3.3.1. Thu thập thơng tin mạng
OpenNMS có khả năng nhận biết các sự kiện, các biến cố trong mạng và cảnh báo ngay lập tức tới quản trị viên dựa và các SNMP Trap được nhận từ các thiết bị trong mạng.
- Cấu hình Discovery: để có thể qt ra tất cả các Node thuộc giải IP được cài đặt Trong Admin -> Config Discovery:
Hình 3.22: Cấu hình Discovery
Các thành phần để cấu hình gồm: - General setting:
Initial-sleep-time: Thời gian (tính bằng mili giây) để quá trình discovery sẽ bắt đầu sau khi khởi động xong OpenNMS, điều này đảm bảo OpenNMS đã khởi động xong hồn tồn.
Restart-sleep-time: Thời gian (tính bằng mili giây) quy định lần tiếp theo sẽ tiến hành thu thập lại tồn bộ các sự kiện. Mặc định nó sẽ tiến hành thu thập lại mọi thông tin sau 24 giờ kể từ lần thu thập thơng tin thành cơng trước đó.
Timeout: Khoảng thời gian (tính bằng mili giây) để tiến trình thu thập sự kiện chờ đợi response từ một thiết bị, nếu khơng có response OpenNMS sẽ cho đó là IP khơng tồn tại (kết hợp với tham số retries).
Retries: Số lần thăm dò đến một địa chỉ IP mà khơng có hồi đáp, sau số lần được cấu hình ở đây thì OpenNMS sẽ cho đó là một IP khơng tồn tại.
Thread: Số lượng tiến trình sử dụng cho discovery (mặc định sẽ là 1).
- Specifics: Chỉ ra địa chỉ IP của một interface nào đó để OpenNMS sẽ thăm dị địa chỉ đó.
- Include URLs: Chỉ ra một URL chứa nhiều địa chỉ IP, thay vì phải điền nhiều địa chỉ IP của một URL, bạn chỉ cần điền tên URL để OpenNMS thăm dò.
- Include Ranges: Chỉ ra một dải IP (gồm có địa chỉ bắt đầu và địa chỉ kết thúc) để OpenNMS thăm dị tất cả các thiết bị có địa chỉ IP thuộc dải IP này.
- Exclude Ranges: Chỉ ra một dải IP (gồm địa chỉ bắt đầu và địa chỉ kết thúc) mà OpenNMS sẽ bỏ qua dải IP này khi tiến hành thăm dị.
• Trong phần thực nghiệm này, chọn cấu hình Include Ranges và điền địa chỉ IP bắt đầu, IP kết thúc của dải mạng:
Hình 3.24: Cấu hình khám phá một dải địa chỉ mạng
Sau khi cấu hình xong, ấn Save and Restart Discovery để cập nhật các thay đổi.
Sau khi cấu hình xong sẽ có thơng báo và khi kiểm tra ta sẽ thấy các Nodelist có trong dải IP mạng:
Hình 3.25: Các node có trong dải mạng đã cấu hình
• Quản lý các sự kiện (event)
OpenNMS có thể thu thập, lắng nghe hơn 500 sự kiện và các biến cố xảy ra trên hệ thống mạng, phân loại chúng theo cấp độ và đưa ra thông tin cảnh báo chi tiết cho quản trị viên
Mỗi sự kiện đều có UEI (Univesal Event Indicator) là một chuỗi sử dụng để nhận diện event đó. Và người quản trị có thể cấu hình việc thiết lập các event nằm ở mức nào, thay đổi ghi chú của sự kiện cho phù hợp.
Vào Event để xem các sự kiện xảy ra trong hệ thống:
Hình 3.26: Các sự kiện trong hệ thống
3.3.2. Kết quả giám sát máy chủ dịch vụ Web trên máy chủ OpenNMS khi chưa thực hiện tấn công
- Ấn vào node Webserver sẽ thấy các dịch vụ hiện có trên máy Webserver:
Các gói tin HTTP có thời gian hồi đáp bình thường:
Hình 3.28: Báo cáo về thời gian hồi đáp HTTP của Web server
3.3.3. Thực hiện tấn công và kết quả giám sát máy chủ dịch vụ Web trên máy chủ OpenNMS sau khi bị tấn công.
3.3.3.1 Thực hiện tấn công DDos vào máy chủ dịch vụ Web
- Trên máy CentOS 7 thực hiện tấn công DDos bằng công cụ Hulk (được viết bằng Python):
- Sử dụng phần mềm Wireshark để quan sát q trình thử nghiệm tấn cơng sẽ thấy máy chủ Web server (địa chỉ IP: 192.168.2.10) liên tục nhận được rất nhiều các gói tin từ máy tấn cơng (địa chỉ IP: 192.168.2.99) trong một khoảng thời gian ngắn:
Hình 3.30: Dùng Wireshark quan sát q trình tấn cơng DDOS
- Sau khi bị tấn công đồ thị báo cáo thời gian hồi đáp của gói tin HTTP của máy chủ Webserver có sự thay đổi bất thường liên tục.
Hình 3.31: Báo cáo về thời gian hồi đáp HTTP của Web server khi bị tấn công
- Hulk thực hiện gửi liên tục các Requests đến máy chủ Web trong thời gian ngắn. Sau khi gửi 1829454 gói tin thì máy chủ Web đã bị ngưng hoạt động.
- Kiểm tra Node Webserver tại giao diện Home trên máy chủ OpenNMS thì có thơng báo các dịch vụ trên máy chủ Web đã bị ngừng hoạt động:
Hình 3.33: Các dịch vụ của máy chủ Web đã ngừng hoạt động
- Kiểm tra trong Events thì có thơng báo máy chủ đã bị ngưng hoạt động.
Hình 3.34: Sự kiện báo máy chủ Web ngưng hoạt động
- Đồ thị biểu thị báo cáo thời gian hồi đáp gói tin HTTP cũng đã bị ngắt khi theo dõi trên OpenNMS
Hình 3.35: Gói tin HTTP của máy chủ Web ngưng hồi đáp
- Sử dụng máy User để truy cập vào Webserver cũng khơng có kết nối đến máy chủ dịch vụ Web:
Hình 3.36: Khơng thể truy cập trang web sau khi Web server bị tấn công
3.4. Kết luận
Chương 3 của đồ án đã triển khai thực nghiệm được hệ thống giám sát mã nguồn mở OpenNMS. Cụ thể đã trình bày được những nội dung sau:
- Mơ hình triển khai hệ thống
- Các bước cài đặt triển khai máy chủ Web và máy chủ OpenNMS - Kết quả giám sát máy chủ Web khi chưa thực hiện tấn công