CẢI TIẾN GIAO THỨC AITF ĐỂ GIẢM TẢI MẠNG

Từ khi xuất hiện đến nay, loại hình tấn công từ chối dịch vụ phân tán (Distributed Denial of Service) luôn là một vấn đề nan giải đối với cộng đồng Internet,

ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

Đào Đình Thái

CẢI TIẾN GIAO THỨC AITF ĐỂ GIẢM TẢI MẠNG

KHÓA LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY

Ngành: Công nghệ thông tin

HÀ NỘI - 2010

ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

Đào Đình Thái

CẢI TIẾN GIAO THỨC AITF ĐỂ GIẢM TẢI MẠNG

KHÓA LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY

Ngành: Công nghệ thông tin

Cán bộ hướng dẫn : Th.S Đoàn Minh Phương

HÀ NỘI - 2010

LỜI CẢM ƠN

Trước hết, tôi xin chân thành cảm ơn sự giúp đỡ nhiệt tình của các thầy cô giáotrường Đại Học Công Nghệ - Đại Học Quốc Gia Hà Nội đã tận tình dạy dỗ chỉ bảo tôitrong suốt khóa học, cảm ơn tập thể lớp K51CD và đặc biệt là thầy giáo Thạc sỹ ĐoànMinh Phương người đã nhiệt tình hướng dẫn, giúp đỡ tôi trong suôt quá trình học tập vànghiên cứu

Cuối cùng tôi muốn gửi lời cảm ơn tới gia đình và người thân đã quan tâm, độngviên, chăm lo tôi trong suốt quá trình học tập của mình

Do thời gian và điều kiện thiết bị có hạn nên bản khóa luận này không tránh khỏinhững thiếu sót, chúng tôi rất mong muốn nhận được những ý kién đóng góp của các thầy

Mục Lục

LỜI CẢM ƠN 1

TÓM TẮT KHÓA LUẬN TỐT NGHIỆP 2

MỞ ĐẦU 4

Chương 1: ĐẶT VẤN ĐỀ 7

Chương 2: AITF TRONG MẠNG INTERNET 8

1 Tổng quan về giao thức AITF 8

2 AITF làm việc trong mạng Internet 10

i Thuật ngữ 10

ii Chặn nguồn tấn công 10

iii Bảo mật giao tiếp 11

iv Chống việc giả mạo 12

Chương 3: CẢI TIẾN AITF 14

1 Mô tả cải tiến chương trình 14

2 Phương pháp và công việc cải tiến 14

2.1 Phương pháp đánh dấu gói tin theo xác suất 14

ii Thuật toán đánh dấu gói tin 16

iii Xây dựng lại đường đi của tấn công 17

3 Giải thuật của thuật toán cải tiến 18

Chương 4: CHẠY CHƯƠNG TRÌNH 20

1 Cài đặt: 20

2 Chạy chương trình: 20

TÓM TẮT KHÓA LUẬN TỐT NGHIỆP

Từ khi xuất hiện đến nay, loại hình tấn công từ chối dịch vụ phân tán (DistributedDenial of Service) luôn là một vấn đề nan giải đối với cộng đồng Internet, và cho đến bâygiờ, vẫn chưa có một biện pháp kỹ thuật nào hoàn toàn khắc chế được kiểu tấn công này.Với việc quan sát được các thiết bị định tuyến trên internet hiện nay đủ tài nguyên lọcluồng thông tin cần thiết để ngăn chặn các tấn công DDoS, với điều kiện các luông thôngtin tấn công bị chặn ngay gần nguồn phát sinh Từ đó AITF đã được đề xuất.Với AITFgiúp nạn nhân chặn các luồng tấn công không mong muốn chỉ trong vài mili giây Nhưngviệc chặn này tuy có hiệu quả cao nhưng lại làm băng thông của mạng sẽ bị cản trở dodung lượng của các gói tin sẽ bị tăng lên khi đi qua các router do việc viết lên các gói tin

về đường dẫn “đi qua” các router này Nhưng việc này sẽ không còn là vấn đề nếu cải tiếnviệc ghi dữ liệu này là sẽ không ghi cả đường dẫn nữa mà chỉ ghi lên gói dữ liệu router nàođược mà có xác suất được ghi lên dữ liệu Do tính chất của một cuộc tấn công DoS hayDDoS sẽ là tạo ra các gói tin giả mạo thật nhiều và gửi tới nạn nhân, nên việc đánh dấu góitin với một xác suất và chỉ nghi một thông tin ánh xạ với địa chỉ IP của router sẽ giúp nạnnhân giảm được băng thông gây nghẽn mạng và vẫn sẽ có thể tìm được đường đi của cuộctấn công

Trong khóa luận này sẽ có các phần:

Phần I là phần mô tả và tiếp cận với giao thức AITF

Phần II là sẽ nói về giao thức AITF trong mạng internet sẽ cho chúng ta hiểu về cáchthức hoạt động cũng như hiểu về giao thức AITF trong mạng

Phần III sẽ nói về cải tiến giao thức AITF Phần này sẽ là nói cách thức thực hiệncũng như cơ chế để cải tiến cách thức ghi thông tin lên gói tin, và xây dựng lên đường đicủa cuộc tấn công

Phần III sẽ nói một cách trực tiếp về cách thức thực hiện code và kết quả chạychương trình và một số mô tả

MỞ ĐẦU

Một cuộc tấn công từ chối dịch vụ ( DoS attack ) hoặc cuộc tấn công từ chối dịch vụphân tán ( DDoS attack) là cố gắng để làm cho nguồn tài nguyên máy tính không còn sẵncho người sử dụng dự định của nó Mặc dù các phương tiện để thể hiện, động cơ, và mụctiêu của cuộc tấn công DoS có thể khác nhau nó thường bao gồm các nỗ lực của một ngườihoặc một nhóm người để chặn một trang web internet hay một dịch vụ sẽ bị giảm hiệu quảlàm việc hoặc tạm thời bị ngưng trệ.Thủ phạm của cuộc tấn công DoS thông thường nhắmcác mục tiêu các trang web hoặc dịch vụ lưu trữ hồ sơ cao cấp trên các máy chủ web nhưngân hàng , cổng thanh toán thẻ tiến dụng, và thậm chí root nameserver

Nói chung là việc các cuộc tấn công DoS được thực hiện bằng việc ràng buộc cácmáy tính thiết lập lại, hoặc nó tiêu thụ nguồn tài nguyên để nó không còn khả năng cungcấp dịch vụ của mình nữa, cản trở việc truyền thông liên lạc giữa người dùng và nạn nhânkhông còn được đầy đủ

Một cuộc tấn công từ chối dịch vụ đặc trưng là một nỗ lực rõ ràng của những kẻ tấncông là ngăn chặn người sử dụng hợp pháp bằng cách sử dụng nó

Một cuộc tấn công DoS có thể thực hiện bằng một số cách khác nhau như:

- Tiêu thụ tài nguyên tính toán, chẳng hạn như băng thông, không gian đĩa,hoặc bộ xử lý thời gian

- Phá vỡ các thông tin cấu hình như thông tin định tuyến

- Gián đoạn thông tin, chẳng hạn cài đặt lại thông tin không được yêu cầu củaphiên TCP

- Tổn hại các thành phần mạng vật lý

- Cản trở giao thông liên lạc giữa người dùng chính và nạn nhân

Một cuộc tấn công DoS nhằm mục đích :

- Tốc độ xử lý của CPU là cao nhất có thể, làm cho các hoặt động khác khôngthể xẩy ra

- Ràng buộc của mã vi của máy tính lỗi

- Ràng buộc lỗi của trình tự của các hướng dẫn, để buộc các máy tính không

ổn định hoặc về tìm kiếm

- Khai thác lỗi trong hệ điều hành gây ra khan hiếm tài nguyên

- Làm sụp đổ hệ điều hành của chính nó

Vậy cuộc tấn công DoS là gì?

Tấn công từ chối dịch vụ (DoS): là một quá trình gửi yêu cầu tràn ngập từ một ngườitấn công tới một hay nhiều server đích Và yêu cầu này điều là giả mạo bằng cách giả mạođịa chỉ IP nguồn Với nhiều yêu cầu được gửi tới như vậy, và những yêu cầu là không hợp

lệ không được đáp ứng và dẫn tới hiện tượng từ chối dịch vụ

Một cuộc tấn công từ chối dịch vụ phân tán ( DDoS) xẩy ra khi nhiều hệ thống bị lụt

về băng thông hoặc tài nguyên của hệ thống, thường là một máy chủ web

Một hệ thống cũng có thể được thảo hiệp với một trojan, cho phép kẻ tấn công tải vềmột zombie agents Kẻ tấn công cũng có thể đột nhập vào hệ thống sử dụng công cụ tựđộng khai thác lỗ hổng trong chương trình lắng nghe các kết nối từ các máy chủ từ xa.Kịch bản này chủ yếu là mối quan tâm của hoạt động hệ thống máy chủ trên web

Đối với cộng đồng Internet thì việc tấn công từ chối dịch vụ phân tán (DistributedDenial of Service) luôn là một vấn đề nan giải, nhưng tấn công từ chối dịch vụ phân tán làgì?

Tấn công từ chối dịch vụ phân tán(DDoS) là một kiểu tấn vô cùng nguy hiểm đối vớimột hệ thống mạng

DDoS là kiểu tấn công từ một mạng máy tính cụ thể được thiết kế để tấn công mộtđích cụ thể nào đó, hay là kẻ tấn công có thể điều khiển các agents (máy bị chiếm quyềnđiều khiển), và thống nhất tất cả các máy agents đó đông thời sinh ra các gói tin yêu cầugửi tới đích, với một lượng lớn các gói tin như vậy tấn công hệ thống mạng nhằm ngăn cảnnhững truy xuất tới một dịch vụ, Tấn công DDoS phá huỷ dịch vụ mạng bằng cách làmtràn ngập số lượng kết nối, quá tải server hoặc chương trình chạy trên server, tiêu tốn tàinguyên của server, hoặc ngăn chặn người dùng hợp lệ truy nhập tới các dịch vụ mạng

H1 Sơ đồ tấn công DDoS.

(http://en.wikipedia.org/wiki/Denial-of-service_attack)

Với cơ chế ngăn chặn các tấn công từ chối dịch vụ có tính phân tán cao doK.Argyraki và D R Cheriton đề xuất trong bài báo "Active Internet Traffic Filtering: Real-Time Response to Denial-of-Service Attacks" Họ chứng minh các thiết bị định tuyến trênInternet hiện nay có đủ các tài nguyên lọc luồng thông tin cần thiết để ngăn chặn các tấncông DDoS, với điều kiện các luồng thông tin tấn công bị chặn ngay gần nguồn phát sinh.Chính từ quan sát đó mà AITF được đề xuất.

Như vậy AITF (Active Internet Traffic Filtering - Lọc luồng thông tin Internet hoạtđộng) sẽ giúp về vấn đề ngăn chặn việc tấn công DDoS Việc nghiên cứu này đã chứng tỏrằng khả thi trong thực tại mạng hiện nay cũng như là vấn đề cấp bánh tấn công DDoS.AITF có ưu điểm là làm cho việc ngăn chặn cuộc tấn DDoS với hàng triệu luồng tấncông chỉ trong vài mili giây, với lượng tài nguyên được cài đặt trên mỗi router là khoảngvài chục bộ lọc

Nhưng việc cài đặt AITF có thể tìm ra được nguồn gốc tấn công DoS và tấn côngDDoS nhưng việc này lại làm băng thông của mạng càng ngày càng cạn kiệt tài nguyên và

sẽ khiến băng thông mạng sẽ bị trì trệ hơn nếu lượng gói tin đến nhiều, do việc viết thêmđường dẫn khi qua các router vào trong gói tin Một biện pháp có thể cải tiến việc này đó là

sẽ dùng một xác suất để ánh xạ giữa địa chỉ IP của router với trường IP Identification Vớiviệc làm thế này thì chúng ta sẽ giảm được lượng thông tin cần ghi lên gói tin sẽ đượcgiảm đi rất nhiều nên việc băng thông của mạng sẽ không còn đang lo ngại nữa

Trong tình hình hiện nay và nguy cơ rình rập của tấn công DDoS nên việc ngăn chặn

nó đang là vấn đề cần được quan tâm và triển khải nên đề tài “ Cải tiến giao thức AITF đểgiảm tải mạng” được nghiên cứu trong khóa luận này

Chương 2: AITF TRONG MẠNG INTERNET

1 Tổng quan về giao thức AITF.

H2 Giao thức cơ bản của AITF.

Mô tả về trường hợp của giao thức AITF:

Với ANET là một mạng của người tấn công là A và là nơi xuất phát luồng thông tinkhông mong muốn tới nạn nhân Trong mạng này sẽ có một gateway là Agw đây là routertấn công cũng chính là router gần với A nhất

Trong mạng VNET là mạng của nạn nhân là V và là nơi bị luồng thông tin không mongmuốn xâm nhập tới thông qua gateway Vgw

Trong hai mạng của nhà cung cấp dịch vụ là AISP và VISP còn có các gateway phía trênkhi chuyển qua mạng internet là gateway X và gateway Y

Giả sử khi có một luồng lưu lượng không muốn khi tới nạn nhân và khi đó nạn nhânmuốn xác định một lưu lượng không mong muốn, nạn nhân sẽ gửi một yêu cầu lọc đếngateway của nó ( Vgw trong hình 2 ) Gateway của nạn nhân sẽ tạm thời chặn lại các dònglưu lượng không mong muốn này và xác định các router gần với nguồn tấn công nhất – gọi

là gateway tấn công ( Agw trong hình 2) Sau đó gateway của nạn nhân sẽ thiết lập một kếtnối cài đặt với gateway tấn công, nghĩa là sẽ có một thỏa thuật về truyền các gói tin Ngaysau khi việc thiết lập kết nối được hoàn thành thì gateway của nạn nhân sẽ có thể bỏ bộ lọctạm thời của nó đi Còn nếu không hoàn thành được việc thiết lập kết nối thì gateway củanạn nhân sẽ yêu cầu một gateway khác gần nhất theo phương pháp “leo thang” để làmgateway tấn công ( gateway X trong hình 2) Việc leo thang có thể đệ quy dọc theo conđường bị tấn công cho đến khi một router được hoàn thành việc kết nối Nếu không córouter phản ứng nào thì lưu lượng giao thông của cuộc tấn công sẽ bị chặn tại gateway của

nạn nhận Tuy nhiên AITF cả hỗ trợ và thúc đẩy việc các router gần nguồn tấn công giúpchặn các luồng thông tin không mong muốn này.

2 AITF làm việc trong mạng Internet.

i Thuật ngữ

Đường dẫn P của một luồng thông tin không mong muốn có hình thức như sau: {A

Agw X Y Vgw V}

 A là “nguồn tấn công” nghĩa là nút được cho là tạo ra các dòng lưu

lượng không mong muốn tới nạn nhân Nếu A = * có nghĩa là mọi lưu lượng qua

Agw là không mong muốn

 A gw là “gateway tấn công” là chỉ router định tuyến gần nhất với nguồntấn công tức là gấn nhất với A

 V gw là “gateway của nạn nhân” tức là router định tuyến gần nhất với

nạn nhân

Ở đây chỉ giả định rằng chỉ nút V là chịu ảnh hưởng của vụ tấn công, tức lànếu đây là một cuộc tấn công làm ngập tràn thì chỉ có phần mạng từ Vgw tới V là tắcnghẽn

ii Chặn nguồn tấn công.

H3 Các thực thể trao đổi thông điệp.

Như thể hiện ở hình 3 thì AITF liên quan tới 4 thực thể.

 Nạn nhân V khi nhận được một luông thông tin không mong muốn thìnạn nhân V sẽ gửi yêu cầu lọc tới gateway Vgw để chặn luồng thông tin là F

 Gateway của nạn nhân Vgw:

• Tiến hành cài đặt bộ lọc tạm thời để chặn luồng thông tin Ftrong khoảng thời gian Ttmp giây

• Thiết lập việc bắt tay 3 bước với gateway Agw.

• Bỏ bộ lọc tạm thời sau khi đã bắt tay thành công với gatewaytấn công

 Gateway tấn công Agw:

• Đáp ứng việc bắt tay 3 bước của gateway nạ nhân

• Cài đặt bộ lọc tạm thời chặn luồng thông tin F trong khoảngthời gian Ttmp giây sau khi đã hoàn thành việc bắt tay

• Gửi một yêu cầu lọc tới nguồn tấn công A dừng luồng thôngtin F trong khoảng thời gian Tlong lớn hơn rất nhiều so với Ttmp

iii Bảo mật giao tiếp

Khi V gửi một yêu cầu chặn luông thông tin không mong muốn F tới gateway của

nó là Vgw thì gateway Vgw sẽ gửi yêu cầu chặn F tới gateway Agw , sau đó gateway Agw sẽ gửi trả lại thông điệp cho gateway Vgw gồm F và một giá trị nonce1 ( như hình 3) , và sau

đó Vgw sẽ gửi lại cho Agw để hoàn thành giao tiếp

nonce1 = hash key F

Với khóa key ở đây là khóa cục bộ của hàm băm

iv Chống việc giả mạo

H4 Điểm M giảo mạo ở Stanford và gửi lưu lượng không mong

muốn đến ebay.

Trong hình 4 trên làm một ví dụ về điểm M là một điểm nguy hiểm trong mạng Khigateway của nạn nhân Vgw gửi yêu cầu chặn luồng lưu lượng không mong muốn tớigateway tấn công Agw , mặc dù Agw đã chấp nhận nhưng luồng thông tin tới gateway củanạn nhân Vgw vẫn ở mức cao và đến từ Stanford và nó sẽ kết luận sai rằng gateway tấncông là Agw là không hợp tác, lúc này gateway Agw có thể bị ngắt kết nối tới Vgw hoặc làgateway của nạn nhân sẽ liên lạc với gateway tấn công mức trên để chặn luồng thông tinkhông mong muốn đến từ gateway Agw ở Stanford

Có một biện pháp có thể khắc phục được trường hợp này đó là khi gói tin đi quarouter thì các router sẽ viết thêm vào các gói tin chỗ đường dẫn

H5 Việc xác thực với giá trị đường dẫn là sai.

Chương 3: CẢI TIẾN AITF

1 Mô tả cải tiến chương trình.

Với giao thức AITF thì việc lưu trữ đường đi của gói tin sẽ là dễ dàng nếu việcchuyển các gói tin đi trên các gateway là ngắn, nhưng nếu việc đó trở nên khó khăn khi góitin đó sẽ phải qua nhiều router và việc ghi vào đường dẫn đó sẽ trở nên rất dài và dunglượng của gói tin sẽ tăng và càng tăng nguy cơ cạn kiệt băng thông của mạng Nên việc cảitiến của giao thức AITF sẽ đi sâu vào việc làm giảm tải đường dẫn lưu thông tin của cácnơi router mà gói tin đi qua và việc tăng kính thước của gói tin sẽ không còn là đáng kểnữa

Với một nghiên cứu về cách đánh dấu gói tin được đề cập của Ngô Hải Anh –Nguyễn Văn Tam ( Viện công nghệ thông tin – Viện KH & CN Việt Nam) Bằng việc càiđặt một xắc suất trên router mà gói tin sẽ đi qua có được đánh dấu hay không, với việc đặtmột xắc suất này thì gói tin sẽ chỉ phải lưu đúng một nơi bất kỳ trên đường mà gói tin điqua, vì bản chất của việc tấn công DDoS là sẽ phải gửi nhiều các gói tin giả mạo thật nhiềuthì sẽ thành công Để lần ngược lại nơi bắt đầu tấn công, có thể lấy thông tin từ các routertrên đường luồng dữ liệu tấn công “đi qua”, khi đó sẽ cho phép tại đích đến ( chính là nạnnhân) có thêm thông tin để dựng lại đường đi của luồng tấn công, qua đó có thể thực sựtìm ra nguồn gốc tấn công

2 Phương pháp và công việc cải tiến

2.1 Phương pháp đánh dấu gói tin theo xác suất.

Một xác suất p được định nghĩa tại tất cả các router, mỗi gói tin sẽ được đánh dấu với thông tin thêm bằng cách sử dụng giá trị của p Đường đi của tấn công sẽ được xây

dựng lại bằng cách theo dõi ngược các gói tin IP đã được đánh dấu này Để tăng thêm hiệuquả bằng cách đánh không cố định mà được hiệu chỉnh theo xắc suất Như vậy vấn đề đặt

ra ở đây là việc đánh dấu sẽ diễn ra như thế nào, và phần nào trong khuôn dạng của mộtgói tin IP sẽ được “đánh dấu”? Header của một gói tin IPv4 có khuôn dạng như sau: