Kỹ thuật tấn công và phòng thủ trên không gian mạng - Kỹ thuật tấn công - Denial of Service

Institute of Network Security - istudy.ispace.edu.vn KỸ THUẬT TẤN CÔNG VÀ PHÒNG THỦ TRÊN KHÔNG GIAN MẠNG Institute of Network Security - istudy.ispace.edu.vn NỘI DUNG • Module 01: Tổng quan An ninh mạng • Module 02: Kỹ thuật tấn công • Module 03: Kỹ thuật mã hóa • Module 04: Bảo mật hệ điều hành • Module 05: Bảo mật ứng dụng • Module 06: Virus và mã độc • Module 07: Các công cụ phân tích an ninh mạng • Module 08: Chính sách bảo mật và phục hồi thảm họa dữ liệu • Ôn tập • Báo cáo đồ án • Thi cuối khóa tấn c Institute of Network Security - istudy.ispace.edu.vn Module 02: KỸ THUẬT TẤN CÔNG • Lesson 01: Footprinting và Reconnaissance • Lesson 02: Google Hacking • Lesson 03: Scanning Networks • Lesson 04: Enumeration • Lesson 05: System Hacking • Lesson 06: Sniffer hệ thống mạng • Lesson 07: Social Engineering • Lesson 08: Denial of Service • Lesson 09: Session Hijacking • Lesson 10: SQL Injection • Lesson 11: Hacking Wireless Networks • Lesson 12: Buffer Overflow Institute of Network Security - istudy.ispace.edu.vn Denial of Service Institute of Network Security - istudy.ispace.edu.vn Denial of Service • Tấn công từ chối dịch vụ, viết tắt là DoS (Denial of Service), là thuật ngữ gọi chung cho những cách tấn công khác nhau về cơ bản làm cho hệ thống nào đó bị quá tải không thể cung cấp dịch vụ, hoặc phải ngưng hoạt động. • Kiểu tấn công này chỉ làm gián đoạn hoạt động chứ rất ít khả năng đánh cắp thông tin hay dữ liệu. • Thông thường mục tiêu của tấn công từ chối dịch vụ là máy chủ (FTP, Web, Mail) tuy nhiên cũng có thể là router, switch. • Tấn công từ chối dịch vụ không chỉ là tấn công qua mạng mà còn có thể là tấn công ở máy cục bộ, hay trong mạng cục bộ còn gọi là local DoS against hosts (dựa vào NetBIOS, fork() bomb). • Ban đầu tấn công từ chối dịch vụ xuất hiện khai thác sự yếu kém của giao thức TCP là DoS, sau đó phát triển thành tấn công từ chối dịch vụ phân tán DDoS (Distributed DoS) và mới xuất hiện là phương pháp tấn công từ chối dịch vụ phân tán phản xạ DRDoS (Distributed Reflection DoS). Institute of Network Security - istudy.ispace.edu.vn Distributed Denial of Service • Giới thiệu về DDoS • Các loại tấn công kiểu DDoS • Một số công cụ DDoS • Các kỹ thuật Anti-DDoS Institute of Network Security - istudy.ispace.edu.vn Giới thiệu DDOS • DDoS (Distributed Denial of Service) nghĩa là nhiều máy tính “zombie” tấn công vào một máy (hoặc nhiều hơn), thường dưới sự điều khiển của một “master”, điều khiển bởi kẻ tấn công. Institute of Network Security - istudy.ispace.edu.vn Lịch sử • 1998 Chương trình Trinoo Distributed Denial of Service (DDoS) được viết bởi Phifli. • Tháng 5 – 1999 Trang chủ của FBI đã ngừng họat động vì cuộc tấn công bằng (DDOS) • 7/2/2000 Yahoo! đã bị tấn công từ chối dịch vụ và ngưng trệ hoạt động trong vòng 3 giờ đồng hồ • 8/2 nhiều website lớn như Buy.com, Amazon.com, eBay, Datek, MSN, và CNN.com bị tấn công từ chối dịch vụ. • Xem thêm 15 vụ tấn công DDoS nổi tiếng nhất lịch sử tại: tieng-nhat-lich-su/76/6001710.epi Institute of Network Security - istudy.ispace.edu.vn Các giai đoạn của kiểu tấn công ddos • Giai đoạn chuẩn bị • Giai đoạn xác định mục tiêu và thời điểm • Phát động tấn công và xóa dấu vết Institute of Network Security - istudy.ispace.edu.vn Kiến trúc tổng quan của DDoS attack-network Institute of Network Security - istudy.ispace.edu.vn Mô hình Agent – Handler Institute of Network Security - istudy.ispace.edu.vn Mô hình Agent – Handler • Theo mô hình này, attack-network gồm 3 thành phần: Agent, Client và Handler – Client : là software cơ sở để hacker điều khiển mọi hoạt động của attack-network – Handler : là một thành phần software trung gian giữa Agent và Client – Agent : là thành phần software thực hiện sự tấn công mục tiêu, nhận điều khiển từ Client thông qua các Handler Institute of Network Security - istudy.ispace.edu.vn Mô hình IRC – Based Institute of Network Security - istudy.ispace.edu.vn Mô hình IRC – Based • Internet Relay Chat (IRC) là một hệ thống online chat multiuser, IRC cho phép User tạo một kết nối đến multipoint đến nhiều user khác và chat thời gian thực • Kiến trúc của IRC network bao gồm nhiều IRC server trên khắp internet, giao tiếp với nhau trên nhiều kênh (channel). • IRC network cho phép user tạo ba loại channel: public, private và serect. Institute of Network Security - istudy.ispace.edu.vn Phân loại tấn công kiểu ddos Institute of Network Security - istudy.ispace.edu.vn Bandwidth Depletion Attack • Có hai loại Bandwidth Depletion Attack – Flood attack • UDP Flood Attack • ICMP Flood Attack – Amplification attack • Smuft attack • Fraggle Attack Institute of Network Security - istudy.ispace.edu.vn Amplification attack (Tấn công khuyếch đại ) Institute of Network Security - istudy.ispace.edu.vn Resource Deleption Attack • Protocol Exploit Attack (Khai thác lỗ hỗng trên các giao thức) • Malformed Packet Attack là cách tấn công dùng các Agent để gởi các packet có cấu trúc không đúng chuẩn nhằm làm cho hệ thống của nạn nhân bị treo. – IP address attack – IP packet options attack Institute of Network Security - istudy.ispace.edu.vn Resource Deleption Attack • Protocol Exploit Attack (Khai thác lỗ hỗng trên các giao thức) TCP Client Client Port 1024-65535 TCP Server Service Port 1-1023 SYS ACK SYN/ACK 80 Institute of Network Security - istudy.ispace.edu.vn Resource Deleption Attack • Protocol Exploit Attack (Khai thác lỗ hỗng trên các giao thức) Malicious TCP Client Victim TCP Server SYS packet with a deliberately fraudulent (spoofed) source IP return address SYS/ACK SYN 80 ? Institute of Network Security - istudy.ispace.edu.vn Resource Deleption Attack • Protocol Exploit Attack (Khai thác lỗ hỗng trên các giao thức) Institute of Network Security - istudy.ispace.edu.vn Một số công cụ DDoS • Công cụ DDoS dạng Agent – Handler – TrinOO – Tribe Flood Network (TFN): – Stacheldraht – Shaft • Công cụ DDoS dạng IRC – Based – Trinity có hầu hết các kỹ thuật tấn công – Công cụ DDoS khác như Knight, Kaiten Institute of Network Security - istudy.ispace.edu.vn Các giai đoạn chi tiết trong phòng chống DDoS Institute of Network Security - istudy.ispace.edu.vn 1.Tối thiểu hóa số lượng Agent • Từ phía User: Một phương pháp rất tốt để ngăn ngừa tấn công DDoS là từng internet user sẽ tự đề phòng không để bị lợi dụng tấn công hệ thống khác • Cài đặt và update liên tục các software như antivirus, anti_trojan và server patch của hệ điều hành. • Từ phía Network Service Provider: Điều chỉnh cước theo dung lượng sẽ làm user lưu ý những gì gửi => tăng cường phát hiện DDoS Agent Institute of Network Security - istudy.ispace.edu.vn Tìm và vô hiệu hóa các Handler • Phát hiện và vô hiệu hóa Handler thì khả năng Anti- DDoS thành công là rất cao • => Phát hiện bằng cách theo dõi các giao tiếp giữa Handler và Client hay handler va Agent ta có thể phát hiện ra vị trí của Handler Institute of Network Security - istudy.ispace.edu.vn 3. Phát hiện dấu hiệu của một cuộc tấn công • Có nhiều kỹ thuật được áp dụng – Agress Filtering • Kỹ thuật này kiểm tra xem một packet có đủ tiêu chuẩn ra khỏi một subnet hay không ? • Các packet từ bên trong subnet gửi ra ngoài với địa chỉ nguồn không hợp lệ sẽ bị giữ lại để điều tra nguyên nhân – MIB statistics: trong Management Information Base (SNMP) của route luôn có thông tin thống kể về sự biến thiên trạng thái của mạng. Institute of Network Security - istudy.ispace.edu.vn 4. Làm suy giảm hay dừng cuộc tấn công • Load balancing: gia tăng thời gian chống chọi của hệ thống với cuộc tấn công DDoS • Throttling: Thiết lập cơ chế điều tiết trên router, quy định một khoảng tải hợp lý mà server bên trong có thể xử lý được. • Drop request: Thiết lập cơ chế drop request nếu nó vi phạm một số quy định như: thời gian delay kéo dài, tốn nhiều tài nguyên để xử lý, gây deadlock Institute of Network Security - istudy.ispace.edu.vn 5. Chuyển hướng của cuộc tấn công • Honeyspots là một hệ thống được thiết kế nhằm đánh lừa attacker tấn công vào khi xâm nhập hệ thống mà không chú ý đến hệ thống quan trọng thực sự • Honeyspots rất hiệu quả trong việc phát hiện và xử lý xâm nhập, vì trên Honeyspots đã thiết lập sẵn các cơ chế giám sát và báo động. Institute of Network Security - istudy.ispace.edu.vn 6. Giai đoạn sau tấn công • Trong giai đoạn này thông thường thực hiện các công việc sau: – Traffic Pattern Analysis • Nếu dữ liệu về thống kê biến thiên lượng traffic theo thời gian đã được lưu lại thì sẽ được đưa ra phân tích. • Quá trình phân tích này rất có ích cho việc tinh chỉnh lại các hệ thống Load Balancing và Throttling. • Ngoài ra các dữ liệu này còn giúp Quản trị mạng điều chỉnh lại các quy tắc kiểm soát traffic ra vào mạng của mình Institute of Network Security - istudy.ispace.edu.vn 6. Giai đoạn sau tấn công – Packet Traceback • Bằng cách dùng kỹ thuật Traceback ta có thể truy ngược lại vị trí của Attacker (ít nhất là subnet của attacker). • Từ kỹ thuật Traceback ta phát triển thêm khả năng Block Traceback từ attacker khá hữu hiệu – Bevent Logs: Bằng cách phân tích file log sau cuộc tấn công, quản trị mạng có thể tìm ra nhiều manh mối và chứng cứ quan trọng. Institute of Network Security - istudy.ispace.edu.vn Tóm lược bài học • DOS. • DDOS • Các công cụ cần thiết. • Các điểm cần lưu ý. Institute of Network Security - istudy.ispace.edu.vn Q & A 32