Đang tải... (xem toàn văn)
AN TOÀN THÔNG TIN ĐỀ TÀI TẤN CÔNG TỪ CHỐI DỊCH VỤ DoS VÀ DDoS Gần đây nhiều site và server tiêu biểu của chính phủ, ngân hàng, hãng truyền thông, các cổng thanh toán điện tử … thậm chí cả các DNS root server đang phải đối mặt với các tấn công từ chối dịch vụ.
TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI VIỆN CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG =====o0o===== THẢO LUẬN MÔN HỌC: AN TOÀN THÔNG TIN ĐỀ TÀI: TẤN CÔNG TỪ CHỐI DỊCH VỤ DoS VÀ DDoS NHÓM: 02 Giáo viên giảng dạy: TS. Trần Đức Khánh Sinh viên thực hiện: Vũ Thị Thùy Như Phạm Thị Nhung Nguyễn Thị Thi Nguyễn Thị Nụ Nguyễn Thị Thùy Liên Lớp: 12BCNTT2 Hà Nội, tháng 06/2013 MỤC LỤC Lời mở đầu 03 I. TỔNG QUAN 03 1 Các cuộc tấn công từ chối dịch vụ 03 2. Mục tiêu của các cuộc tấn công từ chối dịch vụ 04 3 Các dạng tấn công từ chối dịch vụ 04 II. TẤN CÔNG DOS 05 1. Định nghĩa DoS 05 2. Các mục đích của tấn công DoS 05 3 Mục tiêu sử dụng để tấn công 06 4 Các dạng tấn công DoS 06 5. Tấn công giao thức 06 5.1.Syn Flood 06 5.1.1. Giao thức bắt tay 3 bước TCP 06 5.1.2. Cơ chế tấn công Syn Flood 07 5.1.3. Cách thức tấn công Syn Flood 07 5.1.4. Cách phòng chống Syn Flood 08 5.2. ICMP Smurfing 08 5.2.1. ICMP 08 5.2.2. Cơ chế tấn công 09 5.2.3. Cách thức tấn công 09 5.2.4. Cách phòng chống ICMP Smurfing 10 6. DNS CACHE POISONING 10 6.1 DNS là gì? 10 6.2 Chức năng của DNS 10 6.3 Nguyên tắc làm việc của DNS 10 6.4 Cơ chế làm việc của DNS 11 6.5 Tấn công giả mạo DNS (DNS cache poisoning) 13 6.5.1 DNS Cache Poisoning là gì 14 6.5.2 Tấn công giả mạo DNS (DNS Cache Poisoning) 14 6.6 Biện pháp phòng chống tấn công giả mạo DNS Cache poisoning 18 III TẤN CÔNG DDOS 19 1. Định nghĩa 19 2. Chiến thuật tấn công DDoS 19 3. Mạng BOTNET 20 3.1 Botnet là gì? 20 2 3.2 Ý nghĩa của mạng Bot 20 3.3 Mục đích sử dụng mạng Botnets 21 3.4 Các bước xây dựng mạng BotNet? Cách phân tích mạng Bot 22 3.5 Cách hệ thống bị lây nhiễm và sử dụng Botnet 23 4. Mô hình tấn công DDoS 23 4. 1 Kỹ thuật tìm lỗ hổng: 25 4.2 Các dạng tấn công DDoS 30 5. Các công cụ tấn công DDoS 31 6. Biện pháp ngăn chặn 32 6.1 Giai đoạn ngăn ngừa 33 6.2 Giai đoạn đối đầu với cuộc tấn công DDoS 33 6.3 Giai đoạn sau tấn công 33 Kết luận 33 3 Lời mở đầu Gần đây nhiều site và server tiêu biểu của chính phủ, ngân hàng, hãng truyền thông, các cổng thanh toán điện tử … thậm chí cả các DNS root server đang phải đối mặt với các tấn công từ chối dịch vụ. Trong khi các đe dọa an ninh truyền thống có thể được xử lý bằng cách làm chặt lại các chính sách bảo mật và chủ động phòng chống như là thiết lập tường lửa, cập nhật các bản vá lỗi từ nhà sản xuất … Nhưng đối với Dos và DDoS thì những phương pháp này tỏ không hiệu quả. Trong khuôn khổ tìm hiểu của chúng em sẽ tìm hiểu phân loại các dạng thức tấn công, cách thức tấn công và biện pháp ngăn chặn tấn công Dos và DDos. Hiểu được vấn đề trên, trong khuôn khổ nhận thức của chúng em thảo luận về vấn đề an toàn mạng với chủ đề tấn công từ chối dịch vụ Dos và DDoS. Chúng em đã tập trung rất nhiều vào khâu tìm hiểu còn phần các giải pháp do hạn chế về mặt nhận thức chúng em chưa tìm hiểu sâu được mong thầy và các bạn đóng góp thêm cho phần thảo luận được hoàn thiện. I. TỔNG QUAN 1 Các cuộc tấn công từ chối dịch vụ Trong những năm qua đã diễn ra những cuộc tấn công DoS và DDos đáng chú ý: - Năm 2000: các cuộc tấn công DDoS vào Yahoo, eBay, eTrade, Amazon.com và CNN xuất phát từ các máy tính chạy Unix của các doanh nghiệp và các trường đại học, nhưng sau đó vài tuần, malware chỉ đạo cuộc tấn công, có tên gọi là Trinoo, chuyển sang các máy tính chạy Windows để khởi phát các cuộc tấn công. - Năm 2002: 13 máy chủ Internet cấp cao nhất (Internet root servers) bị tấn công DDos, tuy nhiên các nhà quản trị hệ thống đã kịp thời phát hiện, kiểm soát và ngăn chặn cuộc tấn công DDOs gây “sập” hệ thống mạng Internet. Sau cuộc tấn công, các máy chủ này đã được thiết lập giới hạn Internet Control Message Protocol (ICMP - các thông điệp được dùng để xác định khi nào một hệ thống mạng có thể phân phối các gói tin) nhằm tránh tái diễn các 4 kiểu tấn công tương tự trong tương lai. 13 máy chủ Internet này chứa các thư mục gốc (master directory) phân giải tên miền và địa chỉ IP. - Ngày 15/8/2003, Microsoft đã chịu đợt tấn công DoS cực mạnh và làm gián đoạn websites trong vòng 2 giờ - Tháng 5/2007: Các trang web của chính phủ, ngân hàng, trường học tại Estonia bị tê liệt do tấn công DDos. - Năm 2007, sâu Storm xuất hiện và lây lan nhanh chóng. Một khi đã lây nhiễm vào máy tính người dùng, sâu sẽ gửi đi hàng triệu thư rác. Trong suốt đợt tấn công của sâu Storm, một số nhà nghiên cứu bảo mật nhận định rằng, người đứng sau hoặc tự bản thân sâu Storm đang phát động cuộc tấn công DDoS nhắm vào các nhà nghiên cứu, đang tìm cách khống chế nó. Sâu Storm có thể phát hiện những ai đang thực hiện truy tìm các máy chủ phát lệnh tấn công, và tiến hành trả đũa bằng cách phát động tấn công DDos nhắm vào người đó, nhằm đánh sập kết nối Internet của họ. - Năm 2007: Tấn công DDoS vào các trang web chính phủ, ngân hàng tại Georgia, tổng cộng có 54 trang web là mục tiêu của cuộc tấn công này, trong đó hầu hết là các trang web truyền thông, chính phủ, ngân hàng. Tại thời điểm đó, nhiều nhà phân tích, cho rằng đây là cuộc tấn công “mềm” trước khi Nga thực hiện cuộc tấn công quân sự vào Georgia. Tuy nhiên, sau đó, các cuộc điều tra cho thấy cuộc tấn công DDoS này do các băng nhóm tội phạm ở Nga thực hiện. Các tin tặc dùng các công cụ tấn công dựa trên HTTP, thay cho ICMP. - Tháng 8/2009, tấn công DDoS vào các trang mạng xã hội như Twitter, Facebbok, LiveJournal và một số trang của Google, chỉ nhằm “đánh phá” các trang blog, bài viết của blogger Cyxymu ở Georgia. - Ngày 23/12/2009: Nhà cung cấp dịch vụ phân giải tên miền (DNS) cho Amazon bị tấn công DDoS, khiến người dùng không thể truy cập vào máy chủ Amazon.com và Amazon Web Service. Đây là thời điểm mua sắm sôi động nhất trong năm tại các nước khu vực Bắc Mỹ. - Ngày 7/12/2010, trang Visa.com bị nhóm tin tặc Anonymous tấn công DDoS. Theo nhóm tin tặc, họ thực hiện cuộc tấn công này nhằm phản đối việc các hãng tài chính khóa tài khoản của WikiLeaks, sau khi trang này dự kiến công bố các tài liệu mật của Bộ ngoại giao Mỹ. Trước đó nhóm tin tặc này đã thực hiện các cuộc tấn công các trang web Mastercard và PayPal. 5 - Giữa tháng 3/2013: Theo AP, Spamhaus, công ty Anh - Thụy Sĩ đã phải hứng chịu một cuộc tấn công DDoS 2. Mục tiêu của các cuộc tấn công từ chối dịch vụ Từ những cuộc tấn công từ chối dịch vụ đáng chú ý trên ta thấy rằng mục tiêu của các cuộc tấn công thường vào các trang web lớn và các tổ chức thương mại điện tử trên Internet 3 Các dạng tấn công từ chối dịch vụ Tấn công từ chối dịch vụ có 2 dạng: - Tấn công DoS (Denial of Service): Tấn công từ một cá thể, hay tập hợp các cá thể - Tấn công DDoS (Distributed Denial of Service): Đây là sự tấn công từ một mạng máy tính được thiết kế để tấn công tới một đích cụ thể nào đó. II. TẤN CÔNG DOS 1. Định nghĩa DoS Tấn công DoS (Denial of Service) là một kiểu tấn công để làm cho máy tính và mạng không có khả năng phục vụ một cách thông thừơng. Hầu hết tấn công DoS đều nhằm vào băng thông hoặc kết nối. Tấn công vào băng thông làm lụt đường truyền trong mạng bằng khối lượng giao dịch mạng cực lớn, điều này sẽ tiêu tốn toàn bộ nguồn lực của mạng trong khi các yêu cầu giao dịch hợp pháp lại không thực hiện được. Các kiểu tấn công kết nối làm lụt máy tính bằng số lượng lớn các yêu cầu kết nối, sẽ tiêu tốn toàn bộ các nguồn lực của hệ điều hành khiến cho máy tính không thể xử lý các yêu cầu hợp pháp. 2. Các mục đích của tấn công DoS - Cố gắng chiếm băng thông mạng và làm hệ thống mạng bị ngập (flood), khi đó hệ thống mạng sẽ không có khả năng đáp ứng những dịch vụ khác cho người dùng bình thường. - Cố gắng làm ngắt kết nối giữa hai máy, và ngăn chặn quá trình truy cập vào dịch vụ. - Cố gắng ngăn chặn những người dùng cụ thể vào một dịch vụ nào đó - Cố gắng ngăn chặn các dịch vụ không cho người khác có khả năng truy cập vào. 6 - Khi tấn công DoS xảy ra người dùng có cảm giác khi truy cập vào dịch vụ đó như bị: + Disable Network - Tắt mạng + Disable Organization - Tổ chức không hoạt động + Financial Loss – Tài chính bị mất 3 Mục tiêu sử dụng để tấn công Như chúng ta biết ở bên trên tấn công DoS xảy ra khi kẻ tấn công sử dụng hết tài nguyên của hệ thống và hệ thống không thể đáp ứng cho người dùng bình thường được vậy các tài nguyên chúng thường sử dụng để tấn công là gì: - Tạo ra sự khan hiếm, những giới hạn và không đổi mới tài nguyên - Băng thông của hệ thống mạng (Network Bandwidth), bộ nhớ, ổ đĩa, và CPU Time hay cấu trúc dữ liệu đều là mục tiêu của tấn công DoS. - Tấn công vào hệ thống khác phục vụ cho mạng máy tính như: hệ thống điều hoà, hệ thống điện, hệt hống làm mát và nhiều tài nguyên khác của doanh nghiệp. Bạn thử tưởng tượng khi nguồn điện vào máy chủ web bị ngắt thì người dùng có thể truy cập vào máy chủ đó không. - Phá hoại hoặc thay đổi các thông tin cấu hình. - Phá hoại tầng vật lý hoặc các thiết bị mạng như nguồn điện, điều hoà… 4 Các dạng tấn công DoS - Tràn kết nối (Connection Flooding): tấn công giao thức TCP, UDP, ICMP ví dụ như tràn ngập ICMP với Smurf, Ping of Death - DNS: tận dụng lỗi Bufer Overflow để thay đổi thông tin định tuyến: DNS cache poisoning 5. Tấn công giao thức 5.1.Syn Flood 5.1.1. Giao thức bắt tay 3 bước TCP - Client gửi gói tin SYN đến server -> TCB (Transmission Control Block) chuyển sang trạng thái SYN-RECEIVED - Server gửi trả lại gói tin SYN-ACK - Client gửi gói tin ACK tới server -> TCB chuyển sang trạng thái ESTABLISHED Kết nối được thiết lập 7 Hình 2.1: Giao thức bắt tay 3 bước 5.1.2. Cơ chế tấn công Syn Flood - Khi kẻ tấn công gửi dòng lũ SYN dẫn đến tình trạng có quá nhiều TCB làm bộ nhớ của host bị cạn kiệt - Để phòng tránh việc bộ nhớ bị cạn kiệt, HĐH chỉ lưu giữ một số TCB xảy ra đồng thời ở trạng thái SYN-RECEIVED - Do hạn chế không gian lưu trữ nên khi có quá nhiều kết nối, một số kết nối hợp lệ bị từ chối 5.1.3. Cách thức tấn công Syn Flood - Kẻ tấn công gửi một loạt các gói tin SYN với địa chỉ ip không có thực đến hệ thống đích cần tấn công - Hệ thống đích gửi trở lại các địa chỉ không có thực đó và chờ đợi để nhận thông tin phản hồi từ các địa chỉ ip giả , đưa các request chờ đợi này vào bộ nhớ, gây lãng phí một lượng đáng kể bộ nhớ trên máy chủ - Nếu kẻ tấn công gửi cùng một lúc nhiều gói tin có địa chỉ IP giả như vậy thì hệ thống sẽ bị quá tải dẫn đến bị crash hoặc boot máy tính 8 Hình 2.2: Cách thức tấn công Syn Flood 5.1.4. Cách phòng chống Syn Flood - Tăng kích thước hàng đợi kết nối - Giảm khoảng thời gian thiết lập kết nối - Sử dụng phần mềm - IDS mạng - Phương pháp phát hiện tấn công: SFD: Sử dụng mối quan hệ giữa cặp SYN-FIN SFD-BF: Cải tiến phương pháp SFD sử dụng Bloom Filter 5.2. ICMP Smurfing 5.2.1. ICMP - ICMP (Internet Control Message Protocol) – Giao thức điều khiển truyền tin trên mạng. Việc định tuyến qua các mạng sử dụng giao thức điều khiển truyền tin ICMP để gửi thông báo làm những công việc sau: Điều khiển, thông báo lỗi và chức năng thông tin cho TCP/IP. 9 - Khi một máy tính muốn kiểm tra một máy khác có tồn tại và đang hoạt động hay không, nó gửi một thông báo Echo Request. Khi trạm đích nhận được thông báo đó, nó gửi lại một Echo Reply. Lệnh ping sử dụng các thông báo này. Ping là một lệnh phổ biến và thường được sử dụng để kiểm tra kết nối. 5.2.2. Cơ chế tấn công Sử dụng các site khuếch đại để làm tăng lưu lượng giao dịch với đích bị tấn công 5.2.3. Cách thức tấn công - Kẻ tấn công gửi các gói tin ICMP_ECHO_REQUEST với địa chỉ gửi nặc danh tới 1 số địa chỉ broadcast trong subnet. - Các máy trạm trong subnet nhận được gói tin này và gửi thông tin trả lời. - Các trả lời này được gửi trực tiếp đến địa chỉ bị nặc danh. - Thông thường việc này làm nghẽn đường truyền trong mạng của máy bị tấn công. Cả đường truyền từ ISP đến hệ thống mạng của máy bị tấn công cũng bị nghẽn. - Kiểu tấn công này dùng để tấn công các webserver Hình 2.3: Cách thức tấn công ICMP Smurfing 5.2.4. Cách phòng chống ICMP Smurfing - Vô hiệu hóa chức năng directed broadcast tại bộ định tuyến - Phối hợp với ISP để giới hạn lưu lượng ICMP 10 [...]... thể duy trì lâu, và các máy khách sẽ bị dịch vụ từ chối 31 4.2 Các dạng tấn công DDoS Có hai kiểu tấn công DDoS : • • a) DDOS – Distributed Denial of Service DRDoS – distributed reflector Dos Kiểu tấn công DDoS Đội quân tấn công bao gồm: master zombies và slave zombies Thủ lãnh của các máy này là các máy đã xuất hiện trong quá trình quét và đã bị nhiễm mã độc Kẻ tấn công điều phối và sắp xếp các các... của tấn công DDoS, chúng ta có thể thấy rằng DroS gây bất lợi nhiều hơn là DDoS thường Do là tấn công DroS có nhiều máy cùng chia nhau tấn công và cuộc tấn công sẽ rải rác hơn Lí do nữa là DroS khi tấn công sẽ tạo ra khối lượng vận truyển lớn Hình 3.10: Tấn công DRDoS 5 Các công cụ tấn công DDoS a) Trinoo Trinoo là 1 công cụ DDoS đầu tiên được biết đến Nó dùng chiến thuật làm lụt UDP Truy cập vào chương... trình DDoS tấn công hệ thống khác 3.5 Sơ đồ cách hệ thống bị lây nhiễm và sử dụng Botnet 23 Hình 3.2 Sơ đồ cách hệ thống bị lây nhiễm và sử dụng Botnet 4 Mô hình tấn công DDoS DDoS tấn công vào tài nguyên của nạn nhân Tài nguyên có thể là băng thông mạng, hiệu năng máy tính hay là cấu trúc dữ liệu trong OS Khởi đầu 1 vụ DDoS, đầu tiên hacker xây dựng 1 mạng máy tính mà hắn sẽ dùng làm phương tiện giao dịch. .. phát tán Theo một khoảng thời gian nào đó, các máy tính này sẽ request tới một server nào đó để nhận các thông tin điều khiển từ Hacker để thực hiện tấn công DDos, nếu có thông tin ra lệnh tấn công, các máy tính này sẽ cùng lúc thực hiện request liên tục tới một server cung cấp dịch vụ nào đó, khiến cho server này bị quá tải, không thể cung cấp dịch vụ và cuộc tấn công DDoS đã diễn ra 3.2 Ý nghĩa của... tìm ra nhiều manh mối và chứng cứ quan trọng Kết luận Tấn công DDoS là tấn công rất nguy hiểm và khó ngăn chặn vì rất khó khăn để tìm ra kẻ tấn công thực sự, kẻ tấn công càng ngày càng tinh vi hơn 35 Tài liệu tham khảo: 2 http://vnexperts.net/bai-viet-ky-thuat/security/252-tn-cong-t-chi-dch-v -ddos. html 3.http://forum.bkav.com.vn/showthread.php?33153-Mot-so-phuong-thuc-tan-cong-mangmay-tinh 4 http://vi.wikipedia.org/wiki/T%E1%BA%A5n_c%C3%B4ng_t%E1%BB%AB_ch... hổng ở các máy khác trong mạng, xâm nhập và lại cài vào trong các máy “thứ 3” Chính vì việc lây lan nhanh như vậy mà cuộc tấn công có thể mở rộng và thực hiện 1 cách chớp nhoáng 24 Kết quả của quá trình này tạo ra cuộc tấn công DDoS có mặt các thành phần : hanlder( master ) và agent (slave hay daemon ) Có thể suy ra được từ cuộc tấn công DDoS các vị trị tấn công trên mạng đã được dựng lên bởi vì các... xâm nhập vào toàn bộ Web server bị tấn công, giao tiếp bằng giao thức TFTP Hình 2 dưới đây mô phỏng cơ chế: 29 Hình 3.7: Back - Chaining propagation • Tự động lây lan: Kẻ tấn công truyền công cụ tấn công vào máy đích vào một thời điểm chính xác Cơ chế này khác với các cơ chế đã nói trước đây, công cụ tấn công đã “ cấy ” trong máy tấn công bởi chính tay hacker mà không phải lây từ 1 mã độc từ bên ngoài... bị cài đặt các chương trình đặc biệt và sẽ bị huy động tấn công theo sự điều khiển của kẻ tấn công - Bước 2: Kẻ tấn công ra lệnh cho các Zombie cùng tấn công/ giám sát/lấy cắp thông tin vào một địa chỉ nhất định theo một kịch bản cho trước Hình: 3.1: Tổng quan về một sơ đồ hình cây của tấn công DDoS Client: Phần mềm khách được Hacker sử dụng để bắt đầu cuộc tấn công Phần mềm khách sẽ gửi các chuỗi lệnh... mở những dịch vụ cần thiết để khi có yêu cầu chúng sẽ được điều khiển bởi kẻ tấn công thông qua kênh giao tiếp IRC Bước 4: Điều khiển tấn công từ mạng BotNet - Kẻ tấn công điều khiển các máy trong mạng Agobot download những file exe về chạy trên máy - Lấy toàn bộ thông tin liên quan và cần thiết trên hệ thống mà kẻ tấn công muốn - Chạy những file khác trên hệ thống đáp ứng yêu cầu của kẻ tấn công - Chạy... cuộc tấn công trên mạng 6 Biện pháp ngăn chặn Có nhiều giải pháp và ý tưởng nhằm đối phó với tấn công kiểu DDoS tuy nhiên không có giải pháp và ý tưởng nào giải quyết trọn vẹn Có ba giai đoạn chính trong quá trình Anti -DDoS: 34 - Giai đoạn ngăn ngừa: tối thiểu hóa lượng Agent, tìm và vô hiệu hóa các - Handler Giai đoạn đối đầu với cuộc tấn công: Phát hiện và ngăn chặn cuộc tấn công, - làm suy giảm và . 03 I. TỔNG QUAN 03 1 Các cuộc tấn công từ chối dịch vụ 03 2. Mục tiêu của các cuộc tấn công từ chối dịch vụ 04 3 Các dạng tấn công từ chối dịch vụ 04 II. TẤN CÔNG DOS 05 1. Định nghĩa DoS 05 2 công và biện pháp ngăn chặn tấn công Dos và DDos. Hiểu được vấn đề trên, trong khuôn khổ nhận thức của chúng em thảo luận về vấn đề an toàn mạng với chủ đề tấn công từ chối dịch vụ Dos và DDoS. . TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI VIỆN CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG =====o0o===== THẢO LUẬN MÔN HỌC: AN TOÀN THÔNG TIN ĐỀ TÀI: TẤN CÔNG TỪ CHỐI DỊCH VỤ DoS VÀ DDoS NHÓM: 02 Giáo viên giảng dạy: