Đồ án tốt nghiệp Giao thức trao đổi khóa Internet Key
Exchange(IKE)
LỜI CẢM ƠN
Em xin gửi lời cảm ơn chân thành nhất tới ThS.Nguyễn Thanh Sơn,
người thầy đã hướng dẫn em trong quá trình nghiên cứu về giao thức trao đổi
khóa Internet Key Exchange(IKE) và cho em những định hướng nghiên
cứu,giúp đỡ em về những kiến thức liên quan tới mật mã.
Em cũng xin tỏ lòng biết ơn sâu sắc tới thầy cô, bạn bè cùng khóa đã
giúp đỡ em học tập và rèn luyện trong suốt những năm học vừa qua.
Em xin cảm ơn gia đình và bạn bè, những người luôn khuyến khích và
tạo mọi điều kiện hỗ trợ tốt nhất cho em trong mọi hoàn cảnh.
Em xin chân thành cảm ơn trường Học viện Kỹ thuật Mật Mã đã cho em một
môi trường học tập lành mạnh và vững chắc, tạo cho em những điều kiện tốt
nhất trong quá trình học tập và làm đồ án này.
Do thời gian hoàn thành đồ án có hạn cho nên em không tránh khỏi
những khiếm khuyết, em rất mong có được những góp ý và giúp đỡ của các
thầy cô giáo để em có thể tiếp tục đồ án này ở mức ứng dụng cao hơn trong
tương lai.
Em xin chân thành cảm ơn!
Hà Nội, tháng 5 năm 2011
Sinh viên thực hiện
Lê Thị Thanh
Lê Thị Thanh AT3C-HV
KTMM
1
Đồ án tốt nghiệp Giao thức trao đổi khóa Internet Key
Exchange(IKE)
MỤC LỤC
LỜI CẢM ƠN 1
MỤC LỤC 2
DANH MỤC TỪ VIẾT TẮT 3
2.2.2 Giai đoạn II của IKE(Pha 2) 49
2.3 Các chế độ hoạt động trong IKE(IKE Modes) 50
2.3.1 Chế độ chính-Main mode 50
2.3.2 Chế độ linh hoạt-Aggressive Mode 52
2.3.3 Chế độ nhanh-Quick Mode 53
2.3.4 Chế độ nhóm-New Group Mode 54
2.4. Các phương pháp xác thực trong IKE 54
2.4.1 Xác thực với chữ ký 54
Lê Thị Thanh AT3C-HV
KTMM
2
Đồ án tốt nghiệp Giao thức trao đổi khóa Internet Key
Exchange(IKE)
2.4.2 Xác thực với mã hóa khóa công khai(Authenticated With Public Key
Encryption) 56
2.4.3 Xác thực với chế độ sửa đổi của mã hóa khóa công khai 57
(Authenticated With a Revised Mode of Public Key Encryption) 57
2.4.4 Xác thực với khóa trước khi chia sẻ- tiền chia sẻ(Pre-Shared Key)
(Authenticated With a Pre-Shared Key) 60
2.5 Oakley Groups 61
2.6.1 IKE có thể bảo vệ khỏi các tấn công 62
2.6.1.1 Tấn công người ở giữa(Man-In-The-Middle) 62
2.6.1.2 Từ chối dịch vụ 62
2.6.1.3 Replay / Reflection 62
2.6.1.4 Chặn cướp kết nối(Hijacking) 63
2.6.2 Chuyển tiếp an toàn-Perfect Forward Secrecy 63
2.7. IKE phiên bản 2-IKEv2 64
2.8. Triển khai 65
Chương 3. ỨNG DỤNG IKE TRONG BẢO MẬT THÔNG TIN MẠNG 67
3.1 Ứng dụng IKE 67
MODP Modular exponentiation group Modular nhóm lũy thừa
PFS Perfect Forward Secrecy Chuyển tiếp an toàn
PKI Public Key Infrastructure Cơ sở hạ tầng khóa công khai
SA Security Association Liên kết an toàn
TLS Transport Layer Security
Giao thức bảo mật trên đường
truyền
UDP User Datagram Protocol
Giao thức truyền dữ liệu không
qua xác thực
IETF Internet Engineering Task Force
AH Authentication Header Giao thức xác thực tiêu đề
ESP Encapsulating Security Payload
Giao thức đóng gói tập tin an
toàn
KE Key exchange Tải trọng trao đổi khóa
CA Certification Authority Cơ quan cấp giấy chứng nhận
SHA Secure Hash Algorithm
Là một thuật toán băm được sử
dụng để xác thực dữ liệu gói.
Lê Thị Thanh AT3C-HV
KTMM
4
Đồ án tốt nghiệp Giao thức trao đổi khóa Internet Key
Exchange(IKE)
MD5 Message Digest 5
Là một thuật toán băm được sử
dụng để xác thực dữ liệu gói.
DES Data Encryption Standard
Là thuật toán mã hóa được
Lê Thị Thanh AT3C-HV
KTMM
5
Đồ án tốt nghiệp Giao thức trao đổi khóa Internet Key
Exchange(IKE)
Hình 1.9: Quá trình bắt tay 3 bước
Hình 1.10: Gói tin SYN với địa chỉ giả mạo
Hình 2.1: Các pha trao đổi của IKE
Hình 2.2: Thông điệp 1
Hình 2.3: Thông điệp 2
Hình 2.4: Thông điệp 3
Hình 2.5: Thông điệp 1 của phase thứ II
Hình 2-6 : Main mode
Hình 2-7 : Aggressive Mode
Hình 2-8 : Quick Mode
Hình 2-9 : New Group Mode
Hình 2-10: Sự tích hợp của IKE để hệ điều hành
Bảng 3.1: Các RFC đưa ra có liên quan đến IPSec
Hình3-1 : Gói tin IP ở kiểu Transport
Hình3-2: Gói tin IP ở kiểu Tunnel
Hình3-3: Thiết bị mạng thực hiện IPSec kiểu Tunnel
Hình3-4: Cấu trúc tiêu đề AH cho IPSec Datagram
Hình 3.5: Khuôn dạng IPv4 trước và sau khi xử lý AH ở kiểu Transport
Hình 3.6: Khuôn dạng IPv6 trước và sau khi xử lý AH ở kiểu Traport
Hình 3.7: Khuôn dạng gói tin đã xử lý AH ở kiểu Tunnel
Hình 3.8: Xử lý đóng gói ESP
Hình 3.9: Khuôn dạng gói ESP
Hình 3.10: Khuôn dạng IPv4 trước và sau khi xử lý ESP ở kiểu Transport
Hình 3.11: Khuôn dạng IPv6 trước và sau khi xử lý ESP ở kiểu Transport
Hình 3.12: Khuôn dạng gói tin đã xử lý ESP ở kiểu Tunnel
SIG : là tải trọng chữ ký. Các dữ liệu đăng nhập được trao đổi cụ thể.
Cert: là giấy chứng nhận
CERTREQ : Certificate Request
HASH : tải trọng hàm băm
PRF (key, msg) là chứcnăng khóa giả ngẫunhiên - thường là
mộthàm băm có khóa - được sử dụng để tạo ra một sản lượng tính quyết
định xuất hiện giả ngẫu nhiên.
SKEYID là một chuỗi dẫn xuất từ vật liệu bí mật
SKEYID_e là vật liệu được sử dụng bởi keying ISAKMP SA để bảo
vệ các bí mật của các thông điệp của nó.
Lê Thị Thanh AT3C-HV
KTMM
7
Đồ án tốt nghiệp Giao thức trao đổi khóa Internet Key
Exchange(IKE)
SKEYID_a là vật liệu được sử dụng bởi keying ISAKMP SA để xác
thực thông điệp của nó.
SKEYID_d là vật liệu keying sử dụng để lấy chìa khóa cho các security
associations phi ISAKMP.
<x> y chỉ ra rằng "x" được mã hóa với khóa "y".
-> nghĩa là "khởi xướng để đáp trả" truyền thông (yêu cầu).
<- nghĩa là "đáp trả cho người khởi" truyền thông (trả lời).
| nghĩa nối thông tin
[x] chỉ ra rằng x là tuỳ chọn.
LỜI NÓI ĐẦU
Ngày nay, Internet đã phát triển mạnh về mặt mô hình cho đến công
nghệ, đáp ứng các nhu cầu của người sử dụng. Internet đã được thiết kế để kết
nối nhiều mạng khác nhau và cho phép thông tin chuyển đến người sử dụng
Lê Thị Thanh AT3C-HV
KTMM
IKE(Internet Key Exchange). Internet Key Exchange giúp các bên giao tiếp
các tham số bảo mật và xác nhận khóa.
Lê Thị Thanh AT3C-HV
KTMM
9
Đồ án tốt nghiệp Giao thức trao đổi khóa Internet Key
Exchange(IKE)
IKE được sử dụng trong nhiều ứng dụng bảo mật hiện nay nhất là trong
công nghệ VPN. Vì vậy em đã chọn đề tài “Nghiên cứu cơ chế hoạt động
của giao thức trao đổi khóa IKE(Internet Key Exchange) và ứng dụng
trong bảo mật thông tin mạng” làm đồ án tốt nghiệp. Đồ án bao gồm 3
chương :
Chương 1 : Tổng quan về an toàn, bảo mật thông tin trên mạng máy tính.
Chương này nêu lên một số vấn đề về mất an toàn thông tin, các nguy cơ ảnh
hưởng, các hình thức tấn công trên mạng và nêu rõ một số tấn công điển hình
mà máy tính tham gia internet hay bị tấn công.
Chương 2: Giao thức trao đổi khóa IKE. Chương 2 giới thiệu về IKE, lịch sử,
cơ chế hoạt động, các hàm, các phương pháp xác thức trong giao thức một
cách cụ thể.
Chương 3 : Ứng dụng IKE trong bảo mật thông tin trên mạng. Chương 3 nêu
lên ứng dụng của IKE và tìm hiểu một số sản phẩm an toàn bảo mật có sử
dụng IKE, trong đó tập trung vào giao thức IPsec ứng dụng trong VPNs.
Em xin được gửi lời cảm ơn đến các thầy cô giáo trong trường, đặc biệt
là giáo viên hướng dẫn trực tiếp thầy giáo ThS. Nguyễn Thanh Sơn-công tác
tại khoa Mật Mã, Học Viện Kỹ Thuật Mật Mã đã tận tình hướng dẫn và giúp
đỡ em trong suốt quá trình làm đồ án.
Do thời gian có hạn và trình độ hạn chế nên đồ án của em không tránh
khỏi thiếu sót. Em rất mong nhận được sự góp ý của các thầy cô và các bạn để
hoàn hiện hơn.
Em xin chân thành cảm ơn !
công ty , cơ quan và cả những cá nhân, nơi lưu giữ những dữ liệu nhạy cảm
như bí mật Quốc gia, số liệu tài chính, số liệu cá nhân Hậu quả của các cuộc
tấn công này có thể chỉ là phiền phức nhỏ, nhưng cũng có thể làm suy yếu
hoàn toàn, các dữ liệu quan trọng bị xóa, sự riêng tư bị xâm phạm, và chỉ sau
vài ngày, thậm chí vài giờ sau, toàn bộ hệ thống có thể bị tê liệt hoàn toàn.
Lê Thị Thanh AT3C-HV
KTMM
11
Đồ án tốt nghiệp Giao thức trao đổi khóa Internet Key
Exchange(IKE)
Quả thực có thể nói rằng, không đâu lại mất an toàn như trên Internet,
bạn có thể hình dung như thế này, Internet giúp cho bạn "nói một câu" ở nơi
này thì ngay lập tức ở một nới khác cách đó hàng chục ngàn cây số có thể
"nghe" được (nghe và nói ở đây chính là việc trao đổi thông tin giữa các máy
tính nối mạng). Hay nói cách khác là, có thể ví những người đang nối mạng
Internet giống như những người đang cùng ngồi với nhau trong một phòng
họp, chỉ có khác một điều là họ không nhìn thấy nhau bằng xương, bằng thịt
mà thôi. Điều này có nghĩa là mỗi hành động của bạn sẽ có thể "đập vào mắt"
của hàng triệu người khác, điều này là sự thực xét trên khía cạnh kỹ thuật
chuyên môn, nhưng bạn, tôi, chúng ta không hề nhìn thấy gì cả bằng mắt
thường, những điều đó chỉ diễn ra trong một thế giới ảo của 0 và 1, chỉ bằng
những công cụ kỹ thuật chúng ta mới có thể nhìn thấy được
Có lẽ nếu có cặp kính "số" thì tôi chắc rằng đa số chúng ta sẽ giật mình
khi nhìn thấy một sự thật, Internet quả thực quá mất an toàn! Bạn sẽ thấy vô
số những người "đi ra khỏi nhà mà không khoá cửa, sổ tiết kiệm để trên bậu
cửa sổ và chưa biết chừng sẽ gặp khối người đại loại như đi chân đất tới dự
những bữa tiệc quan trọng " những người đó có cả tôi, cả bạn, chúng ta có
nhìn thấy gì đâu? và tưởng rằng người khác cũng không thấy gì cả. Tuy vậy,
không thể vì những mặt trái kể trên mà chúng ta quay lưng lại với Internet,
những lợi ích mà nó đem lại còn to lớn hơn nhiều, ngày nay không có Internet
Một trong số các trường hợp là kẻ tấn công là một chương trình hoặc một
máy tính. Việc chặn bắt thông tin có thể là nghe trộm để thu tin trên mạng và
sao chép bất hợp pháp các tệp hoặc các chương trình.
c. Sửa đổi thông tin
Kẻ tấn công truy nhập, chỉnh sửa thông tin trên mạng, là hình thức tấn công
lên tính toàn vẹn của thông tin. Nó có thể thay đổi giá trị trong tập dữ liệu,
sửa đổi một số chương trình để nó vận hành khác đi và sửa đổi nộ dung các
thông báo truyền trên mạng.
d. Chèn thông tin giả
Kẻ tấn công chèn các thông tin và dữ liệu giả và hệ thống, là kiểu tấn công
vào tính xác thực của thông tin. Có thể là chèn các thông báo giả mạo vào
mạng hoặc thêm các bảng ghi vào tệp.
Chia làm hai lớp cơ bản là: chủ động và bị động
Bị động - Chặn bắt thông tin như nghe trộm và quan sát truyền tin
Mục đích: Biết được thông tin truyền trên mạng
Lê Thị Thanh AT3C-HV
KTMM
13
Đồ án tốt nghiệp Giao thức trao đổi khóa Internet Key
Exchange(IKE)
Chia làm 2 loại: khám phá nội dung thông báo và phân tích luồng thông
tin.
Chủ động-Là các tấn công sửa đổi luồng dữ liệu tạo ra luồng số liệu
giả.
Có thể chia làm 4 loại: Đóng giả
Dùng lại(Replay)
Sửa đổi thông báo
Từ chối dịch vụ
1.3.2. Các kỹ thuật tấn công trên mạng
Có những kiểu tấn công nào ?
mật khẩu của người sử dụng, sau đó chúng truy nhập một cách chính quy vào
hệ thống, nó cũng giống như là lấy được chìa khoá, sau đó đàng hoàng mở
cửa và khuân đồ ra.
c. Giả mạo địa chỉ
Thường thì các mạng máy tính nối với Internet đều được bảo vệ bởi
Bức tường lửa, Bức tường lửa có thể coi như cái cửa duy nhất mà người đi
vào nhà hay đi ra khỏi cũng đều bắt buộc phải qua đó (như cửa khẩu ở sân
bay). Như vậy những người trong nhà (trong mạng) sẽ có sự tin tưởng lẫn
nhau, tức là được phép dùng tất cả mọi thứ trong nhà (dùng mọi dịch vụ trong
mạng). Còn những người bên ngoài sẽ bị hạn chế tối đa việc sử dụng đồ đạc
trong nhà đó. Việc này làm được nhờ Bức tường lửa.
Giả mạo địa chỉ là người bên ngoài (máy tính của tin tặc) sẽ giả mạo
mình là một người ở trong nhà (tự đặt địa chỉ IP của mình trùng với một địa
chỉ nào đó ở mạng bên trong). Nếu làm được điều đó thì nó sẽ được đối xử
như một người (máy) bên trong, tức là được làm mọi thứ, để từ đó tấn cống,
lấy trộm, phá huỷ thông tin
Kiểu mò mẫm (blind spoofing)
Để tìm hiểu cách thức truyền tải dữ liệu trong mạng, hacker sẽ gửi
nhiều gói dữ liệu đến một máy nào đó để nhận lại những thông điệp xác nhận.
Bằng cách phân tích những thông điệp này, chúng có thể biết được quy tắc
gán chỉ số thứ tự cho từng gói dữ liệu của hệ thống mạng. Kiểu tấn công này
hiện nay ít được áp dụng vì các hệ điều hành mới ứng dụng phương pháp gán
chỉ số thứ tự một cách ngẫu nhiên, khiến chúng khó có thể lần ra.
Kiểu ẩn mình (nonblind spoofing)
Lê Thị Thanh AT3C-HV
KTMM
15
Đồ án tốt nghiệp Giao thức trao đổi khóa Internet Key
Exchange(IKE)
Trong kiểu tấn công này, hacker tìm cách ẩn mình trong cùng mạng
KTMM
16
Đồ án tốt nghiệp Giao thức trao đổi khóa Internet Key
Exchange(IKE)
Làm tê liệt một số dịch vụ nào đó. Thường cách tấn công này được gọi
là DoS (Denial of Service) hay "từ chối dịch vụ". Cách tấn công này lợi dụng
một số lỗi của phần mềm, Tin tặc ra lệnh cho máy tính của chúng đưa những
yêu cầu "dị dạng" tới những máy server trên mạng. Với yêu cầu "dị dạng"
như vậy các server tiếp nhận yêu cầu sẽ bị tê liệt. Có thể ví như việc bọn Mẹ
mìn lừa trẻ con bằng những lời ngon ngọt, còn nạn nhân thì chưa đủ lớn để
hiểu những thủ đoạn đó và tự nguyện đi theo chúng. Nếu các cháu nhỏ đã
được người lớn chỉ cho biết những thủ đoạn đó thì chắc chúng sẽ được bảo
vệ, điều này cũng như việc dùng Bức tường lửa để bảo vệ mạng máy tính.
Tấn công từ chối dịch vụ cũng có thể hoàn toàn là những yêu cầu hợp
lện. Ví dụ như virus máy tính được cài đặt chức năng tấn công như đã nói tới
trong phần về virus, tại một thời điểm từ hàng triệu máy tính trên mạng, tất cả
đồng thời yêu cầu một server phục vụ, ví dụ cùng vào trang web của Nhà
Trắng. Những yêu cầu này là hoàn toàn hợp lệ, nhưng tại cùng một thời điểm
có quá nhiều yêu cầu như vậy, thì server không thể phục vụ được nữa và dẫn
đến không thể tiếp nhận các yêu cầu tiếp theo -> từ chối dịch vụ.
e. Yếu tố con người
Kẻ tấn công giả vờ liên lạc với người quản trị mạng yêu cầu đổi mật
khẩu của User nào đó, nếu người quản trị mạng làm theo thì vô tình đã tiếp
tay cho tin tặc (vì không nhìn thấy mặt, nên anh ta cứ tưởng đấy chính là
người sử dụng hợp pháp). Vì vậy nếu bạn là quản trị mạng phải tuyệt đối cẩn
thận, không nhận các yêu cầu qua điện thoại.
Tương tự kẻ tấn công có thể yêu cầu quản trị mạng thay đổi cấu hình
hệ thống để tiếp đó chúng có thể tiến hành được các cuộc tấn công.
Máy móc không thể chống được kiểu tấn công này, chỉ có sự cảnh giác
và biện pháp giáo dục mới có thể giải quyết được.
Tin tặc thường là những người tương đối am hiểu hệ thống, tuy nhiên
cũng có những Tin tặc không hiểu biết nhiều về hệ thống, chúng chỉ
đơn thuần là dùng những công cụ có sẵn để đột nhập hệ thống, bẻ khoá
phần mềm, tạo ra virus Tựu chung lại chúng là một số nhười có kiến
thức nhưng lại đem kiến thức đó phục vụ cho những mục đích xấu và
chúng cần phải bị lên án. Ngoài ra để hạn chế sự phát triển của Tin tặc,
nhất thiết phải dùng tới pháp luật nghiêm minh và biện pháp giáo dục
những người trẻ tuổi trong ngành CNTT ngay khi còn trên ghế nhà
trường.
Lê Thị Thanh AT3C-HV
KTMM
18
Đồ án tốt nghiệp Giao thức trao đổi khóa Internet Key
Exchange(IKE)
1.4. Một số kiểu tấn công điển hình
DoS và DDoS là một trong những dạng tấn công nguy hiểm nhất đối
với một hệ thống mạng.Vì vậy trong bài em chỉ nêu về các dạng tấn công dos
và ddos.
1.4.1 Định nghĩa về tấn công từ chối dich vụ-Denial Of Service (DoS)
Tấn công từ chối dịch vụ (DoS) là một kiểu tấn công mà một người làm
cho một hệ thống không thể sử dụng, hoặc làm cho hệ thống đó chậm đi một
cách đáng kể với người dùng bình thường, bằng cách làm quá tải tài nguyên
của hệ thống.
Nếu kẻ tấn công không có khả năng thâm nhập được vào hệ thống, thì
chúng cố gắng tìm cách làm cho hệ thống đó sụp đổ và không có khả năng
phục vụ người dùng bình thường đó là tấn công Denial of Service (DoS).
Mặc dù tấn công DoS không có khả năng truy cập vào dữ liệu thực của
hệ thống nhưng nó có thể làm gián đoạn các dịch vụ mà hệ thống đó cung
cấp. Như định nghĩa trên DoS khi tấn công vào một hệ thống sẽ khai thác
những cái yếu nhất của hệ thống để tấn công, những mục đích của tấn công
người dùng có thể truy cập vào máy chủ đó không.
- Phá hoại hoặc thay đổi các thông tin cấu hình.
- Phá hoại tầng vật lý hoặc các thiết bị mạng như nguồn điện, điều hoà…
1.4.2 Các dạng tấn công DoS
- Smurf
- Buffer Overflow Attack
- Ping of Death
- Teardrop
- SYN Attack
a. Tấn công Smurf
- Là thủ phạm sinh ra cực nhiều giao tiếp ICMP (ping) tới địa chỉ Broadcast
của nhiều mạng với địa chỉ nguồn là mục tiêu cần tấn công.
Chúng ta cần lưu ý là : Khi ping tới một địa chỉ là quá trình hai chiều – Khi
máy A ping tới máy B máy B reply lại hoàn tất quá trình. Khi tôi ping tới địa
chỉ Broadcast của mạng nào đó thì toàn bộ các máy tính trong mạng đó sẽ
Reply lại tôi. Nhưng giờ tôi thay đổi địa chỉ nguồn, thay địa chỉ nguồn là máy
C và tôi ping tới địa chỉ Broadcast của một mạng nào đó, thì toàn bộ các máy
tính trong mạng đó sẽ reply lại vào máy C chứ không phải tôi và đó là tấn
công Smurf.
Lê Thị Thanh AT3C-HV
KTMM
20
Đồ án tốt nghiệp Giao thức trao đổi khóa Internet Key
Exchange(IKE)
- Kết quả đích tấn công sẽ phải chịu nhận một đợt Reply gói ICMP cực lớn và
làm cho mạng bị dớt hoặc bị chậm lại không có khả năng đáp ứng các dịch vụ
khác.
- Quá trình này được khuyếch đại khi có luồng ping reply từ một mạng được
kết nối với nhau (mạng BOT).
- tấn công Fraggle, chúng sử dụng UDP echo và tương tự như tấn công
các phần nhỏ (fragment).
- Nếu hệ điều hành nhận được các gói tin đã được chia nhỏ và không hiểu
được, hệ thống cố gắng build lại gói tin và điều đó chiếm một phần tài
nguyên hệ thống, nếu quá trình đó liên tục xảy ra hệ thống không còn tài
nguyên cho các ứng dụng khác, phục vụ các user khác.
e. Tấn công SYN
Lê Thị Thanh AT3C-HV
KTMM
22
Đồ án tốt nghiệp Giao thức trao đổi khóa Internet Key
Exchange(IKE)
Hình 1.2: SYN attack
- Kẻ tấn công gửi các yêu cầu (request ảo) TCP SYN tới máy chủ bị tấn công.
Để xử lý lượng gói tin SYN này hệ thống cần tốn một lượng bộ nhớ cho kết
nối.
- Khi có rất nhiều gói SYN ảo tới máy chủ và chiếm hết các yêu cầu xử lý của
máy chủ. Một người dùng bình thường kết nối tới máy chủ ban đầu thực hiện
Request TCP SYN và lúc này máy chủ không còn khả năng đáp lại - kết nối
không được thực hiện.
- Đây là kiểu tấn công mà kẻ tấn công lợi dụng quá trình giao tiếp của TCP
theo – Three-way.
- Các đoạn mã nguy hiểm có khả năng sinh ra một số lượng cực lớn các gói
TCP SYN tới máy chủ bị tấn công, địa chỉ IP nguồn của gói tin đã bị thay đổi
và đó chính là tấn công DoS.
- Hình bên trên thể hiện các giao tiếp bình thường với máy chủ và bên dưới
thế hiện khi máy chủ bị tấn công gói SYN đến sẽ rất nhiều trong khi đó khả
Lê Thị Thanh AT3C-HV
KTMM
23
Đồ án tốt nghiệp Giao thức trao đổi khóa Internet Key
Lê Thị Thanh AT3C-HV
KTMM
24
Đồ án tốt nghiệp Giao thức trao đổi khóa Internet Key
Exchange(IKE)
• Xây dựng hệ thống lọc thông tin trên router, firewall… và hệ thống bảo
vệ chống lại SYN flood.
• Chỉ kích hoạt các dịch vụ cần thiết, tạm thời vô hiệu hoá và dừng các
dịch vụ chưa có yêu cầu hoặc không sử dụng.
• Xây dựng hệ thống định mức, giới hạn cho người sử dụng, nhằm mục
đích ngăn ngừa trường hợp người sử dụng ác ý muốn lợi dụng các tài
nguyên trên server để tấn công chính server hoặc mạng và server khác.
• Liên tục cập nhật, nghiên cứu, kiểm tra để phát hiện các lỗ hổng bảo
mật và có biện pháp khắc phục kịp thời.
• Sử dụng các biện pháp kiểm tra hoạt động của hệ thống một cách liên
tục để phát hiện ngay những hành động bất bình thường.
• Xây dựng và triển khai hệ thống dự phòng.
1.4.4 Tấn công từ chối dịch vụ phân tán-Distributed Denial Of Service
(DDoS)
DDoS là một dạng DoS nhưng kẻ tấn công sử dụng nhiều máy để thực
hiện.
Hình 1.3: DdoS attack
Các đặc tính của tấn công DDoS.
Lê Thị Thanh AT3C-HV
KTMM
25
Copyright: Tài liệu đại học ©