(LUẬN văn THẠC sĩ) giảm thiểu ảnh hưởng của các tấn công từ chối dịch vụ phân tán vào các website luận văn ths công nghệ thông tin 60 48 15

Hiện nay xuất hiện nhiều hình thức tấn công DDoS tinh vi và phức tạp, một trong những cách thức tấn công hiện nay khó chống nhất là kẻ tấn công sử dụng một mạng lưới máy tính ma hay botn

NGUYỄN VĂN LINH

GIẢM THIỂU ẢNH HƯỞNG CỦA CÁC TẤN CÔNG TỪ CHỐI

DỊCH VỤ PHÂN TÁN VÀO CÁC WEBSITE

LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN

Hà Nội – Năm 2015

NGUYỄN VĂN LINH

GIẢM THIỂU ẢNH HƯỞNG CỦA CÁC TẤN CÔNG TỪ CHỐI

DỊCH VỤ PHÂN TÁN VÀO CÁC WEBSITE

Ngành: Công nghệ thông tin

Chuyên ngành: Truyền dữ liệu và mạng máy tính

Mã số:

LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN NGƯỜI HƯỚNG DẪN KHOA HỌC: TIẾN SĨ NGUYỄN ĐẠI THỌ

Hà Nội – Năm 2015

Các số liệu, những kết luận nghiên cứu đƣợc trình bày trong luận văn này trung thực do tôi thực hiện không sao chép kết quả của bất cứ ai khác Tôi xin chịu trách nhiệm về nghiên cứu của mình

Học viên

Nguyễn Văn Linh

Công nghệ - Đại học Quốc gia Hà Nội đã nhiệt tình giảng dạy và hướng dẫn tôi trong thời gian học tập tại trường

Tiếp đó, tôi xin bày tỏ lòng biết ơn sâu sắc tới thầy TS.Nguyễn Đại Thọ đã

nhiệt tình hướng dẫn, tích cực phân tích, lắng nghe và phản biện giúp tôi hiểu và đi đúng hướng để có thể hoàn thành bài khóa luận này

Tôi cũng xin gửi lời cảm ơn đến GS.TS Đỗ Văn Tiến – Đại học BME –

Hungary đã nhiệt tình cố vấn và định hướng giúp tôi trong quá trình nghiên cứu, đánh giá kết quả thu được đảm bảo tính khoa học và tin cậy

Mặc dù đã rất cố gắng để hoàn thiện bài khóa luận này song không thể không

có những thiếu sót, rất mong nhận được sự góp ý và nhận xét từ các thầy, cô và các bạn

Một lần nữa, tôi xin chân thành cảm ơn thầy cô

Học viên thực hiện

Nguyễn Văn Linh

công DDoS với chi phí rẻ, dễ triển khai mà không phải can thiệp vào cấu trúc mạng, giao thức Tuy vậy những đề xuất, kết quả nghiên cứu trước đó vẫn tồn tại những hạn chế, do sử dụng các kết quả thống kê về hành vi truy cập đã khá lỗi thời Hiện nay sự xuất hiện của công nghệ WebCache, Ajax, RSS, nén và giải nén đã làm thay đổi phương thức tải dữ liệu cũng như hành vi tương tác của người dùng với web dẫn đến các thuộc tính về hành vi truy cập này cũng thay đổi Vì vậy trong luận văn này, chúng tôi chứng minh rằng khi sử dụng mô hình dữ liệu mới thì các phương pháp cũ cho kết quả phát hiện sai truy cập hợp pháp là tấn công tương đối lớn Từ đó chúng tôi giới thiệu một đề xuất mới dựa trên việc sử dụng các bẫy thời gian, thống kê tần xuất các yêu cầu tải trang cũng như độ lớn của các đối tượng tải trong mỗi khoảng thời gian được phân chia hợp lý, phân biệt với những thuộc tính

có tính chất lặp lại liên tục, có hệ thống của lưu lượng tấn công Thông qua quá trình

mô phỏng và kết quả thu được sẽ chứng minh tính hiệu quả của phương pháp cũng như đảm bảo độ tin cậy, tỉ lệ phát hiện sai chấp nhận được

Từ khóa: Hành vi truy cập Web, DDoS, Network Security, Network Performance

ABSTRACT Distinguish legitimate clients and malicious traffic on behavioral model of legitimate users is one of the effective methods to prevent DDoS attacks with low cost, easy to deploy without any intervention to network architecture, protocols However previous research results remains limited due to the out-of-dated behavioral model of web traffic At present, the web has advanced with the emergence of many new techniques WebCache, Ajax, RSS, compress model has changed the way of transferring data and interacting of user on website as well as the charisteristics of behavioral model of Web traffic This thesis will demonstrate that using old model makes steadily increasing of false positive rate of previous filter Therefore we propose a novel approach and architecture to attenuate attacker’s bandwidth tried to fake legal user’s traffic Goal is to use trap time and frequency of the request page as well as the magnitude of the object loaded in dynamic period to utilizes these properties of legitimate client traffic as well as penalize deterministic zombie traffic tends to be repeated and continuous Through extensive simulation results show that it can defeat attack traffic effectively as well

as ensure the reliability with acceptable false negative or false positive rate

Keywords: Behavioral model of Web Traffic, DDoS, Network Security, Network Performance

MỤC LỤC

LỜI CAM ĐOAN 3

TÓM TẮT 5

MỤC LỤC 7

DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT 10

DANH MỤC CÁC HÌNH VẼ, ĐỒ THỊ 12

MỞ ĐẦU 14

CHƯƠNG I: TỔNG QUAN VỀ CƠ SỞ CỦA ĐỀ TÀI 16

1.1 Giới thiệu 16

1.1.1 Lý do chọn chủ đề giảm thiểu thiệt hại từ tấn công DDoS 16

1.1.2 Phạm vi nghiên cứu 16

1.2 Những kết quả của các nghiên cứu liên quan và đánh giá 18

1.2.1 Phương pháp tấn công DDoS 18

1.2.2 Những nghiên cứu làm giảm thiểu thiệt hại do tấn công DDoS 21

1.3 Thách thức và bài toán cần giải quyết 22

1.4 Định hướng giải quyết bài toán 23

CHƯƠNG II: MÔ HÌNH HÓA LƯU LƯỢNG WEB 25

2.1 Giới thiệu 25

2.2 Các nghiên cứu về mô hình hóa lưu lượng Web 26

2.2.1 Mô hình B.Mah 26

2.2.2 Mô hình Choi & Lim 27

2.2.3 Mô hình Lee & Gupta 29

2.2.4 Các mô hình khác 30

2.3 Vai trò ảnh hưởng của công nghệ mới trong mô hình lưu lượng hiện đại 32

2.3.1 WebCache 32

2.3.2 Ajax 34

2.4 Chọn lựa mô hình hóa phù hợp 37

CHƯƠNG III: ĐỀ XUẤT CẢI TIẾN VÀ GIẢI PHÁP 38

3.1 Phân tích 38

3.1.1 Bài toán cần chứng minh 38

3.1.2 Mệnh đề 1 39

3.1.3 Mệnh đề 2 43

3.2 Chiến thuật phân loại lưu lượng hợp lệ và lưu lượng tấn công 43

3.2.1 Bẫy thời gian 43

3.2.2 Bẫy tần suất 47

3.2.3 Trạng thái tối thiểu 51

3.2.4 Hàng đợi ưu tiên 56

3.2.5 Mô phỏng lưu lượng hợp lệ 56

3.3 Kiến trúc hệ thống mới 57

3.3.1 Kiến trúc cơ bản 57

3.3.2 So sánh với các kiến trúc khác 59

3.4 Thiết kế giải thuật 61

3.4.1 Giải thuật 61

3.4.2 Độ phức tạp của thuật toán 64

3.4.3 Độ tin cậy của phương pháp 64

3.4.4 Sơ đồ hoạt động cơ bản 64

CHƯƠNG IV: MÔ PHỎNG VÀ ĐÁNH GIÁ 67

4.1 Thực hiện mô phỏng 67

4.1.1 Mô hình mô phỏng 67

4.1.2 Chương trình mô phỏng, yêu cầu thiết bị và cấu hình 67

4.1.3 Kịch bản mô phỏng 68

4.1.4 Tham số đo đạc 69

4 2 Tiến hành mô phỏng 70

4.2.1 Kịch bản 1: Áp dụng mô hình lưu lượng mới 70

4.2.4 Kịch bản 2: Áp dụng bộ lọc mới cho các dạng tấn công 74

4.2.5 Hiệu quả sử dụng tài nguyên 79

4.3 Đánh giá kết quả nghiên cứu 80

KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 82

TÀI LIỆU THAM KHẢO 83

DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT

AOP Average Off Period - thời gian trung bình của giai đoạn OFF

ASM Anti-Spoofing Mechanism – Cơ chế chống giả mạo Bot-net Mạng lưới các máy bị chiếm quyền điều khiển sử dụng làm công

cụ tấn công DDOS Client Máy khách của người dùng DOS Denial-of-service, tấn công từ chối dịch vụ DDoS Distributed Denial-of-service, tấn công từ chối dịch vụ phân tán False-Positive Trường hợp một đánh giá cho rằng kết quả là đúng, trong khi

thực tế kết quả là sai Firewall Tường lửa

ISP Internet Service Provider, nhà cung cấp dịch vụ mạng internet ICMP Internet control message protocol

HTML Hypertext Markup Language - Ngôn ngữ đánh dấu siêu văn bản HTTP Hypertext Transfer Protocol: giao thức truyền tải siêu văn bản LDOS Low-rate Denial-of-service, tấn công từ chối dịch vụ tốc độ thấp NAT Network address translation – Kĩ thuật dịch địa chỉ IP riêng –

private sang địa chỉ IP công khai – public nhằm sử dụng chung địa chỉ IP công khai cho một mạng riêng

RTT Round Trip Time, là khoảng thời gian một tín hiệu hoặc một gói

tin chạy từ Source đến Destination và quay ngược lại RTO Retransmission Timeout, khoảng thời gian truyền lại gói tin nếu

không nhận được phản hồi

Response Đáp ứng

QoS Quality of service – Chất lƣợng dịch vụ Session Phiên làm việc

STH Session threshold - Ngƣỡng của phiên hiện tại TCP Transmission Control Protocol - Giao thức điều khiển truyền tin TCP SYN Gói TCP SYN (đồng bộ hóa)

DANH MỤC CÁC HÌNH VẼ, ĐỒ THỊ

Hình 1 Mô hình tấn công DDoS sử dụng mạng máy tính ma botnet 18

Hình 2 Cách xác định mối liên hệ giữa hai kết nối HTTP [16] 27

Hình 3 Mô hình tổng quát của tương tác trình duyệt và máy chủ [15] 28

Hình 4 Thống kê các tham số mô tả đặc tính của phiên truy cập Web [15] 28

Hình 5 Mô hình của Jee & Gupta [14] 29

Hình 6 Thống kê định lượng đo một số tham số của phiên truy cập [14] 30

Hình 7 Tỉ lệ nén dữ liệu trong phiên truy cập với các công nghệ mới 31

Hình 8 Mô hình hoạt động của cache 33

Hình 9 Mô hình Browser Cache 33

Hình 10 Dùng các CDN Server chứa bản sao của Website để phục vụ client theo vị trí gần nhất 34

Hình 11 Mô hình hoạt động cơ bản của Ajax so với truy vấn truyền thống 35

Hình 12 Mô hình hoạt động chi tiết của Ajax – minh họa của Jesse James Garrett 36

Hình 13 Kết quả thống kê thuộc tính nổi bật của mô hình Choi & Lim [15] 40

Hình 14 Thống kê thuộc tính nổi bật của mô hình Lee&Gupta [14] 40

Hình 15 Minh họa mô hình ON – OFF của Choi & Lim 40

Hình 16 Minh họa mô hình dữ liệu mới 41

Hình 17 Hiệu quả của thuật toán cũ trên mô hình mới 42

Hình 18 Trường hợp người dùng yêu cầu nhiều dữ liệu hơn 42

Hình 19 Xác định quan hệ giữa hai kết nối HTTP 43

Hình 20 So sánh giữa mô hình dữ liệu hành vi cũ và mô hình mới 44

Hình 21 Truy vấn liên tiếp gửi dữ liệu lớn mà không có thời gian nghỉ 46

Hình 22 Mô hình hoạt động của bộ lọc khi tấn công Simple Flooding 46

Hình 23 Tần suất gửi tin của truy cập hợp lệ và không hợp lệ theo mô hình mới 48

Hình 24 Lưu lượng và thời gian nghỉ lặp đi lặp lại trong các phiên truy cập liên tiếp 49

Hình 25 Mô hình hoạt động của bộ lọc khi tấn công High-burst-slow 51

Hình 26 Mô hình hoạt động của bộ lọc khi tấn công Low-burst-fast 54

Hình 27 Mô hình hoạt động của bộ lọc khi tấn công Low-burst-slow 55

Hình 28 Hàng đợi ưu tiên [18] 56

Hình 29 Kiến trúc bộ xử lý lọc thế hệ mới 58

Hình 30 Kiến trúc WDA chống tấn công các dạng tấn công 60

Hình 31 Kiến trúc của khối RWDA chống tấn công Low-burst-slow hiệu quả 60

Hình 32 Mô hình mô phỏng 67

Hình 33 Hiệu quả của thuật toán cũ trên mô hình mới trường hợp 1 71

Hình 34 Hiệu quả của thuật toán cũ trên mô hình mới trường hợp 2 71

Hình 35 Hiệu quả của thuật toán mới trên mô hình mới trường hợp 1 73

Hình 36 Hiệu quả của thuật toán mới trên mô hình mới trường hợp 2 73

Hình 37 Mô phỏng hiệu quả về tỉ lệ phát hiện đúng và băng thông của TLF01 với dạng tấn công Simple Flooding 75

Hình 38 Mô phỏng hiệu quả về tỉ lệ phát hiện đúng và băng thông của TLF01 với dạng tấn công High-Burst-Slow 76

Hình 39 Mô phỏng hiệu quả về tỉ lệ phát hiện đúng và băng thông của TLF01 với dạng tấn công Low-burst-fast 77

Hình 40 Mô phỏng hiệu quả về tỉ lệ phát hiện đúng và băng thông của TLF01 với dạng tấn công Low-burst-slow 78

Hình 41 Mô phỏng hiệu quả về tỉ lệ phát hiện đúng và băng thông của TLF01 với dạng tấn công Low-burst-slow có áp dụng thêm cơ chế RED 79

Hình 42 Thống kê sử dụng tài nguyên của áp dụng bộ lọc TLF01 79

Hình 43 Thống kê thông lượng trung bình trong các trường hợp áp dụng TLF01 80

MỞ ĐẦU

Tấn công từ chối dịch vụ phân tán (DDoS) đã có lịch sử hơn 15 năm, gây ra nhiều thiệt hại không nhỏ với các Website hoặc các dịch vụ liên quan đến WWW Đặc biệt khi lưu lượng truy cập đến các dịch vụ Web chiếm đến 90% [1] lưu lượng truy cập Internet toàn cầu Hiện nay xuất hiện nhiều hình thức tấn công DDoS tinh

vi và phức tạp, một trong những cách thức tấn công hiện nay khó chống nhất là kẻ tấn công sử dụng một mạng lưới máy tính ma hay botnet - gồm số lượng lớn các máy tính bị chiếm quyền điều khiển - đồng loạt gửi lượng lớn yêu cầu truy vấn tới máy chủ nạn nhân thông qua các kết nối tự động Kết quả là các ứng dụng đang chạy trên server bị tê liệt, suy giảm hoặc mất khả năng phục vụ người dùng hợp lệ

Kẻ tấn công sử dụng mô hình botnet để gửi các yêu cầu tải trang thực sự mà không

có sự giả mạo địa chỉ hoặc thông tin nào làm quá trình phân tích phát hiện lưu lượng bất hợp pháp phức tạp hơn nhiều Những cuộc tấn công tăng lên hàng giờ, năm

2014, Abor Network [1] thống kê mỗi tháng có đến hơn 100 cuộc tấn công DDoS vào các Website công cộng phổ biến đạt băng thông trên 20Gbps Do mức độ ảnh hưởng nghiêm trọng của các cuộc tấn công từ chối dịch vụ phân tán tới chất lượng dịch vụ và tính sẵn sàng của mạng internet đã dẫn đến các nghiên cứu sâu rộng nhằm hướng tới phòng chống dạng tấn công nguy hiểm này Một trong những giải pháp tối ưu nhất là xây dựng cơ chế phân loại đặc tính lưu lượng hợp pháp và lưu lượng tấn công, từ đó có chiến lược ưu tiên lưu lượng tiếp theo Vấn đề cốt lõi là xây dựng các đặc tính mô phỏng chính xác nhất hành vi hợp lệ của người dùng Web, điều mà thường xuyên thay đổi khi xuất hiện các công nghệ Web mới Vì vậy phần trọng tâm nghiên cứu của chúng tôi là chứng minh rằng sự thay đổi các đặc tính lưu lượng hợp pháp trong phiên kết nối của người dùng Web hợp pháp hiện nay làm tăng tỉ lệ phát hiện sai truy cập hợp pháp là tấn công của các phương pháp cũ đến mức không thể chấp nhận được Các kết quả mô phỏng cũng đã chứng tỏ phương pháp mới của chúng tôi có thể chống được các dạng tấn công từ đơn giản đến phức tạp với tỉ lệ sai sót dưới 5% Trong khi với các phương pháp cũ áp dụng mô hình dữ liệu mới cho tỉ lệ phát hiện sai rất cao đến 40% Các kết quả cũng chỉ ra phương pháp mới có thể chịu đựng được các cuộc tấn công của hàng trăm ngàn máy tính

zombie mà không làm suy giảm tỉ lệ truy cập thành công của người dùng hợp pháp quá 10% Do đó kẻ tấn công sẽ phải huy động lượng máy tính zombie lớn gấp nhiều lần hoặc phải trả nhiều chi phí cho đợt tấn công hơn để bù đắp lượng băng thông bị suy giảm do hiệu quả của phương pháp mang lại

Về bố cục, các phần của luận văn được tổ chức như sau:

Chương 1: Trong chương này, chúng tôi trình bày tổng quan về lý do chọn bài toán, phạm vi nghiên cứu, chi tiết những ý tưởng và cách xử lý của các tác giả hiện tại, điểm yếu của chúng Từ đó chúng tôi định hướng giải quyết từng vấn đề của bài toán đưa ra

Chương 2: Ở chương này, chúng tôi giới thiệu những điểm cốt lõi của các mô hình hành vi của lưu lượng Web đã được công bố Những thay đổi, tiến hóa của mỗi

mô hình tương ứng, ảnh hưởng của những công nghệ Web hiện đại tới các kết quả của các nghiên cứu trước kia trong mỗi mô hình Chúng tôi cũng chọn lựa một mô hình phù hợp nhất cho những nghiên cứu cải tiến của chúng tôi

Chương 3: Chúng tôi đưa ra các đề xuất cải tiến và mô tả phương pháp giải quyết từng vấn đề đặt ra của đề xuất cũng như mô hình thiết kế tổng thể các thành phần của bộ lọc mới

Chương 4: Đưa ra các thông số cấu hình, yêu cầu về các thành phần cho từng trường hợp máy chủ Web không bị tấn công, tấn công rồi từ đó đánh giá hiệu năng của phương pháp mới dựa trên các kịch bản và kết quả thu được

Phần cuối: Tổng kết và đưa ra kết luận, những vấn đề cần cải tiến trong tương lai

Với triết lý mô tả chi tiết, đầy đủ tiến trình hình thành ý tưởng, lập kế hoạch, xây dựng chương trình và cải tiến phương pháp, chúng tôi đã cố gắng mô tả rõ ràng nhất những vấn đề chúng tôi đã đọc, gặp phải hoặc tự đặt câu hỏi trong quá trình nghiên cứu để có được các giải pháp, kết quả cuối cùng

CHƯƠNG I: TỔNG QUAN VỀ CƠ SỞ CỦA ĐỀ TÀI 1.1 Giới thiệu

1.1.1 Lý do chọn chủ đề giảm thiểu thiệt hại từ tấn công DDoS

Lịch sử của tấn công từ chối dịch vụ bắt đầu từ những năm 2000 khi lần đầu tiên một cậu thiếu niên 15 tuổi Micheal Calce với biệt hiệu aka_mafiaboy từ Quebec, Canada tấn công vào một loạt các Website thương mại điện tử lớn như Amazon, eBay, Yahoo, Fifa, Dell Inc làm chúng không thể truy cập trong hàng giờ đồng hồ [1] Năm 2005, một lập trình viên 18 tuổi tên là Farid Essabar đã viết ra sâu máy tính để lây nhiễm và thành lập mạng Botnet tấn công vào máy chủ của hãng tin CNN làm sập dịch vụ trực tuyến của hãng Hình thức tấn công này đã mở ra một kỷ nguyên mới cho các phương pháp tấn công DDoS mới, nguy hiểm và tinh vi hơn Ngày nay DDoS đã sử dụng nhiều mánh khóe, kỹ thuật mới hơn như kỹ thuật khuếch đại tấn công, sử dụng máy chủ điều khiển lệnh từ xa… làm mức độ thiệt hại tăng lên đáng kể Điển hình là vụ tấn công Spamhus năm 2013 với mức băng thông

có thời điểm đến 300Gbps, thậm chí mạng Internet toàn cầu cũng bị ảnh hưởng khi truy cập vào hầu hết các website đều chậm đi rõ rệt

Việc không có một cơ chế hiệu quả hoàn toàn để chống lại dạng tấn công nguy hiểm và gây nhiều thiệt hại này là một chủ đề công nghệ sôi động, được nhiều nhà nghiên cứu quan tâm, chia sẻ và học hỏi kinh nghiệm Bất cứ công trình nào mang

lại hiệu quả phòng chống hoặc giảm thiểu thiệt hại do DDoS cũng đều mang lại lợi

ích rất lớn cho thương mại toàn cầu, có khả năng triển khai rộng rãi tạo ra một môi

trường mạng Internet an toàn Đây là động lực chính giúp chúng tôi lựa chọn chủ đề này

1.1.2 Phạm vi nghiên cứu

Tấn công DDoS có nhiều dạng và để xây dựng được một giải pháp phòng thủ hiệu quả cho tất cả các dạng tấn công không phải là một việc làm dễ dàng cũng như khó khả thi trong thực tế Thực tế để triển khai giải pháp giảm thiểu tấn công vào một mạng cần bảo vệ, người ta áp dụng tổng hợp các phương pháp rà soát, phát hiện

và cơ chế ngăn chặn khác nhau Để tập trung vào nội dung trọng tâm chúng tôi đã nghiên cứu giải quyết, chúng tôi chọn chỉ một số dạng tấn công phổ biến quen thuộc rồi từ đó sẽ áp dụng giải pháp đề xuất để đánh giá tính hiệu quả và hạn chế của nó Dựa theo các tiêu chí khác nhau thì các chuyên gia có sự phân chia về các dạng tấn công DDoS khác nhau Ở đây chúng tôi chọn phương pháp phân loại của các chuyên gia tại các công ty đang cung cấp các giải pháp phòng chống DDoS hiệu quả được nhiều người sử dụng vì chúng phản ánh thực tế tin cậy nhất hiện trạng tình trạng tấn công DDoS hiện nay:

Tấn công vào băng thông (Volumn based Attack): Với dạng tấn công này,

mục tiêu của kẻ tấn công là làm cạn kiệt băng thông của mục tiêu thông qua lưu

lượng phát sinh cực lớn Thông thường tính bằng Gbps Một số phương pháp tấn

công phổ biến là: UDP Flood, ICMP Flood

Tấn công vào giao thức (Protocol Attack): Đây là dạng tấn công nhằm mục

đích làm cạn kiệt tài nguyên của máy chủ (bộ nhớ, CPU) hoặc các thiết bị trung gian phục vụ mạng như tường lửa, hệ thống cân bằng tải, hệ thống chống xâm nhập

mạng… Thông thường người ta đo bằng số gói trên giây Một số phương pháp tấn

công phổ biến của dạng này là: SYN Flood, Ping of Death, Smurf DDoS…vv

Tấn công vào ứng dụng (Application based Attack): Với các dạng tấn công

này, mục tiêu chủ yếu của kẻ tấn công là hạ gục Webserver như Apache, IIS… Đơn

vị đo của kiểu tấn công này là số yêu cầu trên giây Một số dạng tấn công phổ biến

của nó là Shrew Attack, Slowloris, Low rate Attack

Phương pháp tấn công phức tạp nhất: Tấn công DDoS sử dụng mạng máy

tính ma botnet được sử dụng rộng rãi và mang lại hiệu quả nhất Bước đầu tiên là kẻ tấn công sẽ tìm cách lây nhiễm các Trojian Horse lên máy tính của người dùng rồi tìm cách chiếm quyền điều khiển máy tính đó – máy sau khi bị chiếm quyền điều khiển này gọi là zombie Kẻ tấn công sau đó có thể sử dụng máy tính của người dùng vào các mục đích khác nhau, trong đó có sử dụng làm địa chỉ nguồn tấn công DDoS, mà người dùng không hề hay biết Mô hình tấn công sử dụng botnet giản lược được minh họa như sau:

Hình 1 Mô hình tấn công DDoS sử dụng mạng máy tính ma botnet Như vậy với việc sử dụng botnet thì kẻ tấn công có thể lợi dụng mỗi zombie như một người dùng hợp pháp thực thụ để tiến hành bất kỳ kiểu tấn công nào vào mục tiêu mà hắn muốn

Mô hình tấn công vào ứng dụng Web sử dụng botnet và phương pháp phòng

chống là mục tiêu nghiên cứu chính của đề tài này do kiểu tấn công này gây thiệt hại lớn và khó chống hơn nhiều so với các phương pháp tấn công khác

1.2 Những kết quả của các nghiên cứu liên quan và đánh giá

Hiện đã có rất nhiều những nghiên cứu, thử nghiệm và đánh giá theo cách giảm thiểu thiệt hại do tấn công DDoS bằng cách phân biệt lưu lượng bất thường từ

kẻ tấn công và lưu lượng hợp pháp sinh ra khi người dùng bình thường tương tác với website Chúng tôi thống kê lại các nghiên cứu theo hai chủ đề chính:

1.2.1 Phương pháp tấn công DDoS

DDoS (Distributed Denial of Service) là một nỗ lực tấn công làm cho người dùng không thể tiếp tục sử dụng dịch vụ hoặc tài nguyên mạng [2] DDoS nhìn chung là sự phối hợp, tấn công có chủ đích để một website, hay hệ thống mạng

không thể sử dụng, làm gián đoạn, hoặc làm cho hệ thống đó chậm đi một cách đáng

kể với người dùng bình thường, bằng cách làm quá tải tài nguyên của hệ thống Thủ phạm tấn công từ chối dịch vụ thường nhắm vào các Website có tầm quan trọng cao hoặc tiêu biểu như ngân hàng, cổng thanh toán thẻ tín dụng và thậm chí là các máy chủ phân giải tên miền DNS Ngày nay nó còn tấn công vào cả các dịch vụ Game [Minecraft Online], mạng phim ảnh [Sony Playstation Network]… Nó được ví như

“phù thủy” của Internet [3] khi hiện tại chưa có phương pháp nào phòng chống hiệu quả hoàn toàn

Phương thức tấn công đặc trưng của DDoS là làm bão hòa yêu cầu phục vụ truy cập từ những kết nối từ xa, đến mức máy chủ hoặc mạng không thể đáp ứng được nhu cầu truy cập của người dùng hoặc đáp ứng rất chậm và kết quả thường thấy là máy chủ bị quá tải Nhìn chung, các cuộc tấn công DDOS thường ép các máy mục tiêu khởi động lại hoặc tiêu thụ hết tài nguyên đến mức máy chủ không thể cung cấp dịch vụ, hoặc làm tắc nghẽn liên lạc giữa người sử dụng bình thường và nạn nhân

Ở đây, chúng tôi thống kê lại một số dạng tấn công phức tạp mà những kẻ tấn công thường sử dụng để từ đó hiểu hơn về các chiến thuật phòng chống mà các nhà nghiên cứu sử dụng Vì phạm vi nghiên cứu chúng tôi đã trình bày ở 1.1.2 nên chúng tôi tập trung vào những tấn công tới tầng ứng dụng mà cụ thể là tới ứng dụng Web Những dạng tấn công vào tài nguyên như bộ nhớ, CPU, băng thông, truy xuất

cơ sở dữ liệu sẽ không xem xét ở đây

Dạng tấn công Simple Flood là dạng tấn công phổ biến và sơ khai nhất Kẻ tấn công tìm cách gửi liên tục số lượng lớn các yêu cầu chứa nhiều dữ liệu tới máy chủ web trong thời gian ngắn nhằm làm hệ thống máy chủ không có đủ bộ nhớ hoặc băng thông để xử lý Dạng tấn công này có đặc điểm dễ nhận dạng do lượng dữ liệu lớn hướng tới máy chủ trong thời gian ngắn nên chiến thuật phòng chống tổng quát

là ngăn không cho các kết nối có gửi quá nhiều dữ liệu liên tục đến máy chủ trong thời gian quá ngắn

E.Doron [4] khi đề xuất phương pháp WDA cũng đã gợi ý một số phương pháp tấn công trong đó kẻ tấn công sẽ lợi dụng những ngưỡng băng thông, đặc tính

thời gian đọc trang … để tìm cách thích nghi với những chiến thuật phòng chống tấn công của chúng ta

Với dạng tấn công High-burst- Slow thì kẻ tấn công gửi nhiều nhất dữ liệu có thể rồi lại nghỉ một khoảng thời gian đủ dài như thời gian đọc trang Dạng tấn công này có thể phòng chống nếu hạn chế ngưỡng băng thông đến một mức đủ nhỏ Đối với dạng tấn công Low-burst- fast thì kẻ tấn công lại thực hiện gửi các gói tin có ít dung lượng nhưng trong thời gian ngắn Điều này không gây tác hại lớn nếu

có ít số lượng máy tính tham gia tấn công vì nó không ảnh hưởng nhiều đến băng thông tuy nhiên mọi chuyện sẽ phức tạp hơn nếu lượng máy tính tấn công là lớn thì

sẽ gây ra hiện tượng tấn công dai dẳng, dần dần làm cạn kiệt băng thông và tài nguyên CPU của máy chủ Đặc điểm nhận dạng của hình thức tấn công này là tốc độ gửi các gói tin dung lượng thấp trong khoảng thời gian vừa đủ ngắn và theo chu kỳ Dạng tấn công low-burst-slow hoặc random hay A Kuzmanovic, E.W Knightly [5] gọi là “Shrew attack” là dạng tấn công phức tạp trong đó kẻ tấn công sẽ gửi các gói tin có dung lượng vừa đủ thấp nhưng mật độ cao trong khoảng thời gian ngẫu nhiên để giả mạo lưu lượng thông thường Mặc dù vậy vẫn có những đặc điểm

về tần suất gửi tin có thể áp dụng để ngăn chặn R.K.C Chang và đồng nghiệp [6] thì lại đưa ra mô hình tấn công định kỳ theo kiểu sóng chu kỳ Wavelet Ở đây kẻ tấn công thực hiện tấn công định kỳ và thay đổi chiến thuật tấn công theo định kỳ do đó sẽ mất nhiều thời gian hơn để phân tích, nhận dạng và đưa ra một chu kỳ đúng để áp dụng chế độ ngăn chặn

Sherwood và đồng nghiệp [7] đề xuất một cách tiếp cận tấn công khác Kẻ tấn công ở đây sẽ đóng vai trò là người nhận các kết nối TCP Tuy nhiên ý tưởng ở đây

là các máy tấn công sẽ gửi trả lại các gói ACK xác nhận mà không cần đợi dữ liệu

từ máy chủ trả lời Dạng tấn công này cố ý phá vỡ các kết nối TCP liên tục làm máy chủ phải dành nhiều tài nguyên để cố gắng hoàn thành các kết nối TCP này

Nhìn chung, các kiểu tấn công luôn tìm cách tận dụng những kẽ hở của giao thức TCP để tìm cách gửi nhiều nhất dữ liệu đến phía mục tiêu có thể trong thời gian ngắn hoặc cố gắng giả mạo những đặc tính thông thường của các truy vấn hợp pháp để gửi lưu lượng rác đến máy chủ Web Vấn đề nhận dạng những đặc tính lưu

lượng hợp pháp để phân biệt đâu là kết nối từ kẻ tấn công, đâu là yêu cầu thực của người dùng sẽ là bài toán mô hình hóa lưu lượng web phải giải quyết

1.2.2 Những nghiên cứu làm giảm thiểu thiệt hại do tấn công DDoS

Những phương pháp chúng tôi đề cập sau đây sẽ liên quan trực tiếp đến các dạng chiến thuật phòng chống tấn công DDoS cho dịch vụ Web và là cơ sở cho những ý tưởng đề xuất của chúng tôi

Mirkovic và đồng nghiệp đề xuất mô hình D-Ward [8] với ý tưởng là xác định

và loại bỏ nguồn tấn công ngay từ mạng nguồn D-Ward sẽ kiểm tra các nguồn lưu lượng bất thường theo đặc tính giao thức truy cập rồi áp đặt một tỉ lệ giới hạn các loại gói tin có thể gửi trong trường hợp phát hiện tấn công Tuy nhiên điểm yếu của

nó là cần phải thay đổi cấu trúc Internet để hỗ trợ D-Ward trên từng mạng, điều mà không dễ cũng như không phải nhà cung cấp dịch vụ nào cũng sẵn sàng đầu tư Thomas và đồng nghiệp [9] thì giới thiệu phương pháp lọc mới trong nền tảng NetBouncer khi đưa ra tập danh sách các hành vi mẫu được gọi là hợp lệ để từ đó phát hiện các truy cập có hành vi lạ không nằm trong tập này Tác giả đã xây dựng tập dữ liệu đặc tính lưu lượng hợp pháp cho cả mức giao thức lẫn mức ứng dụng để tăng độ hiệu quả Tuy nhiên điểm yếu của nó là tập dữ liệu mẫu đôi khi phản ảnh chưa chính xác nếu công nghệ có điều chỉnh

E.Doron và A.Wool [4] cũng giới thiệu WDA, một bộ lọc có chức năng gần tương tự WDA sử dụng các ngưỡng linh động để tìm cách xác định tính hợp pháp của lưu lượng với những đặc tính đã được thống kê đã được lượng hóa về thời gian đọc trang, lượng dữ liệu tải trong mỗi phiên truy cập từ một IP nguồn Cách tiếp cận này dựa trên thống kê về hành vi người dùng đã khá cũ, từ những năm 1999 mà hiện nay không còn phù hợp cũng như dễ dàng bị phát hiện sai với các hành vi truy cập

từ công nghệ Ajax hoặc RSS

Bremler-Barr và các đồng sự [10] lại tiếp cận theo hướng sử dụng hàng đợi phân phối theo mức độ ưu tiên WFQ để xây dựng lên APFQ Tác giả dựa trên lịch

sử sử dụng băng thông của các phiên truy cập để điều chỉnh trọng số ưu tiên lưu lượng được phép đi qua Phương pháp này khá hiệu quả nếu việc phát hiện lịch sử

sử dụng băng thông của truy cập hợp pháp là chính xác Tuy nhiên, phương pháp rõ

ràng vẫn còn phụ thuộc vào những thống kê dữ liệu chuẩn của mô hình hành vi của lưu lượng Web

Kim và đồng nghiệp [11] thì sử dụng cơ chế xác định số liệu thống kê lưu lượng truy cập vào một liên kết cụ thể là ổn định trong phiên làm việc thông thường

và thay đổi trong suốt cuộc tấn công DDoS Ý tưởng chính ở đây là xác định những thay đổi trong đặc tính lưu lượng truy cập và sử dụng chúng để phân biệt các gói tin tấn công và từ những nguồn hợp pháp Tuy vậy những kẻ tấn công thông minh vẫn

có thể điều chỉnh những thông số để khai thác điểm yếu là những ngưỡng tin cậy của thuật toán

Zhangwang [12] cũng đề xuất một số các phương pháp mới khi sử dụng RRED

để chống tấn công từ chối dịch vụ tốc độ thấp tuy nhiên điểm yếu về mặt sử dụng các hằng số ngưỡng thời gian để kiểm chứng lưu lượng vẫn chưa được chứng minh tính hiệu quả trong thực tế

Một số các tập đoàn lớn về an ninh mạng, chuyên cung cấp dịch vụ chống DDoS lại sử dụng các cơ chế về giao thức BGP mới, trang bị các mạng lưu trữ dữ liệu phân tán, hệ thống cân bằng tải khắp nơi, sử dụng các cơ chế tự động phát hiện độc quyền không được công bố nên không thể đánh giá được ý nghĩa của giải pháp

1.3 Thách thức và bài toán cần giải quyết

Như đã trình bày ở trên, kẻ tấn công có thể sử dụng botnet để tận dụng mạng lưới các máy tính bị chiếm quyền điều khiển tự động thực hiện gửi các yêu cầu phục

vụ đến website mục tiêu dẫn đến các hành vi giả mạo này rất khó bị phát hiện do thực chất đó là các yêu cầu từ một máy tính thực thụ

Thách thức chính là phân loại được các đặc tính của lưu lượng truy cập xem đâu là từ nguồn tấn công, đâu là từ nguồn hợp lệ Những đặc tính nổi bật phản ánh lưu lượng hợp pháp sử dụng cho mô hình hóa phải được phân tích và đo đạc kỹ lưỡng sao cho phản ánh đúng nhất hành vi của người dùng hợp lệ Đặc biệt khi website chứng kiến một loạt tấn công DDoS xen kẽ với các truy cập thực từ người dùng dịch vụ

Khi xây dựng các cơ chế phòng thủ thì bản thân các giải pháp không nên là mục tiêu bị lợi dụng hoặc là căn nguyên gây quá tải dịch vụ Web cần bảo vệ Đây là

điều cần phải đánh giá kỹ càng trong quá trình xây dựng mô hình và kiến trúc hệ thống

Thêm nữa khi áp dụng các giải pháp lọc, xử lý tấn công không được làm tăng đáng kể hoặc phải đầu tư cơ sở hạ tầng vượt quá giá trị thực sự của dịch vụ đang chạy Điều này là tất yếu, giải pháp nào hiệu quả mà không làm tăng đáng kể về việc

sử dụng tài nguyên như bộ nhớ, CPU, băng thông tất nhiên sẽ mang lại lợi ích kinh

tế và có tính ứng dụng trong thực tế lớn hơn

1.4 Định hướng giải quyết bài toán

Thông qua kết quả nghiên cứu của một số công trình nổi bật, chúng tôi nhận thấy phương pháp phân loại lưu lượng dựa theo đặc tính bản chất của hành vi người dùng có giá trị hơn cả do tính hiệu quả của nó Phương pháp phân loại này cũng cung cấp cho chúng ta những hiểu biết sâu sắc về hành vi người dùng thật khi đang truy cập tới Website: đọc gì, thời gian đọc trong bao lâu, sở thích của người dùng, những trang nào có tỉ lệ đọc và lưu lại lâu nhất…Dựa trên các nghiên cứu [4, 9,13,14, 15] thì cách thức chung là lựa chọn một mô hình dữ liệu hành vi lưu lượng

để tìm kiếm những đặc tính bản chất phù hợp nhất rồi sau đó xây dựng chiến thuật phòng thủ tương ứng Vì vậy hướng đi chính được chúng tôi xác định cũng chia ra làm hai giai đoạn:

- Thống kê và định lượng các đặc tính của hành vi người dùng Web càng giống nhất với các đặc tính truy cập của người dùng hợp lệ đối với Website cần bảo vệ càng tốt

- Dựa trên các dữ liệu thống kê giai đoạn 1 ở trên, tìm ra những mối liên hệ về hành vi hợp lệ của người dùng rồi tiến hành thiết kế thuật toán để phân loại chính xác nhất các lưu lượng từ kẻ tấn công mà không chặn các lưu lượng hợp pháp

Do việc xây dựng được những thống kê và định lượng các đặc tính hành vi người dùng đạt độ chính xác cao với những công nghệ Web hiện đại là một công việc khó khăn, vượt xa khỏi phạm vi của đề tài này Chúng tôi quyết định sử dụng thống kê mới nhất năm 2012 của Lee&Gupta [14] đã được chứng minh là hiệu quả

và phản ánh đúng những hành vi của người dùng Web hiện đại Chi tiết về các mô hình dữ liệu Web và mô hình dữ liệu mà chúng tôi chọn được mô tả trong chương II

Từ những kết quả này chúng tôi xây dựng chiến thuật phân loại lưu lượng người

dùng hợp lệ và lưu lượng từ kẻ tấn công Phần này chúng tôi trình bày trong chương III

CHƯƠNG II: MÔ HÌNH HÓA LƯU LƯỢNG WEB

Thách thức chính của giải pháp phòng chống tấn công DDoS dựa trên hành vi người dùng đó là khó khăn khi chúng ta mô hình hóa các hành vi sao cho gần nhất với hành vi tương tác thực của người dùng thật khi truy cập Web Trong chương này, chúng tôi mô tả cơ bản các kết quả của những nghiên cứu về công việc mô hình hóa này, những điểm lợi, hại và chọn một mô hình hóa lưu lượng điển hình phù hợp nhất với thực tiễn công nghệ Web đang sử dụng hiện nay

2.1 Giới thiệu

Ngày nay lưu lượng của các ứng dụng WWW đang tăng với tốc độ chóng mặt, hiện chiếm đến hơn 90% lưu lượng toàn bộ Internet [1] Các công nghệ được tăng cường bổ sung để giảm tối đa độ trễ truyền tải, tăng tốc độ hiển thị, tăng trải nghiệm của người dùng dẫn đến tương tác giữa trình duyệt với máy chủ, sự kiện xảy ra trên trang Web có sự thay đổi cơ bản về bản chất

Mô hình hóa lưu lượng là gì

Mô hình lưu lượng Web là mô hình của dữ liệu gửi và nhận từ trình duyệt của người sử dụng

Mô hình hóa lưu lượng Web thực chất là tìm các đặc tính đặc trưng phản ánh những hành vi hợp lệ truy cập của người dùng hợp pháp và mối quan hệ giữa chúng

Từ các tham số đó có thể xây dựng được quy trình tương tác gần đúng nhất với các tương tác giữa trình duyệt, hành vi người dùng và máy chủ Web diễn ra trong thực

tế

Tại sao phải mô hình hóa lưu lượng Web?

Để phân biệt được đâu là các truy cập từ kẻ tấn công, đâu là yêu cầu truy vấn

từ người dùng hợp pháp muốn dùng dịch vụ điều đầu tiên là chúng ta phải hiểu bản chất trong tương tác của người dùng thật với máy chủ web có những đặc tính nổi bật

cơ bản nào để từ đó có thể xây dựng bộ quy tắc phân loại dữ liệu Mô hình hóa lưu lượng chính là cơ sở để chúng ta hiểu được các tương tác này, cung cấp các dữ liệu

có giá trị giúp ích lớn trong hình thành chiến thuật thuật toán phân loại hiệu quả hơn

2.2 Các nghiên cứu về mô hình hóa lưu lượng Web

Thông thường, xây dựng mô hình hóa lưu lượng truy cập Web là khá khó khăn Thứ nhất, các trình duyệt khác nhau, webserver có nền tảng khác nhau có thể

có cách hành xử khác nhau, giao thức HTTP thì luôn luôn được thay đổi để phù hợp với các công nghệ mới, trong khi giao thức gốc TCP thì lại có một chút khác nhau tùy thuộc vào hệ điều hành Thứ hai, các tương tác trên Web trở lên ngày càng phức tạp hơn Người dùng có xu hướng mở nhiều tab trình duyệt cùng lúc, trong các trang web lại có các trang khác chạy độc lập – frame – hoặc javascript Kỹ thuật tải trang bất đồng bộ lại làm nhiều phần trang có thể chạy song song cùng nhau Những nghiên cứu sau đây cơ bản đã chỉ ra những đặc tính cơ bản đó

2.2.1 Mô hình B.Mah

Dựa trên các thống kê lưu lượng từ tháng 9 đến tháng 11 năm 1995, B.A.Mah [16] tiến hành xây dựng mô hình lưu lượng dữ liệu HTTP dựa trên phương pháp thực nghiệm heuristic Khái niệm về “Web page” lần đầu tiên được định nghĩa là đơn vị cơ sở của các truy vấn liên quan đến HTTP Thông qua phân tích dấu vết các gói tin trong các phiên trao đổi HTTP, tác giả đưa ra tính toán xác xuất phân bố về một số các đặc tính nổi trội phản ánh hành vi truy cập web của người dùng Tác giả

đã tổng kết lại những đặc điểm chính: độ dài yêu cầu dữ liệu, thời gian người dùng suy nghĩ, kích cỡ tài liệu, độ dài dữ liệu trả về… Ngoài ra nghiên cứu còn xác định được ngưỡng thời gian để phân biệt hai phiên kết nối HTTP là 1 giây < TThresh < 30 giây

Hình 2 Cách xác định mối liên hệ giữa hai kết nối HTTP [16]

Tuy nhiên tác giả đã loại bỏ những sự kiện xảy ra trong thực tế như lưu lượng

bị xung đột do cơ chế truyền thông hoặc cơ chế điều khiển truyền TCP, loại bỏ các yếu tố ảnh hưởng như độ trễ, lưu lượng do cache, lưu lượng sinh ra do các giao thức khác Ngoài ra tác giả sử dụng mẫu thống kê lưu lượng năm 1995 khi mà truyền thông www vẫn còn chưa phức tạp nên nếu áp dụng vào nghiên cứu hiện nay thì mô hình này đã khá lỗi thời

2.2.2 Mô hình Choi & Lim

Một mô hình cải tiến khác là mô hình dữ liệu hành vi lưu lượng Web của H.Choi & J.Lim [15] đề xuất Tại đây tác giả đã đề xuất một định nghĩa hoàn toàn mới là Web-request, đơn vị cơ sở để chỉ một trang hay một tập trang được trả về sau khi nhận được một yêu cầu truy vấn từ người dùng Đây là khái niệm cơ bản dùng khá nhiều cho các công việc liên quan sau này, cả bên trong những ý tưởng đề xuất của chúng tôi, do đó sau này chúng tôi gọi ngắn gọn là Web-request Để hiểu hơn về Web-request, chúng ta hãy bắt đầu từ giao thức HTTP Hiện nay nó có nhiều phiên bản khác nhau, bản 1.0 thì với mỗi đối tượng cần được download, nó yêu cầu một kết nối TCP Trong phiên bản này, trình duyệt phải mở nhiều kết nối song song để download các trang khác nhau khi hiển thị Mỗi trình duyệt đều có đặt mặc định một

số lượng kết nối song song tối đa Nếu có nhiều trang cần tải hơn số kết nối có thể thực hiện cùng lúc thì nó chỉ được tải khi các trang khác đã tải xong Ngoài ra, trong phiên bản này thì một kết nối không đóng lại ngay lập tức khi có yêu cầu kết nối mới được mở Trong phiên bản cải tiến HTTP 1.1, thì các kết nối và yêu cầu được thực hiện xen kẽ như hình dưới

Hình 3 Mô hình tổng quát của tương tác trình duyệt và máy chủ [15]

Một trang Web cơ bản gồm có một trang văn bản dạng Hypertext Trang văn bản này có mã nguồn dạng HTML được gắn tới các trang khác để làm nên tổng thể site Mỗi đối tượng là một thực thể được máy chủ lưu trữ như một file Có hai loại đối tượng, “main-object” và “inline-object” Tài liệu chứa HTML được gọi là

“main-object” còn các đối tượng liên kết bởi trang “main-object” được gọi là line object” Như hình 3, thì một Web-request được sinh ra ngay khi kết thúc thời gian đọc trang Kiểm tra mô hình chúng ta cũng có thể chia ra làm hai thời kỳ chính

“in-“HTTP - ON” và “in-“HTTP – OFF” “in-“HTTP – ON” miêu tả thời kỳ Web-request hoạt động để tải dữ liệu về “HTTP – OFF” miêu tả thời kỳ ngưng tải sau khi dữ liệu web

đã tải xong còn gọi là thời gian đọc Thời gian này không chỉ là thời gian người dùng dừng lại để đọc thông tin trên trang mà nó còn bao gồm cả thời gian mà trình duyệt không thực hiện công việc gì khác Thời gian ON phụ thuộc vào kích thước của trang

Thông qua ý tưởng sử dụng mô hình ON – OFF, nghiên cứu đưa ra các đặc tính chính của một phiên truy cập hợp lệ bao gồm: số lượng, kích cỡ của các đối tượng “main-object”, “inline-object”, thời gian trình duyệt đọc mã nguồn và trình bày lên khung nhìn cho người dùng thấy, thời gian người dùng đọc trang, số các yêu cầu có cache, số các đối tượng không cache… như thống kê bên dưới

Hình 4 Thống kê các tham số mô tả đặc tính của phiên truy cập Web [15] Đây là những kết quả nghiên cứu khá chính xác có độ tin cậy cao tại thời điểm bài báo ra đời Tuy nhiên phương pháp cũng có những hạn chế nhất định khi đặt điều kiện giả thiết trong đó:

 Có nhiều kết nối từ nhiều trình duyệt trên cùng một địa chỉ thì mỗi kết nối được coi là một Web-request độc lập

 Nếu trong một trang có các yêu cầu tải một trang khác thì yêu cầu đó cũng được coi là một Web-request mới Nhưng trong thực tế các đối tượng đó có thể là các “inline-object” được tải lẫn khi người dùng đang đọc trang

 Bỏ qua các sự kiện người dùng bấm vào các trang như video, ảnh, hay link đến tệp tin

Như vậy với giả thuyết bỏ qua một số các điều kiện quan trọng, mô hình Choi

& Lim khá đúng tại thời điểm nghiên cứu nhưng không còn phản ánh hoàn toàn chính xác các sự kiện tương tác giữa trình duyệt người dùng và máy chủ Web hiện nay

2.2.3 Mô hình Lee & Gupta

Thông qua việc thu thập các tập tin log ghi lại các truy cập thực diễn ra trên mạng từ năm 2007- 2010 của 62000 người dùng từ 10 web proxy J.Lee và M.Gupt-

a [14] từ phòng thí nghiệm của Intel kế thừa các nghiên cứu trên và bổ sung thêm các sự kiện mới phản ánh những đặc tính của các công nghệ phổ biến hiện tại như Ajax, RSS… cũng như tập dữ liệu chuẩn được thu thập từ chính các proxy kiểm soát lưu lượng mạng Internet mà không phải đặt một điều kiện đặc biệt hoặc giới hạn trong phạm vi cụ thể nào

Hình 5 Mô hình của Jee & Gupta [14]

Các nhà nghiên cứu đã cải tiến phương pháp của H.Choi & J.Lim [15] với mô hình tải dữ liệu xen kẽ trong đó dữ liệu phụ thường là các đối tượng nặng hơn khung HTML chính sẽ được tải xen kẽ trong thời gian người dùng đọc các thông tin quan trọng hiển thị trước Cách thức các đối tượng phụ được tải thông minh và xen lẫn như vậy sẽ giúp trình duyệt đáp ứng và hiển thị nhanh hơn các đối tượng quan trọng thực sự với người dùng Một số đặc tính của lưu lượng đưa ra trong mô hình: thời gian đến của phản hồi, số lượng đối tượng chính, đối tượng con nhúng trong trang chính, kích cỡ yêu cầu truy vấn, thời gian nghỉ… như bảng thống kê bên dưới

Hình 6 Thống kê định lượng đo một số tham số của phiên truy cập [14]

Các kết quả thống kê tin cậy cũng cho thấy những đặc tính trên là hoàn toàn phù hợp cho các trang web hiện nay đặc biệt là các website hỗ trợ công nghệ Web 2.0

2.2.4 Các mô hình khác

M.Cha [20] và các đồng nghiệp cũng đưa ra những phân tích về đặc tính lưu lượng của website chia sẻ video lớn nhất thế giới là Youtube để nghiên cứu lợi ích của sử dụng các công nghệ tải, chia sẻ thông tin và đặc tính của công nghệ streaming

Ngoài ra nghiên cứu về đặc tính của công nghệ web hiện đại cũng được M Butkiewicz và đồng nghiệp [8] đề xuất thêm trong một báo cáo năm 2012: các đặc tính phức tạp về mặt nội dung như số đối tượng, lượng dữ liệu được tải mỗi loại, ảnh

hưởng của các công nghệ triển khai trên server, loại nội dung dữ liệu được sử dụng trên website đó

Hoặc các nghiên cứu của A.Feldmann [21] lại tập trung vào đặc tính công nghệ Ajax: thời gian sống của một phiên làm việc, số bytes dữ liệu truyền được mỗi phiên, số yêu cầu trong mỗi phiên và thời gian tải các đối tượng phụ trong phiên đó Một nghiên cứu độc lập khác từ S.Ihm và V.S.Pai [13] năm 2011 cũng sử dụng lượng dữ liệu thống kê trên quy mô lớn với đại diện một số các quốc gia có lượng người truy cập Internet đông nhất cho mỗi châu lục trong thời gian 4 năm từ 2006 -

2010 để đo đạc sự thay đổi đặc tính về lưu lượng Web trong mỗi thời kỳ Nghiên cứu chỉ ra rằng lưu lượng trung bình, kích cỡ đối tượng trong trang và số lượng người truy cập Web tăng lên nhanh chóng qua mỗi năm Video và Ajax được sử dụng nhiều hơn, các công nghệ nén, cải thiện cơ chế Cache đã làm giảm độ trễ đáng

kể khi tải trang mặc dù có sự không đồng đều giữa các quốc gia

Hình 7 Tỉ lệ nén dữ liệu trong phiên truy cập với các công nghệ mới Ngoài ra có rất nhiều những nghiên cứu khác tập trung vào những dịch vụ cụ thể hoặc các nền tảng khác nhau như R Frederick, and V Jacobson [18] nghiên cứu các đặc tính của giao thức RTP áp dụng cho lưu lượng truyền tải video, âm thanh thời gian thực hiện đang khá phổ biến Hoặc các đặc tính ảnh hưởng của NAT trong mạng băng thông rộng qua nghiên cứu của A.Fieldmann [21] Tuy nhiên mỗi phương pháp đều giả thuyết những điều kiện lý tưởng đặc biệt chỉ áp dụng cho các dịch vụ website đó, loại bỏ những lưu lượng không liên quan Thực tế việc tìm ra những đặc tính của lưu lượng phản ánh đó là những đặc tính chính xác của hành vi người dùng bình thường không phải dễ dàng và cũng không thể áp dụng chung cho

tất cả các website Bởi vậy chúng tôi lựa chọn các tham số cơ bản chính phản ánh những hành vi của người dùng hợp pháp các dịch vụ Web thông thường chiếm tỉ lệ

lưu lượng cao trên Internet hiện nay thay vì chỉ quan tâm đến các đặc tính của các

Các trạng thái của Cache Cache hit: Nếu thời gian trong các gói dữ liệu cache chưa hết hạn so với thời

điểm hiện tại, thì trình duyệt sẽ đọc các phần dữ liệu trực tiếp từ cache – rồi ghép với phần không được đặt cache để hiển thị Kết quả là tốc độ hiển thị rất nhanh – nếu tỉ lệ dữ liệu bị cache/ dữ liệu toàn trang là lớn

Nếu thời gian của các gói dữ liệu cache đã hết hạn thì nó sẽ truy vấn Web server hỏi xem nội dung của URL đó đã được cập nhật chưa Đây là một truy vấn hoàn toàn mới Tại đây sẽ xuất hiện hai trường hợp:

Cache revalidate hit: nếu trang không được cập nhật thì server sẽ trả lời trình

duyệt với HTTP header 304 và thông báo trang chưa được cập nhật, gia hạn thời gian hết hạn của cache, lúc này trình duyệt sẽ cập nhật thời gian các gói dữ liệu và lấy luôn những dữ liệu này để hiển thị

Cache miss: Nếu server thông báo trang có thay đổi mới thì nó sẽ trả về HTTP

Header và gói chứa dữ liệu như bình thường

Mô hình hoạt động có thể tổng quát hóa qua sơ đồ sau:

Hình 8 Mô hình hoạt động của cache

Các mô hình Webcache

Browse Cache: Khi người dùng truy cập máy chủ Web lần đầu tiên, nó sẽ tải

dữ liệu của trang URL người dùng quan tâm, trình duyệt sẽ lưu một phần các nội dung HTML, Javascript, CSS, ảnh trên trang đó [chỉ lưu với tỉ lệ nhất định] lại trên thư mục tạm của trình duyệt [temporatory files Internet Explorer chẳng hạn] – dữ liệu này gọi là local cache

Hình 9 Mô hình Browser Cache

Web server cache, Proxy cache: Với mô hình dạng này, các nhà cung cấp

dịch vụ lưu trữ chủ yếu đặt vị trí của máy chủ, trung tâm dữ liệu chứa bản sao của trang Web gốc phân tán khắp nơi trên thế giới Với những yêu cầu truy vấn phục vụ

từ bất kỳ người dùng nào thì máy chủ Web gần nhất với người dùng sẽ thực hiện

đáp ứng lại dữ liệu thay vì phải truy vấn máy chủ gốc Rõ ràng cơ chế này giảm đáng kể thời gian trễ khi tải trang do phải truy vấn qua rất nhiều Router:

Hình 10 Dùng các CDN Server chứa bản sao của Website để phục vụ client theo vị

trí gần nhất

Ảnh hưởng của Webcache tới hành vi lưu lượng Web thế hệ mới

Trong các mô hình thống kê dữ liệu của Choi & Lim hoặc các mô hình thống

kê mới đều có tham số thống kê số yêu cầu truy vấn mà dữ liệu trả về là từ cache hoặc không từ cache Về cơ bản trong lưu lượng qua lại trên web vẫn tồn tại những truy vấn có dữ liệu trả về ngay trực tiếp từ cache mà không phát sinh thêm lưu lượng

dữ liệu tuy nhiên nó không ảnh hưởng đến thời gian đọc trang của người dùng Do

đó công nghệ cache chỉ làm tăng tốc độ tải và tốc độ hiển thị dữ liệu mà không làm thay đổi bản chất truy vấn từng đối tượng của trình duyệt với máy chủ Web

2.3.2 Ajax 2.3.2.1 Ajax là gì

Ajax viết tắt của Asynchronous JavaScript and XML nó không phải là một công nghệ mà là một tập các kỹ thuật phát triển Web có sự liên hệ với nhau được sử dụng ở phía trình duyệt máy người để tạo ra các ứng dụng Web không đồng bộ Về

cơ bản các ứng dụng này có thể gửi và lấy dữ liệu không đồng bộ từ máy chủ mà không can thiệp vào màn hình hiển thị cũng như hành vi của trang hiện tại Dữ liệu

có thể được lấy ra từ kết quả trả về của máy chủ bằng cách sử dụng đối tượng

XMLHttpRequest Sử dụng định dạng XML trong truy vấn Ajax là không bắt buộc, thực tế hiện nay người ta thích sử dụng định dạng JSON phổ biến hơn do tính dễ dùng của nó

Hình 11 Mô hình hoạt động cơ bản của Ajax so với truy vấn truyền thống Thực chất trong công nghệ Ajax, trình duyệt được trang bị máy Ajax Engine mới viết bằng Javascript Bộ máy Engine này là chịu trách nhiệm cho cả việc dựng lại giao diện người dùng thấy và giao tiếp với các máy chủ trên danh nghĩa của người dùng

Như hình vẽ 12, Ajax Engine làm nhiệm vụ trung gian và chạy trong các tiến trình ngầm, người dùng không nhìn thấy được mà chỉ nhìn thấy kết quả trả về khi thực hiện một thao tác vào nơi có hỗ trợ truy vấn và hiển thị dữ liệu qua Ajax Bình thường để người dùng biết rằng trình duyệt sẽ thao tác truy vấn dữ liệu qua Ajax tại đối tượng đó, các nhà phát triển thường thêm biểu tượng đồng hồ cát hoặc xoáy xoáy chờ đợi để người dùng biết rằng trình duyệt đang thực hiện một truy vấn gì đó đến server Khi người dùng muốn thực hiện một truy vấn, một yêu cầu sẽ được gửi qua lời gọi Javascript đến bộ Ajax Engine Từ đây nếu có phản hồi trở lại người dùng như kiểm tra dữ liệu, chỉnh sửa dữ liệu… thì cũng không cần xác nhận từ server mà Engine này sẽ trực tiếp làm việc đó Nếu Engine cần thêm bất cứ dữ liệu nào từ máy chủ thì nó sẽ tự gửi yêu cầu trả về dữ liệu từ máy chủ sử dụng XML hoặc JSON mà không làm ngưng trệ bất kỳ tương tác nào với người dùng với ứng dụng hiện tại

Hình 12 Mô hình hoạt động chi tiết của Ajax – minh họa của Jesse James Garrett

2.3.2.2 Ảnh hưởng của Ajax tới hành vi lưu lượng Web thế hệ mới

Chính bởi lợi ích rất lớn của công nghệ Ajax khi tải dữ liệu mà không làm ảnh hưởng tới tương tác của người dùng trên trang web mà hiện nay hầu hết các ứng dụng Web hiện đại đều sử dụng công nghệ này Do tính phổ biến của nó mà những đặc tính truy cập giữa trình duyệt và máy chủ có sự thay đổi lớn Mô hình ON – OFF không thể áp dụng được vào những trang web có sử dụng Ajax do trong thời gian OFF người dùng đọc trang, vẫn tồn tại những truy vấn lấy dữ liệu xảy ra ẩn với

người dùng Điều tương tự xảy ra với công nghệ RSS với thời gian cập nhật dữ liệu theo định kỳ

2.4 Chọn lựa mô hình hóa phù hợp

Vấn đề chọn lựa đúng một mô hình dữ liệu chuẩn ảnh hưởng rất lớn đến độ chính xác của một phương pháp đề xuất có sử dụng kết quả thống kê của mô hình

đó Thông qua những thống kê và kết quả nghiên cứu đã được chứng minh tính đúng đắn, chúng tôi chọn mô hình Lee&Gupta [14] và một số kết quả thống kê mới nhất

từ các mô hình khác để bổ sung những thuộc tính đầy đủ của hành vi truy cập hợp lệ của người dùng Web ngày nay

CHƯƠNG III: ĐỀ XUẤT CẢI TIẾN VÀ GIẢI PHÁP 3.1 Phân tích

Bài toán đặt ra từ đầu là nghiên cứu giải pháp để giảm thiểu tấn công từ chối dịch vụ phân tán vào các Website Chúng tôi cũng đã chọn phương pháp dựa theo đặc tính lưu lượng dữ liệu truy vấn Webserver để tìm cách phân loại lưu lượng bình thường và lưu lượng của kẻ tấn công khi máy chủ có lượng lớn kết nối cùng truy cập vào một lúc Để hiểu rõ hơn được những phần nào là cải tiến chúng tôi thực hiện, phần nào đã có các kết quả từ nghiên cứu khác, chúng tôi trình bày những hạn chế khi áp dụng mô hình dữ liệu mới vào bộ lọc cũ, hiệu năng suy giảm cụ thể ra sao, chúng tôi đã cải tiến và tạo ra quy trình xử lý mới như thế nào trong những mệnh đề logic thể hiện rõ bài toán cần thực hiện Mục tiêu của chúng tôi là từ những thay đổi thuộc tính trong đặc tính của lưu lượng, chúng tôi tìm cách xây dựng cách thức xử lý mới để so sánh, nhận dạng từng thuộc tính của lưu lượng theo những trọng số phù hợp Những ý tưởng được đề xuất từ khi bắt đầu nghiên cứu cho đến khi cho ra kết quả cũng sẽ được mô tả cụ thể nội dung, cách hiện thực hóa, các vấn đề nảy sinh và cách giải quyết vấn đề Ngoài ra, trước khi chúng tôi thực hiện nghiên cứu này thì đã

có một số ý tưởng sử dụng mô hình dữ liệu cũ cũng như theo cách tiếp cận khác cùng giải quyết vấn đề Do vậy, chúng tôi thực hiện thêm một việc đó là so sánh các kiến trúc này với kiến trúc do chúng tôi xây dựng lên

3.1.1 Bài toán cần chứng minh

Thông qua cách tiếp cận về đánh giá độ tin cậy khi xây dựng giải pháp mới từ [4,9,17,21] với những mô hình dữ liệu được chọn và cùng mục đích là phân loại lưu lượng, người ta rút ra kết luận rằng: Phương pháp mới đề xuất được gọi là có tính hiệu quả nếu nó chứng minh được các điều kiện cơ bản sau

 Chứng minh với mô hình dữ liệu hành vi mới, phương pháp giải quyết cũ

không còn chính xác hoặc không hiệu quả

 Chứng minh với phương pháp mới đề xuất, có thể giải quyết được cả hai

trường hợp: cho qua với các lưu lượng hợp lệ mới, cũ và ngăn chặn hiệu quả

được các dạng tấn công đã biết

Để chứng minh các mệnh đề trên chúng ta có sử dụng hai phương pháp: suy diễn toán học [6] hoặc chứng minh thông qua thực nghiệm Heuristic [4] Chúng tôi chọn cách chứng minh thông qua thực nghiệm Do khi áp dụng các mô hình dữ liệu khác nhau được thống kê theo nhiều phân phối khác nhau Lognormal, Gamma, Weibull… nên để xác suất tìm được mối liên hệ giữa các phương pháp và chứng minh thông qua toán học không phải dễ dàng

3.1.2 Mệnh đề 1

Khi áp dụng mô hình dữ liệu hành vi Choi&Lim vào phương pháp cũ như của E.Doron là hiệu quả nhưng nếu áp dụng mô hình dữ liệu hành vi mới của Lee & Gupta vào phương pháp đó chưa chắc là hiệu quả

Hay viết theo quan điểm toán học logic thì:

Một hành vi là hợp lệ trong mô hình Choi & Lim cũng phải hợp lệ trong mô

hình Lee & Gupta Trong khi một hành vi hợp lệ trong mô hình Lee & Gupta chưa

chắc là hợp lệ trong mô hình Choi&Lim

Và thực chất là khi áp dụng mô hình mới Lee&Gupta [14] vào kiến trúc phần mềm cũ WDA [4], tỉ lệ phát hiện sai tăng lên nhanh chóng Sở dĩ như vậy là bởi: Thứ nhất, các nghiên cứu của Choi&Lim đã giả thuyết là bỏ qua các truy vấn

tự động trong thời gia OFF lúc mà người dùng đọc thông tin trên website Quá trình

ON – OFF tách bạch thành hai khoảng thời gian riêng biệt Thời kỳ ON trình duyệt

sẽ tải toàn bộ dữ liệu và hiển thị thông tin đến người dùng Thời kỳ OFF là thời kỳ người dùng đọc dữ liệu không có thêm dữ liệu truy vấn Những thông số đo được cũng dựa trên phân loại thống kê này Nhưng thống kê cho thấy, kết quả của mô hình Lee&Gupta là các kết quả mở rộng của mô hình trước, có sự đo đạc băng thông, lưu lượng bao quát và mới hơn, sử dụng chung một thuật toán đánh giá nên dĩ nhiên một hành vi sử dụng ít băng thông hơn, có thời gian nghỉ tương đương sẽ là hợp lệ trong mô hình mới Các kết quả thống kê đặc điểm lưu lượng trong những trường hợp không có phát sinh các truy vấn Ajax hoặc RSS là gần như tương đương mặc dù lưu lượng các đối tượng trong mô hình thống kê mới có sự chênh lệch và lớn hơn so với trước Thống kê bên dưới chứng tỏ luận cứ này:

Hình 13 Kết quả thống kê thuộc tính nổi bật của mô hình Choi & Lim [15]

Hình 14 Thống kê thuộc tính nổi bật của mô hình Lee&Gupta [14]

Thứ hai, với các dạng truy vấn mà ngay cả trong thời gian người dùng đọc, trình duyệt cũng có thể tự động lấy thêm dữ liệu – như cập nhật định kỳ RSS, tự động gửi thêm dữ liệu thống kê đến các trang Web thống kê quảng cáo…thì rõ ràng cách phân loại của Choi & Lim đã bị vi phạm, lượng dữ liệu truy vấn và thời gian OFF không còn phân biệt mà sẽ trộn lẫn nhau, dẫn đến các kết quả thống kê khác biệt Dữ liệu gửi lên trong mô hình mới nhiều hơn và quãng thời gian thực sự là OFF ngắn hơn nhiều lần cũng như bị chia nhỏ trong cả phiên truy nhập Minh họa sau sẽ giải thích điều đó:

Hình 15 Minh họa mô hình ON – OFF của Choi & Lim