[Ask] Chặn tấn công Dos bằng TMG 2010 ?

[phtrkha]

Các anh chị cho em hỏi. Tình hình là em đang làm bài báo cáo về các biện pháp phòng thủ firewall thực hiện trên Forefront Threat Management Gateway. Chặn tấn công SQL Injection em đã thành công (ví dụ đơn giản). Nhưng chặn tấn công Dos thì em vẫn chưa làm được. Mô hình của em như sau

DC ==> TMG

 

Re: [Ask] Chặn tấn công Dos bằng TMG 2010 ?

Các anh chị cho em hỏi. Tình hình là em đang làm bài báo cáo về các biện pháp phòng thủ firewall thực hiện trên Forefront Threat Management Gateway. Chặn tấn công SQL Injection em đã thành công (ví dụ đơn giản). Nhưng chặn tấn công Dos thì em vẫn chưa làm được. Mô hình của em như sau

DC ==> TMG

 

Re: [Ask] Chặn tấn công Dos bằng TMG 2010 ?

Bạn tham khảo manual của technet có đoạn config Maximum payload length (bytes) mục http filter.

http://technet.microsoft.com/en-us/library/cc995081.aspx

Dạ em đã thử nhưng không có kết quả.
Em hạ Maximum payload length và Maximum header length nhưng vẫn không có kết quả ạ.

 

Re: [Ask] Chặn tấn công Dos bằng TMG 2010 ?

Dạ em đã thử nhưng không có kết quả.
Em hạ Maximum payload length và Maximum header length nhưng vẫn không có kết quả ạ.

Em tiếp tục tham khảo các bài viết trên của technet phần banwitch và bài viết sau vì bản chất TMG là tên gọi mới của ISA firewall mà:
http://www.isaserver.org/articles-t...Detection-Prevention-Forefront-TMG-Part1.html

 

Re: [Ask] Chặn tấn công Dos bằng TMG 2010 ?

Em đã thử nhưng vẫn bị như cũ. Em có tạo 1 rule cấm ping từ external vào localhost, internal. Nhưng tại sao nó vẫn vào đều đều vậy anh. Cái Flood Mitigation chỉ dùng để chặn sys flood attack thôi phải ko anh. Vì nó dùng nhiều IP giả để request đến server, còn Ping of Death chỉ sử dụng 1 IP thôi. À sẵn anh cho em hỏi cách block IP của attacker được không anh.

 

Re: [Ask] Chặn tấn công Dos bằng TMG 2010 ?

=> Đọc kỹ lap của em anh thấy có vấn đề là mô hình này phải dựng webserver trên máy chủ DC( domain controler) sau đó tạo rule qua con TMG để bên ngoài có thể truy cập web.
như vận attack từ bên ngoài sẽ qua TMG vào webserver là con DC lúc đó việc tạo các ruler mới có tác dụng.

Attacker sử dụng backtrack ping tời card external của server cài TMG nói như vậy thì các ruler em cread chỉ có tác dụng với tuyến từ mạng ngoài vào DC.
Để cầm ping tới server cài TMG em cấm ping bằng firewall trên server.
Bài viết sau là enable ping muốn cấm em làm ngược lại.
http://linhost.info/2010/02/enable-ping-on-windows-server-2008/

 

Re: [Ask] Chặn tấn công Dos bằng TMG 2010 ?

Vâng em dựng webserver trên DC. Nhưng có vấn đề em không hiểu nổi đó là em tạo 1 rule cấm mọi protocol từ external vào internal, localhost.
Thì khi em sử dụng lệnh (ping 192.168.1.250 -l 65000) trên máy Attacker xem log trên firewall thì bị chặn, cả việc truy cập web bằng trình duyệt cũng bị chặn. Nhưng sử dụng lệnh hping3 192.168.1.250 -1 -d 65000 -i u1 -V -n thì log firewall vẫn ghi lại nhưng không chặn được, cpu 100% treo luôn.

 

Re: [Ask] Chặn tấn công Dos bằng TMG 2010 ?

Vâng em dựng webserver trên DC. Nhưng có vấn đề em không hiểu nổi đó là em tạo 1 rule cấm mọi protocol từ external vào internal, localhost.
Thì khi em sử dụng lệnh (ping 192.168.1.250 -l 65000) trên máy Attacker xem log trên firewall thì bị chặn, cả việc truy cập web bằng trình duyệt cũng bị chặn. Nhưng sử dụng lệnh hping3 192.168.1.250 -1 -d 65000 -i u1 -V -n thì log firewall vẫn ghi lại nhưng không chặn được, cpu 100% treo luôn.

Hping3 là 1 tool sercurity tích hợp trong backtrack dùng để dos như ví dụ của em.
câu lệnh: ping 192.168.1.250 -l 65000 hiện các server không cho phép ping với gói tin quá lớn em giảm 65000 xuống 10000 xem sao.
hping3 192.168.1.250 -1 -d 65000 -i u1 -V -n câu lệnh này bạn đang dos trực tiếp vào server TMG.
Cái cần ở đây là lap của bạn phải thể hiện được cơ chế chặn, auto block ip dos của TMG khi có attack từ mạng ngoài vào webserver thông qua config các ruler tức là luồng tân công bên ngoài vào webserver chứ không phải trực tiếp vào TMG.
Thường webserver đặt trong môi trường DMZ còn server DC cài dịch vụ mail exchange .

 

Re: [Ask] Chặn tấn công Dos bằng TMG 2010 ?

Nhưng webserver publish qua tmg server nó lấy ip của card external là 192.168.1.250 mà anh. Em muốn dos vào webserver nhưng không biết dos thế nào, vì IP của webserver (DC) ở lớp khác mà, chỉ biết nó public thì lấy IP của card external nên dos vào IP đó thôi. Anh có thể hướng dẫn em chi tiết hơn cách config rule chống luồng tấn công cũng như block ip không. Em làm nhưng không thấy hiệu quả với tool hping3. À cho em hỏi, nếu mình thực hiện tấn công syn flood attack thì máy attacker có bắt buộc phải nối mạng internet để mượn ip của các host khác không (vì em thấy trong TMG có phần chống syn flood attack nhưng chưa hiểu về nó lắm và do demo báo cáo trên lớp sẽ không có mạng internet)

 

Re: [Ask] Chặn tấn công Dos bằng TMG 2010 ?

Nhưng webserver publish qua tmg server nó lấy ip của card external là 192.168.1.250 mà anh. Em muốn dos vào webserver nhưng không biết dos thế nào, vì IP của webserver (DC) ở lớp khác mà, chỉ biết nó public thì lấy IP của card external nên dos vào IP đó thôi. Anh có thể hướng dẫn em chi tiết hơn cách config rule chống luồng tấn công cũng như block ip không. Em làm nhưng không thấy hiệu quả với tool hping3. À cho em hỏi, nếu mình thực hiện tấn công syn flood attack thì máy attacker có bắt buộc phải nối mạng internet để mượn ip của các host khác không (vì em thấy trong TMG có phần chống syn flood attack nhưng chưa hiểu về nó lắm và do demo báo cáo trên lớp sẽ không có mạng internet)

Mô hình lap của em đang có vấn đề.
1.Em phải nat web qua con TMG để bên ngoài truy cập web bình thường đã ( truy cập qua IP con DC chính là webserver).
2.Sau đó test tấn công dos vào ip webserver là con DC.
3.Thiết lập ruler chặn dos.
=> như vậy mô hình lap mới thành công.

 

Re: [Ask] Chặn tấn công Dos bằng TMG 2010 ?

Anh ơi, vậy chính xác là em phải truy cập bằng IP của con DC: 192.168.10.254 hả anh. Tại lúc làm lab SQL Injection theo chỉ dẫn thì sau khi publish web thì truy cập bằng IP external luôn. Em truy cập thử thì thấy truy cập được. A có thể giải thích cho em hiểu phần này được không. Tự mày mò nên hơi dốt có gì anh bỏ qua cho.

 

Re: [Ask] Chặn tấn công Dos bằng TMG 2010 ?

Anh ơi, vậy chính xác là em phải truy cập bằng IP của con DC: 192.168.10.254 hả anh. Tại lúc làm lab SQL Injection theo chỉ dẫn thì sau khi publish web thì truy cập bằng IP external luôn. Em truy cập thử thì thấy truy cập được. A có thể giải thích cho em hiểu phần này được không. Tự mày mò nên hơi dốt có gì anh bỏ qua cho.

Hiện em đang NAT con web qua TMG vì thế test sql injection khả thi.
Để test dos và chức năng của ruler của con TMG bằng tool hping3 thì em phải cho luồng trafic qua con TMG tức dos tới IP con DC.
Em tạo 1 ruler cho all trafic từ DC qua TMG sau đó test bằng lệnh ping từ bên ngoài mạng vào ip con DC xem thông chưa.
Cuối cùng là cread các ruler để chặn dos.
Em phải chú ý là đang làm lap chặn dos bằng TMG vì thế luồng trafic phải qua con TMG.
Trong các giáo trình MCSA có rất nhiều hướng dẫn để em tìm hiểu thêm.

 

Re: [Ask] Chặn tấn công Dos bằng TMG 2010 ?

Em có tạo rule cho phép all tracfic đi từ DC ra TMG (internal và external) nhưng em ping vẫn không thông, xem log của TMG sau khi tạo rule thì vẫn thấy có nhiều tracfic từ ngoài vào DC(192.168.10.254). Nhưng em dùng lệnh Hping tấn công vào webserver thì không được. Ah anh cho em hỏi nếu bình thường public web ra internet thì lúc nat port trên router là nat về card external của TMG chứ đâu có nat về Webserver.

Trong TMG có cách nào block 1 ip không anh. Em tạo rule block như sau (Protocol: All Trafic, From: Tạo 1 computer set là ip của Attacker, To: All Network) Nhưng vẫn không block được.

Nếu được anh có thể cho em xin phương thức liên hệ trực tiếp nào được không ạ. Em có vài vấn đề muốn trao đổi.

 

Re: [Ask] Chặn tấn công Dos bằng TMG 2010 ?

Em có tạo rule cho phép all tracfic đi từ DC ra TMG (internal và external) nhưng em ping vẫn không thông, xem log của TMG sau khi tạo rule thì vẫn thấy có nhiều tracfic từ ngoài vào DC(192.168.10.254). Nhưng em dùng lệnh Hping tấn công vào webserver thì không được. Ah anh cho em hỏi nếu bình thường public web ra internet thì lúc nat port trên router là nat về card external của TMG chứ đâu có nat về Webserver.

Trong TMG có cách nào block 1 ip không anh. Em tạo rule block như sau (Protocol: All Trafic, From: Tạo 1 computer set là ip của Attacker, To: All Network) Nhưng vẫn không block được.

Nếu được anh có thể cho em xin phương thức liên hệ trực tiếp nào được không ạ. Em có vài vấn đề muốn trao đổi.

Anh đang tìm tài liệu MCSA để chia sẻ lên diễn đàn cùng video nữa.
Để ping thông từ mạng ngoài vào con DC em phải route để DC nhận được dải mạng ngoài.
Để public website ra mạng ngoài có thể dùng phương pháp nat qua ip external của TMG em dựng phương pháp này thực tế có dùng với các doanh nghiệp có 1 IP public muốn nat nhiều service qua modem hoặc fiwall.. hoặc cách 2 là dùng thẳng IP của webserver cái này thực tê dùng nhiều trong các IDC các mạng lớn có nhiều IP public.
Lap của em là test chặn luồng dos của fiwall TMG nên hướng là phải dùng cách 2.
Một số hướng dẫn sẽ có nhưng em phải chờ lâu đấy vì anh lâu cũng không sờ TMG cái quan trọng em phải tự mày mò theo manual của technet và các giáo trình mcsa về fiwall isa (TMG).
EM nên dùng tool khác để test dos hping3 không xài test trường hợp này như em bảo nó dùng nhiều ip giả request đến dos là trafic đến từ 1 IP .

 

Re: [Ask] Chặn tấn công Dos bằng TMG 2010 ?

Để cho all trafic cần tạo 2 ruler :
1.from: internal & localhost - external.
2.from: external - internal & localhost.