Tải bản đầy đủ (.pdf) (12 trang)
  1. Trang chủ
    2. >>
  2. Luận Văn - Báo Cáo
    3. >>
  3. Thạc sĩ - Cao học

Nghiên cứu giải pháp chống tấn công DDoS cho các Website

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (3.1 MB, 12 trang )

<span class="text_page_counter">Trang 1</span><div class="page_container" data-page="1">

KẾT LUẬN

<small>Sau khi đi nghiên cứu về các phương pháp tan cơng mạng và tìm</small> hiểu sâu về các kiểu tân công DDoS, luận văn đã đạt được một số kết <small>quả nhất định về giải pháp chống tấn công DDoS cho các website, cụ</small> thể luận văn đã thực hiện các nội dung sau:

Nghiên cứu tổng quan về phát hiện xâm nhập mạng

Nghiên cứu một sô kỹ thuật sử dụng để phát hiện ra tấn cơng <small>DDoS như: thuật tốn Cusum, thuật tốn SIM, cơ chế kiểm tra địa</small> chỉ nguồn IAD

Nghiên cứu và phân tích một số giải pháp phịng chống tấn cơng DDoS như: sử dụng giao thức AITF, thiết lập giao thức lan toả ngược <small>và một số phần mềm thiết lập phịng chống tấn cơng DDoS như:FortGuard Firewall hay Snort để từ đó giúp tăng cường hiệu quả an</small>

<small>tồn thơng tin cho các website.</small>

<small>Thử nghiệm thành công hệ thống phát hiện xâm nhập trái phépbằng mã nguồn mở snort</small>

<small>Tuy nhiên về mặt thời gian nghiên cứu có hạn, phạm vi nghiên</small> cứu chưa được sâu rộng và mô phỏng chủ yếu được thực hiện trên hệ

thống giả lập...các kết quả đạt được trong bài luận văn không tránh

khỏi những hạn chế nhất định

Hướng phát triển tiếp theo của luận văn:

<small>- Di sâu nghiên cứu phương pháp phát hiện đột nhập lai có khảnăng kết hợp nhiều nguồn đữ liệu và các kỹ thuật phat hiện.</small>

<small>- Hoàn thiện giao thức lan tỏa ngược có thể tính các địa chỉ IP</small> mới một cách chỉ tiết hơn nữa để hạn chế tối đa việc chặn nhằm và <small>việc tự động chạy giao thức lan tỏa ngược trên các router.</small>

MO DAU

<small>Trong thời đại công nghệ thông tin như hiện nay, khi mà Internet</small>

trở nên quen thuộc và dần trở thành một công cụ không thé thiếu trong cuộc sống thì lợi ích của website đối với cơ quan nhà nước nói chung,

<small>người dân và các doanh nghiệp nói riêng là vơ cùng lớn{ I, 3].</small>

<small>Bên cạnh đó, các hình thức phá hoại mạng cũng trở nên tinh vi và</small>

phức tạp hơn. Do đó với mỗi hệ thống, nhiệm vụ bảo mật được đặt ra cho

người quan trị mang là hết sức quan trọng và cần thiết. Xuất phát từ những thực tế đó, việc tìm hiểu về các cách tắn cơng phổ biến nhất hiện nay và các cách phòng chống cho các loại tấn công này là rất thiết thực.

Tan công từ chối dich vụ phân tán (DDoS) đã phát triền mạnh mẽ

trong những năm gần đây và là một mối đe dọa thường trực đối với hệ

thống mạng và máy chủ dich vụ của các cơ quan và tổ chức[12]. Tan

công từ chối dịch vụ gây cạn kiệt tài nguyên hệ thống hoặc ngập lụt

đường truyền, làm ngắt quãng quá trình cung cấp dịch vụ cho người dùng hợp pháp, hoặc thậm chí khiến cả hệ thống ngừng hoạt động. Tan cơng

DDoS rat khó phát hiện và phịng chống hiệu quả do số lượng các Host bị

điều khiển tham gia tấn công thường rất lớn và nằm rải rác ở nhiều nơi.

Để có giải pháp phịng chống tấn cơng DDoS hiệu quả, việc nghiên cứu

về các dạng tin công DDoS là cần thiết.

Phịng chống tan cơng từ chối dịch vụ( DDoS), đặc biệt là các cuộc tấn công từ chối dich vụ phân tán vào các Website vẫn đang là dé tài nhận được rất nhiều quan tâm của các nhà nghiên cứu. Bên cạnh những khó khăn đo cơ sở hạ tang mạng cịn yếu kém, sự phát triển khơng ngừng của các công cu và phương pháp tấn công khiến cho việc phịng và chống tắn

cơng từ chối dịch vụ trở thành một vấn đề rất nan giải. Như vậy đề giải quyết van đề này em chọn đề tài "Nghiên e_ u giải pháp chống tấn công

<small>DDoS cho các Website". "</small>

<small>Tổng quan về van đề nghiên cứu</small>

Theo Cục An tồn thơng tin[20], năm 2014 thì Việt Nam nằm trong danh sách các nước có tỷ lệ website mất an tồn thơng tin cao khoảng

</div><span class="text_page_counter">Trang 2</span><div class="page_container" data-page="2">

66%. Trong khi tỷ lệ này trên thế giới (theo Micirosoft thống kê) chỉ là

Theo trung tâm ứng cứu khẩn cấp VNCERT cho biết[20], trong

năm 2014, Việt Nam cũng hứng chịu hơn 19.000 cuộc tấn công mạng,

chủ yếu là tan công bằng DDoS. Cụ thể, có hơn 8.000 cuộc tan cơng thay đổi giao diện đối với các hệ thống có tên miền ".vn" và hơn 200 cuộc tấn công thay đổi giao diện các hệ thống có tên miền chính phủ ".gov.vn".

Khối doanh nghiệp chịu nhiều cuộc tấn công nhất với tỷ lệ 42%, tiếp đến

là khối cơ quan, tổ chức nhà nước với 38%. Và dự báo tỷ lệ tắn cơng <small>mạng của Việt nam cũng đang có xu hướng tăng lên trong năm 2015, đặc</small> biệt là tan công bằng phương thức từ chối dịch vụ DDoS.

Hiện nay cách phịng chống tấn cơng DDoS ln là chủ đề quan tâm của nhiều đơn vị có website giao dịch, nó làm cho hệ thống ngưng trệ, gián đoạn hoặc không thé giao dịch và gây tồn thất lớn cho đơn vị.

Từ mục tiêu nghiên cứu đặt ra, ngoài phần mở đầu, kết luận và

<small>danh mục tài liệu tham khảo, nội dung của luận văn được trình bày trongba chương với các nội dung sau:</small>

Chương 1: Tổng quan về các phương thức tan cơng mạng phố

biến hiện nay

Trình bày tổng quan về cách thức hoạt động và các dịch vụ ứng dụng trên nền website cũng như mô tả chỉ tiết một số cách thức tắn cơng mạng máy tính phé biến hiện nay.

<small>Chương 2: Các cơ sở phân tích phát hiện DDoS</small>

"Trong chương này luận văn sẽ tập trung vào phân tích các cuộc tấn

cơng mạng máy tính bang DDoS và từ đó xây dựng một số thuật tốn đề phát hiện các dạng tân công DDoS.

Chương 3: Xây dựng giải pháp phịng chống tắn cơng DDOS

<small>cho các Website</small>

Trong chương này tác giả sẽ trình bày về một số giải pháp lựa chọn dé phịng chống tan cơng DDoS cho các website. Từ đó làm cơ sở phịng

chống tấn cơng mạng một cách hiệu quả.

Như vậy, trong trường hop áp dụng ma nguồn mở snort ta có thể

phân tích, cảnh báo và phát hiện được các cuộc tắn công xâm nhập mạng <small>trái phép.</small>

3.5. Kết luận chương 3

<small>Trong nội dung chương 3 này, luận văn đã tập trung đi phân tích</small>

bài tốn các u cầu khó khăn trước sự tan cơng DDoS, nêu các mục tiêu

và hướng xây dựng phịng chống, từ đó làm cơ sở đề xuất ra một số giải

pháp phịng chống tắn cơng DDoS như: giao thức AITF, giao thức lan tỏa ngược, thiết lập mơ hình firewall hay dùng một số phần mềm dé phòng chống, trong đó với phần mềm mã nguồn mở snort. Trong các giải pháp,

luận văn đã chọn mã nguồn mở snort nêu trên làm thử nghiệm và đánh

giá kết quả của hệ thống phát hiện xâm nhập trái phép và làm cơ sở báo

<small>cáo của luận văn.</small>

</div><span class="text_page_counter">Trang 3</span><div class="page_container" data-page="3">

Hình 3.20: Công cụ thực hiện tấn công DoS

Bước 3: Hệ thông cảnh báo phát hiện xâm nhập trái phép bằng tấn

Chương 1: TONG QUAN VE CÁC PHƯƠNG THUC TAN

<small>CONG MANG PHO BIEN HIEN NAY</small>

<small>1.1. Mô ta website và cách thức hoạt động</small>

<small>Website là một “trang web” trên mạng Internet, đây là nơi giới</small>

thiệu những thơng tin, hình ảnh về đoanh nghiệp và sản phẩm, dịch vụ

của doanh nghiệp (hay giới thiệu bat cứ thơng tin gì) để khách hàng có thé

truy cập ở bắt kỳ nơi đâu, bất cứ lúc nào.

Website là tập hợp nhiều trang [web page]. Khi doanh nghiệp xây

dựng website nghĩa là đang xây dựng nhiều trang thông tin, catalog sản

phẩm, dịch vụ....Để tạo nên một website cần phải có 3 yếu tố cơ bản [3]:

- Cần phải có tên miền (domain). <small>- Nơi lưu trữ website (hosting).</small>

<small>- Nội dung các trang thông tin [web page].</small>

1.2. Các dịch vụ và loại hình ứng dụng trên nền Web

Các dịch vụ web (web service): là sự kết hợp các máy tính cá

nhân với các thiết bị khác, các cơ sở dữ liệu và các mạng máy tính để tạo thành một cơ cấu tính tốn ảo mà người sử dụng có thể làm việc thơng <small>qua các trình duyệt mang[1]. Bản thân các dịch vụ này sẽ chạy trên các</small> máy chủ trên nền Internet chứ không phải là các máy tính cá nhân, do vậy có thé chuyền các chức năng từ máy tính cá nhân lên Internet. Người sử

dụng có thé làm việc với các địch vụ thơng qua bat kỳ loại máy nào có hỗ

trợ web service và có truy cập Internet, kể cả các thiết bị cam tay. Do đó

các web service sẽ làm Internet biến đổi thành một nơi làm việc chứ không phải là một phương tiện để xem và tải nội dung.

<small>Với công nghệ hiện nay, website không chỉ đơn giản là một trang</small>

tin cung cấp các tin bài đơn giản. Những ứng dụng viết trên nền web không chỉ được gọi là một phần của website nữa, giờ đây chúng được gọi là phần mềm viết trên nền web.

Có rất nhiều phần mềm chạy trên nền web như Google word (xử lý

<small>văn bản), Google spreadsheets (xử lý bảng tinh), Email ,...</small>

</div><span class="text_page_counter">Trang 4</span><div class="page_container" data-page="4">

Chúng ta có thể phân loại các ứng dụng web này thành hai loại

<small>chính: ứng dụng web Public và ứng dụng web Private [5].</small>

- Ung dung web Public: là website dùng dé quảng bá thông tin,

cung cấp và trao đổi thơng tin với với bên ngồi như các website thương <small>mại điện tử, các website của các cơng ty chứng khốn, các ngân hàng,...</small>

- Ung dụng web Private: là các website cung cấp và trao đổi thông tin trong một tổ chức, doanh nghiệp và các đối tác chiến lược,... Các website này thường dùng dé cung cấp thơng tin cho các văn phịng, chi

<small>nhánh, các nhân viên đi công tác hoặc làm việc tại nhà và đơi khi là cho</small>

các đối tác chiến lược kết nói qua môi trường internet.

1.3. Các nguy cơ đối với hệ thống và những điểm yếu của ứng dụng web

Các nguy cơ đối với hệ thống web:

- Nguy cơ bị tấn công từ chối dịch vụ (DoS, DDoS) làm cho hệ

thống khơng cịn khả năng phục vụ các u cầu chính đáng

- Nguy cơ bị thay đổi nội dung trang web làm giảm uy tín hoặc bơi

nhọ tổ chức.

- Nguy cơ bị kẻ xấu làm sai lệch các thông tin khi thực hiện các <small>giao dịch điện tử trên môi trường internet.</small>

- Nguy cơ bị đánh cắp các thông tin nhạy cảm như: thông tin tài khoản, mật khâu truy cập hệ thống và thông tin thẻ tin dụng,...

1.4. Các phương thức tan công mạng

Các phương thức tấn công mạng như: tắn công trực tiếp, nghe trộm,

giả mạo địa chỉ IP, vơ hiệu hố chức năng hệ thống, tan cơng vào yếu tố <small>con người.</small>

Tấn công trực tiếp: Những cuộc tan công trực tiếp thông thường

được sử dụng trong giai đoạn đầu để chiếm được quyền truy nhập bên

Nghe trộm:Việc nghe trộm thơng tin trên mạng có thé đưa lại

những thơng tin có ích như tên, mật khẩu của người sử dụng, các thông

tin mật chuyển qua mạng.

Bước 3: Hệ thống cảnh báo phát hiện xâm nhập trái phép bằng

<small>Dieplaing tons 1-48 of 91 toa</small>

<small>T—— =Tmenmp> Em Beat Adn>. Layer a Prato</small>

Xây dựng kịch ban tắn công ngập tràn băng thong

Bước 1: Dé snort phát hiện được các trường hợp tan công đến máy

chủ, can xây dựng các tập luật (rule), Do đó ta viết luật trong snort.conf:

<small>Alert udp any any -> $HOME_NET (msg: “Co nguoi dang tan</small>

<small>cong web”; conten: “server”; classtype: DoS;)</small>

Bước 2: Dùng công cụ ByteDoS, đây là công cụ rất mạnh hiện nay, các Hacker thường ding dé tan công DoS từ máy Client, chỉ cần nhập địa

chi IP hoặc tên miền website và với dữ liệu ban đầu từ 0.56Mb/sec, trong

khoảng thời gian gắn dữ liệu sẽ được tăng lên rất nhanh và tất cả dữ liệu đó sẽ đây lên địa chỉ IP của máy chủ và cuối cùng làm cho máy chủ bị tê

liệt băng thông hoặc gián đoạn đường truyền mạng.

</div><span class="text_page_counter">Trang 5</span><div class="page_container" data-page="5">

Bước 4: Trong đó, chúng ta cũng có thể vào cơ sở dữ liệu

phpMyAdmin của snort dé xem cảnh báo hoặc chỉnh sửa, xóa những địa chỉ khơng cần thié

<small>Hình 3.17. Bảng lưu trữ cơ sở dữ liệu của Snortb. Kịch bản thử nghiệm 2</small>

Xây dựng kịch bản điều khiển máy chủ từ xa bằng Remote Desktop Bước 1: Dé snort phát hiện được các trường hợp điều khiển từ xa

đến máy chủ, cần xây dựng các tập luật (rule), Do đó ta viết luật trong <small>snort.conf:</small>

<small>Alert udp any any -> $HOME_NET 3389 (msg: “Remote</small>

<small>Desktop”; sid: 10000003; rev:001;)</small>

Bước 2: Dùng Remote Desktop của máy client dé truy cập từ xa

<small>vào máy chủ</small>

<small>Remote Desktop</small>

<small>2® Connection</small>

<small>Username: None specitod</small>

<small>‘You vl be asked for credentials when you connect</small>

<small>ly Correcting teeo) 192.168 10.129</small>

<small>Desktop Connection x</small>

<small>Inviting remote connection</small>

Hinh 3.18: Diéu khién Remote Desktop tir xa

Giá mạo dia chỉ: Giả mao địa chi IP có thé được thực hiện thông

qua việc sử dụng khả năng dẫn đường trực tiếp (source-routing).

Vơ hiệu hố ch c năng của hệ thong: Đây là kiểu tắn công nhằm tê liệt hệ thống, khơng cho nó thực hiện chức năng mà nó thiết kế.

Lỗi của người quản trị hệ thống: Đây không phải là một kiểu tan

công của những kẻ đột nhập, tuy nhiên lỗi của người quản trị hệ thống

thường tạo ra những lỗ hồng cho phép kẻ tấn công sử dụng để truy nhập

<small>vào mạng nội bộ.</small>

Tấn công vào yếu t6 con người: Kẻ tan cơng có thé liên lạc với một người quản trị hệ thống, giả làm một người sử dụng dé yêu cầu thay đồi mật khẩu, thay đổi quyền truy nhập của mình đối với hệ thống, hoặc thậm chí thay đổi một số cấu hình của hệ thống đề thực hiện các phương pháp

tan công khác.

1.5. Một số kiểu tấn cơng mạng máy tính phố biến hiện nay

<small>- Trojan và Backdoor</small>

- Kiểu tấn công Local Attack

- Tấn công bằng phương pháp SQL injection

- Tấn công Cross Site Scripting (XSS) - Tan công điển yếu cơ sở hạ tang

- Tấn công vào mật khẩu password attack

- Tan công bằng mã độc

- Tấn công giả mạo địa chí, nghe trộm

- Tan cơng Port redirection - Tấn cơng từ chối dich vụ

a. Tan công từ chối dich vụ DoS

DoS (Denial of Service) có thé mơ tả như hành động ngăn cản <small>những người dùng hợp pháp của một dịch vụ nào đó truy cập và sử dụng</small>

dịch vụ đó. Nó bao gồm cả việc làm tràn ngập mạng, làm mắt kết nối với

dịch vụ... mà mục đích cuối cùng là làm cho server không thể đáp ứng

được các yêu cầu sử dụng dịch vụ từ các client. DoS có thể làm ngưng

</div><span class="text_page_counter">Trang 6</span><div class="page_container" data-page="6">

hoạt động của một máy tính, một mạng nội bộ, thậm chí cả một hệ thống

mang rất lớn. Thực chất của DoS là kẻ tan công sẽ chiếm dụng một lượng

lớn tài nguyên mạng như băng thông, bộ nhớ... và làm mắt khả năng xử lý các yêu cầu dịch vụ đến từ các client khác.

b. Tan công từ chối dịch vụ phân tán DDoS

Tắn công từ chối dich vụ phân tán (DDoS) đã phát triển mạnh mẽ

trong những năm gần đây và là một mối đe dọa thường trực đối với hệ thống mạng và máy chủ dịch vụ của các cơ quan và tô chức. Tắn công từ

chối dich vụ gây cạn kiệt tài nguyên hệ thống hoặc ngập lụt đường truyền, làm ngắt quãng quá trình cung cấp dịch vụ cho người dùng hợp pháp,

hoặc thậm chí khiến cả hệ thống ngừng hoạt động

Tắn cơng DDoS có hai mơ hình chính: mơ hình Agent — Handler và

<small>mơ hình IRC — Based [7].</small>

<small>TCP upp ICMP Tc | | uve | | tcwp</small>

Hình 1.1. Sơ dé tổng quan kiểu tắn cơng DDoS

c. Tan công từ chối dịch vụ phản xạ nhiều vùng DRDoS

DRDoS(Distributed Reflection Denial of Service) là chiếm đoạt toàn bộ băng thông của máy chủ, tức là làm tắc ngẽn hoàn toàn đường kết

nối từ máy chủ vào xương sống của Internet và tiêu hao tài nguyên máy

chủ. Trong suốt q trình máy chủ bị tấn cơng bằng DRDoS, khơng một máy khách nào ch thé kết nối được vào máy chủ đó. Tất cả các dịch vụ

chạy trên nền TCP/IP như DNS, HTTP, FTP, POP3, ... đều bị vô hiệu <small>hóa.</small>

Bước 1: Dé Snort phát hiện được các trường hợp truy cập đến máy

chủ, cần xây đựng các tập luật (rule), đối với trường hợp thử nghiệm có người dang ping hoặc truy cập website, ta viết luật trong snort.conf:

<small>Alert icmp any any -> $HOME_NET any (msg: “Phat hien co</small>

<small>nguoi dang ping”; sid: 1000003; rev: 1;)</small>

Bước 2: Ding Zenmap trên máy tinh dé quét công hoặc ping đến

Bước 3: Truy cập vào giao diện của Base dé kiểm tra hệ thống phat

hiện xâm nhập, khi đó Base sẽ biết được các tham số như: thời gian thâm

<small>nhập (Timestamp), Câu lệnh thông báo (Signature), địa chỉ IP của máy</small>

tấn công (Source Address), địa chỉ của máy chủ (Dest. Address)

<small>Hình 3.16: Snort phát hiện địa chi xâm nhập trái phép</small>

</div><span class="text_page_counter">Trang 7</span><div class="page_container" data-page="7">

3.4. Xây dựng thứ nghiệm một số kịch bản phát hiện xâm nhập mạng

Trong các giải pháp đã đề xuất ở trên, tác giả đã chọn một giải pháp

mã nguồn mở Snort đề thực nghiệm trong luận văn này.

<small>3.4.1. Cài đặt Snort</small>

<small>- Cài đặt các gói hỗ trợ cho Web</small>

- Cấu hình firewall, tắt các dịch vụ khơng cần thiết, bật httpd và mysql <small>- Khởi động httpd và mysql</small>

- Update hệ thống.

<small>- Sửa file sshd_conf</small>

<small>- Tạo người dùng và nhóm người dùng cho Snort</small>

<small>- Tạo thư mục chứa snort, rules, so_rules, log cho snort</small> - Cấu hình file snort.conf

- Cấu hình MySQL <small>- Cài dat PEAR</small>

3.42.Thứ nghiệm một số kịch ban phát hiện xâm nhập mạng trái pháp

<small>Mơ hình thử nghiệm</small>

<small>Mơ hình thử nghiệm phát hiện xâm nhập mạng được minh hoa theo</small>

hình 3.14 đưới đây. Trong đó Snort giám sát tồn bộ hệ thống lưu lượng mạng đi đến máy chủ đê phát hiện hành vi xâm nhập:

Về cơ ban, DRDoS là sự phối hợp giữa hai kiều DoS và DDoS. Nó

có kiểu tan cơng SYN với một máy tính đơn, vừa có sự kết hợp giữa

nhiều máy tính dé chiếm dụng băng thơng như kiều DDoS. Kẻ tan công thực hiện bằng cách giả mạo địa chỉ của server mục tiêu rồi gửi yêu cầu

SYN đến các server lớn như Yahoo,Micorosoft,...dé các server này gửi

các gói tin SYN/ACK đến server mục tiêu. Các server lớn, đường truyền

mạnh đã vơ tình đóng vai trị zoombies cho kẻ tan cơng như trong DDoS. Q trình gửi cứ lặp lại liên tục với nhiều địa chi IP giáp từ kẻ tan

công, với nhiều server lớn tham gia nên server mục tiêu nhanh chóng bị

quá tải, bandwidth bị chiếm dụng bởi server lớn. Tính nghệ thuật là ở chỗ

chỉ cần với một máy tính với modem 56kbps, một hacker lành nghề có thể đánh bại bất cứ máy chủ nào trong giây lát mà không cần chiếm đoạt

bat cứ máy nào dé làm phương tiện thực hiện tan công. 1.6. Phân loại tấn công DDoS

1.6.1.Những kiểu tấn công làm cạn kiệt băng thông của mang <small>(BandWith Depletion)</small>

Kiểu tin công này được thiết kế nhằm làm tràng ngập mạng mục

tiêu với những lưu lượng mạng không cần thiết, với mục đích làm giảm

tối thiểu khả năng của các lưu lượng mạng hợp lệ đến được hệ thông cung cấp dich vu của mục tiêu. 1.6.2. Những kiéu tấn công làm cạn kiệt tài <small>nguyên (Resource Deleption)</small>

Đây là kiểu tắn công trong đó Attacker gởi những gói tin ding các

giao thức sai chức năng thiết kế, hay gửi những gói tin với dụng ý làm tắt <small>nghẽn tài nguyên mạng làm cho các tài nguyên này không phục vụ ngườidùng thông thường khác được. Chúng được chia làm 2 loại:</small>

- Tan công bằng giao thức Protocol Exploit: - Tan công bằng gói tin Malformed Packet: 1.7. Kết luận chương 1

Trong chương này luận văn đã trình bày được tổng quan về các

phương thức tan cơng mạng máy tính phơ biến hiện nay như: mô tả cách

</div><span class="text_page_counter">Trang 8</span><div class="page_container" data-page="8">

thức hoạt động của website, các dịch vụ và ứng dụng trên nền web, phân loại mức độ nguy hiểm trong lỗ hồng bảo mật, sau đó tập trung mơ tả chỉ tiết một số kiểu tan công mạng. Tuy nhiên tác giả vẫn chỉ nêu một cách khái quát chung nhất. Từ đó làm cơ sở đề nghiên cứu tiếp phần sau.

3.2.2. Định hướng xây dựng phịng chỗng tan cơng DDoS

Có thé phân loại các phương pháp giải quyết DDoS theo hai tiêu

<small>chí là thời gian và vi trí. Xét theo thời gian, có hai xu hướng: trước (phịng.</small>

ngừa) và sau (phản ứng lại khi cuộc tấn công xảy ra). Xét theo vị trí đặt trung

tâm điều khiển việc xử lý phịng chống DDoS, thì có các vị trí: gần Victim, gan Attacker, trong phần lõi của Internet hoặc kết hợp nhiều vi trí..

3.3. Một số giải pháp phịng chống DDoS hiệu quả

3.3.1.Sứ dụng giao th c AITF 3.3.2.Giao th c lan tod ngược

3.3.3.Thiết lập mơ hình Firewall trên hệ thong

3.3.4.Một số phan mém phát hiện và phịng chống tắn cơng DDoS a. Phần mềm NetFlow Analyzer

NetFlow Analyzer, một công cụ phân tích lưu lượng đầy đủ, thúc

đây cơng nghệ phân tích lưu lượng để cung cấp khả năng hiền thị thời

gian thực và hiệu suất băng thông mạng. Chủ yếu NetFlow Analyzer là một công cụ giám sát băng thông, đã được tối ưu hóa hàng ngàn mạng

lưới trên tồn thé giới bằng cách đưa ra cái nhìn tồn diện về băng thông

<small>mạng và các mẫu lưu lượng truy cập.</small>

b. Phần mềm D-Guard Anti-DDoS Firewall

D-Guard Anti-DDoS Firewall cung cấp đáng tin cậy nhất và nhanh

nhất bảo vệ DDoS cho các doanh nghiệp trực tuyến, và các dịch vụ phương tiện truyền thông, thiết yếu hạ tầng công cộng và cung cấp dịch

<small>vụ Internet.</small>

c. Phần mềm mã nguồn mở Snort

Snort là một hệ thống phát hiện và phòng chống xâm nhập mã

nguồn mở được đóng gói thành nhiều sản phẩm phù hợp cho từng doanh

nghiệp được phát triển do công ty Sourcefire điều hành bởi Martin Roesch. Snort hiện nay đang là công nghệ IDS/IPS được triển khai rộng rãi trên toàn thế giới

</div><span class="text_page_counter">Trang 9</span><div class="page_container" data-page="9">

Victim, điểm tụ tan cơng sẽ gần sát nạn nhân, và hệ thơng phịng thủ sẽ rất

khó có thể chéng từ phía xa. Ngồi ra, hệ thống Agent phân tán cũng đồng nghĩa với sự phức tạp, phong phú, khác biệt về mơ hình quản lý

mạng giữa các ISP khác nhau, vì thế các cơ cơ chế phòng thủ yêu cầu sự

phối hợp từ nhiều nơi sẽ triển khai khó khăn hơn rất nhiều.

- Những điểm yếu trên mơ hình mạng Internet: Có những cơ chế,

giao thức mang mà khi thiết kế chưa lường trước được những điềm yếu

có thé bị lợi dụng (ví dụ TCP SYN, ping of Death, LAND Attack...). Đôi khi là lỗi của nhà quản trị khi cấu hình các policy mạng chưa hợp lý.

3.2. Mục tiêu và định hướng xây dựng phịng chống tấn cơng DDoS 3.2.1. Các mục tiêu chính can đạt được như sau:

- Tính hiệu quả: yêu cầu các thành phần tham gia vào hệ thống phịng thủ: victim, router... đều khơng phải chịu thêm tải q nặng. Ví dụ khi bình thường CPU Usage của Server chỉ chạy 10% đề phục vụ cho các Client, nhưng sau khi cài đặt hệ thống phòng thủ vào, cho dù chưa xảy ra DDoS thì CPU Usage do phải tính tốn thêm nhiều nên đã lên đến 20% là không chấp nhận được.

- Tinh trọn ven: Một hệ thơng phịng thủ tốt cần phải bảo vệ Victim được khỏi tat cả các kiểu tan cơng DDoS. Bởi vì đối với Attacker, một khi đã điều khiển được mạng botnet thì hắn hồn tồn có thé sử dụng nhiều kịch bản tấn công khác nhau, lợi dụng nhiều điểm yếu của giao thức, của mạng hoặc thay đổi thông số bên trong packet. Vì thế nếu hệ

thống chỉ có thé phịng thủ được 1 số cách tân cơng nhất định, thì khi

attacker thay đơi, hệ thống đó sẽ sụp đồ hoàn toàn.

- Cung cấp dịch vụ cho tắt cả các traffic hợp lệ: đây là yêu cầu

quan trọng nhất khi triển khai một hệ thống phòng thủ DDoS.

- Chi phí và điều hành tháp: đây cũng là yêu cầu của các đơn vị khi triển khai ứng dụng và giảm tối thiểu chỉ phí cũng như điều hành hệ

thơng được an tồn.

Chương 2: CAC CƠ SO PHAN TÍCH PHÁT HIỆN DDOS

2.1. Hệ thống phát hiện DDoS hiện nay

Có thé thấy, kha năng phát hiện một cuộc tắn công ngay lập tức sẽ

ảnh hưởng rất lớn đến quá trình ngăn chặn và làm giảm đến mức thấp

nhất tác hại mà một cuộc tan công DDoS gây ra.

Hiện nay các hệ thống phát hiện đang được phát triển va khá công

phu. Hầu hết đã phát hiện được các loại tấn công DoS và DDoS nhưng

khó có thé đạt được độ chính xác cao.

Những hệ thống phát hiện DDoS này thường sử dụng rất nhiều phương thức dé dd tìm và phát hiện. Thông thường các công cụ này so sánh lưu lượng hiện tại với lưu lượng có thể chấp nhận được. Cơng nghệ

này vẫn cịn có một vài thiếu sót. Trước tiên, ngưỡng này thường đặt tĩnh

và yêu cầu người sử dụng phải cấu hình đề phù hợp với mọi mơi trường,

tuy nhiên sẽ khó có thé thay đổi thích ứng với mơi trường mới. Thứ hai, chỉ có một số ít các ngưỡng được thiết lập vì sự thống kê chỉ tiết các giao

<small>thức khơng có giá trị cho người sử dụng. Thứ ba, ngưỡng chỉ áp dụng ở</small>

mức độ tổng hợp cao. Sự thiếu sót này có thể dẫn tới sự đánh giá sai về

tính rõ ràng và tính phủ định của hệ thống phát hiện. Thậm chí một phát hiện sự xâm hại có thể chặn nhằm một địa chỉ hợp lệ.

Do vậy, để hiệu quả một hệ thống phát hiện xâm nhập phải thêm

nhiều tính năng dé phát hiện và phân biệt một sự tắn công với các hoạt <small>động bình thường.</small>

2.2. Các kỹ thuật phát hiện dấu hiệu tắn công

<small>2.2.1. Phát hiện sự lạm dụng (Misuse Detection Model)</small>

Phát hiện sự lạm dụng là phát hiện những kẻ xâm nhập đang cố

gắng xâm nhập vào hệ thống mà sử dụng một số kỹ thuật đã biết. Nó liên quan đến việc mơ tả đặc điểm các cách thức xâm nhập vào hệ thống đã

được biết đến, mỗi cách thức này được mô tả như một mẫu. Hệ thống

phát hiện sự lạm dụng chỉ thực hiện kiểm soát đối với các mẫu đã rõ ràng.

</div><span class="text_page_counter">Trang 10</span><div class="page_container" data-page="10">

Mau có thé là một xâu bit cé định (ví dụ như một virus đặc tả việc chèn

xâu),...dùng để mô tả một tập hay một chuỗi các hành động đáng nghi

ngờ. Ở đây, ta sử dụng thuật ngữ kịch bản xâm nhập (intrusion scenario). Một hệ thống phát hiện sự lạm dung điền hình sẽ liên tục so sánh hành

động của hệ thông hiện tại với một tập các kịch bản xâm nhập để cơ gắng

đị ra kịch bản đang được tiến hành. Hệ thống này có thể xem xét hành

động hiện tại của hệ thống được bảo vệ trong thời gian thực hoặc có thể là

các bản ghi kiểm tra được ghi lại bởi hệ điều hành. Các kỹ thuật dé phát <small>hiện sự lạm dụng khác nhau ở cách thức mà chúng mơ hình hố các hành</small>

vi chỉ định một sự xâm nhập. Các hệ thống phát hiện sự lạm dụng thé hệ đầu tiên sử dụng các luật (rules) để mơ tả những gì mà các nhà quản trị an ninh tìm kiếm trong hệ thống. Một lượng lớn tập luật được tích luỹ dẫn

đến khó có thể hiểu và sửa đổi bởi vì chúng khơng được tạo thành từng <small>nhóm một cách hợp lý trong một kịch bản xâm nhập.</small>

2.2.2. Phát hiện sự bat thường (Anomaly Detection Model)

Dựa trên việc định nghĩa và mô tả đặc điểm của các hành vi có thể chấp nhận của hệ thống dé phân biệt chúng với các hành vi khơng mong

muốn hoặc bat thường, tìm ra các thay đổi, các hành vi bat hợp pháp. Như <small>vậy, bộ phát hiện sự khơng bình thường phải có khả năng phân biệt giữa</small>

những hiện tượng thông thường và hiện tượng bắt thường. Ranh giới giữa

dạng thức chấp nhận được và dạng thức bất thường của đoạn mã và dữ

liệu lưu trữ được định nghĩa rõ ràng (chỉ cần một bit khác nhau), còn ranh

giới giữa hành vi hợp lệ và hành vi bat thường thì khó xác định hơn. Phát <small>hiện sự khơng bình thường được chia thành hai loại tinh và động</small>

<small>2.2.2.1. Phát hiện tĩnh</small>

<small>2.2.2.2.Phát hiện động</small>

2.3. Phân tích phát hiện các cuộc tắn công DDoS

Tn công DDoS là cuộc tan cơng từ một hệ thống các máy tính cực lớn trên Internet. Thông thường dựa vào các dịch vụ có sẵn trên các máy tính trong mạng. Chúng có các đặc điểm chính như sau [14]:

CHƯƠNG 3: XÂY DỰNG GIẢI PHÁP PHỊNG CHONG TAN

CƠNG DDOS CHO CÁC WEBSITE

3.1. Một số vấn đề đặt ra khi xây dựng hệ thống phịng chống tấn

<small>cơng DDoS</small>

Các van đề đặt ra chủ yếu tập trung theo hai hướng dé thực hiện

tan công DDoS: đó là nhằm vào điềm yếu (vulnerability attack) và làm

ngập mạng (flooding attack). Do có một số đặc tính về kĩ thuật khó khăn trong việc triển khai phịng ngừa các cuộc tan công DDoS:

<small>- Sự đơn giản: Một người sử dụng máy tính bình thường khơng</small>

rành về mạng cũng có thể thực hiện một cuộc tấn cơng DDoS. Bởi vì đã

có sẵn rất nhiều cơng cụ DDoS trên mạng và ca hướng dẫn sử dung rất chỉ tiết dé thực hiện.

- Sự đa dạng của các gói tin tan công: Sự giống nhau giữa các

traffic tắn công và các traffic hợp lệ làm quản trị viên khó có thé phân biệt được. Khác với các nguy cơ bảo mật như virut, worm, adware,... cần

phải có những gói tin mánh khóc, dé lợi dụng vào lỗ hong, nhưng flood

attack chỉ cần lưu lượng lớn traffic va header cũng như nội dung packet đều có thé tùy ý theo Attacker

- Sự giả mao IP: làm cho các luồng dữ liệu tấn công từ agents đến như là từ những người dùng hợp lệ. Vì thế quản trị viên rất khó phân

biệt dé có thé phát hiện các cuộc tấn công.

- Lượng traffic lớn, gửi với tan suất cao: Lượng traffic khổng lồ

<small>ma DDoS tạo ra không chi làm ngập tài nguyên cua Victim, mà còn làm</small>

quản trị viên rất khó mơ tả, phân tích và tách biệt được packet hợp lệ và packet tan công chúng.

- S6 lượng lớn các Agents: Một trong những điểm mạnh của tan

công DDoS là có thé huy động được 1 số lượng lớn Agent phân tán trên tồn Internet. Khi đó, luồng tấn công sẽ lan tỏa trên nhiều nhánh tới

</div>

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×