Tóm tắt Luận văn - Nghiên cứu phân tích một số phương thức tấn công điển hình trên mạng máy tính và phương pháp

ệ trước Hội đồng chấm luận văn thạc sĩ tại Học viện Công nghệ Bưu chính Viễn thông Vào lúc: giờ ngày 20 tháng 01 năm 2013 Có thể tìm hiểu luận văn tại: - Thư viện của Học viện Công nghệ Bưu chính Viễn thông MỞ ĐẦU 1. Lý do chọn đề tài Ngày nay cùng với sự phát triển của Internet thì số lượng người tham gia các dịch vụ ứng dụng trên Internet ngày càng cao. Các dịch vụ trên mạng đã thâm nhập vào hầu hết các lĩnh vực xã hội. Các thông tin trên Internet cũng đa dạng về nội dung và hình thức trong đó có nhiều thông tin cần được bảo mật cao hơn. Nhưng bên cạnh đó số lượng các cuộc tấn công trái phép trên mạng cũng gia tăng nhanh chóng. Điều đó thật dễ hiểu bởi khi ta gia tăng lượng thông tin, ích lợi trên Internet thì cũng sẽ làm nảy sinh các xâm nhập để khai thác trái phép các thông tin đó nhằm phục vụ lợi ích riêng. Chính vì vậy mà vấn đề phòng chống sự xâm nhập đó ngày càng được coi trọng. Nhưng muốn làm tốt được công tác bảo vệ thì ta cần có sự nhìn nhận cụ thể về cách thức và phương pháp của các cuộc tấn công. Vì vậy tôi đã quyết định chọn đề tài “Nghiên cứu phân tích một số phương thức tấn công điển hình trên mạng máy tính và phương pháp ngăn chặn” cho luận văn này. 2. Mục đích nghiên cứu - Mục đích của luận văn là nghiên cứu, phân tích một số phương thức tấn công điển hình trên mạng máy tính hay mạng Internet và phương pháp ngăn chặn. 3. Đối tượng và phạm vi nghiên cứu - Đối tượng nghiên cứu của luận văn là các kỹ thuật tấn công phổ biến hiện nay - Phạm vi nghiên cứu: Các tấn công trên mạng máy tính ( ví dụ tấn công mạng, tấn công máy chủ web, các phần mềm ứng dụng,) 4. Phương pháp nghiên cứu - Phương pháp nghiên cứu: phương pháp phân tích, phương pháp mô hình hoá, giải thuật, phương pháp mô phỏng, thực nghiệm, phân tích, đánh giá Luận văn được tổ chức thành 3 chương: Chương 1: Tổng quan về mạng máy tính và các phương pháp tấn công mạng. Khái quát một số đặc điểm chính của mạng máy tính, các điểm yếu và nguy cơ tấn công mạng. Hệ thống hoá các loại hình tấn công và trình bày tổng quan về các phương thức tấn công, các kỹ thuật tấn công. Chương 2: Một số kỹ thuật tấn công mạng điển hình và phương pháp ngăn chặn. Phân tích kỹ thuật tấn công SQL, từ chối dịch vụ phân tán và đề xuất phương pháp phòng chống. Chương 3: Mô phỏng một số kỹ thuật tấn công điển hình Trong chương này tôi sẽ mô phỏng một số tấn công điển hình như SQL (SQL Injection), DoS. CHƯƠNG I: MẠNG MÁY TÍNH VÀ CÁC PHƯƠNG THỨC TẤN CÔNG MẠNG Chương này nói về một số đặc điểm chính của mạng máy tính, các điểm yếu và nguy cơ tấn công mạng. Hệ thống hoá các loại hình tấn công và trình bày tổng quan về các phương thức tấn công, các kỹ thuật tấn công như: Tấn công Trojan and Backdoor, tấn công XSS, tấn công SQL(SQL Injection), từ chối dịch vụ. 1.1. Mạng máy tính 1.1.1. Định nghĩa mạng máy tính Mạng máy tính là tập hợp các máy tính đơn lẻ được kết nối với nhau bằng các phương tiện truyền vật lý và theo một kiến trúc mạng xác định. 1.1.2. Kiến trúc mạng máy tính Kiến trúc mạng gồm cấu trúc mạng( topology) và giao thức mạng( protocol). Topology là cấu trúc hình học của các thực thể mạng và giao thức mạng là tập các quy tắc chuẩn các thực thể hoạt động truyền thông phải tuân theo. 1.1.3. Các dịch vụ phổ biến của mạng máy tính Các dịch vụ in ấn: Các dịch vụ tệp Các dịch vụ ứng dụng hướng đối tượng: Các dịch vụ ứng dụng quản trị luồng công việc trong nhóm làm việc: Dịch vụ cơ sở dữ liệu: 1.2. Các điểm yếu và nguy cơ tấn công mạng máy tính 1.2.1. Lỗ hổng bảo mật Các lỗ hổng bảo mật trên một hệ thống là các điểm yếu có thể tạo ra sự ngưng trệ của dịch vụ, thêm quyền đối với người sử dụng hoặc cho phép các truy nhập không hợp pháp vào hệ thống. 1.2.2. Phân loại lỗ hổng Có nhiều tổ chức khác nhau tiến hành phân loại các dạng lỗ hổng đặc biệt. Theo cách phân loại của Bộ quốc phòng Mỹ, các loại lỗ hổng bảo mật trên một hệ thống được chia như sau: - Lỗ hổng loại A: - Lổ hổng loại B: - Lỗ hổng loại C: 1.2.3. Đối tượng tấn công Là các cá nhân hoặc các tổ chức sử dụng các kiến thức về mạng và các công cụ phá hoại (phần mềm hoặc phần cứng) để dò tìm các điểm yếu, lỗ hổng bảo mật trên hệ thống, thực hiện các hoạt động xâm nhập và chiếm đoạt tài nguyên mạng trái phép. Một số đối tượng tấn công mạng là: Hacker, Masquerader, Eavesdropping. Những đối tượng tấn công mạng có thể nhằm nhiều mục đích khác nhau như: ăn cắp các thông tin có giá trị về kinh tế, phá hoại hệ thống mạng có chủ định hoặc cũng có thể chỉ là những hành động vô ý thức, thử nghiệm các chương trình không kiểm tra cẩn thận. 1.3. Tình hình an ninh mạng hiện nay Theo thống kê của Bkav, trong năm 2012 vẫn có tới 2.203 website của các cơ quan doanh nghiệp tại Việt Nam bị tấn công, chủ yếu thông qua các lỗ hổng trên hệ thống mạng. So với năm 2011 (có 2.245 website bị tấn công), con số này hầu như không giảm. Trên thế giới năm 2012 theo khảo sát của Kaspersky, 50% rủi ro kinh doanh của các doanh nghiệp là từ các mối đe dọa qua mạng, 26% là các vấn đề liên quan đến an ninh mạng. Từ thực trạng trên đã chỉ ra rằng, các đợt tấn công của hacker nhắm vào các doanh nghiệp, website hiện đang ngày càng tăng. 1.4. Tổng quan về một số phương pháp tấn công mạng Phần này sẽ nói về một số phương thức tấn công mạng như: tấn công trực tiếp, nghe trộm, giả mạo địa chỉ IP, vô hiệu hoá chức năng hệ thống, tấn công vào yếu tố con người. Tấn công trực tiếp: Những cuộc tấn công trực tiếp thông thường được sử dụng trong giai đoạn đầu để chiếm được quyền truy nhập bên trong. . Nghe trộm:Việc nghe trộm thông tin trên mạng có thể đưa lại những thông tin có ích như tên, mật khẩu của người sử dụng, các thông tin mật chuyển qua mạng. Giả mạo địa chỉ: Giả mạo địa chỉ IP có thể được thực hiện thông qua việc sử dụng khả năng dẫn đường trực tiếp (source-routing). Vô hiệu hoá chức năng của hệ thống: Đây là kiểu tấn công nhằm tê liệt hệ thống, không cho nó thực hiện chức năng mà nó thiết kế. Lỗi của người quản trị hệ thống: Đây không phải là một kiểu tấn công của những kẻ đột nhập, tuy nhiên lỗi của người quản trị hệ thống thường tạo ra những lỗ hổng cho phép kẻ tấn công sử dụng để truy nhập vào mạng nội bộ. Tấn công vào yếu tố con người: Kẻ tấn công có thể liên lạc với một người quản trị hệ thống, giả làm một người sử dụng để yêu cầu thay đổi mật khẩu, thay đổi quyền truy nhập của mình đối với hệ thống, hoặc thậm chí thay đổi một số cấu hình của hệ thống để thực hiện các phương pháp tấn công khác. 1.5. Tổng quan một số kỹ thuật tấn công mạng Trong phần này đi vào tổng quan một số kỹ thuật tấn công như: Trojan và Backdoor, tấn công XSS, tấn công từ chối dịch vụ, SQL (SQL Injection), lỗi tràn bộ nhớ đệm, 1.5.1.Trojan và Backdoor Trojan: Là một chương trình nhỏ chạy chế độ ẩn và gây hại cho máy tính. Với sự trợ giúp của Trojan, một kẻ tấn công có thể dễ dàng truy cập vào máy tính của nạn nhân để thực hiện một số việc nguy hại như lấy cắp dữ liệu, xóa file, và nhiều khả năng khác. 1.5.2. Backdoor Là tên một công cụ thuộc họ Trojan. Đúng như tên gọi "Backdoor" nguyên lý hoạt động của công cụ này khá đơn giản, khi được chạy trên máy nạn nhân nó sẽ thường trực trên bộ nhớ và mở một cổng cho phép ta dễ dàng đột nhập và máy tính nạn nhân qua cổng đã mở đó. Ta có thể toàn quyền điều khiển máy nạn nhân. Lây nhiễm Backdoor vào máy nạn nhân: Có rất nhiều cách để lây nhiểm Backdoor vào máy nạn nhân. Có thể dùng Godwill, Godmessage, HKC... để những server của Backdoor vào file .html (server phải <=50Kb). Tuy nhiên nếu server quá lớn thì ta có thể dùng những chương trình downloader, nó sẽ downloader server về máy nạn nhân và chạy nó từ địa chỉ mà ta đã config 1.5.3. Tấn công XSS Cross-Site Scripting (XSS) là một trong những kĩ thuật tấn công phổ biến nhất hiện nay, đồng thời nó cũng là một trong những vấn đề bảo mật quan trọng đối với các nhà phát triển web và cả những người sử dụng web. Bất kì một website nào cho phép người sử dụng đăng thông tin mà không có sự kiểm tra chặt chẽ các đoạn mã nguy hiểm thì đều có thể tiềm ẩn các lỗi XSS. 1.5.4. Tấn công từ chối dịch vụ Về cơ bản, tấn công từ chối dịch vụ chỉ là tên gọi chung của cách tấn công làm cho một hệ thống nào đó bị quá tải không thể cung cấp dịch vụ, hoặc phải ngưng hoạt động. Tấn công kiểu này chỉ làm gián đoạn hoạt động của hệ thống chứ rất ít có khả năng thâm nhập hay chiếm được thông tin dữ liệu của nó. 1.5.5. Tấn công SQL Injection SQL Injection (còn gọi là SQL Insertion) là một hình thức tấn công trong đó truy vấn SQL của ứng dụng đã bị chèn thêm các tham số đầu vào “không an toàn” do người dùng nhập vào, từ đó mã lệnh được gửi tới máy chủ database để phân tích cú pháp và thực thi. 1.6. Kết luận chương 1 Trong chương này, tôi đã khái quát về một số đặc điểm chính của mạng máy tính, các điểm yếu và nguy cơ tấn công mạng. Hệ thống hoá các loại hình tấn công và trình bày tổng quan về các phương thức tấn công, các kỹ thuật tấn công. Tuy nhiên tôi chỉ nêu các vấn đề một cách khái quát nhất. Để đi vào nội dung cụ thể hơn tôi sẽ trình bày trong các phần tiếp theo của cuốn luận văn này. CHƯƠNG II: PHÂN TÍCH MỘT SỐ KỸ THUẬT TẤN CÔNG MẠNG ĐIỂN HÌNH VÀ PHƯƠNG PHÁP NGĂN CHẶN Trong chương này sẽ đi phân tích 2 kỹ thuật tấn công phổ biến hiện nay là: SQL Injection và từ chối dịch vụ phân tán (DDoS) từ đó đề xuất phương pháp phòng chống. 2.1. Tấn công SQL Injection Ở nước ta, trong quá trình đào tạo, các lập trình viên ứng dụng Web được đào tạo nhiều kiến thức và kỹ năng cần thiết, tuy nhiên các kiến thức về bảo mật hầu như không được chú trọng đúng mức. Điều này vô hình chung dẫn đến hệ quả là các sản phẩm của họ đều có nguy cơ mắc phải những vấn đề về bảo mật, điều mà không đáng có nếu họ được trang bị tốt hiểu biết từ đầu. Mục đích của phần này tập trung phân tích cơ bản, cách hình thành và các kỹ thuật tấn công của một cuộc tấn công SQL Injection tới một ứng dụng Web, thông qua đó tổng hợp và đề xuất một mô hình phát triển ứng dụng Web an toàn cho các nhà phát triển ứng dụng Web. Các kiến thức được đề cập trong khuôn khổ khóa luận này có thể không đảm bảo tính thời sự, mới nhất của tình hình các cuộc tấn công hiện tại. Tuy nhiên người thực hiện vẫn hy vọng có thể đề cập và cung cấp một cái nhìn tổng thể, căn bản nhất cho cộng đồng các nhà phát triển ứng dụng web hiện tại và sau này. 2.1.1. Nhận diện điểm yếu SQL injection trong ứng dụng Web Công việc nhận diện điểm yếu này là công việc đầu tiên trong chuỗi các thao tác cần để khắc phục điểm yếu SQL Injection trong ứng dụng. Công việc này được thực hiện tương tự các thao tác hacker tiến hành thăm dò lỗi SQL Injection của ứng dụng. Chúng ta xét một số công việc cần thực hiện trong quá trình thăm dò lỗi SQL Injection. 2.1.1.1. Thăm dò dựa trên phản hồi Thăm dò dựa trên phản hồi là phương pháp tự nhiên nhất. Chúng ta cần tối thiểu là một trình duyệt web, có thể trang bị thêm một ứng dụng Proxy (ví dụ Burp proxy, Web Scarab proxy, ) và tiến hành các phép thử SQL Injection ngẫu nhiên và tiến hành phân tích, thống kê kết quả. 2.1.1.2. Cơ chế sinh truy vấn SQL bên trong các ứng dụng và các phương pháp chèn truy vấn SQL a. Cơ chế sinh truy vấn SQL bên trong ứng dụng. Tham số được nhập vào sẽ được sử dụng để xây dựng các truy vấn SQL nên nó sẽ cần thỏa mãn các ràng buộc cú pháp với thành phần trước và sau trong truy vấn gốc. b. Các phương pháp chèn tham số Tùy thuộc vào câu truy vấn gốc mà các tham số được chèn vào sẽ có vị trí khác nhau trong truy vấn đó. Ứng với từng trường hợp đó, chúng ta có các mô hình chèn tham số sau: - Chèn vào giữa truy vấn: chèn vào giữa truy vấn là mô hình chỉ đơn thuần thao tác với tham số, không hề tác động đến cấu trúc và các thành phần của truy vấn gốc. - Chèn và ngắt truy vấn: đây là mô hình chèn truy vấn phổ biến nhất, truy vấn được chèn vào sẽ bao gồm thêm ở cuối các ký tự comment nhằm ngắt truy vấn tại đó, vô hiệu hóa các phần tử trong truy vấn gốc nằm phía sau vị trí tham số. 2.1.2. Phân tích các kỹ thuật tấn công SQL Injection Các cuộc tấn công nhắm tới lớp database của ứng dụng Web được chia làm bốn loại như sau: - Tấn công vượt qua kiểm tra đăng nhập - Tấn công sử dụng câu lệnh select - Tấn công sử dụng câu lện insert - Tấn công sử dụng stored-procedures Sau đây sẽ đi phân tích từng kỹ thuật tấn công 2.1.2.1. Kỹ thuật tấn công vượt qua kiểm tra khi đăng nhập Với dạng tấn công này, tin tặc có thể dễ dàng vượt qua các trang đăng nhập nhờ vào lỗi khi dùng các câu lệnh SQL thao tác trên cơ sở dữ liệu của ứng dụng web. 2.1.2.2. Dạng tấn công sử dụng câu lệnh SELECT Dạng tấn công này phức tạp hơn. Để thực hiện được kiểu tấn công này, kẻ tấn công phải có khả năng hiểu và lợi dụng các sơ hở trong các thông báo lỗi từ hệ thống để dò tìm các điểm yếu khởi đầu cho việc tấn công. Xét một ví dụ rất thường gặp trong các website về tin tức. Thông thường, sẽ có một trang nhận ID của tin cần hiển thị rồi sau đó truy vấn nội dung của tin có ID này. 2.1.2.3. Dạng tấn công sử dụng câu lệnh INSERT Thông thường các ứng dụng web cho phép người dùng đăng kí một tài khoản để tham gia. Chức năng không thể thiếu là sau khi đăng kí thành công, người dùng có thể xem và hiệu chỉnh thông tin của mình. SQL injection có thể được dùng khi hệ thống không kiểm tra tính hợp lệ của thông tin nhập vào. 2.1.2.4. Dạng tấn công sử dụng stored-procedures Việc tấn công bằng stored-procedures sẽ gây tác hại rất lớn nếu ứng dụng được thực thi với quyền quản trị hệ thống 'sa'. 2.1.3. Phòng chống SQL injection Các biện pháp an ninh trên bất cứ hệ thống thông tin nào đều được triển khai theo nguyên tắc phòng thủ theo chiều sâu, do đó các biện pháp phòng chống SQL Injection chúng ta sẽ đề cập cũng hướng theo mô hình này. Các nội dung được đề cập sau đây sẽ bao gồm việc xây dựng các mã nguồn đảm bảo an toàn, cấu hình máy chủ database, DBMS, và các công cụ dạng tường lửa. 2.1.3.1. Phòng chống từ mức xây dựng mã nguồn ứng dụng Điểm yếu SQL Injection bắt nguồn từ việc xử lý dữ liệu từ người dùng không tốt, do đó vấn đề xây dựng mã nguồn đảm bảo an ninh là cốt lõi của việc phòng chống SQL Injection.  Làm sạch dữ liệu đầu vào  Xây dựng truy vấn theo mô hình tham số hóa  Chuẩn hóa dữ liệu  Mô hình thiết kế mã nguồn tổng quát 2.1.3.2. Các biện pháp bảo vệ từ mức nền tảng hệ thống Các biện pháp phòng chống từ mức nền tảng hệ thống (platform-level) là những biện pháp cải tiến trong thời gian hoạt động (runtime) hoặc các thay đổi trong cấu hình sao cho có thể nâng cao mức độ an ninh tổng thể của ứng dụng. 2.1.3.3. Các biện pháp bảo vệ tức thời Những biện pháp bảo vệ tức thời là những biện pháp có thể áp dụng mà không cần phải thực hiện biên dịch lại mã nguồn của ứng dụng. Các biện pháp bảo vệ trong thời gian hoạt động là các công cụ hữu ích nhằm phòng tránh việc lợi dụng các điểm yếu SQL Injection đã được xác định. a. Các ứng dụng tường lửa Web Ứng dụng tường lửa Web (Web Application Firewall - WAF) là một ứng dụng được bố trí đóng vai trò trung gian giữa client và web server, làm nhiệm vụ điều phối các thông tin luân chuyển, cân bằng tải. b. Các bộ lọc ngăn chặn Hầu hết các ứng dụng tường lửa web (WAF) đều cài đặt các mẫu lọc ngăn chặn trong cấu trúc của mình. Các bộ lọc này là một chuỗi các module độc lập có thể được gắn kết với nhau để thực hiện thao tác xử lý trước và sau các xử lý chính bên trong ứng dụng (Web page, URL, script 2.1.3.4. Các biện pháp bảo vệ database Các biện pháp bảo vệ chính database nhằm đề phòng những trường hợp xấu, khi kẻ tấn công đã khai thác được điểm yếu, và từ đó có thể điều khiển các hoạt động của database nhằm ăn cắp dữ liệu hoặc làm bàn đạp thâm nhập vào hệ thống bên trong, đằng sau database. 2.1.3.5. Đề xuất một số giải pháp Thực tế cho thấy không một hệ thống ứng dụng Web nào được coi là an ninh tuyệt đối. Các giải pháp an ninh hệ thống chỉ có thể hướng tới việc bảo vệ hệ thống một cách tối đa, và giảm thiểu các nguy cơ tấn công xuống mức tối thiểu. Một mô hình an ninh nhiều mức là một sự lựa chọn sáng suốt cho vấn đề này. Các biện pháp an ninh chúng ta đã đề cập tới bao gồm các biện pháp quản lý luồng thông tin trao đổi giữa ứng dụng và database server như: lọc request từ client thông qua tường lửa Web, chuẩn hóa các tham số lấy được từ request, xây dựng các truy vấn tham số hóa, lọc tiếp lần cuối các http response tại tường lửa Web. Ngoài ra còn cần áp dụng các biện pháp an ninh mức nền tảng hệ thống. 2.2. Tấn công từ chối dịch vụ phân tán DDoS Khi sử dụng một Tool tấn công Dos (chương 1) tới một máy chủ đôi khi không gây ảnh hưởng gì cho máy chủ. Giả sử bạn sử dụng Ping of death tới một máy chủ trong khi máy chủ đó kết nối với mạng tốc độ 100Mbps, bạn kết nối tới máy chủ tốc độ 3Mbps thì tấn công của bạn không có ý nghĩa gì. Nhưng nếu cùng lúc có 1000 người như bạn tấn công vào máy chủ kia thì khi đó băng thông của 1000 người cộng lại tối đa đạt 3Gbps và tốc độ kết nối của máy chủ đạt 100Mbps thì cuộc tấn công này thật là lớn. Chính vì vậy kẻ tấn công trên mạng máy tính với quy mô lớn hiện nay trở nên rất phổ biến. 2.2.1. Các giai đoạn tấn công DDoS Một cuộc tấn công DDoS gồm ba giai đoạn: giai đoạn chuẩn bị, giai đoạn xác định mục tiêu và thời điểm, giai đoạn phát động tấn công và xoá dấu vết. 2.2.1.1. Giai đoạn chuẩn bị Chuẩn bị công cụ quan trọng của cuộc tấn công, công cụ này thông thường hoạt động theo mô hình client-server. 2.2.1.2. Giai đoạn xác định mục tiêu Sau khi xác định mục tiêu lấn cuối, hacker sẽ có hoạt động điều chỉnh attack- netword chuyển hướng tấn công về phía mục tiêu. Yếu tố thời điểm sẽ quyết định mức độ thiệt hại và tốc độ đáp ứng của mục tiêu đối với cuộc tấn công. 2.2.1.3. Giai đoạn tấn công và xoá dấu vết Đúng thời điểm đã định, hacker phát động tấn công từ máy của mình, lệnh tấn công này có thể đi qua nhiều cấp mói đến host thực sự tấn công. Toàn bộ attack- network (có thể lên đến hàng ngàn máy), sẽ vắt cạn năng lực của server mục tiêu liên tục, ngăn chặn không cho nó hoạt động như thiết kế. 2.2.2. Kiến trúc tổng quan của DDoS attack-network Nhìn chung DDoS attack-network có hai mô hình chính:  Mô hình Agent – Handler  Mô hình IRC – Based 2.2.3. Phân loại tấn công DDoS Nhìn chung, có rất nhiều biến thể của kỹ thuật tấn công DDoS nhưng nếu nhìn dưới góc độ chuyên môn thì có thể chia các biến thề này thành hai loại dựa trên mục đích tấn công: làm cạn kiệt băng thông và làm cạn kiệt tài nguyên hệ thống. 2.2.3.1. Những kiểu tấn công làm cạn kiệt tài nguyên: (Resource Deleption Attack) Theo định nghĩa: Resource Deleption Attack là kiểu tấn công trong đó Attacker gởi những packet dùng các protocol sai chức năng thiết kế, hay gửi những packet với dụng ý làm tắt nghẽn tài nguyên mạng làm cho các tài nguyên này không phục vụ user thông thường khác được. 2.2.4. Một số phương pháp phòng chống DDoS Ngay sau khi các cuộc tấn công quy mô lớn đầu tiên, nhiều nghiên cứu đã được dành riêng cho các vấn đề mới về ngăn chặn, loại bỏ, và bằng cách nào đó lọc ra các cuộc tấn công DoS nhằm vào các hệ thống đầu cuối host. Trong khi DDoS là một vấn đề tương đối mới, các nghiên cứu liên quan đã tồn tại trong lĩnh vực kiểm soát tắc nghẽn, giảm nhẹ các cuộc tấn công DoS đơn giản, dung thứ lỗi, và duy trì hoạt động của node trong mạng. 2.2.5. Đề xuất phương pháp phòng chống DDoS Trong luận văn này đã nghiên cứu và đưa ra hệ thống tự động phát hiện và ngăn chặn một cuộc tấn công DDos kết hợp giao thức lan tỏa ngược để phòng chống các cuộc tấn công DDos. 2.2.6. Đánh giá hiệu quả của phương pháp phòng chống DDoS Hệ thống phát hiện và tự động ngăn chặn được thiết kế đặt ở nạn nhân. Do cơ chế của giao thức lan tỏa ngược là đẩy lùi đến gần nguồn tấn công nhất. Việc kết hợp hai phương pháp này sẽ có hiệu quả tương đối cao. Những ưu điểm của hệ thống: - Tự động cảnh báo khi phát hiện có cuộc tấn công Ddos - Chặn tự động những địa chỉ IP mới khi có cuộc tấn công - Chặn được khi có giả mạo địa chỉ IP - Hệ thống vẫn hoạt động khi router hàng xóm không hỗ trợ lan tỏa ngược Tuy nhiên bên cạnh đó hệ thống còn rất nhiều nhược điểm. Thứ nhất giao thức lan tỏa ngược khá phức tạp và phải cài đặt trên các router. Thứ hai hệ thống ngăn chặn tự động sẽ chặn những địa chỉ IP mới. Chính vì thế có thể chặn nhầm những địa chỉ IP không thường xuyên lui tới nhưng tỷ lệ này sẽ rất thấp do kỹ thuật xây dựng IAD đã trình bày. Một vấn đề nữa, do đây là hệ thống tự động ngăn chặn nên tôi sẽ để giao thức trong lan tỏa ngược với tham số là “all”. Còn về thời gian sẽ thiết lập một tham số cố định. 2.3. Kết luận chương 2 Với cách nhìn cụ thể hơn về các phương thức tấn công trên mạng máy tính, chương 2 đã đi vào phân tích cụ thể về 2 kỹ thuật tấn công phổ biến là SQL Injection và từ chối dịch vụ phân tán (DDoS). Một số phương pháp ngăn chặn cũng đã được đề suất trong chương này. Tuy nhiên để giúp các bạn dễ hình dung hơn về 2 kỹ thuật này thì phần tiếp theo của luận văn sẽ đi mô phỏng một kỹ thuật tấn công trong hai loại trên. Từ đó hi vọng các bạn sẽ hiểu rõ hơn. CHƯƠNG 3: MÔ PHỎNG KỸ THUẬT TẤN CÔNG TỪ CHỐI DỊCH VỤ Chương này sẽ thực hiện mô phỏng một cuộc tấn công từ chối dịch vụ Dos. Như đã giới thiệu trong chương 2 3.1. Tấn công từ chối dịch vụ 3.1.1. Giới thiệu về tấn công mô phỏng Cuộc tấn công DoS trong thực nghiệm dưới đây chỉ mang tính minh họa cho lý thuyết ở trên không mang tính phá hoại nên chỉ sử dụng công cụ có tính năng nhẹ nhằm giảm tính phá hoại hệ thống. Công cụ sử dụng ở đây là DoS HTTP 2.5.1, là công cụ có tính phá hoại nhẹ và cũng là công cụ giúp đỡ cho các quản trị viên kiểm tra và đánh giá hiệu năng của máy chủ web nhằm đảm bảo tính ổn định và đưa ra các giải pháp tốt nhất cho hệ thống. 3.1.2. Công cụ và các bước chuẩn bị - Phần mềm DoS HTTP 2.5.1 - Phần mềm phân tích gói tin WireShark - Xác định mục tiêu cần tấn công (ở đây ta sử dụng diễn đàn www.ithutech.net ) 3.1.3. Tiến hành tấn công. Cuộc tấn công với công cụ DoS HTTP 2.5.1 sẽ liên tiếp tạo các resquest từ client với một IP nguồn đến server web làm cho ngập băng thông của server. Khi đó các client hợp lệ truy cập vào server web sẽ bị từ chối Được thực hiện qua 9 bước như sau: - Bước 1: Cài đặt DoSHTTP 2.5.1 - Bước 2: Bật Wireshark - Bước 3: Vào Website mục tiêu để kiểm tra => - Bước 4: Kiểm tra WireShark thấy các kết nối tới www.ithutech.net bình thường - Bước 5: Xác định mục tiêu và bắt đầu tấn công là: - Bước 6: Kiểm tra các kết nối trong WireShark khi tấn công - Bước 7: Kiểm tra website bằng cách vào lại lần nữa thấy không vào được - Bước 8: Tắt phần mềm - Bước 9: File báo cáo sau khi sử dụng phần mềm DoS HTTP 2.5.1 3.2. Đánh giá Dựa vào kết quả mô phỏng ta đã phần nào hiểu hơn về việc thế nào là tấn công từ chối dịch vụ (DoS). Qua đó chứng minh cho ta thấy tính phá hoại của cuộc tấn công DoS gây hậu quả thế nào với hệ thống, nó làm cho hệ thống bị nghẽn và nếu là một cuộc tấn công quy mô lớn thì có thể làm cho hệ thống bị reboot và nếu hệ thống đó liên quan đến tài chính có thể ảnh hưởng không nhỏ đến tài chính của công t 3.3. Phương pháp ngăn chặn tấn công DoS 3.4. Kết luận chương 3 Chương 3 đã mô phỏng về cách thức của một cuộc tấn công từ chối dịch vụ như thế nào. Đồng thời cũng cho thấy hậu quả của nó gây ra, đưa ra được một số biện pháp ngăn chặn thiết thực. Hi vọng bạn đọc đã phần nào hiểu và tự rút cho mình các kinh nghiêm cũng như các biện pháp ngăn chặn cho riêng mình sao cho hiệu quả nhất. KẾT LUẬN VÀ KIẾN NGHỊ Với đề tài “Nghiên cứu phân tích một số phương thức tấn công điển hình trên mạng máy tính và phương pháp ngăn chặn” và mục đích nghiên cứu ban đầu là phân tích một số phương thức tấn công điển hình trên mạng máy tính và phương pháp ngăn chặn, đến thời điểm hiện tại về cơ bản luận văn đã đạt được các vấn đề chính như: có cái nhìn tổng quan về một số kỹ thuật tấn công mạng hiện nay như: XSS, Troijan, Buffer Over, SQL Injection, DoS. Và đã đi sâu vào phân tích một cách cụ thể về phương pháp, cách thức hoạt động, kỹ thuật của một số kỹ thuật tấn công mạng điển hình như: SQL Injection, DoS. Luận văn hoàn thành có một ý nghĩa thực tiễn là trở thành một tài liệu tham khảo cho người đọc khi muốn tìm hiểu về các vấn đề liên quan đến tấn công mạng máy tính: hiểu được một số cách thức tấn công mạng điển hình và phương pháp ngăn chặn, đặc biệt còn có chương trình mô phỏng để giúp người đọc- những người yêu thích công nghệ thông tin có cái nhìn sâu sắc hơn để có các biện pháp bảo vệ an toàn khi sử dụng Internet. Luận văn hoàn thành cũng đem lại một ý nghĩa khoa học là trở thành một công trình nghiên cứu nhỏ góp phần vào hệ thống các công trình nghiên cứu lớn của nền khoa học nói chung. Luận văn đã đạt được các kết quả sau: - Nghiên cứu về một số kỹ thuật tấn công mạng như: XSS, Troijan, Buffer Over, SQL Injection, DoS. Nghiên cứu về hai loại hình tấn công điển hình là SQL Injection, DoS. - Qua nghiên cứu đã đề xuất được một số biện pháp ngăn chặn và bảo vệ. - Thử nghiệm được tấn công DDoS bằng các công cụ Tuy nhiên trong phạm vi thời gian thực hiện, luận văn vẫn còn nhiều hạn chế, thiếu sót. Vì vậy bản thân tôi mong muốn đề tài này sẽ được phát triển thêm nếu điều kiện cho phép, và tôi xin được đưa ra một số kiến nghị sau cho hướng phát triển tiếp theo của đề tài: - Tìm hiểu thêm về các kỹ thuật tấn công một cách sâu sắc hơn nữa. - Mở rộng khung tìm hiểu, nghiên cứu về các kỹ thuật tấn công khác như: Tấn công Trojan và Backdoor,... - Bên cạnh đó sẽ tìm hiểu và đưa ra các biện pháp phòng chống, ngăn chặn các cuộc tấn công một cách cụ thể và chi tiết hơn. Như vậy với đề tài “Nghiên cứu phân tích một số phương thức tấn công điển hình trên mạng máy tính và phương pháp ngăn chặn” tôi hy vọng sẽ được sự góp ý của các thầy cô và các bạn đọc, và cũng mong muốn đem lại phần nào kiến thức để giúp mọi người có các biện pháp an toàn cần thiết khi sử dụng Internet.