HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - TỐNG QUANG TÂN NGHIÊN CỨU VÀ PHỊNG CHỐNG TẤN CƠNG TỪ CHỐI DỊCH VỤ PHÂN TÁN VÀO WEBSITE CHUYÊN NGÀNH : HỆ THỐNG THƠNG TIN MÃ SỐ : 8.48.01.04 TĨM TẮT LUẬN VĂN THẠC SĨ HÀ NỘI - 2018 Luận văn hồn thành tại: HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG Người hướng dẫn khoa học: TS Phạm Hồng Duy Phản biện 1: TS Hoàng Xuân Dậu Phản biện 2: TS Trần Minh Tân Luận văn bảo vệ trước Hội đồng chấm luận văn thạc sĩ Học viện Cơng nghệ Bưu Viễn thơng Vào lúc: 00 ngày 19 tháng 01 năm 2019 Có thể tìm hiểu luận văn tại: - Thư viện Học viện Cơng nghệ Bưu Viễn thơng MỞ ĐẦU Lịch sử công từ chối dịch vụ năm 2000 lần cậu thiếu niên 15 tuổi Micheal Calce với biệt hiệu aka_mafiaboy từ Quebec, Canada công vào loạt Website thương mại điện tử lớn Amazon, eBay, Yahoo, Fifa, Dell Inc làm chúng truy cập hàng đồng hồ Năm 2005, lập trình viên 18 tuổi tên Farid Essabar viết sâu máy tính để lây nhiễm thành lập mạng Botnet công vào máy chủ hãng tin CNN làm sập dịch vụ trực tuyến hãng Hình thức công mở kỷ nguyên cho phương pháp công DDoS mới, nguy hiểm tinh vi Ngày DDoS sử dụng nhiều mánh khóe, kỹ thuật kỹ thuật khuếch đại công, sử dụng máy chủ điều khiển lệnh từ xa… làm mức độ thiệt hại tăng lên đáng kể Điển hình vụ cơng Spamhus năm 2013 với mức băng thơng có thời điểm đến 300Gbps, chí mạng Internet tồn cầu bị ảnh hưởng truy cập vào hầu hết website chậm rõ rệt Việc khơng có chế hiệu hồn tồn để chống lại dạng cơng nguy hiểm gây nhiều thiệt hại chủ đề công nghệ sôi động, nhiều nhà nghiên cứu quan tâm, chia sẻ học hỏi kinh nghiệm Bất cơng trình mang lại hiệu phòng chống giảm thiểu thiệt hại DDoS mang lại lợi ích lớn cho thương mại tồn cầu, có khả triển khai rộng rãi tạo môi trường mạng Internet an toàn Việt Nam giai đoạn thúc đẩy áp dụng công nghệ thông tin vào quan nhà nước, việc trang web quan nhà nước bị công DDoS làm ảnh hưởng khơng hình ảnh, uy tín quan mà ảnh hưởng trực tiếp đến uy tín làm trì trệ cơng việc Trong q trình cơng tác, tơi tiếp xúc với nhiều trường hợp quan bị tin tặc công DDoS, số trường hợp không thực công việc thời gian dài Thực tế, có nhiều giải pháp phòng chống DDoS, nhiên, giải pháp phần cứng đắt đỏ, giải pháp phần mềm rời rạc, chưa tổng hợp Vì vậy, tơi lựa chọn đề tài : “Nghiên cứu phòng chống cơng từ chối dịch vụ vào website”, với mục đích xây dựng, kiểm thử số giải pháp sử dụng phần mềm mã nguồn mở để quan, tổ chức triển khai dễ dàng Luận văn trình bày với chương chình với nội dung sau: Chương I Tổng quan DDoS Nội dung chương giới tổng quan DDoS, phân loại kiểu công DDoS, cách thức xây dựng mạng Botnet, giới thiệu số cơng cụ cơng DDoS cách phòng chống DDoS, giới thiệu số công cụ mã nguồn mở phòng chống DDos Chương II Cơng cụ mã nguồn mở Iptables Snort inline Nội dung chương giới thiệu hai phần mềm mã nguồn mở miễn phí Iptables Snort, trình bày lý thuyết số cấu hình quan trọng Iptables Snort inline Chương III Xây dựng giải pháp phòng chống DDoS Nội dung chương trình bày giải pháp, mơ hình thực nghiệm q trình kiểm tra đánh giá, nhận xét hệ thống phòng chống xâm nhập phần mềm nêu chương II 3 CHƯƠNG I TỔNG QUAN VỀ DDOS 1.1 Giới thiệu chung DDoS Tấn công từ chối dịch vụ phân tán (DDoS - Distributed Denial Of Service) hoạt động làm chấm dứt gián đoạn dịch vụ máy nạn nhân Tấn công DDoS huy động số lượng lớn máy bị lợi dụng để công nạn nhân vào thời điểm Do DDoS có tính chất phân tán nên việc ngăn chặn khó khăn 1.2 Phân loại kiểu công DDoS Các kiểu cơng DDoS chia thành hai loại dựa mục đích cơng: “Làm cạn kiệt băng thơng làm cạn kiệt tài nguyên hệ thống” Dưới sơ đồ mô tả phân loại kiểu cơng DDoS Hình 1.1: Phân loại kiểu cơng DDoS 1.2.1 Tấn công làm cạn kiệt băng thông Tấn công làm cạn kiệt băng thông (BandWith Depletion) thiết kế nhằm làm tràn ngập mạng mục tiêu với traffic không cần thiết, với mục địch làm giảm tối thiểu khả traffic hợp lệ đến hệ thống cung cấp dịch vụ mục tiêu Có hai loại công làm cạn kiệt băng thông: - Tấn công tràn băng thông (Flood attack) - Tấn công khuếch đại (Amplification attack) 1.2.1.1 Tấn công tràn băng thông (Flood attack): Trong phương pháp này, Agent gửi lượng lớn IP traffic làm hệ thống dịch vụ mục tiêu bị chậm lại, hệ thống bị treo hay đạt đến trạng thái hoạt động bão hòa Làm cho người dùng thực hệ thống khơng sử dụng dịch vụ Ta chia Flood Attack thành hai loại: - UDP Flood Attack - ICMP Flood Attack 1.2.1.2 Tấn công khuếch đại (Amplification Attack): Amplification Attack nhắm đến việc sử dụng chức hỗ trợ địa IP broadcast router nhằm khuyếch đại hồi chuyển công Chức cho phép bên gửi định địa IP broadcast cho tồn subnet bên nhận thay nhiều địa Router có nhiệm vụ gửi đến tất địa IP subnet packet broadcast mà nhận Attacker gửi broadcast packet trực tiếp hay thông qua số Agent nhằm làm gia tăng cường độ công Nếu attacker trực tiếp gửi packet, lợi dụng hệ thống bên broadcast network Agent Có thể chia amplification attack thành hai loại, Smuft Fraggle attack: 1.2.2 Tấn công làm cạn kiệt tài nguyên Tấn công làm cạn kiệt tài nguyên (Resource Deleption Attack) kiểu cơng Attacker gửi packet dùng protocol sai chức thiết kế, hay gửi packet với dụng ý làm tắt nghẽn tài nguyên mạng làm cho tài nguyên không phục vụ người dùng thông thường khác 1.2.2.1 Protocol Exploit Attack - TCP SYN Attack - PUSH ACK Attack 1.2.2.2 Malformed Packet Attack Malformed Packet Attack cách công dùng Agent để gửi packet có cấu trúc khơng chuẩn nhằm làm cho hệ thống nạn nhân bị treo 5 Có hai loại Malformed Packet Attack: - IP address attack - IP packet options attack 1.2.3 Tấn công sở hạ tầng Loại công DDoS thảm khốc công sở hạ tầng Mục đích cơng làm hư hại yếu tố quan trọng Internet Do đó, khơng nhắm vào băng thơng mạng mà tài nguyên (bộ nhớ, CPU) hệ thống đích 1.2.4 Tấn cơng Zero-day Zero-day DDoS Attacks tên đặt cho phương pháp công DDoS mới, khai thác lỗ hổng chưa vá Các tổ chức bảo mật công ty phần mềm tư nhân khác đưa khuyến khích phần thưởng để báo cáo lỗ hổng Tác động dấu hiệu loại công công thực 1.3 Tấn công DDoS Website Hiện công DDoS nhắm vào trang web thực thường xuyên hình thức ngày phức tạp Theo thống kê năm nhiều trang web bị công thiệt hại lớn 6 Hình 1.5: Phân tích trang web bị cơng Một cơng DDoS vào website chia làm hai cách sau: 1.3.1 Tấn công vào máy chủ cài webserver Để cơng website kẻ công thông thường nhắm đến máy chủ cài đặt website đó, số hình thức cơng phổ biến: 1.3.1.1 UDP Flood UDP (User Datagram Protocol) giao thức kết nối không tin cậy Một công gây ngập lụt UDP bắt đầu cách gửi số lượng lớn gói tin UDP tới cổng ngẫu nhiên máy chủ kết máy chủ :  Kiểm tra ứng dụng với cổng;  Thấy khơng có ứng dụng nghe cổng;  Trả lời với ICMP Destination Unreachable gói Như vậy, hệ thống nạn nhân bị buộc nhận nhiều gói tin ICMP, dẫn đến khả xử lý yêu cầu khách hàng truy cập thông thường 1.3.1.2 SYN Flood Kiểu công TCP SYN flood kiểu công trực tiếp vào máy chủ cách tạo số lượng lớn kết nối TCP khơng hồn thành kết nối Một người dùng bình thường kết nối tới máy chủ ban đầu thực Request TCP SYN lúc máy chủ khơng khả đáp lại – kết nối không thực 1.3.1.3 Reflected Attack Reflected Attack hay gọi cơng ánh xạ thực hiên cách gửi nhiều gói tin với địa giả mạo đến nhiều máy tính tốt Các máy tính nhận gói tin trả lời, tin trả lời tới địa nạn nhân bị giả mạo Tất nhiên máy tính cố gắng trả lời làm trang web bị ngập lụt đến tài nguyên máy chủ bị cạn kiệt 1.3.1.4 Unintentional DDoS Unintentional DDoS hay gọi gia tăng khơng chủ ý Nó xảy có tăng đột biến lưu lượng web khiến máy chủ xử lý tất yêu cầu đến Càng nhiều lưu lượng truy cập xảy ra, nhiều tài nguyên sử dụng Điều khiến thời gian tải trang hết hạn cuối server không phản hồi ngừng kết nối 1.3.1.5 Slowloris Loại công từ chối dịch vụ phân tán khó để phát hạn chế Sự việc đáng ý vụ công bầu cử tổng thống Iran năm 2009 Loại cơng có kĩ thuật tương tự SYN flood (tạo nửa kết nối để làm cạn kiệt tài nguyên máy chủ) diễn lớp HTTP (lớp ứng dụng) Để công, tin tặc gửi yêu cầu HTTP đến máy chủ, không gửi toàn yêu cầu, mà gửi phần (và bổ sung nhỏ giọt, để khỏi bị ngắt kết nối) Với hàng trăm kết nối vậy, tin tặc tốn tài nguyên, đủ để làm treo máy chủ, tiếp nhận kết nối từ người dùng hợp lệ 8 1.3.2 Tấn công trực tiếp vào website Cách công trực tiếp vào website thường dùng cho công nhỏ lẻ nhắm vào lỗ hổng ứng dụng web điển hình cánh cơng sau : 1.3.2.1 Application Level Attacks Application level attacks nhằm vào mục tiêu ứng dụng có nhiều lỗ hổng Thay cố gắng lụt toàn máy chủ, kẻ công tập trung công vào một vài ứng dụng Các ứng dụng email dựa web, WordPress, Joomla phần mềm diễn đàn ví dụ điển hình mục tiêu cụ thể ứng dụng 1.3.2.2 Degradation of Service Attacks Degradation of Service Attacks hay gọi cơng làm suy giảm dịch vụ Mục đích cơng làm chậm thời gian đáp ứng website Thông thường cơng DDoS nhằm mục đích khiến trang web thực tác vụ thông thường Nhưng mục tiêu kiểu công để làm chậm thời gian phản hồi xuống mức hầu hết người khơng thể sử dụng trang web Máy tính Zombie sử dụng để làm tràn máy tính mục tiêu với lưu lượng truy cập độc hại, gây vấn đề hiệu suất thời gian tải trang Những loại cơng khó phát mục tiêu khơng phải để đưa trang web ngừng kết nối, để làm giảm hiệu suất Chúng thường bị lẫn lộn với gia tăng lưu lượng sử dụng website 1.4 Xây dựng Botnet Để xây dựng mạng botnet đòi hỏi kỹ định lập trình Hiện có nhiều tài liệu nói kiến thức, cách xây dựng mạng botnet với có nhu cầu quan tâm học hỏi, để nắm cách thức hoạt động Đầu tiên, kẻ cơng tìm cách biến máy người sử dụng thành bot mạng botnet mình, tạo file có đính kèm mã độc đưa lên internet để người dùng tải Con đường phổ biến mà người dùng trở thành nạn nhân tải file đính kèm email bị nhiễm mã độc tải phần mềm, file bị nhiễm mã độc từ mạng Internet 1.4.1 Kiến trúc Handler-Agent Mạng Handler-Agent thông thường bao gồm thành phần: Agent, Client Handler Trong : - Client - Handler - Agent 1.4.2 Kiến trúc IRC Base Internet Relay Chat(IRC) hệ thống online chat nhiều người IRC cho phép người sử dụng tạo kết nối đến nhiều điểm khác với nhiều người sử dụng khác chat thời gian thực Kiến trúc cũ IRC network bao gồm nhiều IRC server khắp Internet, giao tiếp với nhiều kênh (channnel) IRC network cho phép user tao ba loại channel: Public, Private Secrect Trong : - Public channel - Private channel - Secrect channel Mạng IRC-based tương tự mạng Agent-Handler mơ hình sử dụng kênh giao tiếp IRC làm phương tiện giao tiếp Client Agent (khơng sử dụng Handler) Sử dụng mơ hình này, attacker có thêm số lợi khác : - Các giao tiếp dạng chat message làm cho việc phát chúng vơ khó khăn - Lưu thơng IRC di chuyển mạng với số lượng lớn mà không bị nghi ngờ - Khơng cần phải trì danh sách Agent, hacker cần logon vào IRC server nhận report trạng thái Agent channel gửi - Sau cùng: IRC môi trường chia sẻ file tạo điều kiện phát tán Agent code lên nhiều máy khác 10 1.4.3 Kiến trúc Peer-to-Peer Khơng giống mơ hình trên, Botnet dựa kiến trúc Peer-to-Peer khơng có thành phần trung gian gửi lệnh riêng biệt Các lệnh gửi đến bot thông qua giao thức P2P 1.4.4 Một số botnet tiếng giới - SDBot - Agobot 1.5 Các phương pháp xây dựng tài nguyên công 1.5.1 Cách thức cài DDoS Agent - Các cách cài đặt sử dụng phương pháp active như: + Scaning: dùng cơng cụ Nmap, Nessus để tìm sơ hở hệ thống online nhằm cài đặt chương trình Agent + Backdoor: sau tìm thấy danh sách hệ thống lợi dụng, attacker tiến hành xâm nhập cài chương trình Agent lên hệ thống + Trojan: chương trình thực chức thơng thường đó, lại có số chức tiềm ẩn phục vụ cho mục đích riêng người viết mà người dùng biết + Buffer Overflow: tận dụng lỗi buffer overflow, attacker làm cho chu trình thực thi chương trình thơng thường bị chuyển sang chu trình thực thi chương trình hacker 1.5.2 Giao tiếp mạng Botnet Protocol: giao tiếp mạng Botnetcó thể thực protocol TCP, UDP, ICMP Mã hóa giao tiếp: vài cơng cụ DDoS hỗ trợ mã hóa giao tiếp tồn mạng Botnet Tùy theo protocol sử dụng để giao tiếp có phương pháp mã hóa thích hợp Nếu mạng Botnet dạng IRC-based private secrect channel hỗ trợ mã hóa giao tiếp Cách kích hoạt Agent: có hai phương pháp chủ yếu để kích hoạt Agent Cách thứ Agent thường xuyên quét thăm dò Handler hay IRC channel để nhận 11 thị (active Agent) Cách thứ hai Agent đơn giản “nằm vùng” chờ thị từ Handler hay IRC Channel 1.6 Một số công cụ công DDoS 1.6.1 Trinoo Trinoo công cụ công từ chối dịch vụ kĩ thuật UDP Flood kết hợp từ nhiều nguồn 1.6.2 Tribe Flood Network (TFN/TFN2K) Tương tự Trinoo Tribe Flood Network cho phép attacker sử dụng thêm ICMP flood, SYN flood Smurf 1.6.3 Stacheldraht Stacheldraht kết hợp tính Trinoo TFN, bên cạnh thêm khả mã hóa giao tiếp attacker stacheldraht masters Stacheldraht cung cấp cho attacker nhiều phương thức công từ chối dịch vụ : ICMP flood, SYN flood, UDP flood Smurf 1.6.4 Trinity Trinity có hầu hết kỹ thuật công bao gồm: UDP, TCP SYN, TCP ACK, TCP fragment, TCP NULL, TCP RST, TCP random flag, TCP ESTABLISHED packet flood Nó có sẵn khả ngẫu nhiên hóa địa bên gởi Trinity hỗ trợ TCP flood packet với khả ngẫu nhiên tập CONTROL FLAG Trinity nói số công cụ DDoS nguy hiểm 1.6.5 DoSHTTP DoSHTTP phần mềm sử dụng dễ dàng, mạnh mẽ để công tràn ngập HTTP DoSHTTP bao gồm xác nhận URL, chuyển hướng HTTP giám sát hiệu suất Cơng cụ DoSHTTP giúp chun gia CNTT thử nghiệm hiệu máy chủ web đánh giá độ bảo mật 1.6.6 X-flash Vấn đề then chốt hacker cơng hình thái cổ điển nắm quyền điều khiển nhiều máy tính tốt, sau trực tiếp phát động công hàng loạt từ xa thông qua kênh điều khiển Với quy mô mạng lưới 12 công bao gồm vài trăm nghìn máy, hình thái đánh gục hệ thống Phối hợp với khả giả mạo địa IP, kiểu cơng khó lần theo dấu vết 1.7 Phòng chống DDoS 1.7.1 Phương pháp phòng chống DDoS 1.7.1.1 Đối với cơng có quy mơ lớn Có ba giai đoạn q trình Phòng chống DDoS: - Giai đoạn ngăn ngừa: tối thiểu hóa lượng Agent, tìm vơ hiệu hóa Handler - Giai đoạn đối đầu với công: Phát ngăn chặn công, làm suy giảm dừng công, chuyển hướng công - Giai đoạn sau công xảy ra: thu thập chứng rút kinh nghiệm a) Tối thiểu họa lượng Agent b) Tìm vơ hiệu hóa Handler c) Phát dấu hiệu cơng Có nhiều kỹ thuật áp dụng: - Agress Filtering - MIB statistics d) Làm suy giảm hay dừng công Dùng kỹ thuật sau: - Load balancing - Throttling - Drop request e) Chuyển hướng công Honeyspots: Một kỹ thuật nghiên cứu Honeyspots Honeyspots hệ thống thiết kế nhằm đánh lừa attacker công vào xâm nhập hệ thống mà không ý đến hệ thống quan trọng thực g) Giai đoạn sau công Trong giai đoạn thông thường thực công việc sau: 13 - Traffic Pattern Analysis - Packet Traceback - Bevent Logs 1.7.1.2 Đối với công nhỏ Cách 1: Chống iframe: Đây phương pháp xem thô sơ Kẻ công mượn website có lượt truy cập lớn chèn iframe hướng website cần đánh cho chạy lệnh refresh (tải lại) nhiều lần họ viết sẵn tập tin flash với công dụng tương tự đặt lên website người dùng truy cập vào website họ vơ tình bất đắc dĩ trở thành người cơng website Với hình thức cơng kiểu bạn hồn tồn chống lại cách chèn đoạn mã Javascript chống chèn iframe từ website khác đến website bạn if (top.location != self.location) {top.location = self.location} Cách 2: Chống tải lại (TOOL F5) Một hình thức cơng khác dùng phím F5 liên tục có chủ ý, dùng phần mềm lập trình sẵn với cơng dụng tương tự (tải lại trang web liên tục sau khoảng thời gian định sẵn) Cách 3: Giới hạn số kết nối website thời điểm Khi khách truy cập vào website tạo truy vấn kết nối với sở liệu (CSDL) lấy thông tin trả thông qua hiển thị website Mỗi máy chủ có phép truy vấn kết nối hạn định vượt hạn mức việc truy cập khó khăn truy xuất 1.7.2 Một số công cụ mã nguồn mở phòng chống DDoS Hiện có nhiều cơng cụ mã nguồn mở miễn phí giúp ta ứng dụng phòng chống cơng DDoS như: - Iptables - Sort Inline 14 - Mod DoS-Deflate - Alpine Linux - HAPROXY 15 CHƯƠNG II CÔNG CỤ MÃ NGUỒN MỞ IPTABLES VÀ SNORT INLINE 2.1 Công cụ Iptables 2.1.1 Giới thiệu chung Iptables Iptables tường lửa ứng dụng lọc gói liệu mạnh, miễn phí có sẵn Linux Netfilter/Iptables gồm phần Netfilter nhân Linux Iptables nằm nhân Iptables chịu trách nhiệm giao tiếp người dùng Netfilter để đẩy luật người dùng vào cho Netfiler xử lí Netfilter tiến hành lọc gói liệu mức IP Netfilter làm việc trực tiếp nhân, nhanh không làm giảm tốc độ hệ thống 2.1.2 Cấu trúc Iptables Tất gói liệu kiểm tra Iptables cách dùng xây dựng sẵn (queues) Có loại bảng gồm: - Mangle - Filter: chịu trách nhiệm lọc gói liệu Nó gồm quy tắc nhỏ (chain) để thiết lập nguyên tắc lọc gói, gồm : + Forward chain: lọc gói đến server khác + Input chain: lọc gói vào server + Output chain: lọc gói khỏi server - NAT : Gồm có hai loại: + Pre-routing + Post-routing 2.1.3 Targets Targets hành động diễn gói liệu kiểm tra phù hợp với yêu cầu Khi target nhận dạng, gói liệu nhảy (jump) để thực xử lý 16 2.1.4 Các tùy chọn quan trọng Iptables Các tham số sau cho phép Iptables thực hành động cho phù hợp với biểu đồ xử lý gói người dùng hoạch định sẵn 2.2 Công cụ Snort inline 2.2.1 Giới thiệu Snort Snort hệ thống ngăn chặn xâm nhập phát xâm nhập mã nguồn mở phát triển sourcefire Kết hợp lợi ích dấu hiệu, giao thức dấu hiệu bất thường, Snort công nghệ IDS/IPS triển khai rộng rãi toàn giới Snort ứng dụng bảo mật đại có ba chức : phục vụ phận lắng nghe gói tin, lưu lại thơng tin gói tin hệ thống phát xâm nhậm mạng (NIDS) 2.2.2 Cấu trúc Snort Snort bao gồm nhiều thành phần, với thành phần có chức riêng Các thành phần là:  Mơđun giải mã gói tin (Packet Decoder)  Mơđun tiền xử lý (Preprocessors)  Môđun phát (Detection Engine)  Môđun log cảnh báo (Logging and Alerting System)  Môđun kết xuất thông tin (Output Module) Cấu trúc Snort mơ tả sau: Hình 2.3: Mơ hình cấu trúc hệ thống Snort 17 2.2.2.1 Môđun giải mã gói tin Snort sử dụng thư viện pcap để bắt gói tin mạng lưu thơng qua hệ thống Một gói tin sau giải mã đưa tiếp vào môđun tiền xử lý 2.2.2.2 Môđun tiền xử lý Môđun tiền xử lý môđun quan trọng hệ thống IDS để chuẩn bị gói liệu đưa vào cho mơđun Phát phân tích Ba nhiệm vụ mơđun loại là: + Kết hợp gói tin + Giải mã chuẩn hóa giao thức (decode/normalize) + Phát xâm nhập bất thường (nonrule /anormal) 2.2.2.3 Môđun phát Đây môđun quan tọng Snort Nó chịu trách nhiệm phát dấu hiệu xâm nhập Môđun phát sử dụng luật định nghĩa trước để so sánh với liệu thu thập từ xác định xem có xâm nhập xảy hay khơng Rồi thực số cơng việc ghi log, tạo thông báo kết xuất thông tin Một mơđun phát có khả tách phần gói tin áp dụng luật lên phần gói tin Các phần là:  IP header  Header tầng giao vận: TCP, UDP  Header tầng ứng dụng: DNS header, HTTP header, FTP header,…  Phần tải gói tin (bạn áp dụng luật lên phần liệu truyền gói tin) Một vấn đề Mơđun phát việc xử lý gói tin bị phát nhiều luật Do luật Snort đánh thứ tự ưu tiên, nên gói tin bị phát nhiều luật khác nhau, cảnh báo đưa cảnh báo ứng với luật có mức ưu tiên lớn 2.2.2.4 Môđun log cảnh báo 18 Tùy thuộc vào việc mơđun Phát có nhận dạng xâm nhập hay khơng mà gói tin bị ghi log đưa cảnh báo Các file log file text liệu ghi nhiều định dạng khác chắng hạn tcpdunmp 2.2.2.5 Mơđun kết xuất thơng tin Mơđun thực thao tác khác tùy theo việc bạn muốn lưu kết xuất Tùy theo việc cầu hình hệ thống mà thực công việc là:  Ghi log file  Ghi syslog  Ghi cảnh báo vào sở liệu  Tạo file log dạng xml  Cấu hình lại Router, firewall  Gửi cảnh báo gói gói tin sử dụng giao thức SNMP  Gửi thông điệp SMB (Server Message Block) tới máy tính Windows Nếu khơng lòng với cách xuất thơng tin trên, ta viết mơđun kết xuất thơng tin riêng tùy theo mục đích sử dụng 2.2.3 Bộ luật Snort 2.2.3.1 Giới thiệu Cũng giống virus, hầu hết hoạt động cơng hay xâm nhập có dấu hiệu riêng Các thông tin dấu hiệu sử dụng để tạo nên luật cho Snort Thông thường, bẫy (honey pots) tạo đề tìm hiểu xem kẻ tắn cơng làm thông tin công cụ công nghệ chúng sử dụng Và ngược lại, có sở liệu lỗ hổng bảo mật mà kẻ tắn công muốn khai thác Các dạng công biết dùng dấu hiệu để phát cơng xâm nhập Một luật sử dụng để tạo nên thông điệp cảnh báo, log thơng điệp hay bỏ qua gói tin 2.2.3.2 Cấu trúc luật Snort Ta thấy cấu trúc luật có dạng sau: 19 Hình 2.5: Cấu trúc luật Snort Diễn giải: Tất Luật Snort logic gồm phần: Phần header phần Option Cấu trúc chung phần Header luật Snort gồm:  Action  Protocol  Address  Port  Direction 2.2.4 Chế độ ngăn chặn Snort : Snort — Inline 2.2.4.1 Tích hợp khả ngăn chặn vào Snort Snort-inline nhánh phát triển Snort William Metcalf khởi xướng lãnh đạo Đến phiên 2.3.0 RC1 Snort, inline-mode tích hợp vào thức snort.org phát hành Sự kiện biến Snort từ IDS túy trở thành hệ thống có khả IPS, chế độ tùy chọn mặc định Ý tưởng inline-mode kết hợp khả ngăn chặn iptables vào bên snort Điều thực cách thay đổi môđun phát môđun xử lý cho phép snort tương tác với iptables 2.2.4.2 Những bổ sung cho cấu trúc luật Snort hỗ trợ Inline mode Để hỗ trợ tính ngăn chặn Snort-inline, số thay đổi bồ sung đưa vào luật Snort 20 CHƯƠNG III XÂY DỰNG GIẢI PHÁP PHÒNG CHỐNG DDOS 3.1 Giải pháp phòng chống DDoS đưa cho Website Qua nghiên cứu phân tích hình thức cơng DDoS cơng cụ giúp phòng chống DDoS chương chương hai Chương ba luận văn tập trung vào giải pháp công vào máy chủ Web xây dựng giải pháp chống lại hình thức cơng phổ biến SYN Flood, UDP Flood, HTTP Flood Hiện có nhiều cách phòng chống DDoS cho máy chủ web:  Sử dụng Firewall  Triển khai IPS (Tmrusion Prevention System- Hệ thống chống xâm nhập)  Tăng băng thông kết nối tạm thời giải lượng truy cập vào website  Phân tán lượng truy cập đến máy chủ khác với băng thông lớn  Thiết lập cân tải hệ thống máy chủ đề tăng thời gian chống DDoS  Cấu hình lại máy chủ, thiết lập thơng số tường lửa để sàng lọc địa IP có dấu hiệu truy cập ảo Chúng ta lựa chọn giải pháp sử dụng IPS gồm Snort inline Iptables để xây dựng giải pháp phòng chống DDoS cho máy chủ Web Phương pháp sử dụng rộng rãi Như trường hợp Vietnamnet bị công DDoS, công ty CMCinfosec sử dụng nhiều biện pháp khác bao gồm việc kết hợp phần mềm phần cứng để hạn chế DDoS, nhiên ý tưởng phương pháp định tuyến yêu cầu người dùng hệ thống IPS, sử dụng CSF để lọc chặn gói tin tầng mạng sử dụng IPS để lọc gói tin tầng ứng dụng, sau gói tin hợp lệ định tuyến đến máy chủ thật 3.1.1 Ưu điểm giải pháp sử dụng hệ thống IPS Ưu điểm phương pháp cản lọc phần lớn gói tin khơng hợp lệ, máy chủ web có khả phục vụ chịu cường độ DDoS lớn Snort inline: Snort biết đến với ưu điểm dễ cấu hình, miễn phí, sử dụng rộng rãi, chạy nhiều tảng (Windows, Unix, Linux), liên tục 21 cập nhật Snort Inline “module” snort, thay lắng nghe cơng định theo dõi tất traffc qua công đấy, Snort inline theo dõi traffic đặc biệt định trước, làm tăng khả hiệu suất Snort Iptables mà tảng Netfilter có ưu điểm dễ cấu hình, tốc độ xử lý nhanh, tích hợp sẵn Kernel Linux Việc sử dụng kết hợp Iptables với Snort inline tạo hệ thống IPS hoạt động ổn định, dễ cấu hình, dễ dàng tinh chỉnh cần thiết 3.1.2 ConfigServer Security & Firewall (CSF) CSF gói ứng dụng hoạt động Linux tường lửa miễn phí dùng để tăng tính bảo mật cho máy chủ CSF hoạt động dựa iptables Login Failure Daemon (ldf) để quyét file log để phát dấu hiệu công bất thường 3.2 Thử nghiệm, đánh giá 3.2.1 Mơ hình Với mục tiêu đặt tăng thời gian chống chịu cho máy chủ Web, bảo vệ giảm thiệt hại trang web để người quản trị có thời gian khắc phục trước công DDoS ta thực thử nhiệm với hình thức công gây ngập lụt SYN Flood Công cụ sử dụng để đo thời gian đáp ứng máy chủ web Jmeter 3.2.2 Cài đặt Thực cài đặt tùy chỉnh Snort inline 3.2.3 Cấu hình IPS Cấu hình cho phép gói tin qua 3.2.4 Chạy thử nghiệm Thực kiểm thử hệ thông kịch : Kịch 1: Tấn công máy chủ web khơng có IPS khơng cài CFS Kịch 2: Tấn cơng máy chủ web có IPS, có sử dụng CSF 22 3.2.5 Đánh giá thử nghiệm Với mơ hình thử nghiệm phương thức cơng thực thấy kết kịch mà đưa sau:  Đối với kịch 1: Khi bị công, máy chủ phải tạo nhiều tiến trình để phục vụ yêu cầu từ máy công Thời gian đáp ứng trung bình lên đến 8s/một yêu cầu cho thấy việc phục vụ chậm chạp máy chủ bị công  Đối với kịch 2: Khi kết hợp CSF hệ thống IPS, gói tin từ máy cơng bị lọc phần tầng mạng (CSF cản lọc), phần lại bị Snort inline cản lọc tầng ứng dụng Như gói tin từ người dùng hợp lệ đến với máy chủ web Đó lý tài ngun máy chủ web không thay đổi trước công DDoS 23 KẾT LUẬN Các kết đạt Luận văn xây dựng với mục đích nghiên cứu, tìm hiểu hình thức công DDoS vào ứng dụng Web bao gồm hình thức:  Tấn cơng vào máy chủ cài Webserver  Tấn cơng trức tiếp vào Website Trong sâu vào hình thức cơng DDoS vào máy chủ cài Webserver Từ đưa giải pháp phòng chống khơng Website thử nghiệm mà thực nhiều Website khác Từ giải pháp triển khai ngăn chặn cơng đồng loạt Hacker + Tìm hiểu lý thuyết DDoS bao gồm lý thuyết chung, phân loại kiểu DDoS, nắm cách xây dựng mạng Botnet, biết số công cụ công DDoS cách phòng chống DDoS + Triển khai thành cơng hệ thống phòng chống DDoS cho máy chủ cài Webserver cơng cụ mã nguồn mở Snort Inline Iptables, tìm hiểu lý thuyết cài đặt cấu hình hai công cụ Hướng nghiên cứu Trong trình nghiên cứu thực luận văn thấy công DDoS ngày có nhiều biến thể tinh vi hơn, mức độ tàn phá cao hơn, làm cho việc phòng chống DDoS ngày trở nên khó khăn nhiều Dưới số hướng phất triển nhằm nâng cao tính hiệu phòng chống DDoS cho máy chủ web  Thực bổ xung thử nghiệm với hình thức cơng khác đánh giá xác hoàn thiện hệ thống  Nghiên cứu thêm giải pháp cân tải HAPROXY thực tích hợp vào hệ thống cài đặt cho website để phòng thủ tốt trước cơng DDoS  ... treo máy chủ, tiếp nhận kết nối từ người dùng hợp lệ 8 1.3.2 Tấn công trực tiếp vào website Cách công trực tiếp vào website thường dùng cho công nhỏ lẻ nhắm vào lỗ hổng ứng dụng web điển hình... DDoS Tấn công từ chối dịch vụ phân tán (DDoS - Distributed Denial Of Service) hoạt động làm chấm dứt gián đoạn dịch vụ máy nạn nhân Tấn công DDoS huy động số lượng lớn máy bị lợi dụng để công. .. Tấn công trức tiếp vào Website Trong sâu vào hình thức cơng DDoS vào máy chủ cài Webserver Từ đưa giải pháp phòng chống khơng Website thử nghiệm mà thực nhiều Website khác Từ giải pháp triển