Ví dụ này minh họa cách thức một botnet đƣợc tạo và dùng để gửi thƣ rác (spam).
1) Một điều phối viên botnet phát tán virus hoặc sâu máy tính, làm nhiễm các máy tính cá nhân chạy Windows của những ngƣời dùng bình thƣờng, dữ liệu của virus hay sâu đó là một ứng dụng trojan-con bot.
2) Tại máy tính bị nhiễm, con bot đăng nhập vào một server IRC nào đó(hay là một web server). Server đó đƣợc coi là command-and-control server (C&C).
39
3) Một ngƣời phát tán spam mua quyền truy nhập botnet từ điều phối viên. 4) Ngƣời phát tán spam gửi các lệnh qua IRC server tới các máy tính bị nhiễm, làm cho các máy tính này gửi các thông điệp rác tới các máy chủ thƣ điện tử.
H nh 2.5: Cách thức một botnet đƣợc tạo và gửi spam
2.4. MỘT SỐ CÔNG CỤ TẤN CÔNG 2.4.1. LOIC
LOIC là ứng dụng tấn công từ chối dịch vụ, đƣợc viết bằng C#. Loic thực hiện tấn công từ chối dịch vụ tấn công(hoặc khi đƣợc sử dụng bởi nhiều cá nhân, một cuộc tấn công DDoS) trên một trang web mục tiêu làm lũ lụt các máy chủ với các gói tin TCP hoặc UDP với ý định làm gián đoạn dịch vụ của một máy chủ cụ thể. Công cụ LOIC là một botnet tình nguyện kết nối đến một máy chủ từ xa mà chỉ đạo các cuộc tấn công. Hiện nay, có 40.000 ngƣời kết nối với botnet.
40
Hình 2.6: Công cụ LOIC
Hình 2.7: Dùng LOIC tấn công DDoS
2.4.2. DoS HTTP
DoSHTTP là một phần mềm sử dụng dễ dàng, mạnh mẽ để tấn công tràn ngập HTTP nhằm mục địch kiểm thử trên Windows. DoSHTTP gồm xác nhận URL, chuyển hƣớng HTTP và giám sát hiệu suất. Công cụ DoSHTTP có thể giúp các chuyên gia CNTT thử nghiệm hiệu năng máy chủ web và đánh giá độ bảo mật.
41
Hình 2.8: Công cụ DoSHTTP
2.5. BIỆN PHÁP ĐỐI PHÓ 2.5.1. Kỹ thuật phát hiện
Kỹ thuật phát hiện dựa trên nhận biết, phân biệt nhờ tăng lên dòng dữ liệu không hợp lệ và trƣờng hợp flask từ lƣu lƣợng gói tin hợp lệ. Tất cả kỹ thuật phát hiện định nghĩa tấn công không bình thƣờng và đáng chú ý độ lệch từ khoảng thời gian lƣu lƣợng mạng trạng thái thống kê bình thƣờng.
2.5.1.1. Hoạt động định hình
Một tấn công đƣợc nhận biết bằng: Tăng hoạt động giữa các clusters.
Tăng toàn bộ số lƣợng rõ ràng clusters (tấn công DDoS).
Hoạt động định hình thu đƣợc bằng cách giám sát thông tin header của gói tin trong mạng. Nó là tốc độ trung bình lƣu lƣợng mạng bao gồm gói tin liên tiếp với trƣờng gói tin giốngnhau.
2.5.1.2. Phân tích wavelet
Phân tích wavelet đƣợc mô tả là tín hiệu vào đầu cuối bao gồm quang phổ. Phân tích mỗi quang phổ năng lƣợng xác định hiện tƣợng bất thƣờng.
Wavelets cung cấp đồng bộ thời gian và mô tả tần số. Họ xác định thời gian chính xác gồm các tần số hiện diện.
42
2.5.1.3. Phát hiện thay đổi điểm theo trình tự
Thuật toán phát hiện thay đổi điểm mô tả lƣu lƣợng thống kê nguyên nhân thay đổi bởi cuộc tấn công. Họ bắt đầu lọc lƣu lƣợng dữ liệu tới đích bằng địa chỉ, cổng hoặc giao thức và lƣu trữ kết quả thành chuỗi thời gian. Để nhận diện và định vị cuộc tấn công DoS các thuật toán cusum xác định độ lệch trong mức trung bình thực tế cục bộ so với dự kiến trong chuỗi thời gian giao thông. Bạn cũng có thể dùng nhận biết worm thông thƣờng bằng hoạt động scanning.