Đăng ký Đăng nhập
Trang chủ Nghiên cứu giải pháp chống tấn công ddos thế hệ mới cho mạng isp sử dụng bgp flo...

Tài liệu Nghiên cứu giải pháp chống tấn công ddos thế hệ mới cho mạng isp sử dụng bgp flowspec

.PDF
70
187
145

Mô tả:

ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC MỤC LỤC LỜI MỞ ĐẦU ........................................................................................................................... i LỜI CẢM N ........................................................................................................................... ii MỤC LỤC.................................................................................................................................. i DANH MỤC THUẬT NGỮ VIẾT TẮT ............................................................................. iii MỤC LỤC H NH ẢNH ......................................................................................................... iv CHƯ NG I: TẤN CÔNG DDOS VÀ THÁCH THỨC BẢO MẬT TRÊN MẠNG LƯỚI. ........................................................................................................................................ 1 1.1 Giới thiệu chung ................................................................................................................ 1 1.2. Tổng quan về tấn công DDoS ......................................................................................... 2 1.3. Kiến trúc, phân loại và các phư ng pháp chống tấn công DDOS .............................. 2 1.3.1. Kiến trúc tấn công DDoS......................................................................................... 2 1.3.2. Phân loại tấn công DDoS......................................................................................... 4 1.3.4. Các biện pháp phòng chống tấn công DDoS. ....................................................... 7 1.3.3 Nguy c tấn công và cách đối phó với tấn công DDoS tại Việt Nam. ............... 9 1.4 Sự phát triển của các cuộc tấn công DDoS trên mạng ISP. ....................................... 10 1.5 Những thách thức trong việc phòng chống DDoS trên mạng ISP. ........................... 11 1.5.1 Cấu trúc mạng ISP ................................................................................................... 12 1.5.2 Chống tấn công DDoS sử dụng kĩ thuật RTBH.................................................. 13 1.5.3 Nhược điểm của giải pháp RTBH ......................................................................... 15 1.6. Tổng kết chư ng I .......................................................................................................... 16 CHƯ NG II: T M HIỂU VỀ BGP FLOW-SPEC ............................................................ 17 2.1 Tổng quan về BGP Flow-Spec ...................................................................................... 17 2.1.1 Vận chuyển và quảng bá BGP Flow-spec ............................................................ 18 2.1.2 Lưu trữ Flow-spec trong bản tin cập nhật của BGP ............................................ 18 2.1.3. Biểu diễn thông tin của một BGP Flow-spec trong gói tin cập nhật của BGP20 2.1.4 Các loại thông tin trong BGP Flow-spec .............................................................. 22 2.1.5. Thứ tự sắp xếp và cập nhật BGP Flow-spec ....................................................... 28 2.1.6. Xử lý BGP Flow-Spec. .......................................................................................... 30 2.2 C chế hoạt động BGP Flow-Spec............................................................................... 32 2.3 Mở rộng c chế chuyển mạch và định tuyến với BGP Flow-Spec ........................... 34 ĐỖ MINH HIỆP – D13VT6 Page i ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC 2.4 Ưu điểm khi sử dụng BGP Flow-Spec trên mạng lưới ............................................... 39 2.4.1 Chống tấn công DDoS sử dụng BGP Flow-Spec. ............................................... 39 2.4.2 Tránh việc cấu h nh nhiều bộ định tuyến ảo phức tạp. ...................................... 40 2.4.2 Tránh lặp định tuyến khi lọc lưu lượng độc hại .................................................. 42 2.4.3. Đư ng đầu với tấn công băng thông lớn. ............................................................ 44 2.4.4 Định tuyến QoS........................................................................................................ 44 2.5. Tổng kết chư ng II ......................................................................................................... 46 CHƯ NG 3: GIẢI PHÁP CHỐNG TẤN CÔNG DDOS THẾ HỆ MỚI SỬ DỤNG BGP FLOW-SPEC................................................................................................................. 47 3.1 Yêu cầu đối với hệ thống chống tấn công DdoS thế hệ mới trên mạng ISP ............ 47 3.2 Triển khai hệ thống chống tấn công DdoS thế hệ mới trên mạng ISP ...................... 47 3.2.1Các thành phần trong hệ thống phòng thủ DDoS sử dụng BGP Flow-Spec ..... 47 3.2.2 Quá tr nh phát hiện và ngăn chặn một cuộc tấn công trên mạng ISP sử dụng BGP Flow-Spec. ..................................................................................................................... 52 3.3 Mô ph ng hệ thống chống tấn công DDoS thế hệ mới sử dụng BGP Flow-Spec. . 53 3.3.1Công cụ thực hiện ..................................................................................................... 54 3.3.2 Mô h nh triển khai ................................................................................................... 54 3.3.3 Các bước thực hiện .................................................................................................. 54 3.3.4 Kịch bản tấn công và kết quả ................................................................................. 57 3.4 Tổng kết chư ng III......................................................................................................... 62 KẾT LUẬN ĐỒ ÁN VÀ HƯỚNG NGHIÊN CỨU TIẾP THEO ................................... 63 TÀI LIỆU THAM KHẢO..................................................................................................... 64 ĐỖ MINH HIỆP – D13VT6 Page ii ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC DANH MỤC THUẬT NGỮ VIẾT TẮT Thuật Ngữ Tiếng Anh Tiếng Việt ACK Acknowledge Xác nhận ISP Internet Service Provider Nhà cung cấp dịch vụ internet BGP Border Gateway Protocol Giao thức định tuyến liên miền DoS Denial of Server Tấn công từ chối dịch vụ DDoS Distributed Denial of Service Tấn công từ chối dịch vụ phân tán NLRI Network Layer Reachability Information Thông tin truy cập lớp mạng FS Flow Specification Lưu lượng đặc tả HTTP HyperText Transfer Protocol Giao thức truyền tải siêu văn bản ICMP Internet Control Message Protocol Giao thức điều khiển truyền tin IP Internet Protocol Giao thức Internet RTBH Remote Triger Black Hole Lỗ đen kích hoạt từ xa LAN Local Area Network Mạng khu vực nội bộ NIC Network Interface Card Cổng giao diện mạng PBR Policy Base Routing Định tuyến dựa trên chính sách SAFI Subsequent Address Family Identifier Định danh họ địa chỉ kế tiếp SYN Synchronize Đồng bộ TCP Transmission Control Protocol Giao thức điều khiển truyền vận VLAN Virtual Local Area Network Mạng LAN ảo ĐỖ MINH HIỆP – D13VT6 Page iii ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC MỤC LỤC HÌNH ẢNH H nh 1.1.Kiến trúc tấn công DDoS trực tiếp ............................................................................. 3 H nh 1.2.Kiến trúc tấn công DDoS phản chiếu ......................................................................... 3 H nh 2.3.Tấn công ngập lụt băng thông qua môi trường mạng ISP ......................................... 10 H nh 2.4.Tiêu đề gói tin IP ....................................................................................................... 11 H nh 2.5.Khuôn dạng bản tin cập nhật của BGP ...................................................................... 20 H nh 2.6.Các thành phần của NLRI thông thường ................................................................... 20 H nh 2.7.Một gói tin cập nhật BGP chứa Flow-spec NLRI ..................................................... 21 H nh 2.8.Ví dụ mô tả tiền tố địa chỉ IP đích trong Flow-spec NRLI ....................................... 22 H nh 2.9.Ví dụ mô tả tiền tố địa chỉ IP nguồn trong Flow-spec NRLI .................................... 23 H nh 2.10.Ví dụ mô tả tiền tố địa chỉ cổng đích trong Flow-spec NRLI ................................. 24 H nh 2.11.Ví dụ mô tả tiền tố mã bản tin ICMP trong Flow-spec NRLI ................................. 25 H nh 2.12.Ví dụ mô tả tiền tố cờ TCP trong Flow-spec NRLI ................................................ 26 H nh 2.13. Ví dụ mô tả tiền tố độ dài bản tin trong Flow-spec NRLI ...................................... 27 H nh 2.14.Ví dụ mô tả tiền tố DSCP trong Flow-spec NRLI................................................... 27 H nh 2.15.Ví dụ mô tả tiền tố phân mảnh trong Flow-spec NRLI ........................................... 28 H nh 2.16 Thứ tự áp dụng hành động cho BGP Flow-spec ..................................................... 33 H nh 2.17 Chuyển mạch sử dụng mặt phẳng điều khiển và mặt phẳng dữ liệu ....................... 35 H nh 2.18 Mô h nh hoạt động chủ-tớ của BGP Flow-spec ...................................................... 36 H nh 2.19 Mô h nh hoạt động của thiết bị đính tuyến hỗ trợ BGP Flow-spec ......................... 38 H nh 2.20 S đồ cấu h nh BGP Flow-spec ............................................................................... 39 H nh 2.21 Mô h nh mạng sử dụng BGP Flow-spec để chuyển hướng và chấm dứt lưu lượng độc hại ...................................................................................................................................... 40 H nh 2.22 S đồ tấn công DDoS c bản trên mạng ................................................................. 41 H nh 2.23 Điều hướng tấn công DDoS nhờ sử dụng các bộ định tuyến ảo ............................. 41 H nh 2.24 Ưu thế của sử dụng Flow-spec so với sử dụng các bộ định tuyến ảo ...................... 42 H nh 2.25 Lặp định tuyến khi trao đổi lưu lượng với bộ lọc .................................................... 43 H nh 2.26 BGP Flow-Spec giải quyết lặp định tuyến .............................................................. 43 H nh 2.27 Tấn công DDoS lưu lượng lớn ................................................................................ 44 H nh 2.28 Sử dung BGP Flow-spec hỗ trợ định tuyến QoS ..................................................... 45 H nh 3.1 Các thành phần của hệ thống phòng thủ DDoS sử dụng BGP Flow-spec................. 48 H nh 3.2 S đồ các bộ định tuyến biên trong mạng metro ...................................................... 49 H nh 3.3 Đặc điểm của các bộ định tuyến phản chiếu ............................................................. 50 H nh 3.4 Sử dụng RR trong phân cụm quản lý ........................................................................ 51 H nh 3.5 Mô h nh mô ph ng. ................................................................................................... 55 H nh 3.6 Cấu h nh định tuyến BGP giữa Client và Server ....................................................... 55 ĐỖ MINH HIỆP – D13VT6 Page iv ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC H nh 3.7 Giao diện phần mềm Moba Exterm........................................................................... 56 H nh 3.8 Mô ph ng máy chủ web sử dụng Moba Exterm ....................................................... 56 H nh 3.9 Giao diện máy chủ web khi truy cập ......................................................................... 57 H nh 3.10 Sử dụng Ostinato giả lập lưu lượng tấn công .......................................................... 57 H nh 3.11.Thiết lập thông số và đặc điểm lưu lư ng tấn công ................................................ 58 H nh 3.12 Sử dụng Wireshark bắt lưu lư ng tấn công ............................................................. 59 H nh 3.13 Hướng đi của lưu lượng tấn công và lưu lượng người dùng tới máy chủ ............... 60 H nh 3.14 Cấu h nh bộ kích hoạt Flow-spec để ngăn chặn tấn công ....................................... 60 H nh 3.15 Các bộ định tuyến khách đã học và thiết lập Flow-Spec thành công ...................... 61 H nh 3.16 Hướng đi của lưu lượng tấn công đã bị chặn tại bộ định tuyến Flow-Spec khách .. 62 ĐỖ MINH HIỆP – D13VT6 Page v ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC DANH MỤC ẢNG IỂU Bảng 2.1. Các hành động được hỗ trợ ........................................................................... 32 Bảng 2.2. Thứ tự ưu tiên xử lý FBR theo các tiền tố của Flow-spec ............................ 34 ĐỖ MINH HIỆP – D13VT6 Page vi ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC CHƢƠNG I: TẤN CÔNG DDOS VÀ THÁCH THỨC BẢO MẬT TRÊN MẠNG LƢỚI. 1.1 Giới thiệu chung Ngày nay, đối với các nhà cung cấp dịch vụ mạng th việc quản lý và bảo vệ tốt hệ thống mạng lưới của m nh cũng như dữ liệu khách hàng, đối tác trước các cuộc tấn công mạng là một trong những bài toán được ưu tiên hàng đầu và đang không ngừng gây khó khăn cho họ. Để có thể ngăn chặn các cuộc tấn đó, ban đầu các nhà cung cấp phải đầu tư, tính toán rất nhiều loại chi phí như chi phí cho phần cứng, phần mềm, mạng, chi phí cho quản trị viên, chi phí bảo tr , sửa chữa, … Ngoài ra họ còn phải tính toán khả năng mở rộng, nâng cấp thiết bị, phải kiểm soát việc điều hướng lưu lượng và chống lặp định tuyến trong mạng. Từ các bài toán điển h nh như vậy, chúng ta thấy được rằng nếu có một biện pháp tin cậy giúp các nhà cung cấp dịch vụ quản lý tập chung các hệ thống định tuyến và ngăn chặn tấn công DdoS thì các doanh nghiệp sẽ không còn quan tâm đến cấu h nh phức tạp mà chỉ cần tập chung theo dõi, xử lý và điều khiển lưu lượng mạng thông qua một tính năng duy nhất th sẽ mang lại cho họ hiệu quả và lợi nhuận ngày càng cao h n. Thuật ngữ “BGP Flow-specification được bắt nguồn từ ý tưởng mở rộng c chế định tuyến hiện tại và điều khiển định tuyến trong giao thức BGP thông qua các bộ quản lý tập chung. Chúng ta sẽ thấy định tuyến không chỉ còn lại là việc điều hướng lưu lượng dựa trên địa chỉ IP mà còn có thể dựa trên rất nhiều các tiêu chí khác: địa chỉ nguồn, số hiệu cổng lớp truyền tải, QoS hay thậm chí là độ dài gói tin IP. C chế này cho phép thiết bị định tuyến can thiệp sâu vào quá tr nh xử lý lưu lượng đồng thời cho phép quản lý việc phân phối, sửa đổi và thu hồi thông tin về lưu lượng mạng một cách tập chung hoàn toàn. Xu hướng này sẽ giúp nhiều nhà cung cấp dịch vụ điều khiển tối ưu lưu lượng mạng và ngăn chặn lưu lư ng tấn công DDoS ngay trước khi nó xâm nhập mạng. Vậy “BGP Flow-spec là g ? Có rất nhiều định nghĩa từ các qui ước khác nhau trong đó, theo RFC 5575 th định nghĩa một lưu lượng đặc tả ( Flow specification - FS) là một luồng lưu lượng được mô tả bởi một tập các tiêu chí có thể được áp dụng cho lưu lượng IP. Flow-spec được truyển tải và trao đổi dựa trên giao thức định tuyến liên miền BGP, vốn là giao thức được sử dụng sẵn trong mạng. Các thông tin về FS sẽ được mã hóa và đặt trong gói tin cập nhật của giao thức này, từ đó cho phép kích hoạt tức th nếu như có các sự kiện tạo mới, thay đổi cũng như thu hồi các FS. Điều này khiến Flow-spec tận dụng được hàng loạt các ưu điểm của giao thức định tuyến BGP. Bên cạnh đó, chính nhờ vào c chế thiết lập láng giềng và trao đổi tuyến đặc biệt của BGP mà khiến việc quản lý các FS trở nên tập chung và linh hoạt thông qua việc sử dụng bộ định tuyến phản chiếu. Việc này cho phép người quản trị mạng quản lý hoặc điều hiếu toàn bộ lưu lượng mạng có thể chỉ qua việc cấu h nh một bộ định tuyến duy nhất, do đó việc ngăn Đỗ Minh Hiệp – D13VT6 Page 1 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC chặn các cuộc tấn công DDoS trở nên dễ dàng và linh hoạt h n. 1.2. Tổng quan về tấn công DDoS Tấn công từ chối dịch vụ (Denial of Service - DoS) là dạng tấn công nhằm ngăn chặn người dùng hợp pháp truy nhập các tài nguyên mạng. Tấn công từ chối dịch vụ phân tán (Distributed Denial of Service - DDoS) là một dạng phát triển ở mức độ cao của tấn công DoS. Khác biệt c bản của tấn công DoS và DDoS là phạm vi tấn công. Trong khi lưu lượng tấn công DoS thường phát sinh từ một hoặc một số ít trạm nguồn, lưu lượng tấn công DDoS thường phát sinh từ rất nhiều máy trạm nằm rải rác trên mạng Internet. Hiện nay, có hai phư ng pháp tấn công DDoS chủ yếu. Trong phư ng pháp thứ nhất, kẻ tấn công gửi các gói tin được tạo theo dạng đặc biệt gây lỗi trong giao thức truyền hoặc lỗi trong ứng dụng chạy trên máy nạn nhân. Một dạng tấn công DDoS điển h nh theo phư ng pháp này là tấn công khai thác lỗ hổng an ninh của các giao thức hoặc dịch vụ trên máy nạn nhân. Phư ng pháp tấn công DDoS thứ hai phổ biến h n phư ng pháp thứ nhất, gồm hai dạng : dạng tấn công DDoS gây ngắt quãng kết nối của người dùng đến máy chủ dịch vụ bằng cách làm ngập lụt đường truyền mạng, cạn kiệt băng thông hoặc tài nguyên mạng, và dạng tấn công DDoS gây ngắt quãng dịch vụ cung cấp cho người dùng bằng cách làm cạn kiệt các tài nguyên của máy chủ dịch vụ, như thời gian xử lý của CPU, bộ nhớ, băng thông đĩa, c sở dữ liệu. Dạng tấn công này bao gồm các loại tấn công gây ngập lụt ở mức ứng dụng. Để phòng chống tấn công DDoS một cách hiệu quả nhằm hạn chế và giảm thiểu thiệt hại do tấn công DDoS gây ra, việc nghiên cứu về các dạng tấn công và các biện pháp phòng chống là cần thiết. Nhiều công tr nh nghiên cứu về phân loại các dạng tấn công DDoS và các biện pháp phòng chống đã được công bố. Một cách tổng quát, các tấn công DDoS được phân loại thành 2 dạng: dạng tấn công gây cạn kiệt băng thông đường truyền mạng và dạng tấn công gây cạn kiệt tài nguyên máy chủ dịch vụ. Dạng tấn công cạn kiệt băng thông lại được chia thành tấn công gây ngập lụt và tấn công khuếch đại, còn dạng tấn công gây cạn kiệt tài nguyên máy chủ được chia tiếp thành tấn công khai thác lỗi giao thức và tấn công sử dụng các gói tin đặc biệt. Phân loại các tấn công DDoS thành 2 dạng dựa trên lớp mạng, gồm tấn công gây ngập lụt ở lớp mạng/giao vận và tấn công gây ngập lụt ở lớp ứng dụng. Theo một hướng khác, tấn công từ chối dịch vụ được phân loại dựa trên 4 tiêu chí: mức độ tự động, khai thác các lỗ hổng an ninh, cường độ tấn công và mức độ ảnh hưởng. Tuy có sự khác biệt về phư ng pháp và tiêu chí phân loại, các công tr nh nghiên cứu đều có chung đánh giá về mức độ nguy hiểm và sự tăng trưởng đáng lo ngại của tấn công DDoS cả về phạm vi, mức độ tinh vi và khả năng phá hoại. 1.3. Kiến trúc, phân loại và các phƣơng pháp chống tấn công DDOS 1.3.1. Kiến trúc tấn công DDoS Mặc dù có nhiều dạng tấn công DDoS được ghi nhận, nhưng tựu trung có thể chia kiến trúc tấn công DDoS thành 2 loại chính: kiến trúc tấn công DDoS trực tiếp và Đỗ Minh Hiệp – D13VT6 Page 2 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC kiến trúc tấn công DDoS gián tiếp hay phản chiếu. H nh 1.1 minh họa kiến trúc tấn công DDoS trực tiếp, theo đó tin tặc (Attacker) trước hết thực hiện chiếm quyền điều khiển hàng ngàn máy tính có kết nối Internet, biến các máy tính này thành các Zombie – những máy tính bị kiểm soát và điều khiển từ xa bởi tin tặc. Tin tặc thường điều khiển các Zombie thông qua các máy trung gian (Handler). Hệ thống các Zombie chịu sự điều khiển của tin tặc còn được gọi là mạng máy tính ma hay botnet. Theo lệnh gửi từ tin tặc, các Zombie đồng loạt tạo và gửi các yêu cầu truy nhập giả mạo đến hệ thống nạn nhân (Victim), gây ngập lụt đường truyền mạng hoặc làm cạn kiệt tài nguyên của máy chủ, dẫn đến ngắt quãng hoặc ngừng dịch vụ cung cấp cho người dùng. H n 1.1.K ến trúc tấn công DDoS trực t ếp Tư ng tự như kiến trúc tấn công DDoS trực tiếp, tin tặc (Attacker) trước hết thực hiện chiếm quyền điều khiển một lượng rất lớn máy tính có kết nối Internet, biến các máy tính này thành các Zombie, hay còn gọi là Slave. Hình 1.2 minh họa kiến trúc tấn công DDoS gián tiếp hay còn gọi là kiến trúc tấn công DDoS phản chiếu Hn Đỗ Minh Hiệp – D13VT6 1.2.K ến trúc tấn công DDoS p n c ếu Page 3 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Tin tặc điều khiển các Slave thông qua các máy trung gian (Master). Theo lệnh gửi từ tin tặc, các Slave đồng loạt tạo và gửi các yêu cầu truy nhập giả mạo với địa chỉ nguồn của các gói tin là địa chỉ của máy nạn nhân (Victim) đến đến một số lớn các máy khác (Reflectors) trên mạng Internet. Các Reflectors gửi phản hồi (Reply) đến máy nạn nhân do địa chỉ của máy nạn nhân được đặt vào yêu cầu giả mạo. Khi các Reflectors có số lượng lớn, số phản hồi sẽ rất lớn và gây ngập lụt đường truyền mạng hoặc làm cạn kiệt tài nguyên của máy nạn nhân, dẫn đến ngắt quãng hoặc ngừng dịch vụ cung cấp cho người dùng. Các Reflectors bị lợi dụng để tham gia tấn công thường là các hệ thống máy chủ có công suất lớn. 1.3.2. Phân loại tấn công DDoS Các cuộc tấn công DDoS thường được tin tặc thực hiện bằng cách huy động một số lượng rất lớn các máy tính có kết nối Internet bị chiếm quyền điều khiển – tập hợp các máy này được gọi là mạng máy tính ma hay mạng bot, hoặc botnet. Các máy của botnet có khả năng gửi hàng ngàn yêu cầu giả mạo mỗi giây đến hệ thống nạn nhân, gây ảnh hưởng nghiêm trọng đến chất lượng dịch vụ cung cấp cho người dùng. Do các yêu cầu của tấn công DDoS được gửi rải rác từ nhiều máy ở nhiều vị trí địa lý nên rất khó phân biệt với các yêu cầu của người dùng hợp pháp. Một trong các khâu cần thiết trong việc đề ra các biện pháp phòng chống tấn công DDoS hiệu quả là phân loại các dạng tấn công DDoS và từ đó có biện pháp phòng chống thích hợp. Nhiều phư ng pháp phân loại tấn công DDoS đã được đề xuất như trong các công tr nh . Một cách khái quát, tấn công DDoS có thể được phân loại dựa trên 6 tiêu chí chính: dựa trên phư ng pháp tấn công, dựa trên mức độ tự động, dựa trên giao thức mạng, dựa trên phư ng thức giao tiếp, dựa trên cường độ tấn công và dựa trên việc khai thác các lỗ hổng an ninh. Phần tiếp theo của mục này tr nh bày chi tiết từng loại. - Dựa trên phƣơng pháp tấn công: Phân loại DDoS dựa trên phư ng pháp tấn công là một trong phư ng pháp phân loại c bản nhất. Theo tiêu chí này, DDoS có thể được chia thành hai dạng: Tấn công gây ngập lụt (Flooding attacks) và tấn công Logic. Trong tấn công gây ngập lụt, tin tặc tạo một lượng lớn các gói tin tấn công giống như các gói tin hợp lệ và gửi đến hệ thống nạn nhân làm cho hệ thống không thể phục vụ người dùng hợp pháp. Đối tượng của tấn công dạng này là băng thông mạng, không gian đĩa, thời gian của CPU,… Trong tấn công logic (Logical attacks): Tấn công logic thường khai thác các tính năng hoặc các lỗi cài đặt của các giao thức hoặc dịch vụ chạy trên hệ thống nạn nhân, nhằm làm cạn kiệt tài nguyên hệ thống. Ví dụ tấn công TCP SYN khai thác quá tr nh bắt tay ba bước trong khởi tạo kết nối TCP, trong đó mỗi yêu cầu kết nối được cấp một phần không gian trong bảng lưu yêu cầu kết nối trong khi chờ xác nhận kết nối. Tin tặc có thể gửi một lượng lớn yêu cầu kết nối giả mạo hoặc các kết Đỗ Minh Hiệp – D13VT6 Page 4 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC nối không thể thực hiện, từ đó chiếm đầy không gian bảng kết nối và khiến hệ thống nạn nhân không thể tiếp nhận yêu cầu kết nối của người dùng hợp pháp. - Dựa trên mức độ tự động: Theo mức độ tự động, có thể chia tấn công DDoS thành 3 dạng : tấn công thủ công, tấn công bán tự động và tấn công tự động. Đối với h nh thức tấn công thủ công th tin tặc trực tiếp quét các hệ thống t m lỗ hổng, đột nhập vào hệ thống, cài đặt mã tấn công và ra lệnh kích hoạt tấn công. Chỉ những tấn công DDoS trong giai đoạn đầu mới được thực hiện thủ công. Đối với một cuộc tấn công bán tự động, thiết bị trong mạng lưới thực hiện tấn công DDoS bao gồm các máy điều khiển (master/handler) và các máy agent (slave, deamon, zombie, bot). Tại giai đoạn chọn máy agent, khai thác lỗ hổng và lây nhiễm được thực hiện tự động. Trong giai đoạn tấn công, tin tặc gửi các thông tin bao gồm kiểu tấn công, thời điểm bắt đầu, khoảng thời gian duy tr tấn công và đích tấn công đến các agent thông qua các handler. Các agent sẽ theo lệnh gửi các gói tin tấn công đến hệ thống nạn nhân.Tấn công tự động là tấn cong mag tất cả các giai đoạn trong quá tr nh tấn công DDoS, từ tuyển chọn máy agent, khai thác lỗ hổng, lây nhiễm đến thực hiện tấn công đều được thực hiện tự động. Tất cả các tham số tấn công đều được lập tr nh sẵn và đưa vào mã tấn công. Tấn công dạng này giảm đến tối thiểu giao tiếp giữa tin tặc và mạng lưới tấn công, và tin tặc chỉ cần kích hoạt giai đoạn tuyển chọn các máy agent. - Dựa trên giao thức mạng: Tấn công DDoS dựa theo tiêu chí này có thể chia thành 2 dạng: tấn công vào tầng mạng hoặc giao vận và tấn công vào tầng ứng dụng. Ở dạng tấn công vào tầng mạng, các gói tin TCP, UDP và ICMP được sử dụng để thực hiện tấn công. Khi tin tặc tấn công vào tầng ứng dụng thì các tấn công thường hướng đến các dịch vụ thông dụng ứng với các giao thức tầng ứng dụng như HTTP, DNS và SMTP. Tấn công DDoS tầng ứng dụng cũng có thể gây ngập lụt đường truyền và tiêu hao tài nguyên máy chủ, làm ngắt quãng khả năng cung cấp dịch vụ cho người dùng hợp pháp. Dạng tấn công này rất khó phát hiện do các yêu cầu tấn công tư ng tự yêu cầu từ người dùng hợp pháp - Dựa trên phƣơng thức giao tiếp: Thông thường, để thực hiện tấn công DDoS, tin tặc phải tuyển chọn và chiếm quyền điều khiển một số lượng lớn các máy tính có kết nối Internet, và các máy tính này sau khi bị cài phần mềm agent trở thành các bots - công cụ giúp tin tặc thực hiện tấn công DDoS. Tin tặc thông qua các máy điều khiển (master) giao tiếp với các bots để gửi thông tin và các lệnh điều khiển tấn công. Theo phư ng thức giao tiếp giữa các master và bots, có thể chia tấn công DDoS thành bốn dạng: DDoS dựa trên agent-handler, DDoS dựa trên IRC, DDoS dựa trên web, DDoS dựa trên P2P. Tấn công dạng dựa trên agent-handler bao gồm các thành phần: clients, handlers và agents (bots/zombies). Tin tặc chỉ giao tiếp trực tiếp với clients. Clients sẽ giao tiếp với agents thông qua handlers. Nhận được lệnh và các thông tin thực hiện tấn Đỗ Minh Hiệp – D13VT6 Page 5 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC công, agents trực tiếp thực hiện việc tấn công. DDoS dựa trên IRC thì Internet Relay Chat (IRC) là một hệ thống truyền thông điệp trực tuyến cho phép nhiều người dùng tạo kết nối và trao đổi các thông điệp theo thời gian thực. Trong dạng tấn công DDoS này tin tặc sử dụng IRC làm kênh giao tiếp với các agents, không sử dụng handlers. Trong một cuộc tấn công DDoS dựa trên web, tin tặc sử dụng các trang web làm phư ng tiện giao tiếp qua kênh HTTP thay cho kênh IRC. Các trang web của tin tặc được sử dụng làm trung tâm điều khiển và lây nhiễm các phần mềm độc hại, các công cụ khai thác các lỗ hổng an ninh, cài đặt các agents chiếm quyền điều khiển hệ thống máy tính và biến chúng thành các bots. Các bots có thể được xác lập cấu h nh hoạt động từ đầu, hoặc chúng có thể gửi các thông điệp đến trang web điều khiển thông qua các giao thức web phổ biến như HTTP và HTTPS. Đối với cuộc tấn công DDoS dựa trên P2P: Ở dạng này, tin tặc sử dụng giao thức Peer to Peer – một giao thức ở tầng ứng dụng làm kênh giao tiếp. Bản chất của các mạng P2P là phân tán nên rất khó để phát hiện các bots giao tiếp với nhau thông qua kênh này. - Dựa trên cƣờng độ tấn công: Dựa trên cường độ hoặc tần suất gửi yêu cầu tấn công, có thể phân loại tấn công DDoS thành 5 dạng: tấn công cường độ cao, tấn công cường độ thấp, tấn công cường độ hỗn hợp, tấn công cường độ liên tục và tấn công cường độ thay đổi. Tấn công cường độ cao là dạng tấn công gây ngắt quãng dịch vụ bằng cách gửi cùng một thời điểm một lượng rất lớn các yêu cầu từ các máy agents/zombies nằm phân tán trên mạng. Tấn công cường độ thấp: là kiểu tấn công mà các agents/zombies được phối hợp sử dụng để gửi một lượng lớn các yêu cầu giả mạo, nhưng với tần suất thấp, làm suy giảm dần dần hiệu năng mạng. Dạng tấn công này rất khó bị phát hiện do lưu lư ng tấn công tư ng tự như lưu lượng đến từ người dùng hợp pháp. Trong khi đó, tấn công cường độ hỗn hợp là dạng kết hợp giữa tấn công cường độ cao và tấn công cường độ thấp. Đây là dạng tấn công phức hợp, trong đó tin tặc thường sử dụng các công cụ để sinh các gói tin tấn công gửi với tần suất cao và thấp. Tấn công cường độ liên tục là dạng tấn công được thực hiện liên tục với cường độ tối đa trong suốt khoảng thời gian từ khi bắt đầu đến khi kết thúc. Cuối cùng, tấn công cường độ thay đổi: Đây là dạng tấn công có cường độ thay đổi động nhằm tránh bị phát hiện và đáp trả. - Dựa trên việc khai thác các lỗ hổng an ninh: bao gồm tấn công gây cạn kiệt băng thông, tấn công gây cạn kiệt tài nguyên.Tấn công gây cạn kiệt băng thông là các tấn công DDoS được thiết kế để gây ngập lụt hệ thống mạng của nạn nhân bằng các yêu cầu truy nhập giả mạo, làm người dùng hợp pháp không thể truy nhập dịch vụ. Tấn công dạng này thường gây tắc nghẽn đường truyền bằng lượng yêu cầu giả mạo rất lớn gửi bởi các máy tính ma (zombie) của các botnets. Dạng tấn công này cũng còn được gọi là tấn công gây ngập lụt hoặc tấn công khuếch đại. Tấn công gây cạn kiệt tài Đỗ Minh Hiệp – D13VT6 Page 6 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC nguyên là các tấn công DDoS được thiết kế để tiêu dùng hết các tài nguyên trên hệ thống nạn nhân, làm cho nó không thể phục vụ các yêu cầu của người dùng hợp pháp. Trong dạng thứ hai, kẻ tấn công tạo ra các gói tin đặc biệt, như các gói sai định dạng, gói có khiếm khuyết, gửi đến hệ thống nạn nhân. Hệ thống nạn nhân có thể bị trục trặc khi cố gắng xử lý các gói tin dạng này. Ví dụ, trong tấn công Ping of Death, tin tặc gửi các gói tin ICMP có kích thước lớn h n 64KB gây lỗi các máy chạy hệ điều hành Windows XP. 1.3.4. Các biện pháp phòng chống tấn công DDoS. Do tính chất nghiêm trọng của tấn công DDoS, nhiều giải pháp phòng chống đã được nghiên cứu và đề xuất trong những năm qua. Tuy nhiên, cho đến hiện nay gần như chưa có giải pháp nào có khả năng phòng chống DDoS một cách toàn diện và hiệu quả do tính chất phức tạp, quy mô lớn và tính phân tán rất cao của tấn công DDoS. Thông thường, khi phát hiện tấn công DDoS, việc có thể thực hiện được tốt nhất là ngắt hệ thống nạn nhân kh i tất cả các tài nguyên do mọi hành động phản ứng lại tấn công đều cần đến các tài nguyên, trong khi các tài nguyên này đã bị tấn công DDoS làm cho cạn kiệt. Sau khi hệ thống nạn nhân được ngắt kh i các tài nguyên, việc truy t m nguồn gốc và nhận dạng tấn công có thể được tiến hành. Nhiều biện pháp phòng chống tấn công DDoS đã được nghiên cứu trong những năm gần đây. Tựu chung có thể chia các biện pháp phòng chống tấn công DDoS thành ba dạng theo ba tiêu chí chính: (i) Dựa trên vị trí triển khai, (ii) Dựa trên giao thức mạng và (iii) Dựa trên thời điểm hành động. Phần tiếp theo mô tả các biện pháp phòng chống tấn công DDoS thuộc ba dạng trên. - Dựa trên vị trí triển khai Các biện pháp phòng chống tấn công DDoS được phân loại vào dạng này dựa trên vị trí cài đặt và tiếp tục được chia nh thành 3 dạng con: + Triển khai ở nguồn tấn công: Các biện pháp phòng chống tấn công DDoS được triển khai ở gần nguồn của tấn công. Phư ng pháp này nhằm hạn chế các mạng người dùng tham gia tấn công DDoS. Một số biện pháp cụ thể bao gồm: Thực hiện lọc các gói tin sử dụng địa chỉ giả mạo tại các bộ định tuyến ở cổng mạng và sử dụng các tường lửa có khả năng nhận dạng và giảm tần suất chuyển các gói tin hoặc yêu cầu không được xác nhận. + Triển khai ở đích tấn công: Các biện pháp phòng chống tấn công DDoS được triển khai ở gần đích của tấn công, tức là tại bộ định tuyến ở cổng mạng hoặc bộ định tuyến của hệ thống đích. Các biện pháp cụ thể có thể gồm:Truy t m địa chỉ IP ( gồm các kỹ thuật nhận dạng địa chỉ và người dùng giả mạo và lọc và đánh dấu các gói tin( Các gói tin hợp lệ được đánh dấu sao cho hệ thống nạn nhân có thể phân biệt các gói tin hợp lệ và gói tin tấn công. Một số kỹ thuật lọc và đánh dấu gói tin được đề xuất gồm: Lọc IP dựa trên lịch sử, lọc dựa trên đếm số bước nhảy, nhận dạng đường dẫn,… Đỗ Minh Hiệp – D13VT6 Page 7 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC ). Triển khai ở mạng đích tấn công: Các biện pháp phòng chống tấn công DDoS được triển khai ở các bộ định tuyến của mạng đích dựa trên lọc gói tin, phát hiện và lọc các gói tin độc hại. - Dựa trên giao thức mạng Các biện pháp phòng chống tấn công DDoS được chia nh theo tầng mạng: IP, TCP và giao thức tầng ứng dụng. Phòng chống tấn công DDoS ở tầng mạng IP bao gồm một số biện pháp: + Pushback: Là c chế phòng chống tấn công DDoS ở tầng IP cho phép một bộ định tuyến yêu cầu các bộ định tuyến liền kề phía trước giảm tần suất truyền các gói tin. + SIP defender: Một kiến trúc an ninh mở cho phép giám sát luồng các gói tin giữa các máy chủ SIP và người dùng và proxy bên ngoài với mục đích phát hiện và ngăn chặn tấn công vào các máy chủ SIP. + Các phƣơng pháp dựa trên ô đố chữ: Gồm các phư ng pháp dựa trên ô đố chữ mật mã để chống lại tấn công DDoS ở mức IP. Phòng chống tấn công DDoS ở tầng TCP bao gồm một số biện pháp: + Sử dụng các kỹ thuật lọc gói tin dựa trên địa chỉ IP.Tăng kích thước Backlogs giúp tăng khả năng chấp nhận kết nối mới của hệ thống đích. + Giảm thời gian chờ xác nhận yêu cầu kết nối TCP-SYN giúp máy chủ hủy b các yêu cầu kết nối không được xác nhận trong khoảng thời gian ngắn h n, giải phóng tài nguyên các kết nối chờ chiếm giữ. + Sử dụng SYN cache giúp duy tr Backlogs chung cho toàn máy chủ thay v Backlogs riêng cho mỗi ứng dụng. Nhờ vậy có thể tăng số lượng kết nối đang chờ xác nhận. + Sử dụng SYN Cookies cho phép chỉ cấp phát tài nguyên cho kết nối khi nó đã được xác nhận. Các yêu cầu SYN sẽ bị hủy nếu không được xác nhận trước khi được chuyển cho máy chủ đích. Phư ng pháp này có thể giúp phòng chống tấn công SYN Flood hiệu quả. +Sử dụng tường lửa hoặc proxy để lọc các gói tin hoặc thực thi các chính sách an ninh đã xác lập trước. Phòng chống tấn công DDoS ở tầng ứng dụng có thể bao gồm: + Tối thiểu hóa hành vi truy nhập trang để phòng chống tấn công gây ngập lụt HTTP. + Sử dụng các phư ng pháp thống kê để phát hiện tấn công DDoS ở mức HTTP. + Giám sát hành vi của người dùng trong các phiên làm việc để phát hiện tấn công. - Dựa trên thời điểm hành động: Dựa trên thời điểm hành động, có thể phân loại các biện pháp phòng chống tấn công DDoS thành 3 dạng theo 3 thời điểm: Trước khi xảy ra tấn công, Trong khi xảy ra tấn công và sau khi xảy ra tấn công. Các biện pháp phòng chống tấn công DDoS thuộc dạng một được triển khai nhằm ngăn chặn tấn công xảy ra. Một phần lớn các biện pháp thuộc dạng này bao gồm việc cập nhật hệ thống, đảm bảo cấu h nh an ninh phù hợp, sửa lỗi, vá các lỗ hổng để giảm thiểu khả Đỗ Minh Hiệp – D13VT6 Page 8 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC năng bị tin tặc khai thác phục vụ tấn công. Đối với tấn công loại hai th các biện pháp phòng chống tấn công DDoS thuộc dạng này tập trung phát hiện và ngăn chặn tấn công. Tường lửa và các hệ thống IDS/IPS thuộc nhóm này. Sau khi xảy ra tấn công thì các biện pháp được triển khai để lần vết và truy t m nguồn gốc của tấn công sẽ được thực hiện. 1.3.3 Nguy cơ tấn công và cách đối phó với tấn công DDoS tại Việt Nam. Theo hãng bảo mật Bkav cho biết, để thực hiện một cuộc tấn công DDos (tấn công từ chối dịch vụ), hacker sẽ sử dụng hệ thống botnet. Để tạo ra hệ thống botnet, hacker sẽ phát tán backdoor (cửa hậu) trên các máy tính bằng cách: gửi email giả mạo có đính kèm mã độc, lợi dụng lỗ hổng phần mềm, tải tập tin trên internet… Mạng botnet là tập hợp của các máy tính bị nhiễm backdoor do hacker phát tán. Theo một khoảng thời gian nào đó, các máy tính này sẽ request tới một server nào đó để nhận các thông tin điều khiển từ hacker để thực hiện tấn công DDoS. Nếu có thông tin ra lệnh tấn công, các máy tính này sẽ cùng lúc thực hiện request liên tục tới một server cung cấp dịch vụ nào đó, khiến cho server này bị quá tải, không thể cung cấp dịch vụ. Hậu quả mà tấn công DDoS gây ra không chỉ tiêu tốn nhiều tiền bạc, và công sức mà còn mất rất nhiều thời gian để khắc phục.Ví dụ trong khoảng thời gian từ đầu thập niên này, một loạt website thuộc hệ thống của Công ty Cổ phần truyền thông Việt Nam (VCCorp) luôn phải đối mặt với nguy c các cuộc tấn công mạng như một cách thường ngày.Mở màn cho cuộc tấn công vào hệ thống website vận hành bởi VCCorp đó là vào khoảng tháng 6/2011, khiến gần 500 website Việt Nam bị các hacker nước ngoài báo cáo “hack thành công . Đỉnh điểm là hai ngày 6/6 và 7/6 khi có trên 200 website trong nước trở thành nạn nhân của tin tặc, trong đó có những nạn nhân được vận hành bởi VCCorp là những trang thư ng mại điện tử nổi tiếng như Én bạc, Rồng bay. Sau đó khoảng h n 1 năm, vào tháng 7/2012 đến lượt một loạt website khác cũng được vận hành bởi VCCorp cũng bị tấn công, bao gồm aFamily, autoPro, missPhotoVietnam… Nhưng tiêu biểu nhất kể đến Kênh 14 – một trong những website có lượng traffic lớn nhất của VCCorp bị các hacker h i thăm và thay đổi giao diện. VCCorp sau đó đã tiến hành phong t a các website liên kết máy chủ với Kênh 14 và aFamily để kiểm tra và khắc phục. Các cuộc tấn công DDoS ngày càng phát triển theo cả h nh thức lẫn quy mô tấn công. Nhưng nổi lên nhất vẫn là các cuộc tấn công theo cách h nh thức c bản như: UDP flood, SYN Flood, Ping of Death, tấn công phản chiếu, Nuke… Các cuộc tấn công c bản này xảy một cách thường xuyên trên mạng của các nhà cung cấp dịch vụ ( Internet server provider – ISP). Nguyên nhân chính là do hệ thống mạng ISP quá lớn khó để có thể kiểm soát toàn bộ lưu lượng và các bộ định tuyến hiện tại cũng không có c chế có thể xử lý lọc lưu lượng độc hại một cách thiết chi tiết và triệt để. Các lưu Đỗ Minh Hiệp – D13VT6 Page 9 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC lượng độc hại có thể trôi nổi và được định tuyến b nh thường trong mạng lưới là do hoàn toàn không có một phư ng pháp xử lý và thiết lập linh hoạt các luật một lọc trên bộ đính tuyến, đây là nguyên nhân chính khiến mạng lưới trở nên bị động trước các cuộc tấn công DDoS. 1.4 Sự phát triển của các cuộc tấn công DDoS trên mạng ISP. Ngày nay các cuộc tấn công DDOS ngày càng trở nên đa dạng cả về quy mô và hình thức tấn công, chúng không chỉ đ n thuần là những hành vi phá hoại hệ thống vì mục đích cá nhân mà còn là những cuộc tấn công có tổ chức, có mục đích kinh tế và chính trị. Phư ng pháp tấn công cũng như quy mô tấn công ngày càng đa dạng và khó nhận biết. Hn .3.Tấn công ngập lụt băng t ông qua mô trường mạng ISP Hacker có thể sử dụng những lỗi của các thiết bị đầu cuối, sử dụng nhiều kiểu tấn công mà huy động các luồng tấn công lớn cỡ vài Gbps đến vài chục thậm chí vài trăm Gbps. Các kiểu tấn công có thể là các kiểu tấn công UDP flood, ICMP flood,SYN Flood, DNS Amplification, NTP Amplificaion, SSDP…Hình 2.1 mô tả một cuốc tấn công ngập lụt băng thông qua môi trường mạng ISP. Kẻ tấn công hoàn toàn có thể sử dụng các trường ‘ nhạy cảm “ trong các giao thức IP, UDP, TCP để thực hiện các cuộc tấn công : tấn công gói tin phân mảng, UDP flood, TCP SYN flood. Đối với giao thức IP, các gói dữ liệu tại tầng IP được gọi là datagram. Một datagram có chiều dài biến thiên, gồm hai phần là tiêu đề và dữ liệu. Đỗ Minh Hiệp – D13VT6 Page 10 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Phần tiêu đề có chiều dài từ 20 đến 60 byte, chứa các thông tin cần thiết cho định tuyến và chuyển phát dữ liệu. Hình 2.2 minh hoạ định dạng tiêu đề của một gói tin IP. Bit 0-3 Bit 47 Bit 8-10 Bit 1115 Version HL Precedence TOS Bit 1619 Datagram ID TTL Bit 2023 Bit 2427 Bit 28-31 Total Length Fragmentation Protocol Checksum Source Address Destination Address Options H n .4.T êu đề gó t n IP Kẻ tấn công hoàn toàn có thể sử dụng các gói tin IP có độ dịch phân mảnh bằng nhau, Datagram ID bằng nhau hay nhiều gói tin có cùng bit cờ phân mảnh cuối cùng khiến cho bên thu không thể tiến hành sắp xếp lại được dữ liệu ban đầu. Tư ng tự kẻ tấn công cũng có thể thiết lập kết nối TCP liên tục bằng cách gửi TCP SYN khiến cho máy chủ bị treo hoặc cạn kiệt tài nguyên do việc dành riêng tài nguyên cho các kết nối TCP giả mạo. Do đó để ngăn chặn các cuộc tấn công này đòi h i các nhà cung cấp dịch vụ mạng ( Internet Service Provider – ISP) phải có giải pháp phòng chống tấn công có khả năng can thiệp sâu vào nội dung gói tin đồng thời phải có khả năng trao đổi phư ng thức hành động đối với luồng lưu lượng độc hại. Một trong các biện pháp hữu hiệu để chống các cuộc tấn công này là sử dụng BGP flowspec. 1.5 Những thách thức trong việc phòng chống DDoS trên mạng ISP. Để phòng chóng các cuộc tấn công hiện tại trên mạng lưới th yêu cầu một giải pháp có khả năng điều hướng lưu lượng trên toàn mạng lưới. Có rất nhiều giải pháp đã được đưa ra nhưng giải pháp phổ biến hiện tại đó là lỗ đen kích hoạt xa. Đây là một kỹ thuật cung cấp khả năng ngăn chặn lưu lượng độc hại không mong muốn trước khi nó Đỗ Minh Hiệp – D13VT6 Page 11 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC xâm nhập vào một mạng lưới được bảo vệ. Đây là kĩ thuật được sử dụng phổ biến trong việc ngăn chặn nhanh nhanh chóng các cuộc tấn công DDoS trên mạng lưới. 1.5.1 Cấu trúc mạng ISP Mạng lưới của nhà chung câp dịch vụ đư c tổ chức theo mô hình phân cấp bao gồm hai thành phần chính: mạng lõi đồng trục liên kết( Inter metro network.) và mạng lõi địa phư ng ( metro network). H nh 1.3 mô tả cấu trúc mạng của nhà cung cấp dịch vụ. Mạng lõi đồng trục liên kết đóng vai trò thu gom lưu lư ng từ các mạng lõi địa phư ng, định tuyến lưu lư ng giữa các mạng địa phư ng với nhau hoặc giữa lưu lượng mạng đại phư ng với lưu lượng quốc tế. Đây thường là mạng lõi quốc gia của các nhà mạng, nó nhận lưu lượng mạng từ các tỉnh, định tuyến lưu lượng giữa các tỉnh và giữa tỉnh (quốc gia) với quốc tế. Mạng lõi địa phư ng ( Metro network) có mô hình tư ng tự như mạng lõi liên kết nhưng quy mô và số lượng bộ định tuyến nh h n. Nó có nhiệm vụ thu nhận và xử lý lưu lượng trong nội bộ địa phư ng đó hoặc chuyển tiếp lưu lượng này lên mạng lõi liên kết. Chính v c chế phân cấp và mô h nh định tuyến theo chính sách phức tạp mà khiến việc điều hướng lưu lượng trên mạng lưới trở nên rất khó khăn. Giải pháp được đưa ra đó là phân nh và tổ chức các hệ thống bảo mật mạng theo từng vùng của mạng metro, từ đó phát hiện nhanh chóng và xử lý dễ dàng h n các cuộc tấn công. H n 1.3. Cấu trúc mạng của n cung cấp dịc vụ Một khi một cuộc tấn công được được phát hiện, nhà mạng sẽ cố g để gắng chặn tất cả các lưu lượng tấn công không được phép truy cập ngay tại các bộ định tuyến biên của mạng metro. Mạng lưới của nhà cung cấp dịch vụ được thiết kế phân cấp phức tạp. Điều tiến hành triển khai hệ thống phòng thủ DDoS trên mạng lưới là điều không hề dễ dàng. Yêu cầu của các giải pháp chống tấn công DDoS trên mạng Đỗ Minh Hiệp – D13VT6 Page 12 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC ISP đó là tính toán lọc lưu lượng hợp lý, giam sát và theo dõi hành vi khả nghi trên mạng, có khả năng xử lý các luồng tấn công DDoS lưu lượng lớn một cách nhanh chóng và triệt để. Việc điều hướng lưu lượng băng thông lớn và đa dạng của các cuộc tấn công DDoS một cách nhanh chóng và an toàn trở thành một bài toán được ưu tiên hàng đầu của nhà cung cấp dịch vụ. Hiện nay đã có rất nhiều giải pháp được đưa ra nhưng chưa hề có một giải pháp cụ thể đáp ứng các yêu cầu khắt khe này. Một trong những giải pháp phổ biến nhất được sử dụng đó là kĩ thuật lỗ đen kích hoạt từ xa (Remote Triger Black Hole – RTBH). 1.5.2 Chống tấn công DDoS sử dụng kĩ thuật RT H Bộ lọc RTBH là một kỹ thuật kết hợp các bộ cấu h nh có thể phối hợp tốt trên nhiều bộ định tuyến đến từ nhiều nhà cung cấp khác nhau. Đây là một kỹ thuật sử dụng các giao thức định tuyến để cập nhật và thay đổi bảng định tuyến tại các bộ định tuyến biên hoặc bất cứ n i nào khác trong mạng để đặc biệt giảm lưu lượng không mong muốn trước khi nó đi vào mạng lưới nhà cung cấp dịch vụ. RTBH cung cấp một phư ng pháp để nhanh chóng giảm lưu lượng không mong muốn ở r a của mạng dựa trên địa chỉ nguồn hoặc địa chỉ đích bằng cách chuyển tiếp nó đến một giao diện ảo (null0). Null0 là một liên kết ảo luôn luôn được kích hoạt sẵn và không bao giờ có thể chuyển tiếp lưu lượng truy cập. Chuyển tiếp gói tin đến null0 là một cách phổ biến để lọc các gói tin đến một đích đến cụ thể, từ đó giảm thiểu tối đa các tác hại của lưu lượng độc trước khi xâm nhập vào mạng lưới. RTBH là một trong nhiều kỹ thuật trong bảo mật có thể được sử dụng để tăng cường an ninh mạng theo những cách sau: Giảm thiểu hiệu quả các cuộc tấn công DDoS. Đảm bảo chỉ lưu lượng sạch truy cập tới mục tiêu bị tấn công. Thực thi lọc danh sách đen (danh sách IP độc hại được chỉ ra trước đó). Hn 1.4. C ống tấn công DDoS vớ tín năng lỗ đen kíc Đỗ Minh Hiệp – D13VT6 oạt từ xa Page 13 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Một mô h nh triển khai điển h nh cho lọc RTBH sẽ yêu cầu các bộ định tuyến phải chạy giao thức định tuyến biên (Border Gateway Protocol - iBGP) và một bộ đinh tuyến có cấu h nh riêng biệt trong trung tâm vận hành mạng (Network Operation Center - NOC), hoạt động như một bộ kích hoạt. Mô h nh bảo mật mạng với RTBH được thể hiện trong h nh 1.4. Thách thức ở đây là tìm ra cách để nhanh chóng giảm lưu lượng truy cập vi phạm sau khi t m đã t m ra “ thủ phạm của cuộc tấn công. RTBH có thể sử dụng phư ng pháp lọc dựa trên cả địa chỉ IP đích, nó cho phép một hay nhiều lỗ đen xuất hiện trên toàn mạng. Ví dụ việc thực hiện lọc dựa trên địa chỉ IP đích được truyền bằng cách thêm một tuyến tĩnh với độ dài mặt nạ mạng tối đa tại thiết bị kích hoạt. Ngay khi xuất hiện tấn công DDoS trên mạng, bộ kích hoạt sẽ gửi một bản cập nhật định tuyến cho tuyến tĩnh bằng iBGP tới các bộ định tuyến khác, tuyến đường này ngay lập tức được cập nhật, được ưu tiên sử dụng và đư ng nhiên lưu lượng độc ngay lập tức được chuyển tiếp tới giao diện ảo Null0. Tuy nhiện, để thực hiện việc này th tại các bộ định tuyến biên phải được cấu h nh trước một tuyến đường được chỉ định chuyển tiếp tới giao diện null0. Thông thường quy tr nh xử lý một cuộc tấn công dựa theo RTBH bao gồm ba bước: thiết lập láng giềng, kích hoạt lỗ đen, thu hồi tuyến đường. - ƣớc 1: Thiết lập láng giềng. Bước này mô tả quá tr nh thiết lập mạng trước khi có tấn công. Bộ kích hoạt là một thiết bị đặc biệt được cài đặt tại NOC, là thiết bị độc quyền dành cho mục đích kích hoạt một lỗ đen. Nó có thể là một bộ định tuyến được cấu h nh láng giềng iBGP với tất cả các bộ định tuyến biên, hoặc có thể là một bộ định tuyến phản xạ tuyến đường ( Route-Reflector router), khi đó nó phải có một mối quan hệ láng giềng iBGP với tất cả bộ định tuyến trong mỗi cụm. Ngay sau khi xác định được địa chỉ IP bị tấn công, bộ kích hoạt ngay lập tức ghi đè bảng định tuyến của bộ định tuyến biên bằng cách gửi cho chúng các bản tin cập nhật nhằm mục đích chuyển hướng lưu lượng tấn công tại cách tạo một tuyến đường tĩnh với cổng ra chính là giao diện null0. Các bộ định tuyến biên làm việc này dựa trên một tuyến đường tĩnh khác được cấu h nh trước đó. Ví dụ, các router biên (PEs) phải có một tuyến đường tĩnh cho một không gian địa chỉ IP không được sử dụng. Ví dụ, tuyến 192.0.2.1/32 được đặt với cổng ra là Null0. Địa chỉ IP 192.0.2.1 được dành riêng cho sử dụng trong các mạng thử nghiệm và không được sử dụng như một địa chỉ IP triển khai. - ƣớc 2: Kích hoạt lỗ đen. Quá tr nh kích hoạt tuyến đường khi xảy ra tấn công. Một quản trị viên thêm một tuyến tĩnh vào bộ kích hoạt, nó sẽ phân phối lại tuyến đường bằng cách gửi một bản cập nhật BGP tới tất cả các láng giềng của iBGP. Bản tin cập nhật này mang thông tin về địa chỉ IP đích bị tấn công đồng thời thiết lập bước nhảy của tuyến đường là một địa chỉ IP đặc biệt. Khi các bộ định tuyến biên nhận được bản cập nhật iBGP của chúng và đặt bước tiếp theo của chúng tới đích là không gian Đỗ Minh Hiệp – D13VT6 Page 14
- Xem thêm -

Tài liệu liên quan