Kết
quả thực nghiệm
Trên
máy chủ CentOS: Triển khai CSF trên máy chủ webserver chạy hệ điều hành CentOS
7.0 tích hợp trong Webadmin. Trong khoảng thời gian từ ngày 3/1/2017 đến ngày
21/8/2017, máy chủ đã chặn được 19 lượt truy cập bất thường với các quy định được
cài đặt ở trên.
Mặc dù theo thống kê, với số lượng tương đối các lượt
truy vấn kết nối bất bình thường, nhưng hệ thống trong 9 tháng qua đã không bị
mất kết nối và từ chối truy cập một lần nào. Cũng theo thống kê trên chúng ta
thấy, có 19 lượt từ một IP truy cập đến máy chủ vượt quá 100 kết nối và bị
block tạm thời thông qua luật CT_LIMIT, trong đó có IP 42.113.15.170 tại Việt
nam đã thấy có tới 501 kết nối. Nhỏ nhất với số kết nối cũng đến từ những IP của
Việt nam với 104 kết nối.
Trên máy chủ Window Server: Qua thống kê có thể thấy,
trong 3 ngày 19,20 và 21 tháng 04 năm 2017 lượng truy cập vào trang chủ cao bất
thường gây nghẽn tài nguyên máy chủ web ảnh hưởng đến tất cả các website thành
viên trên cùng máy chủ. Đặc biệt ngày 20 lượng truy cập chỉ cao gấp cả trăm lần
ngày bình thường.
Qua rà soát thì truy cập bất thường vào trang chủ bắt
đầu gia tăng từ sáng 19/4 nhưng bắt ngồn từ IP của cơ sở I của Viện. Các truy cập
này chỉ vào trang chủ mà không đi tiếp vào các trang nội dung nên có thể khẳng
định chính là tấn công có chủ đích nhưng do lượng truy cập chưa đủ cao so với
tài nguyên máy chủ.
17h31 ngày 19/4 đợt tấn công bắt đầu ảnh hưởng đến
tài nguyên máy chủ với tốc độ gần 20 truy cập/s hình thức tấn công phân tán từ
nhiều nguồn IP khác nhau không thể chống bằng các cách thông thường như chặn
vài địa chỉ IP cố định.
Giải pháp đưa ra, dẫn hướng trên webserver tất cả
các truy cập lần đầu sẽ đi qua 01 file script để kiểm tra xem đó là người dùng
hay botnet. Việc này sẽ có chút ảnh hưởng đối với người dùng nhưng tài nguyên hệ
thống có thể chịu tải gấp hàng nghìn lần trước các botnet.
Đây là kỹ thuật khá đơn giản nhưng hiệu quả trong thời
gian ngắn và botnet đơn giản, có thể thấy các truy cập ảo đều bị gạt sang file
antiddos với 3 dòng code cũng như chỉ trả ra 361 byte dữ liệu nhẹ hơn nhiều lần
29kB của trang chủ. 4h
ngày 21/4 các dấu hiệu tấn công kết thúc
Kết luận
Nhìn chung, tấn công từ chối dịch vụ
phân tán DDoS không quá khó thực hiện, nhưng rất khó phòng chống do tính bất ngờ
và thường là phòng chống trong thế bị động khi sự việc đã rồi. Việc đối phó bằng
cách tăng cường “phần cứng” cũng là giải pháp tốt và được sử dụng nhiều trong
giai đoạn hiện nay, nhưng thường xuyên theo dõi để phát hiện và ngăn chặn kịp
thời cái gói tin IP từ các nguồn không tin cậy là phương pháp tương đối hữu hiệu.
Tùy mô hình, quy mô cụ thể của hệ
thống mà có các biện pháp bảo vệ, phòng chống khác nhau. Hiện nay, về quy mô, mức
độ nguy hiểm ngày càng gia tăng, DDoS đang và sẽ là vấn nạn nguy hại lớn cho nền
Internet toàn cầu. Có rất nhiều việc phải làm và chuẩn bị để kiểm soát được
DDoS. Chúng ta phải có những bước đi cụ thể & mạnh mẽ hơn để cùng khống chế
loại hình tấn công nay.
Tài liệu tham khảo
[1] Saman
Taghavi Zargar, James Joshi, Member and David Tippe, A Survey of Defense
Mechanisms Against Distributed Denial of Service (DDoS) Flooding Attacks, IEEE
Communications Surveys & Tutorials, 2013.
[2] P. J.
Criscuolo, Distributed Denial of Service, Tribe Flood Network 2000 and
Stacheldraht CIAC-2319, Department of Energy Computer Incident Advisory
Capability (CIAC), UCRL-ID-136939, Rev. 1., Lawrence Livermore National
Laboratory, February 2000.
[3] Jelena
Mirkovic, Janice Martin and Peter Reiher, A Taxonomy of DDoS Attacks and DDoS
Defense Mechanisms, ACM SIGCOMM Computer Communication Review, 2004.
[4] Jameel
Hashmi, Manish Saxena, and Rajesh Saini, Classification of DDoS Attacks and
their Defense Techniques using Intrusion Prevention System, International
Journal of Computer Science & Communication Networks, 2012.
[5] Rajkumar,
Manisha Jitendra Nene, A Survey on Latest DoS Attacks:Classification and
Defense Mechanisms, International Journal of Innovative Research in Computer
and Communication Engineering, 2013.
[6] Thwe Thwe
Oo, Thandar Phyu, A Statistical Approach to Classify and Identify DDoS Attacks
using UCLA Dataset, International Journal of Advanced Research in Computer
Engineering & Technology (IJARCET), 2013.
[7] Tony
Scheid, DDoS Detection and Mitigation Best Practices, Arbor Networks, 2011.
[8] Monowar
H. Bhuyan, H. J. Kashyap, D. K. Bhattacharyya and J. K. Kalita, Detecting
Distributed Denial of Service Attacks: Methods, Tools and Future Directions,
The Computer Journal, 2013.
[9] Mohammed
Alenezi, Methodologies for detecting DoS/DDoS attacks against network servers,
The Seventh International Conference on Systems and Networks Communications -
ICSNC 2012.
[10] Kanwal
Garg, Rshma Chawla, Detection Of DDoS Attacks Using Data Mining, International
Journal of Computing and Business Research (IJCBR), 2011.
[11] Christos
Douligeris and Aikaterini Mitrokotsa, DDoS Attacks And Defense
Mechanisms: A Classification,
Signal Processing and Information Technology, 2003. ISSPIT 2003.
[12]
Hoàng Xuân Dậu, Phân loại tấn công DDoS và các biện pháp phòng chống, Học viện
Công nghệ Bưu Chính Viễn Thông
[13] nukeviet.vn
& forum.nukeviet.vn
[14] joomla.org
& joomla.net.vn
[15] vi.wordpress.org
[16] linuxquestions.org
[17] vncert.gov.vn
[18] anninhmang.net
[19] https://securelist.com/ddos-attacks-in-q1-2017/78285/
No comments:
Post a Comment