Tải bản đầy đủ (.pdf) (92 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. An ninh - Bảo mật

Nghiên cứu các giải pháp phát hiện tấn công từ chối dịch vụ ở lớp mạng

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.8 MB, 92 trang )

BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƢỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI
--------------------------------------Bùi Trung Thành

NGHIÊN CỨU CÁC GIẢI PHÁP PHÁT HIỆN TẤN CÔNG TỪ CHỐI
DỊCH VỤ Ở LỚP MẠNG

Chuyên ngành: Kỹ thuật truyền thông

LUẬN VĂN THẠC SĨ KỸ THUẬT
Kỹ thuật truyền thông

NGƢỜI HƢỚNG DẪN KHOA HỌC:
TS. Trƣơng Thu Hƣơng

Hà Nội – Năm 2015


CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập – Tự do – Hạnh phúc

BẢN XÁC NHẬN CHỈNH SỬA LUẬN VĂN THẠC SĨ
Họ và tên tác giả luận văn : BÙI TRUNG THÀNH
Đề tài luận văn: Nghiên cứu các giải pháp phát hiện tấn công từ chối

dịch vụ ở lớp mạng
Chuyên ngành: Kỹ thuật viễn thông
Mã số SV: CB120730
Tác giả, Ngƣời hƣớng dẫn khoa học và Hội đồng chấm luận văn xác
nhận tác giả đã sửa chữa, bổ sung luận văn theo biên bản họp Hội đồng ngày
21/04/2015 với các nội dung sau:


Luận văn không có chỉnh sửa gì!

Ngày
Giáo viên hƣớng dẫn

CHỦ TỊCH HỘI ĐỒNG

tháng

năm

Tác giả luận văn


LỜI CÁM ƠN
Để thực hiện tốt luận văn tốt nghiệp này tôi xin gửi lời cảm ơn tới cô giáo
TS. Trƣơng Thu Hƣơng đã tận tình hƣớng dẫn tôi trong suốt thời gian làm luận văn
vừa qua.
Tôi cũng xin gửi lời cảm ơn tới anh Đặng Văn Tuyên đã hỗ trợ tôi trong việc
cung cấp dữ liệu, tài liệu, cũng nhƣ các kết quả nghiên cứu của anh để phục vụ cho
luận văn tốt nghiệp của tôi.
Cuối cùng tôi xin gửi lời cám ơn tới đồng nghiệp, những ngƣời thân trong
gia đình và bạn bè – những ngƣời đã giúp đỡ tối trong suốt thời gian học tập tại
trƣờng cũng nhƣ trong việc hoàn thành luận văn tốt nghiệp.


Nghiên cứu các giải pháp phát hiện tấn công từ chối dịch vụ ở lớp mạng

MỤC LỤC
MỤC LỤC ...................................................................................................................1

DANH MỤC HÌNH VẼ ..........................................................................................5
DANH MỤC BẢNG BIỂU ....................................................................................7
DANH MỤC TỪ VIẾT TẮT..................................................................................8
LỜI CAM ĐOAN .....................................................................................................10
MỞ ĐẦU ...................................................................................................................11
CHƢƠNG 1 - TỔNG QUAN VỀ TẤN CÔNG TỪ CHỐI DỊCH VỤ ....................12
1.1.

Khái niệm về tấn công từ chối dịch vụ .....................................................12

1.2.

Mục tiêu của tấn công từ chối dịch vụ ......................................................12

1.3.

Các hình thức, dạng và cơ chế điển hình của tấn công từ chối dịch vụ ....13

1.3.1.

Các hình thức tấn công từ chối dịch vụ.............................................13

1.3.1.1. Tấn công DoS ................................................................................13
1.3.1.2. Tấn công DDoS .............................................................................14
1.3.1.3. Tấn công DRDoS ...........................................................................16
1.3.2.

Các dạng tấn công từ chối dịch vụ ....................................................17

1.3.2.1. Chiếm dụng các nguồn tài nguyên khan hiếm ...............................18

1.3.2.1.1. Kết nối mạng...........................................................................19
1.3.2.1.2. Sử dụng tài nguyên của mình để chống lại mình ...................19
1.3.2.1.3. Chiếm dụng băng thông ..........................................................19
1.3.2.1.4. Chiếm dụng các tài nguyên khác ............................................20
1.3.2.2. Phá hủy hoặc thay đổi thông tin cấu hình ......................................21
1.3.2.3. Phá hủy hoặc thay đổi vật lý cấu hình mạng .................................21

Bùi Trung Thành – CB120730 – KTTT22012B

Trang 1


Nghiên cứu các giải pháp phát hiện tấn công từ chối dịch vụ ở lớp mạng

1.3.3.

Các cơ chế tấn công điển hình ..........................................................21

1.3.3.1. UDP Flood Attack .........................................................................21
1.3.3.2. Ping of Death Attack .....................................................................22
1.3.3.3. SYN Attack ....................................................................................24
1.3.3.4. Teardrop Attack .............................................................................26
1.3.3.5. Smurf Attack ..................................................................................27
1.4.

Phòng chống tấn công từ chối dịch vụ ......................................................28

1.4.1.

Cơ chế phòng thủ...............................................................................29


1.4.2.

Xây dựng và bảo vệ hệ thống ............................................................30

1.4.3.

Yếu tố con người ................................................................................31

1.5.

Một số tấn công từ chối dịch vụ điển hình ................................................31

CHƢƠNG 2 - GIẢI PHÁP KĨ THUẬT PHÁT HIỆN TẤN CÔNG TỪ CHỐI DỊCH
VỤ Ở LỚP MẠNG ...................................................................................................33
1.1.

Tấn công từ chối dịch vụ ở lớp mạng .......................................................33

1.1.1.

Những kiến thức cơ bản về lớp mạng ................................................33

1.1.1.1. Khái niệm.......................................................................................33
1.1.1.2. Đặc điểm ........................................................................................33
1.1.2.

Các cơ chế tấn công từ chối dịch vụ đối với lớp mạng .....................34

1.1.2.1. Mục đích tấn công .........................................................................34

1.1.2.2. Các cơ chế tấn công .......................................................................34
1.2.

Các giải pháp kĩ thuật phát hiện tấn công từ chối dịch vụ ở lớp mạng .....35

1.2.1.

Giải pháp phát hiện dựa theo dấu hiệu .............................................35

1.2.1.1. Cơ sở lý thuyết ...............................................................................35
1.2.1.2. Kỹ thuật thực hiện .........................................................................35

Bùi Trung Thành – CB120730 – KTTT22012B

Trang 2


Nghiên cứu các giải pháp phát hiện tấn công từ chối dịch vụ ở lớp mạng

1.2.1.3. Đánh giá giải pháp .........................................................................36
1.2.2.

Các giải pháp phát hiện dựa theo sự bất thường của lưu lượng ......36

1.2.2.1. Cơ sở lý thuyết ...............................................................................36
1.2.2.2. Kỹ thuật thực hiện .........................................................................37
1.2.2.3. Đánh giá giải pháp .........................................................................43
1.3.

Các giải pháp ngăn chặn tấn công .............................................................44


1.3.1.

Giải pháp lọc lưu lượng ....................................................................44

1.3.2.

Giải pháp truy ngược địa chỉ IP........................................................44

1.3.3.

Giải pháp định hình lưu lượng ..........................................................45

1.3.4.

Giải pháp phân tích lưu lượng ..........................................................45

1.3.5.

Giải pháp kiểm tra host/network .......................................................46

CHƢƠNG 3 - GIẢI PHÁP TRUY NGƢỢC ĐỊA CHỈ IP .......................................47
3.1.

Giải pháp dựa trên thuật toán PPM ...........................................................49

3.1.1.

Sơ đồ PPM .........................................................................................49


3.1.2.

Phân tích PPM ..................................................................................52

3.1.3.

Nhận xét .............................................................................................55

3.2.

Giải pháp dựa trên thuật toán DPM ..........................................................55

3.2.1.

Sơ đồ DPM ........................................................................................55

3.2.2.

Phân tích DPM ..................................................................................57

3.2.3.

Nhận xét .............................................................................................60

3.3.

Giải pháp dựa trên thuật toán DFM ..........................................................60

3.3.1.


Sơ đồ DFM ........................................................................................60

3.3.2.

Phân tích DFM ..................................................................................66

3.3.3.

Nhận xét .............................................................................................68

Bùi Trung Thành – CB120730 – KTTT22012B

Trang 3


Nghiên cứu các giải pháp phát hiện tấn công từ chối dịch vụ ở lớp mạng

3.4.

Giải pháp dựa trên thuật toán PLA DFM ..................................................69

3.4.1.

Ý tưởng chính của PLA DFM ............................................................69

3.4.2.

Sơ đồ PLA DFM ................................................................................70

3.4.3.


Đánh giá hiệu suất giải pháp PLA DFM dựa trên bộ dữ liệu CAIDA
74

CHƢƠNG 4 – ĐẶC ĐIỂM DỮ LIỆU MẠNG VÀ TÁC ĐỘNG TỚI GIẢI PHÁP
PLA DFM DỰA TRÊN DỮ LIỆU THỰC TẾ TỪ CAIDA .....................................79
4.1.

Đặc điểm kích thức gói tin đầu tiên của Flow ..........................................79

4.2.

Đặc điểm số lƣợng gói tin của một Flow ..................................................81

4.3.

Tác động tới giải pháp PLA DFM ............................................................84

KẾT LUẬN ...............................................................................................................86
TÀI LIỆU THAM KHẢO.........................................................................................87

Bùi Trung Thành – CB120730 – KTTT22012B

Trang 4


Nghiên cứu các giải pháp phát hiện tấn công từ chối dịch vụ ở lớp mạng

DANH MỤC HÌNH VẼ
Hình 1: Sơ đồ tấn công DoS điển hình. ....................................................................14

Hình 2: Sơ đồ tấn công DDoS điển hình...................................................................15
Hình 3: Sơ đồ tấn công DRDoS điển hình. ...............................................................17
Hình 4: Phân loại các dạng tấn công từ chối dịch vụ . ..............................................18
Hình 5: Cơ chế tấn công UDP Flood. .......................................................................22
Hình 6: Cơ chế tấn công Ping of Death. ...................................................................23
Hình 7: Cơ chế bắt tay 3 bƣớc TCP. .........................................................................25
Hình 8: Định dạng Header gói tin IP. .......................................................................27
Hình 9: Cơ chế tấn công Smurf.................................................................................28
Hình 10: Phân loại các dạng phòng thủ tấn công từ chối dịch vụ ............................29
Hình 11: Mô hình mạng. ...........................................................................................30
Hình 12: Mô hình hệ thống phát hiện bất thƣờng dựa trên tập luật . ........................38
Hình 13: Mô hình FSM cho kết nối TCP . ................................................................39
Hình 14: Mô hình mạng nơ-ron . ..............................................................................41
Hình 15: Hệ thống phát hiện bất thƣờng dựa trên khai phá dữ liệu .........................43
Hình 16: Sơ đồ mình họa cho giải pháp PPM.. .........................................................49
Hình 17: Quá trình đánh dấu PPM ............................................................................51
Hình 18: Minh họa sơ đồ của giải pháp DPM ..........................................................56
Hình 19: Quá trình mã hóa đánh dấu. .......................................................................63
Hình 20: Quá trình đánh dấu của giải pháp DFM. ....................................................64
Hình 21: Quá trình giải mã đánh dấu. .......................................................................65
Hình 22: Cấu trúc Header của gói tin đầu tiền đƣợc đánh dấu bởi PLA DFM theo
phƣơng pháp 1. ..........................................................................................................71
Hình 23: SMR của sơ đồ DFM và sơ đồ PLA DFM với MT=288. ..........................76
Hình 24: MPR của sơ đồ DFM và sơ đồ PLA DFM với MT=288. ..........................76
Hình 25: MSR của sơ đồ DFM và sơ đồ PLA DFM với MT=288. ..........................77
Hình 26: Mô hình thống kê phân bố Tỉ lệ số Flow/Kích thƣớc gói tin đầu của bộ dữ
liệu CAIDA 2013. .....................................................................................................81

Bùi Trung Thành – CB120730 – KTTT22012B


Trang 5


Nghiên cứu các giải pháp phát hiện tấn công từ chối dịch vụ ở lớp mạng

Hình 27: Mô hình thống kê phân bố của Tỉ lệ số Flow/Số gói tin một Flow của bộ
dữ liệu CAIDA 2013. ................................................................................................82

Bùi Trung Thành – CB120730 – KTTT22012B

Trang 6


Nghiên cứu các giải pháp phát hiện tấn công từ chối dịch vụ ở lớp mạng

DANH MỤC BẢNG BIỂU
Bảng 1: Ví dụ về một bảng NIID ..............................................................................62
Bảng 2: Ví dụ về một bảng NodeID .........................................................................62
Bảng 3: Các trƣờng hữu dụng và số gói tin yêu cầu trong mỗi luồng để đánh dấu
trong DFM .................................................................................................................64
Bảng 4: Ví dụ về bảng tái xây dựng với K=2, M=30 và S=1 ...................................66
Bảng 5: Các trƣờng hữu dụng và số gói tin yêu cầu trong mỗi luồng để đánh dấu
trong DFM .................................................................................................................71
Bảng 6: Các giá trị MTU của một vài mạng vật lý và các MT tƣơng ứng. ..............73
Bảng 7: Thuật toán đánh dấu với lựa chọn sử dụng kiểm tra đánh dấu tại các router
biên ............................................................................................................................73
Bảng 8: So sánh giữa các sơ đồ PLA DFM với giá trị K và MT khác nhau. ...........77
Bảng 9: Tỉ lệ kích thƣớc tăng trong PLA DFM. .......................................................78
Bảng 10: Thống kê số Flow theo kích thƣớc gói tin đầu tiên của bộ dữ liệu CAIDA
2013. ..........................................................................................................................79

Bảng 11: Thống kê số Flow theo số gói tin trong Flow của bộ dữ liệu CAIDA 2013.
...................................................................................................................................81
Bảng 12: Thống kê sai số của các mô hình phân bố trong quá trình Curve Fitting..83
Bảng 13: Giá trị các tham số của mô hình phân bố Exponential Decay cho dữ liệu
CAIDA thực tế ..........................................................................................................84

Bùi Trung Thành – CB120730 – KTTT22012B

Trang 7


Nghiên cứu các giải pháp phát hiện tấn công từ chối dịch vụ ở lớp mạng

DANH MỤC TỪ VIẾT TẮT
Từ viết tắt

Viết đầy đủ

CAIDA

Center for Applied Internet Data Analysis

CAR

Committed Access Rate

DDoS

Distributed Denial of Services


DoS

Denial of Service

DPM

Deterministic Packet Marking

DFM

Deterministic Flow Marking

DRDoS

Distributed Reflected Denial of Service

DSCP

Differentiated Services Code Point

ECN

Explicit Congestion Notification

FCM

Fuzzy Cognitive Map

FSM


Finite States Machine

ICMP

Internet Control Message Protocol

ID

Identification

IDS/IPS

Intrusion Detection System/Intrusion Prevention
System

IP

Internet Protocol

ISP

Internet Service Provider

MAC

Media Access Control

MLP

Multi-layered Perception


MPR

Marked packet rate

MSR

Marked size rate

MTU

Maximum Transmission Unit

MT

Mark Threshold

NAT

Network Address Translation

NIID

Network Interface Identification

OSPF

Open Shortest Path First

Bùi Trung Thành – CB120730 – KTTT22012B


Trang 8


Nghiên cứu các giải pháp phát hiện tấn công từ chối dịch vụ ở lớp mạng

PLA DFM

Packet Length Adaptive Deterministic Flow Marking

PoD

Ping of Death

PPM

Probability Packet Marking

RF

Reserved Flag

RIP

Routing Information Protocol

SMR

Successful mark rate


SOM

Self-organizing Map

TCP

Transmission Control Protocol

TOS

Type of Service

VLAN

Virtual Local Area Network

Bùi Trung Thành – CB120730 – KTTT22012B

Trang 9


Nghiên cứu các giải pháp phát hiện tấn công từ chối dịch vụ ở lớp mạng

LỜI CAM ĐOAN
Tôi xin cam đoan đây là công trình nghiên cứu của riêng tôi.
Các số liệu, kết quả nêu trong Luận văn là trung thực và chƣa từng đƣợc
công bố trong bất kỳ luận văn nào khác. Tôi xin cam đoan rằng mọi sự giúp đỡ cho
việc thực hiện Luận văn này đã đƣợc cảm ơn, các thông tin trích dẫn trong Luận
văn không copy nguyên dạng 6 trang liên tiếp từ 1 tài liệu nào và đã đƣợc chỉ rõ
nguồn gốc trong mục Tài liệu tham khảo.


Hà Nội, tháng 3 năm 2015
Học viên thực hiện

Bùi Trung Thành – CB120730 – KTTT22012B

Trang 10


Nghiên cứu các giải pháp phát hiện tấn công từ chối dịch vụ ở lớp mạng

MỞ ĐẦU
Ngày nay các vấn đề về đảm bảo an toàn thông tin ngày càng trở nên cấp
thiết trên thế giới cũng nhƣ Việt Nam. Đã có nhiều cuộc tấn công mạng xảy ra vào
các công ty, gây ra những thiệt hại to lớn nhƣ gián đoạn dịch vụ, mất cắp thông tin.
Trong các phƣơng thức tấn công thì tấn công từ chối dịch vụ là phƣơng pháp dễ
thực hiện nhƣng có thể đem lại hậu quả rất lớn về gián đoạn dịch vụ. Do đó tôi chọn
đề tài luận văn ―Nghiên cứu các giải pháp phát hiện tấn công từ chối dịch vụ ở lớp
mạng‖ nhằm nghiên cứu một phần các vấn đề liên quan đến tấn công từ chối dịch
vụ, các giải pháp phát hiện, các giải pháp phòng chống với mong muốn kết quả
nghiên cứu của mình sẽ giúp ích cho các phƣơng án phòng chống tấn công từ chối
dịch vụ.
Trong luận văn này sẽ nghiên cứu các vấn đề: tấn công từ chối dịch vụ, giải
pháp truy ngƣợc địa chỉ IP sử dụng thuật toán PLA DFM, hiệu suất của giải pháp
này, đặc điểm của dữ liệu mạng thông qua bộ dữ liệu CAIDA và tác động tới giải
pháp này.

Bùi Trung Thành – CB120730 – KTTT22012B

Trang 11



Nghiên cứu các giải pháp phát hiện tấn công từ chối dịch vụ ở lớp mạng

CHƢƠNG 1 - TỔNG QUAN VỀ TẤN CÔNG TỪ CHỐI DỊCH
VỤ
Chƣơng 1 trình bày kiến thức tổng quan về tấn công từ chối dịch vụ bao
gồm: khái niệm, mục tiêu, các hình thức tấn công, các dạng tấn công, các cơ chế tấn
công điển hình. Bên cạnh đó chƣơng 1 cũng giới thiệu cách phƣơng thức phòng
chống tấn công từ chối dịch vụ.

1.1.

Khái niệm về tấn công từ chối dịch vụ

Tấn công ―từ chối dịch vụ - Denial of Service‖ (DoS) là sự cố gắng làm cho
tài nguyên của một máy tính, một hệ thống và một mạng không thể sử dụng để phục
vụ cho ngƣời dùng của máy tính, hệ thống và mạng đó.

1.2.

Mục tiêu của tấn công từ chối dịch vụ

Nạn nhân của tấn công DoS thƣờng là các máy chủ web của các tổ chức nhƣ
ngân hàng, thƣơng mại, công ty truyền thông, các tổ chức chính phủ và nghề
nghiệp. Mặc dù tấn công DoS không thƣờng gây ra việc bị mất hoặc bị đánh cắp các
thông tin hay tài sản quan trọng, chúng vẫn có thể khiến nạn nhân tốn thời gian và
tiền bạc để xử lý.
Bản chất thực sự của tấn công DoS là kẻ tấn công sẽ chiếm dụng một lƣợng
lớn tài nguyên của máy tính, hệ thống, mạng nhƣ băng thông, bộ nhớ … làm mất

khả năng xử lý các yêu cầu dịch vụ từ ngƣời dùng hợp pháp. Ví dụ:
 Nỗ lực làm ―tràn‖ (flood) một mạng, do đó ngăn chặn lƣu lƣợng mạng hợp
pháp,
 Nỗ lực làm gián đoạn kết nối giữa hai thiết bị, do đó ngăn chặn truy cập tới
một dịch vụ,
 Nỗ lực ngăn chặn một cá nhân cụ thể truy cập một dịch vụ,
 Nỗ lực làm gián đoạn dịch vụ của một hệ thống hoặc một ngƣời cụ thể.

Bùi Trung Thành – CB120730 – KTTT22012B

Trang 12


Nghiên cứu các giải pháp phát hiện tấn công từ chối dịch vụ ở lớp mạng

Tuy nhiên không phải tất cả các tấn công DoS đều nhằm chấm dứt dịch vụ,
tấn công có kết quả dẫn tới các hành động nguy hiểm nhƣ sử dụng bất hợp pháp tài
nguyên cũng có thể là tấn công DoS. Tấn công DoS cũng có thể là một phần trong
một cuộc tấn công lớn hơn. Ngoài ra với tài nguyên giới hạn, tấn công DoS cũng có
thể thực thi chống lại một site lớn, phức tạp. Kiểu tấn công này đƣợc gọi là ―tấn
công bất đối xứng‖. Ví dụ một kẻ tấn công tới một máy tính cũ và một modem
chậm, có thể gây gián đoạn các thiết bị, các mạng nhanh và phức tạp hơn. Tấn công
DoS cũng có thể là các tấn công phá hủy hệ thống hoặc dịch vụ. Trong các cuộc tấn
công này, đầu vào là các lỗi đƣợc gửi thuận lợi tới mục tiêu, sau đó các lỗi này gây
ra gián đoạn hoặc mất ổn định nghiệm trọng hệ thống, khiến chúng không thể truy
cập hoặc sử dụng.

1.3.

Các hình thức, dạng và cơ chế điển hình của tấn công từ chối

dịch vụ

1.3.1. Các hình thức tấn công từ chối dịch vụ
Tấn công DoS có rất nhiều hình thức khác nhau, phân biệt bởi năng lực thực
hiện tấn công của chúng. Bao gồm:
 DoS (Denial of Services – tấn công từ chối dịch vụ),
 DDoS (Distributed Denial of Services – tấn công từ chối dịch vụ phân tán),
 DRDoS (Distributed Reflected Denial of Service – tấn công từ chối dịch vụ
phản xạ phân tán).
1.3.1.1.

Tấn công DoS

Là phƣơng pháp nguyên thủy của tấn công DoS. Trong đó, kẻ tấn công sử
dụng các công cụ DoS để thực hiện tấn công trực tiếp tới mục tiêu.

Bùi Trung Thành – CB120730 – KTTT22012B

Trang 13


Nghiên cứu các giải pháp phát hiện tấn công từ chối dịch vụ ở lớp mạng

Attacker

Attacker

Attacker

Attacker


Attacker

Attacker

…..

Victim

Hình 1: Sơ đồ tấn công DoS điển hình.

Tuy nhiên hình thức tấn công này có nhƣợc điểm là khi hệ thống có năng lực
cao thì việc tấn công DoS trực tiếp tới nạn nhân gần nhƣ không có ý nghĩa. Ví dụ
khi máy chủ có kết nối mạng 100Mbps, thì tấn công trực tiếp ―Ping of Death‖ với
tốc độ 3Mbps không ảnh hƣởng đến thiết bị.
Để nâng cao năng lực của tấn công từ chối dịch vụ, hai hình thức tấn công
khác đƣợc sử dụng là DDoS và DRDoS.
1.3.1.2.

Tấn công DDoS

Tấn công DDoS xuất hiện khi nhiều hệ thống dàn xếp đồng bộ một cuộc tấn
công DoS tới một mục tiêu thay vì chỉ bị tấn công từ một điểm nhƣ DoS. Trong tấn
công DDoS, lực lƣợng tham gia của kẻ tấn công bao gồm ―master zombie‖ và
―slave zombie‖. Các zombie này chính là các máy tính trong một mạng botnet.
Kẻ tấn công điều phối và ra lệnh cho các ―master zombie‖, các ―master
zombie‖ lại điều phối và kích hoạt các ―slave zombie‖. Cụ thể hơn, kẻ tấn công gửi
lệnh tấn công tới ―master zombie‖ đang trong trạng thái chờ để kích hoạt tất cả các
quá trình tấn công trên các thiết bị này . Sau đó ―master zombie‖ sao chép lại các
lệnh tấn công tới mỗi ―slave zombie‖ của mình, ra lệnh chúng thực hiện tấn công

DDoS chống lại nạn nhân. Bằng cách này, hệ thống ―zombie‖ có thể gửi một lƣợng
lớn các gói tin tới nạn nhân, làm tràn tải hữu dụng, và cạn kiệt tài nguyên.

Bùi Trung Thành – CB120730 – KTTT22012B

Trang 14


Nghiên cứu các giải pháp phát hiện tấn công từ chối dịch vụ ở lớp mạng

Attacker

…..
…..

…..
…..

Master Zombies

…..

Slave Zombies

Victim

Hình 2: Sơ đồ tấn công DDoS điển hình.

Việc sử dụng các ―zombie‖ để tấn công giúp DDoS cung cấp các thuận lợi
sau:

 Có thể tận dụng một lƣợng lớn hơn các máy để thực hiện một cuộc tấn
công gây rối nghiệm trọng,
 Địa chỉ tấn công khó bị phát hiện do việc phân tán ngẫu nhiên các hệ
thống tấn công,
 Khó chấm dứt nhiều máy tấn công hơn là chấm dứt một máy,
 Thủ phạm tấn công thực sự rất khó bị phát hiện, do đã đƣợc ẩn đằng
sau rất nhiều hệ thống.
Trong tấn công DDoS, địa chỉ IP giả mạo đƣợc sử dụng trong các gói tin của
lƣu lƣợng tấn công. Điều này đƣợc các kẻ tấn công ƣa thích sử dụng vì: một là che
dấu danh tính của các ―zombie‖ vì thế nạn nhận không thể lần theo dấu vết để tấn

Bùi Trung Thành – CB120730 – KTTT22012B

Trang 15


Nghiên cứu các giải pháp phát hiện tấn công từ chối dịch vụ ở lớp mạng

công ngƣợc lại; hai là ngăn cản các nỗ lực của nạn nhân nhắm lọc các lƣu lƣợng
nguy hiểm.
Các công nghệ an ninh hiện đại đã phát triển các cơ chế để chống lại phần
lớn các tấn công DoS, nhƣng do đặc tính độc đáo của DDoS, nó vẫn đƣợc đánh giá
là mối đe dọa lớn đối với các tổ chức.
1.3.1.3.

Tấn công DRDoS

Đây là kiểu tấn công mới nhất, mạnh nhất của tấn công từ chối dịch vụ. Với
kiểu tấn công này thì chỉ cần một máy tính có năng lực hạn chế (ví dụ kết nối
Internet 56Kbps) cũng có thể đánh bại bất cứ máy chủ nào trong giây lát mà không

phải chiếm đoạt bất cứ máy nào làm phƣơng tiện tấn công.
Tấn công DRDoS là sự phối hợp của DoS và DDoS. Giống nhƣ tấn công
DoS, kẻ tấn công giả mạo địa chỉ IP của nạn nhân và gửi yêu cầu thông tin thông
qua UDP tới các máy chủ trên thế giới (gọi là các ―reflector‖). Các máy chủ trả lời
yêu cầu và gửi (hay còn là ―reflect‖) phản hồi tới địa chỉ IP nạn nhân. Nhƣ vậy từ
quan điểm máy chủ thì nạn nhân là những ngƣời gửi yêu cầu. Tất cả dữ liệu từ các
server này khiến lƣu lƣợng tới nạn nhân tăng lên đáng kể, đủ để tắc nghẽn kết nối
Internet của nạn nhân. Do băng thông quá tải, các lƣu lƣợng thông thƣờng không
thể đƣợc phục vụ và ngƣời dùng hợp pháp không thể kết nối.
Bất kỳ máy chủ mở nào trên Internet và chạy dịch vụ trên cơ sở UDP đều có
tiềm năng đƣợc sử dụng nhƣ ―reflector‖. Để khuếch đại số yêu cầu gửi tới các UDP
server, kẻ tấn công sử dụng mạng botnet nhƣ tấn công DDoS để thực hiện gửi yêu
cầu tới các UDP Server.

Bùi Trung Thành – CB120730 – KTTT22012B

Trang 16


Nghiên cứu các giải pháp phát hiện tấn công từ chối dịch vụ ở lớp mạng

Attacker

…..
…..

…..
…..

Master Zombies


…..

Slave Zombies

Reflectors

Victim

Hình 3: Sơ đồ tấn công DRDoS điển hình.

Giả mạo IP là cơ bản của tấn công DRDoS, đây là phƣơng thức khiến các
―reflector‖ làm tràn nạn nhân. Việc giả mạo hữu dụng vì tấn công DRDoS sử dụng
giao thức UDP (giao thức một chiều, phi trạng thái) làm giao thức truyền tải các yêu
cầu.
1.3.2. Các dạng tấn công từ chối dịch vụ
Tấn công từ chối dịch vụ có rất nhiều dạng khác nhau và nhắm đến nhiều
dạng dịch vụ khác nhau.

Bùi Trung Thành – CB120730 – KTTT22012B

Trang 17


Nghiên cứu các giải pháp phát hiện tấn công từ chối dịch vụ ở lớp mạng

Hình 4: Phân loại các dạng tấn công từ chối dịch vụ [2].

Tuy nhiên có thể nhóm các dạng tấn công từ chối dịch vụ thành 3 dạng cơ
bản [14], gồm:



Chiếm dụng các nguồn tài nguyên khan hiếm,



Phá hủy hoặc thay đổi các thông tin cấu hình,



Phá hủy hoặc thay đổi vật lý cấu hình mạng.

1.3.2.1.

Chiếm dụng các nguồn tài nguyên khan hiếm

Máy tính và mạng cần các tài nguyên nhất định sau để hoạt động: kết nối
mạng, băng thông mạng, bộ nhớ và ổ đĩa lƣu trữ, CPU, cấu trúc dữ liệu, kết nối truy
nhập tới các máy tính và mạng khác, và các tài nguyên môi trƣờng nhất định nhƣ
nguồn, điều hòa, hay thậm chí cả nƣớc. Việc chiếm dụng các tài nguyên trên có thể
ngăn chặn hệ thống cung cấp các dịch vụ cho những khách hàng hợp lệ. Các kiểu
tấn công chiếm dụng tài nguyên gồm có:

Bùi Trung Thành – CB120730 – KTTT22012B

Trang 18


Nghiên cứu các giải pháp phát hiện tấn công từ chối dịch vụ ở lớp mạng


1.3.2.1.1. Kết nối mạng
Tấn công từ chối dịch vụ phần lớn là tấn công kết nối mạng. Mục tiêu của
kiểu tấn công này là ngăn chặn kết nối truyền thông của các máy chủ hoặc các
mạng. Một ví dụ của kiểu tấn công này là tấn công ―SYN flood‖.
Trong kiểu tấn công này, kẻ tấn công bắt đầu quá trình thiết lập một kết nối
tới nạn nhân, nhƣng bằng cách nào đó ngăn chặn việc hoàn thành kết nối. Trong khi
chờ đợi, nạn nhân dự phòng một số giới hạn cấu trúc dữ liệu cần thiết để hoàn thành
kết nối đang chờ đợi. Kết quả là các kết nối hợp lệ bị từ chối trong khi nạn nhân vẫn
đang đợi hoàn thành các kết nối không có thật. Chúng ta cần chú ý rằng kiểu tấn
công này không phụ thuộc vào việc kẻ tấn công có thể chiếm đƣợc bao nhiêu băng
thông mạng. Trong trƣờng hợp này, kẻ xâm nhập đang chiếm các cấu trúc dữ liệu
lõi tham gia vào việc thiết lập một kết nối. ý nghĩa ở đây là kẻ xâm nhập có thể thực
hiện tấn công từ một kết nối dial-up chống lại một mạng lớn. Đây là ví dụ về tấn
công bất đối xứng.
1.3.2.1.2. Sử dụng tài nguyên của mình để chống lại mình
Một kẻ xâm nhập cũng có thể sử dụng chính tài nguyên của mạng để chống
lại mạng theo các phƣơng pháp bất ngờ. Một ví dụ của kiểu tấn công này là tấn
công ―UDP Port DoS‖ [14].
Trong kiểu tấn công này, kẻ xâm nhập sử dụng các gói tin UDP giả mạo để
kết nối tới dịch vụ ―echo‖ trên một nạn nhân tới dịch vụ ―chargen‖ trên một nạn
nhân khác. Kết quả là cả hai dịch vụ đều chiếm tất cả băng thông có thể giữa hai
nạn nhân. Do đó, kết nối mạng tới tất cả các máy trong cùng mạng tới các nạn nhân
có thể bị ảnh hƣởng.
1.3.2.1.3. Chiếm dụng băng thông
Một kẻ xâm nhập cũng có thể chiếm dụng tất cả băng thông có thể trên mạng
của bạn bằng việc tạo ra một số lƣợng lớn gói tin kết nối trực tiếp tới mạng. Thông
thƣờng, các gói tin này là ICMP ECHO, nhƣng trên lý thuyết chúng có thể là bất cứ

Bùi Trung Thành – CB120730 – KTTT22012B


Trang 19


Nghiên cứu các giải pháp phát hiện tấn công từ chối dịch vụ ở lớp mạng

gói tin gì. Xa hơn, kẻ xâm nhập không cần hoạt động từ một máy đơn, mà có thể là
sự phối hợp của nhiều máy trên các mạng khác nhau để đạt đƣợc cùng hiệu quả.
1.3.2.1.4. Chiếm dụng các tài nguyên khác
Ngoài băng thông mạng, kẻ xâm nhập có thể chiếm dụng các tài nguyên khác
nếu hệ thống của bạn cần chúng để hoạt động. Ví dụ, trong nhiều hệ thống, một số
giới hạn của cấu trúc dữ liệu luôn sẵn sàng để tổ chức xử lý thông tin (xử lý nhận
dạng, xử lý các bảng, xử lý các slot, …). Một kẻ xâm nhập có thể chiếm dụng các
cấu trúc dữ liệu bằng cách viết một chƣơng trình hoặc đoạn mã đơn giản không thực
hiện gì nhƣng liên tục tạo ra các bản sao chép chính mình. Rất nhiều hệ thống hoạt
động hiện đại có khả năng chống lại vấn đề này, nhƣng không phải là tất cả. Xa
hơn, thậm chí nếu việc xử lý bảng không đƣợc thực hiện, CPU có thể bị chiếm dụng
bởi một lƣợng lớn các xử lý và cùng với đó là thời gian giữa các xử lý.
Một kẻ xâm nhập cũng có thể thực hiện chiếm dụng ổ đĩa lƣu trữ theo các
cách [14]:
 Tạo ra số lƣợng quá lớn của các bản tin mail,
 Có ý tạo ra các lỗi mà phải đăng nhập,
 Đặt các tập tin ẩn danh trên FTP server hoặc các server chia sẻ trên mạng.
Nói chung, bất cứ gì cho phép dữ liệu đƣợc ghi trên đĩa có thể đƣợc sử dụng
để thực hiện tấn công từ chối dịch vụ nếu không có giới hạn cho khoảng dữ liệu có
thể đƣợc ghi.
Cũng vậy, rất nhiều trang web có chƣơng trình khóa tài khoản sau một số lần
đăng nhập thất bại. Thông thƣờng việc khóa tài khoản đƣợc thiết lập sau 3 đến 5 lần
đăng nhập thất bại. Một kẻ xâm nhập có thể sử dụng yếu tố này đế ngăn chặn những
ngƣời dùng hợp lệ đăng nhập. Trong một vài trƣờng hợp, thậm chí những tài khoản
đặc quyền, nhƣ root hoặc admin, có thể là đối tƣợng của kiểu tấn công này. Hãy

đảm bảo chắc chắn rằng phải có một phƣơng thức để duy trì đăng nhập vào hệ
thống dƣới trƣờng hợp khẩn cấp.
Một kẻ xâm nhập có thể khiến hệ thống bị phá hủy hoặc không ổn định bằng
việc gửi dữ liệu không kỳ vọng trên mạng. Một ví dụ của kiểu tấn công này là tấn
Bùi Trung Thành – CB120730 – KTTT22012B

Trang 20


Nghiên cứu các giải pháp phát hiện tấn công từ chối dịch vụ ở lớp mạng

công ―DoS via Ping‖. Nếu hệ thống thƣờng xuyên bị phá hủy mà không rõ lý do thì
đó có thể là kết quả của kiểu tấn công này.
Còn rất nhiều thứ có thể trở thành nguy cơ để tấn công từ chối dịch vụ, gồm:
 Các máy in,
 Các kết nối mạng,
 Các tài nguyên giới hạn quan trọng cho hoạt động của tổ chức.
1.3.2.2.

Phá hủy hoặc thay đổi thông tin cấu hình

Một máy tính đƣợc cấu hình không đúng cách không thể hoạt động tốt hoặc
không hoạt động. Một kẻ xâm nhập có thể thay đổi hoặc phá hủy thông tin cấu hình
nhằm ngăn chặn việc sử dụng máy tính hoặc mạng. Ví dụ, nếu kẻ xâm nhập có thể
thay đổi thông tin định tuyến trong các Router, mạng có thể không hoạt động; hoặc
nếu một kẻ xâm nhập có thể thay đổi đăng ký trên Windows NT, các chức năng
chính có thể không sẵn sàng.
1.3.2.3.

Phá hủy hoặc thay đổi vật lý cấu hình mạng


Mối quan tâm chính của kiểu tấn công này là an ninh vật lý. Phải đảm bảo
bảo vệ chống lại các truy cập không đƣợc ủy quyến tới máy tính, Router, cáp mạng,
trạm nguồn và điều hòa, và một vài thành phần quan trọng khác.
1.3.3. Các cơ chế tấn công điển hình
1.3.3.1.

UDP Flood Attack

UDP là một giao thức không phi kết nối. Khi các gói dữ liệu đƣợc truyền qua
UDP, sẽ không yêu cầu bắt tay giữa ngƣời gửi và ngƣời nhận, hệ thống nhận sẽ chỉ
nhận các gói tin mà nó phải xử lý. Một lƣợng lớn các gói tin UDP gửi tới hệ thống
nạn nhân có thể làm bão hòa mạng, chiếm dụng các băng thông của các yêu cầu
dịch vụ hợp lệ tới hệ thống nạn nhân.
Khi kẻ tấn công thực hiện tấn công UDP Flood, các gói tin UDP đƣợc gửi
ngẫu nhiên hoặc trên các cổng cụ thể tại hệ thống nạn nhân. Thông thƣờng, các tấn
công UDP Flood đƣợc thiết kế để tấn công trên các cổng ngẫu nhiên. Điều này dẫn

Bùi Trung Thành – CB120730 – KTTT22012B

Trang 21


Nghiên cứu các giải pháp phát hiện tấn công từ chối dịch vụ ở lớp mạng

đến hệ thống nạn nhân phải xử lý dữ liệu đến để cố gắng xác định các ứng dụng đã
yêu cầu dữ liệu. Nếu hệ thống nạn nhân đang không chạy bất kỳ ứng dụng nào tại
cổng mục tiêu, thì hệ thống nạn nhân sẽ gửi lại một gói tin ICMP tới hệ thống gửi
yêu cầu để chỉ ra cổng đích không thể truy cập.
Kẻ tấn công gửi khối dữ liệu

UDP tới nạn nhân với địa chỉ
nguồn giả mạo

Khối
dữ liệ
u UD

Attacker

P

Server cung cấp dịch vụ
UDP

Hình 5: Cơ chế tấn công UDP Flood.

Thông thƣờng, công cụ tấn công DoS cũng sẽ giả mạo các địa chỉ IP nguồn
của các gói tin tấn công. Điều này giúp che giấu nhận dạng của các nạn nhân thứ
cấp và nó đảm bảo các gói tin trả về của hệ thống nạn nhân không thể gửi tới các
―zombie‖, nhƣng sẽ tới các máy tính khác với địa chỉ giả mạo.
Các tấn công UDP Flood cũng có thể chiếm đầy băng thông của các kết nối
xung quanh hệ thống nạn nhân (phụ thuộc vào kiến trúc mạng và tốc độ đƣờng
truyền). Điều này thỉnh thoảng có thể khiến các hệ thống kết nối tới một mạng gần
hệ thống nạn nhân xuất hiện các vấn đề tới các kết nối của họ.
Để hạn chế kiểu tấn công này, chúng ta có thể sử dụng firewall hoặc router
có chức năng firewall, chúng ta cũng có thể liên lạc với các ISP của mình để giới
hạn ảnh hƣởng của DoS tới hệ thống của mình.
1.3.3.2.

Ping of Death Attack


Ping of Death (PoD) là một kiểu tấn công từ chối dịch vụ mà trong đó kẻ tấn
công cố gắng phá hủy, gây mất ổn định, hoặc đóng băng máy tính hoặc dịch vụ mục

Bùi Trung Thành – CB120730 – KTTT22012B

Trang 22


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×