i
ĐẠI HỌC THÁI NGUYÊN
TRƢỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN & TRUYỀN THÔNG
LƢU THỊ THANH HƢƠNG
MỘT SỐ KỸ THUẬT LỌC GÓI TIN
TRONG IP
LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH
Thái Nguyên - 2015
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên
http://www.lrc-tnu.edu.vn/
ii
LỜI CAM ĐOAN
Những kết quả nghiên cứu đƣợc trình bày trong luận văn là hoàn toàn trung
thực, không vi phạm bất cứ điều gì trong luật sở hữu trí tuệ và pháp luật Việt Nam.
Nếu sai, tôi hoàn toàn chịu trách nhiệm trƣớc pháp luật.
Thái nguyên, ngày 20 tháng 5 năm 2015
Tác giả luận văn
Lưu Thị Thanh Hương
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên
http://www.lrc-tnu.edu.vn/
iii
LỜI CẢM ƠN
Trƣớc hết tôi xin gửi lời cảm ơn sâu sắc đến thầy hƣớng dẫn khoa học PGS.TS
Nguyễn Văn Tam về những chỉ dẫn khoa học, định hƣớng nghiên cứu và tận tình
hƣớng dẫn tôi trong suốt quá trình làm luận văn.
Tôi xin cảm ơn các các Thầy trong viện Công Nghệ Thông Tin, các Thầy, Cô
giáo trong trƣờng Đại học Công Nghệ Thông Tin và Truyền Thông - Đại học Thái
Nguyên đã cung cấp cho tôi những kiến thức vô cùng quý báu và cần thiết trong suốt
thời gian học tập tại trƣờng để tôi có thể thực hiện và hoàn thành tốt đồ án chuyên
ngành này.
Tôi xin chân cảm ơn lãnh đạo, bạn đồng nghiệp trƣờng THPT Đồng Hỷ đã tạo
điều kiện giúp đỡ tôi trong công việc để tôi yên tâm theo học.
Cuối cùng, tôi xin cảm ơn gia đình và bạn bè, những ngƣời đã luôn ủng hộ và
động viên tôi, giúp tôi yên tâm và có tâm lý thuận lợi nhất để tôi nghiên cứu luận văn
này. Tuy nhiên do giới hạn về mặt thời gian và kiến thức nên đồ án chắc chắn sẽ
không tránh khỏi những sai sót ngoài ý muốn. Tôi rất mong nhận đƣợc sự thông cảm
và đóng góp ý kiến của các thầy cô và các bạn.
Học viên
Lƣu Thị Thanh Hƣơng
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên
http://www.lrc-tnu.edu.vn/
iv
MỤC LỤC
LỜI CAM ĐOAN ...........................................................................................................i
LỜI CẢM ƠN .............................................................................................................. iii
MỤC LỤC ....................................................................................................................iv
BẢNG KÝ HIỆU CÁC TỪ VIẾT TẮT .......................................................................vi
DANH MỤC CÁC HÌNH VẼ ................................................................................... viii
DANH MỤC BẢNG .....................................................................................................x
MỞ ĐẦU .......................................................................................................................1
Chƣơng 1........................................................................................................................3
TỔNG QUAN VỀ AN TOÀN VÀ BẢO MẬT TRONG MẠNG IP ............................3
1.1. Các khái niệm cơ bản..............................................................................................3
1.1.1. An toàn và bảo mật là gì? [11] .........................................................................3
1.1.2. Các nguy cơ gây mất an toàn [11] ....................................................................4
1.2. Các kiểu tấn công mạng IP [2] ...............................................................................4
1.2.1. Các kỹ thuật bắt thông tin.................................................................................4
1.2.2. Tấn công xâm nhập mạng ................................................................................6
1.2.3. Tấn công từ chối dịch vụ DoS, DdoS [6] .........................................................7
1.3. Các biện pháp bảo vệ an toàn mạng .....................................................................10
1.3.1. An toàn trung chuyển (Transit Security) ........................................................10
1.3.1.1. Các mạng riêng ảo (VPN - Virtual Private Network) [11] ......................10
1.3.1.2. Giải pháp mật mã thông tin (Cryptography) [2] ......................................11
1.3.2. Giải pháp kiểm soát lƣu lƣợng (Traffic Regulation) .........................................17
1.3.2.1. Giải pháp phát hiện và phòng tránh xâm nhập [3] ...................................17
1.3.2.2. Giải pháp kỹ thuật bức tƣờng lửa (Firewall technology) [5] ...................19
Chƣơng 2......................................................................................................................27
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên
http://www.lrc-tnu.edu.vn/
v
KỸ THUẬT LỌC GÓI TIN ........................................................................................27
2.1. Kỹ thuật lọc gói tin ...............................................................................................27
2.2. Kỹ thuật lọc gói tin tĩnh ........................................................................................30
2.2.1. Giải thuật lọc gói tĩnh [4] ...........................................................................30
2.2.2. Lọc gói dựa trên tiêu đề TCP/UDP .............................................................33
2.2.3. Lọc gói dựa trên tiêu đề của gói tin IP ........................................................37
2.2.4. Mặc định từ chối so với mặc định cho phép ...............................................40
2.3. Kỹ thuật lọc gói tin động ......................................................................................40
2.3.1. Giải thuật lọc gói tin động [4] ....................................................................41
2.3.2. Theo dõi trạng thái ......................................................................................43
2.3.3. Lƣu giữ và kiểm tra trạng thái ....................................................................46
2.3.4. Theo dõi số trình tự của TCP ......................................................................46
2.3.5. Kiểm tra giao thức.......................................................................................47
2.4. Sự khác nhau giữa kỹ thuật lọc gói tin tĩnh và kỹ thuật lọc gói tin động .............48
Chƣơng 3 ..............................................................................................................49
XÂY DỰNG THỬ NGHIỆM BỨC TƢỜNG LỬA .........................................49
3.1. Phân tích bài toán ..................................................................................................49
3.1.1. Xây dựng chính sách lọc gói tin tĩnh ..............................................................50
3.1.2. Xây dựng chính sách lọc gói tin động ............................................................51
3.2. Phân tích lựa chọn công cụ ...................................................................................51
* Hoạt động xử lý gói tin IP ..................................................................................53
3.3. Kết quả thử nghiệm thực thi chƣơng trình...........................................................56
KẾT LUẬN..................................................................................................................66
TÀI LIỆU THAM KHẢO ...........................................................................................67
PHỤ LỤC ....................................................................................................................68
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên
http://www.lrc-tnu.edu.vn/
vi
BẢNG KÝ HIỆU CÁC TỪ VIẾT TẮT
ACK
AH
Acknowledgement
Authentication Header. Header xác thực đƣợc thêm vào sau header của
gói tin IP
AES
Advanced Encryption Standard. Thuật toán mã hóa khối
DA
Destination Address. Địa chỉ IP đích
DES
Data Encryption Standard. Thuật toán mã hoá với 64 bit dữ liệu và 56 bit khoá.
DNS
Domain Name System. Hệ thống tên miền
DoS
Denial of Service. Tấn công từ chối dịch vụ
DDoS
Distributed Denial of Service. Tấn công từ chối dịch vụ phân tán
DNAT
Destination NAT
ESP
Encapsulated Security Payload. Phƣơng thức đóng gói bảo vệ dữ liệu
ICMP
Internet Control Message Protocol. Sử dụng trong giao thức IP để truyền
các thông tin điều khiển và lỗi mạng
IP
Internet Protocol (IPV4). Giao thức truyền trên mạng Internet
IDS
Intruction Detect System. Hệ thống phát hiện xâm nhập
IOS
Intruction
IPX
Internetwork packet Exchange. Giao thức mạng
LAN
Local area network. Mạng cục bộ
MAC
Media Access Control. Điều khiển truy cập
NAT
Network Address Translation. Phƣơng thức chuyển đổi địa chỉ.
RSA
Rivest Shamir Adleman. RSA là một phƣơng thức mã hoá công khai
SA
Security Association. Địa chỉ IP nguồn
SYN
Synchronous.
SNMP
Simple Network Management Protocol. Tâp hợp giao thức
SMTP
Simple Mail Transfer Protocol. Giao thức truyền tải thƣ tín
UDP
User Datagram Protocol
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên
http://www.lrc-tnu.edu.vn/
vii
OSI
Open Systems Interconnection. Mô hình tham chiếu kết nối hệ thống mở
TCP
Transmission Control Protocol. Giao thức điều khiển truyền vận
VPN
Virtual Private Network. Mạng riêng của một tổ chức nhƣng sử dụng
đƣờng truyền công cộng.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên
http://www.lrc-tnu.edu.vn/
viii
DANH MỤC CÁC HÌNH VẼ
Trang
Tên hình
Chương 1
Hình 1.1. Kỹ thuật bắt gói tin thụ động
5
Hình 1.2. Kỹ thuật Sniffers chủ động
5
Hình 1.3. Kỹ thuật tấn công kiểu Smurf
7
Hình 1.4. Kỹ thuật tấn công kiểu SYN flood
8
HÌnh 1.5. Kỹ thuật tấn công DdoS
9
Hình 1.6. Kỹ thuật tấn công DDoS, các loại tấn công DDoS
9
Hình 1.7. Mạng riêng ảo
10
Hình 1.8. Sơ đồ thuật toán mã hóa
12
Hình 1.9. Vị trí của DES trên mạng
16
Hình 1.10. Bức tƣờng Lửa
18
Hình 1.11. Firewall lọc gói
19
Hình 1.12. Tƣờng lửa ứng dụng
21
Hình 1.13. tƣờng lửa nhiều tầng
22
Hình 1.14. Kiến trúc máy chủ trung gian
23
Hình 1.15. Kiến trúc máy chủ sàng lọc
23
Hình 1.16. Kiến trúc mạng con sàng lọc
24
Hình 1.17. Mô hình sử dụng nhiều Bastion Host
24
Hình 1.18. Kiến trúc ghép chung Router trong và Router ngoài
25
Hình 1.19. Kiến trúc ghép chung Bastion Host và Router ngoài
25
Chương 2
Hình 2.1. Các luồng gói tin trên bức tƣờng lửa lọc gói
27
Hình 2.2. Lƣu đồ thuật toán lọc gói tin tĩnh
29
Hình 2.3a. Tiêu đề mảng tin TCP
30
Hình 2.3b. Tiêu đề mảng tin UDP
31
Hình 2.4. Các cổng trong giao thức TCP
33
Hình 2.5. Quá trình bắt tay ba bƣớc của giao thức TCP
33
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên
http://www.lrc-tnu.edu.vn/
ix
Hình 2.6. Tiêu đề của gói tin IP
34
Hình 2.7. Lƣu đồ thuật toán lọc gói tin động
38
Hình 2.8. Thông điệp ICMP trong gói tin IP
41
Chương 3
Hình 3.1. Sơ đồ kết nối mạng trong trƣờng học
47
Hình 3.2. Netfiter và TPtable trong nhân Linux
49
Hình 3.3a, b. Các chính sách luật lọc gói tin tĩnh
52
Hình 3.4. Các luật lọc gói tin tĩnh đƣợc cài đặt
53
Hình 3.5a, b. Các chính sách luật lọc gói tin động
54, 55
Hình 3.6. Các luật lọc gói tin động đƣợc cài đặt
55
Hình 3.7. Các luật trong firewall đƣợc active và bắt đầu thực thi trên HT
56
Hình 3.8. Giao diện chƣơng trình trên Quickly
58
Hình 3.9. Cấm truy cập Internet
60
Hình 3.10. Cho phép truy cập Internet
60
Hình 3.11. Luật chƣa đƣợc active
61
Hình 3.12. Luật đƣợc active
61
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên
http://www.lrc-tnu.edu.vn/
x
DANH MỤC BẢNG
Tên bảng
Trang
Bảng 2.1. Bảng dịch vụ và tƣơng ứng với số cổng
32
Bảng 3.2. Miêu tả các target mà IPtables thƣờng dùng
51
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên
http://www.lrc-tnu.edu.vn/
xi
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên
http://www.lrc-tnu.edu.vn/
1
MỞ ĐẦU
Trong thời kỳ bùng nổ thông tin, việc có đƣợc thông tin chính xác kịp thời là hết
sức quan trọng đối với mọi tổ chức và doanh nghiệp. Mạng máy tính đặc biệt là mạng
Internet đã giúp cho mọi ngƣời tiếp cận, trao đổi những thông tin mới nhất một cách
nhanh chóng, thuận tiện. Mạng Internet đã mang lại cho con ngƣời những lợi ích
không thể phủ nhận, Khoảng cách về địa lý ngày càng trở nên mờ dần và khái niệm
về một thế giới “phẳng” đang trở nên rõ nét. Internet không chỉ là một công cụ trao
đổi thông tin nhanh chóng tin cậy mà còn là kho thông tin vô tận, cập nhật, đa dạng
và đầy đủ nhất.
Tuy nhiên ngoài những lợi ích to lớn mạng Internet cũng có những nguy cơ
khôn lƣờng về khả năng đánh cắp, phá hoại những tài sản thông tin là tác nhân gây
nên những hậu quả nghiêm trọng. Chính vì vậy công việc và trọng trách đặt lên vai
những ngƣời làm công nghệ thông tin trên thế giới nói chung và ở Việt Nam nói
riêng không chỉ là nghiên cứu xây dựng và phát triển nhanh chóng mạng máy tính
trong nƣớc để mọi ngƣời có thể khai thác tiềm năng hết sức phong phú trên Internet
mà đồng thời cũng phải nghiên cứu và phục hồi đƣợc các hành vi tấn công phá hoại
trái phép trên mạng, nhằm đảm bảo đƣợc tối đa sự phát triển. Việc kiểm soát luồng
dữ liệu giữa mạng nội bộ của tổ chức và doanh nghiệp với mạng IP bên ngoài là hết
sức cần thiết, nó góp phần phòng chống các truy nhập bất hợp pháp và các tấn công
vào mạng nội bộ. Giải pháp lọc gói tin đã và đang là các công cụ hữu hiệu trong việc
bảo vệ mạng. Từ các phân tích trên, em chọn Đề tài “Một số kỹ thuật lọc gói tin trong
IP” để nghiên cứu. Mục tiêu của luận văn tập chung nghiên cứu các vấn đề sau:
Thứ nhất: Tìm hiểu và trình bày có chọn lọc về nguy cơ đe dọa an toàn mạng và
đƣa ra một số giải pháp an toàn mạng.
Thứ hai: Tìm hiểu và trình bày có chọn lọc khái niệm về tƣờng lửa và kỹ thuật
lọc gói tin, sử dụng hai kỹ thuật lọc gói tin tĩnh và lọc gói tin động.
Thứ ba: Đƣa ra bài toán và xây dựng phần mềm thử nghiệm cho bài toán lọc gói
tin trong IP với bức tƣờng lửa mã nguồn mở IPtables
Đối tƣợng nghiên cứu: Là mạng IP và kỹ thuật lọc gói tin
Phạm vi nghiên cứu: Giải pháp bảo vệ mạng với bài toán sử dụng kỹ thuật lọc gói tin
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên
http://www.lrc-tnu.edu.vn/
2
Phƣơng pháp nghiên cứu: Nghiên cứu lý thuyết và nghiên cứu thực nghiệm
Bố cục của luận văn: Gồm phần mở đầu, ba chƣơng nội dung, phần kết luận và
danh mục các tài liệu tham khảo.
Chƣơng 1: Trình bày về các nguy cơ đe dọa mạng và các biện pháp bảo vệ mạng
Chƣơng 2: Trình bày hai kỹ thuật lọc gói tin tĩnh và động
Chƣơng 3: Giới thiệu về IPtables và đƣa ra bài toán thực tế có sử dụng hai kỹ
thuật lọc gói tin. Xây dựng chƣơng trình thử nghiệm cho bài toán sử dụng mã nguồn
mở Iptables.
Cuối cùng là phần kết luận: Nêu tóm tắt những gì làm đƣợc và hƣớng phát triển
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên
http://www.lrc-tnu.edu.vn/
3
Chƣơng 1
TỔNG QUAN VỀ AN TOÀN VÀ BẢO MẬT TRONG MẠNG IP
1.1. Các khái niệm cơ bản
1.1.1. An toàn và bảo mật là gì? [11]
Theo ISO (International Orgnization of Standardization) tổ chức tiêu chuẩn thế
giới thì an toàn (Security) là hạn chế khả năng bị lạm dụng tài sản (Asset) và tài
nguyên (Resource). Điều này cũng áp dụng đúng trong tin học.
Mạng máy tính đƣợc xem nhƣ một hệ thống thông tin điện tử gồm có những
ngƣời dùng (Sử dụng dữ liệu), các máy trạm (Xử lý dữ liệu), các máy chủ (Xử lý và
lƣu trữ dữ liệu) cùng các thiết bị khác (Trao đổi dữ liệu). Những thành phần này, kể
cả dữ liệu là tài sản và tài nguyên của hệ thống. Do dữ liệu đƣợc xử lý, lƣu trữ, trao
đổi qua lại nên có thể xảy ra khả năng bị đọc trộm, bị đánh cắp, bị phá huỷ một cách
trái phép từ bên trong hoặc bên ngoài, một cách có chủ ý hoặc vô tình.
Mục đích của an toàn và bảo mật là bảo vệ các thông tin và tài nguyên để đảm
bảo các yêu cầu sau:
- Đảm bảo tính nguyên vẹn (Integrity): Thông tin không thể bị sửa đổi, bị làm
giả bởi những ngƣời không có thẩm quyền.
- Đảm bảo tính tin cậy (Confidentiality): Thông tin không thể bị truy nhập trái
phép bởi những ngƣời không có thẩm quyền.
- Đảm bảo tính sẵn sàng (Availability): Hệ thống luôn sẵn sàng để đáp ứng việc
khai thác sử dụng cho ngƣời sử dụng hợp lệ.
- Đảm bảo tính không thể từ chối (Non-repudiation): Thông tin đƣợc cam kết về
mặt pháp luật của ngƣời cung cấp.
Để bảo vệ an toàn thông tin dữ liệu trên đƣờng truyền và trên mạng có hiệu quả
thì trƣớc tiên phải lƣờng trƣớc hoặc dự đoán trƣớc các khả năng không an toàn, các
khả năng xâm phạm, các sự cố rủi ro có thể xảy ra đối với thông tin dữ liệu đƣợc lƣu
trữ và trao đổi trên đƣờng truyền tin cũng nhƣ trên mạng. Xác định chính xác nguy cơ
để quyết định tốt các giải pháp để giảm thiểu thiệt hại.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên
http://www.lrc-tnu.edu.vn/
4
1.1.2. Các nguy cơ gây mất an toàn [11]
Các sản phẩm, công nghệ cấu thành nên hệ thống mạng đƣợc tạo ra và sử dụng
xuất phát từ các tiêu chí khác nhau, nhƣ mục đích sử dụng (Công cộng hay dung
riêng), mô hình quản trị, vấn đề địa lý (Cục bộ hay diện rộng)… Do vậy, vấn đề an
toàn nhìn từ góc độ đó cũng khác nhau. Khi phân tích an toàn mạng, các kẽ hở gây ra
nguy cơ làm mất an toàn thƣờng bắt gặp có thể đƣợc phân loại nhƣ sau:
- Kẽ hở trong các giao thức: Đây là những kẽ hở xuất phát từ những giao thức
đƣợc dùng trong việc kết nối, chuyển tải, và quản trị mạng. Các kẽ hở trong những
giao thức này đƣợc phân tích dựa trên mô hình cấu trúc 7 tầng OSI.
- Kẽ hở từ các hệ điều hành: Hệ điều hành là nền tảng căn bản nhất, nó có mặt
hầu hết trên tất cả các máy trạm, máy chủ của mạng. Tuy nhiên tất cả không thể tránh
đƣợc sai sót, tồn tại các kẽ hở để cho kẻ tấn công có thể lợi dụng để tấn công. Các kẽ
hở này thƣờng đƣợc phát hiện trong quá trình khai thác và sử dụng.
- Kẽ hở từ các ứng dụng: Các phần mềm ứng dụng nhƣ cơ sở dữ liệu, chƣơng
trình duyệt, chƣơng trình quản trị … là nơi cung cấp cổng giao diện với hệ thống nên
kẽ hở của các ứng dụng sẽ gây ra kẽ hở cho hệ thống.
- Kẽ hở từ ngƣời sử dụng: Con ngƣời, yếu tố quan trong nhất trong mọi vấn đề,
nó quyết định sự thành công hay thất bại của chính sách an toàn bởi một hệ thống,
một chính sách an toàn dù có hoàn hảo đến đâu nhƣng những ngƣời sử dụng, ngƣời
quản trị không tuân theo các quy tắc đó thì sẽ không bao giờ đạt đƣợc kết quả nhƣ
mong muốn. Yếu tố con ngƣời thƣờng đƣợc xem là mắt xích yếu tố quan trọng nhất
trong vấn đề an toàn.
1.2. Các kiểu tấn công mạng IP [2]
Trong thực tế kẻ vi phạm có thể xâm phạm vào bất kỳ điểm nào mà thông tin đi
qua hoặc đƣợc lƣu giữ, điểm đó có thể trên đƣờng truyền dẫn, nút mạng, mạng, máy
tính chủ có nhiều ngƣời sử dụng hoặc tại các giao diện kết nối liên mạng (Bridge,
router, gateway…).
1.2.1. Các kỹ thuật bắt thông tin
Công cụ bắt gói tin (Sniffers) là một chƣơng trình hay thiết bị có khả năng đón bắt
lại các thông tin quan trọng từ giao thông mạng chỉ định đến một mạng riêng. Các
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên
http://www.lrc-tnu.edu.vn/
5
thông tin bị chặn bắt bao gồm: Mật khẩu, các thông tin về các thẻ tín dụng, thƣ điện tử,
các tập tin văn bản mật khác...
Công cụ này thƣờng đƣợc sử dụng vào 2 mục đích khác biệt nhau. Theo hƣớng tích
cực nó có thể là một công cụ giúp cho các quản trị mạng theo dõi và bảo trì hệ thống
mạng của mình. Theo hƣớng tiêu cực nó có thể là một chƣơng trình đƣợc cài vào một hệ
thống mạng máy tính với mục đích chặn dữ liệu, các thông tin trên đoạn mạng này.
Về bản chất có thể phân loại các hành vi xâm phạm thông tin dữ liệu trên đƣờng
truyền tin và mạng truyền tin làm 2 loại: Thụ động và chủ động
Sniffers thụ động: Lấy dữ liệu chủ yếu qua Hub. Nó đƣợc gọi là thụ động là vì
rất khó có thể phát hiện ra loại bắt gói tin này. Hacker sử dụng máy tính của mình kết
nối đến Hub và bắt đầu thực hiện.
Hình 1.1. Kỹ thuật bắt gói tin thụ động
Sniffers chủ động: Lấy dữ liệu chủ yếu qua Switch, nó rất khó thực hiện và dễ bị
phát hiện. Hacker thực hiện theo trình tự:
- Hacker kết nối đến Switch bằng cách gửi địa chỉ MAC nặc danh.
- Switch xem địa chỉ kết hợp với mỗi khung (Frame).
- Máy tính trong LAN gửi dữ liệu đến cổng kết nối.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên
http://www.lrc-tnu.edu.vn/
6
Hình 1.2. Kỹ thuật Sniffers chủ động
1.2.2. Tấn công xâm nhập mạng
Tấn công xâm nhập mạng gồm 4 bƣớc:
Bƣớc 1: Thu thập thông tin: Mạng, Server, Ngƣời dùng…Để thu thập thông tin, tin
tặc thƣờng sử dụng các kỹ thuật nhƣ:
Quét cổng (Port Scan): Gửi gói tin tới cổng, xem phản ứng, xác định trạng thái
hoạt động của ứng dụng
Kiểm tra nhãn hiệu (Banner) để biết loại và phiên bản của ứng dụng
Thử tra vấn DNS server để tìm một địa chỉ IP, thực hiện chuyển miền để tìm
máy tính trên mạng
Khai thác giao thức quản trị mạng SNMP: Chiếm thông tin quản trị mạng để xác định
vị trí của máy tính trên mạng
Bƣớc 2: Tấn công, truy nhập, bẻ mật khẩu, tấn công chiếm quyền quản trị
Để có mật khẩu, tin tặc sử dụng kỹ thuật nhƣ:
Tấn công vét cạn: Thử các tổ hợp ký tự để truy nhập vào hệ thống đích, dùng
khi truy nhập mạng LAN
Tấn công bằng từ điển: Sử dụng một số từ khóa, dùng khi truy nhập từ xa
Phân tích để lấy mật khẩu của ngƣời quản trị
Bƣớc 3: Sau khi vào mạng, tin tặc thƣờng khai thác các lỗ hổng nhƣ tràn bộ đệm để
chiếm quyền ngƣời quản trị rồi phá hoại mạng bao gồm phần cứng, phần mềm hệ
thống và các ứng dụng…
Bƣớc 4: Sau phá hoại mạng tin tặc tạo cửa sau, xoá nhật ký truy nhập, cài các phần
mềm độc hại để điều khiền từ xa…
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên
http://www.lrc-tnu.edu.vn/
7
1.2.3. Tấn công từ chối dịch vụ DoS, DdoS [6]
Tấn công từ chối dịch vụ (Denial of Service – DoS) là một cuộc tấn công thực
hiện từ một ngƣời hoặc một nhóm ngƣời nào đó đến hệ thống mục tiêu. Khi cuộc tấn
công xảy ra, trên hệ thống bị tấn công, ngƣời dùng không thể truy xuất dữ liệu hay
thực hiện bất kỳ một công việc nào.
Mục đích của tấn công từ chối dịch vụ là không cho phép ủy quyền truy cập đến máy
hoặc dữ liệu, ngăn chặn ngƣời dùng hợp pháp truy cập vào các dịch vụ của hệ thống. Khi tấn
công, Hacker có thể thực hiện các công việc sau: Cố gắng làm ngập hệ thống, ngăn chặn
việc trao đổi thông tin giữa các kết nối hợp lệ. Phá vỡ các kết nối giữa hai máy, ngăn chặn
các truy cập đến dịch vụ. Ngăn chặn các thiết lập đặc biệt đến dịch vụ.
* Tấn công từ chối dịch vụ chia làm hai loại tấn công:
- Tấn công DoS (Denial of Service): là kiểu tấn công từ một cá thể hay tập hợp các cá thể.
- Tấn công DDoS (Distributed Denial of Service): Đây là sự tấn công từ một mạng
máy tính đƣợc thiết kế để tấn công tới một đích cụ thể nào đó.
a. Tấn công DoS
Các dạng tấn công DoS
- Smurf: Ngƣời tấn công tạo ra một khối lƣợng lớn các giao tiếp ICMP (Internetwork
Control Message Protocol) đến địa chỉ mạng broadcast thiết lập địa chỉ IP giả rồi
đồng loạt gửi đến host của nạn nhân.
Máy tính nạn nhân mất thời gian hồi đáp lại các thông điệp ICMP giả mạo, dẫn
đến tình trạng quá tải. Khi hồi đáp số lƣợng lớn các ICMP dẫn đến tình trạng ngập
tràn mạng và kết nối không thể thực hiện đƣợc nữa.
Hình 1.3. Kỹ thuật Tấn công kiểu Smurf
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên
http://www.lrc-tnu.edu.vn/
8
- Tấn công tràn bộ đệm - Buffer Overflow Attack: Tấn công tràn bộ đệm xuất
hiện bất kỳ lúc nào mà chƣơng trình ghi những thông tin vào bộ đệm lớn hơn không
gian cho phép của bộ nhớ. Hacker thực hiện ghi đè các dữ liệu vào các chƣơng trình để
chiếm quyền điều khiển và thực hiện các đoạn mã của Hacker.
Nếu gửi thông điệp email mà số tập tin đính kèm lên đến 256 tập tin thì có thể là
nguyên nhân dẫn đến tình trạng tràn bộ đệm.
- Tấn công tràn bộ đệm bằng Ping – Ping of Death: Hacker chủ ý gửi một gói dữ
liệu lớn hơn 65536 bytes mà giao thức IP cho phép.
Phân mảnh gói dữ liệu IP thành những đoạn nhỏ hơn.
Phân đoạn có thể cho phép thêm nhiều hơn 65536 bytes.
Hệ điều hành không thể kiểm soát các gói có kích thƣớc quá lớn nên dẫn đến tình
trạng đóng băng, khởi động lại hoặc hệ thống bị phá hủy. Rất khó có thể nhận dạng
Hacker khi họ gửi dữ liệu vì địa chỉ của họ đã ngụy trang.
- Tấn công Teardrop: Khi một địa chỉ IP nào đó yêu cầu một gói dữ liệu nhƣng
gói này quá lớn để gửi đến router kế tiếp, hệ thống sẽ phân chia gói này thành các đoạn
nhỏ hơn. Lợi dụng điểm này, Hacker chèn thêm những mảnh nhỏ với những offset khó
hiểu. Hệ điều hành không có khả năng nhận những gói tin không thích hợp, vì vậy hệ
thống bị treo.
- Tấn công SYN – SYN flood: Hacker gửi thêm TCP SYN yêu cầu server của nạn
nhân xử lý. Đây là kiểu tấn công khai thác quá trình bắt tay ba bƣớc của kết nối TCP. Nó
sử dụng một tập các gói yêu cầu thiết lập kết nối (SYN) lớn gửi đến hệ thống nạn nhân với
địa chỉ IP giả mạo và dẫn đến việc từ chối dịch vụ trên hệ thống của nạn nhân.
Khi host B nhận yêu cầu SYN từ host A, nó mở một phần kết nối và đƣa vào
hàng đợi. Các host nguy hiểm có các Exploits kích thƣớc nhỏ nằm trong hàng đợi để từ
đó nó gửi nhiều yêu cầu đến host khác. Nhƣng khi nhận hồi đáp từ các host này, nó
không trả lại thông báo SYN/ACK.
Hàng đợi đang lắng nghe trên hệ thống của nạn nhân sẽ nhanh chóng bị lấp đầy.
Chính điều này đã dẫn đến quá trình từ chối dịch vụ trên hệ thống của nạn nhân.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên
http://www.lrc-tnu.edu.vn/
9
Hình 1.4. Kỹ thuật Tấn công kiểu SYN flood
b. Tấn công từ chối dịch vụ DDoS
Trên Internet, tấn công từ chối dịch vụ phân tán (Tiếng anh là: Distributed
Denial of Service – Viết tắt là: DDoS) là cuộc tấn công của nhiều hệ thống đến một
mục tiêu.
Điều đó làm cho hệ thống của nạn nhân bị quá tải và dẫn đến tình trạng tràn hệ thống,
ngƣời dùng hợp pháp không thể truy cập vào các tài nguyên và mọi dịch vụ bị từ chối.
Hình 1.5. Kỹ thuật Tấn công DDoS
* Một số đặc điểm của tấn công DDoS
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên
http://www.lrc-tnu.edu.vn/
- Xem thêm -