Đăng ký Đăng nhập
Trang chủ Nghiên cứu xây dựng hệ thống phát hiện và ngăn chặn xâm nhập trái phép trong hệ ...

Tài liệu Nghiên cứu xây dựng hệ thống phát hiện và ngăn chặn xâm nhập trái phép trong hệ thống mạng

.PDF
96
351
89

Mô tả:

BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƢỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI ----------------------- Lƣơng Tuấn Cƣờng NGHIÊN CỨU XÂY DỰNG HỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬP TRÁI PHÉP TRONG HỆ THỐNG MẠNG Chuyên ngành: Kỹ thuật máy tính LUẬN VĂN THẠC SĨ KỸ THUẬT Hà Nội – Năm 2017 BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƢỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI ----------------------- Lƣơng Tuấn Cƣờng NGHIÊN CỨU XÂY DỰNG HỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬP TRÁI PHÉP TRONG HỆ THỐNG MẠNG Chuyên ngành: Kỹ thuật máy tính LUẬN VĂN THẠC SĨ KỸ THUẬT NGƢỜI HƢỚNG DẪN KHOA HỌC PGS.TS. Nguyễn Linh Giang Hà Nội – Năm 2017 CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập – Tự do – Hạnh phúc BẢN XÁC NHẬN CHỈNH SỬA LUẬN VĂN THẠC SĨ Họ và tên tác giả luận văn : Lƣơng Tuấn Cƣờng Đề tài luận văn: Nghiên cứu xây dựng hệ thống phát hiện và ngăn chặn xâm nhập trái phép trong hệ thống mạng Chuyên ngành: Kỹ thuật máy tính Mã số SV: CA150100 Tác giả, Ngƣời hƣớng dẫn khoa học và Hội đồng chấm luận văn xác nhận tác giả đã sửa chữa, bổ sung luận văn theo biên bản họp Hội đồng ngày 28/04/2017 với các nội dung sau: - Rút gọn phần lý thuyết chƣơng 1, sửa lại một số thuật ngữ chƣa chính xác trong luận văn. - Đánh số lại các chƣơng mục, vẽ lại các hình vẽ theo chuẩn UML. - Chỉnh sửa lại tài liệu trong mục “TÀI LIỆU THAM KHẢO”. Ngày tháng 05 năm 2017 Giáo viên hƣớng dẫn Tác giả luận văn PGS.TS. Nguyễn Linh Giang Lƣơng Tuấn Cƣờng CHỦ TỊCH HỘI ĐỒNG PGS.TS. Ngô Hồng Sơn LỜI CAM ĐOAN Sau nhiều tháng tìm hiểu, nghiên cứu, tôi đã hoàn thành đề tài “Nghiên cứu xây dựng hệ thống phát hiện và ngăn chặn xâm nhập trái phép trong hệ thống mạng”. Trong thời gian thực hiện đề tài tôi đã nhận đƣợc nhiều sự giúp đỡ từ bạn bè, các anh chị và thầy cô. Trƣớc tiên tôi xin gửi lời cảm ơn chân thành và sâu sắc đến thầy PGS.TS. Nguyễn Linh Giang – Viện Công nghệ thông tin và Truyền thông, trƣờng Đại học Bách khoa Hà nội đã luôn nhiệt tình nhắc nhở, đốc thúc tôi làm việc chăm chỉ, thầy chỉ bảo và gửi tôi nhiều bài báo cáo để tôi có thể tham khảo và hoàn thành đề tài. Thầy đã có những góp ý về cả nội dung và trình bày để tôi có thể hoàn thành bài báo cáo một cách tốt nhất. Tôi xin bày tỏ lòng biết ơn các thầy cô trong Viện Công nghệ thông tin – Truyền thông nói riêng và Đại học Bách khoa Hà nội nói chung đã chỉ dạy, cung cấp những kiến thức quý báu cho tôi trong suốt quá trình học tập và nghiên cứu tại trƣờng. Cuối cùng tôi xin gửi lời cảm ơn tới gia đình, bạn bè, những ngƣời luôn cổ vũ, quan tâm và giúp đỡ tôi trong suốt thời gian học tập và làm luận văn. Tuy đã cố gắng tìm hiểu, phân tích nhƣng chắc rằng không tránh khỏi những thiếu sót, rất mong nhận đƣợc sự thông cảm và góp ý của các thầy cô. Tôi cam đoan đây là công trình nghiên cứu của riêng tôi. Các số liệu, kết quả trong luận văn là trung thực và chƣa từng đƣợc ai công bố trong bất kỳ công trình nào khác. Tác giả Lƣơng Tuấn Cƣờng MỤC LỤC I. Mở đầu ........................................................................................................... 1 1. Lý do chọn đề tài ...............................................................................................1 2. Mục tiêu nghiên cứu ..........................................................................................1 3. Phƣơng pháp nghiên cứu ...................................................................................2 4. Đối tƣợng nghiên cứu........................................................................................2 5. Dự kiến kết quả nghiên cứu ..............................................................................2 II. Nội dung nghiên cứu .................................................................................. 3 CHƢƠNG 1: TỔNG QUAN VỀ AN NINH MẠNG ...........................................4 1.1.Giới thiệu về An ninh Mạng................................................................................... 4 1.2. Một số kỹ thuật tấn công hệ thống mạng máy tính.............................................. 6 1.3.Tóm tắt chƣơng ..................................................................................................... 19 CHƢƠNG 2: HỆ THỐNG IDS VÀ IPS ............................................................ 20 2.1. Hệ thống phát hiện xâm nhập mạng máy tính (IDS) ......................................... 20 2.2. Hệ thống ngăn chặn xâm nhập mạng máy tính (IPS) ........................................ 24 CHƢƠNG 3: HỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬP DỰA TRÊN SNORT ................................................................................................... 37 3.1. Giới thiệu về Snort ............................................................................................... 37 3.2. Triển khai hệ thống Snort .................................................................................... 37 3.3. Đặc điểm của snort............................................................................................... 39 3.4. Các chế độ hoạt động của Snort .......................................................................... 45 3.5. Luật trong snort .................................................................................................... 48 Chƣơng 4: Thử nghiệm hệ thống phát hiện và ngăn chặn xâm nhập ................ 52 4.1. Sơ đồ hệ thống...................................................................................................... 52 4.2. Thử nghiệm hệ thống phát hiện xâm nhập ......................................................... 53 4.3. Đánh giá về hệ thống phát hiện xâm nhập sử dụng Snort (Snort IDS) ............ 74 4.4. Thử nghiệm hệ thống ngăn chặn xâm nhập với Snort Inline (Snort IPS) ........ 75 4.5. Đánh giá chung về hệ thống ngăn chặn và phát hiện xâm nhập với Snort ......... 82 KẾT LUẬN VÀ HƢỚNG NGHIÊN CỨU...................................................... 84 Kết luận .............................................................................................................. 84 Hƣớng nghiên cứu .............................................................................................. 84 TÀI LIỆU THAM KHẢO ................................................................................ 85 PHỤ LỤC HƢỚNG DẪN CÀI ĐẶT SNORT ................................................ 86 MỤC LỤC HÌNH ẢNH Hình 1: Nguy cơ đối với hệ thống......................................................................... 5 Hình 2: Kiến trúc tấn công DDos trực tiếp ......................................................... 10 Hình 3: Kiến trúc tấn công DDos gián tiếp hay phản phiếu ............................... 10 Hình 4: Thành phần của một hệ thống IDS ........................................................ 21 Hình 5: Kiến trúc của Snort ................................................................................ 40 Hình 6: Minh họa hệ thống ngăn chặn xâm nhập sử dụng Snort inline (Snort IPS) ...................................................................................................................... 47 Hình 7: Cấu trúc luật trong snort........................................................................ 49 Hình 8: Mô phỏng hệ thống thử nghiệm ............................................................. 52 Hình 9: Mô tả phát hiện của Snort ...................................................................... 53 Hình 10: Mô tả phát hiện truy cập vào website của snort ................................... 54 Hình 11: Quét cổng FIN Scan ............................................................................. 55 Hình 12: Wireshark bắt gói tin FIN Scan ........................................................... 55 Hình 13: Snort IDS phát hiện quét cổng FIN Scan ............................................. 56 Hình 14: Quét cổng NULL Scan ......................................................................... 56 Hình 15: Snort IDS phát hiện quét cổng NULL Scan ........................................ 57 Hình 16: Quét cổng XMAS Scan ........................................................................ 58 Hình 17: Snort IDS phát hiện quét cổng XMAS Scan........................................ 59 Hình 18: Mã lỗi SQL injection............................................................................ 60 Hình 19: Trang đăng nhập................................................................................... 60 Hình 20: Đăng nhập thành công.......................................................................... 61 Hình 21: Đăng nhập thất bại ............................................................................... 61 Hình 22: Mô phỏng tấn công SQL injection qua form đăng nhập ..................... 62 Hình 23: Snort IDS phát hiện tấn công SQL injection ....................................... 63 Hình 24: Bắt gói tin tấn công có từ khóa truy vấn trong SQL ............................ 64 Hình 25: Phát hiện tấn công chứa từ khóa truy vấn trong SQL .......................... 64 Hình 26: Mô hình bắt tay 3 bƣớc ........................................................................ 65 Hình 27: Mô hình tấn công bằng các gói SYN ................................................... 66 Hình 28: Wireshark bắt gói tin tấn công DOS TCP SYN Flood ........................ 68 Hình 29: Phát hiện tấn công TCP SYN Flood .................................................... 69 Hình 30: Tấn công UDP Flood ........................................................................... 70 Hình 31: Wireshark bắt gói tin tấn công DOS UDP Flood................................. 71 Hình 32: Phát hiện tấn công DOS UDP Flood.................................................... 72 Hình 33: Tấn công DOS ICMP Flood ................................................................ 72 Hình 34: Tấn công DOS ICMP Flood ................................................................ 73 Hình 35: Wireshark bắt gói tin tấn công DOS ICMP Flood ............................... 73 Hình 36: Phát hiện tấn công DOS ICMP Flood .................................................. 74 Hình 37: Cài đặt thành công hệ thống Snort inline ............................................. 77 Hình 38: Minh hoạ demo hệ thống ngăn chặn xâm nhập với Snort inline ......... 77 Hình 39: Mô tả hệ thống thử nghiệm ngăn chặn xâm nhập ................................ 78 Hình 40: Phát hiện tấn công SQL injection trên snort inline .............................. 80 Hình 41: Ngăn chặn tấn công DOS TCP SYN Flood ......................................... 81 Hình 42: Ngăn chặn tấn công DOS UDP Flood ................................................. 81 Hình 43: Ngăn chặn tấn công DOS ICMP Flood................................................ 82 Hình 44: Mô tả cài đặt thành công snort ............................................................. 87 Hình 45: Mô tả cấu hình snort thành công .......................................................... 89 I. Mở đầu 1. Lý do chọn đề tài Công nghệ thông tin ngày nay đƣợc áp dụng vào tất cả lĩnh vực của cuộc sống. Có thể thấy máy tính và mạng Internet là thành phần không thể thiếu của hầu hết các công ty, trở thành công cụ hỗ trợ đắc lực cho công việc hàng ngày. Tuy nhiên sự phát triển này cũng kèm theo vấn đề an ninh máy tính đang ngày càng trở nên nóng bỏng, tội phạm máy tính là một trong những hành vi phạm tội có tốc độ phát triển nhanh nhất trên toàn hành tinh. Vì vậy việc xây dựng một nền an ninh máy tính, thiết kế và quản trị mạng đảm bảo và có khả năng kiểm soát rủi ro liên quan đến việc sử dụng máy tính không thể thiếu ở nhiều lĩnh vực. Khi một hệ thống thông tin bị hacker kiểm soát thì hậu quả không thể lƣờng trƣớc đƣợc. Đặc biệt nếu hệ thống đó là một trong những hệ thống xung yếu của đất nƣớc nhƣ hệ thống chính phủ, hệ thống ngân hàng, hệ thống viễn thông, hệ thống thƣơng mại điện tử thì những thiệt hại về kinh tế, an ninh quốc gia là rất lớn. Việc làm thế nào để có thể phát hiện ra máy tính hoặc mạng máy tính của mình đang bị xâm nhập trái phép, cũng nhƣ cách phòng và chống xâm nhập trái phép hiệu quả, luôn là mong muốn của tất cả những ai làm trong lĩnh vực an ninh mạng. Xuất phát từ nhu cầu thực tiễn trên, tôi đã chọn đề tài: “Nghiên cứu xây dựng hệ thống phát hiện và ngăn chặn xâm nhập trái phép trong hệ thống mạng” với mong muốn tìm hiểu một cách hệ thống về các kỹ thuật tấn công xâm nhập mạng máy tính, cũng nhƣ các cách thức cần thiết để đối phó với vấn đề này. 2. Mục tiêu nghiên cứu - Tìm hiểu khái quát về hệ thống phát hiện và ngăn chặn xâm nhập, khái niệm, kiến trúc, cơ chế và nguyên lý hoạt động. - Tìm hiểu các kỹ thuật xâm nhập bất hợp pháp mà hacker thƣờng sử dụng để tấn công vào hệ thống mạng. Lương Tuấn Cường – TTMMT – 2015A 1 - Xây dựng hệ thống IDS, IPS sử dụng hệ thống mã nguồn mở Snort để phát hiện và ngăn chặn xâm nhập trái phép trong hệ thống mạng. - Xây dựng một số tập luật cơ bản cho hệ thống Snort, nhằm phát hiện các kiểu tấn công xâm nhập bất hợp pháp. - Thử nghiệm và xây dựng một số tập lệnh có khả năng ngăn chặn xâm nhập dựa trên tính năng mở rộng của Snort (Snort inline). 3. Phƣơng pháp nghiên cứu - Sử dụng HĐH mã nguồn mở Linux để xây dựng hệ thống phát hiện và ngăn chặn xâm nhập. - Xây dựng hệ thống phát hiện và ngăn chặn xâm nhập bằng phần mềm mã nguồn mở Snort. - Nghiên cứu cấu trúc tập lệnh Rules của Snort, từ đó tự xây dựng những tập lệnh theo nhu cầu thực tế, nhằm đảm bảo cho hệ thống có thể phát hiện và ngăn chặn những tấn công vào hệ thống mạng. - Thực nghiệm đƣa ra độ chính xác của các tập lệnh đã xây dựng. 4. Đối tƣợng nghiên cứu - Các hình thức tấn công phổ biến của Hacker vào hệ thống mạng. - Phần mềm mã nguồn mở Snort - Cấu trúc của tập lệnh Rules 5. Dự kiến kết quả nghiên cứu - Hoàn thiện việc tìm hiểu các kỹ thuật xâm nhập bất hợp pháp vào hệ thống mạng. - Xây dựng thành công hệ thống phát hiện và ngăn chặn xâm nhập - Xây dựng một số tập lệnh Rules có khả năng phát hiện các kiểu tấn công phổ biến nhƣ Scan hệ thống, SQL Injection, tấn công từ chối dịch vụ. Cấu trúc của luận văn, ngoài phần mở đầu và phần kết luận có các chƣơng chính sau đây: Lương Tuấn Cường – TTMMT – 2015A 2 Chƣơng 1: Tổng quan về an ninh mạng Nội dung chƣơng này nêu tổng quan về an ninh mạng, các yếu tố đảm bảo an toàn thông tin các kỹ thuật tấn công và xâm nhập trái phép mạng máy tính cùng với hậu quả của nó. Chƣơng 2: Hệ thống IDS và IPS Nội dung chƣơng trình bày khái niệm, kiến trúc, nguyên lý và cơ chế hoạt động hệ thống phát hiện và ngăn chặn xâm nhập trái phép mạng máy tính. Chƣơng 3: Hệ thống phát hiện và ngăn chặn xâm nhập dựa trên snort Nội dung chƣơng gồm: Giới thiệu về snort, triển khai hệ thống snort, các đặc điểm, chế độ hoạt động, luật trông snort. Chƣơng 4: Thử nghiệm hệ thống phát hiện và ngăn chặn xâm nhập Nội dung chƣơng gồm: xây dựng kịch bản, cài đặt mô phỏng hệ thống và thực hiện các bài thử nghiệm, đánh giá và đƣa ra kết luận. II. Nội dung nghiên cứu Lương Tuấn Cường – TTMMT – 2015A 3 CHƢƠNG 1: TỔNG QUAN VỀ AN NINH MẠNG 1.1. Giới thiệu về An ninh Mạng 1.1.1. An ninh mạng là gì. Máy tính có phần cứng chứa dữ liệu do hệ điều hành quản lý, đa số các máy tính nhất là các máy tính trong công ty, doanh nghiệp đƣợc nối mạng Lan và Internet. Nếu nhƣ máy tính, hệ thống mạng không đƣợc trang bị hệ thống bảo vệ vậy chẳng khác nào đi khỏi căn phòng của mình mà quên khóa cửa, hệ thống mạng sẽ là mục tiêu của virus, worms, unauthorized user … chúng có thể tấn công vào máy tính hoặc cả hệ thống bất cứ lúc nào. Vậy an toàn mạng có nghĩa là bảo vệ hệ thống mạng, máy tính khỏi sự phá hoại phần cứng hay chỉnh sửa dữ liệu (phần mềm) mà không đƣợc sự cho phép từ những ngƣời cố ý hay vô tình. An toàn mạng cung cấp giải pháp, chính sách, bảo vệ máy tính, hệ thống mạng để làm cho những ngƣời dùng trái phép, cũng nhƣ các phần mềm chứa mã độc không xâm nhập bất hợp pháp vào hệ thống mạng. 1.1.2. Các yếu tố cần đƣợc bảo vệ trong hệ thống mạng Yếu tố đầu tiên phải nói đến là dữ liệu, những thông tin lƣu trữ trên hệ thống máy tính cần đƣợc bảo vệ do các yêu cầu về tính bảo mật, tính toàn vẹn hay tính kịp thời. Thông thƣờng yêu cầu về bảo mật đƣợc coi là yêu cầu quan trọng đối với thông tin lƣu trữ trên mạng. Tuy nhiên, ngay cả khi những thông tin không đƣợc giữ bí mật, thì yêu cầu về tính toàn vẹn cũng rất quan trọng. Không một cá nhân, một tổ chức nào lãng phí tài nguyên vật chất và thời gian để lƣu trữ những thông tin mà không biết về tính đúng đắn của những thông tin đó. Yếu tố thứ hai là về tài nguyên hệ thống, sau khi các Attacker đã làm chủ đƣợc hệ thống chúng sẽ sử dụng các máy này để chạy các chƣơng trình nhƣ dò tím mật khẩu để tấn công vào hệ thống mạng. 1.1.3. Các yếu tố đảm bảo an toàn thông tin An toàn thông tin nghĩa là thông tin đƣợc bảo vệ, các hệ thống và những dịch vụ có khả năng chống lại những tai hoạ, lỗi và sự tác động không mong Lương Tuấn Cường – TTMMT – 2015A 4 đợi. Mục tiêu của an toàn bảo mật trong công nghệ thông tin là đƣa ra một số tiêu chuẩn an toàn và ứng dụng các tiêu chuẩn an toàn này để loại trừ hoặc giảm bớt các nguy hiểm. Hiện nay các biện pháp tấn công càng ngày càng tinh vi, sự đe doạ tới độ an toàn thông tin có thể đến từ nhiều nơi khác nhau theo nhiều cách khác nhau, vì vậy các yêu cầu cần để đảm bảo an toàn thông tin nhƣ sau: - Tính bí mật: Thông tin phải đảm bảo tính bí mật và đƣợc sử dụng đúng đối tƣợng. - Tính toàn vẹn: Thông tin phải đảm bảo đầy đủ, nguyên vẹn về cấu trúc, không mâu thuẫn. - Tính sẵn sàng: Thông tin phải luôn sẵn sàng để tiếp cận, để phục vụ theo đúng mục đích và đúng cách. - Tính chính xác: Thông tin phải chính xác, tin cậy. - Tính không khƣớc từ (chống chối bỏ): Thông tin có thể kiểm chứng đƣợc nguồn gốc hoặc ngƣời đƣa tin. Nguy cơ hệ thống (Risk) đƣợc hình thành bởi sự kết hợp giữa lỗ hổng hệ thống và các mối đe doạ đến hệ thống, nguy cơ hệ thống có thể định nghĩa trong ba cấp độ thấp, trung bình và cao. Để xác định nguy cơ đối với hệ thống trƣớc tiên cần phải đánh giá nguy cơ hệ thống theo sơ đồ sau. Hình 1: Nguy cơ đối với hệ thống Lương Tuấn Cường – TTMMT – 2015A 5 1.1.4. Quá trình đánh giá nguy cơ của hệ thống  Xác định các lỗ hổng hệ thống Việc xác định các lỗ hổng hệ thống đƣợc bắt đầu từ các điểm truy cập vào hệ thống nhƣ: - Kết nối mạng Internet - Các điểm kết nối từ xa - Kết nối các tổ chức khác - Các môi trƣờng truy cập vật lý hệ thống - Các điểm truy cập ngƣời dùng - Các điểm truy cập không dây Ở mỗi điểm truy cập phải xác định đƣợc các thông tin có thể truy cập và mức độ truy cập vào hệ thống.  Xác định các mối đe đoạ Đây là một công việc khó khăn vì các mối đe dọa thƣờng không xuất hiện rõ ràng (ẩn), thời điểm và quy mô tấn công không biết trƣớc. Các hình thức và kỹ thuật tấn công đa dạng nhƣ: - DoS/DDoS, BackDoor, Tràn bộ đệm,… - Virus, Trojan Horse, Worm - Social Engineering  Các biện pháp an toàn hệ thống Các biện pháp an toàn hệ thống gồm các biện pháp: Nhƣ firewall, phần mềm diệt virut, điều khiển truy cập, hệ thống chứng thực (mật khẩu, sinh trắc học, thẻ nhận dạng), mã hoá dữ liệu, hệ thống chống xâm nhập IDS, hệ thống ngăn chặn xâm nhập IPS, các kỹ thuật khác, ý thức ngƣời dùng, hệ thống chính sách bảo mật và tự động vá lỗ hệ thống 1.2. Một số kỹ thuật tấn công hệ thống mạng máy tính 1.2.1. Tấn công bị động (Passive attack) Trong một cuộc tấn công bị động, các hacker sẽ kiểm soát luồng dữ liệu không đƣợc mã hóa và tìm kiếm mật khẩu không đƣợc mã hóa (Clear Text Lương Tuấn Cường – TTMMT – 2015A 6 password), các thông tin nhạy cảm có thẻ đƣợc sử dụng trong các kiểu tấn công khác. Các cuộc tấn công bị động bao gồm phân tích traffic, giám sát các cuộc giao tiếp không đƣợc bảo vệ, giải mã các traffic mã hóa yếu, và thu thập các thông tin xác thực nhƣ mật khẩu. Các cuộc tấn công chặn bắt thông tin hệ thống mạng cho phép kẻ tấn công có thể xem xét các hành động tiếp theo. Kết quả của các cuộc tấn công bị động là các thông tin hoặc file dữ liệu sẽ bị rơi vào tay kẻ tấn công mà ngƣời dùng không hề hay biết. 1.2.2. Tấn công rải rác (Distributed attack) Đối với các cuộc tấn công rải rác yêu cầu kẻ tấn công phải giới thiệu mã, chẳng hạn nhƣ một chƣơng trình Trojan horse hoặc một chƣơng trình back-door, với một thành phần "tin cậy" hoặc một phần mềm đƣợc phân phối cho nhiều công ty khác và tấn công user bằng cách tập trung vào việc sửa đổi các phần mềm độc hại của phần cứng hoặc phần mềm trong quá trình phân phối,... Các cuộc tấn công giới thiệu mã độc hại chẳng hạn nhƣ back door trên một sản phẩm nhằm mục đích truy cập trái phép các thông tin hoặc truy cập trái phép các chức năng trên hệ thống. 1.2.3. Tấn công nội bộ (Insider attack) Các cuộc tấn công nội bộ (insider attack) liên quan đến ngƣời ở trong cuộc, chẳng hạn nhƣ một nhân viên nào đó "bất mãn" với công ty của mình,…các cuộc tấn công hệ thống mạng nội bộ có thể gây hại hoặc vô hại. Ngƣời trong cuộc cố ý nghe trộm, ăn cắp hoặc phá hoại thông tin, sử dụng các thông tin một cách gian lận hoặc truy cập trái phép các thông tin. 1.2.4. Tấn công Phising Trong các cuộc tấn công phising, các hacker sẽ tạo ra một trang web giả trông “giống hệt” nhƣ các trang web phổ biến. Trong các phần tấn công phising, các hacker sẽ gửi một email để ngƣời dùng click vào đó và điều hƣớng đến trang web giả mạo. Khi ngƣời dùng đăng nhập thông tin tài khoản của họ, các hacker sẽ lƣu lại tên ngƣời dùng và mật khẩu đó lại. Lương Tuấn Cường – TTMMT – 2015A 7 1.2.5. Tấn công mật khẩu (Password attack) Đối với các cuộc tấn công mật khẩu, các hacker sẽ cố gắng "phá" mật khẩu đƣợc lƣu trữ trên cơ sở dữ liệu tài khoản hệ thống mạng hoặc mật khẩu bảo vệ các tập tin. Các cuộc tấn công mật khẩu bao gồm 3 loại chính: các cuộc tấn công dạng từ điển (dictionary attack), brute-force attack và hybrid attack. Cuộc tấn công dạng từ điển sử dụng danh sách các tập tin chứa các mật khẩu tiềm năng. 1.2.6. Khai thác lỗ hổng tấn công (Exploit attack) Đối với các cuộc tấn công bằng việc khai thác các lỗ hổng, yêu cầu các hacker phải hiểu biết về các vấn đề bảo mật trên hệ điều hành hoặc các phần mềm và tận dụng kiến thức này để khai thác các lỗ hổng. 1.2.7. Buffer overflow (lỗi tràn bộ đệm) Một cuộc tấn công buffer attack xảy ra khi các hacker gửi dữ liệu tới một ứng dụng nhiều hơn so với dự kiến. Và kết quả của cuộc tấn công buffer attack là các hacker tấn công truy cập quản trị hệ thống trên Command Prompt hoặc Shell. 1.2.8. Tấn công từ chối dịch vụ (denial of service attack) Một cuộc tấn công từ chối dịch vụ (tấn công DoS - Viết tắt của Denial of Service) hay tấn công từ chối dịch vụ phân tán (tấn công DDoS - Viết tắt của Distributed Denial of Service) là một nỗ lực làm cho những ngƣời dùng không thể sử dụng tài nguyên của một máy tính. Mặc dù phƣơng tiện để tiến hành, động cơ, mục tiêu của tấn công từ chối dịch vụ có thể khác nhau, nhƣng nói chung nó gồm có sự phối hợp, sự cố gắng ác ý của một ngƣời hay nhiều ngƣời để một trang, hay hệ thống mạng không thể sử dụng, làm gián đoạn, hoặc làm cho hệ thống đó chậm đi một cách đáng kể với ngƣời dùng bình thƣờng, bằng cách làm quá tải tài nguyên của hệ thống. Thủ phạm tấn công từ chối dịch vụ thƣờng nhắm vào các trang mạng hay server tiêu biểu nhƣ ngân hàng, cổng thanh toán thẻ tín dụng và thậm chí DNS root servers. Lương Tuấn Cường – TTMMT – 2015A 8 Đây là một phƣơng thức tấn công phổ biến kéo theo sự bão hoà máy mục tiêu với các yêu cầu liên lạc bên ngoài, đến mức nó không thể đáp ứng giao thông hợp pháp, hoặc đáp ứng quá chậm. Trong điều kiện chung, các cuộc tấn công DoS đƣợc bổ sung bởi ép máy mục tiêu khởi động lại hoặc tiêu thụ hết tài nguyên của nó đến mức nó không cung cấp dịch vụ, hoặc làm tắc nghẽn liên lạc giữa ngƣời sử dụng và nạn nhân. Trung tâm ứng cứu máy tính khẩn cấp Hoa Kỳ xác định dấu hiệu của một vụ tấn cống từ chối dịch vụ gồm có:  Mạng thực thi chậm khác thƣờng khi mở tập tin hay truy cập Website;  Không thể dùng một website cụ thể;  Không thể truy cập bất kỳ website nào;  Tăng lƣợng thƣ rác nhận đƣợc. Không phải tất các dịch vụ đều ngừng chạy, thậm chí đó là kết quả của một hoạt động nguy hại, tất yếu của tấn công DoS. Tấn công từ chối dịch cũng có thể dẫn tới vấn đề về nhánh mạng của máy đang bị tấn công. Ví dụ băng thông của router giữa Internet và LAN có thể bị tiêu thụ bởi tấn công, làm tổn hại không chỉ máy tính ý định tấn công mà còn là toàn thể mạng. 1.2.8.1. Kiến trúc tấn công DDoS Mặc dù có nhiều dạng tấn công DDoS đƣợc ghi nhận, nhƣng tựu trung có thể chia kiến trúc tấn công DDoS thành 2 loại chính: (i) kiến trúc tấn công DDoS trực tiếp và (i) kiến trúc tấn công DDoS gián tiếp hay phản chiếu. Hình 1 minh họa kiến trúc tấn công DDoS trực tiếp, theo đó tin tặc (Attacker) trƣớc hết thực hiện chiếm quyền điều khiển hàng ngàn máy tính có kết nối Internet, biến các máy tính này thành các Zombie – những máy tính bị kiểm soát và điều khiển từ xa bởi tin tặc. Tin tặc thƣờng điều khiển các Zombie thông qua các máy trung gian (Handler). Hệ thống các Zombie chịu sự điều khiển của tin tặc còn đƣợc gọi là mạng máy tính ma hay botnet. Theo lệnh gửi từ tin tặc, các Zombie đồng loạt tạo và gửi các yêu cầu truy nhập giả mạo đến hệ thống nạn nhân (Victim), Lương Tuấn Cường – TTMMT – 2015A 9 gây ngập lụt đƣờng truyền mạng hoặc làm cạn kiệt tài nguyên của máy chủ, dẫn đến ngắt quãng hoặc ngừng dịch vụ cung cấp cho ngƣời dùng. src: http://i.imgur.com/wR2zovP.jpg truy cập 09/03/2017 Hình 2: Kiến trúc tấn công DDos trực tiếp src: http://i.imgur.com/NfNbBmM.png truy cập 09/03/2017 Hình 3: Kiến trúc tấn công DDos gián tiếp hay phản phiếu Kiến trúc tấn công DDoS gián tiếp hay còn gọi là kiến trúc tấn công DDoS phản chiếu. Tƣơng tự nhƣ kiến trúc tấn công DDoS trực tiếp, tin tặc (Attacker) trƣớc hết thực hiện chiếm quyền điều khiển một lƣợng rất lớn máy tính có kết nối Internet, biến các máy tính này thành các Zombie, hay còn gọi la Slave. Tin tặc điều khiển các Slave thông qua các máy trung gian (Master). Theo Lương Tuấn Cường – TTMMT – 2015A 10 lệnh gửi từ tin tặc, các Slave đồng loạt tạo và gửi các yêu cầu truy nhập giả mạo với địa chỉ nguồn của các gói tin là địa chỉ của máy nạn nhân (Victim) đến đến một số lớn các máy khác (Reflectors) trên mạng Internet. Các Reflectors gửi phản hồi (Reply) đến máy nạn nhân do địa chỉ của máy nạn nhân đƣợc đặt vào yêu cầu giả mạo. Khi các Reflectors có số lƣợng lớn, số phản hồi sẽ rất lớn và gây ngập lụt đƣờng truyền mạng hoặc làm cạn kiệt tài nguyên của máy nạn nhân, dẫn đến ngắt quãng hoặc ngừng dịch vụ cung cấp cho ngƣời dùng. Các Reflectors bị lợi dụng để tham gia tấn công thƣờng là các hệ thống máy chủ có công suất lớn trên mạng Internet và không chịu sự điều khiển của tin tặc. 1.2.8.2. Phân loại tấn công DDoS Các cuộc tấn công DDoS thƣờng đƣợc tin tặc thực hiện bằng cách huy động một số lƣợng rất lớn các máy tính có kết nối Internet bị chiếm quyền điều khiển – tập hợp các máy này đƣợc gọi là mạng máy tính ma hay mạng bot, hoặc botnet. Các máy của botnet có khả năng gửi hàng ngàn yêu cầu giả mạo mỗi giây đến hệ thống nạn nhân, gây ảnh hƣởng nghiêm trọng đến chất lƣợng dịch vụ cung cấp cho ngƣời dùng. Do các yêu cầu của tấn công DDoS đƣợc gửi rải rác từ nhiều máy ở nhiều vị trí địa lý nên rất khó phân biệt với các yêu cầu của ngƣời dùng hợp pháp. Một trong các khâu cần thiết trong việc đề ra các biện pháp phòng chống tấn công DDoS hiệu quả là phân loại các dạng tấn công DDoS và từ đó có biện pháp phòng chống thích hợp. Một cách khái quát, tấn công DDoS có thể đƣợc phân loại dựa trên 6 tiêu chí chính: (1) Dựa trên phƣơng pháp tấn công, (2) Dựa trên mức độ tự động, (3) Dựa trên giao thức mạng, (4) Dựa trên phƣơng thức giao tiếp, (5) Dựa trên cƣờng độ tấn công và (6) Dựa trên việc khai thác các lỗ hổng an ninh. Phần tiếp theo của mục này trình bày chi tiết từng loại. Dựa trên phương pháp tấn công Phân loại DDoS dựa trên phƣơng pháp tấn công là một trong phƣơng pháp phân loại cơ bản nhất. Theo tiêu chí này, DDoS có thể đƣợc chia thành 2 dạng: Lương Tuấn Cường – TTMMT – 2015A 11 - Tấn công gây ngập lụt (Flooding Attacks): Trong tấn công gây ngập lụt, tin tặc tạo một lƣợng lớn các gói tin tấn công giống nhƣ các gói tin hợp lệ và gửi đến hệ thống nạn nhân làm cho hệ thống không thể phục vụ ngƣời dùng hợp pháp. Đối tƣợng của tấn công dạng này là băng thông mạng, không gian đĩa, thời gian của CPU… - Tấn công logic (Logical Attacks): Tấn công logic thƣờng khai thác các tính năng hoặc các lỗi cài đặt của các giao thức hoặc dịch vụ chạy trên hệ thống nạn nhân, nhằm làm cạn kiệt tài nguyên hệ thống. Ví dụ tấn công TCP SYN khai thác quá trình bắt tay 3 bƣớc trong khởi tạo kết nối TCP, trong đó mỗi yêu cầu kết nối đƣợc cấp một phần không gian trong bảng lƣu yêu cầu kết nối trong khi chờ xác nhận kết nối. Tin tặc có thể gửi một lƣợng lớn yêu cầu kết nối giả mạo – các kết nối không thể thực hiện, chiếm đầy không gian bảng kết nối và hệ thống nạn nhân không thể tiếp nhận yêu cầu kết nối của ngƣời dùng hợp pháp. Dựa trên mức độ tự động Theo mức độ tự động, có thể chia tấn công DDoS thành 3 dạng: - Tấn công thủ công: Tin tặc trực tiếp quét các hệ thống tìm lỗ hổng, đột nhập vào hệ thống, cài đặt mã tấn công và ra lệnh kích hoạt tấn công. Chỉ những tấn công DDoS trong giai đoạn đầu mới đƣợc thực hiện thủ công. - Tấn công bán tự động: Trong dạng này, mạng lƣới thực hiện tấn công DDoS bao gồm các máy điều khiển (Master/Handler) và các máy Agent (Slave, Deamon, Zombie, Bot). Các giai đoạn tuyển chọn máy agent, khai thác lỗ hổng và lây nhiễm đƣợc thực hiện tự động. Trong đoạn tấn công, tin tặc gửi các thông tin bao gồm kiểu tấn công, thời điểm bắt đầu, khoảng thời gian duy trì tấn công và đích tấn công đến các agent thông qua các handler. Các agent sẽ theo lệnh gửi các gói tin tấn công đến hệ thống nạn nhân. - Tấn công tự động: Tất cả các giai đoạn trong quá trình tấn công DDoS, từ tuyển chọn máy Agent, khai thác lỗ hổng, lây nhiễm đến thực hiện tấn công đều đƣợc thực hiện tự động. Tất cả các tham số tấn công đều đƣợc lập trình sẵn và đƣa vào mã tấn công. Tấn công dạng này giảm đến tối thiểu giao tiếp giữa tin Lương Tuấn Cường – TTMMT – 2015A 12 tặc và mạng lƣới tấn công, và tin tặc chỉ cần kích hoạt giai đoạn tuyển chọn các máy Agent. Dựa trên giao thức mạng: Dựa trên giao thức mạng, tấn công DDoS có thể chia thành 2 dạng: - Tấn công vào tầng mạng hoặc giao vận: Ở dạng này, các gói tin TCP, UDP và ICMP đƣợc sử dụng để thực hiện tấn công. - Tấn công vào tầng ứng dụng: Ở dạng này, các tấn công thƣờng hƣớng đến các dịch vụ thông dụng ứng với các giao thức tầng ứng dụng nhƣ HTTP, DNS và SMTP. Tấn công DDoS tầng ứng dụng cũng có thể gây ngập lụt đƣờng truyền và tiêu hao tài nguyên máy chủ, làm ngắt quãng khả năng cung cấp dịch vụ cho ngƣời dùng hợp pháp. Dạng tấn công này rất khó phát hiện do các yêu cầu tấn công tƣơng tự yêu cầu từ ngƣời dùng hợp pháp. Dựa trên phương thức giao tiếp Thông thƣờng, để thực hiện tấn công DDoS, tin tặc phải tuyển chọn và chiếm quyền điều khiển một số lƣợng lớn các máy tính có kết nối Internet, và các máy tính này sau khi bị cài phần mềm agent trở thành các bots - công cụ giúp tin tặc thực hiện tấn công DDoS. Tin tặc thông qua các máy điều khiển (master) giao tiếp với các bots để gửi thông tin và các lệnh điều khiển tấn công. Theo phƣơng thức giao tiếp giữa các master và bots, có thể chia tấn công DDoS thành 4 dạng: - DDoS dựa trên agent-handler: Tấn công DDoS dựa trên dạng này bao gồm các thành phần: Clients, Handlers và Agents (Bots/Zombies). Tin tặc chỉ giao tiếp trực tiếp với clients. Clients sẽ giao tiếp với Agents thông qua Handlers. Nhận đƣợc lệnh và các thông tin thực hiện tấn công, agents trực tiếp thực hiện việc tấn công. - DDoS dựa trên IRC: Internet Relay Chat (IRC) là một hệ thống truyền thông điệp trực tuyến cho phép nhiều ngƣời dùng tạo kết nối và trao đổi các thông điệp theo thời gian thực. Trong dạng tấn công DDoS này tin tặc sử dụng IRC làm kênh giao tiếp với các Agents, không sử dụng Handlers. Lương Tuấn Cường – TTMMT – 2015A 13
- Xem thêm -

Tài liệu liên quan