1. Home
  2. Luận văn tổng hợp
  3. Phân tích và mô hình hóa tấn công từ chối dịch vụ phân tán

Phân tích và mô hình hóa tấn công từ chối dịch vụ phân tán - Pdf 10



HỌC VIỆN CÔNG NGHỆ BƢU CHÍNH VIỄN THÔNG
Nguyễn Văn Hạnh
PHÂN TÍCH VÀ MÔ HÌNH HÓA TẤN CÔNG
TỪ CHỐI DỊCH VỤ PHÂN TÁN
Chuyên ngành: Truyền dữ liệu và mạng máy tính
Mã số: 60.48.15

TÓM TẮT LUẬN VĂN THẠC SĨ HÀ NỘI - 2013

HÀ NỘI - 2013 1

LỜI CẢM ƠN
Lời đầu tiên của bản luận văn này cho phép em được bày tỏ lòng cảm ơn sâu sắc đối
với thầy giáo PGS.TSKH.Hoàng Đăng Hải, Phó Giám đốc Trung tâm Ứng cứu khẩn cấp
máy tính Việt Nam (VNCERT) đã chỉ bảo tận tình đầy trách nhiệm cho các ý kiến chỉ đạo
trong suốt quá trình làm khóa luận, đã động viên, tạo điều kiện thuận lợi để em hoàn thành
khóa luận này.
Em xin chân thành cảm ơn các thầy, cô khoa Quốc tế và đào tạo sau đại học. Đặc
biệt, Em cũng xin bày tỏ lòng biết ơn sâu sắc các thầy giáo, cô giáo tham gia giảng dạy lớp
Cao học Công nghệ Thông tin, người đã truyền đạt những kiến thức bổ ích và lý thú giúp
ích cho em trên con đường học tập của mình.
Chân thành cảm ơn lãnh đạo trường sư phạm kỹ thuật Hưng Yên, đồng nghiệp luôn
tạo điều kiện thuận lợi và hỗ trợ em trong suốt quá trình học tập, cung cấp nhiều tư liệu và
các kiến thức về nghiệp vụ giúp cho khóa luận của em có kết quả tốt.
Cuối cùng xin cảm ơn sự ủng hộ của gia đình và bạn bè cùng khoa đã đóng góp ý
kiến quý báu, động viên, giúp đỡ cho việc hoàn thành khóa luận này.

Hà Nội, ngày 24 tháng 1 năm 2013
Học viên

Nguyễn Văn Hạnh
dung chương tập trung chủ yếu vào các kiểu tấn công DDoS.
Chương 2: Phân tích, mô hình tấn công DDoS. Chương trình bày các đặc tính của tấn
công DDoS, phân tích mô hình mạng Botnet, các mô hình tấn công DDoS điển hình.
Chương 3: Mô hình bảo vệ chống tấn công DDoS. Trong chương này, bài trình bày
các vấn đề khi xây dựng hệ thống chống DDoS, các đặc trưng của mô hình, mô hình hóa
Chương 4: Mô phỏng phát hiện tấn công và chống tấn công DDoS. Bài thực hiện mô
phỏng với công cụ NeSSi2 của trưởng Đại học TU Berlin (CHLB Đức).
3

Chƣơng 1 - TỔNG QUAN VỀ TẤN CÔNG TỪ CHỐI DỊCH VỤ
DoS/DDoS
1.1. Khái niệm chung về tấn công từ chối dịch vụ.
Tấn công từ chối dịch vụ là sự cố gắng làm cho tài nguyên của một máy tính không
thể sử dụng được nhằm vào những người dùng của nó. Mặc dù phương tiện để tiến hành,
động cơ, mục tiêu của tấn công từ chối dịch vụ là khác nhau, nhưng nói chung nó gồm có sự
phối hợp, sự cố gắng ác ý của một người hay nhiều người để chống lại Internet site hoặc
service (dịch vụ Web) vận hành hiệu quả hoặc trong tất cả, tạm thời hay một cách không
xác định. Thủ phạm tấn công từ chối dịch vụ nhằm vào các mục tiêu site hay server tiêu
biểu như ngân hàng, cổng thanh toán thẻ tín dụng và thậm chí DNS root servers.
Tấn công bằng từ chối dịch vụ DoS (Denial of Service) có thể mô tả như hành động ngăn
cản những người dùng hợp pháp khả năng truy cập và sử dụng vào một dịch vụ nào đó. Nó bao
gồm việc làm tràn ngập mạng, mất kết nối với dịch vụ… mà mục đích cuối cùng là máy chủ
(Server) không thể đáp ứng được các yêu cầu sử dụng dịch vụ từ các máy trạm (Client).
DoS có thể làm ngưng hoạt động của một máy tính, một mạng nội bộ hoặc cả một hệ
thống mạng rất lớn.Về bản chất thực sự của DoS, kẻ tấn công sẽ chiếm dụng một lượng lớn
tài nguyên mạng như băng thông, bộ nhớ… và làm mất khả năng xử lý các yêu cầu dịch vụ
từ các client khác.
1.2. Tấn công từ chối dịch vụ phân tán DDoS
Tấn công từ chối dịch vụ phân tán (DDoS - Distributed Denial Of Service) là kiểu tấn
công làm cho hệ thống máy tính hay hệ thống mạng quá tải, không thể cung cấp dịch vụ hoặc

1.4. Nguyên lý các tấn công DDoS điển hình.
- SYN flood attack.
- UDP Flood attack.
- Smurf attack
- DNS Zone Transfer based Flooding.
- Ping based attacks.
- CGI attacks (Common Gateway Interface.
Tất cả những cách tấn công trên đều nhằm mục đích làm giảm chức năng của hệ
thống mạng và có thể dẫn đến đánh sập hệ thống, làm hệ thống không có khả năng hoạt
động. Những cuộc tấn công DDoS có thể phân tán, rải rác, khiến cho việc xác định kẻ
tấn công là rất khó khăn. Cần phải hiểu về hành vi, hoạt động của các luồng dữ liệu
trong hệ thống mạng để từ đó phát hiện sớm và có những biện pháp hiệu quả để ngăn
chặn tấn công DDoS.
5

1.5. Một số công cụ tấn công DDoS điển hình.
- Trinoo. .
- Tribe Flood Network (TFN.
- Stacheldraht.
- Shaft.
- Trinity.
- Knight.
1.6. Một số tấn công DDoS điển hình ở Việt Nam.
Vào đầu tháng 2 cư dân mạng trên các diễn đàn xôn xao việc trang web của Bkav bị
hacker tấn công và khiến người dùng không thể truy cập vào địa chỉ www.bkav.com.vn.
Trong 2 năm gần đây, nhiều website và báo điện tử của Việt Nam bị tấn công DDoS
gây ra những thiệt hại không nhỏ. Cuộc chiến chống lại những cuộc tấn công từ chối dịch
vụ DDoS được coi là vô cùng khó khăn và dường như không thể có biện pháp ngăn chặn
hoàn toàn.
Trang hvaonline.net (HVA), một trong các diễn đàn hacker lớn nhất tại Việt Nam

- Bot (hay Internet bot, còn gọi là robot) là một ứng dụng phần mềm thực thi các
nhiệm vụ đặc biệt theo yêu cầu của tin tặc một cách tự động và lan truyền qua Internet.
- Mạng Bot là những chương trình tương tự Trojan backdoor cho phép kẻ tấn công sử
dụng máy của nạn nhân (Victim) như là những Zoombie (máy tính thây ma – máy tính bị
chiếm quyền điều khiển hoàn toàn) và chúng chủ động kết nối với một Server để dễ dàng
điều khiển. Cần lưu ý chữ “chủ động” vì đó là một đặc điểm khác của bot so với trojan
backdoor. Chính vì sự chủ động này mà máy tính bị cài đặt chúng kết nối trở nên chậm chạp
, Một đặc điểm giúp ta dễ dàng nhận diện bot.
- Mạng botnet là một mạng rất lớn gồm hàng trăm hàng ngàn máy tính Zombie kết
nối với một máy chủ mIRC (Internet Replay Chat) qua các máy chủ DNS để nhận lệnh từ
hacker một cách nhanh nhất. Các mạng bot gồm hàng ngàn “thành viên” (gọi tắt là bot hay
robot) là một công cụ lý tưởng cho các cuộc giao tranh trên mạng như DDOS, spam, cài đặt
các chương trình quảng cáo.
2.2.2. Các dạng của mạng Botnet: Agobot/Phatbot/Forbot/XtremBot,
SDBot/Rbot/UrBot/UrXbot, mIRC-Based Bots – GT-Bots.
7

2.2.3. Phân tích các bước thiết lập Botnet.
Để hiểu hơn về xây dựng hệ thống mạng BotNet chúng ta nghiên cứu từ cách lây
nhiễm vào một máy tính, cách tạo ra một mạng Bot và dùng mạng Bot này tấn công vào một
đích nào đó của mạng Botnet được tạo ra từ Agobot‟s.
Bƣớc 1: Cách lây nhiễm vào máy tính
Đầu tiên kẻ tấn công lừa cho người dùng chạy file "chess.exe", một Agobot thường
copy chúng vào hệ thống và sẽ thêm các thông số trong Registry để đảm bảo sẽ chạy cùng
với hệ thống khi khởi động. Trong Registry có các vị trí cho các ứng dụng chạy lúc khởi
động tại.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run.
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices.
Bƣớc 2: Cách lây nhiễm và xây dựng tạo mạng Botnet.
Sau khi trong hệ thống mạng có một máy tính bị nhiễm Agobot, nó sẽ tự động tìm kiếm các

điều chỉnh thời điểm tấn công và cập nhật các Agent. Tùy theo cách attacker cấu hình
attack-network, agent sẽ chịu sự quản lý của một hay nhiều Handler.
Thông thường Attacker sẽ đặt Handler software trên một Router hay một server có
lượng traffic lưu thông nhiều. Việc này nhằm làm cho các giao tiếp giữa Client, handler và
Agent khó bị phát hiện. Chủ nhân thực sự của các Agent thông thường không hề hay biết họ
bị lợi dụng vào cuộc tấn công kiểu DDOS, do họ không đủ kiến thức hoặc các chương trình
Backdoor Agent chỉ sử dụng rất ít tài nguyên hệ thống làm cho hầu như không thể thấy ảnh
hưởng gì đến hiệu năng của hệ thống.
2.3.2. Mô hình tấn công DDoS dựa trên nền tảng IRC.
- IRC là một hệ thống online chat multiuser, IRC cho phép User tạo một kết nối đến
multipoint đến user khác và chat thời gian thực. Kiến trúc của IRC network bao gồm nhiều
IRC server trên khắp internet giao tiếp với nhau trên nhiều kênh. IRC network cho phép
user tao ba loại kênh: Public, private, serect.
+ Public channel: Cho phép user của channel đó thấy IRC name và nhận được
mesage của mọi user khác trên cùng channel.
+ Private channel: Được thiết kế để giao tiếp với các đối tượng cho phép. Không cho
phép các user không cùng channel thấy IRC name và message.Tuy nhiên, nếu user ngoài
channel dùng một số lệnh locator thì có thể biết được sự tồn tại của private channel đó.
+ Secret channel: Tương tự như private channel nhưng không thể xác định bằng
channel locator.
- IRC -Based network cũng tương tự như Agent -Handler network nhưng mô hình
này sử dụng các kênh giao tiếp IRC làm phương tiện giao tiếp giữa Client và Agent. Sử
dụng mô hình này, kẻ tấn công còn có thêm một số lợi thế khác như:
9

+ Các giao tiếp dưới gạnh chat message làm cho việc phát hiện chúng vô cùng khó khăn.
+ Các IRC traffic có thể di chuyển trên mạng với số lượng lớn mà không bị nghi ngờ.
Không cần phải duy trì danh sách các Agent, tin tặc chỉ cần logon vào IRC sever là đã có
thể nhận được thông báo về trạng thái các Agent do các channel gửi về.
Sau cùng: IRC cũng là một môi trường chỉa sẻ tệp tại điều kiện phát tán các Agent

luôn là điều hết sức khó khăn.
- Sự phổ biến của các công cụ tấn công và đơn giản trong sử dụng.
- Đa dạng của các gói tin tấn công.
- Sự giả mạo IP: Làm cho các luồng dữ liệu tấn công từ các agent đến như là từ những
người dùng hợp lệ. Vì thế quản trị viên rất khó phân biệt để có thể phát hiện các cuộc tấn.
- Lượng lưu lượng lớn, gửi với tần suất cao: Lưu lượng khổng lồ mà DDoS tạo ra
không chỉ làm ngập tài nguyên của máy nạn nhân, mà còn làm quản trị viên rất khó mô tả,
phân tích và tách biệt được gói tin hợp lệ và gói tin tấn công của chúng.
- Số lượng lớn các Agents: Một trong những điểm mạnh của tấn công DDoS là có thể huy
động được 1 số lượng lớn Agent phân tán trên toàn Internet. Khi đó, luồng tấn công sẽ lan tỏa
trên nhiều nhánh tới máy nạn nhân, điểm tụ tấn công sẽ gần sát nạn nhân, và hệ thống phòng thủ
sẽ rất khó có thể chống từ phía xa. Ngoài ra, hệ thống Agent phân tán cũng đồng nghĩa với sự
phức tạp, phong phú, khác biệt về mô hình quản lý mạng giữa các ISP khác nhau, vì thế các cơ cơ
chế phòng thủ yêu cầu sự phối hợp từ nhiều nơi sẽ triển khai khó khăn hơn rất nhiều.
- Những điểm yếu trên mô hình mạng Internet: Có những cơ chế, giao thức mạng mà
khi thiết kế chưa lường trước được những điểm yếu có thể bị lợi dụng (ví dụ TCP SYN,
ping of Death, LAND Attack…).Đôi khi là lỗi của nhà quản trị khi cấu hình các chính sách
mạng chưa hợp lý.
3.1.2. Thách thức khi xây dựng hệ thống phòng thủ.
- Về mặt kĩ thuật, phải xử lý phân tán từ nhiều điểm trên Internet: Vì các luồng tấn công
xảy ra từ nhiều nguồn khác nhau, đi qua toàn mạng Internet trong khi thường chỉ có một mình
Victim với ít thiết bị, quyền hạn, khả năng xử lý hạn chế nên không thể đạt được hiệu quả cao. Sự
tấn công phân tán thì cần sự phòng thủ phân tán thì mới giải quyết triệt để được.
11

+ Thiếu thông tin chi tiết về các cuộc tấn công thực tế: Có không nhiều thông tin về
tác hại của DDoS gây lên cho các doanh nghiệp, nó thường chỉ có khi tác hại của nó là rõ
ràng và doanh nghiệp không thể tự xử lý được mà phải nhờ cậy sự trợ giúp khác từ bên
ngoài. Vì thế lại càng ít các thông tin chi tiết, như là bản nhật ký lưu lượng (log các traffic),
sơ đồ mạng chi tiết của doanh nghiệp.

hướng tới 4 mục tiêu chính như sau:
- Tính hiệu quả: Yêu cầu các thành phần tham gia vào hệ thống phòng thủ victim,
router… đều không phải chịu thêm tải quá nặng. Ví dụ khi bình thường CPU của Server chỉ
chạy 10% để phục vụ cho các Client, nhưng sau khi cài đặt hệ thống phòng thủ vào, cho dù
chưa xảy ra DDoS thì tải CPU do phải tính toán thêm nhiều nên đã lên đến 20% là không
chấp nhận được.
- Tính trọn vẹn: Một hệ thống phòng thủ tốt cần phải bảo vệ Victim được khỏi tất cả
các kiểu tấn công DDoS. Bởi vì đối với Attacker, một khi đã điều khiển được mạng botnet
thì hắn hoàn toàn có thể sử dụng nhiều kịch bản tấn công khác nhau, lợi dụng nhiều điểm
yếu của giao thức, của mạng hoặc thay đổi thông số bên trong packet. Vì thế nếu hệ thống
chỉ có thể phòng thủ được 1 số cách tấn công nhất định, thì khi attacker thay đổi, hệ thống
đó sẽ sụp đổ hoàn toàn.
- Cung cấp dịch vụ cho tất cả các traffic hợp lệ: Đây là yêu cầu quan trọng nhất khi
triển khai một hệ thống phòng thủ DDoS.
- Chi phí phát triển và điều hành thấp.
3.2. Các đặc trƣng của mô hình bảo vệ chống DDoS.
Như chúng ta đã thấy, khả năng phát hiện một cuộc tấn công ngay lập tức sẽ ảnh hưởng
rất lớn đến quá trình ngăn chặn và làm giảm đến mức thấp nhất tác hại mà một cuộc tấn công
DDos gây ra. Hiện nay các hệ thống phát hiện đang được phát triển và khá công phu.
Những hệ thống phát hiện DDos này thường sử dụng rất nhiều phương thức để dò
tìm và phát hiện. Thông thường các công cụ này so sánh lưu lượng hiện tại với lưu lượng có
thể chấp nhận được. Công nghệ này vẫn còn có một vài thiếu sót. Trước tiên, ngưỡng này
thường đặt tĩnh và yêu cầu người sử dụng phải cấu hình để phù hợp với mọi môi trường, tuy
nhiên sẽ khó có thể thay đổi thích ứng với môi trường mới. Thứ hai, chỉ có một số ít các
ngưỡng được thiết lập vì sự thống kê chi tiết các giao thức không có giá trị cho người sử
dụng. Thứ 3, ngưỡng chỉ áp dụng ở mức độ tổng hợp cao. Sự thiếu sót này có thể dẫn tới sự
đánh giá sai về tính rõ ràng và tính phủ định của hệ thống phát hiện. Thậm chí một phát hiện
sự xâm hại có thể chặn nhầm một địa chỉ hợp lệ.
Do vậy, để hiệu quả một hệ thống phát hiện xâm nhập phải thêm nhiều tính năng để
phát hiện và phân biệt một sự tấn công với các hoạt động bình thường.

lại sau khi nạn nhân phát hiện bị tấn công. Tuy nhiên cách tiếp cận này không thể giải quyết
tận gốc, quản trị viên chỉ có thể giảm thiểu thiệt hại chứ không thể chấm dứt cuộc tấn công.
Phương pháp đặt gần kẻ tấn công (attacker) là phương pháp ngăn chặn các gói tin
DDoS ngay khi vừa được sinh ra tại nguồn. Nó có ưu điểm là giảm được tối đa tác hại của
14

gói tin DDoS, chống được giả mạo IP. Tuy nhiên lại rất khó thực hiện do phải thay đổi hệ
thống mạng trên quy mô lớn. Hiện mới chỉ có khoảng ba hướng nghiên cứu theo cách tiếp
cận này. Trong đó, D-WARD là có kết quả tốt nhất với khả năng hoạt động độc lập.
Một vị trí khác là đặt tại phần lõi của Internet. Cách tiếp cận này ít được quan tâm
rộng rãi do để tiếp cận được phần lõi của Internet cần có một khoản chi phí không nhỏ, cũng
như sự đảm bảo chắc chắn về tính hiệu quả đem lại khi tăng sự phức tạp của phần lõi.
Phương pháp cuối cùng và hay được nghiên cứu hiện nay là phương pháp kết hợp nhiều vị trí:
Nạn nhân phát hiện và bắt đầu xử lý, sau đó cố gắng đẩy vị trí phòng chống ra hệ thống mạng gần kẻ
tấn công nhất có thể, từ đó giúp giảm tải cho toàn mạng Internet chứ không chỉ cho Victim nữa.
3.3.3. Vị trí kiểm tra và phát hiện tấn công DDoS.
- Phát hiện ở gần nguồn tấn công.Các phương án này thường không có hiệu quả cao
khi mà cuộc tấn công diễn ra với quy mô rất lớn. Do vậy việc phát hiện tấn công gần nguồn
sẽ tránh được tắc nghẽn và đạt hiệu quả cao nhất.
- Phát hiện tấn công tại nạn nhân, phương pháp này không khó vì lúc đó lưu lượng mạng
tại nạn nhân sẽ trở nên rất cao và tất nhiên sẽ dẫn đến tình trạng không thể cung cấp được các
dịch vụ. Tuy nhiên, thông thường việc phát hiện và phản ứng lại tại nạn nhân thường muộn và
vào lúc cuộc tấn công đang ở mức cao. Nạn nhân lựa chọn tắt server và sau đó liên hệ với các
ISP. Các ISP sau khi đã nhận được lời đề nghị của nạn nhân sẽ tiến hành đẩy ngược lại lưu lượng
tấn công tại các router. Công việc này thường tốn rất nhiều thời gian.
3.4. Thuật toán sử dụng để phát hiện ra tấn công DDoS.
3.4.1. Thuật toán Adaptive Threshold (ngưỡng giới hạn khả năng đáp ứng)
Thuật toán này nói chung khá đơn giản và dễ hiểu. Thuật toán phát hiện sự không
bình thường dựa trên sự vị phạm của một ngưỡng khả năng đáp ứng của lưu lượng mạng
trong thời gian gần. Thuật toán đặc biệt có khả năng phát hiện cao nhất khi kẻ tấn công tiến

- Cơ chế “Lan tỏa ngược”:Là phương pháp cho phép xác định được chính xác nguồn
tấn công từ chối dịch vụ bằng cách lan truyền bộ lọc trên các router qua cơ chế pushback.
Khi có 1 địa chỉ IP được xác định là nguồn tấn công. Trên gateway của Victim sẽ bật 1
bộ lọc, vừa để loại bỏ các gói tin DDoS, vừa lắng nghe xem các gói tin ấy đến từ interface
nào. Sau khi xác định được thì sẽ gửi 1 yêu cầu qua interface ấy, đến router hàng xóm yêu
cầu lập Filter tương tự. Router hàng xóm lập Filter, lắng nghe rồi xác định gói tin đến từ
interface nào, và lại gửi yêu cầu lập Filter cho router kế tiếp. Cứ như vậy sẽ xác định được
router gần nguồn tấn công nhất, cho dù là IP nguồn tấn công có bị giả mạo hay không.
3.5.3.3. Cơ chế hoạt động.
- Bước 1: Khởi động.
- Bước 2: Bắt đầu
- Bước 3: Kiểm tra giả mạo
16

Bước 4: Rút gọn
- Bước 5: ngăn chặn.
- Bước 6: Lan tỏa ngược.
3.5.3.4. Chống lợi dụng giao thức.
- Nguy cơ: Một router G nào đó giả vờ là người bị DDoS, để ngăn cho mạng của nạn
nhân H không thể truy xuất đến 1 mạng K được. Router G sẽ giả vờ H chính là kẻ tấn công
mạng K, yêu cầu chạy giao thức lan tỏa ngược để các router khác chặn không cho H liên lạc
được với K. Có 2 cách để G làm được điều này:
+ G giả vờ mình là gateway của K, đang bị mạng H tấn công (G đóng giả Victim_GW), G
kết nối đến gateway của mạng H, yêu cầu lập bộ lọc ngăn chặn H truy cập đến K.
+ G đóng vai trò là router trên đường đi, chạy giao thức lan tỏa ngược, yêu cầu hàng
xóm lập filter ngăn truy xuất từ H đến K.
- Giải pháp: Trong trường hợp 1, khi G kết nối đến gateway của mạng H thì theo giao
thức đây phải là 1 kết nối tin cậy => G không thể fake ip được. Sau đó gateway của H còn
kiểm tra xem G có đứng kề trước K hay không bằng cách thực hiện 2 lần ping như ở trên đã
nói. Nếu xác nhận đúng thì gateway của H mới lập Filter.

A_GW sẽ phải tạo 1 bộ lọc khác nhau.
3.6. Tóm tắt chƣơng 3
Trên cơ sở kết quả nghiên cứu về các hành vi tấn công, mô hình tấn công DDoS đã
nêu ở chương trước, chương 3 của luận văn trình bày cụ thể về mô hình bảo vệ chống tấn
công DDoS. Nội dung chương đã nêu các vấn đề đặt ra khi xây dựng hệ thống chống DDoS,
các đặc trưng của mô hình bảo vệ chống tấn công; đi sâu phân tích một số thuật toán điển
hình để phát hiện ra tấn công DDoS như: thuật toán Adaptive Thresholds, SIM, CUSUM.
Ba giao thức điển hình cho phòng chống DDoS là AITF, D-Ward, giao thức lan tỏa ngược,
trong đó giao thức lan tỏa ngược là hiệu quả nhất. Kết quả chương đã đưa ra đề xuất về mô
hình bảo vệ chống DDoS.
18

Chƣơng 4 - MÔ PHỎNG PHÁT HIỆN TẤN CÔNG VÀ CHỐNG
TẤN CÔNG DDoS.

4.1. Giới thiệu bộ công cụ NeSSi2.
4.1.1. Tổng quan.
NeSSiNeSSi (Network Security Simulator) là một công cụ mô phỏng kết hợp nhiều

dùng tạo và thay đổi tất cả các thành phần cần thiết cho một mô phỏng.Kết quả của các mô
phỏng hoàn thành có thể xem được ở đây.
Các thành phần cốt lõi của giao diện người dùng được xây dựng trên Eclipse, đặc
biệt với các mô-đun đã được xây dựng trong các tập tin và thư mục cho phép người sử dụng
kết hợp tất cả các dự án trong một thử nghiệm mới. Giao diện người dùng đồ họa cho phép
người dùng có thể thao tác một các dễ dàng hơn.
4.1.2.2. Simulation Backend
Các ví dụ mô phỏng thực tế được thực hiện trên một máy tính với phần cứng dành
riêng cho mục đích này, kết hợp với các phụ trợ mô phỏng. Sau khi một phiên được được
thiết lập,tiến trình trình thực hiện chạy thì các phụ trợ mô phỏng sẽ phân tích các thông số
các phiên mong muốn (chẳng hạn như log của các sự kiện) từ đó tạo ra một môi trường mô
phỏng tương ứng, thiết lập các kết nối cơ sở dữ liệu và lịch trình mô phỏng để chạy sau khi
các nguồn tài nguyên xử lý cần thiết có sẵn.
4.2.1.3. Database.
Chúng ta có thể sử dụng hệ cơ sở dữ liệu Mysql 5.5 trở lên để lưu trữ. Trong NeSSi2,
các kịch bản mô phỏng được thực hiện thông qua các phiên (session). Mỗi phiên sẽ được
xác định với các node mạng, mô hình mạng, kịch bản và thời gian xác định. Kết quả sau khi
chạy phiên sẽ cho chúng ta kết quả, từ các kết quả đó chúng ta có thể đánh giá khả năng bảo
mật,độ an toàn của hệ thống,phát hiện các mối nguy hiểm, từ đó có thể xây dựng các chính
sách bảo mật cho hệ thống.
Với mục đích mô phỏng như vậy chúng ta sử dụng cơ sở dữ liệu phân tán. Hệ cơ sở
dữ liệu sẽ lưu trữ các traffic được tạo khi chúng ta chạy các session.
Với một phiên session thì log traffic của các node mạng, dữ liệu được phát hiện sẽ
được gửi đến cơ sở dữ liệu.
4.2. Phƣơng thức mô phỏng với NeSSi2
4.2.1. Thiết lập mạng.
4.2.2. Thiết lập Profile
4.2.3. Thiết lập kịch bản mô phỏng
20


o Tấn công vào WebServer có địa chỉ IP là 10.1.0.12
o Tấn công vào WebServer thông qua giao thức UDP, và tấn công vào cổng 1234.
21

o Tấn công vào Server bằng cách gửi gói tin có kích thước lớn 999999.
o Tấn công trong khoảng thời gian 1000 giây.
- Kết quả kịch bản 3: Khi phát hiện bị tấn công, thực hiện các biện pháp chặn port,
chặn nguồn tấn công.
4.4. Nhận xét, đánh giá.
Chương 4 đã trình bày về một khả năng mô phỏng phát hiện tấn công và chống tấn
công DDoS với bộ công cụ NeSSi2. Luận văn đã thực hiện thiết lập hệ thống phần mềm mô
phỏng; xây dựng ba kịch bản mô phỏng điển hình; triển khai mô phỏng tấn công DDoS trên
hệ thống mạng máy tính của một công ty; hiển thị kết quả mô phỏng và đánh giá kết quả.
Để chống DDoS hoàn toàn là một điều khó khăn. Chúng ta muốn hạn chế các hậu
quả do DDoS gây ra thì cần phải luôn luôn cập nhập công nghệ, nâng cao kiến thức, am
hiểu về các dạng và các công cụ tấn công để từ đó đưa ra biện pháp phòng chống hiệu quả.
Ví dụ:
+ Trinoo: Clients, handlers and agents mặc định sử dụng các port sau để tấn công
(1524 TCP, 27665 TCP, 27444 UDP, 31335 UDP). Vì vậy, cần đóng các port này lại.
+ TFN: Công cụ này sử dụng các gói tin ICMP ECHO and ICMP ECHO REPLY
giữa clients, handlers and agents để tấn công.
+ Stacheldraht: Clients, handlers and agents mặc định sử dụng các port sau để tấn
công (16660 TCP, 65000 TCP, ICMP ECHO, ICMP ECHO REPLY).
Sau khi tìm hiểu và mô hình hóa kiểu tấn công DDoS đối với hệ thống mạng của
công ty An Phát. Em xin đưa ra một số giải pháp để chống kiểu tấn công DDoS như sau:
+ Scan và đóng tất cả các port không cần thiết (1524 TCP, 27665 TCP, 27444
UDP, 31335 UDP, 16660 TCP, 65000 TCP, ICMP ECHO).
+ Thường xuyên update phiên bản mới nhất của hệ điều hành.
+ Luôn luôn bật tường lửa để bảo vệ.
+ Tại Router ngoài biên nên sử dụng lệnh ip verify unicast reverse-path. Câu lệnh
23

KẾT LUẬN

Trong luận văn này em đã trình bày, phân tích, mô hình hóa các đặc trưng cũng như
đặc điểm nhận dạng của kiểu tấn công từ chối dịch vụ phân tán (DDoS); làm rõ sự khác
nhau giữa 2 kiểu tấn công từ chối dịch vụ đó là từ chối dịch vụ thông thường (DoS) và kiểu
tấn công từ chối dịch vụ phân tán (DDoS). Từ đó, luận văn đã chỉ ra mức độ nguy hiểm của
kiểu tấn công từ chối dịch vụ phân tán. Luận văn đã tập trung đi sâu vào tìm hiểu bản chất,
cách thức hoạt động, cách thức tấn công, các kỹ thuật tấn công hiện tại, các công cụ tấn
công từ chối dịch vụ phân tán, từ đó giúp hiểu rõ hơn bản chất của kiểu tấn công này. Trên
cơ sở đó, luận văn đã đề xuất một số biện pháp cơ bản để ngăn chặn các cuộc tấn công từ
chối dịch vụ phân tán. Ngoài ra, luận văn cũng đã giới thiệu qua về các thuật toán phát hiện
DDos được sử dụng phổ biển trên thế giới. Những thuật toán này có thể giúp phát triển
những hệ thống dựa trên những nền tảng đã có. Luận văn đã đặc biệt chú ý đến giao thức
lan tỏa ngược vì đây là một giao thức khá mạnh, có thể ngăn chặn ngay cả khi Agent giả
mạo địa chỉ IP. Việc đặt bộ lọc ở gần nguồn tấn công nhất của giao thức lan tỏa ngược là
phương pháp tối ưu nhất trong các giao thức ngăn chặn DDos hiện nay.
Việc phát hiện và ngăn chặn các cuộc tấn công từ chối dịch vụ phân tán hoàn toàn là
một điều rất khó khăn. Muốn hạn chế đến mức thấp nhất những hậu quả của cuộc tấn công
này thì mỗi cá nhân, tổ chức cần phải luôn luôn cảnh giác. Một trong những cách hữu hiệu
là kiểm tra tính bảo mật thông qua phần mềm mô phỏng để đánh giá mức độ bảo mật của hệ
thống, khả năng bị tấn công, từ đó đưa ra biện pháp cải thiện,nâng cấp hệ thống cho hệ
thống mạng của mình. Hy vọng luận văn này có thể giúp làm rõ về bản chất, cách thức tấn
công và các kỹ thuật để phòng chống lại kiểu tấn công DDoS.

Nhờ tải bản gốc

Tài liệu, ebook tham khảo khác

Học thêm

Music ♫

Copyright: Tài liệu đại học © DMCA.com Protection Status