Tìm hiểu về tấn công DDoS và công cụ OSSEC
VIỆN CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG ******* ◄○► ******** BÁO CÁO Quản Trị Mạng Đề tài: Tìm hiểu công DDoS công cụ OSSEC Sinh viên: Giáo viên hướng dẫn: TS Trần Hoàng Hải Hà Nội – 2014 1|Page Mục lục 2|Page I Tìm hiểu công DDOS Khái niệm • Một công từ chối dịch vụ phân tán (tấn công DDoS - Viết tắt Distributed Denial of Service) nỗ lực làm cho người dùng sử dụng tài nguyên máy tính • Tấn công từ chối dịch vụ vi phạm sách sử dụng internet IAB (Internet Architecture Board) người công hiển nhiên vi phạm luật dân Nhận diện US-CERT xác định dấu hiệu vụ cống từ chối dịch vụ • • • gồm có: Mạng thực thi chậm khác thường mở tập tin hay truy cập Website Không thể dùng website cụ thể Không thể truy cập website Tăng lượng thư rác nhận Các phương thức công • Tấn công DDoS thực theo số cách định Có năm kiểu công sau đây: 3|Page • Nhằm tiêu tốn tài nguyên tính toán băng thông, dung lượng đĩa cứng thời gian xử lý • Phá vỡ thông tin cấu thông tin định tuyến • Phá vỡ trạng thái thông tin việc tự động reset lại phiên TCP • Phá vỡ thành phần vật lý mạng máy tính • Làm tắc nghẽn thông tin liên lạc có chủ đích người dùng nạn nhân dẫn đến việc liên lạc hai bên không thông suốt Cách phòng chống Các đợt công DDoS thường phòng chống triệt để Tuy nhiên có số biện pháp phòng thủ sau: • Tối ưu hóa websites ví dụ xây dựng nhớ đệm giảm số kết nối vào CSDL • Lựa chọn nhà cung cấp hosting lưu trữ web tốt • Chống tải lại trang web có ác ý (f5 có ác ý) • Giới hạn số kết nối website thời điểm • Sử dụng công cụ phát công DDoS Ví dụ: OSSEC, 4|Page II Công cụ OSSEC OSSEC gì? Ossec hệ thống phát xâm nhập mã nguồn mở, xác HIDS(Host IDS), thực phân tích đăng nhập, kiểm tra tính toàn vẹn file, giám sát sách, phát rootkit, thời gian thực cảnh báo phản ứng tích cực Cài đặt Yêu cầu hệ thống: Phần cứng: Tùy thuộc vào quy mô hệ thống mạng mà ta chọn phần cứng cho thích hợp Tuy nhiên muốn OSSEC hoạt động cách hiệu ta cần CPU có tốc độ xử lý nhanh, nhớ lớn, bus cao dung lượng ổ cứng lớn log file OSSEC sinh nhiều lớn theo thời gian Hệ điều hành: OSSEC hỗ trợ nhiều hệ điều hành khác Windows, Ubuntu, CentOs,… 5|Page Các yêu cầu khác: Có hỗ tr ợ C, C++ để biên dịch OSSEC từ Sources code Cài đặt OSSEC server Ta cài đặt OSSEC từ Souce code gói RPM Theo kinh nghiệm nên download source code sau biên dịch để cài đặt dùng gói binary có sẵn.Vì cài đặt từ source code cấu hình OSSEC kết hợp với MySQL, ACID…Cài OSSEC dễ dàng, có nhiều tuỳ chọn phù hợ p với nhu cầu ngừơi dùng; phần quan trọng OSSEC kết hợp với nhiều database để lưu trữ Download OSSEC từ địa chỉ: http://www.ossec.net Sau download file cài đặt ta giải nén tiến hành cài đặt chọn ngôn ngữ, ta chọn en Tiếp theo, ta chọn cài đặt OSSEC server 6|Page Và ta chọn nơi lưu: Bước ta thực cấu hình.Ở bước không cần Mail nên chọn No Tất bước ta chọn yes hết trình cài đặt ta chờ khikết thúc Và trình cài đặt kết thúc 7|Page Cài đặt OSSEC agent Phần cài đặt ossec agent tiến hành cài đặt mày window Ta tải chương trình cài đặt tiến hành cài đặt bình thường chương trình khác Và giao diện cuối Bước ta qua Ossec server để lấy địa key đế connect đến ossec server có giao diện sau: 8|Page Và ta tiến hành tạo client agent đế ossec agent kết nối tới server, saukhi có key tiến hành nhập vào hộp thoại osses agnent Và trình kết nối tới server thành công 9|Page Giám sát cài đặt phần mềm máy tính có cài đặt OSSEC Agent Nguy từ việc cài đặt soft Workstation Một phần mềm cài đặt vào máy tính cốt yếu hai điều sau, thứ donhân viên máy Client tự ý cài đặt phần mềm, thứ hai máy Client lướt web có trang quảng cáo, hay trang web độc hại có chức tự cài đặt phần mềm vào máy tính truy cập vào trang web Nguy đặt soft máy client bị nhiễm mã độc có phầnmềm cài Và nguy lớn cài đặt phần mềm malware, chúng chícó thể giả mạo dịch vụ phần mềm máy cập nhật, thay vá phầnmềm bảo mật malware lại tải cài đặt lên hệ thống Và vấn đề tất yếu gặp phải mã độc :Làm chậm máy, gây lỗi máy bởicác mã độc Gây hiển thị thông báo lỗi liên tục 10 | P a g e Không thể tắt máy tính hay khởi động lại malware trì cho process nhấtđịnh hoạt động Kẻ xấu lợi dụng malware để thu thập thông tin cá nhân liệu từ máy tính “Cướp” trình duyệt, làm chuyển hướng người dùng đến site có chủ đích Lây nhiễm vào máy sử dụng máy làm vật chủ quảng bá nhiều file khác haythực công khác Gửi spam đến hộp thư người dùng Gửi email mạo danh người dùng, gây rắc rối cho người dùng hay cho công ty Cấp quyền kiểm soát hệ thống tài nguyên cho kẻ công Làm xuất công cụ Tạo biểu tượng hình desktop Chạy ngầm khó bị phát lập trình tốt Dấu hiệu nhận biết Khi chúngt a cài đặt phần mềm vào máy tính nhận biết thông qua file registry, vào đường dẫn để phát HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV es\Uninstall 11 | P a g e Thực cài đặt cấu hình để Admin phát client cài đặt phần mềm Ta sử dụng Ossec để theo dõi tình hình cài đặt phần mềm máy client Vì qua việc quản lý chặt chẽ ta nhiều thời gian để kiểm tra máy client nhân viên công ty chẳng hạn Mặc định admin cài đầy đủ ứng dụng để nhân viên hoàn thành tốt phần việc mình,nhưng nhu cầu cá nhân nên họ cài đặt vào máy phần mếm không khả dụng Admin dung ossec để theo dõi trình cài đặt nhân viên thông qua file cấu hình file win_audit ossec agent Ta vào đường dẫn để đến file win_audit : Ta tiến hành cấu hình file win_audit_rcl sau: 12 | P a g e Vì ossec có hỗ trợ sẵn cho ta rule có rule phát cài đặt phần mềm,ta việc cấu hình file win_audit sử dụng Đầu tiên ta phải cài đặt phần mềm có đuôi msi, ta cài đặt chương trình Visio có chương trình Microsoft visual C ++ 2008 có đuôi msi Và admin cần máy ossec server mở file logs kiểm tra Ta vào ossec server vàvào câu lệnh sau để xem kết từ file logs: cat /var/ossec/logs/alerts/2013/Jul/ossec-alerts-02.log 13 | P a g e Sau xem ta biết rule dùng để phát hiền phần mềm cài chình rule 18147 (level 5) Hết _ 14 | P a g e [...]... Lây nhiễm vào máy và sử dụng máy làm một vật chủ quảng bá nhiều file khác nhau haythực hiện các cuộc tấn công khác Gửi spam đi và đến hộp thư người dùng Gửi những email mạo danh người dùng, gây rắc rối cho người dùng hay cho công ty Cấp quyền kiểm soát hệ thống và tài nguyên cho kẻ tấn công Làm xuất hiện những thanh công cụ mới Tạo ra các biểu tượng mới trên màn hình desktop Chạy ngầm và khó... a g e Vì trong ossec có hỗ trợ sẵn cho ta các rule trong đó có rule phát hiện cài đặt phần mềm,ta chỉ việc cấu hình file win_audit và sử dụng thôi Đầu tiên ta phải cài đặt phần mềm có đuôi là msi, ở đây ta sẽ cài đặt chương trình Visio trong đó có chương trình Microsoft visual C ++ 2008 có đuôi là msi Và admin chỉ cần ở máy ossec server mở file logs và kiểm tra Ta vào ossec server vàvào câu lệnh sau... client của các nhân viên trong một công ty chẳng hạn Mặc định admin đã cài đầy đủ các ứng dụng để nhân viên có thể hoàn thành tốt phần việc của mình,nhưng do nhu cầu cá nhân nên họ sẽ cài đặt vào máy của mình các phần mếm không khả dụng Admin có thể dung ossec để theo dõi quá trình cài đặt của các nhân viên thông qua file cấu hình file win_audit của ossec agent Ta vào đường dẫn sao để đến file win_audit... biết Khi chúngt a cài đặt bất kì một phần mềm nào đó vào trong máy tính thì chúng ta đều có thể nhận biết thông qua file registry, và vào trong đường dẫn sao để phát hiện HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV es\Uninstall 11 | P a g e Thực hiện cài đặt và cấu hình để Admin phát hiện client cài đặt phần mềm Ta cũng có thể sử dụng Ossec để theo dõi tình hình cài đặt các phần mềm của... trình Microsoft visual C ++ 2008 có đuôi là msi Và admin chỉ cần ở máy ossec server mở file logs và kiểm tra Ta vào ossec server vàvào câu lệnh sau để xem kết quả từ file logs: cat /var /ossec/ logs/alerts/2013/Jul /ossec- alerts-02.log 13 | P a g e Sau khi xem ta cũng biết được rule dùng để phát hiền phần mềm đã được cài đó chình là rule 18147 (level 5) Hết _ 14 | P a g e ... 2|Page I Tìm hiểu công DDOS Khái niệm • Một công từ chối dịch vụ phân tán (tấn công DDoS - Viết tắt Distributed Denial of Service) nỗ lực làm cho người dùng sử dụng tài nguyên máy tính • Tấn công. .. có ác ý) • Giới hạn số kết nối website thời điểm • Sử dụng công cụ phát công DDoS Ví dụ: OSSEC, 4|Page II Công cụ OSSEC OSSEC gì? Ossec hệ thống phát xâm nhập mã nguồn mở, xác HIDS(Host IDS),... ++ 2008 có đuôi msi Và admin cần máy ossec server mở file logs kiểm tra Ta vào ossec server vàvào câu lệnh sau để xem kết từ file logs: cat /var /ossec/ logs/alerts/2013/Jul /ossec- alerts-02.log