Thạc Sĩ Một số kỹ thuật lọc gói tin trong IP

iii

Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/


LỜI CẢM ƠN
Trước hết tôi xin gửi lời cảm ơn sâu sắc đến thầy hướng dẫn khoa học PGS.TS
Nguyễn Văn Tam về những chỉ dẫn khoa học, định hướng nghiên cứu và tận tình
hướng dẫn tôi trong suốt quá trình làm luận văn.
Tôi xin cảm ơn các các Thầy trong viện Công Nghệ Thông Tin, các Thầy, Cô
giáo trong trường Đại học Công Nghệ Thông Tin và Truyền Thông - Đại học Thái
Nguyên đã cung cấp cho tôi những kiến thức vô cùng quý báu và cần thiết trong suốt
thời gian học tập tại trường để tôi có thể thực hiện và hoàn thành tốt đồ án chuyên
ngành này.
Tôi xin chân cảm ơn lãnh đạo, bạn đồng nghiệp trường THPT Đồng Hỷ đã tạo
điều kiện giúp đỡ tôi trong công việc để tôi yên tâm theo học.
Cuối cùng, tôi xin cảm ơn gia đình và bạn bè, những người đã luôn ủng hộ và
động viên tôi, giúp tôi yên tâm và có tâm lý thuận lợi nhất để tôi nghiên cứu luận văn
này. Tuy nhiên do giới hạn về mặt thời gian và kiến thức nên đồ án chắc chắn sẽ
không tránh khỏi những sai sót ngoài ý muốn. Tôi rất mong nhận được sự thông cảm
và đóng góp ý kiến của các thầy cô và các bạn.
Học viên

Lưu Thị Thanh Hương iv

Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/


MỤC LỤC
LỜI CAM ĐOAN .i
LỜI CẢM ƠN iii
MỤC LỤC iv
BẢNG KÝ HIỆU CÁC TỪ VIẾT TẮT .vi
DANH MỤC CÁC HÌNH VẼ . viii
DANH MỤC BẢNG . x
MỞ ĐẦU . 1
Chương 1 3
TỔNG QUAN VỀ AN TOÀN VÀ BẢO MẬT TRONG MẠNG IP 3
1.1. Các khái niệm cơ bản 3
1.1.1. An toàn và bảo mật là gì? [11] . 3
1.1.2. Các nguy cơ gây mất an toàn [11] 4
1.2. Các kiểu tấn công mạng IP [2] . 4
1.2.1. Các kỹ thuật bắt thông tin . 4
1.2.2. Tấn công xâm nhập mạng 6
1.2.3. Tấn công từ chối dịch vụ DoS, DdoS [6] . 7
1.3. Các biện pháp bảo vệ an toàn mạng . 10
1.3.1. An toàn trung chuyển (Transit Security) 10
1.3.1.1. Các mạng riêng ảo (VPN - Virtual Private Network) [11] 10
1.3.1.2. Giải pháp mật mã thông tin (Cryptography) [2] 11
1.3.2. Giải pháp kiểm soát lưu lượng (Traffic Regulation) . 17
1.3.2.1. Giải pháp phát hiện và phòng tránh xâm nhập [3] . 17
1.3.2.2. Giải pháp kỹ thuật bức tường lửa (Firewall technology) [5] . 19
Chương 2 27 v

Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/


KỸ THUẬT LỌC GÓI TIN 27
2.1. Kỹ thuật lọc gói tin . 27
2.2. Kỹ thuật lọc gói tin tĩnh 30
2.2.1. Giải thuật lọc gói tĩnh [4] . 30
2.2.2. Lọc gói dựa trên tiêu đề TCP/UDP . 33
2.2.3. Lọc gói dựa trên tiêu đề của gói tin IP 37
2.2.4. Mặc định từ chối so với mặc định cho phép . 40
2.3. Kỹ thuật lọc gói tin động 40
2.3.1. Giải thuật lọc gói tin động [4] 41
2.3.2. Theo dõi trạng thái 43
2.3.3. Lưu giữ và kiểm tra trạng thái 46
2.3.4. Theo dõi số trình tự của TCP 46
2.3.5. Kiểm tra giao thức . 47
2.4. Sự khác nhau giữa kỹ thuật lọc gói tin tĩnh và kỹ thuật lọc gói tin động . 48
Chương 3 49
XÂY DỰNG THỬ NGHIỆM BỨC TƯỜNG LỬA . 49
3.1. Phân tích bài toán 49
3.1.1. Xây dựng chính sách lọc gói tin tĩnh 50
3.1.2. Xây dựng chính sách lọc gói tin động 51
3.2. Phân tích lựa chọn công cụ . 51
* Hoạt động xử lý gói tin IP 53
3.3. Kết quả thử nghiệm thực thi chương trình . 56
KẾT LUẬN 66
TÀI LIỆU THAM KHẢO . 67
PHỤ LỤC 68 vi

Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/




BẢNG KÝ HIỆU CÁC TỪ VIẾT TẮT
ACK Acknowledgement
AH
Authentication Header. Header xác thực được thêm vào sau header của
gói tin IP
AES Advanced Encryption Standard. Thuật toán mã hóa khối
DA Destination Address. Địa chỉ IP đích
DES Data Encryption Standard. Thuật toán mã hoá với 64 bit dữ liệu và 56 bit khoá.
DNS Domain Name System. Hệ thống tên miền
DoS Denial of Service. Tấn công từ chối dịch vụ
DDoS Distributed Denial of Service. Tấn công từ chối dịch vụ phân tán
DNAT Destination NAT
ESP Encapsulated Security Payload. Phương thức đóng gói bảo vệ dữ liệu
ICMP
Internet Control Message Protocol. Sử dụng trong giao thức IP để truyền
các thông tin điều khiển và lỗi mạng
IP Internet Protocol (IPV4). Giao thức truyền trên mạng Internet
IDS Intruction Detect System. Hệ thống phát hiện xâm nhập
IOS Intruction
IPX Internetwork packet Exchange. Giao thức mạng
LAN Local area network. Mạng cục bộ
MAC Media Access Control. Điều khiển truy cập
NAT Network Address Translation. Phương thức chuyển đổi địa chỉ.
RSA Rivest Shamir Adleman. RSA là một phương thức mã hoá công khai
SA Security Association. Địa chỉ IP nguồn
SYN Synchronous.
SNMP Simple Network Management Protocol. Tâp hợp giao thức
SMTP Simple Mail Transfer Protocol. Giao thức truyền tải thư tín
UDP User Datagram Protocol vii

Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/


OSI Open Systems Interconnection. Mô hình tham chiếu kết nối hệ thống mở
TCP Transmission Control Protocol. Giao thức điều khiển truyền vận
VPN
Virtual Private Network. Mạng riêng của một tổ chức nhưng sử dụng
đường truyền công cộng. viii

Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/


DANH MỤC CÁC HÌNH VẼ
Tên hình Trang
Chương 1
Hình 1.1. Kỹ thuật bắt gói tin thụ động 5
Hình 1.2. Kỹ thuật Sniffers chủ động 5
Hình 1.3. Kỹ thuật tấn công kiểu Smurf 7
Hình 1.4. Kỹ thuật tấn công kiểu SYN flood 8
HÌnh 1.5. Kỹ thuật tấn công DdoS 9
Hình 1.6. Kỹ thuật tấn công DDoS, các loại tấn công DDoS 9
Hình 1.7. Mạng riêng ảo 10
Hình 1.8. Sơ đồ thuật toán mã hóa 12
Hình 1.9. Vị trí của DES trên mạng 16
Hình 1.10. Bức tường Lửa 18
Hình 1.11. Firewall lọc gói 19
Hình 1.12. Tường lửa ứng dụng 21
Hình 1.13. tường lửa nhiều tầng 22
Hình 1.14. Kiến trúc máy chủ trung gian 23
Hình 1.15. Kiến trúc máy chủ sàng lọc 23
Hình 1.16. Kiến trúc mạng con sàng lọc 24
Hình 1.17. Mô hình sử dụng nhiều Bastion Host 24
Hình 1.18. Kiến trúc ghép chung Router trong và Router ngoài 25
Hình 1.19. Kiến trúc ghép chung Bastion Host và Router ngoài 25
Chương 2
Hình 2.1. Các luồng gói tin trên bức tường lửa lọc gói 27
Hình 2.2. Lưu đồ thuật toán lọc gói tin tĩnh 29
Hình 2.3a. Tiêu đề mảng tin TCP 30
Hình 2.3b. Tiêu đề mảng tin UDP 31
Hình 2.4. Các cổng trong giao thức TCP 33
Hình 2.5. Quá trình bắt tay ba bước của giao thức TCP 33 ix

Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/


Hình 2.6. Tiêu đề của gói tin IP 34
Hình 2.7. Lưu đồ thuật toán lọc gói tin động 38
Hình 2.8. Thông điệp ICMP trong gói tin IP 41
Chương 3
Hình 3.1. Sơ đồ kết nối mạng trong trường học 47
Hình 3.2. Netfiter và TPtable trong nhân Linux 49
Hình 3.3a, b. Các chính sách luật lọc gói tin tĩnh 52
Hình 3.4. Các luật lọc gói tin tĩnh được cài đặt 53
Hình 3.5a, b. Các chính sách luật lọc gói tin động 54, 55
Hình 3.6. Các luật lọc gói tin động được cài đặt 55
Hình 3.7. Các luật trong firewall được active và bắt đầu thực thi trên HT 56
Hình 3.8. Giao diện chương trình trên Quickly 58
Hình 3.9. Cấm truy cập Internet 60
Hình 3.10. Cho phép truy cập Internet 60
Hình 3.11. Luật chưa được active 61
Hình 3.12. Luật được active 61





x

Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/


DANH MỤC BẢNG

Tên bảng Trang
Bảng 2.1. Bảng dịch vụ và tương ứng với số cổng 32
Bảng 3.2. Miêu tả các target mà IPtables thường dùng 51

xi

Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/

1

Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/


MỞ ĐẦU
Trong thời kỳ bùng nổ thông tin, việc có được thông tin chính xác kịp thời là hết
sức quan trọng đối với mọi tổ chức và doanh nghiệp. Mạng máy tính đặc biệt là mạng
Internet đã giúp cho mọi người tiếp cận, trao đổi những thông tin mới nhất một cách
nhanh chóng, thuận tiện. Mạng Internet đã mang lại cho con người những lợi ích
không thể phủ nhận, Khoảng cách về địa lý ngày càng trở nên mờ dần và khái niệm
về một thế giới “phẳng” đang trở nên rõ nét. Internet không chỉ là một công cụ trao
đổi thông tin nhanh chóng tin cậy mà còn là kho thông tin vô tận, cập nhật, đa dạng
và đầy đủ nhất.
Tuy nhiên ngoài những lợi ích to lớn mạng Internet cũng có những nguy cơ
khôn lường về khả năng đánh cắp, phá hoại những tài sản thông tin là tác nhân gây
nên những hậu quả nghiêm trọng. Chính vì vậy công việc và trọng trách đặt lên vai
những người làm công nghệ thông tin trên thế giới nói chung và ở Việt Nam nói
riêng không chỉ là nghiên cứu xây dựng và phát triển nhanh chóng mạng máy tính
trong nước để mọi người có thể khai thác tiềm năng hết sức phong phú trên Internet
mà đồng thời cũng phải nghiên cứu và phục hồi được các hành vi tấn công phá hoại
trái phép trên mạng, nhằm đảm bảo được tối đa sự phát triển. Việc kiểm soát luồng
dữ liệu giữa mạng nội bộ của tổ chức và doanh nghiệp với mạng IP bên ngoài là hết
sức cần thiết, nó góp phần phòng chống các truy nhập bất hợp pháp và các tấn công
vào mạng nội bộ. Giải pháp lọc gói tin đã và đang là các công cụ hữu hiệu trong việc
bảo vệ mạng. Từ các phân tích trên, em chọn Đề tài “Một số kỹ thuật lọc gói tin trong
IP” để nghiên cứu. Mục tiêu của luận văn tập chung nghiên cứu các vấn đề sau:
Thứ nhất: Tìm hiểu và trình bày có chọn lọc về nguy cơ đe dọa an toàn mạng và
đưa ra một số giải pháp an toàn mạng.
Thứ hai: Tìm hiểu và trình bày có chọn lọc khái niệm về tường lửa và kỹ thuật
lọc gói tin, sử dụng hai kỹ thuật lọc gói tin tĩnh và lọc gói tin động.
Thứ ba: Đưa ra bài toán và xây dựng phần mềm thử nghiệm cho bài toán lọc gói
tin trong IP với bức tường lửa mã nguồn mở IPtables
Đối tượng nghiên cứu: Là mạng IP và kỹ thuật lọc gói tin
Phạm vi nghiên cứu: Giải pháp bảo vệ mạng với bài toán sử dụng kỹ thuật lọc gói tin 2

Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/


Phương pháp nghiên cứu: Nghiên cứu lý thuyết và nghiên cứu thực nghiệm
Bố cục của luận văn: Gồm phần mở đầu, ba chương nội dung, phần kết luận và
danh mục các tài liệu tham khảo.
Chương 1: Trình bày về các nguy cơ đe dọa mạng và các biện pháp bảo vệ mạng
Chương 2: Trình bày hai kỹ thuật lọc gói tin tĩnh và động
Chương 3: Giới thiệu về IPtables và đưa ra bài toán thực tế có sử dụng hai kỹ
thuật lọc gói tin. Xây dựng chương trình thử nghiệm cho bài toán sử dụng mã nguồn
mở Iptables.