Tài liệu Tìm hiểu và phân tích cơ chế chống ddos của nhà mạng act

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG CƠ SỞ TẠI THÀNH PHỐ HỒ CHÍ MINH KHOA VIỄN THÔNG II _____________ BÁO CÁO THỰC TẬP TỐT NGHIỆP CHUYÊN NGÀNH: KỸ THUẬT ĐIỆN TỬ TRUYỀN THÔNG HỆ: ĐẠI HỌC CHÍNH QUY NIÊN KHÓA: 2017-2022 Đề tài: TÌM HIỂU VÀ PHÂN TÍCH CƠ CHẾ CHỐNG DDOS CỦA NHÀ MẠNG ACT Sinh viên thực hiện Mã số sinh viên Lớp Giáo viên hướng dẫn : ĐỖ THÀNH ĐẠT : N17DCVT008 : D17CQVT01-N : ThS. LÊ DUY KHÁNH THÁNG 7/2021 HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG CƠ SỞ TẠI THÀNH PHỐ HỒ CHÍ MINH KHOA VIỄN THÔNG II _____________ BÁO CÁO THỰC TẬP TỐT NGHIỆP CHUYÊN NGÀNH: KỸ THUẬT ĐIỆN TỬ TRUYỀN THÔNG HỆ: ĐẠI HỌC CHÍNH QUY NIÊN KHÓA: 2017-2021 Đề tài: TÌM HIỂU VÀ PHÂN TÍCH CƠ CHẾ CHỐNG DDOS CỦA NHÀ MẠNG ACT Sinh viên thực hiện Mã số sinh viên Lớp Giáo viên hướng dẫn : ĐỖ THÀNH ĐẠT : N17DCVT008 : D17CQVT01-N : ThS. LÊ DUY KHÁNH THÁNG 7/2021 LỜI CẢM ƠN Đầu tiên, em xin chân thành cảm ơn các quý thầy cô Trường Học Viện Công Nghệ Bưu Chính Viễn Thông cơ sở tại TP.Hồ Chí Minh, đặc biệt là các thầy cô giáo khoa viễn thông của học viện đã đem lại cho em nguồn kiến thức vô cùng quý giá trong quá trình học tập. Em cảm ơn thầy giáo Th.S Lê Duy Khánh đã tận tình hướng dẫn giúp đỡ em mỗi khi gặp khó khăn trong suốt quá trình học tập, tạo điều kiện thuận lợi để em có thể thực tập và hoàn thành bài báo cáo một cách hiệu quả nhất. Em cũng xin gửi lời cảm ơn đến ban giám đốc Công Ty Cổ Phần Viễn Thông ACT, đã tạo điều kiện cho em có thể thực tập giai đoạn dịch bệnh khó khăn. Đặc biệt là anh Nguyễn Tuấn Hải cùng các anh nhân viên kỹ thuật tại phòng kỹ thuật đã hướng dẫn, dạy bảo tận tình, giúp em biết thêm nhiều kiến thức trong thời gian thực tập tại công ty để em có thể hoàn thành bài báo cáo. Do thời gian thực tập nằm trong giai đoạn đại dịch COVID 19 bùng phát mạnh mẽ, thời gian có hạn và kiến thức của em còn hạn chế nên không tránh khỏi những thiếu sót, em rất mong nhận được những ý kiến đóng góp quý báu của quý thầy cô và quý công ty để kiến thức của em được hoàn thiện hơn. Em xin chân thành cảm ơn! TPHCM, Ngày 22 Tháng 08 Năm 2021 Sinh Viên thực hiện Đỗ Thành Đạt BM4-TTTN HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG CƠ SỞ TẠI TP. HỒ CHÍ MINH Khoa Viễn Thông 2 CỘNG HOÀ XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập – Tự do – Hạnh phúc TP. Hồ Chí Minh, ngày 23 tháng 07 năm 2021 PHIẾU GIAO ĐỀ CƯƠNG THỰC TẬP TỐT NGHIỆP Căn cứ Quyết định số:346 /QĐ-GV ngày 23 tháng 07 năm 2021 của Phó Giám đốc Học viện - Phụ trách Cơ sở tại TP. Hồ Chí Minh về việc giao nhiệm vụ thực tập tốt nghiệp cho sinh viên hệ Đại học chính quy khoá 2017-2022 ngành Kỹ thuật Điện tử truyền thông và các khóa trước trả nợ thực tập tốt nghiệp, Khoa Viễn Thông 2 giao nhiệm vụ thực hiện đề cương thực tập tốt nghiệp cho sinh viên: 1. Họ và tên sinh viên: Đỗ Thành Đạt. Mã SV: N17DCVT008 Lớp: D17CQVT01-N Ngành: KT-Điện tử truyền thông Hình thức đào tạo: Chính quy 2. Nội dung thực tập chính: Tìm hiểu và phân tích cơ chế chống DDoS (Distributed Denial of Service) của Công ty cổ phần viễn thông ACT 3. Nơi đăng ký thực tập: Đơn vị chủ quản: Công ty Cổ phần Viễn thông ACT Đơn vị cơ sở tiếp nhận thực tập: Phòng kỹ thuật Công ty Cổ phần Viễn thông ACT Địa chỉ: 96 Đường 30, P.Bình Trị Đông B, Bình Tân, Tp.Hồ Chí Minh Số ĐT: Số Fax: 4. Đề cương thực tập: - Tìm hiểu cơ chế hoạt động của DDoS Thực hành trên lab kỹ thuật tấn công bằng DDoS Thực hành trên lab kỹ thuật phòng chống tấn công bằng DDoS Giải pháp phòng, chống tấn công bằng DDoS tại Công ty cổ phần Viễn Thông ACT 5. Giáo viên hướng dẫn: ThS. Lê Duy Khánh ký tên: …… 6. Yêu cầu kết quả thực hiện: Kết thúc kỳ thực tập tốt nghiệp, sinh viên phải lập báo cáo kết quả thực tập, có ý kiến đánh giá của cơ sở thực tập, hình thức theo quy định của Học viện. 7. Thời gian thực hiện: Từ ngày 26 tháng 7 năm 2021 đến ngày 22 tháng 8 năm 2021. Ghi chú: Hình thức thực hiện ONLINE trong giai đoạn giãn cách, phòng dịch theo quy định của nhà nước. TRƯỞNG KHOA Nơi nhận: - Sinh viên có tên tại khoản 1 - Lưu VP khoa. MỤC LỤC LỜI MỞ ĐẦU ................................................................................................................ 1 CHƯƠNG 1: TỔNG QUAN VỀ ĐƠN VỊ THỰC TẬP ............................................. 2 1.1. Khái quát về công ty cổ phần viễn thông ACT .................................................2 1.1.1 Tổng quan: .........................................................................................................2 1.1.2 Giá trị cốt lõi: .....................................................................................................2 1.1.3 Tầm nhìn và sứ mệnh: ........................................................................................2 1.1.4 Cơ cấu tổ chức ...................................................................................................3 1.2. Vị trí thực tập: ........................................................................................................3 CHƯƠNG 2: TÌM HIỂU CƠ CHẾ HOẠT ĐỘNG CỦA DDOS .............................. 4 2.1. Khái niệm DDoS: ....................................................................................................4 2.2. Phân loại các kiểu tấn công DDoS ........................................................................4 2.2.1 Tấn công gây cạn kiệt băng thông ....................................................................5 2.2.2. Tấn công gây cạn kiệt tài nguyên hệ thống.......................................................5 2.3. Mô hình mạng Botnet .............................................................................................5 2.3.1 Khái niệm mạng Botnet ......................................................................................5 2.4.1. Mô hình Handler-Agent .....................................................................................6 2.3.2. Mô hình IRC Base ..............................................................................................7 2.4. Một số kiểu tấn công DDoS...................................................................................8 2.5 Các Phương pháp xây dựng tài nguyên tấn công ...............................................10 2.5.1 Cách thức cài đặt DDoS Agent .........................................................................11 2.5.2 Giao tiếp trên mạng Botnet ...............................................................................12 2.6 Phòng chống DDoS ................................................................................................12 2.6.1 Tối thiểu hóa lượng Agent ................................................................................13 2.6.2 Kỹ thuật tìm và vô hiệu hóa các Handler ..........................................................13 2.6.3 Làm suy giảm hay dừng cuộc tấn công.............................................................14 2.6.4 Chuyển hướng cuộc tấn công ............................................................................14 2.6.5 Giai đoạn sau tấn công ......................................................................................14 CHƯƠNG 3: GIẢI PHÁP PHÒNG CHỐNG TẤN CÔNG DDOS TẠI CÔNG TY CỔ PHẦN VIỄN THÔNG ACT ................................................................................ 16 i 3.1 Anti ddos volume based solution ..........................................................................16 3.1.1 Tìm hiểu sơ lược ...............................................................................................16 3.1.2 Mô hình triển khai ............................................................................................17 3.1.3 Các tính năng chính. ..........................................................................................18 3.2 Phương án triển khai chống tấn công DDoS mạng IPBN .............................19 3.2.1 Remote-triggered black hole (RTBH)...............................................................19 3.2.2 BGP Flowspec .................................................................................................20 3.2.3 Cleaning System ..............................................................................................21 3.2.4 Kỹ thuật thực hiện: ............................................................................................21 CHƯƠNG 4: THỰC HÀNH TRÊN HỆ THÔNG LAB GIẢ LẬP KỸ THUẬT TẤN CÔNG VÀ PHÒNG CHỐNG TẤN CÔNG DDOS .................................................. 25 4.1 Sơ lược về thiết bị và mô phỏng ...........................................................................25 4.1.1 CentOS 7 ...........................................................................................................25 4.1.2 Kali linux ...........................................................................................................25 4.2 Sơ đồ lab .................................................................................................................26 4.3 Mục tiêu ..................................................................................................................26 4.4 Mô phỏng tấn công ................................................................................................26 4.4.1 Đặc điểm ...........................................................................................................26 4.4.2 Tấn công ............................................................................................................27 4.4.3 Kết quả ..............................................................................................................27 4.5 Mô phỏng chống tấn công bằng iptables u32 .....................................................27 4.5.1 Nhận biết ...........................................................................................................27 4.5.2 Phân tích ............................................................................................................29 4.5.3 Viết rule chống DDoS .......................................................................................31 KẾT LUẬN ................................................................................................................. 33 THUẬT NGỮ VÀ CÁC TỪ VIẾT TẮT ................................................................... 34 TÀI LIỆU THAM KHẢO........................................................................................... 35 ii MỤC LỤC ẢNH Hình 2. 1 Mô hình tấn công DDoS ..................................................................................4 Hình 2. 2 Phân loại các kiểu tấn công DDoS ..................................................................5 Hình 2. 3 Sơ đồ Handler-Agent .......................................................................................6 Hình 2. 4 Sơ đồ IRC Base ...............................................................................................7 Hình 2. 5 Ba bước kết nối TCP/IP...................................................................................9 Hình 2. 6 trường hợp IP nguồn giả ..................................................................................9 Hình 2. 7 NTPAmplification khai thác lỗ hỏng tính năng Monlist máy chủ NTP........10 Hình 2. 8 Các phương pháp xây dựng tài nguyên hệ thống ..........................................11 Hình 2. 9 Các giai đoạn chi tiết trong phòng chống DdoS ............................................13 Hình 3. 1 Mô hình hệ thống Anti ddos volume based solution .....................................17 Hình 3. 2 Sử dụng RTBH để chặn lưu lượng tấn công .................................................20 Hình 3. 3 Sử dụng BGP flowspec để chặn lưu lượng tấn công DDoS ..........................20 Hình 3. 4 Mô hình Cleaning System chặn DDoS, kết hợp RTBH, BGP flowspec.......21 Hình 3. 5 Chống tấn công DDoS theo IP đích X ..........................................................23 Hình 3. 6 Chống tấn công DDoS theo IP nguồn Y .......................................................24 Hình 4. 1 Sơ đồ Lab .......................................................................................................26 Hình 4. 2 Truy cập root trên kali linux ..........................................................................27 Hình 4. 3 Tấn công SYN Flood .....................................................................................27 Hình 4. 4 Kiểm tra tần suất nhận traffic ........................................................................27 Hình 4. 5 Theo dõi tiến trình hệ thống trên htop ...........................................................28 Hình 4. 6 Lệnh kiểm tra gói tin nhận được ...................................................................28 Hình 4. 7 Cấu trúc các gói tin ........................................................................................29 Hình 4. 8 Lệnh bắt 1000 gói tin được gửi đến ..............................................................29 Hình 4. 9 Địa chỉ IP của 1000 gói tin ...........................................................................30 Hình 4. 10 Kiểm tra giao thức TCP của gói tin ............................................................30 Hình 4. 11 Kiểm tra cờ SYN của gói tin ......................................................................31 Hình 4. 12 Kiểm tra Payload của gói tin .......................................................................31 Hình 4. 13 Rule loại bỏ các gói tin bất thường.............................................................31 Hình 4. 14 Các gói tin bị loại bỏ ...................................................................................32 Hình 4. 15 Kiểm tra tiến trình hệ thống khi đã loại bỏ các gói tin bất thường .............32 iii MỤC LỤC BẢNG Bảng 3. 1 Yêu cầu phần cứng cho hệ thống máy chủ ...................................................18 iv LỜI MỞ ĐẦU LỜI MỞ ĐẦU Tấn công từ chối dịch vụ phân tán (DDoS) đã phát triển mạnh trong những năm gần đây đặc biệt trong tình dịch bệnh xảy ra khắp nơi trên thế giới. Tấn công DDoS (Distributed Denial Of Service) luôn là mối đe dọa đối với hệ thống mạng và máy chủ dịch vụ của các cơ quan và tổ chức, gây cạn kiệt tài nguyên hệ thống hoặc làm ngập lưu lượng băng thông internet, khiến truy cập từ người dùng tới máy chủ bị ngắt quãng, truy cập chập chờn, thậm chí không thể truy cập được internet, làm tê liệt hệ thống. Theo một thống kê của Help Net Security cho thấy trong năm 2020 có 10.089.687 cuộc tấn công DDoS được ghi nhận với tần suất tăng 22% so với năm 2019. Đặc biệt các tác nhân đe dọa đã gia tăng cuộc tấn công DDoS do việc cách ly trong đại dịch, các cuộc tấn công hàng tháng đã vượt quá 800.000 từ tháng 3/2020. Trung bình, có 839.083 tấn công mỗi tháng vào năm 2020. [1] Đây chỉ là một vài số liệu trong bài thống kê, tuy ngắn gọn nhưng cũng cho thấy được tuy tấn công DDoS là một kiểu tấn công không mới, nhưng vẫn gây rất nhiều thiệt hại cho cộng đồng mạng nói chung và các doanh nghiệp nói riêng, luôn là nỗi lo lắng của các nhà quản trị mạng. Một đều mà các chuyên gia ai cũng thừa nhận đó là nếu DDoS được thực hiện bởi một hacker có trình độ thì việc chống đỡ là không thể. Do vậy nghiên cứu DDoS không bao giờ là cũ, nhận thấy vừa là đề tài thực tập tốt nghiệp, vừa có vai trò ứng dụng trong thực tế cho nên em đã lựa chọn đề tài “ tìm hiểu và phân tích cơ chế chống DDoS của nhà mạng ACT” để có thể tìm hiểu rõ hơn về DDoS trong quá trình thực tập tốt nghiệp tại Công ty Cổ phần Viễn thông ACT. Nội dung của bài báo cáo bao gồm phần mở đầu và 4 chương nội dung cụ thể là: Chương 1: Tổng quan về đơn vị thực tập. Chương 2: Tìm hiểu cơ chế hoạt động của DDoS. Chương 3: Giải pháp phòng chống tấn công DDoS tại Công ty cổ phần Viễn Thông ACT. Chương 4: Thực hành trên lab kỹ thuật tấn công và phòng chống tấn công DDoS. ĐỖ THÀNH ĐẠT D17CQVT01-N Trang 1 CHƯƠNG 1: TỔNG QUAN VỀ ĐƠN VỊ THỰC TẬP CHƯƠNG 1: TỔNG QUAN VỀ ĐƠN VỊ THỰC TẬP 1.1. Khái quát về công ty cổ phần viễn thông ACT 1.1.1 Tổng quan: Công ty Cổ phần Viễn thông ACT thành lập ngày 21 tháng 11 năm 2011. Hoạt động trên phạm vi toàn quốc, với các lĩnh vực kinh doanh thuộc ngành viễn thông như: Thiết kế hạ tầng viễn thông, cho thuê hạ tầng viễn thông cáp quang, thi công công trình viễn thông, dịch vụ quản lý vận hành hạ tầng viễn thông, cung cấp thiết bị truyền hình số, cung cấp hàng hóa, thiết bị viễn thông, cung cấp sản phẩm và giải pháp CNTT… Từ ngày thành lập đến nay, Công ty đã không ngừng nỗ lực để vươn tới sự phát triển lớn mạnh, bền vững với mục tiêu trở thành một trong những đơn vị đứng đầu về hợp tác đầu tư, quản lý vận hành kỹ thuật, cung cấp dịch vụ viễn thông cho khách hàng trong dự án và cho các doanh nghiệp tại Việt Nam. Hiện nay, Công ty cổ phần Viễn thông ACT đang là đối tác hợp tác đầu tư, cung cấp dịch vụ của các đơn vị như: Tập đoàn Công nghiệp Viễn thông Quân đội Viettel, Tổng Công ty Viễn thông Mobifone, VNPT Thành phố Hồ Chí Minh, Công ty Cổ phần Viễn thông FPT, Công ty Cổ phần Đầu Tư Nam Long, Xuân Mai Corp, Công ty Cổ phần Đầu Tư Bất Động Sản Hưng Lộc Phát, ... Với phương châm đặt chất lượng dịch vụ lên hàng đầu, cùng với sự tận tâm và trách nhiệm, chúng tôi hoàn toàn tin tưởng sẽ đáp ứng được sự kỳ vọng của Quý Khách hàng một cách tốt nhất. [2] 1.1.2 Giá trị cốt lõi: Chữ A viết tắt của "AMOUNT", nghĩa là "Chân giá trị". Công ty lấy chân giá trị làm đích đến của hành trình. Chân giá trị không thuần túy chỉ là giá trị về doanh thu, lợi nhuận mà còn là giá trị đích thực của cuộc sống đối với mỗi cá nhân cũng như tổ chức cần hướng đến. Chữ C viết tắt của "COOPERATION" nghĩa là "Sự hợp tác". Công ty lấy "Sự hợp tác" làm phương tiện, làm cầu nối để đạt được kết quả tốt nhất. Sự hợp tác bao hàm nghĩa rộng là hợp tác giữa các doanh nghiệp với nhau để phát huy lợi thế mỗi đơn vị, tạo nên chuỗi giá trị và hệ sinh thái những sản phẩm dịch vụ tốt nhất cho khách hàng và xã hội. Chữ T viết tắt của "TRUTH" nghĩa là "Sự trung thực". Công ty lấy "Sự trung thực" làm gốc. Sự trung thực, chân thành ngự trị xuyên suốt trong suy nghĩ, trong lời nói và hành động của mỗi cá nhân. Trung thực là nền tảng thúc đẩy để sự hợp tác được hiệu quả hơn và giá trị đem lại được bền vững. 1.1.3 Tầm nhìn và sứ mệnh: Công ty Cổ phần Viễn thông ACT phát triển bền vững trên nền tảng kết hợp hài hòa các giá trị về lợi ích giữa doanh nghiệp, khách hàng và xã hội. Công ty hướng đến mục tiêu là doanh nghiệp cung cấp dịch vụ kỹ thuật, vận hành khai thác hạ tầng mạng lưới và quản lý khách hàng viễn thông; đầu tư và hợp tác cung cấp dịch vụ viễn thông, ĐỖ THÀNH ĐẠT D17CQVT01-N Trang 2 CHƯƠNG 1: TỔNG QUAN VỀ ĐƠN VỊ THỰC TẬP giải pháp CNTT hàng đầu Việt Nam; hợp tác với tất cả các nhà cung cấp lớn để đưa dịch vụ tổng thể, cao cấp và tiện ích nhất tới khách hàng trên toàn quốc. Trở thành doanh nghiệp Outsoursing cung cấp cho nhà mạng viễn thông dịch vụ kỹ thuật tốt nhất Việt Nam, gồm: vận hành khai thác hạ tầng mạng lưới như trạm BTS, mạng cáp quang truyền dẫn; bảo quản, bảo dưỡng điều hòa, máy phát điện; triển khai quản lý kỹ thuật và duy trì dịch vụ internet, truyền hình, camera giám sát và dịch vụ giải pháp CNTT. Chúng tôi không ngừng cải tiến quy trình công việc; đào tạo, bồi dưỡng để nâng cao kiến thức và kỹ năng chuyên nghiệp chuyên môn cho đội ngũ nhân viên. Từ đó giúp tối ưu giá thành, nâng cao chất lượng hạ tầng mạng lưới cho nhà mạng và cung cấp tốt nhất cho khách hàng cuối cùng, đó là người sử dụng dịch vụ. Trở thành doanh nghiệp hàng đầu trong lĩnh vực hợp tác đầu tư hạ tầng dự án viễn thông – công nghệ thông tin trong các khu dân cư, toà nhà cao tầng (chung cư, trung tâm thương mại, văn phòng), khu công nghiệp… với chất lượng tốt nhất để cung cấp không độc quyền cho khách hàng dịch vụ internet, truyền hình, camera giám sát, dịch vụ giải pháp CNTT theo nhu cầu. 1.1.4 Cơ cấu tổ chức Công ty hiện tại có 2 văn phòng chính tại: - Số 1 Lê Văn Huân là trệt để xe, tầng 1 Quản Lý Tài Sản, tầng 2 Kinh Doanh Dự Án. - Số 8 Lê Văn Huân trệt là bảo vệ, phòng họp, - Ngoài ra còn có các trung tâm khu vực phủ rộng khắp Thành phố Hồ Chí Minh. 1.2. Vị trí thực tập: Trong quá trình thực tập tại công ty, em được sắp xếp vào phòng Kỹ Thuật làm việc, tập trung vào tìm hiểu và phân tích cơ chế tấn công và phòng chống DDoS cụ thể là tấn công DDoS bằng kỹ thuật SYN Flood và sử dụng IPtables u32 để phòng chống. ĐỖ THÀNH ĐẠT D17CQVT01-N Trang 3 CHƯƠNG 2: TÌM HIỂU CƠ CHẾ HOẠT ĐỘNG CỦA DDOS CHƯƠNG 2: TÌM HIỂU CƠ CHẾ HOẠT ĐỘNG CỦA DDOS 2.1. Khái niệm DDoS: DDoS (Distributed Denial of Service) nghĩa là từ chối dịch vụ phân tán. Tấn công DDoS là hành động làm sập một dịch vụ trực tuyến, ngăn cản người dùng hợp pháp truy cập và sử dụng dịch vụ bằng cách đưa hệ thống cung cấp dịch vụ đến mức hoạt động tới hạn về tài nguyên, hay nhầm lẫn logic dẫn đến hệ thống ngừng hoạt động. Khác với DoS (Denial-of-Service attack) là chỉ dùng một máy để tấn công, DDoS sử dụng một hệ thống nhiều máy tính với các địa chỉ IP khác nhau để tấn công nên thiệt hại gây ra là rất lớn. Hầu hết các cuộc tấn công DDoS nhằm vào việc chiếm dụng băng thông gây nghẽn mạng dẫn đến hệ thống ngưng hoạt động. Ngoài ra, không chỉ chiếm dụng băng thông, tấn công DDoS còn khai thác cá lỗ hỏng trong các ứng dụng để tấn công làm cạn kiệt tài nguyên của hệ thống. Hình 2. 1 Mô hình tấn công DDoS 2.2. Phân loại các kiểu tấn công DDoS Nhìn chung, các loại tấn công DDoS rất đa dạng và có nhiều nhiều biến thể cho nên có rất nhiều cách để phân loại. Tuy nhiên, phương pháp phân loại theo mục đích tấn công là cơ bản nhất, khá đầy đủ và dễ hiểu. Có 2 dạng tấn công dựa vào mục đích chính: - Tấn công DDoS gây cạn kiệt băng thông. ĐỖ THÀNH ĐẠT D17CQVT01-N Trang 4 CHƯƠNG 2: TÌM HIỂU CƠ CHẾ HOẠT ĐỘNG CỦA DDOS - Tấn công DDoS gây cạn kiệt tài nguyên hệ thống. Hình 2. 2 Phân loại các kiểu tấn công DDoS 2.2.1 Tấn công gây cạn kiệt băng thông Tấn công gây cạn kiệt băng thông (BandWidth Depletion Attack) được tiến hành nhằm gây tràn ngập mạng mục tiêu với những traffic không cần thiết, mục đích là làm giảm tối thiểu khả năng các traffic hợp lệ đi đến được hệ thống cung cấp dịch vụ của mục tiêu. Có hai loại tấn công làm cạn kiệt băng thông: - Flood attack: Điều khiển các Agent gửi một lượng lớn traffic đến hệ thống dịch vụ của mục tiêu, làm dịch vụ này bị đẩy tới ngưỡng giới hạn về băng thông. - Amplification attack: Điều khiển Agent hay các Client tự gửi packet đến một địa chỉ IP broadcast, làm cho tất cả các máy trong subnet này gửi packet đến hệ thống dịch vụ của mục tiêu. Phương thức này làm gia tăng các traffic không cần thiết, gây suy giảm băng thông của mục tiêu. 2.2.2. Tấn công gây cạn kiệt tài nguyên hệ thống Tấn công gây cạn kiệt tài nguyên (Resource Deleption Attack) là kiểu tấn công mà trong đó Attacker gửi các packet dùng những protocol sai chức năng thiết kế, hay gửi những packet với mục đích làm tắt nghẽn tài nguyên mạng làm cho các tài nguyên này không phục vụ những người dùng hợp lệ thông thường khác được. 2.3. Mô hình mạng Botnet 2.3.1 Khái niệm mạng Botnet Botnet thuật ngữ đầy đủ là “Bots network” dùng để chỉ một mạng lưới các máy tính bị chi phối bởi ai đó và bị điều khiển bởi một máy tính khác từ xa. Các máy tính ĐỖ THÀNH ĐẠT D17CQVT01-N Trang 5 CHƯƠNG 2: TÌM HIỂU CƠ CHẾ HOẠT ĐỘNG CỦA DDOS này vẫn hoạt động bình thường, nhưng chúng không hề biết rằng đã bị các hacker kiểm soát và điểu khiển nhằm phục vụ cho các mục đích cá nhân. Do đặc thù của Botnet là một mạng lưới các Bot, nên hacker dùng Botnet để tấn công DDoS, sau đó điều khiển tất cả các máy tính từ xa, có thể cùng lúc hàng trăm, hàng nghìn chiếc máy tính cùng truy cập vào một website chỉ định, tạo ra lưu lượng quá tải trong website đó và gây tình trạng nghẽn mạng treo máy. Khi sử dụng Bonet để tấn công DDoS thì có 2 mô hình chính là mô hình AgentHandler và mô hình IRC-Based. Hình 2. 3 Sơ đồ Handler-Agent 2.4.1. Mô hình Handler-Agent Mạng Handler-Agent thông thường bao gồm 3 thành phần: Agent, Client và Handler. Trong đó : - Client: Là phần mềm cơ sở để hacker điều khiển mọi hoạt động của mạng Handler-Agent. Handler: Là một phần mềm trung gian giữa Agent và Client. Agent: Là một phần mềm thực hiện tấn công mục tiêu, nhận điều khiển từ Client thông quan các Handler. Attacker sẽ từ Client giao tiếp với Handler để xác định số lượng các Agent đang online, điều chỉnh thời điểm tấn công và cập nhật các Agent. Tuỳ theo cách attacker cấu hình mạng Botnet, các Agent sẽ chịu sự quản lý của một hay nhiều Handler. ĐỖ THÀNH ĐẠT D17CQVT01-N Trang 6 CHƯƠNG 2: TÌM HIỂU CƠ CHẾ HOẠT ĐỘNG CỦA DDOS Thông thường Attacker sẽ đặt các Handler trên một Router hay Server có lượng lưu thông lớn. Việc này nhằm làm cho các giao tiếp giữa Client, Handler và Agent khó bị phát hiện. Các giao thức này thường diễn ra trên các giao thức TCP, UDP hay ICMP. Chủ nhân thực sự của các Agent thường không biết họ bị lợi dụng trong các cuộc tấn công DDoS, do họ không đủ kiến thức hoặc các chương trình Backdoor Agent chỉ sử dụng rất ít tài nguyên hệ thống làm cho hầu như không thể thấy ảnh hưởng gì đến hiệu năng của hệ thống. 2.3.2. Mô hình IRC Base Hình 2. 4 Sơ đồ IRC Base Internet Relay Chat(IRC) là một hệ thống online chat nhiều người. IRC cho phép người sử dụng tạo một kết nối đến nhiều điểm khác với nhiều người sử dụng khác nhau và chat thời gian thực. Kiến trúc cũ của IRC network bao gồm nhiều IRC server trên khắp Internet, giao tiếp với nhau trên nhiều kênh (channnel). IRC network cho phép user tạo ba loại channel: Public, Private và Secrect. Trong đó : - Public channel: Cho phép user của channel đó thấy IRC name và nhận được message của mọi user khác trên cùng channel. Private channel: Được thiết kế để giao tiếp với các đối tượng cho phép. Không cho phép các user không cùng channel thấy IRC name và message ĐỖ THÀNH ĐẠT D17CQVT01-N Trang 7 CHƯƠNG 2: TÌM HIỂU CƠ CHẾ HOẠT ĐỘNG CỦA DDOS - trên channel. Tuy nhiên , nếu user ngoài channel dùng một số lệnh channel locator thì có thể biết được sự tồn tại của private channel đó. Secrect channel: Tương tự private channel nhưng không thể xác định bằng channel locator. Mạng IRC-based cũng tương tự như mạng Agent-Handler nhưng mô hình này sử dụng các kênh giao tiếp IRC làm phương tiện giao tiếp giữa Client và Agent (không sử dụng Handler). Sử dụng mô hình này, attacker còn có thêm một số lợi thế khác như: - - Các giao tiếp dưới dạng chat message làm cho việc phát hiện chúng là vô cùng khó khăn. Lưu thông IRC có thể di chuyển trên mạng với số lượng lớn mà không bị nghi ngờ. Không cần phải duy trì danh sách các Agent, hacker chỉ cần đăng nhập vào IRC server là đã có thể nhận được report về trạng thái các Agent do các channel gửi về. Sau cùng: IRC cũng là một môi trường chia sẻ file tạo điều kiện phát tán các Agent code lên nhiều máy khác. 2.4. Một số kiểu tấn công DDoS UDP Flood Attack: Do tính chất connectionless của UDP, hệ thống nhận UDP message chỉ đơn giản nhận vào tất cả các packet mình cần phải xử lý. Một lượng lớn các UDP packet được gửi đến hệ thống dịch vụ của mục tiêu sẽ đẩy toàn bộ hệ thống đến ngưỡng tới hạn. Các UDP packet này được gửi tới một số port ngẫu nhiên trên server. Nếu port bị tấn công không sẵn sàng thì hệ thống mục tiêu sẽ gửi ra một ICMP packet loại destination port unreachable (gói tin không tìm thấy). Khi số lượng yêu cầu UDP vượt quá ngưỡng cho phép, hệ thống mục tiêu sẽ mất khả năng xử lý request, dẫn đến tình trạng từ chối dịch vụ. Multi-Vector Attack: Multi-Vector Attacks là hình thức phức tạp nhất trong các cuộc tấn công từ chối dịch vụ phân tán (DDoS). Thay vì sử dụng một phương pháp đơn lẻ, nó là một sự kết hợp của nhiều công cụ và chiến lược khác nhau để tấn công mục tiêu và làm ngừng kết nối. Thông thường, các Multi-Vector Attacks tấn công các ứng dụng cụ thể trên server mục tiêu cũng như làm tràn mục tiêu với một lượng lớn lưu lượng độc hại. Kiểu tấn công này rất khó để ngăn chặn và hạn chế vì nó là tổng hợp của các hình thức khác nhau và nhắm mục tiêu với nguồn lực khác nhau cùng một lúc. ĐỖ THÀNH ĐẠT D17CQVT01-N Trang 8