BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI NGUYỄN ĐỨC TRỤ CÁC BIỆN PHÁP DỰ PHÒNG CHỐNG TẤN CÔNG TRONG MẠNG INTERNET CHUYÊN NGÀNH KỸ THUẬT ĐIỆN TỬ LUẬN VĂN THẠC SĨ KỸ THUẬT KỸ THUẬT ĐIỆN TỬ NGƯỜI HƯỚNG DẪN KHOA HỌC : TS LÊ DŨNG Hà Nội – Năm 2014 i MỤC LỤC MỤC LỤC ii LỜI CAM ĐOAN iv DANH MỤC HÌNH VẼ v DANH MỤC TỪ VIẾT TẮT vi LỜI NÓI ĐẦU Chương Tổng quan mạng máy tính 1.1 Giới thiệu mạng máy tính 1.2 Các mạng máy tính ngày 1.2.1 Mạng LAN – Local Area Network 1.2.2 Mạng MAN Metropolitan Area Network 1.2.3 Mạng WAN ( wide area network) 1.2.4 Mạng internet 10 Chương Các phương pháp dự phòng đảm bảo an toàn mạng core-internet 11 2.1 Các mục tiêu việc dự phòng đảm bảo an toàn mạng 11 2.1.1 Đảm bảo tính bảo mật 11 2.1.2 Đảm bảo tính toàn vẹn liệu 12 2.1.3 Đảm bảo tính sẵn sàng hệ thống 12 2.1.4 Tấn công hệ thống mạng 12 2.1.5 Các bước tiến hành tin tặc ( Hacker) 13 2.2 Các phương án dự phòng đảm bảo an toàn mạng 14 2.2.1 Thiết kế dự phòng phần cứng 14 2.2.2 Dự phòng mềm 16 2.3 Các nguy bảo mật mạng Core –internet 21 Chương Các cách phòng chống công mạng Core-internet triển khai nhà cung cấp dịch vụ ( ISP) nước 22 3.1 Cấu hình chống công ARP snoofing 22 3.1.1 Giao thức ARP 22 ii 3.1.2 Quá trình chuyển tin giao thức ARP 23 3.1.4 Các đặc điểm giao thức ARP 24 3.1.5 Các hình thức công ARP 25 3.1.6 Các cách phòng chống công ARP 27 3.1.7 Thực nghiệm lấy thông tin password thiết bị đăng nhập LAN 33 3.2 Tấn công làm tràn bảng MAC (CAM) 37 3.2.2 Nguyên lý 37 3.2.3 Cấu hình 39 3.3 Cấu hình CPU defend ( Device Security) 41 3.3.1 Giới thiệu 41 3.3.2 Mục đích DS ( device security ) 42 3.3.3 Nguyên lý hoạt động 42 3.3.4 Cấu hình thiết bị Huawei sử dụng mạng METRO internet 44 3.4 Cấu hình bảo mật dùng mã hóa MD5 cho giao thức mạng 50 3.4.1 Giới thiệu 50 3.4.2 Cấu hình mã hóa cho giao thức 52 3.5 Ngăn chặn truy cập với access-list 67 3.6 Cấu hình theo dõi traffic để phát công mạng IP 71 3.6.1 Cấu hình thiết bị Cisco S6509 với IOS cũ 71 3.6.2 Cấu hình IOS XR ( ) thiết bị ASR9K, Cisco CRS-3 73 3.7 Phòng chống công DDoS mạng core 74 3.8 Kiểm tra thực tế công ARP mạng Viettel 82 KẾT LUẬN 85 TÀI LIỆU THAM KHẢO 86 iii LỜI CAM ĐOAN Trước hết, xin gửi lời cảm ơn chân thành tới tập thể thầy cô Viện Điện tử viễn thông, trường Đại học Bách Khoa Hà Nội tạo môi trường tốt để học tập nghiên cứu Tôi xin cảm ơn thầy cô Viện Đào tạo sau đại học quan tâm đến khóa học này, tạo điều kiện cho học viên có điều kiện thuận lợi để học tập nghiên cứu Và đặc biệt xin gửi lời cảm ơn sâu sắc đến thầy giáo TS Lê Dũng, tận tình hướng dẫn sửa chữa cho nội dung luận văn Tôi xin cam đoan nội dung luận văn hoàn toàn tìm hiểu, nghiên cứu viết Tất thực cẩn thận, có góp ý sửa chữa giáo viên hướng dẫn Tôi xin chịu trách nhiệm với tất nội dung luận văn Tác giả Nguyễn Đức Trụ iv DANH MỤC HÌNH VẼ Hình 1-1 Sơ đồ mạng LAN đơn giản Hình 1-2 Sơ đồ mạng MAN khu vực thực tế Hình 1-3 Mô hình mạng WAN thực tế Hình 2-1 Mô hình mạng core-ip 15 Hình 2-2 mô hình mạng triển khai dự phòng theo kiểu Ring 16 Hình 3-1 Định dạng gói tin ARP 22 Hình 3-2 Kiểm tra bảng ánh xạ ARP IP-MAC 25 Hình 3-3 Mô hình mạng công MITM 27 Hình 3-4 xây dựng mô hình chứng thực kiểu client-server 28 Hình 3-5 mô hình mạng công LAN 34 Hình 3-6 Kết truy cập địa modem 192.168.1.1 35 Hình 3-7 Khởi chạy cain & abel 36 Hình 3-8 Kết khởi chạy 36 Hình 3-9 Quá trình công MAC flooding 38 Hình 3-10 Mô hình nguyên lý hoạt động DS 42 Hình 3-11 Nguyên lý thực thi bảo đảm an toàn thiết bị 43 Hình 3-12 Kết thực tế kiểm tra CPU-defend 46 Hình 3-13 kết CPU-defend 47 Hình 3-14 kết CPU-Defend 48 Hình 3-15 kết CPU-Defend 49 Hình 3-15 Kết CPU-Defend 50 Hình 3-16 Mô hình giả lập kiểm tra mã hóa mạng router 52 Hình 3-17 Kiểm tra ospf neighbor R1 61 Hình 3-18 Kiểm tra ospf neighbor R2 62 Hình 3-19 Bản tin bắt gói với Wireshark chưa mã hóa 64 Hình 3-20 kiểm tra thông tin OSPF với mã hóa MD5 66 Hình 3-21 kết bắt gói tin mã hóa 67 Hình 3-22 Mô hình kết nối server netflow mạng IP 74 Hình 3-23 trình bắt tay bước TCP/IP 76 Hình 3-24 Mô hình kết nối IDC 78 Hình 3-25 kết theo dõi traffic IDC bị công 79 Hình 3-26 sơ đồ đấu nối khách hàng tới nhà cung cấp dịch vụ 82 v DANH MỤC TỪ VIẾT TẮT Từ viết tắt Từ tiếng anh ISP Internet Service Provider LAN Local Are Network WAN Wide Are Network MAN Metropolitan Area Network ARP Address Resolution Protocol MAC Adress Media access controll address CPU Control Processing unit MITM Man-in-the-midle OSPF Open Shortest Path First IP Internet protocol IOS Internet operation system CAM Content Address Memory ACL Access-control-list VLAN Virtual LAN DDoS Distributed denial of service Core-ip Core internet protocol network Modem Modulation- Demodulation DS Device Security PC Personal Computer GSM Global System for Mobile Communications TCP Tranmission Control Protocol vi Luận văn Các biện pháp dự phòng chống công mạng internet LỜI NÓI ĐẦU Khoa học công nghệ ngày phát triển có ảnh hưởng to lớn tới đời sống sinh hoạt văn hóa người, đặc biệt công nghệ thông tin truyền thông, ảnh hưởng trực tiếp đến chúng ta, đến cách mà người nói chuyện, làm việc với nhau, ngày mạng máy tính phát triển công nghệ không dây hệ thống mạng GSM 2G,3G ngày bùng nổ người nhà có PC, điện thoại di động, hàng ngày dùng để trao đổi tin tức công việc, dùng điện thoại máy tính để toán tiền điện nước, học phí cho cái, hay mua đồ dùng sinh hoạt hàng ngày Với việc hoạt động dịch vụ mạng internet ngày cao việc đảm bảo tin cậy hệ thống, chống lại công ( thường làm uy tín doanh nghiệp, đánh cắp thông tin khách hàng) vô quan trọng Vậy việc đảm bảo cho hệ thống mạng an toàn thông suốt đóng góp lớn vào phát triển doanh nghiệp, đảm bảo lòng tin khách hàng, cách tốt để phát triển Do em chọn đề tài “ Các biện pháp dự phòng chống công mạng internet “ Nội dung bao gồm phần Chương : Tổng quan mạng máy tính Chương : Các phương pháp dự phòng đảm bảo an toàn mạng core- internet Chương : Các cách phòng chống công mạng core-internet triển khai nhà cung cấp dịch vụ (ISP) nước Nguyễn Đức Trụ Page Luận văn Các biện pháp dự phòng chống công mạng internet Đứng vai trò nhà cung cấp dịch vụ, thực biện pháp đảm bảo an toàn mạng core-internet nên đề tài đưa phương pháp đảm bảo mạng core thuộc phận truyền tải mạng IP cho tất dịch vụ khác Chương Trình bày cách tổng quan mạng máy tính ngày nay, mục đích đưa khái niệm, ví dụ mạng LAN, WAN,MAN,Internet Chương Trình bày nguyên lý dự phòng, đảm bảo an toàn mạng lưới hệ thống mạng, dự phòng vật lý thiết bị, tuyến cáp, điều kiện, điều kiện đảm bảo tính toàn vẹn liệu, bảo mật hệ thống, tính sẵn sàng chống công, công hệ thống bước mà kẻ công thường sử dụng Chương Nội dung đề tài trình bày chương phương pháp mà nhà mạng triển khai để chống công đảm bảo an toàn mạng lưới, trình bày hình thức công ARP, giải pháp, tin tặc lợi dụng lỗ hổng việc bắt tay bước giao thức TCP/IP, số thực hành mô kẻ công lấy cắp thông tin mạng LAN, trình bày mô cấu hình mã hóa bảo mật giao thức OSPF với mã hóa MD5 Trình bày cấu hình DS ( Device Security) cấu hình CPU defend router core Huawei triển khai Vietnam, Cấu hình theo dõi traffic dựa Netflow Cisco trình bày số trường hợp kiểm tra giúp đối tác ngăn chặn công kịp thời, kiểm tra nguyên nhân gây lỗi dịch vụ hệ thống mạng Metro Nguyễn Đức Trụ Page Luận văn Các biện pháp dự phòng chống công mạng internet Viettel Như giúp IDC chặn công DDoS từ quốc tế, Kiểm tra nguyên nhân gây lỗi dịch vụ 3G Cần thơ Đề tài thực thời gian ngắn nên đưa tất phương pháp dùng nay, ví dụ dùng lại giao thức OSPF, nhiều giao thức công nghệ IP khách BGP,VPN-MPSL,ISIS, Ipsec giao thức bảo vệ vòng ring Huawei RRPP bảo vệ layer2 Đề tài thực mạng core-ip dịch vụ layer 3-4 lớp Network lớp transport, giới hạn ngăn chặn công người dùng dựa vào địa IP, MAC, phân tích gói tin bên khách hàng, không kiểm soát nội dung, việc Lan truyền mã độc, virus… để giải vấn đề thời gian tới nghiên cứu thêm hệ thông firewall faf hệ thống quản lý băng thông SCE, Allot… phân tích gói tin đến lớp nên kiểm soát tối đa dịch vụ khách hàng Trân trọng ! Nguyễn Đức Trụ Page Luận văn Các biện pháp dự phòng chống công mạng internet Chương Tổng quan mạng máy tính 1.1 Giới thiệu mạng máy tính Mạng máy tính tập hợp tất máy tính( mà ngày thiết bị kết nối với điện thoại,camera, máy in…) kết nối với trao đổi giữ liệu với Ngày kết nối mạng có vai trò quan trọng giúp người khắp nơi kết nối trao đổi thông tin với cách nhanh chóng thuận tiện, giúp gọi điện, chuyển thư điện tử, gửi ảnh, truyền video, toán tiền điện, nước, chuyển khoản ngân hàng, nhìn thấy lợi ích đồng nghĩa với thách thức mà phải đối mặt việc đánh cắp thông tin, việc công server, máy chủ làm tê liệt dịch vụ khách hàng, vấn đền bách cần phối hợp người dùng nhà cung cấp dịch vụ ( ISP ) Trước vào vấn đề xem quan tổng quan loại mạng máy tính ngày 1.2 Các mạng máy tính ngày Tùy thuộc vào phạm vi, mức độ, tích chất mà người ta chia mạng máy tính làm nhiều loại mạng khác nhau, nhìn chung xét phạm vi hoạt động chia thành mạng sau:  Mạng LAN – Local Area Network  Mạng MAN – Metropolitan Area Network  Mạng WAN- Wide Area Network  Mạng Internet- gọi mạng mạng ( kết nối mạng với nhau) 1.2.1 Mạng LAN – Local Area Network Xét phạm vi hoạt động mạng LAN mạng có quy mô nhỏ tất loại thường hiểu mạng máy tính ( thiết bị kết nối) kết nối với Nguyễn Đức Trụ Page Luận văn  Các biện pháp dự phòng chống công mạng internet Enabling Netflow interface x/y/z Ip route-cache flow  Exporting Netflow Router(config)#ip flow-export ip address x.x.x.x udp-port 9996 version  Config Aggregatioin Cache Router(config)# ip flow-aggregation cache as Router(config-flow-cache)# cache entries 2046 Router(config-flow-cache)# cache timeout inactive 200 Router(config-flow-cache)# cache timeout active 45 Router(config-flow-cache)# export destination x.x.x.x 9996 Router(config-flow-cach)# enabled Router(config-flow-cache)# ip flow-aggregation cache destination-prefix Router(config-flow-cache)# cache entries 2046 Router(config-flow-cache)# cache timeout active 45 Router(config-flow-cache)# export destination x.x.x.x 9996 Router(config-flow-cache)# enabled Router(config-flow-cache)# ip flow-aggregation cache protocol-port Router(config-flow-cache)# cache entries 2046 Router(config-flow-cache)#cache timeout inactive 200 Router(config-flow-cache)#cache timeout active 45 Router(config-flow-cache)# export destination x.x.x.x 9996 Router(config-flow-cache)#enabled Router(config)# ip flow-aggregation cache source-prefix Nguyễn Đức Trụ Page 72 Luận văn Các biện pháp dự phòng chống công mạng internet Router(config-flow-cache)# cache entries 2046 Router(config-flow-cache)# cache timeout inactive 200 Router(config-flow-cache)#cache timeout active 45 Router(config-flow-cache)#export destination x.x.x.x 9996 Router(config-flow-cache)# enabled 3.6.2 Cấu hình IOS XR ( ) thiết bị ASR9K, Cisco CRS-3  Cấu hình permit IP Netflow Server Router(config)# ipv4 access-list permit_giamsat Router(config)# 50 ipv4 host 203.113.131.67 any  Cấu hình sampler-map Router(config)# sampler-map fsm1 Router(config)# random out-of 5000 Router(config)# exit  Cấu hình exporter-map RP/0/RSP0/CPU0router(config)# flow exporter-map fem1 Router(config-fem)# destination 203.113.131.67 Router(config-fem)# source Loopback Rouer(config-fem)# exit Router(config-fem)# version v9  Cấu hình Flow-monitor map Router(config)#flow monitor-map fmml Router(config-fmm)# record ipv4 Router(config-fmm)# exporter feml Router(config-fmm)# cache entries 10000 Router(config-fmm)# cache timeout active 30 Router(config-fmm)# cache timeout inactive 15 Router(config-fmm)#exit Nguyễn Đức Trụ Page 73 Luận văn  Các biện pháp dự phòng chống công mạng internet Cấu hình apply flow-monitor fmml sampler-map fsml vào internface Router(config)# interface x/x.x Router(config-if)# flow ipv4 monitor fmml sampler fsml ingress Router(config-if)# exit Đây cấu hình thiết bị core để băt traffic ta phải xem server Netfow ( server cài đặt chương trình netflow cisco) Mô sau: upstream Gateway Server Netflow PE1 P Switch core METRO PE2 Hình 3-22 Mô hình kết nối server netflow mạng IP 3.7 Phòng chống công DDoS mạng core Khái niệm công từ chối dịch vụ DdoS DdoS loại công ngăn cản người dùng hợp pháp sử dụng dịch vụ( tài nguyên mạng) cách làm cho máy chủ cung cấp dịch vụ rơi vào tình trạng không đáp ứng yêu cầu máy khách, bị tê liệt chí ngừng hoạt động Tình trạng tải, băng thông kết nối tới máy chủ bị chiếm dụng hết bị công máy chủ thường bị treo, tê liệt CPU, MEMORY tăng cao đột ngột Tấn Nguyễn Đức Trụ Page 74 Luận văn Các biện pháp dự phòng chống công mạng internet công từ chối dịch vụ hình thức công khó chống đỡ tổn thất nặng nề chia làm nhiều loại sau: a Ping of Death: Loại lợi dụng nhiều giao thức mạng cho gói tin thường đung khuân dạng nên thường kiểm tra tính hợp lệ định dạng gói tin Ví dụ gói tin ICMP echo lệnh ping đóng gói gói tin IP có kích thước không 65535 Byte máy nhận cấp phát nhớ 64KB để lưu gói tin ICMP Những kẻ công lợi dụng điều để gửi gói tin có kích thước lớn 64KB Điều làm cho phía nhận bị lỗi cấp phát nhớ Lỗi làm cho máy tính đưa lệnh dừng thực thi , máy treo khởi động lại Cách khắc phục nhược điểm thường xuyên cập nhập vá để sửa lỗi nhà cung cấp dịch vụ b TearDrop Loại dựa vào việc tái tạo lại gói tin phân mảnh để máy nhận tin xử lý sai Khác với Ping of Death dựa vào kích thước gói tin ICPM Teardrop dựa vào trường Offset Fragment Do gói tin mạng có nhiều gói tin bị phân mảnh truyền nên trường vị trí gói phân mảnh giúp sau tái tạo lại gói ban đầu Và kẻ công lợi dụng điều làm thay đổi thông tin trường offsetfragment khí gói tin xếp sai thứ tự xử lý Ở ta thấy lỗi hệ điều hành luôn tiềm ẩn công việc phải thường xuyên cập nhập vá kịp thời Ngoài cấu hình firewall để không cho qua gói tin bị phân mảnh tái tạo lại gói tin firewall Kiểm tra đưa tới máy chủ xử lý c SYN Flood TCP Nguyễn Đức Trụ Page 75 Luận văn Các biện pháp dự phòng chống công mạng internet Loại sử dụng trình bắt tay bước gói tin TCP Khi muốn kết nối Client gửi gói TCP với bit SYN thiết lập để gói tin tạo kết nối Khi nhận gói tin server cấp phát nhớ dành cho kết nối, gửi gói tin ACK để chấp nhận kết nối, rơi vào trạng thái đợi Client trả lời cho server nhận ACK để kết thúc việc thiết lập kết nối( kết thúc trình bắt tay bước Ta xem trình bắt tay bước : Hình 3-23 trình bắt tay bước TCP/IP Quá trình bắt tay bước  Bước 1: bên client gửi thông điệp yêu cầu kết nối gồm có tín hiệu SYN đến bên server kèm theo số client  Bước 2: bên server gửi thông điệp trả lời gồm có tín hiệu SYN, số server số client tăng thêm  Bước 3: bên client gửi lại thông điệp ack có số thứ tự của với số server tăng thêm một, sau kết nối mở hai bên Nguyễn Đức Trụ Page 76 Luận văn Các biện pháp dự phòng chống công mạng internet Để công Hacker liên tục gửi gói tin SYN không gửi trả lại ACK làm cho server liên tục trạng thái chờ, tiêu tốn phần tài nguyên, đến thời điểm lâm vào tình trạng tải Để dò công SYN flood ta dựa vào đặc điểm sau: - Số gói tin đến server thời gian ngắn - Những gói tin đến xuất phát từ nguồn - Những gói tin đến đích Tuy nhiên hacker giả gói tin đến từ nguồn khác d land attack Loại hình công nhằm mục đích tiêu tốn tài nguyên máy chủ kết nối giả Hacker gửi đến Server gói tin có địa nguồn đích giống Server gửi ACK cho điều tạo vô số kết nối giả Server Server điều làm cho server tải Giải pháp dùng firewall lọc gói tin có địa nguồn đích e Smurf attack Loại công hiệu cách gửi gói tin ICMP Echo request( lệnh ping) với địa đích địa Direct Broadcast địa nguồn địa server định công Với cách dùng địa Broadcast gói tin gửi tới nhiều đích mạng ví dụ server có địa 193.1.1.25/24 địa broadcast mạng 193.1.1.255 khí gói tin gửi tới tất host nằm dải IP từ 193.1.1.1 đến 193.1.1.254 giả sử mạng có 254host hacker gửi gói 254 host gửi lại cho server tốc độ tăng lên 254 lần Nguyễn Đức Trụ Page 77 Luận văn Các biện pháp dự phòng chống công mạng internet Cách xử lý dùng firewall lọc gói tin broadcast trường hợp số gói tin có ích bị chặn làm ảnh hưởng đến dịch vụ, cách khác dùng phương pháp chặn ICMP điều lại làm cho việc kiểm tra kết nối mạng khó khăn Vậy mạng core tức mạng truyền tải IP để hạn chế vấn đề ta làm Ta xét mô hình sau: Hình 3-24 Mô hình kết nối IDC Quan sát thực tế xảy công mạng core ip Nguyễn Đức Trụ Page 78 Luận văn Các biện pháp dự phòng chống công mạng internet Hình 3-25 kết theo dõi traffic IDC bị công Để thực việc ta phải cấu hình chặn dải IP công Gateway hướng từ quốc tế đổ sau: RP/0/RP0/CPU0:router#configure RP/0/RP0/CPU0:router(config)#router static RP/0/RP0/CPU0:router(config-static)#address-family ipv4 unicast RP/0/RP0/CPU0:router(config-static-afi)# 210.211.97.207/32 Null0 description VIDC Kiểm tra route cấu hình thực tế: /0/RSP1/CPU0:HNI_IW1_ASR_PDL01#show running-config router static | include N$ Wed Mar 12 05:38:52.057 Hanoi 11.92.25.69/32 Null0 Nguyễn Đức Trụ Page 79 Luận văn Các biện pháp dự phòng chống công mạng internet 27.68.241.104/29 Null0 description ip_Webcache_Vietnamnet 50.117.116.204/32 Null0 description VNCERT-VN_040413 59.188.234.158/32 Null0 description VNCERT-VN_040413 61.14.176.19/32 Null0 61.14.176.35/32 Null0 description Blacklist 63.216.192.105/32 Null0 63.216.192.176/32 Null0 63.221.81.30/32 Null0 description Blacklist 64.74.223.33/32 Null0 72.21.19.91/32 Null0 74.125.127.121/32 Null0 103.1.209.14/32 Null0 103.11.40.2/32 Null0 110.92.25.199/32 Null0 110.92.28.171/32 Null0 description Blacklist 110.173.53.114/32 Null0 110.173.53.118/32 Null0 113.21.208.20/32 Null0 118.143.30.98/32 Null0 118.143.30.105/32 Null0 120.50.185.100/32 Null0 122.152.181.243/32 Null0 122.152.182.20/32 Null0 149.20.56.32/32 Null0 description VNCERT-VN_040413 149.20.56.33/32 Null0 description VNCERT-VN_040413 149.20.56.34/32 Null0 description VNCERT-VN_040413 174.120.188.99/32 Null0 Nguyễn Đức Trụ Page 80 Luận văn Các biện pháp dự phòng chống công mạng internet 182.50.146.128/32 Null0 184.172.190.127/32 Null0 200.74.244.198/32 Null0 description BOTNET 203.90.242.6/32 Null0 203.113.19.29/32 Null0 203.113.35.166/32 Null0 203.113.137.177/32 Null0 description 3C-DDos 203.113.137.227/32 Null0 description 3C-DDos 203.174.83.178/32 Null0 203.192.157.15/32 Null0 203.211.147.70/32 Null0 203.211.147.79/32 Null0 208.91.197.101/32 Null0 209.200.153.166/32 Null0 description Blacklist 209.200.155.48/32 Null0 description Blacklist 210.172.144.156/32 Null0 210.211.97.207/32 Null0 description VIDC 220.231.126.129/32 Null0 description Chantancongweb_vieclamvietnam 221.132.33.130/32 Null0 description Blacklist Các địa IP x.x.x.x/32 Null0 câu lệnh route tuyến đường Null0 có nghĩa tất gói tin muốn tới địa IP x.x.x.x/32 bị router hủy bỏ ( drop) không tốn tài nguyên CPU Chú ý với hệ thống mạng lớn, với nhiều liên kết quốc tế, để thực chặn dải IP hướng ta phải kiểm tra xem IP peer với đối tác qua đường nào, quảng bá sang hướng ta chặn hướng đó.ví dụ ta có dải IP y.y.y.y/20 ta quảng bá sang hướng quốc tế Nguyễn Đức Trụ Page 81 Luận văn Các biện pháp dự phòng chống công mạng internet Việc chặn dải IP bị công tạm thời làm cho Server bị dịch vụ ta lại cứu dịch vụ khách khách hàng, sau thực xong ta dựa vào netflow để phân tích traffic công phối hợp với ISP khác để chặn trực tiếp nguồn công 3.8 Kiểm tra thực tế công ARP mạng Viettel Ví dụ khách hàng Viettel có account Tailh_cto đấu vào DSLAM sử dụng dịch vụ internet NetTV Khách hàng có modem TopLink địa MAC: 0006-7b01-12c2 modem đấu vào port cung cấp dịch vụ NetTV Sơ đồ: SRT2_1 AG_CTO006 AG_CTO005 SRT1_2 SRT2_2 SRT3_2 SRT4_2 SRT5_2 Modem DSLAM ` Hình 3-26 sơ đồ đấu nối khách hàng tới nhà cung cấp dịch vụ Quá trình xảy sau: Modem khách hàng gửi nhiều tin ARP lên AG_CTO005 dẫn đến hệ thống U2000 có cảnh báo attack source , ta vào AG_CTO005 kiểm tra thấy CPU tăng tải slot bị công Lệnh kiểm tra để phát khách hàng công sau: Nguyễn Đức Trụ Page 82 Luận văn Các biện pháp dự phòng chống công mạng internet [AG_CTO005]dis heal Slot CPU Usage Memory Usage(Used/Total) MPU(Master) LPU LPU 10 MPU(Slave) 8% 40% 14% 4% 19% 33% 33% 17% 362MB/1877MB 276MB/818MB 270MB/818MB 336MB/1877MB Thực kiểm tra công attack soure: AG_CTO005>dis attack-source-trace slot br Info: Please waiting No Packet Info: Interface Name : Virtual-Ethernet1/3/2 PeVlanid :0 CeVlanid :0 Attack Type : CPCAR Source Ip : 0.0.0.0 Dest Ip : 0.0.0.0 Source Port :0 Dest Port :0 Protocol Num : Attack Pack Time : 2013-05-09 14:46:01 Attack Trace Data: ff ff ff ff ff ff 00 06 7b 01 12 c2 81 00 60 40 08 06 00 01 08 00 06 04 00 01 00 06 7b 01 12 c2 00 00 00 00 00 00 00 00 00 00 c0 a8 01 0c 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Ta phát dòng MAC địa khách hàng sử dụng để công Lấy MAC kiểm tra SiteRouter phát công trạm CTOO5 port 0/0/3 Thực thống kê tin ARP khách hàng gửi lên ta thấy: CTO0005AR01]acl 4999 [CTO0005AR01-acl-L2-4999]rule permit l2-protocol arp Nguyễn Đức Trụ Page 83 Luận văn Các biện pháp dự phòng chống công mạng internet Vào interface gi0/0/3 cấu hình thống kê lưu lương arp: [CTO0005AR01GigabitEthernet0/0/3]traffic-statistic inbound acl 4999 Thực kiểm tra tin arp port 0/0/3 [CTO0005AR01]dis traffic-statistics interface GigabitEthernet 0/0/3 inbound ACL:4999 Rule:5 matched:8.550K packets, passed:8.550K packets, droped:0 packets [CTO0005AR01]dis traffic-statistics interface GigabitEthernet 0/0/3 inboundACL:4999 Rule:5 matched:9.570K packets, passed:9.570K packets, droped:0 packets [CTO0005AR01]dis traffic-statistics interface GigabitEthernet 0/0/3 inboundACL:4999 Rule:5 matched:10.462K packets, passed:10.462K packets, droped:0 packets [CTO0005AR01]dis traffic-statistics interface GigabitEthernet 0/0/3 inboundACL:4999 Rule:5 matched:11.564K packets, passed:11.564K packets, droped:0 packets [CTO0005AR01]dis traffic-statistics interface GigabitEthernet 0/0/3 inboundACL:4999 Rule:5 matched:12.470K packets, passed:12.470K packets, droped:0 packets Lưu lượng tin arp nhận interface nhiều Chúng ta thấy tin ARP gửi lên nhiều so với bình thường để ngăn cản công thời khách hàng ta phải shutdown link đấu nối với khách hàng, dài hạn ta phải cấu hình giớn hạn tin arp Nguyễn Đức Trụ Page 84 Luận văn Các biện pháp dự phòng chống công mạng internet KẾT LUẬN Ngày mạng internet trở nên quen thuộc quan trọng,đi đôi với trách nhiệm người dùng nhà cung cấp ngày phải nâng cao nhằm đảm bảo chất lượng dịch vụ tốt nhất, độ tin cậy cao cho khách hàng Do mục đích phòng chống công mạng internet hay mạng core nhà cung cấp dịch vụ cách tốt để đàm bảo điều kiện Trong luận văn kiến thức em học thực hành triển khai mạng internet Viettel, không đầy đủ phần đưa phương án chung mà nhà cung cấp dịch vụ hay sử dụng nhắc nhở cho người dùng nhà cung cấp trước làm việc ý đến an toàn thông tin mạng lưới Tuy nhiên thời gian có hạn nên nghiên cứu trình bày cách chi tiết luận văn được, luận văn hạn chế mức độ chung, đưa vài trường hợp ngăn chặn công kiểm tra nguyên nhân lỗi dịch vụ khách hàng nêu tất bước triển khai cụ thể Trong thời gian tới với mục đích nghiên cứu bảo mật cho hệ thống mạng tiếp tục phát triển đề tài Tôi xin chân thành cám ơn thầy giáo TS Lê Dũng, người trực tiếp hướng dẫn tạo điều kiện tốt cho hoàn thành luận văn, xin gữi lời cảm ơn đến thầy cô có nhận xét góp ý quý báu, gửi lời cám ơn đến gia đình bạn bè hỗ trợ giúp hoàn thành luận văn Nguyễn Đức Trụ Page 85 Luận văn Các biện pháp dự phòng chống công mạng internet TÀI LIỆU THAM KHẢO Mark A Dye, Rick McDonald, Antoon W.Rufi.(2008), Network Fundamentals A Tanenbaum,Computer Networks 5th edition Wendell Odom.(2009),CCNP ROUTE 642-902 Official Certification Guide David Hucaby.(2010),CCNP SWITCH 642-813 Official Certification Guide Wendell Odom.(2010),CCENT/CCNA ICND1 – Oficial Exam Certificaion Guide Wendell Odom.(2008),CCENT/CCNA ICND2 – Oficial Exam Certificaion Guide Arne Mikalsen and Per Borgesen.(2002), LAN management Design and Security website http://cisco.com website http://www.hvaonline.net 10 website http://ipmac.vn 11 website http://quangtrimang.com Nguyễn Đức Trụ Page 86 ... toàn mạng core- internet Chương : Các cách phòng chống công mạng core-internet triển khai nhà cung cấp dịch vụ (ISP) nước Nguyễn Đức Trụ Page Luận văn Các biện pháp dự phòng chống công mạng internet.. . UPS để dự phòng, thiết bị đặt nơi có độ an toàn cao 2.2.2 Dự phòng mềm Nguyễn Đức Trụ Page 16 Luận văn Các biện pháp dự phòng chống công mạng internet Nhiệm vụ quan trọng triển khai mạng dự phòng. .. nước Các kết nối nước gọi kết nối peering( ngang hàng sách, điều kiện truy cập) Nguyễn Đức Trụ Page 21 Luận văn Các biện pháp dự phòng chống công mạng internet Chương Các cách phòng chống công mạng