Mục đích nghiên cứu
- Giải thích được các kỹ thuật tấn công DDOS
- Phân tích được các thuật toán tấn công DDOS
- Tìm hiểu cách ngăn chặn tấn công DDOS
Nội dung thực hiện
- Tìm hiểu về khái niệm tấn công DDOS
- Tìm hiểu các kỹ thuật tấn công DDOS
- Tìm hiểu các thuật toán tấn công DDOS
TỔNG QUAN VỀ TẤN CÔNG DDOS
Khái niệm tấn công DDOS
Tấn công từ chối dịch vụ phân tán (DDoS) xảy ra khi nhiều máy tính hoặc hệ thống máy tính đồng thời gửi yêu cầu tài nguyên đến một máy chủ mục tiêu, dẫn đến tình trạng máy chủ không đủ tài nguyên để đáp ứng, gây ra hiện tượng treo hoặc mất khả năng phục vụ và có thể buộc máy chủ phải khởi động lại.
Hacker thường tấn công từ chối dịch vụ thường nhắm vào các trang tin tức mạng hay máy chủ của các ngân hàng, cổng thanh toán thẻ tín dụng v.v
Hacker có thể khai thác các máy chủ Free Proxy toàn cầu hoặc sử dụng BOTNET để thực hiện các cuộc tấn công Ngoài ra, họ còn có thể phát triển các công cụ để tải lên các diễn đàn, từ đó tự động gửi yêu cầu đến các máy chủ mục tiêu.
Giới thiệu về DDOS
Vào ngày 7/2/2000, Yahoo.com đã phải ngưng phục vụ hàng trăm triệu người dùng trên toàn thế giới trong nhiều giờ Nguyên nhân được xác định là do một cuộc tấn công DDoS quy mô lớn, khi hàng nghìn máy tính liên tục gửi hàng triệu yêu cầu đến các máy chủ của Yahoo, khiến cho các máy chủ này không thể phục vụ người dùng bình thường.
Vài ngày sau sự kiện trước, một cuộc tấn công mạng ồn ào hơn đã xảy ra, gây ảnh hưởng đến nhiều công ty lớn như CNN, Fifa.com, Amazon.com, Dell.com, Zdnet.com, E-trade.com và Ebay.com Theo báo cáo của Yankke Group, thiệt hại ước tính lên tới 1.2 triệu USD, nhưng mất mát lớn hơn chính là lòng tin của khách hàng và uy tín của các thương hiệu Điều tra cho thấy, một cậu bé 15 tuổi người Canada với nickname “mafiaboy” đã sử dụng các chương trình và công cụ hack, trong đó có công cụ DDoS TrinOO, để thực hiện các cuộc tấn công Đáng chú ý, Mafiaboy bị bắt giữ sau khi tự khoe khoang về hành vi của mình trên các phòng chat công cộng, khiến cho việc truy tìm dấu vết của cậu trở nên khó khăn.
Kể từ đó, nhiều công ty lớn trên thế giới và tại Việt Nam đã trở thành nạn nhân của các cuộc tấn công DDoS, trong đó có Microsoft Cuộc tấn công này là ví dụ điển hình cho đặc điểm của DDoS: dễ thực hiện, khó tránh và gây hậu quả nghiêm trọng.
Các giai đoạn của một cuộc tấn công DDOS
Một cuộc tấn công DDOS thông thường gồm bao gồm 03 giai đoạn a Giai đoạn 1: Giai đoạn chuẩn bị
Chuẩn bị công cụ là bước quan trọng trong cuộc tấn công, với các công cụ DDoS thường hoạt động theo mô hình client-server Hacker có thể dễ dàng viết hoặc tải phần mềm từ Internet, vì có nhiều công cụ DDoS miễn phí có sẵn trên mạng.
Hacker sử dụng các kỹ thuật tấn công để chiếm quyền kiểm soát một số host trên mạng và cài đặt phần mềm cần thiết Trong giai đoạn này, việc cấu hình và thử nghiệm toàn bộ mạng tấn công, bao gồm các máy đã bị lợi dụng và phần mềm đã thiết lập, cũng như máy của hacker, sẽ được thực hiện Giai đoạn tiếp theo là xác định mục tiêu và thời điểm tấn công.
- Sau khi xác định mục tiêu lần cuối, hacker sẽ có hoạt động điều chỉnh mạng tấn công chuyển hướng tấn công về phía mục tiêu
Yếu tố thời điểm đóng vai trò quyết định trong mức độ thiệt hại và tốc độ phản ứng của mục tiêu trước cuộc tấn công Trong giai đoạn 3, hacker sẽ phát động tấn công đúng thời điểm đã định từ máy của mình Lệnh tấn công có thể đi qua nhiều cấp trước khi đến được máy chủ thực sự bị tấn công Toàn bộ mạng tấn công, có thể bao gồm hàng nghìn máy, sẽ làm cạn kiệt năng lực của máy chủ mục tiêu, khiến cho các máy chủ này không thể hoạt động đúng như thiết kế.
Sau một thời gian tấn công, hacker sẽ xóa mọi dấu vết có thể dẫn đến danh tính của mình Quá trình này yêu cầu sử dụng các kỹ thuật xóa dấu vết tinh vi và chuyên nghiệp.
Kiến trúc tổng quan của mạng tấn công DDOS
Nhìn chung mạng tấn công DDOS có hai mô hình chính:
+ Mô hình IRC – Based (mô hình dựa vào mạng trao đổi thông tin)
Dưới đây là sơ đồ chính phân loại các kiểu tấn công DDOS (Hình 1.1)
Hình 1.1 Mô hình Agent – Handler
Theo mô hình này, mạng tấn công gồm 3 thành phần: Agent, Client và Handler (Hình 1.1):
Client: là thành phần phần mềm cơ sở để hacker điều khiển mọi hoạt động của mạng tấn công
Handler: là một thành phần phần mềm trung gian giữa Agent và Client, làm nhiệm vụ giúp Client điều khiển các Agent
Kênh riêng / Kênh bí mật
Agent: là thành phần phần mềm thực hiện sự tấn công vào mục tiêu, nhận điều khiển từ Client thông qua các Handler
Kiến trúc mạng tấn công kiểu Agent – Handler được mô tả trên
Hình 1.2 Kiến trúc mạng tấn công kiểu Agent – Handler
Hacker giao tiếp với Handler để xác định số lượng Agent đang hoạt động, điều chỉnh thời điểm tấn công và cập nhật các Agent Tùy thuộc vào cấu hình mạng tấn công mà Hacker thiết lập, các Agent có thể được quản lý bởi một hoặc nhiều Handler.
Agent Agent Agent Agent Agent
Hacker thường cài đặt phần mềm Handler trên bộ định tuyến hoặc máy chủ có lưu lượng mạng lớn để che giấu giao tiếp giữa Client, Handler và Agent Những giao tiếp này thường diễn ra qua các giao thức TCP, UDP hoặc ICMP, khiến cho chủ sở hữu của các máy tính bị cài Agent không nhận ra rằng họ đang bị lợi dụng cho các cuộc tấn công DDOS Thêm vào đó, các Agent được cài đặt dưới dạng cửa hậu (Backdoor) thường tiêu tốn rất ít tài nguyên hệ thống, do đó người dùng khó nhận thấy ảnh hưởng của chúng đến hiệu suất máy tính.
1.4.2 Mô hình dựa vào mạng IRC (IRC – Based)
Internet Relay Chat (IRC) là một hệ thống giao tiếp trực tuyến cho phép người dùng kết nối và trao đổi thảo luận theo thời gian thực Kiến trúc của mạng IRC bao gồm nhiều máy chủ kết nối với nhau qua các kênh, cho phép người dùng tạo ra ba loại kênh: kênh chung, kênh riêng và kênh bí mật.
- Kênh chung (Public Channel): Cho phép người dùng của kênh đó thấy tên IRC và nhận được thông điệp của mọi người dùng khác trên cùng kênh
Kênh riêng (Private Channel) được tạo ra nhằm mục đích giao tiếp chỉ với những đối tượng được phép tham gia Trong kênh này, tên IRC và thông điệp sẽ không hiển thị cho những người dùng bên ngoài Tuy nhiên, nếu người dùng không thuộc kênh sử dụng một số lệnh tìm kiếm kênh, họ vẫn có thể phát hiện ra sự tồn tại của kênh riêng này.
- Kênh bí mật (Secret Channel): Tương tự kênh riêng nhưng không thể xác định bằng bộ định vị kênh (channel locator)
Kiến trúc mạng tấn công của kiểu dựa vào IRC được mô tả trên (Hình 1.3)
Hình 1.3 Kiến trúc mạng tấn công kiểu dựa vào mạng IRC
Mô hình mạng tấn công dựa vào IRC tương tự như mô hình Agent - Handler, nhưng sử dụng các kênh giao tiếp IRC để kết nối giữa Client và Agent mà không cần Handler Việc áp dụng mô hình này mang lại cho Hacker một số lợi thế bổ sung.
+ Các giao tiếp dưới dạng bản tin trao đổi (chat message) làm cho việc phát hiện ra chúng là vô cùng khó khăn
Lưu lượng IRC có khả năng di chuyển trên mạng với quy mô lớn mà không bị phát hiện Người dùng không cần duy trì danh sách các Agent, chỉ cần đăng nhập vào máy chủ IRC để nhận báo cáo trạng thái các Agent từ các kênh gửi về.
+ Sau cùng: IRC cũng là một môi trường chia sẻ tệp tin tạo điều kiện phát tán các mã Agent lên các máy khác.
Phân loại tấn công DDOS
Nhìn chung, có rất nhiều biến thể của kỹ thuật tấn công DDOS nhưng nếu
Agent Agent Agent Agent Agent
Protocol Exploit Attack Malformed Paclket
Các cuộc tấn công DDoS có thể được phân loại thành hai loại chính dựa trên mục đích tấn công: một là làm cạn kiệt băng thông và hai là làm cạn kiệt tài nguyên hệ thống Hình 1.4 dưới đây mô tả sự phân loại các kiểu tấn công này.
Hình 1.4 Phân loại tấn công kiểu DDOS
1.5.1 Những kiểu tấn công làm cạn kiệt băng thông mạng (Bandwidth Depletion Attack)
Tấn công làm cạn kiệt băng thông mạng nhằm tràn ngập mạng mục tiêu bằng lưu lượng không cần thiết, từ đó giảm thiểu khả năng lưu thông của các lưu lượng hợp lệ đến hệ thống cung cấp dịch vụ.
Có hai loại tấn công làm cạn kiệt băng thông mạng:
Tấn công ngập lụt (Flood Attack) là phương thức mà các Agent được điều khiển để gửi một lưu lượng lớn dữ liệu đến hệ thống dịch vụ của mục tiêu, gây ra tình trạng quá tải và làm cho dịch vụ không còn khả năng cung cấp băng thông.
Tấn công khuếch đại (Amplification Attack) là một phương thức tấn công mạng, trong đó kẻ tấn công điều khiển các Agent hoặc Client gửi thông điệp đến một địa chỉ IP quảng bá Hệ quả là tất cả các máy trong mạng con (subnet) sẽ đồng loạt gửi thông điệp đến hệ thống dịch vụ của mục tiêu, gây ra tình trạng gia tăng lưu lượng không cần thiết và làm suy giảm băng thông của mục tiêu.
Phương pháp này liên quan đến việc các Agent gửi một lượng lớn lưu lượng mạng nhằm làm chậm hệ thống dịch vụ của mục tiêu, dẫn đến tình trạng hệ thống bị treo hoặc hoạt động bão hòa Kết quả là người dùng thực sự không thể sử dụng dịch vụ như mong đợi.
Ta có thể chia tấn công ngập lụt thành hai loại:
Tấn công ngập lụt UDP (UDP Flood Attack) lợi dụng tính chất không kết nối của giao thức UDP, khiến hệ thống nhận tất cả các gói tin mà nó phải xử lý Khi một lượng lớn gói tin UDP được gửi đến dịch vụ của mục tiêu, nó có thể làm cho hệ thống vượt qua ngưỡng chịu đựng, dẫn đến tình trạng quá tải và ngừng hoạt động.
Các gói tin UDP này có thể được gửi đến các cổng tùy ý hay chỉ duy nhất một cổng
Khi các gói tin được gửi đến nhiều cổng, hệ thống mục tiêu phải xử lý phân hướng cho chúng, dẫn đến tình trạng quá tải Nếu cổng bị tấn công không sẵn sàng, hệ thống sẽ gửi gói tin ICMP thông báo "không tới được cổng đích" Các phần mềm Agent thường sử dụng địa chỉ IP giả để ẩn danh, vì vậy gói tin trả về sẽ xuất hiện từ một địa chỉ IP khác Tấn công ngập lụt UDP có thể gây ảnh hưởng đến các kết nối xung quanh mục tiêu do sự hội tụ mạnh mẽ của các gói tin.
Tấn công ngập lụt ICMP (ICMP Flood Attack) là một phương thức tấn công mạng nhằm quản lý và định vị thiết bị mạng Khi các Agent gửi một số lượng lớn gói tin ICMP_ECHO_REPLY đến hệ thống mục tiêu, hệ thống này buộc phải phản hồi bằng một lượng gói tin tương ứng, dẫn đến tình trạng nghẽn mạng Đáng lưu ý, địa chỉ IP của các Agent trong cuộc tấn công này có thể bị giả mạo.
Tấn công khuếch đại là phương thức lợi dụng chức năng hỗ trợ địa chỉ IP quảng bá của bộ định tuyến để khuếch đại và hồi chuyển cuộc tấn công Mô đun này cho phép bên gửi chỉ định một địa chỉ IP quảng bá cho toàn bộ subnet, thay vì gửi đến nhiều địa chỉ khác nhau Bộ định tuyến sẽ gửi gói tin nhận được đến tất cả các địa chỉ IP trong mạng con đó, làm gia tăng hiệu ứng của cuộc tấn công.
Hacker có thể tăng cường độ tấn công bằng cách gửi thông điệp quảng bá trực tiếp hoặc thông qua các Agent Khi gửi thông điệp trực tiếp, hacker có thể lợi dụng các hệ thống bên trong mạng để quảng bá như một Agent.
Hình 1.5 Tấn công khuếch đại
Có thể chia tấn công khuếch đại thành hai loại, tấn công Smurf và tấn công Fraggle:
Tấn công kiểu Smurf là một phương thức mà hacker gửi các gói tin ICMP ECHO REQUEST đến mạng khuếch đại, sử dụng địa chỉ của nạn nhân Khi nhận được các gói tin này, mạng khếch đại sẽ phát tán chúng đến tất cả các hệ thống thuộc địa chỉ quảng bá, dẫn đến việc tất cả các hệ thống này sẽ gửi gói tin ICMP ECHO REPLY về địa chỉ của mục tiêu tấn công, tạo ra một lượng lớn lưu lượng truy cập và gây ra tình trạng quá tải cho nạn nhân.
Tấn công Fraggle là một phương thức tấn công tương tự như tấn công Smurf, nhưng thay vì sử dụng gói tin ICMP ECHO REQUEST, hacker sử dụng gói tin UDP ECHO gửi đến mục tiêu Một biến thể khác của tấn công Fraggle gửi gói tin UDP ECHO đến cổng charge (port 19/UNIX) của mục tiêu, với địa chỉ bên gửi là cổng echo (port 7/UNIX) của mục tiêu, tạo ra một vòng lặp vô hạn Cuộc tấn công bắt đầu bằng một ECHO REQUEST với địa chỉ nhận là địa chỉ broadcast, khiến toàn bộ hệ thống trong địa chỉ này gửi REPLY đến cổng echo của nạn nhân, và sau đó nạn nhân lại gửi ECHO REPLY trở về địa chỉ quảng bá, tạo ra một quá trình liên tục Điều này làm cho tấn công Fraggle trở nên nguy hiểm hơn nhiều so với tấn công Smurf.
1.5.2 Những kiểu tấn công làm cạn kiệt tài nguyên
Tấn công làm cạn kiệt tài nguyên là phương thức mà hacker sử dụng để gửi các gói tin với giao thức sai chức năng hoặc nhằm mục đích làm tắc nghẽn tài nguyên mạng Hành động này gây ra tình trạng tài nguyên không thể phục vụ cho người dùng thông thường, dẫn đến giảm hiệu suất và khả năng truy cập của hệ thống mạng.
1.5.2.1 Tấn công khai thác giao thức (Protocol Exploit Attack)
Tấn công TCP SYN lợi dụng phương thức bắt tay ba bước trong giao thức TCP, nơi bên gửi khởi đầu bằng việc gửi gói tin SYN REQUEST Khi bên nhận nhận được gói tin này, nó sẽ phản hồi bằng gói tin SYN/ACK REPLY Cuối cùng, bên gửi gửi gói tin ACK để hoàn tất quá trình bắt tay và bắt đầu truyền dữ liệu.
Hình 1.6 Mô tả về bắt tay ba bước
Khi máy chủ phản hồi yêu cầu SYN bằng một SYN/ACK REPLY nhưng không nhận được gói tin ACK cuối cùng trong khoảng thời gian quy định, máy chủ sẽ tiếp tục gửi lại SYN/ACK REPLY cho đến khi hết thời gian timeout Trong suốt thời gian này, toàn bộ tài nguyên hệ thống được "dự trữ" để xử lý phiên giao tiếp sẽ bị "phong tỏa" cho đến khi hết thời gian timeout.
Hình 1.7 Tấn công TCP SYN
Một số đặc tính của công cụ tấn công DDOS
Hình 1.8 Công cụ tấn công DDOS
Các công cụ tấn công DDoS có nhiều điểm tương đồng, bao gồm cách cài đặt phần mềm Agent, phương thức giao tiếp giữa các Hacker, handler và Agent, cũng như hệ điều hành hỗ trợ Hình 1.8 minh họa sự so sánh tương quan giữa các công cụ tấn công DDoS này.
1.6.1 Cách thức cài đặt DDOS Agent
Hacker có thể sử dụng hai phương pháp chính là active và passive để cài đặt phần mềm agent lên các máy tính khác, từ đó thiết lập mạng tấn công theo kiểu Agent-Handler hoặc dựa trên IRC.
Quét (Scanning) là quá trình sử dụng các công cụ như Nmap và Nessus để phát hiện sơ hở trên các hệ thống hoạt động nhằm cài đặt phần mềm Agent Nmap cung cấp thông tin chi tiết về hệ thống dựa trên địa chỉ IP đã chỉ định, trong khi Nessus tìm kiếm các điểm yếu đã biết từ bất kỳ địa chỉ IP nào.
Cửa hậu (Backdoor) là một kỹ thuật mà hacker sử dụng để xâm nhập vào các hệ thống dễ bị tổn thương Sau khi xác định được danh sách các hệ thống có thể khai thác, hacker sẽ tiến hành cài đặt phần mềm Agent lên những hệ thống này Thông tin về các phương pháp xâm nhập rất phong phú và có sẵn trên nhiều trang web của tổ chức.
Common Vulnerabilities and Exposures (CVE) là một cơ sở dữ liệu liệt kê và phân loại hơn 4.000 loại lỗi bảo mật của tất cả các hệ thống hiện có Thông tin này được cung cấp công khai, phục vụ cả cho quản trị mạng và hacker.
Trojan là một loại chương trình thực hiện chức năng bình thường nhưng ẩn chứa các tính năng bí mật phục vụ cho mục đích của người tạo ra, mà người dùng không hề hay biết Nó có thể được sử dụng như một phần mềm Agent để thực hiện các hành động không mong muốn.
Tràn bộ đệm là một lỗ hổng bảo mật mà hacker có thể khai thác để chuyển hướng quá trình thực thi của một chương trình thông thường sang mã độc của chính họ, nằm trong vùng dữ liệu bị ghi đè Bằng cách này, hacker có thể tấn công vào các chương trình có điểm yếu trong quản lý bộ nhớ, từ đó thực thi phần mềm độc hại như Agent.
1.6.1.2 Cách cài đặt bị động
Hacker có thể khai thác lỗi của trình duyệt web để cài đặt phần mềm Agent vào máy tính của người dùng thông qua các trang web độc hại Những trang web này chứa mã và lệnh ẩn nhằm đánh lừa người dùng Khi người dùng truy cập, phần mềm Agent sẽ được tải và cài đặt một cách bí mật Trình duyệt Internet Explorer (IE) thường là mục tiêu chính do các lỗ hổng của ActiveX cho phép tự động tải và cài đặt mã độc trên máy tính của người dùng.
Lỗ file là một phương pháp lừa đảo mà hacker nhúng mã thực thi vào các file thông thường, khiến máy tính của người dùng bị nhiễm phần mềm Agent khi họ mở hoặc thực thi file Một kỹ thuật phổ biến là đặt tên file dài, ví dụ như "iloveyou.txt_ hiiiiiii_ NO_this_is_DDoS.exe", trong đó chỉ phần đầu "iloveyou.txt" được hiển thị, khiến người dùng dễ dàng nhầm lẫn và mở file Ngoài ra, còn nhiều phương pháp khác như ngụy trang file và ghép file để lừa đảo người dùng.
Rootkit là các chương trình được thiết kế để che giấu sự hiện diện của Agent hoặc Handler trên máy tính của nạn nhân Chúng thường được sử dụng với phần mềm Handler đã được cài đặt, đóng vai trò quan trọng trong hoạt động của mạng tấn công, đặc biệt trong những môi trường có nguy cơ phát hiện cao Việc sử dụng Rootkit không phổ biến trên các hệ thống khác.
Agent do mức độ quan trọng của Agent không cao và nếu có mất một số Agent cũng không ảnh hưởng nhiều đến mạng tấn công
1.6.2 Giao tiếp trên mạng tấn công
- Giao thức: Giao tiếp trên mạng tấn công có thể thực hiện trên nền các giao thức TCP, UDP, ICMP
Mã hóa giao tiếp là một yếu tố quan trọng trong các công cụ DDOS, giúp bảo vệ thông tin trong suốt quá trình tấn công Tùy thuộc vào giao thức giao tiếp, các phương pháp mã hóa sẽ được áp dụng phù hợp Đặc biệt, trong mạng tấn công dựa trên IRC, việc sử dụng kênh riêng và kênh bảo mật sẽ hỗ trợ hiệu quả cho việc mã hóa giao tiếp.
Để kích hoạt Agent, có hai phương pháp chính: Thứ nhất, Agent sẽ thường xuyên quét thăm Handler hoặc kênh IRC để nhận chỉ thị Thứ hai, Agent có thể “nằm vùng” và chờ nhận chỉ thị từ Handler hoặc kênh IRC.
1.6.3 Các nền tảng hỗ trợ Agent:
Các công cụ DDOS phổ biến được phát triển để tương thích với nhiều hệ điều hành như Unix, Linux, Solaris và Windows, cho phép các thành phần của mạng tấn công hoạt động hiệu quả trên các môi trường hệ điều hành khác nhau.
Handler thường hoạt động trên các hệ điều hành server lớn như Unix, Linux và Solaris, trong khi Agent chủ yếu chạy trên hệ điều hành Windows, vì đây là nền tảng phổ biến và dễ khai thác với số lượng lớn.
1.6.4 Các chức năng của công cụ DDOS
Mỗi công cụ DDOS sở hữu một tập lệnh riêng biệt, được thực hiện bởi Handler và Agent Tuy nhiên, có thể phân loại tổng quát các tập lệnh chung của tất cả các công cụ DDOS như trình bày trong Bảng 1.1 và Bảng 1.2.
Bảng 1.1 Tập lệnh của Handler
Log On Dùng để logon vào Handler software (user + password)
Turn On Kích hoạt Handler sẵn sàng nhận lệnh
Log Off Dùng để Logoff ra khỏi Handler software
Turn Off Chỉ dẫn Handler ngưng hoạt động, nếu Handler đang quét tìm Agent thì dừng ngay hành vi này
Initiate Attack Ra lệnh cho Handler hướng dẫn mọi Agent trực thuộc tấn công mục tiêu đã định List Agents Yên cầu Handler liệt kê các Agent trực thuộc
Kiss Agents Loại bỏ một Agent ra khỏi hàng ngũ Attack-Network
Add victim Thêm một mục tiêu để tấn công
Cập nhật cho Handler software (downloads file.exe về và thực thi)
Set Spoofing Kích hoạt và thiết lập cơ chế giả mạo địa chỉ IP cho các
Agent Set Attack Time Định thời điểm tấn công cho các Agent
Thiết lập độ dài của cuộc tấn công vào mục tiêu
BufferSize Thiết lập kích thước buffer của Agent (nhằm gia tăng sức mạnh cho Agent) Help Hướng dẫn sử dụng chương trình
Bảng 1.2 Tập lệnh của Agent
Turn On Kích hoạt Agent sẵn sàng nhận lệnh
Turn Off Chỉ dẫn Agent ngưng hoạt động, nếu Agent đang quét tìm
Handler/IRC Channel thì dừng ngay hành vi này lại Initiate Hacker Ra lệnh Agent tấn công mục tiêu đã định
Cập nhật phần mềm Agent (downloaf file exe về và thực thi)
Set Spoofing Thiết lập cơ chế giả mạo địa chỉ IP cho các Agent hoạt động Set Attack
Thiết lập độ dài các cuộc tấn công vào mục tiêu
Set Packet Size Thiết lập kích thước của attack packet
Help Hướng dẫn sử dụng chương trình
Một số công cụ DDOS
Dựa trên nền tảng đã đề cập, nhiều công cụ mã nguồn mở đã được phát triển, dẫn đến sự gia tăng độ phức tạp và xuất hiện nhiều biến thể mới.
Công cụ DDOS dạng Agent – Handler:
TrinOO là một trong những công cụ DDOS đầu tiên được phát tán rộng rãi, với kiến trúc Agent – Handler Công cụ này thực hiện các cuộc tấn công kiểu Bandwidth Depletion Attack bằng cách sử dụng kỹ thuật UDP flood Tuy nhiên, các phiên bản đầu tiên của TrinOO không hỗ trợ giả mạo địa chỉ IP.
The TrinOO Agent exploits a remote buffer overrun vulnerability and operates on Solaris 2.5.1 and Red Hat Linux 6.0 Communication for the attack occurs over TCP between the attacker client and handler, as well as UDP between the handler and Agent The communication is encrypted using symmetric encryption methods among the Client, handler, and Agent.
- Tribe Flood Network (TFN): Kiểu kiến trúc Agent – Handler, công cụ
DDoS hoễ trợ kiểu Bandwidth Deleption Attack và Resourse Deleption Attack
Kỹ thuật tấn công mạng như UDP flood, ICMP flood, TCP SYN và Smurf Attack thường không hỗ trợ giả mạo địa chỉ IP trong các phiên bản đầu tiên TFN Agent lợi dụng lỗ hổng buffer overflow và hoạt động trên hệ điều hành Solaris 2.x và Red Hat Linux 6.0 Tấn công sử dụng gói tin ICMP ECHO REPLY, trong khi TFN2K mở rộng hỗ trợ TCP/UDP với tính năng chọn giao thức tùy ý Đặc biệt, TFN2K cung cấp khả năng mã hóa giao tiếp, điều mà các phiên bản trước không có.
- Stacheldraht: là biến thể của TFN có thêm khả năng updat Agent tự động Giao tiếp telnet mã hóa đối xứng giữa Attacker và Handler
- Shaft: là biến thể của TrinOO, giao tiếp Handler – Agent trên UDP,
Kẻ tấn công sử dụng các kỹ thuật như UDP, ICMP và TCP flood trên Internet để thực hiện các cuộc tấn công Họ có thể phối hợp nhiều phương thức tấn công cùng lúc, và thông qua các thống kê chi tiết, kẻ tấn công có thể theo dõi tình trạng thiệt hại của nạn nhân cũng như quy mô của cuộc tấn công, từ đó điều chỉnh số lượng Agent cho phù hợp.
Công cụ DDoS dạng IRC – Based:
Công cụ DDoS dựa trên IRC đã được phát triển sau các công cụ Agent – Handler, nhưng chúng phức tạp hơn nhiều do tích hợp nhiều đặc điểm của các công cụ DDoS dạng Agent – Handler.
Trinity là một công cụ tấn công điển hình với nhiều kỹ thuật tấn công đa dạng như UDP, TCP SYS, TCP ACK, TCP fragment, TCP NULL, TCP RST, TCP random flag và TCP ESTABLISHED packet flood Công cụ này có khả năng ngẫu nhiên hóa địa chỉ gửi và hỗ trợ TCP flood packet với khả năng ngẫu nhiên hóa tập CONTROL FLAG, khiến Trinity trở thành một trong những công cụ DDoS nguy hiểm nhất hiện nay.
Ngoài ra, có thể đề cập đến một số công cụ DDoS khác như Knight, được thiết kế để chạy trên hệ điều hành Windows, sử dụng kỹ thuật cài đặt của trojan back Orifice Knight áp dụng các phương pháp tấn công như SYV, UDP Flood và Urgent Pointer Flooder.
Kaiten, một biến thể của Knight, hỗ trợ nhiều kỹ thuật tấn công như UDP, TCP flood, SYN, và PUSH + ACK attack Nó cũng kế thừa khả năng ngẫu nhiên hóa địa chỉ giả mạo từ Trinity.
CÁC GIẢI PHÁP GIẢM THIỂU TẤN CÔNG DDOS
Các giai đoạn chi tiết trong phòng chống DDOS
2.1.1 Tối thiểu hóa số lượng Agent:
Để ngăn chặn tấn công DDoS hiệu quả, mỗi người dùng internet cần tự bảo vệ mình nhằm không trở thành công cụ cho các cuộc tấn công vào hệ thống khác Việc nâng cao nhận thức và kỹ năng phòng chống tấn công là điều cần thiết và phải được phổ biến rộng rãi Nếu không có người dùng nào bị lợi dụng, mạng lưới tấn công sẽ không hình thành Người dùng cần thường xuyên thực hiện các biện pháp bảo mật trên máy tính của mình và tự kiểm tra sự hiện diện của các tác nhân xấu, mặc dù điều này có thể khó khăn đối với người dùng thông thường.
Để ngăn chặn việc cài đặt mã độc hại qua phần cứng và phần mềm, các giải pháp tích hợp sẵn là rất quan trọng Người dùng cần thường xuyên cài đặt và cập nhật các phần mềm bảo mật như antivirus, anti-trojan và các bản vá cho hệ điều hành để bảo vệ hệ thống của mình.
Thay đổi cách tính tiền dịch vụ truy cập theo dung lượng từ phía Nhà cung cấp dịch vụ mạng sẽ khiến người dùng chú ý hơn đến nội dung họ gửi, từ đó nâng cao ý thức và khả năng phát hiện các tác nhân tấn công DDOS ở mỗi người dùng.
2.1.2 Tìm và vô hiệu hóa các Handler:
Handler là một yếu tố quan trọng trong mạng tấn công, và việc phát hiện cũng như vô hiệu hóa Handler có thể nâng cao khả năng thành công của các biện pháp chống DDOS Bằng cách theo dõi giao tiếp giữa Handler với Client hoặc giữa Handler và Agent, chúng ta có thể xác định vị trí của Handler Vì một Handler quản lý nhiều Agent, việc loại bỏ một Handler cũng đồng nghĩa với việc giảm thiểu đáng kể số lượng Agent trong mạng tấn công.
2.1.3 Phát hiện dấu hiệu của một cuộc tấn công:
Có nhiều kỹ thuật được áp dụng
Agress Filtering là một kỹ thuật kiểm tra tính hợp lệ của các packet khi chúng rời khỏi một subnet, dựa vào việc gateway của subnet nắm rõ địa chỉ IP của các thiết bị bên trong Những packet có địa chỉ nguồn không hợp lệ sẽ bị giữ lại để điều tra Nếu Agress Filtering được áp dụng cho tất cả các subnet trên internet, khái niệm giả mạo địa chỉ IP sẽ không còn tồn tại.
Trong Management Information Base (MIB) của SNMP, thông tin về sự biến thiên trạng thái của mạng được lưu trữ, cho phép giám sát chặt chẽ các thống kê của các giao thức mạng như ICMP, UDP và TCP Việc theo dõi này giúp phát hiện sớm thời điểm bắt đầu của các cuộc tấn công, từ đó tạo ra "quỹ thời gian vàng" cho việc xử lý tình huống hiệu quả.
2.1.4 Làm suy giảm hay dừng cuộc tấn công
Dùng các kỹ thuật sau:
Cân bằng tải là việc thiết lập kiến trúc cho các máy chủ trọng điểm, giúp nâng cao khả năng chống chịu của hệ thống trước các cuộc tấn công DDoS Tuy nhiên, thực tế cho thấy rằng quy mô của các cuộc tấn công này có thể không bị giới hạn, làm giảm hiệu quả của biện pháp này.
Throttling là cơ chế điều tiết trên router, giúp xác định mức tải hợp lý mà server có thể xử lý, đồng thời ngăn chặn lưu lượng DDOS không cho người dùng truy cập dịch vụ Tuy nhiên, phương pháp này có nhược điểm là không phân biệt được các loại traffic, có thể gây gián đoạn dịch vụ cho người dùng và vẫn cho phép lưu lượng DDOS xâm nhập vào mạng với số lượng hạn chế.
Thiết lập cơ chế drop request là cần thiết khi có vi phạm quy định như thời gian delay kéo dài, tiêu tốn nhiều tài nguyên hoặc gây deadlock Kỹ thuật này giúp ngăn chặn tình trạng cạn kiệt năng lực hệ thống, nhưng cũng có thể giới hạn một số hoạt động thông thường, do đó cần cân nhắc kỹ lưỡng trước khi áp dụng.
2.1.5 Chuyển hướng của cuộc tấn công:
Honeyspots: Một kỹ thuật đang được nghiên cứu là Honeyspots
Honeyspots là một hệ thống được phát triển để đánh lừa kẻ tấn công, khiến họ tấn công vào các điểm giả mạo thay vì các hệ thống quan trọng thực sự.
Honeyspots không chỉ là "Lê Lai cứu chúa" mà còn rất hiệu quả trong việc phát hiện và xử lý các cuộc xâm nhập, nhờ vào việc thiết lập sẵn các cơ chế giám sát và báo động.
Honeyspots không chỉ giúp ghi nhận chi tiết các hành động của kẻ tấn công mà còn cung cấp cơ hội học hỏi và rút kinh nghiệm từ những sai lầm của họ Nếu kẻ tấn công bị đánh lừa và cài đặt Agent hoặc Handler lên Honeyspots, khả năng tiêu diệt toàn bộ mạng lưới tấn công sẽ tăng cao đáng kể.
2.1.6 Giai đoạn sau tấn công:
Trong giai đoạn này thông thường thực hiện các công việc sau:
Phân tích mẫu lưu lượng truy cập là quá trình đánh giá dữ liệu thống kê biến thiên lượng traffic theo thời gian, giúp tối ưu hóa các hệ thống cân bằng tải và kiểm soát lưu lượng Những thông tin này hỗ trợ quản trị mạng điều chỉnh các quy tắc kiểm soát traffic ra vào mạng hiệu quả hơn.
Kỹ thuật Packet Traceback cho phép xác định vị trí của kẻ tấn công, ít nhất là trong subnet của họ Từ công nghệ này, khả năng Block Traceback từ kẻ tấn công cũng trở nên hiệu quả hơn Gần đây, một phương pháp Traceback mới đã được phát triển, cho phép truy tìm nguồn gốc của cuộc tấn công chỉ trong vòng 15 phút, đó là kỹ thuật XXX.
- Bevent Logs: Bằng cách phân tích file log sau cuộc tấn công, quản trị mạng có thể tìm ra nhiều manh mối và chứng cứ quan trọng.
Sử dụng Load balancing
Mạng máy tính đóng vai trò như hệ thần kinh của các doanh nghiệp lớn như công ty hàng không và ngân hàng, điều khiển mọi hoạt động quan trọng Khi mạng máy tính bị ngừng hoạt động, các hoạt động chính của đơn vị sẽ bị tê liệt, dẫn đến những thiệt hại khó lường.
Các máy chủ là yếu tố quan trọng trong mạng máy tính; khi một máy chủ gặp sự cố, toàn bộ hệ thống có thể bị ngưng trệ Mặc dù các nhà sản xuất đã nỗ lực nâng cao chất lượng thiết bị, nhưng sự cố vẫn không thể tránh khỏi Do đó, cần có giải pháp để đảm bảo hệ thống hoạt động liên tục ngay cả khi máy chủ gặp trục trặc, và công nghệ clustering (bó) chính là giải pháp cho vấn đề này Bài viết này sẽ giới thiệu nguyên lý và phân tích một số giải pháp clustering đang được áp dụng cho các hệ thống mạng lớn, nhằm giúp độc giả hiểu rõ hơn về công nghệ này.
2.2.2.Tổng quan về công nghệ Clustering
Clustering là kiến trúc giúp nâng cao khả năng sẵn sàng cho hệ thống mạng máy tính bằng cách kết hợp nhiều máy chủ thành một cụm (cluster) có khả năng chịu đựng sai sót Hệ thống cluster kết nối các máy chủ theo dạng song song hoặc phân tán, hoạt động như một tài nguyên thống nhất Khi một máy chủ gặp sự cố hoặc cần bảo trì, công việc của nó sẽ tự động chuyển sang máy chủ khác trong cùng cụm mà không làm gián đoạn hoạt động của hệ thống Quá trình này được gọi là “fail-over”, trong khi việc phục hồi tài nguyên cho máy chủ ban đầu được gọi là “fail-back”.
Hình 1.9 Mô hình cơ bản của 1 hệ thống Network Load balancing
2.2.3 Các yêu cầu của 1 hệ thống Cluster
Tính sẵn sàng cao là yêu cầu quan trọng, đảm bảo rằng các tài nguyên mạng luôn trong trạng thái sẵn sàng tối đa để phục vụ người dùng cuối, đồng thời giảm thiểu tối đa sự ngưng hoạt động hệ thống không mong muốn.
Yêu cầu về độ tin cậy cao trong cluster là khả năng giảm thiểu tần suất xảy ra sự cố và nâng cao khả năng chịu đựng sai sót của hệ thống.
Hệ thống cần đảm bảo khả năng mở rộng (scalability) để dễ dàng nâng cấp và mở rộng trong tương lai Việc này bao gồm khả năng thêm thiết bị, máy tính, người dùng, ứng dụng, dịch vụ và tài nguyên mạng khác nhằm nâng cao chất lượng dịch vụ.
Yêu cầu RAS (Reliability-Availability-Scalability) đề cập đến ba tiêu chí quan trọng mà một hệ thống cần đáp ứng Các hệ thống đáp ứng đủ ba yêu cầu này được gọi là hệ thống RAS, cần lưu ý rằng nó khác biệt với dịch vụ truy cập từ xa (Remote Access Service).
Hiệu quả của hệ thống Clustering phụ thuộc vào sự tương thích giữa các ứng dụng, dịch vụ, phần cứng và phần mềm Tuy nhiên, kỹ thuật clustering không thể ngăn chặn các sự cố do virus, lỗi phần mềm hoặc sai sót từ người dùng Để đối phó với những rủi ro này, cần thiết phải xây dựng một cơ sở dữ liệu bảo mật và có kế hoạch khôi phục, sao lưu dữ liệu hiệu quả.
2.2.4 Cluster nhiều địa điểm phân tán
Đối với các mạng lớn với người dùng phân bố rộng rãi, việc cải thiện hiệu quả phòng chống sự cố và nâng cao tính sẵn sàng của mạng sẽ đạt được tốt hơn khi xây dựng hệ thống cluster tại nhiều địa điểm Kiến trúc đa địa điểm có thể được thiết kế theo nhiều cách khác nhau, trong đó cấu trúc phổ biến nhất là có một điểm gốc kết hợp với một số điểm xa.
Với thiết kế đầy đủ, cấu trúc của điểm gốc được tái tạo hoàn toàn tại các điểm xa, cho phép chúng hoạt động độc lập và xử lý toàn bộ khối lượng công việc khi cần Điều này đòi hỏi thiết kế phải đảm bảo cơ sở dữ liệu và ứng dụng giữa điểm gốc và các điểm xa được đồng bộ và cập nhật theo thời gian thực.
Thiết kế theo kiểu thực hiện từng phần cho phép cài đặt các thành phần cơ bản ở những vị trí xa để xử lý khối lượng công việc quá tải trong giờ cao điểm, duy trì hoạt động tối thiểu khi điểm gốc gặp sự cố, và cung cấp một số dịch vụ hạn chế khi cần thiết.
Cả thiết kế đầy đủ lẫn từng phần đều áp dụng phương pháp phân tán các máy chủ ở nhiều vị trí địa lý khác nhau Cluster phân tán về địa lý sử dụng mạng LAN ảo (Virtual LAN) để kết nối các mạng khu vực lưu trữ SAN (storage area network) qua những khoảng cách lớn.
2.2.5 Chế độ hoạt động của Network Load Balancing
Trong một cluster, mỗi máy chủ được gọi là nút (cluster node) và có thể hoạt động ở chế độ chủ động (active) hoặc thụ động (passive) Nút ở chế độ chủ động sẽ xử lý các yêu cầu, trong khi nút thụ động nằm ở chế độ dự phòng nóng (standby) để sẵn sàng thay thế cho nút khác khi cần thiết Nguyên lý hoạt động của cluster được minh họa trong hình 1.11.
Hình 1.11 Nguyên lý hoạt động của một Cluster
Trong một cluster, các nút có thể được phân loại thành nút chủ động và nút thụ động, việc xác định cấu hình cho từng nút là rất quan trọng Điều này ảnh hưởng đến hiệu suất và khả năng quản lý tài nguyên trong hệ thống Hãy xem xét các tình huống cụ thể để hiểu rõ hơn về tầm quan trọng của việc cấu hình đúng loại nút trong một cluster.
Khi một nút chủ động gặp sự cố, nếu có một nút thụ động sẵn sàng, các ứng dụng và dịch vụ trên nút hỏng có thể ngay lập tức được chuyển sang nút thụ động Nút thụ động chưa chạy ứng dụng hay dịch vụ nào, do đó nó có khả năng xử lý toàn bộ công việc của nút hỏng mà không làm gián đoạn trải nghiệm của người dùng cuối, với điều kiện các máy chủ trong cluster có cấu trúc phần cứng tương đồng.
TRIỂN KHAI CÀI ĐẶT VÀ CẤU HÌNH
Xây dựng mô hình thử nghiệm
- Mô hình tấn công Agent Handler Model
Theo mô hình này mạng tấn công (attack-network) gồm 3 thành phần: Agent, Client và Handler
+ Client: Là software cơ sở để hacker điều khiển mọi hoạt động tấn công
+ Handler: Là một thành phần software trung gian giữa Agent và
+ Agent: Là thành phần software thực hiện sự tấn công mục tiêu, nhận điều khiển từ Client thông qua các Handler
Kẻ tấn công sẽ giao tiếp với Handler từ Client để xác định số lượng agent đang trực tuyến, điều chỉnh thời điểm tấn công và cập nhật các Agent Tùy thuộc vào cách kẻ tấn công cấu hình mạng tấn công, agent sẽ được quản lý bởi một hoặc nhiều Handler.
Thông thường, kẻ tấn công sẽ cài đặt phần mềm Handler trên các Router hoặc server có lượng lưu lượng truy cập lớn để làm cho giao tiếp giữa Client, Handler và Agent khó bị phát hiện Chủ sở hữu thực sự của các Agent thường không nhận ra rằng họ đang bị lợi dụng trong các cuộc tấn công DDoS, do thiếu kiến thức hoặc vì các chương trình Backdoor Agent chỉ tiêu tốn rất ít tài nguyên hệ thống, khiến họ khó nhận thấy ảnh hưởng đến hiệu suất của hệ thống.
- Công cụ sử dụng trong mô hình
Chúng tôi sử dụng hai máy tính (2PC), trong đó một máy là máy thật và một máy ảo được cài đặt qua phần mềm VMware Để thực hiện các cuộc tấn công, chúng tôi cần công cụ LOIC, cùng với phần mềm chống tấn công như Anti DDoS Guardian và IP Blocker để giảm thiểu tác động của các cuộc tấn công.
Để bắt đầu, chúng ta cần cấu hình mạng để đảm bảo máy thật và máy ảo có thể kết nối với nhau Sau đó, trên máy thật, chúng ta sử dụng phần mềm tấn công LIOC để thực hiện tấn công vào máy ảo.
Bước 2: kiếm tra mạng và CPU của máy ảo(máy bị tấn công) và dừng tấn công
Bước 3: cài đặt phần mềm anti ddos guardian vs ip blocker Cài đặt xong cấu hình cho nó
Bước 4: sử dụng LOIC để tấn công tiếp vào máy ảo vừa cài đặt phần mềm anti ddos guardian vs ip blocker
Bước 5: kiếm tra Mạng và CPU để so sánh lúc chưa cài phần mềm anti ddos guardian, ip blocker và lúc đã cài
Phần mềm LOIC là một công cụ mạnh mẽ cho các cuộc tấn công ngập lụt, cho phép người dùng nhanh chóng quan sát kết quả tấn công Để giảm thiểu hoặc ngăn chặn các cuộc tấn công này, việc sử dụng phần mềm chống DDoS Guardian và IP Blocker là rất cần thiết (như đã trình bày ở mục 2.1.4).
Cách thức triển khai tấn công và giảm thiểu
Có nhiều loại tấn công DDoS khác nhau, nhưng trong bài viết này, tôi sẽ tập trung vào kỹ thuật tấn công ngập lụt Để thực hiện tấn công, tôi sử dụng công cụ LOIC (Low Orbit Ion Cannon).
Phần mềm LOIC cho phép người dùng nhập địa chỉ IP của máy nạn nhân, chọn giao thức tấn công (method), xác định số lượng luồng tấn công (threads) và điều chỉnh tốc độ gửi gói tin Cuối cùng, người dùng chỉ cần nhấn vào nút "IMMA CHARGIN MAH" để bắt đầu cuộc tấn công.
LAZER để bắt đầu tấn công (Hình 1.12)
3.2.1 Kiểm tra CPU và mạng
CPU hoạt động hết công suất, dẫn đến tình trạng máy bị đơ (Hình 1.13), trong khi mạng cũng có dấu hiệu hoạt động mạnh mẽ (Hình 1.14) Điều này cho thấy khả năng hệ thống đang bị tấn công.
Hình 1.13 Hoạt động của CPU
Hình 1.14 Hoạt động của mạng
3.2.2 Sử dụng phần mềm để giảm thiểu tấn công
Có rất nhiều phần mềm để giảm thiếu tấn công ddos, ở đây e sử dụng phần mềm anti ddos guardian và ip blocker
Mặc dù không tự nhận là chuyên gia, nhưng tôi có khả năng đối phó với các cuộc tấn công DDOS ở mức độ trung bình Tuy nhiên, khi đối mặt với botnet có nhiều địa chỉ IP và lượng yêu cầu quá lớn, việc chống đỡ trở nên rất khó khăn.
- Thời gian cài đặt khá nhanh (tầm 30ph với VPS tốt và nhất là các VPS ở nước ngoài, còn VPS Việt Nam thì sẽ tầm 1h-2h)
- Sau khi xem cài đặt và hướng dẫn thì ai cũng có thể giảm thiểu được 1 cuộc tấn công DDOS tương tự
Khi xảy ra các cuộc tấn công DDoS tầm trung trở lên, tốc độ truy cập vào website sẽ bị giảm do biện pháp mà anti DDoS Guardian áp dụng, đó là giới hạn số lượng kết nối đến server và lọc kỹ lưỡng các địa chỉ IP trước khi cho phép truy vấn Đây là điều mà mọi người cần chấp nhận, vì việc ngăn chặn hoàn toàn DDoS là không khả thi, mà chỉ có thể chống đỡ.
Anti DDOS Guardian là ứng dụng mạnh mẽ, đa năng, được phát triển để bảo vệ các máy chủ Windows trước các cuộc tấn công DDOS Với khả năng tùy biến cao và nhiều tính năng phong phú, ứng dụng này mang lại hiệu quả bảo mật vượt trội cho người dùng.
Từ chối dịch vụ (DDoS) là một mối đe dọa lớn đối với quản trị viên trang web, khi các cuộc tấn công này nhằm làm gián đoạn chức năng của tài nguyên trực tuyến bằng cách gửi một lượng lớn yêu cầu đến máy chủ, gây quá tải Mặc dù không phải là hình thức tấn công duy nhất, nhưng DDoS có thể gây thiệt hại tài chính nghiêm trọng Do đó, nhiều giải pháp đã được phát triển để giảm thiểu hoặc loại bỏ hoàn toàn nguy cơ từ các cuộc tấn công này.
Tường lửa chống DDoS này giúp giới hạn lưu lượng mạng và băng thông của khách hàng, kiểm soát số lượng kết nối TCP và UDP, tốc độ gói ICMP, đồng thời điều chỉnh hiệu quả các kết nối TCP mở một nửa để bảo vệ chống lại các cuộc tấn công SYN.
Ứng dụng này cung cấp một phương tiện an toàn và linh hoạt để bảo vệ các máy chủ dựa trên Windows như Apache, IIS, trò chơi trực tuyến, mail, FTP, VoIP PBX và SIP khỏi các cuộc tấn công DDoS Nó giám sát lưu lượng mạng liên tục với các công cụ cấu hình tự động và thủ công, phù hợp cho người dùng ở mọi mức độ kinh nghiệm Với khả năng quản lý một lượng lớn kết nối, ứng dụng hoạt động như một bức tường lửa hiệu quả, thể hiện sức mạnh vượt trội trong việc bảo vệ hệ thống.
Anti DDoS Guardian có khả năng triển khai hiệu quả trên các máy chủ Windows và trang web, giúp bảo vệ trong môi trường sản xuất Nó cũng cho phép dễ dàng chặn địa chỉ IP quốc gia thông qua tệp ''Apache Htaccess''.
Phần mềm Anti DDoS không chỉ bảo vệ hệ thống khỏi các cuộc tấn công DDoS mà còn hoạt động như một bức tường lửa cơ bản, cho phép thiết lập các quy tắc tường lửa dựa trên địa chỉ IP, cổng, giao thức và các yếu tố khác của giao thức TCP/IP.
Nó cung cấp tính năng hỗ trợ danh sách đen và danh sách trắng cho IP, cùng với khả năng cập nhật danh sách IP tự động Ngoài ra, còn có các quy tắc đặc biệt, file log chi tiết và hiển thị hoạt động mạng trong thời gian thực, cùng với các địa chỉ IP và nhiều tính năng mạnh mẽ khác.
- Bảo vệ chống lại các cuộc tấn công từ chối phân phối dịch vụ (DDOS), bao gồm cả mật khẩu vv
Anti DDoS Guardian giúp quản lý lưu lượng mạng hiệu quả bằng cách giới hạn băng thông, số lượng kết nối TCP và tốc độ gói UDP/ICMP của từng khách hàng Công cụ này đảm bảo an toàn cho hệ thống mạng bằng cách kiểm soát lưu lượng và ngăn chặn các cuộc tấn công DDoS.
- Ngăn chặn địa chỉ IP quốc gia
- Ngăn chặn địa chỉ IP hoặc dãy địa chỉ
- Tường lửa bảo vệ Các quy tắc tường lửa được dựa trên địa chỉ IP từ xa, cổng, giao thức, và các yếu tố giao thức TCP / IP khác
Anti DDoS Guardian quản lý truy cập Internet trong các lĩnh vực cụ thể thông qua việc thiết lập danh sách đen và danh sách trắng IP.
- Hỗ trợ nhiều định dạng danh sách IP, như file htaccess, PeerGuardian IPfilter , Emule IPfilter và tập tin bộ lọc P2P khác
- Danh sách IP tự động cập nhật
- Support Windows 2000, XP, 2003, 2008, Vista, Windows 7, Windows 8 and Windows 2012, in 32 bits and 64 bits
BeeThink IP Blocker là phần mềm hiệu quả giúp chặn các địa chỉ IP không mong muốn dựa trên danh sách blocklists IP, giám sát hoạt động mạng trong thời gian thực và ngăn chặn kết nối giữa máy chủ và các địa chỉ IP không đáng tin cậy Thay thế cho PeerGuardian, BeeThink IP Blocker bảo vệ người dùng khỏi các kết nối không mong muốn đến website, mail server, hoặc máy chủ Internet khác, đồng thời giữ an toàn khi sử dụng các chương trình P2P như Limewire, eMule, Vuze, và uTorrent Phần mềm hỗ trợ nhiều định dạng danh sách IP, bao gồm PeerGuardian IPfilter và eMule IPfilter, và có thể hoạt động như một tường lửa đơn giản với các quy tắc dựa trên địa chỉ IP, cổng, và giao thức BeeThink IP Blocker hoàn toàn tương thích với các hệ điều hành Windows từ 2000 đến 7, cả 32-bit và 64-bit, với phiên bản 1.2 bổ sung tính năng hoạt động như một dịch vụ Windows.
- Chặn địa chỉ IP BeeThink IP Blocker khối đất nước một cách dễ dàng các địa chỉ IP với tập tin htaccess của Apache
Cài đặt và cấu hình anti ddos Guardian
Sau khi download về ta click chuột vào phần mềm để cài đặt
Chọn next để tiếp tục cài đặt
Chọn next để tiếp tục cài đặt
Tích vào I accept the agreement và chọn next để tiếp tục cài đặt
Chọn next để tiếp tục cài đặt
Chọn ổ lưu thư mục cài đặt và next để tiếp tục cài đặt
Chọn next để tiếp tục cài đặt
Chọn next để tiếp tục cài đặt
Chọn install để tiếp tục cài đặt
Chọn finish để kết thúc cài đặt
+ Khởi động anti ddos guardian lên
+ Chọn ổ khóa màu vàng để cấu hình
Số lượng kết nối tối đa giao thức TCP được phép mở trong số giây đối với mỗi IP ( 8/1s là phù hợp)
Để bảo vệ hệ thống khỏi các cuộc tấn công SYN FLOOD và HTTP FLOOD, nên giảm số lượng kết nối TCP tối đa mở, tuy nhiên, cần lưu ý rằng việc hạ thấp quá mức có thể gây khó khăn cho các kết nối hợp lệ Mức khuyến nghị cho số lượng kết nối tối đa là từ 30 đến 100.
Kích thước tối đa gói tin cho mỗi địa chỉ IP thường nằm trong khoảng 576 đến 1500 kb/s cho một kết nối TCP hợp lệ Khi mở nhiều kết nối TCP và UDP với máy chủ, bạn nên tính toán kích thước gói tin cho phù hợp Mặc dù có thể tăng kích thước gói tin lên đến 2048~6144, nhưng không nên tăng quá nhiều.
Để chống lại tấn công UDP FLOOD, số lượng gói tin UDP được phép mở kết nối mỗi giây thường được giảm xuống từ 10 đến 50, vì giao thức này chủ yếu được sử dụng cho dịch vụ DNS.
Để chống lại ICMP FLOOD, bạn nên giảm số lượng gói tin ICMP được phép mở kết nối mỗi giây xuống khoảng 5 đến 10, vì giao thức này thường được sử dụng để ping kiểm tra máy chủ.
Số lượng kết nối TCP tối đa được kết nối (1000~5000)
Giá trị thời gian IP kết nối thất bại sẽ bị ngắt (60~120)
Cấu hình xong chọn Apply
Khởi động lên và click vào hình chìa khóa cho ở khóa lại là ok.
Xem kết quả sau khi đã cài anti ddos guardian và ip blocker
Xem kết quả thì chúng ta đã thấy giảm đk rất nhiều tấn công
Và xem cái chấm màu đỏ, đó là ip bị block.