5.1.3. Kết quả phân tích luồng lưu lượng
Hình 5.8 Thơng tin của luồng lưu lượng được lưu trong Cache Flow
PC2> ping 192.168.100.2
84 bytes from 192.168.100.2 icmp_seq=1 ttl=63 time=22.559 ms 84 bytes from 192.168.100.2 icmp_seq=2 ttl=63 time=22.781 ms 84 bytes from 192.168.100.2 icmp_seq=3 ttl=63 time=17.085 ms 84 bytes from 192.168.100.2 icmp_seq=4 ttl=63 time=14.098 ms 84 bytes from 192.168.100.2 icmp_seq=5 ttl=63 time=21.068 ms
Router# sh ip cache flow
IP packet size distribution (5 total packets):
1-32 64 96 128 160 192 224 256 288 320 352 384 416 448 480 .000 .000 1.00 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 512 544 576 1024 1536 2048 2560 3072 3584 4096 4608
.000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 IP Flow Switching Cache, 278544 bytes
1 active, 4095 inactive, 1 added 12 ager polls, 0 flow alloc failures Active flows timeout in 30 minutes Inactive flows timeout in 15 seconds IP Sub Flow Cache, 25800 bytes
0 active, 1024 inactive, 0 added, 0 added to flow 0 alloc failures, 0 force free
1 chunk, 1 chunk added
last clearing of statistics never
Protocol Total Flows Packets Bytes Packets Active(Sec) Idle(Sec) -------- Flows /Sec /Flow /Pkt /Sec /Flow /Flow SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts Fa0/1 192.168.100.2 Fa1/0 192.168.101.2 01 0000 0800 5
Hình 5.9 Thơng tin của luồng đã bị xóa khỏi NetFlow Cache
Các thơng số trên Hình được liệt kệ ở Bảng 5.1
Bảng 5.1 Các trường giá trị NetFlow Trường giá trị Giải thích Trường giá trị Giải thích
bytes Số byte bộ nhớ được sử dụng bởi bộ đệm NetFlow.
active Số luồng đang hoạt động trong bộ đệm NetFlow tại thời điểm nhập lệnh này.
inactive Số lượng bộ đệm luồng được cấp phát trong bộ đệm NetFlow, nhưng hiện không được gán cho một luồng cụ thể tại thời điểm nhập lệnh này.
added Số luồng được tạo kể từ khi bắt đầu giai đoạn tóm tắt.
ager polls Số lần mã NetFlow nhìn vào bộ nhớ cache để khiến các mục nhập hết hạn (chỉ được Cisco sử dụng để chẩn đoán).
flow alloc failures Số lần mã NetFlow cố gắng phân bổ luồng nhưng không được. Router# sh ip cache flow
IP packet size distribution (5 total packets):
1-32 64 96 128 160 192 224 256 288 320 352 384 416 448 480 .000 .000 1.00 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 512 544 576 1024 1536 2048 2560 3072 3584 4096 4608
.000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 IP Flow Switching Cache, 278544 bytes
0 active, 4096 inactive, 1 added 21 ager polls, 0 flow alloc failures Active flows timeout in 30 minutes Inactive flows timeout in 15 seconds IP Sub Flow Cache, 25800 bytes
0 active, 1024 inactive, 0 added, 0 added to flow 0 alloc failures, 0 force free
1 chunk, 1 chunk added
last clearing of statistics never
Protocol Total Flows Packets Bytes Packets Active(Sec) Idle(Sec) -------- Flows /Sec /Flow /Pkt /Sec /Flow /Flow ICMP 1 0.0 5 84 0.0 5.0 15.1 Total: 1 0.0 5 84 0.0 5.0 15.1 SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts
exporting flows Địa chỉ IP và số cổng Giao thức dữ liệu người dùng (UDP) của máy trạm mà các luồng được xuất sang.
flows exported in udp datagrams
Tổng số luồng đã xuất và tổng số sơ đồ dữ liệu UDP được sử dụng để xuất luồng tới máy trạm.
failed Bộ định tuyến không thể xuất số luồng do giới hạn giao diện đầu ra.
last clearing of statistics
Đầu ra thời gian tiêu chuẩn (hh: mm: ss) kể từ khi lệnh EXEC đặc quyền của thống kê luồng ip rõ ràng được thực thi. Đầu ra thời gian này thay đổi thành giờ và ngày sau khi thời gian vượt quá 24 giờ.
Protocol Giao thức IP và số cổng đã biết.
Lưu ý: Chỉ một tập hợp con nhỏ của tất cả các giao thức được hiển thị.
Total Flows Số luồng trong bộ nhớ cache cho giao thức này kể từ lần cuối cùng thống kê được xóa.
Flows/Sec Số luồng trung bình cho giao thức này mỗi giây; bằng tổng các luồng chia cho số giây trong khoảng thời gian tóm tắt này. Packets/Flow Số gói trung bình cho các luồng cho giao thức này; bằng tổng
số gói cho giao thức này chia cho số luồng cho giao thức này trong khoảng thời gian tóm tắt này.
Bytes/Pkt Số byte trung bình cho các gói cho giao thức này; bằng tổng số byte cho giao thức này chia cho tổng số gói cho giao thức này trong khoảng thời gian tóm tắt này.
Packets/Sec Số gói trung bình cho giao thức này mỗi giây; bằng tổng số gói cho giao thức này chia cho tổng số giây cho khoảng thời gian tóm tắt này.
Active(Sec)/Flow Số giây từ gói đầu tiên đến gói cuối cùng của một luồng hết hạn chia cho tổng số luồng cho giao thức này trong khoảng thời gian tóm tắt này.
Idle(Sec)/Flow Số giây quan sát được từ gói cuối cùng trong mỗi luồng không hết hạn đối với giao thức này cho đến thời điểm mà lệnh show ip cache được nhập chia cho tổng số luồng cho giao thức trong khoảng thời gian tóm tắt này.
Các trường giá trị ở phần NetFlow Cache được thể hiện ở Bảng 5.2.
Bảng 5.2 Các trường giá trị ở phần NetFlow Cache Trường giá trị Giải thích Trường giá trị Giải thích
SrcIf Giao diện mà gói được nhận.
SrcIPaddress Địa chỉ IP của thiết bị đã truyền gói tin. DstIf Giao diện mà từ đó gói tin được truyền đi.
Lưu ý: Nếu dấu hoa thị (*) ngay sau trường DstIf, luồng đang được hiển thị là luồng đi ra.
DstIPaddress Địa chỉ IP của thiết bị đích.
Pr Số cổng đã biết của giao thức IP như được mô tả trong RFC 1340, được hiển thị ở định dạng thập lục phân.
SrcP Cổng của thiết bị gửi. DstP Cổng của thiết bị nhận.
Pkts Số lượng gói được chuyển qua luồng này.
Đối chiếu hình và bảng, ta có thể giải thích thơng tin ở Hình 5.8 như sau:
Có một luồng giao thức ICMP đi qua router, mang 5 gói tin, mỗi gói tin chứa 84 bytes, xuất phát từ địa chỉ 192.168.100.2:0000 qua giao diện Fast Ethernet 0/1 đến địa chỉ 192.168.101.2:0800 qua giao diện Fast Ethernet 1/0.
Hình 5.10 Gửi 5 gói tin qua giao thức TCP
Thông tin về luồng hiển thị ở Hình 5.11.
Qua thực nghiệm trên, chúng ta thấy được rằng các luồng được tạo thành bởi 5 yếu tố: • Địa chỉ IP nguồn • Cổng nguồn • Địa chỉ IP đích • Cổng đích • Giao thức
Như trong phần này, giữa các luồng p2p phân biệt nhau bằng cổng và giao thức qua đó việc giám sát lưu lượng sẽ dựa trên 5 giá trị này và thêm một số thông số khác để cảnh báo các cuộc tấn công mạng sẽ được đề cập ở thực nghiệm sau.
PC1> ping 192.168.101.2 -3
Connect 7@192.168.101.2 seq=1 ttl=63 time=30.211 ms SendData 7@192.168.101.2 seq=1 ttl=63 time=12.470 ms Close 7@192.168.101.2 seq=1 ttl=63 time=22.593 ms Connect 7@192.168.101.2 seq=2 ttl=63 time=23.244 ms SendData 7@192.168.101.2 seq=2 ttl=63 time=18.022 ms Close 7@192.168.101.2 seq=2 ttl=63 time=29.159 ms Connect 7@192.168.101.2 seq=3 ttl=63 time=20.319 ms SendData 7@192.168.101.2 seq=3 ttl=63 time=18.821 ms Close 7@192.168.101.2 seq=3 ttl=63 time=28.900 ms Connect 7@192.168.101.2 seq=4 ttl=63 time=21.315 ms SendData 7@192.168.101.2 seq=4 ttl=63 time=17.765 ms Close 7@192.168.101.2 seq=4 ttl=63 time=29.570 ms Connect 7@192.168.101.2 seq=5 ttl=63 time=14.525 ms SendData 7@192.168.101.2 seq=5 ttl=63 time=22.164 ms Close 7@192.168.101.2 seq=5 ttl=63 time=33.504 ms
Hình 5.11 Thơng tin NetFlow sau khi gửi 5 gói tin giao thức TCP
5.2. Phân tích luồng lưu lượng bằng NetFlow trong hệ thống an ninh mạng và giải pháp pháp
5.2.1. Tấn cơng từ chối dịch vụ (DoS) là gì?
Tấn công từ chối dịch vụ (DoS) là một kỹ thuật để làm quá tải máy hoặc mạng khiến nó khơng khả dụng. Những kẻ tấn công đạt được điều này bằng cách gửi nhiều lưu lượng truy cập hơn mức mà mục tiêu có thể xử lý, khiến nó bị lỗi - khiến nó khơng thể cung cấp dịch vụ cho người dùng bình thường. Ví dụ về các mục tiêu có thể bao gồm email, ngân hàng trực tuyến, trang web hoặc bất kỳ dịch vụ nào khác dựa trên mạng hoặc máy tính được nhắm mục tiêu.
Router# sh ip cache flow
IP packet size distribution (45 total packets):
1-32 64 96 128 160 192 224 256 288 320 352 384 416 448 480 .000 .444 .111 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 512 544 576 1024 1536 2048 2560 3072 3584 4096 4608
.000 .000 .000 .111 .333 .000 .000 .000 .000 .000 .000 IP Flow Switching Cache, 278544 bytes
0 active, 4096 inactive, 3 added 47 ager polls, 0 flow alloc failures Active flows timeout in 30 minutes Inactive flows timeout in 15 seconds IP Sub Flow Cache, 25800 bytes
0 active, 1024 inactive, 0 added, 0 added to flow 0 alloc failures, 0 force free
1 chunk, 1 chunk added
last clearing of statistics never
Protocol Total Flows Packets Bytes Packets Active(Sec) Idle(Sec) -------- Flows /Sec /Flow /Pkt /Sec /Flow /Flow TCP-Frag 1 0.0 15 1204 0.0 4.3 15.5 TCP-other 1 0.0 25 343 0.0 4.4 1.4 ICMP 1 0.0 5 84 0.0 5.0 15.1 Total: 3 0.0 15 601 0.0 4.6 10.7 SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts
Có nhiều kiểu tấn cơng DoS khác nhau như tấn công cạn kiệt tài nguyên và tấn công lũ lụt. Các cuộc tấn công cạn kiệt tài nguyên khiến cơ sở hạ tầng được nhắm mục tiêu sử dụng tất cả bộ nhớ hoặc tài nguyên lưu trữ có sẵn của nó, làm chậm hiệu suất của dịch vụ hoặc dừng nó hồn tồn. Các cuộc tấn cơng lũ lụt gửi một số lượng lớn các gói vượt quá dung lượng máy chủ.
Từ chối dịch vụ phân tán (DDoS) là một kiểu tấn cơng DoS trong đó lưu lượng được sử dụng để áp đảo mục tiêu đến từ nhiều nguồn phân tán. Phương pháp này có nghĩa là không thể dừng cuộc tấn công chỉ bằng cách chặn nguồn lưu lượng truy cập.
Botnet thường được sử dụng cho các cuộc tấn công DDoS.
5.2.1.1. Các loại tấn công DDoS
Smurf Attack: Tấn công smurf là một cuộc tấn cơng DDoS gửi các gói tin giả mạo IP nguồn của nạn nhân. Khi các thiết bị trên mạng cố gắng phản hồi, lượng lưu lượng truy cập sẽ làm chậm thiết bị được nhắm mục tiêu đến mức không thể sử dụng được.
Syn Flood: Tấn công lũ lụt SYN mở ra nhiều kết nối với máy chủ mục tiêu mục tiêu và sau đó khơng bao giờ đóng chúng. Kẻ tấn cơng, đóng vai trị là khách hàng, gửi một thông điệp SYN. Khi máy chủ phản hồi bằng SYN-ACK, máy khách tấn công sẽ không bao giờ gửi thông báo ACK. Bằng cách này, máy chủ buộc phải giữ cho nhiều kết nối mở, đánh thuế tài nguyên của nó cho đến khi nó bị lỗi.
Layer 7 DDoS Attack: Tấn công DDoS Lớp 7 (hoặc tấn công ứng dụng) nhằm vào một dịch vụ cụ thể thay vì tồn bộ mạng. Chúng ngày càng trở nên phổ biến hơn so với các cuộc tấn công mạng rộng rãi.
5.2.1.2. Bảo vệ chống lại các cuộc tấn công từ chối dịch vụ
Trong khi các cuộc tấn cơng DoS ít thách thức hơn để ngăn chặn hoặc ngăn chặn, các cuộc tấn cơng DDoS vẫn có thể là một mối đe dọa nghiêm trọng.
Ngăn chặn giả mạo: Kiểm tra xem lưu lượng truy cập có địa chỉ nguồn phù hợp với tập hợp địa chỉ cho trang gốc đã nêu của nó hay khơng và sử dụng bộ lọc để ngăn các kết nối khỏi giả mạo.
Giới hạn phát sóng: Thơng thường các cuộc tấn công sẽ gửi yêu cầu đến mọi thiết bị trên mạng, khuếch đại cuộc tấn cơng. Hạn chế hoặc tắt chuyển tiếp chương trình phát
sóng nếu có thể có thể làm gián đoạn các cuộc tấn cơng. Người dùng cũng có thể tắt các dịch vụ echo và chargen nếu có thể.
Hợp lý hóa phản ứng sự cố: Việc trau dồi phản ứng sự cố của chúng ta có thể giúp nhóm bảo mật của chúng ta phản ứng nhanh chóng khi phát hiện các cuộc tấn công DoS. Bảo vệ điểm cuối: Đảm bảo rằng tất cả các điểm cuối đều được vá để loại bỏ các lỗ hổng đã biết. Các điểm cuối có khả năng chạy tác nhân EDR nên được cài đặt chúng.
Vịng an tồn trong tường lửa: Đảm bảo tường lửa của chúng ta đang hạn chế lưu lượng truy cập vào và đi ra ngoài vòng bất cứ nơi nào có thể.
Giám sát mạng: Chúng ta càng biết nhiều về lưu lượng truy cập vào thông thường trơng như thế nào, chúng ta càng nhanh chóng phát hiện ra điểm bắt đầu của một cuộc tấn công DDoS. Khả năng hiển thị theo thời gian thực với tính năng phát hiện và phản hồi mạng (NDR) là một cách hiệu quả và đáng tin cậy để duy trì hồ sơ về mạng của chúng ta trông như thế nào (sử dụng máy học) để chúng ta có thể phát hiện ra các xung đột đáng ngờ ngay lập tức.
5.2.2. Mơ hình thực nghiệm
Hình 5.12 Mơ hình thực nghiệm phân tích luồng trong hệ thống an ninh mạng 5.2.3. Thơng tin cấu hình trên các thiết bị 5.2.3. Thơng tin cấu hình trên các thiết bị
Hình 5.13 Thơng tin định tuyến cho Cisco ASAv
Cấu hình NAT cho phép hệ thống có thể giao tiếp với nhau qua các vùng như:
• INSIDE ra OUTSIDE
• INSIDE ra DMZ
• DMZ ra OUTSIDE và ngược lại
Hình 5.14 Thơng tin cấu hình NAT cho Cisco ASAv
ciscoasa> enable
ciscoasa# configure terminal
ciscoasa(config)# interface GigabitEthernet0/0 ciscoasa(config-if)# nameif outside
ciscoasa(config-if)# security-level 0
ciscoasa(config-if)# ip address 192.168.80.10 255.255.255.0 ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# exit
ciscoasa(config)# interface GigabitEthernet0/1 ciscoasa(config-if)# nameif inside
ciscoasa(config-if)# security-level 100
ciscoasa(config-if)# ip address 192.168.100.10 255.255.255.0 ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# exit
ciscoasa(config)# interface GigabitEthernet0/2 ciscoasa(config-if)# nameif dmz
ciscoasa(config-if)# security-level 0
ciscoasa(config-if)# ip address 192.168.101.10 255.255.255.0 ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# exit
ciscoasa(config)# object network inside-subnet
ciscoasa(config-network-object)# subnet 192.168.100.0 255.255.255.0 ciscoasa(config-network-object)# nat (inside,outside) dynamic interface ciscoasa(config)# object network dmz-subnet
ciscoasa(config-network-object)# subnet 192.168.101.0 255.255.255.0 ciscoasa(config-network-object)# nat (dmz,outside) dynamic interface ciscoasa(config)# object network webserver-external-ip
ciscoasa(config-network-object)# host 192.168.80.120 ciscoasa(config)# object network webserver
ciscoasa(config-network-object)# host 192.168.101.2
ciscoasa(config-network-object)# nat (dmz,outside) static webserver-external-ip service tcp www www
Thơng tin cấu hình Netflow trên Firewall ASA:
Hình 5.15 Thơng tin cấu hình NetFlow cho Cisco ASAv
Thơng tin cấu hình SNMP gửi thông tin trạng thái thiết bị về Analyzer Server trên Firewall ASA:
Hình 5.16 Thơng tin cấu hình SNMP cho Cisco ASAv
Cấu hình ACL trên Firewall ASA chỉ cho các lưu lượng từ OUTSIDE đi vào DMZ qua giao thức TCP/HTTP:
Hình 5.17 Thơng tin cấu hình ACL cho Cisco ASAv
ciscoasa(config)# flow-export destination inside 192.168.100.2 9996 ciscoasa(config)# flow-export template timeout-rate 1
ciscoasa(config)# flow-export delay flow-create 15 ciscoasa(config)# logging flow-export-syslogs disable
ciscoasa(config)# access-list netflow-export extended permit ip any any ciscoasa(config)# class-map netflow-export-class
ciscoasa(config-cmap)# match access-list netflow-export ciscoasa(config-cmap)# policy-map global_policy
ciscoasa(config-pmap)# class netflow-export-class
ciscoasa(config-pmap-c)# flow-export event-type all destination 192.168.100.2 ciscoasa(config-pmap-c)# exit
ciscoasa(config)# snmp-server host inside 192.168.100.2 community ***** ciscoasa(config)# snmp-server enable traps ipsec start
ciscoasa(config)# snmp-server enable traps entity config-change ciscoasa(config)# snmp-server enable traps memory-threshold ciscoasa(config)# snmp-server enable traps interface-threshold
ciscoasa(config)# snmp-server enable traps remote-access session-threshold- exceeded
ciscoasa(config)# snmp-server enable traps connection-limit-reached ciscoasa(config)# snmp-server enable traps cpu threshold rising ciscoasa(config)# snmp-server enable traps ikev2 start
ciscoasa(config)# snmp-server enable traps nat packet-discard ciscoasa(config)# snmp-server enable traps config
ciscoasa(config)# access-list outside_acl extended permit tcp any object webserver eq www
Hình 5.18 Giao diện NetFlow Analyzer sau khi đã cấu hình
Hình 5.19 Giao diện Cisco ASDM của Firewall Cisco ASA 5.2.4. Tấn công, cảnh báo và ngăn chặn 5.2.4. Tấn công, cảnh báo và ngăn chặn
Tạo lưu lượng truy cập WEB-Server ảo bằng cách ping giao thức TCP qua cổng 80 với kích thước mỗi gói tin là 1500 bytes trên 1 giây.
Hình 5.20 Lưu lượng người dùng hiện tại
Tấn công WEB-Server cũng bằng cách tạo lưu lượng ảo như trên, nhưng ta tang8 kích thước gói tin lên 35000 bytes và giảm thời gian gửi gói tin xuống 0,5 giây.
Hình 5.22 Các Interface của Firewall ASA
Qua hình ta thấy có luồng lưu lượng đi vào Interface OUTSIDE và đi ra Interface DMZ, qua đó ta xác định được hướng của luồng tấn cơng, từ đó tìm giải pháp khắc phục.