Khóa luận tốt nghiệp Công nghệ thông tin: Xây dựng Firewall cho hệ thống mạng LAN bằng giải pháp mã nguồn mở

Chia sẻ: Tiêu Sở Hà | Ngày: | Loại File: PDF | Số trang:88

Thêm vào BST

Báo xấu

27
lượt xem 18
download

Download Vui lòng tải xuống để xem tài liệu đầy đủ

Khóa luận tốt nghiệp Công nghệ thông tin "Xây dựng Firewall cho hệ thống mạng LAN bằng giải pháp mã nguồn mở" chú trọng đến việc xây dựng một firewall trên hệ điều hành mã nguồn mở, chính xác là Firewall Iptables trên hệ điều hành Linux Server để ngăn chặn các dịch vụ tấn công từ chối dịch vụ mạng và các sự tấn công bên ngoài của một hệ thống mạng LAN. Tăng cường khả năng bảo mật của một hệ thống mạng nội bộ bằng Firewall Iptables này. Mời các bạn cùng tham khảo!

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Khóa luận tốt nghiệp Công nghệ thông tin: Xây dựng Firewall cho hệ thống mạng LAN bằng giải pháp mã nguồn mở

TRÖÔØNG ÑAÏI HOÏC VOÕ TRÖÔØNG TOAÛN KHOA CÔNG NGHỆ THÔNG TIN  KHÓA LUẬN TỐT NGHIỆP XÂY DỰNG FIREWALL CHO HỆ THỐNG MẠNG LAN BẰNG GIẢI PHÁP MÃ NGUỒN MỞ Giáo viên hướng dẫn: Sinh viên thực hiện: ThS. NGUYỄN HỮU LỘC NGÔ THANH TOÀN MSSV: 0951190716 Lớp: ĐH CNTT Khóa: 2 Hậu Giang - 2013
LỜI CAM ĐOAN  Tôi xin cam đoan luận văn này được hoàn thành trên kết quả nghiên cứu của tôi dưới sự hướng dẫn, hỗ trợ của thầy hướng dẫn là Thạc sĩ Nguyễn Hữu Lộc. Sinh viên thực hiện Ngô Thanh Toàn i
LỜI CẢM TẠ  Em xin chân thành gửi lời cảm ơn đến thầy, Thạc sĩ Nguyễn Hữu Lộc đã tận tình hướng dẫn, giúp đỡ em trong suốt quá trình làm đề tài luận văn tốt nghiệp và giúp cho đề tài của em được hoàn thành. Em cũng xin gửi lời cảm ơn đến các thầy cô thuộc khoa công nghệ thông tin, trường Đại học Võ Trường Toản. Đã tạo điều kiện cho em trong quá trình hoàn thành luận văn tốt nghiệp của mình. Trong quá trình làm luận văn em còn nhận được sự giúp đỡ và trao đổi của các bạn, em cũng xin chân thành cảm ơn sự giúp đỡ và chia sẻ đó. Em chúc các thầy cô sức khỏe và công tác tốt. Chúc các bạn báo cáo luận văn thành công. Sinh viên thực hiện Ngô Thanh Toàn ii
BẢN NHẬN XÉT LUẬN VĂN TỐT NGHIỆP   Họ và tên người hướng dẫn: Nguyễn Hữu Lộc  Học vị: Thạc sĩ  Chuyên ngành: Công Nghệ Thông Tin  Cơ quan công tác: Khoa Công Nghệ Thông Tin, Đại học Võ Trường Toản  Họ và tên : Ngô Thanh Toàn  Mã số sinh viên : 0951190716  Chuyên ngành : Công Nghệ Thông Tin  Tên đề tài : Xây dựng Firewall cho hệ thống mạng LAN bằng giải pháp mã nguồn mở NỘI DUNG NHẬN XÉT 1. Tính phù hợp của đề tài với chuyên ngành đào tạo: ................................................................................................................................. ................................................................................................................................. 2. Về hình thức: ................................................................................................................................. ................................................................................................................................. 3. Ý nghĩa khoa học, thực tiễn và tính cấp thiết của đề tài: ................................................................................................................................. ................................................................................................................................. 4. Độ tin cậy của số liệu và tính hiện đại của luận văn: ................................................................................................................................. ................................................................................................................................. 5. Nội dung và các kết quả đạt được: ................................................................................................................................. ................................................................................................................................. iii
6. Các nhận xét khác: ................................................................................................................................. ................................................................................................................................. 7. Kết luận: ................................................................................................................................. ................................................................................................................................. ................................................................................................................................. Hậu Giang, ngày…… tháng …… năm… Người nhận xét (Ký và ghi rõ họ tên) iv
NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN  ______________________________________________ ............................................................................................................................ ............................................................................................................................ ............................................................................................................................ ............................................................................................................................ ............................................................................................................................ ............................................................................................................................ ............................................................................................................................ ............................................................................................................................ ............................................................................................................................ ............................................................................................................................ ............................................................................................................................ ............................................................................................................................ ............................................................................................................................ ............................................................................................................................ ............................................................................................................................ ............................................................................................................................ ............................................................................................................................ ............................................................................................................................ ............................................................................................................................ Hậu Giang, ngày …. tháng …. năm … Giáo viên phản biện (Ký và ghi rõ họ tên) v
MỤC LỤC LỜI CAM ĐOAN .............................................................................................................i LỜI CẢM TẠ ................................................................................................................. ii BẢN NHẬN XÉT LUẬN VĂN TỐT NGHIỆP ........................................................... iii NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN ............................................................... v DANH MỤC HÌNH ẢNH ........................................................................................... viii DANH MỤC BIỂU BẢNG ............................................................................................ix TỪ VIẾT TẮT VÀ CÁC THUẬT NGỮ ........................................................................x TÓM TẮT.......................................................................................................................xi ABSTRACT ................................................................................................................. xii CHƯƠNG 1 TỔNG QUAN ............................................................................................ 1 1.1 ĐẶT VẤN ĐỀ............................................................................................. 1 1.2 LỊCH SỬ GIẢI QUYẾT VẤN ĐỀ ............................................................. 1 1.3 PHẠM VI ĐỀ TÀI ......................................................................................2 1.4 PHƯƠNG PHÁP NGHIÊN CỨU VÀ HƯỚNG GIẢI QUYẾT ................2 CHƯƠNG 2 CƠ SỞ LÝ THUYẾT .................................................................................3 2.1 TỔNG QUAN AN NINH MẠNG .............................................................. 3 2.1.1 Tình hình thực tế ..................................................................................3 2.1.2 Các dạng tấn công ................................................................................4 2.1.3 Một số kỹ thuật tấn công .....................................................................7 2.2 TỔNG QUAN HỆ ĐIỀU HÀNH LINUX ..................................................9 2.2.1 Linux là gì ? ......................................................................................... 9 2.2.2 Lợi thế của Linux .................................................................................9 2.2.3 Ưu điểm và khuyết điểm của Linux ..................................................10 2.2.4 Kiến trúc của hệ điều hành Linux ...................................................... 11 2.2.5 Quản trị người dùng và nhóm trên Linux ..........................................12 2.2.6 Quản lý tập tin trên Linux ..................................................................19 2.2.7 Kết nối mạng trong Linux..................................................................22 2.3 TỔNG QUAN VỀ FIREWALL................................................................ 25 2.3.1 Khái niệm........................................................................................... 25 2.3.2 Phân loại, chức năng, cấu trúc Firewall .............................................25 vi
2.3.3 Các thành phần của Firewall ............................................................. 28 2.3.4 Ưu, nhược điểm của Firewall ............................................................ 33 2.3.5 Kiến trúc Firewall ..............................................................................34 2.4 NỘI DUNG NGHIÊN CỨU IPTABLES .................................................40 2.4.1 Iptables là gì ....................................................................................... 40 2.4.2 Cài đặt trọn gói Iptables.....................................................................41 2.4.3 Cơ chế xử lý package trong Iptables .................................................41 2.4.4 Target và Jump ..................................................................................45 2.4.5 Tùy chọn –limit, --limit-burst ............................................................ 48 2.4.6 Redirect cổng .....................................................................................50 2.4.7 Cách đổi địa chỉ IP động ( dynamic NAT) ........................................50 2.4.8 Cách đóng giả địa chỉ IP (masquerade) .............................................51 2.4.9 Quá trình chuyển gói dữ liệu qua Netfilter ........................................52 2.4.10 Các tham số dòng lệnh thường gặp của Iptables ............................. 52 CHƯƠNG 3 NỘI DUNG VÀ KẾT QUẢ THỰC NGHIỆM ........................................59 3.1 PHƯƠNG PHÁP THỰC NGHIỆM ......................................................... 59 3.2 CÔNG CỤ MÔ PHỎNG TẤN CÔNG MẠNG (HPING3) ...................... 60 3.2.1 Khái niệm........................................................................................... 60 3.2.2 Cài đặt và cấu trúc .............................................................................60 3.2.3 Thực nghiệm cấu hình Firewall với Iptables và kết quả ...................61 CHƯƠNG 4 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN ...............................................73 4.1 KẾT LUẬN ............................................................................................... 73 4.2 HƯỚNG PHÁT TRIỂN ............................................................................74 DANH MỤC TÀI LIỆU THAM KHẢO ......................................................................75 vii
DANH MỤC HÌNH ẢNH Hình 1: Tấn công kiểu DoS ......................................................................................... 5 Hình 2: Tấn công kiểu DDoS ......................................................................................5 Hình 3: Tấn công kiểu DRDoS ...................................................................................6 Hình 4 : Thiết lập kết nối TCP giữa client và server ..................................................7 Hình 5 : Kiến trúc hệ điều hành Linux......................................................................11 Hình 6: Sơ đồ Netfilter hook .....................................................................................24 Hình 7 : Mô hình Firewall ......................................................................................... 25 Hình 8 : Mô hình Firewall cứng ................................................................................26 Hình 9 : Mô hình Firewall mềm................................................................................26 Hình 10 : Các thành phần của Firewall .....................................................................28 Hình 11 : Bộ lọc Packet ............................................................................................ 29 Hình 12 : Kết nối cổng vòng của Firewall ................................................................ 32 Hình 13: Sơ đồ kiến trúc Dual-home Host................................................................ 35 Hình 14: Sơ đồ kiến trúc Sceen Host ........................................................................37 Hình 15 : Kiến trúc Screen subnet ............................................................................38 Hình 16 : Bảng NAT Tables .....................................................................................40 Hình 17 : Sơ đồ đường đi của package trong Iptables ..............................................44 Hình 18 : Cách đôỉ địa chỉ Ip động ...........................................................................50 Hình 19 : Cách đóng giả địa chỉ IP. ..........................................................................51 Hình 20 : Mô hình mạng thực nghiệm ......................................................................59 Hình 21: Lệnh kiểm thử chặn ngập lụt PING ........................................................... 63 Hình 22: Kết quả chống ngập lụt PING từ client .....................................................63 Hình 23: Lệnh kiểm thử chặn ngâp lụt SYN............................................................. 66 Hình 24: Kết quả kiểm thử chống ngập lụt SYN ...................................................... 66 Hình 25: Kiểm thử SSH ............................................................................................ 67 Hình 26: Kết quả giới hạn truy nhập SSH cho admin...............................................68 Hình 27: Kiểm thử giới hạn FTP cho webmaster .....................................................69 Hình 28: Kết quả kiểm thử giới hạn truy nhập FTP cho webmaster ........................ 70 Hình 29: Kiểm thử chặn ngập lục UDP ....................................................................71 Hình 30: Kết quả chặn ngập lục UDP .......................................................................72 viii
DANH MỤC BIỂU BẢNG Bảng 1. Các loại queues và chain cùng chức năng của nó. ....................................42 Bảng 2. Miêu tả các target mà iptables thường dùng nhất. ......................................46 Bảng 3. Các tham số chuyển mạch (switching) quan trọng của Iptables ................53 Bảng 4. Các điều kiện TCP và UDP thông dụng .....................................................54 Bảng 5. Điều kiện ICMP .......................................................................................... 55 Bảng 6. Các điều kiện mở rộng thông dụng.............................................................. 55 Bảng 7. Danh sách các lệnh (Queues).......................................................................57 ix
TỪ VIẾT TẮT VÀ CÁC THUẬT NGỮ DDoS (Distributed Denied of Service) : Tấn công từ chối dịch vụ phân tán DMZ (DeMilitarized Zone) : Vùng phi quân sự DNS (Domain Name Service) : Dịch vụ tên miền DoS (Denied of Service) : Tấn công từ chối dịch vụ DRDoS (Distributed Reflection Denied of Service) : DoS phản xạ, phân tán. FTP (File Transfer Protocol) : Giao thức truyền file GNU (General Public License): Giấy phép phần mềm tự do ICMP (Internet Control Message Protocol): Giao thức điều khiển thông điệp Internet IP (Internet Protocol) : Giao thức Internet LAN (Local Area Network) : Mạng nội bộ MAC (Media Access Control) : Địa chỉ thiết bị PPP (Point to Point Protocol): Giao thức nối các máy tính bằng điện thoại. SSH ( Secure Shell ) : Dịch vụ truy cập từ xa SLIP (Serial Line Internet Protocol): Giao thức Internet đường nối tiếp STMP ( Simple Mail Transfer Protocol ) : Giao thức truyền thư đơn giản TCP (Transmission Control Protocol) : Giao thức điều khiển truyền tin TELNET : dịch vụ đăng nhập hệ thống từ xa UDP (User Datagram Protocol) : Giao thức điều khiển truyền tin không tin cậy x
TÓM TẮT Bảo mật và an ninh mạng là một vấn đề quan trọng hàng đầu đối với các hệ thống của các công ty, doanh nghiệp, các hệ thống cung cấp dịch vụ như Web Server, Mail Server,…cũng như nhiều dịch vụ khác trên mạng. Một trong những cách bảo vệ tối ưu nhất để đảm bảo bảo mật và an ninh mạng cho hệ thống là sử dụng Firewall. Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cập trái phép nhằm bảo vệ các nguồn thông tin nội bộ cũng như hạn chế sự xâm nhập vào hệ thống và lọc gói tin ra vào mạng nội bộ. Ngày nay, có rất nhiều loại Firewall được xây dựng trên những hệ điều hành khác nhau nhưng chủ yếu là hệ điều hành Windows và hệ điều hành mã nguồn mở. Tuy nhiên mỗi loại có những ưu và nhược điểm khác nhau và phát triển theo những hướng khác nhau, nhưng đa phần các Firewall mạnh thường là những Firewall thương mại, người dùng phải mua và mất chi phí nhiều cho các ứng dụng kèm theo. Đề xuất để giải quyết vấn đề trên là dùng các Firewall miễn phí được xây dựng trên hệ điều hành mã nguồn mở và Iptables là một trong những Firewall miễn phí trên hệ điều hành mã nguồn mở, được đánh giá rất cao từ cộng đồng người sử dụng. Tuy miễn phí nhưng Iptables mang đầy đủ tính năng của một tường lửa thương mại. Từ những kết quả thực nghiệm cho thấy Firewall miễn phí với Iptables thực hiện tốt các mục tiêu của các Firewall thương mại khác về : tốc độ xử lý, quan sát kỹ gói dữ liệu, lọc gói dựa trên địa chỉ MAC và các cờ trong TCP header, ghi chép hệ thống, ngăn chặn các kiểu tấn công từ chối dịch vụ,... Từ khóa : Firewall, Linux server, Iptables. xi
ABSTRACT Network security is a number one problem with network system of company, business and service system such as Web sever, Mail sever, or FTP server… as well as all other service of network. One of the most urgent needs to network security for system is a Firewall. Firewall is a technology integrated into network system denied illicit access to protect source interal information as well as limit to break into system and fillter pack out-in-inform interal network. Today, have a lot of Firewall build on background of different Operating system but an essential is Windows of Microsoft and Open Source Operating system of Linux. However, each has advantages and disadvantages, develop follow various directional, but almost all strong Firewall is a commercial Firewall, user bought and spend more for the attached application. Proposing to solve prolem is use a free Firewall, it built on Open Source Operating system and Iptables is a one of free Firewall on Open Source Operating system, it had rate very high from user community. Althought it free but Iptables had all feature of a commercial Firewall. From all examine result to show a free Firewall with Iptales execute well all target of other commercial Firewall about: processing, scan hard data pack, filter pack rely on MAC address and flags in TCP header, log system, stop all attacked by denied service,… Keywords: Firewall, Linux server, Iptables xii
CHƯƠNG 1 TỔNG QUAN 1.1 ĐẶT VẤN ĐỀ Trong những năm gần đây, việc tổ chức và khai thác mạng Internet rất phát triển. Mạng Internet cho phép các máy tính trao đổi thông tin một cách nhanh chóng, thuận tiện. Mọi đối tượng đều có thể sử dụng các dịch vụ và tiện ích của Internet một cách dễ dàng như trao đổi thông tin, tham khảo các thư viện tri thức…Tại thời điểm hiện nay thì lợi ích của Internet là quá rõ ràng và không thể phủ nhận. Nhưng một điều không may đi kèm với nó là nguy cơ mất an toàn thông tin trên Internet đang trở thành một vấn đề hàng đầu cản trở sự phát triển của các nhà cung cấp dịch vụ mà nó còn là nhu cầu chính đáng của mỗi người sử dụng. Các thông tin nhạy cảm về quốc phòng, thương mại là vô giá và không thể để lọt vào tay đối thủ cạnh tranh. Hay nói cách khác là khi máy tính kết nối Internet hay trong môi trường mạng cục bộ, khi đó tất cả các giao tiếp của mạng nội bộ với thế giới bên ngoài coi như là bỏ ngỏ, mọi thông tin dữ liệu trên máy tính của mạng nội bộ không có sự bảo vệ. Điều này được xem như nhà không có khóa cửa, khi đó mọi đồ đạc trong nhà sẽ như thế nào? Đương nhiên không ai nói trước được gì. Nếu khu vực sống là một môi trường lành mạnh, ở đó không có sự nhòm ngó thì đồ đạc vẫn nguyên, còn ngược lại chắc chắn là đồ đạc sẽ bị lấy cắp và điều này trong xã hội hiện nay là đương nhiên khi không có sự phòng vệ thích đáng. Dữ liệu trong máy tính cũng như thế, nếu người dùng không bảo vệ chúng, không có khóa bảo vệ, không có những chính sách bảo mật, cơ hội bị mất hay thất thoát là điều không thể tránh. Để hạn chế tình trạng này và để góp phấn tăng khả năng bảo mật thì việc xây dựng hệ thống tường lửa Firewall là điều kiện không thể thiếu, đặc biệt là Firewall được xây dựng trên nền hệ điều hành mã nguồn mở Linux. 1.2 LỊCH SỬ GIẢI QUYẾT VẤN ĐỀ Trên thế giới đã có nhiều công trình nghiên cứu về lĩnh vực bảo mật, bảo vệ an toàn thông tin trên mạng và kết quả chúng đã trở thành các sản phẩm thương mại như: Vista Firewall, ZoneAlarm Firewall, VNP-1/Firewall-1, SmoothWall, … Tuy nhiên mỗi loại có những ưu nhược điểm riêng, phát triển theo những hướng khác nhau. Các 1
sản phẩm này được xây dựng trên những nền hệ điều hành khác nhau nhưng chủ yếu là Windows của Microsoft và hệ điều hành mã nguồn mở Linux. Có nhiều đồ án và tiểu luận, luận văn đưa ra các giải pháp khắc phục, bảo vệ, bảo mật an ninh mạng bằng Firewall của mã nguồn mở. Ban đầu các bài tiểu luận, đồ án, luận văn đưa ra phương pháp dùng firewall phổ biến nhất là gói NAT của Ipchains chạy trên Linux. Song với firewall Ipchains còn nhiều thiếu sót và không đủ mạnh để bảo vệ hệ thống như ngăn chặn tấn công từ chối dịch vụ kém, khả năng ghi nhận lỗi không cao… 1.3 PHẠM VI ĐỀ TÀI Phạm vi luận văn này chú trọng đến việc xây dựng một firewall trên hệ điều hành mã nguồn mở, chính xác là Firewall Iptables trên hệ điều hành Linux Server để ngăn chặn các dịch vụ tấn công từ chối dịch vụ mạng và các sự tấn công bên ngoài của một hệ thống mạng LAN. Tăng cường khả năng bảo mật của một hệ thống mạng nội bộ bằng Firewall Iptables này. 1.4 PHƯƠNG PHÁP NGHIÊN CỨU VÀ HƯỚNG GIẢI QUYẾT Để xây dựng Firewall trên nền Linux nhằm ngăn chặn các loại tấn công mạng, chúng tôi lần lượt tìm hiểu về: tổng quan an ninh mạng (các khái niệm chung về an toàn an ninh mạng, tính cấp thiết của đề tài, các dạng tấn công và một số kỹ thuật tấn công phổ biến hiện nay), tổng quan hệ điều hành Linux (tổng quát về hệ điều hành Linux, cấu hình mạng cho hệ điều hành Linux), tổng quan Internet Firewall (khái niệm tổng quát về Firewall, một số loại Firewall thông dụng, các chức năng cơ bản của Firewall, cơ chế và nguyên lý hoạt động, ưu nhược điểm và các mô hình hay kiến trúc triển khai của một Firewall trong hệ thống) và giới thiệu chi tiết về Iptables. Từ những nghiên cứu lý thuyết trên, chúng tôi tiến hành xây dựng một Firewall với Iptables trên hệ điều hành Ubuntu Server và sử dụng các công cụ mô phỏng các cuộc tấn công mạng (Hping3) để kiểm tra tính năng của Firewall Iptables này. 2
CHƯƠNG 2 CƠ SỞ LÝ THUYẾT 2.1 TỔNG QUAN AN NINH MẠNG 2.1.1 Tình hình thực tế Mạng Internet ngày càng phát triển nhanh chóng với các dịch vụ như WWW, Email, tìm kiếm thông tin,…. Internet đã trở thành một phần không thể thiếu trong cuộc sống hằng ngày, song song với điều đó là những sự nguy hiểm mà mạng Internet đem lại cho người sử dụng. Hiện nay, những kẻ tấn công ngày càng tinh vi hơn trong các hoạt động của chúng. Thông tin về các lổ hổng bảo mật, các kiểu tấn công được trình bày công khai trên mạng. Ngoài ra, còn có các kẻ tấn công không chuyên nghiệp và những người có chút hiểu biết về lập trình, về mạng khi đọc các thông tin về lổ hổng và các kiểu tấn công trên mạng thì có thể trở thành một hacker. Vì vậy, số tấn công mạng ngày một tăng và có nhiều phương thức tấn công mới ra đời, khó kiểm soát và bảo vệ. Đa phần các tổ chức lớn đều triển khai các ứng dụng nền tảng, quan trọng trong mạng cục bộ LAN. Khi các mạng cục bộ này kết nối với mạng Internet, các thông tin quan trọng đều có khả năng bị lấy cắp và phá hoại. Mặc dù các công ty, tổ chức này có sử dụng các biện pháp an toàn bảo mật, nhưng chưa triệt để và còn có nhiều lổ hổng bảo mật mà các kẻ tấn công có thể lợi dụng để tấn công. Trước các nguy cơ mất an toàn thông tin cho hệ thống khi kết nối Internet là một vấn đề hết sức cấp bách. Để chống lại và bảo vệ hệ thống trước các nguy cơ bị tấn công từ bên ngoài khi kết nối Internet, thế giới đã xuất hiện các phần mềm bảo vệ với các tính năng khác nhau, trong đó có Firewall. Sử dụng Firewall để bảo vệ mạng nội bộ, tránh sự tấn công từ bên ngoài là một giải pháp an toàn, hữu hiệu, đảm bảo được các yếu tố:  An toàn cho sự hoạt động của toàn bộ hệ thống mạng.  Bảo mật cao trên nhiều phương tiện.  Mềm dẻo và dễ sử dụng.  Tấn công trên mạng và chiến lược bảo vệ 3
2.1.2 Các dạng tấn công Có nhiều dạng tấn công mạng vào hệ thống khác nhau, ở đây chúng ta xét ba dạng tấn công cơ bản là:  Xâm nhập (Intrusion)  Từ chối dịch vụ (Denial of Service - Dos)  Ăn trộm thông tin (Information thieft) 2.1.2.1 Tấn công “Xâm nhập” Hầu như các dạng tấn công vào hệ thống nói chung là dạng tấn công xâm nhập, các hacker và cracker cố gắng đột nhập vào hệ thống hoặc lạm dụng hệ thống. Với các phương pháp tấn công như giả dạng người có thẩm quyền, hay tấn công suy đoán và nhiều phương pháp tấn công phức tạp khác để truy cập mà không cần biết tên người dùng và mật khẩu, kẻ tấn công có thể sử dụng được máy tính của chúng ta một cách hợp pháp.  Chúng ta có thể chia dạng tấn công xâm nhập thành hai loại:  Tấn công từ bên ngoài: là những người xâm nhập từ bên ngoài hệ thống. Chúng có thể vượt qua Firewall để tấn công các máy trong mạng nội bộ. Dạng tấn công này có thể đến từ Internet, đường dây điện thoại hoặc từ các mạng thành viên khác được liên kết đến mạng nội bộ.  Tấn công từ bên trong: là những người được quyền truy nhập đến bên trong hệ thống, như những người được ủy quyền, hoặc giả mạo người dùng ở mức cao,…. Theo thống kê thì dạng tấn công xâm nhập từ bên trong chiếm tới 80%.  Có hai cách thực hiện hành vi xâm nhập  Do thám: những kẻ xâm nhập có thể dùng các công cụ dò quét để tìm ra các lổ hổng bảo mật của mạng nội bộ. Các công cụ dò quét có thể là theo kiểu quét ping, quét cổng TCP/UDP, chuyển vùng DNS,…  Lợi dụng: lợi dụng các đặc tính ẩn hoặc lỗi để truy cập vào hệ thống. 2.1.2.2 Tấn công từ chối dịch vụ Đây là kiểu tấn công trực tiếp vào hệ thống, làm hệ thống bị mất tài nguyên và bị chiếm dụng băng thông, làm giảm khả năng đáp ứng trả lời yêu cầu đến. Trong trường hợp này hệ thống có thể bị lỗi khi hệ thống cần dùng đến tài nguyên. 4
Đặc điểm chính của kiểu tấn công này là người bị hại không chống lại được vì các công cụ được sử dụng trong cách tấn công này là các công cụ mà hệ thống dùng hằng ngày.  Có 3 kiểu tấn công từ chối dịch vụ chính là DoS, DdoS và DRDoS a. DoS Hình 1: Tấn công kiểu DoS Kẻ tấn công dùng máy có băng thông lớn hơn máy nạn nhân. b. DDoS Hình 2: Tấn công kiểu DDoS Kẻ tấn công dùng nhiều máy tấn vào một máy nạn nhân. 5
c. DRDoS Máy tấn công sẽ gửi yêu cầu kết nối đến các server có băng thông cao trên mạng, các gói tin yêu cầu kết nối này mang địa chỉ IP giả. Các server sẽ gửi lại máy yêu cầu các gói SYN/ACK dẫn tới hiện tượng nhân băng thông. Nhưng kiểu tấn công này không thu thập được thông tin mà chỉ làm tê liệt hệ thống, làm cho hệ thống không hoạt động được nữa. Hình 3: Tấn công kiểu DRDoS 2.1.2.3 Ăn trộm thông tin Đây là cách tấn công cho phép kẻ tấn công có thể lấy được thông tin và dữ liệu mà không cần phải trực tiếp truy cập và sử dụng máy tính của nạn nhân. Thường kẻ tấn công khai thác các dịch vụ Internet phân phối thông tin. 6
2.1.3 Một số kỹ thuật tấn công 2.1.3.1 Giả mạo địa chỉ IP (IP Spoofing) Đa phần giao thức sử dụng trong mạng hiện nay đều là giao thức TCP. TCP là một giao thức hướng liên kết, giữa client và server muốn thực hiện trao đổi thông tin thì phải thực hiện qua các bước sau:  Bước 1: Client gửi gói tin SYN tới server thông báo yêu cầu kết nối. Lúc này một kết nối đã được thiết lập giữa client và server.  Bước 2: Server sau khi nhận được tín hiệu SYN trên sẽ gửi lại cho client gói tin SYN/ACK xác nhận việc liên kết.  Bước 3: Client sau khi nhận được gói tin SYN/ACK trên, nó sẽ gửi tiếp cho server gói tin ACK. Kết thúc bước này giữa client và server đã hoàn thành một kết nối. Hình 4 : Thiết lập kết nối TCP giữa client và server Nếu như một client không có yêu cầu thiết lập một kết nối đến server nhưng nó lại nhận được gói tin SYN/ACK, khi đó nó sẽ gửi trả lại server gói tin RST (reset). Nhờ đó server sẽ biết được client không có yêu cầu và sẽ hủy bỏ kết nối. Dựa vào cơ chế hoạt động thiết lập kết nối trong giao thức TCP mà kẻ tấn công đưa ra kỹ thuật tấn công giả mạo địa chỉ IP: Giả sử ta có một server A và một client B. Kẻ tấn công sẽ dùng một máy C tạo ra gói tin giả mạo địa chỉ của B để gửi tới cho A, nhằm chờ đợi những thông tin mà A phản hồi lại. Khi đó A nhận được yêu cầu kết nối này, server A sẽ gửi lại gói tin phản hồi cho B, trong khi đó máy B không có gửi thông tin yêu cầu cho máy A. Vì vậy, máy B sẽ gửi lại gói tin RST cho máy A thông báo không có yêu cầu kết nối để máy A hủy kết nối. Nhưng mục tiêu của kẻ tấn công là tạo kết nối ảo cho máy A, không muốn 7