- Da trên giao thc mng. - 25 CHƢƠNG III: PHÁT HIỆN VÀ NGĂN CHẶN DDOS. - 30 3.1 Yêu ci vi mt h thng phát hi n DDoS. - 33 3.3.2 H thng D-WARD. - hong ca Snort. - 53 4.4 Trin khai h thng. - 5: Hong ca AITF. - 50 Hình 4.5: Mô hình h thng tích hp Snort-inline. - 59 Hình 4.9: S dng Slow POST HTTP request attack. - 60 Hình 4.10: Tài nguyên h thng khi b tn công DDOS khong 2 phút. - 61 vii Hình 4.14: Log cnh báo nhc khi h thng b tn công DDOS. - 63 Hình 4.18: Log khi h thng chn tn công DDOS. - Do ng ca các dng xâm nhp trái phép mng máy tính n và phòng chng ng mc v th. - không th ng các yêu cu dch v cho khách hàng hp pháp. - SYN flood và UDP flood c tn công tr nên phc tng cách gi làm nn nhân, gi vài. - Các tn công này phng b hoá mt cách th công bi nhiu k tn. - Kt qu là tháng 5 1999 trang ch ca FBI ng hng vì cuc tn công bng DDOS. - thng. - David Dittrich thu i hc Washington ng phân tích v công c tn công t chi dch v. - hong trong vòng 3 gi ng h. - 1.3 Các giai đoạn của một cuộc tấn công DDOS ng mt cuc tn công DDOS gm n. - n chun b, nh mc tiêu và thm tn công ng tn công n xóa du vt 1.3.1 Giai đoạn chuẩn bị Chun b công c n quan trng ca cuc tn công, các công c này ng hong theo mô hình client-server. - Nu nhng k tn công tin hành quét chm, có th hong này s c nhn thy bi vì mt quá trình quét trong mt mng ng xy ra tn s rt cao, khi mt quá trình quét chm c thc hin thì rt khó có th nhn ra rng nó là mt máy quét c. - k thut quét hong trong mt vùng nm sau firewall c coi là vùng b lây nhim bi các. - này có th c s dng kt hp vi ch quét khác. - Mt khác, nb nhim c trong quá trình quét hoán v, nó bu quét ti mm ngu nhiên. - này, sau khi phát hin các h thng d b t. - thng mi nhim tìm kim các host d b t. - phi hp các cuc tn công, chuyng tn công v phía mc tiêu. - m tn công, attacker gi lnh (t xa) khng các cuc tc la chn n các zo. - có th là quá cao các mng kt ni n các máy ch tn công làm cho hiu sut hong ca các mng này gim. - c cung cp các dch v trên các mng này có th b ng nghiêm trng, và làm cho các khách hàng ca các m. - y, các mc gánh nng bi ng tn công có th là mt nn nhân na ca các cuc tn công DDoS. - Các giao tip này ng xy ra trên các giao thc TCP, UDP hay ICMP. - thy ng n hia h thng. - Các giao tii dng chat message làm cho vic phát hin chúng là vô cùng. - Các máy ca botnet có kh i hàng ngàn yêu cu gi mo mn h thng nn nhân, gây ng nghiêm trn chng dch v cung ci dùng. - Theo tiêu chí này, DDoS có th c chia thành 2 dng gm tn công gây ngp lt và tn công logic: 1) Tn công gây ngp lt (Flooding attacks): Trong tn công gây ngp lt, tin tc to mng ln các gói tin tn công gi n hp l và gn h thng nn nhân làm cho h thng không th phc v i dùng hi ng ca tn công d. - Tin tc có th gi mng ln yêu cu kt ni gi mo các kt ni không th thc hin, chi. - Các agent s theo lnh gi các gói tin tn h thng nn nhân. - dng này, các t nn các dch v thông dng ng vi các giao thc tng ng d SMTP. - gây ngp lng truyn và tiêu hao tài nguyên máy ch, làm ngt quãng kh p dch v i 20 dùng hp pháp. - Các bots có th c xác lp cu hình hong t u, hoc chúng có th g u khin thông qua các giao thc web ph bi. - gi mng ln các yêu cu gi m i tn sut thp, làm suy gim dn dn hing. - th ng tn công phc h ng s dng các công c. - Tn công d ng gây tc nghng truyn bng ng yêu cu gi mo rt ln gi bi các máy tính ma (zombie) ca các botnets. - khng các cuc tn công t máy riêng ca h. - Ngoài ra, làn sóng mi ca các cuc tn công ng ln xut phát t trung tâm d liu ca các nhà cung cp dch v. - Mt botnet là mng ca h thng b xâm nhp có kt ni Internet mà có th c s d. - Các h thng b xâm nhp c gi là zombie. - khng mt cuc tn công DDoS vi. - khng các cuc tn công DDoS. - Kt qu là 25 các h thng lot gi li các gói tin replies vi s ng rt ln làm cho h thng ca nn nhân không có kh. - Toàn b tài nguyên h thng 27 c c. - Hình 2.5: Mô hình TCP SYN attack [1] Khi mng ln các gói tin SYN (va ch ngun ca gói tin b gi mo) c gn nn nhân s làm cho h thng ca nn nhân không th x lý và b cn kit tài nguyên. - Tuy nhiên, bên gi có th yêu cu h thng unload buffer c khi b y bng cách gi mt gói tin vi bit PUSH và ACK mang giá tr là 1. - PUSH+ACK attack làm cn kit tài nguyên h thng nn nhân bng lot gi nhng gói tin TCP vi bit PUSH và ACK có giá tr bng 1 làm cho h thng nn nhân phi liên tc unload b m và kt qu là h thng ca nn nhân không th x c nu s c gn là quá ln. - Nu máy ch gi quá nhiu tài nguyn busy s gây ra t chi dch v và không th ng các yêu cu khác. - u hành ca h thng nn nhân không hi. - x Nu các gói tin dc gi dn dn h thng ca nn nhân cùng lúc thì nn nhân s b cn kit tài nguyên h th. - 30 CHƢƠNG III: PHÁT HIỆN VÀ NGĂN CHẶN DDOS 3.1 Yêu cầu đối với một hệ thống phát hiện và ngăn chặn DDoS Hin nay, các hình thc tn công DDOS r c phát trin không ngng. - Ngoài ra h thng phát hin n phi hong thi gian th. - gim thiu tng thit hi do cuc tn công gây ra. - Nhóm tác gi u và th nghim giao thc AITF vi kt qu khá kh quan: AITF có th n tc thi hàng triu lung tn công trong khi ch yêu cu mt s tham gia ca mng nh các router. - Gi s khi có mt lung không mun ti h thng ca nn nhân V n nhân munh mng không mong mun, nn nhân V s gi mt yêu cu ln gateway Vgw ca nó. - qui theo dc tuyng t k tn công ti nn nhân cho ti khi kt nc bit nêu trên c thit l ng hp xu nht. - Phát hin ra các cuc tn công DDoS và n chúng bng cách kim soát lng g. - 6: Mô hình triển khai D-WARD D-c cu hình vi mt tp ha ch IP cc b (local) mà ng ra ca ch này b áp các chính sách. - D-WARD theo dõi tng ng ca các dòng và các kt ni gia a ch c thit lp chính sách và phn còn li ca Internet. - Mt dòng (flow tng ng c thit lp chính sách cho ma ch và mt máy ch bên ngoài (ma ch IP bên ngoài). - Mt kt nc tng ng gia mt cng a ch Ip c thit lp chính sách) và ma ch bên ngoài. - u chnh hong t ng. - gi, s bng này gn lin liên lc hai chiu theo mt mô hình theo yêu c. - ng NTP, vv Trong các kt ni, mt bên gi mt hoc nhi i tr li (xác nhn nhn hoc mt phn c khi gi tip bt k gói d lii các kt ni y nó s là bng khi mt t l gi tích cc kt hp vi t l tr li thp. - C th, vic chn bt gói tin trong Snort c thc hi n libpcap s c thay th bng vic s dng Ip n libipqng n ca Snort-inline s c thc hin bng devel-mode ca Iptables. - ca gói tin. - chng dch v. - Network intrusion detection system mode: Snort phát hin các bng trong gói tin và lung d liu. - Inline mode: ngoài vic phát hi n gói tin và các lung d liu bng. - kim tra gói tin 42 có bng hay không. - tìm ra các du hiu bng. - Trách nhim ca nó là phát hin có s bng tn ti trong gói tin hay không. - General: gm các tùy chn cung cp thông tin v lu bt c ng nào trong quá trình phát hin. - ack: Cu trúc ack : TCP header cha mng A ng này ch ra rng sequence number k ting này ch có ý. - phát hin mt ID c th c s dng vi mt gói tin ICMP. - number> Header ICMP nm sau IP header và chng type. - phát hing code trong header gói tin ICMP. - Các tùy chc s dng cho các mhác nhau, bao gm: Record Route (rr), Time Stamps (ts), Loose Source Routing (lsrr), Strict Source Routing (ssrr. - áp dng mt lut lên các gói tin di chuyn theo mng c th. - Ta có th s dng các option vi t. - T khóa này có th c s dng vi tt c các kiu giao thc xây dng trên nn tng. - S dng t khóa ttl ta có th tìm ra nu có mt user c gng traceroute mng. - request s chim h ca các kt nn server hoc server phi x ng thi nhiu gói tin dn 51 cn kit các tài nguyên h thng. - Làm cho h thng nn nhân không b quá ti. - các nhà qun tr phi hp vi các bên liên quan n, chuyng cuc tn công. - thng phát hin n DDoS. - Kim tra tài nguyên h thng. - 4.5 Kết quả thí nghiệm 4.5.1 Kết quả bước 1 Tài nguyên h thng: 58 Hình 4.7: Tài nguyên hệ thống khi chưa bị tấn công Truy cp vào server: 59 Hình 4.8: Truy cập vào web server T kt qu trên, ta thy khi không b tn công DDOS thì thông s ti ca h thng rt thp i x ng RAM free là khong 67 MB và truy c ng. - Khi phát hin b tn công DDOS, h thng phát hi drop các gói tin t. - Truy cp vào web server bìnng
Xem thử không khả dụng, vui lòng xem tại trang nguồn hoặc xem
Tóm tắt