3. Cấu trúc luận văn
3.3.3. Mô phỏng, kết quả và nhận xét
Sử dụng công cụ Bonesi tiến hành mô phỏng một cuộc tấn công tràn ngập UDP (UDP flood) được thực hiện bởi Botnet đến máy chủ. Trên máy chủ có cài đặt Snort IDS. Snort sẽ tiến hành bắt tất cả các gói tin từ hệ thống, phân tích và so sánh với các tập luật đã cài đặt trước và đưa ra cảnh bảo.
Tiến hành tấn công: Thực hiện mô phỏng tấn công UDP flood được thực hiện bởi các Botnet (có địa chỉ IP khác nhau từ một tập 50 nghìn địa chỉ IP) kích thước payload của 1 gói tin là 32byte. Tốc độ gửi gói tin từ một bot là
53
không giới hạn (tùy thuộc vào phần cứng của hệ thống). Thời gian thực hiện là 30 giây. Tổng số gói tin gửi đến máy chủ xấp xỉ 1.621160 gói tin. Quá trình thực hiện được trình bày như hình dưới đây:
54
Hình 11: Các gói tin tấn công được gửi đến máy chủ
Sử dụng công cụ Wireshark, tôi tiến hành bắt tất cả các gói tin trong quá trình tấn công để tiến hành phân tích, rút ra các đặc trưng để xây dựng các luật giúp phát hiện các cuộc tấn công này.
55
Hình 12: Các gói tin tấn công được ghi lại bởi phần mềm Wireshark
Phát hiện tấn công bởi Snort: Snort dễ dàng phát hiện được các gói tin được gửi đi thông qua công cụ Bonesi là gói tin tấn công UDP floot bởi các luật đã được xác định từ trước và xuất ra cảnh báo theo thời gian thực như hình dưới đây. Tổng cộng Snort phát hiện được 1.621.160 gói tin nghi ngờ là gửi từ các bot để tấn công hệ thống và đưa ra cảnh báo và log lại các gói tin này (Hình 13). Tỷ lệ phát hiện đạt 100%.
56
Hình 13: Snort đưa ra cảnh báo khi phát hiện gói tin tấn công UDP flood
Nhận xét: Dễ dàng nhận thấy, với những dạng tấn công đã biết và đã xây dựng được các luật để nhận biết được dạng tấn công này thì Snort hoạt động rất hiệu quả trong việc phát hiện tấn công khi hệ thống bị tấn công bởi các dạng tấn công này và cho tỷ lệ cảnh báo đạt 100%. Vì cuộc tấn công này được thực hiện bởi một Botnet, ta có thể thấy các gói tin UDP được gửi từ một loạt các máy tính với địa chỉ IP khác nhau với một cường độ cao. Việc xác định được các gói tin này là tấn công đồng thời giúp ta xác định được địa chỉ IP của các gói tin. Các thông tin này sẽ được ghi lại và phân tích. Dựa vào các thông tin này sẽ giúp xác định các máy tính mang địa chỉ IP như vậy có khả năng cao là một bot và đang gửi các truy vấn không hợp lệ đến hệ thống nhằm đánh sập hệ thống. Nhà quản
57
trị có thể chặn tất cả các gói tin từ các địa chỉ đó bằng cách đưa các địa chỉ IP đó vào một danh sách đen (blacklist) và sẽ giúp đảm bảo hoạt động của hệ thống mạng không bị gián đoạn.
Tuy nhiên ta cũng thể dễ dàng nhận ra được điểm yếu của Snort là đối với các dạng tấn công mới hoặc các dạng tấn công đã được tùy biến thì với tập luật hiện có, Snort không thể phát hiện được những dạng tấn công này nên không thể xác định được các truy cập đến hệ thống là từ một người dùng hợp lệ hay từ một bot trong mạng Botnet. Vì vậy việc cập nhật tập luật thưởng xuyên cho Snort là vô cùng cần thiết và cần phải kết hợp các phương pháp phát hiện xâm nhập khác như phát hiện bất thường để phát hiện được các bot. Từ đó có thể đưa ra được các biện pháp ngăn chặn và phòng thủ hợp lý cho hệ thống.
58
KẾT LUẬN
Cùng với sự phát triển mạnh mẽ của Internet thì những mối đe dọa cũng xuất hiện ngày càng nhiều, nổi bật là mối đe dọa về Botnet. Các mạng Botnet được sinh ra một cách bí mật và tiềm ẩn trong đó những nguy cơ lớn đối với an ninh mạng. Trong những năm gần đây, hiểm họa Botnet ngày càng trở nên nguy hiểm hơn với rất nhiều các công cụ và hình thức tấn công mới. Trước những nguy cơ và thách thức như vậy thì việc nghiên cứu về các phương pháp phát hiện và xử lý Botnet là cần thiết và cấp bách hơn bao giờ hết. Trong luận văn này, tôi đã đi sâu và nghiên cứu về các phương pháp phát hiện và ngăn chặn Botnet và đã đạt được một số kết quả nhất định như sau.
Những kết quả đạt đƣợc:
– Giới thiệu tổng quan về Botnet và mô tả cụ thể được các đặc trưng của để
từ đó ta có thể hiểu rõ được cơ chế và các hành vi của Botnet.
– Nghiên cứu các phương pháp phát hiện Botnet một cách tổng quan thông qua cách phân loại các phương pháp phát hiện thành 3 nhóm chính dựa trên thành phần của botnet để phát hiện. Đó là phát hiện bot, phát hiện máy chủ C&C, phát hiện botmaster.
– Từ cái nhìn tổng quan về các phương pháp phát hiện Botnet tôi đi sâu vào nghiên cứu phương pháp phát hiện bot bằng cách xây dựng một tập luật cho Snort-IDS để có thế phát hiện được Bonet một cách nhanh chóng và hiệu quả. Sau đo tôi tiến hành thử nghiệm và đánh giá trên một tập dữ liệu mẫu và phần mềm mô phỏng tấn công và kết quả thu được bước đầu đã có khả quan.
– Cuối cùng tôi trình bày một số cơ chế và kiến nghị để phòng vệ chống lại Botnet.
59
Hạn chế:
Tuy nhiên, Botnet là một lĩnh vực khá rộng và khó, phát triển liên tục. Do hạn chế về mặt thời gian và kiến thức nên luận văn vẫn còn tồn tại những hạn chế sau:
– Việc sử dụng Snort-IDS mới chỉ giúp phát hiện được các dạng Botnet đã biết. Còn những dạng bot mới thì hệ thống này chưa thể phát hiện được.
– Việc đánh giá và thử nghiệm chỉ được tiến hành trên tập dữ liệu mẫu và phần mềm mô phỏng tấn công mà chưa đánh giá trong điều kiện thực tế.
– Còn rất nhiều kỹ thuật phát hiện Botnet khác cần được nghiên cứu sâu và chi tiết hơn nữa.
Hƣớng phát triển:
Trong tương lai, tôi sẽ tiếp tục tiến hành nghiên cứu thêm các phương pháp phát hiện Botnet khác. Tiến hành thử nghiệm và nghiên cứu xây dựng một module phát hiện Botnet dựa trên các dấu hiệu bất thường và tích hợp vào Snort-IDS để có thể phát hiện được các dạng Botnet mới.
60
TÀI LIỆU THAM KHẢO
1. Alan Shaikh, “Botnet Analysis and Detection System”, International Journal of Network Security, November 2010.
2. Riccardo Bortolameotti, “C&C Botnet Detection over SSL”, University of Twente - EIT ICT Labs masterschool, 2013.
3. Youksamay Chanthakoummane, Saiyan Saiyod, Nunnapus Benjamas, and Nattawat Khamphakdee, “Evaluation Snort-IDS Rules for Botnets Detection”, National Conference on Information Technology: NCIT, 2014.
4. François Bégin, “BYOB: Build Your Own Botnet”, SANS Institute InfoSec Reading Room, 27th July 2011.
5. Sheharbano Khattak, Naurin Rasheed Ramay, Kamran Riaz Khan, Affan A. Syed, and Syed Ali Khayam, “A Taxonomy of Botnet Behavior, Detection and Defense”, IEEE Communications Surveys & Tutorials, 02 October 2013.
6. Saiyan Saiyod, Youksamay Chanthakoummane, Nunnapus Benjamas, Nattawat Khamphakdee and Jirayus Chaichawananit, “Improving Intrusion Detection on Snort Rules for Botnet Detection”, Convergence Security, Vol. 1, 19–40., 29 May 2016
7.http://antoanthongtin.vn/Detail.aspx?CatID=762c71a3-7540-4718-964e-b2bced 858291&NewsID=15cc1dd2-6874-4aeb-a5f5-00d13e7a8e75, 10-21-2016
8. http://mcfp.weebly.com/, 10-21-2016
9. Saiyan Saiyod, Youksamay Chanthakoummane Nunnapus Benjamas, Nattawat Khamphakdee and Jirayus Chaichawananit1,” Improving Intrusion Detection on Snort Rules for Botnet Detection”, Publication 29 May 2016