BỘ GIÁO DỤC VÀ ĐÀO TẠO BỘ QUỐC PHÒNG
HỌC VIỆN KỸ THUẬT QUÂN SỰ
NGHIÊN CỨU XÂY DỰNG HỆ THỐNG CHỐNG TẤN CÔNG TỪ
CHỐI DỊCH VỤ PHÂN TÁN KIỂU GIẢ MẠO ĐỊA CHỈ IP NGUỒN
TẤN CÔNG CHO HỆ THỐNG MÁY CHỦ DỊCH VỤ
Chuyên ngành: Khoa học máy tính
LUẬN VĂN THẠC SĨ KỸ THUẬT
Hà Nội – Năm 2014
BỘ GIÁO DỤC VÀ ĐÀO TẠO BỘ QUỐC PHÒNG
HỌC VIỆN KỸ THUẬT QUÂN SỰ
MỤC LỤC
Trang
Trang bìa chính
Bản cam đoan
Mục lục
Tóm tắt luận văn
Danh mục các ký hiệu
Danh mục các bảng
Danh mục các hình vẽ
MỞ ĐẦU 1
TỔNG QUAN VỀ TẤN CÔNG TỪ CHỐI DỊCH VỤ PHÂN TÁN 2
1.1. Nghiên cứu tổng quan về tấn công từ chối dịch vụ phân tán 2
1.1.1. Giới thiệu về DDoS 2
1.1.2. Các giai đoạn của một cuộc tấn công DDOS 3
1.1.3. Kiến trúc tổng quan của DDoS attack-Network 4
1.1.4. Phân loại tấn công DDoS 8
1.1.5. Một số đặc tính của công cụ DDOS Attack 15
1.1.6. Công cụ DDoS dạng Agent-Handler 19
1.1.7. Công cụ DDOS dạng IRC-Based 20
1.2. Tìm hiểu ảnh hưởng và mức độ nghiêm trọng của các cuộc tấn công từ
chối dịch vụ phân tán kiểu giả mạo địa chỉ IP nguồn tấn công trong nước và

3.2.2. Thiết kết giao diện quản trị hệ thống 67
3.3. Xây dựng môđun phát hiện tấn công từ chối dịch vụ phân tán giả mạo
địa chỉ IP nguồn tấn sử dụng nguồn mở 68
3.4. Xây dựng môđun tự động thu thập địa chỉ IP sạch phục vụ cho giai đoạn
chống tấn công 71
3.4.1. Sơ đồ thuật toán tự động thu thập địa chỉ IP sạch 71
3.4.2. Xây dựng môđun xử lý địa chỉ nguồn khi hệ thống phát hiện một kết
nối mạng thành công 72
3.5. Xây dựng môđun xác thực địa chỉ nguồn kết nối cho phép các kết nối
bình thường vẫn có thể truy cập khi tấn công xảy ra 73
3.5.1. Sơ đồ thuật toán xác thực địa chỉ nguồn kết nối 74
3.5.2. Xây dựng môđun xác thực địa chỉ nguồn kết nối 75
3.6. Xây dựng môđun tương tác giữa môđun chống tấn công và thiết bị định
tuyến Router Cisco 75
3.6.1. Sơ đồ thuật toán tương tác giữa hệ thống và thiết bị định tuyến Cisco.76
3.6.2. Xây dựng môđun tương tác 76
4.1. Máy chủ 78
4.2. Chuẩn bị nguồn tấn công từ chối dịch vụ phân tán kiểu giả mạo địa chỉ
IP nguồn tấn công phục vụ thử nghiệm hệ thống 79
4.3. Xây dựng hệ thống mạng thử nghiệm bao gồm máy chủ dịch vụ thử
nghiệm và hệ thống chống tấn công từ chối dịch vụ phân tán kiểu giả mạo địa
chỉ IP nguồn tấn công 79
4.4. Kịch bản thử nghiệm khả năng chống tấn công DDOS kiểu giả mạo địa
chỉ IP nguồn tấn công của hệ thống 80
1. Kết luận 90
2. Kiến nghị 91
_Toc319450845TÀI LIỆU THAM KHẢO 93
TÓM TẮT LUẬN VĂN THẠC SĨ
Họ và tên học viên:
Chuyên ngành: Khoa học máy tính Khoá: 24

Bảng 3.1. Yêu cầu về thiết kế phần mềm và giao diện quản trị 66
DANH MỤC CÁC HÌNH VẼ
Hình 1.1. Mô hình Agent – Handler 4
Hình 1.2. Kiến trúc attack-network kiểu Agent – Handler 5
Hình 1.3. Kiến trúc attack-network của kiểu IRC-Base 7
Hình 1.4. Phân loại tấn công kiểu DDoS 8
Hình 1.5. Amplification Attack 11
Hình 1.6. TCP 3 way handshake 13
Hình 1.7. TCP SYN Attack 13
Hình 1.8. Công cụ DDoS attack 15
Hình 2.1. Kiến trúc hệ thống Cisco MVP 29
Hình 2.2. Cisco phát triển phòng vệ 31
Hình 2.3. Cisco Guard XT được triển khai tại các lớp phân phối 32
Hình 2.4. Peakflow SP TMS chỉ cần kiểm tra lưu lượng được chuyển
hướng 33
Hình 2.5. Giải pháp chống DDoS của Huawei 35
Hình 2.6. Industry's Easiest OAM 38
Hình 2.7. Quản lý và báo cáo dịch vụ 39
Hình 2.8. IDC Security Defense 39
Hình 2.9. Mô hình tổng thể hệ thống 41
Hình 2.11. Sơ đồ và nguyên lý của hệ thống khi phòng chống tấn công. .43
Hình 2.12. Sơ đồ và nguyên lý của hệ thống khi xác thực địa chỉ nguồn. 44
Hình 2.13 Transparent Firewall 45
Hình 2.14. Nguyên lý khởi tạo kết nối, bắt tay 3 bước của giao thức TCP
48
Hình 2.15. Nguyên lý xác thực địa chỉ nguồn của hệ thống 49
Hình 2.16. Mô hình tổng thể hệ thống 51
Hình 2.9 Mô hình mạng cấu hình Standard ACLs 54
Hình 2.17. Kiến trúc chung của giao thức SSH 59
Hình 3.1. Mô hình tổng thể hệ thống 65

giải pháp lâu dài. Đề tài tập trung và nghiên cứu các nội dung sau: Nghiên cứu
về tấn công từ chối dịch vụ; Tìm hiểu ảnh hưởng và mức độ nghiêm trọng của
các cuộc tấn công DDoS; Nghiên cứu những sản phẩm, giải pháp thương mại
chống DDoS ; Xây dựng hệ thống chống tấn công DDoS. Với mức độ nghiêm
trọng cũng như tần suất các cuộc tấn công từ chối dịch vụ phân tán giả mạo IP
nguồn tấn công trong khi chưa có giải pháp nào có thể triển khai rộng rãi cho
các cơ quan, tổ chức với kinh phí thấp thì sản phẩm của đề tài mang tính thực
tiễn cũng như khả năng áp dụng cao trong thực tế hiện nay.
Toàn bộ nội dung của luận văn được tổ chức theo bố cục như sau:
Chương 1: Tổng quan về tấn công từ chối dịch vụ phân tán
Chương 2: Nghiên cứu và xây dựng giải pháp chống tấn công từ chối
dịch vụ phân tán kiểu giả mạo địa chỉ IP nguồn tấn công.
Chương 3: Xây dựng hệ thống chống tấn công từ chối dịch vụ phân tán
kiểu giả mạo địa chỉ IP nguồn tấn công sử dụng kết hợp giữa hệ thống chống
tấn công từ chối dịch vụ phân tán và thiết bị định tuyến của Router Cisco.
Để hoàn thành được luận văn, tác giả xin chân thành cảm ơn đến các
thầy cô trong khoa Công nghệ thông tin - Học viện Kỹ thuật Quân sự đã giúp
đỡ và tạo điều kiện trong quá trình thực hiện luận văn. Đặc biệt tác giả luận văn
xin gửi lời cảm ơn sâu sắc đến thầy giáo hướng dẫn PGS.TS. Nguyễn Hiếu
2
Minh, đã tận tình hướng dẫn và giúp đỡ để tác giả hoàn thành luận văn này.
Chương 1
TỔNG QUAN VỀ TẤN CÔNG TỪ CHỐI DỊCH VỤ PHÂN TÁN
Trong chương này, tác giả sẽ trình bày tổng quan về tấn công từ chối
dịch vụ (DDoS) gồm: Các kiểu tấn công, các giai đoạn của một cuộc tấn công
DDOS, phân loại kiểu tấn công DDoS, một số đặc tính của công cụ DDoS
attack.
1.1. Nghiên cứu tổng quan về tấn công từ chối dịch vụ phân tán
1.1.1. Giới thiệu về DDoS
Ngày 7/3/2000, yahoo.com đã phải ngưng phục vụ hàng trăm triệu user

việc cấu hình và thử nghiệm toàn bộ attack-network (bao gồm mạng lưới các
máy đã bị lợi dụng cùng với các phần mềm đã được thiết lập trên đó, máy của
hacker hoặc một số máy khác đã được thiết lập như điểm phát động tấn công)
cũng sẽ được thực hiện trong giai đoạn này.
Giai đoạn 2: Giai đoạn xác định mục tiêu và thời điểm.
- Sau khi xác định mục tiêu lấn cuối, hacker sẽ có hoạt động điều chỉnh
attack-network chuyển hướng tấn công về phía mục tiêu.
- Yếu tố thời điểm sẽ quyết định mức độ thiệt hại và tốc độ đáp ứng của
mục tiêu đối với cuộc tấn công.
Giai đoạn 3: Phát động tấn công và xóa dấu vết.
4
Đúng thời điểm đã định, hacker phát động tấn công từ máy của mình,
lệnh tấn công này có thể đi qua nhiều cấp mới đến host thực sự tấn công.
Toàn bộ attack-network (có thể lên đến hàng nghìn máy), sẽ vắt cạn năng lực
của máy chủ mục tiêu liên tục, ngăn chặn không cho nó hoạt động như thiết
kế.
- Sau một khoảng thời gian tấn công thích hợp, hacker tiến hành xóa mọi
dấu vết có thể truy ngược đến mình, việc này đòi hỏi trình độ khác cao.
1.1.3. Kiến trúc tổng quan của DDoS attack-Network

Nhìn chung DDoS attack-network có hai mô hình chính:
+ Mô hình Agent – Handler
+ Mô hình IRC – Based
Dưới đây là sơ đồ chính phân loại các kiểu tấn công DDoS
 Mô hình Agent - Handler
Hình 1.1. Mô hình Agent – Handler
Secret/private
channel
Public channel
Agent -Handler

hay một máy chủ có lượng traffic lưu thông nhiều. Việc này nhằm làm cho
các giao tiếp giữa Client, handler và Agent khó bị phát hiện. Các giao tiếp này
thông thường xảy ra trên các giao thức TCP, UDP hay ICMP. Chủ nhân thực
sự của các Agent thông thường không hề hay biết họ bị lợi dụng vào cuộc tấn
công kiểu DDOS, do họ không đủ kiến thức hoặc các chương trình Backdoor
Agent chỉ sử dụng rất ít tài nguyên hệ thống làm cho hầu như không thể thấy
ảnh hưởng gì đến hiệu năng của hệ thống.
 Mô hình IRC – Based
Internet Relay Chat (IRC) là một hệ thống liên lạc cấp tốc qua mạng
Internet, IRC cho phép người dùng tạo một kết nối đến đa điểm đến nhiều
người dùng khác và chat thời gian thực. Kiến trúc của IRC network bao gồm
nhiều máy chủ IRC trên khắp mạng giao tiếp với nhau qua nhiều kênh
(channel). IRC network cho phép người dùng tạo ba loại kênh: public, private
và serect.
- Public channel: Cho phép người dùng của kênh đó thấy IRC name và
nhận được thông điệp của mọi người dùng khác trên cùng kênh.
- Private channel: được thiết kế để giao tiếp với các đối tượng cho phép.
Không cho phép các người dùng không cùng kênh thấy IRC name và
thông điệp trên kênh. Tuy nhiên, nếu người dùng ngoài kênh dùng một
số lệnh channel locator thì có thể biết được sự tồn tại của private
channel đó.
- Secrect channel: tương tự private channel nhưng không thể xác định
bằng channel locator.
Kiến trúc attack-network của kiểu IRC-Base
7
Hình 1.3. Kiến trúc attack-network của kiểu IRC-Base
IRC – Based network cũng tương tự như Agent – Handler network
nhưng mô hình này sử dụng các kênh giao tiếp IRC làm phương tiện giao tiếp
giữa Client và Agent (không sử dụng Handler). Sử dụng mô hình này,
attacker còn có thêm một số lợi thế khác như:

Attack
Smuft Attack
Protocol Exploit Attack
Malformed Paclket Attack
Static
Port
Attack
ICMP
Spoof
Source
Attack
Flaggle
Direct Loop
TCP SYS
Spoof
Source
Attack
PUSH
+ACK
SYN
Attack
IP @
Attack
IP Packet Options
Attack
Spoof
Source
Attack
Spoof
Source

10
tiêu phải căng ra để xử lý phân hướng cho các gói tin này. Nếu cổng bị tấn
công không sẵn sàng thì hệ thống mục tiêu sẽ gửi ra một gói tin ICMP loại
“destination port unreachable”. Thông thường các phần mềm Agent sẽ dùng
địa chỉ IP giả để che giấu hành tung, cho nên các message trả về do không có
cổng xử lý sẽ dẫn đến một địa chỉ IP khác. UDP Flood attack cũng có thể làm
ảnh hưởng đến các kết nối xung quanh mục tiêu do sự hội tụ của các gói tin
diễn ra rất mạnh.
+ ICMP Flood Attack: được thiết kế nhằm mục đích quản lý mạng cũng
như định vị thiết bị mạng. Khi các Agent gửi một lượng lớn
ICMP_ECHO_REPLY đến hệ thống mục tiêu thì hệ thống này phải reply một
lượng tương ứng gói tin để trả lời, sẽ dẫn đến nghẽn đường truyền. Tương tự
trường hợp trên, địa chỉ IP của các Agent có thể bị giả mạo.
Amplification Attack:
Amplification Attack nhắm đến việc sử dụng các chức năng hỗ trợ địa
chỉ IP broadcast của các router nhằm khuyếch đại và hồi chuyển cuộc tấn
công. Môđun này cho phép bên gửi chỉ định một địa chỉ IP broadcast cho toàn
subnet bên nhận thay vì nhiều địa chỉ. Router sẽ có nhiệm vụ gửi đến tất cả
địa chỉ IP trong subnet đó gói tin broadcast mà nó nhận được.
Attacker có thể gửi broadcast message trực tiếp hay thông qua một số
Agent nhằm làm gia tăng cường độ của cuộc tấn công. Nếu attacker trực tiếp
gửi message, thì có thể lợi dụng các hệ thống bên trong broadcast network
như một Agent.
11
Hình 1.5. Amplification Attack
Có thể chia amplification attack thành hai loại, Smuft và Fraggle attack:
+ Smuft attack: Trong kiểu tấn công này attacker gửi các gói tin đến
network amplifier (router hay thiết bị mạng khác hỗ trợ broadcast), với địa chỉ
của nạn nhân. Thông thường những gói tin được dùng là ICMP ECHO
REQUEST, các gói tin này yêu cầu bên nhận phải trả lời bằng một gói tin

tin SYN/ACK REPLY. Bước cuối cùng, bên gửi sẽ truyền gói tin cuối cùng
ACK và bắt đầu truyền dữ liệu.
13
Hình 1.6. TCP 3 way handshake
Nếu bên server đã trả lời một yêu cầu SYN bằng một SYN/ACK REPLY
nhưng không nhận được gói tin ACK cuối cùng sau một khoảng thời gian quy
định thì nó sẽ gửi trả lại SYN/ACK REPLY cho đến hết thời gian timeout.
Toàn bộ tài nguyên hệ thống “dự trữ” để xử lý phiên giao tiếp nếu nhận được
gói tin ACK cuối cùng sẽ bị “phong tỏa” cho đến hết thời gian timeout.
Hình 1.7. TCP SYN Attack
Nắm được điểm yếu này, attacker gửi một gói tin SYN đến nạn nhân với
địa chỉ bên gửi là giả mạo, kết quả là nạn nhân gửi SYN/ACK REPLY đến
một địa chỉ khác và sẽ không bao giờ nhận được gói tin ACK cuối cùng, cho
đến hết thời gian timeout nạn nhân mới nhận ra được điều này và giải phóng
các tài nguyên hệ thống. Tuy nhiên, nếu lượng gói tin SYN giả mạo đến với
số lượng nhiều và dồn dập, hệ thống của nạn nhân có thể bị hết tài nguyên.
SYN
TCP
Client
Client
Port
1024-
65535
TCP
Server
Service Port
1-1023
ACK
SYN/ACK
80

và thiết lập tất cả các bit QoS lên 1, điều này làm cho hệ thống của nạn nhân
phải tốn thời gian phân tích, nếu sử dụng số lượng lớn Agent có thể làm hệ
thống nạn nhân hết khả năng xử lý.
SYN
ACK
SYN/ACK
Client Server
SYN
SYN/ACK
SYN/ACK
Server
Attacker/Agent
15
1.1.5. Một số đặc tính của công cụ DDOS Attack
Hình 1.8. Công cụ DDoS attack
Các công cụ DDoS Attack có rất nhiều điểm chung như: cách cài phần
mềm Agent, phương pháp giao tiếp giữa các attacker, handler và Agent, điểm
chung về loại hệ điều hành hỗ trợ các công cụ này. Sơ đồ trên mô tả sự so
sánh tương quan giữa các công cụ tấn công DDoS này.
Cách thức cài đặt DDoS Agent:
Attacker có thể dùng phương pháp active và passive để cài đặt phần
mềm agent lên các máy khác nhằm thiết lập attack-network kiểu Agent-
Handler hay IRC-based.
- Cách cài đặt Active:
16
+ Scaning: dùng các công cụ như Nmap, Nessus để tìm những sơ hở trên
các hệ thống đang online nhằm cài đặt phần mềm Agent. Chú ý, Nmap sẽ trả
về những thông tin về một hệ thống đã được chỉ định bằng địa chỉ IP, Nessus
tìm kiếm từ những địa chỉ IP bất kỳ về một điểm yếu biết trước nào đó.
+ Backdoor: Sau khi tìm thấy được danh sách các hệ thống có thể lợi