Tải bản đầy đủ

hệ thống an ninh mạng việt nam

Nghiên cứu và tt́m hiểu an ninh mạng

MỤC LỤC
LỜI CẢM ƠN........................................................................................................................i
MỤC LỤC.............................................................................................................................ii
DANH MỤC VIẾT TẮT.......................................................................................................v
DANH MỤC HH̀NH ẢNH.................................................................................................... vi
MỞ ĐẦU............................................................................................................................vii
CHƯƠNG 1: TỔNG QUAN VỀ AN NINH MẠNG...........................................................1
1.1. TỔNG QUAN THÔNG TIN BẢO MẬT....................................................................1
1.1.1. Sự kiện bảo mật của năm 2011..............................................................................1
1.1.1.1. VietNamNet bị tấn công DDoS lớn chưa từng có...........................................1
1.1.1.2. "Hacktivism" nổi dậy.......................................................................................1
1.1.1.3. Công ty cung cấp giải pháp bảo mật cho chính phủ Hoa Kỳ bị tấn công..2
1.1.2. Các cuộc tấn công DDoS nổi tiếng trong lịch sử..................................................2
1.2. KHÁI NIỆM HACKING.............................................................................................3
1.2.1. Khái niệm Hacker..................................................................................................3
1.2.2. Các loại Hacker..................................................................................................... 3
1.2.2.1. Black Hat..........................................................................................................3
1.2.2.2. White Hat......................................................................................................... 3
1.2.2.3. Gray Hat.......................................................................................................... 3

1.2.2.4. Suicide Hat.......................................................................................................4
1.3. CÁC GIAI ĐOẠN TẤN CÔNG................................................................................. 4
1.3.1. Thăm ḍ (Reconnaissace)........................................................................................4
1.3.2. Quét hệ thống (Scanning)......................................................................................4
1.3.3. Chiếm quyền điều khiển (Gainning access).......................................................... 4
1.3.4. Duy tŕ điều khiển hệ thống (Maitaining access)...................................................5
1.3.5. Xoá dấu vết (Clearning tracks)..............................................................................5
1.4. CÁC KIỂU TẤN CÔNG............................................................................................ 5
1.4.1. Operating System Attacks......................................................................................5
1.4.2. Application level Attacks.......................................................................................5
1.4.3. Shrink Wrap Code Attacks.....................................................................................5
1.4.4. Misconfiguration Attacks......................................................................................5

i


Nghiên cứu và tt́m hiểu an ninh mạng

CHƯƠNG 2: TỪ CHỐI DỊCH VỤ.......................................................................................7
2.1. KHÁI NIỆM DOS.......................................................................................................7
2.1.1. Tấn công từ chối dịch vụ........................................................................................7
2.1.2. Tấn công từ chối dịch vụ phân tán.........................................................................7
2.1.3. Dấu hiệu khi bị tấn công DoS...............................................................................7
2.1.4. Các mục đích của tấn công DoS............................................................................7
2.1.5. Tội phạm mạng......................................................................................................8
2.1.6. Sơ đồ tổ chức của tổ chức tội phạm mạng.............................................................8
2.1.7. Internet Chat Query................................................................................................8
2.1.8. Internet Relay Chat............................................................................................... 9
2.2. KỸ THUẬT TẤN CÔNG DOS...................................................................................9
2.2.1. Tấn công băng thông..............................................................................................9
2.2.2. Tấn công tràn ngập yêu cầu dịch vụ....................................................................10
2.2.3. Tấn công tràn ngập SYN......................................................................................10
2.2.4. Tấn công tràn ngập ICMP....................................................................................11
2.2.5. Tấn công điểm nối điểm......................................................................................12
2.2.6. Tấn công cố định DoS.........................................................................................12
2.2.7. Tấn công tràn ngập ở cấp độ dịch vụ...................................................................12
2.3. MẠNG BOTNET...................................................................................................... 12
2.3.1. Khái niệm botnet..................................................................................................12
2.3.2. Hoạt động.............................................................................................................13
2.3.3. Tổ chức................................................................................................................14


2.3.4. Xây dựng và khai thác.........................................................................................14
2.4. MỘT SỐ CÔNG CỤ TẤN CÔNG........................................................................... 15
2.4.1. LOIC....................................................................................................................15
2.4.2. DoSHTTP.............................................................................................................16
2.5. BIỆN PHÁP ĐỐI PHÓ.............................................................................................16
2.5.1. Kỹ thuật phát hiện............................................................................................... 16
2.5.1.1. Hoạt động định ht́nh.......................................................................................16
2.5.1.2. Phân tích wavelet...........................................................................................17
2.5.1.3. Phát hiện thay đổi điểm theo tŕnh tự..............................................................17
2.5.2. Biện pháp đối phó chiến lược DoS/ DdoS.......................................................... 17
SVTH: Lê Quang Hà

ii


Nghiên cứu và tt́m hiểu an ninh mạng

2.5.3. Biện pháp đối phó tấn công DoS/ DdoS...............................................................17
2.5.3.1. Bảo vệ thứ cấp victims...................................................................................17
2.5.3.2. Phát hiện và vô hiệu hóa handers................................................................... 18
2.5.3.3. Phát hiện tiềm năng tấn công.........................................................................18
2.5.3.4. Làm lệch hướng tấn công............................................................................... 18
2.5.3.5. Làm dịu cuộc tấn công....................................................................................18
2.5.3.6. Pháp lư........................................................................................................... 19
2.5.4. Kỹ thuật để pḥng thủ chống lại botnet.................................................................19
2.5.5. Biện pháp đối phó DoS/ DdoS.............................................................................20
2.5.6. Bảo vệ DoS/ DdoS...............................................................................................21
2.5.6.1. Mức độ ISP.....................................................................................................21
2.5.6.2. Hệ thống bảo vệ IntelliGuard.........................................................................21
2.6. CÔNG CỤ BẢO VỆ DOS/ DDOS............................................................................21
2.6.1.1. NetFlow Analyzer.......................................................................................... 21
2.6.1.2. Một số công cụ khác...................................................................................... 22
2.7. KIỂM TRA THÂM NHẬP DOS/ DDOS................................................................. 24
CHƯƠNG 3: MỘT SỐ VÍ DỤ ĐIỂN HH̀NH....................................................................... 26
3.1. Tấn công tràn ngập ICMP.......................................................................................... 26
3.2. Tấn công tràn ngập TCP, UDP, HTTP....................................................................... 26
3.3. Dùng Bonesi giả lập botnet........................................................................................27
TÀI LIỆU THAM KHẢO...................................................................................................30
NHẬN XÉT CỦA CÁN BỘ HƯỚNG DẪN......................................................................31

SVTH: Lê Quang Hà

iii


Nghiên cứu và tt́m hiểu an ninh mạng

DANH MỤC VIẾT TẮT
DoS

Denial of Service

SQL

Structured Query Language - ngôn ngữ truy vấn mang tính
cấu trúc

XSS

Cross-site scripting

HĐH

Hệ điều hành

DDoS

Distribute Denial of Service

ICQ

Internet Chat Query

IRC

Internet Relay Chat

ICMP

Internet control message protocol

PDoS

Permanent Denial of Service

LOIC

Low Orbit Ion Cannon

HTTP

Hyper Text Transfer Protocol

WMN

Wireless Mesh Network

CNTT

Công Nghệ Thông Tin

SVTH: Lê Quang Hà

iv


Nghiên cứu và tt́m hiểu an ninh mạng

DANH MỤC HH̀NH ẢNH
Ht́nh 1- 1 Các giai đoạn tấn công...........................................................................................4
Ht́nh 2- 1 Sơ đồ tổ chức tội phạm mạng................................................................................8
Ht́nh 2- 2 Tấn công tràn ngập SYN.....................................................................................11
Ht́nh 2- 3 Tấn công tràn ngập ICMP.................................................................................... 11
Ht́nh 2- 4 Hoạt động botnet..................................................................................................13
Ht́nh 2- 5 Cách thức một botnet được tạo và gửi spam........................................................14
Ht́nh 2- 6 Công cụ LOIC......................................................................................................15
Ht́nh 2- 7 Dùng LOIC tấn công DDoS................................................................................ 16
Ht́nh 2- 8 Công cụ DoSHTTP..............................................................................................16
Ht́nh 2- 9 Cấu ht́nh kích hoạt ngắt TCP trên phần mềm IOS Cisco...................................... 21
Ht́nh 2- 10 Công cụ NetFlow Analyzer................................................................................22
Ht́nh 2- 11 Công cụ D-Guard Anti-DDoS Firewall............................................................. 23
Ht́nh 2- 12 Công cụ FortGuard Firewall..............................................................................24
Ht́nh 3- 1 Ping of death.......................................................................................................26
Ht́nh 3- 2 Bắt wireshark khi bị tấn công tràn ngập ICMP.....................................................26
Ht́nh 3- 3 Tấn công bằng nhiểu kiểu với LOIC....................................................................27
Ht́nh 3- 4 Bắt gói tin trong khi tấn công dùng LOIC........................................................... 27
Ht́nh 3- 5 Giả lập botnet tấn công udp.................................................................................28
Ht́nh 3- 6 Gửi gói UDP tới Server từ nhiều địa chỉ khác nhau.............................................28
Ht́nh 3- 7 Kết nối SYN tới Server từ địa chỉ khác nhau.......................................................29
Ht́nh 3- 8 Giả lập botnet tấn công tcp vào site..................................................................... 29

SVTH: Lê Quang Hà

v


Nghiên cứu và tt́m hiểu an ninh mạng

MỞ ĐẦU
Bảo mật an ninh mạng hiện nay được đặt lên hàng đầu với bất kỳ công ty nào
có hệ thống mạng dù lớn hay nhỏ. Hiện nay, các hacker trong và ngoài nước luôn tt́m
cách tấn công và xâm nhập hệ thống để lấy các thông tin nội bộ. Những thông tin nhạy
cảm thường ảnh hưởng tới sống cc̣n của công ty. Chính vt́ vậy, các nhà quản trị mạng
luôn cố gắng bảo vệ hệ thống của ḿnh tốt nhất có thể và cố gắng hoàn thiện hệ thống
ḿnh để bớt lỗ hổng.
Tuy nhiên, một kiểu tấn công rất cổ điển là tấn công từ chối dịch vụ chưa bao
giờ mất đi tính nguy hiểm đối với hệ thống mạng. Hậu quả mà DoS gây ra không chỉ
tiêu tốn nhiều tiền bạc, và công sức mà cc̣n mất rất nhiều thời gian để khắc phục. DoS
và DDoS vẫn đang là vấn đề nan giải chưa có biện pháp nào chống được hoàn toàn
cuộc tấn công.
Với yêu cầu cấp thiết như vậy, em chọn đề tài “Nghiên cứu và tt́m hiểu an ninh
mạng” làm đồ án An Ninh Mạng. Mục đích đưa ra khi làm đề tài là hiểu được các kiểu tấn
công và cách pḥng chống DoS/ DDoS. Đồ án được viết dựa trên slide CEH v7 và được chia
làm 3 chương:
CHƯƠNG I: TỔNG QUAN AN NINH MẠNG
CHƯƠNG II: TẤN CÔNG TỪ CHỐI DỊCH VỤ
CHƯƠNG III: MỘT SỐ VÍ DỤ ĐIỂN HH̀NH

Sinh viên thực hiện:
Lê Quang Hà

SVTH: Lê Quang Hà

vi


Nghiên cứu và tt́m hiểu an ninh mạng

CHƯƠNG 1: TỔNG QUAN VỀ AN NINH MẠNG
1.1. TỔNG QUAN THÔNG TIN BẢO MẬT
1.1.1. Sự kiện bảo mật của năm 2011
1.1.1.1. VietNamNet bị tấn công DDoS lớn chưa từng có
Trong vài ngày qua, báo VietNamNet đă phải hứng chịu một cuộc tấn công từ chối
dịch vụ phân tán (DDoS) ở quy mô lớn chưa từng có tại Việt Nam, xuất phát từ một mạng
lưới khổng lồ gồm hàng chục ngàn máy tính bị nhiễm vi rút.
Bắt đầu từ cuối ngày

4/1/2011, lưu lượng truy cập vào trang chủ báo

VietNamNet tại địa chỉ http://vietnamnet.vn tăng nhanh một cách bất thường, lên tới hàng
trăm ngàn kết nối tại một thời điểm.
Với lượng độc giả truy cập hàng ngày, số lượng kết nối tại một thời điểm chỉ ở mức
dưới một trăm ngàn. Nên việc tại một thời điểm có tới hàng trăm ngàn kết nối liên tục (bao
gồm cả của các độc giả thông thường) tới máy chủ web đă khiến băng thông đường truyền
mạng bị quá tải. Do vậy, độc giả truy cập vào báo VietNamNet sẽ bị tắc nghẽn ngay từ đường
truyền và báo lỗi không tt́m thấy máy chủ, phải truy cập vài lần mới mở được trang web.
Trên thực tế, báo VietNamNet đă từng bị tấn công DDoS nhiều lần nhưng ở quy mô
vài chục ngàn kết nối tại một thời điểm nên băng thông hệ thống và công suất các máy chủ
vẫn có thể chịu đựng được. Trong cuộc tấn công DDoS đang diễn ra, kẻ thủ ác đă thể hiện
khả năng rất chuyên nghiệp khi huy động một mạng lưới botnet với lượng máy lên tới hàng
chục ngàn máy tính.
1.1.1.2. "Hacktivism" nổi dậy
Hacktivism là thuật ngữ diễn tả hành động tấn công, đột nhập vào một hệ thống
máy tính nhằm mục đích chính trị. Trên thế giới hiện nay, những nhóm hacker mang
"mác" hacktivism nổi tiếng có thể kể đến bao gồm Anonymous, LulzSec (đă gác kiếm),
hay TeaMp0isoN. Trong suốt năm 2011 qua, các nhóm hacktivism đă tiến hành nhiều
hoạt động khác nhau chống lại các cơ quan luật pháp, ngân hàng, chính phủ, các công
ty bảo mật và những nhà cung cấp phần mềm như tấn công lỗ thủng an ninh các hệ
thống của Tổ chức Liên hiệp quốc (UN), cơ quan tt́nh báo bảo mật Straffor, CIA…
Đáng lưu ư hơn nữa, trong số những sự việc này, như cuộc tấn công Straffor, đă
tiết lộ những lỗ hổng về mặt an ninh như việc lưu trữ các số thẻ tín dụng dưới ht́nh

SVTH: LÊ QUANG HÀ

1


Nghiên cứu và tt́m hiểu an ninh mạng

thức chưa được mă hóa, hay những mật khẩu vô cùng thiếu an toàn được các nhà quản lư sử
dụng.
1.1.1.3. Công ty cung cấp giải pháp bảo mật cho chính phủ Hoa Kỳ bị tấn công
Vào tháng 1-2011, những hacker thuộc Anonymous đă đột nhập máy chủ web
của HBGary Federal - hbgaryfederal.com - thông qua việc sử dụng những đoạn mă
SQL bất hợp pháp nhằm khai thác một lỗ hổng bảo mật tồn tại trong cơ sở dữ liệu của
một ứng dụng. Sau đó trích xuất mă MD5 cho các mật khẩu thuộc sở hữu
của giám đốc điều hành (CEO), Aaron Barr, và COO, Ted Vera. Cả hai đều dùng mật khẩu rất
đơn giản: 6 kí tự thường và 2 con số.
Những mật khẩu như thế này cho phép những kẻ tấn công tiếp cận vào những
tài liệu nghiên cứu của công ty và hàng chục ngàn email được lưu trữ trong Google
Apps. Như vậy, việc sử dụng những mật khẩu thiếu an toàn cho hệ thống phần mềm cũ
cộng với việc sử dụng điện toán đám mây đă gây ra cơn ác mộng đối với an ninh bảo
mật.
1.1.2. Các cuộc tấn công DDoS nổi tiếng trong lịch sử
- Năm 2000, một loạt website nổi tiếng như Yahoo, eBay, eTrade, Amazon và CNN
trở thành nạn nhân của DDoS.
- Tháng 2/2001, máy chủ của Cục tài chính Ireland bị một số sinh viên Đại học
Maynooth ở nước này tấn công DDoS.
- Ngày 15/8/2003, Microsoft chịu đợt tấn công DoS cực mạnh và làm gián đoạn
websites trong ṿng 2 giờ.
- Tháng 2/2007, hơn 10.000 máy chủ của game trực tuyến như Return to Castle
Wolfenstein, Halo, Counter-Strike …bị nhóm RUS tấn công với hệ thống điều khiển chủ yếu
đặt tại Nga, Uzbekistan và Belarus.
- Trong suốt các tuần đầu của cuộc chiến Nam Ossetia 2008, các trang web của chính
phủ Georgia luôn trong tt́nh trạng quá tải, gồm các trang web ngân hàng quốc gia và của tổng
thống Georgia Mikhail Saakashvili. Chính phủ Nga phủ nhận mọi sự cáo buộc cho rằng họ
đứng đằng sau vụ tấn công.
- Ngày 25/6/2009 khi Michael Jackson qua đời, lượng truy cập tt́m kiếm các từ khóa có
liên quan đến ca sĩ này quá lớn khiến Google News lầm tưởng đây là một cuộc tấn công tự
động.

SVTH: LÊ QUANG HÀ

2


Nghiên cứu và tt́m hiểu an ninh mạng

- Tháng 8/2009, các vụ DDoS nhắm tới một loạt trang mạng xă hội đt́nh đám như
Facebook, Twitter, LiveJournal và một số website của Google được thực hiện chỉ để "khóa
miệng" một blogger có tên Cyxymu ở Georgia
- Ngày 28/11/2010, WikiLeaks bị tê liệt vt́ DDoS ngay khi họ chuẩn bị tung ra những
tài liệu mật của chính phủ Mỹ.
- Ngày 7/12/2010, nhóm hacker có tên Anonymous đánh sập website Visa.com sau khi
tổ chức những cuộc tấn công tương tự vào Mastercard và PayPal để trả đũa cho việc chủ
WikiLeaks bị tạm giam ở Anh.
- Ngày 3/3/2011, dịch vụ blog nổi tiếng thế giới WordPress bị tấn công.
- Ngày 4/3/2011, 40 trang web của các cơ quan chính phủ Hàn Quốc bị tê liệt vt́
DDoS.
1.2. KHÁI NIỆM HACKING
1.2.1. Khái niệm Hacker
 Giỏi về lập tŕnh và có kĩ năng trong hệ thống mạng.
 Nên làm quen dần với việc nghiên cứu các lổ hỏng, các lỗi bảo mật. 
Thành thạo,có hiểu biết về kĩ thuật xâm nhập.
 Tự đặt cho ḿnh một nguyên tắc, phải thật nghiêm khắc.
1.2.2. Các loại Hacker
1.2.2.1. Black Hat
Loại hacker này thường là một cá nhân có kiến thức, kĩ năng uyên thâm về máy
tính, luôn có ư nghĩ đen tối, sắp xếp và lên kế hoạch tấn công bất cứ thứ ǵ tùy mục đích.
Black Hat cũng có thể là một cracker.
1.2.2.2. White Hat
Trắng ở đây có nghĩa là luôn làm việc trong sáng, minh bạch để chống lại cái ác,
cái đen tối. Những người này cũng phải có kiến thức, kĩ năng uyên thâm như Black
Hat, nhưng họ không dùng kiến thức đó để thực hiện những ư đồ đen tối là tấn công,
xâm nhập… mà họ là những người đi tt́m ra lỗ hổng và vá lỗ hổng đó lại và họ luôn
đặt pḥng thủ lên hạng đầu. Có thể coi những người này như những người phân tích
bảo mật.
1.2.2.3. Gray Hat
Những người này có thể thực hiện ư đồ đen tối hôm nay nhưng ngày mai lại giúp
pḥng thủ, bảo mật.

SVTH: LÊ QUANG HÀ

3


Nghiên cứu và tt́m hiểu an ninh mạng

1.2.2.4. Suicide Hat
Đây có thể coi như là loại hacker cảm tử vậy, có nghĩa là làm việc mà không sợ ǵ, dù có
bị giam 30 năm nhưng vẫn không lo lắng sợ ǵ.
1.3. CÁC GIAI ĐOẠN TẤN CÔNG

Ht́nh 1-1 Các giai đoạn tấn công
1.3.1. Thăm ḍ (Reconnaissace)
Thăm ḍ mục tiêu là một trong những bước qua trọng để biết những thông tin trên hệ
thống mục tiêu. Hacker sử dụng kỹ thuật này để khám phá hệ thống mục tiêu đang chạy trên
hệ điều hành nào, có bao nhiêu dịch vụ đang chạy trên các dịch vụ đó, cổng dịch vụ nào đang
đóng và cổng nào đang mở, gồm hai loại:
 Passive: Thu thập các thông tin chung như vị trí địa lư, điện thoại, email
của các cá nhân, người điều hành trong tổ chức.
 Active: Thu thập các thông tin về địa chỉ IP, domain, DNS… của hệ
thống
1.3.2. Quét hệ thống (Scanning)
Quét thăm ḍ hệ thống là phương pháp quan trọng mà Attacker thường dùng để tt́m hiểu
hệ thống và thu thập các thông tin như địa chỉ IP cụ thể, hệ điều hành hay các kiến trúc hệ
thống mạng. Một vài phương pháp quét thông dụng như: quét cổng, quét mạng và quét các
điểm yếu trên hệ thống.
1.3.3. Chiếm quyền điều khiển (Gainning access)
Đến đây hacker đă bắt đầu dần dần xâm nhập được hệ thống và tấn công nó ,đă truy
cập được nó bằng các lệnh khai thác. Các lệnh khai thác luôn ở bất cứ không gian nào, từ mạng
LAN cho tới INTERNET và đă lan rộng ra mạng không dây.
Hacker có thể chiếm quyền điều khiển tại:
 Mức hệ điều hành/ mức ứng dụng.

SVTH: LÊ QUANG HÀ

4


Nghiên cứu và tt́m hiểu an ninh mạng

 Mức mạng.
 Từ chối dịch vụ.
1.3.4. Duy tŕ điều khiển hệ thống (Maitaining access)
Đến đây hacker bắt đầu phá hỏng làm hại, hoặc có thể cài trojan, rootkit,
backdoor để lấy thông tin thêm. Thường được thấy sử dụng để đánh cắp tài khoản tín dụng,
ngân hàng...
1.3.5. Xoá dấu vết (Clearning tracks)
Được đề cập đến hoạt động được thực hiện bằng cách hacker cố tt́nh che dấu hành
động xâm nhập của ḿnh. Hacker phải tt́m cách xóa đi dấu vết mỗi khi đột nhập bằng các
phương thức như Steganography, tunneling, and altering log file.
1.4. CÁC KIỂU TẤN CÔNG
1.4.1. Operating System Attacks
Tấn công vào hệ điều hành, hệ thống. Thường tht́ việc mặc định cài đặt một hệ
thống có một số lượng lớn các dịch vụ cùng chạy và các cổng kết nối. Điều này sẽ làm
kẻ tấn công có nhiều cơ hội tấn công hơn. Tt́m ra các bản vá lỗi dường như khó khăn
trong một hệ thống mạng phức tạp như ngày nay. Hacker luôn tt́m kiếm các hệ điều
hành, nghiên cứu các lệnh khai thác lổ hỏng để truy cập, xâm nhập hệ thống.
1.4.2. Application level Attacks
Tấn công dựa trên những phần mềm ứng dụng. Những kiểu tấn công như: tấn công
tràn bộ đệm, tấn công XSS, DoS, tấn công SQL injection,…
1.4.3. Shrink Wrap Code Attacks
Khi cài đặt một HĐH nào đó tht́ có một số lượng cực lớn các tập tin làm việc và sẽ hoàn
chỉnh một HĐH, khi đó việc quản trị HĐH đó là việc đơn giản. Nhưng vấn đề ở đây là bạn
không điều khiển hay tùy biến, chỉnh sửa tập lệnh này. Các tập tin độc này sẽ đè lên các tập
tin mặc định.
1.4.4. Misconfiguration Attacks
Tấn công dựa vào các lỗi cấu ht́nh hệ thống
 Do hệ thống cấu ht́nh không chính xác ít được bảo mật.
 Hệ thống phức tạp nên admin không có đủ hết kỹ năng để fix hết lỗi.
 Đa số admin chọn cấu ht́nh default để dễ làm điều này dễ dẫn đến việc
hacker khai thác.

SVTH: LÊ QUANG HÀ

5


Nghiên cứu và tt́m hiểu an ninh mạng

Do đó phải config hệ thống chính xác, bỏ những dịch vụ và các phần mềm không
cần thiết

SVTH: LÊ QUANG HÀ

6


Nghiên cứu và tt́m hiểu an ninh mạng

CHƯƠNG 2: TỪ CHỐI DỊCH VỤ
2.1. KHÁI NIỆM DOS
2.1.1. Tấn công từ chối dịch vụ
Tấn công từ chối dịch vụ là kiểu tấn công vào máy tính hoặc một mạng để ngăn chặn sự
truy cập hợp pháp.
Trên kiểu tấn công DoS, attackers làm tràn ngập hệ thống của victim với luồng yêu cầu
dịch vụ không hợp pháp làm quá tải nguồn (Server), ngăn chặn server thực hiện nhiệm vụ
hợp lệ.
2.1.2. Tấn công từ chối dịch vụ phân tán
Tấn công từ chối dịch vụ phân tán hay DDoS bao gồm các thỏa hiệp của hệ thống
để tấn công mục tiêu duy nhất, là nguyên nhân người sử dụng bị từ chối dịch vụ của hệ thống.
Để khởi động một cuộc tấn công DDoS, một kẻ tấn công sử dụng botnet và tấn công
một hệ thống duy nhất.
2.1.3. Dấu hiệu khi bị tấn công DoS
 Thông thường tht́ hiệu suất mạng sẽ rất chậm. 
Không thể sử dụng website.
 Không truy cập được bất kỳ website nào. 
Tăng lượng thư rác nhanh chóng.
2.1.4. Các mục đích của tấn công DoS
- Cố gắng chiếm băng thông mạng và làm hệ thống mạng bị ngập (flood), khi đó hệ
thống mạng sẽ không có khả năng đáp ứng những dịch vụ khác cho người dùng bt́nh thường.
- Cố gắng làm ngắt kết nối giữa hai máy, và ngăn chặn quá tŕnh truy cập vào dịch vụ.
- Cố gắng ngăn chặn những người dùng cụ thể vào một dịch vụ nào đó.
- Cố gắng ngăn chặn các dịch vụ không cho người khác có khả năng truy cập
vào.
- Khi tấn công DoS xảy ra người dùng có cảm giác khi truy cập vào dịch vụ đó
như bị:
+ Tắt mạng .
SVTH: LÊ QUANG HÀ

7


Nghiên cứu và tt́m hiểu an ninh mạng

+ Tổ chức không hoạt động.
+ Tài chính bị mất.
2.1.5. Tội phạm mạng
Tội phạm mạng ngày càng được liên kết với các tập đoàn tội phạm có tổ chức để tận
dụng lợi thế của các kỹ thuật tinh vi của họ. Những nhóm có tổ chức tội phạm mạng làm
việc trên hệ thống thiết lập thứ bậc với một mô ht́nh chia sẻ doanh thu, giống như một tập
đoàn lớn cung cấp các dịch vụ phạm tội .
Nhóm tổ chức tạo ra và thuê botnet để cung cấp các dịch vụ khác nhau, từ việc viết
phần mềm độc hại, tấn công các tài khoản ngân hàng, để tạo ra tấn công DoS lớn đối với bất
kỳ mục tiêu với một mức giá.
Theo Verizon 2010 dữ liệu báo cáo điều tra vi phạm, phần lớn các vi phạm đă điều
khiển bởi các nhóm có tổ chức và hầu như tất cả các dữ liệu bị đánh cắp (70%) là công việc của
bọn tội phạm tổ chức bên ngoài.
Sự tham gia ngày càng tăng của tổ chức tội phạm chiến tranh mạng với động cơ chính
trị (hacktivism) là một vấn đề quan tâm cho các cơ quan an ninh quốc gia.
2.1.6. Sơ đồ tổ chức của tổ chức tội phạm mạng

Ht́nh 2- 1 Sơ đồ tổ chức tội phạm mạng
2.1.7. Internet Chat Query
ICQ là chat client được dùng để chat với mọi người
SVTH: LÊ QUANG HÀ

8


Nghiên cứu và tt́m hiểu an ninh mạng

Hoạt động:
 Nó gán một số định danh phổ cập xác định người dùng duy nhất giữa
những người sử dụng ICQ.
 Khi một người sử dụng ICQ kết nối với Internet, ICQ khởi động và cố
gắng để kết nối với máy chủ Mirabilis (Mirabilis là công ty phát triển
ICQ), là nơi cơ sở dữ liệu chứa thông tin của tất cả người dùng ICQ.
 Tại máy chủ Mirabilis, ICQ tt́m kiếm yêu cầu số UIN bên trong cơ sở dữ
liệu của nó (một loại điện thoại của thư mục), và cập nhật thông tin.
 Bây giờ người dùng có thể liên hệ với người bạn của ḿnh bởi vt́ ICQ
biết địa chỉ IP.
2.1.8. Internet Relay Chat
IRC là hệ thống để tṛ chuyện bao gồm thiết lập nguyên tắc, quy ước và phần mềm
client/server. Nó cho phép chuyển hướng kết nối máy tính tới máy tính với mục đích dễ dàng
chia sẽ giữa clients.
Một vài website (như là Talk City) hoặc mạng IRC (như là Undernet) cung cấp
server và hỗ trợ người sử dụng tải IRC clients tới PC của họ. Sau khi người sử dụng tải
ứng dụng client, họ bắt đầu chat nhóm (gọi là kênh) hoặc gia nhập một nhóm có trước.
Kênh IRC đang được ưu chuộng là #hottub và #riskybus. Giao thức IRC dùng giao
thức điều khiển truyền vận (có thể dùng IRC qua telnet client), thông thường dùng port
6667.
2.2. KỸ THUẬT TẤN CÔNG DOS
2.2.1. Tấn công băng thông
Tấn công băng thông nhằm làm tràn ngập mạng mục tiêu với những traffic không
cần thiết, với mục địch làm giảm tối thiểu khả năng của các traffic hợp lệ đến được hệ thống
cung cấp dịch vụ của mục tiêu.
Có hai loại BandWith Depletion Attack:
+ Flood attack: Điều khiển các Agent gởi một lượng lớn traffic đến hệ thống dịch vụ
của mục tiêu, làm dịch vụ này bị hết khả năng về băng thông.
+ Amplification attack: Điều khiển các agent hay client tự gửi message đến một
địa chỉ IP broadcast, làm cho tất cả các máy trong subnet này gửi message đến hệ thống
dịch vụ của mục tiêu. Phương pháp này làm gia tăng traffic không cần thiết, làm suy giảm băng
thông của mục tiêu.

SVTH: LÊ QUANG HÀ

9


Nghiên cứu và tt́m hiểu an ninh mạng

2.2.2. Tấn công tràn ngập yêu cầu dịch vụ
Một kẻ tấn công hoặc nhóm zombie cố gắng làm cạn kiệt tài nguyên máy chủ bằng
cách thiết lập và phá hủy các kết nối TCP. Nó bắt đầu gửi yêu cầu trên tất cả kết nối và nguồn
gốc từ server kết nối tốc độ cao.
2.2.3. Tấn công tràn ngập SYN
Transfer Control Protocol hỗ trợ truyền nhận với độ tin cậy cao nên sử dụng phương
thức bắt tay giữa bên gởi và bên nhận trước khi truyền dữ liệu. Bước đầu tiên, bên gửi gởi một
SYN REQUEST packet (Synchronize). Bên nhận nếu nhận được SYN REQUEST sẽ trả lời
bằng SYN/ACK REPLY packet. Bước cuối cùng, bên gửi sẽ truyền packet cuối cùng ACK
và bắt đầu truyền dữ liệu.
Nếu bên server đă trả lời một yêu cầu SYN bằng một SYN/ACK REPLY nhưng không
nhận được ACK packet cuối cùng sau một khoảng thời gian quy định tht́ nó sẽ resend lại
SYN/ACK REPLY cho đến hết thời gian timeout. Toàn bộ tài nguyên hệ thống “dự trữ” để
xử lư phiên giao tiếp nếu nhận được ACK packet cuối cùng sẽ bị “phong tỏa” cho đến hết
thời gian timeout.
Nắm được điểm yếu này, attacker gởi một SYN packet đến nạn nhân với địa chỉ bên gửi
là giả mạo, kết quả là nạn nhân gửi SYN/ACK REPLY đến một địa chỉ khác và sẽ không bao
giờ nhận được ACK packet cuối cùng, cho đến hết thời gian timeout nạn nhân mới nhận ra
được điều này và giải phóng các tài nguyên hệ thống. Tuy nhiên, nếu lượng SYN packet giả
mạo đến với số lượng nhiều và dồn dập, hệ thống của nạn nhân có thể bị hết tài nguyên.

SVTH: LÊ QUANG HÀ

10


Nghiên cứu và tt́m hiểu an ninh mạng

Ht́nh 2-2 Tấn công tràn ngập SYN
2.2.4. Tấn công tràn ngập ICMP
Kiểu tấn công ICMP là thủ phạm gửi số lượng lớn của gói tin giả mạo địa chỉ nguồn
tới server đích để phá hủy nó và gây ra ngừng đáp ứng yêu cầu TCP/IP.
Sau khi đến ngưỡng ICMP đạt đến, các router từ chối yêu cầu phản hồi ICMP
từ tất cả địa chỉ trên cùng vùng an toàn cho phần cc̣n lại.

Ht́nh 2- 3 Tấn công tràn ngập ICMP

SVTH: LÊ QUANG HÀ

11


Nghiên cứu và tt́m hiểu an ninh mạng

2.2.5. Tấn công điểm nối điểm
Dùng điểm nối điểm để tấn công, kẻ tấn công chỉ đạo clients của mô ht́nh điểm nối
điểm chia sẽ file trung tâm gây ngắt kết nối từ mạng của họ và kết nối tới website giả mạo
của victim.
Kẻ tấn công khai thác lỗ hổng tt́m thấy trên mạng dùng giao thức DC++(kết
nối trực tiếp), cho phép hoán đổi file giữa các tin nhắn clients ngay lập tức.
Dùng phương pháp này, kẻ tấn công chạy tấn công DoS rất lớn và làm hại
website.
2.2.6. Tấn công cố định DoS
Tấn công cố định DoS hay PDoS cc̣n được gọi như phlashing, là một cuộc tấn công
gây tổn thương một hệ thống nhiều đến nỗi nó đc̣i hỏi phải thay thế hoặc cài đặt lại phần cứng,
Không giống như các cuộc tấn công DDoS, PDoS một cuộc tấn công khai thác lỗ hổng bảo
mật cho phép quản trị từ xa trên các giao diện quản lư phần cứng của nạn nhân, chẳng hạn như
router, máy in, hoặc phần cứng mạng khác.
Tấn công thực hiện dùng phương pháp như "xây dựng hệ thống”. Dùng phương
pháp này, kẻ tấn công gửi cập nhật phần cứng lừa đảo tới victim.
2.2.7. Tấn công tràn ngập ở cấp độ dịch vụ
Tấn công làm tràn ở cấp độ ứng dụng là kết quả mất dịch vụ của mạng đặc biệt như là:
email, tài nguyên mạng, tạm thời ngừng ứng dụng và dịch vụ,... Dùng kiểu tấn công này, kẻ
tấn công phá hủy mă nguồn chương tŕnh và file làm ảnh hưởng tới hệ thống máy tính.
Tấn công làm tràn ngập ở cấp độ ứng dụng, kẻ tấn công cố gắng:
 Tràn ngập ứng dụng web tới lưu lượng người sử dụng hợp lệ. 
Ngắt dịch vụ cụ thể của hệ thống hoặc con người.
 Làm tắt nghẽn cơ sở dữ liệu của ứng dụng kết nối bằng truy vấn thủ
công nguy hiểm SQL.
2.3. MẠNG BOTNET
2.3.1. Khái niệm botnet
Botnet là từ chỉ một tập hợp các rô bôt phần mềm hoặc các con bot hoạt động một
cách tự chủ. Từ này cc̣n được dùng để chỉ một mạng các máy tính sử dụng phần mềm tính
toán phân tán.

SVTH: LÊ QUANG HÀ

12


Nghiên cứu và tt́m hiểu an ninh mạng

2.3.2. Hoạt động
Tuy từ "botnet" có thể dùng để chỉ một nhóm bot bất kỳ, chẳng hạn IRC bot, từ
này thường được dùng để chỉ một tập hợp các máy tính đă bị tấn công và thỏa hiệp và
đang chạy các chương tŕnh độc hại, thường là sâu máy tính, trojan horse hay backdoor,
dưới cùng một hạ tầng cơ sở lệnh và điều khiển. Một chương tŕnh chỉ huy botnet có
thể điều khiển cả nhóm bot từ xa, thường là qua một phương tiện chẳng hạn như IRC,
và thường là nhằm các mục đích bất chính. Mỗi con bot thường chạy ẩn và tuân theo
chuẩn RFC 1459 (IRC). Thông thường, kẻ tạo botnet trước đó đă thỏa hiệp một loạt hệ
thống bằng nhiều công cụ đa dạng (tràn bộ nhớ đệm, ...). Các bot mới hơn có thể tự
động quét môi trường của chúng và tự lan truyền bản thân bằng cách sử dụng các lỗ
hổng an ninh và mật khẩu yếu. Nếu một con bot có thể quét và tự lan truyền qua càng
nhiều lỗ hổng an ninh, tht́ nó càng trở nên giá trị đối với một cộng đồng điều khiển
botnet.

Ht́nh 2-4 Hoạt động botnet
Các botnet đă trở nên một phần quan trọng của Internet, tuy chúng ngày càng
ẩn kĩ. Do đa số các mạng IRC truyền thống thực hiện các biện pháp cấm truy nhập đối
với các botnet đă từng ngụ tại đó, những người điều khiển botnet phải tự tt́m các server
cho ḿnh. Một botnet thường bao gồm nhiều kết nối, chẳng hạn quay số, ADSL và cáp,
và nhiều loại mạng máy tính, chẳng hạn mạng giáo dục, công ty, chính phủ và thậm
chí quân sự. Đôi khi, một người điều khiển giấu một cài đặt IRC server trên một site
công ty hoặc giáo dục, nơi các đường kết nối tốc độ cao có thể hỗ trợ một số lớn các
bot khác. Chỉ đến gần đây, phương pháp sử dụng bot để chỉ huy các bot khác mới phát

SVTH: LÊ QUANG HÀ

13


Nghiên cứu và tt́m hiểu an ninh mạng

triển mạnh, do đa số hacker không chuyên không đủ kiến thức để sử dụng phương pháp
này.
2.3.3. Tổ chức
Các server botnet thường liên kết với nhau, sao cho một nhóm có thể chứa từ 20
máy riêng biệt tốc độ cao đă bị phá hoại, các máy này nối với nhau với vai tṛ các
server nhằm mục tiêu tạo môi trường dư thừa lớn hơn. Các cộng đồng botnet thực tế
thường bao gồm một hoặc nhiều người điều khiển - những người tự coi là có quyền
truy nhập hợp lệ tới một nhóm bot. Những điều khiển viên này hiếm khi có các hệ
thống chỉ huy phân cấp phức tạp trong họ; họ dựa vào các quan hệ thân hữu cá nhân.
Mâu thuẫn thường xảy ra giữa những điều khiển viên về chuyện ai có quyền đối với
máy nào và những loại hành động nào là được phép hay không được phép làm.
2.3.4. Xây dựng và khai thác
Ví dụ này minh họa cách thức một botnet được tạo và dùng để gửi thư rác
(spam).
1. Một điều phối viên botnet phát tán virus hoặc sâu máy tính, làm nhiễm
các máy tính cá nhân chạy Windows của những người dùng bt́nh thường,
dữ liệu của virus hay sâu đó là một ứng dụng trojan -- con bot.
2. Tại máy tính bị nhiễm, con bot đăng nhập vào một server IRC nào đó
(hay là một web server). Server đó được coi là command-and-control
server (C&C).
3. Một người phát tán spam mua quyền truy nhập botnet từ điều phối viên.
4. Người phát tán spam gửi các lệnh qua IRC server tới các máy tính bị
nhiễm, làm cho các máy tính này gửi các thông điệp rác tới các máy chủ
thư điện tử.

Ht́nh 2-5 Cách thức một botnet được tạo và gửi spam
SVTH: LÊ QUANG HÀ

14


Nghiên cứu và tt́m hiểu an ninh mạng

Các botnet được khai thác với nhiều mục đích khác nhau, trong đó có các tấn công từ
chối dịch vụ, tạo và lạm dụng việc gửi thư điện tử để phát tán thư rác (xem Spambot), click
fraud, và ăn trộm các số serial của ứng dụng, tên đăng nhập, và các thông tin tài chính quan
trọng chẳng hạn như số thẻ tín dụng.
Cộng đồng điều khiển botnet luôn có một cuộc đấu tranh liên tục về việc ai có được
nhiều bot nhất, nhiều băng thông nhất, và số lượng lớn nhất các máy tính "chất lượng cao"
bị nhiễm, chẳng hạn như máy tính tại trường đại học, các công ty, hay thậm chí cả trong các
cơ quan chính phủ.
2.4. MỘT SỐ CÔNG CỤ TẤN CÔNG
2.4.1. LOIC
LOIC là ứng dụng tấn công từ chối dịch vụ, được viết bằng C#. Loic thực hiện tấn
công từ chối dịch vụ tấn công (hoặc khi được sử dụng bởi nhiều cá nhân, một cuộc tấn công
DDoS) trên một trang web mục tiêu làm lũ lụt các máy chủ với các gói tin TCP hoặc UDP
với ư định làm gián đoạn dịch vụ của một máy chủ cụ thể. Công cụ LOIC là một botnet tt́nh
nguyện kết nối đến một máy chủ từ xa mà chỉ đạo các cuộc tấn công. Hiện nay, có 40.000
người kết nối với botnet.

Ht́nh 2-6 Công cụ LOIC

SVTH: LÊ QUANG HÀ

15


Nghiên cứu và tt́m hiểu an ninh mạng

Ht́nh 2-7 Dùng LOIC tấn công DDoS
2.4.2. DoSHTTP
DoSHTTP là một phần mềm sử dụng dễ dàng, mạnh mẽ để tấn công tràn ngập
HTTP nhằm mục đích kiểm thử trên Windows. DoSHTTP bao gồm xác nhận URL,
chuyển hướng HTTP và giám sát hiệu suất. Công cụ DoSHTTP có thể giúp các
chuyên gia CNTT thử nghiệm hiệu năng máy chủ web và đánh giá độ bảo mật.

Ht́nh 2-8 Công cụ DoSHTTP
2.5. BIỆN PHÁP ĐỐI PHÓ
2.5.1. Kỹ thuật phát hiện
Kỹ thuật phát hiện dựa trên nhận biết, phân biệt nhờ tăng lên ḍng dữ liệu không
hợp lệ và trường hợp flask từ lưu lượng gói tin hợp lệ. Tất cả kỹ thuật phát hiện định nghĩa tấn
công không bt́nh thường và đáng chú ư độ lệch từ khoảng thời gian lưu lượng mạng trạng thái
thống kê bt́nh thường
2.5.1.1. Hoạt động định ht́nh
Một tấn công được nhận biết bằng:
SVTH: LÊ QUANG HÀ

16


Nghiên cứu và tt́m hiểu an ninh mạng

 Tăng hoạt động giữa các clusters.
 Tăng toàn bộ số lượng rơ ràng clusters (tấn công DDoS).
Hoạt động định ht́nh thu được bằng cách giám sát thông tin header của gói tin trong
mạng. Nó là tốc độ trung bt́nh lưu lượng mạng bao gồm gói tin liên tiếp với trường gói tin
giống nhau.
2.5.1.2. Phân tích wavelet
Phân tích wavelet được mô tả là tín hiệu vào đầu cuối bao gồm quang phổ. Phân
tích mỗi quang phổ năng lượng xác định hiện tượng bất thường.
Wavelets cung cấp đồng bộ thời gian và mô tả tần số. Họ xác định thời gian
chính xác gồm các tần số hiện diện.
2.5.1.3. Phát hiện thay đổi điểm theo tŕnh tự
Thuật toán phát hiện thay đổi điểm mô tả lưu lượng thống kê nguyên nhân thay đổi bởi
cuộc tấn công. Họ bắt đầu lọc lưu lượng dữ liệu tới đích bằng địa chỉ, cổng hoặc giao thức
và lưu trữ kết quả thành chuỗi thời gian. Để nhận diện và định vị cuộc tấn công DoS các thuật
toán cusum xác định độ lệch trong mức trung bt́nh thực tế cục bộ so với dự kiến trong chuỗi
thời gian giao thông. Bạn cũng có thể dùng nhận biết worm thông thường bằng hoạt động
scanning.
2.5.2. Biện pháp đối phó chiến lược DoS/ DdoS
 Hấp thụ cuộc tấn công: Dùng khả năng phụ để hấp thụ tấn công, yêu
cầu kế hoạch trước.
 Làm giảm dịch vụ: Nhận biết dịch vụ nguy hiểm và dừng dịch vụ
không nguy hiểm.
 Tắt dịch vụ: Tắt tất cả dịch vụ cho tới khi cuộc tấn công giảm bớt.
2.5.3. Biện pháp đối phó tấn công DoS/ DdoS
2.5.3.1. Bảo vệ thứ cấp victims
 Cài đặt phần mềm anti-virus, anti-Trojan và cập nhập bản mới.
 Tăng nhận thức về vấn đề bảo mật và kỹ thuật ngăn chặn người sử dụng
từ tất cả nguồn trên internet.
 Tắt dịch vụ không cần thiết, gỡ bỏ ứng dụng không sử dụng, và quét tất
cả files nhận từ nguồn bên ngoài.
 Cấu ht́nh và thường xuyên cập nhập xây dựng cơ cấu pḥng thủ trên lơi
phần cứng và phần mềm hệ thống.
SVTH: LÊ QUANG HÀ

17


Nghiên cứu và tt́m hiểu an ninh mạng

2.5.3.2. Phát hiện và vô hiệu hóa handers
 Phân tích lưu lượng mạng: Nghiên cứu giao tiếp giao thức và mô ht́nh
giữa handlers và client hoặc handlers và agents để nhận biết node mạng
có thể lây với các handler.
 Vô hiệu hóa botnet handler: Thông thường vài DDoS handler được
triển khai gần bằng so với số lượng agent. Vô hiệu hóa một vài handler
có thể làm cho nhiều agent không hữu dụng, để cản trở cuộc tấn công
DDoS.
 Giả mạo địa chỉ nguồn: Có một xác suất lớn giả mạo địa chỉ nguồn gói
tin tấn công DDoS sẽ không hiện giá trị địa chỉ nguồn của mạng cụ thể.
2.5.3.3. Phát hiện tiềm năng tấn công
 Bộ lọc xâm nhâp: Bảo vệ từ tấn công tràn ngập có nguồn gốc từ các tiền
tố hợp lệ. Nó cho phép người khởi tạo truy tt́m nguồn gốc thực sự.
 Bộ lọc đi ra: Quét header gói tin của gói tin IP ra một mạng. Bộ lọc đi ra
không chứng thực hoặc lưu lượng nguy hiểm không được ra khỏi mạng
bên ngoài.
 Ngắt TCP: Cấu ht́nh ngắt TCP ngăn ngừa tấn công bằng cách ngắt và
yêu cầu kết nối TCP hợp lệ.
2.5.3.4. Làm lệch hướng tấn công
 Hệ thống thiết lập với giới hạn bảo mật, cũng biết như là honeypot, hoạt
động cám dỗ đối với kẻ tấn công.
 Phục vụ có nghĩa là giành thông tin từ kẻ tấn công bằng cách lưu trữ một
bản ghi các hoạt động, học kiểu tấn công và công cụ phần mềm kẻ tấn
công sử dụng.
 Dùng pḥng thủ chiều sâu tiếp cận với IPSec tại điểm mạng khác nhau
chuyển hướng đáng ngờ luồng DoS đến vài honeypot.
Honeypot là một hệ thống tài nguyên thông tin được xây dựng với mục đích giả dạng
đánh lừa những kẻ sử dụng và xâm nhập không hợp pháp, thu hút sự chú ư của chúng, ngăn
không cho chúng tiếp xúc với hệ thống thật.
2.5.3.5. Làm dịu cuộc tấn công
 Cân bằng tải:

SVTH: LÊ QUANG HÀ

18


Nghiên cứu và tt́m hiểu an ninh mạng

o Nhà cung cấp tăng băng thông trên kết nối quan trọng để ngăn
ngừa và giảm xuống tấn công.
o Nhân bản máy chủ có thể cung cấp thêm bảo vệ an toàn.
o Cân bằng tải cho mỗi server trên cấu trúc nhiều server có thể cải
tiến hiệu suất bt́nh thường như là giảm ảnh hưởng của cuộc tấn
công DoS.
 Hoạt động điều chỉnh:
o Thiết lập cách thức router truy cập một server với điều chỉnh logic
lưu lượng đi vào tới mức độ sẽ an toàn để server xử lư.
o Bộ xử lư có thể ngăn ngừa tràn ngập thiệt hại tới server.
o Bộ xử lư này có thể mở rộng để điều chỉnh luồng tấn công DDoS
đối lập lưu lượng hợp pháp của người sử dụng cho kết quả tốt hơn.
2.5.3.6. Pháp lư
 Phân tích router, firewall, và IDS logs để nhận biết nguồn của lưu lượng
DoS. Mặc dù kẻ tấn công thông thường giả mạo địa chỉ nguồn, dấu vết
IP trả lại với trợ giúp ngay lập tức của ISP và thực thi pháp luật các cơ
quan có thể cho phép bắt các thủ phạm.
 Phân tích mẫu lưu lượng: Dữ liệu có thể được phân tích-sau tấn công-để
tt́m kiếm đặc điểm riêng biệt trong lưu lượng tấn công.
 Mẫu lưu lượng tấn công DDoS có thể giúp người quản trị mạng phát
triển kỹ thuật lọc để ngăn ngừa đi vào hoặc đi ra mạng
 Dùng những đặc điểm, dữ liệu có thể được dùng để cập nhập cân bằng
tải và điều chỉnh biện pháp đối phó.
2.5.4. Kỹ thuật để pḥng thủ chống lại botnet
 Lọc: Các gói tin cần phải được có nguồn gốc hợp lệ, cho phép địa chỉ
trống, bao gồm tôpô và cấp phát không gian. Bất kỳ lưu lượng vào
không sử dụng hoặc địa chỉ ip dành riêng không thật và nên lọc tại ISP
trước khi vào đường link internet.
 Lọc lỗ đen: Lỗ đen là nơi trên một một mạng, nơi đó lưu lượng được
chuyển tiếp hoặc hủy bỏ. Kỹ thuật lọc này dùng giao thức cập nhập định
tuyến để điều khiển bảng định tuyến tại biên một mạng để hủy lưu lượng
không thích nghi trước nó xâm nhập vào mạng của nhà cung cấp dịch vụ.

SVTH: LÊ QUANG HÀ

19


Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay

×