1

ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

Hồ Trọng Đạt

ÁP DỤNG TRI THỨC VỀ PHÁT HIỆN, PHÂN LOẠI TẤN CÔNG TỪ CHỐI
DỊCH VỤ ĐỂ THIẾT KẾ HỆ THỐNG BẢO VỆ

Ngành: Công nghệ thông tin
Chuyên ngành: Công nghệ thông tin

LUẬN VĂN THẠC SỸ
Người hướng dẫn khoa học
PGS.TS Đỗ Trung Tuấn

Hà nội - 2007


2

Lời cảm ơn
Em xin chân thành cảm ơn P.GS Tiến sĩ Đỗ Trung Tuấn, đã trực tiếp
hướng dẫn và giúp đỡ em rất nhiều trong quá trình thực hiện và hoàn thiện đề
tài. Em xin chân thành cảm ơn các thày, cô giáo khoa Công nghệ thông tin –
Trường Đại học công nghệ - Đại học Quốc Gia Hà Nội đã chỉ dạy và cung
cấp các kiến thức cơ bản trong suốt khóa học. Các kiến thức nền tảng này đã
giúp em rất nhiều trong việc nghiên cứu các khái niệm lý thuyết và thiết kế
các mơ hình hệ. Em xin chân thành cảm ơn các anh lãnh đạo Trung tâm Công
nghệ Thông tin CDiT, học viện Công nghệ Bưu chính Viễn thơng nơi em cơng

tác, đã tạo điều kiện về cơng việc để cho em có thêm nhiều thời gian thực hiện
nghiên cứu. Tôi cũng xin chân thành cảm ơn các anh chị em đồng nghiệp tại
Trung tâm Công nghệ Thông tin CDiT đã động viên và giúp đỡ tơi rất nhiều
về mặt kỹ thuật trong q trình thực hiện đề tài nghiên cứu. Xin chân thành
cảm ơn những người thân trong gia đình đã động viên, giúp đỡ tơi trong suốt
q trình học tập nghiên cứu để thực hiện thành công luận văn tốt nghiệp
này.
Hà Nội – tháng 11 năm 2006
Hồ Trọng Đạt


3

Mục lục
Lời cảm ơn ..................................................................................................................2
Mục lục ........................................................................................................................3
Danh mục các từ viết tắt.............................................................................................. 6
Danh mục các bảng .....................................................................................................7
Danh mục các hình vẽ .................................................................................................8
Mở đầu ........................................................................................................................9
Chương 1

Tổng quan ...........................................................................................10

1.1

Hệ thống mạng Internet ..............................................................................10

1.2


Giao thức TCP/IP .......................................................................................12

1.2.1

Khái niệm về phân lớp ........................................................................12

1.2.2

Các lớp trong TCP/IP .......................... Error! Bookmark not defined.

1.2.3

Địa chỉ Internet ................................... Error! Bookmark not defined.

1.2.4

Giao thức IP ........................................ Error! Bookmark not defined.

1.3

Khái niệm về tấn công DoS........................ Error! Bookmark not defined.

1.3.1

Nguyên nhân của các cuộc tấn công từ chối dịch vụ .................. Error!

Bookmark not defined.
1.3.2

Cơ chế chung của tấn công từ chối dịch vụError!


Bookmark

not

defined.
1.3.3

Lý do tiến hành tấn công từ chối dịch vụError!

Bookmark

not

defined.
1.4

Các nghiên cứu có liên quan ...................... Error! Bookmark not defined.

1.5

Kết luận ...................................................... Error! Bookmark not defined.

Chương 2

Nghiên cứu về tấn cơng Từ chối dịch vụError!

Bookmark

not


defined.
2.1

Phân loại các hình thức tấn công ................ Error! Bookmark not defined.

2.1.1

Mức độ tự động ................................... Error! Bookmark not defined.

2.1.2

Lợi dụng lỗ hổng để tấn công. ............ Error! Bookmark not defined.


4

2.1.3

Tính xác thực của địa chỉ nguồn ......... Error! Bookmark not defined.

2.1.4

Cường độ tấn công .............................. Error! Bookmark not defined.

2.1.5

Khả năng xác định thông tin ............... Error! Bookmark not defined.

2.1.6


Độ ổn định của tập máy công cụ ......... Error! Bookmark not defined.

2.1.7

Dạng mục tiêu ..................................... Error! Bookmark not defined.

2.1.8

Tác động tới dịch vụ ........................... Error! Bookmark not defined.

2.2

Phân loại các các cơ chế bảo vệ DoS ......... Error! Bookmark not defined.

2.2.1

Phân loại theo cơ chế hoạt động ......... Error! Bookmark not defined.

2.2.2

Phân loại theo mức độ hợp tác ............ Error! Bookmark not defined.

2.3

Kết luận ...................................................... Error! Bookmark not defined.

Chương 3

Tri thức hỗ trợ phát hiện tấn công DoS nhờ mô hình thống kê .. Error!


Bookmark not defined.
3.1

Nghiên cứu về phát hiện, chống DDOS theo thống kêError!

Bookmark

not defined.
3.1.1

Điểm thay đổi ...................................... Error! Bookmark not defined.

3.1.2

Hệ thống EMERALD ......................... Error! Bookmark not defined.

3.1.3

Cơ chế van điều tiết của Williamson .. Error! Bookmark not defined.

3.1.4

Cơ chế lưu vết IP theo lịch sử kết nối . Error! Bookmark not defined.

3.2

Sử dụng Entropy để xây dựng mơ hình theo dõiError!

Bookmark


not

defined.
3.2.1

Entropy của nguồn tin ......................... Error! Bookmark not defined.

3.2.2

Xây dựng mơ hình Entropy của nguồn tinError!

Bookmark

not

defined.
3.2.3
3.3

Phát hiện thay đổi theo ngưỡng .......... Error! Bookmark not defined.

Phản ứng lại DDoS theo lịch sử IP và Van điều tiếtError! Bookmark not

defined.
3.3.1

Hạn chế theo địa chỉ IP đã biết ........... Error! Bookmark not defined.

3.3.2


Điều tiết truy cập theo địa chỉ IP. ....... Error! Bookmark not defined.


5

Chương 4

Thiết kế mơ hình hệ thống phát hiện và chống lại tấn cơng DDoS
Error! Bookmark not defined.

4.1

Mơ hình triển khai vật lý ............................ Error! Bookmark not defined.

4.2

Các thành phần của hệ thống...................... Error! Bookmark not defined.

4.2.1

Thiết kế phân lớp của hệ thống ........... Error! Bookmark not defined.

4.2.2

Thiết kế chi tiết các thành phần hệ thốngError!

Bookmark

not


defined.
4.2.3
4.3

Danh sách lưu trữ IP ........................... Error! Bookmark not defined.

Đề xuất và khuyến nghị .............................. Error! Bookmark not defined.

Kết luận ..................................................................... Error! Bookmark not defined.
Tài liệu tham khảo .....................................................................................................13
Phụ lục .......................................................................................................................14


6

Danh mục các từ viết tắt
Ý nghĩa

Từ viết tắt
DDoS

Distributed Denial Of Service

IMP

Interface Message Processor

NFSNET


National Science Foundation network

CIX

Commercial

Internet

Exchange

Association
HTML

HyperText Markup Language

ICMP

Internet Control Message Protocol

IGMP

Internet Group Management Protocol

TCP

Transmission Control Protocol

SMTP

Simple Mail Transfer Protocol


DNS

Domain Name Server

FTP

File Transfer Protocol

UDP

User Data Protocol

MULTOPS

MUlti Level Tree for Online Packer
Statistics

CAIDA

Cooperative Association for Internet
Data Analysis

EMERALD

Event Monitoring Enabling Responses
to Anomalous Live Disturbances

HEDDAD


History IP & Entropy-based Detection
and Defense Against DDoS


7

Danh mục các bảng
Bảng 1 Các lớp trong giao thức TCP/IP ...................................................................12
Bảng 2 Các giải địa chỉ IP ......................................... Error! Bookmark not defined.


8

Danh mục các hình vẽ
Hình 1 Phiên truyền tin giữa hai node mạng............. Error! Bookmark not defined.
Hình 2 Kết nối giữa hai hệ thống mạng sử dụng RouterError!

Bookmark

not

defined.
Hình 3 Mơ hình hoạt động TCP/IP ........................... Error! Bookmark not defined.
Hình 4 Các lớp địa chỉ IP .......................................... Error! Bookmark not defined.
Hình 5 Cấu trúc gói tin TCP ..................................... Error! Bookmark not defined.
Hình 6 Tấn cơng DoS theo mơ hình phản xạ ............ Error! Bookmark not defined.
Hình 7 Phát hiện nguồn tấn cơng theo kỹ thuật backscatterError! Bookmark not
defined.
Hình 8 Thuật tốn xử lý cờ SYN .............................. Error! Bookmark not defined.
Hình 9 Kiến trúc hệ thống EMERALD .................... Error! Bookmark not defined.

Hình 10 Xử lý kết nối đến máy trạm......................... Error! Bookmark not defined.
Hình 11 Xử lý kết nối có trong hàng đợi .................. Error! Bookmark not defined.
Hình 12 Mơ hình triển khai của HEDDAD .............. Error! Bookmark not defined.
Hình 13 Trình tự xử lý của hệ thống HEDDAD ....... Error! Bookmark not defined.
Hình 14 Sơ đồ thiết kế hệ thống nhận dạng và phản ứngError!

Bookmark

not

defined.
Hình 15 Sơ đồ dữ liệu lưu trữ cây IP ........................ Error! Bookmark not defined.


9

Mở đầu
Tấn cơng DDoS khơng cịn là khái niệm xa lạ tại Việt Nam. Kể từ năm 1997, khi
Internet lần đấu tiên được chính thức hoạt động trong nước, hệ thống mạng dịch vụ
tại Việt Nam đã có những bước phát triển nhanh chóng. Tới tháng 1 năm 2006, đã
có hơn một tỷ người sử dụng Internet [36], và tại Việt Nam là hơn 5 triệu người sử
dụng[35]. Các dịch vụ mạng, thương mại điện tử càng phát triển thì đi kèm với đó
là những hoạt động phá hoại, tấn công vào các trang web dịch vụ càng gia tăng. Các
cuộc tấn công chuyển dần từ tấn công tập trung từ một nguồn chuyển sang tấn công
phân tán từ nhiều nguồn. Trước tình hình đó, cần có những nghiên cứu chuyên sâu
về tấn công từ chối dịch vụ, cách thức phịng chống, phát hiện và chống lại.. Trong
khn khổ ln văn, khái niệm tấn công từ chối dịch vụ phân tán – DDoS cũng
đồng nghĩa với từ chối dịch vụ - DoS. Luận văn tập trung vào việc nghiên cứu
những tiêu chí phân loại tấn cơng DoS. Các nghiên cứu này được kỳ vọng sẽ là
những tài liệu mang tính tổng kết về những loại hình tấn cơng DoS đã biết và sẽ

được phát hiện.
Bên cạnh đó, luận văn cũng đưa ra một số kỹ thuật có thể được sử dụng để xây
dựng những thiết bị phịng chống tấn cơng DoS. Các kỹ thuật này tập trung theo
hướng phát hiện sự bất thường trong hoạt động của mạng. Hệ thống mạng sẽ được
mơ hình hóa bằng những thơng số về entropy của thông tin. Những sự thay đổi bất
thường về entropy sẽ được theo dõi và ghi nhận. Khi có sự thay đổi giá trị, các sự
bất thường này sẽ được phát hiện dựa trên những phương pháp thống kê và so sánh
mơ hình. Sau khi phát hiện có những dấu hiệu tấn công, cơ chế bảo vệ sẽ được kích
hoạt, hạn chế kết nối theo địa chỉ IP để đảm bảo hoạt động phục vụ của hệ thống
được bảo vệ.


10

Chương 1

Tổng quan

Nghiên cứu về DoS dựa trên những những nghiên cứu về bản chất của giao thức
TCP/IP. Dựa trên họ giao thức TCP/IP, giao thức không xác thực người tham gia
truyền tin, có thể nói hệ thống Internet là một hệ thống mở, trong đó mọi người hoạt
động đều ngang hàng nhau, khơng bị kiểm sốt. Lợi dụng vấn đề về tính định danh
lỏng lẻo của hệ thống Internet, hình thức tấn cơng từ chối dịch vụ - Denial of
Service , sau đây gọi tắt là DoS, đã được sử dụng phổ biến để:
 Tạo lập danh tiếng với những kẻ thiếu hiểu biết
 Công cụ cạnh tranh giữa các nhà cung cấp dịch vụ thương mại, truyền tin ..
 Công cụ tống tiến của những tội phạm mạng

1.1 Hệ thống mạng Internet
Bắt đầu từ hệ thống mạng ARPAnet của Bộ Quốc phịng Hoa Kỳ, với mục đích xây

dựng một mạng lưới liên lạc tin cậy, hoạt động được ngay cả khi một phần hệ thống
đã bị phá hủy. Vào cuối năm 1966, những nền tảng đầu tiên của hệ thống mạng đã
được xây dựng [36]. Giao thức đầu tiên được sử dụng để truyền tin trong hệ thống
ARPAnet là 1822[18], quy định phương thức truyên tin giữa một máy tính tới một
IMP. IMP là khái niệm về một máy tính có chức năng xử lý các bản tin truyền trong
hệ thống mạng. Mỗi IMP tại một site có chức năng lưu trữ và chuyển tiếp ( store &
forward) gói tin và được kết nối với nhau thơng qua các modem, đường truyền
leased line, tốc độ khoảng 50kb/s.
Đến năm 1970, mạng ARPAnet đã kết nối được 9 điểm và phát triển nhanh chóng
những năm tiếp theo. Đến năm 1981, đã có 212 host kết nối với tốc độ 2 ngày có
một host mới kết nối vào mạng. Đến năm 1984, mạng máy tính của bộ Quốc phịng
Mỹ tách khỏi mạng ARPAnet và gọi là mạng MILNET.
Sau một thời gian hoạt động, do một số lý do kỹ thuật và chính trị, kế hoạch sử
dụng mạng ARPANET khơng thu được kết quả như mong muốn. Vì vậy Hội đồng
khoa học Quốc gia Mỹ đã quyết định xây dựng một mạng riêng NSFNET liên kết


11

các trung tâm tính tốn lớn và các trường đại học vào năm 1986 sử dụng giao thức
TCP/IP. Mạng này phát triển hết sức nhanh chóng, khơng ngừng được nâng cấp và
mở rộng liên kết tới hàng loạt các doanh nghiệp, các cơ sở nghiên cứu và đào tạo
của nhiều nước khác nhau. Cũng từ đó thuật ngữ INTERNET ra đời. Dần dần kỹ
thuật xây dựng mạng ARPAnet đã được thừa nhận bởi tổ chức NSF, kỹ thuật này
được sử dụng để dựng mạng lớn hơn với mục đích liên kết các trung tâm nghiên
cứu lớn của nước Mỹ. Người ta đã nối các siêu máy tính thuộc các vùng khác nhau
bằng đường điện thoại có tốc độ cao. Tiếp theo là sự mở rộng mạng này đến các
trường đại học. Ngày càng có nhiều người nhận ra lợi ích của hệ thống mạng trên,
người ta dùng để trao đổi thông tin giữa các vùng với khoảng cách ngày càng xa.
Vào đầu những năm 1990 người ta bắt đầu mở rộng hệ thống mạng sang lĩnh vực

thương mại tạo thành nhóm CIX. Có thể nói Internet thật sự hình thành từ đây.
Nhưng chỉ đến khi Tim Berners-Lee phát triển HTML, HTTP tại CERN năm 1991,
thì Internet mới thực sự phát triển “bùng nổ”. Với công nghệ HTML, các trang web
được tạo ra một cách nhanh chóng và tiện lợi cho người sử dụng truy cập, đọc thông
tin. Năm 1993, trung tâm NCSA tại đại học Illinois đưa ra trình duyệt web Mosaic
1.0, nền tảng cho các trình duyệt web về sau. Và bắt đầu từ thời điểm đó, mạng
Internet đã phát triển nhanh chóng, lan rộng khắp tồn cầu. Tới tháng 1 năm 2006,
đã có hơn một tỷ người sử dụng Internet [33], và tại Việt Nam là hơn 5 triệu người
sử dụng.
Ngày nay, với sự phát triển của thương mại điện tử, khó có thể tách rời sự tồn tại
của Internet với xã hội loài người. Thống kê cho thấy, trong năm 2006, tổng giá trị
bán hàng qua mạng sẽ đạt con số 200 tỷ USD [34]. Kinh doanh qua mạng Internet,
quảng cáo qua Intenret, cung cấp thông tin qua Internet đã là những khái niệm kinh
điển. Trang web chính là bộ mặt của cơng ty, là nơi giao dịch mua bán, là nơi tiếp
đón người dùng, nơi giao lưu, kết bạn. Những mơ hình kinh doanh thành cơng như
ebay, yahoo, google ngày nay đã và đang liên tục phát triển.


12

1.2 Giao thức TCP/IP
Họ giao thức TCP/IP cho phép mọi hệ thống máy tính giao tiếp với nhau mà khơng
quan tâm đến quy mô hệ thống, nhà sản xuất phần cứng, hệ điều hành được cài đặt.
Theo định nghĩa của giao thức, TCP/IP thực sự là một hệ thống mở [22]. Nó cho
phép triển khai thêm các thành phần với một chi phí thực sự được giảm thiểu và
thời gian rút ngắn đáng kể.
Phần này giới thiệu một số thông tin cơ bản về họ giao thức TCP/IP, nhấn mạnh vào
những cơ chế hoạt động để minh họa cho chương tiếp theo.

1.2.1 Khái niệm về phân lớp

Các giao thức trên mạng được phát triển theo những lớp giao thức – layer. Mỗi lớp
sẽ có nhiệm vụ xử lý một mức độ giao tiếp khác nhau. Họ giao thức TCP/IP được
phân chia theo 4 lớp ( để phù hợp với các tài liệu tiếng Anh, giữ nguyên tên gọi của
các lớp). Mỗi lớp sẽ đảm nhận một chức năng riêng rẽ.

TÊN LỚP

ỨNG DỤNG

Application

Telnet, FTP, SMTP ..

Transport

TCP,UDP

Network

IP,ICMP, IGMP

Link

Các trình điều khiển thiết bị và
cổng kết nối
Bảng 1 Các lớp trong giao thức TCP/IP

i. Lớp Kết nối – Link: hay còn gọi data-link(liên kết dữ liệu), bao gồm hệ thống các
trình điều khiển thiết bị được cài đặt kèm với hệ điều hành và các cổng kết nối
mạng có trên hệ thống. Mọi chức năng xử lý phần cứng được thiết lập tại lớp này.

ii. Lớp mạng – network: hay còn gọi là lớp internet xử lý việc di chuyển của các gói
tin trong toàn mạng. Một số chức năng quan trọng được thực hiện tại lớp này: định
tuyến (routing), thông báo lỗi (ICMP). Lớp này có 3 giao thức cơ bản là IP, ICMP
và IGMP.


13

Tài liệu tham khảo
Tiếng Việt
[1] Đặng Văn Chuyết, Nguyễn Tuấn Anh. Cơ sơ lý thuyết truyền tin – tập 1, tr 75, NXB Giáo Dục,
1998

Tiếng Anh
[2]
Steven Bellovin. ICMP traceback messages. Work in Progress: draft-bellovin-itrace-00.txt.
[3]
B.E. Brodsky and B.S. Darkhovsky, Nonparametric Methods in Change Changepoint
Problems, Kluwer Academic Publishers, 1993.
[4]
R. Caceres, P. B. Danzig, S. Jamin and D. J. Mitzel, “Characteristics of wide-area TCP/IP
conversations”, Proceedings of ACM SIGCOMM’91, September 1991.
[5]
Chen-Mou Cheng, H.T. Kung, and Koan-Sin Tan. Use of spectral analysis in defense
against dos attacks. Proceedings of the IEEE GLOBECOM, Taipei, Taiwan, 2002
[6]
Laura Feinstein, Dan Schnackenberg, Statistical Approaches to DDoS attack detection
and response, DARPA Information Survivability Conference and Expostion(DISCEX’03), April
2003
[7]

A. Feldmann, “Characteristics of TCP Connection Arrivals”, ATT Technical Report,
December 1998.
[8]
Stave Gibson, Denial of Service attacks against GRC.COM,
2005.
[9]
T. M. Gil and M. Poletto. MULTOPS: a data-structure for bandwidth attack detection. 10th
Usenix Security Symposium, August 2001.
[10]
J. Ioannidis and S. M. Bellovin. Pushback: Router-Based Defense Against DDoS Attacks.
NDSS, February 2002
[11]
Jaeyeon Jung, B. Krishnamurthy,M.Rabinovich. Flash crowds and denial of service
attacks: Characterization and implications for cdns and web sites. WWW10, WWW2002, May 711, Honolulu, Hawaii, USA 2002.
[12]
Jelena Mirkovic, Ataxonomy of DDoS Attack and ddos defense mechanisms, ACM
SIGCOMM 2004.
[13]
D. Moore. The spread of the code red worm (crv2).
analysis.xml.
[14]
R.Naraine, Massive DDoS Attack Hit DNS Root Servers, 10/2002,
/>[15]
V.Paxson. An analysis of using reflectors for distributed denial-of-service atacks. ACM
Computer Communications Review, July 2001.
[16]
Tao Peng, C.Leckie, K.Ramamohanarao. Protection from Distributed Denial of Service
Attack Using History-based IP filtering, Proceedings of the IEEE International Conference on
Communications, 5/2003, vol. 1, pp. 482–486.
[17]

P.A. Porras, and P.G. Neumann, “EMERALD: Event Monitoring Enabling Responses to
Anomalous Live Disturbances,” National Information Systems Security Conference (NISSC),
October 1997, pp. 353-365.
[18
] RFC 802 The ARPANET 1822L Host Access Protocol
[19]
C.E. Shannon, and W. Weaver, The Mathematical Theory of Communication, University
of Illinois, 1963.
[20]
Snort,
[21]
S. Staniford, V. Paxson, and N. Weaver. How to 0wn the internet in your spare time,
2002. The 11th USENIX Security Symposium
[22
] Richard Stevens, TCP/IP Illustrated, Vol 1, Addison Wesley, 1993
[23]
Robert Stone. Centertrack: An IP overlay network for tracking DoS floods. USENIX
Security Symposium, pages 199–212, Denver, CO, USA, July 2000. USENIX.
[24]
H. Wang, D. Zhang, and K. G. Shin, .Detecting SYN flooding attacks, IEEE
Infocom'2002, June 2002.


14

[25]
M. Williamson. Throttling viruses: Restricting propagation to defeat malicious mobile
code. 18th Annual Computer Security Applications Conference, December 2002.
[26]
V. Yegneswaran, P.Barford , J.Ulrich, Internet intrusions: Global characteristics and

prevalence, ACM SIGMETRICS 2003.

Trang Web
[27]
CERT CC. Denial of Service Attacks, />[28]
CERT CC. Smurf attack. />[29]
CERT CC. TCP SYN flooding and IP spoofing attacks. />[30]
CERT CC. Trends in Denial of Service Attack Technology, 10 /2001.
trends.pdf
[31]
IANA, IP Address Services, 2005
[32]
Information Sciences Institute. Dynabone. />[33]
Internet Static, />[34]
Online Retail Revenues, />[35]
VNNIC, Thống kê địa chỉ IP,
/>[36]
wikipedia />
Phụ lục