Khoa Mạng máy tính và Truyền thông - UIT

BÁO CÁO THỰC HÀNH

Môn học: Hệ thống nhúng mạng không dây
Buổi báo cáo: Lab 03
Tên chủ đề: Giới thiệu Netfilter và Iptables
GVHD: Nguyễn Văn Bảo
Ngày thực hiện: 14/11/2023
THÔNG TIN CHUNG:
(Liệt kê tất cả các thành viên trong nhóm)
Lớp: NT131.O11.MMCL
ST Họ và tên MSSV Email
T
1 Nguyễn Đoàn Khắc Huy 21522151 21522151@gm.uit.edu.vn
2 Lê Ngọc Hân 21520813 21520813@gm.uit.edu.vn
3

1. ĐÁNH GIÁ KHÁC:

Nội dung Kết quả
Tổng thời gian thực hiện bài thực hành 14 ngày
trung bình
Link Video thực hiện
(nếu có)

Ý kiến (nếu có)

+ Khó khăn
+ Đề xuất …

Điểm tự đánh giá 9

 Lab 03: Giới thiệu Netfilter và Iptables Lớp TH .2

2
BÁO CÁO CHI TIẾT

Mục lục
1. Sửa lại file nkmod.c để hook chỉ DROP các gói tin UDP..........................................................4

2. DROP các packet có source IP đến từ địa chỉ máy client, chẳng hạn như 192.168.20.22,
ACCEPT tất cả các packet còn lại........................................................................................................5

3. DROP các gói tin TCP và UDP đi đến với địa chỉ port đích là 80..............................................6

4. Tìm cách để in ra địa chỉ nguồn và địa chỉ đích của các gói tin khi thực hiện một tác vụ bất
kỳ. 8

5. Chỉ cho phép các gói tin đi đến uit.edu.vn (biết trước địa chỉ IP) đi ra ngoài, DROP tất cả còn
lại. 8

6. Chặn các gói tin Echo Request đến từ máy client...................................................................8

7. Cấm tất cả các gói tin UDP và TCP có port đích là 80 đến từ bất kỳ máy tính nào...............10

8. Xoá tất cả rules, thiết đặt chặn các traffic từ máy Ubuntu đến địa chỉ IP máy client và ngược
lại, các hoạt động khác bình thường................................................................................................12

9. Xoá rule câu số 8, thiết lập lệnh không cho phép client SSH vào máy Ubuntu. Hãy chứng
minh điều đó?.................................................................................................................................. 13

10. Tìm hiểu và trình bày về cuộc tấn công Deny of Service (DoS), thiết lập rule để phòng chống
cuộc tấn công này............................................................................................................................ 15

YÊU CẦU CHUNG......................................................................................................................... 17

Khoa Mạng máy tính & BÁO CÁO THỰC HÀNH

Truyền thông
 Lab 03: Giới thiệu Netfilter và Iptables Lớp TH .2

3
1. Sửa lại file nkmod.c để hook chỉ DROP các gói tin UDP.
- Sửa đổi file nkmod.c để hook chỉ drop các gói tin UDP: Sửa protocol lại bằng 17
(UDP)

Figure 1: Chỉnh sửa nội phần protocol trong file nkmod.c

Sau đó dùng lệnh sudo rmmod nkmod.ko để unregister module cũ và tiếp theo dung lệnh
sudo insmod nkmod.ko để cài đặt Netfilter module này vào kernel:

Figure 2: Áp dụng module mới vào kernel

- Cuối cùng ping từ máy chính đến ubuntu:

Figure 3: Ping từ client tới Ubuntu Server

Ta thấy các gói tin đã bị DROP.

Khoa Mạng máy tính & BÁO CÁO THỰC HÀNH

Truyền thông
 Lab 03: Giới thiệu Netfilter và Iptables Lớp TH .2

Figure 4: Server đã drop các gói tin

- Test TCP:

Figure 5: Các gói tin TCP được gửi đến bình thường

Ta thấy tất cả các gói tin đều nhận được

2. DROP các packet có source IP đến từ địa chỉ máy client, chẳng hạn
như 192.168.20.22, ACCEPT tất cả các packet còn lại.
- Sửa đổi file nkmod.c để DROP các packet có source IP đến từ địa chỉ máy client
192.168.159.1, ACCEPT tất cả các packet còn lại

Khoa Mạng máy tính & BÁO CÁO THỰC HÀNH

Truyền thông
 Lab 03: Giới thiệu Netfilter và Iptables Lớp TH .2

Figure 6: Chỉnh sửa code để drop các gói tin đến máy

- Dùng sudo make để build lại file nkmod.ko.

- Sau đó dùng lệnh sudo rmmod nkmod.ko để unregister module cũ và tiếp theo dung
lệnh sudo insmod nkmod.ko để cài đặt Netfilter module này vào kernel
- Cuối cùng ping từ máy chính đến ubuntu:

Figure 7: Ping đến Ubuntu Server

Ta thấy ping không thành công

3. DROP các gói tin TCP và UDP đi đến với địa chỉ port đích là 80.
- Chỉnh sửa file nkmod.c để DROP các gói tin TCP và UDP đi đến với địa chỉ port
đích

Khoa Mạng máy tính & BÁO CÁO THỰC HÀNH

Truyền thông
 Lab 03: Giới thiệu Netfilter và Iptables Lớp TH .2

Figure 8: Chỉnh sửa file nkmod.c để DROP các gói tin TCP và UDP đi đến qua port 80

- Dùng sudo make để build lại file nkmod.ko.

- Sau đó dùng lệnh sudo rmmod nkmod.ko để unregister module cũ và tiếp theo dung
lệnh sudo insmod nkmod.ko để cài đặt Netfilter module này vào kernel
- Ping đến Server TCP ở port 80:

Figure 9: Các gói tin TCP tới qua port 80 bị DROP

Ta thấy gói tin bị DROP

- Ping đến Server UDP ở port 80:

Khoa Mạng máy tính & BÁO CÁO THỰC HÀNH

Truyền thông
 Lab 03: Giới thiệu Netfilter và Iptables Lớp TH .2

Figure 10: Các gói tin UDP tới qua port 80 bị DROP

Ta thấy gói tin bị DROP

4. Tìm cách để in ra địa chỉ nguồn và địa chỉ đích của các gói tin khi thực
hiện một tác vụ bất kỳ.
5. Chỉ cho phép các gói tin đi đến uit.edu.vn (biết trước địa chỉ IP) đi ra
ngoài, DROP tất cả còn lại.
6. Chặn các gói tin Echo Request đến từ máy client.

Khoa Mạng máy tính & BÁO CÁO THỰC HÀNH

Truyền thông
 Lab 03: Giới thiệu Netfilter và Iptables Lớp TH .2

Figure 11: Kiểm tra Địa chỉ máy Ubuntu

Figure 12: Ping tới máy Ubuntu

Khoa Mạng máy tính & BÁO CÁO THỰC HÀNH

Truyền thông
 Lab 03: Giới thiệu Netfilter và Iptables Lớp TH .2

Figure 13: Áp dubfj IPtable chặn các Echo Request

Figure 14: Ping lại không kết nối được với Server

7. Cấm tất cả các gói tin UDP và TCP có port đích là 80 đến từ bất kỳ
máy tính nào.

Khoa Mạng máy tính & BÁO CÁO THỰC HÀNH

Truyền thông
 Lab 03: Giới thiệu Netfilter và Iptables Lớp TH .2

10

Figure 15: Trước khi cấm

Figure 16: Áp dụng Iptable cấm tất cả các gói tin UDP và TCP đến qua port 80

Khoa Mạng máy tính & BÁO CÁO THỰC HÀNH

Truyền thông
 Lab 03: Giới thiệu Netfilter và Iptables Lớp TH .2

11

Figure 17: Các gói tin UDP và TCP ping đến từ port 80 đã bị chặn

8. Xoá tất cả rules, thiết đặt chặn các traffic từ máy Ubuntu đến địa chỉ IP
máy client và ngược lại, các hoạt động khác bình thường.

Figure 18: Kiểm tra địa chỉ 2 máy

Khoa Mạng máy tính & BÁO CÁO THỰC HÀNH

Truyền thông
 Lab 03: Giới thiệu Netfilter và Iptables Lớp TH .2

12

Figure 19: Traffic giữa máy chủ Ubuntu bằng 1 Client khác vẫn hoặt động bình thường

Figure 20: Traffic giữa máy Ubuntu và client bị cấm đã bị chặn

9. Xoá rule câu số 8, thiết lập lệnh không cho phép client SSH vào máy
Ubuntu. Hãy chứng minh điều đó?

Khoa Mạng máy tính & BÁO CÁO THỰC HÀNH

Truyền thông
 Lab 03: Giới thiệu Netfilter và Iptables Lớp TH .2

13

Khoa Mạng máy tính & BÁO CÁO THỰC HÀNH

Truyền thông
 Lab 03: Giới thiệu Netfilter và Iptables Lớp TH .2

14

10. Tìm hiểu và trình bày về cuộc tấn công Deny of Service (DoS), thiết
lập rule để phòng chống cuộc tấn công này.
DOS là một cuộc tấn công được sử dụng để từ chối người dùng hợp pháp truy cập vào tài
nguyên như truy cập trang web, mạng, email, v.v. hoặc làm cho nó cực kỳ chậm. DoS là từ
viết tắt của D enial o f S ervice. Kiểu tấn công này thường được thực hiện bằng cách nhấn
vào tài nguyên đích như máy chủ web có quá nhiều yêu cầu cùng một lúc. Điều này dẫn đến
việc máy chủ không đáp ứng tất cả các yêu cầu. Tác động của việc này có thể là làm sập các
máy chủ hoặc làm chậm chúng.

Cắt đứt một số doanh nghiệp từ internet có thể dẫn đến tổn thất đáng kể về kinh doanh hoặc
tiền bạc. Internet và mạng máy tính cung cấp năng lượng cho rất nhiều doanh nghiệp. Một
số tổ chức như cổng thanh toán, trang web thương mại điện tử hoàn toàn phụ thuộc vào
internet để kinh doanh.

Phòng Chống Cuộc Tấn Công DoS bằng iptables:

Để thiết lập các quy tắc iptables để phòng chống cuộc tấn công DoS, có thể thực hiện một
số biện pháp như giới hạn số lượng kết nối đến, giới hạn số lượng yêu cầu trong một khoảng
thời gian, và chặn các địa chỉ IP gửi yêu cầu quá mức.
Để ngặn chặn tấn công DOS:
Giới hạn số lượng kết nối TCP:

Khoa Mạng máy tính & BÁO CÁO THỰC HÀNH

Truyền thông
 Lab 03: Giới thiệu Netfilter và Iptables Lớp TH .2

Giới hạn số lượng yêu cầu HTTP trong 1 phút:

15

Chặn Các Địa Chỉ IP Nguồn Đa Đăng Nhập Sai. Chặn nếu có nhiều hơn 10 kết nối đến
cổng SSH trong 60 giây

Khoa Mạng máy tính & BÁO CÁO THỰC HÀNH

Truyền thông
 Lab 03: Giới thiệu Netfilter và Iptables Lớp TH .2

YÊU CẦU CHUNG

16
1) Đánh giá
 Chuẩn bị tốt các yêu cầu đặt ra trong bài thực hành.
 Sinh viên hiểu và tự thực hiện được bài thực hành, trả lời đầy đủ các yêu cầu đặt ra.
 Nộp báo cáo kết quả chi tiết những đã thực hiện, quan sát thấy và kèm ảnh chụp màn
hình kết quả (nếu có); giải thích cho quan sát (nếu có).
 Sinh viên báo cáo kết quả thực hiện và nộp bài.
2) Báo cáo
 File .PDF hoặc .docx. Tập trung vào nội dung, giải thích.
 Nội dung trình bày bằng Font chữ Times New Romans/ hoặc font chữ của mẫu báo
cáo này (UTM Avo)– cỡ chữ 13. Canh đều (Justify) cho văn bản. Canh giữa (Center)
cho ảnh chụp.
 Đặt tên theo định dạng: LabX_MSSV1. (trong đó X là Thứ tự buổi Thực hành).
Ví dụ: Lab01_21520001
 Nộp file báo cáo trên theo thời gian đã thống nhất tại courses.uit.edu.vn.
Bài sao chép, trễ, … sẽ được xử lý tùy mức độ vi phạm.

HẾT

Khoa Mạng máy tính & BÁO CÁO THỰC HÀNH

Truyền thông