Xây dựng chương trình ngăn chặn một số dạng tấn công từ chối dịch vụ web server cho công ty trách nhiệm hữu hạn GM việt nam

Vài giờ sau, Yahoo đã tìm ra nguyên nhân gâynên tình trạng này, họ đang phải gánh chịu một đợt tấn công DDoS với quy môvài ngàn máy tính liên tục gửi hàng triệu request đến các server dị

LỜI CẢM ƠN

Qua thời gian học tập lâu dài và hoàn thành báo cáo đồ án tốt nghiệp em

chân thành cảm ơn thầy Nguyễn Đức Bình đã tận tình hướng dẫn,giúp đỡ em trong suốt thời gian thực hiện để ngày càng hoàn thiện đề tài “Xây dựng chương trình ngăn chặn một số dạng tấn công từ chối dịch vụ Web server cho Công ty Trách nhiệm hữu hạn GM Việt Nam” Em đã nhận được sự quan tâm,

giúp đỡ nhiệt tình của các tập thể, cá nhân trong và ngoài nhà trường

Em xin chân thành cảm ơn sự giúp đỡ và đóng góp ý kiến của các thầy, côgiáo trong bộ môn Mạng và Truyền thông – Khoa Công nghệ thông tin- Đại họcCông nghệ thông tin và Truyền thông – Đại Học Thái Nguyên

Mặc dù em đã cố gắng hoàn thành đề tài rất nhiều trong phạm vi kiến thứccho phép, nhưng chắc chắn sẽ không tránh khỏi những thiếu sót kính mong thầy

cô và các bạn bổ sung để đề tài hoàn thiện hơn

Em xin chân thành cảm ơn !

LỜI CAM ĐOAN

Em xin cam đoan toàn bộ đồ án: “Xây dựng chương trình ngăn chặn một

số dạng tấn công từ chối dịch vụ Web server cho Công ty Trách nhiệm hữu hạn GM Việt Nam” Là do bản thân tìm hiểu, nghiên cứu Không có sự sao chép

nội dung từ các đồ án khác Tất cả nội dung hoặc hình ảnh minh họa đều cónguồn gốc xuất xứ rõ ràng từ các tài liệu tham khảo ở nhiều nguồn khác nhau mà

xây dựng nên Ngoài ra còn có sự góp ý và định hướng của thầy giáo Th.S Nguyễn Đức Bình.

Em xin cam đoan những lời trên là đúng, mọi thông tin sai lệch em xinhoàn toàn chịu trách nhiệm trước Hội đồng

Thái Nguyên, tháng 6 năm 2012

Sinh viên

Dương Văn Thắng

MỤC LỤC

LỜI CẢM ƠN 1

LỜI CAM ĐOAN 2

MỤC LỤC 3

DANH MỤC HÌNH ẢNH 4

DANH MỤC BẢNG 5

LỜI NÓI ĐẦU 7

CHƯƠNG 1 8

GIỚI THIỆU CHUNG 8

1.1 Tổng quan đề tài 8

1.1.1 Lý do chọn đề tài 9

1.1.2 Hướng giải quyết 10

1.1.3 Tóm tắt kết quả 11

1.2 Tổng quan về tấn công từ chối dịch vụ 12

1.2.1 Giới thiệu chung về DDoS 12

1.2.2 Phân loại các kiểu tấn công DDoS 12

1.2.3 Sơ đồ mạng Botnet 17

1.2.4 Các phương pháp xây dựng tài nguyên tấn công 20

1.2.5 Một số kiểu tấn công DDoS và các công cụ tấn công DDoS 22

1.2.6 Phòng chống DDoS 27

CHƯƠNG 2 34

KHẢO SÁT VÀ TỔNG QUAN VỀ IPTABLES VÀ SNORT 34

2.1 Khảo sát hiện trạng công ty trách nhiệm hữu hạn GM Việt Nam 34

2.1.1 Giới thiệu về công ty 34

2.1.2 Mô hình mạng của công ty 34

2.1.3 Tình hình sử dụng mạng và yêu cầu về giải pháp an toàn hệ thống của công ty 34

2.2 Tổng quan về Iptables 35

2.2.1 Giới thiệu chung về Iptables 35

2.2.2 Cấu trúc của Iptables 36

2.3 Tổng quan về Snort 43

2.3.1 Giới thiệu chung về Snort và Snort inline 43

2.3.2 Tổng quan về Snort 44

CHƯƠNG 3 63

XÂY DỰNG GIẢI PHÁP PHÒNG CHỐNG DDoS CHO MÁY CHỦ WEB 63

3.1 Mô hình triển khai thực tế 63

3.2 Mô hình mạng triển khai hệ thống phòng chống 63

3.2.1 Cài đặt iptables 64

3.2.2 Cài đặt Snort 65

3.2.3 Cài đặt BASE và ADODB 66

3.3 Giải pháp 67

3.4 Thử nghiệm, đánh giá 70

KẾT LUẬN 72

TÀI LIỆU THAM KHẢO 74

DANH MỤC HÌNH ẢNH

Hình 1.1 - Phân loại các kiểu tấn công DDoS 12

Hình 1.2 - Amplification Attack 14

Hình 1.3 - Ba bước kết nối TCP/IP 16

Hình 1.4 - Trường hợp IP nguồn giả 16

Hình 1.5 - Sơ đồ Handler-Agent 17

Hình 1.6 - Sơ đồ IRC Base 19

Hình 1.7 Các phương pháp xây dựng tài nguyên tấn công 20

Hình 1.8 - Mô hình mạng Classic DDoS 25

Hình 1.9 - Mô hình mạng X-Flash DdoS 26

Hình 1.10 - Các giai đoạn chi tiết trong phòng chống DDoS 28

Hình 2.1 - Mô hình Iptables/netfilter 36

Hình 2.2 - Mô tả đường đi của gói dữ liệu 38

Hình 2.3 - Sơ đồ luồng dữ liệu đi qua Snort 44

Hình 3.1 - Mô hình mạng triển khai thực tế 63

Hình 3.2 - Mô hình mạng sau khi triển khai hệ thống phòng chống 63

Hình 3.3 - Giao diện BASE 67

Hình 3.4 - Luồng dữ liệu đi đến Web Server 68

Hình 3.5 - Luồng dữ liệu khi triển khai hệ thống phòng chống DDoS 69

Hình 3.6 - Trang chủ DemoDDoS 70

Hình 3.7 - Tạo HTTP Request 70

Hình 3.8 - Hình ảnh Web site Demo DDoS 71

DANH MỤC BẢNG

Bảng 2.1 - Các loại queues và chức năng của nó……… 36

Bảng 2.2 - Miêu tả các target mà Iptables thường dùng nhất……… 39

Bảng 2.3 - Bảng các tùy chọn quan trọng của Iptables ……….….40

Bảng 2.4 - Các điều kiện TCP và UDP thông dụng ……… 42

Bảng 2.5 - Tên các policy ……… 51

Bảng 2.6 - Cấu trúc của rule header ……… 56

LỜI NÓI ĐẦU Dưới sự hướng dẫn của thầy giáo Th.s Nguyễn Đức Bình qua một thời gian

nghiên cứu, tìm hiểu em đã hoàn thành bản báo cáo đồ án tốt nghiệp của mình Tronggiới hạn bài báo cáo đồ án tốt nghiệp này, em có tìm hiểu về các vấn đề sau:

- Nghiên cướu tìm hiểu về DDoS ,phân loại DDoS ,giới thiệu một số công

cụ tấn công DDoS và giải pháp phòng chống nói chung

- Xây dựng giải pháp phòng chống DDoS cho web server ,sử dụngIptables và Snort inline

Một lần nữa, em xin chân thành cảm ơn thầy giáo Th.s Nguyễn Đức Bình

,các thầy cô trong khoa CNTT - Đại Học Công nghệ thông tin và Truyền thông

và các bạn đã giúp đỡ em hoàn thành báo cáo này

Sinh viên thực hiện

Dương Văn Thắng

CHƯƠNG 1 GIỚI THIỆU CHUNG 1.1 Tổng quan đề tài

Ngày 7/3/2000, yahoo.com đã phải ngưng phục vụ hàng trăm triệu usertrên toàn thế giới nhiều giờ liền Vài giờ sau, Yahoo đã tìm ra nguyên nhân gâynên tình trạng này, họ đang phải gánh chịu một đợt tấn công DDoS với quy môvài ngàn máy tính liên tục gửi hàng triệu request đến các server dịch vụ làm cácserver này không thể phục vụ các user thông thường khác

Vài ngày sau, một sự kiện tương tự diễn ra nhưng có quy mô lớn hơn

do một trong các nạn nhân mới là hãng tin CNN, amazon.com, buy.com,Zdnet.com, E-trade.com, Ebay.com Tất cả các nạn nhân là những gã khổng

lồ trên Internet thuộc nhiều lĩnh vực khác nhau Theo Yankke Group, tổngthiệt hại do cuộc tấn công lên đến 1.2 triệu USD, nhưng không đáng kểbằng sự mất mát về lòng tin của khách hàng, uy tín của các công ty làkhông thể tính được

Một doanh nghiệp làm thương mại điện tử có nguy cơ phá sản do cácserver bị tấn công từ chối dịch vụ.Là một trong những doanh nghiệp có vốn đầu

tư nước ngoài đầu tiên tại việt nam , Công ty TNHH Ô tô GM Việt Nam chuyênhoạt động trong lĩnh vực sản xuất , lắp ráp và kinh doanh ô tô , phụ tùng các loạimang nhãn hiệu Daewoo và Chevrolet.Vì vậy đã là một doanh nghiệp tham giavào thương mại điện tử thì vấn đề an toàn , an ninh phải đặt lên hàng đầu cho cácdoanh nghiệp do vậy cần thiết xây dựng chương trình phát hiện ngăn chặn tấncông trên mạng là rất cần thiết hiện nay

Khi xây dựng chương trình cần đảm bảo chống lại một số dạng tấn công

từ chối dịch vụ phổ biến hiện nay cho công ty TNHH Ô tô GM Việt Nam , đảmbảo sự hoạt động tốt nhất của hệ thống để phục vụ ,đảm bảo quyền lợi khách

hàng của công ty tốt nhất Như vậy xây dựng một hệ thống phát hiện và ngăn

chặn tấn công trái phép IDS/IPS cho công ty là một giải pháp rất cần thiết đối vớiviệc đảm bảo an toàn bảo mật hệ thống thông tin

Không những phục vụ cho nhu cầu của bản thân mà còn giúp nâng cao ýthức của người dùng mạng Internet, làm sao để tránh hoặc ít nhất giảm được thiệthại khi bị DDoS , em đã lựa chọn đề tài : “Xây dựng biện pháp phòng chốngDDoS cho máy chủ web”

Nhận thấy vừa là một đề tài tốt nghiệp, vừa có vai trò ứng dụng trong thực

tế và với sự giúp đỡ tận tình của thầy Nguyễn Đức Bình, em đã cố gắng hết sức

để thực hiện tốt đề tài của mình

Khi xây dựng chương trình cần đảm bảo chống lại một số dạng tấn công

từ chối dịch vụ phổ biến hiện nay cho công ty TNHH Ô tô GM Việt Nam , đảmbảo sự hoạt động tốt nhất của hệ thống để phục vụ ,đảm bảo quyền lợi khách

hàng của công ty tốt nhất Công ty sử dụng một hệ thống mạng rất lớn trong việc

lưu trữ tất cả các dữ liệu của công ty và phục vụ cho công việc kinh doanh Làmột Công ty lớn nên luôn đặt việc quản lý và đảm bảo an toàn mạng lên hàngđầu, từ việc bảo mật thông tin các dự án, thông tin khách hàng,….đến việc traođổi mua bán qua website của Công ty Yêu cầu về an toàn thông tin được đặt raphải đảm bảo được 3 đặc tính cơ bản của bảo mật thông tin là : Tính bí mật thôngtin, Tính toàn vẹn, Tính sẵn sàng

Quá trình khảo sát mô hình công ty TNHH Ô tô GM Việt Nam : một ADSLmodem dùng để kết nối với Internet , phòng server gồm Server , Webserver ,MailServer có 4 Switch 8 cổng , 3 Switch 24 cổng để chia vào các phòng ban

Trong đó , Máy chủ web có :

- Sử dụng hệ điều hành Linux

- Cài đặt apache, php, mysql là máy chủ web

Đây là một môi trường mạng rất phổ biến tại Viêt Nam vì những lý do sau:

- Dễ dàng triển khai (vì mô hình mạng đơn giản)

- Giá thành rẻ (Linux, apache, php, mysql đều không mất phí)

- Dễ dàng vận hành, quản lý (do mô hình mạng đơn giản)

1.1.2 Hướng giải quyết

Hiện nay, trên thế giới có rất nhiều cách phòng chống DDoS nói chung vàphòng chống DDoS cho máy chủ web nói riêng như sử dụng firewall, triển khaiIPS (Intrusion Prevention System- Hệ thống chống xâm nhập), load balancing(cân bằng tải) Có thể đơn cử ra một vài ví dụ cụ thể như :

- Firewall mềm:

+ Skyeagle anti-DDoS firewall http://www.netbot.com.cn

+ FortGuard Anti-DDoS Firewall Standard http://www.fortguard.com/

Lý do lựa chọn xây dựng mô hình IPS gồm Snort và Iptables là:

- Đối với Snort : Snort được biết đến với các ưu điểm như dễ cấu hình,

miễn phí, sử dụng rộng rãi, chạy trên nhiều nền tảng (Windows, Unix,Linux), liên tục được cập nhật Snort inline là một “module” của snort,thay vì lắng nghe trên cổng chỉ định và theo dõi tất cả các traffic đi quacổng đấy, Snort inline chỉ theo dõi các traffic đặc biệt được chỉ định trước,

do đó làm tăng khả năng và hiệu suất của Snort

- Iptables mà nền tảng là Netfilter cũng có những ưu điểm như dễ cấu hình,

tốc độ sử lý nhanh, được tích hợp sẵn trong Kernel Linux 2.6 trở lên

- Việc sử dụng kết hợp Iptables với Snort sẽ tạo được một hệ thống IPS

hoạt động ổn định, dễ cấu hình, dễ dàng tinh chỉnh khi cần thiết

1.1.3 Tóm tắt kết quả

Theo yêu cầu đặt ra ban đầu là “Xây dựng chương trình ngăn chặn một sốdạng tấn công từ chối dịch vụ web server ”, cho đến thời điểm hiện tại, đồ án đãlàm được những nội dung sau :

- Về lý thuyết :

+ Tìm hiểu được những kiểu tấn công của DDoS

+ Tìm hiểu được mô hình mạng Botnet (mô hình, cách cài đặt, giao tiếp).+ Một số công cụ tấn công DDoS

+ Cách phòng chống DDoS

+ Những vấn đề có liên quan đến DDoS

- Triển khai hệ thống phòng chống DDoS bao gồm

+ Tối ưu hóa server

+ Cài đặt và cấu hình Iptables

+ Cài đặt và cấu hình Snort

+ Kiểm tra đánh giá hiệu quả

1.2 Tổng quan về tấn công từ chối dịch vụ

1.2.1 Giới thiệu chung về DDoS

DDoS (distributed denial-of-service attack) là một kiểu tấn công đưa một hệthống cung cấp dịch vụ đến mức hoạt động tới hạn về tài nguyên, hay gây nhầmlẫn logic dẫn đến hệ thống ngừng hoạt động

Khác với DoS (denial-of-service attack) là chỉ cần một máy để tấn công,DDoS sử dụng nhiều máy tính bị chiếm quyền điều khiển kết nối với nhau (mạngBotnet) để tấn công nên sức hủy hoại là rất lớn

1.2.2 Phân loại các kiểu tấn công DDoS

Nhìn chung, có rất nhiều cách để phân loại các kiểu tấn công DDoS nhưngtheo em cách phân loại theo mục đích tấn công là khá đầy đủ, đơn giản và dễhiểu Dưới đây là sơ đồ mô tả sự phân loại các kiểu tấn công DDoS dựa theo mụcđích tấn công: làm cạn kiệt băng thông và làm cạn kiệt tài nguyên hệ thống

Hình 1.1 - Phân loại các kiểu tấn công DDoS

 Tấn công làm cạn kiệt băng thông

Tấn công làm cạn kiệt băng thông (BandWith Depletion Attack) được

thiết kế nhằm làm tràn ngập mạng mục tiêu với những traffic không cần thiết, vớimục địch làm giảm tối thiểu khả năng của các traffic hợp lệ đến được hệ thốngcung cấp dịch vụ của mục tiêu

Có hai loại tấn công làm cạn kiệt băng thông :

- Flood attack: Điều khiển các Agent gửi một lượng lớn traffic đến hệ thống

dịch vụ của mục tiêu, làm dịch vụ này bị hết khả năng về băng thông

- Amplification attack: Điều khiển các Agent hay Client tự gửi packet đến một

địa chỉ IP broadcast, làm cho tất cả các máy trong subnet này gửi packet đến hệthống dịch vụ của mục tiêu Phương pháp này làm gia tăng traffic không cầnthiết, làm suy giảm băng thông của mục tiêu

 Flood attack:

Trong phương pháp này, các Agent sẽ gửi một lượng lớn IP traffic làm hệthống dịch vụ của mục tiêu bị chậm lại, hệ thống bị treo hay đạt đến trạng tháihoạt động bão hòa Làm cho những người dùng thực sự của hệ thống không sửdụng được dịch vụ

Ta có thể chia Flood Attack thành hai loại:

- UDP Flood Attack: do tính chất connectionless của UDP, hệ thống nhận

UDP message chỉ đơn giản nhận vào tất cả các packet mình cần phải xử lý Mộtlượng lớn các UDP packet được gửi đến hệ thống dịch vụ của mục tiêu sẽ đẩytoàn bộ hệ thống đến ngưỡng tới hạn

- Các UDP packet này có thể được gửi đến nhiều port tùy ý hay chỉ duy

nhất một port Thông thường là sẽ gửi đến nhiều port làm cho hệ thống mục tiêuphải căng ra để xử lý phân hướng cho các packet này Nếu port bị tấn côngkhông sẵn sàng thì hệ thống mục tiêu sẽ gửi ra một ICMP packet loại

“destination port unreachable” Thông thường các Agent software sẽ dùng địachỉ IP giả để che giấu hành tung, cho nên các packet trả về do không có port xử

lý sẽ dẫn đến một địa chỉ IP khác UDP Flood attack cũng có thể làm ảnh hưởngđến các kết nối xung quanh mục tiêu do sự hội tụ của packet diễn ra rất mạnh

- ICMP Flood Attack: được thiết kế nhằm mục đích quản lý mạng cũng

như định vị thiết bị mạng Khi các Agent gửi một lượng lớn ICMP ECHOREQUEST đến hệ thống mục tiêu thì hệ thống này phải reply một lượng tươngứng Packet để trả lời, sẽ dẫn đến nghẽn đường truyền Tương tự trường hợptrên, địa chỉ IP của các Agent có thể bị giả mạo

 Amplification Attack:

Amplification Attack nhắm đến việc sử dụng các chức năng hỗ trợ địa chỉ

IP broadcast của các router nhằm khuyếch đại và hồi chuyển cuộc tấn công.Chức năng này cho phép bên gửi chỉ định một địa chỉ IP broadcast cho toànsubnet bên nhận thay vì nhiều địa chỉ Router sẽ có nhiệm vụ gửi đến tất cả địachỉ IP trong subnet đó packet broadcast mà nó nhận được

Attacker có thể gửi broadcast packet trực tiếp hay thông qua một số Agent nhằmlàm gia tăng cường độ của cuộc tấn công Nếu attacker trực tiếp gửi packet, thì

có thể lợi dụng các hệ thống bên trong broadcast network như một Agent

Hình 1.2 - Amplification Attack

Có thể chia amplification attack thành hai loại, Smuft va Fraggle attack:

- Smuft attack: trong kiểu tấn công này attacker gửi packet đến network

amplifier (router hay thiết bị mạng khác hỗ trợ broadcast), với địa chỉ của nạnnhân Thông thường những packet được dùng là ICMP ECHO REQUEST, cácpacket này yêu cầu yêu cầu bên nhận phải trả lời bằng một ICMP ECHO REPLYpacket Network amplifier sẽ gửi đến ICMP ECHO REQUEST packet đến tất cảcác hệ thống thuộc địa chỉ broadcast và tất cả các hệ thống này sẽ REPLY packet

về địa chỉ IP của mục tiêu tấn công Smuft Attack

- Fraggle Attack: tương tự như Smuft attack nhưng thay vì dùng ICMP

ECHO REQUEST packet thì sẽ dùng UDP ECHO packet gửi đến mục tiêu Thật

ra còn một biến thể khác của Fraggle attack sẽ gửi đến UDP ECHO packet đếnchargen port (port 19/UNIX) của mục tiêu, với địa chỉ bên gửi là echo port (port7/UNIX) của mục tiêu, tạo nên một vòng lặp vô hạn Attacker phát động cuộc tấncông bằng một ECHO REQUEST với địa chỉ bên nhận là một địa chỉ broadcast,toàn bộ hệ thống thuộc địa chỉ này lập tức gửi REPLY đến port echo của nạnnhân, sau đó từ nạn nhân một ECHO REPLY lại gửi trở về địa chỉ broadcast, quátrình cứ thế tiếp diễn Đây chính là nguyên nhân Flaggle Attack nguy hiểm hơnSmuft Attack rất nhiều

 Tấn công làm cạn kiệt tài nguyên

Tấn công làm cạn kiệt tài nguyên (Resource Deleption Attack) là kiểu tấncông trong đó Attacker gửi những packet dùng các protocol sai chức năng thiết

kế, hay gửi những packet với dụng ý làm tắt nghẽn tài nguyên mạng làm cho cáctài nguyên này không phục vụ những người dùng thông thường khác được

Protocol Exploit Attack

- TCP SYN Attack: Transfer Control Protocol hỗ trợ truyền nhận với độ

tin cậy cao nên sử dụng phương thức bắt tay giữa bên gửi và bên nhận trước khitruyền dữ liệu Bước đầu tiên, bên gửi gửi một SYN REQUEST packet(Synchronize) Bên nhận nếu nhận được SYN REQUEST sẽ trả lời bằngSYN/ACK packet Bước cuối cùng, bên gửi sẽ truyên packet cuối cùng ACK vàbắt đầu truyền dữ liệu

Hình 1.3 - Ba bước kết nối TCP/IP

Nếu bên server đã trả lời một yêu cầu SYN bằng một SYN/ACKnhưng không nhận được ACK packet cuối cùng sau một khoảng thời gian quyđịnh thì nó sẽ gửi lại SYN/ACK cho đến hết thời gian timeout Toàn bộ tàinguyên hệ thống “dự trữ” để xử lý phiên giao tiếp nếu nhận được ACK packetcuối cùng sẽ bị “phong tỏa” cho đến hết thời gian timeout

Hình 1.4 - Trường hợp IP nguồn giả

Nắm được điểm yếu này, attacker gửi một SYN packet đến nạn nhân với địachỉ bên gửi là giả mạo, kết quả là nạn nhân gửi SYN/ACK đến một địa chỉ khác

và sẽ không bao giờ nhận được ACK packet cuối cùng, cho đến hết thời giantimeout nạn nhân mới nhận ra được điều này và giải phóng các tài nguyên hệthống Tuy nhiên, nếu lượng SYN packet giả mạo đến với số lượng nhiều và dồndập, hệ thống của nạn nhân có thể bị hết tài nguyên

PUSH và ACK Attack: Trong TCP protocol, các packet được chứa trong

buffer, khi buffer đầy thì các packet này sẽ được chuyển đến nơi cần thiết Tuynhiên, bên gửi có thể yêu cầu hệ thống unload buffer trước khi buffer đầy bằngcách gửi một packet với cờ PUSH và ACK mang giá trị là 1 Những packet nàylàm cho hệ thống của nạn nhân unload tất cả dữ liệu trong TCP buffer ngay lập

tức và gửi một ACK packet trở về khi thực hiện xong điều này, nếu quá trìnhđược diễn ra liên tục với nhiều Agent, hệ thống sẽ không thể xử lý được lượnglớn packet gửi đến và sẽ bị treo.

Malformed Packet Attack

Malformed Packet Attack là cách tấn công dùng các Agent để gửi các packet

có cấu trúc không đúng chuẩn nhằm làm cho hệ thống của nạn nhân bị treo

Có hai loại Malformed Packet Attack:

- IP address attack: dùng packet có địa chỉ gửi và nhận giống nhau làm cho hệ

điều hành của nạn nhân không xử lý nổi và bị treo

- IP packet options attack ngẫu nhiên hóa vùng OPTION trong IP packet và

thiết lập tất cả các bit QoS lên 1, điều này làm cho hệ thống của nạn nhân phảitốn thời gian phân tích, nếu sử dụng số lượng lớn Agent có thể làm hệ thống nạnnhân hết khả năng xử lý

- Client: Là phần mềm cơ sở để hacker điều khiển mọi hoạt động của

mạng Handler-Agent

- Handler: Là một phần mềm trung gian giữa Agent và Client.

- Agent: Là một phần mềm thực hiện sự tấn công mục tiêu, nhận điều

khiển từ Client thông quan các Handler

Attacker sẽ từ Client giao tiếp với Handler để xác định số lượng cácAgent đang online, điều chỉnh thời điểm tấn công và cập nhật các Agent.Tuỳ theo cách attacker cấu hình mạng Botnet, các Agent sẽ chịu sự quản lýcủa một hay nhiều Handler

Thông thường Attacker sẽ đặt các Handler trên một Router hay Server cólượng lưu thông lớn Việc này nhằm làm cho các giao tiếp giữa Client, Handler

và Agent khó bị phát hiện Các giao thức này thường diễn ra trên các giao thứcTCP, UDP hay ICMP Chủ nhân thực sự của các Agent thường không biết họ bịlợi dụng trong các cuộc tấn công DDoS, do họ không đủ kiến thức hoặc cácchương trình Backdoor Agent chỉ sử dụng rất ít tài nguyên hệ thống làm cho hầunhư không thể thấy ảnh hưởng gì đến hiệu năng của hệ thống

Sơ đồ IRC Base

Hình 1.6 - Sơ đồ IRC Base

Internet Relay Chat(IRC) là một hệ thống online chat nhiều người IRC cho phép

người sử dụng tạo một kết nối đến nhiều điểm khác với nhiều người sử dụng khácnhau và chat thời gian thực Kiến trúc cũ của IRC network bao gồm nhiều IRC servertrên khắp Internet, giao tiếp với nhau trên nhiều kênh (channnel) IRC network cho

phép user tao ba loại channel: Public, Private và Secrect Trong đó :

- Public channel: Cho phép user của channel đó thấy IRC name và nhận

được message của mọi user khác trên cùng channel

- Private channel: Được thiết kế để giao tiếp với các đối tượng cho

phép.Không cho phép các user không cùng channel thấy IRC name và messagetrên channel Tuy nhiên , nếu user ngoài channel dùng một số lệnh channellocator thì có thể biết được sự tồn tại của private channel đó

- Secrect channel: Tương tự private channel nhưng không thể xác định bằng

channel locator

Mạng IRC-based cũng tương tự như mạng Agent-Handler nhưng mô hìnhnày sử dụng các kênh giao tiếp IRC làm phương tiện giao tiếp giữa Client vàAgent (không sử dụng Handler) Sử dụng mô hình này, attacker còn có thêm một

- Sau cùng: IRC cũng là một môi trường chia sẻ file tạo điều kiện phát táncác Agent code lên nhiều máy khác

1.2.4 Các phương pháp xây dựng tài nguyên tấn công

Có rất nhiều điểm chung của các công cụ DDoS attack Có thể kể ra một

số điểm chung như: cách cài chương trình Agent, phương pháp giao tiếp giữa cácattacker, Handler và Agent, điểm chung về loại hệ điều hành hỗ trợ các công cụ

này Sơ đồ sau mô tả sự so sánh tương quan giữa các công cụ tấn công DDoSnày.

Hình 1.7 Các phương pháp xây dựng tài nguyên tấn công

 Cách thức cài đặt DDoS Agent

Attacker có thể dùng phương pháp active và passive để cài đặt chương trìnhAgent lên các máy khác nhằm thiết lập mạng tấn công kiểu Agent-Handler hayIRC-based

- Các cách cài đặt sử dụng phương pháp active như:

+ Scaning: dùng các công cụ như Nmap, Nessus để tìm những sơ hở trên

các hệ thống đang online nhằm cài đặt chương trình Agent Chú ý, Nmap sẽ trả

về những thông tin về một hệ thống đã được chỉ định bằng địa chỉ IP, Nessus tìmkiếm từ những địa chỉ IP bất kỳ về một điểm yếu biết trước nào đó

+ Backdoor: sau khi tìm thấy được danh sách các hệ thống có thể lợi dụng,

attacker sẽ tiến hành xâm nhập và cài chương trình Agent lên các hệ thống này

Có rất nhiều thông tin sẵn có về cách thức xâm nhập trên mạng, như site của tổchức Common Vulnerabilities and Exposures (CVE), ở đây liệt kê và phân loạitrên 4.000 loại lỗi của tất cả các hệ thống hiện có Thông tin này luôn sẵn sàngcho cả giới quản trị mạng lẫn hacker

+ Trojan: là một chương trình thực hiện một chức năng thông thường nào

đó, nhưng lại có một số chức năng tiềm ẩn phục vụ cho mục đích riêng của ngườiviết mà người dùng không thể biết được Có thể dùng Trojan như một chươngtrình Agent

+ Buffer Overflow: tận dụng lỗi buffer overflow, attacker có thể làm cho

chu trình thực thi chương trình thông thường bị chuyển sang chu trình thực thichương trình của hacker (nằm trong vùng dữ liệu ghi đè) Có thể dùng cách này

để tấn công vào một chương trình có điểm yếu buffer overflow để chạy chươngtrình Agent

- Cách cài đặt passive:

+ Bug trình duyệt web: attacker có thể lợi dụng một số lỗi của trình duyệt

web để cài chương trình Agent vào máy của user truy cập Attacker sẽ tạo mộttrang web mang nội dung tiềm ẩn những code và lệnh để đặt bẫy user Khi usertruy cập nội dung của trang web, thì trang web download và cài đặt chương trìnhAgent một cách bí mật Microsoft Internet Explorer (IE) thường là mục tiêu củacách cài đặt này, với các lỗi của ActiveX có thể cho phép trình duyệt IE tự độngdownload và cài đặt code trên máy của người dùng duyệt web

+ Corrupted file: một phương pháp khác là nhúng code vào trong các file

thông thường Khi user đọc hay thực thi các file này, máy của họ lập tức bịnhiễm chương trình Agent software Một trong những kỹ thuật phổ biến là đặttên file rất dài, do mặc định của các hệ điều hành chỉ hiển thị phần đầu của tênfile nên attacker có thể gửi kèm theo email cho nạn nhân file như sau:iloveyou.txt_hiiiiiii_NO_this_is_DDoS.exe, do chỉ thấy phần “Iloveyou.txt” hiểnthị nên user sẽ mở file này để đọc và lập tức file này được thực thi và Agent codeđược cài vào máy nạn nhân Ngoài ra còn nhiều cách khác như ngụy trang file,ghép file…

 Giao tiếp trên mạng Botnet

Protocol: giao tiếp trên mạng Botnetcó thể thực hiện trên nền các

protocol TCP, UDP, ICMP

Mã hóa các giao tiếp: một vài công cụ DDoS hỗ trợ mã hóa giao tiếp

trên toàn bộ mạng Botnet Tùy theo protocol được sử dụng để giao tiếp sẽ có các

phương pháp mã hóa thích hợp Nếu mạng Botnet ở dạng IRC-based thì private

và secrect channel đã hỗ trợ mã hóa giao tiếp

Cách kích hoạt Agent: có hai phương pháp chủ yếu để kích hoạt Agent.

Cách thứ nhất là Agent sẽ thường xuyên quét thăm dò Handler hay IRC channel

để nhận chỉ thị (active Agent) Cách thứ hai là Agent chỉ đơn giản là “nằm vùng”chờ chỉ thị từ Handler hay IRC Channel

1.2.5 Một số kiểu tấn công DDoS và các công cụ tấn công DDoS

 Một số kiểu tấn công DDoS

Bên cạnh việc phân loại các kiểu tấn công theo mục đích tấn công, ta còn có thểphân loại theo cách tấn công vào giao thức Dưới đây là phân loại một số cáchtấn công DDoS theo giao thức :

ra lệnh cho các daemons gửi các UDP packet đến mục tiêu

Mô hình :

attacker(s) >Master(s) >daemon(s) >victim(s)

- Attacker -> Master : port 27665/TCP

- Master -> Deamons : port 27444/UDP

- Daemon -> Master : port 31335/UD

- Deamon -> UDP Flood đến mục tiêu (random port)

Tribe Flood Network (TFN/TFN2K)

Tương tự như Trinoo nhưng Tribe Flood Network còn cho phép attacker

sử dụng thêm ICMP flood, SYN flood và Smurf

- Client -> handler(s) : port 16660/tcp

- Handler < > agent(s): port 65000/tcp, ICMP ECHO REPLY

Trinity

Trinity có hầu hết các kỹ thuật tấn công bao gồm: UDP, TCP SYN, TCP

ACK, TCP fragment, TCP NULL, TCP RST, TCP random flag, TCPESTABLISHED packet flood Nó có sẵn khả năng ngẫu nhiên hóa địa chỉ bêngởi Trinity cũng hỗ trợ TCP flood packet với khả năng ngẫu nhiên tậpCONTROL FLAG Trinity có thể nói là một trong số các công cụ DDoS nguyhiểm nhất

Shaft

Shaft có các kĩ thuật tấn công UDP, ICMP và TCP flood Có thể tấncông phối hợp nhiều kiểu cùng lúc Có thống kê chi tiết cho phép attacker biếttình trạng tổn thất của nạn nhân, mức độ quy mô của cuộc tấn công để điều chỉnh

số lượng Agent

Mô hình :

- client(s) >handler(s) >agent(s) >victim(s)

- Client > handler(s): port 20432/tcp

- Handler -> agent(s): port 18753/udp

- Agent -> handler(s): port 20433/udp

Vấn đề then chốt của hacker tấn công bằng hình thái cổ điển là nắm quyềnđiều khiển càng nhiều máy tính càng tốt, sau đó anh ta sẽ trực tiếp phát động tấncông hàng loạt từ xa thông qua một kênh điều khiển Với quy mô mạng lưới tấncông bao gồm vài trăm nghìn máy, hình thái này có thể đánh gục ngay lập tức bất

cứ hệ thống nào Phối hợp với khả năng giả mạo địa chỉ IP, kiểu tấn công này sẽrất khó lần theo dấu vết

Hình 1.8 - Mô hình mạng Classic DDoS

Tuy nhiên, mô hình này có một số nhược điểm:

- Mạng lưới tấn công là cố định và tấn công xảy ra đồng loạt nên rất dễ điềutra ngược tìm manh mối

- Software cài lên các Infected Agent là giống nhau và có thể dùng làmbằng chứng kết tội hacker

- Phía nạn nhân có thể điều chỉnh hệ thống phòng vệ để ngăn chặn vì mạnglưới tấn công là “khả kiến”

- Hacker buộc phải trực tiếp kết nối đến mạng lưới các máy tấn công tạithời điểm tấn công để điều khiển nên rất dễ lần ra thủ phạm.

X-Flash xuất hiện sau khi DantruongX và nhóm BeYeu phát hiện ra

những lỗ hổng bảo mật của IE và Flash Player Nó chỉ bằng cách đơn giản là gửi

yêu cầu tới web server dạng HTTP Request ( yêu cầu dạng POST hay GET) vớimột tốc độ cực kì nhanh kiến web services bị crash

Cách tấn công : Hacker treo một file flash trên một trang web trung gian

có nhiều người truy xuất, người dùng truy xuất trang web này file flash sẽ đượctải về máy và được chương trình Flash thực thi Từ đây vô số các yêu cầu truyxuất sẽ gởi đến trang web mục tiêu

Hình 1.9 - Mô hình mạng X-Flash DdoS

Flash DDOS có một số đặc tính khiến cho việc ngăn chặn và phát hiện

gần như là không thể Do mạng lưới tấn công phức tạp và tự hình thành :

- Không cần thiết phải nắm quyền điều khiển và cài DDOS software vào cácinfected agent Thay vào đó mọi user với một trình duyệt có hỗ trợ nội dungFlash (có Flash Player) sẽ trở thành công cụ tấn công

- Số lượng attack agent tùy thuộc vào số lượng user truy xuất các trang web

đã bị hacker “nhúng” nội dung flash, số lượng này thay đổi theo thời gian vàhoàn toàn không thể nhận biết địa chỉ IP nguồn, vì đây là các user thông thường

- Không hề có quá trình gởi lệnh và nhận báo cáo giữa hacker và mạng lướitấn công, toàn bộ lệnh tấn công được “nhúng” trong nội dung flash và hackerkhông cần nhận báo cáo do đây là mô hình tấn công bất đồng bộ

- Tấn công bất đồng bộ: Việc tấn công diễn ra không cần có mệnh lệnh Ngườidùng truy xuất trang web , load nội dung flash về trình duyệt và Flash player thựcthi nội dung flash thì ngay lập tức máy của họ trở thành một attack agent-liên tụcgởi hàng trăm request đến máy chủ web nạn nhân

- Quy mô tấn công phụ thuộc vào số lượng trang web bị lợi dụng và số lượngngười dùng thường xuyên truy xuất các trang web này Chỉ tính trung bìnhhacker lợi dụng được 10 trang web và mỗi trang web này có số lượng truy xuấtkhoảng 100 user tại một thời điểm thì tổng số request mà server nạn nhân phảihứng chịu tại một thời điểm lên đến con số vài chục ngàn Đây là một số liệukinh hoàng với bất kỳ ai làm quản trị hệ thống của bất cứ trang web nào và kếtquả thường là hệ thống tê liệt ngay lập tức

Tuy nhiên, hiện nay chương trình Flash player mới nhất đã được fix lỗi, cách tấncông Flash đã phần nào được hạn chế

1.2.6 Phòng chống DDoS

Có rất nhiều giải pháp và ý tưởng được đưa ra nhằm đối phó với các cuộctấn công kiểu DDoS Tuy nhiên không có giải pháp và ý tưởng nào là giải quyếttrọn vẹn bài toán Phòng chống DDoS Các hình thái khác nhau của DDoS liêntục xuất hiện theo thời gian song song với các giải pháp đối phó, tuy nhiên cuộcđua vẫn tuân theo quy luật tất yếu của bảo mật máy tính: “Hacker luôn đi trướcgiới bảo mật một bước”

Có ba giai đoạn chính trong quá trình Phòng chống DDoS:

- Giai đoạn ngăn ngừa: tối thiểu hóa lượng Agent, tìm và vô hiệu hóa cácHandler

- Giai đoạn đối đầu với cuộc tấn công: Phát hiện và ngăn chặn cuộc tấn công,làm suy giảm và dừng cuộc tấn công, chuyển hướng cuộc tấn công.

- Giai đoạn sau khi cuộc tấn công xảy ra: thu thập chứng cứ và rútkinh nghiệm

Hình 1.10 - Các giai đoạn chi tiết trong phòng chống DDoS

Tối thiểu hóa lượng Agent

Từ phía người dùng: một phương pháp rất tốt để ngăn ngừa tấn công

DDoS là từng người dùng Internet sẽ tự đề phòng không để bị lợi dụng tấncông hệ thống khác Muốn đạt được điều này thì ý thức và kỹ thuật phòngchống phải được phổ biến rộng rãi cho mọi người dùng Mạng lưới Botnet sẽkhông bao giờ hình thành nếu không có người nào bị lợi dụng trở thànhAgent Mọi người dùng phải liên tục thực hiện các quá trình bảo mật trênmáy vi tính của mình Họ phải tự kiểm tra sự hiện diện của Agent trên máycủa mình, điều này là rất khó khăn đối với những người dùng thông thường.Một giải pháp đơn giản là nên cài đặt và update liên tục các software nhưantivirus, antitrojan và các bản patch của hệ điều hành

Từ phía Network Service Provider: Thay đổi cách tính tiền dịch vụ truy

cập theo dung lượng sẽ làm cho user lưu ý đến những gì họ gửi, như vậy về mặt

ý thức tăng cường phát hiện DDoS Agent sẽ tự nâng cao ở mỗi người dùng

Tìm và vô hiệu hóa các Handler

Một nhân tố vô cùng quan trọng trong mạng Botnet là Handler, nếu có thểphát hiện và vô hiệu hóa Handler thì khả năng Phòng chống DDoS thành công làrất cao Bằng cách theo dõi các giao tiếp giữa Handler và Client hay Handler vàAgent ta có thể phát hiện ra vị trí của Handler Do một Handler quản lý nhiều,nên triệt tiêu được một Handler cũng có nghĩa là loại bỏ một lượng đáng kể cácAgent trong mạng Botnet

Phát hiện dấu hiệu của cuộc tấn công

Có nhiều kỹ thuật được áp dụng:

- Agress Filtering: Kỹ thuật này kiểm tra xem một packet có đủ tiêu chuẩn ra

khỏi một subnet hay không dựa trên cơ sở gateway của một subnet luôn biếtđược địa chỉ IP của các máy thuộc subnet Các packet từ bên trong subnet gửi rangoài với địa chỉ nguồn không hợp lệ sẽ bị giữ lại để điều tra nguyên nhân Nếu

kỹ thuật này được áp dụng trên tất cả các subnet của Internet thì khái nhiệm giảmạo địa chỉ IP sẽ không còn tồn tại

- MIB statistics: trong Management Information Base (SNMP-Simple Network

Management Protocol ) của route luôn có thông tin thống kể về sự biến thiêntrạng thái của mạng Nếu ta giám sát chặt chẽ các thống kê của Protocol ICMP,UDP và TCP ta sẽ có khả năng phát hiện được thời điểm bắt đầu của cuộc tấncông để tạo “quỹ thời gian vàng” cho việc xử lý tình huống

Làm suy giảm hay dừng cuộc tấn công

Dùng các kỹ thuật sau:

- Load balancing: Thiết lập kiến trúc cân bằng tải cho các server trọng điểm sẽ

làm gia tăng thời gian chống chọi của hệ thống với cuộc tấn công DDoS Tuynhiên, điều này không có ý nghĩa lắm về mặt thực tiễn vì quy mô của cuộc tấncông là không có giới hạn

- Throttling: Thiết lập cơ chế điều tiết trên router, quy định một khoảng tải hợp

lý mà server bên trong có thể xử lý được Phương pháp này cũng có thể đượcdùng để ngăn chặn khả năng DDoS traffic không cho user truy cập dịch vụ Hạnchế của kỹ thuật này là không phân biệt được giữa các loại traffic, đôi khi làm

dịch vụ bị gián đoạn với user, DDoS traffic vẫn có thể xâm nhập vào mạng dịch

vụ nhưng với số lượng hữu hạn

- Drop request: Thiết lập cơ chế drop request nếu nó vi phạm một số quy định

như: thời gian delay kéo dài, tốn nhiều tài nguyên để xử lý, gây deadlock Kỹthuật này triệt tiêu khả năng làm cạn kiệt năng lực hệ thống, tuy nhiên nó cũnggiới hạn một số hoạt động thông thường của hệ thống, cần cân nhắc khi sử dụng

Chuyển hướng cuộc tấn công

Honeyspots: Một kỹ thuật đang được nghiên cứu là Honeyspots.

Honeyspots là một hệ thống được thiết kế nhằm đánh lừa attacker tấn công vàokhi xâm nhập hệ thống mà không chú ý đến hệ thống quan trọng thực sự

Ngoài ra, Honeyspots còn có giá trị trong việc học hỏi và rút kinh nghiệm

từ Attacker, do Honeyspots ghi nhận khá chi tiết mọi động thái của attacker trên

hệ thống Nếu attacker bị đánh lừa và cài đặt Agent hay Handler lên Honeyspotsthì khả năng bị triệt tiêu toàn bộ mạng Botnet là rất cao

Giai đoạn sau tấn công

Trong giai đoạn này thông thường thực hiện các công việc sau:

-Traffic Pattern Analysis: Nếu dữ liệu về thống kê biến thiên lượng traffic

theo thời gian đã được lưu lại thì sẽ được đưa ra phân tích Quá trình phân tíchnày rất có ích cho việc tinh chỉnh lại các hệ thống Load Balancing và Throttling.Ngoài ra các dữ liệu này còn giúp quản trị mạng điều chỉnh lại các quy tắc kiểmsoát traffic ra vào mạng của mình

- Packet Traceback: bằng cách dùng kỹ thuật Traceback ta có thể truy ngược

lại vị trí của Attacker (ít nhất là subnet của attacker) Từ kỹ thuật Traceback taphát triển thêm khả năng Block Traceback từ attacker khá hữu hiệu

- Bevent Logs: Bằng cách phân tích file log sau cuộc tấn công, quản trị mạng có

thể tìm ra nhiều manh mối và chứng cứ quan trọng

Những vấn đề có liên quan

DDoS là một kiểu tấn công rất đặc biệt, điểm cực kỳ hiểm ác của DDoSlàm cho nó khó khắc phục là “DDoS đánh vào nhân tố yếu nhất của hệ thốngthông tin – con người” Từ đặc điểm này của DDoS làm phát sinh rất nhiều các

vần đề mà mọi người trong cộng đồng Internet phải cùng chung sức mới có thểgiải quyết.

Sau đây là các yếu điểm mà chúng ta cần phải hạn chế :

Thiếu trách nhiệm với cộng đồng

Con người thông thường chỉ quan tâm đầu tư tiền bạc và công sức cho hệthống thông tin của “chính mình” DDoS khai thác điểm này rất mạnh ở phươngthức giả mạo địa chỉ và Broadcast amplification

- IP spoofing: một cách thức đơn giản nhưng rất hiệu quả được tận dụng tối đa

trong các cuộc tấn công DDoS Thực ra chống giả mạo địa chỉ không có gì phứctạp, như đã đề cập ở phần trên, nếu tất cả các subnet trên Internet đều giám sátcác packet ra khỏi mạng của mình về phương diện địa chỉ nguồn hợp lệ thì không

có một packet giả mạo địa chỉ nào có thể truyền trên Internet được

Đề nghị:

“Tự giác thực hiện Egress Filtering ở mạng do mình quản lý” Hi vọng mộtngày nào đó sẽ có quy định cụ thể về vấn đề này cho tất cả các ISP trên toàn cầu

- Broadcast Amplification: tương tự IP spoofing, nó lợi dụng toàn bộ một

subnet để flood nạn nhân Vì vậy, việc giám sát và quản lý chặt chẽ khả năngbroadcast của một subnet là rất cần thiết Quản trị mạng phải cấu hình toàn bộ hệthống không nhận và forward broadcast packet

Đề nghị:

- Mỗi tổ chức có liên quan nên thiết lập quy trình xử lý xâm nhập vào tổ chức,nhóm chuyên trách với trách nhiệm và quy trình thật cụ thể Các ISP nên thiết lậpkhả năng phản ứng nhanh và chuyên nghiệp để hỗ trợ các tổ chức trong việc thựchiện quy trình xử lý xâm nhập của mình

- Khuyến khích các quản trị mạng gia nhập mạng lưới thông tin toàn cầu củacác tổ chức lớn về bảo mật nhằm thông tin kịp thời và chia sẻ kinh nghiệm vớimọi người

- Tất cả các cuộc tấn công hay khuyết điểm của hệ thống đều phải được báo cáođến bộ phận tương ứng để xử lý

Tầm nhìn hạn hẹp

Nếu chỉ thực hiện các giải pháp trên thôi thì đưa chúng ta ra khỏi tình trạngcực kỳ yếu kém về bảo mật Các giải pháp này không thực sự làm giảm các rủi rocủa hệ thống thông tin mà chỉ là các giải pháp tình thế Có những vấn đề đòi hỏimột cái nhìn và thái độ đúng đắn của cộng đồng Internet Cần phải có nhữngnghiên cứu thêm về mặt quy định bắt buộc và pháp lý nhằm hỗ trợ chúng tac giảiquyết các vấn đề mà kỹ thuật không thực hiện nỗi Một số vấn đề cần thực hiệnthêm trong tương lai:

- Giám sát chi tiết về luồng dữ liệu ở cấp ISP để cảnh cáo về cuộc tấn công

- Xúc tiến đưa IPSec và Secure DNS vào sử dụng

- Khẳng định tầm quan trọng của bảo mật trong quá trình nghiên cứu và pháttriển của Internet II

- Nghiên cứu phát triển công cụ tự động sinh ra ACL từ security policy, router vàfirewall

- Ủng hộ việc phát triển các sản phẩm hướng bảo mật có các tính năng: bảo mậtmặc định, tự động update

- Tài trợ việc nghiên cứu các protocol và các hạ tầng mới hỗ trợ khả năng giámsát, phân tích và điều khiển dòng dữ liệu thời gian thực

- Phát triển các router và switch có khả năng xử lý phức tạp hơn

- Nghiên cứu phát triển các hệ thống tương tự như Intrusion Dectection, hoạt

động so sánh trạng thái hiện tại với định nghĩa bình thường củ hệ thống từ đó đưa

ra các cảnh báo

- Góp ý kiến để xây dựng nội quy chung cho tất cả các thành phần có liên quanđến Internet

- Thiết lập mạng lưới thông tin thời gian thực giữa những người chịu trách nhiệm

về hoạt động của hệ thống thông tin nhằm cộng tác-hỗ trợ-rút kinh nghiệm khi cómột cuộc tấn công quy mô xảy ra

- Phát triển hệ điều hành bảo mật hơn

- Nghiên cứu các hệ thống tự động hồi phục có khả năng chống chọi, ghi nhận vàhồi phục sau tấn công cho các hệ thống xung yếu

- Nghiên cứu các biện pháp truy tìm, công cụ pháp lý phù hợp nhằm trừng trịthích đáng các attacker mà vẫn không xâm phạm quyền tự do riêng tư cá nhân

- Đào tạo lực lượng tinh nhuệ về bảo mật làm nòng cốt cho tính an toàn củaInternet

- Nhấn mạnh yếu tố bảo mật và an toàn hơn là chỉ tính đến chi phí khi bỏ ra xâydựng một hệ thống thông tin

Nhận xét:

Thông qua chương này, ta có thể thấy DDoS thực sự là “Rất dễ thực hiện, hầunhư không thể tránh, hậu quả rất nặng nề.” Chính vì vậy việc đấu tranh phòngchống DDoS là công việc không chỉ của một cá nhân, một tập thể hay một quốcgia mà là công việc của toàn thế giới nói chung và cộng đồng sử dụng mạngInternet nói riêng

CHƯƠNG 2 KHẢO SÁT VÀ TỔNG QUAN VỀ IPTABLES VÀ SNORT

2.1 Khảo sát hiện trạng công ty trách nhiệm hữu hạn GM Việt Nam

2.1.1 Giới thiệu về công ty

Là một trong những doanh nghiệp có vốn đầu tư nước ngoài đầu tiên tạiviệt nam , Công ty TNHH Ô tô GM Việt Nam chuyên hoạt động trong lĩnh vựcsản xuất , lắp ráp và kinh doanh ô tô , phụ tùng các loại mang nhãn hiệu Daewoo

và Chevrolet.Vì vậy đã là một doanh nghiệp tham gia vào thương mại điện tử thìvấn đề an toàn , an ninh phải đặt lên hàng đầu cho các doanh nghiệp do vậy cầnthiết xây dựng chương trình phát hiện ngăn chặn tấn công trên mạng là rất cầnthiết hiện nay

2.1.2 Mô hình mạng của công ty

Mô hình mạng của công ty : Quá trình khảo sát mô hình công ty TNHH

Ô tô GM Việt Nam : một ADSL modem dùng để kết nối với Internet , phòngserver gồm Server , Webserver , MailServer có 4 Switch 8 cổng , 3 Switch 24cổng để chia vào các phòng ban

Website : http://gmvietnam.com.vn/

Các phần mềm ứng dụng được Công ty sử dụng như phần mềm kế toán,quản lý quan hệ khách hàng, hoạch định tài nguyên doanh nghiệp,các hệ thốngquản lý nội dung, quản lý nhân lực và các phần mềm ứng dụng khác

2.1.3 Tình hình sử dụng mạng và yêu cầu về giải pháp an toàn hệ thống của công ty

Là một công ty hoạt động trong lĩnh vực kinh doanh ô tô trong thươngmại điện tử nên việc sử dụng hệ thống mạng với quy mô lớn và an toàn thông tin

là việc tất yếu

Công ty sử dụng một hệ thống mạng rất lớn trong việc lưu trữ tất cả các

dữ liệu của công ty và phục vụ cho công việc kinh doanh Là một Công ty lớnnên Đại Minh luôn đặt việc quản lý và đảm bảo an toàn mạng lên hàng đầu, từviệc bảo mật thông tin các dự án, thông tin khách hàng,….đến việc trao đổi mua

bán các thiết bị mạng qua website của Công ty Yêu cầu về an toàn thông tinđược đặt ra phải đảm bảo được 3 đặc tính cơ bản của bảo mật thông tin là : Tính

bí mật thông tin, Tính toàn vẹn, Tính sẵn sàng

Như các công ty khác, công ty cũng đã sử dụng tường lửa trong hệ thống

bảo mật hay các phần mềm phòng chống Virus, spam và bảo vệ website Firewall

là một công cụ hoạt động ở ranh giới giữa bên trong hệ thống và Internet bênngoài và cung cấp cơ chế phòng thủ từ vành đai Nó hạn chế việc truyền thôngcủa hệ thống với những kẻ xâm nhập tiềm tang và làm giảm rủi ro cho hệ thống.Đây là một công cụ không thể thiểu trong một giải pháp tổng thể Tuy nhiênFirewall cũng có rất nhiều những điểm yếu.Và một hệ thống IDS/IPS đã khắcphục được các điểm yếu của Firewall Lợi thế của hệ thống IDS/IPS là có thểphát hiện được những kiểu tấn công chưa biết trước, đưa ra các cảnh báo kịp thờicho người quản trị và ngăn chặn cuộc tấn công đó

Như vậy xây dựng một hệ thống phát hiện và ngăn chặn tấn công trái phépIDS/IPS cho công ty là một giải pháp rất cần thiết đối với việc đảm bảo an toànbảo mật hệ thống thông tin

2.2 Tổng quan về Iptables

2.2.1 Giới thiệu chung về Iptables

Iptables là một tường lửa ứng dụng lọc gói dữ liệu rất mạnh, miễn phí và

có sẵn trên Linux Netfilter/Iptables gồm 2 phần là Netfilter ở trong nhân Linux

và Iptables nằm ngoài nhân Iptables chịu trách nhiệm giao tiếp giữa người dùng

và Netfilter để đẩy các luật của người dùng vào cho Netfiler xử lí Netfilter tiếnhành lọc các gói dữ liệu ở mức IP Netfilter làm việc trực tiếp trong nhân, nhanh

và không làm giảm tốc độ của hệ thống

Hình 2.1 - Mô hình Iptables/netfilter

2.2.2 Cấu trúc của Iptables

Tất cả mọi gói dữ liệu đều được kiểm tra bởi Iptables bằng cách dùng cácbản tuần tự xây dựng sẵn (queues) Có 3 loại bảng này gồm:

- Mangle : chịu trách nhiệm thay đổi các bits chất lượng dịch vụ trong TCP

header như TOS (type of service ), TTL (time to live) và MARK

- Filter: chịu trách nhiệm lọc gói dữ liệu Nó gồm 3 quy tắc nhỏ (chain) để thiết

lập các nguyên tắc lọc gói, gồm :

+ Forward chain: lọc gói khi đến server khác.

+ Input chain: lọc gói khi đi vào trong server.

+ Output chain: lọc gói khi ra khỏi server.

- NAT : Gồm có hai loại:

+ Pre-routing : thay đổi địa chỉ của gói dữ liệu đến khi cần thiết.

+ Post-routing : thay đổi địa chỉ của gói dữ liệu khi cần thiết.

Loại

queues

Chức năng queues

Quy tắc xử lý gói (chain)

Chức năng của chain

Filter Lọc gói FORWARD Lọc gói dữ liệu đi đến các server

khác kết nối trên các NIC củafirewall

INPUT Lọc gói đi đến firewall

OUTPUT Lọc gói đi ra khỏi firewall

Address

PREROUTING Việc thay đổi địa chỉ diễn ra

trước khi dẫn đường Thay đổi

Translation(Biên dịch địachỉ mạng)

địa chỉ đích sẽ giúp gói dữ liệuphù hợp với bảng chỉ đường của

firewall Sử dụng destination NAT hay DNAT

POSTROUTING Việc thay đổi địa chỉ diễn ra sau

khi dẫn đường Sử dụng Source NAT hay SNAT

OUTPUT NAT sử dụng cho các gói dữ

liệu xuất phát từ firewall Hiếmkhi dùng trong môi trườngSOHO (small office-homeoffice)

Mangle Chỉnh sửa

TCP header

PREROUTINGPOSTROUTINGOUTPUT

INPUTFORWARD

Điều chỉnh các bit quy định chấtlượng dịch vụ trước khi dẫnđường Hiếm khi dùng trongmôi trường SOHO

Bảng 2.1 - Các loại queues và chức năng của nó

Ta hãy xem qua ví dụ mô tả đường đi của một gói dữ liệu :