Tạo ra các nguồn lưu lượng cho các thiết bị tham gia vào mạng bằng cách thiết lập các profile cho mỗi node mạng, tạo ra các lưu lượng cơ bản hoặc tấn theo kịch bản đưa ra. Sau đây là mô tả tóm tắt quá trình tạo các Profile sẽ được sử dụng trong các kịch bản ở phần sau:
- Tạo Profile Echo Client để gửi thông điệp đến Server và nhận lại thông điệp này từ Server.
Hình 4.8: Tạo Profile Echo Client
- Tạo Profile Echo Server để nhận thông điệp từ Client và gửi trả lại thông điệp đó cho Client.
Hình 4.9: Tạo Profile Echo Server
- Tạo Profile TCP Client để gửi một gói tin TCP với các cờ SYN và ACK được bật (trạng thái này thường do các TCP client đặt).
Hình 4.10: Tạo Profile TCP Client
- Tạo Profile TCP Server để gửi lại một tin báo nhận sau khi đã gửi cho TCP ở xa một tin báo nhận kết nối (thường do TCP server đặt).
Hình 4.11: Tạo Profile TCP Server
- Tạo Profile UDP Client Application để gửi các gói tin phân phối Gauss. Các thông số Mu và Sigma có thể được cấu hình. Có thể chọn thông số Mu khác nhau cho các số ngẫu nhiên đầu tiên. Mỗi gói tin được gửi đến một máy chủ ngẫu nhiên.
Hình 4.12: Tạo Profile UDP Client Application
- Tạo Profile UDP Server Application để sử dụng cho các UDP Client Application.
- Tạo Profile WebServer_Normal để sử dụng các dịch vụ ứng dụng của Web Server đây là luồng dữ liệu web bình thường giữa client và server.
Hình 4.14: Tạo Profile WebServer_normal
- Tạo Profile Web Client normal để sử dụng các dịch vụ ứng dụng của Web Client trong trạng thái bình thường (Client Normal) mà không phải trong trạng thái Spam Attacker hoặc XML Bomb Attacker hoặc Payload Attacker.
Hình 4.15: Tạo lƣu lƣợng truy cập Web bình thƣờng
- Tạo Profile Attack_DDoS để cấu hình cho ứng dụng tấn công DDoS. Đây là luồng dữ liệu DDoS gửi từ client đến tấn côngWebServer.
+ DDoS vào Server IP có địa chỉ 10.1.0.20, Port nguồn1337 của server, Port đích là 80, Packet Size của cuộc tấn công DDoS là 1400
- Tạo Profile Security_DDoS để ngăn chặn tấn công DDoS bằng cách xử lý các gói tin đi vào, đi ra và các gói tin bên trong mạng qua cổng 23.
Hình 4.17: Tạo Profile Security_DDoS 4.6. Xây dựng một số kịch bản tấn công
Kịch bản 1: Kiểm tra hệ thống mạng hiện tại ở trạng thái đang hoạt động bình thường.
- Bước 1: Chạy chương trình mô phỏng với hệ thống mạng đã xây dựng. - Bước 2: Quan sát kết quả, phân tích kết quả.
- Bước 3: Dựa vào kết quả vẽ biểu đồ. - Bước 4: Đánh giá kết quả.
Kịch bản 2: Tấn công DDoS vào WebServer trong mạng hệ thống mạng. - Bước 1: Tấn công DDoS vào WebServer.
- Bước 2: Quan sát kết quả, phân tích gói tin, lưu lượng giữa các thiết bị. - Bước 3: Dựa vào kết quả vẽ biểu đồ.
- Bước 4: Đánh giá kết quả.
Kịch bản 3: Sử dụng Firewall để bảo vệ hệ thống, ngăn chặn và cô lập nguồn tấn công. Kiểm tra mức độ bảo mật của hệ thống khi thực hiện các biện pháp ngăn chặn tấn công.
- Bước 1: Tấn công DDoS vào WebServer.
- Bước 3: Dựa vào kết quả vẽ biểu đồ. - Bước 4: Đánh giá kết quả.
4.7. Các kết quả mô phỏng
- Kết quả chạy chương trình thành công.
Hình 4.18: Kết quả chạy chƣơng trình thành công.
Hình 4.19: Quá trình chạy kết thúc.
- Kết quả kịch bản 1: Khi chƣa có tấn công
Hình 4.20: Lƣu lƣợng giữa Firewall và WebServer.
+ Trục tung (Amount): Là mức độ lưu lượng đo được trong quá trình mô phỏng (số gói tin phát đi).
+ Trục hoành (Tick): Là đại lượng thể hiện thời gian một mô phỏng được thực hiện trong NeSSi2 (tính theo giây).
+ Packets Sent: Số lượng các gói tin được truyền qua một liên kết. + IPv4 packets sent: Các gói tin IPv4 đã được gửi đi.
+ HTTP packets sent: Số lượng gói tin của ứng dụng Web Service đã được phát đi.
- Nhận xét kết quả biểu đồ hình 4.20:
+ Tổng số gói tin đã gửi: Packets sent ≈ 13000; IPv4 packets sent ≈ 8000; HTTP packets sent = 500.
+ Khi chưa có tấn công, lưu lượng Web ở mức tương đối thấp (số HTTP packets). Số gói tin khác (IPv4) phục vụ cho các trao đổi thông tin điều khiển khác ở mức trung bình. Đường đậm phía trên là tổng số gói tin đã gửi đi.
- Kết quả kịch bản 2: Thực hiện tấn công DDoS.
Hình 4.21: Quá trình gửi các gói tin tấn công từ client đến WebServer.
- Nhận xét kết quả biểu đồ hình 4.22:
+ Tổng số gói tin đã gửi: Packets Sent ≈ 32000;IPv4 packets sent ≈ 18000; HTTP packets sent = 32000.
+ Khi có tấn công từ Client vào WebSerrver, lưu lượng Web tăng vọt lên tổng số 32000 gói tin (số HTTP packets). Số gói tin khác (IPv4) phục vụ cho các trao đổi thông tin điều khiển khác vẫn ở mức trung bình. Đường đậm phía trên là tổng số gói tin đã gửi đi.
- Kết quả kịch bản 3: Sử dụng Firewall chặn nguồn tấn công.
Hình 4.23: Lƣu lƣợng giữa Firewall và Webserver sau khi sử dụng Firewall.
- Nhận xét kết quả biểu đồ hình 4.23:
+ Tổng số gói tin đã gửi: Packets Sent = 16000;IPv4 packets sent ≈ 19000; HTTP packets sent = 500.
+ Khi có tấn công từ Client vào WebSerrver và sử dụng tường lửa để chặn nguồn tấn công vào WebServer, lưu lượng tấn công vào Web đã giảm đáng kể (số HTTP packets chỉ còn 500 gói tin). Số gói tin khác (IPv4) tăng do tường lửa kiểm tra và lọc các IP tấn công để chặn. Đường biểu thị Packet Sent là tổng số gói tin đã gửi đi.
4.8. Phân tích, đánh giá
Khi Firewall chƣa đƣợc kích hoạt:
So sánh kết quả hình 4.20 và hình 4.22 cho thấy, cùng một khoảng thời gian như nhau, cùng cấu trúc liên kết và số lượng thiết bị mạng như nhau, nhưng lưu lượng của máy trạm và máy chủ WebServer ở kịch bản 2 tăng đột biến so với kịch bản 1. Ví dụ HTTP packets sent tới WebServer ở kịch bản 1 là 500, kịch bản 2 là 32000. Ngoài ra các lưu lượng khác (IPv4 Packets sent, Packets sent) cũng tăng. Điều đó chứng tỏ môi trường mạng trong kịch bản 2 đã bị tấn công.
Khi Firewall đƣợc kích hoạt:
So sánh Hình 4.20, 4.22 và hình 4.23: lưu lượng ứng dụng web (HTTP packets sent) trên kết nối tới WebServer trong kịch bản 3 bị triệt tiêu (trở về trạng thái khi chưa bị tấn công). Chứng tỏ lưu lượng DDoS WebServer từ các máy tấn công đã được Firewall ngăn chặn thành công.
Kết luận: kết quả mô phỏng trên đây đã thể hiện rõ sự khác biệt về tình trạng mạng khi ở trạng thái bình thường và khi bị tấn công, vai trò ngăn chặn tấn công của Firewall. Tuy nhiên do những hạn chế của phần mềm mô phỏng, kết quả mô phỏng mới chỉ miêu tả ở giới hạn một số thông số của mạng như một số ít giao thức, số lượng gói tin, lưu lượng mà chưa thể hiện được các thông số quan trọng khác như tần suất sử dụng CPU, RAM, độ trễ gói tin, jitter,…các giao thức và ứng dụng mạng quan trọng khác.
4.9. Kết luận chƣơng
Chương bốn đã trình bày phương thức mô phỏng với bộ công cụ NeSSi2; Mô hình mô phỏng thử nghiệm với NeSSi2. Bài luận văn đã xây dựng một số kịch bản mô phỏng tấn công DDoS bằng cách tạo được kiến trúc mạng linh hoạt, mềm dẻo; Thiết lập được cấu hình thân thiện với người dùng, dễ dàng sử dụng; Tạo được kích thước mạng tùy ý với lưu lượng mạng khác nhau và thử nghiệm mô phỏng với các kịch bản được tạo ra. Các kết quả đưa ra thống kê dưới dạng biểu đồ số liệu một cách trực quan cho quá trình tấn công và ngăn chặn tấn công DDoS vào WebServer. Bài đã thực hiện phân tích, đánh giá kết quả.
KẾT LUẬN
Như đã trình bày trong luận văn, tấn công mạng đang là một vấn đề được mọi cơ quan, tổ chức quan tâm. Mô phỏng tấn công mạng là một vấn đề có ý nghĩa thực tiễn và khoa học, vì sẽ góp phần giúp nghiên cứu tìm hiểu được hành vi tấn công của tin tặc; phân tích, đánh giá được mức độ nguy hiểm và khả năng phá hoại. Trên cơ sở đó có thể đưa ra được các biện pháp bảo vệ phù hợp và hiệu quả hơn. Ngoài ra, các công cụ mô phỏng cũng giúp cho việc rà quét lỗ hổng bảo mật, góp phần đắc lực vào công tác nghiên cứu và giảng dạy trong các nhà trường. Chính vì vậy, các công cụ mô phỏng vẫn đang được tiếp tục phát triển ngày càng nhiều.
Việc nghiên cứu, phân tích, tìm hiểu và đánh giá các công cụ mô phỏng tấn công mạng là cần thiết nhằm có được đánh giá tổng quan về các bộ công cụ, khả năng mô phỏng, giúp cho việc lựa chọn công cụ phù hợp.
Qua nghiên cứu, bài luận văn đã đạt được các kết quả cụ thể như sau:
- Nghiên cứu tổng quan về tấn công mạng và vấn đề mô phỏng tấn công mạng.
- Nghiên cứu về các yêu cầu mô hình hóa và mô phỏng tấn công mạng, các phương pháp mô phỏng tấn công. Đánh giá các phương pháp và quy trình thực hiện các bước mô phỏng;
- Phân tích, đánh giá so sánh các công cụ mô phỏng tấn công mạng dựa trên những tiêu chí đã đặt ra;
- Xây dựng và thử nghiệm các kịch bản tấn công mạng với bộ công cụ NeSSi2;
Những kết quả nghiên cứu của luận văn có thể làm tài liệu tham khảo trong quá trình nghiên cứu về tấn công mạng cũng như ứng dụng NeSSi2 trong việc giảng dạy và đào tạo an ninh mạng, đào tạo an toàn thông tin.
Những hạn chế và hướng phát triển của đề tài:
- Do thời gian có hạn, phần nghiên cứu về các bộ công cụ mô phỏng chưa thực sự sâu; các hệ thống giả lập tấn công còn chưa thực sự đầy đủ; kịch bản mô phỏng vẫn còn chưa thực sự chi tiết dẫn tới có những hạn chế nhất định.
- Hướng phát triển tiếp theo của bài là tiếp tục nghiên cứu phát triển các công cụ mô phỏng thực nghiệm tấn công mạng và tiếp tục hoàn thiện, phát triển chuyên sâu hơn.
TÀI LIỆU THAM KHẢO.
[1] Quantifying Computer Network Security, Ian Burchett, 2011
[2] Tao Peng Christopher Leckie Kotagiri Ramamohanarao: Protection from Distributed Denial of Service Attack Using History-based IP Filtering
[3] Mbabazi Ruth Reg. No. 2005/HD18/4029U B.Sc Elec (Mak): Victim-based defense against IP packet flooding denial of service attacks
[4]MODELING DISTRIBUTED DENIAL OF SERVICE ATTACKS AND DEFENSES Li-Chiou Chen,Kathleen M. Carley
[5] Development of a Cyber Attack Simulator forr Network Modeling and Cyber Security Analysis, Kevin C. Costanitini, 2007
[6] https://www.owasp.org [7] www.scribd.com [8] http://www.nessi2.de
[9] Eitan Altman, Tanima Jim²nez. NS Simulator for beginners , Lecture Note, 2003 -2004
[10] http://www.omnetpp.org/ [11] OMNeT++ User Manual [12] TicToc Tutorial for OMNeT++ [13] Nessi manual
[14] www.testingsecurity.com [15] www.sectools.org