ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
Phạm Đức Duy
TRIỂN KHAI CÁC HỆ THỐNG D-WARD
THEO MÔ HÌNH MẠNG CÁC NODE HÀNG XÓM
KHOÁ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY
Ngành: Mạng và truyền thông máy tính
1
LỜI CẢM ƠN
Để hoàn thành khóa luận này, trước hết em xin bày tỏ lòng biết ơn sâu sắc tới
thầy Đoàn Minh Phương. Thầy đã tận tình hướng dẫn, giúp đỡ, và tạo điều kiện rất
tốt cho em trong suốt quá trình làm khóa luận. Đồng thời em xin cảm ơn các thầy giáo,
cô giáo trong Trường Đại Học Công Nghệ - Đại Học Quốc Gia Hà Nội đã truyền đạt
cho em nhiều kiến thức bổ ích trong suốt thời gian học tập tại trường.
Cuối cùng, em xin cảm ơn tất cả bạn bè, gia đình và người thân đã giúp đỡ, động
viên em rất nhiều để em có thể hoàn thành tốt khóa luận.
Hà Nội, ngày 21 tháng 5 năm 2010
Sinh viên
Phạm Đức Duy
i
TÓM TẮT NỘI DUNG
Các cuộc tấn công tấn công từ chối dịch vụ (DDoS) gây ra một đe dọa rất lớn tới
mạng Internet. Chúng lấy sức mạnh của một lượng lớn các máy được kết nối vào
mạng Internet để tiêu thụ một vài tài nguyên tại máy nạn nhân và từ chối dịch vụ tới
các máy khách hợp lệ, vì chúng thường gây ra sự tắc nghẽn mạng trên đường từ nguồn
đến đích, do vậy làm giảm sự hoạt động của mạng Internet. Chính vì vậy nảy sinh việc
xây dựng các hệ thống phòng thủ DdoS để phát hiện và ngăn chặn các cuộc tấn công
DDoS. Hệ thống D-WARD được biết đến một hệ thống phòng thủ DdoS source-end
rất hiệu quả, nhưng hệ thống D-WARD có nhược điểm là chỉ phát hiện và ngăn chặn
được các cuộc tấn công đi ra từ mạng nguồn mà D-WARD được triển khai. Bởi vậy,
việc triển khai các hệ thống D-WARD theo mô hình mạng các node hàng xóm với
mục đích để cho các hệ thống D-WARD trong mạng trao đổi thông tin với nhau, nhằm
tăng hiệu quả của việc phát hiện và ngăn chặn các cuộc tấn công DdoS.
Luận văn đã cài đặt và kiểm chứng hiệu quả của việc triển khai các hệ thống DWARD theo mô hình mạng các node hàng xóm đồng thời đưa ra một cải tiến đối với
việc triển khai để nâng cao hiệu quả của việc ngăn chặn các cuộc tấn công DDoS.
ii
MỤC LỤC
LỜI MỞ ĐẦU........................................................................................................1
Chương 1. Giới thiệu ...........................................................................................2
1.1. Giới thiệu.................................................................................................2
1.2. Sơ lược về từ chối dịch vụ và từ chối dịch vụ phân tán ..........................2
1.2.1. Sơ lược về từ chối dịch vụ (DoS).....................................................2
1.2.2. Sơ lược về từ chối dịch vụ phân tán (DDoS) ...................................3
1.3. Sơ lược về sự phòng thủ DDoS ...............................................................4
1.3.1. Các thách thức phòng thủ DDoS......................................................4
1.3.1.1. Các thách thức kỹ thuật .............................................................4
1.3.1.2. Các thách thức xã hội ................................................................4
1.3.2. Mục đích của phòng thủ DDoS ........................................................4
1.3.3. Các giải pháp phòng thủ...................................................................5
1.3.4. Các điểm phòng thủ..........................................................................5
1.3.4.1. Phòng thủ tự trị..........................................................................5
1.3.4.2. Phòng thủ phân tán ....................................................................9
1.4. D-WARD được đặt ở đâu? ......................................................................9
Tổng kết ........................................................................................................10
Chương 2. D-WARD...........................................................................................11
2.1. Sơ lược về D-WARD..............................................................................11
2.2. Các thuật ngữ ........................................................................................11
2.3. Dấu hiệu tấn công .................................................................................12
2.4. Kiến trúc ................................................................................................13
2.5. Thành phần theo dõi..............................................................................14
2.5.1. Các đặc điểm và sự phân loại luồng...............................................15
2.5.2 Các đặc điểm kết nối và sự phân loại kết nối..................................17
2.5.3. Phân loại gói tin đầu tiên................................................................22
2.6. Thành phần giới hạn .............................................................................25
2.6.1. Giảm theo luật số mũ......................................................................26
2.6.2 Tăng tuyến tính................................................................................26
iii
2.6.3 Tăng theo hàm số mũ ......................................................................27
2.7. Thành phần quản lý truyền thông .........................................................28
Ưu điểm của D-WARD .................................................................................28
Nhược điểm của D-WARD ...........................................................................28
Tổng kết ........................................................................................................29
Chương 3. Cơ sở lý thuyết của kiến trúc triển khai và mở rộng D-WARD..30
D-WARD 1.0.................................................................................................30
D-WARD 2.0.................................................................................................30
D-WARD 3.0.................................................................................................32
D-WARD 3.1.................................................................................................32
3.1. Kiến trúc thực thi của D-WARD 3.1......................................................33
3.2. Thành phần theo dõi..............................................................................33
3.2.1. Bảng băm luồng..............................................................................33
3.2.2 Bảng băm kết nối.............................................................................35
3.2.3 Thu thập thông tin gói tin................................................................36
3.2.4 Phân loại luồng và kết nối ...............................................................36
3.3 Thành phần giới hạn ..............................................................................38
3.4 Thành phần quản lý truyền thông ..........................................................38
3.4.1 Tiến trình quản lý truyền thông.......................................................39
3.4.2 Các mẫu máy ...................................................................................39
3.5 Bắt truyền thông(traffic-sniffing) ...........................................................40
3.6 Triển khai các hệ thống D-WARD trên mạng các node hàng xóm ........40
Tổng kết ........................................................................................................42
Chương 4. Cài đặt và kết quả thu được............................................................43
4.1. Cài đặt thực nghiệm ..............................................................................43
4.1.1. Mô hình thực thi .............................................................................43
4.1.2. Biên dịch và chạy D-WARD..........................................................43
4.2 Kết quả ...................................................................................................45
iv
4.3 Đánh giá về việc triển khai mở rộng......................................................46
Tổng kết ........................................................................................................47
Chương 5 Kết luận..............................................................................................48
TÀI LIỆU THAM KHẢO..................................................................................49
v
BẢNG TỪ VIẾT TẮT
STT
Từ viết tắt
1
DoS
2
DDoS
3
DNS
4
D-WARD
6
HTTP
9
ICMP
10
IP
11
NTP
12
TCP
13
UDP
14
VoIP
Từ hoặc cụm từ
Denial-of-Service
(từ chối dịch vụ phân tán)
Distributed Denial-of-Service
(từ chối dịch vụ phân tán)
Domain Name Service
(Dịch vụ tên miền)
DDoS Network Attack Recognition and
Defense (Phòng thủ và nhận diện tấn công
mạng DDoS)
Hypetext Transfer Protocol
(giao thức truyền siêu văn bản)
Internet Control Message Protocol
(Giao thức thông điệp điều khiển Internet)
Internet Protol
(giao thức mạng)
Network Time Protocol
(Giao thức thời gian mạng)
Transmission Control Protocol
(Giao thức điều khiển truyền vận)
User Datagram Protocol
Voice over Internet Protocol
(truyền giọng nói qua giao thức mạng)
vi
DANH MỤC HÌNH ẢNH
Hình 1. Trường hợp tấn công từ chối dịch vụ - DoS ..............................................2
Hình 2. Trường hợp tấn công từ chối dịch vụ phân tán – DdoS.............................3
Hình 3. Các điểm phòng thủ ...................................................................................6
Hình 4. phòng thủ Victim-End ...............................................................................7
Hình 5. Phòng thủ mạng trung gian........................................................................8
Hình 6. Phòng thủ source-end ................................................................................9
Hình 7: Luồng và kết nối ......................................................................................12
Hình 8. Kiến trúc D-WARD.................................................................................14
Hình 9: Máy trạng thái hữu hạn DNS...................................................................19
Hình 10: Máy trạng thái hữu hạn NTP .................................................................20
Hình 11: Máy trạng thái hữu hạn luồng dữ liệu ...................................................22
Hình 12: Một kết nối TCP mới được khởi tạo trong cuộc tấn công.....................23
Hình 13: Các giá trị giới hạn và sự phân loại cho một luồng mẫu .......................27
Hình 14. Kiến trúc thực thi của D-WARD 3.1 .....................................................33
Hình 15. Bảng bản ghi luồng................................................................................34
Hình 16. Bản ghi bảng băm luồng giới hạn..........................................................38
Hình 17. Mô hình mạng và bảng địa chỉ hàng xóm .............................................42
Hình 18. Mô hình thực thi ....................................................................................43
Hình 19: File debug/class.txt ................................................................................45
Hình 20: File rlstats.txt .........................................................................................45
Hình 21:File conn.txt ............................................................................................46
vii
LỜI MỞ ĐẦU
Các cuộc tấn công từ chối dịch vụ phân tán (DDoS) là một vấn đề nghiêm trọng
và thách thức tới mạng Internet. Việc này yêu cầu ít nỗ lực ở phía kẻ tấn công, vì một
lượng lớn các máy móc tham gia vào cuộc tấn công, và các công cụ cũng như các mã
kịch bản tự động cho việc khai thác và tấn công có thể dễ dàng được tải về từ mạng và
triển khai. Nói cách khác, việc ngăn chặn tấn công là vô cùng khó khăn do một lượng
lớn máy móc tham gia tấn công, việc sử dụng lừa đảo địa chỉ nguồn và sự giống nhau
giữa truyền thông hợp lệ và tấn công.
Nhiều hệ thống phòng thủ được thiết kế trong các viện nghiên cứu và các hiệp
hội thương mại để chống lại các cuộc tấn công DDoS, nhưng vấn đề vẫn hầu như chưa
được giải quyết. Luận văn này sẽ giới thiệu hệ thống phòng thủ DDoS source-end
được gọi là D-WARD và sự triển khai các hệ thống D-WARD theo mô hình mạng các
node hàng xóm. D-WARD ngăn chặn các cuộc tấn công đi ra từ các mạng được triển
khai. Sự phòng thủ source-end không là giải pháp hoàn toàn với các cuộc tấn công
DDoS, vì các mạng không được triển khai vẫn thực hiện các cuộc tấn công thành công,
nhưng D-WARD có thể tìm ra và ngăn chặn đáng kể các cuộc tấn công DdoS khi nó
được cài đặt. Nhược điểm của hệ thống D-WARD là các hệ thống D-WARD không
liên lạc được với nhau. Và trong luận văn này sẽ thảo luận về việc triển khai các hệ
thống D-WARD theo mô hình mạng các node hàng xóm.
Khóa luận gồm có 4 chương.
Chương 1: Giới thiệu sơ lược về tấn công từ chối dịch vụ(DoS) và tấn công từ
chối dịch vụ phân tán(DDoS), đồng thời cũng giới thiệu về phòng thủ DDoS: các thách
thức phòng thủ, mục đích phòng thủ, giải pháp, điểm phòng thủ và phòng thủ phân tán.
Chương 2: Khóa luận giới thiệu về D-WARD: kiến trúc, các thành phần của DWARD và sự triển khai các thành phần đó.
Chương 3: Khóa luận đề cập đến việc mở rộng D-WARD: giới thiệu các phiên
bản của D-WARD, sự triển khai trên mạng các node hàng xóm.
Chương 4: Cài đặt và kết quả đạt được khi triển khai trên mạng các node hàng
xóm.
Chương 5: Phần kết luận.
1
Chương 1. Giới thiệu
1.1. Giới thiệu
Hệ thống phòng thủ DDoS là một lĩnh vực nghiên cứu rất được quan tâm nhưng
cũng rất phức tạp. Sự thực thi một hệ thống phòng thủ liên quan đến nhiều vấn đề khác
nhau. Chương này của khóa luận sẽ chỉ ra kiến thức cơ bản mà liên quan đến phòng
thủ DDoS. Đầu tiên, khóa luận sẽ thảo luận về từ chối dịch vụ và rồi luận văn đề cập
tới từ chối dịch vụ phân tán. Cuối cùng, luận văn sẽ nói về sự phòng thủ DDoS.
1.2. Sơ lược về từ chối dịch vụ và từ chối dịch vụ phân tán
1.2.1. Sơ lược về từ chối dịch vụ (DoS)
Các cuộc tấn công từ chối dịch vụ (DoS) dùng một lượng lớn các gói tin để làm
gián đoạn việc phục vụ của máy nạn nhân với các máy khách hợp lệ. Máy nạn nhân
thường là một máy chủ phục vụ, sẽ phải dùng nhiều thời gian và hầu hết các tài
nguyên để xử lý các yêu cầu DoS,được chỉ rõ trong hình 1. Như một kết quả, các máy
khách thực sự của máy nạn nhân sẽ khó khăn trong việc truy cập hay không thể truy
cập tới các dịch vụ của máy nạn nhân. Ngoài ra, ngay cả khi máy nạn nhân thực thi
thành công sau cuộc tấn công, các người dùng thường chọn các nhà cung cấp dịch vụ
khác vì sự quấy rối trước đó. Hiệu ứng này có thể thấy được trong vài trang mà hỗ trợ
các giao dịch thời gian thực như mua vé tàu, chuyển khoản hay mua cố phiếu. Vì
những nguyên nhân này, các máy nạn nhân sẽ mất sự tin tưởng của khách hàng và
giảm lợi nhuận sau các cuộc tấn công DoS.
Hình 1. Trường hợp tấn công từ chối dịch vụ - DoS
2
1.2.2. Sơ lược về từ chối dịch vụ phân tán (DDoS)
Các cuộc tấn công từ chối dịch vụ phân tán đơn giản là các cuộc tấn công từ chối
dịch vụ nhưng được thực hiện từ nhiều máy móc bị phá hoại (agent). Mỗi khi kẻ tấn
công có thể điều khiển các agent, tất cả các máy mọc được tiến hành đồng thời và bắt
đầu phát sinh lượng lớn gói tin có thể tới máy nạn nhân, được chỉ rõ trong hình 2.
Lượng agent càng lớn,các tài nguyên của máy nạn nhân càng nhanh cạn kiệt và quá
tải. Bởi vậy, để thiết kế một hệ thống phòng thủ tốt, chúng ta phải hoàn toàn hiểu về
các đặc điểm của cuộc tấn công DDoS.
Đầu tiên, các agent luôn sử dụng việc lừa đảo địa chỉ IP nguồn trong các cuộc tấn
công DDoS. Kẻ tấn công giả mạo thông tin trong trường địa chỉ IP nguồn trong các
tiêu đề gói tin tấn công. Do vậy, thật khó cho các máy nạn nhân nếu chúng muốn lần
vết các máy agent. Bên cạnh đó, việc ẩn địa chỉ của các máy agent cho phép kẻ tấn
công sử dụng lại chúng cho các cuộc tấn công trong tương lai. Vì vậy, bất kỳ loại
truyền thông nào cũng có thể được sử dụng để thực hiện một cuộc tấn công từ chối
dịch vụ thành công. Kẻ tấn công nhắm tới phát sinh các gói tin giống như hợp lệ để
thực hiện cuộc tấn công, nên việc phân loại giữa truyền thông hợp lệ và truyền thông
tấn công yêu cầu xây dựng các bảng dữ liệu thống kê để rút ra ngữ nghĩa phiên giao
dịch.
Hình 2. Trường hợp tấn công từ chối dịch vụ phân tán – DdoS
3
1.3. Sơ lược về sự phòng thủ DDoS
1.3.1. Các thách thức phòng thủ DDoS
Các thách thức cho việc thiết kế các hệ phòng thủ DDoS chia thành hai loại: các
thách thức kỹ thuật và các thách thức xã hội. Các thách thức kỹ thuật bao quanh các
vấn đề liên quan tới các giao thức Internet hiện tại và các đặc điểm của DDoS. Các
thách thức xã hội, nói theo cách khác, hầu như liên quan tới cách mà một giải pháp kỹ
thuật thành công sẽ được giới thiệu tới người dùng Internet, và được chấp nhận và
được triển khai diện rộng bởi những người dùng này.
1.3.1.1. Các thách thức kỹ thuật
Bản chất phân tán của các cuộc tấn công DDoS và dung các mẫu truyền thông
hợp lệ và sự lừa đảo IP tương ứng với các thách thức kỹ thuật chính để thiết kế các hệ
thống phòng thủ DDoS hiệu quả. Danh sách dưới đây tổng hợp các thách thức kỹ thuật
cho phòng thủ DDoS:
• Cần thiết cho một sự đáp trả phân tán tại nhiều điểm trong mạng Internet.
• Sự thiếu thông tin tấn công chi tiết.
• Sự thiếu các tiêu chuẩn cho hệ thống phòng thủ.
• Sự khó khăn trong kiểm thử ở mức lớn.
1.3.1.2. Các thách thức xã hội
Nhiều hệ thống phòng thủ DdoS yêu cầu các kiểu triển khai nào đó để thu được
hiệu quả. Các kiểu này chia thành các loại sau:
• Triển khai hoàn toàn.
• Triển khai kề nhau.
• Triển khai mức lớn, diện rộng.
• Triển khai hoàn toàn tại các vị trí xác định trong mạng Internet.
• Sự điều chỉnh của các giao thức Internet được triển khai diện rộng, như TCP,
UDP hay HTTP.
• Tất cả các máy khách (hợp lệ) của phòng thủ triển khai mục tiêu được bảo vệ.
1.3.2. Mục đích của phòng thủ DDoS
4
Mục đích chính của phòng thủ DDoS là cung cấp dịch vụ tốt tới các máy khách
hợp lệ của máy nạn nhân trong cuộc tấn công, vì vậy hủy bỏ hiệu ứng từ chối dịch vụ.
Múc đích thứ hai là làm giảm bớt hiệu ứng của cuộc tấn công tới máy nạn nhân vì thế
các tài nguyên của nó có thể dành cho các máy khách hợp lệ hay được giữ gìn. Cuối
cùng, thuộc tính tấn công sẽ như một cản trở lớn tới các sự cố DDoS, vì vậy các kẻ tấn
công có thể đối mặt với rủi ro phát hiện và trừng phạt.
1.3.3. Các giải pháp phòng thủ
Các giải pháp phòng thủ DDoS có thể được chia thành ba loại: các giải pháp
ngăn ngừa, giải pháp chọn lọc tự nhiên và giải pháp đáp lại.
Các giải pháp ngăn ngừa: Giới thiệu sự thay đổi trong các giao thức
Internet,các chương trình và các host, để vá các tổn thương đang tồn tại và giảm sự
xâm nhập và lợi dụng. Mục đích của chúng ngăn chặn các cuộc tấn công vào tổn
thương, và cản trở các cố gắng của kẻ tấn công để đạt được một lực lượng agent lớn.
Các giải pháp chọn lọc tự nhiên: Mở rộng các tài nguyên của máy nạn nhân,
cho phép nó phục vụ cả các yêu cầu hợp lệ và có ác ý trong cuộc tấn công, vì vậy hủy
bỏ hiệu ứng từ chối dịch vụ. Sự mở rộng này đạt được một cách tĩnh – bằng việc mua
thêm các tài nguyên, hay tự động – bằng cách kiếm được các tài nguyên từ việc
nhường cho một bộ máy chủ công cộng phân tán và tái tạo lại dịch vụ mục tiêu. Hiệu
quả của các giải pháp chọn lọc tự nhiên giới hạn trong các trường hợp các tài nguyên
được mở rộng lớn hơn lượng tấn công, nhưng kẻ tấn công có thể dễ dàng thu thập
hàng trăm, hàng ngàn máy agent, do vậy các giải pháp chọn lọc tự nhiên hầu như
không cung cấp một giải pháp hoàn toàn cho vấn đề DDoS.
Các giải pháp đáp lại: Phát hiện sự xảy ra tấn công và đáp lại nó(“chiến đấu
lại”) bằng điều khiển các luồng tấn công, hay có gắng định vị các máy agent và gọi ra
các hành động cần thiết.
1.3.4. Các điểm phòng thủ
Một hệ thống phòng thủ DDoS có thể được triển khai như một hệ thống tự
trị(đơn điểm) hay như một hệ thống phân tán. Các hệt thống tự trị bao gồm một node
phòng thủ đơn lẻ để theo dõi cuộc tấn công và đưa ra các đáp lại. Các hệ thống phân
tán bao gồm nhiều node phòng thủ(thường cùng chức năng) được triển khai tại nhiều
vị trí và được tổ chức trong một mạng.
1.3.4.1. Phòng thủ tự trị
5
Các luồng tấn công DDoS phát sinh từ các máy tấn công phân tán, được chuyển
bởi các bộ định tuyến hạt nhân và đồng quy tại mạng máy nạn nhân. Chúng ta theo dõi
tiến trình này như một sự tác động của ba loại mạng: mạng nguồn chứa các máy tấn
công, mạng trung gian chuyển tiếp truyền thông tấn công tới máy nạn nhân, và mạng
nạn nhân chứa mục tiêu, được thể hiện rõ trong hình 3. Mỗi mạng có thể chứa các hệ
thống phòng thủ DDoS.
Hình 3. Các điểm phòng thủ
1.3.4.1.1. Phòng thủ Victim-End
Đa số các hệ thống phòng thủ DDoS được thiết kế cho sự triển khai victim-end,
hình 4 thể hiện sự triển khai phòng thủ victim-end. Thật dễ hiểu vì máy nạn nhân chịu
tổn thương nhất từ một cuộc tấn công DDoS. Một hệ thống phòng thủ DDoS victimend dễ dàng phát hiện vì nó theo dõi máy nạn nhân gần. Tuy nhiên, khoảng đáp lại bị
giới hạn. Hệ thống phòng thủ nằm trên đường đi của toàn bộ lực lượng tấn công, và có
thể bị vượt ngưỡng bởi một lượng lớn truyền thông. Một thách thức khác mà hệ thống
victim-end phải đối mặt là khả năng xử lý và lưu trữ. Để mà phân biệt các luồng hợp lệ
với các luồng tấn công, hệ thống của bạn cần lưu một lượng lớn các mẫu và sức mạnh
tính toán để kiểm tra và lưu trữ các đặc điểm của từng luồng.
6
Hình 4. phòng thủ Victim-End
1.3.4.1.2. Phòng thủ mạng trung gian
Chúng ta biết rằng sự nguy hiểm của một cuộc tấn công DDoS với các tài nguyên
mạng là rất lớn. Vì vậy, chúng ta muốn di chuyển sự phòng thủ xa hơn máy nạn nhân,
vào mạng trung gian, hình 5 thể hiện sự triển khai phòng thủ ở mạng trung gian. Một
hệ thống phòng thủ mạng trung gian, thường cài đặt tại một bộ định tuyến hạt nhân,
phát hiện cuộc tấn công thông qua theo dõi các bất thường tại bộ định tuyến này. Vì
các bộ định tuyến hạt nhân xử lý lượng lớn, chúng hầu như giám sát tất cả. Các bộ
định tuyến hạt nhân không thể có khả năng giữ các đặc điểm của các gói tin đi qua trên
nền tảng mỗi đích. Giải pháp này không phổ biến vì chúng ta cần một lượng lớn chi
phí và bảo đảm chắc chắn về các kết quả hiệu quả khi chúng ta tăng sự phức tạp của
bộ định tuyến hạt nhân.
7
Hình 5. Phòng thủ mạng trung gian
1.3.4.1.3. Phòng thủ source-end
Phòng thủ DDoS được đặt xa hơn máy nạn nhân tới nguồn, rút ngắn khả năng
phát hiện,hình 6 thể hiện phòng thủ source-end. Một hệ thống phòng thủ source-end
không thể dễ dàng theo dõi hiệu ứng của truyền thông đi tới máy nạn nhân. Hơn nữa,
vì nó có thể giám sát chỉ một phần nhỏ của cuộc tấn công, hệ thống phòng thủ có
những khó khăn trong việc phát hiện các bất thường. Nói cách khác, tính hiệu quả của
sự đáp lại tăng với trạng thái gần nguồn. Vì phương pháp này có lượng thấp hơn, nó có
thể cho phép nhiều xử lý hơn để phát hiện và phân loại. Ngoài ra, với sự thiếu của sự
tập hợp có thể giúp cho việc phân chia giữa truyền thông hợp lệ và truyền thông tấn
công trong cuộc tấn công. Giải pháp này có thể phát hiện và ngăn chăn tốt hơn và
nhanh hơn, nên giảm tối thiểu nguy hiểm gây ra. Tuy nhiên, khó khăn để triển khai ở
mức lớn, và khó khăn khác chính là xác định giữa truyền thông hợp lệ và truyền thông
tấn công để mà loại bỏ các gói tin truyền thông tấn công.
8
Hình 6. Phòng thủ source-end
1.3.4.2. Phòng thủ phân tán
Các hệ thống phân tán của phòng thủ DDoS bao gồm các hành động của các hệ
thống phòng thủ victim-end, source-end và đôi khi của phòng thủ mạng trung gian.
Phòng thủ victim-end phát hiện tấn công và phân phối cảnh báo tới thành viên khác
mà hợp tác để chặn các luồng tấn công. Mục đích là cài đặt các tài nguyên gần các
nguồn có thể, vì vậy giảm tối thiểu nguy hiểm.
Các hệ thống phân tán gần như là giải pháp thích hợp cho việc xử lý DDoS. Tuy
nhiên, chúng là giải pháp cơ sở - chúng trải qua nhiều mạng và quản lý nhiều miền và
thực hiện cam kết của nhiều người tham gia Internet. Do vậy các hệ thống khó khăn
trong triển khai và duy trì. Hơn nữa, sự yêu cầu kết hợp của phòng thủ là khó mà đạt
được do việc quản lý phân tán mạng Internet và sự hoạt động tự trị của các miền. Việc
an toàn và xác thực các kênh truyền thông cũng chịu một giá cao nếu lượng tham gia
là lớn.
1.4. D-WARD được đặt ở đâu?
9
D-WARD là một hệ thống phòng thủ DdoS source-end. Nó được thiết kế để thực
hiện cả hai như một hệ thống tự trị và như một phần của phòng thủ phân tán. Như một
hệ thống tự trị, nó phát hiện một khoảng rộng các cuộc tấn công và điều khiển chúng,
điều khiển là được lựa chọn, vì vậy cho phép các máy khách hợp lệ nhận được các
dịch vụ tốt từ máy nạn nhân trong cuộc tấn công. Như một phần của phòng thủ phân
tán, D-WARD có thể nhận một cảnh báo tấn công và hướng dẫn giới hạn, và đưa ra
một đáp lại tự động,hiệu quả và có lựa chon. Nhưng D-WARD không phải là một giải
pháp hoàn toàn với các cuộc tấn công DdoS, nó đẩy mạnh an ninh mạng Internet.
Tổng kết
Chương 1 của khóa luận đã chỉ cho các bạn thấy rằng từ chối dịch vụ phân tán
(DDoS) là các cuộc tấn công đơn giản. Chúng thu thập các tài nguyên của một lượng
agent để làm tràn máy nạn nhân. Khó khăn trong việc xử lý các cuộc tấn công DdoS
một cách chính xác. Vì chúng lạm dụng các giao thức hợp lệ để thực hiện từ chối dịch
vụ, nó vô cùng khó khăn để phân chia truyền thông tấn công với truyền thông hợp lệ;
việc này cản trở cả việc phát hiện và đáp lại.
Thêm đó, cũng chỉ cho các bạn thấy được các thách thức trong việc thiết kế một
sự phòng thủ hiệu quả. Các giải pháp phòng thủ nhắm đến việc ngăn chặn các cuộc tấn
công từ chối dịch vụ (các giải pháp ngăn chặn), để cho phép máy nạn nhân tồn tại
trong cuộc tấn công ma không từ chối dịch vụ tới các máy khách hợp lệ(các giải pháp
chọn lọc tự nhiên). Và các giải pháp ngăn chặn, giải pháp chọn lọc tự nhiên không thể
hoàn toàn xử lý các cuộc tấn công DdoS. Các giải pháp đáp lại chỉ ra các hứa hẹn cho
việc hoàn thành các hoạt động của các giải pháp ngăn chặn và chọn lọc tự nhiên.
Ngoài ra, cũng đưa ra cái nhìn tổng thể về việc lựa chọn cài đặt hệ thống phòng
thủ DDoS tại đâu để thu được hiệu quả nhất: source-end, mạng trung gian hay victimend.
10
Chương 2. D-WARD
2.1. Sơ lược về D-WARD
D-WARD ( DDoS Network Attack Recognition and Defense) là một hệ thống
phòng thủ DDoS mà được triển khai ở source-end. Nó có hai mục đích chính:
• Phát hiện các cuộc tấn công DDoS đi ra và dừng chúng bằng điều khiển truyền
thông đi ra tới máy nạn nhân.
• Cung cấp dịch vụ tốt tới các giao dịch hợp lệ giữa mạng triển khai và máy nạn
nhân trong khi cuộc tấn công đang diễn ra.
D-WARD có thể hoạt động hoặc như một hệ thống tự trị, hoặc là một người tham
gia trong một hệ thống bảo vệ phân tán. Trong sự hoạt động tự trị, D-WARD tìm ra
các cuộc tấn công và đáp lại tới chúng không truyền thông với bất kỳ thực thể khác.
Trong sự hoạt động hợp tác phân tán, D-WARD làm tăng sự dò tìm của nó bằng nhận
các cảnh bảo tấn công từ các người tham gia khác. D-WARD cũng có thể chấp nhận
và công nhận một vài sự đáp lại được yêu cầu từ máy khác.
D-WARD là hệ thống phòng thủ source-end, nên nó được cài đặt tại bộ định
tuyến nguồn và sự hoạt động của nó dường là một gateway giữa mạng được triển khai
và phần còn lại của mạng Internet. Do vậy D-WARD chỉ kiểm soát truyền thông đi ra
từ mạng của nó. Bất kỳ truyền thông hình thành trong các miền khác được đưa đến cho
D-WARD thì không được kiểm soát.
2.2. Các thuật ngữ
Khi chúng ta nghiên cứu về D-WARD, chúng ta phải hiểu các thuật ngữ liên
quan tới D-WARD như luồng, kết nối, “bộ địa chỉ kiểm soát”,…
Đầu tiên, D-WARD được cấu hình với một bộ các địa chỉ cục bộ mà truyền
thông đi ra được nó kiểm soát – bộ địa chỉ kiểm soát của nó. Bộ này nhận diện, ví dụ,
tất cả các máy trong mạng stub hay tất cả khách hàng của một ISP. Chúng ta giả thiết
D-WARD có thể nhận diện bộ địa chỉ kiểm soát, hoặc thông qua vài giao thức hay
thông qua cấu hình bằng tay.
D-WARD theo dõi tất cả truyền thông giữa bộ địa chỉ kiểm soát của nó và phần
còn lại của Internet, dựa vào luồng và kết nối. Luồng được xác định như toàn bộ
truyền thông giữa bộ địa chỉ kiểm soát và một host bên ngoài (i.e..,một địa chỉ IP bên
ngoài). Một kết nối được định nghĩa như toàn truyền thông giữa một cặp địa chỉ IP và
11
số cổng, nơi một địa chỉ thuộc vào bộ địa chỉ kiểm soát và địa chỉ kia là một địa chỉ
bên ngoài.
Hình 7 sẽ minh họa khái niệm của một lưu lượng và một kết nối.
Hình 7: Luồng và kết nối
D-WARD áp dụng bộ lọc lối vào với truyền thông đi ra, để chống lại sự lừa đảo
ngẫu nhiên. D-WARD có khả năng điều khiển các cuộc tấn công mà dùng lừa đảo
subnet.
2.3. Dấu hiệu tấn công
D-WARD theo dõi trạng thái lưu lượng và kết nối và phân loại lưu lượng hay kết
nối hoàn chỉnh như hợp lệ hay tấn công. D-WARD tìm các tấn công DDoS đi ra bởi
giám sát truyền thông hai chiều giữa mạng nguồn và phần còn lại của mạng Internet.
Hệ thống tìm kiếm các dị thường dưới đây trong truyền thông tự động có thể là dấu
hiệu của một cuộc tấn công DDoS:
Host bên ngoài không đáp lại: Tỷ lệ gửi tín hiệu mang tính tấn công đi đôi
với tỷ lệ đáp lại thấp. Sự dị thường này có quan hệ tới các truyền thông hai chiều mà
cho phép một mẫu yêu cầu/đáp lại như TCP, một vài loại truyền thông ICMP, truyền
thông DNS, truyền thông NTP,..Trong các truyền thông này, một bên gửi một hay vài
gói tin tới bên khác, và chờ một trả lời (hoặc xác nhận của sự nhận được hay một sự
đáp lại) trước khi gửi một vài gói tin. Bằng việc tìm ra các host bên ngoài không đáp
lại, D-WARD thực sự tập trung vào tìm ra sự nảy sinh của hiệu ứng từ chối dịch vụ.
Việc này là một dấu hiệu tấn công rất tin cậy, như một người tấn công phải tạo ra hiệu
ứng từ chối dịch vụ để gây ra nguy hiểm tới máy nạn nhân. Nói cách khác, cặp phát
12
- Xem thêm -
.PDF 
57 
63470 
128 
