BỘ GIÁO DỤC VÀ ĐÀO TẠO BỘ QUỐC PHÒNG HỌC VIỆN KỸ THUẬT QUÂN SỰ NGHIÊN CỨU XÂY DỰNG HỆ THỐNG CHỐNG TẤN CÔNG TỪ CHỐI DỊCH VỤ PHÂN TÁN KIỂU GIẢ MẠO ĐỊA CHỈ IP NGUỒN TẤN CÔNG CHO HỆ THỐNG MÁY CHỦ DỊCH VỤ Chuyên ngành: Khoa học máy tính LUẬN VĂN THẠC SĨ KỸ THUẬT Hà Nội – Năm 2014 BỘ GIÁO DỤC VÀ ĐÀO TẠO BỘ QUỐC PHÒNG HỌC VIỆN KỸ THUẬT QUÂN SỰ MỤC LỤC Trang Trang bìa Bản cam đoan Mục lục Tóm tắt luận văn Danh mục ký hiệu Danh mục bảng Danh mục hình vẽ MỞ ĐẦU TỔNG QUAN VỀ TẤN CÔNG TỪ CHỐI DỊCH VỤ PHÂN TÁN 1.1 Nghiên cứu tổng quan công từ chối dịch vụ phân tán 1.1.1 Giới thiệu DDoS .2 1.1.2 Các giai đoạn công DDOS 1.1.3 Kiến trúc tổng quan DDoS attack-Network 1.1.4 Phân loại công DDoS 1.1.5 Một số đặc tính cơng cụ DDOS Attack 15 1.1.6 Công cụ DDoS dạng Agent-Handler 19 1.1.7 Công cụ DDOS dạng IRC-Based 20 1.2 Tìm hiểu ảnh hưởng mức độ nghiêm trọng công từ chối dịch vụ phân tán kiểu giả mạo địa IP nguồn công nước giới 21 1.2.1 Những công DDoS nước .21 1.2.2 Những công DDoS giới 23 2.1 Nghiên cứu sản phẩm chống công từ chối dịch vụ phân tán kiểu giả mạo địa IP nguồn công đánh giá giải pháp, công nghệ sử dụng 27 2.1.1 Giải pháp chống DDoS Cisco .27 2.1.2 Giải pháp chống DDoS Abor 32 2.1.3 Giải pháp DDoS Huawei 35 2.1.4 Đánh giá giải pháp công nghệ .40 2.2 Nghiên cứu giải pháp chống công từ chối dịch vụ phân tán kiểu giả mạo địa IP nguồn công sử dụng giải pháp hệ thống độc lập 40 2.2.1 Mơ hình tổng thể hệ thống 41 2.2.2 Nguyên lý hoạt động hệ thống 41 2.2.3 Nghiên cứu giải pháp sử dụng Transparent Firewall để chặn IP nguồn giả mạo kết nối tới máy chủ 44 2.2.4 Nghiên cứu giải pháp phát công từ chối dịch vụ phân tán sử dụng nguồn mở (Snort) 46 2.2.5 Nghiên cứu giải pháp xác thực địa IP nguồn hệ thống bị công 48 2.3 Nghiên cứu xây dựng giải pháp chống công từ chối dịch vụ phân tán kiểu giả mạo địa IP nguồn công sử dụng giải pháp kết hợp hệ thống chống công từ chối dịch vụ phân tán thiết bị mạng 50 2.3.1 Mơ hình tổng thể hệ thống 50 2.3.2 Nghiên cứu sử dụng Cisco Access Control List 52 2.3.3 Nghiên cứu phương pháp với thiết bị định tuyến Cisco sử dụng Telnet, SSH 56 3.1 Thiết kế kiến trúc hệ thống 65 3.2 Thiết kế giao diện quản trị hệ thống 66 3.2.1 Yêu cầu thiết kế phần mềm giao diện quản trị hệ thống 66 3.2.2 Thiết kết giao diện quản trị hệ thống 67 3.3 Xây dựng môđun phát công từ chối dịch vụ phân tán giả mạo địa IP nguồn sử dụng nguồn mở 68 3.4 Xây dựng môđun tự động thu thập địa IP phục vụ cho giai đoạn chống công .71 3.4.1 Sơ đồ thuật toán tự động thu thập địa IP .71 3.4.2 Xây dựng môđun xử lý địa nguồn hệ thống phát kết nối mạng thành công .72 3.5 Xây dựng môđun xác thực địa nguồn kết nối cho phép kết nối bình thường truy cập công xảy 73 3.5.1 Sơ đồ thuật toán xác thực địa nguồn kết nối 74 3.5.2 Xây dựng môđun xác thực địa nguồn kết nối 75 3.6 Xây dựng môđun tương tác môđun chống công thiết bị định tuyến Router Cisco 75 3.6.1 Sơ đồ thuật toán tương tác hệ thống thiết bị định tuyến Cisco.76 3.6.2 Xây dựng môđun tương tác 76 4.1 Máy chủ 78 4.2 Chuẩn bị nguồn công từ chối dịch vụ phân tán kiểu giả mạo địa IP nguồn công phục vụ thử nghiệm hệ thống 79 4.3 Xây dựng hệ thống mạng thử nghiệm bao gồm máy chủ dịch vụ thử nghiệm hệ thống chống công từ chối dịch vụ phân tán kiểu giả mạo địa IP nguồn công 79 4.4 Kịch thử nghiệm khả chống công DDOS kiểu giả mạo địa IP nguồn công hệ thống 80 Kết luận .90 Kiến nghị 91 _Toc319450845TÀI LIỆU THAM KHẢO 93 TÓM TẮT LUẬN VĂN THẠC SĨ Họ tên học viên: Chuyên ngành: Khoa học máy tính Khố: 24 Cán hướng dẫn: PGS.TS Nguyễn Hiếu Minh Tên luận văn: Nghiên cứu xây dựng hệ thống chống công từ chối dịch vụ phân tán kiểu giả mạo địa IP nguồn cơng cho hệ thống máy chủ dịch vụ Tóm tắt: Các công DDOS gây nhiều hậu nghiêm trọng Hiện chưa có giải pháp ngăn chặn triệt để kiểu công Đề tài tập trung nghiên cứu nội dung: Nghiên cứu cơng từ chối dịch vụ; Tìm hiểu ảnh hưởng mức độ nghiêm trọng công DDOS; Nghiên cứu sản phẩm, giải pháp thương mại chống DDOS ; Xây dựng hệ thống chống cơng DDOS Trong chưa có giải pháp triển khai rộng rãi cho quan, tổ chức với kinh phí thấp sản phẩm đề tài mang tính thực tiễn khả áp dụng cao thực tế DANH MỤC CÁC KÝ HIỆU TT Ký hiệu Giải thích DDoS Tấn công từ chối dịch vụ Hacker Kẻ công Server Máy chủ Host Máy trạm User Người dùng Internet Tập hợp mạng liên kết với Router Bộ/thiết bị định tuyến Switch Bộ/thiết bị chuyển mạch Traffic Lưu lượng mạng 10 Buffer Bộ nhớ đệm 11 Website Trang web DANH MỤC CÁC BẢNG Bảng 1.1 Tập lệnh Handler 18 Bảng 1.2 Tập lệnh Agent .19 Bảng 2.1 Mô tả tham số Threshold 47 Bảng 3.1 Yêu cầu thiết kế phần mềm giao diện quản trị 66 DANH MỤC CÁC HÌNH VẼ Hình 1.1 Mơ hình Agent – Handler Hình 1.2 Kiến trúc attack-network kiểu Agent – Handler .5 Hình 1.3 Kiến trúc attack-network kiểu IRC-Base Hình 1.4 Phân loại cơng kiểu DDoS .8 Hình 1.5 Amplification Attack 11 Hình 1.6 TCP way handshake 13 Hình 1.7 TCP SYN Attack 13 Hình 1.8 Cơng cụ DDoS attack 15 Hình 2.1 Kiến trúc hệ thống Cisco MVP 29 Hình 2.2 Cisco phát triển phịng vệ 31 Hình 2.3 Cisco Guard XT triển khai lớp phân phối 32 Hình 2.4 Peakflow SP TMS cần kiểm tra lưu lượng chuyển hướng 33 Hình 2.5 Giải pháp chống DDoS Huawei 35 Hình 2.6 Industry's Easiest OAM .38 Hình 2.7 Quản lý báo cáo dịch vụ 39 Hình 2.8 IDC Security Defense 39 Hình 2.9 Mơ hình tổng thể hệ thống 41 Hình 2.11 Sơ đồ nguyên lý hệ thống phịng chống cơng .43 Hình 2.12 Sơ đồ nguyên lý hệ thống xác thực địa nguồn 44 Hình 2.13 Transparent Firewall 45 Hình 2.14 Nguyên lý khởi tạo kết nối, bắt tay bước giao thức TCP 48 Hình 2.15 Nguyên lý xác thực địa nguồn hệ thống .49 Hình 2.16 Mơ hình tổng thể hệ thống .51 Hình 2.9 Mơ hình mạng cấu hình Standard ACLs 54 Hình 2.17 Kiến trúc chung giao thức SSH 59 Hình 3.1 Mơ hình tổng thể hệ thống 65 Hình 3.2 Giao diện cấu hình Blocking Device 67 Hình 3.3 Giao diện cấu hình thơng số phát cơng DDoS 68 Hình 3.4 Giao diện cấu hình thơng số xác thực địa nguồn .68 Hình 3.5 Sơ đồ thuật toán tự động thu thập địa IP 72 Hình 3.6 Sơ đồ thuật toán xác thực địa nguồn kết nối 74 Hình 4.1 Hệ thống mạng thử nghiệm 79 Hình 4.2 Tắt hệ thống phòng thủ 80 Hình 4.3 Giả lập cơng hệ thống 81 Hình 4.4 Kiểm tra kết nối đến máy chủ .82 Hình 4.5 Bật hệ thống phịng thủ cơng .82 Hình 4.6 Kiểm tra trạng thái hệ thống phòng thủ 83 Hình 4.7 Kiểm tra trạng thái thiết bị định tuyến 84 Hình 4.8 Truy cập dịch vụ máy chủ kiểm tra kết .84 Hình 4.9 Kiểm tra địa mạng máy kết nối tới hệ thống .85 Hình 4.10 Xố mạng máy kết nối có WhiteList 85 Hình 4.11 Kết nối hệ thống 86 Hình 4.12 Kiểm tra mạng máy kết nối hệ thống 86 Hình 4.13 Kiểm tra địa mạng máy kết nối tới hệ thống .87 Hình 4.14 Xố mạng máy kết nối có WhiteList 87 Hình 4.16 Thử kết nối vào hệ thống 88 Hình 4.17 Kiểm tra trạng thái xác thực 88 Hình 4.19 Kiểm tra mạng IP nguồn 89 Hình 4.20 Kiểm tra kết kết nối thành công IP nguồn .90 MỞ ĐẦU Các công từ chối dịch vụ phân tán kiểu giả mạo địa IP nguồn công gây nhiều hậu nghiêm trọng giới Việt Nam Hiện chưa có giải pháp ngăn chặn triệt để kiểu cơng này, có cơng xảy đơn vị thường chọn giải pháp thuê thiết bị thương mại đắt tiền để khắc phục cơng trước mắt mà chưa có giải pháp lâu dài Đề tài tập trung nghiên cứu nội dung sau: Nghiên cứu công từ chối dịch vụ; Tìm hiểu ảnh hưởng mức độ nghiêm trọng công DDoS; Nghiên cứu sản phẩm, giải pháp thương mại chống DDoS ; Xây dựng hệ thống chống công DDoS Với mức độ nghiêm trọng tần suất công từ chối dịch vụ phân tán giả mạo IP nguồn cơng chưa có giải pháp triển khai rộng rãi cho quan, tổ chức với kinh phí thấp sản phẩm đề tài mang tính thực tiễn khả áp dụng cao thực tế Toàn nội dung luận văn tổ chức theo bố cục sau: Chương 1: Tổng quan công từ chối dịch vụ phân tán Chương 2: Nghiên cứu xây dựng giải pháp chống công từ chối dịch vụ phân tán kiểu giả mạo địa IP nguồn công Chương 3: Xây dựng hệ thống chống công từ chối dịch vụ phân tán kiểu giả mạo địa IP nguồn công sử dụng kết hợp hệ thống chống công từ chối dịch vụ phân tán thiết bị định tuyến Router Cisco Để hoàn thành luận văn, tác giả xin chân thành cảm ơn đến thầy cô khoa Công nghệ thông tin - Học viện Kỹ thuật Quân giúp đỡ tạo điều kiện trình thực luận văn Đặc biệt tác giả luận văn xin gửi lời cảm ơn sâu sắc đến thầy giáo hướng dẫn PGS.TS Nguyễn Hiếu 80 Network Tape sử dụng để trích rút liệu Interface Outsite Router2900 Máy chủ Web bảo vệ với Firewall ASA5505 Kết nối vật lý hệ thống thực theo hình 4.4 Kịch thử nghiệm khả chống công DDOS kiểu giả mạo địa IP nguồn công hệ thống Kịch 1: Kiểm tra khả chống công DDOS hệ thống Kiểm tra khả chống công DDoS hệ thống kiểm tra xem thực giả lập cơng hệ thống có khả phịng thủ khơng Trường hợp hệ thống có khả phịng thủ giả lập cơng ta kết nối vào hệ thống Kiểm tra khả chống công bao gồm bước sau: Bước 1: Tắt hệ thống phịng thủ cơng Hình 4.2 Tắt hệ thống phòng thủ Bước 2: Thực giả lập cơng vào hệ thống 81 Hình 4.3 Giả lập công hệ thống Bước 3: Kiểm tra kết nối đến máy chủ 82 Hình 4.4 Kiểm tra kết nối đến máy chủ Bước 4: Thử truy cập dịch vụ máy chủ kiểm tra kết (Khơng truy cập dịch vụ) Hình 4.5 Truy cập dịch vụ máy chủ Bước 5: Bật hệ thống phịng thủ cơng Hình 4.5 Bật hệ thống phịng thủ công 83 Bước 6: Kiểm tra trạng thái hệ thống phịng thủ Hình 4.6 Kiểm tra trạng thái hệ thống phòng thủ Bước 7: Kiểm tra trạng thái thiết bị định tuyến 84 Hình 4.7 Kiểm tra trạng thái thiết bị định tuyến Bước 8: Thử truy cập dịch vụ máy chủ kiểm tra kết (Truy cập dịch vụ) Hình 4.8 Truy cập dịch vụ máy chủ kiểm tra kết Kịch 02: Kiểm tra khả tự động xây dựng WhiteList Kiểm tra khả tự động xây dựng WhiteList kiểm tra khả hệ thống tự động đưa đỉa IP nguồn kết nối vào WhiteList kết nối thực thành công Các bước kiểm tra thực sau: Bước 1: Kiểm tra địa mạng nguồn máy kết nối tới hệ thống 85 Hình 4.9 Kiểm tra địa mạng máy kết nối tới hệ thống Bước 2: Xóa mạng máy kết nối có WhiteList có Hình 4.10 Xố mạng máy kết nối có WhiteList Bước 3: Thử kết nối vào hệ thống 86 Hình 4.11 Kết nối hệ thống Bước 4: Kiểm tra mạng máy kết nối có hệ thống Hình 4.12 Kiểm tra mạng máy kết nối hệ thống Kịch 03: Kiểm tra khả xác thực địa IP nguồn cho phép kết nối vào hệ thống xảy công DDOS Bước 1: Kiểm tra địa mạng nguồn máy kết nối tới hệ thống 87 Hình 4.13 Kiểm tra địa mạng máy kết nối tới hệ thống Bước 2: Xóa mạng máy kết nối có WhiteList có Hình 4.14 Xố mạng máy kết nối có WhiteList Bước 3: Thực giả lập công vào hệ thống Hình 4.15 Thực giả lập công vào hệ thống 88 Bước 4: Thử kết nối vào hệ thống Hình 4.16 Thử kết nối vào hệ thống Bước 5: Kiểm tra trạng thái xác thực Hình 4.17 Kiểm tra trạng thái xác thực Bước 6: Kiểm tra kết cho phép kết nối nhanh IP xác thực thiết bị định tuyến 89 Hình 4.18 Kiểm tra kết kết nối Bước 7: Kiểm tra mạng IP nguồn nằm WhiteList Hình 4.19 Kiểm tra mạng IP nguồn Bước : Kiểm tra kết kết nối thành công IP nguồn 90 Hình 4.20 Kiểm tra kết kết nối thành công IP nguồn KẾT LUẬN VÀ KIẾN NGHỊ Kết luận Hệ thống xây dựng theo chức đưa đề cương luận văn Hệ thống ngăn chặn công DDoS môi trường thử nghiệm 91 Tuy nhiên trình phát triển hệ thống phát sinh nhiều hướng phát triển hệ thống hệ thống cịn tồn vấn đề kỹ thuật sau − Hiện hệ thống xác thực tất IP nguồn công xảy Việc gây tải, khả đáp ứng hệ thống sử dụng phương pháp xác thực xác nhận kết nối Hệ thống cần phải lọc IP nguồn nghi ngờ kết nối bình thường sau thực xác thực để tránh tải hệ thống − Ngưỡng phát công người quản trị đưa mà chưa có chế tự động thiết lập cập nhật ngưỡng − Khả tương tác với loại thiết bị mạng hạn chế, hệ thống tương tác với thiết bị định tuyến Cisco, dòng thiết bị định tuyến khác chưa hỗ trợ − Hệ thống chưa có khả phát ngăn chặn công DDoS xảy lớp ứng dụng Kiến nghị Chống công từ chối dịch vụ phân tán thách thức hệ thống, giải pháp nhà phát triển Các công DDoS thể hiệu việc làm ngừng dịch vụ hệ thống dịch vụ công nghệ kỹ thuật công thay đổi theo đối tượng Do tác giả xin đề xuất tiếp tục phát triển giải pháp chống công DDoS theo hướng phát triển sau: Phát triển thêm tính cho giải pháp chống công từ chối dịch vụ giả mạo IP nguồn cơng với tính − Tự động thiết lập ngưỡng phát công DDoS 92 − Nghiên cứu xây dựng giải pháp lọc địa IP nguồn công để xác thực công DDoS xảy − Phát triển thêm môđun tương tác với thiết bị bảo mật khác Phát triển tính phát DDoS lớp ứng dụng với tính sau: − Tự động xây dựng dấu hiệu công DDoS lớp ứng dụng − Tự động thiết lập cập nhật ngưỡng công − Tự động lệnh cho thiết bị bảo mật, hệ điều hành máy chủ ngăn chặn công 93 _Toc319450845TÀI LIỆU THAM KHẢO [1] Hack Proofing your network, second edition: David R.Mirza Ahmad [2] TCP/IP UNLEASHED Third Edition: Karanjit S.Siyan, Ph.D, Tim Parker, Ph.D [3] J Liu, Y Xiao, K Ghaboosi, H Deng, and J Zhang, Botnet:Classification, Attacks, Detection, Tracing, and Preventive Measures, [4] Internet Denial of Service, Attack and Defense Mechanisms; Jelena Mirkovic, Sven Dietrich; 2004 [5] CERT, Denial of Service Attacks, June 4, 2001, [online] http://www.cert.org/tech tips/denial of service.html [6] Certicom ECC Challenge, November 1997, http://www.certicom.com [7] Defeating DDOS Attacks, http://www.cisco.com/en/US/prod/collateral/vpndevc/ps5879/ps6264/ps58 88/prod_white_paper0900aecd8011e927.html [8] Http://snort.org [9] Hacking Tool Denial of Service Attack Tutorial [10] OWASP TESTING GUIDE, 2008 V3.0 [11] Zend Framework In Action: Rob Allen Nick Lo ... 2.2.5 Nghiên cứu giải pháp xác thực địa IP nguồn hệ thống bị công 48 2.3 Nghiên cứu xây dựng giải pháp chống công từ chối dịch vụ phân tán kiểu giả mạo địa IP nguồn công sử dụng giải... Chương NGHIÊN CỨU VÀ XÂY DỰNG GIẢI PHÁP CHỐNG TẤN CÔNG TỪ CHỐI DỊCH VỤ PHÂN TÁN KIỂU GIẢ MẠO ĐỊA CHỈ IP NGUỒN TẤN CÔNG Nội dung chương tác giả tập trung tìm hiểu sản phẩm chống công từ chối dịch vụ. .. dung luận văn tổ chức theo bố cục sau: Chương 1: Tổng quan công từ chối dịch vụ phân tán Chương 2: Nghiên cứu xây dựng giải pháp chống công từ chối dịch vụ phân tán kiểu giả mạo địa IP nguồn công