CHƯƠNG 2 PHÁT HIỆN VÀ PHÒNG CHỐNG TẤN CÔNG TCP SYNFLOOD
2.6. Đánh giá thực nghiệm
2.6.1. Xây dựng mơ hình và dữ liệu đánh giá thực nghiệm
Để đánh giá thực nghiệm, chúng tôi đã xây dựng một mạng botnet trên môi trưởng ảo trên 03 máy chủ vật lý có cấu hình cao. Hệ thống thực nghiệm có quy mơ bao gồm 13 Router Cisco và 45 máy tính Client, được cài đặt hệ điều hành WinXP và Centos. Các máy tính này được cho lây nhiễm mã độc và chịu sự điều khiển của một máy chủ C&C máy chủ để thực hiện tấn công TCP Syn Flood vào Web Server. Các Router được thiết lập trên môi trường ảo sử dụng phần mềm GNS3 [109] với dòng Router Cisco 7200, sử dụng IOS là c7200- adventerprisek9-mz.124-24.T.bin. Mơ hình thử nghiệm như hình dưới đây:
Router Core 1 ISP02 ISP01 ISP03 ISP04 Router Core 2 Router Core 3 Router Core 4 ISP01 ISP01 ISP01 ISP01 ISP01 ISP01 ISP01 ISP01 Core Internet Web Server C&C Server
Hình 2.15 Mơ hình hệ thống đánh giá thực nghiệm
Hình 2.17 Thành phần hệ thống thực nghiệm trên máy chủ vật lý 02
Hình 2.18 Thành phần hệ thống thực nghiệm trên máy chủ vật lý 03
Về cơ chế hoạt động của mạng botnet như sau: Các máy Client bị nhiễm mã độc sẽ định kỳ 03s, truy cập thông tin điều khiển từ C&C máy chủ thông qua giao thức http tại địa chỉ: http://lab.ais.gov.vn/ddos-control.txt. Cấu trúc của lệnh điều khiển như sau:
Dạng tấn công Địa chỉ tấn công Cổng dịch vụ Trạng thái điều khiển
synflood 103.192.237.100 80 Enable/disable
Với cấu trúc lệnh trên, Các máy Client sẽ thực hiện tấn công dạng TCP Syn Flood với địa chỉ IP nguồn giả mạo ngẫu nhiên và địa chỉ máy 103.192.237.100 với cổng dịch vụ là 80. Để có dữ liệu kiểm thử, chúng tôi thực hiện tấn công giả lập vào máy chủ trong khoảng thời gian 03 phút. Tại Web Server, chúng tơi thực hiện lấy mẫu các gói tin SYN gửi đến máy chủ sử dụng công cụ Tcpdump với câu lệnh: tcpdump -i ens32 tcp port 80 và "tcp[tcpflags] & (tcp-syn|tcp-ack)! = 0" -n -p và ip dst 103.192.237.100 -w synflood-attack.pcap.
Kết quả tại Web Server, chúng tơi thu được 145.377 gói tin Syn và được lưu trong tệp tin synflood-attack.pcap [112]. Để có cơ sở đánh giá thực nghiệm, các gói tin SYN được phân làm hai nhóm, nhóm các gói tin tấn cơng và nhóm các gói tin bình thường. Nhóm các gói tin bình thường là nhóm các gói tin có địa chỉ IP nguồn là các địa chỉ IP của các máy Client, nằm trong dải địa chỉ 103.192.237.0/24. Các gói tin này được sinh ra khi các máy Client truy cập trang Web trên Web Server. Nhóm các gói tin tấn cơng là các gói tin có địa chỉ IP khơng nằm trong dải địa chỉ ở trên và có giá trị ngẫu nhiên.
Đối với các gói tin thu được, chúng tôi sử dụng phần mềm Tshark (Câu lệnh: tshark -r synflood-attack.pcap -T fields -e frame.time -e ip.src -e ip.id > doanlab.txt) để lấy ra các trường thông tin thời gian đến của gói tin (timestamp), địa chỉ IP nguồn (Src IP), giá trị PID và được lưu trong tệp tin doanlab.txt.
Sau khi có được tệp tin doanlab.txt, mỡi địa chỉ IP nguồn sẽ được đánh dấu là bình thường (N) hay tấn công (A) để phục vụ đánh giá thực nghiệm. Trong tệp tin doanlab.txt có được 9.079 gói tin bình thường và 136.298 gói tin tấn cơng.