Kịch bản thứ nhất:
Bước 1: Truy cập và kiểm tra tốc độ xử lý của máy chủ website
78
Bước 2: Bật Snort để sniffer các gói tin nghi ngờ tấn công DDoS hay không, kiểm tra trạng thái của Snort
Hình 4.6 Trạng thái Snort đã được bật, chưa có cảnh báo nào
Bước 3: Xem các cảnh báo của Snort (nếu có)
Hình 4.7 Ứng dụng giám sát cảnh báo cũng không ghi nhận được cảnh báo nào được đưa ra và lưu vào CSDL
79
Kịch bản thứ hai:
Bước 1: Giữ nguyên các bước chuẩn bị ở kịch bản 1
Bước 2: Sử dụng công cụ hping3 để tấn công vào máy chủ website
Hình 4.8 Giao diện màn hình khi sử dụng hping3 để tấn công
Bước 3: Truy cập và kiểm tra bằng cách kết nối đến máy chủ website
80
Bước 4: Xem các cảnh báo và phân tích các cánh báo (nếu có cảnh báo)
Hình 4.10 Giao diện cảnh báo trên Terminal của Snort
81
Hình 4.12 Giao diện các IP nguồn tấn công được lưu trên ứng dụng giám sát
Nhìn vào kết quả thực nghiệm ở trên có thể nhận thấy có khá nhiều IP nguồn được hping3 tạo ra để tấn công vào máy chủ web có địa chỉ IP là 192.168.0.105 trong một khoảng thời gian tương đối ngắn, nếu kiểm tra băng công cụ kiểm tra IP thông thường thì các IP đó thuộc các quốc gia khác nhau trên thế giới quản lý chẳng hạn như: Hoa Kỳ, Trung Quốc,…
82
KẾT LUẬN 1. Kết luận
Trên thế giới cũng như tại Việt Nam những năm gần đây các cuộc tấn công từ chối dịch vụ phân tán ngày càng nhiều và càng nguy hiểm, nó gây ra thiệt hại nặng nề và nguy hiểm đối với các hệ thống thông tin, nhất là đối với các trang/cổng TTĐT của cơ quan, chính phủ và các hệ thống thanh toán trực tuyến. Tấn công từ chối dịch vụ phân tán đa dạng, phức tạp và các biến thể của botnet ngày càng tinh vi hơn. Vì vậy, để đưa ra giải pháp ngăn chặn các kiểu tấn công dạng này đang là vấn đề thách thức lớn đối với những người làm công tác đảm bảo an toàn, an ninh thông tin.
Trong quá trình thực hiện đề tài, tác giả đã đạt được một số kết quả nghiên cứu cụ thể như sau:
− Nghiên cứu cơ bản về tấn công DDoS, nguy cơ và hậu quả khi bị tấn công DDoS.
− Tìm hiểu các thuật toán phát hiện tấn công DDoS. Trên cơ sở đó tìm hiểu sản phẩm cảnh báo sớm để giảm thiểu tấn công dạng này.
− Nghiên cứu công cụ dạng NIDS là Snort để cảnh báo sớm nguy cơ mất an toàn thông tin của hệ thống, tìm hiểu luật trong Snort đối với cảnh báo tấn công DDoS.
− Xây dựng hệ thống thực nghiệm: giả lập tấn công, tiếp nhận và phân tích cảnh cáo để thu được kiến thức về mô hình phù hợp với yêu cầu giảm thiểu tấn công DDoS đối với các hệ thống mà tác giả là người đang quản trị, vận hành.
Hệ thống thực nghiệm đã triển khai dựa trên mô hình theo chức năng mà tác giả đã đề cập trong đề tài. Do đó, còn nhiều hạn chế chưa có điều kiện để giải quyết như sau:
− Ngưỡng được thiết lập trong luật là do tác giả tự đưa ra để thực hiện thử nghiệm, chưa đánh giá cụ thể và khuyến nghị cụ thể cho một số mô hình đối với tham số ngưỡng. Để lựa chọn ngưỡng thật tốt cần quá trình sử theo dõi, sử dụng trong thực tế.
83
− Hệ thống thực nghiệm chỉ mới đưa ra được cảnh báo cho người quản trị theo dõi, giám sát mà chưa kết hợp với được các thiết bị như router, firewall, hoặc IPS khác… để ngăn chặn dựa trên kết quả cảnh báo đó.
− Do thời gian và năng lực của tác giả nên chưa đánh giá được sự kết hợp giữa luật được đưa ra với các luật khác.
2. Hƣớng nghiên cứu tiếp theo
Hướng nghiên cứu tiếp theo để làm rõ thêm và khắc phục các hạn chế nói trên như sau:
− Kết hợp với thiết bị chống tấn công DDoS khác để loại bỏ kết nối có dấu hiệu nghi ngờ trên cơ sở cảnh báo của Snort; Thiết lập được ngưỡng một các tự động theo đặc điểm của hệ thống và lịch thời gian.
84
TÀI LIỆU THAM KHẢO
[1] CMC Infosec (2015), “Báo cáo tình hình bảo mật tháng 6/2015 của CMC InfoSec”
[2] J. Mirkovic, S. Dietrich (2011), “Internet Denial of Service, Attack and Defense Mechanisms, University of Pittsburgh Technical Report”
[3] Karthik Pai B.H, Nagesh H.R, Abhijit Bhat, Detection and Performance Evaluation of DoS/DDoS Attacks using SYN Flooding Attacks
[4] M.R.Reg (2005), “Victim-based defense against IP packet flooding denial of service attacks”.
[5] Rafeeq Ur Rehman (2003), Intrusion Detection with SNORT: Advanced IDS Techniques Using SNORT, Apache, MySQL, PHP, and ACID, Prentice Hall, New Jersey, USA
[6] Saman Taghavi Zargar, James Joshi and David Tipper, A Survey of Defense Mechanisms Against
[7] T.Peng, C.Leckie, K.Ramamohanarao, Proactively Detecting Distributed Denial of Service Attacks Using Source IP Address Monitoring.
[8] T.Peng, C.Leckie, K.Ramamohanarao (2003), “Protection from Distributed Denial of Service Attack Using History-based IP Filtering”.
[9] VasiliosA. Siris (2002), Denial of Service and Anomaly Detection [10] http://mic.gov.vn
[11]https://securelist.com/analysis/quarterly-malware-reports/71663/kaspersky- ddos-intelligence-report-q2-2015/