Nghiên cứu tấn công DDOS và xây dựng giải pháp ngăn chặn (Luận văn thạc sĩ)Nghiên cứu tấn công DDOS và xây dựng giải pháp ngăn chặn (Luận văn thạc sĩ)Nghiên cứu tấn công DDOS và xây dựng giải pháp ngăn chặn (Luận văn thạc sĩ)Nghiên cứu tấn công DDOS và xây dựng giải pháp ngăn chặn (Luận văn thạc sĩ)Nghiên cứu tấn công DDOS và xây dựng giải pháp ngăn chặn (Luận văn thạc sĩ)Nghiên cứu tấn công DDOS và xây dựng giải pháp ngăn chặn (Luận văn thạc sĩ)Nghiên cứu tấn công DDOS và xây dựng giải pháp ngăn chặn (Luận văn thạc sĩ)Nghiên cứu tấn công DDOS và xây dựng giải pháp ngăn chặn (Luận văn thạc sĩ)Nghiên cứu tấn công DDOS và xây dựng giải pháp ngăn chặn (Luận văn thạc sĩ)Nghiên cứu tấn công DDOS và xây dựng giải pháp ngăn chặn (Luận văn thạc sĩ)Nghiên cứu tấn công DDOS và xây dựng giải pháp ngăn chặn (Luận văn thạc sĩ)Nghiên cứu tấn công DDOS và xây dựng giải pháp ngăn chặn (Luận văn thạc sĩ)
HỌC VIỆN CƠNG NGHỆ BƢU CHÍNH VIỄN THƠNG - Hoàng Tuấn Ngọc NGHIÊN CỨU TẤN CÔNG DDOS VÀ XÂY DỰNG GIẢI PHÁP NGĂN CHẶN LUẬN VĂN THẠC SĨ KỸ THUẬT (Theo định hƣớng ứng dụng) HÀ NỘI - 2018 - HỌC VIỆN CƠNG NGHỆ BƢU CHÍNH VIỄN THƠNG - Hồng Tuấn Ngọc NGHIÊN CỨU TẤN CƠNG DDOS VÀ XÂY DỰNG GIẢI PHÁP NGĂN CHẶN Chuyên ngành: Kỹ thuật Viễn thông Mã số: 8.52.02.08 LUẬN VĂN THẠC SĨ KỸ THUẬT (Theo định hƣớng ứng dụng) NGƯỜI HƯỚNG DẪN KHOA HỌC: TS HOÀNG VĂN VÕ HÀ NỘI - 2018 i LỜI CẢM ƠN Sau thời gian nỗ lực thực hiện, đồ án “Nghiên cứu công DDOS xây dựng giải pháp ngăn chặn ” phần hoàn thành Ngoài nỗ lực thân, học viên cịn nhận đƣợc khích lệ nhiều từ phía nhà trƣờng, thầy cơ, gia đình bạn bè khoa Chính điều mang lại cho học viên động viên lớn để học viên hồn thành tốt đồ án Trƣớc hết xin cảm ơn bố mẹ, ông bà ngƣời thân yêu động viên, ủng hộ, chăm sóc tạo điều kiện tốt để hồn thành nhiệm vụ Học viên xin cảm ơn Học viện nói chung Khoa quốc tế đào tạo sau đại học nói riêng đem lại cho học viên nguồn kiến thức vô quý giá để học viên có đủ kiến thức hồn thành đồ án nhƣ làm hành trang bƣớc vào đời Học viên xin cảm ơn thầy cô, đặc biệt thầy Hoàng Văn Võ- giáo viên hƣớng dẫn tận tình hƣớng dẫn giúp đỡ học viên có khó khăn q trình học tập nhƣ trình làm đồ án tốt nghiệp Xin cảm ơn tất bạn bè thân yêu động viên, giúp đỡ học viên suốt trình học tập nhƣ làm đề tài Học viên thực Hoàng Tuấn Ngọc ii LỜI CAM ĐOAN Tôi xin cam đoan cơng trình nghiên cứu khoa học độc lập riêng tơi Các số liệu sử dụng phân tích luận án có nguồn gốc rõ ràng, cơng bố theo quy định Các kết nghiên cứu luận án tơi tự tìm hiểu, phân tích cách trung thực, khách quan phù hợp với thực tiễn Việt Nam Các kết chƣa đƣợc công bố nghiên cứu khác Hà Nội, 10/2017 Học viên thực Hoàng Tuấn Ngọc iii MỤC LỤC LỜI CẢM ƠN i LỜI CAM ĐOAN ii MỤC LỤC iii THUẬT NGỮ VIẾT TẮT v DANH MỤC HÌNH VẼ vi DANH MỤC CÁC BẢNG vii MỞ ĐẦU CHƢƠNG I TỔNG QUAN VỀ TẤN CÔNG DDOS 1.1 Giới thiệu chung công DDoS 1.2 Phân loại kiểu công DDoS 1.2.1 Tấn công làm cạn kiệt băng thông 1.2.2 Tấn công làm cạn kiệt tài nguyên 1.3 Một số kiểu công DDoS công cụ công DDoS 1.3.1 Một số kiểu công DDoS 1.3.2 Một số công cụ công DDoS 1.3.3 Một số đặc tính cơng cụ cơng DDoS 10 1.4 Tấn công DDOS với mục tiêu doanh nghiệp vừa nhỏ 10 CHƢƠNG II GIẢI PHÁP NGĂN CHẶN TẤN CÔNG DDOS 12 2.1 Tại DDoS khó giải 12 2.2 Những thách thức xây dựng hệ thống phòng thủ DDoS 13 2.2.1 Những thách thức mặt kĩ thuật 13 2.2.2 Những thách thức mặt xã hội 14 2.3 Mục tiêu phòng chống DDOS 15 2.3.1 Phòng chống DDoS 15 2.3.2 Những vấn đề có liên quan 19 2.4 Giải pháp dành cho doanh nghiệp vừa nhỏ 22 2.4.1 Giải pháp sử dụng phần mềm mã nguồn mở (D)DOS-Deflate APF (Advanced Policy Firewall) 22 iv 2.4.2 Giải pháp sử dụng Snort inline CSF (ConfigServer Security & Firewall) 22 2.4.3 vDDoS Proxy 23 2.4.4 Giải pháp Arbor Network 25 CHƢƠNG III: CÀI ĐẶT VÀ THỬ NGHIỆM MỘT SỐ GIẢI PHÁP NGĂN CHẶN TẤN CÔNG DDOS 30 3.1 Giới thiệu số phần mềm phòng chống DDOS 30 3.1.1 Phòng chống DDOS phần mềm (D)DOS-Deflate 30 3.1.2 Tổng quan Iptables 32 3.1.3 Advanced Policy Firewall (APF) 41 3.1.4 ConfigServer Security & Firewall 55 3.1.5 Snort 58 3.2 Xây dựng giải pháp phịng chống cơng DDoS cho máy chủ 58 3.3 Cài đặt thử nghiệm giải pháp ngăn chặn công DDOS (D)DosDeflate APF Firewall 60 3.3.1 Mơ hình thử nghiệm 60 3.3.2 Kịch – Tấn công máy chủ web chƣa cài đặt (D)Dos-Deflate APF Firewall 61 3.3.3 Kịch – Tấn công máy chủ web cài đặt (D)Dos-Deflate APF Firewall 64 KẾT LUẬN VÀ KIẾN NGHỊ 68 TÀI LIỆU THAM KHẢO 69 v THUẬT NGỮ VIẾT TẮT Từ viết Từ đầy đủ tắt ACK Acknowledgement APF Advanced Policy Firewall BGP CSF DDOS DNS HTTP IPS ISP 10 ICMP 11 MIB 12 SNMP 13 TCP 14 UDP 15 VPS Border Gateway Protocol ConfigServer Security & Cấu hình bảo mật tƣờng lửa Firewall Tấn công từ chối dịch vụ phân Distributed Denial of Service tán Domain Name System Hệ thống tên miền Hypertext Transfer Protocol Giao thức truyền tin siêu văn Intrusion Prevention System Hệ thống chống xâm nhập Nhà cung cấp dịch vụ Internet Internet Service Provider Internet Control Message Giao thức tin điều khiển Protocol Internet Management Information Định nghĩa thông tin truy cập Base quản lý mạng Simple Network Giao thức quản lý mạng đơn giản Management Protocol Transmission Control Giao thức điều khiển truyền tải Protocol Giao thức truyền tin không tin User Datagram Protocol cậy Virtual Private Server Máy chủ ảo STT Nghĩa từ Bản tin xác thực Tƣờng lửa nâng cao dựa theo sách Giao thức định tuyến biên mạng vi DANH MỤC HÌNH VẼ Hình 1.1: Phân loại kiểu công DDOS Hình 1.2: Amplification Attack Hình 1.3: Ba bƣớc kết nối TCP/IP Hình 1.4: Trƣờng hợp IP nguồn giả Hình 1.5: Đặc điểm chung công cụ công DDOS 10 Hình 2.1: Các giai đoạn chi tiết phòng chống DDoS 15 Hình 2.2: Mơ hình sử dụng IPS để lọc gói tin 22 Hình 2.3: website hoạt động khơng có chế bảo vệ 24 Hình 2.4: Website hoạt chặn truy cập không hợp lệ từ ngƣời 25 Hình 2.5: Website chặn truy cập khơng hợp lệ từ bot 25 Hình 2.6: Mơ hình giải pháp phịng chống DDoS Arbor Network 27 Hình 2.7: Giao diện thao tác đƣợc cung cấp cho khách hàng 27 Hình 2.8: Bƣớc phát 28 Hình 2.9: Bƣớc thơng tin bất thƣờng đƣợc chuyển qua TMS 28 Hình 2.10: Bƣớc chuyển hƣớng cơng 29 Hình 2.11: Bƣớc lọc chuyển tiếp liệu hợp lệ 29 Hình 3.1: Mơ hình Iptables/netfilter 33 Hình 3.2: Mơ tả đƣờng gói liệu 35 Hình 3.3: Website “ktvtptit.tk” đƣợc dùng để thử nghiệm 61 Hình 3.4: Tài nguyên máy chủ web chƣa bị công 62 Hình 3.5: Thời gian đáp ứng máy chủ web chƣa bị công kịch 62 Hình 3.6: Ngƣời dùng khơng thể truy cập vào trang “ktvtptit.tk” 62 Hình 3.7: Tài nguyên máy chủ web bị công kịch 63 Hình 3.8: Thời gian đáp ứng máy chủ web bị công kịch 63 Hình 3.9: Tài nguyên máy chủ web sau 15 phút bị công kịch 65 Hình 3.10: Log máy chủ web sau 15 phút bị công kịch 66 Hình 3.11: Thời gian đáp ứng máy chủ web bị công kịch 66 Hình 3.12: E-mail thơng báo chặn địa IP thực công DDoS 67 vii DANH MỤC CÁC BẢNG Bảng 3.1: Các loại queues chức 33 Bảng 3.2: Miêu tả target mà Iptables thƣờng dùng 36 Bảng 3.3: Bảng tùy chọn quan trọng Iptables 38 Bảng 3.4: Các điều kiện TCP UDP thông dụng 39 MỞ ĐẦU Tính cấp thiết đề tài: Trong thập kỷ gần đây, giới Việt Nam chứng kiến phát triển bùng nổ công nghệ thông tin, truyền thông Đặc biệt phát triển trang mạng (websites) ứng dụng trang mạng cung cấp nhiều tiện ích cho ngƣời sử dụng từ tìm kiếm, tra cứu thông tin đến thực giao dịch cá nhân, trao đổi kinh doanh, mua bán, toán hàng hố, dịch vụ, thực dịch vụ cơng Tuy nhiên, phát triển mạnh mẽ trang mạng nói riêng cơng nghệ thơng tin nói chung, vấn đề đảm bảo an tồn, an ninh thông tin trở thành thách thức lớn Một nguy tác động đến việc đảm bảo an tồn thơng tin nhiều năm qua chƣa đƣợc giải hoạt động công từ chối dịch vụ, thủ đoạn phổ biến tội phạm nhằm cản trở gây rối loạn hoạt động mạng máy tính, mạng viễn thơng, mạng Internet, thiết bị số Tại Việt Nam, nhiều năm qua, nhiều trang mạng Chính phủ, trang mạng báo điện tử trang mạng doanh nghiệp thƣơng mại điện tử phải hứng chịu hậu nghiêm trọng tài sản, lẫn uy tín từ đợt cơng từ chối dịch vụ gây tin tặc nƣớc Tuy nhiên, cơng tác đấu tranh phịng, chống loại hành vi cịn có nhiều vấn đề bất cập Lực lƣợng Cảnh sát phòng, chống tội phạm sử dụng công nghệ cao lực lƣợng chuyên trách đấu tranh phịng, chống tội phạm sử dụng cơng nghệ cao nói chung, tội cản trở gây rối loạn hoạt động mạng máy tính, mạng viễn thơng, mạng Internet, thiết bị số nói riêng, có hành vi công từ chối dịch vụ Để nâng cao hiệu cơng tác đấu tranh phịng, chống loại hành vi này, lực lƣợng Cảnh sát phòng, chống tội phạm sử dụng cơng nghệ cao cần có nhận thức đắn đầy đủ đặc điểm liên quan đến thủ đoạn công từ chối dịch vụ Thực tế, có nhiều giải pháp phịng chống DDoS, nhiên, giải pháp phần cứng đắt đỏ, giải pháp phần mềm rời rạc, chƣa tổng hợp Vì vậy, tơi lựa chọn đề tài : 55 Tùy chọn: PKT_SANITY Mô tả: Tùy chọn kiểm sốt gói tin đƣợc kiểm tra kỹ lƣỡng chúng truyền qua tƣờng lửa Tùy chọn PKT_SANITY chuyển đổi cấp cao cho tất tùy chọn SANITY cung cấp chế độ chung cho gói nhƣ phƣơng pháp lọc trƣớc cho tùy chọn khác Nói tóm lại, tùy chọn đảm bảo tất gói đến tuân theo tiêu chuẩn nghiêm ngặt TCP / IP Khi làm nhƣ kẻ cơng khó khăn để chèn gói tin nguyên nhƣ tùy chỉnh vào host 3.1.4 ConfigServer Security & Firewall 3.1.4.1 Giới thiệu chung CSF gói ứng dụng hoạt động Linux nhƣ tƣờng lửa miễn phí dùng để tăng tính bảo mật cho máy chủ CSF hoạt động dựa iptables Login Failure Daemon (ldf) để quyét file log để phát dấu hiệu công bất thƣờng Một số tính CSF: - Chống DoS loại - Chống Scan Port - Chống BruteForce Attack - Chống Syn Flood - Chống Ping Flood - Cho phép ngăn chặn truy cập từ quốc gia cách định Country Code chuẩn ISO - Hỗ trợ IPv6 IPv4 - Cho phép khóa IP tạm thời vĩnh viễn tầng mạng 3.1.4.2 Các thông số cấu hình CSF 56 File cấu hình CSF nằm /etc/csf/csf.conf, số tham số quan trọng file cấu hình CSF là: - TESTING = "0" : Mặc định vừa cài TESTING = "1", với TESTING = "1" LFD daemon (Login Fail Detect daemon) khơng hoạt động, có sai sót server khơng block IP bạn Khi cảm thấy cấu hình ổn tắt TESTING để LFD bắt đầu hoạt động chặn IP công - TESTING_INTERVAL = "5": Thời gian chạy cronjob để clear iptables nhƣ TESTING=1 , tính phút - AUTO_UPDATES = "1": Bật tự động cập nhật CSF - TCP_IN = "22,25,53,80,443": Cho phép gói tin TCP đến cổng 22 ,25 ,52 ,80 ,443 - TCP_OUT = "25,80": Cho phép gói tin TCP đến cổng 25,80 hệ thống khác - UDP_IN = "53" : Cho phép gói tin UDP đến cổng 53 - UDP_OUT = "53": Cho phép gói tin UDP đến cổng 53 - ICMP_IN = "1": Cho phép ping đến máy chủ - ICMP_IN_RATE = "1/s": Giới hạn số gói tin ping đến server yêu cầu/s Nếu ping nhanh tốc độ nhận đƣợc "Request timeout" Trong trƣờng hợp nhiều ngƣời ping đến server lúc, phần lớn nhận đƣợc phản hồi "Request timeout" - ETH_DEVICE = "eth0": Mặc định CSF cấu hình iptables để lọc traffic toàn card mạng, ngoại trừ card loopback Nếu nhƣ bạn muốn iptables lọc traffic qua card mạng "eth0" khai báo 57 - ETH_DEVICE_SKIP = "eth1": Nếu bạn không muốn iptables lọc traffic qua card mạng khai báo - DENY_IP_LIMIT = "500": Giới hạn số lƣợng IP bị block "vĩnh viễn" CSF (các IP đƣợc lƣu file /etc/csf/csf.deny) Khi số lƣợng IP bị block vƣợt qua số này, csf tự động unblock IP cũ (IP dòng file /etc/csf/csf.deny) - DENY_TEMP_IP_LIMIT = "100" : Giới hạn số lƣợng IP bị block tạm thời Khi số lƣợng IP bị block vƣợt qua số này, csf tự động unblock IP cũ (IP dòng file /etc/csf/csf.tempban) Giá trị không giới hạn số lƣợng - LF_DAEMON = "1": Bật tính Login Fail Detection (phát đăng nhập sau) - LF_CSF = "1": Tự động khởi động lại CSF CSF bị treo, tự động kiểm tra trạng thái CSF sau 300s - PACKET_FILTER = "1": Lọc gói tin TCP khơng hợp lệ (INVALID state nhƣ : sequence number không , kết nối ko thực đủ ba bƣớc bắt tay, ) - SYNFLOOD = "1"; SYNFLOOD_RATE = "30/s"; SYNFLOOD_BURST = "40": Nếu IP gửi 30 gói SYN vịng 1s số lƣợng kết nối SYN tồn máy chủ đạt 40 hủy gói SYN - CONNLIMIT = "80;20": Giới hạn số lƣợng kết nối đồng thời đến server IP Ví dụ có nghĩa IP đƣợc phép mở 20 kết nối đồng thời đến port 80 máy chủ - PORTFLOOD = "80;tcp;20;5": Giới hạn số lƣợng kết nối đến cổng cụ thể khoảng thời gian định Ví dụ nhƣ có nghĩa : nhiều 20 kết nối TCP đến cổng 80 vịng 5s block (chặn) IP tối thiểu 5s tính từ packet cuối IP Sau 5s IP tự động đƣợc unlock truy cập bình thƣờng 58 - DROP_NOLOG = "10050,10051": Danh sách cổng bị hủy (drop) không cần phải ghi vào log 3.1.5 Snort 3.1.5.1 Giới thiệu Snort hệ thống phát phòng chống xâm nhập mã nguồn mở đƣợc phát triển Sourcefire Phát phòng chống xâm nhập dựa ƣu điểm chữ ký, giao thức kiểm tra bất thƣờng, Snort IDS/IPS đƣợc triển khai rộng rãi giới Với hàng triệu lƣợt tải gần 400.000 ngƣời đăng ký, Snort trở thành "tiêu chuẩn" cho IPS 3.1.5.2 Một số tham số cấu hình Snort File cấu hình (snort.conf) bao gồm: Thiết lập biến Cấu hình mơđun giải mã (decoder) Cấu hình mơđun phát (detection) Cấu hình thƣ viện liên kết động Cấu hình mơđun tiền xử lý Cấu hình plugin đầu Tùy biến luật 3.2 Xây dựng giải pháp phòng chống cơng DDoS cho máy chủ Do tính chất đa dạng DDoS nên khơng có giải pháp phịng chống DDoS tối ƣu cho trƣờng hợp Giải pháp mà luận văn đề cập đến dành cho mơ hình mạng có server kết nối với Internet liên kết Hiện nay, giới có nhiều cách phịng chống DDoS nói chung phịng chống DDoS cho máy chủ web nói riêng nhƣ sử dụng firewall, triển khai IPS 59 (Intrusion Prevention System- Hệ thống chống xâm nhập), load balancing (cân tải) Có thể đơn cử vài ví dụ cụ thể nhƣ : - Firewall mềm: Skyeagle anti-DDoS firewall http://www.netbot.com.cn FortGuard Anti-DDoS Firewall Standard http://www.fortguard.com/ Advanced Policy Firewall https://www.rfxn.com/projects/advanced-policyfirewall/ ConfigServer Security & Firewall https://configserver.com/cp/csf.html/ - IPS : Lokkit (D)Dos-Deflate Snort Untangle Luận văn tập xây dựng giải pháp phòng chống công DDoS cho máy chủ cách sử dụng kết hợp IPS Firewall mềm gồm (D)Dos-Deflate Advanced Policy Firewall (APF) Lý lựa chọn xây dựng mơ hình gồm (D)Dos-Deflate Advanced Policy Firewall là: - Đối với (D)Dos-Deflate : (D)Dos-Deflate đƣợc biết đến với ƣu điểm nhƣ dễ cấu hình, miễn phí, sử dụng rộng rãi, liên tục đƣợc cập nhật mã nguồn mở nên đƣợc nhiều ngƣời phối hợp tối ƣu nhƣ cấu hình nâng cao giúp việc ngăn chặn công hiệu - Advanced Policy Firewall mà tảng Netfilter có ƣu điểm nhƣ dễ cấu hình, tốc độ sử lý nhanh, đƣợc tích hợp sẵn Kernel Linux 2.6 trở lên APF Firewall có nhiều tùy chọn từ đến nâng cao để ngƣời quản lý máy 60 chủ nghiên cứu nhƣ đƣa phƣơng án tối ƣu mơ hình quản lý - Việc sử dụng kết hợp APF Firewall với (D)Dos-Deflate tạo đƣợc hệ thống phòng chống hoạt động ổn định, dễ cấu hình, dễ dàng tinh chỉnh cần thiết - Triển khai hệ thống phòng chống DDoS bao gồm + Cài đặt cấu hình (D)DOS-Deflate APF Firewall + Kiểm tra đánh giá hiệu 3.3 Cài đặt thử nghiệm giải pháp ngăn chặn cơng DDOS (D)Dos-Deflate APF Firewall 3.3.1 Mơ hình thử nghiệm Mơ hình để thử nghiệm gồm có máy tính đóng vai trị cơng, máy chủ đóng vai trị mục tiêu bị cơng Máy tính cơng có IP “118.70.129.237” Máy chủ bị cơng VPS chạy website gồm có nginx, mySQL Website có IP “103.68.81.90”, domain “ktvtptit.tk” Trong mơ hình này, máy chủ web cài đặt phần mềm (D)Dos-Deflate APF Firewall để ngăn chặn công DDOS 61 Hình 3.3: Website “ktvtptit.tk” đƣợc dùng để thử nghiệm Một vài công cụ công DDOS thƣờng đƣợc sử dụng để tiến hành công DDOS công cụ dễ sử dụng sẵn có mạng Internet Hơn nữa, cơng cụ dễ sử dụng kể ngƣời khơng có nhiều chun mơn Chúng ta liệt kê vài công cụ dƣới đây: HOIC (High Orbit Ion Canon) LOIC (Low Orbit Ion Canon) XOIC R-U-Dead-Yet Pyloris OWASP DOS HTTP Post GoldenEye HTTP Denial of Service Tool Slowloris HTTP Dos Với thử nghiệm này, luận văn sử dụng tool LOIC (Low Orbit Ion Canon) để công 3.3.2 Kịch – Tấn công máy chủ web chƣa cài đặt (D)Dos-Deflate APF Firewall 62 Hình 3.4: Tài nguyên máy chủ web chƣa bị công Thông tin tài nguyên máy chủ chƣa bị cơng : Có 117 tiến trình, Load average: 0.00, CPU (0.2%) gần nhƣ hoạt động Bây tiến hành công vào máy chủ sử dụng website “webpagetest.org” để đo thời gian đáp ứng máy chủ Hình 3.5: Thời gian đáp ứng máy chủ web chƣa bị công kịch Thời gian đáp ứng trung bình máy chủ 1.4s - Tấn cơng Thực công máy chủ web, sau phút cơng ngƣời dùng khơng thể truy cập vào trang demo DDoS (ktvtptit.tk) Hình 3.6: Ngƣời dùng khơng thể truy cập vào trang “ktvtptit.tk” 63 Sau 15 phút cơng, máy chủ web có 137 tiến trình, load average (tải trung bình): 24.20, CPU: 94.0% Hình 3.7: Tài nguyên máy chủ web bị công kịch Đo thời gian đáp ứng trung bình máy chủ kịch này, ta đƣợc: Hình 3.8: Thời gian đáp ứng máy chủ web bị công kịch Thời gian đáp ứng trung bình máy chủ bị cơng DDoS 9379ms Nhận xét: Khi bị công, máy chủ phải tạo nhiều kết nối download từ website “ktvtptit.tk” (nhƣ hình 3.6) để phục vụ yêu cầu từ máy công 64 Thời gian đáp ứng trung bình lên đến 9s/một yêu cầu cho thấy việc phục vụ chậm chạp máy chủ bị công 3.3.3 Kịch – Tấn công máy chủ web cài đặt (D)Dos-Deflate APF Firewall Sau cài đặt (D)Dos-Deflate APF Firewall, cấu hình cho (D)DosDeflate APF Firewall nhƣ sau Cấu hình (D)Dos-Deflate: vi /usr/local/ddos/ddos.conf – Sửa file cấu hình (D)Dos-Deflate FREQ = NO_OF_CONNECTIONS = 50 APF_BAN = KILL = EMAIL_TO = "olaalo.00001@gmail.com" BAN_PERIOD = 600 Cấu hình APF Firewall (nano /etc/apf/conf.apf): DEVEL_MODE =0 IFACE_IN="venet0" IFACE_OUT="venet0" IG_TCP_CPORTS= 21,22,25,53,80,110,111,143,443,587,953,2222,3306,3 2769 IG_UDP_CPORTS="53,111,631,724,5353,32768,32809" 65 EGF="1" EG_TCP_CPORTS="21,22,25,26,27,37,43,53,80,110,113,2222, 443,465,873,2089" EG_UDP_CPORTS="20,21,37,53,873" Thực công DDoS vào máy chủ web, sau 15 phút, thơng tin tình trạng máy chủ web nhƣ sau: có 220 tiến trình, load average 0.2, CPU 0,0% CPU hầu nhƣ không tải Đồng thời APF firewall (D)Dos-Deflate thông báo chặn đƣợc gói tin từ máy cơng DDoS vào máy chủ Hình 3.9: Tài nguyên máy chủ web sau 15 phút bị công kịch 66 Hình 3.10: Log máy chủ web sau 15 phút bị công kịch Đo thời gian đáp ứng trung bình máy chủ, ta đƣợc: Hình 3.11: Thời gian đáp ứng máy chủ web bị công kịch Nhận xét: Sau 15 phút bị cơng, có 123 tiến trình, load average 0.0, CPU 0,5%, chênh lệch không đáng kể so với lúc chƣa bị công RAM tăng lên 1030Mb so với lúc chƣa bị công 844Mb RAM tăng lên máy chủ phải kiểm tra số lƣợng kết nối từ IP kiểm tra gói tin đến Nginx Thời gian đáp ứng có tăng lên 1.6s so với 1.4s lúc chƣa bị cơng điều kiện bị cơng DDOS máy chủ hồn tồn phục vụ đƣợc ngƣời dùng hợp pháp Khi kết hợp APF Firewall (D)Dos-Deflate, gói tin từ máy công bị lọc phần tầng mạng (APF Firewall cản lọc), phần lại bị (D)Dos-Deflate cản lọc tầng ứng 67 dụng Nhƣ cịn gói tin từ ngƣời dùng hợp lệ đến với máy chủ web Đó lý tài nguyên máy chủ web hầu nhƣ không thay đổi trƣớc công DDoS Hơn nữa, ngƣời quản trị nhận đƣợc E-mail thông báo việc máy chủ chặn địa IP thực công vào website Giúp cho ngƣời quản trị chủ động cơng tác chuẩn bị để phịng chống cơng DDoS diễn sau Hình 3.12: E-mail thông báo chặn địa IP thực công DDoS 3.4 Kết luận chƣơng Chƣơng giới thiệu đƣợc số phần mềm phòng chống DDoS hiệu đáng tin cậy nhƣ xây dựng giải pháp phòng chống DDoS cho máy chủ Một vài kết đạt đƣợc chƣơng nhƣ sau: - Hệ thống đáp ứng đƣợc mục tiêu đƣa ra-kéo dài thời gian “phục vụ” server bị DDoS - Việc lựa chọn giá trị để giới hạn số connection từ IP cần phải đƣợc xem xét cẩn thận để không làm ảnh hƣởng đến ngƣời dùng hợp pháp - Do việc triển khai test mạng LAN có số lƣợng máy tham gia nên chƣa đƣợc sát với thực tế 68 KẾT LUẬN VÀ KIẾN NGHỊ Sau sáu tháng làm luận văn sinh viên hoàn thiện đƣợc luận văn đƣợc mối nguy hiểm bị công đề xuất giải pháp ngăn chặn nhƣ hạn chế tác hại hình thức cơng từ chối dịch vụ phân tán Từ xây dựng thử nghiệm số giải pháp đối tƣợng doanh nghiệp vừa nhỏ Đánh giá hiệu biện pháp xây dựng làm tiền đề để phát triển nghiên cứu sau Sinh viên tìm hiểu tƣơng đối thành cơng DDOS xây dựng đƣợc thành cơng phƣơng pháp phịng thủ DDOS Với tìm hiểu đƣợc, sinh viên cảm thấy có nhiều điều cần phải làm để hoàn thiện luận văn nhƣ cách làm thực tế công việc Bản thân sinh viên cần phải có hƣớng dẫn nhiều từ thầy bạn bè - Kết đạt đƣợc Tìm hiểu khái niệm cơng DDOS Tìm hiểu loại kiểu công DDOS Một số cơng cụ cơng DDOS vài ví dụ thực tế tác hại công DDOS nhắm đến mục tiêu doanh nghiệp vừa nhỏ Tìm hiểu số giải pháp phịng thủ DDOS Triển khai thành cơng giải pháp phịng thủ DDOS sử dụng phần mềm mã nguồn mở miễn phí cho máy chủ - Hƣớng phát triển luận văn Do thời gian có hạn nhƣ hạn chế sở vật chất việc tìm hiểu nhƣ xây dựng hệ thống phòng thủ DDOS cịn nhiều hạn chế thiếu sót Sinh viên hi vọng tƣơng lai gần xây dựng, thử nghiệm hai giải pháp phòng thủ lại nêu đánh giá nhƣ so sánh giải pháp tích hợp thêm vài giải pháp để có đƣợc giải pháp phịng thủ tối ƣu trƣớc công DDOS 69 TÀI LIỆU THAM KHẢO [1]- Tô Nguyễn Nhật Quang (2007), Các kỹ thuật công DoS, DDoS, DRDoS & Botnet [2]- Hoàng văn Quân (2008), Ngăn chặn Ddos giao thức “lan tỏa ngược” [3]- Brilly Sangeetha (2015), International Journal of Computer Trends and Technology (IJCTT) [4]- Chris Murphy (2013), An Analysis of the Snort Data Acquisition Modules, SANS Institute InfoSec Reading Room [5]- HangChau, Network Security – Defense Against DoS/DDoS Attack [6]- Jelena Mirkovic, Sven Dietrich, David Dittrich, Peter Reiher (2005), Internet Denial of Service: Attack and Defense Mechanisms, Prentice Hall PTR [7]- Yonghua You (2007), A Defense Framework for Flooding-based DDoS Attacks [8]- https://www.rfxn.com/projects/advanced-policy-firewall/ - Truy nhập ngày 15/09/2017 ... công DDOS xây dựng giải pháp ngăn chặn? ??, với mục đích xây dựng, kiểm thử số giải pháp sử dụng phần mềm mã nguồn mở để công ty vừa nhỏ triển khai dễ dàng Tổng quan vấn đề nghiên cứu: Tấn công DDoS. .. Để có giải pháp phịng chống công DDoS hiệu quả, việc nghiên cứu dạng công DDoS cần thiết Luận văn đƣa nhìn tổng quan dạng cơng DDoS biện pháp phịng chống cơng DdoS từ xây dựng số giải pháp giúp... THƠNG - Hoàng Tuấn Ngọc NGHIÊN CỨU TẤN CÔNG DDOS VÀ XÂY DỰNG GIẢI PHÁP NGĂN CHẶN Chuyên ngành: Kỹ thuật Viễn thông Mã số: 8.52.02.08 LUẬN VĂN THẠC SĨ KỸ THUẬT (Theo định hƣớng ứng