Tải bản đầy đủ (.pdf) (50 trang)
  1. Trang chủ
    2. >>
  2. Luận Văn - Báo Cáo
    3. >>
  3. Công nghệ thông tin

Giải pháp phòng chống tấn công DDoS trên SNORT

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (3.79 MB, 50 trang )

MỞ ĐẦU
Ngày nay, cùng với sự gia tăng nhanh chóng của các ứng dụng trên mạng Internet
đang đặt ra nhiều vấn đề về an ninh mạng trong việc phát hiện các hành vi tấn công phá
hoại trên mạng có chủ định như hacker, sâu mạng, virus... Trong đó, tấn công từ chối dịch
vụ (DoS-Denial of Service) là một vấn nạn lớn đối với các website, kiểu tấn công này tuy
"cổ điển" nhưng không vì thế mà mất đi tính nguy hiểm đối với hệ thống mạng. Tấn công
DoS được chia thành hai loại: Tấn công từ một cá thể, hay tập hợp các cá thể (DoS) và tấn
công từ một mạng máy tính được thiết kế để tấn công tới một đích cụ thể nào đó (DDoSDistributed Denial of Service). Các cuộc tấn công DDoS hiện nay diễn ra rất phức tạp với
qui mô ngày càng lớn, hiện đây được xem là nguy cơ số một về an ninh mạng của các
website vì khả năng chống đỡ lại nó rất ít.
Những cuộc tấn công DDoS nổi tiếng trên thế giới có thể kể đến như: Năm 2008, trong
cuộc chiến Nam Ossetia, cuộc tấn công DDoS hướng vào các trang web của chính phủ gây
tình trạng quá tải trên nhiều máy chủ bao gồm cả trang web của tổng thống và ngân hàng
quốc gia Georgia. Năm 2009, cuộc bầu cử tại Iran cũng bị tấn công DDoS vào trang web
chính thức của chính phủ Iran khiến không thể truy cập được làm cản trở chính phủ.
06/2009, một số trang mạng xã hội như Twitter, Facebook, Google và các trang blog bị tấn
công bởi DDoS làm người dùng không truy cập và cập nhật cũng khó khăn hơn. Tháng
8/2010, máy chủ của trung tâm ứng dụng văn phòng Ireland bị tấn công DDoS gây khó
khăn cho các trường đại học và cao đẳng. Tháng 11/2010, trang Wikileaks.org bị tấn công
DDoS ngay khi WikiLeaks chuẩn bị tung ra những tài liệu mật của chính phủ Mỹ…
Mức độ ảnh hưởng nghiêm trọng của các cuộc tấn công từ chối dịch vụ, mà đặc biệt
được nhắc đến nhiều nhất là tấn công từ chối dịch vụ phân tán (DDoS), đó dẫn đến một loạt
các nghiên cứu nhằm hiểu rõ hơn về các cơ chế tấn công, để đưa tới các cách thức giúp có
thể phòng chống ảnh hưởng tiêu cực của nó. Có nhiều phương pháp đó được đề xuất nhằm
chống lại các cuộc tấn công từ chối dịch vụ, từ việc lọc các gói tin để tránh giả mạo địa chỉ
nguồn, chuyển hướng tấn công, đẩy ngược luồng giao thông tấn công trở lại mạng, cách ly
để phân biệt máy khách và giao thông máy chủ,…Mỗi giải pháp đó đều rất tốt, và cung cấp
kĩ thuật giúp chúng ta định vị vấn đề tấn công từ chối dịch vụ. Song các phương pháp chỉ
có thể bảo vệ lại từng khía cạnh của tấn công từ chối dịch vụ. Khóa luận của em trình bày
tổng quan các đặc điểm của tấn công từ chối dịch vụ, các phương thức tấn công từ chối dịch
vụ, đồng thời đưa ra các kịch bản mô phỏng cách thức tấn công từ chối dịch vụ; đưa ra một


số kịch bản phòng thủ tấn công từ chối dịch vụ. Qua đó giúp người đọc hiểu được phần nào
về tấn công từ chối dịch vụ, đồng thời có thêm nhận biết việc đang là nạn nhân của tấn công
từ chối dịch vụ và đưa ra phương án phòng chống kịp thời.
Khoá luận được tổ chức như sau:


2
Chương 1: Tổng quan về tấn công từ chối dịch vụ nêu lên tầm nghiêm trọng, nhận biết
cơ bản và một số ví dụ, hình ảnh cụ thể về tấn công từ chối dịch vụ. Đặc điểm cụ thể và
phân loại tấn công từ chối dịch vụ, phân tích các phương thức tấn công từ chối dịch. Các
phương pháp phòng chống tấn công từ chối dịch vụ đã và đang được sử dụng. Một số
phương pháp cụ thể để ngăn chặn, hoặc lọc và bỏ qua tấn công từ chối dịch vụ
Chương 2: Xây dựng mô hình mô phỏng và các kịch bản tấn công từ chối dịch vụ trên
máy ảo và thực hiện các kịch bản tấn công.
Chương 3: Thực nghiệm mô hình phòng thủ chống dựa trên phần mềm D-Guard Anti
DDoS Firewall và SNORT.


3

LỜI CẢM ƠN
Em xin trân thành cảm ơn Khoa Công nghệ thông tin, Trường Đại học Hải Phòng đã
tạo điều kiện thuận lợi cho em học tập và thực hiện đề tài này.
Em bày tỏ sự biết ơn sâu sắc đến Thầy Lê Đắc Nhường người trực tiếp tận tình hướng
dẫn em trong suốt quá trình thực hiện luận văn. Với sự chỉ bảo của thầy đã giúp em định
hướng tốt nhất trong việc triển khai và thực hiện hoàn thành khóa luận tốt nghiệp của mình.
Em xin trân thành cảm ơn đến các Thầy Cô Khoa Công nghệ thông tin đã tận tình
giảng dạy, trang bị những kiến thức quý báu trong suốt những khóa học vừa qua.
Em xin gửi lời cảm ơn tới gia đình và các bạn đã giúp đỡ, động viên em trong suốt
quá trình học tập cũng như thực hiện đề tài này.

Mặc dù em đã cố gắng hết sức để thực hiện đề tài nhưng chắc chắn không tránh khỏi
thiếu sót và hạn chế, kính mong nhận được sự giúp đỡ của Thầy Cô cùng các bạn.
Hải Phòng , ngày 30 tháng 05 năm 2014
Sinh viên thực hiện
Lê Văn Linh


4

MỤC LỤC
MỞ ĐẦU ..................................................................................................................... 1
LỜI CẢM ƠN ............................................................................................................. 3
MỤC LỤC ................................................................................................................... 4
CHƯƠNG 1. TẤN CÔNG TỪ CHỐI DỊCH VỤ .................................................... 6
1.1 Tấn công từ chối dịch vụ, nguy cơ và thách thức .............................................. 6
1.1.1 Thực trạng và thách thức ............................................................................ 6
1.1.2 Tấn công từ chối dịch vụ phân tán ........................................................... 10
1.2 Các giải pháp phòng chống tấn công DDoS .................................................... 20
1.2.1 Biện pháp Pushback ................................................................................. 20
1.2.2 Biện pháp Traceback ................................................................................ 20
1.2.3 Biện pháp D-WARD ................................................................................ 22
1.2.4 Biện pháp NetBouncer ............................................................................. 23
1.2.5 Biện pháp “Proof of Work” ...................................................................... 25
1.2.6 Biện pháp DefCOM .................................................................................. 25
1.2.7 Biện pháp COSSACK .............................................................................. 26
1.2.8 Biện pháp Pi ............................................................................................. 27
1.2.9 Biện pháp SIFF ......................................................................................... 28
1.2.10 Biện pháp lọc đếm chặng HCF............................................................... 28
CHƯƠNG 2. MÔ PHỎNG TẤN CÔNG TỪ CHỐI DỊCH VỤ ......................... 30
2.1 . Các công cụ mô phỏng tấn công .................................................................... 30

2.1.1 VM Ware Workstation ............................................................................. 30
2.1.2 HOIC (Hight Orbit Ion Canon) ................................................................ 31
2.1.3 JAYS SHELL BOOTER .......................................................................... 31
2.1.4 WinPcap ................................................................................................... 32
2.1.5 D-Guard AntiDDos FireWall ................................................................... 32
2.1.6 Snort và Rules........................................................................................... 33
2.1.7. Wire Shark ............................................................................................... 33
2.1.8 iTraffic Monitor ........................................................................................ 34
2.2. Thiết kế và cài đặt mô hình thực nghiệm ....................................................... 34
2.3 Mô phỏng tấn công DoS .................................................................................. 37
2.3.1 Kịch bản 1................................................................................................. 37
2.3.2 Kịch bản 2................................................................................................. 40
CHƯƠNG 3. GIẢI PHÁP PHÒNG CHỐNG TẤN CÔNG DOS ........................ 42
3.1 Phòng thủ sử dụng D-Guard Anti DDoS Firewall .......................................... 42


5
3.2 Giải pháp phòng chống với SNORT................................................................ 43
3.2.1 Sử dụng Snort để Sniffer Packet .............................................................. 43
3.2.2 Sử dụng Snort ở chế độ Network IDS ...................................................... 44
KẾT LUẬN ............................................................................................................... 49
TÀI LIỆU THAM KHẢO ....................................................................................... 50


6

CHƯƠNG 1. TẤN CÔNG TỪ CHỐI DỊCH VỤ
Hiện nay tấn công mạng đang là một trong những vẫn đề khá cấp bách và quan trọng
trong vấn đề an ninh bảo mật mạng của Việt Nam cũng như của toàn thế giới. Có rất nhiều
cách tấn công như: DoS, DDoS, SQL Injection, Virus, Worm, Backdoor,Trojan... Nhưng

tấn công DoS và DDoS vẫn là khó phòng chống và gây ra sự phiền toái khó chịu nhất.
Một số cuộc tấn công DoS tiêu biểu:
-

Vào ngày 7/3/2000: website yahoo.com đã phải ngừng phục vụ trong nhiều giờ
liền. Đây có thể coi là cuộc tấn công DoS đầu tiên

-

Vào ngày 15 tháng 8 năm 2003, Microsoft đã chịu đợt tấn công DoS cực mạnh
và làm gián đoạn websites trong vòng 2 giờ.

-

Vào lúc 15:09 giờ GMT ngày 27 tháng 3 năm 2003: toàn bộ phiên bản tiếng
anh của website Al-Jazeera bị tấn công làm gián đoạn trong nhiều giờ.

-

Việt Nam 1 số site bị tấn công từ chối dịch vụ như Dân trí, BKAV, Vietnamnet

Hình 1. 1 Website của Bkav và Dantri bị tấn công DDoS
1.1 Tấn công từ chối dịch vụ, nguy cơ và thách thức
1.1.1 Thực trạng và thách thức
Ngày nay, cùng với sự gia tăng nhanh chóng của các ứng dụng trên mạng Internet
đang đặt ra nhiều vấn đề về an ninh mạng trong việc phát hiện các hành vi tấn công phá
hoại trên mạng có chủ định như hacker, sâu mạng, virus... Trong đó, tấn công từ chối dịch
vụ (DoS-Denial of Service) là một vấn nạn lớn đối với các website, kiểu tấn công này tuy
"cổ điển" nhưng không vì thế mà mất đi tính nguy hiểm đối với hệ thống mạng. Tấn công
DoS được chia thành hai loại: Tấn công từ một cá thể, hay tập hợp các cá thể (DoS) và tấn

công từ một mạng máy tính được thiết kế để tấn công tới một đích cụ thể nào đó (DDoS-


7
Distributed Denial of Service). Các cuộc tấn công DDoS hiện nay diễn ra rất phức tạp với
qui mô ngày càng lớn, hiện đây được xem là nguy cơ số một về an ninh mạng của các
website vì khả năng chống đỡ lại nó rất ít. Những cuộc tấn công DDoS nổi tiếng trên thế
giới có thể kể đến như: Năm 2008, trong cuộc chiến Nam Ossetia, cuộc tấn công DDoS
hướng vào các trang web của chính phủ gây tình trạng quá tải trên nhiều máy chủ bao gồm
cả trang web của tổng thống và ngân hàng quốc gia Georgia. Năm 2009, cuộc bầu cử tại
Iran cũng bị tấn công DDoS vào trang web chính thức của chính phủ Iran khiến không thể
truy cập được làm cản trở chính phủ. 06/2009, một số trang mạng xã hội như Twitter,
Facebook, Google và các trang blog bị tấn công bởi DDoS làm người dùng không truy cập
và cập nhật cũng khó khăn hơn. Tháng 8/2010, máy chủ của trung tâm ứng dụng văn phòng
Ireland bị tấn công DDoS gây khó khăn cho các trường đại học và cao đẳng. Tháng 11/2010,
trang Wikileaks.org bị tấn công DDoS ngay khi WikiLeaks chuẩn bị tung ra những tài liệu
mật của chính phủ Mỹ…

Hình 1. 2 Số lượng các đợt tấn công tại các nước Qúy I/2013 của Prolexic
Báo cáo quý I năm 2013 của Prolexic về số lượng các đợt tấn công DDoS tại các nước
được thể hiện trong Hình 1.Theo đó, số lượng các đợt tấn công DDoS nhằm vào Việt Nam
chiếm 2.16%. Bộ phận bảo mật Microsoft báo cáo số liệu thống kê chính thức ở Việt Nam
có khoảng 300 website bị tấn công năm 2011 và hơn 2.500 năm 2012 (Đây là những cuộc
tấn công lớn, được theo dõi và ghi nhận). Tập đoàn bảo vệ bảo mật máy tính quốc tế
Symantec đánh giá Việt Nam hiện đứng thứ 11 trên toàn cầu về nguy cơ bị tấn công mạng
với số lượng các vụ tấn công có chủ đích gia tăng từ 77 cuộc lên đến trên 82 cuộc mỗi ngày.
Trong Quý I năm 2013, số lượng đợt tấn công tăng 47% trong tổng số cuộc tấn công
DDOS, giảm 9% trung bình các cuộc tấn công băng thông, tăng 68% các cuộc tấn công vào
cơ sở hạ tầng (Lớp 3 & 4) , giảm 21% các cuộc tấn công vào ứng dụng, giảm 50% thời gian
tấn công trung bình: 35 so với 17 giờ, tăng 133% băng thông tối đa trung bình. Trong Quý

IV năm 2013, , số lượng đợt tấn công tăng 18% trong tổng số cuộc tấn công DDoS, tăng
39% trung bình các cuộc tấn công băng thông, tăng 35% các cuộc tấn công vào cơ sở hạ
tầng (lớp 3 & 4), giảm 36% các cuộc tấn công vào ứng dụng, giảm 24% trong thời gian tấn


8
công trung bình: 23 so với 17 giờ, tăng 114% băng thông tối đa trung bình. So với Quý
I/2013, tổng số các cuộc tấn công DDoS đã tăng 47%. Sự gia tăng này diễn ra bất chấp sự
sụt giảm 21% tấn công lớp ứng dụng, đánh dấu một sự thay đổi tiếp tục hướng tới cơ sở hạ
tầng - phương pháp cơ bản. Một số các các cuộc tấn công cơ sở hạ tầng tăng có thể là do
sự xuất hiện của chargen và NTP hướng tấn công phản xạ. Hai hướng tấn công đã chiếm
23% của các cuộc tấn công vào cơ sở hạ tầng giảm nhẹ trong Quý I năm 2014. Thời gian
tấn công trung bình giảm trong quý này so với quý 1 năm 2013, giảm xuống còn 17 giờ so
với 35 giờ. Băng thông trung bình giảm 9% trong quý 1 năm 2014 so với một năm trước
trong khi các gói dữ liệu mỗi giây (pps) tăng 24%.
Thời gian gần đây, các chiến dịch tấn công DDoS ở Qúy I/2014 là như gây nhiều thiệt
hại như các năm trước. Sự khác biệt chính là phong cách thực hiện cuộc tấn công: các mối
độc hại làm cho các cuộc tấn công DDoS xảy ra thường xuyên hơn với lượng gấp hai lần
của một năm trước. Mặc dù băng thông trung bình thấp hơn so với quý 1 năm 2013, quý 1
năm 2014 các cuộc tấn công cũng thấy tỷ lệ tấn công tối đa lớn nhất (bps) cho đến nay. So
với quý 4 2013, tăng 18% trong tổng số các cuộc tấn công trong quý 1 năm 2014. Số vụ tấn
công cơ sở hạ tầng tăng 35%, tăng mạnh bởi sự gia tăng đáng kể trong việc sử dụng các
cuộc tấn công NTP Floods. NTP floods đã bắt đầu tăng vào cuối quý 4. Xu hướng này tiếp
tục phát triển ở Q1, làm cho NTP Floods một trong những kiểu tấn công phổ biến hơn trong
quý này. Các cuộc tấn công giảm nhẹ gần 17%, phương phápNTP Floods gần đạt cùng một
mức độ sử dụng SYN Floods Attack. Một thay đổi đáng chú ý trong quý này đã tăng 39%
trong băng thông trung bình. Thống kê của Prolexic cho thấy của các cuộc tấn công DDoS
lớn chưa từng giảm nhẹ, xảy ra trong quý này và vượt quá 200 Gbps. Các cuộc tấn công
DDoS tiếp tục xảy ra thường xuyên hơn, cùng với một sự gia tăng nhất định trong các cuộc
tấn công dựa trên cơ sở hạ tầng.


Hình 1. 3 Băng thông tối đa trung bình và số gói cao điểm mỗi giây
(Q1/2014, Q4/2013, Q1/2013)


9
Tổng số hướng tấn công: Trong quý đầu năm nay, các cuộc tấn công lớp cơ sở hạ
tầng đảm nhận vị trí ưu thế hơn so với các cuộc tấn công lớp ứng dụng, một sự thay đổi từ
xu hướng lịch sử gần đây và tăng 11 % so với quý trước. Lớp cơ sở hạ tầng tấn công vector
đại diện 87% của các cuộc tấn công, trong khi hướng tấn công lớp ứng dụng chỉ chiếm 13
%. Xu hướng này lặp lại sự sẵn có gia tăng và tiện lợi của các công cụ tấn công DDoS và
DDoS cho thuê các trang web sử dụng phương pháp tấn công dựa trên cơ sở hạ tầng. Ngoài
ra, các mối độc hại đang ngày càng sử dụng các cuộc tấn công DDoS dựa trên độ bão hòa
băng thông cao, bằng cách tận dụng các yếu tố khuếch đại có sẵn có sử dụng chiến thuật
phản xạ. Một yếu tố khác góp phần là khả năng của họ để khởi động các cuộc tấn công
DDoS mà không cần phần mềm độc hại lây nhiễm. Thay vào đó, họ đang tận dụng Internet
như một botnet đã sẵn sàng để sử dụng và thiết bị mạng victimizing hợp pháp thông qua
giao thức Internet thông thường.

Hình 1. 4 Hướng tấn công trong quý 1 năm 2014, quý 4 năm 2013, quý 1 năm 2013
Điều đó chứng tỏ, càng phát triển mạnh về công nghệ thì lỗ hổng bảo mật càng lớn,
nghiên cứu các giải pháp bảo mật đang thu hút được nhiều nhà nghiên cứu quan tâm và
đang là một thách thức.


10
1.1.2 Tấn công từ chối dịch vụ phân tán
1.1.2.1 Khái niệm
Tấn công từ chối dịch vụ (DoS) là một kiểu tấn công mà một người làm cho một hệ
thống không thể sử dụng, hoặc làm cho hệ thống đó chậm đi một cách đáng kể với người

dùng bình thường, bằng cách làm quá tải tài nguyên của hệ thống. Nếu kẻ tấn công không
có khả năng thâm nhập được vào hệ thống, thì chúng cố gắng tìm cách làm cho hệ thống
đó sụp đổ và không có khả năng phục vụ người dùng bình thường đó là tấn công Denial of
Service (DoS). Mặc dù tấn công DoS không có khả năng truy cập vào dữ liệ thực của hệ
thống nhưng nó có thể làm gián đoạn các dịch vụ mà hệ thống đó cung cấp. Khi tấn công
vào một hệ thống sẽ khai thác những cái yếu nhất của hệ thống để tấn công. Hiện nay băng
thông sử dụng của một máy tính trung bình là khoảng 10Mbps đến 25Mbps, tuy nhiên một
server có băng thông truy cập trung bình là 600Mbps đến 1Gbps nên sử dụng phương thức
tấn công DoS là không hiệu quả. Vì vậy xu hướng của các Attacker bây giờ là chuyển sang
tấn công từ chối dịch vụ phân tán.

Hình 1. 5 Mô hình tấn công DDoS
Tấn công từ chối dịch vụ phân tán (DDoS) là kiểu tấn công làm cho hệ thống máy tính
hay hệ thống mạng quá tải, không thể cung cấp dịch vụ hoặc phải dừng hoạt động. Tấn
công DDoS huy động số lượng lớn các máy bị lợi dụng để tấn công nạn nhân vào cùng một
thời điểm. Do DDoS có tính chất phân tán nên việc ngăn chặn là rất khó khăn. Việc ngăn
chặn DDoS không thể từ một máy tính bị tấn công mà phải kết hợp giữa các router để tiến
hành phân tích và chặn. Do có số lượng Agent lớn và bao phủ trên diện rộng nên việc phát
hiện được các gói tin tấn công nhưng khó có khả năng giải quyết triệt để được DDoS. Ở
đây Agent là những máy trực tiếp gửi thông điệp tấn công. Trên Internet tấn công từ chối


11
dịch vụ phân tán là một dạng tấn công từ nhiều máy tính tới một đích, nó gây ra từ chốcác
yêu cầu hợp lệ của những người dùng bình thường. Bằng cách tạo ra những gói tin cực lớn
đến một đích cụ thể, nó có thể gây tình trạng tương tự như hệ thống bị shutdown.
Qua đó có thể thấy rõ những vụ tấn công từ chối dịch vụ và những cuộc tấn công về
việc gửi những gói dữ liệu tới máy chủ tới tấp là những mối lo sợ cho nhiều mạng máy tính
lớn và nhỏ hiện nay. Khi một mạng máy tính bị hacker tấn công nó sẽ chiếm một lượng lớn
tài nguyên trên server như dung lượng ổ cứng, bộ nhớ, CPU, băng thông, … Lượng tài

nguyên này phụ thuộc vào khả năng huy động tấn công của mỗi hacker. Khi đó server sẽ
không thể đáp ứng hết những yêu cầu từ những client của những người sử ụng và từ đó
server có thể nhanh chóng bị ngừng hoạt động, sụp đổ hoặc khởi động lại.
Nguyên tắc hoạt động: Cùng một lúc hoặc một địa chỉ IP bị hàng chục ngàn máy khác
tấn công vào, điều này khiến cho máy bị tràn bộ nhớ => làm server bị treo hoặc khởi động
lại, rất nguy hiểm có thể xóa sạch Database của wed đó. Đặc tính của DDoS:
-

-

Nó được tấn công từ một hệ thống các máy tính cực lớn trên Internet và thường dựa
vào các dịch vụ có sẵn trên các máy tính trong mạng botnet.
Các dịch vụ tấn công được điều khiển từ những “primary victim” trong khi các máy
tính bị chiếm quyền sử dụng trong mạng Bot được sử dụng để tấn công thường được
gọi là “secondary victim”.
Là dạng tấn công rất khó có thể phát hiện bởi tấn công này được sinh ra từ nhiều địa
chỉ IP trên Internet.
Nếu một địa chỉ IP tấn công một công ty, nó có thể được chặn bởi Firewall. Nếu nó
từ 30.000 địa chỉ IP khác thì điều này là vô cũng khó khăn.
Thủ phạm có thể gây ra nhiều ảnh hưởng bởi tấn công từ chối dịch vụ phân tán
DDoS.

1.1.2.2 Mô hình và các bước tấn công
1.1.2.2.1 Các bước tấn công
Gồm 3 giai đoạn tấn công bằng DDoS:
-

Giai đoạn chuẩn bị
+ Chuẩn bị công cụ quan trọng của cuộc tấn công, công cụ này thông thường hoạt
động theo mô hình client-server. Hacker có thể viết phần mềm này hay down

load một cách dễ dàng, theo thông kê tạm thời có khoảng hơn 10 công cụ DDoS
được cung cấp miễn phí trên mạng.
+ Kế tiếp, dùng các kỹ thuật hack khác để nắm trọn quyền một số host trên mạng,
tiến hành cài đặt các software cần thiết trên các host này, việc cấu hình và thử


12

-

-

nghiệm toàn bộ attack-network (bao gồm mạng lưới các máy bị lợi dụng cùng
với các software đã được thiết lập trên đó, máy của hacker hoặc một số máy
khác đã được thiết lập như điểm phát động tấn công) cũng sẽ được thực hiện
trong giai đoạn này.
Giai đoạn xác định mục tiêu và thời điểm:
+ Sau khi xác định mục tiêu lần cuối, hacker sẽ hoạt động điều chỉnh attacknetwork chuyển hướng tấn công về phía mục tiêu.
+ Yếu tố thời điểm sẽ quyết định mức độ thiệt hại và tốc độ đáp ứng của mục tiêu
đối với cuộc tấn công.
Phát động tấn công và xóa dấu vết:
+ Dùng thời điểm đã định, hacker phát động tấn công từ máy của mình, lệnh tấn
công này có thể đi qua nhiều cấp mới đến host thực sự tấn công. Toàn bộ attacknetwork (có thể lên đến hang ngàn máy), sẽ vắt cạn năng lực của server mục
tiêu liên tục, ngăn chặn không cho nó hoạt động như thiết kế.
+ Sau một khoẳng thời gian tấn công thích hợp, hacker tiến hành xóa mọi dấu vết
có thể truy ngược đến mình, việc này đòi hỏi trình độ khá cao và không tuyệt
đối cần thiết.
1.1.2.2.1 Mô hình tấn công

Mô hình Agent-Handler: Theo mô hình này, attack-network gồm 3 thành phần:

Agent, Client và Handler. Client là software cơ sở để hacker điều khiển mọi hoạt động của
attack-network. Handler là một thành phần software trung gian giữa Agent và Client. Agent
là thành phần software thực hiện sự tấn công mục tiêu, nhận điều khiển từ Client thông qua
các Handler.

Hình 1. 6 Mô hình tấn công Agent-Handler
Attacker sẽ từ Client giao tiếp với Handler để xác định số lượng Agent đang online,
điều chỉnh thời điểm tân công và cập nhập các Agent. Tùy theo cách attacker cấu hình
attack-network, Agent sẽ chịu sự quản lý của một hay nhiều Handler.


13
Thông thường Attacker sẽ đặt Hander software trên một Router hay một server có
lượng traffic lưu thông nhiều.Việc này nhằm làm cho các giao tiếp giữa Client, Handler và
Agent khó bị phát hiện.Chủ nhân thực sự của các Agent thông thường không hề hay biết
họ bị lợi dụng vào cuộc tấn công kiểu DDoS,do họ không đủ kiến thức hoặc các chương
trình Backdoor Agent chỉ sử dụng rất ít tài nguyên hệ thống làm cho hầu như không thể
thấy ảnh hưởng gì đến hiệu năng của hệ thống.
Mô hình IRC-Based: Internet Relay Chat (IRC) là một hệ thống online chat
multiuser,IRC cho phép User tạo một kết nối đến multipoint đến uer khác và chat thời gian
thực. Kiến trúc của IRC network bao gồm nhiều IRC server trên khắp internet giao tiếp với
nhau trên nhiều kênh(chanel). IRC network cho phép user tạo ba loại kênh: pubic, private,
serect.
 Public channel (kênh công khai): cho phép user của channel đó thấy IRC name
và nhận được message của một user khác trên cùng channel.
 Private channel (kênh riêng tư): được thiết kế để giao tiếp với các đối tượng
cho phép. Không cho phép các user không cùng channel thấy IRC name và
message. Tuy nhiên, nếu người dùng bên ngoài dùng một số lệnh định vị lại
kênh thì có thể biết được sự tồn tại của kênh riêng tư này.
 Secret channel (kênh bí mật): Tương tự như private channel nhưng không thể

xác định bằng biện pháp định vị kênh.

Hình 1. 7 Mô hình tấn công IRC
Mô hình IRC cũng tương tự như Agent-Handler network nhưng mô hình này sử dụng
các kênh giao tiếp giữa Client và Agent (không sử dụng Handler).Sử dụng mô hình này,
attacker còn thêm một số lợi thế khác như: Các giao tiếp dưới dạng chat message làm cho
việc phát hiện chúng là vô cùng khó khăn. Lưu lượng IRC có thể di chuyển trên mạng với
số lượng lớn mà không bị nghi ngờ. Không cần phải duy trì danh sách các Agent, hacker
chỉ cần logon vào IRC server là đã có thể nhận được report về trạng thái các Agent do các
channel gửi về. Sau cùng IRC cũng là một môi trường file sharing tạo điều kiện phát tán
các Agent code lên nhiều máy khác.


14
1.1.2.3 Các cách thức tấn công
Có một số phương pháp gây ra từ chối dịch vụ.Tạo ra một hiệu ứng DoS là tất cả các
cách có thể để phá hỏng hoặc làm cho hệ thống ngừng hoạt động. Có nhiều cách để làm
một hệ thống ngừng hoạt động, và thường sẽ ổn định vị trí để tấn công vào trong chúng cho
đến khi nhận được kết quả mong muốn: mục tiêu phải bị chuyển sang trạng thái offline.

Hình 1. 8 Phân loại các cách tấn công
1.1.2.3.1 Khai thác các điểm yếu của mục tiêu
Việc tấn công bằng cách khai thác các điểm yếu của mục tiêu bao gồm việc gửi các
gói tin khai thác các lỗ hổng tồn tại trong máy mục tiêu đó.Ví dụ, có một lỗi trong Windows
95 và NT và một số hạt nhân Linux, trong việc xử lý không đúng các gói phân mảnh.Thông
thường, khi một gói tin quá lớn cho một mạng nào đó, nó được chia thành hai (hoặc hơn),
và mỗi phần trong số đó được đánh số thứ tự phân mảnh.Việc đánh dấu chỉ ra thứ tự của
byte đầu tiên và byte cuối cùng trong gói tin, đối với bản gốc. Tại máy nhận các gói tin,
chúng được hợp lại thành các gói dữ liệu gốc thông qua việc nối các gói tin theo số thứ tự
đã đánh. Tuy vậy các lỗ hổng trong hạt nhân trên đã khiến cho máy trở nên không ổn định

khi nhận các gói tin không đúng số thứ tự phân mảnh, khiến nó có thể treo, sụp đổ, hoặc
khởi động lại. Điểm dễ bị tổn thương này có thể được khai thác bằng cách gửi gói tin UDP
với số thứ tự lặp cho nạn nhân. Có một số biến thể của việc khai thác này – gửi các mảnh
có sốthứ tự chồng nhau, một gói tin có offset chồng lên gói thứ hai trước khi bắt đầu tiêu
đềtrong gói đầu tiên, và như vậy. Chúng được biết đến như là các khai thác bonk, boink,
teardrop và newtear. Các cuộc tấn công đặc biệt dễ gây tổn thương xấu bởi vì chúng có thể
làm sụp đổ hay treo máy bằng việc chỉ cần gửi lặp lại một hoặc hai gói tin được chọn lựa


15
cẩn thận. Tuy nhiên, một khi lỗ hổng được vá, các cuộc tấn công ban đầu trở nên hoàn toàn
không hiệu quả.
1.1.2.3.2 Tấn công vào giao thức
Một ví dụ lý tưởng của các cuộc tấn công giao thức đó là tấn công tràn ngập gói TCP
SYN. Một phiên kết nối TCP bắt đầu với việc bắt tay ba bước giữa một máy khách và máy
chủ. Khách hàng gửi một gói tin TCP SYN đến máy chủ, yêu cầu một số dịch vụ. Trong
phần đầu gói SYN, khách hàng cung cấp số thứ tự - sequence number của mình, một
uniqueper- số kết nối sẽ được sử dụng để đếm dữ liệu được gửi đến máy chủ (vì vậy các
máy chủ có thể nhận ra và xử lý mất tích, thứ tiệu dữ liệu không đúng, hoặc dữ liệu lặp đi
lặp lại). Khi nhận được gói SYN, máy chủ cấp phát một khối điều khiển truyền dẫn (TCB),
lưu trữ thông tin về khách hàng. Sau đó nó trả lời bằng một SYN-ACK, thông báo cho
khách hàng có yêu cầu rằng dịch vụ của nó sẽ được cấp, ghi nhận số thứ tự của khách hàng
và gửi thông tin về số thứ tự ban đầu của máy chủ. Các khách hàng, khi nhận được gói
SYN-ACK, cũng cấp phát một khối điều khiển truyền dẫn, sau đó trả lời với một gói ACK
đến máy chủ, để hoàn thành việc mở kết nối.

Hình 1. 9 Kiểu tấn công SYN Floods Attack
Tiềm năng lạm dụng nằm trong việc cấp phát nguồn tài nguyên của máy chủ ngay từ
khi nhận được gói SYN. Khi máy chủ giao TCB của mình và trả lời bằng một SYN-ACK,
kết nối được cho là nửa mở. Nghĩa là tài nguyên máy chủ cấp phát sẽ được giữ để dành cho

kết nối với khách hàng, cho đến khi khách hàng gửi một gói tin ACK, đóng kết nối (bằng
cách gửi gói tin RST) hoặc cho đến khi hết hạn chờ và server ngắt kết nối, giải phóng không
gian đệm. Và cho dù khách hàng có gửi lại gói tin khác, hay không, thì tài nguyên đó sẽ
được cấp phát giữ trong một khoảng thời gian nhất định. Trong một cuộc tấn công tràn gói
tin TCP SYN, kẻ tấn công tạo ra vô số các kết nối nửa mở bằng cách sử dụng giả mạo IP
nguồn. Những yêu cầu nhanh chóng vắt kiệt bộ nhớ TCB của máy chủ, và khi đó máy chủ


16
sẽ không còn có thể chấp nhận yêu cầu kết nối đến nữa.Để có thể giữ cho tình trạng này
được kéo dài như mong muốn, kẻ tấn công cần phải tạo ra một dòng đều đặn các gói SYN
đối với nạn nhân (để giành lấy những tài nguyên đã được giải phóng bởi thời gian tạm
ngưng hoặc hoàn thành các phiên TCP).
Đây là một cuộc tấn công đặc biệt nguy hiểm, khi mà máy chủ nhận được một số
lượng lớn các gói SYN hợp pháp và không thể dễ dàng phân biệt các gói từ khách hàng hợp
pháp với các gói từ giao thông tấn công.Để thực hiện thành công một cuộc tấn công tràn
ngập gói SYN, kẻ tấn công cần xác định vị trí cổng mở trên máy của nạn nhân. Sau đó, chỉ
cần gửi một lưu lượng gói tin nhỏ, tầm 10 gói SYN/ phút là có thể dần dần vắt kiệt tài
nguyên của nạn nhân. Một kiểu tấn công SYN ít phổ biến hơn đó là tấn công tràn gói SYN
với cổng ngẫu nhiên. Trong đó, kẻ tấn công tạo ra một khối lượng lớn các gói tin TCP SYN
nhắm mục tiêu cổng ngẫu nhiên của nạn nhân, với mục tiêu áp đảo tài nguyên mạng của
nạn nhân, hơn là làm đầy bộ nhớ đệm của nạn nhân. Tấn công vào giao thức rất khó để có
thể chống lại bằng phương pháp sửa chữa, tạo bản vá.Bởi tạo bản vá yêu cầu phải thay đổi
giao thức, trong khi thực tế cho thấy việc thay đổi giao thức internet gần như là bất khả
thi.Trong một số trường hợp, việc sử dụng giao thức hiện tại một cách thông mình có thể
giải quyết vấn đề.Như việc sửdụng TCP SYN cookies có thể giải quyết được tấn công tràn
gói SYN mà chỉ cần thay đổi cách server xử lý kết nối đến.
1.1.2.3.3 Tấn công vào Middleware
Các cuộc tấn công có thể được thực hiện trên các thuật toán, chẳng hạn như hàm băm
mà thông thường sẽ thực hiện các hoạt động của mình trong thời gian tuyến tính cho mỗi

mục tiếp theo. Bằng cách chèn các giá trị mà tạo ra các trường hợp xấu nhất, kẻ tấn công
có thể khiến các ứng dụng thực hiện chức năng của mình trong thời gian tiếp theo hàm mũ
đối với mỗi tham số nhập vào. Khi kẻ tấn công có thể tự do gửi dữ liệu được xử lý bằng
cách sử dụng hàm băm dễ bị tổn thương, hắn có thể gây ra việc CPU của máy chủ bị sử
dụng quá năng lực khiến cho những hoạt động bình thường chỉ tốn vài phần của giây để xử
lý, giờ phải mất vài phút để hoàn thành. Và nó cũng không cần đến một số lượng lớn request
để thực hiện cũng có thể làm quá tải các ứng dụng, khiến nó không còn năng lực để phục
vụ được người dùng hợp pháp.
1.1.2.3.4 Tấn công vào ứng dụng
Những kẻ tấn công có thể nhắm mục tiêu một ứng dụng cụ thể và gửi gói tin để đạt
tới giới hạn của yêu cầu dịch vụ ứng dụng này có thể xử lý. Ví dụ, các máy chủ web phải
mất một thời gian nhất định để phục vụ yêu cầu trang Web bình thường, và do đó sẽ tồn tại
một số hữu hạn các yêu cầu tối đa cho mỗi giây mà họ có thể duy trì. Nếu chúng ta giả định
rằng các máy chủ Web có thể xử lý 1.000 yêu cầu mỗi giây để tải các file tạo nên trang chủ


17
của một công ty, do đó nhiều nhất là 1.000 yêu cầu của khách hàng có thể được xử lý đồng
thời. Chúng ta giả định là máy chủ Web này bình thường xử lý hàng ngày là 100 yêu
cầu/giây (một phần mười công suất).
Nhưng nếu kẻ tấn công điều khiển 10.000 máy agent, và có khả năng mỗi một máy
trong số đó có thực hiện một yêu cầu mỗi 10 giây đến máy chủ Web? Đó là tần suất 1.000
yêu cầu / giây, cộng thêm vào giả định giao thông bình thường nữa trở thành 110% công
suất của máy chủ.Bây giờ một phần lớn các yêu cầu hợp pháp sẽ không thể thông qua bởi
vì máy chủ bị bão hòa. Cũng như các cuộc tấn công vào middle ware, một cuộc tấn công
ứng dụng có thể không làm tê liệt toàn bộ máy chủ lưu trữ hoặc xuất hiện như một số lượng
lớn các gói tin gửi tới server. Vì vậy, một lần nữa, nhiều cách phòng thủ không thể giúp
bảo vệ chống lại loại hình tấn công này.
1.1.2.3.5 Tấn công vào tài nguyên
Những kẻ tấn công có thể nhắm mục tiêu một tài nguyên cụ thể như chu kỳ CPU hoặc

khả năng chuyển đổi router. Trong tháng 1 năm 2001, Microsoft phải chịu một lỗi mất điện
được báo cáo gây ra bởi một lỗi cấu hình mạng.Điều này đã phá vỡ một số lượng lớn tài
sản của Microsoft. Khi tin tức về cuộc tấn công được công bố, người ta đã phát hiện ra rằng
tất cả các máy chủ DNS của Microsoft ở trên cùng một network segment, phục vụ bởi cùng
một router. Sau đó kẻ tấn công nhắm vào cơ sở hạ tầng định tuyến ở phía trước của các máy
chủ và đánh sập tất cả các dịch vụ trực tuyến của Microsoft.
Microsoft nhanh chóng di chuyển để giải tán các máy chủ tên miền của họ đi nơi khác
và cung cấp định tuyến đường dẫn dự phòng đến các máy chủ để gây khó khan cho kẻ tấn
công trong việc phá hoại hoạt động dịch vụ của họ.Loại bỏ tắc nghẽn và nâng cao năng lực
có thể giải quyết các cuộc tấn công tài nguyên, tuy nhiên kẻ tấn công có thể đáp lại bằng
các cuộc tấn công mạnh mẽ hơn nữa.Và đối với các công ty có nguồn tài nguyên ít hơn so
với Microsoft, vượt quá khả năng cung cấp và dịch vụ phân tán về mặt địa lý có thể không
phải là một lựa chọn khả thi về tài chính.
1.1.2.3.6 Pure Flooding
Với một số lượng đủ lớn các Agent, kẻ tấn công chỉ cần gửi bất kì loại gói tin nào đến
mục tiêu, càng nhanh càng tốt từ mỗi máy là đủ tiêu thụ hết băng thông mạng của mục tiêu.
Đây được gọi là cuộc tấn công tiêu thụ băng thông. Nạn nhân không thể một mình chống
đỡ lại được cuộc tấn công này, vì các gói tin hợp pháp được gửi vào liên kết giữa nhà cung
cấp dịch vụ và mạng của nạn nhân.Vì vậy, nạn nhân thường phải yêu cầu sự giúp đỡ của
các ISP để lọc ra các gói tin tấn công gửi tới.


18
Trong các trường hợp đó, thường các ISP cũng bị ảnh hưởng bởi cuộc tấn công, ít nhất
là trên router kết nối giữa mạng của ISP và của nạn nhân.Thường chính họ cũng cần phải
lọc lại trên router và thậm chí còn phải yêu cầu nhà cung cấp đường truyền upstream lọc
các giao thông đến mạng của họ.Trong vài trường hợp, các gói tin tấn công là đơn giản để
lọc như các gói tin UDP đến các cổng không được sử dụng, các gói tin với giá trị IP 255.
Ở trường hợp khác, các gói tin rất khó để lọc, như gói DNS query, http request… thì việc
lọc sẽ loại cả các gói tin hợp lệ, do đó sau khi lọc thì giao thông gửi tới khách hàng của nạn

nhân sẽ trở về không, kẻ tấn công đạt được kết quả của tấn công DoS.
1.1.2.3.7 IP Spooding
Một chiến thuật được sử dụng trong các cuộc tấn công nguy hiểm, đặc biệt ở DDoS
đó là IP Spoofing, hay IP giả mạo. Trong các gói tin mạng bình thường, trường tiêu đề sẽ
là nơi chứa địa chỉ IP của máy nguồn, địa chỉ máy đích. Giả mạo IP diễn ra khi một phần
mềm độc hại tạo ra các gói tin riêng và thay thế địa chỉ IP nguồn bằng một địa chỉ IP nào
khác, thông qua việc tạo và thiết lập các raw socket, socket do người dùng định nghĩa.

Hình 1. 10 Kiểu tấn công IP Spoofing
Có một vài mức giả mạo ip khác nhau:
-

Giả mạo IP một cách ngẫu nhiên: phần mềm sẽ tạo ra một địa chỉ IPv4 ngẫu
nhiên trong khoảng từ 0.0.0.0 đến 255.255.255.255. Trong một số trường hợp,
nó sẽ tạo ra các địa chỉ IPv4 sai, như địa chỉ thuộc miền 192.168.0.0 là miền
dùng cho mạng cá nhân, hoặc địa chỉ multicast, broastcast, địa chỉ không tồn
tại (như 0.1.2.3). Tuy vậy trong hầu hết trường hợp thì nó đều tạo được địa chỉ
IP hợp lệ và có thể định tuyến được.


19
-

-

Giả mạo mặt nạ mạng: Nếu một máy thuộc mạng 192.168.1.0/24 thì nó dễ dàng
giả mạo một máy nào khác ở trong cùng một mạng, ví dụ như máy 192.168.1.34
có thể giả mạo dễ dàng máy 192.168.1.35 hoặc 192.168.1.99.
Giả mạo chính địa chỉ của nạn nhân: Đây là một kiểu giả mạo rất nguy hiểm
nếu như máy chủ nạn nhân không có được những thiết lập phòng chống. Kẻ

tấn công chỉ cần đơn giản giả mạo địa chỉ của máy nạn nhân, gửi một gói tin
request, ví dụ như gói tin TCP SYN, và nếu máy nạn nhân không có một cơ
chế lọc tốt, nó sẽ nhận gói tin, cấp phát tài nguyên cho request và gửi trả lời lại
cho chính nó. Điều này dẫn tới một vòng lặp vô tận trong chính máy nạn nhân,
giữa một bên cần nhận thông tin phản hồi còn một bên thì không bao giờ gửi
thông tin phản hồi đó cả.

Trong thực tế, giả mạo địa chỉ IP không phải là cần thiết cho một cuộc tấn công DDoS
thành công, bởi vì kẻ tấn công có thể vắt kiệt tài nguyên và khả năng xử lý của nạn nhân
với một lượng lớn các gói tin mà không cần liên quan gì đến địa chỉ nguồn cả. Tuy vậy một
số kẻ tấn công sử dụng IP Spoofing cho một vài lý do, như để che giấu địa chỉ của các
agent, từ đó che giấu được địa chỉ của handler và của kẻ tấn công tốt hơn, hoặc sử dụng cho
tấn công phản xạ nhiều vùng DRDoS là hình thức tấn công mạnh nhất hiện nay giả mạo địa
chỉ IP của nạn nhân để yêu cầu một số server lớn gửi các truy vấn hợp pháp đến server nạn
nhân, kết quả là nạn nhân bị tấn công các server lớn trên thế giới, và không thể nào chống
đỡ nổi. IP Spoofing cũng giúp kẻ tấn công vượt qua cơ chế bảo vệ của một số máy chủ khi
họ lưu địa chỉ các khách hàng thườngxuyên và dùng nó làm danh sách địa chỉ tin cậy ưu
tiên truy cập trong trường hợp bịtấn công.
1.1.2.4 Xu hướng của DoS
Có một cuộc chạy đua liên tục giữa những kẻ tấn công và người phòng thủ.Ngay sau
khi có một phương thức hiệu quả bảo vệ chống lại một loại tấn công, những kẻ tấn công
thay đổi chiến thuật, tìm kiếm một cách để vượt qua những biện pháp bảo vệ này.An ninh
mạng được nâng cao, kẻ tấn công càng cải thiện công cụ của họ, thêm các tùy chọn chỉ định
cấp giả mạo hoặc mặt nạ mạng giả mạo. Một số lượng lớn các cuộc tấn công giả mạo ngày
nay sử dụng subnet, vượt qua được hầu hết các bộ lọc giả mạo ip.Các kỹ thuật mới trong
chống phân tích khiến việc phát hiện ra nhiệm vụ của công cụ tấn công khó khăn hơn. Việc
che giấu mã thực thi bằng mã hóa thực hiện trong cả hệ điều hành Windows và Unix. Các
mã che giấu như burneye, Shiva, và burneye2 đang được giám sát bởi các nhà phân tích an
ninh để giải mã được chúng. Xu hướng phát triển các công cụ tấn công DDoS theo các
chiến lược nâng cao phản ứng phòng thủ sẽ vẫn tiếp tục. Điều này được dự báo trong phân



20
tích trinoo gốc, và xu hướng sẽ tiếp tục không suy giảm.Có rất nhiều kịch bản tiềm năng
của DDoS rất khó khăn cho cơ chế bảo vệ để xử lý.
1.2 Các giải pháp phòng chống tấn công DDoS
1.2.1 Biện pháp Pushback
Pushback, đề xuất của Mahajan vào tháng 7 năm 2002 , nổi lên từ các cuộc thảo luận
trong nhóm nghiên cứu DDoS tại hội thảo DSIT, Trung tâm Điều phối CERT. Ý tưởng, lấy
từ thực tế, là nhà quản trị mạng cố gắng để đẩy lùi các giao thông tấn công trở lại nguồn
của nó, hoặc bằng cách rút một cáp mạng trong các bộ định tuyến và xem liệu lưu lượng
truy cập có dừng lại không, hay bằng cách quan sát lưu lượng mạng trên các thiết bị giám
sát. Giới hạn tỷ lệ gửi gói tin ra ngoài từ nạn nhân (pushback), sau đó giảm bớt áp lực vào
nạn nhân, cho phép nó trao đổi lưu lượng truy cập và tồn tại hiệu quả trong một thời điểm
khi các nguồn tấn công ngừng hoặc gỡ bỏ. Trường hợp này với giả định rằng các vi phạm
giao thông phân bố không đều trên tất cả các điểm có thể thâm nhập.
Có hai kỹ thuật sử dụng ở đây: Điều khiển tắc nghẽn tổng hợp (ACC) cấp địa phương
và pushback. Điều khiển tắc nghẽn tổng hợp cấp địa phương phát hiện ra tắc nghẽn ở cấp
router và đặt một tín hiệu tấn công (hoặc nhiều hơn trong từng bối cảnh thích hợp), một tín
hiệu tắc nghẽn, mà có thể được dịch ra trong một bộ lọc router. Các tín hiệu định nghĩa ra
một tập hợp băng thông cao, một tập hợp con của lưu lượng mạng và điều khiển tắc nghẽn
tổng hợp địa phương xác định tỷ lệ giới hạn thích hợp cho tập hợp này. Pushback sau đó
gửi tỉ lệ giới hạn này ngay lập tức đến những giao thông upstream lân cận, nơi đóng góp số
lượng lớn của giao thông tổng hợp. Cơ chế này hoạt động tốt nhất chống lại kiểu tấn công
gửi tràn DDoS và flash, vì chúng chia sẻ những đặc điểm chung và cố gắng để xử lý những
hiện tượng từ góc độ của công việc kiểm soát tắc nghẽn. Việc đặt ra giới hạn tỷ lệ quá cao
có thể khiến các giao thông hợp lệ cũng bị giới hạn, mất mát, còn việc đặt ra giới hạn quá
thấp có thể khiến kẻ tấn công vượt qua được sự bảo vệ.Nói chung, pushback dường như
đòi hỏi các mô hình triển khai tiếp cận tới router. Phương pháp tiếp cận hiện tại không thể
đẩy tỷ lệ giới hạn qua một router mà không hiểu phương pháp pushback.Pushback cũng

yêu cầu các router duy trì các trạng thái về luồng giao thông, đó là một gánh nặng thêm về
cơ sở hạ tầng mạng của phương pháp.
1.2.2 Biện pháp Traceback
Các đề xuất đầu tiên cho việc bảo vệ chống lại DDoS bao gồm phương pháp traceback,
thực hiện lần dấu ngược lại đến địa chỉ các agent trong mạng lưới DDoS để tìm ra vị trí của
kẻ tấn công. Giả định này dựa trên một số công cụ DDoS giả mạo các nguồn tương đối ít
về số lượng các agent (100-2,500). Đến nay, khi số lượng các agent tham gia tấn công có


21
thể thường xuyên lên tới con số hàng vạn, thì phương pháp traceback vẫn có thể giúp chúng
ta có thể truy ngược lại subnet của kẻ tấn công, từ đó nhờ vào việc block traceback từ kẻ
tấn công, tác hại của cuộc tấn công sẽ bị hạn chế đáng kể. Một đề xuất sớm đó là Traceback
qua gói ICMP bởi S.Bellovin vào tháng 11-2001, thông qua việc gửi gói tin ICMP, xác suất
mỗi n gói (trong đề xuất ban đầu n=20.000), chứa một phần của gói tin bị bắt, từ các router
quan sát đến đích. Điểm bất lợi là khi bị tấn công nặng nề với số lượng gói tin gửi đến quá
lớn, một mục tiêu có thể bị mất những gói do tắc nghẽn của các thiết bị mạng, và một số
mạng không cho phép gói ICMP được đi qua biên giới router của họ. Thậm chí các gói
ICMP cũng sẽ tạo ra lưu lượng truy cập bổ sung hướng đến nạn nhân, góp phần thêm vào
tắc nghẽn này.
Đề nghị sau đó được sử dụng một kỹ thuật được gọi là đánh dấu gói dựa theo xác suất
(PPM, Probabilistic Packet Marking). Một lần nữa, mỗi 20.000 gói gửi đến đích, một router
sẽ đánh dấu một gói tin với một tham chiếu đến chính nó.Một tần số lấy mẫu thấp đã được
lựa chọn để tránh một gánh nặng về cơ sở hạ tầng định tuyến do đánh dấu một khối lượng
lớn truy cập trong một cuộc tấn công gửi tràn gói tin. Bằng cách phân tích một số gói dữ
liệu được đánh dấu từ một nguồn nhất định, các nạn nhân của cuộc tấn công sẽ cố gắng xây
dựng một con đường quay trở lại kẻ tấn công, hoặc ít nhất là tới mép gần nhất với người
tấn công vào cơ sở hạ tầng đánh dấu. Đề nghị ban đầu của Savage, 8-2000, đã không có bất
kỳ quy định để xác thực đối với những dấu hiệu, nhưng sau đó đã có thêm kĩ thuật sử dụng
một đề nghị xác thực và toàn vẹn kiểm tra do D.X. Song nêu lên vào tháng 3-2001 tại IEEE

INFOCOM 2001. Traceback dựa trên kĩ thuật băm, đề xuất bởi A.C.Snoeren vào tháng 82001 yêu cầu router tham gia để ghi nhớ mỗi gói đi qua nó, nhưng trong một thời gian hạn
chế. Điều này cho phép truy tìm các cuộc tấn công một gói như "Ping of Death", nhưng chỉ
khi truy vấn nhanh. Các bộ máy cô lập nguồn (SPIE, Source Path Isolation Engine) nhớ
các gói thông qua việc tính toán hàm băm với các phần bất biến của một tiêu đề IP (ví dụ,
TTL và checksum). Để tăng thêm không gian bổ sung, hàm băm yếu, thay vì băm mã hóa
mạnh, được triển khai dưới hình thức các bộ lọc Bloom Filter. Những bản ghi thụ động
không cần phải tồn tại bên trong các router ngay cả khi các thiết kế phần cứng để đưa chúng
vào các router đã được thảo luận.Các nhà thiết kế SPIE nghĩ ra một cách để đặt một bản
ghi bị động trên mỗi giao diện của router. Một số người khi đó đã chỉ trích và cho rằng nó
sẽ là quá đắt để thêm một thiết bị cho mỗi giao diện, do đó, thiết bị SPIE đã được mở rộng
để có một SPIEDER với nhiều kết nối cho mỗi giao diện trên router. Mặc dù hàm băm yếu
cho phép có lỗi, chúng sẽ nhanh chóng được định hướng qua nhiều hàm băm được áp dụng
tại các bộ định tuyến khác nhau khi khoảng cách tăng dần từ nạn nhân. Nạn nhân khởi tạo
một yêu cầu traceback thông qua một mạng lưới thay thế (thật hay ảo) kết nối các nhà quản
lý traceback, các agent sinh dữ liệu, và các bộ định tuyến. Do khối lượng giao thông lớn


22
trên các mạng xươngsống, thời gian giữa việc nhận một gói tin vi phạm và yêu cầu cho
traceback sẽ mất khoảng một vài phút, tùy thuộc vào năng lực và mạng lưới giao thông.
Một kĩ thuật thứ tư sử dụng traceback, do D.Dean và các đồng nghiệp của ông đề xuất
vào tháng 2 năm 2001, là một cách tiếp cận đại số đối với vấn đề traceback. Tương tự một
phương pháp của Savage và đồng nhiệp tại ACM SIGCOMM tháng 8- 2000, kỹ thuật này
một nhúng phần thông tin lần vết vào các gói tin IP ở cấp bộ định tuyến. Đề án này mới sử
dụng các kỹ thuật đại số để mã hóa thông tin đường dẫn thành các gói và để tái tạo lại chúng
vào trang web của nạn nhân. Các tác giả hy vọng sẽ đạt được sự linh hoạt hơn trong việc
thiết kế và cải tiến trong loại bỏ thông tin thừa kẻ tấn công tạo ra và cung cấp khả năng
traceback đa tuyến.
PPM và đề xuất traceback với cách tiếp cận đại số cùng theo một số giả định như sau:
-


Kẻ tấn công có thể gửi bất kỳ gói tin.
Nhiều kẻ tấn công có thể hành động với nhau.
Kẻ tấn công nhận thức được sự hoạt động của các chương trình traceback.
Kẻ tấn công phải gửi ít nhất là hàng ngàn gói.
Tuyến đường giữa các máy nói chung là ổn định, nhưng các gói tin có thể bịsắp
xếp lại hoặc bị mất.
Router không thể thực hiện nhiều tính toán cho mỗi gói tin.
Router giả định là không thể bị chiếm dụng, nhưng không phải tất cả router đều
phải tham gia traceback.

Những giả định phân biệt rõ ràng những kỹ thuật này với một kỹ thuật đơn gói như
traceback dựa trên kĩ thuật băm. D.Dean và đồng nghiệp thảo luận về hiệu quả so với
Savage, khi những yêu cầu không gian khác nhau giữa 18 và 21 bit. Trong một số trường
hợp, họ đạt được kết quả tốt hơn một chút cho việc tái tạo lại đường đi, nhưng số trường
hợp tính toán sai vẫn còn cao. Ngoài việc đánh dấu gói tin, một đề án out-of-packet đã được
đề xuất, tương tự như Bellovin vào tháng 8-2001. Các tác giả nhận rarằng việc cải tiến thuật
toán là cần thiết, và việc tìm ra các tối ưu khác cần được khámphá.Khái niệm này cần cải
tiến hơn nữa, nhưng có thể phát triển thành một khái niệmđầy hứa hẹn trong thời gian dài.
1.2.3 Biện pháp D-WARD
D-WARD, đề xuất của Mirkovic và các đồng nghiệp [15] vào tháng 8-2003, được phát
triển tại UCLA dưới tài trợ của chương trình DARPA Fault TolerantNetwork (FTN). Hệ
thống này dựa trên mạng nguồn nhằm mục đích phát hiện cáccuộc tấn công trước hoặc khi
chúng rời khỏi mạng lưới DDoS của các agent. Nó làmột hệ thống nội tuyến, trong suốt với
người sử dụng trên mạng, thông qua việc tậphợp số liệu thống kê giao thông hai chiều từ


23
các router biên tại các mạng nguồn và sosánh chúng với các mô hình giao thông mạng xây
dựng dựa trên giao thức ứng dụngvà giao vận, phản ánh sự bình thường (hợp pháp), nghi

ngờ, hoặc hành vi tấn công.
Dựa trên mô hình ba tầng này (tấn công, nghi ngờ, bình thường), D-WARD áp dụng
tỷlệ giới hạn tại router ở tất cả các giao thông đi ra của một đích cho trước, ưu tiên giaothông
kết nối hợp pháp, hơi làm chậm lại lưu lượng truy cập đáng ngờ, và làm chậmlại các kết
nối tấn công mà nó cảm nhận. Tỷ lệ giới hạn năng động và thay đổi theothời gian, dựa trên
quan sát của tín hiệu tấn công và các chính sách hạn chế về giaothông tiêu cực. Ít giao thông
tiêu cực sẽ làm giảm nhẹ các chính sách hạn chế.Giống như hầu hết các hệ thống nghiên
cứu, D-WARD đã được thử nghiệm với mộthomegrown thiết lập các tiêu chí chuẩn DDoS,
và giống như hầu hết các hệthốngnghiên cứu, nó hoạt động tốt theo các tiêu chí chuẩn. Tuy
nhiên, hệ thống D-WARDcũng trải qua nhiều thử nghiệm độc lập vào cuối chu kỳ chương
trình DARPA FTN.Những thí nghiệm chỉ ra rằng D-WARD có khả năng để nhanh chóng
phát hiện nhữngvụ tấn công tạo ra dị thường ở giao thông hai chiều, chẳng hạn như tấn
công gửi trànnặng nề.D-WARD kiểm soát hiệu quả tất cả các giao thông, trong đó có giao
thôngtấn công, và có thiệt hại và một mức độ sai lầm chủ động thấp.Nó kịp thời khôi
phụchoạt động bình thường khi kết thúc cuộc tấn công.Bằng cách giới hạn tỷ lệ lưu
lượngtấn công hơn là ngăn chặn nó, hệ thống này một cách nhanh chóng phục hồi từ các
sailầm chủ động. Theo thiết kế, nó ngừng các cuộc tấn công tại nguồn mạng, do đó, nóyêu
cầu việc triển khai trên rộng (bao gồm một phần lớn các nguồn thực tế) để đạtđược hiệu
quả mong muốn. Trừ khi có một hình phạt cho các các hosting của DDoSagent đặt ra đối
với các mạng nguồn, đây không phải là một hệ thống mà nhà khai thácmạng sẽ hăm hở
triển khai, bởi D-WARD không cung cấp một lợi ích đáng kể cho cácnhà triển khai này.
Tuy nhiên, nó có thể được thể tích hợp nó với cơ chế bảo vệ khác mà có yêu cầu hành động
từ mạng nguồn, để cung cấp các response chọn lọc cho request.
Tóm lại, lợi thế của D-WARD nằm trong việc phát hiện và kiểm soát các cuộc tấn
công, giả định rằng giao thông tấn công thay đổi đầy đủ so với các mô hình giao thông bình
thường.Theo thực tế rằng D-WARD chọn lọc giới hạn tỷ lệ lưu lượng truy cập, nó có thiệt
hại thấp, và đáp ứng tấn công tương đối nhanh.Mặt khác, những kẻ tấn công vẫn có thể
thực hiện các cuộc tấn công thành công từ các mạng không được trang bị với hệ thống này.
1.2.4 Biện pháp NetBouncer
NetBouncer, đề xuất của O'Brien, cũng nổi lên từ chương trình DARPA FTN.Đây là

một cơ chế xác thực người dùng khi đứng ở trên mạng của Server mục tiêu. Lý tưởng nhất,
nó được định vị tại điểm nút của mạng lưới và nhằm mục đích chỉ cho phép các gói tin đến
từ khách hàng hoặc người sử dụng "hợp pháp". Một số thử nghiệm cho tính chính đáng


24
được thực hiện trên máy khách, ví dụ, một gói ping (ICMP Echo) thử nghiệm được gửi để
xem liệu có một khách hàng thực sự đằng sau những gói đã được nhận được bởi Server
đích, và cũng là một Reverse Turing Test, kiểm tra phân biệt giữa người và máy. Người
đọc có thể đã xem như một bài kiểm tra khi đăng ký một tài khoản e-mail trên các dịch vụ
e-mail Yahoo: khách hàng được yêu cầu nhập một cụm từ hay chữ bị biến dạng, hiển thị
trong một hình ảnh nền làm cho nó trở nên khó đọc, một bài kiểm tra mà thường chỉ một
con người có thể làm, không phải là một máy hay chương trình tự động. Và nếu bài kiểm
tra được vượt qua, chứng tỏ người dùng là “hợp pháp” thì yêu cầu đến Server đích được
tiếp tục nếu không NetBouncer chấm dứt kết nối. Một khi các khách hàng đã chứng tỏ rằng
người đó thực sự là hợp pháp, họ được thêm vào danh sách của khách hàng hợp pháp và
được cho ưu đãi đối với khách hang chưa được hợp pháp.Danh sách này được quản lý bằng
kỹ thuật quản lý dịch vụ chất lượng và đảm bảo chia sẻ công bằng các tài nguyên giữa tất
cả các khách hàng hợp pháp. Để ngăn chặn một cuộc tấn công từ việc kế thừa các thông tin
của một khách hàng hợp pháp, tính hợp pháp hết hạn sau một thời gian nhất định và cần
phải được đánh giá lại bằng cách sử dụng cùng một hoặc một vài bài kiểm tra khác nhau.
Như vậy cách tiếp cận có thể làm việc?Nó có thể đánh bại nhiều cuộc tấn công giả
mạo, bởi những bài kiểm tra challenge phải tiếp cận nguồn gốc thực sự của các gói tin để
giao dịch hoàn thành.Các tài nguyên mạng sẵn có được chia sẻ một cách công bằng giữa
các khách hàng đã được chứng minh tính hợp pháp của họ. Tuy nhiên, NetBouncer giả định
những thuộc tính nhất định của khách hàng, chẳng hạn như khả năng để trả lời cho ping (ví
dụ, để kiểm tra sự hiện diện của một khách hàng), mà không phải tất cả khách hàng đều hỗ
trợ, đặc biệt là những người có cài tường lửa hay bộ định tuyến DSL có bật tính năng an
ninh bổ sung. Mặc dù kháchhàng là hợp pháp, hệ thống không được bảo vệ chống lại các
cuộc tấn công mạo danh, nghĩa là, một kẻ tấn công có thể lợi dụng thực tế là một khách

hàng hợp pháp đã thực hiện tất cả các công việc cần thiết để chứng minh tính hợp pháp của
mình với NetBouncer và sau đó tấn công mạng nhờ việc giả mạo địa chỉ IP hợp pháp của
kháchhàng. Ngoài ra, hệ thống không phải là miễn dịch với nguồn tài nguyên cạn kiệt do
một số lượng lớn các khách hàng hợp pháp. Hơn nữa, giống như tất cả phòng thủ phíamục
tiêu, nó có thể bị tràn ngập bởi khối lượng của các gói trên đường truyền đến.
Giống như tất cả các phương án phòng thủ tốt chống lại DDoS, NetBouncer cólợi thế
và hạn chế của nó. Về mặt tích cực, nó xuất hiện để cung cấp dịch vụ tốt chokhách hàng
hợp pháp trong phần lớn các trường hợp. Vì nó nằm nội tuyến trên mạng,có nghĩa là nó
không có một sự hiện diện có thể nhìn thấy trên mạng giống như mộtcầu nối mạng, nó
không yêu cầu sửa đổi cho các máy chủ và khách hàng trên mạngđược bảo vệ hoặc các máy
chủ kết nối với nhau. Các địa điểm triển khai gần nạn nhânvà nó không yêu cầu hợp tác với
NetBouncers khác. Về mặt tiêu cực, những kẻ tấncông có thể thực hiện các cuộc tấn công


25
thành công vào nạn nhân/mục tiêu bằng cáchmạo nhận hợp pháp hoặc tuyển dụng một số
lượng lớn các agent, cả hai đều là dễ dàngđạt được thông qua giả mạo và tuyển dụng đủ,
tương ứng. Ngoài ra, NetBouncer đặt racác giả định nhất định về các khách hàng hợp pháp
mà không phải luôn luôn đượcchia sẻ bởi tất cả các khách hàng và như vậy sẽ làm cho họ
bị loại trừ khỏi truy cậpvào tài nguyên được bảo vệ.Các bài kiểm tra tính hợp pháp đặt một
gánh nặng đángkể đến chính NetBouncer và có thể gây cạn kiệt nguồn lực của các cơ chế
bảo vệ.
1.2.5 Biện pháp “Proof of Work”
Một cách để tiếp cận vấn đề DDoS là để xem các bài toán con của cuộc tấn công suy
giảm kết nối. Nhiều kết nối được khởi tạo bởi kẻ tấn công để triệt tiêu số lượng kết nối mở
mà một máy chủ có thể duy trì. Một mục tiêu trong phòng chống là để bảo tồn các nguồn
lực này trong các cuộc tấn công như vậy.Là người bảo vệ, máy chủ bắt đầu giao ra những
bài kiểm tra challenge, không khác so với NetBouncer, cho khách hàng yêu cầu kết nối.Điều
này xảy ra tại mức giao thức TCP/IP, bởi hệ thống cần tập trung vào việc bảo vệ các nguồn
tài nguyên liên quan đến kết nối mạng.Các máy chủ phân phối một câu đố mã hóa nhỏ cho

các khách hàng yêu cầu kết nối, và chờđợi một giải pháp.Nếu khách hàng giải quyết các
câu đố trong một cửa sổ thời gian nhất định, các tài nguyên thích hợp sau đó được phân bổ
trong cùng bộ nhớ đệm của mạng(phần của hệ điều hành xử lý các giao tiếp mạng).Khách
hàng mà không giải quyết được câu đố các kết nối của họ sẽ bị bỏ qua.
Cách tiếp cận này buộc kẻ tấn công để dành nhiều thời gian và nguồn lực trước khi
đạt được một kết nối thành công đến một máy chủ hoặc mục tiêu, và làm chậm tốc độ mà
anh ta có thể làm cạn kiệt các nguồn tài nguyên của máy chủ từ bất kỳ máy nào.Trong khi
điều này có overhead thấp (máy chủ vẫn phải tạo ra và xác minh các câu đố), thực tế giao
thức TCP/IP thực hiện trên cả hai đầu (client và máy chủ) phải được sửa đổi cho phương
pháp này để làm việc. Cách phòng chống này này không xửlý được vấn đề như các cuộc
tấn công phân tán trong đó kẻ tấn công tạo ra các yêu cầu đủ để vắt kiệt các tài nguyên máy
chủ hoặc tấn công vắt kiệt tài nguyên cho việc tạo puzzle hay tiêu thụ băng thông của đường
mạng dẫn đến máy chủ.
1.2.6 Biện pháp DefCOM
DefCOM, đề xuất của Mirkovic. Nó là một hệ thống phân tán kết hợp bảo vệ nguồn
cấp, nạn nhân, và lõi mạng.Nó phát hiện một cuộc tấn công đến và đáp ứng bằng việc hạn
chế tỷ lệ giao thông, trong khi vẫn cho phép lưu thông hợp pháp đi qua hệ thống. Nó bao
gồm ba loại nút (router hoặc host): node phát cảnh báo phát hiện một cuộc tấn công, node
hạn chế tỷ lệ thi hành giới hạn tốc độ trên tất cả lưu lượng đi đến mục tiêu của cuộc tấn
công, và node phân loại giới hạn tỷ lệ giao thông, phân chia các gói tin hợp pháp với các


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×