Phân tích và mô hình hóa tấn công từ chối dịch vụ phân tán

Sự ra đời của Internet kéo theo rất nhiều các dịch vụ, ứng dụng được xây dựng, hỗ trợ con người trong công việc một cách tốt nhất với khả năng truyền đạt thông tin đa dạng, với nhiều kiể

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

Người hướng dẫn khoa học: PGS TSKH Hoàng Đăng Hải

Phản biện 1: ……… Phản biện 2: ………

Luận văn sẽ được bảo vệ trước Hội đồng chấm luận văn thạc sĩ tại Học viện Công nghệ Bưu chính Viễn thông

Vào lúc: giờ ngày tháng năm

Có thể tìm hiểu luận văn tại:

- Thư viện của Học viện Công nghệ Bưu chính Viễn thông

ơ

HÀ NỘI - 2013

LỜI CẢM ƠN

Lời đầu tiên của bản luận văn này cho phép em được bày tỏ lòng cảm ơn sâu sắc đối với thầy giáo PGS.TSKH.Hoàng Đăng Hải, Phó Giám đốc Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) đã chỉ bảo tận tình đầy trách nhiệm cho các ý kiến chỉ đạo trong suốt quá trình làm khóa luận, đã động viên, tạo điều kiện thuận lợi để em hoàn thành khóa luận này

Em xin chân thành cảm ơn các thầy, cô khoa Quốc tế và đào tạo sau đại học Đặc biệt, Em cũng xin bày tỏ lòng biết ơn sâu sắc các thầy giáo, cô giáo tham gia giảng dạy lớp Cao học Công nghệ Thông tin, người đã truyền đạt những kiến thức bổ ích và lý thú giúp ích cho em trên con đường học tập của mình

Chân thành cảm ơn lãnh đạo trường sư phạm kỹ thuật Hưng Yên, đồng nghiệp luôn tạo điều kiện thuận lợi và hỗ trợ em trong suốt quá trình học tập, cung cấp nhiều tư liệu và các kiến thức về nghiệp vụ giúp cho khóa luận của em có kết quả tốt

Cuối cùng xin cảm ơn sự ủng hộ của gia đình và bạn bè cùng khoa đã đóng góp ý kiến quý báu, động viên, giúp đỡ cho việc hoàn thành khóa luận này

Hà Nội, ngày 24 tháng 1 năm 2013

Nguyễn Văn Hạnh

MỞ ĐẦU

Internet có vai trò to lớn đối với đời sống con người hiện nay, giúp cho quá trình trao đổi thông tin, truyền thông trở nên nhanh chóng, hiệu quả và có tính tương tác cao Sự ra đời của Internet kéo theo rất nhiều các dịch vụ, ứng dụng được xây dựng, hỗ trợ con người trong công việc một cách tốt nhất với khả năng truyền đạt thông tin đa dạng, với nhiều kiểu

dữ liệu như: Hình ảnh, âm thanh, video Khi Internet ngày càng phát triển, phạm vi ứng dụng của Web ngày càng mở rộng thì khả năng xuất hiện lỗi và bị tấn công càng cao, trở thành đối tượng cho tấn công với các ý đồ, mục đích khác nhau, nhằm vào tất cả các máy tính có mặt trên Internet, các tổ chức quân sự, ngân hàng, các trang thông tin điện tử lớn…

Có rất nhiều các kiểu tấn công nhưng thời gian gần đây nổi trội nên là kiểu tấn công

vô cùng phổ biến và tỏ ra rất là nguy hiểm, đó là các cuộc tấn công từ chối dịch vụ phân tán (Distributed Denial of Service-DDoS) Các hacker sử dụng phương pháp tấn công này để tấn công vào các trang web của các chính phủ, doanh nghiệp lớn, các thiết bị của các công

ty lớn làm cho các hệ thống máy chủ này bị tê liệt và không còn khả năng phục vụ

Mục tiêu của luận văn là nghiên cứu tìm hiểu về bản chất của tấn công DDoS, phân tích và mô hình hóa tấn công, xây dựng mô hình bảo vệ chống tấn công DDoS và thử nghiệm đánh giá kết quả thông qua mô phỏng

Luận văn sử dụng các phương pháp phân tích, phương pháp mô hình hoá, giải thuật, phương pháp mô phỏng, thực nghiệm, phân tích, đánh giá…

Cấu trúc của luận văn gồm 4 chương chính:

Chương 1: Tổng quan về tấn công DoS và DDoS Chương này trình bày khái quát về các kiểu tấn công DoS và DDoS điển hình, một số công cụ tấn công DDoS điển hình Nội dung chương tập trung chủ yếu vào các kiểu tấn công DDoS

Chương 2: Phân tích, mô hình tấn công DDoS Chương trình bày các đặc tính của tấn công DDoS, phân tích mô hình mạng Botnet, các mô hình tấn công DDoS điển hình

Chương 3: Mô hình bảo vệ chống tấn công DDoS Trong chương này, bài trình bày các vấn đề khi xây dựng hệ thống chống DDoS, các đặc trưng của mô hình, mô hình hóa

Chương 4: Mô phỏng phát hiện tấn công và chống tấn công DDoS Bài thực hiện mô phỏng với công cụ NeSSi2 của trưởng Đại học TU Berlin (CHLB Đức)

Chương 1 - TỔNG QUAN VỀ TẤN CÔNG TỪ CHỐI DỊCH VỤ

DoS/DDoS

1.1 Khái niệm chung về tấn công từ chối dịch vụ.

Tấn công từ chối dịch vụ là sự cố gắng làm cho tài nguyên của một máy tính không thể sử dụng được nhằm vào những người dùng của nó Mặc dù phương tiện để tiến hành, động cơ, mục tiêu của tấn công từ chối dịch vụ là khác nhau, nhưng nói chung nó gồm có sự phối hợp, sự cố gắng ác ý của một người hay nhiều người để chống lại Internet site hoặc service (dịch vụ Web) vận hành hiệu quả hoặc trong tất cả, tạm thời hay một cách không xác định Thủ phạm tấn công từ chối dịch vụ nhằm vào các mục tiêu site hay server tiêu biểu như ngân hàng, cổng thanh toán thẻ tín dụng và thậm chí DNS root servers

Tấn công bằng từ chối dịch vụ DoS (Denial of Service) có thể mô tả như hành động ngăn cản những người dùng hợp pháp khả năng truy cập và sử dụng vào một dịch vụ nào đó Nó bao gồm việc làm tràn ngập mạng, mất kết nối với dịch vụ… mà mục đích cuối cùng là máy chủ (Server) không thể đáp ứng được các yêu cầu sử dụng dịch vụ từ các máy trạm (Client)

DoS có thể làm ngưng hoạt động của một máy tính, một mạng nội bộ hoặc cả một hệ thống mạng rất lớn.Về bản chất thực sự của DoS, kẻ tấn công sẽ chiếm dụng một lượng lớn tài nguyên mạng như băng thông, bộ nhớ… và làm mất khả năng xử lý các yêu cầu dịch vụ

từ các client khác

1.2 Tấn công từ chối dịch vụ phân tán DDoS

Tấn công từ chối dịch vụ phân tán (DDoS - Distributed Denial Of Service) là kiểu tấn công làm cho hệ thống máy tính hay hệ thống mạng quá tải, không thể cung cấp dịch vụ hoặc phải dừng hoạt động, song từ nhiều nguồn tấn công khác nhau, phân tán trên mạng Trong các cuộc tấn công DDoS, máy chủ dịch vụ sẽ bị "ngập" bởi hàng loạt các lệnh truy cập từ lượng kết nối khổng lồ từ nhiều máy tấn công ở nhiều nơi Khi số lệnh truy cập quá lớn, máy chủ sẽ quá tải

và không còn khả năng xử lý các yêu cầu Hậu quả là người dùng không thể truy cập vào các dịch

vụ trên các trang web bị tấn công DDoS Như vậy, sự khác biệt cơ bản giữa tấn công DoS và DDoS là DDoS sử dụng một mạng lưới tấn công rộng khắp, gồm nhiều máy tấn công nằm rải rác trên mạng (còn gọi là các máy tính ma - Zoombi, hay mạng Botnet)

1.3.1 Mạng lưới tấn công từ chối dịch vụ phân tán

1.3.1.1 Tuyển mộ mạng Agent

Trước tiên kẻ tấn công phải làm đó là xây dựng lên mạng botnet Kẻ tấn công tiến hành thăm dò những máy tính nào dễ bị lợi dụng Quá trình này được gọi là scanning Scanning có thể được làm bằng tay do kẻ tấn công sử dụng các công cụ hỗ trợ scaning như nmap Các công cụ này đang ngày càng được phát triển hoàn thiện hơn

1.3.1.2 Điều khiển mạng Agent

Khi số lượng Agent lớn, có thể lên đến hàng nghìn host Kẻ tấn công phải có những phương pháp điều khiển mạng lưới Agent Việc tìm ra những phương pháp tốt sẽ giúp kẻ tấn công dễ dàng thu thập được các thông tin và hành vi của các Agent

Ở đây có hai mô hình chính để kẻ tấn công điều khiển mạng lưới Agent

1.3.1.2 Cập nhật mã độc (malware)

Cũng như các phần mềm khác, các chương trình được cài đặt trên Handler hay Agent phải được thường xuyên cập nhật Hầu hết các công cụ DDos hiện nay đều yêu cầu kẻ tấn công gửi những dòng lệnh cập nhật trên các Handler và Agent bằng việc download các phiên bản mới hơn qua giao thức HTTP

1.3.2 Mục tiêu tấn công từ chối dịch vụ phân tán

1.3.2.2 Tấn công giao vào thức

1.3.2.4 Tấn công qua phần mềm trung gian

1.4 Nguyên lý các tấn công DDoS điển hình

- SYN flood attack

- UDP Flood attack

- Smurf attack

- DNS Zone Transfer based Flooding

- Ping based attacks

- CGI attacks (Common Gateway Interface

Tất cả những cách tấn công trên đều nhằm mục đích làm giảm chức năng của hệ thống mạng và có thể dẫn đến đánh sập hệ thống, làm hệ thống không có khả năng hoạt động Những cuộc tấn công DDoS có thể phân tán, rải rác, khiến cho việc xác định kẻ tấn công là rất khó khăn Cần phải hiểu về hành vi, hoạt động của các luồng dữ liệu trong hệ thống mạng để từ đó phát hiện sớm và có những biện pháp hiệu quả để ngăn chặn tấn công DDoS

1.5 Một số công cụ tấn công DDoS điển hình

1.6 Một số tấn công DDoS điển hình ở Việt Nam

Vào đầu tháng 2 cư dân mạng trên các diễn đàn xôn xao việc trang web của Bkav bị hacker tấn công và khiến người dùng không thể truy cập vào địa chỉ www.bkav.com.vn

Trong 2 năm gần đây, nhiều website và báo điện tử của Việt Nam bị tấn công DDoS gây ra những thiệt hại không nhỏ Cuộc chiến chống lại những cuộc tấn công từ chối dịch

vụ DDoS được coi là vô cùng khó khăn và dường như không thể có biện pháp ngăn chặn hoàn toàn

Trang hvaonline.net (HVA), một trong các diễn đàn hacker lớn nhất tại Việt Nam thông báo bị tấn công từ chối dịch vụ (DDOS) tới 2 lần chỉ trong nửa đầu tháng 6/2011

- Ngày nay mục tiêu chính của tấn công là doanh nghiệp lớn, doanh nghiệp kinh doanh trực tuyến …dự báo trong thời gian sắp tới các cuộc tấn công DDoS cũng nhằm vào khối các cơ quan Chính phủ, tài chính công, làm đình trệ việc cung cấp dịch vụ, gây thiệt hại nặng nề cho nền kinh tế, xã hội…

1.7 Tóm tắt chương

Chương 1 của luận văn đã giới thiệu khái quát về các kiểu tấn công DoS và DDoS điển hình, một số công cụ tấn công DDoS điển hình Nội dung chương tập trung chủ yếu vào các kiểu tấn công DDoS Chương 2 tiếp theo sẽ đi sâu phân tích mô hình tấn công DDoS

Chương 2 - PHÂN TÍCH MÔ HÌNH TẤN CÔNG

TỪ CHỐI DỊCH VỤ PHÂN TÁN

2.1 Các đặc tính của tấn công DDoS

Tấn công DDoS là cuộc tấn công từ một hệ thống các máy tính cực lớn trên Internet Thường dựa vào các dịch vụ có sẵn trên các máy tính trong mạng botnet Chúng có các đặc điểm chính như sau:

- Các dịch vụ tấn công được điều khiển từ những máy nạn nhân sơ cấp ("primary victim") là các máy lây nhiễm mã độc ban đầu, trong khi các máy tính bị chiếm quyền sử dụng trong mạng Bot (máy bị lây lan khác) được sử dụng để tấn công thường được gọi là máy nạn nhân thứ cấp ("secondary victims")

- DDoS là dạng tấn công rất khó có thể phát hiện bởi tấn công này được sinh ra từ nhiều địa chỉ IP trên Internet

- Nếu một địa chỉ IP tấn công một công ty, nó có thể được chặn bởi Firewall Nếu nó

từ 30.000 địa chỉ IP khác, thì điều này là vô cùng khó khăn

2.2 Mô hình mạng Botnet

2.2.1 Đặc trưng của mạng Botnet

- Bot (hay Internet bot, còn gọi là robot) là một ứng dụng phần mềm thực thi các nhiệm vụ đặc biệt theo yêu cầu của tin tặc một cách tự động và lan truyền qua Internet

- Mạng Bot là những chương trình tương tự Trojan backdoor cho phép kẻ tấn công sử dụng máy của nạn nhân (Victim) như là những Zoombie (máy tính thây ma – máy tính bị chiếm quyền điều khiển hoàn toàn) và chúng chủ động kết nối với một Server để dễ dàng điều khiển Cần lưu ý chữ “chủ động” vì đó là một đặc điểm khác của bot so với trojan backdoor Chính vì sự chủ động này mà máy tính bị cài đặt chúng kết nối trở nên chậm chạp

, Một đặc điểm giúp ta dễ dàng nhận diện bot

- Mạng botnet là một mạng rất lớn gồm hàng trăm hàng ngàn máy tính Zombie kết nối với một máy chủ mIRC (Internet Replay Chat) qua các máy chủ DNS để nhận lệnh từ hacker một cách nhanh nhất Các mạng bot gồm hàng ngàn “thành viên” (gọi tắt là bot hay robot) là một công cụ lý tưởng cho các cuộc giao tranh trên mạng như DDOS, spam, cài đặt các chương trình quảng cáo

2.2.2 Các dạng của mạng Botnet: Agobot/Phatbot/Forbot/XtremBot,

SDBot/Rbot/UrBot/UrXbot, mIRC-Based Bots – GT-Bots

2.2.3 Phân tích các bước thiết lập Botnet.

Để hiểu hơn về xây dựng hệ thống mạng BotNet chúng ta nghiên cứu từ cách lây nhiễm vào một máy tính, cách tạo ra một mạng Bot và dùng mạng Bot này tấn công vào một đích nào đó của mạng Botnet được tạo ra từ Agobot‟s

Bước 1: Cách lây nhiễm vào máy tính

Đầu tiên kẻ tấn công lừa cho người dùng chạy file "chess.exe", một Agobot thường copy chúng vào hệ thống và sẽ thêm các thông số trong Registry để đảm bảo sẽ chạy cùng với hệ thống khi khởi động Trong Registry có các vị trí cho các ứng dụng chạy lúc khởi động tại

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

Bước 2: Cách lây nhiễm và xây dựng tạo mạng Botnet

Sau khi trong hệ thống mạng có một máy tính bị nhiễm Agobot, nó sẽ tự động tìm kiếm các máy tính khác trong hệ thống và lây nhiễm sử dụng các lỗ hổng trong tài nguyên được chia

sẻ trong hệ thống mạng

- Chúng thường cố gắng kết nối tới các dữ liệu share mặc định dành cho các ứng dụng quản trị (administrator or administrative) ví dụ như: C$, D$, E$ và print$ bằng cách đoán usernames và password để có thể truy cập được vào một hệ thống khác và lây nhiễm

- Agobot có thể lây nhiễm rất nhanh bởi chúng có khả năng tận dụng các điểm yếu trong hệ điều hành Windows, hay các ứng dụng, các dịch vụ chạy trên hệ thống

Bước 3: Kết nối vào IRC

Bước tiếp theo của Agobot sẽ tạo ra một IRC-Controlled Backdoor để mở các yếu tố cần thiết, và kết nối tới mạng Botnet thông qua IRC-Controll, sau khi kết nối nó sẽ mở những dịch vụ cần thiết để khi có yêu cầu chúng sẽ được điều khiển bởi kẻ tấn công thông qua kênh giao tiếp IRC

Bước 4: Điều khiển tấn công từ mạng BotNet

Kẻ tấn công điều khiển các máy trong mạng Agobot download những file exe về chạy trên máy

+ Lấy toàn bộ thông tin liên quan và cần thiết trên hệ thống mà kẻ tấn công muốn + Chạy những file khác trên hệ thống đáp ứng yêu cầu của kẻ tấn công

+ Chạy những chương trình DDoS tấn công hệ thống khác

2.2.4 Sơ đồ hệ thống lây lan của mạng Botnet (Agobot)

2.3 Các mô hình tấn công DDoS

2.3.1 Mô hình tấn công Agent Handler Model

Theo mô hình này mạng tấn công (attack-network) gồm 3 thành phần: Agent, Client

và Handler

+ Client: Là software cơ sở để hacker điều khiển mọi hoạt động tấn công

+ Handler: Là một thành phần software trung gian giữa Agent và Client

+ Agent: Là thành phần software thực hiện sự tấn công mục tiêu, nhận điều khiển từ Client thông qua các Handler

+ Attacker sẽ từ Client giao tiếp với Handler để xác định số lượng agent đang online, điều chỉnh thời điểm tấn công và cập nhật các Agent Tùy theo cách attacker cấu hình attack-network, agent sẽ chịu sự quản lý của một hay nhiều Handler

Thông thường Attacker sẽ đặt Handler software trên một Router hay một server có lượng traffic lưu thông nhiều Việc này nhằm làm cho các giao tiếp giữa Client, handler và Agent khó bị phát hiện Chủ nhân thực sự của các Agent thông thường không hề hay biết họ

bị lợi dụng vào cuộc tấn công kiểu DDOS, do họ không đủ kiến thức hoặc các chương trình Backdoor Agent chỉ sử dụng rất ít tài nguyên hệ thống làm cho hầu như không thể thấy ảnh

hưởng gì đến hiệu năng của hệ thống

2.3.2 Mô hình tấn công DDoS dựa trên nền tảng IRC

multipoint đến user khác và chat thời gian thực Kiến trúc của IRC network bao gồm nhiều IRC server trên khắp internet giao tiếp với nhau trên nhiều kênh IRC network cho phép user tao ba loại kênh: Public, private, serect

+ Public channel: Cho phép user của channel đó thấy IRC name và nhận được mesage của mọi user khác trên cùng channel

+ Private channel: Được thiết kế để giao tiếp với các đối tượng cho phép Không cho phép các user không cùng channel thấy IRC name và message.Tuy nhiên, nếu user ngoài channel dùng một số lệnh locator thì có thể biết được sự tồn tại của private channel đó

+ Secret channel: Tương tự như private channel nhưng không thể xác định bằng channel locator

- IRC -Based network cũng tương tự như Agent -Handler network nhưng mô hình này sử dụng các kênh giao tiếp IRC làm phương tiện giao tiếp giữa Client và Agent Sử dụng mô hình này, kẻ tấn công còn có thêm một số lợi thế khác như:

+ Các giao tiếp dưới gạnh chat message làm cho việc phát hiện chúng vô cùng khó khăn + Các IRC traffic có thể di chuyển trên mạng với số lượng lớn mà không bị nghi ngờ Không cần phải duy trì danh sách các Agent, tin tặc chỉ cần logon vào IRC sever là đã có thể nhận được thông báo về trạng thái các Agent do các channel gửi về

Sau cùng: IRC cũng là một môi trường chỉa sẻ tệp tại điều kiện phát tán các Agent code lên nhiều máy khác Kẻ tấn công sử dụng các mạng IRC để điều khiển, khuyếch đại và

quản lý kết nối với các máy tính trong mạng Botnet

2.4 Tóm tắt chương 2

Chương 2 của luận văn đã trình bày chi tiết về mô hình tấn công DDoS, trong đó đặc biệt quan tâm đến các đặc tính của tấn công DDoS, mô hình mạng Botnet Nội dung chương cũng đã giới thiệu một số dạng Botnet điển hình; phân tích quá trình thiết lập mạng Botnet

Chương 3 - MÔ HÌNH BẢO VỆ CHỐNG TẤN CÔNG

TỪ CHỐI DỊCH VỤ PHÂN TÁN

3.1 Các vấn đề đặt ra khi xây dựng hệ thống chống DDoS

3.1.1 Những khó khăn cần giải quyết

vào điểm yếu (vulnerability) hệ thống và làm ngập mạng (flooding) Do tấn công DDoS có một số đặc tính kỹ thuật như sau, nên việc giải quyết được triệt để các cuộc tấn công DDoS luôn là điều hết sức khó khăn

- Sự phổ biến của các công cụ tấn công và đơn giản trong sử dụng

- Đa dạng của các gói tin tấn công

- Sự giả mạo IP: Làm cho các luồng dữ liệu tấn công từ các agent đến như là từ những người dùng hợp lệ Vì thế quản trị viên rất khó phân biệt để có thể phát hiện các cuộc tấn

- Lượng lưu lượng lớn, gửi với tần suất cao: Lưu lượng khổng lồ mà DDoS tạo ra không chỉ làm ngập tài nguyên của máy nạn nhân, mà còn làm quản trị viên rất khó mô tả, phân tích và tách biệt được gói tin hợp lệ và gói tin tấn công của chúng

- Số lượng lớn các Agents: Một trong những điểm mạnh của tấn công DDoS là có thể huy động được 1 số lượng lớn Agent phân tán trên toàn Internet Khi đó, luồng tấn công sẽ lan tỏa trên nhiều nhánh tới máy nạn nhân, điểm tụ tấn công sẽ gần sát nạn nhân, và hệ thống phòng thủ

sẽ rất khó có thể chống từ phía xa Ngoài ra, hệ thống Agent phân tán cũng đồng nghĩa với sự phức tạp, phong phú, khác biệt về mô hình quản lý mạng giữa các ISP khác nhau, vì thế các cơ cơ chế phòng thủ yêu cầu sự phối hợp từ nhiều nơi sẽ triển khai khó khăn hơn rất nhiều

- Những điểm yếu trên mô hình mạng Internet: Có những cơ chế, giao thức mạng mà khi thiết kế chưa lường trước được những điểm yếu có thể bị lợi dụng (ví dụ TCP SYN, ping of Death, LAND Attack…).Đôi khi là lỗi của nhà quản trị khi cấu hình các chính sách mạng chưa hợp lý

3.1.2 Thách thức khi xây dựng hệ thống phòng thủ

xảy ra từ nhiều nguồn khác nhau, đi qua toàn mạng Internet trong khi thường chỉ có một mình Victim với ít thiết bị, quyền hạn, khả năng xử lý hạn chế nên không thể đạt được hiệu quả cao Sự tấn công phân tán thì cần sự phòng thủ phân tán thì mới giải quyết triệt để được

+ Thiếu thông tin chi tiết về các cuộc tấn công thực tế: Có không nhiều thông tin về tác hại của DDoS gây lên cho các doanh nghiệp, nó thường chỉ có khi tác hại của nó là rõ ràng và doanh nghiệp không thể tự xử lý được mà phải nhờ cậy sự trợ giúp khác từ bên ngoài Vì thế lại càng ít các thông tin chi tiết, như là bản nhật ký lưu lượng (log các traffic),

sơ đồ mạng chi tiết của doanh nghiệp

+ Khó thử nghiệm trên thực tế: Những hệ thống thử nghiệm DDoS ở phòng thí nghiệm không thể phản ánh đúng thực tế rộng lớn, phong phú trên mạng Internet được Trong khi

đó nếu muốn triển khai để thử nghiệm thật qua Internet thì các điều luật không cho phép, vì tấn công DDoS không chỉ ảnh hưởng đến Victim, mà còn liên quan đến rất nhiều các thành phần khác như router, switch… của ISP quản lý ở phần lõi Mạng Còn nếu thử nghiệm luôn trên 1 hệ thống thật đang bị tấn công thì lại thiếu thông tin cần đo đạc ở Agent, Handler, Attacker…

+ Chưa có chuẩn đánh giá các hệ thống phòng thủ: Có nhiều nhà sản xuất đã công bố rằng giải pháp của họ có thể giải quết được DDoS Nhưng hiện tại vẫn chưa có một lộ trình chuẩn nào để kiểm thử các hệ thống phòng thủ DDoS Từ đó dẫn đến 2 vấn đề: Thứ nhất là những người phát triển hệ thống phòng thủ tự test chính họ, do đó những thiết kế sẽ luôn phù hợp nhất để hệ thống đó hoạt động thuận lợi Thứ hai là những nghiên cứu về DDoS không thể so sánh hiệu suất thực tế của các hệ thống phòng thủ khác nhau, thayvào đó, họ chỉ có thể nhận xét về từng giải pháp trên môi trường thử nghiệm mà thôi

- Về mặt xã hội: Một thử thách lớn khi muốn giải quyết triệt để vấn nạn tấn công DDoS là

về yếu tố xã hội Có rất nhiều điều luật về an ninh, bảo mật của nhiều đất nước, quy định của nhiều ISP khác nhau mà người triển khai khó có thể thỏa mãn tất cả để thực hiện hệ thống phòng thủ của mình Ví dụ ISP không cho biết sơ đồ chi tiết cấu hình Mạng, không cho phép chúng ta tự do cài đặt chương trình trên các router của họ… Đối với các nạn nhân của DDoS, thông thường là các doanh nghiệp, thì việc đầu tiên là họ sẽ cố gắng tự mình giải quyết, nếu thành công thì sẽ giấu kín, không công bố cho bên ngoài là mình đang bị tấn công vì lo ngại ảnh hưởng đến danh tiếng của công ty Chỉ khi nào dịch vụ của họ bị chết hẳn, không thể tự cứu thì mới liên hệ với các ISP và chính quyền

Yếu tố cuối cùng là thiếu sự thống nhất về các điều luật, chế tài xử phạt các Attacker, Handler, Agents giữa các bộ luật về Công nghệ thông tin của các nước và giữa các quy định

về bảo mật, an toàn của các Internet Service Provider

3.1.3 Mục tiêu xây dựng