Khoa MMT&TT - UIT Bộ môn An toàn Thông tin – Khoa
Lab
Tấn công từ chối dịch vụ DoS/DDoS DoS/DDoS Attack
Thực hành An toàn Mạng máy tính nâng cao GVTH: Nguyễn Thanh Hòa
Tháng 4/2018
Lưu hành nội bộ
Lab 3: Tấ n công Từ chố i dịch vụ DoS/DDoS A.
2
TỔNG QUAN
1. Mục tiêu Tìm hiểu DoS và DDoS
▪
Thực hành tấn công DoS/DDoS Thực hành pht hin và phân tch cc v tấn công DoS trên my nn nhân Vai trò của Botnet trong cc v tấn công từ chối dịch v 2. Kiến thức nền tảng Sinh viên xem file tham khảo đính kèm mô tả chi tiết về các loại tấn công DoS/DDoS 3. Môi trường – công cụ 1 máy ảo Kali Linux ▪
▪
▪
▪
▪
1 máy Attacker (Windows)
▪
1 máy Victim (Windows) Các gói công c khác (cụ thể trong từng bài).
▪
HỰC HÀNH
B. T
1. SYN Flooding một Target Host b ằng Metasploit a) Môi trường thực hành: •
Host Machine chy Windows Server 2012
•
My ảo chy Kali Linux (Attacker)
•
My ảo chy Windows 8.1 (Victim) có cài Wireshark.
b) Nội dung thực hành
• Bước 1: Quét lớp mng để tìm ip của victim bằng công c nmap. Gõ lnh: nmap -sP [Lớ p mạng/Subnet Mark]
BỘ MÔN
THỰC HÀNH AN TOÀN MẠNG MÁY TÍNH NÂNG CAO
AN TOÀN THÔNG TIN
GVTH: NGUYỄN THANH HÒA –
[email protected]
Lab 3: Tấ n công Từ chố i dịch vụ DoS/DDoS
3
• Bước 2: Xc định cổng 4444 đóng hay mở. Dùng nmap để kiểm tra tình trng của cổng này. Gõ lnh: nmap –p 4444 [IP_Windows_8.1_Machine]
• Bước 3:
Do cổng 4444 đã mở , chúng ta sẽ b ắt đầu thực hin SYN Flooding trên
máy Victim. Sử dng module synflood để thực hin tấn công DoS. Mở module này từ msfconsole.
Trướ c khi khởi động msfconsole, lưu ý bật postgresql service: service postgresql start
• Bước 4: Gõ lnh msfconsole từ màn hình terminal để khởi động msfconsole • Bước 5: Gõ lnh use auxiliary/dos/tcp/synflood và Enter • Bước 6: Tiếp theo, chúng ta cần chỉ định thiết lập các tùy chọn cho các module
để bắt đầu thực hin tấn công DoS. Gõ lnh show options sau đó Enter. Màn hình sẽ hin thị các tùy chọn cho module auxiliary
Chúng ta sẽ thiết lập: set RHOST [IP_of_Windows_8.1] set RPORT 4444 set SHOST [IP_of_Windows_Server_2012]
Lưu ý: SHOST chính là địa chỉ IP của attacker giả mạo để tấn công BỘ MÔN
THỰC HÀNH AN TOÀN MẠNG MÁY TÍNH NÂNG CAO
AN TOÀN THÔNG TIN
GVTH: NGUYỄN THANH HÒA –
[email protected]
Lab 3: Tấ n công Từ chố i dịch vụ DoS/DDoS
4
• Bước 7: Gõ lnh exploit để tấn công DoS • Bước 8: Kiểm tra Wireshark và Task Manager ở máy Victim trướ c và sau khi thực hin tấn công Yêu cầu: Quay lại Video quá trình thự c hiện tấn công, có th ể tùy bi ế n lại các thông s ố khác
2. SYN Flooding sử dụng hping3 a) Môi trường thực hành: •
My ảo chy Windows 8.1 (Victim )
•
My ảo Kali Linux (Attacker)
•
Công c Wireshark cho my ảo Windows 8.1
b) Nội dung thực hành
• Bước 1: Gõ lnh: hping3 -c 10000 -d 120 -S -w 64 -p 4444 --flood --rand-source [IP_of_Windows_8.1]
Trong đó: ▪
▪
▪
-c 1000 là số packet sẽ g ửi
đi
-d 120 là kch thướ c của gói tin g ửi đi -S là g ửi gói tin SYS
▪
-w 64 TCP window size
▪
-p 4444 là port target bị tấn công
▪
▪
▪
--flood là tùy chọn tấn công không quan tâm tớ i replies của target --rand-source là tùy chọn nhằm random địa chỉ IP giả mo để tấn công
[IP_of_target] là địa chỉ IP của target
• Bước 2: Quan sát Wireshark và Task Manager trên máy tính n n nhân ta nhận
đượ c k ết quả sau:
BỘ MÔN
THỰC HÀNH AN TOÀN MẠNG MÁY TÍNH NÂNG CAO
AN TOÀN THÔNG TIN
GVTH: NGUYỄN THANH HÒA –
[email protected]
Lab 3: Tấ n công Từ chố i dịch vụ DoS/DDoS
5
Task Manager:
Wireshark:
Yêu cầu: Quay lại Video quá trình thự c hiện tấn công g ồm ít nhất 3 k ịch bản vớ i các thông
số khác nhau của công cụ hping3. Kiể m tra, so sánh k ết quả và nhận xét trong báo cáo.
BỘ MÔN
THỰC HÀNH AN TOÀN MẠNG MÁY TÍNH NÂNG CAO
AN TOÀN THÔNG TIN
GVTH: NGUYỄN THANH HÒA –
[email protected]
Lab 3: Tấ n công Từ chố i dịch vụ DoS/DDoS
6
3. HTTP Flooding sử dụng công cụ DoSHTTP a) Môi trường thực hành: •
My ảo chy Windows 8.1 (Victim )
•
My ảo Windows Server 2012 (Attacker)
•
Công c Wireshark cho my ảo Windows 8.1
•
Công c DoSHTTP cho my ảo Windows Server 2012
b) Nội dung thực hành
• Bước 1: Mở port 80 của my tnh Windows 8.1 • Bước 2: Ở my tnh Windows Server 2012 chúng ta mở công c DoSHTTP • Bước 3: Nhập địa chỉ vào ô Target URL, và điều chỉnh cc thông số cho hợp lý
• Bước 4: Nhấn nút Start Flood trên công c DoSHTTP và quan st my target: • Bước 5: Nhấn nút Stop và xem report của công c Yêu cầu: Quay lại Video quá trình th ự c hiện tấn công và đ ánh giá k ết quả sau khi t ấn công
Tìm hiể u và thự c nghiệm tấn công HTTP Flooding v ớ i công cụ HOIC (High Orbit Ion Cannon) - https://sourceforge.net/projects/highorbitioncannon/ hoặ c XOIC và các công c ụ khác tương tự . So sánh hiệu quả , mứ c độ nguy hiể m vào báo cáo. Chú ý: Chỉ thực hiện trên các máy tính nội bộ trong k ịch bản đ ã thiết lập, tuyệt đối không
được sử dụng các website th ực tế làm mục tiêu.
BỘ MÔN
THỰC HÀNH AN TOÀN MẠNG MÁY TÍNH NÂNG CAO
AN TOÀN THÔNG TIN
GVTH: NGUYỄN THANH HÒA –
[email protected]
Lab 3: Tấ n công Từ chố i dịch vụ DoS/DDoS
7
4. Phát hiện và phân tích lưu lượng tấn công DoS bằng KFSensor và Wireshark. a) Môi trường thực hành: •
My ảo chy Windows 8.1 (Victim )
•
My ảo Kali Linux (Attacker)
•
Công c KFSensor, Wireshark cho my ảo Windows 8.1
b) Nội dung thực hành
• Bước 1: Cài đặt KFSensor trên máy Victim •
Dowload KFSensor từ trang chủ: http://www.keyfocus.net/kfsensor/
•
Chy tp tin cài đặt, tiến hành nhập các thông số cần thiết và cài đặt
BỘ MÔN
THỰC HÀNH AN TOÀN MẠNG MÁY TÍNH NÂNG CAO
AN TOÀN THÔNG TIN
GVTH: NGUYỄN THANH HÒA –
[email protected]
Lab 3: Tấ n công Từ chố i dịch vụ DoS/DDoS
8
• Bước 2: Thiết lập cấu hình cho KFSensor •
Chọn Settings
Set Up Wizard... ở menu để mở hộp thoi cấu hình
chương trình
•
Hộp thoi Set Up Wizard mở ra, chọn Next
•
Giữ cc thiếp lập mặc định ở phần Set Up Winzard - Port Classes và nhấn Next
BỘ MÔN
THỰC HÀNH AN TOÀN MẠNG MÁY TÍNH NÂNG CAO
AN TOÀN THÔNG TIN
GVTH: NGUYỄN THANH HÒA –
[email protected]
Lab 3: Tấ n công Từ chố i dịch vụ DoS/DDoS
9
•
Nhấn Next
•
Giữ nguyên phần Domain Name ở phần Set Up Wizard - Domain và
nhấn Next
•
Nhập email gửi và nhận thông bo của chương trình vào ô Send to và Send from
BỘ MÔN
THỰC HÀNH AN TOÀN MẠNG MÁY TÍNH NÂNG CAO
AN TOÀN THÔNG TIN
GVTH: NGUYỄN THANH HÒA –
[email protected]
Lab 3: Tấ n công Từ chố i dịch vụ DoS/DDoS
•
0 1
Ở hộp thoi Set Up Wizard - Options ta thiết lập Nomal cho mc Denial Of Service Options, thiết lập Enable packet dump files cho mc Network Protocol Analyzer. Các thiết lập này (Cautions và Enable packet dump files) sẽ đượ c sử dng trong trườ ng hợ p bị tấn công DoS
BỘ MÔN
THỰC HÀNH AN TOÀN MẠNG MÁY TÍNH NÂNG CAO
AN TOÀN THÔNG TIN
GVTH: NGUYỄN THANH HÒA –
[email protected]
Lab 3: Tấ n công Từ chố i dịch vụ DoS/DDoS •
1 1
Giữ nguyên thiết lập ở phần Set Up Wizard - Systems Service và nhấn Next
•
Nhấn Finish ở hộp thoi Set Up Wizard - Finish
• Bước 3: Sau khi cài đặt xong cấu hình, chúng ta chọn FTP ở mc TCP lúc ở màn hình chính
BỘ MÔN
THỰC HÀNH AN TOÀN MẠNG MÁY TÍNH NÂNG CAO
AN TOÀN THÔNG TIN
GVTH: NGUYỄN THANH HÒA –
[email protected]
Lab 3: Tấ n công Từ chố i dịch vụ DoS/DDoS
2 1
• Bước 4: Tấn công DoS vào my nn nhân ở port FTP (21) •
Dùng công c nmap trên my Kali Linux để scan cổng FTP trên my nn nhân có
mở hay không:
•
Theo như trên hình ta thấy cổng FTP trên my nn nhân mở
•
Tiếp theo chúng ta sẽ dùng công c bất kỳ để tấn công DoS cổng 21 trên my tnh nn nhân, v d dùng hping3 để tấn công
• Bước 5: Xem kết quả trên my tnh nn nhân, chúng ta nhận thấy KFSensor đã
hin ra thông bo bị tấn công DoS và gửi email đến người dùng
•
Chúng ta có thể nhấn đúp vào cc thông bo gói xem thông tin chi tiết về cuộc tấn công
BỘ MÔN
THỰC HÀNH AN TOÀN MẠNG MÁY TÍNH NÂNG CAO
AN TOÀN THÔNG TIN
GVTH: NGUYỄN THANH HÒA –
[email protected]
Lab 3: Tấ n công Từ chố i dịch vụ DoS/DDoS
•
3 1
Chuột phải vào thông bo chọn Create Visitor Rule... để thiếp lập cc rule phù hợp
Yêu cầu: Quay lại Video quá trình thự c hiện tấn công và dùng KFSensor để phát hi ện.
5. Xây dựng mạng Botnet thiết lập tấn công DDoS a) Môi trường thực hành:
-
•
My ảo chy Windows 8.1 (Victim )
•
3 My ảo Ubuntu (bot, attacker)
Cài đặt cc gói cần thiết cho my ảo Ubuntu •
sudo apt-get install python-pip libevent-dev python-all-dev
•
sudo pip install irckit
•
sudo pip install greenlet
•
sudo pip install gevent
BỘ MÔN
THỰC HÀNH AN TOÀN MẠNG MÁY TÍNH NÂNG CAO
AN TOÀN THÔNG TIN
GVTH: NGUYỄN THANH HÒA –
[email protected]
Lab 3: Tấ n công Từ chố i dịch vụ DoS/DDoS
-
-
4 1
Source code irckit và file pdf hướng dẫn: •
https://media.readthedocs.org/pdf/irckit/latest/irckit.pdf
•
https://github.com/coleifer/irc
Lưu ý: •
Nếu chy file worker bị lỗi "ImportError: No module named dns" thì xóa dòng "from gevent.dns import DNSError" để thực thi được
•
Tham khảo cc lnh thực thi trên ở trong file irckit.pdf
b) Nội dung thực hành
• Bước 1: Chy file boss.py trên my boss để to channel trên freenode.net để điều
kiển cc worker. Gõ lnh: python boss.py -c 15520089 -n boss -x abc + Trong đó: -c là tên channel -n là nick name của boss -x dùng để chứng thực có phải boss hay
không
• Bước 2: Chy file worker.py trên cc my worker để kết nối với boss. Gõ lnh: python worker.py -n worker0 -b boss
+ Trong đó: -n là nick name của woker - b là tên boss cần kết nối
• Bước 3: Kiểm tra cc kết nối trên my boss
BỘ MÔN
THỰC HÀNH AN TOÀN MẠNG MÁY TÍNH NÂNG CAO
AN TOÀN THÔNG TIN
GVTH: NGUYỄN THANH HÒA –
[email protected]
Lab 3: Tấ n công Từ chố i dịch vụ DoS/DDoS
5 1
• Bước 4: Vào trang freenode.net để đăng nhập vào channel
• Bước 5: Chứng thực người điều kiển là boss trên trang freenode.net. Gõ lnh: !auth abc
• Bước 6: Xây dựng kịch bản tấn công DDoS. V d: Download file liên tc từ một
server có sẵn bằng lượng lớn worker Yêu cầu: Xây dự ng k ịch b ản t ấn công DDoS từ m ạng botnet và quay l ại video quá trình thự c hiện tấn công. C.
YÊU CẦU & ĐÁNH GIÁ
1. Yêu cầu ▪
▪
Sinh viên tìm hiểu và thực hành theo hướng dẫn. Có thể thực hin theo nhóm (2 sinh viên/nhóm) hoặc thực hin c nhân. Đăng ký nhóm cố định từ buổi 1. Sinh viên bo co kết quả thực hin và nộp bài bằng Video trình bày chi tiết quá trình thực hành
BỘ MÔN
THỰC HÀNH AN TOÀN MẠNG MÁY TÍNH NÂNG CAO
AN TOÀN THÔNG TIN
GVTH: NGUYỄN THANH HÒA –
[email protected]
Lab 3: Tấ n công Từ chố i dịch vụ DoS/DDoS
6 1
+ Quay li qu trình thực hin Lab của sinh viên kèm mô tả / giải thch qu trình thực hành. + Upload lên Google Drive và chèn link vào đầu bo co theo mẫu (lưu ý share quyền xem). Không upload lên YouTube và chia sẻ công khai. Các nội dung có yêu cầu nhận xét, đánh giá nếu không thể hin trực tiếp ti Video thì có thể trình bày trong báo cáo thực hành Đặt tên file bo co theo định dng như mẫu: [Mã lớp]-LabX_MSSV1-Tên SV1_MSSV2 –Tên SV2 Ví dụ: [NT101.I11.1]-Lab1_14520000-Viet_14520999-Nam. Nếu bo co có nhiều file, nén tất cả file vào file .ZIP với cùng tên file bo co.
Nộp bo co trên theo thời gian đã thống nhất ti website môn học. 2. Đánh giá:
Sinh viên hiểu và tự thực hin được bài thực hành, khuyến khch: Chuẩn bị môi trường thực hành trước và đóng góp tch cực ti lớp. Bo co trình bày chi tiết, giải thch cc bước thực hin và chứng minh được do nhóm sinh viên thực hin. Có nội dung mở rộng, ứng dng trong kịch bản phức tp hơn, có đóng góp xây dựng bài thực hành. Lưu ý: Bài sao chép , nộp trễ, “gánh team”, … sẽ được xử lý tùy mức độ. ▪
▪
▪
THAM KHẢO
D. [1] Tài liu tham khảo Lab 3 đ ính kèm
HẾT
BỘ MÔN
THỰC HÀNH AN TOÀN MẠNG MÁY TÍNH NÂNG CAO
AN TOÀN THÔNG TIN
GVTH: NGUYỄN THANH HÒA –
[email protected]