Nghiên cứu giải pháp chống tấn công DDoS thế hệ mới cho mạng ISP sử dụng BGP flowspec

Từ các bài toán điển h nh như vậy, chúng ta thấy được rằng nếu có một biện pháp tin cậy giúp các nhà cung cấp dịch vụ quản lý tập chung các hệ thống định tuyến và ngăn chặn tấn công DdoS

MỤC LỤC

LỜI MỞ ĐẦU i

LỜI CẢM N ii

MỤC LỤC i

DANH MỤC THUẬT NGỮ VIẾT TẮT iii

MỤC LỤC H NH ẢNH iv

CHƯ NG I: TẤN CÔNG DDOS VÀ THÁCH THỨC BẢO MẬT TRÊN MẠNG LƯỚI 1

1.1 Giới thiệu chung 1

1.2 Tổng quan về tấn công DDoS 2

1.3 Kiến trúc, phân loại và các phư ng pháp chống tấn công DDOS 2

1.3.1 Kiến trúc tấn công DDoS 2

1.3.2 Phân loại tấn công DDoS 4

1.3.4 Các biện pháp phòng chống tấn công DDoS 7

1.3.3 Nguy c tấn công và cách đối phó với tấn công DDoS tại Việt Nam 9

1.4 Sự phát triển của các cuộc tấn công DDoS trên mạng ISP 10

1.5 Những thách thức trong việc phòng chống DDoS trên mạng ISP 11

1.5.1 Cấu trúc mạng ISP 12

1.5.2 Chống tấn công DDoS sử dụng kĩ thuật RTBH 13

1.5.3 Nhược điểm của giải pháp RTBH 15

1.6 Tổng kết chư ng I 16

CHƯ NG II: T M HIỂU VỀ BGP FLOW-SPEC 17

2.1 Tổng quan về BGP Flow-Spec 17

2.1.1 Vận chuyển và quảng bá BGP Flow-spec 18

2.1.2 Lưu trữ Flow-spec trong bản tin cập nhật của BGP 18

2.1.3 Biểu diễn thông tin của một BGP Flow-spec trong gói tin cập nhật của BGP20 2.1.4 Các loại thông tin trong BGP Flow-spec 22

2.1.5 Thứ tự sắp xếp và cập nhật BGP Flow-spec 28

2.1.6 Xử lý BGP Flow-Spec 30

2.2 C chế hoạt động BGP Flow-Spec 32

2.3 Mở rộng c chế chuyển mạch và định tuyến với BGP Flow-Spec 34

2.4 Ưu điểm khi sử dụng BGP Flow-Spec trên mạng lưới 39

2.4.1 Chống tấn công DDoS sử dụng BGP Flow-Spec 39

2.4.2 Tránh việc cấu h nh nhiều bộ định tuyến ảo phức tạp 40

2.4.2 Tránh lặp định tuyến khi lọc lưu lượng độc hại 42

2.4.3 Đư ng đầu với tấn công băng thông lớn 44

2.4.4 Định tuyến QoS 44

2.5 Tổng kết chư ng II 46

CHƯ NG 3: GIẢI PHÁP CHỐNG TẤN CÔNG DDOS THẾ HỆ MỚI SỬ DỤNG BGP FLOW-SPEC 47

3.1 Yêu cầu đối với hệ thống chống tấn công DdoS thế hệ mới trên mạng ISP 47

3.2 Triển khai hệ thống chống tấn công DdoS thế hệ mới trên mạng ISP 47

3.2.1Các thành phần trong hệ thống phòng thủ DDoS sử dụng BGP Flow-Spec 47

3.2.2 Quá tr nh phát hiện và ngăn chặn một cuộc tấn công trên mạng ISP sử dụng BGP Flow-Spec 52

3.3 Mô ph ng hệ thống chống tấn công DDoS thế hệ mới sử dụng BGP Flow-Spec 53 3.3.1Công cụ thực hiện 54

3.3.2 Mô h nh triển khai 54

3.3.3 Các bước thực hiện 54

3.3.4 Kịch bản tấn công và kết quả 57

3.4 Tổng kết chư ng III 62

KẾT LUẬN ĐỒ ÁN VÀ HƯỚNG NGHIÊN CỨU TIẾP THEO 63

TÀI LIỆU THAM KHẢO 64

DANH MỤC THUẬT NGỮ VIẾT TẮT Thuật

ISP Internet Service Provider Nhà cung cấp dịch vụ internet

BGP Border Gateway Protocol Giao thức định tuyến liên

miền

DDoS Distributed Denial of Service Tấn công từ chối dịch vụ

phân tán

NLRI Network Layer Reachability

Information

Thông tin truy cập lớp mạng

HTTP HyperText Transfer Protocol Giao thức truyền tải siêu văn

RTBH Remote Triger Black Hole Lỗ đen kích hoạt từ xa

NIC Network Interface Card Cổng giao diện mạng

PBR Policy Base Routing Định tuyến dựa trên chính

MỤC LỤC HÌNH ẢNH

H nh 1.1.Kiến trúc tấn công DDoS trực tiếp 3

H nh 1.2.Kiến trúc tấn công DDoS phản chiếu 3

H nh 2.3.Tấn công ngập lụt băng thông qua môi trường mạng ISP 10

H nh 2.4.Tiêu đề gói tin IP 11

H nh 2.5.Khuôn dạng bản tin cập nhật của BGP 20

H nh 2.6.Các thành phần của NLRI thông thường 20

H nh 2.7.Một gói tin cập nhật BGP chứa Flow-spec NLRI 21

H nh 2.8.Ví dụ mô tả tiền tố địa chỉ IP đích trong Flow-spec NRLI 22

H nh 2.9.Ví dụ mô tả tiền tố địa chỉ IP nguồn trong Flow-spec NRLI 23

H nh 2.10.Ví dụ mô tả tiền tố địa chỉ cổng đích trong Flow-spec NRLI 24

H nh 2.11.Ví dụ mô tả tiền tố mã bản tin ICMP trong Flow-spec NRLI 25

H nh 2.12.Ví dụ mô tả tiền tố cờ TCP trong Flow-spec NRLI 26

H nh 2.13 Ví dụ mô tả tiền tố độ dài bản tin trong Flow-spec NRLI 27

H nh 2.14.Ví dụ mô tả tiền tố DSCP trong Flow-spec NRLI 27

H nh 2.15.Ví dụ mô tả tiền tố phân mảnh trong Flow-spec NRLI 28

H nh 2.16 Thứ tự áp dụng hành động cho BGP Flow-spec 33

H nh 2.17 Chuyển mạch sử dụng mặt phẳng điều khiển và mặt phẳng dữ liệu 35

H nh 2.18 Mô h nh hoạt động chủ-tớ của BGP Flow-spec 36

H nh 2.19 Mô h nh hoạt động của thiết bị đính tuyến hỗ trợ BGP Flow-spec 38

H nh 2.20 S đồ cấu h nh BGP Flow-spec 39

H nh 2.21 Mô h nh mạng sử dụng BGP Flow-spec để chuyển hướng và chấm dứt lưu lượng độc hại 40

H nh 2.22 S đồ tấn công DDoS c bản trên mạng 41

H nh 2.23 Điều hướng tấn công DDoS nhờ sử dụng các bộ định tuyến ảo 41

H nh 2.24 Ưu thế của sử dụng Flow-spec so với sử dụng các bộ định tuyến ảo 42

H nh 2.25 Lặp định tuyến khi trao đổi lưu lượng với bộ lọc 43

H nh 2.26 BGP Flow-Spec giải quyết lặp định tuyến 43

H nh 2.27 Tấn công DDoS lưu lượng lớn 44

H nh 2.28 Sử dung BGP Flow-spec hỗ trợ định tuyến QoS 45

H nh 3.1 Các thành phần của hệ thống phòng thủ DDoS sử dụng BGP Flow-spec 48

H nh 3.2 S đồ các bộ định tuyến biên trong mạng metro 49

H nh 3.3 Đặc điểm của các bộ định tuyến phản chiếu 50

H nh 3.4 Sử dụng RR trong phân cụm quản lý 51

H nh 3.5 Mô h nh mô ph ng 55

H nh 3.6 Cấu h nh định tuyến BGP giữa Client và Server 55

H nh 3.7 Giao diện phần mềm Moba Exterm 56

H nh 3.8 Mô ph ng máy chủ web sử dụng Moba Exterm 56

H nh 3.9 Giao diện máy chủ web khi truy cập 57

H nh 3.10 Sử dụng Ostinato giả lập lưu lượng tấn công 57

H nh 3.11.Thiết lập thông số và đặc điểm lưu lư ng tấn công 58

H nh 3.12 Sử dụng Wireshark bắt lưu lư ng tấn công 59

H nh 3.13 Hướng đi của lưu lượng tấn công và lưu lượng người dùng tới máy chủ 60

H nh 3.14 Cấu h nh bộ kích hoạt Flow-spec để ngăn chặn tấn công 60

H nh 3.15 Các bộ định tuyến khách đã học và thiết lập Flow-Spec thành công 61

H nh 3.16 Hướng đi của lưu lượng tấn công đã bị chặn tại bộ định tuyến Flow-Spec khách 62

DANH MỤC ẢNG IỂU

Bảng 2.1 Các hành động được hỗ trợ 32 Bảng 2.2 Thứ tự ưu tiên xử lý FBR theo các tiền tố của Flow-spec 34

CHƯƠNG I: TẤN CÔNG DDOS VÀ THÁCH THỨC BẢO MẬT TRÊN

MẠNG LƯỚI

1.1 Giới thiệu chung

Ngày nay, đối với các nhà cung cấp dịch vụ mạng th việc quản lý và bảo vệ tốt

hệ thống mạng lưới của m nh cũng như dữ liệu khách hàng, đối tác trước các cuộc tấn công mạng là một trong những bài toán được ưu tiên hàng đầu và đang không ngừng gây khó khăn cho họ Để có thể ngăn chặn các cuộc tấn đó, ban đầu các nhà cung cấp phải đầu tư, tính toán rất nhiều loại chi phí như chi phí cho phần cứng, phần mềm, mạng, chi phí cho quản trị viên, chi phí bảo tr , sửa chữa, … Ngoài ra họ còn phải tính toán khả năng mở rộng, nâng cấp thiết bị, phải kiểm soát việc điều hướng lưu lượng và chống lặp định tuyến trong mạng Từ các bài toán điển h nh như vậy, chúng ta thấy được rằng nếu có một biện pháp tin cậy giúp các nhà cung cấp dịch vụ quản lý tập chung các hệ thống định tuyến và ngăn chặn tấn công DdoS thì các doanh nghiệp sẽ không còn quan tâm đến cấu h nh phức tạp mà chỉ cần tập chung theo dõi, xử lý và điều khiển lưu lượng mạng thông qua một tính năng duy nhất th sẽ mang lại cho họ hiệu quả và lợi nhuận ngày càng cao h n

Thuật ngữ “BGP Flow-specification được bắt nguồn từ ý tưởng mở rộng c chế định tuyến hiện tại và điều khiển định tuyến trong giao thức BGP thông qua các bộ quản lý tập chung Chúng ta sẽ thấy định tuyến không chỉ còn lại là việc điều hướng lưu lượng dựa trên địa chỉ IP mà còn có thể dựa trên rất nhiều các tiêu chí khác: địa chỉ nguồn, số hiệu cổng lớp truyền tải, QoS hay thậm chí là độ dài gói tin IP C chế này cho phép thiết bị định tuyến can thiệp sâu vào quá tr nh xử lý lưu lượng đồng thời cho phép quản lý việc phân phối, sửa đổi và thu hồi thông tin về lưu lượng mạng một cách tập chung hoàn toàn Xu hướng này sẽ giúp nhiều nhà cung cấp dịch vụ điều khiển tối

ưu lưu lượng mạng và ngăn chặn lưu lư ng tấn công DDoS ngay trước khi nó xâm nhập mạng Vậy “BGP Flow-spec là g ?

Có rất nhiều định nghĩa từ các qui ước khác nhau trong đó, theo RFC 5575 th định nghĩa một lưu lượng đặc tả ( Flow specification - FS) là một luồng lưu lượng được mô tả bởi một tập các tiêu chí có thể được áp dụng cho lưu lượng IP Flow-spec được truyển tải và trao đổi dựa trên giao thức định tuyến liên miền BGP, vốn là giao thức được sử dụng sẵn trong mạng Các thông tin về FS sẽ được mã hóa và đặt trong gói tin cập nhật của giao thức này, từ đó cho phép kích hoạt tức th nếu như có các sự kiện tạo mới, thay đổi cũng như thu hồi các FS Điều này khiến Flow-spec tận dụng được hàng loạt các ưu điểm của giao thức định tuyến BGP Bên cạnh đó, chính nhờ vào c chế thiết lập láng giềng và trao đổi tuyến đặc biệt của BGP mà khiến việc quản

lý các FS trở nên tập chung và linh hoạt thông qua việc sử dụng bộ định tuyến phản chiếu Việc này cho phép người quản trị mạng quản lý hoặc điều hiếu toàn bộ lưu lượng mạng có thể chỉ qua việc cấu h nh một bộ định tuyến duy nhất, do đó việc ngăn

chặn các cuộc tấn công DDoS trở nên dễ dàng và linh hoạt h n

1.2 Tổng quan về tấn công DDoS

Tấn công từ chối dịch vụ (Denial of Service - DoS) là dạng tấn công nhằm ngăn chặn người dùng hợp pháp truy nhập các tài nguyên mạng Tấn công từ chối dịch vụ phân tán (Distributed Denial of Service - DDoS) là một dạng phát triển ở mức độ cao của tấn công DoS Khác biệt c bản của tấn công DoS và DDoS là phạm vi tấn công Trong khi lưu lượng tấn công DoS thường phát sinh từ một hoặc một số ít trạm nguồn, lưu lượng tấn công DDoS thường phát sinh từ rất nhiều máy trạm nằm rải rác trên mạng Internet Hiện nay, có hai phư ng pháp tấn công DDoS chủ yếu Trong phư ng pháp thứ nhất, kẻ tấn công gửi các gói tin được tạo theo dạng đặc biệt gây lỗi trong giao thức truyền hoặc lỗi trong ứng dụng chạy trên máy nạn nhân Một dạng tấn công DDoS điển h nh theo phư ng pháp này là tấn công khai thác lỗ hổng an ninh của các giao thức hoặc dịch vụ trên máy nạn nhân Phư ng pháp tấn công DDoS thứ hai phổ biến h n phư ng pháp thứ nhất, gồm hai dạng : dạng tấn công DDoS gây ngắt quãng kết nối của người dùng đến máy chủ dịch vụ bằng cách làm ngập lụt đường truyền mạng, cạn kiệt băng thông hoặc tài nguyên mạng, và dạng tấn công DDoS gây ngắt quãng dịch vụ cung cấp cho người dùng bằng cách làm cạn kiệt các tài nguyên của máy chủ dịch vụ, như thời gian xử lý của CPU, bộ nhớ, băng thông đĩa, c sở dữ liệu Dạng tấn công này bao gồm các loại tấn công gây ngập lụt ở mức ứng dụng

Để phòng chống tấn công DDoS một cách hiệu quả nhằm hạn chế và giảm thiểu thiệt hại do tấn công DDoS gây ra, việc nghiên cứu về các dạng tấn công và các biện pháp phòng chống là cần thiết Nhiều công tr nh nghiên cứu về phân loại các dạng tấn công DDoS và các biện pháp phòng chống đã được công bố Một cách tổng quát, các tấn công DDoS được phân loại thành 2 dạng: dạng tấn công gây cạn kiệt băng thông đường truyền mạng và dạng tấn công gây cạn kiệt tài nguyên máy chủ dịch vụ Dạng tấn công cạn kiệt băng thông lại được chia thành tấn công gây ngập lụt và tấn công khuếch đại, còn dạng tấn công gây cạn kiệt tài nguyên máy chủ được chia tiếp thành tấn công khai thác lỗi giao thức và tấn công sử dụng các gói tin đặc biệt Phân loại các tấn công DDoS thành 2 dạng dựa trên lớp mạng, gồm tấn công gây ngập lụt ở lớp mạng/giao vận và tấn công gây ngập lụt ở lớp ứng dụng Theo một hướng khác, tấn công từ chối dịch vụ được phân loại dựa trên 4 tiêu chí: mức độ tự động, khai thác các lỗ hổng an ninh, cường độ tấn công và mức độ ảnh hưởng Tuy có sự khác biệt về phư ng pháp và tiêu chí phân loại, các công tr nh nghiên cứu đều có chung đánh giá

về mức độ nguy hiểm và sự tăng trưởng đáng lo ngại của tấn công DDoS cả về phạm

vi, mức độ tinh vi và khả năng phá hoại

1.3 Kiến trúc, phân loại và các phương pháp chống tấn công DDOS

1.3.1 Kiến trúc tấn công DDoS

Mặc dù có nhiều dạng tấn công DDoS được ghi nhận, nhưng tựu trung có thể chia kiến trúc tấn công DDoS thành 2 loại chính: kiến trúc tấn công DDoS trực tiếp và

kiến trúc tấn công DDoS gián tiếp hay phản chiếu H nh 1.1 minh họa kiến trúc tấn công DDoS trực tiếp, theo đó tin tặc (Attacker) trước hết thực hiện chiếm quyền điều khiển hàng ngàn máy tính có kết nối Internet, biến các máy tính này thành các Zombie – những máy tính bị kiểm soát và điều khiển từ xa bởi tin tặc Tin tặc thường điều khiển các Zombie thông qua các máy trung gian (Handler) Hệ thống các Zombie chịu

sự điều khiển của tin tặc còn được gọi là mạng máy tính ma hay botnet Theo lệnh gửi

từ tin tặc, các Zombie đồng loạt tạo và gửi các yêu cầu truy nhập giả mạo đến hệ thống nạn nhân (Victim), gây ngập lụt đường truyền mạng hoặc làm cạn kiệt tài nguyên của máy chủ, dẫn đến ngắt quãng hoặc ngừng dịch vụ cung cấp cho người dùng

H n 1.1.K ến trúc tấn công DDoS trực t ếp

Tư ng tự như kiến trúc tấn công DDoS trực tiếp, tin tặc (Attacker) trước hết thực hiện chiếm quyền điều khiển một lượng rất lớn máy tính có kết nối Internet, biến các máy tính này thành các Zombie, hay còn gọi là Slave Hình 1.2 minh họa kiến trúc tấn công DDoS gián tiếp hay còn gọi là kiến trúc tấn công DDoS phản chiếu

H n 1.2.K ến trúc tấn công DDoS p n c ếu

Tin tặc điều khiển các Slave thông qua các máy trung gian (Master) Theo lệnh gửi từ tin tặc, các Slave đồng loạt tạo và gửi các yêu cầu truy nhập giả mạo với địa chỉ nguồn của các gói tin là địa chỉ của máy nạn nhân (Victim) đến đến một số lớn các máy khác (Reflectors) trên mạng Internet Các Reflectors gửi phản hồi (Reply) đến máy nạn nhân do địa chỉ của máy nạn nhân được đặt vào yêu cầu giả mạo Khi các Reflectors có số lượng lớn, số phản hồi sẽ rất lớn và gây ngập lụt đường truyền mạng hoặc làm cạn kiệt tài nguyên của máy nạn nhân, dẫn đến ngắt quãng hoặc ngừng dịch

vụ cung cấp cho người dùng Các Reflectors bị lợi dụng để tham gia tấn công thường

là các hệ thống máy chủ có công suất lớn

1.3.2 Phân loại tấn công DDoS

Các cuộc tấn công DDoS thường được tin tặc thực hiện bằng cách huy động một số lượng rất lớn các máy tính có kết nối Internet bị chiếm quyền điều khiển – tập hợp các máy này được gọi là mạng máy tính ma hay mạng bot, hoặc botnet Các máy của botnet có khả năng gửi hàng ngàn yêu cầu giả mạo mỗi giây đến hệ thống nạn nhân, gây ảnh hưởng nghiêm trọng đến chất lượng dịch vụ cung cấp cho người dùng

Do các yêu cầu của tấn công DDoS được gửi rải rác từ nhiều máy ở nhiều vị trí địa lý nên rất khó phân biệt với các yêu cầu của người dùng hợp pháp Một trong các khâu cần thiết trong việc đề ra các biện pháp phòng chống tấn công DDoS hiệu quả là phân loại các dạng tấn công DDoS và từ đó có biện pháp phòng chống thích hợp Nhiều phư ng pháp phân loại tấn công DDoS đã được đề xuất như trong các công tr nh Một cách khái quát, tấn công DDoS có thể được phân loại dựa trên 6 tiêu chí chính: dựa trên phư ng pháp tấn công, dựa trên mức độ tự động, dựa trên giao thức mạng, dựa trên phư ng thức giao tiếp, dựa trên cường độ tấn công và dựa trên việc khai thác các

lỗ hổng an ninh Phần tiếp theo của mục này tr nh bày chi tiết từng loại

- Dựa trên phương pháp tấn công: Phân loại DDoS dựa trên phư ng pháp tấn

công là một trong phư ng pháp phân loại c bản nhất Theo tiêu chí này, DDoS có thể được chia thành hai dạng: Tấn công gây ngập lụt (Flooding attacks) và tấn công Logic Trong tấn công gây ngập lụt, tin tặc tạo một lượng lớn các gói tin tấn công giống như các gói tin hợp lệ và gửi đến hệ thống nạn nhân làm cho hệ thống không thể phục vụ người dùng hợp pháp Đối tượng của tấn công dạng này là băng thông mạng, không gian đĩa, thời gian của CPU,… Trong tấn công logic (Logical attacks): Tấn công logic thường khai thác các tính năng hoặc các lỗi cài đặt của các giao thức hoặc dịch vụ chạy trên hệ thống nạn nhân, nhằm làm cạn kiệt tài nguyên hệ thống Ví dụ tấn công TCP SYN khai thác quá tr nh bắt tay ba bước trong khởi tạo kết nối TCP, trong đó mỗi yêu cầu kết nối được cấp một phần không gian trong bảng lưu yêu cầu kết nối trong khi chờ xác nhận kết nối Tin tặc có thể gửi một lượng lớn yêu cầu kết nối giả mạo hoặc các kết

nối không thể thực hiện, từ đó chiếm đầy không gian bảng kết nối và khiến hệ thống nạn nhân không thể tiếp nhận yêu cầu kết nối của người dùng hợp pháp

- Dựa trên mức độ tự động: Theo mức độ tự động, có thể chia tấn công DDoS

thành 3 dạng : tấn công thủ công, tấn công bán tự động và tấn công tự động Đối với

h nh thức tấn công thủ công th tin tặc trực tiếp quét các hệ thống t m lỗ hổng, đột nhập vào hệ thống, cài đặt mã tấn công và ra lệnh kích hoạt tấn công Chỉ những tấn công DDoS trong giai đoạn đầu mới được thực hiện thủ công Đối với một cuộc tấn công bán tự động, thiết bị trong mạng lưới thực hiện tấn công DDoS bao gồm các máy điều khiển (master/handler) và các máy agent (slave, deamon, zombie, bot) Tại giai đoạn chọn máy agent, khai thác lỗ hổng và lây nhiễm được thực hiện tự động Trong giai đoạn tấn công, tin tặc gửi các thông tin bao gồm kiểu tấn công, thời điểm bắt đầu, khoảng thời gian duy tr tấn công và đích tấn công đến các agent thông qua các handler Các agent sẽ theo lệnh gửi các gói tin tấn công đến hệ thống nạn nhân.Tấn công tự động là tấn cong mag tất cả các giai đoạn trong quá tr nh tấn công DDoS, từ tuyển chọn máy agent, khai thác lỗ hổng, lây nhiễm đến thực hiện tấn công đều được thực hiện tự động Tất cả các tham số tấn công đều được lập tr nh sẵn và đưa vào mã tấn công Tấn công dạng này giảm đến tối thiểu giao tiếp giữa tin tặc và mạng lưới tấn công, và tin tặc chỉ cần kích hoạt giai đoạn tuyển chọn các máy agent

- Dựa trên giao thức mạng: Tấn công DDoS dựa theo tiêu chí này có thể chia

thành 2 dạng: tấn công vào tầng mạng hoặc giao vận và tấn công vào tầng ứng dụng Ở dạng tấn công vào tầng mạng, các gói tin TCP, UDP và ICMP được sử dụng để thực hiện tấn công Khi tin tặc tấn công vào tầng ứng dụng thì các tấn công thường hướng đến các dịch vụ thông dụng ứng với các giao thức tầng ứng dụng như HTTP, DNS và SMTP Tấn công DDoS tầng ứng dụng cũng có thể gây ngập lụt đường truyền và tiêu hao tài nguyên máy chủ, làm ngắt quãng khả năng cung cấp dịch vụ cho người dùng hợp pháp Dạng tấn công này rất khó phát hiện do các yêu cầu tấn công tư ng tự yêu cầu từ người dùng hợp pháp

- Dựa trên phương thức giao tiếp: Thông thường, để thực hiện tấn công DDoS,

tin tặc phải tuyển chọn và chiếm quyền điều khiển một số lượng lớn các máy tính có kết nối Internet, và các máy tính này sau khi bị cài phần mềm agent trở thành các bots

- công cụ giúp tin tặc thực hiện tấn công DDoS Tin tặc thông qua các máy điều khiển (master) giao tiếp với các bots để gửi thông tin và các lệnh điều khiển tấn công Theo phư ng thức giao tiếp giữa các master và bots, có thể chia tấn công DDoS thành bốn dạng: DDoS dựa trên agent-handler, DDoS dựa trên IRC, DDoS dựa trên web, DDoS dựa trên P2P Tấn công dạng dựa trên agent-handler bao gồm các thành phần: clients, handlers và agents (bots/zombies) Tin tặc chỉ giao tiếp trực tiếp với clients Clients sẽ giao tiếp với agents thông qua handlers Nhận được lệnh và các thông tin thực hiện tấn

công, agents trực tiếp thực hiện việc tấn công DDoS dựa trên IRC thì Internet Relay Chat (IRC) là một hệ thống truyền thông điệp trực tuyến cho phép nhiều người dùng tạo kết nối và trao đổi các thông điệp theo thời gian thực Trong dạng tấn công DDoS này tin tặc sử dụng IRC làm kênh giao tiếp với các agents, không sử dụng handlers Trong một cuộc tấn công DDoS dựa trên web, tin tặc sử dụng các trang web làm phư ng tiện giao tiếp qua kênh HTTP thay cho kênh IRC Các trang web của tin tặc được sử dụng làm trung tâm điều khiển và lây nhiễm các phần mềm độc hại, các công

cụ khai thác các lỗ hổng an ninh, cài đặt các agents chiếm quyền điều khiển hệ thống máy tính và biến chúng thành các bots Các bots có thể được xác lập cấu h nh hoạt động từ đầu, hoặc chúng có thể gửi các thông điệp đến trang web điều khiển thông qua các giao thức web phổ biến như HTTP và HTTPS Đối với cuộc tấn công DDoS dựa trên P2P: Ở dạng này, tin tặc sử dụng giao thức Peer to Peer – một giao thức ở tầng ứng dụng làm kênh giao tiếp Bản chất của các mạng P2P là phân tán nên rất khó để phát hiện các bots giao tiếp với nhau thông qua kênh này

- Dựa trên cường độ tấn công: Dựa trên cường độ hoặc tần suất gửi yêu cầu tấn

công, có thể phân loại tấn công DDoS thành 5 dạng: tấn công cường độ cao, tấn công cường độ thấp, tấn công cường độ hỗn hợp, tấn công cường độ liên tục và tấn công cường độ thay đổi Tấn công cường độ cao là dạng tấn công gây ngắt quãng dịch vụ bằng cách gửi cùng một thời điểm một lượng rất lớn các yêu cầu từ các máy agents/zombies nằm phân tán trên mạng Tấn công cường độ thấp: là kiểu tấn công

mà các agents/zombies được phối hợp sử dụng để gửi một lượng lớn các yêu cầu giả mạo, nhưng với tần suất thấp, làm suy giảm dần dần hiệu năng mạng Dạng tấn công này rất khó bị phát hiện do lưu lư ng tấn công tư ng tự như lưu lượng đến từ người dùng hợp pháp Trong khi đó, tấn công cường độ hỗn hợp là dạng kết hợp giữa tấn công cường độ cao và tấn công cường độ thấp Đây là dạng tấn công phức hợp, trong

đó tin tặc thường sử dụng các công cụ để sinh các gói tin tấn công gửi với tần suất cao

và thấp Tấn công cường độ liên tục là dạng tấn công được thực hiện liên tục với cường độ tối đa trong suốt khoảng thời gian từ khi bắt đầu đến khi kết thúc Cuối cùng, tấn công cường độ thay đổi: Đây là dạng tấn công có cường độ thay đổi động nhằm tránh bị phát hiện và đáp trả

- Dựa trên việc khai thác các lỗ hổng an ninh: bao gồm tấn công gây cạn kiệt

băng thông, tấn công gây cạn kiệt tài nguyên.Tấn công gây cạn kiệt băng thông là các tấn công DDoS được thiết kế để gây ngập lụt hệ thống mạng của nạn nhân bằng các yêu cầu truy nhập giả mạo, làm người dùng hợp pháp không thể truy nhập dịch vụ Tấn công dạng này thường gây tắc nghẽn đường truyền bằng lượng yêu cầu giả mạo rất lớn gửi bởi các máy tính ma (zombie) của các botnets Dạng tấn công này cũng còn được gọi là tấn công gây ngập lụt hoặc tấn công khuếch đại Tấn công gây cạn kiệt tài

nguyên là các tấn công DDoS được thiết kế để tiêu dùng hết các tài nguyên trên hệ thống nạn nhân, làm cho nó không thể phục vụ các yêu cầu của người dùng hợp pháp Trong dạng thứ hai, kẻ tấn công tạo ra các gói tin đặc biệt, như các gói sai định dạng, gói có khiếm khuyết, gửi đến hệ thống nạn nhân Hệ thống nạn nhân có thể bị trục trặc khi cố gắng xử lý các gói tin dạng này Ví dụ, trong tấn công Ping of Death, tin tặc gửi các gói tin ICMP có kích thước lớn h n 64KB gây lỗi các máy chạy hệ điều hành Windows XP

1.3.4 Các biện pháp phòng chống tấn công DDoS

Do tính chất nghiêm trọng của tấn công DDoS, nhiều giải pháp phòng chống đã được nghiên cứu và đề xuất trong những năm qua Tuy nhiên, cho đến hiện nay gần như chưa có giải pháp nào có khả năng phòng chống DDoS một cách toàn diện và hiệu quả do tính chất phức tạp, quy mô lớn và tính phân tán rất cao của tấn công DDoS Thông thường, khi phát hiện tấn công DDoS, việc có thể thực hiện được tốt nhất là ngắt hệ thống nạn nhân kh i tất cả các tài nguyên do mọi hành động phản ứng lại tấn công đều cần đến các tài nguyên, trong khi các tài nguyên này đã bị tấn công DDoS làm cho cạn kiệt Sau khi hệ thống nạn nhân được ngắt kh i các tài nguyên, việc truy

t m nguồn gốc và nhận dạng tấn công có thể được tiến hành Nhiều biện pháp phòng chống tấn công DDoS đã được nghiên cứu trong những năm gần đây Tựu chung có thể chia các biện pháp phòng chống tấn công DDoS thành ba dạng theo ba tiêu chí chính: (i) Dựa trên vị trí triển khai, (ii) Dựa trên giao thức mạng và (iii) Dựa trên thời điểm hành động Phần tiếp theo mô tả các biện pháp phòng chống tấn công DDoS thuộc ba dạng trên

- Dựa trên vị trí triển khai Các biện pháp phòng chống tấn công DDoS được phân

loại vào dạng này dựa trên vị trí cài đặt và tiếp tục được chia nh thành 3 dạng con:

+ Triển khai ở nguồn tấn công: Các biện pháp phòng chống tấn công DDoS được

triển khai ở gần nguồn của tấn công Phư ng pháp này nhằm hạn chế các mạng người dùng tham gia tấn công DDoS Một số biện pháp cụ thể bao gồm: Thực hiện lọc các gói tin sử dụng địa chỉ giả mạo tại các bộ định tuyến ở cổng mạng và sử dụng các tường lửa có khả năng nhận dạng và giảm tần suất chuyển các gói tin hoặc yêu cầu không được xác nhận

+ Triển khai ở đích tấn công: Các biện pháp phòng chống tấn công DDoS được

triển khai ở gần đích của tấn công, tức là tại bộ định tuyến ở cổng mạng hoặc bộ định tuyến của hệ thống đích Các biện pháp cụ thể có thể gồm:Truy t m địa chỉ IP ( gồm các kỹ thuật nhận dạng địa chỉ và người dùng giả mạo và lọc và đánh dấu các gói tin( Các gói tin hợp lệ được đánh dấu sao cho hệ thống nạn nhân có thể phân biệt các gói tin hợp lệ và gói tin tấn công Một số kỹ thuật lọc và đánh dấu gói tin được đề xuất gồm: Lọc IP dựa trên lịch sử, lọc dựa trên đếm số bước nhảy, nhận dạng đường dẫn,…

) Triển khai ở mạng đích tấn công: Các biện pháp phòng chống tấn công DDoS được triển khai ở các bộ định tuyến của mạng đích dựa trên lọc gói tin, phát hiện và lọc các gói tin độc hại

- Dựa trên giao thức mạng Các biện pháp phòng chống tấn công DDoS được

chia nh theo tầng mạng: IP, TCP và giao thức tầng ứng dụng Phòng chống tấn công DDoS ở tầng mạng IP bao gồm một số biện pháp:

+ Pushback: Là c chế phòng chống tấn công DDoS ở tầng IP cho phép một bộ

định tuyến yêu cầu các bộ định tuyến liền kề phía trước giảm tần suất truyền các gói tin

+ SIP defender: Một kiến trúc an ninh mở cho phép giám sát luồng các gói tin

giữa các máy chủ SIP và người dùng và proxy bên ngoài với mục đích phát hiện và ngăn chặn tấn công vào các máy chủ SIP

+ Các phương pháp dựa trên ô đố chữ: Gồm các phư ng pháp dựa trên ô đố

chữ mật mã để chống lại tấn công DDoS ở mức IP

Phòng chống tấn công DDoS ở tầng TCP bao gồm một số biện pháp:

+ Sử dụng các kỹ thuật lọc gói tin dựa trên địa chỉ IP.Tăng kích thước Backlogs giúp tăng khả năng chấp nhận kết nối mới của hệ thống đích

+ Giảm thời gian chờ xác nhận yêu cầu kết nối TCP-SYN giúp máy chủ hủy b các yêu cầu kết nối không được xác nhận trong khoảng thời gian ngắn h n, giải phóng tài nguyên các kết nối chờ chiếm giữ

+ Sử dụng SYN cache giúp duy tr Backlogs chung cho toàn máy chủ thay v Backlogs riêng cho mỗi ứng dụng Nhờ vậy có thể tăng số lượng kết nối đang chờ xác nhận + Sử dụng SYN Cookies cho phép chỉ cấp phát tài nguyên cho kết nối khi nó đã được xác nhận Các yêu cầu SYN sẽ bị hủy nếu không được xác nhận trước khi được chuyển cho máy chủ đích Phư ng pháp này có thể giúp phòng chống tấn công SYN Flood hiệu quả

+Sử dụng tường lửa hoặc proxy để lọc các gói tin hoặc thực thi các chính sách an ninh đã xác lập trước

Phòng chống tấn công DDoS ở tầng ứng dụng có thể bao gồm:

+ Tối thiểu hóa hành vi truy nhập trang để phòng chống tấn công gây ngập lụt HTTP + Sử dụng các phư ng pháp thống kê để phát hiện tấn công DDoS ở mức HTTP + Giám sát hành vi của người dùng trong các phiên làm việc để phát hiện tấn công

- Dựa trên thời điểm hành động: Dựa trên thời điểm hành động, có thể phân

loại các biện pháp phòng chống tấn công DDoS thành 3 dạng theo 3 thời điểm: Trước khi xảy ra tấn công, Trong khi xảy ra tấn công và sau khi xảy ra tấn công Các biện pháp phòng chống tấn công DDoS thuộc dạng một được triển khai nhằm ngăn chặn tấn công xảy ra Một phần lớn các biện pháp thuộc dạng này bao gồm việc cập nhật hệ thống, đảm bảo cấu h nh an ninh phù hợp, sửa lỗi, vá các lỗ hổng để giảm thiểu khả

năng bị tin tặc khai thác phục vụ tấn công Đối với tấn công loại hai th các biện pháp phòng chống tấn công DDoS thuộc dạng này tập trung phát hiện và ngăn chặn tấn công Tường lửa và các hệ thống IDS/IPS thuộc nhóm này Sau khi xảy ra tấn công thì các biện pháp được triển khai để lần vết và truy t m nguồn gốc của tấn công sẽ được thực hiện

1.3.3 Nguy cơ tấn công và cách đối phó với tấn công DDoS tại Việt Nam

Theo hãng bảo mật Bkav cho biết, để thực hiện một cuộc tấn công DDos (tấn công từ chối dịch vụ), hacker sẽ sử dụng hệ thống botnet Để tạo ra hệ thống botnet, hacker sẽ phát tán backdoor (cửa hậu) trên các máy tính bằng cách: gửi email giả mạo

có đính kèm mã độc, lợi dụng lỗ hổng phần mềm, tải tập tin trên internet… Mạng botnet là tập hợp của các máy tính bị nhiễm backdoor do hacker phát tán Theo một khoảng thời gian nào đó, các máy tính này sẽ request tới một server nào đó để nhận các thông tin điều khiển từ hacker để thực hiện tấn công DDoS Nếu có thông tin ra lệnh tấn công, các máy tính này sẽ cùng lúc thực hiện request liên tục tới một server cung cấp dịch vụ nào đó, khiến cho server này bị quá tải, không thể cung cấp dịch vụ Hậu quả mà tấn công DDoS gây ra không chỉ tiêu tốn nhiều tiền bạc, và công sức mà còn mất rất nhiều thời gian để khắc phục.Ví dụ trong khoảng thời gian từ đầu thập niên này, một loạt website thuộc hệ thống của Công ty Cổ phần truyền thông Việt Nam (VCCorp) luôn phải đối mặt với nguy c các cuộc tấn công mạng như một cách thường ngày.Mở màn cho cuộc tấn công vào hệ thống website vận hành bởi VCCorp

đó là vào khoảng tháng 6/2011, khiến gần 500 website Việt Nam bị các hacker nước ngoài báo cáo “hack thành công Đỉnh điểm là hai ngày 6/6 và 7/6 khi có trên 200 website trong nước trở thành nạn nhân của tin tặc, trong đó có những nạn nhân được vận hành bởi VCCorp là những trang thư ng mại điện tử nổi tiếng như Én bạc, Rồng bay Sau đó khoảng h n 1 năm, vào tháng 7/2012 đến lượt một loạt website khác cũng được vận hành bởi VCCorp cũng bị tấn công, bao gồm aFamily, autoPro, missPhotoVietnam… Nhưng tiêu biểu nhất kể đến Kênh 14 – một trong những website

có lượng traffic lớn nhất của VCCorp bị các hacker h i thăm và thay đổi giao diện VCCorp sau đó đã tiến hành phong t a các website liên kết máy chủ với Kênh 14 và aFamily để kiểm tra và khắc phục

Các cuộc tấn công DDoS ngày càng phát triển theo cả h nh thức lẫn quy mô tấn công Nhưng nổi lên nhất vẫn là các cuộc tấn công theo cách h nh thức c bản như: UDP flood, SYN Flood, Ping of Death, tấn công phản chiếu, Nuke… Các cuộc tấn công c bản này xảy một cách thường xuyên trên mạng của các nhà cung cấp dịch vụ ( Internet server provider – ISP) Nguyên nhân chính là do hệ thống mạng ISP quá lớn khó để có thể kiểm soát toàn bộ lưu lượng và các bộ định tuyến hiện tại cũng không có

c chế có thể xử lý lọc lưu lượng độc hại một cách thiết chi tiết và triệt để Các lưu

lượng độc hại có thể trôi nổi và được định tuyến b nh thường trong mạng lưới là do hoàn toàn không có một phư ng pháp xử lý và thiết lập linh hoạt các luật một lọc trên

bộ đính tuyến, đây là nguyên nhân chính khiến mạng lưới trở nên bị động trước các cuộc tấn công DDoS

1.4 Sự phát triển của các cuộc tấn công DDoS trên mạng ISP

Ngày nay các cuộc tấn công DDOS ngày càng trở nên đa dạng cả về quy mô và hình thức tấn công, chúng không chỉ đ n thuần là những hành vi phá hoại hệ thống vì mục đích cá nhân mà còn là những cuộc tấn công có tổ chức, có mục đích kinh tế và chính trị Phư ng pháp tấn công cũng như quy mô tấn công ngày càng đa dạng và khó nhận biết

H n .3.Tấn công ngập lụt băng t ông qua mô trường mạng ISP

Hacker có thể sử dụng những lỗi của các thiết bị đầu cuối, sử dụng nhiều kiểu tấn công mà huy động các luồng tấn công lớn cỡ vài Gbps đến vài chục thậm chí vài trăm Gbps Các kiểu tấn công có thể là các kiểu tấn công UDP flood, ICMP flood,SYN Flood, DNS Amplification, NTP Amplificaion, SSDP…Hình 2.1 mô tả một cuốc tấn công ngập lụt băng thông qua môi trường mạng ISP

Kẻ tấn công hoàn toàn có thể sử dụng các trường ‘ nhạy cảm “ trong các giao thức IP, UDP, TCP để thực hiện các cuộc tấn công : tấn công gói tin phân mảng, UDP flood, TCP SYN flood Đối với giao thức IP, các gói dữ liệu tại tầng IP được gọi là datagram Một datagram có chiều dài biến thiên, gồm hai phần là tiêu đề và dữ liệu

Phần tiêu đề có chiều dài từ 20 đến 60 byte, chứa các thông tin cần thiết cho định tuyến và chuyển phát dữ liệu Hình 2.2 minh hoạ định dạng tiêu đề của một gói tin IP

1.5 Những thách thức trong việc phòng chống DDoS trên mạng ISP

Để phòng chóng các cuộc tấn công hiện tại trên mạng lưới th yêu cầu một giải pháp có khả năng điều hướng lưu lượng trên toàn mạng lưới Có rất nhiều giải pháp đã được đưa ra nhưng giải pháp phổ biến hiện tại đó là lỗ đen kích hoạt xa Đây là một kỹ thuật cung cấp khả năng ngăn chặn lưu lượng độc hại không mong muốn trước khi nó

xâm nhập vào một mạng lưới được bảo vệ Đây là kĩ thuật được sử dụng phổ biến trong việc ngăn chặn nhanh nhanh chóng các cuộc tấn công DDoS trên mạng lưới

1.5.1 Cấu trúc mạng ISP

Mạng lưới của nhà chung câp dịch vụ đư c tổ chức theo mô hình phân cấp bao gồm hai thành phần chính: mạng lõi đồng trục liên kết( Inter metro network.) và mạng lõi địa phư ng ( metro network) H nh 1.3 mô tả cấu trúc mạng của nhà cung cấp dịch

vụ Mạng lõi đồng trục liên kết đóng vai trò thu gom lưu lư ng từ các mạng lõi địa phư ng, định tuyến lưu lư ng giữa các mạng địa phư ng với nhau hoặc giữa lưu lượng mạng đại phư ng với lưu lượng quốc tế Đây thường là mạng lõi quốc gia của các nhà mạng, nó nhận lưu lượng mạng từ các tỉnh, định tuyến lưu lượng giữa các tỉnh

và giữa tỉnh (quốc gia) với quốc tế Mạng lõi địa phư ng ( Metro network) có mô hình

tư ng tự như mạng lõi liên kết nhưng quy mô và số lượng bộ định tuyến nh h n Nó

có nhiệm vụ thu nhận và xử lý lưu lượng trong nội bộ địa phư ng đó hoặc chuyển tiếp lưu lượng này lên mạng lõi liên kết Chính v c chế phân cấp và mô h nh định tuyến theo chính sách phức tạp mà khiến việc điều hướng lưu lượng trên mạng lưới trở nên rất khó khăn Giải pháp được đưa ra đó là phân nh và tổ chức các hệ thống bảo mật mạng theo từng vùng của mạng metro, từ đó phát hiện nhanh chóng và xử lý dễ dàng

h n các cuộc tấn công

H n 1.3 Cấu trúc mạng của n cung cấp dịc vụ

Một khi một cuộc tấn công được được phát hiện, nhà mạng sẽ cố g để gắng chặn tất cả các lưu lượng tấn công không được phép truy cập ngay tại các bộ định tuyến biên của mạng metro Mạng lưới của nhà cung cấp dịch vụ được thiết kế phân cấp phức tạp Điều tiến hành triển khai hệ thống phòng thủ DDoS trên mạng lưới là điều không hề dễ dàng Yêu cầu của các giải pháp chống tấn công DDoS trên mạng

ISP đó là tính toán lọc lưu lượng hợp lý, giam sát và theo dõi hành vi khả nghi trên mạng, có khả năng xử lý các luồng tấn công DDoS lưu lượng lớn một cách nhanh chóng và triệt để Việc điều hướng lưu lượng băng thông lớn và đa dạng của các cuộc tấn công DDoS một cách nhanh chóng và an toàn trở thành một bài toán được ưu tiên hàng đầu của nhà cung cấp dịch vụ Hiện nay đã có rất nhiều giải pháp được đưa ra nhưng chưa hề có một giải pháp cụ thể đáp ứng các yêu cầu khắt khe này Một trong những giải pháp phổ biến nhất được sử dụng đó là kĩ thuật lỗ đen kích hoạt từ xa (Remote Triger Black Hole – RTBH)

1.5.2 Chống tấn công DDoS sử dụng kĩ thuật RT H

Bộ lọc RTBH là một kỹ thuật kết hợp các bộ cấu h nh có thể phối hợp tốt trên nhiều bộ định tuyến đến từ nhiều nhà cung cấp khác nhau Đây là một kỹ thuật sử dụng các giao thức định tuyến để cập nhật và thay đổi bảng định tuyến tại các bộ định tuyến biên hoặc bất cứ n i nào khác trong mạng để đặc biệt giảm lưu lượng không mong muốn trước khi nó đi vào mạng lưới nhà cung cấp dịch vụ RTBH cung cấp một phư ng pháp để nhanh chóng giảm lưu lượng không mong muốn ở r a của mạng dựa trên địa chỉ nguồn hoặc địa chỉ đích bằng cách chuyển tiếp nó đến một giao diện ảo (null0) Null0 là một liên kết ảo luôn luôn được kích hoạt sẵn và không bao giờ có thể chuyển tiếp lưu lượng truy cập Chuyển tiếp gói tin đến null0 là một cách phổ biến để lọc các gói tin đến một đích đến cụ thể, từ đó giảm thiểu tối đa các tác hại của lưu lượng độc trước khi xâm nhập vào mạng lưới RTBH là một trong nhiều kỹ thuật trong bảo mật có thể được sử dụng để tăng cường an ninh mạng theo những cách sau:

Giảm thiểu hiệu quả các cuộc tấn công DDoS

Đảm bảo chỉ lưu lượng sạch truy cập tới mục tiêu bị tấn công

Thực thi lọc danh sách đen (danh sách IP độc hại được chỉ ra trước đó)

H n 1.4 C ống tấn công DDoS vớ tín năng lỗ đen kíc oạt từ xa

Một mô h nh triển khai điển h nh cho lọc RTBH sẽ yêu cầu các bộ định tuyến phải chạy giao thức định tuyến biên (Border Gateway Protocol - iBGP) và một bộ đinh tuyến có cấu h nh riêng biệt trong trung tâm vận hành mạng (Network Operation Center - NOC), hoạt động như một bộ kích hoạt Mô h nh bảo mật mạng với RTBH được thể hiện trong h nh 1.4 Thách thức ở đây là tìm ra cách để nhanh chóng giảm lưu lượng truy cập vi phạm sau khi t m đã t m ra “ thủ phạm của cuộc tấn công RTBH có thể sử dụng phư ng pháp lọc dựa trên cả địa chỉ IP đích, nó cho phép một hay nhiều lỗ đen xuất hiện trên toàn mạng Ví dụ việc thực hiện lọc dựa trên địa chỉ IP đích được truyền bằng cách thêm một tuyến tĩnh với độ dài mặt nạ mạng tối đa tại thiết

bị kích hoạt Ngay khi xuất hiện tấn công DDoS trên mạng, bộ kích hoạt sẽ gửi một bản cập nhật định tuyến cho tuyến tĩnh bằng iBGP tới các bộ định tuyến khác, tuyến đường này ngay lập tức được cập nhật, được ưu tiên sử dụng và đư ng nhiên lưu lượng độc ngay lập tức được chuyển tiếp tới giao diện ảo Null0 Tuy nhiện, để thực hiện việc này th tại các bộ định tuyến biên phải được cấu h nh trước một tuyến đường được chỉ định chuyển tiếp tới giao diện null0 Thông thường quy tr nh xử lý một cuộc tấn công dựa theo RTBH bao gồm ba bước: thiết lập láng giềng, kích hoạt lỗ đen, thu hồi tuyến đường

- ƣớc 1: Thiết lập láng giềng Bước này mô tả quá tr nh thiết lập mạng trước

khi có tấn công Bộ kích hoạt là một thiết bị đặc biệt được cài đặt tại NOC, là thiết bị độc quyền dành cho mục đích kích hoạt một lỗ đen Nó có thể là một bộ định tuyến được cấu h nh láng giềng iBGP với tất cả các bộ định tuyến biên, hoặc có thể là một

bộ định tuyến phản xạ tuyến đường ( Route-Reflector router), khi đó nó phải có một mối quan hệ láng giềng iBGP với tất cả bộ định tuyến trong mỗi cụm Ngay sau khi xác định được địa chỉ IP bị tấn công, bộ kích hoạt ngay lập tức ghi đè bảng định tuyến của bộ định tuyến biên bằng cách gửi cho chúng các bản tin cập nhật nhằm mục đích chuyển hướng lưu lượng tấn công tại cách tạo một tuyến đường tĩnh với cổng ra chính

là giao diện null0 Các bộ định tuyến biên làm việc này dựa trên một tuyến đường tĩnh khác được cấu h nh trước đó Ví dụ, các router biên (PEs) phải có một tuyến đường tĩnh cho một không gian địa chỉ IP không được sử dụng Ví dụ, tuyến 192.0.2.1/32 được đặt với cổng ra là Null0 Địa chỉ IP 192.0.2.1 được dành riêng cho sử dụng trong các mạng thử nghiệm và không được sử dụng như một địa chỉ IP triển khai

- ƣớc 2: Kích hoạt lỗ đen Quá tr nh kích hoạt tuyến đường khi xảy ra tấn công

Một quản trị viên thêm một tuyến tĩnh vào bộ kích hoạt, nó sẽ phân phối lại tuyến đường bằng cách gửi một bản cập nhật BGP tới tất cả các láng giềng của iBGP Bản tin cập nhật này mang thông tin về địa chỉ IP đích bị tấn công đồng thời thiết lập bước nhảy của tuyến đường là một địa chỉ IP đặc biệt Khi các bộ định tuyến biên nhận được bản cập nhật iBGP của chúng và đặt bước tiếp theo của chúng tới đích là không gian

địa chỉ IP đặc biệt trên Đường đến địa chỉ này vốn dĩ được thiết lập là giao diện null0,

là một tuyến đường tĩnh tại các bộ định tuyến Do đó tất cả lưu lượng truy cập tới mục tiêu bị tấn công sẽ được chuyển tiếp đến Null0 ở bộ định tuyến biên và ngay lập tức bị ngăn chặn tại đây

- ƣớc 3 Quá tr nh thu hồi tuyến khi tấn công kết thúc Khi mối đe dọa không

còn tồn tại, quản trị viên phải tự loại b các tuyến đường tĩnh từ bộ kích hoạt, nó sẽ gửi lại bản tin cập nhật để thu hồi tuyến đường đã quảng bá trước đó tới các láng giềng iBGP của nó Khi đó các bộ định tuyến biên sẽ loại b các tuyến hiện có cho các mục tiêu được chỉ đến 192.0.2.1/32

1.5.3 Nhƣợc điểm của giải pháp RT H

Giải pháp RTBH là giải pháp xử lý nhanh các luồng lưu lượng độc hại hoàn toàn chỉ dựa trên địa chỉ IP Tuy nhiên RTBH lại có một nhược điểm rất lớn đó là giải pháp này xử lý lưu lượng chỉ dựa vào địa chỉ IP của gói tin Điều này không phù hợp với các cuộc tấn công với các mục đích cụ thể như TCP SYN, NTP SYN… bởi v RTBH điều hướng toàn bộ lưu lư ng bao gồm cả lưu lượng không độc hại qua mạng thay về chỉ lọc b lưu lư ng độc hại tại bộ định tuyến biên Với một cuộc tấn công từ chối dịch vụ (DoS) phức tạp, chúng có thể mang nhiều loại h nh tấn công khác nhau vào chung một mục tiêu: TCP SYN, flood, tấn công tắc nghẽn băng thông, tấn công bằng gói tin không hợp lệ ( gói tin phân mảnh hay ICMP- Inreachable) RTBH không thể xử lý các cuộc tấn công này Ngoài mục đích làm hư hại hoặc đánh sập dịch vụ của mục tiêu, chúng có thể có thiệt hại phụ như băng thông tiêu thụ, quá tải bộ xử lý tại các bộ định tuyến, và mất dịch vụ tiềm năng ở những n i khác trong mạng Do đó, khi nạn nhân bị tấn công th quản trị viên sử dụng giải pháp RTBH bắt buộc phải chuyển tiếp toàn bộ lưu lượng mạng hướng tới địa chỉ IP của nạn nhân, điều này khiến cho dịch vụ bị gián đoạn đồng thời tăng chịu tải và tiêu hao năng lực xử lý và tắc nghẽn băng thông mạng Do đó cần một giải pháp mới ra đời để xóa b hoàn toàn các nhược điểm của RTBH, đó chính là BGP Flow-Spec Giải pháp này dựa trên phư ng thức bổ sung thông tin vào các NLRI trong các bản tin cập nhật BGP Việc sửa đổi này cho phép thêm thông tin về địa chỉ IP, địa chỉ cổng lớp giao vận, thông tin về type và ICMP code, độ dài gói tin… Điều này cho phép can thiệp sâu vào hoạt động xử lý của các bộ định tuyến không còn dựa trên địa chỉ IP nữa, với Flow-spec thì định tuyến không còn dựa trên địa chỉ IP nữa mà còn có thể dựa trên các giao thức lớp vận tải, định tuyến theo QoS, định tuyến dựa trên nguồn ( Source Routing ) H n nữa FS còn hoạt động theo mô h nh chủ-tớ, một bộ định tuyến đóng vai trò là bộ điều khiến có thể điều khiển, chèn, sửa đổi và thu hồi một tuyến đường định sẵn Điều này cho phép mọi

bộ định tuyến láng giềng học và áp dụng các NRLI từ bộ điều khiển một cách linh hoạt Chính những đặc điểm trên khiến BGP Flow-spec có được tính quản lí tập chung

cao, xử lý chiều sâu và trở thành lựa chọn số một để phòng chống các cuộc tấn công từ chối dịch vụ trên mạng ISP.

1.6 Tổng kết chương I

An ninh mạng là các giải pháp bảo vệ hệ thống mạng, bảo vệ các ứng dụng trên mạng, phòng chống các thay đổi, phá hoại, xâm nhập trái phép vào hệ thống mạng An ninh mạng còn bao hàm là đảm bảo cho mạng hoạt động ổn định, các chức năng then chốt hoạt động chính xác và không bị các tác động có hại từ bên ngoài

Chư ng I cũng đã tr nh bày các kiến thức c bản về khái niệm, các đặc tính và phân loại các cuộc tấn công DDoS Qua đó chúng ta có thể thấy rằng sự nguy hiểm cũng như tầm quan trọng của việc ngăn chặn các cuộc tấn công DDoS trên mạng lưới của nhà cung cấp dịch vụ Thành phần và cấu trúc của mạng lưới luôn luôn tồn tại những thành phần và những điểm trọng yếu dễ bị tin tặc tấn công Trong khi đó mạng ISP hiện nay lại thiếu một giải pháp chống DDoS một cách triệt để và tập chung Do

đó chúng ta cần có một giải pháp có thể kiểm soát toàn bộ lưu lượng và có đủ khả năng xử lý lọc lưu lượng độc hại một cách chi tiết và triệt để Yêu cầu này gần như là không thể đối với các mô h nh chống tấn công truyền thống Giải pháp chống tấn công DDoS sử dụng BGP Flow-spec là giải pháp mới nhất có chức năng ngăn chặn các lưu lượng độc hại xậm nhập mạng Bởi vậy chư ng II sẽ t m hiểu chi tiết về khái niệm, phư ng pháp hoạt động và trao đổi BGP Flow-spec cũng như những ưu điểm nổi trội của giải pháp trên mạng lưới

CHƯƠNG II: TÌM HIỂU VỀ BGP FLOW-SPEC

BGP Flow-spec là giải pháp mở rộng khái niệm định tuyến dựa trên địa chỉ IP thông thường BGP FlowSpec là một khái niệm hoàn toàn mới, nó định nghĩa các luồng lưu lượng một cách chi tiết bởi một bộ các tham số đặc trưng H n nữa việc trao đổi và phân phối Flow-spec tận dụng được mọi ưu điểm của giao thức định tuyến ngoại miền (Border Gateway Protocol - BGP), do đó c chế phân phối BGP Flow-spec trở nên rất linh hoạt và mềm dẻo Chính nhờ đặc điểm này mà BGP Flow-spec trở thành ứng cử viên đầu bảng trong việc điều hướng và loại b lưu lượng tấn công DDoS trong mạng của nhà cung cấp dịch vụ

2.1 Tổng quan về BGP Flow-Spec

Một lưu lượng đặc tả ( Flow-specification ) là một luồng lưu lượng được mô tả bởi một tập các tiêu chí có thể được áp dụng cho lưu lượng IP Một gói tin IP cụ thể được cho rằng thuộc về một lưu lượng đăc tả khi và chỉ khi nó đáp ứng và phù hợp với mọi đặc tính của lưu lượng đặc tả đó Một lưu lượng đặc tả có thể được kết hợp với một tập các thuộc tính, tùy thuộc vào từng ứng dụng cụ thể, các thuộc tính như vậy có thể hoặc không bao gồm các thông tin về khả năng truy cập

Một lưu lượng đặc tả được xác định bởi một bộ định danh cụ thể (như là một họ định danh địa chỉ ( Address family Identifier-AFI) hay họ định danh địa chỉ kế tiếp (Subsequent Address Family Identifier –SAFI ) tư ng ứng với một bộ c sở thông tin định tuyến riêng biệt trong BGP Các Flow-spec trong c sở thông tin định tuyến ( Routing Information Base – RIB) được xử lý độc lập với nhau để đảm bảo sự độc lập giữa các luồng đặc tả riêng biệt BGP xử lý NLRI như một ngăn xếp ảo tư ng ứng một bản ghi trong c sở dữ liệu định tuyến Các bản ghi được đặt trong RIB được liên kết với một tập đặc tính được định ra trong NRLI Tuy nhiên NRLI Flow-spec là chưa có đối với RIB của giao thức BGP hiện tại Ví dụ, một tuyến đường unicast IP (AFI = 1, SAFI = 1) và một tuyến đường IP multicast (AFI = 1, SAFI = 2) được xử lý bởi BGP

mà không bất kỳ đặc tính đặc biệt nào được liên kết giữa chúng cho đến khi được chúng cài đặt trong cùng một cở sở dữ liệu đính tuyến RIB, các tuyến đường được lưu trong bảng định tuyến của BGP dưới dạng các địa chỉ IP đích, địa chỉ bước nhảy và các thông số chọn đường của BGP Các đặc tính của lưu lư ng trong FS được trao đổi trong NLRI dựa trên một họ các định danh địa chỉ mới là AFI 1 và SAFI 133 Các chính sách BGP trong chuẩn, RFC 575 chỉ ra các gói tin UPDATE chưa NLRI FS sẽ được lọc ra với những thông tin và các đặc tính community liên quan cũng sẽ được sử dụng để mô tả cho loại thông tin chứa trong Flow-spec Các nhà khai thác mạng cũng

có thể kiểm soát việc quảng bá các NLRI cũng như cập nhật, sửa đổi và thu hồi thông

tin Flow-spec bằng cách kích hoạt hoặc hủy kết hoạt việc trao đổi các cặp AFI-SAFI trên đối với từng láng giếng BGP cụ thể

2.1.1 Vận chuyển và quảng bá BGP Flow-spec

Giải pháp lỗ đen kích hoạt từ xa áp dụng các chính sách để áp dụng lọc lưu lượng truy cập truyền thống bằng cách sử dụng các đường định tuyến tĩnh với độ dài mặt nạ mạng con dài tối đa Tuy nhiên với sự phổ biến và ngày càng đa dạng về phư ng thức, chủng loại cũng như cường độ của các cuộc tấn công DDoS th phư ng pháp truyền thông trên không thể đối phó được Điều này đòi h i nhà khai thác mạng phải có khả năng sử dụng bộ lọc lưu lư ng để phát hiện và giảm nhẹ đồng thời xác định chính xác với từng đặc điểm của lưu lư ng độc hại nhằm lọc tối ưu, triệt để mà vẫn hoàn toàn không ảnh hưởng tới các dịch vụ và định tuyến hiện tại Việc giảm nhẹ

và chống tác hại của các cuộc tấn công DoS ngày càng đòi h i sự phối hợp giữa nhiều các nhà cung cấp dịch vụ để có thể xác định nguồn lưu lượng độc hại truy cập bởi v đối với các luồng tấn công lưu lượng lớn thông qua nhiều ISP cũng sẽ ảnh hưởng không nh tới hiệu suất của mạng lới Khi sử dụng Flow-spec, BGP sẽ cập nhật các NLRI flow-spec này và phân phối tới các bộ định tuyến thành viên trong mạng Các bộ định tuyến biên ngay lập tức xét tính đúng của các NLRI được xác định ở trên và cài đặt lại c sở thông tin chuyển tiếp ( Forwarding Infomation Base FIB) từ đó lọc lưu lượng và loại b nếu cần thiết H n nữa giai pháp này còn cho phép các hệ quản trị mẹ quản lý và điều khiển và quản lý hệ thống tuyến đường trên các hệ quản trị con, từ đó điều phối lưu lượng từ xa mà không nhất thiết phải chung hệ tự trị Để đạt được mục tiêu này, RFC5575 đã định nghĩa một NLRI theo từng luồng lưu lượng đặc tả (AFI =

1, SAFI = 133) cùng với các đặc điểm cụ thể Cập nhật các gói tin BGP tư ng ứng với việc các bộ định tuyến sẽ tiến hành xử lý các NLRI mới này, xác minh và tổng hợp lại các NLRI và chèn chúng vào bảng định tuyến Thông tin định tuyến và các luật BGP Flow-spec được nhận được thông qua cặp (AFI, SAFI) này và bắt đầu quy trình so sánh thứ tự các đặc tính và xác thực các thành phần có trong NRLI của mỗi FS

2.1.2 Lưu trữ Flow-spec trong bản tin cập nhật của BGP

BGP là một giao thức khá phức tạp được dùng nhiều trên Internet và trong các công ty đa quốc gia Mục đích chính của BGP là kết nối các mạng rất lớn hoặc các hệ

tự trị (Autonomous-System AS) Các công ty lớn có thể dùng BGP như là một kết nối giữa các mạng ở các quốc gia khác nhau Mục đích của các giao thức ngoại như BGP

là không chỉ t m ra một đường đi về một mạng nào đó mà còn cho phép người quản trị tìm đường tới các AS của mạng BGP là một giao thức định tuyến dạng path-vector nên việc chọn lựa đường đi tốt nhất thông thường dựa trên một tập hợp các thuộc tính được gọi là ATTRIBUTE Do sử dụng phư ng thức chọn đường với nhiều bước, BGP

được xem là một giao thức khá phức tạp Nhiệm vụ của BGP là đảm bảo thông tin liên lạc giữa các AS, trao đổi thông tin định tuyến giữa các AS, cung cấp thông tin về trạm

kế cho mỗi đích đến BGP sử dụng giao thức điều khiển truyền tải TCP cổng 179 BGP thường quảng bá thông tin hiện có đến các bộ định tuyến láng giềng, còn path vector chỉ ra chính xác danh sách chứa toàn bộ đường dẫn AS đến đích Ngoài ra các giao thức định tuyến hoạt động dùng path-vector giúp việc xác định vòng lặp trên mạng rất tốt bằng cách xem xét các con đường mà các bộ định khác gởi về xem có chính bản thân AS trong chuỗi các hệ tự trị hay không, nếu có th tuyến đường sẽ được đánh dấu là lặp và bị hủy b BGP cho phép dùng xác thực và BGP có các c chế keepalive định kỳ nhằm duy tr quan hệ giữa các láng giềng BGP

Trong giai đoạn ban đầu của của phiên thiết lập quan hệ BGP, toàn bộ các thông tin về tất các các tuyến đường và các Flow-spec sẽ được gửi Bất kỳ một thay đổi nào trong hệ thống mạng cũng sẽ được cập nhật ngay lập tức Khi ta xem xét các bản tin cập BGP, ta sẽ nhận thấy các cập nhật định tuyến này là khá chính xác BGP không quan tâm đến việc giao tiếp để có đầy đủ dữ kiện của tất cả các mạng bên trong một AS mà BGP quan tâm đến việc chuyển tải đầy đủ thông tin để t m tới AS chứa mạng đó Các bản tin cập thực hiện quá tr nh tổng hợp mức tối đa bằng cách mang mọi thông tin về luồng đặc tả BGP đảm bảo rằng lớp giao vận đã truyền rằng các bản tin cập nhật và các c sở dữ liệu về đường đi đã được đồng bộ BGP có thể trao đổi thông tin định tuyến giữa các AS khác nhau hay trong cùng một AS Khi dùng BGP để kết nối các AS khác nhau, BGP được gọi là BGP ngoại miền ( External BGP ) Giao thức này cũng có thể được dùng để mang thông tin giữa các bộ định tuyến BGP trong một

AS Khi đó BGP được gọi là BGP nội miền ( Internal BGP) Bản tin cập nhật được sử dụng để chuyển thông tin định tuyến giữa các láng giềng BGP Thông tin trong gói này có thể được sử dụng để xây dựng một đường dẫn các mối quan hệ của hàng loạt các đặc tính khác nhau của FS Một bản tin cập nhật được sử dụng để quảng cáo các tuyến khả thi duy nhất cho một láng giềng, hoặc thu hồi nhiều tuyến không khả thi ( RFC 4760) Một bản tin cập nhật có thể đồng thời quảng cáo một tuyến đường khả thi

và thu hồi nhiều tuyến đường không khả thi H nh 2.4 mô tả khuôn dạng bản tin cập nhật BGP Trong đó, trường thông tin về khả năng truy cập lớp mạng ( Network layer Reachability Information-NLRI) là trường có độ dài thay đổi chứa một danh sách địa chỉ IP Trong khi các giao thức định tuyến thông thường, quảng bá và trao đổi thông tin định tuyến dưới dạng các địa chỉ mạng và độ dài của mặt nạ mạng th BGP trao đổi thông tin định tuyến với nhau thông qua việc trao đổi các NLRI Các FS được chứa trong cái NRLI này cũng từ đó mà được quảng bá, sửa đổi cũng như thu hồi giữa các bộ định tuyến BGP

H n .1.K uôn dạng b n t n cập n ật của BGP

2.1.3 iểu diễn thông tin của một BGP Flow-spec trong gói tin cập nhật của GP

RFC 5575 định nghĩa một loại NLRI " lưu lượng đặc tả " có thể bao gồm một số các thành phần như địa chỉ mạng đích, địa chỉ nguồn, các giao thức,địa chỉ cổng… NLRI này được coi như là một chuỗi tiền tố bit được lưu trữ thông tin trong trường NRLI tồn tại trong gói tin cập nhật của BGP Mỗi chuỗi bit xác định một ch a khóa ch tới một mục truy nhập trong c sở dữ liệu định tuyến n i liên kết với hàng loạt thuộc tính khác của giao thức định tuyến ngoại miền Thông tin NLRI này được mã hoá sử dụng MP_REACH và thuộc tính MP_UNREACH được định nghĩa trong RFC 4760 Bất cứ khi nào trường thông tin nào không yêu cầu thông tin về địa chỉ IP của bước nhảy kế tiếp th thông tin này sẽ được mã hóa băng một chuỗi các bit 0 trong thuộc tính MP_REACH và sẽ bị b qua tại thiết bị nhận Trường NLRI của MP_REACH_NLRI và MP_UNREACH_NLRI được mã hoá dưới dạng một trường chiều dài NLRI 1 hoặc 2 octet theo sau bởi một NLRI có độ dài thay đổi Một NLRI thông thường bao gồm hai thành phần: địa chỉ mạng và độ dài của mặt nạ mạng tư ng ứng với mạng con đó Các thành phần trong cấu trúc NLRI được thể hiện trong hình 2.5.

H n .2.Các t n p ần của NLRI t ông t ường

Nếu giá trị chiều dài NLRI nh h n 240 (0xf0 hex), trường chiều dài có thể được mã hoá như một octet đ n Nếu không, nó được mã hoá như một giá trị 2-octet

có độ dài mở rộng, trong đó tất cả các bit của byte đầu tiên là bit 1 Trong h nh trên, các giá trị dưới 240 được mã hoá sử dụng hai chữ số hexa(0xnn) Các giá trị trên 240 được

mã hóa bằng 3 chữ số hexa (0xfnnn) Giá trị cao nhất có thể được thể hiện bằng mã hóa là 4095 Giá trị 241 được mã hoá bằng 0xf0f1

Tuy nhiên, NLRI của lưu lượng đặc tả có thể bao gồm nhiều các thành phần khác như địa chỉ nguồn, giao thức lớp truyển tải, số hiệu cổng lớp bốn, độ dài gói tin,

cờ TCP Một gói tin cụ thể được xem là thuộc về một lưu lượng đặc tả khi nó th a mãn đồng thời tất cả các đặc điểm của luồng lưu lượng Một gói tin cập nhật của BGP mang thông tin cụ thể về một FS với các thông tin địa chỉ IP đích 192.168.100.100/32, giao thức truyền tải UDP, số hiệu cổng 53 và hành động giới hạn lưu lư ng về 0 kbps (hủy b lưu lượng) được áp dụng được thể hiện trong h nh 2.6 sau

H n .3.Một gó t n cập n ật BGP c ứa Flow-spec NLRI

2.1.4 Các loại thông tin trong BGP Flow-spec

Flow-spec có thể bao gồm rất nhiều thành phần được hỗ trợ bao gồm địa chỉ đích, địa chỉ nguồn, giao thức sử dụng, số hiệu cổng lớp 4 …Tất cả các thông tin này được chứa tại NLRI trong gói cập nhật BGP và được tiến hành quảng bá giữa các bộ định tuyến bởi BGP Mỗi chuối bít định nghĩa ra một cum các thành phần và hành động trong c sở dữ liệu của bảng định tuyến BGP, nó được mã hóa sử dụng thuộc tính MP-REACH_NLRI và MP UNREACH NLRI Tất nhiên các các FS không yêu cầu phải đáp ứng thông tin về Next-hop, thông tin được đặt tại octet đầu tiên của MP-REACH_NLRI Việc định nghĩa các BGP FlowSpec NLRI có thể bao gồm nhiều thông số con hay thông số kép Một gói tin được cho là khớp với một hoặc một vài thông số bằng kí hiệu AND giữa các tham số khác nhau BGP Flow-Spec hỗ trợ 12 dạng thông tin khác nhau trong cùng một NRLI

Dạng 1 – Địa chỉ IP đích

Khuôn dạng : <loại (1 octet), độ dài tiền tố (1 octet), tiền tố>

Loại này là loại thông tin được xác định đầu tiên trong NRLI, nó thường mang thông tin về địa chỉ IP đích của nạn nhân trong các cuộc tấn công Thông tin địa chỉ đích được mã hóa và được gửi đi trong khuôn dạng bản tin cập nhật của BGP Thông tin này bao gồm địa chỉ mạng, độ dài mặt nạ mạng Ví dụ trong hình 2.7 thông tin về địa chỉ đích là 81.253.192.0/24 sẽ được biểu diễn trong NRLI dưới dạng 0x0118fdc1 Trong đó 0x01 chỉ thông tin loại 1, 0x18 tư ng đư ng độ dài mặt nạ mạng con là 24 và 51 fd c1 tư ng ứng với số hiệu địa chỉ 81.253.193.0

H n .4.Ví dụ mô t t ền tố địa c ỉ IP đíc trong Flow-spec NRLI

Dạng 2 - Địa chỉ IP nguồn

Khuôn dạng: <type (1 octet), prefix-length (1 octet), prefix>

Xác định địa chỉ IP nguồn của bản tin được mang ra so sánh Ví dụ mô tả tại hình

2.8, thông tin về địa chỉ nguồn là 2.2.0.0/16 sẽ được biểu diễn trong NRLI dưới dạng 0x02100202 Trong đó 0x02 chỉ thông tin loại hai tức địa chỉ nguồn của gói tin, 0x10

tư ng đư ng độ dài mặt nạ mạng con là 16 và 0x 02 02 tư ng ứng với địa chỉ là nguồn 2.2.0.0

H n .5.Ví dụ mô t t ền tố địa c ỉ IP nguồn trong Flow-spec NRLI

Dạng 3 – Trường giao thức trong bản tin IP

Khuôn dạng: <type (1 octet), [op, value] +>

Loại này dùng để xác định rõ giao thức lớp bốn được xác định đi phía sau tiêu

đề IP NLRI dạng này chứa một cặp {toán tử, giá trị} được sử dụng để khớp giá trị của byte giao thức IP trong các gói tin IP Giá trị thông tin đặc biệt được sử dụng trong các cuộc tấn công đ n lẻ TCP SYN hay UDP SYN với cùng một địa chỉ IP và số hiệu cổng bị tấn công.

lt - ít h n so sánh giữa dữ liệu và giá trị

gt - lớn h n so sánh giữa dữ liệu và giá trị

eq – bằng nhau giữa dữ liệu và giá trị

Dạng 4: Số hiệu cổng

Khuôn dạng : <type (1 octet), [op, value] +>

Định nghĩa một danh sách các cặp {toán tử, giá trị} khớp với địa chỉ cổng nguồn hoặc đích trong giao thức TCP hoặc UDP Danh sách này được mã hóa sử dụng định dạng toán hạng số được định nghĩa theo RFC 5575 Các giá trị được mã hóa sử dụng một đến 2 byte Các giá trị cổng nguồn và cổng đích được coi là không hợp lệ nếu trường giao thức IP của gói tin có giá trị khác TCP hoặc UDP, nếu gói tin bị phân mảnh và đây không phải là đoạn đầu tiên hoặc nếu hệ thống không thể xác định vị trí tiêu đề lớp truyền tải Loại NRLI này thường được kết hợp xuyên suốt trong một cuộc tấn công mà giá trị cổng không thay đổi trong suốt quá tr nh tấn công

Dạng 5: Số hiệu cổng đích

Khuôn dạng : <type (1 octet), [op, value]+>

Định nghĩa một danh sách các cặp {toán tử, giá trị} được sử dụng để so sánh địa chỉ cổng đích của gói tin TCP hoặc UDP Các giá trị được mã hoá sử dụng một đến 2 byte Như ví dụ trong hình 2.9 ở đưới đây th thông tin cổng đích 80, 443 và 8080 được biểu diễn trong NLRI có dạng 0x0501501101bb911f90 Trong đó 05 ám chỉ NLRI loại số 5,0x50 là cổng 80, 0x1bb là cổng 443, 0x1f90 là cổng 8080 và 3 byte option mang thông tin về vị trí của số hiệu cổng trong chuỗi cổng

Dạng 6: địa chỉ cổng nguồn

Khuôn dạng: <type (1 octet), [op, value]+>

H n .6.Ví dụ mô t t ền tố địa c ỉ cổng đíc trong Flow-spec NRLI

Tư ng tự như thông tin về cổng đích, đây một danh sách các cặp {toán tử, giá trị} được sử dụng để so sánh địa chỉ cổng nguồn của gói TCP hoặc UDP Các giá trị được mã hoá sử dụng một đến 2 byte Hai loại NRLI năm và sáu thường được kết hợp xuyên suốt trong một cuộc tấn công mà một giá trị cổng trong khi thay đổi liên tục giá

trị cổng còn lại của lưu lượng H nh 2.9 mô tả tiền tố địa chỉ cổng đích trong spec NRLI

Flow-Dạng 7 – ICMP- type

Khuôn dạng :<type (1 octet), [op, value]+>

Định nghĩa một danh sách các cặp {toán tử, giá trị} được sử dụng để so khớp các dạng của một gói ICMP Các giá trị được mã hóa sử dụng byte đ n Đây là lựa chọn tối ưu để ngăn chặn và phòng chống các cuộc tấn công liên quan tới giao thức ICMP Loại NLRI trên có thể bị coi là sai định dạng bất cứ khi nào khi giá trị trường giao thức trong bản tin IP không phải là ICMP

Dạng 8 – Mã bản tin ICMP

Khuôn dạng: <type (1 octet), [op, value]+>

Tư ng tự như loại số 7, một danh sách các cặp {toán tử, giá trị} được sử dụng để

so khớp mã của một gói tin ICMP Các giá trị được mã hóa sử dụng byte đ n Ví dụ trong h nh 2.10 th tập các mã 0 2 4 của bản tin ICMP được thể hiện trong NLRI dưới dạng 08010001028104 trong đó các mã 0 2 4 lần lượt được biễu diễn 0x00 0x02 và 0x04 trong bản mã hexa cùng với 3 byte option thông báo giá trị và vị trí của mã trong chuỗi mã

H n .7.Ví dụ mô t t ền tố mã b n t n ICMP trong Flow-spec NRLI

Dạng 9 – Cờ TCP

Khuôn dạng: <type (1 octet), [op, bitmask]+>

Đây là loại duy nhất xác định giá trị bit cờ của bản tin TCP, nó đặc biệt hữu hiệu trong các cuộc tấn công ngập lụt TCP SYN Giá trị Bitmask có thể được mã hoá sử

dụng 1 hoặc 2 byte Khi nào một byte được chỉ định, nó được khớp byte 13 của tiêu đề TCP (được chỉ ra trong RFC 793) chứa các bit từ 8 đến 15 trong của từ mã 32-bit thứ

tư Khi một mã hóa 2 byte được sử dụng, nó sẽ khớp các byte 12 và 13 của tiêu đề TCP Giống như các địa chỉ cổng, thành phần được coi là bất hợp lệ nếu trường giao thức của các gói tin không phải không phải là TCP GIá trị của trường này thường được sử dụng nhất khi ngăn chặn các cuộc tấn công liên quan tới TCP đặc biệt là TCP-syn Flood NLRI lọai này bao gồm 3 bit quan trọng : bit e, bit and và bit len - (bit kết thúc danh sách, bit Và bit và bit chiều dài) , bit phủ định (nếu được thiết lập th bộ đinh tuyến phải hủy b hành động đặt ra), m – bit so sánh (match –bit ) Trong ví dụ hình 2.11 dưới thì cờ TCP 2 được thể hiện trong NRLI dưới dạng 0x098102 trong đó

09 81 02 lần lượt thể hiện các thông tin NRLI loại số 9 Option chỉ ra đây là giá trị cuối trong chuỗi cờ được chỉ ra và số hiệu cờ là 02

H n .8.Ví dụ mô t t ền tố cờ TCP trong Flow-spec NRLI

Dạng 10: Độ dài gói tin

Khuôn dạng: <type (1 octet), [op, value]+>

Trong thực tế còn tồn tại một dạng tấn công kiểu cũ là Nuke Khi đó, các gói tin sai định được sử dụng để tấn công Nuke có thể dung các gói tin có đội dài nh hay lớn

h n ngưỡng kích thước bản tin theo chuẩn Khi các gói tin này đến đích, máy tính nạn nhân sẽ bị gián đoạn hoạt động BGP Flow-spec cung cấp một loại NRLI này đặc biệt được dùng cho loại tấn công này Nó được dùng để chỉ định ra tổng chiều dài gói tin

IP (bao gồm tiêu đề IP trừ lớp 2) Các giá trị được mã hoá sử dụng 1 hoặc 2 byte Ví

dụ tại h nh 2.12 bản tin có độ dài 100 byte được mô tả trong NLRI dưới dạng 0x0a8164 với 0a 81 và 64 lần lượt đưa thông tin về NLRI loại số 10, độ dài bản tin 00 byte và là độ dài duy nhất được chỉ định trong chuỗi

H n .9 Ví dụ mô t t ền tố độ d b n t n trong Flow-spec NRLI

Dạng 11 – Giá trị DSCP

Khuôn dạng: <type (1 octet), [op, value]+>

Một ứng dụng khác không thể b qua của BGP Flow-spec đó là hỗ trợ định tuyến theo QoS Cặp giá trị NRLI loại 10 định nghĩa một danh sách các cặp giá trị được sử dụng để so khớp trường DSCP 6 bit (được chỉ ra trong RFC 2724) Giá trị được mã hoá bằng một, trong đó hai bit quan trọng nhất bằng không và sáu bit ít quan trọng nhất chứa giá trị DSCP Điều này khiến một giao thức định tuyến động BGP có khả năng mở rộng tiêu chí chọn đường của nó bao gồm các tham số QoS như băng thông sẵn có, hiệu quả sử dụng đường đầu cuối và kết nối, mức tiêu thụ tài nguyên, độ trễ, biến thiên trễ H nh 2.13 mô tả biểu diễn thông tin giá trị DSCP là ef trong NLRI có giá trị là 0x0b812e với giá trị 0x2e tư ng ứng

H n .10.Ví dụ mô t t ền tố DSCP trong Flow-spec NRLI

Dạng 12 – Thông tin phân mảnh

Khuôn dạng: <type (1 octet), [op, bitmask]+>

0 1 2 3 4 5 6 7

+ -+ -+ -+ -+ -+ -+ -+ -+

| Reserved |LF |FF |IsF|DF |

+ -+ -+ -+ -+ -+ -+ -+ -+

Giá trị của các bit:

+ Bit 7 – Không được phân mảnh (DF)

+ Bit 6 – Là một phân mảnh (IsF)

+ Bit 5 – Là mảnh đầu tiên (FF)

+ Bit 4 – là mảnh cuối cùng (LF)

Thông tin này dùng để chỉ ra vị trí của bản tin khi được phân mảnh Loại này được dùng tới khi nạn nhân bị tấn công bởi hàng loạt các gói tin có độ dịch phân mảnh bằng nhau hoặc có cùng cờ mảnh cuối cùng Ví dụ hình 2.14 dưới mô tả thông tin trường các gói tin bị phân mảnh và mảnh cuối cùng qua NLRI có dạng 0x0a810a

H n .11.Ví dụ mô t t ền tố p n m n trong Flow-spec NRLI

Khi các cuộc tấn công ngày càng trở nên đa dạng h n, chúng được kết hợp bởi cùng nhiều phư ng pháp tấn công khác nhau Do đó, khi một Flow-spec được định nghĩa phải th a mãn đồng thời rất nhiều các tùy chọn, khi một trong số các tùy chọn trên không trùng khớp th toàn bộ flow-spec sẽ không được áp dụng và không áp dụng hành động Tuy nhiên, flow-spec NLRI này vẫn được các bộ định tuyến BGP quảng bá qua nhau mặc dù có thể bị coi là vô nghĩa với bộ định tuyến này nhưng lại có nghĩa với bộ định tuyến khác Khi rất nhiều loại NRLI được kết hợp lại và quảng bá th thông tin ngày càng trở nên cụ thể, điều này giúp các bộ định tuyến can thiệt sâu vào các gói tin nhằm lọc triệt để lưu lượng độc hại

2.1.5 Thứ tự sắp xếp và cập nhật BGP Flow-spec

Với quy tắc lọc lưu lượng truy cập, nhiều đặc tính có thể khớp với một BGP flow-spec Vì vậy, việc cần thiết đó là xác định thứ tự mà các các đặc tính được so sánh và áp dụng Chức năng sắp xếp này phải đảm bảo tính không được phụ thuộc vào

thứ tự tới của các flow-spec cũng như quy tắc đặc tả của chúng Thứ tự tư ng đối của hai flow-spec khác nhau được xác định bởi việc so sánh các thành phần tư ng ứng Thuật toán bắt đầu bằng so sánh các thành phần bên trái nhất Nếu chúng khác nhau khác nhau th quy tắc ứng với giá trị loại số thấp nhất sẽ có mức ưu tiên cao h n Nếu các loại thành phần là giống nhau, sau đó một loại so sánh cụ thể sẽ được thực hiện ở các đặc tính bên phải h n.Ví dụ, khi so sánh giá trị của địa chỉ mạng IP (bao gồm cả địa chỉ nguồn và địa chỉ đích) thì mức ưu tiên được gán cho địa chỉ IP có độ dài mặt

nó mạng thấp nhất Tức là với hại FS khác nhau được nhận bởi cùng một bộ đính tuyến hỗ trợ, nếu địa chỉ đích ( loại đặc tính đầu tiên bên trái được xét ) của FS số 1 là 172.16.0.0/16 , FS số 2 là 172.16.1.0/24 th FS thứ nhất sẽ được ưu tiên xử lý Đối với tất cả các loại thành phần khác, việc so sánh được thực hiện bằng cách so sánh các dữ liệu thành phần như một chuỗi nhị phân dụng hàm memcmp () theo tiêu chuẩn ISO

C Đối với các chuỗi có độ dài khác nhau th các tiền tố chung được so sánh Nếu bằng nhau, chuỗi dài nhất được coi là có ưu tiên cao h n như được định nghĩa tiêu chuẩn so sánh ISO C dưới đây

flow_rule_cmp (a, b)

{

comp1 = next_component(a);

comp2 = next_component(b);

while (comp1 || comp2) {

// component_type returns infinity on end-of-list

if (component_type(comp1) == IP_DESTINATION || IP_SOURCE) {

common = MIN(prefix_length(comp1), prefix_length(comp2));

cmp = prefix_compare(comp1, comp2, common);

// not equal, lowest value has precedence

// equal, longest match has precedence

} else {

common =

MIN(component_length(comp1), component_length(comp2));

cmp = memcmp(data(comp1), data(comp2), common);

// not equal, lowest value has precedence

// equal, longest string has precedence

}

}

return EQUAL;

}