Đề Tài: Các công cụ quản lý mạng trên mã nguồn mở

Chia sẻ: Nguyễn Gia Thế | Ngày: | Loại File: PPTX | Số trang:25

Thêm vào BST

Báo xấu

131
lượt xem 8
download

Download Vui lòng tải xuống để xem tài liệu đầy đủ

Lệnh ping chính là công cụ thứ hai trong số các công cụ dòng lệnh, lệnh này giúp bạn xác định xem máy tính hiện có đang truyền thông với Internet hay không. Khi ping đến một địa chỉ nào đó (chẳng hạn như www.google.com), bạn sẽ thấy trạng thái, thời gian truyền mẫu của kết nối này (Có thể dùng để xem địa chỉ IP của một địa chỉ web).

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Đề Tài: Các công cụ quản lý mạng trên mã nguồn mở

Các công cụ quản lý mạng trên mã nguồn mở Thành viên: Nguyễn Gia Thế Phạm Văn Hinh Vũ Văn Khương
Nội dung I. Quản lý lưu lượng đường truyền  II. Khái niệm DDOS và chống DDOS  III. Buffer overflow  IV.Tài liệu tham khảo 
I.Quản lý lưu lượng/đường truyền 1. Một số lệnh trong Terminal   Lệnh ifconfig Khi sử dụng lệnh này trong nhắc lệnh, bạn sẽ được cung cấp các thông tin về tất cả thiết bị mạng đã được nhận dạng
Lệnh Ping  Lệnh ping chính là công cụ thứ hai trong số các công cụ dòng lệnh, lệnh này giúp bạn xác định xem máy tính hiện có đang truyền thông với Internet hay không. Khi ping đến một địa chỉ nào đó (chẳng hạn như www.google.com), bạn sẽ thấy trạng thái, thời gian truyền mẫu của kết nối này (Có thể dùng để xem địa chỉ IP của một địa chỉ web).
Lệnh route  Lệnh này sẽ hiển thị cho bạn một danh sách các địa chỉ IP gồm có địa chỉ Destination và Gateway kết nối đến mỗi giao diện, cùng với đó là một số thông tin bổ sung nằm trong cột Flags. Cột này sẽ có ký tự G trên dòng liên quan với gateway mặc định. Bạn có thể sử dụng địa chỉ này trong lệnh ping để xác định xem máy tính của mình có kết nối với gateway hay không.
2.Vnsat Trong trường hợp bạn không muốn chờ, hãy chạy lệnh:  vnstat l Tham số này sẽ báo cáo dữ liệu “live” 10 giây một lần cho tới khi  bạn nhấn Ctrl+C để tạm dừng quá trình.
EtherApe
Nmap Nmap là một công cụ quét bảo mật được sử dụng rộng rãi từ  những năm 1997. Nó sử dụng một loạt các gói dữ liệu đặc biệt để thăm dò mạng để từ đó tạo bản đồ các địa chỉ IP, xác định hệ điều hành của địa chỉ IP nào đó, thăm dò một loạt các cổng IP ở một địa chỉ cụ thể Tcpdump Nmap là một công cụ quét bảo mật được sử dụng rộng rãi từ  những năm 1997. Nó sử dụng một loạt các gói dữ liệu đặc biệt để thăm dò mạng để từ đó tạo bản đồ các địa chỉ IP, xác định hệ điều hành của địa chỉ IP nào đó, thăm dò một loạt các cổng IP ở một địa chỉ cụ thể. Một trong những vấn đề cơ bản nhất là để thực hiện những gì được gọi là “ping sweep”, có nghĩa một loạt lệnh ping để xác định những địa chỉ nào máy tính được gắn với chúng. Thao tác này có thể được thực hiện qua cú pháp sau: $ nmap sP 192.168.1.1255 
Wireshark Wireshark cung cấp rất nhiều thông tin có giá trị về lưu lượng đã  được capture, cùng với đó là các công cụ lọc và hiển thị dựa trên một số tiêu chuẩn như địa chỉ nguồn, đích, giao thức, hoặc trạng thái lỗi
II.Chống DDoS 1.Định nghĩa Tấn công từ chối dịch vụ Dos (Denial of Service) có thể mô tả như  hành động ngăn cản những người dùng hợp pháp khả năng truy cập và sử dụng một dịch vụ nào đó. Nó bao gồm làm tràn ngập mạng, mất kết nối với dịc vụ … mà mục đích cuối cùng là máy chủ (Server) không thể đáp ứng được các yêu cầu dử dụng dịch vụ từ các máy trạm (client). Tại sao DDoS – Một hình thái tấn công từ chối dịch vụ đã được các  hacker chân chính không còn thừa nhận nữa – lại đang phổ biến và trở thành thứ vũ khí nguy hiểm đến mức không thể chống đỡ, một điều đau lòng là DDoS lại phát sinh từ những tham vọng xấu khi làm chủ và điều khiển được thông tin của những cá nhân.
2.Nhận dạng DDoS Đây là chìa khóa quan trọng cho việc hình thành biện pháp khắc phục tình trạng trì trệ do DDoS tạo ra và tạo điều kiện cho người dùng thực sự có hội sử dụng dịch vụ. Mỗi dạng DDoS có dấu hiệu và đặc tính khác nhau cho nên việc nhận diện DDoS là điều kiện quan trọng đứng sau việc gia tăng băng thông và tài nguyên. Băng thông và tài nguyên luôn luôn có giới hạn nhất định cho nên việc nhận dạng DDoS giúp cản lọc và tách rời chúng một cách hữu hiệu. 3. Các đặc tính của tấn công DDoS Nó được tấn công từ một hệ thống các máy tính cực lớn trên Internet, và thường dựa vào các dịch vụ có sẵn trên các máy tính trong mạng Botnet. Các dịch vụ tấn công được điều khiển từ những “Primary Victim” trong khi các máy tính bị chiếm quyền sử dụng trong mạng Bot được sử dụng để tấn công thường được gọi là “secondary victims”. Là dạng tấn công rất khó có thể phát hiện tấn công này được sinh ra từ nhiều địa chỉ IP khác nhau trên Internet. Nếu một địa chỉ IP tấn công một công ty, nó có thể được chặn bởi Firewall. Nếu nó từ 30.000 địa chỉ IP khác, thì điều này là vô cùng
4. Các phương thức tấn công Tấn công từ chối dịch vụ có thể được thực hiện theo một số các nhất  định. Có năm kiểu tấn công cơ bản sau: Nhằm tiêu tốn tài nguyên tính toán như băng thông, dung lượng đĩa cứng  hoặc thời gian xử lý. Phá vỡ các thông tin cấu hình như thông tin định tuyến  Phá vỡ các trạng thái thông tin như việc tự động reset lại các phiên TCP  Phá vỡ các thành phần vật lý của mạng máy tính  Làm tắc nghẽn thông tin liên lạc có chủ đích giữa người dùng và nạn nhân  đến việc liên lạc giữa hai bên không được thông suốt. Một việc tấn công từ chối dịch vụ có thể bao gồm thực thi Malware  nhằm: Làm quá tải năng lực xử lý, dẫn đến hệ thống không thể thực thi bất kì  một công việc nào khác. Những lỗi gọi tức thì trong Microcode của máy tính.  Những lỗi gọi thức thì trong chuỗi chỉ thị, dẫn đến máy tính rời vào trạng  thái hoạt động không ổn định hoặc bị đơ. Những lỗi có thể khai thác được ở hệ điều hành dẫn đến việc thiếu thốn 
SYN Flood Attack
Do TCP là thủ tục tin cậy trong việc giao nhận (endtoend) nên  trong lần bắt tay thứ 2, server gửi các gói tin SYN/ACK trả lời lại các client mà ko nhận lại được hồi âm của client để thực hiện kết nối thì nó vẫn bảo lưu nguồn tài nguyên chuẩn bị kết nối đó và lập lại việc gửi gói tin SYN/ACK cho client đến khi nào nhận được hồi đáp của máy client
Đây không phải là kiểu tấn công bằng đường truyền cao, bởi vì chỉ  cần một máy tính kết nối internet qua ngã dialup đơn giản cũng có thể tấn công kiểu này (tốn nhiều thời gian hơn).
5. Một số biện pháp phòng chống Kiểm tra Server có bị DDoS hay không?  Từ command line của Linux gõ:  netstat an|grep :80 |awk '{print $5}'|cut d":" f1|sort|uniq c|sort –rn Hiển thị tất cả các IP đang kết nối và số lượng kết nối từ mỗi IP.  netstat -n | grep :80 |wc –l Kiểm tra số connection trên port 80  netstat n | grep :80 | grep SYN_RECV|wc –l Kiểm tra số lượng connection đang ở trạng thái SYN_RECV 
Một số biện pháp phòng chống (tiếp) Mô hình hệ thống cần phải được xây dựng hợp lý, tránh phục  thuộc lẫn nhau quá mức. Bởi một bộ phận gặp sự cố sẽ làm ảnh hưởng tới toàn bộ hệ thống. Thiết lập mật khẩu mạnh (strong password) để bảo vệ các thiết bị  mạng và các nguồn tài nguyên quan trọng khác. Thiết lập các mức xác thực đối với người xử dụng cũng như các  nguồn tin trên internet. Đặc biệt, nên thiết lập chế độ xác thực khi cập nhật các thông tin định tuyến giữa các router. Liên tục cập nhật, nghiên cứu, kiểm tra để phát hiện các lỗ hổng  bảo mật và có biện pháp khắc phục kịp thời. Sử dụng các biện pháp kiểm tra hoạt động hệ thống một các liên tục để phát hiện ngay những hành động bất thường. Nếu bị tấn công do lỗi của phần mềm hay thiết bị thì nhanh chóng  cập nhật các bản sửa lỗi cho hệ thống hoặc thay thế.
6. Một số cách khắc phục Cách khắc phục nhanh nhất là Block IP chiếm nhiều connection  nhất trong “giờ cao điểm”. Route add địa_chỉ_IP reject VD: route add 192.168.0.168 reject  Kiểm tra bằng lệnh: route –n|grep địa_chỉ_IP  Hoặc cách sau:  Sử dụng Iptables  Iptables –A INPUT 1 –s địa_chỉ_ip –j DROP/REJECT service iptables restart Service iptables save Sau đó xóa hết tất cả connection hiện hành và khởi động lại  service httpd Killall –KILL httpd Service httpd restart
III. Buffer overflow 1. Tổng quan về buffer overflow: Lỗi tràn bộ đệm là một điều kiện bất thường khi một tiến trình lưu dữ liệu  vượt ra ngoài biên của bộ nhớ đệm có chiều dài cố định. Kết quả là dữ liệu có thể đè lên các bộ nhớ liền kề. Dữ liệu bi ghi đè có thề bao gồm các bộ nhớ đệm khác,các biến và dữ liệu điều khiển luồng chảy của chương trình (program flow control). Các lỗi tràn bộ đệm có thề làm cho tiến trình bị đổ vỡ hoặc cho ra kết quả  sai. Các lỗi này có thể được kích hoạt bởi các dữ liệu vào được thiết kế đặc biệt để thưc thi các đoạn mả phá hoại hoặc để làm cho chương trình hoạt động không như mong đợi. Bằng cách đó các lỗi tràn bộ đệm gây ra nhiều 2. lNguyên o mật đối vy ra các m và tạo cơ soverflow củủ thuật khai ng ổ hổng bả nhân gâ ới phần mề lỗi buffer ở cho nhiều th a các chươ trìthác. ng dụng: nh/ứ Phương thức kiểm tra biên (boundary) không được thực hiện đầy đủ  ,hoặc là được bỏ qua. Các ngôn ngữ lập trình,như là ngôn ngữ C ,bản thân nó đã tiềm ẩn.  các lỗi mà hacker có thể khai thác. Các phương thức strcat(),strcpy(),sprintf(),bcopy(), gets() ,và canf()  trong ngôn ngữ C có thể được khai thác vì các hàm này không kiểm tra xem những buffer được cấp phát trên stack có kích thước lớn hơn dữ liệu được copy cào buffer hay không?