PGS. TSKH. Hoàng Đăng Hải
Học viện Công nghệ Bưu chính Viễn thông (PTIT)
Email:
2012
C
C
á
á
c k
c k
ỹ
ỹ
thu
thu
ậ
ậ
t t
t t
ấ
ấ
n công,
n công,
xâm nh
xâm nh
ậ
ậ
p h
p h
ệ
ệ
th

 Thường dùng để chỉ cùng 1 hành vi xâm hại đến an ninh hệ thống
 Biện pháp an ninh (Security measure), cơ chế an ninh (security mechanism)
 Dịch vụ an ninh (Security service)
 Biện pháp/cơ chế để phát hiện, ngăn ngừa, phòng chống, sửa chữa
 Dịch vụ tăng cường an ninh cho hệ thống xử lý và truyền tải thông tin thông qua
các biện pháp an ninh
 risk = threat x vulnerability x asset value
Phân lo
Phân lo
ạ
ạ
i t
i t
ấ
ấ
n công m
n công m
ạ
ạ
ng
ng
 Joking
 Hacker: data stealing / spy / military spy
 Company Competition: business plan/strategy.
Competitor destruction
 Product Advertisement
 Avenger
 Terrorism
 Account hacking / Bank robber
 …

Examples
Examples
 Happy Christmas 1987: in IBM network. Email sent to everybody with addresses found
in addressbook ⇒ Network deadlock
 Internet Worm 1989: in Security Center of DoD. Unix Shell Attack.
Security Attacks
Security Attacks
ấy nội dung bản tin
ượng: theo dõi chu kỳ, chiều dài bản tin,
đoán mã kênh truyền
ệ thống


Passive
Passive
 Nghe lén (Eavesdropping): lén l
 Phân tích lưu l
kể cả phỏng
 Phân tích thông tin h


Active
Active
 Giả danh (Masquerade): Darth giả danh Bob
 Replay: bắt giữ, giả mạo và chuyển tiếp bản tin
 Sửa đổi bản tin
 Ngăn chặn dịch vụ
5 giai đoạn của quá trình phá hoại
• Trinh sát (Reconnaissance)
Tin tặc khảo sát máy nạn nhân và các dịch vụ trong một

ộ
c (Malicious Software)
c (Malicious Software)
• Các nguy cơ/điểm yếu: được khởi
động bởi 1 trigger (không lây lan)
• Các phần mềm tự sinh (tự tạo các
bản copy = lây lan)
C
C
ử
ử
a sau ho
a sau ho
ặ
ặ
c c
c c
ử
ử
a s
a s
ậ
ậ
p (Backdoor or Trapdoor)
p (Backdoor or Trapdoor)
•
•
Xu
Xu
ấ

t chương tr
ì
ì
nh
nh
•
•
Cho ph
Cho ph
é
é
p m
p m
ộ
ộ
t k
t k
ỹ
ỹ
thu
thu
ậ
ậ
t viên th
t viên th
à
à
nh th
nh th
ạ

ự
c hi
c hi
ệ
ệ
n c
n c
á
á
c th
c th
ủ
ủ
t
t
ụ
ụ
c an to
c an to
à
à
n thông thư
n thông thư
ờ
ờ
ng.
ng.
•
•
Thư

ể
m th
m th
ử
ử
ph
ph
ầ
ầ
n m
n m
ề
ề
m khi ph
m khi ph
á
á
t tri
t tri
ể
ể
n.
n.
•
•
Tr
Tr
ở
ở
th

ẩ
m ph
m ph
ầ
ầ
n m
n m
ề
ề
m.
m.
Bom
Bom
logic
logic
•
•
M
M
ộ
ộ
t
t
trong
trong
nh
nh
ữ
ữ
ng

c
ổ
ổ
đi
đi
ể
ể
n
n
•
•
Code
Code
đư
đư
ợ
ợ
c
c
nh
nh
ú
ú
ng
ng
trong
trong
chương
chương
tr

ho
ạ
ạ
t
t
khi
khi
g
g
ặ
ặ
p
p
đi
đi
ề
ề
u
u
ki
ki
ệ
ệ
n
n
x
x
á
á
c

ng
m
m
ặ
ặ
t
t
m
m
ộ
ộ
t
t
s
s
ố
ố
file
file
–
–
Ng
Ng
à
à
y
y
th
th
á

d
ụ
ụ
ng
ng
n
n
à
à
o
o
đ
đ
ó
ó
•
•
Khi
Khi
k
k
í
í
ch
ch
ho
ho
ạ
ạ
t

ng,
Bi
Bi
ế
ế
n
n
đ
đ
ổ
ổ
i/xo
i/xo
á
á
file/
file/
đ
đ
ĩ
ĩ
a
a
,
,
l
l
à
à
m

Tơ
roa
roa
(Trojan
(Trojan
Horse)
Horse)
•
•
Chương
Chương
tr
tr
ì
ì
nh
nh
h
h
ữ
ữ
u
u
í
í
ch, h
ch, h
ấ
ấ
p d

…
)
)
•
•
Ch
Ch
ứ
ứ
a c
a c
á
á
c đo
c đo
ạ
ạ
n mã
n mã
ẩ
ẩ
n v
n v
ớ
ớ
i
i
c
c
á

u
k
k
í
í
n
n
•
•
Khi
Khi
ch
ch
ạ
ạ
y
y
th
th
ự
ự
c
c
hi
hi
ệ
ệ
n
n
nh

ẻ
t
t
ấ
ấ
n
n
công
công
gi
gi
á
á
n
n
ti
ti
ế
ế
p
p
d
d
à
à
nh
nh
quy
quy
ề

c
ti
ti
ế
ế
p
p
•
•
Thư
Thư
ờ
ờ
ng
ng
s
s
ử
ử
d
d
ụ
ụ
ng
ng
lan
lan
truy
truy
ề

a
sau, ho
sau, ho
ặ
ặ
c
c
đơn
đơn
gi
gi
ả
ả
n
n
ph
ph
á
á
ho
ho
ạ
ạ
i
i
d
d
ữ
ữ
li

t
đi
đi
ề
ề
u
u
khi
khi
ể
ể
n
n
m
m
á
á
y
y
t
t
í
í
nh
nh
kh
kh
á
á
c c

gi
á
á
n
n
ti
ti
ế
ế
p
p
ti
ti
ế
ế
n
n
h
h
à
à
nh
nh
c
c
á
á
c
c
t

ợ
c s
c s
ử
ử
d
d
ụ
ụ
ng
ng
đ
đ
ể
ể
t
t
ấ
ấ
n
n
công
công
t
t
ừ
ừ
ch
ch
ố

nh m
ạ
ạ
ng g
ng g
ồ
ồ
m h
m h
à
à
ng trăm m
ng trăm m
á
á
y không b
y không b
ị
ị
nghi v
nghi v
ấ
ấ
n, t
n, t
ấ
ấ
n công d
n công d
ồ

ầ
u lưu lư
u lưu lư
ợ
ợ
ng.
ng.
•
•
Thư
Thư
ờ
ờ
ng khai
ng khai
th
th
á
á
c
c
c
c
á
á
c
c
l
l
ỗ

ạ
ng.
ng.
Viruses
Viruses
•
•
L
L
à
à
đo
đo
ạ
ạ
n mã ph
n mã ph
ầ
ầ
n m
n m
ề
ề
m c
m c
ó
ó
th
th
ể

vi
ệ
ệ
c s
c s
ử
ử
a đ
a đ
ổ
ổ
i ch
i ch
ú
ú
ng.
ng.
•
•
S
S
ử
ử
a đ
a đ
ổ
ổ
i ph
i ph
ầ

lây
nhi
nhi
ễ
ễ
m sang c
m sang c
á
á
c chương tr
c chương tr
ì
ì
nh kh
nh kh
á
á
c.
c.
•
•
Gi
Gi
ố
ố
ng virus sinh h
ng virus sinh h
ọ
ọ
c, virus m

truy
ề
ề
n, th
n, th
ự
ự
c hi
c hi
ệ
ệ
n m
n m
ọ
ọ
i ch
i ch
ứ
ứ
c năng c
c năng c
ó
ó
th
th
ể
ể
(v
(v
í

t đ
ộ
ộ
ng c
ng c
ủ
ủ
a virus
a virus
•
•
Giai đo
Giai đo
ạ
ạ
n n
n n
ằ
ằ
m ch
m ch
ờ
ờ
: n
: n
ằ
ằ
m im ch
m im ch
ờ

y,
chương
chương
tr
tr
ì
ì
nh, d
nh, d
ung lư
ung lư
ợ
ợ
ng đ
ng đ
ĩ
ĩ
a
a
…
…
).
).
•
•
Giai đo
Giai đo
ạ
ạ
n lây lan: sao ch

kh
á
á
c c
c c
ủ
ủ
a h
a h
ệ
ệ
th
th
ố
ố
ng.
ng.
•
•
Giai đo
Giai đo
ạ
ạ
n k
n k
í
í
ch ho
ch ho
ạ

ki
ệ
ệ
n x
n x
ả
ả
y ra.
y ra.
•
•
Giai đo
Giai đo
ạ
ạ
n th
n th
ự
ự
c thi: th
c thi: th
ự
ự
c hi
c hi
ệ
ệ
n h
n h
à

đi
ể
ể
m y
m y
ế
ế
u ch
u ch
ủ
ủ
y
y
ế
ế
u c
u c
ủ
ủ
a h
a h
ệ
ệ
th
th
ố
ố
ng c
ng c
ụ

1234567;
subroutine infect
subroutine infect
-
-
executable :=
executable :=
{loop:
{loop:
file := get
file := get
-
-
random
random
-
-
executable
executable
-
-
file;
file;
if (first
if (first
-
-
line
line
-

main: main
-
-
program :=
program :=
{infect
{infect
-
-
executable;
executable;
if trigger
if trigger
-
-
pulled then do
pulled then do
-
-
damage;
damage;
goto
goto
next;}
next;}
next:
next:
}
}
Các hình thái tấn công DDoS

– Thay đổi tần suất tấn công (on/off)
– Nghi binh (Decoys)
 Gây rối trong dấu hiệu tấn công
– Bắt chước lưu lượng hợp pháp (e.g. TCP ACK flood)
– Hóa trang với lưu lượng hợp pháp
Tất cả các kỹ thuật này nhằm bẻ gẫy mọi phương pháp
theo dấu vết kiểu thủ công và tránh các IDS thông dụng
Xu thế mới của DoS Attacks
 Tấn công tràn dựa vào mạng
– Khi các lỗ hổng được vá, khó lòng tìm ra các host xung yếu
 Nhái các mạng con cục bộ
– Các bộ lọc ingress / egress phổ biến hơn
 Tấn công đường lưu lượng lên
– Nhắm tới các upstream routers & links
 Đánh và chạy (Hit-and-run)
– Gây tràn sốc (pulsing / short-lived floods)
– Sử dụng nhiều đội quân zombie theo chu kỳ
 Kỹ thuật phân tán
– Phân tán rộng khắp, các đội quân zombie rộng khắp
 Gây rối trong dấu vết kiểm chứng mạng
– Thay đổi đặc tính một số giao thức ứng dụng – Tái lập các
truy vấn DNS, etc.
 Biến đổi dấu hiệu tấn công
– Dùng address, protocol, port ngẫu nhiên
 Tấn công định tuyến hạ tầng mạng
– Chặn cướp tuyến BGP route phục vụ khởi động tấn công
 Tự động tuyển mộ thêm (automated conscription)
các đội quân zombie
– recent Internet worms and viruses
– Microsoft Outlook, IE, IIS, SMB

• Khi hầu như mọi máy của mạng phản hồi yêu cầu ICMP echo này, mạng bị tắc nghẽn
và tê liệt.
Ví dụ: TCP SYN Flood
S
Y
N
S
Y
N
+
A
C
K
A
C
K
Client
Server
CLOSED
CLOSED
SYN_SENT
ESTABLISHED
ESTABLISHED
SYN_RCVD
 Tuần tự quá trình thiết lập 1 kết nối TCP (3-way handshake)
Ví dụ: TCP SYN Flood (cont.)
ServerAttacker
S
Y
N

S
Y
N
A
C
K
SYN_RCVD
SYN_RCVD
SYN_RCVD
SYN_RCVD
SYN_RCVD
SYN_RCVD
SYN_RCVD
SYN_RCVD
Listen Queue
SYN_RCVD
•Nếu sau khi server gửi SYN + ACK response, client không gửi ACK response Æ half-open
connection
•Server tạo trong bộ nhớ một kiến trúc dữ liệu chứa mọi kết nối mở Æ Timeout
•Tin tặc gây ra memory overflow, khiến server crash hoặc không thể chấp nhận mọi kết nối mới
cho đến khi xóa hết bảng dữ liệu
•Vị trí giả danh IP trong hệ thống bị tấn công được che đậy, vì các địa chỉ nguồn trong các gói tin
SYN thường đều không rõ ràng. Khi gói tin đến hệ thống máy chủ nạn nhân, không có cách gì để
xác định ra nguồn gửi thực sự.
Các biện pháp phòng chống DDoS
 Ingress / Egress filtering ( anti-spoofing )
 Strict / Loose RPF (Reverse Path Forwarding)
 Black lists / White lists
 Policy based Filter
 Rate limiting

Ví dụ về giảm thiểu DDoS
Customer
Customer Portal
or Operator
< back