Hình 4.8 Module phát hiện và ngăn chặn tấn công Dos
- Module này với nhiệm vụ chính là phát hiện được các ip có dấu hiệu tấn công Dos. - Dựa vào thuật toán Cusum sẽ tiến hành phân tích thời gian gói tin gửi yêu cầu và trả lời lại server. Nếu gửi yêu cầu nhưng sau khi vượt quá ngưỡng thời gian cho phép mà vẫn không tiến hành trả lời lại server thì sẽ tiến hành block ip.
- Sau khi block ip tấn công, sẽ ghi nhận vào log hệ thống và ngăn chặn ip tấn công đó vào lần kế tiếp.
4.3 Thực nghiệm và đánh giá hệ thống mạng 4.3.1 Cài đặt 4.3.1 Cài đặt
o Server
- Hệ điều hành Windows Server 2003 ( hoặc thấp hơn ) - Cơ sở dữ liệu lưu trên một file text riêng.
- Chương trình cài đặt và cơ sở dữ liệu thực nghiệm có trong bộ cài đặt kèm theo.
- Giao diện và chi tiết sử dụng sẽ được trình bày trong 4.3.2 o Client
- Được thực hiện qua bất kỳ máy tính nào có nối mạng và được cài đặt trình duyệt web ( Internet Explorer, Opera, FireFox,… )
4.3.2 Giao diện và chi tiết sử dụng a. Khởi động ứng dụng a. Khởi động ứng dụng
Sau khi tiến hành cài đặt vào máy chủ ta tiến hành khởi động ứng dụng lên bằng cách click chuột vô ứng dụng.
Hình 4. 9 Giao diện chương trình. b. Cách sử dụng chức năng phát hiện Sql Injection
Hình 4.10 Mở bộ lọc từ khóa của firewall
- Tại tab Phát hiện Sql Injection nhấn nút khởi động để mở chức năng phát hiện. - Nhấn nút Kết thúc để tắt chức năng phát hiện.
- Khi phía client bắt đầu tấn công vào web server để kiểm tra có bị lỗi sql injection hay không, người tấn công sẽ dùng các từ khóa sql như: or, having, select …
- Các từ khóa đó sẽ được chứa trong các packet, firewall bắt được gói tin đó sẽ đọc nội dung bên trong packet này. Nội dung sẽ được so sánh với tập luật SQLDATA.text và sẽ có hướng xử lý phù hợp.
Hình 4.12 Phía client tiến hành tấn công kiểm tra lỗi Sql Injection
Hình 4.14 Màn hình phía server khi phát hiện có tấn công Sql injection.