3.2.1. Cài đặt Clone máy trạm
Bƣớc 1: Bật Vmware, cài đặt clone máy trạm: Kích chuột phải vào máy trạm BotNet01 trên thanh công cụ Manage Clone.
H nh 3.2: cài đặt Clone máy trạm
Bƣớc 6: Chọn tên Máy ảo và Thƣ mục chạy máy ảo. Đối với máy C&C: Đặt tên là C&C
61
Đối với máy trạm Botnet: Đặt tên là BOTNET01, BOTNET02, BOTNET03, Backtrack5r3…
H nh 3.3: Đặt tên cho các máy trạm
Chọn Finish và đợi hệ thống Clone
3.2.2. Khởi động máy chủ Webserver và thiết lập cấu hình
62
H nh 3.4:Cấu hình máy chủ WebServer
Cấu hình Network Adapter: Chọn Custom VMnet1
H nh 3.5: Thiết lập các cấu hình cho Webserver
63
H nh 3.6: Cài đặt địa chỉ IP cho máy chủ
Khởi động dịch vụ XAMPP, chạy Apache
H nh 3.7: Thiết lập thông số cho XAMPP
64
H nh 3.8: Giao diện khi chạy Apache
Truy cập đƣờng dẫn http://192.168.88.128 để kiểm tra dịch vụ
65
3.2.3 Khởi động máy chủ Botnet
Đảm bảo cấu hình card mạng phải để ở chế độ Bridged
H nh 3.1 : Giao diện BOTNET01
Đặt ip cho máy BOTNET01 nhƣ sau
66
Các máy khác có thể đặt thêm nhƣ BOTNET02 192.168.1.102, BOTNET03 192.168.1.103….
Kiểm tra kết nối tới máy Firewall và máy chủ Web Server
H nh 3.12: Kiểm tra kết nối của BOTNET tới Firewall và máy chủ Webserver
Tạo Bot lắng nghe trên cổng 666
Trong thƣ mục C:\Program Files\Hyenae chọn new text Document Nội dung file điền nhƣ sau:
67
Save file và đổi tên file thành Botnet.bat. Lƣu ý trƣớc khi đổi bỏ chọn Hide extensions for known file types
H nh 3.13: Cách tạo file Botnet.Bat
H nh 3.14: Giao diện sau khi tạo file Botnet.Bat
68
CreateObject("Wscript.Shell").Run """" & WScript.Arguments(0) & """", 0, False
Save và đổi tên file thành invisible.vbs
H nh 3.15: Giao diện sau khi tạo file Invisible.vbs
Tiếp tục tạo 01 file text mới với nội dung nhƣ sau:
wscript.exe "C:\Program Files\Hyenae\invisible.vbs" "C:\Program Files\Hyenae\Botnet.bat"
69
H nh 3.16: Giao diện sau khi tạo file Botnetstartup.bat
Tạo shortcut cho file Botnetstartup.bat
H nh 3.17: Tạo shortcut cho file Botnetstartup.bat
Copy file shortcut vào thƣ mục C:\Documents and Settings\All Users\Start Menu\Programs\Startup ( Nhằm mục đích mỗi khi máy tính khởi động lại file này sẽ tự chạy. Sẽ chạy ẩn tiến trình)
70
H nh 3.18: Đƣờng dẫn cho file Botnetstartup.bat
Chạy file Botnetstartup.bat nếu chƣa đƣợc chạy (Sau này mỗi lần khởi động lại máy trạm sẽ không cần chạy file này nữa). Kiểm tra xem tiến trình có chạy không? Đảm bảo có tiến trình Hyenaed.exe là ok.
H nh 3.19: Kiểm tra cấu hình file Hyenaed.exe trong cmd.exe
Vậy là xong phần setup máy BOTNET. GIờ đến phần C&C Server.
Nếu muốn thêm máy BOTNET khác có thể Clone luôn từ máy này. Làm tƣơng tự các bƣớc nhƣ trên để tạo thêm máy BOTNET.
71
3.2.4. Khởi động máy chủ C&C Server và thực hiện tấn công.
Khởi động máy chủ C&C Server
Xác định địa chỉ MAC của Gateway (là Interface E0/0 trên Firewall).
H nh 3.2 : Địa chỉ MAC của C&C Server
Điều khiển tấn công máy chủ webserver từ máy chủ C&C Server
H nh 3.21: Giao diện máy C&C
72
hyenae.exe -r 192.168.1.101@666 -A 4 -a tcp -s %-%@80 -d 00:ab:cd:92:52:00-192.168.88.128@80 -f S -t 128 -k 0 -w 0 -q 0 -Q 1 Trong đó 00:ab:cd:92:52:00 là địa chỉ MAC của Gateway
192.168.1.101 là địa chỉ IP của máy BOTNET01
Để điều khiển máy BOTNET02 với IP 192.168.1.102 ta vào cmd gõ lệnh sau: hyenae.exe -r 192.168.1.102@666 -A 4 -a tcp -s %-%@80 -d 00:ab:cd:92:52:00-192.168.88.128@80 -f S -t 128 -k 0 -w 0 -q 0 -Q 1 Để điều khiển máy BOTNET03 với IP 192.168.1.103 ta vào cmd gõ lệnh sau:
hyenae.exe -r 192.168.1.103@666 -A 4 -a tcp -s %-%@80 -d 00:ab:cd:92:52:00-192.168.88.128@80 -f S -t 128 -k 0 -w 0 -q 0 -Q 1
H nh 3.22: Giao diện C&C khi đặt lệnh tấn công
73
H nh 3.23: Trƣớc khi tấn công DDDoS xảy ra
Khi tấn công DDoS xảy ra:
Vào cái Tool HyenaeFE rồi chọn nút Excute : nhƣ vậy đã bắt đầu thực thiện các cuộc tấn công Botnet.
Khi bị tấn công mình kiểm tra xem wireshark nó sẽ bắt đƣợc gói tin đã gửi tới Server và trang webserver sẽ khó vào và thậm chí mất kết nối.
74
H nh 3.24: Wireshark bắt gói tin trong khi tấn công DDoS xảy ra
DU meter đã bắt đƣợc các lƣợng tin khá nhiều.
H nh 3.25: DU meter bắt lƣợng tin khi DDoS xảy ra
Sau khi tấn công DDoS xảy ra: Vào trang Web sẽ chậm đi có lúc đƣợc có lúc không. Trang web đã bị mất kết nối tới server:
75
H nh 3.26: Trang web bị mất kết nối
DU Meter bắt đƣợc lƣợng tin:
H nh 3.27: DU Meter bắt đƣợc lƣợng tin khi DDoS
76
H nh 3.28: Wireshark bắt đƣợc 10 gói SYN
Truy cập vào web không còn
H nh 3.29: Web đã bị sập sau khi DDoS 3.3. Phần Phòng thủ.
77 Khởi động GNS3 và chọn EditPreferences
H nh 3.3 : Cấu hình Firewall ASA
1)Chọn Qemu ASA và điền các thông tin sau -Identifier Name: ASA-LAB
- Initrd: Chọn file asa802-k8.initrd-asdm_webvpn_mcontext_menu_v3-lite.gz - Kernel chọn file asa802-k8.kernel
- Chọn Apply và Ok
B2: Sau đó chuyển qua Tab General Setting thay đổi đƣờng dẫn Working Directory sang thƣ mục bất kỳ (Không phải TEMP). Chọn Apply và Ok
B3: Kéo thả Firewall ASA
78
H nh 3.31: Mô hình phòng thủ
B5: Kích chuột phải vào Cloud chọn Configure
B6: Chọn Card Local are network Add và tiếp tục chọn VMNET1 Add B7: Chọn Apply và Ok
B8: Nối dây cho hệ thống nhƣ sau: - ASA1 cổng E0 SW1 cổng 1
- SW1 cổng 2 C1 cổng Local Area Network - ASA1 cổng E1 SW2 cổng 1
79
H nh 3.32: Thiết lập kết nối cho mô hình phòng thủ
B9: Sau đó khởi động Firewall
B10: Kích chuột phải vào Firewall chọn Console
B11: Sau khi chọn Cửa sổ console hiện lên chọn 3 Enter và nhấn tiếp phím Enter để tiếp tục
H nh 3.33: Thiết lập cho ASA
B12: Firewall khởi động lên xong sẽ có màn hình hiển thị nhƣ sau:
80
B13: Thực hiện cấu hình Firewall sử dụng các lệnh nhƣ sau:
- Gõ enable và enter để vào mode configure (Nhấn tiếp Enter khi Firewall yêu cầu nhập mật khẩu).
- Cấu hình tiếp nhƣ sau:
B14: Thực hiện ping tới máy chủ Webserver 192.168.88.128 kiểm tra kết nối
Nhƣ vậy là hoàn thiện phần cấu hình Firewall cho DEMO phần hạn chế syn Flood sẽ đề cập sau.
B15: Khởi động máy chủ C&C Server và thực hiện tấn công. - Khởi động máy chủ C&C Server
- Xác định địa chỉ MAC của Gateway (là Interface E0/0 trên Firewall). configure terminal hostname ASA-LAB interface ethernet 0/0 no shutdown nameif outside ip address 192.168.1.1 255.255.255.0 interface ethernet 0/1 no shutdown nameif inside ip address 192.168.88.1 255.255.255.0 exit ASA-LAB(config)# ping 192.168.88.128 Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.88.128, timeout is 2 seconds: !!!!!
81
H nh 3.35: Xác định địa chỉ MAC của Gateway
B16: Khi tấn công ta có thể view kết nối trên Firewall nhƣ sau: có tới hơn 2300 kết nối syn tới máy chủ web 192.168.88.128
82
B17: Đây là phần capture dữ liệu trên máy chủ webserver sử dụng wireshark, Có thể thấy rất nhiều kết nối khởi tạo tới với cờ Syn
B18: Để phòng thủ làm nhƣ sau:
Vào firewall ASA thực hiện cấu hình nhƣ sau:
B19: Thiết lập nhƣ thế là xong. Khi thực hiện tấn công DDoS, Wireshark bắt đƣợc đúng 10 gói SYN gửi đến Webserver
access-list DDOS_Defense extended permit tcp any host 192.168.88.128 eq 80
class-map Web-Server
match access-list DDOS_Defense exit
policy-map global_policy class Web-Server
set connection embryonic-conn-max 10 exit
83
B20: Còn kết nối trên Firewall cũng có 10 kết nối Syn luôn.
84 B22: Đây là kết nối trên Firewall
Ta có thể thấy số lƣợng kết nối là 11 trong đó có 10 kết nối SYN và 01 kết nối thành công.
Kết luận chƣơng III:
Chƣơng III đã Demo thành công cuộc tấn công DDoS đơn giản vào trang Webserver và nhờ có phần mềm quản trị GNS3 đã thực hiện phòng thủ tốt, bắt đƣợc các gói tin làm lƣu lƣợng mạng tăng đột biến.
85
KẾT LUẬN VÀ HƢỚNG PHÁT TRIỂN
Vấn đề an toàn bảo mật ngày nay đang đƣợc các co quân , nhà bảo mật và đặc biệt là các doanh nghiệp quan tâm hàng đầu, an toàn dữ liệu , thông tin ngƣời dùng và tài chính của công ty mọi vấn đề đều cần đƣợc quan tâm. Đối với doanh nghiệp, thì quan trọng nhất là thông tin cá nhân, tài khoản của ngƣời dùng , ví dụ nhƣ ngân hàng chẳng hạn, các thông tin này phải đƣợc bảo mật tuyệt đối, vì thế vấn đề bảo mật đang là một thách thức lớn cho các nhà doanh nghiệp.
Thông qua các kỹ thuật tấn công DDOS, chúng ta có thể hiểu đƣợc phần nào,nguyên lý , cơ chế tấn công của Hacker khi muốn ăn cắp thông tin tài khoản của ngƣời dùng với các kỹ thuật nhƣ tấn công đầu độc DNS, ARP hoặc DHCP sẽ giúp cho kẻ tấn công có thể dễ dàng lấy đƣợc thông tin của ngƣời dùng khi họ không để ý, hoặc không cận thận khi trao đổi dữ liệu trong môi trƣờng mạng công cộng . Hơn thế nữa,nếu thông tin cá nhân của ngƣời sử dùng hoặc công ty bị hacker ăn cắp thì nguy cơ mất dữ liệu hoặc dữ liệu bị truyền ra ngoài sẽ gây một thất thoát lớn cho công ty và sẽ làm tổn hại nguồn tài chính của công ty hoặc doanh nghiệp.
Để khắc phục và ngăn chặn kịp thời các trƣờng hợp bị tấn công hoặc ăn cắp dữ liệu bởi hacker , thì các doanh nghiệp cần quan tâm và chú trọng hơn nữa để vấn đề bảo mật .Dùng Firewall cứng hoặc mềm để ngăn chặn để giảm bớt sự tấn công từ bên ngoài , hoặc cấu hình bảo mật port cho switch để ngăn chặn tấn công DDOS, cấu hình các dịch vụ phát triển và chống xâm nhập trên server để kịp thời phát hiện các sự cố khi bị hacker tấn công . Ngoài ra, các doanh nghiệp cần backup dữ liệu cho khách hàng để đề phòng trƣờng hợp bị mất dữ liệu.
Những kết quả đạt đƣợc
+ Tìm hiểu khá chi tiết, tổng quan về các khía cạnh an ninh mạng, DoS/DDoS + Xây dựng đƣợc ứng dụng demo cho công cụ DDoS trên nền tảng Hyenaed, Backtrack5r3, SYN Flood
+ Công cụ rất mạnh, có thể làm sập 1 webside dùng host FREE trong vòng 2 phút.
86
Những vấn đề tồn tại
+ Chƣơng trình cần hoàn thiện hơn.
+ Đây chỉ là demo nhỏ minh họa cho cơ chế SYN Flood, TCP, UDP. + Cần có chƣơng trình trung gian thứ 3 để tìm các cổng mở trên máy đích.
Hƣớng phát triển
Tuy nhiên do thời gian có hạn nên hệ thống còn nhiều vấn đề chƣa đƣợc giải quyết. Ví dụ nhƣ: Xây dựng quét các cổng mở cho ứng dụng.; Thiết kế cho một ứng dụng tấn công mạnh mẽ hơn; Thiết kế để có thể tấn công các Server lớn hơn … để có thể ứng dụng vào thực tế nhiều hơn.
87
TÀI LIỆU THAM KHẢO
1. B. E. Brodsky and B. S. Darkhovsky (1993), Nonparametric Methods in Change- point Problems, Kluwer Academic Publishers, pp. 78-90.
2. Christos Douligeris and Aikaterini Mitrokotsa (2003), DDoS Attacks And Defense Mechanisms: A Classification, Signal Processing and Information Technology.
3. Jelena Mirkovic, Janice Martin and Peter Reiher (2004), A Taxonomy of DDoS Attacks andDDoSDefenseMechanisms, ACM SIGCOMM Computer Communication Review.
4. Jameel Hashmi, Manish Saxena, and Rajesh Saini (2012), Classification of
DDoS Attacks
andtheirDefenseTechniquesusingIntrusionPreventionSystem,InternationalJournal ofComputerScience&Communication Networks.
5. Jelena Mikovic, G.Prier and P.Reiher (2002), Attacking DdoS at the source, Proceedings of ICNP.
6. Jelena Mikovic, G.Prier and P.Reiher (2002), A Taxonomy of DdoS Attacks and DdoS Defense Mechanisms , UCLA CSD Technical Report no. 020018.
7. Jelena Mikovic, G.Prier and P.Reiher (2002), Source Router Approach to DdoS Defense – UCLA CSD Technical Report no. 010042.
8. Kanwal Garg, Rshma Chawla (2011), Detection Of DDoS Attacks Using Data Mining, International Journal of Computing and Business Research.
9. K.Park and H. Lee.(2001), On the Effectiveness of Route-Based Packet Filtering for Distributed DoS Attack Prevention in Power-Law Internets. In Proceedings of ACM SIGCOMM.
10. Mbabazi Ruth Reg. No (2005), Victim-based defense against IP packet flooding denial of service attacks.
11. Monowar H. Bhuyan, H. J. Kashyap, D. K. Bhattacharyya and J. K. Kalita (2013), Detecting DistributedDenialofService Attacks: Methods, Tools and Future Directions, The Computer Journal.
88
12. Mohammed Alenezi (2012), Methodologies for detecting DoS/DDoS attacks against network servers,TheSeventhInternational Conference on Systems and Networks Communications - ICSNC.
13. Rajkumar, Manisha Jitendra Nene (2013), A Survey on Latest DoS Attacks Classification andDefenseMechanisms,International Journal of Innovative Research in Computer and CommunicationEngineering.
14. Saman Taghavi Zargar, James Joshi, Member and David Tippe (2013), A Survey of DefenseMechanismsAgainstDistributed Denial of Service (DDoS) Flooding Attacks, IEEE Communications Surveys & Tutorials.
15. Tao Peng Christopher Leckie Kotagiri Ramamohanarao (2011), Protection from Distributed Denial of Service Attack, Using History-based IP Filtering 16. Thwe Thwe Oo, Thandar Phyu (2013), A Statistical Approach to Classify
and Identify DDoS AttacksusingUCLADataset, International Journal of Advanced Research in Computer Engineering & Technology.
17. Tony Scheid (2011), DDoS Detection and Mitigation Best Practices, Arbor Networks.
18. T. Peng, C. Leckie, and K. Ramamohanarao (2003), Detecting distributed denial of service attacks, using source ip address monitoring.
19. Bài giảng An Ninh Mạng. Trƣờng CĐ CNTT Hữu Nghị Việt Hàn.
20. Cisco, Defining Strategies to Protect Against TCP SYN Denial of Service Attacks,http://cio.cisco.com/warp/public/707/4.html.