HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG HOÀNG TUẤN NGỌC NGHIÊN CỨU TẤN CÔNG DDOS VÀ XÂY DỰNG GIẢI PHÁP NGĂN CHẶN Chun ngành: Kỹ thuật Viễn thơng Mã số: 60.52.02.08 TĨM TẮT LUẬN VĂN THẠC SĨ KỸ THUẬT HÀ NỘI – 2017 Luận văn hồn thành tại: HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG Người hướng dẫn khoa học: TS HOÀNG VĂN VÕ Phản biện 1: Phản biện 2: Luận văn bảo vệ trước Hội đồng chấm luận văn thạc sĩ Học viện Công nghệ Bưu Viễn thơng Vào lục: ngày tháng năm 2017 Có thể tìm hiểu luận văn tại: ‐ Thư viện Học viện Cơng nghệ Bưu Viễn Thông MỞ ĐẦU Trong thập kỷ gần đây, giới Việt Nam chứng kiến phát triển bùng nổ công nghệ thông tin, truyền thông Đặc biệt phát triển trang mạng (websites) ứng dụng trang mạng cung cấp nhiều tiện ích cho người sử dụng từ tìm kiếm, tra cứu thơng tin đến thực giao dịch cá nhân, trao đổi kinh doanh, mua bán, toán hàng hoá, dịch vụ, thực dịch vụ công Tuy nhiên, phát triển mạnh mẽ trang mạng nói riêng cơng nghệ thơng tin nói chung, vấn đề đảm bảo an tồn, an ninh thơng tin trở thành thách thức lớn Một nguy tác động đến việc đảm bảo an tồn thơng tin nhiều năm qua chưa giải hoạt động công từ chối dịch vụ, thủ đoạn phổ biến tội phạm nhằm cản trở gây rối loạn hoạt động mạng máy tính, mạng viễn thông, mạng Internet, thiết bị số Tại Việt Nam, nhiều năm qua, nhiều trang mạng Chính phủ, trang mạng báo điện tử trang mạng doanh nghiệp thương mại điện tử phải hứng chịu hậu nghiêm trọng tài sản, lẫn uy tín từ đợt cơng từ chối dịch vụ gây tin tặc ngồi nước Tuy nhiên, cơng tác đấu tranh phịng, chống loại hành vi cịn có nhiều vấn đề bất cập Lực lượng Cảnh sát phòng, chống tội phạm sử dụng công nghệ cao lực lượng chuyên trách đấu tranh phòng, chống tội phạm sử dụng cơng nghệ cao nói chung, tội cản trở gây rối loạn hoạt động mạng máy tính, mạng viễn thơng, mạng Internet, thiết bị số nói riêng, có hành vi cơng từ chối dịch vụ Để nâng cao hiệu cơng tác đấu tranh phịng, chống loại hành vi này, lực lượng Cảnh sát phòng, chống tội phạm sử dụng cơng nghệ cao cần có nhận thức đắn đầy đủ đặc điểm liên quan đến thủ đoạn công từ chối dịch vụ Thực tế, có nhiều giải pháp phòng chống DDoS, nhiên, giải pháp phần cứng đắt đỏ, giải pháp phần mềm rời rạc, chưa tổng hợp Vì vậy, lựa chọn đề tài : ”Nghiên cứu công DDOS xây dựng giải pháp ngăn chặn”, với mục đích xây dựng, kiểm thử số giải pháp sử dụng phần mềm mã nguồn mở để công ty vừa nhỏ triển khai dễ dàng Luận văn bao gồm chương : - Chương I Tổng quan công DDoS: Giới thiệu chung DDoS, phân loại kiểu công DDoS, giới thiệu số công cụ công DDoS - Chương II Giải pháp ngăn chặn cơng DDoS: Trình bày lý thuyết số cấu hình quan trọng Iptables (D)Dos-Deflate - Chương III Cài đặt thử nghiệm số giải pháp ngăn chặn cơng DDoS: Trình bày mơ hình thực tế, giải pháp, mơ hình thực nghiệm q trình kiểm tra đánh giá, nhận xét hệ thống phòng chống xâm nhập 3 CHƯƠNG 1: TỔNG QUAN VỀ TẤN CÔNG DDOS 1.1 Giới thiệu chung DDoS Tấn công từ chối dịch vụ (Denial of Service – DoS) dạng công nhằm ngăn chặn người dùng hợp pháp truy nhập tài nguyên mạng Tấn công DoS xuất từ sớm, vào đầu năm 80 kỷ trước Tấn công từ chối dịch vụ phân tán (Distributed Denial of Service – DDoS) dạng phát triển mức độ cao công DoS phát lần vào năm 1999 Khác biệt công DoS DDoS phạm vi công.Trong lưu lượng công DoS thường phát sinh từ host nguồn, lưu lượng công DDoS thường phát sinh từ nhiều host nằm rải rác mạng Internet Hiện nay, có hai phương pháp cơng DDoS chủ yếu 1.2 Phân loại kiểu công DDOS Nhìn chung, có nhiều cách để phân loại kiểu công DDOS theo cách phân loại theo mục đích cơng đầy đủ, đơn giản dễ hiểu Dưới sơ đồ mô tả phân loại kiểu công DDoS dựa theo mục đích cơng: làm cạn kiệt băng thơng làm cạn kiệt tài nguyên hệ thống Hình 1.1: Phân loại kiểu công DDOS 1.2.1 Tấn công làm cạn kiệt băng thông Tấn công làm cạn kiệt băng thông (BandWith Depletion Attack) thiết kế nhằm làm tràn ngập mạng mục tiêu với traffic không cần thiết, với mục địch làm giảm tối thiểu khả traffic hợp lệ đến hệ thống cung cấp dịch vụ mục tiêu 1.2.2 Tấn công làm cạn kiệt tài nguyên Tấn công làm cạn kiệt tài nguyên (Resource Deleption Attack) kiểu công Attacker gửi packet dùng protocol sai chức thiết kế, hay gửi packet với dụng ý làm tắt nghẽn tài nguyên mạng làm cho tài nguyên không phục vụ người dùng thông thường khác 1.3 Một số kiểu công DDoS công cụ công DDoS 1.3.1 Một số kiểu công DDoS Bên cạnh việc phân loại kiểu cơng theo mục đích cơng, ta cịn phân loại theo cách cơng vào giao thức Dưới phân loại số cách công DDoS theo giao thức : ( tham khảo từ http://www.cisco.com/web/about/ac123/ac147/archived_issues/ipj_74/dos_attacks.html) - HTTP Flood - SYN Flood - ICMP Flood - TCP Reset - UDP Flood 1.3.2 Một số công cụ cơng DDoS • HOIC (High Orbit Ion Canon) • LOIC (Low Orbit Ion Canon) • XOIC • R-U-Dead-Yet • Pyloris • OWASP DOS HTTP Post • GoldenEye HTTP Denial of Service Tool • Slowloris HTTP Dos 1.4 Tấn công DDOS với mục tiêu doanh nghiệp vừa nhỏ 5 CHƯƠNG 2: GIẢI PHÁP NGĂN CHẶN TẤN CÔNG DDOS 2.1 Tại DDoS khó giải Thực cơng DDoS có trường phái chính: nhằm vào điểm yếu (vulnerability attack) làm ngập mạng (flooding attack) Do có số đặc tính kĩ thuật sau làm ta khó giải triệt để công DDoS: Sự đơn giản Sự đa dạng gói tin cơng IP Spoofing Lượng traffic lớn, gửi với tần suất cao Số lượng lớn Agents Những điểm yếu mơ hình mạng Internet 2.2 Những thách thức xây dựng hệ thống phịng thủ DDoS Do tính chất phức tạp DDoS trình bày trên, nên xây dựng hệ thống phịng thủ DDoS khơng đơn giản Để làm điều cần xử lý lĩnh vực: kĩ thuật xã hội 2.2.1 Những thách thức mặt kĩ thuật Cần xử lý phân tán từ nhiều điểm Internet: Vì attack traffic xảy từ nhiều nguồn khác nhau, qua tồn mạng Internet thường có Victim với thiết bị, quyền hạn, khả xử lý hạn chế nên đạt hiệu cao Sự cơng phân tán cần phịng thủ phân tán giải triệt để Thiếu thông tin chi tiết cơng thực tế: Có khơng nhiều thơng tin tác hại DDoS gây lên cho doanh nghiệp, thường có tác hại rõ ràng doanh nghiệp tự xử lý mà phải báo lên quyền Vì lại thông tin chi tiết, log traffic, sơ đồ mạng chi tiết doanh nghiệp Khó thử nghiệm thực tế: Những hệ thống thử nghiệm DDoS phịng thí nghiệm khơng thể phản ánh thực tế rộng lớn, phong phú mạng Internet Trong muốn triển khai để thử nghiệm thật qua Internet điều luật khơng cho phép, cơng DDoS khơng ảnh hưởng đến Victim, mà liên quan đến nhiều thành phần khác router, switch… ISP quản lý phần lõi Mạng Cịn thử nghiệm ln hệ thống thật bị cơng lại thiếu thông tin cần đo đạc Agent, Handler, Attacker… Chưa có chuẩn đánh giá hệ thống phịng thủ: Có nhiều vendor cơng bố giải pháp họ giải quết DDoS Nhưng chưa có lộ trình chuẩn để kiểm thử hệ thống phịng thủ DDoS Từ dẫn đến vấn đề: thứ người phát triển hệ thống phịng thủ tự test họ, thiết kế phù hợp để hệ thống hoạt động thuận lợi Thứ hai nghiên cứu DDoS so sánh hiệu suất thực tế hệ thống phòng thủ khác nhau, thay vào đó, họ nhận xét giải pháp môi trường thử nghiệm 2.2.2 Những thách thức mặt xã hội Một thử thách lớn muốn giải triệt để vấn nạn công DDoS yếu tố Xã hội Có nhiều điều luật an ninh, bảo mật nhiều đất nước, nhiều ISP khác mà người triển khai khó thỏa mãn tất để thực hệ thống phịng thủ Ví dụ ISP khơng cho bạn sơ đồ chi tiết cấu hình Mạng, khơng cho phép bạn tự cài đặt chương trình router họ… Đối với nạn nhân DDoS, thơng thường doanh nghiệp, việc họ cố gắng tự giải quyết, thành cơng giấu kín, khơng cơng bố cho bên ngồi bị cơng lo ngại ảnh hưởng đến danh tiếng công ty Chỉ dịch vụ họ bị chết hẳn, tự cứu liên hệ với ISP quyền Một vấn đề khác đơi cần phải sửa đổi số điểm yếu kiến trúc mạng để giảm tác hại DDoS, ví dụ giao thức TCP, IP, HTTP… Nhưng không dễ làm điều đó, có nhiều hệ thống xây dựng tảng cũ, ngày thay đổi hai Có đặc điểm DDoS Victim bị cơng, muốn triệt để khơng cịn traffic DDoS nữa, phải yêu hàng nghìn Agent ngừng cơng Chỉ có cách làm điều Agent phải cài đặt phần mềm, hay hệ thống để ngăn chặn gói tin DDoS vừa sinh Nhưng không dễ thuyết phục End User làm điều đó, khơng mang lại lợi ích trực tiếp cho thân họ, đơi cịn làm ảnh hưởng đến hiệu mạng End User 7 Yếu tố cuối thiếu thống điều luật, chế tài xử phạt Attacker, Handler, Agents luật Công nghệ thông tin nước quy định bảo mật, an toàn Internet Service Provider 2.3 Mục tiêu phòng chống DDOS 2.3.1 Phịng chống DDoS Có nhiều giải pháp ý tưởng đưa nhằm đối phó với cơng kiểu DDoS Tuy nhiên khơng có giải pháp ý tưởng giải trọn vẹn tốn Phịng chống DDoS Các hình thái khác DDoS liên tục xuất theo thời gian song song với giải pháp đối phó, nhiên đua tuân theo quy luật tất yếu bảo mật máy tính: “Hacker ln trước giới bảo mật bước” 2.3.2 Những vấn đề có liên quan DDoS kiểu công đặc biệt, điểm hiểm ác DDoS làm cho khó khắc phục “DDoS đánh vào nhân tố yếu hệ thống thông tin – người” Từ đặc điểm DDoS làm phát sinh nhiều vần đề mà người cộng đồng Internet phải chung sức giải 2.4 Giải pháp dành cho doanh nghiệp vừa nhỏ Do tính chất đa dạng DDoS nên khơng có giải pháp phòng chống DDoS tối ưu cho trường hợp Giải pháp mà đồ án đề cập đến dành cho mơ hình mạng có server kết nối với Internet liên kết Hiện nay, giới có nhiều cách phịng chống DDoS nói chung phịng chống DDoS cho máy chủ web nói riêng sử dụng firewall, triển khai IPS (Intrusion Prevention System- Hệ thống chống xâm nhập), load balancing (cân tải) Có thể đơn cử vài ví dụ cụ thể : 2.4.1 Giải pháp sử dụng phần mềm mã nguồn mở (D)DOS-Deflate APF (Advanced Policy Firewall) 8 Với phương pháp này, máy chủ cài APF(Advanced Policy Firewall) để cản lọc gói tin từ tầng mạng (D)DOS-Deflate để lọc gói tin tầng ứng dụng Mặc dù khơng bảo vệ hệ thống hồn tồn chống lại cơng DDOS lớn, hữu ích DDOS deflate coi script bash shell nhẹ thiết kế để giúp đỡ q trình ngăn chặn cơng từ chối dịch vụ Nó thường theo dõi giám sát tất địa IP làm cho kết nối đến máy chủ lệnh netstat Bất phát cơng, nghĩa số lượng kết nối từ nút đơn vượt giới hạn định định nghĩa tập tin cấu hình quy định, kịch tự động chặn địa IP bảng IP APF dựa cấu hình gói tin hợp lệ máy chủ phục vụ 2.4.2 Giải pháp sử dụng Snort inline CSF (ConfigServer Security & Firewall) Phương pháp sử dụng máy chủ làm gateway, máy chủ cài CSF để cản lọc gói tin từ tầng mạng Snort inline để lọc gói tin tầng ứng dụng, gói tin hợp lệ gửi đến máy chủ phục vụ nằm phía sau Snort inline nhận gói tin từ iptables (khơng Snort lấy gói tin từ libpcap) sau dựa vào luật định nghĩa để định cấm hay cho phép gói tin qua 2.4.3 vDDoS Proxy vDDoS Proxy giải pháp miễn phí kết hợp vDDoS Protection vDDoS Layer4 Mapping giúp bạn cài đặt lên máy chủ Reverse Proxy Server chạy giao thức HTTP(S) hoạt động tường lửa có tác dụng giảm thiểu truy vấn tràn ngập công cụ auto bot DOS, DDOS, SYN Floods, HTTP Floods attack giúp đỡ bảo vệ cho Website bạn 2.4.4 Giải pháp Arbor Network Hiện tại, Arbor Networks đơn vị cung cấp giải pháp phòng chống công DDOS hàng đầu giới Hơn 70% ISP toàn cầu sử dụng giải pháp (thống kê từ nhà cung cấp) Sự phổ biến giải pháp khẳng định tính hiệu việc phịng chống DDOS với công nghệ tiên tiến đây: Network Behavior Analysis Active Threat Level Analysis System (ATLAS) Cung cấp thông tin rủi ro theo thời gian thực Cloud Signaling Coalition CHƯƠNG 3: CÀI ĐẶT VÀ THỬ NGHIỆM MỘT SỐ GIẢI PHÁP NGĂN CHẶN TẤN CÔNG DDOS 3.1 Giới thiệu số phần mềm phòng chống DDOS 3.1.1 Phòng chống DDOS phần mềm (D)DOS-Deflate 3.1.1.1 Giới thiệu (D)DoS-Deflate mã nguồn mở miễn phí Unix / Linux phát triển MediaLayer tự động giảm nhẹ công (D)Dos Được xem phần mềm tốt nhất, miễn phí, mã nguồn mở giải pháp để bảo vệ máy chủ chống lại hầu hết công DDoS Dos Deflate giám sát theo dõi địa IP gửi thiết lập số lượng lớn kết nối mạng TCP gửi email tin đại chúng, DoS ping, yêu cầu HTTP cách sử dụng “netstat” command, triệu chứng công từ chối dịch vụ Khi phát số lượng kết nối từ nút vượt giới hạn định cài sẵn, kịch tự động sử dụng APF iptables cấm chặn IP Tùy thuộc vào cấu hình, địa IP bị cấm sử dụng unbanned APF iptables (chỉ hoạt động APF v 0,96 hơn) 3.1.1.2 Cài đặt cấu hình (D)DOS-Deflate 3.1.2 Tổng quan Iptables 3.1.2.1 Giới thiệu chung Iptables Iptables tường lửa ứng dụng lọc gói liệu mạnh, miễn phí có sẵn Linux Netfilter/Iptables gồm phần Netfilter nhân Linux Iptables nằm nhân Iptables chịu trách nhiệm giao tiếp người dùng Netfilter để đẩy luật người dùng vào cho Netfiler xử lí Netfilter tiến hành lọc gói liệu mức IP Netfilter làm việc trực tiếp nhân, nhanh không làm giảm tốc độ hệ thống 3.1.2.2 Cấu trúc Iptables Tất gói liệu kiểm tra Iptables cách dùng xây dựng sẵn (queues) Có loại bảng gồm: 10 - Mangle : chịu trách nhiệm thay đổi bits chất lượng dịch vụ TCP header TOS (type of service ), TTL (time to live) MARK - Filter: chịu trách nhiệm lọc gói liệu Nó gồm quy tắc nhỏ (chain) để thiết lập nguyên tắc lọc gói, gồm : + Forward chain: lọc gói đến server khác + Input chain: lọc gói vào server + Output chain: lọc gói khỏi server - NAT : Gồm có hai loại: + Pre-routing : thay đổi địa gói liệu đến cần thiết + Post-routing : thay đổi địa gói liệu cần thiết 3.1.2.3 Targets Targets hành động diễn gói liệu kiểm tra phù hợp với yêu cầu Khi target nhận dạng, gói liệu nhảy (jump) để thực xử lý Bảng sau liệt kê targets mà Iptables sử dụng 3.1.2.4 Các tùy chọn quan trọng Iptables Các tham số sau cho phép Iptables thực hành động cho phù hợp với biểu đồ xử lý gói người dùng hoạch định sẵn 3.1.3 Advanced Policy Firewall (APF) 3.1.3.1 Giới thiệu chung Advanced Policy Firewall (APF) hệ thống tường lửa dựa iptables (netfilter) thiết kế dựa nhu cầu thiết yếu máy chủ Linux Cấu hình APF thiết kế để cung cấp thơng tin trình bày cho người dùng quy trình dễ thực hiện, từ xuống tệp cấu hình Việc quản lý 11 sở hàng ngày thực từ dòng lệnh với lệnh 'apf', bao gồm thông tin sử dụng chi tiết tất tính Định hướng kỹ thuật APF sử dụng tính ổn định từ dự án iptables (netfilter) để cung cấp tường lửa khỏe mạnh mẽ Quá trình lọc gói tin tường lửa APF xếp theo ba quy tắc  Chính sách dựa quy tắc tĩnh (không nên nhầm lẫn với "tường lửa tĩnh")  Chính sách dựa trạng thái kết nối  Các sách dựa theo sanity 3.1.3.2 Cài đặt cấu hình APF Firewall 3.1.4 ConfigServer Security & Firewall 3.1.4.1 Giới thiệu chung CSF gói ứng dụng hoạt động Linux tường lửa miễn phí dùng để tăng tính bảo mật cho máy chủ CSF hoạt động dựa iptables Login Failure Daemon (ldf) để quyét file log để phát dấu hiệu cơng bất thường Một số tính CSF: - Chống DoS loại - Chống Scan Port - Chống BruteForce Attack - Chống Syn Flood - Chống Ping Flood - Cho phép ngăn chặn truy cập từ quốc gia cách định Country Code chuẩn ISO - Hỗ trợ IPv6 IPv4 - Cho phép khóa IP tạm thời vĩnh viễn tầng mạng 3.1.5 Snort 3.1.5.1 Giới thiệu Snort hệ thống phát phòng chống xâm nhập mã nguồn mở phát triển Sourcefire Phát phòng chống xâm nhập dựa ưu điểm chữ ký, giao thức kiểm tra bất thường, Snort IDS/IPS triển khai rộng rãi giới Với hàng triệu lượt tải gần 400.000 người đăng ký, Snort trở thành "tiêu chuẩn" cho IPS 12 3.1.5.2 Một số tham số cấu hình Snort File cấu hình (snort.conf) bao gồm:  Thiết lập biến  Cấu hình mơđun giải mã (decoder)  Cấu hình mơđun phát (detection)  Cấu hình thư viện liên kết động  Cấu hình mơđun tiền xử lý  Cấu hình plugin đầu  Tùy biến luật 3.2 Xây dựng giải pháp phòng chống công DDoS cho máy chủ Lý lựa chọn xây dựng mơ hình gồm (D)Dos-Deflate Advanced Policy Firewall là: - Đối với (D)Dos-Deflate : (D)Dos-Deflate biết đến với ưu điểm dễ cấu hình, miễn phí, sử dụng rộng rãi, liên tục cập nhật mã nguồn mở nên nhiều người phối hợp tối ưu cấu hình nâng cao giúp việc ngăn chặn công hiệu - Advanced Policy Firewall mà tảng Netfilter có ưu điểm dễ cấu hình, tốc độ sử lý nhanh, tích hợp sẵn Kernel Linux 2.6 trở lên APF Firewall có nhiều tùy chọn từ đến nâng cao để người quản lý máy chủ nghiên cứu đưa phương án tối ưu mơ hình quản lý 3.3 Cài đặt thử nghiệm giải pháp ngăn chặn công DDOS (D)Dos-Deflate APF Firewall 3.3.1 Mơ hình thử nghiệm Mơ hình để thử nghiệm gồm có máy tính đóng vai trị cơng, máy chủ chạy web chạy website apache Tất kết nối mơ hình có tốc độ 100Mb/s 13 Trong mơ hình này, máy chủ web cài đặt phần mềm (D)Dos-Deflate APF Firewall để ngăn chặn công DDOS Một vài công cụ công DDOS thường sử dụng để tiến hành công DDOS công cụ dễ sử dụng ln sẵn có mạng Internet Hơn nữa, công cụ dễ sử dụng kể người khơng có nhiều chun mơn Chúng ta liệt kê vài cơng cụ đây:         HOIC (High Orbit Ion Canon) LOIC (Low Orbit Ion Canon) XOIC R-U-Dead-Yet Pyloris OWASP DOS HTTP Post GoldenEye HTTP Denial of Service Tool Slowloris HTTP Dos Trong thử nghiệm lần Luận văn sử dụng tool HOIC (High Orbit Ion Canon) để công 3.3.2 Kịch – Tấn công máy chủ web chưa cài đặt (D)Dos-Deflate APF Firewall Hình 3.3: Tài nguyên máy chủ web chưa bị công Thông tin tài nguyên máy chủ chưa bị cơng : Có 221 tiến trình, Load average: 0.05, CPU gần khơng phải hoạt động Bây tiến hành công vào máy chủ sử dụng công cụ Jmeter để đo thời gian đáp ứng máy 14 chủ Hình 3.4: Thời gian đáp ứng trung bình máy chủ web chưa bị công kịch Thời gian đáp ứng trung bình máy chủ 220ms - Tấn công Thực công máy chủ web, sau phút cơng người dùng khơng thể truy cập vào trang demo DDoS, có 469 tiến trình, load average (tải trung bình): 97.43, CPU: 90.6% Hình 3.5: Tài nguyên máy chủ web bị công kịch 15 Sử dụng Jmeter để đo thời gian đáp ứng trung bình máy chủ kịch này, ta được: Hình 3.6: Thời gian đáp ứng trung bình máy chủ web bị công kịch Thời gian đáp ứng trung bình máy chủ bị công DDoS 8248ms Nhận xét: Khi bị công, máy chủ phải tạo nhiều tiến trình httpd (như hình 4.15) để phục vụ yêu cầu từ máy công Thời gian đáp ứng trung bình lên đến 8s/một yêu cầu cho thấy việc phục vụ chậm chạp máy chủ bị công 3.3.2 Kịch – Tấn công máy chủ web cài đặt (D)Dos-Deflate APF Firewall Sau cài đặt (D)Dos-Deflate APF Firewall, cấu hình cho (D)Dos-Deflate APF Firewall sau Cấu hình (D)Dos-Deflate: vi /usr/local/ddos/ddos.conf – Sửa file cấu hình (D)Dos-Deflate FREQ = NO_OF_CONNECTIONS = 50 APF_BAN = KILL = EMAIL_TO = "abc@gmail.com" BAN_PERIOD = 600 16 Cấu hình APF Firewall (nano /etc/apf/conf.apf): DEVEL_MODE =1 IFACE_IN="venet0" IFACE_OUT="venet0" IG_TCP_CPORTS= 21,22,25,53,80,110,111,143,443,587,953,2222,3306,3 2769 IG_UDP_CPORTS="53,111,631,724,5353,32768,32809" EGF="1" EG_TCP_CPORTS="21,22,25,26,27,37,43,53,80,110,113, 443,465,873,2089" EG_UDP_CPORTS="20,21,37,53,873" Cấu hình port Firewall: TCP ports -3000_3500 = passive port range for Pure FTPD IG_TCP_CPORTS="21,22,25,53,80,110,143,443,2082,2083, 2086,2087, 2095, 2096,3000_3500" IG_UDP_CPORTS="53" EG_TCP_CPORTS="21,25,80,443,43,2089" EG_UDP_CPORTS="20,21,53" Thực công DDoS vào máy chủ web, sau 15 phút, thơng tin tình trạng máy chủ web sau: có 220 tiến trình, load average 0.2, CPU 0,0% CPU không tải Đồng thời APF firewall (D)Dos-Deflate thơng báo chặn gói tin từ máy công DDoS vào máy chủ 17 Hình 3.7: Tài nguyên máy chủ sau 15 phút bị cơng kịch Hình 3.8: Log máy chủ sau 15 phút bị công kịch Sử dụng công cụ Jmeter để đo thời gian đáp ứng trung bình máy chủ, ta được: 18 Hình 3.9: Thời gian đáp ứng trung bình máy chủ web bị cơng kịch Nhận xét: Khi kết hợp APF Firewall (D)Dos-Deflate, gói tin từ máy công bị lọc phần tầng mạng (APF Firewall cản lọc), phần lại bị (D)Dos-Deflate cản lọc tầng ứng dụng Như gói tin từ người dùng hợp lệ đến với máy chủ web Đó lý tài nguyên máy chủ web không thay đổi trước công DDoS KẾT LUẬN VÀ KIẾN NGHỊ Luận văn mối nguy hiểm bị công đề xuất giải pháp ngăn chặn hạn chế tác hại hình thức cơng từ chối dịch vụ phân tán Từ xây dựng thử nghiệm số giải pháp đối tượng doanh nghiệp vừa nhỏ Đánh giá hiệu biện pháp xây dựng làm tiền đề để phát triển nghiên cứu sau Sinh viên tìm hiểu tương đối thành công DDOS xây dựng thành cơng phương pháp phịng thủ DDOS Với tìm hiểu được, sinh viên cảm thấy có nhiều điều cần phải làm để hồn thiện luận văn cách làm thực tế công việc Bản thân sinh viên cần phải có hướng dẫn nhiều từ thầy cô bạn bè  ... gồm chương : - Chương I Tổng quan công DDoS: Giới thiệu chung DDoS, phân loại kiểu công DDoS, giới thiệu số công cụ công DDoS - Chương II Giải pháp ngăn chặn cơng DDoS: Trình bày lý thuyết số cấu... chung DDoS Tấn công từ chối dịch vụ (Denial of Service – DoS) dạng công nhằm ngăn chặn người dùng hợp pháp truy nhập tài nguyên mạng Tấn công DoS xuất từ sớm, vào đầu năm 80 kỷ trước Tấn công. .. kiểu công DDoS công cụ công DDoS 1.3.1 Một số kiểu công DDoS Bên cạnh việc phân loại kiểu công theo mục đích cơng, ta cịn phân loại theo cách công vào giao thức Dưới phân loại số cách công DDoS