Áp dụng tri thức về phát hiện, phân loại tấn công từ chối dịch vụ để thiết kế hệ thống bảo vệ
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.34 MB, 72 trang )
1
ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
Hồ Trọng Đạt
ÁP DỤNG TRI THỨC VỀ PHÁT HIỆN, PHÂN LOẠI TẤN CÔNG TỪ CHỐI
DỊCH VỤ ĐỂ THIẾT KẾ HỆ THỐNG BẢO VỆ
Ngành: Công nghệ thông tin
Chuyên ngành: Công nghệ thông tin
LUẬN VĂN THẠC SỸ
Người hướng dẫn khoa học
PGS.TS Đỗ Trung Tuấn
Hà nội - 2007
3
Mục lục
Lời cảm ơn ..................................................................................................................2
Mục lục ........................................................................................................................3
Danh mục các từ viết tắt..............................................................................................6
Danh mục các bảng .....................................................................................................7
Danh mục các hình vẽ .................................................................................................8
Mở đầu ........................................................................................................................9
Chương 1
Tổng quan ...........................................................................................10
1.1
Hệ thống mạng Internet ..............................................................................10
1.2
Giao thức TCP/IP .......................................................................................12
1.2.1
Khái niệm về phân lớp ........................................................................12
1.2.2
Các lớp trong TCP/IP ..........................................................................16
1.2.3
Địa chỉ Internet ...................................................................................17
1.2.4
Giao thức IP ........................................................................................19
1.3
Khái niệm về tấn công DoS ........................................................................19
1.3.1
Nguyên nhân của các cuộc tấn công từ chối dịch vụ ..........................20
1.3.2
Cơ chế chung của tấn công từ chối dịch vụ ........................................23
1.3.3
Lý do tiến hành tấn công từ chối dịch vụ............................................23
1.4
Các nghiên cứu có liên quan ......................................................................24
1.5
Kết luận ......................................................................................................25
Chương 2
2.1
Nghiên cứu về tấn công Từ chối dịch vụ ............................................26
Phân loại các hình thức tấn cơng ................................................................26
2.1.1
Mức độ tự động ...................................................................................27
2.1.2
Lợi dụng lỗ hổng để tấn cơng. ............................................................32
2.1.3
Tính xác thực của địa chỉ nguồn .........................................................33
2.1.4
Cường độ tấn công ..............................................................................34
2.1.5
Khả năng xác định thông tin ...............................................................35
2.1.6
Độ ổn định của tập máy công cụ .........................................................37
4
2.1.7
Dạng mục tiêu .....................................................................................37
2.1.8
Tác động tới dịch vụ ...........................................................................39
2.2
Phân loại các các cơ chế bảo vệ DoS .........................................................40
2.2.1
Phân loại theo cơ chế hoạt động .........................................................42
2.2.2
Phân loại theo mức độ hợp tác ............................................................48
2.3
Kết luận ......................................................................................................50
Chương 3
3.1
Tri thức hỗ trợ phát hiện tấn cơng DoS nhờ mơ hình thống kê ..........51
Nghiên cứu về phát hiện, chống DDOS theo thống kê .............................51
3.1.1
Điểm thay đổi ......................................................................................51
3.1.2
Hệ thống EMERALD .........................................................................52
3.1.3
Cơ chế van điều tiết của Williamson ..................................................53
3.1.4
Cơ chế lưu vết IP theo lịch sử kết nối .................................................55
3.2
Sử dụng Entropy để xây dựng mơ hình theo dõi........................................57
3.2.1
Entropy của nguồn tin .........................................................................57
3.2.2
Xây dựng mơ hình Entropy của nguồn tin ..........................................59
3.2.3
Phát hiện thay đổi theo ngưỡng ..........................................................59
3.3
Phản ứng lại DDoS theo lịch sử IP và Van điều tiết ..................................60
3.3.1
Hạn chế theo địa chỉ IP đã biết ...........................................................60
3.3.2
Điều tiết truy cập theo địa chỉ IP. .......................................................61
Chương 4
Thiết kế mô hình hệ thống phát hiện và chống lại tấn cơng DDoS ....62
4.1
Mơ hình triển khai vật lý ............................................................................62
4.2
Các thành phần của hệ thống......................................................................63
4.2.1
Thiết kế phân lớp của hệ thống ...........................................................64
4.2.2
Thiết kế chi tiết các thành phần hệ thống ...........................................66
4.2.3
Danh sách lưu trữ IP ...........................................................................69
4.3
Đề xuất và khuyến nghị ..............................................................................70
Kết luận .....................................................................................................................71
Tài liệu tham khảo .....................................................................................................72
Phụ lục .......................................................................................................................73
6
Danh mục các từ viết tắt
Ý nghĩa
Từ viết tắt
DDoS
Distributed Denial Of Service
IMP
Interface Message Processor
NFSNET
National Science Foundation network
CIX
Commercial
Internet
Exchange
Association
HTML
HyperText Markup Language
ICMP
Internet Control Message Protocol
IGMP
Internet Group Management Protocol
TCP
Transmission Control Protocol
SMTP
Simple Mail Transfer Protocol
DNS
Domain Name Server
FTP
File Transfer Protocol
UDP
User Data Protocol
MULTOPS
MUlti Level Tree for Online Packer
Statistics
CAIDA
Cooperative Association for Internet
Data Analysis
EMERALD
Event Monitoring Enabling Responses
to Anomalous Live Disturbances
HEDDAD
History IP & Entropy-based Detection
and Defense Against DDoS
7
Danh mục các bảng
Bảng 1 Các lớp trong giao thức TCP/IP ...................................................................12
Bảng 2 Các giải địa chỉ IP .........................................................................................18
8
Danh mục các hình vẽ
Hình 1 Phiên truyền tin giữa hai node mạng.............................................................14
Hình 2 Kết nối giữa hai hệ thống mạng sử dụng Router ..........................................15
Hình 3 Mơ hình hoạt động TCP/IP ...........................................................................16
Hình 4 Các lớp địa chỉ IP ..........................................................................................18
Hình 5 Cấu trúc gói tin TCP .....................................................................................19
Hình 6 Tấn cơng DoS theo mơ hình phản xạ ............................................................22
Hình 7 Phát hiện nguồn tấn cơng theo kỹ thuật backscatter .....................................41
Hình 8 Thuật tốn xử lý cờ SYN ..............................................................................52
Hình 9 Kiến trúc hệ thống EMERALD ....................................................................53
Hình 10 Xử lý kết nối đến máy trạm.........................................................................54
Hình 11 Xử lý kết nối có trong hàng đợi ..................................................................55
Hình 12 Mơ hình triển khai của HEDDAD ..............................................................62
Hình 13 Trình tự xử lý của hệ thống HEDDAD .......................................................65
Hình 14 Sơ đồ thiết kế hệ thống nhận dạng và phản ứng ........................................66
Hình 15 Sơ đồ dữ liệu lưu trữ cây IP ........................................................................70
9
Mở đầu
Tấn cơng DDoS khơng cịn là khái niệm xa lạ tại Việt Nam. Kể từ năm 1997, khi
Internet lần đấu tiên được chính thức hoạt động trong nước, hệ thống mạng dịch vụ
tại Việt Nam đã có những bước phát triển nhanh chóng. Tới tháng 1 năm 2006, đã
có hơn một tỷ người sử dụng Internet [36], và tại Việt Nam là hơn 5 triệu người sử
dụng[35]. Các dịch vụ mạng, thương mại điện tử càng phát triển thì đi kèm với đó
là những hoạt động phá hoại, tấn công vào các trang web dịch vụ càng gia tăng. Các
cuộc tấn công chuyển dần từ tấn công tập trung từ một nguồn chuyển sang tấn công
phân tán từ nhiều nguồn. Trước tình hình đó, cần có những nghiên cứu chuyên sâu
về tấn công từ chối dịch vụ, cách thức phịng chống, phát hiện và chống lại.. Trong
khn khổ ln văn, khái niệm tấn công từ chối dịch vụ phân tán – DDoS cũng
đồng nghĩa với từ chối dịch vụ - DoS. Luận văn tập trung vào việc nghiên cứu
những tiêu chí phân loại tấn cơng DoS. Các nghiên cứu này được kỳ vọng sẽ là
những tài liệu mang tính tổng kết về những loại hình tấn cơng DoS đã biết và sẽ
được phát hiện.
Bên cạnh đó, luận văn cũng đưa ra một số kỹ thuật có thể được sử dụng để xây
dựng những thiết bị phịng chống tấn cơng DoS. Các kỹ thuật này tập trung theo
hướng phát hiện sự bất thường trong hoạt động của mạng. Hệ thống mạng sẽ được
mơ hình hóa bằng những thơng số về entropy của thông tin. Những sự thay đổi bất
thường về entropy sẽ được theo dõi và ghi nhận. Khi có sự thay đổi giá trị, các sự
bất thường này sẽ được phát hiện dựa trên những phương pháp thống kê và so sánh
mơ hình. Sau khi phát hiện có những dấu hiệu tấn công, cơ chế bảo vệ sẽ được kích
hoạt, hạn chế kết nối theo địa chỉ IP để đảm bảo hoạt động phục vụ của hệ thống
được bảo vệ.
10
Chương 1
Tổng quan
Nghiên cứu về DoS dựa trên những những nghiên cứu về bản chất của giao thức
TCP/IP. Dựa trên họ giao thức TCP/IP, giao thức không xác thực người tham gia
truyền tin, có thể nói hệ thống Internet là một hệ thống mở, trong đó mọi người hoạt
động đều ngang hàng nhau, khơng bị kiểm sốt. Lợi dụng vấn đề về tính định danh
lỏng lẻo của hệ thống Internet, hình thức tấn cơng từ chối dịch vụ - Denial of
Service , sau đây gọi tắt là DoS, đã được sử dụng phổ biến để:
Tạo lập danh tiếng với những kẻ thiếu hiểu biết
Công cụ cạnh tranh giữa các nhà cung cấp dịch vụ thương mại, truyền tin ..
Công cụ tống tiến của những tội phạm mạng
1.1 Hệ thống mạng Internet
Bắt đầu từ hệ thống mạng ARPAnet của Bộ Quốc phịng Hoa Kỳ, với mục đích xây
dựng một mạng lưới liên lạc tin cậy, hoạt động được ngay cả khi một phần hệ thống
đã bị phá hủy. Vào cuối năm 1966, những nền tảng đầu tiên của hệ thống mạng đã
được xây dựng [36]. Giao thức đầu tiên được sử dụng để truyền tin trong hệ thống
ARPAnet là 1822[18], quy định phương thức truyên tin giữa một máy tính tới một
IMP. IMP là khái niệm về một máy tính có chức năng xử lý các bản tin truyền trong
hệ thống mạng. Mỗi IMP tại một site có chức năng lưu trữ và chuyển tiếp ( store &
forward) gói tin và được kết nối với nhau thơng qua các modem, đường truyền
leased line, tốc độ khoảng 50kb/s.
Đến năm 1970, mạng ARPAnet đã kết nối được 9 điểm và phát triển nhanh chóng
những năm tiếp theo. Đến năm 1981, đã có 212 host kết nối với tốc độ 2 ngày có
một host mới kết nối vào mạng. Đến năm 1984, mạng máy tính của bộ Quốc phịng
Mỹ tách khỏi mạng ARPAnet và gọi là mạng MILNET.
Sau một thời gian hoạt động, do một số lý do kỹ thuật và chính trị, kế hoạch sử
dụng mạng ARPANET khơng thu được kết quả như mong muốn. Vì vậy Hội đồng
khoa học Quốc gia Mỹ đã quyết định xây dựng một mạng riêng NSFNET liên kết
11
các trung tâm tính tốn lớn và các trường đại học vào năm 1986 sử dụng giao thức
TCP/IP. Mạng này phát triển hết sức nhanh chóng, khơng ngừng được nâng cấp và
mở rộng liên kết tới hàng loạt các doanh nghiệp, các cơ sở nghiên cứu và đào tạo
của nhiều nước khác nhau. Cũng từ đó thuật ngữ INTERNET ra đời. Dần dần kỹ
thuật xây dựng mạng ARPAnet đã được thừa nhận bởi tổ chức NSF, kỹ thuật này
được sử dụng để dựng mạng lớn hơn với mục đích liên kết các trung tâm nghiên
cứu lớn của nước Mỹ. Người ta đã nối các siêu máy tính thuộc các vùng khác nhau
bằng đường điện thoại có tốc độ cao. Tiếp theo là sự mở rộng mạng này đến các
trường đại học. Ngày càng có nhiều người nhận ra lợi ích của hệ thống mạng trên,
người ta dùng để trao đổi thông tin giữa các vùng với khoảng cách ngày càng xa.
Vào đầu những năm 1990 người ta bắt đầu mở rộng hệ thống mạng sang lĩnh vực
thương mại tạo thành nhóm CIX. Có thể nói Internet thật sự hình thành từ đây.
Nhưng chỉ đến khi Tim Berners-Lee phát triển HTML, HTTP tại CERN năm 1991,
thì Internet mới thực sự phát triển “bùng nổ”. Với công nghệ HTML, các trang web
được tạo ra một cách nhanh chóng và tiện lợi cho người sử dụng truy cập, đọc thông
tin. Năm 1993, trung tâm NCSA tại đại học Illinois đưa ra trình duyệt web Mosaic
1.0, nền tảng cho các trình duyệt web về sau. Và bắt đầu từ thời điểm đó, mạng
Internet đã phát triển nhanh chóng, lan rộng khắp tồn cầu. Tới tháng 1 năm 2006,
đã có hơn một tỷ người sử dụng Internet [33], và tại Việt Nam là hơn 5 triệu người
sử dụng.
Ngày nay, với sự phát triển của thương mại điện tử, khó có thể tách rời sự tồn tại
của Internet với xã hội loài người. Thống kê cho thấy, trong năm 2006, tổng giá trị
bán hàng qua mạng sẽ đạt con số 200 tỷ USD [34]. Kinh doanh qua mạng Internet,
quảng cáo qua Intenret, cung cấp thông tin qua Internet đã là những khái niệm kinh
điển. Trang web chính là bộ mặt của cơng ty, là nơi giao dịch mua bán, là nơi tiếp
đón người dùng, nơi giao lưu, kết bạn. Những mơ hình kinh doanh thành cơng như
ebay, yahoo, google ngày nay đã và đang liên tục phát triển.
12
1.2 Giao thức TCP/IP
Họ giao thức TCP/IP cho phép mọi hệ thống máy tính giao tiếp với nhau mà khơng
quan tâm đến quy mô hệ thống, nhà sản xuất phần cứng, hệ điều hành được cài đặt.
Theo định nghĩa của giao thức, TCP/IP thực sự là một hệ thống mở [22]. Nó cho
phép triển khai thêm các thành phần với một chi phí thực sự được giảm thiểu và
thời gian rút ngắn đáng kể.
Phần này giới thiệu một số thông tin cơ bản về họ giao thức TCP/IP, nhấn mạnh vào
những cơ chế hoạt động để minh họa cho chương tiếp theo.
1.2.1 Khái niệm về phân lớp
Các giao thức trên mạng được phát triển theo những lớp giao thức – layer. Mỗi lớp
sẽ có nhiệm vụ xử lý một mức độ giao tiếp khác nhau. Họ giao thức TCP/IP được
phân chia theo 4 lớp ( để phù hợp với các tài liệu tiếng Anh, giữ nguyên tên gọi của
các lớp). Mỗi lớp sẽ đảm nhận một chức năng riêng rẽ.
TÊN LỚP
ỨNG DỤNG
Application
Telnet, FTP, SMTP ..
Transport
TCP,UDP
Network
IP,ICMP, IGMP
Link
Các trình điều khiển thiết bị và
cổng kết nối
Bảng 1 Các lớp trong giao thức TCP/IP
i. Lớp Kết nối – Link: hay còn gọi data-link(liên kết dữ liệu), bao gồm hệ thống các
trình điều khiển thiết bị được cài đặt kèm với hệ điều hành và các cổng kết nối
mạng có trên hệ thống. Mọi chức năng xử lý phần cứng được thiết lập tại lớp này.
ii. Lớp mạng – network: hay còn gọi là lớp internet xử lý việc di chuyển của các gói
tin trong toàn mạng. Một số chức năng quan trọng được thực hiện tại lớp này: định
tuyến (routing), thông báo lỗi (ICMP). Lớp này có 3 giao thức cơ bản là IP, ICMP
và IGMP.
13
iii. Lớp giao vận – transport: điều khiển luồng dữ liệu giữa 2 host (máy tính). Có 2
giao thức xử lý tương đối khác nhau là TCP và UDP (User Datagram Protocol).
Với giao thức TCP các luồng dữ liệu được phân chia hoặc gộp vào tạo thành các
“bó” có kích thước phù hợp với lớp mạng ở dưới. Ngoài ra, TCP có nhiệu vụ thơng
báo xác nhận cho các gói tin đã đến, thiết lập thời gian chờ (timeout) cho các gói tin
gửi đi .v.v Với các phiên truyền tin sử dụng TCP đô tin cậy của phiên truyền tin đã
được đảm bảo nên tầng Ứng dụng – Application có thể không cần quan tâm đến
việc này.
Trái lại, với giao thức UDP, phiên truyền tin được thực hiện đơn giản hơn. Phía gửi
chi gửi một loạt các gói dữ liệu – datagrams mà khơng “quan tâm” đến việc liệu gói
tin có thể đến được phía nhận hay khơng. Tầng Application sẽ phải xử lý tính tin
cậy của phiên truyền tin.
iv. Lớp ứng dụng – Application : Xử lý chi tiết các phiên làm việc theo từng ứng
dụng. Có rất nhiều ứng dụng khác nhau được xây dựng dựa trên những giao thức
tầng Ứng dụng như:
* Telnet
* FTP
*WEB – HTTP
* SMTP – email
*DNS – Tên miền
Hình dưới đây mơ tả phiên truyền tin FTP giữa hai host trong cùng một mạng
LAN– Ethernet :
14
Application
Transport
FTP Client
TCP
FTP Protocol
TCP Protocol
FTP Server
TCP
Tiến trình mức Xử lý mức ứng
nguời dùng
dụng
Tiến trình mức Xử lý các vấn
hệ thống
đề về truyền tin
IP Protocol
Network
Link
IP
Ethernet
driver
IP
Ethernet
Protocol
Ethernet
driver
Ethernet
Hình 1 Phiên truyền tin giữa hai node mạng
Giả thiết có 2 máy tính trong mạng LAN, một máy đóng vài trị là máy chủ FTP –
FTP server. Máy cịn lại là FTP Client. Mơ hình làm việc client-server là mơ hình
phổ biến, áp dụng cho phần lớn các ứng dụng trên mạng. Trong mơ hình này, máy
server sẽ cung cấp dịch vụ cho máy client truy cập vào sử dụng.
Mỗi lớp sẽ có một hoặc nhiều giao thức phục vụ cho việc kết nối truyền tin giữa lớp
tương ứng của máy trạm với máy đích. Theo hình trên, lớp Application thường là
các tiến trình của người dùng. 3 lớp ở dưới thường được cài đặt vào trong hệ thống
– hệ điều hành. Tại lớp này, các hoạt động cơ bản của ứng dụng được xử lý về mặt
logic. Khơng hề có sự liên quan đến việc lưu chuyển dữ liệu qua mạng tại đây. Các
lớp ở dưới thì lại ngược lại, khơng hề có liên quan đến các xử lý logic của ứng dụng
mà chỉ quan tâm đến việc xử lý lưu chuyển các luồng dữ liệu qua mạng.
Ngồi việc xử lý các luồng thơng tin giữa 2 host như mơ tả trên, lớp Mạng cịn có
một nhiệm vụ khác: liên kết các hệ thống mạng khác nhau. Internet là một liên kết
lớn gồm nhiều mạng khác nhau. Các vùng mạng được kết nối với nhau thông qua
15
các thiết bị định tuyến – Router. Các router thường là những thiết bị được sản xuất
từ những phần cứng chuyên dụng. Các thiết bị này sẽ đảm nhận việc kết nối giữa
các loại mạng khác nhau : Ethernet, token ring, point-to-point .v.v. Thuật ngữ router
trong tài liệu này là chỉ đến các thiết bị định tuyến cho mạng IP như trên. Ngồi ra,
cịn có một thuật ngữ khác thường được sử dụng là Gateway. Nhưng hiện nay, khái
niệm gateway đã được chuyển sang chỉ các phần mềm ứng dụng có nhiệm vụ kết
nối 2 vùng giao thức khác nhau : PSTN-SIP gateway, Voice-data gateway.
Hình dưới đây mơ tả kết nối giữa hai mạng Ethernet và Token ring bởi một router.
Sau khi có kết nối, mọi host trong mạng Ethernet đều có thể kết nối truyền tin tới
các host trong mạng Token-Ring
FTP Protocol
FTP Client
FTP Server
TCP Protocol
TCP
TCP
Router
IP Protocol
IP Protocol
IP
Ethernet
driver
IP
Ethernet
Protocol
Ethernet
Ethernet
driver
IP
Token Ring
driver
Token Ring
Protocol
Token Ring
driver
Token Ring
Hình 2 Kết nối giữa hai hệ thống mạng sử dụng Router
Trong TCP/IP, lớp Network hoạt động theo cơ chế khơng tin cậy (best efford,
unreliable). Các gói tin truyền qua lớp Network sẽ được phát chuyển tiếp tục nhưng
không được đảm bảo là sẽ đến đích. Nhiệm vụ điều khiển luồng, kiểm soát lỗi sẽ
16
được giao cho lớp TCP, như đã nói ở trên. TCP có nhiệm vụ thiết lập thời gia chờ,
gửi – nhận các gói tin điều khiển để đảm bảo thơng tin có thể dến được đích.
Mỗi Router sẽ có ít nhất 2 lớp Network xử lý thơng tin vì chúng có nhiệm vụ liên
kết từ 2 lớp mạng trở lên. Những hệ thống có nhiều giao tiếp kết nối thì được gọi là
đa diện – multihomed. Một máy tính có thể có nhiều giao tiếp kết nối những chỉ khi
thực hiện chức năng chuyển tiếp thông tin giứa các giao tiếp thì mới được gọi là
router.
1.2.2 Các lớp trong TCP/IP
Tại mỗi lớp trong họ giao thức TCP/IP, có một vài giao thức đảm nhận các nhiệm
vụ khác nhau.
User
process
User
process
User
process
TCP
ICMP
ARP
User
process
Application
Transport
UDP
IP
IGMP
Hardware
Interface
Hình 3 Mơ hình hoạt động TCP/IP
Network
RARP
Link
17
Trong mơ hình TCP/IP, lớp TCP và UDP đóng vai trò cầu nối giữa lớp Ứng dụng
và lớp mạng.
TCP cung cấp chức năng truyền dữ liệu tin cậy. Một số giao thức phổ biến ứng
dụng trên nền TCP là: HTTP, SMTP, Telnet, FTP… Các bản tin gửi và nhận trên
lớp TCP gọi là Segment
Các bản tin dữ liệu gửi và nhận trên UDP gọi là datagram. Khác với TCP, UDP
cung cấp truyền thông dữ liệu theo cơ chế không tin cậy. Cơ chế phù hợp với những
ứng dụng có tần suất truy cập ngẫu nhiên và sử dụng ít dữ liệu: DNS, SNMP.
Lớp IP là lớp xử lý chính trong tầng mạng. Mọi dữ liệu sau khi đi qua lớp TCP
hoặc UDP đều sử dụng dịch vụ do lớp IP cung cấp.
Trong lớp mạng, bên cạnh IP cịn có giao thức ICMP. IP sử dụng các bản tin ICMP
để trao đổi các bản tin thông báo lỗi, các thông tin thiết yếu trong việc xử lý định
tuyến, chuyển phát các gói tin qua router hoặc host. Khơng chỉ có tầng IP mới sử
dụng dịch vụ của ICMP, một số ứng dụng từ tầng Application cũng có thể truy cập
vào các dịch vụ cung cấp bởi ICMP: Ping, traceroute.
Bên cạnh các phương thức truyền trực tiếp giữa hai host – Unicast, truyền tin quảng
bá - Broadcast cịn có phương thức truyền đa điểm – Multicast. IGMP là giao thức
hỗ trợ cho việc phát tin Multicast : truyền trực tiếp các gói tin UDP tới rất nhiều
host một cách đồng thời.
1.2.3 Địa chỉ Internet
Mọi giao tiếp kết nối vào mạng Internet đều phải có một địa chỉ Internet nhất định
và địa chỉ này thường được gọi là địa chỉ IP. Với phiên bản Ipv4 hiện tại, mỗi địa
chỉ IP đều có độ dài bằng nhau và bằng 32 bit. Hệ thống địa chỉ IP được phân chia
theo cấu trúc lớp. Có 5 lớp địa chỉ khác nhau ( hình dưới đây ) :
Các địa chỉ IP thường được viết liên nhau 4 số thập phân, mỗi số thể hiện giá trị
thập phân của byte tương ứng. Ví dụ, địa chỉ của www.vnnic.net có dạng
203.119.8.101
18
Hình 4 Các lớp địa chỉ IP
Các lớp địa chỉ được phân biệt bởi byte đầu tiên bên trái
Lớp địa chỉ
Khoảng địa chỉ
A
0.0.0.0 – 127.255.255.255
B
128.0.0.0 – 191.255.255.255
C
192.0.0.0 – 223.255.255.255
D
224.0.0.0 – 239.255.255.255
E
240.0.0.0 – 255.255.255.255
Bảng 2 Các giải địa chỉ IP
Mọi cổng giao tiếp kết nối vào mạng đều phải có một địa chỉ IP duy nhất. Và để
khai thác hiệu quả giải địa chỉ IP, trung tâm InterNIC có nhiệm vụ phân bổ địa chỉ
IP. Mỗi vùng sẽ được phân chia một giải địa chỉ tương ứng và các nhà quản lý địa
chỉ tại các quốc gia, vùng sẽ tiếp tục phân bổ xuống các đơn vị khai thác, thuê dịch
vụ. Theo thống kê của VNNIC, tại Việt Nam hiện tại đã có 757504 địa chỉ IP được
cấp, tương ứng với khoảng hơn 3000 địa chỉ lớp C.
19
1.2.4 Giao thức IP
Cung cấp cơ chế truyền tin kiểu khơng tin cậy. Khi có lỗi xảy ra trong phiên truyền
tin, IP sẽ loại bỏ gói tin đó và gửi một bản tin ICMP thơng báo lỗi ngược về phía
nguồn phát tin. Trách nhiệm đảm bảo độ tin cậy được lớp TCP đảm nhận hoặc lớp
Application đảm nhận nếu là UDP. Bên cạnh đó, IP sử dụng phương thức khơng kết
nối – connectionless. Trong phiên truyền tin, IP không duy trì bất kỳ thơng tin nào
về trạng thái truyền của các gói tin. Thứ tự đến đích của các gói tin có thể tùy ý.
IP header
Độ dài của tiêu đề gói tin IP là 20 bytes trong trường hợp khơng có thơng tin tùy
chọn (option).
Hình 5 Cấu trúc gói tin TCP
1.3 Khái niệm về tấn công DoS
Tấn công từ chối dịch vụ là những hành động cụ thể nhằm ngăn cản khả năng cung
cấp của một dịch vụ nào đó [27]. Tấn công phân tán từ chối dịch vụ sử dụng nhiều
20
thực thể tấn công để thực hiện. Hiện nay, hầu hết các mơ hình tấn cơng từ chối dịch
vụ đều thực hiện theo mơ hình phân tán. Trong tài liệu này, khi tham chiếu đến tấn
công từ chối dịch vụ có nghĩa bao gồm cả tấn cơng từ chối dịch vụ dạng phân tán.
Dạng thức thường gặp nhất là sử dụng một số lượng rất lớn các gói tin tới nạn nhân.
Dịng “thác lũ” gói tin này có thể là những gói tin vơ nghĩa – chiếm băng thơng
hoặc những gói tin chuẩn tuân theo giao thức để chiếm tài nguyên.
Một dạng khác là kẻ tấn công sẽ gửi các gói tin khai thác lỗi hệ thống để làm cho
máy chủ ( thiết bị ) phải ngừng hoạt động, khởi động lại, hỏng phần cứng.
Dạng thức khác nữa là kẻ tấn công nhằm vào hạ tầng truyền dẫn Internet để gây ra
từ chối dịch vụ. Tháng 10 năm 2002 đã ghi nhận những cuộc tấn công nhằm vào
các máy chủ DNS trên Internet và gây ra đình trệ trong nhiều giờ [14]. Trong cuộc
tấn công này, 9/13 máy chủ Internet tồn cầu đã bị ngừng hoạt động. Kẻ tấn cơng đã
gửi hàng loạt gói tin PING làm tắc nghẽn đường truyền tới các máy chủ này và
ngưng trệ các hoạt động phân giải tên miền.
1.3.1 Nguyên nhân của các cuộc tấn công từ chối dịch vụ
Hệ thống mạng internet dựa trên nên tảng là họ giao thức TCP/IP như đã nói ở trên.
Mơ hình hoạt động của Internet là chuyển gói tin nhanh nhất có thể từ trạm nguồn
tới trạm đích. Hệ thống mạng trung gian đống vai trị hỗ trợ chuyển tiếp dịch vụ.
Các quy ước hoạt động được trạm nguồn và trạm đích tự thỏa thuận ( ứng dụng ).
Theo cơ chế này, khi một trong hai phía tham gia truyền tin gặp sự cố - hoạt động
sai (vơ tình hoặc cố ý) thì đều dẫn tới những sự cố. Những mạng trung gian trong
quá trình truyền tin hồn tồn khơng đóng một vai trị nào có thể thay đổi được
những sự cố đó. Nói một cách khác, hoạt động truyền tin trên Internet là tự do,
khơng có sự cản trở nào có thể tác động được hoạt động truyền tin. Ví dụ điển hình
là khả năng giả mạo địa chỉ IP – IP spoofing[29]. Phía gửi tin có thể dễ dàng thay
đổi trường địa chỉ nguồn của gói tin TCP/IP. Phía nhận khơng thể phân biệt được
trường địa chỉ đã bị thay đổi hay chưa.
21
Mức độ an toàn của Internet phụ thuộc vào mọi thành phần tham gia kết nối. Các
cuộc tấn công phân tán từ chối dịch vụ thường được bắt đầu từ những hệ thống bị
chiếm quyền quản lý do mắc các lỗi bảo mật. Cho dù máy chủ có được bảo mật như
thế nào thì độ an tồn của máy chủ, dịch vụ vẫn phụ thuộc rất lớn vào phần còn lại
của các hệ thống máy chủ trên Internet[30].
Các tài nguyên của Internet là hữu hạn. Tài nguyên Internet được tập hợp từ tài
nguyên của các mạng kết nối chung, là tài nguyên của các máy chủ cung cấp dịch
vụ. Các máy chủ này có tài ngun hữu hạn về chíp, về dung lượng bộ nhớ, khả
năng lưu trữ. Nếu có quá nhiều yêu cầu cung cấp dịch vụ thì máy chủ sẽ bị quá tải
và không thể tiếp tục cung cấp dịch vụ ổn định.
Phân bố tài nguyên cũng không được sắp xếp hợp lý. Trong mơ hình giao tiếp điểm
đầu – điểm cuối, phân lớn các công tác xử lý được dồn cho các các điểm mút mà
khơng tính đến năng lực xử lý của các chặng trung gian, vơ hình chung làm lãng phí
khả năng xử lý của các nút trung gian truyền tin. Các nút tham gia xử lý mong
muốn có nhiều băng thơng để truyền tin mà không quan tâm đến khả năng cung cấp
tại các nút trung gian. Chính điều này đã dẫn đến việc các hệ thống máy client có
thể cố tình thực hiện sai việc cấp phát tài nguyên trong quá trình truyền tin làm cho
phía máy chủ có khả năng bị nghẽn mạng do q tải băng thơng.
Tính định danh trên Internet là không chặt chẽ. Bất kỳ các trạm truyền tin nào ( máy
tính, thiết bị mạng ) đều có khả năng thay đổi trường địa chỉ IP nguồn để giả mạo
nguồn gốc xuất phát. Một số phương thức tấn công dạng reflection [15] hoặc smurf
[28]. Trong tấn công reflection, kẻ tấn cơng có thể sử dụng các reflector – máy chủ
web, máy chủ DNS, thiết bị định tuyến. Các reflector sẽ trả lời lại các truy vấn tới
chúng dựa theo trường địa chỉ nguồn được cấp trong gói tin IP. Các truy vấn này có
thể là các truy vấn SYN, ICMP time exceeded hoặc Host Unreachable. Để có thể
khởi động được tấn công dạng này, trước hết, kẻ tấn công phải thu thập một tâp hợp
rất lớn các reflectors – ví dụ khoảng 1 triệu địa chỉ. Sau đó, từ một số máy trạm đã
bị kiểm soát, các truy vấn với địa chỉ giả mạo là địa chỉ của nạn nhân (V) sẽ được
gửi tới các reflector (R). Các reflector sẽ tạo ra các bản tin trả lời gửi trả lại V. Kết
22
quả là sẽ có một số lượng cực lớn các gói tin truyền đến V vào cùng một thời điểm,
xuát phát từ hàng trăm ngàn địa chỉ.
Hình 6 Tấn cơng DoS theo mơ hình phản xạ
Trong tấn cơng smurf, kẻ tấn cơng sử dụng gói tin IMCP echo request giả mạo và
tính chất gửi quảng bá để tấn cơng. Có 3 thành phần trong mơ hình tấn cơng này :
kẻ tấn cơng(máy chủ gửi gói tin tấn cơng, trạm trung gian, nạn nhân. Khi máy trạm
trung gian nhận được gói tin ICMP echo-request có địa chỉ đích là địa chỉ quảng bá
(của lớp mạng của mình), tất cả các máy trạm khác cũng sẽ nhận được gói tin ICMP
23
này và trả lời lại theo đúng giao thức ICMP quy định( nếu máy trung gian khơng
thực hiện lọc gói tin). Địa chỉ nguồn của gói tin ICMP sẽ là địa chỉ của máy nạn
nhân V. Và như vậy, khi có gói tin ICMP giả, V sẽ nhận được hàng ngàn gói tin
ICMP trả lời lại và hệ thống kết nối của V sẽ bị ảnh hưởng tùy theo mức độ tấn
cơng từ mức chập chờn đến nghẽn hồn tồn.
Cơ chế kiểm soát của Internet là phân tán. Mỗi tổ chức tự quản lý hệ thống mạng
của mình theo một chính sách nhất định, khơng tn theo một tiêu chuẩn cụ thể.
Khơng có một cơ chế nào bắt buộc mọi thành phần tham gia kết nối Internet phải
tuân thủ một chuẩn mực an toàn an ninh nhất định.
1.3.2 Cơ chế chung của tấn công từ chối dịch vụ
Phần lớn các cuộc tấn công từ chối dịch vụ đều được thực hiện theo nhiều giai đoạn.
Trước hết, kẻ tấn công sẽ phải “tuyển lựa” một tập hợp các máy “công cụ”. Trong
giai đoạn này, quá trình sẽ được thực hiện một cách tự động bằng cách quét thăm
dò các lỗ hổng bảo mật chưa được sửa. Các hệ thống mắc lỗi sẽ bị lợi dụng, xâm
nhập để cài đặt các mã tấn cơng. Q trình này cũng thường được thực hiện tự
động. Các máy trạm bị chiếm quyền điều khiển lúc này sẽ được sử dụng để thực
hiện “tuyển lựa” các máy khác. Q trình tuyển lựa/thăm dị/xâm nhập có thể được
thực hiện qua rất nhiều phương thức khác nhau: gửi email, copy qua các lỗ hổng
chia sẻ file …
Trong quá trình tấn cơng, kẻ tấn cơng thường sẽ che giấu định danh của máy bị
chiếm quyền qua việc giả mạo địa chỉ IP để tránh bị phát hiện.
1.3.3 Lý do tiến hành tấn cơng từ chối dịch vụ
Mục tiêu chính của tấn công từ chối dịch vụ là làm ngưng trệ khả năng cung cấp
dịch vụ tại phía nạn nhân. Lý do thường xuất phát từ những lý do cá nhân: muốn
được nổi danh trong giới hacker. Hoặc sử dụng để tống tiền các cơng ty cung cấp
dịch vụ vì lý do kinh tế, chính trị. Rộng hơn, khi một quốc gia này có chiến tranh
24
với một quốc gia khác, ngoài những tranh chấp thực tế, tranh chấp về công nghệ
thông tin, Internet cũng được xem như một vũ khí lợi hại. Trong một số trường hợp,
nạn nhân thực của cuộc tấn công không phải là các thiết bị cung cấp dịch vụ mà là
các công ty, cá nhân hưởng lợi từ các dịch vụ đó.
1.4 Các nghiên cứu có liên quan
Đã có nhiều nghiên cứu về phát hiện tấn công DDoS theo những định hướng khác
nhau. Một số nghiên cứu đã được tiến hành căn cứ vào phương thức tấn công để
phát hiện các cuộc tấn công đang diễn ra. MULTOPS [9] là cơ chế duy trì dữ liệu
theo dõi các thơng tin vào ra hệ thống để phát hiện các dạng tấn công gây tràn ngập
băng thông. Các thiết bị mạng sẽ duy trì một cây dữ liệu, lưu trữ thơng tin về tần
suất gửi nhận gói tin của các lớp mạng phân chia theo tiền tố nhất định. Hining
Wang [24] nghiên cứu về sự thay đổi đột ngột số lượng các gói tin TCP SYN để
phát hiện kiểu tấn công DDoS sử dụng TCP SYN. Wang giả thiết rằng số lượng gói
tin SYN/FIN hoặc SYN/RST là xấp xỉ nhau theo cơ chế bắt tay ba bước của TCP.
Trong trường hợp phát hiện số lượng gói tin SYN tăng đột biến với số lượng, tần
xuất rất lớn thì có thể giả thiết là đang có tấn cơng. Trong giải pháp
CenterTrack[23], với những dạng tấn cơng giả mạo địa chỉ DoS, các gói tin đi tới sẽ
được chuyển hướng tới những router chuyên làm nhiệm vụ kiểm tra ngược đường đi
để tìm ra nguồn của kết nối. Giải pháp này yêu cầu có một số router đủ mạnh đứng
trung gian theo nghĩa là số hop bằng ½ số hop từ nguồn đến đích.
Một hướng nghiên cứu khác là cố gắng làm giảm nhẹ tác hại của tấn công DDoS. R.
Mahajan đề xuất phương thức báo hiệu cho các router phía nhà cung cấp (upstream)
để điều khiển lưu lượng kết nối đến hệ thống trong trường hợp xảy ra tấn công. Với
giả thiết là khi xảy ra tấn công DDOS, đường kết nối Internet của hệ thống sẽ bị
nghẽn bởi những gói tin tấn cơng. Điều này có thể xác định bằng cách theo dõi hệ
số mất gói tin của đường truyền. Chỉ số mất tin này có thể được theo dõi liên tục.
25
Khi phát hiện chỉ số đột ngột tăng cao thì có thể kết luận là đường truyền đang bị
nghẽn. Khi đó, một cơ chế xử lý nghẽn cục bộ (local Aggregates Congestion
Control) sẽ được kích hoạt để khắc phục. Để phân biệt các thông tin bị nghẽn là do
tấn công hay do các lý do khác, tập hợp các chữ ký nghẽn tương tự như chữ ký tấn
công sẽ được tập hợp và so sánh.
Một hướng nghiên cứu về phát hiện tấn công DDoS khác là sử dụng nghiên cứu về
phổ tín hiệu của các luồng tin đến hệ thống. Chen-Mou Cheng[5], đại học Havard,
theo dõi số lượng gói tin đến trong một luồng tin, trong một những khoảng thời gian
nhất định, tìm sự thay đổi của phổ tín hiệu. Giả định của Cheng là những luồng TCP
bình thường sẽ có những chu kỳ lặp lại rõ ràng trong khoảng round-trip time của
chúng, theo cả hai hướng đi và về. Những luồng TCP tấn cơng sẽ khơng có đặc
điểm đó.
1.5 Kết luận
Tấn công từ chối dịch vụ là một dạng tấn công gây ra rất nhiều thiệt hại cho hạ tầng,
hoạt động kinh doanh, dịch vụ của toàn cộng đồng Internet. Có nhiều nguyên nhân,
động cơ cho các cuộc tấn công từ chối dịch vụ. Từ những động cơ cá nhân, chỉ để
thỏa mãn tính hiếu thắng cho đến những động cơ vì chính trị, kinh tế cũng đều có
thể xảy ra. Đã có nhiều nghiên cứu về những phương pháp phịng chống, về những
dạng thức tấn cơng. Hầu hết các nghiên cứu này đều chỉ ra rằng có rất nhiều dạng
tấn cơng khác nhau và khó có một phương pháp nào có thể phịng chống tồn diện
tấn cơng DoS. Đối với những người nghiên cứu về tấn công DoS hay DDoS, việc
phân loại các hình thức tấn cơng cũng như phịng chống là một cơng việc cần phải
thực hiện, thống nhất trong cộng đồng. Hệ thống phân loại này sẽ giúp cho cơng tác
nghiên cứu, dự đốn loại hình mới hoặc những người mới nghiên cứu sẽ dễ dàng
nắm bắt hơn. Chương 2 sẽ tập trung vào những vấn đề chủ yếu của tấn công DDoS :
phân loại các loại hình tấn cơng, phân loại các loại hình phịng chống.
26
Chương 2
Nghiên cứu về tấn công Từ chối dịch vụ
Đã có rất nhiều nghiên cứu về tấn cơng DoS. Có nhiều khái niệm được đưa ra,
nhiều mơ hình về tấn cơng và bảo vệ được nghiên cứu. Vì thế, để nắm được cái nhìn
đầy đủ thơng tin về tấn cơng DoS cần phải có những sự phân loại, cơ chế phân tích,
cơ chế phản ứng lại với DoS. Từ những thơng tin nền tảng này thì mới có thể có
những nghiên cứu sâu hơn về tấn công DoS.
2.1 Phân loại các hình thức tấn cơng
Hệ thống phân loại được đề cập dưới đây dựa theo tiêu chí: bao trùm những loại
hình tấn cơng đã biết và những dạng tấn cơng chưa xuất hiện nhưng có khả năng
diễn ra theo cơ chế đã được đề cập. Bên cạnh đó, việc phân loại cơ chế bảo vệ cũng
được đưa theo các tiêu chí đã được cơng bố và các tiêu chí của những sản phẩm
thương mại.
Mọi sự phân loại, so sánh đều có thể chứa đựng những thiếu sót và chưa đầy đủ. Ở
đây, theo [12], các loại hình tấn cơng và bảo vệ cần được thường xuyên cập nhật,
sửa đổi để phù hợp với thực tế hoạt động. Một vài loại hình tấn cơng từ chối dịch vụ
có thể thuộc nhiều cơ chế khác nhau, tùy theo thực tế diễn ra.
Cơ chế đánh mã ở đây được tác giả đề xuất dựa theo mã viết tắt của tên loại hình.
Mỗi loai hình tấn cơng sẽ có tên bao gồm chữ viết tắt của loại hình chính, số kèm
theo được nối bởi gạch ngang. Mơ hình phân loại sẽ được tổ chức theo hình cây thư
mục. Bắt đầu bằng tên mơ tả cơ chế chung nhất, tiếp theo là các lá – tên của loại
hình tấn cơng có dạng tương tự những được đề cập chi tiết. Ví dụ: Nếu là tấn cơng
có cơ chế là tự động – Degree of Automation sẽ được đánh dấu: DA. Loại hình con
của DA: bán tự động – semi automation sẽ có tên là DA-2. Trong loại hình thứ 2
này, để phân biệt rõ hơn, ví dụ về cơ chế liên lạc : communication mechanism sẽ có
tên: DA-2:CM. Đề phù hợp với các tài liệu tham chiếu tiếng Anh, trong tài liệu này,
tên phân loại sẽ được giữ nguyên bản.
27
2.1.1 Mức độ tự động
Dựa trên các giai đoạn thu thập máy công cụ, khai thác lỗ hổng và cài đặt mã, tùy
theo mức độ tự động hay thủ công ta có thể phân chia ra các loại hình DDoS khác
nhau. Mức độ tự động có thể phân chia theo : thủ công - manual, bán tự động –
semi automatic, tự động - automatic.
DA-1: Manual – Thủ công
Kẻ tấn công tự tìm kiếm các máy tính theo phương thức thủ công và xâm nhập, cài
đặt từng máy để phát động tấn cơng. Những hình thái đầu tiên của tấn cơng DoS
thực hiện theo phương thức này. Hiện tại, hầu hết các pha thu thập máy công cụ đều
được thực hiện tự động.
DA-2: Semi-Automatic(Bán tự động):
Trong mơ hình tấn cơng bán tự động, mạng máy tính cơng cụ tấn cơng sẽ bao gồm
một(một vài) máy tính chủ và các máy phụ thuộc (nô lệ, máy trạm, máy ma). Các
giai đoạn thu thập máy công cụ, kiểm tra lỗ hổng và cài đặt mã đều được thực hiện
tự động. Khi muốn thực hiện tấn công, kẻ tấn công sẽ thông qua máy chủ để ra lệnh
cho các máy phụ thuộc gửi các gói tin, truy vấn tấn cơng đến máy nạn nhân.
DA-2:CM: - Communication Mechanism
Phương thức kết nối bán tự động được thiết lập giữa các máy chủ và máy phụ
thuộc. Có thể phân chia thêm một mức là tấn công với kết nối trực tiếp và tấn công
với kết nối gián tiếp.
DA-2:CM-1: Kết nối trực tiếp:
Trong tấn công DoS sử dụng kết nối trực tiếp giữa máy chủ điều khiển và mạng
máy tính phụ thuộc, các máy phụ thuộc phải biết địa chỉ máy chủ và ngược lại.
Thông thường, định danh của máy chủ sẽ được xác định trực tiếp vào trong mã tấn
công được cài đặt trên máy phụ thuộc. Mỗi máy trạm sẽ thường xuyên “báo cáo” về
tình trạng của mình tới máy chủ. Chỉ cần tìm được mã trên một máy bị nhiễm thì có
thể phát hiện tồn bộ mạng tấn cơng. Bên cạnh đó, nếu có một chương trình theo
dõi mạng thì có thể phát hiện ra các kết nối trực tiếp giữa máy trạm và máy chủ.
DA-2:CM-2: Kết nối gián tiếp
