Nghiên cứu tấn công DDOS và xây dựng giải pháp ngăn chặn (Luận văn thạc sĩ)

Nghiên cứu tấn công DDOS và xây dựng giải pháp ngăn chặn (Luận văn thạc sĩ)Nghiên cứu tấn công DDOS và xây dựng giải pháp ngăn chặn (Luận văn thạc sĩ)Nghiên cứu tấn công DDOS và xây dựng giải pháp ngăn chặn (Luận văn thạc sĩ)Nghiên cứu tấn công DDOS và xây dựng giải pháp ngăn chặn (Luận văn thạc sĩ)Nghiên cứu tấn công DDOS và xây dựng giải pháp ngăn chặn (Luận văn thạc sĩ)Nghiên cứu tấn công DDOS và xây dựng giải pháp ngăn chặn (Luận văn thạc sĩ)Nghiên cứu tấn công DDOS và xây dựng giải pháp ngăn chặn (Luận văn thạc sĩ)Nghiên cứu tấn công DDOS và xây dựng giải pháp ngăn chặn (Luận văn thạc sĩ)Nghiên cứu tấn công DDOS và xây dựng giải pháp ngăn chặn (Luận văn thạc sĩ)Nghiên cứu tấn công DDOS và xây dựng giải pháp ngăn chặn (Luận văn thạc sĩ)Nghiên cứu tấn công DDOS và xây dựng giải pháp ngăn chặn (Luận văn thạc sĩ)Nghiên cứu tấn công DDOS và xây dựng giải pháp ngăn chặn (Luận văn thạc sĩ)

HÀ NỘI - 2018

LỜI CẢM ƠN

Sau thời gian nỗ lực thực hiện, đồ án “Nghiên cứu tấn công DDOS và xây dựng giải pháp ngăn chặn ” phần nào đã hoàn thành Ngoài sự nỗ lực của bản thân, học viên còn nhận được sự khích lệ rất nhiều từ phía nhà trường, thầy cô, gia đình và bạn bè trong khoa Chính điều này đã mang lại cho học viên sự động viên rất lớn để học viên

có thể hoàn thành tốt đồ án của mình

Trước hết con xin cảm ơn bố mẹ, ông bà và những người thân yêu đã luôn động viên, ủng hộ, chăm sóc và tạo mọi điều kiện tốt nhất để con hoàn thành nhiệm vụ của mình

Học viên xin cảm ơn Học viện nói chung và Khoa quốc tế và đào tạo sau đại học nói riêng đã đem lại cho học viên nguồn kiến thức vô cùng quý giá để học viên có

đủ kiến thức hoàn thành đồ án cũng như làm hành trang bước vào đời

Học viên xin cảm ơn các thầy cô, đặc biệt là thầy Hoàng Văn Võ- giáo viên hướng dẫn đã tận tình hướng dẫn và giúp đỡ mỗi khi học viên có khó khăn trong quá trình học tập cũng như trong quá trình làm đồ án tốt nghiệp

Xin cảm ơn tất cả bạn bè thân yêu đã động viên, giúp đỡ học viên trong suốt quá

Học viên thực hiện

Hoàng Tuấn Ngọc

LỜI CAM ĐOAN

Tôi xin cam đoan đây là công trình nghiên cứu khoa học độc lập của riêng tôi Các số liệu sử dụng phân tích trong luận án có nguồn gốc rõ ràng, đã công bố theo đúng quy định Các kết quả nghiên cứu trong luận án do tôi tự tìm hiểu, phân tích một cách trung thực, khách quan và phù hợp với thực tiễn của Việt Nam Các kết quả này chƣa từng đƣợc công bố trong bất kỳ nghiên cứu nào khác

Hà Nội, 10/2017

Học viên thực hiện

Hoàng Tuấn Ngọc

MỤC LỤC

LỜI CẢM ƠN i

LỜI CAM ĐOAN ii

MỤC LỤC iii

THUẬT NGỮ VIẾT TẮT v

DANH MỤC HÌNH VẼ vi

DANH MỤC CÁC BẢNG vii

MỞ ĐẦU 1

CHƯƠNG I TỔNG QUAN VỀ TẤN CÔNG DDOS 4

1.1 Giới thiệu chung về tấn công DDoS 4

1.2 Phân loại các kiểu tấn công DDoS 4

1.2.1 Tấn công làm cạn kiệt băng thông 5

1.2.2 Tấn công làm cạn kiệt tài nguyên 7

1.3 Một số kiểu tấn công DDoS và các công cụ tấn công DDoS 9

1.3.1 Một số kiểu tấn công DDoS 9

1.3.2 Một số công cụ tấn công DDoS 9

1.3.3 Một số đặc tính của công cụ tấn công DDoS 10

1.4 Tấn công DDOS với mục tiêu là doanh nghiệp vừa và nhỏ 10

CHƯƠNG II GIẢI PHÁP NGĂN CHẶN TẤN CÔNG DDOS 12

2.1 Tại sao DDoS khó giải quyết 12

2.2 Những thách thức khi xây dựng hệ thống phòng thủ DDoS 13

2.2.1 Những thách thức về mặt kĩ thuật 13

2.2.2 Những thách thức về mặt xã hội 14

2.3 Mục tiêu của phòng chống DDOS 15

2.3.1 Phòng chống DDoS 15

2.3.2 Những vấn đề có liên quan 19

2.4 Giải pháp dành cho doanh nghiệp vừa và nhỏ 22

2.4.1 Giải pháp sử dụng phần mềm mã nguồn mở (D)DOS-Deflate và APF (Advanced Policy Firewall) 22

2.4.2 Giải pháp sử dụng Snort inline và CSF (ConfigServer Security & Firewall).

22

2.4.3 vDDoS Proxy 23

2.4.4 Giải pháp của Arbor Network 25

CHƯƠNG III: CÀI ĐẶT VÀ THỬ NGHIỆM MỘT SỐ GIẢI PHÁP NGĂN CHẶN TẤN CÔNG DDOS 30

3.1 Giới thiệu một số phần mềm phòng chống DDOS 30

3.1.1 Phòng chống DDOS bằng phần mềm (D)DOS-Deflate 30

3.1.2 Tổng quan về Iptables 32

3.1.3 Advanced Policy Firewall (APF) 41

3.1.4 ConfigServer Security & Firewall 55

3.1.5 Snort 58

3.2 Xây dựng giải pháp phòng chống tấn công DDoS cho máy chủ 58

3.3 Cài đặt và thử nghiệm giải pháp ngăn chặn tấn công DDOS bằng (D)Dos-Deflate và APF Firewall 60

3.3.1 Mô hình thử nghiệm 60

3.3.2 Kịch bản 1 – Tấn công máy chủ web khi chưa cài đặt (D)Dos-Deflate và APF Firewall 61

3.3.3 Kịch bản 2 – Tấn công máy chủ web khi đã cài đặt (D)Dos-Deflate và APF Firewall 64

KẾT LUẬN VÀ KIẾN NGHỊ 68

TÀI LIỆU THAM KHẢO 69

THUẬT NGỮ VIẾT TẮT

chính sách

tán

9 ISP Internet Service Provider Nhà cung cấp dịch vụ Internet

cậy

DANH MỤC HÌNH VẼ

Hình 1.1: Phân loại các kiểu tấn công DDOS 4

Hình 1.2: Amplification Attack 6

Hình 1.3: Ba bước kết nối TCP/IP 7

Hình 1.4: Trường hợp IP nguồn giả 8

Hình 1.5: Đặc điểm chung của các công cụ tấn công DDOS 10

Hình 2.1: Các giai đoạn chi tiết trong phòng chống DDoS 15

Hình 2.2: Mô hình sử dụng IPS để lọc gói tin 22

Hình 2.3: website hoạt động khi không có cơ chế bảo vệ 24

Hình 2.4: Website hoạt chặn các truy cập không hợp lệ từ con người 25

Hình 2.5: Website chặn các truy cập không hợp lệ từ các bot 25

Hình 2.6: Mô hình của giải pháp phòng chống DDoS của Arbor Network 27

Hình 2.7: Giao diện thao tác được cung cấp cho khách hàng 27

Hình 2.8: Bước 1 phát hiện 28

Hình 2.9: Bước 2 thông tin bất thường được chuyển qua TMS 28

Hình 2.10: Bước 3 chuyển hướng tấn công 29

Hình 2.11: Bước 4 lọc và chuyển tiếp dữ liệu hợp lệ 29

Hình 3.1: Mô hình Iptables/netfilter 33

Hình 3.2: Mô tả đường đi của gói dữ liệu 35

Hình 3.3: Website “ktvtptit.tk” được dùng để thử nghiệm 61

Hình 3.4: Tài nguyên của máy chủ web khi chưa bị tấn công 62

Hình 3.5: Thời gian đáp ứng của máy chủ web khi chưa bị tấn công ở kịch bản 1 62

Hình 3.6: Người dùng không thể truy cập vào trang “ktvtptit.tk” 62

Hình 3.7: Tài nguyên của máy chủ web khi bị tấn công ở kịch bản 1 63

Hình 3.8: Thời gian đáp ứng của máy chủ web khi bị tấn công ở kịch bản 1 63

Hình 3.9: Tài nguyên của máy chủ web sau 15 phút bị tấn công ở kịch bản 2 65

Hình 3.10: Log của máy chủ web sau 15 phút bị tấn công ở kịch bản 2 66

Hình 3.11: Thời gian đáp ứng của máy chủ web khi bị tấn công ở kịch bản 2 66

Hình 3.12: E-mail thông báo đã chặn địa chỉ IP đang thực hiện tấn công DDoS 67

DANH MỤC CÁC BẢNG

Bảng 3.1: Các loại queues và chức năng của nó 33

Bảng 3.2: Miêu tả các target mà Iptables thường dùng nhất 36

Bảng 3.3: Bảng các tùy chọn quan trọng của Iptables 38

Bảng 3.4: Các điều kiện TCP và UDP thông dụng 39

MỞ ĐẦU

Tính cấp thiết của đề tài:

Trong những thập kỷ gần đây, thế giới và Việt Nam đã và đang chứng kiến sự phát triển bùng nổ của công nghệ thông tin, truyền thông Đặc biệt sự phát triển của các trang mạng (websites) và các ứng dụng trên các trang mạng đã cung cấp nhiều tiện ích cho người sử dụng từ tìm kiếm, tra cứu thông tin đến thực hiện các giao dịch cá nhân, trao đổi kinh doanh, mua bán, thanh toán hàng hoá, dịch vụ, thực hiện các dịch vụ công Tuy nhiên, trong sự phát triển mạnh mẽ của các trang mạng nói riêng và công nghệ thông tin nói chung, vấn đề đảm bảo an toàn, an ninh thông tin cũng trở thành một trong những thách thức lớn Một trong những nguy cơ tác động đến việc đảm bảo

an toàn thông tin trong nhiều năm qua chưa được giải quyết đó chính là các hoạt động tấn công từ chối dịch vụ, một thủ đoạn phổ biến của tội phạm nhằm cản trở hoặc gây rối loạn hoạt động của mạng máy tính, mạng viễn thông, mạng Internet, thiết bị số

Tại Việt Nam, trong nhiều năm qua, nhiều trang mạng của Chính phủ, trang mạng báo điện tử hoặc các trang mạng của các doanh nghiệp thương mại điện tử đã phải hứng chịu những hậu quả nghiêm trọng cả về tài sản, lẫn uy tín từ những đợt tấn công từ chối dịch vụ gây ra bởi các tin tặc trong và ngoài nước Tuy nhiên, công tác đấu tranh phòng, chống đối với loại hành vi này còn có nhiều vấn đề bất cập Lực lượng Cảnh sát phòng, chống tội phạm sử dụng công nghệ cao là lực lượng chuyên trách trong đấu tranh phòng, chống tội phạm sử dụng công nghệ cao nói chung, tội cản trở hoặc gây rối loạn hoạt động của mạng máy tính, mạng viễn thông, mạng Internet, thiết bị số nói riêng, trong đó có hành vi tấn công từ chối dịch vụ Để nâng cao hiệu quả công tác đấu tranh phòng, chống loại hành vi này, lực lượng Cảnh sát phòng, chống tội phạm sử dụng công nghệ cao cần có nhận thức đúng đắn và đầy đủ về các đặc điểm liên quan đến thủ đoạn tấn công từ chối dịch vụ Thực tế, cũng đã có nhiều giải pháp về phòng chống DDoS, tuy nhiên, các giải pháp về phần cứng thì khá đắt đỏ, các giải pháp về phần mềm thì rời rạc, chưa tổng hợp Vì vậy, tôi đã lựa chọn đề tài :

”Nghiên cứu tấn công DDOS và xây dựng giải pháp ngăn chặn”, với mục

đích xây dựng, kiểm thử một số giải pháp sử dụng phần mềm mã nguồn mở để các công ty vừa và nhỏ có thể triển khai dễ dàng

Tổng quan về vấn đề nghiên cứu:

Tấn công DDoS rất khó phát hiện và phòng chống hiệu quả do số lượng các host bị điều khiển tham gia tấn công thường rất lớn và nằm rải rác ở nhiều nơi Ở những quy mô nhỏ đối với các doanh nghiệp vừa và nhỏ, những người quản trị website

và máy chủ cũng như cung cấp dịch vụ thông qua các web server và VPS luôn luôn phải hứng chịu rất nhiều cuộc tấn công DDOS từ các đối thủ cạnh tranh gây trở ngại trong việc cung cấp và duy trì dịch vụ Để có giải pháp phòng chống tấn công DDoS hiệu quả, việc nghiên cứu về các dạng tấn công DDoS là cần thiết Luận văn này đưa ra cái nhìn tổng quan về các dạng tấn công DDoS và các biện pháp phòng chống tấn công DdoS từ đó xây dựng một số giải pháp giúp nâng cao hiểu biết về dạng tấn công này và trên cơ sở đó lựa chọn các biện pháp phòng chống hiệu quả

Mục đích nghiên cứu:

Nghiên cứu tìm hiểu về DDoS, phân loại DDoS, giới thiệu một số công cụ tấn công DDoS và các giải pháp phòng thủ DDoS mà về mặt chủ quan học viên nhận thấy được tính khả thi Dựa trên các giải pháp đã trình bày xây dựng một số kịch bản kiểm thử việc ngăn chặn tấn công DDOS với mục tiêu là các server và máy chủ của doanh nghiệp vừa và nhỏ

Đối tượng và phạm vi nghiên cứu:

Nghiên cứu về các loại hình tấn công từ chối dịch vụ phân tán và một số giải pháp dựa trên phần mềm mã nguồn mở Từ đó học viên cài đặt và kiểm thử hai giải pháp có giá thành rẻ, dễ triển khai với cá nhân và các doanh nghiệp vừa và nhỏ

Phương pháp nghiên cứu:

Học viên thu thập tài liệu, bài báo và các báo cáo về tấn công từ chối dịch vụ phân tán trong Internet Nghiên cứu về tình hình và các cách thức tấn công từ chối dịch

vụ trong mạng Internet và nghiên cứu xây dựng một số giải pháp ngăn chặn tấn công Luận văn bao gồm 3 chương :

- Chương I Tổng quan về tấn công DDoS: Giới thiệu chung về DDoS, phân

loại các kiểu tấn công DDoS, giới thiệu một số công cụ tấn công DDoS

- Chương II Giải pháp ngăn chặn tấn công DDOS: Trình bày về lý thuyết và

một số cấu hình cơ bản và quan trọng của Iptables và (D)Dos-Deflate

- Chương III Cài đặt và thử nghiệm một số giải pháp ngăn chặn tấn công

DDoS: Trình bày mô hình thực tế, giải pháp, mô hình thực nghiệm và quá trình kiểm

tra đánh giá, nhận xét hệ thống phòng chống xâm nhập

CHƯƠNG I TỔNG QUAN VỀ TẤN CÔNG DDOS

1.1 Giới thiệu chung về tấn công DDoS

Tấn công bằng từ chối dịch vụ DoS (Denial of Service) có thể mô tả như hành động ngăn cản những người dùng hợp pháp khả năng truy cập và sử dụng vào một dịch

vụ nào đó Nó bao gồm: làm tràn ngập mạng, mất kết nối với dịch vụ… mà mục đích cuối cùng là máy chủ (Server) không thể đáp ứng được các yêu cầu sử dụng dịch vụ từ

các máy trạm (Client)

Tấn công từ chối dịch vụ phân tán (Distributed Denial of Service – DDoS) là một dạng phát triển ở mức độ cao của tấn công DoS được phát hiện lần đầu tiên vào năm 1999 Khác biệt cơ bản của tấn công DoS và DDoS là phạm vi tấn công.Trong khi lưu lượng tấn công DoS thường phát sinh từ một hoặc một số ít host nguồn, lưu lượng tấn công DDoS thường phát sinh từ rất nhiều host nằm rải rác trên mạng Internet Hiện nay, có hai phương pháp tấn công DDoS chủ yếu

1.2 Phân loại các kiểu tấn công DDoS

Nhìn chung, có rất nhiều biến thể của kỹ thuật tấn công DDoS nhưng nếu nhìn dưới góc độ chuyên môn thì có thể chia các biến thề này thành hai loại dựa trên mụch đích tấn công: Làm cạn kiệt băng thông và làm cạn kiệt tài nguyên hệ thống Dưới đây

là sơ đồ mô tả sự phân loại các kiểu tấn công DDoS

1.2.1 Tấn công làm cạn kiệt băng thông

Tấn công làm cạn kiệt băng thông (BandWith Depletion Attack) được thiết kế nhằm làm tràn ngập mạng mục tiêu với những traffic không cần thiết, với mục địch làm giảm tối thiểu khả năng của các traffic hợp lệ đến được hệ thống cung cấp dịch vụ của mục tiêu

Có hai loại tấn công làm cạn kiệt băng thông :

- Flood attack: Điều khiển các Agent gửi một lượng lớn traffic đến hệ thống dịch vụ

của mục tiêu, làm dịch vụ này bị hết khả năng về băng thông

- Amplification attack: Điều khiển các Agent hay Client tự gửi packet đến một địa

chỉ IP broadcast, làm cho tất cả các máy trong subnet này gửi packet đến hệ thống dịch

vụ của mục tiêu Phương pháp này làm gia tăng traffic không cần thiết, làm suy giảm băng thông của mục tiêu

1.2.1.1 Flood attack

Trong phương pháp này, các Agent sẽ gửi một lượng lớn IP traffic làm hệ thống dịch vụ của mục tiêu bị chậm lại, hệ thống bị treo hay đạt đến trạng thái hoạt động bão hòa Làm cho những người dùng thực sự của hệ thống không sử dụng được dịch vụ

Ta có thể chia Flood Attack thành hai loại:

- UDP Flood Attack: Điều khiển các Agent gửi một lượng lớn traffic đến hệ

thống dịch vụ của mục tiêu, làm dịch vụ này bị hết khả năng về băng thông

- ICMP Flood Attack: Điều khiển các Agent hay Client tự gửi packet đến một

địa chỉ IP broadcast, làm cho tất cả các máy trong subnet này gửi packet đến hệ thống dịch vụ của mục tiêu Phương pháp này làm gia tăng traffic không cần thiết, làm suy giảm băng thông của mục tiêu

1.2.1.2 Amplification Attack

Amplification Attack nhắm đến việc sử dụng các chức năng hỗ trợ địa chỉ IP broadcast của các router nhằm khuyếch đại và hồi chuyển cuộc tấn công Chức năng này cho phép bên gửi chỉ định một địa chỉ IP broadcast cho toàn subnet bên nhận thay

vì nhiều địa chỉ Router sẽ có nhiệm vụ gửi đến tất cả địa chỉ IP trong subnet đó packet broadcast mà nó nhận được

Attacker có thể gửi broadcast packet trực tiếp hay thông qua một số Agent nhằm làm gia tăng cường độ của cuộc tấn công Nếu attacker trực tiếp gửi packet, thì có thể lợi dụng các hệ thống bên trong broadcast network như một Agent

Hình 1.2: Amplification Attack

Có thể chia amplification attack thành hai loại, Smuft va Fraggle attack:

- Smuft attack: trong kiểu tấn công này attacker gửi packet đến network

amplifier (router hay thiết bị mạng khác hỗ trợ broadcast), với địa chỉ của nạn nhân

- Fraggle Attack: tương tự như Smuft attack nhưng thay vì dùng ICMP ECHO

REQUEST packet thì sẽ dùng UDP ECHO packet gửi đến mục tiêu

1.2.2 Tấn công làm cạn kiệt tài nguyên

Tấn công làm cạn kiệt tài nguyên (Resource Deleption Attack) là kiểu tấn công trong đó Attacker gửi những packet dùng các protocol sai chức năng thiết kế, hay gửi những packet với dụng ý làm tắt nghẽn tài nguyên mạng làm cho các tài nguyên này không phục vụ những người dùng thông thường khác được

1.2.2.1 Protocol Exploit Attack

- TCP SYN Attack: Transfer Control Protocol hỗ trợ truyền nhận với độ tin

cậy cao nên sử dụng phương thức bắt tay giữa bên gửi và bên nhận trước khi truyền dữ liệu Bước đầu tiên, bên gửi gửi một SYN REQUEST packet (Synchronize) Bên nhận nếu nhận được SYN REQUEST sẽ trả lời bằng SYN/ACK packet Bước cuối cùng, bên gửi sẽ truyên packet cuối cùng ACK và bắt đầu truyền dữ liệu

Hình 1.3: Ba bước kết nối TCP/IP

Nếu bên server đã trả lời một yêu cầu SYN bằng một SYN/ACK nhưng không nhận được ACK packet cuối cùng sau một khoảng thời gian quy định thì nó sẽ gửi lại SYN/ACK cho đến hết thời gian timeout Toàn bộ tài nguyên hệ thống “dự trữ” để xử

lý phiên giao tiếp nếu nhận được ACK packet cuối cùng sẽ bị “phong tỏa” cho đến hết thời gian timeout

Hình 1.4: Trường hợp IP nguồn giả

Nắm được điểm yếu này, attacker gửi một SYN packet đến nạn nhân với địa chỉ bên gửi là giả mạo, kết quả là nạn nhân gửi SYN/ACK đến một địa chỉ khác và sẽ không bao giờ nhận được ACK packet cuối cùng, cho đến hết thời gian timeout nạn nhân mới nhận ra được điều này và giải phóng các tài nguyên hệ thống Tuy nhiên, nếu lượng SYN packet giả mạo đến với số lượng nhiều và dồn dập, hệ thống của nạn nhân

có thể bị hết tài nguyên

- PUSH và ACK Attack: Trong TCP protocol, các packet được chứa trong

buffer, khi buffer đầy thì các packet này sẽ được chuyển đến nơi cần thiết Tuy nhiên, bên gửi có thể yêu cầu hệ thống unload buffer trước khi buffer đầy bằng cách gửi một packet với cờ PUSH và ACK mang giá trị là 1 Những packet này làm cho hệ thống của nạn nhân unload tất cả dữ liệu trong TCP buffer ngay lập tức và gửi một ACK packet trở về khi thực hiện xong điều này, nếu quá trình được diễn ra liên tục với nhiều Agent, hệ thống sẽ không thể xử lý được lượng lớn packet gửi đến và sẽ bị treo

1.2.2.2 Malformed Packet Attack

Malformed Packet Attack là cách tấn công dùng các Agent để gửi các packet

có cấu trúc không đúng chuẩn nhằm làm cho hệ thống của nạn nhân bị treo

Có hai loại Malformed Packet Attack:

- IP address attack: dùng packet có địa chỉ gửi và nhận giống nhau làm cho hệ

điều hành của nạn nhân không xử lý nổi và bị treo

- IP packet options attack: ngẫu nhiên hóa vùng OPTION trong IP packet và

thiết lập tất cả các bit QoS lên 1, điều này làm cho hệ thống của nạn nhân phải tốn thời gian phân tích, nếu sử dụng số lượng lớn Agent có thể làm hệ thống nạn nhân hết khả năng xử lý

1.3 Một số kiểu tấn công DDoS và các công cụ tấn công DDoS

1.3.1 Một số kiểu tấn công DDoS

Bên cạnh việc phân loại các kiểu tấn công theo mục đích tấn công, ta còn có thể phân loại theo cách tấn công vào giao thức Dưới đây là phân loại một số cách tấn công DDoS theo giao thức :

( tham khảo từ 4/dos_attacks.html)

1.3.2 Một số công cụ tấn công DDoS

Một vài công cụ tấn công DDOS thường được sử dụng để tiến hành tấn công DDOS và là những công cụ rất dễ sử dụng và luôn sẵn có trên mạng Internet Hơn nữa, những công cụ này rất dễ sử dụng kể cả đối với người không có nhiều chuyên môn Chúng ta có thể liệt kê một vài công cụ ở dưới đây: [1, tr.3]

 R-U-Dead-Yet

1.3.3 Một số đặc tính của công cụ tấn công DDoS

Có rất nhiều điểm chung về mặt software của các công cụ DDoS attack Có thể kể ra một số điểm chung như: cách cài Agent software, phương pháp giao tiếp giữa các attacker, handler và Agent, điểm chung về loại hệ điều hành hỗ trợ các công cụ này Hình 1.5 mô tả sự so sánh tương quan giữa các công cụ tấn công DDoS này

Hình 1.5: Đặc điểm chung của các công cụ tấn công DDOS

1.4 Tấn công DDOS với mục tiêu là doanh nghiệp vừa và nhỏ

Theo Verisign, các doanh nghiệp vừa và nhỏ hiện nay gặp nhiều cuộc tấn công

từ chối dịch vụ hơn trước một phần do việc thực hiện một cuộc tấn công DDoS ngày nay đã trở nên dễ dàng hơn đối với những kẻ tấn công nhờ sự xuất hiện của điện toán đám mây, hosting giá rẻ, băng thông có sẵn và những công cụ tấn công mã nguồn mở Không những thế, thị trường "cho thuê DDoS (DDoS-for-hire)" đang ngày một nở rộ,

từ những thiếu niên hay lừa đảo khi chơi trò chơi trực tuyến cho đến những tội phạm mạng tìm cách gia tăng thu nhập bằng việc cho thuê mạng máy tính botnet của họ để gia tăng thu nhập Những lĩnh vực bị tấn công DDoS nhiều nhất gồm: Dịch vụ IT/đám mây/SaaS (49%); Khối hành chính công (32%)

Tuy nhiên, tiền vẫn là mục tiêu chính cho các cuộc tấn công DdoS Mối quan tâm ngày càng tăng với tiền ảo dẫn đến sự gia tăng giá trị trao đổi trong quý II năm

2017 Vụ trao đổi Bitcoin lớn nhất, Bitfinex bị tấn công cùng lúc với việc mua bán loại tiền IOT mới mà IOTA đã đưa ra trước đó BTC-E cho biết, dịch vụ của họ đã bị chậm

do cuộc tấn công DDoS mạnh mẽ này Rõ ràng, với cách này tội phạm mạng đang cố gắng thao túng tỷ giá tiền tệ, điều có thể khiến sự biến động tiền ảo tăng cao

Những tổn thất về tài chính bắt nguồn từ các cuộc tấn công DdoS tăng không ngừng, các cơ quan thực thi pháp luật bắt đầu có những hành động nghiêm túc hơn Vào tháng 4 năm 2017, ở Anh, một thanh niên đã bị kết án 2 năm tù vì một loạt vụ tấn công mà anh ta đã tiến hành từ 5 năm trước khi vẫn còn là sinh viên Người đàn ông này đã tạo ra mạng botnet Titanium Stresser và kinh doanh các dịch vụ của mình trên một chợ darknet, và kiếm được khoảng 386,000$

Không có nhiều đổi mới kỹ thuật trong các cuộc tấn công DdoS trong Quý II, tuy nhiên tin tức liên quan đến một cuộc tấn công DdoS vector mới đáng được chú ý Các nhà nghiên cứu từ Corero Network Security báo cáo rằng họ đã đăng ký hơn 400 cuộc tấn công với sự trợ giúp của các máy chủ LDAP được cấu hình sai

Trên phương diện là người quản lý, vận hành website và dịch vụ trực tuyến, bản thân học viên cũng luôn gặp phải các cuộc tấn công từ chối dịch vụ làm cho việc cung cấp và duy trì dịch vụ đến người dùng gặp rất nhiều trở ngại Chính điều đó đã thôi thúc học viên nghiên cứu và tìm giải pháp phòng chống lại các cuộc tấn công từ chối dịch vụ

1.5 Kết luận chương

Ta có thể thấy được việc tấn công DDoS là rất phức tạp cũng như gây ra hậu quả rất lớn Chương này đã chỉ ra được các vấn đề tổng quan về DDoS và phân loại các kiểu tấn công DDoS điển hình

CHƯƠNG II GIẢI PHÁP NGĂN CHẶN TẤN CÔNG DDOS 2.1 Tại sao DDoS khó giải quyết

Thực hiện tấn công DDoS có 2 trường phái chính: đó là nhằm vào điểm yếu (vulnerability attack) và làm ngập mạng (flooding attack) Do có 1 số đặc tính về kĩ thuật như sau làm ta rất khó giải quyết được triệt để các cuộc tấn công DDoS:

- Sự đơn giản: Một người bình thường không rành về mạng cung có thể thực hiện 1 cuộc tấn công từ chối dịch vụ Bởi vì đã có sẵn rất nhiều công cụ DDoS trên mạng và cả hướng dẫn sử dụng đầy đủ từ a-z để thực hiện

- Sự đa dạng của các gói tin tấn công: Sự giống nhau giữa các traffic tấn công và các traffic hợp lệ làm quản trị viên khó có thể phân biệt được Khác với các nguy cơ bảo mật như virut, worm, adware… cần phải có những gói tin mánh khóe, mẹo mực lợi dụng vào lỗ hổng, nhưng flood attack chỉ cần lưu lượng lớn traffic và header cũng như nội dung packet đều có thể tùy ý theo Attacker

- IP spoofing: Sự giả mạo IP làm cho các traffic attack từ agents đến như là từ những người dùng hợp lệ Vì thế quản trị viên rất khó phân biệt để có thể từ chối phục

vụ những request tấn công

- Lượng traffic lớn, gửi với tần suất cao: Lượng traffic khổng lồ mà DDoS tạo ra không chỉ làm ngập tài nguyên của Victim, mà còn làm quản trị viên rất khó mô tả, phân tích và tách biệt được packet hợp lệ và packet tấn công chúng

- Số lượng lớn các Agents: Một trong những điểm mạnh của tấn công DDoS là

có thể huy động được 1 số lượng lớn Agent phân tán trên toàn Internet Khi đó, luồng tấn công sẽ lan tỏa trên nhiều nhánh tới Victim, điểm tụ tấn công sẽ gần sát nạn nhân,

và hệ thống phòng thủ sẽ rất khó có thể chống từ phía xa Ngoài ra, hệ thống Agent phân tán cũng đồng nghĩa với sự phức tạp, phong phú, khác biệt về mô hình quản lý mạng giữa các ISP khác nhau, vì thế các cơ cơ chế phòng thủ yêu cầu sự phối hợp từ nhiều nơi sẽ triển khai khó khăn hơn rất nhiều

- Những điểm yếu trên mô hình mạng Internet: Có những cơ chế, giao thức mạng mà khi thiết kế người ta chưa lường trước được những điểm yếu có thể bị lợi dụng (ví dụ TCP SYN, ping of Death, LAND Attack…) Đôi khi là lỗi của nhà quản trị khi cấu hình các policy mạng chưa hợp lý

2.2 Những thách thức khi xây dựng hệ thống phòng thủ DDoS

Do những tính chất phức tạp của DDoS như đã trình bày ở trên, nên xây dựng 1

hệ thống phòng thủ DDoS là không đơn giản Để làm được điều đó cần xử lý được trên

cả 2 lĩnh vực: kĩ thuật và xã hội

2.2.1 Những thách thức về mặt kĩ thuật

Cần sự xử lý phân tán từ nhiều điểm trên Internet: Vì attack traffic xảy ra từ nhiều nguồn khác nhau, đi qua toàn mạng Internet trong khi thường chỉ có một mình Victim với ít thiết bị, quyền hạn, khả năng xử lý hạn chế nên không thể đạt được hiệu quả cao Sự tấn công phân tán thì cần sự phòng thủ phân tán thì mới giải quyết triệt để được

Thiếu thông tin chi tiết về các cuộc tấn công thực tế: Có không nhiều thông tin

về tác hại của DDoS gây lên cho các doanh nghiệp, nó thường chỉ có khi tác hại của

nó là rõ ràng và doanh nghiệp không thể tự xử lý được mà phải báo lên chính quyền

Vì thế lại càng ít các thông tin chi tiết, như là bản log các traffic, sơ đồ mạng chi tiết của doanh nghiệp

Khó thử nghiệm trên thực tế: Những hệ thống thử nghiệm DDoS ở phòng thí nghiệm không thể phản ánh đúng thực tế rộng lớn, phong phú trên mạng Internet được Trong khi đó nếu muốn triển khai để thử nghiệm thật qua Internet thì các điều luật không cho phép, vì tấn công DDoS không chỉ ảnh hưởng đến Victim, mà còn liên quan đến rất nhiều các thành phần khác như router, switch… của ISP quản lý ở phần lõi Mạng Còn nếu thử nghiệm luôn trên 1 hệ thống thật đang bị tấn công thì lại thiếu thông tin cần đo đạc ở Agent, Handler, Attacker…

Chưa có chuẩn đánh giá các hệ thống phòng thủ: Có nhiều vendor đã công bố rằng giải pháp của họ có thể giải quết được DDoS Nhưng hiện tại chưa có 1 lộ trình chuẩn nào để kiểm thử các hệ thống phòng thủ DDoS Từ đó dẫn đến 2 vấn đề: thứ nhất là những người phát triển hệ thống phòng thủ tự test chính họ, do đó những thiết

kế sẽ luôn phù hợp nhất để hệ thống đó hoạt động thuận lợi Thứ hai là những nghiên cứu về DDoS không thể so sánh hiệu suất thực tế của các hệ thống phòng thủ khác nhau, thay vào đó, họ chỉ có thể nhận xét về từng giải pháp trên môi trường thử nghiệm

2.2.2 Những thách thức về mặt xã hội

Một thử thách lớn khi muốn giải quyết triệt để vấn nạn tấn công DDoS là về yếu tố Xã hội Có rất nhiều điều luật về an ninh, bảo mật của nhiều đất nước, nhiều ISP khác nhau mà người triển khai khó có thể thỏa mãn tất cả để thực hiện hệ thống phòng thủ của mình Ví dụ ISP không cho bạn sơ đồ chi tiết cấu hình Mạng, không cho phép bạn tự do cài đặt chương trình trên các router của họ… Đối với các nạn nhân của DDoS, thông thường là các doanh nghiệp, thì việc đầu tiên là họ sẽ cố gắng tự mình giải quyết, nếu thành công thì sẽ giấu kín, không công bố cho bên ngoài là mình đang

bị tấn công vì lo ngại ảnh hưởng đến danh tiếng của công ty Chỉ khi nào dịch vụ của

họ bị chết hẳn, không thể tự cứu thì mới liên hệ với các ISP và chính quyền

Một vấn đề khác là đôi khi cần phải sửa đổi một số điểm yếu của các kiến trúc mạng để giảm tác hại của DDoS, ví dụ như giao thức TCP, IP, HTTP… Nhưng không

dễ làm được điều đó, vì hiện tại đã có rất nhiều hệ thống xây dựng trên nền tảng cũ, và không thể ngày thay đổi trong ngày một ngày hai được

Có một đặc điểm của DDoS là khi Victim bị tấn công, thì nếu muốn triệt để không còn traffic DDoS nữa, thì phải làm sao yêu hàng nghìn Agent ngừng tấn công Chỉ có 1 cách làm được điều này là tại các Agent phải cài đặt 1 phần mềm, hay hệ thống để ngăn chặn gói tin DDoS ngay khi vừa sinh ra Nhưng không dễ thuyết phục được các End User làm điều đó, vì nó không mang lại lợi ích trực tiếp gì cho bản thân

họ, đôi khi còn làm ảnh hưởng đến hiệu năng mạng của End User

Yếu tố cuối cùng là thiếu sự thống nhất về các điều luật, chế tài xử phạt các Attacker, Handler, Agents giữa các bộ luật về Công nghệ thông tin của các nước và giữa các quy định về bảo mật, an toàn của các Internet Service Provider

2.3 Mục tiêu của phòng chống DDOS

2.3.1 Phòng chống DDoS

Có rất nhiều giải pháp và ý tưởng được đưa ra nhằm đối phó với các cuộc tấn công kiểu DDoS Tuy nhiên không có giải pháp và ý tưởng nào là giải quyết trọn vẹn bài toán Phòng chống DDoS Các hình thái khác nhau của DDoS liên tục xuất hiện theo thời gian song song với các giải pháp đối phó, tuy nhiên cuộc đua vẫn tuân theo quy luật tất yếu của bảo mật máy tính: “Hacker luôn đi trước giới bảo mật một bước”

Có ba giai đoạn chính trong quá trình Phòng chống DDoS:

- Giai đoạn ngăn ngừa: tối thiểu hóa lượng Agent, tìm và vô hiệu hóa các Handler

- Giai đoạn đối đầu với cuộc tấn công: Phát hiện và ngăn chặn cuộc tấn công, làm suy giảm và dừng cuộc tấn công, chuyển hướng cuộc tấn công

- Giai đoạn sau khi cuộc tấn công xảy ra: thu thập chứng cứ và rút kinh nghiệm

Hình 2.1: Các giai đoạn chi tiết trong phòng chống DDoS

2.3.1.1 Tối thiểu hóa lượng Agent

Từ phía người dùng: một phương pháp rất tốt để ngăn ngừa tấn công DDoS là

từng người dùng Internet sẽ tự đề phòng không để bị lợi dụng tấn công hệ thống khác Muốn đạt được điều này thì ý thức và kỹ thuật phòng chống phải được phổ biến rộng rãi cho mọi người dùng Mạng lưới Botnet sẽ không bao giờ hình thành nếu không có người nào bị lợi dụng trở thành Agent Mọi người dùng phải liên tục thực hiện các quá trình bảo mật trên máy vi tính của mình Họ phải tự kiểm tra sự hiện diện của Agent trên máy của mình, điều này là rất khó khăn đối với những người dùng thông thường Một giải pháp đơn giản là nên cài đặt và update liên tục các software như antivirus, antitrojan và các bản patch của hệ điều hành

Từ phía Network Service Provider: Thay đổi cách tính tiền dịch vụ truy cập

theo dung lượng sẽ làm cho user lưu ý đến những gì họ gửi, như vậy về mặt ý thức tăng cường phát hiện DDoS Agent sẽ tự nâng cao ở mỗi người dùng

2.3.1.2 Tìm và vô hiệu hóa các Handler

Một nhân tố vô cùng quan trọng trong mạng Botnet là Handler, nếu có thể phát hiện và vô hiệu hóa Handler thì khả năng Phòng chống DDoS thành công là rất cao Bằng cách theo dõi các giao tiếp giữa Handler và Client hay Handler và Agent ta có thể phát hiện ra vị trí của Handler Do một Handler quản lý nhiều, nên triệt tiêu được một Handler cũng có nghĩa là loại bỏ một lượng đáng kể các Agent trong mạng Botnet

2.3.1.3 Phát hiện dấu hiệu của cuộc tấn công

Có nhiều kỹ thuật được áp dụng:

- Agress Filtering: Kỹ thuật này kiểm tra xem một packet có đủ tiêu chuẩn ra

khỏi một subnet hay không dựa trên cơ sở gateway của một subnet luôn biết được địa chỉ IP của các máy thuộc subnet Các packet từ bên trong subnet gửi ra ngoài với địa chỉ nguồn không hợp lệ sẽ bị giữ lại để điều tra nguyên nhân Nếu kỹ thuật này được áp

dụng trên tất cả các subnet của Internet thì khái nhiệm giả mạo địa chỉ IP sẽ không còn tồn tại

- MIB statistics: trong Management Information Base (SNMP-Simple

Network Management Protocol ) của route luôn có thông tin thống kể về sự biến thiên trạng thái của mạng Nếu ta giám sát chặt chẽ các thống kê của Protocol ICMP, UDP

và TCP ta sẽ có khả năng phát hiện được thời điểm bắt đầu của cuộc tấn công để tạo

“quỹ thời gian vàng” cho việc xử lý tình huống

2.3.1.4 Làm suy giảm hay dừng cuộc tấn công

Dùng các kỹ thuật sau:

- Load balancing: Thiết lập kiến trúc cân bằng tải cho các server trọng điểm

sẽ làm gia tăng thời gian chống chọi của hệ thống với cuộc tấn công DDoS Tuy nhiên, điều này không có ý nghĩa lắm về mặt thực tiễn vì quy mô của cuộc tấn công là không

có giới hạn

- Throttling: Thiết lập cơ chế điều tiết trên router, quy định một khoảng tải

hợp lý mà server bên trong có thể xử lý được Phương pháp này cũng có thể được dùng

để ngăn chặn khả năng DDoS traffic không cho user truy cập dịch vụ Hạn chế của kỹ thuật này là không phân biệt được giữa các loại traffic, đôi khi làm dịch vụ bị gián đoạn với user, DDoS traffic vẫn có thể xâm nhập vào mạng dịch vụ nhưng với số lượng hữu hạn

- Drop request: Thiết lập cơ chế drop request nếu nó vi phạm một số quy

định như: thời gian delay kéo dài, tốn nhiều tài nguyên để xử lý, gây deadlock Kỹ thuật này triệt tiêu khả năng làm cạn kiệt năng lực hệ thống, tuy nhiên nó cũng giới hạn một số hoạt động thông thường của hệ thống, cần cân nhắc khi sử dụng

2.3.1.5 Chuyển hướng cuộc tấn công

Honeyspots: Một kỹ thuật đang được nghiên cứu là Honeyspots

Honeyspots là một hệ thống được thiết kế nhằm đánh lừa attacker tấn công vào khi xâm nhập hệ thống mà không chú ý đến hệ thống quan trọng thực sự

Honeyspots không chỉ đóng vai trò “Lê Lai cứu chúa” mà còn rất hiệu quả trong việc phát hiện và xử lý xâm nhập, vì trên Honeyspots đã thiết lập sẵn các cơ chế giám sát và báo động

Ngoài ra, Honeyspots còn có giá trị trong việc học hỏi và rút kinh nghiệm từ Attacker, do Honeyspots ghi nhận khá chi tiết mọi động thái của attacker trên hệ thống Nếu attacker bị đánh lừa và cài đặt Agent hay Handler lên Honeyspots thì khả năng bị triệt tiêu toàn bộ mạng Botnet là rất cao

2.3.1.6 Giai đoạn sau tấn công

Trong giai đoạn này thông thường thực hiện các công việc sau:

-Traffic Pattern Analysis: Nếu dữ liệu về thống kê biến thiên lượng traffic

theo thời gian đã được lưu lại thì sẽ được đưa ra phân tích Quá trình phân tích này rất

có ích cho việc tinh chỉnh lại các hệ thống Load Balancing và Throttling Ngoài ra các

dữ liệu này còn giúp quản trị mạng điều chỉnh lại các quy tắc kiểm soát traffic ra vào mạng của mình

- Packet Traceback: bằng cách dùng kỹ thuật Traceback ta có thể truy

ngược lại vị trí của Attacker (ít nhất là subnet của attacker) Từ kỹ thuật Traceback ta phát triển thêm khả năng Block Traceback từ attacker khá hữu hiệu

- Bevent Logs: Bằng cách phân tích file log sau cuộc tấn công, quản trị

mạng có thể tìm ra nhiều manh mối và chứng cứ quan trọng

2.3.2 Những vấn đề có liên quan

DDoS là một kiểu tấn công rất đặc biệt, điểm cực kỳ hiểm ác của DDoS làm cho

nó khó khắc phục là “DDoS đánh vào nhân tố yếu nhất của hệ thống thông tin – con người” Từ đặc điểm này của DDoS làm phát sinh rất nhiều các vần đề mà mọi người trong cộng đồng Internet phải cùng chung sức mới có thể giải quyết

Sau đây là các yếu điểm mà chúng ta cần phải hạn chế :

2.3.2.1 Thiếu trách nhiệm với cộng đồng

Con người thông thường chỉ quan tâm đầu tư tiền bạc và công sức cho hệ thống thông tin của “chính mình” DDoS khai thác điểm này rất mạnh ở phương thức giả mạo địa chỉ và Broadcast amplification

- IP spoofing: một cách thức đơn giản nhưng rất hiệu quả được tận dụng tối đa

trong các cuộc tấn công DDoS Thực ra chống giả mạo địa chỉ không có gì phức tạp, như đã đề cập ở phần trên, nếu tất cả các subnet trên Internet đều giám sát các packet ra khỏi mạng của mình về phương diện địa chỉ nguồn hợp lệ thì không có một packet giả mạo địa chỉ nào có thể truyền trên Internet được

Đề nghị: “Tự giác thực hiện Egress Filtering ở mạng do mình quản lý” Hi vọng

một ngày nào đó sẽ có quy định cụ thể về vấn đề này cho tất cả các ISP trên toàn cầu

- Broadcast Amplification: tương tự IP spoofing, nó lợi dụng toàn bộ một

subnet để flood nạn nhân Vì vậy, việc giám sát và quản lý chặt chẽ khả năng broadcast của một subnet là rất cần thiết Quản trị mạng phải cấu hình toàn bộ hệ thống không nhận và forward broadcast packet

2.3.2.2 Sự im lặng

Hầu hết các tổ chức đều không có phản ứng hay im lặng khi hệ thống của mình bị lợi dụng tấn công hay bị tấn công Điều này làm cho việc ngăn chặn và loại trừ

chia sẻ kinh nghiệm từ các cuộc tấn công, trong khi giới hacker thì chia sẻ mã nguồn

mở của các công cụ, một cuộc chơi không cân sức

Đề nghị:

- Mỗi tổ chức có liên quan nên thiết lập quy trình xử lý xâm nhập vào tổ chức, nhóm chuyên trách với trách nhiệm và quy trình thật cụ thể Các ISP nên thiết lập khả năng phản ứng nhanh và chuyên nghiệp để hỗ trợ các tổ chức trong việc thực hiện quy trình xử lý xâm nhập của mình

- Khuyến khích các quản trị mạng gia nhập mạng lưới thông tin toàn cầu của các tổ chức lớn về bảo mật nhằm thông tin kịp thời và chia sẻ kinh nghiệm với mọi người

- Tất cả các cuộc tấn công hay khuyết điểm của hệ thống đều phải được báo cáo đến bộ phận tương ứng để xử lý

về mặt quy định bắt buộc và pháp lý nhằm hỗ trợ chúng tac giải quyết các vấn đề mà

kỹ thuật không thực hiện nỗi Một số vấn đề cần thực hiện thêm trong tương lai:

- Giám sát chi tiết về luồng dữ liệu ở cấp ISP để cảnh cáo về cuộc tấn công

- Xúc tiến đưa IPSec và Secure DNS vào sử dụng

- Khẳng định tầm quan trọng của bảo mật trong quá trình nghiên cứu và phát triển của Internet II

- Nghiên cứu phát triển công cụ tự động sinh ra ACL từ security policy, router và

- Ủng hộ việc phát triển các sản phẩm hướng bảo mật có các tính năng: bảo mật mặc định, tự động update

- Tài trợ việc nghiên cứu các protocol và các hạ tầng mới hỗ trợ khả năng giám sát, phân tích và điều khiển dòng dữ liệu thời gian thực

- Phát triển các router và switch có khả năng xử lý phức tạp hơn

- Nghiên cứu phát triển các hệ thống tương tự như Intrusion Dectection, hoạt động

so sánh trạng thái hiện tại với định nghĩa bình thường củ hệ thống từ đó đưa ra các cảnh báo

- Góp ý kiến để xây dựng nội quy chung cho tất cả các thành phần có liên quan đến Internet

- Thiết lập mạng lưới thông tin thời gian thực giữa những người chịu trách nhiệm

về hoạt động của hệ thống thông tin nhằm cộng tác-hỗ trợ-rút kinh nghiệm khi có một cuộc tấn công quy mô xảy ra

- Phát triển hệ điều hành bảo mật hơn

- Nghiên cứu các hệ thống tự động hồi phục có khả năng chống chọi, ghi nhận và hồi phục sau tấn công cho các hệ thống xung yếu

- Nghiên cứu các biện pháp truy tìm, công cụ pháp lý phù hợp nhằm trừng trị thích đáng các attacker mà vẫn không xâm phạm quyền tự do riêng tư cá nhân

- Đào tạo lực lượng tinh nhuệ về bảo mật làm nòng cốt cho tính an toàn của Internet

- Nhấn mạnh yếu tố bảo mật và an toàn hơn là chỉ tính đến chi phí khi bỏ ra xây dựng một hệ thống thông tin

2.4 Giải pháp dành cho doanh nghiệp vừa và nhỏ

2.4.1 Giải pháp sử dụng phần mềm mã nguồn mở (D)DOS-Deflate và APF (Advanced Policy Firewall)

Với phương pháp này, máy chủ sẽ cài APF(Advanced Policy Firewall) để cản lọc gói tin từ tầng mạng và (D)DOS-Deflate để lọc gói tin tầng ứng dụng Các gói tin nào hợp lệ sẽ được máy chủ phục vụ

DDOS-Deflate được coi là một script bash shell nhẹ được thiết kế để giúp đỡ trong quá trình ngăn chặn một cuộc tấn công từ chối dịch vụ Nó thường theo dõi và giám sát tất cả các địa chỉ IP làm cho các kết nối đến máy chủ bằng lệnh netstat Bất cứ khi nào nó phát hiện tấn công, nghĩa là số lượng kết nối từ một nút đơn vượt quá giới hạn nhất định được định nghĩa trong tập tin cấu hình quy định, kịch bản sẽ tự động đi

và chặn địa chỉ IP đó bằng các bảng IP hoặc APF dựa trên cấu hình các gói tin nào hợp lệ sẽ được máy chủ phục vụ

Hình 2.2: Mô hình sử dụng IPS để lọc gói tin

2.4.2 Giải pháp sử dụng Snort inline và CSF (ConfigServer Security &

Firewall)

Phương pháp này sử dụng một máy chủ làm gateway, trên máy chủ này cài CSF

để cản lọc gói tin từ tầng mạng và Snort inline để lọc gói tin tầng ứng dụng Mặc dù nó

không bảo vệ hệ thống hoàn toàn chống lại các cuộc tấn công DDOS lớn, nhưng nó vẫn rất hữu ích

Snort inline nhận các gói tin từ iptables sau đó dựa vào các luật đã được định nghĩa để quyết định cấm hay cho phép gói tin đi qua

2.4.3 vDDoS Proxy

vDDoS Proxy là một giải pháp miễn phí kết hợp vDDoS Protection và vDDoS Layer4 Mapping giúp bạn cài đặt lên một máy chủ Reverse Proxy Server chạy giao thức HTTP(S) hoạt động như một tường lửa có tác dụng giảm thiểu sự truy vấn tràn ngập của các công cụ auto bot DOS, DDOS, SYN Floods, HTTP Floods attack giúp

đỡ bảo vệ cho Website của bạn

-Block/Allow Country Code bạn muốn (Status 403)

-Limit số kết nối đến từ 1 IP address (Status 503)

-Hỗ trợ CDN (CloudFlare, Incapsula )

-Whitelist cho Botsearch (Hỗ trợ các bạn cần SEO Chỉ cho phép 1 số Botsearch: Google, Alexa, Bing, Yahoo, Yandex, Facebook mà bạn muốn)

Cách thức vDDoS Proxy hoạt động?

vDDoS Protection là một autoscript hoạt động trên Linux giúp bạn dựng lên tự động các thành phần bao gồm Nginx Server và các modules phụ: HTTP/2; GeoIP; Limit Req, Testcookie; reCaptcha Cơ chế hoạt động tương tự dịch vụ CDN Cloudflare cung cấp tuy nhiên đây là 1 phần mềm nên nó chỉ giúp bạn có thể tự dựng

Ví dụ trường hợp web hoạt động mà không có một cơ chế bất kỳ bảo vệ: (chấp nhận xử lý tất cả truy vấn)

Hình 2.3: website hoạt động khi không có cơ chế bảo vệ

Như hình trên nếu bạn bị một công cụ bot truy vấn liên tục sẽ làm cho CPU, RAM, IO của bạn đột ngột tăng và dùng hết khiến bạn lâm vào hoàn cảnh từ chối dịch vụ

Nếu website hoạt động mà có bảo vệ: (thách thức tất cả truy vấn)

-Truy vấn từ con người :

Hình 2.4: Website hoạt chặn các truy cập không hợp lệ từ con người

-Bots xấu truy vấn:

Hình 2.5: Website chặn các truy cập không hợp lệ từ các bot

2.4.4 Giải pháp của Arbor Network

Hiện tại, Arbor Networks là đơn vị cung cấp giải pháp phòng chống tấn công DDOS hàng đầu thế giới Hơn 70% ISP trên toàn cầu đang sử dụng giải pháp này (thống kê từ nhà cung cấp) Sự phổ biến của giải pháp khẳng định tính hiệu quả của việc phòng chống DDOS với những công nghệ tiên tiến dưới đây:

Network Behavior Analysis: lựa chọn các hoạt động mạng bình thường dựa

trên phân tích thông tin từ công nghệ Flow (Cisco, Juniper, IPFIX ) và gói dữ liệu thô

Sử dụng kết quả từ các phân tích này xác định các hành vi bình thường của mạng, từ đó

so sánh theo thời gian thực dữ liệu mạng hiện tại với dữ liệu mẫu để phát hiện bất thường Nhờ công nghệ này, khách hàng có thể phát hiện sớm các cuộc tấn công 0-day (chưa được ghi nhận từ trước) để kịp thời ngăn chặn không gây ảnh hưởng cho mạng lưới/khách hàng

Active Threat Level Analysis System (ATLAS): Công nghệ được xây dựng

bao gồm sự tham gia của trên 230 nhà cung cấp dịch vụ đang sử dụng giải pháp của Arbor, với khối dữ liệu vô danh được chia sẻ lên tới 35Tbps Với lượng dữ liệu khổng

dấu hiệu tấn công Với công nghệ độc đáo này, khách hàng có thể thấy chi tiết về mạng lưới của họ cũng như tổng quan về tình hình tấn công trên toàn cầu; cung cấp thông tin đầy đủ về cuộc tấn công DDOS, mã độc, botnet

Cung cấp thông tin về rủi ro theo thời gian thực: ATLAS Intelligence Feed

(AIF) được cung cấp trên toàn bộ mạng lưới của Arbor theo thời gian thực, giúp khách hàng sử dụng giải pháp có thể liên tục cập nhật và phát hiện ngay các cuộc tấn công

Cloud Signaling Coalition: Công nghệ hỗ trợ, mở rộng việc phát hiện và chống

tấn công DDOS một cách sâu sắc Với sự phối hợp của hai dòng sản phẩm Peakflow (đặt phía nhà cung cấp) và Pravail (đặt tại khách hàng, Datacenter ), khi hệ thống của khách hàng phát hiện bị tấn công DDOS, thiết bị Pravail sẽ có thể gửi thông báo đến thiết bị Peakflow đặt tại nhà cung cấp ISP để hỗ trợ, chuyển luồng tấn công DDOS và

do đó hệ thống của khách hàng sẽ trở về bình thường

Giải pháp Peakflow là nền tảng an ninh cho phần lớn các nhà cung cấp dịch vụ trên thế giới và nhiều doanh nghiệp hàng đầu, nền tảng Peakflow Arbor bao gồm Arbor Peakflow SP và Threat Management System (TMS)

Các giải pháp Arbor Peakflow SP kết hợp phát hiện bất thường trên toàn mạng

và kỹ thuật giám sát băng thông với Peakflow TMS nhằm quản lý mối đe dọa, tự động phát hiện và thực hiện loại bỏ các lưu lượng tấn công trong khi vẫn duy trì các lưu lượng băng thông hợp pháp

Xác định và giảm thiểu các mối đe dọa nguy hiểm như botnet và các loại tấn công DDoS vào băng thông cũng như tấn công DDoS vào tầng ứng dụng

Tăng cường tính sẵn có và đảm bảo chất lượng dịch vụ

Một chiến lược đầu tư thích hợp cho các nhà cung cấp dịch vụ, cho phép họ sử dụng các giải pháp của Arbor như là một lợi thế đảm bảo tính sẵn sàng và an ninh để cung cấp dịch vụ tạo ra chất lượng khác biệt trong quản lý cơ sở hạ tầng đản bảo chất lượng dịch vụ như MPLS, VPN và các dịch vụ an ninh chống tấn công DDoS Mô hình tổng thể của giải pháp như hình 2.6

Hình 2.6: Mô hình của giải pháp phòng chống DDoS của Arbor Network

Peakflow: có chức năng phòng chống DDOS cho hệ thống mạng và cung cấp dịch vụ cho toàn bộ khách hàng Cung cấp giao diện để người dùng thao tác quản lý hệ thống hạn chế DDOS

Hình 2.7: Giao diện thao tác được cung cấp cho khách hàng

Các bước giảm thiểu tấn công

Quá trình giảm thiểu tấn công trên các ISP gồm các bước

Hình 2.8: Bước 1 phát hiện

Dữ liệu từ hệ thống bên ngoài tấn công DDOS mục tiêu là Enterprise B (nét đứt đậm màu đỏ) Thiết bị Peakflow SP CP kết nối với hệ thống mạng biên và lõi của Hệ thống cũng sẽ nhận biết được luồng tấn công này thông qua NetFlow và thu thập dữ liệu SNMP

Hình 2.9: Bước 2 thông tin bất thường được chuyển qua TMS

Dựa trên ngưỡng baseline bình thường, Peakflow SP CP so sánh để nhận biết trạng thái hiện tại hệ thống có bị tấn công hay không Thông tin về cuộc tấn công được

Peakflow SP quảng bá BGP để chuyển luồng tấn công về cho thiết bị TMS (đường đứt màu xanh) xử lý Sau đó, toàn bộ luồng dữ liệu đến EnterpriseB sẽ chuyển qua TMS:

Hình 2.10: Bước 3 chuyển hướng tấn công

TMS thực hiện lọc các dữ liệu tấn công và chỉ chuyển dữ liệu sạch đến mạng của khách hàng EnterpriseB Người quản trị truy cập giao diện trên Peakflow SP để theo dõi quá trình, thông tin, trạng thái của quá trình hạn chế tấn công

Hình 2.11: Bước 4 lọc và chuyển tiếp dữ liệu hợp lệ

Người dùng có thể chủ động chuyển luồng dữ liệu đến khách hàng về như cũ khi dấu hiệu tấn công đã kết thúc (tự động) hoặc chủ động kết thúc qua giao diện điều khiển trên Peakflow SP

2.5 Kết luận chương

Thông qua chương này, ta có thể thấy DDoS thực sự là “Rất dễ thực hiện, hầu

như không thể tránh, hậu quả rất nặng nề.” Chính vì vậy việc đấu tranh phòng chống

DDoS là công việc không chỉ của một cá nhân, một tập thể hay một quốc gia mà là công việc của toàn thế giới nói chung và cộng đồng sử dụng mạng Internet nói riêng Ngoài ra, chương này đã giới thiệu được một số giải pháp phòng chống DDoS hiệu hỏa hiện đang được áp dụng khá phổ biến trên thế giới

CHƯƠNG III: CÀI ĐẶT VÀ THỬ NGHIỆM MỘT SỐ GIẢI

PHÁP NGĂN CHẶN TẤN CÔNG DDOS

3.1 Giới thiệu một số phần mềm phòng chống DDOS

3.1.1 Phòng chống DDOS bằng phần mềm (D)DOS-Deflate

3.1.1.1 Giới thiệu

(D)DoS-Deflate là một mã nguồn mở miễn phí Unix / Linux được phát triển bởi MediaLayer tự động giảm nhẹ tấn công (D)Dos Được xem là phần mềm tốt nhất, miễn phí, mã nguồn mở giải pháp để bảo vệ máy chủ chống lại hầu hết các cuộc tấn công DDoS Dos Deflate cơ bản giám sát và theo dõi các địa chỉ IP đang gửi và thiết lập số lượng lớn các kết nối mạng TCP như gửi email tin đại chúng, DoS ping, các yêu cầu HTTP bằng cách sử dụng “netstat” command, đó là triệu chứng của một cuộc tấn công

từ chối dịch vụ Khi phát hiện số lượng kết nối từ một nút duy nhất vượt quá giới hạn nhất định cài sẵn, kịch bản sẽ tự động sử dụng APF hoặc iptables cấm và chặn IP Tùy thuộc vào cấu hình, các địa chỉ IP bị cấm sử dụng sẽ được unbanned APF hoặc iptables (chỉ hoạt động trên APF v 0,96 hoặc các bản mới hơn)

- Các tính năng của (D)Dos-Deflate