Tải bản đầy đủ (.pdf) (12 trang)
  1. Trang chủ
    2. >>
  2. Văn bản luật
    3. >>
  3. Quyền dân sự

Giảm thiểu ảnh hưởng của các tấn công từ chối dịch vụ phân tán vào các website

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.45 MB, 12 trang )

<span class='text_page_counter'>(1)</span><div class='page_container' data-page=1>

1
ĐẠI HỌC QUỐC GIA HÀ NỘI


<b>TRƢỜNG ĐẠI HỌC CÔNG NGHỆ </b>


<b>NGUYỄN VĂN LINH </b>


<b>GIẢM THIỂU ẢNH HƢỞNG CỦA CÁC TẤN CÔNG TỪ CHỐI </b>


<b>DỊCH VỤ PHÂN TÁN VÀO CÁC WEBSITE </b>



<b>LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN </b>


</div>
<span class='text_page_counter'>(2)</span><div class='page_container' data-page=2>

2
ĐẠI HỌC QUỐC GIA HÀ NỘI


<b>TRƢỜNG ĐẠI HỌC CÔNG NGHỆ </b>


<b>NGUYỄN VĂN LINH </b>


<b>GIẢM THIỂU ẢNH HƢỞNG CỦA CÁC TẤN CÔNG TỪ CHỐI </b>


<b>DỊCH VỤ PHÂN TÁN VÀO CÁC WEBSITE </b>



Ngành: Công nghệ thông tin


Chuyên ngành: Truyền dữ liệu và mạng máy tính
Mã số:


<b>LUẬN VĂN THẠC SĨ CƠNG NGHỆ THÔNG TIN </b>


<b>NGƢỜI HƢỚNG DẪN KHOA HỌC: TIẾN SĨ NGUYỄN ĐẠI THỌ </b>



</div>
<span class='text_page_counter'>(3)</span><div class='page_container' data-page=3>

3


<b>LỜI CAM ĐOAN </b>



Tơi xin cam đoan: Luận văn này là cơng trình nghiên cứu thực sự của cá nhân
tôi, đƣợc thực hiện dƣới sự hƣớng dẫn khoa học của Tiến sĩ Nguyễn Đại Thọ.


Các số liệu, những kết luận nghiên cứu đƣợc trình bày trong luận văn này
trung thực do tôi thực hiện không sao chép kết quả của bất cứ ai khác. Tôi xin chịu
trách nhiệm về nghiên cứu của mình.


Học viên


</div>
<span class='text_page_counter'>(4)</span><div class='page_container' data-page=4>

4
<b>LỜI CẢM ƠN </b>


Đầu tiên tôi xin gửi lời cảm ơn chân thành đến các thầy, cô trƣờng Đại học
Công nghệ - Đại học Quốc gia Hà Nội đã nhiệt tình giảng dạy và hƣớng dẫn tơi
trong thời gian học tập tại trƣờng.


<b>Tiếp đó, tơi xin bày tỏ lịng biết ơn sâu sắc tới thầy TS.Nguyễn Đại Thọ đã </b>
nhiệt tình hƣớng dẫn, tích cực phân tích, lắng nghe và phản biện giúp tơi hiểu và đi
đúng hƣớng để có thể hồn thành bài khóa luận này.


<b>Tơi cũng xin gửi lời cảm ơn đến GS.TS. Đỗ Văn Tiến – Đại học BME – </b>
Hungary đã nhiệt tình cố vấn và định hƣớng giúp tơi trong q trình nghiên cứu,
đánh giá kết quả thu đƣợc đảm bảo tính khoa học và tin cậy.


Mặc dù đã rất cố gắng để hồn thiện bài khóa luận này song khơng thể khơng
có những thiếu sót, rất mong nhận đƣợc sự góp ý và nhận xét từ các thầy, cơ và các


bạn.


Một lần nữa, tôi xin chân thành cảm ơn thầy cô.


<b>Học viên thực hiện </b>


</div>
<span class='text_page_counter'>(5)</span><div class='page_container' data-page=5>

5
<b>TÓM TẮT </b>


Phân loại lƣu lƣợng truy vấn hợp lệ và tấn công dựa trên các đặc điểm hành vi
truy cập của ngƣời dùng là một trong các phƣơng pháp hiệu quả để phịng chống tấn
cơng DDoS với chi phí rẻ, dễ triển khai mà khơng phải can thiệp vào cấu trúc mạng,
giao thức. Tuy vậy những đề xuất, kết quả nghiên cứu trƣớc đó vẫn tồn tại những
hạn chế, do sử dụng các kết quả thống kê về hành vi truy cập đã khá lỗi thời. Hiện
nay sự xuất hiện của công nghệ WebCache, Ajax, RSS, nén và giải nén... đã làm
thay đổi phƣơng thức tải dữ liệu cũng nhƣ hành vi tƣơng tác của ngƣời dùng với
web dẫn đến các thuộc tính về hành vi truy cập này cũng thay đổi. Vì vậy trong luận
văn này, chúng tôi chứng minh rằng khi sử dụng mơ hình dữ liệu mới thì các
phƣơng pháp cũ cho kết quả phát hiện sai truy cập hợp pháp là tấn cơng tƣơng đối
lớn. Từ đó chúng tôi giới thiệu một đề xuất mới dựa trên việc sử dụng các bẫy thời
gian, thống kê tần xuất các yêu cầu tải trang cũng nhƣ độ lớn của các đối tƣợng tải
trong mỗi khoảng thời gian đƣợc phân chia hợp lý, phân biệt với những thuộc tính
có tính chất lặp lại liên tục, có hệ thống của lƣu lƣợng tấn cơng. Thơng qua q trình
mô phỏng và kết quả thu đƣợc sẽ chứng minh tính hiệu quả của phƣơng pháp cũng
nhƣ đảm bảo độ tin cậy, tỉ lệ phát hiện sai chấp nhận đƣợc.


</div>
<span class='text_page_counter'>(6)</span><div class='page_container' data-page=6>

6
ABSTRACT


Distinguish legitimate clients and malicious traffic on behavioral model of


legitimate users is one of the effective methods to prevent DDoS attacks with low
cost, easy to deploy without any intervention to network architecture, protocols ...
However previous research results remains limited due to the out-of-dated
behavioral model of web traffic. At present, the web has advanced with the
emergence of many new techniques WebCache, Ajax, RSS, compress model ... has
changed the way of transferring data and interacting of user on website as well as
the charisteristics of behavioral model of Web traffic. This thesis will demonstrate
that using old model makes steadily increasing of false positive rate of previous
filter. Therefore we propose a novel approach and architecture to attenuate
attacker’s bandwidth tried to fake legal user’s traffic. Goal is to use trap time and
frequency of the request page as well as the magnitude of the object loaded in
dynamic period to utilizes these properties of legitimate client traffic as well as
penalize deterministic zombie traffic tends to be repeated and continuous. Through
extensive simulation results show that it can defeat attack traffic effectively as well
as ensure the reliability with acceptable false negative or false positive rate.


</div>
<span class='text_page_counter'>(7)</span><div class='page_container' data-page=7>

7
<b>MỤC LỤC </b>


LỜI CAM ĐOAN ... 3


TÓM TẮT ... 5


MỤC LỤC ... 7


DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT ... 10


DANH MỤC CÁC HÌNH VẼ, ĐỒ THỊ ... 12


MỞ ĐẦU ... 14



CHƢƠNG I: TỔNG QUAN VỀ CƠ SỞ CỦA ĐỀ TÀI ... 16


1.1 Giới thiệu ... 16


1.1.1 Lý do chọn chủ đề giảm thiểu thiệt hại từ tấn công DDoS ... 16


1.1.2 Phạm vi nghiên cứu ... 16


1.2 Những kết quả của các nghiên cứu liên quan và đánh giá ... 18


1.2.1 Phƣơng pháp tấn công DDoS ... 18


1.2.2 Những nghiên cứu làm giảm thiểu thiệt hại do tấn cơng DDoS ... 21


1.3 Thách thức và bài tốn cần giải quyết ... 22


1.4 Định hƣớng giải quyết bài tốn ... 23


CHƢƠNG II: MƠ HÌNH HĨA LƢU LƢỢNG WEB ... 25


2.1 Giới thiệu ... 25


2.2 Các nghiên cứu về mơ hình hóa lƣu lƣợng Web ... 26


2.2.1 Mơ hình B.Mah ... 26


2.2.2 Mơ hình Choi & Lim ... 27


2.2.3 Mơ hình Lee & Gupta ... 29



2.2.4 Các mơ hình khác ... 30


2.3 Vai trị ảnh hƣởng của cơng nghệ mới trong mơ hình lƣu lƣợng hiện đại ... 32


</div>
<span class='text_page_counter'>(8)</span><div class='page_container' data-page=8>

8


2.3.2 Ajax... 34


2.4 Chọn lựa mơ hình hóa phù hợp ... 37


CHƢƠNG III: ĐỀ XUẤT CẢI TIẾN VÀ GIẢI PHÁP ... 38


3.1 Phân tích ... 38


3.1.1 Bài tốn cần chứng minh ... 38


3.1.2 Mệnh đề 1 ... 39


3.1.3 Mệnh đề 2 ... 43


3.2 Chiến thuật phân loại lƣu lƣợng hợp lệ và lƣu lƣợng tấn công ... 43


3.2.1 Bẫy thời gian ... 43


3.2.2 Bẫy tần suất ... 47


3.2.3 Trạng thái tối thiểu ... 51


3.2.4 Hàng đợi ƣu tiên ... 56



3.2.5 Mô phỏng lƣu lƣợng hợp lệ ... 56


3.3 Kiến trúc hệ thống mới ... 57


3.3.1 Kiến trúc cơ bản ... 57


3.3.2 So sánh với các kiến trúc khác ... 59


3.4 Thiết kế giải thuật ... 61


3.4.1 Giải thuật ... 61


3.4.2 Độ phức tạp của thuật toán ... 64


3.4.3 Độ tin cậy của phƣơng pháp ... 64


3.4.4 Sơ đồ hoạt động cơ bản ... 64


CHƢƠNG IV: MÔ PHỎNG VÀ ĐÁNH GIÁ ... 67


4.1 Thực hiện mơ phỏng... 67


4.1.1 Mơ hình mơ phỏng ... 67


4.1.2 Chƣơng trình mơ phỏng, u cầu thiết bị và cấu hình ... 67


</div>
<span class='text_page_counter'>(9)</span><div class='page_container' data-page=9>

9


4.1.4 Tham số đo đạc ... 69



4. 2 Tiến hành mô phỏng ... 70


4.2.1 Kịch bản 1: Áp dụng mơ hình lƣu lƣợng mới ... 70


4.2.4 Kịch bản 2: Áp dụng bộ lọc mới cho các dạng tấn công ... 74


4.2.5 Hiệu quả sử dụng tài nguyên ... 79


4.3 Đánh giá kết quả nghiên cứu ... 80


KẾT LUẬN VÀ HƢỚNG PHÁT TRIỂN ... 82


</div>
<span class='text_page_counter'>(10)</span><div class='page_container' data-page=10>

10
DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT


AOP Average Off Period - thời gian trung bình của giai đoạn OFF


ACK Acknowledgement


ASM Anti-Spoofing Mechanism – Cơ chế chống giả mạo


Bot-net Mạng lƣới các máy bị chiếm quyền điều khiển sử dụng làm công
cụ tấn công DDOS


Client Máy khách của ngƣời dùng


DOS Denial-of-service, tấn công từ chối dịch vụ


DDoS Distributed Denial-of-service, tấn công từ chối dịch vụ phân tán


False-Positive <sub>Trƣờng hợp một đánh giá cho rằng kết quả là đúng, trong khi </sub>


thực tế kết quả là sai


Firewall <sub>Tƣờng lửa </sub>


ISP <sub>Internet Service Provider, nhà cung cấp dịch vụ mạng internet </sub>
ICMP <sub>Internet control message protocol </sub>


HTML <sub>Hypertext Markup Language - Ngôn ngữ đánh dấu siêu văn bản </sub>
HTTP <sub>Hypertext Transfer Protocol: giao thức truyền tải siêu văn bản </sub>
LDOS <sub>Low-rate Denial-of-service, tấn công từ chối dịch vụ tốc độ thấp </sub>
NAT <sub>Network address translation – Kĩ thuật dịch địa chỉ IP riêng – </sub>


private sang địa chỉ IP công khai – public nhằm sử dụng chung
địa chỉ IP công khai cho một mạng riêng


RTT <sub>Round Trip Time, là khoảng thời gian một tín hiệu hoặc một gói </sub>
tin chạy từ Source đến Destination và quay ngƣợc lại


RTO <sub>Retransmission Timeout, khoảng thời gian truyền lại gói tin nếu </sub>
khơng nhận đƣợc phản hồi


Request <sub>Yêu cầu </sub>


</div>
<span class='text_page_counter'>(11)</span><div class='page_container' data-page=11>

83

<b>TÀI LIỆU THAM KHẢO </b>



<b>Tiếng Anh </b>



<i>1. Arbor Networks (2014), ATLAS DDoS Attack Data </i>


<i>2. Wikepedia, Denial of Service Attack. </i>


<i>3. US-CERT (2014), a novel UDP Port Denial-of-Service Attack, New York. </i>
<i>4. Ehud Doron, Avishai Wool (2011), WDA: A Web farm Distributed Denial Of </i>


<i>Serv-ice attack attenuator, Computer Networks, 1037–1051 </i>


<i>5. A. Kuzmanovic, E.W. Knightly (2003), Low-rate TCP-targeted denial of </i>


<i>service attacks: the shrew vs. the mice and elephants, in: SIGCOMM, pp. </i>


75–86


<i>6. R.K.C. Chang (2005), On a new class of pulsing denial-of-service attacks </i>


<i>and the defense, in: NDSS </i>


<i>7. R.Sherwood, B. Bhattacharjee, R. Braud (2005), Misbehaving TCP receivers </i>


<i>can cause Internet-wide congestion collapse, in: ACM Conference on </i>


Computer and Communications Security, pp. 383–392


<i>8. J. Mirkovic, G. Prier, P.L. Reiher (2002), Attacking DDOS at the Source, </i>
ICNP


9. Roshan Thomas, Brian Mark, Tommy Johnson, James Croall (2003),



<i>NetBouncer: Client-legitimacy-based High-performance DDoS Filtering, in: </i>


DISCEX


<i>10. A. Bremler-Barr, N. Halachmi, H. Levi (2006), Aggressiveness Protective </i>


<i>Fair Queueing for Bursty Applications, IWQoS </i>


<i>11. Y. Kim, W.-C. Lau, M.C. Chuah, H.J. Chao (2004), Packetscore: </i>


<i>statisticalbased overload control against distributed denial-of-service </i>
<i>attacks, INFOCOM </i>


12. Changwang Zhang, Zhiping Cai, Weifeng Chen, Xiapu Luo, Jianping Yin
<i>(2005), Flow level detection and filtering of low-rate DDoS, Computer </i>
Networks, Volume 56, pp. 3417–3431


13. S.Ihm,V.Pai (2011), Towards understanding Modern Web
Traffic,Proceed-ings, of the 2011 ACM SIGCOMM conference on Internet measurement
conference, Pages 295-312


<i>14. J.Lee & M.Gupta (2012), A new traffic model for current user web browsing </i>
behavior, Intel Press


<i>15. K.Choi & J.Lim (1999),A Behavioral of Web Traffic, Journal of Computer </i>
Networks


</div>
<span class='text_page_counter'>(12)</span><div class='page_container' data-page=12>

84
<i>17. V. Vasilakos, Long Jin (2013), Understanding User Behavior in Online </i>



<i>Social Networks: A Survey, Communications Magazine </i>


<i>18. Paolo Losi, Wfq implementation, </i>


/>


<i>19. The Network Simulator, NS2, </i>


/>


<i>20. M.Cha (2007), I tube, you tube, everybody tubes: analyzing the world's </i>


<i>largest user generated content video system, Proceeding IMC '07 Proceedings of </i>


</div>

<!--links-->

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×