Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 91 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
91
Dung lượng
2,95 MB
Nội dung
LỜI CAM ĐOAN Luận văn thạc sỹ nghiên cứu, thực hướng dẫn Thầy giáo TS Nguyễn Khanh Văn giúp đỡ triển khai thực nghiệm NCS Trần Mạnh Thắng – cơng tác Cục An tồn thơng tin – Bộ thông tin Truyền thông Với mục đích tìm hiểu, học tập, nghiên cứu để nâng cao kiến thức trình độ chun mơn tơi làm luận văn cách cầu thị, nghiêm túc hoàn toàn trung thực Để hoàn thành luận văn này, tài liệu tham khảo liệt kê, tơi xin cam đoan khơng chép tồn văn cơng trình nghiên cứu luận văn tốt nghiệp người khác Tôi xin chân thành cảm ơn Thầy giáo TS Nguyễn Khanh Văn, NCS Trần Mạnh Thắng hướng dẫn tận tình chu tơi hồn thành đề tài Hà nội, tháng năm 2015 Học viên Nguyễn Đình Mỹ i MỤC LỤC LỜI CAM ĐOAN i MỤC LỤC ii DANH MỤC CÁC THUẬT NGỮ VÀ TỪ VIẾT TẮT v DANH MỤC CÁC HÌNH VẼ, BẢNG BIỂU vi CHƢƠNG MỞ ĐẦU CHƢƠNG 1: TỔNG QUAN VỀ TẤN CÔNG TỪ CHỐI DỊCH VỤ PHÂN TÁN 1.1 Nghiên cứu tổng quan công từ chối dịch vụ phân tán 1.1.1 Giới thiệu DDoS 1.1.2 Các giai đoạn công DDoS([4]) .7 1.1.3 Kiến trúc tổng quan mạng công DDoS 1.1.4 Phân loại công DDoS .11 1.1.5 Một số đặc tính cơng cụ cơng DDoS 17 1.1.6 Một số công cụ công DDoS 21 1.2 Tác động nghiêm trọng mức độ ảnh hưởng công DDoS nước giới 25 1.2.1 Đối với nước 25 1.2.2 Trên giới 27 CHƢƠNG 2: NGHIÊN CỨU THUẬT TOÁN PHÁT HIỆN VÀ GIẢM THIỂU MỘT SỐ HÌNH THỨC TẤN CÔNG DDOS 31 2.1 Một số thuật tốn phát cơng DDoS 31 2.1.1 Thuật toán ngưỡng giới hạn khả đáp ứng([3]) (Adaptive Threshold Algorithm) 32 2.1.2 Thuật tốn tổng tích lũy([7]) (Cumulative sum – CUSUM) 33 2.1.3 Thuật toán theo dõi IP nguồn([7]) (Source IP Address Monitoring-SIM) 35 2.2 Phân tích phát cơng DDoS 36 2.2.1 Hệ thống phát DDos 36 2.2.2 Các yêu cầu môt hệ thống phát DDoS 37 ii 2.2.3 Phát công DDoS .38 2.3 Phịng chống cơng DDoS 38 2.4 Một số giải pháp phịng chống cơng DDoS 41 2.4.1 Giải pháp chống DDoS Cisco 41 2.4.2 Giải pháp chống DDoS Abor 44 2.4.3 Giải pháp chống DDoS Huawei .45 CHƢƠNG 3: TÌM HIỂU ỨNG DỤNG SNORT TRONG VIỆC GIẢM THIỂU HÌNH THỨC TẤN CƠNG DDOS 46 3.1 Sơ lược IDS/IPS 46 3.1.1 Định nghĩa IDS/IPS 46 3.1.2 Sự khác IDS IPS 47 3.1.3 Phân loại IDS/IPS([5]) .48 3.1.3.1 Network based IDS – NIDS .48 3.1.3.2 Host based IDS – HIDS 51 3.1.4 Cơ chế hoạt động hệ thống IDS/IPS 52 3.1.4.1 Phát lạm dụng 52 3.1.4.2 Phát bất thường 53 3.2 Tìm hiểu sản phẩm Snort việc giảm thiểu hình thức cơng DDoS 56 3.2.1 Giới thiệu Snort 56 3.2.2 Kiến trúc Snort([5]) .57 3.2.2.1 Modun thu thập giải mã gói tin([5]) (Packet Sniffer) 58 3.2.2.2 Mô đun tiền xử lý([5]) (Preprocessors) 59 3.2.2.3 Mô-đun phát (Detection Engine) .61 3.2.2.4 Mô-đun cảnh báo log([5]) (Alerting/Logging) .62 3.2.3 Bộ luật Snort([5]) 63 3.2.3.1 Giới thiệu luật 63 3.2.3.2 Cấu trúc luật Snort .64 3.2.3.3 Phần tiêu đề (Rule header) .66 3.2.3.4 Phần tùy chọn([5])(Rule Option) 71 iii CHƢƠNG 4: TRIỂN KHAI VÀ THỰC NGHIỆM HỆ THỐNG 73 4.1 Chuẩn bị cài đặt máy chủ 75 4.1.1 Cài đặt máy chủ ứng dụng web .75 4.1.2 Cài đặt máy chủ giám sát, cảnh báo hệ thống 75 4.2 Chuẩn bị nguồn công 77 4.3 Tiến hành thử nghiệm theo kịch 77 KẾT LUẬN 82 TÀI LIỆU THAM KHẢO 84 iv DANH MỤC CÁC THUẬT NGỮ VÀ TỪ VIẾT TẮT Ký hiệu Giải thích DoS Tấn công từ chối dịch vụ (Denial of Service) DDoS Tấn công từ chối dịch vụ phân tán (Distributed Denial of Service) Hacker/Attacker Kẻ công Server Máy chủ Host Máy trạm User Người dùng Internet Tập hợp mạng liên kết với Router Bộ/thiết bị định tuyến Switch Bộ/thiết bị chuyển mạch Traffic Lưu lượng Buffer Bộ đệm Website Trang web Threshold Ngưỡng CSDL Cơ sở liệu NIDS Hệ thống phát xâm nhập dựa mạng IIS Các dịch vụ thông tin internet v DANH MỤC CÁC BẢNG BIỂU, HÌNH VẼ Bảng 1.1 Tập lệnh Handler 20 Bảng 1.2 Tập lệnh Agent 21 Hình 1.1 Mơ hình Agent – Handler Hình 1.2 Kiến trúc mạng công kiểu Agent – Handler Hình 1.3 Kiến trúc mạng cơng kiểu dựa vào mạng IRC 10 Hình 1.4 Phân loại công kiểu DDoS 11 Hình 1.5 Tấn cơng khuếch đại 13 Hình 1.6 Mơ tả bắt tay ba bước 15 Hình 1.7 Tấn cơng TCP SYN 15 Hình 1.8 Công cụ công DDoS 17 Hình 1.9 Giao diện Slowloris hoạt động 22 Hình 1.10 Giao diện hoạt động LOIC 23 Hình 1.11 Kết theo dõi thực công LOIC vào máy chủ web 24 Hình 1.12 Thống kê DDoS Intelligence, Quý (xanh) Quý (đỏ) năm 2015 .29 Hình 2.1 Biểu đồ trực quan thuật toán ngưỡng giới hạn đáp ứng([9]) 33 Hình 2.2 Sơ đồ khối thuật tốn SIM 35 Hình 2.3 Địa điểm khác để thực việc phát phản ứng DDoS([6]) 39 Hình 2.4 Một phân loại chế phịng chống cơng ngập lụt DDoS mức mạng/giao vận thơng dựa vị trí triển khai([6]) .40 Hình 2.5 Cách phân loại theo chế phòng vệ chống lại công DDoS([6]) 41 Hình 3.1 Các vị trí đặt IDS mạng 47 Hình 3.2 Mơ hình NIDS 48 Hình 3.3 Mơ hình kiến trúc hệ thống Snort 57 Hình 3.4 Mơ tả chức mơ-đun Packet Sniffer .58 Hình 3.5 Xử lý gói tin Ethernet 59 Hình 3.6 Mơ-đun tiền xử lý Snort .61 Hình 3.7 Sơ đồ mơ-đun phát .62 vi Hình 3.8 Sơ đồ mơ-đun cảnh báo log 63 Hình 3.9 Cấu trúc luật Snort .65 Hình 3.10 Cấu trúc Header luật Snort .65 Hình 4.1 Đề xuất mơ hình để triển khai phịng chống DDoS 73 Hình 4.2 Mơ hình tác giả triển khai thực nghiệm .74 Hình 4.3 Máy chủ ứng dụng web hoạt động 75 Hình 4.4 Giao diện phần mềm quản lý cảnh báo 77 Hình 4.5 Ứng dụng web hoạt động bình thường 77 Hình 4.6 Trạng thái Snort bật, chưa có cảnh báo 78 Hình 4.7 Ứng dụng giám sát cảnh báo không ghi nhận cảnh báo đưa lưu vào CSDL 78 Hình 4.8 Giao diện hình sử dụng hping3 để cơng 79 Hình 4.9 Ứng dụng website bị công tê liệt 79 Hình 4.10 Giao diện cảnh báo Terminal Snort 80 Hình 4.11 Giao diện cảnh báo ứng dụng giám sát .80 Hình 4.12 Giao diện IP nguồn công lưu ứng dụng giám sát 81 vii CHƢƠNG MỞ ĐẦU Trong thời đại bùng nổ thông tin nay, hệ thống thông tin thành phần quan trọng quan, tổ chức, đơn vị, đem lại khả xử lý, truyền tải cung cấp thông tin hữu ích, hệ thống thông tin (HTTT) chứa nhiều điểm yếu, nguy rủi ro an tồn thơng tin Sự phát triển nhanh chóng phần mềm ứng dụng để đáp ứng yêu cầu người dùng, phiên phát hành liên tục với tính đưa thị trường, tiềm ẩn nguy cơ, lỗ hổng dễ dàng bị lợi dụng Một đặc điểm khác việc phát triển hệ thống mạng internet, phân tán HTTT, mục đích người dùng truy cập thông tin dễ dàng tin tặc có nhiều mục tiêu cơng, nguy rủi ro thông tin tăng lên Do đó, bên cạnh việc thiết kế, xây dựng HTTT (trang/cổng thông tin điện tử, thư điện tử, ứng dụng tác nghiệp,…) đại, đáp ứng nhu cầu thông tin hỗ trợ xử lý công việc Các quan, tổ chức cần phải bảo vệ tốt hệ thống đó, đảm bảo hoạt động ổn định tin cậy Vì vậy, đảm bảo an tồn bảo mật thơng tin vấn đề cấp thiết quan, tổ chức, doanh nghiệp Nhiệm vụ đặt cần xây dựng sách bảo mật đầy đủ, rõ ràng Phải xác định rõ tài nguyên cần phải bảo vệ, bảo vệ mức Mặt khác, tình hình tính chất, mức độ phạm vi công vào HTTT ngày gia tăng việc tiếp cận với kỹ thuật sử dụng công cụ công từ nhiều nguồn internet dễ dàng, phần mềm hỗ trợ cơng thiết kế tinh vi, tính mạnh đặc biệt dễ vận hành sử dụng Tin tặc thường nhắm hệ thống tổ chức, quan thơng tin cá nhân nhiều mục đích như: cạnh tranh kinh doanh, đánh cắp thơng tin cá nhân để thu lợi tài chính, phục vụ trị,thể lực,… Tất mối nguy hại cho thấy vai trò vấn đề đảm bảo an tồn thơng tin quan trọng chiến phức tạp, khốc liệt liên tục với mạng lưới công mà giới Việt Nam đã, xảy Dù tổ chức, doanh nghiệp hay cá nhân mục tiêu cần đạt đảm bảo an toàn thông tin quan trọng Cụ thể mục tiêu cần đạt bao gồm: Tính bí mật (Confidentiality), Tính tồn vẹn (Integrity) tính Sẵn sàng (Availability) Như đề cập việc an tồn, an ninh thơng tin quan, tổ chức khơng cịn nguy cơ, rủi ro mà trở thành vấn đề xảy nghiêm trọng Vấn đề an tồn thơng tin khơng liên quan đến thông tin cá nhân, tổ chức, doanh nghiệp gây thiệt hại đến uy tín, danh dự tài mà cịn ảnh hưởng lớn đến chủ quyền, an ninh quốc gia Theo báo cáo Cục an tồn thơng tin – Bộ Thơng tin Truyền thơng, năm 2014, có khoảng 4.000 cơng ghi nhận có xâm phạm hệ thống có tên miền Việt Nam, số có 200 cơng vào hệ thống có tên miền gov.vn([10]) Theo số liệu thống kê DDoS Intelligence([11]) Kaspersky vừa công bố, vào quý II năm 2015, Việt Nam nằm top 10 nước có nguồn tài ngun bị cơng từ chối dịch vụ phân tán (DDoS) nhiều Trong công DDoS kiểu công phức tạp, nguy hiểm, khó phát ngăn chặn Khái niệm công từ chối dịch vụ (DoS) Tấn công từ chối dịch vụ (Denial of Service - DoS) dạng công nhằm ngăn chặn người dùng hợp pháp truy nhập tài nguyên mạng Tấn công DoS xuất từ sớm, vào đầu năm 80 kỷ XX Tấn công từ chối dịch vụ phân tán (Distributed Denial of Service - DDoS) dạng phát triển mức độ cao công DoS phát lần vào năm 1999 Sự khác biệt công DoS DDoS phạm vi công Lưu lượng công DoS thường phát sinh từ host nguồn, cịn lưu lượng cơng DDoS thường phát sinh từ nhiều host nằm rải rác mạng Internet Hiện nay, có hai phương pháp cơng DDoS chủ yếu Phương pháp thứ nhất, kẻ công gửi gói tin tạo theo dạng đặc biệt gây lỗi giao thức truyền lỗi ứng dụng chạy máy nạn nhân Một dạng công DDoS điển hình theo phương pháp cơng khai thác lỗ hổng an ninh giao thức dịch vụ máy nạn nhân Phương pháp công DDoS thứ hai phổ biến phương pháp thứ nhất, gồm hai dạng: (1) dạng công DDoS gây ngắt quãng kết nối người dùng đến máy chủ dịch vụ cách làm ngập lụt đường truyền mạng, cạn kiệt băng thông tài nguyên mạng, (2) dạng công DDoS gây ngắt quãng dịch vụ cung cấp cho người dùng cách làm cạn kiệt tài nguyên máy chủ dịch vụ, thời gian xử lý CPU, nhớ, băng thông, ổ đĩa, sở liệu Dạng công bảo gồm loại công gây ngập lụt mức ứng dụng Kể từ công DDoS xác nhận vào năm 1999([3]), nhiều công DDoS gây ngập lụt thực vào hệ thống mạng công ty tổ chức Hầu hết công DDoS gây ngập lụt tập trung vào làm ngắt quãng ngừng dịch vụ chạy hệ thống nạn nhân Hậu làm giảm doanh thu, tăng chi phí phịng chống phục hồi dịch vụ Ví dụ, vào tháng Hai năm 2000, hệ thống mạng công ty Internet Yahoo phải hứng chịu đợt công DDoS làm dịch vụ công ty phải ngừng hoạt động giờ, gây thiệt hại lớn doanh thu quảng cáo Tháng 2/2004, đợt công DDoS lớn xuất phát từ lượng lớn máy tính bị nhiễm virus Mydoom làm trang web tập đồn SCO khơng thể truy nhập Vào tháng 12/2010, nhóm tin tặc có tên “Anonymous” tạo loạt công DDoS gây ngừng hoạt động trang web tổ chức tài chính, Mastercard, Visa International, Paypal PostFinance Tháng 9/2012, đợt công DDoS lớn nhóm tin tặc “Izz ad-Din al-Qassam Cyber Fighters” thực gây ngắt quãng hoặt ngừng hoạt động trang web ngân hàng trực tuyến ngân hàng lớn Mỹ Các dạng công DDoS thực ngày nhiều với quy mô ngày lớn tinh vi nhờ phát triển kỹ thuật công lan tràn công cụ công Tại Việt Nam, gần vào tháng 6/2013, nhiều trang báo điện tử Việt Nam, có trang với lượng truy cập lớn báo điện tử Dân trí (http://dantri.com.vn), báo điện tử Vietnamnet (http://vietnamnet.vn) báo Tuổi trẻ (http://tuoitre.com.vn) phải hứng chịu đợt công DDoS vô mạnh mẽ dùng để đại diện cho tất cổng Chú ý số hiệu cổng có ý nghĩa giao thức TCP UDP Nếu protocol luật IP hay ICMP số hiệu cổng khơng đóng vai trị Ví dụ : alert tcp 192.168.2.0/24 23 -> any any (content: “confidential”; msg: ”Detected confidential”;) Số hiệu cổng hữu dụng ta muốn áp dụng luật cho loại gói tin liệu cụ thể Ví dụ luật để chống hack cho web ta cần sử dụng cổng 80 để phát cơng − Phạm vi cổng (Port Ranges) Ta áp dụng luật cho dãy cổng thay cho cổng Cổng bắt đầu cổng kết thúc phân cách dấu hai chấm “:” Ví dụ : alert udp any 1024:2048 -> any any (msg: “UDP ports”;) − Cận dƣới cận cổng (Upper and Lower Boundaries) Ta dùn cổng theo kiểu cận cận dưới, tức sử dụng cổng bắt đầu cổng kết thúc mà thơi Ví dụ “1024:” tức cổng cận cổng 1024, “:2048” có nghĩa cổng cận đến cổng 2048 mà − Ký hiệu phủ định (Negation Symbol) Ký hiệu phủ định áp dụng việc sử dụng cổng Ví dụ sau log tất gói tin ngoại trừ gói tin xuất phát từ cổng 53 log udp any !53 -> any any log udp Dựa vào cú pháp quy định phạm vi cổng sử dụng phạm vị 53:55, không sử dụng dấu “,” để liệt kê cổng − Danh sách số cổng thông dụng Sau danh sách số cổng dịch vụ thông dụng nhất: ▪ 80 HTTP ▪ 443 HTTPS ▪ 20 FTP data ▪ 21 FTP ▪ 22 SSH 70 ▪ 23 Telnet ▪ 24 SMTP ▪ 53 DNS Server ▪ 110 POP3 ▪ 161 SNMP ▪ 3360 MySQL Hướng (Direction) Trường hướng để xác định địa nguồn, địa đích cổng luật hướng -> hay ký hiệu cho thấy địa cổng số phía bên tay trái trường hướng nguồn gói tin địa số cổng phía bên tay phải lĩnh vực đích ▪ A $HOME_NET 80 (flags: S; msg: “Nghi ngo tan cong DDoS!!”; flow: stateless; threshold: type both, track by_dst, count 70, seconds 10; sid:10001;rev:1;) Phân tích luật sau: - alert: Cảnh báo hành động luật - tcp: Giao thức áp dụng luật - any: Mọi địa IP nguồn - any: cổng IP nguồn cơng - ->: hướng từ IP nguồn vào IP đích - $HOME_NET: giá trị biến lấy từ file cấu hình Snort - 80: cổng máy chủ đích cần bảo vệ - flags: S: bật cờ cảnh báo nội dung thông báo - flow: stateless: Luồng phi trạng thái - type both, track by_dst, count 70, seconds 10; sid:10001;rev:1; tùy chọn luật Cài đặt gói cài BASE (Basic Analysis and Security Engine) Gói cài BASE sản phẩm phần mềm nguồn mở viết ngôn ngữ lập trình PHP để theo dõi, giám sát cảnh báo tình trạng hệ thống thơng qua giao diện web Để gói cài hoạt động, cần phải cài đặt cấu hình số thành phần gồm MySQL, barnyard2, Apache - Tạo CSDL môi trường MySQL cho BASE - Cài đặt barnyard2 sửa cấu hình − Tải cài đặt gói cài BASE − Cấu hình Apache − Truy cập BASE mơi trường web 76 Hình 4.4 Giao diện phần mềm quản lý cảnh báo 4.2 Chuẩn bị nguồn công Đối với yêu cầu thực nghiệm này, tác giả tiến hành cài đặt máy chủ công sử dụng hệ điều hành KALI Linux, phiên 1.1.0 máy ảo VMWare Sử dụng hping3 để công đến máy chủ website 4.3 Tiến hành thử nghiệm theo kịch Kịch thứ nhất: Bước 1: Truy cập kiểm tra tốc độ xử lý máy chủ website Hình 4.5 Ứng dụng web hoạt động bình thường 77 Bước 2: Bật Snort để sniffer gói tin nghi ngờ cơng DDoS hay khơng, kiểm tra trạng thái Snort Hình 4.6 Trạng thái Snort bật, chưa có cảnh báo Bước 3: Xem cảnh báo Snort (nếu có) Hình 4.7 Ứng dụng giám sát cảnh báo không ghi nhận cảnh báo đưa lưu vào CSDL 78 Kịch thứ hai: Bước 1: Giữ nguyên bước chuẩn bị kịch Bước 2: Sử dụng công cụ hping3 để cơng vào máy chủ website Hình 4.8 Giao diện hình sử dụng hping3 để cơng Bước 3: Truy cập kiểm tra cách kết nối đến máy chủ website Hình 4.9 Ứng dụng website bị công tê liệt 79 Bước 4: Xem cảnh báo phân tích cánh báo (nếu có cảnh báo) Hình 4.10 Giao diện cảnh báo Terminal Snort Hình 4.11 Giao diện cảnh báo ứng dụng giám sát 80 Hình 4.12 Giao diện IP nguồn cơng lưu ứng dụng giám sát Nhìn vào kết thực nghiệm nhận thấy có nhiều IP nguồn hping3 tạo để cơng vào máy chủ web có địa IP 192.168.0.105 khoảng thời gian tương đối ngắn, kiểm tra băng công cụ kiểm tra IP thông thường IP thuộc quốc gia khác giới quản lý chẳng hạn như: Hoa Kỳ, Trung Quốc,… 81 KẾT LUẬN Kết luận Trên giới Việt Nam năm gần công từ chối dịch vụ phân tán ngày nhiều nguy hiểm, gây thiệt hại nặng nề nguy hiểm hệ thống thông tin, trang/cổng TTĐT quan, phủ hệ thống tốn trực tuyến Tấn cơng từ chối dịch vụ phân tán đa dạng, phức tạp biến thể botnet ngày tinh vi Vì vậy, để đưa giải pháp ngăn chặn kiểu công dạng vấn đề thách thức lớn người làm công tác đảm bảo an tồn, an ninh thơng tin Trong q trình thực đề tài, tác giả đạt số kết nghiên cứu cụ thể sau: − Nghiên cứu công DDoS, nguy hậu bị cơng DDoS − Tìm hiểu thuật tốn phát cơng DDoS Trên sở tìm hiểu sản phẩm cảnh báo sớm để giảm thiểu công dạng − Nghiên cứu công cụ dạng NIDS Snort để cảnh báo sớm nguy an tồn thơng tin hệ thống, tìm hiểu luật Snort cảnh báo công DDoS − Xây dựng hệ thống thực nghiệm: giả lập cơng, tiếp nhận phân tích cảnh cáo để thu kiến thức mơ hình phù hợp với u cầu giảm thiểu công DDoS hệ thống mà tác giả người quản trị, vận hành Hệ thống thực nghiệm triển khai dựa mơ hình theo chức mà tác giả đề cập đề tài Do đó, cịn nhiều hạn chế chưa có điều kiện để giải sau: − Ngưỡng thiết lập luật tác giả tự đưa để thực thử nghiệm, chưa đánh giá cụ thể khuyến nghị cụ thể cho số mơ hình tham số ngưỡng Để lựa chọn ngưỡng thật tốt cần trình sử theo dõi, sử dụng thực tế 82 − Hệ thống thực nghiệm đưa cảnh báo cho người quản trị theo dõi, giám sát mà chưa kết hợp với thiết bị router, firewall, IPS khác… để ngăn chặn dựa kết cảnh báo − Do thời gian lực tác giả nên chưa đánh giá kết hợp luật đưa với luật khác Hƣớng nghiên cứu Hướng nghiên cứu để làm rõ thêm khắc phục hạn chế nói sau: − Kết hợp với thiết bị chống cơng DDoS khác để loại bỏ kết nối có dấu hiệu nghi ngờ sở cảnh báo Snort; Thiết lập ngưỡng tự động theo đặc điểm hệ thống lịch thời gian 83 TÀI LIỆU THAM KHẢO [1] CMC Infosec (2015), “Báo cáo tình hình bảo mật tháng 6/2015 CMC InfoSec” [2] J Mirkovic, S Dietrich (2011), “Internet Denial of Service, Attack and Defense Mechanisms, University of Pittsburgh Technical Report” [3] Karthik Pai B.H, Nagesh H.R, Abhijit Bhat, Detection and Performance Evaluation of DoS/DDoS Attacks using SYN Flooding Attacks [4] M.R.Reg (2005), “Victim-based defense against IP packet flooding denial of service attacks” [5] Rafeeq Ur Rehman (2003), Intrusion Detection with SNORT: Advanced IDS Techniques Using SNORT, Apache, MySQL, PHP, and ACID, Prentice Hall, New Jersey, USA [6] Saman Taghavi Zargar, James Joshi and David Tipper, A Survey of Defense Mechanisms Against [7] T.Peng, C.Leckie, K.Ramamohanarao, Proactively Detecting Distributed Denial of Service Attacks Using Source IP Address Monitoring [8] T.Peng, C.Leckie, K.Ramamohanarao (2003), “Protection from Distributed Denial of Service Attack Using History-based IP Filtering” [9] VasiliosA Siris (2002), Denial of Service and Anomaly Detection [10] http://mic.gov.vn [11]https://securelist.com/analysis/quarterly-malware-reports/71663/kasperskyddos-intelligence-report-q2-2015/ 84 ... 27 CHƢƠNG 2: NGHIÊN CỨU THUẬT TOÁN PHÁT HIỆN VÀ GIẢM THIỂU MỘT SỐ HÌNH THỨC TẤN CƠNG DDOS 31 2.1 Một số thuật tốn phát cơng DDoS 31 2.1.1 Thuật toán ngưỡng giới hạn khả... nghiêm trọng công DDoS nước giới 30 CHƢƠNG 2: NGHIÊN CỨU THUẬT TỐN PHÁT HIỆN VÀ GIẢM THIỂU MỘT SỐ HÌNH THỨC TẤN CƠNG DDOS Nội dung chương nghiên cứu kỹ chế phát thuật tốn phát cơng DDoS tìm hiểu... - DDoS) dạng phát triển mức độ cao công DoS phát lần vào năm 1999 Sự khác biệt công DoS DDoS phạm vi công Lưu lượng công DoS thường phát sinh từ host nguồn, cịn lưu lượng công DDoS thường phát