Tải bản đầy đủ (.ppt) (22 trang)
  1. Trang chủ
    2. >>
  2. Công nghệ thông tin
    3. >>
  3. Quản trị mạng

Theo dõi và bóc gỡ botnet sử dụng kỹ thuật DNS sinkhole

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (968.56 KB, 22 trang )

Theo dõi và bóc gỡ Botnet sử
dụng kỹ thuật DNS Sinkhole
Nội dung
1. Giới thiệu về Botnet
2. Hoạt động bóc gỡ Botnet của trung tâm
VNCERT
3. Kỹ thuật DNS Sinkhole
2
3
1. Giới thiệu về Botnet

Bot: chương trình hay
phần mềm độc hại cho
phép tin tặc điều khiển
máy bị nhiễm

Botnet: tập hợp các
máy tính bị nhiễm mã
độc (bot) cho phép tin
tặc điều nhiển thông
qua một hoặc nhiều
máy chủ C&C nhằm
phục vụ những mục
đích xấu như: phát tán
thư rác, tấn công
DDoS, ăn trộm thông
tin
1. Giới thiệu về Botnet
2. Hoạt động bóc gỡ Botnet của VNCERT
Thu thập thông tin:
- Từ các tổ chức quốc tế


- Công tác giám sát
Thu thập thông tin:
- Từ các tổ chức quốc tế
- Công tác giám sát
Xử lý
Kiểm tra và so sánh
CSDL IP tĩnh của
cơ quan nhà nước
Cảnh báo
Gửi cảnh báo và
hướng dẫn bóc gỡ
Nghiên cứu, phân tích
- Tìm hiểu hoạt động
- Thu thập mẫu
Mạng botnet bRobot, đã tấn công các trang web trên toàn thế
giới và cài đặt mã độc để biến các trang web này thành bot
của mạng botnet bRobot. Việt Nam đã có 2309 website bị tấn
công với mã độc được cài trên 6978 trang. Hiện nay qua theo
dõi còn tồn tại 793 trang vẫn bị lây nhiễm (IP thuộc VNPT:
401; FPT: 150; CMC:26; Viettel:14; ODS:12…)
Mạng lưới Zeus Botnet: Ghi nhận 14.075 địa chỉ IP thuộc không
gian mạng Việt Nam.
Mạng lưới Botnet Sality, Downadup, Trafficconverter: 113.273
địa chỉ IP Việt Nam.
2. Hoạt động bóc gỡ Botnet của VNCERT
7

Vai trò của DNS trong hoạt động của Botnet:
- Các bot có thể liên lạc với máy chủ điều khiển C&C bằng địa
chỉ IP hoặc tên miền.

- Nếu sử dụng địa chỉ IP thì rất dễ bị phát hiện lại không hiệu
quả.Thông thường tin tặc sử dụng các tên miền ngắn hạn
- Giao thức DNS: phân giải tên miền thành địa chỉ IP, một tên
miền có thể ánh xạ thành nhiều địa chỉ IP
- Nếu tên miền bị phát hiện → chuyển sang một tên miền khác
2. Kỹ thuật DNS Sinkhole
2. Kỹ thuật DNS Sinkhole
8

2. Kỹ thuật DNS Sinkhole
9

DNS server
lọc các
request,
2. Kỹ thuật DNS Sinkhole
1
0

DNS server
lọc các
request,
2. Kỹ thuật DNS Sinkhole
1
1

2. Kỹ thuật DNS Sinkhole
- Máy chủ DNS của các đơn vị cập nhật các bản ghi từ hệ thống
của VNCERT
- Các tên miền được ánh xạ về địa chỉ IP của các máy Shinkhole

(thường là các honeypot)
- Các bot sẽ kết nối tới máy Sinkhole thay vì kết nối tới máy chủ
điều khiển C&C.
- Thực hiện theo dõi trên máy chủ DNS và máy Sinkhole, từ đó có
thể tìm được máy bị nhiễm bot.

2. Kỹ thuật DNS Sinkhole
1
3

2. Kỹ thuật DNS Sinkhole
1
4

(1): Tên miền pickleliver.us đang được sử dụng cho mục đích độc
hại
(2): Tạo các bản ghi tài nguyên cho tên miền pickleliver.us
(3): DNS server của các đơn vị cập nhật bản ghi cho tên miền
pickleliver.us trỏ về địa chỉ IP của máy Sinkhole
(4): Các máy client (bị nhiễm bot) sử dụng DNS của các các
ISPđơn vị yêu cầu phân giải tên miền sẽ được trả về là địa chỉ IP
của máy Sinkhole.

(5): Máy bị nhiễm bot kết nối tới máy Sinkhole thay vì kết nối tới
máy chủ điều khiển C&C
2. Kỹ thuật DNS Sinkhole



www.malwarepatrol.net

2. Kỹ thuật DNS Sinkhole
1
7

Các bước triển khai
1. Thu thập thông tin về các tên miền độc hại
2. Thiết lập các bản ghi tài nguyên và đồng bộ với các máy chủ
DNS của các ISP, thành viên mạng lưới.
3. Giám sát Sinkhole

Logfile

Traffic
2. Kỹ thuật DNS Sinkhole
Đánh giá
- Để thực hiện được giải pháp hiệu quả cần sự hợp tác giữa
các tổ chức: cơ quan điều phối, các ISP, thành viên mạng
lưới Csirts.
- Ngoài ra khi Bot Header phát hiện ra bot đang truy vấn máy
Sinkhole, nó sẽ thực hiện phát tán bot mới và có thể thực
hiện các tấn công DDoS vào chính máy chủ Sinkhole
- Nếu các bot thược lập trình chỉ sử dụng một số DNS server
có sẵn.
- Các máy bị nhiễm bot phải sử dụng dịch vụ DNS (tên miền)
và máy chủ DNS của các ISP
1
8
2. Kỹ thuật DNS Sinkhole
2. Kỹ thuật DNS Sinkhole
Đánh giá:

Nếu áp dụng giải pháp này thì có một số vấn đề cần lưu ý:
- Việc xây dựng và duy trì máy chủ Sinkhole không có gì khó
khăn
Tuy nhiên cần thời gian và công sức theo đuổi trong việc:
- Xây dựng các hệ thống và các kênh để thu thập thông tin.
- Xây dựng cơ chế hợp tác giữa các đơn vị: để các máy chủ
DNS của các đơn vị cập nhật các bản ghi tài nguyên một cách
nhanh nhất.

- Việc cập nhật bản ghi phải nhanh chóng
1
9
2. Kỹ thuật DNS Sinkhole
Đánh giá:
- Chỉ theo dõi được khi các bot có yêu cầu kết nối tới tên miền
độc hại
- Cơ chế thiết lập các bản ghi tài nguyên, đồng bộ dữ liệu giữa
các máy chủ DNS cần phải rõ ràng
- Đảm bảo các tên miền đúng là đang được sử dụng bởi
botnet. → cần phải có cơ chế kiểm tra
2
0
2. Kỹ thuật DNS Sinkhole
2
1
Mô hình thử nghiệm VNCERT:

- Xây dựng 1 máy chủ DNS
- Xây dựng 1 máy chủ Sinkhole
- Khi phát hiện các địa chỉ IP của các đơn vị nằm trong mạng

botnet. Đề nghị họ sử dụng máy chủ DNS của VNCERT
- Lưu trữ và theo dõi các tên miền do các tổ chức báo về
- Thiết lập bản ghi tài nguyên để các tên miền này trỏ về máy
Sinkhole

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×