LỜI CAM ĐOANLỜI CẢM ƠNDANH MỤC CÁC TỪ VIẾT TẮT VÀ THUẬT NGỮDANH MỤC HÌNH ẢNHLỜI MỞ ĐẦUCHƯƠNG 1: TỔNG QUAN VỀ AN NINH MẠNG11.1. Khái niệm mạng máy tính11.2. Những ưu điểm, nhược điểm của mạng máy tính21.3. Đặc trưng kỹ thuật của an ninh mạng31.4. Một số kiểu tấn công mạng máy tính hiện nay41.4.1. Tấn công bị động (Passive attack)41.4.2. Tấn công rải rác (Distributed attack)41.4.3. Tấn công nội bộ (Insider attack)51.4.4. Tấn công mật khẩu (Password attack)51.4.5. Tấn công từ chối dịch vụ (denial of service attack)51.4.6. Tấn công phá mã khóa (CompromisedKey Attack)61.4.7. Tấn công trực tiếp71.4.8. Nghe trộm81.4.9. Giả mạo địa chỉ81.4.10. Vô hiệu các chức năng của hệ thống81.4.11. Tấn công vào yếu tố con người81.5. Các biện pháp phát hiện hệ thống bị tấn công91.6. Kết luận chương 110CHƯƠNG 2: TẤN CÔNG DOSDDOS VÀ CÁC GIẢI PHÁP PHÒNG CHỐNG112.1. Tấn công từ chối dịch vụ (DoS)112.1.1. Khái niệm tấn công DoS112.1.2. Mục đích của tấn công DoS112.1.3. Dấu hiệu của tấn công DoS122.1.4. Các dạng tấn công DoS122.1.5. Cách phòng chống tấn công DoS152.2. Tấn công DDoS162.2.1. Khái niệm tấn công DDoS162.2.2. Tìm hiểu các đặc tính của tấn công DDoS.162.2.3. Khái niệm mạng Botnet172.2.4. Quy trình của một cuộc tấn công DDoS192.2.5. Phân loại các dạng tấn công DDoS hiện nay.212.2.6. Phân loại tấn công DDoS theo phương thức252.2.7.Tìm hiểu các công cụ thực hiện tấn công DDoS262.2.8. Tìm hiểu các cuộc tấn công DDoS nổi tiếng trong lịch sử272.3. Phương pháp phòng chống tấn công DDoS282.3.1. Phương pháp tối thiểu hóa lượng Agent282.3.2. Phương pháp tìm và vô hiệu hóa các Handler292.3.3. Phương pháp phát hiện sớm dấu hiệu của một cuộc tấn công292.3.4. Phương pháp làm suy giàm hoặc dừng cuộc tấn công302.3.5. Phương pháp chuyển hướng của cuộc tấn công302.3.6. Giai đoạn sau tấn công312.3.7. Xây dựng biện pháp giảm thiểu tấn công312.4. Kết luận chương 232CHƯƠNG 3: XÂY DỰNG GIẢI PHÁP PHÒNG CHỐNG TẤN CÔNG DDOS CHO WEBSITE TRƯỜNG ĐẠI HỌC TÀI NGUYÊN VÀ MÔI TRƯỜNG HÀ NỘI333.1. Khảo sát hiện trạng mạng và máy chủ của trường Đại học Tài nguyên và Môi trường Hà Nội.333.1.1. Mô hình mạng của trường333.1.2. Mô hình logic hệ thống trong vùng DMZ343.1.3. Mô tả về webserver của Trường343.2. Phân tích hiện trạng và đề xuất giải pháp chống tấn công DDoS cho Website trường Đại học Tài nguyên và Môi trường Hà Nội.353.2.1. Phân tích hiện trạng353.2.2. Xác định yêu cầu về khả năng đáp ứng truy vấn hiện tại363.3. Đề xuất giải pháp cân bằng tải cho hệ thống website363.3.1. Giới thiệu chung cho hệ thống cân bằng tải website của trường363.3.2. Sử dụng công nghệ Clustering373.3.3. Chức năng của cân bằng tải373.3.4. Ưu điểm của cân bằng tải383.3.5. Đề xuất mô hình giải pháp393.3.6. Lựa chọn giải pháp mã nguồn mở cho việc xây dựng hệ thống cân bằng tải (Pfsense)413.3.7. Xây dựng hệ thống tách biệt Website và Database453.4. Thử nghiệm và đánh giá giải pháp453.4.1. Mục tiêu thử nghiệm453.4.2. Dự kiến mô hình triển khai463.4.3. Kịch bản tấn công463.4.4. Đánh giá kết quả sau khi thử nghiệm493.5. Kết luận chương 349KẾT LUẬNDANH MỤC CÁC TÀI LIỆU THAM KHẢOPHỤ LỤC
LỜI CAM ĐOAN Em xin cam đoan công trình nghiên cứu riêng em hướng dẫn khoa học TS Trần Cảnh Dương Các nội dung nghiên cứu, kết đề tài trung thực chưa công bố hình thức trước Nếu có gian lận em xin hoàn toàn chịu trách nhiệm nội dung báo cáo mình.Mọi giúp đỡ cho việc thực luận văn cám ơn thông tin báo cáo ghi rõ nguồn gốc Hà nội, ngày 06 tháng 06 năm 2016 Người cam đoan LỜI CẢM ƠN Trong suốt trình học tập Trường Đại học Tài nguyên Môi trường Hà Nội, em thầy cô giảng dạy, giúp đỡ truyền đạt nhiều kiến thức vô quý giá Ngoài ra, em rèn luyện thân môi trường học tập đầy sáng tạo khoa học Đây trình quan trọng giúp em thành công bắt tay vào nghề nghiệp tương lai sau Em xin chân thành cảm ơn Ban giám hiệu nhà trường, Ban chủ nhiệm khoa công nghệ thông tin,các thầy cô trông Trung tâm Công nghệ Thông tin, toàn thể thầy cô tận tình giảng dạy trang bị cho em nhiều kiến thức bổ ích suốt trình học tập trường vừa qua Đây quãng thời gian vô hữu ích, giúp em trưởng thành lên nhiều chuẩn bị trường Là hành trang quan trọng thiếu công việc sau Ngoài ra, em xin gửi lời cảm ơn chân thành sâu sắc TS Trần Cảnh Dương đồng cảm ơn ThS Nguyễn Văn Hách tận tình quan tâm, giúp đỡ, theo sát hướng dẫn em suốt trình làm đồ án vừa qua Mặc dù cố gắng suốt trình thực tập làm đồ án, kinh nghiệm thực tế trình độ chuyên môn chưa nhiều nên em không tránh khỏi thiếu sót, em mong bảo, góp ý chân thành từ thầy, cô giáo tất bạn Em xin chân thành cảm ơn! Hà Nội, ngày 06 tháng 06 năm 2016 Sinh viên thực DANH MỤC CÁC TỪ VIẾT TẮT VÀ THUẬT NGỮ Tên viết tắt Tên Tiếng Anh TCP Transmission Control Protocol Tên Tiếng Việt Giao thức điều khiển truyền dẫn IP DOS DDOS DRDOS Giao thức mạng Từ chối dịch vụ Tấn công từ chối dịch vụ Tấn công từ chối dịch vụ phản xạ nhiều vùng Giao thức dành cho lỗi thống kê Hệ thống tên miền Giao thức truyền tải siêu văn Định vị Tài nguyên thống ICMP DNS HTTP URL Internet Protocol Denial of Service Distributed Denial of Service Distributed Reflection Denial of Service Internet Control Message Protocol Domain Name System HyperText Transfer Protocol Uniform Resource Locator DANH MỤC HÌNH ẢNH MỤC LỤC LỜI MỞ ĐẦU Xã hội ngày phát triển đòi hỏi người cần phải động, sáng tạo Đó lý mà công nghệ đời người quan tâm đến Ngành công nghệ thông tin giúp người phát triển theo hướng đại, truy cập thông tin cách nhanh nhất, giúp giao tiếp với tất người giới Với phát triển mạnh mẽ công nghệ thông tin ứng dụng hoạt động đời sống người, Internet không thứ phương tiện lạ lẫm mà trở thành công cụ làm việc, giải trí thông dụng hữu ích lúc, nơi Sự bùng nổ liệu đặt cho thách thức việc làm lưu trữ xử lý tất liệu Chính có nhiều phần mềm trang web xây dựng nhằm quản lí tài liệu cách nhanh gọn không cần thông qua giấy tờ.Các thông tin lưu trữ cách thuận tiện, giúp người trao đổi dễ dàng hơn.Lợi dụng điểm yếu mà có số thành phần công vào trang web để ăn cắp thông tin phá hoại thông tin Từ đó, thấy tầm quan trọng việc bảo mật thông tin Vì mà em lựa chọn đề tài làm đề tài tốt nghiệp Đề tài Nghiên cứu giải pháp an ninh quản trị mạng đề tài mới, qua trình nghiên cứu, tham khảo phạm vi đồ án em muốn tìm hiểu sâu để thuận lợi cho công việc sau Quá trình chưa hoàn thiện bước cố gắng em Em mong nhận ý kiến đóng góp Thầy (Cô) để em hoàn thiện Mục tiêu nội dung đề tài Mục tiêu: Đề tài thực nhằm mục đích tìm hiểu tổng quan an ninh mạng, ưu điểm, nhược điểm, số phương pháp công cách phòng chống nay.Tập trung nghiên cứu vai trò, phương pháp ứng dụng giải pháp an ninh quản trị mạng Với nội dung đặt ra, đồ án xây dựng theo chương sau: Chương 1: Tổng quan an ninh mạng Chương 2: Giải pháp bảo mật an ninh mạng Chương 3: Phát triển ứng dụng cho giải pháp an ninh quản trị mạng CHƯƠNG 1: TỔNG QUAN VỀ AN NINH MẠNG 1.1 Khái niệm mạng máy tính Mạng máy tính hay hệ thống mạng kết hợp máy tính lại với thông qua thiết bị nối kết mạng phương tiện truyền thông (giao thức mạng, môi trường truyền dẫn) theo cấu trúc máy tính trao đổi thông tin qua lại với Hình 1.1: Mô hình mạng máy tính Đường truyền hệ thống thiết bị truyền dẫn có dây hay không dây dùng để chuyển tín hiệu điện tử từ máy tính đến máy tính khác Các tín hiệu điện tử biểu thị giá trị liệu dạng xung nhị phân (on - off) Tất tín hiệu truyền máy tính thuộc dạng sóng điện từ Tùy theo tần số sóng điện từ dùng đường truyền vật lý khác để truyền tín hiệu Ở đường truyền kết nối dây cáp đồng trục, cáp xoắn, cáp quang, dây điện thoại, sóng vô tuyến Các đường truyền liệu tạo nên cấu trúc mạng Hai khái niệm đường truyền cấu trúc đặc trưng mạng máy tính Với trao đổi qua lại máy tính với máy tính khác phân biệt mạng máy tính với hệ thống thu phát chiều truyền hình, phát thông tin từ vệ tinh xuống trạm thu thụ động có thông tin chiều từ nơi phát đến nơi thu mà không quan tâm đến có nơi thu, có thu tốt hay không 1.2 Những ưu điểm, nhược điểm mạng máy tính Khi kết nối mạng đem lại ưu điểm sau: Tiết kiệm tài nguyên phần cứng: bạn biết số hệ thống mạng máy trạm không cần ổ cứng luôn(mạng Boot room), lần chạy load hệ điều hành máy chủ lôi mà Ngoài ra, có hệ thống mạng mà máy không cần dùng case, cần có hình chuột bàn phím làm Giảm chi phí quyền phần mềm: kết nối mạng lại sử dụng tính chia ứng dụng máy chủ server xuống cho máy trạm, máy trạm không cần cài phần mềm mà cần kết nối đến server để chạy mà Trong trường hợp bạn phải bỏ tiền mua quyền so với ban đầu Chia liệu dễ dàng: nói lý để kết nối mạng, kết nối mạng mục đích nói dùng để chia liệu cho máy hệ thống mạng Tập trung liệu, bảo mật backup dễ dàng: không sử dụng mạng liệu lưu trữ máy riêng biệt ta kết nối mạng cần lưu trữ server Các máy trạm lần muốn truy xuất liệu kết nối lên server lấy Khi tập trung việc backup bảo mật hiệu Chia sẻ internet: nói lý lý dùng để kết nối mạng đáng Các bạn thử nghĩ xem phòng Internet có 30 máy tính phải thuê 30 đường truyền Internet; quan có 50 máy tính phải thuê 50 đường truyền internet sao? Khi kết nối mạng cần đường truyền mà giải tất 10 Bên cạnh ưu điểm có hạn chế sau đây: Dễ bị tê liệt toàn hệ thống mạng: hệ thống mạng bị công dễ làm tê liệt toàn hệ thống mạng, hacker công vào máy chủ để làm tê liệt Khi máy chủ bị tê liệt lấy sức đâu mà phục vụ cho máy trạm Trình độ người quản lý: kết nối hệ thống mạng cao đến đâu đòi hỏi trình độ người quản lý phải tương ứng đến đó, để phục vụ cho việc thiết kế, cài đặt quản trị Dễ bị lây lan virus: bạn kết nối hệ thống mạng tạo đất sống rộng lớn cho virus 1.3 Đặc trưng kỹ thuật an ninh mạng Tính bảo mật (confidentiality): đặc tính tin tức không bị tiết lộ cho thực thể hay trình không ủy quyền biết không đối tượng xấu lợi dụng Thông tin cho phép thực thể ủy quyền sử dụng Kỹ thuật bảo mật thường phòng ngừa dò la thu thập, phòng ngừa xạ, tăng cường bảo mật thông tin, bảo mật vật lý Tính xác thực (authentication): kiểm tra tính hợp pháp người sử dụng Một thực thể người sử dụng, chương trình máy tính, thiết bị phần cứng Các hoạt độngkiểm tra tính xác thực đánh giá quan trọng hoạt động phương thức bảo mật Một hệ thống thông thường phải thực kiểm tra tính xác thực thực thể trước thực thể thực kết nối với hệ thống Tính chối cãi (nonrepudiation):trong trình giao lưu tin tức mạng, xác nhận tính chân thực đồng thực thể tham gia, tức tất thực thể tham gia chối bỏ phủ nhận thao tác cam kết thực Tính toàn vẹn (integrity):là đặc tính thông tin mạng chưa ủy quyền tiến hành được, tức thông tin mạng lưu giữ trình truyền dẫn đảm bảo không bị xóa bỏ, sửa đổi, giả mạo, làm dối 57 KẾT LUẬN Luận văn phân tích đặc trưng đặc điểm nhận dạng kiểu công từ chối dịch vụ phân tán (DDoS); làm rõ khác kiểu công từ chối dịch vụ từ chối dịch vụ thông thường (DoS) kiểu công từ chối dịch vụ phân tán (DDoS) Từ đó, luận văn mức độ nguy hiểm kiểu công từ chối dịch vụ phân tán Luận văn tập trung sâu vào tìm hiểu chất, cách thức hoạt động, cách thức công, kỹ thuật công tại, công cụ công từ chối dịch vụ phân tán, từ giúp hiểu rõ chất kiểu công Trên sở đó, luận văn đề xuất số biện pháp để ngăn chặn công từ chối dịch vụ phân tán Việc phát ngăn chặn công từ chối dịch vụ phân tán hoàn toàn khó khăn Muốn hạn chế đến mức thấp hậu công cá nhân, tổ chức cần phải luôn cảnh giác Một cách hữu hiệu kiểm tra tính bảo mật thông qua phần mềm mô để đánh giá mức độ bảo mật hệ thống, khả bị công, từ đưa biện pháp cải thiện, nâng cấp hệ thống Về mặt kỹ thuật, luận văn sâu nghiên cứu kỹ thuật phòng ngừa công từ chối dịch vụ DDoS thiết lập Firewall hệ thống Dựa nghiên cứu trên, phần ứng dụng, luận văn đưa giải pháp phòng chống, chịu đựng các cuộc tấn công DDoS cho Website trường Đại học Tài nguyên Môi trường Hà Nội Giải pháp thực mô phỏng, đánh giá phần mềm Pfsense Debian Đồng thời nghiên cứu và xây dựng được kiến trúc hệ thống webserver có tính khả mở, cho phép chịu đựng các cuộc tấn công DDoS Trong thời gian tới, điều kiện cho phép em đưa giải pháp vào ứng dụng thực tiễn đơn vị tiếp tục nghiên cứu, phát triển hoàn thiện toán này, củng cố thêm sở để xây dựng hệ thống ngăn chặn, chịu đựng được các cuộc tấn công DDoS số lượng lớn 58 DANH MỤC CÁC TÀI LIỆU THAM KHẢO Tiếng Việt [1] Trần Văn Dũng, Bài giảng An toàn Bảo mật thông tin: Trường Đại học Giao thông Vận tải, 2010 [2] Thái Hồng Nhị and Phạm Minh Việt, An toàn thông tin: Nhà xuất Khoa học Kỹ thuật, 2004 [3] Trịnh Nhật Tiến, Giáo trình An toàn liệu: Trường Đại học Công nghệ, Đại học Quốc gia Hà Nội, 2008 [4] Nguyễn Ngọc Tuấn, Công nghệ bảo mật World Wide Web: Nhà xuất thống kê, 2005 [5] Trần Minh Văn, Bài giảng An toàn bảo mật thông tin (bản dịch): Trường Đại học Nha trang, 2008 Tiếng Anh [6] Ben Adida, David Chau, susan Hohenberger, Ronald L rivest: Lightweight Signatures for Email, DIMACS [7] Guangsen Zhang, Manish Parashar: Cooperative mechanism against DDOS attacks, SAM 2005, pg 86-96 [8] Jae Yeon Jung, Emil sit: An empirical study of spam traffic and the use of DNS Black lists, ACM SIGCOMM Internet measurement conferences, pp 370-75 [9] Jian Yuan, Kevin Mills: Monitoring the effect of Macroscopic Effect of DDOS flooding attacks, IEEE Transactions on Dependable and Secure Computing, Volume 2, No 4, pp 324-335 [10] Saman Taghavi Zargar, James Joshi, Member and David Tippe, A Survey of Defense Mechanisms Against Distributed Denial of Service (DDoS) Flooding Attacks, IEEE Communications Surveys & Tutorials, 2013 [11] Anirudh Ramachandran, Nick Feamster: Understanding the network level behaviour of spammers, SIGCOMM 06 [12] Rajkumar, Manisha Jitendra Nene, A Survey on Latest DoS 59 Attacks:Classification and Defense Mechanisms, International Journal of Innovative Research in Computer and Communication Engineering, 2013 [13] Ralph F Wilson: SPF helps Legitimate E-mail get through spam filters, Web marketing today premium, Issue 85 [14] http://www.bkav.com.vn [15] http://cdythadong.edu.vn/ [16] https://www.owasp.org/index.php/Top_10_2013-Top_10 PHỤ LỤC: CÀI ĐẶT HỆ THỐNG CÂN BẰNG TẢI Cài đặt phần mềm pfSense USB Tạo USB cài đặt Bước 1: tải file nén memstick.img.gz trang chủ https://pfsense.org sau giải nén file cài đặt pfsense có tên file “pfsense-memstick-2.1RELEASE-amd64-20130911-1816” Bước 2: sử dụng phần mềm Win32 Disk Imager để ghi file cài đặt pfsense vào USB - Kích vào biểu tượng thư mục để tìm đến thư mục lưu giữ file cài đặt máy tính Kích vào phần Device để lựa chọn USB Kích vào Write để bắt đầu thực ghi file cài đặt vào USB Sau trình ghi file usb hoàn tất, thực tiếp việc cài đặt phần mềm proxy lên server USB vừa tạo Cài đặt phần mềm pfSesne - Bước 1: cắm USB cài đặt vào server cho server chạy chế độ boot USB để tiến hành cài đặt proxy - Bước 2: hình lên giao diện boot pfsense, ấn Enter - Bước 3: chờ server chạy lúc đến phần proxy hỏi có cài đặt phần mềm lên server hay không ấn chữ I, sau chọn “Accept these Settings” - Bước 4: chọn “Quyck/Easy Install”, chờ server cài đặt phần mềm - Bước 5: bấm N để không cấu hình Vlan giao diện - Bước 6: lựa chọn card mạng WAN LAN cho proxy (thông thường, chọn WAN card mạng em0 LANlàcard mạng em1); sau ấn y để hoàn tất việc cài đặt proxy có giao diện giống hình bên (mặc định giao diện LAN có địa IP 192.168.1.1/24) - Bước 7: sau hoàn tất cài đặt, đăng nhập vào proxy thông qua địa ip 192.168.1.1 trình duyệt web để tiến hành cấu hình thông số tính cho proxy Cấu hình chức cho hệ thống Giao diện cấu hình Cân bằng tải có cách cấu hình : - Cấu hình giao diện web: truy nhập vào địa IP LAN proxy trình duyệt web để đăng nhập vào giao diện web cấu hình proxy (username/password mặc định admin/pfsense) - Cấu hình SSH: dùng phần mềm SSH Client (ví dụ: SecureCRT, Xshell, putty…) để truy cập vào giao diện cấu hình proxy thông qua giao thức SSH, username/password đăng nhập mặc định admin/pfsense (chú ý: cần phải bật tính ssh proxy trước truy cập ssh vào proxy, xem cách bật ssh mục III.2.2.) Cấu hình thông số - Cấu hình giao thức cho giao diện web cấu hình: bắt buộc phải sử dụng giao thức mặc định HTTP (nếu sử dụng HTTPS tính logout hệ thống tác dụng) - Bật tính SSH proxy: vào System Advanced Admin Access, sau tích vào ô “Enable Secure Shell” ấn “Save” - Cấu hình Hostname, Domain, Time zone: vào System General Setup + Domain + Time zone: Asia/Ho_Chi_Minh + Sau ấn “Save” - Thay đổi tài khoản đăng nhập (mặc định admin/pfsense): vào System User Manager Users, sau kích vào biểu tượng khoản đăng nhập + Username: tên đăng nhập + Password: mật đăng nhập + Full name: tên người quản trị (option) + Sau ấn “Save” để vào giao diện thay đổi tài Cấu hình giao diện LAN WAN - Cấu hình giao diện LAN: vào Interfaces LAN Thiết lập cân bằng tải + Tích ô “Enable Interface” để bật giao diện LAN + Description: đặt tên cho giao diện + IPv4 Configuration Type: chọn “Static IPv4” để đặt IP tĩnh cho giao diện + IPv4 address: đặt địa IP subnet mask cho giao diện + Bỏ tích ô “Block private networks” ô “Block bogon networks” để proxy không chặn dải IP giao diện LAN + Sau ấn “Save” - Cấu hình giao diện WAN: vào Interfaces WAN + Tích ô “Enable Interface” để bật giao diện WAN + Description: đặt tên cho giao diện + IPv4 Configuration Type: chọn “Static IPv4” để đặt IP tĩnh cho giao diện + IPv4 address: đặt địa IP subnet mask cho giao diện + IPv4 Upstream Gateway: chọn Default Gateway (xem cấu hình mục III.2.4.1) cho giao diện WAN để proxy gửi tất lưu lượng mà nhận gateway + Bỏ tích ô “Block private networks” ô “Block bogon networks” để proxy không chặn dải IP giao diện WAN + Sau ấn “Save” Về mặt kỹ thuật, pfSense sử dụng chế load balance để chia sẻ mức độ tải định traffic qua nhiều server khác Và cách thức làm việc tỏ hữu ích trường hợp bạn sử dụng nhiều server để chứa liệu, triển khai ứng dụng Để bắt đầu, bạn chọn đường dẫn Services giao diện quản trị chính, sau Load Balancers > Monitor Nếu muốn thêm ghi mới, nhấn nút Plus, đặt tên phần Name thông tin mô tả ngắn gọn Description (trong thử nghiệm ApacheClusterMon Name Description), chuyển Type thành HTTP, gán địa IP không sử dụng vào phần Host (chúng ta khởi tạo địa IP server ảo phần tiếp theo, gán vào nhóm này), giữ nguyên HTTP Code 200 OK Sau nhấn Save để áp dụng thay đổi Việc tạo server pool Chọn thẻ Pool nhấn nút Plus, đặt tên (trong ví dụ ApacheSrvPool), thay đổi chế độ Mode thành Load Balance, thiết lập Port thành 80 (có thể thay đổi giá trị để pfSense áp dụng chế độ cân tải với ứng dụng khác hệ thống), cấu hình Monitor để giám sát, quản lý trình thiết lập tạo trước đó, đặt địa IP tất hệ thống web server cần thiết pool, sau nhấn nút Save để lưu lại thay đổi: Tiếp theo, chọn thẻ Virtual Servers nhấn nút Plus để thêm ghi Sau đó, điền tiếp thông tin phần Name, Description, gán địa IP phần IP Address giá trị chọn phía trên, thay đổi giá trị Port thành 80, đổi Virtual Server Pool thành pool khởi tạo trước Sau cùng, nhấn Submit để lưu thay đổi: Khi thực tất bước mà không gặp trở ngại có nghĩa thành công việc cấu hình pfSense với chế độ cân tải lượng traffic hệ thống web server khác Tuy nhiên, bạn cần lưu ý server không phản hồi với tình trạng 200 OK (pfSense gửi yêu cầu tới web server để xác định hệ thống có hoạt động hay không) server pool chuyển sang trạng thái offline [...]... các Handler Một nhân tố vô cùng quan trọng trong attack-network là Handler, nếu có thể phát hiện và vô hiệu hóa Handler thì khả năng Anti-DDoS thành công là rất cao Bằng cách theo dõi các giao tiếp giữa Handler và Client hay handler va Agent ta có thể phát hiện ra vị trí của Handler Do một Handler quản lý nhiều, nên triệt tiêu được một Handler cũng có nghĩa là loại bỏ một lượng đáng kể các Agent trong. .. trúc tấn công mạng kiểu Agent – Handler được mô tả như sau: Attacker Attacker Handler Handler Handler Handler Agent Agent Agent Agent Agent Victim Hình 2.6: Sơ đồ kiến trúc tấn công mạng kiểu Agent – Handler Như vậy, thông thường người tấn công (Attacker) sẽ đặt các phần mềm Handler trên một Router hay một Server có lượng lưu thông nhiều Việc này nhằm làm cho các giao tiếp giữa Client, Handler và Agent... HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices Bước 2: Cách lây lan và xây dựng tạo mạng BOTNET Sau khi trong hệ thống mạng có một máy tính bị nhiễm Agobot, nó sẽ tự động tìm kiếm các máy tính khác trong hệ thống và lây nhiễm sử dụng các lỗ hổng trong 26 tài nguyên được chia sẻ trong hệ thống mạng Chúng thường cố gắng kết nối tới các dữ liệu chia sẻ mặc định dành cho các ứng dụng quản trị (administrator or administrative),... lạc trong suốt cuộc tấn công 2.2.5 Phân loại các dạng tấn công DDoS hiện nay - Kiến trúc tổng quan của tấn công DDoS Tấn công DDoS có hai mô hình chính: mô hình Agent – Handler và mô hình IRC – Based Sơ đồ tổng quan tấn công DDoS được mô tả như hình sau: DDoS attack Agent -Handler IRC - Based Client – Handler Communication Secret/private channel Public channel TCP UDP ICMP TCP UDP ICMP Client – Handler... chương 1, em đã tập trung nghiên cứu giới thiệu về an ninh mạng cũng như ưu điểm và hạn chế khi kết nối mạng Trên thực tế hiện nay người ta đã cố gắng làm cho ưu điểm của nó ngày càng nhiều lên và hạn chế càng ngày càng ít lại Ngoài ra chúng ta còn được biết thêm một số phương pháp tấn công hiện nay và từ đó ta có thể đề ra cách phòng chống 18 CHƯƠNG 2: TẤN CÔNG DOS/DDOS VÀ CÁC GIẢI PHÁP PHÒNG CHỐNG 2.1... các đối tượng cho phép 30 Không cho phép các user không cùng channel thấy IRC name và message trên channel Tuy nhiên, nếu user ngoài channel dùng một số lệnh channel locator thì có thể biết được sự tồn tại của private channel đó Secrect channel: tương tự private channel nhưng không thể xác định bằng channel locator Sơ đồ kiến trúc tấn công mạng kiểu IRC – Base được mô tả: Attacker Attacker Agent Agent... nâng cao được độ an toàn của hệ thống bảo vệ 16 1.5 Các biện pháp phát hiện hệ thống bị tấn công Không có một hệ thống nào có thể đảm bảo an toàn tuyệt đối, mỗi một dịch vụ đều có những lỗ hổng bảo mật tiềm tàng Người quản trị hệ thống không những nghiên cứu, xác định các lỗ hổng bảo mật mà còn phải thực hiện các biện pháp kiểm tra hệ thống có dấu hiệu tấn công hay không Một số biện pháp cụ thể: Kiểm... thông mạng 32 Trong phương pháp này kẻ tấn công điều khiển mạng lưới Agent đồng loạt gửi các gói tin ICMP hay UDP đến nạn nhân làm cho băng thông mạng của nạn nhân bị quá tải và không thể phục vụ được Ví dụ như trong trường hợp ICMP flood, nạn nhân sẽ phải gửi trả lại các gói tin ICMP_REPLY tương ứng Do số lượng của Agent gửi đến nạn nhân rất lớn nên việc gửi lại các gói ICMP_REPLY dẫn đến nghẽn mạng Trong. .. multipoint đến nhiều user khác và chat thời gian thực Kiến trúc của IRC network bao gồm nhiều IRC server trên khắp internet, giao tiếp với nhau trên nhiều kênh (channel) IRC network cho phép user tạo ba loại channel: public, private và serect Public channel: cho phép user của channel đó thấy IRC name và nhận được message của mọi user khác trên cùng channel Private channel: được thiết kế để giao tiếp với các... thiểu trong hoạt động - Sự liên lạc, kết nối: Kẻ tấn công liên lạc với một vài kẻ điều khiển bất kỳ 28 nào đó để xác định trung gian đang chạy nhằm lập lịch tấn công, hoặc lên kế hoạch nâng cấp cho các kẻ trung gian này Tùy vào việc cấu trúc mạng lưới tấn công DDoS, các kẻ trung gian có thể được hướng dẫn liên lạc với một hoặc nhiều kẻ điều khiển Việc liên lạc giữa kẻ tấn công điều khiển và trung gian