Tìm hiểu về tấn công DDoS và công cụ OSSEC

Tìm hiểu về tấn công DDoS và công cụ OSSEC

VIỆN CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG

******* ◄○► ********

BÁO CÁO Quản Trị Mạng

Đề tài: Tìm hiểu về tấn công DDoS và

công cụ OSSEC

Sinh viên:

Giáo viên hướng dẫn:

TS Trần Hoàng Hải

Mục lục

I. Tìm hiểu về tấn công DDOS

1. Khái niệm

• Một cuộc tấn công từ chối dịch vụ phân tán (tấn công

DDoS - Viết tắt của Distributed Denial of Service) là một

nỗ lực làm cho những người dùng không thể sử dụng tài nguyên của một máy tính.

• Tấn công từ chối dịch vụ là sự vi phạm chính sách sử dụng internet của IAB (Internet Architecture Board) và những người tấn công hiển nhiên vi phạm luật dân sự.

2. Nhận diện

 US-CERT xác định dấu hiệu của một vụ tấn cống từ chối dịch vụ gồm có:

• Mạng thực thi chậm khác thường khi mở tập tin hay truy cập Website

• Không thể dùng một website cụ thể

• Không thể truy cập bất kỳ website nào

• Tăng lượng thư rác nhận được.

3. Các phương thức tấn công

 Tấn công DDoS có thể được thực hiện theo một số cách nhất định Có năm kiểu tấn công cơ bản sau đây:

• Nhằm tiêu tốn tài nguyên tính toán như băng thông, dung lượng đĩa cứng hoặc thời gian xử lý

• Phá vỡ các thông tin cấu hình như thông tin định tuyến

• Phá vỡ các trạng thái thông tin như việc tự động reset lại các phiên TCP.

• Phá vỡ các thành phần vật lý của mạng máy tính

• Làm tắc nghẽn thông tin liên lạc có chủ đích giữa các người dùng và nạn nhân dẫn đến việc liên lạc giữa hai bên không được thông suốt.

4. Cách phòng chống

 Các đợt tấn công DDoS thường không thể phòng chống triệt

để Tuy nhiên có 1 số biện pháp phòng thủ sau:

• Tối ưu hóa websites ví dụ xây dựng bộ nhớ đệm giảm số kết nối vào CSDL

• Lựa chọn nhà cung cấp hosting lưu trữ web tốt

• Chống tải lại trang web có ác ý (f5 có ác ý)

• Giới hạn số kết nối website tại một thời điểm

• Sử dụng các công cụ phát hiện tấn công DDoS Ví dụ:

OSSEC,

II. Công cụ OSSEC

1. OSSEC là gì?

Ossec là một hệ thống phát hiện xâm nhập mã nguồn mở, chính xác là một HIDS(Host IDS), thực hiện phân tích đăng nhập, kiểm tra tính toàn vẹn file, giám sát chính sách, phát hiện rootkit, thời gian thực cảnh báo và phản ứng tích cực.

2. Cài đặt

 Yêu cầu hệ thống:

 Phần cứng:

Tùy thuộc vào quy mô hệ thống mạng mà ta chọn phần cứng cho thích hợp Tuy nhiên muốn OSSEC hoạt động một cách hiệu quả ta sẽ cần CPU có tốc độ xử lý nhanh, bộ nhớ lớn, bus cao và dung lượng ổ cứng lớn nếu như log file do OSSEC sinh ra nhiều và lớn theo thời gian.

 Hệ điều hành:

OSSEC hỗ trợ nhiều hệ điều hành khác nhau như Windows,

Ubuntu, CentOs,….

 Các yêu cầu khác:

Có hỗ tr ợ C, C++ để biên dịch OSSEC từ Sources code

 Cài đặt OSSEC server

Ta có thể cài đặt OSSEC từ Souce code hay là các gói RPM Theo kinh nghiệm nên download source code và sau đó biên dịch để cài đặt hơn là dùng các gói binary có sẵn.Vì khi cài đặt từ source code có thể cấu hình OSSEC kết hợp với MySQL, ACID…Cài OSSEC khá dễ dàng, có nhiều tuỳ chọn phù hợ p với nhu cầu ngừơi dùng; phần quan trọng nhất của OSSEC là kết hợp với nhiều database để lưu trữ Download OSSEC từ địa chỉ:

http://www.ossec.net

Sau khi download file cài đặt về ta giải nén và tiến hành cài đặt và chọn ngôn ngữ, ta sẽ chọn en

Tiếp theo, ta sẽ chọn cài đặt OSSEC server

Và ta chọn nơi lưu:

Bước tiếp theo là ta thực hiện cấu hình.Ở bước này tôi không cần Mail nên tôi chọn No

Tất cả các bước tiếp theo ta chọn yes cho đến hết quá trình cài đặt và ta chờ cho đến khikết thúc

Và quá trình cài đặt kết thúc

 Cài đặt OSSEC agent

Phần cài đặt ossec agent sẽ tiến hành cài đặt trên mày window 8 Ta sẽ tải chương trình cài đặt về và tiến hành cài đặt bình thường như các chương trình khác Và giao diện cuối cùng như thế này

Bước tiếp theo là ta qua Ossec server để lấy địa chỉ và key đế connect đến ossec server và có giao diện như sau:

Và ta tiến hành tạo một client agent mới đế ossec agent có thể kết nối tới server, saukhi có key thì tiến hành nhập vào hộp thoại của osses agnent

Và quá trình kết nối tới server thành công

3. Giám sát cài đặt phần mềm trên máy tính có cài đặt OSSEC Agent

 Nguy cơ từ việc cài đặt các soft ở Workstation

Một phần mềm được cài đặt vào máy tính cốt yếu do hai điều sau, thứ nhất là donhân viên tại máy Client tự ý cài đặt phần mềm, thứ hai là do khi các máy Client lướt web thì có những trang quảng cáo, hay những trang web độc hại có chức năng tự cài đặt phần mềm vào máy tính chúng ta khi chúng ta truy cập vào trang web đó

Nguy cơ khi cái đặt các soft đó chính là máy client sẽ bị nhiễm mã độc có trong phầnmềm được cài Và nguy cơ lớn nhất khi cài đặt phần mềm đó là malware, chúng thậm chícó thể giả mạo cả dịch vụ phần mềm

và khi máy cập nhật, thay vì các bản vá và phầnmềm bảo mật thì malware lại được tải về và cài đặt lên hệ thống

Không thể tắt máy tính hay khởi động lại khi malware duy trì cho những



process nhấtđịnh hoạt động

Kẻ xấu lợi dụng malware để thu thập thông tin cá nhân hoặc dữ liệu từ



máy tính

“Cướp” trình duyệt, làm chuyển hướng người dùng đến những site có chủ



đích

Lây nhiễm vào máy và sử dụng máy làm một vật chủ quảng bá nhiều file



khác nhau haythực hiện các cuộc tấn công khác

Gửi spam đi và đến hộp thư người dùng



Gửi những email mạo danh người dùng, gây rắc rối cho người dùng hay



cho công ty

Cấp quyền kiểm soát hệ thống và tài nguyên cho kẻ tấn công



Làm xuất hiện những thanh công cụ mới



Tạo ra các biểu tượng mới trên màn hình desktop



Chạy ngầm và khó bị phát hiện nếu được lập trình tốt



 Dấu hiệu nhận biết

Khi chúngt a cài đặt bất kì một phần mềm nào đó vào trong máy tính thì chúng ta đều có thể nhận biết thông qua file registry, và vào trong đường dẫn sao để phát hiện

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV es\Uninstall

 Thực hiện cài đặt và cấu hình để Admin phát hiện client cài đặt phần mềm

Ta cũng có thể sử dụng Ossec để theo dõi tình hình cài đặt các phần mềm của máy client Vì qua việc này chúng ta có thể quản lý chặt chẽ hơn khi ta không có nhiều thời gian để kiểm tra các máy client của các nhân viên trong một công ty chẳng hạn Mặc định admin đã cài đầy đủ các ứng dụng để nhân viên có thể hoàn thành tốt phần việc của mình,nhưng do nhu cầu cá nhân nên họ sẽ cài đặt vào máy của mình các phần mếm không khả dụng Admin có thể dung ossec để theo dõi quá trình cài đặt của các nhân viên thông qua

file cấu hình file win_audit của ossec agent Ta vào đường dẫn sao để đến file win_audit :

Ta tiến hành cấu hình file win_audit_rcl như sau:

Vì trong ossec có hỗ trợ sẵn cho ta các rule trong đó có rule phát hiện cài đặt phần mềm,ta chỉ việc cấu hình file win_audit và sử dụng thôi Đầu tiên ta phải cài đặt phần mềm có đuôi là msi, ở đây ta sẽ cài đặt

chương trình Visio trong đó có chương trình Microsoft visual C ++ 2008

có đuôi là msi

Và admin chỉ cần ở máy ossec server mở file logs và kiểm tra Ta vào ossec server vàvào câu lệnh sau để xem kết quả từ file logs: cat

/var/ossec/logs/alerts/2013/Jul/ossec-alerts-02.log

Sau khi xem ta cũng biết được rule dùng để phát hiền phần mềm đã được

cài đó chình là rule 18147 (level 5)

Hết _