Kịch bản 1: Tấn công máy chủ web khi không có IPS và không cài CFS
Hình 3.2: Tài nguyên của máy chủ web khi chưa bị tấn công ở kịch bản 1
Thông tin tài nguyên của máy chủ khi chưa bị tấn công : Có 221 tiến trình, Load average: 0.05, CPU gần như không phải hoạt động
Sử dụng công cụ Jmeter để đo thời gian đáp ứng của máy chủ
Hình 3.3: Thời gian đáp ứng trung bình của máy chủ web khi chưa bị tấn công ở kịch bản 1
Thực hiện tấn công máy chủ web, sau 1 phút tấn công thì người dùng không thể truy cập vào trang demo DDoS, hiện tại đã có 469 tiến trình, load average (tải trung bình): 97.43, CPU: 90.6%.
Hình 3.4: Tài nguyên của máy chủ web khi bị tấn công ở kịch bản 1
Sử dụng công cụ Jmeter để đo thời gian đáp ứng trung bình của máy chủ, ta được:
Hình 3.5: Thời gian đáp ứng trung bình của máy chủ web khi bị tấn công ở kịch bản 1
Thời gian đáp ứng trung bình của máy chủ trong khi bị tấn công DDoS là 8248ms.
Kịch bản 2: Tấn công máy chủ web khi có IPS, có sử dụng CSF.
Cấu hình IPS như trên, thêm rule nhận dạng tấn công DDoS bằng DoSHTTP vào file /etc/snort/rules/local.rules như sau:
drop tcp any any -> any 80 (sid:5;msg:"Detect DoS_HTTP";content:"|57 69 6e 39 38 3b 20 55|";)
Cấu hình trên Iptable như sau: iptables -N udp-flood
iptables -A OUTPUT -p udp -j udp-flood
iptables -A udp-flood -p udp -m limit --limit 50/s -j RETURN iptables -A udp-flood -j DROP
Cấu hình CSF (trong file /etc/csf/csf.conf) như sau SYNFLOOD = "1"
SYNFLOOD_RATE = "30/s" SYNFLOOD_BURST = "40" CONNLIMIT = "80;20" PORTFLOOD = "80;tcp;20;5"
Sau 15 phút tấn công, tài nguyên của máy chủ web như sau: có 220 tiến trình, load average (tải trung bình):0.02, CPU gần như không tải.
Hình 3.6: Tài nguyên của máy chủ web và log của Snort sau 15 phút bị tấn công ở kịch bản 2
Log của Snort ghi nhận đã chặn được các gói tin DDoS vào máy chủ web.
Hình 3.7 Thời gian đáp ứng trung bình của máy chủ web khi bị tấn công ở kịch bản 2