Lab 3 - DoS-DDoS and Botnet_2018

Khoa MMT&TT - UIT Bộ môn An toàn Thông tin – Khoa

Lab

Tấn công từ chối dịch vụ DoS/DDoS DoS/DDoS Attack

Thực hành An toàn Mạng máy tính nâng cao GVTH: Nguyễn Thanh Hòa

Tháng 4/2018

Lưu hành nội bộ

Lab 3: Tấ n công Từ chố i dịch vụ DoS/DDoS A.

2

TỔNG QUAN

1. Mục tiêu Tìm hiểu DoS và DDoS

▪

Thực hành tấn công DoS/DDoS Thực hành pht hin và phân tch cc v tấn công DoS trên my nn nhân Vai trò của Botnet trong cc v tấn công từ chối dịch v 2. Kiến thức nền tảng Sinh viên xem file tham khảo đính kèm mô tả chi tiết về các loại tấn công DoS/DDoS 3. Môi trường – công cụ 1 máy ảo Kali Linux ▪

▪

▪

▪

▪

1 máy Attacker (Windows)

▪

1 máy Victim (Windows) Các gói công c khác (cụ thể trong từng bài).

▪

HỰC HÀNH

B. T

1. SYN Flooding một Target Host b ằng Metasploit a) Môi trường thực hành: •

Host Machine chy Windows Server 2012

•

My ảo chy Kali Linux (Attacker)

•

My ảo chy Windows 8.1 (Victim) có cài Wireshark.

b) Nội dung thực hành

• Bước 1: Quét lớp mng để tìm ip của victim bằng công c nmap. Gõ lnh: nmap -sP [Lớ p mạng/Subnet Mark]

BỘ MÔN

THỰC HÀNH AN TOÀN MẠNG MÁY TÍNH NÂNG CAO

AN TOÀN THÔNG TIN

GVTH: NGUYỄN THANH HÒA – [email protected]

Lab 3: Tấ n công Từ chố i dịch vụ DoS/DDoS

3

• Bước 2: Xc định cổng 4444 đóng hay mở. Dùng nmap để kiểm tra tình trng của cổng này. Gõ lnh: nmap –p 4444 [IP_Windows_8.1_Machine]

• Bước 3:

Do cổng 4444 đã mở , chúng ta sẽ b ắt đầu thực hin SYN Flooding trên

máy Victim. Sử dng module synflood để thực hin tấn công DoS. Mở module này từ msfconsole.

Trướ c khi khởi động msfconsole, lưu ý bật postgresql service: service postgresql start

• Bước 4: Gõ lnh msfconsole từ màn hình terminal để khởi động msfconsole • Bước 5: Gõ lnh use auxiliary/dos/tcp/synflood và Enter • Bước 6: Tiếp theo, chúng ta cần chỉ định thiết lập các tùy chọn cho các module

để bắt đầu thực hin tấn công DoS. Gõ lnh show options sau đó Enter. Màn hình sẽ hin thị các tùy chọn cho module auxiliary

Chúng ta sẽ thiết lập: set RHOST [IP_of_Windows_8.1] set RPORT 4444 set SHOST [IP_of_Windows_Server_2012]

Lưu ý: SHOST chính là địa chỉ IP của attacker giả mạo để tấn công BỘ MÔN


AN TOÀN THÔNG TIN



4

• Bước 7: Gõ lnh exploit để tấn công DoS • Bước 8: Kiểm tra Wireshark và Task Manager ở máy Victim trướ c và sau khi thực hin tấn công Yêu cầu: Quay lại Video quá trình thự c hiện tấn công, có th ể tùy bi ế n lại các thông s ố khác

2. SYN Flooding sử dụng hping3 a) Môi trường thực hành: •

My ảo chy Windows 8.1 (Victim )

•

My ảo Kali Linux (Attacker)

•

Công c Wireshark cho my ảo Windows 8.1


• Bước 1: Gõ lnh: hping3 -c 10000 -d 120 -S -w 64 -p 4444 --flood --rand-source [IP_of_Windows_8.1]

Trong đó: ▪

▪

▪

-c 1000 là số packet sẽ g ửi

đi

-d 120 là kch thướ c của gói tin g ửi đi -S là g ửi gói tin SYS

▪

-w 64 TCP window size

▪

-p 4444 là port target bị tấn công

▪

▪

▪

--flood là tùy chọn tấn công không quan tâm tớ i replies của target --rand-source là tùy chọn nhằm random địa chỉ IP giả mo để tấn công

[IP_of_target] là địa chỉ IP của target

• Bước 2: Quan sát Wireshark và Task Manager trên máy tính n n nhân ta nhận

đượ c k ết quả sau:

BỘ MÔN


AN TOÀN THÔNG TIN



5

Task Manager:

Wireshark:

Yêu cầu: Quay lại Video quá trình thự c hiện tấn công g ồm ít nhất 3 k ịch bản vớ i các thông

số khác nhau của công cụ hping3. Kiể m tra, so sánh k ết quả và nhận xét trong báo cáo.

BỘ MÔN


AN TOÀN THÔNG TIN



6

3. HTTP Flooding sử dụng công cụ DoSHTTP a) Môi trường thực hành: •


•

My ảo Windows Server 2012 (Attacker)

•

Công c Wireshark cho my ảo Windows 8.1

•

Công c DoSHTTP cho my ảo Windows Server 2012


• Bước 1: Mở port 80 của my tnh Windows 8.1 • Bước 2: Ở my tnh Windows Server 2012 chúng ta mở công c DoSHTTP • Bước 3: Nhập địa chỉ vào ô Target URL, và điều chỉnh cc thông số cho hợp lý

• Bước 4: Nhấn nút Start Flood trên công c DoSHTTP và quan st my target: • Bước 5: Nhấn nút Stop và xem report của công c Yêu cầu: Quay lại Video quá trình th ự c hiện tấn công và đ ánh giá k ết quả sau khi t ấn công

Tìm hiể u và thự c nghiệm tấn công HTTP Flooding v ớ i công cụ HOIC (High Orbit Ion Cannon) - https://sourceforge.net/projects/highorbitioncannon/ hoặ c XOIC và các công c ụ khác tương tự . So sánh hiệu quả , mứ c độ nguy hiể m vào báo cáo. Chú ý: Chỉ thực hiện trên các máy tính nội bộ trong k ịch bản đ ã thiết lập, tuyệt đối không

được sử dụng các website th ực tế làm mục tiêu.

BỘ MÔN


AN TOÀN THÔNG TIN



7

4. Phát hiện và phân tích lưu lượng tấn công DoS bằng KFSensor và Wireshark. a) Môi trường thực hành: •


•

My ảo Kali Linux (Attacker)

•

Công c KFSensor, Wireshark cho my ảo Windows 8.1


• Bước 1: Cài đặt KFSensor trên máy Victim •

Dowload KFSensor từ trang chủ: http://www.keyfocus.net/kfsensor/

•

Chy tp tin cài đặt, tiến hành nhập các thông số cần thiết và cài đặt

BỘ MÔN


AN TOÀN THÔNG TIN



8

• Bước 2: Thiết lập cấu hình cho KFSensor •

Chọn Settings

Set Up Wizard... ở menu để mở hộp thoi cấu hình

chương trình

•

Hộp thoi Set Up Wizard mở ra, chọn Next

•

Giữ cc thiếp lập mặc định ở phần Set Up Winzard - Port Classes và nhấn Next

BỘ MÔN


AN TOÀN THÔNG TIN



9

•

Nhấn Next

•

Giữ nguyên phần Domain Name ở phần Set Up Wizard - Domain và

nhấn Next

•

Nhập email gửi và nhận thông bo của chương trình vào ô Send to và Send from

BỘ MÔN


AN TOÀN THÔNG TIN



•

0 1

Ở hộp thoi Set Up Wizard - Options ta thiết lập Nomal cho mc Denial Of Service Options, thiết lập Enable packet dump files cho mc Network Protocol Analyzer. Các thiết lập này (Cautions và Enable packet dump files) sẽ đượ c sử dng trong trườ ng hợ p bị tấn công DoS

BỘ MÔN


AN TOÀN THÔNG TIN


Lab 3: Tấ n công Từ chố i dịch vụ DoS/DDoS •

1 1

Giữ nguyên thiết lập ở phần Set Up Wizard - Systems Service và nhấn Next

•

Nhấn Finish ở hộp thoi Set Up Wizard - Finish

• Bước 3: Sau khi cài đặt xong cấu hình, chúng ta chọn FTP ở mc TCP lúc ở màn hình chính

BỘ MÔN


AN TOÀN THÔNG TIN



2 1

• Bước 4: Tấn công DoS vào my nn nhân ở port FTP (21) •

Dùng công c nmap trên my Kali Linux để scan cổng FTP trên my nn nhân có

mở hay không:

•

Theo như trên hình ta thấy cổng FTP trên my nn nhân mở

•

Tiếp theo chúng ta sẽ dùng công c bất kỳ để tấn công DoS cổng 21 trên my tnh nn nhân, v d dùng hping3 để tấn công

• Bước 5: Xem kết quả trên my tnh nn nhân, chúng ta nhận thấy KFSensor đã

hin ra thông bo bị tấn công DoS và gửi email đến người dùng

•

Chúng ta có thể nhấn đúp vào cc thông bo gói xem thông tin chi tiết về cuộc tấn công

BỘ MÔN


AN TOÀN THÔNG TIN



•

3 1

Chuột phải vào thông bo chọn Create Visitor Rule... để thiếp lập cc rule phù hợp

Yêu cầu: Quay lại Video quá trình thự c hiện tấn công và dùng KFSensor để phát hi ện.

5. Xây dựng mạng Botnet thiết lập tấn công DDoS a) Môi trường thực hành:

-

•


•

3 My ảo Ubuntu (bot, attacker)

Cài đặt cc gói cần thiết cho my ảo Ubuntu •

sudo apt-get install python-pip libevent-dev python-all-dev

•

sudo pip install irckit

•

sudo pip install greenlet

•

sudo pip install gevent

BỘ MÔN


AN TOÀN THÔNG TIN



-

-

4 1

Source code irckit và file pdf hướng dẫn: •

https://media.readthedocs.org/pdf/irckit/latest/irckit.pdf

•

https://github.com/coleifer/irc

Lưu ý: •

Nếu chy file worker bị lỗi "ImportError: No module named dns" thì xóa dòng "from gevent.dns import DNSError" để thực thi được

•

Tham khảo cc lnh thực thi trên ở trong file irckit.pdf


• Bước 1: Chy file boss.py trên my boss để to channel trên freenode.net để điều

kiển cc worker. Gõ lnh: python boss.py -c 15520089 -n boss -x abc + Trong đó: -c là tên channel -n là nick name của boss -x dùng để chứng thực có phải boss hay

không

• Bước 2: Chy file worker.py trên cc my worker để kết nối với boss. Gõ lnh: python worker.py -n worker0 -b boss

+ Trong đó: -n là nick name của woker - b là tên boss cần kết nối

• Bước 3: Kiểm tra cc kết nối trên my boss

BỘ MÔN


AN TOÀN THÔNG TIN



5 1

• Bước 4: Vào trang freenode.net để đăng nhập vào channel

• Bước 5: Chứng thực người điều kiển là boss trên trang freenode.net. Gõ lnh: !auth abc

• Bước 6: Xây dựng kịch bản tấn công DDoS. V d: Download file liên tc từ một

server có sẵn bằng lượng lớn worker Yêu cầu: Xây dự ng k ịch b ản t ấn công DDoS từ m ạng botnet và quay l ại video quá trình thự c hiện tấn công. C.

YÊU CẦU & ĐÁNH GIÁ

1. Yêu cầu ▪

▪

Sinh viên tìm hiểu và thực hành theo hướng dẫn. Có thể thực hin theo nhóm (2 sinh viên/nhóm) hoặc thực hin c nhân. Đăng ký nhóm cố định từ buổi 1. Sinh viên bo co kết quả thực hin và nộp bài bằng Video trình bày chi tiết quá trình thực hành

BỘ MÔN


AN TOÀN THÔNG TIN



6 1

+ Quay li qu trình thực hin Lab của sinh viên kèm mô tả / giải thch qu trình thực hành. + Upload lên Google Drive và chèn link vào đầu bo co theo mẫu (lưu ý share quyền xem). Không upload lên YouTube và chia sẻ công khai. Các nội dung có yêu cầu nhận xét, đánh giá nếu không thể hin trực tiếp ti Video thì có thể trình bày trong báo cáo thực hành Đặt tên file bo co theo định dng như mẫu: [Mã lớp]-LabX_MSSV1-Tên SV1_MSSV2 –Tên SV2 Ví dụ: [NT101.I11.1]-Lab1_14520000-Viet_14520999-Nam. Nếu bo co có nhiều file, nén tất cả file vào file .ZIP với cùng tên file bo co.

Nộp bo co trên theo thời gian đã thống nhất ti website môn học. 2. Đánh giá:

Sinh viên hiểu và tự thực hin được bài thực hành, khuyến khch: Chuẩn bị môi trường thực hành trước và đóng góp tch cực ti lớp. Bo co trình bày chi tiết, giải thch cc bước thực hin và chứng minh được do nhóm sinh viên thực hin. Có nội dung mở rộng, ứng dng trong kịch bản phức tp hơn, có đóng góp xây dựng bài thực hành. Lưu ý: Bài sao chép , nộp trễ, “gánh team”, … sẽ được xử lý tùy mức độ. ▪

▪

▪

THAM KHẢO

D. [1] Tài liu tham khảo Lab 3 đ ính kèm

HẾT

BỘ MÔN


AN TOÀN THÔNG TIN


Lab 3 - DoS-DDoS and Botnet_2018

Recommend Documents