Hình 4. 5 Chức năng phát hiện tấn công sql injection. - Chức năng chặn bắt các gói tin khi đi qua firewall.
- Dưa vào bộ lọc được định nghĩa sẵn cho phép nhận diện được các gói tin có chứa các dấu hiệu tấn công.
- Với mỗi gói tin bắt được thì tùy theo bộ lọc mà firewall sẽ có cách hành xử tương ứng. Cho phép được đi qua hay bị loại bỏ, sau khi loại bỏ gói tin sẽ tiến hành ghi nhận lại cuộc tấn công đó và sẽ thông báo cho người quản trị biết.
4.2.2.2 Module 2 : phát hiện và ngăn chặn tấn công Dos
a. Sơ đồ xử lý tấn công Dos
Hình 4.6 Sơ đồ xử lý tấn công Dos
Client Http Filter Firewall Server
Yêu cầu
Kiểm tra thấy có dấu hiệu tấn công Dos Khóa Ip
Yêu cầu
Cho phép đi qua Kiểm tra không có dấu hiệu tấn công Dos
Trả lời Trả lời
Packet Filter Dos Filter function xử lý Khóa IP, ngắt kết nối Có dấu hiệu tấn công DOs
Không có dấu hiệu tấn công DOs
Server
Sơ đồ hoạt động theo các bước sau :
o Bước 1: Client gửi yêu cầu đến server.
o Bước 2: Gói tin sẽ được xử lý bởi bộ lọc gói tin của firewall. Có 2 trường hợp sẽ xảy ra
Trường hợp 1 : khi phát hiện Ip có dấu hiệu tấn công Dos, firewall sẽ tiến hành khóa Ip đó lại không cho tiếp tục request tới server. Trường hợp 2 : Nếu Ip không có những dấu hiệu tấn công Dos,
firewall sẽ cho phép gói tin đi qua. Chức năng filter ip có dấu hiệu tấn công Dos
Chặn IP: Với kỹ thuật phát hiện tấn công này, một bảng băm sẽ được sử dụng để ghi lại các địa chỉ IP xuất hiện giữa hai khoảng thời gian. Trong bảng băm nay sẽ gồm 2 trường: IP address và timestamp. So sánh các trường này với các trường trong IAD để có thể tính toán có bao nhiêu địa chỉ IP mới đã xuất hiện trong các khe thời gian. Phân tích các địa chỉ IP mới này cho biết khi nào cuộc tấn công Dos xảy ra.
Hình 4.7 Sơ đồ xử lý gói tin có dấu hiệu tấn công Dos