LỜI CẢM ƠN

Trước tiên, chúng em xin cảm ơn quí thầy cô khoa Công nghệ thông tin cùng toàn thể quí thầy cô trường Đại Học Kỹ Thuật Công Nghệ đã tận tình chỉ dạy chúng em trong gần hai năm học vừa qua. Trong suốt quá trình thực hiện đồ án, với khoảng thời gian ngắn chúng em đã nhận được sự hướng dẫn tận tình của thầy Văn

Thiên Hoàng. Thầy đã đôn đốc, nhắc nhở, chỉ dẫn chúng em trong
suốt quá thực hiện đồ án. Qua đồ án đã thu thập được rất nhiều kiến thức quý giá. Chúng em xin gửi lời cám ơn chân thành đến Thầy về những gì Thầy đã giúp đỡ chúng em trong khoảng thời gian vừa qua. Kính chúc toàn thể thầy cô dồi dào sức khỏe và đạt nhiều thành công trong sự nghiệp trồng người cao cả. Cao Minh Nhân – Huỳnh Văn Thảo

-1-

MỤC LỤC

MỞ ĐẦU 2 3.3.4 Giao diện hệ thống sau khi cài đặt................................71

KẾT LUẬN..................................................................................84 TÀI LIỆU THAM KHẢO .........................................................84

DANH MỤC HÌNH MINH HỌA
MỞ ĐẦU 2 3.3.4 Giao diện hệ thống sau khi cài đặt................................71

KẾT LUẬN..................................................................................84 TÀI LIỆU THAM KHẢO .........................................................84

MỞ ĐẦU
1. Giới thiệu Ngày nay cùng với sự tiến bộ của Công nghệ Thông tin, mạng máy tính đã trở thành một hạ tầng cơ sở quan trọng của tất cả các cơ quan xí nghiệp nói chung và tất cả các công ty nói riêng trên. Một mô hình mạng có thể được cài đặt dưới nhiều hệ điều hành khác nhau. Chẳng hạn với mô hình Domain, ta có nhiều lựa chọn như: Windows NT, Windows 2000, Netware, Unix, Linux,... Tương tự -2-

các giao thức thông dụng như TCP/IP, NETBEUI, IPX/SPX cũng được hỗ trợ trong hầu hết các hệ điều hành.và sự tiến bộ đó có một phần tiêu cực là hình thành nên thành phần phá hoại hệ thống đó bằng các lỗ hỗng của hệ điều hành, ứng dụng với mục tiêu làm chủ hệ thống hoặc phá hoại hệ thống. Để chống lại các cuộc tấn công phá hoại đó cần phải có kiến thức xây dựng hệ thống tốt bảo đảm hổ trợ tốt với người dùng và nâng cao mức độ bảo vệ cho hệ thống đó là vấn đề chính mà ta phải phân tích trong các mục sau đây. 2. Mục tiêu của đề tài Có rất nhiều cách tấn công vào hệ thống mạng nhưng kỹ thuật tấn công DoS, DDoS là nguy hiểm nhất và được giới hacker trên thế giới đánh giá là cách tấn công manh nhất và khó phòng tránh nhất. Vì vậy đề tài này nghiên cứu các phương pháp các kỹ thuật tấn công DoS, DDoS cơ bản và xây dựng hệ thống phòng thủ các cuộc tấn công đó bằng fireware linux. 1. Hướng tiếp cận giải quyết Để thực hiện được mục tiêu đặt ra, đề tài này trình bày chi tiết xu hướng các cuộc tấn công hiện nay, các phương pháp các loại tấn công bằng DoS và DDoS ưu và nhược điểm của các cuộc tấn công. Nghiên cứu các firewall của linux trình bày các cách thiết lập luật và áp dụng firewall iptables phòng chống các cuộc tấn công bằng DoS, DDoS. Tiến hành mô phỏng các cuộc tấn công DDoS và cách phòng chống trên mô hình lab. 4. Bố cục đề tài Với mục tiêu và định hướng như vậy nội dung của đề tài này chia làm 4 chương . Chương 1 Giới thiệu DoS và DDoS Giới thiệu về lịch sử phát triển DoS, DDoS lịch sử các cuộc tấn công DDoS các mục đích của cuộc tấn công DDoS. Tìm hiểu các phương pháp tấn công DoS và DDoS các giai đoạn xác định mục tiêu thời điểm phát động tấn công và xóa bỏ dấu vết sau khi tấn công . Chương 2 Trình bày firewall trên linux

-3-

Giới thiệu về iptable chức năng cách thức hoạt động, các điều kiện trong luật, cách thiết lập luật áp dụng phòng chống tấn công DoS, DDoS của firewall iptables. Trình bày tính năng một số firewall khác của linux ngoài iptables. Chương 3 Mô hình thực nghiệm Thiết lập mô hình mạng dùng hệ điều hành Centos cài iptables làm firewall, bên trong hệ thống có server Web và từ bên ngoài tấn công vào bằng các tool sử dụng các phương pháp tấn công DoS và DdoS và đưa ra kết quả thực nghiệm.

Chương 1
1.1

Giới thiệu DoS và DDoS

Lịch sử phát triển DoS và DDoS Từ cuối những năm 90 của thế kỷ trước. Hoạt động này bắt nguồn từ khi

một số chuyên gia bảo mật, trong quá trình phát hiện khiếm khuyết hệ thống trên hệ điều hành Windows 98, đã phát hiện ra rằng chỉ cần gửi một gói dữ liệu ping có dung lượng lớn cũng đủ để làm tê liệt một server mục tiêu. Phát hiện này sau đó ngay lập tức được giới hacker sử dụng để triệt tiêu những đối tượng mà họ có ý định tấn công. Từ đây, hình thức sơ khai của DoS (Denial of Service) đã ra đời. Tấn công DoS là một kiểu tấn công mà một người làm cho một hệ thống -4-

Cuối tháng 8 đầu tháng 9 năm 1999. Yahoo đã tìm ra nguyên nhân gây nên tình trạng này. Như định nghĩa trên DoS khi tấn công vào một hệ thống sẽ khai thác những cái yếu nhất của hệ thống để tấn công . Nếu nó từ 30. nó gây ra từ chối các yêu cầu hợp lệ của các user bình thường. Nếu một địa chỉ IP tấn công một công ty. thì chúng cố gắng tìm cách làm cho hệ thống đó sụp đổ và không có khả năng phục vụ người dùng bình thường đó là tấn công Denial of Service (DoS). họ đang phải gánh chịu một đợt tấn công DDoS với quy mô vài ngàn -5- . và điều này càng nguy hiểm hơn khi chúng sử dụng một hệ thống mạng Bot trên internet thực hiện tấn công DoS và đó được gọi là tấn công DDoS.com đã phải ngưng phục vụ hàng trăm triệu user trên toàn thế giới nhiều giờ liền.000 địa chỉ IP khác. Nếu kẻ tấn công không có khả năng thâm nhập được vào hệ thống. Bằng cách tạo ra những gói tin cực nhiều đến một đích cụ thể. Mặc dù tấn công DoS và DDos không có khả năng truy cập vào dữ liệu thực của hệ thống nhưng nó có thể làm gián đoạn các dịch vụ mà hệ thống đó cung cấp. 1998 Chương trình Trinoo Distributed Denial of Service (DDoS) được viết bởi Phifli. Tribal Flood Network đầu tiiên ra đời. Chương trình được Mixter Phát triển.1 Lịch sử các cuộc tấn công Tháng 5 – 1999 Trang chủ của FBI đã ngừng họat động vì cuộc tấn công bằng (DDOS). Ngày 21 tháng 10 năm 1999 David Dittrich thuộc trường đại học Washington đã làm những phân tích về công cụ tấn công từ chối dịch vụ. nó có thể gây tình trạng tương tự như hệ thống bị shutdown. Ngày 21 tháng 12 năm 1999 Mixter phát hành Tribe Flood Network 2000 ( TFN2K ). Công cụ Stacheldraht đã bắt đầu xuất hiện trên những hệ thống của Châu âu và Hoa kỳ.1. Ngày 7/3/2000.không thể sử dụng. bằng cách làm quá tải tài nguyên của hệ thống. Cuối tháng 9 năm 1999. yahoo. Trên Internet tấn công DDos (Distributed Denial of Service) là một dạng tấn công từ nhiều máy tính tới một đích. thì điều này là vô cùng khó khăn. Thủ phạm có thể gây nhiều ảnh hưởng bởi tấn công từ chối dịch vụ DoS. Tháng 6 – 1999 Mạng Trinoo đã được cài đặt và kiểm tra trên hơn 2000 hệ thống. 1. nó có thể được chặn bởi Firewall. hoặc làm cho hệ thống đó chậm đi một cách đáng kể với người dùng bình thường. Vài giờ sau.

Các cuộc tấn công có thể được thực hiện nhằm vào bất kì một thiết bị mạng nào bao gồm là tấn công vào các thiết bị định tuyến. Microsoft đã chịu đợt tấn công DoS cực mạnh và làm gián đoạn websites trong vòng 2 giờ.com. Cố gắng ngăn chặn những người dùng cụ thể vào một dịch vụ nào đó. Cố gắng ngăn chặn các dịch vụ không cho người khác có khả năng truy cập vào. và CNN. -6- . Lúc 7 giờ tối ngày 9-2/2000 Website Excite. Datek. Cố gắng làm ngắt kết nối giữa hai máy. Có năm mục tiêu tấn công cơ bản sau đây. Vào ngày 15 tháng 8 năm 2003. 8 -2 nhiều Web site lớn như Buy. eBay. Vào lúc 15:09 giờ GMT ngày 27 tháng 3 năm 2003: toàn bộ phiên bản tiếng anh của website Al-Jazeera bị tấn công làm gián đoạn trong nhiều giờ.2 Các mục đích của tấn công DoS và DDoS Cố gắng chiếm băng thông mạng và làm hệ thống mạng bị ngập . • • • Disable Network .com.Tổ chức không hoạt động Financial Loss – Tài chính bị mất 1. và ngăn chặn quá trình truy cập vào dịch vụ. khi đó hệ thống mạng sẽ không có khả năng đáp ứng những dịch vụ khác cho người dùng bình thường. thư điện tử và hệ thống DNS. Tấn công từ chối dịch vụ có thể được thực hiện theo một số cách nhất định.1. và gói dữ liệu đó đã hư hỏng nặng.com là cái đích của một vụ tấn công từ chối dịch vụ. dữ liệu được luân chuyễn tới tấp trong vòng 1 giờ cho đến khi kết thúc. web. Amazon. MSN.com bị tấn công từ chối dịch vụ.1.Tắt mạng Disable Organization .máy tính liên tục gửi hàng triệu request đến các server dịch vụ làm các server này không thể phục vụ các user thông thường khác.3 Mục tiêu của cuộc tấn công thường sử dụng tấn công Dos và DDos Tấn công từ chối dịch vụ là một loại hình tấn công nhằm ngăn chặn những người dùng hợp lệ được sử dụng một dịch vụ nào đó. Qua đó ta có thể thấy rõ những vụ tấn công từ chối dịch vụ (Denial Of Services Attack ) và những cuộc tấn công về việc gửi nhửng gói dữ liệu tới máy chủ (Flood Data Of Services Attack) tới tấp là những mối lo sợ cho nhiều mạng máy tính lớn và nhỏ hiện nay. 1. Khi tấn công DoS xảy ra người dùng có cảm giác khi truy cập vào dịch vụ đó như bị .

dùng và nạn nhân dẫn đến việc liên lạc giữa hai bên không được thông Một cuộc tấn công từ chối dịch vụ có thể bao gồm cả việc thực thi malware mục đích . • • Gây crash hệ thống. Làm tắc nghẽn thông tin liên lạc có chủ đích giữa các người đĩa cứng hoặc thời gian xử lý. dẫn đến hệ thống không thể thực thi Những lỗi gọi tức thì trong microcode của máy tính. nhưng nói cung nó gồm có -7- . DDOS Dos (Denial of Service . Mặc dù phương tiện để tiến hành. dung lượng Phá vỡ các thông tin cấu hình như thông tin định tuyến. phiên TCP. động cơ. Nhằm tiêu tốn tài nguyên tính toán như băng thông. là sự cố gắng làm cho tài nguyên của một máy tính không thể sử dụng được nhằm vào những người dùng của nó.DoS) tấn công từ chối dịch vụ hay DDos(Distributed Denial of Service . • • • • Làm quá tải năng lực xử lý. mục tiêu của tấn công từ chối dịch vụ là khác nhau. Phá vỡ các trạng thái thông tin như việc tự động reset lại các Phá vỡ các thành phần vật lý của mạng máy tính . VD: như sử dụng tất cả các năng lực có sẵn dẫn đến không một công việc thực tế nào có thể hoàn thành được. dẫn đến máy tính rơi Những lỗi có thể khai thác được ở hệ điều hành dẫn đến việc bất kì một công việc nào khác.• • • • • suốt. Những lỗi gọi tức thì trong chuỗi chỉ thị.DDoS) tấn công từ chối dịch vụ phân tán. 1.2 Khái niệm DoS. thiếu thốn tài nguyên hoặc bị thrashing. Tấn công từ chối dịch vụ iFrame: trong một trang HTML có thể gọi đến một trang web nào đó với rất nhiều yêu cầu và trong rất nhiều lần cho đến khi băng thông của trang web đó bị quá hạn …. vào trạng thái hoạt động không ổn định hoặc bị đơ.

làm cho server không thể nào đáp ứng các yêu cầu khác từ các clients của những người dùng bình thường và có thể nhanh chóng bị ngừng hoạt động. bộ nhớ. mất kết nối với dịch vụ… mà mục đích cuối cùng là máy chủ (Server) không thể đáp ứng được các yêu cầu sử dụng dịch vụ từ các máy trạm (Client). Nó bao gồm làm tràn ngập mạng.sự phối hợp. Tấn công từ chối dịch vụ DoS (Denial of Service) có thể mô tả như hành động ngăn cản khả năng truy cập và sử dụng vào một dịch vụ nào đó của những người dùng hợp pháp. kẻ tấn công sẽ chiếm dụng một lượng lớn tài nguyên mạng như băng thông.1 Các giai đoạn của một cuộc tấn công kiểu DDoS Có ba giai đoạn • Giai đoạn chuẩn bị -8- .DoS có thể làm ngưng hoạt động của một máy tính. một mạng nội bộ.. thậm chí cả một hệ thống mạng rất lớn.. Về bản chấc thực sự của DoS. tài nguyên có thể là băn thông. Hình 1-1: Mô hình tấn công DDoS 1. cpu. crash hoặc reboot. đĩa cứng. . bộ nhớ… và làm mất khả năng xử lý các yêu cầu dịch vụ từ các client khác. Thực chất của tấn công bằng từ chối dịch vụ(Denial Of Services Attack) là hacker sẽ chiếm dụng một lựợng lớn tài nguyên trên server.2. sự cố gắng ác ý của một hay nhiều người nhằm chống lại việc vận hành hiệu quả của các dịch vụ mạng trong một khoảng thời gian nào đó.

việc cấu hình và thử nghiệm toàn bộ attack-netword (bao gồm mạng lưới các máy đã bị lợi dụng cùng với các software đã được thiết lập trên đó. ngăn chặn không cho nó hoạt động như thiết kế. sẽ vắt cạn năng lực của server mục tiêu liên tục. hacker sẽ có hoạt động điều chỉnh attack-netword chuyển hướng tấn công về phía mục tiêu. máy của hacker hoặc một số máy khác đã được thiết lập như điểm phát động tấn công) cũng sẽ được thực hiện trong giai đoạn này. Toàn bộ attack-network (có thể lên đến hàng ngàn máy). Hacker có thể viết phần mềm này hay down load một cách dễ dàng. Kế tiếp. theo thống kê tạm thời có khoảng hơn 10 công cụ DDoS được cung cấp miễn phí trên mạng (các công cụ này sẽ phân tích chi tiết vào phần sau). • Giai đoạn xác định mục tiêu và thời điểm Sau khi xác định mục tiêu lấn cuối. Sau một khoảng thời gian tấn công thích hợp.2. lệnh tấn công này có thể đi qua nhiều cấp mói đến host thực sự tấn công. tiến hành cài đặt các software cần thiết trên các host này. Yếu tố thời điểm sẽ quyết định mức độ thiệt hại và tốc độ đáp ứng của mục tiêu đối với cuộc tấn công. việc này đòi hỏi trình độ khác cao và không tuyệt đối cần thiết. 1.Chuẩn bị công cụ quan trọng của cuộc tấn công. công cụ này thông thường hoạt động theo mô hình client-server. hacker tiến hành xóa mọi dấu vết có thể truy ngược đến mình. hacker phát động tấn công từ máy của mình.2 Kiến trúc tổng quan của DDoS attack-network DDoS attack-network có hai mô hình chính • • Mô hình Agent – Handler Mô hình IRC – Based -9- . dùng các kỹ thuật hack khác để nắm trọn quyền một số host trên mạng. • Phát động tấn công và xóa dấu vết Đúng thời điểm đã định.

Tùy theo cách . Attacker Attacker Handler Handler Handler Handler Agent Agent Agent Agent Agent Victim Hình 1-3: Kiến trúc attack-network kiểu Agent – Handler Attacker sẽ từ Client giao tiếp với cc1 Handler để xác định số lượng Agent đang online. nhận điều khiển từ Client thông qua các Handler). Handler ( là một thành phần software trung gian giữa Agent và Client). Client ( là software cơ sở để hacker điều khiển mọi hoạt động của attack-network).3 Mô hình Agent – Handler Theo mô hình này.2. điều chỉnh thời điểm tấn công và cập nhật các Agent.10 - . Agent ( là thành phần software thực hiện sự tấn công mục tiêu.DDoS attack-network Agent -Handler IRC .Based Client – Handler Communication Client–Handler Communication Secret/private channel Public channel TCP UDP ICM P TCP UDP ICM P Hình 1-2: Sơ đồ chính phân loại các kiểu tấn công DDoS 1. Client và Handler. attack-network gồm 3 thành phần: Agent.

giao tiếp với nhau trên nhiều kênh (channel).attacker cấu hình attack-network. Chủ nhân thực sự của các Agent thông thường không hề hay biết họ bị lợi dụng vào cuộc tấn công kiểu DDoS. nếu user ngoài channel dùng một số lệnh channel locator thì có thể biết được sự tồn tại của private channel đó. 1. private và serect. do họ không đủ kiến thức hoặc các chương trình Backdoor Agent chỉ sử dụng rất ít tài nguyên hệ thống làm cho hầu như không thể thấy ảnh hưởng gì đến hiệu năng của hệ thống. handler và Agent khó bị phát hiện. IRC cho phép User tạo một kết nối đến multipoint đến nhiều user khác và chat thời gian thực. Kiến trúc củ IRC network bao gồm nhiều IRC server trên khắp internet. . các Agent sẽ chịu sự quản lý của một hay nhiều Handler. • • Public channel: Cho phép user của channel đó thấy IRC name Private channel: được thiết kế để giao tiếp với các đối tượng và nhận được message của mọi user khác trên cùng channel cho phép. • Secrect channel : tương tự private channel nhưng không thể xác định bằng channel locator.11 - . Tuy nhiên. Các gia tiếp này thông thường xảy ra trên các protocol TCP. Thông thường Attacker sẽ đặt Handler software trên một Router hay một server có lượng traffic lưu thông nhiều. Không cho phép các user không cùng channel thấy IRC name và message trên channel. IRC network cho phép user tạo ba loại channel: public.4 Mô hình IRC – Based Internet Relay Chat (IRC) là một hệ thống online chat multiuser. Việc này nhằm làm cho các giao tiếp giữa Client.2. UDP hay ICMP.

logon vào IRC server là đã có thể nhận được report về trạng thái các Agent do các channel gửi về.Attacker Attacker IRC NETWORK Agent Agent Agent Agent Agent Victim Hình 1-4: Kiến trúc attack-network của kiểu IRC-Base IRC – Based net work cũng tương tự như Agent – Handler network nhưng mô hình này sử dụng các kênh giao tiếp IRC làm phương tiện giao tiếp giữa Client và Agent (không sử dụng Handler). Dưới đây là sơ đồ mô tả sự phân loại các kiểu tấn công DDoS.12 - . hacker chỉ cần không bị nghi ngờ. có rất nhiều biến thể của kỹ thuật tấn công DDoS nhưng nếu nhìn dưới góc độ chuyên môn thì có thể chia các biến thề này thành hai loại dựa trên mụch đích tấn công: Làm cạn kiệt băng thông và làm cạn kiệt tài nguyên hệ thống. . • 1. PHÂN LOẠI KIỂU TẤN CÔNG DDOS Nhìn chung. Sử dụng mô hình này.3 Sau cùng: IRC cũng là một môi trường file sharing tạo điều kiện phát tán các Agent code lên nhiều máy khác. attacker còn có thêm một số lợi thế khác như • Các giao tiếp dưới dạng chat message làm cho việc phát hiện chúng là vô cùng khó khăn • • IRC traffic có thể di chuyển trên mạng với số lượng lớn mà Không cần phải duy trì danh sách các Agent.

13 Depletion Attack) .1. Có hai loại BandWith Depletion Attack. làm dịch vụ này bị hết khả năng về băng thông. làm cho tất cả các máy trong subnet này gửi message đến hệ thống dịch vụ của mục tiêu.3. 1. Phương pháp này làm gia tăng traffic không cần thiết.1 Flood attack Trong phương pháp này. • Flood attack Điều khiển các Agent gởi một lượng lớn traffic đến hệ thống dịch vụ của mục tiêu. hệ thống bị treo hay đạt đến trạng thái . với mục địch làm giảm tối thiểu khả năng của các traffic hợp lệ đến được hệ thống cung cấp dịch vụ của mục tiêu. làm suy giảm băng thông của mục tiêu.DDoS attack Bandwith DeleptionDeleption Resource Deleption Amplificati Flood Attack on Attack Protocol Exploit Attack Malformed Paclket attack IP IP@ Attack Spoof source Attack Spoo Attack sourc Attac UD P Smuft ICMP Static Port Attac k Spoof Source Atta ck Attac attac k Direc Loop Attack Flaggle Attack TCP Attac k PUSH +ACK SYN Attack Rand Port Attack Spoof source Attack Spoof source Attack Hình 1-5 : Phân loại tấn công kểu DDoS 1. • Amplification attack Điều khiển các agent hay Client tự gửi message đến một địa chỉ IP broadcast.1 Những kiểu tấn công làm cạn kiệt băng thông (BandWith BandWith Depletion Attack được thiết kế nhằm làm tràng ngập mạng mục tiêu với những traffic không cần thiết. các Agent sẽ gửi một lượng lớn IP traffic làm hệ thống dịch vụ của mục tiêu bị chậm lại.3.

địa chỉ IP của cá Agent có thể bị giả mạo. Smuft va Fraggle attack. Nếu port bị tấn công không sẵn sàng thì hệ thống mục tiêu sẽ gửi ra một ICMP packet loại “destination port unreachable”.1. thì có thể lợi dụng các hệ thống bên trong broadcast network như một Agent. Chức năng này cho phép bên gửi chỉ định một địa chỉ IP broadcast cho toàn subnet bên nhận thay vì nhiều địa chỉ. • UDP Flood Attack Do tính chất connectionless của UDP. . Thông thường các Agent software sẽ dùng địa chỉ IP giả để che giấu hành tung. 1. Khi các Agent gởi một lượng lớn ICMP_ECHO_REPLY đến hệ thống mục tiêu thì hệ thống này phải reply một lượng tương ứng Packet để trả lời.hoạt động bão hòa. Làm cho các User thực sự của hệ thống không sử dụng được dịch vụ. cho nên các message trả về do không có port xử lý sẽ dẫn đến một đại chỉ Ip khác. UDP Flood attack cũng có thể làm ảnh hưởng đến các kết nối xung quanh mục tiêu do sự hội tụ của packet diễn ra rất mạnh. Tương tự trường hợp trên.2 Amplification Attack Amplification Attack nhắm đến việc sử dụng các chức năng hỗ trợ địa chỉ IP broadcast của các router nhằm khuyếch đại và hồi chuyển cuộc tấn công. sẽ dẫn đến nghẽn đường truyền. • ICMP Flood Attack Được thiết kế nhằm mục đích quản lý mạng cũng như định vị thiết bị mạng. Thông thường là sẽ gửi đến nhiều port làm cho hệ thống mục tiêu phải căng ra để xử lý phân hướng cho các packet này. Nếu attacker trực tiếp gửi message. hệ thống nhận UDP message chỉ đơn giản nhận vào tất cả các packet mình cần phải xử lý. Attacker có thể gửi broadcast message trực tiếp hay thông qua một số Agent nhằm làm gia tăng cường độ của cuộc tấn công. Router sẽ có nhiệm vụ gửi đến tất cả địa chỉ IP trong subnet đó packet broadcast mà nó nhận được. Có thể chia amplification attack thành hai loại. Một lượng lớn các UDP packet được gởi đến hệ thống dịch vụ của mục tiêu sẽ đẩy toàn bộ hệ thống đến ngưỡng giới hạn.3. Ta có thể chia Flood Attack thành hai loại.14 - . Các UDP packet này có thể được gửi đến nhiều port tùy ý hay chỉ duy nhất một port.

15 - . Thông thường những packet được dùng là ICMP ECHO REQUEST. Attacker phát động cuộc tấn công bằng một ECHO REQUEST với địa chỉ bên nhận là một địa chỉ broadcast. sau đó từ nạn nhân một ECHO REPLY lại gửi trở về địa chỉ broadcast. với địa chỉ của nạn nhân. Thật ra còn một biến thể khác của Fraggle attack sẽ gửi đến UDP ECHO packet đến chargen port (port 19/UNIX) của mục tiêu. các packet này yêu cầu yêu cầu bên nhận phải trả lời bằng một ICMP ECHO REPLY packet. tạo nên một vòng lặp vô hạn. Network amplifier sẽ gửi đến ICMP ECHO REQUEST packet đến tất cả các hệ thống thuộc địa chỉ broadcast và tất cả các hệ thống này sẽ REPLY packet về địa chỉ IP của mục tiêu tấn công Smuft Attack. quá trình cứ thế . • Fraggle Attack Tương tự như Smuft attack nhưng thay vì dùng ICMP ECHO REQUEST packet thì sẽ dùng UDP ECHO packet gởi đếm mục tiêu. với địa chỉ bên gửi là echo port (port 7/UNIX) của mục tiêu.Attacker/Age nt VICTIM Amplifi er Amplifier Network System Hình 1-6 : Amplification Attack • Smuft attack Trong kiểu tấn công này attacker gởi packet đến network amplifier (router hay thiết bị mạng khác hỗ trợ broadcast). toàn bộ hệ thống thuộc địa chỉ này lập tức gửi REPLY đến port echo của nạn nhân.

1.3. Những kiểu tấn công làm cạn kiệt tài nguyên (Resource Deleption TCP Client Client Port 1024-65535 SYS SYN/A CK ACK Hình 1-7 : Mô hình truyền dữ liệu 80 TCP Server Service Port 1-1023 Nếu bên server đã trả lời một yêu cầu SYN bằng một SYN/ACK REPLY nhưng không nhận được ACK packet cuối cùng sau một khoảng thời gian quy định thì nó sẽ resend lại SYN/ACK REPLY cho đến hết thời gian timeout. Bước cuối cùng.tiếp diễn.1 Protocol Exploit Attack TCP SYS Attack: Transfer Control Protocol hỗ trợ truyền nhận với độ tin cậy cao nên sử dụng phương thức bắt tay giữa bên gởi và bên nhận trước khi truyền dữ liệu. Toàn bộ tài nguyên hệ thống “dự trữ” để xử lý phiên giao tiếp nếu nhận được ACK packet cuối cùng sẽ bị “phong tỏa” cho đến hết thời gian timeout. bên gửi sẽ truyên packet cuối cùng ACK và bắt đầu truyền dữ liệu. 1.2. Đây chính là nguyên nhân Flaggle Attack nguy hiểm hơn Smuft Attack rất nhiều.16 - . bên gửi gởi một SYN REQUEST packet (Synchronize). Bước đầu tiên.3. hay gửi những packet với dụng ý làm tắt nghẽn tài nguyên mạng làm cho các tài nguyên này không phục vụ user thông thường khác được.2 Attack) Resource Deleption Attack là kiểu tấn công trong đó Attacker gởi những packet dùng các protocol sai chức năng thiết kế. Bên nhận nếu nhận được SYN REQUEST sẽ trả lời bằng SYN/ACK REPLY packet. .

các packet được chứa trong buffer. attacker gởi một SYN packet đến nạn nhân với địa chỉ bên gởi là giả mạo. kết quả là nạn nhân gởi SYN/ACK REPLY đến một địa chỉ khá và sẽ không bao giờ nhận được ACK packet cuối cùng. Serve r SYN SYN/A CK Client Attacker/Age nt SYN Serve r SYN/A CK SYN/A ACK CK Hình 1-9 : Biểu đồ các giao thức trước và sau khi tấn công PUSH = ACK Attack: Trong TCP protocol.SYS packet with a deliberately fraudulent (spoofed) source IP return Victim TCP Server Malicious TCP Client address SYN ? SYS/A CK Hình 1-8 : Mô hình khi bị tấn công 0 8 Nắm được điểm yếu này. hệ thống sẽ không thể xử lý được lượng lớn packet gửi đến và sẽ bị treo.17 - . hệ thống của nạn nhân có thể bị hết tài nguyên. cho đến hết thời gian timeout nạn nhân mới nhận ra được điều này và giải phóng các tài nguyên hệ thống. Những packet này làm cho hệ thống của nạn nhân unload tất cả dữ liệu trong TCP buffer ngay lập tức và gửi một ACK packet trở về khi thực hiện xong điều này.2. bên gởi có thể yêu cầu hệ thống unload buffer trước khi buffer đầy bằng cách gởi một packet với PUSH và ACK mang giá trị là 1. Tuy nhiên.2 Malformed Packet Attack .3. 1. nếu lượng SYN packet giả mạo đến với số lượng nhiều và dồn dập. Tuy nhiên. nếu quá trình được diễn ra liên tục với nhiều Agent. khi buffer đầy thì các packet này sẽ được chuyển đến nơi cần thiết.

Có thể kể ra một số điểm chung như: cách cài Agent software. 1. Sơ đồ trên mô tả sự so sánh tương quan giữa các công cụ tấn công DDoS này. điểm chung về loại hệ điều hành hỗ trợ các công cụ này.4. packet và thiết lập tất cả các bit QoS lên 1. điều này làm cho hệ thống của nạn nhân phải tốn thời gian phân tích.1 Cách thức cài đặt DDoS Agent . nếu sử dụng số lượng lớn Agent có thể làm hệ thống nạn nhân hết khả năng xử lý. Có hai loại Malformed Packet Attack.4 Một số đặc tính của công cụ DDoS attack DDoS SoftWare Tool AttackNetwork Agent Setup Hidewith Protocol rootkit No TCP ICMP Bugged website Corrupted File Agent Handlerl Client Buffer Overlfow Handlerl UDP IRC Basedl Agent Handler l None No Public Comminication OS supported Instalation Agent Encruption Activation Unix Solaris Linux Windows Method s Actively Poll Live&wait YES Private/Sere ct Active Passive Yes Backdoor Trojan Hình 1-10 : Tính năng của DDoS attack Có rất nhiều điểm chung về mặt software của các công cụ DDoS attack. handler và Agent. phương pháp giao tiếp giữa các attacker. 1.18 - . • • IP address attack: dùng packet có địa chỉ gởi và nhận giống IP packet options attack ngẫu nhiên hóa vùng OPTION trong IP nhau làm cho hệ điều hành của nạn nhân không xử lý nổi và bị treo.Malformed Packet Attack là cách tấn công dùng các Agent để gởi các packet có cấu trúc không đúng chuẩn nhằm làm cho hệ thống của nạn nhân bị treo.

• Trojan Là một chương trình thực hiện một chức năng thông thường nào đó. attacker sẽ tiến hành xâm nhập và cài Agentsoftware lên các hệ thống này. Khi user truy cập nội dung của website.Attacker có thể dùng phương pháp active và passive để cài đặt agent software lên các máy khác nhằm thiết lập attack-network kiểu Agent-Handler hay IRC-based. như site của tổ chức Common Vulnerabilities and Exposures (CVE). Nessus để tìm những sơ hở trên các hệ thống đang online nhằm cài đặt Agentsoftware.000 loại lỗi của tất cả các hệ thống hiện có. Attaker sẽ tạo một website mang nội dung tiềm ẩn những code và lệnh để đặt bẫy user. Cách cài đặt Active • Scaning Dùng các công cụ như Nmap. ở đây liệt kê và phân loại trên 4. thì . Chú ý. Nessus tìm kiếm từ những địa chỉ IP bất kỳ về một điểm yếu biết trước nào đó. • Backdoor Sau khi tìm thấy được danh sách các hệ thống có thể lợi dụng. attacker có thể làm cho chu trình thực thi chương trình thông thường bị chuyển sang chu trình thực thi chương trình của hacker (nằm trong vùng dữ liệu ghi đè). Có rất nhiều thông tin sẵn có về cách thức xâm nhập trên mạng. Thông tin này luôn sẵn sàng cho cả giới quản trị mạng lẫn hacker. nhưng lại có một số chức năng tiềm ẩn phục vụ cho mục đích riêng của người viết mà người dùng không thể biết được. • Buffer Overflow Tận dụng lỗi buffer overflow. Cách cài đặt passive • Bug Website Attacker có thể lợi dụng một số lỗi của web brower để cài Agent software vào máy của user truy cập.19 - . Có thể dùng cách này để tấn công vào một chương trình có điểm yếu buffer overflow để chạy chương trình Agent software. Nmap sẽ trả về những thông tin về một hệ thống đã được chỉ định bằng địa chỉ IP. Có thể dùng trojan như một Agent software.

Nếu attack-network ở dạng IRC-based thì private và secrect channel đã hỗ trợ mã hóa giao tiếp. ICMP. với các lỗi của ActiveX có thể cho phép IE brower tự động download và cài đặt code trên máy của user duyệt web. • Corrupted file Một phương pháp khác là nhúng code vào trong các file thông thường.txt_hiiiii_NO_this_is) do chỉ thấy phần ‘iloveyou. Rootkit thường được dùng trên Hander software đã được cài. UDP. Microsoft Internet Explorer web browser thường là mục tiêu của cách cài đặt này.20 - . máy của họ lập tức bị nhiễm Agent software. . Mã hóa các giao tiếp: một vài công cụ DDoS hỗ trợ mã hóa giao tiếp trên toàn bộ attack-network.4. do default của các hệ điều hành chỉ hiển thị phần đầu của tên file nên attacker có thể gửi kèm theo email cho nạn nhân file như sau (iloveyou. ngoài ra còn nhiêu cách khác như ngụy trang file và ghép file • Rootkit Là những chương trình dùng để xóa dấu vết về sự hiện diện của Agent hay Handler trên máy của nạn nhân. Một trong những kỹ thuật phổ biến là đặt tên file rất dài. đóng vai trò xung yếu cho sự hoạt động của attack-network hay trên các môi trường mà khả năng bị phát hiện của Handler là rất cao. 1.2 Giao tiếp trên Attack-Network Protocol: giao tiếp trên attack-network có thể thực hiện trên nền các protocol TCP. Cách thứ nhất là Agent sẽ thường xuyên quét thăm dó Handler hay IRC channel để nhận chỉ thị (active Agent). Cách kích hoạt Agent: có hai phương pháp chủ yếu để kích hoạt Agent. Tùy theo protocol được sử dụng để giao tiếp sẽ có các phương pháp mã hóa thích hợp.website download và cài đặt Agent software một cách bí mật. Cách thứ hai là Agent chỉ đơn giản là “nằm vùng” chờ chỉ thị từ Handler hay IRC Channel. Khi user đọc hay thực thi các file này. Rootkit rất ít khi dùng trên các Agent do mức độ quan trọng của Agent không cao và nếu có mất một số Agent cũng không ảnh hưởng nhiều đến attack-network.txt’ hiển thị nên user sẽ mở file này để đọc và lập tức file này thực thi và agent code được cài vào máy nạn nhân.

Tuy nhiên ta có thể phân loại tổng quát tập lệnh chung của mọi công cụ như sau.21 - .4 Các chức năng của công cụ DDoS Mỗi công cụ DDoS có một tập lệnh riêng. Các thành phần của attack-network có thể vận hành trên các môi trường hệ điều hành khác nhau. Thông thường Handler sẽ vận hành trên các hệ chạy trên các server lớn như Unix. Linux. Agent thông thường chạy trên hệ điều hành phổ biến nhất là windows do cần số lượng lớn dễ khai thác. Solaris hay Windows. Linux hay Solaris.exe về và thực thi) Kích hoạt và thiết lập cơ chế giả mạo địa chỉ IP cho các Agent Set Định thời điểm tấn công cho các Agent AttackTime Set Thông báo độ dài của cuộc tấn công vào mục tiêu AttackDuration BufferSize Help Thiết lập kích thước buffer của Agent (nhằm gia tăng sức mạnh cho Agent) Hướng dẫn sử dụng chương trình .3 Các nền tảng hỗ trợ Agent Cá công cụ DDoS thông thường được thiết kế hoạt động tương thích với nhiều hệ điều hành khác nhau như: Unix.1. tập lệnh này được Handler và Agent thực hiện.4. 1. Lệnh Log On Turn On Log Off Turn Off Initiate Attack List Agents Kiss Agents Add victim Download Upgrades Set Spoofing TẬP LỆNH CỦA HANDLER Mô tả Nhằm dùng để logon vào Handler software (user + password) Kích hoạt Handler sẵn sàng nhận lệnh Nhằm dùng để Logoff ra khỏi Handler software Chỉ dẫn Handler ngưng hoạt động.4. nếu Handler đang quét tìm Agent thì dừng ngay hành vi này Ra lệnh cho Handler hướng dẫn mọi Agent trực thuộc tấn công mục tiêu đã định Yên cầu Handler liệt kê các Agent trực thuộc Loại bỏ một Agent ra khỏi hàng ngũ Attack-Network Thêm một mục tiêu để tấn công Cập nhật cho Handler software (downloads file.

22 - . Các version đầu tiên của TrinOO không hỗ trợ giả mạo địa chỉ IP.1 à Red Hat Linux 6.exe về và thực thi) Thiết lập cơ chế giả mạo địa chỉ IP cho các Agent hoạt động Thông báo độ dài các cuộc tấn công vào mục tiêu Thiết lập kích thước của attack packet Hướng dẫn sử dụng chương trình Initiate Attacke Download Upgrades Set Spoofing Set Attack Duration Set Packet Size Help 1. TCP SYN và Smurf Attack. TrinOO có kiến trúc Agent – Handler. ICMP Flood.0. Hoạt động trên hệ điều hành Solaris 2. 1. đã có nhiều công cụ được viết ra. Tribe Flood Network (TFN): Kiểu kiến trúc Agent – Handler. sử dụng kỹ thuật UDP flood. TrinOO Agent được cài đặt lợi dụng lỗi remote buffer overrun. nếu Agent đang quét tìm Handler/IRC Channel thì dừng ngay hành vi này lại Ra lệnh Agent tấn công mục tiêu đã định Cập nhật cho Agent software (downloaf file . công cụ DDoS hoễ trợ kiểu Bandwidth Deleption Attack và Resourse Deleption Attack. Các version đầu tiên không hỗ trợ giả mạo địa chỉ IP.5. handler và Agent. TFN Agent được cài đặt lợi . là công cụ DDoS kiểu Bandwidth Depletion Attack. Attack – network giao tiếp dùng TCP (attacker client và handler) và UDP (Handler và Agent).5 Một số công cụ DDoS Dựa trên nền tảng chung của phần trên.5. thông thường các công cụ này là mã nguồn mở nên mức độ phức tạp ngày càng cao và có nhiều biến thể mới lạ. Mã hóa giao tiếp dùng phương pháp mã hóa đối xứng giữa Client.1 Công cụ DDoS dạng Agent – Handler TrinOO: là một trong các công cụ DDoS đầu tiên được phát tán rộng rãi.Turn On Turn Off TẬP LỆNH của AGENT Kich hoat Agent sẵn sàng nhận lệnh Chỉ dẫn Agent ngưng hoạt động. Sử dụng kỹ thuật UDP flood.

TCP flood. Kaiten cũng thừa hưởng khả năng ngẫu nhiên hóa địa chỉ giả mạo của Trinity.0. 1. sử dụng kỹ thuật cài đặt của troijan back Orifice. • Knight Được thiết kế chạy trên Windows. Attack – Network giao tiếp dùng ICMP ECHO REPLY packet (TFN2K hỗ trợ thêm TCP/UDP với tính năng chọn protocol tùy ý). TCP random flag. TCP ACK.dụng lỗi buffer overflow. Trinity có hầu hết các kỹ thuật tấn công bao gồm: UDP. • Trinity Là một điển hình của công cụ dạng này. TCP SYS. UDP Flood và Urgent Pointer Flooder. Trinity có thể nói là một trong số các công cụ DDoS nguy hiểm nhất. Hoạt động trên hệ điều hành Solaris 2. công cụ DDoS dạng IRC phức tạp hơn rất nhiều. PUSH + ACK attack. 1.6 Phương pháp phòng chống DDoS Có rất nhiều giải pháp và ý tưởng được đưa ra nhằm đối phó với các cuộc tấn công kiểu DDoS.x và Red Hat Linux 6. hỗ trợ rất nhiều kỹ thuật tấn công như: UDP.23 - . • Kaiten là biến thể của Knight. Giao tiếp telnet mã hóa đối xứng giữa Attacker và Handler. Knight dùng các kỹ thuật tấn công như SYV. TCP fragment. Tuy nhiên không có giải pháp và ý tưởng nào là giải quyết trọn vẹn bài toán Anti-DDoS. không mã hóa giao tiếp (TFN2K hỗ trợ mã hóa) Stacheldraht: là biến thể của TFN có thêm khả năng updat Agent tự động. Tuy nhiên. TCP ESTABLISHED packet flood.2 Công cụ DDoS dạng IRC – Based Công cụ DDoS dạng IRC-based được phát triển sau các công cụ dạng Agent – Handler. Nó có sẵn khả năng ngẫu nhiên hóa địa chỉ bên gởi. tuy nhiên cuộc đua vẫn . TCP RST. TCP NULL. SYN. do tích hợp rất nhiều đặc tính của các công cụ DDoS dạng Agent – Handler. Trinity cũng hỗ trợ TCP flood packet với khả năng ngẫu nhân tập CONTROL FLAG. Các hình thái khác nhau của DDoS liên tục xuất hiện theo thời gian song song với các giải pháp đối phó.5.

làm suy giảm và dừng cuộc tấn công.tuân theo quy luật tất yếu của bảo mật máy tính. chuyển hướng cuộc tấn công.24 - . Attack-Network sẽ không bao giờ hình thành nếu . cuộc tấn công. Có ba giai đoạn chính trong quá trình Anti-DDoS. • • Giai đoạn ngăn ngừa: tối thiểu hóa lượng Agent.6.1 Tối thiểu hóa số lượng Agent Từ phía User: một phương pháp rất tốt để năng ngừa tấn công DDoS là từng internet user sẽ tự đề phòng không để bị lợi dụng tấn công hệ thống khác. • Giai đoạn sau khi cuộc tấn công xảy ra: thu thập chứng cứ và rút kinh nghiệm. DDoS Countermeasures Detect and Detect and Neutralize handler Prevent Agent Detect/Prevent Potential Attack Mitigate/ Stop Attack Deflect Attack Post attack Forensic Traffic Pattern Analys Packet is Egress Filtering MIBS tatistic Honeyspots Invidual user Network Service Provider Cost Shadow Real Network Study Attack Event Log Install Software Patch Build In defense Load Balancing Throttling Drop Request Hình 1-11 : Mô hình phương pháp phòng chống DDos 1. tìm và vô hiệu Giai đoạn đối đầu với cuộc tấn công: Phát hiện và ngăn chặn hóa các Handler. Muốn đạt được điều này thì ý thức và kỹ thuật phòng chống phải được phổ biến rộng rãi cho các internet user.

như vậy về mặt ý thức tăng cường phát hiện DDoS Agent sẽ tự nâng cao ở mỗi User. MIB statistics: trong Management Information Base (SNMP) của route luôn có thông tin thống kể về sự biến thiên trạng thái của mạng. Các user phải liên tục thực hiện các quá trình bảo mật trên máy vi tính của mình. Các packet từ bên trong subnet gửi ra ngoài với địa chỉ nguồn không hợp lệ sẽ bị giữ lại để điều tra nguyên nhân. Do một Handler quản lý nhiều. nếu có thể phát hiện và vô hiệu hóa Handler thì khả năng Anti-DDoS thành công là rất cao. Nếu ta giám sát chặt chẽ các thống kê của Protocol ICMP.6. Bằng cách theo dõi các giao tiếp giữa Handler và Client hay Handler và Agent ta có thể phát hiện ra vị trí của Handler.4 Làm suy giàm hay dừng cuộc tấn công . nên triệt tiêu được một Handler cũng có nghĩa là loại bỏ một lượng đáng kể các Agent trong Attack Network.3 Phát hiện dấu hiệu của một cuộc tấn công Agress Filtering: Kỹ thuật này kiểm tra xem một packet có đủ tiêu chuẩn ra khỏi một subnet hay không dựa trên cơ sở gateway của một subnet luôn biết được địa chỉ IP của các máy thuộc subnet. Nếu ta giám sát chặt chẽ các thống kê của protocol mạng.2 Tìm và vô hiệu hóa các Handler Một nhân tố vô cùng quan trọng trong attack-network là Handler. 1. Từ phía Network Service Provider: Thay đổi cách tính tiền dịch vụ truy cập theo dung lượng sẽ làm cho user lưu ý đến những gì họ gửi. anti_trojan và server patch của hệ điều hành. Về phía user họ nên cài đặt và updat liên tục các software như antivirus. 1. 1. Nếu kỹ thuật này được áp dụng trên tất cả các subnet của internet thì khái nhiệm giả mạo địa chỉ IP sẽ không còn tồn tại.6. Họ phải tự kiểm tra sự hiện diện của Agent trên máy của mình. Một số giải pháp tích hợp sẵn khả năng ngăn ngừa việc cài đặt code nguy hiểm thông ào hardware và software của từng hệ thống. điều này là rất khó khăn đối với user thông thường.6.không có user nào bị lợi dụng trở thành Agent.25 - . UDP và TCP ta sẽ có khả năng phát hiện được thời điểm bắt đầu của cuộc tấn công để tạo “quỹ thời gian vàng” cho việc xử lý tình huống.

Honeyspots còn rất hiệu quả trong việc phát hiện và xử lý xâm nhập. điều này không có ý nghĩa lắm về mặt thực tiễn vì quy mô của cuộc tấn công là không có giới hạn. Kỹ thuật này triệt tiêu khả năng làm cạn kiệt năng lực hệ thống.6 Giai đoạn sau tấn công • Traffic Pattern Analysis Nếu dữ liệu về thống kê biến thiên lượng traffic theo thời gian đã được lưu lại thì sẽ được đưa ra phân tích.6. đôi khi làm dịch vụ bị gián đoạn với user. • Drop request Thiết lập cơ chế drop request nếu nó vi phạm một số quy định như: thời gian delay kéo dài. 1. Ngoài ra Honeyspots còn có giá trị trong việc học hỏi và rút kinh nghiệm từ Attacker. quy định một khoảng tải hợp lý mà server bên trong có thể xử lý được. DDoS traffic vẫn có thể xâm nhập vào mạng dịch vụ nhưng với số lượng hữu hạn. 1. Nếu attacker bị đánh lừa và cài đặt Agent hay Handler lên Honeyspots thì khả năng bị triệt tiêu toàn bộ attack-network là rất cao. Quá trình phân tích này rất có ích cho việc tinh chỉnh lại các hệ thống Load Balancing và Throttling.26 - . Phương pháp này cũng có thể được dùng để ngăn chặn khả năng DDoS traffic không cho user truy cập dịch vụ. tốn nhiều tài nguyên để xử lý. vì trên Honeyspots đã thiết lập sẵn các cơ chế giám sát và báo động. gây deadlock. Hạn chế của kỹ thuật này là không phân biệt được giữa các loại traffic. do Honeyspots ghi nhận khá chi tiết mọi động thái của attacker trên hệ thống.5 Chuyển hướng của cuộc tấn công Honeyspots là một hệ thống được thiết kế nhằm đánh lừa attacker tấn công vào khi xâm nhập hệ thống mà không chú ý đến hệ thống quan trọng thực sự. Ngoài ra các dữ liệu này .6.• Load balancing Thiết lập kiến trúc cân bằng tải cho các server trọng điểm sẽ làm gia tăng thời gian chống chọi của hệ thống với cuộc tấn công DDoS. • Throttling Thiết lập cơ chế điều tiết trên router. Tuy nhiên. tuy nhiên nó cũng giới hạn một số hoạt động thông thường của hệ thống. cần cân nhắc khi sử dụng.

. Block Traceback từ attacker khá hữu hiệu. • Packet Traceback bằng cách dùng kỹ thuật Traceback ta có thể truy ngược lại vị trí của Attacker (ít nhất là subnet của attacker). gần đây đã có một kỹ thuật Traceback khá hiệu quả có thể truy tìm nguồn gốc của cuộc tấn công dưới 15 phút.còn giúp Quản trị mạng điều chỉnh lại các quy tắc kiểm soát traffic ra vào mạng của mình. • Bevent Logs Bằng cách phân tích file log sau cuộc tấn công.27 - . Từ kỹ thuật Traceback ta phát triển thêm khả năng. quản trị mạng có thể tìm ra nhiều manh mối và chứng cứ quan trọng.

thêm quy tắc như firewall mềm). .1 Firewall cứng Là những firewall được tích hợp trên Router.28 - . Hình 2-1 : Firewall cứng Đặc điểm của Firewall cứng Không được linh hoạt như Firewall mềm: (Không thể thêm chức năng. 2. gồm Firewall cứng và Firewall mềm 2. Internet FireWall là một tập hợp thiết bị (bao gồm phần cứng và phần mềm) được đặt giữa mạng của một tổ chức. Firewall có thể được thiết lập ở trong cùng một mạng nội bộ và cô lập các miền an toàn. hay một quốc gia (Intranet) và Internet.Chương 2 2. Trong một số trường hợp. Trong Công nghệ mạng thông tin. một công ty.2. người sử dụng và Internet.2 Các loại Firewall Firewall được chia làm 2 loại.1 Giới thiệu Firewall Giới thiệu Firewall Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn. FireWall là một kỹ thuật được tích hợp vào hệ thống mạng để chống lại sự truy cập trái phép nhằm bảo vệ các nguồn thông tin nội bộ cũng như hạn chế sự xâm nhập vào hệ thông của một số thông tin khác không mong muốn. hạn chế hoả hoạn. Ví dụ như mô hình dưới đây thể hiện một mạng Firewall để ngăn cách phòng máy.

• • • Firewall cứng hoạt động ở tầng thấp hơn Firewall mềm (Tầng Firewall cứng không thể kiểm tra được nột dung của gói tin.2. virus có .2. Network và tầng Transport).2 Firewall mềm Hình 2-2 : Firewall mềm Đặc điểm của Firewall mềm • • • • 2.3 Firewall Tính linh hoạt cao: Có thể thêm. Firewall mềm hoạt động ở tầng cao hơn Firewall cứng (tầng Firewal mềm có thể kiểm tra được nội dung của gói tin (thông Ví dụ về Firewall mềm: Zone Alarm. tất cả các giao thông ra vào mạng đều được cho phép. Ví dụ Firewall cứng: NAT (Network Address Translate). 2. bớt các quy tắc. Norton Firewall… ứng dụng) qua các từ khóa). trojan. Hình 2-3 : Chức năng của firewall Nếu máy tính của bạn không được bảo vệ. khi bạn kết nối Internet.29 - . vì thế hacker. các chức năng.

Chức năng chính của Firewall : kiểm soát luồng thông tin từ giữa Intranet và Internet.4 Cấu trúc của FireWall FireWall bao gồm : Một hoặc nhiều hệ thống máy chủ kết nối với các bộ định tuyến (router) hoặc có chức năng router. 2. Chúng có thể cài đặt các đoạn mã để tấn công file dữ liệu trên máy tính. Kiểm soát địa chỉ truy nhập. Một firewall có thể giúp bạn thoát khỏi gói tin hiểm độc trước khi nó đến hệ thống của bạn. Các phần mềm quản lí an ninh chạy trên hệ thống máy chủ. Thông thường là các hệ quản trị xác thực (Authentication). Cổng mạch (Circuite level gateway). Chúng có thể sử dụng máy tính cuả bạn để tấn công một máy tính của gia đình hoặc doanh nghiệp khác kết nối Internet. Cụ thể là • • • • • • Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ Cho phép hoặc cấm những dịch vụ phép truy nhập vào trong (từ Theo dõi luồng dữ liệu mạng giữa Internet và Intranet. Kiểm soát nội dung thông tin thông tin lưu chuyển trên mạng.thể truy cập và lấy cắp thông tin cá nhân cuả bạn trên máy tính. cấm địa chỉ truy nhập. Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong (Intranet) và mạng Internet. Cổng ứng dụng (Application-level gateway hay proxy server). . Intranet ra Internet). 2.5 Các thành phần của FireWall Một FireWall bao gồm một hay nhiều thành phần sau : Bộ lọc packet (packet. Internet vào Intranet).filtering router).2.30 - .2. cấp quyền (Authorization) và kế toán (Accounting). Kiểm soát người sử dụng và việc truy nhập của người sử dụng.

. Vì giao thức này làm việc theo thuật toán chia nhỏ các dữ liệu nhận được từ các ứng dụng trên mạng.Hình 2-4 : Cấu trúc của firewall • Bộ lọc paket (Paket filtering router) Nguyên lý hoạt động Hình 2-5 : Nguyên lý hoạt động của firewall Khi nói đến việc lưu thông dữ liệu giữa các mạng với nhau thông qua Firewall thì điều đó có nghĩa rằng Firewall hoạt động chặt chẽ với giao thức TCI/IP.) thành các gói dữ liệu (data pakets) rồi gán cho các paket này những địa chỉ để có thể nhận dạng. NFS. SMTP. Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận được.31 - . SMNP. Nó kiểm tra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thoả mãn một . tái lập lại ở đích cần gửi đến. hay nói chính xác hơn là các dịch vụ chạy trên các giao thức (Telnet. DNS. do đó các loại Firewall cũng liên quan rất nhiều đến các packet và những con số địa chỉ của chúng..

Các luật lệ lọc packet này là dựa trên các thông tin ở đầu mỗi packet (packet header).32 - . dùng để cho phép truyền các packet đó ở trên mạng. cổng TCP/UDP nơi nhận (TCP/UDP destination port). Hạn chế : Việc định nghĩa các chế độlọc package là một việc khá phức tạp. ICMP. Đó là địa chỉ IP nơi xuất phát ( IP Source address). Proxy service là các bộ code đặc biệt cài đặt trên gateway cho từng ứng dụng. Các packet chuyển qua vẫn có thể mang theo những hành động với ý đồ ăn cắp thông tin hay phá hoại của kẻ xấu. IP tunnel). UDP. bộ lọc packet là trong suốt đối với người sử dụng và các ứng dụng. Ngoài ra. giao thức được cho phép truy cập vào hệ thống mạng. Do làm việc dựa trên header của các packet. Ngoài ra. đòi hỏi người quản trị mạng cần có hiểu biết chi tiết vể các dịch vụ Internet.trong số các luật lệ của lọc packet hay không. các dạng packet header. các luật lệ vể lọc càng trở nên dài và phức tạp. giao diện packet đi ( outcomming interface of packet) Ưu điểm : Đa số các hệ thống firewall đều sử dụng bộ lọc packet. dịch vụ tương ứng sẽ không được cung cấp và do đó không thể chuyển thông tin qua firewall. giao diện packet đến ( incomming interface of packet). và các giá trị cụ thể có thể nhận trên mỗi trường. Khi đòi hỏi vể sự lọc càng lớn. proxy code có thể được định cấu hình để hỗ trợ chỉ một số đặc điểm trong ứng dụng mà ngưòi quản trị mạng cho là chấp nhận được . giao diện packet đến ( incomming interface of packet). rất khó để quản lý và điều khiển. rõ ràng là bộ lọc packet không kiểm soát được nôi dung thông tin của packet. vì vậy nó không yêu cầu sự huấn luyện đặc biệt nào cả. • Cổng ứng dụng (application-level getway) Nguyên lý hoạt động : Đây là một loại Firewall được thiết kế để tăng cường chức năng kiểm soát các loại dịch vụ. Cơ chế hoạt động của nó dựa trên cách thức gọi là Proxy service. dạng thông báo ICMP ( ICMP message type). cổng TCP/UDP nơi xuất phát (TCP/UDP source port). Nếu người quản trị mạng không cài đặt proxy code cho một ứng dụng nào đó. Một trong những ưu điểm của phương pháp dùng bộ lọc packet là chi phí thấp vì cơ chế lọc packet đã được bao gồm trong mỗi phần mềm router. địa chỉ IP nơi nhận (IP Destination address). những thủ tục truyền tin (TCP.

33 - . Điều này làm cho hệ thống bức tường lửa dễ dàng sử dụng cho những người trong mạng nội bộ muốn trực tiếp truy nhập tới các . cũng đã có một số phần mềm client cho phép ứng dụng trên cổng ứng dụng là trong suốt. vì sự kết nối này xuất hiện từ hệ thống firewall. và nó có nhật ký ghi chép lại thông tin về truy nhập hệ thống. bởi vì ứng dụng proxy hạn chế bộ lệnh và quyết định những máy chủ nào có thể truy nhập được bởi các dịch vụ. Luật lệ lọc filltering cho cổng ứng dụng là dễ dàng cấu hình và kiểm tra hơn so với bộ lọc packet. bằng cách cho phép user chỉ ra máy đích chứ không phải cổng ứng dụng trên lệnh Telnet. nó che dấu thông tin về mạng nội bộ. Cổng ứng dụng cho phép kiểm tra độ xác thực rất tốt. Chẳng hạn. Telnet truy nhập qua cổng ứng dụng đòi hỏi hai bước để nối với máy chủ chứ không phải là một bước thôi. Cổng vòng đơn giản chỉ chuyển tiếp (relay) các kết nối TCP mà không thực hiện bất kỳ một hành động xử lý hay lọc packet nào. bởi vì sự vắng mặt của các proxy cho các dịch vụ tương ứng có nghĩa là các dịch vụ ấy bị khoá.Cổng vòng làm việc như một sợi dây. bởi vì nó được thiết kế đặt biệt để chống lại sự tấn công từ bên ngoài.sao chép các byte giữa kết nối bên trong (inside connection) và các kết nối bên ngoài (outside connection). Cổng vòng đơn giản chuyển tiếp kết nối telnet qua firewall mà không thực hiện một sự kiểm tra. lọc hay điều khiển các thủ tục Telnet nào.trong khi từ chối những đặc điểm khác. Cho phép người quản trị mạng hoàn toàn điều khiển được những dịch vụ nào cho phép. hoặc thay đổi phần mềm đã cài đặt trên máy client cho truy nhập vào các dịch vụ proxy. • Cổng vòng (circuit-Level Gateway) Cổng vòng là một chức năng đặc biệt có thể thực hiện được bởi một cổng ứng dụng. nơi mà các quản trị mạng thật sự tin tưởng những người dùng bên trong. Ưu điểm : Cho phép người quản trị mạng hoàn toàn điều khiển được từng dịch vụ trên mạng. cổng vòng thường được sử dụng cho những kết nối ra ngoài. Một cổng ứng dụng thường được coi như là một pháo đài (bastion host). Hạn chế : Yêu cầu các users thay đổi thao tác. và cổng vòng cho các kết nối đi. Tuy nhiên. Tuy nhiên. Ưu điểm lớn nhất là một bastion host có thể được cấu hình như là một hỗn hợp cung cấp Cổng ứng dụng cho những kết nối đến.

nhưng cũng nên hiểu rõ tầm quan trọng của bảo mật thông tin cho mỗi cá nhân.1 Những hạn chế của firewall Firewall không đủ thông minh như con người để có thể đọc hiểu từng loại thông tin và phân tích nội dung tốt hay xấu của nó. trong khi vẫn cung cấp chức năng bức tường lửa để bảo vệ mạng nội bộ từ những sự tấn công bên ngoài. Một cách cụ thể. firewall không thể chống lại một cuộc tấn công từ một đường dial-up. họ không thể biết hết các thủ thuật để tự xây dựng cho mình một Firewall. Firewall chỉ có thể ngăn chặn sự xâm nhập của những nguồn thông tin không mong muốn nhưng phải xác định rõ các thông số địa chỉ. Firewall không thể làm .3 Chức năng của firewall FireWall bảo vệ chống lại những sự tấn công từ bên ngoài. 2. • • • • • Tấn công trực tiếp Nghe trộm Giả mạo địa chỉ IP Lỗi người quản trị hệ thống Yếu tố con người Ngày nay. vượt qua firewall vào trong mạng được bảo vệ và bắt đầu hoạt động ở đây. trình độ của các hacker ngày càng giỏi hơn.34 - . Đối với người dùng cá nhân. Vấn đề là ý thức. hoặc sự dò rỉ thông tin do dữ liệu bị sao chép bất hợp pháp lên đĩa mềm. qua đó tự tìm hiểu để biết một số cách phòng tránh những sự tấn công đơn giản của các hacker. khi đã có ý thức để phòng tránh thì khả năng an toàn sẽ cao hơn. trong khi đó các hệ thống mạng vẫn còn chậm chạp trong việc xử lý các lỗ hổng của mình. Khi có một số chương trình được chuyển theo thư điện tử. Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu (data-drivent attack). 2. Điều này đòi hỏi người quản trị mạng phải có kiến thức tốt về bảo mật mạng để có thể giữ vững an toàn cho thông tin của hệ thống.3. Một ví dụ là các virus máy tính.dịch vụ Internet. Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này không "đi qua" nó.

OUTPUT. nhanh và không làm giảm tốc độ của hệ thống.4 2. trước khi nó được gửi tới ứng dụng cục bộ hoặc là được chuyển tiếp đến máy tính khác hay chụi tác động nào đó của nhân hệ điều hành.nhiệm vụ rà quét virus trên các dữ liệu được chuyển qua nó. và bảng mangle cho phép tat hay đổi một số thong tin trong header của các gói tin. iptable cũng chứa hai bảng bổ sung dùng để thực hiện các công việc lọc gói xác định. và FORWARD .35 - . Khi một gói tin đầu tiên tới firewall . Bảng mặc định . . Iptables chịu trách nhiệm giao tiếp giữa người dùng và Netfilter để đẩy các luật của người dùng vào cho Netfiler xử lí.4. gói tin sẽ bắt đầu đi qua một loạt các bước trong nhân hệ điều hành. sau đó. Một mặt mạnh của iptable là ở chổ nhiều bảng có thể được sử dụng để quyết định số phận của một gói tin nào dó. thoát khỏi khả năng kiểm soát của firewall.những chuỗi luật này tương đương với các chuỗi luật được sử dụng trong ipchains. sự xuất hiện liên tục của các virus mới và do có rất nhiều cách để mã hóa dữ liệu. Netfilter/Iptables gồm 2 phần là Netfilter ở trong nhân Linux và Iptables nằm ngoài nhân. bảng filter. Mỗi một bảng có chứa các chuỗi luật mặc định thực hiện các tác vụ cần thiết dựa trên mục đích của bảng. 2. Netfilter làm việc trực tiếp trong nhân. do tốc độ làm việc. theo mặc định. Bảng nat có thể được sử dụng để thay đổi địa chĩ nguồn và địa chỉ đích của gói tin. có chứa các chuỗi luật được xây dựng sẵn . INPUT. Netfilter tiến hành lọc các gói dữ liệu ở mức IP. người dùng cũng được phép định nghĩa những chuỗi luật mới trong các bảng. tuy nhiên.tuy nhiên. phần cứng sẽ tiếp nhận nó và sau đó chuyển đến trình điều khiển thiết bị tương ứng trong nhân hệ điều hành . iptables là một tường lửa ứng dụng lọc gói dữ liệu rất mạnh .1 IPTable Giới thiệu IPTable Một trong những firewall thông dụng nhất chạy trên Linux là iptables. phụ thuộc vào kểu của gói tin đang được kiểm tra và hành động sẽ được thực hiện trên gói tin đó.

Điều này giúp ngăn chặn việc tấn công bằng cách sử dụng các gói dị dạng ( malformed packets ) và ngăn chặn việc truy cập từ nội bộ đến một mạng khác bất chấp IP của nó.Hình 2-6 : IPTable 2.2 Chức năng của IPTables Tích hợp tốt với Linux kernel. • Filter queue Chịu trách nhiệm thiết lập bộ lọc packet (packet filtering). Điều này rất quan trọng trong việc hỗ trợ các giao thức FTP.3 Cơ chế xử lý package trong iptables Iptables sẽ kiểm tra tất cả các package khi nó đi qua iptables host. và dĩ nhiên là xem xét nội dung của từng luồng dữ liệu để từ đó tiên liệu hành động kế tiếp của các giao thức. quá trình kiểm tra này được thực hiện một cách tuần tự entry đầu tiên đến entry cuối cùng. DNS… Lọc gói dựa trên địa chỉ MAC và các cờ trong TCP header. để cải thiện sự tin cậy và tốc độ chạy iptables. 2.4. Hỗ trợ việc tích hợp các trình Web proxy chẳng hạn như Squid.36 - . .4. có ba loại bảng trong iptables. điều này cho phép firewall theo dõi mỗi một kết nối thông qua nó. Quan sát kỹ tất cả các gói dữ liệu. Ngăn chặn các kiểu tấn công từ chối dịch vụ. có ba loại builtin chains được mô tả để thực hiện các chính sách về firewall (firewall policy rules). • Mangle table Chịu trách nhiệm biến đổi quality of service bits trong TCP header. Thông thường loại table này được ứng dụng trong SOHO (Small Office/Home Office). Ghi chép hệ thống ( System logging ) cho phép việc điều chỉnh mức độ của báo cáo.

Qua trinh NAT sẽ thực hiện sau khi thực hiện cơ chế định tuyến. Kỹ thuật này được gọi là NAT one-to-one hoặc many-to-one. Post-routing chain : NAT từ trong ra ngoai. khi cấu hình ta có thể dùng khóa DNAT để mô tả kỹ thuật này. Input chain (Cho phép những gói tin đi vào từ firewall). thay đổi địa chỉ đích sẽ giúp gói dữ liệu phù hợp với bảng chỉ đường Filter Lọc gói INPUT OUTPUT NAT Network Address Translatio n (Biêndịc h địa chỉ PREROUTING . Chức Loại queues Quy tắt xử lý gói (chain) Chức năng của chain năng queue s Lọc gói dữ liệu đi FORWARD đến các server khác Kết nối trên các NIC khác của firewall Lọc gói đi đến firewall Lọc gói di ra khỏi firewall Việc thay đổi địa chỉ điển ra trước khi dẫn đường. cung cấp hai loại built-in chains sau đây. Pre-routing chain : NAT từ ngoài vào trong nội bộ. Output chain (Cho phép những gói tin đi ra từ firewall) • NAT queue Thực thi chức năng NAT (Network Address Translation). Điều này thuận lợi cho việc đổi địa chỉ đich để địa chỉ tương thich với bảng định tuyến của firewall. Quá trình này nhằm thay đổi địa chỉ nguồn của gói tin.37 - . được gọi là Source NAT hay SNAT. OUPUT: Trong loại này firewall thực hiện quá trình NAT. Quá trình NAT sẽ thực hiện trước khi thực thi cơ chế routing.Forward chain (Cho phép packet nguồn chuyển qua firewall).

hiếm OUTPUT khi dùng trong môi trường S ( small office -home office) . Hiếm khi dùng trong môi trường SOHO ( small office home office) . or SNAT.38 - . Sử dụng source NAT. Điều chỉnh các bit PREROUTING Chỉnh Mangle sửa TCP header . Có thể tóm tắt trình tự xử lý gói tin của iptables bằng hình vẽ sau . NAT sử dụng cho các gói dữ liệu xuât phát từ firewall. POSTROUTIN G OUTPUT INPUT FORWARD quy định chất lượng dịch vụ trước khi dẫn đường.Của firewall sử dụng mạng) destination NAT or DNAT. Việc thay đổi địa POSTROUTING chỉ chỉ diễn ra sau khi dẫn đường.

39 - . Nếu gói tin cần đi tới một hệ thống khác ( protected network ) nó sẽ được lọc bởi các FORWARD chain của bảng FILTER và nếu cần nó có thể được SNAT bởi các Post-routing chain trước khi đến được hệ thống đích. Khi hệ thống gửi trả lời. Nếu gói tin được gửi tới hệ thống ( hệ thống chứa iptables ) nó sẽ được xử lý bởi các INPUT chain và nếu không bị lọc bỏ nó sẽ được xử lý bởi một dịch vụ ( System Service ) nào đó chạy trên hệ thống. gói tin sẽ đi theo thứ tự như vậy nhưng theo chiều ngược lại.Hình 2-7 : Cơ chế xử lý gói tin của IPTables Các gói tin từ ngoài đi vào sẽ được kiểm tra bởi các Pre-routing chain đầu tiên xem xem nó có cần DNAT không sau đó gói tin được routing. gói tin mà nó gửi đi được xử lý bởi . Tương tự khi hệ thống đích cần trả lời. Lưu ý trong hình vẽ những FORWARD và Post-routing chain của bảng mangle chỉ tác động vào đặc điểm QOS ( Quality of Service ) của gói tin.

Tùy chọn là --toMASQUERADING: được sử dụng để thực hiện kỹ thuật NAT destination ipaddress source <address>[-address][:<port>-<port>] (giả mạo địa chỉ nguồn với địa chỉ của interface của firewall). dùng để nhận diện và kiểm tra packet.4 Target và Jumps Jump là cơ chế chuyển một packet đến một target nào đó để xử lý thêm một số thao tác khác. Tùy chọn là --toSNAT: thay đổi địa chỉ nguồn của packet.các OUTPUT chain và có thể được xử ký bởi các Post-routing chain của bảng FILTER và bảng MANGLE nếu nó cần SNAT hay QoS.5 Các tùy chọn luật cơ bản của IPtable Nếu chỉ vừa khởi động server. LOG REJECT : thông tin của packet sẽ gởi vào syslog daemon iptables tiếp tục xử lý luật tiếp theo trong bảng mô tả luật.4. DROP : iptables khóa những packet. Với tùy chọn thông dụng là --logprefix=”string”. Các target được xây dựng sẵn trong iptables như . 2. • • • DNAT: thay đổi địa chỉ đich của packet.40 - .4. tức iptables sẽ ghi nhận lại những message bắt đầu bằng chuỗi “string”. 2. Chain INPUT target (policy ACCEPT) prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) . ta sẽ không có luật nào . Nếu luật cuối cùng không match thì sẽ drop packet. và sẽ thấy như sau. Target là cơ chế hoạt động trong iptables. Tùy chọn là [--to-ports <port>[-<port>]]. chỉ định dãy port nguồn sẽ ánh xạ với dãy port ban đầu. • • • • ACCEPT : iptables chấp nhận chuyển data đến đích.

phút.target prot opt source destination Sau đây là một số giải thích cho các tùy chọn của iptables • -A : Thêm luật này vào luồng. kết nối. ESTABLISHED :Kết nối đã được thiết lập. . Các trạng thái hợp lệ bao gồm. Tỏ ra hiệu quả trong chính xác giới hạn số lần logging. giờ hoặc ngày tùy theo người quản trị.41 - . INVALID :Traffic không được xác định vì một số lý do. • • • -L : Liệt kê các luật hiện tại -m conntrack : Cho phép lọc các luật để phù hợp với trạng thái --ctstate : Định nghĩa danh sách trạng thái cho các luật để xem NEW :Kết nối chưa được ghi nhận. FORWARD và OUTPUT . --dport :Port đích được yêu cầu cho luật này. -limit :Số lần nhiều nhất phù hợp. Luồng hợp lệ là INPUT. Nếu tùy chọn này không được sử dụng và -m limit được dùng thì mặc định sẽ là 3 lần một giờ. • -m limit : Đòi hỏi luật phải phù hợp trong một số lần xác định. nhưng chúng ta hầu hết tác động với luồng INPUT – tác động vào traffic vào. RELATED :Kết nối mới. được xác định bằng số lần theo giây. nhưng có liên hệ với kết nối khác đã được cho phép. • • -p :Giao thức kết nối được dùng. Cho phép sử dụng tùy chọn --limit. Cho phép sử dụng tùy chọn --ctstate xét phù hợp. Một port hay 1 dải port có thể được dùng bằng cách start:end: nó sẽ xem xét tất cả các port từ start đến end.

--log-prefix :Khi logging. DROP : Âm thầm chặn gói packet và dừng áp dụng luật cho luồng.42 - . -s --source -d --destination : -o --out-interface : Chúng ta có thể cho phép thiết lập phiên để nhận traffic #Iptables –A INPUT –m conntrack –ctstate ESTABLISHED –j ACCEPT Ví dụ : Cho phép traffic vào tại một port xác định. Địa chỉ[/mask] đích Tên output[+] tên interface mạng. • • • Lọc gói packet và tiếp tục xử lý các luật khác trên luồng. luật thứ 5 trong danh sách. Mặc định được cho phép 4 mục tiêu.• -j : Nhảy đến một mục tiêu xác định. khi bạn có những luật hiển thị. Cho phép sử dụng --log-prefix và --log-level. số hiệu của luật. --log-level : Lọc sử dụng log đặc biệt của các mức hệ thống. REJECT : Từ chối gói packet và thông báo cho người gửi rằng chung ta đã làm thế đồng thời dừng áp dụng luật trên luồng. . • -I : -I INPUT 5 • -v : Chèn một luật. ACCEPT :Cho phép gói packet và dừng việc áp dụng luật luồng này. Hiệu quả nhìn có vẻ giống nhau nếu không dùng –v để : Địa chỉ[/mask] nguồn. -i : Chỉ xem xét nếu gói packet tới từ một interface xác Sử dụng gấp đôi trích dẫn xung quanh text sử dụng. Gồm 2 lựa chọn. LOG : • • • định. Mức 7 là một lựa chọn tốt trừ khi bạn thật sự cần mức khác. đưa text này lên trước thông điệp log. luồng cần chèn luật và sẽ chèn luật vào INPUT của luồng và áp dụng Hiển thị nhiều thông tin ouput hơn.

ESTABLISHED . # iptables –L Chain INPUT (policy ACCEPT) target ACCEPT anywhere protoptsource all -anywhere destination state RELATED. vì vậy bạn cần cho phép SSH trước khi chặn mọi thứ khác. kiểm tra xem nó có đi vào port của SSH (--dport ssh). #Iptables –A INPUT –p tcp –dport ssh –j ACCEPT Trở lại danh sách ở phần trên. Kiểm tra nếu nó sử dụng TCP (-p tcp). Nếu nó sử dụng TCP.Chúng ta có thể bắt đầu chặn traffic. Bây giờ ta xem xét luật sau # iptables –L Chain INPUT (policy ACCEPT) target ACCEPT anywhere anywhere prot all opt -source anywhere state RELATED. #iptables –A INPUT –p tcp –dport 80 –j ACCEPT Kiểm tra rute hiện tại. ta có thể thấy ý nghĩa của các tùy chọn Chèn rute này cho luồng INPUT. Nếu thõa mãn các điều kiện trên thì chấp nhận (-j ACCEPT). nhưng bạn phải làm việc thông qua SSH.ESTABLISHED tcp dpt:ssh destination Bây giờ hãy cho phép tất cả các traffic vào.43 - . nên chúng ta đang tác động vào traffic vào(-A ). Để cho phép traffic trên cổng mặc định 22 của SSH cần chỉ cho iptables rằng cho phép tất của traffic TCP trên cổng này đi vào.

Trong trường hợp đã có nhiều traffic. ssh và web .anywhere RELATED.nhưng chưa chặn gì nên mọi traffic đều có thể đi vào được. nó sẽ được đưa vào cuối cùng – sau khi mọi traffic đều bị chặn.ESTABLISHED ACCEPT ACCEPT DROP tcp tcp all ---anywhere anywhere anywhere Dòng đầu và cuối nhìn có vẻ giống nhau.ACCEPT anywhere ACCEPT anywhere tcp -- anywhere tcp dpt:ssh tcp -- anywhere tcp dpt:www Chúng ta đã cho phép traffic tcp. nên ta sẽ liệt kê dach sách với ghi chú của nó. 0 bytes) pkts bytes target 0 0 ACCEPT all prot opt in -lo any out source destination anywhere anywhere . # iptables -I INPUT 1 -i lo -j ACCEPT # iptables –L Chain INPUT (policy ACCEPT) target ACCEPT prot opt source all -anywhere destination anywhere anywhere anywhere anywhere state tcp dpt:ssh tcp dpt:www anywhere ACCEPT all -. 2. Ta cần thêm luật này vào trước luật chặn tất cả. ta sẽ thêm nó vào đầu danh sách để nó được xử lý trước. Ta có thể khắc phục điều này bằng việc chỉ ra -i eth0.6 Chỉnh sửa Iptables Vấn đề duy nhất với việc tiếp lập của chúng ta là port loopback đã bị chặn. nhưng ta cũng phải thêm luật cho port lookback.4.44 - . # iptables -L –v Chain INPUT (policy ALLOW 0 packets. Nếu ta thêm luật.

ta có thể dùng lệnh. trong phần này.4.45 - . Thay bằng việc phải đánh lại những lệnh này mỗi lần reboot. không có traffic nào được ghi lại. Để save cấu hình. Nếu bạn muốn ghi lại các packet đã bị loại bỏ vào log của hệ thống.7. ta cần chỉ ra các điều kiệnkiểm tra gói tin và sau đó chỉ ra cách hành động xử lý gói tin đó khi thông tin của gói tin đáp ứng được điều kiện chỉ ra . thì các cấu hình của iptables sẽ biến mất. đây sẽ là cách dễ dàng nhất.0 0 ACCEPT all -- any any anywhere anywhere State RELATED. Những điều kiện kiểm tra gói tin được chia thành các nhóm • • • Nhóm điều kiên chung Nhóm điều kiện ẩn Nhóm các điều kiện hiện 2.4. #iptables –I INPUT 5 –m limit 5/min –j LOG –log-prefix ‘iptable denied’-log-level 7 • Saving iptables Nếu bạn reboot lại hệ thống mà chưa save. Iptable sẽ chỉ thực hiện kiểm tra các gói tin dựa vào các điều kiện được chỉ ra.7 Các điều kiện trong luật Để xây đựng một luật của iptable. bạn có thể save chúng lại.ESTABLISHED 0 0 ACCEPT 0 0 ACCEPT 0 0 DROP tcp tcp --all any any -any any any any anywhere anywhere tcp dpt:ssh anywhere anywhere Tcp dpt:www anywhere anywhere • Ghi lại hoạt động Trong ví dụ trên.1 Nhóm điều kiện chung . # iptables-save và iptables-restor 2. ta khảo sát một số điều kiện cơ bản thường được sử dụng trong bảng filter và NAT .

có thể sử dụng ký tự thay thế + trong tên của giao tiếp mạng. dest_addr. không có tham số đặc biệt nào cần phải có khi sử dụng những điều kiện này. được phân cách nhau bởi dấu ‘.’.không xét đến giao thức gói tin.1/24 • -i in_interface Điều kiện –I được sử dụng để chỉ thực hiện kiểm tra những gói tin có đi đến giao tiếp mạng in_interface. Thidụ : iptable –A INPUT –s 192.1.168. Thí dụ : iptable –A INPUT –d 192.1. • -p protocol Điều kiện này được sử dụng để kiểm tra giao thức (protocol) của gói tin.Nhóm điều kiên chung có thể được sử dụng trong tất cả các luật . thí dụ như 1 có nghĩa là giao thức ICMP. Của các gói tin. nó thay thế cho tất cả các giao tiếp mạng có phần tên đó.168. Thí dụ điều kiện -I eth+ sẽ áp . Giao thức có thể được chỉ ra bẳng giá trị số của giao thức (các giá trị số hợp lệ là các giá trị được khai báo trong tập tin /etc/protocols ). là một địa chỉ IP với netmask có thể được ghi ở dạng CIRD. Giá trị của điều kiện này. là một địa chỉ IP với netmask có thể được ghi ở dạng CIRD . Các giá tri của điều kiện –p cũng có thể là một danh sách các giao thức. FORWARD và PREROUTING. Nhóm điều kiên chung chung luôn luôncó hiệu lực . in_intreface. Nếu + đứng một mình thì sẽ đại diện cho tất cả các giao tiếp mạng.46 - . Nếu + được viết liền sau một phần tên của giao tiếp mạng.Giá trị ALL đại điện cho mọi giao thức.1/27 • -d dest_addr Điều kiện này được sử dụng để kiểm tra đia chỉ đích (dest_addr) của các gói tin. Giá trị của điều kiện này. Thí dụ : iptable -AINPUT –p tcp. là tên của giao tiếp mạng. source_addr.udp • -s soure_addr Điều kiện này được sử dụng để kiểm tra địa chỉ nguồn (source_addr).không xét đến các điều kiện mở rộng. Điều kiện này chỉ được phép khai báo trong các chuỗi luật INPUT. Giá trị của điều kiện này.

dụng luật cho bất kỳ giao tiếp Enthernet nào trên hệ thống ngoại trừ các giao tiếp khác như là ppp0. Thí dụ : • iptable -A INPUT –I eth0 -o out_interface

Điều kiện -o được sử dụng để chỉ thực hiện kiểm tra những gói tin xuất phát từ giao tiếp mạng out_interface. Điều kiện này chỉ được phép khai báo trong các chuỗi luật OUTPUT, FORWARD và POSTROUTING, ngược với điều kiện -I, Cú pháp của điều kiện - i . Thí dụ: -A INPUT - i eth0 2.4.7.2 Nhóm điều kiện ẩn Các điều kiện ẩn được thực hiện, công nhận, tự động và được nạp một cách hoàn toàn. Hiện có ba kiểu điều kiện ẩn áp dụng cho ba giao thức .điều kiện kiểm tra gói tin TCP, kiềm tra gói UDP, và kiểm tra gói ICMP . • --sport source port Điều kiện này chỉ hợp lệ khi trong luật có chỉ ra điều kiện –p tcp hoặc –p udp. Điều kiện --source –port được sử dụng để kiểm tra các gói tin dựa trên cổng nguồn (source port) của chúng. Nếu không chỉ ra điều kiện này, iptables sẽ không kiểm tra cổng nguồn của gói tin. Giá trị của điều kiện này, source port có thể là cổng hoặc tên dịch vụ (tên dịch vụ hợp lệ là các tên dịch vụ được khai báo trong tập tin /etc/services) source port cũng có thể là một dãy các cổng, được phân cách nhau bởi dấu ‘:’. Thí dụ : • iptables -A INPUT –p tcp –sport 22:80 --dport destination port

Điều kiện này chỉ hợp lệ khi trong luật có chỉ ra điều kiện –p tcp hoặc–p udp. Điều kiện–dport được sử dụng để kiểm tra các gói tin dựa trên cổng đích(destination port) của chúng. Cú pháp của điều kiện này giống như cú pháp của điều kiện –source-port. Thí dụ : iptables –A INPUT –p tcp –dport 22 • --icmp-type type

- 47 -

Điều kiện này chỉ hợp lệ khi trong luật có chỉ ra điều kiện –p icmp. Điều kiện –icmp- type được sử dụng để kiểm tra các gói tin dựa tren kiểu giao thức ICMP có thể được chỉ ra ở định dạng số hoặc định dạnh tên. Thí dụ: iptables –A INPUT –p icmp – icmp-type 8 • --syn goi 1 Điều kiện --syn được duy trì ipchains để đảm bảo tính tương thích và để tạo sự chuyển tiếp một cách dễ dàng hơn. Nó đượ dùng để kiểm tra các tin nếu chúng có cờ SYN được bật và các cờ ACK và RST bị tắt. những gói tin này chủ yếu được dùng để yêu cầu một kết nối mới từ máy chủ. Nếu ta thực hiện loại bỏ những gói tin này , tất cả gói tin. 2.4.8 Nhóm điều kiện hiện Những điều kiện hiện là những điều kiện phải được nạp một cách đặc biệt với sự lựa chọn -m . Sự khác giữa các điểu kiện hiện và điều kiện ẩn là ở chỗ các điều kiện được nạp một cách tự động nạp khi kiểm tra thuộc tính gói tin, trong khi các điều kiện được nạp hiện sẽ không bao giờ được nạp một cách tự động nó để cho người quản trị tự động phát hiện và kích hoạt các điều kiện hiện. • --sorce-port list Điều kiện này chỉ hợp lệ khi trong luật có chỉ ra điều kiện –p tcp hoặc-p udp và điều kiện –m multiport. Điều kiện – source-port và điều kiện –sport không sử dụng cùng nhau trong một luật. Điều kiện –source-port tương tự như điều kiện –sport, nhưng giá trị của điều kiện là một danh sách , list (tối da 15 phần tử) , các cổng được phân cách nhau bởi dấu ‘,’. Thí dụ: iptable –A INPUT –p tcp –m multiport –soure22.53.85.110 • --destination-port list Điều kiện –destination-port tương tự như điều kiện –dport, nhưng giá trị của nó là một danh sách các cổng. Cú pháp và điều kiện sử dụng điều kiện này tương tự như điều khiện –source-port. Thí dụ : iptables –A INPUT –p tcp –m multiport –soure-port 22.53.80.110 • - 48 --port list port

Điều kiện này để kiểm tra gói tin dựa vào địa chỉ nguồn lẫn địa chỉ đích của gói tin. Cú pháp và điều kiện giống như –source-port. Thí dụ: -A INPUT –p tcp –m multiport –soure –port 22.53.80.110 • --mac-source mac_addr Điều kiện này được dùng để kiểm tra các gói tin dưa trên địa chỉ MAC nguồn của chúng. Địa chỉ MAC, mac_addr, phải được ghi ở định dạng XX:XX:XX:XX:XX:XX.điều kiện –mac-source chỉ hợp lệ trong các chuỗi PREROUTING,FORWARD và INPUT, đồng thời trong luật phải chỉ ra điều kiện –m mac. Thí dụ : iptables –A INPUT –m mac -- mac- source 00:00:00:00:00: 01 Các giá trị của điều kiện có thể lấy “nghịch đảo” bằng cách sử dụng ký tự ! đứng sau điều kiện . Thí dụ , nếu ta khai báo điều kiện sau –p !icmp, iptables sẽ kiểm tra các gói tin không làm viẹc theo giao thức ICMP . 2.5 2.5.1 IPCOP Giới thiệu về IPCOP IPCop là một phần cắt ra từ Linux và có khả năng hoạt động như một firewall, và nó chỉ có khả năng hoạt động như một firewall. Nó có những tính năng cao cấp của firewall, bao gồm VPNs sử dụng IPSec. IPCop là một phiên bản có bản quyền và được cung cấp miễn phí bởi GPL.Đaõ coù theâm nhiều tính năng của phiên bản thương mại SmoothWall được thêm vào phiên bản IPCop hiện nay. Mặc dù IPCop được phát triển dựa trên SmoothWall nhưng nhân hệ điều hành của IPCop là một phần của hệ nhân Red Hat 7.2 RPMs. Hiện nay cả hai phiên bản IPCop và SmoothWall đều sử dụng nhân 2.2 và 2.4 của phiên bản Red Hat’s Enterprise. 2.5.2 Các tính năng của IPCOP IPCop bắt nguồn từ SmoothWall nhưng ñược phát triển thành một dự án riêng biệt. IPCop với tính năng chính như một hệ thống firewall cho các văn phoøng nhỏ hay cho gia đình. Bản quyền thuộc về GPL, và nó được miễn phí khi sử dụng, hay giá cả của nó chỉ là giá cả của phần cứng và công lắp đặt mà thôi, IPCop hỗ trợ 3 card mạng, và bao gồm các tính năng sau. • - 49 IPChains-based firewall

• • • • • • • •

Hỗ trợ DMZ Quản trị trên nền Web-based GUI SSH server for Remote Access DHCP server Caching DNS TCP/UDP port forwarding Intrusion detection system IPSec based VPN Support

IPCop là một hệ thống phần mềm firewall hoàn thiện, tự hoạt động trên máy tính cùng với hệ điều hành riêng của nó được cài đặt. Tuy nhiên, nó không đơn giản để đóng gói như Ipchains hay những công cụ để quản trị qua Web. Nó không chỉ là một dịch vụ bảo mật được thêm vào hệ thống mà nó được hoạt động riêng biệt trên một máy tính; là một hệ điều hành hoàn chỉnh với tính năng firewall người dùng sử dụng nó như một Internet Gateway.

- 50 -

(Phải enable các dịch vụ khác như Web proxy. Thiết lập các rule cho vùng DMZ). Dịch vụ Proxy mặc định bị diable.3 Cấu hình IPCOP Sau khi cài đặt xong IPCop. • Web Proxy Một tính năng quan trọng của IPCop được kết hợp vào đó là hệ thống có khả năng hoạt động như một Web Proxy Server. nhưng chúng ta có thể chạy nó sau khi cấu hình. Do đó muốn sử dụng phải tạo các rule cho phép truy cập vào internet cũng như tạo các rule cho phép truy cập vào DMZ từ mạng interal. Thiết lập portforwarding và các ứng dụng cho external truy cập vào hệ thống mạng của bạn.5. Lựa chọn "service trên .51 - . IPCop hoạt động không có rule nào được tạo ra sẵn.Hình 2-8 : Mô hình mạng có thể sử dụng IPCOP 2. Rất nhiều thứ cần thiết cho một hệ thống IPCop hoạt động. vaø snort IDS. DHCP.

nó có nghĩa các brower client của mạng sẽ không cần phải cấu hình proxy cho các ứng dụng web mà sẽ được cấu hình tự động.168. Nếu Webproxy hoạt đông như một gateway trong hệ thống.10 và mail là 192. Nếu sử dụng IPCop để bảo vệ máy chủ ở (DMZ hay internal) chúng ta sẽ phải sử dụng Snort. chúng ta cũng cần phải chọn "Transparent".200.168.168.10 Destination Port 80 . và địa chỉ của Web server là 192. sau đó bạn lựa chọn "Web Proxy". Một ví dụ đơn giản.200. Và điều đó có nghĩa laøcaùc kẻ xâm nhập vẫn có khả năng chui đñược qua hệ thống và chúng phải là người thực sự có kinh nghiệm trong bảo mật để làm việc với IDS.phía bên tay trái của màn hình cấu hình cho cổng cần thiết. có khả năng gán địa chỉ IP cho hệ thống mạng LAN. là ta có một Web server và một mail server được cài đặt và chạy trong vùng DMZ. Under Port Forwarding Protocol TCP Source Port 80 Destination IP 192.200. • Intrusion Detection IPCop cũng bao gồm Snort intrusion Detection System (IDS). Và chúng đã gán địa chỉ cho ORANGE network là 192. Một IDS như Snort (hay một firewall) nhưng ñiều này cũng khoâng ngăn cản việc update của các hệ thống tới cac trang web của nhà cung cấp như việc client chạy windows xp có thể update trên trang web của microsoft mà không hề bị IDS phát hiện hay cấm. Sau đó Web proxy sẽ được enable với dâu tích enable. Dịch vụ Web sử dụng cổng TCP 80.20. trong khi mail lại sử dụng TCP port 25.168.52 - .200. nó là một hệ thống có khả năng giaùm saùt hệ thống và nhận dạng các tấn công vào các máy chủ bên trong mạng.x. • Port Forwarding and External Service Access Port Forwarding and External Service Access tab trên tab "service" của IPCop cho phép các truy cập từ internet vào hệ thống DMZ hay internal. Dưới đây là cấu hình port forwarding cho hai ứng dụng trên. • DHCP IPCop cũng bao gồm tính năng DHCP.

6.TCP 25 192.. hỗ trợ máy chủ sysol từ xa. báo cáo với hệ thống và lưu lượng truy cập.1 Edian firewall Giới thiệu về Edian firewall Đây là một trong những bức tường lửa mã nguồn mở được sử dụng rộng rãi nhất với các tính năng toàn diện. Webproxy. Bảo mật mail với SMTP và POP3 với các chương trình chống virus. hỗ trợ Routing và Nat.53 - . Nó gần như là một nhà quản lý toàn diện với với một thiết bị tường lửa Stateful. Anti-spyware và khả năng chống lừa đảo . Linux) sử dụng Open VPN. Mail gateway và Antivirus.6. MacOSX.6 2. lọc nội dung. hỗ trợ NTP client và NTP server. 2. FTP và DNS Phòng chống SPAM bằng cách sử dụng Bộ lọc thư rác "pyzor" Hỗ trợ DNS và DNS . kiểm soát truy xuất port. ipsec VPN cho trang web VPN và trang web hỗ trợ người dung từ xa (Windows.20 25 Under External Service Access Source IP Address ALL ALL Destination Port 80 25 • DMZ Pinholes DMZ Pinholes được sử dụng trong IPCop để cho phép quá trình truy cập giữa mạng ORANGE Và GREEN network còn từ mạng GREEN tới ORANGE được cho phép từ cấu hình mặc định của hệ thống. VPN. 2. spyware và lừa đảo trực tuyến (Phising).200. SIP cho VoIP.2 Các tính năng của Edian firewall Dễ dàng để cấu hình và quản lý giao diện web.168. Web Security. proxy. Webproxy hỗ trợ HTTP.

2.Có nhiều cách để ngăn chặn.7 Trình bày phương pháp áp dụng firewall chống tấn công trong DDoS là một dạng tấn công. hackers thực thi một số lượng lớn connection tới server.để chặn các IP DDOS Trong Apache có một mod là mod_dosevasive. Có thể sử dụng các giải pháp phần cứng (như firewall). DDoS . phòng ngừa các cuộc tấn công dạng này. (chức năng này ngầm hiểu là hạn chế mức ảnh hưởng đến tốc độ hệ thống) . hoặc phần mềm(DDoS-Deflate). làm cho server bị quá tải. 2. • không [root@lemon tmp]#netstat –n | grep :80 |wc –l [root@lemon tmp]#netstat –n | grep :80|grep SYN |wc –l Dòng lệnh thứ nhất trả về số lượng active connection (connection đang hoạt động).7. 2.1 Kiểm tra xem server có bị DDOS hay không • Từ command line Linux gõ [root@lemon tmp]#netstat –anp |grep ‘tcp\|udp’ | awk ‘{print $5}’ |cut –d: -f | sort |uniq –c |sort –n Câu lện trên sẽ trả về hàng loạt IP chiếm nhiều connection nhất trên server Cần lưu ý rằng DDOS có thể xuất phát từ một lượng nhỏ connection. Do đó việc kết quả trả về connection thấp chúng ta vẫn có thể trong tình trạng under attack.qua sudoers . .2 Các phương pháp phòng chống DDoS • Chống HTTP DoS or DDoS attack trong OS linux CentOS Cho phép user "Apache" có thể sử dụng iptables . Rất nhiều kiểu tấn công DDOS bằng cách mở một kết nối connection lên server rồi không làm gì cả khiến cho server chờ đợi cho đến khi timeout. Nến nếu dòng lệnh thứ nhất trả về trên 500 thì server có rất nhiều khả năng bị DDOS. theo đó.7. Dòng lệnh thứ 2 trả về kết quả trên 100 thì rất nhiều khả năng server trong tình trang bị DDOS.54 Một phương pháp khác Kiểm tra xem server có bị DDOS hay DOS.Quản lý lưu lượng thông minh hay còn gọi là băng thông tối đa trong cả hai chiều (Traffic Shaping) khi truy cập trên Internet cho QoS.

[color="#0000FF"]</ifmodule>[/color] Dòng in đậm sudo /sbin/iptables -A INPUT -s %s -j DROP . DOSPageInterval 1 7. Trước đó ta phải login vào root và cho phép user này sử dụng iptables bằng cách. Nếu việc thiết lập kết nối chưa hòan tất 3 bước đây đủ (gọi là half-open connection) mà buộc hệ thống server phải cấp . LoadModule dosevasive20_module modules/mod_dosevasive20.c>[/color] 3. • Chống Syn Flood attacks Syn flood là 1 dạng tấn công từ chối dịch vụ. DOSSiteInterval 1 8. [color="#0000FF"]<ifmodule mod_dosevasive20./usr/share/doc/mod_dosevasive/README for more info 10.1.Tức là nâng quyền user Apache cho phép sử dụng iptables chặn các IP không hợp lệ. DOSPageCount 2 5. DOSBlockingPeriod 10 9.55 tmp]$vim /etc/sudoers . Loại tấn công này sẽ nguy hiểm nếu hệ thống cấp phát tài nguyên ngay sau khi nhận gói tin SYN từ kẻ tấn công và trước khi nhận gói ACK.]* -j DROP Cấu hình mod trên có tác dụng chặn các IP request vào với điều kiện(Request vào cùng 1 trang nhiều hơn 5 lần / 1 giây. # Optional Directives . kẻ tấn công gửi các gói tin kết nối SYN đến hệ thống. Tạo hơn 50 concurrent requests trên cùng một child mỗi giây.* 12.168. Tạo ra các request khác khi đã tạm cho vào blacklisted (on a blocking list).1. DOSEmailNotify admin@domain. [user@lemon Thêm vào dòng này [root@lemon tmp]apacheALL=(ALL) NOPASSWD :/sbin/iptables -A INPUT -s [0-9.be 11. DOSHashTableSize 3097 4. DOSWhitelist 192. DOSSystemCommand "[b]sudo /sbin/iptables -A INPUT -s %s -j DROP[/b]" 13. DOSSiteCount 50 6.so 2. Đây là 1 loại tấn công rất phổ biến.

Syn flood là 1 dạng tấn công phổ biến và nó có thể được ngăn chặn bằng đoạn lệnh iptables sau. --limit-burst 3(Số lương gói tin khởi tạo tối đa được phép là 3) Dùng iptables. thêm rule sau vào [root@lemon tmp]#Limit the number of incoming tcp connections [root@lemon tmp]#Interface 0 incoming syn-flood protection [root@lemon tmp]#iptables -N syn_flood [root@lemon tmp]#iptables –A INPUT –p tcp – syn –j syn_flood [root@lemon tmp]#iptables –A INPUT -m limit –limit 1/s –limit-burst 3 –j RETURN [root@lemon tmp]#iptables –A syn_flood –j DROP--limit rate n limit –burst number m Rule trên giới hạn số kết nối tối đa đến hệ thống là n trên mỗi 1 giây sau khi đã có m kết nối được thiết lập" .-sport 513:65535 –dport 22 -m state --state NEW.56 traffic của mạng . Chúng ta cần điều chỉnh thông số -limit-rate và -limit-burst tùy theo yêu cầu và mỗi 10 phút. Giả sử bạn cần giới hạn các kết nối SSH (port 22) không được phép hơn 10 connections trên -- . --limit 1/s (Tốc độ truyền gói tin trung bình tối đa 1/s (giây)). [root@lemon tmp]#iptables –A INPUT –p tcp –syn –m limit –limit 1/s – limit. rule như sau.tài nguyên để quản lý thì kẻ tấn công có thể lấy hết tài nguyên của hệ thống server bằng các "flooding" vào server với các gói tin SYN. [root@lemon tmp]#iptables –I INPUT -p tcp -s 0/0 -d $SERVER_IP . ESTABLLSHED -m recent --set -j ACCEPT [root@lemon tmp]#iptables –I INPUT -p tcp --dport 22 -m state-state NEW -m recent --update –seconds 600 --hitcount 11 -j DROP [root@lemon tmp]#iptables –A OUTPUT -P tcp -s $ SERVER_IP-d 0/0 --sport 22 dport 513:65 .burst 3 –j RETURN Tất cả các kết nối đến hệ thống chỉ được phép theo các thông số giới hạn sau.

File iptables. File iptables. nếu như ip đó không thực hiện tấn công SYN Flood nữa thì IP đó sẽ được xóa ra khỏi danh sách cấm Shell gồm 3 file: Files blocked. autoblock. sau đó gọi file iptables. và đưa những IP này vào file blocked.sh Files blocked.ips) # create a new iptables list $IPT -N $SPAMLIST for ipblock in $BADIPS do $IPT -A $SPAMLIST -s $ipblock -j LOG –log-prefix “$SPAMDROPMSG” $IPT -A $SPAMLIST -s $ipblock -j DROP done $IPT -I INPUT -j $SPAMLIST $IPT -I OUTPUT -j $SPAMLIST $IPT -I FORWARD -j $SPAMLIST File autoblock. đây chỉ đơn giản là 1 file text bạn chỉ việc tạo ra nó bằng lênh vi bình thường.sh: Tác dụng của file này là tìm xem có những IP nào đang gửi các gói tin dạng SYN_RECV. nội dung trắng.sh.ips và thực hiện cấm đối với những IP này và đưa vào log để tiện theo dõi.ips. cứ 2 phút 1 lần hệ thống sẽ gọi đến file này. .ips.57 - .ips .sh để khóa IP.sh : Tác dụng của file này là đọc các IP bị cấm trong file blocked.• Shell chống DOS đơn giản dạng SYN attack Cơ chế hoạt động của đoạn mã này nó chỉ đơn giản là tìm xem có những IP nào đang thực hiện kết nối dạng SYN_RECV thì sẽ được đưa vào blacklist và khóa lại. nó được dùng để làm nơi lưu những IP bị nghi ngờ đang DOS.ips : Files blocked. IPT=/sbin/iptables SPAMLIST=”spamlist” SPAMDROPMSG=”SPAM LIST DROP” BADIPS=$(egrep -v -E “^#|^$” /root/iptables/blocked.

2.FIN/RST –mlimit –limit1/s –j ACCEPT • Chống Ping of Death [root@lemon tmp]#Iptables -A FORWARD -P icmp -icmp-type echorequest –m limit –limit 1/s -ACCEPT • Cho các packet đã thiết lập kết nối tiếp tục đi qua firewall tmp]#Iptables -A FORWARD -m state state [root@lemon ESTABLISHBD. Sau đó chúng ta khai báo vào Crontab.7.0. thường mọi người hay chmod 777.0/8 và firewall sử dụng hai card mạng. ở đây tôi lưu vào /root/iptables và được chmod cho phép thực thi./iptables.1 Cấu hình firewall chống tấn công DDoS Giả sử local network là 10. • Chống Syn Flooding [root@lemon tmp]#Iptables -A FORWARD -p tcp -syn -m hmit -limit 1/s –j ACCEPT • Chống Scan Port [root@lemon tmp]#Iptables -A FORWARD -P tcp tcp.d/iptables start cd /root/iptables netstat -atun | grep SYN_RECV | awk ‘{print $5}’ | cut -d: -f1 |sort | uniq -d | sort -n > blocked. 2.58 Chống giả mạo địa chỉ nội bộ từ bên ngoài để xâm nhâp [root@lemon tmp]# Iptables -t nat -A PREROUTING -i eth0 -s 10. kết nối với internet bằng card mạng ethO và với local network là eth1.j DROP .ips sh .0.flags SYN/ACK.#!/bin/bash # Ban quyen thuoc ve Hanh_bk /etc/init.0.RELATED –j ACCEPT • .0.sh Tất cả 3 file này chúng ta lưu vào một thư mục.0/8 .

0.162.every 3 .0.0.every 3 packet 1 .j SNAT -to-source 10.source 10.59 - .162.every 3 packet 2 .0.10 trong mạng nội bộ (DNAT).source 10.7 • Chức năng ưu tiên thông lượng đối với truy cập web [root@lemon tmp]#Iptables -A PREROUTING -t mangle -p tcp -sport 80 -j TOS set-tos Maximize-Throughput • Ngặn chặn sâu Nimda hay Codered (mức ứng dụng) 00:C7:8F:72:14-jACCEPT Thực hiện chia tải trên cả hai hướng inbound và outhound (load .0.0.9:3128 • Chỉ cho máy tính trong mạng nội bộ có địa chỉ card mạng 00:C7:8F:72:14 đi ra [root@lemon tmp]#Iptables -A FORWARD) -m state -state NEW -macmac-source • balancing) [root@lemon tmp]#Iptables -t nat -A POSTROUTING -o eth0 –m nth counter 7 .0.6 [root@lemon tmp]#iptables -t nat -A POSTROUTING -o eth0 –m nth counter 7.0.j Chuyển đổi địa chỉ của web server từ bên ngoài vào SNAT -to 203.0.j SNAT-to .5 [root@lemon tmp]#Iptables -t nat -A POSTROUTING -o eth0 –m nth -counter 7.j SNAT-to.10 • Thiết lập Transparent proxy bằng cách chuyển hướng port 80 đến server squid proxy 10. [root@lemon tmp]#Iptables -t nat -A POSTROUT-o eth0 .9 -p tcp dport 80 –j DNAT to 10.• • • Chuyển đổi địa chỉ từ trong mạng nội bộ ra bên ngoài (SNAT). [root@lemon tmp]#Iptables -t nat -A PREROUTING -d 203.0.0.0.packet 0 .0.0.9 [root@lemon tmp]#Iptables -t nat -A PREROUTING -p tcp -dport 80 -j DNAT to 10.

0-string"c+đir" Chương 3 Mô Hình Thực Nghiệm 3.60 - .0.[root@lemon tmp]#Iptables -I INPUT .j DROP -m string -P tcp – 0.0.0.1 Mô tả thực nghiệm .

3.Ngày nay với sự phát triển của công nghệ thông tin. mạng máy tính đã đem đến rất nhiều lợi ít cho các cơ quan tập đoàn doanh nghiệp thông qua các ứng dụng của nó như email. Tuy nhiên hai thành phần cơ bản mà bất kỳ hệ thống nào cũng dụng đó là hệ thống firewall và hệ thống phát hiện xâm nhập IDS. Do đó mô hình thực nghiệm đưa ra là mô hình đang được ứng dụng trong thực tế nhằm đánh giá hoạt động của hệ thống mạng cũng như cơ chế hoạt động của firewall và khả năng phát hiện và ngăn chặn của IDS. data. Tùy theo nhu cầu từng cơ quan. các công nghệ bảo mật cao. mạng máy tính đã không thể thiếu đối với doanh nghiệp. đòi hỏi các kỹ thuật.61 - . bên cạnh những lợi ít đó là những nguy cơ mà các hacker lợi dụng lỗ hổng của các ứng dụng để tấn công vào hệ thống mạng của các doanh nghiệp.2 Hạ tầng mạng thực nghiệm . Hình 3-1: Mô hình tổng quan mạng Trong mô hình này Hacker cơ nếu muốn tấn công vào vùng DMZ thì phải đi qua hệ thống phân tích gói tin IDS và hệ thống firewall trước nếu may mắn qua được firewall và IDS thì mới tấn công được vào vùng DMZ. vpn…. công ty mà các kỹ thuật hay công nghệ được sử dụng cũng khác nhau. vì vậy các doanh nghiệp phải xây dựng hệ thống mạng vô cùng phức tạp.

el5 • .2 .3.5-5.1. web server trên windows Server2k3 và có ip là 10.3.1 Cài đặt và cấu hình IPTables Hình 3-3 : Kiểm tra cài đặt iptables Iptables đã được cài đặt với version 1. eth0 có IP là 192.3. Eth1 có IP là 10.168.Sau đó dùng winxp tấn công vào webserver trong cùng thời điểm đó chúng ta dùng hệ thống snort theo dõi.62 Khởi động iptables .0. Hình 3-2 : Mô hình thực nghiệm 3. hệ thống phòng thủ firewall và hệ thống phát hiện xâm nhập snort(IDS) được xây dựng trên CentOS.0. trên hệ điều hành centos có hai card mang eth0 và eth1.0.168. phát hiện các lưu luợng xâm nhập vào hệ thống và dùng firewall để ngăn chặn được các lưu lượng độc hại .1. Để mô phỏng thực nghiệm trên chúng ta sẽ xây đựng cấu hình từng bước iptables và snort .0.200 được nối với route đi internet và hệ thống tấn công DDoS được xây dựng trên windows xp với ip 192.3 Các bước cài đặt IPTables và Snort trên Centos • Kiển tra iptables có cài đặt chưa 3.55 .10 được nối với windows server2k3.Mô hình mạng thực nghiệm sẽ xây dựng mail server.

63 - . #cat /etc/sysconfig/iptables Hình 3-5 : Cấu hình iptables • Cấu hình Nat in . Nat out .Hình 3-4 : Khởi động iptable • Cấu hình iptables Có 2 cách cấu hình iptables là dùng lệnh và sửa file /etc/sysconfig/iptables nếu cấu hình iptables bằng lệnh sẽ không lưu lại sau khi restart service iptables để xem bảng iptables đã được cấu hình khi cài đặt thành công iptables ta dung lệnh sau.

0/8 -d 0/0 -o eth0 #service iptables restart Kiểm tra iptables đã cập nhập .Đựa vào mô hình trên thì ta phải cấu hình Nat in. Bật tính năng định tuyến #vi /etc/sysctl.ip_forward =1 Hình 3-6 : Bật tính năng switchinh Cấu hình NAT out Hình 3-7 : Cấu hình NAT out Giải thích -A : Thêm một luật vào luồng POSTROUTING : Thao tác đổi địa chỉ nguồn -s 10.0.ipv4. Nat out trên card eth0 để các máy bên trong truy cập đươc internet và các máy bên ngoài có thể truy cập vô mail server trên máy win2k3.ipv4.ipv4.64 : soure-internal destination –internet : Đi ra cổng eth0 .conf Sửa dòng net.ip_forward =1 Bật tính năng switchinh cho phép ip_forward giữa các lan card #echo “1” > /proc/sys/net/ipv4/ip_forward Kiểm tra #sysctl –p : quan sát ta thấy đã có dòng net.0.ip_forward =0 thành net.

1.#cat /etc/sysconfig/iptables Hình 3-8 : Kiểm tra NAT out Cấu hình NAT in Hình 3-9 : Cấu hình NAT in Giải thích -o eth0 -p tcp : Đi vào cổng eth0 : Giao thức tcp được dùng kết nối -d 192.168.10 : Địa chỉ đích Nat vào #service iptables restart #cat /etc/sysconfig/iptables : Kiểm tra iptables đã cập nhập .65 - .

3. yum-utils. mysql-server. gd.168. gcc.0/8 và mạng 192. distcache-devel.2 ping 10.1.0. gcc-c++. distcache-devel.168. pcre-devel. php.2 thành công ta thấy mạng 10. libpcap-devel. mysql-bench. glib2-devel.1.0. mysqldevel.2 Hình 3-12 : Cài gói phụ thuộc #mkdir /snort :tạo thư mục snort . httpd.66 - .Hình 3-10 : Kiểm tra NAT in Kiềm tra ta dùng winxp IP:192.0. php-pear Yêu cầu máy phải kết nối với internet và phải có soure Cenos 5.0.2 Cài đặt và cấu hình snort Cài đặt các gói phụ thuộc: Mysql. php-mysql. php-gd. mod_ssl.0/24 đã thông nhau Hình 3-11 : Kiểm tra bằng lệnh ping 3.

4.tar.4.1. và set quyền sở hữu cho phép snort ghi vào thư mục chứa log Hình 3-15 : Tạo người dùng.tar.67 - .8.gz /snort:giải nén vào thư mục snort #cd rules : vào thư mục rules của tập tin vừa giải nén #cp * /etc/snort/rules : copy vào thư mục rules vừa tạo ở trên Sửa file cấu hình snort .gz vào thư mục snort vừa tạo #cd snort-2.8.1 : • #make #make install • Cấu hình snort Tạo các thư mục hoạt động cho snort Cài đăt snort #./configure –with-mysql –enable-dynamicplugin Hình 3-13 : Tạo Thư mục hoạt động cho snort Chép các file cấu hình snort vô thư mục snort vừa tạo trong /etc/snort Hình 3-14 : Copy file cấu hình snort Tạo nhóm và người dùng cho snort. nhóm người dùng Cài đặt tập rule cho snort #tar –xzvf snortrules-snapshot-2.4.#tar –zxvf snort-2.1.8.tar.gz /snort :giải nén snort-2.8.

68 - . và copy các scrip trong thư mục giải nén snort vào thư mục /etc/sysconfig/snort Hình 3-17 : Thiết lập snort Đặt lại quyền cho file snort Hình 3-18 : Đặt lại quyền cho snort • Quản lý snort bằng webmin Cài đặt webmin Hình 3-19 : Cài Webmin Log vào webmin bằng cách vào http://localhost-1:10000/ Với Username : Root Password : 12345678 .Hình 3-16 : Cài đặt rule cho snort Thiết lập snort khởi động cùng hệ thống Tạo một liên kết mềm (symbolic link) của file snort binary đến /usr/sbin/snort.

tgz vào thư mục html .tgz /var/www/html/ :giải nén adodb480.Hình 3-20 : Quản lý snort bằng Webmin 3.3 Cấu hình MySQL server • Tạo cơ sở dữ liệu với MySQL Hình 3-21 : Tạo cơ sở dữ liệu • Cài đặt BASE và ADODB Tải ADODB tại http://nchc.dl.net/sourceforge/adodb/ #tar –xzvf adodb480.sourceforge.3.69 - .

gz vào thư mục html #mv base-1.44/ base/ #cd base #cp base_conf.70 - .0.44.sourceforge.10/base .tar.Tải BASE tại http://nchc.tar.php Hình 3-22 : Cài Base và ADODB #service snortd restart #service httpd restar Đến đây ta có thể quản lý snort bằng giao điện web Log vao webmin bằng cách sau http://10.dist base_conf.net/sourceforge/secureideas/ #tar –zxvf base-1.php Cấu hình BASE #vi base_conf.0.gz /var/www/html/ : giải nén base-144.php.dl.

168. php.0.2 SM :255. Eth0 IP :192.4.Hình 3-23 : Giao diện chính của BASE 3.1.1.200 SM: 255. có một card mạng và được nối với CentOS Network IP :10.168. eth0 được nối với route đi internet .3. base.0.0.1.10 Centos : Cài các phần mền như iptables . mysql server .1 Eth1 IP :10.10 .0.0.0. và có 2 card mạng eth1 được với win 2k3.255.4 Giao diện hệ thống sau khi cài đặt • Các thông tin cơ bản Win 2k3 : Cài các dịch vụ mạng như ftp server.0 DW:10.0.8. snort-2. adodb.71 - . web server.0 DW:192.0.255.

72 - . .SM : 255.1.168.255.0 Win Xp : Cài chương trình scan port Nmap và các tool tấn công DdoS có một card mạng đươc nối với router đi internet. cho phép admin truy xuất và phân tích cảnh báo. các ứng dụng khác thì closed hacker có thể lợi dụng thông tin này để tấn công web server. Sử dụng phần mềm Base để kiểm tra base cung cấp công cụ bằng giao diện.1 • Kết quả thống kê snort Từ win xp ta sử dụng phần mềm scan port vào máy win 2k3 Hình 3-24 : Nmap hoạt động Dựa vào hình trên thì win xp thấy được win 2k3 đang open port 80 với ứng dụng http version Microssoft IIS webserver 6.0.0.168.55 SM :255.1. Network IP :192.225.0 DW :192.0.

.Hinh 3-25 : Base đang phân tích packet Ta xem mục Traffic Profile By Protocol click vào Portsan Traffic để xem tần xuất các alerts Hình 3-26 : Snort phát hiện Nmap đang scan port Trên bảng Summary Statistics. click vào link Destination ở hàng Unique addresses để xem các địa chỉ đích bị tấn công.73 - .

Hình 3-28 : Nội dung của packet .74 - .Hình 3-27 : Các địa chỉ scan port Để xem nội dung của packet ta click vào cột IO tương ứng của packet đó Tính năng này đặc biệt rất hữu ích. cho phép IDS admin review lại được toàn bộ gói tin đã tạo ra alert. giúp cho quá trình tinh chỉnh các rules chính xác hơn.

4 Đề mô các cuộc tấn công và thực nghiệm • Cách tấn công 3. cho phép xác định những thời điểm bất thường. qua đó giúp định hướng người quản trị tập trung vào những điểm quan trọng. Hình 3-30 : Tool DdoS CrazyPing .4. click vào Grap Alert Detection Time để xem biểu đồ thể hiện tần suất các alert theo giờ. Dạng biểu đồ này rất hữu ích. Hình 3-29 : Biểu đồ thống kê theo giờ 3.75 - .Tại trang chính.1 Tấn công ICMP Flood Attack Từ win xp ta sử dụng Tool DDoS CrazyPing tấn công đến win2k3 với 50 kết nối và gởi gói tin là 65500 bytes. ngày hoặc theo tháng.

Hình 3-31 : CrazyPing đang hoạt động Bây giờ ta xem kết quả bảng thống kê snort thu được khi winxp tấn công win 2k3 .76 - .

77 - .Hình 3-32 : Các gói tin đi qua snort .

78 - . • như sau.Hình 3-33 : Băng thông card mạng của Centos Dựa vào hai hình trên Ta thấy ở đây snort bắt được các gói tin icmp 100% và băng thông card mạng trên Centos sắp nghẽn. Cách ngăn chặn Ta dùng firewall iptables để ngănn chặn tình trạng quá tải trên bằng tập luật Hình 3-34 : Ngăn chặn bằng Firewall Giải thích tập luật trên Iptables –N CHECK_FLOOD : Tạo một chain mới tên CHECK_FLOOD .

iptables sẽ giảm limit đi 2 gói. đã giới hạn được số lượng các gói tin gửi đến. Nếu trong phút nữa không có gói đến. loại icmp là echo-request. làm cho hệ thống của chúng ta chống lại được tấn công theo kiểu gây ngâp lụt hệ thống. Tập luật cuối cùng là nối thêm chain CHECK_FLOOD vào chain INPUT với card mang là eth0 và giao thức icmp. Nếu trong phút tới không có gói nào Ping tới.79 - . • Kết quả Hình 3-35 : Giới hạn các gói tin gởi tới Win2k3 Chúng ta thấy iptables làm việc rất hiệu quả. nghĩa là tốc độ đang 2 gói/ phút sẽ tăng lên 4 gói/ phút. Quá trình cứ tiếp tục như vậy. chúng ta có thể thiết lập luật tùy theo mức độ cho phép số lượng gói tin vào trong hệ thống. . Nếu đạt đến mức 6 gói lập tức luật sẽ áp dụng giới hạn ping đến card mạng eth0 là 2 gói/phút bất chấp có bao nhiêu gói ping tới eth0.-A CHECK_FLOOD : Thêm một luật mới vào chain CHECK_FLOOD -m limit –limit-burst 6 : Giới hạn trong chain CHECK_FLOOD ở mức 6 gói tin. vói limit là 2 gói/phút -A CHECK_FLOOD –j DROP : loai bỏ gói tin nếu không thỏa điều kiện trên. limit sẽ giảm đi 2 gói nữa và trở lại trạng thái đạt mức đỉnh 6 gói. Các tùy chọn rất linh hoạt. Luật được áp dụng trong iptables là chỉ 6 gói đầu tiên được chấp nhận nếu thỏa thì RETURN.

2 Tấn công DoSHTTP • thường Cách tấn công Lúc chưa tấn công ta vẫn truy cập vào webserver http://10.0.2 .80 - .0.0.2 bình Hình 3-36 : Webserver đang hoạt động Từ winxp ta sử dụng tool DosHTTP tấn công vào web win2k3 với địa chỉ là http://10.0.4.3.

Nếu việc thiết lập kết nối chưa hoàn tất 3 bước lúc đó win2k3 luôn trong tình trạng đợi kết nối buộc server phải cấp tài nguyên để quản lý thì winxp có thể lấy hết tài nguyên của hệ thống win2k3 bằng cách làm tràn đầy bộ nhớ của win2k3 với các gói tin SYN.81 - . Hình 3-38 : Tài nguyên server đang xử lý quá tải .Hình 3-37 : Tool DoSHTT Winxp sẽ gởi các gói tin kết nối SYN đến hệ thống chứa webserver. khi win2k3 nhận gói tin SYN từ win xp và trước khi nhận gói ACK (theo mô hình 3 way handshake TCP connection).

82 - .Hình 3-39 : không vào được web Hình 3-40 : Snort phân tích gói tin Lúc này ta không thể truy cập vào web server được do website không thể phục vụ HTTP Request và hiển thị thông báo giống bên dưới • như sau. Cách ngăn chặn Ta dùng firewall iptables để ngăn chặn tình trạng quá tải trên bằng tập luật .

Hình 3-41 : Tạo rule ngăn chặn Giải thích tập luật trên -N syn_flood : Tạo một chain mới tên là syn_flood -p tcp : Giao thức kết nối tcp -A INPUT : Nối chain syn_flood vào chain INPUT --limit 1/s : Tốc độ truyền gói tin trung bình tối da 1/s --limit-burst 3 : Số lượng gói tin tối đa được phép là 3 Rule trên giới hạn số lượng kết nối tối đa đến hệ thống là n kết nối trên mỗi giây sau khi có m kết nối được thiết lập. • Kết quả Sau khi dùng iptables giới hạn được kết nối đến server thì tài nguyên server giảm xuống rõ và ta có thể truy cấp vào website Hình 3-42 : Hệ thống giảm hoạt động chiếm tài nguyên .83 - .

Với kết quả thực nghiệm khá thành công với việc tấn công từ bên ngoài và ngăn chặn từ bên trong. http://tailieutructuyen.vn/ 4. giảm thiểu được chi phí. http://tailieu. đơn giản và còn nhiều hạn chế nhưng nó cũng đã thể hiện những cái cơ bản nhất cách thức tấn công.vn. Và nhiều thông tin trên http://google. dựa trên đó có thể triển khai hệ thống firewall trên thực tế. điều đó thể hiện khả năng áp dụng thành công của mục tiêu của đề tài này trên thực tế là rất tốt. phòng chống DoS và DDoS. . Đề tài này giới thiệu những kiến thức cơ bản về bảo mật cũng như là ngăn chặn những tình huống khi hệ thống bị tấn công DoS và DDoS.84 - . Tài liện hướng dẫn Linux CentOS của Nhất Nghệ 5. nhiều công nghệ mới đã được áp dụng thành công và mang lại nhiều lợi ích đáng kể.vn/ 3. ngoài những ưu điểm của firewall iptables so với hệ thống firewall cứng thì iptables khó có khã năng tiếp cận với hướng triển khai và áp dụng.com/ 2. Qua đó còn phải có kiến thức đồng bộ hóa nhiều hệ điều hành để có được một hệ thống tốt và ổn định nhất.com.vnlamp. http://www. Tuy nhiên. Tuy mô hình thực nghiệm mà đề tài này đã trình bày tương đối nhỏ. Ngoài ra khi sử dụng iptables xây dựng hệ thống phòng chống tấn công khá hiệu quả vì được chạy trên nền tảng Linux có tính bảo mật cao. tăng cường tính an toàn trên toàn hệ thống mạng. TÀI LIỆU THAM KHẢO 1.KẾT LUẬN Sự phát triển của ngành công nghệ thông tin nói chung và ngành mạng máy tính nói riêng. đảm bảo tính toàn vẹn của dữ liệu trên hệ thống mạng. vì trên thực tế đòi hỏi phải am hiểu rất nhiều về nền tảng hệ điều hành Linux.

Sign up to vote on this title
UsefulNot useful