MỞ ĐẦU Ngày nay, mạng Internet đang phát triển và mở trộng trên phạm vi toàn thế giới. Các cổng thông tin điện tử, dịch vụ mạng có thể là sự sống còn của cá nhân, tổ chức. Việc những hệ thống đó bị quá tải, không truy cập đƣợc trong một khoảng thời gian có thể gây ra tổn thất không nhỏ. Từ vấn đề thực tế trên kiểu tấn công từ chối dịch vụ phân tán, DDos (Distributed Denial Of Service) đã xuất hiện rất sớm, những năm 90 của thế kỷ 20.
Kiểu tấn công này làm cạn kiệt tài nguyên của hệ thống. Ngƣời quản trị, ngƣời sử dụng không thể truy cập đƣợc hệ thống thông tin. Tấn công DDos bắt đầu đƣợc biết đến từ năm 1998, với chƣơng trình Trinoo Distributed Denial of service đƣợc viết bởi Phifli. Từ đó cùng với sự phát triển không ngừng của Công nghệ thông tin, các kỹ thuật tấn công mới lần lƣợt ra đời, Ping of Death, Teardrop, Aland Attack, Winnuke, Smurf Attack, UDP/ICMP Flooding, TCP/SYN Flooding, Attack DNS.
gần đây là kiểu tấn công DDos sử dụng công cụ #RefRef của nhóm Hacker Anonymous. Do vậy, tấn công DDos một kiểu tấn công không mới, nhƣng vẫn luôn là nỗi lo lắng của các nhà quản trị mạng. Trong những năm qua, không chỉ Việt Nam mà cả thế giới, các cuộc tấn công DDos liên tục diễn ra. Những cuộc tấn công này với nhiều mục đích khác nhau: kinh tế, cá nhân, thậm chí mang cả màu sắc chính trị (Trung Quốc – Mỹ, Trung Quốc – Việt Nam.
Do vậy, nghiên cứu DDos không bao giờ là cũ, mà luôn phải cập nhật cùng với các thiết bị, kỹ thuật công nghệ thông tin mới. Từ những vấn đề thực tiễn trên, căn cứ vào lý thuyết về an ninh an toàn của hệ thống thông tin, đề tài sẽ trình bày 1. Các vấn đề chung về DDos; 2. Kỹ thuật tấn công DDos cơ bản và các kỹ thuật mới; 3.
Phòng, chống một cuộc tấn công DDos; 4. Giải pháp phòng, chống DDos hiệu quả; 5. Đƣa ra một kịch bản cụ thể để phòng chống một cuộc tấn công Ddos. TIEU LUAN MOI download : skknchat@gmail.com 11 CHƢƠNG 1: CÁC NỘI DUNG CƠ BẢN CỦA TẤN CÔNG TỪ CHỐI DỊCH VỤ PHÂN TÁN 1.
GIỚI THIỆU VỀ TẤN CÔNG TỪ CHỐI DỊCH VỤ - DDOS: 1. Khái niệm DDos: Tấn công từ chối dịch vụ phân tán (Distributed Denial of Service attack- DDoS attack) là hành động ngăn cản những ngƣời dùng hợp pháp của một dịch vụ nào đó truy cập và sử dụng dịch vụ đó, bằng cách làm cho server không thể đáp ứng đƣợc các yêu cầu sử dụng dịch vụ từ các client. Nguồn tấn công không đến từ một máy tính trên Internet, mà đến từ một hệ thống nhiều máy tính với các địa chỉ IP khác nhau (điểm khác nhau giữa tấn công Dos và DDos).1 Mô hình tấn công DDoS Xuất hiện lần đầu tiên vào năm 1999, so với tấn công DoS cổ điển, sức mạnh của DDoS cao hơn rất nhiều, do nguồn tấn công không đến từ một máy tính nhƣ tấn công Dos mà đến từ nhiều máy tính. Hầu hết các cuộc tấn công DDoS nhằm vào việc chiếm dụng băng thông gây nghẽn mạng dẫn đến hệ thống ngƣng hoạt động.
Tuy nhiên cùng với sự phát triển của các thiết bị phần cứng và các hệ thống phòng thủ, các dạng tấn công DDos cũng ngày càng phức tạp thông minh, không chỉ chiếm dụng băng thông, mà còn khai thác các lỗ hổng trong các ứng dụng để tấn công làm cạn kiệt tài nguyên TIEU LUAN MOI download : skknchat@gmail.com 12 của hệ thống. Những kiểu tấn công này đƣợc đánh giá là nguy hiểm hơn, do chúng có thể gây tổn hại trực tiếp đến cơ sở dữ liệu. Các giai đoạn của một cuộc tấn công DDos: 1/. Giai đoạn chuẩn bị: Chuẩn bị công cụ cho cuộc tấn công, công cụ này thông thƣờng hoạt động theo mô hình Client- Server.
Hacker có thể viết phần mềm này hay download một cách dễ dàng trên mạng. Tiếp theo, hacker chiếm quyền điều khiển các máy tính trên mạng, tiến hành tải và cài đặt ngầm các chƣơng trình độc hại trên máy tính đó. Để làm đƣợc điều này, hacker thƣờng lừa cho ngƣời dùng click vào một link quảng cáo có chứa Trojan, worm. Kết thúc giai đoạn này, hacker sẽ có một attack- network (một mạng các máy tính ma phục vụ cho việc tấn công DDoS).
Giai đoạn xác định mục tiêu và thời điểm tấn công: Sau khi xác định đƣợc mục tiêu cần tấn công, hacker sẽ điều chỉnh attack- network chuyển hƣớng tấn công mục tiêu đó Yếu tố thời điểm sẽ quyết định mức độ thiệt hại của cuộc tấn công. Vì vậy, nó phải đƣợc hacker ấn định trƣớc. Giai đoạn phát động tấn công và xóa dấu vết: Đúng thời điểm đã định trƣớc, hacker phát động lệnh tấn công từ máy của mình. Toàn bộ attack- network (có thể lên đến hàng ngàn, hàng vạn máy) đồng loạt tấn công mục tiêu, mục tiêu sẽ nhanh chóng bị cạn kiệt băng thông và không thể tiếp tục hoạt động.
Sau một khoảng thời gian tấn công, hacker tiến hành xóa dấu vết có thể truy ngƣợc đến mình, việc này đòi hỏi trình độ cao của những hacker chuyên nghiệp. Phân loại tấn công từ chối dịch vụ phân tán: Các loại tấn công DDoS có rất nhiều biến thể, nên việc phân loại cũng có rất nhiều cách khác nhau. Tuy nhiên, giới chuyên môn thƣờng chia các kiểu tấn công DDoS thành 2 dạng chính, dựa vào mục đích của kẻ tấn công: - Tấn công DDoS làm cạn kiệt băng thông - Tấn công DDoS làm cạn kiệt tài nguyên hệ thống TIEU LUAN MOI download : skknchat@gmail.2 Sơ đồ phân loại DDoS attack theo mục đích tấn công Ngoài việc phân loại nhƣ trên, có thể phân loại tấn công DDos dựa trên mô hình OSI 07 tầng. Xu hƣớng các cuộc tấn công DDos cho thấy thủ phạm thƣờng biến đổi các cuộc tấn công theo mô hình OSI.
Các cuộc tấn công đƣợc phân loại nhƣ sau: - Các cuộc tấn công IP nhằm vào băng thông – tấn công vào lớp 3 (tầng mạng). - Các cuộc tấn công TCP trên máy chủ sockets – tấn công vào lớp 4 (tầng vận chuyển). - Các cuộc tấn công HTTP trên máy chủ web – tấn công vào lớp 7 (tầng ứng dụng). - Tấn công vào ứng dụng web, đánh vào tài nguyên CPU – tấn công trên lớp 7.
Ngày nay, hệ thống phòng thủ DDos liên tục đƣợc hoàn thiện và đa dạng, nhƣng thƣờng tập trung ở tầng thấp trong mô hình OSI. Do đó các cuộc tấn công vào lớp ứng dụng (Lớp 7) đang ngày càng phổ biến. Khi phân tích một cuộc tấn công DDos nhằm vào Lớp 7, phải nghiên cứu các lớp khác. Do cuộc tấn công vào Lớp 7 luôn đƣợc ngụy trang và đi kèm với các cuộc tấn công nhằm vào lớp khác.
Về bản chất, kẻ tấn công vào Lớp 7 sẽ tạo ra một giao diện TIEU LUAN MOI download : skknchat@gmail.com 14 cho ngƣời sử dụng nhƣ trình duyệt, các dịch vụ email, hình ảnh và những ứng dụng khác để gửi thông tin qua giao thức (SMTP, HTTP). Một cuộc tấn công DDos vào Lớp 7 thƣờng nhằm mục đích và mục tiêu cụ thể nhƣ: làm gián đoạn giao dịch, cản trở truy cập vào cơ sở dữ liệu. Kiểu tấn công này đòi hỏi nguồn lực ít hơn và đi kèm với các cuộc tấn công ở Lớp khác nhƣ lớp mạng. Một cuộc tấn công lớp ứng dụng sẽ đƣợc ngụy trang giống nhƣ những truy cập hợp pháp và nó có mục tiêu cụ thể là các ứng dụng.
Cuộc tấn công có thể làm gián đoạn các chức năng cụ thể của dịch vụ nhƣ phản hồi thông tin, tìm kiếm … Phân biệt cuộc tấn công DDos vào Lớp 7 so với các cuộc tấn công khác dựa trên một số điểm nhƣ sau: 1. Tấn công DDos vào Lớp mạng làm cho máy chủ quá tải với các yêu cầu (request) giả, trong khi tấn công Lớp 7 buộc máy chủ phải trả lời với mỗi yêu cầu thật. Trong tấn công DDos vào Lớp 7, các máy tấn công phải tạo ra nhiều hết cỡ các kết nối TCP. Nhƣ vậy, các địa chỉ IP thực tế sẽ đƣợc sử dụng để gửi yêu cầu và máy nạn nhận phải đáp ứng các truy vấn hợp lệ đó.
Vì vậy chúng có thể vƣợt qua các hệ thống phòng thủ DDos nghiêm ngặt. Tấn công DDos vào Lớp 7 có thể bao gồm các tấn công khác và lợi dụng lỗ hổng trong các phần mềm ứng dụng để tấn công, đồng thời phân tán sự chú ý vào nhiều mục tiêu để che giấu mục tiêu chính là máy chủ Web. Hay nói cách khác kiểu tấn công này tinh vi hơn, không tấn công toàn bộ mà tấn công vào đúng mục tiêu đang hƣớng tới. Khác biệt đáng chú ý nhất là các cuộc tấn công DDos vào Lớp 7 tạo ra một khối lƣợng xử lý lớn và đẩy lƣợng xử lý này xuống hạ tầng cơ sở mạng của máy chủ làm “ngập lụt” băng thông.
Các cuộc tấn công vào Lớp 7 thƣờng đặt mục tiêu vào máy chủ, nhƣng những máy chủ này đa phần đƣợc nhìn nhận là nạn nhân phía sau. Ví dụ: các cuộc tấn công nhằm vào HTTP, VoIP hoặc hệ thống tên miền DNS. Tấn công DDos nhằm vào Lớp 7 thƣờng khai thác những sai sót, hạn chế của các ứng dụng. Từ đó làm cho hệ thống tiêu thụ nhiều tài nguyên nhƣng không giải quyết đƣợc dẫn tới treo máy chủ.
Tấn công DDos nhằm Lớp 7 không mang tính phổ biến, nhƣng đa dạng và tùy thuộc vào mỗi ứng dụng. Do đó đây là một thách thức lớn trong việc chống lại các cuộc tấn công vào lớp này. TIEU LUAN MOI download : skknchat@gmail. Khái niệm mạng Botnet BotNet là một mạng gồm từ hàng trăm tới hàng triệu máy tính hoàn toàn mất quyền kiểm soát.
Các máy tính này vẫn hoạt động bình thƣờng, nhƣng chúng không hề biết rằng đã bị các hacker kiểm soát và điều khiển. Các máy tính này có thể bị hacker lợi dụng để tải về các chƣơng trình quảng cáo, hay cùng đồng loạt tấn công một trang web nào đó mà ta gọi là DDoS. Hầu hết chủ của những máy tính này không hề biết rằng hệ thống của họ đang đƣợc sử dụng theo cách này. Khi đã chiếm đƣợc quyền điều khiển, hacker sẽ xâm nhập vào các hệ thống này, ấn định thời điểm và phát động tấn công từ chối dịch vụ.
Với hàng triệu các máy tính cùng tấn công vào một thời điểm, nạn nhân sẽ bị ngốn hết băng thông trong nháy mắt, dẫn tới không thể đáp ứng các yêu cầu hợp lệ và bị loại khỏi internet. Chúng ta hãy cùng xem ví dụ sau để thấy đƣợc sự nguy hiểm của mạng BotNet.