Tải bản đầy đủ (.doc) (142 trang)
  1. Trang chủ
    2. >>
  2. Luận Văn - Báo Cáo
    3. >>
  3. Tiến sĩ

Nghiên cứu năng lực cạnh tranh của điểm đến du lịch thừa thiên huế, việt nam

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (9.22 MB, 142 trang )

BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI

ĐẶNG VĂN TUYÊN

NGHIÊN CỨU GIẢI PHÁP PHÁT HIỆN VÀ GIẢM THIỂU
TẤN CÔNG TỪ CHỐI DỊCH VỤ PHÂN TÁN SỬ DỤNG
CÔNG NGHỆ SDN

LUẬN ÁN TIẾN SĨ KỸ THUẬT VIỄN THÔNG

Hà Nội – 2019


BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI

ĐẶNG VĂN TUYÊN

NGHIÊN CỨU GIẢI PHÁP PHÁT HIỆN VÀ GIẢM
THIỂU TẤN CÔNG TỪ CHỐI DỊCH VỤ PHÂN TÁN SỬ
DỤNG CÔNG NGHỆ SDN
Ngành: Kỹ thuật Viễn thông
Mã số: 9520208

LUẬN ÁN TIẾN SĨ KỸ THUẬT VIỄN THÔNG

NGƯỜI HƯỚNG DẪN KHOA HỌC:
PGS.TS. TRƯƠNG THU HƯƠNG
PGS.TS. NGUYỄN TÀI HƯNG


Hà Nội – 2019


i

LỜI CAM ĐOAN
Tôi xin cam đoan rằng các kết quả khoa học được trình bày trong luận án này là thành
quả nghiên cứu của bản thân tôi trong suốt thời gian làm nghiên cứu sinh và chưa từng xuất
hiện trong công bố của các tác giả khác. Các kết quả đạt được là chính xác và trung thực.
Hà Nội, ngày 15 tháng 5 năm 2019
Tác giả luận án

Đặng Văn Tuyên
Giáo viên hướng dẫn khoa học

PGS.TS. Trương Thu Hương

PGS.TS. Nguyễn Tài Hưng


ii

LỜI CẢM ƠN
Nghiên cứu sinh (NCS) xin gửi lời trân trọng cảm ơn đến Tập thể hướng dẫn khoa học:
PGS. TS. Trương Thu Hương và PGS. TS. Nguyễn Tài Hưng cùng các thầy cô giáo Bộ môn
Kỹ thuật Thông tin, Viện Điện tử - Viễn thông, Trường Đại học Bách khoa Hà Nội đã tận tình
hướng dẫn, tạo điều kiện cho NCS học tập, nghiên cứu và hoàn thành Luận án này.

NCS cũng xin trân trọng cảm ơn Phòng Đào tạo, Trường Đại học Bách khoa Hà Nội
đã tạo điều kiện giúp đỡ về mặt thủ tục; Trường Đại học Kỹ thuật – Hậu cần CAND, gia

đình và đồng nghiệp tạo điều kiện về mặt thời gian cho NCS được nghiên cứu và hoàn
thành Luận án.
Trong quá trình thực hiện đề tài nghiên cứu, tuy bản thân đã có nhiều cố gắng nhưng
do giới hạn về trình độ hiểu biết, kinh nghiệm thực tế, kinh nghiệm nghiên cứu khoa học
nên Luận án không tránh khỏi những thiếu sót. NCS kính mong nhận được sự đóng góp ý
kiến của các nhà khoa học, cán bộ nghiên cứu, của các thầy, cô giáo, bạn bè và đồng
nghiệp để NCS hoàn thiện hơn cả về lý luận khoa học lẫn thực tiễn.
Xin trân trọng cảm ơn.
Hà Nội ngày 15 tháng 05 năm 2019
NGHIÊN CỨU SINH

Đặng Văn Tuyên


iii

MỤC LỤC
LỜI CAM ĐOAN........................................................................................................................i
LỜI CẢM ƠN.............................................................................................................................ii
MỤC LỤC.................................................................................................................................iii
DANH MỤC CÁC CHỮ VIẾT TẮT.......................................................................................vii
DANH MỤC HÌNH VẼ............................................................................................................. x
DANH MỤC CÁC BẢNG BIỂU........................................................................................... xiii
MỞ ĐẦU.................................................................................................................................xiv
CHƯƠNG 1: TẤN CÔNG DDOS VÀ CÁC GIẢI PHÁP PHÒNG CHỐNG TRONG MẠNG
SDN/OPENFLOW..................................................................................................................... 1
1.1. Giới thiệu chương.................................................................................................................. 1
1.2. Tổng quan về tấn công DDoS................................................................................................ 1
1.2.1. Khái niệm...................................................................................................................... 1


1.2.2. Phân loại tấn công DDoS............................................................................................... 2

1.2.3. Các giải pháp phòng chống DDoS dựa trên công nghệ mạng truyền thống.....................5

1.2.4. Yêu cầu và thách thức đối với giải pháp phát hiện và ngăn chặn, giảm thiểu tấn công DDoS
........................................................................................................................................... 7

1.3. Kỹ thuật mạng cấu hình bởi phần mềm SDN....................................................................... 10
1.4. Giao thức OpenFlow........................................................................................................... 12
1.4.1. Cấu trúc và phạm vi chuẩn hóa của Openflow.............................................................. 13
1.4.2. Nhận dạng và quản lý lưu lượng trên bộ chuyển mạch Openflow................................. 14
1.4.3. Các bản tin trao đổi giữa bộ điều khiển và bộ chuyển mạch Openflow.......................... 14

1.4.4. Quy trình xử lý gói tin trong Openflow........................................................................ 16
1.4.5. Quản lý các mục luồng trong bộ chuyển mạch Openflow............................................. 17


iv
1.5. Các giải pháp phòng chống DDoS dựa trên kiến trúc và kỹ thuật SDN/Openflow................ 18
1.5.1. Kiến trúc và nguyên lý hoạt động chung....................................................................... 18
1.5.2. Các kỹ thuật phát hiện tấn công.................................................................................... 20

1.5.3. Các kỹ thuật ngăn chặn, giảm thiểu tấn công................................................................ 22
1.6. Tấn công DDoS tới các thành phần trong kiến trúc mạng SDN/Openflow và các giải pháp
phòng chống............................................................................................................................... 23
1.6.1. Tấn công DDoS tới các thành phần trong kiến trúc mạng SDN/Openflow.................... 23
1.6.2. Kỹ thuật phát hiện và giảm thiểu tấn công.................................................................... 25
1.7. Kết luận chương.................................................................................................................. 27
CHƯƠNG 2: ĐỀ XUẤT GIẢI PHÁP PHÒNG CHỐNG TẤN CÔNG DDOS DỰA TRÊN DỮ
LIỆU THỐNG KÊ VÀ CƠ CHẾ XỬ LÝ GÓI TIN CỦA KỸ THUẬT SDN/OPENFLOW.........29

2.1. Giới thiệu chương................................................................................................................ 29
2.2. Giải pháp phát hiện và giảm thiểu tấn công DDoS dựa trên mô hình dự đoán làm trơn hàm
mũ tham số thống kê lưu lượng.................................................................................................. 29
2.2.1. Đặt vấn đề.................................................................................................................... 29
2.2.2. Kiến trúc hệ thống và các trạng thái hoạt động............................................................. 30
2.2.3. Lựa chọn tham số và chỉ số thống kê lưu lượng............................................................ 32

2.2.4. Lựa chọn và xây dựng mô hình dự đoán chỉ số thống kê lưu lượng............................... 33

2.2.5. Phát hiện và giảm thiểu tấn công.................................................................................. 35

2.2.6. Phân tích và đánh giá hiệu năng của giải pháp.............................................................. 37

2.3. Giải pháp giảm thiểu tấn công SYN Flood dựa trên cơ chế ủy nhiệm gói tin SYN tại bộ điều
khiển.......................................................................................................................................... 41
2.3.1. Đặt vấn đề.................................................................................................................... 41
2.3.2. Kiến trúc hệ thống đề xuất........................................................................................... 42
2.3.3. Lựa chọn mô hình ủy nhiệm gói tin SYN..................................................................... 43
2.3.4. Hoạt động của hệ thống SSP........................................................................................ 44

2.3.5. Phân tích và đánh giá hiệu năng của giải pháp.............................................................. 51


v

2.4. Giải pháp đánh dấu gói tin PLA DFM phục vụ truy vết nguồn tấn công............................... 58
2.4.1. Đặt vấn đề.................................................................................................................... 58
2.4.2. Khái niệm về đánh dấu gói tin và các kỹ thuật cơ bản................................................... 59

2.4.3. Đề xuất cấu trúc và hoạt động của PLA DFM trên kiến trúc mạng SDN/Openflow.......61


2.4.4. So sánh và đánh giá hiệu năng của giải pháp................................................................ 66

2.5. Kết luận chương.................................................................................................................. 70
CHƯƠNG 3 ĐỀ XUẤT GIẢI PHÁP PHÒNG CHỐNG TẤN CÔNG DDOS DỰA TRÊN KỸ
THUẬT SDN/OPENFLOW SỬ DỤNG THÊM BỘ PHÂN TÍCH VÀ XỬ LÝ LƯU LƯỢNG . 72
3.1. Giới thiệu chương................................................................................................................ 72
3.2. Những hạn chế của kiến trúc và kỹ thuật SDN/Openflow trong phòng chống tấn công
DDoS
72
3.3. Đề xuất kiến trúc mạng SDN/Openflow mở rộng trên cơ sở bổ sung bộ phân tích và xử lý lưu
lượng SD.................................................................................................................................... 73
3.3.1. Kiến trúc tổng quát....................................................................................................... 74
3.3.2. Điều khiển chuyển tiếp lưu lượng tới SD và xử lý lưu lượng tại SD.............................. 75
3.4. Giải pháp phân loại và giảm thiểu tấn công DDoS dựa trên kiến trúc SDN/Openflow mở rộng
và thuật toán logic mờ................................................................................................................ 76
3.4.1. Đặt vấn đề.................................................................................................................... 76
3.4.2. Phân tích đặc tính lưu lượng tấn công DDoS để chọn tham số phân loại lưu lượng.......76

3.4.3. Cấu trúc hệ thống......................................................................................................... 79
3.4.4. Xác định trạng thái của máy chủ.................................................................................. 79


vi
3.4.5. Chuyển tiếp gói tin giữa các thực thể trong hệ thống.................................................... 81
3.4.6. Phân loại lưu lượng và giảm thiểu tấn công DDoS dựa trên thuật toán suy luận logic mờ
FDDoM................................................................................................................................. 83

3.4.7. Đánh giá hiệu năng của giải pháp................................................................................. 87


3.5. Phát hiện và giảm thiểu tấn công SYN Flood tới mạng SDN/Openflow sử dụng cơ chế ủy
nhiệm gói tin SYN tại bộ phân tích và xử lý lưu lượng............................................................... 91
3.5.1. Đặt vấn đề.................................................................................................................... 91
3.5.2. Cấu trúc hệ thống......................................................................................................... 92
3.5.3. Hoạt động của hệ thống................................................................................................ 92

3.5.4. Phân tích và đánh giá hiệu năng................................................................................... 98

3.6. Kết luận chương................................................................................................................ 104
KẾT LUẬN.............................................................................................................................. 106
DANH MỤC CÁC CÔNG TRÌNH ĐÃ CÔNG BỐ CỦA LUẬN ÁN....................................... 108
TÀI LIỆU THAM KHẢO........................................................................................................ 109


vii

DANH MỤC CÁC CHỮ VIẾT TẮT
Ký hiệu
ACK
ACK_Num
API

Tiếng Anh

Tiếng Việt

ACKnowledgment
Acknowledgement Number
Application Programming
Interface

Average Retrieve Time
Autonomous System
Asynchronous Transfer Mode
Cumulative Distribution
Function
Client ACK
Connection Migration
CUmulative SUM
Data Center
Distributed Denial of Service
Deterministic Flow Marking
Denial of Service
Domain Name System
Deviation PpF
Deterministic Packet Marking
Dynamic Probabilistic Packet
Marking

Gói tin xác nhận kết nối
Số hiệu xác nhận
Giao diện chương trình ứng dụng

DR
DSCP

Detection Rate
Dynamic probabilistic packet
marking

Độ nhạy

Kỹ thuật đánh dấu gói tin theo xác suất
động

DSPA
FDDoM

Deviation SPA
Fuzzy Logic-based DDoS
Mitigation

SPA chuẩn hóa
Phát hiện và giảm thiểu tấn công DDoS
dựa trên thuật toán logic mờ

FIS
FTP
FPR
FMT
HOC
3HS
HTTP
IAT

Fuzzy Inference System
File Transfer Protocol
False Positive Rate
Flow Monitoring Table
Half Open Connection
Three ways Handshake
HyperText Transfer Protocol

Inter Arrival Time

Hệ suy luận mờ
Giao thức truyền tệp tin
Tỷ lệ báo động nhầm
Bảng giám sát luồng
Kết nối dang dở
Bắt tay ba bước
Giao thức truyền tải siêu văn bản
Khoảng thời gian liên gói tin

ART
AS
ATM
CDF
CliACK
CM
CUSUM
DC
DDoS
DFM
DoS
DNS
DPpF
DPM
DPPM

Thời gian kết nối trung bình
Hệ tự trị
Truyền dữ liệu cận đồng bộ

Hàm phân phối tích lũy
Gói tin xác nhận kết nối từ client
Di trú kết nối
Tổng tích lũy
Trung tâm dữ liệu
Tấn công từ chối dịch vụ phân tán
Kỹ thuật đánh dấu gói tin theo luồng
Tấn công từ chối dịch vụ
Hệ thống tên miền
PpF chuẩn hóa
Kỹ thuật đánh dấu xác định
Kỹ thuật đánh dấu gói tin theo xác suất
động


viii
ICMP

Internet Control Message
Protocol

Giao thức thông báo điều khiển Internet

IDS
IoTs
IP
IPS
ISP
IRC
MA

MPR
MSR
MT
MTU
NFV

Intrusion Detection System
Internet of Things
Internet Protocol
Intrusion Prevention System
Internet Service Provider
Internet Relay Chat
Moving Average
Marked Packet Rate
Marked Size Rate
Mark Threshold
Maxium Transmission Unit
Network Functions
Virtualization

Hệ thống phát hiện xâm nhập
Mạng kết nối vạn vật
Giao thức liên mạng
Hệ thống chống xâm nhập
Nhà cung cấp dịch vụ Internet
Dịch vụ chat Internet
Trung bình động
Tỷ lệ gói tin bị đánh dấu
Tỷ lệ dung lượng gói tin bị đánh dấu
Giá trị ngưỡng đánh dấu

Ngưỡng kích thước đơn vị truyền
Ảo hóa chức năng mạng

NTP
OFS
ONF
PN
PLA DFM

Network Time Protocol
OpenFlow Switch
Open Networking Foudation
Packet Number
Packet Length Adaptive
Deterministic Flow Marking

Giao thức đồng bộ thời gian mạng
Bộ chuyển mạch Openflow
Tổ chức chuẩn hóa mạng mở
Số gói tin
Đánh dấu gói tin xác định theo luồng
có sự tương thích chiều dài gói

PpF
PPM
pps
QoS
REST API

Packet number per Flow

Probabilistic Packet Marking
packet per second
Quality of Service
Representational State
Transfer API

Số gói tin trong một luồng
Đánh dấu gói tin theo xác suất
Gói tin/ giây
Chất lượng dịch vụ
Giao diện trao đổi dựa vào biến trạng
thái

RST
SAN
SCR
SD
SDH

ReSeT
Source Address Number
Successful Connection Rate
Security Device
Synchronous Digital
Hierarchy

Gói tin hủy kết nối
Số địa chỉ IP nguồn
Tỷ lệ kết nối thành công
Thiết bị bảo mật

Hệ thống phân cấp đồng bộ

SDN

Software Defined
Networking
Sequence Number
SYN Flood Detection
Successful Mark Rate
Self Organinzing Map
Small Office/Home Office

Kỹ thuật mạng cấu hình bởi phần mềm

SEQ_Num
SFD
SMR
SOM
SOHO

Số hiệu tuần tự
Phát hiện tấn công SYN Flood
Tỷ lệ đánh dấu thành công
Bản đồ tự tổ chức
Văn phòng, cơ quan nhỏ


ix
SONET


Synchronous Optical
NETwork

Mạng quang đồng bộ

SP
SPA

Security Proxy
Source-port number Per
Address

Ủy nhiệm an ninh
Số cổng nguồn trên một địa chỉ nguồn

SPM
SPN
SS
SSDP

SYN Proxy Module
Source Port Number
Security Server
Simple Service Discovery
Protocol

Mô đun ủy nhiệm gói tin SYN
Số cổng nguồn được mở
Máy chủ bảo mật
Giao thức phát hiện dịch vụ đơn giản


SSG
SSP

SDN-based SYN Flood
Guard
SDN based SYN Proxy

Chống tấn công SYN Flood dựa vào
công nghệ SDN
Ủy nhiệm gói tin SYN dựa vào công
nghệ SDN

SSL

Secure Sockets Layer

SVM
SYN
SYN-ACK

Support Vector Machine
SYNchronize
SYNchronize
ACKnowledgement

Tiêu chuẩn bảo mật an toàn lớp ứng
dụng
Máy vec-tơ hỗ trợ
Gói tin yêu cầu kết nối

Gói tin trả lời yêu cầu kết nối

TCB
TCP

Transmission Control Block
Transmission Control
Protocol

Khối điều khiển truyền
Giao thức điều khiển truyền

TOS
TLS
TTL
TRW
TRW-CB
UDP

Type Of Service
Transport Layer Security
Time To Live
Threshold Random Walk
TRW-Credit Based
User Datagram Protocol

Kiểu dịch vụ
Bảo mật tầng truyền tải
Thời gian tồn tại
Thăm dò ngưỡng

Thăm dò ngưỡng theo độ tin cậy
Giao thức truyền gói dữ liệu người
dùng

VLAN
VPN
WMA

Virtual Local Area Network
Virtual Private Network
Weighted Moving Average

Mạng LAN ảo
Mạng riêng ảo
Mô hình trung bình động có trọng số


x

DANH MỤC HÌNH VẼ
Hình 1.1. Lưu lượng tấn công DDoS được huy động từ nhiều nguồn trên Internet...................2
Hình 1.2. Phân loại các kỹ thuật tấn công DDoS.......................................................................3
Hình 1.3. Quá trình bắt tay ba bước trong kết nối TCP (a) và cơ chế tấn công TCP SYN Flood
(b)................................................................................................................................................4
Hình 1.4. Kiến trúc mạng cấu hình bởi phần mềm SDN..........................................................11
Hình 1.5. Cấu trúc và phạm vi chuẩn hóa của giao thức Openflow.........................................13
Hình 1.6. Cấu trúc của một mục luồng.....................................................................................15
Hình 1.7. Quá trình xử lý gói tin tại bộ chuyển mạch theo cơ chế đường ống.........................16
Hình 1.8. Yêu cầu xử lý gói tin khi không khớp với một mục luồng có sẵn trên bộ chuyển mạch
17


Hình 1.9. Cấu trúc chung hệ thống giải pháp phòng chống tấn công DDoS dựa trên kỹ thuật
SDN/Openflow......................................................................................................................... 19
Hình 1.10. Các phương pháp tấn công tới lớp Hạ tầng mạng..................................................24
Hình 1.11. Các phương pháp tấn công tới Lớp điều khiển.......................................................24
Hình 1.12. Các phương pháp tấn công tới Lớp Ứng dụng....................................................... 24
Hình 1.13. Quá trình xử lý gói tin của một kết nối TCP trong cơ chế CM.............................. 26
Hình 2.1. Kiến trúc hệ thống đề xuất cho giải pháp dựa trên phương pháp thống kê sử dụng
giải thuật dự đoán làm trơn hàm mũ.........................................................................................30
Hình 2.2. Sơ đồ chuyển tiếp trạng thái của hệ thống cho một máy chủ/dịch vụ......................31
Hình 2.3. Mô hình phát hiện và phân loại lưu lượng tấn công.................................................35
Hình 2.4. Giá trị chỉ số SPA (a) và DSPA (b)...........................................................................39
Hình 2.5. Giá trị chỉ số PpF và DPpF.......................................................................................39
Hình 2.6. Kiến trúc hệ thống giải pháp Ủy nhiệm gói tin SYN trên Bộ điều khiển SSP.........43
Hình 2.7. Nguyên lý hoạt động của hai loại SYN proxy..........................................................44
Hình 2.8. Quá trình xử lý yêu cầu kết nối của một gói tin SYN trong giải pháp SSP.............45
Hình 2.9. Lưu đồ quá trình capture và xử lý các gói tin bắt tay ba bước tại OFS....................46
Hình 2.10. Lưu đồ hoạt động của mô đun SPM tại bộ điều khiển........................................... 48
Hình 2.11. Thống kê CDF khoảng thời gian giữa gói tin SYN và gói tin CliACK của lưu lượng
mạng thực tế............................................................................................................................. 50

Hình 2.12. Hiệu chỉnh thời gian chờ của các luồng................................................................. 50


xi
Hình 2.13. Sơ đồ chuyển tiếp chính sách xử lý gói tin SYN tại bộ chuyển mạch...................51
Hình 2.14. Mô hình testbed đánh giá hiệu năng giải pháp SSP............................................... 52
Hình 2.15. Tỷ lệ kết nối thành công từ lưu lượng lành tính khi máy chủ chịu tấn công DDoS
với cường độ tấn công khác nhau.............................................................................................53
Hình 2.16. Thời gian kết nối trung bình của lưu lượng lành tính khi máy chủ chịu tấn công với

cường độ tấn công khác nhau...................................................................................................53

Hình 2.17. Số kết nối đang mở tại máy chủ với các cường độ tấn công khác nhau.................54
Hình 2.18. Giao diện màn hình đo sự chiếm dụng tài nguyên Bộ điều khiển ở tốc độ tấn công
700 pps......................................................................................................................................57
Hình 2.19. Tỷ lệ chiếm dụng CPU của bộ điều khiển tại các cường độ tấn công khác nhau...57
Hình 2.20. Dung lượng bộ nhớ bị chiếm dụng của bộ điều khiển ở cường độ tấn công khác nhau
57

Hình 2.21. Phân bố số lượng gói tin trên 1 luồng từ bộ dữ liệu CAIDA................................. 61
Hình 2.22. Cấu trúc hệ thống giải pháp đánh dấu gói tin PLA DFM dựa trên kiến trúc
SDN/Openflow......................................................................................................................... 62
Hình 2.23. Phân bố chiều dài của gói tin thứ nhất từ bộ dữ liệu CAIDA................................ 63
Hình 2.24. Đánh dấu gói tin PLA DFM................................................................................... 63
Hình 2.25. Quá trình đánh dấu gói tin PLA DFM tại Bộ điều khiển mạng SDN/Openflow....66
Hình 2.26. So sánh tác động của PLA DFM tới tiêu đề gói tin đầu tiên của luồng..................67
Hình 2.27. SMR của PLA DFM và DFM khi MT=288........................................................... 68
Hình 2.28. MPR của PLA DFM và DFM khi MT=288........................................................... 68
Hình 2.29. MSR của PLA DFM và DFM khi MT=288........................................................... 69
Hình 3.1. Kiến trúc giải pháp bổ sung bộ phân tích và xử lý lưu lượng
dựa trên cơ chế
SDN/Openflow......................................................................................................................... 74
Hình 3.2. Biểu đồ phân bố IAT của lưu lượng đến...................................................................77
Hình 3.3. Phân bố số lượng gói trong từng luồng.................................................................... 78
Hình 3.4. Kiến trúc hệ thống đề xuất cho giải pháp phân loại và giảm thiểu tấn công dựa trên
thuật toán suy luận logic mờ FDDoM......................................................................................80
Hình 3.5. Sơ đồ tuần tự của hệ thống khi máy chủ ở trạng thái "Không bị tấn công".............82
Hình 3.6. Sơ đồ tuần tự của sự kiện Packet in khi máy chủ ở trạng thái "Nghi ngờ bị tấn
công".........................................................................................................................................83
Hình 3.7. Sơ đồ tuần tự của sự kiện “Kết thúc chu kỳ giám sát” khi máy chủ ở trạng thái "Nghi

ngờ bị tấn công"........................................................................................................................83
Hình 3.8. Sơ đồ tuần tự của sự kiện Packet in khi máy chủ ở trạng thái "Đang bị tấn công" .. 84


xii
Hình 3.9. Mờ hoá IAT với hai hàm thành viên Low và High...................................................85
Hình 3.10. Mờ hoá PpF với hai hàm thành viên Low và High................................................ 86
Hình 3.11. Giá trị đầu ra của chỉ thị Z của thuật toán FDDoM và độ nhạy lọc bỏ DRF...........88
Hình 3.12. Tỷ lệ lọc bỏ nhầm FPRF.........................................................................................88
Hình 3.13. So sánh số mục luồng tồn tại trên bộ chuyển mạch biên OFS............................... 90
Hình 3.14. Cấu trúc chi tiết và tương tác giữa các module chức năng trong giải pháp SSG...93
Hình 3.15. Mô hình thuật toán phát hiện tấn công SYN Flood đề xuất sử dụng trong SSG....93
Hình 3.16. Quá trình capture và điều hướng các gói tin của một kết nối TCP lành tính thông
qua các mục luồng trên OFS khi máy chủ nội bộ ở trạng thái “Không bị tấn công”...............95
Hình 3.17. Lưu đồ thuật toán quá trình xử lý gói tin SYN đến tại SD.....................................96
Hình 3.18. Lưu đồ thuật toán giám sát quá trình bắt tay ba bước tại SD................................. 97
Hình 3.19. Sơ đồ tuần tự quá trình xác thực địa chỉ IP nguồn của gói tin SYN bằng RST cookie
98

Hình 3.20. Cấu trúc testbed thử nghiệm và đánh giá giải pháp SSG....................................... 98
Hình 3.21. So sánh tỷ lệ kết nối thành công và thời gian kết nối trung bình giữa Openflow, cơ
chế CM và giải pháp SSG.........................................................................................................99
Hình 3.22. Sự chiếm dụng tài nguyên bộ nhớ và tài nguyên CPU trên OFS và SD của các giải
pháp thử nghiệm.....................................................................................................................101
Hình 3.23. Sự tương tác giữa các thực thể của SSG trong quá trình xử lý gói tin bắt tay ba bước
của một kết nối lành tính........................................................................................................ 102
Hình 3.24. Sự tương tác giữa các thực thể trong quá trình xử lý gói tin SYN giả mạo địa chỉ IP
của cơ chế CM và giải pháp SSG........................................................................................... 103
Hình 3.25. Mức độ gia tăng lưu lượng trên giao diện bộ chuyển mạch của giải pháp SSG so với
cơ chế CM...............................................................................................................................103



xiii

DANH MỤC CÁC BẢNG BIỂU
Bảng 1.1. Quan hệ giữa kết quả phân loại của giải pháp và đặc tính thực của lưu lượng..........8
Bảng 1.2. So sánh các kỹ thuật phát hiện và giảm thiểu tấn công DDoS tới kiến trúc mạng
SDN/Openflow theo chính sách và quy tắc xử lý gói tin......................................................... 25
Bảng 2.1. Các tham số thống kê sử dụng để phát hiện và phân loại lưu lượng tấn công
DDoS........................................................................................................................................ 32
Bảng 2.2. Thuật toán phát hiện tấn công..................................................................................35
Bảng 2.3. Thuật toán phân loại lưu lượng tấn công................................................................. 36
Bảng 2.4. Thuật toán Lọc bỏ lưu lượng tấn công.....................................................................37
Bảng 2.5. Độ nhạy và tỷ lệ báo động nhầm trong phân loại lưu lượng và giảm thiểu tấn
công.......................................................................................................................................... 40
Bảng 2.6. Ví dụ về cấu trúc và sắp xếp các mục luồng trong bảng luồng của SSP.................47
Bảng 2.7. Cấu trúc bảng giám sát luồng FMT..........................................................................48
Bảng 2.8. Tham số và kết quả phân tích lưu lượng lành tính từ bộ dữ liệu CAIDA 2013.......56
Bảng 2.9. Các trường và số lượng gói tin yêu cầu trong mỗi luồng để đánh dấu trong DFM . 60
Bảng 2.10. Một số giá trị MTU của các loại đường truyền phổ biến và giá trị MT tương ứng 64

Bảng 2.11. Kỹ thuật PLA DFM với tuỳ biến giá trị Checksum............................................... 65
Bảng 2.12. So sánh giữa các PLA DFM khác nhau với các giá trị K và MT...........................69
Bảng 2.13. Tỷ lệ gia tăng lưu lượng trong PLA DFM..............................................................69
Bảng 3.1. Số lượng luồng, số lượng địa chỉ IP nguồn và tổng lưu lượng gửi tới máy chủ của hai
bộ dữ liệu CAIDA và Netnam..................................................................................................78

Bảng 3.2. Thuật toán xác định trạng thái của máy chủ............................................................ 80
Bảng 3.3. Các loại các mục luồng dùng để điều hướng lưu chuyển gói tin trong hệ thống.....81
Bảng 3.4. So sánh hiệu năng giải pháp FDDoM với giải pháp và mô hình mạng tương đồng 89


Bảng 3.5. Tổ chức các bảng luồng trên bộ chuyển mạch OFS của SSG..................................94
Bảng 3.6. Đặc tính các mục luồng trong các bảng luồng FT1 và FT3 thực hiện giám sát quá
trình bắt tay ba bước.................................................................................................................94
Bảng 3.7. Cấu trúc một mục tin trong danh sách HOCs.......................................................... 97
Bảng 3.8. Đặc tính thống kê của bộ lưu lượng lành tính phân tích từ bộ lưu lượng CAIDA 103


xiv

MỞ ĐẦU
1. Tấn công từ chối dịch vụ phân tán và công nghệ SDN
1.1. Tấn công từ chối dịch vụ phân tán
- Trong những năm gần đây, sự phát triển mạnh mẽ của công nghệ thông tin và truyền
thông đã cho ra đời hàng loạt các dịch vụ mạng phục vụ hầu khắp các lĩnh vực hoạt động xã
hội của con người. Các giao dịch, xử lý và trao đổi thông tin, lưu trữ dữ liệu dần chuyển sang
thực hiện trực tuyến trên mạng Internet. Bên cạnh đó, sự phát triển mạnh mẽ của công nghệ
kết nối vạn vật (IoTs) làm cho số lượng và nhu cầu lưu lượng kết nối Internet tăng lên nhanh
chóng. Vấn đề đảm bảo an toàn, tin cậy cho tổ chức và khai thác các dịch vụ được đặt lên
hàng đầu. Với cơ chế hình thành dựa trên sự ghép nối của các hệ tự trị (Autonomous System)
thiếu sự kiểm soát chung, Internet xuất hiện và ẩn chứa nhiều nguy cơ tấn công gây mất an
ninh mạng trong đó có hình thức tấn công từ chối dịch vụ (DoS) [1], tấn công từ chối dịch vụ
phân tán (sau đây gọi tắt là tấn công DDoS) [2]–[4]. Mặc dù không gây lỗi dữ liệu, tấn công
DoS/DDoS có ảnh hưởng nghiêm trọng đến tính tin cậy, sẵn sàng trong tổ chức và khai thác
các dịch vụ trên Internet. Với kỹ thuật tấn công đơn giản, công cụ dễ tìm, khả năng phát tán
mã độc để huy động nguồn lực tấn công dễ dàng, khó phát hiện và ngăn chặn, tấn công DDoS
ngày càng trở nên nguy hiểm, được lợi dụng và phát động tấn công với quy mô ngày càng
cao. Các báo cáo của các công ty an ninh mạng cho thấy, diễn biến và quy mô các đợt tấn
công ngày càng phức tạp [5]–[7]. Theo báo cáo của Abor [8], ngày 27/2/2018 trang web lưu
trữ mã nguồn GitHub ghi nhận một đợt tấn công DDoS với tốc độ lên tới 1,35 Tbps. Qua đó

cho thấy, tấn công DDoS vẫn sẽ là nguy cơ an ninh lớn đối với tổ chức và đảm bảo chất lượng
dịch vụ Internet trong tương lai.
- Sự dịch chuyển và gia tăng nhu cầu làm việc, kinh doanh độc lập và giải trí cá nhân,
cùng với sự hỗ trợ mạnh mẽ của các công nghệ truyền dẫn tiên tiến, sự phát triển các dịch vụ
nhà thông minh, IoTs,… mạng quy mô nhỏ (SOHO network) ngày càng phát triển và đang là
xu thế, chiếm tỷ lệ ngày càng tăng trong kết cấu internet [9]–[11]. An ninh mạng nói chung và
tấn công DDoS nói riêng là một trong những vấn đề lớn đối với các mạng quy mô nhỏ này do
tính đa dạng, thiếu kiểm soát của các thiết bị, dịch vụ mạng, và sự chú trọng, quan tâm, tính
chuyên nghiệp trong thiết kế, quản lý và vận hành mạng [12]–[14].
- Dựa trên công nghệ mạng truyền thống, nhiều giải pháp kỹ thuật nhằm phát hiện, phân loại
và ngăn chặn lưu lượng tấn công DDoS đã được đề xuất và triển khai [15]–[18]. Cơ chế chung
của các giải pháp này là sử dụng các bộ đo, điểm dò (probe), các bộ lấy mẫu và phân tích lưu
lượng trên hệ thống mạng để cung cấp thông tin thuộc tính của lưu lượng mạng trên toàn hệ
thống. Thông tin lưu lượng được chuyển đến và xử lý phân tích nhờ các thuật toán phát hiện bất
thường hoặc dựa trên dấu hiệu tấn công để xác định có tấn công xảy ra hay không. Khi có tấn
công hệ thống sử dụng các thiết bị an ninh chuyên dụng như tường lửa, IPS để ngăn chặn, xóa bỏ
lưu lượng tấn công. Một trong những vấn đề tồn tại lớn nhất của công nghệ mạng


xv
truyền thống đó là các thiết bị mạng vốn được phát triển các kỹ thuật xử lý gói tin theo chuẩn
riêng bởi các nhà sản xuất khác nhau nên việc cấu hình tự động, thiết lập các tham số để
phòng chống DDoS là rất khó khăn. Các thao tác xử lý khi tấn công xảy ra chủ yếu thực hiện
bằng tay, xóa bỏ, hạn chế lưu lượng bằng các thiết lập ngưỡng giới hạn dẫn tới xóa bỏ nhầm
lưu lượng lành tính.
- Tấn công DDoS với kỹ thuật huy động nguồn tấn công rất lớn bằng các xác sống
(zombies) và kỹ thuật giả mạo địa chỉ IP nguồn nên có thể tạo ra lưu lượng tấn công tăng đột
biến trong khoảng thời gian ngắn, vượt quá khả năng chịu đựng của dịch vụ, máy chủ và hệ
thống mạng đích. Do cơ chế điều khiển cứng, đóng kín, các thiết bị mạng trong công nghệ
mạng truyền thống không thể tham gia ngăn chặn lưu lượng tấn công DDoS một cách tự

động, làm cho các giải pháp phòng chống trong mạng có hiệu quả thấp, không có khả năng
phân loại và xóa bỏ chính xác theo sự biến động của lưu lượng mạng. Các giải pháp phòng
chống mới chỉ tập trung phát hiện tấn công, do cơ chế đóng của các thiết bị mạng truyền
thống nên chưa có nhiều giải pháp giảm thiểu tấn công trực tuyến.
- Tấn công DDoS là tấn công vào năng lực phục vụ của hệ thống mạng. Chính vì vậy với
mỗi cấu trúc, quy mô, đặc điểm dịch vụ và phương pháp tổ chức dịch vụ mạng khác nhau thì
đặc điểm phản ứng lại với lưu lượng tấn công, khả năng chịu đựng tấn công của các hệ thống
mạng là khác nhau. Không có một giải pháp phòng chống tấn công, tham số hệ thống nào áp
dụng chung cho tất cả các loại mạng, các quy mô mạng, các dịch vụ mạng khác nhau. Với
mỗi hệ thống mạng cụ thể, người quản trị cần lựa chọn, tích hợp các giải pháp khác nhau,
thiết lập tham số phù hợp với những đặc điểm riêng để có hiệu quả phòng chống tối ưu.
1.2. Công nghệ SDN và kỹ thuật SDN/Openflow
- Với nhu cầu phát triển mạnh mẽ các dịch vụ mạng Internet, công nghệ điện toán đám
mây, tính di động, và nhu cầu thay đổi linh động, mềm dẻo tài nguyên trên hệ thống mạng,
công nghệ mạng điều khiển bởi phần mềm (gọi tắt là công nghệ SDN) ra đời trên cơ sở tách
rời mặt phẳng điều khiển ra khỏi mặt phẳng dữ liệu, cho phép quản trị, điều khiển, thiết lập
các chính sách mạng một cách tập trung trong khi trừu tượng hóa các tài nguyên mạng [19].
Trong đó Openflow [20] là một trong những giao thức SDN đầu tiên được tập trung nghiên
cứu, phát triển. Kỹ thuật mạng SDN dựa trên giao thức Openflow (gọi tắt là kỹ thuật
SDN/Openflow) đã nhanh chóng thu hút nghiên cứu và bước đầu được ứng dụng trong các
sản phẩm phần cứng, phần mềm thương mại và mã nguồn mở.
- Điểm khác biệt quan trọng của kỹ thuật SDN/Openflow so với kỹ thuật mạng truyền
thống ở chỗ: (1) các thiết bị mạng quản lý và xử lý lưu lượng theo luồng (flow), (2) khả năng
cung cấp dữ liệu thống kê về lưu lượng nhờ các bộ đếm thống kê luồng có trong các bộ chuyển
mạch, và (3) khả năng điều khiển xử lý lưu lượng bằng phần mềm được lập trình, tùy biến bởi bộ
điều khiển điều hành mạng. Sự khác biệt này cho phép xây dựng các giải pháp quản trị, điều hành
mạng quy định và cấu hình chức năng của các thiết bị mạng vật lý, xử lý lưu lượng, v.v… bằng
phần mềm. Bên cạnh các giải pháp đề xuất về ứng dụng quản trị, tổ chức dịch vụ, nâng



xvi
cao hiệu năng hệ thống mạng, SDN/Openflow cũng được nghiên cứu và đề xuất ứng dụng trong
nhiều giải pháp an ninh mạng trong đó có các giải pháp phòng chống tấn công DDoS [21]–[26].

2. Những vấn đề còn tồn tại
1. Công nghệ SDN và kỹ thuật SDN/Openflow được đánh giá và kỳ vọng là công nghệ
mạng thay thế cho công nghệ, kỹ thuật mạng truyền thống. Khác với kỹ thuật mạng truyền
thống, kỹ thuật SDN/Openflow có khả năng cung cấp dữ liệu thống kê về lưu lượng và có thể
lập trình xử lý lưu lượng theo sự biến thiên của đặc tính ấy. Đặc điểm này phù hợp với quy
trình phát hiện và giảm thiểu tấn công DDoS. Đã có một số công trình nghiên cứu, đề xuất các
giải pháp phát hiện và giảm thiểu tấn công DDoS dựa trên dữ liệu thống kê và cơ chế xử lý
gói tin của kỹ thuật SDN/Openflow. Tuy nhiên, trong các giải pháp đề xuất:
+ Một số giải pháp mới chỉ đưa ra thuật toán phát hiện tấn công, chưa có cơ chế phân loại

và giảm thiểu lưu lượng tấn công [22].
+ Hầu hết mới dừng lại ở ý tưởng giải pháp, thử nghiệm với quy mô thử chức năng, chưa
triển khai trên hệ thống thử nghiệm hoặc đo phân tích với lưu lượng thật (như) [22], [27]–[29].
+ Một số giải pháp tích hợp các chức năng xử lý gói tin tại bộ chuyển mạch làm mất bản

chất SDN [28], [29], hoặc cơ chế xử lý gói tin trong SDN/Openflow chưa được ứng dụng
[21], [25], [26] làm chậm thời gian đáp ứng và hiệu năng hệ thống.
Vậy khi kỹ thuật SDN/Openflow được áp dụng rộng rãi trong hệ thống mạng, làm thế nào để
khắc phục các vấn đề trên, nâng cao hiệu năng của các giải pháp phòng chống tấn công DDoS sử
dụng trực tiếp dữ liệu thống kê về lưu lượng và cơ chế xử lý gói tin của kỹ thuật SDN/Openflow
để có thể áp dụng cho các mạng quy mô nhỏ như các mạng gia đình đang thiếu cơ chế đảm bảo
an toàn như hiện nay mà không cần bổ sung các thiết bị an ninh chuyên dụng?

2. Các trường thông tin thống kê được quy định trong giao thức Openflow là hạn chế nên
dữ liệu thống kê về lưu lượng theo kỹ thuật SDN/Openflow cũng sẽ bị giới hạn [20]. Bên
cạnh đó, theo triết lý SDN, giao diện Openflow vốn được sử dụng cho trao đổi thông tin điều

khiển, có mã hóa. Các giải pháp phòng chống tấn công DDoS thực hiện truy vấn dữ liệu
thống kê từ lớp điều khiển tới lớp hạ tầng mạng thông qua giao thức Openflow làm cho lưu
lượng trên giao diện này tăng lên, nhất là khi tấn công DDoS xảy ra [30]. Điều này làm cho
các giải pháp phòng chống tấn công DDoS sử dụng thuần túy dữ liệu thống kê và cơ chế xử lý
gói tin của SDN/Openflow chỉ có thể áp dụng trong mạng quy mô lưu lượng nhỏ như mạng
gia đình. Khắc phục vấn đề này, một số giải pháp phòng chống tấn công cho mạng doanh
nghiệp có quy mô băng thông cao hơn đề xuất sử dụng các bộ phân tích lưu lượng truyền
thống như Snort [25], sFlow [21], [26] thay vì sử dụng dữ liệu thống kê của SDN/Openflow.
Nhược điểm cơ bản của các giải pháp này bao gồm:
+ Các bộ phân tích lưu lượng chỉ thuần túy cung cấp thông tin đặc tính lưu lượng. Bộ
phân tích lưu lượng hoạt động độc lập, không có sự điều khiển theo trạng thái của hệ thống
mạng, chưa tận dụng được cơ chế điều khiển và xử lý gói tin trong SDN.


xvii
+ Việc xóa bỏ lưu lượng, giảm thiểu tấn công vẫn được thực hiện qua giao thức Openflow
làm chậm thời gian đáp ứng của hệ thống, sử dụng nhiều tài nguyên (các mục luồng) trên các
bộ chuyển mạch.
Trong bối cảnh như vậy, bằng cơ chế và kỹ thuật SDN/Openflow làm thế nào để điều
khiển hoạt động của các bộ phân tích lưu lượng, sử dụng thông tin cung cấp bởi các bộ phân
tích lưu lượng để nâng cao hiệu năng phát hiện và giảm thiểu tấn công của các giải pháp?
3. Mục tiêu, đối tượng và phạm vi nghiên cứu
a). Mục tiêu nghiên cứu:
Nghiên cứu đề xuất được các giải pháp phòng chống tấn công DDoS dựa trên kỹ thuật
SDN/Openflow áp dụng cho mạng SDN quy mô nhỏ trong các bối cảnh khác nhau.
b). Nội dung nghiên cứu:
Để giải quyết các vấn đề tồn tại, với mục tiêu nghiên cứu như trên, nội dung nghiên
cứu của Luận án bao gồm:







Nghiên cứu sự khác biệt đặc tính lưu lượng tấn công DDoS so với lưu lượng lành
tính để lựa chọn các tham số, đề xuất thuật toán phù hợp với bối cảnh
SDN/Openflow nhằm nâng cao hiệu năng phát hiện và phân loại tấn công DDoS.
Dựa trên cơ chế xử lý gói tin của kỹ thuật SDN/Openflow, đề xuất cơ chế trao đổi
dữ liệu, tương tác giữa các thực thể trong mạng SDN/Openflow để áp dụng mô
hình, thuật toán, phát triển thành giải pháp phòng chống tấn công DDoS trong hai
bối cảnh: (1) thuần túy sử dụng dữ liệu thống kê của SDN/Openflow và (2) sử
dụng dữ liệu thống kê SDN/Openfow kết hợp với bộ phân tích và xử lý lưu lượng.
Nghiên cứu những nguy cơ tấn công DDoS tới chính các thành phần của mạng
SDN/Openflow và đề xuất giải pháp phát hiện, giảm thiểu tấn công.

c). Đối tượng nghiên cứu:


Công nghệ SDN, kỹ thuật SDN/Openflow.



Các phương thức, kỹ thuật tấn công DDoS phổ biến trong kỹ thuật mạng truyền
thống và mạng SDN/Openflow.



Các giải pháp phòng chống DDoS dựa trên kỹ thuật mạng truyền thống và kỹ
thuật SDN/Openflow đã được đề xuất.




Các bộ dữ liệu lưu lượng lành tính và tấn công DDoS.

c). Phương pháp và phạm vi nghiên cứu:
- Phương pháp nghiên cứu của luận án bao gồm nghiên cứu lý thuyết; phân tích thống kê;
xây dựng mô hình, giải pháp; lựa chọn và phát triển thuật toán; phân tích dữ liệu mô
phỏng hoặc xây dựng hệ thống thử nghiệm, đo lường, đánh giá và so sánh.
- Phạm vi nghiên cứu tập trung vào:


Đề xuất các giải pháp phòng chống DDoS bảo vệ các máy chủ trong hệ thống
mạng quy mô nhỏ và vừa như văn phòng, cơ quan nhỏ (SOHO),



Áp dụng thuần túy kỹ thuật SDN/Openflow.


xviii
4. Cấu trúc nội dung của luận án
Cấu trúc của luận án gồm có 03 chương với các nội dung được tóm tắt như sau:
Chương 1. Tấn công DDoS và các giải pháp phòng chống trong mạng
SDN/Openflow: trình bày tổng quan về tấn công DDoS, phân loại tấn công, các kỹ thuật tấn
công và các giải pháp phòng chống DDoS dựa trên công nghệ mạng truyền thống; các yêu
cầu, thách thức trong phòng chống tấn công và các tham số đánh giá hiệu năng của một giải
pháp phòng chống DDoS; vấn đề an ninh mạng, tấn công DDoS trong mạng SOHO. Nội dung
của chương cũng đề cập đến nguyên lý, đặc điểm kỹ thuật mạng cấu hình bởi phần mềm
SDN, giao thức Openflow; các giải pháp phòng chống DDoS dựa trên kiến trúc và kỹ thuật
SDN/Openflow; tấn công DDoS tới mạng SDN/Openflow và các giải pháp phòng chống đã

được đề xuất.
Chương 2. Đề xuất giải pháp phòng chống tấn công DDoS dựa trên dữ liệu thống kê
và cơ chế xử lý gói tin của kỹ thuật SDN/Openflow: Nội dung Chương 2 đề xuất các giải pháp
phòng chống tấn công DDoS trong mạng SDN với quy mô băng thông nhỏ sử dụng thuần túy dữ
liệu thống kê về đặc tính lưu lượng và cơ chế xử lý gói tin của kỹ thuật SDN/Openflow. Có thể
triển khai các giải pháp này chỉ cần tạo các ứng dụng quản trị mạng tại lớp ứng dụng của SDN mà
không cần bổ sung thêm thiết bị chuyên dụng. Các giải pháp cụ thể bao gồm:

- Kỹ thuật phát hiện và giảm thiểu tấn công DDoS dựa trên mô hình dự đoán làm trơn
hàm mũ các tham số thống kê về đặc tính lưu lượng,
- Kỹ thuật phát hiện và ngăn chặn tấn công SYN Flood tới các máy chủ trong hệ thống
mạng dựa trên cơ chế ủy nhiệm gói tin SYN tại bộ điều khiển,
- Kỹ thuật đánh dấu gói tin dựa trên kỹ thuật SDN/Openflow phục vụ truy vết nguồn
phát sinh lưu lượng tấn công.
Chương 3. Đề xuất giải pháp phòng chống tấn công DDoS dựa trên kỹ thuật
SDN/Openflow sử dụng thêm bộ phân tích và xử lý lưu lượng: Mặc dù SDN/Openflow có
nhiều lợi thế cho xây dựng và triển khai các giải pháp phòng chống DDoS, kiến trúc này cũng
chưa có khả năng cung cấp đầy đủ thông tin về đặc tính lưu lượng cho phát hiện, phân loại và
giảm thiểu tấn công. Bên cạnh đó, việc truy vấn dữ liệu thống kê qua giao diện Openflow làm
cho lưu lượng trên giao diện điều khiển này tăng lên, dễ trở nên tắc nghẽn và làm mất, suy
giảm chức năng điều khiển, nhất là khi tấn công xảy ra. Điều này giới hạn quy mô băng thông
của hệ thống mạng. Để khắc phục vấn đề này, nội dung Chương 3 đề xuất kiến trúc SDN mở
rộng trong đó bổ sung bộ phân tích và xử lý lưu lượng được điều khiển hoạt động và tương
tác với các thực thể khác theo cơ chế, kỹ thuật SDN/Openflow. Trên cơ sở ứng dụng kiến trúc
SDN mở rộng, đề xuất 02 giải pháp phòng chống DDoS bao gồm:
- Kỹ thuật phân loại và giảm thiểu tấn công DDoS dựa trên thuật toán logic mờ,
- Kỹ thuật giảm thiểu tấn công SYN Flood vào bộ chuyển mạch và bộ điều khiển trong
mạng SDN/Openflow sử dụng cơ chế ủy nhiệm gói tin SYN tại bộ phân tích và xử lý lưu lượng.



xix
5. Các đóng góp khoa học của luận án
Luận án đã thực hiện 02 đóng góp khoa học sau đây:
1. Đề xuất kỹ thuật phát hiện và giảm thiểu tấn công DDoS bằng mô hình dự đoán làm
trơn hàm mũ với các tham số thống kê lưu lượng; kỹ thuật đánh dấu gói tin phục vụ
truy vết nguồn phát sinh lưu lượng tấn công; và kỹ thuật giảm thiểu tấn công SYN
Flood bằng cơ chế ủy nhiệm gói tin SYN sử dụng công nghệ SDN.
2. Đề xuất kiến trúc SDN/Openflow mở rộng với bộ phân tích và xử lý lưu lượng để
nâng cao hiệu quả phát hiện và giảm thiểu tấn công DDoS.


1

CHƯƠNG 1
TẤN CÔNG DDOS VÀ CÁC GIẢI PHÁP PHÒNG CHỐNG
TRONG MẠNG SDN/OPENFLOW
1.1. Giới thiệu chương
Chương 1 trình bày tổng quan về tấn công DDoS; phân loại các hình thức tấn công, các
giải pháp phòng chống DDoS dựa trên công nghệ mạng truyền thống; các tham số, tiêu chí
đánh giá một giải pháp phòng chống DDoS và những yêu cầu, thách thức đối với các giải
pháp phòng chống DDoS hiện nay. Phần tiếp theo nội dung của chương giới thiệu về kiến
trúc, kỹ thuật mạng cấu hình bởi phần mềm SDN, cấu trúc và phạm vi chuẩn hóa của giao
thức Openflow, các vấn đề kỹ thuật cơ bản trong Openflow bao gồm phạm vi chuẩn hóa, các
bản tin trao đổi giữa các thực thể, quy tắc nhận dạng luồng và xử lý gói tin… Nội dung tiếp
theo của chương trình bày kết quả khảo sát các giải pháp, các kỹ thuật phát hiện, ngăn chặn,
giảm thiểu tấn công DDoS dựa trên kỹ thuật SDN/Openflow. Phần cuối của chương đề cập
đến các nguy cơ tấn công DDoS vào kiến trúc, kỹ thuật SDN/Openflow và nghiên cứu, khảo
sát các giải pháp phòng chống tương ứng.

1.2. Tổng quan về tấn công DDoS

1.2.1. Khái niệm
Tấn công DoS
Internet được thiết kế dựa trên nguyên tắc tối thiểu hóa các xử lý thông tin, đồng thời việc
thực hiện chuyển gói tin trên hệ thống mạng theo cơ chế nỗ lực tối đa, không quan tâm và
không có biện pháp kiểm soát nguồn gốc gói tin và tính nguy hại của nó. Chính triết lý này đã
dẫn đến một hệ quả là sự lợi dụng internet để phát ra những lưu lượng tấn công không vì mục
đích lấy cắp thông tin, truy nhập bất hợp pháp mà nhằm ngăn cản các người dùng lành tính
khác tiếp cận các dịch vụ trên mạng internet.
Tấn công từ chối dịch vụ (DoS) [31] là dạng tấn công nhằm ngăn chặn người dùng hợp
pháp truy nhập tới dịch vụ, tài nguyên mạng làm cho hệ thống mạng không thể sử dụng, bị
gián đoạn, hoặc chậm đi một cách đáng kể bằng cách làm quá tải tài nguyên của hệ thống.
Đối tượng tấn công của DoS [1], [32], [33] có thể là:


Một ứng dụng, một dịch vụ.



Một máy chủ, máy tính có địa chỉ cụ thể.



Toàn bộ hệ thống mạng trong một phạm vi cụ thể.

Mục tiêu cụ thể tấn công DoS bao gồm:


Nhằm tiêu tốn tài nguyên tính toán trên hệ thống của đối tượng tấn công như băng
thông, dung lượng đĩa cứng hoặc thời gian xử lý.



2


Cô lập, cách ly đối tượng tấn công với các người dùng bằng các kỹ thuật như phá vỡ
các thông tin cấu hình, thông tin định tuyến; phá vỡ các trạng thái kết nối mạng; phá
vỡ các thành phần vật lý của hệ thống mạng; làm tắc nghẽn kênh truyền…

Các phương pháp tấn công DoS có thể là:


Thao tác phần cứng: Kẻ tấn công tìm cách phá hủy, gây lỗi thiết bị phần cứng, gây
nhiễu hệ thống.





Kỹ thuật lưu lượng: Kẻ tấn công phát đi lưu lượng làm lụt hệ thống đích hoặc làm
lỗi các giao thức truyền thông trên hệ thống mạng. Đây là kỹ thuật phổ biến nhất
do tính chất đơn giản, khó bị phát hiện.
Chiếm đoạt quyền điều khiển: Kẻ tấn công tìm cách chiếm quyền điều khiển máy
chủ, thiết bị mạng sau đó tắt máy chủ, dịch vụ hoặc cấu hình giới hạn khả năng
phục vụ của dịch vụ, thay đổi bảng định tuyến trên thiết bị mạng để cách ly lưu
lượng người dùng hợp pháp với máy chủ.

Tấn công DDoS
Tấn công từ chối dịch vụ phân tán (DDoS) [3], [15], [34] là dạng phát triển ở mức độ cao
của tấn công DoS sử dụng kỹ thuật lưu lượng trong đó lưu lượng tấn công được huy động
cùng một lúc từ rất nhiều máy tính khác nhau trên hệ thống mạng. Hình 1.1.


Hình 1.1. Lưu lượng tấn công DDoS được huy động từ nhiều nguồn trên
Internet 1.2.2. Phân loại tấn công DDoS
Tấn công DDoS có thể được phân loại theo nhiều cách khác nhau [2], [3], [32], [33], [35],
[36]. Dưới đây là một số cách phân loại cơ bản.
Phân loại theo kỹ thuật tấn công:
Theo cách phân loại này [2], [3], [35], tấn công DDoS được phân thành 3 nhóm chính
được thể hiện như trong sơ đồ Hình 1.2.
• Tấn công dựa vào dung lượng lưu lượng: Nhóm này bao gồm 2 kỹ thuật chính:
- Làm lụt (flooding): Kẻ tấn công cố gắng ngăn chặn các kết nối từ người dùng hợp pháp
bằng cách tạo ra một lưu lượng khổng lồ tới mục tiêu tấn công làm cạn kiệt tài nguyên băng
thông. Kỹ thuật này thường dựa trên các giao thức mạng lớp 4 như UDP flood,


3
ICMP flood. Kẻ tấn công cũng có thể khai thác các điểm yếu của các phần mềm, dịch
vụ ứng dụng hoặc tạo nhiều kết nối giả mạo, không có mục đích nhằm ngăn chặn các
kết nối lành tính. Dạng phổ biến của tấn công loại này là HTTP Flood với hàng triệu kết
nối không mục đích được gửi đến máy chủ. Kẻ tấn công sử dụng kỹ thuật thăm dò năng
lực phục vụ của máy chủ và điều chỉnh tốc độ tấn công tạo nên hình thức tấn công dai
dẳng làm suy giảm năng lực máy chủ như tấn công Slowloris [37]. Theo báo cáo an
ninh mạng thường niên của Abor Networks năm 2018 [38], loại tấn công này chiếm tới
75,7% các cuộc tấn công.

Hình 1.2. Phân loại các kỹ thuật tấn công DDoS
- Khuếch đại: Kỹ thuật tấn công này lợi dụng giao thức trao đổi gói tin yêu cầu/trả lời
(request/response) và khả năng giả mạo địa chỉ nguồn trong mạng IP. Hàng loạt yêu cầu
giả mạo địa chỉ nguồn bằng địa chỉ của nạn nhân được gửi tới các máy chủ đồng thời.
Giao thức trao đổi yêu cầu/trả lời có đặc tính lưu lượng yêu cầu nhỏ nhưng bản tin trả
lời lớn sẽ gửi ồ ạt các bản tin trả lời tới máy nạn nhân cùng lúc làm cho lưu lượng tới

máy nạn nhân tăng đột biến, gây quá tải. Các dịch vụ thường được lợi dụng cho tấn
công dạng này bao gồm máy chủ DNS, NTP, IRC,… Ngoài ra, cơ chế trao đổi gói tin
quảng bá, phản xạ trong hệ thống mạng cũng được lợi dụng như Smurf, Fraggle [33].
• Tấn công dựa vào lỗ hổng giao thức truyền thông mạng: Các lỗ hổng an ninh cố hữu
của các giao thức mạng được lợi dụng để phát động tấn công theo dạng này như cơ chế bắt tay
ba bước (gọi tắt là 3HS) trong giao thức TCP [39], giao thức ICMP,… Ví dụ đối với tấn công
TCP SYN Flood [18], [40], theo giao thức TCP, khi nhận được một gói tin SYN, máy chủ
(server) sẽ gửi gói tin trả lời SYN-ACK và dành ra một vùng nhớ TCB 128 KB để lưu trữ
thông tin kết nối và chờ gói tin xác nhận CliACK từ máy khách (client) trong một khoảng thời
gian (lên đến 75s) trước khi gửi gói tin trả lời SYN-ACK (Hình 1.3 a). Lợi dụng nguyên tắc
này, kẻ tấn công huy động gửi ồ ạt các gói tin SYN tới máy chủ mà không gửi gói tin xác
nhận CliACK dẫn đến máy chủ nhanh chóng bị cạn kiệt tài nguyên do dành hết bộ nhớ cho
các TCB tương ứng với các kết nối dang dở (gọi tắt là HOC) và không thể phục vụ các kết nối
lành tính khác (Hình 1.3 b).


4

Hình 1.3. Quá trình bắt tay ba bước trong kết nối TCP (a) và cơ chế tấn công TCP SYN
Flood (b)

Phân loại theo phương thức huy động nguồn tấn công

Nguồn tấn công là yếu tố quan trọng trong tổ chức tấn công DDoS. Trong một đợt tấn
công DDoS, kẻ tấn công thường huy động nguồn lực tấn công từ nhiều nguồn nhằm tạo ra lưu
lượng tấn công lớn vượt quá khả năng phục vụ của hệ thống đồng thời che dấu được nơi phát
lưu lượng tấn công. Các phương thức huy động nguồn tấn công bao gồm:
• Giả mạo địa chỉ nguồn: Lợi dụng đặc điểm tự trị của mạng Internet trong đó không có
cơ chế xác thực địa chỉ nguồn của gói tin IP, kẻ tấn công phát đi lưu lượng trong đó thay đổi
địa chỉ IP nguồn của gói tin bằng các địa chỉ IP giả mạo một cách ngẫu nhiên làm cho máy

chủ đích không thể biết nguồn phát sinh lưu lượng chính xác, khó phân biệt giữa lưu lượng
lành tính và lưu lượng tấn công.
• Sử dụng botnet: Botnet là một tập hợp gồm nhiều máy tính trên Internet bị lây nhiễm
bởi các phần mềm độc hại (malware) mà nhờ đó, kẻ tấn công có thể điều khiển các máy tính
này thực thi các kết nối tới các máy tính khác trên Internet theo mục đích riêng của chúng mà
chủ sở hữu các máy tính này không hay biết [4]. Các máy tính trong botnet được gọi là các
xác sống. Bằng các kỹ thuật phát tán virus, malware, kẻ tấn công tuyển mộ các xác sống trên
Internet và huy động chúng phát sinh lưu lượng trong các đợt tấn công. Số lượng các xác sống
trong một botnet có thể lên đến hàng triệu nên khi tổ chức tấn công, mặc dù lưu lượng tấn
công của mỗi xác sống là rất nhỏ, chúng tạo nên tổng lưu lượng tấn công khổng lồ đủ làm tê
liệt hệ thống mạng nạn nhân trong một khoảng thời gian ngắn cỡ vài phút.
• Kết hợp sử dụng botnet và giả mạo địa chỉ nguồn: Ở phương thức này, các xác sống
trong botnet phát đi lưu lượng tấn công với địa chỉ IP giả mạo nhằm vô hiệu hóa các phương
pháp giảm thiểu tấn công thông thường như lọc địa chỉ IP. Chính sự kết hợp phương thức huy
động nguồn tấn công này làm cho việc phát hiện và phân loại lưu lượng tấn công, giảm thiểu
tấn công DDoS trở nên khó khăn.


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×