RealEDU.

1. BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI
---------------------------------------
NGUYỄN ĐÌNH TÌNH
PHÁT HIỆN VÀ PHÒNG CHỐNG
XÂM NHẬP TRÁI PHÉP MẠNG MÁY TÍNH
LUẬN VĂN THẠC SĨ KỸ THUẬT
KỸ THUẬT MÁY TÍNH
Hà Nội – 2017

2. BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI
---------------------------------------
NGUYỄN ĐÌNH TÌNH
PHÁT HIỆN VÀ PHÒNG CHỐNG
XÂM NHẬP TRÁI PHÉP MẠNG MÁY TÍNH
Chuyên ngành: KỸ THUẬT MÁY TÍNH
LUẬN VĂN THẠC SĨ KỸ THUẬT
KỸ THUẬT MÁY TÍNH
NGƯỜI HƯỚNG DẪN KHOA HỌC:
PGS.TS. NGUYỄN LINH GIANG
Hà Nội – 2017

3. i
LỜI CAM ĐOAN
 
u c
Các s u, k t qu nêu trong lu
 li   
công b  
trong b t k công trình nào khác.
Tác gi
Nguyễn Đình Tình

4. ii
DANH MỤ Ậ
C CÁC THU T NGỮ
1 ACK Acknowledgement
2 DNS Domain Name System
3 DOS Denial of Service
4 DDOS Distributed Denial of Service
5 FTP File Transfer Protocol
6 HTTP HyperText Transfer Protocol
7 ICMP Internet Control Message Protocol
8 IDS Intrusion Detection System
9 IP Internet Protocol
10 IPS Intrusion Prevention System
11 NAT Network Address Translation
12 NTP Network Time Protocol
13 UDP User Datagram Protocol
14 RPC Remote Procedure Call
15 TCP Transmission Control Protocol

5. iii
M C L C
Ụ Ụ
L .....................................................................................................i
ỜI CAM ĐOAN
DANH MỤ Ậ Ữ
C CÁC THU T NG .........................................................................ii
M C..............................................................................................................
ỤC LỤ iii
DANH M NG
Ụ Ả
C CÁC B ......................................................................................v
DANH MỤ Ẽ VÀ SƠ ĐỒ
C HÌNH V .....................................................................vi
M U ..................................................................................................................1
Ở ĐẦ
CHƢƠNG I: Ổ Ề Ấ Ừ Ố Ị Ụ
T NG QUAN V T N CÔNG T CH I D CH V PHÂN
TÁN ..........................................................................................................................3
1.1 T n công t phân tán.....................................................................3
  chi dch v
1.2 L t n công t ........................................................................4
ch s   chi dch v
    
n c a m t cu c t n công DDOS ...........................................
  
n chu n b ...................................................................................
1.3.1.1 K t scanning .................................................................................6
 thu
 
lây la c..................................................................
    
nh m c tiêu và th  m t n công........
 
ng t n công......................................................
  
n xóa d u v t..............................................................................
1.4 Mô hình ki n trúc t ng quan c a DDOS attack-network ................................14
  
1.4.1 Mô hình Agent-Handler ............................................................................14
1.4.2 Mô hình d a trên n n t ng IRC.................................................................16
  
CHƢƠNG II: PHÂN LOẠ Ạ Ấ
I CÁC D NG T N CÔNG DDOS .......................18
2.1. D n công.............................................................
 

2.2. D a trên m t ng................................................................................19
   
2.3. D c m ng ................................................................................19
a trên giao th 
2.4. D g th p ......................................................................2
 c giao ti
2.5. D t n công..........................................................................
 
 
2.6 D h ng an ninh....................................................21
a trên vic khai thác các l 
2.6.1 T n công gây c n ki .............................................................2
  
2.6.2 T n công gây c n ki ..............................................................25
  t tài nguyên
CHƢƠNG III: ỆN VÀ NGĂN CHẶ
PHÁT HI N DDOS ...................................30
3.1 Yêu c i m ng phát hi n DDoS................
i v t h th 
3.2 C n pháp phát hi n DDOS.................................................3
ác bi 

6. iv
  
t g n n n nhân ......................................................................
3.2 t g n ngu n t n công...............................................................
   
   
t t i ph n lõi c a internet.....................................................
3.3 M nghiên c u v h n DDOS .........................................
t s    th
3.3.1 Giao th ..................................33
c Active Internet Traffic Filtering (AITF)
3.3.2 H ng D-WARD..................................................................................35
 th
CHƢƠNG IV: Ể ỆM PHƢƠNG PHÁP NGĂN
TRI N KHAI THÍ NGHI
CHẶ Ử Ụ
N DDOS S D NG SNORT-INLINE .......................................................39
4.1 Ph n m m phát hi n xâm nh p Snort-inline............................
   
   
ho  ng c a Snort ......................................................
4.1.2 Ki n trúc c a Snort....................................................................................41
 
4.1.3 C u trúc lu t (rule) c a Snort ....................................................................42
  
4.1.3.1 C u trúc c a rule Header.....................................................................42
 
4.1.3.2 C u trúc c a rule option......................................................................43
 
4.2 Mô hình tri n khai ...........................................................................................49

4.2.1 Mô hình khi h ............................................................
 th
4.2.2 Gi i pháp tích h p Snort-inline vào h ng ...........................................51
   th
4.3 n khai ................................................................................................52
c tri
4.3 .......................................................................................................52
c 1
c 2 .......................................................................................................52
c 3 ......................................................................................................53
4.4 Tri n khai h ng..........................................................................................53
  th
    
t h u hành và các gói ph thu c............................................
4.4 n thi t cho snort.............................................................54
t các gói c 
t Snort..............................................................................................55
t Barnyard........................................................................................56
4.5 K nghi m...........................................................................................57
t qu thí 
4.5.1 K t qu ..........................................................................................57
  c 1
4.5.2 K t qu ..........................................................................................59
  c 2
4.5.3 K t qu ..........................................................................................63
  c 3
K N ..............................................................................................................66
ẾT LUẬ
TÀI LIỆ Ả
U THAM KH O

7. v
DANH MỤ Ả
C CÁC B NG
B ng 4. 1: C u trúc rule c a Snort. ...........................................................................42
  
B ng 4. 2: C u trúc rule header.................................................................................42
 

8. vi
DANH MỤ Ẽ VÀ SƠ ĐỒ
C HÌNH V
Hình 1. 1: Mô hình lan truy 
c qua ngu n trung tâm....................................10
Hình 1. 2: Mô hình lan truy c theo ki u chu t n c ....................
  i k  

Hình 1. 3: Mô hình lan truy c theo ki u t u khi n ................................12
    
Hình 1. 4: Mô hình DDOS attack-network ...............................................................14
Hình 1. 5 Handler
: Mô hình network attack ki u Agent-
 ..........................................15
Hình 1. 6: Mô hình network attack ki u IRC-Base...................................................17

Hình 2. 1: Mô hình mng botnet ...............................................................................23
Hình 2.2: Mô hình t n công thông qua data center...................................................24

Hình 2. 3: Mô hình t 
n công khu i...................................................................25
Hình 2.4: Mô hình giao thc TCP SYN....................................................................26
Hình 2.5: Mô hình TCP SYN attack ........................................................................27
  
t g n n n nhân..............................................................
Hình 3. 2 
t g n Attacker.........................................................................32
  
t t i lõi c a internet. .....................................................
Hình 3. 4: Mô hình giao thc AITF ..........................................................................33
Hình 3. 5: Ho ng c ................................................................................34
 
 a AITF
Hình 3. 6: Mô hình tri n khai D-WARD ..................................................................36

Hình 3.7: Mô t 
dòng và k t ni ...............................................................................37
Hình 4.1: Netfilter và Snort- ............................................................................40
inline
Hình 4.2 ng d ua Snort .............................................................
 lu  li
Hình 4.3: Mô hình m ............................................................

Hình 4.4 ng d .........................................
 lu  li
Hình 4.5: Mô hình h ng tích h p Snort-inline....................................................51
 th 
Hình 4.6 ng d u khi tích h p Snort- ........................51
 lu  li  inline và Iptables
Hình 4.7: Tài nguyên h t n công..............................................
 th 
Hình 4.8: Truy c p vào web server ...........................................................................59

Hình 4.9: S d ng Slow POST HTTP request attack...............................................60
 
Hình 4.10: Tài nguyên h ng khi b t n công DDOS kho ng 2 phút...................60
 th   
Hình 4.11: Log apache khi b  
 u t c 2 phút ........................................
Hình 4.12: Log h ng khi b t n công DDOS kho ng 2 phút. .............................61
 th   
Hình 4.13: Log h  
thông sau khi t n công kho ng 5 phút ........................................61

9. vii
Hình 4.14: Log c nh báo nh c khi h ng b t n công DDOS. ....................62
   th  
Hình 4.15: Access log c n công x y ra...........................62
a apache sever khi cuc t 
Hình 4.16: Truy c p vào web server khi b t n công DDOS. ...................................62
  
Hình 4.17: S d ng Slow POST HTTP request ............................................63
  attack.
Hình 4.18: Log khi h ng ch n t n công DDOS..................................................64
 th  
Hình 4.19: Tài nguyên h ng sau 5 phút khi DDOS b n.......................64
 th  
Hình 4.20: Truy c p vào web server khi DDOS attacks b n. ....................65
  

10. 1
M U
Ở ĐẦ


   
, internet tr thành không gian xã h i m
th th
      
c hi n các hành vi mang b n ch t xã h i c
sáng t o, h c t p, s n xu i trí. c b
     
phát tri n nhanh chóng c a các k t n i không dây, k t n i m 3G, 4G, m ng xã
      ng 
h i, các thi t b di ng thông minh và d ch v
      
 
c th
m xã h i lên internet.
i quan h 
Cùng v i nh ng l i ích to l a t không gian m
     
m i qu u c a nhi u qu c gia. S phát tri n công ngh thông tin
       
    
ng c a các t ch
      
ng b t h p pháp trên không gian m ng, chuyên ch ng phá nh m ki m soát thông
       
p d li u, n ho ng c a t ch c, doanh ng
. Trong nh t nhi u v t n công DDOS (t n
    
d ch v phân tán) l n, nh m vào các h ng c a các t c chính ph
     th   ch 
an ninh hay các t h p công nghi p, n t l n trên toàn th gi i g
       
nh ng thi t h i to l n v an ninh qu c phòng, kinh t , chính tr làm m nh xã
        t 
h i.

T 
     
Các qu c gia, các t ch c, doanh nghi p c n ph
b t t nh ng phó v i các v t n công b t ng và có bi n pháp kh c ph c k
           
th       
h n ch t t h i mà DDoS gây ra. Vi c hi u rõ các d
DDO n là c n thi V i mon
  t. 
th   
nghi m phòng ch ng m t s  
 ng h p t   
n công DDOS nh m gi m tác h i gây
ra v i m t s h ng ph bi t Nam, tác gi tài lu
    th  n  Vi   
hi n
ệ và phòng ch ng xâm nh p trái phép m ng máy tính
ố ậ ạ 
M u và gi n c
c tiêu nghiên c i h a lu

11. 2
Nghiên c u tìm hi u m t trong các lo i t n công m ng là t n công DDO
       S
và tìm hi công c t n công DDO n hình.
u mt s    
Tìm hi u m n D
 t s 
Tri       
n khai thí nghi m h th ng phát hi n v n DDOS d a tr
ph n m Snort-inlne.
 m
Do  
ng c a các d ng xâm nh p trái phép m ng máy tính,
   
  
n và phòng ch ng ng m
nghiên c u, th nghi m các mô hình, gi i pháp mà lu c n là s d
      
mô hình g m m t máy t n công DDOS (hacker) th c hi n t n công vào m t máy
      
ch        
d ch v và ti t h th ng phát hi n, n t n côn
máy ch này.

N u
i dung l c t ch
        
T ng quan v t n công t ch i d ch v
ki n trúc m ng c a cu n công DDO
   c t S.
        
Kh o sát m t s d ng t n công DDOS n hình và m t s
c t n công .
  DDOS
        
Tìm hi u v m t s gi i thu t phát hi n t n công DDOS
     
t s h th n DD c nghiên c u.
     
Tri n khai thí nghi m h th n DDoS s d
m m phát hi n xâm nh p Snort-inline.
  
  
hoàn thành lu , em xin chân thành c y giáo, c
trong Vi n Công ngh thông tin và Truy n thông i H c Bách Khoa Hà N i
       và
      
c bi t tác gi xin g i l i c n PGS.TS Nguy
   
ng d n hoàn thành lu

12. 3
CHƢƠNG I:
T NG QUAN V T N CÔNG T
Ổ Ề Ấ Ừ Ố Ị Ụ
CH I D CH V PHÂN TÁN
1.1 T n công t i d ch v phân tán
ấ ừ chố ị ụ
Mt cu c t n công t
   
ch i dch v m
 là t n lc (gây hi) ca m 
t  i hay m
i làm n n nhân (các máy ch
  
d ch v, các h ng m
th ng,... không th
)  
ng các yêu c u d ch v cho khách hàng h
   p pháp. Khi n l c này xu
  t phát t mt
máy ch duy nht c a m
 ng, nó to thành mt cuc tn công DDoS. Mt khác, nó
 c gây ra b
 i rt nhi u máy ch
  c h i
 phi h p t
  n công
vi mt s phong phú c
 a các gói tin tn công các c t
và cu n công n ra
di ng thi
t nhim. u t n công này c g i là t n công t
Ki      i d
ch ch v phân

(DDoS).
 
th


thu i
     
c vào kh ng t n công c a m attacker. 
công attacker
DDOS 

nguyên) 
attac









13. 4
1.2 L ch s t n công t ch v
ị ử ấ ừ chối dị ụ
Các t n công t b u vào kho u nh
  chi dch v   
XX 
u tiên, m c
thác n
 
   
c th c hi n ch y  
u b
SYN flood và UDP flood c t n công tr nên ph c t
    
cách gi làm n n nhân, g i vài các máy khác làm ng p má
    
nhân v i các thông p tr l i
    
Các t n công này ph ng b hoá m t cách th công b i nhi u k
       
            
t o ra m t s phá hu có hi u qu . S d ch chuy n vi c t ng
            
ng b , k t h p và t o ra m t t n công song song l n tr nên ph bi n t 1998, v i
s i c a công c t c công b r
           

d a trên t n công UDP flood và các giao ti p master-slave ( u khi n máy
     các
trung gian tham gia vào trong cu c t n công b ng cách t lên chúng các
   cài 
        
trình u khi n t xa). K t qu là tháng 5 1999 trang ch c
    
ng h ng vì cu c t n công b ng DDOS;
Tháng 6  1999 Mt và ki
Trong nh p theo, vài công c n c ph bi n TFN (tribe
     
network), TFN2K, vaf Stacheldraht:
Cu 
i thá le 
 
c Mixter phát tri n.
Cu 
h ng c a Châu âu và Hoa k .
 th  
 
, David Dittrich thu
       
ng phân tích v công c t n công t ch i d ch v .

TFN2K ).
     
t lo t các báo cáo v các v t c bi 

14. 5
Lúc 10 : 30 / 7 2 -2000, t n công t i d ch v
 Yahoo!    ch   
ho ng trong vòng 3 gi ng h
   
công t   
a ch IP khác nhau v i nh ng yêu c u chuy n v n 1 giga
   
Ngày 8 -2-2000, nhi u Web site l n
    
Datek, MSN, và CNN.com b   
t n công t ch i dch v.
Lúc 7 gi t i ngày 9-2-2000,
  
công t i d ch v , d c luân chuy n t i t p trong vòng 1 gi
 ch    li     
k ói d ng n ng.
t thúc, và g  li 
Vào ngày 15 t t
 
và n websites trong vòng 2 gi
 ;
Vào lúc 15:09 gi GMT ngày ph
 
anh c     
a website Al-Jazeera b t n n trong nhi u gi .
G    
t là tháng 12-2015, h th n dân d ng c a Ukraine b
s p làm g m n trong nhi u ngày.
 i dân b  
 
1.3 a m t cu n công DDOS
Các giai đoạn củ ộ ộc tấ
     
ng m t cu c t n công DDOS g m n:
       
n chu n b , nh m c tiêu và th m t n công
  
ng t n công
   
n xóa d u v t
1.3.1 Giai đoạn chuẩn bị
Chu       
n b công c n quan tr ng c a cu c t n công, công c
các
    
ng ho ng theo mô hình client-server. Attacker có th vi t ph n m
này hay t i t internet m t cách d dàng, có r t nhi u công c c cung c
        p
mi 
n phí trên m ng.
K tip, attacker s
các  d ng các k
  thu tìm ki m các host (ho
 c các website,
các thi t b m ng nh
    
b tm qu
thit b  t các công c tn công. Các công c này có kh
  
n mc tiêu và chúng liên kt vi nhau to thành m 
t m ng (mng bot).

15. 6
 
có th c các host t o nên m
    
i t n công và 
c t n công vào các máy ch này, Attacker s d nh ng công c
    ng   
c phát tri 
n s n, t ng tìm các h d b t
   thng   t nhp v
thng này, và t các trình c n thi t cho cu c t
   n công. 
h th    
b nhi m mã c h i này l i ti p t
  c lây nhi cho các máy tính d b
m  
 khác t trên chúng ng
 nh   
c h i . 
các máy tính d b t
   
ng m i t n công v i qu
 
th    
c hi n. K t qu c a quá trình t 
là vi c t o ra m
  t m i t n công DDoS bao g m u khi - ha
    n
(master và các máy b u khi n - agent (slave daemon Các attacker có th s
)    , ).  
d ng các k
  thu t khác nhau (g i là k
   thu t quét -
  tìm ra các host d
t.
1.3.1.1 K t scanning
ỹ thuậ
M k c s d ng:
t s  thu  
 Quét ng u nhiên: Trong k t này, các máy ch b nhi m mã c (m
  thu     t
       
y có th là máy c a k t n công ho c m t máy tính thành viên c a m
m ng t n công, ch ng h a ch IP ng
     
       
a ch IP và ki m tra nh ng host d b t . Khi nó tìm th y m
d b t nó c g ng truy xu t vào host này, chi m quy u khi
       
nhi c cho host này. K thu t này t ng truy c
    
quét ng u nhiên t o ra m t s ng l n các host b quy u khi n. M
       chim  
l i th ng k t n công) c
  (nh   
th     
lây lan r chúng n t kh p m
t phát tán nhanh c c h i không th kéo dài mãi mãi. Sau
    
kho ng th i gian ng n, t lây lan gi m vì s a ch IP m
       
     
c phát hi n ra là gi m theo th u này tr nên rõ ràng n u chúng ta
xét phân tích c a David Moore và Colleen Shannon v s lây lan c a Code-Red
   
(CRv2) Worm [7] d ng ch u
   

16. 7
 Quét theo danh sách tìm ki c c khi nh ng k t n công b
 :     
quét, h thu th p m t danh sách c a m t s ng l n các host có kh
         
t , vi c làm này có th m t nhi u th i gian. Trong n l t o r
        
m ng t n công, h b tìm máy d b t
      
tìm th y m t host, hacker c h i và chia dan
   
hai ph n và p t c quét ph n các danh sách còn l i n không ch a host m
 ti    (ph  i
phát hi n). Máy ch m i nhi m b u quét xu ng danh sách c a mình, c g
        
tìm th y m host d b t y, nó th c hi n c
 t     
t quá trình trên, và theo cách này các ch theo danh sách di
   
         
ng th i t m t s  ng ngà các host b lây nhi m
b o r t trên t các máy d b t
 c h t c   
sách trong m t th i gian ng n. Vi c xây d ng các c c hi n
      th  
khi nh ng k t n công b u quét. , ng k t n công có th t o danh sác
    Do  nh    
v i t r t m và trong m t th i gian dài. N u nh ng k t n công n hành
   ch       ti
quét m, có th ho ng này s c nh n th y b i vì m t quá trình
ch        
trong m t m
 ng        
ng x y ra t n s r t cao, khi m t quá trình quét c
        
c th c hi n thì r t khó có th nh n ra r ng nó m
là t máy quét c.
 Quét tôpô: 

k các URL (Uniform Resource Locator)
 trên    
 

URL này là các là các 

  
sách
vô cùng nhanh chóng và theo cách 

     
: k thu t quét ho ng trong
sau firewall c là vùng b lây nhi m b i
 coi    các  

17. 8
       
nhi c tìm ki m các m c tiêu m
trong ng n i b c a m
d ng c gi u trong a ch n i b . C
        th 
nh t c quét y phía sau firewall và c g ng t
     
c các máy d b t này có th c s d ng k t h p v
          
ch quét khác.
 Quét hoán v : Trong k
  t quét này, t t c các máy chia s m t danh
thu    
sách hoán v gi ng u nhiên chung c a ch t danh sách hoán v
      
          
c xây d ng b ng cách s d ng b t k thu t toán mã hóa kh i 32 bit v i m t
khóa c N u m host nhi trong quá trình quét theo
ch .  t  m c
sách ho c quét m ng c c b , nó b m c a nó tron
    ch  
hoán v tìm ra nh ng m c tiêu m i. M t kh
     
b nhi trong quá trình quét hoán v , nó b u quét t i m
 m c    
nhiên. B t c khi nào nó g p m host nhi m c, nó ch n m
   t     
        
u m i ng u nhiên trong danh sách hoán v và ti p t c t t host nh
         
c có th nh n ra m t host khác b nhi m c gi a nh ng host kh
b nhi m , vì n ng khác nhau gi host b nhi m và host không b nhi m. Quá
  ph  a    
trình quét d ng l i khi các host nhi g p tu n t m t s nh s n các ho
  c       
      
nhi m mà không tìm th y m c tiêu m i trong kho ng th
m t khóa hoán v m t o ra và m n m i b
  c    
nh m hai m nh n tái nhi m khôn
   
tiêu gi ng nhau, vì khi m host b nhi c nh n ra m
 t    t 
nhi c i cách th
  
        
Th hai, v
này n duy trì nh ng l i th quét ng u nhiên, b i vì các ch
        
các m c tiêu m i di n ra m t cách ng u nhiên. , k thu t quét
v có th c mô t m t k thu t quét ph i h p v i m t hi u su t r t t
              
vì u nhiên cho phép t quét cao.
 ng 
M t phiên b n c i ti n c a k quét hoán v là k quét hoán v
      thut   thut 
phân vùng. u quét này m t s k t h p c a quét hoán v và quét theo danh
Ki là      
sách. c này host b xâm nh p có m t danh sách hoán v , danh sách
Trong  , các    

18. 9
này chia làm hai ph n khi nó tìm th y m t m c tiêu m i. nó gi m
c        
ph n c a danh sách và ph n còn l i là ph n có ch a host v a b nhi c. Kh
        
danh sách hoán v m b nhi m s h u gi m
 mà t    c    xu
m c c, quét chuy n t quét ho
  các   
sang quét vào hoán v n.
 
1.3.1.2 c
Cơ chế lây lan mã độ
Trong DDoS, có ba nhóm lây lan c h i và xây d ng m
    
t n công g m lan truy n ngu n trung tâm, lan truy n chu i k t n c và lan
       
truy n t u khi n.
   
 Lan truy n ngu n trung tâm: , sau khi phát hi n các h
   này 
th tr
      
ng d b t có kh   
thành m t trong nh ng zombie, nh
         
ng d c g n ngu n trung tâm ch a công c t n công m t b
c a b công c t n công c chuy n t trung tâm n h ng b
         th (s 
nhi . Sau khi công c c chuy
m)       
n giao, trình cài t t ng c a các công
c t n công c kích ho t trên h ng này u khi n b i các scrip.
     th   
          
b u chu k cu c t n công m i, th ng m i nhi m tìm ki m
d b t khác có th t b công c t
        
s d ng .
    trên  
ch c
   
này  ng s d ng các giao th HTTP RPC (Remote Procedure Call).
, ,
FTP
  
c mô t :
trong hình

19. 10
Hình 1. 1: Mô hình lan truy c qua ngu n trung tâm
ền mã độ ồ
 Lan truy n chu i k t n
   c: 




d ng các giao th c TFTP ( File Transfer Protocol
  Trivial  
mô t trong hình:


20. 11
Hình 1. 2 Mô hình lan truy c theo ki u chu t n c
: ền mã độ ể ỗi kế ố ợ
i ngư
 Lan truy n t u khi n: này, các máy ch t n công c
      
các b công c t n công n h ng m b xâm nh p t i th m ch
     th i    
xác mà nó xâm nh p v h này khác v i
 ào  th   
    
công c t n công c cài vào các máy ch
nh p b i nh ng k t n công mình và không ph i b i m t ngu n t p tin bên
         
ngoài. trong hình:
 c mô t

21. 12
Hình 1. 3 Mô hình lan truy c theo ki u t u khi n [7]
: ền mã độ ể ự điề ể
1.3.2 n công
Giai đoạn xác định mục tiêu và thời điểm tấ
Sau khi xây dng m 
i t n công, k tn công s 
d u khi
nh các loi t n công,
 a ch c a n
 n nhân và ch i thm thích h
các cuc tn công, chuyng t n công v
  phía m c tiêu.
 


22. 13
1.3.3 Giai đoạn phát động tấn công
Sau nh m c tiêu và th m t n công, g i l nh
    attacker  
kh ng các cu c t c l a ch n n các zo các zo
      
th i
 c d chúng c l p trình. Các zombie l t g i lu
"th      
         
n n n nhân, t p h th ng c a n n nhân v i
ho c làm c n ki t ngu n tài nguyên c c a h ng. B ng cách này, nh ng k t
    a   th    n
công làm cho h ng c a n n nhân không có kh ng các d ch v c
 th      
các có
khách hàng h p pháp.
  là quá cao các m
th 
n n các máy t n công làm cho hi u su t ho ng c a các m ng này gi m
i  ch       
       
c cung c p các d ch v trên các m ng này có th b ng
tr     
ng, và làm cho các khách hàng c a các m b t ch
       
y, các m c gánh n ng b i ng t n công có th
là m n nhân n n công DDoS.
t n a ca các cuc t
1.3.4 Giai đoạn xóa dấu vết
Sau m t kho ng th i gian t n công thích h p, n hành xóa m i d
     attacker ti  u
v t có th n mình, vi c này h i có ki n th c
     i attacker ph  
môn n
cao  


23. 14
1.4 Mô hình ki n trúc t ng quan c a DDOS attack-network
ế ổ ủ
Hình 1. 4: Mô hình DDOS at -network
tack
1.4.1 Mô hình Agent- l
Hand er
Mô hình này g 
m có 3 thành ph n: Client, Agent và Hander:
Client: là attacker u khi n m i ho
        
attack-network.
Agent: là thành ph n ph n m m th c hi n s t n công m c tiêu, nh n
         u
khi n t Client thông qua các Handler.
 
Handler: là m    
t thành ph n ph n m m trung gian gi a Agent và Client.

24. 15
Hình 1. Handler
5: Mô hình network attack ki u Agent-
ể
Attacker s      
t Client giao ti p v nh s  ng A
     
u ch nh th m t n công và c p nh t các Agent. Tùy theo cách
c u hình attack-network, các Agent s u s qu n c t hay nhi u Handler.
  ch   lý a m 
        
ng Attacker s t ph n m m Handler trên m t b nh tuy n
m t máy ch l n. Vi c này nh m làm
     
gi a Client, handler và Agent khó b phát hi n. Các giao ti p này ng x
     
ra trên các giao th c TCP, UDP hay ICMP. Ch nhân th c s c a các Agent thông
    
          
ng không h hay bi t h b l i d ng vào cu c t n công ki u DDOS, do h
      
ki n th c ho trình Backdoor Agent ch s d n
nguyên h ng làm cho h y ng n hi
 th  th   
thng.

25. 16
1.4 C
.2 Mô hình dựa trên nền tảng IR
Internet Relay Chat (IRC) là m      
t h th ng liên l c c p t c qua m ng Internet.

1324. o m t k n nhi u
i dùng t  t n  
  
và chat th i gian th
 c. 
dùng cho các thành viên trong m ng BBS Bulletin Board System i thông
 ( ) 
tin v i nhau, d n d c c i ti n và tr thành giao th c chu
       
trình IRC.
Hi     
c xây d ng trên n n t ng h giao th c
do cho vi c s d ng h giao th c này là tính chính xác, tin c y, ph bi n, r t thích
        
h p cho các cu o lu n t xa.
 c th  
Các h ng IRC s d ng mô hình client -
 th   
trò server cung c p m m t p trung cho các máy client k t n
    
thc hi    
n quá trình truy n nh n các message t  n client khác.
Có th  
có nhi u server IRC k t n i v t n
  
i nhau. Các client k  
i v i các server
IRC qua nhi u kênh (channel). IRC i dùng t o ba lo
  
public, private và serect:
 
i dùng c
    
 p c a m  i dùng khác trên cùng kênh.
         
c thi t k giao ti p v
  
i dùng không cùng kênh th y IRC name và
trên kênh. Tuy nhiên, n i dùng ngoài kênh dùng m t s l nh channel locator
   
thì i c
t n t
có th bi 
 c s    
a private
 
pri
channel locator.
Ki 
n trúc attack-network c a kiu IRC-Base:

26. 17
Hình 1. 6: Mô hình network attack ki u IRC-Base
ể
IRC    
Based network s d ng các kênh giao ti
ti     
p gi a Client và Agent (không s d ng Handler). S d ng mô hình này, attacker
có thêm m l
t s i th 
Các giao ti i d ng chat message làm cho vi c phát hi n chúng là vô cùng
   

IRC traffic có th di chuy n trên m ng v i s ng l n mà không b nghi
       
ng .

Không c n ph i duy trì danh sách các Agent, hacker ch c n logon vào
    IRC
   
nh c báo cáo v tr ng thái các Agent do các c
   
ng chia s t p tin t
các Agent code lên nhiu máy khác.

27. 18
CHƢƠNG II: PHÂN LO I CÁC D NG T N CÔNG DDOS
Ạ Ạ Ấ
Các cuc tc tin t c th
 c hi n b
 
m t s ng r t l n các máy tính có k t n i Internet b m quy
        chi u khi n
 
hp các máy này c g i là m ng máy tính ma hay m ng bot, ho c botnet. Các máy
    
c a botnet có kh i hàng ngàn yêu c u gi m
       
o m n h th
nhân, gây ng nghiêm tr
   
n ch ng d ch v cung c
 
Do các yêu c u c a t
  n công DDo c g i r i rác t
    
nhi u máy nhi
 u v 
nên r t khó phân bi t v i các yêu c u c i dùng h p pháp. M t trong các khâu
      
c n thi t trong vi
   ra các bin pháp phòng chng t n công DDoS hi
 u qu là phân

loi các dng tn công DDoS và t  có bi n pháp phòng ch
 ng thích hp.
M t cách khái quát, t n công DDoS có th c phân lo i d a trên 6 tiêu chí
     
chính: (1) D n công, (2) D a trên m t
    
trên giao th c m ng, (4) D c giao ti p, (5) D
    
công và (6) D a trên vi c khai thác các l h ng an ninh. Ph n ti p theo s trình bày
      
chi tit t i t th
 
ng lo  
n công c  
2.1. D n công
ựa trên phƣơng pháp tấ
Phân lo i DDoS d n công là m
  
phân n nh t. Theo tiêu chí này, DDoS có th c chia thành 2 d ng g
lo     m
t n công gây ng p l t và t n công logic
    :
1) T n công gây ng p l t (Flooding attacks): Trong t n công gây ng p l t, tin
     
t c t o m ng l n các gói tin t n công gi n h p
      
h ng n n nhân làm cho h ng không th ph c v i dùng h
 th   th     
   
ng c a t n công d

2) T n công logic (Logical attacks): T ng khai thác cá
 
        
c các l t c a các giao th c ho c d ch v ch y trên h
nhân, nh m làm c n ki t tài nguyên h ng. Ví d t n công TCP SYN khai thác
    th  
quá trình b c trong kh i t o k t n
    
      
c c p m t ph n không gian trong b u k t n i trong khi c

28. 19
nh n k i. Tin t c có th g i m ng l n yêu c u k t n i gi m o các k
 t n            
không th c hi n, chi y không gian b ng k t n i và h ng n n nhân
 th        th 
không th p nh n yêu c u k t n i dùng h p pháp.
 ti    i c 
 
2.2. D a trên m t
ự ứ ộ
c đ ự động
Theo m t ng, có th n công DDoS thành 3 d ng
 
    chia t  :
1) T n công th công: Tin t c tr c ti p quét các h ng tìm l h
      th  
nh p vào h t mã t n công và ra l nh kích ho t t n công. Ch nh
  th      
   
u m  c th c hi 
n th công.
2) T n công bán t ng: Trong d ng này, m i th c hi n t n công
       
DDoS bao g    
u khi n (master/handler) và các máy agent (slave
deamon, zombie, bot). Các n tuy n ch n máy agent, khai thác l h ng và
    
lây nhi c th c hi n t n t n công, tin t c g i các
       
bao g m ki u t n công, th m b u, kho ng th i gian duy trì t
     
   
t n các agent thông qua các handler. Các agent s theo l nh g i các gói tin
   
t n h ng n n nhân.
  th 
3) T n công t ng: T t c n trong quá trình t n công DDo
      
tuy n ch n máy agent, khai thác l h ng, lây nhi n th c hi n t
       
         
c th c hi n t ng. T t c các tham s t c l p trình s
vào mã t n công. T n công d ng này gi n t i thi u giao ti p gi a tin t c và
        
m i t n công, và tin t c ch c n kích ho n tuy n ch
        
agent.
2.3. D a trên giao th
ự ức mạng
D c m ng, t n công DDoS có th ng [1]:
a trên giao th    chia thành 2 d
1) T n công vào t ng m ng ho c giao v n: d ng này, các gói tin TCP,
      
     
c s d th c hi n t n công.
2) T n công vào t ng ng d ng: d ng này, các t
      
các d ch v thông d ng ng v i các giao th c t ng ng d
        
SMTP. T n công DDoS t ng ng d gây ng p l ng
     
tiêu hao tài nguyên máy ch , làm ng t quãng kh p d ch v
      

29. 20
dùng h p pháp. D ng t n công này r t khó phát hi n do các yêu c u t
      
t yêu c u t i dùng h p pháp.
    
2.4. Dựa trên phƣơng thức giao tiếp
        
th c hi n t n công DDoS, tin t c ph i tuy n ch
chi        
m quy u khi n m t s  ng l n các máy tính có k t n i Internet, và c
máy tính này sau khi b cài ph n m m agent tr thành các bots - công c giúp tin t
     c
th    
c hi n t n công DDoS. Tin t u khi n (mas
v g i thông tin và các l u khi n t n công
     
giao ti p gi a các master và bots, có th chia t n công DDoS thành 4 d ng
     :
1) DDoS d a trên agent-handler: T n công DDoS d a trên d ng này bao
   
g m các thành ph n: clients, handlers và agents (bots/zombies). Tin t c ch giao ti
    p
tr      
c ti p v i clients. Clients s giao ti p v i agents thông qua handlers. Nh c
l nh và các thông tin th n t n công, agents tr p th n vi n công.
 c hi  c ti c hi c t
2) DDoS d a trên IRC: Internet Relay Chat (IRC) là m t h ng truy
   th n
      
p tr c tuy n cho phép nhi i dùng t o k t n
       
p theo th i gian th c. Trong d ng t n công DDoS này tin t c s d ng IRC làm
kênh giao ti p v i các agents, không s d ng handlers.
   
3) DDoS d a trên web: Trong d ng t n công này, tin t c s d ng các trang
     
 
n giao ti p qua kênh HTTP thay cho kênh IRC. Các trang
c a tin t c s d u khi n và lây nhi m các
     
h i, các công c khai thác các l h t các agents chi m q
    
khi n h ng máy tính và bi n chúng thành các bots. Các bots có th c xác l
  th    p
c u hình ho ng t u, ho c chúng có th g
      
khi n thông qua các giao th bi
 c web ph 
4) DDoS d a trên P2P: d ng này, tin t c s d ng giao th c Peer to Peer
       
m t giao th t ng ng d ng làm kênh giao ti p. B n ch t c a các m ng P2P là
 c         
phân tán nên r phát hi n các bots giao ti p v i nhau thông qua kênh này.
   

30. 21
2.5. D t n công
ựa trên cƣờng độ ấ
D n ho c t n su t g i yêu c u t n công, có th phân
        
công DDoS thành 5 dng:
1) T cao: Là d ng t n công gây ng t quãng d ch v
     
cách g i cùng m t th m m ng r t l n các yêu c u t các
         
agents/zombies n 
m phân tán trên m ng.
2) T th
g i m ng l n các yêu c u gi m i t n su t th p, làm suy
        
d n hi ng. D ng t n công này r t khó b phát hi
      
     
n t i dùng h p pháp.
3) T h n h p: Là d ng k t h p gi a t
       
và t ng t n công ph c h
 th   
s d ng các công c n công g n t cao và th p.
    sinh các gói tin t i vi t su 
4) T liên t c: Là d ng t c th c hi
     
      
t t kho ng th i gian t khi b  n kh
5) T ng t
  
   
ng nh m tránh b phát hi .
2.6 D a trên vi c khai thác các l h ng an ninh
ự ệ ỗ ổ
D a trên vi m y u và l h ng an ninh, t n côn
     
th th
      
c phân lo i thành 2 d ng : t n công làm c n ki 
công làm c n ki ài nguyên h ng.
 t t  th
2.6.1 Tấn công gây cạn kiệt băng thông
Các t n công DDoS d c thi t k gây ng p l t h ng m
        th
c a n n nhân b ng các yêu c u truy nh p gi m i dùng h p pháp kh
       
th       
truy nh p d ch v . T n công d ng gây t c ngh ng tru
        
ng yêu c u gi m o r t l n g i b i các máy tính ma (zombie) c a các botnets.
D ng t c g i là t n công gây ng p l t ho
          
khu 
 i.
Các t n công DDoS d c thi t k gây ng p l t h ng m
        th

31. 22
c a n n nhân b ng các yêu c u truy nh p gi m i dùng h p pháp kh
       
th       
truy nh p d ch v . T n công d ng gây t c ngh ng tru
        
ng yêu c u gi m o r t l n g i b i các máy tính ma (zombie) c a các botnets.
D ng t c g i là t n công gây ng p l t ho
          
khu 
 i.
Các t n công DDoS d c thi t k gây ng p l t h ng m
        th
c a n n nhân b ng các yêu c u truy nh p gi m i dùng h p pháp kh
       
th  
truy nh p d ch v . T n công d ng gây t c ngh ng tru
    
        
ng yêu c u gi m o r t l n g i b i các máy tính ma (zombie) c a các botnets.
D ng t c g i là t n công gây ng p l t và t n
      
i.
T n công làm c n ki ông h ng l i chia làm hai lo
    th  i:
 T n công làm tràn ng p (Flood attack): u khi n các Agent g i m
     t
         
ng l n h th ng d ch v c a n n nhân, làm d ch v này
 
Trong quá kh , các cu c t n công làm tràn ng p h ng c th c hi n
     th   
b i nhi u h ng b xâm nh p và tr thành m t ph n c a m t botnet. n nay các
   th        Hi
attacker không ch s d ng t n công ng, m
     
các tình nguy n viên kh ng các cu c t n công t máy riêng c a h . Ngoài ra
        ,
làn sóng m i c li
  
a các cu c t     
n công ng l n xu t phát t trung tâm d  
u c
các nhà cung c p d ch v lên ph bi n, kh
     
  
n c các
M t botnet là m ng c a h ng b xâm nh p có k t n i Internet mà có th
    th     
        
c s d g i , tham gia vào các cu c t n công ho
DDoS, c th
các nhi m v b t h p pháp khác. Bot là vi t t t c a Robot, t
       
      
ng hóa. Các h th ng b xâm nh p  c g i là zombie. Zombies có t
lây nhi m cho các h nó tr
  th  
truy trên. Ví d v m t m
c     
công DDOS:

32. 23
Hình 2. 1: Mô hình m ng botnet
ạ
Trong ví d này, k t n công ki m soát các zombie kh ng m t cu
       c
t n công DDoS v i h t ng c a n n nhân. ng zombie y m t kênh bí
       Nh ch 
m giao ti p v i các máy ch ra l nh và ki m soát u khi n t n
        
Thông tin liên l c này ng di n ra trên Internet Relay Chat (IRC), các kênh
   c
mã hóa, peer- -peer và th m chí là các m ng xã h
to   i.
V i s i c a d ch v và các nhà cung c
      
        
ng m t hi n. Nh ng k t n công có th thuê ho c xâm nh
khi n trung tâm d u / n kh ng các cu c t n công DDoS
  li     
       
không ch t o i m i cho các t ch c h p pháp, nó 
c p m t n n t ng tuy t v i cho t i ph m m
        ng b i vì nó r n và thu n ti n cho
  ti  
phép h s d ng tài nguyên máy tính m nh m u x u. Khái ni m nà
        
  
c minh h a trong ví d :

33. 24
Hình 2.2: Mô hình t n công thông qua data center
ấ
 T n công khu
     u
Client g i m
   
n m a ch IP broadcast c a m ng, m t máy c
  
v 
a ch ngu   
n c a ch c a n n nhân làm cho t t c
 
m ng này ho c các máy ch d ch v
     ng lo t g
  
n h th
c a n
 ic vô íc
nhân không có kh   
ch v
mình.
 T n công khu i (Amplification Attack)
ấ ếch đạ
Amplification Attack là k t t n công khi attacker g i các gói tin request
 thu  
         
n các h th ng v a ch ngu n c a ch c a n n

34. 25
các h ng lo t g i l i các gói tin replies v i s ng r t l n làm c
 th        
th 
ng c a n   
n nhân không có kh lý và b flood.
Hình 2. 3: Mô hình t n công khu i
ấ ếch đạ
2.6.2 t tài nguyên
Tấn công gây cạn kiệ
Trong ki u t n công này attacker có th g i nh ng gói tin dùng các giao th
     c
sai ch t k , hay g i nh
   c b
làm cho h ng ph i s d ng h x lý nh ng gói tin n
 th      
không th c yêu c u d ch v c a các khách hàng. Ngu n l c c n t
        
cho cu c t n công s c vào b n ch t c a các ngu n tài nguyên b t n công,
   ph thu      
       
ng tài nguyên các m c tiêu có th ng, và các tình hu ng gi m nh
Attacker/Agent VICTIM
Host Host Host

35. 26
kh a m c tiêu có th phát hi n, chuy
     
công c 
n ki t tài nguyên.
T n công khai thác các giao th Protocol Exploit Attack)
ấ ức (
TCP SYN attack:
Giao th c TCP (Transfer Control Protocol h truy n nh n v tin c
 )  tr    y
cao. m t host (client) kh i t o m t k t n i TCP t i m t server, máy tr m và
Khi         
máy ch i m t t các b n tin thi t l p k t n i. t l p k t n i
   lo       Thi    
g i c TCP (TCP three-way handshake c mô t b i h
 là b ).   
Hình 2.4: Mô hình giao th c TCP SYN
ứ
c 1: Các khách hàng yêu c u m t k t n i b ng cách g i m t
       SYN
(synchronize n máy ch .
 
       
c 2: Máy ch th a nh n yêu c u này b ng cách g i -ACK l
SYN i cho
khách hàng.
       
c 3: Các khách hàng xác nh n v i ACK và k t n  c thi t l p.
N l i m t yêu c u SYN b ng m t SYN-
          
không nh c gói tin ACK cu i cùng sau m t kho ng th
    
s g i ti p SYN- n h t th i gian timeout. Toàn b tài nguyên h n
        th

36. 27
         
c c x lý phiên k t n i n u nh c gói tin ACK cu i cùng s b p
t n h i gian timeout.
 
 t th
Trong cuc t    
n công TCP SYN attack, attacker g i m t gói tin SYN n n n
nhân v a ch ngu n c a gói tin b gi m o, k t qu là n n nhân g i SYN-AC
          
      
n m a ch khác và s không bao gi nh c gói tin ACK cu i cùng,
      
n h t th i gian timeout n n nhân m i nh u này và gi i phóng
nguyên h ng.
 th
Hình 2.5: Mô hình TCP SYN attack [1]
Khi m ng l n các gói tin SYN (v a ch ngu n c a gói tin b
       gi
          
c g n n n nhân s làm cho h th ng c a n n nhân không th x lý và b c
kit tài nguyên.
PUSH + ACK attack:
Trong ki u t n công này, attacker s d c tính c a giao th
     
công n n nhân. Trong giao th c g n các T
  
trong b m (buffer) và khi b c g
    

37. 28
th ti th
      
p nh n chúng. Tuy nhiên, bên g i có th yêu c u h  
ng unload buffer  c
khi b b ng cách g i m t gói tin v bit và ACK mang giá là 1.
 y    i PUSH tr
PUSH và ACK là m t bit c
       
PUSH+ACK attack làm c n ki t tài nguyên h ng n n nhân b ng lo
   th  
g i nh ng gói tin TCP v i bit PUSH và ACK có giá tr b ng 1 làm cho h ng
      th
n n nhân ph i liên t c unload b m và k t qu là h ng c a n n nhân không
        th  
th  
x  c n     
u s  c g  n là quá l n
Slow HTTP request attack:
 t t n công t ng ng d ng mà attacker l i d
thu      
giao th c HTTP v n thi t k i request ph c nh
     các 
ch    
 c th c thi. N u m
truy n t i th p, máy ch ph i gi ngu n tài nguyên busy và ch i ph n
        ch    
còn l i c a d u. N u máy ch gi quá nhi u tài nguy n busy s gây ra t
   li        chi
d và không th ng các yêu c u khác.
ch v   
C u trúc c t HTTP request t m n server bao g
 a m   
 m:
Request = Request-Line
*(( general-header
| request-header
| entity-header ) CRLF)
CRLF
[ message-body ]

Request- -URI SP HTTP-Version CRLF
Line = Method SP Request
và:
Method = "OPTIONS"
| "GET"
| "HEAD"
| "POST"
| "PUT"

38. 29
| "DELETE"
| "TRACE"
| "CONNECT"
| extension-method
extension-method = token

   

 


T n công b ng các gói tin b ng (Malformed Packet Attack)
ấ ằ ất thƣờ
Malformed packet attack là lo i t n công t i d ch v phân tán
   ch    
agent g nh d
 
nhân không th x lý các gói tin này. Nhi c g n cùng lúc
   
cho h ng s d ng h t tài nguyên và s không th c d ch v c
 th         
khách hàng h p pháp. Ta s xét m d ng sau:
  t s 
IP address attack:
Trong cách t n công này attacker s g n n
   
gi m a ch ngu a ch
     
th    
ng n n nhân không hi x  c.
IP packet options attack:
Attacker g   
n h th ng n
thi       
t l p ng u nhiên và t t c c thi t l
nhân ph i dành th i gian và tài nguyên h x
   th  
N u các gói tin d c g i d n d n h ng c a n n nhân cùng
      th  
n n nhân s b c n ki t tài nguyên h x
      th  
th     
c d ch v t khách hàng h
các p pháp.

39. 30
CHƢƠNG III:
PHÁT HIỆN VÀ NGĂN CHẶN DDOS
3.1 Yêu c u i v i m ng phát hi n n DDoS
ầ đố ớ ột hệ thố ệ và ngăn chặ
Hi   
n nay, các hình th c t n công DDOS r c
không ng ng. Ngày càng có nhi u ki u t n công m i. Do v y, m t h ng phát
        th
hi n n DDOS t s hi u qu khi phát hi n n
  th      
các ki 
u t n công.
Khi m t cu c t n công DDOS x
   
nh n chính xác các gói tin t n công t ng
   
gói tin h p l . Ngoài ra h ng phát hi n n ph i ho ng th
   th    
th         
gi m thi u t ng thi t h i do cu c t n công gây ra. Ph n ng
th 
ng càng nhanh thì vi c phòng th  
càng có hi u qu .
3.2 n pháp át hi n DDOS
Các biệ ph ện và ngăn chặ
Do tính ch  
t nghiêm tr ng c a t   
n công DDoS, nhi u gi i pháp phòng ch ng
   
c nghiên c xu t trong nh
g i pháp nào có kh ng DDoS m
   
và hi u qu do tính ch p, quy mô l n và tính phân tán r t cao c n công
  t phc t   a t
DdoS.
N u d phân n pháp là v n khai, ta có th
  
 loi các bi  trí tri  c
các mô hình h ng g mô hình h ng n n công (n n nhân),
 th m:  th t g   m
hìn n ngu n t n công và mô hình m n công.
t g   t  
3.2.1 Mô hình đặt gần nạn nhân
L mô hình n nh t do ít ph c vào các tác nhân khác, n n nhân t
à    thu  
gi i quy t v
    
ph n n
phát hi n b t n công. Tuy nhiên cách ti p c n này không th gi i quy t t n g c,
         
qu n tr viên ch có th gi m thi u thi i ch không th m d t cu n công.
      t h   ch  c t

40. 31
Hình 3. 1 t g n n n nhân
: Mô hình đặ ầ ạ
3.2.2 Mô hình công
đặt gần nguồn tấn
Là mô hình n các gói tin DDoS ngay khi v c sinh ra t i ngu
   n
    
m là gi c t i c a gói tin DDoS, ch
IP. Tuy nhiên l t khó th n do ph ng m ng trên quy mô l
i r c hi i h th 

41. 32
Hình 3. 2 t g n Attacker
: Mô hình đặ ầ
3.2.3 Mô hình a internet
đặt tại phần lõi củ
Cách ti p c c quan tâm r p c
   ti 
internet c n có m t kho n chi phí không nh m b o ch c c
      
tính hi u qu ph p c a ph n lõi.
   c t  
Hình 3. 3 t t a internet.
: Mô hình đặ ại lõi củ

42. 33
3.3 M nghiên c h n DDOS
ột số ứu về ệ thống ngăn chặ
3.3 Active Internet Traffic Filtering (AITF)
.1 Giao thức
Giao th c AITF [10] c phát tri n b i nhóm nghiên c u h ng phân tán
      th
        
i h c Stanford nh n và ph n ng t c th i v i nh ng
công DDoS. Nhóm tác gi u và th nghi m giao th c AITF v i k t
      
khá kh quan: AITF có th n t c th hàng tri u lu ng t n công trong kh
    i   
ch các router.
  
yêu c u m t s    
tham gia c a m  ng nh
Hình 3. 4: Mô hình giao th c AITF
ứ
ANET là m ng c a attacker A, m ng này có m
   t gateway là A
gw.
VNET là m ng c a victim V, m ng này có m t gateway là V
    gw.
Gi        
s khi có m t lu ng không mu n t i h th ng c a n n nh

  
n nhân mu nh m ng không mong mu
g i m t yêu c u l n gateway V
    gw c a nó. Gateway V
 gw s t m th i ch n l i các
    
   
ng không mong mu nh router g n v i n
nh gateway t n công A
t   gw. Gateway Vgw thi t l p m t k t n c bi t t i A
      
gw
kèm theo m t yêu c u không g i các gói tin vi ph m (chính sách c a m ng V
      NET )
n a. Khi k t n c bi t trên c thi t l p, V
      
gw có th g b b l c t m th i trên.
      
N u A
 gw không h p tác, V
 gw có th lan t a yêu c t b l c t i router g n sát v
       i
Agw. S lan t qui theo d c tuy ng t k t n
      
nhân cho t i khi k t n c bi t nêu trên c thi t l ng h
       
       
yêu c u k t n i, b l c s

43. 34
victim Vgw. Tuy nhiên AITF có nh c bi h và khuy n
    tr 
các router g     
n ngu n t n công ch n các lu ng t n công DDoS.
Hình 3. 5: Ho ng c a AITF
ạ ộ
t đ ủ
Victim V g i yêu c u l n V
  
gw, ch rõ lu ng d u không mong mu n F
   li 
Gateway Vgw:
t b l c t m th n lu ng t n công F trong th i gian T
     ch   
tmp giây.
b2: Kh i t o quá trình b c v
   i A
gw.
b3: G b b l u hoàn thành quá trình b c.
   c n 
Gateway Agw:
 
i quá trình b c
t b l c t m th n lu ng t n công F trong th i gian T
     ch   
tmp nu
quá trình k i b c thành công.
t n 
b3: G i yêu c u l n ngu n t n công A, yêu c u d ng lu ng F trong
        
kho ng th i gian T
  long>>Ttmp
b4: G b b l c t m th i n u A tuân theo trong kho ng th i gian T
         tmpc
l t n
i ngt k i ti.
Attacker A: Ngu n t n công A d ng lu ng F trong kho ng th i gian T
      long nu
không thì s b ng t n
  t k i ti A
gw

44. 35
3.3.2 D-WARD
Hệ thống
D-WARD (DDoS Network Attack Recognition and Defens m t h
e) là  
th tiêu là:
  
ng phòng th D S
Do c tri  
n khai v i m c
Phát hi n các cu c t n công n chúng b ng cách ki
 ra   DDoS và   m
soát l ng g cho n n nhân.
  
Cung c p t t d ch v cho các giao d h p pháp gi a m ng tri n khai
    ch   các  
và n n nhân trong khi các n công p di n.
 cuc t  
D-
 
ân tán. Khi xem D-WARD
 
 khác. Khi tham gia vào các , D
     
 

 
. D-

D-WARD ch ki m soát nh ng lu n d m ng c a mình
     li  
lu li
 
ng d   
u có ngu n g c t các ngu
   
n kh c ki m soát.
Các h ng D- thi t l p t i các router ngu ho
 th c    n 
m t gateway c a m ng tri n khai và ph n còn l i c a Internet. Trong vi c tri n khai
        
        
n, các b nh tuy n ngu c gi m k t n i duy n
ngu n v i các m ng khác. D-WARD có th quan sát m
     
gi a m ng ngu n v i . Trong c khác, có nhi u router biên k t n i v
    internet     i
internet qua các gateway khác nhau. D-WARD có th c tri n khai m
    i
gateway và ki m soát m ng ngu n và các m ng b
  
 i gia m  

45. 36
Hình 3. 6: Mô hình tri n khai D-
ể WARD
D- c c u hình v i m t t p h a ch IP c c b (loca
        
     
ng ra c a ch này b áp các chính sách. T a ch này
x nh, ví d , t t c các máy trong m ng ho c t t c các khách hàng c a m t ISP
         
Ta gi nh r ng D-WARD có th nh chính sách cho t a ch nà
      
qua m t s giao th c ho c thông qua c u hình th công. D-WARD theo dõi t ng
      
         
ng c a dòng và các k
các t n i gi a a ch c thi t l p chính
ph n còn l i c a Internet. M t dòng (flow) t ng
      
thi       
t l p chính sách cho m a ch và m t máy ch bên ngoài (m a ch IP
ngoài). M t k t n t ng gi a m t c
  c  ng    
      
c thi t l p chính sách) và m a ch bên ngoài. Hình minh h
khái ni m c a m t dòng và m i:
   t kt n

46. 37
Hình 3.7: Mô t dòng và k i
ả ết nố
D-WARD nh d a trên vi theo dõi các dòng và
  c
n i theo th i gian. Thay vì t l p tính h p pháp c a các gói d u, D-WARD
  thi     li
theo dõi hành vi c a dòng, k t n i và phân lo i các dòng, k t n i là h p pháp
 các      
hay t n công. u ch nh ho ng t ng phù h p v i cách phân lo
        
WARD p t c theo dõi ng c a nó n dòng v
ti     các
n i và s d các thông tin này n i t n công
  ng   các lo  
D-WARD p oS
 
  

 Các máy ch bên ngoài không ph n ng l i t ng th p so v
    :   
t g i, s b ng này g n li n liên l c hai chi u theo m t mô hình theo y
c         
c t s ng ICMP, DNS,
  lo 
Trong các k t n i, m t bên g i m t ho c nhi
      
(xác nh n nh n ho c m t ph n c khi g p b t k gói d
      i ti    li
k t n i y nó s là b ng khi m t t l g i tích c c k t h p v i
            
l i th p. M t t l l i th p là m t d u hi u cho th y các máy ch bên ngoài có
     tr       

47. 38
th tr i
      
b tràn ng p b i các cu c t n công và không th      
l i, trong khi m t t l g
tích c c cho th y host n i b có th s tham gia vào cu c t n công. B ng cách phát
        
hi n các máy ch bên ng, D-WARD s nh d
     
công t ch ch v
 i d t d u hi u t n công r y
   
 S hi n di n c a IP gi m o: D-WARD dro
      
.

 

  
gói. P
  
 

 
-

48. 39
CHƢƠNG IV:
TRI N KHAI THÍ NGHI
Ể ỆM PHƢƠNG PHÁP NGĂN CHẶN DDOS
S D NG SNORT-INLINE
Ử Ụ
4.1 Ph n m m phát hi xâm nh p Snort-inline
ầ ề ện và ngăn chặn ậ
Snort là m t ph n m n m c phát tri n b i Sourcefire. Sno
      
là m t ki u IDS (Instruction Detection System) m m. Nói ng n g n IDS là m t
     
ph n m m t trên máy tính và nhi m v c a nó là giám sát nh ng gói
      
vào ra h ng. N u m t cu c t c phát hi n b i Snort nó có th p
 th       thì 
          
ng b ng nhi u cách khác nhau ph thu c vào c u hình c thi t l p, ch ng h n
        
g i p c nh báo n nhà qu n tr hay lo i b g
hi n có s b
  
T phiên b n 2.3.0RC1 Snort tích h p h n xâm nh
     th  
(Snort inline) n Snort t m t h ng phát hi n xâm nh p thu n túy tr thành
bi    th    
m t h n xâm nh p (IPS) m c dù ch này ch là t n
  th ch       ch
không ph i m nh. Snort inline m t d án chính th c c a Snort. ng là k
  là      
h n c a Iptables vào Snort. c th
  
   
i modun phát hi n và modun x
th      
, vi c ch n b t gói tin trong Snort c th c hi
libpcap s c thay th b ng vi c s d ng Ip- n libipq
        
       
n c a Snort-inline s c th c hi n b ng devel-mode c a Iptables.
Netfilter m t c tích h p trong nhân Linux k t khi phiên b n
là      
kernel 2.4. Nó cung c p ba :
 ch chính
 Packet filtering p nh n ho c n các gói tin
: Ch   ch
 NAT:       
i a ch IP ngu n ho c c a gói tin.
 Packet mangling - S i ng d ch v - QoS)
 các gói tin  ch 
  
Iptables m t công c c n thi t c u hình Netfilter. Netfilter s p x p các
là        
gói tin n Snort-inline i dùng v i s c a
 trong      c
ip-queue trong nhân linux và modun libipq. n u m t gói tin phù h p v
,    i