1 MỤC LỤC NGHIÊN CỨU CÁC GIẢI PHÁP PHÒNG TRÁNH TẤN CÔNG TỪ CHỐI DỊCH VỤ Chương 1: Tổng quan công dịch vụ 1.1: Tấn công từ chối dịch vụ DoS: .4 1.2: Tấn công từ chối dịch vụ phân tán (DDoS): 1.3: Phân loại công DDoS 1.4 : Mục tiêu công từ chối dịch vụ Chương 2: Các phương pháp công từ chối dịch vụ 10 2.1 UDP Flood 10 2.2 SYN Flood 11 2.3 Ping of Death 12 2.4 Smurf Attack 13 2.5 Slowloris .14 2.6 HTTP Flood Attack .15 2.7 Fraggle Attack 16 2.8 Application Level Attacks 16 2.9 Advanced Persistent DoS (APDoS): .16 2.10 NTP Amplification 17 2.11 HTTP Get 19 Chương 3: Các cơng nghệ phòng chống cơng từ chối dịch vụ 21 3.1: Biện pháp ngăn chặn 21 3.1.1.Dựa vị trí triển khai 21 3.1.2.Dựa giao thức mạng 22 3.2: Giai đoạn ngăn ngừa .23 3.3: Giai đoạn đối đầu với công 24 3.4: Các dạng công DDoS 24 3.5 Hạn chế giảm thiểu 27 3.5.1 Một vài bước mục đích giảm bớt kiểu cơng từ chối dịch vụ .27 3.5.2 Một số phương thức công: 28 3.6 Hạn chế DoS DDoS với Apache server : 30 3.6.1 Với máy chủ riêng ( máy chủ ảo máy chủ thật ) 30 3.6.2 Chặn DDOS với mod_rewrite (htaccess) .31 3.7 Một số phương pháp phòng tránh công từ chối dịch vụ 34 Chương 4: Tìm hiểu Cloudflare 37 4.1 Tổng quan Cloudflare 37 4.2 Ưu điểm nhược điểm CloudFlare 37 4.3 Cài đặt 38 KẾT LUẬN 43 TÀI LIỆU THAM KHẢO 44 NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN 45 Chương 1: Tổng quan công dịch vụ 1.1: Tấn công từ chối dịch vụ DoS: DoS (Denial of Service) từ chối dịch vụ Tấn công từ chối dịch vụ DoS kiện bảo mật xảy kẻ cơng có hành động ngăn cản người dùng hợp pháp truy cập hệ thống máy tính, thiết bị tài nguyên mạng khác Trong công từ chối dịch vụ, kẻ cơng nhằm vào máy tính sử dụng mạng máy tính mà bạn dùng để ngăn cản truy cập email, website, tài khoản trực tuyến dịch vụ khác Một kiểu Dos rõ ràng phổ biến kẻ công "tuồn" ạt traffic vào máy chủ, hệ thống mạng, làm cạn kiệt tài nguyên nạn nhân, khiến người dùng hợp pháp gặp khó khăn chí khơng thể sử dụng chúng Cụ thể hơn, bạn nhập vào URL website vào trình duyệt, lúc bạn gửi yêu cầu đến máy chủ trang để xem Máy chủ xử lý số yêu cầu định khoảng thời gian, kẻ cơng làm gửi ạt nhiều yêu cầu đến máy chủ làm bị q tải u cầu bạn khơng xử lý Đây kiểu “từ chối dịch vụ” làm cho bạn khơng thể truy cập đến trang Hình Cách thức DoS hoạt động Cách thực hiện: Kẻ cơng sử dụng thư rác để thực công tương tự tài khoản email bạn Dù bạn có tài khoản email cung cấp nhân viên bạn hay có sẵn qua dịch vụ miễn phí Yahoo hay Hotmail bị giới hạn số lượng liệu tài khoản Bằng cách gửi nhiều email đến tài khoản bạn, kẻ cơng tiêu thụ hết phần nhận mail ngăn chặn bạn nhận mail 1.2: Tấn công từ chối dịch vụ phân tán (DDoS): DDoS (Distributed Denial of Service Attack) nhiều máy tính nhiều hệ thống máy tính yêu cầu tài nguyên máy đích làm cho máy đích khơng đủ tài ngun để phục vụ, hậu treo (mất khả phục vụ) khởi động lại Hacker thường công từ chối dịch vụ thường nhắm vào trang tin tức mạng hay máy chủ ngân hàng, cổng tốn thẻ tín dụng v.v Hình 2: Cách thức DDos hoạt động Cách thực hiện: Hacker lợi dụng máy chủ Free Proxy thể giới sử dụng BOTNET để điều khiển công, viết tools upload lên diễn đàn để tools tự động gửi yêu cầu tới máy chủ cần công  Hệ thống chống DDOS Đối với Cloud Server Cloud Desktop cấu hình trực tiếp windows cài soft chống DDOS lên Đối với Cloud Datacenter có hệ thống chống DDOS vật lý VMware Chạy HA (High Availability): dự phòng, server gặp vấn đề, server khác active, người dùng không nhận thấy gián đoạn dịch vụ 1.3: Phân loại công DDoS  Tấn công vào băng thông mạng Trong phương pháp kẻ công điều khiển mạng lưới Agent đồng loạt gửi gói tin ICMP hay UDP đến nạn nhân làm cho băng thông mạng nạn nhân bị tải phục vụ Ví dụ trường hợp ICMP flood, nạn nhân phải gửi trả lại gói tin ICMP_REPLY tương ứng Do số lượng Agent gửi đến nạn nhân lớn nên việc gửi lại gói ICMP_REPLY dẫn đến nghẽn mạng Trong trường hợp UDP flood tương tự Phương pháp công đặc biệt nguy hiểm băng thông mạng nạn nhân bị tải mà ảnh hưởng đến mạng lân cận Hiện nay, với phát triển công cụDdos, hầu hết hỗ trợ giả mạo địa IP  Tấn cơng vào giao thức Điển hình phương pháp công TCP SYN flood Kẻ cơng lợi dụng q trình bắt tay bước giao thức TCP Kẻ công liên tục khởi tạo kết nối TCP Nạn nhân tiến hành gửi lại trả lời với SYN ACK để chờ ACK từ phía máy khách Tuy nhiên, kẻ cơng khơng gửi ACK đến nạn nhân hay nói cách khác khơng làm q trình bắt tay bước Cứ vậy, nạn nhân tốn nhiều tài nguyên nhớ để chờ phiên TCP Do nạn nhân phục vụ tốn nhớ đề chờ kết nối ảo kẻ công khởi tạo  Tấn cơng gói tin khác thường Trong phương pháp này, kẻ công dựa vào điểm yếu giao thức mạng Ví dụ cơng Ping of Death Kẻ cơng gửi số gói tin ICMP có kích thước lớn kích thước giới hạn Gói tin bị chia nhỏ, nạn nhân ghép lại nhận thấy gói tin lớn để xử lý Kết hệ thống xử lý tình trạng bất thường bị treo Một trường hợp khác công Lan Attack Kẻ cơng gửi gói tin TCP SYN có địa nguồn, địa đích số cổng giống Nạn nhân liên tục khởi tạo kết nối với Do hệ thống bị treo bị chậm lại  Tấn công qua phần mềm trung gian Trong phương pháp công này, kẻ công sử dụng phần mềm hợp lệ máy nạn nhân Khai thác số thuật toán tiến hành đưa tham số trường hợp xấu Do vậy, máynạn nhân phải xử lý q trình bị treo Đây phương pháp công đơn giản lại có hiệu cao Nhưng nguy hiểm kẻ công đột nhập vào máy nạn nhân để ăn cắp thơng tin cá nhân nạn nhân  Các công từ chối dịch vụ  1998 Chương trình Trinoo Distributed Denial of Service (DDoS) viết Phifli  Tháng – 1999 Trang chủ FBI ngừng họat động cơng (DDOS)  Tháng – 1999 Mạng Trinoo cài đặt kiểm tra 2000 hệ thống  Cuối tháng đầu tháng năm 1999, Tribal Flood Network đời Cuối tháng năm 1999  Ngày 21 tháng 10 năm 1999 David Dittrich thuộc trường đại học Washington làm phân tích cơng cụ công từ chối dịch vụ  Ngày 21 tháng 12 năm 1999 Mixter phát hành Tribe Flood Network 2000 ( TFN2K )  – -2000 Yahoo! ( Một trung tâm tiếng ) bị công từ chối dịch vụ ngưng trệ hoạt động vòng đồng hồ Web site Mail Yahoo GeoCities bị công từ 50 địa IP khác với nhửng yêu cầu chuyễn vận lên đến gigabit/s  8-2 nhiều Web site lớn Buy.com, Amazon.com, eBay, Datek, MSN, CNN.com bị công từ chối dịch vụ  Lúc tối ngày 9-2/2000 Website Excite.com đích vụ công từ chối dịch vụ, liệu luân chuyễn tới tấp vòng kết thúc, gói liệu hư hỏng nặng Qua ta thấy rõ vụ công từ chối dịch vụ (Denial Of Services Attack ) công việc gửi nhửng gói liệu tới máy chủ (Flood Data Of Services Attack) tới tấp mối lo sợ cho nhiều mạng máy tính lớn nhỏ Khi mạng máy tính bị Hacker cơng chiếm lượng lớn tài nguyên server dung lượng ổ cứng, nhớ, CPU, băng thông … Lượng tài nguyên tùy thuộc vào khả huy động cơng Hacker Khi Server khơng thể đáp ứng hết yêu cầu từ client người sử dụng từ server nhanh chóng bị ngừng hoạt động, crash reboot Tấn cơng từ chối dịch vụ có nhiều dạng Ping of Death, Teardrop, Aland Attack, Winnuke, Smurf Attack, UDP/ICMP Flooding, TCP/SYN Flooding, Attack DNS 1.4 : Mục tiêu công từ chối dịch vụ  Làm tiêu tốn tài nguyên hệ thống,có thể làm hết băng thong,đầy dung lượng lưu trữ đĩa tăng thời gian xử lý  Phá vỡ thành phần vật lý mạng máy tính  Làm tắc nghẽn thơng tin liên lạc bên bên ngồi  Phá vỡ thơng tin cấu thơng tin định tuyến  Phá vỡ trạng thái thông tin việc tự động reset lại phiên TCP  Làm tải lực xử lý,dẫn đến hệ thống thực thi công việc khác  Những lỗi gọi tức microcode máy tính  Những lỗi gọi tức chuỗi thị,dẫn đến máy tính rơi vào tình trạng hoạt động không ổn định bị  Những lỗi khai thác hệ điều hành dẫn đến việc thiếu thốn tài nguyên bị tharshing.Ví dụ sử dụng tất lực có sẵn dẫn đến không công việc thực tế hồn thành  Gây crash hệ thống Tấn công từ chối dịch vụ IFrame:Trong trang HTML, gọi đến trang web với nhiều yêu cầu nhiều lần băng thơng trang web bị q hạn Chương 2: Các phương pháp công từ chối dịch vụ 2.1 UDP Flood Hình UDP Flood Attack UDP (User Datagram Protocol) giao thức kết nối không tin cậy Một công gây ngập lụt UDP bắt đầu cách gửi số lượng lớn gói tin UDP tới cổng ngẫu nhiên máy chủ từ xa kết máy chủ xa :  Kiểm tra ứng dụng với cổng (Check for the application listening at that port)  Thấy khơng có ứng dụng nghe cổng (See that no application listens at that port)  Trả lời với ICMP Destination Unreachable gói (Reply with an ICMP Destination Unreachable packet) Như vậy, hệ thống nạn nhân bị buộc nhận nhiều gói tin ICMP, dẫn đến khả xử lý yêu cầu khách hàng thông thường Những kẻ cơng giả mạo địa IP gói tin UDP, đảm bảo ICMP gói trở lại mức không tiếp cận họ, nặc danh hóa vị trí mạng họ Hầu hết hệ điều hành giảm nhẹ phần công cách hạn chế tốc độ phản ứng ICMP gửi 10 -> Để an toàn cho server mình, nên cài thêm firewall quan trọng CSF, cho phép chống gần nhiều hình thức DDOS, cách cài đặt cấu hình tham khảo tại: CSF Install Guide - How To 3.6.2 Chặn DDOS với mod_rewrite (htaccess) Với công cụ đơn giản để ngăn chặn quan tâm tới số cách thức sử dụng sau: + Nếu xảy DDOS, nhanh chóng đặt pass website cấu hình htaccess htpaword để tiện xử lý + Vô xem log file tìm nguồn cơng từ IP nào, - tính xem phút IP cơng liên tục vào đâu lần, (liên tục vào địa - Có khác biệt so với member chỗ này, liên tục vào vị trí - điểm yếu auto) + Nếu nguồn IP ta thực cấu hình chặn IP sau: VD: order allow, deny deny from 192.168.1.1 deny from 234.45.67.89 deny from 123.45.67.89 allow from all + Nếu từ nhiều IP, IP công không nhiều, có chung vị trí vị trí đó, chẳng hạn ( index.php), IP user-agent: VD 195.158.101.197 - - [13/May/2011:18:19:48 -0700] "GET /@4rum/index.php HTTP/1.1" 403 301 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; NET CLR 1.0.3705)" 168.167.43.188 - - [13/May/2011:18:19:48 -0700] "GET /@4rum/index.php HTTP/1.1" 403 301 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; NET CLR 1.0.3705)" 60.29.131.18 - - [13/May/2011:18:19:48 -0700] "GET /@4rum/index.php HTTP/1.1" 403 301 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; NET CLR 1.0.3705)" 88.190.16.207 - - [13/May/2011:18:19:48 -0700] "GET /@4rum/index.php HTTP/1.1" 404 297 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; NET CLR 1.0.3705)" 94.125.160.159 - - [13/May/2011:18:19:48 -0700] "GET /@4rum/index.php HTTP/1.1" 403 301 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; NET CLR 1.0.3705)" 41.216.205.253 - - [13/May/2011:18:19:48 -0700] "GET /@4rum/index.php HTTP/1.1" 403 301 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; NET CLR 1.0.3705)" 194.85.80.107 - - [13/May/2011:18:19:48 -0700] "GET /@4rum/index.php HTTP/1.1" 403 301 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; NET CLR 1.0.3705)" 202.29.58.33 - - [13/May/2011:18:19:48 -0700] "GET /@4rum/index.php HTTP/1.0" 403 301 "-" 32 "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; NET CLR 1.0.3705)" 210.245.85.33 - - [13/May/2011:18:19:48 -0700] "GET /@4rum/index.php HTTP/1.0" 403 301 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; NET CLR 1.0.3705)" 46.42.4.138 - - [13/May/2011:18:19:48 -0700] "GET /@4rum/index.php HTTP/1.0" 403 301 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; NET CLR 1.0.3705)" 218.210.199.254 - - [13/May/2011:18:19:48 -0700] "GET /@4rum/index.php HTTP/1.0" 404 297 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; NET CLR 1.0.3705)" 187.52.2.74 - - [13/May/2011:18:19:48 -0700] "GET /@4rum/index.php HTTP/1.1" 403 301 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; NET CLR 1.0.3705)" 72.232.2.94 - - [13/May/2011:18:19:48 -0700] "GET /@4rum/index.php HTTP/1.1" 403 301 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; NET CLR 1.0.3705)" 95.59.140.242 - - [13/May/2011:18:19:48 -0700] "GET /@4rum/index.php HTTP/1.0" 403 301 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; NET CLR 1.0.3705)" 213.7.200.186 - - [13/May/2011:18:19:48 -0700] "GET /@4rum/index.php HTTP/1.1" 403 301 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; NET CLR 1.0.3705)" 125.167.79.101 - - [13/May/2011:18:19:48 -0700] "GET /@4rum/index.php HTTP/1.0" 403 301 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; NET CLR 1.0.3705)" 95.59.140.242 - - [13/May/2011:18:19:48 -0700] "GET /@4rum/index.php HTTP/1.0" 403 301 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; NET CLR 1.0.3705)" 186.114.191.133 - - [13/May/2011:18:19:48 -0700] "GET /@4rum/index.php HTTP/1.0" 403 301 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; NET CLR Chúng ta thấy cơng liên tiếp vào vị trí index.php nhiều IP khác nhau, sử dụng hàm chặn số lần kết nối phút từ IP này, khơng tính được, nhầm với IP thành viên thực Chúng ta ý tới user-agent Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; NET CLR 1.0.3705) Nó giống block - Nếu block cụm đó, thấy máy sử dụng windows 5.1(XP sp2) sử dụng IE (MSIE 6.0) không vào được, không nên block tất, mà quan tâm tới phần riêng nó, riêng CLR 1.0.3705 block sử dụng code htaccess : RewriteEngine on RewriteCond %{HTTP_USER_AGENT} ^1.0.3705 RewriteRule ^(.*)$ http://tên-miền-muốn-gửi-sang - Cách làm dựa theo user-agent, chẳng hạn user-agent có chứa từ “1.0.3705” 33 Khi máy chủ web kiểm tra có bot mà user-agent có chứa chuỗi bắt đầu với “1.0.3705” Khi redirects sang trang mà định link đến VD RewriteEngine on RewriteCond %{HTTP_USER_AGENT} ^1.0.3705 RewriteRule ^(.*)$ http://tên-miền-muốn-gửi-sang Nếu khơng sử dụng dùng code sau: RewriteCond %{HTTP_USER_AGENT} ^1.0.3705 RewriteRule ^/$ /homepage.max.html [L] Thông tin thêm tại: mod_rewrite - Apache HTTP Server Để block User-agent mà không chuyển sử dụng: RewriteCond %{HTTP_USER_AGENT} ^1.0.3705 RewriteRule ^.* - [F,L] Một code khác sử dụng hiệu quả, block ln khơng chuyển đâu SetEnvIfNoCase User-Agent "1.0.3705" bad_bot Order Allow,Deny Allow from all Deny from env=bad_bot - Cách xác định user-agent Tại trình duyệt web, vào địa sau: HTTP User Agent - Browser User Agent ID Nó hiển thị user-agent Your Current Browser User Agent ID - Nếu không sử dụng trang web trên, copy paste vào trình duyệt đoạn code sau: javascript:alert(navigator.userAgent) user-agent hiển thị Thông tin nhiều tìm hiểu tại: Understanding User-Agent Strings - Nếu site lấy thơng tin get nhiều file từ trang web, block kết nối trang web tới website: RewriteEngine On RewriteCond %{HTTP_REFERER} ^http://.*1-vài-ký-tự-trong-domain.com [NC] RewriteRule * - [F] 3.7 Một số phương pháp phòng tránh công từ chối dịch vụ Cách 1: Chống iframe 34 Đây phương pháp xem thô sơ Kẻ cơng mượn website có lượt truy cập lớn chèn iframe hướng website cần đánh cho chạy lệnh refresh nhiều lần họ viết sẵn tập tin flash với công dụng tương tự đặt lên website người dùng truy cập website họ vơ tình trở thành người cơng website Với hình thức cơng kiểu hồn tồn chống lại cách chèn đoạn mã Javacript chống chèn iframe từ website khác đến website if (top.location != self.location) {top.location = self.location} Cách 2: Chống tải lại trang web có ác ý Một hình thức cơng khác dùng phím F5 liên tục có chủ ý., dùng phần mềm lập trình sẵn với cơng dụng tương tự (tải lại trang web liên tục sau khoảng thời gian định sẵn) nhóm người làm cho trang web reload liên tục Việc làm tốn băng thông trang web làm trang web chạy chậm kết nối ảo Với cách thức cơng dùng cách để chống coi vơ ích Nếu bị cơng thiết lập tập tin htaccess với nội dung: RewriteEngine on RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?domain.com [NC] RewriteRule !antiddos.phtml http://www.domain.com/antiddos.phtml?% {REQUEST_URI} [QSA] Sau tạo thêm một tập tin antiddos.phtml có nội dung: Sau upload tập tin lên thư mục gốc website Như truy cập website, lần có thơng báo u cầu nhấn chuột vào website lần sau không cần phần mềm DDoS lập trình bị chặn lại 35 bước click chuột để vào trang web lần truy cập nên việc tải lại trang web đơn trang HTML nhỏ không ảnh hưởng nhiều đến hệ thống Cách Giới hạn số kết nối website thời điểm Khi khách truy cập vào website tạo truy vấn kết nối với CSDL lấy thông tin trả thông qua hiển thị website Mỗi máy chủ cho phép truy vấn kết nối hạn định vượt hạn mức việc truy vấn sex khó khăn khơng thể truy xuất Các tin tặc lợi dụng vào điều để tạo truy cập ảo, kết nối ảo thông qua proxy hay chuyên nghiệp mạng botnet nhằm đánh sập trang web phá hỏng CSDL website Để hạn chế chủ động giới hạn số kết nối truy vấn tin (lượt truy cập) thời điểm Thêm dòng mã code sau vào trang chủ website Function server_busy($numer){ if (THIS_IS == ‘WEBSITE’ && PHP_OS == ‘Linux’ and @file_exists (‘/proc/loadavg’) and $file_get_contents (‘/proc/loadavg’)){ $loadavg = explode ( ' ', $filestuff ); if (trim ( $loadavg [0] ) > $numer) { print ''; print 'Lượng truy cập tải, mời bạn quay lại sau vài phút.'; exit ( ); } } } $srv = server_busy ( 1000 ); // 1000 số người truy cập thời điểm Đoạn mã cho phép 1000 người online website thời điểm Nếu vượt qua số 1000 khách truy cập nhận thông báo “Lượng truy cập tải Mời bạn quay lại sau vài phút” Cách 4: Sử dụng Cloudflare ( có trả phí miễn phí ) Phương án sử dụng miễn phí phù hợp với quy mô DDoS nhỏ Quy mô lớn Cloudflare khóa website nhằm đảm bảo tài nguyên Cloudflare 36 Cách 5: Sử dụng Firewall mềm VPS Phương án không khả quan cho Nó chống ddos cách chặn IP IP gửi nhiều request đến VPS Phương án bất khả thi thuê Hosting Cách 6: Sử dụng Firewall cứng chống công DDoS Phương án tối ưu - Firewall server cài đặt phần mềm chống ddos pfsense Phần mềm nguồn mở pfsense mạnh chặn hầu hết cơng quy mơ trung bình Sức mạnh pfsense phụ thuộc vào sức mạnh Server (Ram, CPU, SSD, port mạng) - Sử dụng Firewall cứng chuyên dụng: Phương án tốt nhất, chống DDoS quy mơ lớn Nhưng chi phí đắt đỏ, ngồi phần cứng, cần trả thêm phí phần mềm kèm, thường phần mềm tính phí theo năm Chương 4: Tìm hiểu Cloudflare 4.1 Tổng quan Cloudflare Cloudflare ban đầu dịch vụ DNS trung gian miễn phí có hỗ trợ CDN ( Cloud Delivery Network) Theo phản ánh số người dùng trước kết nối chập chờn server chứa website họ hoạt động bình thường Điều gây 37 traffic tương đối lớn Tuy nhiên, CloudFlare ngày mạnh, dịch vụ cải thiện tốt nhiều, chất lượng tốt hẳn CloudFlare DNS trung gian giúp điều phối lưu lượng truy cập qua lớp bảo vệ CloudFlare Có nghĩa nằm kết nối domain hosting Bình thường domain cấu hình Nameserver (NS) record A trỏ tới IP host chứa website Tuy nhiên sử dụng CloudFlare domain trỏ tới DNS CloudFlare Do đó, truy cập đến website thơng qua CloudFlare trước, từ CloudFlare đến host chứa website Hiện dịch vụ DNS trung gian, CloudFlare cung cấp nhiều dịch vụ khác SSL, chống DDoS, chống Spam, Firewall, HTTP/2, SPDY, IP Deo, … nhiều dịch vụ khác nữa, miễn phí lẫn có phí 4.2 Ưu điểm nhược điểm CloudFlare  Ưu điểm  Giúp người dùng tiết kiệm băng thơng cho máy chủ hạn chế truy cập trực tiếp vào máy chủ Lúc này, băng thơng sử dụng giảm hẳn 1/2 – 1/3 so với trước dùng  Làm cho website bạn tăng tốc độ truy cập cách lưu nhớ đệm (cache) website máy chủ CDN Từ phân phối cho người dùng truy cập gần máy chủ Chẳng hạn hosting HOSTVN đặt máy chủ đặt Hà Nội người dùng New York truy cập chậm máy chủ vật lý xa ngược lại Bên cạnh đó, liệu tĩnh hình ảnh, CSS, tập tin,…cũng CloudFlare nén gzip lại nên tốc độ tải nhanh  Giúp website tăng khả bảo mật, hạn chế cơng DDoS, spam bình luận blog số phương thức công khác Bạn cải thiện bảo mật website cách sử dụng CloudFlare sử dụng SSL miễn phí để thêm giao thức HTTPS cho website; hạn chế truy cập từ quốc gia định; cấm truy cập với IP định; công nghệ tường lửa ứng dụng website; bảo vệ trang có tính chất đăng nhập (gói Pro) 38  Nhược điểm  Nếu Server CloudFlare bị down khả truy xuất vào website bạn bị gián đoạn khơng phân giải tên miền website sử dụng  Nếu website bạn nằm hosting có máy chủ đặt Việt Nam, khách hàng truy cập chủ yếu đến từ Việt Nam việc sử dụng CloudFlare làm chậm tốc độ tải trang chất lượng đường truyền quốc tế Việt Nam Nguyên nhân cho lúc truy vấn vòng từ Việt Nam đến DNS Server CloudFare trả kết Việt Nam  Đôi lúc Firewall hosting mà website bạn đặt hiểu lầm dải IP CloudFlare địa cơng Rất website bạn bị offline  Không biết IP máy chủ bạn điều tốt Nhưng vấn đề nằm chỗ, web bảo mật khơng kĩ dễ bị công nhiều cách khác Tất nhiên, người dùng IP thực khách hàng truy cập vào website 4.3 Cài đặt Bước 1: Đăng kí tài khoản Cloudflare  Để cấu hình, trước tiên bạn cần đăng ký tài khoản Cloudflare Địa website: https://www.cloudflare.com/ để đăng ký  Sau đăng kí đăng nhập thành công, bạn thấy nút +Add a website, bạn nhập tên miền vào -> Add site 39  Sau hiển thị bảng thông báo hình dưới, bạn chọn Next để tiếp tục o Cloudflare truy vấn ghi DNS có website bạn tự động nhập liệu DNS o Khi bạn thực thay đổi Nameserver tên miền sang Nameserver Cloudflare, lưu lượng truy cập vào trang web bạn (Traffic) chuyển qua mạng tồn cầu thơng minh Cloudflare (Hiện Cloudflare có máy chủ Việt Nam) Bước 2: Lựa chọn gói  Click chọn Free → Confirm Plan 40   Cloudflare Free miễn phí website → Confirm Tại giao diện Cloudflare liệt kê ghi có tên miền bạn, bạn kiểm tra lại ghi xem chưa nhớ bật/tắt đám mây phía bên tay phải để tùy chọn ẩn/hiện IP DNS → Continue 41 Bước 3: Thay đổi Nameserver thành Nameserver Cloudflare Tại giao diện này, bạn nhận cập Nameserver Cloudflare, việc bạn cập nhật cập Nameservers cho tên miền Thời gian để Nameservers cập nhật trung bình tối đa 24 phụ thuộc vào hệ thống nhà cung cấp tên miền Bước 4: Kiểm tra trạng thái kích hoạt Sau cập nhật xong Nameservers, bạn đăng nhập vào Cloudflare Tại Overview thấy trạng thái “Great news! Cloudflare is now protecting your site” – trạng thái 42 thông báo Cloudflare tên miền bạn kết nối Chọn tiếp vào mục Firewall để cấu hình bước Bước 5: Cấu hình Security Level Tại mục Firewall này, bạn tìm đến phần Security Level Tại cấu hình mặc định Medium, bạn chọn vào thay đổi thành I’m Under Attack! Vậy bước cấu hình hồn tất Bạn đợi thêm 5-10 phút đề Cloudflare kích hoạt tính cho website Sau tính kích hoạt, bạn truy cập website thấy hình chờ bên Màn hình chờ giúp lọc địa IP xấu – hay gọi công tới website bạn chặn không cho tiếp tục truy cập 43 KẾT LUẬN Tấn công từ chối dịch vụ (DDoS) phát triển đáng lo ngại năm gần mối đe dọa thường trực với hệ thống mạng quan phủ doanh nghiệp Nhiều công DDoS với quy mô lớn thực gây tê liệt hệ thống mạng Chính phủ Hàn Quốc gây ngắt quãng hoạt động mạng dịch vụ trực tuyến tiếng Yahoo Tấn cơng DDoS khó phòng chống hiệu quy mơ lớn chất phân tán Nhiều kỹ thuật công cụ công DDoS phức tạp phát triển, hỗ trợ đắc lực cho công DDoS phát triển nhanh chóng kỹ thuật lây nhiễm phần mềm độc hại, xây dựng hệ thống mạng máy tính ma ( zombie, botnets) Tin tặc chiếm quyền điều khiển máy tính có kết nối Internet, điều khiển mạng botnet với hàng trăm ngàn máy tính để thực cơng DDoS Để có giải pháp tồn diện phòng chống cơng DDoS hiệu quả, việc nghiên cứu dạng công DDoS khâu cần thực Bài luận tổng hợp phương pháp phân loại dạng công DDoS biện pháp phòng chống cơng DDoS Trên sở đánh giá khả bị công lựa chọn tập biện pháp phòng ngừa, phát ngăn chặn cơng cách hiệu 44 TÀI LIỆU THAM KHẢO Tiếng Việt: [1] PGS.TS Trịnh Nhật Tiến, 2013 Bài giảng “Phát diệt Virus máy tính” Hà Nội: Đại học Cơng nghệ - Đại học Quốc gia Hà Nội [2] Nguy lộ lọt thông tin quan Đảng, Chính phủ - Đề tài khoa học cấp nhà nước Ban yếu phủ [3] http://securitydaily.net/chong-botnet-va-ddos-tai-viet-nam/ [4] http://www.hvaonline.net/hvaonline/forums/ddos Tiếng Anh: [5] M Li An approach to reliably identifying signs of DDOS flood attacks based on LRD traffic pattern recognition Computers & Security, 23(7): 549-558, 2004 [6] Incapsula’s research team has been tracking trends in the DDoS landscape and has seen a rapid surge in attacks 2014 [7] Protecting Against Application DDoS Attacks with BIG-IP ASM: A Three-Step Solution By Or Katz Principal Security Engineer [8] http://en.wikipedia.org [9] http://www.cert.org/ddos [10] https://www.honeynet.org/ 45 NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN Thái Nguyên, ngày tháng năm 2019 GIÁO VIÊN HƯỚNG DẪN 46 ... PHÒNG TRÁNH TẤN CÔNG TỪ CHỐI DỊCH VỤ Chương 1: Tổng quan công dịch vụ 1.1: Tấn công từ chối dịch vụ DoS: .4 1.2: Tấn công từ chối dịch vụ phân tán (DDoS) :... HƯỚNG DẪN 45 Chương 1: Tổng quan công dịch vụ 1.1: Tấn công từ chối dịch vụ DoS: DoS (Denial of Service) từ chối dịch vụ Tấn công từ chối dịch vụ DoS kiện bảo mật xảy kẻ cơng có hành động... công từ chối dịch vụ  Lúc tối ngày 9-2/2000 Website Excite.com đích vụ công từ chối dịch vụ, liệu luân chuyễn tới tấp vòng kết thúc, gói liệu hư hỏng nặng Qua ta thấy rõ vụ công từ chối dịch vụ