Luận Văn Xây dựng biện pháp phòng chống DDoS cho máy chủ web

ĐỒ ÁN TỐT NGHIỆP

Chương I. Giới thiệu chung. 6
1. Đặt vấn đề. 7
2. Mục tiêu và giới hạn. 8
3. Hướng giải quyết 8
4. Tóm tắt kết quả. 9
5. Nội dung đồ án. 10
Chương II. Tổng quan về DDoS. 11
1. Giới thiệu chung về DDoS. 12
2. Phân loại các kiểu tấn công DDoS. 12
2.1 Tấn công làm cạn kiệt băng thông. 12
2.2 Tấn công làm cạn kiệt tài nguyên. 16
3. Sơ đồ mạng Botnet 18
3.1 Sơ đồ Handler-Agent 18
3.2 Sơ đồ IRC Base. 20
4. Các phương pháp xây dựng tài nguyên tấn công. 21
4.1 Cách thức cài đặt DDoS Agent 22
4.2 Giao tiếp trên mạng Botnet 23
5. Một số kiểu tấn công DDoS và các công cụ tấn công DDoS. 24
5.1 Một số kiểu tấn công DDoS. 24
5.2 Một số công cụ tấn công DDoS. 24
6. Phòng chống DDoS. 29
6.1 Phòng chống DDoS. 29
6.2 Những vấn đề có liên quan. 33
Chương III. Tổng quan về Iptables và Snort inline. 36
1. Tổng quan về Iptables 37
1.1 Giới thiệu chung về Iptables 37
1.2 Cấu trúc của Iptables 37
1.3 Targets 40
1.4 Các tùy chọn quan trọng của Iptables 42
2. Tổng quan về Snort inline. 45
2.1 Giới thiệu chung về Snort và Snort inline. 45
2.2 Tổng quan về Snort 45
Chương IV. Xây dựng giải pháp phòng chống DDoS cho máy chủ web. 67
1. Mô hình triển khai thực tế. 68
Mô hình mạng triển khai hệ thống phòng chống : 69
2. Giải pháp. 69
3. Mô hình thử nghiệm 71
4. Triển khai hệ thống. 72
4.1 Tối ưu hóa server ở tầng TCP/IP. 72
4.2 Cài đặt module connlimit cho Iptables 74
4.3 Cài đặt Snort inline. 76
4.4 Thử nghiệm, đánh giá. 84
Kết luận: 97





1. Đặt vấn đề“ Ngày 7/3/2000, yahoo.com đã phải ngưng phục vụ hàng trăm triệu user trên toàn thế giới nhiều giờ liền. Vài giờ sau, Yahoo đã tìm ra nguyên nhân gây nên tình trạng này, họ đang phải gánh chịu một đợt tấn công DDoS với quy mô vài ngàn máy tính liên tục gửi hàng triệu request đến các server dịch vụ làm các server này không thể phục vụ các user thông thường khác.
Vài ngày sau, một sự kiện tương tự diễn ra nhưng có phần “ồn ào” hơn do một trong các nạn nhân mới là hãng tin CNN, amazon.com, buy.com, Zdnet.com, E-trade.com, Ebay.com. Tất cả các nạn nhân là những gã khổng lồ trên Internet thuộc nhiều lĩnh vực khác nhau. Theo Yankke Group, tổng thiệt hại do cuộc tấn công lên đến 1.2 triệu USD, nhưng không đáng kể bằng sự mất mát về lòng tin của khách hàng, uy tín của các công ty là không thể tính được.
Làm đảo lộn mọi dự tính, thủ phạm là một cậu bé 15 tuổi người Canada, với nickname “mafiaboy”. Lại là một thiên tài bẩm sinh như Kevin Mitnick xuất hiện? Không. Mafiaboy chỉ tìm tòi và download về một số chương trình công cụ của các hacker. Cậu đã dùng một công cụ DDoS có tên là TrinOO để gây nên các cuộc tấn công kiểu DDoS khủng khiếp trên. Một điểm đáng lưu ý khác là Mafiaboy bị bắt do tự khoe khoang trên các chatroom công cộng, không ai truy tìm được dấu vết của cậu bé này.
Còn rất nhiều gã khổng lồ khác đã gục ngã dưới các cuộc tấn công kiểu DDoS sau đó, trong đó có cả Microsoft. Tuy nhiên cuộc tấn công trên là điển hình nhất về DDoS, nó nói lên một đặc điểm chết người của DDoS: Rất dễ thực hiện, hầu như không thể tránh, hậu quả rất nặng nề.”
Đây chỉ là phần mở đầu của một trong số rất nhiều bài báo viết về DDoS, tuy khá ngắn gọn nhưng cũng đã nêu bật được những đặc điểm nổi bật nhất của DDoS : “Rất dễ thực hiện, hầu như không thể tránh, hậu quả rất nặng nề ”. Một điều mà các chuyên gia ai cũng thừa nhận, đó là nếu DDoS được thực hiện bởi một hacker có trình độ, thì việc chống đỡ là không thể. Rất may mắn, cách đây 5 năm, giới hacker chính quy thế giới đã khai trừ kĩ thuật tấn công này, và chấm dứt mọi hoạt động nghiên cứu, trình diễn hay phát triển công cụ do chính bản thân họ cũng nhìn thấy mức độ nguy hiểm và không công bằng của kiểu tấn công này.
Tuy rằng không còn là mới mẻ, nhưng DDoS vẫn tiếp tục gây rất nhiều thiệt hại cho cộng đồng mạng nói chung và cho các doanh nghiệp nói riêng. Gần đây nhất, trang web của Bkis bị DDoS làm gián đoạn trong nhiều giờ liền và sau khi phối hợp với các bên liên quan, đã điều tra ra thủ phạm là một học sinh trung học ở Quảng Nam.
Không những phục vụ cho nhu cầu của bản thân mà còn giúp nâng cao ý thức của người dùng mạng Internet, làm sao để tránh hoặc ít nhất giảm được thiệt hại khi bị DDoS , em đã lựa chọn đề tài : “Xây dựng biện pháp phòng chống DDoS cho máy chủ web” .
Nhận thấy vừa là một đề tài tốt nghiệp, vừa có vai trò ứng dụng trong thực tế và với sự giúp đỡ tận tình của thầy Ngô Hồng Sơn, em đã cố gắng hết sức để thực hiện tốt đề tài của mình.

2. Mục tiêu và giới hạn Đồ án có 2 mục tiêu chính :
- Nghiên cứu tìm hiểu về DDoS, phân loại DDoS, giới thiệu một số công cụ tấn công DDoS và giải pháp phòng chống nói chung
- Xây dựng giải pháp phòng chống DDoS cho web server, sử dụng module connlimit của Iptables và Snort inline .
Do tính chất đa dạng của DDoS nên không có giải pháp phòng chống DDoS nào là tối ưu nhất cho mọi trường hợp. Giải pháp mà đồ án đề cập đến là dành cho mô hình mạng chỉ có một server kết nối với Internet bằng một liên kết.

3. Hướng giải quyếtHiện nay, trên thế giới có rất nhiều cách phòng chống DDoS nói chung và phòng chống DDoS cho máy chủ web nói riêng như sử dụng firewall, triển khai IPS (Intrusion Prevention System- Hệ thống chống xâm nhập), load balancing (cân bằng tải) .Có thể đơn cử ra một vài ví dụ cụ thể như :
- Firewall mềm:
+ Skyeagle anti-DDoS firewall http://www.netbot.com.cn
+ FortGuard Anti-DDoS Firewall Standard http://www.fortguard.com/
- IPS :
+ Lokkit
+ Snort
+ Untangle
Trong đồ án này, em lựa chọn giải pháp sử dụng IPS gồm Snort inline và Iptables để xây dựng giải pháp phòng chống DDoS cho máy chủ web.
Lý do lựa chọn xây dựng mô hình IPS gồm Snort inline và Iptables là:
- Đối với Snort inline : Snort được biết đến với các ưu điểm như dễ cấu hình, miễn phí, sử dụng rộng rãi, chạy trên nhiều nền tảng (Windows, Unix, Linux), liên tục được cập nhật. Snort inline là một “module” của snort, thay vì lắng nghe trên cổng chỉ định và theo dõi tất cả các traffic đi qua cổng đấy, Snort inline chỉ theo dõi các traffic đặc biệt được chỉ định trước, do đó làm tăng khả năng và hiệu suất của Snort.
- Cũng tương tự như Snort inline, Iptables mà nền tảng là Netfilter cũng có những ưu điểm như dễ cấu hình, tốc độ sử lý nhanh, được tích hợp sẵn trong Kernel Linux 2.6 trở lên.
- Việc sử dụng kết hợp Iptables với Snort inline sẽ tạo được một hệ thống IPS hoạt động ổn định, dễ cấu hình, dễ dàng tinh chỉnh khi cần thiết.
4. Tóm tắt kết quảTheo yêu cầu đặt ra ban đầu là “Xây dựng hệ thống phòng chống DDoS ”, cho đến thời điểm hiện tại, đồ án đã làm được những nội dung sau :
- Về lý thuyết :
+ Tìm hiểu được những kiểu tấn công của DDoS.
+ Tìm hiểu được mô hình mạng Botnet (mô hình, cách cài đặt, giao tiếp).
+ Một số công cụ tấn công DDoS.
+ Cách phòng chống DDoS.
+ Những vấn đề có liên quan đến DDoS.
- Triển khai hệ thống phòng chống DDoS bao gồm
+ Tối ưu hóa server.
+ Cài đặt và cấu hình module connlimit cho Iptables.
+ Cài đặt và cấu hình Snort inline.
+ Kiểm tra đánh giá hiệu quả.
5. Nội dung đồ án Đồ án bao gồm 4 chương :
- Chương I. Giới thiệu chung : Giới thiệu khái quát về đồ án, lý do lựa chọn đồ án, mục tiêu và giới hạn, kết quả đạt được trong quá trình làm đồ án.
- Chương II. Tổng quan về DDoS: Giới thiệu chung về DDoS, phân loại các kiểu tấn công DDoS, cách thức xây dựng mạng Botnet, giới thiệu một số công cụ tấn công DDoS và các cách phòng chống DDoS.
- Chương III. Tổng quan về Iptables và Snort inline: Trình bày về lý thuyết và một số cấu hình cơ bản và quan trọng của Iptables và Snort inline.
- Chương IV. Xây dựng giải pháp phòng chống DDoS cho máy chủ web : Trình bày mô hình thực tế, giải pháp, mô hình thực nghiệm và quá trình kiểm tra đánh giá, nhận xét hệ thống phòng chống xâm nhập.