BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT Mà ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ ĐỒ ÁN TỐT NGHIỆP NGHIÊN CỨU VÀ PHÁT TRIỂN HỆ THỐNG BOTNET TRACKING THEO DÕI VÀ GIÁM SÁT CÁC MẠNG BOTNET Người hướng dẫn: ThS Cao Minh Tuấn Khoa An tồn thơng tin – Học viện Kỹ thuật mật mã Hà Nội, 2019 BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT Mà ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ ĐỒ ÁN TỐT NGHIỆP NGHIÊN CỨU VÀ PHÁT TRIỂN HỆ THỐNG BOTNET TRACKING THEO DÕI VÀ GIÁM SÁT CÁC MẠNG BOTNET Người hướng dẫn: ThS Cao Minh Tuấn Khoa An tồn thơng tin – Học viện Kỹ thuật mật mã Hà Nội, 2019 MỤC LỤC DANH MỤC KÍ HIỆU VÀ VIẾT TẮT API CD C&C DoS DDoS DNS FTP HĐH HTML HTTP IDS IoT IP ISP IRC NIST PC P2P RAT SYN TCP UDP URL Application Programming Interface Compact Disc Command & Control Denial of Service Distributed Denial of Service Domain Name System File Transfer Protocol Hệ Điều Hành HyperText Markup Language HyperText Transfer Protocol Intrusion Detection System Internet of Things Internet Protocol Internet Service Provider Internet Relay Chat National Institute of Standards and Technology Personal Computer Peer-to-Peer Remote Administration Tools The Synchronous Idle Character Transmission Control Protocol User Datagram Protoco Uniform Resource Locator DANH MỤC HÌNH VẼ DANH MỤC BẢNG LỜI CẢM ƠN Lời đầu tiên, em xin gửi lời cảm ơn chân thành sâu sắc tới trường Học Viện Kỹ Thuật Mật Mã, cán phòng ban tồn thể thầy, học viện nhiệt tình giảng dạy, truyền đạt kiến thức quý báu trình học tập trường tạo điều kiện tốt cho em thực đồ án tốt nghiệp Đặc biệt, em xin gửi lời cảm ơn đến ThS.Cao Minh Tuấn, giảng viên Khoa An Tồn Thơng Tin – Học Viện Kỹ Thuật Mật Mã, cho em định hướng bản, tận tình giúp đỡ, trực tiếp bảo em suốt thời gian thực đồ án Trong thời gian làm việc với thầy, em khơng tiếp thu kiến thức bổ ích mà học thái độ làm việc nghiêm túc đầy hiệu quả, làm tảng cho bước q trình học tập lẫn cơng việc sau Kết đồ án tâm huyết cố gắng em vòng tháng qua, nhiên hạn chế mặt thời gian kiến thức, đồ án không tránh khỏi thiếu sót hình thức lẫn nội dung Em kính mong nhận thơng cảm góp ý đến từ Quý Thầy Cô bạn Em xin chân thành cảm ơn! Hà Nội, ngày 20 tháng 05 năm 2019 Sinh viên thực LỜI MỞ ĐẦU Môi trường Internet nơi “hoành hành” hiểm hoạ cộng đồng người dùng Các chương trình độc hại spyware, adware, trojan, virus hay sâu máy tính nguy hiểm khơng Botnet Các mối đe dọa sử dụng môi trường internet để lây lan, cập nhật thân liên tục để “thích nghi” với mơi trường trú ẩn gửi liệu đánh cắp đến chủ nhân tên tội phạm mạng Mọi hoạt động chúng ẩn danh máy tính người dùng khó phát Mạng máy tính ma Botnet vậy, chúng cơng từ chối dịch vụ vào web site tổ chức, phát tán thư rác với số lượng lớn, thu thập thơng tin cá nhân người dùng…và người dùng khơng biết có mặt loại mã độc mạng máy tính Theo thống kê cho thấy, năm 2018, Trung tâm Giám sát an toàn không gian mạng quốc gia ghi nhận 4.181.773 địa IP Việt Nam nằm mạng máy tính ma (Botnet), nhiên giảm 296.024 địa IP so với năm 2017, tương đương 6% Trung tâm Ứng cứu cố máy tính Việt Nam - VNCERT, Bộ TT&TT cho biết thêm, Việt Nam xếp thứ Top 10 quốc gia bị kiểm soát mạng Botnet (mạng máy tính ma), xếp sau Ấn Độ Trung Quốc Số lượng lớn máy tính ma không kéo theo hậu mát thông tin mà gây thiệt hại tài sản thời gian để xử lý chúng Các chuyên gia an ninh mạng đưa bước giúp người sử dụng giảm nguy khiến máy tính họ trở thành bot ngăn chặn virus máy tính, giám sát luồng thơng tin mạng cổng thơng tin máy tính Tuy nhiên biện pháp tạm thời trước mắt chưa mang lại nhiều hiệu mong đợi Do đó, việc xây dựng hệ thống Botnet Tracking theo dõi giám sát mạng Botnet việc làm vơ cấp thiết Đây lí em chọn chủ đề làm đề tài đồ án tốt nghiệp 10 thể mô hầu hết tất khía cạnh hệ điều hành thực Nó cung cấp phản hồi cho cổng giao thức biết máy tính zombie thực Mặt khác, Honeypots tương tác thấp mô tính quan trọng hệ điều hành thực Honeypots tương tác cao cho phép kẻ xâm nhập kiểm sốt hồn tồn hệ điều hành; nhiên Honeypots tương tác thấp khơng Tuy nhiên, Honeypot tương tác thấp thường sử dụng để thu thập phần mềm độc hại phân tích tự động phần mềm độc hại thu thập Honeypot tương tác cao Do: Chúng dễ dàng cấu hình cài đặt Chúng nhanh nhiều so với Honeypot tương tác cao Vì vậy, với việc xem xét công nghệ Honeypot này, cung cấp cho kẻ cơng nhìn sâu sắc mơi trường mạng giả lập Ngồi ra, theo dõi ghi lại tương tác kẻ công Honeypots phục vụ việc nghiên cứu phân tích thêm để phát Botnet Kỹ thuật phát dựa chữ ký Chữ ký thực thi sử dụng rộng rãi để phát phân loại mối đe doạ phần mềm độc hại Chữ ký dựa phần mềm độc hại biết có khả phân loại tệp thực thi chạy hệ điều hành Các hệ thống phát xâm nhập dựa quy tắc Snort chạy cách sử dụng chữ ký phần mềm độc hại biết Chúng giám sát lưu lượng mạng phát dấu hiệu xâm nhập Việc phát thực theo chữ ký phần mềm độc hại thực thi theo chữ ký lưu lượng truy cập mạng độc hại phần mềm độc hại gây Tuy nhiên, kỹ thuật phát dựa chữ ký sử dụng để phát Botnet biết khơng hữu ích Botnet chưa biết 3.3.2 Ví dụ quy tắc cho Snort IDS 60 Trong Hình 5, ví dụ cấu hình quy tắc cho Snort IDS đưa Rõ ràng thông tin tải trọng lưu lượng mạng chuyển đổi nhúng vào chữ ký quy tắc IDS phát lưu lượng độc hại phù hợp với tham số truyền thông xác định theo quy tắc Trong mạng lưới rộng tồn nhiều loại hệ thống phát xâm nhập, tường lửa thiết bị hệ thống bảo vệ xung quanh Mỗi hệ thống tạo cảnh báo nguy hiểm Các cảnh báo tạo từ nguồn hệ thống khác phải tương quan để cải thiện độ xác tránh báo động sai Tương quan cảnh báo trình phân tích cảnh báo tạo nhiều hệ thống phát xâm nhập cung cấp nhìn ngắn gọn cao cấp nỗ lực xâm nhập Gu et al (2007) đề xuất khung làm việc, “BotHunter”, để tương quan với cảnh báo phát dựa IDS Họ sử dụng ma trận tương quan hộp thoại mạng Mỗi hộp thoại IDS chèn vào ma trận sau BotHunter cắt tỉa đánh giá Hệ thống dựa hệ thống ngưỡng điểm có trọng số Mỗi hộp thoại IDS có trọng số sau tương quan, tổng trọng số kiện tương quan hệ thống tính tốn Hệ thống sau định xem kiện tương quan có phải hoạt động độc hại hay khơng Do đó, tỷ lệ dương tính giả hạ xuống mức chấp nhận 3.3.3 Kỹ thuật phát dựa bất thường Khám phá kỹ thuật phát Botnet dựa hành vi mạng lĩnh vực nghiên cứu đáng kể cho nhà nghiên cứu Botnet Phát hoạt động Bot dựa hành vi mạng bất thường chẳng hạn độ trễ cao, lưu lượng truy cập cao, lưu lượng truy cập cổng bất thường… cho thấy tồn mã độc hại bên mạng Karasaridis, Rexroad, & Hoeflin (2007) đề xuất thuật toán để phát mô tả đặc điểm Botnet sử dụng phân tích thụ động Cách tiếp cận họ dựa liệu dòng chảy lớp vận chuyển Thuật tốn phát giao tiếp Botnet mã hóa, thuật tốn mà họ sử dụng không quan tâm đến liệu tải trọng mã hóa luồng mạng Binkley & Singh (2006) trình bày thuật tốn dựa kỹ thuật thống kê để phát máy chủ Botnet Thuật toán đề xuất lấy từ hai 61 liệu thử nghiệm thu thập số liệu thống kê dựa bốn loại lệnh IRC lớp 7: PRIVMSG, JOIN, PING PONG Gu&Zhang (2008) đề xuất hệ thống BotSniffer, để phát kênh Command and Control Botnet cách sử dụng dị thường hành vi mạng tương đồng kênh mạng Cách tiếp cận họ hữu ích: Các máy khách Bot phải tiết lộ bất thường hành vi mạng họ liên lạc với máy chủ C&C đặc điểm hành vi mạng tương tự Do đó, sử dụng số thuật tốn phân tích tương quan để phát mối tương quan không gian – thời gian lưu lượng mạng với tỷ lệ sai lệch thấp Sức mạnh phát Botnet dựa bất thường có hiệu chống lại mối đe dọa mới, tiên tiến, nhiên kỹ thuật có điểm yếu đáng lưu ý sau Thứ nhất, lượng thời gian nỗ lực đáng kể để thu thập liệu xác định cấu thành hành vi bình thường Thứ hai, kỹ thuật phát dựa bất thường dễ bị tỷ lệ báo động sai cao Bất kỳ hoạt động an tồn bình thường nằm ngồi giới hạn thống kê phát bất thường 3.3.4 Kỹ thuật phát dựa DNS Một hoạt động Bot điển hình trở lại cách nhận lệnh tham số thực lệnh từ trung tâm kiểm soát điều khiển Do đó, bot bị ràng buộc gửi truy vấn DNS để biết địa IP trung tâm điều khiển Các máy chủ C&C thường có tính phân tán mạng Botnet Do đó, họ phải sử dụng mục DNS động (DDNS) với thời gian ngắn để ẩn chúng khỏi hệ thống phát hiện/ngăn chặn xâm nhập Do đó, phát lưu lượng truy cập DNS Botnet cách theo dõi hoạt động DNS phát truy vấn DNS bất thường không mong muốn Các kỹ thuật dựa DNS tương tự kỹ thuật phát dựa bất thường khác Chúng thường dựa việc phát lưu lượng truy cập mạng DNS bất thường tạo máy tính bot Dagon (2005) đề xuất thuật toán để xác định địa máy chủ C&C Botnet cách theo dõi truy vấn DDNS cao bất thường tạm thời Cách tiếp cận gần giống với cách tiếp cận Kristoff, (Kristoff, 2004) hai cách thường hữu ích Nhưng đơi nhiều trang web quan trọng sử 62 dụng thời gian ngắn để sống Do tính chất đơn giản phương pháp này, nhiều trường hợp dương tính giả xảy Kim cộng (Inhwan, Choi, & Lee, 2008) đề xuất phương pháp cho cố vấn bảo mật quản trị viên cung cấp thơng tin hình ảnh có ý nghĩa để phát Botnet Hệ thống đề xuất dựa lưu lượng DNS phần nhỏ tổng lưu lượng mạng Do đó, phương pháp dễ dàng để phân tích thời gian thực Choi, Lee, Lee, & Kim (2007) đề xuất hệ thống giám sát lưu lượng DNS để phát cấu trúc phụ Botnet tạo thành hoạt động nhóm truy vấn DNS lúc Họ xác định thuộc tính lưu lượng DNS giúp hình thành nhóm theo mức độ phù hợp tính độc đáo cho nút mạng khác Cách tiếp cận dựa bất thường họ mạnh cách tiếp cận trước phát luồng Botnet loại cấu trúc phân cấp cấu trúc Botnet Năm 2009, Manasrah cộng đề xuất hệ thống để phân loại truy vấn DNS phát hoạt động DNS độc hại Hệ thống dựa chế đơn giản theo dõi lưu lượng DNS phát lưu lượng DNS bất thường Botnet phát hành Cách tiếp cận họ dựa thực tế Botnet xuất dạng nhóm vật chủ định kỳ (Manasrah, Hasan, Abouabdalla, & Ramadass, 2009) Bản chất phát dựa DNS giám sát lưu lượng DNS giám sát trạng thái sở liệu DNS máy chủ DNS Điểm yếu phương pháp tất Botnet sử dụng DNS cách tiếp cận không hoạt động Botnet không dựa DNS 3.3.5 Kỹ thuật phát dựa khai phá liệu Các kỹ thuật dựa bất thường chủ yếu dựa bất thường hành vi mạng độ trễ cao, hoạt động cổng không sử dụng Tuy nhiên lưu lượng C&C thường không tiết lộ hành vi bất thường Hầu khó phân biệt lưu lượng C&C từ hành vi truy cập liệu thông thường Tại điểm này, mơ hình nhận dạng kỹ thuật khai thác liệu máy học hữu ích để trích xuất mẫu mạng không mong muốn 63 Đầu tiên, hữu ích để giới thiệu nghiên cứu nhiệm vụ tiền xử lý hệ thống phát Botnet dựa khai thác liệu bất thường Davis Clark giới thiệu tổng quan nhiệm vụ tiền xử lý biết kỹ thuật phát xâm nhập dựa khai thác khai thác bất thường (Davis & Clark, 2011) Masud, Gao, Khan, & Han (2008) đề xuất phân tích thụ động dựa khai thác khác để xác định lưu lượng Botnet Cách tiếp cận họ dựa tương quan nhiều tệp nhật ký thu từ điểm khác mạng Hệ thống không để phát Botnet dựa IRC mà áp dụng cho Botnet IRC Phương pháp hiệu tính thụ động tính chất tải trọng Do đó, áp dụng cho mạng mạnh hiệu giao tiếp mã hóa Lu cộng (2011) đề xuất hệ thống để phát mẫu truyền thơng Botnet dựa lựa chọn tính n-gram phân tích tải trọng lưu lượng Đầu tiên, họ phân loại lưu lượng mạng thành ứng dụng khác cách sử dụng chữ ký tải trọng lưu lượng Thứ hai, họ thực phân cụm cho cộng đồng ứng dụng để phát hành vi bất thường dựa tính ngram trích xuất nội dung luồng mạng Cách tiếp cận họ nhận thức tải trọng khó thực mạng lưới quy mô lớn Wang, Huang, Lin, & Lin (2011) đề xuất hệ thống phát Botnet dựa hành vi dựa kỹ thuật nhận dạng mơ hình mờ Động lực họ dựa việc xác định tên miền địa IP có liên quan đến bot cách kiểm tra dấu vết mạng Họ sử dụng kỹ thuật nhận dạng mẫu mờ với chức thành viên: (1) tạo kết nối mạng không thành công; (2) tạo truy vấn DNS khơng thành cơng; (3) có khoảng truy vấn DNS tương tự; (4) có kích thước tải trọng tương tự cho truyền thông mạng BotMiner (Gu, Perdisci, Zhang, & Lee, 2008), cải tiến BotSniffer (Gu & Zhang, 2008), giải pháp gần thành công để phát hoạt động bot Kỹ thuật đề xuất dựa phân cụm lưu lượng truyền thông tương tự lưu lượng độc hại tương tự Sau phân cụm mẫu hoạt động bình thường 64 bất thường, tương quan hai cụm chéo để xác định máy chủ có chung mẫu giao tiếp mẫu hoạt động độc hại Do đó, xác định cấu trúc Botnet nhúng mạng BotMiner phát Botnet giới thực bao gồm Botnet dựa IRC, dựa HTTP P2P với tỷ lệ báo động sai thấp Gu cộng đề xuất BotHunter (Gu et al., 2007) để phát nhiễm phần mềm độc hại cách sử dụng tương quan hộp thoại phát xâm nhập Hệ thống giám sát lưu lượng truy cập mạng nước tương quan lưu lượng bất thường thông tin tải trọng bất ngờ BotHunter không sử dụng kỹ thuật khai thác liệu Các công cụ dựa quy tắc công cụ thống kê nhúng BotHunter Ngoài ra, số giải pháp dựa biểu đồ thực để phát cấu trúc biểu đồ Botnet BotGrep (Nagaraja, Mittal, Hong, Caesar, & Borisov, 2010) giải pháp gần hiệu để phát bot cách sử dụng phân tích biểu đồ có cấu trúc Đối với cấu trúc bot đại, kiến trúc C & C phân tán chúng, phát mạng đồ thị phụ cách hữu ích thuận tiện để phát xâm nhập 3.4 Một số hệ thống theo 3.4.1 Hệ thống Đức dõi phát Botnet điển hình giới Anti Botnet HelpDesk Đức dự án Eco - Association of the German Internet Industry (Hiệp hội Cơng nghiệp Internet Đức) hợp tác với Văn phòng An tồn Thơng tin Liên bang Đức (BSI) dẫn đầu Dự án đưa hội nghị Công nghệ thông tin ngày 08 tháng 12 năm 2009 tài trợ Bộ Nội vụ Liên Bang Đức, họ cung cấp triệu Euro cho năm hoạt động, nhằm mục đích thơng báo tình huống: khách hàng có máy tính cá nhân trở thành phần mạng Botnet mà họ điều hỗ trợ loại bỏ phần mềm độc hại Sáng kiến nhằm đưa Đức khỏi top 10 quốc gia hàng đầu có hoạt động liên quan đến Botnet Công việc Anti Botnet HelpDesk hướng dẫn phương pháp tiếp cận Úc, Nhật Bản Hàn Quốc Hoạt động điều hành tập trung vào khách hàng ISPs chia thành ba bước: 65 Xác định khách hàng có PC bị nhiễm: Nạn nhân Botnet xác định gián tiếp thông qua bẫy Spamtraps Honeypots Thông báo cho khách hàng: Người dùng xác định nhận thông báo qua ISP họ Nó chứa thơng tin chung cách xử lý việc nhiễm phần mềm độc hại (bot) bao gồm liên kết đến phần mềm loại bỏ chúng Cung cấp hỗ trợ hình thức trung tâm hỗ trợ: Người dùng đề nghị trợ giúp tương tác trường hợp họ không thành cơng việc tự xóa phần mềm độc hại Đối với điều này, trung tâm hỗ trợ thiết lập Sau nhận vé, người dùng gọi đường dây nóng để hỗ trợ cấp để tư vấn việc loại bỏ phần mềm độc hại Nếu điều không thành công, khách hàng chuyển đến chuyên gia hỗ trợ cấp hai để hướng dẫn chi tiết 3.4.2 Hàn Quốc Hệ thống chống Botnet Hàn Quốc bắt đầu xây dựng công DDoS xảy nhiều máy tính cá nhân Hàn Quốc Vì vậy, Cơ quan an ninh Internet Hàn Quốc (KISA- Korean Internet Security Agency) Trung tâm ứng cứu khẩn cấp máy tính Hàn Quốc (KRCERT- Korean Computer Emegency Response Team) bắt đầu chiến dịch chống lại Botnet rộng rãi Dưới mơ hình chống Botnet Hàn Quốc 66 Hình 15: Mơ hình chống Botnet Hàn Quốc Mơ hình chống Botnet Hàn Quốc gồm phần sau: - Phát hiện: máy tính bị nhiễm bot phát theo nhiều cách khác (giám sát máy chủ DNS, theo dõi truy vấn kết nối đáng ngờ, liệu thu thập từ kết phân tích phần mềm độc hại từ báo cáo hệ thống phát xâm nhập, hệ thống bẫy – Honeypot ) - KRCERT giám sát Botnet diện rộng bóc gỡ cách sử dụng kỹ thuật DNS Sinkhole - dịch vụ quản lý DNS tập trung Bằng cách này, tên miền xác nhận phục vụ mục đích độc hại dễ dàng bị chìm Đối với điều này, ghi tài nguyên DNS tạo thủ cơng có chứa tên miền địa IP sử dụng lỗ hổng, thay máy chủ độc hại, phân phối cho máy chủ DNS vận hành, ví dụ, ISP - Để bổ sung cho nỗ lực giảm thiểu, hợp tác KRCERT, ISP nhà cung cấp bảo mật CNTT tìm kiếm việc thơng báo cho người dùng cuối việc nhiễm phần mềm độc hại cung cấp cho họ công cụ loại bỏ để dọn dẹp hệ thống máy tính họ Ngoài nỗ lực này, Hàn Quốc thiết lập Trung tâm E-Call 118, đường dây nóng khẩn cấp miễn phí để xử lý cố Internet Các thành viên trung tâm gọi đào tạo để đưa lời khuyên việc loại bỏ phần mềm độc hại, để xử lý trả lời câu hỏi quyền riêng tư công nghệ Internet nói chung 3.4.3 Hệ thống Nhật Bản 67 Hệ thống theo dõi phát Botnet Nhật Bản có tên “Cyber Clean Center” gọi CCC xây dựng từ năm 2006 hoạt động từ tháng năm 2011 Hệ thống CCC xây dựng với mục tiêu theo dõi phát Botnet máy tính người dùng bị nhiễm, sở hợp tác với nhà cung cấp dịch vụ Internet ISP hãng bảo mật Mơ hình bóc gỡ Botnet Nhật Bản hoạt động sau: (1) Máy tính người dùng bị nhiễm bot thông qua hành động truy cập Internet (2) Phát lấy mẫu bot thông qua ISP: yêu cầu ISP xác định với máy tính người dùng bị nhiễm Botnet (3) Phân tích mẫu để chuẩn bị cơng cụ loại bỏ bot (4) Gửi yêu cầu định danh máy tính bị nhiễm Botnet tới ISP (5) ISP định danh máy bị nhiễm (6) ISP gửi cảnh báo máy bị nhiễm bot công cụ để loại bỏ tới người dùng (7) Người dùng nhận cảnh báo chủ động truy cập vào trang web cung cấp công cụ loại bỏ bot (8) Người dùng tải cơng cụ bóc gỡ bot hệ thống CCC cung cấp thực loại bỏ bot 3.5 Kết luận chương Từ thời điểm Botnet tạo nay, giới có hàng trăm loại Botnet khác bao gồm biến thể Chúng ngày tiến hố với mức nguy hiểm vơ khó lường Theo đó, phát theo dõi Botnet chủ đề nghiên cứu ln “nóng” tổ chức, phận, cá nhân công nghệ thông tin toàn cầu Mỗi nghiên cứu, phát triển lại đem lại mẻ, ưu điểm, nhược điểm khác nhau, tụ chung lại kỹ thuật phát Botnet phát dựa Honeypot, dựa chữ ký, dựa bất thường mạng, DNS cuối kỹ thuật dựa khai phá liệu Kỹ thuật dựa chữ ký hữu ích loại Botnet biết không phát loại Botnet chưa gặp Kỹ thuật dựa bất thường có tỷ lệ báo động sai cao, kỹ thuật dựa DNS khơng hoạt động Botnet không dựa DNS, kỹ thuật dựa khai phá liệu phức tạp Honeypot lựa chọn phù hợp Với lý này, đề tài đồ án em ngày hôm xây dựng hệ thống Botnet Tracking dựa Honeypot để theo dõi giám sát 68 mạng Botnet Chi tiết phần triển khai hệ thống trình bày chương 69 CHƯƠNG 4: TRIỂN KHAI HỆ THỐNG BOTNET TRACKING THEO DÕI VÀ GIÁM SÁT MẠNG BOTNET 4.1 Đặt vấn đề Từ chương trước, thấy rằng, mạng Botnet nhóm thiết bị kết nối Internet bị lây nhiễm mã độc đặc biệt Mã độc tạo chương trình hay zombies chạy ẩn, cung cấp quyền quản trị cho phép tội phạm mạng quản lý thiết bị nạn nhân mà không lộ cho nạn nhân biết diện chúng Thiết bị lây nhiễm hoạt động bình thường vận hành mệnh lệnh botnet Khi phối hợp nhau, thiết bị lây nhiễm hình thành hạ tầng vững mạnh đủ để gây nên khủng hoảng công nghệ thông tin khổng lồ Như mạng Botnet đủ lớn mạnh thực thách thức vơ “khó chịu” tổ chức cơng nghệ thông tin việc xây dựng hệ thống tồn diện có chức giám sát theo dõi chúng Đó hệ thống linh hoạt, có khả phát loại Botnet mới, loại Botnet chưa phát có tỉ lệ báo động sai thấp Với yêu cầu này, hệ thống sử dụng honeynet làm “mồi nhử” Botnet phương pháp hiệu quả, phù hợp Hệ thống khơng theo dõi mà ghi lại tương tác kẻ công môi trường honeypot 4.2 Cơng cụ sử dụng Trong đồ án có sử dụng số công cụ hỗ trợ triển khai hệ thống Botnet Tracking sau: - Zeus Botnet 2.1.0.1: Công cụ tải xuống từ diễn đàn zHacker.NeT, có chức tạo bot - Xampp - Honeywall: đóng vai trò gateway - Sebek: - Hệ điều hành windows 7, Win XP, Winserver 2003, Honeynet gateway Tất công cụ hỗ trợ triển khai hệ thống môi trường máy ảo Em sử dụng máy ảo VMWARE WORKSTATION 12 PRO 4.3 Mơ hình triển khai Do điều kiện khách quan khơng có đủ sở vật chất phạm vi nghiên cứu đồ án, mơ hình triển khai hệ thống Botnet Tracking mô theo dõi máy tính bị nhiễm botnet thay theo dõi mạng lớn từ vài chục bot trở lên 70 Trong đó: Thành phần Server (Honeynet gateway) Hacker Managemer Bot 4.4 Hệ điều hành IP Window Window XP Winserver 2003 10.0.57.90 172.16.1.10 10.0.57.175 Kịch triển khai Với yêu cầu đề tài đặt ra, triển khai hệ thốn\ 4.5 Kết thực nghiệm 71 KẾT LUẬN Như vậy, kết thúc 72 TÀI LIỆU THAM KHẢO [1] Craig Schiller, Jim Binkley, Gadi Evron, Carsten Willems, Tony Bradley, David Harley, Michael Cross “Botnets: The Killer Web App” February 15, 2007 [2] Pierce M Gibbs “Botnet Tracking Tools” August 8th, 2014 [3] Erdem Alparslan, Adem Karahoca, Dilek Karahoca “BotNet Detection: Enhancing Analysis by Using Data Mining Techniques” September 12th, 2012 [4] Dr Giles Hogben “Botnets: Detection, Measurement, Disinfection & Defence” November 26, 2012 [5] Wenke Lee, Cliff Wang, David Dagon “Botnet Detection Countering the Largest Security Threat” November 29, 2007 [6] Báo điện tử “Mạng máy tính ma 'khét tiếng' bị đánh sập phần”, 1/10/2013 [7] Tạp chí An tồn thơng tin – Ban Cơ Yếu Chính Phủ, “Botnet Necurs: Mạng xả thư rác độc hại”, 25/09/2017 [8] Báo niên “Mỹ buộc tội hacker tuổi đôi mươi tạo Botnet Mirai”, 15/12/2017 [9] Bkav Forum “10 mạng Botnet đáng sợ nay”, 05/03/2010 [10] AnhLt, Tạp chí SecurityDaily “Phòng chống Botnet DDoS Việt Nam nay”, 24/03/2014 [11] Tạp chí ictnews “Bắt” mạng Botnet hồnh hành quan, đơn vị tỉnh Điện Biên, 11/09/2015 [12] Tạp chí Vietnetco “Tình hình an tồn thơng tin đáng ý tuần 21/2018”, 31/05/2018 [13] Tạp chí ictnews “CyStack: Hơn 1.400 máy chủ sử dụng Memcached Việt Nam có nguy bị biến thành Botnet”, 10/03/2018 [14] Tạp chí VnEconomy “Số cơng mạng Việt Nam quý 1/2019 giảm hẳn nửa”, 01/04/2019 [15] Aptechvietnam “Chúng ta thua trận chiến Botnet”, 10/07/2017 73 PHỤ LỤC Tạo Bot thực lây nhiễm Trong đồ án này, em sử dụng công cụ Zeus Botnet để tạo bot máy hacker(máy hacker có cài đặt apache) Có thể tải xuống Zeus Botnet link sau: https://zhacker.net/index.php? newsid=1845&seourl=zeus-2101-botnet&seocat=ddos - Tải xuống Xampp phiên Cài đặt cấu hình hệ thống Honeynet 74 ... VIỆN KỸ THUẬT MẬT Mà ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ ĐỒ ÁN TỐT NGHIỆP NGHIÊN CỨU VÀ PHÁT TRIỂN HỆ THỐNG BOTNET TRACKING THEO DÕI VÀ GIÁM SÁT CÁC MẠNG BOTNET Người hướng dẫn: ThS Cao Minh Tuấn Khoa An tồn thơng... sâu vào cách phân loại dựa mơ hình mạng Botnet Theo khía cạnh này, có loại mạng Botnet là: mạng Botnet tập trung mạng Botnet phân tán 2.4.1 Mạng Botnet tập trung Mạng Botnet tập trung mạng Botnet. .. dụng để đẩy phần mềm độc hại vào hệ thống Các cơng cụ có khả giúp cho kẻ cơng truy cập bất hợp pháp vào hệ thống làm cho hệ thống bị lây nhiễm mã độc hại Khi tải vào hệ thống đoạn mã độc hại, attacker