MỞ ĐẦU Trong bối cảnh tiến trình hội nhập, vấn đề an ninh mạng và bảo mật dữ liệu đang trở nên rất được quan tâm. Khi cơ sở hạ tầng và các công nghê mangj đã đáp ứng các yê cầu về băng thong, chất lượng dịch vụ, đồng thời thực trạng tấn công trên mạng đang ngày một gia tăng thì vấn đề bảo mật càng được chú trọng hơn. Không chỉ các nhà cung cấp dịch vụ Internet, các cơ quan chính phủ mà các doanh nghiệp, tổ chức cũng có ý thức hơn về an toàn thong tin. NGUY CƠ ẢNH HƯỞNG ĐẾN AN TOÀN MẠNG: 1.
Lổ hổng: Các lỗ hổng bảo mật trên một hệ thống là các điểm yếu có thể tạo ra sự ngưng trệ của dịch vụ, thêm quyền đối với người sử dụng hoặc cho phép các truy nhập không hợp pháp vào hệ thống. Các lỗ hổng cũng có thể nằm ngay các dịch vụ cung cấp như sendmail, web, ftp. Ngoài ra các lỗ hổng còn tồn tại ngay chính tại hệ điều hành như trong Windows NT, Windows 95, UNIX; hoặc trong các ứng dụng mà người sử dụng thương xuyên sử dụng như Word processing, Các hệ databases. Phân loại lỗ hổng bảo mật : Có nhiều tổ chức khác nhau tiến hành phân loại các dạng lỗ hổng đặc biêt.
Theo cách phân loại của Bộ quốc phòng Mỹ, các loại lỗ hổng bảo mật trên một hệ thống được chia như sau: - Lỗ hổng loại C: các lỗ hổng loại này cho phép thực hiện các phương thức tấn công theo DoS (Dinal of Services - Từ chối dịch vụ). Mức độ nguy hiểm thấp, chỉ ảnh hưởng tới chất lượng dịch vụ, có thể làm ngưng trệ, gián đoạn hệ thống; không làm phá hỏng dữ liệu hoặc đạt được quyền truy nhập bất hợp pháp - Lổ hổng loại B: Các lỗ hổng cho phép người sử dụng có thêm các quyền trên hệ thống mà không cần thực hiện kiểm tra tính hợp lệ. Mức độ nguy hiểm trung bình; Những lỗ hổng này thường có trong các ứng dụng trên hệ thống; có thể dẫn đến mất hoặc lộ thông tin yêu cầu bảo mật. SVTH: Ngô Thành Long Page 6 KHÓA LUẬN TỔT NGHIỆP: Tìm hiểu tấn công DDoS và cách phòng chống - Lỗ hổng loại A: Các lỗ hổng này cho phép người sử dụng ở ngoài có thể truy nhập vào hệ thống bất hợp pháp.
Lỗ hổng rất nguy hiểm, có thể làm phá hủy toàn bộ hệ thống. Các kỹ thuật tấn công trên mạng: Tấn công trực tiếp Những cuộc tấn công trực tiếp thong thường được sử dụng trong giai đoạn đầu để chếm được quyền truy nhập hệ thống mạng bên trong. Nghe trộm trên mạng Thông tin gởi đi trên mạng thường được luân chuyển từ máy tính này qua các máy tính khác, điều đó khiến cho thong tin của ta có thể bị kẻ khác nghe trộm. Việc nghe trộm thường được các Hacker tiến hành khi đã chiếm được quyền truy nhập vào hệ thống hoặc kiểm soát đường truyền.
Giả mạo địa chỉ Giả mạo địa chỉ có thể được thực hiện thông qua sử dụng khả năng dẫn đường trực tiếp. Với cách tấn công này kẻ tấn công gửi các gói tin tới mạng khác với một địa chỉ giả mạo, đồng thời chỉ rõ đường dẫn mà các gói tin phải đi. Thí dụ người nào đó có thể giả mạo địa chỉ của bạn để gửi đi những thông tin có thể làm ảnh hưởng xấu tới bạn. Vô hiệu hoá các chức năng của hệ thống Đây là kiểu tấn công làm tê liệt hệ thống, làm mất khả năng cung cấp dịch vụ (Denial of Service - DoS) không cho hệ thống thực hiện được các chức năng mà nó được thiết kế.
Kiểu tấn công này rất khó ngăn chặn bởi chính những phương tiện dùng để tổ chức tấn công lại chính là những phương tiện dùng để làm việc và truy cập thông tin trên mạng. Một thí dụ về trường hợp có thể xảy ra là một người trên mạng sử dụng chương trình đẩy ra những gói tin yêu cầu về một trạm nào đó. Khi nhận được gói tin, trạm luôn luôn phải xử lý và tiếp tục thu các gói tin đến sau cho đến khi bộ đệm đầy, dẫn tới tình trạng những nhu cầu cung cấp dịch vụ của các máy khác đến trạm không được phục vụ. Điều đáng sợ là các kiểu tấn công DoS chỉ cần sử dụng những tài nguyên giới hạn mà vẫn có thể làm ngưng trệ dịch vụ của các site lớn và phức tạp.
Do vậy loại hình tấn công này còn được gọi là kiểu tấn công không cân xứng (asymmetric attack). SVTH: Ngô Thành Long Page 7 KHÓA LUẬN TỔT NGHIỆP: Tìm hiểu tấn công DDoS và cách phòng chống Chẳng hạn như kẻ tấn công chỉ cần một máy tính PC thông thường với một modem tốc độ chậm vẫn có thể tấn công làm ngưng trệ các máy tính mạnh hay những mạng có cấu hình phức tạp. Tấn công vào các yếu tố con người Đây là một hình thức tấn công nguy hiểm nhất nó có thể dẫn tới những tổn thất hết sức khó lường. Kẻ tấn công có thể liên lạc với người quản trị hệ thống thay đổi một số thông tin nhằm tạo điều kiện cho các phương thức tấn công khác.
Ngoài ra, điểm mấu chốt của vấn đề an toàn, an ninh trên mạng chính là người sử dụng. Họ là điểm yếu nhất trong toàn bộ hệ thống do kỹ năng, trình độ sử dụng máy tính, bảo mật dữ liệu không cao. Chính họ đã tạo điều kiện cho những kẻ phá hoại xâm nhập được vào hệ thống thông qua nhiều hình thức khác nhau như qua email hoặc sử dụng những chương trình không rõ nguồn gốc, thiếu độ an toàn. Với kiểu tấn công như vậy sẽ không có bất cứ một thiết bị nào có thể ngăn chặn một cách hữu hiệu chỉ có phương pháp duy nhất là hướng dẫn người sử dụng mạng về những yêu cầu bảo mật để nâng cao cảnh giác.
Nói chung yếu tố con người là một đIểm yếu trong bất kỳ một hệ thống bảo vệ nào và chỉ có sự hướng dẫn của người quản trị mạng cùng với tinh thần hợp tác từ phía người sử dụng mới có thể nâng cao độ an toàn của hệ thống bảo vệ. Các hình thức tấn công trên mạng: Có thể phân thành các dạng như sau: 1. Reconnaissance attacks: Bước đầu hacker ping đến tằm nhắm để xác định địa chỉ IP đích. Sau đó, hacker xác định những port cũng như những dịch vụ đang “sống” trên địa chỉ IP đó.
Từ những thông tin này, hacker bắt đầu xác định được dạng và phiên bản của hệ điều hành. Hacker tiến hành đánh cắp dữ liệu hoặc phá huỷ hệ điều hành của mạng. Các hình thức tấn công dạng này bao gồm: packet sniffers, port scans, ping sweeps, internet information queries. a) Packet sniffers: Là phần mềm ứng dụng dùng một card adapter với promiseous mode để bắt giữ tất cả các gói tin gởi xuyên qua một mạng LAN.
Kỹ thuật này chỉ thực hiện được trên cùng một collision domain. SVTH: Ngô Thành Long Page 8 KHÓA LUẬN TỔT NGHIỆP: Tìm hiểu tấn công DDoS và cách phòng chống Packet sniffers sẽ khai thác những thông tin được truyền ở dạng clear text. Những giao thức truyền ở dạng clear text bao gồm: Telnet, FTP, SNMP, POP, HTTP… Một vd như sau: Code: TCP - Transport Control Protocol Source Port: 3207 Destination Port: 110 pop3 Sequence Number: 1904801188 Ack Number: 1883396256 Offset: 5 (20 bytes) Reserved: %000000 Flags: %011000 0.0 (No FIN) Window: 64161 Checksum: 0x078F Urgent Pointer: 0 No TCP Options POP - Post Office Protocol Line 1: PASS secretpass Ta nhận thấy password được truyền đi ở dạng clear text là secrectpass. Bởi vì packet được truyền đi không được mã hoá như trên, nó có thể bị xử lý bởi bất kỳ ai sử dụng kỹ thuật packet sniffers.
Những công cụ sau được dùng ngăn cản packet sniffers gồm: authentication, switched infrastrutured, antisniffer va cryptography. b) Authentication: SVTH: Ngô Thành Long Page 9 KHÓA LUẬN TỔT NGHIỆP: Tìm hiểu tấn công DDoS và cách phòng chống Kỹ thuật xác thực này được thực hiện phổ biến như one-type password (OTPs). Kỹ thuật này được thực hiện bao gồm hai yếu tố: personal identification number ( PIN ) và token card để xác thực một thiết bị hoặc một phần mềm ứng dụng. Token card là thiết bị phần cứng hoặc phần mềm sản sinh ra thông tin một cách ngẫu nhiên ( password ) tai một thời điểm, thường là 60 giây.
Khách hàng sẽ kết nối password đó với một PIN để tạo ra một password duy nhất. Giả sử một hacker học được password đó bằng kỹ thuật packet sniffers, thông tin đó cũng không có giá trị vì nó đã hết hạn. c) Switched infrastructured: Kỹ thuật này có thể dùng để ngăn chặn packet sniffers trong môi trường mạng. Vd: nếu toàn bộ hệ thống sử dụng switch ethernet, hacker chỉ có thể xâm nhập vào luồng traffic đang lưu thông tại 1 host mà hacker kết nối đến.
Kỹ thuật này không làm ngăn chặn hoàn toàn packet sniffer nhưng nó có thể giảm được tầm ảnh hưởng của nó. Antisniffer tools: Là những phần mềm và phần cứng được thiết kế để ngăn chặn sniffer. Thật sự những ứng dụng này không ngăn chặn được hoàn toàn nguy cơ bị sniffer nhưng cũng giống như những công cụ khác, nó là một phần của toàn bộ hệ thống. Cryptography: Kỹ thuật mã hoá này giúp cho dữ liệu được truyền đi qua mạng ma không ở dạng clear text.
Giả sử hacker có bắt được dữ liệu thì cũng không thể giải mã được thông tin. Phương pháp này có hiệu lực hơn so với việc dò tìm và ngăn cản sniffer. Nếu như một kênh truyền được mã hoá, dữ liệu mà packet sniffer dò tìm được cũng không có giá trị và không phải là thông tin chính xác ban đầu. Hệ thống mã hóa của Cisco dựa trên kỹ thuật IPSec, giao thức mã hóa “ đường hầm” dựa trên địa chỉ IP.
Những giao thức gồm: Secure Sell Protocol ( SSH ) và Secure Socket Layer ( SSL ). d) Port scans va ping sweeps: Kỹ thuật này được tiến hành nhằm những mục đích như sau: SVTH: Ngô Thành Long Page 10 KHÓA LUẬN TỔT NGHIỆP: Tìm hiểu tấn công DDoS và cách phòng chống - Xác định những dịch vụ trong mạng - Xác định các host và thiết bị đang vận hành trong mạng - Xác định hệ điều hành trong hệ thống Xác định tất cả các điểm yếu trong mạng, từ đó tiến hành những mục đích khác. Với kỹ thuật ping sweeps, hacker có thể xác định một danh sách các host đang sống trong một môi trường. Từ đó, hacker sử dụng công cụ port scans xoay vòng qua tất cả các port và cung cấp một danh sách đầy đủ các dịch vụ đang chạy trên host đã tìm thấy bởi ping sweeps.