Chống tấn công từ chối dịch vụ phân tán
tần suất thấp
Phạm Văn Hợi
Trường Đại học Công nghệ
Luận văn ThS. Truyền dữ liệu và Mạng máy tính; Mã số: 60 48 15
Người hướng dẫn: TS. Nguyễn Đại Thọ
Năm bảo vệ: 2013
Abstract. Trình bày tổng quan về TCP, kiểm soát tắc nghẽn TCP, tiếp theo trình bày
quản lý hàng đợi tích cực (AQM) và cuối cùng là trình bày thuật toán RED. Nêu khái
niệm về tấn công từ chối dịch vụ, cách thức chung tấn công từ chối dịch vụ. Tiếp theo
là trình bày cách thức tấn công từ chối dịch vụ tần suất thấp. Các phương pháp chống
tấn công từ chối dịch vụ tần suất thấp và cuối cùng tập trung một thuật toán chống tấn
công từ chối dịch vụ tần suất thấp là RRED. Đề xuất ý tưởng cải tiến thuật toán RRED,
phân tích nhược điểm của RRED, khai thác nhược điểm để từ đó đề xuất phương pháp
cải tiến. Trình bày mã giả của thuật toán và cuối cùng là bình luận phương pháp cải
tiến. Trình bày kịch bản mô phỏng, kết quả biến thiên theo chu kỳ tấn công, theo độ
rộng tấn công và tốc độ tấn công, so sánh phương pháp cải tiến so với thuật toán
RRED.
Keywords. Dịch vụ phân tán; Truyền dữ liệu; Mạng máy tính; Công nghệ thông tin;
Dịch vụ tần suất thấp.

Content.
Tấn công từ chối dịch vụ đã ngày càng trở thành mối đe dọa nghiêm trọng đối với
sự tin cậy của mạng Internet. Là các cuộc tấn công sử dụng nhiều cách thức tổ chức và
thực hiện khác nhau, từ việc dùng chỉ một máy tới việc thu thập các máy agent dưới
quyền với số lượng lên đến hàng chục ngàn máy phục vụ tấn công, mục đích của các
cuộc tấn công là làm tê liệt các ứng dụng, máy chủ, toàn bộ mạng lưới, hoặc làm gián
đoạn kết nối của người dùng hợp pháp. Một kẻ tấn công DoS gửi một số lượng lớn các
gói tin đến một nạn nhân sử dụng nhiều zombie. Như một kết quả của các cuộc tấn
công, các nguồn tài nguyên xung quanh nạn nhân như băng thông mạng và sức mạnh
tính toán bị giảm và sử dụng không thể truy cập vào các dịch vụ hợp pháp được cung

cấp bởi các nạn nhân. Ngày nay, có các biện pháp đối phó khác nhau của cuộc tấn công
DoS để loại lũ lụt thông thường đã được đề xuất. Đặc biệt, phân tích thống kê về tỷ lệ
truyền tải mạng rất hữu ích để phát hiện các gói lớn truyền tải lũ lụt.


Tấn công từ chối dịch vụ (DoS) là một nỗ lực để phá vỡ các chức năng bình
thường của hệ thống mạng và ngăn chặn truy cập hợp pháp cho các dịch vụ hoặc đơn
giản là làm giảm chất lượng của dịch vụ được cung cấp..
Một nghiên cứu tại UCSD [23] đã chỉ ra rằng ngay từ đầu thập niên này các cuộc
tấn công từ chối dịch vụ đã diễn ra với một tỷ lệ lên tới 4000 cuộc tấn công mỗi tuần.
Trong năm 2002, một cuộc tấn công từ chối dịch vụ [22] đã làm sập tới 9 trong số 13
máy chủ DNS root của toàn thế giới.
Mức độ ảnh hưởng nghiêm trọng của các cuộc tấn công từ chối dịch vụ, mà đặc
biệt được nhắc đến nhiều nhất là tấn công từ chối dịch vụ phân tán DDoS, đã dẫn đến
một loạt các nghiên cứu nhằm hiểu rõ hơn về các cơ chế tấn công, để đưa tới các cách
thức giúp có thể phòng chống ảnh hưởng tiêu cực của nó.
Có nhiều phương pháp đã được đề xuất nhằm chống lại các cuộc tấn công từ chối
dịch vụ, từ việc lọc các gói tin để tránh giả mạo địa chỉ nguồn, chuyển hướng tấn công,
đẩy ngược luồng giao thông tấn công trở lại mạng, cách ly để phân biệt máy khách và
giao thông máy chủ. Mỗi giải pháp đó đều rất tốt, và cung cấp kĩ thuật giúp chúng ta
nhận ra các vấn đề của tấn công từ chối dịch vụ. Tuy nhiện, các phương pháp chỉ có thể
bảo vệ lại từng khía cạnh của các tấn công từ chối dịch vụ.
Tuy nhiên, trong những năm gần đây, một lớp mới của tấn công từ chối dịch vụ
khó phát hiện bằng các phương pháp thông thường, đó là loại tấn công từ chối dịch vụ
phân tán tần suất thấp (LDoS) [2] [3]. Kẻ tấn công DoS gửi bùng nổ ngắn của lưu lượng
của luồng theo kỳ, thay vì lũ lụt gói liên tục như các cuộc tấn công DoS/DDoS thông
thường. Vụ nổ như vậy điền vào bộ đệm của router trung gian và gây ra tổn thất gói của
các luồng TCP hợp pháp. Những khó khăn trong việc phát hiện các cuộc tấn công DoS
là kẻ tấn công có tốc độ trung bình thấp so với các cuộc tấn công DoS truyền thống.
Hơn nữa, kẻ tấn công có thể kiểm soát mức độ thiệt hại gây ra bởi các cuộc tấn công,

bằng cách điều chỉnh sự bùng nổ và khoảng cách giữa mỗi lần bùng nổ. Do đó, rất khó
khăn cho các nạn nhân tự tìm các cuộc tấn công. Vì vậy, nếu kẻ tấn công mục tiêu một
trang web thương mại điện tử và kết nối TCP giữa các trang web và khách hàng của
mình, trang web có thể bỏ lỡ những lợi nhuận tiềm năng và khách hàng mới.
Cho đến nay, các cuộc tấn công DoS là một trong những mối đe dọa lớn nhất đối
với an ninh mạng do là dễ thực hiện với chi phí thấp. Mặt khác, phát hiện tấn công DoS
tần suất thấp là khó khăn hơn vì tốc độ trung bình thấp. Các thuật toán phát hiện cho tấn
công DoS lũ lụt dường như không áp dụng cho các cuộc tấn công DoS tần suất thấp. Vì
vậy, nó rất có thể là cuộc tấn công DoS tần suất thấp sẽ là cuộc tấn công chính trong
tương lai.


Để phát hiện các cuộc tấn công và giảm thiểu thiệt hại, biện pháp đối phó khác
nhau đã được đề xuất. Phương pháp chính ở thời điểm hiện tại cố gắng phát hiện và lọc
các cuộc tấn công vào một bộ định tuyến trung gian. Tuy nhiên, tất cả các phương pháp
tiếp cận dựa trên bộ định tuyến có vấn đề triển khai. Luận văn của tôi trình bày một
phương pháp chống tấn công từ chối dịch vụ phân tán tần suất thấp. Bằng cách phân
tích các luồng đến dựa trên các thuật toán cơ bản của router. Hệ thống sẽ nhận diện các
luồng tấn công DoS hoặc các luồng hợp pháp.
Với các cuộc tấn công DoS truyền thống, những kẻ tấn công sử dụng một số
lượng lớn các máy bị xâm nhập hoặc các đại lý và gửi điện cao tỷ lệ các gói dữ liệu đến
nút nạn nhân. Có khả năng mạnh mẽ nhưng có khả năng rất có hại mà bản chất cao tỷ lệ
các cuộc tấn công như vậy có thể được phát hiện bởi thiết bị giám sát mạng vì số liệu
thống kê bất thường. Vì vậy, những kẻ tấn công có thể được xác định và ảnh hưởng của
các cuộc tấn công được giảm thiểu. Khi bị tấn công bởi các cuộc tấn công tràn ngập,
giao thông của các mạng được tiêu thụ khá cao và máy chủ vào trạng thái bận. Với các
tấn công DoS tần suất thấp, các nút trong mạng bị lừa dối với tín hiệu bận và để điều
chỉnh trạng thái hệ thống của nó và sau đó luồng trở nên tương đối rỗng. Các máy chủ
sẽ được rỗi trong các cuộc tấn công, kết quả là mạng có thể bị tấn công trong một thời
gian dài mà người dùng không nhận biết được.

Tuy nhiên, tấn công DoS tần suất thấp khai thác khoảng thời gian chậm hơn của
đồng hồ truyền lại TCP để làm giảm thông lượng TCP. Mục đích của nó là để phá vỡ sự
cân bằng của dịch vụ mạng hơn là để chiếm dịch vụ. Với tốc độ trung bình của gói thấp,
rất khó cho mạng lưới giám sát để phát hiện ra những sự kiện đặc biệt và đó là lý do
chính tại sao tấn công DoS tần suất thấp rất dễ dàng để thoát khỏi phát hiện.
Gần đây một phương pháp chống tấn công từ chối dịch vụ phân tán tần suất thấp
được cho thấy khá hiệu quả trong việc lọc các gói tin tấn công và cho qua các gói tin
hợp pháp. Thuật toán mới hơn RED đã được đề xuất để phát hiện và lọc ra các cuộc tấn
công LDoS. Thuật toán này sẽ giúp trong việc tìm ra nguồn gốc của các tấn công LDoS
và làm gián đoạn luồng tấn công từ hệ thống. Mục tiêu của thuật toán đề xuất là xác
định và loại bỏ các luồng tấn công trước khi vào thuật toán truyền thống RED. Công
việc tương tự đã được thực hiện trong thuật toán RRED [1]. Bằng một tập hợp các thí
nghiệm khác nhau, thuật toán RRED được chứng minh là mạnh mẽ chống lại các cuộc
tấn công LDoS và duy trì thông lượng TCP ổn định. Tuy nhiên, thuật toán xác định một
khoảng thời gian cố định tính từ thời điểm gói tin bị loại nghi ngờ là gói tin tấn công.
Thời gian cố định có thể bị kẻ tấn công xác định và bỏ qua. Do đó, một luồng là một
luồng tấn công nếu các gói tin đến từ luồng này được gửi trong một khoảng thời gian
sau khi một gói tin khác trong cùng một luồng bị loại bỏ. Khi một gói tin đến nghi ngờ


là gói tin tấn công phụ thuộc vào khoảng thời gian xác định trong RRED là T*=10ms.
Kẻ tấn công có thể dự đoán được giá trị hằng số này khi khi đưa các gói tin tấn công và
như vậy rất có khả năng kẻ tấn công có thể điều chỉnh thời gian đến của gói tin tấn công
sao cho RRED không dễ dàng phát hiện và nguy cơ tiềm ẩn tấn công LDoS vẫn là cao.
Vì nhược điểm này, chúng tôi đề xuất cải tiến thay đổi giá trị biến thiên của trong
khoảng thời gian trên để xác định loại bỏ gói tin là gói tin tấn công và cho đi qua hầu
hết gói tin bình thường. Bằng cách cải tiến giá trị hằng số T* của thuật toán RRED trên
là một giá trị thời gian Tout động. Khi phát hiện mất gói tin tại một luồng mà nghi ngờ là
gói tin tấn công, người gửi sẽ chờ hết thời gian timeout để tiếp tục gửi lại, trong khoảng
thời gian Tout tính từ thời điểm gói tin bị loại bỏ đến khi gói tin được phát tiếp theo nghi

ngờ là gói tin tấn công (được trình bày chi tiết trong chương 4).
Qua mô phỏng trong NS2 và phân tích cho thấy RRED sau khi cải tiến là tương
đối hiệu quả và có khả năng cải thiện hiệu suất TCP đáng kể trong các cuộc tấn công
DoS tần suất thấp so với thuật toán RRED ban đầu.
Phần tiếp theo của luận văn được tổ chức như sau:
Chương 2: Background
Trình bay tổng quan về TCP, kiểm soát tắc nghẽn TCP, tiếp theo trình bày quản lý
hàng đợi tích cực (AQM) và cuối cùng là trình bày thuật toán RED.
Chương 3: Tấn công từ chối dịch vụ.
Trong chương này trình bày khái niệm về tấn công từ chối dịch vụ, cách thức
chung tấn công từ chối dịch vụ. Tiếp theo là trình bày cách thức tấn công từ chối dịch
vụ tần suất thấp. Các phương pháp chống tấn công từ chối dịch vụ tần suất thấp và cuối
cùng tập trung một thuật toán chống tấn công từ chối dịch vụ tần suất thấp là RRED.
Chương 4: Phương pháp cải tiến đề xuất.
Trong chương này trình bày về ý tưởng cải tiến thuật toán RRED, phân tích nhược
điểm của RRED, khai thác nhược điểm để từ đó đề xuất phương pháp cải tiến. Tiếp
theo trình bày mã giả của thuật toán và cuối cùng là bình luận phương pháp cải tiến
Chương 5: Kết quả mô phỏng
Chương này trình bày kịch bản mô phỏng, kết quả biến thiên theo chu kỳ tấn
công, theo độ rộng tấn công và tốc độ tấn công. Trong chương này, chúng tôi cũng so
sánh phương pháp cải tiến của chúng tôi so với thuật toán RRED.
Phần cuối cùng là kết luận và hướng nghiên cứu trong tương lai.


References.
TÀI LIỆU THAM KHẢO
[1]. Changwang Zhang, Jianping Yin, Zhiping Cai, and Weifeng Chen, “RRED: Robust
RED Algorithm to Counter Low-rate Denial-of-Service Attacks”, IEEE
Communications Letters, vol.14, pp.489-491, 2010.
[2]. Aleksandar Kuzmanovic and Edward W. Knightly (2006). Low-Rate TCP-Targeted

Denial of Service Attacksand Counter Strategies. IEEE/ACM Transactions on
Networking, Vol. 14, No. 4, pages 683-696.
[3]. Haibin Sun, John C. S. Lui, David K. Y. Yau (2006). Distributed Mechanism in
Detecting and Defending Against the Low-Rate TCP Attack. Computer Networks, Vol.
50, No. 3, pages 2312-2330.
[4]. Guang Yang, Mario Gerla, and M. Y. Sanadidi (2004). Defense against Low-Rate
TCP-Targeted Denial-of-Service Attacks. In Proceedings of the Ninth International
Symposium on Computers and Communications, Vol. 2, pages 345-350.
[5]. Jelena Mirkovic, Sven Dietrich, David Dittrich, Peter Reiher (2004); Internet
Denial of Service: Attack and Defense Mechanisms.chm; Prentice Hall PTR.
[6]. Michael Glenn (2003); A Summary of DoS/DDoS Prevention, Monitoring and
Mitigation Techniques in a Service Provider Environment; SANS Institute.
[7]. S. Bellovin, M. Leech, and T. Taylor (October 2001), "ICMP Traceback Messages"
Internet draft, work in progress.
[8]. J. Mirkovic (August 2003), D-WARD: Source-End Defense Against Distributed
Denial-of-Service Attacks, PhD thesis, University of California Los Angeles,
/>[9]. E. O'Brien. "NetBouncer: A Practical Client-Legitimacy-Based DDoS Defense via
Ingress Filtering".
/>.
[10]. J. Mirkovic, M. Robinson, P. Reiher, and G. Kuenning (August 2003), "Forming
Alliance for DDoS Defenses," Proceedings of the New Security Paradigms Workshop
(NSPW 2003), ACM Press, pp. 11–18.
[11]. A. Shevtekar, K. Anantharam and N. Ansari: “Low Rate TCP Denial-of-Service
Attack De-tection ad Edge Routers”, IEEE Communica-tions Letters, 9, 4, pp. 363–365
(2005).
[12]. A. Yaar, A. Perrig, and D. Song, (May 2003) "Pi: A Path Identification
Mechanism to Defend Against DDoS Attacks", Proceedings of the IEEE Symposium
on Security and Privacy, pp. 93–107.



[13]. A. Yaar, A. Perrig, and D. Song, (May 2004) "SIFF: a stateless Internet flow filter
to mitigate DDoS flooding attacks", Proceedings of the IEEE Symposium on Security
and Privacy, pp. 130–143.
[14]. C. Jin, H. Wang, and K. G. Shin (October 2003), "Hop-Count Filtering: An
Effective Defense Against Spoofed DDoS Traffic", Proceedings of the 10th ACM
Conference on Computer and Communication Security, ACM Press, pp 30–41.
[15].
Shrews:
Low-Rate
TCP-Targeted
Denial
of
Service
Attacks
/>[16].
TCP
congestion
avoidance
algorithm,
Wikipedia
online,
/>[17]. Drop Tail, Wikipedia online />[18].
Bloom
Filters,
Wikipedia
online:
/>BloomFilters20080620.pdf
[19]. S. Floyd and V. Jacobson, Random Early Detection Gateways for Congestion Avoidance, IEEE/ACM Transactions on Networking, pages 397-413, vol 1, issue
4, Aug. 1993.
[20]. R. Mahajan, S. Floyd and D. Wetherall, Controlling high-bandwidth flows

at the congested router, In Proceedings of IEEE ICNP 2001, Riverside, CA, Nov. 2001.
[21]. M. Allman, S. Floyd and C. Partridge: “Increas-ing TCP’s Initial Window”,
RFC3390 (2002).
[22]. M. Allman, V. Paxson and W. Stevens: “TCP Congestion Control”, RFC2581
(1999).
[23]. G. Yang, M. Gerla and M. Sanadid: “De-fence against Low-rate TCP-targeted
Denial-of-Service Attacks”, Proc of ISCC2004 (2004).
[24]. Sally Floyd and Van Jacobson: “Random Early Detection Gateways for
Congestion Avoidance”, August 1993 IEEE/ACM Transactions on Networking.
[25]. V. Jacobson. Congestion avoidance and control. ACM Computer Comm. Review,
18(4):314–329, Aug. 1988
[26]. V. Paxson and M. Allman. Computing TCP’s retransmission timer, November
2000. Internet RFC 2988
[27]. The Network Simulator NS2: />[28]. T. J. Ott, T. V. Lakshman, and L. H. Wong, “SRED: Stabilized RED”, Proc. IEEE
INFOCOM’99, NY, March 21-25, 1999, pp. 1346-1355
[29]. W. Feng, D. D. Kandlur, D. Saha, and D. G. Shin, “BLUE: A New Class of
Active Queue Management Algorithms”, University of Michigan, April 1999.