TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI
VIỆN CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG
ĐỒ ÁN TỐT NGHIỆP
ĐỀ TÀI: XÂY DỰNG HỆ THỐNG PHÁT HIỆN VÀ
PHÒNG CHỐNG TẤN CÔNG TRÊN NỀN TẢNG MẠNG
KHẢ TRÌNH- PHÂN HỆ PHÁT HIỆN TẤN CÔNG
GIẢ MẠO TOPOLOGY
Sinh viên thực hiện:
Nguyễn Hoàng Sơn 20112073
Lớp CNTT-TT 1.1
Giảng viên hướng dẫn:
K56
ThS. Bùi Trọng Tùng
1
Nội dung trình bày
Đặt vấn đề.
Giải pháp thực hiện
Mô đun phát hiện tấn công.
Xây dựng hệ thống thử nghiệm.
Kết quả, đánh giá và kết luận.
2
Đặt vấn đề
Mạng khả trình (SDN) là công nghê mạng mới, cho
phép điều hành hệ thống mạng bằng bộ điều khiển
trung tâm có khả năng lập trình.
Dịch vụ quản lý topology phát hiện và quản lý các liên
kết, các switch, host trong SDN.
Là 1 dịch vụ quan trọng liên quan chặt chẽ đến các
thành phần điều khiển, ứng dụng trong SDN
Kẻ tấn công có thể sử dụng host hoặc switch bị thỏa
hiệp để tấn công giả mạo vào dịch vụ quản lý
topology.
3
Giải pháp thực hiện
Xây dựng hệ thống
phát hiện và phòng
chống tấn công gồm 2
mô đun:
- Mô đun phát hiện
tấn công.
- Mô đun phòng chống
tấn công
4
Giải pháp thực hiện
Mạng khả trình (SDN)
Software Defined Networking: Mạng định nghĩa bằng
phần mềm.
SDN tách riêng phần điều khiển và phần chuyển tiếp,
phần điều khiển được cung cấp khả năng lập trình và
giao tiếp với
phần chuyển
tiếp qua các
giao thức
truyền thông
5
Giải pháp thực hiện
OpenFlow
Giao thức cung cấp khả năng truyền thông giữa
Controll Layer và Infrastructure Layer.
Tất cả các thiết bị đều liên kết với tầng điều khiển
qua giao thức OpenFlow
6
Giải pháp thực hiện
Cơ chế chuyển tiếp gói tin trong OpenFlow
OpenFlow
Controller
Packet In
Packet Out
OF Protocol
Gói tin đến
Flow
Tables
Execute
Actions
Gói tin đi
OpenFlow Switch
7
Giải pháp thực hiện
Dịch vụ quản lý topology
Khám phá các thiết bị, các liên kết trong mạng.
Dịch vụ quản lý topology sử dụng gói tin LLDP (Link
Layer Discovery Protocol) để khám phá các liên kết
trực tiếp giữa các OFSwitch trong mạng.
DI_dst
DI_src
Eth_type
Chassis ID
TLV
Port ID TLV
TTL TLV
Optional
TLVs
End TLV
01:80:C2:00:00:0E
Outgoing
Port MAC
0x88CC
DPID of
Switch
Port Number
of Switch
Time to Live
E.g System
Description
End Sign of
LLDP
8
Giải pháp thực hiện
Quy trình khám phá liên kết trực tiếp giữa các Switch
gồm 3 bước
Lỗ hổng trong quy trình khám phá liên kết trực tiếp giữa
các Switch :
Sự toàn vẹn/ nguồn gốc của gói LLDP có thể bị vi
phạm
Host bị thỏa hiệp có thể tham gia vào quy trình.
9
Mô đun phát hiện tấn công
Giải pháp phòng chống
Thêm trường macTLV vào gói tin LLDP để xác minh
tính toàn vẹn/nguồn gốc
DI_dst
DI_src
Eth_typ
e
Chassis
ID TLV
Port ID
TLV
TTL TLV
macTLV
Optional
TLVs
End TLV
01:80:C2:00:00:
0E
Outgoing
Port MAC
0x88CC
DPID of
Switch
Port
Number of
Switch
Time to
Live
Type,
Length,
Value
E.g System
Description
End Sign
of LLDP
macTLV: Type = 0x0d, Length = độ dài Value
Value
Controller lưu lại giá trị Value cùng với DPID và Port
number thành <DPID, Port Number, Value> để xác
minh tính toàn vẹn/nguồn gốc của gói tin
10
Mô đun phát hiện tấn công
Sơ đồ thuật toán xác thực gói tin LLDP nhận được
<DPID, Port Number, Value>
11
Mô đun phát hiện tấn công
Thêm trường DeviceType vào mỗi cổng trên OFSwitch
để xác minh tính chất của cổng
Giá trị mặc định: DeviceType = ANY
Cổng kết nối với host: DeviceType=HOST
ATTACK
LLDP packet
Host traffic
HOST
Port down
ANY
Gói LLDP nhận được từ cổng có DeviceType = HOST
=> Cảnh báo tấn công
12
Xây dựng hệ thống thử nghiệm
Hệ thống thử nghiệm
Controller sử dụng floodlight
OFSwitch được xây dựng trên mininet
Host1 sử dụng công cụ Python tạo và gửi gói LLDP
giả mạo
13
Kết quả, đánh giá và kết luận
Kết quả
Trường macTLV được thêm thành công vào gói tin
LLDP
14
Kết quả, đánh giá và kết luận
Attacker tạo và gửi gói tin LLDP giả mạo từ host
15
Kết quả, đánh giá và kết luận
Cảnh báo tấn công giả mạo
16
Kết quả, đánh giá và kết luận
Đánh giá
Thời gian thêm
trường
Tổng thời gian
macTLV(a)
(b)
Xây dựng gói
tin LLDP lần
đầu tiên.
Xây dựng gói
tin LLDP các
lần tiếp theo.
Xác minh gói
tin LLDP
Tỷ lệ (%)
a/b
≈ 3000 µs
≈ 3750 µs
80%
≈ 6 µs
≈ 110 µs
5,45%
≈ 0,8 µs
≈ 128 µs
0,625%
17
Kết quả, đánh giá và kết luận
Kết luận
Xây dựng thành công hệ thống mô phỏng tấn công
giả mạo topology sử dụng gói tin LLDP giả mạo
Phát hiện được tấn công giả mạo topology
Liên kết thành công với mô đun phòng chống tấn
công, tạo thành một hệ thống hoàn chỉnh
18
19