1. Trang chủ
  2. » Kinh Doanh - Tiếp Thị

Đề tài Tìm hiểu về DDoS và cách phòng chống

19 255 0
Đề tài Tìm hiểu về DDoS và cách phòng chống

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

Thông tin tài liệu

Header Page of 113 TRƯỜNG ĐẠI HỌC SƯ PHẠM HÀ NỘI KHOA CÔNG NGHỆ THÔNG TIN BÀI TẬP LỚN Môn: MẠNG MÁY TÍNH Tìm hiểu DDOS cách phòng chống Giáo viên hướng dẫn : Nguyễn Thế Lộc Sinh viên thực : Nguyễn Gia Thế Lớp : K59B Hà Nội, 10/2011 Footer Page of 113 Header Page of 113 I Lịch sử công DDoS Mục tiêu Các công II Định nghĩa công DoS Mục tiêu công DoS Mục tiêu kẻ công thường sử dụng công DoS III Các dạng công Nhận dạng kiểu công DDoS Các đặc tính công DDoS Các phương pháp công 3.1 Tấn công Smurf 3.2 Tấn công Buffer Overflow 3.3 Tấn công Ping of Death 3.4 Tấn công teardrop 3.5 Tấn công SYN IV Mạng BOT NET Ý nghĩa mạng BOT Mạng BOT Mạng Botnet Mục đích sử dụng mạng Botnets Các dạng mạng BOT Các bước xây dựng mạng Botnet V Phòng chống DDoS Phòng chống DDoS 1.1 Tối thiểu hóa lượng Agent 1.2 Tìm vô hiệu hóa Handler 1.3 Phát dấu hiệu công 1.4 Làm suy giảm ngừng công 1.5 Chuyển hướng công 1.6 Sau công Kết luận Nguyễn Gia Thế K59B – CNTT ĐHSP HN Footer Page of 113 1|Page Header Page of 113 I Lịch sử công DDOS Mục tiêu - Mục tiêu công thường vào trang web lớn tổ chức thương mại điện tử Internet trở nên tải Người dung gặp khó khắn, hay chí truy nhập vào trang web, dịch vụ Các công - Ngày 7/3/2000, yahoo.com phải ngưng phục vụ hàng tram triệu user toàn giới nhiều liên Vài sau, Yahoo tìm nguyên nhân gây nên tình trạng này, họ phải gánh chịu đợt công DDoS với quy mô vài ngàn máy tính liên tục gửi hàng triệu request đến server dịch vụ làm server phục vụ user thông thường khác - Vài ngày sau, kiện tương tự diễn có phần “ồn ào” nạn nhân hang tin CNN, amazon.com, buy.com, Zdnet.com E-trade.com, Ebay.com Tất nạn nhân gã khổng lồ Internet thuộc nhiều lĩnh vực khác Theo Yankke Group, tổng thiệt hại công lên đến 1,2 triệu USD, nhưng không đáng kể mát long tin khách hàng, uy tín công ti tính - Làm đảo lộn dứ tính, thủ phạm cậu bé 15 tuổi người Canada, với nick name “mafiaboy” Lại kẻ thiên tài bẩm sinh Kenvin Mitnick xuất hiện? Không Marfiaboy tìm tòi download số công cụ hacker Cậu dung công cụ DDoS có tên TrinOO để gây rac công kiểu DDoS khủng khiếp - Vào 15/8/2003, Microsoft chịu đợt công DDoS cực mạnh làm gián đoạn website vòng - Vào lúc 15:09 GMT ngày 27/3/2003 toàn phiên tiếng anh website AI-Jazeera bị công làm gián đoạna nhiều II Định nghĩa công DoS - Tấn công DoS kiểu công vô nguy hiểm, để hiểu cần phải nắm rõ định nghĩa công DoS dạng công DoS Nguyễn Gia Thế K59B – CNTT ĐHSP HN Footer Page of 113 2|Page Header Page of 113 - Tấn công DoS kiểu công mà người làm cho hệ thống sử dụng, làm cho hệ thốn chậm cách đáng kể với người dùng bình thường, cách làm tải tài nguyên hệ thống - Nếu kẻ công khả thâm nhập vào hệ thống, chúng cố gắng tìm cách làm cho hệ thống sụp đổ khả phục vụ người dùng bình thường công Denial of Service (DoS) Mặc dù công khả thâm nhập vào liệu thực hệ thống làm gián đoạn cách dịch vụ mà hệ thống cung cấp Như định nghĩa DoS công vào hệ thống khai thác yếu hệ thống để công, mục đích công DoS Các mục đích công DoS - Cố gắng chiếm băng thông mạng làm hệ thống mạng bị ngập (flood), hệ thống mạng khả đáp ứng yêu cầu dịch vụ khác cho người dùng bình thường - Cố gắng ngắt kết nối hai máy, ngăn chặn trình truy cập vào dịch vụ - Cố gắng ngăn chặn người dùng cụ thể vào dịch vụ - Có gắng ngăn chặn dịch vụ người khác có khả truy cập vào - Khi công DoS xảy người dùng có cảm giác truy cập vào dịch vụ bị: • Disable Network – Tắt mạng • Disable Organization – Tổ chức không hoạt động • Financial Loss – Tài bị Mục tiêu mà kẻ công thường sử dụng công DoS Tấn công DoS xảy kẻ công sử dụng hết tài nguyên hệ thống hệ thống đáp ứng cho người dùng bình thường tài nguyên chúng thường sử dụng công gì: - Tạo khan hiếm, giới hạn không đổi tài nguyên Nguyễn Gia Thế K59B – CNTT ĐHSP HN Footer Page of 113 3|Page Header Page of 113 - Băng thông hệ thông mạng (Network Bandwidth), nhớ, CPU Time hay cấu trúc liệu mục tiêu công DoS - Tấn công vào hệ thống khác phục vụ cho máy tính như: Hệ thống điều hòa, hệ thống điện, hệ thóng làm mát nhiều tài nguyên khác doanh nghiệp - Phá hủy hay đổi thông tin cấu hình - Phá hủy tầng vật lý thiết bị mạng nguồn điện, điều hòa,… III Các dạng công Tấn công Denical of Service chia làm hai loại công: - Tấn công DoS: Tấn công từ cá thể, hay tập hợp cá thể - Tấn công DDoS: Đây công từ mạng máy tính thiết kế để công tới mục đích cụ thể Nhận dạng DDoS Đây chìa khóa quan trọng cho việc hình thành biện pháp khắc phục tình trạng trì trệ DDoS tạo tạo điều kiện cho người dùng thực có hội sử dụng dịch vụ Mỗi dạng DDoS có dấu hiệu đặc tính khác việc nhận diện DDoS điều kiện quan trọng đứng sau việc gia tăng băng thông tài nguyên Băng thông tài nguyên luôn có giới hạn định việc nhận dạng DDoS giúp cản lọc tách rời chúng cách hữu hiệu Các đặc tính công DDoS - Nó công từ hệ thống máy tính cực lớn Internet, thường dựa vào dịch vụ có sẵn máy tính mạng Botnet - Các dịch vụ công điều khiển từ “Primary Victim” máy tính bị chiếm quyền sử dụng mạng Bot sử dụng để công thường gọi “secondary victims” - Là dạng công khó phát công sinh từ nhiều địa IP khác Internet - Nếu địa IP công công ty, chặn Firewall Nếu từ 30.000 địa IP khác, điều vô khó khăn Nguyễn Gia Thế K59B – CNTT ĐHSP HN Footer Page of 113 4|Page Header Page of 113 Các phương pháp công Tấn công từ chối dịch vụ thực theo số định Có năm kiểu công sau: - Nhằm tiêu tốn tài nguyên tính toàn băng thông, dung lượng đĩa cứng thời gian xử lý - Phá vỡ thông tin cấu thồn tin định tuyến - Phá vỡ trạng thái thông tin việc tự động reset lại phiên TCP - Phá vỡ thành phần vật lý mạng máy tính - Làm tắc nghẽn thông tin liên lạc có chủ đích người dùng nạn nhân đến việc liên lạc hai bên không thông suốt Một việc công từ chối dịch vụ bao gồm thực thi Malware nhằm: - Làm tải lực xử lý, dẫn đến hệ thống thực thi công việc khác - Những lỗi tức Microcode máy tính - Những lỗi gọi thức chuỗi thị, dẫn đến máy tính rời vào trạng thái hoạt động không ổn định bị - Những lỗi khai thác hệ điều hành dẫn đến việc thiếu thốn tài nguyên - Gây Grash hệ thống - Tấn công từ chối dịch vụ iFame: trang HTML gọi đến trang web với nhiều yêu cầu nhiều lần băng thông trang web bị tải 3.1 Tấn công Smurf - Là thủ phạm sinh nhiều giao tiếp ICMP (ping) tới địa Broadcast nhiều mạng với địa nguồn mục tiêu cần công Khi ping đến địa trình hai chiều – Khi máy A ping tới máy B máy B reply lại hoàn tất trình Khi ping tới địa Braodcast mạng toàn máy tình mạng Reply lại Thay đổi địa nguồn Nguyễn Gia Thế K59B – CNTT ĐHSP HN Footer Page of 113 5|Page Header Page of 113 máy C ping tới địa Broadcast của mạng đó, toàn máy tính mạng Reply lại vào máy C công Smurf - Kết đích công phải chịu nhận đợt Reply gói ICMP cực lớn làm cho mạng bị dớt bị chậm lại khả đáp ứng dịch vụ khác - Quá trình khuyếch đại có luông ping reply từ mạng kết nối với (mạng BOT) - Tấn công Fraggle, chúng sử dụng UDP echo tương tự công Smurf Tấn công DoS – dạng công Smurt sử dụng gói ICMP làm ngập giao tiếp khác 3.2 Tấn công Buffer overflow - Buffer Overflow xảy điểm có chương trình ghi lượng thông tin lớn dụng lượng nhớ đệm tring nhớ - Kẻ công ghi đè lên liệu điều khiển chương trình đánh cắp quyền điều khiển số chương trình nhằm thực thi đoạn mã nguy hiểm - Các lỗi trần đệm làm cho tiến trình bị đổ vỡ cho kết sai Các lỗi kích hoạt liệu vào thiết đặc biệt để thực thi Nguyễn Gia Thế K59B – CNTT ĐHSP HN Footer Page of 113 6|Page Header Page of 113 đoạn mã phá hoại để làm cho chương trình hoạt động không mong đợi Bằng cách lỗi tràn đệm gây nhiều lỗ hổng bảo bật phần mềm tạo sở cho nhiều thủ thuật khai thác 3.3 Tấn công Ping of Death - Kẻ công gửi gói tin IP lớn số lượng bytes cho phép IP 65.536 bytes - Quá trình chia nhỏ gói tin IP thành phần nhỏ thực layer II - Quá trình chia nhỏ thực với gói IP lớn 65.536 bytes Nhưng hệ điều hành nhận biết độ lớn gói tin bị khởi động lại, hay đơn giản bị gián đoạn giao tiếp Nguyễn Gia Thế K59B – CNTT ĐHSP HN Footer Page of 113 7|Page Header Page of 113 3.4 Tấn công Teardrop - Gói tin IP lớn đến Router bị chia thành nhiều phần nhỏ - Kẻ công dử dụng gói IP với thông số khó hiểu để chia phần nhỏ (fragment) - Nếu hệ điều hành nhận gói tin chia nhỏ hiểu được, hệ thống cố gắng build lại gói tin điều chiếm phần tài nguyên hệ thống, trình xảy liên tục thống không tài nguyên cho ứng dụng khác, phục vụ server khác - Dựa vào trình di chuyển liệu từ máy tính nguồn tới máy tính đích Các mảnh nhỏ đến hệ thống đích dựa vào giá trị offset để xếp mảnh lại với theo thứ tự ban đầu Tận dung điều Hacker gửi đến hệ điều thống loạt gói tin packets với giá trị offset chồng chéo lên Hệ thống xếp lại packets này, hệ thống đích bị treo, reboot ngưng hoạt động số lượng packets với giá trị offset chồng chéo lên lớn Các hệ điều hành Windows NT, Windows 95… chí Linux trước lên phiên 2.1.63 dễ bị công phương pháp Nguyễn Gia Thế K59B – CNTT ĐHSP HN Footer Page of 113 8|Page Header Page 10 of 113 Cơ chế công Teardrop 3.5 Tấn công SYN - Kẻ công gửi yêu cầu (Request ảo) TCP SYN tới máy chủ bị công Để xử lý lượng gói tin SYN hệ thống cần tốn lượng nhớ cho kết nối - Khi có nhiều gói SYN ảo tới máy chủ chiếm hết yêu cầu xử lý máy chủ Một người dùng bình thường kết nối tới máy chủ ban đầu thực Request TCP SYN lúc máy chủ không khả đáp lại – kết nối không thực - Đây kiểu công mà kẻ công lợi dụng trình giao tiếp TCP theo Three-way - Các đoạn mã nguy hiểm có khả sinh lượng cực lớn gói tin TCP SYN tới máy chủ bị công, địa IP nguồn gói tin bị thay đổi công DoS Nguyễn Gia Thế K59B – CNTT ĐHSP HN Footer Page 10 of 113 9|Page Header Page 11 of 113 - Hình bên thể giao tiếp bình thường tới máy chủ bên thể máy chủ bị công gói SYN đến sé nhiều khả trả lời máy chủ lại có hạn máy chủ từ chối truy cập hợp pháp - Quá trình TCP Three-way handshake thực hiện: Khi máy A muốn giao tiếp với máy B (1) máy A bắn gói TCP SYN tới máy B – (2) máy B nhận gói SYN từ A gửi lại máy A gói ACK đồng ý kết nối – (3) máy A gửi lại máy B goi ACK bắt đầu giao tiếp liệu - Máy A máy B kết nối 75 giây, sau lại thực trình TCP Three-way handshake lần để thực phiên kết nối để trao đổi liệu - Kẻ công lợi dung kẽ hở để thực hành vi công nhằm sử dụng hết tài nguyên hệ thống cách giảm thời gian yêu cầu Three-way handshake xuống nhỏ không gửi lại gói ACK, bắn gói SYN liên tục thời gian định không trả lại gói SYN & ACK từ máy công - Với nguyên tắc chấp nhận gói SYN từ máy tới hệ thống sau 75 giây địa vi phạm chuyển vào Rule deny access ngăn cản công IV Mạng BOT NET Ý nghĩa mạng BOT NET Nguyễn Gia Thế K59B – CNTT ĐHSP HN Footer Page 11 of 113 10 | P a g e Header Page 12 of 113 Khi sử dụng Tool công DDoS tới máy chủ không gây ảnh - hưởng tới máy chủ - Giả sử bạn sử dụng Tool Ping of Death tới máy chủ, máy chủ kết nối với mạng tóc độ 100bps bạn kết nối tới máy chủ tốc độ 3bps – công bạn ý nghĩa - Nhưng tưởng tượng có 1000 người bạn lúc công vào máy chủ toàn bang thông 1000 người công lại tối đạt 3Gbps tốc độ kết nối máy chủ 100Mbps kết bạn có khả tưởng tượng Nhưng làm cách để có 1000 máy tính kết nối với mạng – mua 1000 - máy tính 1000 thuê bao kết nối – chắn không làm không kẻ công lại sử dụng phương pháp - Kẻ công xây dựng mạng hang nghìn máy tính kết nối Internet (Có mạng BOT lên tới 400.000 máy) Vậy làm hacker có khả lợi dụng người kết nối tới Internet để xây dựng mạng BOT Khi có tay mạng BOT kẻ công sử dụng tool công đơn giản - để công vào hệ thống máy tính Dựa vào truy cập hoàn toàn hợp lệ hệ thống, lúc Hacker sử dụng dịch vụ máy chủ, thử tưởng tượng kẻ công có tay 400.000 máy tính lúc lệnh cho chúng download file trang web bạn Và công DDoS – Distributed Denial of Service Mạng BOT - BOT từ viết tắt từ RoBOT - IRCbot – gọi zombie hay drone - Internet Relay Chat (IRC) dạng truyền liệu thời gian thực Internet Nó thường thiết kế cho người nhắn cho Group người giao tiếp với với kênh khác gọi – Channels - Đầu tiên BOT kết nối kênh IRC với IRC server đơicj giao tiếp người với - Kẻ công điều khiển mạng BOT sử dụng mạng BOT sử dụng nằm mục đích Nguyễn Gia Thế K59B – CNTT ĐHSP HN Footer Page 12 of 113 11 | P a g e Header Page 13 of 113 - Nhiều mạng BOT kết nối với người ta gọi BOTNET – botnet Mạng Botnet - Mạng Botnet bao gồm nhiều máy tính - Nó sử dụng cho mục đích công DDoS - Một mạng Botnet nhỏ bao gồm 1000 máy tính tưởng tượng máy tính kết nối tới Internet tốc độ 128Kbps mạng Botnet có khả tao bang thông 1000x128 ~ 100Mbps – Đây số thể bang thông mà khó Hosting share cho trang web Mục đích sử dụng mạng Botnets - Tấn công Distributed of Service – DdoS: Botnet sử dụng cho công DDoS - Spamming: Mở SOCK v4/v5 Proxy server cho Spamming - Sniffing traffic: Bot sử dụng gói tin có sniffer (tóm giao tiếp mạng) sau tóm gói tin cố gắng giải mã gói tin để lấy nội dung có ý nghĩa tài khoản ngân hàng nhiều thông tin có giá trị khác người sử dụng - Keylogging: Với trợ giuớ keylogger nhiều thông tin nhạy cảm người dùng bị kẻ công khai thác tài khoản e-bank, nhiều tài khoản khác - Cài đặt lây nhiễm chương trình độc hại: Botnet sử dụng để tạo mạng BOT - Cài đặt quảng cáo Popup: Tự động bật quảng cáo không mong muốn với người dùng - Google Adsense abuse: Tự động thay đổi kết tìm kiếm thị sử dụng dịch vụ tìm kiếm Google, thay đổi kết lừa người dùng kích vào trang web nguy hiểm Các dạng mạng BOT Agobot/Phabot/Forbot/XtremBot Nguyễn Gia Thế K59B – CNTT ĐHSP HN Footer Page 13 of 113 12 | P a g e Header Page 14 of 113 - Đây bot viết C++ tảng Cross-phatform mã nguồn tìm GPL Agobot viết Ago nick name người ta biết đến Wonk, niên trẻ người Đức – bị bắt hồi tháng năm 2004 với tội danh tội phạm máy tính - Agobot có khả sử dụng NTFS Alternate Data Stream (ADS) loại Rootkit nằm ẩn tiến trình chạy hệ thống SDBot/Rbot/Urbot/UrXbot - SDBot viết ngôn ngữ C public GPL Nó coi tiền thân Rbot, Rxbot, UrBot, UrXbot, JrBot mIRC-Based Bots – GT-Bots - GT viết từ hai từ Global Threat tên thường sử dụng cho tất mIRC-scripted bots Nó có khả sử dụng phần mềm IM mIRC để thiết lập số script đoạn mã khác Các bước xây dựng mạng BOT NET Bước 1: Các lây nhiễm vào máy tính - Điều kẻ công lừa cho người dùng chạy file “chess.exe”, Agobot thường copy chúng vào hệ thống them thông số registry để đảm bảo chạy với hệ thống khởi động Trong Registry có vị trí cho ứng dụng chạy lúc khởi động lại HKLM\Software\Microsoft\Windows\CurrentVersion\Run HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices Bước 2: Cách lây lan xây dựng tạo mạng BOTNET - Sau hệ thống mạng có máy tính bị nhiễm Agobot, tự động tìm kiếm máy tính khác hệ thống lây nhiễm sử dụng lỗ hổng tài nguyên chia sẻ hệ thống mạng - Chúng thường cố gắng kết nối tới liệu share mặc định dành cho ứng dụng quản trị (administrator or administrative) ví dụ như: C$, D$, E$ print$ Nguyễn Gia Thế K59B – CNTT ĐHSP HN Footer Page 14 of 113 13 | P a g e Header Page 15 of 113 cách đoán usernames password để truy cập vào hệ thống khác lây nhiễm - Agobot lây lan nhanh chúng có khả tận dụng điểm yếu hệ điều hành Windows, hay ứng dụng, dịch vụ chạy hệ thống Bước 3: Kết nối vào IRC - Bước Agobot tạo IRC-Controlled Backdoor để mở yếu tố cần thiết, kết nối tới mạng Botnet thông qua IRC-Controll, sau kết nối mở dịch vụ cần thiết để có yêu cầu chúng điều khiển kẻ công thông qua kênh giao tiếp IRC Bước 4: Điều khiển công từ mạng BotNet - Kẻ công điều khiển máy mạng Agobot download file exe chạy máy - Lấy toàn thông tin liên quan cần thiết hệ thống mà kẻ công muốn - Chạy file khác hệ thống đáp ứng yêu cầu kẻ công - Chạy chương trình DDoS công hệ thống khác V Phòng chống DDoS Phòng chống DDoS Có nhiều giải pháp ý tưởng đưa nhằm đối phó với công kiểu DDoS Tuy nhiên giải pháp ý tưởng giải trọn vẹn toán Phòng chống DDoS Các hình thái khác DDoS liên tục xuất theo thời gian song song với giải pháp đối phó, nhiên đua tuân theo quy luật tất yếu bảo mật máy tính: “Hacker trước giới bảo mật bước” Có ba giai đoạn trình Phòng chống DDoS: - Giai đoạn ngăn ngừa: tối thiểu hóa lượng Agent, tìm vô hiệu hóa Handler Nguyễn Gia Thế K59B – CNTT ĐHSP HN Footer Page 15 of 113 14 | P a g e Header Page 16 of 113 - Giai đoạn đối đầu với công: Phát ngăn chặn công, làm suy giảm dừng công, chuyển hướng công - Giai đoạn sau công xảy ra: thu thập chứng rút kinh nghiệm Các giai đoạn chi tiết phòng chống DDoS 1.1 Tối thiểu hóa lượng Agent Từ phía người dùng: phương pháp tốt để ngăn ngừa công DDoS người dùng Internet tự đề phòng không để bị lợi dụng công hệ thống khác Muốn đạt điều ý thức kỹ thuật phòng chống phải phổ biến rộng rãi cho người dùng Mạng lưới Botnet không hình thành người bị lợi dụng trở thành Agent Mọi người dùng phải liên tục thực trình bảo mật máy vi tính Họ phải tự kiểm tra diện Agent máy mình, điều khó khăn người dùng thông thường Một giải pháp đơn giản nên cài đặt update liên tục software antivirus, antitrojan patch hệ điều hành Từ phía Network Service Provider: Thay đổi cách tính tiền dịch vụ truy cập theo dung lượng làm cho user lưu ý đến họ gửi, mặt ý thức tăng cường phát DDoS Agent tự nâng cao người dùng Nguyễn Gia Thế K59B – CNTT ĐHSP HN Footer Page 16 of 113 15 | P a g e Header Page 17 of 113 1.2 Tìm vô hiệu hóa Handler Một nhân tố vô quan trọng mạng Botnet Handler, phát vô hiệu hóa Handler khả Phòng chống DDoS thành công cao Bằng cách theo dõi giao tiếp Handler Client hay Handler Agent ta phát vị trí Handler Do Handler quản lý nhiều, nên triệt tiêu Handler có nghĩa loại bỏ lượng đáng kể Agent mạng Botnet 1.3 Phát dấu hiệu công Có nhiều kỹ thuật áp dụng: - Agress Filtering: Kỹ thuật kiểm tra xem packet có đủ tiêu chuẩn khỏi subnet hay không dựa sở gateway subnet biết địa IP máy thuộc subnet Các packet từ bên subnet gửi với địa nguồn không hợp lệ bị giữ lại để điều tra nguyên nhân Nếu kỹ thuật áp dụng tất subnet Internet khái nhiệm giả mạo địa IP không tồn - MIB statistics: Management Information Base (SNMP-Simple Network Management Protocol ) route có thông tin thống kể biến thiên trạng thái mạng Nếu ta giám sát chặt chẽ thống kê Protocol ICMP, UDP TCP ta có khả phát thời điểm bắt đầu công để tạo “quỹ thời gian vàng” cho việc xử lý tình 1.4 làm suy giảm ngừng công Dùng kỹ thuật sau: - Load balancing: Thiết lập kiến trúc cân tải cho server trọng điểm làm gia tăng thời gian chống chọi hệ thống với công DDoS Tuy nhiên, điều ý nghĩa mặt thực tiễn quy mô công giới hạn - Throttling: Thiết lập chế điều tiết router, quy định khoảng tải hợp lý mà server bên xử lý Phương pháp dùng để ngăn chặn khả DDoS traffic không cho user truy cập dịch vụ Nguyễn Gia Thế K59B – CNTT ĐHSP HN Footer Page 17 of 113 16 | P a g e Header Page 18 of 113 Hạn chế kỹ thuật không phân biệt loại traffic, làm dịch vụ bị gián đoạn với user, DDoS traffic xâm nhập vào mạng dịch vụ với số lượng hữu hạn - Drop request: Thiết lập chế drop request vi phạm số quy định như: thời gian delay kéo dài, tốn nhiều tài nguyên để xử lý, gây deadlock Kỹ thuật triệt tiêu khả làm cạn kiệt lực hệ thống, nhiên giới hạn số hoạt động thông thường hệ thống, cần cân nhắc sử dụng 1.5 Chuyển hướng công Honeyspots: Một kỹ thuật nghiên cứu Honeyspots Honeyspots hệ thống thiết kế nhằm đánh lừa attacker công vào xâm nhập hệ thống mà không ý đến hệ thống quan trọng thực Honeyspots không đóng vai trò “Lê Lai cứu chúa” mà hiệu việc phát xử lý xâm nhập, Honeyspots thiết lập sẵn chế giám sát báo động Ngoài ra, Honeyspots có giá trị việc học hỏi rút kinh nghiệm từ Attacker, Honeyspots ghi nhận chi tiết động thái attacker hệ thống Nếu attacker bị đánh lừa cài đặt Agent hay Handler lên Honeyspots khả bị triệt tiêu toàn mạng Botnet cao 1.7 Giai đoạn sau công Trong giai đoạn thông thường thực công việc sau: - Traffic Pattern Analysis: Nếu liệu thống kê biến thiên lượng traffic theo thời gian lưu lại đưa phân tích Quá trình phân tích có ích cho việc tinh chỉnh lại hệ thống Load Balancing Throttling Ngoài liệu giúp quản trị mạng điều chỉnh lại quy tắc kiểm soát traffic vào mạng Nguyễn Gia Thế K59B – CNTT ĐHSP HN Footer Page 18 of 113 17 | P a g e Header Page 19 of 113 - Packet Traceback: cách dùng kỹ thuật Traceback ta truy ngược lại vị trí Attacker (ít subnet attacker) Từ kỹ thuật Traceback ta phát triển thêm khả Block Traceback từ attacker hữu hiệu - Bevent Logs: Bằng cách phân tích file log sau công, quản trị mạng tìm nhiều manh mối chứng quan trọng Kết luận - Mô hình hệ thống cần phải xây dựng hợp lý, tránh phục thuộc lẫn mức Bởi phận gặp cố làm ảnh hưởng tới toàn hệ thống - Thiết lập mật mạnh (strong password) để bảo vệ thiết bị mạng nguồn tài nguyên quan trọng khác - Thiết lập mức xác thực người xử dụng nguồn tin internet Đặc biệt, nên thiết lập chế độ xác thực cập nhật thông tin định tuyến router - Liên tục cập nhật, nghiên cứu, kiểm tra để phát lỗ hổng bảo mật có biện pháp khắc phục kịp thời Sử dụng biện pháp kiểm tra hoạt động hệ thống liên tục để phát hành động bất thường - Nếu bị công lỗi phần mềm hay thiết bị nhanh chóng cập nhật sửa lỗi cho hệ thống thay Nguyễn Gia Thế K59B – CNTT ĐHSP HN Footer Page 19 of 113 18 | P a g e ... trình DDoS công hệ thống khác V Phòng chống DDoS Phòng chống DDoS Có nhiều giải pháp ý tưởng đưa nhằm đối phó với công kiểu DDoS Tuy nhiên giải pháp ý tưởng giải trọn vẹn toán Phòng chống DDoS. .. mạng Botnets Các dạng mạng BOT Các bước xây dựng mạng Botnet V Phòng chống DDoS Phòng chống DDoS 1.1 Tối thiểu hóa lượng Agent 1.2 Tìm vô hiệu hóa Handler 1.3 Phát dấu hiệu công 1.4 Làm suy giảm... nghiệm Các giai đoạn chi tiết phòng chống DDoS 1.1 Tối thiểu hóa lượng Agent Từ phía người dùng: phương pháp tốt để ngăn ngừa công DDoS người dùng Internet tự đề phòng không để bị lợi dụng công

Ngày đăng: 24/03/2017, 18:50

Xem thêm: Đề tài Tìm hiểu về DDoS và cách phòng chống

Tài liệu cùng người dùng

Tài liệu liên quan