ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC
MỤC LỤC
LỜI MỞ ĐẦU ........................................................................................................................... i
LỜI CẢM N ........................................................................................................................... ii
MỤC LỤC.................................................................................................................................. i
DANH MỤC THUẬT NGỮ VIẾT TẮT ............................................................................. iii
MỤC LỤC H NH ẢNH ......................................................................................................... iv
CHƯ NG I: TẤN CÔNG DDOS VÀ THÁCH THỨC BẢO MẬT TRÊN MẠNG
LƯỚI. ........................................................................................................................................ 1
1.1 Giới thiệu chung ................................................................................................................ 1
1.2. Tổng quan về tấn công DDoS ......................................................................................... 2
1.3. Kiến trúc, phân loại và các phư ng pháp chống tấn công DDOS .............................. 2
1.3.1. Kiến trúc tấn công DDoS......................................................................................... 2
1.3.2. Phân loại tấn công DDoS......................................................................................... 4
1.3.4. Các biện pháp phòng chống tấn công DDoS. ....................................................... 7
1.3.3 Nguy c tấn công và cách đối phó với tấn công DDoS tại Việt Nam. ............... 9
1.4 Sự phát triển của các cuộc tấn công DDoS trên mạng ISP. ....................................... 10
1.5 Những thách thức trong việc phòng chống DDoS trên mạng ISP. ........................... 11
1.5.1 Cấu trúc mạng ISP ................................................................................................... 12
1.5.2 Chống tấn công DDoS sử dụng kĩ thuật RTBH.................................................. 13
1.5.3 Nhược điểm của giải pháp RTBH ......................................................................... 15
1.6. Tổng kết chư ng I .......................................................................................................... 16
CHƯ NG II: T M HIỂU VỀ BGP FLOW-SPEC ............................................................ 17
2.1 Tổng quan về BGP Flow-Spec ...................................................................................... 17
2.1.1 Vận chuyển và quảng bá BGP Flow-spec ............................................................ 18
2.1.2 Lưu trữ Flow-spec trong bản tin cập nhật của BGP ............................................ 18
2.1.3. Biểu diễn thông tin của một BGP Flow-spec trong gói tin cập nhật của BGP20
2.1.4 Các loại thông tin trong BGP Flow-spec .............................................................. 22
2.1.5. Thứ tự sắp xếp và cập nhật BGP Flow-spec ....................................................... 28
2.1.6. Xử lý BGP Flow-Spec. .......................................................................................... 30
2.2 C chế hoạt động BGP Flow-Spec............................................................................... 32
2.3 Mở rộng c chế chuyển mạch và định tuyến với BGP Flow-Spec ........................... 34
ĐỖ MINH HIỆP – D13VT6
Page i
ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC
2.4 Ưu điểm khi sử dụng BGP Flow-Spec trên mạng lưới ............................................... 39
2.4.1 Chống tấn công DDoS sử dụng BGP Flow-Spec. ............................................... 39
2.4.2 Tránh việc cấu h nh nhiều bộ định tuyến ảo phức tạp. ...................................... 40
2.4.2 Tránh lặp định tuyến khi lọc lưu lượng độc hại .................................................. 42
2.4.3. Đư ng đầu với tấn công băng thông lớn. ............................................................ 44
2.4.4 Định tuyến QoS........................................................................................................ 44
2.5. Tổng kết chư ng II ......................................................................................................... 46
CHƯ NG 3: GIẢI PHÁP CHỐNG TẤN CÔNG DDOS THẾ HỆ MỚI SỬ DỤNG
BGP FLOW-SPEC................................................................................................................. 47
3.1 Yêu cầu đối với hệ thống chống tấn công DdoS thế hệ mới trên mạng ISP ............ 47
3.2 Triển khai hệ thống chống tấn công DdoS thế hệ mới trên mạng ISP ...................... 47
3.2.1Các thành phần trong hệ thống phòng thủ DDoS sử dụng BGP Flow-Spec ..... 47
3.2.2 Quá tr nh phát hiện và ngăn chặn một cuộc tấn công trên mạng ISP sử dụng
BGP Flow-Spec. ..................................................................................................................... 52
3.3 Mô ph ng hệ thống chống tấn công DDoS thế hệ mới sử dụng BGP Flow-Spec. . 53
3.3.1Công cụ thực hiện ..................................................................................................... 54
3.3.2 Mô h nh triển khai ................................................................................................... 54
3.3.3 Các bước thực hiện .................................................................................................. 54
3.3.4 Kịch bản tấn công và kết quả ................................................................................. 57
3.4 Tổng kết chư ng III......................................................................................................... 62
KẾT LUẬN ĐỒ ÁN VÀ HƯỚNG NGHIÊN CỨU TIẾP THEO ................................... 63
TÀI LIỆU THAM KHẢO..................................................................................................... 64
ĐỖ MINH HIỆP – D13VT6
Page ii
ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC
DANH MỤC THUẬT NGỮ VIẾT TẮT
Thuật
Ngữ
Tiếng Anh
Tiếng Việt
ACK
Acknowledge
Xác nhận
ISP
Internet Service Provider
Nhà cung cấp dịch vụ internet
BGP
Border Gateway Protocol
Giao thức định tuyến liên
miền
DoS
Denial of Server
Tấn công từ chối dịch vụ
DDoS
Distributed Denial of Service
Tấn công từ chối dịch vụ
phân tán
NLRI
Network Layer Reachability
Information
Thông tin truy cập lớp mạng
FS
Flow Specification
Lưu lượng đặc tả
HTTP
HyperText Transfer Protocol
Giao thức truyền tải siêu văn
bản
ICMP
Internet Control Message
Protocol
Giao thức điều khiển truyền
tin
IP
Internet Protocol
Giao thức Internet
RTBH
Remote Triger Black Hole
Lỗ đen kích hoạt từ xa
LAN
Local Area Network
Mạng khu vực nội bộ
NIC
Network Interface Card
Cổng giao diện mạng
PBR
Policy Base Routing
Định tuyến dựa trên chính
sách
SAFI
Subsequent Address Family
Identifier
Định danh họ địa chỉ kế tiếp
SYN
Synchronize
Đồng bộ
TCP
Transmission Control Protocol
Giao thức điều khiển truyền
vận
VLAN
Virtual Local Area Network
Mạng LAN ảo
ĐỖ MINH HIỆP – D13VT6
Page iii
ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC
MỤC LỤC HÌNH ẢNH
H nh 1.1.Kiến trúc tấn công DDoS trực tiếp ............................................................................. 3
H nh 1.2.Kiến trúc tấn công DDoS phản chiếu ......................................................................... 3
H nh 2.3.Tấn công ngập lụt băng thông qua môi trường mạng ISP ......................................... 10
H nh 2.4.Tiêu đề gói tin IP ....................................................................................................... 11
H nh 2.5.Khuôn dạng bản tin cập nhật của BGP ...................................................................... 20
H nh 2.6.Các thành phần của NLRI thông thường ................................................................... 20
H nh 2.7.Một gói tin cập nhật BGP chứa Flow-spec NLRI ..................................................... 21
H nh 2.8.Ví dụ mô tả tiền tố địa chỉ IP đích trong Flow-spec NRLI ....................................... 22
H nh 2.9.Ví dụ mô tả tiền tố địa chỉ IP nguồn trong Flow-spec NRLI .................................... 23
H nh 2.10.Ví dụ mô tả tiền tố địa chỉ cổng đích trong Flow-spec NRLI ................................. 24
H nh 2.11.Ví dụ mô tả tiền tố mã bản tin ICMP trong Flow-spec NRLI ................................. 25
H nh 2.12.Ví dụ mô tả tiền tố cờ TCP trong Flow-spec NRLI ................................................ 26
H nh 2.13. Ví dụ mô tả tiền tố độ dài bản tin trong Flow-spec NRLI ...................................... 27
H nh 2.14.Ví dụ mô tả tiền tố DSCP trong Flow-spec NRLI................................................... 27
H nh 2.15.Ví dụ mô tả tiền tố phân mảnh trong Flow-spec NRLI ........................................... 28
H nh 2.16 Thứ tự áp dụng hành động cho BGP Flow-spec ..................................................... 33
H nh 2.17 Chuyển mạch sử dụng mặt phẳng điều khiển và mặt phẳng dữ liệu ....................... 35
H nh 2.18 Mô h nh hoạt động chủ-tớ của BGP Flow-spec ...................................................... 36
H nh 2.19 Mô h nh hoạt động của thiết bị đính tuyến hỗ trợ BGP Flow-spec ......................... 38
H nh 2.20 S đồ cấu h nh BGP Flow-spec ............................................................................... 39
H nh 2.21 Mô h nh mạng sử dụng BGP Flow-spec để chuyển hướng và chấm dứt lưu lượng
độc hại ...................................................................................................................................... 40
H nh 2.22 S đồ tấn công DDoS c bản trên mạng ................................................................. 41
H nh 2.23 Điều hướng tấn công DDoS nhờ sử dụng các bộ định tuyến ảo ............................. 41
H nh 2.24 Ưu thế của sử dụng Flow-spec so với sử dụng các bộ định tuyến ảo ...................... 42
H nh 2.25 Lặp định tuyến khi trao đổi lưu lượng với bộ lọc .................................................... 43
H nh 2.26 BGP Flow-Spec giải quyết lặp định tuyến .............................................................. 43
H nh 2.27 Tấn công DDoS lưu lượng lớn ................................................................................ 44
H nh 2.28 Sử dung BGP Flow-spec hỗ trợ định tuyến QoS ..................................................... 45
H nh 3.1 Các thành phần của hệ thống phòng thủ DDoS sử dụng BGP Flow-spec................. 48
H nh 3.2 S đồ các bộ định tuyến biên trong mạng metro ...................................................... 49
H nh 3.3 Đặc điểm của các bộ định tuyến phản chiếu ............................................................. 50
H nh 3.4 Sử dụng RR trong phân cụm quản lý ........................................................................ 51
H nh 3.5 Mô h nh mô ph ng. ................................................................................................... 55
H nh 3.6 Cấu h nh định tuyến BGP giữa Client và Server ....................................................... 55
ĐỖ MINH HIỆP – D13VT6
Page iv
ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC
H nh 3.7 Giao diện phần mềm Moba Exterm........................................................................... 56
H nh 3.8 Mô ph ng máy chủ web sử dụng Moba Exterm ....................................................... 56
H nh 3.9 Giao diện máy chủ web khi truy cập ......................................................................... 57
H nh 3.10 Sử dụng Ostinato giả lập lưu lượng tấn công .......................................................... 57
H nh 3.11.Thiết lập thông số và đặc điểm lưu lư ng tấn công ................................................ 58
H nh 3.12 Sử dụng Wireshark bắt lưu lư ng tấn công ............................................................. 59
H nh 3.13 Hướng đi của lưu lượng tấn công và lưu lượng người dùng tới máy chủ ............... 60
H nh 3.14 Cấu h nh bộ kích hoạt Flow-spec để ngăn chặn tấn công ....................................... 60
H nh 3.15 Các bộ định tuyến khách đã học và thiết lập Flow-Spec thành công ...................... 61
H nh 3.16 Hướng đi của lưu lượng tấn công đã bị chặn tại bộ định tuyến Flow-Spec khách .. 62
ĐỖ MINH HIỆP – D13VT6
Page v
ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC
DANH MỤC ẢNG IỂU
Bảng 2.1. Các hành động được hỗ trợ ........................................................................... 32
Bảng 2.2. Thứ tự ưu tiên xử lý FBR theo các tiền tố của Flow-spec ............................ 34
ĐỖ MINH HIỆP – D13VT6
Page vi
ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC
CHƢƠNG I: TẤN CÔNG DDOS VÀ THÁCH THỨC BẢO MẬT TRÊN
MẠNG LƢỚI.
1.1 Giới thiệu chung
Ngày nay, đối với các nhà cung cấp dịch vụ mạng th việc quản lý và bảo vệ tốt
hệ thống mạng lưới của m nh cũng như dữ liệu khách hàng, đối tác trước các cuộc tấn
công mạng là một trong những bài toán được ưu tiên hàng đầu và đang không ngừng
gây khó khăn cho họ. Để có thể ngăn chặn các cuộc tấn đó, ban đầu các nhà cung cấp
phải đầu tư, tính toán rất nhiều loại chi phí như chi phí cho phần cứng, phần mềm,
mạng, chi phí cho quản trị viên, chi phí bảo tr , sửa chữa, … Ngoài ra họ còn phải tính
toán khả năng mở rộng, nâng cấp thiết bị, phải kiểm soát việc điều hướng lưu lượng và
chống lặp định tuyến trong mạng. Từ các bài toán điển h nh như vậy, chúng ta thấy
được rằng nếu có một biện pháp tin cậy giúp các nhà cung cấp dịch vụ quản lý tập
chung các hệ thống định tuyến và ngăn chặn tấn công DdoS thì các doanh nghiệp sẽ
không còn quan tâm đến cấu h nh phức tạp mà chỉ cần tập chung theo dõi, xử lý và
điều khiển lưu lượng mạng thông qua một tính năng duy nhất th sẽ mang lại cho họ
hiệu quả và lợi nhuận ngày càng cao h n.
Thuật ngữ “BGP Flow-specification được bắt nguồn từ ý tưởng mở rộng c chế
định tuyến hiện tại và điều khiển định tuyến trong giao thức BGP thông qua các bộ
quản lý tập chung. Chúng ta sẽ thấy định tuyến không chỉ còn lại là việc điều hướng
lưu lượng dựa trên địa chỉ IP mà còn có thể dựa trên rất nhiều các tiêu chí khác: địa chỉ
nguồn, số hiệu cổng lớp truyền tải, QoS hay thậm chí là độ dài gói tin IP. C chế này
cho phép thiết bị định tuyến can thiệp sâu vào quá tr nh xử lý lưu lượng đồng thời cho
phép quản lý việc phân phối, sửa đổi và thu hồi thông tin về lưu lượng mạng một cách
tập chung hoàn toàn. Xu hướng này sẽ giúp nhiều nhà cung cấp dịch vụ điều khiển tối
ưu lưu lượng mạng và ngăn chặn lưu lư ng tấn công DDoS ngay trước khi nó xâm
nhập mạng. Vậy “BGP Flow-spec là g ?
Có rất nhiều định nghĩa từ các qui ước khác nhau trong đó, theo RFC 5575 th
định nghĩa một lưu lượng đặc tả ( Flow specification - FS) là một luồng lưu lượng
được mô tả bởi một tập các tiêu chí có thể được áp dụng cho lưu lượng IP. Flow-spec
được truyển tải và trao đổi dựa trên giao thức định tuyến liên miền BGP, vốn là giao
thức được sử dụng sẵn trong mạng. Các thông tin về FS sẽ được mã hóa và đặt trong
gói tin cập nhật của giao thức này, từ đó cho phép kích hoạt tức th nếu như có các sự
kiện tạo mới, thay đổi cũng như thu hồi các FS. Điều này khiến Flow-spec tận dụng
được hàng loạt các ưu điểm của giao thức định tuyến BGP. Bên cạnh đó, chính nhờ
vào c chế thiết lập láng giềng và trao đổi tuyến đặc biệt của BGP mà khiến việc quản
lý các FS trở nên tập chung và linh hoạt thông qua việc sử dụng bộ định tuyến phản
chiếu. Việc này cho phép người quản trị mạng quản lý hoặc điều hiếu toàn bộ lưu
lượng mạng có thể chỉ qua việc cấu h nh một bộ định tuyến duy nhất, do đó việc ngăn
Đỗ Minh Hiệp – D13VT6
Page 1
ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC
chặn các cuộc tấn công DDoS trở nên dễ dàng và linh hoạt h n.
1.2. Tổng quan về tấn công DDoS
Tấn công từ chối dịch vụ (Denial of Service - DoS) là dạng tấn công nhằm ngăn
chặn người dùng hợp pháp truy nhập các tài nguyên mạng. Tấn công từ chối dịch vụ
phân tán (Distributed Denial of Service - DDoS) là một dạng phát triển ở mức độ cao
của tấn công DoS. Khác biệt c bản của tấn công DoS và DDoS là phạm vi tấn công.
Trong khi lưu lượng tấn công DoS thường phát sinh từ một hoặc một số ít trạm nguồn,
lưu lượng tấn công DDoS thường phát sinh từ rất nhiều máy trạm nằm rải rác trên
mạng Internet. Hiện nay, có hai phư ng pháp tấn công DDoS chủ yếu. Trong phư ng
pháp thứ nhất, kẻ tấn công gửi các gói tin được tạo theo dạng đặc biệt gây lỗi trong
giao thức truyền hoặc lỗi trong ứng dụng chạy trên máy nạn nhân. Một dạng tấn công
DDoS điển h nh theo phư ng pháp này là tấn công khai thác lỗ hổng an ninh của các
giao thức hoặc dịch vụ trên máy nạn nhân. Phư ng pháp tấn công DDoS thứ hai phổ
biến h n phư ng pháp thứ nhất, gồm hai dạng : dạng tấn công DDoS gây ngắt quãng
kết nối của người dùng đến máy chủ dịch vụ bằng cách làm ngập lụt đường truyền
mạng, cạn kiệt băng thông hoặc tài nguyên mạng, và dạng tấn công DDoS gây ngắt
quãng dịch vụ cung cấp cho người dùng bằng cách làm cạn kiệt các tài nguyên của
máy chủ dịch vụ, như thời gian xử lý của CPU, bộ nhớ, băng thông đĩa, c sở dữ liệu.
Dạng tấn công này bao gồm các loại tấn công gây ngập lụt ở mức ứng dụng.
Để phòng chống tấn công DDoS một cách hiệu quả nhằm hạn chế và giảm thiểu
thiệt hại do tấn công DDoS gây ra, việc nghiên cứu về các dạng tấn công và các biện
pháp phòng chống là cần thiết. Nhiều công tr nh nghiên cứu về phân loại các dạng tấn
công DDoS và các biện pháp phòng chống đã được công bố. Một cách tổng quát, các
tấn công DDoS được phân loại thành 2 dạng: dạng tấn công gây cạn kiệt băng thông
đường truyền mạng và dạng tấn công gây cạn kiệt tài nguyên máy chủ dịch vụ. Dạng
tấn công cạn kiệt băng thông lại được chia thành tấn công gây ngập lụt và tấn công
khuếch đại, còn dạng tấn công gây cạn kiệt tài nguyên máy chủ được chia tiếp thành
tấn công khai thác lỗi giao thức và tấn công sử dụng các gói tin đặc biệt. Phân loại các
tấn công DDoS thành 2 dạng dựa trên lớp mạng, gồm tấn công gây ngập lụt ở lớp
mạng/giao vận và tấn công gây ngập lụt ở lớp ứng dụng. Theo một hướng khác, tấn
công từ chối dịch vụ được phân loại dựa trên 4 tiêu chí: mức độ tự động, khai thác
các lỗ hổng an ninh, cường độ tấn công và mức độ ảnh hưởng. Tuy có sự khác biệt về
phư ng pháp và tiêu chí phân loại, các công tr nh nghiên cứu đều có chung đánh giá
về mức độ nguy hiểm và sự tăng trưởng đáng lo ngại của tấn công DDoS cả về phạm
vi, mức độ tinh vi và khả năng phá hoại.
1.3. Kiến trúc, phân loại và các phƣơng pháp chống tấn công DDOS
1.3.1. Kiến trúc tấn công DDoS
Mặc dù có nhiều dạng tấn công DDoS được ghi nhận, nhưng tựu trung có thể
chia kiến trúc tấn công DDoS thành 2 loại chính: kiến trúc tấn công DDoS trực tiếp và
Đỗ Minh Hiệp – D13VT6
Page 2
ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC
kiến trúc tấn công DDoS gián tiếp hay phản chiếu. H nh 1.1 minh họa kiến trúc tấn
công DDoS trực tiếp, theo đó tin tặc (Attacker) trước hết thực hiện chiếm quyền điều
khiển hàng ngàn máy tính có kết nối Internet, biến các máy tính này thành các Zombie
– những máy tính bị kiểm soát và điều khiển từ xa bởi tin tặc. Tin tặc thường điều
khiển các Zombie thông qua các máy trung gian (Handler). Hệ thống các Zombie chịu
sự điều khiển của tin tặc còn được gọi là mạng máy tính ma hay botnet. Theo lệnh gửi
từ tin tặc, các Zombie đồng loạt tạo và gửi các yêu cầu truy nhập giả mạo đến hệ thống
nạn nhân (Victim), gây ngập lụt đường truyền mạng hoặc làm cạn kiệt tài nguyên của
máy chủ, dẫn đến ngắt quãng hoặc ngừng dịch vụ cung cấp cho người dùng.
H n 1.1.K ến trúc tấn công DDoS trực t ếp
Tư ng tự như kiến trúc tấn công DDoS trực tiếp, tin tặc (Attacker) trước hết
thực hiện chiếm quyền điều khiển một lượng rất lớn máy tính có kết nối Internet, biến
các máy tính này thành các Zombie, hay còn gọi là Slave. Hình 1.2 minh họa kiến trúc
tấn công DDoS gián tiếp hay còn gọi là kiến trúc tấn công DDoS phản chiếu
Hn
Đỗ Minh Hiệp – D13VT6
1.2.K ến trúc tấn công DDoS p
n c ếu
Page 3
ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC
Tin tặc điều khiển các Slave thông qua các máy trung gian (Master). Theo lệnh
gửi từ tin tặc, các Slave đồng loạt tạo và gửi các yêu cầu truy nhập giả mạo với địa chỉ
nguồn của các gói tin là địa chỉ của máy nạn nhân (Victim) đến đến một số lớn các
máy khác (Reflectors) trên mạng Internet. Các Reflectors gửi phản hồi (Reply) đến
máy nạn nhân do địa chỉ của máy nạn nhân được đặt vào yêu cầu giả mạo. Khi các
Reflectors có số lượng lớn, số phản hồi sẽ rất lớn và gây ngập lụt đường truyền mạng
hoặc làm cạn kiệt tài nguyên của máy nạn nhân, dẫn đến ngắt quãng hoặc ngừng dịch
vụ cung cấp cho người dùng. Các Reflectors bị lợi dụng để tham gia tấn công thường
là các hệ thống máy chủ có công suất lớn.
1.3.2. Phân loại tấn công DDoS
Các cuộc tấn công DDoS thường được tin tặc thực hiện bằng cách huy động
một số lượng rất lớn các máy tính có kết nối Internet bị chiếm quyền điều khiển – tập
hợp các máy này được gọi là mạng máy tính ma hay mạng bot, hoặc botnet. Các máy
của botnet có khả năng gửi hàng ngàn yêu cầu giả mạo mỗi giây đến hệ thống nạn
nhân, gây ảnh hưởng nghiêm trọng đến chất lượng dịch vụ cung cấp cho người dùng.
Do các yêu cầu của tấn công DDoS được gửi rải rác từ nhiều máy ở nhiều vị trí địa lý
nên rất khó phân biệt với các yêu cầu của người dùng hợp pháp. Một trong các khâu
cần thiết trong việc đề ra các biện pháp phòng chống tấn công DDoS hiệu quả là phân
loại các dạng tấn công DDoS và từ đó có biện pháp phòng chống thích hợp. Nhiều
phư ng pháp phân loại tấn công DDoS đã được đề xuất như trong các công tr nh . Một
cách khái quát, tấn công DDoS có thể được phân loại dựa trên 6 tiêu chí chính: dựa
trên phư ng pháp tấn công, dựa trên mức độ tự động, dựa trên giao thức mạng, dựa
trên phư ng thức giao tiếp, dựa trên cường độ tấn công và dựa trên việc khai thác các
lỗ hổng an ninh. Phần tiếp theo của mục này tr nh bày chi tiết từng loại.
- Dựa trên phƣơng pháp tấn công: Phân loại DDoS dựa trên phư ng pháp tấn
công là một trong phư ng pháp phân loại c bản nhất. Theo tiêu chí này, DDoS có thể
được chia thành hai dạng: Tấn công gây ngập lụt (Flooding attacks) và tấn công Logic.
Trong tấn công gây ngập lụt, tin tặc tạo một lượng lớn các gói tin tấn công giống như
các gói tin hợp lệ và gửi đến hệ thống nạn nhân làm cho hệ thống không thể phục vụ
người dùng hợp pháp. Đối tượng của tấn công dạng này là băng thông mạng, không gian
đĩa, thời gian của CPU,… Trong tấn công logic (Logical attacks): Tấn công logic
thường khai thác các tính năng hoặc các lỗi cài đặt của các giao thức hoặc dịch vụ chạy
trên hệ thống nạn nhân, nhằm làm cạn kiệt tài nguyên hệ thống. Ví dụ tấn công TCP
SYN khai thác quá tr nh bắt tay ba bước trong khởi tạo kết nối TCP, trong đó mỗi yêu
cầu kết nối được cấp một phần không gian trong bảng lưu yêu cầu kết nối trong khi chờ
xác nhận kết nối. Tin tặc có thể gửi một lượng lớn yêu cầu kết nối giả mạo hoặc các kết
Đỗ Minh Hiệp – D13VT6
Page 4
ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC
nối không thể thực hiện, từ đó chiếm đầy không gian bảng kết nối và khiến hệ thống nạn
nhân không thể tiếp nhận yêu cầu kết nối của người dùng hợp pháp.
- Dựa trên mức độ tự động: Theo mức độ tự động, có thể chia tấn công DDoS
thành 3 dạng : tấn công thủ công, tấn công bán tự động và tấn công tự động. Đối với
h nh thức tấn công thủ công th tin tặc trực tiếp quét các hệ thống t m lỗ hổng, đột
nhập vào hệ thống, cài đặt mã tấn công và ra lệnh kích hoạt tấn công. Chỉ những tấn
công DDoS trong giai đoạn đầu mới được thực hiện thủ công. Đối với một cuộc tấn
công bán tự động, thiết bị trong mạng lưới thực hiện tấn công DDoS bao gồm các máy
điều khiển (master/handler) và các máy agent (slave, deamon, zombie, bot). Tại giai
đoạn chọn máy agent, khai thác lỗ hổng và lây nhiễm được thực hiện tự động. Trong
giai đoạn tấn công, tin tặc gửi các thông tin bao gồm kiểu tấn công, thời điểm bắt đầu,
khoảng thời gian duy tr tấn công và đích tấn công đến các agent thông qua các
handler. Các agent sẽ theo lệnh gửi các gói tin tấn công đến hệ thống nạn nhân.Tấn
công tự động là tấn cong mag tất cả các giai đoạn trong quá tr nh tấn công DDoS, từ
tuyển chọn máy agent, khai thác lỗ hổng, lây nhiễm đến thực hiện tấn công đều được
thực hiện tự động. Tất cả các tham số tấn công đều được lập tr nh sẵn và đưa vào mã
tấn công. Tấn công dạng này giảm đến tối thiểu giao tiếp giữa tin tặc và mạng lưới tấn
công, và tin tặc chỉ cần kích hoạt giai đoạn tuyển chọn các máy agent.
- Dựa trên giao thức mạng: Tấn công DDoS dựa theo tiêu chí này có thể chia
thành 2 dạng: tấn công vào tầng mạng hoặc giao vận và tấn công vào tầng ứng dụng. Ở
dạng tấn công vào tầng mạng, các gói tin TCP, UDP và ICMP được sử dụng để thực
hiện tấn công. Khi tin tặc tấn công vào tầng ứng dụng thì các tấn công thường hướng
đến các dịch vụ thông dụng ứng với các giao thức tầng ứng dụng như HTTP, DNS và
SMTP. Tấn công DDoS tầng ứng dụng cũng có thể gây ngập lụt đường truyền và tiêu
hao tài nguyên máy chủ, làm ngắt quãng khả năng cung cấp dịch vụ cho người dùng
hợp pháp. Dạng tấn công này rất khó phát hiện do các yêu cầu tấn công tư ng tự yêu
cầu từ người dùng hợp pháp
- Dựa trên phƣơng thức giao tiếp: Thông thường, để thực hiện tấn công DDoS,
tin tặc phải tuyển chọn và chiếm quyền điều khiển một số lượng lớn các máy tính có
kết nối Internet, và các máy tính này sau khi bị cài phần mềm agent trở thành các bots
- công cụ giúp tin tặc thực hiện tấn công DDoS. Tin tặc thông qua các máy điều khiển
(master) giao tiếp với các bots để gửi thông tin và các lệnh điều khiển tấn công. Theo
phư ng thức giao tiếp giữa các master và bots, có thể chia tấn công DDoS thành bốn
dạng: DDoS dựa trên agent-handler, DDoS dựa trên IRC, DDoS dựa trên web, DDoS
dựa trên P2P. Tấn công dạng dựa trên agent-handler bao gồm các thành phần: clients,
handlers và agents (bots/zombies). Tin tặc chỉ giao tiếp trực tiếp với clients. Clients sẽ
giao tiếp với agents thông qua handlers. Nhận được lệnh và các thông tin thực hiện tấn
Đỗ Minh Hiệp – D13VT6
Page 5
ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC
công, agents trực tiếp thực hiện việc tấn công. DDoS dựa trên IRC thì Internet Relay
Chat (IRC) là một hệ thống truyền thông điệp trực tuyến cho phép nhiều người dùng
tạo kết nối và trao đổi các thông điệp theo thời gian thực. Trong dạng tấn công DDoS
này tin tặc sử dụng IRC làm kênh giao tiếp với các agents, không sử dụng handlers.
Trong một cuộc tấn công DDoS dựa trên web, tin tặc sử dụng các trang web làm
phư ng tiện giao tiếp qua kênh HTTP thay cho kênh IRC. Các trang web của tin tặc
được sử dụng làm trung tâm điều khiển và lây nhiễm các phần mềm độc hại, các công
cụ khai thác các lỗ hổng an ninh, cài đặt các agents chiếm quyền điều khiển hệ thống
máy tính và biến chúng thành các bots. Các bots có thể được xác lập cấu h nh hoạt
động từ đầu, hoặc chúng có thể gửi các thông điệp đến trang web điều khiển thông qua
các giao thức web phổ biến như HTTP và HTTPS. Đối với cuộc tấn công DDoS dựa
trên P2P: Ở dạng này, tin tặc sử dụng giao thức Peer to Peer – một giao thức ở tầng
ứng dụng làm kênh giao tiếp. Bản chất của các mạng P2P là phân tán nên rất khó để
phát hiện các bots giao tiếp với nhau thông qua kênh này.
- Dựa trên cƣờng độ tấn công: Dựa trên cường độ hoặc tần suất gửi yêu cầu tấn
công, có thể phân loại tấn công DDoS thành 5 dạng: tấn công cường độ cao, tấn công
cường độ thấp, tấn công cường độ hỗn hợp, tấn công cường độ liên tục và tấn công
cường độ thay đổi. Tấn công cường độ cao là dạng tấn công gây ngắt quãng dịch vụ
bằng cách gửi cùng một thời điểm một lượng rất lớn các yêu cầu từ các máy
agents/zombies nằm phân tán trên mạng. Tấn công cường độ thấp: là kiểu tấn công
mà các agents/zombies được phối hợp sử dụng để gửi một lượng lớn các yêu cầu giả
mạo, nhưng với tần suất thấp, làm suy giảm dần dần hiệu năng mạng. Dạng tấn công
này rất khó bị phát hiện do lưu lư ng tấn công tư ng tự như lưu lượng đến từ người
dùng hợp pháp. Trong khi đó, tấn công cường độ hỗn hợp là dạng kết hợp giữa tấn
công cường độ cao và tấn công cường độ thấp. Đây là dạng tấn công phức hợp, trong
đó tin tặc thường sử dụng các công cụ để sinh các gói tin tấn công gửi với tần suất cao
và thấp. Tấn công cường độ liên tục là dạng tấn công được thực hiện liên tục với
cường độ tối đa trong suốt khoảng thời gian từ khi bắt đầu đến khi kết thúc. Cuối cùng,
tấn công cường độ thay đổi: Đây là dạng tấn công có cường độ thay đổi động nhằm
tránh bị phát hiện và đáp trả.
- Dựa trên việc khai thác các lỗ hổng an ninh: bao gồm tấn công gây cạn kiệt
băng thông, tấn công gây cạn kiệt tài nguyên.Tấn công gây cạn kiệt băng thông là các
tấn công DDoS được thiết kế để gây ngập lụt hệ thống mạng của nạn nhân bằng các
yêu cầu truy nhập giả mạo, làm người dùng hợp pháp không thể truy nhập dịch vụ.
Tấn công dạng này thường gây tắc nghẽn đường truyền bằng lượng yêu cầu giả mạo
rất lớn gửi bởi các máy tính ma (zombie) của các botnets. Dạng tấn công này cũng còn
được gọi là tấn công gây ngập lụt hoặc tấn công khuếch đại. Tấn công gây cạn kiệt tài
Đỗ Minh Hiệp – D13VT6
Page 6
ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC
nguyên là các tấn công DDoS được thiết kế để tiêu dùng hết các tài nguyên trên hệ
thống nạn nhân, làm cho nó không thể phục vụ các yêu cầu của người dùng hợp pháp.
Trong dạng thứ hai, kẻ tấn công tạo ra các gói tin đặc biệt, như các gói sai định dạng,
gói có khiếm khuyết, gửi đến hệ thống nạn nhân. Hệ thống nạn nhân có thể bị trục trặc
khi cố gắng xử lý các gói tin dạng này. Ví dụ, trong tấn công Ping of Death, tin tặc gửi
các gói tin ICMP có kích thước lớn h n 64KB gây lỗi các máy chạy hệ điều hành
Windows XP.
1.3.4. Các biện pháp phòng chống tấn công DDoS.
Do tính chất nghiêm trọng của tấn công DDoS, nhiều giải pháp phòng chống đã
được nghiên cứu và đề xuất trong những năm qua. Tuy nhiên, cho đến hiện nay gần
như chưa có giải pháp nào có khả năng phòng chống DDoS một cách toàn diện và hiệu
quả do tính chất phức tạp, quy mô lớn và tính phân tán rất cao của tấn công DDoS.
Thông thường, khi phát hiện tấn công DDoS, việc có thể thực hiện được tốt nhất là
ngắt hệ thống nạn nhân kh i tất cả các tài nguyên do mọi hành động phản ứng lại tấn
công đều cần đến các tài nguyên, trong khi các tài nguyên này đã bị tấn công DDoS
làm cho cạn kiệt. Sau khi hệ thống nạn nhân được ngắt kh i các tài nguyên, việc truy
t m nguồn gốc và nhận dạng tấn công có thể được tiến hành. Nhiều biện pháp phòng
chống tấn công DDoS đã được nghiên cứu trong những năm gần đây. Tựu chung có
thể chia các biện pháp phòng chống tấn công DDoS thành ba dạng theo ba tiêu chí
chính: (i) Dựa trên vị trí triển khai, (ii) Dựa trên giao thức mạng và (iii) Dựa trên thời
điểm hành động. Phần tiếp theo mô tả các biện pháp phòng chống tấn công DDoS
thuộc ba dạng trên.
- Dựa trên vị trí triển khai Các biện pháp phòng chống tấn công DDoS được phân
loại vào dạng này dựa trên vị trí cài đặt và tiếp tục được chia nh thành 3 dạng con:
+ Triển khai ở nguồn tấn công: Các biện pháp phòng chống tấn công DDoS được
triển khai ở gần nguồn của tấn công. Phư ng pháp này nhằm hạn chế các mạng người
dùng tham gia tấn công DDoS. Một số biện pháp cụ thể bao gồm: Thực hiện lọc các
gói tin sử dụng địa chỉ giả mạo tại các bộ định tuyến ở cổng mạng và sử dụng các
tường lửa có khả năng nhận dạng và giảm tần suất chuyển các gói tin hoặc yêu cầu
không được xác nhận.
+ Triển khai ở đích tấn công: Các biện pháp phòng chống tấn công DDoS được
triển khai ở gần đích của tấn công, tức là tại bộ định tuyến ở cổng mạng hoặc bộ định
tuyến của hệ thống đích. Các biện pháp cụ thể có thể gồm:Truy t m địa chỉ IP ( gồm
các kỹ thuật nhận dạng địa chỉ và người dùng giả mạo và lọc và đánh dấu các gói tin(
Các gói tin hợp lệ được đánh dấu sao cho hệ thống nạn nhân có thể phân biệt các gói
tin hợp lệ và gói tin tấn công. Một số kỹ thuật lọc và đánh dấu gói tin được đề xuất
gồm: Lọc IP dựa trên lịch sử, lọc dựa trên đếm số bước nhảy, nhận dạng đường dẫn,…
Đỗ Minh Hiệp – D13VT6
Page 7
ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC
). Triển khai ở mạng đích tấn công: Các biện pháp phòng chống tấn công DDoS được
triển khai ở các bộ định tuyến của mạng đích dựa trên lọc gói tin, phát hiện và lọc các
gói tin độc hại.
- Dựa trên giao thức mạng Các biện pháp phòng chống tấn công DDoS được
chia nh theo tầng mạng: IP, TCP và giao thức tầng ứng dụng. Phòng chống tấn công
DDoS ở tầng mạng IP bao gồm một số biện pháp:
+ Pushback: Là c chế phòng chống tấn công DDoS ở tầng IP cho phép một bộ
định tuyến yêu cầu các bộ định tuyến liền kề phía trước giảm tần suất truyền các gói tin.
+ SIP defender: Một kiến trúc an ninh mở cho phép giám sát luồng các gói tin
giữa các máy chủ SIP và người dùng và proxy bên ngoài với mục đích phát hiện và
ngăn chặn tấn công vào các máy chủ SIP.
+ Các phƣơng pháp dựa trên ô đố chữ: Gồm các phư ng pháp dựa trên ô đố
chữ mật mã để chống lại tấn công DDoS ở mức IP.
Phòng chống tấn công DDoS ở tầng TCP bao gồm một số biện pháp:
+ Sử dụng các kỹ thuật lọc gói tin dựa trên địa chỉ IP.Tăng kích thước Backlogs
giúp tăng khả năng chấp nhận kết nối mới của hệ thống đích.
+ Giảm thời gian chờ xác nhận yêu cầu kết nối TCP-SYN giúp máy chủ hủy b
các yêu cầu kết nối không được xác nhận trong khoảng thời gian ngắn h n, giải phóng
tài nguyên các kết nối chờ chiếm giữ.
+ Sử dụng SYN cache giúp duy tr Backlogs chung cho toàn máy chủ thay v
Backlogs riêng cho mỗi ứng dụng. Nhờ vậy có thể tăng số lượng kết nối đang chờ xác nhận.
+ Sử dụng SYN Cookies cho phép chỉ cấp phát tài nguyên cho kết nối khi nó đã
được xác nhận. Các yêu cầu SYN sẽ bị hủy nếu không được xác nhận trước khi được
chuyển cho máy chủ đích. Phư ng pháp này có thể giúp phòng chống tấn công SYN
Flood hiệu quả.
+Sử dụng tường lửa hoặc proxy để lọc các gói tin hoặc thực thi các chính sách an
ninh đã xác lập trước.
Phòng chống tấn công DDoS ở tầng ứng dụng có thể bao gồm:
+ Tối thiểu hóa hành vi truy nhập trang để phòng chống tấn công gây ngập lụt HTTP.
+ Sử dụng các phư ng pháp thống kê để phát hiện tấn công DDoS ở mức HTTP.
+ Giám sát hành vi của người dùng trong các phiên làm việc để phát hiện tấn công.
- Dựa trên thời điểm hành động: Dựa trên thời điểm hành động, có thể phân
loại các biện pháp phòng chống tấn công DDoS thành 3 dạng theo 3 thời điểm: Trước
khi xảy ra tấn công, Trong khi xảy ra tấn công và sau khi xảy ra tấn công. Các biện
pháp phòng chống tấn công DDoS thuộc dạng một được triển khai nhằm ngăn chặn
tấn công xảy ra. Một phần lớn các biện pháp thuộc dạng này bao gồm việc cập nhật hệ
thống, đảm bảo cấu h nh an ninh phù hợp, sửa lỗi, vá các lỗ hổng để giảm thiểu khả
Đỗ Minh Hiệp – D13VT6
Page 8
ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC
năng bị tin tặc khai thác phục vụ tấn công. Đối với tấn công loại hai th các biện pháp
phòng chống tấn công DDoS thuộc dạng này tập trung phát hiện và ngăn chặn tấn
công. Tường lửa và các hệ thống IDS/IPS thuộc nhóm này. Sau khi xảy ra tấn công thì
các biện pháp được triển khai để lần vết và truy t m nguồn gốc của tấn công sẽ được
thực hiện.
1.3.3 Nguy cơ tấn công và cách đối phó với tấn công DDoS tại Việt Nam.
Theo hãng bảo mật Bkav cho biết, để thực hiện một cuộc tấn công DDos (tấn
công từ chối dịch vụ), hacker sẽ sử dụng hệ thống botnet. Để tạo ra hệ thống botnet,
hacker sẽ phát tán backdoor (cửa hậu) trên các máy tính bằng cách: gửi email giả mạo
có đính kèm mã độc, lợi dụng lỗ hổng phần mềm, tải tập tin trên internet… Mạng
botnet là tập hợp của các máy tính bị nhiễm backdoor do hacker phát tán. Theo một
khoảng thời gian nào đó, các máy tính này sẽ request tới một server nào đó để nhận
các thông tin điều khiển từ hacker để thực hiện tấn công DDoS. Nếu có thông tin ra
lệnh tấn công, các máy tính này sẽ cùng lúc thực hiện request liên tục tới một server
cung cấp dịch vụ nào đó, khiến cho server này bị quá tải, không thể cung cấp dịch vụ.
Hậu quả mà tấn công DDoS gây ra không chỉ tiêu tốn nhiều tiền bạc, và công
sức mà còn mất rất nhiều thời gian để khắc phục.Ví dụ trong khoảng thời gian từ đầu
thập niên này, một loạt website thuộc hệ thống của Công ty Cổ phần truyền thông Việt
Nam (VCCorp) luôn phải đối mặt với nguy c các cuộc tấn công mạng như một cách
thường ngày.Mở màn cho cuộc tấn công vào hệ thống website vận hành bởi VCCorp
đó là vào khoảng tháng 6/2011, khiến gần 500 website Việt Nam bị các hacker nước
ngoài báo cáo “hack thành công . Đỉnh điểm là hai ngày 6/6 và 7/6 khi có trên 200
website trong nước trở thành nạn nhân của tin tặc, trong đó có những nạn nhân được
vận hành bởi VCCorp là những trang thư ng mại điện tử nổi tiếng như Én bạc, Rồng
bay. Sau đó khoảng h n 1 năm, vào tháng 7/2012 đến lượt một loạt website khác cũng
được vận hành bởi VCCorp cũng bị tấn công, bao gồm aFamily, autoPro,
missPhotoVietnam… Nhưng tiêu biểu nhất kể đến Kênh 14 – một trong những website
có lượng traffic lớn nhất của VCCorp bị các hacker h i thăm và thay đổi giao diện.
VCCorp sau đó đã tiến hành phong t a các website liên kết máy chủ với Kênh 14 và
aFamily để kiểm tra và khắc phục.
Các cuộc tấn công DDoS ngày càng phát triển theo cả h nh thức lẫn quy mô tấn
công. Nhưng nổi lên nhất vẫn là các cuộc tấn công theo cách h nh thức c bản như:
UDP flood, SYN Flood, Ping of Death, tấn công phản chiếu, Nuke… Các cuộc tấn
công c bản này xảy một cách thường xuyên trên mạng của các nhà cung cấp dịch vụ (
Internet server provider – ISP). Nguyên nhân chính là do hệ thống mạng ISP quá lớn
khó để có thể kiểm soát toàn bộ lưu lượng và các bộ định tuyến hiện tại cũng không có
c chế có thể xử lý lọc lưu lượng độc hại một cách thiết chi tiết và triệt để. Các lưu
Đỗ Minh Hiệp – D13VT6
Page 9
ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC
lượng độc hại có thể trôi nổi và được định tuyến b nh thường trong mạng lưới là do
hoàn toàn không có một phư ng pháp xử lý và thiết lập linh hoạt các luật một lọc trên
bộ đính tuyến, đây là nguyên nhân chính khiến mạng lưới trở nên bị động trước các
cuộc tấn công DDoS.
1.4 Sự phát triển của các cuộc tấn công DDoS trên mạng ISP.
Ngày nay các cuộc tấn công DDOS ngày càng trở nên đa dạng cả về quy mô và
hình thức tấn công, chúng không chỉ đ n thuần là những hành vi phá hoại hệ thống vì
mục đích cá nhân mà còn là những cuộc tấn công có tổ chức, có mục đích kinh tế và
chính trị. Phư ng pháp tấn công cũng như quy mô tấn công ngày càng đa dạng và khó
nhận biết.
Hn
.3.Tấn công ngập lụt băng t ông qua mô trường mạng ISP
Hacker có thể sử dụng những lỗi của các thiết bị đầu cuối, sử dụng nhiều kiểu
tấn công mà huy động các luồng tấn công lớn cỡ vài Gbps đến vài chục thậm chí vài
trăm Gbps. Các kiểu tấn công có thể là các kiểu tấn công UDP flood, ICMP
flood,SYN Flood, DNS Amplification, NTP Amplificaion, SSDP…Hình 2.1 mô tả
một cuốc tấn công ngập lụt băng thông qua môi trường mạng ISP.
Kẻ tấn công hoàn toàn có thể sử dụng các trường ‘ nhạy cảm “ trong các giao
thức IP, UDP, TCP để thực hiện các cuộc tấn công : tấn công gói tin phân mảng, UDP
flood, TCP SYN flood. Đối với giao thức IP, các gói dữ liệu tại tầng IP được gọi là
datagram. Một datagram có chiều dài biến thiên, gồm hai phần là tiêu đề và dữ liệu.
Đỗ Minh Hiệp – D13VT6
Page 10
ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC
Phần tiêu đề có chiều dài từ 20 đến 60 byte, chứa các thông tin cần thiết cho định
tuyến và chuyển phát dữ liệu. Hình 2.2 minh hoạ định dạng tiêu đề của một gói tin IP.
Bit 0-3
Bit 47
Bit 8-10
Bit 1115
Version
HL
Precedence
TOS
Bit 1619
Datagram ID
TTL
Bit 2023
Bit 2427
Bit 28-31
Total Length
Fragmentation
Protocol
Checksum
Source Address
Destination Address
Options
H n .4.T êu đề gó t n IP
Kẻ tấn công hoàn toàn có thể sử dụng các gói tin IP có độ dịch phân mảnh bằng
nhau, Datagram ID bằng nhau hay nhiều gói tin có cùng bit cờ phân mảnh cuối cùng
khiến cho bên thu không thể tiến hành sắp xếp lại được dữ liệu ban đầu. Tư ng tự kẻ
tấn công cũng có thể thiết lập kết nối TCP liên tục bằng cách gửi TCP SYN khiến cho
máy chủ bị treo hoặc cạn kiệt tài nguyên do việc dành riêng tài nguyên cho các kết nối
TCP giả mạo. Do đó để ngăn chặn các cuộc tấn công này đòi h i các nhà cung cấp
dịch vụ mạng ( Internet Service Provider – ISP) phải có giải pháp phòng chống tấn
công có khả năng can thiệp sâu vào nội dung gói tin đồng thời phải có khả năng trao
đổi phư ng thức hành động đối với luồng lưu lượng độc hại. Một trong các biện pháp
hữu hiệu để chống các cuộc tấn công này là sử dụng BGP flowspec.
1.5 Những thách thức trong việc phòng chống DDoS trên mạng ISP.
Để phòng chóng các cuộc tấn công hiện tại trên mạng lưới th yêu cầu một giải
pháp có khả năng điều hướng lưu lượng trên toàn mạng lưới. Có rất nhiều giải pháp đã
được đưa ra nhưng giải pháp phổ biến hiện tại đó là lỗ đen kích hoạt xa. Đây là một kỹ
thuật cung cấp khả năng ngăn chặn lưu lượng độc hại không mong muốn trước khi nó
Đỗ Minh Hiệp – D13VT6
Page 11
ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC
xâm nhập vào một mạng lưới được bảo vệ. Đây là kĩ thuật được sử dụng phổ biến
trong việc ngăn chặn nhanh nhanh chóng các cuộc tấn công DDoS trên mạng lưới.
1.5.1 Cấu trúc mạng ISP
Mạng lưới của nhà chung câp dịch vụ đư c tổ chức theo mô hình phân cấp bao
gồm hai thành phần chính: mạng lõi đồng trục liên kết( Inter metro network.) và mạng
lõi địa phư ng ( metro network). H nh 1.3 mô tả cấu trúc mạng của nhà cung cấp dịch
vụ. Mạng lõi đồng trục liên kết đóng vai trò thu gom lưu lư ng từ các mạng lõi địa
phư ng, định tuyến lưu lư ng giữa các mạng địa phư ng với nhau hoặc giữa lưu
lượng mạng đại phư ng với lưu lượng quốc tế. Đây thường là mạng lõi quốc gia của
các nhà mạng, nó nhận lưu lượng mạng từ các tỉnh, định tuyến lưu lượng giữa các tỉnh
và giữa tỉnh (quốc gia) với quốc tế. Mạng lõi địa phư ng ( Metro network) có mô hình
tư ng tự như mạng lõi liên kết nhưng quy mô và số lượng bộ định tuyến nh h n. Nó
có nhiệm vụ thu nhận và xử lý lưu lượng trong nội bộ địa phư ng đó hoặc chuyển tiếp
lưu lượng này lên mạng lõi liên kết. Chính v c chế phân cấp và mô h nh định tuyến
theo chính sách phức tạp mà khiến việc điều hướng lưu lượng trên mạng lưới trở nên
rất khó khăn. Giải pháp được đưa ra đó là phân nh và tổ chức các hệ thống bảo mật
mạng theo từng vùng của mạng metro, từ đó phát hiện nhanh chóng và xử lý dễ dàng
h n các cuộc tấn công.
H n 1.3. Cấu trúc mạng của n cung cấp dịc vụ
Một khi một cuộc tấn công được được phát hiện, nhà mạng sẽ cố g để gắng
chặn tất cả các lưu lượng tấn công không được phép truy cập ngay tại các bộ định
tuyến biên của mạng metro. Mạng lưới của nhà cung cấp dịch vụ được thiết kế phân
cấp phức tạp. Điều tiến hành triển khai hệ thống phòng thủ DDoS trên mạng lưới là
điều không hề dễ dàng. Yêu cầu của các giải pháp chống tấn công DDoS trên mạng
Đỗ Minh Hiệp – D13VT6
Page 12
ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC
ISP đó là tính toán lọc lưu lượng hợp lý, giam sát và theo dõi hành vi khả nghi trên
mạng, có khả năng xử lý các luồng tấn công DDoS lưu lượng lớn một cách nhanh
chóng và triệt để. Việc điều hướng lưu lượng băng thông lớn và đa dạng của các cuộc
tấn công DDoS một cách nhanh chóng và an toàn trở thành một bài toán được ưu tiên
hàng đầu của nhà cung cấp dịch vụ. Hiện nay đã có rất nhiều giải pháp được đưa ra
nhưng chưa hề có một giải pháp cụ thể đáp ứng các yêu cầu khắt khe này. Một trong
những giải pháp phổ biến nhất được sử dụng đó là kĩ thuật lỗ đen kích hoạt từ xa
(Remote Triger Black Hole – RTBH).
1.5.2 Chống tấn công DDoS sử dụng kĩ thuật RT H
Bộ lọc RTBH là một kỹ thuật kết hợp các bộ cấu h nh có thể phối hợp tốt trên
nhiều bộ định tuyến đến từ nhiều nhà cung cấp khác nhau. Đây là một kỹ thuật sử
dụng các giao thức định tuyến để cập nhật và thay đổi bảng định tuyến tại các bộ định
tuyến biên hoặc bất cứ n i nào khác trong mạng để đặc biệt giảm lưu lượng không
mong muốn trước khi nó đi vào mạng lưới nhà cung cấp dịch vụ. RTBH cung cấp một
phư ng pháp để nhanh chóng giảm lưu lượng không mong muốn ở r a của mạng dựa
trên địa chỉ nguồn hoặc địa chỉ đích bằng cách chuyển tiếp nó đến một giao diện ảo
(null0). Null0 là một liên kết ảo luôn luôn được kích hoạt sẵn và không bao giờ có thể
chuyển tiếp lưu lượng truy cập. Chuyển tiếp gói tin đến null0 là một cách phổ biến để
lọc các gói tin đến một đích đến cụ thể, từ đó giảm thiểu tối đa các tác hại của lưu
lượng độc trước khi xâm nhập vào mạng lưới. RTBH là một trong nhiều kỹ thuật trong
bảo mật có thể được sử dụng để tăng cường an ninh mạng theo những cách sau:
Giảm thiểu hiệu quả các cuộc tấn công DDoS.
Đảm bảo chỉ lưu lượng sạch truy cập tới mục tiêu bị tấn công.
Thực thi lọc danh sách đen (danh sách IP độc hại được chỉ ra trước đó).
Hn
1.4. C ống tấn công DDoS vớ tín năng lỗ đen kíc
Đỗ Minh Hiệp – D13VT6
oạt từ xa
Page 13
ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC
Một mô h nh triển khai điển h nh cho lọc RTBH sẽ yêu cầu các bộ định tuyến
phải chạy giao thức định tuyến biên (Border Gateway Protocol - iBGP) và một bộ
đinh tuyến có cấu h nh riêng biệt trong trung tâm vận hành mạng (Network Operation
Center - NOC), hoạt động như một bộ kích hoạt. Mô h nh bảo mật mạng với RTBH
được thể hiện trong h nh 1.4. Thách thức ở đây là tìm ra cách để nhanh chóng giảm
lưu lượng truy cập vi phạm sau khi t m đã t m ra “ thủ phạm của cuộc tấn công.
RTBH có thể sử dụng phư ng pháp lọc dựa trên cả địa chỉ IP đích, nó cho phép một
hay nhiều lỗ đen xuất hiện trên toàn mạng. Ví dụ việc thực hiện lọc dựa trên địa chỉ IP
đích được truyền bằng cách thêm một tuyến tĩnh với độ dài mặt nạ mạng tối đa tại thiết
bị kích hoạt. Ngay khi xuất hiện tấn công DDoS trên mạng, bộ kích hoạt sẽ gửi một
bản cập nhật định tuyến cho tuyến tĩnh bằng iBGP tới các bộ định tuyến khác, tuyến
đường này ngay lập tức được cập nhật, được ưu tiên sử dụng và đư ng nhiên lưu
lượng độc ngay lập tức được chuyển tiếp tới giao diện ảo Null0. Tuy nhiện, để thực
hiện việc này th tại các bộ định tuyến biên phải được cấu h nh trước một tuyến đường
được chỉ định chuyển tiếp tới giao diện null0. Thông thường quy tr nh xử lý một cuộc
tấn công dựa theo RTBH bao gồm ba bước: thiết lập láng giềng, kích hoạt lỗ đen, thu
hồi tuyến đường.
- ƣớc 1: Thiết lập láng giềng. Bước này mô tả quá tr nh thiết lập mạng trước
khi có tấn công. Bộ kích hoạt là một thiết bị đặc biệt được cài đặt tại NOC, là thiết bị
độc quyền dành cho mục đích kích hoạt một lỗ đen. Nó có thể là một bộ định tuyến
được cấu h nh láng giềng iBGP với tất cả các bộ định tuyến biên, hoặc có thể là một
bộ định tuyến phản xạ tuyến đường ( Route-Reflector router), khi đó nó phải có một
mối quan hệ láng giềng iBGP với tất cả bộ định tuyến trong mỗi cụm. Ngay sau khi
xác định được địa chỉ IP bị tấn công, bộ kích hoạt ngay lập tức ghi đè bảng định tuyến
của bộ định tuyến biên bằng cách gửi cho chúng các bản tin cập nhật nhằm mục đích
chuyển hướng lưu lượng tấn công tại cách tạo một tuyến đường tĩnh với cổng ra chính
là giao diện null0. Các bộ định tuyến biên làm việc này dựa trên một tuyến đường tĩnh
khác được cấu h nh trước đó. Ví dụ, các router biên (PEs) phải có một tuyến đường
tĩnh cho một không gian địa chỉ IP không được sử dụng. Ví dụ, tuyến 192.0.2.1/32
được đặt với cổng ra là Null0. Địa chỉ IP 192.0.2.1 được dành riêng cho sử dụng trong
các mạng thử nghiệm và không được sử dụng như một địa chỉ IP triển khai.
- ƣớc 2: Kích hoạt lỗ đen. Quá tr nh kích hoạt tuyến đường khi xảy ra tấn công.
Một quản trị viên thêm một tuyến tĩnh vào bộ kích hoạt, nó sẽ phân phối lại tuyến
đường bằng cách gửi một bản cập nhật BGP tới tất cả các láng giềng của iBGP. Bản
tin cập nhật này mang thông tin về địa chỉ IP đích bị tấn công đồng thời thiết lập bước
nhảy của tuyến đường là một địa chỉ IP đặc biệt. Khi các bộ định tuyến biên nhận được
bản cập nhật iBGP của chúng và đặt bước tiếp theo của chúng tới đích là không gian
Đỗ Minh Hiệp – D13VT6
Page 14
- Xem thêm -