BỘ CÔNG THƯƠNG TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP THỰC PHẨM KHOA CƠNG NGHỆ THƠNG TIN
ĐỒ ÁN MƠN HỌC ĐỀ TÀI : TÌM HIỂU VÀ TRIỂN KHAI TẤN CÔNG DDoS QUA HỆ THỐNG BOTNET
GIÁO VIÊN HƯỚNG DẪN : Nguyễn Thị Hồng Thảo SINH VIÊN THỰC HIỆN : Bùi Kỳ Phương MSSV: 2033180031 Nguyễn Thị Thanh Kiều
Hồ Chí Minh, Tháng 06, Năm 2021
MSSV: 2033180149
LỜI MỞ ĐẦU Ngày nay với sự phát triển và càng được mở rộng của mạng lưới hệ thống máy tính điều đó cũng đồng nghĩa với việc chúng ta phải đảm bảo hệ thống ln được an tồn và hoạt động trơn tru trước các cuộc tấn công mạng. Tuy nhiên hacker và các tổ chức ẩn danh ngày càng tinh vi và sử dụng các kĩ thuật tấn công ngày càng tiên tiến. Tấn công DDoS hay Distribted Denial of Service được xem như là một trong những vũ khí tấn cơng mạnh mẽ nhất mà các hacker sử dụng trên Internet. Khi bạn thấy một website bị đánh sập thì website đó có thể đã trở thành nạn nhân của một cuộc tấn công DDoS. Nhìn chung các hacker và các tổ chức ẩn danh đang cố gắng làm cho website mất khả năng cung cấp dịch vụ cho người dùng bằng cách gửi một lượng lớn yêu cầu dữ liệu từ đó làm quá tải hay thậm chí đánh sập server. Để làm rõ hơn về sự nguy hiểm của một cuộc tấn công DDoS và ảnh hưởng của nó lên một website nhóm chúng tơi đã thực hiện đề tài “Tìm hiểu và triển khai tấn cơng DDoS qua hệ thống botnet” để có cái nhìn rõ hơn và sự nguy hiểm của DDoS đối với một website.
Qua việc thực hiện đề tài, nhóm cũng đề xuất những biện pháp để có thể hạn chế và xử lý nếu như website bị DDoS. Bài báo cáo sẽ không tránh khỏi những thiếu sót, rất mong nhận được những lời đóng đóp từ phía thầy cơ. Trân Trọng Cảm Ơn!
2 GVHD: Nguyễn Thị Hồng Thảo
MỤC LỤC LỜI MỞ ĐẦU .................................................................................................................... 2 NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN .............................................................. 5 Chương 1: TÌM HIỂU DDOS........................................................................................... 7 1. DDoS là gì? ............................................................................................................... 7 2. Các hình thức tấn cơng DDoS ................................................................................ 7 a) TCP Connection Attack ...................................................................................... 7 b) Application Layer Attack và Network Attack .................................................. 7 c) Fragmentation Attack ......................................................................................... 9 d) Volumetric Attack ................................................................................................ 9 3. Nhận biết tấn công DDoS ...................................................................................... 10 4. Các cuộc tấn công DDoS gần đây ........................................................................ 10 Chương 2: TÌM HIỂU BOTNET ................................................................................... 13 1. Botnet là gì ....................................................................................................... 13 2. Cấu trúc của botnet ........................................................................................ 13 a) Mơ hình client - server (máy khách - máy chủ) ....................................... 13 b) Mơ hình peer-to-peer (ngang hàng)........................................................... 13 3. IOT Bot Malware............................................................................................ 13 4. DDoS và Botnet trong Điện toán đám mây .................................................. 15 5. Các loại tấn công Botnet ................................................................................ 15 a) Distributed Denial of Operations Service (DDoS) ................................ 15
b) Spamming (phát tán thư rác) ................................................................. 15 c) Đánh cắp dữ liệu ...................................................................................... 15 d) Lây lan botnet........................................................................................... 15 Chương 3: TRIỂN KHAI THỰC NGHIỆM ................................................................ 16 1. Đề xuất mô hình .................................................................................... 16 2. Mục tiêu ................................................................................................. 16 3. Qúa trình thực hiện .............................................................................. 16 4. Đánh giá kết quả ................................................................................... 22 3 GVHD: Nguyễn Thị Hồng Thảo
5. Đề xuất biện pháp ................................................................................. 22 a) Phòng chống dựa trên việc triển Khai ............................................. 22 b) Phòng chống dựa trên giao thức mạng ............................................ 22 c) Dựa trên thời điểm ............................................................................. 23 d) Phòng chống đồng bộ Botnet qua tên miền ..................................... 23 THAM KHẢO.................................................................................................................. 25
4 GVHD: Nguyễn Thị Hồng Thảo
NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN Nhóm sinh viên gồm :
1. Bùi Kỳ Phương
MSSV: 2033180031
2. Nguyễn Thị Thanh Kiều
MSSV: 2033180149
Nhận xét : ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… Điểm đánh giá: ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… 5
GVHD: Nguyễn Thị Hồng Thảo
……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… Ngày . ……….tháng ………….năm 2021
( ký tên, ghi rõ họ và tên)
6 GVHD: Nguyễn Thị Hồng Thảo
Chương 1: TÌM HIỂU DDoS 1. DDoS là gì? DDoS là viết tắt của cụm từ Distributed Denial of Service, nghĩa là từ chối dịch vụ phân tán. Tấn công DDoS là một cuộc tấn cơng mạng trong đó thủ phạm tìm cách làm hạn chế hoặc ngăn chặn người dùng sử dụng dich vụ cũng như tài nguyên của máy chủ bằng cách làm gián đoạn tạm thời hoặc vô thời hạn các dịch vụ của máy chủ. Để thực hiện kiểu tấn công này hackers (những người có chủ đích tấn cơng) sẽ sử dụng những cơng cụ, hệ thống của mình để gửi rất nhiều requests hay một lượng dữ liệu đến máy chủ đến mức máy chủ khơng đủ khả năng kiểm sốt hết và trở nên quá tải, từ đó làm hệ thống máy chủ chậm lại và ảnh hưởng đến việc truy cập của người dùng khác. Nếu DoS có thể dễ dàng phát hiện kẻ tấn công và xử lý bằng cách ngăn chặn kết nối tới thiết bị tấn công của hacker. Khắc phục nhược điểm này của DoS thì kẻ tấn cơng sẽ sử dụng DDoS tức là dùng nhiều nguồn thiết bị để gửi những luồng dữ liệu lớn đến cùng một máy chủ. 2. Các hình thức tấn cơng DDoS a) TCP Connection Attack
Lợi dụng giao thức TCP sử dụng phương thức bắt tay 3 bước (three-way handsake) để thiết lập kết nối giữa client và server. Hacker sẽ sử dụng chính phương thức này để tấn công hệ thống. Để thực hiện hacker sẽ gửi lặp đi lặp lại các gói tin SYN đến mọi cổng của hệ thống để yêu cầu kết nối và thường sử dụng các IP giả mạo. Sau khi nhận được yêu cầu, hệ thống sẽ phản hồi lại bằng các gói SYN-ACK để xác nhận kết nối. Nhưng vì sử dụng IP giả mạo hoặc hacker cố ý khơng gửi lại gói ACK để trả lời lại gói SYN-ACK nên hệ thống khơng nhận được gói ACK và các cổng ở trong trạng thái chờ. Trong khi hệ thống đang ở chế độ chờ, kẻ tấn cơng lại tiếp tục gửi thêm các gói SYN khiến cho các cổng luôn ở trong trạng thái chờ và sau một khoảng thời gian khi các cổng có sẵn được sử dụng hết, hệ thống sẽ trở nên quá tải. b) Application Layer Attack và Network Attack Application Layer Attack Tấn công DDoS vào tầng ứng dụng, hay Layer 7 của mô hình OSI nơi xảy ra việc trao đổi của giao thức HTTP nơi có lưu lượng mạng cao nhất. Làm tiêu tốn tài ngun của hệ thống. Thay vì tấn cơng vào các mục tiêu là hệ thống máy chủ vì giờ đây kẻ tấn công sẽ tập trung vào các mục tiêu là một hoặc một vài ứng dụng có nhiều lỗ hổng. Các ứng dụng 7 GVHD: Nguyễn Thị Hồng Thảo
dựa trên web như gmail, WordPress và các diễn đàn là những ví dụ về các mục tiêu mà kẻ tấn cơng có thể hướng tới. Chúng ta hãy xem xét sự về mức tiêu thụ tài nguyên giữa máy client khi đưa ra yêu cầu và máy server sẽ phản hồi yêu cầu như thế nào. Ví dụ khi client gửi yêu cầu đăng nhập tài khoản gmail, lượng dữ liệu và tài nguyên mà máy server sử dụng để kiểm tra thông tin đăng nhập và phản hồi là yêu cầu là rất thấp. Khi có nhiều thiết bị truy cập vào một thuộc tính web như trong cuộc tấn cơng botnet, tài ngun cần được sử dụng có thể bị cạn kiệt dẫn tới việc từ chối dịch vụ đối với các yêu cầu truy cập hợp pháp.
Rất khó để phân biệt giữ những luồng lưu lượng truy cập và luồng lưu lượng tấn công, đặc biệt là tấn công vào tầng ứng dụng. Botnet thực hiện tấn công HTTP Flood đối với máy chủ nạn nhân mỗi máy bot thực hiện gửi yêu cầu dường như hợp pháp, nhiều máy bot gửi yêu cầu đến server dẫn đến việc truy vấn cơ sở dữ liệu của server bị quá tải dẫn đến cạn kiệt tài nguyên và quá tải.
Agent hander network IRC based network P2P network
Attack rate
-
Continuous Variable
Victim type
-
Host Resource Network Application
Impact
-
Disruptive Degradation
Degree of automation
-
Manual Semi automatic
Network/ Attack Network Transport Layer DDoS attacks
8 GVHD: Nguyễn Thị Hồng Thảo
Application Layer DDoS attack
Exploited Vulnerability
-
Session flooding Request flooding
Attack Network
-
Agent hander IRC based P2P
Attack rate
-
Increasing rate Random Blast Shrew
-
Host
-
Resource
-
Application
-
Disruptive
-
Degradation
Victim type
Impact
Bảng 1: Application Layer Attack and Network/Transport Attack
Network/Transport Attack Mục tiêu của loại tấn công này là đánh vào cơ sở hạ tầng mạng bao gồm máy chủ, bộ định tuyến và thiết bị chuyển mạch bằng cách gửi một lượng lớn lưu lượng tấn cơng. Các cuộc tấn cơng này có thể được tạo ra bằng cách khai thác các điểm yếu của giao thức. Network/Transport các cuộc tấn cơng có thể được đặc trưng thêm tùy theo mức độ tự động hóa, các lỗ hổng bị khai thác, các loại mạng tấn công đã sử dụng, tỷ lệ tấn công được tạo ra, loại nạn nhân và tác động của tấn công. c) Fragmentation Attack Tấn công phân mảnh là một dạng phổ biến khác của DDoS. Khi có một gói tin quá lớn được truyền đi, nó phải được chia thành các đoạn nhỏ hơn để được truyền đi thành công. Lợi dụng điều này, hackers sẽ gửi các các gói phân mảnh giả làm cho các gói này ln nằm trong bộ nhớ dần dần sẽ làm cạn kiệt tài ngun bộ nhớ có sẵn Volumetric Attack Mục đích của cuộc tấn công này là cố gắng làm cạn kiệt băng thông hoặc dịch vụ gây ra gián đoạn hoặc tắt nghẽn các hoạt động của hệ thống. Đôi khi các cuộc tấn công này nhằm vào các hệ thống tường lửa hoặc các hệ thống phát hiện
9 GVHD: Nguyễn Thị Hồng Thảo
xâm nhập với mục đích vơ hiệu hố để hakers có thể cài đặt các phần mềm độc hại hoặc đánh cắp dữ liệu.
d) Tấn công DDoS bằng Botnet
Tấn công DdoS là việc dùng botnet (một hệ thống nhiều máy tính hoặc thiết bị chạy với Internet đã bị chiếm lấy quyền từ xa) sử dụng phần mềm độc hại để khởi chạy vụ tấn công. Đây được gọi là “zombies. Zombies nhắm đến các lỗ hổng ở các lớp khác nhau trong mô hình tham chiếu kết nối các hệ thống mở (OSI). 3. Nhận biết tấn công DDoS Một số dấu hiệu nhận biết hệ thống của bạn đang bị tấn công DDoS + Kết nối Internet chậm hơn bình thường, tốn nhiều thời gian truy cập + Tài khoản đột nhiên xuất hiện quá nhiều thư rác + Không thể truy cập vào website + Thực trạng cho thấy mạng của bạn hay hệ thống bị chậm một cách bất thường (mở file hay truy cập vào website)
4. Các cuộc tấn công DDoS gần đây a) Trong nước Theo báo cáo từ hệ thống giám sát, cảnh báo của Trung tâm Công nghệ thông tin và giám sát an ninh mạng, trong số 21.636 cuộc tấn công mạng được phát hiện trong quý I/2021, 14.012 lượt truy cập trái phép, 5.486 sự cố khai thác lỗ hổng, 2.023 sự cố liên quan đến mã độc, 59 tấn cơng DDoS, 56 hình thức tấn công mạng khác. Tổng số sự cố quý I/2021 giảm 78,07% so với quý I/2020.[i]Cụ thể : + [ii] Ngày 22/04/2021, hệ thống giám sát trực tuyến của VNETWORK phát hiện dấu hiệu tấn công DDoS vào trang web của khách hàng. Tấn công đã diễn ra liên tục và kéo dài từ chiều tối đến đến giữa đêm. Hệ thống ghi nhận được 5 lần tấn công lớn và cao nhất là 30Gbps. Trường hợp này là tấn công DDoS lớn thứ 2 sau sự kiện nổi tiếng một Hacker tấn công vào các nhà cung cấp dịch vụ hosting tại Việt Nam vào đầu tháng 3 năm nay.
10 GVHD: Nguyễn Thị Hồng Thảo
Hình 1: Lượng traffic tăng lên bất thường
Attacker liên tục tìm kiếm những điểm yếu website của bạn để khai thác, và phối hợp tấn công khác nhau dùng số lượng lớn IP và thay đổi liên tục để tấn công DDoS cố phá vỡ các hạ tầng back-end như hosting, server... Các cuộc tấn công này gây downtime website doanh nghiệp hoặc làm tắc nghẽn máy chủ DNS dẫn đến việc khách hàng không thể truy cập. Làm gián đoạn dịch vụ của nhà cung cấp, và các khách hàng đang sử dụng dịch vụ đó. + Ngày 14-6-2021, Cục An ninh mạng và phịng, chống tội phạm sử dụng công nghệ cao (A05) Bộ Công an cho biết TTO - Trang web và fanpage của báo điện tử VOV bị tấn công từ chối dịch vụ (DDoS), làm tràn băng thông, khiến việc truy cập vào báo bị tê liệt. Cùng lúc đó nhận được hàng loạt bình luận cơng kích. Cơ quan đã liên hệ với Google và Facebook để xử lý các vấn đề trên. Đỉnh điểm là cuộc tấn công DDoS vào Báo điện tử VOV trong ngày 13-6, tấn công Fanpage của của báo, spam, đe dọa xúc phạm nhân viên trả lời phỏng vấn, đe dọa phóng viên viết bài. [iii] b) Ngồi nước + [iv] Ngày 4 tháng 6 (Reuters) - Một công ty của Đức vận hành công nghệ cho các ngân hàng hợp tác của quốc gia cho biết hôm thứ sáu một cuộc tấn công mạng làm gián đoạn hơn 800 tổ chức tài chính dường như đang giảm bớt. Sau đó tăng cường trong đêm, làm nghẽn hoặc chậm các trang web của ngân hàng hợp tác trong nước, bao gồm Berliner Volksbank. + Từ tháng 12/2020 đến tháng 5/2021, DarkSide tấn cơng cơ sở hạ tầng dầu khí của Hoa Kỳ 4 lần. Cùng lúc đó, triển khai tấn công nhà cung cấp dịch vụ CNTT CompuCom tháng 3/2021, thiệt hại 20 triệu USD để khôi phục. Thời điểm đó cũng tấn cơng Dịch vụ Cho th xe của Canada và Toshiba Tec Corp (Toshiba Corp). 11 GVHD: Nguyễn Thị Hồng Thảo
DarkSide tống tiền công ty Brenntag của Đức. Công ty bảo mật tiền điện tử Elliptic tuyên bố rằng một ví Bitcoin do DarkSide mở vào tháng 3/2021 đã nhận được 17,5 triệu USD từ 21 ví Bitcoin, bao gồm cả tiền chuộc Colonial Pipeline.
12 GVHD: Nguyễn Thị Hồng Thảo
Chương 2: TÌM HIỂU BOTNET 1. Botnet là gì Từ “botnet” là sự kết hợp giữa từ “robot” và “network”. Là một mạng lưới các máy tính bị chi phối và bị điều khiển từ xa bởi một máy tính khác để cùng thực hiện một nhiệm vụ nào đó. Ở đây, hacker điều khiển một máy tính thực hiện vai trị của một “botmaster” sử dụng các công cụ hoặc kĩ thuật xâm nhập để truy cập bất hợp pháp của một số máy tính và kết nối chúng vào mạng vì mục đích xấu. Mỗi máy tính trên mạng hoạt động như một “bot”, và được hacker kiểm soát để lây truyền malware, spam hoặc nội dung độc hại nhằm khởi động cuộc tấn công. 2. Cấu trúc của Botnet a) Mơ hình Client - Server (máy khách - máy chủ) Trong mơ hình này, máy chủ đóng vai trị là botmaster quản lý việc điều khiển, truyền thơng tin để thiết lập các kiểm soát đối với thiết bị khách. Mơ hình client – server thường hoạt động với sự trợ giúp của phần mềm đặc biệt cho phép botmaster duy trì việc kiểm sốt. Nhược điểm ở mơ hình này, nếu botmaster chết thì hệ thống sẽ bị chết. b) Mơ hình Peer-to-Peer (ngang hàng) Trong mơ hình peer-to-peer (P2P), mỗi thiết bị được kết nối và hoạt động độc lập, phối hợp với nhau để thực hiện công việc của botmaster và truyền thơng tin qua lại. Mỗi máy trong hệ thống vừa có thể là client cũng có thể là server điều này đã khác phục đi nhược điểm của hệ thống mơ hình client – server. 3. IOT Bot Malware
[vi] Internet of Things - viết tắt là IoT mỗi đồ vật, thiết bị, con người… được cung cấp một định danh riêng, có khả năng kết nối, truyền tải, trao đổi thông tin qua một mạng chung là Internet. Các thiết bị được kết nối trong mạng lưới này có thể bao gồm máy tính, thiết bị di động cầm tay, đồng hồ thông minh, máy ảnh, máy quay kỹ thuật số, tivi, tủ lạnh, các thiết bị điện tử trong một ngôi nhà thông minh… và đang tiếp tục phát triển với tốc độ rất nhanh. Kỹ thuật tấn công DDoS này tập trung khai thác các thiết bị IoT để xây dựng mạng lưới Botnet. Kỹ thuật này nguy hiểm và gây ra tác động mạnh mẽ hơn bởi các lý do sau: Quy mô mạng lưới IoT rất lớn và ngày càng phát triển mạnh, công tác bảo mật cho các thiết bị IoT chưa được quan tâm đúng mức cả từ phía nhà sản xuất và người dùng, các giải pháp phần mềm và phần cứng bảo mật cho thiết bị IoT còn nhiều hạn chế. Ngày 21/10/2016, máy chủ cung cấp dịch vụ phân giải tên miền của công ty Dyn tại Mỹ bị tấn công từ chối dịch vụ với mạng lưới Botnet khoảng 500.000 thiết bị, khiến người 13 GVHD: Nguyễn Thị Hồng Thảo
dùng không thể truy cập được các trang web như Spotify, Twitter, Github, PayPal… một cách bình thường. Một cuộc tấn cơng khác vào website của phóng viên an ninh mạng Brian Krebs chiếm băng thông tới 620 Gbps. Cuộc tấn công vào tập đoàn dịch vụ hosting OVH của Pháp với mức băng thông kỷ lục đến 1,5Tbps. Việc áp dụng rộng rãi khoảng 50 tỷ thiết bị IoT, cũng như tăng khả năng kết nối giữa các thiết bị đó với các mạng truyền thống, chưa kể đến các thiết bị khác với sự ra đời của mạng thế hệ thứ năm (5G), nhấn mạnh nhu cầu về điều tra mạng botnet IoT.
Hình 2 : Cơ chế hoạt động của tấn công Mirai Botnet
Mã độc Mirai gồm hai thành phần chính: virus Mirai và Trung tâm Chỉ huy & Điều khiển (CNC). CNC, Trung tâm riêng biệt kiểm soát các thiết bị đã bị xâm nhập là nơi gửi thông điệp điều khiển các thành viên trong mạng tấn công. Chờ đợi các Bot hiện tại tiếp
tục cung cấp các địa chỉ mới được phát hiện và thơng tin đăng nhập của nó để tiếp tục sao chép mã virus và tạo ra Bot mới .. Các bước thực hiện cuộc tấn công: Bước 1: Các Bot hiện tại phát hiện các thiết bị được mở , thực hiện việc thu thập thông tin . Bước 2: Thông tin của các Bot sẽ được gửi đến CNC. Bước 3: CNC sẽ sao chép virus và gửi đến các thiết bị mới. Bước 4: Sau khi sao chép virus đến các thiết bị CNC ra lệnh cho các Bot tấn công vào Victim.
14 GVHD: Nguyễn Thị Hồng Thảo
Quá trình sẽ quét và liên tục chạy trên các thiết bị sử dụng Telnet để thử đăng nhập với một IP bất kỳ. Khi đăng nhập thành công bằng mật khẩu mặc định các mã độc sẽ gửi thơng tin đó về CNC. 4. DDoS và Botnet trong Điện toán đám mây Bảo mật trên đám mây là mối quan tâm lớn đối với các nhà cung cấp dịch vụ đám mây. Trong điện toán đám mây, tài nguyên được chia sẻ giữa các hàng triệu người dùng để các tài nguyên và dịch vụ có thể được truy cập khi người dùng cần. Do kiến trúc tài nguyên được chia sẻ, các cuộc tấn công DDoS có thể có tác động mạnh mẽ đến điện tốn đám mây so với kiến trúc của người thuê đơn lẻ. Bảo mật, kiên trì và sẵn sàng là ba yêu cầu chính của đám mây mơi trường máy tính phải cung cấp và bút pháp tấn công DDoS là mối đe dọa lớn đối với tính khả dụng. Một hacker có thể chạy một ứng dụng độc hại để tạo ra cuộc tấn cơng DDoS chống lại chính đám mây hoặc chống lại người dùng khác trên đám mây. Flooding DDoS, DDoS dựa trên web, DDoS mạng botnet truyền thống và thiết bị di động. Các cuộc tấn cơng DDoS botnet có thể được tạo ra trong các máy chủ đám mây để làm gián đoạn các dịch vụ do họ cung cấp.
5. Các loại tấn công Botnet a) Distributed Denial of Operations Service (DDoS) Hệ thống botnet sẽ cùng lúc truy cập vào một website mục tiêu khiến cho lưu lượng truy cập vào site đó bị quá tải, dẫn tới tình trạng “nghẽn cổ chai”. Điều này khiến nhiều người dùng khi truy cập vào website đó khơng truy cập được vì bị nghẽn mạng. b) Spamming (phát tán thư rác) Khi một máy tính hoặc thiết bị đã bị lây nhiễm, hacker sẽ sử dụng email của nạn nhân để gửi spam. Song song đó, hacker cịn thêm danh sách liên hệ của nạn nhân vào danh sách email spam của chúng. c) Đánh cắp dữ liệu Khi một máy tham gia vào hệ thống botnet, botmaster có thể cài đặt keylogger trên máy tính và thực hiện việc lấy thơng tin và đánh cắp dữ liệu trở nên dễ dàng. d) Lây lan botnet Botnet cũng có thể sử dụng để lan truyền bằng cách thuyết phục người dùng tải xuống các chương trình hoặc file thực thi thơng qua email, HTTP, FTP. Thường thì virus sử dụng botnet này sẽ được phát tán qua email.
15 GVHD: Nguyễn Thị Hồng Thảo
Chương 3: TRIỂN KHAI THỰC NGHIỆM 1. Đề xuất mơ hình
Hình 3 : Mơ hình triển khai thực nghiệm
2. Mục tiêu Triển khai mơ hình botnet với 1 máy attacker và 3 máy client bị nhiễm botnet. Thực hiện DDoS vào hệ thống mạng LAN. 3. Qúa trình thực hiện
Mơ hình triển khai gồm có : Client_01 có địa chỉ IP : 192.168.100.21 Client_02 có địa chỉ IP : 192.168.100.22 Client_03 có địa chỉ IP : 192.168.100.23
Hình 4 : Địa chỉ IP của Client
Web - Server: IP 192.168.100.12
16 GVHD: Nguyễn Thị Hồng Thảo
Hình 5: Địa chỉ IP của Web Server
Web - Server đang chạy 1 wordpress cho các client truy cập vào
Hình 6-1: Giao diện đăng nhập Web Server
17 GVHD: Nguyễn Thị Hồng Thảo
Hình 6-2: Giao diện WordPress Web Server
Máy Kali Linux đóng vai trị là Attacker có địa chỉ IP 192.168.100.128
Hình 7: Địa chỉ IP của Attacker
Ở đây chúng em tấn công DDoS bằng chương trình viết bằng Python tấn cơng theo
phương thức UDP, làm nghẽn mạng. Khi người dùng kích hoạt file từ Botnet, Attacker sẽ lợi dụng đó điều khiển cho Botnet tấn công IP vào server khiến server bị quá tải. Attacker sẽ chạy sẳn chương trình và chờ Client kích hoạt các file từ Botnet Phần triển khai này chúng em tham khảo code tạo một Botnet trên kênh: /> 18 GVHD: Nguyễn Thị Hồng Thảo
Hình 8: Kênh tham khảo tạo Botnet bằng Python
File code ở botmaster
Hình 9: File code botmaster
Sau khi chạy file code ở Botmaster thì giao diện của Botnet
Hình 10: Giao diện điều khiển của Botmaster
Giả định client kích hoạt file mà attacker đã gửi kèm
19 GVHD: Nguyễn Thị Hồng Thảo
Hình 11: File code mà Botmaster gửi cho client chờ client kích hoạt
Chú ý : sửa chỗ IP thành IP của Botmaster, ở đây IP của Botmaster là 192.168.100.128
Hình 12: Client kích hoạt file code mà Botmaster gửi
Danh sách các Botnet đã được kết nối về Server
20 GVHD: Nguyễn Thị Hồng Thảo
Hình 13: Danh sách các Bot được kết nối với Botmaster
Để ra lệnh cho các Botnet tấn công ta dùng lệnh: attack udp <ip> second> <thread> Thực hiện tấn công DDoS đến Web-Server địa chỉ IP 192.168.100.12: attack udp 192.168.100.12 80 1000
Hình 14: Thực hiện tấn cơng Botnet
Dừng DDoS
Hình 15: Dừng tấn cơng Botnet
Thực tế, cần phải có số lượng botnet cực lớn mới có thể DDoS sập 1 Server, thơng thường các Hacker sẽ đính kèm Botnet vào các phần mềm, file crack, path để kích hoạt cùng, khiến người dùng không nghi ngờ. Khi cùng 1 thời điểm mà hàng ngàn botnet cùng truy cập vào 1 IP sẽ khiến Server quá tải và không thể truy cập.
21 GVHD: Nguyễn Thị Hồng Thảo
4. Đánh giá kết quả Nhóm đã triển khai được một hệ thống botnet và DDoS vào máy server. Ở đây hạn chế của nhóm là khơng xây dựng được một hệ thống botnet đủ lớn để có thể DDoS vào máy server làm cho kết quả nhận được là máy server vẫn hoạt động được. 5. Đề xuất biện pháp Do tính chất nghiêm trọng của tấn cơng DDoS, nhiều giải pháp phịng chống được nghiên cứu. Tuy nhiên vẫn chưa có giải pháp nào có khả năng chống DDoS một cách tồn diện và hiệu quả do tính phức tạp, quy mơ lớn và tính phân tán của DDoS rất cao. Khi phát hiện tấn công DDoS việc có thể thực hiện tốt nhất là ngắt hệ thống nạn nhân ra khỏi tài nguyên. a) Phòng chống dựa trên việc triển khai Tăng cường khả năng xử lý của hệ thống: + Áp dụng các kĩ thuật học máy kết hợp với thuật toán xử lý, mã nguồn của máy chủ web + Nâng cấp hệ thống máy chủ + Nâng cấp đường truyền và các thiết bị liên quan, + Cài đặt đầy đủ các bản vá cho hệ điều hành và các phần mềm khác để phòng ngừa khả năng bị lỗi tràn bộ đệm, cướp quyền điều khiển, v.v… Hạn chế số lượng kết nối tại thiết bị tường lửa tới mức an toàn hệ thống cho phép. Sử dụng các tường lửa cho phép lọc nội dung thông tin (tầng ứng dụng) để ngăn chặn các kết nối nhằm tấn cơng hệ thống. b) Phịng chống dựa trên giao thức mạng Sử dụng các kỹ thuật lọc gói tin dựa trên địa chỉ IP Tăng cường kích thước BackLogs giúp tăng khả năng chấp nhận kết nối mới Sử dụng SYN cache giúp duy trì BackLogs cho tồn máy chủ Sử dụng SYN Cookies cho phép chỉ cấp phát tài nguyên kết nối khi được xác nhận Sử dụng tường lửa hoặc proxy lọc gói tin và thi hành chính sách an ninh đã đặt trước Tối thiểu hóa hành vi truy cập trang web để phòng chống HTTP Flood Giám sát hành vi người dùng trong các phiên làm việc
22 GVHD: Nguyễn Thị Hồng Thảo
c) Dựa trên thời điểm Trước xảy ra tấn công: Các biện pháp dạng ngăn chặn tấn công từ xa, bao gồm việc cập nhật hệ thống, sửa lỗi, vá các lỗ hổng để giảm thiểu khả năng tin tặc khai thác để tấn công Trong khi xảy ra: tập trung ngăn chặn các tấn công. Xây dựng IDS/IPS Sau khi xảy ra: Truy vết các nguồn gốc tấn cơng d) Phịng chống đồng bộ Botnet qua tên miền Các Bot thường là máy tính cá nhân bị lây nhiễm do việc bất cẩn download dữ liệu có chứa virus mà chủ sở hữu không hề biết rằng khi đó máy tính của họ đã nằm trong mạng lưới botnet. Nhiều Botnet sử dụng DNS như 1 thành phần của cơ sở hạ tầng và điều khiển (Command and Control infrastructure). Nhà quản trị dựa vào đó đề xuất được việc dựa trên sự bất thường của việc phân phối tên miền Bằng việc quan sát các nhóm tên miền đáng ngờ truy cập có thể phân biệt bằng số lượng domains truy cập cao ngoài dự kiến. Giám sát những lưu lượng, những thông tin lịch sử để phát hiện những domains rác, domains khơng tồn tại, bản ghi có số lượng IP cao trỏ về.
23 GVHD: Nguyễn Thị Hồng Thảo
Hình 16 : Typical topology of an attacking botnet
24 GVHD: Nguyễn Thị Hồng Thảo
THAM KHẢO [i] />[ii] />[iii] />[iv] />[v] />[vi] /> /> /> /> /> /> 25 GVHD: Nguyễn Thị Hồng Thảo