Đang tải... (xem toàn văn)
Tài liệu này sẽ cung cấp cho các bạn những kiến thức về tấn công từ chối dịch vụ và demo cách xây dựng hệ thống máy chủ web server có khả năng phòng chống tấn công DDoS. Trong những năm gần đây, tấn công từ chối dịch vụ đang trở nên rất phổ biến và trở nên bùng phát khi ngày càng nhiều người tiếp cận Internet, ngày càng nhiều cá nhân, tổ chức, doanh nghiệp sử dụng mạng Internet để phục vụ cho các mục đích kinh doanh, quảng bá sản phẩm. Cùng với sự phát triển của mạng Internet, các kỹ thuật cũng như công cụ tấn công ngày càng đa dạng. Điều đó khiến cho việc tiếp cận với khái niệm tấn công của một bộ phận người dùng ngày càng dễ dàng. Chỉ việc lên bất kỳ máy tìm kiếm nào và gõ dòng chữ “công cụ ddos” là có thể tải về hàng loạt các công cụ với các biến thể khác nhau, từ hình thức tấn công đơn giản nhất cho đến cực kỳ phức tạp. Với sự sẵn có này, từ một đứa trẻ hoàn toàn không biết gì về các khái niệm của mạng cho đến một chuyên gia cũng đều có thể khiến cho một dịch vụ nào đó không thể truy cập hoặc chí ít cũng khiến nó trì trệ đôi chút. Họ thực hiện các cuộc tấn công vì nhiều lý do. Từ việc tấn công có mục đích như triệt hạ đối thủ hay chỉ tấn công để thể hiện bản thân. Thậm chỉ có các cuộc tấn công gây ra hiệu quả nghiêm trọng chỉ vì một người nào đó muốn xem thử công cụ mình mới tìm được hay tạo ra được có tác dụng như thế nào. Có những cuộc tấn công vì “chính nghĩa”, cũng có những cuộc tấn công vì tư lợi. Nhưng tất cả đều gây ra hiệu quả xấu đối với Internet.
TÌM HIỂU VÀ XÂY DỰNG GIẢI PHÁP PHỊNG CHỐNG TẤN CƠNG TỪ CHỐI DỊCH VỤ Đồ án (Mơn học/Tốt nghiệp): An Ninh Mạng Tên đề tài: TÌM HIỂU VÀ XÂY DỰNG GIẢI PHÁP PHỊNG CHỐNG TẤN CƠNG TỪ CHỐI DỊCH VỤ GVHD: Hà Văn Cử SVTH: Đào Xuân Hưng Mã lớp: 25CCAN02 Khóa: 25 …………, Ngày … Tháng …….Năm 200… TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn Tel: (848) 6267 8999 - Fax: (848) 6283 7867 NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn Tel: (848) 6267 8999 - Fax: (848) 6283 7867 NHẬN XÉT CỦA DOANH NGHIỆP TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn Tel: (848) 6267 8999 - Fax: (848) 6283 7867 LỜI NÓI ĐẦU Trong năm gần đây, công từ chối dịch vụ trở nên phổ biến trở nên bùng phát ngày nhiều người tiếp cận Internet, ngày nhiều cá nhân, tổ chức, doanh nghiệp sử dụng mạng Internet để phục vụ cho mục đích kinh doanh, quảng bá sản phẩm Cùng với phát triển mạng Internet, kỹ thuật công cụ cơng ngày đa dạng Điều khiến cho việc tiếp cận với khái niệm công phận người dùng ngày dễ dàng Chỉ việc lên máy tìm kiếm gõ dòng chữ “cơng cụ ddos” tải hàng loạt công cụ với biến thể khác nhau, từ hình thức cơng đơn giản phức tạp Với sẵn có này, từ đứa trẻ hồn tồn khơng biết khái niệm mạng chuyên gia khiến cho dịch vụ khơng thể truy cập chí khiến trì trệ đơi chút Họ thực cơng nhiều lý Từ việc cơng có mục đích triệt hạ đối thủ hay cơng để thể thân Thậm có công gây hiệu nghiêm trọng người muốn xem thử cơng cụ tìm hay tạo có tác dụng Có cơng “chính nghĩa”, có cơng tư lợi Nhưng tất gây hiệu xấu Internet Theo Kaspersky Lab, vào Quý năm 2016, Việt Nam đứng thứ tư nước bị DDoS Trong đó, Việt Nam chiếm khoảng 1.6% lượng máy chủ C&C giới Đặc biệt vào cuối năm 2016, công vô khủng khiếp vào hệ thống Dyn - nhà cung cấp tên miền máy chủ Mỹ khiến cho hệ thống đáp trả lại truy vấn DNS người dùng Kết loạt hệ thống lớn Twitter, SoundCloud, Shopify, dừng hoạt động suốt ngày Các hệ thống Github, Netflix, Reddit bị ảnh hưởng nặng nề Trước thực trạng đó, đề tài nghiên cứu để giúp cho doanh nghiệp nhỏ vừa có khả hạn chế công từ chối dịch vụ nhằm vào hệ thống Qua đảm bảo hệ thống mạng không xảy cố nghiêm trọng suốt trình vận hành TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn Tel: (848) 6267 8999 - Fax: (848) 6283 7867 MỤC LỤC GIỚI THIỆU TỔNG QUAN 1.1 Giới thiệu công từ chối dịch vụ 1.2 Các công tiếng 10 TÌM HIỂU KIẾN THỨC 11 2.1 Tổng quan giao thức TCP/IP 11 2.1.1 Giao thức IP 12 2.1.2 Hệ thống Port 15 2.1.3 Giao thức TCP 16 2.1.4 Giao thức UDP 19 2.1.5 Giao thức ICMP 21 2.2 Tổng quan công từ chối dịch vụ 21 2.2.1 2.2.1.1 DoS (Denial of Service) 22 2.2.1.2 DDoS (Distributed Denial of Service) 23 2.2.1.3 DRDoS (Distributed Reflection Denial of Service) 25 2.2.2 2.3 Các hình thức công từ chối dịch vụ 22 Các phương thức công phổ biến 25 Tổng quan firewall 29 2.3.1 Giới thiệu firewall 29 2.3.2 Giới thiệu Iptables 31 2.3.3 Giới thiệu ModSecurity 33 2.4 Dịch vụ theo dõi tiến trình Monit 34 2.5 Dịch vụ giám sát Monitorix 35 2.6 Kỹ thuật cân tải CDN 36 PHÂN TÍCH VÀ THIẾT KẾ 39 3.1 Sơ đồ khuyến nghị cho doanh nghiệp 39 3.1.1 Xây dựng hệ thống server doanh nghiệp 39 3.1.2 Thuê hạ tầng Datacenter 40 3.1.3 Thuê máy chủ vật lý 41 3.1.4 Thuê dịch vụ Cloud Server 41 3.2 Sơ đồ triển khai cho đồ án 42 TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn Tel: (848) 6267 8999 - Fax: (848) 6283 7867 TRIỂN KHAI THỰC HIỆN 43 4.1 Cài đặt cấu hình 43 4.1.1 Tối ưu Kernel 43 4.1.2 Tối ưu Apache 44 4.1.3 Cấu hình Iptables 47 4.1.4 Cài đặt cấu hình ModSecurity 53 4.1.4.1 Phân tích hình thức công Wordpress pingback 53 4.1.4.2 Phân tích cơng với liên kết Facebook 53 4.1.4.3 Cản lọc ModSecurity 55 4.1.5 Cài đặt cấu hình Monit 56 4.1.6 Cài đặt cấu hình Monitorix 58 4.2 Tấn công thử nghiệm 63 4.2.1 Tấn công thử nghiệm với công cụ TorsHammer 63 4.2.2 Tấn công thử nghiệm với DDoSOverProxy 64 4.2.3 Tấn công thử nghiệm với liên kết Facebook 65 ĐÁNH GIÁ VÀ HƯỚNG PHÁT TRIỂN 68 5.1 Đánh giá đề tài 68 5.2 Hướng phát triển 68 TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn Tel: (848) 6267 8999 - Fax: (848) 6283 7867 MỤC LỤC HÌNH ẢNH Hình 1: Tấn công từ chối dịch vụ Hình 2: Mơ hình TCP/IP 11 Hình 3: IP Header 12 Hình 4: Network Address Translation 15 Hình 5: Danh sách port phổ biến 16 Hình 6: Quá trình bắt tay bước 17 Hình 7: Quá trình ngắt kết nối 18 Hình 8: Cấu trúc TCP header 19 Hình 9: Giao thức truyền tin UDP 20 Hình 10: Cấu trúc UDP header 20 Hình 11: Cấu trúc ICMP header 21 Hình 12: Mơ hình cơng DDoS 23 Hình 13: Mơ hình mạng Botnet 24 Hình 14: Mơ hình cơng DRDoS 25 Hình 15: Tấn cơng SYN Flood 26 Hình 16: Tấn cơng Ping of Death 27 Hình 17: Sơ đồ cơng Smurf 28 Hình 18: Tấn cơng HTTP POST 29 Hình 19: Sơ đồ xử lý Netfilter 32 Hình 20: Monit Service Manager 34 Hình 21: Dịch vụ giám sát Monitorix 35 Hình 22: Mơ hình Load Balancing 37 Hình 23: Mơ hình Failover 37 Hình 24: Các A Record Google.com 38 Hình 25: Mơ hình triển khai CDN Server 39 Hình 26: Datacenter 41 Hình 27: Mơ hình hệ thống Cloud 42 Hình 28: Sơ đồ triển khai cho đồ án 42 Hình 29: Cấu hình MPM cho Apache 44 Hình 30: Cấu hình module reqtimeout 45 Hình 31: Một website thu gọn HTML 46 TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn Tel: (848) 6267 8999 - Fax: (848) 6283 7867 Hình 32: Cấu hình Browser Cache cho Apache 47 Hình 33: Sơ đồ chain đồ án 49 Hình 34: Một ví dụ công Pingback 53 Hình 35: Chức Facbook Preload 54 Hình 36: Cấu hình ModSecurity 56 Hình 37: Nội dung file denyhost.sh 56 Hình 38: Cài đặt dịch vụ Monit 57 Hình 39: Cấu hình dịch vụ Monit 57 Hình 40: Giám sát Apache với Monit 57 Hình 41: Monit khởi động thành cơng 58 Hình 42: Cài đặt dịch vụ Monitorix 59 Hình 43: Cấu hình Monitorix 59 Hình 43 & 44: Giao diện Monitorix 61 Hình 45: Kích hoạt Apache graph Monitorix 62 Hình 46: Tấn cơng HTTP POST 63 Hình 47: Loại bỏ kết nối từ TorsHammer 63 Hình 48: Traffic vào server 64 Hình 49: Log ghi nhận từ Apache 65 Hình 50: Tấn cơng với Facebook Preload 66 Hình 51: Kết kiểm tra từ check-host.net 66 Hình 52: Lượng server processes Apache tạo 67 Hình 53: Traffic vào server 67 Hình 54: Số lượng request Apache ghi nhận 68 TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn Tel: (848) 6267 8999 - Fax: (848) 6283 7867 TÌM HIỂU VÀ XÂY DỰNG GIẢI PHÁP PHỊNG CHỐNG TẤN CÔNG TỪ CHỐI DỊCH VỤ GIỚI THIỆU TỔNG QUAN 1.1 Giới thiệu công từ chối dịch vụ Tấn cơng từ chối dịch vụ hình thức công khiến cho hệ thống mục tiêu bị tê liệt đáp ứng yêu cầu người dùng Tấn cơng từ chối dịch vụ một, nhiều mạng lưới máy tính tham gia cơng tùy theo mục đích hacker khả phòng thủ mục tiêu Hình 1: Tấn công từ chối dịch vụ Bất kỳ hệ thống trở thành mục tiêu công từ chối dịch vụ Tuy nhiên, việc công từ chối dịch vụ không ảnh hưởng đến mục tiêu mà ảnh hưởng đến Internet tồn cầu Điển hình vụ cơng vào DynDNS vào năm 2016 khiến cho gần nửa Internet phục vụ người dùng thời gian ngắn Việc công khiến TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn Tel: (848) 6267 8999 - Fax: (848) 6283 7867 cho DynDNS trả lời truy vấn DNS mà khiến cho lượng lớn liệu ùn ùn đổ vào hệ thống Internet Mỹ khiến cho dịch vụ khác bị ảnh hưởng nghiêm trọng 1.2 Các công tiếng Một số công tiếng: - Cuộc công liên quan đến máy chủ DNS xảy vào tháng 01/2001 mục tiêu trang Register.com Chúng sử dụng danh sách hàng ngàn ghi (records) có tuổi thọ năm thời điểm công - Vào tháng 02/2001, máy chủ Cục Tài Ireland bị cơng DDoS, thủ phạm sinh viên đến từ trường Maynooth, trường Đại học Ireland Vụ việc bị phản ánh số sinh viên trường bị kỷ luật sau - Trong năm 2009, xảy phản đối bầu cử Iran, nhà hoạt động nước ngồi tìm cách giúp đỡ phe đối lập tham gia vào công DDoS chống lại phủ Iran Trang web thức phủ Iran (ahmedinejad.ir) khơng thể truy cập - Ngày 25/09/2009, ngày Michael Jackson qua đời, lượng truy cập tìm kiếm từ khóa có liên quan đến Michael Jackson lớn khiến Google News ban đầu lầm tưởng công tự động - Vào ngày 28/11/2010, Wikileaks.org bị DDoS công Cuộc công xảy WikiLeaks chuẩn bị tung tài liệu mật phủ Mỹ Bộ Ngoại giao Mỹ sau biết thông tin định thơng báo trước đến phủ khác mà tổ chức WikiLeaks phát tán - Vào 8/12/2010, Một nhóm hacker cơng đồng loạt trang web hãng MasterCard, Visa để trả đũa cho việc chủ Wikileaks bị tạm giam Anh Nhóm hacker, lấy tên "chiến dịch trả đũa", nhận trách nhiệm gây lỗi kỹ thuật nghiêm trọng trang web MasterCard Tuyên bố đưa qua thông điệp mạng xã hội Twitter - Cuộc công đánh sập thành công website Mastercard, PostFinance Visa PostFinance, ngân hàng đóng băng tài khoản Julian Assange, bị ngưng hoạt động 16 đồng hồ 10 TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn Tel: (848) 6267 8999 - Fax: (848) 6283 7867 Facebook tự động tạo truy cập đến website để lấy hình ảnh ngẫu nhiên tiêu đề hiển thị lên đăng để người dùng biết nội dung liên kết Khi người dùng bấm vào đăng, Facebook liên kết sau: https://www.facebook.com/l.php?u=http://www.example.com/?parameter=string_n gau_nhien Hình 35: Chức Facbook Preload Lúc này, người dùng chưa cần bấm vào “Truy cập liên kết” Facebook lại tự gửi gói tin HTTP đến website để xác nhận Đây tính Preload Facebook Request Apache log ghi nhận sau: 173.252.90.96 - - [03/Apr/2017:21:53:05 +0700] "GET /?parameter=string_ngau_nhien HTTP/1.1" 403 366 "-" "facebookexternalhit/1.1 (+http://www.facebook.com/externalhit_uatext.php)" Nếu có attacker liên tục gửi HTTP Request vào liên kết https://www.facebook.com/l.php?u=http://www.example.com/?parameter=string_nga u_nhien lúc liên tục gửi request đến website đích Hơn lượng IP mà Facebook sử dụng cho cú request nhiều đa dạng Ưu điểm kiểu công là: - Lợi tốc độ: Việc gửi request lên Facebook rõ ràng nhanh nhiều so với việc gửi trực tiếp request đến mục tiêu, gửi nhiều request - Lợi băng thơng: Vì attacker có nhiệm vụ gửi gói tin mà khơng cần lấy kết trả về, Facebook mục tiêu phải thực đầy đủ bước gửi nhận giao thức HTTP Thế nên khoảng thời gian X cho trước, attacker gửi Y request Facebook thực Z request đến mục tiêu với Z ln nhỏ Y Chính lượng (Y - Z) request Facebook đưa vào hàng đợi Và lượng request thừa chưa xử lý attacker gửi thêm lượng lớn request khác tới Khi số lượng request lớn Facebook buộc phải dùng tới nhiều server để xử lý mớ request Lúc mục tiêu phải đối mặt với công từ nhiều server khác 54 TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn Tel: (848) 6267 8999 - Fax: (848) 6283 7867 - Lợi mặt địa IP: Rõ ràng Facebook phải huy động lượng lớn server để xử lý số lượng địa IP nguồn tăng, việc cản lọc dựa địa IP bị hạn chế - Lợi số lượng: Giả sử có gắn đoạn HTML sau vào trang web có lượng truy cập cao Facebook nuốt trôi băng thông bạn nháy mắt 4.1.4.3 Cản lọc ModSecurity Để cản lọc loại hình cơng Pingback, ta thấy đặc điểm quan trọng phần UserAgent gói HTTP ln có tên phiên Wordpress với chuỗi “pingback” Như phần signature Wordpress pingback chuỗi “wordpress.*pingback from” User-Agent header (Lưu ý: signature “wordpress|pingback” hay “wordpress” chặn nhầm tác vụ cronjob Wordpress) Ta thêm rule sau vào file /etc/modsecurity/modsecurity.conf SecRule REQUEST_HEADERS:User-Agent "(wordpress.*pingback from)" "phase:1,log,id:1025,msg:'Wordpress pingback DDoS', t:lowercase,exec:/etc/modsecurity/denyhost.sh,deny,status:403" Còn kiểu cơng Facebook, phần UserAgent lại có chuỗi “facebookexternalhit”, ta cản lọc tương tự Pingback SecRule REQUEST_HEADERS:User-Agent "(facebookexternalhit)" "phase:1,log,id:1026,msg:'Facebook DDoS', t:lowercase,exec:/etc/modsecurity/denyhost.sh,deny,status:403" 55 TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn Tel: (848) 6267 8999 - Fax: (848) 6283 7867 Hình 36: Cấu hình ModSecurity Trong rule trên, có action exec có nhiệm vụ thực thi bash script /etc/modsecurity/denyhost.sh Script script đơn giản có chức ghi nhận IP cơng vào file /proc/net/xt_recent/MODSEC MODSEC bảng mà ta định nghĩa qua module recent iptables Tất địa IP nằm bảng không gửi liệu đến server vòng ngày Nội dung file denyhost.sh sau: Hình 37: Nội dung file denyhost.sh Lưu ý file /proc/net/xt_recent/MODSEC /etc/modsecurity/denyhost.sh cần chmod 777 4.1.5 Cài đặt cấu hình Monit Đối với phiên Ubuntu 14.04 có sẵn dịch vụ Upstart có khả tự khởi động lại dịch vụ MySQL dịch vụ bị crash nên MySQL Database server ta không cần cấu hình thêm PHP-Fpm Web server Tuy nhiên Upstart lại không hoạt động tốt với Apache nên ta cần cài đặt thêm Monit để khởi động lại Apache Apache bị crash Cài đặt Monit: # sudo apt-get install monit 56 TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn Tel: (848) 6267 8999 - Fax: (848) 6283 7867 Hình 38: Cài đặt dịch vụ Monit Điều chỉnh cấu hình: # vi /etc/monit/monitrc Tìm đến dòng sau bỏ dấu comment: Hình 39: Cấu hình dịch vụ Monit Thêm mã khởi động Apache cho Monit vào cuối file: Hình 40: Giám sát Apache với Monit Khởi động Monit dịch vụ monitor: # monit # monit start all Kiểm tra trạng thái: # monit status 57 TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn Tel: (848) 6267 8999 - Fax: (848) 6283 7867 Hình 41: Monit khởi động thành cơng Từ kể ta stop dịch vụ Apache Monit start lại sau phút Muốn stop Apache, ta cần phải tắt Monit trước 4.1.6 Cài đặt cấu hình Monitorix Để cài đặt Monitorix, ta thêm repository cho Ubuntu: # wget http://apt.izzysoft.de/izzysoft.asc # apt-key add izzysoft.asc # echo “deb http://apt.izzysoft.de/ubuntu generic universe” >> /etc/apt/sources.list Cài đặt: 58 TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn Tel: (848) 6267 8999 - Fax: (848) 6283 7867 # apt-get update # apt-get install monitorix Hình 42: Cài đặt dịch vụ Monitorix Nếu bị lỗi thiếu gói, ta cần chạy lệnh sau để Ubuntu tự động cài gói thiếu # apt-get install -f File cấu hình Monitorix đặt /etc/monitorix/monitorix.conf Khi cài đặt xong ta nên thay đổi đoạn sau thơng số phù hợp: Hình 43: Cấu hình Monitorix 59 TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn Tel: (848) 6267 8999 - Fax: (848) 6283 7867 Khởi động lại Monitorix # service monitorix restart Mở rule iptables cho phép truy cập giao diện web Monitorix: # iptables -A TCPFirewall -i eth0 -p tcp dport 8080 -j ACCEPT Sau cài đặt xong ta truy cập địa chỉ: http://$IP:8080/monitorix để giám sát Tại ta lựa chọn host cần giám sát, biểu đồ cần xem thời gian thống kê Monitorix có nhiều biểu đồ để ta lựa chọn 60 TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn Tel: (848) 6267 8999 - Fax: (848) 6283 7867 Hình 43 & 44: Giao diện Monitorix Monitorix khơng có tùy chọn cho phép xem biểu đồ theo (hour), ta chọn chế độ xem theo cách thay đổi URL tại, ngồi thay đổi màu giao diện http://$IP:8080/monitorixcgi/monitorix.cgi?mode=localhost&graph=all&when=1day&color=black thành http://$IP:8080/monitorixcgi/monitorix.cgi?mode=localhost&graph=all&when=1hour&color=white Ngồi ta click vào biểu đồ để xuất cửa sổ giám sát riêng biểu đồ Trong trường hợp bị công từ chối dịch vụ, Apache dịch vụ tiếp nhận công nên ta cần phải giám sát Để Monitorix giám sát Apache, ta cần làm sau: - Enable module status Apache: 61 TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn Tel: (848) 6267 8999 - Fax: (848) 6283 7867 # a2enmod status - Enable chế độ ExtendedStatus mod status: # vi /etc/apache2/mods-enabled/status.conf - Chuyển ExtendedStatus sang On - Save lại khởi động lại Apache # service apache2 restart - Sửa cấu hình file /etc/monitorix/monitorix.conf, cho phép giám sát Apache Tại mục , ta sửa apache = n thành apache = y , save lại restart monitorix Apache graph kích hoạt thành cơng: Hình 45: Kích hoạt Apache graph Monitorix 62 TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn Tel: (848) 6267 8999 - Fax: (848) 6283 7867 4.2 Tấn công thử nghiệm 4.2.1 Tấn công thử nghiệm với công cụ TorsHammer TorsHammer công cụ công HTTP Post tiếng Đặc điểm tạo nhiều kết nối tới nạn nhân gửi liệu chậm khiến cho nạn nhân khơng thể phục vụ người dùng khác Lúc đầu, chưa áp dụng module reqtimeout Apache, TorsHammer trì kết nối qua khoảng thời gian dài Hình 46: Tấn công HTTP POST Tuy nhiên, sau ta áp dụng module reqtimeout, kết nối lại nhanh chóng bị loại bỏ Hình 47: Loại bỏ kết nối từ TorsHammer Một đặc điểm TorsHammer thuộc dạng cơng DoS, tức máy tính mở nhiều kết nối đến server Điều vi phạm rule iptables bị xử lý Kể trường hợp nhiều IP tham gia công, không 63 TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn Tel: (848) 6267 8999 - Fax: (848) 6283 7867 kết nối tồn vài giây phòng thủ thành cơng trước kiểu cơng HTTP POST 4.2.2 Tấn công thử nghiệm với DDoSOverProxy DDoSOverProxy công cụ em tự viết với phương thức sử dụng danh sách proxy miễn phí để cơng từ chối dịch vụ Ưu điểm phương thức lượng request lớn, đa dạng địa IP, đa dạng thơng tin header khiến cho việc phân tích cản lọc trở nên khó khăn Nhược điểm tốc độ phụ thuộc vào tốc độ kết nối proxy Để thử nghiệm, ta dùng lệnh sau: DDoSOverProxy.exe url “http://www.vnsysadmin.org/” proxy proxy.txt -useragent useragent.txt Lệnh khiến cho công cụ công từ chối dịch vụ vào website www.vnsysadmin.org với danh sách proxy nằm file proxy.txt danh sách useragent chọn ngẫu nhiên file useragent.txt Ta sử dụng lệnh sau: DDoSOverProxy.exe url “http://www.vnsysadmin.org/?p=&message=” proxy proxy.txt useragent useragent.txt Cơng cụ tự động thay (có cặp dấu ) số ngẫu nhiên chuỗi ngẫu nhiên Khi sử dụng công cụ để công vào server, website hoạt động chập chờn Tuy nhiên sử dụng nhiều máy tính để cơng website bị tê liệt hồn tồn Lưu lượng mạng vào server thời điểm bị cơng với máy tính 300 proxy: Hình 48: Traffic vào server 64 TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn Tel: (848) 6267 8999 - Fax: (848) 6283 7867 Log thu từ Apache: Hình 49: Log ghi nhận từ Apache Tuy nhiên, sau áp dụng biện pháp bảo mật, server phản hồi lại request từ phía client nhanh bị công dội Vì đặc điểm quy mơ cơng phụ thuộc vào lượng proxy nên công sau thời gian ngắn rơi vào tình trạng proxy sử dụng nhiều lần bị iptables chặn đứng Hoặc ta sử dụng cách đơn giản cấm hồn tồn gói tin đến từ proxy 4.2.3 Tấn công thử nghiệm với liên kết Facebook Trong phần này, ta sử dụng file HTML để công vào server Đặc điểm file sử dụng Javascript để tạo request nên lượng request tạo giây lớn, hiệu so với công cụ truyền thống Winform Việc sử dụng liên kết Facebook để công tạo công DRDoS mạnh 65 TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn Tel: (848) 6267 8999 - Fax: (848) 6283 7867 Hình 50: Tấn cơng với Facebook Preload Website mục tiêu sử dụng parameter p= để định danh viết nên công cụ tạo id ngẫu nhiên ép buộc MySQL phải hoạt động với cường độ cao Lúc đầu, chưa có firewall server hồn tồn lâm vào trạng thái đình trệ, đáp ứng yêu cầu người dùng Hình 51: Kết kiểm tra từ check-host.net 66 TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn Tel: (848) 6267 8999 - Fax: (848) 6283 7867 Lượng server processes mà Apache phải tạo để đáp ứng lại nhiều Hình 52: Lượng server processes Apache tạo Lượng traffic vào khiến server bị tê liệt Hình 53: Traffic vào server Đỉnh điểm công số lượng request lên đến 2131 gói/phút Đây cơng người tạo Nếu công thực nhiều người gán mã công vào website, số lượng request vô khủng khiếp 67 TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn Tel: (848) 6267 8999 - Fax: (848) 6283 7867 Hình 54: Số lượng request Apache ghi nhận Tuy nhiên, sau áp dụng biện pháp bảo mật, server phản hồi lại request từ phía client nhanh bị cơng dội ModSecurity thực tốt nhiệm vụ nhận diện cơng điều khiển iptables chặn toàn địa IP sử dụng Facebook ĐÁNH GIÁ VÀ HƯỚNG PHÁT TRIỂN 5.1 Đánh giá đề tài Đề tài phân tích hình thức cơng từ chối dịch vụ phổ biến vào hệ thống web đưa giải pháp phòng chống hệ điều hành Linux với phần mềm mã nguồn mở Hạn chế thiệt hại công từ chối dịch vụ gây ra, nhằm đảm bảo tính ổn định cho mạng doanh nghiệp Tuy nhiên, kinh nghiệm hạn chế nên chưa đưa giải pháp phòng thủ cho tảng dịch vụ khác Đây thiếu sót lớn 5.2 Hướng phát triển đề tài Tìm điểm cốt lõi việc bảo mật để tìm phương pháp tổng qt áp dụng mơi trường, hệ thống khác Giúp bảo vệ tốt mạng doanh nghiệp TÀI LIỆU THAM KHẢO Diễn đàn www.hvaonline.net Bách khoa toàn thư wikipedia.org Website securitydaily.net Website www.digitalocean.com Website www.server-world.info TCP/IP Illustrated, Volume 1: The Protocols - W Richard Stevens Giáo trình trường CNTT iSpace Và nhiều tài liệu khác 68 ... (848) 6283 7867 TÌM HIỂU VÀ XÂY DỰNG GIẢI PHÁP PHỊNG CHỐNG TẤN CÔNG TỪ CHỐI DỊCH VỤ GIỚI THIỆU TỔNG QUAN 1.1 Giới thiệu công từ chối dịch vụ Tấn cơng từ chối dịch vụ hình thức công khiến cho hệ... 58 4.2 Tấn công thử nghiệm 63 4.2.1 Tấn công thử nghiệm với công cụ TorsHammer 63 4.2.2 Tấn công thử nghiệm với DDoSOverProxy 64 4.2.3 Tấn công thử nghiệm... of Service) Ta tìm hiểu loại hình để tìm phương pháp phòng chống hữu hiệu cho chúng 2.2.1.1 DoS (Denial of Service) DoS (Denial of Service) hình thức công từ chối dịch vụ Một công DoS cá nhân