Các công cụ quản lý mạng mã nguồn mở Thành viên: Nguyễn Gia Thế Phạm Văn Hinh Vũ Văn Khương Nội dung  I Quản lý lưu lượng đường truyền  II Khái niệm DDOS chống DDOS  III Buffer overflow  IV.Tài liệu tham khảo I.Quản lý lưu lượng/đường truyền  Một số lệnh Terminal  Lệnh ifconfig Khi sử dụng lệnh nhắc lệnh, bạn cung cấp thông tin tất thiết bị mạng nhận dạng  Lệnh Ping Lệnh ping công cụ thứ hai số công cụ dòng lệnh, lệnh giúp bạn xác định xem máy tính có truyền thông với Internet hay không Khi ping đến địa (chẳng hạn www.google.com), bạn thấy trạng thái, thời gian truyền mẫu kết nối (Có thể dùng để xem địa IP địa web)  Lệnh route Lệnh hiển thị cho bạn danh sách địa IP gồm có địa Destination Gateway kết nối đến giao diện, với số thông tin bổ sung nằm cột Flags Cột có ký tự G dòng liên quan với gateway mặc định Bạn sử dụng địa lệnh ping để xác định xem máy tính có kết nối với gateway hay không 2.Vnsat  Trong trường hợp bạn không muốn chờ, chạy lệnh: vnstat -l  Tham số báo cáo liệu “live” 10 giây lần bạn nhấn Ctrl+C để tạm dừng trình EtherApe Nmap  Nmap công cụ quét bảo mật sử dụng rộng rãi từ năm 1997 Nó sử dụng loạt gói liệu đặc biệt để thăm dò mạng để từ tạo đồ địa IP, xác định hệ điều hành địa IP đó, thăm dò loạt cổng IP địa cụ thể Tcpdump  Nmap công cụ quét bảo mật sử dụng rộng rãi từ năm 1997 Nó sử dụng loạt gói liệu đặc biệt để thăm dò mạng để từ tạo đồ địa IP, xác định hệ điều hành địa IP đó, thăm dò loạt cổng IP địa cụ thể Một vấn đề để thực gọi “ping sweep”, có nghĩa loạt lệnh ping để xác định địa máy tính gắn với chúng Thao tác thực qua cú pháp sau:  $ nmap -sP 192.168.1.1-255 Wireshark  Wireshark cung cấp nhiều thông tin có giá trị lưu lượng capture, với công cụ lọc hiển thị dựa số tiêu chuẩn địa nguồn, đích, giao thức, trạng thái lỗi II.Chống DDoS 1.Định nghĩa  Tấn công từ chối dịch vụ Dos (Denial of Service) mô tả hành động ngăn cản người dùng hợp pháp khả truy cập sử dụng dịch vụ Nó bao gồm làm tràn ngập mạng, kết nối với dịc vụ … mà mục đích cuối máy chủ (Server) đáp ứng yêu cầu dử dụng dịch vụ từ máy trạm (client)  Tại DDoS – Một hình thái công từ chối dịch vụ hacker chân không thừa nhận – lại phổ biến trở thành thứ vũ khí nguy hiểm đến mức chống đỡ, điều đau lòng DDoS lại phát sinh từ tham vọng xấu làm chủ điều khiển thông tin cá nhân 2.Nhận dạng DDoS Đây chìa khóa quan trọng cho việc hình thành biện pháp khắc phục tình trạng trì trệ DDoS tạo tạo điều kiện cho người dùng thực có hội sử dụng dịch vụ Mỗi dạng DDoS có dấu hiệu đặc tính khác việc nhận diện DDoS điều kiện quan trọng đứng sau việc gia tăng băng thông tài nguyên Băng thông tài nguyên luôn có giới hạn định việc nhận dạng DDoS giúp cản lọc tách rời chúng cách hữu hiệu Các đặc tính công DDoS Nó công từ hệ thống máy tính cực lớn Internet, thường dựa vào dịch vụ có sẵn máy tính mạng Botnet Các dịch vụ công điều khiển từ “Primary Victim” máy tính bị chiếm quyền sử dụng mạng Bot sử dụng để công thường gọi “secondary victims” Là dạng công khó phát công sinh từ nhiều địa IP khác Internet Nếu địa IP công công ty, chặn Firewall Nếu từ 30.000 địa IP khác, điều vô khó khăn 4 Các phương thức công  Tấn công từ chối dịch vụ thực theo số định Có năm kiểu công sau:  Nhằm tiêu tốn tài nguyên tính toán băng thông, dung lượng đĩa cứng thời gian xử lý  Phá vỡ thông tin cấu thông tin định tuyến  Phá vỡ trạng thái thông tin việc tự động reset lại phiên TCP  Phá vỡ thành phần vật lý mạng máy tính  Làm tắc nghẽn thông tin liên lạc có chủ đích người dùng nạn nhân đến việc liên lạc hai bên không thông suốt  Một việc công từ chối dịch vụ bao gồm thực thi Malware nhằm:  Làm tải lực xử lý, dẫn đến hệ thống thực thi công việc khác  Những lỗi gọi tức Microcode máy tính  Những lỗi gọi thức chuỗi thị, dẫn đến máy tính rời vào trạng thái hoạt động không ổn định bị  Những lỗi khai thác hệ điều hành dẫn đến việc thiếu thốn tài nguyên  Gây Grash hệ thống  Tấn công từ chối dịch vụ iFame: trang HTML gọi đến trang web với nhiều yêu cầu nhiều lần băng thông trang web bị tải SYN Flood Attack  Do TCP thủ tục tin cậy việc giao nhận (end-to-end) nên lần bắt tay thứ 2, server gửi gói tin SYN/ACK trả lời lại client mà ko nhận lại hồi âm client để thực kết nối bảo lưu nguồn tài nguyên chuẩn bị kết nối lập lại việc gửi gói tin SYN/ACK cho client đến nhận hồi đáp máy client  Đây kiểu công đường truyền cao, cần máy tính kết nối internet qua ngã dial-up đơn giản công kiểu (tốn nhiều thời gian hơn) 5 Một số biện pháp phòng chống  Kiểm tra Server có bị DDoS hay không?  Từ command line Linux gõ: netstat -an|grep :80 |awk '{print $5}'|cut -d":" -f1|sort|uniq -c|sort –rn  Hiển thị tất IP kết nối số lượng kết nối từ IP netstat -n | grep :80 |wc –l  Kiểm tra số connection port 80 netstat -n | grep :80 | grep SYN_RECV|wc –l  Kiểm tra số lượng connection trạng thái SYN_RECV Một số biện pháp phòng chống (tiếp)  Mô hình hệ thống cần phải xây dựng hợp lý, tránh phục thuộc lẫn mức Bởi phận gặp cố làm ảnh hưởng tới toàn hệ thống  Thiết lập mật mạnh (strong password) để bảo vệ thiết bị mạng nguồn tài nguyên quan trọng khác  Thiết lập mức xác thực người xử dụng nguồn tin internet Đặc biệt, nên thiết lập chế độ xác thực cập nhật thông tin định tuyến router  Liên tục cập nhật, nghiên cứu, kiểm tra để phát lỗ hổng bảo mật có biện pháp khắc phục kịp thời Sử dụng biện pháp kiểm tra hoạt động hệ thống liên tục để phát hành động bất thường  Nếu bị công lỗi phần mềm hay thiết bị nhanh chóng cập nhật sửa lỗi cho hệ thống thay 6 Một số cách khắc phục  Cách khắc phục nhanh Block IP chiếm nhiều connection “giờ cao điểm” Route add địa_chỉ_IP reject     VD: route add 192.168.0.168 reject Kiểm tra lệnh: route –n|grep địa_chỉ_IP Hoặc cách sau: Sử dụng Iptables Iptables –A INPUT –s địa_chỉ_ip –j DROP/REJECT service iptables restart Service iptables save  Sau xóa hết tất connection hành khởi động lại service httpd Killall –KILL httpd Service httpd restart III Buffer overflow Tổng quan buffer overflow:  Lỗi tràn đệm điều kiện bất thường tiến trình lưu liệu vượt biên nhớ đệm có chiều dài cố định Kết liệu đè lên nhớ liền kề Dữ liệu bi ghi đè có thề bao gồm nhớ đệm khác,các biến liệu điều khiển luồng chảy chương trình (program flow control)  Các lỗi tràn đệm có thề làm cho tiến trình bị đổ vỡ cho kết sai Các lỗi kích hoạt liệu vào thiết kế đặc biệt để thưc thi đoạn mả phá hoại để làm cho chương trình hoạt động không mong đợi Bằng cách lỗi tràn đệm gây nhiều lổ hổng bảo mật phần mềm tạo sở cho nhiều thủ thuật khai thác Nguyên nhân gây lỗi buffer overflow chương trình/ứng dụng:  Phương thức kiểm tra biên (boundary) không thực đầy đủ ,hoặc bỏ qua  Các ngôn ngữ lập trình,như ngôn ngữ C ,bản thân tiềm ẩn lỗi mà hacker khai thác  Các phương thức strcat(),strcpy(),sprintf(),bcopy(), gets() ,và canf() ngôn ngữ C khai thác hàm không kiểm tra xem buffer cấp phát stack có kích thước lớn liệu copy cào buffer hay không? Buffer overflow (tiếp) Cách phòng chống buffer overflow:  Cản trở kĩ thuật khai thác lỗi buffer overflow:  Việc xử lý đệm trước đọc hay thực thi làm thất bại cố gắng khai thác lỗi tràn đệm không ngăn chặn cách tuyệt đối Việc xử lý bao gồm:  Chuyển từ chữ hoa thành chữ thường  Loại bỏ kí tự đặc biệt lọc xâu không chứa kí tự chữ số chữ  Tuy nhiên có kĩ thuật để tránh việc lọc xử lý này:   alphanumeric code :mã gồm toàn chữ số    polumorphic code : mã đa hình Self-modifying code : mã tự sữa đổi Tấn công kiểu return-to-libc Buffer overflow (tiếp) 3.1 Lựa chọn ngôn ngữ lập trình  Ngôn ngữ lập trình Cvà C++ hai ngôn ngữ lập trình thông dụng, hạn chế không kiểm tra việc truy cập ghi đè liệu thông qua trỏ Cụ thể không kiểm tra liệu copy vào mảng có phù hợp kích thước mảng hay không?  Cyclone, biến thể C, giúp ngăn chặn lỗi tràn đệm việc gắn thông tin kích thước mảng với mảng  Ngôn ngữ lập trình D sử dụng nhiều kĩ thuật đa dạng để tránh gần hết việc sử dụng trỏ kiểm tra biên người dùng xác định  Nhiều ngôn ngữ lập trình khác cung cấp việc kiểm tra thời gian chạy Việc kiểm tra cung cấp ngoại lệ hay cảnh báo C hay C++ ghi đè liệu ví dụ như: Pythol, Ada,Lisp,Smalltalk Ocaml  Ngoài môi trường Java hay NET đòi hỏi kiểm tra biên tất cà mảng Buffer overflow (tiếp) 3.2 Sử dụng thư viện an toàn  Sử dụng thư viện viết tốt kiểm thử dành cho kiểu liệu trừu tượng mà thư viện thực tự động việc quản lý nhớ, có kiểm tra biên làm giảm xuất ảnh hưởng tượng tràn đệm  Các thư viện an toàn gồm có The Better String Library, Arri Buffer API Vstr Tài liệu tham khảo [1] http://quantrimang.com [2] http://kenhgiaiphap.vn [3] http://www.linuxsecurity.com/docs/SecurityAdminGuide/SecurityAdminGuide.html    [4] http://www.linux.com [5] www.ubuntu-vn.org/ THANK YOU! [...]... thông và tài nguyên Băng thông và tài nguyên luôn luôn có giới hạn nhất định cho nên việc nhận dạng DDoS giúp cản lọc và tách rời chúng một cách hữu hiệu 3 Các đặc tính của tấn công DDoS Nó được tấn công từ một hệ thống các máy tính cực lớn trên Internet, và thường dựa vào các dịch vụ có sẵn trên các máy tính trong mạng Botnet Các dịch vụ tấn công được điều khiển từ những “Primary Victim” trong khi các. .. (strong password) để bảo vệ các thiết bị mạng và các nguồn tài nguyên quan trọng khác  Thiết lập các mức xác thực đối với người xử dụng cũng như các nguồn tin trên internet Đặc biệt, nên thiết lập chế độ xác thực khi cập nhật các thông tin định tuyến giữa các router  Liên tục cập nhật, nghiên cứu, kiểm tra để phát hiện các lỗ hổng bảo mật và có biện pháp khắc phục kịp thời Sử dụng các biện pháp kiểm tra... chối dịch vụ có thể được thực hiện theo một số các nhất định Có năm kiểu tấn công cơ bản sau:  Nhằm tiêu tốn tài nguyên tính toán như băng thông, dung lượng đĩa cứng hoặc thời gian xử lý  Phá vỡ các thông tin cấu hình như thông tin định tuyến  Phá vỡ các trạng thái thông tin như việc tự động reset lại các phiên TCP  Phá vỡ các thành phần vật lý của mạng máy tính  Làm tắc nghẽn thông tin liên lạc... quyền sử dụng trong mạng Bot được sử dụng để tấn công thường được gọi là “secondary victims” Là dạng tấn công rất khó có thể phát hiện tấn công này được sinh ra từ nhiều địa chỉ IP khác nhau trên Internet Nếu một địa chỉ IP tấn công một công ty, nó có thể được chặn bởi Firewall Nếu nó từ 30.000 địa chỉ IP khác, thì điều này là vô cùng khó khăn 4 Các phương thức tấn công  Tấn công từ chối dịch vụ... Ngoài ra các môi trường của Java hay NET cũng đòi hỏi kiểm tra biên đối với tất cà các mảng Buffer overflow (tiếp) 3.2 Sử dụng các thư viện an toàn  Sử dụng các thư viện được viết tốt và đã được kiểm thử dành cho các kiểu dữ liệu trừu tượng mà các thư viện này thực hiện tự động việc quản lý bộ nhớ, trong đó có kiểm tra biên có thể làm giảm sự xuất hiện và ảnh hưởng của các hiện tượng tràn bộ đệm  Các. .. ngăn chặn được một cách tuyệt đối Việc xử lý bao gồm:  Chuyển từ chữ hoa thành chữ thường  Loại bỏ các kí tự đặc biệt và lọc các xâu không chứa kí tự là chữ số hoặc chữ cái  Tuy nhiên vẫn có các kĩ thuật để tránh việc lọc và xử lý này:   alphanumeric code :mã gồm toàn chữ và số    polumorphic code : mã đa hình Self-modifying code : mã tự sữa đổi Tấn công kiểu return-to-libc Buffer overflow (tiếp)... vì các hàm này không kiểm tra xem những buffer được cấp phát trên stack có kích thước lớn hơn dữ liệu được copy cào buffer hay không? Buffer overflow (tiếp) 3 Cách phòng chống buffer overflow:  Cản trở đối với các kĩ thuật khai thác lỗi buffer overflow:  Việc xử lý bộ đệm trước khi đọc hay thực thi nó có thể làm thất bại các cố gắng khai thác lỗi tràn bộ đệm nhưng vẫn không ngăn chặn được một cách... định Kết quả là dữ liệu có thể đè lên các bộ nhớ liền kề Dữ liệu bi ghi đè có thề bao gồm các bộ nhớ đệm khác ,các biến và dữ liệu điều khiển luồng chảy của chương trình (program flow control)  Các lỗi tràn bộ đệm có thề làm cho tiến trình bị đổ vỡ hoặc cho ra kết quả sai Các lỗi này có thể được kích hoạt bởi các dữ liệu vào được thiết kế đặc biệt để thưc thi các đoạn mả phá hoại hoặc để làm cho chương... đợi Bằng cách đó các lỗi tràn bộ đệm gây ra nhiều lổ hổng bảo mật đối với phần mềm và tạo cơ sở cho nhiều thủ thuật khai thác 2 Nguyên nhân gây ra các lỗi buffer overflow của các chương trình/ứng dụng:  Phương thức kiểm tra biên (boundary) không được thực hiện đầy đủ ,hoặc là được bỏ qua  Các ngôn ngữ lập trình,như là ngôn ngữ C ,bản thân nó đã tiềm ẩn các lỗi mà hacker có thể khai thác  Các phương... hổng bảo mật và có biện pháp khắc phục kịp thời Sử dụng các biện pháp kiểm tra hoạt động hệ thống một các liên tục để phát hiện ngay những hành động bất thường  Nếu bị tấn công do lỗi của phần mềm hay thiết bị thì nhanh chóng cập nhật các bản sửa lỗi cho hệ thống hoặc thay thế 6 Một số cách khắc phục  Cách khắc phục nhanh nhất là Block IP chiếm nhiều connection nhất trong “giờ cao điểm” Route add địa_chỉ_IP ... sẵn máy tính mạng Botnet Các dịch vụ công điều khiển từ “Primary Victim” máy tính bị chiếm quyền sử dụng mạng Bot sử dụng để công thường gọi “secondary victims” Là dạng công khó phát công sinh từ... địa IP công công ty, chặn Firewall Nếu từ 30.000 địa IP khác, điều vô khó khăn 4 Các phương thức công  Tấn công từ chối dịch vụ thực theo số định Có năm kiểu công sau:  Nhằm tiêu tốn tài nguyên... việc gia tăng băng thông tài nguyên Băng thông tài nguyên luôn có giới hạn định việc nhận dạng DDoS giúp cản lọc tách rời chúng cách hữu hiệu Các đặc tính công DDoS Nó công từ hệ thống máy tính