Đề tài Tìm hiểu về tấn công mạng qua DoS

ng mạng phát tán ra ngoài Internet. Chống Virus và Chống Thư rác làm giảm nguy cơ lây nhiễm virus và các phần mềm Gián điệp/Spy-Ware đánh cắp dữ liệu trong mạng cục bộ doanh nghiệp. Khả năng Lọc nội dung giúp thiết lập các chính sách quản lý truy nhập và sử dụng Internet, loại bỏ các ứng dụng không cần thiết gây lãng phí đường truyền và thời gian làm việc của doanh nghiệp đồng thời có nguy cơ tạo lỗ hổng cao trong hệ thống làm mục tiêu cho các cuộc tấn công phá hoại có chủ ý. Hiện nay ngoài những cách tấn công hệ thống mạng qua những con đường đã nói trên thì còn đi qua nhiều con đường khác nữa. Ở đây tôi xin giới thiệu thêm cho các bạn con đường tấn công hệ thống mạng qua DOS. Vì thời gian còn hạn hep nên không tránh những sai sót. Rất mong được sự ủng hộ góp ý của quý thầy cô và các bạn. Xin chân thành cảm ơn ! Đà Nẵng Ngày 20 tháng 12 năm 2010. CHƯƠNG I: LÝ THUYẾT I. Mạng máy tính. 1.Lịch sử mạng máy tính. -Máy tính của thập niên 1940 là các thiết bị cơ-điện tử lớn và rất dễ hỏng. Sự phát minh ra transitor bán dẫn vào năm 1947 tạo ra cơ hội để làm ra chiếc máy tính nhỏ và đáng tin cậy hơn. -Năm 1950, các máy tính lớn mainframe chạy bởi các chương trình ghi trên thẻ đục lỗ (punched card) bắt đầu được dùng trong các học viện lớn. Điều này tuy tạo nhiều thuận lợi với máy tính có khả năng được lập trình nhưng cũng có rất nhiều khó khăn trong việc tạo ra các chương trình dựa trên thẻ đục lỗ này. -Vào cuối thập niên 1950, người ta phát minh ra mạch tích hợp (IC) chứa nhiều transitor trên một mẫu bán dẫn nhỏ, tạo ra một bước nhảy vọt trong việc chế tạo các máy tính mạnh hơn, nhanh hơn và nhỏ hơn. Đến nay, IC có thể chứa hàng triệu transistor trên một mạch. -Vào cuối thập niên 1960, đầu thập niên 1970, các máy tính nhỏ được gọi là minicomputer bắt đầu xuất hiện. -Năm 1977, công ty máy tính Apple Computer giới thiệu máy vi tính cũng được gọi là máy tính cá nhân (personal computer - PC). -Năm 1981, IBM đưa ra máy tính cá nhân đầu tiên. Sự thu nhỏ ngày càng tinh vi hơn của các IC đưa đến việc sử dụng rộng rãi máy tính cá nhân tại nhà và trong kinh doanh. -Vào giữa thập niên 1980, người sử dụng dùng các máy tính độc lập bắt đầu chia sẻ các tập tin bằng cách dùng modem kết nối với các máy tính khác. Cách thức này được gọi là điểm nối điểm, hay truyền theo kiểu quay số. Khái niệm này được mở rộng bằng cách dùng các máy tính là trung tâm truyền tin trong một kết nối quay số. Các máy tính này được gọi là sàn thông báo (bulletin board). Các người dùng kết nối đến sàn thông báo này, để lại đó hay lấy đi các thông điệp, cũng như gửi lên hay tải về các tập tin. Hạn chế của hệ thống là có rất ít hướng truyền tin, và chỉ với những ai biết về sàn thông báo đó. Ngoài ra, các máy tính tại sàn thông báo cần một modem cho mỗi kết nối, khi số lượng kết nối tăng lên, hệ thống không thề đáp ứng được nhu cầu. -Qua các thập niên 1950, 1970, 1980 và 1990, Bộ Quốc phòng Hoa Kỳ đã phát triển các mạng diện rộng WAN có độ tin cậy cao, nhằm phục vụ các mục đích quân sự và khoa học. Công nghệ này khác truyền tin điểm nối điểm. Nó cho phép nhiều máy tính kết nối lại với nhau bằng các đường dẫn khác nhau. Bản thân mạng sẽ xác định dữ liệu di chuyển từ máy tính này đến máy tính khác như thế nào. Thay vì chỉ có thể thông tin với một máy tính tại một thời điểm, nó có thể thông tin với nhiều máy tính cùng lúc bằng cùng một kết nối. Sau này, WAN của Bộ Quốc phòng Hoa Kỳ đã trở thành Internet. 2. Khái niệm - Mạng là nơi tất cả các máy tính trao đổi thông tin lẫn nhau. -Mạng máy tính là tập hợp nhiều máy tính điện tử và các thiết bị đầu cuối kết nối lại với nhau bằng các thiết bị liên lạc nhằm trao đổi thông tin, cùng chia sẻ phần cứng, phần mềm và dữ liệu với nhau. 3. Tại sao phải dùng mạng -Mạng giúp bạn tiết kiệm thời gian và tiền bạc. Ngày nay, nhu cầu thong tin ngày một mở rộng nên nối mạng không còn là một nhu cầu xa xỉ, mà nó là một nhu cầu thực tế và ít tốn kém. Để thành công, các doanh nghiệp phải chia sẻ thông tin và giao tiếp không chỉ trong nội bộ công ty mà cả thế giới bên ngoài. Mạng máy tính giúp bạn thực hiện điều này đơn giản và tốn ít chi phí nhất. Ngoài ra, mạng sẽ giúp bạn không cần phải mua thêm máy in, modem, thiết bị lưu trữ, ... tất cả có thể sử dụng chung trên mạng. Ngay cả một đường dây truy cập Internet cũng có thể được dùng chung qua mạng. -Dựa vào kích thước, phạm vi và không gian mà chúng ta có thể chia ra thành nhiều loại mạng khác nhau. Nhưng hầu hết đươc phân loại thành… - Một mạng là một nhóm các máy tính để bàn hay các máy tính xách tay (và các thiết bị phần cứng khác như các máy in) được kết nối với nhau với mục đích ban đầu là trao đổi thông tin và dữ liệu. Mạng còn là sự chia sẻ, nó cho phép các máy tính có thể kết nối vào mạng Internet, giao tiếp với nhau và chia sẻ tài nguyên như chia sẻ file và các máy in.Các điểm nổi bật của mạng:+ Mạng giúp chúng ta làm việc và sử dụng thời gian hiệu quả hơn, với một mạng chúng ta có thể:+ Chia sẻ kết nối Internet DSL, cáp băng rộng tốc độ cao vì vậy tất cả người sử dụng có thể lướt web đồng thời. + Trong khi người khác lướt web bạn vẫn có thể truy nhập vào tài khoản e-mail cá nhân của mình.+ Chia sẻ tất cả các loại file bao gồm nhạc, ảnh kỹ thuật số và các loại tài liệu khác.+ Tạo thư viện lưu trữ ảnh, nhạc, và tất cả các file tại một vị trí. + Có thể xem ảnh kỹ thuật số và nghe nhạc tại bất kỳ đâu trong nhà của bạn.+ Bảo vệ máy tính khỏi sự tấn công từ bên ngoài Internet như các loại Virus.+ Nghe nhạc, chơi game trực tuyến hay chuyện trò với bạn bè hoặc bất kỳ ai tại bất kỳ đâu trên thế giới qua mạng Internet. + Tiết kiệm tiền bạc và thời gian nhờ khả năng chia sẻ các máy in, Scanner và các thiết bị ngoại vi khác qua mạng.+ Chia sẻ không gian lưu trữ và truy nhập file dữ liệu trên một máy tính khác thông qua mạng LAN khi ổ cứng trên máy tính của bạn đã đầy dữ liệu.Mạng LAN và WAN + Dựa vào kích thước, phạm vi và không gian mà chúng ta có thể chia ra thành nhiều loại mạng khác nhau. Nhưng hầu hết được phân loại thành một trong hai nhóm cơ bản sau: nhóm mạng nội bộ(LAN) và nhóm mạng diện rộng(WAN). II. An toàn mạng. Khái niệm. - An toàn mạng: Là các phương pháp để bảo vệ dữ liệu trong suốt quá trình chuyển động của chúng. - Nguy cơ ảnh hưởng tới an toàn mạng + Lỗ hỗng. + Các kỹ thuật tấn công trên mạng ( Virus,treo cứng hệ thống, giả mạo IP, bẫy cửa sập, scanner, đánh hơi gói tin,…). III. Giới thiệu về Dos,tấn công qua hệ thống Dos 1. Định nghĩa. 1.1. Dos DoS là hình thức tấn công từ chối dịch vụ, có nhiều cách để thực hiện tấn công kiểu này (VD : SYN Flooding,..), thực chất là Hacker tận dụng lỗ hổng bảo mật nào đó để yêu cầu Server làm việc "giời ơi" nào đó, mục đính là không để Server có khả năng đáp ứng yêu cầu dịch vụ của các Client khác, như vậy gọi là "từ chối dịch vụ" của các Client khác. Thường thì kẻ tấn công là từ một máy. DoS (Denial of Service) có thể mô tả như hành động ngăn cản những người dùng hợp pháp của một dịch vụ nào đó truy cập và sử dụng dịch vụ đó. Nó bao gồm cả việc làm tràn ngập mạng, làm mất kết nối với dịch vụ… mà mục đích cuối cùng là làm cho server không thể đáp ứng được các yêu cầu sử dụng dịch vụ từ các client. DoS có thể làm ngưng hoạt động của một máy tính, một mạng nội bộ, thậm chí cả một hệ thống mạng rất lớn. Thực chất của DoS là kẻ tấn công sẽ chiếm dụng một lượng lớn tài nguyên mạng như băng thông, bộ nhớ… và làm mất khả năng xử lý các yêu cầu dịch vụ đến từ các client khác. 1. 2.Tấn công DoS. -Tấn công DoS là kiểu tấn công vô cùng nguy hiểm, để hiểu được nó ta cần phải lắm rõ định nghĩa của tấn công DoS và các dạng tấn công DoS.- Tấn công DoS là một kiểu tấn công mà một người làm cho một hệ thống không thể sử dụng, hoặc làm cho hệ thống đó chậm đi một cách đáng kể với người dùng bình thường, bằng cách làm quá tải tài nguyên của hệ thống.- Nếu kẻ tấn công không có khả năng thâm nhập được vào hệ thống, thì chúng cố gắng tìm cách làm cho hệ thống đó sụp đổ và không có khả năng phục vụ người dùng bình thường đó là tấn công Denial of Service (DoS).-Mặc dù tấn công DoS không có khả năng truy cập vào dữ liệu thực của hệ thống nhưng nó có thể làm gián đoạn các dịch vụ mà hệ thống đó cung cấp. Như định nghĩa trên DoS khi tấn công vào một hệ thống sẽ khai thác những cái yếu nhất của hệ thống để tấn công. 2. Phân loại -Các tấn công DoS khai thác đặc điểm bất đối xứng của vài loại lưu thông mạng. Một phương pháp tấn công tìm cách để khiến mục tiêu tấn công sử dụng nhiều tài nguyên để xử lý lưu thông hơn là kẻ tấn công gửi đi lưu thông đó. Một phương pháp khác là điều khiển nhiều kẻ tấn công. Do đó các tấn công DoS có thể được phân loại thành ba nhóm – Tấn công băng thông/thông lượng (Bandwidth/Throughput attack), Tấn công giao thức (Protocol attack) và tấn công lỗ hổng phần mềm (Software Vulnerability attack). 3.Mục đích tấn công. - Cố ngắn chiếm băng thông mạng và làm hệ thống mạng bị ngập (flood), khi đó hệ thống mạng không có khả năng đáp ứng những dịch vụ khác cho người dùng bình thường. -Cố ngắn làm ngắt kết nối giữa hai máy, ngăn chặn quá trình truy cập vào dịch vụ. - Cố ngắn ngăn chặn những người dùng cụ thể vào một dịch vụ nào đó . -Cố ngắn ngăn chặn các dịch vụ không cho những người khác Có khả năng truy cập vào. -Khi tấn công Dos xảy ra những người dùng có cảm giác khi truy cập vào dịch vụ đó như bị: + Disable Network - tắt mạng + Disable Organization - tổ chức không hoạt động. + Financial loss – Tài chính bị mất. CHƯƠNG II. NỘI DUNG CHÍNH I. Các công cụ tấn công - Jolt2 - Bubonic.c - Land and LaTierra - Targa - Blast20 - Nemesy - Panther2 - Crazy Pinger - Some Trouble - UDP Flood - FSMax 1. Tools Dos-Jolt2 - Cho phép kẻ tấn từ chối dịch vụ (DoS) lên các hệ thống trên nền tảng Windows. - Nó là nguyên nhân khiên máy chủ bị tấn công có CPU luôn hoạt động ở mức độ 100%, CPU không thể xử lý các dịch vụ khác. - Không phải trên nền tảng Windows như Cisco Router và một số loại Router khác cũng có thể bị lỗ hổng bảo mật này và bị tools này tấn công. 2. Tools Dos: Bubonic.c - Bubonic.c là một tools DoS dựa vào các lỗ hổng bảo mật trên Windows 2000. - Nó hoạt động bằng cách ngẫu nhiên gửi các gói tin TCP với các thiết lập ngẫu nhiên làm cho máy chủ tốn rất nhiều tài nguyên để xử lý vấn đề này, và từ đó sẽ xuất hiện những lỗ hổng bảo mật. - Sử dụng bubonic.c bằng cách gõ câu lệnh: bubonic 12.23.23.2 10.0.0.1 100 3. Tools Dos: Land and LaTierra - Giả mạo địa chỉ IP được kết hợp với quá trình mở các kết nối giữa hai máy tính. -Cả hai địa chỉ IP, địa chỉ nguồn (source) và địa chỉ IP đích, được chỉnh sửa thành một địa chỉ của IP đích khi đó kết nối giữa máy A và máy B đang được thực hiện nếu có tấn công này xảy ra thì kết nối giữa hai máy A và B sẽ bị ngắt kết nối. - Kết quả này do địa chỉ IP nguồn và địa chỉ IP đích của gói tin giống nhau và gói tin không thể đi đến đích cần đến. 4. Tools Dos: Targa -Targa là một chương chình có thể sử dụng 8 dạng tấn công DoS khác nhau.- Nó được coi như một bộ hướng dẫn tích hợp toàn bộ các ảnh hưởng của DoS và thường là các phiên bản của Rootkit.- Kẻ tấn công sử dụng một trong các phương thức tấn công cụ thể tới một hệ thống bao giờ đạt được mục đích thì thôi.- Targa là một chương trình đầy sức mạnh và nó có khả năng tạo ra một sự nguy hiểm rất lớn cho hệ thống mạng của một công ty. 5. Tools Dos Blast 2.0 -Blast rất nhỏ, là một công cụ dùng để kiểm tra khả năng của dịch vụ TCP nó có khả năng tạo ra một lưu lượng rất lớn gói TCP và có thể sẽ gay nguy hiểm cho một hệ thống mạng với các server yếu. - Dưới đây là cách sử dụng để tấn công HTTP Server sử dụng Blast2.0+ Blast 192.168.1.219 80 40 50 /b "GET /some" /e "url/ HTTP/1.0" /nr /dr /v- Tấn công máy chủ POP+ Blast 192.168.1.219 110 15 20 /b "user te" /e "d" /v 6. Tools Dos-Nemses -Đây là một chương trình sinh ra những gói tin ngẫu nhiên như (protocol, port, etc. size, …)- Dựa vào chương trình này kẻ tấn công có thể chạy các đoạn mã nguy hiểm vào máy tính không được bảo mật. 7. Tools Dos-Panther2 -Tấn công từ chối dịch vụ dựa trên nền tảng UDP Attack được thiết kế dành riêng cho kết nối 28.8 – 56 Kbps.- Nó có khả năng chiếm toàn bộ băng thông của kết nối này.- Nó có khả năng chiếm băng thông mạng bằng nhiều phương pháp ví như thực hiện quá trình Ping cực nhanh và có thể gây ra tấn công DoS 8.Tools Dos-Crezy Pinger -Công cụ này có khả năng gửi những gói ICPM lớn tới một hệ thống mạng từ xa. 9. Tools Dos-Som Trouble -SomeTrouble 1.0 là một chương trình gây nghẽn hệ thống mạng- SomeTrouble là một chương trình rất đơn giản với ba thành phần+ Mail Bomb (tự có khả năng Resole Name với địa chỉ mail có)+ ICQ Bomb+ Net Send Flood 10. Dos Tools-UDP Flood -UDPFlood là một chương trình gửi các gói tin UDP- Nó gửi ra ngoài những gói tin UDP tới một địac hỉ IP và port không cố định- Gói tin có khả năng là một đoạn mã văn bản hay một số lượng dữ liệu được sinh ngẫu nhiên hay từ một file.- Được sử dụng để kiểm tra khả năng đáp ững của Server. 11. Tools DoS – FSMAX - Kiểm tra hiệu năng đáp ứng của máy chủ.- Nó tạo ra một file sau đó chạy trên Server nhiều lần lặp đi lặp lại một lúc.- Tác dụng của tools này là tìm cách tấn công làm chàn bộ nhớ đệm và tấn công DoS tới máy. II. CÁC DẠNG TẤN CÔNG - Smurf- Buffer Overflow Attack- Ping of Death- Teardrop- SYN Attack 1.Tấn công Smurf - Là thủ phạm sinh ra cực nhiều giao tiếp ICMP (ping) tới địa chỉ Broadcast của nhiều mạng với địa chỉ nguồn là mục tiêu cần tấn công.* Chúng ta cần lưu ý là: Khi ping tới một địa chỉ là quá trình hai chiều – Khi máy A ping tới máy B máy B reply lại hoàn tất quá trình. Khi tôi ping tới địa chỉ Broadcast của mạng nào đó thì toàn bộ các máy tính trong mạng đó sẽ Reply lại tôi. Nhưng giờ tôi thay đổi địa chỉ nguồn, thay địa chỉ nguồn là máy C và tôi ping tới địa chỉ Broadcast của một mạng nào đó, thì toàn bộ các máy tính trong mạng đó sẽ reply lại vào máy C chứ không phải tôi và đó là tấn công Smurf.- Kết quả đích tấn công sẽ phải chịu nhận một đợt Reply gói ICMP cực lớn và làm cho mạng bị dớt hoặc bị chậm lại không có khả năng đáp ứng các dịch vụ khác.- Quá trình này được khuyếch đại khi có luồng ping reply từ một mạng được kết nối với nhau (mạng BOT).- Tấn công Fraggle, chúng sử dụng UDP echo và tương tự như tấn công Smurf. Hình hiển thị tấn công DoS - dạng tấn công Smurf sử dụng gói ICMP làm ngập các giao tiếp khác. 2. Tấn công Buffer overflow. - Buffer Overflow xảy ra tại bất kỳ thời điểm nào có chương trình ghi lượng thông tin lớn hơn dung lượng của bộ nhớ đệm trong bộ nhớ. - Kẻ tấn công có thể ghi đè lên dữ liệu và điều khiển chạy các chương trình và đánh cắp quyền điều khiển của một số chương trình nhằm thực thi các đoạn mã nguy hiểm. 3.Tấn công Ping of Death - Kẻ tấn công gửi những gói tin IP lớn hơn số lương bytes cho phép của tin IP là 65.536 bytes. - Quá trình chia nhỏ gói tin IP thành những phần nhỏ được thực hiện ở layer II. -Quá trình chia nhỏ có thể thực hiện với gói IP lớn hơn 65.536 bytes. Nhưng hệ điều hành không thể nhận biết được độ lớn của gói tin này và sẽ bị khởi động lại, hay đơn giản là sẽ bị gián đoạn giao tiếp. - Để nhận biết kẻ tấn công gửi gói tin lớn hơn gói tin cho phép thì tương đối dễ dàng - 4. Tấn công Teardrop - Gói tin IP rất lớn khi đến Router sẽ bị chia nhỏ làm nhiều phần nhỏ. - Kẻ tấn công sử dụng sử dụng gói IP với các thông số rất khó hiểu để chia ra các phần nhỏ (fragment). -Nếu hệ điều hành nhận được các gói tin đã được chia nhỏ và không hiểu được, hệ thống cố gắng build lại gói tin và điều đó chiếm một phần tài nguyên hệ thống, nếu quá trình đó liên tục xảy ra hệ thống không còn tài nguyên cho các ứng dụng khác, phục vụ các user khác. - 5. Tấn công SYN - Kẻ tấn công gửi các yêu cầu (request ảo) TCP SYN tới máy chủ bị tấn công. Để xử lý lượng gói tin SYN này hệ thống cần tốn một lượng bộ nhớ cho kết nối.- Khi có rất nhiều gói SYN ảo tới máy chủ và chiếm hết các yêu cầu xử lý của máy chủ. Một người dùng bình thường kết nối tới máy chủ ban đầu thực hiện Request TCP SYN và lúc này máy chủ không còn khả năng đáp lại - kết nối không được thực hiện.- Đây là kiểu tấn công mà kẻ tấn công lợi dụng quá trình giao tiếp của TCP theo – Three-way.- Các đoạn mã nguy hiểm có khả năng sinh ra một số lượng cực lớn các gói TCP SYN tới máy chủ bị tấn công, địa chỉ IP nguồn của gói tin đã bị thay đổi và đó chính là tấn công DoS.- Hình bên trên thể hiện các giao tiếp bình thường với máy chủ và bên dưới thế hiện khi máy chủ bị tấn công gói SYN đến sẽ rất nhiều trong khi đó khả năng trả lời của máy chủ lại có hạn và khi đó máy chủ sẽ từ chối các truy cập hợp pháp.- Quá trình TCP Three-way handshake được thực hiện: Khi máy A muốn giao tiếp với máy B. (1) máy A bắn ra một gói TCP SYN tới máy B – (2) máy B khi nhận được gói SYN từ A sẽ gửi lại máy A gói ACK đồng ý kết nối – (3) máy A gửi lại máy B gói ACK và bắt đầu các giao tiếp dữ liệu.- Máy A và máy B sẽ dữ kết nối ít nhất là 75 giây, sau đó lại thực hiện một quá trình TCP Three-way handshake lần nữa để thực hiện phiên kết nối tiếp theo để trao đổi dữ liệu.- Thật không may kẻ tấn công đã lợi dụng kẽ hở này để thực hiện hành vi tấn công nhằm sử dụng hết tài nguyên của hệ thống bằng cách giảm thời gian yêu cầu Three-way handshake xuống rất nhỏ và không gửi lại gói ACK, cứ bắn gói SYN ra liên tục trong một thời gian nhất định và không bao giờ trả lời lại gói SYN&ACK từ máy bị tấn công. - Với nguyên tắc chỉ chấp nhận gói SYN từ một máy tới hệ thống sau mỗi 75 giây nếu địa chỉ IP nào vi phạm sẽ chuyển vào Rule deny access sẽ ngăn cản tấn công này. 6. Phá hoại hoặc chỉnh sửa thông tin cấu hình Lợi dụng việc cấu hình thiếu an toàn như việc không xác thực thông tin trong việc gửi/nhận bản tin cập nhật (update) của router... mà kẻ tấn công sẽ thay đổi trực tiếp hoặc từ xa các thông tin quan trọng này, khiến cho những người dùng hợp pháp không thể sử dụng dịch vụ. Ví dụ: hacker có thể xâm nhập vào DNS để thay đổi thông tin, dẫn đến quá trình biên dịch tên miền (domain) sang địa chỉ IP của DNS bị sai lệch. Hậu quả là các yêu cầu của máy trạm (Client) sẽ tới một tên miền khác (đã bị thay đổi) thay vì tên miền mong muốn. 7. Phá hoại hoặc chỉnh sửa phần cứng Lợi dụng quyền hạn của chính bản thân kẻ tấn công đối với các thiết bị trong hệ thống mạng để tiếp cận phá hoại các thiết bị phần cứng như router, switch… III. CÁCH PHÒNG CHỐNG 1. Phòng ngừa các điểm yếu của ứng dụng(Application Vulnerabilities) Các điểm yếu trong tầng ứng dụng có thể bị khai thác gây lỗi tràn bộ đệm dẫn đến dịch vụ bị chấm đứt. Lỗi chủ yếu được tìm thấy trên các ứng dụng mạng nội bộ của Windows, trên các chương trình webserver, DNS, hay SQL database. Cập nhật bản vá (patching) là một trong những yêu cầu quan trọng cho việc phòng ngừa. Trong thời gian chưa thể cập nhật toàn bộ mạng, hệ thống phải được bảo vệ bằng bản vá ảo (virtual patch). Ngoài ra hệ thống cần đặc biệt xem xét những yêu cầu trao đổi nội dung giữa client va server, nhằm tránh cho server chiu tấn công qua các thành phần gián tiếp(ví dụ SQL injection) 2. Phòng ngừa việc tuyển mộ zombie Zombie là các đói tượng được lợi dụng trở thành thành phần phát sinh tấn công. Một số trường hợp điển hình như thông qua rootkit (Sony hay Symantec), hay các thành phần hoạt động đính kèm trong mail, hoặc trang web, ví dụ như sử dụng các file jpeg khai thác lỗi của phần mềm xử lý ảnh, các đoạn mã đính kèm theo file flash, hoặc trojan cài đặt theo phishing, hay thong qua việc lây lan worm (Netsky, MyDoom, Sophos). Để phòng chống, hệ thống mạng cần có những công cụ theo dõi và lọc bỏ nội dung (content filtering) nhằm ngăn ngừa việc tuyển một zombie của hacker. 3. Ngăn ngừa kênh phát động tấn công sử dụng công cụ. Có rất nhiều các công cụ tự động tấn công Dos, chủ yếu là tấn công phân tán như TFN, TFN2000 (Tribe Flood Network) tấn công dựa trên nguyên lý Smurf, UDP, SYN, hay ICMP; Trinoo cho UDP flood; Stacheldraht cho TCP ACK, TCP NULL, HAVOC, DNS flood, hoặc tràn ngập TCP với packets headers ngẫu nhiên. Các công cụ này có đặc điểm cần phải có các kênh phát động để zombie thực hiện tấn công tới một đích cụ thể. Hệ thống cần phải có sự giám sát và ngăn ngừa các kênh phát động đó. 4. Ngăn chặn tấn công trên băng thông Khi một cuộc tấn công DdoS được phát động, nó thường được phát hiện dựa trên sự thay đổi đáng kể trong thành phần của lưu lượng hệ thống mạng. Ví dụ một hệ thống mạng điển hình có thể có 80% TCP và 20% UDP và ICMP. Thống kê này nếu có thay đổi rõ rệt có thể là dấu hiệu của một cuộc tấn công. Slammer worm sẽ làm tăng lưu lượng UDP, trong khi Welchi worm sẽ tạo ra ICMP flood. Việc phân tán lưu lượng gây ra bởi các worm đó gây tác hại lên router, firewall, hoặc cơ sở hạ tầng mạng. Hệ thống cần có những công cụ giám sát và điều phối băng thông nhằm giảm thiểu tác hại của tấn công dạng này. 5. Ngăn chặn tấn công qua SYN SYN flood là một trong những tấn công cổ nhất còn tồn tại được đến hiện tại, dù tác hại của nó không giảm. Điểm căn bản để phòng ngừa việc tấn công này là khả năng kiểm soát được số lượng yêu cầu SYN-ACK tới hệ thống mạng. 6. Phát hiện và ngăn chặn tấn công tới hạn số kết nối Bản thân các server có một số lượng tới hạn đáp ứng các kết nối tới nó. Ngay bản thân firewall (đặc biệt với các firewall có tính năng stateful inspection), các kết nối luôn được gắn liền với bảng trạng thái có giới hạn dung lượng. Đa phần các cuộc tấn công đều sinh số lượng kết nối ảo thông qua việc giả mạo. Để phòng ngừa tấn công dạng này, hệ thống cần phân tích và chống được spoofing. Giới hạn số lượng kết nối từ một nguồn cụ thể tới server (quota). 7. Phát hiện và ngăn chặn tấn công tới hạn tốc độ thiết lập kết nối. Một trong những điểm các server thường bị lợi dụng là khả năng các bộ đệm giới hạn giành cho tốc độ thiết lập kết nối, dẫn đến quá tải khi phải chịu sự thay đổi đột ngột về số lượng sinh kết nối. Ở đây việc áp dụng bộ lọc để giới hạn số lượng kết nối trung bình rất quan trọng. Một bộ lọc sẽ xác định ngưỡng tốc độ kết nối cho từng đối tượng mạng. Thông thường, việc này được bằng số lượng kết nối trong thời gian nhất định để cho phép sự dao động trong lưu lượng. - Các phân tích ở trên được dựa trên những ngầm định cơ bản sau trong việc bảo vệ hệ thống. + Thứ nhất, đó là các thiết bị bảo vệ cần được đặt trên luồng thông tin và thực hiện trực tiếp việc ngăn ngừa. Điều này xuất phát từ lý do cho tốc độ của một cuộc tấn công (ví dụ khoảng 10.000 đăng ký thành viên trên 1s hướng tới 1 server, hoặc phát tán worm với tốc độ 200ms trên hệ thống mạng Ethernet 100M). Với tốc độ như vậy, cách thức phòng ngừa dạng phát hiện – thông báo ngăn chặn (Host Shun và TCP Reset) không còn phù hợp. + Thứ hai: các cuộc tấn công từ chối dịch vụ chủ yếu nhắm tới khả năng xử lý của hệ thống mạng mà đầu tiên là các thiết bị an ninh thông tin. Năng lực xử lý của IPS hoặc các thành phần content filtering là một trong những điểm cần chú ý, đặc biệt ở sự ổn định trong việc xử lý đồng thời các loại lưu lượng hỗn tạp với kích thước gói tin thay đổi. + Thứ ba, các cuộc tấn công luôn được tích hợp (blend attacks) với sự tổng hợp các phương thức khác nhau. Chính vì vậy, tầm quan trọng của việc phòng ngừa những dấu hiệu lây nhiễm đơn giản là bước đầu tiên để ngăn chặn những cuộc tấn công từ chối dịch vụ.- Trong hệ thống tổng thể về security, để đối phó với các cuộc tấn công từ chối dịch vụ, thì thành phần IPS được coi là quan trọng nhất ở tính trong suốt với người dùng, nên việc phân tích các luồng thông tin trao đổi giữa server và người dùng không bị ảnh hưởng bởi các luồng tấn công hướng thẳng đến nó. - Dưới đây là tóm tắt những báo cáo của NSS, tổ chức kiểm tra định khả năng các thiết bị mạng trong môi trường giả lập tấn công cho các thiết bị IPS của các hãng hàng đầu- TopLayer Attack Mitigator IPS - Theo đúng tên gọi, thiết bị này thực hiện việc chuyển dịch tấn công, không hẳn thực thi ngăn ngừa tấn công. Chính vì thế nên latency tăng cao trong môi trường bị tấn công. Toplayer được khuyến nghị khi sử dụng với đúng mục đích là thiết bị chuyển dịch tấn công.- ISS Proventia G- ISS Proventia G cho thấy khả năng đáp ứng với hầu hết các loại tấn công với latency thấp, ngoại trừ DoS với packet nhỏ. ISS Proventia có thể được dùng trong hệ thống mạng nội bộ với hạ tầng không phải Gigabit.- McAffee IntruShieldMacAffee IntruShield là một thiết bị được đánh giá có khả năng đáp ứng được yêu cầu về bao quát đầy đủ về dấu hiệu tấn công cũng như mức độ latency thấp.- TippingPoint UnityOne- Đây là thiết bị duy nhất NSS cung cấp chứng chỉ NSS Gold (so với các chứng chỉ khác là NSS Approve). Ngoài việc đáp ứng tiêu chí latency và khả năng phát hiện các cuộc tấn công, UnityOne nhỉnh hơn McAffee IntruShield về khả năng dự báo phản hồi (predictable response) với mọi cuộc tấn công. CHƯƠNG 3: KẾT LUẬN I. Tự đánh giá kết quả đạt được. Sau một tháng tìm hiểu tài liệu và hướng dẫn nhiệt tình của thầy Trần Nhật Vinh giáo viên Khoa công nghệ thong tin, Trường Cao Đẳng Đức Trí thì bài ngiên cứu này đã đạt những ưu khuyết điểm sau: Ưu điểm: + Về cơ bản thì bài nghiên cứu cũng khái quát đầ