Hình 5: Quá trình bắt tay ba bước 23 Hình 6: Mô hình tấn công X-Flash 29 Hình 7: Mô hình sử dụng IPS để lọc gói tin 32 Hình 8: Mô hình sử dụng GeoIP DNS

Hình 9: Minh họa hệ thống phát hiện và ngăn chặn xâm nhập

sử dụng Snort-Inline (Snort IPS/IDS)

32

38

Hình 10: Sơ đồ luồng dữ liệu đi qua Snort 39 Hình 11: Mô phỏng hệ thống thử nghiệm 46 Hình 12: Kết quả ping trên máy Attacker 47 Hình 13: Cảnh báo phát hiện Ping hoặc Scan Port từ Snort IDS 47 Hình 14: Quét cổng FIN Scan 48 Hình 15: Wireshark bắt gói tin FIN Scan 49 Hình 16: Snort phát hiện quét cổng FIN Scan 49 Hình 17: Quét cổng NULL Scan 50 Hình 18: Wireshark bắt gói tin NULL Scan 50 Hình 19: Snort IDS phát hiện quét cổng NULL Scan 51 Hình 20: Quét cổng XMAS Scan 51 Hình 21: Wireshark bắt gói tin XMAS Scan 51 Hình 22: Snort IDS phát hiện quét cổng XMAS Scan 52 Hình 23: Mô hình bắt tay ba bước 53 Hình 24: Tấn công DoS TCP SYN Flood 54 Hình 25: Wireshark bắt gói tin tấn công DoS TCP SYN Flood 54

Hình 26: Snort phát hiện tấn công TCP SYN Flood 56 Hình 27: Tấn công DoS UDP Flood 57 Hình 28: Wireshark bắt gói tin tấn công DoS UDP Flood 57 Hình 29: Snort phát hiện tấn công DoS UDP Flood 58 Hình 30: Tấn công DoS ICMP Flood 58 Hình 31: Wireshark bắt gói tin tấn công DoS ICMP Flood 59 Hình 32: Snort phát hiện tấn công DoS ICMP Flood 59

DANH MỤC CÁC BẢNG

Bảng 1 Cấu trúc Rule của Snort 40 Bảng 2 Cấu trúc Rule Header 40

hệ thống thông tin, gây tác hại vô cùng to lớn đến tính an toàn và bảo mật thông tin trên các hệ thống này

An toàn và bảo mật thông tin là một trong những vấn đề quan trọng hàng đầu khi thực hiện kết nối Internet Tuy nhiên, vẫn thường xuy n có các mạng bị tấn công, một số tổ chức bị đánh cắp thông tin, gián đoạn hoạt động của tổ chức, doanh nghiệp ngày càng tăng Đặc biệt trong những năm gần đây có rất nhiều vụ tấn công DoS/DDoS lớn, nhằm vào các hệ thống tổ chức chính phủ, sân bay, các tòa soạn báo online, quân đội, các công ty thương mại điện tử trên toàn thế giới,… gây n n những hậu quả vô cùng nghiêm trọng Những vụ tấn công này nhằm vào tất cả các máy tính có mặt trên mạng Internet, đa phần vì mục đích xấu và các cuộc tấn công không được báo trước, số lượng các vụ tấn công tăng l n nhanh chóng và các phương pháp tấn công cũng li n tục được hoàn thiện

Từ những vấn đề n u tr n, với mong muốn tìm hiểu, phân tích, nghi n cứu, thử nghiệm, so sánh về các cuộc tấn công, xâm nhập mạng cũng như đưa ra phương

án phòng chống phát hiện xâm nhập nhằm giảm tác hại gây ra đối với các hệ thống

mạng là hoàn toàn cấp thiết vì vậy tôi chọn đề tài luận văn “Phân tích và đánh giá

hệ thống phát hiện xâm nhập IDS”

2 Mục đích, phương pháp, đối tượng, dự kiến kết quả nghiên cứu luận văn Mục đích nghiên cứu

- Tìm hiểu khái quát về hệ thống phát hiện và phòng chống xâm nhập IDS, khái niệm, kiến trúc, cơ chế và nguy n lý hoạt động

- Tìm hiểu về các dạng tấn công DoS/DDoS và một số công cụ dùng để tấn công DoS điển hình mà các hacker thường sử dụng để tấn công hệ thống mạng

- Xây dựng hệ thống IDS, sử dụng mã nguồn mở Snort để phát hiện và ngăn chặn xâm nhập trái phép trong hệ thống mạng

- Xây dựng một số tập luật cơ bản cho hệ thống Snort, nhằm phát hiện các kiểu tấn công xâm nhập hệ thống mạng

- Đưa ra các đánh giá, so sánh các dạng tấn công và hệ thống phát hiện phòng chống xâm nhập IDS với mục đích tìm ra những ưu điểm, khuyết điểm nhằm nâng cao hệ thống một cách hoàn thiện hơn, tối ưu hơn

Phương pháp nghiên cứu

- Sử dụng hệ điều hành mã nguồn mở Kali-linux xây dựng kịch bản tấn công, xâm nhập hệ thống mạng

- Sử dụng hệ điều hành Centos 6.5 và dựa tr n đó xây dựng hệ thống phát hiện

và phòng chống xâm nhập bằng phần mềm mã nguồn mở Snort

- Nghi n cứu cấu trúc tập lệnh Rules của Snort, từ đó xây dựng những tập lệnh theo nhu cầu thực tế với mục đích đảm bảo cho hệ thống có thể phát hiện những cuộc tấn công hệ thống mạng

- Mô phỏng các hình thức quét cổng dựa tr n công cụ Nmap của máy chủ Kali-linux như: Ping, FIN Scan, Null Scan, XMAS Scan

- Mô phỏng các hình thức tấn công DoS/DDoS như: DoS SYN Flood, DoS UDP Flood, DoS ICMP Flood dựa tr n công cụ Hping3 của máy chủ Kali-linux

Đối tượng nghiên cứu

- Các hình thức tấn công phổ biến của Attacker vào hệ thống mạng

- Phần mềm mã nguồn mở Snort

- Cấu trúc của tập lệnh Rules

Dự kiến kết quả nghiên cứu

- Hoàn thiện việc tìm hiểu các kỹ thuật xâm nhập bất hợp pháp vào hệ thống mạng

- Xây dựng thành công hệ thống phát hiện xâm nhập IDS

- Xây dựng một số tập lệnh Rules có khả năng phát hiện các kiểu tấn công phổ biến như Scan hệ thống, tấn công từ chối dịch vụ (DoS/DDoS)

3 Tóm tắt nội dung chính

Luận văn gồm phần mở đầu, 3 chương chính và cuối cùng là phần kết luận và hướng phát triển, cụ thể:

Phần mở đầu

Chương 1: Tổng quan về tấn công và một số kỹ thuật tấn công mạng

Nội dung chương này gồm: Tổng quan về tấn công mạng; Một số kỹ thuật tấn công mạng máy tính, Giới thiệu và phân loại các dạng tấn công DoS/DDoS; Một số kiểu tấn công và các công cụ tấn công DoS/DDoS

Chương 2: Giải pháp phát hiện và phòng chống tấn công DoS/DDoS

Nội dung chương này gồm: Giới thiệu mô hình phát hiện DoS/DDoS; Một số hướng tiếp cận trong phát hiện và phòng chống DoS/DDoS trong đó đi sâu vào giải pháp xây dựng hệ thống phát hiện xâm nhập mạng (IDS); Giới thiệu phần mềm phát hiện và ngăn chặn xâm nhập Snort-Inline

Chương 3: Triển khai thử nghiệm hệ thống phát hiện xâm nhập dựa trên Snort

Nội dung chương này gồm: Mô phỏng, thử nghiệm hệ thống phát hiện và ngăn chặn xâm nhập dựa trên Snort; Nhận xét, đánh giá về hệ thống phát hiện xâm nhập,

sử dụng Snort

Kết luận và hướng phát triển

Tài liệu tham khảo

Chương 1 TỔNG QUAN VỀ TẤN CÔNG VÀ MỘT SỐ KỸ THUẬT TẤN CÔNG MẠNG

* Các tác nhân không có cấu trúc (unstructured Attacks): Các tác nhân này gây

ra bởi những hacker sử dụng những công cụ như password cracker, các chương trình sinh số credit card tự động,…

* Các tác nhân có cấu trúc (structured Attacks): Các tác nhân này gây ra bởi những hacker có trình độ cao

* Các tác nhân xuất phát từ bên ngoài: Những tác nhân này (bao gồm có cấu trúc hoặc không có cấu trúc) có nguồn gốc xuất phát từ bên ngoài

* Các tác nhân có nguồn gốc từ bên trong: Những tác nhân này gây ra phần lớn từ các nhân viên trong tổ chức, và gây ra nhiều điều đáng ngại hơn so với các tác nhân từ bên ngoài

1.2 Một số kỹ thuật tấn công hệ thống mạng máy tính

1.2.1 Tấn công bị động (Passive attack)

Trong một cuộc tấn công bị động, các hacker sẽ kiểm soát luồng dữ liệu không

bị mã hóa và tìm kiếm mật khẩu không được mã hóa đó (Clear text password), các thông tin nhạy cảm có thể được sử dụng trong các kiểu tấn công khác Các cuộc tấn

công bị động bao gồm phân tích traffic, giám sát các cuộc giao tiếp không được bảo

vệ, giải mã các traffic mã hóa yếu, và thu thập các thông tin xác thực như mật khẩu Các cuộc tấn công chặn bắt thông tin hệ thống mạng cho phép kẻ tấn công có thể xem xét các hành động tiếp theo Kết quả của các cuộc tấn công bị động là các thông tin hoặc file dữ liệu sẽ bị rơi vào tay kẻ tấn công mà người dùng không hề hay biết

1.2.2 Tấn công rải rác (Distributed attack)

Đối với các cuộc tấn công rải rác yêu cầu kẻ tấn công phải giới thiệu mã, chẳng hạn như một chương trình Trojan horse hoặc một chương trình back-door, với một thành phần “tin cậy” hoặc một phần mềm được phân phối cho nhiều công

ty khác và tấn công user bằng cách tập trung vào việc sửa đổi các phần mềm độc hại

của phần cứng hoặc phần mềm trong quá trình phân phối,…

1.2.3 Tấn công nội bộ (Insider attack)

Các cuộc tấn công nội bộ (Insider attack) li n quan đến người ở trong cuộc, chẳng hạn như một nhân vi n nào đó “bất mãn” với công ty của mình, Các cuộc tấn công nội bộ có thể gây hại hoặc vô hại

1.2.4 Tấn công Phising

Trong các cuộc tấn công Phising, các hacker sẽ tạo ra một trang web giả trông

“giống hệt” như các website phổ biến Trong các phần tấn công Phising, các hacker

sẽ gửi một email để người dùng click vào đó và điều hướng đến trang web giả mạo Khi người dùng đăng nhập thông tin tài khoản của họ, các hacker sẽ lưu lại tên người dùng và mật khẩu đó lại

1.2.5 Tấn công mật khẩu (Password attack)

Đối với các cuộc tấn công mật khẩu, các hacker sẽ cố gắng “phá” mật khẩu được lưu trữ tr n cơ sở dữ liệu tài khoản hệ thống mạng hoặc mật khẩu bảo vệ các tập tin Các cuộc tấn công mật khẩu bao gồm 3 loại chính: Các cuộc tấn công dạng

từ điển (dictionary attack), bru-force attack và Hybrid attack Cuộc tấn công dạng từ điển sử dụng danh sách các tập tin chứa các mật khẩu tiềm năng

1.2.6 Khai thác lỗ hổng tấn công (Exploit attack)

Đối với các cuộc tấn công bằng việc khai thác các lỗ hổng, yêu cầu các hacker phải hiểu biết về các vấn đề bảo mật trên hệ điều hành hoặc các phần mềm và tận dụng kiến thức này để khai thác lỗ hổng

1.2.7 Buffer overflow (lỗi tràn bộ đệm)

Một cuộc tấn công buffer attack xảy ra khi các hacker gửi dữ liệu tới một ứng dụng nhiều hơn so với dự kiến Và kết quả của cuộc tấn công buffer attack là các hacker tấn công truy cập quản trị hệ thống trên Command Prompt hoặc Shell

1.2.8 Tấn công bằng phần mềm độc hại

Phần mềm độc hại (Malicious Software), gọi tắt là malware, có một vị trí rất quan trọng trong thế giới công nghệ hiện đại Khởi đầu sớm nhất từ việc sử dụng các hệ thống có thể lập trình, tiếp cận để lây nhiễm chúng với các phần mềm có các chức năng độc hại, tuy nhiên trong quá khứ, phần mềm độc hại thường chỉ có tác động giới hạn hoặc cục bộ Sự thành công của Internet cũng trở thành điểm khởi đầu cho các báo cáo về sự lây nhiễm rộng rãi của malware ảnh hưởng tới vài triệu

hệ thống trên toàn cầu Với việc Internet có thể dễ dàng truy cập bởi mọi người và việc sử dụng các dịch vụ tài chính như mua sắm điện tử, ngân hàng điện tử phổ biến hiện nay, những người sử dụng thông thường với kiến thức công nghệ thấp trở thành mục tiêu hứa hẹn của tội phạm

1.3 Tấn công từ chối dịch vụ (Denial of service attack)

Tấn công từ chối dịch vụ – tấn công DoS (Denial of Service) hay tấn công từ chối dịch vụ phân tán – tấn công DDoS (Distributed Denial of Service) là một nỗ

lực làm cho người dùng không thể sử dụng tài nguyên của một máy tính Mặc dù phương tiện để tiến hành, động cơ, mục tiêu của tấn công DoS và DDoS có thể khác nhau, nhưng nói chung nó gồm có sự phối hợp, sự cố gắng hay ác ý của một người hay nhiều người để một website, hoặc một hệ thống mạng không thể sử dụng được, làm gián đoạn, và làm cho hệ thống đó chậm đi một cách đáng kể với người dùng bình thường, bằng cách làm quá tải tài nguyên hệ thống

Đây là một phương thức tấn công phổ biến kéo theo sự bão hòa nạn nhân với các yêu cầu liên lạc b n ngoài, đến mức nó không thể đáp ứng giao thông hợp pháp, hoặc đáp ứng quá chậm Trong điều kiện chung, các cuộc tấn công DoS được bổ sung bởi ép máy mục tiêu khởi động lại hoặc tiêu thụ hết tài nguyên của nó đến mức nó không cung cấp dịch vụ, hoặc làm tắc nghẽn liên lạc giữa người sử dụng và nạn nhân Trung tâm ứng cứu máy tính khẩn cấp Hoa Kỳ xác định dấu hiệu của một

vụ tấn công từ chối dịch vụ gồm có:

- Mạng thực thi chậm khác thường khi mở tập tin hay truy cập website;

- Không thể dùng một Website cụ thể;

- Không thể truy cập bất kỳ Website nào;

- Tăng lượng thư rác nhận được

Không phải tất cả các dịch vụ đều ngừng chạy, thậm chí đó là kết quả của một hoạt động nguy hại, tất yếu của cuộc tấn công DoS Tấn công từ chối dịch vụ cũng

có thể dẫn tới vấn đề nhánh mạng của máy đang bị tấn công Trong đó nổi bật là tấn công từ chối dịch vụ phân tán DDoS

DDoS (Distributed Denial of Service) là kiểu tấn công đưa một hệ thống

cung cấp dịch vụ đến mức hoạt động về tài nguyên, hay gây nhầm lẫn đến logic

ngừng hoạt động Khác với DoS (Denial of Service) là chỉ cần một máy để tấn

công, DDoS sử dụng nhiều máy tính bị chiếm quyền điều khiển kết nối với nhau

(mạng Botnet) để tấn công nên sức hủy hoại rất lớn

1.3.1 Phân loại các dạng tấn công DoS/DDoS

Các cuộc tấn công DoS/DDoS thường được tin tặc thực hiện bằng cách tấn công vào hệ thống mạng và trong đó tấn công DDoS là kẻ tấn công huy động một

số lượng rất lớn các máy tính có kết nối Internet bị chiếm quyền điều khiển – tập hợp các máy này được gọi là mạng máy tính ma hay mạng bot, hoặc botnet Các máy của botnet có khả năng gửi hàng ngàn yêu cầu giả mạo mỗi giây đến hệ thống cho nạn nhân, gây ảnh hưởng nghiêm trọng đến chất lượng dịch vụ cung cấp cho người dùng Do các yêu cầu của tấn công DDoS được gửi rải rác từ nhiều máy ở nhiều vị trí địa lý nên rất khó phân biệt với các yêu cầu của người dùng hợp pháp

Một trong các khâu cần thiết trong việc đề ra các biện pháp phòng chống DDoS hiệu quả là phân loại các dạng tấn công DDoS có thể được phân loại dựa trên 6 tiêu chí chính:

1.3.1.1 Dựa trên phương pháp tấn công

Phân loại DDoS dựa tr n phương pháp tấn công là một trong những phương pháp phân loại cơ bản nhất Theo tiêu chí này, DDoS có thể được chia làm 2 dạng gồm tấn công gây ngập lụt và tấn công logic:

Hình 1: Phân loại các kiểu tấn công DDoS Tấn công gây ngập lụt (Flooding attacks): Trong tấn công gây ngập lụt, tin

tặc tạo một lượng lớn các gói tin tấn công giống như các gói tin hợp lệ và gửi đến

hệ thống nạn nhân làm cho hệ thống không thể phục vụ người dùng hợp pháp Đối tượng của tấn công dạng này là băng thông mạng, không gian đĩa, thời gian của CPU,…

Tấn công logic (Logical acttacks): Tấn công logic thường khai thác các tính

năng hoặc các lỗi cài đặt của giao thức hoặc dịch vụ chạy trên hệ thống nạn nhân, nhằm làm cạn kiệt tài nguyên hệ thống

1.3.1.2 Dựa trên mức độ tự động

Theo mức độ tự động, có thể chia tấn công DDoS thành 3 dạng

- Tấn công thủ công: Tin tặc trực tiếp quét các hệ thống tìm lỗ hổng, đột nhập vào hệ thống, cài đặt mã tấn công và ra lệnh kích hoạt tấn công Chỉ những tấn công DDoS trong giai đoạn đầu mới được thực hiện thủ công

- Tấn công bán tự động: Trong dạng này, mạng lưới thực hiện tấn công DDoS bao gồm các máy điều khiển (Master/Handler) và các máy Agent (Slave, Deamon, Zombie, Bot) Các giai đoạn tuyển chọn máy Agent, khai thác lỗ hổng và lây nhiễm được thực hiện tự động Trong giai đoạn tấn công, tin tặc gửi các thông tin bao gồm kiểu tấn công, thời điểm bắt đầu, khoảng thời gian duy trì tấn công và đích tấn công đến các Agent thông qua các handler Các Agent sẽ theo lệnh gửi các gói tin tấn công đến hệ thống nạn nhân

- Tấn công tự động: Tất cả các giai đoạn trong quá trình tấn công DDoS, từ tuyển chọn máy Agent, khai thác lỗ hổng, lây nhiễm đến thực hiện tấn công đều được thực hiện tự động Tất cả các tham số tấn công đều được lập trình sẵn và đưa vào mã tấn công, và tin tặc chỉ cần kích hoạt giai đoạn tuyển chọn các máy Agent

1.3.1.3 Dựa trên giao thức mạng

Dựa trên giao thức mạng, tấn công DDoS có thể chia thành 2 dạng:

- Tấn công vào tầng mạng hoặc giao vận: Ở dạng này, các gói tin TCP, UDP

và ICMP được sử dụng để thực hiện tấn công

- Tấn công vào tầng ứng dụng: Ở dạng này, các tấn công thường hướng đến dịch vụ thông dụng ứng với các giao thức tầng ứng dụng như: HTTP, DNS, và SMTP Tấn công DDoS tầng ứng dụng cũng có thể gây ngập lụt đường truyền và tiêu hao tài nguyên máy chủ, làm ngắt quãng khả năng cung cấp dịch vụ cho người dùng hợp pháp Dạng tấn công này cũng rất khó phát hiện do các yêu cầu tấn công tương tự yêu cầu người dùng hợp pháp

1.3.1.4 Dựa trên phương pháp giao tiếp

Thông thường, để thực hiện tấn công DDoS, tin tặc phải tuyển chọn và chiếm quyền điều khiển một số lượng lớn các máy tính có kết nối Internet, và các máy tính sau này khi bị cài phần mềm Agent trở thành các Bots – công cụ giúp tin tặc thực hiện tấn công DDoS Tin tặc thông qua các máy điều khiển (Master) giao tiếp với các Bots để gửi thông tin và các lệnh điều khiển tấn công Theo phương thức giao tiếp giữa các Master và Bots, có thể chia tấn công DDoS thành 4 dạng:

- DDoS dựa trên Agent-Handler: Tấn công DDoS dựa trên dạng này bao gồm các thành phần: Clients, Handles và Agents (Bots/Zombies) Tin tặc chỉ giao tiếp trực tiếp với Clients Clients sẽ giao tiếp với Agents thông qua Handlers Nhận được lệnh và các thông tin thực hiện tấn công, Agents trực tiếp thực hiện việc tấn công

- DDoS dựa trên IRC: Internet Relay Chat (IRC) là một hệ thống truyền thông điệp trực tuyến cho phép nhiều người dùng tạo kết nối và trao đổi các thông điệp theo thời gian thực Trong dạng tấn công DDoS này tin tặc sử dụng IRC làm kênh giao tiếp với các Agents, không sử dụng Handlers

- DDoS dựa trên Web: Trong dạng tấn công này, tin tặc sử dụng các trang Web làm phương tiện giao tiếp qua kênh HTTP thay cho kênh IRC Các trang Web của tin tặc được sử dụng làm trung tâm điều khiển và lây nhiễm các phần mềm độc hại, các công cụ khai thác các lỗ hổng an ninh, cài đặt các Agents chiếm quyền điều khiển hệ thống máy tính và biến chúng thành các Bots Các Bots có thể được xác lập cấu hình hoạt động từ đầu, hoặc chúng có thể gửi các thông điệp đến trang web điều khiển thông qua các giao thức web phổ biến như HTTP và HTTPS

- DDoS dựa trên P2P: Ở dạng này, tin tặc sử dụng giao thức Peer to Peer – một giao thức ở tầng ứng dụng làm kênh giao tiếp Bản chất của các mạng P2P là phân tán nên rất khó để phát hiện các Bots giao tiếp với nhau thông qua kênh này

1.3.1.5 Dựa trên cường độ tấn công

Dựa tr n cường độ hoặc tần suất gửi yêu cầu tấn công, có thể phân loại tấn

công DDoS thành 5 dạng:

- Tấn công cường độ cao: Là dạng tấn công gây ngắt quãng dịch vụ bằng cách gửi cùng một thời điểm một lượng rất lớn các yêu cầu từ các máy Agents/Zombies nằm phân tán trên mạng

- Tấn công cường độ thấp: Các Agents/Zombies được phối hợp sử dụng để gửi một lượng lớn các yêu cầu giả mạo, nhưng với tần suất thấp, làm suy giảm dần dần hiệu năng mạng Dạng tấn công này rất khó bị phát hiện do lưu lượng tấn công tương tự như lưu lượng đến từ người dùng hợp pháp

- Tấn công cường độ hỗn hợp: Là dạng kết hợp giữa tấn công cường độ cao và tấn công cường độ thấp Đây là dạng tấn công phức hợp, trong đó tin tặc thường sử dụng các công cụ để sinh các gói tin tấn công gửi với tần suất cao và thấp

- Tấn công cường độ liên tục: Là dạng tấn công được thực hiện liên tục với cường độ tối đa trong suốt khoảng thời gian từ khi bắt đầu đến khi kết thúc

- Tấn công cường độ thay đổi: Đây là dạng tấn công có cường độ thay đổi động nhằm tránh bị phát hiện và đáp trả

1.3.1.6 Dựa trên việc khai thác các lỗ hổng an ninh

Dựa trên việc khai thác các điểm yếu và lỗ hổng an ninh, tấn công DDoS có thể được phân thành 3 dạng:

a) Tấn công gây cạn kiệt băng thông

Các tấn công DDoS dạng này được thiết kế để gây ngập lụt hệ thống mạng của nạn nhân bằng các yêu cầu truy nhập giả mạo, làm người dùng hợp pháp không thể truy nhập dịch vụ Tấn công dạng này thường gây tắc nghẽn đường truyền bằng lượng yêu cầu giả mạo rất lớn gửi bởi các máy tính ma (Zombies) của các Botnets Dạng tấn công này cũng còn được gọi là tấn công gây ngập lụt hoặc tấn công khuếch đại Tấn công làm cạn kiệt băng thông hệ thống được chia làm hai loại:

- Tấn công làm tràn ngập (Flood attack): Trong phương pháp này, các

Agent sẽ gửi một lượng lớn IP traffic làm hệ thống dịch vụ của mục tiêu bị chậm lại, hệ thống bị treo hay đạt đến một trạng thái hoạt động bão hòa Làm cho những người dùng thực sự của hệ thống không sử dụng được dịch vụ Ta có thể chia Flood attack thành hai loại:

+ UDP Flood attack: do tính chất kết nối không cần bắt tay của UDP, hệ

thống nhận UDP message chỉ đơn giản nhận vào tất cả các packet mình cần phải xử

lý Một lượng lớn các UDP packet được gửi đến hệ thống dịch vụ của mục tiêu sẽ đẩy toàn bộ hệ thống đến ngưỡng tới hạn Các UDP packet này có thể được gửi đến nhiều port tùy ý hay chỉ duy nhất một port Thông thường là sẽ gửi đến nhiều port làm cho hệ thống mục tiêu phải căng ra để xử lý phân hướng cho các packet này Nếu port bị tấn công không sẵn sàng thì hệ thống mục tiêu sẽ gửi ra một ICMP packet loại “destination port unreachable” Thông thường các Agent sẽ dùng địa chỉ

IP giả để che giấu hành tung, cho nên các packet trả về do không có port xử lý sẽ dẫn đến một địa chỉ IP khác UDP Flood attack cũng có thể làm ảnh hưởng đến các kết nối xung quanh mục tiêu do sự hội tụ của packet diễn ra rất mạnh

+ ICMP Flood Attack: được thiết kế nhằm mục đích quản lý mạng cũng như

định vị thiết bị mạng Khi các Agent gửi một lượng lớn ICMP_ECHO_REPLY đến

hệ thống mục tiêu thì hệ thống này phải reply một lượng tương ứng Packet để trả lời, sẽ dẫn đến nghẽn đường truyền Tương tự trường hợp tr n, địa chỉ IP của các Agent có thể bị giả mạo

Một Botnet là mạng của hệ thống bị xâm nhập có kết nối Internet mà có thể được sử dụng để gửi thư rác, tham gia vào các cuộc tấn công DDoS, hoặc thực hiện các nhiệm vụ bất hợp pháp khác Bot là viết tắt của Robot, tức là các chương trình

tự động hóa Các hệ thống bị xâm nhập thường được gọi là các Zombie Các Zombie có thể lây nhiễm cho các hệ thống khác để nó trở thành các Zombie theo các cơ chế lây truyền mã độc ở trên Ví dụ về một mạng Botnet điển hình được sử dụng để tấn công DDoS:

Trong ví dụ này, kẻ tấn công kiểm soát các Zombie để khởi động một cuộc tấn công DDoS với cơ sở hạ tầng của nạn nhân Những Zombie chạy một kênh bí mật

để giao tiếp với các máy chủ ra lệnh và kiểm soát các điều khiển tấn công Thông tin liên lạc này thường diễn ra tr n Internet Relay Chat (IRC), các k nh được mã hóa, peer-to-peer và thậm chí là các mạng xã hội

Hình 2: Mô hình mạng Botnet

Với sự ra đời của dịch vụ điện toán đám mây và các nhà cung cấp, một xu hướng mới đã xuất hiện Những kẻ tấn công có thể thuê hoặc xâm nhập và điều khiển trung tâm dữ liệu/ đám mây lớn để khởi động các cuộc tấn công DDoS

Hình 3: Mô hình tấn công thông qua Data Center

Điện toán đám mây không chỉ tạo cơ hội mới cho các tổ chức hợp pháp, nó cũng cung cấp một nền tảng tuyệt vời cho tội phạm mạng bởi vì nó rẻ tiền và thuận tiện cho phép họ sử dụng tài nguyên máy tính mạnh mẽ để làm điều xấu Khái niệm này được minh họa trong hình 3

- Tấn công khuếch đại (Amplification attack): Điều khiển các Agent hay

Client gửi một request đến một địa chỉ IP broadcast của mạng, một máy chủ dịch vụ với địa chỉ nguồn của gói tin là địa chỉ của nạn nhân làm cho tất cả các máy trong mạng này hoặc các máy chủ dịch vụ đồng loạt gửi gói replies đến hệ thống dịch vụ của nạn nhân Phương pháp này làm gia tăng traffic vô ích, làm cho hệ thống của nạn nhân không có khả năng đáp ứng băng thông dành cho các dịch vụ đối với khách hàng của mình Có thể chia tấn công khuếch đại thành hai loại là Smuft và Fraggle attack:

+ Smuft attack: trong kiểu tấn công này attacker gửi packet đến network

amplifier (router hay thiết bị mạng khác hỗ trợ broadcast) với địa chỉ của nạn nhân Thông thường những packet được dùng là ICMP ECHO REQUEST, các packet này yêu cầu bên nhận phải trả lời bằng một ICMP ECHO REPLY packet Network amplifier sẽ gửi đến ICMP ECHO Attacker/Agent VICTIM Host Amplifier, Amplifier Network System sẽ REQUEST packet đến tất cả các hệ thống thuộc địa chỉ broadcast và tất cả các hệ thống này sẽ REPLY packet về địa chỉ IP của mục tiêu tấn công Smuft Attack

Hình 4: Mô hình tấn công khuếch đại

+ Fraggle Attack: tương tự như Smuft attack nhưng thay vì dùng ICMP

ECHO REQUEST packet thì sẽ dùng UDP ECHO packet gửi đến mục tiêu Thật ra còn một biến thể khác của Fraggle attack sẽ gửi đến UDP ECHO packet đến chargen port (port 19/UNIX) của mục tiêu, với địa chỉ bên gửi là echo port (port 7/UNIX) của mục tiêu, tạo nên một vòng lặp vô hạn Attacker phát động cuộc tấn công bằng một ECHO REQUEST với địa chỉ bên nhận là một địa chỉ broadcast, toàn bộ hệ thống thuộc địa chỉ này lập tức gửi REPLY đến port echo của nạn nhân, sau đó từ nạn nhân một ECHO REPLY lại gửi trở về địa chỉ broadcast, quá trình cứ thế tiếp diễn Đây chính là nguy n nhân Flaggle Attack nguy hiểm hơn Smuft Attack rất nhiều

b) Tấn công gây cạn kiệt tài nguyên

Trong kiểu tấn công này attacker có thể gửi những gói tin dùng các giao thức sai chức năng thiết kế, hay gửi những gói tin có kích thức bất thường với mục đích làm cho hệ thống phải sử dụng hết tài nguy n để xử lý những gói tin này và sẽ không thể đáp ứng được yêu cầu dịch vụ của các khách hàng Nguồn lực cần thiết cho cuộc tấn công sẽ phụ thuộc vào bản chất của các nguồn tài nguyên bị tấn công, lượng tài nguyên các mục tiêu có thể đáp ứng, và các tình huống giảm nhẹ khác như khả năng của mục tiêu có thể phát hiện, chuyển hướng và ngăn chặn các cuộc tấn công cạn kiệt tài nguyên

c) Tấn công vào các giao thức (Protocol Exploit Attack)

- TCP SYN attack flooding: Đây là một dạng tấn công đơn giản và dễ hiểu

nhất của tấn công từ chối dịch vụ Phương thức này dựa vào đặc điểm của giao thức TCP là bắt tay ba bước vào sự thiếu cẩn trọng trong việc quản lý tài nguyên của hệ điều hành để chiếm dụng tài nguyên và làm treo hệ thống

TCP SYN Attack: Transfer Control Protocol (TCP) hỗ trợ truyền nhận với độ tin cậy cao nên sử dụng phương thức bắt tay giữa bên gửi và bên nhận trước khi truyền dữ liệu Bước đầu tiên, bên gửi sẽ gửi một SYN REQUEST packet (Synchronize) Bên nhận nếu nhận được SYN REQUEST sẽ trả lời bằng SYN/ACK

REPLY packet Bước cuối cùng, bên gửi sẽ truyền packet cuối cùng ACK và bắt đầu truyền dữ liệu

Hình 5: Quá trình bắt tay ba bước

Nếu b n server đã trả lời một yêu cầu SYN bằng một SYN/ACK REPLY nhưng không nhận được ACK packet cuối cùng sau một khoảng TCP Client, Client Port 1024-65535 TCP Server Service Port 1-1023 SYS ACK SYN/ACK 80 thời gian quy định thì nó sẽ resend lại SYN/ACK REPLY cho đến hết thời gian timeout Toàn bộ tài nguyên hệ thống “dự trữ” để xử lý phiên giao tiếp nếu nhận được ACK packet cuối cùng sẽ bị “phong tỏa” cho đến hết thời gian timeout Nắm được điểm yếu này, Attacker gửi một SYN packet đến nạn nhân với địa chỉ bên gửi là giả mạo, kết quả là nạn nhân gửi SYN/ACK REPLY đến một địa chỉ khác và sẽ không bao giờ nhận được ACK packet cuối cùng, cho đến hết thời gian timeout nạn nhân mới nhận ra được điều này và giải phóng các tài nguyên hệ thống Tuy nhiên, nếu lượng SYN packet giả mạo đến với số lượng nhiều và dồn dập, hệ thống của nạn nhân có

thể bị hết tài nguyên

Đây là cách tấn công dựa vào đặc điểm cơ bản của mạng nên không có cách

để chặn đứng hoàn toàn Chúng ta có thế giới hạn nó xuống mức thiệt hại thấp nhất như giới hạn số lượng gói SYN đến máy chủ/ giây Hoặc có một số phương pháp khác như: tăng backlog, kích hoạt SYN Cache, SYN cookies, đặt một firewall hoặc poxy phía trước,

Điểm mạnh: Dễ thực hiện, luôn nguy hiểm nếu biết cách tận dụng và công cụ

có sẵn rất nhiều

Điểm yếu: Đây là kiểu tấn công cơ bản nên cách thức phòng chống khá nhiều

Ví dụ như đặt lại thời gian timeout,…

- PUSH + ACK attack: Trong kiểu tấn công này, attacker sử dụng đặc tính

của giao thức TCP để tấn công nạn nhân Trong giao thức TCP, các gói tin được gửi đến các TCP stack nằm trong bộ đệm (buffer) và khi bộ đệm đầy, các gói tin này được gửi đến hệ thống có thể tiếp nhận chúng Tuy nhiên, bên gửi có thể yêu cầu hệ thống unload buffer trước khi bộ đệm đầy bằng cách gửi một gói tin với bit PUSH

và ACK mang giá trị là 1 PUSH và ACK là một bit cờ TCP header Tương tự như SYN attack, PUSH + ACK attack làm cạn kiệt tài nguyên hệ thống nạn nhân bằng cách đồng loạt gửi những gói tin TCP với bit PUSH và ACK có giá trị bằng 1 làm cho hệ thống nạn nhân phải liên tục unload bộ đệm và kết quả là hệ thống của nạn nhân không thể xử lý được

- Malformed Packet Attack: Malformed Packet Attack là cách tấn công dùng

các Agent để gửi các packet có cấu trúc không đúng chuẩn nhằm làm cho hệ thống của nạn nhân bị treo Có hai loại Malformed Packet Attack:

+ IP address attack: dùng packet có địa chỉ gửi và nhận giống nhau làm cho hệ điều hành của nạn nhân không xử lý nổi và bị treo

+ IP packet options attack: ngẫu nhiên hóa vùng Option trong IP Packet và thiết lập tất cả các bit QoS l n 1, điều này làm cho hệ thống của nạn nhân phải tốn thời gian phân tích, nếu sử dụng số lượng lớn Agent có thể làm hệ thống nạn nhân hết khả năng xử lý

1.3.2 Một số kiểu tấn công và các công cụ tấn công DoS/DDoS

1.3.2.1 Một số kiểu tấn công DoS/DDoS

a) Ping of Death

Đây cũng là một kiểu tấn công khá dễ hiểu Khi một máy tính nhận một gói ICMP có kích thước dữ liệu quá lớn, nó có thể bị crash Kiểu tấn công này rất thường gặp trong các hệ điều hành Windows NT trở xuống Đối với các hệ điều hành đời mới thì việc tấn công này trở n n khó khăn hơn Tuy nhi n đôi khi các lỗi này vẫn xuất hiện trong các gói phần mềm Điển hình như Windows IIS Web

Server – “Ping of Death” exploit (CVE-2015-1635) tr n các máy chủ Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012, Windows 8.1 và Windows Server 2012 R2 sử dụng IIS Web Server

Đây là 1 kiểu tấn công khá nguy hiểm, nhưng ngày nay thì nó không thực sự hiệu quả Hầu hết các ISP chặn được gói tin ICMP hoặc gói tin ping ngay tại tường lửa Tuy nhi n, có rất nhiều hình thức khác của cuộc tấn công này nhằm vào đích là các phần cứng hoặc 1 ứng dụng duy nhất

b) SMURF attack

Điều khiển các agent hay client tự gửi messgage đến một địa chỉ IP broadcast làm cho tất cả các máy trong subnet này gửi message đến hệ thống dịch vụ của mục

ti u làm gia tăng traffic không cần thiết và làm suy giảm băng thông mục tiêu

Hai nhân tố chính trong Smuft attack là các IMCP echo request packets và

chuyển trực tiếp cho các packets đến các địa chỉ broadcast

Giao thức ICMP thường dùng để xác định một máy tính trên mạng Internet có hoạt động (active) hay không Để xác định một máy còn hoạt động không (alive), bạn cần gửi 1 ICMP echo request đến máy đó Khi máy nhận được packet này, nó

sẽ gửi trả lại bạn một ICMP echo packet Trong trường hợp bạn không nhận được ICMP echo reply packet, điều này có nghĩa là máy đó không còn hoạt động (not alive) Đây cũng chính là cách hoạt động của các chương trình ping

Mỗi mạng máy tính đều có địa chỉ broadcast và địa chỉ mạng Địa chỉ mạng có các bit host đều bằng 0 và địa chỉ broadcst có các bit host đều bằng 1 Khi một packet được gửi đến địa chỉ broadcast, lập tức packet này sẽ được chuyển đến tất cả các máy trong mạng

Trong Smurf Attack, cần có 3 thành phần: Hacker (người tạo ra lệnh tấn

công), mạng khuếch đại (sẽ nghe lệnh của hacker) và nạn nhân Hacker sẽ gửi các ICMP echo request packets đến địa chỉ broadcast của mạng khuếch đại Điều đặc biệt là các ICMP echo request packet này có địa chỉ IP nguồn chính là địa chỉ IP của nạn nhân Khi các packet đó đến được địa chỉ boardcast của mạng khuếch đại, lập tức tất cả các máy tính trong mạng khuếch đại sẽ nhận được các packet này

Các máy này tưởng rằng máy tính nạn nhân đã gửi ICMP echo request packets đến (do hacker đã làm giả địa chỉ IP nguồn), lập tức chúng sẽ đồng loạt gửi trả lại

hệ thống nạn nhân các ICMP reply echo request packet Hệ thống máy nạn nhân sẽ không chịu nổi một khối lượng khổng lồ packet và nhanh chóng bị ngừng hoạt động, crash hoặc request packet đi, bạn có thể thấy rằng hacker chỉ cần gửi một lượng nhỏ các ICMP echo request packet đi, và hệ thống mạng khuếch đại sẽ khuếch đại lượng ICMP echo request packet này lên gấp bội

c) UDP Flood

UDP (User Datagram Protocol) là một giao thức kết nối không tin cậy Một cuộc tấn công gây ngập lụt UDP có thể được bắt đầu bằng cách gửi một số lượng lớn các gói tin UDP tới cổng ngẫu nhi n tr n một máy chủ từ xa và kết quả là các máy chủ ở xa sẽ:

+ Kiểm tra các ứng dụng với cổng;

+ Thấy rằng không có ứng dụng nghe ở cổng;

+ Trả lời với một ICMP Destination Unreachable gói

Như vậy, hệ thống nạn nhân sẽ bị buộc nhận nhiều gói tin ICMP, dẫn đến mất khả năng xử lý các y u cầu của các khách hàng thông thường Những kẻ tấn công cũng có thể giả mạo địa chỉ IP của gói tin UDP, đảm bảo rằng ICMP gói trở lại quá mức không tiếp cận họ, và nặc danh hóa vị trí mạng của họ Hầu hết các hệ điều hành sẽ giảm nhẹ một phần của cuộc tấn công bằng cách hạn chế tốc độ phản ứng ICMP được gửi đi

d) Peer-to-Peer

Peer-to-Peer là kết nối mạng ngang hàng, nó tạo cơ hội cho kẻ tấn công Lý do

là thay vì dựa vào một máy chủ trung tâm, một peer sẽ phát trực tiếp một truy vấn vào mạng, và bất cứ ai có nguồn lực được mong muốn sẽ đáp ứng Thay vì sử dụng một máy chủ để đẩy lưu lượng đến đích, máy peer-to-peer được khai thác để định tuyến lưu lượng đến đích Khi được thực hiện thành công, hacker sử dụng file-sharing sẽ được gửi đến mục ti u (Target) cho đến khi mục tiêu bị quá tải, ngập lụt

và ngừng kết nối

e) ICMP Flooding hoặc Ping Flooding

Ping tấn công hoặc tấn công ICMP Flood là một loại đơn giản tấn công DoS, trong đó mục ti u là bắn phá bởi các gói tin ICMP Echo request Nó là một trong những loại nguy n thủy nhất của tấn công DoS Nó có nhiều khả năng để thực hiện gây ra ping flood Chúng có thể gửi nhiều byte dữ liệu hơn giới hạn dữ liệu có kích thước phi n bản của số ping của 65.500 bytes

Một gói tin như vậy khi được gửi đi thì sẽ bị chia nhỏ ra thành các segment nhỏ hơn, nhưng khi máy đích ráp lại, host đích nhận thấy rằng là gói tin quá lớn đối với đối với buffer b n nhận Kết quả là hệ thống không thể quản lý nổi tình trạng bất thường này và sẽ reboot hoặc bị treo

1.3.2.2 Một số công cụ tấn công DoS/DDoS

- Trinoo: Trinoo là một công cụ tấn công từ chối dịch vụ bằng kĩ thuật UDP

Flood được kết hợp từ nhiều nguồn Một cuộc tấn công DDoS bằng Trinoo được thực hiện bởi kết nối của attacker đến một hay nhiều Trinoo Master và chỉ dẫn cho Master phát động tấn công DDoS đến một hoặc nhiều mục tiêu Master sẽ liên lạc với các daemons để ra lệnh cho các daemons gửi các UDP packet đến mục tiêu

- UDP Flood: UDP Flood là một chương trình gửi các gói tin UDP, nó gửi ra

ngoài những gói tin UDP tới một địa chỉ IP và port không cố định Gói tin có khả năng là một đoạn mã văn bản hay một số lượng dữ liệu được sinh ngẫu nhiên hay từ một file UDP Flood cũng có thể được sử dụng để kiểm tra khả năng đáp ứng của Server

- Stacheldraht: Stacheldraht là sự kết hợp các tính năng của Trinoo và TFN,

bên cạnh đó còn th m khả năng mã hóa giao tiếp giữa attacker và stacheldraht masters Stacheldraht cung cấp cho attacker khá nhiều phương thức tấn công từ chối dịch vụ: ICMP flood, SYN flood, UDP flood, và Smurf

- Land and LaTierra: Là công cụ tấn công DoS với cách thức giả mạo địa

chỉ IP được kết hợp với quá trình mở các kết nối giữa hai máy tính Cả hai địa chỉ

IP, địa chỉ nguồn (source) và địa chỉ IP đích, được chỉnh sửa thành một địa chỉ của

IP đích khi đó kết nối giữa máy A và máy B đang được thực hiện nếu có tấn công

này xảy ra thì kết nối giữa hai máy A và B sẽ bị ngắt kết nối Kết quả này do địa chỉ

IP nguồn và địa chỉ IP đích của gói tin giống nhau và gói tin không thể đi đến đích cần đến

- Trinity: Trinity có hầu hết các kỹ thuật tấn công bao gồm: UDP, TCP SYS,

TCP ACK, TCP fragment, TCP NULL, TCP RST, TCP random flag, TCP ESTABLISHED packet flood Nó có sẵn khả năng ngẫu nhi n hóa địa chỉ bên gửi Trinity cũng hỗ trợ TCP flood packet với khả năng ngẫu nhiên tập CONTROL FLAG Trinity có thể nói là một trong số các công cụ DDoS nguy hiểm nhất

- Shaft: Shaft có các kĩ thuật tấn công UDP, ICMP và TCP flood Có thể tấn

công phối hợp nhiều kiểu cùng lúc Có thống kê chi tiết cho phép attacker biết tình trạng tổn thất của nạn nhân, mức độ quy mô của cuộc tấn công để điều chỉnh số lượng Agent

- X-Flash: Vấn đề then chốt của hacker tấn công bằng hình thái cổ điển là

nắm quyền điều khiển càng nhiều máy tính càng tốt, sau đó hacker sẽ trực tiếp phát động tấn công hàng loạt từ xa thông qua một kênh điều khiển Với quy mô mạng lưới tấn công bao gồm vài trăm nghìn máy, hình thái này có thể đánh gục ngay lập tức bất cứ hệ thống nào Phối hợp với khả năng giả mạo địa chỉ IP, kiểu tấn công này sẽ rất khó lần theo dấu vết Mô hình này có một số nhược điểm:

- Mạng lưới tấn công là cố định và tấn công xảy ra đồng loạt nên rất dễ điều tra ngược tìm manh mối Software cài lên các Infected Agent là giống nhau và có thể dùng làm bằng chứng kết tội hacker

- Phía nạn nhân có thể điều chỉnh hệ thống phòng vệ để ngăn chặn vì mạng lưới tấn công là “khả kiến” Hacker buộc phải trực tiếp kết nối đến mạng lưới các máy tấn công tại thời điểm tấn công để điều khiển nên rất dễ lần ra thủ phạm

Cách tấn công: Hacker treo một file flash trên một website trung gian có nhiều người truy xuất, người dùng truy xuất website này file flash sẽ được tải về máy và được chương trình Flash thực thi Từ đây vô số các yêu cầu truy xuất sẽ gửi đến website mục tiêu Flash DDoS có một số đặc tính khiến cho việc ngăn chặn và phát hiện gần như là không thể Do mạng lưới tấn công phức tạp và tự hình thành:

+ Không cần thiết phải nắm quyền điều khiển và cài DDoS software vào các infected agent Thay vào đó mọi user với một trình duyệt có hỗ trợ nội dung Flash (có Flash player) sẽ trở thành công cụ tấn công

+ Số lượng attack agent tùy thuộc vào số lượng user truy xuất các website đã

bị hacker “nhúng” nội dung flash, số lượng này thay đổi theo thời gian và hoàn toàn không thể nhận biết địa chỉ IP nguồn, vì đây là các user thông thường

+ Không hề có quá trình gửi lệnh và nhận báo cáo giữa hacker và mạng lưới tấn công, toàn bộ lệnh tấn công được “nhúng” trong nội dung trên flash và hacker không cần nhận báo cáo do đây là mô hình tấn công bất đồng bộ

+ Tấn công bất đồng bộ: việc tấn công diễn ra không cần có mệnh lệnh User truy xuất website, load nội dung flash về trình duyệt và Flash player thực thi nội dung flash thì ngay lập tức máy của họ trở thành một attack agent liên tục gửi hàng trăm request đến webserver nạn nhân

Hình 6: Mô hình tấn công X-Flash

+ Quy mô tấn công phụ thuộc vào số lượng website bị lợi dụng và số lượng user thường xuyên truy xuất các website này Chỉ tính trung bình hacker lợi dụng được 10 website và mỗi website này có số lượng truy xuất khoảng 100 user tại một thời điểm thì tổng số request mà server nạn nhân phải hứng chịu tại một thời điểm

l n đến con số vài chục ngàn Tuy nhiên, hiện nay chương trình Flash player mới nhất đã được vá lỗi, cách tấn công Flash hầu như không còn được sử dụng

Chương 2 GIẢI PHÁP PHÁT HIỆN VÀ PHÒNG CHỐNG TẤN CÔNG DOS/DDOS

Yêu cầu đối với một hệ thống phát hiện và ngăn chặn DoS/DDoS

Hiện nay, các hình thức tấn công DoS/DDoS rất đa dạng và luôn được phát triển không ngừng Ngày càng có nhiều kiểu tấn công mới Do vậy, một hệ thống phát hiện và ngăn chặn DoS/DDoS thật sự hiệu quả khi phát hiện và ngăn chặn được hầu hết các kiểu tấn công Khi một cuộc tấn công DDoS xảy ra, bước đầu tiên

và cũng là quan trọng nhất đó là phát hiện chính xác các gói tin tấn công để tránh trường hợp chặn nhầm gói tin hợp lệ, ngoài ra hệ thống phát hiện và ngăn chặn phải hoạt động thời gian thực để giảm thiểu tối đa những thiệt hại do cuộc tấn công gây

ra Phản ứng của hệ thống càng nhanh thì việc phòng thủ càng có hiệu quả

2.1 Mô hình phát hiện tấn công DoS/DDoS

Nhiều giải pháp phòng chống tấn công DoS/DDoS đã được nghiên cứu và đề xuất trong những năm qua Tuy nhi n, cho đến hiện nay gần như chưa có giải pháp nào có khả năng phòng chống DoS/DDoS một cách toàn diện và hiệu quả do tính chất phức tạp, quy mô lớn và tính phân tán rất cao của tấn công DDoS

Nếu dựa tr n cơ sở phân loại các biện pháp là vị trí triển khai, ta có thể chia ra các mô hình hệ thống phát hiện và ngăn chặn tấn công gồm: Mô hình hệ thống đặt gần đích tấn công (nạn nhân), mô hình đặt gần nguồn tấn công và mô hình đặt ở phần lõi Internet

2.1.1 Mô hình đặt gần nạn nhân

Là mô hình đơn giản nhất do ít phụ thuộc vào các tác nhân khác, nạn nhân tự giải quyết vấn đề Phương pháp này thường dùng để phản ứng lại sau khi nạn nhân phát hiện bị tấn công Tuy nhiên cách tiếp cận này không thể giải quyết tận gốc, quản trị viên chỉ có thể giảm thiểu thiệt hại chứ không thể chấm dứt được cuộc tấn công Các biện pháp cụ thể có thể gồm:

- Truy tìm địa chỉ IP: Gồm các kỹ thuật nhận dạng địa chỉ và người dùng giả mạo

- Lọc và đánh dấu các gói tin: Các gói tin hợp lệ được đánh dấu sao cho hệ thống nạn nhân có thể phân biệt các gói tin hợp lệ và các gói tin tấn công Một số kỹ thuật lọc và đánh dấu gói tin được đề xuất gồm: Lọc IP dựa trên lịch sử, lọc dựa trên đếm hop, nhận dạng đường dẫn,…

2.1.2 Mô hình đặt gần đích tấn công

Là mô hình ngăn chặn các gói tin DoS/DDoS ngay khi vừa được sinh ra tại nguồn, tức là tại bộ định tuyến ở cổng mạng hoặc bộ định tuyến của hệ thống đích, bao gồm thực hiện lọc các gói tin sử dụng địa chỉ giả mạo tại các bộ định tuyến ở cổng mạng; Sử dụng các tường lửa có khả năng nhận dạng và giảm tần suất chuyển các gói tin hoặc yêu cầu không xác nhận Nó có ưu điểm là giảm được tối đa tác hại của gói tin DDoS, chống được giả mạo IP Tuy nhiên lại rất khó thực hiện do phải thay đổi hệ thống mạng trên quy mô lớn

2.1.3 Mô hình đặt tại phần lõi của Internet

Các biện pháp phòng chống tấn công DoS/DDoS được triển khai ở các bộ định tuyến của mạng đích dựa trên lọc gói tin, phát hiện và lọc các gói tin độc hại Cách tiếp cận này ít được quan tâm rộng rãi do để tiếp cận được phần lõi của Internet cần

có một khoản chi phí không nhỏ, cũng như sự đảm bảo chắc chắn về tính hiệu quả đem lại khi tăng sự phức tạp của phần lõi

2.2 Một số hướng tiếp cận trong phát hiện và phòng chống DoS/DDoS

Hiện nay, giải pháp phòng chống tấn công DoS/DDoS có rất nhiều, có cả phần cứng và phần mềm, tuy nhiên trong quá trình nghiên cứu tìm hiểu, tôi đề xuất một

số giải pháp sử dụng các phần mềm mã nguồn mở Ưu điểm của các phương pháp này là giá thành rẻ, dễ triển khai và bảo trì

2.2.1 Giải pháp dành cho doanh nghiệp cung cấp Hosting

Với việc có nhiều trang web trên một máy chủ, doanh nghiệp cung cấp hosting thường xuyên phải giải quyết việc làm sao để khi một trang web bị DDoS thì không ảnh hưởng đến các trang web khác cùng nằm trên máy chủ Giải pháp hiện nay một

số doanh nghiệp cung cấp hosting tại Việt Nam đã triển khai và rất thành công đó là kết hợp Litespeed, Cloudlinux và firewall CSF