340 likes | 722 Views
SEMINAR AN NINH MẠNG. PHÂN TÍCH VÀ MÔ HÌNH HÓA KIỂU TẤN CÔNG TỪ CHỐI DỊCH VỤ PHÂN TÁN. BỘ MÔN: MẠNG MÁY TÍNH VÀ TRUYỀN THÔNG NGƯỜI TRÌNH BÀY: NGUYỄN VĂN HẠNH. HƯNG YÊN 4-2014. MỞ ĐẦU.
E N D
SEMINARAN NINH MẠNG PHÂN TÍCH VÀ MÔ HÌNH HÓA KIỂU TẤN CÔNG TỪ CHỐI DỊCH VỤ PHÂN TÁN BỘ MÔN: MẠNG MÁY TÍNH VÀ TRUYỀN THÔNG NGƯỜI TRÌNH BÀY: NGUYỄN VĂN HẠNH HƯNG YÊN 4-2014
MỞ ĐẦU • Internet có vai trò to lớn đối với đời sống con người hiện nay, giúp cho quá trình trao đổi thông tin, truyền thông trở nên nhanh chóng, hiệu quả và có tính tương tác cao. • Có rất nhiều các kiểu tấn công nhưng thời gian gần đây nổi trội nên là kiểu tấn công vô cùng phổ biến và tỏ ra rất là nguy hiểm, đó là các cuộc tấn công từ chối dịch vụ phân tán (Distributed Denial of Service-DDoS). • Các hacker sử dụng phương pháp tấn công này để tấn công vào các trang web của các chính phủ, doanh nghiệp lớn, các thiết bị của các công ty lớn làm cho các hệ thống máy chủ này bị tê liệt và không còn khả năng phục vụ.
1 2 3 4 MÔ HÌNH BẢO VỆ CHỐNG TẤN CÔNG DDOS MÔ PHỎNG PHÁT HIỆN TẤN CÔNG VÀ CHỐNG TẤN CÔNG DDOS TỔNG QUAN VỀ TẤN CÔNG DOS/DDOS PHÂN TÍCH, MÔ HÌNH TẤN CÔNG DDOS NỘI DUNG
1- TỔNG QUAN VỀ TẤN CÔNG DOS/DDOS 1.1.Khái niệm chung về tấn công từ chối dịch vụ: -Tấn công từ chối dịch vụ là sự cố gắng làm cho tài nguyên của một máy tính không thể sử dụng được nhằm vào những người dùng của nó. -Mặc dù phương tiện để tiến hành, động cơ, mục tiêu của tấn công từ chối dịch vụ là khác nhau, nhưng nói chung nó gồm có sự phối hợp, sự cố gắng ác ý của một người hay nhiều người để chống lại Internet site hoặc service (dịch vụ Web) vận hành hiệu quả hoặc trong tất cả, tạm thời hay một cách không xác định -Khi có cuộc tấn công từ chối dịch vụ xảy ra thì người dùng hợp pháp không thể sử dụng được dịch vụ đó.
1- TỔNG QUAN VỀ TẤN CÔNG DOS/DDOS 1.2.Tấn công từ chối dịch vụ phân tán DDoS -Tấn công từ chối dịch vụ phân tán (DDoS - Distributed Denial Of Service) là kiểu tấn công làm cho hệ thống máy tính hay hệ thống mạng quá tải, không thể cung cấp dịch vụ hoặc phải dừng hoạt động, song từ nhiều nguồn tấn công khác nhau, phân tán trên mạng - Trong các cuộc tấn công DDoS, máy chủ dịch vụ sẽ bị "ngập" bởi hàng loạt các lệnh truy cập từ lượng kết nối khổng lồ từ nhiều máy tấn công ở nhiều nơi. Khi số lệnh truy cập quá lớn, máy chủ sẽ quá tải và không còn khả năng xử lý các yêu cầu Như vậy, sự khác biệt cơ bản giữa tấn công DoS và DDoS là, DDoS sử dụng một mạng lưới tấn công rộng khắp, gồm nhiều máy tấn công nằm rải rác trên mạng ( còn gọi là các máy tính ma - Zoombi, hay mạng Botnet ).
1- TỔNG QUAN VỀ TẤN CÔNG DOS/DDOS Mạng lưới tấn công từ chối dịch vụ phân tán - Tuyển mộ mạng Agent: Đây là công việc trước tiên mà kẻ tấn công phải làm. Thông qua quá trình scan kẻ tấn công sẽ thăm dò những máy tính có thể lợi dụng để từ đó xây dựng lên mạng botnet. - Điều khiển mạng Agent: Khi số lượng Agent lớn, có thể lên đến hàng nghìn host. Kẻ tấn công phải có những phương pháp điều khiển mạng lưới Agent. - Cập nhật mã độc (malware): Hầu hết các công cụ DDos hiện nay đều yêu cầu kẻ tấn công gửi những dòng lệnh cập nhật trên các Handler và Agent bằng việc download các phiên bản mới hơn qua giao thức HTTP.
1- TỔNG QUAN VỀ TẤN CÔNG DOS/DDOS 1.3.Mục tiêu tấn công từ chối dịch vụ phân tán. -Tấn công vào băng thông mạng. -Tấn công giao vào thức. -Tấn công bằng những gói tin khác thường. -Tấn công qua phần mềm trung gian. 1.4. Một số công cụ tấn công DDoS điển hình - Trinoo. - Tribe Flood Network (TFN). - Stacheldraht. -Trinity. - Knight. - Kaiten.
2- PHÂN TÍCH MÔ HÌNH TẤN CÔNG TỪ CHỐI DỊCH VỤ PHÂN TÁN. 2.1. Các đặc tính của tấn công DDoS: Tấn công DDoS là cuộc tấn công từ một hệ thống các máy tính cực lớn trên Internet.Thường dựa vào các dịch vụ có sẵn trên các máy tính trong mạng botnet. Chúng có các đặc điểm chính như sau: - DDoS là dạng tấn công rất khó để ngăn chặn. - DDoS là dạng tấn công rất khó có thể phát hiện. - Hậu quả lớn vì số lượng tấn công là vô cùng lớn (mạng botnet). 2.2. Mô hình mạng Botnet - Mạng botnet là một mạng rất lớn gồm hàng trăm hàng ngàn máy tính Zombie kết nối với một máy chủ mIRC (Internet Replay Chat) qua các máy chủ DNS để nhận lệnh từ hacker một cách nhanh nhất. - Các mạng botnet gồm hàng ngàn “thành viên” là một công cụ lý tưởng cho các cuộc giao tranh trên mạng như DDOS, spam, cài đặt các chương trình quảng cáo …..
2- PHÂN TÍCH MÔ HÌNH TẤN CÔNG TỪ CHỐI DỊCH VỤ PHÂN TÁN. • Phân tích các bước thiết lập Botnet • -Ví dụ quá trình xây dụng mạng botnet được tạo ra từ Agobot’s và sử dụng mạng này để tấn công vào một đích nào đó. • Bước 1: Lây nhiễm vào máy tính. • Đầu tiên kẻ tấn công lừa cho người dùng chạy file "chess.exe“.Lúc này Agobot sẽ xâm nhập vào hệ thống đồng thời tạo thêm trong phần thanh ghi nhờ đó mà agobot luôn khởi động cùng máy tính. • Bước 2: Lây nhiễm và xây dựng tạo mạng Botnet. • Khi trong hệ thống mạng có một máy tính bị nhiễm Agobot, nó sẽ tự động tìm kiếm các máy tính khác trong hệ thống và lây nhiễm sử dụng các lỗ hổng trong tài nguyên được chia sẻ trong hệ thống mạng.
2- PHÂN TÍCH MÔ HÌNH TẤN CÔNG TỪ CHỐI DỊCH VỤ PHÂN TÁN. • Phân tích các bước thiết lập Botnet • -Ví dụ quá trình xây dụng mạng botnet được tạo ra từ Agobot’svà sử dụng mạng này để tấn công vào một đích nào đó. • Bước 3: Kết nối vào IRC • Bước tiếp theo của Agobot sẽ tạo ra một IRC-Controlled Backdoor để mở các yếu tố cần thiết, và kết nối tới mạng Botnet thông qua IRC-Controll, sau khi kết nối nó sẽ mở những dịch vụ cần thiết để khi có yêu cầu chúng sẽ được điều khiển bởi kẻ tấn công thông qua kênh giao tiếp IRC • Bước 4: Điều khiển tấn công từ mạng BotNet
2- PHÂN TÍCH MÔ HÌNH TẤN CÔNG TỪ CHỐI DỊCH VỤ PHÂN TÁN. • 2.3. Các mô hình tấn công DDoS • Mô hình tấn công Agent Handler Model
2- PHÂN TÍCH MÔ HÌNH TẤN CÔNG TỪ CHỐI DỊCH VỤ PHÂN TÁN. • 2.3. Các mô hình tấn công DDoS • Mô hình tấn công DDoS dựa trên nền tảng IRC.
3- MÔ HÌNH BẢO VỆ CHỐNG TẤN CÔNG TỪ CHỐI DỊCH VỤ PHÂN TÁN. 3.1. Các vấn đề đặt ra khi xây dựng hệ thống chống DDoS 3.1.1 khó khăn: + Các công cụ tấn công rất đa dạng và đơn giản trong sử dụng. + Sự giống nhau giữa cáclưu lượng các gói tin tấn công và các lưu lượng hợp lệ làm quản trị viên khó có thể phân biệt được. + Sự giả mạo IP: Làm cho các luồng dữ liệu tấn công từ các agent đến như là từ những người dùng hợp lệ. Vì thế quản trị viên rất khó phân biệt để có thể phát hiện các cuộc tấn công. + Các cuộc tấn công DDoS thường có lưu lượng lớn, gửi với tần suất cao. + DDoS được thực hiện với số lượng lớn các Agent. + Có những cơ chế, giao thức mạng mà khi thiết kế chưa lường trước được những điểm yếu có thể bị lợi dụng (ví dụ TCP SYN, ping of Death, LAND Attack…).Đôi khi là lỗi của nhà quản trị khi cấu hình các chính sách mạng chưa hợp lý.
3- MÔ HÌNH BẢO VỆ CHỐNG TẤN CÔNG TỪ CHỐI DỊCH VỤ PHÂN TÁN. 3.1. Các vấn đề đặt ra khi xây dựng hệ thống chống DDoS 3.1.2 Thách thức: - Về mặt kĩ thuật: Phải xử lý phân tán từ nhiều điểm trên Internet. - Thiếu thông tin chi tiết về các cuộc tấn công thực tế. - Khó thử nghiệm trên thực tế. - Chưa có chuẩn đánh giá các hệ thống phòng thủ. - Về mặt xã hội: ý thức xã hội. - Một vấn đề khác là đôi khi cần phải sửa đổi một số điểm yếu của các kiến trúc mạng để giảm tác hại của DDoS, ví dụ như giao thức TCP, IP, HTTP… Nhưng không dễ làm được điều. - Yếu tố cuối cùng là thiếu sự thống nhất về các điều luật, chế tài xử phạt các Attacker, Handler, Agents giữa các bộ luật về Công nghệ thông tin của các nước và giữa các quy định về bảo mật, an toàn của các Internet Service Provider
3- MÔ HÌNH BẢO VỆ CHỐNG TẤN CÔNG TỪ CHỐI DỊCH VỤ PHÂN TÁN. 3.1.3. Mục tiêu xây dựng. Cho dù triển khai hệ thống phòng thủ theo cách thức nào thì cuối cùng cũng phải hướng tới 4 mục tiêu chính như sau: - Tính hiệu quả. - Tính trọn vẹn. - Cung cấp dịch vụ cho tất cả các traffic hợp lệ. - Chi phí phát triển và điều hành thấp. 3.2. Các đặc trưng của mô hình bảo vệ chống DDoS. - Phát hiện nhiều cơ chế. - Phản ứng khi phát hiện tấn công.
3- MÔ HÌNH BẢO VỆ CHỐNG TẤN CÔNG TỪ CHỐI DỊCH VỤ PHÂN TÁN. 3.3. Mô hình hóa tấn công và bảo vệ chống tấn công DDoS. 3.3.1. Phòng chống và đáp trả. - Phương pháp phòng ngừa áp dụng các chính sách để kẻ tấn công không thể hoặc khó tấn công hệ thống. - Phương pháp phản ứng lại chấp nhận cho cuộc tấn công xảy ra, sau đó truy tìm và tiêu diệt các hướng tấn công, làm giảm thiểu rủi ro hoặc chấm dứt cuộc tấn công. 3.3.2. Vị trí của hệ thống phòng thủ. - Phương pháp đặt gần victim. - Phương pháp đặt gần kẻ tấn công (attacker). - Một vị trí khác là đặt tại phần lõi của Internet. - Phương pháp cuối cùng và hay được nghiên cứu hiện nay là phương pháp kết hợp nhiều vị trí.
3- MÔ HÌNH BẢO VỆ CHỐNG TẤN CÔNG TỪ CHỐI DỊCH VỤ PHÂN TÁN. • 3.3.3. Vị trí kiểm tra và phát hiện tấn công DDoS. • - Phát hiện ở gần nguồn tấn công. • - Phát hiện tấn công tại nạn nhân. • 3.4. Thuật toán sử dụng để phát hiện ra tấn công DDoS. • - Thuật toán Adaptive Threshold (ngưỡng giới hạn khả năng đáp ứng). • - Thuật toán (SIM). • - Thuật toán CUSUM (tổng tích lũy). • 3.5. Một số giải pháp phòng chống DDoS điển hình. • - Giao thức AITF. • - Hệ thống D-Ward. • - Giao thức lan tỏa ngược.
3- MÔ PHỎNG PHÁT HIỆN TẤN CÔNG VÀ CHỐNG TẤN CÔNG DDoS. • 4.1. Giới thiệu bộ công cụ NeSSi2. • 4.1.1. Tổng quan về công cụ. • - NeSSi2 là một công cụ mô phỏng kết hợp nhiều tính năng liên quan đến an ninh mạng, được phát triển tại phòng nghiên cứu DAI-Labs thuộc Trường Đại học TU Berlin (CHLB Đức) . • - NeSSi cho phép thử nghiệm với các hệ thống mạng khác nhau, thiết lập chính sách bảo mật và các thuật toán để đánh giá và so sánh hiệu quả của việc phát hiện xâm nhập và chi phí triển khai. • 4.1.2. Các thành phần của bộ công cụ. • - Graphical User Interfac. • - Simulation Backend. • - Database.
3- MÔ PHỎNG PHÁT HIỆN TẤN CÔNG VÀ CHỐNG TẤN CÔNG DDoS. • 4.2. Phương thức mô phỏng với NeSSi2 • - Thiết lập mạng. • - Thiết lập Profile. • - Thiết lập kịch bản mô phỏng. • - Thiết lập phiên kịch bản. • - Thực hiện mô phỏng.
4- MÔ HÌNH MÔ PHỎNG TẤN CÔNG DDoS VỚI NeSSi2 • - Kịch bản 1: Kiểm tra hệ thống mạng hiện tại của công ty TNHH An Phát. • - Kịch bản 2: Tấn công DDoS vào Server công ty TNHH An Phát. • - Kịch bản 3: Tìm ra lỗi hệ thống mà các hacker có thể lợi dụng để tấn công DDoS, phân tích để tìm ra nguồn tấn công. Vá lỗ hổng, ngăn chặn và cô lập nguồn tấn công. Kiểm tra mức độ bảo mật của hệ thống sau khi được vá lỗi.
4- MỘT SỐ KẾT QUẢ THỬ NGHIỆM • Sơ đồ hệ thống mạng công ty TNHH An Phát.
4- MỘT SỐ KẾT QUẢ THỬ NGHIỆM • Giao diện màn hình chương trình mô phỏng với NeSSi2
4- KẾT QUẢ KỊCH BẢN 1 • Lưu lượng đo được giữa PIX 515 và Server khi chưa có tấn công.
4- KẾT QUẢ KỊCH BẢN 1 • Lưu lượng khi chưa có tấn công đo được trên Server.
4- KẾT QUẢ KỊCH BẢN 2 • Kết quả gửi các gói tin tấn công từ client đến Server
4- KẾT QUẢ KỊCH BẢN 2 • Lưu lượng tấn công DDoS đo được trong lúc khi tấn công.
4- KẾT QUẢ KỊCH BẢN 2 • Lưu lượng đo được trên WebServer trong khi bị tấn công.
4- KẾT QUẢ KỊCH BẢN 3 • Lưu lượng đo được giữa PIX 515 và Server sau khi ngăn DDoS tấn công.
4- KẾT QUẢ KỊCH BẢN 3 • Lưu lượng đo được trên Server sau khi ngăn DDoS tấn công.
BIỆN PHÁP PHÒNG CHỐNG • Để chống DDoS hoàn toàn là một điều khó khăn, muốn hạn chế hậu quả do DDoS gây ra cần tuân thủ các công việc sau: • Thường xuyên update phiên bản mới nhất của hệ điều hành. • Luôn luôn bật tường lửa để bảo vệ. • Luôn luôn cập nhập công nghệ, nâng cao kiến thức, am hiểu về các dạng và các công cụ tấn công để từ đó đưa ra biện pháp phòng chống hiệu quả.
BIỆN PHÁP PHÒNG CHỐNG. • Sử dụng câu lệnh Access Control Lists (ACLs) để ngăn chặn các nguồn tấn công. • Giới hạn gói tin ICMP. • Tại Router ngoài biên nên sử dụng lệnh ip verify unicast reverse-path (đối với hệ thống mạng có Router tham gia)