Link xem tivi trực tuyến nhanh nhất xem tivi trực tuyến nhanh nhất xem phim mới 2023 hay nhất xem phim chiếu rạp mới nhất phim chiếu rạp mới xem phim chiếu rạp xem phim lẻ hay 2022, 2023 xem phim lẻ hay xem phim hay nhất trang xem phim hay xem phim hay nhất phim mới hay xem phim mới link phim mới

intTypePromotion=1
ADSENSE

Giáo trình An ninh mạng (Nghề: Quản trị mạng máy tính - Trình độ Cao đẳng) - Trường Cao đẳng Nghề An Giang

Chia sẻ: _ _ | Ngày: | Loại File: PDF | Số trang:77

13
lượt xem
2
download
 
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Giáo trình An ninh mạng trang bị cho học sinh, sinh viên đầy đủ các kiến thức và kỹ năng về bảo mật hệ thống mạng. Nhận biết được các kiểu tấn công trên mạng, các phần mềm độc hại cũng như nắm vững được các phương pháp phát hiện thâm nhập trên máy đơn, trên hệ thống mạng hay trên hệ phân tán. Mời các bạn cùng tham khảo!

Chủ đề:
Lưu

Nội dung Text: Giáo trình An ninh mạng (Nghề: Quản trị mạng máy tính - Trình độ Cao đẳng) - Trường Cao đẳng Nghề An Giang

  1. ỦY BAN NHÂN DÂN TỈNH AN GIANG TRƯỜNG CAO ĐẲNG NGHỀ AN GIANG GIÁO TRÌNH An ninh mạng NGHỀ : QUẢN TRỊ MẠNG MÁY TÍNH TRÌNH ĐỘ CAO ĐẲNG (Ban hành theo Quyết định số: /QĐ-CĐN, ngày tháng năm 20 của Hiệu trưởng trường Cao đẳng nghề An Giang) An Giang, Năm ban hành: 2019
  2. TUYÊN BỐ BẢN QUYỀN Tài liệu này thuộc loại sách giáo trình nên các nguồn thông tin có thể được phép dùng nguyên bản hoặc trích dùng cho các mục đích về đào tạo và tham khảo. Mọi mục đích khác mang tính lệch lạc hoặc sử dụng với mục đích kinh doanh thiếu lành mạnh sẽ bị nghiêm cấm.
  3. LỜI GIỚI THIỆU Giáo trình này phục vụ cho sinh viên hệ cao đẳng chuyên ngành Quản trị mạng máy tính. Giáo trình này sẽ giúp cho sinh viên hiểu các khái niệm về hệ thống an ninh mạng, nhận biết được các kiểu tấn công trên mạng, các phần mềm độc hại cũng như nắm vững được các phương pháp phát hiện thâm nhập trên máy đơn, trên hệ thống mạng hay trên hệ phân tán. Giáo trình gồm những nội dung chính như sau: Bài 1 : Tổng quan về bảo mật mạng. Với bài chúng ta này các sinh viên sẽ có cái nhìn khái quát về một thống được bảo mật, các phần mềm độc hại cũng như những loại lỗ hỏng trong bảo mật hệ thống mạng. Bài 2 : Mã hóa. Với bài học này chúng ta sẽ khái quát về các vấn đề mã hóa dữ liệu, những cách mã hóa hiện đang được được áp dụng vào thực tế. Bài 3 : Bảo mật hạ tầng mạng. Với bài chúng ta này sẽ trình bày về cách thức bảo mật hệ thống hạ tầng mạng bằng những công nghệ phổ biến hiện nay như Proxy, NAT, IPSec, VLAN. Giáo trình không chỉ đề cập đến những vấn đề cơ sở lý luận mà còn trình bày một số kỹ năng, kinh nghiệm cần thiết để thiết kế và bảo mật hệ thống mạng máy tính. Hy vọng giáo trình sẽ có ích cho các em sinh viên và những người muốn xây dựng các hệ thống an toàn, bảo mật cao phục vụ cho sản xuất, quản lý trong các doanh nghiệp. Có thể còn nhiều thiếu sót trong trình bày và biên soạn do khả năng, trình độ, nhưng người biên soạn mạnh dạn giới thiệu tài liệu này và mong nhận được sự góp ý của mọi người. An Giang, ngày tháng năm 2019 Tham gia biên soạn 1. Thái Kim Ngân 2. Huỳnh Thị Mỹ Ngọc 1
  4. MỤC LỤC ĐỀ MỤC TRANG 1. Lời giới thiệu .................................................................................................. 1 2. Mục lục ........................................................................................................... 2 Bài 1: Tổng quan về bảo mật mạng ................................................................. 5 1. Tổng quan về bảo mật mạng máy tính ....................................................... 5 2. Phân loại các lỗ hổng bảo mật ..................................................................... 8 a. Giới thiệu về các loại lỗ hỏng bảo mật. ................................................... 8 b. Phân loại lỗ hổng bảo mật. ....................................................................... 8 c. Tác hại của các lỗ hổng bảo mật. ............................................................. 11 3. Phần mềm độc hại ........................................................................................ 12 a. Các kiểu phần mềm độc hại .................................................................... 12 b. Kiểu lan truyền theo lây nhiễm nội dung ............................................... 12 c. Kiểu lan truyền theo khai thác lỗ hổng ................................................... 13 d. Kiểu lan truyền theo kỹ nghệ xã hội ....................................................... 13 e. Kiểu hành vi hủy hoại hệ thống ............................................................... 13 f. Kiểu hành vi tác tử tấn công ..................................................................... 13 g. Kiểu hành vi đánh cắp thông tin.............................................................. 13 h. Kiểu hành vi tàng hình ............................................................................. 14 i. Các biện phòng chống .............................................................................. .14 4. Tấn công từ chối dịch vụ.............................................................................. .14 a. Các tấn công phát tràn ............................................................................. .14 b. Các tấn công từ chối dịch vụ phân tán .................................................... .16 c. Các tấn công băng thông dựa vào ứng dụng .......................................... .16 d. Các tấn công phản xạ và khuếch đại ....................................................... .17 e. Phòng thủ trước các tấn công từ chối dịch vụ ........................................ .17 f. Phản ứng lại một tấn công từ chối dịch vụ .............................................. .19 Bài 2: mã hóa ..................................................................................................... .21 1. Căn bản về mã hóa ........................................................................................ .21 a. Khái niệm về mã hóa................................................................................. .21 b. Nhu cầu mã hóa thông tin. ....................................................................... .22 2. Một số kỹ thuật mã hóa ................................................................................ .23 a. Mã hóa cổ điển. .......................................................................................... .23 b. Mã hóa đối xứng. ....................................................................................... .24 c. Mã hóa bất đối xứng.................................................................................. .25 d. Hệ thống mã khóa lai. ............................................................................... .26 3. Ứng dụng mã hóa. ......................................................................................... .31 a. Securing Email........................................................................................... .31 b. Authentication System .............................................................................. .35 c. Secure E-Commerce .................................................................................. .36 d. Virtual Private Network ........................................................................... .36 e. Wireless Encryption .................................................................................. .37 Bài 3: Bảo mật hạ tầng mạng ........................................................................... .38 1. Giới thiệu ........................................................................................................ .38 2. Proxy ............................................................................................................. .41 a. Giới thiệu Proxy ........................................................................................ .41 2
  5. b. Minh họa hệ thống Proxy ......................................................................... 46 3. VLAN ............................................................................................................. 48 a. Giới thiệu VLAN ....................................................................................... 48 b. Bảo mật hệ thống với VLAN .................................................................... 51 4. NAT ............................................................................................................. 55 a. Giới thiệu .................................................................................................... 55 b. Nat trong Windows Server ...................................................................... 58 5. IPSec ............................................................................................................. 64 a. Các chính sách IPSec mặc định. .............................................................. 65 b. Tạo quy tắc IPSec...................................................................................... 65 c. Cấu hình chứng thực các quy tắc IPSec .................................................. 69 Các thuật ngữ chuyên môn ........................................................................... 73 Tài liệu tham khảo......................................................................................... 75 3
  6. GIÁO TRÌNH MÔ ĐUN Tên mô đun: AN NINH MẠNG Mã mô đun: MĐ 27 Vị trí, tính chất, ý nghĩa và vai trò của mô đun: - Vị trí: Mô đun được bố trí sau khi sinh viên đã học các môn chung , mô đun cơ sở chuyên ngành Quản trị mạng. - Tính chất: Mô đun chuyên nghành bắt buộc. - Ý nghĩa và vai trò của mô đun: trang bị cho học sinh, sinh viên đầy đủ các kiến thức và kỹ năng về bảo mật hệ thống mạng. Nhận biết được các kiểu tấn công trên mạng, các phần mềm độc hại cũng như nắm vững được các phương pháp phát hiện thâm nhập trên máy đơn, trên hệ thống mạng hay trên hệ phân tán. Mục tiêu của mô đun: - Về kiến thức: + Hiểu các khái niệm về hệ thống an ninh mạng. + Nhận biết được các kiểu tấn công trên mạng, các phần mềm độc hại và những thảm họa do chúng gây ra. + Nắm vững các phương pháp phát hiện thâm nhập trên máy đơn, hệ thống mạng, trên hệ phân tán. + Trình bày được các phương thức bảo mật hạ tầng mạng. - Về kỹ năng: + Đánh giá và lựa chọn giải pháp an ninh mạng phù hợp cho các mạng thực tế. + Cấu hình được các phương pháp bảo mật hạ tầng mạng như: Proxy, NAT, IPSec, VLAN. + Bảo mật được hệ thống mạng theo mô hình thực tế đặt ra. + Xây dựng giải pháp an ninh và xử lý các lỗi trong quá trình cài đặt và cấu hình - Về năng lực tự chủ và trách nhiệm: + Làm việc nhóm. + Tăng tính chia sẻ và làm việc cộng đồng. 4
  7. BÀI 1: TỔNG QUAN VỀ BẢO MẬT MẠNG Giới thiệu: Với bài này chúng ta sẽ giới thiệu một cái nhìn khái quát về quá trình hình thành hệ thống mạng, quy trình vận hành của hệ thống mạng. Bên cạnh đó sẽ cho chúng ta một cái nhìn đầy đủ về các loại phần mềm độc hại cũng như những loại lỗ hỏng trong bảo mật hệ thống mạng. Mục tiêu: - Trình bày được nguyên nhân tấn công mạng máy tính - Phân loại và trình bày được đặc điểm cơ bản các lỗ hổng trong hệ thống mạng. - Trình bày được các loại phần mềm độc hại. - Phân loại và trình bày được các loại tấn công từ chối dịch vụ. - Đưa ra được các biện pháp phòng chống. Nội dung chính: 1. TỔNG QUAN VỀ MẠNG MÁY TÍNH - Giới thiệu về mạng máy tính. Nói một cách ngắn gọn thì mạng máy tính là tập hợp các máy tính độc lập được kết nối với nhau thông qua các đường truyền vật lý và tuân theo các quy ước truyền thông nào đó. Khái niệm máy tính độc lập được hiểu là các máy tính không có máy nào có khả năng khởi động hoặc đình chỉ một máy khác) Các đường truyền vật lý được hiểu là các môi trường truyền tín hiệu vật lý (có thể là hữu tuyến hoặc vô tuyến). Các quy ước truyền thông chính là cơ sở để các máy tính có thể "nói chuyện" được với nhau và là một yếu tố quan trọng hàng đầu khi nói về công nghệ mạng máy tính. - Mô hình OSI. Mô hình OSI là một mô hình không thể thiếu trong quá trình trao đổi dữ liệu trong mạng . Bất kỳ một trao đỗi dữ liệu, kết nối dữ liệu nào cũng được thực thi và xây dựng trên nền tảng mô hình OSI. Mô hình OSI được chia thành 7 tầng (lớp), mỗi tầng bao gồm những hoạt động, thiết bị và giao thức mạng khác nhau. Application Layer: cung cấp các ứng dụng truy xuất đến các dịch vụ mạng. Nó bao gồm các ứng dụng của người dùng Presentation Layer (lớp trình bày): thoả thuận khuôn dạng trao đổi dữ liệu. Session Layer (lớp phiên): cho phép người dùng thiết lập các kết nối. Transport Layer (lớp vận chuyển): đảm bảo truyền thông giữa hai hệ thống. Network Layer (lớp mạng): định hướng dữ liệu truyền trong môi trường liên mạng. Data link Layer (lớp liên kết dữ liệu): xác định việc truy xuất đến các thiết bị. Physical Layer (lớp vật lý): chuyển đổi dữ liệu thành các bit và truyền đi. 5
  8. Các chức năng của các tầng trong mô hình OSI - Tầng 1: Tầng vật lý (Physical Layer): Điều khiển việc truyền tải thật sự các bit trên đường truyền vật lý. Nó định nghĩa các tín hiệu điện, trạng thái đường truyền, phương pháp mã hóa dữ liệu, các loại đầu nối được sử dụng. Tầng này chuyển đổi dữ liệu thành các bit và truyền đi. - Tầng 2: Tầng liên kết dữ liệu (Tầng kết nối dữ liệu) (Data-Link Layer): Tầng này đảm bảo truyền tải các khung dữ liệu (Frame) giữa hai máy tính. Nó cài đặt cơ chế phát hiện và xử lý lỗi dữ liệu nhận.Tầng này Hình 1: Mô Hình OSI xác định việc truy xuất đến các thiết bị. - Tầng 3: Tầng mạng (Network Layer): Tầng này đảm bảo các gói tin dữ liệu (Packet) có thể truyền từ máy tính này đến máy tính kia cho dù không có đường truyền vật lý trực tiếp giữa chúng. Nó nhận nhiệm vụ tìm đường đi cho dữ liệu đến các đích khác nhau trong mạng.Tầng này định hướng dữ liệu truyền trong môi trường liên mạng. - Tầng 4: Tầng vận chuyển (Tầng chuyển tải)(Transport Layer): Tầng này đảm bảo truyền tải dữ liệu giữa các quá trình. Dữ liệu gởi đi được đảm bảo không có lỗi, theo đúng trình tự, không bị mất, trùng lắp. Đối với các gói tin có kích thước lớn, tầng này sẽ phân chia chúng thành các phần nhỏ trước khi gởi đi, cũng như tập hợp lại chúng khi nhận được)Tầng này đảm bảo truyền thông giữa hai hệ thống. - Tầng 5: Tầng giao dịch (Tầng phiên làm việc) (Session Layer): Tầng này cho phép các ứng dụng thiết lập, sử dụng và xóa các kênh giao tiếp giữa chúng (được gọi là giao dịch). Nó cung cấp cơ chế cho việc nhận biết tên và các chức năng về bảo mật thông tin khi truyền qua mạng. Tầng này cho phép người dùng thiết lập các kết nối. - Tầng 6: Tầng trình bày (Presentation Layer): Tầng này đảm bảo các máy tính có kiểu định dạng dữ liệu khác nhau vẫn có thể trao đổi thông tin cho nhau. Thông thường các máy tính sẽ thống nhất với nhau về một kiểu định dạng dữ liệu trung gian để trao đổi thông tin giữa các máy tính. Một dữ liệu cần gởi đi sẽ được tầng trình bày chuyển sang định dạng trung gian trước khi nó được truyền lên mạng. Ngược lại, khi nhận dữ liệu từ mạng, tầng trình bày sẽ chuyển dữ liệu sang định dạng riêng của nó. Tầng này thoả thuận khuôn dạng trao đổi dữ liệu. - Tầng 7: Tầng ứng dụng (Application Layer): Đây là tầng trên cùng, cung cấp các ứng dụng truy xuất đến các dịch vụ mạng. Nó bao gồm các ứng dụng của người dùng, ví dụ như các Web Browser (Netscape Navigator, Internet Explorer), các Mail User Agent (Outlook Express, Netscape Messenger, ...) hay các chương trình làm server cung cấp các dịch vụ mạng như các Web Server (Netscape Enterprise, Internet Information Service, Apache, ...), Các FTP Server, các Mail server (Send mail, MDeamon). Người dùng mạng giao tiếp trực tiếp với tầng này. 6
  9. Về nguyên tắc, tầng n của một hệ thống chỉ giao tiếp, trao đổi thông tin với tầng n của hệ thống khác) Mỗi tầng sẽ có các đơn vị truyền dữ liệu riêng: Tầng vật lý: bit Tầng liên kết dữ liệu: Khung (Frame) Tầng Mạng: Gói tin (Packet) Tầng vận chuyển: Đoạn (Segment) - Giao thức TCP/IP - Ưu thế chính của bộ giao thức này là khả năng liên kết hoạt động của nhiều loại máy tính khác nhau. TCP/IP đã trở thành tiêu chuẩn thực tế cho kết nối liên mạng cũng như kết nối Internet toàn cầu. TCP/IP được thiết kế hoàn toàn độc lập với các phương pháp truy cập mạng, cấu trúc gói dữ liệu (data frame), môi trường truyền, do đó mà TCP/IP có thể dùng để liên kết các dạng mạng khác nhau như mạng LAN Ethernet, LAN Token Ring hay các dạng WAN như: Frame Relay, X.25 Hình 2: Phương thức hoạt động của TCP/IP Ngày nay, TCP/IP được sử dụng rộng rãi trong các mạng cục bộ cũng như trên mạng Internet toàn cầu. TCP/IP được xem là giản lược của mô hình tham chiếu OSI với bốn tầng như sau: - Tầng liên kết mạng (Network Access Layer hoặc Network Interface and Hardware ) - Tầng Internet (Internet Layer) - Tầng vận chuyển (Host-to-Host Transport Layer) - Tầng ứng dụng (Application Layer) Chức năng chính về các tầng trong bộ giao thức TCP/IP - Tầng liên kết: Tầng liên kết (còn được gọi là tầng liên kết dữ liệu hay là tầng giao tiếp mạng) là tầng thấp nhất trong mô hình TCP/IP, bao gồm các thiết bị giao tiếp mạng và chương trình cung cấp các thông tin cần thiết để có thể hoạt động, truy nhập đường truyền vật lý qua thiết bị giao tiếp mạng đó. - Tầng Internet: Tầng Internet (còn gọi là tầng mạng) xử lý quá trình truyền gói tin trên mạng. Các giao thức của tầng này bao gồm: IP (Internet Protocol), ICMP (Internet Control Message Protocol), IGMP (Internet Group Messages Protocol). - Tầng vận chuyển: Tầng vận chuyển phụ trách luồng dữ liệu giữa hai trạm thực hiện các ứng dụng của tầng trên. Tầng này có hai giao thức chính: TCP (Transmission Control 7
  10. Protocol) và UDP (User Datagram Protocol) TCP cung cấp một luồng dữ liệu tin cậy giữa hai trạm, nó sử dụng các cơ chế như chia nhỏ các gói tin của tầng trên thành các gói tin có kích thước thích hợp cho tầng mạng bên dưới, báo nhận gói tin, đặt hạn chế thời gian time-out để đảm bảo bên nhận biết được các gói tin đã gửi đi. Do tầng này đảm bảo tính tin cậy, tầng trên sẽ không cần quan tâm đến nữa) UDP cung cấp một dịch vụ đơn giản hơn cho tầng ứng dụng. Nó chỉ gửi các gói dữ liệu từ trạm này tới trạm kia mà không đảm bảo các gói tin đến được tới đích. Các cơ chế đảm bảo độ tin cậy cần được thực hiện bởi tầng trên. - Tầng ứng dụng: Tầng ứng dụng là tầng trên cùng của mô hình TCP/IP bao gồm các tiến trình và các ứng dụng cung cấp cho người sử dụng để truy cập mạng. Có rất nhiều ứng dụng được cung cấp trong tầng này, mà phổ biến là: Telnet: sử dụng trong việc truy cập mạng từ xa, FTP (File Transfer Protocol): dịch vụ truyền tệp, Email: dịch vụ thư tín điện tử, WWW (World Wide Web). Hình 3: Hoạt động tầng ứng dụng trong TCP/IP 2. PHÂN LOẠI CÁC LỖ HỔNG BẢO MẬT a. Giới thiệu về các loại lỗ hỏng bảo mật. Các lỗ hổng bảo mật trên một hệ thống là các điểm yếu có thể tạo ra sự ngưng trệ của dịch vụ, thêm quyền đối với người sử dụng hoặc cho phép các truy nhập không hợp pháp vào hệ thống. Các lỗ hổng cũng có thể nằm ngay các dịch vụ cung cấp như send mail, web, ftp ... Ngoài ra các lỗ hổng còn tồn tại ngay chính tại hệ điều hành như trong Windows XP, Windows NT, UNIX; hoặc trong các ứng dụng mà người sử dụng thường xuyên sử dụng như Word processing, Các hệ databases... b. Phân loại lỗ hổng bảo mật. Có nhiều tổ chức khác nhau tiến hành phân loại các dạng lỗ hổng đặc biệt. Theo cách phân loại của Bộ quốc phòng Mỹ, các loại lỗ hổng bảo mật trên một hệ thống được chia như sau: 8
  11. - Lỗ hổng loại C: Các lỗ hổng loại này cho phép thực hiện các phương thức tấn công theo DoS (Dinal of Services –Từchối dịch vụ). Mức độ nguy hiểm thấp, chỉ ảnh hưởng tới chất lượng dịch vụ, có thể làm ngưng trệ, gián đoạn hệ thống; không làm phá hỏng dữ liệu hoặc đạt được quyền truy nhập bất hợp pháp. Các lỗ hổng loại này cho phép thực hiện các cuộc tấn công DoS. DoS là hình thức tấn công sử dụng các giao thức ở tầng Internet trong bộ giao thức TCP/IP để làm hệ thống ngưng trệ dẫn đến tình trạng từ chối người sử dụng hợp pháp truy nhập hay sử dụng hệ thống. Một số lượng lớn các gói tin được gửi tới server trong khoảng thời gian liên tục làm cho hệ thống trở nên quá tải, kết quả là server đáp ứng chậm hoặc không thể đáp ứng các yêu cầu từ client gửi tới. Các dịch vụ có chứa đựng lỗ hổng cho phép thực hiện các cuộc tấn công DoS có thể được nâng cấp hoặc sửa chữa bằng các phiên bản mới hơn của các nhà cung cấp dịch vụ. Hiện nay, chưa có một giải pháp toàn diện nào để khắc phục các lỗ hổng loại này vì bản thân việc thiết kế giao thức ở tầng Internet (IP) nói riêng và bộ giao thức TCP/IP đã chứa đựng những nguy cơ tiềm tàng của các lỗ hổng này.Tuy nhiên, mức độ nguy hiểm của các lỗ hổng loại này được xếp loại C; ít nguy hiểm vì chúng chỉ làm gián đoạn cung cấp dịch vụ của hệ thống trong một thời gian mà không làm nguy hại đến dữ liệu và người tấn công cũng không đạt được quyền truy nhập bất hợp pháp vào hệ thống. Một lỗ hổng loại C khác cũng thường thấy đó là các điểm yếu của dịch vụ cho phép thực hiện tấn công làm ngưng trệ hệ thống của người sử dụng cuối; Chủ yếu với hình thức tấn công này là sử dụng dịch vụ Web. Giả sử: trên một Web Server có những trang Web trong đó có chứa các đoạn mã Java hoặc JavaScripts, làm ―treo‖ hệ thống của người sử dụng trình duyệt Web của Netscape bằng các bước sau: - Viết các đoạn mã để nhận biết được Web Browers sử dụng Netscape. Nếu sử dụng Netscape, sẽ tạo một vòng lặp vô thời hạn, sinh ra vô số các cửa sổ, trong mỗi cửa sổ đó nối đến các Web Server khác nhau. - Với một hình thức tấn công đơn giản này, có thể làm treo hệ thống. Đây cùng là một hình thức tấn công kiểu DoS. Người sử dụng trong trường hợp này chỉ có thể khởi động lại hệ thống. Một lỗ hổng loại C khác cũng thường gặp đối với các hệ thống mail là không xây dựng các cơ chế anti-relay (chống relay) cho phép thực hiện các hành động spam mail. Như chúng ta đã biết, cơ chế hoạt động của dịch vụ thư điện tử là lưu và chuyển tiếp; một số hệ thống mail không có các xác thực khi người dùng gửi thư, dẫn đến tình trạng các đối tượng tấn công lợi dụng các máy chủ mail này để thực hiện spam mail; Spam mail là hành động nhằm tê liệt dịch vụ mail của hệ thống bằng cách gửi một số lượng lớn các messages tới một địa chỉ không xác định, vì máy chủ mail luôn phải tốn năng lực đi tìm những địa chỉ không có thực dẫn đến tình trạng ngưng trệ dịch vụ. Số lượng các messages có thể sinh ra từ các chương trình làm bom thư rất phổ biến trên mạng Internet. - Lổ hổng loại B: Các lỗ hổng cho phép người sử dụng có thêm các quyền trên hệ thống mà không cần thực hiện kiểm tra tính hợp lệ. Mức độ nguy hiểm trung bình; Những lỗ hổng này thường có trong các ứng dụng trên hệ thống; có thể dẫn đến mất hoặc lộ thông tin yêu cầu bảo mật. Lỗ hổng loại này có mức độ nguy hiểm hơn lỗ hổng loại C, cho phép người sử dụng nội bộ có thể chiếm được quyền cao hơn hoặc truy nhập không hợp pháp. 9
  12. Những lỗ hổng loại này thường xuất hiện trong các dịch vụ trên hệ thống. Người sử dụng local được hiểu là người đã có quyền truy nhập vào hệ thống với một số quyền hạn nhất định. Sau đây sẽ phân tích một số lỗ hổng loại B thường xuất hiện trong ứng dụng Sendmail: - Sendmail là một chương trình được sử dụng rất phổ biến trên hệ thống UNIX để thực hiện gửi thư điện tử cho những người sử dụng trong nội bộ mạng. Thông thường, sendmail là một daemon chạy ở chế độ nền được kích hoạt khi khởi động hệ thống. - Trong trạng thái hoạt động, send mail mở port 25 đợi một yêu cầu tới sẽ thực hiện gửi hoặc chuyển tiếp thư. Sendmail khi được kích hoạt sẽ chạy dưới quyền root hoặc quyền tương ứng (vì liên quan đến các hành động tạo file và ghi log file). Lợi dụng đặc điểm này và một số lỗ hổng trong các đoạn mã của sendmail, mà các đối tượng tấn công có thể dùng sendmail để đạt được quyền root trên hệ thống. Để khắc phục lỗi của send mail cần tham gia các nhóm tin về bảo mật; vì send mail là chương trình có khá nhiều lỗi; nhưng cũng có nhiều người sử dụng nên các lỗ hổng bảo mật thường được phát hiện và khắc phục nhanh chóng. Khi phát hiện lỗ hổng trong sendmail cần nâng cấp, thay thế phiên bản sendmail đang sử dụng. Một loạt các vấn đề khác về quyền sử dụng chương trình trên UNIX cũng thường gây nên các lỗ hổng loại B. Vì trên hệ thống UNIX, một chương trình có thể được thực thi với 2 khả năng: - Người chủ sở hữu chương trình đó kích hoạt chạy. - Người mang quyền của người chủ sở hữu chủ nhân của file đó. Một dạng khác của lỗ hổng loại B xảy ra đối với các chương trình có mã nguồn viết bằng C. Những chương trình viết bằng C thường sử dụng một vùng đệm –là một vùng trong bộ nhớ sử dụng để lưu dữ liệu trước khi xử lý. Những người lập trình thường sử dụng vùng đệm trong bộ nhớ trước khi gán một khoảng không gian bộ nhớ cho từng khối dữ liệu. Ví dụ, người sử dụng viết chương trình nhập trường tên người sử dụng; qui định trường này dài 20 ký tự. Do đó chúng ta sẽ khai báo: Với khai báo này, cho phép người sử dụng nhập vào tối đa 20 ký tự. Khi nhập dữ liệu, trước tiên dữ liệu được lưu ở vùng đệm; nếu người sử dụng nhập vào 35 ký tự; sẽ xảy ra hiện tượng tràn vùng đệm và kết quả15 ký tự dư thừa sẽ nằm ở một vị trí không kiểm soát được trong bộ nhớ. Đối với những người tấn công, có thể lợi dụng lỗ hổng này để nhập vào những ký tự đặc biệt, để thực thi một số lệnh đặc biệt trên hệ thống. Thông thường, lỗ hổng này thường được lợi dụng bởi những người sử dụng trên hệ thống để đạt được quyền root không hợp lệ. Việc kiểm soát chặt chẽ cấu hình hệ thống và các chương trình sẽ hạn chế được các lỗ hổng loại B. - Lỗ hổng loại A: Các lỗ hổng này cho phép người sử dụng ở ngoài có thể truy nhập vào hệ thống bất hợp pháp. Lỗ hổng rất nguy hiểm, có thể làm phá hủy toàn bộ hệ thống. Các lỗ hổng loại A có mức độ rất nguy hiểm; đe dọa tính toàn vẹn và bảo mật của hệ thống. Các lỗ hổng loại này thường xuất hiện ở những hệ thống quản trị yếu kém hoặc không kiểm soát được cấu hình mạng. Một ví dụ thường thấy là trên nhiều hệ thống sử dụng Web Server là Apache, Đối với Web Server này thường cấu hình thư mục mặc định để chạy các scripts là cgi-bin; trong đó có một 10
  13. Scripts được viết sẵn để thử hoạt động của apache là test-cgi. Đối với các phiên bản cũ của Apache (trước version 1.1), có dòng sau trong file test-cgi:echo QUERY_STRING = $QUERY_STRING. Biến môi trường QUERY_STRING do không được đặt trong có dấu ‖ (quote) nên khi phía client thưc hiện một yêu cầu trong đó chuỗi ký tự gửi đến gồm một số ký tự đặc biệt; ví dụ ký tự―*‖, web server sẽ trả về nội dung của toàn bộ thư mục hiện thời (là các thư mục chứa các scipts cgi). Người sử dụng có thể nhìn thấy toàn bộ nội dung các file trong thư mục hiện thời trên hệ thống server. Một ví dụ khác cũng xảy ra tương tự đối với các Web server chạy trên hệ điều hành Novell; Các web server này có một scripts là convert.bas, chạy scripts này cho phép đọc toàn bộ nội dung các files trên hệ thống. Những lỗ hổng loại này hết sức nguy hiểm vì nó đã tồn tại sẵn có trên phần mềm sử dụng; người quản trị nếu không hiểu sâu về dịch vụ và phần mềm sử dụng sẽ có thể bỏ qua những điểm yếu này. Đối với những hệ thống cũ, thường xuyên phải kiểm tra các thông báo của các nhóm tin về bảo mật trên mạng để phát hiện những lỗ hổng loại này. Một loạt các chương trình phiên bản cũ thường sử dụng có những lỗ hổng loại A như: FTP, Gopher, Telnet, Sendmail, ARP, finger... c. Tác hại của các lỗ hổng bảo mật. Phần trình bày ở trên đã phân tích một số trường hợp có những lỗ hổng bảo mật, những người tấn công có thể lợi dụng những lỗ hổng này để tạo ra những lỗ hổng khác tạo thành một chuỗi mắt xích những lỗ hổng. Ví dụ, một người muốn xâm nhập vào hệ thống mà họ không có tài khoản truy nhập hợp lệ trên hệ thống đó. Trong trường hợp này, trước tiên họ sẽ tìm ra các điểm yếu trên hệ thống, hoặc từ các chính sách bảo mật, hoặc sử dụng các công cụ dò xét thông tin trên hệ thống đó để đạt được quyền truy nhập vào hệ thống. Sau khi mục tiêu như nhất đã đạt được, họ có thể tiếp tục tìm hiểu các dịch vụ trên hệ thống, nắm bắt được các điểm yếu và thực hiện các hành động tấn công tinh vi hơn. Tuy nhiên, có phải bất kỳ lỗ hổng bảo mật nào cùng nguy hiểm đến hệ thống hay không? Có rất nhiều thông báo liên quan đến lỗ hổng bảo mật trên mạng Internet, hầu hết trong số đó là các lỗ hổng loại C, và không đặc biệt nguy hiểm đối với hệ thống. Ví dụ, khi những lỗ hổng về sendmail được thông báo trên mạng, không phải ngay lập tức ảnh hưởng trên toàn bộ hệ thống. Khi những thông báo về lỗ hổng được khẳng định chắc chắn, các nhóm tin sẽ đưa ra một số phương pháp để khắc phục hệ thống. Trên mạng Internet có một số nhóm tin thường thảo luận về các chủ đề liên quan đến các lỗ hổng bảo mật đó là: - CERT (Computer Emergency Reponse Team): Nhóm tin này hình thành sau khi có phương thức tấn công Worm xuất hiện trên mạng Internet. Nhóm tin này thường thông báo và đưa ra các trợ giúp liên quan đến các lỗ hổng bảo mật. Ngoài ra nhóm tin còn có những báo cáo thường niên để khuyến nghị người quản trị mạng về các vấn đề liên quan đến bảo mật hệ thống. Địa chỉ Web site của nhóm tin: http://www.cert.org/ - CIAC (Department of Energy Computer Incident Advisory Capability): tổ chức này xây dựng một cơ sở dữ l iệu liên quan đến bảo mật cho bộ năng lượng của Mỹ. Thông tin của CIAC được đánh giá là một kho dữ liệu đầy đủ nhất về các vấn đề liên quan đến bảo mật hệ thống. Địa chỉ web site của CIAC : http://ciac.llnl.org/ 11
  14. - FIRST (The Forum of Incident Response and Security Teams): Đây là một diễn đàn liên kết nhiều tổ chức xã hội và tư nhân, làm việc tình nguyện để giải quyết các vấn đề về an ninh của mạng Internet. Địa chỉ Website của FIRST: http://www.first.org./ Một số thành viên của FIRST gồm: CIAC, NASA. 3. PHẦN MỀM ĐỘC HẠI a. Các kiểu phần mềm độc hại Chúng ta thường có xu hướng coi tất cả các phần mềm độc hại là virus, nhưng điều đó là không chính xác. Một virus sửa đổi các host files và khi chúng ta thực thi một file trong hệ thống của nạn nhân, chúng ta cũng sẽ thực thi virus. Ngày nay, với các loại phần mềm độc hại khác nhau lây nhiễm vào thế giới mạng, virus máy tính đã trở nên không quá phổ biến; chúng chiếm chưa đến 10% tổng số phần mềm độc hại. Hình 4: Phần mềm độc hại nói chung. Hãy nhớ rằng, virus lây nhiễm các tệp khác, chúng là phần mềm độc hại duy nhất lây nhiễm các tệp khác và do đó, rất khó để dọn sạch chúng. Ngay cả các chương trình diệt virus tốt nhất cũng sống chung với điều này; hầu hết thời gian họ sẽ xóa hoặc cách ly tệp bị nhiễm và không thể thoát khỏi virus. b. Kiểu lan truyền theo lây nhiễm nội dung Worm là phần mềm độc hại có khả năng tự sao chép và lây lan mà không có hành động của người dùng cuối, gây ra sự tàn phá thực sự. Virus cần người dùng cuối để loại bỏ chúng để chúng có thể tiếp tục và lây nhiễm các tệp và hệ thống khác. Worm không cần bất kỳ hành động nào của người dùng cuối như vậy. Nó chỉ đơn giản là tự lan truyền, tự sao chép trong quá trình và phá hủy các hệ thống, thiết bị, mạng và cơ sở hạ tầng được kết nối. 12
  15. Hình 5: Mô phỏng kiểu lây nhiễm theo nội dung. Worms lây lan bằng cách khai thác các tệp và chương trình khác để thực hiện công việc lây lan. Khi một người trong một tổ chức mở một email có chứa một Worm, toàn bộ mạng trong tổ chức có thể bị lây nhiễm chỉ sau vài phút. c. Kiểu lan truyền theo khai thác lỗ hổng Trong khi phần mềm độc hại truyền thống di chuyển và lây nhiễm các hệ thống bằng hệ thống tệp, phần mềm độc hại không có tệp sẽ di chuyển và lây nhiễm mà không trực tiếp sử dụng tệp hoặc hệ thống tệp. Phần mềm độc hại đó chỉ khai thác và phát tán trong bộ nhớ; chúng cũng lan truyền bằng cách sử dụng các đối tượng OS không phải tệp, như API, registry keys, v.v. Các cuộc tấn công phần mềm độc hại không có tệp chủ yếu được bắt đầu bằng việc khai thác một chương trình hợp pháp đã có hoặc bằng cách sử dụng các công cụ hợp pháp hiện có được tích hợp trong HĐH (ví dụ: Microsoft, Powershell). Do đó, nó trở nên thực sự khó khăn để phát hiện và ngăn chặn các loại tấn công này. d. Kiểu lan truyền theo kỹ nghệ xã hội Phần mềm quảng cáo (Adware) không là gì ngoài việc cố gắng đưa người dùng đến quảng cáo độc hại không mong muốn. Những quảng cáo này rất có thể sẽ lây nhiễm cho một thiết bị người dùng. Có những chương trình phần mềm quảng cáo chuyển hướng người dùng, trong quá trình tìm kiếm trên trình duyệt, đến các trang web trông có vẻ giống nhau có quảng cáo các sản phẩm khác. Loại bỏ phần mềm quảng cáo dễ dàng hơn. Chúng ta chỉ cần tìm mã độc thực thi và loại bỏ nó. e. Kiểu hành vi hủy hoại hệ thống Virus trên Boot sector :Virus có thể lây nhiễm vào các Boot sector của ổ đĩa cứng hoặc ổ đĩa mềm nơi chưa các chương trình khởi động. Nếu hệ thống nhiễm loại này thì khả năng rất cao sẽ hủy hoại hệ thống. f. Kiểu hành vi tác tử tấn công Ransomware, như tên cho thấy, đòi tiền chuộc từ chúng ta để đưa mọi thứ trở lại như cũ. Vấn đề chính với ransomware, loại malware đã lan truyền rất nhanh trên khắp các tổ chức, mạng và quốc gia, là họ mã hóa tất cả các tệp trong một hệ thống hoặc mạng, khiến chúng không thể truy cập được. Một lưu ý tiền chuộc bật lên, yêu cầu thanh toán bằng tiền điện tử, để giải mã các tệp. Nếu tiền chuộc không được trả, các tệp được mã hóa cuối cùng có thể bị phá hủy và do đó, ransomware sẽ được coi là một trong những hình thức phần mềm độc hại tàn phá nhất. Hầu hết các ransomware là Trojan và lan truyền thông qua social engineering. Thật không may, trong một số trường hợp, tin tặc từ chối giải mã các tập tin ngay cả sau khi chúng ta trả tiền chuộc. g. Kiểu hành vi đánh cắp thông tin Phần mềm gián điệp, như tên cho thấy, giúp tin tặc theo dõi các hệ thống và người dùng. Loại phần mềm độc hại này có thể được sử dụng làm key-logging và các hoạt động tương tự, do đó giúp tin tặc truy cập vào dữ liệu cá nhân (bao gồm thông tin đăng nhập) và tài sản trí tuệ. Phần mềm gián điệp cũng được sử dụng bởi những người muốn kiểm tra hoạt động máy tính của những người mà cá nhân họ biết. Phần mềm gián điệp, giống như phần mềm quảng cáo, rất dễ dàng để loại bỏ. 13
  16. h. Kiểu hành vi tàng hình Trojans, nhắc nhở chúng ta về những gì đã xảy ra trong cuộc chiến thành Trojan, giả trang thành các chương trình hợp pháp. Tuy nhiên, chúng chứa các hướng dẫn độc hại. Trojan chủ yếu đến qua email hoặc lây lan từ các trang web bị nhiễm mà người dùng truy cập. Họ chỉ làm việc khi nạn nhân thực hiện nó. Một người dùng có thể tìm thấy một pop up cho biết hệ thống của anh ta đã bị nhiễm. Pop up sẽ hướng dẫn anh ta chạy một chương trình để dọn dẹp hệ thống của anh ta. Anh ta thực hiện theo mà không biết rằng đó là một Trojan. Trojans rất phổ biến, đặc biệt là vì nó dễ viết. Ngoài ra, chúng rất dễ dàng vì Trojan lan truyền bằng cách lừa người dùng cuối thực thi chúng. Điều này có sẽ làm cho phần mềm bảo mật trở nên vô dụng. i. Các biện pháp phòng chống Đây là một số điều cơ bản có thể giúp ngăn ngừa nhiễm phần mềm độc hại, ở một mức độ lớn: - Cập nhật hệ điều hành, trình duyệt, plugin, vv thường xuyên. - Sử dụng tất cả các công cụ bảo mật cần thiết. - Cập nhật tất cả phần mềm thường xuyên. - Cảnh giác với các cuộc tấn công kỹ thuật xã hội (engineering attacks), cảnh giác với các email lừa đảo. - Không bao giờ nhấp vào liên kết hoặc tải xuống tệp đính kèm nghi ngờ đến từ các nguồn không xác định. - Thực hành duyệt web an toàn. - Có mật khẩu mạnh, thay đổi mật khẩu định kỳ. - Không sử dụng các kết nối công cộng không được mã hóa. - Lớp bảo mật của chúng ta bắt đầu với các giải pháp an ninh mạng cơ bản như tường lửa và chống virus. 4. TẤN CÔNG TỪ CHỐI DỊCH VỤ a. Các tấn công phát tràn Tấn Công DoS Là Gì ?Một khi không thể tìm được cách thức xâm nhập vào hệ thống mục tiêu bằng cách dò tìm và khai thác lỗi thì các hacker sẽ áp dụng phương pháp tấn công từ chối dịch vụ hay còn gọi là Denial of Service (DoS). DoS là dạng tấn công làm cho các hệ thống máy chủ, trang web bị tê liệt không thể đáp ứng lại các yêu cầu của người dùng. Hình 6: Mô phỏng một đợt tấn công DDos Đây là một trong các hình thức tấn công đem lại hiệu quả cao cho các hacker cũng như là giải pháp sau cùng nêu như không tìm được cách nào đột nhập 14
  17. vào mục tiêu. DOS đánh vào bản chất tự nhiên của một quá trình truyền thông của client và server, nếu có quá nhiều clicent truy cập thì server sẽ bị quá tải, buộc lòng phải từ chối các yêu cầu truy cập khác. Trong vai trò của một CEH chúng ta cần hiểu rõ về DoS và DDoS, đây là những thuật ngữ rất hay được nhắc đến trong các kì thi lấy chứng chỉ hacker mũ trắng này.Có khá nhiều tình huống tấn công DoS được nhắc đến trên các phương tiện truyền thông gần đây, ví dụ như BKAV bị tấn công từ chối dịch vụ làm cho website không thể truy cập vào ngày 6/2/2012 hay trang web của Cục Tình báo Trung ương Mỹ đã bị hạ gục suốt đêm 10/2/2012 (giờ VN), hậu quả của một vụ tấn công từ chối dịch vụ có chủ đích (DDoS). Một tài khoản Twitter tuyên bố chính nhóm hacker khét tiếng Anonymous đã gây ra vụ việc (theo tin từ VietnamNet). Có nhiều loại công cụ tấn công DoS khác nhau và mỗi loại sử dụng những cơ chế riêng để làm tràn ngập hệ thống nhưng kết quả cuối cùng vẫn là như nhau – làm cho hệ thống mục tiêu trở nên quá bận rộn hay bị quá tải mà không thể đáp ứng được các yêu cầu của người dùng, và một khi không thể đáp ứng được những yêu cầu này sẽ làm thiệt hại về mặt kinh tế, uy tín cho đơn vị chủ quản của trang web bị tấn công (thường thì DoS hay nhắm vào các trang web có chức năng kinh doanh trực tuyến, ứng dụng thương mại điện tử). Ví dụ như vào các kì đại hội thể thao diễn ra như Euro, WorldCup thì các nhà cái như Bet365.Com, SportingBet ... có rất nhiều khách hàng đăng kí tham gia dự đoán kết quả của những trận cầu nóng bỏng đem đến các nguồn lợi khổng lồ. Và các hacker biết rất rõ những điều này, chính vì vậy họ thường hăm dọa những nhà cái trên sẽ tấn công DoS / DDoS làm tê liệt trang web ngăn không cho khách hàng truy cập, còn nếu không muốn bị tấn công thì phải đồng ý trả cho các hacker một khoản tiền lớn. Hình thức tống tiền này được các băng nhóm tội phạm mạng ưa chuộng vì đem đến hiệu quả cao. Vậy thì các hacker thường sử dụng các công cụ nào đề tấn công DoS, dưới đây là một số ứng dụng điển hình : -Ping of Death : Các công cụ tấn công Ping of Death gởi nhiều gói tin IP với kích thước lớn đến mục tiêu làm cho các máy này phải mất nhiều thời gian và tài nguyên hệ thống để xử lý, kết quả là không thể đáp ứng được các yêu cầu kết nối thông thường của những máy tính khác dẫn đến bị từ chối dịch vụ. - LAND Attack : Những công cụ có chức năng tấn công LAND Attack sẽ gởi các gói tin có địa chỉ IP trùng lắp với các địa chỉ IP đích khiến cho việc xử lý các yêu cầu này có thể dẫn đến tình trạng bị lặp lại (loop) và không thể tiếp nhận thêm các yêu cầu truy cập khác. - WinNuke : Chương trình này tìm kiếm các máy tính đang mở port 139 để gởi các gói tin IP rác đến mục tiêu. Dạng tấn công này còn được gọi là Out of Bound(OOB) và làm tràn ngập bộ nhớ đệm của giao thức IP.-CPU Hog : Công cụ này làm quá tải nguồn tài nguyên CPU của các máy bị tấn công .-Bubonic : Là công cụ DoS hoạt động bằng cách gởi các gói tin TCP với những thiết lập ngẫu nhiên làm cho mục tiêu bị tấn công bị quá tải hay thậm chí bị gãy đổ. - RPC Locator : Đây là một dịch vụ nhạy cảm nếu như không được vá lỗi có khả năng bị tấn công gây tràn bộ đệm. Dịch vụ này hoạt động trên các hệ thống Windows để phân phối các bản cài đặt hay ứng dụng trên toàn hệ thống, đây cũng là một dịch vụ dễ bị tấn công gây ra tình trạng từ chối dịch vụ trên các máy chủ. 15
  18. -Ngoài ra còn có các công cụ như SSPing hay Targa có thể gởi các gói tin với kích thước lớn đến mục tiêu làm tê liệt khả năng đáp ứng cũng như xử lý các dữ liệu này, điều đó cũng có nghĩa nạn nhân sẽ không thể tiếp nhận các yêu cầu khác dẫn đến tình trạng ―từ chối dịch vụ. b. Các tấn công từ chối dịch vụ phân tán Tấn công DDoS (Distributed Denial Of Service) là gì? Một cuộc tấn công từ chối dịch vụ phân tán (DDoS) là một nỗ lực độc hại nhằm phá vỡ lưu lượng truy cập bình thường của máy chủ, dịch vụ hoặc mạng được nhắm mục tiêu bằng cách áp đảo mục tiêu hoặc cơ sở hạ tầng xung quanh với lưu lượng truy cập Internet. Các cuộc tấn công DDoS đạt được hiệu quả bằng cách sử dụng nhiều hệ thống máy tính bị xâm nhập làm nguồn lưu lượng tấn công. Các máy được khai thác có thể bao gồm máy tính và các tài nguyên được nối mạng khác như thiết bị IoT. Một ví dụ trực quan, cuộc tấn công DDoS giống như việc cố gắng làm tắc nghẽn đường cao tốc, ngăn chặn lưu lượng truy cập thường xuyên đến đích mong muốn. Một cuộc tấn công DDoS hoạt động như thế nào? Một cuộc tấn công DDoS yêu cầu kẻ tấn công giành quyền kiểm soát mạng lưới các máy trực tuyến để thực hiện một cuộc tấn công. Máy tính và các máy khác (như thiết bị IoT) bị nhiễm phần mềm độc hại, biến chúng thành bot (hoặc zombie). Kẻ tấn công sau đó có quyền điều khiển từ xa đối với nhóm bot, được gọi là botnet. Khi botnet đã được thiết lập, kẻ tấn công có thể điều khiển các máy bằng cách gửi các hướng dẫn cập nhật tới từng bot thông qua một phương pháp điều khiển từ xa. Khi địa chỉ IP của nạn nhân bị botnet nhắm mục tiêu, mỗi bot sẽ phản hồi bằng cách gửi yêu cầu đến mục tiêu, có khả năng khiến máy chủ hoặc mạng được nhắm mục tiêu tràn dung lượng, dẫn đến việc từ chối dịch vụ đối với lưu lượng truy cập bình thường. Bởi vì mỗi bot là một thiết bị Internet hợp pháp, việc tách lưu lượng tấn công khỏi lưu lượng thông thường là rất khó khăn. Các vectơ tấn công DDoS khác nhau nhắm vào các thành phần khác nhau của kết nối mạng. Để hiểu cách thức các cuộc tấn công DDoS khác nhau hoạt động, cần phải biết cách kết nối mạng được thực hiện. Một kết nối mạng trên Internet bao gồm nhiều thành phần khác nhau hoặc các lớp (layers) khác nhau. Giống như xây dựng một ngôi nhà từ mặt đất lên, mỗi bước trong mô hình có một mục đích khác nhau. Mô hình OSI (phí bên dưới), là một khung khái niệm được sử dụng để mô tả kết nối mạng trong 7 lớp riêng biệt. Trong khi gần như tất cả các cuộc tấn công DDoS liên quan đến việc áp đảo một thiết bị hoặc mạng mục tiêu có lưu lượng truy cập, các cuộc tấn công có thể được chia thành ba loại. Kẻ tấn công có thể sử dụng một hoặc nhiều vectơ tấn công khác nhau hoặc vectơ tấn công theo chu kỳ có khả năng dựa trên các biện pháp đối phó được thực hiện bởi mục tiêu. c. Các tấn công băng thông dựa vào ứng dụng - Làm tràn ngập hệ thống mạng bằng số lượng rất lớn của các dữ liệu truyền, khiến cho các giao dịch thông thường khác không thể thực hiện được. Ví dụ vào khoảng cuối năm 2012 và đầu năm 2011 các hệ thống mạng trong nhiều công ty và tổ chức bị tê liệt khiến cho người dùng không thể kết nối đến máy chủ hay truy cập internet do nhiều máy tính bị lây nhiễm virus conflicker. Để hỗ trợ xử lý cũng như phát hiện nguyên nhân trên, và với giải pháp cài đặt những ứng dụng như 16
  19. Wiresharke để phân tích đường truyền thì nhận thấy ràng các luồng dữ liệu đề xuất phát từ những máy bị nhiễm một loạt virus có nhiều tên gọi khác nhau là conflicker hay kido..virus trên lây nhiễm vào các hệ thống Windows do thiếu cài đặt một bản vá lỗi có tên là Microsoft Security Bulletin MS08-067. - DDoS dựa trên P2P: Ở dạng này, tin tặc sử dụng giao thức Peer to Peer – một giao thức ở tầng ứng dụng làm kênh giao tiếp. Bản chất của các mạng P2P là phân tán nên rất khó để phát hiện các bots giao tiếp với nhau thông qua kênh này. d. Các tấn công phản xạ và khuếch đại Các vụ tấn công khuếch đại tận dụng lượng lớn phản hồi đến những yêu cầu nhỏ, từ đó khuếch đại lượng yêu cầu để làm quá tải hệ thống mục tiêu. Quá trình này thường được thực hiện bằng cách giả mạo nguồn của các gói, hay còn gọi là phản xạ hay tấn công phản xạ. Ví dụ, với việc giả mạo nguồn IP của một yêu cầu DNS, kẻ tấn công có thể lừa máy chủ DNS gửi phản hồi đến mục tiêu thay vì nguồn truyền dữ liệu. Vì yêu cầu gửi đến máy chủ DNS rất nhỏ nhưng phản hồi gửi đến hệ thống nạn nhân lại lớn nên kẻ tấn công sẽ sử dụng phản xạ để khuếch đại lượng yêu cầu gửi đến hệ thống này. Hình 7: Mô phỏng kiểu tấn công khuếch đại e. Phòng thủ trước các tấn công từ chối dịch vụ Do tính chất nghiêm trọng của tấn công DDoS, nhiều giải pháp phòng chống đã được nghiên cứu và đề xuất trong những năm qua. Tuy nhiên, cho đến hiện nay gần như chưa có giải pháp nào có khả năng phòng chống DDoS một cách toàn diện và hiệu quả do tính chất phức tạp, quy mô lớn và tính phân tán rất cao của tấn công DDoS. Thông thường, khi phát hiện tấn công DDoS, việc có thể thực hiện được tốt nhất là ngắt hệ thống nạn nhân khỏi tất cả các tài nguyên do mọi hành động phản ứng lại tấn công đều cần đến các tài nguyên trong khi các tài nguyên này đã bị tấn công DDoS làm cho cạn kiệt. Sau khi hệ thống nạn nhân được ngắt khỏi các tài nguyên, việc truy tìm nguồn gốc và nhận dạng tấn công có thể được tiến hành. Nhiều biện pháp phòng chống tấn công DDoS đã được nghiên cứu trong những năm gần đây. Tựu chung có thể chia các biện pháp phòng chống tấn công DDoS thành 3 dạng theo 3 tiêu chí chính: Dựa trên vị trí triển khai. 17
  20. Các biện pháp phòng chống tấn công DDoS được phân loại vào dạng này dựa trên vị trí cài đặt và tiếp tục được chia nhỏ thành 3 dạng con. - Triển khai ở nguồn tấn công: Các biện pháp phòng chống tấn công DDoS được triển khai ở gần nguồn của tấn công. Phương pháp này nhằm hạn chế các mạng người dùng tham gia tấn công DDoS. Một số biện pháp cụ thể bao gồm: + Thực hiện lọc các gói tin sử dụng địa chỉ giả mạo tại các bộ định tuyến ở cổng mạng; + Sử dụng các tường lửa có khả năng nhận dạng và giảm tần suất chuyển các gói tin hoặc yêu cầu không được xác nhận. - Triển khai ở đích tấn công: Các biện pháp phòng chống tấn công DDoS được triển khai ở gần đích của tấn công, tức là tại bộ định tuyến ở cổng mạng hoặc bộ định tuyến của hệ thống đích. Các biện pháp cụ thể có thể gồm: + Truy tìm địa chỉ IP: Gồm các kỹ thuật nhận dạng địa chỉ và người dùng giả mạo. + Lọc và đánh dấu các gói tin: Các gói tin hợp lệ được đánh dấu sao cho hệ thống nạn nhân có thể phân biệt các gói tin hợp lệ và gói tin tấn công. Một số kỹ thuật lọc và đánh dấu gói tin được đề xuất gồm: Lọc IP dựa trên lịch sử, Lọc dựa trên đếm, Nhận dạng đường dẫn,… - Triển khai ở mạng đích tấn công: Các biện pháp phòng chống tấn công DDoS được triển khai ở các bộ định tuyến của mạng đích dựa trên lọc gói tin, phát hiện và lọc các gói tin độc hại. Dựa trên giao thức mạng. - Dựa trên giao thức mạng Các biện pháp phòng chống tấn công DDoS được chia nhỏ theo tầng mạng: IP, TCP và ứng dụng - Phòng chống tấn công DDoS ở tầng IP bao gồm một số biện pháp: Pushback: Là cơ chế phòng chống tấn công DDoS ở tầng IP cho phép một bộ định tuyến yêu cầu các bộ định tuyến liền kề phía trước giảm tần suất truyền các gói tin. SIP defender: Một kiến trúc an ninh mở cho phép giám sát luồng các gói tin giữa các máy chủ SIP và người dùng và proxy bên ngoài với mục đích phát hiện và ngăn chặn tấn công vào các máy chủ SIP. Các phương pháp dựa trên ô đố chữ: Gồm các phương pháp dựa trên ô đố chữ mật mã để chống lại tấn công DDoS ở mức IP. - Phòng chống tấn công DDoS ở tầng TCP bao gồm một số biện pháp: Dựa trên thời điểm hành động. Dựa trên thời điểm hành động, có thể phân loại các biện pháp phòng chống tấn công DdoS thành 3 dạng theo 3 thời điểm. - Trước khi xảy ra tấn công: Các biện pháp phòng chống tấn công DDoS thuộc dạng này được triển khai nhằm ngăn chặn tấn công xảy ra. Một phần lớn các biện pháp thuộc dạng này bao gồm việc cập nhật hệ thống, đảm bảo cấu hình an ninh phù hợp, sửa lỗi, vá các lỗ hổng để giảm thiểu khả năng bị tin tặc khai thác phục vụ tấn công. - Trong khi xảy ra tấn công: Các biện pháp phòng chống tấn công DDoS thuộc dạng này tập trung phát hiện và ngăn chặn tấn công. Tường lửa và các hệ thống IDS/IPS thuộc nhóm này. 18
ADSENSE

CÓ THỂ BẠN MUỐN DOWNLOAD


ERROR:connection to 10.20.1.100:9312 failed (errno=113, msg=No route to host)
ERROR:connection to 10.20.1.100:9312 failed (errno=113, msg=No route to host)

 

Đồng bộ tài khoản
2=>2