Nghiên cứu các phương pháp phát hiện bất thường và xem xét khả năng ứng dụng cho hệ thống máy chủ tên miền DNS quốc gia ( VN)

Cụ thể, luận văn thực hiện việc phân tích trực tiếp các dữ liệu truy vấn tên miền, qua đó giúp phát hiện sớm và đưa ra cảnh báo kịp thời theo thời gian thực các vấn đề về an toàn an ninh

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

-

Trần Kiên

NGHIÊN CỨU CÁC PHƯƠNG PHÁP PHÁT HIỆN BẤT THƯỜNG VÀ XEM XÉT KHẢ NĂNG ỨNG DỤNG CHO

HỆ THỐNG MÁY CHỦ TÊN MIỀN DNS QUỐC GIA (.VN)

Chuyên ngành: Kỹ thuật điện tử

Mã số: 60.52.70

TÓM TẮT LUẬN VĂN THẠC SĨ

HÀ NỘI - 2011

Luận văn được hoàn thành tại:

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

Người hướng dẫn khoa học: PGS.TS Hoàng Minh

Phản biện 1: ………

Phản biện 2: ………

Luận văn sẽ được bảo vệ trước Hội đồng chấm luận văn thạc sĩ tại Học viện Công nghệ Bưu chính Viễn thông

Vào lúc: giờ ngày tháng năm

Có thể tìm hiểu luận văn tại:

- Thư viện của Học viện Công nghệ Bưu chính Viễn thông

MỞ ĐẦU

Ngày nay Internet ngày càng có vai trò quan trọng và ảnh hưởng to lớn trong

mọi mặt đời sống kinh tế xã hội Trong đó hệ thống máy chủ tên miền DNS [3] được

xem là trái tim của mạng Internet, phải được bảo vệ an toàn, đảm bảo hoạt động thông suốt, liên tục và hiệu quả Những năm gần đây, ngày càng nhiều các vụ tấn công vào hệ thống máy chủ tên miền, nhiều vụ đã gây ra những hậu quả vô cùng nghiêm trọng ảnh hưởng đến việc truy nhập Internet trên nhiều khu vực Một trong các vụ tấn công điển hình vào hệ thống DNS đã xảy ra ở Trung quốc vào ngày 20/5/2009, hệ quả làm cho truy cập Internet tại 5 tỉnh miền Bắc, duyên hải Trung Quốc đã bị ảnh hưởng nặng nề sau khi xảy ra một vụ tấn công DNS nhắm vào một công ty gây nên các yêu cầu thông

tin không trả lời làm “lụt” nhiều mạng viễn thông của Trung Quốc [25]

Ở Việt Nam, hệ thống máy chủ tên miền DNS quốc gia (.VN) do Trung tâm Internet Việt Nam (VNNIC) quản lý hơn 10 năm qua luôn hoạt động thông suốt, an toàn và hiệu quả góp phần không nhỏ vào sự phát triển của Internet Việt Nam Tuy

nhiên, hệ thống DNS luôn tiềm ẩn nhiều nguy cơ bị tấn công phá hoại, trong khi đó

chúng ta lại chưa có hệ thống phát hiện sớm các hiện tượng bất thường có khả năng ảnh hưởng đến vấn đề an toàn an ninh của hệ thống máy chủ tên miền DNS quốc gia (.VN) Do vậy, luận văn nghiên cứu các phương pháp phát hiện bất thường và xem

xét khả năng ứng dụng cho hệ thống máy chủ tên miền DNS quốc gia (.VN) rất cần thiết, có ý nghĩa thực tiễn và khả thi cao Cụ thể, luận văn thực hiện việc phân tích trực tiếp các dữ liệu truy vấn tên miền, qua đó giúp phát hiện sớm và đưa ra cảnh báo kịp thời theo thời gian thực các vấn đề về an toàn an ninh của hệ thống máy chủ tên miền DNS quốc gia (.VN)

Luận văn gồm các nội dung như sau:

- Mở đầu

- Chương 1: Tổng quan hệ thống tên miền DNS

- Chương 2: Nghiên cứu các phương pháp phát hiện bất thường

- Chương 3: Thử nghiệm cho một số máy chủ tên miền DNS quốc gia (.VN)

- Kết luận

Luận văn đã thực hiện được việc nghiên cứu phương pháp phát hiện bất thường ứng dụng cho hệ thống máy chủ tên miền DNS quốc gia (.VN) Tuy nhiên, do điều kiện thời gian và hạn chế về trình độ nên tác giả chưa nghiên cứu được phương pháp toán thống kê (Entropy) ứng dụng cho việc phân tích, xử lý dữ liệu truy vấn tên miền Tác giả mong rằng sau này có điều kiện sẽ tiếp tục nghiên cứu chuyên sâu hơn về chuyên đề này, việc ứng dụng toán thống kê sẽ giúp chúng ta giải được bài toán xử lý với khối lượng dữ liệu lớn và phức tạp mà các phương pháp thông thường khó có thể làm được

CHƯƠNG 1: TỔNG QUAN HỆ THỐNG TÊN MIỀN DNS

Tóm tắt chương

Chương 1 nghiên cứu tổng quan về hệ thống tên miền, không gian tên miền và hoạt động của hệ thống máy chủ tên miền DNS, các biểu hiện bất thường của hệ thống máy chủ tên miền DNS, nghiên cứu về hệ thống máy chủ tên miền DNS quốc gia (.VN)

do VNNIC quản lý, phân tích các vấn đề tồn tại đối với hệ thống máy chủ tên miền DNS quốc gia (.VN) và đề xuất hướng nghiên cứu của luận văn

1.1 Hệ thống tên miền DNS và các biểu hiện bất thường

1.1.1 Lịch sử phát triển của hệ thống tên miền

Vào những năm 1970, mạng máy tính ARPANET [8] chỉ bao gồm vài trăm máy

tính được kết nối với nhau Trên mạng máy tính này, một file duy nhất HOSTS.TXT được dùng để lưu các thông tin về máy tính trên mạng File này lưu giữ các thông tin ánh xạ giữa tên máy và địa chỉ của tất cả các máy nối vào mạng ARPANET Tuy nhiên, khi mạng ARPANET phát triển, cơ chế làm việc này không thích hợp và không thể đáp ứng để cập nhật các thông tin được thay đổi trên mạng Kích thước của file HOSTS.TXT thay đổi tỷ lệ thuận với số máy tính có trên mạng Khi mạng máy tính ARPANET sử dụng giao thức TCP/IP thì số lượng máy tính trên mạng bùng nổ nhanh chóng

Việc bảo trì file HOSTS.TXT trên một mạng rộng lớn ngày một khó khăn hơn Trước khi file HOSTS.TXT có thể chuyển đến một máy tính trên mạng thì máy tính này có thể đã bị thay đổi địa chỉ hay đã bị thay đổi bằng một máy tính khác

Các nhà quản lý mạng ARPANET tiến hành xây dựng một cơ cấu mới thay thế cho việc dùng file HOSTS.TXT để chuyển đổi giữa tên máy và địa chỉ của máy Hệ thống mới phải cho phép quản lý dữ liệu một cách cục bộ Việc quản lý không tập trung

sẽ loại bỏ được các vấn đề về quá tải lưu lượng đối với một máy tính khi xử lý các dữ liệu về chuyển đổi tên máy và địa chỉ Việc quản lý dữ liệu cục bộ cũng làm cho việc cập nhật dữ liệu thường xuyên được thực hiện dễ dàng hơn Hệ thống mới phải sử dụng không gian tên theo cơ cấu phân cấp để đặt tên cho các máy tính trên mạng Việc này đảm bảo được tính duy nhất về tên miền trên mạng

Hệ thống mới này do Ông Paul Mockapetris thuộc Viện Nghiên cứu Kỹ thuật Thông tin xây dựng Vào năm 1984, ông đưa ra hai tài liệu tiêu chuẩn (RFC) 882 và

883 miêu tả về hoạt động của hệ thống DNS Sau đó là hai tài liệu tiêu chuẩn (RFC)

1034 và 1035, hai RFC này xác định các chỉ tiêu hoạt động của hệ thống DNS

hệ thống tên miền

Hệ thống tên miền bao gồm các thành phần:

- Chương trình name server (máy chủ tên miền): Chương trình máy chủ tên miền

(name server) hoạt động trên cơ chế client-server lưu giữ các thông tin về một phần của toàn bộ dữ liệu tên miền và có nhiệm vụ trả lời các máy client (resolver)

về các thông tin liên quan đến tên miền

- Chương trình phân giải tên miền (Resolver): Thông thường là một chương trình

có khả năng tạo ra các câu hỏi liên quan tới tên miền và gửi chúng tới máy chủ tên miền

- Không gian tên miền: Cấu trúc của không gian tên miền DNS, được chỉ ra trong

hình 1.1 Toàn bộ cơ sở dữ liệu về tên miền được xây dựng theo cấu trúc hình cây ngược, với gốc của cây (root) là điểm khởi đầu Trong hệ thống DNS, tên của gốc (root) là một nhãn rỗng (“ ”), nhưng được viết như một dấu chấm đơn “.”

Hình 1.1 : Cấu trúc không gian tên miền

1.1.2.1 Không gian tên miền DNS

Không gian tên miền được xây dựng theo cấu trúc hình cây ngược Mỗi một

“node” trên cây thể hiện một phần của toàn bộ dữ liệu, hay một tên miền (domain) trong hệ thống tên miền Mỗi tên miền này lại có thể được chia thành các tên miền cấp thấp hơn (sub-domain), các subdomain này là “con” của các domain “mẹ” đã sinh ra chúng

Mỗi phần dữ liệu trong cơ sở dữ liệu phân bố của hệ thống DNS được gắn với một tên Các tên này là các đường trong cấu trúc dạng hình cây ngược, cấu trúc này chính là không gian tên miền (domain name space) Cấu trúc hình cây này được minh hoạ trong hình 1.1 Không gian tên miền có cấu trúc tương tự với cấu trúc hệ thống file UNIX [12] Cấu trúc cây này có một gốc ở trên cùng và được gọi là “root” Cấu trúc hình cây này cho phép không gian tên miền có thể phát triển theo bất cứ hướng nào từ các điểm giao nhau (node) Hệ thống tên miền hiện tại cho phép phát triển cấu trúc không gian tên miền này tối đa là 127 cấp

1.1.2.2 Tên miền (Domain name)

Mỗi một node trong cấu trúc hình cây được gắn với một nhãn nhất định (label) Nhãn này có thể chứa tới 63 ký tự Gốc (root) của cây không có nhãn Một tên miền đầy

đủ của một node trên cây là một chuỗi các nhãn trên đường từ node đó đến gốc (root) của cây, các nhãn này được phân cách với nhau bằng dấu chấm đơn ‘.’ Tên miền luôn được đọc theo chiều từ node đến gốc (root)

Hệ thống DNS yêu cầu các node do cùng một node mẹ sinh ra phải có tên khác nhau Hạn chế này chỉ áp dụng với các node thuộc cùng một node mẹ, với các node do hai node mẹ khác nhau sinh ra, chúng có thể trùng tên, nhưng vẫn đảm bảo tính duy nhất của một tên miền trong không gian tên miền

1.1.2.3 Miền (Domain)

Domain là một nhánh trong không gian tên miền Tên miền của domain này chính là tên miền của node gốc (root) của nhánh con trong không gian tên miền Điều này có nghĩa là tên của domain chính là tên của node ở đầu của tên miền Ví dụ điểm đầu của domain vnn.vn là node có tên vnn.vn

1.1.3 Các biểu hiện bất thường

1.1.3.1 Định nghĩa

Các biểu hiện trực tiếp trên hệ thống máy chủ tên miền DNS hoặc gián tiếp thông qua các hệ thống đo lường giám sát có kết nối làm việc với các máy chủ DNS

1.1.3.2 Các biểu hiện bất thường [5]

 Lưu lượng mạng tăng cao bất thường

 Mật độ truy vấn trên các máy chủ tên miền DNS không theo quy luật thông thường

 Truy vấn tên miền bị chậm…

1.2 Hiện trạng hệ thống máy chủ tên miền DNS quốc gia (.VN)

1.2.1 Mô hình hệ thống máy chủ tên miền DNS quốc gia (.VN) tại Việt Nam

Hệ thống DNS quốc gia do Trung tâm Internet Việt Nam quản lý có nhiệm vụ quản lý không gian tên miền cấp quốc gia vn Hệ thống DNS quốc gia có nhiệm vụ tiếp

nhận và trả lời các truy vấn tên miền VN [2]

Hiện tại hệ thống tên miền quốc gia gồm 5 cụm máy chủ đặt trong nước (2 cụm tại thành phố Hồ Chí Minh; 2 cụm tại Hà Nội và 1 cụm đặt tại Đà Nẵng), 4 cụm máy chủ đặt ở nước ngoài (tại Mỹ, Nhật, Úc và Hà Lan)

HA NOI

LAO CAI LAI CHAU YEN BAI SON LA

CA O BANG BAC C AN

LA NG SON THAI N GUY EN

HA LON G HAI PHON G THAI BINH THAN H HOA NGHE A N

V IN H

DON G HA HUE

D A NA NG

KON TUM PLEIKU QUI NHON BUON MA THU OT NHA TRANG

D A LAT PHAN RANG PHAN THIET

HO CHI MIN H VUNG TAU TAY NINH

C AO LANH CAN THO

CA MAU

Hình 1.2: Phân bổ máy chủ tên miền quốc gia

Hệ thống máy chủ DNS của các ISP có nhiệm vụ tiếp nhận và xử lý các truy vấn tên miền (gồm cả các tên miền vn và tên miền khác) Với các tên miền VN, hệ thống máy chủ tên miền của các ISP sẽ truy vấn lên hệ thống máy chủ root server và hệ thống máy chủ tên miền quốc gia để tìm kiếm thông tin và trả lời truy vấn Đối với các tên miền thông thường (tên miền cấp cao, tên miền của các quốc gia khác), hệ thống máy chủ tên miền này sẽ truy vấn lên hệ thống máy chủ root và các máy chủ tên miền khác được đặt ở nước ngoài để tìm kiếm kết quả

Hình 1.3: Phân cấp hệ thống máy chủ tên miền tại Việt Nam

1.2.2 Mô hình quản lý không gian tên miền DNS quốc gia (.VN)

Không gian tên miền vn được quản lý theo cơ chế phân cấp và chuyển giao Các tên miền cấp 2 và cấp 3 thuộc hệ thống tên miền VN sẽ được lưu giữ trên hệ thống tên miền quốc gia Các tên miền cấp 3 và cấp 4 sẽ được lưu giữ tại các hệ thống máy chủ được chuyển giao, phần lớn các máy chủ được chuyển giao này là các máy chủ của các ISP trong nước Như vậy hầu hết các tên miền quốc gia của Việt nam do các máy chủ tên miền trong nước quản lý

1.2.3 Hoạt động truy vấn tên miền

Hoạt động truy vấn tên miền tại Việt Nam gồm 2 loại: Truy vấn tên miền cấp quốc gia và truy vấn tên miền khác (tên miền cấp cao và tên miền của các quốc gia khác)

1.2.3.1 Truy vấn tên miền DNS quốc gia (.VN)

1.2.3.2 Truy vấn tên miền cấp cao

1.3 Vấn đề tồn tại và hướng nghiên cứu của đề tài

số tên miền VNNIC đã cấp, loại dịch vụ nào (A, MX, NS, CNAME) được truy vấn nhiều nhất…hoàn toàn chưa làm được

1.3.2 Hướng nghiên cứu của đề tài

Hệ thống DNS của VNNIC là hệ thống DNS quốc gia, toàn bộ truy vấn được tập trung vào hệ thống này do đó ta hoàn toàn có thể thu thập được rất nhiều thông tin qua nhật ký DNS: Chẳng hạn: Mức độ sử dụng tài nguyên Internet, tên miền nào được truy cập nhiều, thói quen người dùng Internet vào các thời điểm, vị trí địa lý… Qua đó có thể phát hiện sớm các cuộc tấn công vào hệ thống mạng DNS

Kết luận chương

Trong Chương 1, tác giả đã trình bày vắn tắt được các kiến thức cơ bản nhất về

hệ thống tên miền, các hiện tượng bất thường của hệ thống DNS, tác giả cũng đã hoàn thành nghiên cứu về hoạt động của hệ thống máy chủ tên miền Internet quốc gia (.VN), các vấn đề tồn tại đối với hệ thống máy chủ DNS (.VN) và đề xuất được hướng nghiên cứu của luận văn được trình bày trong các chương tiếp theo

CHƯƠNG 2: NGHIÊN CỨU CÁC PHƯƠNG PHÁP PHÁT HIỆN BẤT THƯỜNG

Tóm tắt chương

Chương 2 nghiên cứu 2 phương pháp phát hiện bất thường của hệ thống máy chủ tên miền DNS: (1) Phương pháp phân tích dữ liệu truy vấn DNS, (2) Phương pháp giám sát lưu lượng mạng; nghiên cứu chi tiết các giải pháp thu thập, lưu trữ, phân tích

dữ liệu, tiếp theo phân tích, so sánh ưu và nhược điểm của từng phương pháp để làm cơ

sở lựa chọn phương pháp ứng dụng cho hệ thống máy chủ tên miền DNS quốc gia (.VN)

2.1 Nghiên cứu các phương pháp phát hiện bất thường

2.1.1 Phương pháp phân tích dữ liệu truy vấn DNS

2.1.1.1 Giải pháp thu thập log DNS

2.1.1.1.1 Thu thập log trên từng máy chủ DNS

Cách duy nhất có thể thu thập số liệu truy vấn DNS là bật chế độ ghi lại nhật ký truy vấn DNS của phần mềm máy chủ DNS, ta chỉ cần thêm các lệnh sau vào file cấu hình named.conf của phần mềm DNS server, trong trường hợp này là phần mềm BIND

[7]

2.1.1.1.2 Thu thập log DNS tập trung

Như đã phân tích ở chương 1, hệ thống DNS quốc gia có nhiều máy chủ Để có thể thu thập log được từ nhiều máy chủ, tác giả xây dựng hệ thống thu thập log tập

trung sử dụng syslog [26] Thông tin truy vấn tên miền của người sử dụng gửi tới các

máy chủ DNS của VNNIC sẽ được ghi lại, gửi qua syslog đến máy chủ sysog server, máy chủ này sẽ lưu lại toàn bộ các log nhận được

Hình 2.1: Thu thập log DNS tập trung

Hiện nay, các hệ thống log trên thế giới sử dụng một số công cụ thu thập và tập trung dữ liệu log như:

- syslog-ng: Sản phẩm miễn phí của Balabit IT Security, được đánh giá là tốt nhất

và được sử dụng rộng rãi trong các hệ thống UNIX hiện nay http://www.balabit.com/products/syslog_ng

- syslogd: Phần mềm tích hợp sẵn trong các hệ thống UNIX, có cơ chế lọc kém

hơn sản phẩm trên

- wiki syslog daemon: Sản phẩm miễn phí của wikisyslog dành cho các hệ thống

Windows: http://www.kiwisyslog.com/info_syslog.htm

- snare agent: Sản phẩm của hãng Intersectalliance cho nhiều platform khác nhau

như UNIX, Linux, Windows (bản dành cho Client miễn phí) http://www.intersectalliance.com/projects/SnareWindows/index.html

Tác giả chọn giải pháp sử dụng phần mềm syslog-ng, đây là phần mềm được đánh giá là số 1 trong các phần mềm syslog, cung cấp giải pháp lưu trữ log tập trung, an toàn Việc truyền thông tin từ các máy chủ đến log server tập trung có thể truyền dạng clear text hoặc bảo mật bằng giao thức SSL

Mô hình truyền thông giữa một máy chủ DNS và máy chủ log tập trung sử dụng Syslog-ng

Hình 2.2 : Mô hình thu thập log qua syslog

2.1.1.2 Các giải pháp lưu trữ, sao lưu

Dữ liệu log DNS thu thập được là rất lớn, vì vậy cần một giải pháp lưu trữ tiên tiến, lưu trữ dữ liệu lớn và có khả năng mở rộng cao Trong phần này tác giả đi vào phân tích các giải pháp lưu trữ để lựa chọn một giải pháp lưu trữ phù hợp cho bài toán này

Hệ thống lưu trữ đóng vai trò rất quan trọng trong tổng thể hệ thống hạ tầng thông tin vì nó là nơi lưu dữ liệu của toàn hệ thống, có ý nghĩa sống còn đối với doanh nghiệp Các máy chủ ứng dụng, các máy chủ dịch vụ có thể bị hỏng hoàn toàn nhưng nếu ta giữ được hệ thống lưu trữ thì hệ thống hoàn toàn có thể khôi phục lại được nhưng ngược lại nếu ta mất hệ thống lưu trữ dữ liệu thì không gì có thể cứu vãn được Lưu trữ có thể được thực hiện theo nhiều cách: Sử dụng các ổ đĩa gắn trực tiếp vào

server cần lưu trữ, dùng các thiết bị lưu trữ ngoài hoặc xây dựng mạng dùng riêng cho lưu trữ dữ liệu Phương pháp lưu trữ dùng các ổ đĩa gắn trực tiếp đã xuất hiện và được

sử dụng từ rất lâu do tính dễ sử dụng của chúng Cùng với sự phát triển của công nghệ, đặc biệt là yêu cầu của người dùng về dữ liệu lưu trữ (dung lượng, tốc độ, khả năng khôi phục dữ liệu, ảnh hưởng của lưu trữ đến hiệu năng của toàn hệ thống), nhiều phương pháp lưu trữ mới được phát triển Mỗi phương pháp có những ưu nhược điểm riêng và được dùng cho những mục đích nhất định Một số phương pháp lưu trữ có thể

kể đến như sau:

2.1.1.2.1 Giải pháp lưu trữ trực tiếp (Direct Attached Storage - DAS)

2.1.1.2.2 Giải pháp lưu trữ mạng (Network Attached Storage - NAS)

2.1.1.2.3 Mạng lưu trữ (Storage Area Network - SAN)

2.1.1.2.4 Giải pháp sao lưu dữ liệu

Sao lưu dữ liệu là một phần không thể thiếu của các hệ thống máy tính, hệ thống lưu trữ Tác giả sử dụng giải pháp sao lưu tập trung để giảm tải cho hệ thống máy chủ,

sử dụng thư viện tape có robot điều khiển để sao lưu tự động với tốc độ cao để có thể lưu được một số lượng lớn dữ liệu nhật ký DNS

Application

servers

Hình 2.4 : Giải pháp sao lưu SAN

2.1.2 Phương pháp giám sát lưu lượng mạng

2.1.2.1 Giải pháp giám sát lưu lượng mạng

Khác với phương pháp phân tích dữ liệu truy vấn DNS thực hiện việc phân tích trực tiếp các truy vấn tên miền của người sử dụng trên các máy chủ DNS để tìm ra các vấn đề bất thường đang hoặc có nguy cơ xảy ra đối với hệ thống, phương pháp giám sát lưu lượng mạng không trực tiếp phân tích các máy chủ DNS mà thực hiện việc phân tích gián tiếp qua việc theo dõi biến động của lưu lượng mạng bằng Cacti [19 ]

Phương pháp giám sát lưu lượng mạng dễ thực hiện và không cần can thiệp trực tiếp vào các máy chủ DNS Tuy nhiên kết quả thường có độ chính xác không cao do ngoài lưu lượng DNS, hệ thống bao gồm nhiều loại lưu lượng không mong muốn khác

2.1.2.2 Giải pháp lưu trữ, sao lưu