Bài giảng Kỹ thuật tấn công và phòng thủ trên không gian mạng - Module 08: Chính sách bảo mật và phục hồi thảm họa dữ liệu

Bài giảng Kỹ thuật tấn công và phòng thủ trên không gian mạng - Module 08: Chính sách bảo mật và phục hồi thảm họa dữ liệu cung cấp cho người học những kiến thức như: Giới thiệu về DDoS; Các loại tấn công kiểu DDoS; Một số công cụ DDoS; Các kỹ thuật Anti-DDoS. Mời các bạn cùng tham khảo!

Trang 1

KỸ THUẬT TẤN CÔNG VÀ PHÒNG THỦ TRÊN KHÔNG GIAN MẠNG

Institute of Network Security - istudy.ispace.edu.vn

Trang 2

NỘI DUNG

• Module 01: Tổng quan An ninh mạng

• M M o od d u u l l e e 0 02 2 : : K K ỹ ỹ t t h h u u ậ ậ t t t t ấ ấ n n c c ô ô n n g g

• Module 03: Kỹ thuật mã hóa

• Module 04: Bảo mật hệ điều hành

• Module 05: Bảo mật ứng dụng

• Module 06: Virus và mã độc

• Module 07: Các công cụ phân tích an ninh mạng

• Module 08: Chính sách bảo mật và phục hồi thảm họa dữ liệu

• Ôn tập

• Báo cáo đồ án

• Thi cuối khóa

Trang 3

Module 02: KỸ THUẬT TẤN CÔNG

• Lesson 01: Footprinting và Reconnaissance

• Lesson 02: Google Hacking

• Lesson 03: Scanning Networks

• Lesson 04: Enumeration

• Lesson 05: System Hacking

• Lesson 06: Sniffer hệ thống mạng

• Lesson 07: Social Engineering

• Lesson 08: Denial of Service

• Lesson 09: Session Hijacking

• Lesson 10: SQL Injection

• Lesson 11: Hacking Wireless Networks

• Lesson 12: Buffer Overflow

Trang 4

Denial of Service

Trang 5

Denial of Service

• Tấn công từ chối dịch vụ, viết tắt là DoS (Denial of Service), là thuật ngữ gọi chung cho những cách tấn công khác nhau về cơ bản làm cho hệ thống nào đó bị quá tải không thể cung cấp dịch vụ, hoặc phải ngưng hoạt động

• Kiểu tấn công này chỉ làm gián đoạn hoạt động chứ rất ít khả năng đánh cắp thông tin hay dữ liệu

• Thông thường mục tiêu của tấn công từ chối dịch vụ là máy chủ (FTP, Web, Mail) tuy nhiên cũng có thể là router, switch

• Tấn công từ chối dịch vụ không chỉ là tấn công qua mạng mà còn

có thể là tấn công ở máy cục bộ, hay trong mạng cục bộ còn gọi là local DoS against hosts (dựa vào NetBIOS, fork() bomb)

• Ban đầu tấn công từ chối dịch vụ xuất hiện khai thác sự yếu kém của giao thức TCP là DoS, sau đó phát triển thành tấn công từ chối dịch vụ phân tán DDoS (Distributed DoS) và mới xuất hiện là phương pháp tấn công từ chối dịch vụ phân tán phản xạ DRDoS (Distributed Reflection DoS)

Trang 6

Distributed Denial of Service

• Giới thiệu về DDoS

• Các loại tấn công kiểu DDoS

• Một số công cụ DDoS

• Các kỹ thuật Anti-DDoS

Trang 7

Giới thiệu DDOS

• DDoS (Distributed Denial of Service) nghĩa là nhiều

máy tính “zombie” tấn công vào một máy (hoặc nhiều hơn), thường dưới sự điều khiển của một “master”, điều khiển bởi kẻ tấn công

Trang 8

Lịch sử

• 1998 Chương trình Trinoo Distributed Denial of Service (DDoS) được viết bởi Phifli

• Tháng 5 – 1999 Trang chủ của FBI đã ngừng họat động

vì cuộc tấn công bằng (DDOS)

• 7/2/2000 Yahoo! đã bị tấn công từ chối dịch vụ và ngưng trệ hoạt động trong vòng 3 giờ đồng hồ

• 8/2 nhiều website lớn như Buy.com, Amazon.com, eBay, Datek, MSN, và CNN.com bị tấn công từ chối dịch vụ

• Xem thêm 15 vụ tấn công DDoS nổi tiếng nhất lịch sử tại: http://www.baomoi.com/15-vu-tan-cong-DDoS-noi- tieng-nhat-lich-su/76/6001710.epi

Trang 9

Các giai đoạn của kiểu tấn công

ddos

• Giai đoạn chuẩn bị

• Giai đoạn xác định mục tiêu và thời điểm

• Phát động tấn công và xóa dấu vết

Trang 10

Kiến trúc tổng quan của DDoS

attack-network

Trang 11

Mô hình Agent – Handler

Trang 12

Mô hình Agent – Handler

• Theo mô hình này, attack-network gồm 3 thành phần: Agent, Client và Handler

– Client : là software cơ sở để hacker điều khiển mọi hoạt động của attack-network

– Handler : là một thành phần software trung gian giữa Agent và Client

– Agent : là thành phần software thực hiện sự tấn công mục tiêu, nhận điều khiển từ Client thông qua các Handler

Trang 13

Mô hình IRC – Based

Trang 14

Mô hình IRC – Based

• Internet Relay Chat (IRC) là một hệ thống online chat multiuser, IRC cho phép User tạo một kết nối đến multipoint đến nhiều user khác và chat thời gian thực

• Kiến trúc của IRC network bao gồm nhiều IRC server trên khắp internet, giao tiếp với nhau trên nhiều kênh (channel)

• IRC network cho phép user tạo ba loại channel: public, private và serect

Trang 15

Phân loại tấn công kiểu ddos

Trang 16

Bandwidth Depletion Attack

• Có hai loại Bandwidth Depletion Attack

– Flood attack

• UDP Flood Attack

• ICMP Flood Attack – Amplification attack

• Smuft attack

• Fraggle Attack

Trang 17

Amplification attack (Tấn công

khuyếch đại )

Trang 18

Resource Deleption Attack

• Protocol Exploit Attack (Khai thác lỗ hỗng trên các giao thức)

• Malformed Packet Attack là cách tấn công dùng các Agent để gởi các packet có cấu trúc không đúng chuẩn nhằm làm cho hệ thống của nạn nhân bị treo

– IP address attack – IP packet options attack

Trang 19

• Protocol Exploit Attack (Khai thác lỗ hỗng trên

Client Port 1024-65535

TCP Server

Service Port 1-1023

80

Trang 20

các giao thức)

Malicious TCP Client

Victim TCP Server

SYS packet with a deliberately fraudulent (spoofed) source IP

Trang 21

các giao thức)

Trang 22

Một số công cụ DDoS

• Công cụ DDoS dạng Agent – Handler

– TrinOO – Tribe Flood Network (TFN):

– Stacheldraht – Shaft

• Công cụ DDoS dạng IRC – Based

– Trinity có hầu hết các kỹ thuật tấn công – Công cụ DDoS khác như Knight, Kaiten

Trang 23

Các giai đoạn chi tiết trong phòng

chống DDoS

Trang 24

1.Tối thiểu hóa số lượng Agent

• Từ phía User: Một phương pháp rất tốt để ngăn ngừa

tấn công DDoS là từng internet user sẽ tự đề phòng không để bị lợi dụng tấn công hệ thống khác

• Cài đặt và update liên tục các software như antivirus, anti_trojan và server patch của hệ điều hành

• Từ phía Network Service Provider: Điều chỉnh cước theo dung lượng sẽ làm user lưu ý những gì gửi => tăng

cường phát hiện DDoS Agent

Trang 25

Tìm và vô hiệu hóa các Handler

• Phát hiện và vô hiệu hóa Handler thì khả năng Anti- DDoS thành công là rất cao

• => Phát hiện bằng cách theo dõi các giao tiếp giữa Handler và Client hay handler va Agent ta có thể phát hiện ra vị trí của Handler

Trang 26

3 Phát hiện dấu hiệu của một cuộc

Trang 27

4 Làm suy giảm hay dừng cuộc

tấn công

• Load balancing: gia tăng thời gian chống chọi của hệ thống

với cuộc tấn công DDoS

• Throttling: Thiết lập cơ chế điều tiết trên router, quy định một

khoảng tải hợp lý mà server bên trong có thể xử lý được

• Drop request: Thiết lập cơ chế drop request nếu nó vi phạm

một số quy định như: thời gian delay kéo dài, tốn nhiều tài nguyên để xử lý, gây deadlock

Trang 28

5 Chuyển hướng của cuộc tấn

công

• Honeyspots là một hệ thống được thiết kế nhằm đánh lừa

attacker tấn công vào khi xâm nhập hệ thống mà không chú ý đến hệ thống quan trọng thực sự

• Honeyspots rất hiệu quả trong việc phát hiện và xử lý xâm

nhập, vì trên Honeyspots đã thiết lập sẵn các cơ chế giám sát

và báo động

Trang 29

6 Giai đoạn sau tấn công

• Trong giai đoạn này thông thường thực hiện các công việc sau:

– Traffic Pattern Analysis

• Nếu dữ liệu về thống kê biến thiên lượng traffic theo thời gian đã được lưu lại thì sẽ được đưa ra phân tích

• Quá trình phân tích này rất có ích cho việc tinh chỉnh lại các

hệ thống Load Balancing và Throttling

• Ngoài ra các dữ liệu này còn giúp Quản trị mạng điều chỉnh lại các quy tắc kiểm soát traffic ra vào mạng của mình

Trang 30

6 Giai đoạn sau tấn công

– Packet Traceback

• Bằng cách dùng kỹ thuật Traceback ta có thể truy ngược lại

vị trí của Attacker (ít nhất là subnet của attacker)

• Từ kỹ thuật Traceback ta phát triển thêm khả năng Block Traceback từ attacker khá hữu hiệu

– Bevent Logs: Bằng cách phân tích file log sau cuộc tấn công,

quản trị mạng có thể tìm ra nhiều manh mối và chứng cứ quan trọng

Trang 32

Q & A

Định dạng
Số trang	32
Dung lượng	0,99 MB