Nghiên cứu các phương pháp phát hiện bất thường và xem xét khả năng Ứng dụng cho hệ thống máy chủ tên miền dns quốc gia vn (tt)

Tuy nhiên, hệ thông DNS luôn tiềm ân nhiễn nguy cơ bị tân công phá hoại, rong khi db chúng ta lại chan có Hệ thẳng phát hiện sớm các biện tượng bắt thường cô Kiä năn; ảnh bưởng đến vẫn đ

HOC VIEN CONG

Ey"

Tran Kién

NGHIEN CUU CAC PHUONG PHAP PHAT HIEN BAT

THUONG VA XEM XET KHA NANG UNG DUNG CHO

HE THONG MAY CHU TEN MIEN DNS QUOC GIA (VN)

Chuyên ngành: Kỹ thuật điện tử

Mã số: 60.52.70

TOM TAT LUAN VAN THAC SI

HÀ NỘI - 2011

ta

Tuan văn được hoàn thanh tại:

HỌC VIÊN CÔNG NGHỆ BƯY: CHÍNH VIÊN THÔNG

Người hưởng đấn khoa học: PGS.TS Hoàng Minh

Phân biên 1

Phản biện 2

Luän văn sẽ được bảo vệ trước Hỏi đồng chim luận văn thạc sĩ tại Học viện Công nghệ Bưu chính Viễn thông

Vào lúc: giờ ngày tháng năm

Củ thể lìm hiểu hiện văn lại

~ Thư viện của Học viện Công nghệ Buu chính Viễn thông

MỞ DẦU

Ngày nay Infsrnst ngây càng có vai trò quan trong và ảnh hrớng †o lớn trong mrọi mặt đời sông kinh lê xã hội Trong đỏ hệ thông máy chủ tên miền DXS [3] được xem là trải tìm của mang Intcrnct, phải được bảo vệ an toàn, dâm bão hoạt động thông xuỗi, liên tục và hiệu quả Những nim gin day, ngày công nhiều các vụ ân công vào hệ thông máy chủ tên mién, nhiễu vụ đã gây ra những hậu quả vỏ cùng nghiêm trọng ảnh hưởng đến việc truy nhập Intemet trên nhiều khu vực Một trong các vụ tấn công điển hình vào hệ thông DNS đã xây ra ở Trung quốc vào ngày 20/5/2009, hệ quả làm cho truy oập Intemet tại 5 tinh mién Bac, duyên hái Trung Quốc đã bị ánh hưởng năng né

sau khi xây ra một vụ tan céng DNS nhằm vào một công ty gây nên các yêu câu thông

tin không trả lời làm "Tụt” nhiều mạng viễn thông của Trung Quốc [25]

Ở Việt Nam, hệ thông mềy chủ tên miễn DNS quốc gia (VN) do Trmg tám Intemet Việt Nam (VNNIC) quản lý han 10 năm qua luôn hoạt động thông suốt, an toàn và hiệu quả gúp phần không nhỏ vào sự phát triển của Inlcmel Việt Nam Tuy nhiên, hệ thông DNS luôn tiềm ân nhiễn nguy cơ bị tân công phá hoại, rong khi db

chúng ta lại chan có Hệ thẳng phát hiện sớm các biện tượng bắt thường cô Kiä năn; ảnh bưởng đến vẫn đỀ an toàn an nình của hệ thẳng máy ch tên min DNS quốc

gia GEN), Do vậy, luận văn nghiền cứu cúc phương phúp phát hiện bất (hường và xem xét khả năng ứng dụng cho hé thong may chủ tên muễn DNS quộc gia (.VX) rất cần

thi, có ý nghĩa thực tiến va kha thi cao, Cu thể, luận văn thực hiện việc phân tích trục

tiếp các đít hiệu truy vấn tên zniễn, qua đó giúp phát hiện sớm và đưa ra cảnh báo kịp thời theo thời gian thực các vẫn đề về an toàn an ninh của hệ thông ruáy chủ lên mién DNS quốc gia ( VN)

luận văn gồm các nội dung như sau:

- _ Chương 2: Nghiễn cửu các phương pháp phát hiển bất thường,

- _ Chương 3: Thử nghiệm cho một số máy chủ tên miễn DNS quốc gia (.VX)

- Kếtuận

Tayện vấn đã thực Ì ậc nghiên cửu phương pháp phát h t

ứng dụng cho hệ thông máy chủ tên miền DNS quốc gia (.VN) Tuy nhiền, do điều kiện thời gian và lạt chế về trình độ nên tác giả chưa nghiên cứu được phương, pháp loái

thông ké (Entropy) img dung cho vige phần tích, xử lý đất liệu truy vấn tên miễn Tác giả mong ring sau này có điều kiện sẽ tiếp tục nghiên cửu chuyên sâu hơn về chuyên đề

này, việc ưng đụng toán Thông kẻ sẽ giúp chúng †a giải được bài toàn xử lý với khối

lượng đữ liệu lớn và phức tap mả các phương pháp Thỏng thường kho co thé lam được

CHƯt

NG 1: TONG QUAN IIE THONG TEN MIEN DNS

Tom tit chueng

Chưang 1 nghiên củu tổng quan về hệ thống tên miễn, không gian tên miễn và

hoạt động cầu hệ thông máy chủ tên miễn DNS, cúc biểu hiện bắt thường của hệ thông

máy chủ tên miễn DNS, nghiên cứu và hệ thông máy chủ tên miễn DNN quốc gia (.PN)

do VNNTC quản lý, phân tích các vẫn dễ tần tại đội với hệ thông máy chủ tên niễn DNS

quấc gia (.EN) và đã xuất hướng nghiên cứu của luận văn

1.1 Hệ thẳng tên miền DNS và các biểu hiện bất thường

1.1.1 Lịch sử phát triển của hệ thống tên miễn

Vào những năm 1970, mạng máy tính ARPANIT [§] chỉ bao gồm vài trăm mày

tính được kết nổi với nhau Trên mạng máy tỉnh này, một file duy nhất HOSTS.TXT

được đứng để lưu các thông tin về máy tính trên mạng, File này lưu giữ các thông tin

ánh xụ giiea tên máy và địa chỉ của tắt cả các máy nổi vao mang ARPANET Tuy nhign,

khi mạng ARPANET phát triển, cơ chê làm việc này không thích hợp vả không thể đáp

ứng để cập nhật các thông tin được thay đối trên mạng Kích thước của file HOSTS.TXT thay đổi tý lệ thuận với số mày tính có trén mang Khi mang may tinh ARPANET sứ dụng giao thức TCP/TP thì số lượng múy lĩnh liên rạng bùng nỗ nhưnh: chồng

Việc bảo trì ñle IOSTS.TXT trên một mạng rộng lởn ngày một khó khán hơn Trước khi ñle HOSTS.TXT có thế chuyển đến một máy tính trên mang thi may tinh này có thể đã bị thay đổi địa chỉ hay đã bị thay đối bing mét may tinh khac

Các nhà quản lý mạng ARPANIT tiến hành xây dựng quột cơ cầu mới thay thể cho việc dùng file HOSTS.TXT để chuyển đổi giữa tên máy và địa chỉ của máy Hệ

một cách mục bộ V

thông mới phải cho phép quản lý dữ quản lý không tập tim;

sẽ loại bỏ được các vân đề về quá tải lưu lượng đối với một máy tính Ehi xử lý các dữ

liệu về chuyển đỏi tên máy và địa chỉ Việc quản lý đữ liệu cục bỏ cũng làm cho việc cập nhật dữ hệu thưởng xuyên được thực hiện đễ dàng hơn Hệ thông mới phải sử dụng

không gian lần theo cơ cầu phân cấp để đặt tên cho cậc máy tỉnh trên mạng Việc này

dam báo được tính duy nhất về tên miễn trên mạng,

liệ thông mới nây do Ông Paul Mockapetris thuộc Viện Nghiên cứu Kỹ thuật

Thông lin xây đựng Vào năm 1984, ông đưa mà bơi Gi liệu Môu chuẩn (RFC) 882 và

883 miều tả về hoạt động của hệ thống DNS Sau đỏ là hai tài liệu tiêu chuẩn (REC)

1034 và 1933, hai RFC nay xác định cáo ot

¡ hoạt động của hệ thông DNS.

1.1.2 186 thing tén mln DNS

Hệ thông tên miễn là một cơ sớ dữ liêu phản bố Cơ sớ đữ liệu này cho phép

quan ly một cách ene bộ các phân khác nhau trong toàn bê hệ thẳng tên miễn, tuy nhiên

dữ liệu trong mỗi phân này có thể được tuy cập trên toàn mạng thông qua cơ chỗ ruáy khách — may chủ (client-server), Cơ ché dém (caching) dit ligu va khả năng trả lời các yêu cầu về tên miễn của cóc máy chủ tên miễn đám báo tính én định vá đông nhất của

hệ thống tên miễn

L†ê thông tên miễn bao gồm các thành phần:

-_ Chương trinh name server (may chủ lên miễn): Chương trình máy chủ tên miền

(name server) hoạt động trên cơ chế client-server lưu giữ các thông tin về một

phần của toàn bộ đữ liệu tên miễn và có nhiệm vụ trả lời cde may client (resolver)

về các Thông tin liên quan đến tên miễn

-_ Chương trình phân giải tên niẫn (Resolver): Thông thường là một chương trìnhk

có khả năng tạo ra các câu hỏi liên quan tởi tên miễn và gứi chúng tới mày chủ

tên miễn

-_ Không gian lên niềm Cầu trúc của không gian tên miễn DXS, được chỉ ra trong

hình 1.1 Toàn bộ cơ sở đữ liệu về tên miễn đươc xây đựng theo cầu trúc hình cây

ngược, với gốc cúa cây (root) là điểm khối đâu, Trong hệ thông DNS, tên của gốc

(roof) 14 một nhãn rồng (ˆ* ”), nhưng được viễt như một dâu chấm đơn ”.”

1.1.2.1 Khơng glan tên mién DNS

Khơng gian tên miễn được xây dựng theo cầu trúc hình cây ngược Mỗi mệt

"“node” trên cây thể hiện một phần của tồn hộ dữ liền, hay một tên miễn (domain)

trong hệ thống tên miễn Mỗi tên miễn này lại cĩ thế được chia thành các tên miễn cap

thấp hơm (snb-đomain), các subdomain này là “con” của các đomain *rnẹ” đả sinh ra

chúng

Mỗi phần dữ liêu trong cơ sở đữ liệu phân bố của hệ thống I3NS được găn với

một tên Các tên này là các đường trong câu trúc dạng hình cây ngược, câu trúc này

chinh 1a khéng gian tén mién (domain name space) Cau trúc hinh cây này được múnh

tioa trong hảnh 1.1 Khơng gian tên miễn cĩ cầu trúc lương tự với cấu trúc hệ thơng fite

UNIX [12] Cau trac cy nay cĩ một gốc ở trên cửng và được gọi là “root” Câu trúc

hình cây này cho phép khơng gian tên miễn cĩ thể phát triển theo bât cử hưởng nào từ

các điểm giao nhau (node) Hệ thống tên miễn hiện tại cho phép phát triển cấu trúc

khơng gian tên miễn này tỏi đa là 127 cáp

1.1.1.2 Tên miễn (Domain name)

Mỗi indt node trong cầu trúc hình cây được gắn với mội nhần nhật định (Iahc])

Xhăn này cĩ thể chứa tới 63 ký tự Giốc (oot) của cây khơng cỏ nhăn Một tên miễn đầy

đủ của một node trên cây là một chuỗi các nhấn trên đường từ node đĩ đến gĩc (roof) của cây, gáo nhãn này được phân cách với nhau bằng dâu chẩm đơn °.' Tên miễn luơn được đọc theo chiều lừ node đến gốc (roof)

Hệ thơng DXS yêu cầu các nođe do củng một nộe mẹ sinh ra phải cĩ tên khác

nhau Ilan ché nay chi 4p dung với các node thuộc cùng một node mẹ, với cdc node do

hai node mg khae nhau sink ra, chúng cĩ thể trùng tên, dưng vẫn đấm bảo lính duy

nhất của mơt tên miễn trong khơng gian tên miễn

1.1.2.3 Miễn (Domain)

Domain 14 một nhánh trong khơng gian tên miền Tên miễn của domain này chính là tên miễn cúa node gốc (root) cúa nhánh con trong khơng gian tên miễn Điều nay cĩ nghĩa là lên của đomain chỉnh là tên của node ở đầu của tên miền Vì dụ điểm

đầu của đornain vnn.vn là node cĩ tên vimvn

1.1.3 Các biển hiện bắt thường

1.1.3.1 DỊnh nghĩa

Các biểu hiện trực tiếp trên hệ thơng máy chú tẻn miền DNS hoặc gián tiếp

thơng qua các hệ thơng đo lường giảm sát cỏ kết nối lâm việc với cáo máy chil DNS 1.1.3.3 Các biỂn hiện bất thường [3]

+ Lưu lượng mạng tăng cao bất thường,

+ _ Mật độ truy ván trên các máy chủ tên miền DNS khơng theo quy luật thơng thưởng,

* _ Truy vẫn tên miễn bị chậm

1.2 Hiện trạng hệ thống máy chủ tên miền DNS quốc gia (VN)

1.2.1 Mô hình hệ thống máy chủ tên miền DNS quốc gia (.VN) tại Việt Nam

Hệ thông DNS quốc gia do Trung tâm Intemet Việt Nam quản lý có nhiêm vụ quản lý không gian tên miền cấp quốc gia vn Hệ thông DNS quốc gia có nhiệm vụ tiếp nhận và trả lời các truy vẫn tên miền VN [2]

Hiện tại hệ thông tên miễn quốc gia gồm 5 cụm máy chủ đặt trong nước (2 cụm

tại thành phố Hồ Chỉ Minh; 2 cụm tai Ha Ndi va 1 cum đặt tại Đà Nẵng), 4 cụm máy

chủ đặt ở nước ngoài (tai Mỹ, Nhật, Úc và Hà Lan),

Hình 1.2: Phân bỗ máy chủ tên miễn quốc gia

Hệ thông máy chủ DNS của các ISP có nhiệm vụ tiếp nhận và xử lý các truy vẫn

tên miễn (gồm cả các lên miễn vn và tên miễn khác) Với các tên miễn VN, hệ thong

máy chủ tên miễn của các ISP sẽ truy vân lên hệ thông máy chủ root server va hé thong

máy chủ tên miền quốc gia để tim kiếm thong tin va trả lời truy vận Đôi với các tên

mien thong thường (tên mien cập cao, tên miễn của các quốc gia khác), hệ thông may

chủ tên miền này sẽ truy vẫn lên hệ thông máy chủ root và các máy chủ tên miễn khác

được đất ở nước ngoài đề tìm kiếm kết quả.

UM MAY CHU TEN MIEN

QUOC GIA TAI DA NANG

QUỐC GIÁ TẠI TP.IICA

Hình 1.3: Phân cấp hệ thống máy chủ tên miễn tại Việt Nam

1.2.2 Mô hình quản lý không gian tên miền DNS quốc gia (-VN)

Không gian tên miễn vn được quản lý theo cơ chễ phân cấp và chuyển giao Các

tên miền cap 2 va cấp 3 thuộc hệ thông tên miễn VN sẽ được lưu giữ trên hệ thông tên

miễn quốc gia Các tên miễn cáp 3 và cấp 4 sẽ được lưu giữ tại các hệ thông máy chủ được chuyên giao, phần lớn các máy chủ được chuyển giao này là các máy chủ của các 1SP trong nước Như vậy hầu hết các tên miễn quốc gia của Việt nam do các máy chủ tên miễn trong nước quản lý

1.2.3 Hoạt động truy vẫn tên miền

._ Hoạt động truy vấn tên miễn tại Việt Nam gồm 2 loại: Truy vân tên miễn cấp

quốc gia và truy vẫn tên miền khác (tên miễn cấp cao và tên niễn của các quốc gia Khác)

1.2.3.1 Truy vẫn tên miền DNS quốc gia (.VN)

1.2.3.2 Truy vẫn tên miễn cấp cao

1.3 Vấn đề tồn tại và hướng nghiên cứu của đề tài

1.3.1 Vấn đề tồn tại

Hiện nay VNNIC mới chỉ khai thác, đánh giá được tổng số truy vân tên miễn

đến các máy chủ DNS, phan chia theo tên miền vn vả tên miễn không phải VN

Những con số trên có được bằng cách thông kê số lượng truy vẫn tên miễn qua

nhật kỷ truy vẫn của từng máy chủ DNS Chưa thực hiện được việc phân tích thông kê sâu hơn, chẳng hạn: Tỷ lệ số truy vẫn theo từng loại tên miền, theo từng tên miền (trong

số tên miễn VNNIC đã cấp, loại địch vụ nào (A, MX, NS, CNAMR) ditoc imy van

nhiều nhất hoàn toàn chư làm được

1.3.2 Hướng nghiên cứu của để tài

TYẻ (hông DNS của VNNIG là hệ thông DNS quốc gia, loàn bộ truy vẫn được tập trung vào hệ thông này đo đó la hoàn toàn có hỗ fhu thập được rất nhiều thông tin qua nhật kỷ DNS: Chẳng hạn: Mức độ sử dịmg tài nguyên Thiemsl, tên miễn nào được truy cập nhiễu, thỏi quan người dũng Internet vào các thời điểm, vị trí địa lý Quá đó có thể phát hiện sớm các cuộc tân công vào hệ thông mạng DXS

Kết luận chương

Trong Chương 1, tắc giá đã trình bày vẫn tắt được các kiến thức cơ bản nhất về

hệ thông tần miễn, các hiện tượng bất thường của hé thing DNS, tic giá cũng đã hoàn

thank nghiên cửa về hoạt động của hệ thông máy chủ tên miễn lnlernet quốc gia (.EN),

các vẫn đề tôn tại đổi với hệ thông máy clới TDNN (VN) và đề xuất được luaông nghiên

cửa của luận văn dược trình bày trong các chương Hến theo.

CHUONG 2: NGHIEN CUU CAC PHUONG PHAP PHAT HIEN

BAT THUONG

Tom tit chuong

Chương 2 nghiền cứu 2 phương pháp phát hiên bắt thường của hệ thông máy

chủ tên miền DNS: (1) Phương pháp phân tích dữ liệu truy vẫn DNS, (2) Phương pháp

giảm sát lưu lượng mạng; nghiên cửu chỉ tiết các giải pháp thư thập, lun trữ, phân tích

dữ liệu, tiếp theo phân tích, so sánh tru và nhược điểm của từng phương pháp đề làm cơ

sở lựa chọn phương pháp tíng dụng cho hệ thông máy chủ tên miền DNS quốc gia

(VN)

2.1 Nghiên cứu các phương pháp phát hiện bất thường

2.1.1 Phương pháp phân tích dữ liệu truy vẫn DNS

2.1.1.1 Giải pháp thu thập log DNS

2.1.1.1.1 Thu thập log trên từng máy chủ DNS

Cách duy nhất có thể thu thập số liệu tray vẫn DNS là bật chế đô ghi lại nhật ký

truy vẫn DNS của phan mem máy chủ DNS, ta chỉ cần thêm các lệnh sau vao file cau hình named.conf của phần mềm DNS server, trong trưởng hợp này 1a phan mém BIND

ỨI:

2.1.1.1.2 Thu thập log DNS tập trung

Như đã phân tích ở chương 1, hệ thống DNS quốc gia cỏ nhiễu máy chủ Để có

thể thu thập log được từ nhiều máy chủ, tác giả Xây, dựng hệ thông thu thap log tap

trung sử dung syslog [26] Thông tin truy vẫn tên miễn của người sử dụng gửi tới các

máy chủ DNS của VNNIC sẽ được ghi lại, gửi qua syslog đến máy chủ sysog server, máy chủ này sẽ lưu lại toàn bộ các log nhận được

Hiện nay, các hệ thông log trên thê giới sử dụng một sô công cụ thu thập vả tập

trung dữ liệu log như:

~_ syslog-ng: Sản phẩm miễn phí của Balabit IT Security, due danh gia 1a tốt nhất

và được sử dụng rông rãi trong cic hé thong UNIX hiện nay http://www balabit.com/products/syslog_ng

- syslogd: Phan mềm tích hợp sẵn trong các hệ thông UNIX, có cơ chế lọc kém

Tác giả chọn giải pháp sử dung phan mém syslog-ng, day la phan mém được

danh gia là so 1 trong cac phan mém syslog, cung cap giải pháp lưu trữ log tập trung, an

toàn Việc truyền thông tin từ các máy chủ đến log server tập trung có thẻ truyền đang

clear text hoặc bảo mật bằng giao thức SSL

Mô hình truyền thông giữa một máy chủ DNS và máy chủ log tập trung sử dung

Hình 2.2: Mô hình thu thập log qua syslog

2.1.1.2 Các giải pháp lưu trữ, sao lưu

Dữ liêu log DNS thu thập được là rất lớn, vì vây cần một giải pháp lưu trữ tiên tiên, lưu trữ dữ liệu lởn và có khả năng mở rộng cao Trong phân này tác giả đi vào phân tích các giải pháp lưu trữ để lựa chọn một giải pháp lưu trữ phủ hợp cho bài toán này,

Hệ thông lưu trữ đóng vai trò rất quan trọng trong tông thể hệ thong ha tang thông tin vì nó lả nơi lưu đữ liệu của toàn hệ thông, có ý nghĩa sông còn đối với doanh

nghiệp Các máy chủ ứng dụng, các mây chủ dịch vụ có thể bị hỏng hoản toàn nhưng

nếu ta giữ được hệ thông lưu trữ thì hệ thông hoàn toàn có thể khỏi phục lại được

nhưng ngược lại nêu ta mắt hệ thông lưu trữ dữ liệu thì không gì có thể cứu văn được

Lưu trữ có thể được thực hiện theo nhiều cách: Sử dụng các ö đĩa gắn trực tiếp vào

server cần lưu trữ, đùng các thiết bị lưu trữ ngoài hoặc xây dung mang ding riêng cho

lưu trữ dữ liện Phương pháp lưu trữ dùng các ô đĩa gắn trực tiếp đã xuất hiện và được

sử dụng từ rất lâu do tính dễ sử dụng của chúng Cùng với sự phát triển của công nghệ, đặc biệt là yêu cầu của người đùng vẻ dữ liêu lưu trữ (dung lượng, tốc độ, khả năng

khôi phục đữ liệu, ảnh hưởng của lưu trữ đèn hiệu năng của toàn hệ thông) nhiều

phương pháp lưu trữ mới được phát triển Mỗi phương pháp có những ưu nhược điểm riêng và được đùng cho những mục đích nhât định, Một sô phương pháp lưu trữ cỏ thể

kê đền như sau:

2.1.1.2.1 Giải pháp lưu trữ trực tiếp (Direct Attached Storage - DAS)

2.1.1.2.2 Giải pháp lưu trữ mạng (Network Atfached Storage - NAS)

2.1.1.2.3 Mạng lưu trữ (Storage Area Network- SAN)

2.1.1.2.4 Giải pháp sao lưu dữ liệu

Sao lưu đữ liệu là một phân không thể thiểu của các hệ thông máy tính, hệ thông

lưu trữ Tác giả sử dụng giải pháp sao lưu tập trưng để giảm tải cho hệ thông may chu,

sử dụng thư viện tape co robot điều khiến đề sao lưu tự động với tốc độ cao đề có thể

Tưu được một sô lượng lớn đữ liệu nhật ký DNS

Hình 2.4: Giải pháp sao lưu SAN

2.1.2 Phương pháp giám sát lưu lượng mạng

2.1.2.1 Giải pháp giám sát lưu lượng mạng

,Khác với phương pháp phân tích dữ liệu truy van DNS thực hiện việc phân tích

trực tiếp các truy vân tên miễn của người sử dụng trên các máy chủ DNS để tìm ra các vân đề bắt thưởng đang hoặc có nguy cơ xây ra đôi với hệ thông, phương pháp giảm sát lưu lượng mạng không trực tiếp phân tích các máy chủ DNS mà thực hiện việc phần tích gián tiếp qua việc theo đối biên đông của lưu lượng mạng bằng Cacti [19]

Phương pháp giám sát lưu lượng mạng dễ thực hiện và không cân can thiệp trực

tiếp vào các máy chủ DNS, Tuy nhiện kết quả thường có đỏ chính xác không cao do

ngoài lưu lượng DNS, hệ thông bao gồm nhiêu loại lưu lượng không mong muôn khác

2.1.2.2 Giải pháp lưu trữ, sao lưu