Professional Documents
Culture Documents
BÁO CÁO
THỰC TẬP TỐT NGHIỆP
CHUYÊN NGÀNH: KỸ THUẬT ĐIỆN TỬ TRUYỀN THÔNG
HỆ: ĐẠI HỌC CHÍNH QUY
NIÊN KHÓA: 2017-2022
Đề tài:
TÌM HIỂU VÀ PHÂN TÍCH CƠ CHẾ CHỐNG DDOS
CỦA NHÀ MẠNG ACT
THÁNG 7/2021
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
CƠ SỞ TẠI THÀNH PHỐ HỒ CHÍ MINH
KHOA VIỄN THÔNG II
_____________
BÁO CÁO
THỰC TẬP TỐT NGHIỆP
CHUYÊN NGÀNH: KỸ THUẬT ĐIỆN TỬ TRUYỀN THÔNG
HỆ: ĐẠI HỌC CHÍNH QUY
NIÊN KHÓA: 2017-2021
Đề tài:
TÌM HIỂU VÀ PHÂN TÍCH CƠ CHẾ CHỐNG DDOS
CỦA NHÀ MẠNG ACT
THÁNG 7/2021
LỜI CẢM ƠN
Đầu tiên, em xin chân thành cảm ơn các quý thầy cô Trường Học Viện Công Nghệ Bưu
Chính Viễn Thông cơ sở tại TP.Hồ Chí Minh, đặc biệt là các thầy cô giáo khoa viễn thông của
học viện đã đem lại cho em nguồn kiến thức vô cùng quý giá trong quá trình học tập.
Em cảm ơn thầy giáo Th.S Lê Duy Khánh đã tận tình hướng dẫn giúp đỡ em mỗi khi
gặp khó khăn trong suốt quá trình học tập, tạo điều kiện thuận lợi để em có thể thực tập và hoàn
thành bài báo cáo một cách hiệu quả nhất.
Em cũng xin gửi lời cảm ơn đến ban giám đốc Công Ty Cổ Phần Viễn Thông ACT, đã
tạo điều kiện cho em có thể thực tập giai đoạn dịch bệnh khó khăn. Đặc biệt là anh Nguyễn
Tuấn Hải cùng các anh nhân viên kỹ thuật tại phòng kỹ thuật đã hướng dẫn, dạy bảo tận tình,
giúp em biết thêm nhiều kiến thức trong thời gian thực tập tại công ty để em có thể hoàn thành
bài báo cáo.
Do thời gian thực tập nằm trong giai đoạn đại dịch COVID 19 bùng phát mạnh mẽ, thời
gian có hạn và kiến thức của em còn hạn chế nên không tránh khỏi những thiếu sót, em rất
mong nhận được những ý kiến đóng góp quý báu của quý thầy cô và quý công ty để kiến thức
của em được hoàn thiện hơn.
Em xin chân thành cảm ơn!
TRƯỞNG KHOA
Nơi nhận:
- Sinh viên có tên tại khoản 1
- Lưu VP khoa.
MỤC LỤC
2.5 Các Phương pháp xây dựng tài nguyên tấn công ...............................................10
2.5.1 Cách thức cài đặt DDoS Agent .........................................................................11
2.5.2 Giao tiếp trên mạng Botnet ...............................................................................12
CHƯƠNG 3: GIẢI PHÁP PHÒNG CHỐNG TẤN CÔNG DDOS TẠI CÔNG TY
CỔ PHẦN VIỄN THÔNG ACT ................................................................................ 16
i
3.1 Anti ddos volume based solution ..........................................................................16
3.1.1 Tìm hiểu sơ lược ...............................................................................................16
3.1.2 Mô hình triển khai ............................................................................................17
3.1.3 Các tính năng chính. ..........................................................................................18
3.2 Phương án triển khai chống tấn công DDoS mạng IPBN .............................19
3.2.1 Remote-triggered black hole (RTBH)...............................................................19
3.2.2 BGP Flowspec .................................................................................................20
3.2.3 Cleaning System ..............................................................................................21
3.2.4 Kỹ thuật thực hiện: ............................................................................................21
CHƯƠNG 4: THỰC HÀNH TRÊN HỆ THÔNG LAB GIẢ LẬP KỸ THUẬT TẤN
CÔNG VÀ PHÒNG CHỐNG TẤN CÔNG DDOS .................................................. 25
ii
MỤC LỤC ẢNH
iii
MỤC LỤC BẢNG
Bảng 3. 1 Yêu cầu phần cứng cho hệ thống máy chủ ...................................................18
iv
LỜI MỞ ĐẦU
LỜI MỞ ĐẦU
Tấn công từ chối dịch vụ phân tán (DDoS) đã phát triển mạnh trong những năm
gần đây đặc biệt trong tình dịch bệnh xảy ra khắp nơi trên thế giới. Tấn công DDoS
(Distributed Denial Of Service) luôn là mối đe dọa đối với hệ thống mạng và máy chủ
dịch vụ của các cơ quan và tổ chức, gây cạn kiệt tài nguyên hệ thống hoặc làm ngập lưu
lượng băng thông internet, khiến truy cập từ người dùng tới máy chủ bị ngắt quãng, truy
cập chập chờn, thậm chí không thể truy cập được internet, làm tê liệt hệ thống.
Theo một thống kê của Help Net Security cho thấy trong năm 2020 có 10.089.687
cuộc tấn công DDoS được ghi nhận với tần suất tăng 22% so với năm 2019. Đặc biệt
các tác nhân đe dọa đã gia tăng cuộc tấn công DDoS do việc cách ly trong đại dịch, các
cuộc tấn công hàng tháng đã vượt quá 800.000 từ tháng 3/2020. Trung bình, có 839.083
tấn công mỗi tháng vào năm 2020. [1]
Đây chỉ là một vài số liệu trong bài thống kê, tuy ngắn gọn nhưng cũng cho thấy
được tuy tấn công DDoS là một kiểu tấn công không mới, nhưng vẫn gây rất nhiều thiệt
hại cho cộng đồng mạng nói chung và các doanh nghiệp nói riêng, luôn là nỗi lo lắng
của các nhà quản trị mạng. Một đều mà các chuyên gia ai cũng thừa nhận đó là nếu
DDoS được thực hiện bởi một hacker có trình độ thì việc chống đỡ là không thể.
Do vậy nghiên cứu DDoS không bao giờ là cũ, nhận thấy vừa là đề tài thực tập
tốt nghiệp, vừa có vai trò ứng dụng trong thực tế cho nên em đã lựa chọn đề tài “ tìm
hiểu và phân tích cơ chế chống DDoS của nhà mạng ACT” để có thể tìm hiểu rõ hơn về
DDoS trong quá trình thực tập tốt nghiệp tại Công ty Cổ phần Viễn thông ACT.
Nội dung của bài báo cáo bao gồm phần mở đầu và 4 chương nội dung cụ thể là:
Chương 4: Thực hành trên lab kỹ thuật tấn công và phòng chống tấn công DDoS.
Hình 2. 3 Sơ đồ Handler-Agent
Internet Relay Chat(IRC) là một hệ thống online chat nhiều người. IRC cho phép
người sử dụng tạo một kết nối đến nhiều điểm khác với nhiều người sử dụng khác nhau
và chat thời gian thực. Kiến trúc cũ của IRC network bao gồm nhiều IRC server trên
khắp Internet, giao tiếp với nhau trên nhiều kênh (channnel). IRC network cho phép user
tạo ba loại channel: Public, Private và Secrect. Trong đó :
- Public channel: Cho phép user của channel đó thấy IRC name và nhận được
message của mọi user khác trên cùng channel.
- Private channel: Được thiết kế để giao tiếp với các đối tượng cho phép.
Không cho phép các user không cùng channel thấy IRC name và message
Mạng IRC-based cũng tương tự như mạng Agent-Handler nhưng mô hình này
sử dụng các kênh giao tiếp IRC làm phương tiện giao tiếp giữa Client và Agent (không
sử dụng Handler). Sử dụng mô hình này, attacker còn có thêm một số lợi thế khác như:
- Các giao tiếp dưới dạng chat message làm cho việc phát hiện chúng là vô
cùng khó khăn.
- Lưu thông IRC có thể di chuyển trên mạng với số lượng lớn mà không bị
nghi ngờ.
- Không cần phải duy trì danh sách các Agent, hacker chỉ cần đăng nhập vào
IRC server là đã có thể nhận được report về trạng thái các Agent do các
channel gửi về.
- Sau cùng: IRC cũng là một môi trường chia sẻ file tạo điều kiện phát tán các
Agent code lên nhiều máy khác.
Multi-Vector Attack: Multi-Vector Attacks là hình thức phức tạp nhất trong các
cuộc tấn công từ chối dịch vụ phân tán (DDoS). Thay vì sử dụng một phương pháp đơn
lẻ, nó là một sự kết hợp của nhiều công cụ và chiến lược khác nhau để tấn công mục tiêu
và làm ngừng kết nối. Thông thường, các Multi-Vector Attacks tấn công các ứng dụng
cụ thể trên server mục tiêu cũng như làm tràn mục tiêu với một lượng lớn lưu lượng độc
hại. Kiểu tấn công này rất khó để ngăn chặn và hạn chế vì nó là tổng hợp của các hình
thức khác nhau và nhắm mục tiêu với nguồn lực khác nhau cùng một lúc.
Nếu bên server đã trả lời một yêu cầu SYN bằng một SYN/ACK nhưng không
nhận được ACK packet cuối cùng sau một khoảng thời gian quy định thì nó sẽ gửi lại
SYN/ACK cho đến hết thời gian timeout. Toàn bộ tài nguyên hệ thống “dự trữ” để xử
lý phiên giao tiếp nếu nhận được ACK packet cuối cùng sẽ bị “phong tỏa” cho đến hết
thời gian timeout. [3]
Hình 2. 6 trường hợp IP nguồn giả
Khi tấn công, attacker gửi một SYN packet đến nạn nhân với địa chỉ bên gửi là
giả mạo, kết quả là nạn nhân gửi SYN/ACK đến một địa chỉ khác và sẽ không bao giờ
nhận được ACK packet cuối cùng, cho đến hết thời gian timeout nạn nhân mới nhận ra
được điều này và giải phóng các tài nguyên hệ thống. Tuy nhiên, nếu lượng SYN packet
giả mạo đến với số lượng nhiều và dồn dập, hệ thống của nạn nhân có thể bị hết tài
nguyên. [3]
Ping Of Death: Là một kiểu tấn công vào hệ thống máy tính liên quan đến việc
gửi một ping không đúng định dạng hoặc độc hại đến một máy tính. Một gói ping được
định dạng đúng thường có kích thước 56 byte hoặc 64 byte. Tuy nhiên, khi tấn công,
attacker sẽ gửi các gói tin ICMP có kích thước trên 65.536 byte đến mục tiêu. Bởi kích
thước tệp vượt quá mức cho phép của gói tin IP nên chúng sẽ được chia thành từng phần
ĐỖ THÀNH ĐẠT D17CQVT01-N Trang 9
CHƯƠNG 2: TÌM HIỂU CƠ CHẾ HOẠT ĐỘNG CỦA DDOS
nhỏ và gửi đến hệ thống máy đích. Khi đến nơi, các phần này sẽ được phép lại thành
một gói tin hoàn chỉnh vượt quá khả năng xử lý của hệ thống, gây tràn bộ nhớ đệm và
khiến máy chủ bị treo.
Slow Loris: Attacker sẽ gửi đến server một lượng lớn yêu cầu HTTP không hoàn
chỉnh. Đồng thời cố gắng duy trì tối đa số kết nối trong thời gian dài. Khi số lượng kết
nối của máy chủ web đạt cực đại ( bị đầy kết nối), máy chủ sẽ bắt đầu từ chối những các
yêu cầu kết nối tiếp theo, bao gồm cả request hợp lệ của người dùng thông thường.
HTTP Flood Attack: Gây quá tải bằng cách gửi hàng loạt yêu cầu GET hoặc
POST hợp pháp đến máy chủ. Phương pháp này tuy tiêu tốn ít băng thông hơn các kiểu
tấn công từ chối dịch vụ khác nhưng vẫn có thể buộc máy chủ sử dụng nguồn tài nguyên
tối đa để xử lý tác vụ.
NTP Amplification: Là kiểu tấn công khai thác lỗ hổng tính năng Monlist của
máy chủ NTP. Monlist là danh sách các máy tính kết nối với máy chủ NTP. Cụ thể, tin
tặc sẽ gửi request yêu cầu Monlist đến NTP server bằng IP giả. Source IP bị giả mạo
chính là địa chỉ IP của máy tính mục tiêu. Vì vậy, các NTP server sẽ liên tục gửi phản
hồi Monlist về cho nạn nhân. Điều này khiến hệ thống webserver mục tiêu bị quá tải.
Hình 2. 7 NTPAmplification khai thác lỗ hỏng tính năng Monlist máy chủ NTP
2.5 Các Phương pháp xây dựng tài nguyên tấn công
Các công cụ tấn công DDoS thường có rất nhiều điểm chung. Có thể kể ra một
số điểm chung như: cách cài chương trình Agent, phương pháp giao tiếp giữa các
attacker, Handler và Agent, điểm chung về loại hệ điều hành hỗ trợ các công cụ này. Sơ
đồ sau so sánh sự tương quan giữa các công cụ tấn công DDoS này.
Corrupted file: Là một phương pháp nhúng code vào trong các file thông
thường. Khi user đọc hay thực thi các file này, máy của họ lập tức bị nhiễm chương trình
Agent software. Một trong những kỹ thuật phổ biến là đặt tên file rất dài, do mặc định
của các hệ điều hành chỉ hiển thị phần đầu của tên file nên attacker có thể gửi kèm theo
email cho các nạn nhân file ví dụ như sau: ptit.txt_hppppppp_NO_this_is_DDoS.exe,
do chỉ thấy phần “ptit.txt” hiển thị nên user sẽ mở file này để đọc và lập tức file này
được thực thi và Agent code được cài vào máy nạn nhân. Ngoài ra còn nhiều cách khác
như ngụy trang file, ghép file…
2.5.2 Giao tiếp trên mạng Botnet
Protocol: Giao tiếp trên mạng Botnetcó thể thực hiện trên nền các protocol TCP,
UDP, ICMP.
Mã hóa các giao tiếp: Một vài công cụ DDoS hỗ trợ mã hóa giao tiếp trên toàn
bộ mạng Botnet. Tùy theo các protocol được sử dụng để giao tiếp sẽ có các phương pháp
mã hóa thích hợp. Nếu mạng Botnet ở dạng IRC based thì private và secrect channel đã
hỗ trợ mã hóa giao tiếp.
Cách kích hoạt Agent: Có hai phương pháp chủ yếu khi kích hoạt Agent. Cách
đầu tiên là Agent sẽ thường xuyên quét thăm dò Handler hay IRC channel để nhận chỉ
thị kích hoạt Agent (active Agent). Cách thứ hai là Agent đơn giản chỉ là chờ đợi chỉ thị
từ Handler hay IRC Channel.
2.6 Phòng chống DDoS
Có rất nhiều giải pháp và ý tưởng được đưa ra nhằm đối phó với các cuộc tấn
công kiểu DDoS. Tuy nhiên không có giải pháp và ý tưởng nào là giải quyết trọn vẹn
bài toán Phòng chống DDoS. Các hình thức khác nhau của DDoS liên tục xuất hiện theo
cùng thời gian với các giải pháp đối phó, tuy nhiên vẫn phải tuân theo quy luật tất yếu
của ngành an ninh mạng máy tính: “Hacker luôn đi trước giới bảo mật một bước”.
Có ba giai đoạn chính trong quá trình Phòng chống DDoS:
- Giai đoạn ngăn ngừa: Tối thiểu hóa lượng Agent, tìm và vô hiệu hóa các
Handler.
- Giai đoạn đối đầu với cuộc tấn công: Phát hiện và ngăn chặn cuộc tấn công,
làm suy giảm và dừng cuộc tấn công, chuyển hướng cuộc tấn công.
- Giai đoạn sau khi cuộc tấn công xảy ra: Thu thập chứng cứ và rút kinh
nghiệm.
Hình 2. 9 Các giai đoạn chi tiết trong phòng chống DdoS
Agress Filtering: Kỹ thuật này kiểm tra xem một packet có đủ tiêu chuẩn ra khỏi
một subnet hay không dựa trên cơ sở gateway của một subnet luôn biết được địa chỉ IP
của các máy thuộc subnet. Các packet từ bên trong subnet khi gửi ra ngoài với địa chỉ
nguồn không hợp lệ sẽ bị giữ lại để kiểm tra nguyên nhân. Nếu kỹ thuật này được áp
ĐỖ THÀNH ĐẠT D17CQVT01-N Trang 13
CHƯƠNG 2: TÌM HIỂU CƠ CHẾ HOẠT ĐỘNG CỦA DDOS
dụng trên tất cả các subnet của Internet thì khái nhiệm giả mạo địa chỉ IP sẽ không còn
tồn tại.
MIB statistics: Trong Management Information Base (SNMP-Simple Network
Management Protocol ) của route luôn có thông tin thống kê về sự biến thiên trạng thái
của mạng. Nếu ta giám sát chặt chẽ các thống kê của Protocol ICMP, UDP và TCP ta
sẽ có khả năng phát hiện được thời điểm bắt đầu của cuộc tấn công để tạo “quỹ thời gian
vàng” cho việc xử lý tình huống.
2.6.3 Làm suy giảm hay dừng cuộc tấn công
Load balancing: Thiết lập kiến trúc cân bằng tải cho các server trọng điểm sẽ
làm gia tăng thời gian chống chọi của hệ thống với cuộc tấn công DDoS. Tuy nhiên,
điều này không có ý nghĩa lắm về mặt thực tiễn vì quy mô của cuộc tấn công là không
có giới hạn.
Throttling: Thiết lập cơ chế điều tiết trên router, quy định một khoảng tải hợp lý
mà server bên trong có thể xử lý được. Phương pháp này cũng có thể được dùng để ngăn
chặn khả năng DDoS traffic không cho user truy cập dịch vụ. Hạn chế của kỹ thuật này
là không phân biệt được giữa các loại traffic, đôi khi làm dịch vụ bị gián đoạn với user,
DDoS traffic vẫn có thể xâm nhập vào mạng dịch vụ nhưng với số lượng hữu hạn.
Drop request: Thiết lập cơ chế drop request nếu nó vi phạm một số quy định
như: thời gian delay kéo dài, tốn nhiều tài nguyên để xử lý, gây deadlock. Kỹ thuật này
triệt tiêu khả năng làm cạn kiệt năng lực hệ thống, tuy nhiên nó cũng giới hạn một số
hoạt động thông thường của hệ thống, cần cân nhắc khi sử dụng.
Bevent Logs: Bằng cách phân tích file log sau cuộc một tấn công, các quản trị
mạng có thể tìm ra nhiều manh mối và chứng cứ có liên quan.
CHƯƠNG 3: GIẢI PHÁP PHÒNG CHỐNG TẤN CÔNG DDOS TẠI CÔNG TY
CỔ PHẦN VIỄN THÔNG ACT
3.1 Anti DDoS volume based solution
3.1.1 Tìm hiểu sơ lược
Anti DDOS Volume Based là giải pháp chống tấn công băng thông lớn, làm
nghẽn traffic uplink của khách hàng, ảnh hưởng dịch vụ của khách hàng hoặc ảnh hưởng
mạng lưới làm mất dịch vụ diện rộng. [4]
Các cuộc tấn công DDOS ngày nay ngày một đa dạng về quy mô và mục đích,
không chỉ đơn thuần là những hành vi phá hoại hệ thống vì mục đích cá nhân mà còn là
những cuộc tấn công có tổ chức, có động cơ kinh tế và chính trị. Các kiểu tấn công cũng
như quy mô tấn công ngày càng đa dạng và phức tạp.
Hacker có thể sử dụng những lỗi của các thiết bị đầu cuối, sử dụng nhiều kiểu tấn
công mà huy động các luồng tấn công lớn cỡ vài Gbps đến vài chục thậm chí vài trăm
Gbps:
- Các kiểu tấn công có thể là các kiểu tấn công UDP flood, ICMP flood,SYN
Flood, DNS Amplification, NTP Amplificaion, SSDP…
- Các đợt tấn công có thể nhắm vào đối tượng là 1 khách hàng FTTH, một
khách hàng Leaseline, một doanh nghiệp hoặc thậm chí có thể cả 1 nhà
mạng…
Hệ thống Anti DDOS Volume Based là một giải pháp tổng thể nhằm bảo vệ người
dùng, tổ chức khỏi các cuộc tấn công DDOS như trên, với việc ngăn chặn luồng traffic
tấn công ngay tại mạng của ISP.
Ưu điểm:
- Phát hiện và cảnh báo các cuộc tấn công DDOS băng thông lớn, cảnh báo
đến người quản trị bằng SMS hoặc email.
- Giảm thiểu các kiểu tấn công băng thông lớn như: UDP flood, ICMP
flood,SYN Flood, DNS Amplification, NTP Amplificaion…
- Xử lý các cuộc tấn công băng thông lớn từ vài chục Gbps đến vài trăm Gbps,
hoặc các luồng tấn công đến 10 triệu pps.
- Phát hiện và cảnh báo tấn công làm nghẽn uplink theo từng interface, xử lý
nghẽn link trực tiếp qua portal.
- Dễ dàng vận hành và xử lý.
- Dễ dàng triển khai và tương thích với nhiều hạ tầng mạng.
- Phán hiện IP bị tấn công dựa trên việc profile traffic thực tế của khách hàng
từ đó phát hiện khi có bất thường xảy ra.
- Phát hiện IP bị tấn công dựa trên ngưỡng.
- Các loại tấn công phát hiện được: Volumed based: UDP & ICMP Flood, SYN
Flood, dựa trên Volume, không quan tâm đến giao thức.
- Thời gian phát hiện tấn công dưới 2 phút.
- Xác định tập good IP đối với toàn mạng và từng khách hàng (là danh sách IP
tin cậy mà khách hàng thường xuyên kết nối tới ở trạng thái bình thường).
- Đưa ra ACL (Access list) của IP bị tấn công.
o Permit Good IP: cho phép các good IP được đi qua nhanh mà không
phải xử lý thêm (ACL, bóp băng thông) …
o Drop bad ACL: Chặn traffic tấn công dựa vào ACL từ Detection.
o Bóp băng thông theo IP dest: Bóp băng thông theo ngưỡng có sẵn.
o Bắt pcap gói tin trước và sau khi xử lý để theo dõi thêm.
o Xử lý tấn công lên đến vài chục Gbps.
Chặn nhanh 1 IP xấu:
- Chặn nhanh các IP xấu (IP của CnC…): Gửi lệnh xuống Router RTBH
Portal theo dõi, xử lý các cuộc tấn công.
- Theo dõi các cuộc tấn công đang xảy ra, thông tin chi tiết cuộc tấn công
(thông tin IP, thông tin băng thông, loại tấn công).
- Xử lý tấn công: Route IP bị tấn công vào null/Scrubber. Thêm sửa xóa Access
list của cuộc tấn công.
- Theo dõi sâu hơn: Xem gói tin pcap chiều in/out nếu IP bị tấn công đi qua
scrubber để đánh giá hiệu quả của việc phát hiện/ngăn chặn.
3.2 Phương án triển khai chống tấn công DDoS mạng IPBN
3.2.1 Remote-triggered black hole (RTBH)
Một black hole (lỗ đen) là một IP không được sử dụng (unused IP). Trên các thiết
bị định tuyến lớp biên, tạo sẵn một đường tới black hole qua null. Trên thiết bị kích hoạt
(trigger) định tuyến, khi xảy ra DDoS, thực hiện tạo một đường đến IP bị tấn công
(destination-based) hoặc dải IP tấn công (source-based) với bước kế tiếp (next hop) là
black hole và chèn vào BGP. Các thiết bị định tuyến lớp biên sẽ bỏ lưu lượng tấn công
ngay tại biên, luồng lưu lượng bị chặn mà không chảy vào trong mạng. Khi tấn công kết
thúc, xóa đường đi trên thiết bị kích hoạt định tuyến. Ưu điểm của giải pháp này là khắc
phục tấn công DDoS tức thì. Tuy nhiên, giải pháp này gây mất dịch vụ của IP bị black
hole. [5]
Hình 3. 3 Sử dụng BGP flowspec để chặn lưu lượng tấn công DDoS
Cleaning system được xây dựng dựa trên việc kết hợp phần mềm và lớp mạng.
Đây là hệ thống chống tấn công DDoS theo 2 lớp. Lớp 1 thực hiện chặn lưu lượng độc
hại tại lớp biên mà không làm ảnh hưởng đến lưu lượng an toàn. Tại lớp 2, lưu lượng
độc hại sẽ được chuyển hướng (divert) qua hệ thống lọc (scrubber) để làm sạch.
Hình 3. 4 Mô hình Cleaning System chặn DDoS, kết hợp RTBH, BGP flowspec.
- Remote Trigger Black Hole (RTBH): Phương án tác động tập trung lên 1
thiết bị router (RTBH router) có khả năng dạy route qua BGP cho tất cả các
thiết bị edge (PE, GW). Trong trường hợp 1 IP nội hoặc ngoại mạng bị tấn
công thì RTBH router sẽ dạy route đến IP bị tấn công này với 1 next-hop giả
cho các thiết bị PE, GW, đồng thời next-hop này được route static về Null0
trên PE, GW nên toàn bộ lưu lượng đến IP tấn công sẽ đi vào Null0.
- Router RTBH được tích hợp với tool để tự động hóa automation ngăn chặn
tấn công khi phát hiện nguồn tấn công.
Sử dụng RTBH kết hợp Unicast Reverse Path Forwarding (URPF) Loose mode
để thực hiện chặn tấn công DDOS theo địa chỉ nguồn của gói tin IP trên lớp GW. URPF
kiểm tra next-hop đến source của gói tin có hợp lệ hay không, nếu không hợp lệ thì
không forward gói tin đến destination. URPF dùng kết hợp với RTBH để triệt tiêu tấn
công từ 1 IP nguồn cụ thể.
Thực hiện các giải pháp bảo mật và đảm bảo an toàn khi tác động lên thiết bị
RTBH như sau:
CHƯƠNG 4: THỰC HÀNH TRÊN HỆ THÔNG LAB GIẢ LẬP KỸ THUẬT
TẤN CÔNG VÀ PHÒNG CHỐNG TẤN CÔNG DDOS
4.1 Sơ lược về thiết bị và mô phỏng
4.1.1 CentOS 7
CentOS là một hệ điều hành miễn phí được xây dựng và phát triển dựa trên hệ
điều hành mã nguồn mở Linux. centOS là viết tắt của Community Enterprise Operating
System (Hệ điều hành Doanh nghiệp Cộng đồng). Hệ điều hành này được tạo ra với mục
đích chính là xây dựng nền tảng hệ thống máy chủ miễn phí dành cho doanh nghiệp và
duy trì khả năng tương thích nhị phân với RHEL. Ngoài ra, CentOS còn cung cấp một
môi trường hoàn hảo để thực hiện các công việc liên quan đến lập trình.
Ưu điểm:
- CentOS có rất nhiều tính năng hỗ trợ được phát triển và xây dựng từ chính
cộng đồng đã tạo ra nó.
- Do có tính tương đồng với RHEL nên CentOS là một môi trường rất tốt để
lập trình.
- CentOS có khả năng vận hành tốt, mượt mà trên các mainframe, đặc biệt là
GUI, KDE, GNOME,…
- CentOS tạo ra một môi trường giống như trên desktop, rất đơn giản . Bạn có
thể sử dụng, tùy chỉnh dễ dàng với sự hỗ trợ của cộng đồng mạng và Red
Hat.
- Môi trường mà CentOS tạo ra có tính ổn định cao nên rất được ưa chuộng
bởi các doanh nghiệp.
- CentOS được Red Hat cung cấp nhiều mã nguồn và trình quản lý gói RPM.
- CentOS có nhiều cấp độ bảo mật khác nhau, vì vậy nó là sự lựa chọn an toàn
nhất để bảo mật thông tin kinh doanh cho doanh nghiệp.
4.1.2 Kali linux
Kali linux là một bản phân phối Linux dựa trên Debian, được tài trợ và phát triểu
bởi công ty Offensive Security Ltd hoạt động trong lĩnh vực bảo mật thông tin, kiểm tra
thâm nhập. Kali Linux là giải pháp tiện lợi và tiện dụng cho những ai học tập và hoạt
động trong lĩnh vực bảo mật bởi vì nó cung cấp rất nhiều công cụ cho những tác vụ liên
quan đến bảo mật như chuẩn bị, phân loại, thu thập và cập nhật các công cụ bảo mật bên
cạnh đó còn cung cấp nhiều công cụ mã nguồn mở giúp cho bạn dễ dàng trong việc tiến
hành kiểm tra bảo mật giúp tiết kiệm thời gian. Kali chứa rất nhiều công cụ với mục
đích hổ trợ các nhiệm vụ bảo mật thông tin khác nhau, ví dụ như Penetration Testing,
Security research, Computer Forensics và Reverse Engineering,..
Ưu điểm:
- Do phát triển trên hệ điều hành Debian, nên Kali có thể sử dụng các
repository của Debian hỗ trợ việc cài đặt được nhiều phần mềm và cập nhật
phần mềm nhanh chóng.
- Kali Linux liên tục cải tiến khả năng tương thích với thiết bị phần cứng của
rất nhiều loại như điện thoại, raspberry, laptop, server, cloud,… đảm bảo bạn
có thể cài đặt trên bất kì thiết bị nào.
- Kali Lunux hổ trợ rất tốt cho mạng wifi (không dây), điều này giúp các
chuyên gia bảo mật có thể thực hiện tấn công và kiểm thử khả năng bảo mật
của Wifi.
- Hỗ trợ đa dạng thiết không dây: Kali Linux được cải tiến để hỗ trợ nhiều thiết
bị không dây nhất có thể, cho phép nó hoạt động tốt trên nhiều loại phần cứng
và làm cho nó tương thích với nhiều thiết bị không dây và USB khác nhau.
4.2 Sơ đồ lab
Hình 4. 1 Sơ đồ Lab
Trong đó:
- Máy tạo traffic tấn công ( attacker ) kali linux có địa chỉ IP 192.168.1.39
Phân tích và viết rule chống tấn công DDoS sử dụng module u32 của iptables.
Ta thấy tần suất nhận gói tin của máy server là 92.411 packet/s có nghĩa là gói
tin tấn công đã thành công gửi đến mục tiêu.
4.5 Mô phỏng chống tấn công bằng iptables u32
Iptables là một tường lửa ứng dụng lọc gói dữ liệu rất mạnh, miễn phí và có sẵn
trên Linux. Netfilter/Iptables gồm 2 phần là Netfilter ở trong nhân Linux và Iptables
nằm ngoài nhân. Iptables chịu trách nhiệm giao tiếp giữa người dùng và Netfilter để đẩy
các luật của người dùng vào cho Netfiler xử lí. Netfilter tiến hành lọc các gói dữ liệu ở
mức IP. Netfilter làm việc trực tiếp trong nhân, nhanh và không làm giảm tốc độ của hệ
thống.
4.5.1 Nhận biết
Biểu hiện khi bị tấn công là trên là server của đột nhiên load cao, mọi xử lý của
server đều chậm chạp, truy cập vào các dịch vụ khó khăn.
ĐỖ THÀNH ĐẠT D17CQVT01-N Trang 27
CHƯƠNG 4: THỰC HÀNH TRÊN HỆ THỐNG LAB GIẢ LẬP KỸ THUẬT TẤN
CÔNG VÀ PHÒNG CHỐNG TẤN CÔNG DDOS
Code: # htop
Như hình ta thấy được mức sử dụng các tài nguyên hệ thống như Ram hay CPU
đang là 100%, có dấu hiệu cạn kiệt tài nguyên hệ thống. Khi ấy trên máy server ta sẽ
kiểm tra các gói tin xem có dấu hiệu của một cuộc tấn công DDoS theo phương thức
SYN Flood hay không.
Code: # tcpdump -i eth0 -nnn -vvv -X -c 10 -P in port 80
Kết quả: Các gói tin nhận được có dấu hiệu của một cuộc tấn công SYN Floot.
- Gói tin sử dụng giao thức TCP.
- Gói tin có cờ SYN được bật.
- Có mang theo payload.
- Cấu trúc các gói tin gần như là giống nhau.
Địa chỉ Source có prefix trải đều một cách tuần, mỗi IP gửi gói tin đến server với
tần số thấp cho nên có thể xác định đây là kiểu tấn công Random Source IP với các gói
tin được tạo ra từ cùng một nguồn.
Số lượng Source IP là vô hạn, vì tool có thể tạo gói tin SYN với source IP bất kỳ
cho nên chặn IP sẽ không giải quyết được vấn đề, tần số từ mỗi IP thấp thì việc đặt rate
limiting cũng sẽ không có tác dụng. Do đó, dựa vào các dấu hiệu bất thường là các gói
tin SYN có mang theo Payload, ta sẽ viết rule DROP để bỏ các gói tin có đặc điểm này.
Kiểm tra giao thức TCP của gói tin
Để kiểm tra gói tin có phải là TCP hay không, ta cần kiểm tra trường Protocol
trong IP Header (byte thứ 9). Nếu giá trị của trường này bằng 6 thì là TCP:
Code: # iptables -I INPUT -m u32 --u32 “6&0xFF=6” -j LOG --log-prefix “
TCP ”
Để kiểm tra xem có phải là gói SYN hay không, cần kiểm tra cờ SYN trong TCP
mang giá trị 0 hay 1. Với giá trị 0 cờ SYN không bật, giá trị 1 thì cờ SYN được bật:
Code: # iptables -I INPUT -m u32 –u32 “0>>22&0x3C@10>>1&0x1=0x1” -j
LOG --log-prefix “ SYN ”
Kiểm tra lại bằng công cụ htop ta thấy tài nguyên hệ thống đã khôi phục, hoạt
động bình thường trở lại.
Hình 4. 15 Kiểm tra tiến trình hệ thống khi đã loại bỏ các gói tin bất thường
KẾT LUẬN
Sau khoảng thời gian 4 tuần thực tập, em đã ít nhiều hiểu và biết hơn kiến thức
về DDoS, có thể thấy được những ảnh hưởng to lớn của DDoS đối với hệ thống mạng
và máy chủ dịch vụ.
Trong thời gian thực tập tại Công Ty Cổ Phần Viễn Thông ACT nhờ sự chỉ bảo
tận tình của đơn vị hướng dẫn em đã có thể thực hiện một cuộc tấn công đơn giản và
tìm cách phòng chống tương đương, nhờ đó em có thể hiểu hơn về cơ chế hoạt động của
DDoS.
Qua những gì tìm hiểu được, em thấy vẫn còn nhiều điều cần phải học hỏi để có
thề hoàn thiện hơn kiến thức của bản thân. Tấn công DDoS ngày càng biến thể tinh vi
hơn, mức độ phá hoại cũng cao hơn, làm cho việc phòng chống DDoS ngày một khó
khăn. Cho nên, chúng ta cần phải luôn nổ lực không ngừng tìm hiểu và nghiên cứu để
có thể đưa ra các giải pháp hợp lý, giảm thiểu thiệt hại, nâng cao hiệu quả phòng chống
DDoS cho hệ thống máy chủ trong tương lai.
IE Internet Explorer
[3] T. Q. Tân, "Nghiên cứu và phòng chống tấn công từ chối dịch vụ phân tán vào các
website".