BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI

ĐẶNG VĂN TUYÊN

NGHIÊN CỨU GIẢI PHÁP PHÁT HIỆN VÀ GIẢM THIỂU
TẤN CÔNG TỪ CHỐI DỊCH VỤ PHÂN TÁN
SỬ DỤNG CÔNG NGHỆ SDN
Ngành: Kỹ thuật Viễn thông
Mã số: 9520208

TÓM TẮT LUẬN ÁN TIẾN SĨ KỸ THUẬT VIỄN THÔNG

Hà Nội – 2019


Công trình được hoàn thành tại:
Trường Đại học Bách khoa Hà Nội

Người hướng dẫn khoa học:
1. PGS. TS. TRƯƠNG THU HƯƠNG
2. PGS. TS. NGUYỄN TÀI HƯNG

Phản biện 1:………………………………………………..
Phản biện 2:………………………………………………..
Phản biện 3:………………………………………………..

Luận án được bảo vệ trước Hội đồng đánh giá luận án tiến sĩ
cấp Trường họp tại Trường Đại học Bách khoa Hà Nội
Vào hồi …….. giờ, ngày ….. tháng ….. năm ………

Có thể tìm hiểu luận án tại thư viện:
1. Thư viện Tạ Quang Bửu - Trường ĐHBK Hà Nội
2. Thư viện Quốc gia Việt Nam


MỞ ĐẦU
1.1. Tấn công từ chối dịch vụ phân tán và công nghệ SDN
Trong những năm gần đây, sự phát triển mạnh mẽ các dịch vụ mạng phục vụ đời sống xã hội, làm
cho số lượng và nhu cầu lưu lượng kết nối Internet tăng lên nhanh chóng. Vấn đề đảm bảo an toàn, tin
cậy cho tổ chức và khai thác các dịch vụ được đặt lên hàng đầu. Với cơ chế hình thành dựa trên sự ghép
nối của các hệ tự trị thiếu sự kiểm soát chung, Internet xuất hiện và ẩn chứa nhiều nguy cơ tấn công gây
mất an ninh mạng trong đó có tấn công từ chối dịch vụ (DoS), tấn công từ chối dịch vụ phân tán (DDoS).
Mặc dù không gây lỗi dữ liệu, tấn công DoS/DDoS có ảnh hưởng nghiêm trọng đến tính tin cậy, sẵn
sàng trong tổ chức và khai thác các dịch vụ trên Internet. Đặc biệt đối với các mạng quy mô nhỏ (SOHO
network) tham gia kết nối trực tiếp Internet với tỷ lệ ngày càng lớn, đa dạng nhưng thiếu sự chú trọng,
tính chuyên nghiệp, đảm bảo an ninh trong thiết kế, quản lý, vận hành.
Trong kỹ thuật mạng truyền thống, nhiều giải pháp kỹ thuật nhằm phát hiện, phân loại và ngăn chặn
lưu lượng tấn công DDoS đã được đề xuất và triển khai. Một trong những vấn đề tồn tại lớn nhất của kỹ
thuật mạng này đó là các thiết bị mạng vốn được phát triển các kỹ thuật xử lý gói tin theo chuẩn riêng
bởi các nhà sản xuất khác nhau nên việc cấu hình tự động, thiết lập các tham số để phòng chống tấn
công DDoS là rất khó khăn. Các thao tác xử lý khi tấn công xảy ra chủ yếu thực hiện bằng tay, hạn chế
lưu lượng bằng các thiết lập ngưỡng giới hạn dẫn tới xóa bỏ nhầm lưu lượng lành tính, không có khả
năng phân loại và xóa bỏ chính xác theo sự biến động của lưu lượng mạng. Bên cạnh đó, Tấn công
DDoS là tấn công vào năng lực phục vụ của hệ thống mạng. Với mỗi cấu trúc, quy mô, đặc điểm dịch
vụ mạng khác nhau thì khả năng chịu đựng tấn công của các hệ thống mạng là khác nhau. Do đó không
có một giải pháp phòng chống tấn công, tham số hệ thống nào áp dụng chung cho tất cả các loại mạng.
Với mỗi hệ thống cụ thể, người quản trị cần lựa chọn, tích hợp các giải pháp, thiết lập tham số phù hợp
để có hiệu quả phòng chống tối ưu.
Trước yêu cầu phát triển mạnh mẽ các công nghệ và dịch vụ mạng, công nghệ mạng điều khiển bởi
phần mềm SDN (Software Defined Networking)ra đời cho phép quản trị, điều khiển, thiết lập các chính

sách mạng một cách tập trung, mềm dẻo. Trong đó Openflow là một trong những giao thức công nghệ
SDN đầu tiên được tập trung nghiên cứu, phát triển, nhanh chóng thu hút các nghiên cứu ứng dụng trong
quản trị, tổ chức dịch vụ, nâng cao hiệu năng hệ thống mạng. Kỹ thuật SDN/Openflow cũng được nghiên
cứu và đề xuất ứng dụng trong nhiều giải pháp an ninh mạng trong đó có các giải pháp phòng chống tấn
công DDoS.

1.2. Những vấn đề còn tồn tại
- Công nghệ SDN, kỹ thuật SDN/Openflow được đánh giá và kỳ vọng là công nghệ mạng thay thế
cho công nghệ, kỹ thuật mạng truyền thống. SDN/Openflow có khả năng cung cấp dữ liệu thống kê về
đặc tính lưu lượng và có thể lập trình xử lý lưu lượng theo sự biến thiên của đặc tính ấy. Đặc điểm này
phù hợp với quy trình phát hiện và giảm thiểu tấn công DDoS. Đã có nhiều giải pháp phòng chống tấn
công DDoS dựa trên SDN/Openflow được đề xuất. Tuy nhiên, (1) Một số giải pháp mới chỉ phát hiện
tấn công, chưa có cơ chế phân loại, giảm thiểu tấn công; (2) Hầu hết mới dừng lại ở ý tưởng, thử nghiệm
với quy mô thử chức năng, chưa triển khai trên hệ thống thử nghiệm hoặc đo phân tích với lưu lượng
thật; (3) Một số giải pháp tích hợp các chức năng xử lý gói tin tại bộ chuyển mạch làm mất bản chất
SDN, cơ chế xử lý gói tin trong SDN chưa được ứng dụng làm chậm thời gian đáp ứng, giảm hiệu năng
hệ thống. Trong bối cảnh đó, vấn đề đặt ra là làm thế nào nâng cao hiệu năng của các giải pháp phòng
chống tấn công DDoS sử dụng trực tiếp dữ liệu thống kê lưu lượng và cơ chế xử lý gói tin của kỹ thuật
SDN/Openflow để có thể áp dụng cho các mạng quy mô nhỏ mà không cần bổ sung các thiết bị an ninh
chuyên dụng?
- Do phải truy vấn dữ liệu qua giao diện mã hóa Openflow, việc sử dụng thuần túy dữ liệu thống kê
trong kỹ thuật SDN/Openflow để phát hiện và giảm thiểu tấn công làm giới hạn quy mô lưu lượng của

1


hệ thống. Để khắc phục vấn đề này, một số giải pháp đã được đề xuất như sử dụng kết hợp bộ phân tích
lưu lượng truyền thống (sFlow, Snort,…) tuy nhiên hiệu quả chưa cao do xử lý lưu lượng tấn công vẫn
dựa vào giao thức Openflow. Vấn đề đặt ra là bằng cơ chế và kỹ thuật SDN/Openflow làm thế nào để
điều khiển hoạt động của các bộ phân tích lưu lượng, sử dụng thông tin cung cấp bởi các bộ phân tích

lưu lượng để nâng cao hiệu năng phát hiện và giảm thiểu tấn công của các giải pháp?

1.3. Mục tiêu, đối tượng và phạm vi nghiên cứu
a). Mục tiêu nghiên cứu:

Nghiên cứu đề xuất được các giải pháp phòng chống tấn công DDoS dựa trên kỹ thuật
SDN/Openflow áp dụng cho mạng SDN quy mô nhỏ trong các bối cảnh khác nhau.
b). Đối tượng nghiên cứu:

• Công nghệ SDN, kỹ thuật SDN/Openflow.
• Các phương thức, kỹ thuật tấn công DDoS phổ biến trong kỹ thuật mạng truyền thống và mạng
SDN/Openflow.
• Các giải pháp phòng chống tấn công DDoS dựa trên kỹ thuật mạng truyền thống và kỹ thuật
SDN/Openflow đã được đề xuất.
• Các bộ dữ liệu lưu lượng lành tính và tấn công DDoS.
c). Phương pháp và phạm vi nghiên cứu:

• Phương pháp nghiên cứu của luận án bao gồm nghiên cứu lý thuyết; xây dựng mô hình, giải pháp;
lựa chọn và phát triển thuật toán; phân tích dữ liệu mô phỏng hoặc xây dựng hệ thống thử nghiệm,
đo lường, đánh giá và so sánh.
• Phạm vi nghiên cứu tập trung vào: Đề xuất các giải pháp phòng chống tấn công DDoS bảo vệ các
máy chủ trong hệ thống mạng quy mô nhỏ và vừa như văn phòng, cơ quan nhỏ (SOHO network),
trong đó áp dụng thuần túy kỹ thuật mạng SDN/Openflow.

1.4. Cấu trúc nội dung của luận án
Cấu trúc của luận án gồm có 03 chương với các nội dung được tóm tắt như sau:
Chương 1. Tấn công DDoS và các giải pháp phòng chống trong mạng SDN/Openflow: trình bày
tổng quan về tấn công DDoS, phân loại, các kỹ thuật tấn công và các giải pháp phòng chống tấn công
DDoS trong mạng truyền thống; an ninh mạng, tấn công DDoS trong SOHO network. Nội dung của
chương cũng đề cập đến nguyên lý, đặc điểm kỹ thuật mạng cấu hình bởi phần mềm SDN, giao thức

Openflow; các giải pháp phòng chống tấn công DDoS dựa trên kiến trúc và kỹ thuật SDN/Openflow;
tấn công DDoS tới kiến trúc và kỹ thuật mạng SDN/Openflow và các giải pháp phòng chống.
Chương 2. Đề xuất giải pháp phòng chống tấn công DDoS dựa trên dữ liệu thống kê và cơ chế
xử lý gói tin của kỹ thuật SDN/Openflow: Áp dụng cơ chế và kỹ thuật SDN/Openflow đề xuất 3 giải
pháp phòng chống tấn công DDoS trong mạng SDN với quy mô băng thông nhỏ sử dụng thuần túy dữ
liệu thống kê lưu lượng và cơ chế xử lý gói tin của kỹ thuật SDN/Openflow bao gồm: (1) Kỹ thuật phát
hiện và giảm thiểu tấn công DDoS dựa trên mô hình dự đoán làm trơn hàm mũ các tham số thống kê
lưu lượng; (2) Kỹ thuật phát hiện và ngăn chặn tấn công SYN Flood dựa trên cơ chế ủy nhiệm gói tin
SYN tại bộ điều khiển, và (3) Kỹ thuật đánh dấu gói tin phục vụ truy vết nguồn phát sinh lưu lượng tấn
công.
Chương 3. Đề xuất giải pháp phòng chống tấn công DDoS dựa trên kỹ thuật SDN/Openflow sử
dụng thêm bộ phân tích và xử lý lưu lượng: Nội dung chương 3 đề xuất kiến trúc SDN/Openflow mở
rộng trong đó bổ sung bộ phân tích và xử lý lưu lượng được điều khiển hoạt động và tương tác với các
thực thể khác theo cơ chế, kỹ thuật SDN/Openflow. Dựa trên kiến trúc mở rộng, đề xuất hai giải pháp
phòng chống DDoS bao gồm: (1) Kỹ thuật phân loại và giảm thiểu tấn công DDoS dựa trên thuật toán
logic mờ, và (2) Kỹ thuật giảm thiểu tấn công SYN Flood tới mạng SDN/Openflow (làm cạn kiệt tài

2


nguyên bộ chuyển mạch, suy giảm năng lực bộ điều khiển và làm nghẽn mạng giao diện Openflow) sử
dụng cơ chế ủy nhiệm gói tin SYN tại bộ phân tích lưu lượng.

1.5. Các đóng góp khoa học của luận án
Luận án đã thực hiện 02 đóng góp khoa học sau đây:
• Đề xuất kỹ thuật phát hiện và giảm thiểu tấn công DDoS bằng mô hình dự đoán làm trơn hàm mũ
với các tham số thống kê lưu lượng; kỹ thuật đánh dấu gói tin phục vụ truy vết nguồn phát sinh
lưu lượng tấn công; và kỹ thuật giảm thiểu tấn công SYN Flood bằng cơ chế ủy nhiệm gói tin
SYN sử dụng công nghệ SDN.
• Đề xuất kiến trúc SDN/Openflow mở rộng với bộ phân tích và xử lý lưu lượng để nâng cao hiệu

quả phát hiện và giảm thiểu tấn công DDoS.

CHƯƠNG 1
TẤN CÔNG DDOS VÀ CÁC GIẢI PHÁP PHÒNG CHỐNG
TRONG MẠNG SDN/OPENFLOW
1.1. Giới thiệu chương
Chương 1 trình bày tổng quan về tấn công DDoS; kiến trúc, kỹ thuật mạng cấu hình bởi phần mềm
SDN, giao thức Openflow. Phần tiếp theo trình bày các kỹ thuật phòng chống tấn công DDoS dựa trên
kỹ thuật SDN/Openflow; tấn công DDoS vào các thành phần mạng SDN/Openflow và các giải pháp
phòng chống.

1.2. Tổng quan về tấn công DDoS
1.2.1. Khái niệm
Tấn công DoS

- Tấn công từ chối dịch vụ DoS (Denial of Service) là dạng tấn công nhằm ngăn chặn người dùng hợp
pháp truy nhập tới dịch vụ, tài nguyên mạng làm cho hệ thống mạng không thể sử dụng, bị gián đoạn,
hoặc chậm đi một cách đáng kể bằng cách làm quá tải tài nguyên của hệ thống.
- Đối tượng tấn công của DoS có thể là: (1) một ứng dụng, một dịch vụ, (2) một máy chủ, máy tính
có địa chỉ cụ thể, hoặc (3) toàn bộ hệ thống mạng trong một phạm vi cụ thể. Mục tiêu của tấn công DoS
bao gồm nhằm tiêu tốn tài nguyên đối tượng tấn công; cô lập, cách ly đối tượng tấn công với các người
dùng bình thường. Các phương pháp tấn công DoS có thể là thao tác phần cứng, sử dụng kỹ thuật lưu
lượng hoặc chiếm đoạt quyền điều khiển.
Tấn công DDoS

Tấn công từ chối dịch vụ phân tán DDoS (Distributed Denial of Service) là dạng phát triển ở mức độ
cao của tấn công DoS sử dụng kỹ thuật lưu lượng trong đó lưu lượng tấn công được huy động cùng một
lúc từ rất nhiều máy tính khác nhau trên hệ thống mạng.
1.2.2. Phân loại tấn công DDoS
Phân loại theo kỹ thuật tấn công:


Theo cách phân loại này, tấn công DDoS được phân thành các nhóm như trong Hình 1.2.
Phân loại theo phương thức huy động nguồn tấn công

Nguồn tấn công là yếu tố quan trọng trong tổ chức tấn công DDoS. Các phương thức huy động nguồn
tấn công bao gồm (1) Giả mạo địa chỉ nguồn, (2) Sử dụng botnet và (3) Kết hợp giả mạo địa chỉ nguồn
và sử dụng botnet.

3


1.2.3. Các giải pháp phòng chống tấn công DDoS dựa trên công nghệ mạng truyền thống
Vị trí triển khai các giải pháp

Các vị trí đề xuất triển khai bao gồm:
• Triển khai tại mạng nguồn phát sinh lưu lượng
• Triển khai tại mạng trung gian: Do không có ràng buộc giữa các hệ thống tự trị trên Internet nên
việc phối hợp triển khai phòng chống DDoS tại mạng nguồn và mạng trung gian trên thực tế có
hiệu quả rất thấp.
• Triển khai tại mạng máy chủ đích: Đây là các giải pháp chủ yếu và được áp dụng hầu hết trên các
hệ thống mạng bao gồm trên máy chủ (host based) và trên hệ thống mạng (network based). Các
giải pháp triển khai phổ biến tại mạng đích bao gồm: (1) Phát hiện tấn công, (2) Phân loại và xác
định lưu lượng tấn công, (3) Lọc bỏ lưu lượng tấn công, và (4) Truy vết lưu lượng tấn công.

Hình 1.2. Phân loại DDoS theo kỹ thuật tấn công
Các kỹ thuật phát hiện tấn công

• Dựa vào dấu hiệu tấn công: Phân tích sâu nội dung hoặc tiêu đề của gói tin để phát hiện lỗi hoặc
sự bất thường. Kỹ thuật này có độ chính xác cao, tuy nhiên đòi hỏi tính toán lớn, lưu trữ các mẫu
tấn công đã biết. Ngoài ra kỹ thuật này không thể phát hiện các mẫu tấn công mới.

• Dựa vào sự bất thường của lưu lượng: Được áp dụng phổ biến hơn trong đó một mô hình đặc
tính lưu lượng bình thường được xây dựng và thống kê, cập nhật. Phát hiện tấn công dựa trên sự
so sánh đặc tính lưu lượng tức thời với lưu lượng bình thường. Kỹ thuật này còn được áp dụng để
phân loại lưu lượng tấn công. Các thuật toán phát hiện tấn công trong nhóm này bao gồm: (1) Mô
hình thống kê (Statistical), (2) Học máy (Machine learning) và (3) Khai phá dữ liệu (Data mining).
Các kỹ thuật phòng chống và giảm thiểu tấn công

• Các giải pháp triển khai trên máy chủ (host based): như SYN Cookie, điều chỉnh thời gian chờ
TIME_WAIT để ngăn chặn tấn công TCP SYN Flood; đặt ngưỡng số lượng kết nối để ngăn chặn
các kết nối TCP, UDP, IMCP…
• Các giải pháp triển khai trên hệ thống mạng (network based): Trong công nghệ mạng truyền
thống, do đặc tính đóng kín của các thiết bị mạng, các giải pháp phòng chống DDoS chủ yếu tập
trung vào kỹ thuật đặt giới hạn các kết nối và lưu lượng hoặc thao tác ngăn chặn thủ công.
1.2.4. Yêu cầu và thách thức đối với giải pháp phát hiện và ngăn chặn, giảm thiểu tấn công
DDoS
Một số tham số đánh giá hiệu quả giải pháp

• Độ nhạy: (Sensitivity hoặc Detection Rate - DR) đánh giá khả năng nhận diện lưu lượng tấn công.
• Tỷ lệ báo động nhầm: (False Positive Rate - FPR) đánh giá khả năng nhận diện nhầm lưu lượng.

4


Với lưu lượng nhận dạng như trong
Bảng 1.1, DR và FPR được tính bởi:
𝐷𝐷𝐷𝐷 =

𝐹𝐹𝐹𝐹𝐹𝐹 =

𝑇𝑇𝑇𝑇

𝑇𝑇𝑇𝑇 + 𝐹𝐹𝐹𝐹

𝐹𝐹𝐹𝐹
𝑇𝑇𝑇𝑇 + 𝐹𝐹𝐹𝐹

Bảng 1.1. Quan hệ kết quả phân loại của giải pháp và
đặc tính thực của lưu lượng
Đặc tính thực
của lưu lượng

(1.1)

(1.2)

Phân loại của
giải pháp

Lành tính

Tấn công

Lành tính

TN

FN

Tấn công

FP


TP

• Thời gian đáp ứng: Đánh giá về mức độ phản hồi của một giải pháp phòng chống tấn công.
• Khả năng lọc bỏ: Đánh giá khả năng giảm thiểu, loại bỏ lưu lượng tấn công.
• Khả năng chịu đựng tấn công: Thể hiện năng lực xử lý của hệ thống và được cụ thể hóa bằng các
tham số tỷ lệ kết nối thành công của lưu lượng lành tính, năng lực xử lý của hệ thống…
Các yêu cầu và thách thức đối với một giải pháp phòng chống DDoS

Một giải pháp phòng chống tấn công DDoS hiệu quả phải đảm bảo bởi các yêu cầu sau:
•
•
•
•
•

Không được làm ảnh hưởng đến sự hoạt động của các người dùng và lưu lượng hợp pháp.
Cần phải có giải pháp ngăn chặn hoặc giảm thiểu tấn công từ cả bên trong và cả bên ngoài.
Có khả năng hoạt động trên quy mô tương ứng của hệ thống mạng hoặc trung tâm dữ liệu.
Mềm dẻo, khả năng thích ứng cao.
Chi phí triển khai thấp, hạn chế sự gia tăng thiết bị, tăng tải tính toán và lưu trữ của hệ thống.

Các thách thức đặt ra đối với phòng chống tấn công DDoS:
• Sự phân biệt giữa lưu lượng lành tính và lưu lượng tấn công ngày càng khó khăn.
• Dịch vụ mạng đang dần chuyển sang xu thế công nghệ đám mây, các máy ảo được triển khai linh
động và khắp nơi làm cho nguy cơ tấn công DDoS có thể xuất hiện bên trong máy ảo.
• Các dịch vụ lưu trữ và multimedia với dung lượng lớn ngày càng phát triển đòi hỏi hệ thống mạng
có băng thông lớn, độ tin cậy cao, dẫn đến yêu cầu về hiệu năng và quy mô mạng lớn. Các giải
pháp phòng chống DDoS cho mạng tốc độ lớn trở nên khó khăn.
• Thực tế cho thấy tỷ lệ phát hiện thường tỷ lệ thuận với tỷ lệ phát hiện nhầm. Bên cạnh đó, tốc độ

dịch vụ mạng ngày càng lớn dẫn đến sự lợi dụng gia tăng của các hình thức tấn công tốc độ thấp
và dai dẳng (Slowloris) và các phương thức tấn công này dễ dàng vượt qua các giải pháp phát
hiện và ngăn chặn hoặc gây tỷ lệ phát hiện nhầm cao.
• Quy mô hệ thống mạng Internet ngày càng lớn tạo điều kiện cho các botnet phát triển về số lượng
và năng lực của các xác sống. Điều này dẫn đến cường độ và quy mô tấn công ngày càng lớn.
Với những yêu cầu, thách thức như trên, tấn công DDoS vẫn là mối quan tâm giải quyết trong các kỹ
thuật và kiến trúc mạng thế hệ mới.

1.3. Công nghệ mạng cấu hình bởi phần mềm SDN
- Công nghệ mạng cấu hình bởi phần mềm SDN ra đời dưới sự chuẩn hóa của ONF cho phép các
phần mềm thứ 3 có thể truy nhập và thao tác trên mặt phẳng điều khiển (control plane), cấu hình và
quản trị các thiết bị mạng từ xa, trực tuyến bằng cách sử dụng các giao thức mở như Openflow.
- SDN phân tách hệ thống mạng thành hai mặt phẳng: mặt phẳng dữ liệu (data plane) và mặt phẳng
điều khiển (control plane) với kiến trúc ba lớp như ở Hình 1.4.
- Công nghệ SDN cho phép điều hành và quản lý tài nguyên mạng tập trung, giải quyết nhiều vấn đề
công nghệ mạng truyền thống gặp phải trong đó có an ninh mạng, phòng chống DDoS.

5


1.4. Giao thức OpenFlow
Giao thức luồng mở - Openflow, là chuẩn
giao tiếp SDN đầu tiên giữa mặt phẳng điều
khiển và mặt phẳng dữ liệu trong kiến trúc
SDN.
1.4.1. Cấu trúc và phạm vi chuẩn hóa
của Openflow

Cấu trúc, phạm vi và vị trí của giao thức
Openflow trong kiến trúc SDN được mô tả

trong Hình 1.5. Openflow chuẩn hóa cấu trúc
bộ chuyển mạch, giao thức trao đổi giữa Bộ
điều khiển mạng (controller) và các bộ
chuyển mạch Openflow (Openflow switch OFS).

Hình 1.4. Kiến trúc mạng cấu hình bởi phần mềm SDN

1.4.2. Nhận dạng và quản lý lưu lượng
trên bộ chuyển mạch Openflow

Đối tượng xử lý thông tin trên các bộ
chuyển mạch OFS là các gói tin. Openflow
nhận dạng, phân nhóm và quản lý lưu lượng
trong Openflow theo luồng (flow). Những
lưu lượng có cùng thuộc tính và xuất hiện
trong một khoảng thời gian nhất định thuộc
vào cùng một luồng. OFS quản lý nhận dạng
và quản lý các luồng dựa vào mục luồng (flow
entry). Các mục luồng được quản lý, sắp xếp
thành các bảng luồng (flow table).
1.4.3. Các bản tin trao đổi giữa bộ điều
khiển và bộ chuyển mạch
Openflow

Hình 1.5. Cấu trúc và phạm vi chuẩn hóa Openflow

- Openflow quy định cấu trúc các bản tin trao đổi giữa bộ điều khiển và các bộ chuyển mạch để cấu
hình, điều khiển, quản lý trạng thái, các sự kiện từ các bộ chuyển mạch. Bao gồm 3 nhóm bản tin: (1)
Nhóm bản tin từ bộ điều khiển tới bộ chuyển mạch; (2) Nhóm bản tin bất đồng bộ từ bộ chuyển mạch;
và (3) Nhóm bản tin hai chiều.

- Các bản tin Openflow được truyền qua kênh truyền mã hóa bảo mật có xác thực SSL.
1.4.4. Quy trình xử lý gói tin trong Openflow

- Openflow quy định quá trình xử lý lưu lượng tại các bộ chuyển mạch theo cơ chế đường ống
(pipeline). Gói tin đến sẽ được so khớp từ bảng luồng đầu tiên đến các bảng luồng kế tiếp theo và tích
lũy các hành động (actions). Kết thúc quá trình so khớp, tập các hành động actions sẽ được áp dụng đối
với gói tin.
- Nếu gói tin không khớp với bất cứ mục luồng nào trong bảng luồng, sự kiện table-miss sẽ xảy ra và
OFS gửi tới bộ điều khiển một bản tin packet-in. Bộ điều khiển sẽ phân tích và đưa ra một chính sách
để xử lý bằng cách cài đặt trên OFS một mục luồng mới. Các gói tin tiếp theo của luồng sẽ được khớp
với mục luồng này và được OFS xử lý theo các actions thiết lập trong mục luồng.
1.4.5. Quản lý các mục luồng trong bộ chuyển mạch Openflow

Mục luồng là thông tin quan trọng quyết định cách thức xử lý gói tin trên hệ thống mạng. Mục luồng

6


có vai trò phân nhóm các gói tin thành các luồng tương ứng, đưa ra các chính sách bộ chuyển mạch sẽ áp
dụng đối với các gói tin. Openflow quy định phương thức quản lý các mục luồng bao gồm: (1) Cài đặt,
chỉnh sửa và xóa các mục luồng; (2) Thiết lập thời gian chờ cho các mục luồng, và (3) Thống kê các
mục luồng.

1.5. Các giải pháp phòng chống tấn công DDoS dựa trên kiến trúc và kỹ thuật
SDN/Openflow
1.5.1. Kiến trúc và nguyên lý hoạt động chung

Kiến trúc và kỹ thuật mạng SDN/Openflow đã được nhiều giải pháp đề xuất ứng dụng trong phòng
chống tấn công DDoS. Cấu trúc và nguyên lý hoạt động chung thể hiện như trong Hình 1.9.


Hình 1.9. Cấu trúc hệ thống giải pháp phòng chống DDoS dựa trên kỹ thuật mạng SDN/Openflow
1.5.2. Các kỹ thuật phát hiện tấn công

a). Nguồn thông tin lưu lượng đầu vào: Là cơ sở quan trọng để xác định có tấn công xảy ra hay không
hoặc phân biệt giữa lưu lượng tấn công và lưu lượng lành tính. Có hai nhóm:
• Sử dụng thông tin thống kê của Openflow: Có ưu điểm đơn giản, tuy nhiên lưu lượng Openflow
tăng cao có thể dẫn đến nghẽn mạng nên chỉ phù hợp với hệ thống mạng quy mô nhỏ.
• Sử dụng thông tin thống kê của Openflow kết hợp với các bộ phân tích lưu lượng: Sử dụng thêm
các thiết bị IDS, các bộ phân tích lưu lượng truyền thống như sFlow, Snort… Ưu điểm là tăng độ
chính xác nhưng làm cho hệ thống mạng phức tạp, phù hợp mạng quy mô lớn.
b). Thuật toán phát hiện và phân loại lưu lượng tấn công: Về cơ bản, các giải pháp phát hiện tấn công
DDoS dựa trên SDN/Openflow kế thừa các nguyên lý và thuật toán sử dụng trong kiến trúc và kỹ
thuật mạng truyền thống, bao gồm: (1) Dựa vào Entropy, (2) Áp dụng thuật toán máy học, (3) Phân
tích mẫu lưu lượng và (4) Dựa vào tỷ lệ kết nối.
1.5.3. Các kỹ thuật ngăn chặn, giảm thiểu tấn công

Dựa vào khả năng cấu hình, cài đặt, chỉnh sửa các mục luồng trên OFS để áp dụng các chính sách đối
với lưu lượng nghi ngờ tấn công như trình bày trong Hình 1.9. Các kỹ thuật bao gồm:

7


• Xóa bỏ gói tin: Chỉnh sửa mục luồng xóa bỏ gói tin nghi ngờ.
• Giới hạn lưu lượng: Sử dụng tính năng RATE LIMIT để thiết lập ngưỡng giới hạn lưu lượng
• Chặn cổng: Lọc bỏ các gói đến hoặc xuất phát từ một cổng cụ thể.
Ngoài ra, kỹ thuật mạng SDN/Openflow còn được ứng dụng để hỗ trợ trong phát hiện, ngăn chặn và
giảm thiểu tấn công DDoS, bao gồm:
•
•
•

•

Chuyển hướng lưu lượng
Phân tích nguy cơ an ninh từ các mục luồng
Xác thực địa chỉ IP nguồn
Phối hợp phòng chống tấn công giữa các hệ tự trị

1.6. Tấn công DDoS tới các thành phần trong kiến trúc mạng SDN/Openflow và các
giải pháp phòng chống
1.6.1. Tấn công DDoS tới các thành phần trong kiến trúc mạng SDN/Openflow

Bên cạnh những lợi điểm được ứng dụng trong phòng chống tấn công DDoS, kiến trúc, kỹ thuật
SDN/Openflow đồng thời cũng chứa đựng những nguy cơ tấn công DDoS mới ở cả ba lớp ứng dụng,
điều khiển và hạ tầng mạng. Khảo sát an ninh mạng trong kiến trúc SDN, Kreutz và nhóm nghiên cứu
đã chỉ ra 7 vectơ tấn công trong đó có 4 vectơ tấn công DDoS, bao gồm:
•
•
•
•

Các luồng lưu lượng giả mạo
Khai thác các lỗ hổng và chiếm quyền điều khiển trên các bộ chuyển mạch
Khai thác các lỗ hổng và chiếm quyền điều khiển trên các bộ điều khiển
Khai thác các lỗ hổng và chiếm quyền điều khiển ứng dụng điều hành mạng

Trong các vectơ tấn công nêu trên, vectơ tấn công tạo các luồng giả mạo dễ thực hiện nhất và được
xác định là hình thức tấn công phổ biến tới kiến trúc mạng SDN/Openflow.
1.6.2. Kỹ thuật phát hiện và giảm thiểu tấn công

- Đã có nhiều giải pháp phát hiện và giảm thiểu tấn công DDoS tới kiến trúc mạng SDN/Openflow.

Phần lớn các giải pháp đều dựa trên cơ chế giống như trong công nghệ mạng truyền thống. Ngoài ra,
một số giải pháp đề xuất dựa trên thuật toán phát hiện theo chính sách và quy tắc xử lý gói tin. Nếu các
mục luồng phù hợp với các chính sách, quy tắc xử lý này, lưu lượng của chúng được coi là lành tính,
ngược lại, lưu lượng được cho là xuất phát từ nguồn tấn công và áp dụng quy tắc xóa bỏ. Bảng 1.2 thống
kê và so sánh các giải pháp phòng chống theo kỹ thuật này.
Bảng 1.2. So sánh các kỹ thuật phát hiện và giảm thiểu tấn công DDoS tới kiến trúc mạng
SDN/Openflow theo chính sách và quy tắc xử lý gói tin
Giải pháp
AVANTGUARD

Kỹ thuật phát hiện

Sử dụng các luật định nghĩa trước
để phát hiện tấn công TCP SYN
Flood
DaMask
Dựa vào dấu hiệu tấn công trên cơ
sở phân mảnh mạng
SDN-based Truy vết ngược sử dụng kỹ thuật
CDNi
đánh dấu
OPERETTA Thiết lập các chính sách xác thực
FlowRanger Sử dụng các chính sách ưu tiên để
chỉ định giá trị tin cậy
SDSNM
Thiết lập các chính sách xác thực
trong phạm vi an toàn

Kỹ thuật giảm thiểu
tấn công

Ủy nhiệm gói tin SYN
trên OFS kết hợp với kỹ
thuật SYN Cookie
Thiết lập các hành động
định nghĩa từ trước
Xóa bỏ luồng
Không cần
Xóa bỏ luồng
Quyết định bởi module
chính sách xử lý

8

Ảnh hưởng đến lớp
Hạ tầng
Điều
Ứng
mạng
khiển
dụng
Không
Có
Có

Có

Có

Có


Có

Có

Có

Không
Không

Có
Có

Có
Không

Có

Có

Có


- Trong số các giải pháp trên, cơ chế Di
trú kết nối CM (Connection Migration) trong
giải pháp Avant-Guard giúp ngăn chặn hiệu
quả tấn công TCP SYN Flood. CM dựa trên
sự giám sát quá trình bắt tay ba bước (Three
ways Handshake – 3HS) của các kết nối TCP
từ các máy khách tới máy chủ cần bảo vệ.
Các bước thực hiện kết nối giữa máy khách

và máy chủ nội bộ được mô tả trong Hình
1.13. Theo đó, một kết nối TCP gồm 4 pha:
Pha Phân loại (bước 1-3), Pha Báo cáo: Hình 1.13. Quá trình xử lý kết nối TCP trong cơ chế CM
(bước 4,5), Pha Di trú: (bước 6 -10), và Pha
Chuyển tiếp (bước 11, 12).
- Bằng cách giám sát 3HS trước khi cài đặt mục luồng, CM giúp OFS loại bỏ các mục luồng vô giá
trị tạo bởi tấn công SYN Flood. Đồng thời, CM cũng ngăn không cho các gói tin tấn công SYN được
chuyển tới các máy chủ nội bộ cần bảo vệ. Tuy nhiên, cơ chế CM có các nhược điểm sau:
• CM sử dụng kỹ thuật SYN Cookie là một giải pháp cho trạm cuối (host based) nên sẽ không phù
hợp khi triển khai trên bộ chuyển mạch là thiết bị trung gian (network based). Các kết nối lành
tính sẽ bị chia cắt thành 2 kết nối TCP. Để liên kết hai kết nối TCP này, OFS phải duy trì một
vùng nhớ để lưu trữ trạng thái, do đó tiêu tốn tài nguyên làm ảnh hưởng đến hiệu năng xử lý của
OFS.
• Sự chia cắt kết nối TCP có thể làm vô hiệu hóa các tham số tùy chọn khác trong kết nối TCP.
• Quá trình tạo các gói tin 3HS trong kỹ thuật SYN Cookie tiêu tốn tài nguyên tính toán áp dụng
đối với tất cả các gói tin SYN đến gây lãng phí tài nguyên của OFS, làm cho OFS dễ trở thành
mục tiêu tấn công SYN flood và tấn công quét cổng. Ngoài ra, tích hợp cơ chế CM vào OFS làm
mất đi bản chất SDN, giảm hiêu năng của OFS.

1.7. Kết luận chương
Nội dung Chương 1 trình bày lý thuyết tổng quan về tấn công DDoS, các phương thức và kỹ thuật
phòng chống DDoS trong kỹ thuật mạng truyền thống và trong kỹ thuật mạng SDN/Openflow. Qua đó
cho thấy: (1) Tấn công DDoS vẫn là một vấn nạn lớn của mạng Internet; Diễn biến tấn công DDoS ngày
càng phức tạp đặt ra các yêu cầu và thách thức lớn đối với các cơ chế, giải pháp phòng chống tấn công.
(2) Dựa trên SDN/Openflow, nhiều giải pháp phòng chống DDoS được đề xuất. Tuy nhiên, hầu hết các
giải pháp mới dừng lại ở nghiên cứu lý thuyết; do tính chất phức tạp của tấn công DDoS, không có giải
pháp nào mang lại hiệu quả triệt để. Mỗi kiến trúc mạng, loại hình dịch vụ, quy mô, kết cấu mạng cần
có giải pháp, tham số bảo vệ khác nhau. (3) Mặt khác, chính kiến trúc SDN/Openflow cũng đặt ra những
vấn đề an ninh, trong đó có thể trở thành mục tiêu tấn công DDoS. Nhiệm vụ đặt ra là cần phải khai thác
các lợi thế của SDN/Openflow trong phòng chống tấn công DDoS, đồng thời xây dựng giải pháp ngăn

chặn những hình thức, kỹ thuật tấn công DDoS vào kiến trúc, kỹ thuật mạng này.

9


CHƯƠNG 2
ĐỀ XUẤT GIẢI PHÁP PHÒNG CHỐNG TẤN CÔNG DDOS
DỰA TRÊN DỮ LIỆU THỐNG KÊ VÀ CƠ CHẾ XỬ LÝ GÓI TIN
CỦA KỸ THUẬT SDN/OPENFLOW
2.1. Giới thiệu chương
Chương 2 trình bày ba giải pháp đề xuất phòng chống tấn công DDoS thuần túy dựa trên dữ liệu
thống kê và cơ chế xử lý gói tin của kỹ thuật SDN/Openflow. Mục tiêu của các giải pháp này là có thể
áp dụng trực tiếp cho các hệ thống mạng SDN/Openflow quy mô lưu lượng nhỏ, sử dụng trực tiếp phần
mềm ứng dụng trên lớp ứng dụng mà không cần bổ sung thêm các thiết bị, module chuyên dụng.

2.2. Giải pháp phát hiện và giảm thiểu tấn công DDoS dựa trên mô hình dự đoán
làm trơn hàm mũ tham số thống kê lưu lượng
2.2.1. Đặt vấn đề

Mỗi dịch vụ, máy chủ có những đặc tính lưu lượng riêng, trong điều kiện hoạt động bình thường, đặc
tính thống kê của lưu lượng thường ổn định. Khi có tấn công xảy ra, đặc tính thống kê của lưu lượng có
sự khác biệt và sự khác biệt này có thể sử dụng làm dấu hiệu để phát hiện tấn công. Giải pháp này lựa
chọn tham số đặc trưng của lưu lượng được cung cấp bởi dữ liệu thống kê trong kỹ thuật SDN/Openflow,
áp dụng mô hình dự đoán làm trơn hàm mũ để phát hiện và phân loại lưu lượng tấn công; sử dụng khả
năng lập trình, xử lý lưu lượng để lọc bỏ lưu lượng tấn công. Giải pháp áp dụng cho mạng quy mô nhỏ,
kết nối Internet qua một gateway, ngăn chặn các cuộc tấn công DDoS từ bên ngoài.
2.2.2. Kiến trúc hệ thống và các trạng thái hoạt động

- Giải pháp hoạt động dựa trên nguyên lý chung trình bày trong Hình 1.9. Đối tượng bảo vệ là các
máy chủ hoặc dịch vụ chạy trên máy chủ bên trong mạng nội bộ của hệ thống.

- Các trạng thái của máy chủ/dịch vụ cần bảo vệ và sự chuyển tiếp các trạng thái được thể hiện trong
sơ đồ Hình 2.2.
2.2.3. Lựa chọn tham số và chỉ số thống kê lưu lượng

a). Các tham số thống kê lưu lượng: Dựa trên đặc điểm lưu lượng tấn công DDoS và khả năng thống kê
theo cơ chế SDN/Openflow, các tham số được lựa chọn bao gồm: (1) Số địa chỉ IP nguồn SAN, (2) Số
cổng nguồn SPN và (3) Số lượng gói tin PN.
b). Các chỉ số thống kê lưu lượng: Tỷ lệ số cổng trung bình được mở trên mỗi địa chỉ IP nguồn SPA và
tỷ lệ số gói tin trung bình của mỗi luồng PpF:
SPA =

SPN
SAN

PpF =

∑SPN
i=1 PN

SPN

Hình 2.2. Sơ đồ chuyển tiếp trạng thái của hệ thống cho một máy chủ/dịch vụ

10

(2.1 – 2.2)


2.2.4. Lựa chọn và xây dựng mô hình dự đoán chỉ số thống kê lưu lượng


Giải pháp lựa chọn mô hình dự đoán làm trơn hàm mũ (Exponential smoothing):
(2.5)

𝑥𝑥�𝑡𝑡+1 = 𝛼𝛼. 𝑥𝑥𝑡𝑡 + (1 − 𝛼𝛼). 𝑥𝑥�𝑡𝑡

trong đó: 𝛼𝛼 là hệ số làm trơn và có giá trị nằm trong khoảng [0,1], 𝑥𝑥𝑡𝑡 là giá trị thực của mẫu ở thời
điểm t, 𝑥𝑥� là giá trị dự đoán của mẫu ở thời điểm t. Để đơn giản, chọn 𝛼𝛼 = 0.5. Khi đó:
SPACUM t+1 =

SPA + SPACUM t
;
2

PpFCUM t+1 =

PpF + PpFCUM t
2

(2.6 – 2.7)

trong đó SPA CUM và PpF CUM là các giá trị dự đoán hay còn gọi là các giá trị trung bình tích lũy, SPA
và PpF là giá trị thực tính được từ các tham số thống kê ở thời điểm t.
2.2.5. Phát hiện và giảm thiểu tấn công

Chỉ số thống kê lưu lượng được tính theo giá trị chuẩn hóa:
DSPA = �

SPA − SPACUM
,
SPACUM

0,

SPA ≥ SPACUM

(2.8)

PpF ≥ PpFCUM

(2.9)

SPA < SPACUM

PpF − PpFCUM
,
DPpF = � PpFCUM
0,

PpF < PpFCUM

- Để xác định có tấn công xảy ra hay
không, DSPA và DPpF được so sánh
với ngưỡng phát hiện 𝐾𝐾𝐷𝐷 . Khi lọc bỏ,
các giá trị này được so sánh với
ngưỡng lọc bỏ K F . Hình 2.3.
- Hệ số K D , K F được lựa chọn tùy
theo đặc tính lưu lượng của máy chủ,
dịch vụ.
2.2.6. Phân tích và đánh giá hiệu
năng của giải pháp


Hình 2.3. Mô hình phát hiện và phân loại lưu lượng tấn công

Phương pháp phân tích và kịch bản tấn công

Hiệu năng của giải pháp được đánh giá thông qua phân tích mô phỏng trên bộ dữ liệu lành tính
CAIDA 2013 và bộ dữ liệu CAIDA DDoS 2007 trong thời gian 90 phút. Quá trình phân tích tính toán
cho 3 máy chủ (1 máy chủ chịu tấn công và 2 máy hoạt động bình thường) được chia ra làm 3 giai đoạn
với cường độ tấn công khác nhau.
Khả năng phát hiện tấn công

Kết quả tính toán chỉ số thống kê, chỉ số chuẩn hóa trong các cửa sổ thời gian như trong Hình 2.4 và
Hình 2.5. Qua đó, nếu lựa chọn với K D = 2, tấn công DDoS được phát hiện trong cả trường hợp cường
độ thấp và cao.
Khả năng phân loại lưu lượng tấn công

Bảng 2.5 thể hiện kết quả thống kê độ nhạy phân loại DR C và tỷ lệ báo động phân loại nhầm FPR C
với các giá trị hệ số lọc bỏ K F khác nhau theo tổng dung lượng (bytes). Kết quả cho thấy DR C đạt mức
cao giữ ổn định trên 98,5% với FPR C dưới 0,65%. Hệ số K F được lựa chọn để đảm bảo giữ tỷ lệ DR
cao trong khi FPR thấp, với kết quả như trong Bảng 2.1, nếu lựa chọn K F = 20-26, DR C đạt mức 98,7%
trong khi FPR C ≈ 0,44%. So sánh với giải pháp sử dụng SOM 6 tham số của Braga, DR C cao nhất đạt
98,61% với FPR C ở mức 0,59% cho thấy giải pháp sử dụng mô hình dự đoán làm trơn hàm mũ cho tỷ
lệ phân loại cao hơn với tỷ lệ nhầm thấp hơn.

11


Hình 2.4. Giá trị chỉ số SPA và DSPA

Hình 2.5. Giá trị chỉ số PpF và DPpF
2.2.6.4. Khả năng giảm thiểu tấn công


Kết quả lọc bỏ lưu lượng tấn công
theo KF trong Bảng 2.5 cho thấy DRF đạt
trên 95% với FPRF dưới 7%. Với KF =
20-26, DRF ≈ 95,1% với FPRF ≈ 3,3%.
Giá trị này cải thiện hơn rất nhiều so với
giải pháp sử dụng mô hình biến thiên
entropy do Giotis đề xuất với kết quả DRF
đạt 95% trong khi tỷ lệ lọc bỏ nhầm FPRF
ở mức 32%.
2.2.6.5. Nhận xét, đánh giá

So sánh với các giải pháp đã đề xuất có
phân tích lưu lượng tương đương, giải
pháp phát hiện và giảm thiểu tấn công
dựa trên mô hình dự đoán thống kê làm
trơn hàm mũ có ưu điểm:

Bảng 2.5. Độ nhạy (DR) và tỷ lệ báo động nhầm
(FPR)với KF khác nhau
𝐊𝐊 𝐅𝐅

Phân loại lưu lượng

Lọc bỏ lưu lượng

DRC

FPRC


DRF

FPRF

6

99,19

0,62

98,72

6,82

8

99,16

0,58

98,37

4,80

10

99,11

0,56


97,17

3,99

12

99,09

0,54

96,64

3,80

14

99,08

0,52

96,57

3,61

16

99,01

0,51


96,05

3,52

18

98,97

0,49

96,04

3,39

20

98,92

0,47

95,26

3,33

22

98,76

0,44


95,08

3,33

24

98,73

0,44

95,07

3,24

26

98,71

0,42

95,07

3,14

• Đơn giản, sử dụng thuần túy các tham số thống kê cung cấp bởi bộ chuyển mạch biên và cơ chế
xử lý gói tin của SDN/Openflow. Số trường thông tin cần truy vấn thấp (3 tham số/mục luồng) so
với giải pháp sử dụng SOM 6 hoặc 4 tham số (ít nhất 4 tham số/mục luồng) và giải pháp sử dụng
mô hình biến thiên entropy (4 tham số/mục luồng).

12



• Thuật toán đơn giản, mỗi tham số chỉ cần tính toán và lưu trữ 1 giá trị trong một chu kỳ giám sát,
trong khi các giải pháp khác cần tính toán, lưu trữ một mảng các giá trị để tính trung bình và
entropy.
Tuy nhiên, giải pháp vẫn tồn tại một số nhược điểm:
• Lượng truy vấn lấy tham số thống kê còn lớn, có thể gây nguy cơ nghẽn giao diện Openflow mỗi
khi kết thúc chu kỳ giám sát. Vì vậy, giải pháp chỉ phù hợp với hệ thống mạng quy mô nhỏ.
• Hiệu năng của giải pháp còn phụ thuộc vào hệ số α của mô hình dự đoán làm trơn hàm mũ, chu
kỳ giám sát T. Các tham số này phụ thuộc vào quy mô, đặc tính dữ liệu của từng hệ thống mạng
cụ thể.

2.3. Giải pháp giảm thiểu tấn công SYN Flood dựa trên cơ chế ủy nhiệm gói tin SYN
tại bộ điều khiển
2.3.1. Đặt vấn đề

SYN Flood là kỹ thuật tấn
công lâu đời nhưng vẫn là
phương thức tấn công phổ biến
và nguy hiểm. Luận án đề xuất
giải pháp SSP (SDN based SYN
Proxy) ứng dụng kỹ thuật
SDN/Openflow trong phát hiện
và giảm thiểu tấn công SYN
Flood bằng cơ chế SYN Proxy
tại Bộ điều khiển trong mạng
SDN/Openflow ngăn chặn các
nguy cơ tấn công từ bên ngoài.
2.3.2. Kiến trúc hệ thống đề
xuất


Dựa trên kiến trúc chung
Hình 2.6. Kiến trúc hệ thống giải pháp Ủy nhiệm gói tin SYN trên
trong Hình 1.9, SSP được áp
Bộ điều khiển SSP
dụng cho hệ thống mạng quy mô
nhỏ kết nối với Internet qua bộ chuyển mạch biên Openflow như Hình 2.6.
2.3.3. Lựa chọn mô hình ủy nhiệm gói tin SYN

Có 2 loại SYN Proxy được sử dụng hiện nay: giả gói tin SYN-ACK và giả gói tin ACK. Do thực hiện
ủy nhiệm tại Bộ điều khiển, SSP lựa chọn mô hình loại giả gói tin ACK để giảm bớt xử lý tại Bộ điều
khiển, giảm lưu lượng trao đổi trên giao diện Openflow.
2.3.4. Hoạt động của hệ thống SSP

Quá trình xử lý gói tin SYN cho một kết nối TCP trong SSP được mô tả như Hình 2.8. Các mục luồng
và các actions tương ứng được sắp xếp, cấu hình đảm bảo thực hiện quy trình giám sát quá trình 3HS.
- OFS capture và xử lý các gói tin 3HS như lưu đồ Hình 2.9.
- Quản lý và giám sát quá trình 3HS tại Module SPM được thực hiện như lưu đồ Hình 2.10.
- Dựa trên đặc tính thống kê của lưu lượng thực tế, đề xuất thay đổi thời gian chờ gói CliACK của
các luồng theo công thức:
𝑡𝑡 = �

𝑇𝑇1 ,

𝑇𝑇2 + (𝑇𝑇1 −

𝑛𝑛−𝑁𝑁
𝑇𝑇2 )𝑒𝑒 −𝑘𝑘 𝑁𝑁 ,

𝑛𝑛 ≤ 𝑁𝑁


𝑛𝑛 > 𝑁𝑁

n là số lượng kết nối TCP dang dở đang tồn tại,
N là số kết nối TCP đang mở trung bình trong điều
kiện bình thường;

(2.12)

13


𝑇𝑇1 là thời gian chờ lớn nhất, 𝑇𝑇2 là thời gian
chờ nhỏ nhất, k là hệ số hiệu chỉnh.

- Thiết lập ngưỡng thay đổi chính sách xử
lý gói tin SYN tại bộ chuyển mạch như Hình
2.13. M 1 và M 2 được xác định dựa trên các
điều kiện hoạt động bình thường của mỗi bộ
chuyển mạch. (M 1 > M 2 )
2.3.5. Phân tích và đánh giá hiệu năng
của giải pháp

- Mô hình thử nghiệm testbed: Hiệu năng
của SSP được kiểm nghiệm và đánh giá qua
mô hình thử nghiệm trong Hình 2.14. Lưu
lượng tấn công được phát tăng dần tới khả
năng chịu đựng của hệ thống bằng công cụ
BoNeSi.
- Kết quả thử nghiệm trên testbed:

• Tỷ lệ kết nối thành công và thời gian
kết nối của lưu lượng lành tính: được
thể hiện trong Hình 2.15, Hình 2.16
cho thấy SSP cải thiện đáng kể so với
Openflow (duy trì mức 87% trong khi
của Openflow suy giảm còn 5% ở tốc
độ tấn công 600 pps).
• Số lượng kết nối dang dở trên máy chủ:
Kết quả đo thống kê cho thấy, SSP
giảm số HOCs trên máy chủ tới 86% ở
tốc độ tấn công 500pps.
• Thời gian tồn tại của các mục luồng
trên OFS: kết quả tính thống kê từ lưu
lượng thực tế cho thấy so với cơ chế
CM, SSP giảm được 94% thời gian tồn
tại trung bình của mục luồng tại OFS.
Điều này giúp cho tốc độ so khớp, xử
lý các actions trên OFS nhanh hơn,
tăng khả năng chịu tải ngay cả khi tấn
công DDoS xảy ra.
• Ảnh hưởng lên bộ điều khiển khi xảy
ra tấn công như thể hiện trong Hình
2.19, Hình 2.20 là không đáng kể.
- Nhận xét, đánh giá:

Hình 2.8. Quá trình xử lý yêu cầu kết nối của một gói
tin SYN trong giải pháp SSP

• Khai thác cơ chế xử lý gói tin trong Hình 2.9. Capture và xử lý các gói tin bắt tay ba bước
SDN/Openflow, SSP hoạt động như

tại OFS
một SYN Proxy trên Bộ điều khiển
giúp giảm đáng kể số lượng kết nối dang dở trên máy chủ, làm tăng khả năng chịu đựng tấn công
SYN Flood của máy chủ, tăng tỷ lệ kết nối thành công của lưu lượng lành tính.
• SSP làm giảm (tới 94%) thời gian tồn tại của mục luồng lưu lượng lành tính so với cơ chế CM

14


của giải pháp Avant-Guard. Khi có tấn công SYN Flood xảy ra, SSP không làm ảnh hưởng nhiều
tới sự chiếm dụng tài nguyên CPU và bộ nhớ trên Bộ chuyển mạch, Bộ điều khiển.

Hình 2.13. Chuyển tiếp chính sách xử lý
gói tin SYN tại OFS

Hình 2.14. Mô hình testbed đánh giá hiệu
năng giải pháp SSP

Hình 2.10. Lưu đồ hoạt động của mô đun SPM
tại bộ điều khiển

Hình 2.15. Tỷ lệ kết nối thành công

Hình 2.19. Chiếm dụng CPU của Bộ điều khiển

Hình 2.16. Thời gian kết nối trung bình

Hình 2.20. Chiếm dụng bộ nhớ trên Bộ điều khiển

15



2.4. Giải pháp đánh dấu gói tin PLA DFM phục vụ truy vết nguồn tấn công
2.4.1. Đặt vấn đề

Kỹ thuật truy vết nguồn tấn công (traceback) cho phép từ phía trạm đích, có thể tái tạo lại đường đi
của gói tin hoặc biết địa chỉ vị trí gói tin được phát ra mà không dựa vào trường địa chỉ IP nguồn. Nội
dung phần này đề xuất giải pháp đánh dấu gói tin phục vụ truy vết PLA DFM (Packet Length Adaptive
Deterministic Flow Marking) dựa trên sự phân loại và nhận dạng lưu lượng theo luồng, của kỹ thuật
mạng SDN/Openflow trong đó có xét đến sự thích ứng với chiều dài gói tin đầu tiên của luồng nhằm
tăng hiệu quả đánh dấu. Sử dụng sự kiện table-miss và các bản tin packet-in để chuyển tới và thực hiện
đánh dấu tại Bộ điều khiển SDN/Openflow.
2.4.2. Khái niệm về đánh dấu gói tin và các kỹ thuật cơ bản

- Trong kỹ thuật traceback bằng đánh dấu gói tin, thông tin đánh dấu (gồm địa chỉ các bộ định tuyến
trên đường đi) được chèn vào gói tin gửi tới trạm đích. Có hai kỹ thuật cơ bản là đánh dấu theo xác suất
PPM và đánh dấu xác định DPM. PPM đánh dấu theo xác suất tất cả các gói tin. DPM đánh dấu một số
gói tin cụ thể trong các gói tin lưu lượng.
- Kỹ thuật đánh dấu gói tin theo luồng DFM là giải pháp nâng cấp của DPM thực hiện đánh dấu trên
K gói tin đầu tiên của mỗi luồng với thông tin đánh dấu gồm 60 bits: (i) 32 bits địa chỉ IP cổng vào của
bộ định tuyến biên In-portIP; (ii) 12 bit NIID và (iii) 16 bit NodeID. Số lượng gói tin cần để đánh dấu
thành công cho mỗi luồng phụ thuộc vào các trường tiêu đề dùng để chứa thông tin đánh dấu.
2.4.3. Đề xuất cấu trúc và hoạt động của PLA DFM trên kiến trúc mạng SDN/Openflow

- PLA DFM phát triển dựa trên DFM, lợi dụng cơ chế xử lý gói tin SDN/Openflow, K gói tin đầu tiên
của mỗi luồng TCP/UDP/ICMP được chuyển tới Bộ điều khiển thông qua sự kiện table-miss và các bản
tin packet-in, tại đó chúng được chèn thông tin đánh dấu trước khi lưu chuyển trên Internet.
- Để tăng tỷ lệ đánh dấu thành công, giảm xử lý ở Bộ điều khiển, PLA DFM đề xuất sử dụng trường
Options để chứa thông tin đánh dấu. Tuy nhiên khi sử dụng trường Options, kích thước gói tin sẽ bị tăng
lên 8 bytes, có thể bị vượt ngưỡng MTU của kênh truyền dẫn gây nên sự phân mảnh gói tin. Để giải

quyết vấn đề này, PLA DFM thiết lập một giá trị ngưỡng MT dựa trên MTU của kênh truyền và so sánh
chiều dài gói tin đầu tiên của luồng FL:
• Nếu FL ≤ MT: sử dụng 16 bit của trường ID và 48 bit trường Options của gói tin đầu tiên để chứa
thông tin đánh dấu.
• Nếu FL>MT: thực hiện đánh dấu trên K gói tin đầu tiên giống như kỹ thuật DFM.
Quá trình chèn thông tin đánh dấu vào các gói tin như mô tả ở Hình 2.24.

Hình 2.24. Đánh dấu gói tin PLA DFM

16


2.4.4. So sánh và đánh giá hiệu năng của giải pháp

- Khảo sát hiệu năng của PLA DFM dựa trên phân tích dữ liệu mô phỏng với bộ lưu lượng thực
CAIDA 2013. Các tham số so sánh gồm: tỷ lệ đánh dấu thành công theo luồng SMR, Tỷ lệ gói tin đánh
dấu MPR và tỷ lệ dung lượng gói tin đánh dấu MSR. Kết quả ở Hình 2.27, 2.28, 2.29 (với MT=288) và
Bảng 2.12, Bảng 2.13.

Hình 2.28. Tỷ lệ MPR

Hình 2.27. Tỷ lệ SMR

Bảng 2.12. So sánh hiệu năng với K, MT khác nhau
MT
288

500

568


Hình 2.29. Tỷ lệ MSR

K

SMR

MPR

MSR

3

95.11

4.40

1.11

5

94.26

4.68

1.39

7

93.66


4.91

1.61

3

96.95

4.36

1.09

5

96.65

4.58

1.35

7

96.15

4.78

1.56

3


97.18

4.26

1.07

5

96.92

4.55

1.34

7

96.46

4.74

1.55

Bảng 2.13. Tỷ lệ gia tăng lưu lượng của PLA DFM

- Nhận xét, đánh giá:
+ Cơ chế xử lý gói tin và kỹ thuật quản lý lưu
lượng theo luồng trong SDN/Openflow có thể
được khai thác để thực hiện đánh dấu gói tin nhằm
cung cấp khả năng truy vết nguồn phát sinh lưu

lượng tấn công trên Internet.

MT

Tổng kích
thước ban đầu
(byte)

Kích thước
tăng thêm
(byte)

Tỷ lệ
(%)

288

85,209,121,130

36,390,376

0.043

500

85,209,121,130

37,503,744

0.044


568

85,209,121,130

37,668,640

0.044

+ PLA DFM đánh dấu các gói tin đầu tiên của luồng dựa trên sự thích ứng chiều dài gói và thực hiện
tại bộ điều khiển. Kết quả phân tích hiệu năng cho thấy PLA DFM cho tỷ lệ đánh dấu thành công cao
(trên 90%) so với DFM (thấp hơn 50%) với tỷ lệ gói tin bị đánh dấu thấp (5% so với 8% trở lên của
DFM) và mức độ gia tăng lưu lượng không đáng kể (khoảng 0,05%).
+ Nếu được chuẩn hóa trong kiến trúc mạng SDN/Openflow và sử dụng thống nhất trên các bộ chuyển
mạch biên của ISP hoặc các trung tâm dữ liệu, PLA DFM cho phép truy vết các nguồn tấn công giả mạo

17


địa chỉ IP, hỗ trợ ngăn chặn tấn công DDoS trên Internet.

2.5. Kết luận chương
Kỹ thuật SDN/Openflow có khả năng cung cấp dữ liệu thống kê về đặc tính lưu lượng và có thể lập
trình xử lý lưu lượng theo sự biến thiên của đặc tính ấy. Đặc điểm này phù hợp với quy trình phát hiện
và giảm thiểu tấn công DDoS. Sử dụng khả năng đó, nội dung Chương 2 trình bày 3 giải pháp đề xuất
đối với 3 yêu cầu phòng chống tấn công DDoS khác nhau trong mạng quy mô lưu lượng nhỏ, đó là: (1)
giải pháp phát hiện và giảm thiểu tấn công DDoS bằng mô hình dự đoán làm trơn hàm mũ tham số thống
kê lưu lượng, (2) phát hiện và giảm thiểu tấn công SYN Flood dựa trên cơ chế ủy nhiệm gói tin SYN
tại bộ điều khiển và (3) đánh dấu gói tin PLA DFM phục vụ truy vết nguồn tấn công. Qua phân tích,
đánh giá, so sánh với các giải pháp đã công bố, cho thấy: (1) Các giải pháp đề xuất cho hiệu năng hoạt

động được cải thiện hoặc tương đương với các giải pháp đã được công bố; (2) tận dụng được thông tin
dữ liệu thống kê, cơ chế xử lý lưu lượng của kỹ thuật SDN/Openflow, có thể áp dụng trực tiếp trong
mạng SDN/Openflow chỉ bằng phần mềm ứng dụng trên mặt phẳng điều khiển mà không cần bổ sung
thiết bị, module chuyên dụng. (3) Tuy nhiên, do sử dụng giao diện Openflow để truy vấn thông tin lưu
lượng và cài đặt các mục luồng để giảm thiểu tấn công nên lưu lượng trên giao diện này bị tăng lên dễ
bị nghẽn mạng nhất là khi tấn công DDoS xảy ra. Vì vậy giải pháp phát hiện giảm thiểu tấn công bằng
mô hình dự đoán làm trơn hàm mũ và cơ chế ủy nhiệm gói tin SYN trên bộ điều khiển chỉ phù hợp với
mạng có quy mô lưu lượng nhỏ.

CHƯƠNG 3
ĐỀ XUẤT GIẢI PHÁP PHÒNG CHỐNG TẤN CÔNG DDOS
DỰA TRÊN KỸ THUẬT SDN/OPENFLOW
SỬ DỤNG THÊM BỘ PHÂN TÍCH VÀ XỬ LÝ LƯU LƯỢNG
3.1. Giới thiệu chương
Để cung cấp thêm thông tin về lưu lượng cho các ứng dụng phát hiện, phân loại tấn công, phối hợp
với kỹ thuật SDN/Openflow giảm thiểu tấn công, giảm lưu lượng trao đổi trên giao diện Openflow, nội
dung Chương 3 đề xuất kiến trúc SDN mở rộng trong đó sử dụng thêm bộ phân tích và xử lý lưu lượng
hoạt động theo cơ chế SDN/Openflow, đề xuất 2 giải pháp phòng chống tấn công DDoS dựa trên kiến
trúc mở rộng này, bao gồm: (1) Giải pháp phát hiện, phân loại và giảm thiểu tấn công DDoS bằng thuật
toán logic mờ và (2) Giải pháp phát hiện và giảm thiểu tấn công SYN Flood vào kiến trúc
SDN/Openflow sử dụng cơ chế ủy nhiệm gói tin SYN trên thiết bị phân tích và xử lý lưu lượng.

3.2. Những hạn chế của kiến trúc và kỹ thuật mạng SDN/Openflow trong phòng
chống tấn công DDoS
Mặc SDN/Openflow cho phép triển khai các giải pháp phòng chống tấn công DDoS, kiến trúc này
cũng bộc lộ những hạn chế:
• Không cung cấp đủ thông tin về lưu lượng cho phân tích an ninh tới bộ điều khiển,
• Cơ chế quản lý luồng theo trạng thái gây chiếm dụng tài nguyên trên lớp hạ tầng dễ bị kẻ tấn công
lợi dụng và trở thành mục tiêu tấn công DDoS mới,
• Lưu lượng Openflow giữa các bộ chuyển mạch và bộ điều khiển tăng cao.

Để khắc phục những hạn chế này, một số giải pháp đề xuất sử dụng thêm bộ phân tích lưu lượng
truyền thống như sFlow, Snort trong mạng SDN. Tuy nhiên, các giải pháp này không tận dụng được
cơ chế điều khiển và xử lý gói tin của SDN, đơn thuần cung cấp thuộc tính lưu lượng, chưa phối hợp
để xử lý lưu lượng tấn công.

18


3.3. Đề xuất kiến trúc mạng SDN/Openflow mở rộng trên cơ sở bổ sung thiết bị
phân tích và xử lý lưu lượng SD
3.3.1. Kiến trúc tổng quát

Kiến trúc mạng SDN/Openflow có
bổ sung thiết bị phân tích và xử lý lưu
lượng SD (kiến trúc mở rộng) phục vụ
phân tích, xử lý an ninh mạng được
mô tả trong Hình 3.1.
- SD là một module phần cứng
hoặc phần mềm thực hiện nhiệm vụ:
(1) Phân tích các gói tin từ OFS để
đưa ra đặc tính lưu lượng, và (2) Xử
lý các chính sách giảm thiểu tấn công.
- SD kết nối với OFS như một thực
thể node mạng nhưng đóng vai trò
như một thiết bị xử lý các gói tin, và
phân biệt với các node mạng khác dựa
vào số hiệu cổng (port) trên OFS.
- SD không tham gia vào quá trình
cấu hình các tham số hoạt động, điều
khiển, cài đặt và chỉnh sửa các mục

luồng của OFS.
3.3.2. Điều khiển chuyển tiếp
lưu lượng tới SD và xử lý
lưu lượng tại SD

Hình 3.1. Kiến trúc giải pháp bổ sung thiết bị phân tích lưu
lượng trong kiến trúc SDN/Openflow

- OFS chuyển tiếp lưu lượng nghi ngờ tấn công hoặc các gói tin cần giám sát tới SD theo 2 cấu hình:
(1) Không chuyển tiếp các gói tin tới máy chủ đích mà chỉ chuyển tiếp tới SD và (2) Chuyển tiếp các
gói tin tới máy chủ đích đồng thời sao chép và chuyển tiếp tới SD.
- SD thực hiện các chính sách xử lý lưu lượng theo điều khiển của Ứng dụng an ninh qua giao diện
REST API bao gồm: (1) Xóa bỏ gói tin, và (2) Chỉnh sửa gói tin và gửi trở lại bộ chuyển mạch.

3.4. Giải pháp phân loại và giảm thiểu tấn công DDoS dựa trên kiến trúc
SDN/Openflow mở rộng và thuật toán logic mờ
3.4.1. Đặt vấn đề

Các giải pháp phát hiện và giảm thiểu tấn công DDoS thuần túy dựa vào dữ liệu thống kê và cơ chế
xử lý gói tin SDN/Openflow có nhược điểm là làm tăng lưu lượng giao diện Openflow và thời gian đáp
ứng lớn. Để giải quyết vấn đề này, giải pháp FDDoM dựa trên kiến trúc SDN/Openflow mở rộng, trong
đó tham số lưu lượng cung cấp bởi SD và dữ liệu thống kê được áp dụng thuật toán logic mờ để phát
hiện tấn công. Khi phát hiện tấn công xảy ra, SD trực tiếp xóa bỏ các luồng nghi ngờ.
3.4.2. Phân tích đặc tính lưu lượng tấn công DDoS để chọn tham số phân loại lưu lượng

Để có căn cứ lựa chọn tham số phân loại tấn công DDoS, các bộ lưu lượng tấn công thực tế CAIDA
và Netnam được phân tích thống kê nhằm tìm ra các đặc tính chung nhất về sự khác biệt giữa lưu lượng
lành tính và lưu lượng tấn công. Căn cứ vào kết quả, hai tham số được chọn gồm phân bố khoảng thời
gian liên gói tin IAT và số lượng gói tin trong 1 luồng PpF để làm tham số phát hiện và phân loại tấn
công. Kết quả phân tích, thống kê từ bộ lưu lượng thực tế của 2 tham số này được thể hiện trong Hình

3.2 và Hình 3.3.

19


Hình 3.3. Phân bố PpF của lưu lượng

Hình 3.2. Phân bố IAT của lưu lượng
3.4.3. Cấu trúc hệ thống

- Dựa trên kiến trúc chung như Hình 3.1, trong cấu trúc giải pháp đề xuất: (1) Thiết bị Phân tích lưu
lượng SD lấy thống kê các gói tin từ OFS để tính tỷ lệ IAT; (2) Module Thống kê lưu lượng trong bộ
điều khiển thực hiện truy vấn các các mục luồng để lấy số lượng PpF trong mỗi chu kỳ giám sát T.
- Máy chủ ứng dụng bảo mật SS dựa trên dữ liệu thống kê từ hai module này xử lý phát hiện tấn công
sau mỗi chu kỳ T. Khi có sự thay đổi trạng thái của mỗi máy chủ, máy chủ bảo mật yêu cầu Bộ ủy nhiệm
an ninh trên bộ điều khiển cài đặt, thay đổi chính sách xử lý gói tin.
3.4.4. Xác định trạng thái của máy chủ

FDDoM hoạt động dựa trên trạng thái tấn công của các máy chủ gồm 3 trạng thái: (1) Không bị tấn
công, (2) Nghi ngờ bị tấn công, hoặc (3) Đang bị tấn công. Với mỗi máy chủ hệ thống duy trì các bộ
đếm để lưu trữ 3 tham số: số luồng đang kết nối tới máy chủ cf, số luồng chỉ có 1 gói tin opf, và số luồng
được tạo mới trong chu kỳ T hiện tại nf. Trạng thái máy chủ được xác định bởi nf.
3.4.5. Chuyển tiếp gói tin giữa các thực thể
trong hệ thống

Quá trình trao đổi, xử lý gói tin giữa các thực
thể trong hệ thống dựa trên nguyên tắc xử lý gói
tin của SDN/Openflow. Hình 3.5 là ví dụ trao
đổi khi máy chủ ở trạng thái “Không bị tấn
công”.

3.4.6. Phân loại lưu lượng và giảm thiểu tấn
công DDoS dựa trên thuật toán suy
luận logic mờ FDDoM

- FDDoM sử dụng hệ suy luận mờ Sugeno với
hai chỉ thị đầu vào: (1) IAT – tỷ lệ các gói có
khoảng thời gian liên gói tin trong phạm vi thấp.
Theo kết quả phân tích chọn IAT trong khoảng
(0, 0.2] ms, và (2) PpF - tỷ lệ các luồng chỉ có
một gói tin.
- Áp dụng thuật toán xử lý logic mờ Sugeno
qua các bước mờ hóa, xác định các luật hợp
thành với các hành động (action) đầu ra bao gồm
Chuyển tiếp (Fw – Forward) hay Xóa bỏ (Dr –
Drop); 4 luật hợp thành, tương ứng với 4 trọng
số.

Hình 3.5. Trao đổi gói tin giữa các thực thể trong
trạng thái “Không bị tấn công”

20


[Rule 1]: IF IAT is Low AND PpF is Low THEN Action = Fw (3.6)
[Rule 2]: IF IAT is High AND PpF is High THEN Action = Dr (3.7)
[Rule 3]: IF IAT is High AND PpF is Low THEN Action = Dr (3.8)
[Rule 4]: IF IAT is Low AND PpF is High THEN Action = Dr (3.9)

Chỉ thị đầu ra chỉ tỷ lệ số luồng cần xóa bỏ:
𝑍𝑍 =


𝑤𝑤1 𝐹𝐹𝐹𝐹 + 𝑤𝑤2 𝐷𝐷𝐷𝐷 + 𝑤𝑤3 𝐷𝐷𝐷𝐷 + 𝑤𝑤4 𝐷𝐷𝐷𝐷
𝑤𝑤1 + 𝑤𝑤2 + 𝑤𝑤3 + 𝑤𝑤4

𝑤𝑤1 = 𝑚𝑚𝑚𝑚𝑚𝑚[F𝐿𝐿𝐿𝐿𝐿𝐿 (𝐼𝐼𝐼𝐼𝐼𝐼), F𝐿𝐿𝐿𝐿𝐿𝐿 (𝑃𝑃𝑃𝑃𝑃𝑃)]

(3.10)

𝑤𝑤2 = 𝑚𝑚𝑚𝑚𝑚𝑚�F𝐻𝐻𝐻𝐻𝐻𝐻ℎ (𝐼𝐼𝐼𝐼𝐼𝐼), F𝐻𝐻𝐻𝐻𝐻𝐻ℎ (𝑃𝑃𝑃𝑃𝑃𝑃)� (3.11)
𝑤𝑤3 = 𝑚𝑚𝑚𝑚𝑚𝑚�F𝐻𝐻𝐻𝐻𝐻𝐻ℎ (𝐼𝐼𝐼𝐼𝐼𝐼), F𝐿𝐿𝐿𝐿𝐿𝐿 (𝑃𝑃𝑃𝑃𝑃𝑃)� (3.12)
𝑤𝑤4 = 𝑚𝑚𝑚𝑚𝑚𝑚�F𝐿𝐿𝐿𝐿𝐿𝐿 (𝐼𝐼𝐼𝐼𝐼𝐼), F𝐻𝐻𝐻𝐻𝐻𝐻ℎ (𝑃𝑃𝑃𝑃𝑃𝑃)� (3.13)

(3.16)

3.4.7. Đánh giá hiệu năng của giải pháp

Khảo sát trên bộ lưu lượng tấn công thực
NetNam, kết quả ở Hình 3.11, Hình 3.12, Hình
3.13 và Bảng 3.4. Kết quả cho thấy:
- FDDoM cho độ nhạy lọc bỏ cao, tỷ lệ lọc
bỏ nhầm thấp, các chỉ số tốt hơn so với giải
pháp tương đương TRW-CB (sử dụng
Openflow kết hợp lấy mẫu lưu lượng sFlow
trong mạng truyền thống) và giải pháp sử dụng
mô hình dự đoán làm trơn hàm mũ.

Hình 3.11. Giá trị đầu ra của chỉ thị Z của thuật
toán FDDoM và độ nhạy lọc bỏ lưu lượng tấn công

- FDDoM xử lý xóa bỏ lưu lượng tấn công

trực tiếp trên SD, lưu lượng tấn công không đến
máy chủ, không mất thêm chu kỳ phân loại lưu
lượng nên thời gian đáp ứng nhỏ hơn.
- Cơ chế xử lý gói tin của FDDoM giúp giảm
lưu lượng chuyển qua giao diện Openflow,
giảm số mục luồng và sự chiếm dụng tài
nguyên trên OFS so với Openflow.

3.5. Phát hiện và giảm thiểu tấn
công SYN Flood tới mạng
SDN/Openflow sử dụng cơ chế
ủy nhiệm gói tin SYN tại SD
3.5.1. Đặt vấn đề

- SYN Flood có thể được lợi dụng để tấn
công làm cạn kiệt tài nguyên bộ chuyển mạch
OFS. Đã có những giải pháp đề xuất giảm
thiểu tấn công này như cơ chế CM của AvantGuard. Tuy nhiên CM và các giải pháp tương
tự tích hợp cơ chế ủy nhiệm gói tin SYN tại
OFS nên gây chia cắt kết nối TCP, biến OFS
trở thành mục tiêu tấn công. Để khắc phục
những vấn đề này, Luận án đề xuất giải pháp
SSG trong kiến trúc SDN/Openflow mở rộng
dựa trên cơ chế ủy nhiệm gói tin SYN tại Bộ
phân tích và xử lý lưu lượng.

Hình 3.12. Tỷ lệ lọc bỏ nhầm
Bảng 3.4. So sánh hiệu năng FDDoM
Giải pháp
TRW-CB trên Openflow kết hợp sFlow

lưu lượng DDoS hỗn hợp
TRW-CB trên Openflow kết hợp sFlow
lưu lượng tấn công quét cổng
FDDoM

DR
(%)

FPR
(%)

96

25

96

10

97,5

3,6

Hình 3.13. So sánh số luồng tồn tại trên OFS

21


3.5.2. Cấu trúc hệ thống


Cấu trúc hệ thống của SSG
và các module chức năng của
các thực thể được mô tả trong
Hình 3.14.
3.5.3. Hoạt động của hệ
thống

- Phát hiện tấn công SYN
Flood và thay đổi chính sách xử
lý gói tin: SSG áp dụng thuật
toán CUSUM áp dụng với số
Hình 3.14. Cấu trúc chi tiết và tương tác giữa các module chức
kết nối dang dở k HOC để xác định
năng trong giải pháp SSG
máy chủ ở trạng thái “Không bị
tấn công” hay “Nghi ngờ bị tấn công”.
- Sắp xếp các mục luồng để capture và điều
hướng các gói tin 3HS: Lợi dụng khả năng so
khớp các cờ TCP của Openflow 1.5, cơ chế ưu
tiên các mục luồng, SSG tổ chức các bảng luồng
và sắp xếp các mục luồng để OFS capture các
gói tin 3HS và điều hướng chúng tới thực thể:
máy chủ, SD. Ví dụ khi máy chủ ở chế độ
“Không bị tấn công” như trong Hình 3.16.
- Giám sát quá trình 3HS tại SD: SD giám sát Hình 3.16. Capture và điều hướng gói tin TCP trên
quá trình 3HS của tất cả các kết nối tới máy chủ, OFS khi máy chủ ở trạng thái “Không bị tấn công”
Những địa chỉ IP nguồn nào có kết nối hoàn
thành quá trình 3HS được đưa vào danh sách địa chỉ tin cậy Trusted_IPs. Những gói tin SYN đến từ
nguồn tin cậy sẽ được chuyển đến máy chủ.
- Xác thực địa chỉ IP nguồn của gói tin SYN bằng kỹ thuật RST Cookie: Những gói tin từ địa chỉ

không có trong Trusted_IPs sẽ được xác thực địa chỉ IP nguồn trước khi lưu chuyển đến kết nối với máy
chủ.
3.5.4. Phân tích và đánh giá hiệu năng

Để so sánh, đánh giá hiệu năng của SSG so với
cơ chế CM, testbed như trong Hình 3.20 được
triển khai với lưu lượng tấn công sử dụng công cụ
BoNeSi phát với tốc độ SYN Flood khác nhau từ
100 pps đến 5.500 pps, lưu lượng lành tính từ một
ứng dụng kết nối với máy chủ FTP.
- Tỷ lệ kết nối thành công SCR, thời gian kết
nối trung bình ART: Kết quả đo được thể hiện
trong Hình 3.21. So sánh với Openflow và cơ chế
CM, SSG chịu đựng tấn công tốt hơn khi duy trì
tỷ lệ SCR ở 98% dưới tấn công ở tốc độ 5.500 pps Hình 3.20. Cấu trúc testbed đánh giá giải pháp SSG
trong khi CM ở mức dưới 20%, còn Openflow chỉ
đạt ở mức 3% dưới tấn công tốc độ 1.500 pps và không thể kết nối tới máy chủ khi tốc độ tấn công ở
mức 2.000pps. Khi tốc độ tấn công thấp (từ mức 100 pps đến 700 pps), thời gian ART của SSG có chút
cao hơn so với cơ chế CM. Nguyên nhân là do trong SSG, client phải gửi lại gói tin yêu cầu SYN lần

22


thứ hai khi địa chỉ IP của nó không nằm trong
danh sách địa chỉ IP tin cậy Trusted_IPs.
- Sự chiếm dụng tài nguyên trên OFS và bộ
phân tích lưu lượng SD: Kết quả Hình 3.22 cho
thấy SSG có mức chiếm dụng tài nguyên trên
OFS thấp hơn so với CM và thấp hơn nhiều so
với Openflow khi chịu tấn công SYN Flood.

Mức chiếm dụng tài nguyên trên SD ổn định,
không bị ảnh hưởng nhiều bởi tấn công.
- Mức độ gia tăng lưu lượng trên giao diện
bộ chuyển mạch: Sự di chuyển chức năng giám
sát 3HS từ OFS ra thực hiện trên thiết bị SD
độc lập gây ra sự gia tăng về tổng lưu lượng
trên các giao diện của OFS. Kết quả phân tích
và dựa trên lưu lượng thực tế CAIDA của một
bộ chuyển mạch biên cho thấy mức độ gia tăng
lưu lượng là không đáng kể khi nếu tất cả máy
chủ nội bộ chịu tấn công SYN Flood ở tốc độ
5500 pps, mức độ gia tăng lưu lượng ở mức
2.5%.
- Mức độ giảm lưu lượng trên giao diện
Openflow và giảm tải trên bộ điều khiển: SSG
giám sát quá trình 3HS và chỉ cài đặt các mục
luồng cho các kết nối thực hiện thành công quá
trình 3HS. Nguyên tắc này ngăn sự chiếm dụng
tài nguyên vô ích bởi các mục luồng được tạo
ra từ các gói tin giả mạo địa chỉ IP nguồn. Kết
quả phân tích cho thấy tổng số bản tin cài đặt
mục luồng TCP trên giao diện Openflow giảm
đi một nửa so với cơ chế CM, giúp SSG tăng
khả năng chịu đựng tấn công SYN Flood.

Hình 3.21. Tỷ lệ kết nối thành công và thời gian kết
nối trung bình của kết nối lành tính

3.6. Kết luận chương
- Các giải pháp phát hiện và giảm thiểu tấn

công DDoS dựa trên dữ liệu thống kê và cơ chế
xử lý gói tin của SDN/Openflow có ưu điểm là
đơn giản, dễ triển khai nhưng còn tồn tại một
số nhược điểm cố hữu làm giảm độ chính xác
phát hiện và phân loại, giới hạn quy mô lưu
lượng hệ thống mạng có thể áp dụng, dễ bị lợi
dụng thành mục tiêu tấn công DDoS.
- Kiến trúc SDN/Openflow mở rộng trong đó
bổ sung bộ phân tích và xử lý lưu lượng SD có
thể khắc phục vấn đề trên. Sự kết hợp bộ SD
trong mạng SDN/Openflow có ưu điểm:
• Có thể chuyển các mẫu gói tin mong
muốn từ OFS tới bộ điều khiển không qua

Hình 3.22. Mức độ chiếm dụng tài nguyên bộ nhớ và
CPU trên OFS, SD dưới tấn công SYN Flood

23