LOGO Đề tài: Nghiên cứu phát triển thử nghiệm DDoS Thành viên nhóm: Lê Thành Trung – 2033180129 Thái Hồng Cường – 2033181005 Nội dung I II Tấn cơng từ chối dịch vụ phân tán (DDoS) Botnet hệ thống mạng Botnet III Phịng chống cơng DDoS IV Phịng chống mạng Botnet I Tấn cơng từ chối dịch vụ phân tán (DDoS)  Khái niệm  Tấn công từ chối dịch vụ phân tán (DDoS) cơng nhiều hệ thống máy tính bị nhiễm mã độc lúc công lên mục tiêu   Điều khiến khiến mục tiêu liên tục phải hoạt động trả lời hết yêu cầu không hợp pháp từ nguồn gửi đến Cuối cùng, mục tiêu gặp cố xảy tình trạng từ chối dịch vụ với yêu cầu hợp lệ từ người dùng I Tấn công từ chối dịch vụ phân tán (DDoS)  Các mơ hình DDoS Agent – Handler IRC – Based Peer – to – peer I Tấn công từ chối dịch vụ phân tán (DDoS)  Các kỹ thuật cơng DDoS • • Tấn công làm cạn kiệt băng thông (bandwith deleption attack) Tấn công làm cạn kiệt tài nguyên hệ thống (resource deleption attack) I Tấn công từ chối dịch vụ phân tán (DDoS)  Tấn công làm cạn kiệt băng thông (bandwith deleption attack) Tấn công UDP Flood  Kẻ cơng gửi gói UDP giả mạo cổng ngẫu nhiên với số lượng lớn đến máy chủ mục tiêu cách sử dụng dải IP nguồn lớn I Tấn công từ chối dịch vụ phân tán (DDoS)  Tấn công làm cạn kiệt băng thông (bandwith deleption attack) Tấn công ICMP Flood  Kẻ công gửi gói ICMP với số lượng lớn tràn ngập ICMP khơng cần chờ phản hồi, làm ngập tài nguyên thiết bị I Tấn công từ chối dịch vụ phân tán (DDoS)  Tấn công làm cạn kiệt băng thông (bandwith deleption attack) Tấn công Smurf  Các gói ICMP với IP nguồn giả mạo nạn nhân phát tới mạng máy tính địa IP broadcast  Các máy tính mạng gửi phản hồi ICMP đến địa IP nguồn  Nạn nhân bị ngập lưu lượng truy cập nhận nhiều gói phản hồi mà thân không yêu cầu I Tấn công từ chối dịch vụ phân tán (DDoS)  Tấn công làm cạn kiệt tài nguyên (resource deleption attack) Tấn công TCP SYN Flood  Đầu tiên, lượng lớn gói SYN với IP nguồn giả mạo gửi đến máy chủ mục tiêu  Sau đó, máy chủ trả lời yêu cầu kết nối mở cổng nhận phản hồi  Kẻ cơng tiếp tục gửi thêm gói SYN Mục tiêu tạm thời trì cổng mở khoảng thời gian định I Tấn công từ chối dịch vụ phân tán (DDoS)  Tấn công làm cạn kiệt tài nguyên (resource deleption attack) Tấn công SYN ACK Flood Tấn công ACK, PUSH ACK Flood   Khai thác giai đoạn thứ hai trình bắt tay Trong công ACK PUSH ACK Flood, bước cách gửi số lượng lớn gói SYN – ACK kẻ công gửi lượng lớn gói ACK đến máy mục tiêu để làm cạn kiệt tài nguyên PUSH ACK giả mạo đến máy mục tiêu, khiến khơng hoạt động I Tấn công từ chối dịch vụ phân tán (DDoS)  Tấn công Distributed Reflection Denial of Service (DRDoS)  Đầu tiên, kẻ công lệnh cho máy trung gian gửi gói TCP SYN có IP nguồn IP mục tiêu tới máy thứ cấp  Sau máy thứ cấp phản hồi với gói SYN - ACK để thiết lập kết nối với mục tiêu  Mục tiêu loại bỏ gói tin SYN - ACK nhận  Trường hợp gói tin, máy thứ cấp gửi lại gói SYN - ACK hết time - out II Botnet hệ thống mạng Botnet  Khái niệm  Botnet từ thường để máy tính bị nhiễm mã độc sử dụng công cụ cơng Các máy tính tạo thành mạng lưới gọi mạng botnet  Kẻ công lợi dụng mạng botnet để thực nhiều công DDoS II Botnet hệ thống mạng Botnet  Các mơ hình giao tiếp mạng botnet Star Multi – Server II Botnet hệ thống mạng Botnet  Các mơ hình giao tiếp mạng botnet Hierarchical Random II Botnet hệ thống mạng Botnet  Cách lây nhiễm Botnet  Sử dụng mã độc  Tấn công vào lỗ hổng Zero – day  Dùng backdoor  Đoán mật Brute – force II Botnet hệ thống mạng Botnet  Khả Botnet  Tấn công DDoS  Spamming  Sniffing traffic  Keylogging  Phát tán mã độc  Trộm cắp danh tính III Phịng chống cơng DDoS  Kỹ thuật phát Activity Profiling   Dựa tốc độ gói tin trung bình luồng mạng Phương pháp tính tốn entropy đo lường tính ngẫu nhiên mức độ hoạt động mạng  Sự gia tăng tốc độ gói trung bình gia tăng tính đa dạng gói công DDoS Sequential Change-Point Detection  Lưu lượng mạng lọc theo địa IP, số cổng giao thức sử dụng  Dữ liệu luồng lưu lượng lưu biểu đồ hiển thị tốc độ luồng lưu lượng so với thời gian  Các thuật tốn phát điểm thay đổi lập thay đổi thống kê lưu lượng mạng Nếu có thay đổi mạnh mẽ tốc độ lưu lượng truy cập, công DoS/DDoS xảy III Phịng chống cơng DDoS  Kỹ thuật phát Wavelet-Based Signal Analysis   Phân tích lưu lượng mạng dạng quang phổ Chia tín hiệu đến thành tần số khác phân tích thành phần tần số khác   Lưu lượng mạng thơng thường lưu lượng có tần số thấp Khi xảy cơng, thành phần tần số cao tín hiệu tăng lên III Phịng chống cơng DDoS  Các biện pháp đối phó với DDoS Bảo vệ người dùng  Người dùng cần có kiến thức an tồn, bảo mật máy tính  Cài đặt thường xuyên cập nhật phần mềm chống virus, tường lửa, hệ điều hành quyền  Tắt gỡ cài đặt ứng dụng không sử dụng, kiểm tra tệp nhận từ Internet Phát vô hiệu hóa Handlers  Phân tích lưu lượng mạng máy bot (agent) để vơ hiệu hố Handler  Một Handler quản lý số bot Việc phát vơ hiệu hố Handler làm suy yếu mạng botnet III Phịng chống cơng DDoS  Các biện pháp đối phó với DDoS Ngăn chặn công tiềm ẩn  Egress Filtering (Lọc đầu ra)  Ingress Filtering (Lọc đầu vào)  TCP Intercept (Chặn TCP)  Rate limiting (Giới hạn tỷ lệ) Làm lệch hướng công  Sử dụng hệ thống Honeypot  Honeypots sử dụng phương tiện để thu thập thông tin kẻ công, kỹ thuật công công cụ cách lưu trữ hồ sơ hoạt động hệ thống III Phịng chống cơng DDoS  Các biện pháp đối phó với DDoS Giảm nhẹ công  Cân tải  Điều chỉnh  Loại bỏ request Pháp chứng sau công  Phân tích mơ hình lưu lượng truy cập  Theo dõi gói tin  Phân tích nhật ký kiện (Event Log) IV Phòng chống mạng Botnet  Kỹ thuật bảo vệ chống lại Botnet Lọc RFC 3704 Lọc IP nguồn IPS Cisco Lọc hố đen Đề xuất ngăn chặn DDoS từ ISP IV Phịng chống mạng Botnet  Mơ hình phát DGA botnet dựa học máy  Mơ hình phát triển khai thành giai đoạn: (a) giai đoạn huấn luyện (b) giai đoạn phát  Trong giai đoạn huấn luyện, liệu truy vấn hệ thống DNS thu thập, sau qua khâu tiền xử lý nhằm tách tên miền truy vấn trích xuất đặc trưng tên miền cho khâu huấn luyện Trong khâu huấn luyện, thuật toán học máy định áp dụng để học phân loại  Trong giai đoạn phát hiện, truy vấn DNS giám sát qua trình tiền xử lý đến khâu phân loại sử dụng phân loại từ giai đoạn huấn luyện để xác định tên miền bình thường hay tên miền DGA botnet LOGO Thank You ! ... Đề xuất ngăn chặn DDoS từ ISP IV Phịng chống mạng Botnet  Mơ hình phát DGA botnet dựa học máy  Mơ hình phát triển khai thành giai đoạn: (a) giai đoạn huấn luyện (b) giai đoạn phát  Trong giai... công từ chối dịch vụ phân tán (DDoS)  Các mơ hình DDoS Agent – Handler IRC – Based Peer – to – peer I Tấn công từ chối dịch vụ phân tán (DDoS)  Các kỹ thuật cơng DDoS • • Tấn cơng làm cạn kiệt... Các thuật toán phát điểm thay đổi cô lập thay đổi thống kê lưu lượng mạng Nếu có thay đổi mạnh mẽ tốc độ lưu lượng truy cập, cơng DoS /DDoS xảy III Phịng chống cơng DDoS  Kỹ thuật phát Wavelet-Based