3-BẢNG MÃ LỖI CỦA CÁC HÃNG ĐIỀU HÒA .pdf - ĐIỆN LẠNH BÁCH KHOA HÀ NỘI
Phát hiện và phòng chống xâm nhập trái phép mạng máy tính.pdf
1. BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI
---------------------------------------
NGUYỄN ĐÌNH TÌNH
PHÁT HIỆN VÀ PHÒNG CHỐNG
XÂM NHẬP TRÁI PHÉP MẠNG MÁY TÍNH
LUẬN VĂN THẠC SĨ KỸ THUẬT
KỸ THUẬT MÁY TÍNH
Hà Nội – 2017
2. BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI
---------------------------------------
NGUYỄN ĐÌNH TÌNH
PHÁT HIỆN VÀ PHÒNG CHỐNG
XÂM NHẬP TRÁI PHÉP MẠNG MÁY TÍNH
Chuyên ngành: KỸ THUẬT MÁY TÍNH
LUẬN VĂN THẠC SĨ KỸ THUẬT
KỸ THUẬT MÁY TÍNH
NGƯỜI HƯỚNG DẪN KHOA HỌC:
PGS.TS. NGUYỄN LINH GIANG
Hà Nội – 2017
4. ii
DANH MỤ Ậ
C CÁC THU T NGỮ
1 ACK Acknowledgement
2 DNS Domain Name System
3 DOS Denial of Service
4 DDOS Distributed Denial of Service
5 FTP File Transfer Protocol
6 HTTP HyperText Transfer Protocol
7 ICMP Internet Control Message Protocol
8 IDS Intrusion Detection System
9 IP Internet Protocol
10 IPS Intrusion Prevention System
11 NAT Network Address Translation
12 NTP Network Time Protocol
13 UDP User Datagram Protocol
14 RPC Remote Procedure Call
15 TCP Transmission Control Protocol
5. iii
M C L C
Ụ Ụ
L .....................................................................................................i
ỜI CAM ĐOAN
DANH MỤ Ậ Ữ
C CÁC THU T NG .........................................................................ii
M C..............................................................................................................
ỤC LỤ iii
DANH M NG
Ụ Ả
C CÁC B ......................................................................................v
DANH MỤ Ẽ VÀ SƠ ĐỒ
C HÌNH V .....................................................................vi
M U ..................................................................................................................1
Ở ĐẦ
CHƢƠNG I: Ổ Ề Ấ Ừ Ố Ị Ụ
T NG QUAN V T N CÔNG T CH I D CH V PHÂN
TÁN ..........................................................................................................................3
1.1 T n công t phân tán.....................................................................3
chi dch v
1.2 L t n công t ........................................................................4
ch s chi dch v
n c a m t cu c t n công DDOS ...........................................
n chu n b ...................................................................................
1.3.1.1 K t scanning .................................................................................6
thu
lây la c..................................................................
nh m c tiêu và th m t n công........
ng t n công......................................................
n xóa d u v t..............................................................................
1.4 Mô hình ki n trúc t ng quan c a DDOS attack-network ................................14
1.4.1 Mô hình Agent-Handler ............................................................................14
1.4.2 Mô hình d a trên n n t ng IRC.................................................................16
CHƢƠNG II: PHÂN LOẠ Ạ Ấ
I CÁC D NG T N CÔNG DDOS .......................18
2.1. D n công.............................................................
2.2. D a trên m t ng................................................................................19
2.3. D c m ng ................................................................................19
a trên giao th
2.4. D g th p ......................................................................2
c giao ti
2.5. D t n công..........................................................................
2.6 D h ng an ninh....................................................21
a trên vic khai thác các l
2.6.1 T n công gây c n ki .............................................................2
2.6.2 T n công gây c n ki ..............................................................25
t tài nguyên
CHƢƠNG III: ỆN VÀ NGĂN CHẶ
PHÁT HI N DDOS ...................................30
3.1 Yêu c i m ng phát hi n DDoS................
i v t h th
3.2 C n pháp phát hi n DDOS.................................................3
ác bi
6. iv
t g n n n nhân ......................................................................
3.2 t g n ngu n t n công...............................................................
t t i ph n lõi c a internet.....................................................
3.3 M nghiên c u v h n DDOS .........................................
t s th
3.3.1 Giao th ..................................33
c Active Internet Traffic Filtering (AITF)
3.3.2 H ng D-WARD..................................................................................35
th
CHƢƠNG IV: Ể ỆM PHƢƠNG PHÁP NGĂN
TRI N KHAI THÍ NGHI
CHẶ Ử Ụ
N DDOS S D NG SNORT-INLINE .......................................................39
4.1 Ph n m m phát hi n xâm nh p Snort-inline............................
ho ng c a Snort ......................................................
4.1.2 Ki n trúc c a Snort....................................................................................41
4.1.3 C u trúc lu t (rule) c a Snort ....................................................................42
4.1.3.1 C u trúc c a rule Header.....................................................................42
4.1.3.2 C u trúc c a rule option......................................................................43
4.2 Mô hình tri n khai ...........................................................................................49
4.2.1 Mô hình khi h ............................................................
th
4.2.2 Gi i pháp tích h p Snort-inline vào h ng ...........................................51
th
4.3 n khai ................................................................................................52
c tri
4.3 .......................................................................................................52
c 1
c 2 .......................................................................................................52
c 3 ......................................................................................................53
4.4 Tri n khai h ng..........................................................................................53
th
t h u hành và các gói ph thu c............................................
4.4 n thi t cho snort.............................................................54
t các gói c
t Snort..............................................................................................55
t Barnyard........................................................................................56
4.5 K nghi m...........................................................................................57
t qu thí
4.5.1 K t qu ..........................................................................................57
c 1
4.5.2 K t qu ..........................................................................................59
c 2
4.5.3 K t qu ..........................................................................................63
c 3
K N ..............................................................................................................66
ẾT LUẬ
TÀI LIỆ Ả
U THAM KH O
7. v
DANH MỤ Ả
C CÁC B NG
B ng 4. 1: C u trúc rule c a Snort. ...........................................................................42
B ng 4. 2: C u trúc rule header.................................................................................42
8. vi
DANH MỤ Ẽ VÀ SƠ ĐỒ
C HÌNH V
Hình 1. 1: Mô hình lan truy
c qua ngu n trung tâm....................................10
Hình 1. 2: Mô hình lan truy c theo ki u chu t n c ....................
i k
Hình 1. 3: Mô hình lan truy c theo ki u t u khi n ................................12
Hình 1. 4: Mô hình DDOS attack-network ...............................................................14
Hình 1. 5 Handler
: Mô hình network attack ki u Agent-
..........................................15
Hình 1. 6: Mô hình network attack ki u IRC-Base...................................................17
Hình 2. 1: Mô hình mng botnet ...............................................................................23
Hình 2.2: Mô hình t n công thông qua data center...................................................24
Hình 2. 3: Mô hình t
n công khu i...................................................................25
Hình 2.4: Mô hình giao thc TCP SYN....................................................................26
Hình 2.5: Mô hình TCP SYN attack ........................................................................27
t g n n n nhân..............................................................
Hình 3. 2
t g n Attacker.........................................................................32
t t i lõi c a internet. .....................................................
Hình 3. 4: Mô hình giao thc AITF ..........................................................................33
Hình 3. 5: Ho ng c ................................................................................34
a AITF
Hình 3. 6: Mô hình tri n khai D-WARD ..................................................................36
Hình 3.7: Mô t
dòng và k t ni ...............................................................................37
Hình 4.1: Netfilter và Snort- ............................................................................40
inline
Hình 4.2 ng d ua Snort .............................................................
lu li
Hình 4.3: Mô hình m ............................................................
Hình 4.4 ng d .........................................
lu li
Hình 4.5: Mô hình h ng tích h p Snort-inline....................................................51
th
Hình 4.6 ng d u khi tích h p Snort- ........................51
lu li inline và Iptables
Hình 4.7: Tài nguyên h t n công..............................................
th
Hình 4.8: Truy c p vào web server ...........................................................................59
Hình 4.9: S d ng Slow POST HTTP request attack...............................................60
Hình 4.10: Tài nguyên h ng khi b t n công DDOS kho ng 2 phút...................60
th
Hình 4.11: Log apache khi b
u t c 2 phút ........................................
Hình 4.12: Log h ng khi b t n công DDOS kho ng 2 phút. .............................61
th
Hình 4.13: Log h
thông sau khi t n công kho ng 5 phút ........................................61
9. vii
Hình 4.14: Log c nh báo nh c khi h ng b t n công DDOS. ....................62
th
Hình 4.15: Access log c n công x y ra...........................62
a apache sever khi cuc t
Hình 4.16: Truy c p vào web server khi b t n công DDOS. ...................................62
Hình 4.17: S d ng Slow POST HTTP request ............................................63
attack.
Hình 4.18: Log khi h ng ch n t n công DDOS..................................................64
th
Hình 4.19: Tài nguyên h ng sau 5 phút khi DDOS b n.......................64
th
Hình 4.20: Truy c p vào web server khi DDOS attacks b n. ....................65
10. 1
M U
Ở ĐẦ
, internet tr thành không gian xã h i m
th th
c hi n các hành vi mang b n ch t xã h i c
sáng t o, h c t p, s n xu i trí. c b
phát tri n nhanh chóng c a các k t n i không dây, k t n i m 3G, 4G, m ng xã
ng
h i, các thi t b di ng thông minh và d ch v
c th
m xã h i lên internet.
i quan h
Cùng v i nh ng l i ích to l a t không gian m
m i qu u c a nhi u qu c gia. S phát tri n công ngh thông tin
ng c a các t ch
ng b t h p pháp trên không gian m ng, chuyên ch ng phá nh m ki m soát thông
p d li u, n ho ng c a t ch c, doanh ng
. Trong nh t nhi u v t n công DDOS (t n
d ch v phân tán) l n, nh m vào các h ng c a các t c chính ph
th ch
an ninh hay các t h p công nghi p, n t l n trên toàn th gi i g
nh ng thi t h i to l n v an ninh qu c phòng, kinh t , chính tr làm m nh xã
t
h i.
T
Các qu c gia, các t ch c, doanh nghi p c n ph
b t t nh ng phó v i các v t n công b t ng và có bi n pháp kh c ph c k
th
h n ch t t h i mà DDoS gây ra. Vi c hi u rõ các d
DDO n là c n thi V i mon
t.
th
nghi m phòng ch ng m t s
ng h p t
n công DDOS nh m gi m tác h i gây
ra v i m t s h ng ph bi t Nam, tác gi tài lu
th n Vi
hi n
ệ và phòng ch ng xâm nh p trái phép m ng máy tính
ố ậ ạ
M u và gi n c
c tiêu nghiên c i h a lu
11. 2
Nghiên c u tìm hi u m t trong các lo i t n công m ng là t n công DDO
S
và tìm hi công c t n công DDO n hình.
u mt s
Tìm hi u m n D
t s
Tri
n khai thí nghi m h th ng phát hi n v n DDOS d a tr
ph n m Snort-inlne.
m
Do
ng c a các d ng xâm nh p trái phép m ng máy tính,
n và phòng ch ng ng m
nghiên c u, th nghi m các mô hình, gi i pháp mà lu c n là s d
mô hình g m m t máy t n công DDOS (hacker) th c hi n t n công vào m t máy
ch
d ch v và ti t h th ng phát hi n, n t n côn
máy ch này.
N u
i dung l c t ch
T ng quan v t n công t ch i d ch v
ki n trúc m ng c a cu n công DDO
c t S.
Kh o sát m t s d ng t n công DDOS n hình và m t s
c t n công .
DDOS
Tìm hi u v m t s gi i thu t phát hi n t n công DDOS
t s h th n DD c nghiên c u.
Tri n khai thí nghi m h th n DDoS s d
m m phát hi n xâm nh p Snort-inline.
hoàn thành lu , em xin chân thành c y giáo, c
trong Vi n Công ngh thông tin và Truy n thông i H c Bách Khoa Hà N i
và
c bi t tác gi xin g i l i c n PGS.TS Nguy
ng d n hoàn thành lu
12. 3
CHƢƠNG I:
T NG QUAN V T N CÔNG T
Ổ Ề Ấ Ừ Ố Ị Ụ
CH I D CH V PHÂN TÁN
1.1 T n công t i d ch v phân tán
ấ ừ chố ị ụ
Mt cu c t n công t
ch i dch v m
là t n lc (gây hi) ca m
t i hay m
i làm n n nhân (các máy ch
d ch v, các h ng m
th ng,... không th
)
ng các yêu c u d ch v cho khách hàng h
p pháp. Khi n l c này xu
t phát t mt
máy ch duy nht c a m
ng, nó to thành mt cuc tn công DDoS. Mt khác, nó
c gây ra b
i rt nhi u máy ch
c h i
phi h p t
n công
vi mt s phong phú c
a các gói tin tn công các c t
và cu n công n ra
di ng thi
t nhim. u t n công này c g i là t n công t
Ki i d
ch ch v phân
(DDoS).
th
thu i
c vào kh ng t n công c a m attacker.
công attacker
DDOS
nguyên)
attac
13. 4
1.2 L ch s t n công t ch v
ị ử ấ ừ chối dị ụ
Các t n công t b u vào kho u nh
chi dch v
XX
u tiên, m c
thác n
c th c hi n ch y
u b
SYN flood và UDP flood c t n công tr nên ph c t
cách gi làm n n nhân, g i vài các máy khác làm ng p má
nhân v i các thông p tr l i
Các t n công này ph ng b hoá m t cách th công b i nhi u k
t o ra m t s phá hu có hi u qu . S d ch chuy n vi c t ng
ng b , k t h p và t o ra m t t n công song song l n tr nên ph bi n t 1998, v i
s i c a công c t c công b r
d a trên t n công UDP flood và các giao ti p master-slave ( u khi n máy
các
trung gian tham gia vào trong cu c t n công b ng cách t lên chúng các
cài
trình u khi n t xa). K t qu là tháng 5 1999 trang ch c
ng h ng vì cu c t n công b ng DDOS;
Tháng 6 1999 Mt và ki
Trong nh p theo, vài công c n c ph bi n TFN (tribe
network), TFN2K, vaf Stacheldraht:
Cu
i thá le
c Mixter phát tri n.
Cu
h ng c a Châu âu và Hoa k .
th
, David Dittrich thu
ng phân tích v công c t n công t ch i d ch v .
TFN2K ).
t lo t các báo cáo v các v t c bi
14. 5
Lúc 10 : 30 / 7 2 -2000, t n công t i d ch v
Yahoo! ch
ho ng trong vòng 3 gi ng h
công t
a ch IP khác nhau v i nh ng yêu c u chuy n v n 1 giga
Ngày 8 -2-2000, nhi u Web site l n
Datek, MSN, và CNN.com b
t n công t ch i dch v.
Lúc 7 gi t i ngày 9-2-2000,
công t i d ch v , d c luân chuy n t i t p trong vòng 1 gi
ch li
k ói d ng n ng.
t thúc, và g li
Vào ngày 15 t t
và n websites trong vòng 2 gi
;
Vào lúc 15:09 gi GMT ngày ph
anh c
a website Al-Jazeera b t n n trong nhi u gi .
G
t là tháng 12-2015, h th n dân d ng c a Ukraine b
s p làm g m n trong nhi u ngày.
i dân b
1.3 a m t cu n công DDOS
Các giai đoạn củ ộ ộc tấ
ng m t cu c t n công DDOS g m n:
n chu n b , nh m c tiêu và th m t n công
ng t n công
n xóa d u v t
1.3.1 Giai đoạn chuẩn bị
Chu
n b công c n quan tr ng c a cu c t n công, công c
các
ng ho ng theo mô hình client-server. Attacker có th vi t ph n m
này hay t i t internet m t cách d dàng, có r t nhi u công c c cung c
p
mi
n phí trên m ng.
K tip, attacker s
các d ng các k
thu tìm ki m các host (ho
c các website,
các thi t b m ng nh
b tm qu
thit b t các công c tn công. Các công c này có kh
n mc tiêu và chúng liên kt vi nhau to thành m
t m ng (mng bot).
15. 6
có th c các host t o nên m
i t n công và
c t n công vào các máy ch này, Attacker s d nh ng công c
ng
c phát tri
n s n, t ng tìm các h d b t
thng t nhp v
thng này, và t các trình c n thi t cho cu c t
n công.
h th
b nhi m mã c h i này l i ti p t
c lây nhi cho các máy tính d b
m
khác t trên chúng ng
nh
c h i .
các máy tính d b t
ng m i t n công v i qu
th
c hi n. K t qu c a quá trình t
là vi c t o ra m
t m i t n công DDoS bao g m u khi - ha
n
(master và các máy b u khi n - agent (slave daemon Các attacker có th s
) , ).
d ng các k
thu t khác nhau (g i là k
thu t quét -
tìm ra các host d
t.
1.3.1.1 K t scanning
ỹ thuậ
M k c s d ng:
t s thu
Quét ng u nhiên: Trong k t này, các máy ch b nhi m mã c (m
thu t
y có th là máy c a k t n công ho c m t máy tính thành viên c a m
m ng t n công, ch ng h a ch IP ng
a ch IP và ki m tra nh ng host d b t . Khi nó tìm th y m
d b t nó c g ng truy xu t vào host này, chi m quy u khi
nhi c cho host này. K thu t này t ng truy c
quét ng u nhiên t o ra m t s ng l n các host b quy u khi n. M
chim
l i th ng k t n công) c
(nh
th
lây lan r chúng n t kh p m
t phát tán nhanh c c h i không th kéo dài mãi mãi. Sau
kho ng th i gian ng n, t lây lan gi m vì s a ch IP m
c phát hi n ra là gi m theo th u này tr nên rõ ràng n u chúng ta
xét phân tích c a David Moore và Colleen Shannon v s lây lan c a Code-Red
(CRv2) Worm [7] d ng ch u
16. 7
Quét theo danh sách tìm ki c c khi nh ng k t n công b
:
quét, h thu th p m t danh sách c a m t s ng l n các host có kh
t , vi c làm này có th m t nhi u th i gian. Trong n l t o r
m ng t n công, h b tìm máy d b t
tìm th y m t host, hacker c h i và chia dan
hai ph n và p t c quét ph n các danh sách còn l i n không ch a host m
ti (ph i
phát hi n). Máy ch m i nhi m b u quét xu ng danh sách c a mình, c g
tìm th y m host d b t y, nó th c hi n c
t
t quá trình trên, và theo cách này các ch theo danh sách di
ng th i t m t s ng ngà các host b lây nhi m
b o r t trên t các máy d b t
c h t c
sách trong m t th i gian ng n. Vi c xây d ng các c c hi n
th
khi nh ng k t n công b u quét. , ng k t n công có th t o danh sác
Do nh
v i t r t m và trong m t th i gian dài. N u nh ng k t n công n hành
ch ti
quét m, có th ho ng này s c nh n th y b i vì m t quá trình
ch
trong m t m
ng
ng x y ra t n s r t cao, khi m t quá trình quét c
c th c hi n thì r t khó có th nh n ra r ng nó m
là t máy quét c.
Quét tôpô:
k các URL (Uniform Resource Locator)
trên
URL này là các là các
sách
vô cùng nhanh chóng và theo cách
: k thu t quét ho ng trong
sau firewall c là vùng b lây nhi m b i
coi các
17. 8
nhi c tìm ki m các m c tiêu m
trong ng n i b c a m
d ng c gi u trong a ch n i b . C
th
nh t c quét y phía sau firewall và c g ng t
c các máy d b t này có th c s d ng k t h p v
ch quét khác.
Quét hoán v : Trong k
t quét này, t t c các máy chia s m t danh
thu
sách hoán v gi ng u nhiên chung c a ch t danh sách hoán v
c xây d ng b ng cách s d ng b t k thu t toán mã hóa kh i 32 bit v i m t
khóa c N u m host nhi trong quá trình quét theo
ch . t m c
sách ho c quét m ng c c b , nó b m c a nó tron
ch
hoán v tìm ra nh ng m c tiêu m i. M t kh
b nhi trong quá trình quét hoán v , nó b u quét t i m
m c
nhiên. B t c khi nào nó g p m host nhi m c, nó ch n m
t
u m i ng u nhiên trong danh sách hoán v và ti p t c t t host nh
c có th nh n ra m t host khác b nhi m c gi a nh ng host kh
b nhi m , vì n ng khác nhau gi host b nhi m và host không b nhi m. Quá
ph a
trình quét d ng l i khi các host nhi g p tu n t m t s nh s n các ho
c
nhi m mà không tìm th y m c tiêu m i trong kho ng th
m t khóa hoán v m t o ra và m n m i b
c
nh m hai m nh n tái nhi m khôn
tiêu gi ng nhau, vì khi m host b nhi c nh n ra m
t t
nhi c i cách th
Th hai, v
này n duy trì nh ng l i th quét ng u nhiên, b i vì các ch
các m c tiêu m i di n ra m t cách ng u nhiên. , k thu t quét
v có th c mô t m t k thu t quét ph i h p v i m t hi u su t r t t
vì u nhiên cho phép t quét cao.
ng
M t phiên b n c i ti n c a k quét hoán v là k quét hoán v
thut thut
phân vùng. u quét này m t s k t h p c a quét hoán v và quét theo danh
Ki là
sách. c này host b xâm nh p có m t danh sách hoán v , danh sách
Trong , các
18. 9
này chia làm hai ph n khi nó tìm th y m t m c tiêu m i. nó gi m
c
ph n c a danh sách và ph n còn l i là ph n có ch a host v a b nhi c. Kh
danh sách hoán v m b nhi m s h u gi m
mà t c xu
m c c, quét chuy n t quét ho
các
sang quét vào hoán v n.
1.3.1.2 c
Cơ chế lây lan mã độ
Trong DDoS, có ba nhóm lây lan c h i và xây d ng m
t n công g m lan truy n ngu n trung tâm, lan truy n chu i k t n c và lan
truy n t u khi n.
Lan truy n ngu n trung tâm: , sau khi phát hi n các h
này
th tr
ng d b t có kh
thành m t trong nh ng zombie, nh
ng d c g n ngu n trung tâm ch a công c t n công m t b
c a b công c t n công c chuy n t trung tâm n h ng b
th (s
nhi . Sau khi công c c chuy
m)
n giao, trình cài t t ng c a các công
c t n công c kích ho t trên h ng này u khi n b i các scrip.
th
b u chu k cu c t n công m i, th ng m i nhi m tìm ki m
d b t khác có th t b công c t
s d ng .
trên
ch c
này ng s d ng các giao th HTTP RPC (Remote Procedure Call).
, ,
FTP
c mô t :
trong hình
19. 10
Hình 1. 1: Mô hình lan truy c qua ngu n trung tâm
ền mã độ ồ
Lan truy n chu i k t n
c:
d ng các giao th c TFTP ( File Transfer Protocol
Trivial
mô t trong hình:
20. 11
Hình 1. 2 Mô hình lan truy c theo ki u chu t n c
: ền mã độ ể ỗi kế ố ợ
i ngư
Lan truy n t u khi n: này, các máy ch t n công c
các b công c t n công n h ng m b xâm nh p t i th m ch
th i
xác mà nó xâm nh p v h này khác v i
ào th
công c t n công c cài vào các máy ch
nh p b i nh ng k t n công mình và không ph i b i m t ngu n t p tin bên
ngoài. trong hình:
c mô t
21. 12
Hình 1. 3 Mô hình lan truy c theo ki u t u khi n [7]
: ền mã độ ể ự điề ể
1.3.2 n công
Giai đoạn xác định mục tiêu và thời điểm tấ
Sau khi xây dng m
i t n công, k tn công s
d u khi
nh các loi t n công,
a ch c a n
n nhân và ch i thm thích h
các cuc tn công, chuyng t n công v
phía m c tiêu.
22. 13
1.3.3 Giai đoạn phát động tấn công
Sau nh m c tiêu và th m t n công, g i l nh
attacker
kh ng các cu c t c l a ch n n các zo các zo
th i
c d chúng c l p trình. Các zombie l t g i lu
"th
n n n nhân, t p h th ng c a n n nhân v i
ho c làm c n ki t ngu n tài nguyên c c a h ng. B ng cách này, nh ng k t
a th n
công làm cho h ng c a n n nhân không có kh ng các d ch v c
th
các có
khách hàng h p pháp.
là quá cao các m
th
n n các máy t n công làm cho hi u su t ho ng c a các m ng này gi m
i ch
c cung c p các d ch v trên các m ng này có th b ng
tr
ng, và làm cho các khách hàng c a các m b t ch
y, các m c gánh n ng b i ng t n công có th
là m n nhân n n công DDoS.
t n a ca các cuc t
1.3.4 Giai đoạn xóa dấu vết
Sau m t kho ng th i gian t n công thích h p, n hành xóa m i d
attacker ti u
v t có th n mình, vi c này h i có ki n th c
i attacker ph
môn n
cao
23. 14
1.4 Mô hình ki n trúc t ng quan c a DDOS attack-network
ế ổ ủ
Hình 1. 4: Mô hình DDOS at -network
tack
1.4.1 Mô hình Agent- l
Hand er
Mô hình này g
m có 3 thành ph n: Client, Agent và Hander:
Client: là attacker u khi n m i ho
attack-network.
Agent: là thành ph n ph n m m th c hi n s t n công m c tiêu, nh n
u
khi n t Client thông qua các Handler.
Handler: là m
t thành ph n ph n m m trung gian gi a Agent và Client.
24. 15
Hình 1. Handler
5: Mô hình network attack ki u Agent-
ể
Attacker s
t Client giao ti p v nh s ng A
u ch nh th m t n công và c p nh t các Agent. Tùy theo cách
c u hình attack-network, các Agent s u s qu n c t hay nhi u Handler.
ch lý a m
ng Attacker s t ph n m m Handler trên m t b nh tuy n
m t máy ch l n. Vi c này nh m làm
gi a Client, handler và Agent khó b phát hi n. Các giao ti p này ng x
ra trên các giao th c TCP, UDP hay ICMP. Ch nhân th c s c a các Agent thông
ng không h hay bi t h b l i d ng vào cu c t n công ki u DDOS, do h
ki n th c ho trình Backdoor Agent ch s d n
nguyên h ng làm cho h y ng n hi
th th
thng.
25. 16
1.4 C
.2 Mô hình dựa trên nền tảng IR
Internet Relay Chat (IRC) là m
t h th ng liên l c c p t c qua m ng Internet.
1324. o m t k n nhi u
i dùng t t n
và chat th i gian th
c.
dùng cho các thành viên trong m ng BBS Bulletin Board System i thông
( )
tin v i nhau, d n d c c i ti n và tr thành giao th c chu
trình IRC.
Hi
c xây d ng trên n n t ng h giao th c
do cho vi c s d ng h giao th c này là tính chính xác, tin c y, ph bi n, r t thích
h p cho các cu o lu n t xa.
c th
Các h ng IRC s d ng mô hình client -
th
trò server cung c p m m t p trung cho các máy client k t n
thc hi
n quá trình truy n nh n các message t n client khác.
Có th
có nhi u server IRC k t n i v t n
i nhau. Các client k
i v i các server
IRC qua nhi u kênh (channel). IRC i dùng t o ba lo
public, private và serect:
i dùng c
p c a m i dùng khác trên cùng kênh.
c thi t k giao ti p v
i dùng không cùng kênh th y IRC name và
trên kênh. Tuy nhiên, n i dùng ngoài kênh dùng m t s l nh channel locator
thì i c
t n t
có th bi
c s
a private
pri
channel locator.
Ki
n trúc attack-network c a kiu IRC-Base:
26. 17
Hình 1. 6: Mô hình network attack ki u IRC-Base
ể
IRC
Based network s d ng các kênh giao ti
ti
p gi a Client và Agent (không s d ng Handler). S d ng mô hình này, attacker
có thêm m l
t s i th
Các giao ti i d ng chat message làm cho vi c phát hi n chúng là vô cùng
IRC traffic có th di chuy n trên m ng v i s ng l n mà không b nghi
ng .
Không c n ph i duy trì danh sách các Agent, hacker ch c n logon vào
IRC
nh c báo cáo v tr ng thái các Agent do các c
ng chia s t p tin t
các Agent code lên nhiu máy khác.
27. 18
CHƢƠNG II: PHÂN LO I CÁC D NG T N CÔNG DDOS
Ạ Ạ Ấ
Các cuc tc tin t c th
c hi n b
m t s ng r t l n các máy tính có k t n i Internet b m quy
chi u khi n
hp các máy này c g i là m ng máy tính ma hay m ng bot, ho c botnet. Các máy
c a botnet có kh i hàng ngàn yêu c u gi m
o m n h th
nhân, gây ng nghiêm tr
n ch ng d ch v cung c
Do các yêu c u c a t
n công DDo c g i r i rác t
nhi u máy nhi
u v
nên r t khó phân bi t v i các yêu c u c i dùng h p pháp. M t trong các khâu
c n thi t trong vi
ra các bin pháp phòng chng t n công DDoS hi
u qu là phân
loi các dng tn công DDoS và t có bi n pháp phòng ch
ng thích hp.
M t cách khái quát, t n công DDoS có th c phân lo i d a trên 6 tiêu chí
chính: (1) D n công, (2) D a trên m t
trên giao th c m ng, (4) D c giao ti p, (5) D
công và (6) D a trên vi c khai thác các l h ng an ninh. Ph n ti p theo s trình bày
chi tit t i t th
ng lo
n công c
2.1. D n công
ựa trên phƣơng pháp tấ
Phân lo i DDoS d n công là m
phân n nh t. Theo tiêu chí này, DDoS có th c chia thành 2 d ng g
lo m
t n công gây ng p l t và t n công logic
:
1) T n công gây ng p l t (Flooding attacks): Trong t n công gây ng p l t, tin
t c t o m ng l n các gói tin t n công gi n h p
h ng n n nhân làm cho h ng không th ph c v i dùng h
th th
ng c a t n công d
2) T n công logic (Logical attacks): T ng khai thác cá
c các l t c a các giao th c ho c d ch v ch y trên h
nhân, nh m làm c n ki t tài nguyên h ng. Ví d t n công TCP SYN khai thác
th
quá trình b c trong kh i t o k t n
c c p m t ph n không gian trong b u k t n i trong khi c
28. 19
nh n k i. Tin t c có th g i m ng l n yêu c u k t n i gi m o các k
t n
không th c hi n, chi y không gian b ng k t n i và h ng n n nhân
th th
không th p nh n yêu c u k t n i dùng h p pháp.
ti i c
2.2. D a trên m t
ự ứ ộ
c đ ự động
Theo m t ng, có th n công DDoS thành 3 d ng
chia t :
1) T n công th công: Tin t c tr c ti p quét các h ng tìm l h
th
nh p vào h t mã t n công và ra l nh kích ho t t n công. Ch nh
th
u m c th c hi
n th công.
2) T n công bán t ng: Trong d ng này, m i th c hi n t n công
DDoS bao g
u khi n (master/handler) và các máy agent (slave
deamon, zombie, bot). Các n tuy n ch n máy agent, khai thác l h ng và
lây nhi c th c hi n t n t n công, tin t c g i các
bao g m ki u t n công, th m b u, kho ng th i gian duy trì t
t n các agent thông qua các handler. Các agent s theo l nh g i các gói tin
t n h ng n n nhân.
th
3) T n công t ng: T t c n trong quá trình t n công DDo
tuy n ch n máy agent, khai thác l h ng, lây nhi n th c hi n t
c th c hi n t ng. T t c các tham s t c l p trình s
vào mã t n công. T n công d ng này gi n t i thi u giao ti p gi a tin t c và
m i t n công, và tin t c ch c n kích ho n tuy n ch
agent.
2.3. D a trên giao th
ự ức mạng
D c m ng, t n công DDoS có th ng [1]:
a trên giao th chia thành 2 d
1) T n công vào t ng m ng ho c giao v n: d ng này, các gói tin TCP,
c s d th c hi n t n công.
2) T n công vào t ng ng d ng: d ng này, các t
các d ch v thông d ng ng v i các giao th c t ng ng d
SMTP. T n công DDoS t ng ng d gây ng p l ng
tiêu hao tài nguyên máy ch , làm ng t quãng kh p d ch v
29. 20
dùng h p pháp. D ng t n công này r t khó phát hi n do các yêu c u t
t yêu c u t i dùng h p pháp.
2.4. Dựa trên phƣơng thức giao tiếp
th c hi n t n công DDoS, tin t c ph i tuy n ch
chi
m quy u khi n m t s ng l n các máy tính có k t n i Internet, và c
máy tính này sau khi b cài ph n m m agent tr thành các bots - công c giúp tin t
c
th
c hi n t n công DDoS. Tin t u khi n (mas
v g i thông tin và các l u khi n t n công
giao ti p gi a các master và bots, có th chia t n công DDoS thành 4 d ng
:
1) DDoS d a trên agent-handler: T n công DDoS d a trên d ng này bao
g m các thành ph n: clients, handlers và agents (bots/zombies). Tin t c ch giao ti
p
tr
c ti p v i clients. Clients s giao ti p v i agents thông qua handlers. Nh c
l nh và các thông tin th n t n công, agents tr p th n vi n công.
c hi c ti c hi c t
2) DDoS d a trên IRC: Internet Relay Chat (IRC) là m t h ng truy
th n
p tr c tuy n cho phép nhi i dùng t o k t n
p theo th i gian th c. Trong d ng t n công DDoS này tin t c s d ng IRC làm
kênh giao ti p v i các agents, không s d ng handlers.
3) DDoS d a trên web: Trong d ng t n công này, tin t c s d ng các trang
n giao ti p qua kênh HTTP thay cho kênh IRC. Các trang
c a tin t c s d u khi n và lây nhi m các
h i, các công c khai thác các l h t các agents chi m q
khi n h ng máy tính và bi n chúng thành các bots. Các bots có th c xác l
th p
c u hình ho ng t u, ho c chúng có th g
khi n thông qua các giao th bi
c web ph
4) DDoS d a trên P2P: d ng này, tin t c s d ng giao th c Peer to Peer
m t giao th t ng ng d ng làm kênh giao ti p. B n ch t c a các m ng P2P là
c
phân tán nên r phát hi n các bots giao ti p v i nhau thông qua kênh này.
30. 21
2.5. D t n công
ựa trên cƣờng độ ấ
D n ho c t n su t g i yêu c u t n công, có th phân
công DDoS thành 5 dng:
1) T cao: Là d ng t n công gây ng t quãng d ch v
cách g i cùng m t th m m ng r t l n các yêu c u t các
agents/zombies n
m phân tán trên m ng.
2) T th
g i m ng l n các yêu c u gi m i t n su t th p, làm suy
d n hi ng. D ng t n công này r t khó b phát hi
n t i dùng h p pháp.
3) T h n h p: Là d ng k t h p gi a t
và t ng t n công ph c h
th
s d ng các công c n công g n t cao và th p.
sinh các gói tin t i vi t su
4) T liên t c: Là d ng t c th c hi
t t kho ng th i gian t khi b n kh
5) T ng t
ng nh m tránh b phát hi .
2.6 D a trên vi c khai thác các l h ng an ninh
ự ệ ỗ ổ
D a trên vi m y u và l h ng an ninh, t n côn
th th
c phân lo i thành 2 d ng : t n công làm c n ki
công làm c n ki ài nguyên h ng.
t t th
2.6.1 Tấn công gây cạn kiệt băng thông
Các t n công DDoS d c thi t k gây ng p l t h ng m
th
c a n n nhân b ng các yêu c u truy nh p gi m i dùng h p pháp kh
th
truy nh p d ch v . T n công d ng gây t c ngh ng tru
ng yêu c u gi m o r t l n g i b i các máy tính ma (zombie) c a các botnets.
D ng t c g i là t n công gây ng p l t ho
khu
i.
Các t n công DDoS d c thi t k gây ng p l t h ng m
th
31. 22
c a n n nhân b ng các yêu c u truy nh p gi m i dùng h p pháp kh
th
truy nh p d ch v . T n công d ng gây t c ngh ng tru
ng yêu c u gi m o r t l n g i b i các máy tính ma (zombie) c a các botnets.
D ng t c g i là t n công gây ng p l t ho
khu
i.
Các t n công DDoS d c thi t k gây ng p l t h ng m
th
c a n n nhân b ng các yêu c u truy nh p gi m i dùng h p pháp kh
th
truy nh p d ch v . T n công d ng gây t c ngh ng tru
ng yêu c u gi m o r t l n g i b i các máy tính ma (zombie) c a các botnets.
D ng t c g i là t n công gây ng p l t và t n
i.
T n công làm c n ki ông h ng l i chia làm hai lo
th i:
T n công làm tràn ng p (Flood attack): u khi n các Agent g i m
t
ng l n h th ng d ch v c a n n nhân, làm d ch v này
Trong quá kh , các cu c t n công làm tràn ng p h ng c th c hi n
th
b i nhi u h ng b xâm nh p và tr thành m t ph n c a m t botnet. n nay các
th Hi
attacker không ch s d ng t n công ng, m
các tình nguy n viên kh ng các cu c t n công t máy riêng c a h . Ngoài ra
,
làn sóng m i c li
a các cu c t
n công ng l n xu t phát t trung tâm d
u c
các nhà cung c p d ch v lên ph bi n, kh
n c các
M t botnet là m ng c a h ng b xâm nh p có k t n i Internet mà có th
th
c s d g i , tham gia vào các cu c t n công ho
DDoS, c th
các nhi m v b t h p pháp khác. Bot là vi t t t c a Robot, t
ng hóa. Các h th ng b xâm nh p c g i là zombie. Zombies có t
lây nhi m cho các h nó tr
th
truy trên. Ví d v m t m
c
công DDOS:
32. 23
Hình 2. 1: Mô hình m ng botnet
ạ
Trong ví d này, k t n công ki m soát các zombie kh ng m t cu
c
t n công DDoS v i h t ng c a n n nhân. ng zombie y m t kênh bí
Nh ch
m giao ti p v i các máy ch ra l nh và ki m soát u khi n t n
Thông tin liên l c này ng di n ra trên Internet Relay Chat (IRC), các kênh
c
mã hóa, peer- -peer và th m chí là các m ng xã h
to i.
V i s i c a d ch v và các nhà cung c
ng m t hi n. Nh ng k t n công có th thuê ho c xâm nh
khi n trung tâm d u / n kh ng các cu c t n công DDoS
li
không ch t o i m i cho các t ch c h p pháp, nó
c p m t n n t ng tuy t v i cho t i ph m m
ng b i vì nó r n và thu n ti n cho
ti
phép h s d ng tài nguyên máy tính m nh m u x u. Khái ni m nà
c minh h a trong ví d :
33. 24
Hình 2.2: Mô hình t n công thông qua data center
ấ
T n công khu
u
Client g i m
n m a ch IP broadcast c a m ng, m t máy c
v
a ch ngu
n c a ch c a n n nhân làm cho t t c
m ng này ho c các máy ch d ch v
ng lo t g
n h th
c a n
ic vô íc
nhân không có kh
ch v
mình.
T n công khu i (Amplification Attack)
ấ ếch đạ
Amplification Attack là k t t n công khi attacker g i các gói tin request
thu
n các h th ng v a ch ngu n c a ch c a n n
34. 25
các h ng lo t g i l i các gói tin replies v i s ng r t l n làm c
th
th
ng c a n
n nhân không có kh lý và b flood.
Hình 2. 3: Mô hình t n công khu i
ấ ếch đạ
2.6.2 t tài nguyên
Tấn công gây cạn kiệ
Trong ki u t n công này attacker có th g i nh ng gói tin dùng các giao th
c
sai ch t k , hay g i nh
c b
làm cho h ng ph i s d ng h x lý nh ng gói tin n
th
không th c yêu c u d ch v c a các khách hàng. Ngu n l c c n t
cho cu c t n công s c vào b n ch t c a các ngu n tài nguyên b t n công,
ph thu
ng tài nguyên các m c tiêu có th ng, và các tình hu ng gi m nh
Attacker/Agent VICTIM
Host Host Host
35. 26
kh a m c tiêu có th phát hi n, chuy
công c
n ki t tài nguyên.
T n công khai thác các giao th Protocol Exploit Attack)
ấ ức (
TCP SYN attack:
Giao th c TCP (Transfer Control Protocol h truy n nh n v tin c
) tr y
cao. m t host (client) kh i t o m t k t n i TCP t i m t server, máy tr m và
Khi
máy ch i m t t các b n tin thi t l p k t n i. t l p k t n i
lo Thi
g i c TCP (TCP three-way handshake c mô t b i h
là b ).
Hình 2.4: Mô hình giao th c TCP SYN
ứ
c 1: Các khách hàng yêu c u m t k t n i b ng cách g i m t
SYN
(synchronize n máy ch .
c 2: Máy ch th a nh n yêu c u này b ng cách g i -ACK l
SYN i cho
khách hàng.
c 3: Các khách hàng xác nh n v i ACK và k t n c thi t l p.
N l i m t yêu c u SYN b ng m t SYN-
không nh c gói tin ACK cu i cùng sau m t kho ng th
s g i ti p SYN- n h t th i gian timeout. Toàn b tài nguyên h n
th
36. 27
c c x lý phiên k t n i n u nh c gói tin ACK cu i cùng s b p
t n h i gian timeout.
t th
Trong cuc t
n công TCP SYN attack, attacker g i m t gói tin SYN n n n
nhân v a ch ngu n c a gói tin b gi m o, k t qu là n n nhân g i SYN-AC
n m a ch khác và s không bao gi nh c gói tin ACK cu i cùng,
n h t th i gian timeout n n nhân m i nh u này và gi i phóng
nguyên h ng.
th
Hình 2.5: Mô hình TCP SYN attack [1]
Khi m ng l n các gói tin SYN (v a ch ngu n c a gói tin b
gi
c g n n n nhân s làm cho h th ng c a n n nhân không th x lý và b c
kit tài nguyên.
PUSH + ACK attack:
Trong ki u t n công này, attacker s d c tính c a giao th
công n n nhân. Trong giao th c g n các T
trong b m (buffer) và khi b c g
37. 28
th ti th
p nh n chúng. Tuy nhiên, bên g i có th yêu c u h
ng unload buffer c
khi b b ng cách g i m t gói tin v bit và ACK mang giá là 1.
y i PUSH tr
PUSH và ACK là m t bit c
PUSH+ACK attack làm c n ki t tài nguyên h ng n n nhân b ng lo
th
g i nh ng gói tin TCP v i bit PUSH và ACK có giá tr b ng 1 làm cho h ng
th
n n nhân ph i liên t c unload b m và k t qu là h ng c a n n nhân không
th
th
x c n
u s c g n là quá l n
Slow HTTP request attack:
t t n công t ng ng d ng mà attacker l i d
thu
giao th c HTTP v n thi t k i request ph c nh
các
ch
c th c thi. N u m
truy n t i th p, máy ch ph i gi ngu n tài nguyên busy và ch i ph n
ch
còn l i c a d u. N u máy ch gi quá nhi u tài nguy n busy s gây ra t
li chi
d và không th ng các yêu c u khác.
ch v
C u trúc c t HTTP request t m n server bao g
a m
m:
Request = Request-Line
*(( general-header
| request-header
| entity-header ) CRLF)
CRLF
[ message-body ]
Request- -URI SP HTTP-Version CRLF
Line = Method SP Request
và:
Method = "OPTIONS"
| "GET"
| "HEAD"
| "POST"
| "PUT"
38. 29
| "DELETE"
| "TRACE"
| "CONNECT"
| extension-method
extension-method = token
T n công b ng các gói tin b ng (Malformed Packet Attack)
ấ ằ ất thƣờ
Malformed packet attack là lo i t n công t i d ch v phân tán
ch
agent g nh d
nhân không th x lý các gói tin này. Nhi c g n cùng lúc
cho h ng s d ng h t tài nguyên và s không th c d ch v c
th
khách hàng h p pháp. Ta s xét m d ng sau:
t s
IP address attack:
Trong cách t n công này attacker s g n n
gi m a ch ngu a ch
th
ng n n nhân không hi x c.
IP packet options attack:
Attacker g
n h th ng n
thi
t l p ng u nhiên và t t c c thi t l
nhân ph i dành th i gian và tài nguyên h x
th
N u các gói tin d c g i d n d n h ng c a n n nhân cùng
th
n n nhân s b c n ki t tài nguyên h x
th
th
c d ch v t khách hàng h
các p pháp.
39. 30
CHƢƠNG III:
PHÁT HIỆN VÀ NGĂN CHẶN DDOS
3.1 Yêu c u i v i m ng phát hi n n DDoS
ầ đố ớ ột hệ thố ệ và ngăn chặ
Hi
n nay, các hình th c t n công DDOS r c
không ng ng. Ngày càng có nhi u ki u t n công m i. Do v y, m t h ng phát
th
hi n n DDOS t s hi u qu khi phát hi n n
th
các ki
u t n công.
Khi m t cu c t n công DDOS x
nh n chính xác các gói tin t n công t ng
gói tin h p l . Ngoài ra h ng phát hi n n ph i ho ng th
th
th
gi m thi u t ng thi t h i do cu c t n công gây ra. Ph n ng
th
ng càng nhanh thì vi c phòng th
càng có hi u qu .
3.2 n pháp át hi n DDOS
Các biệ ph ện và ngăn chặ
Do tính ch
t nghiêm tr ng c a t
n công DDoS, nhi u gi i pháp phòng ch ng
c nghiên c xu t trong nh
g i pháp nào có kh ng DDoS m
và hi u qu do tính ch p, quy mô l n và tính phân tán r t cao c n công
t phc t a t
DdoS.
N u d phân n pháp là v n khai, ta có th
loi các bi trí tri c
các mô hình h ng g mô hình h ng n n công (n n nhân),
th m: th t g m
hìn n ngu n t n công và mô hình m n công.
t g t
3.2.1 Mô hình đặt gần nạn nhân
L mô hình n nh t do ít ph c vào các tác nhân khác, n n nhân t
à thu
gi i quy t v
ph n n
phát hi n b t n công. Tuy nhiên cách ti p c n này không th gi i quy t t n g c,
qu n tr viên ch có th gi m thi u thi i ch không th m d t cu n công.
t h ch c t
40. 31
Hình 3. 1 t g n n n nhân
: Mô hình đặ ầ ạ
3.2.2 Mô hình công
đặt gần nguồn tấn
Là mô hình n các gói tin DDoS ngay khi v c sinh ra t i ngu
n
m là gi c t i c a gói tin DDoS, ch
IP. Tuy nhiên l t khó th n do ph ng m ng trên quy mô l
i r c hi i h th
41. 32
Hình 3. 2 t g n Attacker
: Mô hình đặ ầ
3.2.3 Mô hình a internet
đặt tại phần lõi củ
Cách ti p c c quan tâm r p c
ti
internet c n có m t kho n chi phí không nh m b o ch c c
tính hi u qu ph p c a ph n lõi.
c t
Hình 3. 3 t t a internet.
: Mô hình đặ ại lõi củ
42. 33
3.3 M nghiên c h n DDOS
ột số ứu về ệ thống ngăn chặ
3.3 Active Internet Traffic Filtering (AITF)
.1 Giao thức
Giao th c AITF [10] c phát tri n b i nhóm nghiên c u h ng phân tán
th
i h c Stanford nh n và ph n ng t c th i v i nh ng
công DDoS. Nhóm tác gi u và th nghi m giao th c AITF v i k t
khá kh quan: AITF có th n t c th hàng tri u lu ng t n công trong kh
i
ch các router.
yêu c u m t s
tham gia c a m ng nh
Hình 3. 4: Mô hình giao th c AITF
ứ
ANET là m ng c a attacker A, m ng này có m
t gateway là A
gw.
VNET là m ng c a victim V, m ng này có m t gateway là V
gw.
Gi
s khi có m t lu ng không mu n t i h th ng c a n n nh
n nhân mu nh m ng không mong mu
g i m t yêu c u l n gateway V
gw c a nó. Gateway V
gw s t m th i ch n l i các
ng không mong mu nh router g n v i n
nh gateway t n công A
t gw. Gateway Vgw thi t l p m t k t n c bi t t i A
gw
kèm theo m t yêu c u không g i các gói tin vi ph m (chính sách c a m ng V
NET )
n a. Khi k t n c bi t trên c thi t l p, V
gw có th g b b l c t m th i trên.
N u A
gw không h p tác, V
gw có th lan t a yêu c t b l c t i router g n sát v
i
Agw. S lan t qui theo d c tuy ng t k t n
nhân cho t i khi k t n c bi t nêu trên c thi t l ng h
yêu c u k t n i, b l c s
43. 34
victim Vgw. Tuy nhiên AITF có nh c bi h và khuy n
tr
các router g
n ngu n t n công ch n các lu ng t n công DDoS.
Hình 3. 5: Ho ng c a AITF
ạ ộ
t đ ủ
Victim V g i yêu c u l n V
gw, ch rõ lu ng d u không mong mu n F
li
Gateway Vgw:
t b l c t m th n lu ng t n công F trong th i gian T
ch
tmp giây.
b2: Kh i t o quá trình b c v
i A
gw.
b3: G b b l u hoàn thành quá trình b c.
c n
Gateway Agw:
i quá trình b c
t b l c t m th n lu ng t n công F trong th i gian T
ch
tmp nu
quá trình k i b c thành công.
t n
b3: G i yêu c u l n ngu n t n công A, yêu c u d ng lu ng F trong
kho ng th i gian T
long>>Ttmp
b4: G b b l c t m th i n u A tuân theo trong kho ng th i gian T
tmpc
l t n
i ngt k i ti.
Attacker A: Ngu n t n công A d ng lu ng F trong kho ng th i gian T
long nu
không thì s b ng t n
t k i ti A
gw
44. 35
3.3.2 D-WARD
Hệ thống
D-WARD (DDoS Network Attack Recognition and Defens m t h
e) là
th tiêu là:
ng phòng th D S
Do c tri
n khai v i m c
Phát hi n các cu c t n công n chúng b ng cách ki
ra DDoS và m
soát l ng g cho n n nhân.
Cung c p t t d ch v cho các giao d h p pháp gi a m ng tri n khai
ch các
và n n nhân trong khi các n công p di n.
cuc t
D-
ân tán. Khi xem D-WARD
khác. Khi tham gia vào các , D
. D-
D-WARD ch ki m soát nh ng lu n d m ng c a mình
li
lu li
ng d
u có ngu n g c t các ngu
n kh c ki m soát.
Các h ng D- thi t l p t i các router ngu ho
th c n
m t gateway c a m ng tri n khai và ph n còn l i c a Internet. Trong vi c tri n khai
n, các b nh tuy n ngu c gi m k t n i duy n
ngu n v i các m ng khác. D-WARD có th quan sát m
gi a m ng ngu n v i . Trong c khác, có nhi u router biên k t n i v
internet i
internet qua các gateway khác nhau. D-WARD có th c tri n khai m
i
gateway và ki m soát m ng ngu n và các m ng b
i gia m
45. 36
Hình 3. 6: Mô hình tri n khai D-
ể WARD
D- c c u hình v i m t t p h a ch IP c c b (loca
ng ra c a ch này b áp các chính sách. T a ch này
x nh, ví d , t t c các máy trong m ng ho c t t c các khách hàng c a m t ISP
Ta gi nh r ng D-WARD có th nh chính sách cho t a ch nà
qua m t s giao th c ho c thông qua c u hình th công. D-WARD theo dõi t ng
ng c a dòng và các k
các t n i gi a a ch c thi t l p chính
ph n còn l i c a Internet. M t dòng (flow) t ng
thi
t l p chính sách cho m a ch và m t máy ch bên ngoài (m a ch IP
ngoài). M t k t n t ng gi a m t c
c ng
c thi t l p chính sách) và m a ch bên ngoài. Hình minh h
khái ni m c a m t dòng và m i:
t kt n
46. 37
Hình 3.7: Mô t dòng và k i
ả ết nố
D-WARD nh d a trên vi theo dõi các dòng và
c
n i theo th i gian. Thay vì t l p tính h p pháp c a các gói d u, D-WARD
thi li
theo dõi hành vi c a dòng, k t n i và phân lo i các dòng, k t n i là h p pháp
các
hay t n công. u ch nh ho ng t ng phù h p v i cách phân lo
WARD p t c theo dõi ng c a nó n dòng v
ti các
n i và s d các thông tin này n i t n công
ng các lo
D-WARD p oS
Các máy ch bên ngoài không ph n ng l i t ng th p so v
:
t g i, s b ng này g n li n liên l c hai chi u theo m t mô hình theo y
c
c t s ng ICMP, DNS,
lo
Trong các k t n i, m t bên g i m t ho c nhi
(xác nh n nh n ho c m t ph n c khi g p b t k gói d
i ti li
k t n i y nó s là b ng khi m t t l g i tích c c k t h p v i
l i th p. M t t l l i th p là m t d u hi u cho th y các máy ch bên ngoài có
tr
47. 38
th tr i
b tràn ng p b i các cu c t n công và không th
l i, trong khi m t t l g
tích c c cho th y host n i b có th s tham gia vào cu c t n công. B ng cách phát
hi n các máy ch bên ng, D-WARD s nh d
công t ch ch v
i d t d u hi u t n công r y
S hi n di n c a IP gi m o: D-WARD dro
.
gói. P
-
48. 39
CHƢƠNG IV:
TRI N KHAI THÍ NGHI
Ể ỆM PHƢƠNG PHÁP NGĂN CHẶN DDOS
S D NG SNORT-INLINE
Ử Ụ
4.1 Ph n m m phát hi xâm nh p Snort-inline
ầ ề ện và ngăn chặn ậ
Snort là m t ph n m n m c phát tri n b i Sourcefire. Sno
là m t ki u IDS (Instruction Detection System) m m. Nói ng n g n IDS là m t
ph n m m t trên máy tính và nhi m v c a nó là giám sát nh ng gói
vào ra h ng. N u m t cu c t c phát hi n b i Snort nó có th p
th thì
ng b ng nhi u cách khác nhau ph thu c vào c u hình c thi t l p, ch ng h n
g i p c nh báo n nhà qu n tr hay lo i b g
hi n có s b
T phiên b n 2.3.0RC1 Snort tích h p h n xâm nh
th
(Snort inline) n Snort t m t h ng phát hi n xâm nh p thu n túy tr thành
bi th
m t h n xâm nh p (IPS) m c dù ch này ch là t n
th ch ch
không ph i m nh. Snort inline m t d án chính th c c a Snort. ng là k
là
h n c a Iptables vào Snort. c th
i modun phát hi n và modun x
th
, vi c ch n b t gói tin trong Snort c th c hi
libpcap s c thay th b ng vi c s d ng Ip- n libipq
n c a Snort-inline s c th c hi n b ng devel-mode c a Iptables.
Netfilter m t c tích h p trong nhân Linux k t khi phiên b n
là
kernel 2.4. Nó cung c p ba :
ch chính
Packet filtering p nh n ho c n các gói tin
: Ch ch
NAT:
i a ch IP ngu n ho c c a gói tin.
Packet mangling - S i ng d ch v - QoS)
các gói tin ch
Iptables m t công c c n thi t c u hình Netfilter. Netfilter s p x p các
là
gói tin n Snort-inline i dùng v i s c a
trong c
ip-queue trong nhân linux và modun libipq. n u m t gói tin phù h p v
, i