Trong quá trình nghiên cứu và tìm hiểu đề tài, em nhận thấy DDoS càng ngày càng có nhiều biến thể tinh vi hơn, mức độ phá hoại cũng cao hơn nh DRDDoS (Distributed Reflexive Denial of Services), làm cho việc phòng chống DDoS ngày một khó khăn hơn.Dới đây là một số hớng phát triển để nâng cao hiệu quả của hệ thống phòng chống DDoS cho máy chủ web cũng nh nâng cao khả năng phòng chống DDoS cho máy chủ web.
-Nghiên cứu áp dụng module security của apache.
-Nghiên cứu triển khai hệ thống trên nhiều mô hình mạng khác nhau.
-Triển khai load balancing cho máy chủ web.
-Nghiên cứu triển khai hệ thống HONEYNET để phát hiện sớm các tấn công DDoS từ đó có những biện pháp phòng chống.
Tài liệu tham khảo
[1] The snort project : Snort User Manual 2.8.3, 2008 (170 trang)
[2] Rafeeq Ur Rehman : Intrusion Detection Systems with Snort, 2008 (446 trang) [3] Jay Beale, James C. Foster, Jeffrey Posluns (Technical Advisor), Brian Caswell (Technical Editor) : Snort 2.0 Intrusion Detection. NXB Syngress (559 Trang)
[4] Jacob Babbin, Simon Biles, Angela D. Orebaugh : Snort Cookbook, NXB O'Reily, 2005 (288 trang)
[5] Snort website : http://snort.org
[6] Trần Nhật Huy, Hoàng Hải Nguyên : Giới thiệu về iptables, 2006 (12 trang) [7] Nguyễn Hồng Thái : Cài đặt và cấu hình iptables, 2006 (12 trang)
[8] Oskar Andreasson : Iptables Tutorial 1.2.2, 2006 (343 trang) [9] Tìm hiểu IDS và IPS trong mạng không dây : http://wifipro.org [10] Diễn đàn HVA : http://hvaforum.net
[11] Trang chủ hệ điều hành CentOS : http://centos.org [12] Diễn đàn Linux CHF : http://linuxforum.vn
[13] Diễn đàn Linux Việt Nam : http://diendanlinux.org [14] “How to force” website : http://howtoforce.com [15] Honeypot website : http://honetpot.com
[16] Niels Provos, Thorsten Holz : Virtual Honeypots - From Botnet Tracking to Intrusion Detection, NXB Addison Wesley Professional , 2007 (480 trang)
[17] Jelena Mirkovic, Sven Dietrich, David Dittrich, Peter Reiher : Internet Denial of Service - Attackand Defense Mechanisms, NXB Prentice Hall PTR, 2004, (400 trang)
[18] Sushil Jajodia : Botnet Detection, countering the largest security threat, Đại học George Mason, 2004 (177 trang)
Lời cam đoan
Tôi xin cam đoan đây là công trình nghiên cứu của riêng tôi. Những tài liệu trong Đồ án tốt nghiệp là hoàn toàn trung thực. Các kết quả nghiên cứu do chính tôi thực hiện dới sự chỉ đạo của giáo viên hớng dẫn.
Sinh viên
Mục lục
Trang
Lời nói đầu...1
Chơng 1 TổNG QUAN Về DDOS...3
1.1. Giới thiệu chung về DDoS:...3
1.2. Phân loại các kiểu tấn công DDoS...3
Tấn công làm cạn kiệt băng thông ...3
1.2.1.1. Flood attack:...4
1.2.1.2. Amplification Attack:...5
Tấn công làm cạn kiệt tài nguyên ...6
1.2.1.3. Protocol Exploit Attack...6
1.2.1.4. Malformed Packet Attack...7
1.3. Sơ đồ mạng Botnet...8
Sơ đồ Handler-Agent...8
Sơ đồ IRC Base...9
1.4. Các phơng pháp xây dựng tài nguyên tấn công...10
* Giao tiếp trên mạng Botnet...12
1.5. Một số kiểu tấn công DDoS và các công cụ tấn công DDoS ...13
Một số kiểu tấn công DDoS...13
Một số công cụ tấn công DDoS...13
1.5.1.1. Trinoo...13
1.5.1.2. Tribe Flood Network (TFN/TFN2K)...14
1.5.1.3. Stacheldraht...14
1.5.1.4. Trinity...14
1.5.1.6. X-flash...15
1.6. Phòng chống DDoS...17
Phòng chống DDoS...17
1.6.1.1. Tối thiểu hóa lợng Agent...18
1.6.1.2. Tìm và vô hiệu hóa các Handler:...18
1.6.1.3. Phát hiện dấu hiệu của cuộc tấn công:...19
1.6.1.4. Làm suy giảm hay dừng cuộc tấn công...19
1.6.1.5. Chuyển hớng cuộc tấn công...20
1.6.1.6. Giai đoạn sau tấn công...20
Những vấn đề có liên quan...21
1.6.1.7. Thiếu trách nhiệm với cộng đồng...21
1.6.1.8. Sự im lặng...21
1.6.1.9. Tầm nhìn hạn hẹp...22
Chơng 2 Hệ THốNG PHáT HIệN Và CHốNG XÂM NHậP CHốNG XÂM NHậP IDS & IPS– ...24
2.1. IDS (Intrusion Detection System):...24
Định nghĩa:...24
Phân loại IDS:...25
2.1.1.1. Network IDS hoặc NIDS :...25
2.1.1.2. Host IDS hoặc HIDS:...26
Các kỹ thuật xử lý dữ liệu đợc sử dụng trong các hệ thống phát hiện xâm nhập:...27
2.2. IPS (Intrusion Detection System):...29
Định nghĩa:...29
Phân loại:...29
Các thành phần chính của IPS...30
2.4. Kết luận:...31
Chơng 3 TổNG QUAN Về SNORT...32
3.1. GIớI THIệU SNORT:...32
3.2. CáC THàNH PHầN CủA SNORT:...32
Packet Decoder ...33
Preprocessors...34
Detection Engine:...36
Output Plugin:...39
3.3. CƠ CHế HOạT ĐộNG CủA SNORT:...40
Snort là một Sniffer:...40
Snort là một Packet Logger:...41
Snort là NIDS:...42
Các tùy chọn câu lệnh của Snort:...43
Các luật của Snort...43
3.4. RULE – CấU TRúC LUậT CủA SNORT...44
Cấu trúc của một luật...44
3.5. SIGNATURE:...52
3.6. TệP CấU HìNH (snort.conf)...55
Các biến cấu hình...56
Cấu hình bộ giải mã và bộ phận phát hiện của Snort:...58
Cấu hình tiền xử lí...61
Cấu hình xuất kết quả ...61
Các file kèm theo...64
Chơng 4 Giới thiệu Iptables...66
4.2. Cấu trúc của iptables:...66
4.3. Targets:...69
4.4. Các tùy chọn quan trọng của Iptables:...70
Chơng 5 Xây dựng giải pháp phòng chống DDoS cho máy chủ web ...73
5.1. Cơ chế hoạt động của IPTables với Snort Inline...74
5.2. Mô hình triển khai thực tế Mô trờng mạng triển khai khi cha có IPS:...74
5.3. Giải pháp...75
5.4. Mô hình thử nghiệm...77
5.5. Triển khai hệ thống...78
Tối u hóa server ở tầng TCP/IP...78
Cài đặt module connlimit cho Iptables...79
Cài đặt Snort inline...81
5.5.1.1. Cài đặt Snort inline...81
5.5.1.2. Tự động cập nhật rule:...85
5.5.1.3. Giải pháp kĩ thuật với vấn đề lu log...86
Thử nghiệm, đánh giá...88
Chơng 6 TổNG KếT...102
6.1. Những kết quả đạt đợc :...102
6.2. Hớng phát triển:...103
Danh mục ảnh
Hình 1-: Phân loại các kiểu tấn công DDoS...3
Hình 1-: Amplification Attack...5
Hình 1-: Ba bớc kết nối TCP/IP...6
Hình 1-: Trờng hợp IP nguồn giả...7
Hình 1-: Sơ đồ Handler-Agent...8
Hình 1-: Sơ đồ IRC Base...9
Hình 1-: Các phơng pháp xây dựng tài nguyên tấn côngCách thức cài đặt DDoS Agent...11
Hình 1-: Mô hình mạng Classic DDoS...15
Hình 1-: Mô hình mạng X-Flash DDoS...16
Hình 1-: Các giai đoạn chi tiết trong phòng chống DDoS...18
Hình 2-: Mô hình NIDS...26
Hình 2-: Mô hình HIDS...27
Hình 3-: Biểu đồ khối Snort...33
Hình 3-: Packet Decoder...34
Hình 3-: Cầu trúc của packet sau khi đợc decoded. 34 Hình 3-: Order of preprocessors that packet is processed...35
Hình 3-: Gói tin đợc xử lý thông qua multimedia classification preprocessor...36
Hình 3-: Cách detection engine làm việc...36
Hình 3-: Compare header of packet happening in RTN ...37
Hình 3-: Compare option part of packet happening in OTN...37
Hình 3-: Rules after comparing are kept stored in RTN và OTN...38
Hình 4-: Mô hình Iptables/netfilter...66
Hình 4-: Mô tả đờng đi của gói dữ liệu...68
Hình 5-: Cơ chế hoạt động của Snort Inline...74
Hình 5-: Mô hình mạng triển khai thực tế...74
Hình 5-: Mô hình mạng sau khi triển khai hệ thống phòng chống...75
Hình 5-: Luồng dữ liệu đi đến Web Server...76
Hình 5-: Luồng dữ liệu khi triển khai hệ thống phòng chống DDoS...77
Hình 5-: Mô hình mạng thử nghiệm...78
Hình 5-: Hình trang chủ DemoDDoS...89
Hình 5-: Hình trang phòng chống DDoS...89
Hình 5-: Giao diện chính của Jmeter...90
Hình 5-: Tạo Thread Group...90
Hình 5-: Tạo HTTP Default Request...91
Hình 5-: Tạo HTTP Request...92 Hình 5-: Đồ thị thời gian đáp ứng trung bình và thông lợng (bớc 1)...93 Hình 5-: Đồ thị thời gian đáp ứng trung bình và thông lợng ( bớc 2)...94 Hình 5-: Tài nguyên của hệ thống ( bớc 2)...94 Hình 5-: Tài nguyên của hệ thống khi sắp bị DDoS (bớc 3) ...95 Hình 5-: ồ thị traffic của mạng khi bị DDoS (bớc 3)...95 Hình 5-: Tài nguyên của hệ thống sau hai phút bị DDoS (bớc 3)...96 Hình 5-: Tài nguyên của hệ thống sau năm phút bị DDoS (bớc 3)...96 Hình 5-: Hình ảnh Web site Demo DDoS...97 Hình 5-: Đồ thị thời gian đáp ứng trung bình và thông lợng ( bớc 3)...97 Hình 5-: Tài nguyên của hệ thống trớc khi bị DDoS (b- ớc 4)...98 Hình 5-: Đồ thị traffic của mạng khi bị DDoS (bớc 4).99 Hình 5-: Tài nguyên của hệ thống sau hai phút bị DDoS (bớc 4)...99 Hình 5-: Tài nguyên của hệ thống sau năm phút bị DDoS (bớc 4)...100
Hình 5-: Đồ thị thời gian đáp ứng trung bình và thông lợng ( bớc 4)...100
Lời cảm ơn
Sau hơn một tháng nỗ lực thực hiện,” TìM HIềU TấN CÔNG Từ CHốI DịCH Vụ Và phơng PHáP PHòNG TRáNH” đã phần nào hoàn thành trên phơng diện tìm hiểu. Ngoài sự cố gắng hết mình của bản thân, em đã nhận đợc rất nhiều sự khích lệ từ phía nhà trờng, thầy cô, gia đình và bạn bè.
Trớc hết, em xin chân thành cảm ơn thầy Nguyễn Tuấn Anh đã tận tình h- ớng dẫn, chỉ dạy em và đề xuất những hớng giải quyết mỗi khi em gặp khó khăn trong suốt quá trình thực hiện đồ án này.
Kế đến, con xin vô cùng cảm ơn Bố, Mẹ luôn động viên và tạo mọi điều kiện vật chất cũng nh tin thần để hoàn thành đồ án này.
Em cũng xin chân thành cảm ơn quí thầy cô trong khoa Công nghệ thông tin đã tận tình giảng dạy, trang bị cho em những kiến thức cần thiết trong suốt quá trình học tập tại trờng và bạn bè đã ủng hộ, giúp đỡ em khi thực hiện đồ án này.
Sinh viên thực hiện
PHầN ĐáNH GIá CủA GIáO VIÊN HƯớNG DẫN
1. Tinh thần thái độ của sinh viên trong quá trình làm đồ án.
……… ……… ……… ………... ... 2. Đánh giá chất lợng của đồ án. ……… ……… ……… ……… ……… ………... 3. Cán bộ hớng dẫn cho điểm. ……… ……… ……… ………
Ngày ..tháng .năm 2009… …
Giáo viên hớng dẫn (Ký và ghi rõ họ tên)