BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƢỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI
-----------------------
Lƣơng Tuấn Cƣờng
NGHIÊN CỨU XÂY DỰNG HỆ THỐNG PHÁT
HIỆN VÀ NGĂN CHẶN XÂM NHẬP TRÁI PHÉP
TRONG HỆ THỐNG MẠNG
Chuyên ngành: Kỹ thuật máy tính
LUẬN VĂN THẠC SĨ KỸ THUẬT
Hà Nội – Năm 2017
BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƢỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI
-----------------------
Lƣơng Tuấn Cƣờng
NGHIÊN CỨU XÂY DỰNG HỆ THỐNG PHÁT
HIỆN VÀ NGĂN CHẶN XÂM NHẬP TRÁI PHÉP
TRONG HỆ THỐNG MẠNG
Chuyên ngành: Kỹ thuật máy tính
LUẬN VĂN THẠC SĨ KỸ THUẬT
NGƢỜI HƢỚNG DẪN KHOA HỌC
PGS.TS. Nguyễn Linh Giang
Hà Nội – Năm 2017
CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập – Tự do – Hạnh phúc
BẢN XÁC NHẬN CHỈNH SỬA LUẬN VĂN THẠC SĨ
Họ và tên tác giả luận văn : Lƣơng Tuấn Cƣờng
Đề tài luận văn: Nghiên cứu xây dựng hệ thống phát hiện và ngăn chặn xâm
nhập trái phép trong hệ thống mạng
Chuyên ngành: Kỹ thuật máy tính
Mã số SV: CA150100
Tác giả, Ngƣời hƣớng dẫn khoa học và Hội đồng chấm luận văn xác nhận tác
giả đã sửa chữa, bổ sung luận văn theo biên bản họp Hội đồng ngày 28/04/2017
với các nội dung sau:
-
Rút gọn phần lý thuyết chƣơng 1, sửa lại một số thuật ngữ chƣa chính xác trong
luận văn.
-
Đánh số lại các chƣơng mục, vẽ lại các hình vẽ theo chuẩn UML.
-
Chỉnh sửa lại tài liệu trong mục “TÀI LIỆU THAM KHẢO”.
Ngày
tháng 05 năm 2017
Giáo viên hƣớng dẫn
Tác giả luận văn
PGS.TS. Nguyễn Linh Giang
Lƣơng Tuấn Cƣờng
CHỦ TỊCH HỘI ĐỒNG
PGS.TS. Ngô Hồng Sơn
LỜI CAM ĐOAN
Sau nhiều tháng tìm hiểu, nghiên cứu, tôi đã hoàn thành đề tài “Nghiên cứu
xây dựng hệ thống phát hiện và ngăn chặn xâm nhập trái phép trong hệ thống
mạng”. Trong thời gian thực hiện đề tài tôi đã nhận đƣợc nhiều sự giúp đỡ từ bạn bè,
các anh chị và thầy cô.
Trƣớc tiên tôi xin gửi lời cảm ơn chân thành và sâu sắc đến thầy PGS.TS.
Nguyễn Linh Giang – Viện Công nghệ thông tin và Truyền thông, trƣờng Đại học
Bách khoa Hà nội đã luôn nhiệt tình nhắc nhở, đốc thúc tôi làm việc chăm chỉ, thầy chỉ
bảo và gửi tôi nhiều bài báo cáo để tôi có thể tham khảo và hoàn thành đề tài. Thầy đã
có những góp ý về cả nội dung và trình bày để tôi có thể hoàn thành bài báo cáo một
cách tốt nhất.
Tôi xin bày tỏ lòng biết ơn các thầy cô trong Viện Công nghệ thông tin –
Truyền thông nói riêng và Đại học Bách khoa Hà nội nói chung đã chỉ dạy, cung cấp
những kiến thức quý báu cho tôi trong suốt quá trình học tập và nghiên cứu tại trƣờng.
Cuối cùng tôi xin gửi lời cảm ơn tới gia đình, bạn bè, những ngƣời luôn cổ vũ,
quan tâm và giúp đỡ tôi trong suốt thời gian học tập và làm luận văn.
Tuy đã cố gắng tìm hiểu, phân tích nhƣng chắc rằng không tránh khỏi những
thiếu sót, rất mong nhận đƣợc sự thông cảm và góp ý của các thầy cô.
Tôi cam đoan đây là công trình nghiên cứu của riêng tôi.
Các số liệu, kết quả trong luận văn là trung thực và chƣa từng đƣợc ai công bố
trong bất kỳ công trình nào khác.
Tác giả
Lƣơng Tuấn Cƣờng
MỤC LỤC
I. Mở đầu ........................................................................................................... 1
1. Lý do chọn đề tài ...............................................................................................1
2. Mục tiêu nghiên cứu ..........................................................................................1
3. Phƣơng pháp nghiên cứu ...................................................................................2
4. Đối tƣợng nghiên cứu........................................................................................2
5. Dự kiến kết quả nghiên cứu ..............................................................................2
II.
Nội dung nghiên cứu .................................................................................. 3
CHƢƠNG 1: TỔNG QUAN VỀ AN NINH MẠNG ...........................................4
1.1.Giới thiệu về An ninh Mạng................................................................................... 4
1.2. Một số kỹ thuật tấn công hệ thống mạng máy tính.............................................. 6
1.3.Tóm tắt chƣơng ..................................................................................................... 19
CHƢƠNG 2: HỆ THỐNG IDS VÀ IPS ............................................................ 20
2.1. Hệ thống phát hiện xâm nhập mạng máy tính (IDS) ......................................... 20
2.2. Hệ thống ngăn chặn xâm nhập mạng máy tính (IPS) ........................................ 24
CHƢƠNG 3: HỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬP DỰA
TRÊN SNORT ................................................................................................... 37
3.1. Giới thiệu về Snort ............................................................................................... 37
3.2. Triển khai hệ thống Snort .................................................................................... 37
3.3. Đặc điểm của snort............................................................................................... 39
3.4. Các chế độ hoạt động của Snort .......................................................................... 45
3.5. Luật trong snort .................................................................................................... 48
Chƣơng 4: Thử nghiệm hệ thống phát hiện và ngăn chặn xâm nhập ................ 52
4.1. Sơ đồ hệ thống...................................................................................................... 52
4.2. Thử nghiệm hệ thống phát hiện xâm nhập ......................................................... 53
4.3. Đánh giá về hệ thống phát hiện xâm nhập sử dụng Snort (Snort IDS) ............ 74
4.4. Thử nghiệm hệ thống ngăn chặn xâm nhập với Snort Inline (Snort IPS) ........ 75
4.5. Đánh giá chung về hệ thống ngăn chặn và phát hiện xâm nhập với Snort ......... 82
KẾT LUẬN VÀ HƢỚNG NGHIÊN CỨU...................................................... 84
Kết luận .............................................................................................................. 84
Hƣớng nghiên cứu .............................................................................................. 84
TÀI LIỆU THAM KHẢO ................................................................................ 85
PHỤ LỤC HƢỚNG DẪN CÀI ĐẶT SNORT ................................................ 86
MỤC LỤC HÌNH ẢNH
Hình 1: Nguy cơ đối với hệ thống......................................................................... 5
Hình 2: Kiến trúc tấn công DDos trực tiếp ......................................................... 10
Hình 3: Kiến trúc tấn công DDos gián tiếp hay phản phiếu ............................... 10
Hình 4: Thành phần của một hệ thống IDS ........................................................ 21
Hình 5: Kiến trúc của Snort ................................................................................ 40
Hình 6: Minh họa hệ thống ngăn chặn xâm nhập sử dụng Snort inline (Snort
IPS) ...................................................................................................................... 47
Hình 7: Cấu trúc luật trong snort........................................................................ 49
Hình 8: Mô phỏng hệ thống thử nghiệm ............................................................. 52
Hình 9: Mô tả phát hiện của Snort ...................................................................... 53
Hình 10: Mô tả phát hiện truy cập vào website của snort ................................... 54
Hình 11: Quét cổng FIN Scan ............................................................................. 55
Hình 12: Wireshark bắt gói tin FIN Scan ........................................................... 55
Hình 13: Snort IDS phát hiện quét cổng FIN Scan ............................................. 56
Hình 14: Quét cổng NULL Scan ......................................................................... 56
Hình 15: Snort IDS phát hiện quét cổng NULL Scan ........................................ 57
Hình 16: Quét cổng XMAS Scan ........................................................................ 58
Hình 17: Snort IDS phát hiện quét cổng XMAS Scan........................................ 59
Hình 18: Mã lỗi SQL injection............................................................................ 60
Hình 19: Trang đăng nhập................................................................................... 60
Hình 20: Đăng nhập thành công.......................................................................... 61
Hình 21: Đăng nhập thất bại ............................................................................... 61
Hình 22: Mô phỏng tấn công SQL injection qua form đăng nhập ..................... 62
Hình 23: Snort IDS phát hiện tấn công SQL injection ....................................... 63
Hình 24: Bắt gói tin tấn công có từ khóa truy vấn trong SQL ............................ 64
Hình 25: Phát hiện tấn công chứa từ khóa truy vấn trong SQL .......................... 64
Hình 26: Mô hình bắt tay 3 bƣớc ........................................................................ 65
Hình 27: Mô hình tấn công bằng các gói SYN ................................................... 66
Hình 28: Wireshark bắt gói tin tấn công DOS TCP SYN Flood ........................ 68
Hình 29: Phát hiện tấn công TCP SYN Flood .................................................... 69
Hình 30: Tấn công UDP Flood ........................................................................... 70
Hình 31: Wireshark bắt gói tin tấn công DOS UDP Flood................................. 71
Hình 32: Phát hiện tấn công DOS UDP Flood.................................................... 72
Hình 33: Tấn công DOS ICMP Flood ................................................................ 72
Hình 34: Tấn công DOS ICMP Flood ................................................................ 73
Hình 35: Wireshark bắt gói tin tấn công DOS ICMP Flood ............................... 73
Hình 36: Phát hiện tấn công DOS ICMP Flood .................................................. 74
Hình 37: Cài đặt thành công hệ thống Snort inline ............................................. 77
Hình 38: Minh hoạ demo hệ thống ngăn chặn xâm nhập với Snort inline ......... 77
Hình 39: Mô tả hệ thống thử nghiệm ngăn chặn xâm nhập ................................ 78
Hình 40: Phát hiện tấn công SQL injection trên snort inline .............................. 80
Hình 41: Ngăn chặn tấn công DOS TCP SYN Flood ......................................... 81
Hình 42: Ngăn chặn tấn công DOS UDP Flood ................................................. 81
Hình 43: Ngăn chặn tấn công DOS ICMP Flood................................................ 82
Hình 44: Mô tả cài đặt thành công snort ............................................................. 87
Hình 45: Mô tả cấu hình snort thành công .......................................................... 89
I.
Mở đầu
1. Lý do chọn đề tài
Công nghệ thông tin ngày nay đƣợc áp dụng vào tất cả lĩnh vực của cuộc
sống. Có thể thấy máy tính và mạng Internet là thành phần không thể thiếu của
hầu hết các công ty, trở thành công cụ hỗ trợ đắc lực cho công việc hàng ngày.
Tuy nhiên sự phát triển này cũng kèm theo vấn đề an ninh máy tính đang ngày
càng trở nên nóng bỏng, tội phạm máy tính là một trong những hành vi phạm tội
có tốc độ phát triển nhanh nhất trên toàn hành tinh. Vì vậy việc xây dựng một
nền an ninh máy tính, thiết kế và quản trị mạng đảm bảo và có khả năng kiểm
soát rủi ro liên quan đến việc sử dụng máy tính không thể thiếu ở nhiều lĩnh vực.
Khi một hệ thống thông tin bị hacker kiểm soát thì hậu quả không thể
lƣờng trƣớc đƣợc. Đặc biệt nếu hệ thống đó là một trong những hệ thống xung
yếu của đất nƣớc nhƣ hệ thống chính phủ, hệ thống ngân hàng, hệ thống viễn
thông, hệ thống thƣơng mại điện tử thì những thiệt hại về kinh tế, an ninh quốc
gia là rất lớn. Việc làm thế nào để có thể phát hiện ra máy tính hoặc mạng máy
tính của mình đang bị xâm nhập trái phép, cũng nhƣ cách phòng và chống xâm
nhập trái phép hiệu quả, luôn là mong muốn của tất cả những ai làm trong lĩnh
vực an ninh mạng.
Xuất phát từ nhu cầu thực tiễn trên, tôi đã chọn đề tài: “Nghiên cứu xây
dựng hệ thống phát hiện và ngăn chặn xâm nhập trái phép trong hệ thống
mạng” với mong muốn tìm hiểu một cách hệ thống về các kỹ thuật tấn công
xâm nhập mạng máy tính, cũng nhƣ các cách thức cần thiết để đối phó với vấn
đề này.
2. Mục tiêu nghiên cứu
- Tìm hiểu khái quát về hệ thống phát hiện và ngăn chặn xâm nhập, khái
niệm, kiến trúc, cơ chế và nguyên lý hoạt động.
- Tìm hiểu các kỹ thuật xâm nhập bất hợp pháp mà hacker thƣờng sử dụng
để tấn công vào hệ thống mạng.
Lương Tuấn Cường – TTMMT – 2015A
1
- Xây dựng hệ thống IDS, IPS sử dụng hệ thống mã nguồn mở Snort để
phát hiện và ngăn chặn xâm nhập trái phép trong hệ thống mạng.
- Xây dựng một số tập luật cơ bản cho hệ thống Snort, nhằm phát hiện các
kiểu tấn công xâm nhập bất hợp pháp.
- Thử nghiệm và xây dựng một số tập lệnh có khả năng ngăn chặn
xâm nhập dựa trên tính năng mở rộng của Snort (Snort inline).
3. Phƣơng pháp nghiên cứu
- Sử dụng HĐH mã nguồn mở Linux để xây dựng hệ thống phát hiện và
ngăn chặn xâm nhập.
- Xây dựng hệ thống phát hiện và ngăn chặn xâm nhập bằng phần mềm
mã nguồn mở Snort.
- Nghiên cứu cấu trúc tập lệnh Rules của Snort, từ đó tự xây dựng những
tập lệnh theo nhu cầu thực tế, nhằm đảm bảo cho hệ thống có thể phát hiện và
ngăn chặn những tấn công vào hệ thống mạng.
- Thực nghiệm đƣa ra độ chính xác của các tập lệnh đã xây dựng.
4. Đối tƣợng nghiên cứu
- Các hình thức tấn công phổ biến của Hacker vào hệ thống mạng.
- Phần mềm mã nguồn mở Snort
- Cấu trúc của tập lệnh Rules
5. Dự kiến kết quả nghiên cứu
- Hoàn thiện việc tìm hiểu các kỹ thuật xâm nhập bất hợp pháp vào hệ
thống mạng.
- Xây dựng thành công hệ thống phát hiện và ngăn chặn xâm nhập
- Xây dựng một số tập lệnh Rules có khả năng phát hiện các kiểu tấn công
phổ biến nhƣ Scan hệ thống, SQL Injection, tấn công từ chối dịch vụ.
Cấu trúc của luận văn, ngoài phần mở đầu và phần kết luận có các chƣơng
chính sau đây:
Lương Tuấn Cường – TTMMT – 2015A
2
Chƣơng 1: Tổng quan về an ninh mạng
Nội dung chƣơng này nêu tổng quan về an ninh mạng, các yếu tố đảm bảo
an toàn thông tin các kỹ thuật tấn công và xâm nhập trái phép mạng máy tính
cùng với hậu quả của nó.
Chƣơng 2: Hệ thống IDS và IPS
Nội dung chƣơng trình bày khái niệm, kiến trúc, nguyên lý và cơ chế hoạt
động hệ thống phát hiện và ngăn chặn xâm nhập trái phép mạng máy tính.
Chƣơng 3: Hệ thống phát hiện và ngăn chặn xâm nhập dựa trên
snort
Nội dung chƣơng gồm: Giới thiệu về snort, triển khai hệ thống snort, các
đặc điểm, chế độ hoạt động, luật trông snort.
Chƣơng 4: Thử nghiệm hệ thống phát hiện và ngăn chặn xâm nhập
Nội dung chƣơng gồm: xây dựng kịch bản, cài đặt mô phỏng hệ thống và
thực hiện các bài thử nghiệm, đánh giá và đƣa ra kết luận.
II.
Nội dung nghiên cứu
Lương Tuấn Cường – TTMMT – 2015A
3
CHƢƠNG 1: TỔNG QUAN VỀ AN NINH MẠNG
1.1.
Giới thiệu về An ninh Mạng
1.1.1. An ninh mạng là gì.
Máy tính có phần cứng chứa dữ liệu do hệ điều hành quản lý, đa số các
máy tính nhất là các máy tính trong công ty, doanh nghiệp đƣợc nối mạng Lan
và Internet. Nếu nhƣ máy tính, hệ thống mạng không đƣợc trang bị hệ thống bảo
vệ vậy chẳng khác nào đi khỏi căn phòng của mình mà quên khóa cửa, hệ thống
mạng sẽ là mục tiêu của virus, worms, unauthorized user … chúng có thể tấn
công vào máy tính hoặc cả hệ thống bất cứ lúc nào.
Vậy an toàn mạng có nghĩa là bảo vệ hệ thống mạng, máy tính khỏi sự
phá hoại phần cứng hay chỉnh sửa dữ liệu (phần mềm) mà không đƣợc sự cho
phép từ những ngƣời cố ý hay vô tình. An toàn mạng cung cấp giải pháp, chính
sách, bảo vệ máy tính, hệ thống mạng để làm cho những ngƣời dùng trái phép,
cũng nhƣ các phần mềm chứa mã độc không xâm nhập bất hợp pháp vào hệ
thống mạng.
1.1.2. Các yếu tố cần đƣợc bảo vệ trong hệ thống mạng
Yếu tố đầu tiên phải nói đến là dữ liệu, những thông tin lƣu trữ trên hệ
thống máy tính cần đƣợc bảo vệ do các yêu cầu về tính bảo mật, tính toàn vẹn
hay tính kịp thời. Thông thƣờng yêu cầu về bảo mật đƣợc coi là yêu cầu quan
trọng đối với thông tin lƣu trữ trên mạng. Tuy nhiên, ngay cả khi những thông
tin không đƣợc giữ bí mật, thì yêu cầu về tính toàn vẹn cũng rất quan trọng.
Không một cá nhân, một tổ chức nào lãng phí tài nguyên vật chất và thời gian để
lƣu trữ những thông tin mà không biết về tính đúng đắn của những thông tin đó.
Yếu tố thứ hai là về tài nguyên hệ thống, sau khi các Attacker đã làm chủ
đƣợc hệ thống chúng sẽ sử dụng các máy này để chạy các chƣơng trình nhƣ dò
tím mật khẩu để tấn công vào hệ thống mạng.
1.1.3. Các yếu tố đảm bảo an toàn thông tin
An toàn thông tin nghĩa là thông tin đƣợc bảo vệ, các hệ thống và những
dịch vụ có khả năng chống lại những tai hoạ, lỗi và sự tác động không mong
Lương Tuấn Cường – TTMMT – 2015A
4
đợi. Mục tiêu của an toàn bảo mật trong công nghệ thông tin là đƣa ra một số
tiêu chuẩn an toàn và ứng dụng các tiêu chuẩn an toàn này để loại trừ hoặc giảm
bớt các nguy hiểm.
Hiện nay các biện pháp tấn công càng ngày càng tinh vi, sự đe doạ tới độ
an toàn thông tin có thể đến từ nhiều nơi khác nhau theo nhiều cách khác nhau,
vì vậy các yêu cầu cần để đảm bảo an toàn thông tin nhƣ sau:
- Tính bí mật: Thông tin phải đảm bảo tính bí mật và đƣợc sử dụng
đúng đối tƣợng.
- Tính toàn vẹn: Thông tin phải đảm bảo đầy đủ, nguyên vẹn về cấu
trúc, không mâu thuẫn.
- Tính sẵn sàng: Thông tin phải luôn sẵn sàng để tiếp cận, để phục vụ
theo đúng mục đích và đúng cách.
- Tính chính xác: Thông tin phải chính xác, tin cậy.
- Tính không khƣớc từ (chống chối bỏ): Thông tin có thể kiểm chứng
đƣợc nguồn gốc hoặc ngƣời đƣa tin.
Nguy cơ hệ thống (Risk) đƣợc hình thành bởi sự kết hợp giữa lỗ hổng hệ
thống và các mối đe doạ đến hệ thống, nguy cơ hệ thống có thể định nghĩa trong
ba cấp độ thấp, trung bình và cao. Để xác định nguy cơ đối với hệ thống trƣớc
tiên cần phải đánh giá nguy cơ hệ thống theo sơ đồ sau.
Hình 1: Nguy cơ đối với hệ thống
Lương Tuấn Cường – TTMMT – 2015A
5
1.1.4. Quá trình đánh giá nguy cơ của hệ thống
Xác định các lỗ hổng hệ thống
Việc xác định các lỗ hổng hệ thống đƣợc bắt đầu từ các điểm truy cập vào
hệ thống nhƣ:
- Kết nối mạng Internet
- Các điểm kết nối từ xa
- Kết nối các tổ chức khác
- Các môi trƣờng truy cập vật lý hệ thống
- Các điểm truy cập ngƣời dùng
- Các điểm truy cập không dây
Ở mỗi điểm truy cập phải xác định đƣợc các thông tin có thể truy cập và
mức độ truy cập vào hệ thống.
Xác định các mối đe đoạ
Đây là một công việc khó khăn vì các mối đe dọa thƣờng không
xuất hiện rõ ràng (ẩn), thời điểm và quy mô tấn công không biết trƣớc. Các hình
thức và kỹ thuật tấn công đa dạng nhƣ:
- DoS/DDoS, BackDoor, Tràn bộ đệm,…
- Virus, Trojan Horse, Worm
- Social Engineering
Các biện pháp an toàn hệ thống
Các biện pháp an toàn hệ thống gồm các biện pháp: Nhƣ firewall, phần
mềm diệt virut, điều khiển truy cập, hệ thống chứng thực (mật khẩu, sinh trắc
học, thẻ nhận dạng), mã hoá dữ liệu, hệ thống chống xâm nhập IDS, hệ thống
ngăn chặn xâm nhập IPS, các kỹ thuật khác, ý thức ngƣời dùng, hệ thống chính
sách bảo mật và tự động vá lỗ hệ thống
1.2.
Một số kỹ thuật tấn công hệ thống mạng máy tính
1.2.1. Tấn công bị động (Passive attack)
Trong một cuộc tấn công bị động, các hacker sẽ kiểm soát luồng dữ liệu
không đƣợc mã hóa và tìm kiếm mật khẩu không đƣợc mã hóa (Clear Text
Lương Tuấn Cường – TTMMT – 2015A
6
password), các thông tin nhạy cảm có thẻ đƣợc sử dụng trong các kiểu tấn công
khác. Các cuộc tấn công bị động bao gồm phân tích traffic, giám sát các cuộc
giao tiếp không đƣợc bảo vệ, giải mã các traffic mã hóa yếu, và thu thập các
thông tin xác thực nhƣ mật khẩu.
Các cuộc tấn công chặn bắt thông tin hệ thống mạng cho phép kẻ tấn công
có thể xem xét các hành động tiếp theo. Kết quả của các cuộc tấn công bị động
là các thông tin hoặc file dữ liệu sẽ bị rơi vào tay kẻ tấn công mà ngƣời dùng
không hề hay biết.
1.2.2. Tấn công rải rác (Distributed attack)
Đối với các cuộc tấn công rải rác yêu cầu kẻ tấn công phải giới thiệu mã,
chẳng hạn nhƣ một chƣơng trình Trojan horse hoặc một chƣơng trình back-door,
với một thành phần "tin cậy" hoặc một phần mềm đƣợc phân phối cho nhiều
công ty khác và tấn công user bằng cách tập trung vào việc sửa đổi các phần
mềm độc hại của phần cứng hoặc phần mềm trong quá trình phân phối,... Các
cuộc tấn công giới thiệu mã độc hại chẳng hạn nhƣ back door trên một sản phẩm
nhằm mục đích truy cập trái phép các thông tin hoặc truy cập trái phép các chức
năng trên hệ thống.
1.2.3. Tấn công nội bộ (Insider attack)
Các cuộc tấn công nội bộ (insider attack) liên quan đến ngƣời ở trong
cuộc, chẳng hạn nhƣ một nhân viên nào đó "bất mãn" với công ty của
mình,…các cuộc tấn công hệ thống mạng nội bộ có thể gây hại hoặc vô hại.
Ngƣời trong cuộc cố ý nghe trộm, ăn cắp hoặc phá hoại thông tin, sử dụng
các thông tin một cách gian lận hoặc truy cập trái phép các thông tin.
1.2.4. Tấn công Phising
Trong các cuộc tấn công phising, các hacker sẽ tạo ra một trang web giả
trông “giống hệt” nhƣ các trang web phổ biến. Trong các phần tấn công phising,
các hacker sẽ gửi một email để ngƣời dùng click vào đó và điều hƣớng đến trang
web giả mạo. Khi ngƣời dùng đăng nhập thông tin tài khoản của họ, các hacker
sẽ lƣu lại tên ngƣời dùng và mật khẩu đó lại.
Lương Tuấn Cường – TTMMT – 2015A
7
1.2.5. Tấn công mật khẩu (Password attack)
Đối với các cuộc tấn công mật khẩu, các hacker sẽ cố gắng "phá" mật
khẩu đƣợc lƣu trữ trên cơ sở dữ liệu tài khoản hệ thống mạng hoặc mật khẩu bảo
vệ các tập tin.
Các cuộc tấn công mật khẩu bao gồm 3 loại chính: các cuộc tấn công
dạng từ điển (dictionary attack), brute-force attack và hybrid attack.
Cuộc tấn công dạng từ điển sử dụng danh sách các tập tin chứa các mật
khẩu tiềm năng.
1.2.6. Khai thác lỗ hổng tấn công (Exploit attack)
Đối với các cuộc tấn công bằng việc khai thác các lỗ hổng, yêu cầu các
hacker phải hiểu biết về các vấn đề bảo mật trên hệ điều hành hoặc các phần
mềm và tận dụng kiến thức này để khai thác các lỗ hổng.
1.2.7. Buffer overflow (lỗi tràn bộ đệm)
Một cuộc tấn công buffer attack xảy ra khi các hacker gửi dữ liệu tới một
ứng dụng nhiều hơn so với dự kiến. Và kết quả của cuộc tấn công buffer attack
là các hacker tấn công truy cập quản trị hệ thống trên Command Prompt hoặc
Shell.
1.2.8. Tấn công từ chối dịch vụ (denial of service attack)
Một cuộc tấn công từ chối dịch vụ (tấn công DoS - Viết tắt của Denial
of Service) hay tấn công từ chối dịch vụ phân tán (tấn công DDoS - Viết tắt
của Distributed Denial of Service) là một nỗ lực làm cho những ngƣời dùng
không thể sử dụng tài nguyên của một máy tính. Mặc dù phƣơng tiện để tiến
hành, động cơ, mục tiêu của tấn công từ chối dịch vụ có thể khác nhau, nhƣng
nói chung nó gồm có sự phối hợp, sự cố gắng ác ý của một ngƣời hay nhiều
ngƣời để một trang, hay hệ thống mạng không thể sử dụng, làm gián đoạn, hoặc
làm cho hệ thống đó chậm đi một cách đáng kể với ngƣời dùng bình thƣờng,
bằng cách làm quá tải tài nguyên của hệ thống. Thủ phạm tấn công từ chối dịch
vụ thƣờng nhắm vào các trang mạng hay server tiêu biểu nhƣ ngân hàng, cổng
thanh toán thẻ tín dụng và thậm chí DNS root servers.
Lương Tuấn Cường – TTMMT – 2015A
8
Đây là một phƣơng thức tấn công phổ biến kéo theo sự bão hoà máy mục
tiêu với các yêu cầu liên lạc bên ngoài, đến mức nó không thể đáp ứng giao
thông hợp pháp, hoặc đáp ứng quá chậm. Trong điều kiện chung, các cuộc tấn
công DoS đƣợc bổ sung bởi ép máy mục tiêu khởi động lại hoặc tiêu thụ hết tài
nguyên của nó đến mức nó không cung cấp dịch vụ, hoặc làm tắc nghẽn liên lạc
giữa ngƣời sử dụng và nạn nhân.
Trung tâm ứng cứu máy tính khẩn cấp Hoa Kỳ xác định dấu hiệu của một
vụ tấn cống từ chối dịch vụ gồm có:
Mạng thực thi chậm khác thƣờng khi mở tập tin hay truy cập Website;
Không thể dùng một website cụ thể;
Không thể truy cập bất kỳ website nào;
Tăng lƣợng thƣ rác nhận đƣợc.
Không phải tất các dịch vụ đều ngừng chạy, thậm chí đó là kết quả của
một hoạt động nguy hại, tất yếu của tấn công DoS. Tấn công từ chối dịch cũng
có thể dẫn tới vấn đề về nhánh mạng của máy đang bị tấn công. Ví dụ băng
thông của router giữa Internet và LAN có thể bị tiêu thụ bởi tấn công, làm tổn
hại không chỉ máy tính ý định tấn công mà còn là toàn thể mạng.
1.2.8.1. Kiến trúc tấn công DDoS
Mặc dù có nhiều dạng tấn công DDoS đƣợc ghi nhận, nhƣng tựu trung có
thể chia kiến trúc tấn công DDoS thành 2 loại chính: (i) kiến trúc tấn công
DDoS trực tiếp và (i) kiến trúc tấn công DDoS gián tiếp hay phản chiếu. Hình 1
minh họa kiến trúc tấn công DDoS trực tiếp, theo đó tin tặc (Attacker) trƣớc hết
thực hiện chiếm quyền điều khiển hàng ngàn máy tính có kết nối Internet, biến
các máy tính này thành các Zombie – những máy tính bị kiểm soát và điều khiển
từ xa bởi tin tặc. Tin tặc thƣờng điều khiển các Zombie thông qua các máy trung
gian (Handler). Hệ thống các Zombie chịu sự điều khiển của tin tặc còn đƣợc
gọi là mạng máy tính ma hay botnet. Theo lệnh gửi từ tin tặc, các Zombie đồng
loạt tạo và gửi các yêu cầu truy nhập giả mạo đến hệ thống nạn nhân (Victim),
Lương Tuấn Cường – TTMMT – 2015A
9
gây ngập lụt đƣờng truyền mạng hoặc làm cạn kiệt tài nguyên của máy chủ, dẫn
đến ngắt quãng hoặc ngừng dịch vụ cung cấp cho ngƣời dùng.
src: http://i.imgur.com/wR2zovP.jpg truy cập 09/03/2017
Hình 2: Kiến trúc tấn công DDos trực tiếp
src: http://i.imgur.com/NfNbBmM.png truy cập 09/03/2017
Hình 3: Kiến trúc tấn công DDos gián tiếp hay phản phiếu
Kiến trúc tấn công DDoS gián tiếp hay còn gọi là kiến trúc tấn công
DDoS phản chiếu. Tƣơng tự nhƣ kiến trúc tấn công DDoS trực tiếp, tin tặc
(Attacker) trƣớc hết thực hiện chiếm quyền điều khiển một lƣợng rất lớn máy
tính có kết nối Internet, biến các máy tính này thành các Zombie, hay còn gọi la
Slave. Tin tặc điều khiển các Slave thông qua các máy trung gian (Master). Theo
Lương Tuấn Cường – TTMMT – 2015A
10
lệnh gửi từ tin tặc, các Slave đồng loạt tạo và gửi các yêu cầu truy nhập giả mạo
với địa chỉ nguồn của các gói tin là địa chỉ của máy nạn nhân (Victim) đến đến
một số lớn các máy khác (Reflectors) trên mạng Internet. Các Reflectors gửi
phản hồi (Reply) đến máy nạn nhân do địa chỉ của máy nạn nhân đƣợc đặt vào
yêu cầu giả mạo. Khi các Reflectors có số lƣợng lớn, số phản hồi sẽ rất lớn và
gây ngập lụt đƣờng truyền mạng hoặc làm cạn kiệt tài nguyên của máy nạn
nhân, dẫn đến ngắt quãng hoặc ngừng dịch vụ cung cấp cho ngƣời dùng. Các
Reflectors bị lợi dụng để tham gia tấn công thƣờng là các hệ thống máy chủ có
công suất lớn trên mạng Internet và không chịu sự điều khiển của tin tặc.
1.2.8.2. Phân loại tấn công DDoS
Các cuộc tấn công DDoS thƣờng đƣợc tin tặc thực hiện bằng cách huy
động một số lƣợng rất lớn các máy tính có kết nối Internet bị chiếm quyền điều
khiển – tập hợp các máy này đƣợc gọi là mạng máy tính ma hay mạng bot, hoặc
botnet. Các máy của botnet có khả năng gửi hàng ngàn yêu cầu giả mạo mỗi
giây đến hệ thống nạn nhân, gây ảnh hƣởng nghiêm trọng đến chất lƣợng dịch
vụ cung cấp cho ngƣời dùng. Do các yêu cầu của tấn công DDoS đƣợc gửi rải
rác từ nhiều máy ở nhiều vị trí địa lý nên rất khó phân biệt với các yêu cầu của
ngƣời dùng hợp pháp. Một trong các khâu cần thiết trong việc đề ra các biện
pháp phòng chống tấn công DDoS hiệu quả là phân loại các dạng tấn công
DDoS và từ đó có biện pháp phòng chống thích hợp. Một cách khái quát, tấn
công DDoS có thể đƣợc phân loại dựa trên 6 tiêu chí chính: (1) Dựa trên phƣơng
pháp tấn công, (2) Dựa trên mức độ tự động, (3) Dựa trên giao thức mạng, (4)
Dựa trên phƣơng thức giao tiếp, (5) Dựa trên cƣờng độ tấn công và (6) Dựa trên
việc khai thác các lỗ hổng an ninh. Phần tiếp theo của mục này trình bày chi tiết
từng loại.
Dựa trên phương pháp tấn công
Phân loại DDoS dựa trên phƣơng pháp tấn công là một trong phƣơng
pháp phân loại cơ bản nhất. Theo tiêu chí này, DDoS có thể đƣợc chia thành 2
dạng:
Lương Tuấn Cường – TTMMT – 2015A
11
- Tấn công gây ngập lụt (Flooding Attacks): Trong tấn công gây ngập
lụt, tin tặc tạo một lƣợng lớn các gói tin tấn công giống nhƣ các gói tin hợp lệ và
gửi đến hệ thống nạn nhân làm cho hệ thống không thể phục vụ ngƣời dùng hợp
pháp. Đối tƣợng của tấn công dạng này là băng thông mạng, không gian đĩa,
thời gian của CPU…
- Tấn công logic (Logical Attacks): Tấn công logic thƣờng khai thác các
tính năng hoặc các lỗi cài đặt của các giao thức hoặc dịch vụ chạy trên hệ thống
nạn nhân, nhằm làm cạn kiệt tài nguyên hệ thống. Ví dụ tấn công TCP SYN khai
thác quá trình bắt tay 3 bƣớc trong khởi tạo kết nối TCP, trong đó mỗi yêu cầu
kết nối đƣợc cấp một phần không gian trong bảng lƣu yêu cầu kết nối trong khi
chờ xác nhận kết nối. Tin tặc có thể gửi một lƣợng lớn yêu cầu kết nối giả mạo –
các kết nối không thể thực hiện, chiếm đầy không gian bảng kết nối và hệ thống
nạn nhân không thể tiếp nhận yêu cầu kết nối của ngƣời dùng hợp pháp.
Dựa trên mức độ tự động
Theo mức độ tự động, có thể chia tấn công DDoS thành 3 dạng:
- Tấn công thủ công: Tin tặc trực tiếp quét các hệ thống tìm lỗ hổng, đột
nhập vào hệ thống, cài đặt mã tấn công và ra lệnh kích hoạt tấn công. Chỉ những
tấn công DDoS trong giai đoạn đầu mới đƣợc thực hiện thủ công.
- Tấn công bán tự động: Trong dạng này, mạng lƣới thực hiện tấn công
DDoS bao gồm các máy điều khiển (Master/Handler) và các máy Agent (Slave,
Deamon, Zombie, Bot). Các giai đoạn tuyển chọn máy agent, khai thác lỗ hổng
và lây nhiễm đƣợc thực hiện tự động. Trong đoạn tấn công, tin tặc gửi các thông
tin bao gồm kiểu tấn công, thời điểm bắt đầu, khoảng thời gian duy trì tấn công
và đích tấn công đến các agent thông qua các handler. Các agent sẽ theo lệnh gửi
các gói tin tấn công đến hệ thống nạn nhân.
- Tấn công tự động: Tất cả các giai đoạn trong quá trình tấn công DDoS,
từ tuyển chọn máy Agent, khai thác lỗ hổng, lây nhiễm đến thực hiện tấn công
đều đƣợc thực hiện tự động. Tất cả các tham số tấn công đều đƣợc lập trình sẵn
và đƣa vào mã tấn công. Tấn công dạng này giảm đến tối thiểu giao tiếp giữa tin
Lương Tuấn Cường – TTMMT – 2015A
12
tặc và mạng lƣới tấn công, và tin tặc chỉ cần kích hoạt giai đoạn tuyển chọn các
máy Agent.
Dựa trên giao thức mạng: Dựa trên giao thức mạng, tấn công DDoS có
thể chia thành 2 dạng:
- Tấn công vào tầng mạng hoặc giao vận: Ở dạng này, các gói tin TCP,
UDP và ICMP đƣợc sử dụng để thực hiện tấn công.
- Tấn công vào tầng ứng dụng: Ở dạng này, các tấn công thƣờng hƣớng
đến các dịch vụ thông dụng ứng với các giao thức tầng ứng dụng nhƣ HTTP,
DNS và SMTP. Tấn công DDoS tầng ứng dụng cũng có thể gây ngập lụt đƣờng
truyền và tiêu hao tài nguyên máy chủ, làm ngắt quãng khả năng cung cấp dịch
vụ cho ngƣời dùng hợp pháp. Dạng tấn công này rất khó phát hiện do các yêu
cầu tấn công tƣơng tự yêu cầu từ ngƣời dùng hợp pháp.
Dựa trên phương thức giao tiếp
Thông thƣờng, để thực hiện tấn công DDoS, tin tặc phải tuyển chọn và
chiếm quyền điều khiển một số lƣợng lớn các máy tính có kết nối Internet, và
các máy tính này sau khi bị cài phần mềm agent trở thành các bots - công cụ
giúp tin tặc thực hiện tấn công DDoS. Tin tặc thông qua các máy điều khiển
(master) giao tiếp với các bots để gửi thông tin và các lệnh điều khiển tấn công.
Theo phƣơng thức giao tiếp giữa các master và bots, có thể chia tấn công DDoS
thành 4 dạng:
- DDoS dựa trên agent-handler: Tấn công DDoS dựa trên dạng này bao
gồm các thành phần: Clients, Handlers và Agents (Bots/Zombies). Tin tặc chỉ
giao tiếp trực tiếp với clients. Clients sẽ giao tiếp với Agents thông qua
Handlers. Nhận đƣợc lệnh và các thông tin thực hiện tấn công, agents trực tiếp
thực hiện việc tấn công.
- DDoS dựa trên IRC: Internet Relay Chat (IRC) là một hệ thống
truyền thông điệp trực tuyến cho phép nhiều ngƣời dùng tạo kết nối và trao đổi
các thông điệp theo thời gian thực. Trong dạng tấn công DDoS này tin tặc sử
dụng IRC làm kênh giao tiếp với các Agents, không sử dụng Handlers.
Lương Tuấn Cường – TTMMT – 2015A
13
- Xem thêm -