VIỆN CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG
******* ◄○► ********

BÁO CÁO
Quản Trị Mạng
Đề tài: Tìm hiểu về tấn công DDoS và
công cụ OSSEC
Sinh viên:

Giáo viên hướng dẫn:
TS. Trần Hoàng Hải

Hà Nội – 2014
1|Page


Mục lục

2|Page


I.
1.

Tìm hiểu về tấn công DDOS
Khái niệm
• Một cuộc tấn công từ chối dịch vụ phân tán (tấn công

DDoS - Viết tắt của Distributed Denial of Service) là một
nỗ lực làm cho những người dùng không thể sử dụng tài
nguyên của một máy tính.

• Tấn công từ chối dịch vụ là sự vi phạm chính sách sử dụng

internet của IAB (Internet Architecture Board) và những
người tấn công hiển nhiên vi phạm luật dân sự.

2.

Nhận diện

 US-CERT xác định dấu hiệu của một vụ tấn cống từ chối dịch vụ

•
•
•

gồm có:
Mạng thực thi chậm khác thường khi mở tập tin hay truy cập
Website
Không thể dùng một website cụ thể
Không thể truy cập bất kỳ website nào
Tăng lượng thư rác nhận được.

3.

Các phương thức tấn công

•

 Tấn công DDoS có thể được thực hiện theo một số cách nhất


định. Có năm kiểu tấn công cơ bản sau đây:

3|Page


• Nhằm tiêu tốn tài nguyên tính toán như băng thông, dung lượng

đĩa cứng hoặc thời gian xử lý
• Phá vỡ các thông tin cấu hình như thông tin định tuyến
• Phá vỡ các trạng thái thông tin như việc tự động reset lại các

phiên TCP.
• Phá vỡ các thành phần vật lý của mạng máy tính
• Làm tắc nghẽn thông tin liên lạc có chủ đích giữa các người

dùng và nạn nhân dẫn đến việc liên lạc giữa hai bên không được
thông suốt.

4.

Cách phòng chống


Các đợt tấn công DDoS thường không thể phòng chống triệt
để. Tuy nhiên có 1 số biện pháp phòng thủ sau:

• Tối ưu hóa websites ví dụ xây dựng bộ nhớ đệm giảm số kết

nối vào CSDL
• Lựa chọn nhà cung cấp hosting lưu trữ web tốt

• Chống tải lại trang web có ác ý (f5 có ác ý)
• Giới hạn số kết nối website tại một thời điểm
• Sử dụng các công cụ phát hiện tấn công DDoS. Ví dụ:

OSSEC,...

4|Page


II.
1.

Công cụ OSSEC
OSSEC là gì?
 Ossec là một hệ thống phát hiện xâm nhập mã nguồn mở, chính

xác là một HIDS(Host IDS), thực hiện phân tích đăng nhập,
kiểm tra tính toàn vẹn file, giám sát chính sách, phát hiện rootkit,
thời gian thực cảnh báo và phản ứng tích cực.

2.



Cài đặt
Yêu cầu hệ thống:

 Phần cứng:

Tùy thuộc vào quy mô hệ thống mạng mà ta chọn phần cứng cho

thích hợp. Tuy nhiên muốn OSSEC hoạt động một cách hiệu quả ta sẽ
cần CPU có tốc độ xử lý nhanh, bộ nhớ lớn, bus cao và dung lượng ổ
cứng lớn nếu như log file do OSSEC sinh ra nhiều và lớn theo thời gian.
 Hệ điều hành:

OSSEC hỗ trợ nhiều hệ điều hành khác nhau như Windows,
Ubuntu, CentOs,….

5|Page


 Các yêu cầu khác:

Có hỗ tr ợ C, C++ để biên dịch OSSEC từ Sources code


Cài đặt OSSEC server
Ta có thể cài đặt OSSEC từ Souce code hay là các gói RPM .Theo kinh
nghiệm nên download source code và sau đó biên dịch để cài đặt hơn là
dùng các gói binary có sẵn.Vì khi cài đặt từ source code có thể cấu hình
OSSEC kết hợp với MySQL, ACID…Cài OSSEC khá dễ dàng, có nhiều tuỳ
chọn phù hợ p với nhu cầu ngừơi dùng; phần quan trọng nhất của OSSEC là
kết hợp với nhiều database để lưu trữ. Download OSSEC từ địa chỉ:

Sau khi download file cài đặt về ta giải nén và tiến hành cài đặt và
chọn ngôn ngữ, ta sẽ chọn en.

Tiếp theo, ta sẽ chọn cài đặt OSSEC server.

6|Page



Và ta chọn nơi lưu:

Bước tiếp theo là ta thực hiện cấu hình.Ở bước này tôi không cần Mail nên
tôi chọn No.

Tất cả các bước tiếp theo ta chọn yes cho đến hết quá trình cài đặt và ta chờ
cho đến khikết thúc.

Và quá trình cài đặt kết thúc.

7|Page




Cài đặt OSSEC agent
Phần cài đặt ossec agent sẽ tiến hành cài đặt trên mày window 8. Ta sẽ tải
chương trình cài đặt về và tiến hành cài đặt bình thường như các chương
trình khác. Và giao diện cuối cùng như thế này.

Bước tiếp theo là ta qua Ossec server để lấy địa chỉ và key đế connect
đến ossec server và có giao diện như sau:

8|Page


Và ta tiến hành tạo một client agent mới đế ossec agent có thể kết nối
tới server, saukhi có key thì tiến hành nhập vào hộp thoại của osses agnent.


Và quá trình kết nối tới server thành công.

9|Page


3.



Giám sát cài đặt phần mềm trên máy tính có cài đặt OSSEC
Agent

Nguy cơ từ việc cài đặt các soft ở Workstation
Một phần mềm được cài đặt vào máy tính cốt yếu do hai điều sau, thứ
nhất là donhân viên tại máy Client tự ý cài đặt phần mềm, thứ hai là do khi
các máy Client lướt web thì có những trang quảng cáo, hay những trang
web độc hại có chức năng tự cài đặt phần mềm vào máy tính chúng ta khi
chúng ta truy cập vào trang web đó.
Nguy cơ khi cái đặt các soft đó chính là máy client sẽ bị nhiễm mã
độc có trong phầnmềm được cài. Và nguy cơ lớn nhất khi cài đặt phần
mềm đó là malware, chúng thậm chícó thể giả mạo cả dịch vụ phần mềm
và khi máy cập nhật, thay vì các bản vá và phầnmềm bảo mật thì malware
lại được tải về và cài đặt lên hệ thống.

Và vấn đề tất yếu khi chúng ta gặp phải mã độc đó là :Làm chậm máy, gây
lỗi máy bởicác mã độc.

Gây hiển thị thông báo lỗi liên tục.


10 | P a g e



Không thể tắt máy tính hay khởi động lại khi malware duy trì cho những
process nhấtđịnh hoạt động.
Kẻ xấu lợi dụng malware để thu thập thông tin cá nhân hoặc dữ liệu từ
máy tính.

“Cướp” trình duyệt, làm chuyển hướng người dùng đến những site có chủ
đích.
Lây nhiễm vào máy và sử dụng máy làm một vật chủ quảng bá nhiều file
khác nhau haythực hiện các cuộc tấn công khác.

Gửi spam đi và đến hộp thư người dùng.
Gửi những email mạo danh người dùng, gây rắc rối cho người dùng hay
cho công ty.

Cấp quyền kiểm soát hệ thống và tài nguyên cho kẻ tấn công.
Làm xuất hiện những thanh công cụ mới.
Tạo ra các biểu tượng mới trên màn hình desktop.

Chạy ngầm và khó bị phát hiện nếu được lập trình tốt.



Dấu hiệu nhận biết
Khi chúngt a cài đặt bất kì một phần mềm nào đó vào trong máy tính
thì chúng ta đều có thể nhận biết thông qua file registry, và vào trong
đường dẫn sao để phát hiện.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV
es\Uninstall

11 | P a g e



Thực hiện cài đặt và cấu hình để Admin phát hiện client cài đặt
phần mềm
Ta cũng có thể sử dụng Ossec để theo dõi tình hình cài đặt các phần
mềm của máy client. Vì qua việc này chúng ta có thể quản lý chặt chẽ hơn
khi ta không có nhiều thời gian để kiểm tra các máy client của các nhân
viên trong một công ty chẳng hạn. Mặc định admin đã cài đầy đủ các ứng
dụng để nhân viên có thể hoàn thành tốt phần việc của mình,nhưng do nhu
cầu cá nhân nên họ sẽ cài đặt vào máy của mình các phần mếm không khả
dụng. Admin có thể dung ossec để theo dõi quá trình cài đặt của các nhân
viên thông qua
file cấu hình file win_audit của ossec agent. Ta vào đường dẫn sao để đến
file win_audit :

Ta tiến hành cấu hình file win_audit_rcl như sau:

12 | P a g e


Vì trong ossec có hỗ trợ sẵn cho ta các rule trong đó có rule phát hiện
cài đặt phần mềm,ta chỉ việc cấu hình file win_audit và sử dụng thôi.
Đầu tiên ta phải cài đặt phần mềm có đuôi là msi, ở đây ta sẽ cài đặt
chương trình Visio trong đó có chương trình Microsoft visual C ++ 2008
có đuôi là msi.


Và admin chỉ cần ở máy ossec server mở file logs và kiểm tra . Ta vào
ossec server vàvào câu lệnh sau để xem kết quả từ file logs: cat
/var/ossec/logs/alerts/2013/Jul/ossec-alerts-02.log

13 | P a g e


Sau khi xem ta cũng biết được rule dùng để phát hiền phần mềm đã được
cài đó chình là rule 18147 (level 5)

______________________Hết_______________________

14 | P a g e