Tuy nhiên, 1 Một số giải pháp mới chỉ phát hiện tấn công, chưa có cơ chế phân loại, giảm thiểu tấn công; 2 Hầu hết mới dừng lại ở ý tưởng, thử nghiệm với quy mô thử chức năng, chưa triển
Trang 1BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI
Trang 2Công trình được hoàn thành tại:
Trường Đại học Bách khoa Hà Nội
Người hướng dẫn khoa học:
1 PGS TS TRƯƠNG THU HƯƠNG
2 PGS TS NGUYỄN TÀI HƯNG
Phản biện 1:……… Phản biện 2:……… Phản biện 3:………
Luận án được bảo vệ trước Hội đồng đánh giá luận án tiến sĩ cấp Trường họp tại Trường Đại học Bách khoa Hà Nội Vào hồi …… giờ, ngày … tháng … năm ………
Có thể tìm hiểu luận án tại thư viện:
1 Thư viện Tạ Quang Bửu - Trường ĐHBK Hà Nội
2 Thư viện Quốc gia Việt Nam
Trang 31
MỞ ĐẦU
1.1 Tấn công từ chối dịch vụ phân tán và công nghệ SDN
Trong những năm gần đây, sự phát triển mạnh mẽ các dịch vụ mạng phục vụ đời sống xã hội, làm cho số lượng và nhu cầu lưu lượng kết nối Internet tăng lên nhanh chóng Vấn đề đảm bảo an toàn, tin cậy cho tổ chức và khai thác các dịch vụ được đặt lên hàng đầu Với cơ chế hình thành dựa trên sự ghép nối của các hệ tự trị thiếu sự kiểm soát chung, Internet xuất hiện và ẩn chứa nhiều nguy cơ tấn công gây mất an ninh mạng trong đó có tấn công từ chối dịch vụ (DoS), tấn công từ chối dịch vụ phân tán (DDoS) Mặc dù không gây lỗi dữ liệu, tấn công DoS/DDoS có ảnh hưởng nghiêm trọng đến tính tin cậy, sẵn sàng trong tổ chức và khai thác các dịch vụ trên Internet Đặc biệt đối với các mạng quy mô nhỏ (SOHO network) tham gia kết nối trực tiếp Internet với tỷ lệ ngày càng lớn, đa dạng nhưng thiếu sự chú trọng, tính chuyên nghiệp, đảm bảo an ninh trong thiết kế, quản lý, vận hành
Trong kỹ thuật mạng truyền thống, nhiều giải pháp kỹ thuật nhằm phát hiện, phân loại và ngăn chặn lưu lượng tấn công DDoS đã được đề xuất và triển khai Một trong những vấn đề tồn tại lớn nhất của kỹ thuật mạng này đó là các thiết bị mạng vốn được phát triển các kỹ thuật xử lý gói tin theo chuẩn riêng bởi các nhà sản xuất khác nhau nên việc cấu hình tự động, thiết lập các tham số để phòng chống tấn công DDoS là rất khó khăn Các thao tác xử lý khi tấn công xảy ra chủ yếu thực hiện bằng tay, hạn chế lưu lượng bằng các thiết lập ngưỡng giới hạn dẫn tới xóa bỏ nhầm lưu lượng lành tính, không có khả năng phân loại và xóa bỏ chính xác theo sự biến động của lưu lượng mạng Bên cạnh đó, Tấn công DDoS là tấn công vào năng lực phục vụ của hệ thống mạng Với mỗi cấu trúc, quy mô, đặc điểm dịch
vụ mạng khác nhau thì khả năng chịu đựng tấn công của các hệ thống mạng là khác nhau Do đó không
có một giải pháp phòng chống tấn công, tham số hệ thống nào áp dụng chung cho tất cả các loại mạng Với mỗi hệ thống cụ thể, người quản trị cần lựa chọn, tích hợp các giải pháp, thiết lập tham số phù hợp
để có hiệu quả phòng chống tối ưu
Trước yêu cầu phát triển mạnh mẽ các công nghệ và dịch vụ mạng, công nghệ mạng điều khiển bởi phần mềm SDN (Software Defined Networking)ra đời cho phép quản trị, điều khiển, thiết lập các chính
sách mạng một cách tập trung, mềm dẻo Trong đó Openflow là một trong những giao thức công nghệ SDN đầu tiên được tập trung nghiên cứu, phát triển, nhanh chóng thu hút các nghiên cứu ứng dụng trong quản trị, tổ chức dịch vụ, nâng cao hiệu năng hệ thống mạng Kỹ thuật SDN/Openflow cũng được nghiên cứu và đề xuất ứng dụng trong nhiều giải pháp an ninh mạng trong đó có các giải pháp phòng chống tấn công DDoS
1.2 Những vấn đề còn tồn tại
- Công nghệ SDN, kỹ thuật SDN/Openflow được đánh giá và kỳ vọng là công nghệ mạng thay thế cho công nghệ, kỹ thuật mạng truyền thống SDN/Openflow có khả năng cung cấp dữ liệu thống kê về đặc tính lưu lượng và có thể lập trình xử lý lưu lượng theo sự biến thiên của đặc tính ấy Đặc điểm này phù hợp với quy trình phát hiện và giảm thiểu tấn công DDoS Đã có nhiều giải pháp phòng chống tấn công DDoS dựa trên SDN/Openflow được đề xuất Tuy nhiên, (1) Một số giải pháp mới chỉ phát hiện tấn công, chưa có cơ chế phân loại, giảm thiểu tấn công; (2) Hầu hết mới dừng lại ở ý tưởng, thử nghiệm với quy mô thử chức năng, chưa triển khai trên hệ thống thử nghiệm hoặc đo phân tích với lưu lượng thật; (3) Một số giải pháp tích hợp các chức năng xử lý gói tin tại bộ chuyển mạch làm mất bản chất SDN, cơ chế xử lý gói tin trong SDN chưa được ứng dụng làm chậm thời gian đáp ứng, giảm hiệu năng
hệ thống Trong bối cảnh đó, vấn đề đặt ra là làm thế nào nâng cao hiệu năng của các giải pháp phòng chống tấn công DDoS sử dụng trực tiếp dữ liệu thống kê lưu lượng và cơ chế xử lý gói tin của kỹ thuật SDN/Openflow để có thể áp dụng cho các mạng quy mô nhỏ mà không cần bổ sung các thiết bị an ninh chuyên dụng?
- Do phải truy vấn dữ liệu qua giao diện mã hóa Openflow, việc sử dụng thuần túy dữ liệu thống kê trong kỹ thuật SDN/Openflow để phát hiện và giảm thiểu tấn công làm giới hạn quy mô lưu lượng của
Trang 4hệ thống Để khắc phục vấn đề này, một số giải pháp đã được đề xuất như sử dụng kết hợp bộ phân tích lưu lượng truyền thống (sFlow, Snort,…) tuy nhiên hiệu quả chưa cao do xử lý lưu lượng tấn công vẫn
dựa vào giao thức Openflow Vấn đề đặt ra là bằng cơ chế và kỹ thuật SDN/Openflow làm thế nào để điều khiển hoạt động của các bộ phân tích lưu lượng, sử dụng thông tin cung cấp bởi các bộ phân tích lưu lượng để nâng cao hiệu năng phát hiện và giảm thiểu tấn công của các giải pháp?
1.3 Mục tiêu, đối tượng và phạm vi nghiên cứu
a) Mục tiêu nghiên cứu:
Nghiên cứu đề xuất được các giải pháp phòng chống tấn công DDoS dựa trên kỹ thuật SDN/Openflow áp dụng cho mạng SDN quy mô nhỏ trong các bối cảnh khác nhau
b) Đối tượng nghiên cứu:
• Công nghệ SDN, kỹ thuật SDN/Openflow
• Các phương thức, kỹ thuật tấn công DDoS phổ biến trong kỹ thuật mạng truyền thống và mạng SDN/Openflow
• Các giải pháp phòng chống tấn công DDoS dựa trên kỹ thuật mạng truyền thống và kỹ thuật SDN/Openflow đã được đề xuất
• Các bộ dữ liệu lưu lượng lành tính và tấn công DDoS
c) Phương pháp và phạm vi nghiên cứu:
• Phương pháp nghiên cứu của luận án bao gồm nghiên cứu lý thuyết; xây dựng mô hình, giải pháp; lựa chọn và phát triển thuật toán; phân tích dữ liệu mô phỏng hoặc xây dựng hệ thống thử nghiệm,
đo lường, đánh giá và so sánh
• Phạm vi nghiên cứu tập trung vào: Đề xuất các giải pháp phòng chống tấn công DDoS bảo vệ các máy chủ trong hệ thống mạng quy mô nhỏ và vừa như văn phòng, cơ quan nhỏ (SOHO network), trong đó áp dụng thuần túy kỹ thuật mạng SDN/Openflow
1.4 Cấu trúc nội dung của luận án
Cấu trúc của luận án gồm có 03 chương với các nội dung được tóm tắt như sau:
Chương 1 Tấn công DDoS và các giải pháp phòng chống trong mạng SDN/Openflow: trình bày
tổng quan về tấn công DDoS, phân loại, các kỹ thuật tấn công và các giải pháp phòng chống tấn công DDoS trong mạng truyền thống; an ninh mạng, tấn công DDoS trong SOHO network Nội dung của chương cũng đề cập đến nguyên lý, đặc điểm kỹ thuật mạng cấu hình bởi phần mềm SDN, giao thức Openflow; các giải pháp phòng chống tấn công DDoS dựa trên kiến trúc và kỹ thuật SDN/Openflow; tấn công DDoS tới kiến trúc và kỹ thuật mạng SDN/Openflow và các giải pháp phòng chống
Chương 2 Đề xuất giải pháp phòng chống tấn công DDoS dựa trên dữ liệu thống kê và cơ chế
xử lý gói tin của kỹ thuật SDN/Openflow: Áp dụng cơ chế và kỹ thuật SDN/Openflow đề xuất 3 giải
pháp phòng chống tấn công DDoS trong mạng SDN với quy mô băng thông nhỏ sử dụng thuần túy dữ liệu thống kê lưu lượng và cơ chế xử lý gói tin của kỹ thuật SDN/Openflow bao gồm: (1) Kỹ thuật phát hiện và giảm thiểu tấn công DDoS dựa trên mô hình dự đoán làm trơn hàm mũ các tham số thống kê lưu lượng; (2) Kỹ thuật phát hiện và ngăn chặn tấn công SYN Flood dựa trên cơ chế ủy nhiệm gói tin SYN tại bộ điều khiển, và (3) Kỹ thuật đánh dấu gói tin phục vụ truy vết nguồn phát sinh lưu lượng tấn công
Chương 3 Đề xuất giải pháp phòng chống tấn công DDoS dựa trên kỹ thuật SDN/Openflow sử dụng thêm bộ phân tích và xử lý lưu lượng: Nội dung chương 3 đề xuất kiến trúc SDN/Openflow mở
rộng trong đó bổ sung bộ phân tích và xử lý lưu lượng được điều khiển hoạt động và tương tác với các thực thể khác theo cơ chế, kỹ thuật SDN/Openflow Dựa trên kiến trúc mở rộng, đề xuất hai giải pháp phòng chống DDoS bao gồm: (1) Kỹ thuật phân loại và giảm thiểu tấn công DDoS dựa trên thuật toán logic mờ, và (2) Kỹ thuật giảm thiểu tấn công SYN Flood tới mạng SDN/Openflow (làm cạn kiệt tài
Trang 53
nguyên bộ chuyển mạch, suy giảm năng lực bộ điều khiển và làm nghẽn mạng giao diện Openflow) sử dụng cơ chế ủy nhiệm gói tin SYN tại bộ phân tích lưu lượng
1.5 Các đóng góp khoa học của luận án
Luận án đã thực hiện 02 đóng góp khoa học sau đây:
• Đề xuất kỹ thuật phát hiện và giảm thiểu tấn công DDoS bằng mô hình dự đoán làm trơn hàm mũ với các tham số thống kê lưu lượng; kỹ thuật đánh dấu gói tin phục vụ truy vết nguồn phát sinh lưu lượng tấn công; và kỹ thuật giảm thiểu tấn công SYN Flood bằng cơ chế ủy nhiệm gói tin SYN sử dụng công nghệ SDN
• Đề xuất kiến trúc SDN/Openflow mở rộng với bộ phân tích và xử lý lưu lượng để nâng cao hiệu quả phát hiện và giảm thiểu tấn công DDoS
CHƯƠNG 1 TẤN CÔNG DDOS VÀ CÁC GIẢI PHÁP PHÒNG CHỐNG
TRONG MẠNG SDN/OPENFLOW
1.1 Giới thiệu chương
Chương 1 trình bày tổng quan về tấn công DDoS; kiến trúc, kỹ thuật mạng cấu hình bởi phần mềm SDN, giao thức Openflow Phần tiếp theo trình bày các kỹ thuật phòng chống tấn công DDoS dựa trên
kỹ thuật SDN/Openflow; tấn công DDoS vào các thành phần mạng SDN/Openflow và các giải pháp phòng chống
1.2 Tổng quan về tấn công DDoS
1.2.1 Khái niệm
Tấn công DoS
- Tấn công từ chối dịch vụ DoS (Denial of Service) là dạng tấn công nhằm ngăn chặn người dùng hợp pháp truy nhập tới dịch vụ, tài nguyên mạng làm cho hệ thống mạng không thể sử dụng, bị gián đoạn, hoặc chậm đi một cách đáng kể bằng cách làm quá tải tài nguyên của hệ thống
- Đối tượng tấn công của DoS có thể là: (1) một ứng dụng, một dịch vụ, (2) một máy chủ, máy tính
có địa chỉ cụ thể, hoặc (3) toàn bộ hệ thống mạng trong một phạm vi cụ thể Mục tiêu của tấn công DoS bao gồm nhằm tiêu tốn tài nguyên đối tượng tấn công; cô lập, cách ly đối tượng tấn công với các người dùng bình thường Các phương pháp tấn công DoS có thể là thao tác phần cứng, sử dụng kỹ thuật lưu lượng hoặc chiếm đoạt quyền điều khiển
Tấn công DDoS
Tấn công từ chối dịch vụ phân tán DDoS (Distributed Denial of Service) là dạng phát triển ở mức độ cao của tấn công DoS sử dụng kỹ thuật lưu lượng trong đó lưu lượng tấn công được huy động cùng một lúc từ rất nhiều máy tính khác nhau trên hệ thống mạng
1.2.2 Phân loại tấn công DDoS
Phân loại theo kỹ thuật tấn công:
Theo cách phân loại này, tấn công DDoS được phân thành các nhóm như trong Hình 1.2
Phân loại theo phương thức huy động nguồn tấn công
Nguồn tấn công là yếu tố quan trọng trong tổ chức tấn công DDoS Các phương thức huy động nguồn tấn công bao gồm (1) Giả mạo địa chỉ nguồn, (2) Sử dụng botnet và (3) Kết hợp giả mạo địa chỉ nguồn
và sử dụng botnet
Trang 61.2.3 Các giải pháp phòng chống tấn công DDoS dựa trên công nghệ mạng truyền thống
Vị trí triển khai các giải pháp
Các vị trí đề xuất triển khai bao gồm:
• Triển khai tại mạng nguồn phát sinh lưu lượng
• Triển khai tại mạng trung gian: Do không có ràng buộc giữa các hệ thống tự trị trên Internet nên việc phối hợp triển khai phòng chống DDoS tại mạng nguồn và mạng trung gian trên thực tế có hiệu quả rất thấp
• Triển khai tại mạng máy chủ đích: Đây là các giải pháp chủ yếu và được áp dụng hầu hết trên các
hệ thống mạng bao gồm trên máy chủ (host based) và trên hệ thống mạng (network based) Các giải pháp triển khai phổ biến tại mạng đích bao gồm: (1) Phát hiện tấn công, (2) Phân loại và xác
định lưu lượng tấn công, (3) Lọc bỏ lưu lượng tấn công, và (4) Truy vết lưu lượng tấn công
Hình 1.2 Phân loại DDoS theo kỹ thuật tấn công Các kỹ thuật phát hiện tấn công
• Dựa vào dấu hiệu tấn công: Phân tích sâu nội dung hoặc tiêu đề của gói tin để phát hiện lỗi hoặc
sự bất thường Kỹ thuật này có độ chính xác cao, tuy nhiên đòi hỏi tính toán lớn, lưu trữ các mẫu tấn công đã biết Ngoài ra kỹ thuật này không thể phát hiện các mẫu tấn công mới
• Dựa vào sự bất thường của lưu lượng: Được áp dụng phổ biến hơn trong đó một mô hình đặc tính lưu lượng bình thường được xây dựng và thống kê, cập nhật Phát hiện tấn công dựa trên sự
so sánh đặc tính lưu lượng tức thời với lưu lượng bình thường Kỹ thuật này còn được áp dụng để phân loại lưu lượng tấn công Các thuật toán phát hiện tấn công trong nhóm này bao gồm: (1) Mô hình thống kê (Statistical), (2) Học máy (Machine learning) và (3) Khai phá dữ liệu (Data mining)
Các kỹ thuật phòng chống và giảm thiểu tấn công
• Các giải pháp triển khai trên máy chủ (host based): như SYN Cookie, điều chỉnh thời gian chờ TIME_WAIT để ngăn chặn tấn công TCP SYN Flood; đặt ngưỡng số lượng kết nối để ngăn chặn các kết nối TCP, UDP, IMCP…
• Các giải pháp triển khai trên hệ thống mạng (network based): Trong công nghệ mạng truyền thống, do đặc tính đóng kín của các thiết bị mạng, các giải pháp phòng chống DDoS chủ yếu tập trung vào kỹ thuật đặt giới hạn các kết nối và lưu lượng hoặc thao tác ngăn chặn thủ công
1.2.4 Yêu cầu và thách thức đối với giải pháp phát hiện và ngăn chặn, giảm thiểu tấn công DDoS
Một số tham số đánh giá hiệu quả giải pháp
• Độ nhạy: (Sensitivity hoặc Detection Rate - DR) đánh giá khả năng nhận diện lưu lượng tấn công
• Tỷ lệ báo động nhầm: (False Positive Rate - FPR) đánh giá khả năng nhận diện nhầm lưu lượng
Trang 7• Thời gian đáp ứng: Đánh giá về mức độ phản hồi của một giải pháp phòng chống tấn công
• Khả năng lọc bỏ: Đánh giá khả năng giảm thiểu, loại bỏ lưu lượng tấn công
• Khả năng chịu đựng tấn công: Thể hiện năng lực xử lý của hệ thống và được cụ thể hóa bằng các tham số tỷ lệ kết nối thành công của lưu lượng lành tính, năng lực xử lý của hệ thống…
Các yêu cầu và thách thức đối với một giải pháp phòng chống DDoS
Một giải pháp phòng chống tấn công DDoS hiệu quả phải đảm bảo bởi các yêu cầu sau:
• Không được làm ảnh hưởng đến sự hoạt động của các người dùng và lưu lượng hợp pháp
• Cần phải có giải pháp ngăn chặn hoặc giảm thiểu tấn công từ cả bên trong và cả bên ngoài
• Có khả năng hoạt động trên quy mô tương ứng của hệ thống mạng hoặc trung tâm dữ liệu
• Mềm dẻo, khả năng thích ứng cao
• Chi phí triển khai thấp, hạn chế sự gia tăng thiết bị, tăng tải tính toán và lưu trữ của hệ thống Các thách thức đặt ra đối với phòng chống tấn công DDoS:
• Sự phân biệt giữa lưu lượng lành tính và lưu lượng tấn công ngày càng khó khăn
• Dịch vụ mạng đang dần chuyển sang xu thế công nghệ đám mây, các máy ảo được triển khai linh động và khắp nơi làm cho nguy cơ tấn công DDoS có thể xuất hiện bên trong máy ảo
• Các dịch vụ lưu trữ và multimedia với dung lượng lớn ngày càng phát triển đòi hỏi hệ thống mạng
có băng thông lớn, độ tin cậy cao, dẫn đến yêu cầu về hiệu năng và quy mô mạng lớn Các giải pháp phòng chống DDoS cho mạng tốc độ lớn trở nên khó khăn
• Thực tế cho thấy tỷ lệ phát hiện thường tỷ lệ thuận với tỷ lệ phát hiện nhầm Bên cạnh đó, tốc độ dịch vụ mạng ngày càng lớn dẫn đến sự lợi dụng gia tăng của các hình thức tấn công tốc độ thấp
và dai dẳng (Slowloris) và các phương thức tấn công này dễ dàng vượt qua các giải pháp phát hiện và ngăn chặn hoặc gây tỷ lệ phát hiện nhầm cao
• Quy mô hệ thống mạng Internet ngày càng lớn tạo điều kiện cho các botnet phát triển về số lượng
và năng lực của các xác sống Điều này dẫn đến cường độ và quy mô tấn công ngày càng lớn Với những yêu cầu, thách thức như trên, tấn công DDoS vẫn là mối quan tâm giải quyết trong các kỹ thuật và kiến trúc mạng thế hệ mới
1.3 Công nghệ mạng cấu hình bởi phần mềm SDN
- Công nghệ mạng cấu hình bởi phần mềm SDN ra đời dưới sự chuẩn hóa của ONF cho phép các
phần mềm thứ 3 có thể truy nhập và thao tác trên mặt phẳng điều khiển (control plane), cấu hình và quản trị các thiết bị mạng từ xa, trực tuyến bằng cách sử dụng các giao thức mở như Openflow
- SDN phân tách hệ thống mạng thành hai mặt phẳng: mặt phẳng dữ liệu (data plane) và mặt phẳng điều khiển (control plane) với kiến trúc ba lớp như ở Hình 1.4
- Công nghệ SDN cho phép điều hành và quản lý tài nguyên mạng tập trung, giải quyết nhiều vấn đề công nghệ mạng truyền thống gặp phải trong đó có an ninh mạng, phòng chống DDoS
Bảng 1.1 Quan hệ kết quả phân loại của giải pháp và
đặc tính thực của lưu lượng
Đặc tính thực của lưu lượng Lành tính Tấn công Phân loại của
giải pháp Lành tính Tấn công TN FP FN TP
Trang 81.4 Giao thức OpenFlow
Giao thức luồng mở - Openflow, là chuẩn
giao tiếp SDN đầu tiên giữa mặt phẳng điều
khiển và mặt phẳng dữ liệu trong kiến trúc
SDN
1.4.1 Cấu trúc và phạm vi chuẩn hóa
của Openflow
Cấu trúc, phạm vi và vị trí của giao thức
Openflow trong kiến trúc SDN được mô tả
trong Hình 1.5 Openflow chuẩn hóa cấu trúc
bộ chuyển mạch, giao thức trao đổi giữa Bộ
điều khiển mạng (controller) và các bộ
chuyển mạch Openflow (Openflow switch -
OFS)
1.4.2 Nhận dạng và quản lý lưu lượng
trên bộ chuyển mạch Openflow
Đối tượng xử lý thông tin trên các bộ
chuyển mạch OFS là các gói tin Openflow
nhận dạng, phân nhóm và quản lý lưu lượng
trong Openflow theo luồng (flow) Những
lưu lượng có cùng thuộc tính và xuất hiện
trong một khoảng thời gian nhất định thuộc
vào cùng một luồng OFS quản lý nhận dạng
và quản lý các luồng dựa vào mục luồng (flow
entry) Các mục luồng được quản lý, sắp xếp
thành các bảng luồng (flow table)
1.4.3 Các bản tin trao đổi giữa bộ điều
khiển và bộ chuyển mạch
Openflow
- Openflow quy định cấu trúc các bản tin trao đổi giữa bộ điều khiển và các bộ chuyển mạch để cấu hình, điều khiển, quản lý trạng thái, các sự kiện từ các bộ chuyển mạch Bao gồm 3 nhóm bản tin: (1) Nhóm bản tin từ bộ điều khiển tới bộ chuyển mạch; (2) Nhóm bản tin bất đồng bộ từ bộ chuyển mạch;
và (3) Nhóm bản tin hai chiều
- Các bản tin Openflow được truyền qua kênh truyền mã hóa bảo mật có xác thực SSL
1.4.4 Quy trình xử lý gói tin trong Openflow
- Openflow quy định quá trình xử lý lưu lượng tại các bộ chuyển mạch theo cơ chế đường ống (pipeline) Gói tin đến sẽ được so khớp từ bảng luồng đầu tiên đến các bảng luồng kế tiếp theo và tích
lũy các hành động (actions) Kết thúc quá trình so khớp, tập các hành động actions sẽ được áp dụng đối
với gói tin
- Nếu gói tin không khớp với bất cứ mục luồng nào trong bảng luồng, sự kiện table-miss sẽ xảy ra và OFS gửi tới bộ điều khiển một bản tin packet-in Bộ điều khiển sẽ phân tích và đưa ra một chính sách
để xử lý bằng cách cài đặt trên OFS một mục luồng mới Các gói tin tiếp theo của luồng sẽ được khớp với mục luồng này và được OFS xử lý theo các actions thiết lập trong mục luồng
1.4.5 Quản lý các mục luồng trong bộ chuyển mạch Openflow
Mục luồng là thông tin quan trọng quyết định cách thức xử lý gói tin trên hệ thống mạng Mục luồng
Hình 1.4 Kiến trúc mạng cấu hình bởi phần mềm SDN
Hình 1.5 Cấu trúc và phạm vi chuẩn hóa Openflow
Trang 97
có vai trò phân nhóm các gói tin thành các luồng tương ứng, đưa ra các chính sách bộ chuyển mạch sẽ áp dụng đối với các gói tin Openflow quy định phương thức quản lý các mục luồng bao gồm: (1) Cài đặt, chỉnh sửa và xóa các mục luồng; (2) Thiết lập thời gian chờ cho các mục luồng, và (3) Thống kê các mục luồng
1.5 Các giải pháp phòng chống tấn công DDoS dựa trên kiến trúc và kỹ thuật SDN/Openflow
1.5.1 Kiến trúc và nguyên lý hoạt động chung
Kiến trúc và kỹ thuật mạng SDN/Openflow đã được nhiều giải pháp đề xuất ứng dụng trong phòng chống tấn công DDoS Cấu trúc và nguyên lý hoạt động chung thể hiện như trong Hình 1.9
1.5.2 Các kỹ thuật phát hiện tấn công
a) Nguồn thông tin lưu lượng đầu vào: Là cơ sở quan trọng để xác định có tấn công xảy ra hay không
hoặc phân biệt giữa lưu lượng tấn công và lưu lượng lành tính Có hai nhóm:
• Sử dụng thông tin thống kê của Openflow: Có ưu điểm đơn giản, tuy nhiên lưu lượng Openflow tăng cao có thể dẫn đến nghẽn mạng nên chỉ phù hợp với hệ thống mạng quy mô nhỏ
• Sử dụng thông tin thống kê của Openflow kết hợp với các bộ phân tích lưu lượng: Sử dụng thêm các thiết bị IDS, các bộ phân tích lưu lượng truyền thống như sFlow, Snort… Ưu điểm là tăng độ chính xác nhưng làm cho hệ thống mạng phức tạp, phù hợp mạng quy mô lớn
b) Thuật toán phát hiện và phân loại lưu lượng tấn công: Về cơ bản, các giải pháp phát hiện tấn công
DDoS dựa trên SDN/Openflow kế thừa các nguyên lý và thuật toán sử dụng trong kiến trúc và kỹ thuật mạng truyền thống, bao gồm: (1) Dựa vào Entropy, (2) Áp dụng thuật toán máy học, (3) Phân tích mẫu lưu lượng và (4) Dựa vào tỷ lệ kết nối
1.5.3 Các kỹ thuật ngăn chặn, giảm thiểu tấn công
Dựa vào khả năng cấu hình, cài đặt, chỉnh sửa các mục luồng trên OFS để áp dụng các chính sách đối với lưu lượng nghi ngờ tấn công như trình bày trong Hình 1.9 Các kỹ thuật bao gồm:
Hình 1.9 Cấu trúc hệ thống giải pháp phòng chống DDoS dựa trên kỹ thuật mạng SDN/Openflow
Trang 10• Xóa bỏ gói tin: Chỉnh sửa mục luồng xóa bỏ gói tin nghi ngờ
• Giới hạn lưu lượng: Sử dụng tính năng RATE LIMIT để thiết lập ngưỡng giới hạn lưu lượng
• Chặn cổng: Lọc bỏ các gói đến hoặc xuất phát từ một cổng cụ thể
Ngoài ra, kỹ thuật mạng SDN/Openflow còn được ứng dụng để hỗ trợ trong phát hiện, ngăn chặn và giảm thiểu tấn công DDoS, bao gồm:
• Chuyển hướng lưu lượng
• Phân tích nguy cơ an ninh từ các mục luồng
• Xác thực địa chỉ IP nguồn
• Phối hợp phòng chống tấn công giữa các hệ tự trị
1.6 Tấn công DDoS tới các thành phần trong kiến trúc mạng SDN/Openflow và các giải pháp phòng chống
1.6.1 Tấn công DDoS tới các thành phần trong kiến trúc mạng SDN/Openflow
Bên cạnh những lợi điểm được ứng dụng trong phòng chống tấn công DDoS, kiến trúc, kỹ thuật SDN/Openflow đồng thời cũng chứa đựng những nguy cơ tấn công DDoS mới ở cả ba lớp ứng dụng, điều khiển và hạ tầng mạng Khảo sát an ninh mạng trong kiến trúc SDN, Kreutz và nhóm nghiên cứu
đã chỉ ra 7 vectơ tấn công trong đó có 4 vectơ tấn công DDoS, bao gồm:
• Các luồng lưu lượng giả mạo
• Khai thác các lỗ hổng và chiếm quyền điều khiển trên các bộ chuyển mạch
• Khai thác các lỗ hổng và chiếm quyền điều khiển trên các bộ điều khiển
• Khai thác các lỗ hổng và chiếm quyền điều khiển ứng dụng điều hành mạng
Trong các vectơ tấn công nêu trên, vectơ tấn công tạo các luồng giả mạo dễ thực hiện nhất và được xác định là hình thức tấn công phổ biến tới kiến trúc mạng SDN/Openflow
1.6.2 Kỹ thuật phát hiện và giảm thiểu tấn công
- Đã có nhiều giải pháp phát hiện và giảm thiểu tấn công DDoS tới kiến trúc mạng SDN/Openflow Phần lớn các giải pháp đều dựa trên cơ chế giống như trong công nghệ mạng truyền thống Ngoài ra, một số giải pháp đề xuất dựa trên thuật toán phát hiện theo chính sách và quy tắc xử lý gói tin Nếu các mục luồng phù hợp với các chính sách, quy tắc xử lý này, lưu lượng của chúng được coi là lành tính, ngược lại, lưu lượng được cho là xuất phát từ nguồn tấn công và áp dụng quy tắc xóa bỏ Bảng 1.2 thống
kê và so sánh các giải pháp phòng chống theo kỹ thuật này
Bảng 1.2 So sánh các kỹ thuật phát hiện và giảm thiểu tấn công DDoS tới kiến trúc mạng
SDN/Openflow theo chính sách và quy tắc xử lý gói tin
Giải pháp Kỹ thuật phát hiện Kỹ thuật giảm thiểu tấn công Hạ tầng Ảnh hưởng đến lớp
SDN-based
FlowRanger Sử dụng các chính sách ưu tiên để
Trang 119
- Trong số các giải pháp trên, cơ chế Di
trú kết nối CM (Connection Migration) trong
giải pháp Avant-Guard giúp ngăn chặn hiệu
quả tấn công TCP SYN Flood CM dựa trên
sự giám sát quá trình bắt tay ba bước (Three
ways Handshake – 3HS) của các kết nối TCP
từ các máy khách tới máy chủ cần bảo vệ
Các bước thực hiện kết nối giữa máy khách
và máy chủ nội bộ được mô tả trong Hình
1.13 Theo đó, một kết nối TCP gồm 4 pha:
Pha Phân loại (bước 1-3), Pha Báo cáo:
(bước 4,5), Pha Di trú: (bước 6 -10), và Pha
Chuyển tiếp (bước 11, 12)
- Bằng cách giám sát 3HS trước khi cài đặt mục luồng, CM giúp OFS loại bỏ các mục luồng vô giá trị tạo bởi tấn công SYN Flood Đồng thời, CM cũng ngăn không cho các gói tin tấn công SYN được chuyển tới các máy chủ nội bộ cần bảo vệ Tuy nhiên, cơ chế CM có các nhược điểm sau:
• CM sử dụng kỹ thuật SYN Cookie là một giải pháp cho trạm cuối (host based) nên sẽ không phù hợp khi triển khai trên bộ chuyển mạch là thiết bị trung gian (network based) Các kết nối lành tính sẽ bị chia cắt thành 2 kết nối TCP Để liên kết hai kết nối TCP này, OFS phải duy trì một vùng nhớ để lưu trữ trạng thái, do đó tiêu tốn tài nguyên làm ảnh hưởng đến hiệu năng xử lý của OFS
• Sự chia cắt kết nối TCP có thể làm vô hiệu hóa các tham số tùy chọn khác trong kết nối TCP
• Quá trình tạo các gói tin 3HS trong kỹ thuật SYN Cookie tiêu tốn tài nguyên tính toán áp dụng đối với tất cả các gói tin SYN đến gây lãng phí tài nguyên của OFS, làm cho OFS dễ trở thành mục tiêu tấn công SYN flood và tấn công quét cổng Ngoài ra, tích hợp cơ chế CM vào OFS làm mất đi bản chất SDN, giảm hiêu năng của OFS
1.7 Kết luận chương
Nội dung Chương 1 trình bày lý thuyết tổng quan về tấn công DDoS, các phương thức và kỹ thuật phòng chống DDoS trong kỹ thuật mạng truyền thống và trong kỹ thuật mạng SDN/Openflow Qua đó cho thấy: (1) Tấn công DDoS vẫn là một vấn nạn lớn của mạng Internet; Diễn biến tấn công DDoS ngày càng phức tạp đặt ra các yêu cầu và thách thức lớn đối với các cơ chế, giải pháp phòng chống tấn công (2) Dựa trên SDN/Openflow, nhiều giải pháp phòng chống DDoS được đề xuất Tuy nhiên, hầu hết các giải pháp mới dừng lại ở nghiên cứu lý thuyết; do tính chất phức tạp của tấn công DDoS, không có giải pháp nào mang lại hiệu quả triệt để Mỗi kiến trúc mạng, loại hình dịch vụ, quy mô, kết cấu mạng cần
có giải pháp, tham số bảo vệ khác nhau (3) Mặt khác, chính kiến trúc SDN/Openflow cũng đặt ra những vấn đề an ninh, trong đó có thể trở thành mục tiêu tấn công DDoS Nhiệm vụ đặt ra là cần phải khai thác các lợi thế của SDN/Openflow trong phòng chống tấn công DDoS, đồng thời xây dựng giải pháp ngăn chặn những hình thức, kỹ thuật tấn công DDoS vào kiến trúc, kỹ thuật mạng này
Hình 1.13 Quá trình xử lý kết nối TCP trong cơ chế CM
Trang 12CHƯƠNG 2
ĐỀ XUẤT GIẢI PHÁP PHÒNG CHỐNG TẤN CÔNG DDOS
DỰA TRÊN DỮ LIỆU THỐNG KÊ VÀ CƠ CHẾ XỬ LÝ GÓI TIN
CỦA KỸ THUẬT SDN/OPENFLOW
2.1 Giới thiệu chương
Chương 2 trình bày ba giải pháp đề xuất phòng chống tấn công DDoS thuần túy dựa trên dữ liệu thống kê và cơ chế xử lý gói tin của kỹ thuật SDN/Openflow Mục tiêu của các giải pháp này là có thể
áp dụng trực tiếp cho các hệ thống mạng SDN/Openflow quy mô lưu lượng nhỏ, sử dụng trực tiếp phần mềm ứng dụng trên lớp ứng dụng mà không cần bổ sung thêm các thiết bị, module chuyên dụng
2.2 Giải pháp phát hiện và giảm thiểu tấn công DDoS dựa trên mô hình dự đoán làm trơn hàm mũ tham số thống kê lưu lượng
2.2.2 Kiến trúc hệ thống và các trạng thái hoạt động
- Giải pháp hoạt động dựa trên nguyên lý chung trình bày trong Hình 1.9 Đối tượng bảo vệ là các máy chủ hoặc dịch vụ chạy trên máy chủ bên trong mạng nội bộ của hệ thống
- Các trạng thái của máy chủ/dịch vụ cần bảo vệ và sự chuyển tiếp các trạng thái được thể hiện trong
sơ đồ Hình 2.2
2.2.3 Lựa chọn tham số và chỉ số thống kê lưu lượng
a) Các tham số thống kê lưu lượng: Dựa trên đặc điểm lưu lượng tấn công DDoS và khả năng thống kê
theo cơ chế SDN/Openflow, các tham số được lựa chọn bao gồm: (1) Số địa chỉ IP nguồn SAN, (2) Số cổng nguồn SPN và (3) Số lượng gói tin PN
b) Các chỉ số thống kê lưu lượng: Tỷ lệ số cổng trung bình được mở trên mỗi địa chỉ IP nguồn SPA và
tỷ lệ số gói tin trung bình của mỗi luồng PpF:
Trang 1311
2.2.4 Lựa chọn và xây dựng mô hình dự đoán chỉ số thống kê lưu lượng
Giải pháp lựa chọn mô hình dự đoán làm trơn hàm mũ (Exponential smoothing):
và PpF là giá trị thực tính được từ các tham số thống kê ở thời điểm t
2.2.5 Phát hiện và giảm thiểu tấn công
Chỉ số thống kê lưu lượng được tính theo giá trị chuẩn hóa:
DSPA = �SPA − SPASPACUMCUM, SPA ≥ SPACUM
0, SPA < SPACUM
(2.8)
DPpF = �PpF − PpFPpFCUMCUM, PpF ≥ PpFCUM
- Để xác định có tấn công xảy ra hay
không, DSPA và DPpF được so sánh
với ngưỡng phát hiện 𝐾𝐾𝐷𝐷 Khi lọc bỏ,
các giá trị này được so sánh với
ngưỡng lọc bỏ K F Hình 2.3
- Hệ số K D , K F được lựa chọn tùy
theo đặc tính lưu lượng của máy chủ,
dịch vụ
2.2.6 Phân tích và đánh giá hiệu
năng của giải pháp
Phương pháp phân tích và kịch bản tấn công
Hiệu năng của giải pháp được đánh giá thông qua phân tích mô phỏng trên bộ dữ liệu lành tính CAIDA 2013 và bộ dữ liệu CAIDA DDoS 2007 trong thời gian 90 phút Quá trình phân tích tính toán cho 3 máy chủ (1 máy chủ chịu tấn công và 2 máy hoạt động bình thường) được chia ra làm 3 giai đoạn với cường độ tấn công khác nhau
Khả năng phát hiện tấn công
Kết quả tính toán chỉ số thống kê, chỉ số chuẩn hóa trong các cửa sổ thời gian như trong Hình 2.4 và
Hình 2.5 Qua đó, nếu lựa chọn với K D = 2, tấn công DDoS được phát hiện trong cả trường hợp cường
độ thấp và cao
Khả năng phân loại lưu lượng tấn công
Bảng 2.5 thể hiện kết quả thống kê độ nhạy phân loại DR C và tỷ lệ báo động phân loại nhầm FPR C
với các giá trị hệ số lọc bỏ K F khác nhau theo tổng dung lượng (bytes) Kết quả cho thấy DR C đạt mức
cao giữ ổn định trên 98,5% với FPR C dưới 0,65% Hệ số K F được lựa chọn để đảm bảo giữ tỷ lệ DR cao trong khi FPR thấp, với kết quả như trong Bảng 2.1, nếu lựa chọn K F = 20-26, DR C đạt mức 98,7%
trong khi FPR C ≈ 0,44% So sánh với giải pháp sử dụng SOM 6 tham số của Braga, DR C cao nhất đạt
98,61% với FPR C ở mức 0,59% cho thấy giải pháp sử dụng mô hình dự đoán làm trơn hàm mũ cho tỷ
lệ phân loại cao hơn với tỷ lệ nhầm thấp hơn
Hình 2.3 Mô hình phát hiện và phân loại lưu lượng tấn công