HỌC VIỆN CƠNG NGHỆ BƢU CHÍNH VIỄN THƠNG - Nguyễn Văn Hạnh PHÂN TÍCH VÀ MƠ HÌNH HĨA TẤN CƠNG TỪ CHỐI DỊCH VỤ PHÂN TÁN Chuyên ngành: Truyền liệu mạng máy tính Mã số: 60.48.15 TĨM TẮT LUẬN VĂN THẠC SĨ HÀ NỘI - 2013 Luận văn hồn thành tại: HỌC VIỆN CƠNG NGHỆ BƢU CHÍNH VIỄN THƠNG Người hướng dẫn khoa học: PGS TSKH Hồng Đăng Hải Phản biện 1: …………………………………………………………………………… Phản biện 2: ………………………………………………………………………… Luận văn bảo vệ trước Hội đồng chấm luận văn thạc sĩ Học viện Cơng nghệ Bưu Viễn thông Vào lúc: ngày tháng năm Có thể tìm hiểu luận văn tại: - Thư viện Học viện Công nghệ Bưu Viễn thơng HÀ NỘI - 2013 LỜI CẢM ƠN Lời luận văn cho phép em bày tỏ lòng cảm ơn sâu sắc thầy giáo PGS.TSKH.Hoàng Đăng Hải, Phó Giám đốc Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) bảo tận tình đầy trách nhiệm cho ý kiến đạo suốt q trình làm khóa luận, động viên, tạo điều kiện thuận lợi để em hồn thành khóa luận Em xin chân thành cảm ơn thầy, cô khoa Quốc tế đào tạo sau đại học Đặc biệt, Em xin bày tỏ lòng biết ơn sâu sắc thầy giáo, cô giáo tham gia giảng dạy lớp Cao học Công nghệ Thông tin, người truyền đạt kiến thức bổ ích lý thú giúp ích cho em đường học tập Chân thành cảm ơn lãnh đạo trường sư phạm kỹ thuật Hưng Yên, đồng nghiệp tạo điều kiện thuận lợi hỗ trợ em suốt trình học tập, cung cấp nhiều tư liệu kiến thức nghiệp vụ giúp cho khóa luận em có kết tốt Cuối xin cảm ơn ủng hộ gia đình bạn bè khoa đóng góp ý kiến quý báu, động viên, giúp đỡ cho việc hồn thành khóa luận Hà Nội, ngày 24 tháng năm 2013 Học viên Nguyễn Văn Hạnh MỞ ĐẦU Internet có vai trị to lớn đời sống người nay, giúp cho trình trao đổi thơng tin, truyền thơng trở nên nhanh chóng, hiệu có tính tương tác cao Sự đời Internet kéo theo nhiều dịch vụ, ứng dụng xây dựng, hỗ trợ người công việc cách tốt với khả truyền đạt thông tin đa dạng, với nhiều kiểu liệu như: Hình ảnh, âm thanh, video Khi Internet ngày phát triển, phạm vi ứng dụng Web ngày mở rộng khả xuất lỗi bị công cao, trở thành đối tượng cho cơng với ý đồ, mục đích khác nhau, nhằm vào tất máy tính có mặt Internet, tổ chức quân sự, ngân hàng, trang thông tin điện tử lớn… Có nhiều kiểu công thời gian gần trội nên kiểu công vô phổ biến tỏ nguy hiểm, cơng từ chối dịch vụ phân tán (Distributed Denial of Service-DDoS) Các hacker sử dụng phương pháp công để cơng vào trang web phủ, doanh nghiệp lớn, thiết bị công ty lớn làm cho hệ thống máy chủ bị tê liệt khơng cịn khả phục vụ Mục tiêu luận văn nghiên cứu tìm hiểu chất cơng DDoS, phân tích mơ hình hóa cơng, xây dựng mơ hình bảo vệ chống công DDoS thử nghiệm đánh giá kết thông qua mô Luận văn sử dụng phương pháp phân tích, phương pháp mơ hình hố, giải thuật, phương pháp mơ phỏng, thực nghiệm, phân tích, đánh giá… Cấu trúc luận văn gồm chương chính: Chương 1: Tổng quan công DoS DDoS Chương trình bày khái quát kiểu cơng DoS DDoS điển hình, số cơng cụ cơng DDoS điển hình Nội dung chương tập trung chủ yếu vào kiểu công DDoS Chương 2: Phân tích, mơ hình cơng DDoS Chương trình bày đặc tính cơng DDoS, phân tích mơ hình mạng Botnet, mơ hình cơng DDoS điển hình Chương 3: Mơ hình bảo vệ chống cơng DDoS Trong chương này, trình bày vấn đề xây dựng hệ thống chống DDoS, đặc trưng mơ hình, mơ hình hóa Chương 4: Mơ phát công chống công DDoS Bài thực mô với công cụ NeSSi2 trưởng Đại học TU Berlin (CHLB Đức) Chƣơng - TỔNG QUAN VỀ TẤN CÔNG TỪ CHỐI DỊCH VỤ DoS/DDoS 1.1 Khái niệm chung công từ chối dịch vụ Tấn công từ chối dịch vụ cố gắng làm cho tài nguyên máy tính sử dụng nhằm vào người dùng Mặc dù phương tiện để tiến hành, động cơ, mục tiêu công từ chối dịch vụ khác nhau, nói chung gồm có phối hợp, cố gắng ác ý người hay nhiều người để chống lại Internet site service (dịch vụ Web) vận hành hiệu tất cả, tạm thời hay cách không xác định Thủ phạm công từ chối dịch vụ nhằm vào mục tiêu site hay server tiêu biểu ngân hàng, cổng tốn thẻ tín dụng chí DNS root servers Tấn công từ chối dịch vụ DoS (Denial of Service) mơ tả hành động ngăn cản người dùng hợp pháp khả truy cập sử dụng vào dịch vụ Nó bao gồm việc làm tràn ngập mạng, kết nối với dịch vụ… mà mục đích cuối máy chủ (Server) đáp ứng yêu cầu sử dụng dịch vụ từ máy trạm (Client) DoS làm ngưng hoạt động máy tính, mạng nội hệ thống mạng lớn.Về chất thực DoS, kẻ công chiếm dụng lượng lớn tài nguyên mạng băng thông, nhớ… làm khả xử lý yêu cầu dịch vụ từ client khác 1.2 Tấn công từ chối dịch vụ phân tán DDoS Tấn công từ chối dịch vụ phân tán (DDoS - Distributed Denial Of Service) kiểu công làm cho hệ thống máy tính hay hệ thống mạng tải, cung cấp dịch vụ phải dừng hoạt động, song từ nhiều nguồn công khác nhau, phân tán mạng Trong công DDoS, máy chủ dịch vụ bị "ngập" hàng loạt lệnh truy cập từ lượng kết nối khổng lồ từ nhiều máy công nhiều nơi Khi số lệnh truy cập lớn, máy chủ tải khơng cịn khả xử lý u cầu Hậu người dùng truy cập vào dịch vụ trang web bị công DDoS Như vậy, khác biệt công DoS DDoS DDoS sử dụng mạng lưới công rộng khắp, gồm nhiều máy cơng nằm rải rác mạng (cịn gọi máy tính ma - Zoombi, hay mạng Botnet) 1.3.1 Mạng lưới công từ chối dịch vụ phân tán 1.3.1.1 Tuyển mộ mạng Agent Trước tiên kẻ cơng phải làm xây dựng lên mạng botnet Kẻ cơng tiến hành thăm dị máy tính dễ bị lợi dụng Quá trình gọi scanning Scanning làm tay kẻ công sử dụng công cụ hỗ trợ scaning nmap Các công cụ ngày phát triển hoàn thiện 1.3.1.2 Điều khiển mạng Agent Khi số lượng Agent lớn, lên đến hàng nghìn host Kẻ cơng phải có phương pháp điều khiển mạng lưới Agent Việc tìm phương pháp tốt giúp kẻ công dễ dàng thu thập thông tin hành vi Agent Ở có hai mơ hình để kẻ công điều khiển mạng lưới Agent 1.3.1.2 Cập nhật mã độc (malware) Cũng phần mềm khác, chương trình cài đặt Handler hay Agent phải thường xuyên cập nhật Hầu hết công cụ DDos yêu cầu kẻ công gửi dòng lệnh cập nhật Handler Agent việc download phiên qua giao thức HTTP 1.3.2 Mục tiêu công từ chối dịch vụ phân tán 1.3.2.1 Tấn công vào băng thông mạng 1.3.2.2 Tấn công giao vào thức 1.3.2.3 Tấn công gói tin khác thường 1.3.2.4 Tấn cơng qua phần mềm trung gian 1.4 Nguyên lý công DDoS điển hình - SYN flood attack - UDP Flood attack - Smurf attack - DNS Zone Transfer based Flooding - Ping based attacks - CGI attacks (Common Gateway Interface Tất cách công nhằm mục đích làm giảm chức hệ thống mạng dẫn đến đánh sập hệ thống, làm hệ thống khơng có khả hoạt động Những cơng DDoS phân tán, rải rác, khiến cho việc xác định kẻ cơng khó khăn Cần phải hiểu hành vi, hoạt động luồng liệu hệ thống mạng để từ phát sớm có biện pháp hiệu để ngăn chặn công DDoS 1.5 Một số cơng cụ cơng DDoS điển hình - Trinoo - Tribe Flood Network (TFN - Stacheldraht - Shaft - Trinity - Knight 1.6 Một số công DDoS điển hình Việt Nam Vào đầu tháng cư dân mạng diễn đàn xôn xao việc trang web Bkav bị hacker công khiến người dùng truy cập vào địa www.bkav.com.vn Trong năm gần đây, nhiều website báo điện tử Việt Nam bị công DDoS gây thiệt hại không nhỏ Cuộc chiến chống lại công từ chối dịch vụ DDoS coi vơ khó khăn dường khơng thể có biện pháp ngăn chặn hoàn toàn Trang hvaonline.net (HVA), diễn đàn hacker lớn Việt Nam thông báo bị công từ chối dịch vụ (DDOS) tới lần nửa đầu tháng 6/2011 - Ngày mục tiêu cơng doanh nghiệp lớn, doanh nghiệp kinh doanh trực tuyến …dự báo thời gian tới công DDoS nhằm vào khối quan Chính phủ, tài cơng, làm đình trệ việc cung cấp dịch vụ, gây thiệt hại nặng nề cho kinh tế, xã hội… 1.7 Tóm tắt chương Chương luận văn giới thiệu khái quát kiểu công DoS DDoS điển hình, số cơng cụ cơng DDoS điển hình Nội dung chương tập trung chủ yếu vào kiểu công DDoS Chương sâu phân tích mơ hình cơng DDoS Chƣơng - PHÂN TÍCH MƠ HÌNH TẤN CÔNG TỪ CHỐI DỊCH VỤ PHÂN TÁN 2.1 Các đặc tính cơng DDoS Tấn cơng DDoS cơng từ hệ thống máy tính cực lớn Internet Thường dựa vào dịch vụ có sẵn máy tính mạng botnet Chúng có đặc điểm sau: - Các dịch vụ công điều khiển từ máy nạn nhân sơ cấp ("primary victim") máy lây nhiễm mã độc ban đầu, máy tính bị chiếm quyền sử dụng mạng Bot (máy bị lây lan khác) sử dụng để công thường gọi máy nạn nhân thứ cấp ("secondary victims") - DDoS dạng cơng khó phát công sinh từ nhiều địa IP Internet - Nếu địa IP cơng cơng ty, chặn Firewall Nếu từ 30.000 địa IP khác, điều vơ khó khăn 2.2 Mơ hình mạng Botnet 2.2.1 Đặc trưng mạng Botnet - Bot (hay Internet bot, gọi robot) ứng dụng phần mềm thực thi nhiệm vụ đặc biệt theo yêu cầu tin tặc cách tự động lan truyền qua Internet - Mạng Bot chương trình tương tự Trojan backdoor cho phép kẻ công sử dụng máy nạn nhân (Victim) Zoombie (máy tính thây ma – máy tính bị chiếm quyền điều khiển hồn tồn) chúng chủ động kết nối với Server để dễ dàng điều khiển Cần lưu ý chữ “chủ động” đặc điểm khác bot so với trojan backdoor Chính chủ động mà máy tính bị cài đặt chúng kết nối trở nên chậm chạp , Một đặc điểm giúp ta dễ dàng nhận diện bot - Mạng botnet mạng lớn gồm hàng trăm hàng ngàn máy tính Zombie kết nối với máy chủ mIRC (Internet Replay Chat) qua máy chủ DNS để nhận lệnh từ hacker cách nhanh Các mạng bot gồm hàng ngàn “thành viên” (gọi tắt bot hay robot) công cụ lý tưởng cho giao tranh mạng DDOS, spam, cài đặt chương trình quảng cáo 2.2.2 Các dạng mạng Botnet: Agobot/Phatbot/Forbot/XtremBot, SDBot/Rbot/UrBot/UrXbot, mIRC-Based Bots – GT-Bots 2.2.3 Phân tích bước thiết lập Botnet Để hiểu xây dựng hệ thống mạng BotNet nghiên cứu từ cách lây nhiễm vào máy tính, cách tạo mạng Bot dùng mạng Bot cơng vào đích mạng Botnet tạo từ Agobot‟s Bƣớc 1: Cách lây nhiễm vào máy tính Đầu tiên kẻ công lừa cho người dùng chạy file "chess.exe", Agobot thường copy chúng vào hệ thống thêm thông số Registry để đảm bảo chạy với hệ thống khởi động Trong Registry có vị trí cho ứng dụng chạy lúc khởi động HKLM\Software\Microsoft\Windows\CurrentVersion\Run HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices Bƣớc 2: Cách lây nhiễm xây dựng tạo mạng Botnet Sau hệ thống mạng có máy tính bị nhiễm Agobot, tự động tìm kiếm máy tính khác hệ thống lây nhiễm sử dụng lỗ hổng tài nguyên chia sẻ hệ thống mạng - Chúng thường cố gắng kết nối tới liệu share mặc định dành cho ứng dụng quản trị (administrator or administrative) ví dụ như: C$, D$, E$ print$ cách đốn usernames password để truy cập vào hệ thống khác lây nhiễm - Agobot lây nhiễm nhanh chúng có khả tận dụng điểm yếu hệ điều hành Windows, hay ứng dụng, dịch vụ chạy hệ thống Bƣớc 3: Kết nối vào IRC Bước Agobot tạo IRC-Controlled Backdoor để mở yếu tố cần thiết, kết nối tới mạng Botnet thông qua IRC-Controll, sau kết nối mở dịch vụ cần thiết để có yêu cầu chúng điều khiển kẻ công thông qua kênh giao tiếp IRC Bƣớc 4: Điều khiển công từ mạng BotNet Kẻ công điều khiển máy mạng Agobot download file exe chạy máy + Lấy toàn thông tin liên quan cần thiết hệ thống mà kẻ công muốn + Chạy file khác hệ thống đáp ứng yêu cầu kẻ cơng + Chạy chương trình DDoS cơng hệ thống khác 2.2.4 Sơ đồ hệ thống lây lan mạng Botnet (Agobot) 2.3 Các mơ hình cơng DDoS 2.3.1 Mơ hình cơng Agent Handler Model Theo mơ hình mạng cơng (attack-network) gồm thành phần: Agent, Client Handler + Client: Là software sở để hacker điều khiển hoạt động công + Handler: Là thành phần software trung gian Agent Client + Agent: Là thành phần software thực công mục tiêu, nhận điều khiển từ Client thông qua Handler + Attacker từ Client giao tiếp với Handler để xác định số lượng agent online, điều chỉnh thời điểm công cập nhật Agent Tùy theo cách attacker cấu hình attack-network, agent chịu quản lý hay nhiều Handler Thông thường Attacker đặt Handler software Router hay server có lượng traffic lưu thơng nhiều Việc nhằm làm cho giao tiếp Client, handler Agent khó bị phát Chủ nhân thực Agent thông thường không hay biết họ bị lợi dụng vào công kiểu DDOS, họ không đủ kiến thức chương trình Backdoor Agent sử dụng tài ngun hệ thống làm cho thấy ảnh hưởng đến hiệu hệ thống 2.3.2 Mơ hình cơng DDoS dựa tảng IRC - IRC hệ thống online chat multiuser, IRC cho phép User tạo kết nối đến multipoint đến user khác chat thời gian thực Kiến trúc IRC network bao gồm nhiều IRC server khắp internet giao tiếp với nhiều kênh IRC network cho phép user tao ba loại kênh: Public, private, serect + Public channel: Cho phép user channel thấy IRC name nhận mesage user khác channel + Private channel: Được thiết kế để giao tiếp với đối tượng cho phép Không cho phép user không channel thấy IRC name message.Tuy nhiên, user ngồi channel dùng số lệnh locator biết tồn private channel + Secret channel: Tương tự private channel xác định channel locator - IRC -Based network tương tự Agent -Handler network mô hình sử dụng kênh giao tiếp IRC làm phương tiện giao tiếp Client Agent Sử dụng mơ hình này, kẻ cơng cịn có thêm số lợi khác như: 10 Chƣơng - MÔ HÌNH BẢO VỆ CHỐNG TẤN CƠNG TỪ CHỐI DỊCH VỤ PHÂN TÁN 3.1 Các vấn đề đặt xây dựng hệ thống chống DDoS 3.1.1 Những khó khăn cần giải Nhìn chung, có hai hướng để DDoS tận dụng nhằm thực cơng Đó là: Nhằm vào điểm yếu (vulnerability) hệ thống làm ngập mạng (flooding) Do cơng DDoS có số đặc tính kỹ thuật sau, nên việc giải triệt để công DDoS điều khó khăn - Sự phổ biến cơng cụ công đơn giản sử dụng - Đa dạng gói tin cơng - Sự giả mạo IP: Làm cho luồng liệu công từ agent đến từ người dùng hợp lệ Vì quản trị viên khó phân biệt để phát - Lượng lưu lượng lớn, gửi với tần suất cao: Lưu lượng khổng lồ mà DDoS tạo không làm ngập tài nguyên máy nạn nhân, mà làm quản trị viên khó mơ tả, phân tích tách biệt gói tin hợp lệ gói tin công chúng - Số lượng lớn Agents: Một điểm mạnh công DDoS huy động số lượng lớn Agent phân tán tồn Internet Khi đó, luồng cơng lan tỏa nhiều nhánh tới máy nạn nhân, điểm tụ công gần sát nạn nhân, hệ thống phịng thủ khó chống từ phía xa Ngồi ra, hệ thống Agent phân tán đồng nghĩa với phức tạp, phong phú, khác biệt mơ hình quản lý mạng ISP khác nhau, cơ chế phịng thủ yêu cầu phối hợp từ nhiều nơi triển khai khó khăn nhiều - Những điểm yếu mơ hình mạng Internet: Có chế, giao thức mạng mà thiết kế chưa lường trước điểm yếu bị lợi dụng (ví dụ TCP SYN, ping of Death, LAND Attack…).Đôi lỗi nhà quản trị cấu hình sách mạng chưa hợp lý 3.1.2 Thách thức xây dựng hệ thống phòng thủ - Về mặt kĩ thuật, phải xử lý phân tán từ nhiều điểm Internet: Vì luồng công xảy từ nhiều nguồn khác nhau, qua toàn mạng Internet thường có Victim với thiết bị, quyền hạn, khả xử lý hạn chế nên đạt hiệu cao Sự cơng phân tán cần phịng thủ phân tán giải triệt để 11 + Thiếu thông tin chi tiết cơng thực tế: Có khơng nhiều thông tin tác hại DDoS gây lên cho doanh nghiệp, thường có tác hại rõ ràng doanh nghiệp khơng thể tự xử lý mà phải nhờ cậy trợ giúp khác từ bên ngồi Vì lại thông tin chi tiết, nhật ký lưu lượng (log traffic), sơ đồ mạng chi tiết doanh nghiệp + Khó thử nghiệm thực tế: Những hệ thống thử nghiệm DDoS phịng thí nghiệm phản ánh thực tế rộng lớn, phong phú mạng Internet Trong muốn triển khai để thử nghiệm thật qua Internet điều luật khơng cho phép, cơng DDoS khơng ảnh hưởng đến Victim, mà cịn liên quan đến nhiều thành phần khác router, switch… ISP quản lý phần lõi Mạng Còn thử nghiệm hệ thống thật bị cơng lại thiếu thơng tin cần đo đạc Agent, Handler, Attacker… + Chưa có chuẩn đánh giá hệ thống phịng thủ: Có nhiều nhà sản xuất cơng bố giải pháp họ giải quết DDoS Nhưng chưa có lộ trình chuẩn để kiểm thử hệ thống phịng thủ DDoS Từ dẫn đến vấn đề: Thứ người phát triển hệ thống phịng thủ tự test họ, thiết kế ln phù hợp để hệ thống hoạt động thuận lợi Thứ hai nghiên cứu DDoS so sánh hiệu suất thực tế hệ thống phịng thủ khác nhau, thayvào đó, họ nhận xét giải pháp môi trường thử nghiệm mà - Về mặt xã hội: Một thử thách lớn muốn giải triệt để vấn nạn công DDoS yếu tố xã hội Có nhiều điều luật an ninh, bảo mật nhiều đất nước, quy định nhiều ISP khác mà người triển khai khó thỏa mãn tất để thực hệ thống phịng thủ Ví dụ ISP khơng cho biết sơ đồ chi tiết cấu hình Mạng, khơng cho phép tự cài đặt chương trình router họ… Đối với nạn nhân DDoS, thơng thường doanh nghiệp, việc họ cố gắng tự giải quyết, thành cơng giấu kín, khơng cơng bố cho bên ngồi bị cơng lo ngại ảnh hưởng đến danh tiếng công ty Chỉ dịch vụ họ bị chết hẳn, tự cứu liên hệ với ISP quyền Yếu tố cuối thiếu thống điều luật, chế tài xử phạt Attacker, Handler, Agents luật Công nghệ thông tin nước quy định bảo mật, an toàn Internet Service Provider 3.1.3 Mục tiêu xây dựng 12 Cho dù triển khai hệ thống phòng thủ theo cách thức cuối phải hướng tới mục tiêu sau: - Tính hiệu quả: Yêu cầu thành phần tham gia vào hệ thống phòng thủ victim, router… khơng phải chịu thêm tải q nặng Ví dụ bình thường CPU Server chạy 10% để phục vụ cho Client, sau cài đặt hệ thống phòng thủ vào, cho dù chưa xảy DDoS tải CPU phải tính tốn thêm nhiều nên lên đến 20% không chấp nhận - Tính trọn vẹn: Một hệ thống phịng thủ tốt cần phải bảo vệ Victim khỏi tất kiểu cơng DDoS Bởi Attacker, điều khiển mạng botnet hồn tồn sử dụng nhiều kịch công khác nhau, lợi dụng nhiều điểm yếu giao thức, mạng thay đổi thông số bên packet Vì hệ thống phịng thủ số cách cơng định, attacker thay đổi, hệ thống sụp đổ hoàn toàn - Cung cấp dịch vụ cho tất traffic hợp lệ: Đây yêu cầu quan trọng triển khai hệ thống phòng thủ DDoS - Chi phí phát triển điều hành thấp 3.2 Các đặc trƣng mơ hình bảo vệ chống DDoS Như thấy, khả phát công ảnh hưởng lớn đến trình ngăn chặn làm giảm đến mức thấp tác hại mà công DDos gây Hiện hệ thống phát phát triển công phu Những hệ thống phát DDos thường sử dụng nhiều phương thức để dị tìm phát Thơng thường công cụ so sánh lưu lượng với lưu lượng chấp nhận Cơng nghệ cịn có vài thiếu sót Trước tiên, ngưỡng thường đặt tĩnh yêu cầu người sử dụng phải cấu hình để phù hợp với mơi trường, nhiên khó thay đổi thích ứng với mơi trường Thứ hai, có số ngưỡng thiết lập thống kê chi tiết giao thức khơng có giá trị cho người sử dụng Thứ 3, ngưỡng áp dụng mức độ tổng hợp cao Sự thiếu sót dẫn tới đánh giá sai tính rõ ràng tính phủ định hệ thống phát Thậm chí phát xâm hại chặn nhầm địa hợp lệ Do vậy, để hiệu hệ thống phát xâm nhập phải thêm nhiều tính để phát phân biệt cơng với hoạt động bình thường 13 - Phát nhiều chế: Hiện hình thức cơng DDos đa dạng phát triển không ngừng Càng ngày có nhiều kiểu cơng Do vậy, hệ thống phát Ddos thật hiệu phát hầu hết kiểu công Luôn đánh giá hệ thống mạng có dấu hiệu bất thường, phải cập nhật thường xuyên kiểu cơng để có biện pháp phát nhanh - Phản ứng: Khi công DDos xảy ra, bước quan trọng phát xác gói tin cơng Hệ thống phịng thủ phải đáp ứng thời gian thực, đặc biệt tốc độ phản ứng phải cao Tránh trường hợp chặn nhầm gói tin hợp lệ 3.3 Mơ hình hóa cơng bảo vệ chống cơng DDoS 3.3.1 Phịng chống đáp trả Phương pháp phịng ngừa áp dụng sách để kẻ cơng khơng thể khó cơng hệ thống Phương pháp thực cách tăng cường sức mạnh hệ thống: lực xử lý yêu cầu dịch vụ, băng thông… để giảm thiểu tối đa tác hại công DDoS Nhưng mạng lưới cơng có đặc điểm phân tán, tập trung nhiều máy tính cấu hình trung bình nên dễ tập hợp số lượng lớn để hội tụ thành lượng băng thông gấp nhiều lần so với hệ thống victim Vì việc tăng cường sức mạnh khơng thực có hiệu Phương pháp phản ứng lại chấp nhận cho cơng xảy ra, sau truy tìm tiêu diệt hướng công, làm giảm thiểu rủi ro chấm dứt cơng Bằng cách phát xác kẻ cơng, nạn nhân có sách cấm truy nhập, từ giảm thiểu tác hại công Phương pháp hướng nghiên cứu việc giải DDoS Nhược điểm chung phương pháp phản ứng lại việc giải không triệt để không chủ động Nạn nhân bị công phải hứng chịu hậu Biện pháp giúp chấm dứt hậu sớm giảm thiểu thiệt hại 3.3.2 Vị trí hệ thống phòng thủ Phương pháp đặt gần victim phương pháp đơn giản phụ thuộc vào tác nhân khác, nạn nhân tự giải vấn đề Phương pháp thường dùng để phản ứng lại sau nạn nhân phát bị công Tuy nhiên cách tiếp cận giải tận gốc, quản trị viên giảm thiểu thiệt hại chấm dứt công Phương pháp đặt gần kẻ công (attacker) phương pháp ngăn chặn gói tin DDoS vừa sinh nguồn Nó có ưu điểm giảm tối đa tác hại 14 gói tin DDoS, chống giả mạo IP Tuy nhiên lại khó thực phải thay đổi hệ thống mạng quy mơ lớn Hiện có khoảng ba hướng nghiên cứu theo cách tiếp cận Trong đó, D-WARD có kết tốt với khả hoạt động độc lập Một vị trí khác đặt phần lõi Internet Cách tiếp cận quan tâm rộng rãi để tiếp cận phần lõi Internet cần có khoản chi phí khơng nhỏ, đảm bảo chắn tính hiệu đem lại tăng phức tạp phần lõi Phương pháp cuối hay nghiên cứu phương pháp kết hợp nhiều vị trí: Nạn nhân phát bắt đầu xử lý, sau cố gắng đẩy vị trí phịng chống hệ thống mạng gần kẻ cơng có thể, từ giúp giảm tải cho tồn mạng Internet khơng cho Victim 3.3.3 Vị trí kiểm tra phát công DDoS - Phát gần nguồn cơng.Các phương án thường khơng có hiệu cao mà công diễn với quy mô lớn Do việc phát công gần nguồn tránh tắc nghẽn đạt hiệu cao - Phát công nạn nhân, phương pháp khơng khó lúc lưu lượng mạng nạn nhân trở nên cao tất nhiên dẫn đến tình trạng cung cấp dịch vụ Tuy nhiên, thông thường việc phát phản ứng lại nạn nhân thường muộn vào lúc công mức cao Nạn nhân lựa chọn tắt server sau liên hệ với ISP Các ISP sau nhận lời đề nghị nạn nhân tiến hành đẩy ngược lại lưu lượng công router Công việc thường tốn nhiều thời gian 3.4 Thuật toán sử dụng để phát cơng DDoS 3.4.1 Thuật tốn Adaptive Threshold (ngưỡng giới hạn khả đáp ứng) Thuật toán nói chung đơn giản dễ hiểu Thuật tốn phát khơng bình thường dựa vị phạm ngưỡng khả đáp ứng lưu lượng mạng thời gian gần Thuật toán đặc biệt có khả phát cao kẻ công tiến hành cuôc công TCP SYN Thuật toán tin tưởng vào việc kiểm tra phép đo lưu lượng có vượt qua ngưỡng giới hạn cụ thể hay khơng Nếu vượt qua, chứng tỏ có cơng xảy 3.4.2 Thuật tốn (SIM) Thuật tốn tổng tích lũy dựa giá trị trung bình trình xử lý thống kê Sự phát điểm thay đổi cần phải theo dõi khoảng thời gian Một công thức xây dựng để theo dõi thay đổi này, vượt qua ngưỡng giới hạn chứng tỏ xảy cơng 15 3.4.3 Thuật tốn CUSUM (tổng tích lũy) Trong giai đoạn này, tiến hành phân tích thống kê lưu lượng đến hai khoảng thời gian n Với kỹ thuật phát công này, bảng băm sử dụng để ghi lại địa IP xuất hai khoảng thời gian Trong bảng băm gồm trường: IP address timestamp So sánh trường với trường IAD để tính tốn có địa IP xuất khe thời gian Phân tích địa IP cho biết công DDos xảy 3.5 Một số giải pháp phòng chống DDoS điển hình 3.5.1 Giao thức AITF 3.5.2 Hệ thống D-Ward 3.5.3 Giao thức lan tỏa ngược 3.5.3.1 Giới thiệu giao thức lan tỏa ngược Giao thức „Lan tỏa ngược‟ dựa nguyên tắc sau để ngăn chặn công: + Sử dụng lọc (Filter) router để chặn gói tin DDoS + Dùng chế „lan tỏa ngược‟ để đẩy nhiệm vụ lọc cho router gần Attacker + Sử dụng số giải thuật để nâng cao hiệu suất chống lừa dối, lợi dụng giao thức 3.5.3.2 Bộ lọc - Bộ lọc (Filter): Filter luật để xác định cách thức router truyền hay ngăn chặn liệu [] Cụ thể trường hợp Filter router có chức chặn tất gói tin DDoS có IP nguồn IP Agent, IP bị Agent giả mạo, IP đích IP Victim - Cơ chế “Lan tỏa ngược”:Là phương pháp cho phép xác định xác nguồn cơng từ chối dịch vụ cách lan truyền lọc router qua chế pushback Khi có địa IP xác định nguồn công Trên gateway Victim bật lọc, vừa để loại bỏ gói tin DDoS, vừa lắng nghe xem gói tin đến từ interface Sau xác định gửi yêu cầu qua interface ấy, đến router hàng xóm yêu cầu lập Filter tương tự Router hàng xóm lập Filter, lắng nghe xác định gói tin đến từ interface nào, lại gửi yêu cầu lập Filter cho router Cứ xác định router gần nguồn công nhất, cho dù IP nguồn công có bị giả mạo hay khơng 3.5.3.3 Cơ chế hoạt động - Bước 1: Khởi động - Bước 2: Bắt đầu - Bước 3: Kiểm tra giả mạo 16 - Bước 4: Rút gọn - Bước 5: ngăn chặn - Bước 6: Lan tỏa ngược 3.5.3.4 Chống lợi dụng giao thức - Nguy cơ: Một router G giả vờ người bị DDoS, để ngăn cho mạng nạn nhân H truy xuất đến mạng K Router G giả vờ H kẻ công mạng K, yêu cầu chạy giao thức lan tỏa ngược để router khác chặn không cho H liên lạc với K Có cách để G làm điều này: + G giả vờ gateway K, bị mạng H công (G đóng giả Victim_GW), G kết nối đến gateway mạng H, yêu cầu lập lọc ngăn chặn H truy cập đến K + G đóng vai trị router đường đi, chạy giao thức lan tỏa ngược, yêu cầu hàng xóm lập filter ngăn truy xuất từ H đến K - Giải pháp: Trong trường hợp 1, G kết nối đến gateway mạng H theo giao thức phải kết nối tin cậy => G khơng thể fake ip Sau gateway H cịn kiểm tra xem G có đứng kề trước K hay không cách thực lần ping nói Nếu xác nhận gateway H lập Filter Trường hợp G đóng vai trị router đường đi, u cầu hàng xóm lập filter để ngăn chặn truy xuất từ H đến K khó xảy Thứ router phần lõi Internet ISP quản lý kĩ, gần xâm nhập Thứ hai router phần lõi thiết bị đơn giản máy tính nhiều, ứng dụng lỗ hổng để hacker khai thác Thứ ba kiến trúc mạng Internet packet switching, đường từ mạng H đến mạng K khơng cố định, thay đổi động theo thời gian Việc nắm bắt đường để công vào router để lừa đảo khó khăn khơng nhỏ Tổng kết lại, chi phí để thực phương pháp lợi dụng giao thức lớn nhiều lần so với mục đích cuối ngăn chặn H truy xuất tới K 3.5.3.5 Nhận xét - Ưu điểm: Thuật tốn giúp giao thơng Internet nhẹ nhiều so với AITF, “Lan tỏa ngược” kích hoạt Victim bị cơng Cịn AITF ln ln phải ghi thêm Route Record vào gói tin IP khiến cho tải toàn Internet tăng lên đáng kể – Do Victim_GW đẩy nhiệm vụ lọc gói tin cho Router gần Agent Vì sớm ngăn chặn gói tin DDoS đỡ tốn băng thơng mạng giảm tình trạng nút cổ chai gần Victim 17 – Chống Fake IP, lừa dối lợi dụng giao thức – Chặn DDoS từ Attacker đến Victim có nhiều đường có thay đổi động router phần lõi Internet – Xây dựng tầng network, kể router mạng không cài đặt giải thuật mạng hoạt động bình thường – “Lan tỏa ngược” hoạt động tốt DDoS thiết kế có độ phân tán cao Nhược điểm: Do phải huy động router lõi lập Filter phần lõi Internet phải chịu thêm tải Trong trường hợp router lõi khơng cài thuật tốn, bị Attacker chiếm quyền điều khiển có DDoS qua, router lõi liền kề phải lập Filter với thời gian tlong.Nếu attacker có chế giả mạo (fake) nhiều IP luân phiên, ứng với IP, A_GW phải tạo lọc khác 3.6 Tóm tắt chƣơng Trên sở kết nghiên cứu hành vi công, mô hình cơng DDoS nêu chương trước, chương luận văn trình bày cụ thể mơ hình bảo vệ chống cơng DDoS Nội dung chương nêu vấn đề đặt xây dựng hệ thống chống DDoS, đặc trưng mơ hình bảo vệ chống cơng; sâu phân tích số thuật tốn điển hình để phát cơng DDoS như: thuật tốn Adaptive Thresholds, SIM, CUSUM Ba giao thức điển hình cho phịng chống DDoS AITF, D-Ward, giao thức lan tỏa ngược, giao thức lan tỏa ngược hiệu Kết chương đưa đề xuất mơ hình bảo vệ chống DDoS 18 Chƣơng - MÔ PHỎNG PHÁT HIỆN TẤN CÔNG VÀ CHỐNG TẤN CÔNG DDoS 4.1 Giới thiệu công cụ NeSSi2 4.1.1 Tổng quan NeSSiNeSSi (Network Security Simulator) công cụ mô kết hợp nhiều tính liên quan đến an ninh mạng, phát triển phòng nghiên cứu DAI-Labs thuộc Trường Đại học TU Berlin (CHLB Đức) (xem www.nessi2.de) Thông qua công cụ NeSSi, mơ công tự động dựa profile thiết lập, phân tích lưu lượng NeSSi sử dụng lĩnh vực nghiên cứu an ninh mục đích đánh giá Trong trường hợp muốn thử nghiệm thuật tốn phát xâm nhập,tiến hành phân tích tình hình an ninh mạng NeSSi cơng cụ mạng lại hiệu cao Các hở hạ tầng truyền thơng đại, hệ thống mạng máy tính dựa tảng IP đóng vai trị chủ đạo Việc triển khai mạng phát triển theo cấp số mũ Thật hầu hết tập đoàn, quan cá nhân sử dụng dịch vụ phúc tạp hệ thống thông tin liên lạc cho Đối với an ninh thơng tin, điều dẫn đến thách thức lượng lớn liệu, chứa nội dung độc hại sâu, virus, Trojans, chuyển qua mạng mở Mạng biện pháp an ninh đối phó với mối đe dọa thực mạng riêng máy chủ kết nối để truy cập vào định tuyến mạng Bản thân nhà cung cấp mạng ln phấn đẩu để cung cấp tính bảo mật cho khách hàng họ Để làm điều bên hệ thống họ đặt thiết bị an ninh để phát ngăn chặn hiểm họa xảy Trước làm điều nhà cung cấp dịch vụ phải sử dụng công cụ mô mạng mà tính khác kiến trúc bảo mật kiểm tra để đảm bảo tối đa phát công trước triển khai thực tế NeSSi cho phép thử nghiệm với hệ thống mạng khác nhau, thiết lập sách bảo mật thuật toán để đánh giá so sánh hiệu việc phát xâm nhập chi phí triển khai 19 4.1.2 Các thành phần công cụ 4.1.2.1 Graphical User Interface Giao diện người dùng (Graphical User Interface): Đây thành phần cho phép người dùng tạo thay đổi tất thành phần cần thiết cho mô phỏng.Kết mơ hồn thành xem Các thành phần cốt lõi giao diện người dùng xây dựng Eclipse, đặc biệt với mô-đun xây dựng tập tin thư mục cho phép người sử dụng kết hợp tất dự án thử nghiệm Giao diện người dùng đồ họa cho phép người dùng thao tác dễ dàng 4.1.2.2 Simulation Backend Các ví dụ mơ thực tế thực máy tính với phần cứng dành riêng cho mục đích này, kết hợp với phụ trợ mô Sau phiên được thiết lập,tiến trình trình thực chạy phụ trợ mơ phân tích thơng số phiên mong muốn (chẳng hạn log kiện) từ tạo mơi trường mơ tương ứng, thiết lập kết nối sở liệu lịch trình mơ để chạy sau nguồn tài nguyên xử lý cần thiết có sẵn 4.2.1.3 Database Chúng ta sử dụng hệ sở liệu Mysql 5.5 trở lên để lưu trữ Trong NeSSi2, kịch mô thực thông qua phiên (session) Mỗi phiên xác định với node mạng, mơ hình mạng, kịch thời gian xác định Kết sau chạy phiên cho kết quả, từ kết đánh giá khả bảo mật,độ an toàn hệ thống,phát mối nguy hiểm, từ xây dựng sách bảo mật cho hệ thống Với mục đích mơ sử dụng sở liệu phân tán Hệ sở liệu lưu trữ traffic tạo chạy session Với phiên session log traffic node mạng, liệu phát gửi đến sở liệu 4.2 Phƣơng thức mô với NeSSi2 4.2.1 Thiết lập mạng 4.2.2 Thiết lập Profile 4.2.3 Thiết lập kịch mô 20 4.2.4 Thiết lập phiên kịch 4.2.5 Thực mơ 4.3 Mơ hình mô công DDoS với NeSSi2 4.3.1.Sơ đồ mạng mô phỏng, chức thành phần 4.3.1.1 Xây dựng lại sơ đồ hệ thống mạng công ty phần mềm mô NeSSi2 4.3.2 Tạo nguồn lưu lượng 4.3.3 Kịch mô Trong phạm vi bài, ba kịch mô sau thiết lập để mô công DDoS với NeSSi2 4.3.3.1 Kịch 1: Kiểm tra hệ thống mạng - Bước 1: Chạy chương trình mơ với hệ thống mạng xây dựng - Bước 2: Quan sát kết quả, phân tích kết - Bước 3: Dựa vào kết vẽ biểu đồ - Bước 4: Đánh giá 4.3.3.1 Kịch 2: Tấn công DDoS vào Server mạng - Bước 1: Tấn công DDoS vào Server - Bước 2: Quan sát kết quả, phân tích gói tin, traffic thiết bị - Bước 3: Dựa vào kết vẽ biểu đồ - Bước 4: Đánh giá 4.3.3.1 Kịch 3: Tìm lỗi hệ thống mà hacker lợi dụng để cơng DDoS, phân tích để tìm nguồn cơng.Vá lỗ hổng, ngăn chặn cô lập nguồn công.Kiểm tra mức độ bảo mật hệ thống sau vá lỗi - Bước 1: Tấn công DDoS vào Server - Bước 2: Quan sát kết quả, phân tích gói tin, lưu lượng - Bước 3: Dựa vào kết vẽ biểu đồ - Bước 4: Đánh giá 4.3.4 Các kết mô - Kết chạy chương trình mơ thành công - Kết kịch 1: Kiểm tra hệ thống mạng - Kết kịch 2: Thực công DDoS o Tấn công vào WebServer có địa IP 10.1.0.12 o Tấn cơng vào WebServer thông qua giao thức UDP, công vào cổng 1234 21 o Tấn công vào Server cách gửi gói tin có kích thước lớn 999999 o Tấn công khoảng thời gian 1000 giây - Kết kịch 3: Khi phát bị công, thực biện pháp chặn port, chặn nguồn cơng 4.4 Nhận xét, đánh giá Chương trình bày khả mô phát công chống công DDoS với công cụ NeSSi2 Luận văn thực thiết lập hệ thống phần mềm mô phỏng; xây dựng ba kịch mô điển hình; triển khai mơ cơng DDoS hệ thống mạng máy tính cơng ty; hiển thị kết mô đánh giá kết Để chống DDoS hồn tồn điều khó khăn Chúng ta muốn hạn chế hậu DDoS gây cần phải ln ln cập nhập công nghệ, nâng cao kiến thức, am hiểu dạng cơng cụ cơng để từ đưa biện pháp phịng chống hiệu Ví dụ: + Trinoo: Clients, handlers and agents mặc định sử dụng port sau để công (1524 TCP, 27665 TCP, 27444 UDP, 31335 UDP) Vì vậy, cần đóng port lại + TFN: Công cụ sử dụng gói tin ICMP ECHO and ICMP ECHO REPLY clients, handlers and agents để công + Stacheldraht: Clients, handlers and agents mặc định sử dụng port sau để công (16660 TCP, 65000 TCP, ICMP ECHO, ICMP ECHO REPLY) Sau tìm hiểu mơ hình hóa kiểu công DDoS hệ thống mạng công ty An Phát Em xin đưa số giải pháp để chống kiểu công DDoS sau: + Scan đóng tất port khơng cần thiết (1524 TCP, 27665 TCP, 27444 UDP, 31335 UDP, 16660 TCP, 65000 TCP, ICMP ECHO) + Thường xuyên update phiên hệ điều hành + Luôn bật tường lửa để bảo vệ + Tại Router biên nên sử dụng lệnh ip verify unicast reverse-path Câu lệnh yêu cầu Router kiểm tra gói tin nhận theo chiều vào interface đó, phát địa IP nguồn khơng có bảng định tuyến CEF giao diện cịn lại gói tin bị loại bỏ Như chúng chống kiểu công Smurf mà hacker hay dùng lợi hại Câu lệnh giúp hệ thống mạng chống lại kiểu cơng giả mạo địa IP nguồn 22 + Như nói trên, DDoS khó phịng chống phát công DDoS cần nhanh chóng phân tích để tìm nguồn cơng Dựa vào kết phân tích sử dụng biện pháp để ngăn chặn + Sử dụng câu lệnh Access Control Lists (ACLs) để ngăn chặn nguồn công + Giới hạn gói tin ICMP 23 KẾT LUẬN Trong luận văn em trình bày, phân tích, mơ hình hóa đặc trưng đặc điểm nhận dạng kiểu công từ chối dịch vụ phân tán (DDoS); làm rõ khác kiểu cơng từ chối dịch vụ từ chối dịch vụ thông thường (DoS) kiểu công từ chối dịch vụ phân tán (DDoS) Từ đó, luận văn mức độ nguy hiểm kiểu công từ chối dịch vụ phân tán Luận văn tập trung sâu vào tìm hiểu chất, cách thức hoạt động, cách thức công, kỹ thuật công tại, công cụ công từ chối dịch vụ phân tán, từ giúp hiểu rõ chất kiểu công Trên sở đó, luận văn đề xuất số biện pháp để ngăn chặn công từ chối dịch vụ phân tán Ngoài ra, luận văn giới thiệu qua thuật toán phát DDos sử dụng phổ biển giới Những thuật tốn giúp phát triển hệ thống dựa tảng có Luận văn đặc biệt ý đến giao thức lan tỏa ngược giao thức mạnh, ngăn chặn Agent giả mạo địa IP Việc đặt lọc gần nguồn công giao thức lan tỏa ngược phương pháp tối ưu giao thức ngăn chặn DDos Việc phát ngăn chặn công từ chối dịch vụ phân tán hồn tồn điều khó khăn Muốn hạn chế đến mức thấp hậu cơng cá nhân, tổ chức cần phải luôn cảnh giác Một cách hữu hiệu kiểm tra tính bảo mật thơng qua phần mềm mô để đánh giá mức độ bảo mật hệ thống, khả bị cơng, từ đưa biện pháp cải thiện,nâng cấp hệ thống cho hệ thống mạng Hy vọng luận văn giúp làm rõ chất, cách thức cơng kỹ thuật để phịng chống lại kiểu cơng DDoS Kết luận văn sử dụng làm sở tham khảo việc xây dựng hệ thống có khả chơng lại cộng công từ chối dịch vụ phân tán, áp dụng vào thực tiễn phục vụ cho việc kiểm tra khả chống DDoS hệ thống mạng công ty Các kết cụ thể đạt luận văn gồm: o Nghiên cứu dạng công từ chối dịch vụ đặc biệt DdoS, mức độ nguy hiểm kiểu công DDoS, giới thiệu số công cụ cơng DDoS điển hình; Nhu cầu hệ thống có khả chống lại công từ chối dịch vụ phân tán 24 o Nghiên cứu, phân tích dạng cơng từ chối dịch vụ, mơ hình cơng DDoS điển hình; chất ngun lý hoạt động công cụ công để từ đưa biện pháp ngăn chặn cụ thể o Nghiên cứu đề xuất mơ hình bảo vệ chống cơng DDoS; nghiên cứu thuật tốn để phát công từ chối dịch vụ phân tán; vấn đề xây dựng hệ thống chống DDoS o Mô phỏng, đánh giá khả bị công DDoS hệ thống mạng cụ thể thông qua việc sử dụng phần mềm mơ Trình bày số kết thử nghiệm Luận văn hoàn thành nội dung yêu cầuvà mục tiêu đề Do thời gian có hạn nên luận văn khơng thể tránh thiếu sót mặt cịn hạn chế biện pháp phòng chống DDoS Trong tương lai, điều kiện cho phép em tiếp tục nghiên cứu, phát triển hồn thiện tốn này, củng cố thêm sở để xây dựng hệ thống ngăn chặn hồn tồn kiểu công DDoS ... bày, phân tích, mơ hình hóa đặc trưng đặc điểm nhận dạng kiểu công từ chối dịch vụ phân tán (DDoS); làm rõ khác kiểu công từ chối dịch vụ từ chối dịch vụ thơng thường (DoS) kiểu công từ chối dịch. .. nguyên mạng băng thông, nhớ… làm khả xử lý yêu cầu dịch vụ từ client khác 1.2 Tấn công từ chối dịch vụ phân tán DDoS Tấn công từ chối dịch vụ phân tán (DDoS - Distributed Denial Of Service) kiểu... trung chủ yếu vào kiểu công DDoS Chương sâu phân tích mơ hình cơng DDoS 6 Chƣơng - PHÂN TÍCH MƠ HÌNH TẤN CÔNG TỪ CHỐI DỊCH VỤ PHÂN TÁN 2.1 Các đặc tính cơng DDoS Tấn cơng DDoS cơng từ hệ thống