Giới thiệu mô hình:

Một phần của tài liệu tìm hiểu tấn công ddos và cách phòng chống (Trang 59)

Malicious TCP

3.1. Giới thiệu mô hình:

Hệ thống giả lập sẽ mô phỏng mạng nội bộ bên trong bao gồm 3 máy: 1 máy cài hệ thống phát hiện và ngăn ngừa xâm nhập sử dụng công cụ là phần mềm

snort , 1 máy dùng để quản lý hệ thống snort, 1 máy dùng để mô phỏng tấn công, dưới đây là mô hình giả lập:

Hình 3.1. Mô hình triển khai demo

Mô hình gồm:

• Hệ điều hành:

o Server snort: CentOS release 5.5 ( Final)

o Attacker: Win 7

o Manage snort: Win XP Professional

• Các gói phần mềm hỗ trợ: o MySQL o Libdnet-1.12 o Libpcap-1.2.1 o Base-1.4.4 o Snort-2.8.6.1 o Adodb480 o Daq-0.3 o Snortrules-snapshot-2.8 3.1.1.Các bước thực hiện

3.1.1.1. Cài các gói phụ thuộc

Lần lượt cài các gói phụ thuộc dùng lệnh yum install package để cài đặt, trong đó package là tên các gói lần lượt dưới đây:

• mysql

• mysql-bench

• mysql-devel • yum-utils • php-mysql • php-gd • gcc • pcre-devel • mod_ssl • glib2-devel • distcache-devel • php • php-pear • iptables • iptables-devel

- Biên dịch các gói từ nguồn

Một số gói cần thiết cho snort phải biên dịch từ nguồn như: libpcap, libdnet, libnet, daq.

• Cài libpcap-1.2.1: o Tải libpcap về:

# wgethttp://www.tcpdump.org/release/libpcap-1.2.1.tar.gz o Biên dịch gói libpcap:

# tar -zxvf libpcap-1.2.1.tar.gz ( giải nén libpcap)

# cd libpcap-1.2.1 ( di chuyển tới thư mục libpcap-1.2.1)

# ./configure && make && make install ( kiểm tra cấu hình và biên dịch, dấu && có nghĩa là nếu câu lệnh trước thành công thì câu lệnh sau mới được thực hiện)

• Cài libnet-1.0.2a o Tải libnet-1.0.2a về:

o Biên dịch gói libnet:

# tar -zxvf libnet-1.0.2a.tar.gz # cd Libnet-1.0.2a

# ./configure && make && make install

• Cài libdnet-1.12 o Tải libdnet-1.12 về:

# wgethttp://libdnet.googlecode.com/files/libdnet-1.12.tgz o Biên dịch gói libdnet:

# tar -zxvf libdnet-1.12.tgz # cd libdnet-1.12

# ./configure && make && make install

• Cài daq

o Tải daq-0.3 về:

# wgethttp://www.procyonlabs.com/mirrors/snort/daq-0.3.tar.gz o Biên dịch gói daq:

# tar -zxvf daq-0.3.tar.gz # cd daq-0.3

# ./configure && make && make install - Cài đặt Snort

• Giải nén Snort:

# tar -zxvf snort-2.8.6.1.tar.gz

• Lần lượt thực hiện cài đặt Snort.

Hình 3.2. Kiểm tra môi trường cài đặt Snort # make

Hình 3.3. Biên dịch Snort

Hình 3.4. Đưa cấu hình Snort vào các thư mục cần thiết cấu hình Snort

• Tạo các thư mục hoạt động cho Snort # mkdir /etc/snort # mkdir /etc/snort/rules # mkdir /var/log/snort • Chép các file cấu hình # cd etc/ # cp * /etc/snort

• Tạo nhóm và người dùng cho Snort # groupadd snort

# useradd -g snort snort -s /sbin/nologin

Đặt quyền sở hữu và cho phép Snort ghi log vào thư mục chứa log # chown snort:snort /var/log/snort/

• Vào etc/snort và copy 2 file classification.config và reference.config vào /etc/snort/rules.

- Cài đặt tập luật cho Snort

# wgethttp://205.196.121.62/y39ohh3t1f6g/ogxnjygyyzz/snortrules- snapshot-2.8.tar.gz

• Giải nén tập luật

# tar -zxvf snortrules-snapshot-2.8.tar.gz # cd rules

# cp * /etc/snort/rules (copy tập luật vào thư mục rules )

Cấu hình file snort.conf

File cấu hình nằm ở : /etc/snort/snort.conf

Sửa dòng var RULE_PATH /etc/snort/drop-rules Thành var RULE_PATH /etc/snort/rules

Dưới dòng ### Logging alerts of outbound attacks thêm:

Output database: Alert, mysql, user=snort password=123456dbname=snort host=localhost

Sau đó lưu file snort.conf lại.

Tạo cơ sở dữ liệu snortvới mysql

# service mysqld start ( khởi động dịch vụ mysqld)

# mysqladmin -u root password 123456 (đặt password cho root là 123456 trong MySQL)

# mysql -p

Tạo password cho tài khoản snort: mysql> use mysql;

mysql> CREATE USER ‘snort’@’localhost’ IDENTIFIED BY ‘123456’; Tạo cơ sở dữ liệu cho Snort:

mysql> create database snort;

mysql> GRANT CREATE, INSERT, SELECT, DELETE, UPDATE ON snort.* to snort@localhost;

Tạo các table từ /snort/snort-2.8.6.1/schemas/create_mysql cho database của snort:

# mysql -u root -p < /root/snort-2.8.6.1/schemas/create_mysql snort # mysql –p

mysql> show databases; mysql> use snort;

mysql> show tables; Quan sát các table:

Hình 3.5. Bảng Tables trong mysql Cài đặt Base và Adodb

• Cài gói pear cho PHP: # cd root/snort-2.8.6.1

# pear instal Image_Graph-alpha Image_Canvas-alpha Image_Color Numbers_Roman;

Tải ADODB: # wgethttp://pkgs.fedoraproject.org/repo/pkgs/php- adodb/adodb480.tgz/942164adfc953173205231b9522304e0/adodb480.tgz # cp adodb480.tgz /var/www/html/ # cd /var/www/html/ # tar -zxvf adodb480.tgz • Cài BASE Tải BASE: # wgethttp://sourceforge.net/projects/secureideas/files/BASE/base- 1.4.4/base-1.4.4.tar.gz/download # cp /root/base-1.4.4.tar.gz /var/www/html # tar -zxvf base-1.4.4.tar.gz # mv base-1.4.4/ base/ # cd base # cp base_conf.php.dist base_conf.php

• Cấu hình file base_conf.php: # vi base_conf.php Sửa dòng 57 thành: $BASE_urlpath=’/base’; $Dblib_path=’/var/www/html/adodb’; $alert_dbname=’snort’; $alert_password=’123456’; $archive_exists=1; $archive_dbname=’snort’; $archive_user=’snort’; $archive_password=’123456’; $external_whois_link=’index.php’;

$external_all_link=’index.php’; Lưu file lại

• Cài đặt web base Bật web browser Vào 192.168.1.10/base

Click vào Setup Page  Create Base AG Vào 192.168.1.10/base/base_main.php

a. triển khai trong mạng lan:

Mô hình bài toán:

Thử nghiệm:

Hacker sử dụng phần mềm tấn công từ chối dịch vụ (Dos HTTP) máy chủ web với port 80.

Hình 3.7: Tool tấn công DDoS

•Vào giao diện Base sau khi bị DDoS

Một phần của tài liệu tìm hiểu tấn công ddos và cách phòng chống (Trang 59)

Tải bản đầy đủ (DOCX)

(77 trang)
w