Đăng ký Đăng nhập
Trang chủ Giáo dục - Đào tạo Cao đẳng - Đại học Nghiên cứu giải pháp phát hiện và giảm thiểu tấn công từ chối dịch vụ phân tán s...

Tài liệu Nghiên cứu giải pháp phát hiện và giảm thiểu tấn công từ chối dịch vụ phân tán sử dụng công nghệ sdn

.PDF
139
422
62

Mô tả:

BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI ĐẶNG VĂN TUYÊN NGHIÊN CỨU GIẢI PHÁP PHÁT HIỆN VÀ GIẢM THIỂU TẤN CÔNG TỪ CHỐI DỊCH VỤ PHÂN TÁN SỬ DỤNG CÔNG NGHỆ SDN LUẬN ÁN TIẾN SĨ KỸ THUẬT VIỄN THÔNG Hà Nội – 2019 BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI ĐẶNG VĂN TUYÊN NGHIÊN CỨU GIẢI PHÁP PHÁT HIỆN VÀ GIẢM THIỂU TẤN CÔNG TỪ CHỐI DỊCH VỤ PHÂN TÁN SỬ DỤNG CÔNG NGHỆ SDN Ngành: Kỹ thuật Viễn thông Mã số: 9520208 LUẬN ÁN TIẾN SĨ KỸ THUẬT VIỄN THÔNG NGƯỜI HƯỚNG DẪN KHOA HỌC: PGS.TS. TRƯƠNG THU HƯƠNG PGS.TS. NGUYỄN TÀI HƯNG Hà Nội – 2019 i LỜI CAM ĐOAN Tôi xin cam đoan rằng các kết quả khoa học được trình bày trong luận án này là thành quả nghiên cứu của bản thân tôi trong suốt thời gian làm nghiên cứu sinh và chưa từng xuất hiện trong công bố của các tác giả khác. Các kết quả đạt được là chính xác và trung thực. Hà Nội, ngày 15 tháng 5 năm 2019 Tác giả luận án Đặng Văn Tuyên Giáo viên hướng dẫn khoa học PGS.TS. Trương Thu Hương PGS.TS. Nguyễn Tài Hưng ii LỜI CẢM ƠN Nghiên cứu sinh (NCS) xin gửi lời trân trọng cảm ơn đến Tập thể hướng dẫn khoa học: PGS. TS. Trương Thu Hương và PGS. TS. Nguyễn Tài Hưng cùng các thầy cô giáo Bộ môn Kỹ thuật Thông tin, Viện Điện tử - Viễn thông, Trường Đại học Bách khoa Hà Nội đã tận tình hướng dẫn, tạo điều kiện cho NCS học tập, nghiên cứu và hoàn thành Luận án này. NCS cũng xin trân trọng cảm ơn Phòng Đào tạo, Trường Đại học Bách khoa Hà Nội đã tạo điều kiện giúp đỡ về mặt thủ tục; Trường Đại học Kỹ thuật – Hậu cần CAND, gia đình và đồng nghiệp tạo điều kiện về mặt thời gian cho NCS được nghiên cứu và hoàn thành Luận án. Trong quá trình thực hiện đề tài nghiên cứu, tuy bản thân đã có nhiều cố gắng nhưng do giới hạn về trình độ hiểu biết, kinh nghiệm thực tế, kinh nghiệm nghiên cứu khoa học nên Luận án không tránh khỏi những thiếu sót. NCS kính mong nhận được sự đóng góp ý kiến của các nhà khoa học, cán bộ nghiên cứu, của các thầy, cô giáo, bạn bè và đồng nghiệp để NCS hoàn thiện hơn cả về lý luận khoa học lẫn thực tiễn. Xin trân trọng cảm ơn. Hà Nội ngày 15 tháng 05 năm 2019 NGHIÊN CỨU SINH Đặng Văn Tuyên iii MỤC LỤC LỜI CAM ĐOAN ........................................................................................................................ i LỜI CẢM ƠN............................................................................................................................. ii MỤC LỤC ................................................................................................................................. iii DANH MỤC CÁC CHỮ VIẾT TẮT ....................................................................................... vii DANH MỤC HÌNH VẼ ............................................................................................................. x DANH MỤC CÁC BẢNG BIỂU............................................................................................ xiii MỞ ĐẦU ................................................................................................................................. xiv CHƯƠNG 1: TẤN CÔNG DDOS VÀ CÁC GIẢI PHÁP PHÒNG CHỐNG TRONG MẠNG SDN/OPENFLOW ..................................................................................................................... 1 1.1. Giới thiệu chương ..................................................................................................................... 1 1.2. Tổng quan về tấn công DDoS ................................................................................................... 1 1.2.1. Khái niệm .......................................................................................................................... 1 1.2.2. Phân loại tấn công DDoS................................................................................................... 2 1.2.3. Các giải pháp phòng chống DDoS dựa trên công nghệ mạng truyền thống ...................... 5 1.2.4. Yêu cầu và thách thức đối với giải pháp phát hiện và ngăn chặn, giảm thiểu tấn công DDoS ........................................................................................................................................... 7 1.3. Kỹ thuật mạng cấu hình bởi phần mềm SDN ......................................................................... 10 1.4. Giao thức OpenFlow ............................................................................................................... 12 1.4.1. Cấu trúc và phạm vi chuẩn hóa của Openflow ................................................................ 13 1.4.2. Nhận dạng và quản lý lưu lượng trên bộ chuyển mạch Openflow .................................. 14 1.4.3. Các bản tin trao đổi giữa bộ điều khiển và bộ chuyển mạch Openflow .......................... 14 1.4.4. Quy trình xử lý gói tin trong Openflow ........................................................................... 16 1.4.5. Quản lý các mục luồng trong bộ chuyển mạch Openflow............................................... 17 iv 1.5. Các giải pháp phòng chống DDoS dựa trên kiến trúc và kỹ thuật SDN/Openflow ................ 18 1.5.1. Kiến trúc và nguyên lý hoạt động chung ......................................................................... 18 1.5.2. Các kỹ thuật phát hiện tấn công....................................................................................... 20 1.5.3. Các kỹ thuật ngăn chặn, giảm thiểu tấn công .................................................................. 22 1.6. Tấn công DDoS tới các thành phần trong kiến trúc mạng SDN/Openflow và các giải pháp phòng chống ................................................................................................................................... 23 1.6.1. Tấn công DDoS tới các thành phần trong kiến trúc mạng SDN/Openflow .................... 23 1.6.2. Kỹ thuật phát hiện và giảm thiểu tấn công ...................................................................... 25 1.7. Kết luận chương ...................................................................................................................... 27 CHƯƠNG 2: ĐỀ XUẤT GIẢI PHÁP PHÒNG CHỐNG TẤN CÔNG DDOS DỰA TRÊN DỮ LIỆU THỐNG KÊ VÀ CƠ CHẾ XỬ LÝ GÓI TIN CỦA KỸ THUẬT SDN/OPENFLOW ........ 29 2.1. Giới thiệu chương ................................................................................................................... 29 2.2. Giải pháp phát hiện và giảm thiểu tấn công DDoS dựa trên mô hình dự đoán làm trơn hàm mũ tham số thống kê lưu lượng ...................................................................................................... 29 2.2.1. Đặt vấn đề ........................................................................................................................ 29 2.2.2. Kiến trúc hệ thống và các trạng thái hoạt động ............................................................... 30 2.2.3. Lựa chọn tham số và chỉ số thống kê lưu lượng .............................................................. 32 2.2.4. Lựa chọn và xây dựng mô hình dự đoán chỉ số thống kê lưu lượng ............................... 33 2.2.5. Phát hiện và giảm thiểu tấn công ..................................................................................... 35 2.2.6. Phân tích và đánh giá hiệu năng của giải pháp ................................................................ 37 2.3. Giải pháp giảm thiểu tấn công SYN Flood dựa trên cơ chế ủy nhiệm gói tin SYN tại bộ điều khiển ............................................................................................................................................... 41 2.3.1. Đặt vấn đề ........................................................................................................................ 41 2.3.2. Kiến trúc hệ thống đề xuất ............................................................................................... 42 2.3.3. Lựa chọn mô hình ủy nhiệm gói tin SYN........................................................................ 43 2.3.4. Hoạt động của hệ thống SSP ........................................................................................... 44 2.3.5. Phân tích và đánh giá hiệu năng của giải pháp ................................................................ 51 v 2.4. Giải pháp đánh dấu gói tin PLA DFM phục vụ truy vết nguồn tấn công ............................... 58 2.4.1. Đặt vấn đề ........................................................................................................................ 58 2.4.2. Khái niệm về đánh dấu gói tin và các kỹ thuật cơ bản .................................................... 59 2.4.3. Đề xuất cấu trúc và hoạt động của PLA DFM trên kiến trúc mạng SDN/Openflow ...... 61 2.4.4. So sánh và đánh giá hiệu năng của giải pháp .................................................................. 66 2.5. Kết luận chương ...................................................................................................................... 70 CHƯƠNG 3 ĐỀ XUẤT GIẢI PHÁP PHÒNG CHỐNG TẤN CÔNG DDOS DỰA TRÊN KỸ THUẬT SDN/OPENFLOW SỬ DỤNG THÊM BỘ PHÂN TÍCH VÀ XỬ LÝ LƯU LƯỢNG . 72 3.1. Giới thiệu chương ................................................................................................................... 72 3.2. Những hạn chế của kiến trúc và kỹ thuật SDN/Openflow trong phòng chống tấn công DDoS ................................................................................................................................................. 72 3.3. Đề xuất kiến trúc mạng SDN/Openflow mở rộng trên cơ sở bổ sung bộ phân tích và xử lý lưu lượng SD ........................................................................................................................................ 73 3.3.1. Kiến trúc tổng quát .......................................................................................................... 74 3.3.2. Điều khiển chuyển tiếp lưu lượng tới SD và xử lý lưu lượng tại SD .............................. 75 3.4. Giải pháp phân loại và giảm thiểu tấn công DDoS dựa trên kiến trúc SDN/Openflow mở rộng và thuật toán logic mờ .................................................................................................................... 76 3.4.1. Đặt vấn đề ........................................................................................................................ 76 3.4.2. Phân tích đặc tính lưu lượng tấn công DDoS để chọn tham số phân loại lưu lượng ....... 76 3.4.3. Cấu trúc hệ thống ............................................................................................................. 79 3.4.4. Xác định trạng thái của máy chủ ..................................................................................... 79 vi 3.4.5. Chuyển tiếp gói tin giữa các thực thể trong hệ thống ...................................................... 81 3.4.6. Phân loại lưu lượng và giảm thiểu tấn công DDoS dựa trên thuật toán suy luận logic mờ FDDoM...................................................................................................................................... 83 3.4.7. Đánh giá hiệu năng của giải pháp .................................................................................... 87 3.5. Phát hiện và giảm thiểu tấn công SYN Flood tới mạng SDN/Openflow sử dụng cơ chế ủy nhiệm gói tin SYN tại bộ phân tích và xử lý lưu lượng ................................................................. 91 3.5.1. Đặt vấn đề ........................................................................................................................ 91 3.5.2. Cấu trúc hệ thống ............................................................................................................. 92 3.5.3. Hoạt động của hệ thống ................................................................................................... 92 3.5.4. Phân tích và đánh giá hiệu năng ...................................................................................... 98 3.6. Kết luận chương .................................................................................................................... 104 KẾT LUẬN .................................................................................................................................. 106 DANH MỤC CÁC CÔNG TRÌNH ĐÃ CÔNG BỐ CỦA LUẬN ÁN ........................................ 108 TÀI LIỆU THAM KHẢO ............................................................................................................ 109 vii DANH MỤC CÁC CHỮ VIẾT TẮT Ký hiệu ACK Tiếng Anh ACKnowledgment Tiếng Việt Gói tin xác nhận kết nối ACK_Num Acknowledgement Number Số hiệu xác nhận API Application Programming Interface Giao diện chương trình ứng dụng ART Average Retrieve Time Thời gian kết nối trung bình AS Autonomous System Hệ tự trị ATM Asynchronous Transfer Mode Truyền dữ liệu cận đồng bộ CDF Cumulative Distribution Function Hàm phân phối tích lũy CliACK Client ACK Gói tin xác nhận kết nối từ client CM Connection Migration Di trú kết nối CUSUM CUmulative SUM Tổng tích lũy DC Data Center Trung tâm dữ liệu DDoS Distributed Denial of Service Tấn công từ chối dịch vụ phân tán DFM Deterministic Flow Marking Kỹ thuật đánh dấu gói tin theo luồng DoS Denial of Service Tấn công từ chối dịch vụ DNS Domain Name System Hệ thống tên miền DPpF Deviation PpF PpF chuẩn hóa DPM Deterministic Packet Marking Kỹ thuật đánh dấu xác định DPPM Dynamic Probabilistic Packet Marking Kỹ thuật đánh dấu gói tin theo xác suất động DR Detection Rate Độ nhạy DSCP Dynamic probabilistic packet marking Kỹ thuật đánh dấu gói tin theo xác suất động DSPA Deviation SPA SPA chuẩn hóa FDDoM Fuzzy Logic-based DDoS Mitigation Phát hiện và giảm thiểu tấn công DDoS dựa trên thuật toán logic mờ FIS Fuzzy Inference System Hệ suy luận mờ FTP File Transfer Protocol Giao thức truyền tệp tin FPR False Positive Rate Tỷ lệ báo động nhầm FMT Flow Monitoring Table Bảng giám sát luồng HOC Half Open Connection Kết nối dang dở 3HS Three ways Handshake Bắt tay ba bước HTTP HyperText Transfer Protocol Giao thức truyền tải siêu văn bản IAT Inter Arrival Time Khoảng thời gian liên gói tin viii ICMP Internet Control Message Protocol Giao thức thông báo điều khiển Internet IDS Intrusion Detection System Hệ thống phát hiện xâm nhập IoTs Internet of Things Mạng kết nối vạn vật IP Internet Protocol Giao thức liên mạng IPS Intrusion Prevention System Hệ thống chống xâm nhập ISP Internet Service Provider Nhà cung cấp dịch vụ Internet IRC Internet Relay Chat Dịch vụ chat Internet MA Moving Average Trung bình động MPR Marked Packet Rate Tỷ lệ gói tin bị đánh dấu MSR Marked Size Rate Tỷ lệ dung lượng gói tin bị đánh dấu MT Mark Threshold Giá trị ngưỡng đánh dấu MTU Maxium Transmission Unit Ngưỡng kích thước đơn vị truyền NFV Network Functions Virtualization Ảo hóa chức năng mạng NTP Network Time Protocol Giao thức đồng bộ thời gian mạng OFS OpenFlow Switch Bộ chuyển mạch Openflow ONF Open Networking Foudation Tổ chức chuẩn hóa mạng mở PN Packet Number Số gói tin PLA DFM Packet Length Adaptive Deterministic Flow Marking Đánh dấu gói tin xác định theo luồng có sự tương thích chiều dài gói PpF Packet number per Flow Số gói tin trong một luồng PPM Probabilistic Packet Marking Đánh dấu gói tin theo xác suất pps packet per second Gói tin/ giây QoS Quality of Service Chất lượng dịch vụ REST API Representational State Transfer API Giao diện trao đổi dựa vào biến trạng thái RST ReSeT Gói tin hủy kết nối SAN Source Address Number Số địa chỉ IP nguồn SCR Successful Connection Rate Tỷ lệ kết nối thành công SD Security Device Thiết bị bảo mật SDH Synchronous Digital Hierarchy Hệ thống phân cấp đồng bộ SDN Software Defined Networking Kỹ thuật mạng cấu hình bởi phần mềm SEQ_Num Sequence Number Số hiệu tuần tự SFD SYN Flood Detection Phát hiện tấn công SYN Flood SMR Successful Mark Rate Tỷ lệ đánh dấu thành công SOM Self Organinzing Map Bản đồ tự tổ chức SOHO Small Office/Home Office Văn phòng, cơ quan nhỏ ix SONET Synchronous Optical NETwork Mạng quang đồng bộ SP Security Proxy Ủy nhiệm an ninh SPA Source-port number Per Address Số cổng nguồn trên một địa chỉ nguồn SPM SYN Proxy Module Mô đun ủy nhiệm gói tin SYN SPN Source Port Number Số cổng nguồn được mở SS Security Server Máy chủ bảo mật SSDP Simple Service Discovery Protocol Giao thức phát hiện dịch vụ đơn giản SSG SDN-based SYN Flood Guard Chống tấn công SYN Flood dựa vào công nghệ SDN SSP SDN based SYN Proxy Ủy nhiệm gói tin SYN dựa vào công nghệ SDN SSL Secure Sockets Layer Tiêu chuẩn bảo mật an toàn lớp ứng dụng SVM Support Vector Machine Máy vec-tơ hỗ trợ SYN SYNchronize Gói tin yêu cầu kết nối SYN-ACK SYNchronize ACKnowledgement Gói tin trả lời yêu cầu kết nối TCB Transmission Control Block Khối điều khiển truyền TCP Transmission Control Protocol Giao thức điều khiển truyền TOS Type Of Service Kiểu dịch vụ TLS Transport Layer Security Bảo mật tầng truyền tải TTL Time To Live Thời gian tồn tại TRW Threshold Random Walk Thăm dò ngưỡng TRW-CB TRW-Credit Based Thăm dò ngưỡng theo độ tin cậy UDP User Datagram Protocol Giao thức truyền gói dữ liệu người dùng VLAN Virtual Local Area Network Mạng LAN ảo VPN Virtual Private Network Mạng riêng ảo WMA Weighted Moving Average Mô hình trung bình động có trọng số x DANH MỤC HÌNH VẼ Hình 1.1. Lưu lượng tấn công DDoS được huy động từ nhiều nguồn trên Internet ................... 2 Hình 1.2. Phân loại các kỹ thuật tấn công DDoS ....................................................................... 3 Hình 1.3. Quá trình bắt tay ba bước trong kết nối TCP (a) và cơ chế tấn công TCP SYN Flood (b) ............................................................................................................................................... 4 Hình 1.4. Kiến trúc mạng cấu hình bởi phần mềm SDN.......................................................... 11 Hình 1.5. Cấu trúc và phạm vi chuẩn hóa của giao thức Openflow ......................................... 13 Hình 1.6. Cấu trúc của một mục luồng ..................................................................................... 15 Hình 1.7. Quá trình xử lý gói tin tại bộ chuyển mạch theo cơ chế đường ống ........................ 16 Hình 1.8. Yêu cầu xử lý gói tin khi không khớp với một mục luồng có sẵn trên bộ chuyển mạch .................................................................................................................................................. 17 Hình 1.9. Cấu trúc chung hệ thống giải pháp phòng chống tấn công DDoS dựa trên kỹ thuật SDN/Openflow ......................................................................................................................... 19 Hình 1.10. Các phương pháp tấn công tới lớp Hạ tầng mạng .................................................. 24 Hình 1.11. Các phương pháp tấn công tới Lớp điều khiển....................................................... 24 Hình 1.12. Các phương pháp tấn công tới Lớp Ứng dụng ....................................................... 24 Hình 1.13. Quá trình xử lý gói tin của một kết nối TCP trong cơ chế CM .............................. 26 Hình 2.1. Kiến trúc hệ thống đề xuất cho giải pháp dựa trên phương pháp thống kê sử dụng giải thuật dự đoán làm trơn hàm mũ......................................................................................... 30 Hình 2.2. Sơ đồ chuyển tiếp trạng thái của hệ thống cho một máy chủ/dịch vụ ...................... 31 Hình 2.3. Mô hình phát hiện và phân loại lưu lượng tấn công ................................................. 35 Hình 2.4. Giá trị chỉ số SPA (a) và DSPA (b) .......................................................................... 39 Hình 2.5. Giá trị chỉ số PpF và DPpF ....................................................................................... 39 Hình 2.6. Kiến trúc hệ thống giải pháp Ủy nhiệm gói tin SYN trên Bộ điều khiển SSP ......... 43 Hình 2.7. Nguyên lý hoạt động của hai loại SYN proxy .......................................................... 44 Hình 2.8. Quá trình xử lý yêu cầu kết nối của một gói tin SYN trong giải pháp SSP ............. 45 Hình 2.9. Lưu đồ quá trình capture và xử lý các gói tin bắt tay ba bước tại OFS .................... 46 Hình 2.10. Lưu đồ hoạt động của mô đun SPM tại bộ điều khiển ........................................... 48 Hình 2.11. Thống kê CDF khoảng thời gian giữa gói tin SYN và gói tin CliACK của lưu lượng mạng thực tế ............................................................................................................................. 50 Hình 2.12. Hiệu chỉnh thời gian chờ của các luồng ................................................................. 50 xi Hình 2.13. Sơ đồ chuyển tiếp chính sách xử lý gói tin SYN tại bộ chuyển mạch ................... 51 Hình 2.14. Mô hình testbed đánh giá hiệu năng giải pháp SSP ............................................... 52 Hình 2.15. Tỷ lệ kết nối thành công từ lưu lượng lành tính khi máy chủ chịu tấn công DDoS với cường độ tấn công khác nhau ............................................................................................ 53 Hình 2.16. Thời gian kết nối trung bình của lưu lượng lành tính khi máy chủ chịu tấn công với cường độ tấn công khác nhau ................................................................................................... 53 Hình 2.17. Số kết nối đang mở tại máy chủ với các cường độ tấn công khác nhau ................. 54 Hình 2.18. Giao diện màn hình đo sự chiếm dụng tài nguyên Bộ điều khiển ở tốc độ tấn công 700 pps...................................................................................................................................... 57 Hình 2.19. Tỷ lệ chiếm dụng CPU của bộ điều khiển tại các cường độ tấn công khác nhau... 57 Hình 2.20. Dung lượng bộ nhớ bị chiếm dụng của bộ điều khiển ở cường độ tấn công khác nhau .................................................................................................................................................. 57 Hình 2.21. Phân bố số lượng gói tin trên 1 luồng từ bộ dữ liệu CAIDA ................................. 61 Hình 2.22. Cấu trúc hệ thống giải pháp đánh dấu gói tin PLA DFM dựa trên kiến trúc SDN/Openflow ......................................................................................................................... 62 Hình 2.23. Phân bố chiều dài của gói tin thứ nhất từ bộ dữ liệu CAIDA ................................ 63 Hình 2.24. Đánh dấu gói tin PLA DFM ................................................................................... 63 Hình 2.25. Quá trình đánh dấu gói tin PLA DFM tại Bộ điều khiển mạng SDN/Openflow ... 66 Hình 2.26. So sánh tác động của PLA DFM tới tiêu đề gói tin đầu tiên của luồng ................. 67 Hình 2.27. SMR của PLA DFM và DFM khi MT=288 ........................................................... 68 Hình 2.28. MPR của PLA DFM và DFM khi MT=288 ........................................................... 68 Hình 2.29. MSR của PLA DFM và DFM khi MT=288 ........................................................... 69 Hình 3.1. Kiến trúc giải pháp bổ sung bộ phân tích và xử lý lưu lượng dựa trên cơ chế SDN/Openflow ......................................................................................................................... 74 Hình 3.2. Biểu đồ phân bố IAT của lưu lượng đến .................................................................. 77 Hình 3.3. Phân bố số lượng gói trong từng luồng .................................................................... 78 Hình 3.4. Kiến trúc hệ thống đề xuất cho giải pháp phân loại và giảm thiểu tấn công dựa trên thuật toán suy luận logic mờ FDDoM ...................................................................................... 80 Hình 3.5. Sơ đồ tuần tự của hệ thống khi máy chủ ở trạng thái "Không bị tấn công" ............. 82 Hình 3.6. Sơ đồ tuần tự của sự kiện Packet in khi máy chủ ở trạng thái "Nghi ngờ bị tấn công" ......................................................................................................................................... 83 Hình 3.7. Sơ đồ tuần tự của sự kiện “Kết thúc chu kỳ giám sát” khi máy chủ ở trạng thái "Nghi ngờ bị tấn công" ........................................................................................................................ 83 Hình 3.8. Sơ đồ tuần tự của sự kiện Packet in khi máy chủ ở trạng thái "Đang bị tấn công" .. 84 xii Hình 3.9. Mờ hoá IAT với hai hàm thành viên Low và High .................................................. 85 Hình 3.10. Mờ hoá PpF với hai hàm thành viên Low và High ................................................ 86 Hình 3.11. Giá trị đầu ra của chỉ thị Z của thuật toán FDDoM và độ nhạy lọc bỏ DR F .......... 88 Hình 3.12. Tỷ lệ lọc bỏ nhầm FPRF ......................................................................................... 88 Hình 3.13. So sánh số mục luồng tồn tại trên bộ chuyển mạch biên OFS ............................... 90 Hình 3.14. Cấu trúc chi tiết và tương tác giữa các module chức năng trong giải pháp SSG ... 93 Hình 3.15. Mô hình thuật toán phát hiện tấn công SYN Flood đề xuất sử dụng trong SSG .... 93 Hình 3.16. Quá trình capture và điều hướng các gói tin của một kết nối TCP lành tính thông qua các mục luồng trên OFS khi máy chủ nội bộ ở trạng thái “Không bị tấn công” ............... 95 Hình 3.17. Lưu đồ thuật toán quá trình xử lý gói tin SYN đến tại SD ..................................... 96 Hình 3.18. Lưu đồ thuật toán giám sát quá trình bắt tay ba bước tại SD ................................. 97 Hình 3.19. Sơ đồ tuần tự quá trình xác thực địa chỉ IP nguồn của gói tin SYN bằng RST cookie .................................................................................................................................................. 98 Hình 3.20. Cấu trúc testbed thử nghiệm và đánh giá giải pháp SSG ....................................... 98 Hình 3.21. So sánh tỷ lệ kết nối thành công và thời gian kết nối trung bình giữa Openflow, cơ chế CM và giải pháp SSG......................................................................................................... 99 Hình 3.22. Sự chiếm dụng tài nguyên bộ nhớ và tài nguyên CPU trên OFS và SD của các giải pháp thử nghiệm ..................................................................................................................... 101 Hình 3.23. Sự tương tác giữa các thực thể của SSG trong quá trình xử lý gói tin bắt tay ba bước của một kết nối lành tính ........................................................................................................ 102 Hình 3.24. Sự tương tác giữa các thực thể trong quá trình xử lý gói tin SYN giả mạo địa chỉ IP của cơ chế CM và giải pháp SSG ........................................................................................... 103 Hình 3.25. Mức độ gia tăng lưu lượng trên giao diện bộ chuyển mạch của giải pháp SSG so với cơ chế CM .............................................................................................................................. 103 xiii DANH MỤC CÁC BẢNG BIỂU Bảng 1.1. Quan hệ giữa kết quả phân loại của giải pháp và đặc tính thực của lưu lượng.......... 8 Bảng 1.2. So sánh các kỹ thuật phát hiện và giảm thiểu tấn công DDoS tới kiến trúc mạng SDN/Openflow theo chính sách và quy tắc xử lý gói tin ......................................................... 25 Bảng 2.1. Các tham số thống kê sử dụng để phát hiện và phân loại lưu lượng tấn công DDoS ........................................................................................................................................ 32 Bảng 2.2. Thuật toán phát hiện tấn công .................................................................................. 35 Bảng 2.3. Thuật toán phân loại lưu lượng tấn công ................................................................. 36 Bảng 2.4. Thuật toán Lọc bỏ lưu lượng tấn công ..................................................................... 37 Bảng 2.5. Độ nhạy và tỷ lệ báo động nhầm trong phân loại lưu lượng và giảm thiểu tấn công .......................................................................................................................................... 40 Bảng 2.6. Ví dụ về cấu trúc và sắp xếp các mục luồng trong bảng luồng của SSP ................. 47 Bảng 2.7. Cấu trúc bảng giám sát luồng FMT.......................................................................... 48 Bảng 2.8. Tham số và kết quả phân tích lưu lượng lành tính từ bộ dữ liệu CAIDA 2013 ....... 56 Bảng 2.9. Các trường và số lượng gói tin yêu cầu trong mỗi luồng để đánh dấu trong DFM . 60 Bảng 2.10. Một số giá trị MTU của các loại đường truyền phổ biến và giá trị MT tương ứng64 Bảng 2.11. Kỹ thuật PLA DFM với tuỳ biến giá trị Checksum ............................................... 65 Bảng 2.12. So sánh giữa các PLA DFM khác nhau với các giá trị K và MT........................... 69 Bảng 2.13. Tỷ lệ gia tăng lưu lượng trong PLA DFM ............................................................. 69 Bảng 3.1. Số lượng luồng, số lượng địa chỉ IP nguồn và tổng lưu lượng gửi tới máy chủ của hai bộ dữ liệu CAIDA và Netnam .................................................................................................. 78 Bảng 3.2. Thuật toán xác định trạng thái của máy chủ ............................................................ 80 Bảng 3.3. Các loại các mục luồng dùng để điều hướng lưu chuyển gói tin trong hệ thống ..... 81 Bảng 3.4. So sánh hiệu năng giải pháp FDDoM với giải pháp và mô hình mạng tương đồng 89 Bảng 3.5. Tổ chức các bảng luồng trên bộ chuyển mạch OFS của SSG .................................. 94 Bảng 3.6. Đặc tính các mục luồng trong các bảng luồng FT1 và FT3 thực hiện giám sát quá trình bắt tay ba bước ................................................................................................................. 94 Bảng 3.7. Cấu trúc một mục tin trong danh sách HOCs .......................................................... 97 Bảng 3.8. Đặc tính thống kê của bộ lưu lượng lành tính phân tích từ bộ lưu lượng CAIDA 103 xiv MỞ ĐẦU 1. Tấn công từ chối dịch vụ phân tán và công nghệ SDN 1.1. Tấn công từ chối dịch vụ phân tán - Trong những năm gần đây, sự phát triển mạnh mẽ của công nghệ thông tin và truyền thông đã cho ra đời hàng loạt các dịch vụ mạng phục vụ hầu khắp các lĩnh vực hoạt động xã hội của con người. Các giao dịch, xử lý và trao đổi thông tin, lưu trữ dữ liệu dần chuyển sang thực hiện trực tuyến trên mạng Internet. Bên cạnh đó, sự phát triển mạnh mẽ của công nghệ kết nối vạn vật (IoTs) làm cho số lượng và nhu cầu lưu lượng kết nối Internet tăng lên nhanh chóng. Vấn đề đảm bảo an toàn, tin cậy cho tổ chức và khai thác các dịch vụ được đặt lên hàng đầu. Với cơ chế hình thành dựa trên sự ghép nối của các hệ tự trị (Autonomous System) thiếu sự kiểm soát chung, Internet xuất hiện và ẩn chứa nhiều nguy cơ tấn công gây mất an ninh mạng trong đó có hình thức tấn công từ chối dịch vụ (DoS) [1], tấn công từ chối dịch vụ phân tán (sau đây gọi tắt là tấn công DDoS) [2]–[4]. Mặc dù không gây lỗi dữ liệu, tấn công DoS/DDoS có ảnh hưởng nghiêm trọng đến tính tin cậy, sẵn sàng trong tổ chức và khai thác các dịch vụ trên Internet. Với kỹ thuật tấn công đơn giản, công cụ dễ tìm, khả năng phát tán mã độc để huy động nguồn lực tấn công dễ dàng, khó phát hiện và ngăn chặn, tấn công DDoS ngày càng trở nên nguy hiểm, được lợi dụng và phát động tấn công với quy mô ngày càng cao. Các báo cáo của các công ty an ninh mạng cho thấy, diễn biến và quy mô các đợt tấn công ngày càng phức tạp [5]–[7]. Theo báo cáo của Abor [8], ngày 27/2/2018 trang web lưu trữ mã nguồn GitHub ghi nhận một đợt tấn công DDoS với tốc độ lên tới 1,35 Tbps. Qua đó cho thấy, tấn công DDoS vẫn sẽ là nguy cơ an ninh lớn đối với tổ chức và đảm bảo chất lượng dịch vụ Internet trong tương lai. - Sự dịch chuyển và gia tăng nhu cầu làm việc, kinh doanh độc lập và giải trí cá nhân, cùng với sự hỗ trợ mạnh mẽ của các công nghệ truyền dẫn tiên tiến, sự phát triển các dịch vụ nhà thông minh, IoTs,… mạng quy mô nhỏ (SOHO network) ngày càng phát triển và đang là xu thế, chiếm tỷ lệ ngày càng tăng trong kết cấu internet [9]–[11]. An ninh mạng nói chung và tấn công DDoS nói riêng là một trong những vấn đề lớn đối với các mạng quy mô nhỏ này do tính đa dạng, thiếu kiểm soát của các thiết bị, dịch vụ mạng, và sự chú trọng, quan tâm, tính chuyên nghiệp trong thiết kế, quản lý và vận hành mạng [12]–[14]. - Dựa trên công nghệ mạng truyền thống, nhiều giải pháp kỹ thuật nhằm phát hiện, phân loại và ngăn chặn lưu lượng tấn công DDoS đã được đề xuất và triển khai [15]–[18]. Cơ chế chung của các giải pháp này là sử dụng các bộ đo, điểm dò (probe), các bộ lấy mẫu và phân tích lưu lượng trên hệ thống mạng để cung cấp thông tin thuộc tính của lưu lượng mạng trên toàn hệ thống. Thông tin lưu lượng được chuyển đến và xử lý phân tích nhờ các thuật toán phát hiện bất thường hoặc dựa trên dấu hiệu tấn công để xác định có tấn công xảy ra hay không. Khi có tấn công hệ thống sử dụng các thiết bị an ninh chuyên dụng như tường lửa, IPS để ngăn chặn, xóa bỏ lưu lượng tấn công. Một trong những vấn đề tồn tại lớn nhất của công nghệ mạng xv truyền thống đó là các thiết bị mạng vốn được phát triển các kỹ thuật xử lý gói tin theo chuẩn riêng bởi các nhà sản xuất khác nhau nên việc cấu hình tự động, thiết lập các tham số để phòng chống DDoS là rất khó khăn. Các thao tác xử lý khi tấn công xảy ra chủ yếu thực hiện bằng tay, xóa bỏ, hạn chế lưu lượng bằng các thiết lập ngưỡng giới hạn dẫn tới xóa bỏ nhầm lưu lượng lành tính. - Tấn công DDoS với kỹ thuật huy động nguồn tấn công rất lớn bằng các xác sống (zombies) và kỹ thuật giả mạo địa chỉ IP nguồn nên có thể tạo ra lưu lượng tấn công tăng đột biến trong khoảng thời gian ngắn, vượt quá khả năng chịu đựng của dịch vụ, máy chủ và hệ thống mạng đích. Do cơ chế điều khiển cứng, đóng kín, các thiết bị mạng trong công nghệ mạng truyền thống không thể tham gia ngăn chặn lưu lượng tấn công DDoS một cách tự động, làm cho các giải pháp phòng chống trong mạng có hiệu quả thấp, không có khả năng phân loại và xóa bỏ chính xác theo sự biến động của lưu lượng mạng. Các giải pháp phòng chống mới chỉ tập trung phát hiện tấn công, do cơ chế đóng của các thiết bị mạng truyền thống nên chưa có nhiều giải pháp giảm thiểu tấn công trực tuyến. - Tấn công DDoS là tấn công vào năng lực phục vụ của hệ thống mạng. Chính vì vậy với mỗi cấu trúc, quy mô, đặc điểm dịch vụ và phương pháp tổ chức dịch vụ mạng khác nhau thì đặc điểm phản ứng lại với lưu lượng tấn công, khả năng chịu đựng tấn công của các hệ thống mạng là khác nhau. Không có một giải pháp phòng chống tấn công, tham số hệ thống nào áp dụng chung cho tất cả các loại mạng, các quy mô mạng, các dịch vụ mạng khác nhau. Với mỗi hệ thống mạng cụ thể, người quản trị cần lựa chọn, tích hợp các giải pháp khác nhau, thiết lập tham số phù hợp với những đặc điểm riêng để có hiệu quả phòng chống tối ưu. 1.2. Công nghệ SDN và kỹ thuật SDN/Openflow - Với nhu cầu phát triển mạnh mẽ các dịch vụ mạng Internet, công nghệ điện toán đám mây, tính di động, và nhu cầu thay đổi linh động, mềm dẻo tài nguyên trên hệ thống mạng, công nghệ mạng điều khiển bởi phần mềm (gọi tắt là công nghệ SDN) ra đời trên cơ sở tách rời mặt phẳng điều khiển ra khỏi mặt phẳng dữ liệu, cho phép quản trị, điều khiển, thiết lập các chính sách mạng một cách tập trung trong khi trừu tượng hóa các tài nguyên mạng [19]. Trong đó Openflow [20] là một trong những giao thức SDN đầu tiên được tập trung nghiên cứu, phát triển. Kỹ thuật mạng SDN dựa trên giao thức Openflow (gọi tắt là kỹ thuật SDN/Openflow) đã nhanh chóng thu hút nghiên cứu và bước đầu được ứng dụng trong các sản phẩm phần cứng, phần mềm thương mại và mã nguồn mở. - Điểm khác biệt quan trọng của kỹ thuật SDN/Openflow so với kỹ thuật mạng truyền thống ở chỗ: (1) các thiết bị mạng quản lý và xử lý lưu lượng theo luồng (flow), (2) khả năng cung cấp dữ liệu thống kê về lưu lượng nhờ các bộ đếm thống kê luồng có trong các bộ chuyển mạch, và (3) khả năng điều khiển xử lý lưu lượng bằng phần mềm được lập trình, tùy biến bởi bộ điều khiển điều hành mạng. Sự khác biệt này cho phép xây dựng các giải pháp quản trị, điều hành mạng quy định và cấu hình chức năng của các thiết bị mạng vật lý, xử lý lưu lượng, v.v… bằng phần mềm. Bên cạnh các giải pháp đề xuất về ứng dụng quản trị, tổ chức dịch vụ, nâng xvi cao hiệu năng hệ thống mạng, SDN/Openflow cũng được nghiên cứu và đề xuất ứng dụng trong nhiều giải pháp an ninh mạng trong đó có các giải pháp phòng chống tấn công DDoS [21]–[26]. 2. Những vấn đề còn tồn tại 1. Công nghệ SDN và kỹ thuật SDN/Openflow được đánh giá và kỳ vọng là công nghệ mạng thay thế cho công nghệ, kỹ thuật mạng truyền thống. Khác với kỹ thuật mạng truyền thống, kỹ thuật SDN/Openflow có khả năng cung cấp dữ liệu thống kê về lưu lượng và có thể lập trình xử lý lưu lượng theo sự biến thiên của đặc tính ấy. Đặc điểm này phù hợp với quy trình phát hiện và giảm thiểu tấn công DDoS. Đã có một số công trình nghiên cứu, đề xuất các giải pháp phát hiện và giảm thiểu tấn công DDoS dựa trên dữ liệu thống kê và cơ chế xử lý gói tin của kỹ thuật SDN/Openflow. Tuy nhiên, trong các giải pháp đề xuất: + Một số giải pháp mới chỉ đưa ra thuật toán phát hiện tấn công, chưa có cơ chế phân loại và giảm thiểu lưu lượng tấn công [22]. + Hầu hết mới dừng lại ở ý tưởng giải pháp, thử nghiệm với quy mô thử chức năng, chưa triển khai trên hệ thống thử nghiệm hoặc đo phân tích với lưu lượng thật (như) [22], [27]–[29]. + Một số giải pháp tích hợp các chức năng xử lý gói tin tại bộ chuyển mạch làm mất bản chất SDN [28], [29], hoặc cơ chế xử lý gói tin trong SDN/Openflow chưa được ứng dụng [21], [25], [26] làm chậm thời gian đáp ứng và hiệu năng hệ thống. Vậy khi kỹ thuật SDN/Openflow được áp dụng rộng rãi trong hệ thống mạng, làm thế nào để khắc phục các vấn đề trên, nâng cao hiệu năng của các giải pháp phòng chống tấn công DDoS sử dụng trực tiếp dữ liệu thống kê về lưu lượng và cơ chế xử lý gói tin của kỹ thuật SDN/Openflow để có thể áp dụng cho các mạng quy mô nhỏ như các mạng gia đình đang thiếu cơ chế đảm bảo an toàn như hiện nay mà không cần bổ sung các thiết bị an ninh chuyên dụng? 2. Các trường thông tin thống kê được quy định trong giao thức Openflow là hạn chế nên dữ liệu thống kê về lưu lượng theo kỹ thuật SDN/Openflow cũng sẽ bị giới hạn [20]. Bên cạnh đó, theo triết lý SDN, giao diện Openflow vốn được sử dụng cho trao đổi thông tin điều khiển, có mã hóa. Các giải pháp phòng chống tấn công DDoS thực hiện truy vấn dữ liệu thống kê từ lớp điều khiển tới lớp hạ tầng mạng thông qua giao thức Openflow làm cho lưu lượng trên giao diện này tăng lên, nhất là khi tấn công DDoS xảy ra [30]. Điều này làm cho các giải pháp phòng chống tấn công DDoS sử dụng thuần túy dữ liệu thống kê và cơ chế xử lý gói tin của SDN/Openflow chỉ có thể áp dụng trong mạng quy mô lưu lượng nhỏ như mạng gia đình. Khắc phục vấn đề này, một số giải pháp phòng chống tấn công cho mạng doanh nghiệp có quy mô băng thông cao hơn đề xuất sử dụng các bộ phân tích lưu lượng truyền thống như Snort [25], sFlow [21], [26] thay vì sử dụng dữ liệu thống kê của SDN/Openflow. Nhược điểm cơ bản của các giải pháp này bao gồm: + Các bộ phân tích lưu lượng chỉ thuần túy cung cấp thông tin đặc tính lưu lượng. Bộ phân tích lưu lượng hoạt động độc lập, không có sự điều khiển theo trạng thái của hệ thống mạng, chưa tận dụng được cơ chế điều khiển và xử lý gói tin trong SDN. xvii + Việc xóa bỏ lưu lượng, giảm thiểu tấn công vẫn được thực hiện qua giao thức Openflow làm chậm thời gian đáp ứng của hệ thống, sử dụng nhiều tài nguyên (các mục luồng) trên các bộ chuyển mạch. Trong bối cảnh như vậy, bằng cơ chế và kỹ thuật SDN/Openflow làm thế nào để điều khiển hoạt động của các bộ phân tích lưu lượng, sử dụng thông tin cung cấp bởi các bộ phân tích lưu lượng để nâng cao hiệu năng phát hiện và giảm thiểu tấn công của các giải pháp? 3. Mục tiêu, đối tượng và phạm vi nghiên cứu a). Mục tiêu nghiên cứu: Nghiên cứu đề xuất được các giải pháp phòng chống tấn công DDoS dựa trên kỹ thuật SDN/Openflow áp dụng cho mạng SDN quy mô nhỏ trong các bối cảnh khác nhau. b). Nội dung nghiên cứu: Để giải quyết các vấn đề tồn tại, với mục tiêu nghiên cứu như trên, nội dung nghiên cứu của Luận án bao gồm: • Nghiên cứu sự khác biệt đặc tính lưu lượng tấn công DDoS so với lưu lượng lành tính để lựa chọn các tham số, đề xuất thuật toán phù hợp với bối cảnh SDN/Openflow nhằm nâng cao hiệu năng phát hiện và phân loại tấn công DDoS. • Dựa trên cơ chế xử lý gói tin của kỹ thuật SDN/Openflow, đề xuất cơ chế trao đổi dữ liệu, tương tác giữa các thực thể trong mạng SDN/Openflow để áp dụng mô hình, thuật toán, phát triển thành giải pháp phòng chống tấn công DDoS trong hai bối cảnh: (1) thuần túy sử dụng dữ liệu thống kê của SDN/Openflow và (2) sử dụng dữ liệu thống kê SDN/Openfow kết hợp với bộ phân tích và xử lý lưu lượng. • Nghiên cứu những nguy cơ tấn công DDoS tới chính các thành phần của mạng SDN/Openflow và đề xuất giải pháp phát hiện, giảm thiểu tấn công. c). Đối tượng nghiên cứu: • Công nghệ SDN, kỹ thuật SDN/Openflow. • Các phương thức, kỹ thuật tấn công DDoS phổ biến trong kỹ thuật mạng truyền thống và mạng SDN/Openflow. • Các giải pháp phòng chống DDoS dựa trên kỹ thuật mạng truyền thống và kỹ thuật SDN/Openflow đã được đề xuất. • Các bộ dữ liệu lưu lượng lành tính và tấn công DDoS. c). Phương pháp và phạm vi nghiên cứu: - Phương pháp nghiên cứu của luận án bao gồm nghiên cứu lý thuyết; phân tích thống kê; xây dựng mô hình, giải pháp; lựa chọn và phát triển thuật toán; phân tích dữ liệu mô phỏng hoặc xây dựng hệ thống thử nghiệm, đo lường, đánh giá và so sánh. - Phạm vi nghiên cứu tập trung vào: • Đề xuất các giải pháp phòng chống DDoS bảo vệ các máy chủ trong hệ thống mạng quy mô nhỏ và vừa như văn phòng, cơ quan nhỏ (SOHO), • Áp dụng thuần túy kỹ thuật SDN/Openflow. xviii 4. Cấu trúc nội dung của luận án Cấu trúc của luận án gồm có 03 chương với các nội dung được tóm tắt như sau: Chương 1. Tấn công DDoS và các giải pháp phòng chống trong mạng SDN/Openflow: trình bày tổng quan về tấn công DDoS, phân loại tấn công, các kỹ thuật tấn công và các giải pháp phòng chống DDoS dựa trên công nghệ mạng truyền thống; các yêu cầu, thách thức trong phòng chống tấn công và các tham số đánh giá hiệu năng của một giải pháp phòng chống DDoS; vấn đề an ninh mạng, tấn công DDoS trong mạng SOHO. Nội dung của chương cũng đề cập đến nguyên lý, đặc điểm kỹ thuật mạng cấu hình bởi phần mềm SDN, giao thức Openflow; các giải pháp phòng chống DDoS dựa trên kiến trúc và kỹ thuật SDN/Openflow; tấn công DDoS tới mạng SDN/Openflow và các giải pháp phòng chống đã được đề xuất. Chương 2. Đề xuất giải pháp phòng chống tấn công DDoS dựa trên dữ liệu thống kê và cơ chế xử lý gói tin của kỹ thuật SDN/Openflow: Nội dung Chương 2 đề xuất các giải pháp phòng chống tấn công DDoS trong mạng SDN với quy mô băng thông nhỏ sử dụng thuần túy dữ liệu thống kê về đặc tính lưu lượng và cơ chế xử lý gói tin của kỹ thuật SDN/Openflow. Có thể triển khai các giải pháp này chỉ cần tạo các ứng dụng quản trị mạng tại lớp ứng dụng của SDN mà không cần bổ sung thêm thiết bị chuyên dụng. Các giải pháp cụ thể bao gồm: - Kỹ thuật phát hiện và giảm thiểu tấn công DDoS dựa trên mô hình dự đoán làm trơn hàm mũ các tham số thống kê về đặc tính lưu lượng, - Kỹ thuật phát hiện và ngăn chặn tấn công SYN Flood tới các máy chủ trong hệ thống mạng dựa trên cơ chế ủy nhiệm gói tin SYN tại bộ điều khiển, - Kỹ thuật đánh dấu gói tin dựa trên kỹ thuật SDN/Openflow phục vụ truy vết nguồn phát sinh lưu lượng tấn công. Chương 3. Đề xuất giải pháp phòng chống tấn công DDoS dựa trên kỹ thuật SDN/Openflow sử dụng thêm bộ phân tích và xử lý lưu lượng: Mặc dù SDN/Openflow có nhiều lợi thế cho xây dựng và triển khai các giải pháp phòng chống DDoS, kiến trúc này cũng chưa có khả năng cung cấp đầy đủ thông tin về đặc tính lưu lượng cho phát hiện, phân loại và giảm thiểu tấn công. Bên cạnh đó, việc truy vấn dữ liệu thống kê qua giao diện Openflow làm cho lưu lượng trên giao diện điều khiển này tăng lên, dễ trở nên tắc nghẽn và làm mất, suy giảm chức năng điều khiển, nhất là khi tấn công xảy ra. Điều này giới hạn quy mô băng thông của hệ thống mạng. Để khắc phục vấn đề này, nội dung Chương 3 đề xuất kiến trúc SDN mở rộng trong đó bổ sung bộ phân tích và xử lý lưu lượng được điều khiển hoạt động và tương tác với các thực thể khác theo cơ chế, kỹ thuật SDN/Openflow. Trên cơ sở ứng dụng kiến trúc SDN mở rộng, đề xuất 02 giải pháp phòng chống DDoS bao gồm: - Kỹ thuật phân loại và giảm thiểu tấn công DDoS dựa trên thuật toán logic mờ, - Kỹ thuật giảm thiểu tấn công SYN Flood vào bộ chuyển mạch và bộ điều khiển trong mạng SDN/Openflow sử dụng cơ chế ủy nhiệm gói tin SYN tại bộ phân tích và xử lý lưu lượng.
- Xem thêm -

Tài liệu liên quan