1 ỦY BAN NHÂN DÂN HIỆP HỘI AN TỒN THƠNG TIN THÀNH PHỐ HỒ CHÍ MINH VIỆT NAM SỞ KHOA HỌC VÀ CƠNG NGHỆ CHƯƠNG TRÌNH KHOA HỌC VÀ CƠNG NGHỆ CẤP THÀNH PHỐ BÁO CÁO TỔNG HỢP KẾT QUẢ NHIỆM VỤ NGHIÊN CỨU KHOA HỌC VÀ CÔNG NGHỆ Nghiên cứu xây dựng giải pháp tổng thể ngăn chặn công từ chối dịch vụ Botnet Việt Nam Cơ quan chủ trì nhiệm vụ: Hiệp Hội ATTT Việt Nam Chủ nhiệm nhiệm vụ: TS Võ Văn Khang Chủ nhiệm đề tài: TS Võ Văn Khang Thành phố Hồ Chí Minh - 2017 ỦY BAN NHÂN DÂN HIỆP HỘI AN TỒN THƠNG TIN THÀNH PHỐ HỒ CHÍ MINH VIỆT NAM SỞ KHOA HỌC VÀ CÔNG NGHỆ CHƯƠNG TRÌNH KHOA HỌC VÀ CƠNG NGHỆ CẤP THÀNH PHỐ BÁO CÁO TỔNG HỢP KẾT QUẢ NHIỆM VỤ NGHIÊN CỨU KHOA HỌC VÀ CÔNG NGHỆ Nghiên cứu xây dựng giải pháp tổng thể ngăn chặn công từ chối dịch vụ Botnet Việt Nam (Đã chỉnh sửa theo kết luận Hội đồng nghiệm thu ngày 29/06/2017) Chủ nhiệm nhiệm vụ: Võ Văn Khang Cơ quan chủ trì nhiệm vụ Ngô Vi Đồng Chủ nhiệm đề tài: TS Võ Văn phố Khang Thành Hồ Chí Minh- 2017 ỦY BAN NHÂN DÂN CỘNG HOÀ XÃ HỘI CHỦ NGHĨA THÀNH PHỐ HỒ CHÍ MINH VIỆT NAM SỞ KHOA HỌC VÀ CÔNG NGHỆ Độc lập - Tự - Hạnh phúc _ ., ngày tháng năm 200 BÁO CÁO THỐNG KÊ KẾT QUẢ THỰC HIỆN NHIỆM VỤ NGHIÊN CỨU KH&CN I THÔNG TIN CHUNG Tên nhiệm vụ: Nghiên cứu xây dựng giải pháp tổng thể ngăn chặn công từ chối dịch vụ mạng botnet Việt nam Thuộc Chương trình/lĩnh vực (tên chương trình/lĩnh vực): An Tồn Thơng Tin; Chủ nhiệm nhiệm vụ: Họ tên: Võ Văn Khang Ngày, tháng, năm sinh: 17/10/1971 Nam/ Nữ: Nam Học hàm, học vị: Tiến Sỹ Chức danh khoa học: Chức vụ: Phó Chủ Tịch Chi Hội ATTT Phía Nam Điện thoại: Tổ chức: (028) 54123400 Nhà riêng: (028) 62638886 Mobile: 0909387027 Fax: (028) (028) 54123400 E-mail: vankhang71@yahoo.com Tên tổ chức công tác: Hiệp hội ATTT Việt Nam – Chi Hội phía nam Địa tổ chức: Lầu 8, Tòa nhà Paragon số Nguyễn Lương Bằng, Q7, Tp.HCM Tổ chức chủ trì nhiệm vụ: Tên tổ chức chủ trì nhiệm vụ: Hiệp hội ATTT Việt Nam Điện thoại: (028) (028) 54123400 Fax: (028) (028) 54123400 E-mail: vnisa@vnisahcm.org.vn Website: www.vnisa.org.vn Địa chỉ: Lầu 8, Tòa nhà Paragon số Nguyễn Lương Bằng, Q7, Tp.HCM Họ tên thủ trưởng tổ chức: NGÔ VI ĐỒNG Số tài khoản: 3713.0.9078589.00000 Kho bạc: Kho Bạc NN Quận Đống Đa, Tp.HN Chủ nhiệm đề tài: TS Võ Văn Khang Tên quan chủ quản đề tài: Hiệp Hội ATTT Việt Nam II TÌNH HÌNH THỰC HIỆN Thời gian thực nhiệm vụ: - Theo Hợp đồng ký kết: từ tháng 06 / năm 2015 đến tháng 12 / năm 2016 - Thực tế thực hiện: từ tháng 06 năm 2015 đến tháng 06 /năm 2017 - Được gia hạn (nếu có): 06 tháng - Lần từ tháng 12 năm 2016 đến tháng 06 năm 2017 Kinh phí sử dụng kinh phí: a) Tổng số kinh phí thực hiện: 1.764,640 tr.đ, đó: + Kính phí hỗ trợ từ ngân sách khoa học: 1.764,640 tr.đ + Kinh phí từ nguồn khác: Khơng có b) Tình hình cấp sử dụng kinh phí từ nguồn ngân sách khoa học: Số TT Theo kế hoạch Thời gian Kinh phí (Tháng, năm) (Tr.đ) 15/06/2015 885 28/09/2016 715 05/12/2017 164.640 Thực tế đạt Thời gian Kinh phí (Tháng, năm) (Tr.đ) 15/06/2015 885 28/09/2016 715 05/12//2017 164.640 Ghi (Số đề nghị toán) 885 Triệu 715 164.640 c) Kết sử dụng kinh phí theo khoản chi: Đối với đề tài: Đơn vị tính: Triệu đồng Số TT Nội dung khoản chi Theo kế hoạch Tổng Trả công lao 1.650 động (khoa học, phổ thông) Nguyên, vật liệu, lượng Thiết bị, máy móc Xây dựng, sửa chữa nhỏ Chi khác 114,640 Tổng cộng 1.764,640 NSKH 1.650 Thực tế đạt Nguồn khác Tổng NSKH 1.650 1.650 Nguồn khác 0 0 0 0 0 0 0 0 114,640 1.764,640 Cá nhân tham gia thực nhiệm vụ: Chủ nhiệm đề tài: TS Võ Văn Khang 0 114,640 1.764,640 114,640 1.764,640 0 (Người tham gia thực đề tài thuộc tổ chức chủ trì quan phối hợp, không 10 người kể chủ nhiệm) Số TT Tên cá nhân đăng ký theo Thuyết minh Tên cá nhân tham gia thực ThS Trần Đắc Tốt ThS Nguyễn Văn Tiến Th.S Dương Hiển Vinh Th.S Võ Minh Thành CN Trần Nam Hưng CN Phạm Chung Chính X Th.S Buì Huy Hùng X NCS Nguyễn Minh Tiệp CN Lê Thanh Tuấn X 10 TS Võ Văn Khang X Nội dung tham gia Sản phẩm chủ yếu đạt Ghi chú* X - Lý thay đổi ( có): Các thành viên đại diện ký HĐ với Chủ nhiệm đề tài ký lại với thành viên tham gia khác Tình hình tổ chức hội thảo, hội nghị: Theo kế hoạch Thực tế đạt Số (Nội dung, thời gian, kinh phí, (Nội dung, thời gian, kinh phí, TT địa điểm ) địa điểm ) Hội Thảo “Phòng Chống Tấn Hội Thảo “Phịng Chống Tấn cơng từ chối dịch vụ” Ghi chú* công từ chối dịch vụ” ngày 11/09/2015 Tóm tắt nội dung, cơng việc chủ yếu: (Nêu mục 15 thuyết minh, không bao gồm: Hội thảo khoa học, điều tra khảo sát nước nước ngồi) Số TT Các nội dung, cơng việc chủ yếu (Các mốc đánh giá chủ yếu) Các Chuyên Đề liên quan đến lực truyền dẫn Việt Nam QTSC Thời gian (Bắt đầu, kết thúc - tháng … năm) Theo kế Thực tế đạt hoạch 6/2017 Chủ nhiệm đề tài: TS Võ Văn Khang 6/2017 Người, quan thực - Ts Võ Văn Khang - Ths Trần Đăc Tốt; Các Chuyên đề liên quan đến 6/2017 Malware Botnet công cụ phần mềm mô Các chuyên đề giải pháp liên 6/2017 quan đến phòng chống DDOS 6/2017 - Ts Võ Văn Khang - Ths Bùi Hữu Hùng 6/2017 - Ths Dương Hiển Vinh - CN Lê Thanh Tuấn III SẢN PHẨM KH&CN CỦA NHIỆM VỤ Sản phẩm KH&CN tạo ra: a) Sản phẩm Dạng I: Số TT Tên sản phẩm tiêu chất lượng chủ yếu Báo cáo trạng hạ tầng Internet QTSC Cổng Thông Tin Điện Tử Tp.HCM Báo cáo nghiên cứu Botnet trạng lây nhiễm Việt Nam Báo cáo nghiên cứu công từ chối dịch vụ phân tán sử dụng Botnet (DDOS) Đơn vị đo Số lượng Theo kế hoạch Thực tế đạt BC 6/2017 6/2017 BC 6/2017 6/2017 BC 6/2017 6/2017 b) Sản phẩm Dạng II: Số TT Tên sản phẩm Bộ công cụ mô mạng Botnet có lực phát động cơng DDOS (Bot-MDos) Giải pháp phịng chống công từ chối dịch vụ sử dụng Botnet Yêu cầu khoa học cần đạt Ghi Theo kế hoạch Thực tế đạt ❖ Mô mạng Botnet với Đạt tất khả phát động công yêu DDoS với tính năng: cầu • Payload có khả cập nhật lệnh thơng qua C&C; • Phát động cơng Flooding; • Phát động u cầu cơng vào liệu lớn; ❖ Có khả phân tích để Đạt phát truy cập từ tất Bots với độ xác 80% yêu cầu tổ hợp phương pháp: • Captcha Chủ nhiệm đề tài: TS Võ Văn Khang • Java http Challenges/Responses • Deep Learning Đánh giá hiệu nhiệm vụ mang lại: a) Hiệu khoa học công nghệ: - Kết nghiên cứu làm rõ thành phần cấu sản phẩm thương mại lĩnh vực phòng chống công từ chối dịch vụ F5, Radware hay Arbor - Một số tính kỹ thuật hệ thống kỹ thuật nhóm đề tài xây dựng đạt sản phẩm thương mại nêu Đặc biệt hạ tầng Internet Việt Nam HCM b) Hiệu kinh tế xã hội: - Nắm rõ điểm mạnh, điểm yếu hạ tầng Inetrnet Tp.HCM lực phòng chống Internet; - Hệ thống đạt triển khai dễ dàng cho đơn vị với giá thành thấp nhiều so với sản phẩm thương mại Tình hình thực chế độ báo cáo, kiểm tra nhiệm vụ: Số TT Nội dung Thời gian thực 1Báo cáo giám định lần 03/06/2016 I INghiệm thu sở 30/05/2017 INghiệm thu cuối kỳ 29/6/2017 II III Chủ nhiệm đề tài (Họ tên, chữ ký) Chủ nhiệm đề tài: TS Võ Văn Khang Ghi (Tóm tắt kết quả, kết luận chính, người chủ trì…) TS Lê Quốc Cường chủ trì, kết đạt bám sát tiến độ đăng ký TS Trịnh Ngọc Minh chủ trì, nhóm đề tài hồn thành nội dung đăng ký, hồn chỉnh hình thức bố cục báo cáo tổng hợp TS Lê Quốc Cường chủ trì, Nhóm đề tài hoàn thành nội dung đăng ký Thủ trưởng tổ chức chủ trì (Họ tên, chữ ký đóng dấu) MỤC LỤC PHẦN I THƠNG TIN CHUNG VỀ ĐỀ TÀI PHẦN II BÁO CÁO KẾT QUẢ NGHIÊN CỨU 12 CHƯƠNG 1: HIỆN TRẠNG NĂNG LỰC HẠ TẦNG INTERNET VIỆT NAM VÀ QTSC 12 1.1 Hiện trạng lực hạ tầng Internet Việt Nam 12 1.1.1 Hạ tầng kết nối 12 1.1.2 Hạ tầng dịch vụ phân giải tên miền DNS (.vn) 14 1.2 Hiện trạng ứng dụng CNTT cho quan nhà nước Tp.HCM 18 1.3 Cấu trúc mạng trạng lực truyền dẫn QTSC 22 1.4 Đánh giá lực xử lý công từ chối dịch vụ QTSC 23 1.4.1 QTSC chưa có hệ thống DR (Diaster Recovery) 23 1.4.2 Hệ thống phân giải tên miền DNS servers QTSC 24 1.4.3 Dung lượng cổng đầu vào nhỏ 24 CHƯƠNG 2: TỔNG QUAN VỀ BOTNET 27 2.1 Giới thiệu Botnet 27 2.1.1 Botnet 27 2.1.2 Vòng đời bot-client 28 2.1.3 Lịch sử phát triển botnet 30 2.1.4 Lợi ích kinh tế trái phép botnet 33 2.2 Các mơ hình kết nối Botnet 34 2.2.1 Mơ hình kết nối hình 34 2.2.2 Mô hình kết nối nhiều máy chủ 34 2.2.3 Mơ hình kết nối phân cấp hình 36 2.2.4 Mơ hình kết nối ngẫu nhiên 37 2.3 Phân loại botnet 38 2.3.1 IRC bot 38 2.3.2 HTTP bot 38 2.3.3 P2P bot 39 2.3.4 DNS bot 39 2.4 Các khả Botnet Chủ nhiệm đề tài: TS Võ Văn Khang 39 2.4.1 Tự lây nhiễm 39 2.4.2 Tấn công làm từ chối dịch vụ DDOS 40 2.4.3 Cài đặt phần mềm quảng cáo, gián điệp, gian lận số truy cập 41 2.4.4 Phát tán thư rác lừa đảo trực tuyến 42 2.4.5 Lưu trữ phân phối tài sản sở hữu trí tuệ không hợp lệ bị đánh cắp…… 44 2.4.6 Tấn cơng địi tiền chuộc (Ransomware) 45 2.4.7 Khai thác liệu (datamining) 45 2.4.8 Báo cáo kết công 45 2.4.9 Xóa dấu vết bỏ rơi bot-client 45 2.5 Các Botnet thông dụng 45 2.5.1 SDBot 47 2.5.2 RBot 51 2.5.3 AgoBot 56 2.5.4 Spybot 60 2.5.5 Mytob 65 CHƯƠNG 3: BOTNET VÀ HIỆN TRẠNG LÂY NHIỄM TẠI VIỆT NAM 68 3.1 Nguyên tắc lây nhiễm trì hoạt động mạng Botnet 68 3.1.1 Lây nhiễm qua virus, trojan, rootkit 68 3.1.2 Lây nhiễm qua thư điện tử, chương trình chat, mạng xã hội 68 3.1.3 Lây nhiễm qua máy chủ chia phần mềm, phim ảnh miễn phí 68 3.1.4 Lây nhiễm qua lỗ hổng 68 3.1.5 Hoạt động mạng Botnet 68 3.2 Nguyên tắc quản lý điều khiển mạng Botnet 69 3.2.1 Cách truyền thống 69 3.2.2 Thuật toán tạo tên miền ngẫu nhiên (DGA) 70 3.3 Tình hình Botnet Việt Nam 72 3.4 Các phương pháp nhận diện phòng chống botnet 76 CHƯƠNG 4: NGHIÊN CỨU VỀ DDOS SỬ DỤNG BOTNET 78 4.1 Các loại hình công DDOS 4.1.1 Tấn công DDoS trực tiếp 80 Chủ nhiệm đề tài: TS Võ Văn Khang 78 10 4.1.2 Tấn công DDoS gián tiếp 81 4.2 Phân loại công DDoS 82 4.2.1 Dựa phương pháp công 82 4.2.2 Dựa mức độ tự động 83 4.2.3 Dựa giao thức mạng 83 4.2.4 Dựa phương thức giao tiếp 84 4.2.5 Dựa cường độ công 84 4.2.6 Dựa việc khai thác lỗ hổng an ninh 85 4.3 Các kỹ thuật công từ chối dịch vụ 86 4.3.1 Bandwidth attacks 86 4.3.2 Service request floods 87 4.3.3 Syn flooding attacks 88 4.3.4 ICMP flood attacks 89 4.3.5 Peer to Peer attacks 91 4.3.6 Permanent Denial of Service attacks 91 4.3.7 Application level flood attacks 92 4.3.8 Cơ chế công đa giai đoạn chế đa xử lý malware 93 4.3.8.1 Quét chữ ký liệu 94 4.3.8.2 Quét chữ ký hành vi(behavior signature scanning) 94 4.3.9 Tấn công đa giai đoạn Malware 94 4.3.10 Cơ chế đa xử lý Malware 95 4.4 Một số công cụ công DDoS dựa vào Botnet 4.4.1 Công cụ dựa vào Agent (Agent – based DDoS Attack Tools) 97 4.4.2 Công cụ dựa vào IRC (IRC – based DDoS Attack Tools) 97 4.4.3 Công cụ dựa Web (Web – based DDoS Attack Tools) 97 4.5 Thực tiễn cơng DDOS Việt Nam 102 CHƯƠNG 5: MƠ PHỎNG BOTNET 107 5.1 Tổng quan chế công đa giai đoạn 107 Chủ nhiệm đề tài: TS Võ Văn Khang 96 320 hưởng khơng cơng huấn luyện mơ hình máy học để phân lớp Kết thử nghiệm tập liệu rút gọn công bố 95% (cho kịch bản) [1][22] Do số lượng mẫu tập liệu rút gọn tương đối ít, có kịch 1, 2, 13 có 4000 mẫu, nên không chọn sử dụng tập liệu rút gọn để huấn luyện thử nghiệm mơ hình CNN để phát botnet Kịch Số mẫu Số mẫu bình thường botnet Tổng số mẫu (flow) CTU-1 3233 3233 6466 CTU-2 2374 2374 4748 CTU-3 19 19 38 CTU-4 2 CTU-5 159 159 318 CTU-6 27 27 54 CTU-7 49 49 98 CTU-8 53 53 106 CTU-9 3803 3803 7606 CTU-10 71 71 142 CTU-11 10 10 20 CTU-12 428 428 856 CTU-13 3803 3803 7606 Bảng Số lượng mẫu CTU-13 rút gọn Với tập CTU-13 đầy đủ, sử dụng thử nghiệm với tập đặc trưng sau: tập đặc trưng Argus bản, tập đặc trưng Argus mở rộng, tập đặc trưng Tranalyzer (dựa theo khuyến nghị [22]) Bảng 5, Bảng Bảng trình bày kết thử nghiệm tập liệu CTU-13 (bản đầy đủ) với tập đặc trưng Để tránh việc phụ thuộc vào liệu huấn luyện khảo sát khả hệ thống thích nghi với nhiều tình khác nhau, sử dụng phương pháp k-fold với số lượng phần (fold) 10 Với giá trị K số lượng chu kỳ giai đoạn biến đổi đặc trưng, xem xét cấu hình khác mơ hình CNN theo kiến trúc khảo Chủ nhiệm đề tài: TS Võ Văn Khang 321 sát Mỗi cấu hình cụ thể tương ứng với tham số gồm: (1) số lượng filter filter bank kích thước filter chu kỳ; (2) số lượng đoạn flow liên tiếp d dùng Với cấu hình, chúng tơi huấn luyện 9/10 số lượng mẫu, sử dụng 1/10 số lượng mẫu để kiểm chứng Độ xác cấu hình tốt mà chúng tơi tìm cho giá trị K - số lượng chu kỳ- thể Bảng Qua kết thử nghiệm thấy giai đoạn biểu diễn đặc trưng có chu kỳ (K = hay K = 2) để rút trích đặc trưng việc nhận biết botnet chưa thật tốt Tuy nhiên, tăng số lượng chu kỳ lên, kết nhận biết botnet cải thiện (với K = hay K = 4) Chúng không tiếp tục xét với giá trị K  lúc cấu trúc neural network tương đối phức tạp, độ xác cải thiện không đáng kể so với việc chi phí tính tốn cao có nguy rơi vào tượng khớp Ngoài ra, kết thực nghiệm cho thấy tập đặc trưng Argus mở rộng có khuynh hướng cho kết tốt tập đặc trưng Argus bản, có kết tốt tương đương với tập đặc trưng Tranalyzer Điều phù hợp với nhận xét thử nghiệm phân lớp truyền thống (C4.5, SVM) tập liệu CTU-13 rút gọn ([22]) Bình thường FP FN DR R TNR R CNN đề xuất 85.8 14 87.9 12 (K=1) % 2% % 1% CNN đề xuất 87.5 12 89.1 10 (K =2) % 5% % 9% CNN đề xuất 92.3 7.7 90.3 9.7 (K =3) % % % % CNN đề xuất 91.7 8.3 90.6 9.4 (K =4) % % % % CNN đề xuất 90.4 9.6 92.6 7.4 (K =5) % % % % Bảng Kết thử nghiệm CTU-13 (bộ đầy đủ) sử dụng liệu Botnet đầu vào tập đặc trưng Argus Bình thường Botnet F DR Chủ nhiệm đề tài: TS Võ Văn Khang PR F TNR NR 322 CNN đề xuất (K=1) 86.4% 3.6% CNN đề xuất (K =2) CNN đề xuất 93.1% CNN đề xuất (K =4) 92.6% CNN đề xuất (K =5) % 87.9% (K =3) 89.5 92.8% Bảng Kết thử nghiệm 10 5% 88.7 11 2.1% % 3% 92.4 9% % 6% 91.8 4% % 2% 92.1 2% % 9% CTU-13 (bộ đầy đủ) sử dụng liệu đầu vào tập đặc trưng Argus mở rộng Botnet F DR PR 85.9% 4.1% CNN đề xuất (K=1) CNN đề xuất (K =2) 87.8% 2.2% 93.2% 8% CNN đề xuất (K =3) CNN đề xuất (K =4) 92.4% 6% CNN đề xuất (K =5) 91.3% 7% Bình thường TN FN R R 88.7 11 % 3% 89.2 10 % 8% 91.7 8.3 % % 92.5 7.5 % % 91.9 8.1 % % Bảng Kết thử nghiệm CTU-13 (bộ đầy đủ) sử dụng liệu đầu vào tập đặc trưng Tranalyzer Việc thử nghiệm tập CTU-13 với 13 kịch loại botnet khác cho thấy tiềm sử dụng giải pháp phân lớp máy học ứng dụng convolutional neural network với nhiều lớp ẩn Chúng tiến hành thử nghiệm với nhiều cấu hình cụ thể khác nhóm convolutional neural network có kiến trúc gần giống để chọn cấu hình phù hợp, có khả phát với tỉ lệ xác cao flow botnet Khi áp dụng vào thực tế, cần thu thập đủ liệu (với khối lượng đủ nhiều) flow thực tế, đặc biệt flow botnet nhiều loại botnet khác để huấn luyện mơ hình convolutional neural network sử dụng cho phù hợp với thực tế Việc thu Chủ nhiệm đề tài: TS Võ Văn Khang 323 thập đủ liệu đa dạng loại botnet thách thức, hầu hết traffic flow bình thường, có traffic flow dạng botnet thường người quản trị hay người nghiên cứu chủ động giả lập để tạo với số loại botnet chọn Do đó, tương tự với nghiên cứu ứng dụng lĩnh vực khác thị giác máy tính, xử lý ngơn ngữ tự nhiên, giải pháp dùng máy học đặc biệt dùng mô hình deep learning cần phải sử dụng liệu đủ nhiều để huấn luyện Chính vậy, việc chúng tơi thử nghiệm tập CTU-13 với cấu hình khác convolutional neural network để đánh giá tiềm dùng deep learning với convolutional neural network vào toán phát botnet Đây giải pháp tiềm sử dụng tương lai với khối lượng flow botnet ghi nhận đủ nhiều đa dạng Trên thực tế, giai đoạn tại, chọn sử dụng giải pháp truyền thống đủ hiệu an toàn captcha hay challenge để phát botnet QUY TRÌNH PHẢN ỨNG ĐỐI PHĨ TẤN CƠNG DDOS Tấn cơng từ chối dịch vụ DDOS loại cơng khó phịng thủ, có mức độ quy mơ lớn DDOS làm tê liệt phần tồn mạng doanh nghiệp, chí Quốc Gia Thực tiễn chứng minh công Việt Nam thơi gian qua phức tập việc đối phó với cơng lớn địi hỏi phải có phối hợp nhiều đơn vị bao gồm: Các quan quản lý nhà nước (Các Bộ, ngành CERT) • Khi nhận thơng tin cần có đạo tập trung từ quan quản lý nhà nước, việc đạo sớm thống tập hợp đầy đủ nguồn lực thông tin, việc định dễ dàng đồng Không có tham gia quan quản lý nhà nước, việc ứng cứu xảy hỗ loạn dẫn đến hậu khôn lường Việt nam nước có mơ hình CERT quan ứng cứu khẩn cấp máy tính Nơi thu thập thơng tin có giải pháp ban đầu Thực tế VN cho thấy VNCERT nhiều hạn chế kỹ thuật tài nguyên kinh nghiệm thực tiễn Việc xây dựng quy trình phối hợp kỹ lưỡng cần thiết, đặc biệt sau cố cụm cảng hàng không Vietnamairline hay vụ công DDoS từ hệ thống IP Camera Chủ nhiệm đề tài: TS Võ Văn Khang 324 Các ISP tham gia gián tiếp trực tiếp đến đối tượng bị cơng; • Khi bị cơng DDoS vai trị ISP quan trọng Việc tiến hành cô lập luồng liệu nghi vấn, ngăn chặn kết nối đến C&C servers đóng vai trị định đến phát tán hiệu hệ thống botnets Một tính chất quan trọng Botnets khả điều khiển thích nghi chúng trước biện pháp phòng chống tức thời nạn nhân hay đơn vi phòng vệ Các bots điều khiển thay đổi kịch từ xa Việc cắt đứt liên lạc bots với Master hay C&C servers hạn chế kịp thời biến thể kịch công Tạo điều kiện để phục hồi phân tích phịng chống Ngồi ISP đơn vị đầu việc hỗ trợ doanh nghiệp liên quan đến tăng băng thông đường truyền, cung cấp dịch vụ CDN Áp dụng khẩn trương phương pháp liên quan đến BGP Flow Spec để hạn chế tức thời sức mạnh công DDoS với quy mô lớn Các đơn vị cung cấp giải pháp cơng nghệ • Các đơn vị cung cấp giải pháp nguồn lực hữu hiệu việc huy động phòng chống DDoS Khi công chuẩn bị xảy hay xảy ra, cảnh báo, thơng tin tình báo thu thập chia sẻ thông qua kênh feed news quan trọng Nó cho phép đơn vị nạn nhân hồn tồn lường trước có biện pháp phịng thủ kịp thời Trong thực tiễn xảy Việt Nam hãng cơng ty cịn đơn vị hỗ trợ kỹ thuật giải pháp Chia sẻ kinh nghiệm thực tiễn hay nhân cao cấp Một số cơng ty cịn cử cán t heo sát hỗ trợ nạn nhân Việc huy động sức mạnh tập thể phát huy hiệu tốt nhiều trường hợp Các đơn vị cá nhân chuyên gia tham gia phân tích, ứng cứu • Đội ngũ chun gia ln đối tượng trưng dụng sử dụng diễn tập xảy công thực tế Thông tin trước công mạng botnets cập nhật từ chuyên gia người sử dụng khác mà không thiết từ hệ thống nạn nhân thực tế Tập hợp chuyên gia người sử dụng thực tế nguyên tắc tạo nên mạng HoneyPot tồn dân Chính chun gia người có thơng tin liên quan đến mã độc, cập nhật danh sách C&C link ẩn sử dụng công Botnets Các thông tin cập nhật liên tục cho ISP để tiến hành Chủ nhiệm đề tài: TS Võ Văn Khang 325 ngăn chặn Routers hệ thống firewall Việc trưng dụng chuyên gia có kinh nghiệm giải phần việc thiếu hụt nhân lực tức thời giai đoạn xảy công Các chuyên gia cơng ty giải pháp có người phát triển công cụ nhằm phát tiêu diệt bots, làm giảm áp lực công DDOS Các đơn vị truyền thơng • Đây nhân tố quan trọng góp phần để rút ngắn thời gian thực thi biện pháp kỹ thuật phi kỹ thuật từ nhà chuyên môn đến người sử dụng Khi sử dụng mạng botnets Zombie cài cắm cách bí mật máy tính huy động, bot có giá trị định đó, huy động phần lộ diện bị tiêu diệt Các phương tiện truyền thông phương tiện hữu hiệu để giúp tiêu diệt mạng bots làm thiệt hại giảm áp lực công Về mặt chuyên mơn cơng DDoS có sử dụng Botnet thực nhiệm vụ nhận từ C&C Servers Các kịch xem xét thử nghiệm trước Master nghiên cứu chuẩn bị thời gian dài Việc huy động tất nguồn lực giúp ích nhiều việc chống lại cơng quy mơ lớn mà hay vài thành phần xã hội thông thể làm Một Quy trình hồn chỉnh địi hỏi thể đầy đủ trình thám phân tích thơng tin đến, việc triển khai biện pháp cụ thể q trình diễn cơng Có phân cơng rõ ràng xác định rõ kịch xảy thực tế Một ví dụ quy trình sử lý DDoS xây dựng vào cuối năm 2013 Tp.HCM (phụ lục 1), quy trình áp dụng nhiên nói Quy trình cịn cần bổ sung thêm số cấu phần phân tích nêu Chủ nhiệm đề tài: TS Võ Văn Khang 326 TÀI LIỆU THAM KHẢO [1] F Haddadi, D L Cong, L Porter, and A N Zincir-Heywood, “On the effectiveness of different botnet detection approaches,” in ISPEC, 2015 [2] F Haddadi and A N Zincir-Heywood, “Benchmarking the effect of flow exporters and protocol filters on botnet traffic classification,” IEEE Systems journal, 2014 [3] “Snort,” https://www.snort.org/ [4] G Gu, P Porras, V Yegneswaran, M Fong, and W Lee, “Bothunter: detecting malware infection through ids-driven dialog correlation,” in 16th USENIX Security Symposium on USENIX Security Symposium, 2007 [5] S Garcia, “Malware capture facility project, cvut university– ctu-13 data set” http://mcfp.weebly.com/the-ctu-13-dataset-a-labeled-datasetwith-botnet-normal-andackground-traffic.html, 2011 [6] P Wurzinger, L Bilge, T Holz, J Goebel, C Kruegel, and E Kirda, “Automatically generating models for botnet detection,” in 14th European conference on research in computer security (ESORICS), 2009 [7] Z B Celik, J Raghuram, G Kesidis, and D J Miller, “Salting public traces with attack traffic to test flow classifiers,” in Cyber Security Experimentation and Test (CSET), 2011 [8] K Wang, C Huang, S Lin, and Y Lin, “A fuzzy pattern-based filtering algorithm for botnet detection,” Computer Networks, vol 55, pp 3275–3286, 2011 [9] D Zhao, I Traore, A Ghorbani, B Sayed, S Saad, and W Lu, “Peerto-peer botnet detection based on flow intervals,” in IFIP international information security and privacy, 2012 [10] E Alpaydin, Introduction to Machine Learning MIT Press, 2004 [11] A Mohaisen and O Alrawi, “Unveiling zeus,” in IW3C2, 2013 [12] A Makanju, A N Zincir-Heywood, and E Milios, “Robust learning intrusion detection for dos attacks on wireless networks,” Intelligent Data Analysis, vol 15, p 801823, 2011 Chủ nhiệm đề tài: TS Võ Văn Khang 327 [13] F Haddadi and A N Zincir-Heywood, “Botnet detection system analysis on the effect of botnet evolution and feature representation,” in Gecco comp., 2015 [14] “Tranalyzer,” http://tranalyzer.com/ [15] “Argus,” http://qosient.com/argus/ [16] “Wireless and secure networks research lab,” http://wisnet.seecs.nust.edu.pk/index.php [17] S Garcia, “Malware capture facility project, cvut university,” https://agents.fel.cvut.cz/malware-capture-facility, February 2013 [18] Weka, http://www.cs.waikato.ac.nz/ml/weka/ [19] R Perdisci, I Corona, D Dagon, and W Lee, “Detecting malicious flux service networks through passive analysis of recursive dns traces,” in ACSAC, 2009 [20] "An empirical comparison of botnet detection methods" Sebastian Garcia, Martin Grill, Honza Stiborek and Alejandro Zunino Computers and Security Journal, Elsevier 2014 Vol 45, pp 100-123 http://dx.doi.org/10.1016/j.cose.2014.05.011 [21] The CTU-13 dataset A Labeled Dataset with Botnet, Normal and Background Traffic http://mcfp.weebly.com/the-ctu-13-dataset-a-labeled-dataset-withbotnet-normal-and-background-traffic.html [22] Fariba Haddadi, Duong-Tien Phan, A Nur Zincir-Heywood, “How to Choose from Different Botnet Detection Systems?”, NOMS 2016 - 2016 IEEE/IFIP Network Operations and Management Symposium [23] Maji [Online] Available: http://research.wand.net.nz/software/maji.php [24] YAF [Online] Available: http://tools.netsa.cert.org/yaf/index.html [25] Softflowd [Online] Available:http://www.mindrot.org/projects/softflowd [26] Tranalyzer [Online] Available: http://tranalyzer.com/ [27] Netmate [Online] Available: http://ipmeasurement.org/index.phpoption=com_content&view=article&id=10&Itemid =9 [28] http://www.netcraftsmen.com/bgp-flowspec-step-forward-ddos-mitigation/ ; [29] SCHUTIJSER, C J T M Comparing DDoS Mitigation Techniques 2016 [ http://referaat.cs.utwente.nl/conference/24/paper/7526/comparing-ddos-mitigation- techniques.pdf ] ; Chủ nhiệm đề tài: TS Võ Văn Khang 328 [30] https://tools.ietf.org/html/rfc5575 Chủ nhiệm đề tài: TS Võ Văn Khang 329 PHỤ LỤC UỶ BAN NHÂN DÂN TP.HỒ CHÍ MINH CỘNG HỒ XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự - Hạnh phúc TP Hồ Chí Minh, ngày 05 tháng 08 năm 2013 KỊCH BẢN CHỐNG DOS/DDOS ĐỐI VỚI CÁC TRANG THÔNG TIN ĐIỆN TỬ I Giả định Một số trang thông tin điện tử đơn vị Sở/Ban/Ngành hosting QTSC bị công DoS/DDoS với lưu lượng lớn II Công tác chuẩn bị Danh sách đơn vị cần liên hệ: - Bộ phận kỹ thuật QTSC - ISPs cung cấp đường truyền: VDC2, FPT, VNPT-G, VTN, Viettel, SPT (lưu NOC) - Các nhà cung cấp thiết bị chống DoS, phân tích bảo mật hệ thống: Việt Net, Trend Micro, Misoft, HPT - Các chuyên gia ứng cứu TP Tài nguyên: - RAM, CPU cho server - Đường truyền dự phòng - Phòng làm việc, máy tính đường truyền kết nối với hệ thống Cityweb cho chuyên gia ứng cứu (Phòng Supporting) Tài liêu vận hành hệ thống: - Sơ đồ hệ thống - Danh sách IP Chủ nhiệm đề tài: TS Võ Văn Khang Bước Nội dung thực Bộ phận/Đơn vị xử lý 330 Giám sát thông báo công DoS/DDoS xảy Thông báo phận đơn vị liên quan NOC thấy tượng DoS/DDoS xảy ra: - Sở TT&TT TP: Phòng CNTT: Võ Minh Thành ĐT: 0918804410 Email: vmthanh.stttt@tphcm.gov.vn PGĐ: Võ Thị Chung Trinh ĐT: 090 8191799 Email: vothichungtrinh@tphcm.gov.vn - TT TT&TT TP GĐ: Lý Minh Tuân ĐT: 090 8105249Email: lmtuan.stttt@tphcm.gov.vn - Lãnh đạo TT VT-TH – QTSC Phó TT: Trần Hồng Nam ĐT: 0908154177 Email: nam@qtsc.com.vn PGĐ: Trần Hữu Dũng ĐT: 0903324779 Email: dung@qtsc.com.vn - Bộ phận kỹ thuật QTSC - Đơn vị quản lý website bị cơng Phân tích log hệ thống để xác định nguồn công, phạm vi hình thức cơng Phân tích log Router gateway công cụ Bộ phận kỹ thuật giám sát lưu lượng PRTG để xác định nguồn IP Network hướng cơng Phân tích log Firewall để xác định nguồn IP hình thức cơng Phân tích log system, dịch vụ tài Bộ phận kỹ thuật Security Bộ phận kỹ thuật nguyên server hosting website bị công để System Chủ nhiệm đề tài: TS Võ Văn Khang 331 xác định tình trạng hoạt động hệ thống dịch vụ Thực biện pháp ngăn chặn Xử lý nội QTSC 3.1 Tạo route router gateway để định Bộ phận kỹ thuật tuyến nguồn công vào NULL0 nhằm giảm Network lưu lượng công vào website Yêu cầu ISP chặn (null-route) domain/IP máy chủ C&C, dãi IP tham gia DDoS để block nguồn IP công ngăn chặn lưu lượng cơng vào website Thực cấu hình Firewall ngoài: Bộ phận kỹ thuật - Tạo rule Firewall ngồi để ngăn nguồn IP Security cơng - Tăng số lượng connections limit lên tối đa 700.000 để chịu cơng DDoS nhiều (cân đối tổng connections limit hệ thống VSX 1.200.000) - Bật signatures lên quan đến cơng tầng Network Thực số sách chống DoS WAF để hạn chế công trì dịch vụ: - Khi tổng số request vượt 500 vòng 10s IP, action ngăn chặn block session - Khi tổng số request có mã lỗi trả 400,403,405, 500,501,503 vượt 150 vòng 5s, action ngăn chặn block session - Khi tổng số request vượt 999 vòng 60s thời gian hồi đáp vượt 9999ms, action ngăn chặn block session Tăng tài nguyên CPU, RAM cho server hosting website bị công (nếu tải) chi tải máy chủ nhằm trì dịch vụ Chủ nhiệm đề tài: TS Võ Văn Khang Bộ phận System 332 Thực biện pháp kỹ thuật tối ưu đáp ứng trang web Xử lý mở rộng công cịn xãy 3.2 Liên hệ với ISP có lưu lượng cống DoS để mở rộng băng thông Bộ phận kỹ thuật Network Liên hệ với ISP (VDC, FPT) triển khai Bộ phận System giải pháp CDN để giảm lưu lượng vào server Tạo hệ thống server dự phịng thay lập hệ thống để phân tích vấn đề xãy Liên hệ với chuyên gia ứng cứu tham gia phân tích tìm biện pháp xử lý: Lãnh đạo Cty, Sở TT&TT, Đội ứng cứu - Truy tìm máy chủ C&C, truy tìm mã độc hacker phát tán - Phân tích mẫu mã độc viết cơng cụ diệt mã độc - Theo dõi cập nhật mẫu mã độc Khôi phục lại trạng thái ban đầu công chấm dứt Tiếp tục thep dõi giám sát để xác định tình NOC trạng công khôi phục trạng thái ban đầu chấm dứt Gửi email thông báo cho ISP có nguồn Bộ phận Security IP cơng để thơng báo, yêu cầu họ ngăn chặn xử lý hành vi công Liên hệ với đơn vị an ninh quốc gia (nếu Bộ phận Security IP thuộc Viet Nam) để yêu cầu điều tra người Lãnh đạo công ty thực xử lý theo phát luật QTSC Thực biện pháp phòng ngừa Lập tài liệu q trình cơng khắc phục, thảo luận rút kinh nghiệm thực điều chỉnh NOC Chủ nhiệm đề tài: TS Võ Văn Khang Bộ phận kỹ thuật, 333 kế hoạch/kịch phòng thủ phù hợp KỊCH BẢN CHỐNG DOS/DDOS ĐỐI VỚI CÁC TRANG THÔNG TIN ĐIỆN TỬ III Giả định Một số trang thông tin điện tử đơn vị Sở/Ban/Ngành hosting QTSC bị công DoS/DDoS với lưu lượng lớn IV Công tác chuẩn bị Danh sách đơn vị cần liên hệ: - Bộ phận kỹ thuật QTSC - ISPs cung cấp đường truyền: VDC2, FPT, VNPT-G, VTN, Viettel, SPT (lưu NOC) - Các nhà cung cấp thiết bị chống DoS, phân tích bảo mật hệ thống: Việt Net, Trend Micro, Misoft, HPT - Các chuyên gia ứng cứu TP Tài nguyên: - RAM, CPU cho server - Đường truyền dự phịng - Phịng làm việc, máy tính đường truyền kết nối với hệ thống Cityweb cho chuyên gia ứng cứu (Phòng Supporting) Tài liêu vận hành hệ thống: V - Sơ đồ hệ thống - Danh sách IP Các bước xử lý VI Công tác thông tin báo cáo STT Nội dung công việc Thời gian Bộ phận thực Báo cáo điện thoại cho lãnh đạo 30 phút/lần NOC, Bộ phận kỹ thuật QTSC tình hình cố xử lý vấn đề Báo cáo điện thoại cho lãnh đạo Sở 30 phút/lần Lãnh đạo TT TT&TT TT CNTT tình hình cố xử lý vấn đề Báo cáo điện thoại cho lãnh đạo TP lần/ngày tình hình cố xử lý vấn đề Chủ nhiệm đề tài: TS Võ Văn Khang Lãnh đạo Sở TT&TT Lãnh đạo QTSC 334 Báo cáo chi tiết tình hình, bước xử lý ngày/lần tình trạng cố email cho lãnh đạo QTSC, TT.CNTT, Sở TT&TT, Thành phố Chủ nhiệm đề tài: TS Võ Văn Khang NOC, Bộ phận kỹ thuật