Nghiên cứu và tìm hiểu an ninh mạng MỤC LỤC SVTH: Lê Quang Hà 1 Nghiên cứu và tìm hiểu an ninh mạng DANH MỤC VIẾT TẮT DoS Denial of Service SQL Structured Query Language - ngôn ngữ truy vấn mang tính cấu trúc XSS Cross-site scripting HĐH Hệ điều hành DDoS Distribute Denial of Service ICQ Internet Chat Query IRC Internet Relay Chat ICMP Internet control message protocol PDoS Permanent Denial of Service LOIC Low Orbit Ion Cannon HTTP Hyper Text Transfer Protocol WMN Wireless Mesh Network CNTT Công Nghệ Thông Tin SVTH: Lê Quang Hà 2 Nghiên cứu và tìm hiểu an ninh mạng DANH MỤC HÌNH ẢNH SVTH: Lê Quang Hà 3 Nghiên cứu và tìm hiểu an ninh mạng Bảo mật an ninh mạng hiện nay được đặt lên hàng đầu với bất kỳ công ty nào có hệ thống mạng dù lớn hay nhỏ. Hiện nay, các hacker trong và ngoài nước luôn tìm cách tấn công và xâm nhập hệ thống để lấy các thông tin nội bộ. Những thông tin nhạy cảm thường ảnh hưởng tới sống còn của công ty. Chính vì vậy, các nhà quản trị mạng luôn cố gắng bảo vệ hệ thống của mình tốt nhất có thể và cố gắng hoàn thiện hệ thống mình để bớt lỗ hổng. Tuy nhiên, một kiểu tấn công rất cổ điển là tấn công từ chối dịch vụ chưa bao giờ mất đi tính nguy hiểm đối với hệ thống mạng. Hậu quả mà DoS gây ra không chỉ tiêu tốn nhiều tiền bạc, và công sức mà còn mất rất nhiều thời gian để khắc phục. DoS và DDoS vẫn đang là vấn đề nan giải chưa có biện pháp nào chống được hoàn toàn cuộc tấn công. Với yêu cầu cấp thiết như vậy, em chọn đề tài “Nghiên cứu và tìm hiểu an ninh mạng” làm đồ án An Ninh Mạng. Mục đích đưa ra khi làm đề tài là hiểu được các kiểu tấn công và cách phòng chống DoS/ DDoS. Đồ án được viết dựa trên slide CEH v7 và được chia làm 3 chương: CHƯƠNG I: TỔNG QUAN AN NINH MẠNG CHƯƠNG II: TẤN CÔNG TỪ CHỐI DỊCH VỤ CHƯƠNG III: MỘT SỐ VÍ DỤ ĐIỂN HÌNH Sinh viên thực hiện: Lê Quang Hà SVTH: Lê Quang Hà 4 Nghiên cứu và tìm hiểu an ninh mạng CHƯƠNG 1: TỔNG QUAN VỀ AN NINH MẠNG 1.1. TỔNG QUAN THÔNG TIN BẢO MẬT 1.1.1. Sự kiện bảo mật của năm 2011 1.1.1.1. VietNamNet bị tấn công DDoS lớn chưa từng có Trong vài ngày qua, báo VietNamNet đã phải hứng chịu một cuộc tấn công từ chối dịch vụ phân tán (DDoS) ở quy mô lớn chưa từng có tại Việt Nam, xuất phát từ một mạng lưới khổng lồ gồm hàng chục ngàn máy tính bị nhiễm vi rút. Bắt đầu từ cuối ngày 4/1/2011, lưu lượng truy cập vào trang chủ báo VietNamNet tại địa chỉ http://vietnamnet.vn tăng nhanh một cách bất thường, lên tới hàng trăm ngàn kết nối tại một thời điểm. Với lượng độc giả truy cập hàng ngày, số lượng kết nối tại một thời điểm chỉ ở mức dưới một trăm ngàn. Nên việc tại một thời điểm có tới hàng trăm ngàn kết nối liên tục (bao gồm cả của các độc giả thông thường) tới máy chủ web đã khiến băng thông đường truyền mạng bị quá tải. Do vậy, độc giả truy cập vào báo VietNamNet sẽ bị tắc nghẽn ngay từ đường truyền và báo lỗi không tìm thấy máy chủ, phải truy cập vài lần mới mở được trang web. Trên thực tế, báo VietNamNet đã từng bị tấn công DDoS nhiều lần nhưng ở quy mô vài chục ngàn kết nối tại một thời điểm nên băng thông hệ thống và công suất các máy chủ vẫn có thể chịu đựng được. Trong cuộc tấn công DDoS đang diễn ra, kẻ thủ ác đã thể hiện khả năng rất chuyên nghiệp khi huy động một mạng lưới botnet với lượng máy lên tới hàng chục ngàn máy tính. 1.1.1.2. "Hacktivism" nổi dậy Hacktivism là thuật ngữ diễn tả hành động tấn công, đột nhập vào một hệ thống máy tính nhằm mục đích chính trị. Trên thế giới hiện nay, những nhóm hacker mang "mác" hacktivism nổi tiếng có thể kể đến bao gồm Anonymous, LulzSec (đã gác kiếm), hay TeaMp0isoN. Trong suốt năm 2011 qua, các nhóm hacktivism đã tiến hành nhiều hoạt động khác nhau chống lại các cơ quan luật pháp, ngân hàng, chính phủ, các công ty bảo mật và những nhà cung cấp phần mềm như tấn công lỗ thủng an ninh các hệ thống của Tổ chức Liên hiệp quốc (UN), cơ quan tình báo bảo mật Straffor, CIA… Đáng lưu ý hơn nữa, trong số những sự việc này, như cuộc tấn công Straffor, đã tiết lộ những lỗ hổng về mặt an ninh như việc lưu trữ các số thẻ tín dụng dưới hình SVTH: LÊ QUANG HÀ 5 Nghiên cứu và tìm hiểu an ninh mạng thức chưa được mã hóa, hay những mật khẩu vô cùng thiếu an toàn được các nhà quản lý sử dụng. 1.1.1.3. Công ty cung cấp giải pháp bảo mật cho chính phủ Hoa Kỳ bị tấn công Vào tháng 1-2011, những hacker thuộc Anonymous đã đột nhập máy chủ web của HBGary Federal – hbgaryfederal.com – thông qua việc sử dụng những đoạn mã SQL bất hợp pháp nhằm khai thác một lỗ hổng bảo mật tồn tại trong cơ sở dữ liệu của một ứng dụng. Sau đó trích xuất mã MD5 cho các mật khẩu thuộc sở hữu của giám đốc điều hành (CEO), Aaron Barr, và COO, Ted Vera. Cả hai đều dùng mật khẩu rất đơn giản: 6 kí tự thường và 2 con số. Những mật khẩu như thế này cho phép những kẻ tấn công tiếp cận vào những tài liệu nghiên cứu của công ty và hàng chục ngàn email được lưu trữ trong Google Apps. Như vậy, việc sử dụng những mật khẩu thiếu an toàn cho hệ thống phần mềm cũ cộng với việc sử dụng điện toán đám mây đã gây ra cơn ác mộng đối với an ninh bảo mật. 1.1.2. Các cuộc tấn công DDoS nổi tiếng trong lịch sử - Năm 2000, một loạt website nổi tiếng như Yahoo, eBay, eTrade, Amazon và CNN trở thành nạn nhân của DDoS. - Tháng 2/2001, máy chủ của Cục tài chính Ireland bị một số sinh viên Đại học Maynooth ở nước này tấn công DDoS. - Ngày 15/8/2003, Microsoft chịu đợt tấn công DoS cực mạnh và làm gián đoạn websites trong vòng 2 giờ. - Tháng 2/2007, hơn 10.000 máy chủ của game trực tuyến như Return to Castle Wolfenstein, Halo, Counter-Strike …bị nhóm RUS tấn công với hệ thống điều khiển chủ yếu đặt tại Nga, Uzbekistan và Belarus. - Trong suốt các tuần đầu của cuộc chiến Nam Ossetia 2008, các trang web của chính phủ Georgia luôn trong tình trạng quá tải, gồm các trang web ngân hàng quốc gia và của tổng thống Georgia Mikhail Saakashvili. Chính phủ Nga phủ nhận mọi sự cáo buộc cho rằng họ đứng đằng sau vụ tấn công. - Ngày 25/6/2009 khi Michael Jackson qua đời, lượng truy cập tìm kiếm các từ khóa có liên quan đến ca sĩ này quá lớn khiến Google News lầm tưởng đây là một cuộc tấn công tự động. SVTH: LÊ QUANG HÀ 6 Nghiên cứu và tìm hiểu an ninh mạng - Tháng 8/2009, các vụ DDoS nhắm tới một loạt trang mạng xã hội đình đám như Facebook, Twitter, LiveJournal và một số website của Google được thực hiện chỉ để "khóa miệng" một blogger có tên Cyxymu ở Georgia - Ngày 28/11/2010, WikiLeaks bị tê liệt vì DDoS ngay khi họ chuẩn bị tung ra những tài liệu mật của chính phủ Mỹ. - Ngày 7/12/2010, nhóm hacker có tên Anonymous đánh sập website Visa.com sau khi tổ chức những cuộc tấn công tương tự vào Mastercard và PayPal để trả đũa cho việc chủ WikiLeaks bị tạm giam ở Anh. - Ngày 3/3/2011, dịch vụ blog nổi tiếng thế giới WordPress bị tấn công. - Ngày 4/3/2011, 40 trang web của các cơ quan chính phủ Hàn Quốc bị tê liệt vì DDoS. 1.2. KHÁI NIỆM HACKING 1.2.1. Khái niệm Hacker  Giỏi về lập trình và có kĩ năng trong hệ thống mạng.  Nên làm quen dần với việc nghiên cứu các lổ hỏng, các lỗi bảo mật.  Thành thạo,có hiểu biết về kĩ thuật xâm nhập.  Tự đặt cho mình một nguyên tắc, phải thật nghiêm khắc. 1.2.2. Các loại Hacker 1.2.2.1. Black Hat Loại hacker này thường là một cá nhân có kiến thức, kĩ năng uyên thâm về máy tính, luôn có ý nghĩ đen tối, sắp xếp và lên kế hoạch tấn công bất cứ thứ gì tùy mục đích. Black Hat cũng có thể là một cracker. 1.2.2.2. White Hat Trắng ở đây có nghĩa là luôn làm việc trong sáng, minh bạch để chống lại cái ác, cái đen tối. Những người này cũng phải có kiến thức, kĩ năng uyên thâm như Black Hat, nhưng họ không dùng kiến thức đó để thực hiện những ý đồ đen tối là tấn công,xâm nhập… mà họ là những người đi tìm ra lổ hổng và vá lổ hổng đó lại và họ luôn đặt phòng thủ lên hạng đầu. Có thể coi những người này như những người phân tích bảo mật. 1.2.2.3. Gray Hat Những người này có thể thực hiện ý đồ đen tối hôm nay nhưng ngày mai lại giúp phòng thủ, bảo mật. SVTH: LÊ QUANG HÀ 7 Nghiên cứu và tìm hiểu an ninh mạng 1.2.2.4. Suicide Hat Đây có thể coi như là loại hacker cảm tử vậy, có nghĩa là làm việc mà không sợ gì, dù có bị giam 30 năm nhưng vẫn không lo lắng sợ gì. 1.3. CÁC GIAI ĐOẠN TẤN CÔNG Hình 1-1 Các giai đoạn tấn công 1.3.1. Thăm dò (Reconnaissace) Thăm dò mục tiêu là một trong những bước qua trọng để biết những thông tin trên hệ thống mục tiêu. Hacker sử dụng kỹ thuật này để khám phá hệ thống mục tiêu đang chạy trên hệ điều hành nào, có bao nhiêu dịch vụ đang chạy trên các dịch vụ đó, cổng dịch vụ nào đang đóng và cổng nào đang mở, gồm hai loại:  Passive: Thu thập các thông tin chung như vị trí địa lý, điện thoại, email của các cá nhân, người điều hành trong tổ chức.  Active: Thu thập các thông tin về địa chỉ IP, domain, DNS,… của hệ thống 1.3.2. Quét hệ thống (Scanning) Quét thăm dò hệ thống là phương pháp quan trọng mà Attacker thường dùng để tìm hiểu hệ thống và thu thập các thông tin như địa chỉ IP cụ thể, hệ điều hành hay các kiến trúc hệ thống mạng. Một vài phương pháp quét thông dụng như: quét cổng, quét mạng và quét các điểm yếu trên hệ thống. 1.3.3. Chiếm quyền điều khiển (Gainning access) Đến đây hacker đã bắt đầu dần dần xâm nhập được hệ thống và tấn công nó ,đã truy cập được nó bằng các lệnh khai thác. Các lệnh khai thác luôn ở bất cứ không gian nào, từ mạng LAN cho tới INTERNET và đã lan rộng ra mạng không dây. Hacker có thể chiếm quyền điều khiển tại:  Mức hệ điều hành/ mức ứng dụng. SVTH: LÊ QUANG HÀ 8 Nghiên cứu và tìm hiểu an ninh mạng  Mức mạng.  Từ chối dịch vụ. 1.3.4. Duy trì điều khiển hệ thống (Maitaining access) Đến đây hacker bắt đầu phá hỏng làm hại, hoặc có thể cài trojan, rootkit, backdoor để lấy thông tin thêm. Thường được thấy sử dụng để đánh cắp tài khoản tín dụng, ngân hàng 1.3.5. Xoá dấu vết (Clearning tracks) Được đề cập đến hoạt động được thực hiện bằng cách hacker cố tình che dấu hành động xâm nhập của mình. Hacker phải tìm cách xóa đi dấu vết mỗi khi đột nhập bằng các phương thức như Steganography, tunneling, and altering log file. 1.4. CÁC KIỂU TẤN CÔNG 1.4.1. Operating System Attacks Tấn công vào hệ điều hành, hệ thống. Thường thì việc mặc định cài đặt một hệ thống có một số lượng lớn các dịch vụ cùng chạy và các cổng kết nối. Điều này sẽ làm kẻ tấn công có nhiều cơ hội tấn công hơn. Tìm ra các bản vá lỗi dường như khó khăn trong một hệ thống mạng phức tạp như ngày nay. Hacker luôn tìm kiếm các hệ điều hành, nghiên cứu các lệnh khai thác lổ hỏng để truy cập, xâm nhập hệ thống. 1.4.2. Application level Attacks Tấn công dựa trên những phần mềm ứng dụng. Những kiểu tấn công như: tấn công tràn bộ đệm, tấn công XSS, DoS, tấn công SQL injection,… 1.4.3. Shrink Wrap Code Attacks Khi cài đặt một HĐH nào đó thì có một số lượng cực lớn các tập tin làm việc và sẽ hoàn chỉnh một HĐH, khi đó việc quản trị HĐH đó là việc đơn giản. Nhưng vấn đề ở đây là bạn không điều khiển hay tùy biến, chỉnh sửa tập lệnh này. Các tập tin độc này sẽ đè lên các tập tin mặc định. 1.4.4. Misconfiguration Attacks Tấn công dựa vào các lỗi cấu hình hệ thống  Do hệ thống cấu hình không chính xác ít được bảo mật.  Hệ thống phức tạp nên admin không có đủ hết kỹ năng để fix hết lỗi.  Đa số admin chọn cấu hình default để dễ làm điều này dễ dẫn đến việc hacker khai thác. Do đó phải config hệ thống chính xác, bỏ những dịch vụ và các phần mềm không cần thiết SVTH: LÊ QUANG HÀ 9 Nghiên cứu và tìm hiểu an ninh mạng SVTH: LÊ QUANG HÀ 10 [...]... và thường xuyên cập nhập xây dựng cơ cấu phòng thủ trên lõi phần cứng và phần mềm hệ thống SVTH: LÊ QUANG HÀ 21 Nghiên cứu và tìm hiểu an ninh mạng 2.5.3.1 Phát hiện và vô hiệu hóa handers  Phân tích lưu lượng mạng: Nghiên cứu giao tiếp giao thức và mô hình giữa handlers và client hoặc handlers và agents để nhận biết node mạng có thể lây với các handler  Vô hiệu hóa botnet handler: Thông thường vài... QUANG HÀ 19 Nghiên cứu và tìm hiểu an ninh mạng Hình 2-8 Dùng LOIC tấn công DDoS 2.4.2 DoSHTTP DoSHTTP là một phần mềm sử dụng dễ dàng, mạnh mẽ để tấn công tràn ngập HTTP nhằm mục địch kiểm thử trên Windows DoSHTTP bao gồm xác nhận URL, chuyển hướng HTTP và giám sát hiệu suất Công cụ DoSHTTP có thể giúp các chuyên gia CNTT thử nghiệm hiệu năng máy chủ web và đánh giá độ bảo mật Hình 2-9 Công cụ DoSHTTP... hoạt truy cập qua proxy vào tầng ứng dụng và có thể ngăn chặn hơn 2000 kiểu hoạt động của hacker SVTH: LÊ QUANG HÀ 27 Nghiên cứu và tìm hiểu an ninh mạng Hình 2-13 Công cụ FortGuard Firewall 2.7 KIỂM TRA THÂM NHẬP DOS/ DDOS Hệ thống server dễ bị tấn công DoS thì nên kiểm tra thâm nhập để tìm hiểu để đối phó Một hệ thống dễ bị tấn công không thể xử lý số lượng lớn lưu lượng gửi và sau đó bị treo hoặc... Mutilate and Pepsi5 để tự động tấn cộng tràn ngập cổng SVTH: LÊ QUANG HÀ 28 Nghiên cứu và tìm hiểu an ninh mạng 5 Dùng công cụ Mail Bomber, Attache Bomber, và Advanced Mail Bomber để gửi số lượng mail lớn cho mail server mục tiêu 6 Điền vào các mẫu nội dung tùy ý và kéo dài làm tràn ngập trang web SVTH: LÊ QUANG HÀ 29 Nghiên cứu và tìm hiểu an ninh mạng CHƯƠNG 3: MỘT SỐ VÍ DỤ ĐIỂN HÌNH 3.1 Tấn công tràn ngập... thực hiện giám định mạng và phân tích lưu lượng mạng SVTH: LÊ QUANG HÀ 25 Nghiên cứu và tìm hiểu an ninh mạng Hình 2-11 Công cụ NetFlow Analyzer 2.6.1.2 Một số công cụ khác  D-Guard Anti-DDoS Firewall D-Guard Anti-DDoS Firewall cung cấp đáng tin cậy nhất và nhanh nhất bảo vệ DDoS cho các doanh nghiệp trực tuyến, và các dịch vụ phương tiện truyền thông, thiết yếu hạ tầng công cộng và cung cấp dịch vụ Internet... Firewall để sớm có biện pháp đối phó  Tham khảo thêm cách đối phó DoS/ DDoS được trình bày ở trên SVTH: LÊ QUANG HÀ 33 Nghiên cứu và tìm hiểu an ninh mạng TÀI LIỆU THAM KHẢO [1] CEH V7 Module 10 [2] http://tuoitre.vn [3] http://www.thongtincongnghe.com [4] http://wikipedia.org [5] http://uitstudent.vn/ SVTH: LÊ QUANG HÀ 34 Nghiên cứu và tìm hiểu an ninh mạng NHẬN XÉT CỦA CÁN BỘ HƯỚNG DẪN ... công DDoS Bonesi được thiết kế để nghiên cứu ảnh hưởng của các cuộc tấn công DDoS Có thể tải trên công cụ Bonesi http://code.google.com/p/bonesi/ SVTH: LÊ QUANG HÀ 31 Nghiên cứu và tìm hiểu an ninh mạng Chuẩn bị: + Server 2k3 - Web Server (IP: 192.168.137.33) + Backtrack 5 - Attacker (IP: 192.168.137.224) Nội dung: Sử dụng Bonesi tấn công web server dùng file 5k-bots mô phỏng nhiều ip tấn công và tấn... đe dọa trên internet, bao gồm tuần tự kẻ tấn công, botnet harvester, malware bùng phát và dark net SVTH: LÊ QUANG HÀ 23 Nghiên cứu và tìm hiểu an ninh mạng  Cung cấp dịch vụ phòng chống DDoS từ ISP: Bật bảo vệ IP nguồn trên switch ngăn ngừa một host gửi gói tin giả mạo trở thành bot 2.5.5 Biện pháp đối phó DoS/ DdoS Một số biện pháp như:  Hiệu quả của cơ chế mã hóa cần đề xuất cho mỗi công nghệ băng... công DDoS, với một thiết kế tập trung vào giao thông qua hợp pháp chứ không phải là loại bỏ giao thông tấn công, xử lý các cuộc tấn công kịch bản có thể suy thoái tồi tệ nhất mà không cần hiệu suất SVTH: LÊ QUANG HÀ 26 Nghiên cứu và tìm hiểu an ninh mạng Hình 2-12 Công cụ D-Guard Anti-DDoS Firewall  FortGuard Firewall FortGuard Firewall - một giải pháp giúp người dùng chống lại các cuộc tấn công DDoS... 2-6 Cách thức một botnet được tạo và gửi spam SVTH: LÊ QUANG HÀ 18 Nghiên cứu và tìm hiểu an ninh mạng Các botnet được khai thác với nhiều mục đích khác nhau, trong đó có các tấn công từ chối dịch vụ, tạo và lạm dụng việc gửi thư điện tử để phát tán thư rác (xem Spambot), click fraud, và ăn trộm các số serial của ứng dụng, tên đăng nhập, và các thông tin tài chính quan trọng chẳng hạn như số thẻ tín dụng . vụ và các phần mềm không cần thiết SVTH: LÊ QUANG HÀ 9 Nghiên cứu và tìm hiểu an ninh mạng SVTH: LÊ QUANG HÀ 10 Nghiên cứu và tìm hiểu an ninh mạng CHƯƠNG 2: TỪ CHỐI DỊCH VỤ 2.1. KHÁI NIỆM DOS 2.1.1 Nghiên cứu và tìm hiểu an ninh mạng MỤC LỤC SVTH: Lê Quang Hà 1 Nghiên cứu và tìm hiểu an ninh mạng DANH MỤC VIẾT TẮT DoS Denial of Service SQL Structured. Network CNTT Công Nghệ Thông Tin SVTH: Lê Quang Hà 2 Nghiên cứu và tìm hiểu an ninh mạng DANH MỤC HÌNH ẢNH SVTH: Lê Quang Hà 3 Nghiên cứu và tìm hiểu an ninh mạng Bảo mật an ninh mạng hiện nay