Cách x?lý địa ch?IP b?nhiễm Botnet
- Th?ba - 17/10/2023 03:29
- In ra
- Đóng cửa s?này
Mục đích chính của phát hiện và x?lý là: xác định được địa ch?IP nào trong mạng đang kết nối ra địa ch?IP đích được cảnh báo. Khi đã biết được địa ch?IP, tìm ra máy nào nhiễm, nhiễm như th?nào, t?đó có biện pháp x?lý: tìm và g?mã độc hay cài lại máy? Các thao tác là:
Đối với các mạng có các thiết b? chức năng như:
- Network Tap:
Một thiết b?Network Tap chuyên dụng
+ Là thiết b?trích xuất gói tin chuyên dụng.
+ Đứng giữa 2 đoạn mạng đ?chặn bắt các gói tin đi qua nó.
+ S?dụng phần mềm chặn bắt gói tin như Whireshark cài trên máy tính.
+ Máy tính đã cài Whireshark cắm dây mạng vào cổng trích gói tin đ?bắt và lọc gói tin.
+ Bắt và lọc được những gói tin đến địa ch?IP được cảnh báo.
- Firewall/ IPS/ IDS
Một Firewall chuyên dụng
+ Là các thiết b?đứng trước khi LAN ra mạng internet bên ngoài.
+ Trên các thiết b?này, đặt luật như sau: chiều t?trong ra ngoài, đại ch?nguồn bất k?(/any), địa ch?đích là địa ch?IP được cảnh báo, action là DROP (đồng thời ghi log).
+ Mục đích của việc đặt luật trên cho thiết b?là: tìm những máy nào trong mạng kết nối ra địa ch?đích đã biết trước.
- Cổng SPAN/ MIRROR/ MONITER
Switch, Router chuyên dụng
+ Là các Switch, Router đời mới có sẵn các cổng.
+ Router điển hình như: Cisco, DrayTek Vigor?
+ Switch điển hình như: Cisco, Juniper?
+ Cấu hình các cổng đ?dồn d?liệu v?một cổng trên thiết b?
+ S?dụng máy tính cài đặt WhireShark đ?chặn bắt gói tin, lọc ra các gói tin gửi đến địa ch?IP được cảnh báo.
Đối với các mạng thông thường
Mô hình mạng thông thường
- S?dụng k?thuật Spoofing Attack
+ Là k?thuật gi?máy tính của mình thành Gateway.
+ S?dụng công c?WireShark, Cain&Abel?đ?chặn bắt các gói tin.
+ Mục đích là đ?dồn các gói tin toàn mạng v?máy mình.
+ Chặn, bắt các gói tin kh?nghi đến địa ch?IP được cảnh báo.
- Dùng máy tính 2 Card mạng
+ Ch?áp dụng với các máy tính cài h?điều hành Window 7 tr?lên (có th?dùng cho máy tính xách tay).
+ Dùng máy tính làm trung tâm giữa 2 đoạn mạng là Modem cà Switch.
+ Dùng 1 Card mạng kết nối vào Modem (có th?dùng Card Wifi), 1 Card cắm vào Switch.
+ Vào phần quản lý mạng chọn 2 card mạng và nhấn chuột phải chọn Bridge Network.
+ Đảm bảo mạng đã thông, dùng WireShark đ?chặn bắt và lọc gói tin.
- Chặn IP/Domain trên Modem
+ Một s?Modem của mình có chức năng chặn IP / Domain ngay chính trên thiết b?
+ Nếu có chức năng này hãy thực hiện chặn luôn trên phần mềm quản lý Modem.
Mô hình khái quát x?lý chung với các địa ch?IP nhiễm BOTNET
Thực hiện theo các thao tác này, các cơ quan đơn v?có th?tìm chính xác máy tính nào trong mạng nội b?của đơn v?mình b?nhiễm, t?đó tiến hành quét virus hay cài lại máy. S?khắc phục được hoàn toàn hiện tượng nhiễm mã độc và đưa mình ra khỏi danh sách “xác sống?trong mạng Botnet./.