HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
--------------------------------

HOÀNG TUẤN NGỌC

NGHIÊN CỨU TẤN CÔNG DDOS VÀ XÂY DỰNG GIẢI PHÁP NGĂN
CHẶN

Chuyên ngành: Kỹ thuật Viễn thông
Mã số: 60.52.02.08

TÓM TẮT LUẬN VĂN THẠC SĨ KỸ THUẬT

HÀ NỘI – 2017
Luận văn được hoàn thành tại:
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG


Người hướng dẫn khoa học: TS. HOÀNG VĂN VÕ

Phản biện 1:

Phản biện 2:
Luận văn đã được bảo vệ trước Hội đồng chấm luận văn thạc sĩ tại Học
viện Công nghệ Bưu chính Viễn thông
Vào lục:

.......... giờ .......... ngày tháng năm 2017

Có thể tìm hiểu luận văn tại:
‐ Thư viện của Học viện Công nghệ Bưu chính Viễn Thông

1

MỞ ĐẦU
Trong những thập kỷ gần đây, thế giới và Việt Nam đã và đang chứng kiến sự
phát triển bùng nổ của công nghệ thông tin, truyền thông. Đặc biệt sự phát triển của
các trang mạng (websites) và các ứng dụng trên các trang mạng đã cung cấp nhiều tiện
ích cho người sử dụng từ tìm kiếm, tra cứu thông tin đến thực hiện các giao dịch cá
nhân, trao đổi kinh doanh, mua bán, thanh toán hàng hoá, dịch vụ, thực hiện các dịch
vụ công... Tuy nhiên, trong sự phát triển mạnh mẽ của các trang mạng nói riêng và
công nghệ thông tin nói chung, vấn đề đảm bảo an toàn, an ninh thông tin cũng trở
thành một trong những thách thức lớn. Một trong những nguy cơ tác động đến việc
đảm bảo an toàn thông tin trong nhiều năm qua chưa được giải quyết đó chính là các
hoạt động tấn công từ chối dịch vụ, một thủ đoạn phổ biến của tội phạm nhằm cản trở
hoặc gây rối loạn hoạt động của mạng máy tính, mạng viễn thông, mạng Internet, thiết
bị số.
Tại Việt Nam, trong nhiều năm qua, nhiều trang mạng của Chính phủ, trang
mạng báo điện tử hoặc các trang mạng của các doanh nghiệp thương mại điện tử đã
phải hứng chịu những hậu quả nghiêm trọng cả về tài sản, lẫn uy tín từ những đợt tấn
công từ chối dịch vụ gây ra bởi các tin tặc trong và ngoài nước. Tuy nhiên, công tác
đấu tranh phòng, chống đối với loại hành vi này còn có nhiều vấn đề bất cập. Lực
lượng Cảnh sát phòng, chống tội phạm sử dụng công nghệ cao là lực lượng chuyên
trách trong đấu tranh phòng, chống tội phạm sử dụng công nghệ cao nói chung, tội cản
trở hoặc gây rối loạn hoạt động của mạng máy tính, mạng viễn thông, mạng Internet,
thiết bị số nói riêng, trong đó có hành vi tấn công từ chối dịch vụ. Để nâng cao hiệu
quả công tác đấu tranh phòng, chống loại hành vi này, lực lượng Cảnh sát phòng,
chống tội phạm sử dụng công nghệ cao cần có nhận thức đúng đắn và đầy đủ về các
đặc điểm liên quan đến thủ đoạn tấn công từ chối dịch vụ. Thực tế, cũng đã có nhiều
giải pháp về phòng chống DDoS, tuy nhiên, các giải pháp về phần cứng thì khá đắt đỏ,

các giải pháp về phần mềm thì rời rạc, chưa tổng hợp. Vì vậy, tôi đã lựa chọn đề tài :
”Nghiên cứu tấn công DDOS và xây dựng giải pháp ngăn chặn”, với mục đích xây
dựng, kiểm thử một số giải pháp sử dụng phần mềm mã nguồn mở để các công ty vừa
và nhỏ có thể triển khai dễ dàng.
Luận văn bao gồm 3 chương :


2

- Chương I. Tổng quan về tấn công DDoS: Giới thiệu chung về DDoS,
phân loại các kiểu tấn công DDoS, giới thiệu một số công cụ tấn công DDoS.
- Chương II. Giải pháp ngăn chặn tấn công DDoS: Trình bày về lý thuyết
và một số cấu hình cơ bản và quan trọng của Iptables và (D)Dos-Deflate.
- Chương III. Cài đặt và thử nghiệm một số giải pháp ngăn chặn tấn công
DDoS: Trình bày mô hình thực tế, giải pháp, mô hình thực nghiệm và quá trình kiểm
tra đánh giá, nhận xét hệ thống phòng chống xâm nhập.


3

CHƯƠNG 1: TỔNG QUAN VỀ TẤN CÔNG DDOS.
1.1 Giới thiệu chung về DDoS.
Tấn công từ chối dịch vụ (Denial of Service – DoS) là dạng tấn công nhằm
ngăn chặn người dùng hợp pháp truy nhập các tài nguyên mạng. Tấn công DoS đã
xuất hiện từ khá sớm, vào đầu những năm 80 của thế kỷ trước .
Tấn công từ chối dịch vụ phân tán (Distributed Denial of Service – DDoS) là
một dạng phát triển ở mức độ cao của tấn công DoS được phát hiện lần đầu tiên vào
năm 1999 . Khác biệt cơ bản của tấn công DoS và DDoS là phạm vi tấn công.Trong
khi lưu lượng tấn công DoS thường phát sinh từ một hoặc một số ít host nguồn, lưu
lượng tấn công DDoS thường phát sinh từ rất nhiều host nằm rải rác trên mạng

Internet. Hiện nay, có hai phương pháp tấn công DDoS chủ yếu .
1.2 Phân loại các kiểu tấn công DDOS.
Nhìn chung, có rất nhiều cách để phân loại các kiểu tấn công DDOS nhưng theo
tôi cách phân loại theo mục đích tấn công là khá đầy đủ, đơn giản và dễ hiểu. Dưới
đây là sơ đồ mô tả sự phân loại các kiểu tấn công DDoS dựa theo mục đích tấn công:
làm cạn kiệt băng thông và làm cạn kiệt tài nguyên hệ thống.

Hình 1.1: Phân loại các kiểu tấn công DDOS.

1.2.1. Tấn công làm cạn kiệt băng thông .
Tấn công làm cạn kiệt băng thông (BandWith Depletion Attack) được thiết kế
nhằm làm tràn ngập mạng mục tiêu với những traffic không cần thiết, với mục địch


4

làm giảm tối thiểu khả năng của các traffic hợp lệ đến được hệ thống cung cấp dịch vụ
của mục tiêu.
1.2.2. Tấn công làm cạn kiệt tài nguyên.
Tấn công làm cạn kiệt tài nguyên (Resource Deleption Attack) là kiểu tấn công
trong đó Attacker gửi những packet dùng các protocol sai chức năng thiết kế, hay gửi
những packet với dụng ý làm tắt nghẽn tài nguyên mạng làm cho các tài nguyên này
không phục vụ những người dùng thông thường khác được.
1.3. Một số kiểu tấn công DDoS và các công cụ tấn công DDoS.
1.3.1. Một số kiểu tấn công DDoS.
Bên cạnh việc phân loại các kiểu tấn công theo mục đích tấn công, ta còn có thể
phân loại theo cách tấn công vào giao thức. Dưới đây là phân loại một số cách tấn
công DDoS theo giao thức :
( tham khảo từ
/>- HTTP Flood

- SYN Flood
- ICMP Flood
- TCP Reset
- UDP Flood
1.3.2. Một số công cụ tấn công DDoS.
•

HOIC (High Orbit Ion Canon)

•

LOIC (Low Orbit Ion Canon)

•

XOIC

•

R-U-Dead-Yet

•

Pyloris

•

OWASP DOS HTTP Post

•


GoldenEye HTTP Denial of Service Tool

•

Slowloris HTTP Dos

1.4. Tấn công DDOS với mục tiêu là doanh nghiệp vừa và nhỏ.


5

CHƯƠNG 2: GIẢI PHÁP NGĂN CHẶN TẤN CÔNG
DDOS.
2.1. Tại sao DDoS khó giải quyết.
Thực hiện tấn công DDoS có 2 trường phái chính: đó là nhằm vào điểm yếu
(vulnerability attack) và làm ngập mạng (flooding attack). Do có 1 số đặc tính về kĩ
thuật như sau làm ta rất khó giải quyết được triệt để các cuộc tấn công DDoS:
Sự đơn giản.
Sự đa dạng của các gói tin tấn công.
IP Spoofing.
Lượng traffic lớn, gửi với tần suất cao.
Số lượng lớn các Agents.
Những điểm yếu trên mô hình mạng Internet.
2.2. Những thách thức khi xây dựng hệ thống phòng thủ DDoS.
Do những tính chất phức tạp của DDoS như đã trình bày ở trên, nên xây dựng 1
hệ thống phòng thủ DDoS là không đơn giản. Để làm được điều đó cần xử lý được
trên cả 2 lĩnh vực: kĩ thuật và xã hội.
2.2.1. Những thách thức về mặt kĩ thuật.
Cần sự xử lý phân tán từ nhiều điểm trên Internet: Vì attack traffic xảy ra từ

nhiều nguồn khác nhau, đi qua toàn mạng Internet trong khi thường chỉ có một mình
Victim với ít thiết bị, quyền hạn, khả năng xử lý hạn chế nên không thể đạt được hiệu
quả cao. Sự tấn công phân tán thì cần sự phòng thủ phân tán thì mới giải quyết triệt để
được.
Thiếu thông tin chi tiết về các cuộc tấn công thực tế: Có không nhiều thông tin
về tác hại của DDoS gây lên cho các doanh nghiệp, nó thường chỉ có khi tác hại của
nó là rõ ràng và doanh nghiệp không thể tự xử lý được mà phải báo lên chính quyền.
Vì thế lại càng ít các thông tin chi tiết, như là bản log các traffic, sơ đồ mạng chi tiết
của doanh nghiệp.
Khó thử nghiệm trên thực tế: Những hệ thống thử nghiệm DDoS ở phòng thí
nghiệm không thể phản ánh đúng thực tế rộng lớn, phong phú trên mạng Internet được.
Trong khi đó nếu muốn triển khai để thử nghiệm thật qua Internet thì các điều luật
không cho phép, vì tấn công DDoS không chỉ ảnh hưởng đến Victim, mà còn liên


6

quan đến rất nhiều các thành phần khác như router, switch… của ISP quản lý ở phần
lõi Mạng. Còn nếu thử nghiệm luôn trên 1 hệ thống thật đang bị tấn công thì lại thiếu
thông tin cần đo đạc ở Agent, Handler, Attacker…
Chưa có chuẩn đánh giá các hệ thống phòng thủ: Có nhiều vendor đã công bố
rằng giải pháp của họ có thể giải quết được DDoS. Nhưng hiện tại chưa có 1 lộ trình
chuẩn nào để kiểm thử các hệ thống phòng thủ DDoS. Từ đó dẫn đến 2 vấn đề: thứ
nhất là những người phát triển hệ thống phòng thủ tự test chính họ, do đó những thiết
kế sẽ luôn phù hợp nhất để hệ thống đó hoạt động thuận lợi. Thứ hai là những nghiên
cứu về DDoS không thể so sánh hiệu suất thực tế của các hệ thống phòng thủ khác
nhau, thay vào đó, họ chỉ có thể nhận xét về từng giải pháp trên môi trường thử
nghiệm.
2.2.2. Những thách thức về mặt xã hội.
Một thử thách lớn khi muốn giải quyết triệt để vấn nạn tấn công DDoS là về

yếu tố Xã hội. Có rất nhiều điều luật về an ninh, bảo mật của nhiều đất nước, nhiều
ISP khác nhau mà người triển khai khó có thể thỏa mãn tất cả để thực hiện hệ thống
phòng thủ của mình. Ví dụ ISP không cho bạn sơ đồ chi tiết cấu hình Mạng, không
cho phép bạn tự do cài đặt chương trình trên các router của họ… Đối với các nạn nhân
của DDoS, thông thường là các doanh nghiệp, thì việc đầu tiên là họ sẽ cố gắng tự
mình giải quyết, nếu thành công thì sẽ giấu kín, không công bố cho bên ngoài là mình
đang bị tấn công vì lo ngại ảnh hưởng đến danh tiếng của công ty. Chỉ khi nào dịch vụ
của họ bị chết hẳn, không thể tự cứu thì mới liên hệ với các ISP và chính quyền.
Một vấn đề khác là đôi khi cần phải sửa đổi một số điểm yếu của các kiến trúc
mạng để giảm tác hại của DDoS, ví dụ như giao thức TCP, IP, HTTP… Nhưng
không dễ làm được điều đó, vì hiện tại đã có rất nhiều hệ thống xây dựng trên nền
tảng cũ, và không thể ngày thay đổi trong ngày một ngày hai được.
Có một đặc điểm của DDoS là khi Victim bị tấn công, thì nếu muốn triệt để
không còn traffic DDoS nữa, thì phải làm sao yêu hàng nghìn Agent ngừng tấn công.
Chỉ có 1 cách làm được điều này là tại các Agent phải cài đặt 1 phần mềm, hay hệ
thống để ngăn chặn gói tin DDoS ngay khi vừa sinh ra. Nhưng không dễ thuyết phục
được các End User làm điều đó, vì nó không mang lại lợi ích trực tiếp gì cho bản thân
họ, đôi khi còn làm ảnh hưởng đến hiệu năng mạng của End User.


7

Yếu tố cuối cùng là thiếu sự thống nhất về các điều luật, chế tài xử phạt các
Attacker, Handler, Agents giữa các bộ luật về Công nghệ thông tin của các nước và
giữa các quy định về bảo mật, an toàn của các Internet Service Provider.

2.3. Mục tiêu của phòng chống DDOS.
2.3.1. Phòng chống DDoS
Có rất nhiều giải pháp và ý tưởng được đưa ra nhằm đối phó với các cuộc tấn
công kiểu DDoS. Tuy nhiên không có giải pháp và ý tưởng nào là giải quyết trọn vẹn

bài toán Phòng chống DDoS. Các hình thái khác nhau của DDoS liên tục xuất hiện
theo thời gian song song với các giải pháp đối phó, tuy nhiên cuộc đua vẫn tuân theo
quy luật tất yếu của bảo mật máy tính: “Hacker luôn đi trước giới bảo mật một bước”.

2.3.2. Những vấn đề có liên quan.
DDoS là một kiểu tấn công rất đặc biệt, điểm cực kỳ hiểm ác của DDoS làm
cho nó khó khắc phục là “DDoS đánh vào nhân tố yếu nhất của hệ thống thông tin –
con người”. Từ đặc điểm này của DDoS làm phát sinh rất nhiều các vần đề mà mọi
người trong cộng đồng Internet phải cùng chung sức mới có thể giải quyết.
2.4. Giải pháp dành cho doanh nghiệp vừa và nhỏ.
Do tính chất đa dạng của DDoS nên không có giải pháp phòng chống DDoS
nào là tối ưu nhất cho mọi trường hợp. Giải pháp mà đồ án đề cập đến là dành cho mô
hình mạng chỉ có một server kết nối với Internet bằng một liên kết.
Hiện nay, trên thế giới có rất nhiều cách phòng chống DDoS nói chung và
phòng chống DDoS cho máy chủ web nói riêng như sử dụng firewall, triển khai IPS
(Intrusion Prevention System- Hệ thống chống xâm nhập), load balancing (cân bằng
tải) ...Có thể đơn cử ra một vài ví dụ cụ thể như :
2.4.1. Giải pháp sử dụng phần mềm mã nguồn mở (D)DOS-Deflate và APF
(Advanced Policy Firewall).


8

Với phương pháp này, máy chủ sẽ cài APF(Advanced Policy Firewall) để cản
lọc gói tin từ tầng mạng và (D)DOS-Deflate để lọc gói tin tầng ứng dụng. Mặc dù nó
không bảo vệ hệ thống hoàn toàn chống lại các cuộc tấn công DDOS lớn, nhưng nó
vẫn rất hữu ích. DDOS deflate được coi là một script bash shell nhẹ được thiết kế để
giúp đỡ trong quá trình ngăn chặn một cuộc tấn công từ chối dịch vụ. Nó thường theo
dõi và giám sát tất cả các địa chỉ IP làm cho các kết nối đến máy chủ bằng lệnh netstat.
Bất cứ khi nào nó phát hiện tấn công, nghĩa là số lượng kết nối từ một nút đơn vượt

quá giới hạn nhất định được định nghĩa trong tập tin cấu hình quy định, kịch bản sẽ tự
động đi và chặn địa chỉ IP đó bằng các bảng IP hoặc APF dựa trên cấu hình. các gói
tin nào hợp lệ sẽ được máy chủ phục vụ.
2.4.2. Giải pháp sử dụng Snort inline và CSF (ConfigServer Security & Firewall).
Phương pháp này sử dụng một máy chủ làm gateway, trên máy chủ này cài CSF
để cản lọc gói tin từ tầng mạng và Snort inline để lọc gói tin tầng ứng dụng, các gói tin
nào hợp lệ sẽ được gửi đến máy chủ phục vụ nằm phía sau. Snort inline nhận các gói
tin từ iptables (không như Snort lấy các gói tin từ libpcap) sau đó dựa vào các luật đã
được định nghĩa để quyết định cấm hay cho phép gói tin đi qua.
2.4.3. vDDoS Proxy.
vDDoS Proxy là một giải pháp miễn phí kết hợp vDDoS Protection và vDDoS
Layer4 Mapping giúp bạn cài đặt lên một máy chủ Reverse Proxy Server chạy giao
thức HTTP(S) hoạt động như một tường lửa có tác dụng giảm thiểu sự truy vấn tràn
ngập của các công cụ auto bot DOS, DDOS, SYN Floods, HTTP Floods attack... giúp
đỡ bảo vệ cho Website của bạn.
2.4.4. Giải pháp của Arbor Network.
Hiện tại, Arbor Networks là đơn vị cung cấp giải pháp phòng chống tấn công
DDOS hàng đầu thế giới. Hơn 70% ISP trên toàn cầu đang sử dụng giải pháp này
(thống kê từ nhà cung cấp). Sự phổ biến của giải pháp khẳng định tính hiệu quả của
việc phòng chống DDOS với những công nghệ tiên tiến dưới đây:
Network Behavior Analysis
Active Threat Level Analysis System (ATLAS)
Cung cấp thông tin về rủi ro theo thời gian thực
Cloud Signaling Coalition


9

CHƯƠNG 3: CÀI ĐẶT VÀ THỬ NGHIỆM MỘT SỐ GIẢI
PHÁP NGĂN CHẶN TẤN CÔNG DDOS.

3.1. Giới thiệu một số phần mềm phòng chống DDOS.
3.1.1. Phòng chống DDOS bằng phần mềm (D)DOS-Deflate.
3.1.1.1. Giới thiệu.
(D)DoS-Deflate là một mã nguồn mở miễn phí Unix / Linux được phát triển bởi
MediaLayer tự động giảm nhẹ tấn công (D)Dos. Được xem là phần mềm tốt nhất,
miễn phí, mã nguồn mở giải pháp để bảo vệ máy chủ chống lại hầu hết các cuộc tấn
công DDoS. Dos Deflate cơ bản giám sát và theo dõi các địa chỉ IP đang gửi và thiết
lập số lượng lớn các kết nối mạng TCP như gửi email tin đại chúng, DoS ping, các yêu
cầu HTTP bằng cách sử dụng “netstat” command, đó là triệu chứng của một cuộc tấn
công từ chối dịch vụ. Khi phát hiện số lượng kết nối từ một nút duy nhất vượt quá giới
hạn nhất định cài sẵn, kịch bản sẽ tự động sử dụng APF hoặc iptables cấm và chặn IP.
Tùy thuộc vào cấu hình, các địa chỉ IP bị cấm sử dụng sẽ được unbanned APF hoặc
iptables (chỉ hoạt động trên APF v 0,96 hoặc các bản mới hơn).
3.1.1.2. Cài đặt và cấu hình (D)DOS-Deflate.

3.1.2. Tổng quan về Iptables.
3.1.2.1 Giới thiệu chung về Iptables.
Iptables là một tường lửa ứng dụng lọc gói dữ liệu rất mạnh, miễn phí và có sẵn
trên Linux. Netfilter/Iptables gồm 2 phần là Netfilter ở trong nhân Linux và Iptables
nằm ngoài nhân. Iptables chịu trách nhiệm giao tiếp giữa người dùng và Netfilter để
đẩy các luật của người dùng vào cho Netfiler xử lí. Netfilter tiến hành lọc các gói dữ
liệu ở mức IP. Netfilter làm việc trực tiếp trong nhân, nhanh và không làm giảm tốc độ
của hệ thống.

3.1.2.2 Cấu trúc của Iptables.
Tất cả mọi gói dữ liệu đều được kiểm tra bởi Iptables bằng cách dùng các bản
tuần tự xây dựng sẵn (queues). Có 3 loại bảng này gồm:


10


- Mangle : chịu trách nhiệm thay đổi các bits chất lượng dịch vụ trong TCP header
như TOS (type of service ), TTL (time to live) và MARK.
- Filter: chịu trách nhiệm lọc gói dữ liệu. Nó gồm 3 quy tắc nhỏ (chain) để thiết lập
các nguyên tắc lọc gói, gồm :
+ Forward chain: lọc gói khi đến server khác.
+ Input chain: lọc gói khi đi vào trong server.
+ Output chain: lọc gói khi ra khỏi server.
-

NAT : Gồm có hai loại:

+ Pre-routing : thay đổi địa chỉ của gói dữ liệu đến khi cần thiết.
+ Post-routing : thay đổi địa chỉ của gói dữ liệu khi cần thiết.

3.1.2.3 Targets.
Targets là hành động sẽ diễn ra khi một gói dữ liệu được kiểm tra và phù hợp
với một yêu cầu nào đó. Khi một target đã được nhận dạng, gói dữ liệu sẽ được nhảy
(jump) để thực hiện các xử lý tiếp theo. Bảng sau liệt kê các targets mà Iptables sử
dụng.

3.1.2.4 Các tùy chọn quan trọng của Iptables
Các tham số sau sẽ cho phép Iptables thực hiện các hành động sao cho phù hợp với
biểu đồ xử lý gói do người dùng hoạch định sẵn.
3.1.3. Advanced Policy Firewall (APF).
3.1.3.1. Giới thiệu chung.
Advanced Policy Firewall (APF) là một hệ thống tường lửa dựa trên iptables
(netfilter) được thiết kế dựa trên nhu cầu thiết yếu của các máy chủ Linux hiện nay.
Cấu hình của APF được thiết kế để cung cấp thông tin và trình bày cho người dùng
một quy trình dễ thực hiện, từ trên xuống dưới của tệp cấu hình. Việc quản lý trên cơ



11

sở hàng ngày được thực hiện từ dòng lệnh với lệnh 'apf', bao gồm thông tin sử dụng
chi tiết về tất cả các tính năng.
Định hướng kỹ thuật của APF là sử dụng các tính năng ổn định mới nhất từ dự
án iptables (netfilter) để cung cấp tường lửa rất khỏe và mạnh mẽ. Quá trình lọc gói tin
của tường lửa APF được sắp xếp theo ba quy tắc.
 Chính sách dựa trên quy tắc tĩnh (không nên nhầm lẫn với "tường lửa
tĩnh").
 Chính sách dựa trên trạng thái kết nối.
 Các chính sách dựa theo sanity.
3.1.3.2. Cài đặt và cấu hình APF Firewall.
3.1.4. ConfigServer Security & Firewall.
3.1.4.1. Giới thiệu chung.
CSF là 1 gói ứng dụng hoạt động trên Linux như là một tường lửa miễn phí
dùng để tăng tính bảo mật cho máy chủ. CSF hoạt động dựa trên iptables và Login
Failure Daemon (ldf) để quyét các file log để phát hiện các dấu hiệu tấn công bất
thường. Một số tính năng của CSF:
- Chống DoS các loại
- Chống Scan Port
- Chống BruteForce Attack
- Chống Syn Flood - Chống Ping Flood
- Cho phép ngăn chặn truy cập từ 1 quốc gia nào đó bằng cách chỉ định Country
Code chuẩn ISO
- Hỗ trợ IPv6 và IPv4
- Cho phép khóa IP tạm thời và vĩnh viễn ở tầng mạng.
3.1.5. Snort.
3.1.5.1. Giới thiệu.

Snort là hệ thống phát hiện và phòng chống xâm nhập mã nguồn mở được phát
triển bởi Sourcefire. Phát hiện và phòng chống xâm nhập dựa trên ưu điểm của chữ ký,
giao thức và kiểm tra sự bất thường, Snort là một trong những IDS/IPS được triển khai
rộng rãi nhất trên thế giới. Với hàng triệu lượt tải và gần 400.000 người đăng ký, Snort
đã trở thành "tiêu chuẩn" cho IPS.


12

3.1.5.2. Một số tham số cấu hình Snort.
File cấu hình (snort.conf) bao gồm:
 Thiết lập các biến
 Cấu hình môđun giải mã (decoder)
 Cấu hình môđun phát hiện (detection)
 Cấu hình thư viện liên kết động
 Cấu hình môđun tiền xử lý
 Cấu hình các plugin đầu ra
 Tùy biến các luật

3.2. Xây dựng giải pháp phòng chống tấn công DDoS cho máy chủ.
Lý do lựa chọn xây dựng mô hình gồm (D)Dos-Deflate và Advanced Policy Firewall
là:
- Đối với (D)Dos-Deflate : (D)Dos-Deflate được biết đến với các ưu điểm như
dễ cấu hình, miễn phí, sử dụng rộng rãi, liên tục được cập nhật và nó mã nguồn mở
nên được nhiều người phối hợp tối ưu cũng như cấu hình nâng cao giúp việc ngăn
chặn tấn công hiệu quả hơn.
- Advanced Policy Firewall mà nền tảng là Netfilter cũng có những ưu điểm
như dễ cấu hình, tốc độ sử lý nhanh, được tích hợp sẵn trong Kernel Linux 2.6 trở lên.
APF Firewall có rất nhiều các tùy chọn từ cơ bản đến nâng cao để người quản lý máy
chủ có thể nghiên cứu cũng như đưa ra phương án tối ưu nhất đối với mô hình mình

đang quản lý.
3.3. Cài đặt và thử nghiệm giải pháp ngăn chặn tấn công DDOS bằng
(D)Dos-Deflate và APF Firewall.
3.3.1. Mô hình thử nghiệm.
Mô hình để thử nghiệm gồm có 2 máy tính đóng vai trò tấn công, 1 máy chủ
chạy web đang chạy website apache. Tất cả các kết nối trong mô hình đều có tốc độ
100Mb/s.


13

Trong mô hình này, máy chủ web sẽ cài đặt phần mềm (D)Dos-Deflate và APF
Firewall để ngăn chặn tấn công DDOS.
Một vài công cụ tấn công DDOS thường được sử dụng để tiến hành tấn công
DDOS và là những công cụ rất dễ sử dụng và luôn sẵn có trên mạng Internet. Hơn nữa,
những công cụ này rất dễ sử dụng kể cả đối với người không có nhiều chuyên môn.
Chúng ta có thể liệt kê một vài công cụ ở dưới đây:









HOIC
(High Orbit Ion Canon)
LOIC
(Low Orbit Ion Canon)

XOIC
R-U-Dead-Yet
Pyloris
OWASP DOS HTTP Post
GoldenEye HTTP Denial of Service Tool
Slowloris HTTP Dos
Trong thử nghiệm lần này. Luận văn sẽ sử dụng tool HOIC (High Orbit Ion

Canon) để tấn công.
3.3.2. Kịch bản 1 – Tấn công máy chủ web khi chưa cài đặt (D)Dos-Deflate và
APF Firewall.

Hình 3.3: Tài nguyên của máy chủ web khi chưa bị tấn công.

Thông tin tài nguyên của máy chủ khi chưa bị tấn công : Có 221 tiến trình,
Load average: 0.05, CPU gần như không phải hoạt động. Bây giờ chúng ta tiến hành
tấn công vào máy chủ và sử dụng công cụ Jmeter để đo thời gian đáp ứng của máy


14

chủ.

Hình 3.4: Thời gian đáp ứng trung bình của máy chủ web khi chưa bị tấn công ở kịch
bản 1

Thời gian đáp ứng trung bình của máy chủ là 220ms.
-

Tấn công.

Thực hiện tấn công máy chủ web, sau 1 phút tấn công thì người dùng không thể

truy cập vào trang demo DDoS, hiện tại đã có 469 tiến trình, load average (tải trung
bình): 97.43, CPU: 90.6%.

Hình 3.5: Tài nguyên của máy chủ web khi bị tấn công ở kịch bản 1.


15

Sử dụng Jmeter để đo thời gian đáp ứng trung bình của máy chủ trong kịch bản
này, ta được:

Hình 3.6: Thời gian đáp ứng trung bình của máy chủ web khi bị tấn công ở kịch bản 1.

Thời gian đáp ứng trung bình của máy chủ trong khi bị tấn công DDoS là
8248ms.
Nhận xét: Khi bị tấn công, máy chủ phải tạo ra rất nhiều tiến trình httpd (như
trong hình 4.15) để phục vụ yêu cầu từ các máy tấn công. Thời gian đáp ứng trung
bình lên đến 8s/một yêu cầu cho thấy việc phục vụ hết sức chậm chạp của máy chủ khi
đang bị tấn công.
3.3.2. Kịch bản 2 – Tấn công máy chủ web khi đã cài đặt (D)Dos-Deflate và APF
Firewall.
Sau khi cài đặt (D)Dos-Deflate và APF Firewall, chúng ta cấu hình cho
(D)Dos-Deflate và APF Firewall như sau..

Cấu hình (D)Dos-Deflate:
vi /usr/local/ddos/ddos.conf – Sửa file cấu hình của (D)Dos-Deflate.
FREQ = 1
NO_OF_CONNECTIONS = 50

APF_BAN = 1
KILL = 1
EMAIL_TO = ""
BAN_PERIOD = 600


16

Cấu hình APF Firewall (nano /etc/apf/conf.apf):
DEVEL_MODE =1
IFACE_IN="venet0"
IFACE_OUT="venet0"
IG_TCP_CPORTS=

21,22,25,53,80,110,111,143,443,587,953,2222,3306,3

2769
IG_UDP_CPORTS="53,111,631,724,5353,32768,32809"
EGF="1"
EG_TCP_CPORTS="21,22,25,26,27,37,43,53,80,110,113, 443,465,873,2089"
EG_UDP_CPORTS="20,21,37,53,873"

Cấu hình port Firewall:

TCP ports -3000_3500 = passive port range for Pure FTPD
IG_TCP_CPORTS="21,22,25,53,80,110,143,443,2082,2083, 2086,2087, 2095,
2096,3000_3500"
IG_UDP_CPORTS="53"
EG_TCP_CPORTS="21,25,80,443,43,2089"
EG_UDP_CPORTS="20,21,53"


Thực hiện tấn công DDoS vào máy chủ web, sau 15 phút, thông tin về tình
trạng máy chủ web như sau: có 220 tiến trình, load average 0.2, CPU 0,0%. CPU hầu
như không tải. Đồng thời APF firewall và (D)Dos-Deflate thông báo đã chặn được các
gói tin từ các máy đang tấn công DDoS vào máy chủ.


17

Hình 3.7: Tài nguyên của máy chủ sau 15 phút bị tấn công ở kịch bản 2.

Hình 3.8: Log của máy chủ sau 15 phút bị tấn công ở kịch bản 2.

Sử dụng công cụ Jmeter để đo thời gian đáp ứng trung bình của máy chủ, ta
được:


18

Hình 3.9: Thời gian đáp ứng trung bình của máy chủ web khi bị tấn công ở kịch bản 2.

Nhận xét: Khi kết hợp cả APF Firewall và (D)Dos-Deflate, các gói tin từ các
máy tấn công sẽ bị lọc một phần ở tầng mạng (APF Firewall cản lọc), phần còn lại sẽ
bị (D)Dos-Deflate cản lọc ở tầng ứng dụng. Như vậy chỉ còn các gói tin từ người dùng
hợp lệ đến với máy chủ web. Đó chính là lý do tại sao tài nguyên của máy chủ web
hầu như không thay đổi trước và trong cuộc tấn công DDoS.

KẾT LUẬN VÀ KIẾN NGHỊ
Luận văn đã chỉ ra được các mối nguy hiểm khi bị tấn công và đề xuất giải pháp
ngăn chặn cũng như hạn chế tác hại của hình thức tấn công từ chối dịch vụ phân tán.

Từ đó xây dựng và thử nghiệm một số giải pháp đối với đối tượng là các doanh nghiệp
vừa và nhỏ. Đánh giá hiệu quả của các biện pháp đã xây dựng và làm tiền đề để phát
triển các nghiên cứu sau này. Sinh viên đã tìm hiểu tương đối thành công về DDOS và
xây dựng được thành công phương pháp phòng thủ DDOS. Với những gì đã tìm hiểu
được, sinh viên vẫn cảm thấy có nhiều điều cần phải làm để hoàn thiện hơn luận văn
cũng như cách làm thực tế trong công việc. Bản thân sinh viên cần phải có sự hướng
dẫn nhiều hơn từ thầy cô và bạn bè.