BỘ CÔNG THƯƠNG TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP THỰC PHẨM KHOA CÔNG NGHỆ THÔNG TIN  ĐỒ ÁN MÔN HỌC ĐỀ TÀI : TÌM HIỂU VÀ TRIỂN KHAI TẤN CƠNG DDoS QUA HỆ THỐNG BOTNET GIÁO VIÊN HƯỚNG DẪN : Nguyễn Thị Hồng Thảo SINH VIÊN THỰC HIỆN : Bùi Kỳ Phương MSSV: 2033180031 Nguyễn Thị Thanh Kiều Hồ Chí Minh, Tháng 06, Năm 2021 MSSV: 2033180149 TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP THỰC PHẨM KHOA CÔNG NGHỆ THÔNG TIN LỜI MỞ ĐẦU Ngày với phát triển mở rộng mạng lưới hệ thống máy tính điều đồng nghĩa với việc phải đảm bảo hệ thống ln an tồn hoạt động trơn tru trước công mạng Tuy nhiên hacker tổ chức ẩn danh ngày tinh vi sử dụng kĩ thuật công ngày tiên tiến Tấn công DDoS hay Distribted Denial of Service xem vũ khí cơng mạnh mẽ mà hacker sử dụng Internet Khi bạn thấy website bị đánh sập website trở thành nạn nhân cơng DDoS Nhìn chung hacker tổ chức ẩn danh cố gắng làm cho website khả cung cấp dịch vụ cho người dùng cách gửi lượng lớn yêu cầu liệu từ làm tải hay chí đánh sập server Để làm rõ nguy hiểm công DDoS ảnh hưởng lên website nhóm chúng tơi thực đề tài “Tìm hiểu triển khai cơng DDoS qua hệ thống botnet” để có nhìn rõ nguy hiểm DDoS website Qua việc thực đề tài, nhóm đề xuất biện pháp để hạn chế xử lý website bị DDoS Bài báo cáo khơng tránh khỏi thiếu sót, mong nhận lời đóng đóp từ phía thầy Trân Trọng Cảm Ơn! GVHD: Nguyễn Thị Hồng Thảo TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP THỰC PHẨM KHOA CÔNG NGHỆ THÔNG TIN MỤC LỤC GVHD: Nguyễn Thị Hồng Thảo TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP THỰC PHẨM KHOA CÔNG NGHỆ THƠNG TIN NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN Nhóm sinh viên gồm : Bùi Kỳ Phương MSSV: 2033180031 Nguyễn Thị Thanh Kiều MSSV: 2033180149 Nhận xét : ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… Điểm đánh giá: ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… GVHD: Nguyễn Thị Hồng Thảo TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP THỰC PHẨM KHOA CÔNG NGHỆ THÔNG TIN ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… Ngày ……….tháng ………….năm 2021 ( ký tên, ghi rõ họ tên) GVHD: Nguyễn Thị Hồng Thảo TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP THỰC PHẨM KHOA CÔNG NGHỆ THÔNG TIN Chương 1: TÌM HIỂU DDoS DDoS gì? DDoS viết tắt cụm từ Distributed Denial of Service, nghĩa từ chối dịch vụ phân tán Tấn công DDoS cơng mạng thủ phạm tìm cách làm hạn chế ngăn chặn người dùng sử dụng dich vụ tài nguyên máy chủ cách làm gián đoạn tạm thời vô thời hạn dịch vụ máy chủ Để thực kiểu cơng hackers (những người có chủ đích công) sử dụng công cụ, hệ thống để gửi nhiều requests hay lượng liệu đến máy chủ đến mức máy chủ không đủ khả kiểm soát hết trở nên tải, từ làm hệ thống máy chủ chậm lại ảnh hưởng đến việc truy cập người dùng khác Nếu DoS dễ dàng phát kẻ công xử lý cách ngăn chặn kết nối tới thiết bị công hacker Khắc phục nhược điểm DoS kẻ cơng sử dụng DDoS tức dùng nhiều nguồn thiết bị để gửi luồng liệu lớn đến máy chủ Các hình thức cơng DDoS a) TCP Connection Attack Lợi dụng giao thức TCP sử dụng phương thức bắt tay bước (three-way handsake) để thiết lập kết nối client server Hacker sử dụng phương thức để cơng hệ thống Để thực hacker gửi lặp lặp lại gói tin SYN đến cổng hệ thống để yêu cầu kết nối thường sử dụng IP giả mạo Sau nhận yêu cầu, hệ thống phản hồi lại gói SYN-ACK để xác nhận kết nối Nhưng sử dụng IP giả mạo hacker cố ý khơng gửi lại gói ACK để trả lời lại gói SYN-ACK nên hệ thống khơng nhận gói ACK cổng trạng thái chờ Trong hệ thống chế độ chờ, kẻ công lại tiếp tục gửi thêm gói SYN khiến cho cổng ln trạng thái chờ sau khoảng thời gian cổng có sẵn sử dụng hết, hệ thống trở nên tải b) Application Layer Attack Network Attack • Application Layer Attack Tấn cơng DDoS vào tầng ứng dụng, hay Layer mơ hình OSI nơi xảy việc trao đổi giao thức HTTP nơi có lưu lượng mạng cao Làm tiêu tốn tài ngun hệ thống Thay cơng vào mục tiêu hệ thống máy chủ kẻ công tập trung vào mục tiêu một vài ứng dụng có nhiều lỗ hổng Các ứng dụng GVHD: Nguyễn Thị Hồng Thảo TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP THỰC PHẨM KHOA CÔNG NGHỆ THÔNG TIN dựa web gmail, WordPress diễn đàn ví dụ mục tiêu mà kẻ cơng hướng tới Chúng ta xem xét mức tiêu thụ tài nguyên máy client đưa yêu cầu máy server phản hồi yêu cầu Ví dụ client gửi yêu cầu đăng nhập tài khoản gmail, lượng liệu tài nguyên mà máy server sử dụng để kiểm tra thông tin đăng nhập phản hồi yêu cầu thấp Khi có nhiều thiết bị truy cập vào thuộc tính web công botnet, tài nguyên cần sử dụng bị cạn kiệt dẫn tới việc từ chối dịch vụ yêu cầu truy cập hợp pháp Rất khó để phân biệt giữ luồng lưu lượng truy cập luồng lưu lượng công, đặc biệt công vào tầng ứng dụng Botnet thực công HTTP Flood máy chủ nạn nhân máy bot thực gửi yêu cầu dường hợp pháp, nhiều máy bot gửi yêu cầu đến server dẫn đến việc truy vấn sở liệu server bị tải dẫn đến cạn kiệt tài nguyên tải DDoS Network/ Transport Layer DDoS attacks Application Layer DDoS attack Degree of automation - Manual Automatic Semi automatic Exploited Vulnerability - Flooding Amplification Protocol exploited Malformed packet Attack Network - Agent hander network IRC based network P2P network Attack rate - Continuous Variable Victim type - Host Resource Network Application Impact - Disruptive Degradation Degree of automation - Manual Semi automatic - Session flooding Request flooding Exploited Vulnerability GVHD: Nguyễn Thị Hồng Thảo TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP THỰC PHẨM KHOA CÔNG NGHỆ THÔNG TIN Attack Network - Agent hander IRC based P2P Attack rate - Increasing rate Random Blast Shrew - Host - Resource - Application - Disruptive - Degradation Victim type Impact Bảng 1: Application Layer Attack and Network/Transport Attack • Network/Transport Attack Mục tiêu loại công đánh vào sở hạ tầng mạng bao gồm máy chủ, định tuyến thiết bị chuyển mạch cách gửi lượng lớn lưu lượng công Các cơng tạo cách khai thác điểm yếu giao thức Network/Transport cơng đặc trưng thêm tùy theo mức độ tự động hóa, lỗ hổng bị khai thác, loại mạng công sử dụng, tỷ lệ công tạo ra, loại nạn nhân tác động công c) Fragmentation Attack Tấn công phân mảnh dạng phổ biến khác DDoS Khi có gói tin lớn truyền đi, phải chia thành đoạn nhỏ để truyền thành công Lợi dụng điều này, hackers gửi các gói phân mảnh giả làm cho gói ln nằm nhớ làm cạn kiệt tài nguyên nhớ có sẵn Volumetric Attack Mục đích cơng cố gắng làm cạn kiệt băng thông dịch vụ gây gián đoạn tắt nghẽn hoạt động hệ thống Đôi công nhằm vào hệ thống tường lửa hệ thống phát xâm nhập với mục đích vơ hiệu hố để hakers cài đặt phần mềm độc hại đánh cắp liệu GVHD: Nguyễn Thị Hồng Thảo TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP THỰC PHẨM KHOA CƠNG NGHỆ THƠNG TIN d) Tấn cơng DDoS Botnet Tấn công DdoS việc dùng botnet (một hệ thống nhiều máy tính thiết bị chạy với Internet bị chiếm lấy quyền từ xa) sử dụng phần mềm độc hại để khởi chạy vụ công Đây gọi “zombies Zombies nhắm đến lỗ hổng lớp khác mơ hình tham chiếu kết nối hệ thống mở (OSI) Nhận biết công DDoS Một số dấu hiệu nhận biết hệ thống bạn bị công DDoS + Kết nối Internet chậm bình thường, tốn nhiều thời gian truy cập + Tài khoản xuất nhiều thư rác + Không thể truy cập vào website + Thực trạng cho thấy mạng bạn hay hệ thống bị chậm cách bất thường (mở file hay truy cập vào website) Các công DDoS gần a) Trong nước Theo báo cáo từ hệ thống giám sát, cảnh báo Trung tâm Công nghệ thông tin giám sát an ninh mạng, số 21.636 công mạng phát quý I/2021, 14.012 lượt truy cập trái phép, 5.486 cố khai thác lỗ hổng, 2.023 cố liên quan đến mã độc, 59 cơng DDoS, 56 hình thức công mạng khác Tổng số cố quý I/2021 giảm 78,07% so với quý I/2020.[i]Cụ thể : + [ii] Ngày 22/04/2021, hệ thống giám sát trực tuyến VNETWORK phát dấu hiệu công DDoS vào trang web khách hàng Tấn công diễn liên tục kéo dài từ chiều tối đến đến đêm Hệ thống ghi nhận lần công lớn cao 30Gbps Trường hợp công DDoS lớn thứ sau kiện tiếng Hacker công vào nhà cung cấp dịch vụ hosting Việt Nam vào đầu tháng năm GVHD: Nguyễn Thị Hồng Thảo TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP THỰC PHẨM KHOA CÔNG NGHỆ THÔNG TIN Hình 1: Lượng traffic tăng lên bất thường Attacker liên tục tìm kiếm điểm yếu website bạn để khai thác, phối hợp công khác dùng số lượng lớn IP thay đổi liên tục để công DDoS cố phá vỡ hạ tầng back-end hosting, server Các công gây downtime website doanh nghiệp làm tắc nghẽn máy chủ DNS dẫn đến việc khách hàng truy cập Làm gián đoạn dịch vụ nhà cung cấp, khách hàng sử dụng dịch vụ + Ngày 14-6-2021, Cục An ninh mạng phòng, chống tội phạm sử dụng công nghệ cao (A05) Bộ Công an cho biết TTO - Trang web fanpage báo điện tử VOV bị công từ chối dịch vụ (DDoS), làm tràn băng thông, khiến việc truy cập vào báo bị tê liệt Cùng lúc nhận hàng loạt bình luận cơng kích Cơ quan liên hệ với Google Facebook để xử lý vấn đề Đỉnh điểm công DDoS vào Báo điện tử VOV ngày 13-6, công Fanpage của báo, spam, đe dọa xúc phạm nhân viên trả lời vấn, đe dọa phóng viên viết [iii] b) Ngoài nước + [iv] Ngày tháng (Reuters) - Một công ty Đức vận hành công nghệ cho ngân hàng hợp tác quốc gia cho biết hôm thứ sáu công mạng làm gián đoạn 800 tổ chức tài dường giảm bớt Sau tăng cường đêm, làm nghẽn chậm trang web ngân hàng hợp tác nước, bao gồm Berliner Volksbank + Từ tháng 12/2020 đến tháng 5/2021, DarkSide công sở hạ tầng dầu khí Hoa Kỳ lần Cùng lúc đó, triển khai cơng nhà cung cấp dịch vụ CNTT CompuCom tháng 3/2021, thiệt hại 20 triệu USD để khơi phục Thời điểm cơng Dịch vụ Cho thuê xe Canada Toshiba Tec Corp (Toshiba 10 GVHD: Nguyễn Thị Hồng Thảo TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP THỰC PHẨM KHOA CÔNG NGHỆ THÔNG TIN Corp) DarkSide tống tiền công ty Brenntag Đức Công ty bảo mật tiền điện tử Elliptic tuyên bố ví Bitcoin DarkSide mở vào tháng 3/2021 nhận 17,5 triệu USD từ 21 ví Bitcoin, bao gồm tiền chuộc Colonial Pipeline 11 GVHD: Nguyễn Thị Hồng Thảo TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP THỰC PHẨM KHOA CÔNG NGHỆ THƠNG TIN Chương 2: TÌM HIỂU BOTNET Botnet Từ “botnet” kết hợp từ “robot” “network” Là mạng lưới máy tính bị chi phối bị điều khiển từ xa máy tính khác để thực nhiệm vụ Ở đây, hacker điều khiển máy tính thực vai trò “botmaster” sử dụng công cụ kĩ thuật xâm nhập để truy cập bất hợp pháp số máy tính kết nối chúng vào mạng mục đích xấu Mỗi máy tính mạng hoạt động “bot”, hacker kiểm soát để lây truyền malware, spam nội dung độc hại nhằm khởi động công Cấu trúc Botnet a) Mơ hình Client - Server (máy khách - máy chủ) Trong mơ hình này, máy chủ đóng vai trị botmaster quản lý việc điều khiển, truyền thơng tin để thiết lập kiểm sốt thiết bị khách Mơ hình client – server thường hoạt động với trợ giúp phần mềm đặc biệt cho phép botmaster trì việc kiểm sốt Nhược điểm mơ hình này, botmaster chết hệ thống bị chết b) Mơ hình Peer-to-Peer (ngang hàng) Trong mơ hình peer-to-peer (P2P), thiết bị kết nối hoạt động độc lập, phối hợp với để thực công việc botmaster truyền thông tin qua lại Mỗi máy hệ thống vừa client server điều khác phục nhược điểm hệ thống mơ hình client – server IOT Bot Malware [vi] Internet of Things - viết tắt IoT đồ vật, thiết bị, người… cung cấp định danh riêng, có khả kết nối, truyền tải, trao đổi thông tin qua mạng chung Internet Các thiết bị kết nối mạng lưới bao gồm máy tính, thiết bị di động cầm tay, đồng hồ thông minh, máy ảnh, máy quay kỹ thuật số, tivi, tủ lạnh, thiết bị điện tử nhà thông minh… tiếp tục phát triển với tốc độ nhanh Kỹ thuật công DDoS tập trung khai thác thiết bị IoT để xây dựng mạng lưới Botnet Kỹ thuật nguy hiểm gây tác động mạnh mẽ lý sau: Quy mô mạng lưới IoT lớn ngày phát triển mạnh, công tác bảo mật cho thiết bị IoT chưa quan tâm mức từ phía nhà sản xuất người dùng, giải pháp phần mềm phần cứng bảo mật cho thiết bị IoT nhiều hạn chế Ngày 21/10/2016, máy chủ cung cấp dịch vụ phân giải tên miền công ty Dyn Mỹ bị công từ chối dịch vụ với mạng lưới Botnet khoảng 500.000 thiết bị, khiến 12 GVHD: Nguyễn Thị Hồng Thảo TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP THỰC PHẨM KHOA CÔNG NGHỆ THƠNG TIN người dùng khơng thể truy cập trang web Spotify, Twitter, Github, PayPal… cách bình thường Một cơng khác vào website phóng viên an ninh mạng Brian Krebs chiếm băng thông tới 620 Gbps Cuộc cơng vào tập đồn dịch vụ hosting OVH Pháp với mức băng thông kỷ lục đến 1,5Tbps Việc áp dụng rộng rãi khoảng 50 tỷ thiết bị IoT, tăng khả kết nối thiết bị với mạng truyền thống, chưa kể đến thiết bị khác với đời mạng hệ thứ năm (5G), nhấn mạnh nhu cầu điều tra mạng botnet IoT Hình : Cơ chế hoạt động công Mirai Botnet Mã độc Mirai gồm hai thành phần chính: virus Mirai Trung tâm Chỉ huy & Điều khiển (CNC) CNC, Trung tâm riêng biệt kiểm soát thiết bị bị xâm nhập nơi gửi thông điệp điều khiển thành viên mạng công Chờ đợi Bot tiếp tục cung cấp địa phát thông tin đăng nhập để tiếp tục chép mã virus tạo Bot Các bước thực công: Bước 1: Các Bot phát thiết bị mở , thực việc thu thập thông tin • Bước 2: Thơng tin Bot gửi đến CNC • Bước 3: CNC chép virus gửi đến thiết bị • Bước 4: Sau chép virus đến thiết bị CNC lệnh cho Bot công vào Victim • 13 GVHD: Nguyễn Thị Hồng Thảo TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP THỰC PHẨM KHOA CÔNG NGHỆ THÔNG TIN Quá trình quét liên tục chạy thiết bị sử dụng Telnet để thử đăng nhập với IP Khi đăng nhập thành công mật mặc định mã độc gửi thơng tin CNC DDoS Botnet Điện toán đám mây Bảo mật đám mây mối quan tâm lớn nhà cung cấp dịch vụ đám mây Trong điện toán đám mây, tài nguyên chia sẻ hàng triệu người dùng để tài nguyên dịch vụ truy cập người dùng cần Do kiến trúc tài ngun chia sẻ, cơng DDoS có tác động mạnh mẽ đến điện tốn đám mây so với kiến trúc người thuê đơn lẻ Bảo mật, kiên trì sẵn sàng ba yêu cầu đám mây mơi trường máy tính phải cung cấp bút pháp công DDoS mối đe dọa lớn tính khả dụng Một hacker chạy ứng dụng độc hại để tạo cơng DDoS chống lại đám mây chống lại người dùng khác đám mây Flooding DDoS, DDoS dựa web, DDoS mạng botnet truyền thống thiết bị di động Các công DDoS botnet tạo máy chủ đám mây để làm gián đoạn dịch vụ họ cung cấp Các loại công Botnet a) Distributed Denial of Operations Service (DDoS) Hệ thống botnet lúc truy cập vào website mục tiêu khiến cho lưu lượng truy cập vào site bị tải, dẫn tới tình trạng “nghẽn cổ chai” Điều khiến nhiều người dùng truy cập vào website khơng truy cập bị nghẽn mạng b) Spamming (phát tán thư rác) Khi máy tính thiết bị bị lây nhiễm, hacker sử dụng email nạn nhân để gửi spam Song song đó, hacker thêm danh sách liên hệ nạn nhân vào danh sách email spam chúng c) Đánh cắp liệu Khi máy tham gia vào hệ thống botnet, botmaster cài đặt keylogger máy tính thực việc lấy thông tin đánh cắp liệu trở nên dễ dàng d) Lây lan botnet Botnet sử dụng để lan truyền cách thuyết phục người dùng tải xuống chương trình file thực thi thơng qua email, HTTP, FTP Thường virus sử dụng botnet phát tán qua email 14 GVHD: Nguyễn Thị Hồng Thảo TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP THỰC PHẨM KHOA CÔNG NGHỆ THÔNG TIN Chương 3: TRIỂN KHAI THỰC NGHIỆM Đề xuất mơ hình Hình : Mơ hình triển khai thực nghiệm Mục tiêu Triển khai mơ hình botnet với máy attacker máy client bị nhiễm botnet Thực DDoS vào hệ thống mạng LAN Qúa trình thực Mơ hình triển khai gồm có : Client_01 có địa IP : 192.168.100.21 Client_02 có địa IP : 192.168.100.22 Client_03 có địa IP : 192.168.100.23 Hình : Địa IP Client Web - Server: IP 192.168.100.12 15 GVHD: Nguyễn Thị Hồng Thảo TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP THỰC PHẨM KHOA CÔNG NGHỆ THÔNG TIN Hình 5: Địa IP Web Server Web - Server chạy wordpress cho client truy cập vào Hình 6-1: Giao diện đăng nhập Web Server 16 GVHD: Nguyễn Thị Hồng Thảo TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP THỰC PHẨM KHOA CƠNG NGHỆ THƠNG TIN Hình 6-2: Giao diện WordPress Web Server Máy Kali Linux đóng vai trị Attacker có địa IP 192.168.100.128 Hình 7: Địa IP Attacker Ở chúng em công DDoS chương trình viết Python cơng theo phương thức UDP, làm nghẽn mạng Khi người dùng kích hoạt file từ Botnet, Attacker lợi dụng điều khiển cho Botnet công IP vào server khiến server bị tải Attacker chạy sẳn chương trình chờ Client kích hoạt file từ Botnet Phần triển khai chúng em tham khảo code tạo Botnet kênh: https://github.com/MayankFawkes/Python-Botnet 17 GVHD: Nguyễn Thị Hồng Thảo TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP THỰC PHẨM KHOA CÔNG NGHỆ THÔNG TIN Hình 8: Kênh tham khảo tạo Botnet Python File code botmaster Hình 9: File code botmaster Sau chạy file code Botmaster giao diện Botnet Hình 10: Giao diện điều khiển Botmaster Giả định client kích hoạt file mà attacker gửi kèm 18 GVHD: Nguyễn Thị Hồng Thảo TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP THỰC PHẨM KHOA CƠNG NGHỆ THƠNG TIN Hình 11: File code mà Botmaster gửi cho client chờ client kích hoạt Chú ý : sửa chỗ IP thành IP Botmaster, IP Botmaster 192.168.100.128 Hình 12: Client kích hoạt file code mà Botmaster gửi Danh sách Botnet kết nối Server 19 GVHD: Nguyễn Thị Hồng Thảo TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP THỰC PHẨM KHOA CƠNG NGHỆ THƠNG TIN Hình 13: Danh sách Bot kết nối với Botmaster Để lệnh cho Botnet công ta dùng lệnh: attack udp Thực công DDoS đến Web-Server địa IP 192.168.100.12: attack udp 192.168.100.12 80 1000 Hình 14: Thực cơng Botnet Dừng DDoS Hình 15: Dừng cơng Botnet Thực tế, cần phải có số lượng botnet cực lớn DDoS sập Server, thơng thường Hacker đính kèm Botnet vào phần mềm, file crack, path để kích hoạt cùng, khiến người dùng khơng nghi ngờ Khi thời điểm mà hàng ngàn botnet truy cập vào IP khiến Server tải truy cập 20 GVHD: Nguyễn Thị Hồng Thảo TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP THỰC PHẨM KHOA CÔNG NGHỆ THƠNG TIN Đánh giá kết Nhóm triển khai hệ thống botnet DDoS vào máy server Ở hạn chế nhóm khơng xây dựng hệ thống botnet đủ lớn để DDoS vào máy server làm cho kết nhận máy server hoạt động Đề xuất biện pháp Do tính chất nghiêm trọng cơng DDoS, nhiều giải pháp phịng chống nghiên cứu Tuy nhiên chưa có giải pháp có khả chống DDoS cách toàn diện hiệu tính phức tạp, quy mơ lớn tính phân tán DDoS cao Khi phát công DDoS việc thực tốt ngắt hệ thống nạn nhân khỏi tài nguyên a) Phòng chống dựa việc triển khai Tăng cường khả xử lý hệ thống: + Áp dụng kĩ thuật học máy kết hợp với thuật toán xử lý, mã nguồn máy chủ web + Nâng cấp hệ thống máy chủ + Nâng cấp đường truyền thiết bị liên quan, + Cài đặt đầy đủ vá cho hệ điều hành phần mềm khác để phòng ngừa khả bị lỗi tràn đệm, cướp quyền điều khiển, v.v… Hạn chế số lượng kết nối thiết bị tường lửa tới mức an toàn hệ thống cho phép Sử dụng tường lửa cho phép lọc nội dung thông tin (tầng ứng dụng) để ngăn chặn kết nối nhằm công hệ thống b) Phòng chống dựa giao thức mạng Sử dụng kỹ thuật lọc gói tin dựa địa IP Tăng cường kích thước BackLogs giúp tăng khả chấp nhận kết nối Sử dụng SYN cache giúp trì BackLogs cho tồn máy chủ Sử dụng SYN Cookies cho phép cấp phát tài nguyên kết nối xác nhận Sử dụng tường lửa proxy lọc gói tin thi hành sách an ninh đặt trước Tối thiểu hóa hành vi truy cập trang web để phòng chống HTTP Flood Giám sát hành vi người dùng phiên làm việc 21 GVHD: Nguyễn Thị Hồng Thảo TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP THỰC PHẨM KHOA CÔNG NGHỆ THÔNG TIN c) Dựa thời điểm Trước xảy công: Các biện pháp dạng ngăn chặn công từ xa, bao gồm việc cập nhật hệ thống, sửa lỗi, vá lỗ hổng để giảm thiểu khả tin tặc khai thác để công Trong xảy ra: tập trung ngăn chặn công Xây dựng IDS/IPS Sau xảy ra: Truy vết nguồn gốc cơng d) Phịng chống đồng Botnet qua tên miền Các Bot thường máy tính cá nhân bị lây nhiễm việc bất cẩn download liệu có chứa virus mà chủ sở hữu khơng biết máy tính họ nằm mạng lưới botnet Nhiều Botnet sử dụng DNS thành phần sở hạ tầng điều khiển (Command and Control infrastructure) Nhà quản trị dựa vào đề xuất việc dựa bất thường việc phân phối tên miền Bằng việc quan sát nhóm tên miền đáng ngờ truy cập phân biệt số lượng domains truy cập cao dự kiến Giám sát lưu lượng, thông tin lịch sử để phát domains rác, domains khơng tồn tại, ghi có số lượng IP cao trỏ 22 GVHD: Nguyễn Thị Hồng Thảo TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP THỰC PHẨM KHOA CÔNG NGHỆ THƠNG TIN Hình 16 : Typical topology of an attacking botnet 23 GVHD: Nguyễn Thị Hồng Thảo TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP THỰC PHẨM KHOA CÔNG NGHỆ THÔNG TIN THAM KHẢO [i]http://m.antoanthongtin.gov.vn/an-toan-thong-tin/su-co-tan-cong-mang-vao-cac-hethong-cong-nghe-thong-tin-trong-yeu-giam-gan-78-trong-quy-i2021-107061 [ii]https://vnetwork.vn/vi/news/bao-cao-ve-cac-dot-tan-cong-ddos-gan-30gbps-vua-duocvnetwork-ghi-nhan [iii]https://tuoitre.vn/bo-cong-an-dieu-tra-vu-bao-dien-tu-vov-bi-tan-cong-mang20210614132001071.htm [iv]https://www.reuters.com/technology/german-it-company-that-serves-banksexperiences-ddos-hack-attack-2021-06-04/ [v] http://m.antoanthongtin.gov.vn/hacker-malware/darkside-va-nhung-anh-huong-denviet-nam-107144 [vi] https://tapchikhcn.haui.edu.vn/media/30/uffile-upload-no-title30279.pdf https://www.vietsunshine.com.vn/2019/01/29/tan-cong-tu-choi-dich-vu-ddos-la-gi-giaiphap-giam-thieu-ddos-attack/ https://www.cloudflare.com/learning/ddos/application-layer-ddos-attack/ https://quantrimang.com/botnet-hoat-dong-nhu-the-nao-36773 https://www.researchgate.net/figure/Typical-topology-of-an-attackingbotnet_fig1_224208745 https://www.researchgate.net/figure/Mirai-botnet-topology_fig1_341746033 24 GVHD: Nguyễn Thị Hồng Thảo ... TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP THỰC PHẨM KHOA CÔNG NGHỆ THÔNG TIN Đánh giá kết Nhóm triển khai hệ thống botnet DDoS vào máy server Ở hạn chế nhóm không xây dựng hệ thống botnet đủ lớn để DDoS vào máy server... server Để làm rõ nguy hiểm công DDoS ảnh hưởng lên website nhóm chúng tơi thực đề tài ? ?Tìm hiểu triển khai công DDoS qua hệ thống botnet? ?? để có nhìn rõ nguy hiểm DDoS website Qua việc thực đề tài,... Thị Hồng Thảo TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP THỰC PHẨM KHOA CÔNG NGHỆ THÔNG TIN d) Tấn công DDoS Botnet Tấn công DdoS việc dùng botnet (một hệ thống nhiều máy tính thiết bị chạy với Internet bị chiếm