BÀI THỰC HÀNH 1

I. Cấu hình và thực hiện tấn công mạng vào máy chủ Webserver
- Tạo máy ảo Kali và WebServer kết nối với nhau có địa chỉ IP như sau:

- Tạo một webserver với tên miền congannhandan.com.vn:

+ Tại máy chủ webserver truy cập vào DNS Manager, tạo bản ghi
Alias(CNAME) mới
+ Cấu hình trang web của máy chủ tại thư mục C:/inetpub/wwwroot

- Thực hiện cấu hình DNS trên máy Kali tại DNS Server là 192.168.1.200, kết
nối đến trang web www.congannhandan.com.vn
- Cài đặt công cụ Wireshark để ghi nhận lưu lượng mạng truy cập đến
Webserver:

- Sử dụng một công cụ hping3 trên máy Kali để thực hiện tấn công ping flood
đến Webserver:
+ Mở Terminal trên máy Kali gõ câu lệnh: sudo hping3 -S --flood -V -p 80
192.168.1.200.

+ Sau khi thực hiện tấn công ta thấy không thể truy cập được đến địa chỉ trang
web www.congannhandan.com.vn

+ Sử dụng Wireshark trên máy webserver để quan sát luồng mạng ta thấy một
lượng lớn lưu lượng truy cập từ máy Kali
+ CPU của máy Webserver bị sử dụng ở mức 100%
II. Thực hiện ứng phó sự cố tấn công từ chối dịch vụ trên máy webserver:
- Trong trường hợp xảy ra một cuộc tấn công mạng chúng ta có những
biện pháp để ứng phó như sau:
+ Phân đoạn mạng - Phân chia mạng thành các phần nhỏ hơn, dễ quản lý
hơn, có thể hạn chế tác động của cuộc tấn công DoS. Điều này có thể được thực
hiện bằng cách tạo Vlan và tường lửa có thể hạn chế sự lây lan của một cuộc tấn
công. Giải pháp tối ưu là phân đoạn vi mô không tin cậy. Việc bổ sung tường
lửa che giấu thiết bị và cấp thiết bị bên ngoài hệ điều hành vẫn là hình thức bảo
vệ DoS đáng tin cậy nhất.
+ Cân bằng tải - Phân phối lưu lượng trên nhiều máy chủ, một cuộc tấn
công DoS có thể được ngăn chặn khỏi việc áp đảo một máy chủ hoặc tài nguyên.
Cân bằng tải có thể đạt được bằng cách sử dụng các giải pháp phần cứng hoặc
phần mềm.
+ Chặn IP - Chặn lưu lượng truy cập từ các nguồn độc hại đã biết hoặc bị
nghi ngờ có thể ngăn lưu lượng truy cập DoS tiếp cận mục tiêu của nó.
+ Giới hạn tốc độ - Việc giới hạn tốc độ lưu lượng truy cập đến máy chủ
hoặc tài nguyên có thể ngăn chặn một cuộc tấn công DoS áp đảo nó.
+ Mạng phân phối nội dung (CDN) - Việc phân phối nội dung trang web
trên nhiều địa điểm khiến việc tấn công đánh sập toàn bộ trang web trở nên khó
khăn hơn.
+ Sử dụng Dịch vụ Bảo vệ DDoS: Các dịch vụ chuyên nghiệp bảo vệ
DDoS có thể giúp chuyển lưu lượng tấn công ra khỏi máy chủ chính và làm
giảm áp lực lên hệ thống của bạn. Các nhà cung cấp nổi tiếng bao gồm
Cloudflare, Akamai, và AWS Shield.
+ Điều chỉnh Bộ lọc Từ chối Dịch vụ (Firewall): Cấu hình bộ lọc từ chối
dịch vụ trên máy chủ web để chặn lưu lượng đến từ các địa chỉ IP đáng ngờ
hoặc có hành vi kỳ quái.
 + Liên hệ với Nhà cung cấp Dịch vụ Internet (ISP): Thông báo tình huống
cho ISP của bạn để họ có thể hỗ trợ trong việc lọc lưu lượng đến máy chủ của
bạn hoặc tìm kiếm nguồn gốc của cuộc tấn công.
- Phát hiện địa chỉ IP thực hiện tấn công:
+ Sử dụng công cụ Wireshark để chặn bắt gói tin trên máy chủ Webserver

+ Qua phân tích dữ liệu trên Wireshark ta thấy rằng địa chỉ IP
192.168.1.100 đã gửi một lượng lớn yêu cầu đến máy Webserver. Từ đó ta xác
định rằng địa chỉ trên là chính là nguồn gốc của cuộc tấn công mạng. Với trường
hợp này ta sẽ sử dụng biện pháp chặn địa chỉ IP 192.168.1.100 để ứng phó với
sự cố này.
- Cấu hình tường lửa trên webserver để chặn các IP tấn công từ chối dịch
vụ
+ Trên máy chủ webserver mở Window Firewall with advance Security,
chuột phải vào Inbound Rule chọn New Rule -> Custom:
Chọn Next, tiếp tục đến bước cấu hình Scope ta nhập địa chỉ IP 192.168.1.100:

Tiếp theo chọn Block the connection

+ Tiếp tục chọn Next, sau đó đặt tên cho Rule mới là BlockDoS chọn Finish.
+ Sau khi thiết lập luật mới ta được giao diện sau: