TÌM HIỂU VÀ PHÂN TÍCH CƠ CHẾ CHỐNG DDOS CỦA NHÀ MẠNG ACT

TỔNG QUAN VỀ ĐƠN VỊ THỰC TẬP

Khái quát về công ty cổ phần viễn thông ACT

Công ty Cổ phần Viễn thông ACT, thành lập vào ngày 21 tháng 11 năm 2011, hoạt động trên toàn quốc trong lĩnh vực viễn thông, bao gồm thiết kế và cho thuê hạ tầng viễn thông, thi công công trình, dịch vụ quản lý vận hành, cũng như cung cấp thiết bị truyền hình số và giải pháp CNTT Với mục tiêu trở thành đơn vị hàng đầu trong hợp tác đầu tư và cung cấp dịch vụ viễn thông tại Việt Nam, công ty đã hợp tác với nhiều đối tác lớn như Viettel, Mobifone, và VNPT TP.HCM Chúng tôi cam kết đặt chất lượng dịch vụ lên hàng đầu, nhằm đáp ứng tốt nhất kỳ vọng của khách hàng.

Chữ A, viết tắt của "AMOUNT", biểu thị cho "Chân giá trị" Công ty xác định chân giá trị là mục tiêu chính trong hành trình phát triển Không chỉ đơn thuần là doanh thu và lợi nhuận, chân giá trị còn phản ánh những giá trị thực sự trong cuộc sống mà cả cá nhân lẫn tổ chức cần hướng tới.

Chữ C trong "COOPERATION" đại diện cho "Sự hợp tác", là phương tiện quan trọng giúp công ty đạt được kết quả tối ưu Sự hợp tác không chỉ đơn thuần là mối quan hệ giữa các doanh nghiệp, mà còn là cách phát huy lợi thế của từng đơn vị, tạo ra chuỗi giá trị và hệ sinh thái sản phẩm dịch vụ tốt nhất phục vụ khách hàng và xã hội.

Chữ T đại diện cho "TRUTH", nghĩa là "Sự trung thực", là giá trị cốt lõi mà công ty theo đuổi Sự trung thực và chân thành hiện diện trong suy nghĩ, lời nói và hành động của từng cá nhân Trung thực không chỉ là nền tảng cho sự hợp tác hiệu quả mà còn đảm bảo giá trị bền vững trong mọi mối quan hệ.

1.1.3 Tầm nhìn và sứ mệnh:

Công ty Cổ phần Viễn thông ACT cam kết phát triển bền vững bằng cách hài hòa lợi ích giữa doanh nghiệp, khách hàng và xã hội Mục tiêu của công ty là cung cấp dịch vụ kỹ thuật, vận hành và khai thác hạ tầng mạng lưới viễn thông, đồng thời đầu tư và hợp tác trong lĩnh vực cung cấp dịch vụ viễn thông.

CHƯƠNG 1: TỔNG QUAN VỀ ĐƠN VỊ THỰC TẬP ĐỖ THÀNH ĐẠT D17CQVT01-N Trang 3 giải pháp CNTT hàng đầu Việt Nam; hợp tác với tất cả các nhà cung cấp lớn để đưa dịch vụ tổng thể, cao cấp và tiện ích nhất tới khách hàng trên toàn quốc

Trở thành doanh nghiệp Outsourcing hàng đầu tại Việt Nam, chúng tôi cung cấp dịch vụ kỹ thuật tối ưu cho các nhà mạng viễn thông, bao gồm vận hành và khai thác hạ tầng mạng lưới như trạm BTS và mạng cáp quang Chúng tôi chuyên bảo trì, bảo dưỡng hệ thống điều hòa và máy phát điện, đồng thời triển khai và quản lý các dịch vụ internet, truyền hình, camera giám sát và giải pháp công nghệ thông tin.

Chúng tôi liên tục cải tiến quy trình làm việc và đầu tư vào đào tạo nhân viên để nâng cao kiến thức và kỹ năng chuyên môn Điều này không chỉ giúp tối ưu hóa chi phí mà còn nâng cao chất lượng hạ tầng mạng lưới, từ đó mang lại dịch vụ tốt nhất cho khách hàng cuối cùng.

Chúng tôi hướng tới việc trở thành doanh nghiệp hàng đầu trong lĩnh vực hợp tác đầu tư hạ tầng dự án viễn thông và công nghệ thông tin tại các khu dân cư, toà nhà cao tầng, và khu công nghiệp Chúng tôi cam kết cung cấp dịch vụ internet, truyền hình, camera giám sát và giải pháp CNTT chất lượng tốt nhất, đáp ứng nhu cầu đa dạng của khách hàng mà không độc quyền.

Công ty hiện tại có 2 văn phòng chính tại:

- Số 1 Lê Văn Huân là trệt để xe, tầng 1 Quản Lý Tài Sản, tầng 2 Kinh Doanh

- Số 8 Lê Văn Huân trệt là bảo vệ, phòng họp,

- Ngoài ra còn có các trung tâm khu vực phủ rộng khắp Thành phố Hồ Chí Minh.

Vị trí thực tập

Trong thời gian thực tập tại công ty, tôi đã làm việc tại phòng Kỹ Thuật, nơi tôi nghiên cứu và phân tích cơ chế tấn công DDoS, đặc biệt là tấn công SYN Flood Bên cạnh đó, tôi cũng tìm hiểu cách sử dụng IPtables u32 để phòng chống các cuộc tấn công này hiệu quả.

TÌM HIỂU CƠ CHẾ HOẠT ĐỘNG CỦA DDOS

Khái niệm DDoS

DDoS (Tấn công từ chối dịch vụ phân tán) là một phương thức tấn công nhằm làm sập dịch vụ trực tuyến, gây khó khăn cho người dùng hợp pháp trong việc truy cập và sử dụng dịch vụ Tấn công này diễn ra khi hệ thống cung cấp dịch vụ bị quá tải về tài nguyên hoặc gặp phải lỗi logic, dẫn đến việc ngừng hoạt động.

Khác với tấn công DoS (Denial-of-Service) chỉ sử dụng một máy, tấn công DDoS (Distributed Denial-of-Service) sử dụng nhiều máy tính với các địa chỉ IP khác nhau, dẫn đến thiệt hại lớn hơn Hầu hết các cuộc tấn công DDoS nhằm mục đích chiếm dụng băng thông, gây nghẽn mạng và làm ngưng hoạt động của hệ thống Bên cạnh việc chiếm dụng băng thông, tấn công DDoS còn khai thác lỗ hổng trong các ứng dụng để cạn kiệt tài nguyên của hệ thống.

Hình 2 1 Mô hình tấn công DDoS

Phân loại các kiểu tấn công DDoS

Các loại tấn công DDoS rất đa dạng và có nhiều biến thể, vì vậy có nhiều cách để phân loại chúng Phương pháp phân loại theo mục đích tấn công là cách cơ bản nhất, dễ hiểu và khá đầy đủ Có hai dạng tấn công chính dựa vào mục đích.

- Tấn công DDoS gây cạn kiệt băng thông

CHƯƠNG 2: TÌM HIỂU CƠ CHẾ HOẠT ĐỘNG CỦA DDOS ĐỖ THÀNH ĐẠT D17CQVT01-N Trang 5

- Tấn công DDoS gây cạn kiệt tài nguyên hệ thống

Hình 2 2 Phân loại các kiểu tấn công DDoS

2.2.1 Tấn công gây cạn kiệt băng thông

Tấn công cạn kiệt băng thông (Bandwidth Depletion Attack) nhằm mục đích làm ngập mạng mục tiêu bằng lưu lượng không cần thiết, từ đó giảm khả năng tiếp nhận các lưu lượng hợp lệ đến hệ thống dịch vụ của mục tiêu.

Có hai loại tấn công làm cạn kiệt băng thông:

Cuộc tấn công Flood là phương thức mà các tác nhân (Agent) được điều khiển để gửi một lượng lớn lưu lượng truy cập đến hệ thống dịch vụ của mục tiêu, khiến cho dịch vụ này vượt quá ngưỡng băng thông cho phép.

Cuộc tấn công khuếch đại (Amplification attack) xảy ra khi các Agent hoặc Client được điều khiển tự động gửi gói tin đến một địa chỉ IP broadcast, dẫn đến việc tất cả các máy trong subnet gửi gói tin đến hệ thống dịch vụ của mục tiêu Phương thức này làm tăng lưu lượng truy cập không cần thiết, gây suy giảm băng thông của mục tiêu.

2.2.2 Tấn công gây cạn kiệt tài nguyên hệ thống

Tấn công cạn kiệt tài nguyên (Resource Depletion Attack) là hình thức tấn công mà kẻ tấn công gửi các gói tin sử dụng các giao thức không đúng chức năng thiết kế, hoặc gửi gói tin nhằm làm tắc nghẽn tài nguyên mạng Hành động này khiến cho các tài nguyên không thể phục vụ cho người dùng hợp lệ, gây ảnh hưởng nghiêm trọng đến hiệu suất và khả năng truy cập của hệ thống mạng.

Mô hình mạng Botnet

Botnet, viết tắt của "Bots network", là một mạng lưới các máy tính bị kiểm soát bởi một bên thứ ba và điều khiển từ xa bởi một máy tính khác Những máy tính này thường bị lạm dụng để thực hiện các hoạt động độc hại trên internet.

CHƯƠNG 2: TÌM HIỂU CƠ CHẾ HOẠT ĐỘNG CỦA DDOS ĐỖ THÀNH ĐẠT D17CQVT01-N Trang 6 này vẫn hoạt động bình thường, nhưng chúng không hề biết rằng đã bị các hacker kiểm soát và điểu khiển nhằm phục vụ cho các mục đích cá nhân Do đặc thù của Botnet là một mạng lưới các Bot, nên hacker dùng Botnet để tấn công DDoS, sau đó điều khiển tất cả các máy tính từ xa, có thể cùng lúc hàng trăm, hàng nghìn chiếc máy tính cùng truy cập vào một website chỉ định, tạo ra lưu lượng quá tải trong website đó và gây tình trạng nghẽn mạng treo máy

Khi sử dụng Bonet để tấn công DDoS thì có 2 mô hình chính là mô hình Agent- Handler và mô hình IRC-Based

Hình 2 3 Sơ đồ Handler-Agent

Mạng Handler-Agent thông thường bao gồm 3 thành phần: Agent, Client và Handler Trong đó :

- Client: Là phần mềm cơ sở để hacker điều khiển mọi hoạt động của mạng Handler-Agent

- Handler: Là một phần mềm trung gian giữa Agent và Client

- Agent: Là một phần mềm thực hiện tấn công mục tiêu, nhận điều khiển từ Client thông quan các Handler

Kẻ tấn công sẽ giao tiếp với Handler từ Client để xác định số lượng Agent đang trực tuyến, điều chỉnh thời điểm tấn công và cập nhật các Agent Tùy thuộc vào cách kẻ tấn công cấu hình mạng Botnet, các Agent có thể được quản lý bởi một hoặc nhiều Handler.

Các kẻ tấn công thường cài đặt các Handler trên Router hoặc Server có lưu lượng truy cập lớn để làm cho các giao tiếp giữa Client, Handler và Agent khó bị phát hiện Các giao thức này chủ yếu sử dụng TCP, UDP hoặc ICMP Chủ sở hữu thực sự của các Agent thường không nhận thức được rằng họ đang bị lợi dụng trong các cuộc tấn công DDoS, do thiếu kiến thức hoặc vì các chương trình Backdoor Agent chỉ tiêu tốn rất ít tài nguyên hệ thống, khiến họ không nhận thấy ảnh hưởng đến hiệu suất của hệ thống.

Hình 2 4 Sơ đồ IRC Base

Internet Relay Chat (IRC) là một hệ thống chat trực tuyến cho nhiều người dùng, cho phép kết nối và trò chuyện thời gian thực với nhau Kiến trúc của mạng IRC bao gồm nhiều máy chủ (server) trên khắp Internet, giao tiếp qua các kênh (channel) Người dùng có thể tạo ra ba loại kênh: Công khai (Public), Riêng tư (Private) và Bí mật (Secret).

- Public channel: Cho phép user của channel đó thấy IRC name và nhận được message của mọi user khác trên cùng channel

- Private channel: Được thiết kế để giao tiếp với các đối tượng cho phép Không cho phép các user không cùng channel thấy IRC name và message

CHƯƠNG 2: TÌM HIỂU CƠ CHẾ HOẠT ĐỘNG CỦA DDOS ĐỖ THÀNH ĐẠT D17CQVT01-N Trang 8 trên channel Tuy nhiên , nếu user ngoài channel dùng một số lệnh channel locator thì có thể biết được sự tồn tại của private channel đó

- Secrect channel: Tương tự private channel nhưng không thể xác định bằng channel locator

Mạng dựa trên IRC tương tự như mạng Agent-Handler, nhưng sử dụng các kênh giao tiếp IRC để kết nối giữa Client và Agent mà không cần Handler Mô hình này mang lại cho kẻ tấn công một số lợi thế bổ sung.

- Các giao tiếp dưới dạng chat message làm cho việc phát hiện chúng là vô cùng khó khăn

- Lưu thông IRC có thể di chuyển trên mạng với số lượng lớn mà không bị nghi ngờ

Hacker không cần phải giữ danh sách các Agent, chỉ cần đăng nhập vào máy chủ IRC để nhận báo cáo về trạng thái của các Agent từ các kênh.

- Sau cùng: IRC cũng là một môi trường chia sẻ file tạo điều kiện phát tán các Agent code lên nhiều máy khác.

Một số kiểu tấn công DDoS

Tấn công UDP Flood là một dạng tấn công từ chối dịch vụ, trong đó hệ thống nhận các gói tin UDP mà không cần thiết lập kết nối Khi một lượng lớn gói tin UDP được gửi đến các cổng ngẫu nhiên trên máy chủ mục tiêu, điều này có thể làm quá tải hệ thống Nếu cổng bị tấn công không sẵn sàng, máy chủ sẽ phản hồi bằng một gói ICMP thông báo không tìm thấy cổng đích Khi số lượng yêu cầu UDP vượt quá khả năng xử lý của hệ thống, nó sẽ không thể đáp ứng các yêu cầu hợp lệ, dẫn đến tình trạng từ chối dịch vụ.

Multi-Vector Attack là hình thức tấn công DDoS phức tạp nhất, kết hợp nhiều công cụ và chiến lược để tấn công mục tiêu Thay vì chỉ sử dụng một phương pháp, các cuộc tấn công này nhắm đến các ứng dụng cụ thể trên server và làm tràn mục tiêu với lưu lượng độc hại lớn Khó khăn trong việc ngăn chặn Multi-Vector Attack xuất phát từ sự đa dạng trong các hình thức tấn công và việc nhắm mục tiêu đồng thời vào nhiều nguồn lực khác nhau.

Tấn công SYN Flood là một phương thức khai thác lỗ hổng trong giao thức TCP thông qua quá trình bắt tay ba bước Trong bước đầu tiên, bên gửi gửi một gói tin SYN REQUEST (Synchronize) Nếu bên nhận nhận được gói tin này, nó sẽ phản hồi bằng gói tin SYN/ACK Cuối cùng, bên gửi sẽ gửi gói tin ACK để hoàn tất quá trình và bắt đầu truyền dữ liệu.

Hình 2 5 Ba bước kết nối TCP/IP

Khi server phản hồi yêu cầu SYN bằng một SYN/ACK nhưng không nhận được ACK packet cuối cùng sau thời gian quy định, nó sẽ tiếp tục gửi lại SYN/ACK cho đến khi hết thời gian timeout Trong suốt khoảng thời gian này, toàn bộ tài nguyên hệ thống được "dự trữ" để xử lý phiên giao tiếp sẽ bị "phong tỏa" cho đến khi thời gian timeout kết thúc.

Hình 2 6 trường hợp IP nguồn giả

Khi tấn công, kẻ tấn công gửi một gói SYN đến nạn nhân với địa chỉ giả mạo, dẫn đến việc nạn nhân phản hồi bằng gói SYN/ACK đến một địa chỉ khác mà không bao giờ nhận được gói ACK cuối cùng Kết quả là, nạn nhân chỉ nhận ra sự cố này sau khi hết thời gian timeout và giải phóng tài nguyên hệ thống Tuy nhiên, nếu số lượng gói SYN giả mạo gửi đến nạn nhân quá lớn và dồn dập, hệ thống của nạn nhân có thể bị cạn kiệt tài nguyên.

Ping Of Death là một loại tấn công vào hệ thống máy tính, trong đó kẻ tấn công gửi các gói ping không đúng định dạng hoặc độc hại đến một máy tính Gói ping hợp lệ thường có kích thước 56 byte hoặc 64 byte, nhưng trong cuộc tấn công, kẻ tấn công gửi các gói tin ICMP có kích thước lớn hơn 65.536 byte Do kích thước tệp vượt quá giới hạn cho phép của gói tin IP, các gói tin này sẽ bị chia nhỏ thành nhiều phần.

CHƯƠNG 2: TÌM HIỂU CƠ CHẾ HOẠT ĐỘNG CỦA DDOS ĐỖ THÀNH ĐẠT D17CQVT01-N Trang 10 nhỏ và gửi đến hệ thống máy đích Khi đến nơi, các phần này sẽ được phép lại thành một gói tin hoàn chỉnh vượt quá khả năng xử lý của hệ thống, gây tràn bộ nhớ đệm và khiến máy chủ bị treo

Slow Loris là một loại tấn công mà kẻ tấn công gửi đến máy chủ một lượng lớn yêu cầu HTTP không hoàn chỉnh, đồng thời cố gắng duy trì nhiều kết nối trong thời gian dài Khi số lượng kết nối của máy chủ web đạt cực đại, máy chủ sẽ từ chối các yêu cầu kết nối tiếp theo, bao gồm cả những yêu cầu hợp lệ từ người dùng thông thường.

HTTP Flood Attack: Gây quá tải bằng cách gửi hàng loạt yêu cầu GET hoặc

Hình thức gửi POST hợp pháp đến máy chủ tiêu tốn ít băng thông hơn so với các phương pháp tấn công từ chối dịch vụ khác, nhưng vẫn có khả năng khiến máy chủ sử dụng tối đa tài nguyên để xử lý yêu cầu.

NTP Amplification là một kiểu tấn công khai thác lỗ hổng Monlist của máy chủ NTP, trong đó tin tặc gửi yêu cầu Monlist đến NTP server bằng IP giả mạo, với địa chỉ IP của nạn nhân là mục tiêu Kết quả là các NTP server sẽ liên tục gửi phản hồi Monlist đến địa chỉ IP giả, gây ra tình trạng quá tải cho hệ thống webserver của nạn nhân.

Hình 2 7 NTPAmplification khai thác lỗ hỏng tính năng Monlist máy chủ NTP

Các Phương pháp xây dựng tài nguyên tấn công

Các công cụ tấn công DDoS thường chia sẻ nhiều đặc điểm chung, bao gồm cách cài đặt chương trình Agent, phương thức giao tiếp giữa các attacker, Handler và Agent, cũng như loại hệ điều hành mà chúng hỗ trợ Sơ đồ dưới đây minh họa sự tương quan giữa các công cụ tấn công DDoS này.

Hình 2 8 Các phương pháp xây dựng tài nguyên hệ thống

2.5.1 Cách thức cài đặt DDoS Agent

Kẻ tấn công có thể sử dụng hai phương pháp là chủ động và thụ động để cài đặt chương trình Agent lên các máy tính khác, từ đó thiết lập mạng tấn công kiểu Agent-Handler hoặc dựa trên IRC.

Các cách cài đặt sử dụng phương pháp active như:

Quá trình quét hệ thống sử dụng các công cụ như Nmap và Nessus để phát hiện lỗ hổng bảo mật trên các hệ thống trực tuyến nhằm cài đặt chương trình Agent Nmap cung cấp thông tin chi tiết về hệ thống dựa trên địa chỉ IP đã chỉ định, trong khi Nessus tìm kiếm các điểm yếu đã biết từ bất kỳ địa chỉ IP nào.

Sau khi xác định được danh sách các hệ thống có thể bị tấn công, kẻ tấn công sẽ xâm nhập và cài đặt chương trình Agent lên những hệ thống này Trên mạng có nhiều thông tin về phương thức xâm nhập, chẳng hạn như từ tổ chức Common Vulnerabilities and Exposures (CVE), nơi liệt kê và phân loại hơn 4.000 loại lỗi của các hệ thống hiện có Những thông tin này luôn sẵn có cho cả quản trị mạng và hacker.

Trojan là một loại chương trình có chức năng bình thường nhưng ẩn chứa những chức năng tiềm ẩn phục vụ mục đích riêng của người viết mà người dùng không hề hay biết Nó có thể hoạt động như một chương trình Agent.

Buffer Overflow: Kẻ tấn công có thể khai thác lỗi buffer overflow để chuyển hướng chu trình thực thi của chương trình sang mã độc của hacker, nằm trong vùng dữ liệu bị ghi đè Phương pháp này có thể được sử dụng để tấn công các chương trình có lỗ hổng buffer overflow nhằm thực thi chương trình Agent.

Web browser vulnerabilities can be exploited by attackers to install malicious Agent programs on users' devices They create deceptive websites containing hidden codes and commands designed to ensnare users When users visit these compromised sites, the website secretly downloads and installs the Agent program Microsoft Internet Explorer (IE) is often targeted due to its ActiveX vulnerabilities, which can enable the browser to automatically download and install code directly onto the user's machine.

Tệp tin bị nhiễm mã độc là một phương pháp nhúng mã độc vào các tệp tin thông thường, khiến máy tính của người dùng bị lây nhiễm phần mềm Agent khi họ mở hoặc thực thi tệp Một kỹ thuật phổ biến là sử dụng tên tệp dài, vì hầu hết hệ điều hành chỉ hiển thị phần đầu của tên tệp, cho phép kẻ tấn công gửi tệp như ptit.txt_hppppppp_NO_this_is_DDoS.exe Người dùng chỉ thấy "ptit.txt" và có thể mở tệp mà không nghi ngờ, dẫn đến việc mã độc được thực thi và cài đặt trên máy Ngoài ra, còn nhiều phương pháp khác như ngụy trang tệp hoặc ghép tệp để lừa đảo người dùng.

2.5.2 Giao tiếp trên mạng Botnet

Protocol: Giao tiếp trên mạng Botnetcó thể thực hiện trên nền các protocol TCP,

Mã hóa giao tiếp trong các mạng Botnet là một yếu tố quan trọng, với nhiều công cụ DDoS cung cấp khả năng này Các phương pháp mã hóa sẽ phụ thuộc vào giao thức được sử dụng Đối với mạng Botnet dựa trên IRC, việc sử dụng kênh riêng tư và bí mật đã hỗ trợ việc mã hóa giao tiếp hiệu quả.

Để kích hoạt Agent, có hai phương pháp chính: Thứ nhất, Agent sẽ liên tục quét và kiểm tra Handler hoặc kênh IRC để nhận lệnh kích hoạt Thứ hai, Agent có thể chỉ cần chờ đợi chỉ thị từ Handler hoặc kênh IRC.

Phòng chống DDoS

Để đối phó với các cuộc tấn công DDoS, nhiều giải pháp và ý tưởng đã được đề xuất, nhưng chưa có phương án nào hoàn toàn hiệu quả Các hình thức tấn công DDoS ngày càng đa dạng và xuất hiện song song với các biện pháp phòng ngừa, tuy nhiên, quy luật trong ngành an ninh mạng vẫn giữ nguyên: "Hacker luôn đi trước giới bảo mật một bước".

Có ba giai đoạn chính trong quá trình Phòng chống DDoS:

- Giai đoạn ngăn ngừa: Tối thiểu hóa lượng Agent, tìm và vô hiệu hóa các Handler

- Giai đoạn đối đầu với cuộc tấn công: Phát hiện và ngăn chặn cuộc tấn công, làm suy giảm và dừng cuộc tấn công, chuyển hướng cuộc tấn công

- Giai đoạn sau khi cuộc tấn công xảy ra: Thu thập chứng cứ và rút kinh nghiệm

Hình 2 9 Các giai đoạn chi tiết trong phòng chống DdoS

2.6.1 Tối thiểu hóa lượng Agent

Để ngăn ngừa tấn công DDoS, người dùng Internet cần tự đề phòng và nâng cao ý thức về an ninh mạng Việc phổ biến kỹ thuật phòng chống cho tất cả người dùng là rất quan trọng, vì mạng lưới Botnet chỉ hình thành khi có người bị lợi dụng làm Agent Người dùng nên thường xuyên thực hiện các biện pháp bảo mật cho máy tính của mình, bao gồm việc tự kiểm tra sự hiện diện của Agent, mặc dù điều này có thể khó khăn đối với người không chuyên Ngoài ra, việc cài đặt và cập nhật thường xuyên các phần mềm như antivirus, antitrojan và các bản vá từ hệ điều hành cũng là một biện pháp đơn giản nhưng hiệu quả để bảo vệ hệ thống.

Thay đổi phương thức thu phí dịch vụ truy cập theo dung lượng từ nhà cung cấp dịch vụ mạng sẽ khiến người dùng chú ý hơn đến nội dung họ gửi Điều này không chỉ nâng cao ý thức của người dùng mà còn góp phần tăng cường khả năng phát hiện các tác nhân tấn công DDoS.

2.6.2 Kỹ thuật tìm và vô hiệu hóa các Handler

Handler là một yếu tố quan trọng trong mạng Botnet; việc phát hiện và vô hiệu hóa Handler có thể tăng cường khả năng phòng chống DDoS Bằng cách theo dõi giao tiếp giữa Handler với Client và Agent, chúng ta có thể xác định vị trí của Handler Vì mỗi Handler quản lý nhiều Agent, việc triệt tiêu một Handler đồng nghĩa với việc loại bỏ một số lượng đáng kể Agent trong mạng Botnet.

Có nhiều kỹ thuật được áp dụng:

Agress Filtering là một kỹ thuật kiểm tra tính hợp lệ của các packet khi rời khỏi một subnet, dựa trên thông tin địa chỉ IP mà gateway của subnet nắm giữ Những packet từ bên trong subnet có địa chỉ nguồn không hợp lệ sẽ bị giữ lại để xác định nguyên nhân trước khi được phép ra ngoài Kỹ thuật này giúp đảm bảo an ninh mạng và quản lý lưu lượng hiệu quả.

CHƯƠNG 2: TÌM HIỂU CƠ CHẾ HOẠT ĐỘNG CỦA DDOS ĐỖ THÀNH ĐẠT D17CQVT01-N Trang 14 dụng trên tất cả các subnet của Internet thì khái nhiệm giả mạo địa chỉ IP sẽ không còn tồn tại

MIB statistics: Trong Management Information Base (SNMP-Simple Network

Quy trình quản lý của route cung cấp thông tin thống kê về sự biến thiên trạng thái của mạng Bằng cách giám sát chặt chẽ các thống kê từ Protocol ICMP, UDP và TCP, chúng ta có thể phát hiện thời điểm bắt đầu của cuộc tấn công, từ đó tạo ra "quỹ thời gian vàng" để xử lý tình huống hiệu quả.

2.6.3 Làm suy giảm hay dừng cuộc tấn công

Cân bằng tải: Việc thiết lập kiến trúc cân bằng tải cho các máy chủ quan trọng có thể tăng cường khả năng chống chịu của hệ thống trước các cuộc tấn công DDoS Tuy nhiên, điều này có thể không mang lại hiệu quả thực tế do quy mô của các cuộc tấn công thường không có giới hạn.

Throttling là cơ chế điều tiết trên router, giúp xác định tải tối ưu mà server nội bộ có thể xử lý Phương pháp này không chỉ hỗ trợ trong việc quản lý lưu lượng mà còn ngăn chặn tấn công DDoS, hạn chế truy cập dịch vụ cho người dùng Tuy nhiên, kỹ thuật này có nhược điểm là không phân biệt được các loại lưu lượng, có thể gây gián đoạn dịch vụ cho người dùng, mặc dù vẫn có khả năng DDoS traffic xâm nhập vào mạng nhưng ở mức độ giới hạn.

Thiết lập cơ chế drop request là cần thiết để ngăn chặn các yêu cầu vi phạm quy định như thời gian delay kéo dài, tiêu tốn nhiều tài nguyên và gây deadlock Kỹ thuật này giúp bảo vệ hệ thống khỏi tình trạng cạn kiệt năng lực, nhưng cũng có thể hạn chế một số hoạt động thông thường Do đó, việc cân nhắc trước khi áp dụng là rất quan trọng.

2.6.4 Chuyển hướng cuộc tấn công

Honeyspots là một kỹ thuật mới đang được nghiên cứu, được thiết kế để đánh lừa kẻ tấn công, khiến họ tấn công vào các hệ thống giả mạo thay vì các hệ thống quan trọng thực sự Kỹ thuật này không chỉ giúp bảo vệ thông tin quan trọng mà còn hỗ trợ trong việc phát hiện và xử lý các cuộc xâm nhập, nhờ vào các cơ chế giám sát và báo động được thiết lập sẵn trên Honeyspots.

Honeyspots không chỉ giúp học hỏi và rút kinh nghiệm từ các cuộc tấn công, mà còn ghi nhận chi tiết mọi hành động của attacker trên hệ thống Nếu attacker bị lừa và cài đặt Agent hoặc Handler lên Honeyspots, khả năng triệt tiêu toàn bộ mạng Botnet sẽ cao hơn rất nhiều.

2.6.5 Giai đoạn sau tấn công

Trong giai đoạn này thông thường thực hiện các công việc sau:

Phân tích mẫu lưu lượng truy cập là quá trình xem xét dữ liệu thống kê về sự thay đổi lưu lượng theo thời gian Việc phân tích này rất hữu ích trong việc tối ưu hóa các hệ thống Load Balancing và Throttling Bên cạnh đó, những dữ liệu thu thập được cũng hỗ trợ quản trị mạng điều chỉnh các quy tắc kiểm soát lưu lượng vào và ra của mạng.

Kỹ thuật Packet Traceback cho phép xác định vị trí của kẻ tấn công, ít nhất là trong subnet của họ Từ đó, chúng ta có thể phát triển khả năng Block Traceback, giúp ngăn chặn các cuộc tấn công hiệu quả hơn.

Bằng cách phân tích file log sau một cuộc tấn công, quản trị mạng có thể thu thập nhiều manh mối và chứng cứ quan trọng.

GIẢI PHÁP PHÒNG CHỐNG TẤN CÔNG DDOS TẠI CÔNG TY CỔ PHẦN VIỄN THÔNG ACT

Anti ddos volume based solution

Giải pháp Anti DDOS Volume Based giúp ngăn chặn các cuộc tấn công băng thông lớn, bảo vệ traffic uplink của khách hàng khỏi bị nghẽn, từ đó đảm bảo dịch vụ của họ không bị ảnh hưởng Điều này cũng góp phần bảo vệ mạng lưới, giảm thiểu nguy cơ mất dịch vụ diện rộng.

Các cuộc tấn công DDoS ngày nay ngày càng đa dạng về quy mô và mục đích, không chỉ nhằm phá hoại hệ thống vì lợi ích cá nhân mà còn bao gồm các cuộc tấn công có tổ chức với động cơ kinh tế và chính trị Sự đa dạng và phức tạp trong các kiểu tấn công cũng như quy mô của chúng đang gia tăng đáng kể.

Hacker có thể khai thác các lỗ hổng trên thiết bị đầu cuối thông qua nhiều phương thức tấn công, tạo ra các luồng tấn công lớn với băng thông từ vài Gbps đến hàng trăm Gbps.

- Các kiểu tấn công có thể là các kiểu tấn công UDP flood, ICMP flood,SYN Flood, DNS Amplification, NTP Amplificaion, SSDP…

- Các đợt tấn công có thể nhắm vào đối tượng là 1 khách hàng FTTH, một khách hàng Leaseline, một doanh nghiệp hoặc thậm chí có thể cả 1 nhà mạng…

Hệ thống Anti DDOS Volume Based cung cấp giải pháp toàn diện để bảo vệ người dùng và tổ chức khỏi các cuộc tấn công DDOS bằng cách chặn luồng traffic tấn công ngay tại mạng của nhà cung cấp dịch vụ Internet (ISP) Ưu điểm nổi bật của hệ thống này là khả năng ngăn chặn hiệu quả các cuộc tấn công, giúp duy trì sự ổn định và an toàn cho hệ thống mạng.

- Phát hiện và cảnh báo các cuộc tấn công DDOS băng thông lớn, cảnh báo đến người quản trị bằng SMS hoặc email

- Giảm thiểu các kiểu tấn công băng thông lớn như: UDP flood, ICMP flood,SYN Flood, DNS Amplification, NTP Amplificaion…

- Xử lý các cuộc tấn công băng thông lớn từ vài chục Gbps đến vài trăm Gbps, hoặc các luồng tấn công đến 10 triệu pps

- Phát hiện và cảnh báo tấn công làm nghẽn uplink theo từng interface, xử lý nghẽn link trực tiếp qua portal

- Dễ dàng vận hành và xử lý

- Dễ dàng triển khai và tương thích với nhiều hạ tầng mạng

CHƯƠNG 3: GIẢI PHÁP PHÒNG CHỐNG TẤN CÔNG DDOS TẠI CÔNG TY CỔ PHẦN VIỄN THÔNG ACT ĐỖ THÀNH ĐẠT D17CQVT01-N Trang 17

Hệ thống Anti DDOS Volume Based bao gồm 4 thành phần chính :

- Detection: Dùng để phát hiện cảnh báo IP bị tấn công DDOS

- Scrubber: Dùng để lọc các traffic tấn công, trả về traffic sạch

- Portal: Xem thông tin cảnh báo, trạng thái cuộc tấn công, ra lệnh cho hệ thống divertsion thay đổi định tuyến

- Divertsion: Là thành phần để lái traffic về hệ thống scrubber, dùng để thay đổi định tuyến, nhận lệnh từ portal

Hình 3 1 Mô hình hệ thống Anti ddos volume based solution

Yêu cầu phần cứng cho hệ thống máy chủ [4]:

Model Cấu hình tối thiểu Cấu hình khuyến nghị

128GB DDR, 3x 600G SAS 10K rpm HDD, Network card: 2 x Intel card SuportDPDK, 82599 or x710 Driver with 2port ethernet 10Gbps quang, 4 modulsingle mode 1310mm

128GB DDR, 4x 1.2TB SAS 10K rpm HDD Network card: 2 x Intel Suport DPDK,82599 or x710 Driver with 2 port ethernet10Gbps quang, 4 modul single mode

Bảng 3 1 Yêu cầu phần cứng cho hệ thống máy chủ

Phát hiện tấn công DDOS Volumed based:

- Phán hiện IP bị tấn công dựa trên việc profile traffic thực tế của khách hàng từ đó phát hiện khi có bất thường xảy ra

- Phát hiện IP bị tấn công dựa trên ngưỡng

- Các loại tấn công phát hiện được: Volumed based: UDP & ICMP Flood, SYN Flood, dựa trên Volume, không quan tâm đến giao thức

- Thời gian phát hiện tấn công dưới 2 phút

Xác định danh sách IP đáng tin cậy cho toàn bộ mạng và từng khách hàng là rất quan trọng Danh sách này bao gồm những IP mà khách hàng thường xuyên kết nối trong trạng thái bình thường, giúp nâng cao tính bảo mật và hiệu suất hệ thống.

- Đưa ra ACL (Access list) của IP bị tấn công

Ngăn chặn tấn công DDOS Volumed based:

Để xử lý triệt để luồng tấn công trực tiếp trên portal, cần thực hiện việc gửi lệnh xuống router RTBH nhằm ngăn chặn các cuộc tấn công Có thể áp dụng các tùy chọn như Route null để chặn toàn bộ lưu lượng, hoặc chỉ chặn lưu lượng trong nước, quốc tế, hoặc từ các nguồn cụ thể.

- Trường hợp 2: Lái luồng traffic tấn công DDOS qua hệ thống scrubber để lọc traffic tấn công, đảm bảo dịch vụ khách hàng: o Chặn invalid packet

CHƯƠNG 3: GIẢI PHÁP PHÒNG CHỐNG TẤN CÔNG DDOS TẠI CÔNG TY CỔ PHẦN VIỄN THÔNG ACT ĐỖ THÀNH ĐẠT D17CQVT01-N Trang 19 o Permit Good IP: cho phép các good IP được đi qua nhanh mà không phải xử lý thêm (ACL, bóp băng thông) … o Drop bad ACL: Chặn traffic tấn công dựa vào ACL từ Detection o Bóp băng thông theo IP dest: Bóp băng thông theo ngưỡng có sẵn o Bắt pcap gói tin trước và sau khi xử lý để theo dõi thêm o Xử lý tấn công lên đến vài chục Gbps

- Chặn nhanh các IP xấu (IP của CnC…): Gửi lệnh xuống Router RTBH Portal theo dõi, xử lý các cuộc tấn công

- Theo dõi các cuộc tấn công đang xảy ra, thông tin chi tiết cuộc tấn công (thông tin IP, thông tin băng thông, loại tấn công)

- Xử lý tấn công: Route IP bị tấn công vào null/Scrubber Thêm sửa xóa Access list của cuộc tấn công

Để đánh giá hiệu quả của việc phát hiện và ngăn chặn, hãy theo dõi sâu hơn bằng cách xem gói tin pcap chiều in/out nếu IP bị tấn công đi qua scrubber.

Phương án triển khai chống tấn công DDoS mạng IPBN

3.2.1 Remote-triggered black hole (RTBH)

Lỗ đen (black hole) là một địa chỉ IP không được sử dụng, được thiết lập trên các thiết bị định tuyến lớp biên để xử lý tấn công DDoS Khi xảy ra tấn công, thiết bị kích hoạt định tuyến sẽ tạo một đường dẫn đến IP bị tấn công hoặc dải IP tấn công, với next hop là black hole và chèn vào BGP Điều này giúp loại bỏ lưu lượng tấn công ngay tại biên, ngăn chặn nó chảy vào mạng nội bộ Mặc dù giải pháp này khắc phục tấn công DDoS một cách tức thì, nhưng nó cũng dẫn đến việc mất dịch vụ của IP bị black hole.

BGP Flowspec là một tính năng mới được hỗ trợ trên các thiết bị định tuyến đời mới của Cisco và Juniper, hoạt động tương tự như giải pháp RTBH Tuy nhiên, khác với RTBH, thiết bị kích hoạt định tuyến có khả năng cập nhật bản tin BGP xuống các thiết bị định tuyến lớp biên theo một chính sách cụ thể, giúp chặn lưu lượng tấn công chính xác đến dịch vụ và hình thức tấn công Giải pháp này có ưu điểm là bảo vệ mạng lưới và IP bị tấn công mà không làm mất dịch vụ Tuy nhiên, để áp dụng hiệu quả, cần xác định chính xác IP bị tấn công.

Hình 3 3 Sử dụng BGP flowspec để chặn lưu lượng tấn công DDoS

Hệ thống làm sạch được thiết kế dựa trên sự kết hợp giữa phần mềm và lớp mạng, cung cấp giải pháp chống tấn công DDoS theo hai lớp Lớp đầu tiên chặn lưu lượng độc hại ngay tại biên mà không ảnh hưởng đến lưu lượng an toàn Trong khi đó, lớp thứ hai sẽ chuyển hướng lưu lượng độc hại qua hệ thống lọc (scrubber) để làm sạch hiệu quả.

Hệ thống có thể xây dựng dựa trên 3 thành phần chính:

- Hệ thống phát hiện (detection): Sử dụng các công nghệ NetFlow, khai phá dữ liệu (data mining) để xác định các cuộc tấn công

- Scrubber: Sử dụng các công nghệ Kiểm tra sâu gói (DPI - Deep Packet Inspection) cho hệ thống lọc lưu lượng

- Chuyển hướng và ngăn chặn trên lớp mạng: Các thiết bị định tuyến sử dụng các công nghệ như RTBH, BGPflow spec

Hình 3 4 Mô hình Cleaning System chặn DDoS, kết hợp RTBH, BGP flowspec

The Remote Trigger Black Hole (RTBH) technique is employed to mitigate DDoS attacks by blocking traffic directed at specific IP addresses across all Provider Edge (PE) and Gateway (GW) layers within the network.

Remote Trigger Black Hole (RTBH) là phương án tác động tập trung lên một thiết bị router (RTBH router), cho phép dạy route qua BGP cho tất cả các thiết bị edge như PE và GW Khi một địa chỉ IP nội hoặc ngoại mạng bị tấn công, RTBH router sẽ dạy route đến địa chỉ IP bị tấn công này với một next-hop giả, giúp bảo vệ mạng khỏi các cuộc tấn công.

CHƯƠNG 3: GIẢI PHÁP PHÒNG CHỐNG TẤN CÔNG DDOS TẠI CÔNG TY CỔ PHẦN VIỄN THÔNG ACT ĐỖ THÀNH ĐẠT D17CQVT01-N Trang 22 cho các thiết bị PE, GW, đồng thời next-hop này được route static về Null0 trên PE, GW nên toàn bộ lưu lượng đến IP tấn công sẽ đi vào Null0

- Router RTBH được tích hợp với tool để tự động hóa automation ngăn chặn tấn công khi phát hiện nguồn tấn công

Utilizing Remote Triggered Black Hole (RTBH) in conjunction with Unicast Reverse Path Forwarding (URPF) in loose mode effectively mitigates DDoS attacks based on the source IP address at the gateway layer URPF verifies the validity of the next-hop to the packet's source; if deemed invalid, the packet is not forwarded to its destination This combination of URPF and RTBH allows for the targeted elimination of attacks originating from a specific source IP.

Thực hiện các giải pháp bảo mật và đảm bảo an toàn khi tác động lên thiết bị RTBH như sau:

- Quy hoạch IP Private làm IP quản trị

- Cấu hình phân quyền tác động trên TACCACS chỉ permit các lệnh cấu hình route static IP /32

- Cấu hình bảo mật, bảo vệ thiết bị bằng tập lệnh Cisco Device Hardening

Hình 3 5 Chống tấn công DDoS theo IP đích X

Hình 3 6 Chống tấn công DDoS theo IP nguồn Y

CHƯƠNG 4: THỰC HÀNH TRÊN HỆ THỐNG LAB GIẢ LẬP KỸ THUẬT TẤN CÔNG VÀ PHÒNG CHỐNG TẤN CÔNG DDOS ĐỖ THÀNH ĐẠT D17CQVT01-N Trang 25

THỰC HÀNH TRÊN HỆ THÔNG LAB GIẢ LẬP KỸ THUẬT TẤN CÔNG VÀ PHÒNG CHỐNG TẤN CÔNG DDOS

Sơ lược về thiết bị và mô phỏng

CentOS là hệ điều hành miễn phí, phát triển từ mã nguồn mở Linux, viết tắt của Community Enterprise Operating System Được thiết kế để cung cấp nền tảng máy chủ miễn phí cho doanh nghiệp, CentOS duy trì khả năng tương thích nhị phân với RHEL, đồng thời tạo ra môi trường lý tưởng cho lập trình viên.

- CentOS có rất nhiều tính năng hỗ trợ được phát triển và xây dựng từ chính cộng đồng đã tạo ra nó

- Do có tính tương đồng với RHEL nên CentOS là một môi trường rất tốt để lập trình

- CentOS có khả năng vận hành tốt, mượt mà trên các mainframe, đặc biệt là GUI, KDE, GNOME,…

CentOS cung cấp một môi trường tương tự như trên desktop, dễ sử dụng và tùy chỉnh Người dùng có thể dễ dàng nhận được sự hỗ trợ từ cộng đồng mạng và Red Hat.

- Môi trường mà CentOS tạo ra có tính ổn định cao nên rất được ưa chuộng bởi các doanh nghiệp

- CentOS được Red Hat cung cấp nhiều mã nguồn và trình quản lý gói RPM

- CentOS có nhiều cấp độ bảo mật khác nhau, vì vậy nó là sự lựa chọn an toàn nhất để bảo mật thông tin kinh doanh cho doanh nghiệp

Kali Linux là một bản phân phối Linux dựa trên Debian, được phát triển bởi công ty Offensive Security Ltd, chuyên về bảo mật thông tin và kiểm tra thâm nhập Đây là giải pháp lý tưởng cho những ai học tập và làm việc trong lĩnh vực bảo mật, nhờ vào việc cung cấp nhiều công cụ hữu ích cho các tác vụ liên quan đến bảo mật như chuẩn bị, phân loại và thu thập thông tin Kali Linux không chỉ giúp tiết kiệm thời gian mà còn hỗ trợ các nhiệm vụ bảo mật khác nhau như Penetration Testing, nghiên cứu bảo mật, điều tra máy tính và Reverse Engineering.

Kali Linux, được phát triển trên nền tảng hệ điều hành Debian, có khả năng tận dụng các repository của Debian, giúp người dùng dễ dàng cài đặt và cập nhật phần mềm một cách nhanh chóng và hiệu quả.

Kali Linux không ngừng nâng cao khả năng tương thích với nhiều loại thiết bị phần cứng như điện thoại, Raspberry Pi, laptop, máy chủ và cloud, giúp người dùng dễ dàng cài đặt trên bất kỳ thiết bị nào.

Kali Linux hỗ trợ mạnh mẽ cho mạng WiFi, giúp các chuyên gia bảo mật thực hiện các cuộc tấn công và kiểm tra khả năng bảo mật của mạng không dây.

Kali Linux đã được nâng cấp để hỗ trợ đa dạng các thiết bị không dây, giúp hệ điều hành này hoạt động hiệu quả trên nhiều loại phần cứng khác nhau Sự cải tiến này cũng đảm bảo tính tương thích với nhiều thiết bị không dây và USB, mang lại trải nghiệm người dùng tốt hơn.

Sơ đồ lab

- Máy tạo traffic tấn công ( attacker ) kali linux có địa chỉ IP 192.168.1.39

- Máy server centOS 7 có địa chỉ IP 192.168.1.182

Mục tiêu

Mô phỏng đươc một cuộc tấn công DDoS đơn giản

Phân tích và viết rule chống tấn công DDoS sử dụng module u32 của iptables.

Mô phỏng tấn công

Cuộc tấn công có đặc điểm:

- Kiểu tấn công: SYN Flood

- Source IP: giả mạo và Random

- Các gói tin SYN có mang theo Payloaf từ 4-22 bytes

- Tần số tấn công: hơn 1 triệu packet/s

Trên máy kali linux, mở terminal nhập lệnh su -m và nhập password để vào có quyền truy cập với đầy đủ quyền ưu tiên (root)

Hình 4 2 Truy cập root trên kali linux Để tấn công, nhập và chạy lệnh:

Hình 4 3 Tấn công SYN Flood

Kiểm tra traffic trên máy server bằng vnstat

Hình 4 4 Kiểm tra tần suất nhận traffic

Ta thấy tần suất nhận gói tin của máy server là 92.411 packet/s có nghĩa là gói tin tấn công đã thành công gửi đến mục tiêu.

Mô phỏng chống tấn công bằng iptables u32

Iptables là một tường lửa mạnh mẽ và miễn phí trên hệ điều hành Linux, bao gồm hai phần chính: Netfilter trong nhân Linux và Iptables bên ngoài Iptables đóng vai trò giao tiếp giữa người dùng và Netfilter, cho phép người dùng thiết lập các quy tắc để Netfilter xử lý Netfilter thực hiện việc lọc gói dữ liệu ở mức IP, hoạt động trực tiếp trong nhân, đảm bảo tốc độ hệ thống không bị ảnh hưởng.

Khi bị tấn công, server thường có dấu hiệu tải cao đột ngột, dẫn đến việc xử lý chậm chạp và khó khăn trong việc truy cập các dịch vụ.

Trên server dùng công cụ htop để theo dõi System Processes

Hình 4 5 Theo dõi tiến trình hệ thống trên htop

Khi mức sử dụng tài nguyên hệ thống như RAM và CPU đạt 100%, điều này cho thấy có dấu hiệu cạn kiệt tài nguyên Trong trường hợp này, trên máy chủ, cần kiểm tra các gói tin để xác định xem có dấu hiệu của cuộc tấn công DDoS theo phương thức SYN Flood hay không.

Code: # tcpdump -i eth0 -nnn -vvv -X -c 10 -P in port 80

Hình 4 6 Lệnh kiểm tra gói tin nhận được

Kết quả: Các gói tin nhận được có dấu hiệu của một cuộc tấn công SYN Floot

- Gói tin sử dụng giao thức TCP

- Gói tin có cờ SYN được bật

- Cấu trúc các gói tin gần như là giống nhau

Hình 4 7 Cấu trúc các gói tin

Khi biết đây là một cuộc tấn công SYN Floot ta bắt đầu phân tích và viết rule để chống tấn công

Bắt 1000 gói tin để phân tích source IP xem đây là kiểu tấn công SYN FLood bằng Botnet hay bằng tool Fake Random IP:

Code: # tcpdump -i eth0 -nnn -c 1000 -P in port 80 | awk '{print $3}' | cut -d"." - f-4 | sort | uniq -c | sort -rn | more

Hình 4.8 cho thấy lệnh bắt 1000 gói tin được gửi đến địa chỉ nguồn có prefix phân bố đều theo tuần Mỗi địa chỉ IP gửi gói tin đến server với tần số thấp, cho thấy đây là kiểu tấn công Random Source IP, với các gói tin xuất phát từ cùng một nguồn.

Hình 4 9 Địa chỉ IP của 1000 gói tin

Số lượng địa chỉ IP nguồn là vô hạn, và công cụ có khả năng tạo gói tin SYN với địa chỉ IP bất kỳ, vì vậy việc chặn IP không thể giải quyết triệt để vấn đề Khi tần suất từ mỗi IP thấp, việc áp dụng giới hạn tần suất (rate limiting) cũng không hiệu quả Do đó, để xử lý tình huống này, chúng ta sẽ viết quy tắc DROP nhằm loại bỏ các gói tin SYN có chứa Payload bất thường.

Để xác định xem gói tin có phải là TCP hay không, cần kiểm tra trường Protocol trong IP Header, cụ thể là byte thứ 9 Nếu giá trị của trường này bằng 6, gói tin đó là TCP.

Code: # iptables -I INPUT -m u32 u32 “6&0xFF=6” -j LOG log-prefix “ TCP ”

Hình 4 10 Kiểm tra giao thức TCP của gói tin

Để xác định xem gói tin có phải là gói SYN hay không, cần kiểm tra cờ SYN trong TCP; nếu cờ này có giá trị 0 thì không bật, còn nếu có giá trị 1 thì cờ SYN được bật.

Hình 4 11 Kiểm tra cờ SYN của gói tin

Để xác định xem gói tin có chứa Payload hay không, cần kiểm tra byte đầu tiên của phần Data để xem nó có giá trị hay không.

Hình 4 12 Kiểm tra Payload của gói tin

Sau khi phân tích các gói tin tấn công, chúng tôi nhận thấy chúng có những đặc điểm nổi bật như sử dụng giao thức TCP, cờ SYN được bật và chứa payload Để chống lại các cuộc tấn công DDoS, chúng tôi đã xây dựng quy tắc loại bỏ các gói tin có dấu hiệu bất thường với ba đặc điểm này bằng cách sử dụng module u32 của iptables.

Hình 4 13 Rule loại bỏ các gói tin bất thường

Các gói tin bất thường đã bị loại bỏ

Hình 4 14 Các gói tin bị loại bỏ

Kiểm tra lại bằng công cụ htop ta thấy tài nguyên hệ thống đã khôi phục, hoạt động bình thường trở lại

Hình 4 15 Kiểm tra tiến trình hệ thống khi đã loại bỏ các gói tin bất thường

KẾT LUẬN ĐỖ THÀNH ĐẠT D17CQVT01-N Trang 33

Sau 4 tuần thực tập, tôi đã nắm bắt được nhiều kiến thức về DDoS và nhận thấy những tác động nghiêm trọng của nó đối với hệ thống mạng và máy chủ dịch vụ.

Trong thời gian thực tập tại Công Ty Cổ Phần Viễn Thông ACT, nhờ sự hướng dẫn tận tình, em đã thực hiện thành công một cuộc tấn công DDoS đơn giản và tìm hiểu các biện pháp phòng chống tương ứng Qua đó, em đã hiểu rõ hơn về cơ chế hoạt động của DDoS.

Dựa trên những gì đã tìm hiểu, tôi nhận thấy rằng còn nhiều kiến thức cần phải học hỏi để hoàn thiện bản thân Tấn công DDoS ngày càng trở nên tinh vi và có mức độ phá hoại cao hơn, khiến cho việc phòng chống DDoS trở nên khó khăn hơn Do đó, chúng ta cần nỗ lực không ngừng trong việc nghiên cứu và tìm hiểu để phát triển các giải pháp hợp lý, nhằm giảm thiểu thiệt hại và nâng cao hiệu quả phòng chống DDoS cho hệ thống máy chủ trong tương lai.

THUẬT NGỮ VÀ CÁC TỪ VIẾT TẮT

DDoS Distributed Denial Of Service

DoS Denial of Service attack

ICMP Internet Control Message Protocol

CVE Common Vulnerabilities and Exposures

SNMP Simple Network Management Protocol

FTTH Fiber to the Home

RTBH Remote Triggered Black Hole

IPBN Indigenous Peoples Burning Network

URPF Unicast Reverse Path Forwarding

TACACS Terminal Access Controller Access Control System CentOS Community Enterprise Operating System

RHEL Red Hat Enterprise Linux

Tiêu đề	Tìm Hiểu Và Phân Tích Cơ Chế Chống DDoS Của Nhà Mạng ACT
Tác giả	Đỗ Thành Đạt
Người hướng dẫn	ThS. Lê Duy Khánh
Trường học	Học viện Công nghệ Bưu chính Viễn thông
Chuyên ngành	Kỹ thuật Điện tử truyền thông
Thể loại	báo cáo thực tập tốt nghiệp
Năm xuất bản	2021
Thành phố	TP. Hồ Chí Minh

Định dạng
Số trang	47
Dung lượng	3,53 MB