Áp dụng tri thức về phát hiện, phân loại tấn công từ chối dịch vụ để thiết kế hệ thống bảo vệ

Lợi dụng vấn đề về tính định danh lỏng lẻo của hệ thống Internet, hình thức tấn công từ chối dịch vụ - Denial of Service , sau đây gọi tắt là DoS, đã được sử dụng phổ biến để:  Tạo lập

ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

Mục lục

Lời cảm ơn 2

Mục lục 3

Danh mục các từ viết tắt 6

Danh mục các bảng 7

Danh mục các hình vẽ 8

Mở đầu 9

Chương 1 Tổng quan 10

1.1 Hệ thống mạng Internet 10

1.2 Giao thức TCP/IP 12

1.2.1 Khái niệm về phân lớp 12

1.2.2 Các lớp trong TCP/IP 16

1.2.3 Địa chỉ Internet 17

1.2.4 Giao thức IP 19

1.3 Khái niệm về tấn công DoS 19

1.3.1 Nguyên nhân của các cuộc tấn công từ chối dịch vụ 20

1.3.2 Cơ chế chung của tấn công từ chối dịch vụ 23

1.3.3 Lý do tiến hành tấn công từ chối dịch vụ 23

1.4 Các nghiên cứu có liên quan 24

1.5 Kết luận 25

Chương 2 Nghiên cứu về tấn công Từ chối dịch vụ 26

2.1 Phân loại các hình thức tấn công 26

2.1.1 Mức độ tự động 27

2.1.2 Lợi dụng lỗ hổng để tấn công 32

2.1.3 Tính xác thực của địa chỉ nguồn 33

2.1.4 Cường độ tấn công 34

2.1.5 Khả năng xác định thông tin 35

2.1.6 Độ ổn định của tập máy công cụ 37

2.1.7 Dạng mục tiêu 37

2.1.8 Tác động tới dịch vụ 39

2.2 Phân loại các các cơ chế bảo vệ DoS 40

2.2.1 Phân loại theo cơ chế hoạt động 42

2.2.2 Phân loại theo mức độ hợp tác 48

2.3 Kết luận 50

Chương 3 Tri thức hỗ trợ phát hiện tấn công DoS nhờ mô hình thống kê 51

3.1 Nghiên cứu về phát hiện, chống DDOS theo thống kê 51

3.1.1 Điểm thay đổi 51

3.1.2 Hệ thống EMERALD 52

3.1.3 Cơ chế van điều tiết của Williamson 53

3.1.4 Cơ chế lưu vết IP theo lịch sử kết nối 55

3.2 Sử dụng Entropy để xây dựng mô hình theo dõi 57

3.2.1 Entropy của nguồn tin 57

3.2.2 Xây dựng mô hình Entropy của nguồn tin 59

3.2.3 Phát hiện thay đổi theo ngưỡng 59

3.3 Phản ứng lại DDoS theo lịch sử IP và Van điều tiết 60

3.3.1 Hạn chế theo địa chỉ IP đã biết 60

3.3.2 Điều tiết truy cập theo địa chỉ IP 61

Chương 4 Thiết kế mô hình hệ thống phát hiện và chống lại tấn công DDoS 62

4.1 Mô hình triển khai vật lý 62

4.2 Các thành phần của hệ thống 63

4.2.1 Thiết kế phân lớp của hệ thống 64

4.2.2 Thiết kế chi tiết các thành phần hệ thống 66

4.2.3 Danh sách lưu trữ IP 69

4.3 Đề xuất và khuyến nghị 70

Kết luận 71

Tài liệu tham khảo 72

Phụ lục 73

Danh mục các từ viết tắt

Association

Statistics

Data Analysis

to Anomalous Live Disturbances

and Defense Against DDoS

Danh mục các bảng

Bảng 1 Các lớp trong giao thức TCP/IP 12 Bảng 2 Các giải địa chỉ IP 18

Danh mục các hình vẽ

Hình 1 Phiên truyền tin giữa hai node mạng 14

Hình 2 Kết nối giữa hai hệ thống mạng sử dụng Router 15

Hình 3 Mô hình hoạt động TCP/IP 16

Hình 4 Các lớp địa chỉ IP 18

Hình 5 Cấu trúc gói tin TCP 19

Hình 6 Tấn công DoS theo mô hình phản xạ 22

Hình 7 Phát hiện nguồn tấn công theo kỹ thuật backscatter 41

Hình 8 Thuật toán xử lý cờ SYN 52

Hình 9 Kiến trúc hệ thống EMERALD 53

Hình 10 Xử lý kết nối đến máy trạm 54

Hình 11 Xử lý kết nối có trong hàng đợi 55

Hình 12 Mô hình triển khai của HEDDAD 62

Hình 13 Trình tự xử lý của hệ thống HEDDAD 65

Hình 14 Sơ đồ thiết kế hệ thống nhận dạng và phản ứng 66

Hình 15 Sơ đồ dữ liệu lưu trữ cây IP 70

Mở đầu

Tấn công DDoS không còn là khái niệm xa lạ tại Việt Nam Kể từ năm 1997, khi Internet lần đấu tiên được chính thức hoạt động trong nước, hệ thống mạng dịch vụ tại Việt Nam đã có những bước phát triển nhanh chóng Tới tháng 1 năm 2006, đã

có hơn một tỷ người sử dụng Internet [36], và tại Việt Nam là hơn 5 triệu người sử dụng[35] Các dịch vụ mạng, thương mại điện tử càng phát triển thì đi kèm với đó

là những hoạt động phá hoại, tấn công vào các trang web dịch vụ càng gia tăng Các cuộc tấn công chuyển dần từ tấn công tập trung từ một nguồn chuyển sang tấn công phân tán từ nhiều nguồn Trước tình hình đó, cần có những nghiên cứu chuyên sâu

về tấn công từ chối dịch vụ, cách thức phòng chống, phát hiện và chống lại Trong khuôn khổ luân văn, khái niệm tấn công từ chối dịch vụ phân tán – DDoS cũng đồng nghĩa với từ chối dịch vụ - DoS Luận văn tập trung vào việc nghiên cứu những tiêu chí phân loại tấn công DoS Các nghiên cứu này được kỳ vọng sẽ là những tài liệu mang tính tổng kết về những loại hình tấn công DoS đã biết và sẽ được phát hiện

Bên cạnh đó, luận văn cũng đưa ra một số kỹ thuật có thể được sử dụng để xây dựng những thiết bị phòng chống tấn công DoS Các kỹ thuật này tập trung theo hướng phát hiện sự bất thường trong hoạt động của mạng Hệ thống mạng sẽ được

mô hình hóa bằng những thông số về entropy của thông tin Những sự thay đổi bất thường về entropy sẽ được theo dõi và ghi nhận Khi có sự thay đổi giá trị, các sự bất thường này sẽ được phát hiện dựa trên những phương pháp thống kê và so sánh

mô hình Sau khi phát hiện có những dấu hiệu tấn công, cơ chế bảo vệ sẽ được kích hoạt, hạn chế kết nối theo địa chỉ IP để đảm bảo hoạt động phục vụ của hệ thống được bảo vệ

Chương 1 Tổng quan

Nghiên cứu về DoS dựa trên những những nghiên cứu về bản chất của giao thức TCP/IP Dựa trên họ giao thức TCP/IP, giao thức không xác thực người tham gia truyền tin, có thể nói hệ thống Internet là một hệ thống mở, trong đó mọi người hoạt động đều ngang hàng nhau, không bị kiểm soát Lợi dụng vấn đề về tính định danh lỏng lẻo của hệ thống Internet, hình thức tấn công từ chối dịch vụ - Denial of Service , sau đây gọi tắt là DoS, đã được sử dụng phổ biến để:

 Tạo lập danh tiếng với những kẻ thiếu hiểu biết

 Công cụ cạnh tranh giữa các nhà cung cấp dịch vụ thương mại, truyền tin

 Công cụ tống tiến của những tội phạm mạng

hệ thống mạng Mỗi IMP tại một site có chức năng lưu trữ và chuyển tiếp ( store & forward) gói tin và được kết nối với nhau thông qua các modem, đường truyền leased line, tốc độ khoảng 50kb/s

Đến năm 1970, mạng ARPAnet đã kết nối được 9 điểm và phát triển nhanh chóng những năm tiếp theo Đến năm 1981, đã có 212 host kết nối với tốc độ 2 ngày có một host mới kết nối vào mạng Đến năm 1984, mạng máy tính của bộ Quốc phòng

Mỹ tách khỏi mạng ARPAnet và gọi là mạng MILNET

Sau một thời gian hoạt động, do một số lý do kỹ thuật và chính trị, kế hoạch sử dụng mạng ARPANET không thu được kết quả như mong muốn Vì vậy Hội đồng khoa học Quốc gia Mỹ đã quyết định xây dựng một mạng riêng NSFNET liên kết

các trung tâm tính toán lớn và các trường đại học vào năm 1986 sử dụng giao thức TCP/IP Mạng này phát triển hết sức nhanh chóng, không ngừng được nâng cấp và

mở rộng liên kết tới hàng loạt các doanh nghiệp, các cơ sở nghiên cứu và đào tạo của nhiều nước khác nhau Cũng từ đó thuật ngữ INTERNET ra đời Dần dần kỹ thuật xây dựng mạng ARPAnet đã được thừa nhận bởi tổ chức NSF, kỹ thuật này được sử dụng để dựng mạng lớn hơn với mục đích liên kết các trung tâm nghiên cứu lớn của nước Mỹ Người ta đã nối các siêu máy tính thuộc các vùng khác nhau bằng đường điện thoại có tốc độ cao Tiếp theo là sự mở rộng mạng này đến các trường đại học Ngày càng có nhiều người nhận ra lợi ích của hệ thống mạng trên, người ta dùng để trao đổi thông tin giữa các vùng với khoảng cách ngày càng xa Vào đầu những năm 1990 người ta bắt đầu mở rộng hệ thống mạng sang lĩnh vực thương mại tạo thành nhóm CIX Có thể nói Internet thật sự hình thành từ đây Nhưng chỉ đến khi Tim Berners-Lee phát triển HTML, HTTP tại CERN năm 1991, thì Internet mới thực sự phát triển “bùng nổ” Với công nghệ HTML, các trang web được tạo ra một cách nhanh chóng và tiện lợi cho người sử dụng truy cập, đọc thông tin Năm 1993, trung tâm NCSA tại đại học Illinois đưa ra trình duyệt web Mosaic 1.0, nền tảng cho các trình duyệt web về sau Và bắt đầu từ thời điểm đó, mạng Internet đã phát triển nhanh chóng, lan rộng khắp toàn cầu Tới tháng 1 năm 2006,

đã có hơn một tỷ người sử dụng Internet [33], và tại Việt Nam là hơn 5 triệu người

sử dụng

Ngày nay, với sự phát triển của thương mại điện tử, khó có thể tách rời sự tồn tại của Internet với xã hội loài người Thống kê cho thấy, trong năm 2006, tổng giá trị bán hàng qua mạng sẽ đạt con số 200 tỷ USD [34] Kinh doanh qua mạng Internet, quảng cáo qua Intenret, cung cấp thông tin qua Internet đã là những khái niệm kinh điển Trang web chính là bộ mặt của công ty, là nơi giao dịch mua bán, là nơi tiếp đón người dùng, nơi giao lưu, kết bạn Những mô hình kinh doanh thành công như ebay, yahoo, google ngày nay đã và đang liên tục phát triển

1.2 Giao thức TCP/IP

Họ giao thức TCP/IP cho phép mọi hệ thống máy tính giao tiếp với nhau mà không quan tâm đến quy mô hệ thống, nhà sản xuất phần cứng, hệ điều hành được cài đặt Theo định nghĩa của giao thức, TCP/IP thực sự là một hệ thống mở [22] Nó cho phép triển khai thêm các thành phần với một chi phí thực sự được giảm thiểu và thời gian rút ngắn đáng kể

Phần này giới thiệu một số thông tin cơ bản về họ giao thức TCP/IP, nhấn mạnh vào những cơ chế hoạt động để minh họa cho chương tiếp theo

1.2.1 Khái niệm về phân lớp

Các giao thức trên mạng được phát triển theo những lớp giao thức – layer Mỗi lớp

sẽ có nhiệm vụ xử lý một mức độ giao tiếp khác nhau Họ giao thức TCP/IP được phân chia theo 4 lớp ( để phù hợp với các tài liệu tiếng Anh, giữ nguyên tên gọi của các lớp) Mỗi lớp sẽ đảm nhận một chức năng riêng rẽ

Application Telnet, FTP, SMTP

Link Các trình điều khiển thiết bị và

cổng kết nối

Bảng 1 Các lớp trong giao thức TCP/IP

i Lớp Kết nối – Link: hay còn gọi data-link(liên kết dữ liệu), bao gồm hệ thống các trình điều khiển thiết bị được cài đặt kèm với hệ điều hành và các cổng kết nối mạng có trên hệ thống Mọi chức năng xử lý phần cứng được thiết lập tại lớp này

ii Lớp mạng – network: hay còn gọi là lớp internet xử lý việc di chuyển của các gói tin trong toàn mạng Một số chức năng quan trọng được thực hiện tại lớp này: định tuyến (routing), thông báo lỗi (ICMP) Lớp này có 3 giao thức cơ bản là IP, ICMP

và IGMP

iii Lớp giao vận – transport: điều khiển luồng dữ liệu giữa 2 host (máy tính) Có 2 giao thức xử lý tương đối khác nhau là TCP và UDP (User Datagram Protocol) Với giao thức TCP các luồng dữ liệu được phân chia hoặc gộp vào tạo thành các

“bó” có kích thước phù hợp với lớp mạng ở dưới Ngoài ra, TCP có nhiệu vụ thông báo xác nhận cho các gói tin đã đến, thiết lập thời gian chờ (timeout) cho các gói tin gửi đi v.v Với các phiên truyền tin sử dụng TCP đô tin cậy của phiên truyền tin đã được đảm bảo nên tầng Ứng dụng – Application có thể không cần quan tâm đến việc này

Trái lại, với giao thức UDP, phiên truyền tin được thực hiện đơn giản hơn Phía gửi chi gửi một loạt các gói dữ liệu – datagrams mà không “quan tâm” đến việc liệu gói tin có thể đến được phía nhận hay không Tầng Application sẽ phải xử lý tính tin cậy của phiên truyền tin

iv Lớp ứng dụng – Application : Xử lý chi tiết các phiên làm việc theo từng ứng dụng Có rất nhiều ứng dụng khác nhau được xây dựng dựa trên những giao thức tầng Ứng dụng như:

FTP Client FTP Server

TCP

IP

Ethernet driver

TCP

IP

Ethernet driver

Xử lý các vấn

đề về truyền tin

Ethernet

Hình 1 Phiên truyền tin giữa hai node mạng

Giả thiết có 2 máy tính trong mạng LAN, một máy đóng vài trò là máy chủ FTP – FTP server Máy còn lại là FTP Client Mô hình làm việc client-server là mô hình phổ biến, áp dụng cho phần lớn các ứng dụng trên mạng Trong mô hình này, máy server sẽ cung cấp dịch vụ cho máy client truy cập vào sử dụng

Mỗi lớp sẽ có một hoặc nhiều giao thức phục vụ cho việc kết nối truyền tin giữa lớp tương ứng của máy trạm với máy đích Theo hình trên, lớp Application thường là các tiến trình của người dùng 3 lớp ở dưới thường được cài đặt vào trong hệ thống – hệ điều hành Tại lớp này, các hoạt động cơ bản của ứng dụng được xử lý về mặt logic Không hề có sự liên quan đến việc lưu chuyển dữ liệu qua mạng tại đây Các lớp ở dưới thì lại ngược lại, không hề có liên quan đến các xử lý logic của ứng dụng

mà chỉ quan tâm đến việc xử lý lưu chuyển các luồng dữ liệu qua mạng

Ngoài việc xử lý các luồng thông tin giữa 2 host như mô tả trên, lớp Mạng còn có một nhiệm vụ khác: liên kết các hệ thống mạng khác nhau Internet là một liên kết lớn gồm nhiều mạng khác nhau Các vùng mạng được kết nối với nhau thông qua

các thiết bị định tuyến – Router Các router thường là những thiết bị được sản xuất

từ những phần cứng chuyên dụng Các thiết bị này sẽ đảm nhận việc kết nối giữa các loại mạng khác nhau : Ethernet, token ring, point-to-point v.v Thuật ngữ router trong tài liệu này là chỉ đến các thiết bị định tuyến cho mạng IP như trên Ngoài ra, còn có một thuật ngữ khác thường được sử dụng là Gateway Nhưng hiện nay, khái niệm gateway đã được chuyển sang chỉ các phần mềm ứng dụng có nhiệm vụ kết nối 2 vùng giao thức khác nhau : PSTN-SIP gateway, Voice-data gateway

Hình dưới đây mô tả kết nối giữa hai mạng Ethernet và Token ring bởi một router Sau khi có kết nối, mọi host trong mạng Ethernet đều có thể kết nối truyền tin tới các host trong mạng Token-Ring

Router TCP Protocol

Ethernet Protocol

FTP Protocol

Ethernet

IP

Ethernet driver

Token Ring driver

Token Ring Protocol

IP Protocol IP Protocol

Token Ring

Hình 2 Kết nối giữa hai hệ thống mạng sử dụng Router

Trong TCP/IP, lớp Network hoạt động theo cơ chế không tin cậy (best efford, unreliable) Các gói tin truyền qua lớp Network sẽ được phát chuyển tiếp tục nhưng không được đảm bảo là sẽ đến đích Nhiệm vụ điều khiển luồng, kiểm soát lỗi sẽ

được giao cho lớp TCP, như đã nói ở trên TCP có nhiệm vụ thiết lập thời gia chờ, gửi – nhận các gói tin điều khiển để đảm bảo thông tin có thể dến được đích

Mỗi Router sẽ có ít nhất 2 lớp Network xử lý thông tin vì chúng có nhiệm vụ liên kết từ 2 lớp mạng trở lên Những hệ thống có nhiều giao tiếp kết nối thì được gọi là

đa diện – multihomed Một máy tính có thể có nhiều giao tiếp kết nối những chỉ khi thực hiện chức năng chuyển tiếp thông tin giứa các giao tiếp thì mới được gọi là router

1.2.2 Các lớp trong TCP/IP

Tại mỗi lớp trong họ giao thức TCP/IP, có một vài giao thức đảm nhận các nhiệm

vụ khác nhau

UDP TCP

User

process

User process

User process

User process

Hardware Interface

Hình 3 Mô hình hoạt động TCP/IP

Trong mô hình TCP/IP, lớp TCP và UDP đóng vai trò cầu nối giữa lớp Ứng dụng

và lớp mạng

TCP cung cấp chức năng truyền dữ liệu tin cậy Một số giao thức phổ biến ứng dụng trên nền TCP là: HTTP, SMTP, Telnet, FTP… Các bản tin gửi và nhận trên lớp TCP gọi là Segment

Các bản tin dữ liệu gửi và nhận trên UDP gọi là datagram Khác với TCP, UDP cung cấp truyền thông dữ liệu theo cơ chế không tin cậy Cơ chế phù hợp với những ứng dụng có tần suất truy cập ngẫu nhiên và sử dụng ít dữ liệu: DNS, SNMP

Lớp IP là lớp xử lý chính trong tầng mạng Mọi dữ liệu sau khi đi qua lớp TCP hoặc UDP đều sử dụng dịch vụ do lớp IP cung cấp

Trong lớp mạng, bên cạnh IP còn có giao thức ICMP IP sử dụng các bản tin ICMP

để trao đổi các bản tin thông báo lỗi, các thông tin thiết yếu trong việc xử lý định tuyến, chuyển phát các gói tin qua router hoặc host Không chỉ có tầng IP mới sử dụng dịch vụ của ICMP, một số ứng dụng từ tầng Application cũng có thể truy cập vào các dịch vụ cung cấp bởi ICMP: Ping, traceroute

Bên cạnh các phương thức truyền trực tiếp giữa hai host – Unicast, truyền tin quảng

bá - Broadcast còn có phương thức truyền đa điểm – Multicast IGMP là giao thức

hỗ trợ cho việc phát tin Multicast : truyền trực tiếp các gói tin UDP tới rất nhiều host một cách đồng thời

1.2.3 Địa chỉ Internet

Mọi giao tiếp kết nối vào mạng Internet đều phải có một địa chỉ Internet nhất định

và địa chỉ này thường được gọi là địa chỉ IP Với phiên bản Ipv4 hiện tại, mỗi địa chỉ IP đều có độ dài bằng nhau và bằng 32 bit Hệ thống địa chỉ IP được phân chia theo cấu trúc lớp Có 5 lớp địa chỉ khác nhau ( hình dưới đây ) :

Các địa chỉ IP thường được viết liên nhau 4 số thập phân, mỗi số thể hiện giá trị thập phân của byte tương ứng Ví dụ, địa chỉ của www.vnnic.net có dạng

203.119.8.101

Hình 4 Các lớp địa chỉ IP

Các lớp địa chỉ được phân biệt bởi byte đầu tiên bên trái

Lớp địa chỉ Khoảng địa chỉ

1.2.4 Giao thức IP

Cung cấp cơ chế truyền tin kiểu không tin cậy Khi có lỗi xảy ra trong phiên truyền tin, IP sẽ loại bỏ gói tin đó và gửi một bản tin ICMP thông báo lỗi ngược về phía nguồn phát tin Trách nhiệm đảm bảo độ tin cậy được lớp TCP đảm nhận hoặc lớp Application đảm nhận nếu là UDP Bên cạnh đó, IP sử dụng phương thức không kết nối – connectionless Trong phiên truyền tin, IP không duy trì bất kỳ thông tin nào

về trạng thái truyền của các gói tin Thứ tự đến đích của các gói tin có thể tùy ý

IP header

Độ dài của tiêu đề gói tin IP là 20 bytes trong trường hợp không có thông tin tùy chọn (option)

Hình 5 Cấu trúc gói tin TCP

1.3 Khái niệm về tấn công DoS

Tấn công từ chối dịch vụ là những hành động cụ thể nhằm ngăn cản khả năng cung cấp của một dịch vụ nào đó [27] Tấn công phân tán từ chối dịch vụ sử dụng nhiều

thực thể tấn công để thực hiện Hiện nay, hầu hết các mô hình tấn công từ chối dịch

vụ đều thực hiện theo mô hình phân tán Trong tài liệu này, khi tham chiếu đến tấn công từ chối dịch vụ có nghĩa bao gồm cả tấn công từ chối dịch vụ dạng phân tán Dạng thức thường gặp nhất là sử dụng một số lượng rất lớn các gói tin tới nạn nhân Dòng “thác lũ” gói tin này có thể là những gói tin vô nghĩa – chiếm băng thông hoặc những gói tin chuẩn tuân theo giao thức để chiếm tài nguyên

Một dạng khác là kẻ tấn công sẽ gửi các gói tin khai thác lỗi hệ thống để làm cho máy chủ ( thiết bị ) phải ngừng hoạt động, khởi động lại, hỏng phần cứng

Dạng thức khác nữa là kẻ tấn công nhằm vào hạ tầng truyền dẫn Internet để gây ra

từ chối dịch vụ Tháng 10 năm 2002 đã ghi nhận những cuộc tấn công nhằm vào các máy chủ DNS trên Internet và gây ra đình trệ trong nhiều giờ [14] Trong cuộc tấn công này, 9/13 máy chủ Internet toàn cầu đã bị ngừng hoạt động Kẻ tấn công đã gửi hàng loạt gói tin PING làm tắc nghẽn đường truyền tới các máy chủ này và ngưng trệ các hoạt động phân giải tên miền

1.3.1 Nguyên nhân của các cuộc tấn công từ chối dịch vụ

Hệ thống mạng internet dựa trên nên tảng là họ giao thức TCP/IP như đã nói ở trên

Mô hình hoạt động của Internet là chuyển gói tin nhanh nhất có thể từ trạm nguồn tới trạm đích Hệ thống mạng trung gian đống vai trò hỗ trợ chuyển tiếp dịch vụ Các quy ước hoạt động được trạm nguồn và trạm đích tự thỏa thuận ( ứng dụng ) Theo cơ chế này, khi một trong hai phía tham gia truyền tin gặp sự cố - hoạt động sai (vô tình hoặc cố ý) thì đều dẫn tới những sự cố Những mạng trung gian trong quá trình truyền tin hoàn toàn không đóng một vai trò nào có thể thay đổi được những sự cố đó Nói một cách khác, hoạt động truyền tin trên Internet là tự do, không có sự cản trở nào có thể tác động được hoạt động truyền tin Ví dụ điển hình

là khả năng giả mạo địa chỉ IP – IP spoofing[29] Phía gửi tin có thể dễ dàng thay đổi trường địa chỉ nguồn của gói tin TCP/IP Phía nhận không thể phân biệt được trường địa chỉ đã bị thay đổi hay chưa

Mức độ an toàn của Internet phụ thuộc vào mọi thành phần tham gia kết nối Các cuộc tấn công phân tán từ chối dịch vụ thường được bắt đầu từ những hệ thống bị chiếm quyền quản lý do mắc các lỗi bảo mật Cho dù máy chủ có được bảo mật như thế nào thì độ an toàn của máy chủ, dịch vụ vẫn phụ thuộc rất lớn vào phần còn lại của các hệ thống máy chủ trên Internet[30]

Các tài nguyên của Internet là hữu hạn Tài nguyên Internet được tập hợp từ tài nguyên của các mạng kết nối chung, là tài nguyên của các máy chủ cung cấp dịch

vụ Các máy chủ này có tài nguyên hữu hạn về chíp, về dung lượng bộ nhớ, khả năng lưu trữ Nếu có quá nhiều yêu cầu cung cấp dịch vụ thì máy chủ sẽ bị quá tải

và không thể tiếp tục cung cấp dịch vụ ổn định

Phân bố tài nguyên cũng không được sắp xếp hợp lý Trong mô hình giao tiếp điểm đầu – điểm cuối, phân lớn các công tác xử lý được dồn cho các các điểm mút mà không tính đến năng lực xử lý của các chặng trung gian, vô hình chung làm lãng phí khả năng xử lý của các nút trung gian truyền tin Các nút tham gia xử lý mong muốn có nhiều băng thông để truyền tin mà không quan tâm đến khả năng cung cấp tại các nút trung gian Chính điều này đã dẫn đến việc các hệ thống máy client có thể cố tình thực hiện sai việc cấp phát tài nguyên trong quá trình truyền tin làm cho phía máy chủ có khả năng bị nghẽn mạng do quá tải băng thông

Tính định danh trên Internet là không chặt chẽ Bất kỳ các trạm truyền tin nào ( máy tính, thiết bị mạng ) đều có khả năng thay đổi trường địa chỉ IP nguồn để giả mạo

nguồn gốc xuất phát Một số phương thức tấn công dạng reflection [15] hoặc smurf

[28] Trong tấn công reflection, kẻ tấn công có thể sử dụng các reflector – máy chủ web, máy chủ DNS, thiết bị định tuyến Các reflector sẽ trả lời lại các truy vấn tới chúng dựa theo trường địa chỉ nguồn được cấp trong gói tin IP Các truy vấn này có thể là các truy vấn SYN, ICMP time exceeded hoặc Host Unreachable Để có thể khởi động được tấn công dạng này, trước hết, kẻ tấn công phải thu thập một tâp hợp rất lớn các reflectors – ví dụ khoảng 1 triệu địa chỉ Sau đó, từ một số máy trạm đã

bị kiểm soát, các truy vấn với địa chỉ giả mạo là địa chỉ của nạn nhân (V) sẽ được gửi tới các reflector (R) Các reflector sẽ tạo ra các bản tin trả lời gửi trả lại V Kết

quả là sẽ có một số lượng cực lớn các gói tin truyền đến V vào cùng một thời điểm, xuát phát từ hàng trăm ngàn địa chỉ

Hình 6 Tấn công DoS theo mô hình phản xạ

Trong tấn công smurf, kẻ tấn công sử dụng gói tin IMCP echo request giả mạo và tính chất gửi quảng bá để tấn công Có 3 thành phần trong mô hình tấn công này :

kẻ tấn công(máy chủ gửi gói tin tấn công, trạm trung gian, nạn nhân Khi máy trạm trung gian nhận được gói tin ICMP echo-request có địa chỉ đích là địa chỉ quảng bá (của lớp mạng của mình), tất cả các máy trạm khác cũng sẽ nhận được gói tin ICMP

này và trả lời lại theo đúng giao thức ICMP quy định( nếu máy trung gian không thực hiện lọc gói tin) Địa chỉ nguồn của gói tin ICMP sẽ là địa chỉ của máy nạn nhân V Và như vậy, khi có gói tin ICMP giả, V sẽ nhận được hàng ngàn gói tin ICMP trả lời lại và hệ thống kết nối của V sẽ bị ảnh hưởng tùy theo mức độ tấn công từ mức chập chờn đến nghẽn hoàn toàn

Cơ chế kiểm soát của Internet là phân tán Mỗi tổ chức tự quản lý hệ thống mạng của mình theo một chính sách nhất định, không tuân theo một tiêu chuẩn cụ thể Không có một cơ chế nào bắt buộc mọi thành phần tham gia kết nối Internet phải tuân thủ một chuẩn mực an toàn an ninh nhất định

1.3.2 Cơ chế chung của tấn công từ chối dịch vụ

Phần lớn các cuộc tấn công từ chối dịch vụ đều được thực hiện theo nhiều giai đoạn Trước hết, kẻ tấn công sẽ phải “tuyển lựa” một tập hợp các máy “công cụ” Trong

giai đoạn này, quá trình sẽ được thực hiện một cách tự động bằng cách quét thăm

dò các lỗ hổng bảo mật chưa được sửa Các hệ thống mắc lỗi sẽ bị lợi dụng, xâm nhập để cài đặt các mã tấn công Quá trình này cũng thường được thực hiện tự

động Các máy trạm bị chiếm quyền điều khiển lúc này sẽ được sử dụng để thực hiện “tuyển lựa” các máy khác Quá trình tuyển lựa/thăm dò/xâm nhập có thể được thực hiện qua rất nhiều phương thức khác nhau: gửi email, copy qua các lỗ hổng chia sẻ file …

Trong quá trình tấn công, kẻ tấn công thường sẽ che giấu định danh của máy bị chiếm quyền qua việc giả mạo địa chỉ IP để tránh bị phát hiện

1.3.3 Lý do tiến hành tấn công từ chối dịch vụ

Mục tiêu chính của tấn công từ chối dịch vụ là làm ngưng trệ khả năng cung cấp dịch vụ tại phía nạn nhân Lý do thường xuất phát từ những lý do cá nhân: muốn được nổi danh trong giới hacker Hoặc sử dụng để tống tiền các công ty cung cấp dịch vụ vì lý do kinh tế, chính trị Rộng hơn, khi một quốc gia này có chiến tranh

với một quốc gia khác, ngoài những tranh chấp thực tế, tranh chấp về công nghệ thông tin, Internet cũng được xem như một vũ khí lợi hại Trong một số trường hợp, nạn nhân thực của cuộc tấn công không phải là các thiết bị cung cấp dịch vụ mà là các công ty, cá nhân hưởng lợi từ các dịch vụ đó

1.4 Các nghiên cứu có liên quan

Đã có nhiều nghiên cứu về phát hiện tấn công DDoS theo những định hướng khác nhau Một số nghiên cứu đã được tiến hành căn cứ vào phương thức tấn công để phát hiện các cuộc tấn công đang diễn ra MULTOPS [9] là cơ chế duy trì dữ liệu theo dõi các thông tin vào ra hệ thống để phát hiện các dạng tấn công gây tràn ngập băng thông Các thiết bị mạng sẽ duy trì một cây dữ liệu, lưu trữ thông tin về tần suất gửi nhận gói tin của các lớp mạng phân chia theo tiền tố nhất định Hining Wang [24] nghiên cứu về sự thay đổi đột ngột số lượng các gói tin TCP SYN để phát hiện kiểu tấn công DDoS sử dụng TCP SYN Wang giả thiết rằng số lượng gói tin SYN/FIN hoặc SYN/RST là xấp xỉ nhau theo cơ chế bắt tay ba bước của TCP Trong trường hợp phát hiện số lượng gói tin SYN tăng đột biến với số lượng, tần xuất rất lớn thì có thể giả thiết là đang có tấn công Trong giải pháp CenterTrack[23], với những dạng tấn công giả mạo địa chỉ DoS, các gói tin đi tới sẽ được chuyển hướng tới những router chuyên làm nhiệm vụ kiểm tra ngược đường đi

để tìm ra nguồn của kết nối Giải pháp này yêu cầu có một số router đủ mạnh đứng

trung gian theo nghĩa là số hop bằng ½ số hop từ nguồn đến đích

Một hướng nghiên cứu khác là cố gắng làm giảm nhẹ tác hại của tấn công DDoS R Mahajan đề xuất phương thức báo hiệu cho các router phía nhà cung cấp (upstream)

để điều khiển lưu lượng kết nối đến hệ thống trong trường hợp xảy ra tấn công Với giả thiết là khi xảy ra tấn công DDOS, đường kết nối Internet của hệ thống sẽ bị nghẽn bởi những gói tin tấn công Điều này có thể xác định bằng cách theo dõi hệ

số mất gói tin của đường truyền Chỉ số mất tin này có thể được theo dõi liên tục

Khi phát hiện chỉ số đột ngột tăng cao thì có thể kết luận là đường truyền đang bị nghẽn Khi đó, một cơ chế xử lý nghẽn cục bộ (local Aggregates Congestion Control) sẽ được kích hoạt để khắc phục Để phân biệt các thông tin bị nghẽn là do

tấn công hay do các lý do khác, tập hợp các chữ ký nghẽn tương tự như chữ ký tấn

công sẽ được tập hợp và so sánh

Một hướng nghiên cứu về phát hiện tấn công DDoS khác là sử dụng nghiên cứu về phổ tín hiệu của các luồng tin đến hệ thống Chen-Mou Cheng[5], đại học Havard, theo dõi số lượng gói tin đến trong một luồng tin, trong một những khoảng thời gian nhất định, tìm sự thay đổi của phổ tín hiệu Giả định của Cheng là những luồng TCP bình thường sẽ có những chu kỳ lặp lại rõ ràng trong khoảng round-trip time của chúng, theo cả hai hướng đi và về Những luồng TCP tấn công sẽ không có đặc điểm đó

1.5 Kết luận

Tấn công từ chối dịch vụ là một dạng tấn công gây ra rất nhiều thiệt hại cho hạ tầng, hoạt động kinh doanh, dịch vụ của toàn cộng đồng Internet Có nhiều nguyên nhân, động cơ cho các cuộc tấn công từ chối dịch vụ Từ những động cơ cá nhân, chỉ để thỏa mãn tính hiếu thắng cho đến những động cơ vì chính trị, kinh tế cũng đều có thể xảy ra Đã có nhiều nghiên cứu về những phương pháp phòng chống, về những dạng thức tấn công Hầu hết các nghiên cứu này đều chỉ ra rằng có rất nhiều dạng tấn công khác nhau và khó có một phương pháp nào có thể phòng chống toàn diện tấn công DoS Đối với những người nghiên cứu về tấn công DoS hay DDoS, việc phân loại các hình thức tấn công cũng như phòng chống là một công việc cần phải thực hiện, thống nhất trong cộng đồng Hệ thống phân loại này sẽ giúp cho công tác nghiên cứu, dự đoán loại hình mới hoặc những người mới nghiên cứu sẽ dễ dàng nắm bắt hơn Chương 2 sẽ tập trung vào những vấn đề chủ yếu của tấn công DDoS : phân loại các loại hình tấn công, phân loại các loại hình phòng chống

Chương 2 Nghiên cứu về tấn công Từ chối dịch vụ

Đã có rất nhiều nghiên cứu về tấn công DoS Có nhiều khái niệm được đưa ra, nhiều mô hình về tấn công và bảo vệ được nghiên cứu Vì thế, để nắm được cái nhìn đầy đủ thông tin về tấn công DoS cần phải có những sự phân loại, cơ chế phân tích,

cơ chế phản ứng lại với DoS Từ những thông tin nền tảng này thì mới có thể có những nghiên cứu sâu hơn về tấn công DoS

2.1 Phân loại các hình thức tấn công

Hệ thống phân loại được đề cập dưới đây dựa theo tiêu chí: bao trùm những loại hình tấn công đã biết và những dạng tấn công chưa xuất hiện nhưng có khả năng diễn ra theo cơ chế đã được đề cập Bên cạnh đó, việc phân loại cơ chế bảo vệ cũng được đưa theo các tiêu chí đã được công bố và các tiêu chí của những sản phẩm thương mại

Mọi sự phân loại, so sánh đều có thể chứa đựng những thiếu sót và chưa đầy đủ Ở đây, theo [12], các loại hình tấn công và bảo vệ cần được thường xuyên cập nhật, sửa đổi để phù hợp với thực tế hoạt động Một vài loại hình tấn công từ chối dịch vụ

có thể thuộc nhiều cơ chế khác nhau, tùy theo thực tế diễn ra

Cơ chế đánh mã ở đây được tác giả đề xuất dựa theo mã viết tắt của tên loại hình Mỗi loai hình tấn công sẽ có tên bao gồm chữ viết tắt của loại hình chính, số kèm theo được nối bởi gạch ngang Mô hình phân loại sẽ được tổ chức theo hình cây thư mục Bắt đầu bằng tên mô tả cơ chế chung nhất, tiếp theo là các lá – tên của loại hình tấn công có dạng tương tự những được đề cập chi tiết Ví dụ: Nếu là tấn công

có cơ chế là tự động – Degree of Automation sẽ được đánh dấu: DA Loại hình con của DA: bán tự động – semi automation sẽ có tên là DA-2 Trong loại hình thứ 2 này, để phân biệt rõ hơn, ví dụ về cơ chế liên lạc : communication mechanism sẽ có

tên: DA-2:CM Đề phù hợp với các tài liệu tham chiếu tiếng Anh, trong tài liệu này, tên phân loại sẽ được giữ nguyên bản

2.1.1 Mức độ tự động

Dựa trên các giai đoạn thu thập máy công cụ, khai thác lỗ hổng và cài đặt mã, tùy theo mức độ tự động hay thủ công ta có thể phân chia ra các loại hình DDoS khác nhau Mức độ tự động có thể phân chia theo : thủ công - manual, bán tự động – semi automatic, tự động - automatic

DA-1: Manual – Thủ công

Kẻ tấn công tự tìm kiếm các máy tính theo phương thức thủ công và xâm nhập, cài đặt từng máy để phát động tấn công Những hình thái đầu tiên của tấn công DoS thực hiện theo phương thức này Hiện tại, hầu hết các pha thu thập máy công cụ đều được thực hiện tự động

DA-2: Semi-Automatic(Bán tự động):

Trong mô hình tấn công bán tự động, mạng máy tính công cụ tấn công sẽ bao gồm một(một vài) máy tính chủ và các máy phụ thuộc (nô lệ, máy trạm, máy ma) Các giai đoạn thu thập máy công cụ, kiểm tra lỗ hổng và cài đặt mã đều được thực hiện

tự động Khi muốn thực hiện tấn công, kẻ tấn công sẽ thông qua máy chủ để ra lệnh cho các máy phụ thuộc gửi các gói tin, truy vấn tấn công đến máy nạn nhân

DA-2:CM: - Communication Mechanism

Phương thức kết nối bán tự động được thiết lập giữa các máy chủ và máy phụ thuộc Có thể phân chia thêm một mức là tấn công với kết nối trực tiếp và tấn công với kết nối gián tiếp

DA-2:CM-1: Kết nối trực tiếp:

Trong tấn công DoS sử dụng kết nối trực tiếp giữa máy chủ điều khiển và mạng máy tính phụ thuộc, các máy phụ thuộc phải biết địa chỉ máy chủ và ngược lại Thông thường, định danh của máy chủ sẽ được xác định trực tiếp vào trong mã tấn công được cài đặt trên máy phụ thuộc Mỗi máy trạm sẽ thường xuyên “báo cáo” về tình trạng của mình tới máy chủ Chỉ cần tìm được mã trên một máy bị nhiễm thì có thể phát hiện toàn bộ mạng tấn công Bên cạnh đó, nếu có một chương trình theo dõi mạng thì có thể phát hiện ra các kết nối trực tiếp giữa máy trạm và máy chủ

DA-2:CM-2: Kết nối gián tiếp

Tấn công sử dụng kết nối gián tiếp thường lợi dụng những phương thức kết nối ít bị nghi ngờ Truyền tin qua các kênh chat IRC là một ví dụ điển hình[30] Các máy trạm sẽ kết nối đến các kênh chat IRC để nhận các mã lệnh điều khiển Tuy thuộc vào mức độ theo dõi các hoạt động của kênh chat IRC, nhà quản trị có thể phát hiện được cuộc tấn công và người phát động Nhưng bên cạnh đó, kẻ tấn công cũng sẽ thường xuyên thay đổi kênh điều khiển, sử dụng kênh trong một thời gian ngắn rồi chuyển kênh Kênh chat IRC là một dịch vụ tương đối phổ biến trên Internet nên khó có thể yêu cầu các nhà quản trị chặn kênh IRC Hiện có rất nhiều tài liệu hướng dẫn sử dụng IRC và điều khiển các mạng “ma” qua IRC cho những người không phải chuyên gia cũng có thể sử dụng được [8]

DA-3: Tự động

Các giai đoạn “tuyển mộ”, kiểm tra lỗi, cấy mã tấn công đều được thực hiện tự động Kẻ tấn công không hề có sự kiểm soát hoặc tương tác nào với các máy phụ thuộc Các thông số khác như thời gian tấn công, kiểu tấn công, tần suất tấn công, nạn nhân của cuộc tấn công đều đã được quy định cứng trong mã tấn công Để khởi động, kẻ tấn công chỉ thực hiện một động tác ban đầu là khởi động sự truyền lan của

mã tấn công Thông thường, sau khi kiểm soát được máy phụ thuộc, các mã cài đặt

sẽ tạo thêm một cổng sau để kẻ tấn công có thể lợi dụng kiểm soát lại máy tính này Trong trường hợp sử dụng IRC, kẻ tấn công còn có thể lợi dụng các kênh chat để nâng cấp mã tấn công

DA-2 & DA-3: Phương thức quét thăm dò máy “công cụ” – Host scanning and

Vulnerability scanning strategy

Cả hai nhóm tự động và bán tự động đều thực hiện công đoạn “tuyển mộ” thông qua việc lan truyền worm( sâu ) hoặc Troajan Theo như nghiên cứu của Yegneswaran [26] thì hàng ngày có khoảng 3 triệu lượt quét thăm dò trên Internet Trong số này, từ 20% đến 60% là các lượt quét thăm dò lỗi bảo mật của các máy chủ Web là một phần trong sự lan truyền của các sâu Internet Mục tiêu của việc

thăm dò này là lựa chọn ra tập hợp những địa chỉ có khả năng bị lỗi bảo mật để thực hiện việc quét lỗ hổng bảo mật trên đó Dựa theo phương thức quét thăm dò, có thể phân chia ra các phương thức con : quét thăm dò ngẫu nhiên, quét theo danh sách đã định, quét theo topo mạng, quét theo hoán vị và quét theo lớp mạng

Dựa theo phương thức quét lỗ hổng, ta có các phương thức: quét dọc (quét lỗ hổng trên một máy), quét ngang (quét dịch vụ trên một lớp mạng), kết hợp, quét ẩn (tần suất quét rất thấp để tránh bị phát hiện) [26]

DA-2 & DA-3:HSS-1: Quét ngẫu nhiên

Trong quá trình này, mỗi máy tính đã bị nhiễm mã tấn công sẽ chọn một khoảng IP ngẫu nhiên để quét Sâu Code Red v2 sử dụng mô hình quét này [13] Mô hình quét ngẫu nhiên sẽ tạo ra một lượng thông tin rất lớn di chuyển trong mạng Sau một khoảng thời gian, khi mà mật độ lan truyền đã tăng lên đến điểm cực đại, sẽ có một

số sự quét trùng lặp xuất hiện Phát hiện dạng quét mạng này tương đối dễ dàng vì lưu lượng thông tin truyền đi là rất lớn

DA-2 & DA-3: HSS-2: Quét danh sách

Việc quét mạng sẽ được thực hiện dựa theo một danh sách được cung cấp từ bên ngoài Khi một máy tính phát hiện ra một máy khác có khả năng bị lây nhiễm, nó sẽ thực hiện tấn công, cài đặt mã lên máy tính đó và gửi một phần danh sách quét hiện

có cho máy đó Quét theo danh sách cho phép đạt tốc độ quét rất lớn và tránh được tình trạng lặp như Quét ngẫu nhiên Theo [21], nếu có một danh sách tốt, khả năng toàn bộ Internet bị nhiễm sâu trong vòng 30 giây là điều có thể Tuy nhiên, danh sách quét phải được tổ chức bao gồm các địa chỉ tốt theo nghĩa có thể bị tấn công dễ dàng Việc thu thập các địa chỉ này được thực hiện thông qua các thu thập thông tin sẵn có trên Internet hoặc sử dụng các máy đã bị chiếm quyền điều khiển bí mật quét địa chỉ Truyền tải được danh sách đó đến máy bị nhiễm mã độc cũng là một vấn đề phải được cân nhắc Một danh sách có 10 triệu địa chỉ sẽ có độ lớn tương đương với 40MB

DA-2&DA-3 :HSS-3 : Quét theo topo mạng

Quét theo topo mạng [21] sử dụng những phương thức truyền tin mà quen thuộc với người sử dụng như: email, chia sẻ file, các trang web chứa mã độc, mạng ngang hàng Một số virus sử dụng nhiều dạng thức kết hợp với nhau để tăng tốc độ lan truyền Virus Nimda [26] sử dụng kết hợp tất cả các dạng trên để lan truyền trên Inernet với tần suất quét mạng và mức độ lan truyền rất lớn

DA-2&DA-3:HSS-4: Quét theo hoán vị

Trong mô hình quét mạng dựa theo các máy tính bị lây nhiễm sâu sẽ có chung hoán

vị ngẫu nhiên của một không gian địa chỉ IP nào đó Trước khi bắt đầu quét theo hoán vị, một danh sách quét sẽ được sử dụng để tạo ra tập hợp các máy ban đầu Những máy ban đầu này sẽ sử dụng địa chỉ IP của chúng để tính toán tìm ra hạt nhân hoán vị Sau khi đã có không gian hoán vị IP, máy tính sẽ lựa chọn ngẫu nhên một địa chỉ IP trong không gian đó để tiến hành quét mạng Trong trường hợp máy tính quét phải một máy đã được quét, nó sẽ chọn lại ngẫu nhiên một địa chỉ khởi đầu khác Kỹ thuật này thực ra được mô tả như một kỹ thuật lý thuyết [21]

DA-2&DA-3:HSS-5: Quét theo các lớp mạng

Máy tính bị nhiễm sâu thực hiện quét và lây nhiễm cho toàn bộ các máy tính thuộc cùng lớp mạng của mìn Với cách thức này, tất các các máy tính ở sau firewall đều

bị nhiễm virus Trong trường hợp hệ thống mạng được trang bị các điểm thu thập thông tin, đưa ra cảnh báo kịp thời tới người quản trị hoặc có thể tự động xử lý thì mới có thể chống lại

DA-2&DA-3: VSS-1 Quét theo từng địa chỉ

Máy tính thực hiện quét nhiều cổng dịch vụ có khả năng bị lỗi trên một từng địa chỉ/máy để tìm ra cách thâm nhập

DA-2&DA-3:VSS-2 Quét theo dịch vụ

Máy tính thực hiện quét toàn bộ các địa chỉ theo một cổng/dịch vụ để tìm ra máy nào có thể xâm nhập được

DA-2&DA-3:VSS-3 Quét phối hợp

Sử dụng kết hợp việc quét dịch vụ và quét theo địa chỉ Phương thức này được dùng

để tìm ra lỗi trong một hệ thống mạng cụ thể

DA-2&DA-3 :VSS-4 Quét bí mật

Hoạt động quét mạng được thực hiện với tần xuất rất nhỏ, đủ để không bị phát hiện, nghi ngờ Phương thức này đòi hỏi thực hiện với thời gian dài

DA-2&DA-3 :PM – Phương thức lan truyền

Sau giai đoạn “tập hợp địa chỉ” và “tìm kiểm lỗ hông”, máy tính công cụ sẽ thực hiện việc “lây nhiễm” mã tấn công lên các địa chỉ/máy đã tìm được Các tiêu chí dựa theo để phân loại là : một nguồn phát tán, phát tán theo mô hình xâu chuỗi, phát tán tự động [12]

DA-2&DA-3:PM-1: Một nguồn phát tán

Mã tấn công được lưu trên một hoặc nhiều máy chủ Sau khi đã điều khiển được máy công cụ, kẻ tấn công sẽ ra lệnh tải mã tấn công về cài đặt lên máy công cụ Một

ví dụ về kiểu lan truyền này là sâu “li0n” tấn công vào các lỗi của DNS

DA-2&DA-3:PM-2: Lan truyền theo xâu chuỗi

Máy tính thực hiện việc quét, xâm nhập vào máy công cụ cũng chính là nguồn lưu trữ mã tấn công Tới lượt mình, các máy công cụ này sau khi xâm nhập được các máy khác cũng trở thành nguồn lưu trữ mã Sâu Morris[12] sử dụng hình thức này

DA-2&DA-3:PM-3: Lan truyền tự động

Quá trình lan truyền được thực hiện ngay trong quá trình tấn công chiếm quyền kiểm soát máy công cụ.Các sâu Code Red [13], Warhol[21] và các loại lan truyền qua email là ví dụ điển hình

mô hình cung cấp tài nguyên kết nối của TCP và giao thức bắt tay 3 bước, kẻ tấn công sẽ tạo một số lượng rất lớn các truy vấn TCP SYN nhưng không gửi cờ FIN để chiếm dụng tài nguyên dịch vụ của hệ thống Lúc này, hàng đợi kết nối sẽ bị “tràn”

và không thể tiếp nhận các kết nối mới

EW-2: Brute-Force

Khả năng truyền tải của lớp mạng trung gian thường lớn hơn lớp mạng đích rất nhiều lần Do đặc điểm này mà khi kẻ tấn công gửi một số lượng “rất lớn” các truy vấn giả (vẫn tuân thủ các giao thức) tới máy chủ, kết nối lên nhà cung cấp Internet của máy chủ sẽ lập tức bị nghẽn và bản thân máy chủ cũng không thể xử lý hết các kết nối này, dẫn đến treo máy hoặc khởi động lại

Trong một giới hạn cụ thể, tấn công Brute-Force sẽ tương tự như tấn công semantic Nhưng phần lớn trường hợp, tấn công Burute –Force sẽ có yêu cần khối lượng gói tin, kết nối lớn hơn nhiều lần so với tấn công Semantic

2.1.3 Tính xác thực của địa chỉ nguồn

Rất nhiều mô hình tấn công DDoS dựa vào việc che giả mạo địa chỉ để che dấu nguồn gốc Nếu không có sự che giấu địa chỉ, tấn công dạng reflector sẽ không thể xảy ra Dựa trên tính chính xác của địa chỉ nguồn, có các sự phân loại như sau: địa chỉ giả mạo và địa chỉ đúng

SAV-1: Địa chỉ giả mạo (Spoofed Source Address)

Trong giả mạo địa chỉ, có rất nhiều cách giả mạo khác nhau: Giả mạo các địa chỉ có thể định tuyến được, giả mạo các địa chỉ không thể định tuyến được Ngoài ra, xét đến các kỹ thuật giả mạo địa chỉ, ta còn có giả mạo ngẫu nghiên, giả mạo theo lớp mạng cục bộ, giả mạo theo

SAV-1:AR-1 Địa chỉ có thể định tuyến

Địa chỉ nguồn của cuộc tấn công sẽ được giả mạo thành một địa chỉ có thể định tuyến được trên mạng Internet Trường hợp này thường được sử dụng để thực hiện tấn công reflector

SAV-1:AR-2: Địa chỉ không thể định tuyến được

Kẻ tấn công sử dụng dạng địa chỉ được quy định là địa chỉ riêng, chỉ sử dụng trong các mạng nội bộ mà không sử dụng trên mạng Internet Các địa chỉ này không được bất kỳ một router nào định tuyến Nếu gói tin tới hệ thống từ phía bên ngoài thì rất nhiều khả năng đó là một gói tin đã bị sửa đổi trường địa chỉ nguồn Các gói tin này

có thể dễ dạng bị loại bỏ bởi một bộ lọc

SAV-1:ST: Kỹ thuật giả mạo địa chỉ (Spoofing Technique)

Địa chỉ có thể bị giả mạo theo ngẫu nhiên, giả mạo theo lơp mạng cục bộ của máy gửi tin, giả mạo theo các địa chỉ nằm trên đường đi của gói tin

SAV-1:ST-1: Giả mạo địa chỉ ngẫu nhiên

Kẻ tấn công sử dụng một địa chỉ được tạo ngẫu nhiên làm địa chỉ nguồn Để chống lại cách giả mạo này, có thể sử dụng các phương pháp lọc gói hướng vào để ngăn chặn

SAV-1:ST-2: Giả mạo theo lớp mạng (Subnet Spoofed Source Address)

Trong kỹ thuật này, kẻ tấn công sử dụng một địa chỉ ngẫu nhiên nằm trong lớp mạng của máy công cụ Việc phát hiện ra sự giả mạo này là tương đối khó khăn, đặc biệt là trong quá trình gói tin vẫn di chuyển tới router kết nối ra ngoài của mạng nội bộ Đối với dạng giả mạo này, lọc gói hướng vào không có tác dụng

SAV-1:ST-3: Giả mạo theo các địa chỉ nằm trên đường đi (en Route Spoofed Source Address)

Dựa theo các địa chỉ có thể có trên đường đi tới đích của gói tin để giả mạo địa chỉ nguồn Đây mới chỉ là dạng được đề cập trên lý thuyết, thực tế chưa có cuộc tấn công nào được ghi nhận có dạng này

ARD-1: Cường độ không đổi (Constant Rate)

Phần lớn các cuộc tấn công đã được ghi nhận có cường độ tấn công là không đổi và thường là sử dụng toàn bộ tài nguyên có thể của máy công cụ để thực hiện tấn công Sau khi kẻ tấn công phát lệnh thực hiện, mỗi máy công cụ sẽ sử dụng toàn bộ tài nguyên về bộ nhớ, tài nguyên về băng thông để tạo ra càng nhiều truy vấn, gói tin càng tốt Nạn nhân sẽ đón nhận gần như đồng thời các dòng “thác lũ” thông tin đổ

tới máy chủ và tùy theo cấu hình sẽ bị đánh sập hoàn toàn hoặc hoạt động chập nhờn Trong chừng mực nhất định, với cường độ tấn công lớn và không đổi như vậy, việc phát hiện ra tấn công DOS sẽ dễ dàng thực hiện hơn khi sử dụng các mô hình xác suất để theo dõi baseline của hệ thống mạng

ARD-2: Cường độ thay đổi

Kẻ tấn công sử dụng mô hình này để tránh bị phát hiện bởi các mô hình xác suất ARD-2:RCM-1 : Cường độ tăng dần

Dịch vụ bị tấn công một cách thầm lặng, kéo dài qua thời gian và dần bị mất ổn định khi ma cường độ tấn công lên cao Với những mô hình phát hiện tấn công dựa theo việc tính toán trạng thái và ngưỡng thay đổi thì sẽ không thể phát hiện dạng tấn công như thế này

ARD-2:RCM-2: Cường độ thay đổi tùy ý

Đồ thị tấn công có dạng xung nhịp Các đợt tấn công có thể diễn ra với một cường

độ cao rồi lại im lặng một thời gian mới tiếp tục tấn công Có thể phức tạp hơn khi các máy công cụ được chia ra thành các nhóm Mỗi nhóm sẽ có một tần suất tấn công khác nhau và như vậy càng gây nên phức tạp trong việc phát hiện và đối phó lại

2.1.5 Khả năng xác định thông tin

Dựa vào định dạng của tiêu đề gói tin và các trường thông tin đi kèm theo từng giao thức, ta có thể xác định được một phần kiểu thông tin sử dụng Việc nhận dạng này càng chính xác thì càng tạo điều kiện dễ dàng cho việc phản ứng lại tấn công Theo cách phân loại nhận dạng, ta có 2 loại: nhận dạng được và không nhận dạng được

PC-1: Nhận dạng được

Trong điều kiện thông tin đến máy nạn nhân có bao gồm những gói tin mang ý nghĩa rõ ràng, các trường tham số đúng đắn thì ta có thể nhận dạng được loại bản

tin Một số loại bản tin thường được sử dụng như: TCP SYN, ICMP ECHO/REQUEST, truy vấn DNS …

PC-1:RAVS : Độ ảnh hưởng của tấn công đến dịch vụ - Relation of Attacke to Victim Servers

Dựa theo tiêu chí việc lọc gói tin có ảnh hưởng tới dịch vụ hay không, ta phân chia

ra 2 loại hình: có thể lọc gói tin và không thể lọc gói tin

PC-1:RAVS-1: Có thể lọc gói

Các loại hình tấn công sử dụng định dạng bản tin sai lệch có thể được lọc gói bởi firewall Ví dụ như các cuộc tấn công sử dụng định dạng UDP hoặc ICMP ECHO/REQUEST tới máy chủ web là có thể lọc được Các máy chủ web chỉ phục

vụ các truy vấn TCP nên bản thân các gói tin ICMP ECHO/REQUEST là không cần thiết Nếu sử dụng một firewall, chặn tất cả gói tin ICMP ECHO/REQUEST đến máy chủ web thì có thể hạn chế được kiểu tấn công này

PC-1:RAVS-2: Không thể lọc gói

Trong trường hợp kẻ tấn công sử dụng những gói tin được thiết kế đúng khuôn dạng, hoạt động đúng giao thức và giả mạo địa chỉ theo các địa chỉ tuân thủ quy định định tuyến thì không thể lọc gói tin ở đây Nếu cố gắng lọc gói tin thì vô hình chung, những gói tin xuất phát từ khách hàng có nhu cầu thật sự và từ kẻ tấn công đồng thời bị loại bỏ, dịch vụ sẽ coi như bị đóng lại, đúng theo mục tiêu của kẻ tấn công Ví dụ với trường hợp máy chủ WEB, nếu kẻ tấn công sử dụng mạng máy tính công cụ, gửi số lượng rất lớn các truy vấn HTTP hợp lệ tới máy chủ dịch vụ thì nhà quản trị cũng không thể đơn giản lọc bỏ gói tin HTTP

PC-2: Không nhận dạng được

Trường hợp này thường được sử dụng để tấn công chiếm băng thông của dịch vụ

Kẻ tấn công sẽ gửi số lượng rất lớn các bản tin vô nghĩa chỉ với mục đích chiếm thời gian xử lý, chiếm băng thông của mạng kết nối ra bên ngoài Yếu tố nhận dạng

ở đây cần phải tính tới năng lực xử lý của hệ thống Nếu kẻ tấn công sử dụng kết hợp nhiều gói tin khác nhau thì thời gian nhận dạng, chi phí cho nhận dạng có thể là một vấn đề cần phải quan tâm

2.1.6 Độ ổn định của tập máy công cụ

Có nhiều lý do để kẻ tấn công phải thay đổi số lượng các máy công cụ Có thể do bị phát hiện bởi những nhà quản trị, vì khả năng sửa lỗi của hệ thống đã tốt hơn Ngoài

ra, kẻ tấn công thường xuyên thay đổi tập tấn công còn để tránh bị phát hiện

PAS-1: Tập máy công cụ ổn định

Khi phát lệnh tấn công, toàn bộ máy công cụ trong mạng tấn công đồng thời nhận được lệnh và đồng thời gửi gói tin tấn công Có nhiều virus được thiết kế định sẵn ngày tấn công trong mã của chương trình[13]

PAS-2: Tập máy công cụ thay đổi

Kẻ tấn công sẽ phân chia tập hợp máy công cụ thành nhiều nhóm nhỏ khác nhau và chỉ sử dụng một vài nhóm tại một thời điểm Mỗi máy tính có thể thuộc về nhiều nhóm khác nhau

2.1.7 Dạng mục tiêu

Dựa theo phân chia dạng mục tiêu tấn công, ta có : ứng dụng, máy chủ, tài nguyên,

hệ thống mạng và hạ tầng

VT-1: Ứng dụng

Mục tiêu của cuộc tấn công là làm tê liệt hoặc chiếm đoạt toàn bộ tài nguyên cung cấp dịch vụ của ứng dụng Trong hình thức tấn công này, chỉ những tài nguyên cung cấp cho dịch vụ đó mới bị ảnh hưởng, các tài nguyên cho các dịch vụ khác hầu như không bị ảnh hưởng Phát hiện các gói tin tấn công vào ứng dụng là điều không dễ dàng Trong thời gian bị tấn công, các ứng dụng khác trên máy chủ vẫn hoạt động bình thường và việc phân biệt các gói nào thuộc ứng dụng nào yêu cầu cần phải có thời gian và chi phí

VT-2: Máy chủ

Mục tiêu của tấn công vào máy chủ là làm tê liệt hoàn toàn hoạt động của máy chủ hoặc làm nghẽn kênh giao tiếp của máy chủ với bên ngoài Dạng tấn công này được thực hiện thông qua việc gửi các gói tin làm quá tải hoặc phá vỡ những quy định hoạt động, dẫn đến treo hệ thống Tấn công TCP SYN có thể coi là một dạng tấn công điển hình[29] Để đối phó lại với các dạng tấn công như thế này, ngoài việc máy chủ phải được thường xuyên cập nhật còn phải có sự hỗ trợ từ các thiết bị mạng, thiết bị bảo vệ

VT-3: Tài nguyên

Để tấn công vào một dịch vụ của hệ thống, kẻ tấn công có thể nhằm vào các tài nguyên khác nằm trong hệ thống những được kết nối ra bên ngoài như: máy chủ DNS, các thiết bị mạng Trong quá trình thiết kế hệ thống, nếu cân nhắc đến vấn đề này đầy đủ thì có thể tránh được thiệt hại về sau

VT-4: Mạng

Tấn công nhằm vào băng thông có thể coi là ví dụ điển hình Ngoài ra, kẻ tấn công

có thể nghiên cứu cơ chế hoạt động của các hệ thống tự bảo vệ và giả mạo các địa chỉ để tấn công vào mạng, làm cho các địa chỉ đó tự động bị khóa và không thể truy cập được dịch vụ