BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI

ĐẶNG VĂN TUYÊN

NGHIÊN CỨU GIẢI PHÁP PHÁT HIỆN VÀ GIẢM THIỂU
TẤN CÔNG TỪ CHỐI DỊCH VỤ PHÂN TÁN
SỬ DỤNG CÔNG NGHỆ SDN

LUẬN ÁN TIẾN SĨ KỸ THUẬT VIỄN THÔNG

Hà Nội – 2019


BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI

ĐẶNG VĂN TUYÊN

NGHIÊN CỨU GIẢI PHÁP PHÁT HIỆN VÀ GIẢM THIỂU
TẤN CÔNG TỪ CHỐI DỊCH VỤ PHÂN TÁN
SỬ DỤNG CÔNG NGHỆ SDN
Ngành: Kỹ thuật Viễn thông
Mã số: 9520208

LUẬN ÁN TIẾN SĨ KỸ THUẬT VIỄN THÔNG

NGƯỜI HƯỚNG DẪN KHOA HỌC:
PGS.TS. TRƯƠNG THU HƯƠNG
PGS.TS. NGUYỄN TÀI HƯNG

Hà Nội – 2019


i

LỜI CAM ĐOAN
Tôi xin cam đoan rằng các kết quả khoa học được trình bày trong luận án này là thành quả
nghiên cứu của bản thân tôi trong suốt thời gian làm nghiên cứu sinh và chưa từng xuất hiện
trong công bố của các tác giả khác. Các kết quả đạt được là chính xác và trung thực.
Hà Nội, ngày 15 tháng 5 năm 2019
Tác giả luận án

Đặng Văn Tuyên
Giáo viên hướng dẫn khoa học

PGS.TS. Trương Thu Hương

PGS.TS. Nguyễn Tài Hưng


ii

LỜI CẢM ƠN
Nghiên cứu sinh (NCS) xin gửi lời trân trọng cảm ơn đến Tập thể hướng dẫn khoa học:
PGS. TS. Trương Thu Hương và PGS. TS. Nguyễn Tài Hưng cùng các thầy cô giáo Bộ
môn Kỹ thuật Thông tin, Viện Điện tử - Viễn thông, Trường Đại học Bách khoa Hà Nội đã
tận tình hướng dẫn, tạo điều kiện cho NCS học tập, nghiên cứu và hoàn thành Luận án này.
NCS cũng xin trân trọng cảm ơn Phòng Đào tạo, Trường Đại học Bách khoa Hà Nội đã
tạo điều kiện giúp đỡ về mặt thủ tục; Trường Đại học Kỹ thuật – Hậu cần CAND, gia đình
và đồng nghiệp tạo điều kiện về mặt thời gian cho NCS được nghiên cứu và hoàn thành

Luận án.
Trong quá trình thực hiện đề tài nghiên cứu, tuy bản thân đã có nhiều cố gắng nhưng do
giới hạn về trình độ hiểu biết, kinh nghiệm thực tế, kinh nghiệm nghiên cứu khoa học nên
Luận án không tránh khỏi những thiếu sót. NCS kính mong nhận được sự đóng góp ý kiến
của các nhà khoa học, cán bộ nghiên cứu, của các thầy, cô giáo, bạn bè và đồng nghiệp để
NCS hoàn thiện hơn cả về lý luận khoa học lẫn thực tiễn.
Xin trân trọng cảm ơn.
Hà Nội ngày 15 tháng 05 năm 2019
NGHIÊN CỨU SINH

Đặng Văn Tuyên


iii

MỤC LỤC
LỜI CAM ĐOAN ........................................................................................................................ i
LỜI CẢM ƠN............................................................................................................................. ii
MỤC LỤC .................................................................................................................................iii
DANH MỤC CÁC CHỮ VIẾT TẮT ....................................................................................... vii
DANH MỤC HÌNH VẼ ............................................................................................................. x
DANH MỤC CÁC BẢNG BIỂU............................................................................................xiii
MỞ ĐẦU ................................................................................................................................. xiv
CHƯƠNG 1: TẤN CÔNG DDOS VÀ CÁC GIẢI PHÁP PHÒNG CHỐNG TRONG MẠNG
SDN/OPENFLOW ..................................................................................................................... 1
1.1. Giới thiệu chương ..................................................................................................................... 1
1.2. Tổng quan về tấn công DDoS ................................................................................................... 1
1.2.1. Khái niệm .......................................................................................................................... 1

1.2.2. Phân loại tấn công DDoS................................................................................................... 2


1.2.3. Các giải pháp phòng chống DDoS dựa trên công nghệ mạng truyền thống ...................... 5

1.2.4. Yêu cầu và thách thức đối với giải pháp phát hiện và ngăn chặn, giảm thiểu tấn công DDoS
........................................................................................................................................... 7

1.3. Kỹ thuật mạng cấu hình bởi phần mềm SDN ......................................................................... 10
1.4. Giao thức OpenFlow ............................................................................................................... 12
1.4.1. Cấu trúc và phạm vi chuẩn hóa của Openflow ................................................................ 13
1.4.2. Nhận dạng và quản lý lưu lượng trên bộ chuyển mạch Openflow .................................. 14
1.4.3. Các bản tin trao đổi giữa bộ điều khiển và bộ chuyển mạch Openflow .......................... 14

1.4.4. Quy trình xử lý gói tin trong Openflow ........................................................................... 16
1.4.5. Quản lý các mục luồng trong bộ chuyển mạch Openflow............................................... 17


iv
1.5. Các giải pháp phòng chống DDoS dựa trên kiến trúc và kỹ thuật SDN/Openflow ................ 18
1.5.1. Kiến trúc và nguyên lý hoạt động chung ......................................................................... 18
1.5.2. Các kỹ thuật phát hiện tấn công....................................................................................... 20

1.5.3. Các kỹ thuật ngăn chặn, giảm thiểu tấn công .................................................................. 22
1.6. Tấn công DDoS tới các thành phần trong kiến trúc mạng SDN/Openflow và các giải pháp
phòng chống ................................................................................................................................... 23
1.6.1. Tấn công DDoS tới các thành phần trong kiến trúc mạng SDN/Openflow .................... 23
1.6.2. Kỹ thuật phát hiện và giảm thiểu tấn công ...................................................................... 25
1.7. Kết luận chương ...................................................................................................................... 27
CHƯƠNG 2: ĐỀ XUẤT GIẢI PHÁP PHÒNG CHỐNG TẤN CÔNG DDOS DỰA TRÊN DỮ
LIỆU THỐNG KÊ VÀ CƠ CHẾ XỬ LÝ GÓI TIN CỦA KỸ THUẬT SDN/OPENFLOW ........ 29
2.1. Giới thiệu chương ................................................................................................................... 29

2.2. Giải pháp phát hiện và giảm thiểu tấn công DDoS dựa trên mô hình dự đoán làm trơn hàm
mũ tham số thống kê lưu lượng ...................................................................................................... 29
2.2.1. Đặt vấn đề ........................................................................................................................ 29
2.2.2. Kiến trúc hệ thống và các trạng thái hoạt động ............................................................... 30
2.2.3. Lựa chọn tham số và chỉ số thống kê lưu lượng .............................................................. 32

2.2.4. Lựa chọn và xây dựng mô hình dự đoán chỉ số thống kê lưu lượng ............................... 33

2.2.5. Phát hiện và giảm thiểu tấn công ..................................................................................... 35

2.2.6. Phân tích và đánh giá hiệu năng của giải pháp ................................................................ 37

2.3. Giải pháp giảm thiểu tấn công SYN Flood dựa trên cơ chế ủy nhiệm gói tin SYN tại bộ điều
khiển ............................................................................................................................................... 41
2.3.1. Đặt vấn đề ........................................................................................................................ 41
2.3.2. Kiến trúc hệ thống đề xuất ............................................................................................... 42
2.3.3. Lựa chọn mô hình ủy nhiệm gói tin SYN........................................................................ 43
2.3.4. Hoạt động của hệ thống SSP ........................................................................................... 44

2.3.5. Phân tích và đánh giá hiệu năng của giải pháp ................................................................ 51


v

2.4. Giải pháp đánh dấu gói tin PLA DFM phục vụ truy vết nguồn tấn công ............................... 58
2.4.1. Đặt vấn đề ........................................................................................................................ 58
2.4.2. Khái niệm về đánh dấu gói tin và các kỹ thuật cơ bản .................................................... 59

2.4.3. Đề xuất cấu trúc và hoạt động của PLA DFM trên kiến trúc mạng SDN/Openflow ...... 61


2.4.4. So sánh và đánh giá hiệu năng của giải pháp .................................................................. 66

2.5. Kết luận chương ...................................................................................................................... 70
CHƯƠNG 3 ĐỀ XUẤT GIẢI PHÁP PHÒNG CHỐNG TẤN CÔNG DDOS DỰA TRÊN KỸ
THUẬT SDN/OPENFLOW SỬ DỤNG THÊM BỘ PHÂN TÍCH VÀ XỬ LÝ LƯU LƯỢNG . 72
3.1. Giới thiệu chương ................................................................................................................... 72
3.2. Những hạn chế của kiến trúc và kỹ thuật SDN/Openflow trong phòng chống tấn công DDoS
................................................................................................................................................. 72
3.3. Đề xuất kiến trúc mạng SDN/Openflow mở rộng trên cơ sở bổ sung bộ phân tích và xử lý lưu
lượng SD ........................................................................................................................................ 73
3.3.1. Kiến trúc tổng quát .......................................................................................................... 74
3.3.2. Điều khiển chuyển tiếp lưu lượng tới SD và xử lý lưu lượng tại SD .............................. 75
3.4. Giải pháp phân loại và giảm thiểu tấn công DDoS dựa trên kiến trúc SDN/Openflow mở rộng
và thuật toán logic mờ .................................................................................................................... 76
3.4.1. Đặt vấn đề ........................................................................................................................ 76
3.4.2. Phân tích đặc tính lưu lượng tấn công DDoS để chọn tham số phân loại lưu lượng ....... 76

3.4.3. Cấu trúc hệ thống ............................................................................................................. 79
3.4.4. Xác định trạng thái của máy chủ ..................................................................................... 79
3.4.5. Chuyển tiếp gói tin giữa các thực thể trong hệ thống ...................................................... 81


vi
3.4.6. Phân loại lưu lượng và giảm thiểu tấn công DDoS dựa trên thuật toán suy luận logic mờ
FDDoM...................................................................................................................................... 83

3.4.7. Đánh giá hiệu năng của giải pháp .................................................................................... 87

3.5. Phát hiện và giảm thiểu tấn công SYN Flood tới mạng SDN/Openflow sử dụng cơ chế ủy
nhiệm gói tin SYN tại bộ phân tích và xử lý lưu lượng ................................................................. 91

3.5.1. Đặt vấn đề ........................................................................................................................ 91
3.5.2. Cấu trúc hệ thống ............................................................................................................. 92
3.5.3. Hoạt động của hệ thống ................................................................................................... 92

3.5.4. Phân tích và đánh giá hiệu năng ...................................................................................... 98

3.6. Kết luận chương .................................................................................................................... 104
KẾT LUẬN .................................................................................................................................. 106
DANH MỤC CÁC CÔNG TRÌNH ĐÃ CÔNG BỐ CỦA LUẬN ÁN ........................................ 108
TÀI LIỆU THAM KHẢO ............................................................................................................ 109


vii

DANH MỤC CÁC CHỮ VIẾT TẮT
Ký hiệu

Tiếng Anh

Tiếng Việt

ACK

ACKnowledgment

Gói tin xác nhận kết nối

ACK_Num

Acknowledgement Number


Số hiệu xác nhận

API

Application Programming
Interface

Giao diện chương trình ứng dụng

ART

Average Retrieve Time

Thời gian kết nối trung bình

AS

Autonomous System

Hệ tự trị

ATM

Asynchronous Transfer Mode Truyền dữ liệu cận đồng bộ

CDF

Cumulative Distribution
Function


Hàm phân phối tích lũy

CliACK

Client ACK

Gói tin xác nhận kết nối từ client

CM

Connection Migration

Di trú kết nối

CUSUM

CUmulative SUM

Tổng tích lũy

DC

Data Center

Trung tâm dữ liệu

DDoS

Distributed Denial of Service


Tấn công từ chối dịch vụ phân tán

DFM

Deterministic Flow Marking

Kỹ thuật đánh dấu gói tin theo luồng

DoS

Denial of Service

Tấn công từ chối dịch vụ

DNS

Domain Name System

Hệ thống tên miền

DPpF

Deviation PpF

PpF chuẩn hóa

DPM

Deterministic Packet Marking Kỹ thuật đánh dấu xác định


DPPM

Dynamic Probabilistic Packet
Marking

Kỹ thuật đánh dấu gói tin theo xác suất
động

DR

Detection Rate

Độ nhạy

DSCP

Dynamic probabilistic packet
marking

Kỹ thuật đánh dấu gói tin theo xác suất
động

DSPA

Deviation SPA

SPA chuẩn hóa

FDDoM


Fuzzy Logic-based DDoS
Mitigation

Phát hiện và giảm thiểu tấn công DDoS
dựa trên thuật toán logic mờ

FIS

Fuzzy Inference System

Hệ suy luận mờ

FTP

File Transfer Protocol

Giao thức truyền tệp tin

FPR

False Positive Rate

Tỷ lệ báo động nhầm

FMT

Flow Monitoring Table

Bảng giám sát luồng


HOC

Half Open Connection

Kết nối dang dở

3HS

Three ways Handshake

Bắt tay ba bước

HTTP

HyperText Transfer Protocol

Giao thức truyền tải siêu văn bản

IAT

Inter Arrival Time

Khoảng thời gian liên gói tin


viii
ICMP

Internet Control Message

Protocol

Giao thức thông báo điều khiển Internet

IDS

Intrusion Detection System

Hệ thống phát hiện xâm nhập

IoTs

Internet of Things

Mạng kết nối vạn vật

IP

Internet Protocol

Giao thức liên mạng

IPS

Intrusion Prevention System

Hệ thống chống xâm nhập

ISP


Internet Service Provider

Nhà cung cấp dịch vụ Internet

IRC

Internet Relay Chat

Dịch vụ chat Internet

MA

Moving Average

Trung bình động

MPR

Marked Packet Rate

Tỷ lệ gói tin bị đánh dấu

MSR

Marked Size Rate

Tỷ lệ dung lượng gói tin bị đánh dấu

MT


Mark Threshold

Giá trị ngưỡng đánh dấu

MTU

Maxium Transmission Unit

Ngưỡng kích thước đơn vị truyền

NFV

Network Functions
Virtualization

Ảo hóa chức năng mạng

NTP

Network Time Protocol

Giao thức đồng bộ thời gian mạng

OFS

OpenFlow Switch

Bộ chuyển mạch Openflow

ONF


Open Networking Foudation

Tổ chức chuẩn hóa mạng mở

PN

Packet Number

Số gói tin

PLA DFM

Packet Length Adaptive
Deterministic Flow Marking

Đánh dấu gói tin xác định theo luồng
có sự tương thích chiều dài gói

PpF

Packet number per Flow

Số gói tin trong một luồng

PPM

Probabilistic Packet Marking

Đánh dấu gói tin theo xác suất


pps

packet per second

Gói tin/ giây

QoS

Quality of Service

Chất lượng dịch vụ

REST API

Representational State
Transfer API

Giao diện trao đổi dựa vào biến trạng
thái

RST

ReSeT

Gói tin hủy kết nối

SAN

Source Address Number


Số địa chỉ IP nguồn

SCR

Successful Connection Rate

Tỷ lệ kết nối thành công

SD

Security Device

Thiết bị bảo mật

SDH

Synchronous Digital
Hierarchy

Hệ thống phân cấp đồng bộ

SDN

Software Defined
Networking

Kỹ thuật mạng cấu hình bởi phần mềm

SEQ_Num


Sequence Number

Số hiệu tuần tự

SFD

SYN Flood Detection

Phát hiện tấn công SYN Flood

SMR

Successful Mark Rate

Tỷ lệ đánh dấu thành công

SOM

Self Organinzing Map

Bản đồ tự tổ chức

SOHO

Small Office/Home Office

Văn phòng, cơ quan nhỏ



ix
SONET

Synchronous Optical
NETwork

Mạng quang đồng bộ

SP

Security Proxy

Ủy nhiệm an ninh

SPA

Source-port number Per
Address

Số cổng nguồn trên một địa chỉ nguồn

SPM

SYN Proxy Module

Mô đun ủy nhiệm gói tin SYN

SPN

Source Port Number


Số cổng nguồn được mở

SS

Security Server

Máy chủ bảo mật

SSDP

Simple Service Discovery
Protocol

Giao thức phát hiện dịch vụ đơn giản

SSG

SDN-based SYN Flood
Guard

Chống tấn công SYN Flood dựa vào
công nghệ SDN

SSP

SDN based SYN Proxy

Ủy nhiệm gói tin SYN dựa vào công
nghệ SDN


SSL

Secure Sockets Layer

Tiêu chuẩn bảo mật an toàn lớp ứng
dụng

SVM

Support Vector Machine

Máy vec-tơ hỗ trợ

SYN

SYNchronize

Gói tin yêu cầu kết nối

SYN-ACK

SYNchronize
ACKnowledgement

Gói tin trả lời yêu cầu kết nối

TCB

Transmission Control Block


Khối điều khiển truyền

TCP

Transmission Control
Protocol

Giao thức điều khiển truyền

TOS

Type Of Service

Kiểu dịch vụ

TLS

Transport Layer Security

Bảo mật tầng truyền tải

TTL

Time To Live

Thời gian tồn tại

TRW


Threshold Random Walk

Thăm dò ngưỡng

TRW-CB

TRW-Credit Based

Thăm dò ngưỡng theo độ tin cậy

UDP

User Datagram Protocol

Giao thức truyền gói dữ liệu người
dùng

VLAN

Virtual Local Area Network

Mạng LAN ảo

VPN

Virtual Private Network

Mạng riêng ảo

WMA


Weighted Moving Average

Mô hình trung bình động có trọng số


x

DANH MỤC HÌNH VẼ
Hình 1.1. Lưu lượng tấn công DDoS được huy động từ nhiều nguồn trên Internet ................... 2
Hình 1.2. Phân loại các kỹ thuật tấn công DDoS ....................................................................... 3
Hình 1.3. Quá trình bắt tay ba bước trong kết nối TCP (a) và cơ chế tấn công TCP SYN Flood
(b) ............................................................................................................................................... 4
Hình 1.4. Kiến trúc mạng cấu hình bởi phần mềm SDN.......................................................... 11
Hình 1.5. Cấu trúc và phạm vi chuẩn hóa của giao thức Openflow ......................................... 13
Hình 1.6. Cấu trúc của một mục luồng ..................................................................................... 15
Hình 1.7. Quá trình xử lý gói tin tại bộ chuyển mạch theo cơ chế đường ống ........................ 16
Hình 1.8. Yêu cầu xử lý gói tin khi không khớp với một mục luồng có sẵn trên bộ chuyển mạch
.................................................................................................................................................. 17
Hình 1.9. Cấu trúc chung hệ thống giải pháp phòng chống tấn công DDoS dựa trên kỹ thuật
SDN/Openflow ......................................................................................................................... 19
Hình 1.10. Các phương pháp tấn công tới lớp Hạ tầng mạng .................................................. 24
Hình 1.11. Các phương pháp tấn công tới Lớp điều khiển....................................................... 24
Hình 1.12. Các phương pháp tấn công tới Lớp Ứng dụng ....................................................... 24
Hình 1.13. Quá trình xử lý gói tin của một kết nối TCP trong cơ chế CM .............................. 26
Hình 2.1. Kiến trúc hệ thống đề xuất cho giải pháp dựa trên phương pháp thống kê sử dụng
giải thuật dự đoán làm trơn hàm mũ ......................................................................................... 30
Hình 2.2. Sơ đồ chuyển tiếp trạng thái của hệ thống cho một máy chủ/dịch vụ ...................... 31
Hình 2.3. Mô hình phát hiện và phân loại lưu lượng tấn công ................................................. 35
Hình 2.4. Giá trị chỉ số SPA (a) và DSPA (b) .......................................................................... 39

Hình 2.5. Giá trị chỉ số PpF và DPpF ....................................................................................... 39
Hình 2.6. Kiến trúc hệ thống giải pháp Ủy nhiệm gói tin SYN trên Bộ điều khiển SSP ......... 43
Hình 2.7. Nguyên lý hoạt động của hai loại SYN proxy .......................................................... 44
Hình 2.8. Quá trình xử lý yêu cầu kết nối của một gói tin SYN trong giải pháp SSP ............. 45
Hình 2.9. Lưu đồ quá trình capture và xử lý các gói tin bắt tay ba bước tại OFS .................... 46
Hình 2.10. Lưu đồ hoạt động của mô đun SPM tại bộ điều khiển ........................................... 48
Hình 2.11. Thống kê CDF khoảng thời gian giữa gói tin SYN và gói tin CliACK của lưu lượng
mạng thực tế ............................................................................................................................. 50
Hình 2.12. Hiệu chỉnh thời gian chờ của các luồng ................................................................. 50


xi
Hình 2.13. Sơ đồ chuyển tiếp chính sách xử lý gói tin SYN tại bộ chuyển mạch ................... 51
Hình 2.14. Mô hình testbed đánh giá hiệu năng giải pháp SSP ............................................... 52
Hình 2.15. Tỷ lệ kết nối thành công từ lưu lượng lành tính khi máy chủ chịu tấn công DDoS
với cường độ tấn công khác nhau ............................................................................................ 53
Hình 2.16. Thời gian kết nối trung bình của lưu lượng lành tính khi máy chủ chịu tấn công với
cường độ tấn công khác nhau ................................................................................................... 53
Hình 2.17. Số kết nối đang mở tại máy chủ với các cường độ tấn công khác nhau ................. 54
Hình 2.18. Giao diện màn hình đo sự chiếm dụng tài nguyên Bộ điều khiển ở tốc độ tấn công
700 pps...................................................................................................................................... 57
Hình 2.19. Tỷ lệ chiếm dụng CPU của bộ điều khiển tại các cường độ tấn công khác nhau... 57
Hình 2.20. Dung lượng bộ nhớ bị chiếm dụng của bộ điều khiển ở cường độ tấn công khác nhau
.................................................................................................................................................. 57
Hình 2.21. Phân bố số lượng gói tin trên 1 luồng từ bộ dữ liệu CAIDA ................................. 61
Hình 2.22. Cấu trúc hệ thống giải pháp đánh dấu gói tin PLA DFM dựa trên kiến trúc
SDN/Openflow ......................................................................................................................... 62
Hình 2.23. Phân bố chiều dài của gói tin thứ nhất từ bộ dữ liệu CAIDA ................................ 63
Hình 2.24. Đánh dấu gói tin PLA DFM ................................................................................... 63
Hình 2.25. Quá trình đánh dấu gói tin PLA DFM tại Bộ điều khiển mạng SDN/Openflow ... 66

Hình 2.26. So sánh tác động của PLA DFM tới tiêu đề gói tin đầu tiên của luồng ................. 67
Hình 2.27. SMR của PLA DFM và DFM khi MT=288 ........................................................... 68
Hình 2.28. MPR của PLA DFM và DFM khi MT=288 ........................................................... 68
Hình 2.29. MSR của PLA DFM và DFM khi MT=288 ........................................................... 69
Hình 3.1. Kiến trúc giải pháp bổ sung bộ phân tích và xử lý lưu lượng dựa trên cơ chế
SDN/Openflow ......................................................................................................................... 74
Hình 3.2. Biểu đồ phân bố IAT của lưu lượng đến .................................................................. 77
Hình 3.3. Phân bố số lượng gói trong từng luồng .................................................................... 78
Hình 3.4. Kiến trúc hệ thống đề xuất cho giải pháp phân loại và giảm thiểu tấn công dựa trên
thuật toán suy luận logic mờ FDDoM ...................................................................................... 80
Hình 3.5. Sơ đồ tuần tự của hệ thống khi máy chủ ở trạng thái "Không bị tấn công" ............. 82
Hình 3.6. Sơ đồ tuần tự của sự kiện Packet in khi máy chủ ở trạng thái "Nghi ngờ bị tấn công"
.................................................................................................................................................. 83
Hình 3.7. Sơ đồ tuần tự của sự kiện “Kết thúc chu kỳ giám sát” khi máy chủ ở trạng thái "Nghi
ngờ bị tấn công" ........................................................................................................................ 83
Hình 3.8. Sơ đồ tuần tự của sự kiện Packet in khi máy chủ ở trạng thái "Đang bị tấn công" .. 84


xii
Hình 3.9. Mờ hoá IAT với hai hàm thành viên Low và High .................................................. 85
Hình 3.10. Mờ hoá PpF với hai hàm thành viên Low và High ................................................ 86
Hình 3.11. Giá trị đầu ra của chỉ thị Z của thuật toán FDDoM và độ nhạy lọc bỏ DRF .......... 88
Hình 3.12. Tỷ lệ lọc bỏ nhầm FPRF ......................................................................................... 88
Hình 3.13. So sánh số mục luồng tồn tại trên bộ chuyển mạch biên OFS ............................... 90
Hình 3.14. Cấu trúc chi tiết và tương tác giữa các module chức năng trong giải pháp SSG ... 93
Hình 3.15. Mô hình thuật toán phát hiện tấn công SYN Flood đề xuất sử dụng trong SSG .... 93
Hình 3.16. Quá trình capture và điều hướng các gói tin của một kết nối TCP lành tính thông
qua các mục luồng trên OFS khi máy chủ nội bộ ở trạng thái “Không bị tấn công” ............... 95
Hình 3.17. Lưu đồ thuật toán quá trình xử lý gói tin SYN đến tại SD ..................................... 96
Hình 3.18. Lưu đồ thuật toán giám sát quá trình bắt tay ba bước tại SD ................................. 97

Hình 3.19. Sơ đồ tuần tự quá trình xác thực địa chỉ IP nguồn của gói tin SYN bằng RST cookie
.................................................................................................................................................. 98
Hình 3.20. Cấu trúc testbed thử nghiệm và đánh giá giải pháp SSG ....................................... 98
Hình 3.21. So sánh tỷ lệ kết nối thành công và thời gian kết nối trung bình giữa Openflow, cơ
chế CM và giải pháp SSG......................................................................................................... 99
Hình 3.22. Sự chiếm dụng tài nguyên bộ nhớ và tài nguyên CPU trên OFS và SD của các giải
pháp thử nghiệm ..................................................................................................................... 101
Hình 3.23. Sự tương tác giữa các thực thể của SSG trong quá trình xử lý gói tin bắt tay ba bước
của một kết nối lành tính ........................................................................................................ 102
Hình 3.24. Sự tương tác giữa các thực thể trong quá trình xử lý gói tin SYN giả mạo địa chỉ IP
của cơ chế CM và giải pháp SSG ........................................................................................... 103
Hình 3.25. Mức độ gia tăng lưu lượng trên giao diện bộ chuyển mạch của giải pháp SSG so với
cơ chế CM .............................................................................................................................. 103


xiii

DANH MỤC CÁC BẢNG BIỂU
Bảng 1.1. Quan hệ giữa kết quả phân loại của giải pháp và đặc tính thực của lưu lượng.......... 8
Bảng 1.2. So sánh các kỹ thuật phát hiện và giảm thiểu tấn công DDoS tới kiến trúc mạng
SDN/Openflow theo chính sách và quy tắc xử lý gói tin ......................................................... 25
Bảng 2.1. Các tham số thống kê sử dụng để phát hiện và phân loại lưu lượng tấn công DDoS
.................................................................................................................................................. 32
Bảng 2.2. Thuật toán phát hiện tấn công .................................................................................. 35
Bảng 2.3. Thuật toán phân loại lưu lượng tấn công ................................................................. 36
Bảng 2.4. Thuật toán Lọc bỏ lưu lượng tấn công ..................................................................... 37
Bảng 2.5. Độ nhạy và tỷ lệ báo động nhầm trong phân loại lưu lượng và giảm thiểu tấn công
.................................................................................................................................................. 40
Bảng 2.6. Ví dụ về cấu trúc và sắp xếp các mục luồng trong bảng luồng của SSP ................. 47
Bảng 2.7. Cấu trúc bảng giám sát luồng FMT.......................................................................... 48

Bảng 2.8. Tham số và kết quả phân tích lưu lượng lành tính từ bộ dữ liệu CAIDA 2013 ....... 56
Bảng 2.9. Các trường và số lượng gói tin yêu cầu trong mỗi luồng để đánh dấu trong DFM . 60
Bảng 2.10. Một số giá trị MTU của các loại đường truyền phổ biến và giá trị MT tương ứng64
Bảng 2.11. Kỹ thuật PLA DFM với tuỳ biến giá trị Checksum ............................................... 65
Bảng 2.12. So sánh giữa các PLA DFM khác nhau với các giá trị K và MT........................... 69
Bảng 2.13. Tỷ lệ gia tăng lưu lượng trong PLA DFM ............................................................. 69
Bảng 3.1. Số lượng luồng, số lượng địa chỉ IP nguồn và tổng lưu lượng gửi tới máy chủ của hai
bộ dữ liệu CAIDA và Netnam .................................................................................................. 78
Bảng 3.2. Thuật toán xác định trạng thái của máy chủ ............................................................ 80
Bảng 3.3. Các loại các mục luồng dùng để điều hướng lưu chuyển gói tin trong hệ thống ..... 81
Bảng 3.4. So sánh hiệu năng giải pháp FDDoM với giải pháp và mô hình mạng tương đồng 89
Bảng 3.5. Tổ chức các bảng luồng trên bộ chuyển mạch OFS của SSG .................................. 94
Bảng 3.6. Đặc tính các mục luồng trong các bảng luồng FT1 và FT3 thực hiện giám sát quá
trình bắt tay ba bước ................................................................................................................. 94
Bảng 3.7. Cấu trúc một mục tin trong danh sách HOCs .......................................................... 97
Bảng 3.8. Đặc tính thống kê của bộ lưu lượng lành tính phân tích từ bộ lưu lượng CAIDA 103


xiv

MỞ ĐẦU
1. Tấn công từ chối dịch vụ phân tán và công nghệ SDN
1.1. Tấn công từ chối dịch vụ phân tán
- Trong những năm gần đây, sự phát triển mạnh mẽ của công nghệ thông tin và truyền
thông đã cho ra đời hàng loạt các dịch vụ mạng phục vụ hầu khắp các lĩnh vực hoạt động xã
hội của con người. Các giao dịch, xử lý và trao đổi thông tin, lưu trữ dữ liệu dần chuyển sang
thực hiện trực tuyến trên mạng Internet. Bên cạnh đó, sự phát triển mạnh mẽ của công nghệ kết
nối vạn vật (IoTs) làm cho số lượng và nhu cầu lưu lượng kết nối Internet tăng lên nhanh chóng.
Vấn đề đảm bảo an toàn, tin cậy cho tổ chức và khai thác các dịch vụ được đặt lên hàng đầu.
Với cơ chế hình thành dựa trên sự ghép nối của các hệ tự trị (Autonomous System) thiếu sự

kiểm soát chung, Internet xuất hiện và ẩn chứa nhiều nguy cơ tấn công gây mất an ninh mạng
trong đó có hình thức tấn công từ chối dịch vụ (DoS) [1], tấn công từ chối dịch vụ phân tán
(sau đây gọi tắt là tấn công DDoS) [2]–[4]. Mặc dù không gây lỗi dữ liệu, tấn công DoS/DDoS
có ảnh hưởng nghiêm trọng đến tính tin cậy, sẵn sàng trong tổ chức và khai thác các dịch vụ
trên Internet. Với kỹ thuật tấn công đơn giản, công cụ dễ tìm, khả năng phát tán mã độc để huy
động nguồn lực tấn công dễ dàng, khó phát hiện và ngăn chặn, tấn công DDoS ngày càng trở
nên nguy hiểm, được lợi dụng và phát động tấn công với quy mô ngày càng cao. Các báo cáo
của các công ty an ninh mạng cho thấy, diễn biến và quy mô các đợt tấn công ngày càng phức
tạp [5]–[7]. Theo báo cáo của Abor [8], ngày 27/2/2018 trang web lưu trữ mã nguồn GitHub
ghi nhận một đợt tấn công DDoS với tốc độ lên tới 1,35 Tbps. Qua đó cho thấy, tấn công DDoS
vẫn sẽ là nguy cơ an ninh lớn đối với tổ chức và đảm bảo chất lượng dịch vụ Internet trong
tương lai.
- Sự dịch chuyển và gia tăng nhu cầu làm việc, kinh doanh độc lập và giải trí cá nhân, cùng
với sự hỗ trợ mạnh mẽ của các công nghệ truyền dẫn tiên tiến, sự phát triển các dịch vụ nhà
thông minh, IoTs,… mạng quy mô nhỏ (SOHO network) ngày càng phát triển và đang là xu
thế, chiếm tỷ lệ ngày càng tăng trong kết cấu internet [9]–[11]. An ninh mạng nói chung và tấn
công DDoS nói riêng là một trong những vấn đề lớn đối với các mạng quy mô nhỏ này do tính
đa dạng, thiếu kiểm soát của các thiết bị, dịch vụ mạng, và sự chú trọng, quan tâm, tính chuyên
nghiệp trong thiết kế, quản lý và vận hành mạng [12]–[14].
- Dựa trên công nghệ mạng truyền thống, nhiều giải pháp kỹ thuật nhằm phát hiện, phân
loại và ngăn chặn lưu lượng tấn công DDoS đã được đề xuất và triển khai [15]–[18]. Cơ chế
chung của các giải pháp này là sử dụng các bộ đo, điểm dò (probe), các bộ lấy mẫu và phân
tích lưu lượng trên hệ thống mạng để cung cấp thông tin thuộc tính của lưu lượng mạng trên
toàn hệ thống. Thông tin lưu lượng được chuyển đến và xử lý phân tích nhờ các thuật toán phát
hiện bất thường hoặc dựa trên dấu hiệu tấn công để xác định có tấn công xảy ra hay không. Khi
có tấn công hệ thống sử dụng các thiết bị an ninh chuyên dụng như tường lửa, IPS để ngăn
chặn, xóa bỏ lưu lượng tấn công. Một trong những vấn đề tồn tại lớn nhất của công nghệ mạng


xv

truyền thống đó là các thiết bị mạng vốn được phát triển các kỹ thuật xử lý gói tin theo chuẩn
riêng bởi các nhà sản xuất khác nhau nên việc cấu hình tự động, thiết lập các tham số để phòng
chống DDoS là rất khó khăn. Các thao tác xử lý khi tấn công xảy ra chủ yếu thực hiện bằng
tay, xóa bỏ, hạn chế lưu lượng bằng các thiết lập ngưỡng giới hạn dẫn tới xóa bỏ nhầm lưu
lượng lành tính.
- Tấn công DDoS với kỹ thuật huy động nguồn tấn công rất lớn bằng các xác sống (zombies)
và kỹ thuật giả mạo địa chỉ IP nguồn nên có thể tạo ra lưu lượng tấn công tăng đột biến trong
khoảng thời gian ngắn, vượt quá khả năng chịu đựng của dịch vụ, máy chủ và hệ thống mạng
đích. Do cơ chế điều khiển cứng, đóng kín, các thiết bị mạng trong công nghệ mạng truyền
thống không thể tham gia ngăn chặn lưu lượng tấn công DDoS một cách tự động, làm cho các
giải pháp phòng chống trong mạng có hiệu quả thấp, không có khả năng phân loại và xóa bỏ
chính xác theo sự biến động của lưu lượng mạng. Các giải pháp phòng chống mới chỉ tập trung
phát hiện tấn công, do cơ chế đóng của các thiết bị mạng truyền thống nên chưa có nhiều giải
pháp giảm thiểu tấn công trực tuyến.
- Tấn công DDoS là tấn công vào năng lực phục vụ của hệ thống mạng. Chính vì vậy với
mỗi cấu trúc, quy mô, đặc điểm dịch vụ và phương pháp tổ chức dịch vụ mạng khác nhau thì
đặc điểm phản ứng lại với lưu lượng tấn công, khả năng chịu đựng tấn công của các hệ thống
mạng là khác nhau. Không có một giải pháp phòng chống tấn công, tham số hệ thống nào áp
dụng chung cho tất cả các loại mạng, các quy mô mạng, các dịch vụ mạng khác nhau. Với mỗi
hệ thống mạng cụ thể, người quản trị cần lựa chọn, tích hợp các giải pháp khác nhau, thiết lập
tham số phù hợp với những đặc điểm riêng để có hiệu quả phòng chống tối ưu.
1.2. Công nghệ SDN và kỹ thuật SDN/Openflow
- Với nhu cầu phát triển mạnh mẽ các dịch vụ mạng Internet, công nghệ điện toán đám
mây, tính di động, và nhu cầu thay đổi linh động, mềm dẻo tài nguyên trên hệ thống mạng, công
nghệ mạng điều khiển bởi phần mềm (gọi tắt là công nghệ SDN) ra đời trên cơ sở tách rời mặt
phẳng điều khiển ra khỏi mặt phẳng dữ liệu, cho phép quản trị, điều khiển, thiết lập các chính
sách mạng một cách tập trung trong khi trừu tượng hóa các tài nguyên mạng [19]. Trong đó
Openflow [20] là một trong những giao thức SDN đầu tiên được tập trung nghiên cứu, phát
triển. Kỹ thuật mạng SDN dựa trên giao thức Openflow (gọi tắt là kỹ thuật SDN/Openflow) đã
nhanh chóng thu hút nghiên cứu và bước đầu được ứng dụng trong các sản phẩm phần cứng,

phần mềm thương mại và mã nguồn mở.
- Điểm khác biệt quan trọng của kỹ thuật SDN/Openflow so với kỹ thuật mạng truyền
thống ở chỗ: (1) các thiết bị mạng quản lý và xử lý lưu lượng theo luồng (flow), (2) khả năng
cung cấp dữ liệu thống kê về lưu lượng nhờ các bộ đếm thống kê luồng có trong các bộ chuyển
mạch, và (3) khả năng điều khiển xử lý lưu lượng bằng phần mềm được lập trình, tùy biến bởi
bộ điều khiển điều hành mạng. Sự khác biệt này cho phép xây dựng các giải pháp quản trị, điều
hành mạng quy định và cấu hình chức năng của các thiết bị mạng vật lý, xử lý lưu lượng, v.v…
bằng phần mềm. Bên cạnh các giải pháp đề xuất về ứng dụng quản trị, tổ chức dịch vụ, nâng


xvi
cao hiệu năng hệ thống mạng, SDN/Openflow cũng được nghiên cứu và đề xuất ứng dụng trong
nhiều giải pháp an ninh mạng trong đó có các giải pháp phòng chống tấn công DDoS [21]–[26].
2. Những vấn đề còn tồn tại
1. Công nghệ SDN và kỹ thuật SDN/Openflow được đánh giá và kỳ vọng là công nghệ
mạng thay thế cho công nghệ, kỹ thuật mạng truyền thống. Khác với kỹ thuật mạng truyền
thống, kỹ thuật SDN/Openflow có khả năng cung cấp dữ liệu thống kê về lưu lượng và có thể
lập trình xử lý lưu lượng theo sự biến thiên của đặc tính ấy. Đặc điểm này phù hợp với quy
trình phát hiện và giảm thiểu tấn công DDoS. Đã có một số công trình nghiên cứu, đề xuất các
giải pháp phát hiện và giảm thiểu tấn công DDoS dựa trên dữ liệu thống kê và cơ chế xử lý gói
tin của kỹ thuật SDN/Openflow. Tuy nhiên, trong các giải pháp đề xuất:
+ Một số giải pháp mới chỉ đưa ra thuật toán phát hiện tấn công, chưa có cơ chế phân loại
và giảm thiểu lưu lượng tấn công [22].
+ Hầu hết mới dừng lại ở ý tưởng giải pháp, thử nghiệm với quy mô thử chức năng, chưa
triển khai trên hệ thống thử nghiệm hoặc đo phân tích với lưu lượng thật (như) [22], [27]–[29].
+ Một số giải pháp tích hợp các chức năng xử lý gói tin tại bộ chuyển mạch làm mất bản
chất SDN [28], [29], hoặc cơ chế xử lý gói tin trong SDN/Openflow chưa được ứng dụng [21],
[25], [26] làm chậm thời gian đáp ứng và hiệu năng hệ thống.
Vậy khi kỹ thuật SDN/Openflow được áp dụng rộng rãi trong hệ thống mạng, làm thế nào
để khắc phục các vấn đề trên, nâng cao hiệu năng của các giải pháp phòng chống tấn công

DDoS sử dụng trực tiếp dữ liệu thống kê về lưu lượng và cơ chế xử lý gói tin của kỹ thuật
SDN/Openflow để có thể áp dụng cho các mạng quy mô nhỏ như các mạng gia đình đang thiếu
cơ chế đảm bảo an toàn như hiện nay mà không cần bổ sung các thiết bị an ninh chuyên dụng?
2. Các trường thông tin thống kê được quy định trong giao thức Openflow là hạn chế nên
dữ liệu thống kê về lưu lượng theo kỹ thuật SDN/Openflow cũng sẽ bị giới hạn [20]. Bên cạnh
đó, theo triết lý SDN, giao diện Openflow vốn được sử dụng cho trao đổi thông tin điều khiển,
có mã hóa. Các giải pháp phòng chống tấn công DDoS thực hiện truy vấn dữ liệu thống kê từ
lớp điều khiển tới lớp hạ tầng mạng thông qua giao thức Openflow làm cho lưu lượng trên giao
diện này tăng lên, nhất là khi tấn công DDoS xảy ra [30]. Điều này làm cho các giải pháp phòng
chống tấn công DDoS sử dụng thuần túy dữ liệu thống kê và cơ chế xử lý gói tin của
SDN/Openflow chỉ có thể áp dụng trong mạng quy mô lưu lượng nhỏ như mạng gia đình. Khắc
phục vấn đề này, một số giải pháp phòng chống tấn công cho mạng doanh nghiệp có quy mô
băng thông cao hơn đề xuất sử dụng các bộ phân tích lưu lượng truyền thống như Snort [25],
sFlow [21], [26] thay vì sử dụng dữ liệu thống kê của SDN/Openflow. Nhược điểm cơ bản của
các giải pháp này bao gồm:
+ Các bộ phân tích lưu lượng chỉ thuần túy cung cấp thông tin đặc tính lưu lượng. Bộ phân
tích lưu lượng hoạt động độc lập, không có sự điều khiển theo trạng thái của hệ thống mạng,
chưa tận dụng được cơ chế điều khiển và xử lý gói tin trong SDN.


xvii
+ Việc xóa bỏ lưu lượng, giảm thiểu tấn công vẫn được thực hiện qua giao thức Openflow
làm chậm thời gian đáp ứng của hệ thống, sử dụng nhiều tài nguyên (các mục luồng) trên các
bộ chuyển mạch.
Trong bối cảnh như vậy, bằng cơ chế và kỹ thuật SDN/Openflow làm thế nào để điều khiển
hoạt động của các bộ phân tích lưu lượng, sử dụng thông tin cung cấp bởi các bộ phân tích lưu
lượng để nâng cao hiệu năng phát hiện và giảm thiểu tấn công của các giải pháp?
3. Mục tiêu, đối tượng và phạm vi nghiên cứu
a). Mục tiêu nghiên cứu:
Nghiên cứu đề xuất được các giải pháp phòng chống tấn công DDoS dựa trên kỹ thuật

SDN/Openflow áp dụng cho mạng SDN quy mô nhỏ trong các bối cảnh khác nhau.
b). Nội dung nghiên cứu:
Để giải quyết các vấn đề tồn tại, với mục tiêu nghiên cứu như trên, nội dung nghiên cứu
của Luận án bao gồm:
•

Nghiên cứu sự khác biệt đặc tính lưu lượng tấn công DDoS so với lưu lượng lành
tính để lựa chọn các tham số, đề xuất thuật toán phù hợp với bối cảnh
SDN/Openflow nhằm nâng cao hiệu năng phát hiện và phân loại tấn công DDoS.

•

Dựa trên cơ chế xử lý gói tin của kỹ thuật SDN/Openflow, đề xuất cơ chế trao đổi
dữ liệu, tương tác giữa các thực thể trong mạng SDN/Openflow để áp dụng mô
hình, thuật toán, phát triển thành giải pháp phòng chống tấn công DDoS trong hai
bối cảnh: (1) thuần túy sử dụng dữ liệu thống kê của SDN/Openflow và (2) sử dụng
dữ liệu thống kê SDN/Openfow kết hợp với bộ phân tích và xử lý lưu lượng.

•

Nghiên cứu những nguy cơ tấn công DDoS tới chính các thành phần của mạng
SDN/Openflow và đề xuất giải pháp phát hiện, giảm thiểu tấn công.

c). Đối tượng nghiên cứu:
•

Công nghệ SDN, kỹ thuật SDN/Openflow.

•


Các phương thức, kỹ thuật tấn công DDoS phổ biến trong kỹ thuật mạng truyền
thống và mạng SDN/Openflow.

•

Các giải pháp phòng chống DDoS dựa trên kỹ thuật mạng truyền thống và kỹ thuật
SDN/Openflow đã được đề xuất.

•

Các bộ dữ liệu lưu lượng lành tính và tấn công DDoS.

c). Phương pháp và phạm vi nghiên cứu:
- Phương pháp nghiên cứu của luận án bao gồm nghiên cứu lý thuyết; phân tích thống kê;
xây dựng mô hình, giải pháp; lựa chọn và phát triển thuật toán; phân tích dữ liệu mô phỏng
hoặc xây dựng hệ thống thử nghiệm, đo lường, đánh giá và so sánh.
- Phạm vi nghiên cứu tập trung vào:
•

Đề xuất các giải pháp phòng chống DDoS bảo vệ các máy chủ trong hệ thống mạng
quy mô nhỏ và vừa như văn phòng, cơ quan nhỏ (SOHO),

•

Áp dụng thuần túy kỹ thuật SDN/Openflow.


xviii
4. Cấu trúc nội dung của luận án
Cấu trúc của luận án gồm có 03 chương với các nội dung được tóm tắt như sau:

Chương 1. Tấn công DDoS và các giải pháp phòng chống trong mạng
SDN/Openflow: trình bày tổng quan về tấn công DDoS, phân loại tấn công, các kỹ thuật tấn
công và các giải pháp phòng chống DDoS dựa trên công nghệ mạng truyền thống; các yêu cầu,
thách thức trong phòng chống tấn công và các tham số đánh giá hiệu năng của một giải pháp
phòng chống DDoS; vấn đề an ninh mạng, tấn công DDoS trong mạng SOHO. Nội dung của
chương cũng đề cập đến nguyên lý, đặc điểm kỹ thuật mạng cấu hình bởi phần mềm SDN, giao
thức Openflow; các giải pháp phòng chống DDoS dựa trên kiến trúc và kỹ thuật
SDN/Openflow; tấn công DDoS tới mạng SDN/Openflow và các giải pháp phòng chống đã
được đề xuất.
Chương 2. Đề xuất giải pháp phòng chống tấn công DDoS dựa trên dữ liệu thống kê
và cơ chế xử lý gói tin của kỹ thuật SDN/Openflow: Nội dung Chương 2 đề xuất các giải
pháp phòng chống tấn công DDoS trong mạng SDN với quy mô băng thông nhỏ sử dụng thuần
túy dữ liệu thống kê về đặc tính lưu lượng và cơ chế xử lý gói tin của kỹ thuật SDN/Openflow.
Có thể triển khai các giải pháp này chỉ cần tạo các ứng dụng quản trị mạng tại lớp ứng dụng
của SDN mà không cần bổ sung thêm thiết bị chuyên dụng. Các giải pháp cụ thể bao gồm:
- Kỹ thuật phát hiện và giảm thiểu tấn công DDoS dựa trên mô hình dự đoán làm trơn
hàm mũ các tham số thống kê về đặc tính lưu lượng,
- Kỹ thuật phát hiện và ngăn chặn tấn công SYN Flood tới các máy chủ trong hệ thống
mạng dựa trên cơ chế ủy nhiệm gói tin SYN tại bộ điều khiển,
- Kỹ thuật đánh dấu gói tin dựa trên kỹ thuật SDN/Openflow phục vụ truy vết nguồn phát
sinh lưu lượng tấn công.
Chương 3. Đề xuất giải pháp phòng chống tấn công DDoS dựa trên kỹ thuật
SDN/Openflow sử dụng thêm bộ phân tích và xử lý lưu lượng: Mặc dù SDN/Openflow có
nhiều lợi thế cho xây dựng và triển khai các giải pháp phòng chống DDoS, kiến trúc này cũng
chưa có khả năng cung cấp đầy đủ thông tin về đặc tính lưu lượng cho phát hiện, phân loại và
giảm thiểu tấn công. Bên cạnh đó, việc truy vấn dữ liệu thống kê qua giao diện Openflow làm
cho lưu lượng trên giao diện điều khiển này tăng lên, dễ trở nên tắc nghẽn và làm mất, suy giảm
chức năng điều khiển, nhất là khi tấn công xảy ra. Điều này giới hạn quy mô băng thông của hệ
thống mạng. Để khắc phục vấn đề này, nội dung Chương 3 đề xuất kiến trúc SDN mở rộng
trong đó bổ sung bộ phân tích và xử lý lưu lượng được điều khiển hoạt động và tương tác với

các thực thể khác theo cơ chế, kỹ thuật SDN/Openflow. Trên cơ sở ứng dụng kiến trúc SDN
mở rộng, đề xuất 02 giải pháp phòng chống DDoS bao gồm:
- Kỹ thuật phân loại và giảm thiểu tấn công DDoS dựa trên thuật toán logic mờ,
- Kỹ thuật giảm thiểu tấn công SYN Flood vào bộ chuyển mạch và bộ điều khiển trong
mạng SDN/Openflow sử dụng cơ chế ủy nhiệm gói tin SYN tại bộ phân tích và xử lý lưu lượng.


xix
5. Các đóng góp khoa học của luận án
Luận án đã thực hiện 02 đóng góp khoa học sau đây:
1. Đề xuất kỹ thuật phát hiện và giảm thiểu tấn công DDoS bằng mô hình dự đoán làm
trơn hàm mũ với các tham số thống kê lưu lượng; kỹ thuật đánh dấu gói tin phục vụ truy
vết nguồn phát sinh lưu lượng tấn công; và kỹ thuật giảm thiểu tấn công SYN Flood
bằng cơ chế ủy nhiệm gói tin SYN sử dụng công nghệ SDN.
2. Đề xuất kiến trúc SDN/Openflow mở rộng với bộ phân tích và xử lý lưu lượng để nâng
cao hiệu quả phát hiện và giảm thiểu tấn công DDoS.


1

CHƯƠNG 1
TẤN CÔNG DDOS VÀ CÁC GIẢI PHÁP PHÒNG CHỐNG
TRONG MẠNG SDN/OPENFLOW
1.1. Giới thiệu chương
Chương 1 trình bày tổng quan về tấn công DDoS; phân loại các hình thức tấn công, các
giải pháp phòng chống DDoS dựa trên công nghệ mạng truyền thống; các tham số, tiêu chí
đánh giá một giải pháp phòng chống DDoS và những yêu cầu, thách thức đối với các giải pháp
phòng chống DDoS hiện nay. Phần tiếp theo nội dung của chương giới thiệu về kiến trúc, kỹ
thuật mạng cấu hình bởi phần mềm SDN, cấu trúc và phạm vi chuẩn hóa của giao thức
Openflow, các vấn đề kỹ thuật cơ bản trong Openflow bao gồm phạm vi chuẩn hóa, các bản tin

trao đổi giữa các thực thể, quy tắc nhận dạng luồng và xử lý gói tin… Nội dung tiếp theo của
chương trình bày kết quả khảo sát các giải pháp, các kỹ thuật phát hiện, ngăn chặn, giảm thiểu
tấn công DDoS dựa trên kỹ thuật SDN/Openflow. Phần cuối của chương đề cập đến các nguy
cơ tấn công DDoS vào kiến trúc, kỹ thuật SDN/Openflow và nghiên cứu, khảo sát các giải pháp
phòng chống tương ứng.

1.2. Tổng quan về tấn công DDoS
1.2.1. Khái niệm
Tấn công DoS
Internet được thiết kế dựa trên nguyên tắc tối thiểu hóa các xử lý thông tin, đồng thời việc
thực hiện chuyển gói tin trên hệ thống mạng theo cơ chế nỗ lực tối đa, không quan tâm và không
có biện pháp kiểm soát nguồn gốc gói tin và tính nguy hại của nó. Chính triết lý này đã dẫn đến
một hệ quả là sự lợi dụng internet để phát ra những lưu lượng tấn công không vì mục đích lấy
cắp thông tin, truy nhập bất hợp pháp mà nhằm ngăn cản các người dùng lành tính khác tiếp
cận các dịch vụ trên mạng internet.
Tấn công từ chối dịch vụ (DoS) [31] là dạng tấn công nhằm ngăn chặn người dùng hợp
pháp truy nhập tới dịch vụ, tài nguyên mạng làm cho hệ thống mạng không thể sử dụng, bị gián
đoạn, hoặc chậm đi một cách đáng kể bằng cách làm quá tải tài nguyên của hệ thống.
Đối tượng tấn công của DoS [1], [32], [33] có thể là:
•

Một ứng dụng, một dịch vụ.

•

Một máy chủ, máy tính có địa chỉ cụ thể.

•

Toàn bộ hệ thống mạng trong một phạm vi cụ thể.


Mục tiêu cụ thể tấn công DoS bao gồm:
•

Nhằm tiêu tốn tài nguyên tính toán trên hệ thống của đối tượng tấn công như băng
thông, dung lượng đĩa cứng hoặc thời gian xử lý.


2
•

Cô lập, cách ly đối tượng tấn công với các người dùng bằng các kỹ thuật như phá
vỡ các thông tin cấu hình, thông tin định tuyến; phá vỡ các trạng thái kết nối mạng;
phá vỡ các thành phần vật lý của hệ thống mạng; làm tắc nghẽn kênh truyền…

Các phương pháp tấn công DoS có thể là:
•

Thao tác phần cứng: Kẻ tấn công tìm cách phá hủy, gây lỗi thiết bị phần cứng, gây
nhiễu hệ thống.

•

Kỹ thuật lưu lượng: Kẻ tấn công phát đi lưu lượng làm lụt hệ thống đích hoặc làm
lỗi các giao thức truyền thông trên hệ thống mạng. Đây là kỹ thuật phổ biến nhất do
tính chất đơn giản, khó bị phát hiện.

•

Chiếm đoạt quyền điều khiển: Kẻ tấn công tìm cách chiếm quyền điều khiển máy

chủ, thiết bị mạng sau đó tắt máy chủ, dịch vụ hoặc cấu hình giới hạn khả năng phục
vụ của dịch vụ, thay đổi bảng định tuyến trên thiết bị mạng để cách ly lưu lượng
người dùng hợp pháp với máy chủ.

Tấn công DDoS
Tấn công từ chối dịch vụ phân tán (DDoS) [3], [15], [34] là dạng phát triển ở mức độ cao
của tấn công DoS sử dụng kỹ thuật lưu lượng trong đó lưu lượng tấn công được huy động cùng
một lúc từ rất nhiều máy tính khác nhau trên hệ thống mạng. Hình 1.1.

Hình 1.1. Lưu lượng tấn công DDoS được huy động từ nhiều nguồn trên Internet
1.2.2. Phân loại tấn công DDoS
Tấn công DDoS có thể được phân loại theo nhiều cách khác nhau [2], [3], [32], [33], [35],
[36]. Dưới đây là một số cách phân loại cơ bản.
Phân loại theo kỹ thuật tấn công:
Theo cách phân loại này [2], [3], [35], tấn công DDoS được phân thành 3 nhóm chính được
thể hiện như trong sơ đồ Hình 1.2.
• Tấn công dựa vào dung lượng lưu lượng: Nhóm này bao gồm 2 kỹ thuật chính:
- Làm lụt (flooding): Kẻ tấn công cố gắng ngăn chặn các kết nối từ người dùng hợp pháp
bằng cách tạo ra một lưu lượng khổng lồ tới mục tiêu tấn công làm cạn kiệt tài nguyên
băng thông. Kỹ thuật này thường dựa trên các giao thức mạng lớp 4 như UDP flood,


3
ICMP flood. Kẻ tấn công cũng có thể khai thác các điểm yếu của các phần mềm, dịch vụ
ứng dụng hoặc tạo nhiều kết nối giả mạo, không có mục đích nhằm ngăn chặn các kết nối
lành tính. Dạng phổ biến của tấn công loại này là HTTP Flood với hàng triệu kết nối
không mục đích được gửi đến máy chủ. Kẻ tấn công sử dụng kỹ thuật thăm dò năng lực
phục vụ của máy chủ và điều chỉnh tốc độ tấn công tạo nên hình thức tấn công dai dẳng
làm suy giảm năng lực máy chủ như tấn công Slowloris [37]. Theo báo cáo an ninh mạng
thường niên của Abor Networks năm 2018 [38], loại tấn công này chiếm tới 75,7% các

cuộc tấn công.

Hình 1.2. Phân loại các kỹ thuật tấn công DDoS
- Khuếch đại: Kỹ thuật tấn công này lợi dụng giao thức trao đổi gói tin yêu cầu/trả lời
(request/response) và khả năng giả mạo địa chỉ nguồn trong mạng IP. Hàng loạt yêu cầu
giả mạo địa chỉ nguồn bằng địa chỉ của nạn nhân được gửi tới các máy chủ đồng thời.
Giao thức trao đổi yêu cầu/trả lời có đặc tính lưu lượng yêu cầu nhỏ nhưng bản tin trả lời
lớn sẽ gửi ồ ạt các bản tin trả lời tới máy nạn nhân cùng lúc làm cho lưu lượng tới máy
nạn nhân tăng đột biến, gây quá tải. Các dịch vụ thường được lợi dụng cho tấn công dạng
này bao gồm máy chủ DNS, NTP, IRC,… Ngoài ra, cơ chế trao đổi gói tin quảng bá,
phản xạ trong hệ thống mạng cũng được lợi dụng như Smurf, Fraggle [33].
• Tấn công dựa vào lỗ hổng giao thức truyền thông mạng: Các lỗ hổng an ninh cố hữu
của các giao thức mạng được lợi dụng để phát động tấn công theo dạng này như cơ chế bắt tay
ba bước (gọi tắt là 3HS) trong giao thức TCP [39], giao thức ICMP,… Ví dụ đối với tấn công
TCP SYN Flood [18], [40], theo giao thức TCP, khi nhận được một gói tin SYN, máy chủ
(server) sẽ gửi gói tin trả lời SYN-ACK và dành ra một vùng nhớ TCB 128 KB để lưu trữ thông
tin kết nối và chờ gói tin xác nhận CliACK từ máy khách (client) trong một khoảng thời gian
(lên đến 75s) trước khi gửi gói tin trả lời SYN-ACK (Hình 1.3 a). Lợi dụng nguyên tắc này, kẻ
tấn công huy động gửi ồ ạt các gói tin SYN tới máy chủ mà không gửi gói tin xác nhận CliACK
dẫn đến máy chủ nhanh chóng bị cạn kiệt tài nguyên do dành hết bộ nhớ cho các TCB tương
ứng với các kết nối dang dở (gọi tắt là HOC) và không thể phục vụ các kết nối lành tính khác
(Hình 1.3 b).


4

Hình 1.3. Quá trình bắt tay ba bước trong kết nối TCP (a) và cơ chế tấn công TCP SYN Flood (b)
Phân loại theo phương thức huy động nguồn tấn công
Nguồn tấn công là yếu tố quan trọng trong tổ chức tấn công DDoS. Trong một đợt tấn công
DDoS, kẻ tấn công thường huy động nguồn lực tấn công từ nhiều nguồn nhằm tạo ra lưu lượng

tấn công lớn vượt quá khả năng phục vụ của hệ thống đồng thời che dấu được nơi phát lưu
lượng tấn công. Các phương thức huy động nguồn tấn công bao gồm:
• Giả mạo địa chỉ nguồn: Lợi dụng đặc điểm tự trị của mạng Internet trong đó không có
cơ chế xác thực địa chỉ nguồn của gói tin IP, kẻ tấn công phát đi lưu lượng trong đó thay đổi
địa chỉ IP nguồn của gói tin bằng các địa chỉ IP giả mạo một cách ngẫu nhiên làm cho máy chủ
đích không thể biết nguồn phát sinh lưu lượng chính xác, khó phân biệt giữa lưu lượng lành
tính và lưu lượng tấn công.
• Sử dụng botnet: Botnet là một tập hợp gồm nhiều máy tính trên Internet bị lây nhiễm
bởi các phần mềm độc hại (malware) mà nhờ đó, kẻ tấn công có thể điều khiển các máy tính
này thực thi các kết nối tới các máy tính khác trên Internet theo mục đích riêng của chúng mà
chủ sở hữu các máy tính này không hay biết [4]. Các máy tính trong botnet được gọi là các xác
sống. Bằng các kỹ thuật phát tán virus, malware, kẻ tấn công tuyển mộ các xác sống trên Internet
và huy động chúng phát sinh lưu lượng trong các đợt tấn công. Số lượng các xác sống trong
một botnet có thể lên đến hàng triệu nên khi tổ chức tấn công, mặc dù lưu lượng tấn công của
mỗi xác sống là rất nhỏ, chúng tạo nên tổng lưu lượng tấn công khổng lồ đủ làm tê liệt hệ thống
mạng nạn nhân trong một khoảng thời gian ngắn cỡ vài phút.
• Kết hợp sử dụng botnet và giả mạo địa chỉ nguồn: Ở phương thức này, các xác sống
trong botnet phát đi lưu lượng tấn công với địa chỉ IP giả mạo nhằm vô hiệu hóa các phương
pháp giảm thiểu tấn công thông thường như lọc địa chỉ IP. Chính sự kết hợp phương thức huy
động nguồn tấn công này làm cho việc phát hiện và phân loại lưu lượng tấn công, giảm thiểu
tấn công DDoS trở nên khó khăn.