Công cụ PRTG Network Monitor được đánh giá là một trong những phần mềm giám sát mạng hiệu quả, giúp quản trị viên theo dõi trạng thái hệ thống, phân tích lưu lượng truy cập và phát hiện
TỔNG QUAN VỀ QUẢN LÝ LƯU LƯỢNG MẠNG VÀ TẤN CÔNG DOS
Tổng quan về quản lý lưu lượng mạng
Quản lý lưu lượng mạng là yếu tố quan trọng trong hệ thống mạng hiện đại, giúp tối ưu hóa hiệu suất và đảm bảo sự ổn định Lưu lượng mạng đề cập đến tổng lượng dữ liệu di chuyển qua các thiết bị và giao thức, và việc quản lý này không chỉ giám sát hoạt động mà còn hỗ trợ phát hiện sự cố, tối ưu hóa băng thông và tăng cường bảo mật cho hệ thống.
1.1.1 Khái niệm về quản lý lưu lượng mạng
Quản lý lưu lượng mạng là quá trình giám sát và điều chỉnh dòng dữ liệu để tối ưu hóa hiệu suất hoạt động Quá trình này giúp kiểm soát tài nguyên mạng, giảm tắc nghẽn và nâng cao chất lượng dịch vụ (QoS) Một hệ thống mạng được quản lý hiệu quả có thể cải thiện tốc độ truyền tải, đảm bảo tính sẵn sàng của dịch vụ, và tăng cường khả năng phát hiện sớm các cuộc tấn công hoặc sự cố.
1.1.2 Các phương pháp quản lý lưu lượng mạng
Có nhiều phương pháp quản lý lưu lượng mạng nhằm đảm bảo hiệu suất hoạt động và tăng cường bảo mật, bao gồm:
Giám sát lưu lượng: Sử dụng các công cụ như PRTG Network Monitor, Wireshark hoặc NetFlow để thu thập và phân tích dữ liệu về lưu lượng mạng.
Phân bổ băng thông: Áp dụng các chính sách QoS để ưu tiên các loại dữ liệu quan trọng như VoIP, truyền tải video hoặc ứng dụng doanh nghiệp.
Để hạn chế lưu lượng không mong muốn, việc thiết lập tường lửa (firewall) hoặc hệ thống phát hiện và ngăn chặn xâm nhập (IDS/IPS) là rất quan trọng, nhằm ngăn chặn các truy cập trái phép và các kết nối có nguy cơ tấn công.
Cân bằng tải là quá trình sử dụng Load Balancer để phân phối lưu lượng truy cập một cách đồng đều giữa các máy chủ, từ đó nâng cao hiệu suất và giảm thiểu nguy cơ quá tải hệ thống.
1.1.3 Lợi ích của quản lý lưu lượng mạng
Việc quản lý lưu lượng hiệu quả mang lại nhiều lợi ích quan trọng, bao gồm:
Tối ưu hóa hiệu suất hệ thống: Giúp các ứng dụng và dịch vụ hoạt động mượt mà hơn, giảm tình trạng nghẽn mạng.
Cải thiện bảo mật: Phát hiện sớm các dấu hiệu bất thường và ngăn chặn các mối đe dọa tiềm ẩn.
Giảm chi phí vận hành: Hạn chế sự cố và tối ưu hóa tài nguyên giúp tiết kiệm chi phí bảo trì hệ thống.
Nâng cao trải nghiệm người dùng: Đảm bảo kết nối ổn định và tốc độ truyền tải tốt hơn cho các dịch vụ trực tuyến.
TRIỂN KHAI QUẢN LÝ LƯU LƯỢNG WEBSITE BẰNG CÔNG CỤ PRTG
Tổng quan về công cụ PRTG
PRTG Network Monitor (PRTG) là công cụ giám sát mạng toàn diện do Paessler phát triển, giúp quản trị viên quản lý hạ tầng IT hiệu quả Phù hợp với doanh nghiệp từ nhỏ đến lớn, PRTG cung cấp giải pháp giám sát mạng chi tiết nhằm tối ưu hóa hiệu suất hệ thống IT Các chức năng và khả năng chính của PRTG bao gồm việc theo dõi, phân tích và báo cáo tình trạng mạng một cách hiệu quả.
2.1.1 Giám sát mạng toàn diện
Theo dõi lưu lượng mạng: PRTG sử dụng các giao thức như SNMP,
NetFlow, sFlow, và jFlow để phân tích lưu lượng mạng.
Kiểm tra trạng thái thiết bị: Giám sát các thiết bị mạng như router, switch, máy chủ, và các endpoint khác.
Theo dõi hiệu suất mạng là rất quan trọng để phát hiện và cảnh báo kịp thời các sự cố như mất kết nối, quá tải hoặc lỗi phần cứng.
2.1.2 Quản lý tài nguyên hệ thống
Giám sát máy chủ: Theo dõi CPU, RAM, dung lượng ổ cứng, và các ứng dụng chạy trên máy chủ.
Giám sát cơ sở dữ liệu: Hỗ trợ giám sát hiệu suất của các cơ sở dữ liệu phổ biến như SQL Server, MySQL, và Oracle.
Giám sát ứng dụng: Phân tích hiệu suất của các ứng dụng quan trọng như email, web server, và dịch vụ đám mây.
2.1.3 Cảnh báo và thông báo
Cảnh báo thời gian thực: PRTG cung cấp cảnh báo qua email, SMS, hoặc push notification khi phát hiện sự cố.
Ngưỡng tùy chỉnh: Người dùng có thể định nghĩa các ngưỡng hiệu suất để kiểm soát chặt chẽ các hệ thống quan trọng.
Báo cáo định kỳ: Tạo các báo cáo chi tiết về hiệu suất và trạng thái mạng theo lịch.
2.1.4 Khả năng mở rộng và tùy chỉnh
Hỗ trợ cảm biến (sensors): PRTG sử dụng cảm biến để theo dõi các tham số cụ thể (VD: cảm biến HTTP, ping, hoặc băng thông).
Tích hợp API: Hỗ trợ API REST để tích hợp với các công cụ hoặc hệ thống khác.
Tùy biến giao diện: Người dùng có thể tùy chỉnh dashboard để hiển thị các thông số quan trọng.
Phần mềm tự lưu trữ được cài đặt trực tiếp trên máy chủ của người dùng, trong khi phiên bản đám mây cho phép giám sát từ xa thông qua các dịch vụ đám mây.
Tương thích đa nền tảng: Chạy trên Windows và hỗ trợ theo dõi các hệ điều hành khác như Linux, macOS, và các thiết bị IoT.
Xác thực và mã hóa: Đảm bảo dữ liệu giám sát được truyền tải an toàn. Phân quyền: Hỗ trợ phân quyền người dùng chi tiết.
Tích hợp SNMP v3: Tăng cường bảo mật trong giao thức giám sát.
2.1.7 Hỗ trợ quản trị viên
Dễ sử dụng: Giao diện người dùng trực quan và hỗ trợ cấu hình tự động.
Hỗ trợ đa ngôn ngữ: Bao gồm cả tiếng Anh, tiếng Đức, và các ngôn ngữ khác.
Cộng đồng lớn: Cộng đồng người dùng mạnh mẽ, tài liệu phong phú, và đội ngũ hỗ trợ kỹ thuật của Paessler.
MÔ PHỎNG TẤN CÔNG DOS VÀ PHÒNG THỦ
Mô phỏng tấn công
Dựa vào mô hình từ chương 2, chúng ta có hai máy ảo Kali Linux: một máy ảo làm nạn nhân với địa chỉ IP 192.168.12.129 và một máy ảo làm máy tấn công với địa chỉ IP 192.168.12.140 Trước tiên, cần kiểm tra kết nối giữa hai máy này.
Hình 3.1 Kiểm tra kết nối từ máy tấn công sang máy nạn nhân
Hình 3.2 Kiểm tra kết nối từ máy nạn nhân sang máy tấn công
Tiếp theo cần thiết lập 1 trang web HTTP đơn giản, ở đây chúng ta sẽ tạo tương tự như chương 2, và đây là trang web apache đơn giản:
Hình 3.3 Trang web apache đơn giản
Sau đó, chúng ta sẽ kiểm tra máy tấn công để xác nhận đã truy cập được vào trang web của nạn nhân hay chưa bằng cách nhập địa chỉ của máy nạn nhân vào trình duyệt Mozilla Firefox.
Hình 3.4 Xác nhận đã truy cập được trang web từ máy tấn công
Sau khi hoàn tất môi trường, chúng ta sẽ tiến hành tấn công DoS vào máy nạn nhân bằng hai công cụ: Ettercap và Hping3 Ettercap là công cụ mạnh mẽ cho phép tấn công và phân tích mạng trong môi trường LAN, với khả năng thực hiện tấn công Man-in-the-Middle (MITM) và DoS Công cụ này có thể chặn, thay đổi hoặc giả mạo lưu lượng giữa các thiết bị trong mạng, đồng thời hỗ trợ nhiều kỹ thuật tấn công như ARP Spoofing, DNS Spoofing, DoS Attack và Sniffing dữ liệu, giúp kiểm tra bảo mật hệ thống Trong phần mô phỏng tấn công, Ettercap sẽ được sử dụng để thực hiện tấn công DoS, làm gián đoạn và đầy bộ vi xử lý, từ đó quan sát tác động của cuộc tấn công đến hệ thống giám sát PRTG.
Hping3 là công cụ mạnh mẽ dùng để tạo và phân tích gói tin tùy chỉnh trong mạng, thường được sử dụng để kiểm tra bảo mật và mô phỏng tấn công DoS Nó cho phép gửi các gói TCP, UDP, ICMP tùy chỉnh, giúp kiểm tra phản hồi của hệ thống và đánh giá mức độ chịu tải của máy chủ Trong mô phỏng tấn công DoS, Hping3 thực hiện tấn công bằng phương pháp SYN Flood, gửi lượng lớn gói tin SYN đến mục tiêu mà không hoàn thành quá trình bắt tay 3 bước, làm máy nạn nhân bị quá tải Để mô phỏng hiệu quả, chúng ta sẽ sử dụng công cụ Ettercap, đã được cài đặt sẵn trong các bản Kali Linux Để biết cách sử dụng, người dùng có thể nhập lệnh ettercap -h để xem hướng dẫn.
Hình 3.5 Lệnh hướng dẫn sử dụng Ettercap
Để khởi động công cụ Ettercap, hãy nhập lệnh "sudo ettercap -G" để sử dụng giao diện đồ họa thân thiện Sau khi nhập lệnh, bạn sẽ thấy giao diện như hình ảnh bên dưới.
Hình 3.6 Giao diện khởi đầu của Ettercap
Khi mở được giao diện khởi đầu, ta sẽ nhấn vào nút tích V ở phần Taskbar của Ettercap, ta sẽ được:
Hình 3.7 Giao diện chính của công cụ Ettercap
Tại đây, ta sẽ ấn vào dấu 3 chấm dọc ở Taskbar, chọn Plugins, chọn
Hình 3.8 Giao diện các plugins của Ettercap
Giao diện này hiển thị cho người dùng các thông tin của các plugin mà công cụ Ettercap cung cấp, ví dụ trong ảnh như:
Các plugin trong Ettercap bao gồm arp_cop (phiên bản 1.1) để báo cáo hoạt động đáng ngờ, autoadd (1.2) tự động thêm nạn nhân mới vào mục tiêu, chk_poison (1.1) kiểm tra tính thành công của cuộc tấn công ARP poisoning, dns_spoof (1.3) gửi phản hồi DNS giả mạo, và dos_attack (1.0) thực hiện tấn công DoS vào một địa chỉ IP Plugin dummy (3.0) là mẫu dành cho nhà phát triển, trong khi dind_conn (1.0) tìm kiếm kết nối đã chuyển mạch trong mạng LAN Để thực hiện tấn công DoS, người dùng cần chọn plugin dos_attack bằng cách nhấp đúp vào nó, sau đó nhập địa chỉ IP của nạn nhân vào form hiện ra.
Ta sẽ nhập địa chỉ IP nạn nhân, ở cuộc mô phỏng tấn công này là
Để sử dụng Ettercap, sau khi nhập địa chỉ IP 192.168.12.129 và chọn OK, chương trình sẽ hiển thị một form yêu cầu nhập địa chỉ IP giả mạo Chúng ta cần nhập một địa chỉ IP bất kỳ, miễn là nó không phải là địa chỉ IP của nạn nhân và nằm trong dải mạng 192.168.12.0/255.
192.168.12.55 để làm địa chỉ IP giả mạo, và ấn nút OK:
Hình 3.10 Hoàn tất thiết lập thông số và plugin bắt đầu khởi chạy
Để xác nhận việc tấn công DoS đang diễn ra, chúng ta sẽ sử dụng các công cụ giám sát lưu lượng như PRTG để kiểm tra tình trạng, đồng thời tải lại website Apache để xem nó còn hoạt động hay không.
Hình 3.11 Công cụ PRTG trong khi DoS diễn ra (1)
Hình 3.12 Công cụ PRTG trong khi DoS diễn ra (2)
Chức năng quản lý lưu lượng HTTP đã gặp sự cố và không thể kết nối lại, dẫn đến việc không thể xem biểu đồ lưu lượng trực tiếp.
Để theo dõi hoạt động trên máy nạn nhân, chúng ta sẽ sử dụng công cụ Wireshark để bắt các gói tin và phân tích kết quả thu được.
Hình 3.13 Sử dụng công cụ Wireshark để bắt gói tin
Trong khoảng thời gian gần 9 giây, Wireshark đã ghi nhận gần 7000 gói tin TCP, cho thấy lưu lượng mạng rất cao, chủ yếu là các gói tin yêu cầu bắt tay SYN.
Tiếp theo chúng ta có thể xem hậu quả của cuộc tấn công DoS bằng cách tải lại trang web apache mà chúng ta đã thiết lập sẵn:
Hình 3.14 Xem trang web từ phía nạn nhân
Hình 3.14 Xem trang web từ phía máy tấn công
Việc tải lại trang web từ cả 2 phía đều bị một tình trạng chung, đó là xoay vòng, chậm lag, không thể hoàn tất việc tải lại trang.
Để xác nhận việc chấm dứt tấn công từ Ettercap, chỉ cần nhấp đúp vào tên plugin trong trang quản lý plugin, chúng ta có thể ngừng cuộc tấn công DoS hiệu quả.
Hình 3.15 Xác nhận việc đã chấm dứt cuộc tấn công DoS
Sau khi kết thúc quá trình sử dụng công cụ Ettercap, chúng ta có thể khởi động lại các công cụ như Wireshark và PRTG Đồng thời, hãy tải lại trang web từ cả hai phía: máy nạn nhân và máy tấn công, để kiểm tra xem trang có tải lại mượt mà hay không.
Hình 3.16 Công cụ PRTG sau khi chấm dứt tấn công DoS (1)
Hình 3.17 Công cụ PRTG sau khi chấm dứt tấn công DoS (2)
Chức năng quản lý lưu lượng HTTP của công cụ PRTG đã được khôi phục, với các phần quản lý dữ liệu trực tiếp (live data) hiện đã có biểu đồ và không còn lỗi (Error).
Hình 3.18 Công cụ Wireshark sau khi chấm dứt tấn công DoS
Công cụ Wireshark thì liên tục gửi các gói tin phản hồi về địa chỉ IP
Trong cuộc tấn công DoS, địa chỉ giả mạo 192.168.12.55 đã dẫn đến việc hệ thống nhận nhiều gói tin SYN yêu cầu bắt tay 3 bước mà không thể xử lý kịp thời Khi chúng ta chấm dứt cuộc tấn công, máy nạn nhân mới bắt đầu gửi lại gói tin phản hồi, nhưng hầu hết trong số đó đều là gói tin lỗi với màu đen, do địa chỉ đích của chúng là địa chỉ giả mạo đã không còn tồn tại.
Qua các minh chứng trên, chúng ta có thể nhấn mạnh rằng việc mô phỏng tấn công DoS đã hoàn toàn thành công.
