3. Cấu trúc luận văn
2.5.2. Phục hồi dựa trên phản công
Lớp này bao gồm các cơ chế phòng thủ mạnh dựa trên việc đe dọa hoặc làm hoàn toàn tê liệt một Botnet. Điều này có thể được thực hiện bằng cách thực hiện một cuộc tấn công gián tiếp hoặc trực tiếp vào các Botnet.
Tấn công gián tiếp: tấn công gián tiếp làm giảm khả năng sử dụng của mạng Botnet với botmaster. Tấn công vào các mô hình kinh doanh cơ bản để làm giảm đáng kể lợi nhuận sinh ra bởi Botnet, khiến lợi nhuận nó thu được không đủ để duy trì các mạng Botnet đó. Một số Botnet ăn cắp thông tin nhạy cảm, chẳng hạn như mật khẩu và các thông tin ngân hàng. Các thông tin bị đánh cắp được chuyển từ máy tính của nạn nhân đến một dropZone và cuối cùng bán cho các bên thứ ba. Điều này có thể được thực hiện bằng kỹ thuật dịch ngược giao thức C&C của Botnet. Điều này sẽ làm tổn hại danh tiếng của botmaster và ảnh hưởng đến lợi nhuận kinh doanh của họ.
Tấn công trực tiếp: tấn công trực tiếp đòi hỏi cơ chế trực tiếp tổn thương một hoặc nhiều thành phần của Botnet. Một cuộc tấn công trực tiếp có thể được tổ chức nhắm vào Bots. Cũng giống như các phần mềm khác, bot binary và giao thức C&C có thể có lỗi. Điểm yếu này được khai thác bởi các máy tính phòng thủ để kiểm soát các bot từ xa và loại bỏ hoặc kích hoạt các lệnh C&C liên quan đến việc loại bỏ các bot. Một lựa chọn khác là để phối hợp một cuộc tấn công trực tiếp vào truyền thông máy chủ C&C. Các lưu lượng C&C có thể bị nhiễm độc bằng cách giới thiệu các lệnh không có thật trong kênh. Trong Botnet p2p, chương trình tìm kiếm các lệnh
40
mới bằng cách sử dụng các phím lệnh bot. Tấn công sybil là một cuộc tấn công chống lại Botnet p2p được thực hiện bởi các máy phòng thủ. Các máy phòng thủ sẽ cố gắng để giành quyền kiểm soát một phần của mạng lưới p2p. Họ có thể định tuyến lại các truy vấn đến bất kỳ một bot hoặc một Sybil peer. Bằng cách này, các sybils có thể phá vỡ một phần của tổng thể giao tiếp C&C. Tấn công Eclipse cũng tương tự như tấn công Sybil ngoại trừ việc nó giành quyền kiểm soát một phần nhỏ hơn nhiều của mạng p2p. Suy luận của giao thức C&C cho phép các máy phòng thủ thay đổi và chèn các lệnh vào truyền thông C&C giúp giảm thiểu những thiệt hại gây ra bởi các Botnet. Các lệnh thực hiện các cuộc tấn công như spam và DDoS có thể được ngừng lại bởi các máy tính phòng thủ và thay thế bằng các lệnh loại bỏ bot. Tấn công trực tiếp cũng có thể nhắm đến các máy chủ C&C. Điều này liên quan đến việc loại bỏ vật lý hay ảo của máy chủ C&C. Loại bỏ vật lý của máy chủ C&C chỉ áp dụng cho các Botnet tập trung và đòi hỏi kiến thức về vị trí của các máy chủ C&C, mà bản thân việc xác định được vị trí của một máy chủ C&C là một nhiệm vụ khó khăn. Hầu hết các máy chủ C&C được lưu trữ bởi các nhà cung cấp hosting mà họ tuyên bố không chịu trách nhiệm trước bất kỳ nội dung nào được lưu trữ trên máy chủ của họ. Điều này đòi hỏi sự can thiệp của pháp luật và các cơ quan quản lý.
41
CHƢƠNG 3: CÀI ĐẶT VÀ THỬ NGHIỆM SNORT IDS ĐỂ PHÁT HIỆN BOTNET
Như đã trình bày ở Chương 2, phát hiện Botnet có thể phân loại thành 3 nhóm chính là phát hiện bot, phát hiện máy chủ C&C và phát hiện botmaster. Đứng dưới góc độ là một nhà quản trị mạng, tôi quan tâm đến việc phát hiện các bot, để có thể giúp bảo vệ các hệ thống mạng của mình trước các đợt tấn công bởi Botnet đặc biệt là các cuộc tấn công DDoS. Trong chương này tôi sẽ cài đặt và thử nghiệm Snort IDS để giúp phát hiện các bot khi một Botnet tiến hành tấn công DDoS lên hệ thống mạng do tôi quản trị.