HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

CƠ SỞ TẠI THÀNH PHỐ HỒ CHÍ MINH

KHOA VIỄN THÔNG II
_____________

BÁO CÁO
THỰC TẬP TỐT NGHIỆP
CHUYÊN NGÀNH: KỸ THUẬT ĐIỆN TỬ TRUYỀN THÔNG
HỆ: ĐẠI HỌC CHÍNH QUY
NIÊN KHÓA: 2017-2022

Đề tài:
TÌM HIỂU VÀ PHÂN TÍCH CƠ CHẾ CHỐNG DDOS
CỦA NHÀ MẠNG ACT

Sinh viên thực hiện : ĐỖ THÀNH ĐẠT

Mã số sinh viên : N17DCVT008
Lớp : D17CQVT01-N
Giáo viên hướng dẫn : ThS. LÊ DUY KHÁNH

THÁNG 7/2021
 HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
CƠ SỞ TẠI THÀNH PHỐ HỒ CHÍ MINH
KHOA VIỄN THÔNG II
_____________

BÁO CÁO
THỰC TẬP TỐT NGHIỆP
CHUYÊN NGÀNH: KỸ THUẬT ĐIỆN TỬ TRUYỀN THÔNG
HỆ: ĐẠI HỌC CHÍNH QUY
NIÊN KHÓA: 2017-2021

Đề tài:
TÌM HIỂU VÀ PHÂN TÍCH CƠ CHẾ CHỐNG DDOS
CỦA NHÀ MẠNG ACT

Sinh viên thực hiện : ĐỖ THÀNH ĐẠT

Mã số sinh viên : N17DCVT008
Lớp : D17CQVT01-N
Giáo viên hướng dẫn : ThS. LÊ DUY KHÁNH

THÁNG 7/2021
 LỜI CẢM ƠN
Đầu tiên, em xin chân thành cảm ơn các quý thầy cô Trường Học Viện Công Nghệ Bưu
Chính Viễn Thông cơ sở tại TP.Hồ Chí Minh, đặc biệt là các thầy cô giáo khoa viễn thông của
học viện đã đem lại cho em nguồn kiến thức vô cùng quý giá trong quá trình học tập.
Em cảm ơn thầy giáo Th.S Lê Duy Khánh đã tận tình hướng dẫn giúp đỡ em mỗi khi
gặp khó khăn trong suốt quá trình học tập, tạo điều kiện thuận lợi để em có thể thực tập và hoàn
thành bài báo cáo một cách hiệu quả nhất.
Em cũng xin gửi lời cảm ơn đến ban giám đốc Công Ty Cổ Phần Viễn Thông ACT, đã
tạo điều kiện cho em có thể thực tập giai đoạn dịch bệnh khó khăn. Đặc biệt là anh Nguyễn
Tuấn Hải cùng các anh nhân viên kỹ thuật tại phòng kỹ thuật đã hướng dẫn, dạy bảo tận tình,
giúp em biết thêm nhiều kiến thức trong thời gian thực tập tại công ty để em có thể hoàn thành
bài báo cáo.
Do thời gian thực tập nằm trong giai đoạn đại dịch COVID 19 bùng phát mạnh mẽ, thời
gian có hạn và kiến thức của em còn hạn chế nên không tránh khỏi những thiếu sót, em rất
mong nhận được những ý kiến đóng góp quý báu của quý thầy cô và quý công ty để kiến thức
của em được hoàn thiện hơn.
Em xin chân thành cảm ơn!

TPHCM, Ngày 22 Tháng 08 Năm 2021

Sinh Viên thực hiện
Đỗ Thành Đạt
 BM4-TTTN

HỌC VIỆN CỘNG HOÀ XÃ HỘI CHỦ NGHĨA VIỆT NAM

CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG Độc lập – Tự do – Hạnh phúc
CƠ SỞ TẠI TP. HỒ CHÍ MINH
Khoa Viễn Thông 2 TP. Hồ Chí Minh, ngày 23 tháng 07 năm 2021

PHIẾU GIAO ĐỀ CƯƠNG THỰC TẬP TỐT NGHIỆP

Căn cứ Quyết định số:346 /QĐ-GV ngày 23 tháng 07 năm 2021 của Phó Giám đốc Học
viện - Phụ trách Cơ sở tại TP. Hồ Chí Minh về việc giao nhiệm vụ thực tập tốt nghiệp cho sinh
viên hệ Đại học chính quy khoá 2017-2022 ngành Kỹ thuật Điện tử truyền thông và các khóa
trước trả nợ thực tập tốt nghiệp, Khoa Viễn Thông 2 giao nhiệm vụ thực hiện đề cương thực tập
tốt nghiệp cho sinh viên:
1. Họ và tên sinh viên: Đỗ Thành Đạt. Mã SV: N17DCVT008
Lớp: D17CQVT01-N Ngành: KT-Điện tử truyền thông Hình thức đào tạo: Chính quy
2. Nội dung thực tập chính: Tìm hiểu và phân tích cơ chế chống DDoS (Distributed Denial
of Service) của Công ty cổ phần viễn thông ACT
3. Nơi đăng ký thực tập:
Đơn vị chủ quản: Công ty Cổ phần Viễn thông ACT
Đơn vị cơ sở tiếp nhận thực tập: Phòng kỹ thuật Công ty Cổ phần Viễn thông ACT
Địa chỉ: 96 Đường 30, P.Bình Trị Đông B, Bình Tân, Tp.Hồ Chí Minh
Số ĐT: Số Fax:
4. Đề cương thực tập:
- Tìm hiểu cơ chế hoạt động của DDoS
- Thực hành trên lab kỹ thuật tấn công bằng DDoS
- Thực hành trên lab kỹ thuật phòng chống tấn công bằng DDoS
- Giải pháp phòng, chống tấn công bằng DDoS tại Công ty cổ phần Viễn Thông ACT

5. Giáo viên hướng dẫn: ThS. Lê Duy Khánh ký tên: ……

6. Yêu cầu kết quả thực hiện: Kết thúc kỳ thực tập tốt nghiệp, sinh viên phải lập báo cáo kết
quả thực tập, có ý kiến đánh giá của cơ sở thực tập, hình thức theo quy định của Học viện.
7. Thời gian thực hiện:
Từ ngày 26 tháng 7 năm 2021 đến ngày 22 tháng 8 năm 2021.
Ghi chú: Hình thức thực hiện ONLINE trong giai đoạn giãn cách, phòng dịch theo quy định
của nhà nước.

TRƯỞNG KHOA
Nơi nhận:
- Sinh viên có tên tại khoản 1
- Lưu VP khoa.
 MỤC LỤC

LỜI MỞ ĐẦU ................................................................................................................ 1

CHƯƠNG 1: TỔNG QUAN VỀ ĐƠN VỊ THỰC TẬP ............................................. 2

1.1. Khái quát về công ty cổ phần viễn thông ACT .................................................2

1.1.1 Tổng quan: .........................................................................................................2
1.1.2 Giá trị cốt lõi: .....................................................................................................2
1.1.3 Tầm nhìn và sứ mệnh: ........................................................................................2
1.1.4 Cơ cấu tổ chức ...................................................................................................3

1.2. Vị trí thực tập: ........................................................................................................3

CHƯƠNG 2: TÌM HIỂU CƠ CHẾ HOẠT ĐỘNG CỦA DDOS .............................. 4

2.1. Khái niệm DDoS: ....................................................................................................4

2.2. Phân loại các kiểu tấn công DDoS ........................................................................4

2.2.1 Tấn công gây cạn kiệt băng thông ....................................................................5
2.2.2. Tấn công gây cạn kiệt tài nguyên hệ thống.......................................................5

2.3. Mô hình mạng Botnet .............................................................................................5

2.3.1 Khái niệm mạng Botnet ......................................................................................5
2.4.1. Mô hình Handler-Agent .....................................................................................6
2.3.2. Mô hình IRC Base ..............................................................................................7

2.4. Một số kiểu tấn công DDoS...................................................................................8

2.5 Các Phương pháp xây dựng tài nguyên tấn công ...............................................10
2.5.1 Cách thức cài đặt DDoS Agent .........................................................................11
2.5.2 Giao tiếp trên mạng Botnet ...............................................................................12

2.6 Phòng chống DDoS ................................................................................................12

2.6.1 Tối thiểu hóa lượng Agent ................................................................................13
2.6.2 Kỹ thuật tìm và vô hiệu hóa các Handler ..........................................................13
2.6.3 Làm suy giảm hay dừng cuộc tấn công.............................................................14
2.6.4 Chuyển hướng cuộc tấn công ............................................................................14
2.6.5 Giai đoạn sau tấn công ......................................................................................14

CHƯƠNG 3: GIẢI PHÁP PHÒNG CHỐNG TẤN CÔNG DDOS TẠI CÔNG TY
CỔ PHẦN VIỄN THÔNG ACT ................................................................................ 16

i
3.1 Anti ddos volume based solution ..........................................................................16
3.1.1 Tìm hiểu sơ lược ...............................................................................................16
3.1.2 Mô hình triển khai ............................................................................................17
3.1.3 Các tính năng chính. ..........................................................................................18

3.2 Phương án triển khai chống tấn công DDoS mạng IPBN .............................19
3.2.1 Remote-triggered black hole (RTBH)...............................................................19
3.2.2 BGP Flowspec .................................................................................................20
3.2.3 Cleaning System ..............................................................................................21
3.2.4 Kỹ thuật thực hiện: ............................................................................................21

CHƯƠNG 4: THỰC HÀNH TRÊN HỆ THÔNG LAB GIẢ LẬP KỸ THUẬT TẤN
CÔNG VÀ PHÒNG CHỐNG TẤN CÔNG DDOS .................................................. 25

4.1 Sơ lược về thiết bị và mô phỏng ...........................................................................25

4.1.1 CentOS 7 ...........................................................................................................25
4.1.2 Kali linux ...........................................................................................................25

4.2 Sơ đồ lab .................................................................................................................26

4.3 Mục tiêu ..................................................................................................................26

4.4 Mô phỏng tấn công ................................................................................................26

4.4.1 Đặc điểm ...........................................................................................................26
4.4.2 Tấn công ............................................................................................................27
4.4.3 Kết quả ..............................................................................................................27

4.5 Mô phỏng chống tấn công bằng iptables u32 .....................................................27

4.5.1 Nhận biết ...........................................................................................................27
4.5.2 Phân tích ............................................................................................................29
4.5.3 Viết rule chống DDoS .......................................................................................31

KẾT LUẬN ................................................................................................................. 33

THUẬT NGỮ VÀ CÁC TỪ VIẾT TẮT ................................................................... 34

TÀI LIỆU THAM KHẢO........................................................................................... 35

ii
 MỤC LỤC ẢNH

Hình 2. 1 Mô hình tấn công DDoS ..................................................................................4

Hình 2. 2 Phân loại các kiểu tấn công DDoS ..................................................................5
Hình 2. 3 Sơ đồ Handler-Agent .......................................................................................6
Hình 2. 4 Sơ đồ IRC Base ...............................................................................................7
Hình 2. 5 Ba bước kết nối TCP/IP...................................................................................9
Hình 2. 6 trường hợp IP nguồn giả ..................................................................................9
Hình 2. 7 NTPAmplification khai thác lỗ hỏng tính năng Monlist máy chủ NTP........10
Hình 2. 8 Các phương pháp xây dựng tài nguyên hệ thống ..........................................11
Hình 2. 9 Các giai đoạn chi tiết trong phòng chống DdoS ............................................13

Hình 3. 1 Mô hình hệ thống Anti ddos volume based solution .....................................17

Hình 3. 2 Sử dụng RTBH để chặn lưu lượng tấn công .................................................20
Hình 3. 3 Sử dụng BGP flowspec để chặn lưu lượng tấn công DDoS ..........................20
Hình 3. 4 Mô hình Cleaning System chặn DDoS, kết hợp RTBH, BGP flowspec.......21
Hình 3. 5 Chống tấn công DDoS theo IP đích X ..........................................................23
Hình 3. 6 Chống tấn công DDoS theo IP nguồn Y .......................................................24

Hình 4. 1 Sơ đồ Lab .......................................................................................................26

Hình 4. 2 Truy cập root trên kali linux ..........................................................................27
Hình 4. 3 Tấn công SYN Flood .....................................................................................27
Hình 4. 4 Kiểm tra tần suất nhận traffic ........................................................................27
Hình 4. 5 Theo dõi tiến trình hệ thống trên htop ...........................................................28
Hình 4. 6 Lệnh kiểm tra gói tin nhận được ...................................................................28
Hình 4. 7 Cấu trúc các gói tin ........................................................................................29
Hình 4. 8 Lệnh bắt 1000 gói tin được gửi đến ..............................................................29
Hình 4. 9 Địa chỉ IP của 1000 gói tin ...........................................................................30
Hình 4. 10 Kiểm tra giao thức TCP của gói tin ............................................................30
Hình 4. 11 Kiểm tra cờ SYN của gói tin ......................................................................31
Hình 4. 12 Kiểm tra Payload của gói tin .......................................................................31
Hình 4. 13 Rule loại bỏ các gói tin bất thường.............................................................31
Hình 4. 14 Các gói tin bị loại bỏ ...................................................................................32
Hình 4. 15 Kiểm tra tiến trình hệ thống khi đã loại bỏ các gói tin bất thường .............32

iii
 MỤC LỤC BẢNG

Bảng 3. 1 Yêu cầu phần cứng cho hệ thống máy chủ ...................................................18

iv
LỜI MỞ ĐẦU

LỜI MỞ ĐẦU

Tấn công từ chối dịch vụ phân tán (DDoS) đã phát triển mạnh trong những năm
gần đây đặc biệt trong tình dịch bệnh xảy ra khắp nơi trên thế giới. Tấn công DDoS
(Distributed Denial Of Service) luôn là mối đe dọa đối với hệ thống mạng và máy chủ
dịch vụ của các cơ quan và tổ chức, gây cạn kiệt tài nguyên hệ thống hoặc làm ngập lưu
lượng băng thông internet, khiến truy cập từ người dùng tới máy chủ bị ngắt quãng, truy
cập chập chờn, thậm chí không thể truy cập được internet, làm tê liệt hệ thống.

Theo một thống kê của Help Net Security cho thấy trong năm 2020 có 10.089.687
cuộc tấn công DDoS được ghi nhận với tần suất tăng 22% so với năm 2019. Đặc biệt
các tác nhân đe dọa đã gia tăng cuộc tấn công DDoS do việc cách ly trong đại dịch, các
cuộc tấn công hàng tháng đã vượt quá 800.000 từ tháng 3/2020. Trung bình, có 839.083
tấn công mỗi tháng vào năm 2020. [1]

Đây chỉ là một vài số liệu trong bài thống kê, tuy ngắn gọn nhưng cũng cho thấy
được tuy tấn công DDoS là một kiểu tấn công không mới, nhưng vẫn gây rất nhiều thiệt
hại cho cộng đồng mạng nói chung và các doanh nghiệp nói riêng, luôn là nỗi lo lắng
của các nhà quản trị mạng. Một đều mà các chuyên gia ai cũng thừa nhận đó là nếu
DDoS được thực hiện bởi một hacker có trình độ thì việc chống đỡ là không thể.

Do vậy nghiên cứu DDoS không bao giờ là cũ, nhận thấy vừa là đề tài thực tập
tốt nghiệp, vừa có vai trò ứng dụng trong thực tế cho nên em đã lựa chọn đề tài “ tìm
hiểu và phân tích cơ chế chống DDoS của nhà mạng ACT” để có thể tìm hiểu rõ hơn về
DDoS trong quá trình thực tập tốt nghiệp tại Công ty Cổ phần Viễn thông ACT.

Nội dung của bài báo cáo bao gồm phần mở đầu và 4 chương nội dung cụ thể là:

Chương 1: Tổng quan về đơn vị thực tập.

Chương 2: Tìm hiểu cơ chế hoạt động của DDoS.

Chương 3: Giải pháp phòng chống tấn công DDoS tại Công ty cổ phần Viễn
Thông ACT.

Chương 4: Thực hành trên lab kỹ thuật tấn công và phòng chống tấn công DDoS.

ĐỖ THÀNH ĐẠT D17CQVT01-N Trang 1

CHƯƠNG 1: TỔNG QUAN VỀ ĐƠN VỊ THỰC TẬP
CHƯƠNG 1: TỔNG QUAN VỀ ĐƠN VỊ THỰC TẬP

1.1. Khái quát về công ty cổ phần viễn thông ACT

1.1.1 Tổng quan:
Công ty Cổ phần Viễn thông ACT thành lập ngày 21 tháng 11 năm 2011. Hoạt
động trên phạm vi toàn quốc, với các lĩnh vực kinh doanh thuộc ngành viễn thông như:
Thiết kế hạ tầng viễn thông, cho thuê hạ tầng viễn thông cáp quang, thi công công trình
viễn thông, dịch vụ quản lý vận hành hạ tầng viễn thông, cung cấp thiết bị truyền hình
số, cung cấp hàng hóa, thiết bị viễn thông, cung cấp sản phẩm và giải pháp CNTT… Từ
ngày thành lập đến nay, Công ty đã không ngừng nỗ lực để vươn tới sự phát triển lớn
mạnh, bền vững với mục tiêu trở thành một trong những đơn vị đứng đầu về hợp tác đầu
tư, quản lý vận hành kỹ thuật, cung cấp dịch vụ viễn thông cho khách hàng trong dự án
và cho các doanh nghiệp tại Việt Nam. Hiện nay, Công ty cổ phần Viễn thông ACT
đang là đối tác hợp tác đầu tư, cung cấp dịch vụ của các đơn vị như: Tập đoàn Công
nghiệp Viễn thông Quân đội Viettel, Tổng Công ty Viễn thông Mobifone, VNPT Thành
phố Hồ Chí Minh, Công ty Cổ phần Viễn thông FPT, Công ty Cổ phần Đầu Tư Nam
Long, Xuân Mai Corp, Công ty Cổ phần Đầu Tư Bất Động Sản Hưng Lộc Phát, ... Với
phương châm đặt chất lượng dịch vụ lên hàng đầu, cùng với sự tận tâm và trách nhiệm,
chúng tôi hoàn toàn tin tưởng sẽ đáp ứng được sự kỳ vọng của Quý Khách hàng một
cách tốt nhất. [2]
1.1.2 Giá trị cốt lõi:
Chữ A viết tắt của "AMOUNT", nghĩa là "Chân giá trị". Công ty lấy chân giá
trị làm đích đến của hành trình. Chân giá trị không thuần túy chỉ là giá trị về doanh thu,
lợi nhuận mà còn là giá trị đích thực của cuộc sống đối với mỗi cá nhân cũng như tổ
chức cần hướng đến.
Chữ C viết tắt của "COOPERATION" nghĩa là "Sự hợp tác". Công ty lấy "Sự
hợp tác" làm phương tiện, làm cầu nối để đạt được kết quả tốt nhất. Sự hợp tác bao hàm
nghĩa rộng là hợp tác giữa các doanh nghiệp với nhau để phát huy lợi thế mỗi đơn vị,
tạo nên chuỗi giá trị và hệ sinh thái những sản phẩm dịch vụ tốt nhất cho khách hàng và
xã hội.
Chữ T viết tắt của "TRUTH" nghĩa là "Sự trung thực". Công ty lấy "Sự trung
thực" làm gốc. Sự trung thực, chân thành ngự trị xuyên suốt trong suy nghĩ, trong lời
nói và hành động của mỗi cá nhân. Trung thực là nền tảng thúc đẩy để sự hợp tác được
hiệu quả hơn và giá trị đem lại được bền vững.
1.1.3 Tầm nhìn và sứ mệnh:
Công ty Cổ phần Viễn thông ACT phát triển bền vững trên nền tảng kết hợp hài
hòa các giá trị về lợi ích giữa doanh nghiệp, khách hàng và xã hội. Công ty hướng đến
mục tiêu là doanh nghiệp cung cấp dịch vụ kỹ thuật, vận hành khai thác hạ tầng mạng
lưới và quản lý khách hàng viễn thông; đầu tư và hợp tác cung cấp dịch vụ viễn thông,

ĐỖ THÀNH ĐẠT D17CQVT01-N Trang 2

CHƯƠNG 1: TỔNG QUAN VỀ ĐƠN VỊ THỰC TẬP
giải pháp CNTT hàng đầu Việt Nam; hợp tác với tất cả các nhà cung cấp lớn để đưa
dịch vụ tổng thể, cao cấp và tiện ích nhất tới khách hàng trên toàn quốc.
Trở thành doanh nghiệp Outsoursing cung cấp cho nhà mạng viễn thông dịch vụ
kỹ thuật tốt nhất Việt Nam, gồm: vận hành khai thác hạ tầng mạng lưới như trạm BTS,
mạng cáp quang truyền dẫn; bảo quản, bảo dưỡng điều hòa, máy phát điện; triển khai -
quản lý kỹ thuật và duy trì dịch vụ internet, truyền hình, camera giám sát và dịch vụ giải
pháp CNTT.
Chúng tôi không ngừng cải tiến quy trình công việc; đào tạo, bồi dưỡng để nâng
cao kiến thức và kỹ năng chuyên nghiệp chuyên môn cho đội ngũ nhân viên. Từ đó giúp
tối ưu giá thành, nâng cao chất lượng hạ tầng mạng lưới cho nhà mạng và cung cấp tốt
nhất cho khách hàng cuối cùng, đó là người sử dụng dịch vụ.
Trở thành doanh nghiệp hàng đầu trong lĩnh vực hợp tác đầu tư hạ tầng dự án
viễn thông – công nghệ thông tin trong các khu dân cư, toà nhà cao tầng (chung cư,
trung tâm thương mại, văn phòng), khu công nghiệp… với chất lượng tốt nhất để cung
cấp không độc quyền cho khách hàng dịch vụ internet, truyền hình, camera giám sát,
dịch vụ giải pháp CNTT theo nhu cầu.
1.1.4 Cơ cấu tổ chức
Công ty hiện tại có 2 văn phòng chính tại:
- Số 1 Lê Văn Huân là trệt để xe, tầng 1 Quản Lý Tài Sản, tầng 2 Kinh Doanh
Dự Án.
- Số 8 Lê Văn Huân trệt là bảo vệ, phòng họp,
- Ngoài ra còn có các trung tâm khu vực phủ rộng khắp Thành phố Hồ Chí
Minh.
1.2. Vị trí thực tập:
Trong quá trình thực tập tại công ty, em được sắp xếp vào phòng Kỹ Thuật làm
việc, tập trung vào tìm hiểu và phân tích cơ chế tấn công và phòng chống DDoS cụ thể
là tấn công DDoS bằng kỹ thuật SYN Flood và sử dụng IPtables u32 để phòng chống.

ĐỖ THÀNH ĐẠT D17CQVT01-N Trang 3

CHƯƠNG 2: TÌM HIỂU CƠ CHẾ HOẠT ĐỘNG CỦA DDOS
CHƯƠNG 2: TÌM HIỂU CƠ CHẾ HOẠT ĐỘNG CỦA DDOS

2.1. Khái niệm DDoS:

DDoS (Distributed Denial of Service) nghĩa là từ chối dịch vụ phân tán. Tấn công
DDoS là hành động làm sập một dịch vụ trực tuyến, ngăn cản người dùng hợp pháp truy
cập và sử dụng dịch vụ bằng cách đưa hệ thống cung cấp dịch vụ đến mức hoạt động tới
hạn về tài nguyên, hay nhầm lẫn logic dẫn đến hệ thống ngừng hoạt động.
Khác với DoS (Denial-of-Service attack) là chỉ dùng một máy để tấn công, DDoS
sử dụng một hệ thống nhiều máy tính với các địa chỉ IP khác nhau để tấn công nên thiệt
hại gây ra là rất lớn. Hầu hết các cuộc tấn công DDoS nhằm vào việc chiếm dụng băng
thông gây nghẽn mạng dẫn đến hệ thống ngưng hoạt động. Ngoài ra, không chỉ chiếm
dụng băng thông, tấn công DDoS còn khai thác cá lỗ hỏng trong các ứng dụng để tấn
công làm cạn kiệt tài nguyên của hệ thống.

Hình 2. 1 Mô hình tấn công DDoS

2.2. Phân loại các kiểu tấn công DDoS

Nhìn chung, các loại tấn công DDoS rất đa dạng và có nhiều nhiều biến thể cho
nên có rất nhiều cách để phân loại. Tuy nhiên, phương pháp phân loại theo mục đích tấn
công là cơ bản nhất, khá đầy đủ và dễ hiểu. Có 2 dạng tấn công dựa vào mục đích chính:
- Tấn công DDoS gây cạn kiệt băng thông.

ĐỖ THÀNH ĐẠT D17CQVT01-N Trang 4

CHƯƠNG 2: TÌM HIỂU CƠ CHẾ HOẠT ĐỘNG CỦA DDOS
- Tấn công DDoS gây cạn kiệt tài nguyên hệ thống.

Hình 2. 2 Phân loại các kiểu tấn công DDoS

2.2.1 Tấn công gây cạn kiệt băng thông

Tấn công gây cạn kiệt băng thông (BandWidth Depletion Attack) được tiến hành
nhằm gây tràn ngập mạng mục tiêu với những traffic không cần thiết, mục đích là làm
giảm tối thiểu khả năng các traffic hợp lệ đi đến được hệ thống cung cấp dịch vụ của
mục tiêu.
Có hai loại tấn công làm cạn kiệt băng thông:
- Flood attack: Điều khiển các Agent gửi một lượng lớn traffic đến hệ thống
dịch vụ của mục tiêu, làm dịch vụ này bị đẩy tới ngưỡng giới hạn về băng
thông.
- Amplification attack: Điều khiển Agent hay các Client tự gửi packet đến
một địa chỉ IP broadcast, làm cho tất cả các máy trong subnet này gửi packet
đến hệ thống dịch vụ của mục tiêu. Phương thức này làm gia tăng các traffic
không cần thiết, gây suy giảm băng thông của mục tiêu.

2.2.2. Tấn công gây cạn kiệt tài nguyên hệ thống

Tấn công gây cạn kiệt tài nguyên (Resource Deleption Attack) là kiểu tấn công
mà trong đó Attacker gửi các packet dùng những protocol sai chức năng thiết kế, hay
gửi những packet với mục đích làm tắt nghẽn tài nguyên mạng làm cho các tài nguyên
này không phục vụ những người dùng hợp lệ thông thường khác được.

2.3. Mô hình mạng Botnet

2.3.1 Khái niệm mạng Botnet
Botnet thuật ngữ đầy đủ là “Bots network” dùng để chỉ một mạng lưới các máy
tính bị chi phối bởi ai đó và bị điều khiển bởi một máy tính khác từ xa. Các máy tính

ĐỖ THÀNH ĐẠT D17CQVT01-N Trang 5

CHƯƠNG 2: TÌM HIỂU CƠ CHẾ HOẠT ĐỘNG CỦA DDOS
này vẫn hoạt động bình thường, nhưng chúng không hề biết rằng đã bị các hacker kiểm
soát và điểu khiển nhằm phục vụ cho các mục đích cá nhân. Do đặc thù của Botnet là
một mạng lưới các Bot, nên hacker dùng Botnet để tấn công DDoS, sau đó điều khiển
tất cả các máy tính từ xa, có thể cùng lúc hàng trăm, hàng nghìn chiếc máy tính cùng
truy cập vào một website chỉ định, tạo ra lưu lượng quá tải trong website đó và gây tình
trạng nghẽn mạng treo máy.
Khi sử dụng Bonet để tấn công DDoS thì có 2 mô hình chính là mô hình Agent-
Handler và mô hình IRC-Based.

Hình 2. 3 Sơ đồ Handler-Agent

2.4.1. Mô hình Handler-Agent

Mạng Handler-Agent thông thường bao gồm 3 thành phần: Agent, Client và
Handler. Trong đó :
- Client: Là phần mềm cơ sở để hacker điều khiển mọi hoạt động của mạng
Handler-Agent.
- Handler: Là một phần mềm trung gian giữa Agent và Client.
- Agent: Là một phần mềm thực hiện tấn công mục tiêu, nhận điều khiển từ
Client thông quan các Handler.
Attacker sẽ từ Client giao tiếp với Handler để xác định số lượng các Agent đang
online, điều chỉnh thời điểm tấn công và cập nhật các Agent. Tuỳ theo cách attacker cấu
hình mạng Botnet, các Agent sẽ chịu sự quản lý của một hay nhiều Handler.

ĐỖ THÀNH ĐẠT D17CQVT01-N Trang 6

CHƯƠNG 2: TÌM HIỂU CƠ CHẾ HOẠT ĐỘNG CỦA DDOS
Thông thường Attacker sẽ đặt các Handler trên một Router hay Server có lượng
lưu thông lớn. Việc này nhằm làm cho các giao tiếp giữa Client, Handler và Agent khó
bị phát hiện. Các giao thức này thường diễn ra trên các giao thức TCP, UDP hay ICMP.
Chủ nhân thực sự của các Agent thường không biết họ bị lợi dụng trong các cuộc tấn
công DDoS, do họ không đủ kiến thức hoặc các chương trình Backdoor Agent chỉ sử
dụng rất ít tài nguyên hệ thống làm cho hầu như không thể thấy ảnh hưởng gì đến hiệu
năng của hệ thống.

2.3.2. Mô hình IRC Base

Hình 2. 4 Sơ đồ IRC Base

Internet Relay Chat(IRC) là một hệ thống online chat nhiều người. IRC cho phép
người sử dụng tạo một kết nối đến nhiều điểm khác với nhiều người sử dụng khác nhau
và chat thời gian thực. Kiến trúc cũ của IRC network bao gồm nhiều IRC server trên
khắp Internet, giao tiếp với nhau trên nhiều kênh (channnel). IRC network cho phép user
tạo ba loại channel: Public, Private và Secrect. Trong đó :

- Public channel: Cho phép user của channel đó thấy IRC name và nhận được
message của mọi user khác trên cùng channel.
- Private channel: Được thiết kế để giao tiếp với các đối tượng cho phép.
Không cho phép các user không cùng channel thấy IRC name và message

ĐỖ THÀNH ĐẠT D17CQVT01-N Trang 7

CHƯƠNG 2: TÌM HIỂU CƠ CHẾ HOẠT ĐỘNG CỦA DDOS
trên channel. Tuy nhiên , nếu user ngoài channel dùng một số lệnh channel
locator thì có thể biết được sự tồn tại của private channel đó.
- Secrect channel: Tương tự private channel nhưng không thể xác định bằng
channel locator.

Mạng IRC-based cũng tương tự như mạng Agent-Handler nhưng mô hình này
sử dụng các kênh giao tiếp IRC làm phương tiện giao tiếp giữa Client và Agent (không
sử dụng Handler). Sử dụng mô hình này, attacker còn có thêm một số lợi thế khác như:

- Các giao tiếp dưới dạng chat message làm cho việc phát hiện chúng là vô
cùng khó khăn.
- Lưu thông IRC có thể di chuyển trên mạng với số lượng lớn mà không bị
nghi ngờ.
- Không cần phải duy trì danh sách các Agent, hacker chỉ cần đăng nhập vào
IRC server là đã có thể nhận được report về trạng thái các Agent do các
channel gửi về.
- Sau cùng: IRC cũng là một môi trường chia sẻ file tạo điều kiện phát tán các
Agent code lên nhiều máy khác.

2.4. Một số kiểu tấn công DDoS

UDP Flood Attack: Do tính chất connectionless của UDP, hệ thống nhận UDP
message chỉ đơn giản nhận vào tất cả các packet mình cần phải xử lý. Một lượng lớn
các UDP packet được gửi đến hệ thống dịch vụ của mục tiêu sẽ đẩy toàn bộ hệ thống
đến ngưỡng tới hạn. Các UDP packet này được gửi tới một số port ngẫu nhiên trên
server. Nếu port bị tấn công không sẵn sàng thì hệ thống mục tiêu sẽ gửi ra một ICMP
packet loại destination port unreachable (gói tin không tìm thấy). Khi số lượng yêu cầu
UDP vượt quá ngưỡng cho phép, hệ thống mục tiêu sẽ mất khả năng xử lý request, dẫn
đến tình trạng từ chối dịch vụ.

Multi-Vector Attack: Multi-Vector Attacks là hình thức phức tạp nhất trong các
cuộc tấn công từ chối dịch vụ phân tán (DDoS). Thay vì sử dụng một phương pháp đơn
lẻ, nó là một sự kết hợp của nhiều công cụ và chiến lược khác nhau để tấn công mục tiêu
và làm ngừng kết nối. Thông thường, các Multi-Vector Attacks tấn công các ứng dụng
cụ thể trên server mục tiêu cũng như làm tràn mục tiêu với một lượng lớn lưu lượng độc
hại. Kiểu tấn công này rất khó để ngăn chặn và hạn chế vì nó là tổng hợp của các hình
thức khác nhau và nhắm mục tiêu với nguồn lực khác nhau cùng một lúc.

ĐỖ THÀNH ĐẠT D17CQVT01-N Trang 8

CHƯƠNG 2: TÌM HIỂU CƠ CHẾ HOẠT ĐỘNG CỦA DDOS
SYN Flood Attack: SYN Flood là hình thức tấn công được thực hiện để khai
thác điểm yếu trong giao thức kết nối mạng TCP (quá trình bắt tay 3 bước). Bước đầu
tiên, bên gửi gửi một SYN REQUEST packet (Synchronize). Bên nhận nếu nhận được
SYN REQUEST sẽ trả lời bằng SYN/ACK packet. Bước cuối cùng, bên gửi sẽ truyên
packet cuối cùng ACK và bắt đầu truyền dữ liệu.

Hình 2. 5 Ba bước kết nối TCP/IP

Nếu bên server đã trả lời một yêu cầu SYN bằng một SYN/ACK nhưng không
nhận được ACK packet cuối cùng sau một khoảng thời gian quy định thì nó sẽ gửi lại
SYN/ACK cho đến hết thời gian timeout. Toàn bộ tài nguyên hệ thống “dự trữ” để xử

lý phiên giao tiếp nếu nhận được ACK packet cuối cùng sẽ bị “phong tỏa” cho đến hết
thời gian timeout. [3]
Hình 2. 6 trường hợp IP nguồn giả

Khi tấn công, attacker gửi một SYN packet đến nạn nhân với địa chỉ bên gửi là
giả mạo, kết quả là nạn nhân gửi SYN/ACK đến một địa chỉ khác và sẽ không bao giờ
nhận được ACK packet cuối cùng, cho đến hết thời gian timeout nạn nhân mới nhận ra
được điều này và giải phóng các tài nguyên hệ thống. Tuy nhiên, nếu lượng SYN packet
giả mạo đến với số lượng nhiều và dồn dập, hệ thống của nạn nhân có thể bị hết tài
nguyên. [3]
Ping Of Death: Là một kiểu tấn công vào hệ thống máy tính liên quan đến việc
gửi một ping không đúng định dạng hoặc độc hại đến một máy tính. Một gói ping được
định dạng đúng thường có kích thước 56 byte hoặc 64 byte. Tuy nhiên, khi tấn công,
attacker sẽ gửi các gói tin ICMP có kích thước trên 65.536 byte đến mục tiêu. Bởi kích
thước tệp vượt quá mức cho phép của gói tin IP nên chúng sẽ được chia thành từng phần
ĐỖ THÀNH ĐẠT D17CQVT01-N Trang 9
CHƯƠNG 2: TÌM HIỂU CƠ CHẾ HOẠT ĐỘNG CỦA DDOS
nhỏ và gửi đến hệ thống máy đích. Khi đến nơi, các phần này sẽ được phép lại thành
một gói tin hoàn chỉnh vượt quá khả năng xử lý của hệ thống, gây tràn bộ nhớ đệm và
khiến máy chủ bị treo.

Slow Loris: Attacker sẽ gửi đến server một lượng lớn yêu cầu HTTP không hoàn
chỉnh. Đồng thời cố gắng duy trì tối đa số kết nối trong thời gian dài. Khi số lượng kết
nối của máy chủ web đạt cực đại ( bị đầy kết nối), máy chủ sẽ bắt đầu từ chối những các
yêu cầu kết nối tiếp theo, bao gồm cả request hợp lệ của người dùng thông thường.

HTTP Flood Attack: Gây quá tải bằng cách gửi hàng loạt yêu cầu GET hoặc
POST hợp pháp đến máy chủ. Phương pháp này tuy tiêu tốn ít băng thông hơn các kiểu
tấn công từ chối dịch vụ khác nhưng vẫn có thể buộc máy chủ sử dụng nguồn tài nguyên
tối đa để xử lý tác vụ.

NTP Amplification: Là kiểu tấn công khai thác lỗ hổng tính năng Monlist của
máy chủ NTP. Monlist là danh sách các máy tính kết nối với máy chủ NTP. Cụ thể, tin
tặc sẽ gửi request yêu cầu Monlist đến NTP server bằng IP giả. Source IP bị giả mạo
chính là địa chỉ IP của máy tính mục tiêu. Vì vậy, các NTP server sẽ liên tục gửi phản
hồi Monlist về cho nạn nhân. Điều này khiến hệ thống webserver mục tiêu bị quá tải.

Hình 2. 7 NTPAmplification khai thác lỗ hỏng tính năng Monlist máy chủ NTP

2.5 Các Phương pháp xây dựng tài nguyên tấn công
Các công cụ tấn công DDoS thường có rất nhiều điểm chung. Có thể kể ra một
số điểm chung như: cách cài chương trình Agent, phương pháp giao tiếp giữa các
attacker, Handler và Agent, điểm chung về loại hệ điều hành hỗ trợ các công cụ này. Sơ
đồ sau so sánh sự tương quan giữa các công cụ tấn công DDoS này.

ĐỖ THÀNH ĐẠT D17CQVT01-N Trang 10

CHƯƠNG 2: TÌM HIỂU CƠ CHẾ HOẠT ĐỘNG CỦA DDOS

Hình 2. 8 Các phương pháp xây dựng tài nguyên hệ thống

2.5.1 Cách thức cài đặt DDoS Agent

Attacker có thể dùng phương pháp active và passive để cài đặt chương trình
Agent lên các máy khác nhằm thiết lập mạng tấn công kiểu Agent-Handler hay IRC-
based.

Các cách cài đặt sử dụng phương pháp active như:

Scaning: Dùng các công cụ như Nmap, Nessus để tìm những sơ hở trên các hệ
thống đang online nhằm cài đặt chương trình Agent. Nmap sẽ trả về cụ thể những thông
tin về một hệ thống đã được chỉ định bằng địa chỉ IP, Nessus tìm kiếm về một điểm yếu
biết trước nào đó từ những địa chỉ IP bất kỳ.
Backdoor: Sau khi tìm thấy được danh sách các hệ thống có thể lợi dụng, attacker
sẽ tiến hành xâm nhập và cài chương trình Agent lên các hệ thống này. Có rất nhiều
thông tin sẵn có về cách thức xâm nhập trên mạng, như site của tổ chức Common
Vulnerabilities and Exposures (CVE), ở đây liệt kê và phân loại hơn 4.000 loại lỗi của
tất cả các hệ thống hiện có. Thông tin này luôn sẵn sàng cho cả các quản trị mạng lẫn
các hacker.
Trojan: Là một chương trình thực hiện một chức năng thông thường nào đó,
nhưng lại có một số chức năng tiềm ẩn phục vụ cho mục đích riêng của người viết mà
người dùng không thể biết được. Có thể dùng Trojan như một chương trình Agent.
Buffer Overflow: Tận dụng lỗi buffer overflow, attacker có thể làm cho chu trình
thực thi chương trình thông thường bị chuyển sang chu trình thực thi chương trình của
hacker (nằm trong vùng dữ liệu ghi đè). Có thể dùng cách này để tấn công vào một
chương trình có điểm yếu buffer overflow để chạy chương trình Agent.
Cách cài đặt passive:

ĐỖ THÀNH ĐẠT D17CQVT01-N Trang 11

CHƯƠNG 2: TÌM HIỂU CƠ CHẾ HOẠT ĐỘNG CỦA DDOS
Bug trình duyệt web: Attacker có thể lợi dụng một số lỗi của trình duyệt web
để cài chương trình Agent vào máy của user truy cập. Attacker sẽ tạo một trang web
mang nội dung tiềm ẩn những code và lệnh để đặt bẫy user. Khi các user truy cập nội
dung của trang web đó, thì trang web download và cài đặt chương trình Agent một cách
bí mật. Microsoft Internet Explorer (IE) thường là mục tiêu của phương pháp này, với
các lỗi của ActiveX nó có thể cho phép trình duyệt Microsoft Internet Explorer tự động
download và cài đặt code ngay trên máy của người dùng duyệt web.

Corrupted file: Là một phương pháp nhúng code vào trong các file thông
thường. Khi user đọc hay thực thi các file này, máy của họ lập tức bị nhiễm chương trình
Agent software. Một trong những kỹ thuật phổ biến là đặt tên file rất dài, do mặc định
của các hệ điều hành chỉ hiển thị phần đầu của tên file nên attacker có thể gửi kèm theo
email cho các nạn nhân file ví dụ như sau: ptit.txt_hppppppp_NO_this_is_DDoS.exe,
do chỉ thấy phần “ptit.txt” hiển thị nên user sẽ mở file này để đọc và lập tức file này
được thực thi và Agent code được cài vào máy nạn nhân. Ngoài ra còn nhiều cách khác
như ngụy trang file, ghép file…
2.5.2 Giao tiếp trên mạng Botnet
Protocol: Giao tiếp trên mạng Botnetcó thể thực hiện trên nền các protocol TCP,
UDP, ICMP.
Mã hóa các giao tiếp: Một vài công cụ DDoS hỗ trợ mã hóa giao tiếp trên toàn
bộ mạng Botnet. Tùy theo các protocol được sử dụng để giao tiếp sẽ có các phương pháp
mã hóa thích hợp. Nếu mạng Botnet ở dạng IRC based thì private và secrect channel đã
hỗ trợ mã hóa giao tiếp.
Cách kích hoạt Agent: Có hai phương pháp chủ yếu khi kích hoạt Agent. Cách
đầu tiên là Agent sẽ thường xuyên quét thăm dò Handler hay IRC channel để nhận chỉ
thị kích hoạt Agent (active Agent). Cách thứ hai là Agent đơn giản chỉ là chờ đợi chỉ thị
từ Handler hay IRC Channel.
2.6 Phòng chống DDoS
Có rất nhiều giải pháp và ý tưởng được đưa ra nhằm đối phó với các cuộc tấn
công kiểu DDoS. Tuy nhiên không có giải pháp và ý tưởng nào là giải quyết trọn vẹn
bài toán Phòng chống DDoS. Các hình thức khác nhau của DDoS liên tục xuất hiện theo
cùng thời gian với các giải pháp đối phó, tuy nhiên vẫn phải tuân theo quy luật tất yếu
của ngành an ninh mạng máy tính: “Hacker luôn đi trước giới bảo mật một bước”.
Có ba giai đoạn chính trong quá trình Phòng chống DDoS:
- Giai đoạn ngăn ngừa: Tối thiểu hóa lượng Agent, tìm và vô hiệu hóa các
Handler.
- Giai đoạn đối đầu với cuộc tấn công: Phát hiện và ngăn chặn cuộc tấn công,
làm suy giảm và dừng cuộc tấn công, chuyển hướng cuộc tấn công.
- Giai đoạn sau khi cuộc tấn công xảy ra: Thu thập chứng cứ và rút kinh
nghiệm.

ĐỖ THÀNH ĐẠT D17CQVT01-N Trang 12

CHƯƠNG 2: TÌM HIỂU CƠ CHẾ HOẠT ĐỘNG CỦA DDOS

Hình 2. 9 Các giai đoạn chi tiết trong phòng chống DdoS

2.6.1 Tối thiểu hóa lượng Agent

Từ phía người dùng: Một phương pháp rất tốt để ngăn ngừa tấn công DDoS là
từng người dùng Internet sẽ tự đề phòng không để bị lợi dụng tấn công hệ thống khác.
Muốn làm được điều này thì ý thức và kỹ thuật phòng chống phải được phổ biến rộng
rãi cho tất cả người dùng. Mạng lưới Botnet sẽ không bao giờ được hình thành nếu
không có người nào bị lợi dụng và trở thành Agent. Những người dùng phải liên tục
thực hiện các quá trình bảo mật trên máy tính của mình. Họ phải tự kiểm tra sự hiện diện
của Agent trên máy của mình, điều này là rất khó khăn đối với những người dùng thông
thường. Một biện pháp đơn giản khác là nên cài đặt và cập nhật liên tục các software
như antivirus, antitrojan và các bản patch từ hệ điều hành.
Từ phía Network Service Provider: Thay đổi cách thu phí dịch vụ truy cập theo
dung lượng sẽ làm cho user lưu ý đến những gì họ gửi, như vậy về mặt ý thức tăng
cường phát hiện DDoS Agent sẽ tự nâng cao ở mỗi người dùng.
2.6.2 Kỹ thuật tìm và vô hiệu hóa các Handler
Một nhân tố vô cùng quan trọng trong mạng Botnet là Handler, nếu có thể phát
hiện và vô hiệu hóa Handler thì khả năng Phòng chống DDoS thành công là rất cao.
Bằng cách theo dõi các giao tiếp giữa Handler và Client hay Handler và Agent ta có thể
phát hiện ra vị trí của Handler. Do một Handler quản lý nhiều, nên triệt tiêu được một
Handler cũng có nghĩa là loại bỏ một lượng đáng kể các Agent trong mạng Botnet.

Có nhiều kỹ thuật được áp dụng:

Agress Filtering: Kỹ thuật này kiểm tra xem một packet có đủ tiêu chuẩn ra khỏi
một subnet hay không dựa trên cơ sở gateway của một subnet luôn biết được địa chỉ IP
của các máy thuộc subnet. Các packet từ bên trong subnet khi gửi ra ngoài với địa chỉ
nguồn không hợp lệ sẽ bị giữ lại để kiểm tra nguyên nhân. Nếu kỹ thuật này được áp
ĐỖ THÀNH ĐẠT D17CQVT01-N Trang 13
CHƯƠNG 2: TÌM HIỂU CƠ CHẾ HOẠT ĐỘNG CỦA DDOS
dụng trên tất cả các subnet của Internet thì khái nhiệm giả mạo địa chỉ IP sẽ không còn
tồn tại.
MIB statistics: Trong Management Information Base (SNMP-Simple Network
Management Protocol ) của route luôn có thông tin thống kê về sự biến thiên trạng thái
của mạng. Nếu ta giám sát chặt chẽ các thống kê của Protocol ICMP, UDP và TCP ta
sẽ có khả năng phát hiện được thời điểm bắt đầu của cuộc tấn công để tạo “quỹ thời gian
vàng” cho việc xử lý tình huống.
2.6.3 Làm suy giảm hay dừng cuộc tấn công
Load balancing: Thiết lập kiến trúc cân bằng tải cho các server trọng điểm sẽ
làm gia tăng thời gian chống chọi của hệ thống với cuộc tấn công DDoS. Tuy nhiên,
điều này không có ý nghĩa lắm về mặt thực tiễn vì quy mô của cuộc tấn công là không
có giới hạn.

Throttling: Thiết lập cơ chế điều tiết trên router, quy định một khoảng tải hợp lý
mà server bên trong có thể xử lý được. Phương pháp này cũng có thể được dùng để ngăn
chặn khả năng DDoS traffic không cho user truy cập dịch vụ. Hạn chế của kỹ thuật này
là không phân biệt được giữa các loại traffic, đôi khi làm dịch vụ bị gián đoạn với user,
DDoS traffic vẫn có thể xâm nhập vào mạng dịch vụ nhưng với số lượng hữu hạn.

Drop request: Thiết lập cơ chế drop request nếu nó vi phạm một số quy định
như: thời gian delay kéo dài, tốn nhiều tài nguyên để xử lý, gây deadlock. Kỹ thuật này
triệt tiêu khả năng làm cạn kiệt năng lực hệ thống, tuy nhiên nó cũng giới hạn một số
hoạt động thông thường của hệ thống, cần cân nhắc khi sử dụng.

2.6.4 Chuyển hướng cuộc tấn công

Honeyspots: Một kỹ thuật đang được nghiên cứu là Honeyspots. Honeyspots là
một hệ thống được thiết kế nhằm đánh lừa attacker tấn công vào khi xâm nhập hệ thống
mà không chú ý đến hệ thống quan trọng thực sự. Honeyspots còn đem lại rất nhiều tác
dụng trong việc phát hiện và xử lý xâm nhập, vì trên Honeyspots đã thiết lập sẵn các cơ
chế giám sát và báo động.
Ngoài ra, Honeyspots còn có giá trị trong việc học hỏi và rút kinh nghiệm từ
Attacker, do Honeyspots ghi nhận khá chi tiết mọi động thái của attacker trên hệ thống.
Nếu attacker bị đánh lừa và cài đặt Agent hay Handler lên Honeyspots thì khả năng bị
triệt tiêu toàn bộ mạng Botnet là rất cao.
2.6.5 Giai đoạn sau tấn công
Trong giai đoạn này thông thường thực hiện các công việc sau:
Traffic Pattern Analysis: Nếu dữ liệu về thống kê lượng traffic thay đổi biến
thiên theo thời gian đã được lưu lại thì sẽ được đưa ra phân tích. Quá trình phân tích này
giúp ít rất nhiều cho việc tinh chỉnh lại các hệ thống Load Balancing và Throttling.
Ngoài ra các dữ liệu này còn giúp quản trị mạng điều chỉnh lại các quy tắc kiểm soát
traffic ra vào mạng của mình.

ĐỖ THÀNH ĐẠT D17CQVT01-N Trang 14

CHƯƠNG 2: TÌM HIỂU CƠ CHẾ HOẠT ĐỘNG CỦA DDOS
Packet Traceback: Bằng cách dùng kỹ thuật Traceback ta có thể truy ngược lại
vị trí của Attacker (ít nhất là subnet của attacker). Từ kỹ thuật Traceback ta phát triển
thêm khả năng Block Traceback từ attacker khá hữu hiệu.

Bevent Logs: Bằng cách phân tích file log sau cuộc một tấn công, các quản trị
mạng có thể tìm ra nhiều manh mối và chứng cứ có liên quan.

ĐỖ THÀNH ĐẠT D17CQVT01-N Trang 15

CHƯƠNG 3: GIẢI PHÁP PHÒNG CHỐNG TẤN CÔNG DDOS TẠI CÔNG TY CỔ
PHẦN VIỄN THÔNG ACT

CHƯƠNG 3: GIẢI PHÁP PHÒNG CHỐNG TẤN CÔNG DDOS TẠI CÔNG TY
CỔ PHẦN VIỄN THÔNG ACT
3.1 Anti DDoS volume based solution
3.1.1 Tìm hiểu sơ lược
Anti DDOS Volume Based là giải pháp chống tấn công băng thông lớn, làm
nghẽn traffic uplink của khách hàng, ảnh hưởng dịch vụ của khách hàng hoặc ảnh hưởng
mạng lưới làm mất dịch vụ diện rộng. [4]

Các cuộc tấn công DDOS ngày nay ngày một đa dạng về quy mô và mục đích,
không chỉ đơn thuần là những hành vi phá hoại hệ thống vì mục đích cá nhân mà còn là
những cuộc tấn công có tổ chức, có động cơ kinh tế và chính trị. Các kiểu tấn công cũng
như quy mô tấn công ngày càng đa dạng và phức tạp.
Hacker có thể sử dụng những lỗi của các thiết bị đầu cuối, sử dụng nhiều kiểu tấn
công mà huy động các luồng tấn công lớn cỡ vài Gbps đến vài chục thậm chí vài trăm
Gbps:

- Các kiểu tấn công có thể là các kiểu tấn công UDP flood, ICMP flood,SYN
Flood, DNS Amplification, NTP Amplificaion, SSDP…
- Các đợt tấn công có thể nhắm vào đối tượng là 1 khách hàng FTTH, một
khách hàng Leaseline, một doanh nghiệp hoặc thậm chí có thể cả 1 nhà
mạng…

Hệ thống Anti DDOS Volume Based là một giải pháp tổng thể nhằm bảo vệ người
dùng, tổ chức khỏi các cuộc tấn công DDOS như trên, với việc ngăn chặn luồng traffic
tấn công ngay tại mạng của ISP.

Ưu điểm:

- Phát hiện và cảnh báo các cuộc tấn công DDOS băng thông lớn, cảnh báo
đến người quản trị bằng SMS hoặc email.
- Giảm thiểu các kiểu tấn công băng thông lớn như: UDP flood, ICMP
flood,SYN Flood, DNS Amplification, NTP Amplificaion…
- Xử lý các cuộc tấn công băng thông lớn từ vài chục Gbps đến vài trăm Gbps,
hoặc các luồng tấn công đến 10 triệu pps.
- Phát hiện và cảnh báo tấn công làm nghẽn uplink theo từng interface, xử lý
nghẽn link trực tiếp qua portal.
- Dễ dàng vận hành và xử lý.
- Dễ dàng triển khai và tương thích với nhiều hạ tầng mạng.

ĐỖ THÀNH ĐẠT D17CQVT01-N Trang 16

CHƯƠNG 3: GIẢI PHÁP PHÒNG CHỐNG TẤN CÔNG DDOS TẠI CÔNG TY CỔ
PHẦN VIỄN THÔNG ACT

3.1.2 Mô hình triển khai

Hệ thống Anti DDOS Volume Based bao gồm 4 thành phần chính :

- Detection: Dùng để phát hiện cảnh báo IP bị tấn công DDOS.

- Scrubber: Dùng để lọc các traffic tấn công, trả về traffic sạch
- Portal: Xem thông tin cảnh báo, trạng thái cuộc tấn công, ra lệnh cho hệ
thống divertsion thay đổi định tuyến.
- Divertsion: Là thành phần để lái traffic về hệ thống scrubber, dùng để thay
đổi định tuyến, nhận lệnh từ portal.

Hình 3. 1 Mô hình hệ thống Anti ddos volume based solution

ĐỖ THÀNH ĐẠT D17CQVT01-N Trang 17

CHƯƠNG 3: GIẢI PHÁP PHÒNG CHỐNG TẤN CÔNG DDOS TẠI CÔNG TY CỔ
PHẦN VIỄN THÔNG ACT

Yêu cầu phần cứng cho hệ thống máy chủ [4]:

Model Cấu hình tối thiểu Cấu hình khuyến nghị

Detection + 01 Server 2 x E5 2687Wv4 01 Server 2 x E5-2687Wv4

Portal 80 GB DDR, 128 GB DDR,
200G HDD 4x 1.2TB HDD
01 Server 2 x E5-2687Wv4 02 Server 2 x E5-2687Wv4
128GB DDR, 128GB DDR,
3x 600G SAS 10K rpm HDD, 4x 1.2TB SAS 10K rpm HDD
Scruber for
Network card: 2 x Intel card Network card: 2 x Intel Suport
20G DDoS
Suport DPDK, 82599 or x710 DPDK, 82599 or x710 Driver
Filter
Driver with 2 port ethernet with 2 port ethernet 10Gbps
10Gbps quang, 4 modul single quang, 4 modul single mode
mode 1310mm 1310mm

Bảng 3. 1 Yêu cầu phần cứng cho hệ thống máy chủ

3.1.3 Các tính năng chính.

Phát hiện tấn công DDOS Volumed based:

- Phán hiện IP bị tấn công dựa trên việc profile traffic thực tế của khách hàng
từ đó phát hiện khi có bất thường xảy ra.
- Phát hiện IP bị tấn công dựa trên ngưỡng.
- Các loại tấn công phát hiện được: Volumed based: UDP & ICMP Flood, SYN
Flood, dựa trên Volume, không quan tâm đến giao thức.
- Thời gian phát hiện tấn công dưới 2 phút.
- Xác định tập good IP đối với toàn mạng và từng khách hàng (là danh sách IP
tin cậy mà khách hàng thường xuyên kết nối tới ở trạng thái bình thường).
- Đưa ra ACL (Access list) của IP bị tấn công.

Ngăn chặn tấn công DDOS Volumed based:

- Xử lý triệt tiêu hẳn luồng tấn công trực tiếp trên portal: Xảy ra nghẽn link,
gửi lệnh xuống router RTBH để xử lý tấn công: Route null, có các option
chặn toàn bộ, hoặc toàn bộ trong nước, hoặc toàn bộ quốc tế, hoặc toàn bộ
PE…
- Trường hợp 2: Lái luồng traffic tấn công DDOS qua hệ thống scrubber để lọc
traffic tấn công, đảm bảo dịch vụ khách hàng:
o Chặn invalid packet.

ĐỖ THÀNH ĐẠT D17CQVT01-N Trang 18

CHƯƠNG 3: GIẢI PHÁP PHÒNG CHỐNG TẤN CÔNG DDOS TẠI CÔNG TY CỔ
PHẦN VIỄN THÔNG ACT

o Permit Good IP: cho phép các good IP được đi qua nhanh mà không
phải xử lý thêm (ACL, bóp băng thông) …
o Drop bad ACL: Chặn traffic tấn công dựa vào ACL từ Detection.
o Bóp băng thông theo IP dest: Bóp băng thông theo ngưỡng có sẵn.
o Bắt pcap gói tin trước và sau khi xử lý để theo dõi thêm.
o Xử lý tấn công lên đến vài chục Gbps.
Chặn nhanh 1 IP xấu:

- Chặn nhanh các IP xấu (IP của CnC…): Gửi lệnh xuống Router RTBH
Portal theo dõi, xử lý các cuộc tấn công.

- Theo dõi các cuộc tấn công đang xảy ra, thông tin chi tiết cuộc tấn công
(thông tin IP, thông tin băng thông, loại tấn công).
- Xử lý tấn công: Route IP bị tấn công vào null/Scrubber. Thêm sửa xóa Access
list của cuộc tấn công.
- Theo dõi sâu hơn: Xem gói tin pcap chiều in/out nếu IP bị tấn công đi qua
scrubber để đánh giá hiệu quả của việc phát hiện/ngăn chặn.

3.2 Phương án triển khai chống tấn công DDoS mạng IPBN
3.2.1 Remote-triggered black hole (RTBH)
Một black hole (lỗ đen) là một IP không được sử dụng (unused IP). Trên các thiết
bị định tuyến lớp biên, tạo sẵn một đường tới black hole qua null. Trên thiết bị kích hoạt
(trigger) định tuyến, khi xảy ra DDoS, thực hiện tạo một đường đến IP bị tấn công
(destination-based) hoặc dải IP tấn công (source-based) với bước kế tiếp (next hop) là
black hole và chèn vào BGP. Các thiết bị định tuyến lớp biên sẽ bỏ lưu lượng tấn công
ngay tại biên, luồng lưu lượng bị chặn mà không chảy vào trong mạng. Khi tấn công kết
thúc, xóa đường đi trên thiết bị kích hoạt định tuyến. Ưu điểm của giải pháp này là khắc
phục tấn công DDoS tức thì. Tuy nhiên, giải pháp này gây mất dịch vụ của IP bị black
hole. [5]

ĐỖ THÀNH ĐẠT D17CQVT01-N Trang 19

CHƯƠNG 3: GIẢI PHÁP PHÒNG CHỐNG TẤN CÔNG DDOS TẠI CÔNG TY CỔ
PHẦN VIỄN THÔNG ACT

Hình 3. 2 Sử dụng RTBH để chặn lưu lượng tấn công

3.2.2 BGP Flowspec

Đây là một tính năng mới, được hỗ trợ trên một số thiết bị định tuyến đời mới
của Cisco, Juniper. … Cách hoạt động của tính năng này gần giống như giải pháp RTBH.
Tuy nhiên, thiết bị kích hoạt định tuyến có thể cập nhật bản tin BGP xuống các thiết bị
định tuyến lớp biên theo một chính sách nhất định (không chỉ đơn thuần là định tuyến
như RTBH). Vì vậy, lưu lượng tấn công sẽ bị chặn chính xác đến dịch vụ, hình thức tấn
công. Giải pháp này có ưu điểm là chống được được mạng lưới và IP bị tấn công không
mất dịch vụ. Tuy nhiên, để xử lý được vẫn cần xác định IP bị tấn công.

Hình 3. 3 Sử dụng BGP flowspec để chặn lưu lượng tấn công DDoS

ĐỖ THÀNH ĐẠT D17CQVT01-N Trang 20

CHƯƠNG 3: GIẢI PHÁP PHÒNG CHỐNG TẤN CÔNG DDOS TẠI CÔNG TY CỔ
PHẦN VIỄN THÔNG ACT

3.2.3 Cleaning System

Cleaning system được xây dựng dựa trên việc kết hợp phần mềm và lớp mạng.
Đây là hệ thống chống tấn công DDoS theo 2 lớp. Lớp 1 thực hiện chặn lưu lượng độc
hại tại lớp biên mà không làm ảnh hưởng đến lưu lượng an toàn. Tại lớp 2, lưu lượng
độc hại sẽ được chuyển hướng (divert) qua hệ thống lọc (scrubber) để làm sạch.

Hệ thống có thể xây dựng dựa trên 3 thành phần chính:

- Hệ thống phát hiện (detection): Sử dụng các công nghệ NetFlow, khai phá
dữ liệu (data mining) để xác định các cuộc tấn công.
- Scrubber: Sử dụng các công nghệ Kiểm tra sâu gói (DPI - Deep Packet
Inspection) cho hệ thống lọc lưu lượng.
- Chuyển hướng và ngăn chặn trên lớp mạng: Các thiết bị định tuyến sử dụng
các công nghệ như RTBH, BGPflow spec.

Hình 3. 4 Mô hình Cleaning System chặn DDoS, kết hợp RTBH, BGP flowspec.

3.2.4 Kỹ thuật thực hiện:

Sử dụng kỹ thuật Remote Trigger Black Hole (RTBH) [6] để thực hiện chặn tấn
công DDOS theo địa chỉ đích của gói tin IP trên tất các lớp PE/GW toàn mạng:

- Remote Trigger Black Hole (RTBH): Phương án tác động tập trung lên 1
thiết bị router (RTBH router) có khả năng dạy route qua BGP cho tất cả các
thiết bị edge (PE, GW). Trong trường hợp 1 IP nội hoặc ngoại mạng bị tấn
công thì RTBH router sẽ dạy route đến IP bị tấn công này với 1 next-hop giả

ĐỖ THÀNH ĐẠT D17CQVT01-N Trang 21

CHƯƠNG 3: GIẢI PHÁP PHÒNG CHỐNG TẤN CÔNG DDOS TẠI CÔNG TY CỔ
PHẦN VIỄN THÔNG ACT

cho các thiết bị PE, GW, đồng thời next-hop này được route static về Null0
trên PE, GW nên toàn bộ lưu lượng đến IP tấn công sẽ đi vào Null0.
- Router RTBH được tích hợp với tool để tự động hóa automation ngăn chặn
tấn công khi phát hiện nguồn tấn công.
Sử dụng RTBH kết hợp Unicast Reverse Path Forwarding (URPF) Loose mode
để thực hiện chặn tấn công DDOS theo địa chỉ nguồn của gói tin IP trên lớp GW. URPF
kiểm tra next-hop đến source của gói tin có hợp lệ hay không, nếu không hợp lệ thì
không forward gói tin đến destination. URPF dùng kết hợp với RTBH để triệt tiêu tấn
công từ 1 IP nguồn cụ thể.
Thực hiện các giải pháp bảo mật và đảm bảo an toàn khi tác động lên thiết bị
RTBH như sau:

- Quy hoạch IP Private làm IP quản trị.

- Cấu hình phân quyền tác động trên TACCACS chỉ permit các lệnh cấu hình
route static IP /32.
- Cấu hình bảo mật, bảo vệ thiết bị bằng tập lệnh Cisco Device Hardening.

ĐỖ THÀNH ĐẠT D17CQVT01-N Trang 22

CHƯƠNG 3: GIẢI PHÁP PHÒNG CHỐNG TẤN CÔNG DDOS TẠI CÔNG TY CỔ
PHẦN VIỄN THÔNG ACT

Hình 3. 5 Chống tấn công DDoS theo IP đích X

ĐỖ THÀNH ĐẠT D17CQVT01-N Trang 23

CHƯƠNG 3: GIẢI PHÁP PHÒNG CHỐNG TẤN CÔNG DDOS TẠI CÔNG TY CỔ
PHẦN VIỄN THÔNG ACT

Hình 3. 6 Chống tấn công DDoS theo IP nguồn Y

ĐỖ THÀNH ĐẠT D17CQVT01-N Trang 24

CHƯƠNG 4: THỰC HÀNH TRÊN HỆ THỐNG LAB GIẢ LẬP KỸ THUẬT TẤN
CÔNG VÀ PHÒNG CHỐNG TẤN CÔNG DDOS

CHƯƠNG 4: THỰC HÀNH TRÊN HỆ THÔNG LAB GIẢ LẬP KỸ THUẬT
TẤN CÔNG VÀ PHÒNG CHỐNG TẤN CÔNG DDOS
4.1 Sơ lược về thiết bị và mô phỏng
4.1.1 CentOS 7
CentOS là một hệ điều hành miễn phí được xây dựng và phát triển dựa trên hệ
điều hành mã nguồn mở Linux. centOS là viết tắt của Community Enterprise Operating
System (Hệ điều hành Doanh nghiệp Cộng đồng). Hệ điều hành này được tạo ra với mục
đích chính là xây dựng nền tảng hệ thống máy chủ miễn phí dành cho doanh nghiệp và
duy trì khả năng tương thích nhị phân với RHEL. Ngoài ra, CentOS còn cung cấp một
môi trường hoàn hảo để thực hiện các công việc liên quan đến lập trình.
Ưu điểm:
- CentOS có rất nhiều tính năng hỗ trợ được phát triển và xây dựng từ chính
cộng đồng đã tạo ra nó.
- Do có tính tương đồng với RHEL nên CentOS là một môi trường rất tốt để
lập trình.
- CentOS có khả năng vận hành tốt, mượt mà trên các mainframe, đặc biệt là
GUI, KDE, GNOME,…
- CentOS tạo ra một môi trường giống như trên desktop, rất đơn giản . Bạn có
thể sử dụng, tùy chỉnh dễ dàng với sự hỗ trợ của cộng đồng mạng và Red
Hat.
- Môi trường mà CentOS tạo ra có tính ổn định cao nên rất được ưa chuộng
bởi các doanh nghiệp.
- CentOS được Red Hat cung cấp nhiều mã nguồn và trình quản lý gói RPM.
- CentOS có nhiều cấp độ bảo mật khác nhau, vì vậy nó là sự lựa chọn an toàn
nhất để bảo mật thông tin kinh doanh cho doanh nghiệp.
4.1.2 Kali linux
Kali linux là một bản phân phối Linux dựa trên Debian, được tài trợ và phát triểu
bởi công ty Offensive Security Ltd hoạt động trong lĩnh vực bảo mật thông tin, kiểm tra
thâm nhập. Kali Linux là giải pháp tiện lợi và tiện dụng cho những ai học tập và hoạt
động trong lĩnh vực bảo mật bởi vì nó cung cấp rất nhiều công cụ cho những tác vụ liên
quan đến bảo mật như chuẩn bị, phân loại, thu thập và cập nhật các công cụ bảo mật bên
cạnh đó còn cung cấp nhiều công cụ mã nguồn mở giúp cho bạn dễ dàng trong việc tiến
hành kiểm tra bảo mật giúp tiết kiệm thời gian. Kali chứa rất nhiều công cụ với mục
đích hổ trợ các nhiệm vụ bảo mật thông tin khác nhau, ví dụ như Penetration Testing,
Security research, Computer Forensics và Reverse Engineering,..
Ưu điểm:
- Do phát triển trên hệ điều hành Debian, nên Kali có thể sử dụng các
repository của Debian hỗ trợ việc cài đặt được nhiều phần mềm và cập nhật
phần mềm nhanh chóng.

ĐỖ THÀNH ĐẠT D17CQVT01-N Trang 25

CHƯƠNG 4: THỰC HÀNH TRÊN HỆ THỐNG LAB GIẢ LẬP KỸ THUẬT TẤN
CÔNG VÀ PHÒNG CHỐNG TẤN CÔNG DDOS

- Kali Linux liên tục cải tiến khả năng tương thích với thiết bị phần cứng của
rất nhiều loại như điện thoại, raspberry, laptop, server, cloud,… đảm bảo bạn
có thể cài đặt trên bất kì thiết bị nào.
- Kali Lunux hổ trợ rất tốt cho mạng wifi (không dây), điều này giúp các
chuyên gia bảo mật có thể thực hiện tấn công và kiểm thử khả năng bảo mật
của Wifi.
- Hỗ trợ đa dạng thiết không dây: Kali Linux được cải tiến để hỗ trợ nhiều thiết
bị không dây nhất có thể, cho phép nó hoạt động tốt trên nhiều loại phần cứng
và làm cho nó tương thích với nhiều thiết bị không dây và USB khác nhau.
4.2 Sơ đồ lab

Hình 4. 1 Sơ đồ Lab

Trong đó:

- Máy tạo traffic tấn công ( attacker ) kali linux có địa chỉ IP 192.168.1.39

- Máy server centOS 7 có địa chỉ IP 192.168.1.182

4.3 Mục tiêu

Mô phỏng đươc một cuộc tấn công DDoS đơn giản.

Phân tích và viết rule chống tấn công DDoS sử dụng module u32 của iptables.

4.4 Mô phỏng tấn công

4.4.1 Đặc điểm

ĐỖ THÀNH ĐẠT D17CQVT01-N Trang 26

CHƯƠNG 4: THỰC HÀNH TRÊN HỆ THỐNG LAB GIẢ LẬP KỸ THUẬT TẤN
CÔNG VÀ PHÒNG CHỐNG TẤN CÔNG DDOS

Cuộc tấn công có đặc điểm:

- Kiểu tấn công: SYN Flood

- Source IP: giả mạo và Random
- Các gói tin SYN có mang theo Payloaf từ 4-22 bytes
- Tần số tấn công: hơn 1 triệu packet/s
4.4.2 Tấn công
Trên máy kali linux, mở terminal nhập lệnh su -m và nhập password để vào có
quyền truy cập với đầy đủ quyền ưu tiên (root).
Code: # su -m

Hình 4. 2 Truy cập root trên kali linux

Để tấn công, nhập và chạy lệnh:

Hình 4. 3 Tấn công SYN Flood

4.4.3 Kết quả

Kiểm tra traffic trên máy server bằng vnstat
Code: # vnstat -l

Hình 4. 4 Kiểm tra tần suất nhận traffic

Ta thấy tần suất nhận gói tin của máy server là 92.411 packet/s có nghĩa là gói
tin tấn công đã thành công gửi đến mục tiêu.
4.5 Mô phỏng chống tấn công bằng iptables u32
Iptables là một tường lửa ứng dụng lọc gói dữ liệu rất mạnh, miễn phí và có sẵn
trên Linux. Netfilter/Iptables gồm 2 phần là Netfilter ở trong nhân Linux và Iptables
nằm ngoài nhân. Iptables chịu trách nhiệm giao tiếp giữa người dùng và Netfilter để đẩy
các luật của người dùng vào cho Netfiler xử lí. Netfilter tiến hành lọc các gói dữ liệu ở
mức IP. Netfilter làm việc trực tiếp trong nhân, nhanh và không làm giảm tốc độ của hệ
thống.
4.5.1 Nhận biết
Biểu hiện khi bị tấn công là trên là server của đột nhiên load cao, mọi xử lý của
server đều chậm chạp, truy cập vào các dịch vụ khó khăn.
ĐỖ THÀNH ĐẠT D17CQVT01-N Trang 27
CHƯƠNG 4: THỰC HÀNH TRÊN HỆ THỐNG LAB GIẢ LẬP KỸ THUẬT TẤN
CÔNG VÀ PHÒNG CHỐNG TẤN CÔNG DDOS

Trên server dùng công cụ htop để theo dõi System Processes.

Code: # htop

Hình 4. 5 Theo dõi tiến trình hệ thống trên htop

Như hình ta thấy được mức sử dụng các tài nguyên hệ thống như Ram hay CPU
đang là 100%, có dấu hiệu cạn kiệt tài nguyên hệ thống. Khi ấy trên máy server ta sẽ
kiểm tra các gói tin xem có dấu hiệu của một cuộc tấn công DDoS theo phương thức
SYN Flood hay không.
Code: # tcpdump -i eth0 -nnn -vvv -X -c 10 -P in port 80

Hình 4. 6 Lệnh kiểm tra gói tin nhận được

Kết quả: Các gói tin nhận được có dấu hiệu của một cuộc tấn công SYN Floot.
- Gói tin sử dụng giao thức TCP.
- Gói tin có cờ SYN được bật.
- Có mang theo payload.
- Cấu trúc các gói tin gần như là giống nhau.

ĐỖ THÀNH ĐẠT D17CQVT01-N Trang 28

CHƯƠNG 4: THỰC HÀNH TRÊN HỆ THỐNG LAB GIẢ LẬP KỸ THUẬT TẤN
CÔNG VÀ PHÒNG CHỐNG TẤN CÔNG DDOS

Hình 4. 7 Cấu trúc các gói tin

4.5.2 Phân tích

Khi biết đây là một cuộc tấn công SYN Floot ta bắt đầu phân tích và viết rule để
chống tấn công.
Bắt 1000 gói tin để phân tích source IP xem đây là kiểu tấn công SYN FLood
bằng Botnet hay bằng tool Fake Random IP:
Code: # tcpdump -i eth0 -nnn -c 1000 -P in port 80 | awk '{print $3}' | cut -d"." -
f-4 | sort | uniq -c | sort -rn | more

Hình 4. 8 Lệnh bắt 1000 gói tin được gửi đến

Địa chỉ Source có prefix trải đều một cách tuần, mỗi IP gửi gói tin đến server với
tần số thấp cho nên có thể xác định đây là kiểu tấn công Random Source IP với các gói
tin được tạo ra từ cùng một nguồn.

ĐỖ THÀNH ĐẠT D17CQVT01-N Trang 29

CHƯƠNG 4: THỰC HÀNH TRÊN HỆ THỐNG LAB GIẢ LẬP KỸ THUẬT TẤN
CÔNG VÀ PHÒNG CHỐNG TẤN CÔNG DDOS

Hình 4. 9 Địa chỉ IP của 1000 gói tin

Số lượng Source IP là vô hạn, vì tool có thể tạo gói tin SYN với source IP bất kỳ
cho nên chặn IP sẽ không giải quyết được vấn đề, tần số từ mỗi IP thấp thì việc đặt rate
limiting cũng sẽ không có tác dụng. Do đó, dựa vào các dấu hiệu bất thường là các gói
tin SYN có mang theo Payload, ta sẽ viết rule DROP để bỏ các gói tin có đặc điểm này.
Kiểm tra giao thức TCP của gói tin
Để kiểm tra gói tin có phải là TCP hay không, ta cần kiểm tra trường Protocol
trong IP Header (byte thứ 9). Nếu giá trị của trường này bằng 6 thì là TCP:
Code: # iptables -I INPUT -m u32 --u32 “6&0xFF=6” -j LOG --log-prefix “
TCP ”

Hình 4. 10 Kiểm tra giao thức TCP của gói tin

ĐỖ THÀNH ĐẠT D17CQVT01-N Trang 30

CHƯƠNG 4: THỰC HÀNH TRÊN HỆ THỐNG LAB GIẢ LẬP KỸ THUẬT TẤN
CÔNG VÀ PHÒNG CHỐNG TẤN CÔNG DDOS

Kiểm tra có phải gói SYN hay không

Để kiểm tra xem có phải là gói SYN hay không, cần kiểm tra cờ SYN trong TCP
mang giá trị 0 hay 1. Với giá trị 0 cờ SYN không bật, giá trị 1 thì cờ SYN được bật:
Code: # iptables -I INPUT -m u32 –u32 “0>>22&0x3C@10>>1&0x1=0x1” -j
LOG --log-prefix “ SYN ”

Hình 4. 11 Kiểm tra cờ SYN của gói tin

Kiểm tra gói tin có Payload hay không

Để kiểm tra gói tin có Payload hay không, ta cần kiểm tra byte đầu tiên của phần
Data, xem có mang giá trị hay không.
Code: # iptables -I INPUT -m u32 –u32
“0>>22&0x3C@12>>26&0x3C@0>>24=0:255” -j LOG --log-prefix “ Payload ”

Hình 4. 12 Kiểm tra Payload của gói tin

4.5.3 Viết rule chống DDoS

Sau khi kiểm tra các gói tin tấn công thu được có đầy đủ các đặc điểm như sử
dụng giao thức TCP, cờ SYN được bật và mang theo payload ta tiến hành viết rule để
chống DDoS theo quy tắc loại bỏ các gói tin có dấu hiệu bất thường mang theo ba đặc
điểm trên bằng module u32 của iptables.
Code: # iptables -I INPUT -m u32 --u32 "6&0xFF=6 &&
0>>22&0x3C@10>>1&0x1=0x1 &&
0>>22&0x3C@12>>26&0x3C@0>>24=0:255" -j DROP

Hình 4. 13 Rule loại bỏ các gói tin bất thường

ĐỖ THÀNH ĐẠT D17CQVT01-N Trang 31

CHƯƠNG 4: THỰC HÀNH TRÊN HỆ THỐNG LAB GIẢ LẬP KỸ THUẬT TẤN
CÔNG VÀ PHÒNG CHỐNG TẤN CÔNG DDOS

Các gói tin bất thường đã bị loại bỏ

Hình 4. 14 Các gói tin bị loại bỏ

Kiểm tra lại bằng công cụ htop ta thấy tài nguyên hệ thống đã khôi phục, hoạt
động bình thường trở lại.

Hình 4. 15 Kiểm tra tiến trình hệ thống khi đã loại bỏ các gói tin bất thường

ĐỖ THÀNH ĐẠT D17CQVT01-N Trang 32

KẾT LUẬN

KẾT LUẬN
Sau khoảng thời gian 4 tuần thực tập, em đã ít nhiều hiểu và biết hơn kiến thức
về DDoS, có thể thấy được những ảnh hưởng to lớn của DDoS đối với hệ thống mạng
và máy chủ dịch vụ.
Trong thời gian thực tập tại Công Ty Cổ Phần Viễn Thông ACT nhờ sự chỉ bảo
tận tình của đơn vị hướng dẫn em đã có thể thực hiện một cuộc tấn công đơn giản và
tìm cách phòng chống tương đương, nhờ đó em có thể hiểu hơn về cơ chế hoạt động của
DDoS.
Qua những gì tìm hiểu được, em thấy vẫn còn nhiều điều cần phải học hỏi để có
thề hoàn thiện hơn kiến thức của bản thân. Tấn công DDoS ngày càng biến thể tinh vi
hơn, mức độ phá hoại cũng cao hơn, làm cho việc phòng chống DDoS ngày một khó
khăn. Cho nên, chúng ta cần phải luôn nổ lực không ngừng tìm hiểu và nghiên cứu để
có thể đưa ra các giải pháp hợp lý, giảm thiểu thiệt hại, nâng cao hiệu quả phòng chống
DDoS cho hệ thống máy chủ trong tương lai.

ĐỖ THÀNH ĐẠT D17CQVT01-N Trang 33

THUẬT NGỮ VÀ CÁC TỪ VIẾT TẮT

THUẬT NGỮ VÀ CÁC TỪ VIẾT TẮT

DDoS Distributed Denial Of Service

DoS Denial of Service attack

ICMP Internet Control Message Protocol

IRC Internet Relay Chat

UDP User Datagram Protocol

NTP Network Time Protocol

CVE Common Vulnerabilities and Exposures

IE Internet Explorer

TCP Transmission Control Protocol

MIB Management Information Base

SNMP Simple Network Management Protocol

FTTH Fiber to the Home

ACL Access list

RTBH Remote Triggered Black Hole

IPBN Indigenous Peoples Burning Network

URPF Unicast Reverse Path Forwarding

TACACS Terminal Access Controller Access Control System

CentOS Community Enterprise Operating System

RHEL Red Hat Enterprise Linux

GUI Graphical User Interface

TÀI LIỆU THAM KHẢO

TÀI LIỆU THAM KHẢO

[1] "Arbor - An Ninh Mạng," [Online]. Available: https://nds.vn/an-ninh-mang/arbor-

giai-phap-da-lop-phong-chong-tan-cong-ddos.html.

[2] "Website công ty ACT," [Online]. Available: http://vienthongact.vn/.

[3] T. Q. Tân, "Nghiên cứu và phòng chống tấn công từ chối dịch vụ phân tán vào các
website".

[4] V. T. ACT, "Anti DDOS Volume Based solution".

[5] T. H. Nam, "An Toàn Thông Tin," [Online]. Available:

http://m.antoanthongtin.vn/hacker-malware/mot-so-tan-cong-pho-bien-tren-mang-
isp-105750.

[6] V. T. ACT, "Phương Án Chống Tấn Công DDoS mạng IPBN".