« Home « Kết quả tìm kiếm

Vu Thanh Tuan K51MMT Khoa luan tot nghiep dai hoc

Tóm tắt Xem thử www.academia.edu Tải xuống

- ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ Vũ Thanh Tuấn NÂNG CẤP HỆ THỐNG PAC THÊM CHỨC NĂNG TỰ ĐỘNG XÁC ĐỊNH ĐỐI TƯỢNG TẤN CÔNG KHOÁ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY Ngành: Mạng truyền thông HÀ NỘI - 2010.
- ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ Vũ Thanh Tuấn NÂNG CẤP HỆ THỐNG PAC THÊM CHỨC NĂNG TỰ ĐỘNG XÁC ĐỊNH ĐỐI TƯỢNG TẤN CÔNG KHOÁ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY Ngành: Mạng truyền thông Cán bộ hướng dẫn: Ths.
- Phần thứ nhất là tổng quan và phân loại tấn công Ddos.
- MỤC LỤC Chương 1: GIỚI THIỆU VỀ TẤN CÔNG DDOS .
- Cấu trúc mạng DDos Tuyển mộ mạng Agent Điều khiển mạng Agent Cập nhật mailware Phân loại tấn công Ddos Tấn công vào băng thông mạng Tấn công vào giao thức Tấn công bằng những gói tin khác thường Tấn công qua phần mềm trung gian Các công cụ DDos Trinoo Tribe Flood Network (TFN Stacheldraht Shaft Trinity Knight Kaiten Chương 2 : CÁC CỞ SỞ PHÂN TÍCH PHÁT HIỆN DDOS Hệ thống phát hiện DDos hiện nay Các yêu cầu đối với môt hệ thống phát hiện DDos Phát hiện nhiều cơ chế Phản ứng .
- 2.3 Phân tích phát hiện các cuộc tấn công DDos Tổng quan về phát hiện các cuộc tấn công DDos Một số thuật toán phát hiện DDos Chương 3: XÂY DỰNG HỆ THỐNG PHÁT HIỆN NGĂN CHẶN DDOS TỰ ĐỘNG Cơ chế kiểm tra địa chỉ nguồn IP Address Database (IAD Duy trì và hoạt động của IAD Kỹ thuật phát hiện tấn công DDos theo thuật toán CUSUM Chương 4: PHÁT TRIỂN HOÀN THIỆN GIAO THỨC LAN TỎA NGƯỢC....18 4.1 Khái niệm Khởi động Bắt đầu Kiểm tra giả mạo Rút gọn Ngăn chặn Lan tỏa ngược Hạn chế của giao thức lan tỏa ngược Phát triển giao thức lan tỏa ngược Chống lừa dối Giải pháp Giải thuật Triển khai Chương 5: TRIỂN KHAI HỆ THỐNG PHÁT HIỆN NGĂN CHẶN TỰ ĐỘNG KẾT HỢP GIAO THỨC LAN TỎA NGƯỢC Đánh giá hiệu quả của hệ thống .
- LỜI MỞ ĐẦU Tấn công từ chối dịch vụ phân tán (Distributed Denial of Service-DDos) là một trong những phương pháp tấn công nguy hiểm nhất hiện nay.
- Việc ngăn chặn hoàn toàn Ddos rất khó có thể thực hiên được do các tính chất của một cuộc tấn công là phân tán trên toàn internet.
- Do vậy việc phát hiện càng sớm dấu hiệu của cuộc tấn công giúp chúng ta có thể hạn chế tối đa thiệt hại mà một cuộc tấn công Ddos gây nên.
- Trong luận văn này tôi sẽ xây dựng hệ thống tự động phát hiện và ngăn chặn một cuộc tấn công Ddos kết hợp giao thức lan tỏa ngược để giải quyết vấn đề vừa nêu ở trên.
- Chương 1: GIỚI THIỆU VỀ TẤN CÔNG DDOS 1.1.
- Khái niệm Tấn công từ chối dịch vụ phân tán (DDos – Distributed Denial of Service) là hoạt động làm chấm dứt hoặc gián đoạn các dịch vụ tại máy nạn nhân.
- Tấn công Ddos huy động số lượng lớn các máy bị lợi dụng để tấn công nạn nhân vào một cùng thời điểm.
- Việc ngăn chặn DDos không thể từ một máy tính bị tấn công mà phải kết hợp giữa các router để tiến hành phân tích và chặn.
- Do có số lượng Agent lớn và bao phủ trên diện rộng nên việc phát hiện được các gói tin tấn công nhưng khó có khả năng giải quyết triệt để được DDos.
- Ở đây Agent là những máy trực tiếp gửi thông điệp tấn công 1.2.
- Cấu trúc mạng DDos 1.2.1 Tuyển mộ mạng Agent Trước tiên kẻ tấn công phải làm đó là xây dựng lên mạng botnet.
- Kẻ tấn công tiến hành thăm dò những máy tính nào dễ bị lợi dụng.
- Scaning có thể được làm bằng tay do kẻ tấn công sử dụng các công cụ hỗ trợ scaning như nmap.
- Scaning: Tìm kiếm các máy dễ bị lợi dụng + Khai thác: Tiến hành lây nhiễm và điều khiển từ xa + Tải kịch bản tấn công Các worm chọn lựa những địa chỉ để scaning ở các dạng sau.
- Ví dụ như một log file của web browser sẽ lưu trữ những địa chỉ mới truy cập vào website.và một file dùng để lưu trữ những địa chỉ IP đích được giao tiếp thông qua giao thức SSH Một chương trình máy khách được chạy nền trên máy tính bị hại được gọi là một bot, nó sẽ thông báo cho kẻ tấn công các thông tin trạng thái của các máy dễ bị lợi dụng và chờ đợi lệnh điều khiển từ kẻ tấn công để tấn công.
- Kẻ tấn công phải có những phương pháp điều khiển mạng lưới Agent.Việc tìm ra những phương pháp tốt sẽ giúp kẻ tấn công dễ dàng thu thập dược các thông tin và hành vi của các Agent Ở đây có hai mô hình chính để kẻ tấn công điều khiển mạng lưới Agent 1.2.1.1 Agent-Handler Hình 1: Mô hình Agent-Handler Trong mô hình này, kẻ tấn công sẽ điều khiển mạng Handler.
- Các Hanlder sẽ trực tiếp điều khiển các Agent gửi các thông điệp tấn công nạn nhân.
- này, kẻ tấn công có thể rất dễ bị phát hiện do các máy Handler phải lưu trữ các thông tin về Agent và các Agent phải lưu trữ thông tin về Handler.
- Do vậy việc truy tìm ngược lại kẻ tấn công hoàn toàn có thể thực hiện được.
- Các Agent phải học các kênh truyền hiện tại, sau đó sẽ nhảy sang những kênh đó để nhận lệnh điều khiển từ kẻ tấn công thông.
- Trong mô hình này, kẻ tấn công truy cập vào IRC Server sẽ qua một máy khác, được gọi là Steeping stone để tránh bị phát hiện.
- Hầu hết các công cụ Ddos hiện nay đều yêu cầu kẻ tấn công gửi những dòng lệnh cập nhật trên các Handler và Agent bằng việc download các phiên bản mới hơn qua giao thức http.
- 1.3 Phân loại tấn công Ddos 1.3.1 Tấn công vào băng thông mạng Trong phương pháp này kẻ tấn công điều khiển mạng lưới Agent đồng loạt gửi các gói tin ICMP hay UDP đến nạn nhân làm cho băng thông mạng của nạn nhân bị quá tải và không thể phục vụ được.
- Phương pháp tấn công này đặc biệt nguy hiểm do không những băng thông mạng của nạn nhân bị quá tải mà còn ảnh hưởng đến các mạng lân cận.
- 1.3.2 Tấn công vào giao thức Điển hình của phương pháp tấn công này là TCP SYN flood.
- Kẻ tấn công lợi dụng quá trình bắt tay 3 bước trong giao thức TCP.
- Kẻ tấn công liên tục khởi tạo kết nối TCP.
- Tuy nhiên, kẻ tấn công sẽ không gửi ACK đến nạn nhân hay nói cách khác là sẽ không làm gì cả như quá trình bắt tay 3 bước.
- Do vậy nạn nhân sẽ không thể phục vụ được do tốn bộ nhớ đề chờ các kết nối ảo do kẻ tấn công khởi tạo.
- 1.3.3 Tấn công bằng những gói tin khác thường Trong phương pháp này, kẻ tấn công dựa vào các điểm yếu của giao thức mạng.
- Ví dụ khi tấn công Ping of Death.
- Kẻ tấn công sẽ gửi một số gói tin ICMP có kích thước lớn hơn kích thước giới hạn.
- Một trường hợp khác như tấn công Lan Attack.
- Kẻ tấn công sẽ gửi các gói tin TCP SYN có địa chỉ nguồn, địa chỉ đích và số cổng giống.
- 1.3.4 Tấn công qua phần mềm trung gian Trong phương pháp tấn công này, kẻ tấn công sẽ sử dụng một phần mềm hợp lệ trên máy nạn nhân.
- Đây là phương pháp tấn công khá đơn giản nhưng lại có hiệu quả rất cao.
- Nhưng nguy hiểm hơn cả là kẻ tấn công đã đột nhập được vào máy nạn nhân để có thể ăn cắp các thông tin cá nhân của nạn nhân .1.4 Các công cụ DDos 1.4.1 Trinoo Trinoo cho phép kẻ tấn công kiểm soát một số máy để yêu cầu gửi đồng loạt các gói tin UDP làm tê liệt mục tiêu.
- Đồng loạt gửi các gói tin UDP - Dừng việc gửi gói tin - Thay đổi cấu hình của các deamon trinoo 1.4.2 Tribe Flood Network (TFN) TFN là công cụ tấn công vào băng thông.
- TFN hỗ trợ tấn công các kỹ thuật ICMP flood, UDP flood, TCP SYN flood.
- Hỗ trợ nhiều loại tấn công như ICMP, UDP, TCP flood.
- Shaft còn hỗ trợ tấn công nhiều kỹ thuật cùng lúc.
- Nó có khả năng tấn công với hầu hết các kỹ thuật như UDP, SYN và một số dạng flood khác.
- Knight cung cấp các kỹ thuật tấn công như UDP flood, SYN flood.
- Kaiten hỗ trợ các kỹ thuật tấn công như UDP flood, TCP flood, SYN.
- Chương 2 : CÁC CỞ SỞ PHÂN TÍCH PHÁT HIỆN DDOS 2.1 Hệ thống phát hiện DDos hiện nay Như chúng ta đã thấy, khả năng phát hiện một cuộc tấn công ngay lập tức sẽ ảnh hưởng rất lớn đến quá trình ngăn chặn và làm giảm đến mức thấp nhất tác hại mà một cuộc tấn công DDos gây ra.
- Hầu hết đã phát hiện được các loại tấn công Dos và DDos nhưng khó có thể đạt được độ chính xác cao.
- Do vậy, để hiệu quả một hệ thống phát hiện xâm nhập phải thêm nhiều tính năng để phát hiện và phân biệt một sự tấn công với các hoạt động bình thường.
- 2.2 Các yêu cầu đối với môt hệ thống phát hiện DDos 2.2.1 Phát hiện nhiều cơ chế Hiện nay các hình thức tấn công Ddos rất đa dạng và luôn được phát triển không ngừng.
- Càng ngày càng có nhiều kiểu tấn công mới.
- Do vậy, một hệ thống phát hiện Ddos thật sự hiệu quả khi phát hiện được hầu hết các kiểu tấn công.
- Luôn đánh giá được hệ thống mạng khi có những dấu hiệu bất thường, phải cập nhật thường xuyên những kiểu tấn công mới để có biện pháp phát hiện nhanh nhất.
- 2.2.2 Phản ứng Khi một cuộc tấn công DDos xảy ra.
- Bước đầu tiên và cũng là quan trọng nhất là phát hiện chính xác các gói tin tấn công.
- 2.3 Phân tích phát hiện các cuộc tấn công DDos 2.3.1 Tổng quan về phát hiện các cuộc tấn công DDos - Phát hiện ở gần nguồn tấn công Giả sử tổng số lưu lượng để tắt một mạng là V, và lưu lượng một cuộc tấn công DDos là U.Chúng ta có thể dễ dàng phát hiện tấn công tại nạn nhân khi V lớn hơn đáng kể lưu lượng bình thường.
- Tuy nhiên, số lượng tấn công gần nguồn sẽ không phân biệt được từ một lưu lượng bình thường, tỷ số V/U sẽ rất nhỏ nếu U đủ lớn.
- Các phương án này thường không có hiệu quả cao khi mà cuộc tấn công diễn ra với quy mô rất lớn.
- Do vậy việc phát hiện tấn công gần nguồn sẽ tránh được tắc nghẽn và đạt hiệu quả cao nhất.
- Phát hiện tấn công tại mạng của nạn nhân Như đã nói ở phần trước, việc phát hiện tấn công tại nạn nhân không khó vì lúc đó lưu lượng mạng tại nạn nhân sẽ trở nên rất cao và tất nhiên sẽ dẫn đến tình trạng không thể cung cấp được các dịch vụ.
- Tuy nhiên, thông thường việc phát hiện và phản ứng lại tại nạn nhân thường muộn và vào lúc cuộc tấn công đang ở mức cao.
- Các ISP sau khi đã nhận được lời đề nghị của nạn nhân sẽ tiến hành đẩy ngược lại lưu lượng tấn công tại các router.
- Thông điệp bao gồm đích của lưu lượng tấn công, và 1 yêu cầu để lọc lưu lượng tấn công này.
- Tuy nhiên, việc gửi thông điệp này trong thời gian ngắn nhất có thể là vô cùng quan trọng để ngăn chặn tấn công DDos.
- Bởi vậy, cần có một cơ chế phát hiện thật nhanh để gửi thông điệp trong giai đoạn tấn công.
- 2.3.2 Một số thuật toán phát hiện DDos Thực tế đã chứng minh, khi các cuộc tấn công DDos xảy ra.
- Do đó hầu hết các thuật toán phân tích phát hiện tấn công DDos hiện nay đều dựa trên tính khác thường của lưu lượng mạng.
- Từ những kỹ thuật phân tích này, sẽ có những thuật toán phát hiện để đưa ra các tham số hoặc công nghệ thống kê, các mức độ nguy hiểm của cuộc tấn công.
- Thuật toán đặc biệt có khả năng phát hiện cao nhất khi kẻ tấn công tiến hành một cuôc tấn công TCP SYN.
- Nếu vượt qua, chứng tỏ đã có một cuộc tấn công xảy ra.
- Một công thức được xây dựng để theo dõi sự thay đổi này, khi vượt qua một ngưỡng giới hạn chứng tỏ đã xảy ra một cuộc tấn công.
- IAD được xây dựng và cập nhật off-line để chắc chắn rằng trong IAD không bao gồm bất cứ địa chỉ tấn công nào.
- Khi sự thay đổi vượt qua ngưỡng giới hạn chứng tỏ đã có một cuộc tấn công xảy ra.
- Nếu tỷ lệ này quá lớn chứng tỏ đã có sự tấn công từ bên ngoài.
- Khi có một cuộc tấn công xảy ra ta sẽ tiến hành so sánh các địa chỉ IP trong thời gian tấn công với các IP trong cơ sở dữ liệu (IP Address Database) để phát hiện ra các IP mới.
- Về cơ bản, cơ chế yêu cầu chúng ta xây dựng quy tắc để phân biệt các IP hợp lệ với các IP tấn công.
- A={a1,a2,a3,…,ax} là tập hợp các địa chỉ IP truy cập trong một cuộc tấn công DDos Như vậy sẽ có một nhóm các địa chỉ IP thường xuyên truy cập một các đều đặn.
- Khi một cuộc tấn công DDos sử dụng địa chỉ IP bất kì (random IP address), lưu lượng theo dõi trong k ngày như sau: k |S1  S2  S3.
- ni 0, h chính là giá trị trung bình tăng nhỏ nhất trong suốt cuộc tấn công.
- Trường hợp không bị tấn công giá trị của yn-1+Zn âm.
- Hàm quyết định có cuộc tấn công hay không được định nghĩa như sau: dN(yn.
- 0 nếu yn N Ở đây N là ngưỡng giới hạn cho sự phát hiện tấn công.
- Trong đó m là thời điểm bắt đầu cuộc tấn công.
- Theo nghiên cứu thuật toán CUSUM có thể chọn |a|=0.05 Trong công thức (1) chọn vị trí nhỏ nhất khi cuộc tấn công bắt đầu.
- Hình 4: Thuật toán CUSUM khí luu lượng mạng bình thường Hình 5: Tấn công với 200 địa chỉ IP mới.
- 4.1 Khái niệm Giao thức lan tỏa ngược là hệ thống phòng thủ chống lại các cuộc tấn công DDos theo phương án phản ứng lại và kết hợp nhiều vị trí.
- Giao thức ‘Lan tỏa ngược’ dựa trên 3 nguyên tắc để ngăn chặn các cuộc tấn công.
- Dùng cơ chế ‘lan tỏa ngược’ để đẩy nhiệm vụ lọc cho các router gần kẻ tấn công.
- Sử dụng một số giải thuật để nâng cao hiệu suất và chống lừa dối 4.2 Cơ chế hoạt động của giao thức lan tỏa ngược Khi nạn nhân có dấu hiệu của sự tấn công từ chối dịch vụ thì trên gateway của nạn nhân sẽ bât bộ lọc và lắng nghe các gói tin tấn công đến từ interface nào.
- Việc bật bộ lọc sẽ hủy bỏ tất cả các gói tin tấn công còn việc lắng nghe để gửi yêu cầu qua cạc mạng đó sang router hàng xóm để bật bộ lọc và lắng nghe các router liền kề sau.
- Công việc cứ tiếp tục như vậy cho đến gần nguồn tấn công nhất.
- Theo cơ hoạt động như trên thì giao thức lan tỏa ngược luôn truyền ngược lại và do quá trình lắng nghe từ các cạc mạng nên cho dù nguồn tấn công giả mạo địa chỉ IP thì luôn đến đươc gần nguồn tấn công nhất.
- Hình 6: Cơ chế hoạt động của lan tỏa ngược 4.2.1 Khởi động Khi nạn nhân phát hiện tấn công từ chối dịch vụ tiến hành gửi yêu cầu khởi động lan tỏa ngược đến gateway (Victim_GW) với tham số là địa chỉ của mình và địa chỉ của Agent (a.b.c.d).
- Thứ hai nếu kẻ tấn công có cơ chế giả mạo IP, thì ứng với mỗi 1 IP, A_GW sẽ phải tạo 1 bộ lọc khác nhau 4.4 Phát triển giao thức lan tỏa ngược Như trong phần nghiên cứu của nhóm anh Hoàng Văn Quân đã triển khai và thực thi được giao thức lan tỏa ngược.
- Trong phần phát triển giao thức lan tỏa ngược này tôi sẽ phát triển thêm phần chống lừa dối còn phần rút gọn được anh Nguyễn Thế Hùng cùng nhóm nghiên cứu về lan tỏa ngược này triển khai 4.4.1 Chống lừa dối Kẻ tấn công có thể chiếm quyền một router trên đường đi và không đặt filter như yêu cầu của router kề trước nó.
- Kẻ tấn công có thể điều khiển Agent_GW giả vờ đặt bộ lọc trong một thời gian tcheat và tcheat