1. Trang chủ
  2. » Luận Văn - Báo Cáo

Giải pháp phòng chống tấn công DDoS trên SNORT

50 1,5K 5

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 50
Dung lượng 3,79 MB

Nội dung

Ngày nay, cùng với sự gia tăng nhanh chóng của các ứng dụng trên mạng Internet đang đặt ra nhiều vấn đề về an ninh mạng trong việc phát hiện các hành vi tấn công phá hoại trên mạng có chủ định như hacker, sâu mạng, virus... Trong đó, tấn công từ chối dịch vụ (DoSDenial of Service) là một vấn nạn lớn đối với các website, kiểu tấn công này tuy cổ điển nhưng không vì thế mà mất đi tính nguy hiểm đối với hệ thống mạng. Tấn công DoS được chia thành hai loại: Tấn công từ một cá thể, hay tập hợp các cá thể (DoS) và tấn công từ một mạng máy tính được thiết kế để tấn công tới một đích cụ thể nào đó (DDoSDistributed Denial of Service). Các cuộc tấn công DDoS hiện nay diễn ra rất phức tạp với qui mô ngày càng lớn, hiện đây được xem là nguy cơ số một về an ninh mạng của các website vì khả năng chống đỡ lại nó rất ít. Những cuộc tấn công DDoS nổi tiếng trên thế giới có thể kể đến như: Năm 2008, trong cuộc chiến Nam Ossetia, cuộc tấn công DDoS hướng vào các trang web của chính phủ gây tình trạng quá tải trên nhiều máy chủ bao gồm cả trang web của tổng thống và ngân hàng quốc gia Georgia. Năm 2009, cuộc bầu cử tại Iran cũng bị tấn công DDoS vào trang web chính thức của chính phủ Iran khiến không thể truy cập được làm cản trở chính phủ. 062009, một số trang mạng xã hội như Twitter, Facebook, Google và các trang blog bị tấn công bởi DDoS làm người dùng không truy cập và cập nhật cũng khó khăn hơn. Tháng 82010, máy chủ của trung tâm ứng dụng văn phòng Ireland bị tấn công DDoS gây khó khăn cho các trường đại học và cao đẳng. Tháng 112010, trang Wikileaks.org bị tấn công DDoS ngay khi WikiLeaks chuẩn bị tung ra những tài liệu mật của chính phủ Mỹ… Mức độ ảnh hưởng nghiêm trọng của các cuộc tấn công từ chối dịch vụ, mà đặc biệt được nhắc đến nhiều nhất là tấn công từ chối dịch vụ phân tán (DDoS), đó dẫn đến một loạt các nghiên cứu nhằm hiểu rõ hơn về các cơ chế tấn công, để đưa tới các cách thức giúp có thể phòng chống ảnh hưởng tiêu cực của nó. Có nhiều phương pháp đó được đề xuất nhằm chống lại các cuộc tấn công từ chối dịch vụ, từ việc lọc các gói tin để tránh giả mạo địa chỉ nguồn, chuyển hướng tấn công, đẩy ngược luồng giao thông tấn công trở lại mạng, cách ly để phân biệt máy khách và giao thông máy chủ,…Mỗi giải pháp đó đều rất tốt, và cung cấp kĩ thuật giúp chúng ta định vị vấn đề tấn công từ chối dịch vụ. Song các phương pháp chỉ có thể bảo vệ lại từng khía cạnh của tấn công từ chối dịch vụ. Khóa luận của em trình bày tổng quan các đặc điểm của tấn công từ chối dịch vụ, các phương thức tấn công từ chối dịch vụ, đồng thời đưa ra các kịch bản mô phỏng cách thức tấn công từ chối dịch vụ; đưa ra một số kịch bản phòng thủ tấn công từ chối dịch vụ. Qua đó giúp người đọc hiểu được phần nào về tấn công từ chối dịch vụ, đồng thời có thêm nhận biết việc đang là nạn nhân của tấn công từ chối dịch vụ và đưa ra phương án phòng chống kịp thời. Khoá luận được tổ chức như sau: Chương 1: Tổng quan về tấn công từ chối dịch vụ nêu lên tầm nghiêm trọng, nhận biết cơ bản và một số ví dụ, hình ảnh cụ thể về tấn công từ chối dịch vụ. Đặc điểm cụ thể và phân loại tấn công từ chối dịch vụ, phân tích các phương thức tấn công từ chối dịch. Các phương pháp phòng chống tấn công từ chối dịch vụ đã và đang được sử dụng. Một số phương pháp cụ thể để ngăn chặn, hoặc lọc và bỏ qua tấn công từ chối dịch vụ Chương 2: Xây dựng mô hình mô phỏng và các kịch bản tấn công từ chối dịch vụ trên máy ảo và thực hiện các kịch bản tấn công. Chương 3: Thực nghiệm mô hình phòng thủ chống dựa trên phần mềm DGuard Anti DDoS Firewall và SNORT. MỞ ĐẦU 1 LỜI CẢM ƠN 3 MỤC LỤC 4 CHƯƠNG 1. TẤN CÔNG TỪ CHỐI DỊCH VỤ 6 1.1 Tấn công từ chối dịch vụ, nguy cơ và thách thức 6 1.1.1 Thực trạng và thách thức 6 1.1.2 Tấn công từ chối dịch vụ phân tán 10 1.2 Các giải pháp phòng chống tấn công DDoS 20 1.2.1 Biện pháp Pushback 20 1.2.2 Biện pháp Traceback 20 1.2.3 Biện pháp DWARD 22 1.2.4 Biện pháp NetBouncer 23 1.2.5 Biện pháp “Proof of Work” 25 1.2.6 Biện pháp DefCOM 25 1.2.7 Biện pháp COSSACK 26 1.2.8 Biện pháp Pi 27 1.2.9 Biện pháp SIFF 28 1.2.10 Biện pháp lọc đếm chặng HCF 28 CHƯƠNG 2. MÔ PHỎNG TẤN CÔNG TỪ CHỐI DỊCH VỤ 30 2.1 . Các công cụ mô phỏng tấn công 30 2.1.1 VM Ware Workstation 30 2.1.2 HOIC (Hight Orbit Ion Canon) 31 2.1.3 JAYS SHELL BOOTER 31 2.1.4 WinPcap 32 2.1.5 DGuard AntiDDos FireWall 32 2.1.6 Snort và Rules 33 2.1.7. Wire Shark 33 2.1.8 iTraffic Monitor 34 2.2. Thiết kế và cài đặt mô hình thực nghiệm 34 2.3 Mô phỏng tấn công DoS 37 2.3.1 Kịch bản 1 37 2.3.2 Kịch bản 2 40 CHƯƠNG 3. GIẢI PHÁP PHÒNG CHỐNG TẤN CÔNG DOS 42 3.1 Phòng thủ sử dụng DGuard Anti DDoS Firewall 42 3.2 Giải pháp phòng chống với SNORT 43 3.2.1 Sử dụng Snort để Sniffer Packet 43 3.2.2 Sử dụng Snort ở chế độ Network IDS 44 KẾT LUẬN 49 TÀI LIỆU THAM KHẢO 50

MỞ ĐẦU Ngày nay, với gia tăng nhanh chóng ứng dụng mạng Internet đặt nhiều vấn đề an ninh mạng việc phát hành vi công phá hoại mạng có chủ định hacker, sâu mạng, virus Trong đó, công từ chối dịch vụ (DoS-Denial of Service) vấn nạn lớn website, kiểu công "cổ điển" không mà tính nguy hiểm hệ thống mạng Tấn công DoS chia thành hai loại: Tấn công từ cá thể, hay tập hợp cá thể (DoS) công từ mạng máy tính thiết kế để công tới đích cụ thể (DDoSDistributed Denial of Service) Các công DDoS diễn phức tạp với qui mô ngày lớn, xem nguy số an ninh mạng website khả chống đỡ lại Những công DDoS tiếng giới kể đến như: Năm 2008, chiến Nam Ossetia, công DDoS hướng vào trang web phủ gây tình trạng tải nhiều máy chủ bao gồm trang web tổng thống ngân hàng quốc gia Georgia Năm 2009, bầu cử Iran bị công DDoS vào trang web thức phủ Iran khiến truy cập làm cản trở phủ 06/2009, số trang mạng xã hội Twitter, Facebook, Google trang blog bị công DDoS làm người dùng không truy cập cập nhật khó khăn Tháng 8/2010, máy chủ trung tâm ứng dụng văn phòng Ireland bị công DDoS gây khó khăn cho trường đại học cao đẳng Tháng 11/2010, trang Wikileaks.org bị công DDoS WikiLeaks chuẩn bị tung tài liệu mật phủ Mỹ… Mức độ ảnh hưởng nghiêm trọng công từ chối dịch vụ, mà đặc biệt nhắc đến nhiều công từ chối dịch vụ phân tán (DDoS), dẫn đến loạt nghiên cứu nhằm hiểu rõ chế công, để đưa tới cách thức giúp phòng chống ảnh hưởng tiêu cực Có nhiều phương pháp đề xuất nhằm chống lại công từ chối dịch vụ, từ việc lọc gói tin để tránh giả mạo địa nguồn, chuyển hướng công, đẩy ngược luồng giao thông công trở lại mạng, cách ly để phân biệt máy khách giao thông máy chủ,…Mỗi giải pháp tốt, cung cấp kĩ thuật giúp định vị vấn đề công từ chối dịch vụ Song phương pháp bảo vệ lại khía cạnh công từ chối dịch vụ Khóa luận em trình bày tổng quan đặc điểm công từ chối dịch vụ, phương thức công từ chối dịch vụ, đồng thời đưa kịch mô cách thức công từ chối dịch vụ; đưa số kịch phòng thủ công từ chối dịch vụ Qua giúp người đọc hiểu phần công từ chối dịch vụ, đồng thời có thêm nhận biết việc nạn nhân công từ chối dịch vụ đưa phương án phòng chống kịp thời Khoá luận tổ chức sau: Chương 1: Tổng quan công từ chối dịch vụ nêu lên tầm nghiêm trọng, nhận biết số ví dụ, hình ảnh cụ thể công từ chối dịch vụ Đặc điểm cụ thể phân loại công từ chối dịch vụ, phân tích phương thức công từ chối dịch Các phương pháp phòng chống công từ chối dịch vụ sử dụng Một số phương pháp cụ thể để ngăn chặn, lọc bỏ qua công từ chối dịch vụ Chương 2: Xây dựng mô hình mô kịch công từ chối dịch vụ máy ảo thực kịch công Chương 3: Thực nghiệm mô hình phòng thủ chống dựa phần mềm D-Guard Anti DDoS Firewall SNORT LỜI CẢM ƠN Em xin trân thành cảm ơn Khoa Công nghệ thông tin, Trường Đại học Hải Phòng tạo điều kiện thuận lợi cho em học tập thực đề tài Em bày tỏ biết ơn sâu sắc đến Thầy Lê Đắc Nhường người trực tiếp tận tình hướng dẫn em suốt trình thực luận văn Với bảo thầy giúp em định hướng tốt việc triển khai thực hoàn thành khóa luận tốt nghiệp Em xin trân thành cảm ơn đến Thầy Cô Khoa Công nghệ thông tin tận tình giảng dạy, trang bị kiến thức quý báu suốt khóa học vừa qua Em xin gửi lời cảm ơn tới gia đình bạn giúp đỡ, động viên em suốt trình học tập thực đề tài Mặc dù em cố gắng để thực đề tài chắn không tránh khỏi thiếu sót hạn chế, kính mong nhận giúp đỡ Thầy Cô bạn Hải Phòng , ngày 30 tháng 05 năm 2014 Sinh viên thực Lê Văn Linh MỤC LỤC MỞ ĐẦU LỜI CẢM ƠN MỤC LỤC CHƯƠNG TẤN CÔNG TỪ CHỐI DỊCH VỤ 1.1 Tấn công từ chối dịch vụ, nguy thách thức 1.1.1 Thực trạng thách thức 1.1.2 Tấn công từ chối dịch vụ phân tán 10 1.2 Các giải pháp phòng chống công DDoS 20 1.2.1 Biện pháp Pushback 20 1.2.2 Biện pháp Traceback 20 1.2.3 Biện pháp D-WARD 22 1.2.4 Biện pháp NetBouncer 23 1.2.5 Biện pháp “Proof of Work” 25 1.2.6 Biện pháp DefCOM 25 1.2.7 Biện pháp COSSACK 26 1.2.8 Biện pháp Pi 27 1.2.9 Biện pháp SIFF 28 1.2.10 Biện pháp lọc đếm chặng HCF 28 CHƯƠNG MÔ PHỎNG TẤN CÔNG TỪ CHỐI DỊCH VỤ 30 2.1 Các công cụ mô công 30 2.1.1 VM Ware Workstation 30 2.1.2 HOIC (Hight Orbit Ion Canon) 31 2.1.3 JAYS SHELL BOOTER 31 2.1.4 WinPcap 32 2.1.5 D-Guard AntiDDos FireWall 32 2.1.6 Snort Rules 33 2.1.7 Wire Shark 33 2.1.8 iTraffic Monitor 34 2.2 Thiết kế cài đặt mô hình thực nghiệm 34 2.3 Mô công DoS 37 2.3.1 Kịch 37 2.3.2 Kịch 40 CHƯƠNG GIẢI PHÁP PHÒNG CHỐNG TẤN CÔNG DOS 42 3.1 Phòng thủ sử dụng D-Guard Anti DDoS Firewall 42 3.2 Giải pháp phòng chống với SNORT 43 3.2.1 Sử dụng Snort để Sniffer Packet 43 3.2.2 Sử dụng Snort chế độ Network IDS 44 KẾT LUẬN 49 TÀI LIỆU THAM KHẢO 50 CHƯƠNG TẤN CÔNG TỪ CHỐI DỊCH VỤ Hiện công mạng đề cấp bách quan trọng vấn đề an ninh bảo mật mạng Việt Nam toàn giới Có nhiều cách công như: DoS, DDoS, SQL Injection, Virus, Worm, Backdoor,Trojan Nhưng công DoS DDoS khó phòng chống gây phiền toái khó chịu Một số công DoS tiêu biểu: - Vào ngày 7/3/2000: website yahoo.com phải ngừng phục vụ nhiều liền Đây coi công DoS - Vào ngày 15 tháng năm 2003, Microsoft chịu đợt công DoS cực mạnh làm gián đoạn websites vòng - Vào lúc 15:09 GMT ngày 27 tháng năm 2003: toàn phiên tiếng anh website Al-Jazeera bị công làm gián đoạn nhiều - Việt Nam số site bị công từ chối dịch vụ Dân trí, BKAV, Vietnamnet Hình 1 Website Bkav Dantri bị công DDoS 1.1 Tấn công từ chối dịch vụ, nguy thách thức 1.1.1 Thực trạng thách thức Ngày nay, với gia tăng nhanh chóng ứng dụng mạng Internet đặt nhiều vấn đề an ninh mạng việc phát hành vi công phá hoại mạng có chủ định hacker, sâu mạng, virus Trong đó, công từ chối dịch vụ (DoS-Denial of Service) vấn nạn lớn website, kiểu công "cổ điển" không mà tính nguy hiểm hệ thống mạng Tấn công DoS chia thành hai loại: Tấn công từ cá thể, hay tập hợp cá thể (DoS) công từ mạng máy tính thiết kế để công tới đích cụ thể (DDoS- Distributed Denial of Service) Các công DDoS diễn phức tạp với qui mô ngày lớn, xem nguy số an ninh mạng website khả chống đỡ lại Những công DDoS tiếng giới kể đến như: Năm 2008, chiến Nam Ossetia, công DDoS hướng vào trang web phủ gây tình trạng tải nhiều máy chủ bao gồm trang web tổng thống ngân hàng quốc gia Georgia Năm 2009, bầu cử Iran bị công DDoS vào trang web thức phủ Iran khiến truy cập làm cản trở phủ 06/2009, số trang mạng xã hội Twitter, Facebook, Google trang blog bị công DDoS làm người dùng không truy cập cập nhật khó khăn Tháng 8/2010, máy chủ trung tâm ứng dụng văn phòng Ireland bị công DDoS gây khó khăn cho trường đại học cao đẳng Tháng 11/2010, trang Wikileaks.org bị công DDoS WikiLeaks chuẩn bị tung tài liệu mật phủ Mỹ… Hình Số lượng đợt công nước Qúy I/2013 Prolexic Báo cáo quý I năm 2013 Prolexic số lượng đợt công DDoS nước thể Hình 1.Theo đó, số lượng đợt công DDoS nhằm vào Việt Nam chiếm 2.16% Bộ phận bảo mật Microsoft báo cáo số liệu thống kê thức Việt Nam có khoảng 300 website bị công năm 2011 2.500 năm 2012 (Đây công lớn, theo dõi ghi nhận) Tập đoàn bảo vệ bảo mật máy tính quốc tế Symantec đánh giá Việt Nam đứng thứ 11 toàn cầu nguy bị công mạng với số lượng vụ công có chủ đích gia tăng từ 77 lên đến 82 ngày Trong Quý I năm 2013, số lượng đợt công tăng 47% tổng số công DDOS, giảm 9% trung bình công băng thông, tăng 68% công vào sở hạ tầng (Lớp & 4) , giảm 21% công vào ứng dụng, giảm 50% thời gian công trung bình: 35 so với 17 giờ, tăng 133% băng thông tối đa trung bình Trong Quý IV năm 2013, , số lượng đợt công tăng 18% tổng số công DDoS, tăng 39% trung bình công băng thông, tăng 35% công vào sở hạ tầng (lớp & 4), giảm 36% công vào ứng dụng, giảm 24% thời gian công trung bình: 23 so với 17 giờ, tăng 114% băng thông tối đa trung bình So với Quý I/2013, tổng số công DDoS tăng 47% Sự gia tăng diễn bất chấp sụt giảm 21% công lớp ứng dụng, đánh dấu thay đổi tiếp tục hướng tới sở hạ tầng - phương pháp Một số các công sở hạ tầng tăng xuất chargen NTP hướng công phản xạ Hai hướng công chiếm 23% công vào sở hạ tầng giảm nhẹ Quý I năm 2014 Thời gian công trung bình giảm quý so với quý năm 2013, giảm xuống 17 so với 35 Băng thông trung bình giảm 9% quý năm 2014 so với năm trước gói liệu giây (pps) tăng 24% Thời gian gần đây, chiến dịch công DDoS Qúy I/2014 gây nhiều thiệt hại năm trước Sự khác biệt phong cách thực công: mối độc hại làm cho công DDoS xảy thường xuyên với lượng gấp hai lần năm trước Mặc dù băng thông trung bình thấp so với quý năm 2013, quý năm 2014 công thấy tỷ lệ công tối đa lớn (bps) So với quý 2013, tăng 18% tổng số công quý năm 2014 Số vụ công sở hạ tầng tăng 35%, tăng mạnh gia tăng đáng kể việc sử dụng công NTP Floods NTP floods bắt đầu tăng vào cuối quý Xu hướng tiếp tục phát triển Q1, làm cho NTP Floods kiểu công phổ biến quý Các công giảm nhẹ gần 17%, phương phápNTP Floods gần đạt mức độ sử dụng SYN Floods Attack Một thay đổi đáng ý quý tăng 39% băng thông trung bình Thống kê Prolexic cho thấy công DDoS lớn chưa giảm nhẹ, xảy quý vượt 200 Gbps Các công DDoS tiếp tục xảy thường xuyên hơn, với gia tăng định công dựa sở hạ tầng Hình Băng thông tối đa trung bình số gói cao điểm giây (Q1/2014, Q4/2013, Q1/2013) Tổng số hướng công: Trong quý đầu năm nay, công lớp sở hạ tầng đảm nhận vị trí ưu so với công lớp ứng dụng, thay đổi từ xu hướng lịch sử gần tăng 11 % so với quý trước Lớp sở hạ tầng công vector đại diện 87% công, hướng công lớp ứng dụng chiếm 13 % Xu hướng lặp lại sẵn có gia tăng tiện lợi công cụ công DDoS DDoS cho thuê trang web sử dụng phương pháp công dựa sở hạ tầng Ngoài ra, mối độc hại ngày sử dụng công DDoS dựa độ bão hòa băng thông cao, cách tận dụng yếu tố khuếch đại có sẵn có sử dụng chiến thuật phản xạ Một yếu tố khác góp phần khả họ để khởi động công DDoS mà không cần phần mềm độc hại lây nhiễm Thay vào đó, họ tận dụng Internet botnet sẵn sàng để sử dụng thiết bị mạng victimizing hợp pháp thông qua giao thức Internet thông thường Hình Hướng công quý năm 2014, quý năm 2013, quý năm 2013 Điều chứng tỏ, phát triển mạnh công nghệ lỗ hổng bảo mật lớn, nghiên cứu giải pháp bảo mật thu hút nhiều nhà nghiên cứu quan tâm thách thức 10 1.1.2 Tấn công từ chối dịch vụ phân tán 1.1.2.1 Khái niệm Tấn công từ chối dịch vụ (DoS) kiểu công mà người làm cho hệ thống sử dụng, làm cho hệ thống chậm cách đáng kể với người dùng bình thường, cách làm tải tài nguyên hệ thống Nếu kẻ công khả thâm nhập vào hệ thống, chúng cố gắng tìm cách làm cho hệ thống sụp đổ khả phục vụ người dùng bình thường công Denial of Service (DoS) Mặc dù công DoS khả truy cập vào liệ thực hệ thống làm gián đoạn dịch vụ mà hệ thống cung cấp Khi công vào hệ thống khai thác yếu hệ thống để công Hiện băng thông sử dụng máy tính trung bình khoảng 10Mbps đến 25Mbps, nhiên server có băng thông truy cập trung bình 600Mbps đến 1Gbps nên sử dụng phương thức công DoS không hiệu Vì xu hướng Attacker chuyển sang công từ chối dịch vụ phân tán Hình Mô hình công DDoS Tấn công từ chối dịch vụ phân tán (DDoS) kiểu công làm cho hệ thống máy tính hay hệ thống mạng tải, cung cấp dịch vụ phải dừng hoạt động Tấn công DDoS huy động số lượng lớn máy bị lợi dụng để công nạn nhân vào thời điểm Do DDoS có tính chất phân tán nên việc ngăn chặn khó khăn Việc ngăn chặn DDoS từ máy tính bị công mà phải kết hợp router để tiến hành phân tích chặn Do có số lượng Agent lớn bao phủ diện rộng nên việc phát gói tin công khó có khả giải triệt để DDoS Ở Agent máy trực tiếp gửi thông điệp công Trên Internet công từ chối 36 Máy ảo 03: DC08-01 – Chức Routing and Switching Hình 2.11 Máy ảo Routing and Remote Access chức ISP Cài đặt Role Routing and Switching Như isp có bảng định tuyến chứa mạng Web server, DNS server, Attacker - Bao gồm mạng 192.168.1.4 : Web server 192.168.1.3 : DNS Server 10.0.0.5 : Attacker Máy ảo 04: Win – Chức năng: Attacker Hình 2.12 Máy ảo Win Attacker - Cài số tool công dos HOIC, Jays Shell Booter Địa IP: 10.0.0.5 37 2.3 Mô công DoS 2.3.1 Kịch Giả sử máy tính window đóng vai trò kẻ công(Attacker) Sau kiểm tra website cần công lệnh ping để đảm bảo website hoạt động bình thường, Attacker sử dụng tool để công theo phương thức SYN FLOOD khiến cho server liên tục nhận gói tin SYN ACK thiết lập kết nối đồng thời khiến cho băng thông( bandwith) server tăng cao đột ngột 2.3.1.1 Các bước thực Bước 1: ping tới địa website cần công để chắn website hoạt động Hình 2.13 ping kiểm tra địa trang web Bước 2: Sử dụng tool HOIC, điền địa cần công nâng cao dung lượng gói tin lên cách tăng thread tool Hình 2.14 Sử dụng tool HOIC công DoS 38 Bước 3: Thực bắt đầu công theo dõi hậu nạn nhân Hình 2.15 Thực trạng Server bị công 2.3.1.2 Kết bị công Trước công Hình 2.16 Lưu lượng máy chủ trước công Sau công Hình 2.17 Lưu lượng máy chủ sau công 39 Tốc độ upload tối đa lên đến 23,91MB sau 2s từ lúc bắt đầu công Phương thức công Attacker sử dụng công cụ gửi gói tin ACK thiết lập kết nối cách liên tục, đồng thời gửi gói tin báo gói tin trước khiến server liên tục trả lời kết nối truy vấn đến gói tin thực trước để gửi lại Hình 2.18 Sử dụng WireShark để thấy gói tin Dung lượng hệ thống Hình 2.19 Tình trạng sử dụng CPU nhớ máy chủ Hệ thống lúc tình trạng tốn ~100% nhớ Ram tỉ lệ sử dụng CPU lên đến 100% 40 2.3.2 Kịch Tương tự kịch 1, nhiên phương thức sử dụng Attacker Land Attack Attacker sử dụng IP mục tiêu công dùng làm địa nguồn truy vấn địa loạt website thực, vừa làm cho Server tốn perform để đóng gói gửi liệu đi, đồng thời tốn perform để server nhận liệu 2.3.2.1 Các bước thực Bước 1: ping tới địa website cần công để chắn website hoạt động Hình 2.20 Ping địa victim Bước 2: Sử dụng tool Jays Shell Booter, điền địa IP website cần công vào ô Victim IP, trường hợp địa ip, ta điền tên website vào ô bên nhấn Get IP, tool truy vấn tên sang địa ip Hình 2.21 Sử dụng tool Jays Shell Booter để lệnh công 41 Bước 3: Theo dõi hậu nạn nhân Hình 2.22 Theo dõi kết máy nạn nhân 2.3.2.2 Kết bị công Tuy kịch 2, băng thông (bandwith) server không bị đầy lên, không chiếm dụng ram hay tỉ lệ sử dụng CPU người dùng(client) truy cập vào địa website gặp phải vấn đề không truy cập dược server liên tục gửi truy vấn nhiều website thật, đồng thời phải nhận nhiều phản hồi (respone) từ DNS server khiến cho người dùng thật truy cập đến bị từ chối phải xếp hàng đợi lâu nhận thông tin truy cập 42 CHƯƠNG GIẢI PHÁP PHÒNG CHỐNG TẤN CÔNG DOS 3.1 Phòng thủ sử dụng D-Guard Anti DDoS Firewall Tôi đưa giải pháp phòng thủ cách cài đặt Server triển khai dịch vụ web server cài đặt phần mềm tường lửa có tên D-Guard Anti DDos Firewall Server nhận cảnh báo công, đặt chế độ bảo vệ, đồng thời khoá IP công đến server Hình 3.1 Kết phát công với D-Guard Anti DDos Firewall D-Guard AntiDDoS FireWall nhận truy cập có dung lượng lớn, truy cập diễn liên tục đến Server Sau phân tích đưa cảnh báo bị công, đồng thời công diễn thời gian dài, D-Guard AntiDDoS FireWall đưa địa kẻ công vào vùng block chặn truy cập kẻ công lại Hình 3.1 Kết giám sát gói tin với D-Guard Anti DDos Firewall 43 3.2 Giải pháp phòng chống với SNORT 3.2.1 Sử dụng Snort để Sniffer Packet Để tiến hành sniffer cần chọn card mạng để Snort đặt vào chế độ promicous, máy tính có nhiều card sử dụng lệnh snort –W để xác định: Hình 3.3 Kiểm tra Card mạng Kết snort –W cho xác định số hiệu card mạng Vậy card mạng có số hiệu 4,chúng ta chạy lện snort –h thấy để tiến hành sniffer packet dung lệnh snort –v –ix (với x số hiệu card mạng) Hình 3.4 Kiểm soát Siffer packet 44 Để dừng tiến trình sniffing nhấn tổ hợp phím Ctrl-C, Snort trình bày tóm tắt gói tin bị bắt giữ theo giao thức UDP, ICMP… Hình 3.5 Snort bắt gói tin cần kiểm soát Như tiến hành cài đặt cấu hình Snort để tiến hành bắt giữ gói tin , xem nội dung chúng chưa biến snort thực trở thành hệ thống IDS dò tìm xâm phạm trái phép Vì hệ thống cần có quy tắc (rule) hành động cảnh báo cho quản trị hệ thống xảy trùng khớp quy tắc Phần tiến hành cấu hình để xây dựng Network IDS với Snort 3.2.2 Sử dụng Snort chế độ Network IDS Tất hành động Snort IDS hoạt động thông qua rule, cần phải tạo hay chỉnh sửa rule tạo sẵn Ở tham khảo trường hợp Đầu tiên tham khảo dòng lệnh sau để áp dụng Snort NIDS: C:\Snort\bin\snort –dev –l \snort\log –c snort.conf Trong dòng lệnh có tùy chọn –c với giá trị snort.conf Chúng ta biết snort.conf lưu trữ thư mục C:\Snort\etc chứa thông số điều khiển cấu hình Snort biến HOME-NET xác định lớp mạng, biến RULE-PATH xác định 45 đường dẫn đến nơi chứa quy tắc để Snort áp dụng Còn rule bạn tự tao rule cho download rule mạng Từ tham số gói tin, kiểu công thu thập phần mềm Wireshark, xây dựng thiết lập tập luật để phòng chống DoS DDoS Hình 3.6 Thiết lập luật Snort Tạo lập luật với IDSCenter Hình 3.7 Tạo luật với IDS Center 46 Các tập luật phòng chống DoS xây dựng sau: # -# DOS RULES # -# alert udp any 19 any (msg:"DOS UDP echo+chargen bomb"; flow:to_server; reference:cve,1999-0103; reference:cve,1999-0635; classtype:attempted-dos; sid:271; rev:9;) # alert ip $EXTERNAL_NET any -> $HOME_NET any (msg:"DOS IGMP dos attack"; fragbits:M+; ip_proto:2; reference:bugtraq,514; reference:cve,1999-0918; reference:url,www.microsoft.com/technet/security/bulletin/MS99-034.mspx; classtype:attempteddos; sid:272; rev:13;) # alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"DOS ath"; itype:8; content:"+++ath"; fast_pattern:only; reference:arachnids,264; reference:cve,1999-1228; classtype:attempted-dos; sid:274; rev:10;) # alert tcp $EXTERNAL_NET any -> $HOME_NET 7070 (msg:"DOS Real Audio Server"; flow:to_server,established; content:"|FF F4 FF FD 06|"; fast_pattern:only; reference:cve,19990271; reference:nessus,10183; classtype:attempted-dos; sid:276; rev:10;) # alert tcp $EXTERNAL_NET any -> $HOME_NET 7070 (msg:"DOS Real Server template.html"; flow:to_server,established; content:"/viewsource/template.html?"; fast_pattern:only; reference:bugtraq,1288; reference:cve,2000-0474; reference:nessus,10461; classtype:attempteddos; sid:277; rev:11;) # alert udp $EXTERNAL_NET any -> $HOME_NET (msg:"DOS Ascend Route"; flow:to_server; content:"NAMENAME"; depth:50; offset:25; reference:arachnids,262; reference:bugtraq,714; reference:cve,1999-0060; classtype:attempted-dos; sid:281; rev:9;) # alert tcp $EXTERNAL_NET any -> $HOME_NET 6004 (msg:"DOS iParty DOS attempt"; flow:to_server,established; content:"|FF FF FF FF FF FF|"; offset:0; reference:bugtraq,6844; reference:cve,1999-1566; reference:nessus,10111; classtype:misc-attack; sid:1605; rev:10;) # alert tcp $EXTERNAL_NET any -> $HOME_NET 6789:6790 (msg:"DOS DB2 dos attempt"; flow:to_server,established; dsize:1; reference:bugtraq,3010; reference:cve,2001-1143; reference:nessus,10871; classtype:denial-of-service; sid:1641; rev:13;) # alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS 80 (msg:"DOS Cisco attempt"; flow:to_server,established; dsize:1; content:"|13|"; classtype:web-application-attack; sid:1545; rev:11;) # alert tcp $EXTERNAL_NET any -> $HOME_NET 515 (msg:"DOS WIN32 TCP print service overflow attempt"; flow:to_server,established; pcre:"/^(\x03|\x04|\x05)/sm"; content:"|00|"; within:497; content:"|0A|"; within:497; reference:bugtraq,1082; reference:cve,2000-0232; reference:url, www.microsoft.com/technet/security/bulletin/MS00-021.mspx; classtype:attempted-dos; sid:3442; rev:7;) # alert udp $EXTERNAL_NET any -> $HOME_NET 646 (msg:"DOS tcpdump udp LDP print zero length message denial of service attempt"; flow:to_server; content:"|00 00|"; depth:2; offset:12; metadata:policy security-ips drop; reference:bugtraq,13389; reference:cve,2005-1279; reference:url,www.frsirt.com/english/advisories/2005/0410; classtype:attempted-dos; sid:4141; rev:4;) # alert udp $HOME_NET any -> $HOME_NET 67 (msg:"DOS ISC DHCP server client_id length denial of service attempt"; flow:to_server; content:"c|82|Sc"; content:"= "; distance:0; metadata:policy security-ips drop; reference:cve,2006-3122; reference:url,www.debian.org/security/2006/dsa-1143; classtype:attempted-dos; sid:8056; rev:3;) 47 Các tập luật phòng chống DDoS dựa tập luật DoS xây dựng sau: # -DDOS RULERS # -# alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"DDOS TFN Probe"; icmp_id:678; itype:8; content:"1234"; fast_pattern:only; reference:arachnids,443; reference:cve,2000-0138; classtype:attempted-recon; sid:221; rev:9;) # alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"DDOS tfn2k icmp possible communication"; icmp_id:0; itype:0; content:"AAAAAAAAAA"; fast_pattern:only; reference:arachnids,425; reference:cve,2000-0138; classtype:attempted-dos; sid:222; rev:7;) # alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"DDOS TFN client command BE"; icmp_id:456; icmp_seq:0; itype:0; pcre:"/^[0-9]{1,5}\x00/"; reference:arachnids,184; reference:cve,20000138; classtype:attempted-dos; sid:228; rev:8;) # alert udp $EXTERNAL_NET any -> $HOME_NET 18753 (msg:"DDOS shaft handler to agent"; flow:to_server; content:"alive tijgu"; reference:arachnids,255; reference:cve,2000-0138; classtype:attempted-dos; sid:239; rev:7;) # alert tcp $EXTERNAL_NET any -> $HOME_NET 27665 (msg:"DDOS Trin00 Attacker to Master default startup password"; flow:established,to_server; content:"betaalmostdone"; reference:arachnids,197; reference:cve,2000-0138; classtype:attempted-dos; sid:233; rev:7;) # alert icmp $HOME_NET any -> $EXTERNAL_NET any (msg:"DDOS TFN server response"; icmp_id:123; itype:0; content:"shell bound"; reference:arachnids,182; reference:cve,2000-0138; classtype:attempted-dos; sid:238; rev:11;) # alert udp $EXTERNAL_NET any -> $HOME_NET 6838 (msg:"DDOS mstream agent to handler"; flow:to_server; content:"newserver"; reference:cve,2000-0138; classtype:attempted-dos; sid:243; rev:6;) # alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"DDOS - TFN client command LE"; icmp_id:51201; icmp_seq:0; itype:0; pcre:"/^[0-9]{1,5}\x00/"; reference:arachnids,183; reference:cve,2000-0138; classtype:attempted-dos; sid:251; rev:8;) Thiết lập tham số Log Rotation cho phép backup file log Hình 3.8 Thiết lập tham số Log Rotation cho phép backup file log 48 Thiết lập cảnh báo phát Alerts Detection Hình 3.9 Thiết lập cảnh báo phát Alerts Detection Thiết lập cảnh báo thông báo Alerts Notification Hình 3.10 Thiết lập cảnh báo thông báo Alerts Notification Thiết lập cảnh báo cho người quản trị qua Email Hình 4.23 Thiết lập cảnh báo thông báo qua email 49 KẾT LUẬN Vấn đề đạt Sau thời gian nghiên cứu, thực giúp đỡ tận tình thầy cô bạn, em tìm hiểu nghiên cứu vấn đề hệ thống, nguy công từ chối dịch vụ mang đến tìm hiểu số biện pháp phát phòng chống công từ chối dịch vụ Đặc biệt xây dựng mô hình thực nghiệm công từ chối dịch vụ xây dựng mô hình phòng thủ trước công từ chối dịch vụ môi trường Window Server Hạn chế Trong phạm vi đề tài khoá luận tốt nghiệp đại học, hạn chế thời gian nghiên cứu, hạn chế kiến thức chuyên môn kinh nghiệm thực tế nên nội dung trình bày mang tính tìm hiểu thử nghiệm, chưa có đề xuất cải tiến hệ thống nên đề tài dạng tương đối Hướng phát triển đề tài Đề tài nghiên cứu tìm hiểu môi trường thử nghiệm chưa áp dụng môi trường thực tế, tương lai điều kiện cho phép em hướng phát triển đề tài để áp dụng thực tế nhiều doanh nghiệp, nhà máy, công ty sử dụng hệ thống máy chủ, từ đưa giải pháp tốt cho doanh nghiệp, nhà máy, công ty chuẩn bị sử dụng, góp phần giảm thiểu nguy tác hại từ công từ chối dịch vụ đem đến nước giới 50 TÀI LIỆU THAM KHẢO Tiếng Việt [1] CEH_lab_book_tieng_viet.pdf http://sinhvienit.net [2] Nguyễn Thúc Hải(1999), Mạng máy tính hệ thống mở, NXB Giáo dục [3] Nguyễn Phương Lan, Hoàng Đức Hải (2001), Lập trình LINUX Tiếng Anh [1] MCSA 2008, Học viện Bách Khoa BKACAD [2] MCSA 2012, Học viện Bách Khoa BKACAD [3] CEH V7, Học viện Bách Khoa BKACAD [4] CEH V8, Học viện Bách Khoa BKACAD [5] CCNA v4, Học viện Bách Khoa BKACAD

Ngày đăng: 02/09/2016, 11:25

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w