BỘ CÔNG THƯƠNG TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP THỰC PHẨM TP.HCM KHOA: CÔNG NGHỆ THÔNG TIN ĐỒ ÁN MÔN HỌC TÊN ĐỀ TÀI: NGHIÊN CỨU VÀ PHÁT TRIỂN THỬ NGHIỆM DDOS Giảng viên hướng dẫn: ThS Trần Đắc Tốt Nhóm sinh viên thực hiện: Lê Thành Trung – 2033180129 Thái Hồng Cường – 2033181005 Tp Hồ Chí Minh, ngày 15/06/2021 Lời cảm ơn Sau tuần nỗ lực thực hiện, đồ án môn học “Nghiên cứu phát triển thử nghiệm DDoS” Ngoài nỗ lực thân, chúng em cịn nhận khích lệ nhiều từ phía nhà trường, thầy cơ, gia đình, bạn bè khoa Chính điều mang lại cho em động viên lớn để chúng em hồn thành tốt đồ án Trước hết chúng em xin cảm ơn bố mẹ, người thân yêu động viên, ủng hộ, chăm sóc tạo điều kiện tốt để hồn thành nhiệm vụ Em xin cảm ơn thầy cô trường Đại Học Công Nghiệp Thực Phẩm TP.HCM nói chung thầy Khoa Cơng Nghệ Thơng Tin nói riêng đem lại cho em nguồn kiến thức vô quý giá để chúng em có đủ kiến thức hồn thành đồ án làm hành trang bước vào đời Đặc biệt, chúng em xin bày tỏ lòng biết ơn sâu sắc tới giảng viên hướng dẫn Thạc sĩ Trần Đắc Tốt, người tận tâm hưóng dẫn chúng em suốt trình học tập hồn thiện đồ án Cuối chúng em kính chúc q thầy, dồi sức khỏe thành công nghiệp cao quý Tp Hồ Chí Minh, ngày 15 tháng năm 2021 Sinh viên thực Sinh viên thực Lê Thành Trung Thái Hoàng Cường Lời cam đoan Chúng em xin cam đoan kết đạt đồ án chúng em nghiên cứu, tổng hợp thực Tồn điều trình bày đồ án chúng em tham khảo tổng hợp từ nguồn tài liệu khác Tất tài liệu tham khảo, tổng hợp trích dẫn với nguồn gốc rõ ràng Tp Hồ Chí Minh, ngày 15 tháng năm 2021 Sinh viên thực Sinh viên thực Lê Thành Trung Thái Hoàng Cường Mục lục Chương I: Distributed Denial of Service – DDoS 1 Tổng quan công từ chối dịch vụ phân tán (Distributed Denial of Service – DDoS) 1.1 Khái niệm công từ chối dịch vụ phân tán (DDoS) 1.2 Cơ chế hoạt động DDoS 1.3 Các mơ hình cơng DDoS 1.3.1 Mơ hình Agent – Handler 1.3.2 Mơ hình IRC – Based 1.3.3 Mơ hình Peer – to – peer 1.4 Các kỹ thuật công DDoS 1.4.1 1.4.1.1 Flood attack 1.4.1.2 Amplification attack 1.4.2 1.5 Tấn công làm cạn kiệt băng thông (Bandwith Deleption) Tấn công làm cạn kiệt tài nguyên (Resource Deleption) 1.4.2.1 TCP SYN Flood attack 1.4.2.2 SYN – ACK Flood attack 11 1.4.2.3 ACK PUSH ACK Flood Attack 11 Các kỹ thuật công DDoS phổ biến khác 11 1.5.1 Zero-Day DDoS attack 11 1.5.2 Fragmentation attack 12 1.5.3 HTTP GET/POST attack 12 1.5.4 Distributed Reflection Denial of Service (DRDoS) attack 13 1.6 Một số công cụ công DDoS 15 1.6.1 Low Orbit Ion Cannon (LOIC) 15 1.6.2 High Orbit Ion Cannon (HOIC) 15 1.6.3 Tor’s Hammer 16 1.6.4 DDoSIM 17 Chương II: Botnet 18 Tổng quan Botnet 18 2.1 Giới thiệu Botnet 18 2.2 Topology giao tiếp mạng Botnet 19 2.2.1 Star 19 2.2.2 Multi – Server 20 2.2.3 Hierarchical 21 2.2.4 Random 22 2.3 Lịch sử phát triển Botnet 24 2.4 Cách lây nhiễm Botnet 29 2.4.1 Sử dụng mã độc 29 2.4.2 Tấn công vào lỗ hổng chưa vá (lổ hổng Zero – Day) 29 2.4.3 Các Backdoor bị bỏ lại Trojan Worms Trojan truy cập từ xa 30 2.4.4 Đoán mật Brute-force 30 2.5 Khả Botnet 30 Chương III: Xây dựng thử nghiệm mơ hình mạng Botnet 32 Xây dựng mạng Botnet 32 3.1 Tổng quan Botnet sử dụng để xây dựng thử nghiệm 32 3.2 Xây dựng máy Bot header đề điều khiển Botnet 33 3.3 Xây dựng Botnet để lây nhiễm cho Bot client 36 3.4 Giả lập công DDoS 37 3.5 Mơ tả q trình giao tiếp Bot client Bot header thông qua giao thức HTTP 40 Chương IV: Phịng chống cơng DDoS 55 Phịng chống cơng DDoS 55 4.1 Kỹ thuật phát 55 4.2 Chiến lược đối phó DDoS 56 4.3 Các biện pháp đối phó với cơng DDOS 57 4.4 Phòng vệ DoS/DDoS ISP Level 63 4.5 Cơng cụ phịng vệ DDoS 64 4.6 Các dịch vụ phòng vệ DDoS 65 Chương V: Phòng chống Botnet 67 Phòng chống Botnet 67 5.1 Kỹ thuật bảo vệ chống lại Botnet 67 5.2 Các kỹ thuật pháp chứng để phát Botnet 68 5.3 Phát botnet dựa machine learning (học máy) 68 5.3.1 Mơ hình phát DGA botnet dựa học máy 68 5.3.2 Mơ hình máy phân loại định 69 Kết luận 74 TÀI LIỆU THAM KHẢO 75 Lời mở đầu Hiện nay, hệ thống mạng lưới Internet phát triển kinh ngạc Bằng chứng quốc gia từ nhỏ đến lớn sử dụng mạng Internet để phục vụ cho lợi ích riêng Điều góp phần khơng nhỏ cho lợi ích kinh tế, trị quốc gia Khơng có vậy, mạng lưới Internet giúp cho sống người giới kết nối với nhau, giúp cho công việc ngày tối ưu hoá hơn, nhanh chóng Song song với phát triển lợi ích ấy, tồn mối nguy hại cho mạng lưới Internet Đó mặt tối mạng Internet, ví dụ cơng vào hệ thống ngân hàng, trường học, tổ chức, quan truyền thông nhằm đánh cắp thông tin riêng tư, nhạy cảm nhằm trục lợi cho thân kẻ xấu Hơn công từ chối dịch vụ phân tán (tên tiếng Anh Distributed Denial Of Service – DDoS) Đây công biết đến từ năm 1998 Và nay, phát triển với nhiều loại, hình thức cơng mới, gây thách thức lớn cho nhà quản trị an ninh, bảo mật mạng Hậu cơng gây tổn thất lớn kinh tế, tính tiện lợi mạng Internet Ngồi ra, cịn ảnh hưởng khơng cho doanh nghiệp nói riêng cho người dùng nói chung Nó tạo kết nối người từ việc gây cơng từ chối dịch vụ Từ lí trên, nhóm chúng em xin nghiên cứu phát triển thử nghiệm DDoS, để giúp thân người hiểu mơ hình tổng quan cơng từ chối dịch vụ phân tán (DDoS) hệ thống mạng Botnet Bên cạnh đó, đưa giải pháp phịng chống DDoS Botnet với mục đích cuối để xây dựng hệ thống mạng lưới Internet “xanh, sạch, đẹp” Nghiên cứu phát triển thử nghiệm DDoS Chương I: Distributed Denial of Service – DDoS Tổng quan công từ chối dịch vụ phân tán (Distributed Denial of Service – DDoS) 1.1 Khái niệm công từ chối dịch vụ phân tán (DDoS) Tấn công từ chối dịch vụ phân tán (hay gọi tắt DDoS) cơng nhiều hệ thống máy tính bị xâm nhập công lên mục tiêu, chẳng hạn server, website… làm tràn ngập thông báo, yêu cầu kết nối gói tin khơng đinh dạng gửi đến hệ thống mục tiêu buộc chay chậm lại hay gặp cố dẫn đến sập hồn tồn Do từ chối dịch vụ từ người dùng hợp pháp Mục đích việc công DDoS lấy quyền truy cập quản trị viên nhiều hệ thống Các hacker tùy chỉnh đoạn mã cơng để xác định lỗ hổng hệ thống Sau truy cập công vào hệ thống, hacker tải chạy phần mềm DDoS hệ thống vào thời điểm chọn để công Tấn cơng DDoS trở nên phổ biến dễ dàng khai thác quyền truy cập không tốn nhiều sức để thực thi Những công DDoS nguy hiểm chúng nhanh chóng tiêu thụ số lượng lớn host internet khiến chúng trở nên vô dụng Một số tác hại DDoS bao gồm: lòng tin khách hàng doanh nghiệp bị công, gây ảnh hưởng đến mạng, tổn thất tài chính, từ chối dịch vụ, …v…v 1.2 Cơ chế hoạt động DDoS Các cơng DDoS mà thường nghe nói tới sử dụng nhiều loại cơng cụ khác Bên cạnh đó, có hình thức cơng sử dụng hệ thống mạng máy tính “ma” gọi botnet, máy tính hệ thống bot bị dính trojan từ hacker chúng điều khiển máy từ xa thơng qua máy chủ C&C Các hacker bắt đầu công DDoS cách gửi câu lệnh cho bot, chúng máy tính bị lây nhiếm kết nối mạng với hacker thông qua chương trình độc hại thực hành động khác thông qua Command and Control Server (C&C) Các máy bot gửi yêu cầu kết nối với hệ thống khác địa IP giả mạo đến nạn nhân Do hệ thống cho yêu cầu từ máy nạn nhân thay từ máy bot Vì thế, hệ thống phản hồi yêu cầu kết nối đến nạn nhân Kết quả, máy nạn nhân đồng thời nhận nhiều phản hồi mà khơng u cầu Điều gây tình trạng giảm hiệu suất, từ chối dịch vụ hệ thống máy nạn nhận sập hồn tồn 1.3 Các mơ hình cơng DDoS Tấn cơng DDoS có mơ sau:  Mơ hình Agent – Handler Nghiên cứu phát triển thử nghiệm DDoS  Mơ hình IRC – Based  Mơ hình Peer – to – peer 1.3.1 Mơ hình Agent – Handler Các bots (ví dụ hệ thống máy tính bị nhiễm trojan) gọi Agents Kẻ công (Attacker) sử dụng lớp Handlers để huy kiểm sốt, quản lý Agents Hình 1.1: Mơ hình Agent – Handler Trong mơ hình này, attacker chủ động giao tiếp với Handlers để thiết lập lệnh kiểm soát hệ thống Handler máy chủ với nhiều tài nguyên (băng thông, nhớ sức mạnh xử lý) Bên cạnh việc nhận lệnh từ kẻ cơng, Handler cịn có trách nhiệm theo dõi Agents gửi lệnh cấu hình cập nhật từ attacker đến Agents Người quản lý máy tính bị xâm nhập thường khơng biết máy tính họ chứa phần mềm độc hại họ trở thành phần mạng botnet Những kẻ công sử dụng Agents từ mạng botnet chúng để tiến hành công DDoS nhắm vào hệ thống mục tiêu Nghiên cứu phát triển thử nghiệm DDoS Mơ hình Agent – Handler có hạn chế định kẻ công phải giao tiếp với Handlers Handlers không liên lạc với Agents Nếu khơng kẻ cơng khơng thể kiểm sốt Agents sử dụng Agents để công mục tiêu 1.3.2 Mơ hình IRC – Based Mơ hình IRC – Based giúp giải hạn chế mơ hình Agent – Handler Các public IRC server thay cho Handlers để quản lý Agents Hình 1.2: Mơ hình IRC – Based Khi Agents kích hoạt, chúng kết nối đến máy chủ IRC đợi lệnh Kẻ công lệnh cho Agents thông qua kênh IRC sử dụng giao thức IRC Điều cho phép Agent bắt đầu hai hình thức cơng Nó tạo thêm lớp phức tạp để che giấu dấu vết kẻ công Mọi Nghiên cứu phát triển thử nghiệm DDoS thông tin giao tiếp kẻ cơng IRC Server mã hóa Sự khác mơ hình IRC – Based mơ hình Agent – Handler cấu trúc điều khiển thông tin giao tiếp Đối với mô hình IRC – Based, Agent kết nối với IRC Server, mơ hình Agent – Handler, Agent kết nối với nhiều Handler Mơ hình cịn có thêm số ưu điểm như:  Các giao tiếp dạng tin nhắn làm gây khó khăn cho việc phát chúng  Các message di chuyển mạng với số lượng lớn mà không bị nghi ngờ  Kẻ công cần đăng nhập vào IRC server nhận thơng tin trạng thái Agents channel gửi 1.3.3 Mô hình Peer – to – peer Điểm khác biệt mơ hình Peer – to – peer so mơ hình khơng có Handler hay IRC Server Do đó, lệnh thực thi gửi đến Agents thông qua giao thức P2P Trong trường hợp Agent vừa chịu trách nhiệm cho việc chuyển tiếp lệnh vừa phần cấu huy kiểm soát để quản lý Agent khác Đây loại kiến trúc khó để tiêu diệt hồn tồn phân bố tự nhiên cao Nghiên cứu phát triển thử nghiệm DDoS chủ họ ngừng hoạt động Điều chỉnh giúp ngăn ngừa thiệt hại cho máy chủ cách kiểm soát lưu lượng DoS Phương pháp giúp định tuyến quản lý lưu lượng lớn đến máy chủ xử lý Nó lọc lưu lượng người dùng hợp pháp khỏi lưu lượng công DDoS giả mạo mở rộng để giảm lưu lượng công DDoS đồng thời cho phép lưu lượng người dùng hợp pháp để có kết tốt Tuy nhiên, hạn chế lớn phương pháp tạo cảnh báo sai Và đơi khi, cho phép lưu lượng truy cập độc hại qua đồng thời làm giảm số lưu lượng truy cập từ người dùng hợp pháp  Drop Requests (Loại bỏ yêu cầu) Một phương pháp khác loại bỏ gói tải tăng lên Thông thường, định tuyến máy chủ thực tác vụ Tuy nhiên, trước tiếp tục với yêu cầu, hệ thống khiến người yêu cầu bỏ yêu cầu cách bắt họ giải câu đố khó địi hỏi nhiều nhớ khả tính tốn Hậu user hệ thống zombie phát suy giảm hiệu suất khơng khuyến khích tham gia vào việc chuyển lưu lượng truy cập công DDoS Post-Attack Forensics (Pháp chứng sau công)  Traffic Pattern Analysis (Phân tích mơ hình lưu lượng truy cập) Trong công DDoS, công cụ mẫu lưu lượng lưu trữ liệu sau cơng, người dùng phân tích liệu để xác định đặc điểm lưu lượng công Những liệu hữu ích việc cập nhật biện pháp đối phó cân tải điều chỉnh để nâng cao hiệu khả bảo vệ chúng Hơn nữa, mẫu lưu lượng cơng DDoS giúp quản trị viên mạng phát triển kỹ thuật lọc để ngăn chặn lưu lượng công DDoS xâm nhập rời khỏi mạng họ Phân tích mẫu lưu lượng DDoS giúp quản trị viên mạng đảm bảo kẻ công sử dụng máy chủ họ làm tảng DDoS để đột nhập vào trang web khác  Zombie Zapper Tool (Công cụ Zombie Zapper) Khi công ty đảm bảo an ninh cho máy chủ cơng DDoS bắt đầu, NIDS nhận thấy lưu lượng truy cập lớn, điều cho thấy có cố tiềm ẩn Nạn nhân chạy cơng cụ Zombie Zapper để ngăn gói tin tràn vào hệ thống Có hai phiên Zombie Zapper: phiên chạy UNIX, phiên lại chạy Windows Hiện tại, công cụ hoạt động chế bảo vệ chống lại Trinoo, Tribe Flood Network (TFN), Shaft Stacheldraht  Packet Traceback (Theo dõi gói tin) 61 Nghiên cứu phát triển thử nghiệm DDoS Theo dõi gói tin đề cập đến việc truy tìm lưu lượng cơng ngược Nó tương tự kỹ thuật đảo ngược (reverse engineering) Trong phương pháp này, nạn nhân hoạt động ngược lại cách truy tìm gói tin đến nguồn Khi nạn nhân xác định nguồn thực, họ thực bước để chặn cơng từ nguồn cách phát triển kỹ thuật phịng ngừa cần thiết Ngồi ra, theo dõi gói tin hỗ trợ việc đạt kiến thức công cụ kỹ thuật khác mà kẻ công sử dụng Thông tin giúp phát triển triển khai kỹ thuật lọc khác để chặn cơng  Event Log Analysis (Phân tích nhật ký kiện) DDoS event logs hỗ trợ điều tra pháp chứng thực thi pháp luật, hữu ích kẻ cơng gây thiệt hại tài nghiêm trọng Các nhà cung cấp sử dụng honeypots chế bảo mật mạng khác tường lửa, packet sniffer (cơng cụ “đánh hơi” gói tin) server logs để lưu trữ tất kiện xảy trình thiết lập thực công Điều cho phép quản trị viên mạng nhận kiểu công DDoS kết hợp công sử dụng Bộ định tuyến, tường lửa IDS logs phân tích để xác định nguồn lưu lượng DoS Hơn nữa, quản trị viên mạng cố gắng truy tìm lại địa IP kẻ công với trợ giúp ISP trung gian quan thực thi pháp luật Ngoài số biện pháp khác như:  Sử dụng chế mã hóa mạnh WPA2 AES 256 cho mạng băng thông rộng để bảo vệ khỏi bị nghe trộm  Đảm bảo phần mềm giao thức cập nhật quét máy kỹ lưỡng để phát hành vi bất thường  Cập nhật kernel lên phát hành tắt dịch vụ khơng an tồn khơng sử dụng  Chặn tất gói gửi đến có nguồn gốc từ cổng dịch vụ để chặn lưu lượng truy cập từ máy chủ phản chiếu  Bật tính bảo vệ cookie TCP SYN  Ngăn chặn việc truyền gói tin có địa gian lận cấp ISP  Triển khai radio nhận thức lớp vật lý để xử lý công gây nhiễu xáo trộn  Định cấu hình tường lửa để từ chối truy cập lưu lượng ICMP bên  Kiểm tra kết nối quản trị từ xa an toàn  Thực xác thực đầu vào kỹ lưỡng  Ngăn không cho thực thi liệu kẻ công xử lý  Ngăn chặn việc sử dụng chức không cần thiết gets and stropy  Ngăn địa trả bị ghi đè 62 Nghiên cứu phát triển thử nghiệm DDoS 4.4 Phòng vệ DoS/DDoS ISP Level Một cách tốt để bảo vệ chống lại công DoS/DDoS chặn chúng gateway Nhiệm vụ thực ISP ký hợp đồng ISPs cung cấp thỏa thuận cấp dịch vụ "clean pipes" cung cấp băng thông đảm bảo cho lưu lượng xác thực, thay tổng băng thông tất lưu lượng Hầu hết ISP đơn giản chặn tất yêu cầu công DDoS, từ chối lưu lượng truy cập hợp pháp truy cập dịch vụ Nếu ISP không cung cấp dịch vụ clean pipes, sử dụng dịch vụ đăng ký nhiều nhà cung cấp dịch vụ đám mây cung cấp Các dịch vụ đăng ký đóng vai trị trung gian, nhận lưu lượng truy cập dành cho mạng, lọc sau chuyển kết nối đáng tin cậy Các nhà cung cấp Imperva VeriSign cung cấp dịch vụ để bảo vệ đám mây khỏi cơng DoS Hình 4.1: Phịng vệ DoS/DDoS ISP Level 63 Nghiên cứu phát triển thử nghiệm DDoS ISPs cung cấp tính bảo vệ DDoS đám mây để liên kết Internet để tránh bão hịa bị cơng Loại bảo vệ chuyển hướng lưu lượng công đến ISP cơng Quản trị viên u cầu ISP chặn IP ban đầu bị ảnh hưởng di chuyển trang web họ sang IP khác sau thực lan truyền DNS 4.5 Công cụ phòng vệ DDoS Imperva Incapsula DDoS Protection Source: https://www.incapsula.com Bảo vệ DDoS Imperva Incapsula nhanh chóng giảm thiểu công quy mô mà không làm gián đoạn lưu lượng truy cập hợp pháp tăng độ trễ Nó thiết kế để cung cấp nhiều tùy chọn bảo vệ DDoS hỗ trợ công nghệ unicast anycast để cung cấp lượng cho nhiều phương pháp phịng thủ Nó tự động phát giảm thiểu công khai thác lỗ hổng ứng dụng máy chủ, kiện hitand-run mạng botnet lớn Incapsula ủy quyền cho tất yêu cầu web để chặn công DDoS chuyển tiếp đến máy chủ gốc máy khách Incapsula phát giảm thiểu loại công nào, bao gồm TCP SYN + ACK, TCP FIN, TCP RESET, TCP ACK, TCP ACK + PSH, TCP fragmentation, UDP, Slowloris, spoofing, ICMP, IGMP, HTTP flood, brute force, connection flood, DNS flood, NXDomain, mixed SYN + UDP or ICMP + UDP flood, ping of death, reflected ICMP & UDP, Smurf 64 Nghiên cứu phát triển thử nghiệm DDoS Hình 4.1: Imperva Incapsula DDoS Protection Tool Giới thiệu số cơng cụ phịng vệ DDoS:      Anti DDoS Guardian (http://www.beethink.com ) DOSarrest's DDoS protection service (https://www.dosarrest.com) DDOS-GUARD (https://ddos-guard.net) Cloudflare (https://www.cloudflare.com) FS (https://f5.com) 4.6 Các dịch vụ phòng vệ DDoS Akamai DDoS Protection Source: https://www.akamai.com 65 Nghiên cứu phát triển thử nghiệm DDoS Akamai cung cấp tính bảo vệ DDoS cho doanh nghiệp thường xuyên bị công DDoS nhắm mục tiêu Akamai Kona Site Defender cung cấp hệ thống phòng thủ nhiều lớp giúp bảo vệ hiệu trang web ứng dụng web trước mối đe dọa ngày tăng, mức độ tinh vi quy mô công DDoS Kona Site Defender cung cấp khả bảo vệ web ứng dụng chưa có, cung cấp thơng qua tảng thông minh với 210.000 máy chủ 120 quốc gia Lưu lượng DDoS lớp mạng bị lệch lưu lượng DDoS lớp ứng dụng hấp thụ đường biên mạng, khả giảm thiểu triển khai nguyên đường dẫn, bảo vệ chống lại công đám mây trước chúng đến nguồn khách hàng Kona Site Defender có tường lửa ứng dụng web (WAF) có khả mở rộng cao, cung cấp khả bảo vệ chống lại công lớp ứng dụng lưu lượng HTTP HTTPS, cung cấp giải pháp bảo vệ DDoS hồn chỉnh cho doanh nghiệp để trì hiệu suất tính khả dụng web Giới thiệu số dịch vụ phòng vệ DDoS:      Kaspersky DDoS Protection Tool (https://www.kaspersky.com) Stormwall PRO (https://stormwall.pro) Corero Network Security (https://www.corero.com) Nexusguard (https://www.nexusguard.com) BlockDoS (https://www.blockdos.net) 66 Nghiên cứu phát triển thử nghiệm DDoS Chương V: Phòng chống Botnet Phòng chống Botnet 5.1 Kỹ thuật bảo vệ chống lại Botnet Có kỹ thuật để bảo vệ chống lại botnet:  RFC 3704 Filtering (Lọc RFC 3704) RFC 3704 lọc access-control list (ACL) bản, giúp hạn chế tác động công DDoS cách chặn lưu lượng truy cập với địa giả mạo Bộ lọc yêu cầu gói có nguồn gốc từ khơng gian địa hợp lệ, phân bổ phù hợp với cấu trúc liên kết phân bổ không gian Một “danh sách bogon” bao gồm tất địa IP không sử dụng dành riêng không nên đến từ Internet Nếu gói lấy từ địa IP từ danh sách bogon, gói từ IP nguồn giả mạo lọc loại bỏ Quản trị viên hệ thống nên kiểm tra xem ISP có thực lọc RFC 3704 đám mây hay không trước lưu lượng truy cập vào hệ thống Do danh sách bogon thay đổi thường xuyên, trường hợp ISP không thực lọc RFC 3704, người quản trị hệ thống phải quản lý quy tắc bogon ACL riêng họ chuyển sang ISP khác  Cisco IPS Source IP Reputation Filtering (Lọc IP nguồn IPS Cisco) Các dịch vụ danh tiếng giúp xác định xem IP dịch vụ có phải nguồn đe dọa hay không Cisco Global Correlation, khả bảo mật Cisco IPS 7.0, sử dụng trí thơng minh bảo mật to lớn Mạng Cisco SensorBase chứa thông tin tất mối đe dọa biết Internet, chẳng hạn mạng botnet, bùng phát phần mềm độc hại, darknets botnet harvesters Cisco IPS sử dụng mạng để lọc lưu lượng DoS trước làm hỏng tài sản quan trọng Để phát ngăn chặn hoạt động độc hại sớm hơn, kết hợp liệu mối đe dọa tồn cầu vào hệ thống  Black Hole Filtering (Lọc hố đen) Lọc hố đen kỹ thuật phổ biến để bảo vệ chống lại mạng botnet đó, để ngăn chặn công DoS Hố đen đề cập đến nút mạng lưu lượng đến bị loại bỏ bị giảm mà không thông báo cho nguồn liệu không đến người nhận dự kiến Lưu lượng truy cập không mong muốn bị loại bỏ trước vào mạng bảo vệ kỹ thuật gọi Remotely Triggered Black Hole (RTBH) kích hoạt từ xa Vì q trình kích hoạt từ xa nên q trình lọc phải thực với ISP Nó sử dụng tuyến máy chủ Border Gateway Protocol (BGP) để định tuyến lưu lượng truy cập đến máy chủ nạn nhân đến “null0” next hop  DDoS Prevention Offerings from ISP or DDoS Service (Đề xuất ngăn chặn DDoS từ ISP Dịch vụ DdoS) 67 Nghiên cứu phát triển thử nghiệm DDoS Phương pháp có hiệu việc ngăn chặn giả mạo IP cấp ISP Tại đây, ISP lọc/làm lưu lượng truy cập trước cho phép truy cập vào liên kết Internet người dùng Vì dịch vụ chạy đám mây nên cơng DDoS khơng làm bão hịa liên kết Internet Ngoài ra, số bên thứ ba cung cấp dịch vụ ngăn chặn DDoS đám mây IP Source Guard (trong CISCO) tính tương tự kích hoạt định tuyến khác để lọc lưu lượng dựa sở liệu ràng buộc DHCP snooping ràng buộc nguồn IP, ngăn chặn bot gửi gói giả mạo 5.2 Các kỹ thuật pháp chứng để phát Botnet Lĩnh vực pháp y kỹ thuật số liên quan đến việc áp dụng phương pháp luận khoa học để thu thập trình bày chứng từ nguồn kỹ thuật số để điều tra tội phạm hoạt động trái phép, ban đầu để xem xét tư pháp Quy trình pháp y cấp tư pháp bao gồm thủ tục nghiêm ngặt để trì tính dễ tiếp nhận tính tồn vẹn chứng Ngay điều tra nội bộ, nên làm việc chặt chẽ thủ tục thực tế, đề phòng rắc rối pháp lý hành sau Khơng có cách tiếp cận đơn giản đơn giản để điều tra mạng botnet Khai thác tối đa tất tài nguyên giúp chúng ta, từ thơng báo spam lạm dụng đến nhật ký từ mạng công cụ quản trị hệ thống Các báo cáo tự động tạo từ báo cáo nhật ký công cụ Swatch không giúp theo dõi tình trạng hệ thống mình; trường hợp vi phạm bảo mật, họ cho ta bắt đầu để điều tra xảy 5.3 Phát botnet dựa machine learning (học máy) 5.3.1 Mơ hình phát DGA botnet dựa học máy Các thuật toán tạo tên miền (Domain generation algorithms – DGA) thuật toán thấy họ phần mềm độc hại khác sử dụng để tạo định kỳ số lượng lớn tên miền sử dụng làm điểm hẹn với máy chủ C&C chúng Số lượng lớn điểm hẹn tiềm gây khó khăn cho quan thực thi pháp luật việc đóng mạng botnet cách hiệu quả, máy tính bị nhiễm cố gắng liên hệ với số tên miền ngày để nhận cập nhật lệnh Việc sử dụng mật mã khóa cơng khai mã phần mềm độc hại khiến quan thực thi pháp luật tác nhân khác bắt chước lệnh từ điều khiển phần mềm độc hại số loại worm tự động từ chối cập nhật chưa ký điều khiển phần mềm độc hại Ví dụ: máy tính bị nhiễm độc tạo hàng ngàn tên miền như: www com cố gắng liên hệ với phần số với mục đích nhận cập nhật lệnh 68 Nghiên cứu phát triển thử nghiệm DDoS Hình 2.6: Mơ hình phát DGA botnet dựa học máy Mơ hình xây dựng sở phân tích việc bot DGA botnet thường xuyên sinh tự động tên miền truy vấn hệ thống DNS để tìm địa IP máy chủ C&C Mơ hình phát triển khai thành giai đoạn: (a) giai đoạn huấn luyện (b) giai đoạn phát Trong giai đoạn huấn luyện, liệu truy vấn hệ thống DNS thu thập, sau qua khâu tiền xử lý nhằm tách tên miền truy vấn trích xuất đặc trưng tên miền cho khâu huấn luyện Trong khâu huấn luyện, thuật toán học máy định áp dụng để học phân loại Tập liệu sử dụng cho khâu huấn luyện gán nhãn, gồm tập tên miền bình thường, hay lành tính tập tên miền botnet Trong giai đoạn phát mô hình, truy vấn DNS giám sát qua trình tiền xử lý đến khâu phân loại sử dụng phân loại từ giai đoạn huấn luyện để xác định tên miền bình thường hay tên miền DGA botnet 5.3.2 Mơ hình máy phân loại định 69 Nghiên cứu phát triển thử nghiệm DDoS Cây định (Decision Tree) Cây định sử dụng mơ hình dự báo, với đầu vào loạt kết quan sát đầu giá trị tính tốn từ giá trị đầu vào cho trước Các nút định tượng trưng cho nhóm nút liên kết với hai hay nhiều con, gọi nút thử nghiệm Tại nút thử nghiệm, đầu tính tốn dựa giá trị thuộc tính thực thể, đầu có khả dẫn đến bắt nguồn từ nút Thuật tốn tự động xây dựng nên định thiên liệu lớn, tạo nhiều nhánh để nắm bắt kịch đặc trưng phức tạp tập hợp huấn luyện cho trước Do đó, thuật tốn “tỉa bớt” sử dụng cho định để thu gọn kích thước làm giảm độ phức tạp Lựa chọn thuộc tính Thuộc tính gồm đặc trưng dòng tập hợp dòng cửa sổ thời gian T cho trước, biểu thị giá trị số định danh Các thuộc tính là: địa IP, cổng nguồn đích dịng Trong thuộc tính khác, chiều dài trung bình gói trao đổi khoảng thời gian, địi hỏi cần thêm việc xử lý tính tốn Những thuộc tính sử dụng thành phần vectơ thuộc tính, để nắm bắt đặc trưng dòng khoảng thời gian cho trước Tập hợp thuộc tính lựa chọn dựa biểu giao thức phổ biến biểu botnet biết đến Storm, Nugache Waledac 70 Nghiên cứu phát triển thử nghiệm DDoS Bảng 1: Các thuộc tính dịng mạng lựa chọn Việc lựa chọn thuộc tính cần phải xem xét đến khả chống lại kỹ thuật che giấu tiềm bot Các bot dùng kỹ thuật nhiễu dịng để lẩn tránh kỹ thuật phân tích Một bot chèn gói tin vào thơng tin C&C để chống lại phép ánh xạ dựa kích thước gói Để ngăn ngừa lẩn tránh bot, số lượng dòng địa tạo đo so sánh với tổng số dòng tạo khoảng thời gian định Giá trị dựa thực tế hầu hết bot tạo nhiều dịng so với ứng dụng thơng thường chúng truy vấn kênh C&C để tìm thực lệnh Ngoài ra, số lượng kết nối mà dòng tạo theo thời gian tính tốn trường hợp bot cố gắng kết nối ngắt kết nối để chống lại phương pháp đo dựa kết nối Cuối cùng, tạo danh sách trắng địa IP dịch vụ biết để loại bỏ chương trình bình thường khơng độc hại có biểu kết nối tương tự ứng dụng độc hại cách ly tốt 71 Nghiên cứu phát triển thử nghiệm DDoS Đánh giá thực tiễn Một tập hợp lưu lượng mạng tạo gồm lưu lượng độc hại không độc hại trộn lẫn với nhau, cho chúng xuất khoảng thời gian liệu dán nhãn để đánh giá độ xác phương pháp Hai tập liệu bao gồm lưu lượng độc hại dự án Honeynet gồm botnet Storm Waledac Lưu lượng không độc hại biểu diễn hai tập liệu khác (theo tài liệu phịng thí nghiệm Lưu lượng Ericsson Research, Hungary Phịng thí nghiệm Quốc gia Lawrence Berkeley National Laboratory - LBNL) Tập liệu Phịng thí nghiệm Ericsson chứa số lượng lớn lưu lượng thông thường từ nhiều ứng dụng khác nhau, bao gồm lưu lượng web (HTTP) trò chơi World of Warcraft máy khách bittorrent Dữ liệu LBNL gồm tập liệu dán nhãn từ D_0, , D_4 lấy từ mạng doanh nghiệp Bảng 2: Thông tin tập liệu LBNL Để cung cấp tập liệu thực nghiệm, bao gồm lưu lượng độc hại không độc hại, hai tập liệu độc hại kết hợp với tập liệu Erikson (không độc hại) thành tệp tin dấu hiệu đặc trưng Đầu tiên, địa IP máy bị nhiễm độc tham chiếu tới số máy có lưu lượng bổ sung Tiếp theo, tất tệp tin dấu hiệu vận hành lại sử dụng công cụ TcpReplay giao diện mạng để đồng tình trạng mạng, thể tập liệu Dữ liệu đánh giá sau (do quy trình cung cấp) kết hợp với tất tập liệu LBNL, tạo thành mạng bổ sung để mô mạng với kích thước hàng nghìn máy chủ Kết đánh giá mơ hình Tất thơng tin chương trình trích xuất từ tệp tin cho trước, sau phân tích thành vectơ thuộc tính thích hợp để phân loại Có tất 1.672.575 dòng mạng tập thử nghiệm Khoảng thời gian trì dịng khác nhau, số kéo dài không đến giây số khác kéo dài đến tuần Trong dòng này, có 97.043 (khoảng 5,8%) độc hại Các dịng tạo 111.818 vectơ thuộc tính độc hại 2.203.807 vectơ thuộc tính khơng độc hại Mỗi vectơ đặc trưng tương ứng với cửa sổ thời gian 300 giây, gói tin trao đổi Các vectơ 72 Nghiên cứu phát triển thử nghiệm DDoS thuộc tính dịng độc hại vectơ trích xuất từ dịng có liên quan đến liệu botnet Storm Waledac, tất vectơ thuộc tính khác coi khơng độc hại, bao gồm ứng dụng ngang hàng Bittorrent, Skype e-Donkey Kỹ thuật đánh giá k-fold cross validation sử dụng với k=10 Tập liệu chia thành 10 tập hợp ngẫu nhiên, tập dùng để đánh giá, tập cịn lại dùng để huấn luyện Quy trình lặp lặp lại tất 10 tập hợp sử dụng làm tập hợp thử nghiệm lần Tỷ lệ dương tính sai máy phân loại định liệt kê bảng đây, giá trị trung bình 10 lần chạy Bảng 3: Tỷ lệ phát máy phân loại REPTree (T=300 giây) Bảng cho thấy máy phân loại định có tỷ lệ phát cao (trên 90%) tỷ lệ sai thấp Kết rằng, botnet xem xét có đặc trưng khác biệt so với lưu lượng mạng thường ngày 73 Nghiên cứu phát triển thử nghiệm DDoS Kết luận Tóm lại, cơng từ chối dịch vụ phân tán (DDoS) loại hình cơng với đủ cách thức từ đơn giản đến phức tạp Để góp phần giúp ngăn chặn loại hình cơng này, địi hỏi cần có kiến thức nâng cao việc phát ngăn chặn chúng Do nhu cầu đó, nhóm chúng em tổng hợp tiếp thu kiến thức sẵn có kiến thức suốt q trình học để thực nên đề tài Đồ án tổng hợp đưa lý thuyết như: cơng DDoS gì, loại mơ hình, kiểu cơng, mạng botnet gì, loại botnet cách lây nhiễm chúng, đồng thời đưa phương pháp phát hiện, ngăn chặn DDoS/Botnet xây dựng thực nghiệm cơng DDoS qua mạng botnet Vì kiến thức chun mơn cịn chưa tốt nên khơng thể tránh khỏi sai sót q trình thực đồ án Do đó, nhóm chúng em cố gắng hồn thành tốt chúng em mong nhận đánh giá tập thể thầy, cô khoa Công nghệ thông tin bạn sinh viên khác đồ án này, để chúng em sửa đổi phát triển đồ án theo hướng tốt Xin chân thành cảm ơn 74 Nghiên cứu phát triển thử nghiệm DDoS TÀI LIỆU THAM KHẢO Sách tiếng Anh Craig A.Schiler, Jim Binkly, David Harley, Gadi Evron, Toney Bradley, Carstem Willems, Michael Cross (2007), “Bonets : The killer web app”, Syngress Gunter Ollmann (2009), “Botnet Communication Topology”, Damballa Inc Certified Ethical Hacker v9, v10, v11 X.D Hoang and Q.C Nguyen, “Botnet Detection Based On Machine Learning Techniques Using DNS Query Data”, Future Internet, 2018, 10, 43; doi:10.3390/fi10050043 Trang Web https://whitehat.vn/threads/cac-cau-truc-cua-botnets.568 https://whitedelphi.blogspot.com/2017/09/ddos-mot-so-ky-thuat-tan-cong-vaphuong.html https://whitedelphi.blogspot.com/2017/09/ddos-mot-so-ky-thuat-tan-cong-vaphuong_29.html https://whitehat.vn/threads/25-kieu-tan-cong-ddos-hacker-thuong-dung.13633/ https://www.cloudflare.com/learning/ddos/what-is-a-ddos-attack/ https://securityaffairs.co/wordpress/13747/cyber-crime/http-botnets.html https://en.wikipedia.org/wiki/Domain_generation_algorithm http://antoanthongtin.gov.vn/gp-attm/su-dung-phuong-phap-hoc-may-de-phathien-botnet-101321 75 ... Nghiên cứu phát triển thử nghiệm DDoS Hai hàm bên lấy file từ bot header (web server) đọc hết liệu bên file Trả chuỗi đọc từ file bot header (web server) 44 Nghiên cứu phát triển thử nghiệm DDoS. .. 31 Nghiên cứu phát triển thử nghiệm DDoS Chương III: Xây dựng thử nghiệm mơ hình mạng Botnet Xây dựng mạng Botnet 3.1 Tổng quan Botnet sử dụng để xây dựng thử nghiệm Để xây dựng mơ hình thử nghiệm. .. khác mạng botnet 23 Nghiên cứu phát triển thử nghiệm DDoS 2.3 Lịch sử phát triển Botnet Hình 2.5: Sự phát triển công nghệ Bot GM Bot IRC khởi đầu, gọi GM theo Wikipedia, phát triển sau năm 1989,