BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI Bùi Thị Huyền NGHIÊN CỨU THỬ NGHIỆM GIẢI PHÁP THEO DÕI VÀ BÓC GỠ MẠNG BOTNET Chuyên ngành: Công nghệ thông tin LUẬN VĂN THẠC SĨ KỸ THUẬT CÔNG NGHỆ THÔNG TIN NGƯỜI HƯỚNG DẪN KHOA HỌC: PGS.TS Nguyễn Linh Giang Hà Nội – 2014 MỤC LỤC Lời cam đoan Danh mục ký hiệu, chữ viết tắt Danh mục bảng Danh mục hình vẽ, đồ thị MỞ ĐẦU CHƯƠNG - TỔNG QUAN VỀ BOTNET 11 1.1 Khái niệm botnet 11 1.1.1 Khái niệm bot, botnet 11 1.1.2 Phân loại mạng botnet 11 1.1.2.1 Mạng botnet tập trung 12 1.1.2.2 Mạng botnet phân tán 15 1.2 Hoạt động mạng botnet 19 1.2.1 Chu kỳ sống mạng botnet 19 1.2.1.1 Pha tuyển dụng thành viên 19 1.2.1.2 Pha tương tác 20 1.2.1.3 Pha tiếp thị 21 1.2.1.4 Pha nhận lệnh thực công 21 1.2.3 Các giao thức sử dụng hoạt động botnet 22 1.2.3.1 Giao thức IRC 22 1.2.3.2 Giao thức HTTP 24 1.2.3.3 Giao thức DNS 26 1.3 Tình hình hoạt động số mạng botnet giới Việt Nam 28 1.3.1 Các mạng botnet lớn giới 28 1.3.2 Một số mạng botnet theo dõi Việt Nam 31 1.3.2.1 Mạng botnet Nitol 31 1.3.2.2 Mạng botnet Zeus 32 CHƯƠNG - NGHIÊN CỨU GIẢI PHÁP THEO DÕI VÀ BÓC GỠ BOTNET 34 2.1 Phương pháp kỹ thuật phát theo dõi botnet 34 2.1.1 Phương pháp chủ động - sử dụng Honeypot 34 2.1.2 Phương pháp thụ động - Giám sát lưu lượng mạng 36 2.2 Phương pháp hỗ trợ hoạt động bóc gỡ botnet 39 2.2.1 Sử dụng danh sách đen - Blacklist 39 2.2.2 Dựa DNS 40 2.2.3 Lọc gói tin 42 2.3 Một số hệ thống theo dõi bóc gỡ botnet điển hình giới 43 2.3.1 Hệ thống Hàn Quốc 43 2.3.2 Hệ thống Nhật Bản 44 CHƯƠNG - ĐỀ XUẤT VÀ THỬ NGHIỆM MÔ HÌNH THEO DÕI VÀ BÓC GỠ BOTNET 46 3.1 Hoạt động bóc gỡ botnet Trung tâm VNCERT 46 3.1.1 Mạng lưới ứng cứu cố máy tính Việt Nam 46 3.1.2 Quy trình phát bóc gỡ botnet Trung tâm VNCERT 49 3.1.3 Kế hoạch xây dựng giải pháp triển khai bóc gỡ botnet VNCERT 55 3.2 Đề xuất mô hình 56 3.3 Cài đặt thử nghiệm 58 3.3.1 Mô hình 58 3.3.2 Kịch thử nghiệm 58 3.3.2.1 Mô tả kịch 58 3.3.2.2 Cài đặt cấu hình 60 3.3.2.3 Kết thử nghiệm 63 3.3.3 Đánh giá kết thử nghiệm 66 KẾT LUẬN 68 TÀI LIỆU THAM KHẢO 69 PHỤ LỤC 70 Phụ lục 1: Danh sách tên miền mạng botnet Zeus theo dõi 70 Lời cam đoan Trước tiên xin chân thành gửi lời cảm ơn lòng biết ơn sâu sắc tới PGS.TS Nguyễn Linh Giang – Viện Công nghệ Thông tin – Truyền thông, người tận tình hướng dẫn, bảo suốt trình hoàn thiện luận văn Đồng thời xin chân thành cảm ơn đồng nghiệp Phòng Nghiệp vụ - Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam thời gian qua giúp đỡ cho hoàn thành luận văn Tôi xin bày tỏ lòng biết ơn thầy cô giáo Viện Công nghệ Thông tin – Truyền thông nói riêng Đại học Bách Khoa Hà Nội nói chung dạy, cung cấp kiến thức quý báu cho suốt trình học tập nghiên cứu trường Cuối xin gửi lời cảm ơn sâu sắc tới gia đình, bạn bè, người cổ vũ, quan tâm giúp đỡ suốt thời gian học tập làm luận văn Tôi cam đoan công trình nghiên cứu riêng Các số liệu, kết luận văn trung thực chưa công bố công trình khác Tác giả Bùi Thị Huyền Danh mục ký hiệu, chữ viết tắt STT Từ viết tắt Tiếng Anh Tiếng Việt C&C Command and Control Máy chủ điều khiển CCC Cyber Clean Center Trung tâm xử lý botnet Nhật Bản CERT Computer Emergency Response Team Nhóm ứng cứu khẩn cấp máy tính CSIRT Computer Security Incident Response Team Nhóm ứng cứu cố an toàn máy tính DDoS Distribute Denial of Service Tấn công từ chối dịch vụ phân tán DNS Domain Name System Hệ thống tên miền FTP File Transfer Protocol Giao thức truyền tập tin HTTP Hyper Text Transfer Protocol Giao thức truyền dẫn siêu văn IDS Instrusion Detection System Hệ thống phát xâm nhập 10 ISP Internet Service Provider Nhà cung cấp dịch vụ Internet 11 IRC Internet Relay Chat Giao thức trò chuyện qua mạng Internet 12 SSL Secure Socket Layer Giao thức SSL 13 P2P Peer to Peer Mạng ngang hàng 14 POP Post Office Protocol Giao thức POP 15 TCP Transport Comunication Protocol Giao thức truyền thông tin cậy 16 URL Uniforn Resource Locator Đường dẫn tới tài nguyên 17 VNCERT Viet Nam Computer Emergency Response Team Trung tâm Ứng cứu Khẩn cấp Máy tính Việt Nam Danh mục bảng Bảng 1: Danh sách mạng botnet khả gửi thư rác 29 Bảng 2: Dữ liệu mạng botnet Zeus 52 Bảng 3: Mẫu cảnh báo botnet Trung tâm VNCERT 54 Bảng 4: Khai báo tập tin cấu hình tên miền độc hại 61 Bảng 5: Khai báo tên miền độc hại 61 Bảng 6: Khai báo địa IP cho tên miền độc hại 62 Bảng 7: Kết phân giải tên miền độc hại máy chủ DNS Sinkhole 62 Bảng 8: Cấu hình chuyển hướng cho tên miền độc hại 63 Bảng 9: Kết thu máy chủ DNS sau áp dụng mô hình 65 Bảng 10: Kết thu máy chủ web sau áp dụng mô hình 66 Danh mục hình vẽ, đồ thị Hình 1: Khái niệm botnet 11 Hình 2: Các thành phần mạng botnet tập trung 12 Hình 3: Cơ chế điều khiển truyền lệnh chủ động 14 Hình 4: Cơ chế điều khiển truyền lệnh bị động 15 Hình 5: Mạng botnet phân tán 16 Hình 6: Chu kỳ sống mạng botnet 20 Hình 7: Mô hình mạng IRC 23 Hình 8: Mạng botnet IRC 24 Hình 9: Truyền thông web server web client 24 Hình 10: Minh hoạ không gian tên miền địa IP mạng botnet 27 Hình 11: Các cách tiếp cận để chống botnet 34 Hình 12: Honeypot tương tác cao 35 Hình 13: Kỹ thuật DNS Sinkhole 40 Hình 14: Kỹ thuật DNS Sinhhole mở rộng 42 Hình 15: Mô hình chống Botnet Hàn Quốc 43 Hình 16: Mô hình chống Botnet Nhật Bản 44 Hình 17: Mạng lưới điều phối ứng cứu cố máy tính theo thông tư 27/2011/BTTT 47 Hình 18: Sơ đồ hoạt động điều phối ứng cứu cố máy tính 49 Hình 19: Hoạt động bóc gỡ botnet Trung tâm VNCERT 50 Hình 20: Đề xuất mô hình phát bóc gỡ botnet môi trường mạng lớn 56 Hình 21: Mô hình cài đặt thử nghiệm 58 Hình 22: Các bước cài đặt thử nghiệm 59 Hình 23: Kết bắt gói tin trước áp dụng mô hình máy client 63 Hình 24: Kết bắt gói tin sau áp dụng mô hình máy client 64 MỞ ĐẦU Theo đánh giá tổ chức quốc tế, Việt Nam nằm nhóm nước bị xếp hạng cao giới tình hình lây nhiễm mã độc, điều đồng nghĩa với việc số lượng máy tính cá nhân máy chủ, thiết bị mạng Việt Nam bị nhiễm mã độc bị tin tặc điều khiển nhằm mục đích độc hại (như phát tán thư rác, công từ chối dịch vụ (DDoS), ăn trộm thông tin cá nhân ) lớn Theo ghi nhận Trung tâm Ứng cứu Khẩn cấp Máy tính Việt Nam (VNCERT) có nhiều địa IP (chỉ riêng năm 2014 có tới 2.830.981 địa IP) Việt Nam có tới 2.000 địa IP quan nhà nước nằm mạng botnet toàn cầu Điều nghiêm trọng quan sở hữu địa IP lại đến tồn mã độc nằm mạng máy tính nhận cảnh báo Trung tâm VNCERT Hiện quốc gia phát triển xây dựng phương án để theo dõi mạng botnet hoạt động bên quốc gia Hàn Quốc, Nhật Bản, Mỹ… Tại nước xây dựng chương trình bóc gỡ mạng botnet cộng đồng với tham gia ISP, phương tiện truyền thông đại chúng, người dân Việc để tồn mạng botnet chứa đựng nhiều nguy tiềm ẩn mát thông tin cá nhân, sử dụng để phát tán thư rác đặc biệt nghiêm trọng tin tặc sử dụng mạng lưới máy tính ma để thực công từ chối dịch vụ (DDoS) vào hệ thống nghiệp vụ quan tổ chức Để phục vụ hoạt động bóc gỡ mạng botnet Trung tâm VNCERT không gian mạng Việt Nam, muốn nghiên cứu mô hình theo dõi bóc gỡ botnet để cải thiện nâng cao quy trình Được đồng ý, động viên giáo viên hướng dẫn khoa học, chọn đề tài “Nghiên cứu thử nghiệm giải pháp theo dõi bóc gỡ mạng botnet” làm đề tài nghiên cứu cho luận văn cao học Trong luận văn tìm hiểu hoạt động botnet; phương pháp kỹ thuật phát hiện, theo dõi bóc gỡ botnet, mô hình bóc gỡ botnet áp dụng Hàn Quốc Nhật Bản, từ đưa mô hình theo dõi bóc gỡ botnet cho tổ chức, doanh nghiệp lớn Đồng thời xây dựng thử nghiệm phần mô hình tập trung vào kỹ thuật theo dõi ngăn chặn botnet dựa lưu lượng DNS “DNS Sinkhole” Trong luận văn, sử dụng phương pháp tổng hợp phân tích tư liệu kết hợp với mô thử nghiệm Trên sở nghiên cứu lý thuyết xây dựng, thử nghiệm mô hình theo dõi bóc gỡ mạng botnet dựa quy trình bóc gỡ botnet Trung tâm VNCERT đánh giá hiệu mô hình đưa Ý nghĩa khoa học thực tiễn đề tài: mặt lý thuyết, đề tài tiếp cận vấn đề nóng làm an toàn thông tin nghiêm trọng không gian mạng Việt Nam nhiều quan, doanh nghiệp lớn quan tâm chưa có đầu tư nghiên cứu nhiều, đồng thời đưa mô hình áp dụng cho nhiều quan, doanh nghiệp lớn Về mặt thực tiễn, đề tài ứng dụng hoạt động bóc gỡ botnet Trung tâm VNCERT, doanh nghiệp ISP nhiều quan nhà nước Nội dung luận văn gồm chương: Chương Tổng quan botnet Chương giới thiệu tổng quan botnet đồng thời phân tích hoạt động số mạng botnet Việt Nam Chương Nghiên cứu giải pháp theo dõi bóc gỡ botnet Chương trình bày cụ thể giải pháp kỹ thuật để phát hiện, theo dõi bóc gỡ botnet Chương Đề xuất thử nghiệm mô hình theo dõi bóc gỡ botnet Chương đề xuất mô hình theo dõi bóc gỡ botnet dựa hoạt động bóc gỡ botnet Trung tâm VNCERT Đồng thời cài đặt thử nghiệm phần mô hình sử dụng mẫu mã độc mạng botnet Zeus, từ đánh giá hiệu mô hình 10 - Web server: máy chủ web phục vụ cho mục đích bóc gỡ bot máy bị nhiễm nâng cao nhận thức cho người dùng Internet b) Máy chủ DNS doanh nghiệp ISP, đơn vị Các máy chủ DNS hoạt hoạt động theo hai phương thức: Chuyển tiếp yêu cầu phân giải miền độc hại tới máy chủ DNS Sinkhole Cập nhật danh sách ghi tên miền độc hại sở liệu sau tự phân giải trả lời yêu cầu Để người dùng không sử dụng máy chủ DNS khác (người dùng Internet Việt Nam thường sử dụng máy chủ DNS Google), hệ thống doanh nghiệp ISP, đơn vị phải áp dụng sách để ngăn chặn, giới hạn việc sử dụng máy chủ DNS (ví dụ chặn truy vấn DNS (cổng TCP, UDP 53) tới địa IP không phép thiết bị đóng vai trò Gateway) c) Máy tính người dùng Internet (máy bị nhiễm bot) Trong mô hình này, máy tính người dùng Internet nằm mạng botnet, kết nối tới tên miền độc hại hay máy chủ C&C thông qua tên miền thực bước sau: (1) Máy tính bị nhiễm bot gửi yêu cầu phân giải tên miền tới máy chủ DNS ISP (2) Máy chủ DNS ISP sau xử lý trả địa IP máy thiết lập Sinkhole (chính máy đóng vai trò Honeypot) (3): Máy bị nhiễm bot kết nối tới máy chủ Sinkhole thay kết nối tới máy chủ C&C Tại Honeypot có hai vai trò: thu thập cách thức, hành vi máy bị nhiễm bot chuyển hướng kết nối tới trang web chứa công cụ để loại bỏ mã độc, người dùng ngồi máy bị nhiễm bot tải các công cụ để loại bỏ mã độc máy tính 57 3.3 Cài đặt thử nghiệm 3.3.1 Mô hình Các thành phần triển khai gồm: máy chủ DNS Sinkhole, máy chủ web, máy người dùng Trong mô hình máy chủ web đóng vai trò máy Sinkhole tiếp nhận kết nối tới máy chủ C&C từ máy client Hình 21: Mô hình cài đặt thử nghiệm 3.3.2 Kịch thử nghiệm 3.3.2.1 Mô tả kịch Trong kịch thử nghiệm, để đánh giá hoạt động mô hình sử dụng hai mẫu mã độc thực tế (thuộc mạng botnet Conficker Zeuz) cho thực thi mã độc máy ảo Window XP (đóng vai trò máy người dùng bị nhiễm bot, gọi máy client) Theo phân tích hãng bảo mật Trung tâm VNCERT, mã độc Zeuz sau lây nhiễm vào máy tính người dùng tự động xoá tập tin ban đầu chép thành nhiều tập tin khác (ntos.exe, oembios.exe, sdra64.exe…) 58 thực nhiều hoạt động thu thập, ăn trộm thông tin khác Trong phạm vi luận văn thực theo dõi kết nối mạng từ máy bị nhiễm bot Sau lây nhiễm vào máy tính, máy bị nhiễm thực kết nối tới máy chủ C&C để cập nhật cấu hình (danh sách máy chủ C&C thuộc mạng botnet Zeus phần phụ lục) Hình 22: Các bước cài đặt thử nghiệm 59 Để đánh giá hiệu mô hình thử nghiệm cần phải thực thi mẫu mã độc Zeus máy client trước sau áp dụng mô hình, sau so sánh kết hai trường hợp: - Trước áp dụng mô hình: máy client sử dụng máy chủ DNS 8.8.8.8 Google - Sau áp dụng mô hình: máy client sử dụng máy chủ DNS Sinkhole 192.168.1.110 3.3.2.2 Cài đặt cấu hình Trường hợp 1: máy client sử dụng máy chủ DNS 8.8.8.8 - Cấu hình mạng cho máy client sau: IP: 192.168.1.99 Gateway: 192.168.1.1 DNS Server: 8.8.8.8 Trường hợp 2: máy client sử dụng máy chủ DNS Sinkhole a Cấu hình mạng cho máy - Cấu hình mạng máy chủ DNS Địa IP: 192.168.1.110 Subnet: 255.255.255.0 Gateway: N/A - Cấu hình mạng cho máy chủ web Địa IP: 192.168.1.20 Subnet: 255.255.255.0 Gateway: N/A 60 - Cấu hình mạng cho máy client: trường hợp 1, thay đổi tham số DNS Server địa 192.168.1.110 b Cấu hình Sinkhole cho máy chủ DNS - Bước 1: Khai báo tập tin chứa tên miền độc hại tập tin cấu hình dịch vụ DNS (named.conf) include "/var/named/site_specific_sinkhole.conf"; include "/var/named/entire_domain_sinkhole.conf"; include "/var/named/custom_wildcard_sinkhole.conf"; include "/var/named/custom_single_sinkhole.conf"; Bảng 4: Khai báo tập tin cấu hình tên miền độc hại Trong tập tin custom_single_sinkhole.conf, site_specific_sinkhole.conf chứa danh sách tên miền đơn thông tin địa IP tên miền mà máy chủ DNS phân giải (thông tin địa IP nằm tập tin /var/named/sinkhole/client.nowhere) Thông thường tên miền thêm theo cách thủ công lưu trữ tập tin custom_single_sinkhole.conf Tập tin entire_domain_sinkhole.conf custom_wildcard_sinkhole.conf chứa danh sách tên miền cha (ví dụ muốn chặn tên miền tên miền biểu diễn *.botnet.vn) - Bước 2: Khai báo tên miền độc hại cho mạng botnet Zeus tập tin custom_single_sinkhole.conf sau zone "www.botnet.vn" IN { type master; notify no; file "/var/named/sinkhole/client.nowhere"; }; zone "mm266.bplaced.com" IN { type master; notify no; file "/var/named/sinkhole/client.nowhere"; }; zone "yqdqyntx.com" IN { type master; notify no; file "/var/named/sinkhole/client.nowhere"; }; zone "4btc.cc" IN { type master; notify no; file "/var/named/sinkhole/client.nowhere"; }; zone "uvcaylkgdpg.biz" IN { type master; notify no; file "/var/named/sinkhole/client.nowhere"; }; zone "vzcocljtfi.biz" IN { type master; notify no; file "/var/named/sinkhole/client.nowhere"; }; zone "wojpnhwk.cc" IN { type master; notify no; file "/var/named/sinkhole/client.nowhere"; }; Bảng 5: Khai báo tên miền độc hại 61 - Bước 3: Khai báo địa IP cho tên miền Thông thường địa IP Honeypot IDS, máy bị nhiễm bot chuyển hướng tới hệ thống để thu thập mẫu cách thức công bot Trong mô hình sử dụng địa IP máy chủ web (192.168.1.20) nên tập /var/named/sinkhole/client.nowhere có nội dung sau: $TTL 600 @ IN SOA localhost root.localhost ( 3H 15M 1W 1D ) 24H IN NS @ 24H IN A 192.168.1.20 24H IN A 192.168.1.6 24H IN AAAA ::1 Bảng 6: Khai báo địa IP cho tên miền độc hại - Bước 4: Khởi động lại dịch vụ DNS kiểm tra kết phân giải tên miền lệnh nslookup root@shinkhole:~# nslookup > mm266.bplaced.com Server: Address: 192.168.1.110 192.168.1.10#53 Name: mm266.bplaced.com Address: 192.168.1.20 Name: mm266.bplaced.com Address: 192.168.1.6 Bảng 7: Kết phân giải tên miền độc hại máy chủ DNS Sinkhole c Cấu hình chuyển hướng tên miền máy chủ web Yêu cầu truy cập web tới máy chủ có tên miền thuộc mạng botnet Zeus chuyển hướng tới giao diện hướng dẫn bóc gỡ mã độc Zeus Dưới cấu hình chuyển hướng cho tên miền mm266.bplaced.com 62 #############Zeus domain############### DocumentRoot “C:/xampp/htdocs/botnet/zeus” ServerName mm266.bplaced.com ServerName 4btc.cc Bảng 8: Cấu hình chuyển hướng cho tên miền độc hại 3.3.2.3 Kết thử nghiệm Kết trường hợp Khi máy client có kết nối internet cấu hình sử dụng máy chủ DNS Google bot truy vấn tên miền độc hại bình thường không bị chuyển hướng Dưới kết bắt gói tin máy client Hình 23: Kết bắt gói tin trước áp dụng mô hình máy client Bước 1: Phân giải tên miền - Máy client bị nhiễm bot gửi yêu cầu phân giải tên miền mm266.bplaced.com tới máy chủ DNS 8.8.8.8 (gói tin số 2507 hình trên) 63 - Máy chủ DNS trả địa IP 5.9.107.19 (gói tin số 2501 hình trên) Bước 2: Kết nối tới máy chủ điều khiển - Máy client kết nối tới địa 5.9.107.19 để cập nhật lệnh cấu hình (thực GET tập tin /zb/config.bin) - Máy chủ điều khiển trả liệu cho máy client yêu cầu Kết trường hợp a Kết máy client Sau áp dụng mô hình thu kết kết nối mạng máy client công cụ bắt gói tin hình sau Hình 24: Kết bắt gói tin sau áp dụng mô hình máy client Bước Phân giải tên miền - Máy client gửi yêu cầu phân giải tên miền mm266.bplaced.com tới máy chủ DNS có địa 192.168.1.110 (tương ứng với gói tin số 55 hình trên) 64 - Máy chủ DNS trả địa IP tên miền mm266.bplaced.com 192.168.1.20 (gói tin số 56 hình trên) Bước Kết nối tới máy chủ web 192.168.1.20 - Tại bước này, sau phân giải tên miền độc hại mm266.bplaced.com, thay kết nối tới địa địa 5.9.107.19 máy bị nhiễm bot kết nối tới địa 192.168.1.20 (URI: /zb/config.bin ) (gói tin số 57) - Tại máy chủ web trả thông báo máy tính bị nhiễm mã độc nằm mạng botnet Zeus b Kết máy chủ DNS Trên máy chủ DNS thu nhật ký phân giải tên miền máy client 23-Sep-2014 10:30:55.983 client 192.168.1.99#1025: query: mm266.bplaced.com IN A + 23-Sep-2014 10:30:55.996 client 192.168.1.99#1025: query: mm266.bplaced.com IN A + 23-Sep-2014 10:30:57.675 client 192.168.1.99#1025: query: mm266.bplaced.com IN A + 23-Sep-2014 10:30:57.684 client 192.168.1.99#1025: query: mm266.bplaced.com IN A + 23-Sep-2014 10:30:57.696 client 192.168.1.99#1025: query: mm266.bplaced.com IN A + 23-Sep-2014 10:30:57.731 client 192.168.1.99#1025: query: mm266.bplaced.com IN A + 23-Sep-2014 10:37:40.357 client 192.168.1.99#1025: query: mm266.bplaced.com IN A + 23-Sep-2014 12:33:45.559 client 192.168.1.62#52818: query: mm266.bplaced.com IN A + 23-Sep-2014 12:33:59.882 client 192.168.1.62#32832: query: mm266.bplaced.com IN A + 23-Sep-2014 12:34:27.620 client 192.168.1.62#46946: query: www.mm266.bplaced.com IN A + 23-Sep-2014 12:38:11.021 client 192.168.1.62#38054: query: mm266.bplaced.com IN A + 23-Sep-2014 12:40:14.205 client 192.168.1.62#43264: query: mm266.bplaced.com IN A + 23-Sep-2014 12:41:14.420 client 192.168.1.62#39112: query: mm266.bplaced.com IN A + 23-Sep-2014 12:42:44.950 client 192.168.1.63#1026: query: mm266.bplaced.com IN A + Bảng 9: Kết thu máy chủ DNS sau áp dụng mô hình Các thông tin thu nhật ký bao gồm: Địa IP máy client kết nối tới tên miền mm266.bplaced.com Đây thông tin quan trọng cần sử dụng cho mục đích theo dõi bóc gỡ botnet Thời gian máy bị nhiễm bot truy vấn tên miền Thông tin thời gian cần thiết cho mục đích điều tra sau 65 c Kết máy chủ web: Trên máy chủ web thu thông tin tập tin nhật ký sau: 192.168.1.99 - - [04/Dec/2014:10:46:37 +0700] "GET /zb/config.bin HTTP/1.1" 404 1126 192.168.1.99 - - [04/Dec/2014:10:46:42 +0700] "GET /zb/config.bin HTTP/1.1" 404 1126 192.168.1.99 - - [04/Dec/2014:10:46:42 +0700] "GET /zb/config.bin HTTP/1.1" 404 1126 192.168.1.99 - - [04/Dec/2014:10:46:47 +0700] "GET /zb/config.bin HTTP/1.1" 404 1126 192.168.1.99 - - [04/Dec/2014:10:46:47 +0700] "GET /zb/config.bin HTTP/1.1" 404 1126 192.168.1.99 - - [04/Dec/2014:10:46:52 +0700] "GET /zb/config.bin HTTP/1.1" 404 1126 192.168.1.99 - - [04/Dec/2014:10:46:52 +0700] "GET /zb/config.bin HTTP/1.1" 404 1126 192.168.1.99 - - [04/Dec/2014:10:47:52 +0700] "GET /zb/config.bin HTTP/1.1" 404 1126 192.168.1.99 - - [04/Dec/2014:10:47:52 +0700] "GET /zb/config.bin HTTP/1.1" 404 1126 192.168.1.99 - - [04/Dec/2014:10:47:57 +0700] "GET /zb/config.bin HTTP/1.1" 404 1126 192.168.1.99 - - [04/Dec/2014:10:47:57 +0700] "GET /zb/config.bin HTTP/1.1" 404 1126 192.168.1.99 - - [04/Dec/2014:10:48:02 +0700] "GET /zb/config.bin HTTP/1.1" 404 1126 192.168.1.99 - - [04/Dec/2014:10:48:02 +0700] "GET /zb/config.bin HTTP/1.1" 404 1126 192.168.1.99 - - [04/Dec/2014:10:48:07 +0700] "GET /zb/config.bin HTTP/1.1" 404 1126 192.168.1.99 - - [04/Dec/2014:10:48:07 +0700] "GET /zb/config.bin HTTP/1.1" 404 1126 192.168.1.99 - - [04/Dec/2014:10:48:12 +0700] "GET /zb/config.bin HTTP/1.1" 404 1126 192.168.1.99 - - [04/Dec/2014:10:48:12 +0700] "GET /zb/config.bin HTTP/1.1" 404 1126 192.168.1.99 - - [04/Dec/2014:10:49:12 +0700] "GET /zb/config.bin HTTP/1.1" 404 1126 192.168.1.99 - - [04/Dec/2014:10:49:12 +0700] "GET /zb/config.bin HTTP/1.1" 404 1126 192.168.1.99 - - [04/Dec/2014:10:49:17 +0700] "GET /zb/config.bin HTTP/1.1" 404 1126 192.168.1.99 - - [04/Dec/2014:10:49:17 +0700] "GET /zb/config.bin HTTP/1.1" 404 1126 Bảng 10: Kết thu máy chủ web sau áp dụng mô hình Các thông tin thu tối thiểu bao gồm: - Địa IP máy client kết nối tới - Thời gian kết nối - Phương thức tài nguyên máy client yêu cầu Đây thông tin quan trọng thể phần hành vi mạng botnet sử dụng cho việc phân tích hoạt động mạng botnet 3.3.3 Đánh giá kết thử nghiệm Trong phần thử nghiệm mô hình với mẫu mã độc mạng botnet Zeus Đây mạng botnet có ảnh hưởng lớn tới người dùng Internet Việt Nam Các kết cụ thể gồm: a) Kết thử nghiệm đạt được: - Theo dõi truy vấn tới tên miền độc hại hai mạng botnet 66 - Theo dõi thông tin địa IP kết nối tới tên miền, thời gian kết nối Số lượng địa kết nối tới tên miền Đây kết quan trọng, sở cho hoạt động bóc gỡ mạng botnet đánh giá mức độ ảnh hưởng không gian mạng - Ngăn chặn kết nối máy người dùng máy chủ điều khiển, từ giảm thiểu mức độ ảnh hưởng công mạng botnet gây - Chuyển hướng kết nối tới tên miền độc hại máy chủ điều khiển trang web chứa thông tin hướng dẫn bóc gỡ mã độc khỏi máy tính người dùng b) Kết chưa đạt được: - Người dùng bình thường khó truy cập đến trang web chứa thông tin hướng dẫn bóc gỡ bot khỏi máy tính mình: kết nối tiến trình mà bot tạo thường kết nối tiến trình ẩn - Cần phải có chế, kênh liên lạc khác để thông báo cảnh báo cho đối tượng ví dụ kênh thư điện tử yêu cầu đơn vị quản lý địa IP phải hỗ trợ người dùng việc bóc gỡ bot khỏi máy người dùng - Ngoài kết thử nghiệm đạt bot thực kết nối thông qua tên miền không hạn chế việc sử dụng máy chủ DNS để phân giải tên miền Tuy nhiên thực tế việc sử dụng trực tiếp địa IP sử dụng trực tiếp địa IP mạng botnet dễ bị phát hiệu quả, việc sử dụng giới hạn số máy chủ DNS khắc phục cách áp dụng sách lọc chặn toàn kết nối dịch vụ DNS tin tặc Bot điều khiển mạng botnet 67 KẾT LUẬN Kết đạt luận văn  Nghiên cứu botnet, giải pháp kỹ thuật phát hiện, theo dõi bóc gỡ botnet từ đưa mô hình theo dõi bóc gỡ mạng botnet phục vụ cho hoạt động bóc gỡ botnet Trung tâm VNCERT  Tiến hành triển khai thử nghiệm quy trình dựa vào kỹ thuật “DNS Sinkhole” nhiều tổ chức, quốc gia áp dụng hoạt động chống botnet Đánh giá ưu điểm hạn chế luận văn  Trong luận văn tác giả tìm hiểu, nghiên cứu đưa mô hình để giải toán theo dõi bóc gỡ mạng botnet Quy trình đề xuất luận văn áp dụng hoạt động bóc gỡ botnet Trung tâm VNCERT  Mô hình luận văn đưa hiệu mạng botnet thực kết nối thông qua tên miền mà không sử dụng cố định máy chủ DNS tin tặc cấu hình Hướng phát triển luận văn  Tiếp tục cài đặt thử nghiệm phần lại mô hình để chủ động phát mạng botnet  Tiếp tục cải tiến mô hình với kênh cảnh báo (thư điện tử, tin nhắn SMS) giải pháp khác nhằm đối phó với mạng botnet 68 TÀI LIỆU THAM KHẢO Daniel Plohmann, Elmar Gerhards-Padilla, Felix Leder (2011), Botnets: Detection, Measurement, Disinfection & Defence, The European Network and Information Security Agency Guofei Gu (2008), Correlation-based Botnet Detection in Enterprise Networks, Georgia Institute of Technology Guy Bruneau (2012), Build Securely a DNS Sinkhole Step-by-Step Powered by Slackware Linux Haritha.S.Nair, Vinodh Ewards S.E (2012), A Study on Botnet Detection Techniques, Karunya University Rodríguez-Gómez R A., Maciá-Fernández G., García-Teodoro P (2011) Analysis of Botnets Through Life-Cycle, University of Granada Trung tâm Ứng cứu Khẩn cấp Máy tính Việt nam (2013), Nghiên cứu xây dựng CSDL quản lý IP botnet nhằm phát cảnh báo hoạt động mạng botnet quan nhà nước Xiaonan Zang, Athichart Tangpong, George Kesidis and David J Miller (2011), Botnet Detection Through Fine Flow Classification, CSE Dept Technical Report No CSE11-001 69 PHỤ LỤC Phụ lục 1: Danh sách tên miền mạng botnet Zeus theo dõi 0070.zzux.com analiticwebexperience.com 039b1ee.netsolhost.com andreialopes.adm.br 03a6b7a.netsolhost.com angelamoveis.com.br 03a6f57.netsolhost.com anketguidevemersion.com 3addictions.com.au anlacviettravel.com.vn 3apa3a.tomsk.tw antrobeat.com 3d-gold.com.hk apextherapyservices.ca 4btc.cc apt-ls.com aaltech.com.au arcelikpendikservisi.gen.tr aconfideeeeeracia200.com asagma.es adlove.su astrowhiscinam.com advanc1.co.vu au-pc-simple.fr advanc118.co.vu autobizz.com.my advwinntdigiplus.net autodiely-cc.sk agresources.us aydinyasam.com ailove.com.br azummiri-tegeydgr-55-dhf- alessandroweiss.com 22.mallabwork.info aliwork.zapto.org babycheatsheets.com allfortune777.biz banknotice.in alschsa.com baoshlda.com amrich1.zapto.org barekpaint.com 70 71 ... số mạng botnet Việt Nam Chương Nghiên cứu giải pháp theo dõi bóc gỡ botnet Chương trình bày cụ thể giải pháp kỹ thuật để phát hiện, theo dõi bóc gỡ botnet Chương Đề xuất thử nghiệm mô hình theo. .. mô hình theo dõi bóc gỡ botnet để cải thiện nâng cao quy trình Được đồng ý, động viên giáo viên hướng dẫn khoa học, chọn đề tài Nghiên cứu thử nghiệm giải pháp theo dõi bóc gỡ mạng botnet làm... sử dụng phương pháp tổng hợp phân tích tư liệu kết hợp với mô thử nghiệm Trên sở nghiên cứu lý thuyết xây dựng, thử nghiệm mô hình theo dõi bóc gỡ mạng botnet dựa quy trình bóc gỡ botnet Trung