CHƯƠNG I: TỔNG QUAN VỀ TẤN CÔNG DOSDDOS VÀ CÁC BIỆN PHÁP PHÒNG CHỐNG1. Khái quát về DOSDDOS:1.1. Khái niệm DOS:Tấn công từ chối dịch vụ DOS (Denial of Service) là các cách thức tấn công mà kẻ tấn công làm cho hệ thống không thể sử dụng hoặc chậm đi đáng kể bằng cách làm quá tải tài nguyên hệ thống1.2. Khái quát về các dạng tấn công DOS:Các nguồn tài nguyên tin tặc nhắm tới trong một cuộc tấn công DoS có thể là một máy tính cụ thể, một cổng hoặc một dịch vụ trên hệ hống, toàn bộ mạng, một thành phần mạng hoặc cũng có thể nhắm đến giao tiếp giữa con người và hệ thốngNgoài ra tấn công DoS được thiết kế để thực thi malware có thể khuếch đại bộ vi xử lý, ngăn chặn khả năng sử dụng hệ thống; kích hoạt lỗi trong mã máy khiến máy tính rơi vào trạng thái không ổn định; khai thác lỗ hổng hệ điều hành khiến treo hoàn toàn thiết bị.1.3. Khái niệm DDOS:Tấn công từ chối dịch vụ phân tán (Distributed Denial of Service) là một dạng tấn công DOS phát triển ở mức độ cao hơn.Với DOS, lưu lượng tấn công thường chỉ khởi phát ở một hay một số ít host nguồn còn với DDOS, lưu lượng tấn công được khởi phát từ rất nhiều host nằm rải rác trên mạng Internet.Tập hợp các máy tính này được gọi là mạng máy tính ma hay botnet.2. Kiến trúc tấn công DDOS:Kiến trúc tấn công DDOS được chia làm 2 loại chính:Kiến trúc tấn công trực tiếpKiến trúc tấn công gián tiếp (phản chiếu)
Trang 1- -HỌC PHẦN: CHUYÊN ĐỀ AN TOÀN THÔNG TIN
HÀ NỘI, 04/2017
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
KHOA AN TOÀN THÔNG TIN
BÀI BÁO CÁO PHÁT HIỆN TẤN CÔNG DDoS DỰA TRÊN ENTROPY CỦA
ĐỊA CHỈ IP
Trang 2Mục Lục
Trang 3CHƯƠNG I: TỔNG QUAN VỀ TẤN CÔNG DOS/DDOS VÀ CÁC BIỆN PHÁP PHÒNG CHỐNG
1 Khái quát về DOS/DDOS:
1.1 Khái niệm DOS:
− Tấn công từ chối dịch vụ DOS (Denial of Service) là các cách thức tấn công mà kẻ tấn công làm cho hệ thống không thể sử dụng hoặc chậm đi đáng kể bằng cách làm quá tải tài nguyên hệ thống
1.2 Khái quát về các dạng tấn công DOS:
− Các nguồn tài nguyên tin tặc nhắm tới trong một cuộc tấn công DoS có thể là một máy tính cụ thể, một cổng hoặc một dịch vụ trên hệ hống, toàn bộ mạng, một thành phần mạng hoặc cũng có thể nhắm đến giao tiếp giữa con người và hệ thống
− Ngoài ra tấn công DoS được thiết kế để thực thi malware có thể khuếch đại bộ vi xử lý, ngăn chặn khả năng sử dụng hệ thống; kích hoạt lỗi trong mã máy khiến máy tính rơi vào trạng thái không ổn định; khai thác lỗ hổng hệ điều hành khiến treo hoàn toàn thiết bị.
1.3 Khái niệm DDOS:
− Tấn công từ chối dịch vụ phân tán (Distributed Denial of Service) là một dạng tấn công DOS phát triển ở mức độ cao hơn.
− Với DOS, lưu lượng tấn công thường chỉ khởi phát ở một hay một số ít host nguồn còn với DDOS, lưu lượng tấn công được khởi phát từ rất nhiều host nằm rải rác trên mạng Internet.
− Tập hợp các máy tính này được gọi là mạng máy tính ma hay botnet.
2 Kiến trúc tấn công DDOS:
− Kiến trúc tấn công DDOS được chia làm 2 loại chính:
Kiến trúc tấn công trực tiếp
Kiến trúc tấn công gián tiếp (phản chiếu)
a Kiến trúc tấn công trực tiếp:
Trang 4Hình 1 Kiến trúc tấn công DDOS trực tiếp
− Theo kiến trúc này, đầu tiên kẻ tấn công sẽ tạo ra các máy trung gian (master zombies) Để làm được điều này, attacker sẽ rà quét một số host trên Internet để tìm ra các lỗ hổng Thông qua việc khai thác lỗ hổng này, attacker có thể chiếm được quyền điều khiển của các máy trung gian này và tiến hành cài đặt các công cụ tấn công trên chúng Các máy trung gian này là ngẫu nhiên trên Internet và kết nối giữa attacker và chúng có thể được mã hóa Các máy trung gian này không trực tiếp tiến hành tấn công vào máy tính nạn nhân Với số lượng máy trung gian càng lớn thì càng khó để truy vết ra kẻ tấn công.
− Tiếp theo, kẻ tấn công sẽ sử dụng các máy trung gian đã bị chiếm để tiếp tục quét và chiếm quyền điều khiển của nhiều host khác trên Internet Các máy mà bị điều khiển bởi các máy trung gian được gọi là zombies Kết nối giữa các máy trung gian và zombies cũng có thể được
mã hóa Zombies chính là tác nhân chính tấn công tới victim bằng cách
Trang 5gây ngập lụt đường truyền mạng Đa số những người sở hữu máy zombies không biết rằng máy của họ đã bị điều khiển và đang tham gia tấn công tới máy nạn nhân
b Kiến trúc tấn công gián tiếp:
Hình 2 Kiến trúc tấn công gián tiếp
− Với kiến trúc tấn công này, đầu tiên attacker cũng chiếm quyền điều khiển của các máy trung gian (masters) qua đó chiếm quyền điều khiển của các máy zombies (slaves) giống như kiến trúc tấn công trực tiếp
− Khác với kiến trúc tấn công trực tiếp, attacker thay vì sử dụng slave để tấn công trực tiếp tới máy nạn nhân, họ sẽ dùng slave để gửi request đến các reflectors (ví dụ như DNS server) với địa chỉ nguồn là địa chỉ của máy nạn nhân Khi nhận được request thì như thường lệ các reflectors sẽ gửi lại reply tới địa chỉ nguồn Và với việc nhận một số lượng phản hồi lớn như vậy sẽ khiến máy nạn nhân bị cạn kiệt tài nguyên
3 Phân loại tấn công DDOS:
− Tấn công DDOS có thể được phân loại dựa trên 6 yếu tố chính:
Trang 6 Dựa trên phương pháp tấn công
Dựa trên mức độ tự động
Dựa trên giao thức mạng
Dựa trên phương thức giao tiếp
Dựa trên cường độ tấn công
Dựa trên việc khai thác các lỗ hổng an ninh
a Dựa trên phương pháp tấn công:
− Theo kiểu phân loại này, tấn công DDOS có thể được chia thành 2 dạng:
Tấn công gây ngập lụt (Flooding attacks): kẻ tấn công tạo một lượng lớn các gói tin giống với gói tin hợp lệ và gửi đến hệ thống nạn nhân nhằm làm cho hệ thống không thể phục vụ người dùng hợp pháp
Tấn công logic (Logical attacks): loại tấn công này thường khai thác các tính năng hoặc các lỗi cài đặt của giao thức hoặc dịch vụ chạy trên
hệ thống nạn nhân nhằm làm cạn kiệt tài nguyên hệ thống.
b Dựa trên mức độ tự động:
− Theo kiểu phân loại này có thể chia tấn công DDOS thành 3 dạng:
Thủ công: kẻ tấn công trực tiếp làm mọi việc như quét lỗ hổng, chiếm quyền điều khiển, cài đặt mã độc, và ra lệnh tấn công
Bán tự động: các giai đoạn khai thác lỗ hổng và chiếm quyền điều khiển của handler và agent được thực hiện tự động Giai đoạn tấn công sẽ được tin tặc điều khiển bằng cách gửi các thông tin về kiểu tấn công, thời gian tấn công và đích tấn công
Tự động: tất cả các giai đoạn đều được thực hiện tự động
c Dựa trên giao thức mạng:
− Theo kiểu phân loại này có thể chia tấn công DDOS thành 2 dạng:
Tấn công vào tầng mạng hoặc tầng giao vận: ở dạng này, tin tặc sử dụng các gói tin TCP, UDP, ICMP để tấn công
Tấn công vào tầng ứng dụng: ở dạng này, các tấn công thường hướng đến các giao thức thông dụng ở tầng ứng dụng như HTTP, SMTP, DNS.
Trang 7d Dựa trên phương thức giao tiếp:
− Theo dạng này, tấn công DDOS có thể được chia thành 4 dạng:
Dựa trên agent-handler: tấn công theo dạng này gồm client, handler và agent Tin tặc chỉ giao tiếp trực tiếp với client Client giao tiếp với agent
để tấn công thông qua handler
Dựa trên IRC: tấn công theo dạng này, tin tặc sử dụng IRC để giao tiếp với agent
Dựa trên web: theo dạng tấn công này, tin tặc sử dụng các trang web để giao tiếp thay cho IRC
Dựa trên P2P: ở dạng này, tin tặc sử dụng giao thức P2P để giao tiếp
e Dựa trên cường độ tấn công:
− Theo dạng tấn công này, tấn công DDOS có thể được chia thành 5 dạng:
Tấn công cường độ cao: là dạng tấn công gửi một lượng lớn các yêu cầu từ các agent tại cùng 1 thời điểm
Tấn công cường độ thấp: các agent gửi một lượng lớn yêu cầu giả mạo nhưng với tần suất thấp giống như các yêu cầu đến từ người dùng hợp pháp
Tấn công cường độ thay đổi: là dạng tấn công thay đổi cường độ để tránh bị phát hiện và đáp trả
Tấn công cường độ hỗn hợp: là dạng kết hợp giữa cường độ cao và thấp
Tấn công cường độ liên tục: là dạng tấn công được thực hiện liên tục với cường độ tối đa
f Dựa trên việc khai thác các lỗ hổng an ninh:
− Theo kiểu này, tấn công DDOS có thể được chia thành 2 dạng:
Tấn công gây cạn kiệt băng thông: tấn công dạng này gây ngập lụt hệ thống mạng của nạn nhân thông qua các yêu cầu giả mạo, làm người dùng hợp pháp không thể sử dụng dịch vụ
Trang 8 Tấn công gây cạn kiệt tài nguyên: dạng tấn công này sẽ tiêu tốn hết tài nguyên trên máy nạn nhân dẫn đến việc không thể phục vụ các yêu cầu của người dùng hợp pháp
4 Các biện pháp phòng chống tấn công DDOS:
− Có thể chia biện pháp phòng chống thành 3 dạng theo 3 tiêu chí chính:
Dựa trên vị trí triển khai
Dựa trên giao thức mạng
Dựa trên thời điểm hành động
a Dựa trên vị trí triển khai:
− Theo vị trí triển khai có thể chia thành 3 dạng
Triển khai ở nguồn tấn công: lọc các gói tin có địa chỉ giả mạo tại các
bộ định tuyến ở cổng mạng, sử dụng tường lửa để nhận dạng và giảm tần suất chuyển gói tin không được xác nhận
Triển khai ở đích tấn công: nhận dạng địa chỉ giả mạo, lọc và đánh dấu các gói tin để phân biệt gói tin tấn công
Triển khai ở mạng đích tấn công: lọc và phát hiện gói tin độc hại ở bộ định tuyến
b Dựa trên giao thức mạng:
− Các biện pháp được chia thành 3 dạng theo 3 tầng ứng dụng, giao vận
và mạng
Tầng ứng dụng: giám sát hành vi người dùng trong các phiên làm việc, tối thiểu hóa việc truy nhập trang web, sử dụng các phương pháp thống
kê để phát hiện tấn công
Tầng giao vận: lọc gói tin dựa trên địa chỉ IP, giảm thời gian chờ xác nhận yêu cầu kết nối, tăng kích thước cache để tăng số lượng kết nối chờ xác nhận, sử dụng tường lửa lọc gói tin, thực thi các chính sách an toàn đã được thiết lập
Tầng mạng: giảm tần suất truyền gói tin qua lại giữa các bộ định tuyến
c Dựa trên thời điểm hành động:
Trang 9− Các biện pháp chia theo 3 thời điểm:
Trước khi bị tấn công: cập nhật hệ thống, sửa vá các lỗ hổng, cấu hình phù hợp
Trong khi bị tấn công: sử dụng tường lửa và IDS/IPS (Intrusion Detection/Prevention System) để phát hiện và ngăn chặn tấn công
Sau khi bị tấn công: ghi log, lần vết, truy tìm nguồn gốc tấn công
Trang 10CHUƠNG 2: PHÁT HIỆN TẤN CÔNG DDoS DỰA TRÊN IP ENTROPY
2.1 Khái quát về entropy
2.1.1 Khái niệm entropy và ứng dụng trong phát hiện bất thường
Ví dụ, nhìn vào một dòng chữ tiếng Việt , được mã hóa bởi các chữ cái , khoảng cách, và dấu câu , tổng quát là các ký tự Dòng chữ có ý nghĩa sẽ không hiện ra một cách hoàn toàn hỗn loạn ngẫu nhiên; ví dụ như tần số xuất hiện của chữ cái x sẽ không giống với tần số xuất hiện của chữ cái phổ biến hơn
là t Đồng thời, nếu dòng chữ vẫn đang được viết hay đang được truyền tải, khó có thể đoán trước được ký tự tiếp theo sẽ là gì, do đó nó có mức độ ngẫu nhiên nhất định Entropy thông tin là một thang đo mức độ ngẫu nhiên này.
Có nhiều dạng entropy, nhưng chỉ có một số ít được ứng dụng cho việc phát hiện các bất thường trong mạng và phổ biến nhất là Shannon entropy Shannon entropy được ứng dụng như entropy tương đối và entropy có điều kiện để phát hiện các dấu hiệu bất thường trong mạng Ngoài ra, Shannon entropy còn được sử dụng để tổng hợp một phân phối của các tính chất của các luồng mạng
2.1.2 Shannon entropy và entropy tham số
Trang 11càng nhỏ Đối với một phân bố xác suất p (X = xi) của một biến rời rạc, ngẫu nhiên X, Shannon entropy được định nghĩa như sau:
Định nghĩa về entropy để thoả mãn các giả định sau:
● Entropy phải tỷ lệ thuận liên tục với các xác suất xuất hiện của các phần tử ngẫu nhiên trong tín hiệu Thay đổi nhỏ trong xác suất phải dẫn đến thay đổi nhỏ trong entropy.
● Nếu các phần tử ngẫu nhiên đều có xác suất xuất hiện bằng nhau, việc tăng số lượng phần tử ngẫu nhiên phải làm tăng entropy.
● Có thể tạo các chuỗi tín hiệu theo nhiều bước, và entropy tổng cộng phải bằng tổng có trọng số của entropy của từng bước.
Shannon cũng chỉ ra rằng bất cứ định nghĩa nào của entropy, cho một tín hiệu
có thể nhận các giá trị rời rạc, thoả mãn các giả định của ông thì đều có dạng:
H(x)=
với
● K là một hằng số, chỉ phụ thuộc vào đơn vị đo
● n là tổng số các giá trị có thể nhận của tín hiệu.
● i là giá trị rời rạc thứ i.
● p(i) là xác suất xuất hiện của giá trị i.
Dưới đây là một số tính chất quan trọng của Shannon entropy:
- Tính không âm (Nonnegativity)
Trang 12Shannon entropy giả định có sự cân bằng giữa phân bố khối chính và đuôi Để kiểm soát sự cân bằng này, hai Shannon entropy tham số tổng quát
đã được đề xuất, bởi Renyi và Tsallis Nếu tham số ký hiệu là α (hoặc q) có một giá trị tích cực, nó cho thấy nhiều khối chính (tập trung các sự kiện xảy ra thường xuyên), nếu giá trị là tiêu cực - nó đề cập đến đuôi (sự phân tán gây ra bởi các sự kiện hiếm khi xảy ra) Cả hai entropy tham số (Renyi và Tsallis) xuất phát từ trung bình tổng quát Kolmogorov-Nagumo:
ϕ là công thức mà thỏa mãn các định đề cộng (chỉ có hàm afin, hoặc hàm lũy thừa thỏa mãn điều này) và Φ -1 là hàm ngược Do phép biến đổi afin (x
∮ i )→ λ(x i ) = a ϕ (x i ) + b (trong đó a và b là các số tự nhiên).
Renyi entropy có thể được tính toán từ Shannon entropy với các biến đổi sau:
Reney entropy thỏa mãn các nguyên lý tương tự như entropy Shannon
và có những mối quan hệ sau đây:
Tsallis đưa ra hàm ϕ như sau:
Chúng ta có thể thấy entropy này phi logarit Có một vài mối quan hệ giữa Shannon entropy và Tsallis entropy:
Trang 13Tuy nhiên, Tsallis entropy là không thể mở rộng, nó chỉ thỏa mãn tính chất cộng Đối với các biến ngẫu nhiên rời rạc độc lập X, Y ta có:
Nó có nghĩa là:
và
Có thể rút ra các kết luận với hai Renyi và Tsallis entropy tham số:
● Tập trung với α>1 và phân tán nếu α<1,
● Hội tụ đến Shannon entropy với α -> 1
Shannon sử dụng số lần xuất hiện của mỗi N-gram để ước tính giá trị pi cho mỗi N-gram trong số các N-gram có thể có Đối với mỗi N, kết quả này trong một phân bố xác suất mà các N- gram entropy FN có thể dễ dàng được tính toán với phương trình sau:
Do N tiệm cận vô cực, Shannon khuyến nghị sử dụng giới hạn của dãy giá trị kết quả như entropy tổng thể của chuỗi:
Trang 14
Cách tiếp cận này bộc lộ một số vấn đề nếu chuỗi là hữu hạn Thứ nhất, giới hạn không tồn tại cho chuỗi hữu hạn Thứ hai, entropy sẽ trở nên vô nghĩa ngay khi N đạt đến bậc log L: vào thời điểm đó sẽ không còn khả năng tính toán cho tất cảcác mẫu nhận được và việc dự toán xác suất kết quả ngày càng trở nên sai lệch.
2.1.3.2 T-Thông tin và T-entropy
Titchener dự đoán rằng các giới hạn trên của T-phức tạp complexity) là gần tương đương với li(|x|) Để có được một Shannon entropy
(T-đo thông tin tương thích từ T-phức tạp, Titchener đã đề xuất tích phân logarit nghịch đảo li-1 (x) là hàm thích hợp cho việc tuyến tính hóa T-phức tạp Do đó Titchener đã đưa ra các khái niệm như sau: Định nghĩa T-thông tin: T-thông tin của một chuỗi x là định nghĩa là tích phân logarit nghịch đảo của T-phức tạp của x:
T-thông tin như vậy không mô tả tỷ lệ entropy Do đó, Titchener đưa ra một phương pháp được gọi là T-entropy từ T-thông tin T-entropy được xác định thông qua độ chênh lệch của T-thông tin Định nghĩa T-entropy: T- entropy của một chuỗi x được định nghĩa là độ chênh lệch của T-thông tin của
x đối với chiều dài với |x| của x:
Trang 15
T-entropy khác nhau trên khắp chiều dài chuỗi |x|, nó được tính toán bằng đơn vị nats trên mỗi ký hiệu nếu logarit tự nhiên được sử dụng cho việc tính toán của T-thông tin Nếu cơ số của logarit là 2 thì các đơn vị như bit cho mỗi bit hay tổng quát hơn, bit cho mỗi ký hiệu được sử dụng Các tính toán của T-phức tạp (và do đó T-entropy) liên quan đến các khối có độ dài thay đổi phụ thuộc vào các mẫu (patterns) trong các đầu vào Đây là một cách tiếp cận khác cơ bản đối với các phép đo N-gram entropy của Shannon, trong đó kích thước khối N được cố định.
2.2 Mô hình phát hiện tấn công DDoS dựa trên entropy của IP nguồn 2.2.1 Giới thiệu mô hình
Mặc dù đặc điểm của tấn công DDoS là các nguồn khởi phát tấn công có
số lượng lớn và phân tán trên mạng Internet, tần xuất gửi các yêu cầu tấn công từ mỗi host đến máy nạn nhân là khá lớn Ngoài ra, do các địa chỉ IP giả mạo thường được sử dụng trong các yêu cầu tấn công DDoS, nên miền địa chỉ
IP nguồn của các yêu cầu giả mạo có nhiều khác biệt so với miền IP của các yêu cầu hợp lệ Trên cơ sở tính các mẫu entropy của IP nguồn của các yêu cầu truy nhập khi hệ thống ở trạng thái làm việc bình thường, có thể giám sát phát hiện tấn công DDoS trên cơ sở liên tục tính entropy IP nguồn của các yêu cầu truy nhập và so sánh với các mẫu entropy đã thu thập trong trạng thái làm việc bình thường
Mô hình phát hiện tấn công DDoS dựa trên entropy của IP nguồn gồm 2 giai đoạn: huấn luyện và phát hiện như biểu diễn trên Hình :
Trang 16Mô hình phát hiện tấn công DDoS dựa trên entropy của IP nguồn
2.2.2 Hoạt động của mô hình
Mô hình phát hiện tấn công DDoS dựa trên entropy của IP nguồn gồm 2 giai đoạn: (a) huấn luyện và (b) phát hiện.
2.2.2.1 Giai đoạn huấn luyện
Giai đoạn huấn luyện gồm các bước:
● Thu thập dữ liệu: Dữ liệu các gói tin IP dùng cho huấn luyện được thu thập trong điều kiện hệ thống làm việc bình thường, không có tấn công DDoS Các gói tin được thu thập liên tục trên card hoặc cổng mạng, hoặc có thể sử dụng các tập dữ liệu các gói tin IP có sẵn.
● Trích địa chỉ IP nguồn: Địa chỉ IP nguồn của từng gói tin được trích ra phục
vụ cho tính toán giá trị entropy
● Tính entropy của chuỗi IP nguồn: sử dụng phương pháp cửa sổ trượt theo thời gian, hoặc theo số lượng gói tin để tính entropy của dữ liệu huấn luyện Entropy được tính toán bởi công thức :