Trong phần trên đã thử nghiệm mô hình với mẫu mã độc của mạng botnet Zeus. Đây là mạng botnet có ảnh hưởng lớn tới người dùng Internet Việt Nam. Các kết quả cụ thể gồm:
a)Kết quả thử nghiệm đã đạt được:
67
nối. Số lượng địa chỉ kết nối tới tên miền. Đây là những kết quả quan trọng, là cơ sở cho hoạt động bóc gỡ mạng botnet cũng như đánh giá mức độ ảnh hưởng của nó trong không gian mạng.
- Ngăn chặn được kết nối giữa máy người dùng và các máy chủ điều khiển, từ đó giảm thiểu được mức độ ảnh hưởng của các cuộc tấn công do mạng botnet gây ra.
- Chuyển hướng kết nối tới tên miền độc hại và máy chủ điều khiển về trang web chứa thông tin hướng dẫn bóc gỡ mã độc ra khỏi máy tính người dùng.
b) Kết quả chưa đạt được:
- Người dùng bình thường khó có thể truy cập được đến trang web chứa thông tin hướng dẫn bóc gỡ bot ra khỏi máy tính của mình: do các kết nối và tiến trình mà bot tạo ra thường là các kết nối và tiến trình ẩn.
- Cần phải có một cơ chế, kênh liên lạc khác để thông báo cũng như cảnh báo cho những đối tượng này ví dụ như kênh thư điện tử hoặc có thể yêu cầu chính các đơn vị quản lý các địa chỉ IP này phải hỗ trợ người dùng trong việc bóc gỡ bot ra khỏi máy của người dùng.
- Ngoài ra các kết quả thử nghiệm chỉ có thể đạt được khi các bot thực hiện các kết nối thông qua tên miền và không hạn chế việc sử dụng máy chủ DNS để phân giải tên miền. Tuy nhiên trong thực tế việc sử dụng trực tiếp địa chỉ IP là rất ít vì nếu sử dụng trực tiếp địa chỉ IP thì mạng botnet đó rất dễ bị phát hiện và kém hiệu quả, và việc chỉ sử dụng giới hạn một số máy chủ DNS cũng có thể khắc phục bằng cách áp dụng các chính sách lọc và chặn toàn bộ kết nối của dịch vụ DNS và như vậy tin tặc Bot cũng không thể điều khiển được mạng botnet.
68
Kết quả đạt được của luận văn
Nghiên cứu về botnet, các giải pháp kỹ thuật phát hiện, theo dõi và bóc gỡ botnet từ đó đưa ra một mô hình theo dõi và bóc gỡ các mạng botnet phục vụ cho hoạt động bóc gỡ botnet của Trung tâm VNCERT.
Tiến hành triển khai và thử nghiệm một quy trình dựa vào kỹ thuật “DNS Sinkhole” được nhiều tổ chức, quốc gia áp dụng trong hoạt động chống botnet.
Đánh giá ưu điểm và hạn chế của luận văn
Trong luận văn tác giả đã tìm hiểu, nghiên cứu và đưa ra mô hình để giải quyết bài toán theo dõi và bóc gỡ mạng botnet. Quy trình đề xuất trong luận văn có thể được áp dụng trong hoạt động bóc gỡ botnet của Trung tâm VNCERT.
Mô hình luận văn đưa ra chỉ hiệu quả khi mạng botnet thực hiện các kết nối thông qua tên miền mà không sử dụng cố định máy chủ DNS do tin tặc cấu hình.
Hướng phát triển tiếp theo của luận văn
Tiếp tục cài đặt và thử nghiệm các phần còn lại của mô hình để có thể chủ động phát hiện mạng botnet.
Tiếp tục cải tiến mô hình với các kênh cảnh báo (thư điện tử, tin nhắn SMS) và giải pháp khác nhằm đối phó với mạng botnet.
69
1. Daniel Plohmann, Elmar Gerhards-Padilla, Felix Leder (2011), Botnets: Detection, Measurement, Disinfection & Defence, The European Network and Information Security Agency.
2. Guofei Gu (2008), Correlation-based Botnet Detection in Enterprise Networks, Georgia Institute of Technology.
3. Guy Bruneau (2012), Build Securely a DNS Sinkhole Step-by-Step Powered by Slackware Linux.
4. Haritha.S.Nair, Vinodh Ewards S.E (2012), A Study on Botnet Detection Techniques, Karunya University.
5. Rodríguez-Gómez R. A., Maciá-Fernández G., García-Teodoro P. (2011)
Analysis of Botnets Through Life-Cycle, University of Granada.
6. Trung tâm Ứng cứu Khẩn cấp Máy tính Việt nam (2013), Nghiên cứu xây dựng CSDL quản lý IP botnet nhằm phát hiện và cảnh báo hoạt động của mạng botnet trong cơ quan nhà nước.
7. Xiaonan Zang, Athichart Tangpong, George Kesidis and David J. Miller (2011), Botnet Detection Through Fine Flow Classification, CSE Dept Technical Report No. CSE11-001.
70
Phụ lục 1: Danh sách tên miền mạng botnet Zeus đang theo dõi
0070.zzux.com 039b1ee.netsolhost.com 03a6b7a.netsolhost.com 03a6f57.netsolhost.com 3addictions.com.au 3apa3a.tomsk.tw 3d-gold.com.hk 4btc.cc aaltech.com.au aconfideeeeeracia200.com adlove.su advanc1.co.vu advanc118.co.vu advwinntdigiplus.net agresources.us ailove.com.br alessandroweiss.com aliwork.zapto.org allfortune777.biz alschsa.com amrich1.zapto.org analiticwebexperience.com andreialopes.adm.br angelamoveis.com.br anketguidevemersion.com anlacviettravel.com.vn antrobeat.com apextherapyservices.ca apt-ls.com arcelikpendikservisi.gen.tr asagma.es astrowhiscinam.com au-pc-simple.fr autobizz.com.my autodiely-cc.sk aydinyasam.com azummiri-tegeydgr-55-dhf- 22.mallabwork.info babycheatsheets.com banknotice.in baoshlda.com barekpaint.com