Phát hiện và phòng chống xâm nhập trái phép mạng máy tính

- Da trên giao thc mng.
- 25 CHƢƠNG III: PHÁT HIỆN VÀ NGĂN CHẶN DDOS.
- 30 3.1 Yêu ci vi mt h thng phát hi n DDoS.
- 33 3.3.2 H thng D-WARD.
- hong ca Snort.
- 53 4.4 Trin khai h thng.
- 5: Hong ca AITF.
- 50 Hình 4.5: Mô hình h thng tích hp Snort-inline.
- 59 Hình 4.9: S dng Slow POST HTTP request attack.
- 60 Hình 4.10: Tài nguyên h thng khi b tn công DDOS khong 2 phút.
- 61 vii Hình 4.14: Log cnh báo nhc khi h thng b tn công DDOS.
- 63 Hình 4.18: Log khi h thng chn tn công DDOS.
- Do ng ca các dng xâm nhp trái phép mng máy tính n và phòng chng ng mc v th.
- không th ng các yêu cu dch v cho khách hàng hp pháp.
- SYN flood và UDP flood c tn công tr nên phc tng cách gi làm nn nhân, gi vài.
- Các tn công này phng b hoá mt cách th công bi nhiu k tn.
- Kt qu là tháng 5  1999 trang ch ca FBI ng hng vì cuc tn công bng DDOS.
- thng.
- David Dittrich thu i hc Washington ng phân tích v công c tn công t chi dch v.
- hong trong vòng 3 gi ng h.
- 1.3 Các giai đoạn của một cuộc tấn công DDOS ng mt cuc tn công DDOS gm n.
- n chun b, nh mc tiêu và thm tn công ng tn công  n xóa du vt 1.3.1 Giai đoạn chuẩn bị Chun b công c n quan trng ca cuc tn công, các công c này ng hong theo mô hình client-server.
- Nu nhng k tn công tin hành quét chm, có th hong này s c nhn thy bi vì mt quá trình quét trong mt mng ng xy ra  tn s rt cao, khi mt quá trình quét chm c thc hin thì rt khó có th nhn ra rng nó là mt máy quét c.
- k thut quét hong trong mt vùng nm sau firewall c coi là vùng b lây nhim bi các.
- này có th c s dng kt hp vi ch quét khác.
- Mt khác, nb nhim c trong quá trình quét hoán v, nó bu quét ti mm ngu nhiên.
- này, sau khi phát hin các h thng d b t.
- thng mi nhim tìm kim các host d b t.
- phi hp các cuc tn công, chuyng tn công v phía mc tiêu.
- m tn công, attacker gi lnh (t xa) khng các cuc tc la chn n các zo.
- có th là quá cao  các mng kt ni n các máy ch tn công làm cho hiu sut hong ca các mng này gim.
- c cung cp các dch v trên các mng này có th b ng nghiêm trng, và làm cho các khách hàng ca các m.
- y, các mc gánh nng bi ng tn công có th là mt nn nhân na ca các cuc tn công DDoS.
- Các giao tip này ng xy ra trên các giao thc TCP, UDP hay ICMP.
- thy ng n hia h thng.
- Các giao tii dng chat message làm cho vic phát hin chúng là vô cùng.
- Các máy ca botnet có kh i hàng ngàn yêu cu gi mo mn h thng nn nhân, gây ng nghiêm trn chng dch v cung ci dùng.
- Theo tiêu chí này, DDoS có th c chia thành 2 dng gm tn công gây ngp lt và tn công logic: 1) Tn công gây ngp lt (Flooding attacks): Trong tn công gây ngp lt, tin tc to mng ln các gói tin tn công gi n hp l và gn h thng nn nhân làm cho h thng không th phc v i dùng hi ng ca tn công d.
- Tin tc có th gi mng ln yêu cu kt ni gi mo  các kt ni không th thc hin, chi.
- Các agent s theo lnh gi các gói tin tn h thng nn nhân.
- dng này, các t nn các dch v thông dng ng vi các giao thc tng ng d SMTP.
- gây ngp lng truyn và tiêu hao tài nguyên máy ch, làm ngt quãng kh p dch v i 20 dùng hp pháp.
- Các bots có th c xác lp cu hình hong t u, hoc chúng có th g u khin thông qua các giao thc web ph bi.
- gi mng ln các yêu cu gi m i tn sut thp, làm suy gim dn dn hing.
- th ng tn công phc h ng s dng các công c.
- Tn công d ng gây tc nghng truyn bng ng yêu cu gi mo rt ln gi bi các máy tính ma (zombie) ca các botnets.
- khng các cuc tn công t máy riêng ca h.
- Ngoài ra, làn sóng mi ca các cuc tn công ng ln xut phát t trung tâm d liu ca các nhà cung cp dch v.
- Mt botnet là mng ca h thng b xâm nhp có kt ni Internet mà có th c s d.
- Các h thng b xâm nhp c gi là zombie.
- khng mt cuc tn công DDoS vi.
- khng các cuc tn công DDoS.
- Kt qu là 25 các h thng lot gi li các gói tin replies vi s ng rt ln làm cho h thng ca nn nhân không có kh.
- Toàn b tài nguyên h thng 27 c c.
- Hình 2.5: Mô hình TCP SYN attack [1] Khi mng ln các gói tin SYN (va ch ngun ca gói tin b gi mo) c gn nn nhân s làm cho h thng ca nn nhân không th x lý và b cn kit tài nguyên.
- Tuy nhiên, bên gi có th yêu cu h thng unload buffer c khi b y bng cách gi mt gói tin vi bit PUSH và ACK mang giá tr là 1.
- PUSH+ACK attack làm cn kit tài nguyên h thng nn nhân bng lot gi nhng gói tin TCP vi bit PUSH và ACK có giá tr bng 1 làm cho h thng nn nhân phi liên tc unload b m và kt qu là h thng ca nn nhân không th x c nu s c gn là quá ln.
- Nu máy ch gi quá nhiu tài nguyn busy s gây ra t chi dch v và không th ng các yêu cu khác.
- u hành ca h thng nn nhân không hi.
- x Nu các gói tin dc gi dn dn h thng ca nn nhân cùng lúc thì nn nhân s b cn kit tài nguyên h th.
- 30 CHƢƠNG III: PHÁT HIỆN VÀ NGĂN CHẶN DDOS 3.1 Yêu cầu đối với một hệ thống phát hiện và ngăn chặn DDoS Hin nay, các hình thc tn công DDOS r c phát trin không ngng.
- Ngoài ra h thng phát hin n phi hong thi gian th.
- gim thiu tng thit hi do cuc tn công gây ra.
- Nhóm tác gi u và th nghim giao thc AITF vi kt qu khá kh quan: AITF có th n tc thi hàng triu lung tn công trong khi ch yêu cu mt s tham gia ca mng nh các router.
- Gi s khi có mt lung không mun ti h thng ca nn nhân V n nhân munh mng không mong mun, nn nhân V s gi mt yêu cu ln gateway Vgw ca nó.
- qui theo dc tuyng t k tn công ti nn nhân cho ti khi kt nc bit nêu trên c thit l ng hp xu nht.
- Phát hin ra các cuc tn công DDoS và n chúng bng cách kim soát lng g.
- 6: Mô hình triển khai D-WARD D-c cu hình vi mt tp ha ch IP cc b (local) mà ng ra ca ch này b áp các chính sách.
- D-WARD theo dõi tng ng ca các dòng và các kt ni gia a ch c thit lp chính sách và phn còn li ca Internet.
- Mt dòng (flow tng ng c thit lp chính sách cho ma ch và mt máy ch bên ngoài (ma ch IP bên ngoài).
- Mt kt nc tng ng gia mt cng a ch Ip c thit lp chính sách) và ma ch bên ngoài.
- u chnh hong t ng.
- gi, s bng này gn lin liên lc hai chiu theo mt mô hình theo yêu c.
- ng NTP, vv Trong các kt ni, mt bên gi mt hoc nhi i tr li (xác nhn nhn hoc mt phn c khi gi tip bt k gói d lii các kt ni y nó s là bng khi mt t l gi tích cc kt hp vi t l tr li thp.
- C th, vic chn bt gói tin trong Snort c thc hi n libpcap s c thay th bng vic s dng Ip n libipqng n ca Snort-inline s c thc hin bng devel-mode ca Iptables.
- ca gói tin.
- chng dch v.
- Network intrusion detection system mode: Snort phát hin các bng trong gói tin và lung d liu.
- Inline mode: ngoài vic phát hi n gói tin và các lung d liu bng.
- kim tra gói tin 42 có bng hay không.
- tìm ra các du hiu bng.
- Trách nhim ca nó là phát hin có s bng tn ti trong gói tin hay không.
- General: gm các tùy chn cung cp thông tin v lu bt c ng nào trong quá trình phát hin.
- ack: Cu trúc ack : TCP header cha mng A ng này ch ra rng sequence number k ting này ch có ý.
- phát hin mt ID c th c s dng vi mt gói tin ICMP.
- number> Header ICMP nm sau IP header và chng type.
- phát hing code trong header gói tin ICMP.
- Các tùy chc s dng cho các mhác nhau, bao gm: Record Route (rr), Time Stamps (ts), Loose Source Routing (lsrr), Strict Source Routing (ssrr.
- áp dng mt lut lên các gói tin di chuyn theo mng c th.
- Ta có th s dng các option vi t.
- T khóa này có th c s dng vi tt c các kiu giao thc xây dng trên nn tng.
- S dng t khóa ttl ta có th tìm ra nu có mt user c gng traceroute mng.
- request s chim h ca các kt nn server hoc server phi x ng thi nhiu gói tin dn 51 cn kit các tài nguyên h thng.
- Làm cho h thng nn nhân không b quá ti.
- các nhà qun tr phi hp vi các bên liên quan n, chuyng cuc tn công.
- thng phát hin n DDoS.
- Kim tra tài nguyên h thng.
- 4.5 Kết quả thí nghiệm 4.5.1 Kết quả bước 1  Tài nguyên h thng: 58 Hình 4.7: Tài nguyên hệ thống khi chưa bị tấn công  Truy cp vào server: 59 Hình 4.8: Truy cập vào web server T kt qu trên, ta thy khi không b tn công DDOS thì thông s ti ca h thng rt thp i x ng RAM free là khong 67 MB và truy c ng.
- Khi phát hin b tn công DDOS, h thng phát hi drop các gói tin t.
- Truy cp vào web server bìnng

Xem thử không khả dụng, vui lòng xem tại trang nguồn
hoặc xem Tóm tắt