Professional Documents
Culture Documents
3
Lab
Tháng 4/2018
Lưu hành nội bộ
Lab 3: Tấn công Từ chối dịch vụ DoS/DDoS
2
A. TỔNG QUAN
1. Mục tiêu
▪ Tìm hiểu DoS và DDoS
▪ Thực hành tấn công DoS/DDoS
▪ Thực hành phát hiện và phân tích các vụ tấn công DoS trên máy nạn nhân
▪ Vai trò của Botnet trong các vụ tấn công từ chối dịch vụ
2. Kiến thức nền tảng
Sinh viên xem file tham khảo đính kèm mô tả chi tiết về các loại tấn công DoS/DDoS
3. Môi trường – công cụ
▪ 1 máy ảo Kali Linux
▪ 1 máy Attacker (Windows)
▪ 1 máy Victim (Windows)
▪ Các gói công cụ khác (cụ thể trong từng bài).
B. THỰC HÀNH
1. SYN Flooding một Target Host bằng Metasploit
a) Môi trường thực hành:
• Bước 1: Quét lớp mạng để tìm ip của victim bằng công cụ nmap. Gõ lệnh:
3
• Bước 2: Xác định cổng 4444 đóng hay mở. Dùng nmap để kiểm tra tình trạng
• Bước 3: Do cổng 4444 đã mở, chúng ta sẽ bắt đầu thực hiện SYN Flooding trên
máy Victim. Sử dụng module synflood để thực hiện tấn công DoS. Mở module này
từ msfconsole.
• Bước 6: Tiếp theo, chúng ta cần chỉ định thiết lập các tùy chọn cho các module
để bắt đầu thực hiện tấn công DoS. Gõ lệnh show options sau đó Enter. Màn
Lưu ý: SHOST chính là địa chỉ IP của attacker giả mạo để tấn công
4
• Bước 7: Gõ lệnh exploit để tấn công DoS
• Bước 8: Kiểm tra Wireshark và Task Manager ở máy Victim trước và sau khi thực
Yêu cầu: Quay lại Video quá trình thực hiện tấn công, có thể tùy biến lại các thông số khác
• Bước 1: Gõ lệnh:
Trong đó:
▪ --flood là tùy chọn tấn công không quan tâm tới replies của target
▪ --rand-source là tùy chọn nhằm random địa chỉ IP giả mạo để tấn công
• Bước 2: Quan sát Wireshark và Task Manager trên máy tính nạn nhân ta nhận
được kết quả sau:
5
Task Manager:
Wireshark:
Yêu cầu: Quay lại Video quá trình thực hiện tấn công gồm ít nhất 3 kịch bản với các thông
số khác nhau của công cụ hping3. Kiểm tra, so sánh kết quả và nhận xét trong báo cáo.
6
3. HTTP Flooding sử dụng công cụ DoSHTTP
a) Môi trường thực hành:
• Máy ảo chạy Windows 8.1 (Victim)
• Bước 4: Nhấn nút Start Flood trên công cụ DoSHTTP và quan sát máy target:
• Bước 5: Nhấn nút Stop và xem report của công cụ
Yêu cầu: Quay lại Video quá trình thực hiện tấn công và đánh giá kết quả sau khi tấn công
Tìm hiểu và thực nghiệm tấn công HTTP Flooding với công cụ HOIC (High Orbit Ion
khác tương tự. So sánh hiệu quả, mức độ nguy hiểm vào báo cáo.
Chú ý: Chỉ thực hiện trên các máy tính nội bộ trong kịch bản đã thiết lập, tuyệt đối không
được sử dụng các website thực tế làm mục tiêu.
7
4. Phát hiện và phân tích lưu lượng tấn công DoS bằng KFSensor và Wireshark.
a) Môi trường thực hành:
• Máy ảo chạy Windows 8.1 (Victim)
• Chạy tệp tin cài đặt, tiến hành nhập các thông số cần thiết và cài đặt
8
• Bước 2: Thiết lập cấu hình cho KFSensor
• Chọn Settings Set Up Wizard... ở menu để mở hộp thoại cấu hình
chương trình
• Giữ các thiếp lập mặc định ở phần Set Up Winzard - Port Classes và nhấn Next
9
• Nhấn Next
nhấn Next
• Nhập email gửi và nhận thông báo của chương trình vào ô Send to và
Send from
10
• Ở hộp thoại Set Up Wizard - Options ta thiết lập Nomal cho mục Denial
Of Service Options, thiết lập Enable packet dump files cho mục Network
Protocol Analyzer. Các thiết lập này (Cautions và Enable packet dump
11
• Giữ nguyên thiết lập ở phần Set Up Wizard - Systems Service và nhấn
Next
• Bước 3: Sau khi cài đặt xong cấu hình, chúng ta chọn FTP ở mục TCP lúc ở màn
hình chính
12
• Bước 4: Tấn công DoS vào máy nạn nhân ở port FTP (21)
• Dùng công cụ nmap trên máy Kali Linux để scan cổng FTP trên máy nạn
• Theo như trên hình ta thấy cổng FTP trên máy nạn nhân mở
• Tiếp theo chúng ta sẽ dùng công cụ bất kỳ để tấn công DoS cổng 21 trên
máy tính nạn nhân, ví dụ dùng hping3 để tấn công
• Bước 5: Xem kết quả trên máy tính nạn nhân, chúng ta nhận thấy KFSensor đã
hiện ra thông báo bị tấn công DoS và gửi email đến người dùng
• Chúng ta có thể nhấn đúp vào các thông báo gói xem thông tin chi tiết về
13
• Chuột phải vào thông báo chọn Create Visitor Rule... để thiếp lập các rule
phù hợp
Yêu cầu: Quay lại Video quá trình thực hiện tấn công và dùng KFSensor để phát hiện.
14
- Source code irckit và file pdf hướng dẫn:
• https://media.readthedocs.org/pdf/irckit/latest/irckit.pdf
• https://github.com/coleifer/irc
- Lưu ý:
• Nếu chạy file worker bị lỗi "ImportError: No module named dns" thì xóa
• Tham khảo các lệnh thực thi trên ở trong file irckit.pdf
-c là tên channel
• Bước 2: Chạy file worker.py trên các máy worker để kết nối với boss. Gõ lệnh:
python worker.py -n worker0 -b boss
+ Trong đó:
15
• Bước 4: Vào trang freenode.net để đăng nhập vào channel
• Bước 5: Chứng thực người điều kiển là boss trên trang freenode.net. Gõ lệnh:
!auth abc
• Bước 6: Xây dựng kịch bản tấn công DDoS. Ví dụ: Download file liên tục từ một
server có sẵn bằng lượng lớn worker
Yêu cầu: Xây dựng kịch bản tấn công DDoS từ mạng botnet và quay lại video quá trình
16
+ Quay lại quá trình thực hiện Lab của sinh viên kèm mô tả/giải thích quá
trình thực hành.
+ Upload lên Google Drive và chèn link vào đầu báo cáo theo mẫu (lưu ý share
quyền xem). Không upload lên YouTube và chia sẻ công khai. Các nội dung có yêu
cầu nhận xét, đánh giá nếu không thể hiện trực tiếp tại Video thì có thể trình
bày trong báo cáo thực hành
Đặt tên file báo cáo theo định dạng như mẫu:
[Mã lớp]-LabX_MSSV1-Tên SV1_MSSV2 –Tên SV2
Ví dụ: [NT101.I11.1]-Lab1_14520000-Viet_14520999-Nam.
Nếu báo cáo có nhiều file, nén tất cả file vào file .ZIP với cùng tên file báo cáo.
Nộp báo cáo trên theo thời gian đã thống nhất tại website môn học.
2. Đánh giá:
Sinh viên hiểu và tự thực hiện được bài thực hành, khuyến khích:
▪ Chuẩn bị môi trường thực hành trước và đóng góp tích cực tại lớp.
▪ Báo cáo trình bày chi tiết, giải thích các bước thực hiện và chứng minh được
do nhóm sinh viên thực hiện.
▪ Có nội dung mở rộng, ứng dụng trong kịch bản phức tạp hơn, có đóng góp
xây dựng bài thực hành.
Lưu ý: Bài sao chép, nộp trễ, “gánh team”, … sẽ được xử lý tùy mức độ.
D. THAM KHẢO
[1] Tài liệu tham khảo Lab 3 đính kèm
HẾT