Tài liệu Giảm thiểu ảnh hưởng của các tấn công từ chối dịch vụ phân tán vào các website

ĐẠI HỌC QUỐC GIA HÀ NỘI TRƢỜNG ĐẠI HỌC CÔNG NGHỆ NGUYỄN VĂN LINH GIẢM THIỂU ẢNH HƢỞNG CỦA CÁC TẤN CÔNG TỪ CHỐI DỊCH VỤ PHÂN TÁN VÀO CÁC WEBSITE LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN Hà Nội – Năm 2015 1 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƢỜNG ĐẠI HỌC CÔNG NGHỆ NGUYỄN VĂN LINH GIẢM THIỂU ẢNH HƢỞNG CỦA CÁC TẤN CÔNG TỪ CHỐI DỊCH VỤ PHÂN TÁN VÀO CÁC WEBSITE Ngành: Công nghệ thông tin Chuyên ngành: Truyền dữ liệu và mạng máy tính Mã số: LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN NGƢỜI HƢỚNG DẪN KHOA HỌC: TIẾN SĨ NGUYỄN ĐẠI THỌ Hà Nội – Năm 2015 2 LỜI CAM ĐOAN Tôi xin cam đoan: Luận văn này là công trình nghiên cứu thực sự của cá nhân tôi, đƣợc thực hiện dƣới sự hƣớng dẫn khoa học của Tiến sĩ Nguyễn Đại Thọ. Các số liệu, những kết luận nghiên cứu đƣợc trình bày trong luận văn này trung thực do tôi thực hiện không sao chép kết quả của bất cứ ai khác. Tôi xin chịu trách nhiệm về nghiên cứu của mình. Học viên Nguyễn Văn Linh 3 LỜI CẢM ƠN Đầu tiên tôi xin gửi lời cảm ơn chân thành đến các thầy, cô trƣờng Đại học Công nghệ - Đại học Quốc gia Hà Nội đã nhiệt tình giảng dạy và hƣớng dẫn tôi trong thời gian học tập tại trƣờng. Tiếp đó, tôi xin bày tỏ lòng biết ơn sâu sắc tới thầy TS.Nguyễn Đại Thọ đã nhiệt tình hƣớng dẫn, tích cực phân tích, lắng nghe và phản biện giúp tôi hiểu và đi đúng hƣớng để có thể hoàn thành bài khóa luận này. Tôi cũng xin gửi lời cảm ơn đến GS.TS. Đỗ Văn Tiến – Đại học BME – Hungary đã nhiệt tình cố vấn và định hƣớng giúp tôi trong quá trình nghiên cứu, đánh giá kết quả thu đƣợc đảm bảo tính khoa học và tin cậy. Mặc dù đã rất cố gắng để hoàn thiện bài khóa luận này song không thể không có những thiếu sót, rất mong nhận đƣợc sự góp ý và nhận xét từ các thầy, cô và các bạn. Một lần nữa, tôi xin chân thành cảm ơn thầy cô. Học viên thực hiện Nguyễn Văn Linh 4 TÓM TẮT Phân loại lƣu lƣợng truy vấn hợp lệ và tấn công dựa trên các đặc điểm hành vi truy cập của ngƣời dùng là một trong các phƣơng pháp hiệu quả để phòng chống tấn công DDoS với chi phí rẻ, dễ triển khai mà không phải can thiệp vào cấu trúc mạng, giao thức. Tuy vậy những đề xuất, kết quả nghiên cứu trƣớc đó vẫn tồn tại những hạn chế, do sử dụng các kết quả thống kê về hành vi truy cập đã khá lỗi thời. Hiện nay sự xuất hiện của công nghệ WebCache, Ajax, RSS, nén và giải nén... đã làm thay đổi phƣơng thức tải dữ liệu cũng nhƣ hành vi tƣơng tác của ngƣời dùng với web dẫn đến các thuộc tính về hành vi truy cập này cũng thay đổi. Vì vậy trong luận văn này, chúng tôi chứng minh rằng khi sử dụng mô hình dữ liệu mới thì các phƣơng pháp cũ cho kết quả phát hiện sai truy cập hợp pháp là tấn công tƣơng đối lớn. Từ đó chúng tôi giới thiệu một đề xuất mới dựa trên việc sử dụng các bẫy thời gian, thống kê tần xuất các yêu cầu tải trang cũng nhƣ độ lớn của các đối tƣợng tải trong mỗi khoảng thời gian đƣợc phân chia hợp lý, phân biệt với những thuộc tính có tính chất lặp lại liên tục, có hệ thống của lƣu lƣợng tấn công. Thông qua quá trình mô phỏng và kết quả thu đƣợc sẽ chứng minh tính hiệu quả của phƣơng pháp cũng nhƣ đảm bảo độ tin cậy, tỉ lệ phát hiện sai chấp nhận đƣợc. Từ khóa: Hành vi truy cập Web, DDoS, Network Security, Network Performance 5 ABSTRACT Distinguish legitimate clients and malicious traffic on behavioral model of legitimate users is one of the effective methods to prevent DDoS attacks with low cost, easy to deploy without any intervention to network architecture, protocols ... However previous research results remains limited due to the out-of-dated behavioral model of web traffic. At present, the web has advanced with the emergence of many new techniques WebCache, Ajax, RSS, compress model ... has changed the way of transferring data and interacting of user on website as well as the charisteristics of behavioral model of Web traffic. This thesis will demonstrate that using old model makes steadily increasing of false positive rate of previous filter. Therefore we propose a novel approach and architecture to attenuate attacker’s bandwidth tried to fake legal user’s traffic. Goal is to use trap time and frequency of the request page as well as the magnitude of the object loaded in dynamic period to utilizes these properties of legitimate client traffic as well as penalize deterministic zombie traffic tends to be repeated and continuous. Through extensive simulation results show that it can defeat attack traffic effectively as well as ensure the reliability with acceptable false negative or false positive rate. Keywords: Behavioral model of Web Traffic, DDoS, Network Security, Network Performance 6 MỤC LỤC LỜI CAM ĐOAN ....................................................................................................... 3 TÓM TẮT ................................................................................................................... 5 MỤC LỤC................................................................................................................... 7 DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT ............................................... 10 DANH MỤC CÁC HÌNH VẼ, ĐỒ THỊ ................................................................... 12 MỞ ĐẦU................................................................................................................... 14 CHƢƠNG I: TỔNG QUAN VỀ CƠ SỞ CỦA ĐỀ TÀI ........................................... 16 1.1 Giới thiệu ..................................................................................................... 16 1.1.1 Lý do chọn chủ đề giảm thiểu thiệt hại từ tấn công DDoS ...................... 16 1.1.2 Phạm vi nghiên cứu .................................................................................. 16 1.2 Những kết quả của các nghiên cứu liên quan và đánh giá .......................... 18 1.2.1 Phƣơng pháp tấn công DDoS ................................................................... 18 1.2.2 Những nghiên cứu làm giảm thiểu thiệt hại do tấn công DDoS .............. 21 1.3 Thách thức và bài toán cần giải quyết ......................................................... 22 1.4 Định hƣớng giải quyết bài toán ................................................................... 23 CHƢƠNG II: MÔ HÌNH HÓA LƢU LƢỢNG WEB .............................................. 25 2.1 Giới thiệu ......................................................................................................... 25 2.2 Các nghiên cứu về mô hình hóa lƣu lƣợng Web ............................................. 26 2.2.1 Mô hình B.Mah......................................................................................... 26 2.2.2 Mô hình Choi & Lim ................................................................................ 27 2.2.3 Mô hình Lee & Gupta ............................................................................... 29 2.2.4 Các mô hình khác ..................................................................................... 30 2.3 Vai trò ảnh hƣởng của công nghệ mới trong mô hình lƣu lƣợng hiện đại ...... 32 2.3.1 WebCache ................................................................................................. 32 7 2.3.2 Ajax........................................................................................................... 34 2.4 Chọn lựa mô hình hóa phù hợp ....................................................................... 37 CHƢƠNG III: ĐỀ XUẤT CẢI TIẾN VÀ GIẢI PHÁP ........................................... 38 3.1 Phân tích .......................................................................................................... 38 3.1.1 Bài toán cần chứng minh .......................................................................... 38 3.1.2 Mệnh đề 1 ................................................................................................. 39 3.1.3 Mệnh đề 2 ................................................................................................. 43 3.2 Chiến thuật phân loại lƣu lƣợng hợp lệ và lƣu lƣợng tấn công ................... 43 3.2.1 Bẫy thời gian............................................................................................. 43 3.2.2 Bẫy tần suất .............................................................................................. 47 3.2.3 Trạng thái tối thiểu ................................................................................... 51 3.2.4 Hàng đợi ƣu tiên ....................................................................................... 56 3.2.5 Mô phỏng lƣu lƣợng hợp lệ ...................................................................... 56 3.3 Kiến trúc hệ thống mới ................................................................................ 57 3.3.1 Kiến trúc cơ bản........................................................................................ 57 3.3.2 So sánh với các kiến trúc khác ................................................................. 59 3.4 Thiết kế giải thuật ............................................................................................ 61 3.4.1 Giải thuật .................................................................................................. 61 3.4.2 Độ phức tạp của thuật toán ....................................................................... 64 3.4.3 Độ tin cậy của phƣơng pháp ..................................................................... 64 3.4.4 Sơ đồ hoạt động cơ bản ............................................................................ 64 CHƢƠNG IV: MÔ PHỎNG VÀ ĐÁNH GIÁ ......................................................... 67 4.1 Thực hiện mô phỏng........................................................................................ 67 4.1.1 Mô hình mô phỏng ................................................................................... 67 4.1.2 Chƣơng trình mô phỏng, yêu cầu thiết bị và cấu hình ............................. 67 4.1.3 Kịch bản mô phỏng................................................................................... 68 8 4.1.4 Tham số đo đạc ......................................................................................... 69 4. 2 Tiến hành mô phỏng ....................................................................................... 70 4.2.1 Kịch bản 1: Áp dụng mô hình lƣu lƣợng mới .......................................... 70 4.2.4 Kịch bản 2: Áp dụng bộ lọc mới cho các dạng tấn công .......................... 74 4.2.5 Hiệu quả sử dụng tài nguyên .................................................................... 79 4.3 Đánh giá kết quả nghiên cứu ........................................................................... 80 KẾT LUẬN VÀ HƢỚNG PHÁT TRIỂN ................................................................ 82 TÀI LIỆU THAM KHẢO......................................................................................... 83 9 DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT AOP Average Off Period - thời gian trung bình của giai đoạn OFF ACK Acknowledgement ASM Anti-Spoofing Mechanism – Cơ chế chống giả mạo Bot-net Mạng lƣới các máy bị chiếm quyền điều khiển sử dụng làm công cụ tấn công DDOS Client Máy khách của ngƣời dùng DOS Denial-of-service, tấn công từ chối dịch vụ DDoS Distributed Denial-of-service, tấn công từ chối dịch vụ phân tán False-Positive Trƣờng hợp một đánh giá cho rằng kết quả là đúng, trong khi thực tế kết quả là sai Firewall Tƣờng lửa ISP Internet Service Provider, nhà cung cấp dịch vụ mạng internet ICMP Internet control message protocol HTML Hypertext Markup Language - Ngôn ngữ đánh dấu siêu văn bản HTTP Hypertext Transfer Protocol: giao thức truyền tải siêu văn bản LDOS Low-rate Denial-of-service, tấn công từ chối dịch vụ tốc độ thấp NAT Network address translation – Kĩ thuật dịch địa chỉ IP riêng – private sang địa chỉ IP công khai – public nhằm sử dụng chung địa chỉ IP công khai cho một mạng riêng RTT Round Trip Time, là khoảng thời gian một tín hiệu hoặc một gói tin chạy từ Source đến Destination và quay ngƣợc lại RTO Retransmission Timeout, khoảng thời gian truyền lại gói tin nếu không nhận đƣợc phản hồi Request Yêu cầu Response Đáp ứng 10 QoS Quality of service – Chất lƣợng dịch vụ Session Phiên làm việc. STH Session threshold - Ngƣỡng của phiên hiện tại TCP Transmission Control Protocol - Giao thức điều khiển truyền tin TCP SYN Gói TCP SYN (đồng bộ hóa) TRAP Bẫy TTL Time to live UDP User Datagram Protocol Zombie Thuật ngữ chỉ các máy bị chiếm quyền điều khiển sử dụng làm công cụ tấn công DDOS WDA Web farm DDoS Attack attenuator, kiến trúc nhằm mục đích làm suy giảm lƣu lƣợng của các cuộc tấn công từ chối dịch vụ phân tán trên web Web farm Cụm các web server Web-request là một trang hoặc một tập trang dữ liệu trả về từ một yêu cầu của ngƣời dùng Server Máy chủ Web 11 DANH MỤC CÁC HÌNH VẼ, ĐỒ THỊ Hình 1 Mô hình tấn công DDoS sử dụng mạng máy tính ma botnet ........................18 Hình 2 Cách xác định mối liên hệ giữa hai kết nối HTTP [16] .................................27 Hình 3 Mô hình tổng quát của tƣơng tác trình duyệt và máy chủ [15]......................28 Hình 4 Thống kê các tham số mô tả đặc tính của phiên truy cập Web [15] ..............28 Hình 5 Mô hình của Jee & Gupta [14] .......................................................................29 Hình 6 Thống kê định lƣợng đo một số tham số của phiên truy cập [14] .................30 Hình 7 Tỉ lệ nén dữ liệu trong phiên truy cập với các công nghệ mới ......................31 Hình 8 Mô hình hoạt động của cache ........................................................................33 Hình 9 Mô hình Browser Cache ................................................................................33 Hình 10 Dùng các CDN Server chứa bản sao của Website để phục vụ client theo vị trí gần nhất ................................................................................................................ 34 Hình 11 Mô hình hoạt động cơ bản của Ajax so với truy vấn truyền thống .............35 Hình 12 Mô hình hoạt động chi tiết của Ajax – minh họa của Jesse James Garrett..36 Hình 13 Kết quả thống kê thuộc tính nổi bật của mô hình Choi & Lim [15] ............40 Hình 14 Thống kê thuộc tính nổi bật của mô hình Lee&Gupta [14] .........................40 Hình 15 Minh họa mô hình ON – OFF của Choi & Lim...........................................40 Hình 16 Minh họa mô hình dữ liệu mới ....................................................................41 Hình 17 Hiệu quả của thuật toán cũ trên mô hình mới ..............................................42 Hình 18 Trƣờng hợp ngƣời dùng yêu cầu nhiều dữ liệu hơn ....................................42 Hình 19 Xác định quan hệ giữa hai kết nối HTTP ....................................................43 Hình 20 So sánh giữa mô hình dữ liệu hành vi cũ và mô hình mới ..........................44 Hình 21 Truy vấn liên tiếp gửi dữ liệu lớn mà không có thời gian nghỉ ...................46 Hình 22 Mô hình hoạt động của bộ lọc khi tấn công Simple Flooding .....................46 Hình 23 Tần suất gửi tin của truy cập hợp lệ và không hợp lệ theo mô hình mới ....48 Hình 24 Lƣu lƣợng và thời gian nghỉ lặp đi lặp lại trong các phiên truy cập liên tiếp ................................................................................................................................... 49 Hình 25 Mô hình hoạt động của bộ lọc khi tấn công High-burst-slow .....................51 Hình 26 Mô hình hoạt động của bộ lọc khi tấn công Low-burst-fast ........................54 12 Hình 27 Mô hình hoạt động của bộ lọc khi tấn công Low-burst-slow ......................55 Hình 28 Hàng đợi ƣu tiên [18] ...................................................................................56 Hình 29 Kiến trúc bộ xử lý lọc thế hệ mới ................................................................58 Hình 30 Kiến trúc WDA chống tấn công các dạng tấn công ....................................60 Hình 31 Kiến trúc của khối RWDA chống tấn công Low-burst-slow hiệu quả ........60 Hình 32 Mô hình mô phỏng .......................................................................................67 Hình 33 Hiệu quả của thuật toán cũ trên mô hình mới trƣờng hợp 1 ........................71 Hình 34 Hiệu quả của thuật toán cũ trên mô hình mới trƣờng hợp 2 ........................71 Hình 35 Hiệu quả của thuật toán mới trên mô hình mới trƣờng hợp 1 .....................73 Hình 36 Hiệu quả của thuật toán mới trên mô hình mới trƣờng hợp 2 .....................73 Hình 37 Mô phỏng hiệu quả về tỉ lệ phát hiện đúng và băng thông của TLF01 với dạng tấn công Simple Flooding. ............................................................................... 75 Hình 38 Mô phỏng hiệu quả về tỉ lệ phát hiện đúng và băng thông của TLF01 với dạng tấn công High-Burst-Slow................................................................................ 76 Hình 39 Mô phỏng hiệu quả về tỉ lệ phát hiện đúng và băng thông của TLF01 với dạng tấn công Low-burst-fast ................................................................................... 77 Hình 40 Mô phỏng hiệu quả về tỉ lệ phát hiện đúng và băng thông của TLF01 với dạng tấn công Low-burst-slow.................................................................................. 78 Hình 41 Mô phỏng hiệu quả về tỉ lệ phát hiện đúng và băng thông của TLF01 với dạng tấn công Low-burst-slow có áp dụng thêm cơ chế RED ................................. 79 Hình 42 Thống kê sử dụng tài nguyên của áp dụng bộ lọc TLF01 ...........................79 Hình 43 Thống kê thông lƣợng trung bình trong các trƣờng hợp áp dụng TLF01 ...80 13 MỞ ĐẦU Tấn công từ chối dịch vụ phân tán (DDoS) đã có lịch sử hơn 15 năm, gây ra nhiều thiệt hại không nhỏ với các Website hoặc các dịch vụ liên quan đến WWW. Đặc biệt khi lƣu lƣợng truy cập đến các dịch vụ Web chiếm đến 90% [1] lƣu lƣợng truy cập Internet toàn cầu. Hiện nay xuất hiện nhiều hình thức tấn công DDoS tinh vi và phức tạp, một trong những cách thức tấn công hiện nay khó chống nhất là kẻ tấn công sử dụng một mạng lƣới máy tính ma hay botnet - gồm số lƣợng lớn các máy tính bị chiếm quyền điều khiển - đồng loạt gửi lƣợng lớn yêu cầu truy vấn tới máy chủ nạn nhân thông qua các kết nối tự động. Kết quả là các ứng dụng đang chạy trên server bị tê liệt, suy giảm hoặc mất khả năng phục vụ ngƣời dùng hợp lệ. Kẻ tấn công sử dụng mô hình botnet để gửi các yêu cầu tải trang thực sự mà không có sự giả mạo địa chỉ hoặc thông tin nào làm quá trình phân tích phát hiện lƣu lƣợng bất hợp pháp phức tạp hơn nhiều. Những cuộc tấn công tăng lên hàng giờ, năm 2014, Abor Network [1] thống kê mỗi tháng có đến hơn 100 cuộc tấn công DDoS vào các Website công cộng phổ biến đạt băng thông trên 20Gbps. Do mức độ ảnh hƣởng nghiêm trọng của các cuộc tấn công từ chối dịch vụ phân tán tới chất lƣợng dịch vụ và tính sẵn sàng của mạng internet đã dẫn đến các nghiên cứu sâu rộng nhằm hƣớng tới phòng chống dạng tấn công nguy hiểm này. Một trong những giải pháp tối ƣu nhất là xây dựng cơ chế phân loại đặc tính lƣu lƣợng hợp pháp và lƣu lƣợng tấn công, từ đó có chiến lƣợc ƣu tiên lƣu lƣợng tiếp theo. Vấn đề cốt lõi là xây dựng các đặc tính mô phỏng chính xác nhất hành vi hợp lệ của ngƣời dùng Web, điều mà thƣờng xuyên thay đổi khi xuất hiện các công nghệ Web mới. Vì vậy phần trọng tâm nghiên cứu của chúng tôi là chứng minh rằng sự thay đổi các đặc tính lƣu lƣợng hợp pháp trong phiên kết nối của ngƣời dùng Web hợp pháp hiện nay làm tăng tỉ lệ phát hiện sai truy cập hợp pháp là tấn công của các phƣơng pháp cũ đến mức không thể chấp nhận đƣợc. Các kết quả mô phỏng cũng đã chứng tỏ phƣơng pháp mới của chúng tôi có thể chống đƣợc các dạng tấn công từ đơn giản đến phức tạp với tỉ lệ sai sót dƣới 5%. Trong khi với các phƣơng pháp cũ áp dụng mô hình dữ liệu mới cho tỉ lệ phát hiện sai rất cao đến 40%. Các kết quả cũng chỉ ra phƣơng pháp mới có thể chịu đựng đƣợc các cuộc tấn công của hàng trăm ngàn máy tính 14 zombie mà không làm suy giảm tỉ lệ truy cập thành công của ngƣời dùng hợp pháp quá 10%. Do đó kẻ tấn công sẽ phải huy động lƣợng máy tính zombie lớn gấp nhiều lần hoặc phải trả nhiều chi phí cho đợt tấn công hơn để bù đắp lƣợng băng thông bị suy giảm do hiệu quả của phƣơng pháp mang lại. Về bố cục, các phần của luận văn đƣợc tổ chức nhƣ sau: Chƣơng 1: Trong chƣơng này, chúng tôi trình bày tổng quan về lý do chọn bài toán, phạm vi nghiên cứu, chi tiết những ý tƣởng và cách xử lý của các tác giả hiện tại, điểm yếu của chúng. Từ đó chúng tôi định hƣớng giải quyết từng vấn đề của bài toán đƣa ra. Chƣơng 2: Ở chƣơng này, chúng tôi giới thiệu những điểm cốt lõi của các mô hình hành vi của lƣu lƣợng Web đã đƣợc công bố. Những thay đổi, tiến hóa của mỗi mô hình tƣơng ứng, ảnh hƣởng của những công nghệ Web hiện đại tới các kết quả của các nghiên cứu trƣớc kia trong mỗi mô hình. Chúng tôi cũng chọn lựa một mô hình phù hợp nhất cho những nghiên cứu cải tiến của chúng tôi. Chƣơng 3: Chúng tôi đƣa ra các đề xuất cải tiến và mô tả phƣơng pháp giải quyết từng vấn đề đặt ra của đề xuất cũng nhƣ mô hình thiết kế tổng thể các thành phần của bộ lọc mới. Chƣơng 4: Đƣa ra các thông số cấu hình, yêu cầu về các thành phần cho từng trƣờng hợp máy chủ Web không bị tấn công, tấn công rồi từ đó đánh giá hiệu năng của phƣơng pháp mới dựa trên các kịch bản và kết quả thu đƣợc. Phần cuối: Tổng kết và đƣa ra kết luận, những vấn đề cần cải tiến trong tƣơng lai. Với triết lý mô tả chi tiết, đầy đủ tiến trình hình thành ý tƣởng, lập kế hoạch, xây dựng chƣơng trình và cải tiến phƣơng pháp, chúng tôi đã cố gắng mô tả rõ ràng nhất những vấn đề chúng tôi đã đọc, gặp phải hoặc tự đặt câu hỏi trong quá trình nghiên cứu để có đƣợc các giải pháp, kết quả cuối cùng. 15 CHƢƠNG I: TỔNG QUAN VỀ CƠ SỞ CỦA ĐỀ TÀI 1.1 Giới thiệu 1.1.1 Lý do chọn chủ đề giảm thiểu thiệt hại từ tấn công DDoS Lịch sử của tấn công từ chối dịch vụ bắt đầu từ những năm 2000 khi lần đầu tiên một cậu thiếu niên 15 tuổi Micheal Calce với biệt hiệu aka_mafiaboy từ Quebec, Canada tấn công vào một loạt các Website thƣơng mại điện tử lớn nhƣ Amazon, eBay, Yahoo, Fifa, Dell Inc làm chúng không thể truy cập trong hàng giờ đồng hồ [1]. Năm 2005, một lập trình viên 18 tuổi tên là Farid Essabar đã viết ra sâu máy tính để lây nhiễm và thành lập mạng Botnet tấn công vào máy chủ của hãng tin CNN làm sập dịch vụ trực tuyến của hãng. Hình thức tấn công này đã mở ra một kỷ nguyên mới cho các phƣơng pháp tấn công DDoS mới, nguy hiểm và tinh vi hơn. Ngày nay DDoS đã sử dụng nhiều mánh khóe, kỹ thuật mới hơn nhƣ kỹ thuật khuếch đại tấn công, sử dụng máy chủ điều khiển lệnh từ xa… làm mức độ thiệt hại tăng lên đáng kể. Điển hình là vụ tấn công Spamhus năm 2013 với mức băng thông có thời điểm đến 300Gbps, thậm chí mạng Internet toàn cầu cũng bị ảnh hƣởng khi truy cập vào hầu hết các website đều chậm đi rõ rệt. Việc không có một cơ chế hiệu quả hoàn toàn để chống lại dạng tấn công nguy hiểm và gây nhiều thiệt hại này là một chủ đề công nghệ sôi động, đƣợc nhiều nhà nghiên cứu quan tâm, chia sẻ và học hỏi kinh nghiệm. Bất cứ công trình nào mang lại hiệu quả phòng chống hoặc giảm thiểu thiệt hại do DDoS cũng đều mang lại lợi ích rất lớn cho thƣơng mại toàn cầu, có khả năng triển khai rộng rãi tạo ra một môi trƣờng mạng Internet an toàn. Đây là động lực chính giúp chúng tôi lựa chọn chủ đề này. 1.1.2 Phạm vi nghiên cứu Tấn công DDoS có nhiều dạng và để xây dựng đƣợc một giải pháp phòng thủ hiệu quả cho tất cả các dạng tấn công không phải là một việc làm dễ dàng cũng nhƣ khó khả thi trong thực tế. Thực tế để triển khai giải pháp giảm thiểu tấn công vào một mạng cần bảo vệ, ngƣời ta áp dụng tổng hợp các phƣơng pháp rà soát, phát hiện 16 và cơ chế ngăn chặn khác nhau. Để tập trung vào nội dung trọng tâm chúng tôi đã nghiên cứu giải quyết, chúng tôi chọn chỉ một số dạng tấn công phổ biến quen thuộc rồi từ đó sẽ áp dụng giải pháp đề xuất để đánh giá tính hiệu quả và hạn chế của nó. Dựa theo các tiêu chí khác nhau thì các chuyên gia có sự phân chia về các dạng tấn công DDoS khác nhau. Ở đây chúng tôi chọn phƣơng pháp phân loại của các chuyên gia tại các công ty đang cung cấp các giải pháp phòng chống DDoS hiệu quả đƣợc nhiều ngƣời sử dụng vì chúng phản ánh thực tế tin cậy nhất hiện trạng tình trạng tấn công DDoS hiện nay: Tấn công vào băng thông (Volumn based Attack): Với dạng tấn công này, mục tiêu của kẻ tấn công là làm cạn kiệt băng thông của mục tiêu thông qua lƣu lƣợng phát sinh cực lớn. Thông thƣờng tính bằng Gbps. Một số phƣơng pháp tấn công phổ biến là: UDP Flood, ICMP Flood. Tấn công vào giao thức (Protocol Attack): Đây là dạng tấn công nhằm mục đích làm cạn kiệt tài nguyên của máy chủ (bộ nhớ, CPU) hoặc các thiết bị trung gian phục vụ mạng nhƣ tƣờng lửa, hệ thống cân bằng tải, hệ thống chống xâm nhập mạng… Thông thƣờng ngƣời ta đo bằng số gói trên giây. Một số phƣơng pháp tấn công phổ biến của dạng này là: SYN Flood, Ping of Death, Smurf DDoS…vv.. Tấn công vào ứng dụng (Application based Attack): Với các dạng tấn công này, mục tiêu chủ yếu của kẻ tấn công là hạ gục Webserver nhƣ Apache, IIS… Đơn vị đo của kiểu tấn công này là số yêu cầu trên giây. Một số dạng tấn công phổ biến của nó là Shrew Attack, Slowloris, Low rate Attack. Phƣơng pháp tấn công phức tạp nhất: Tấn công DDoS sử dụng mạng máy tính ma botnet đƣợc sử dụng rộng rãi và mang lại hiệu quả nhất. Bƣớc đầu tiên là kẻ tấn công sẽ tìm cách lây nhiễm các Trojian Horse lên máy tính của ngƣời dùng rồi tìm cách chiếm quyền điều khiển máy tính đó – máy sau khi bị chiếm quyền điều khiển này gọi là zombie. Kẻ tấn công sau đó có thể sử dụng máy tính của ngƣời dùng vào các mục đích khác nhau, trong đó có sử dụng làm địa chỉ nguồn tấn công DDoS, mà ngƣời dùng không hề hay biết. Mô hình tấn công sử dụng botnet giản lƣợc đƣợc minh họa nhƣ sau: 17 Hình 1 Mô hình tấn công DDoS sử dụng mạng máy tính ma botnet Nhƣ vậy với việc sử dụng botnet thì kẻ tấn công có thể lợi dụng mỗi zombie nhƣ một ngƣời dùng hợp pháp thực thụ để tiến hành bất kỳ kiểu tấn công nào vào mục tiêu mà hắn muốn. Mô hình tấn công vào ứng dụng Web sử dụng botnet và phƣơng pháp phòng chống là mục tiêu nghiên cứu chính của đề tài này do kiểu tấn công này gây thiệt hại lớn và khó chống hơn nhiều so với các phƣơng pháp tấn công khác. 1.2 Những kết quả của các nghiên cứu liên quan và đánh giá Hiện đã có rất nhiều những nghiên cứu, thử nghiệm và đánh giá theo cách giảm thiểu thiệt hại do tấn công DDoS bằng cách phân biệt lƣu lƣợng bất thƣờng từ kẻ tấn công và lƣu lƣợng hợp pháp sinh ra khi ngƣời dùng bình thƣờng tƣơng tác với website. Chúng tôi thống kê lại các nghiên cứu theo hai chủ đề chính: 1.2.1 Phƣơng pháp tấn công DDoS DDoS (Distributed Denial of Service) là một nỗ lực tấn công làm cho ngƣời dùng không thể tiếp tục sử dụng dịch vụ hoặc tài nguyên mạng [2]. DDoS nhìn chung là sự phối hợp, tấn công có chủ đích để một website, hay hệ thống mạng 18 không thể sử dụng, làm gián đoạn, hoặc làm cho hệ thống đó chậm đi một cách đáng kể với ngƣời dùng bình thƣờng, bằng cách làm quá tải tài nguyên của hệ thống. Thủ phạm tấn công từ chối dịch vụ thƣờng nhắm vào các Website có tầm quan trọng cao hoặc tiêu biểu nhƣ ngân hàng, cổng thanh toán thẻ tín dụng và thậm chí là các máy chủ phân giải tên miền DNS. Ngày nay nó còn tấn công vào cả các dịch vụ Game [Minecraft Online], mạng phim ảnh [Sony Playstation Network]… Nó đƣợc ví nhƣ “phù thủy” của Internet [3] khi hiện tại chƣa có phƣơng pháp nào phòng chống hiệu quả hoàn toàn. Phƣơng thức tấn công đặc trƣng của DDoS là làm bão hòa yêu cầu phục vụ truy cập từ những kết nối từ xa, đến mức máy chủ hoặc mạng không thể đáp ứng đƣợc nhu cầu truy cập của ngƣời dùng hoặc đáp ứng rất chậm và kết quả thƣờng thấy là máy chủ bị quá tải. Nhìn chung, các cuộc tấn công DDOS thƣờng ép các máy mục tiêu khởi động lại hoặc tiêu thụ hết tài nguyên đến mức máy chủ không thể cung cấp dịch vụ, hoặc làm tắc nghẽn liên lạc giữa ngƣời sử dụng bình thƣờng và nạn nhân. Ở đây, chúng tôi thống kê lại một số dạng tấn công phức tạp mà những kẻ tấn công thƣờng sử dụng để từ đó hiểu hơn về các chiến thuật phòng chống mà các nhà nghiên cứu sử dụng. Vì phạm vi nghiên cứu chúng tôi đã trình bày ở 1.1.2 nên chúng tôi tập trung vào những tấn công tới tầng ứng dụng mà cụ thể là tới ứng dụng Web. Những dạng tấn công vào tài nguyên nhƣ bộ nhớ, CPU, băng thông, truy xuất cơ sở dữ liệu sẽ không xem xét ở đây. Dạng tấn công Simple Flood là dạng tấn công phổ biến và sơ khai nhất. Kẻ tấn công tìm cách gửi liên tục số lƣợng lớn các yêu cầu chứa nhiều dữ liệu tới máy chủ web trong thời gian ngắn nhằm làm hệ thống máy chủ không có đủ bộ nhớ hoặc băng thông để xử lý. Dạng tấn công này có đặc điểm dễ nhận dạng do lƣợng dữ liệu lớn hƣớng tới máy chủ trong thời gian ngắn nên chiến thuật phòng chống tổng quát là ngăn không cho các kết nối có gửi quá nhiều dữ liệu liên tục đến máy chủ trong thời gian quá ngắn. E.Doron [4] khi đề xuất phƣơng pháp WDA cũng đã gợi ý một số phƣơng pháp tấn công trong đó kẻ tấn công sẽ lợi dụng những ngƣỡng băng thông, đặc tính 19 thời gian đọc trang … để tìm cách thích nghi với những chiến thuật phòng chống tấn công của chúng ta. Với dạng tấn công High-burst- Slow thì kẻ tấn công gửi nhiều nhất dữ liệu có thể rồi lại nghỉ một khoảng thời gian đủ dài nhƣ thời gian đọc trang. Dạng tấn công này có thể phòng chống nếu hạn chế ngƣỡng băng thông đến một mức đủ nhỏ. Đối với dạng tấn công Low-burst- fast thì kẻ tấn công lại thực hiện gửi các gói tin có ít dung lƣợng nhƣng trong thời gian ngắn. Điều này không gây tác hại lớn nếu có ít số lƣợng máy tính tham gia tấn công vì nó không ảnh hƣởng nhiều đến băng thông tuy nhiên mọi chuyện sẽ phức tạp hơn nếu lƣợng máy tính tấn công là lớn thì sẽ gây ra hiện tƣợng tấn công dai dẳng, dần dần làm cạn kiệt băng thông và tài nguyên CPU của máy chủ. Đặc điểm nhận dạng của hình thức tấn công này là tốc độ gửi các gói tin dung lƣợng thấp trong khoảng thời gian vừa đủ ngắn và theo chu kỳ. Dạng tấn công low-burst-slow hoặc random hay A. Kuzmanovic, E.W. Knightly [5] gọi là “Shrew attack” là dạng tấn công phức tạp trong đó kẻ tấn công sẽ gửi các gói tin có dung lƣợng vừa đủ thấp nhƣng mật độ cao trong khoảng thời gian ngẫu nhiên để giả mạo lƣu lƣợng thông thƣờng. Mặc dù vậy vẫn có những đặc điểm về tần suất gửi tin có thể áp dụng để ngăn chặn R.K.C. Chang và đồng nghiệp [6] thì lại đƣa ra mô hình tấn công định kỳ theo kiểu sóng chu kỳ Wavelet. Ở đây kẻ tấn công thực hiện tấn công định kỳ và thay đổi chiến thuật tấn công theo định kỳ do đó sẽ mất nhiều thời gian hơn để phân tích, nhận dạng và đƣa ra một chu kỳ đúng để áp dụng chế độ ngăn chặn. Sherwood và đồng nghiệp [7] đề xuất một cách tiếp cận tấn công khác. Kẻ tấn công ở đây sẽ đóng vai trò là ngƣời nhận các kết nối TCP. Tuy nhiên ý tƣởng ở đây là các máy tấn công sẽ gửi trả lại các gói ACK xác nhận mà không cần đợi dữ liệu từ máy chủ trả lời. Dạng tấn công này cố ý phá vỡ các kết nối TCP liên tục làm máy chủ phải dành nhiều tài nguyên để cố gắng hoàn thành các kết nối TCP này. Nhìn chung, các kiểu tấn công luôn tìm cách tận dụng những kẽ hở của giao thức TCP để tìm cách gửi nhiều nhất dữ liệu đến phía mục tiêu có thể trong thời gian ngắn hoặc cố gắng giả mạo những đặc tính thông thƣờng của các truy vấn hợp pháp để gửi lƣu lƣợng rác đến máy chủ Web. Vấn đề nhận dạng những đặc tính lƣu 20