ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ Hồ Trọng Đạt ÁP DỤNG TRI THỨC VỀ PHÁT HIỆN, PHÂN LOẠI TẤN CÔNG TỪ CHỐI DỊCH VỤ ĐỂ THIẾT KẾ HỆ THỐNG BẢO VỆ Ngành: Công nghệ thông tin Chu
Trang 1ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
Hồ Trọng Đạt
ÁP DỤNG TRI THỨC VỀ PHÁT HIỆN, PHÂN LOẠI TẤN CÔNG TỪ CHỐI
DỊCH VỤ ĐỂ THIẾT KẾ HỆ THỐNG BẢO VỆ
Ngành: Công nghệ thông tin Chuyên ngành: Công nghệ thông tin
LUẬN VĂN THẠC SỸ
Người hướng dẫn khoa học PGS.TS Đỗ Trung Tuấn
Hà nội - 2007
Trang 2Lời cảm ơn
Em xin chân thành cảm ơn P.GS Tiến sĩ Đỗ Trung Tuấn, đã trực tiếp hướng dẫn và giúp đỡ em rất nhiều trong quá trình thực hiện và hoàn thiện đề tài Em xin chân thành cảm ơn các thày, cô giáo khoa Công nghệ thông tin – Trường Đại học công nghệ - Đại học Quốc Gia Hà Nội đã chỉ dạy và cung cấp các kiến thức cơ bản trong suốt khóa học Các kiến thức nền tảng này đã giúp em rất nhiều trong việc nghiên cứu các khái niệm lý thuyết và thiết kế các mô hình hệ Em xin chân thành cảm ơn các anh lãnh đạo Trung tâm Công nghệ Thông tin CDiT, học viện Công nghệ Bưu chính Viễn thông nơi em công tác, đã tạo điều kiện về công việc để cho em có thêm nhiều thời gian thực hiện nghiên cứu Tôi cũng xin chân thành cảm ơn các anh chị em đồng nghiệp tại Trung tâm Công nghệ Thông tin CDiT đã động viên và giúp đỡ tôi rất nhiều
về mặt kỹ thuật trong quá trình thực hiện đề tài nghiên cứu Xin chân thành cảm ơn những người thân trong gia đình đã động viên, giúp đỡ tôi trong suốt quá trình học tập nghiên cứu để thực hiện thành công luận văn tốt nghiệp này
Hà Nội – tháng 11 năm 2006
Hồ Trọng Đạt
Trang 3Mục lục
Lời cảm ơn 2
Mục lục 3
Danh mục các từ viết tắt 6
Danh mục các bảng 7
Danh mục các hình vẽ 8
Mở đầu 9
Chương 1 Tổng quan 10
1.1 Hệ thống mạng Internet 10
1.2 Giao thức TCP/IP 12
1.2.1 Khái niệm về phân lớp 12 1.2.2 Các lớp trong TCP/IP Error! Bookmark not defined.
1.2.3 Địa chỉ Internet Error! Bookmark not defined.
1.2.4 Giao thức IP Error! Bookmark not defined.
1.3 Khái niệm về tấn công DoS Error! Bookmark not defined.
1.3.1 Nguyên nhân của các cuộc tấn công từ chối dịch vụ Error!
Bookmark not defined.
1.3.2 Cơ chế chung của tấn công từ chối dịch vụError! Bookmark not
defined.
1.3.3 Lý do tiến hành tấn công từ chối dịch vụError! Bookmark not defined.
1.4 Các nghiên cứu có liên quan Error! Bookmark not defined.
1.5 Kết luận Error! Bookmark not defined.
Chương 2 Nghiên cứu về tấn công Từ chối dịch vụError! Bookmark not defined.
2.1 Phân loại các hình thức tấn công Error! Bookmark not defined.
2.1.1 Mức độ tự động Error! Bookmark not defined.
2.1.2 Lợi dụng lỗ hổng để tấn công Error! Bookmark not defined.
Trang 42.1.3 Tính xác thực của địa chỉ nguồn Error! Bookmark not defined.
2.1.4 Cường độ tấn công Error! Bookmark not defined.
2.1.5 Khả năng xác định thông tin Error! Bookmark not defined.
2.1.6 Độ ổn định của tập máy công cụ Error! Bookmark not defined.
2.1.7 Dạng mục tiêu Error! Bookmark not defined.
2.1.8 Tác động tới dịch vụ Error! Bookmark not defined.
2.2 Phân loại các các cơ chế bảo vệ DoS Error! Bookmark not defined.
2.2.1 Phân loại theo cơ chế hoạt động Error! Bookmark not defined.
2.2.2 Phân loại theo mức độ hợp tác Error! Bookmark not defined.
2.3 Kết luận Error! Bookmark not defined.
Chương 3 Tri thức hỗ trợ phát hiện tấn công DoS nhờ mô hình thống kê Error!
Bookmark not defined.
3.1 Nghiên cứu về phát hiện, chống DDOS theo thống kêError! Bookmark
not defined.
3.1.1 Điểm thay đổi Error! Bookmark not defined.
3.1.2 Hệ thống EMERALD Error! Bookmark not defined.
3.1.3 Cơ chế van điều tiết của Williamson Error! Bookmark not defined.
3.1.4 Cơ chế lưu vết IP theo lịch sử kết nối Error! Bookmark not defined.
3.2 Sử dụng Entropy để xây dựng mô hình theo dõiError! Bookmark not
defined.
3.2.1 Entropy của nguồn tin Error! Bookmark not defined.
3.2.2 Xây dựng mô hình Entropy của nguồn tinError! Bookmark not defined.
3.2.3 Phát hiện thay đổi theo ngưỡng Error! Bookmark not defined.
3.3 Phản ứng lại DDoS theo lịch sử IP và Van điều tiếtError! Bookmark not
defined.
3.3.1 Hạn chế theo địa chỉ IP đã biết Error! Bookmark not defined.
3.3.2 Điều tiết truy cập theo địa chỉ IP Error! Bookmark not defined.
Trang 5Chương 4 Thiết kế mô hình hệ thống phát hiện và chống lại tấn công DDoS
Error! Bookmark not defined.
4.1 Mô hình triển khai vật lý Error! Bookmark not defined.
4.2 Các thành phần của hệ thống Error! Bookmark not defined.
4.2.1 Thiết kế phân lớp của hệ thống Error! Bookmark not defined.
4.2.2 Thiết kế chi tiết các thành phần hệ thốngError! Bookmark not defined.
4.2.3 Danh sách lưu trữ IP Error! Bookmark not defined.
4.3 Đề xuất và khuyến nghị Error! Bookmark not defined Kết luận Error! Bookmark not defined.
Tài liệu tham khảo 13 Phụ lục 14
Trang 6Danh mục các từ viết tắt
Association
Statistics
Data Analysis
to Anomalous Live Disturbances
and Defense Against DDoS
Trang 7Danh mục các bảng
Bảng 1 Các lớp trong giao thức TCP/IP 12
Bảng 2 Các giải địa chỉ IP Error! Bookmark not defined.
Trang 8Danh mục các hình vẽ
Hình 1 Phiên truyền tin giữa hai node mạng Error! Bookmark not defined Hình 2 Kết nối giữa hai hệ thống mạng sử dụng RouterError! Bookmark not defined.
Hình 3 Mô hình hoạt động TCP/IP Error! Bookmark not defined Hình 4 Các lớp địa chỉ IP Error! Bookmark not defined Hình 5 Cấu trúc gói tin TCP Error! Bookmark not defined Hình 6 Tấn công DoS theo mô hình phản xạ Error! Bookmark not defined Hình 7 Phát hiện nguồn tấn công theo kỹ thuật backscatterError! Bookmark not
defined.
Hình 8 Thuật toán xử lý cờ SYN Error! Bookmark not defined Hình 9 Kiến trúc hệ thống EMERALD Error! Bookmark not defined Hình 10 Xử lý kết nối đến máy trạm Error! Bookmark not defined Hình 11 Xử lý kết nối có trong hàng đợi Error! Bookmark not defined Hình 12 Mô hình triển khai của HEDDAD Error! Bookmark not defined Hình 13 Trình tự xử lý của hệ thống HEDDAD Error! Bookmark not defined Hình 14 Sơ đồ thiết kế hệ thống nhận dạng và phản ứngError! Bookmark not
defined.
Hình 15 Sơ đồ dữ liệu lưu trữ cây IP Error! Bookmark not defined.
Trang 9Mở đầu
Tấn công DDoS không còn là khái niệm xa lạ tại Việt Nam Kể từ năm 1997, khi Internet lần đấu tiên được chính thức hoạt động trong nước, hệ thống mạng dịch vụ tại Việt Nam đã có những bước phát triển nhanh chóng Tới tháng 1 năm 2006, đã
có hơn một tỷ người sử dụng Internet [36], và tại Việt Nam là hơn 5 triệu người sử dụng[35] Các dịch vụ mạng, thương mại điện tử càng phát triển thì đi kèm với đó
là những hoạt động phá hoại, tấn công vào các trang web dịch vụ càng gia tăng Các cuộc tấn công chuyển dần từ tấn công tập trung từ một nguồn chuyển sang tấn công phân tán từ nhiều nguồn Trước tình hình đó, cần có những nghiên cứu chuyên sâu
về tấn công từ chối dịch vụ, cách thức phòng chống, phát hiện và chống lại Trong khuôn khổ luân văn, khái niệm tấn công từ chối dịch vụ phân tán – DDoS cũng đồng nghĩa với từ chối dịch vụ - DoS Luận văn tập trung vào việc nghiên cứu những tiêu chí phân loại tấn công DoS Các nghiên cứu này được kỳ vọng sẽ là những tài liệu mang tính tổng kết về những loại hình tấn công DoS đã biết và sẽ được phát hiện
Bên cạnh đó, luận văn cũng đưa ra một số kỹ thuật có thể được sử dụng để xây dựng những thiết bị phòng chống tấn công DoS Các kỹ thuật này tập trung theo hướng phát hiện sự bất thường trong hoạt động của mạng Hệ thống mạng sẽ được
mô hình hóa bằng những thông số về entropy của thông tin Những sự thay đổi bất thường về entropy sẽ được theo dõi và ghi nhận Khi có sự thay đổi giá trị, các sự bất thường này sẽ được phát hiện dựa trên những phương pháp thống kê và so sánh
mô hình Sau khi phát hiện có những dấu hiệu tấn công, cơ chế bảo vệ sẽ được kích hoạt, hạn chế kết nối theo địa chỉ IP để đảm bảo hoạt động phục vụ của hệ thống được bảo vệ
Trang 10Chương 1 Tổng quan
Nghiên cứu về DoS dựa trên những những nghiên cứu về bản chất của giao thức TCP/IP Dựa trên họ giao thức TCP/IP, giao thức không xác thực người tham gia truyền tin, có thể nói hệ thống Internet là một hệ thống mở, trong đó mọi người hoạt động đều ngang hàng nhau, không bị kiểm soát Lợi dụng vấn đề về tính định danh lỏng lẻo của hệ thống Internet, hình thức tấn công từ chối dịch vụ - Denial of Service , sau đây gọi tắt là DoS, đã được sử dụng phổ biến để:
Tạo lập danh tiếng với những kẻ thiếu hiểu biết
Công cụ cạnh tranh giữa các nhà cung cấp dịch vụ thương mại, truyền tin
Công cụ tống tiến của những tội phạm mạng
1.1 Hệ thống mạng Internet
Bắt đầu từ hệ thống mạng ARPAnet của Bộ Quốc phòng Hoa Kỳ, với mục đích xây dựng một mạng lưới liên lạc tin cậy, hoạt động được ngay cả khi một phần hệ thống
đã bị phá hủy Vào cuối năm 1966, những nền tảng đầu tiên của hệ thống mạng đã được xây dựng [36] Giao thức đầu tiên được sử dụng để truyền tin trong hệ thống ARPAnet là 1822[18], quy định phương thức truyên tin giữa một máy tính tới một IMP IMP là khái niệm về một máy tính có chức năng xử lý các bản tin truyền trong
hệ thống mạng Mỗi IMP tại một site có chức năng lưu trữ và chuyển tiếp ( store & forward) gói tin và được kết nối với nhau thông qua các modem, đường truyền leased line, tốc độ khoảng 50kb/s
Đến năm 1970, mạng ARPAnet đã kết nối được 9 điểm và phát triển nhanh chóng những năm tiếp theo Đến năm 1981, đã có 212 host kết nối với tốc độ 2 ngày có một host mới kết nối vào mạng Đến năm 1984, mạng máy tính của bộ Quốc phòng
Mỹ tách khỏi mạng ARPAnet và gọi là mạng MILNET
Sau một thời gian hoạt động, do một số lý do kỹ thuật và chính trị, kế hoạch sử dụng mạng ARPANET không thu được kết quả như mong muốn Vì vậy Hội đồng khoa học Quốc gia Mỹ đã quyết định xây dựng một mạng riêng NSFNET liên kết
Trang 11các trung tâm tính toán lớn và các trường đại học vào năm 1986 sử dụng giao thức TCP/IP Mạng này phát triển hết sức nhanh chóng, không ngừng được nâng cấp và
mở rộng liên kết tới hàng loạt các doanh nghiệp, các cơ sở nghiên cứu và đào tạo của nhiều nước khác nhau Cũng từ đó thuật ngữ INTERNET ra đời Dần dần kỹ thuật xây dựng mạng ARPAnet đã được thừa nhận bởi tổ chức NSF, kỹ thuật này được sử dụng để dựng mạng lớn hơn với mục đích liên kết các trung tâm nghiên cứu lớn của nước Mỹ Người ta đã nối các siêu máy tính thuộc các vùng khác nhau bằng đường điện thoại có tốc độ cao Tiếp theo là sự mở rộng mạng này đến các trường đại học Ngày càng có nhiều người nhận ra lợi ích của hệ thống mạng trên, người ta dùng để trao đổi thông tin giữa các vùng với khoảng cách ngày càng xa Vào đầu những năm 1990 người ta bắt đầu mở rộng hệ thống mạng sang lĩnh vực thương mại tạo thành nhóm CIX Có thể nói Internet thật sự hình thành từ đây Nhưng chỉ đến khi Tim Berners-Lee phát triển HTML, HTTP tại CERN năm 1991, thì Internet mới thực sự phát triển “bùng nổ” Với công nghệ HTML, các trang web được tạo ra một cách nhanh chóng và tiện lợi cho người sử dụng truy cập, đọc thông tin Năm 1993, trung tâm NCSA tại đại học Illinois đưa ra trình duyệt web Mosaic 1.0, nền tảng cho các trình duyệt web về sau Và bắt đầu từ thời điểm đó, mạng Internet đã phát triển nhanh chóng, lan rộng khắp toàn cầu Tới tháng 1 năm 2006,
đã có hơn một tỷ người sử dụng Internet [33], và tại Việt Nam là hơn 5 triệu người
sử dụng
Ngày nay, với sự phát triển của thương mại điện tử, khó có thể tách rời sự tồn tại của Internet với xã hội loài người Thống kê cho thấy, trong năm 2006, tổng giá trị bán hàng qua mạng sẽ đạt con số 200 tỷ USD [34] Kinh doanh qua mạng Internet, quảng cáo qua Intenret, cung cấp thông tin qua Internet đã là những khái niệm kinh điển Trang web chính là bộ mặt của công ty, là nơi giao dịch mua bán, là nơi tiếp đón người dùng, nơi giao lưu, kết bạn Những mô hình kinh doanh thành công như ebay, yahoo, google ngày nay đã và đang liên tục phát triển
Trang 121.2 Giao thức TCP/IP
Họ giao thức TCP/IP cho phép mọi hệ thống máy tính giao tiếp với nhau mà không quan tâm đến quy mô hệ thống, nhà sản xuất phần cứng, hệ điều hành được cài đặt Theo định nghĩa của giao thức, TCP/IP thực sự là một hệ thống mở [22] Nó cho phép triển khai thêm các thành phần với một chi phí thực sự được giảm thiểu và thời gian rút ngắn đáng kể
Phần này giới thiệu một số thông tin cơ bản về họ giao thức TCP/IP, nhấn mạnh vào những cơ chế hoạt động để minh họa cho chương tiếp theo
1.2.1 Khái niệm về phân lớp
Các giao thức trên mạng được phát triển theo những lớp giao thức – layer Mỗi lớp
sẽ có nhiệm vụ xử lý một mức độ giao tiếp khác nhau Họ giao thức TCP/IP được phân chia theo 4 lớp ( để phù hợp với các tài liệu tiếng Anh, giữ nguyên tên gọi của các lớp) Mỗi lớp sẽ đảm nhận một chức năng riêng rẽ
Application Telnet, FTP, SMTP
Link Các trình điều khiển thiết bị và
cổng kết nối
Bảng 1 Các lớp trong giao thức TCP/IP
i Lớp Kết nối – Link: hay còn gọi data-link(liên kết dữ liệu), bao gồm hệ thống các trình điều khiển thiết bị được cài đặt kèm với hệ điều hành và các cổng kết nối mạng có trên hệ thống Mọi chức năng xử lý phần cứng được thiết lập tại lớp này
ii Lớp mạng – network: hay còn gọi là lớp internet xử lý việc di chuyển của các gói tin trong toàn mạng Một số chức năng quan trọng được thực hiện tại lớp này: định tuyến (routing), thông báo lỗi (ICMP) Lớp này có 3 giao thức cơ bản là IP, ICMP
và IGMP
Trang 13Tài liệu tham khảo
Tiếng Việt
[1] Đặng Văn Chuyết, Nguyễn Tuấn Anh Cơ sơ lý thuyết truyền tin – tập 1, tr 75, NXB Giáo Dục, 1998
Tiếng Anh
[2] Steven Bellovin ICMP traceback messages Work in Progress: draft-bellovin-itrace-00.txt [3] B.E Brodsky and B.S Darkhovsky, Nonparametric Methods in Change Changepoint Problems, Kluwer Academic Publishers, 1993
[4] R Caceres, P B Danzig, S Jamin and D J Mitzel, “Characteristics of wide-area TCP/IP conversations”, Proceedings of ACM SIGCOMM’91, September 1991
[5] Chen-Mou Cheng, H.T Kung, and Koan-Sin Tan Use of spectral analysis in defense against dos attacks Proceedings of the IEEE GLOBECOM, Taipei, Taiwan, 2002
[6] Laura Feinstein, Dan Schnackenberg, Statistical Approaches to DDoS attack detection and response, DARPA Information Survivability Conference and Expostion(DISCEX’03), April
2003
[7] A Feldmann, “Characteristics of TCP Connection Arrivals”, ATT Technical Report,
December 1998
[8] Stave Gibson, Denial of Service attacks against GRC.COM,
http://www.grc.com/dos/grcdos.htm, 2005
[9] T M Gil and M Poletto MULTOPS: a data-structure for bandwidth attack detection 10th Usenix Security Symposium, August 2001
[10] J Ioannidis and S M Bellovin Pushback: Router-Based Defense Against DDoS Attacks NDSS, February 2002
[11] Jaeyeon Jung, B Krishnamurthy,M.Rabinovich Flash crowds and denial of service attacks: Characterization and implications for cdns and web sites WWW10, WWW2002, May
7-11, Honolulu, Hawaii, USA 2002
[12] Jelena Mirkovic, Ataxonomy of DDoS Attack and ddos defense mechanisms, ACM SIGCOMM 2004
[13] D Moore The spread of the code red worm (crv2)
http://www.caida.org/analysis/security/code-red/coderedv2 analysis.xml
[14] R.Naraine, Massive DDoS Attack Hit DNS Root Servers, 10/2002,
http://www.internetnews.com/dev-news/article.php/1486981
[15] V.Paxson An analysis of using reflectors for distributed denial-of-service atacks ACM Computer Communications Review, July 2001
[16] Tao Peng, C.Leckie, K.Ramamohanarao Protection from Distributed Denial of Service Attack Using History-based IP filtering, Proceedings of the IEEE International Conference on Communications, 5/2003, vol 1, pp 482–486
[17] P.A Porras, and P.G Neumann, “EMERALD: Event Monitoring Enabling Responses to Anomalous Live Disturbances,” National Information Systems Security Conference (NISSC), October 1997, pp 353-365
[19] C.E Shannon, and W Weaver, The Mathematical Theory of Communication, University
of Illinois, 1963
[20] Snort, http://www.snort.org
[21] S Staniford, V Paxson, and N Weaver How to 0wn the internet in your spare time,
2002 The 11th USENIX Security Symposium
[22 ] Richard Stevens, TCP/IP Illustrated, Vol 1, Addison Wesley, 1993
[23] Robert Stone Centertrack: An IP overlay network for tracking DoS floods USENIX Security Symposium, pages 199–212, Denver, CO, USA, July 2000 USENIX
[24] H Wang, D Zhang, and K G Shin, Detecting SYN flooding attacks, IEEE
Infocom'2002, June 2002
