Trang chủ Chuyên đề An toàn thông tin

CÁCH XỬ LÝ ĐỊA CHỈ IP NHIỄM BOTNET

(Ngày đăng :06/09/2016 8:10:05 SA)


Ảnh minh họa

(laichau.gov.vn) Thời gian vừa qua, trung tâm ứng cứu khẩn cấp máy tính VNCERT đã gửi nhiều cảnh báo tới các đơn vị tổ chức trên phạm vi cả nước về việc các địa chỉ IP của đơn vị quản lý bị nhiễm mã độc và tham gia mạng BOTNET. Trong đó, Lai Châu là một trong những tỉnh có địa chỉ IP bị nhiễm nhiều nhất, nhưng hầu hết các cơ quan, đơn vị trên địa bàn tỉnh có IP bị nhiễm chưa biết cách thức xử lý. Trong bài viết này sẽ hướng dẫn người quản trị mạng tại các đơn vị cách thức phát hiện chính xác thiết bị mạng hay máy tính nào nhiễm mã độc, từ đó có cách thức xử lý phù hợp.

BOTNET là loại mã độc cho phép hacker có thể điều khiển máy vi tính của bạn từ xa, biến máy của bạn thành một "xác sống" nhằm lây nhiễm mã độc lên các máy khác và sử dụng vào các mục đích xấu. Mã độc trên các máy trong botnet có thể liên hệ với nhau, hoặc liên hệ với máy chủ từ xa để tải về thêm các loại mã độc mới, ví dụ như keylog ghi lại tất cả các phím được gõ và gửi thông tin nhạy cảm của bạn về hacker. Hacker đang làm chủ một botnet có thể điều khiển tất cả các máy bị lây nhiễm trong botnet này và ra lệnh cho các máy bị lây nhiễm thực hiện các nhiệm vụ như tải mã độc mới hoặc phối hợp tấn công DDoS vào bất cứ lúc nào.

Những địa chỉ IP được cảnh báo lại được quản lý bởi các cơ quan đơn vị giữ vai trò quan trọng trên địa bàn tỉnh như: Văn phòng UBND tỉnh, Công an Tỉnh, Điện lực tỉnh, Báo Lai Châu, Sở Khoa học và Công nghệ, Bảo hiểm xã hội tỉnh….. Vì vậy việc tìm chính xác máy tính nào trong mạng nội bộ của đơn vị nhiễm, ngăn chặn và xử lý là cực kỳ quan trọng để hạn chế những hệ quả không mong muốn nhất.

 

Stt

Tên đơn vị

Dải địa chỉ IP tĩnh đơn vị quản lý

1

Báo Lai Châu

113.160.144.xxx

 

2

Bảo Hiểm Xã Hội

3

Đài PT-TH

4

Sở Giáo dục và Đào tạo

5

Viện Kiểm Sát Nhân Dân Tỉnh Lai Châu

6

Công An tỉnh

7

Điện lực Lai Châu

203.162.249.xxx

8

Văn phòng UBND tỉnh

113.160.144.xxx

9

Sở Khoa học và Công nghệ

117.6.0.x - 117.6.255.x /x

Danh sách các đơn vị quản lý địa chỉ IP được cảnh báo

Mục đích chính của phát hiện và xử lý là: xác định được địa chỉ IP nào trong mạng đang kết nối ra địa chỉ IP đích được cảnh báo. Khi đã biết được địa chỉ IP, tìm ra máy nào nhiễm, nhiễm như thế nào, từ đó có biện pháp xử lý: tìm và gỡ mã độc hay cài lại máy…. Các thao tác là:

Đối với các mạng có các thiết bị/ chức năng như:

Network Tap:

Một thiết bị Network Tap chuyên dụng

+ Là thiết bị trích xuất gói tin chuyên dụng.

+ Đứng giữa 2 đoạn mạng để chặn bắt các gói tin đi qua nó.

+ Sử dụng phần mềm chặn bắt gói tin như Whireshark cài trên máy tính.

+ Máy tính đã cài Whireshark cắm dây mạng vào cổng trích gói tin để bắt và lọc gói tin.

+ Bắt và lọc được những gói tin đến địa chỉ IP được cảnh báo.

Firewall/ IPS/ IDS

Một Firewall chuyên dụng

+ Là các thiết bị đứng trước khi LAN ra mạng internet bên ngoài.

+ Trên các thiết bị này, đặt luật như sau: chiều từ trong ra ngoài, đại chỉ nguồn bất kỳ (/any), địa chỉ đích là địa chỉ IP được cảnh báo, action là DROP (đồng thời ghi log).

+ Mục đích của việc đặt luật trên cho thiết bị là: tìm những máy nào trong mạng kết nối ra địa chỉ đích đã biết trước.

Cổng SPAN/ MIRROR/ MONITER

Switch, Router chuyên dụng

+ Là các Switch, Router đời mới có sẵn các cổng.

+ Router điển hình như: Cisco, DrayTek Vigor….

+ Switch điển hình như: Cisco, Juniper….

+ Cấu hình các cổng đổ dồn dữ liệu về một cổng trên thiết bị.

+ Sử dụng máy tính cài đặt WhireShark để chặn bắt gói tin, lọc ra các gói tin gửi đến địa chỉ IP được cảnh báo.

Đối với các mạng thông thường

Mô hình mạng thông thường

Sử dụng kỹ thuật Spoofing Attack

+ Là kỹ thuật giả máy tính của mình thành Gateway.

+ Sử dụng công cụ WireShark, Cain&Abel… để chặn bắt các gói tin.

+ Mục đích là đổ dồn các gói tin toàn mạng về máy mình.

+ Chặn, bắt các gói tin khả nghi đến địa chỉ IP được cảnh báo.

Dùng máy tính 2 Card mạng

+ Chỉ áp dụng với các máy tính cài hệ điều hành Window 7 trở lên (có thể dùng cho máy tính xách tay).

+ Dùng máy tính làm trung tâm giữa 2 đoạn mạng là Modem cà Switch.

+ Dùng 1 Card mạng kết nối vào Modem (có thể dùng Card Wifi), 1 Card cắm vào Switch.

+ Vào phần quản lý mạng chọn 2 card mạng và nhấn chuột phải chọn Bridge Network.

+ Đảm bảo mạng đã thông, dùng WireShark để chặn bắt và lọc gói tin.

-  Chặn IP/Domain trên Modem

+ Một số Modem của mình có chức năng chặn IP / Domain ngay chính trên thiết bị.

+ Nếu có chức năng này hãy thực hiện chặn luôn trên phần mềm quản lý Modem.

 

Mô hình khái quát xử lý chung với các địa chỉ IP nhiễm BOTNET

Thực hiện theo các thao tác này, các cơ quan đơn vị có thể tìm chính xác máy tính nào trong mạng nội bộ của đơn vị mình bị nhiễm, từ đó tiến hành quét virus hay cài lại máy. Sẽ khắc phục được hoàn toàn hiện tượng nhiễm mã độc và đưa mình ra khỏi danh sách “xác sống” trong mạng Botnet./.

Tin liên quan

Tăng cường sự lãnh đạo của Đảng đối với công tác đảm bảo trật tự, an toàn giao thông đường bộ, đường thuỷ nội địa và khắc phục ùn tắc giao thông(18/09/2019 2:33:50 CH)

Liên thông giữa dịch vụ chứng thực chữ ký số quốc gia và chữ ký số chuyên dùng Chính phủ(31/07/2019 8:05:28 SA)

Luật An ninh mạng: Công cụ bảo vệ người dân khỏi thông tin xấu, độc(03/07/2018 9:18:48 SA)

Người phát ngôn: Luật an ninh mạng cần thiết cho an ninh quốc gia(15/06/2018 8:58:55 SA)

Quốc hội biểu quyết thông qua Luật An ninh mạng(13/06/2018 1:00:12 CH)

Tin mới nhất

Đảm bảo an toàn lưới điện trong dịp Tết Nguyên đán(17/01/2020 5:48:06 CH)

Nâng cao hiệu quả công tác phòng, chống buôn lậu, gian lận thương mại (09/01/2020 10:56:21 SA)

Các đồng chí lãnh đạo tỉnh viếng Nghĩa trang liệt sỹ tỉnh và dâng hoa Tượng đài Bác Hồ với Nhân dân các dân tộc tỉnh Lai Châu(21/01/2020 10:51:57 SA)

Lai Châu: Nhiều hoạt động văn hoá, văn nghệ mừng Đảng, mừng xuân Canh Tý 2020(18/01/2020 4:18:11 CH)

Sắc đào ngày xuân(20/01/2020 10:46:15 SA)

CỔNG THÔNG TIN ĐIỆN TỬ TỈNH LAI CHÂU
Cơ quan chủ quản:             
Giấy phép số:
Chịu trách nhiệm chính:
Trụ sở:
Điện thoại:
Fax:
Email:
Ủy ban nhân dân tỉnh Lai Châu
26/GP - TTĐT, do Sở Thông tin và Truyền thông cấp ngày: 08/01/2019
Ông Kiều Hải Nam - Phó Chánh Văn phòng UBND tỉnh Lai Châu

Tầng 1,2,3 nhà B - khu Hành chính - Chính trị tỉnh

02133.876.460                  
02133.876.337
laichau@chinhphu.vn

Ghi rõ nguồn www.laichau.gov.vn khi sử dụng thông tin trên website này
top
down