BaocaoQTM

(1)

1 | P a g e

VIỆN CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG ******* ◄○► ********

BÁO CÁO

Quản Trị Mạng

Đề tài: Tìm hiểu về tấn công DDoS và

công cụ OSSEC

Sinh viên:

Phạm Quang Tùng 20112148 Đinh Tuấn Hiệp 20112598

Nguyễn Văn Công 20111196

Giáo viên hướng dẫn:

TS. Trần Hoàng Hải

(2)

2 | P a g e Mục lục I. Tìm hiểu về tấn công DDOS ... 3 1. Khái niệm ... 3 2. Nhận diện... 3 3. Các phương thức tấn công ... 3 4. Cách phòng chống ... 4 II. Công cụ OSSEC ... 5 1. OSSEC là gì? ... 5 2. Cài đặt ... 5  Yêu cầu hệ thống: ... 5

 Cài đặt OSSEC server ... 6

 Cài đặt OSSEC agent ... 8

3. Giám sát cài đặt phần mềm trên máy tính có cài đặt OSSEC Agent ... 9

 Nguy cơ từ việc cài đặt các soft ở Workstation ...10

 Dấu hiệu nhận biết...11

 Thực hiện cài đặt và cấu hình để Admin phát hiện client cài đặt phần mềm ...11

(3)

3 | P a g e

I. Tìm hiểu về tấn công DDOS

1. Khái niệm

• Một cuộc tấn công từ chối dịch vụ phân tán (tấn công

DDoS - Viết tắt của Distributed Denial of Service) là một

nỗ lực làm cho những người dùng không thể sử dụng tài

nguyên của một máy tính.

• Tấn công từ chối dịch vụ là sự vi phạm chính sách sử dụng

internet của IAB (Internet Architecture Board) và những

người tấn công hiển nhiên vi phạm luật dân sự.

2. Nhận diện



US-CERT

xác định dấu hiệu của một vụ tấn cống từ chối dịch vụ

gồm có:

• Mạng thực thi chậm khác thường khi mở tập tin hay truy cập

Website

• Không thể dùng một website cụ thể

• Không thể truy cập bất kỳ website nào

• Tăng lượng thư rác nhận được.

3. Các phương thức tấn công

 Tấn công DDoS có thể được thực hiện theo một số cách nhất

định. Có năm kiểu tấn công cơ bản sau đây:

• Nhằm tiêu tốn tài nguyên tính toán như băng thông, dung lượng

đĩa cứng hoặc thời gian xử lý

(4)

4 | P a g e

• Phá vỡ các thông tin cấu hình như thông tin định tuyến

• Phá vỡ các trạng thái thông tin như việc tự động reset lại các

phiên TCP.

• Phá vỡ các thành phần vật lý của mạng máy tính

• Làm tắc nghẽn thông tin liên lạc có chủ đích giữa các người

dùng và nạn nhân dẫn đến việc liên lạc giữa hai bên không được

thông suốt.

4. Cách phòng chống

 Các đợt tấn công DDoS thường không thể phòng chống triệt

để. Tuy nhiên có 1 số biện pháp phòng thủ sau:

• Tối ưu hóa websites ví dụ xây dựng bộ nhớ đệm giảm số kết

nối vào CSDL

• Lựa chọn nhà cung cấp hosting lưu trữ web tốt

• Chống tải lại trang web có ác ý (f5 có ác ý)

• Giới hạn số kết nối website tại một thời điểm

• Sử dụng các công cụ phát hiện tấn công DDoS. Ví dụ:

OSSEC,...

(5)

5 | P a g e

II. Công cụ OSSEC

1. OSSEC là gì?

 Ossec là một hệ thống phát hiện xâm nhập mã nguồn mở, chính

xác là một HIDS(Host IDS), thực hiện phân tích đăng nhập,

kiểm tra tính toàn vẹn file, giám sát chính sách, phát hiện rootkit,

thời gian thực cảnh báo và phản ứng tích cực.

2. Cài đặt

 Yêu cầu hệ thống:

 Phần cứng:

Tùy thuộc vào quy mô hệ thống mạng mà ta chọn phần cứng cho

thích hợp. Tuy nhiên muốn OSSEC hoạt động một cách hiệu quả ta sẽ

cần CPU có tốc độ xử lý nhanh, bộ nhớ lớn, bus cao và dung lượng ổ

cứng lớn nếu như log file do OSSEC sinh ra nhiều và lớn theo thời gian.

 Hệ điều hành:

OSSEC hỗ trợ nhiều hệ điều hành khác nhau như Windows,

Ubuntu, CentOs,….

 Các yêu cầu khác:

(6)

6 | P a g e

 Cài đặt OSSEC server

Ta có thể cài đặt OSSEC từ Souce code hay là các gói RPM .Theo kinh nghiệm nên download source code và sau đó biên dịch để cài đặt hơn là dùng các gói binary có sẵn.Vì khi cài đặt từ source code có thể cấu hình OSSEC kết hợp với MySQL, ACID…Cài OSSEC khá dễ dàng, có nhiều tuỳ chọn phù hợ p với nhu cầu ngừơi dùng; phần quan trọng nhất của OSSEC là kết hợp với nhiều database để lưu trữ. Download OSSEC từ địa chỉ:

http://www.ossec.net

Sau khi download file cài đặt về ta giải nén và tiến hành cài đặt và chọn ngôn ngữ, ta sẽ chọn en.

Tiếp theo, ta sẽ chọn cài đặt OSSEC server.

(7)

7 | P a g e

Bước tiếp theo là ta thực hiện cấu hình.Ở bước này tôi không cần Mail nên tôi chọn No.

Tất cả các bước tiếp theo ta chọn yes cho đến hết quá trình cài đặt và ta chờ cho đến khikết thúc.

(8)

8 | P a g e

 Cài đặt OSSEC agent

Phần cài đặt ossec agent sẽ tiến hành cài đặt trên mày window 8. Ta sẽ tải chương trình cài đặt về và tiến hành cài đặt bình thường như các chương trình khác. Và giao diện cuối cùng như thế này.

Bước tiếp theo là ta qua Ossec server để lấy địa chỉ và key đế connect đến ossec server và có giao diện như sau:

Và ta tiến hành tạo một client agent mới đế ossec agent có thể kết nối tới server, saukhi có key thì tiến hành nhập vào hộp thoại của osses agnent.

(9)

9 | P a g e

Và quá trình kết nối tới server thành công.

3. Giám sát cài đặt phần mềm trên máy tính có cài đặt OSSEC

Agent

(10)

10 | P a g e

 Nguy cơ từ việc cài đặt các soft ở Workstation

Một phần mềm được cài đặt vào máy tính cốt yếu do hai điều sau, thứ nhất là donhân viên tại máy Client tự ý cài đặt phần mềm, thứ hai là do khi các máy Client lướt web thì có những trang quảng cáo, hay những trang web độc hại có chức năng tự cài đặt phần mềm vào máy tính chúng ta khi chúng ta truy cập vào trang web đó.

Nguy cơ khi cái đặt các soft đó chính là máy client sẽ bị nhiễm mã độc có trong phầnmềm được cài. Và nguy cơ lớn nhất khi cài đặt phần mềm đó là malware, chúng thậm chícó thể giả mạo cả dịch vụ phần mềm và khi máy cập nhật, thay vì các bản vá và phầnmềm bảo mật thì malware lại được tải về và cài đặt lên hệ thống.

Và vấn đề tất yếu khi chúng ta gặp phải mã độc đó là :Làm chậm máy, gây lỗi máy bởicác mã độc.

Gây hiển thị thông báo lỗi liên tục.

Không thể tắt máy tính hay khởi động lại khi malware duy trì cho những process nhấtđịnh hoạt động.

Kẻ xấu lợi dụng malware để thu thập thông tin cá nhân hoặc dữ liệu từ máy tính.

Cướp” trình duyệt, làm chuyển hướng người dùng đến những site có chủ đích.

Lây nhiễm vào máy và sử dụng máy làm một vật chủ quảng bá nhiều file khác nhau haythực hiện các cuộc tấn công khác.

Gửi spam đi và đến hộp thư người dùng.

Gửi những email mạo danh người dùng, gây rắc rối cho người dùng hay cho công ty.

(11)

11 | P a g e

Làm xuất hiện những thanh công cụ mới.

Tạo ra các biểu tượng mới trên màn hình desktop. Chạy ngầm và khó bị phát hiện nếu được lập trình tốt.

 Dấu hiệu nhận biết

Khi chúngt a cài đặt bất kì một phần mềm nào đó vào trong máy tính thì chúng ta đều có thể nhận biết thông qua file registry, và vào trong đường dẫn sao để phát hiện.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV es\Uninstall

 Thực hiện cài đặt và cấu hình để Admin phát hiện client cài đặt phần mềm

Ta cũng có thể sử dụng Ossec để theo dõi tình hình cài đặt các phần mềm của máy client. Vì qua việc này chúng ta có thể quản lý chặt chẽ hơn khi ta không có nhiều thời gian để kiểm tra các máy client của các nhân viên trong một công ty chẳng hạn. Mặc định admin đã cài đầy đủ các ứng dụng để nhân viên có thể hoàn thành tốt phần việc của mình,nhưng do nhu cầu cá nhân nên họ sẽ cài đặt vào máy của mình các phần mếm không khả dụng. Admin có thể dung ossec để theo dõi quá trình cài đặt của các nhân viên thông qua

file cấu hình file win_audit của ossec agent. Ta vào đường dẫn sao để đến file win_audit :

(12)

12 | P a g e

Ta tiến hành cấu hình file win_audit_rcl như sau:

Vì trong ossec có hỗ trợ sẵn cho ta các rule trong đó có rule phát hiện cài đặt phần mềm,ta chỉ việc cấu hình file win_audit và sử dụng thôi. Đầu tiên ta phải cài đặt phần mềm có đuôi là msi, ở đây ta sẽ cài đặt chương trình Visio trong đó có chương trình Microsoft visual C ++ 2008 có đuôi là msi.

(13)

13 | P a g e

Và admin chỉ cần ở máy ossec server mở file logs và kiểm tra . Ta vào ossec server vàvào câu lệnh sau để xem kết quả từ file logs: cat

/var/ossec/logs/alerts/2013/Jul/ossec-alerts-02.log

Sau khi xem ta cũng biết được rule dùng để phát hiền phần mềm đã được cài đó chình là rule 18147 (level 5)