ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
Đào Đình Thái
CẢI TIẾN GIAO THỨC AITF ĐỂ GIẢM TẢI MẠNG
KHÓA LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY
Ngành: Công nghệ thông tin
HÀ NỘI - 2010
ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
Đào Đình Thái
CẢI TIẾN GIAO THỨC AITF ĐỂ GIẢM TẢI MẠNG
KHÓA LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY
Ngành: Công nghệ thông tin
Cán bộ hướng dẫn : Th.S Đoàn Minh Phương
HÀ NỘI - 2010
LỜI CẢM ƠN
Trước hết, tôi xin chân thành cảm ơn sự giúp đỡ nhiệt tình của các thầy cô giáo
trường Đại Học Công Nghệ - Đại Học Quốc Gia Hà Nội đã tận tình dạy dỗ chỉ bảo tôi
trong suốt khóa học, cảm ơn tập thể lớp K51CD và đặc biệt là thầy giáo Thạc sỹ Đoàn
Minh Phương người đã nhiệt tình hướng dẫn, giúp đỡ tôi trong suôt quá trình học tập và
nghiên cứu.
Cuối cùng tôi muốn gửi lời cảm ơn tới gia đình và người thân đã quan tâm, động
viên, chăm lo tôi trong suốt quá trình học tập của mình.
Do thời gian và điều kiện thiết bị có hạn nên bản khóa luận này không tránh khỏi
những thiếu sót, chúng tôi rất mong muốn nhận được những ý kién đóng góp của các thầy
cô và các bạn.
Hà nội, tháng 5 năm 2010.
Đào Đình Thái
Khoa Công Nghệ Thông Tin
Trường Đại Học Công Nghệ - Đại Học Quốc Gia Hà Nội
Đào Đình Thái – K51MMT Đại Học Công Nghệ - ĐHQGHN

1
Mục Lục
LỜI CẢM ƠN.............................................................................................................................................1
TÓM TẮT KHÓA LUẬN TỐT NGHIỆP..................................................................................................2
MỞ ĐẦU....................................................................................................................................................4
Chương 1: ĐẶT VẤN ĐỀ.........................................................................................................................7
Chương 2: AITF TRONG MẠNG INTERNET.........................................................................................8
1. Tổng quan về giao thức AITF.....................................................................................................................8
2. AITF làm việc trong mạng Internet..........................................................................................................10
i. Thuật ngữ............................................................................................................................................10
ii. Chặn nguồn tấn công..........................................................................................................................10
iii. Bảo mật giao tiếp..............................................................................................................................11
iv. Chống việc giả mạo............................................................................................................................12
Chương 3: CẢI TIẾN AITF.....................................................................................................................14
1. Mô tả cải tiến chương trình....................................................................................................................14
2. Phương pháp và công việc cải tiến.........................................................................................................14
2.1 Phương pháp đánh dấu gói tin theo xác suất...................................................................................14
ii. Thuật toán đánh dấu gói tin................................................................................................................16
iii. Xây dựng lại đường đi của tấn công..................................................................................................17
3. Giải thuật của thuật toán cải tiến...........................................................................................................18
Chương 4: CHẠY CHƯƠNG TRÌNH......................................................................................................20
1. Cài đặt:....................................................................................................................................................20
2. Chạy chương trình:..................................................................................................................................20
TÓM TẮT KHÓA LUẬN TỐT NGHIỆP
Đào Đình Thái – K51MMT Đại Học Công Nghệ - ĐHQGHN
2
Từ khi xuất hiện đến nay, loại hình tấn công từ chối dịch vụ phân tán (Distributed
Denial of Service) luôn là một vấn đề nan giải đối với cộng đồng Internet, và cho đến bây
giờ, vẫn chưa có một biện pháp kỹ thuật nào hoàn toàn khắc chế được kiểu tấn công này.
Với việc quan sát được các thiết bị định tuyến trên internet hiện nay đủ tài nguyên lọc

luồng thông tin cần thiết để ngăn chặn các tấn công DDoS, với điều kiện các luông thông
tin tấn công bị chặn ngay gần nguồn phát sinh. Từ đó AITF đã được đề xuất.Với AITF
giúp nạn nhân chặn các luồng tấn công không mong muốn chỉ trong vài mili giây. Nhưng
việc chặn này tuy có hiệu quả cao nhưng lại làm băng thông của mạng sẽ bị cản trở do
dung lượng của các gói tin sẽ bị tăng lên khi đi qua các router do việc viết lên các gói tin
về đường dẫn “đi qua” các router này. Nhưng việc này sẽ không còn là vấn đề nếu cải tiến
việc ghi dữ liệu này là sẽ không ghi cả đường dẫn nữa mà chỉ ghi lên gói dữ liệu router nào
được mà có xác suất được ghi lên dữ liệu. Do tính chất của một cuộc tấn công DoS hay
DDoS sẽ là tạo ra các gói tin giả mạo thật nhiều và gửi tới nạn nhân, nên việc đánh dấu gói
tin với một xác suất và chỉ nghi một thông tin ánh xạ với địa chỉ IP của router sẽ giúp nạn
nhân giảm được băng thông gây nghẽn mạng và vẫn sẽ có thể tìm được đường đi của cuộc
tấn công.
Trong khóa luận này sẽ có các phần:
Phần I là phần mô tả và tiếp cận với giao thức AITF.
Phần II là sẽ nói về giao thức AITF trong mạng internet sẽ cho chúng ta hiểu về cách
thức hoạt động cũng như hiểu về giao thức AITF trong mạng.
Phần III sẽ nói về cải tiến giao thức AITF. Phần này sẽ là nói cách thức thực hiện
cũng như cơ chế để cải tiến cách thức ghi thông tin lên gói tin, và xây dựng lên đường đi
của cuộc tấn công.
Phần III sẽ nói một cách trực tiếp về cách thức thực hiện code và kết quả chạy
chương trình và một số mô tả.
Đào Đình Thái – K51MMT Đại Học Công Nghệ - ĐHQGHN
3
MỞ ĐẦU
Một cuộc tấn công từ chối dịch vụ ( DoS attack ) hoặc cuộc tấn công từ chối dịch vụ
phân tán ( DDoS attack) là cố gắng để làm cho nguồn tài nguyên máy tính không còn sẵn
cho người sử dụng dự định của nó. Mặc dù các phương tiện để thể hiện, động cơ, và mục
tiêu của cuộc tấn công DoS có thể khác nhau nó thường bao gồm các nỗ lực của một người
hoặc một nhóm người để chặn một trang web internet hay một dịch vụ sẽ bị giảm hiệu quả
làm việc hoặc tạm thời bị ngưng trệ.Thủ phạm của cuộc tấn công DoS thông thường nhắm

các mục tiêu các trang web hoặc dịch vụ lưu trữ hồ sơ cao cấp trên các máy chủ web như
ngân hàng , cổng thanh toán thẻ tiến dụng, và thậm chí root nameserver.
Nói chung là việc các cuộc tấn công DoS được thực hiện bằng việc ràng buộc các
máy tính thiết lập lại, hoặc nó tiêu thụ nguồn tài nguyên để nó không còn khả năng cung
cấp dịch vụ của mình nữa, cản trở việc truyền thông liên lạc giữa người dùng và nạn nhân
không còn được đầy đủ.
Một cuộc tấn công từ chối dịch vụ đặc trưng là một nỗ lực rõ ràng của những kẻ tấn
công là ngăn chặn người sử dụng hợp pháp bằng cách sử dụng nó.
Một cuộc tấn công DoS có thể thực hiện bằng một số cách khác nhau như:
- Tiêu thụ tài nguyên tính toán, chẳng hạn như băng thông, không gian đĩa,
hoặc bộ xử lý thời gian.
- Phá vỡ các thông tin cấu hình như thông tin định tuyến.
- Gián đoạn thông tin, chẳng hạn cài đặt lại thông tin không được yêu cầu của
phiên TCP.
- Tổn hại các thành phần mạng vật lý.
- Cản trở giao thông liên lạc giữa người dùng chính và nạn nhân.
Một cuộc tấn công DoS nhằm mục đích :
- Tốc độ xử lý của CPU là cao nhất có thể, làm cho các hoặt động khác không
thể xẩy ra.
- Ràng buộc của mã vi của máy tính lỗi.
- Ràng buộc lỗi của trình tự của các hướng dẫn, để buộc các máy tính không
ổn định hoặc về tìm kiếm.
- Khai thác lỗi trong hệ điều hành gây ra khan hiếm tài nguyên.
- Làm sụp đổ hệ điều hành của chính nó
Vậy cuộc tấn công DoS là gì?
Tấn công từ chối dịch vụ (DoS): là một quá trình gửi yêu cầu tràn ngập từ một người
tấn công tới một hay nhiều server đích. Và yêu cầu này điều là giả mạo bằng cách giả mạo
địa chỉ IP nguồn. Với nhiều yêu cầu được gửi tới như vậy, và những yêu cầu là không hợp
lệ không được đáp ứng và dẫn tới hiện tượng từ chối dịch vụ.
Đào Đình Thái – K51MMT Đại Học Công Nghệ - ĐHQGHN

4
Một cuộc tấn công từ chối dịch vụ phân tán ( DDoS) xẩy ra khi nhiều hệ thống bị lụt
về băng thông hoặc tài nguyên của hệ thống, thường là một máy chủ web.
Một hệ thống cũng có thể được thảo hiệp với một trojan, cho phép kẻ tấn công tải về
một zombie agents. Kẻ tấn công cũng có thể đột nhập vào hệ thống sử dụng công cụ tự
động khai thác lỗ hổng trong chương trình lắng nghe các kết nối từ các máy chủ từ xa.
Kịch bản này chủ yếu là mối quan tâm của hoạt động hệ thống máy chủ trên web.
Đối với cộng đồng Internet thì việc tấn công từ chối dịch vụ phân tán (Distributed
Denial of Service) luôn là một vấn đề nan giải, nhưng tấn công từ chối dịch vụ phân tán là
gì?
Tấn công từ chối dịch vụ phân tán(DDoS) là một kiểu tấn vô cùng nguy hiểm đối với
một hệ thống mạng.
DDoS là kiểu tấn công từ một mạng máy tính cụ thể được thiết kế để tấn công một
đích cụ thể nào đó, hay là kẻ tấn công có thể điều khiển các agents (máy bị chiếm quyền
điều khiển), và thống nhất tất cả các máy agents đó đông thời sinh ra các gói tin yêu cầu
gửi tới đích, với một lượng lớn các gói tin như vậy tấn công hệ thống mạng nhằm ngăn cản
những truy xuất tới một dịch vụ, Tấn công DDoS phá huỷ dịch vụ mạng bằng cách làm
tràn ngập số lượng kết nối, quá tải server hoặc chương trình chạy trên server, tiêu tốn tài
nguyên của server, hoặc ngăn chặn người dùng hợp lệ truy nhập tới các dịch vụ mạng.
Đào Đình Thái – K51MMT Đại Học Công Nghệ - ĐHQGHN
5
H1. Sơ đồ tấn công DDoS.
( />Đào Đình Thái – K51MMT Đại Học Công Nghệ - ĐHQGHN
6
Chương 1: ĐẶT VẤN ĐỀ
Hiện nay cộng đồng internet đang phải chứng kiến một tần số đáng kể cũng như sự
tàn bạo của việc tấn công đang gia tăng một cách đáng kể.
Tấn công từ chối dịch vụ phân tán DDOS sẽ luôn là mối đe dọa hàng đầu đến các hệ
thống công nghệ thông tin trên thế giới. Về mặt kỹ thuật, hầu như chỉ có thể hy vọng tin
tặc sử dụng những công cụ đã biết và có hiểu biết kém cỏi về các giao thức để có thể nhận

biết và loại trừ các traffic gây nên cuộc tấn công. Một điều mà các chuyên gia ai cũng thừa
nhận, đó là nếu DDOS được thực hiện bởi một tin tặc có trình độ thì việc phòng tránh là
không thể. Với một hạ tầng mạng cùng với thương mại điện tử vừa chớm hình thành,
DDOS sẽ là một mối nguy hại rất lớn cho Internet Việt Nam.
Với cơ chế ngăn chặn các tấn công từ chối dịch vụ có tính phân tán cao do
K.Argyraki và D. R. Cheriton đề xuất trong bài báo "Active Internet Traffic Filtering: Real-
Time Response to Denial-of-Service Attacks". Họ chứng minh các thiết bị định tuyến trên
Internet hiện nay có đủ các tài nguyên lọc luồng thông tin cần thiết để ngăn chặn các tấn
công DDoS, với điều kiện các luồng thông tin tấn công bị chặn ngay gần nguồn phát sinh.
Chính từ quan sát đó mà AITF được đề xuất.
Như vậy AITF (Active Internet Traffic Filtering - Lọc luồng thông tin Internet hoạt
động) sẽ giúp về vấn đề ngăn chặn việc tấn công DDoS. Việc nghiên cứu này đã chứng tỏ
rằng khả thi trong thực tại mạng hiện nay cũng như là vấn đề cấp bánh tấn công DDoS.
AITF có ưu điểm là làm cho việc ngăn chặn cuộc tấn DDoS với hàng triệu luồng tấn
công chỉ trong vài mili giây, với lượng tài nguyên được cài đặt trên mỗi router là khoảng
vài chục bộ lọc.
Nhưng việc cài đặt AITF có thể tìm ra được nguồn gốc tấn công DoS và tấn công
DDoS nhưng việc này lại làm băng thông của mạng càng ngày càng cạn kiệt tài nguyên và
sẽ khiến băng thông mạng sẽ bị trì trệ hơn nếu lượng gói tin đến nhiều, do việc viết thêm
đường dẫn khi qua các router vào trong gói tin. Một biện pháp có thể cải tiến việc này đó là
sẽ dùng một xác suất để ánh xạ giữa địa chỉ IP của router với trường IP Identification. Với
việc làm thế này thì chúng ta sẽ giảm được lượng thông tin cần ghi lên gói tin sẽ được
giảm đi rất nhiều nên việc băng thông của mạng sẽ không còn đang lo ngại nữa.
Trong tình hình hiện nay và nguy cơ rình rập của tấn công DDoS nên việc ngăn chặn
nó đang là vấn đề cần được quan tâm và triển khải nên đề tài “ Cải tiến giao thức AITF để
giảm tải mạng” được nghiên cứu trong khóa luận này.
Đào Đình Thái – K51MMT Đại Học Công Nghệ - ĐHQGHN
7
Chương 2: AITF TRONG MẠNG INTERNET
1. Tổng quan về giao thức AITF.

H2. Giao thức cơ bản của AITF.
Mô tả về trường hợp của giao thức AITF:
Với A
NET
là một mạng của người tấn công là A và là nơi xuất phát luồng thông tin
không mong muốn tới nạn nhân. Trong mạng này sẽ có một gateway là A
gw
đây là router
tấn công cũng chính là router gần với A nhất.
Trong mạng V
NET
là mạng của nạn nhân là V và là nơi bị luồng thông tin không mong
muốn xâm nhập tới thông qua gateway V
gw
.
Trong hai mạng của nhà cung cấp dịch vụ là A
ISP
và V
ISP
còn có các gateway phía trên
khi chuyển qua mạng internet là gateway X và gateway Y.
Giả sử khi có một luồng lưu lượng không muốn khi tới nạn nhân và khi đó nạn nhân
muốn xác định một lưu lượng không mong muốn, nạn nhân sẽ gửi một yêu cầu lọc đến
gateway của nó ( V
gw
trong hình 2 ). Gateway của nạn nhân sẽ tạm thời chặn lại các dòng
lưu lượng không mong muốn này và xác định các router gần với nguồn tấn công nhất – gọi
là gateway tấn công ( A
gw
trong hình 2). Sau đó gateway của nạn nhân sẽ thiết lập một kết

nối cài đặt với gateway tấn công, nghĩa là sẽ có một thỏa thuật về truyền các gói tin. Ngay
sau khi việc thiết lập kết nối được hoàn thành thì gateway của nạn nhân sẽ có thể bỏ bộ lọc
tạm thời của nó đi. Còn nếu không hoàn thành được việc thiết lập kết nối thì gateway của
nạn nhân sẽ yêu cầu một gateway khác gần nhất theo phương pháp “leo thang” để làm
gateway tấn công ( gateway X trong hình 2). Việc leo thang có thể đệ quy dọc theo con
đường bị tấn công cho đến khi một router được hoàn thành việc kết nối. Nếu không có
router phản ứng nào thì lưu lượng giao thông của cuộc tấn công sẽ bị chặn tại gateway của
Đào Đình Thái – K51MMT Đại Học Công Nghệ - ĐHQGHN
8