TRƯỜNG CAO ĐẲNG CÔNG NGHỆ THÔNG TIN HỮU NGHỊ VIỆT HÀN
KHOA: KHOA HỌC MÁY TÍNH
-------------------------------------
ĐỒ ÁN MÔN HỌC
AN NINH MẠNG
ĐỀ TÀI: TÌM HIỂU VỀ AN NINH MẠNG VÀ KỸ THUẬT TẤN CÔNG TỪ
CHỐI DỊCH VỤ
GVHD
: Ths. Lê Tự Thanh
SVTH
: Nguyễn Ngọc Sơn
Chúc Trần Trung
Lớp
: MM03C
Đà Nẵng, ngày 02 tháng 01 năm 2012
TÌM HIỂU VỀ AN NINH MẠNG VÀ KỸ THUẬT TẤN CÔNG TỪ CHỐI DỊCH VỤ
LỜI NÓI ĐẦU
Hiện nay, sự phát triển không ngừng của công nghệ thông tin và mạng máy tính đã
mang lại cho con người nhiều tiện ích trong cuộc sống nhất là trong lĩnh vực trao đổi
thông tin. Trong khi những người dùng bình thường sử dụng mạng Internet để trao đổi
3
TÌM HIỂU VỀ AN NINH MẠNG VÀ KỸ THUẬT TẤN CÔNG TỪ CHỐI DỊCH VỤ
CHƯƠNG 1
TÌM HIỂU VỀ AN NINH MẠNG
1.1. Những số liệu thống kê về tội phạm mạng
1.1.1. Báo cáo phát hiện tội phạm trên Internet
Hình 1. 1. Sơ đồ thống kê phát hiện tội phạm trên Internet qua các năm
1.1.2. Dữ liệu điều tra về vi phạm hồ sơ
Hình 1. 2. Biểu đồ điều tra về vi phạm hồ sơ
SVTH: NHÓM 10 – LỚP MM03C
4
TÌM HIỂU VỀ AN NINH MẠNG VÀ KỸ THUẬT TẤN CÔNG TỪ CHỐI DỊCH VỤ
1.1.3. Các loại dữ liệu bị đánh cắp từ các tổ chức
Hình 1. 3. Biểu đồ các loại dữ liệu bị đánh cắp
1.2. KHÁI NIỆM VỀ HACKING
1.2.1. Các thuật ngữ quan trọng
-
Giá trị của hack: Nó là quan niệm giữa các tin tặc, một cái gì đó có giá trị thực và tạo nên
Bảo mật: Trạng thái an toàn của thông tin và cơ sở hạ tầng, trong đó khả năng bị mất cắp,
giả mạo, sự gián đoạn thông tin và dịch vụ được giữ ở mức thấp hoặc có thể chấp nhận
được.
-
Mối đe dọa: Một hành động hay sự kiện mà có thể ảnh hưởng đến an ninh. Một lời đe
dọa là một hành vi tiềm tàng của bảo mật.
-
Tính dễ tổn thương: Là sự tồn tại của một điểm yếu, thiết kế hoặc triển khai có thể dẫn
đến một sự kiện bất ngờ và không mong muốn ảnh hưởng đến an ninh của hệ thống.
-
Daisy Chaining: Tin tặc thường biến mất khi hành vi trộm cắp cơ sở dữ liệu hoàn thành.
Sau đó quay lại để che đậy hành vi của mình bằng cách phá hủy các nhật ký.
1.2.2. Các yếu tố bảo mật thông tin
-
Tính bảo mật: Đảm bảo rằng thông tin chỉ có thể truy cập với duy nhất những người có
thẩm quyền truy cập nó. Lộ thông tin bí mật có thể xảy ra do xử lý dữ liệu không đúng
hoặc bị hack
-
Tính toàn vẹn: Là tính không bị hiệu chỉnh của dữ liệu, đảm bảo thông tin đủ chính xác
để có thể dựa vào nó.
-Tam giác bảo mật
Mức độ bảo mật trong bất kỳ hệ thống nào, có thể được xác định bởi sức mạnh của
ba thành phần:
+An ninh
+Chức năng
+Khả năng sử dụng
-Thách thức an ninh
+ Tuân thủ các quy định của chính phủ
+ Tác động trực tiếp của vi phạm an ninh trên cơ sở tài sản và uy tín của công ty
+ Khó khăn để tập trung bảo mật trong một môi trường tính toán phân tán
+ Sự phát triển của công nghệ tập trung vào tính dễ sử dụng
+ Tăng số lượng các ứng dụng dựa trên mạng
+ Tắng tính phức tạp của quản trị và quản lý cơ sở hạ tầng máy tính
1.2.5. Ảnh hưởng của hacking
-
Kẻ tấn công cũng có thể sử dụng các máy tính “spamzombies” hoặc “spambots”.
SVTH: NHÓM 10 – LỚP MM03C
7
TÌM HIỂU VỀ AN NINH MẠNG VÀ KỸ THUẬT TẤN CÔNG TỪ CHỐI DỊCH VỤ
-
Phá hủy dữ liệu và trộm cắp thông tin
-
Tấn công sử dụng backdoors giống như Trojan, rootkits, virus để can thiệp sâu vào hệ
tin tài chính quan trọng và bị rò rỉ cho các đối thủ.
-
Botnets có thể được sử dụng để khởi động các loại Dos khác nhau và các cuộc tấn công
dựa trên web có thể dẫn đến làm giảm thời gian và mất mát đáng kể doanh thu của doanh
nghiệp
1.2.6. Hacker là ai
-
Đó là một người thông minh có kỹ năng máy tính tuyệt vời, với khả năng tạo ra và khám
phá phần mềm và phần cứng của máy tính.
-
Đối với một số tin tặc, hacking là một sở thích để xem nhiều máy tính và mạng của họ có
thể được thâm nhập vào hay không.
-
Mục đích của họ có thể đạt được kiến thức hoặc làm những việc bất hợp pháp
SVTH: NHÓM 10 – LỚP MM03C
8
TÌM HIỂU VỀ AN NINH MẠNG VÀ KỸ THUẬT TẤN CÔNG TỪ CHỐI DỊCH VỤ
-
SVTH: NHÓM 10 – LỚP MM03C
9
TÌM HIỂU VỀ AN NINH MẠNG VÀ KỸ THUẬT TẤN CÔNG TỪ CHỐI DỊCH VỤ
-
Có thể là điểm lợi nhuận trong tương lai, lưu ý để dễ dàng chấp nhận cho một cuộc tấn
công khi mục tiêu được biết đến trên một quy mô rộng.
-
Thăm dò phạm vi mục tiêu có thể bao gồm khách hàng, nhân viên của các tổ chức, hoạt
động mạng và hệ thống.
-
Có hai loại thăm dò là chủ động và thụ động
+ Thăm dò thụ động
•
Thăm dò liên quan đến việc thu thập thông tin mà không cần trực tiếp tương tác với mục
tiêu
•
Ví dụ, tìm kiếm hồ sơ công cộng hoặc phát hành bản tin
+ Thăm dò chủ động
các ứng dụng trên máy tính hoặc mạng
-
Kẻ tấn công có thể leo thang để có được quyền điều khiển hoàn toàn hệ thống, trong quá
trình hệ thống trung gian kết nối với nó cũng bị tổn hại
SVTH: NHÓM 10 – LỚP MM03C
10
TÌM HIỂU VỀ AN NINH MẠNG VÀ KỸ THUẬT TẤN CÔNG TỪ CHỐI DỊCH VỤ
-
Kẻ tấn công có thể được truy cập ở mức hệ điều hành, mức độ ứng dụng, hoặc mức độ
mạng.
-
Ví dụ: bao gồm password cracking, buffer overflows, denial of service, session hijacking,
etc…
1.3.4. Giai đoạn 4 – Duy trì truy cập
-
Duy trì truy cập đến giai đoạn khi kẻ tấn công cố gắng giữ lại quyền sở hữu hệ thống.
-
Kẻ tấn công có thể ngăn chặn các hệ thống thuộc sở hữu của kẻ tấn công khác bằng cách
CHƯƠNG 2
DENIAL OF SERVICE (DOS)
2.1. Lịch sử của tấn công DoS.
2.1.1. Mục tiêu.
- Mục tiêu các cuộc tấn công thường vào các trang web lớn và các tổ chức thương
mại điện tử trên Internet.
2.1.2. Các cuộc tấn công.
- Vào ngày 15 tháng 8 năm 2003, Microsoft đã chịu đợt tấn công DoS cực mạnh và
làm gián đoạn websites trong vòng 2 giờ.
- Vào lúc 15:09 giờ GMT ngày 27 tháng 3 năm 2003: toàn bộ phiên bản tiếng anh
của website Al-Jazeera bị tấn công làm gián đoạn trong nhiều giờ
2.2. Định nghĩa về tấn công DoS.
- Tấn công DoS là kiểu tấn công vô cùng nguy hiểm, để hiểu được nó ta cần phải
lắm rõ định nghĩa của tấn công DoS và các dạng tấn công DoS.
- Tấn công DoS là một kiểu tấn công mà một người làm cho một hệ thống không thể
sử dụng, hoặc làm cho hệ thống đó chậm đi một cách đáng kể với người dùng bình
thường, bằng cách làm quá tải tài nguyên của hệ thống.
- Nếu kẻ tấn công không có khả năng thâm nhập được vào hệ thống, thì chúng cố
gắng tìm cách làm cho hệ thống đó sụp đổ và không có khả năng phục vụ người dùng
bình thường đó là tấn công Denial of Service (DoS).
- Mặc dù tấn công DoS không có khả năng truy cập vào dữ liệu thực của hệ thống
nhưng nó có thể làm gián đoạn các dịch vụ mà hệ thống đó cung cấp. Như định nghĩa
SVTH: NHÓM 10 – LỚP MM03C
12
TÌM HIỂU VỀ AN NINH MẠNG VÀ KỸ THUẬT TẤN CÔNG TỪ CHỐI DỊCH VỤ
- Tấn công vào hệ thống khác phục vụ cho mạng máy tính như: hệ thống điều hoà,
hệ thống điện, hệt hống làm mát và nhiều tài nguyên khác của doanh nghiệp. Bạn thử
tưởng tượng khi nguồn điện vào máy chủ web bị ngắt thì người dùng có thể truy cập vào
máy chủ đó không.
- Phá hoại hoặc thay đổi các thông tin cấu hình.
- Phá hoại tầng vật lý hoặc các thiết bị mạng như nguồn điện, điều hoà…
2.3. Các dạng tấn công.
- Smurf
- Buffer Overflow Attack
- Ping of Death
- Teardrop
- SYN Attack
2.3.1. Tấn công Smurf.
- Là thủ phạm sinh ra cực nhiều giao tiếp ICMP (ping) tới địa chỉ Broadcast của
nhiều mạng với địa chỉ nguồn là mục tiêu cần tấn công.
- Chúng ta cần lưu ý là: Khi ping tới một địa chỉ là quá trình hai chiều – Khi máy A
ping tới máy B máy B reply lại hoàn tất quá trình. Khi tôi ping tới địa chỉ Broadcast của
mạng nào đó thì toàn bộ các máy tính trong mạng đó sẽ Reply lại tôi. Nhưng giờ tôi thay
đổi địa chỉ nguồn, thay địa chỉ nguồn là máy C và tôi ping tới địa chỉ Broadcast của một
SVTH: NHÓM 10 – LỚP MM03C
14
TÌM HIỂU VỀ AN NINH MẠNG VÀ KỸ THUẬT TẤN CÔNG TỪ CHỐI DỊCH VỤ
mạng nào đó, thì toàn bộ các máy tính trong mạng đó sẽ reply lại vào máy C chứ không
phải tôi và đó là tấn công Smurf.
- Kết quả đích tấn công sẽ phải chịu nhận một đợt Reply gói ICMP cực lớn và làm
dàng.
2.3.4. Tấn công Teardrop.
- Gói tin IP rất lớn khi đến Router sẽ bị chia nhỏ làm nhiều phần nhỏ.
- Kẻ tấn công sử dụng sử dụng gói IP với các thông số rất khó hiểu để chia ra các
phần nhỏ (fragment).
- Nếu hệ điều hành nhận được các gói tin đã được chia nhỏ và không hiểu được, hệ
thống cố gắng build lại gói tin và điều đó chiếm một phần tài nguyên hệ thống, nếu quá
trình đó liên tục xảy ra hệ thống không còn tài nguyên cho các ứng dụng khác, phục vụ
các user khác.
SVTH: NHÓM 10 – LỚP MM03C
16
TÌM HIỂU VỀ AN NINH MẠNG VÀ KỸ THUẬT TẤN CÔNG TỪ CHỐI DỊCH VỤ
2.3.5. Tấn công SYN.
- Kẻ tấn công gửi các yêu cầu (request ảo) TCP SYN tới máy chủ bị tấn công. Để xử
lý lượng gói tin SYN này hệ thống cần tốn một lượng bộ nhớ cho kết nối.
- Khi có rất nhiều gói SYN ảo tới máy chủ và chiếm hết các yêu cầu xử lý của máy
chủ. Một người dùng bình thường kết nối tới máy chủ ban đầu thực hiện Request TCP
SYN và lúc này máy chủ không còn khả năng đáp lại - kết nối không được thực hiện.
- Đây là kiểu tấn công mà kẻ tấn công lợi dụng quá trình giao tiếp của TCP theo –
Three-way.
- Các đoạn mã nguy hiểm có khả năng sinh ra một số lượng cực lớn các gói TCP
SYN tới máy chủ bị tấn công, địa chỉ IP nguồn của gói tin đã bị thay đổi và đó chính là
tấn công DoS.
- Quá trình TCP Three-way handshake được thực hiện: Khi máy A muốn giao tiếp
với máy B. (1) máy A bắn ra một gói TCP SYN tới máy B – (2) máy B khi nhận được gói
SYN từ A sẽ gửi lại máy A gói ACK đồng ý kết nối – (3) máy A gửi lại máy B gói ACK
mại điện tử trên Internet.
3.1.2. Các cuộc tấn công.
- Ngày 7/3/2000, yahoo.com đã phải ngưng phục vụ hàng trăm triệu user trên toàn
thế giới nhiều giờ liền. Vài giờ sau, Yahoo đã tìm ra nguyên nhân gây nên tình trạng này,
họ đang phải gánh chịu một đợt tấn công DDoS với quy mô vài ngàn máy tính liên tục
gửi hàng triệu request đến các server dịch vụ làm các server này không thể phục vụ các
user thông thường khác
- Vài ngày sau, một sự kiện tương tự diễn ra nhưng có phần “ồn ào” hơn do một
trong các nạn nhân mới là hãng tin CNN, amazon.com, buy.com, Zdnet.com, Etrade.com, Ebay.com. Tất cả các nạn nhân là những gã khổng lồ trên internet thuộc nhiều
lĩnh vực khác nhau. Theo Yankke Group, tổng thiệt hại do cuộc tấn công lên đến 1.2 triệu
USD, nhưng không đáng kể bằng sự mất mát về lòng tin của khách hàng, uy tín của các
công ty là không thể tính được.
- Làm đảo lộn mọi dự tính, thủ phạm là một cậu bé 15 tuổi người Canada, với
nickname “mafiaboy”. Lại là một thiên tài bẩm sinh như Kevin Mitnick xuất hiện?
Không. Mafiaboy chỉ tìm tòi và download về một số chương trình công cụ của các
hacker. Cậu đã dùng một công cụ DDos có tên là TrinOO để gây nên các cuộc tấn công
kiểu DDoS khủng khiếp trên. Một điểm đáng lưu ý khác là Mafiaboy bị bắt do tự khoe
khoang trên các chatroom công cộng, không ai tự truy tìm được dấu vết của cậu bé này.
SVTH: NHÓM 10 – LỚP MM03C
19
TÌM HIỂU VỀ AN NINH MẠNG VÀ KỸ THUẬT TẤN CÔNG TỪ CHỐI DỊCH VỤ
- Còn rất nhiều gã khổng lồ khác đã gục ngã dưới các cuộc tấn công kiểu DDoS sau
đó, trong đó có cả Microsodt. Tuy nhiên cuộc tấn công trên là điển hình nhất về DDoS,
nó nói lên một đặc điểm chết người của DDoS: “Rất dễ thực hiện, hầu như không thể
tránh, hậu quả rất nặng nề”.
- Một tấn công DDoS được thực hiện sẽ rất khó để ngăn chặn hoàn toàn.
- Những gói tin đến Firewall có thể chặn lại, nhưng hầu hết chúng đều đến từ những
địa chỉ IP chưa có trong các Access Rule của Firewall và là những gói tin hoàn toàn hợp
lệ.
- Nếu địa chỉ nguồn của gói tin có thể bị giả mạo, sau khi bạn không nhận được sự
phản hồi từ những địa chỉ nguồn thật thì bạn cần phải thực hiện cấm giao tiếp với địa chỉ
nguồn đó.
- Tuy nhiên một mạng Botnet bao gồm từ hàng nghìn tới vài trăm nghìn địa chỉ IP
trên Internet và điều đó là vô cùng khó khăn để ngăn chặn tấn công.
3.2.4. Kẻ tấn công khôn ngoan.
Giờ đây không một kẻ tấn công nào sử dụng luôn địa chỉ IP để điều khiển mạng
Botnet tấn công tới đích, mà chúng thường sử dụng một đối tượng trung gian dưới đây là
những mô hình tấn công DDoS
a. Agent Handler Model
Kẻ tấn công sử dụng các handler để điều khiển tấn công
SVTH: NHÓM 10 – LỚP MM03C
21
TÌM HIỂU VỀ AN NINH MẠNG VÀ KỸ THUẬT TẤN CÔNG TỪ CHỐI DỊCH VỤ
Hình 3. 1. Mô hình Agent Handler
b. Tấn công DDoS dựa trên nền tảng IRC
Kẻ tấn công sử dụng các mạng IRC để điều khiển, khuyếch đại và quản lý kết nối
với các máy tính trong mạng Botnet.
Hình 3. 2. Mô hình Tấn công DDoS dựa trên nền tảng IRC
update RFC 2810, 2811, 2812, 2813) dựa trên kiến trúc client-server. Hầu hết mọi server
IRC đều cho phép truy cập miễn phí, không kể đối tượng sử dụng. IRC là một giao thức
mạng mở dựa trên nền tảng TCP (Transmission Control Protocol - Giao thức điều khiển
truyền vận), đôi khi được nâng cao với SSL (Secure Sockets Layer - Tầng socket bảo
mật).
Một server IRC kết nối với server IRC khác trong cùng một mạng. Người dùng IRC
có thể liên lạc với cả hai theo hình thức công cộng (trên các kênh) hoặc riêng tư (một đối
một). Có hai mức truy cập cơ bản vào kênh IRC: mức người dùng (user) và mức điều
hành (operator). Người dùng nào tạo một kênh liên lạc riêng sẽ trở thành người điều
hành. Một điều hành viên có nhiều đặc quyền hơn (tuỳ thuộc vào từng kiểu chế độ do
người điều hành ban đầu thiết lập ) so với người dùng thông thường.
Các bot IRC được coi như một người dùng (hoặc điều hành viên) thông thường.
Chúng là các quy trình daemon, có thể chạy tự động một số thao tác. Quá trình điều khiển
các bot này thông thường dựa trên việc gửi lệnh để thiết lập kênh liên lạc do hacker thực
SVTH: NHÓM 10 – LỚP MM03C
24
TÌM HIỂU VỀ AN NINH MẠNG VÀ KỸ THUẬT TẤN CÔNG TỪ CHỐI DỊCH VỤ
hiện, với mục đích chính là phá hoại. Tất nhiên, việc quản trị bot cũng đòi hỏi cơ chế
thẩm định và cấp phép. Vì thế, chỉ có chủ sở hữu chúng mới có thể sử dụng.
Một thành phần quan trọng của các bot này là những sự kiện mà chúng có thể dùng
để phát tán nhanh chóng tới máy tính khác. Xây dựng kế hoạch cần thận cho chương
trình tấn công sẽ giúp thu được kết quả tốt hơn với thời gian ngắn hơn (như xâm phạm
được nhiều máy tính hơn chẳng hạn). Một số n bot kết nối vào một kênh đơn để chờ lệnh
từ kẻ
Tấn công thì được gọi là một mạng botnet.
Cách đây chưa lâu, các mạng zombie (một tên khác của máy tính bị tấn công theo
Copyright: Tài liệu đại học ©