Luận án tiến sĩ kỹ thuật viễn thông nghiên cứu giải pháp phát hiện và giảm thiểu tấn công từ chối dịch vụ phân tán sử dụng công nghệ SDN

ICMP Internet Control Message Protocol Giao thức thông báo điều khiển Internet IDS Intrusion Detection System Hệ thống phát hiện xâm nhập IoTs Internet of Things Mạng kết nối vạn vật IP

TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI

ĐẶNG VĂN TUYÊN

NGHIÊN CỨU GIẢI PHÁP PHÁT HIỆN VÀ GIẢM THIỂU

TẤN CÔNG TỪ CHỐI DỊCH VỤ PHÂN TÁN

SỬ DỤNG CÔNG NGHỆ SDN

LUẬN ÁN TIẾN SĨ KỸ THUẬT VIỄN THÔNG

Hà Nội – 2019

BỘ GIÁO DỤC VÀ ĐÀO TẠO

TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI

ĐẶNG VĂN TUYÊN

NGHIÊN CỨU GIẢI PHÁP PHÁT HIỆN VÀ GIẢM THIỂU

TẤN CÔNG TỪ CHỐI DỊCH VỤ PHÂN TÁN

SỬ DỤNG CÔNG NGHỆ SDN

Ngành: Kỹ thuật Viễn thông

Mã số: 9520208

LUẬN ÁN TIẾN SĨ KỸ THUẬT VIỄN THÔNG

NGƯỜI HƯỚNG DẪN KHOA HỌC:

PGS.TS TRƯƠNG THU HƯƠNG PGS.TS NGUYỄN TÀI HƯNG

Hà Nội – 2019

LỜI CAM ĐOAN

Tôi xin cam đoan rằng các kết quả khoa học được trình bày trong luận án này là thành quả nghiên cứu của bản thân tôi trong suốt thời gian làm nghiên cứu sinh và chưa từng xuất hiện trong công bố của các tác giả khác Các kết quả đạt được là chính xác và trung thực

Hà Nội, ngày 15 tháng 5 năm 2019

Tác giả luận án

Đặng Văn Tuyên

Giáo viên hướng dẫn khoa học

PGS.TS Trương Thu Hương PGS.TS Nguyễn Tài Hưng

LỜI CẢM ƠN

Nghiên cứu sinh (NCS) xin gửi lời trân trọng cảm ơn đến Tập thể hướng dẫn khoa học: PGS TS Trương Thu Hương và PGS TS Nguyễn Tài Hưng cùng các thầy cô giáo Bộ môn Kỹ thuật Thông tin, Viện Điện tử - Viễn thông, Trường Đại học Bách khoa Hà Nội đã tận tình hướng dẫn, tạo điều kiện cho NCS học tập, nghiên cứu và hoàn thành Luận án này NCS cũng xin trân trọng cảm ơn Phòng Đào tạo, Trường Đại học Bách khoa Hà Nội đã tạo điều kiện giúp đỡ về mặt thủ tục; Trường Đại học Kỹ thuật – Hậu cần CAND, gia đình

và đồng nghiệp tạo điều kiện về mặt thời gian cho NCS được nghiên cứu và hoàn thành Luận án

Trong quá trình thực hiện đề tài nghiên cứu, tuy bản thân đã có nhiều cố gắng nhưng do giới hạn về trình độ hiểu biết, kinh nghiệm thực tế, kinh nghiệm nghiên cứu khoa học nên Luận án không tránh khỏi những thiếu sót NCS kính mong nhận được sự đóng góp ý kiến của các nhà khoa học, cán bộ nghiên cứu, của các thầy, cô giáo, bạn bè và đồng nghiệp để NCS hoàn thiện hơn cả về lý luận khoa học lẫn thực tiễn

Xin trân trọng cảm ơn

Hà Nội ngày 15 tháng 05 năm 2019

NGHIÊN CỨU SINH

Đặng Văn Tuyên

MỤC LỤC

LỜI CAM ĐOAN i

LỜI CẢM ƠN ii

MỤC LỤC iii

DANH MỤC CÁC CHỮ VIẾT TẮT vii

DANH MỤC HÌNH VẼ x

DANH MỤC CÁC BẢNG BIỂU xiii

MỞ ĐẦU xiv

CHƯƠNG 1: TẤN CÔNG DDOS VÀ CÁC GIẢI PHÁP PHÒNG CHỐNG TRONG MẠNG SDN/OPENFLOW 1

1.1 Giới thiệu chương 1

1.2 Tổng quan về tấn công DDoS 1

1.2.1 Khái niệm 1

1.2.2 Phân loại tấn công DDoS 2

1.2.3 Các giải pháp phòng chống DDoS dựa trên công nghệ mạng truyền thống 5

1.2.4 Yêu cầu và thách thức đối với giải pháp phát hiện và ngăn chặn, giảm thiểu tấn công DDoS 7

1.3 Kỹ thuật mạng cấu hình bởi phần mềm SDN 10

1.4 Giao thức OpenFlow 12

1.4.1 Cấu trúc và phạm vi chuẩn hóa của Openflow 13

1.4.2 Nhận dạng và quản lý lưu lượng trên bộ chuyển mạch Openflow 14

1.4.3 Các bản tin trao đổi giữa bộ điều khiển và bộ chuyển mạch Openflow 14

1.4.4 Quy trình xử lý gói tin trong Openflow 16

1.4.5 Quản lý các mục luồng trong bộ chuyển mạch Openflow 17

1.5 Các giải pháp phòng chống DDoS dựa trên kiến trúc và kỹ thuật SDN/Openflow 18

1.5.1 Kiến trúc và nguyên lý hoạt động chung 18

1.5.2 Các kỹ thuật phát hiện tấn công 20

1.5.3 Các kỹ thuật ngăn chặn, giảm thiểu tấn công 22

1.6 Tấn công DDoS tới các thành phần trong kiến trúc mạng SDN/Openflow và các giải pháp phòng chống 23

1.6.1 Tấn công DDoS tới các thành phần trong kiến trúc mạng SDN/Openflow 23

1.6.2 Kỹ thuật phát hiện và giảm thiểu tấn công 25

1.7 Kết luận chương 27

CHƯƠNG 2: ĐỀ XUẤT GIẢI PHÁP PHÒNG CHỐNG TẤN CÔNG DDOS DỰA TRÊN DỮ LIỆU THỐNG KÊ VÀ CƠ CHẾ XỬ LÝ GÓI TIN CỦA KỸ THUẬT SDN/OPENFLOW 29

2.1 Giới thiệu chương 29

2.2 Giải pháp phát hiện và giảm thiểu tấn công DDoS dựa trên mô hình dự đoán làm trơn hàm mũ tham số thống kê lưu lượng 29

2.2.1 Đặt vấn đề 29

2.2.2 Kiến trúc hệ thống và các trạng thái hoạt động 30

2.2.3 Lựa chọn tham số và chỉ số thống kê lưu lượng 32

2.2.4 Lựa chọn và xây dựng mô hình dự đoán chỉ số thống kê lưu lượng 33

2.2.5 Phát hiện và giảm thiểu tấn công 35

2.2.6 Phân tích và đánh giá hiệu năng của giải pháp 37

2.3 Giải pháp giảm thiểu tấn công SYN Flood dựa trên cơ chế ủy nhiệm gói tin SYN tại bộ điều khiển 41

2.3.1 Đặt vấn đề 41

2.3.2 Kiến trúc hệ thống đề xuất 42

2.3.3 Lựa chọn mô hình ủy nhiệm gói tin SYN 43

2.3.4 Hoạt động của hệ thống SSP 44

2.3.5 Phân tích và đánh giá hiệu năng của giải pháp 51

2.4 Giải pháp đánh dấu gói tin PLA DFM phục vụ truy vết nguồn tấn công 58

2.4.1 Đặt vấn đề 58

2.4.2 Khái niệm về đánh dấu gói tin và các kỹ thuật cơ bản 59

2.4.3 Đề xuất cấu trúc và hoạt động của PLA DFM trên kiến trúc mạng SDN/Openflow 61

2.4.4 So sánh và đánh giá hiệu năng của giải pháp 66

2.5 Kết luận chương 70

CHƯƠNG 3 ĐỀ XUẤT GIẢI PHÁP PHÒNG CHỐNG TẤN CÔNG DDOS DỰA TRÊN KỸ THUẬT SDN/OPENFLOW SỬ DỤNG THÊM BỘ PHÂN TÍCH VÀ XỬ LÝ LƯU LƯỢNG 72 3.1 Giới thiệu chương 72

3.2 Những hạn chế của kiến trúc và kỹ thuật SDN/Openflow trong phòng chống tấn công DDoS 72

3.3 Đề xuất kiến trúc mạng SDN/Openflow mở rộng trên cơ sở bổ sung bộ phân tích và xử lý lưu lượng SD 73

3.3.1 Kiến trúc tổng quát 74

3.3.2 Điều khiển chuyển tiếp lưu lượng tới SD và xử lý lưu lượng tại SD 75

3.4 Giải pháp phân loại và giảm thiểu tấn công DDoS dựa trên kiến trúc SDN/Openflow mở rộng và thuật toán logic mờ 76

3.4.1 Đặt vấn đề 76

3.4.2 Phân tích đặc tính lưu lượng tấn công DDoS để chọn tham số phân loại lưu lượng 76

3.4.3 Cấu trúc hệ thống 79

3.4.4 Xác định trạng thái của máy chủ 79

3.4.5 Chuyển tiếp gói tin giữa các thực thể trong hệ thống 81

3.4.6 Phân loại lưu lượng và giảm thiểu tấn công DDoS dựa trên thuật toán suy luận logic mờ FDDoM 83

3.4.7 Đánh giá hiệu năng của giải pháp 87

3.5 Phát hiện và giảm thiểu tấn công SYN Flood tới mạng SDN/Openflow sử dụng cơ chế ủy nhiệm gói tin SYN tại bộ phân tích và xử lý lưu lượng 91

3.5.1 Đặt vấn đề 91

3.5.2 Cấu trúc hệ thống 92

3.5.3 Hoạt động của hệ thống 92

3.5.4 Phân tích và đánh giá hiệu năng 98

3.6 Kết luận chương 104

KẾT LUẬN 106

DANH MỤC CÁC CÔNG TRÌNH ĐÃ CÔNG BỐ CỦA LUẬN ÁN 108

TÀI LIỆU THAM KHẢO 109

DANH MỤC CÁC CHỮ VIẾT TẮT

ACK_Num Acknowledgement Number Số hiệu xác nhận

API Application Programming Interface Giao diện chương trình ứng dụng ART Average Retrieve Time Thời gian kết nối trung bình

ATM Asynchronous Transfer Mode Truyền dữ liệu cận đồng bộ

CDF Cumulative Distribution Function Hàm phân phối tích lũy

CliACK Client ACK Gói tin xác nhận kết nối từ client

CM Connection Migration Di trú kết nối

DDoS Distributed Denial of Service Tấn công từ chối dịch vụ phân tán DFM Deterministic Flow Marking Kỹ thuật đánh dấu gói tin theo luồng DoS Denial of Service Tấn công từ chối dịch vụ

DPM Deterministic Packet Marking Kỹ thuật đánh dấu xác định

DPPM Dynamic Probabilistic Packet Marking Kỹ thuật đánh dấu gói tin theo xác suất động

DSCP Dynamic probabilistic packet marking Kỹ thuật đánh dấu gói tin theo xác suất động

FDDoM Fuzzy Logic-based DDoS Mitigation Phát hiện và giảm thiểu tấn công DDoS dựa trên thuật toán logic mờ FIS Fuzzy Inference System Hệ suy luận mờ

FTP File Transfer Protocol Giao thức truyền tệp tin

FMT Flow Monitoring Table Bảng giám sát luồng

HOC Half Open Connection Kết nối dang dở

3HS Three ways Handshake Bắt tay ba bước

HTTP HyperText Transfer Protocol Giao thức truyền tải siêu văn bản IAT Inter Arrival Time Khoảng thời gian liên gói tin

ICMP Internet Control Message Protocol Giao thức thông báo điều khiển Internet IDS Intrusion Detection System Hệ thống phát hiện xâm nhập

IoTs Internet of Things Mạng kết nối vạn vật

IPS Intrusion Prevention System Hệ thống chống xâm nhập

ISP Internet Service Provider Nhà cung cấp dịch vụ Internet

IRC Internet Relay Chat Dịch vụ chat Internet

MPR Marked Packet Rate Tỷ lệ gói tin bị đánh dấu

MSR Marked Size Rate Tỷ lệ dung lượng gói tin bị đánh dấu

MTU Maxium Transmission Unit Ngưỡng kích thước đơn vị truyền NFV Network Functions Virtualization Ảo hóa chức năng mạng

NTP Network Time Protocol Giao thức đồng bộ thời gian mạng

ONF Open Networking Foudation Tổ chức chuẩn hóa mạng mở

PLA DFM Packet Length Adaptive Deterministic Flow Marking Đánh dấu gói tin xác định theo luồng có sự tương thích chiều dài gói PpF Packet number per Flow Số gói tin trong một luồng

PPM Probabilistic Packet Marking Đánh dấu gói tin theo xác suất

REST API Representational State Transfer API Giao diện trao đổi dựa vào biến trạng thái

SAN Source Address Number Số địa chỉ IP nguồn

SCR Successful Connection Rate Tỷ lệ kết nối thành công

SDH Synchronous Digital Hierarchy Hệ thống phân cấp đồng bộ

SDN Software Defined Networking Kỹ thuật mạng cấu hình bởi phần mềm

SFD SYN Flood Detection Phát hiện tấn công SYN Flood

SMR Successful Mark Rate Tỷ lệ đánh dấu thành công

SOM Self Organinzing Map Bản đồ tự tổ chức

SOHO Small Office/Home Office Văn phòng, cơ quan nhỏ

SONET Synchronous Optical NETwork Mạng quang đồng bộ

SPA Source-port number Per Address Số cổng nguồn trên một địa chỉ nguồn

SSDP Simple Service Discovery Protocol Giao thức phát hiện dịch vụ đơn giản SSG SDN-based SYN Flood Guard Chống tấn công SYN Flood dựa vào công nghệ SDN SSP SDN based SYN Proxy Ủy nhiệm gói tin SYN dựa vào công nghệ SDN SSL Secure Sockets Layer Tiêu chuẩn bảo mật an toàn lớp ứng dụng SVM Support Vector Machine Máy vec-tơ hỗ trợ

SYN-ACK SYNchronize ACKnowledgement Gói tin trả lời yêu cầu kết nối

TCB Transmission Control Block Khối điều khiển truyền

TCP Transmission Control Protocol Giao thức điều khiển truyền

TLS Transport Layer Security Bảo mật tầng truyền tải

TRW-CB TRW-Credit Based Thăm dò ngưỡng theo độ tin cậy UDP User Datagram Protocol Giao thức truyền gói dữ liệu người dùng VLAN Virtual Local Area Network Mạng LAN ảo

VPN Virtual Private Network Mạng riêng ảo

WMA Weighted Moving Average Mô hình trung bình động có trọng số

DANH MỤC HÌNH VẼ

Hình 1.1 Lưu lượng tấn công DDoS được huy động từ nhiều nguồn trên Internet 2

Hình 1.2 Phân loại các kỹ thuật tấn công DDoS 3

Hình 1.3 Quá trình bắt tay ba bước trong kết nối TCP (a) và cơ chế tấn công TCP SYN Flood (b) 4

Hình 1.4 Kiến trúc mạng cấu hình bởi phần mềm SDN 11

Hình 1.5 Cấu trúc và phạm vi chuẩn hóa của giao thức Openflow 13

Hình 1.6 Cấu trúc của một mục luồng 15

Hình 1.7 Quá trình xử lý gói tin tại bộ chuyển mạch theo cơ chế đường ống 16

Hình 1.8 Yêu cầu xử lý gói tin khi không khớp với một mục luồng có sẵn trên bộ chuyển mạch 17

Hình 1.9 Cấu trúc chung hệ thống giải pháp phòng chống tấn công DDoS dựa trên kỹ thuật SDN/Openflow 19

Hình 1.10 Các phương pháp tấn công tới lớp Hạ tầng mạng 24

Hình 1.11 Các phương pháp tấn công tới Lớp điều khiển 24

Hình 1.12 Các phương pháp tấn công tới Lớp Ứng dụng 24

Hình 1.13 Quá trình xử lý gói tin của một kết nối TCP trong cơ chế CM 26

Hình 2.1 Kiến trúc hệ thống đề xuất cho giải pháp dựa trên phương pháp thống kê sử dụng giải thuật dự đoán làm trơn hàm mũ 30

Hình 2.2 Sơ đồ chuyển tiếp trạng thái của hệ thống cho một máy chủ/dịch vụ 31

Hình 2.3 Mô hình phát hiện và phân loại lưu lượng tấn công 35

Hình 2.4 Giá trị chỉ số SPA (a) và DSPA (b) 39

Hình 2.5 Giá trị chỉ số PpF và DPpF 39

Hình 2.6 Kiến trúc hệ thống giải pháp Ủy nhiệm gói tin SYN trên Bộ điều khiển SSP 43

Hình 2.7 Nguyên lý hoạt động của hai loại SYN proxy 44

Hình 2.8 Quá trình xử lý yêu cầu kết nối của một gói tin SYN trong giải pháp SSP 45

Hình 2.9 Lưu đồ quá trình capture và xử lý các gói tin bắt tay ba bước tại OFS 46

Hình 2.10 Lưu đồ hoạt động của mô đun SPM tại bộ điều khiển 48

Hình 2.11 Thống kê CDF khoảng thời gian giữa gói tin SYN và gói tin CliACK của lưu lượng mạng thực tế 50

Hình 2.12 Hiệu chỉnh thời gian chờ của các luồng 50

Hình 2.13 Sơ đồ chuyển tiếp chính sách xử lý gói tin SYN tại bộ chuyển mạch 51

Hình 2.14 Mô hình testbed đánh giá hiệu năng giải pháp SSP 52

Hình 2.15 Tỷ lệ kết nối thành công từ lưu lượng lành tính khi máy chủ chịu tấn công DDoS với cường độ tấn công khác nhau 53

Hình 2.16 Thời gian kết nối trung bình của lưu lượng lành tính khi máy chủ chịu tấn công với cường độ tấn công khác nhau 53

Hình 2.17 Số kết nối đang mở tại máy chủ với các cường độ tấn công khác nhau 54

Hình 2.18 Giao diện màn hình đo sự chiếm dụng tài nguyên Bộ điều khiển ở tốc độ tấn công 700 pps 57

Hình 2.19 Tỷ lệ chiếm dụng CPU của bộ điều khiển tại các cường độ tấn công khác nhau 57

Hình 2.20 Dung lượng bộ nhớ bị chiếm dụng của bộ điều khiển ở cường độ tấn công khác nhau 57

Hình 2.21 Phân bố số lượng gói tin trên 1 luồng từ bộ dữ liệu CAIDA 61

Hình 2.22 Cấu trúc hệ thống giải pháp đánh dấu gói tin PLA DFM dựa trên kiến trúc SDN/Openflow 62

Hình 2.23 Phân bố chiều dài của gói tin thứ nhất từ bộ dữ liệu CAIDA 63

Hình 2.24 Đánh dấu gói tin PLA DFM 63

Hình 2.25 Quá trình đánh dấu gói tin PLA DFM tại Bộ điều khiển mạng SDN/Openflow 66

Hình 2.26 So sánh tác động của PLA DFM tới tiêu đề gói tin đầu tiên của luồng 67

Hình 2.27 SMR của PLA DFM và DFM khi MT=288 68

Hình 2.28 MPR của PLA DFM và DFM khi MT=288 68

Hình 2.29 MSR của PLA DFM và DFM khi MT=288 69

Hình 3.1 Kiến trúc giải pháp bổ sung bộ phân tích và xử lý lưu lượng dựa trên cơ chế SDN/Openflow 74

Hình 3.2 Biểu đồ phân bố IAT của lưu lượng đến 77

Hình 3.3 Phân bố số lượng gói trong từng luồng 78

Hình 3.4 Kiến trúc hệ thống đề xuất cho giải pháp phân loại và giảm thiểu tấn công dựa trên thuật toán suy luận logic mờ FDDoM 80

Hình 3.5 Sơ đồ tuần tự của hệ thống khi máy chủ ở trạng thái "Không bị tấn công" 82

Hình 3.6 Sơ đồ tuần tự của sự kiện Packet in khi máy chủ ở trạng thái "Nghi ngờ bị tấn công" 83

Hình 3.7 Sơ đồ tuần tự của sự kiện “Kết thúc chu kỳ giám sát” khi máy chủ ở trạng thái "Nghi ngờ bị tấn công" 83

Hình 3.8 Sơ đồ tuần tự của sự kiện Packet in khi máy chủ ở trạng thái "Đang bị tấn công" 84

Hình 3.9 Mờ hoá IAT với hai hàm thành viên Low và High 85

Hình 3.10 Mờ hoá PpF với hai hàm thành viên Low và High 86

Hình 3.11 Giá trị đầu ra của chỉ thị Z của thuật toán FDDoM và độ nhạy lọc bỏ DRF 88

Hình 3.12 Tỷ lệ lọc bỏ nhầm FPRF 88

Hình 3.13 So sánh số mục luồng tồn tại trên bộ chuyển mạch biên OFS 90

Hình 3.14 Cấu trúc chi tiết và tương tác giữa các module chức năng trong giải pháp SSG 93

Hình 3.15 Mô hình thuật toán phát hiện tấn công SYN Flood đề xuất sử dụng trong SSG 93

Hình 3.16 Quá trình capture và điều hướng các gói tin của một kết nối TCP lành tính thông qua các mục luồng trên OFS khi máy chủ nội bộ ở trạng thái “Không bị tấn công” 95

Hình 3.17 Lưu đồ thuật toán quá trình xử lý gói tin SYN đến tại SD 96

Hình 3.18 Lưu đồ thuật toán giám sát quá trình bắt tay ba bước tại SD 97

Hình 3.19 Sơ đồ tuần tự quá trình xác thực địa chỉ IP nguồn của gói tin SYN bằng RST cookie 98

Hình 3.20 Cấu trúc testbed thử nghiệm và đánh giá giải pháp SSG 98

Hình 3.21 So sánh tỷ lệ kết nối thành công và thời gian kết nối trung bình giữa Openflow, cơ chế CM và giải pháp SSG 99

Hình 3.22 Sự chiếm dụng tài nguyên bộ nhớ và tài nguyên CPU trên OFS và SD của các giải pháp thử nghiệm 101

Hình 3.23 Sự tương tác giữa các thực thể của SSG trong quá trình xử lý gói tin bắt tay ba bước của một kết nối lành tính 102

Hình 3.24 Sự tương tác giữa các thực thể trong quá trình xử lý gói tin SYN giả mạo địa chỉ IP của cơ chế CM và giải pháp SSG 103

Hình 3.25 Mức độ gia tăng lưu lượng trên giao diện bộ chuyển mạch của giải pháp SSG so với cơ chế CM 103

DANH MỤC CÁC BẢNG BIỂU

Bảng 1.1 Quan hệ giữa kết quả phân loại của giải pháp và đặc tính thực của lưu lượng 8

Bảng 1.2 So sánh các kỹ thuật phát hiện và giảm thiểu tấn công DDoS tới kiến trúc mạng SDN/Openflow theo chính sách và quy tắc xử lý gói tin 25

Bảng 2.1 Các tham số thống kê sử dụng để phát hiện và phân loại lưu lượng tấn công DDoS 32

Bảng 2.2 Thuật toán phát hiện tấn công 35

Bảng 2.3 Thuật toán phân loại lưu lượng tấn công 36

Bảng 2.4 Thuật toán Lọc bỏ lưu lượng tấn công 37

Bảng 2.5 Độ nhạy và tỷ lệ báo động nhầm trong phân loại lưu lượng và giảm thiểu tấn công 40

Bảng 2.6 Ví dụ về cấu trúc và sắp xếp các mục luồng trong bảng luồng của SSP 47

Bảng 2.7 Cấu trúc bảng giám sát luồng FMT 48

Bảng 2.8 Tham số và kết quả phân tích lưu lượng lành tính từ bộ dữ liệu CAIDA 2013 56

Bảng 2.9 Các trường và số lượng gói tin yêu cầu trong mỗi luồng để đánh dấu trong DFM 60 Bảng 2.10 Một số giá trị MTU của các loại đường truyền phổ biến và giá trị MT tương ứng 64 Bảng 2.11 Kỹ thuật PLA DFM với tuỳ biến giá trị Checksum 65

Bảng 2.12 So sánh giữa các PLA DFM khác nhau với các giá trị K và MT 69

Bảng 2.13 Tỷ lệ gia tăng lưu lượng trong PLA DFM 69

Bảng 3.1 Số lượng luồng, số lượng địa chỉ IP nguồn và tổng lưu lượng gửi tới máy chủ của hai bộ dữ liệu CAIDA và Netnam 78

Bảng 3.2 Thuật toán xác định trạng thái của máy chủ 80

Bảng 3.3 Các loại các mục luồng dùng để điều hướng lưu chuyển gói tin trong hệ thống 81

Bảng 3.4 So sánh hiệu năng giải pháp FDDoM với giải pháp và mô hình mạng tương đồng 89 Bảng 3.5 Tổ chức các bảng luồng trên bộ chuyển mạch OFS của SSG 94

Bảng 3.6 Đặc tính các mục luồng trong các bảng luồng FT1 và FT3 thực hiện giám sát quá trình bắt tay ba bước 94

Bảng 3.7 Cấu trúc một mục tin trong danh sách HOCs 97 Bảng 3.8 Đặc tính thống kê của bộ lưu lượng lành tính phân tích từ bộ lưu lượng CAIDA 103

MỞ ĐẦU

1 Tấn công từ chối dịch vụ phân tán và công nghệ SDN

1.1 Tấn công từ chối dịch vụ phân tán

- Trong những năm gần đây, sự phát triển mạnh mẽ của công nghệ thông tin và truyền thông đã cho ra đời hàng loạt các dịch vụ mạng phục vụ hầu khắp các lĩnh vực hoạt động xã hội của con người Các giao dịch, xử lý và trao đổi thông tin, lưu trữ dữ liệu dần chuyển sang thực hiện trực tuyến trên mạng Internet Bên cạnh đó, sự phát triển mạnh mẽ của công nghệ kết nối vạn vật (IoTs) làm cho số lượng và nhu cầu lưu lượng kết nối Internet tăng lên nhanh chóng Vấn đề đảm bảo an toàn, tin cậy cho tổ chức và khai thác các dịch vụ được đặt lên hàng đầu Với cơ chế hình thành dựa trên sự ghép nối của các hệ tự trị (Autonomous System) thiếu sự kiểm soát chung, Internet xuất hiện và ẩn chứa nhiều nguy cơ tấn công gây mất an ninh mạng trong đó có hình thức tấn công từ chối dịch vụ (DoS) [1], tấn công từ chối dịch vụ phân tán (sau đây gọi tắt là tấn công DDoS) [2]–[4] Mặc dù không gây lỗi dữ liệu, tấn công DoS/DDoS

có ảnh hưởng nghiêm trọng đến tính tin cậy, sẵn sàng trong tổ chức và khai thác các dịch vụ trên Internet Với kỹ thuật tấn công đơn giản, công cụ dễ tìm, khả năng phát tán mã độc để huy động nguồn lực tấn công dễ dàng, khó phát hiện và ngăn chặn, tấn công DDoS ngày càng trở nên nguy hiểm, được lợi dụng và phát động tấn công với quy mô ngày càng cao Các báo cáo của các công ty an ninh mạng cho thấy, diễn biến và quy mô các đợt tấn công ngày càng phức tạp [5]–[7] Theo báo cáo của Abor [8], ngày 27/2/2018 trang web lưu trữ mã nguồn GitHub ghi nhận một đợt tấn công DDoS với tốc độ lên tới 1,35 Tbps Qua đó cho thấy, tấn công DDoS vẫn sẽ là nguy cơ an ninh lớn đối với tổ chức và đảm bảo chất lượng dịch vụ Internet trong tương lai

- Sự dịch chuyển và gia tăng nhu cầu làm việc, kinh doanh độc lập và giải trí cá nhân, cùng với sự hỗ trợ mạnh mẽ của các công nghệ truyền dẫn tiên tiến, sự phát triển các dịch vụ nhà thông minh, IoTs,… mạng quy mô nhỏ (SOHO network) ngày càng phát triển và đang là xu thế, chiếm tỷ lệ ngày càng tăng trong kết cấu internet [9]–[11] An ninh mạng nói chung và tấn công DDoS nói riêng là một trong những vấn đề lớn đối với các mạng quy mô nhỏ này do tính

đa dạng, thiếu kiểm soát của các thiết bị, dịch vụ mạng, và sự chú trọng, quan tâm, tính chuyên nghiệp trong thiết kế, quản lý và vận hành mạng [12]–[14]

- Dựa trên công nghệ mạng truyền thống, nhiều giải pháp kỹ thuật nhằm phát hiện, phân loại và ngăn chặn lưu lượng tấn công DDoS đã được đề xuất và triển khai [15]–[18] Cơ chế chung của các giải pháp này là sử dụng các bộ đo, điểm dò (probe), các bộ lấy mẫu và phân tích lưu lượng trên hệ thống mạng để cung cấp thông tin thuộc tính của lưu lượng mạng trên toàn hệ thống Thông tin lưu lượng được chuyển đến và xử lý phân tích nhờ các thuật toán phát hiện bất thường hoặc dựa trên dấu hiệu tấn công để xác định có tấn công xảy ra hay không Khi

có tấn công hệ thống sử dụng các thiết bị an ninh chuyên dụng như tường lửa, IPS để ngăn chặn, xóa bỏ lưu lượng tấn công Một trong những vấn đề tồn tại lớn nhất của công nghệ mạng

truyền thống đó là các thiết bị mạng vốn được phát triển các kỹ thuật xử lý gói tin theo chuẩn riêng bởi các nhà sản xuất khác nhau nên việc cấu hình tự động, thiết lập các tham số để phòng chống DDoS là rất khó khăn Các thao tác xử lý khi tấn công xảy ra chủ yếu thực hiện bằng tay, xóa bỏ, hạn chế lưu lượng bằng các thiết lập ngưỡng giới hạn dẫn tới xóa bỏ nhầm lưu lượng lành tính

- Tấn công DDoS với kỹ thuật huy động nguồn tấn công rất lớn bằng các xác sống (zombies)

và kỹ thuật giả mạo địa chỉ IP nguồn nên có thể tạo ra lưu lượng tấn công tăng đột biến trong khoảng thời gian ngắn, vượt quá khả năng chịu đựng của dịch vụ, máy chủ và hệ thống mạng đích Do cơ chế điều khiển cứng, đóng kín, các thiết bị mạng trong công nghệ mạng truyền thống không thể tham gia ngăn chặn lưu lượng tấn công DDoS một cách tự động, làm cho các giải pháp phòng chống trong mạng có hiệu quả thấp, không có khả năng phân loại và xóa bỏ chính xác theo sự biến động của lưu lượng mạng Các giải pháp phòng chống mới chỉ tập trung phát hiện tấn công, do cơ chế đóng của các thiết bị mạng truyền thống nên chưa có nhiều giải pháp giảm thiểu tấn công trực tuyến

- Tấn công DDoS là tấn công vào năng lực phục vụ của hệ thống mạng Chính vì vậy với mỗi cấu trúc, quy mô, đặc điểm dịch vụ và phương pháp tổ chức dịch vụ mạng khác nhau thì đặc điểm phản ứng lại với lưu lượng tấn công, khả năng chịu đựng tấn công của các hệ thống mạng là khác nhau Không có một giải pháp phòng chống tấn công, tham số hệ thống nào áp dụng chung cho tất cả các loại mạng, các quy mô mạng, các dịch vụ mạng khác nhau Với mỗi

hệ thống mạng cụ thể, người quản trị cần lựa chọn, tích hợp các giải pháp khác nhau, thiết lập tham số phù hợp với những đặc điểm riêng để có hiệu quả phòng chống tối ưu

1.2 Công nghệ SDN và kỹ thuật SDN/Openflow

- Với nhu cầu phát triển mạnh mẽ các dịch vụ mạng Internet, công nghệ điện toán đám mây, tính di động, và nhu cầu thay đổi linh động, mềm dẻo tài nguyên trên hệ thống mạng, công nghệ mạng điều khiển bởi phần mềm (gọi tắt là công nghệ SDN) ra đời trên cơ sở tách rời mặt phẳng điều khiển ra khỏi mặt phẳng dữ liệu, cho phép quản trị, điều khiển, thiết lập các chính sách mạng một cách tập trung trong khi trừu tượng hóa các tài nguyên mạng [19] Trong đó Openflow [20] là một trong những giao thức SDN đầu tiên được tập trung nghiên cứu, phát triển Kỹ thuật mạng SDN dựa trên giao thức Openflow (gọi tắt là kỹ thuật SDN/Openflow) đã nhanh chóng thu hút nghiên cứu và bước đầu được ứng dụng trong các sản phẩm phần cứng, phần mềm thương mại và mã nguồn mở

- Điểm khác biệt quan trọng của kỹ thuật SDN/Openflow so với kỹ thuật mạng truyền thống ở chỗ: (1) các thiết bị mạng quản lý và xử lý lưu lượng theo luồng (flow), (2) khả năng cung cấp dữ liệu thống kê về lưu lượng nhờ các bộ đếm thống kê luồng có trong các bộ chuyển mạch, và (3) khả năng điều khiển xử lý lưu lượng bằng phần mềm được lập trình, tùy biến bởi

bộ điều khiển điều hành mạng Sự khác biệt này cho phép xây dựng các giải pháp quản trị, điều hành mạng quy định và cấu hình chức năng của các thiết bị mạng vật lý, xử lý lưu lượng, v.v… bằng phần mềm Bên cạnh các giải pháp đề xuất về ứng dụng quản trị, tổ chức dịch vụ, nâng

cao hiệu năng hệ thống mạng, SDN/Openflow cũng được nghiên cứu và đề xuất ứng dụng trong nhiều giải pháp an ninh mạng trong đó có các giải pháp phòng chống tấn công DDoS [21]–[26]

2 Những vấn đề còn tồn tại

1 Công nghệ SDN và kỹ thuật SDN/Openflow được đánh giá và kỳ vọng là công nghệ mạng thay thế cho công nghệ, kỹ thuật mạng truyền thống Khác với kỹ thuật mạng truyền thống, kỹ thuật SDN/Openflow có khả năng cung cấp dữ liệu thống kê về lưu lượng và có thể lập trình xử lý lưu lượng theo sự biến thiên của đặc tính ấy Đặc điểm này phù hợp với quy trình phát hiện và giảm thiểu tấn công DDoS Đã có một số công trình nghiên cứu, đề xuất các giải pháp phát hiện và giảm thiểu tấn công DDoS dựa trên dữ liệu thống kê và cơ chế xử lý gói tin của kỹ thuật SDN/Openflow Tuy nhiên, trong các giải pháp đề xuất:

+ Một số giải pháp mới chỉ đưa ra thuật toán phát hiện tấn công, chưa có cơ chế phân loại

và giảm thiểu lưu lượng tấn công [22]

+ Hầu hết mới dừng lại ở ý tưởng giải pháp, thử nghiệm với quy mô thử chức năng, chưa triển khai trên hệ thống thử nghiệm hoặc đo phân tích với lưu lượng thật (như) [22], [27]–[29] + Một số giải pháp tích hợp các chức năng xử lý gói tin tại bộ chuyển mạch làm mất bản chất SDN [28], [29], hoặc cơ chế xử lý gói tin trong SDN/Openflow chưa được ứng dụng [21], [25], [26] làm chậm thời gian đáp ứng và hiệu năng hệ thống

Vậy khi kỹ thuật SDN/Openflow được áp dụng rộng rãi trong hệ thống mạng, làm thế nào

để khắc phục các vấn đề trên, nâng cao hiệu năng của các giải pháp phòng chống tấn công DDoS sử dụng trực tiếp dữ liệu thống kê về lưu lượng và cơ chế xử lý gói tin của kỹ thuật SDN/Openflow để có thể áp dụng cho các mạng quy mô nhỏ như các mạng gia đình đang thiếu

cơ chế đảm bảo an toàn như hiện nay mà không cần bổ sung các thiết bị an ninh chuyên dụng?

2 Các trường thông tin thống kê được quy định trong giao thức Openflow là hạn chế nên

dữ liệu thống kê về lưu lượng theo kỹ thuật SDN/Openflow cũng sẽ bị giới hạn [20] Bên cạnh

đó, theo triết lý SDN, giao diện Openflow vốn được sử dụng cho trao đổi thông tin điều khiển,

có mã hóa Các giải pháp phòng chống tấn công DDoS thực hiện truy vấn dữ liệu thống kê từ lớp điều khiển tới lớp hạ tầng mạng thông qua giao thức Openflow làm cho lưu lượng trên giao diện này tăng lên, nhất là khi tấn công DDoS xảy ra [30] Điều này làm cho các giải pháp phòng chống tấn công DDoS sử dụng thuần túy dữ liệu thống kê và cơ chế xử lý gói tin của SDN/Openflow chỉ có thể áp dụng trong mạng quy mô lưu lượng nhỏ như mạng gia đình Khắc phục vấn đề này, một số giải pháp phòng chống tấn công cho mạng doanh nghiệp có quy mô băng thông cao hơn đề xuất sử dụng các bộ phân tích lưu lượng truyền thống như Snort [25], sFlow [21], [26] thay vì sử dụng dữ liệu thống kê của SDN/Openflow Nhược điểm cơ bản của các giải pháp này bao gồm:

+ Các bộ phân tích lưu lượng chỉ thuần túy cung cấp thông tin đặc tính lưu lượng Bộ phân tích lưu lượng hoạt động độc lập, không có sự điều khiển theo trạng thái của hệ thống mạng, chưa tận dụng được cơ chế điều khiển và xử lý gói tin trong SDN

+ Việc xóa bỏ lưu lượng, giảm thiểu tấn công vẫn được thực hiện qua giao thức Openflow làm chậm thời gian đáp ứng của hệ thống, sử dụng nhiều tài nguyên (các mục luồng) trên các

bộ chuyển mạch

Trong bối cảnh như vậy, bằng cơ chế và kỹ thuật SDN/Openflow làm thế nào để điều khiển hoạt động của các bộ phân tích lưu lượng, sử dụng thông tin cung cấp bởi các bộ phân tích lưu lượng để nâng cao hiệu năng phát hiện và giảm thiểu tấn công của các giải pháp?

3 Mục tiêu, đối tượng và phạm vi nghiên cứu

a) Mục tiêu nghiên cứu:

Nghiên cứu đề xuất được các giải pháp phòng chống tấn công DDoS dựa trên kỹ thuật SDN/Openflow áp dụng cho mạng SDN quy mô nhỏ trong các bối cảnh khác nhau

b) Nội dung nghiên cứu:

Để giải quyết các vấn đề tồn tại, với mục tiêu nghiên cứu như trên, nội dung nghiên cứu của Luận án bao gồm:

• Nghiên cứu sự khác biệt đặc tính lưu lượng tấn công DDoS so với lưu lượng lành tính để lựa chọn các tham số, đề xuất thuật toán phù hợp với bối cảnh SDN/Openflow nhằm nâng cao hiệu năng phát hiện và phân loại tấn công DDoS

• Dựa trên cơ chế xử lý gói tin của kỹ thuật SDN/Openflow, đề xuất cơ chế trao đổi

dữ liệu, tương tác giữa các thực thể trong mạng SDN/Openflow để áp dụng mô hình, thuật toán, phát triển thành giải pháp phòng chống tấn công DDoS trong hai bối cảnh: (1) thuần túy sử dụng dữ liệu thống kê của SDN/Openflow và (2) sử dụng

dữ liệu thống kê SDN/Openfow kết hợp với bộ phân tích và xử lý lưu lượng

• Nghiên cứu những nguy cơ tấn công DDoS tới chính các thành phần của mạng SDN/Openflow và đề xuất giải pháp phát hiện, giảm thiểu tấn công

c) Đối tượng nghiên cứu:

• Công nghệ SDN, kỹ thuật SDN/Openflow

• Các phương thức, kỹ thuật tấn công DDoS phổ biến trong kỹ thuật mạng truyền thống và mạng SDN/Openflow

• Các giải pháp phòng chống DDoS dựa trên kỹ thuật mạng truyền thống và kỹ thuật SDN/Openflow đã được đề xuất

• Các bộ dữ liệu lưu lượng lành tính và tấn công DDoS

c) Phương pháp và phạm vi nghiên cứu:

- Phương pháp nghiên cứu của luận án bao gồm nghiên cứu lý thuyết; phân tích thống kê; xây dựng mô hình, giải pháp; lựa chọn và phát triển thuật toán; phân tích dữ liệu mô phỏng hoặc xây dựng hệ thống thử nghiệm, đo lường, đánh giá và so sánh

- Phạm vi nghiên cứu tập trung vào:

• Đề xuất các giải pháp phòng chống DDoS bảo vệ các máy chủ trong hệ thống mạng quy mô nhỏ và vừa như văn phòng, cơ quan nhỏ (SOHO),

• Áp dụng thuần túy kỹ thuật SDN/Openflow

4 Cấu trúc nội dung của luận án

Cấu trúc của luận án gồm có 03 chương với các nội dung được tóm tắt như sau:

Chương 1 Tấn công DDoS và các giải pháp phòng chống trong mạng SDN/Openflow: trình bày tổng quan về tấn công DDoS, phân loại tấn công, các kỹ thuật tấn

công và các giải pháp phòng chống DDoS dựa trên công nghệ mạng truyền thống; các yêu cầu, thách thức trong phòng chống tấn công và các tham số đánh giá hiệu năng của một giải pháp phòng chống DDoS; vấn đề an ninh mạng, tấn công DDoS trong mạng SOHO Nội dung của chương cũng đề cập đến nguyên lý, đặc điểm kỹ thuật mạng cấu hình bởi phần mềm SDN, giao thức Openflow; các giải pháp phòng chống DDoS dựa trên kiến trúc và kỹ thuật SDN/Openflow; tấn công DDoS tới mạng SDN/Openflow và các giải pháp phòng chống đã được đề xuất

Chương 2 Đề xuất giải pháp phòng chống tấn công DDoS dựa trên dữ liệu thống kê

và cơ chế xử lý gói tin của kỹ thuật SDN/Openflow: Nội dung Chương 2 đề xuất các giải

pháp phòng chống tấn công DDoS trong mạng SDN với quy mô băng thông nhỏ sử dụng thuần túy dữ liệu thống kê về đặc tính lưu lượng và cơ chế xử lý gói tin của kỹ thuật SDN/Openflow

Có thể triển khai các giải pháp này chỉ cần tạo các ứng dụng quản trị mạng tại lớp ứng dụng của SDN mà không cần bổ sung thêm thiết bị chuyên dụng Các giải pháp cụ thể bao gồm:

- Kỹ thuật phát hiện và giảm thiểu tấn công DDoS dựa trên mô hình dự đoán làm trơn hàm mũ các tham số thống kê về đặc tính lưu lượng,

- Kỹ thuật phát hiện và ngăn chặn tấn công SYN Flood tới các máy chủ trong hệ thống mạng dựa trên cơ chế ủy nhiệm gói tin SYN tại bộ điều khiển,

- Kỹ thuật đánh dấu gói tin dựa trên kỹ thuật SDN/Openflow phục vụ truy vết nguồn phát sinh lưu lượng tấn công

Chương 3 Đề xuất giải pháp phòng chống tấn công DDoS dựa trên kỹ thuật SDN/Openflow sử dụng thêm bộ phân tích và xử lý lưu lượng: Mặc dù SDN/Openflow có

nhiều lợi thế cho xây dựng và triển khai các giải pháp phòng chống DDoS, kiến trúc này cũng chưa có khả năng cung cấp đầy đủ thông tin về đặc tính lưu lượng cho phát hiện, phân loại và giảm thiểu tấn công Bên cạnh đó, việc truy vấn dữ liệu thống kê qua giao diện Openflow làm cho lưu lượng trên giao diện điều khiển này tăng lên, dễ trở nên tắc nghẽn và làm mất, suy giảm chức năng điều khiển, nhất là khi tấn công xảy ra Điều này giới hạn quy mô băng thông của hệ thống mạng Để khắc phục vấn đề này, nội dung Chương 3 đề xuất kiến trúc SDN mở rộng trong đó bổ sung bộ phân tích và xử lý lưu lượng được điều khiển hoạt động và tương tác với các thực thể khác theo cơ chế, kỹ thuật SDN/Openflow Trên cơ sở ứng dụng kiến trúc SDN

mở rộng, đề xuất 02 giải pháp phòng chống DDoS bao gồm:

- Kỹ thuật phân loại và giảm thiểu tấn công DDoS dựa trên thuật toán logic mờ,

- Kỹ thuật giảm thiểu tấn công SYN Flood vào bộ chuyển mạch và bộ điều khiển trong mạng SDN/Openflow sử dụng cơ chế ủy nhiệm gói tin SYN tại bộ phân tích và xử lý lưu lượng

5 Các đóng góp khoa học của luận án

Luận án đã thực hiện 02 đóng góp khoa học sau đây:

1 Đề xuất kỹ thuật phát hiện và giảm thiểu tấn công DDoS bằng mô hình dự đoán làm trơn hàm mũ với các tham số thống kê lưu lượng; kỹ thuật đánh dấu gói tin phục vụ truy vết nguồn phát sinh lưu lượng tấn công; và kỹ thuật giảm thiểu tấn công SYN Flood bằng cơ chế ủy nhiệm gói tin SYN sử dụng công nghệ SDN

2 Đề xuất kiến trúc SDN/Openflow mở rộng với bộ phân tích và xử lý lưu lượng để nâng cao hiệu quả phát hiện và giảm thiểu tấn công DDoS

CHƯƠNG 1 TẤN CÔNG DDOS VÀ CÁC GIẢI PHÁP PHÒNG CHỐNG

TRONG MẠNG SDN/OPENFLOW

1.1 Giới thiệu chương

Chương 1 trình bày tổng quan về tấn công DDoS; phân loại các hình thức tấn công, các giải pháp phòng chống DDoS dựa trên công nghệ mạng truyền thống; các tham số, tiêu chí đánh giá một giải pháp phòng chống DDoS và những yêu cầu, thách thức đối với các giải pháp phòng chống DDoS hiện nay Phần tiếp theo nội dung của chương giới thiệu về kiến trúc, kỹ thuật mạng cấu hình bởi phần mềm SDN, cấu trúc và phạm vi chuẩn hóa của giao thức Openflow, các vấn đề kỹ thuật cơ bản trong Openflow bao gồm phạm vi chuẩn hóa, các bản tin trao đổi giữa các thực thể, quy tắc nhận dạng luồng và xử lý gói tin… Nội dung tiếp theo của chương trình bày kết quả khảo sát các giải pháp, các kỹ thuật phát hiện, ngăn chặn, giảm thiểu tấn công DDoS dựa trên kỹ thuật SDN/Openflow Phần cuối của chương đề cập đến các nguy

cơ tấn công DDoS vào kiến trúc, kỹ thuật SDN/Openflow và nghiên cứu, khảo sát các giải pháp phòng chống tương ứng

1.2 Tổng quan về tấn công DDoS

Tấn công từ chối dịch vụ (DoS) [31] là dạng tấn công nhằm ngăn chặn người dùng hợp pháp truy nhập tới dịch vụ, tài nguyên mạng làm cho hệ thống mạng không thể sử dụng, bị gián đoạn, hoặc chậm đi một cách đáng kể bằng cách làm quá tải tài nguyên của hệ thống

Đối tượng tấn công của DoS [1], [32], [33] có thể là:

• Một ứng dụng, một dịch vụ

• Một máy chủ, máy tính có địa chỉ cụ thể

• Toàn bộ hệ thống mạng trong một phạm vi cụ thể

Mục tiêu cụ thể tấn công DoS bao gồm:

• Nhằm tiêu tốn tài nguyên tính toán trên hệ thống của đối tượng tấn công như băng thông, dung lượng đĩa cứng hoặc thời gian xử lý

• Cô lập, cách ly đối tượng tấn công với các người dùng bằng các kỹ thuật như phá

vỡ các thông tin cấu hình, thông tin định tuyến; phá vỡ các trạng thái kết nối mạng; phá vỡ các thành phần vật lý của hệ thống mạng; làm tắc nghẽn kênh truyền… Các phương pháp tấn công DoS có thể là:

• Thao tác phần cứng: Kẻ tấn công tìm cách phá hủy, gây lỗi thiết bị phần cứng, gây nhiễu hệ thống

• Kỹ thuật lưu lượng: Kẻ tấn công phát đi lưu lượng làm lụt hệ thống đích hoặc làm lỗi các giao thức truyền thông trên hệ thống mạng Đây là kỹ thuật phổ biến nhất do tính chất đơn giản, khó bị phát hiện

• Chiếm đoạt quyền điều khiển: Kẻ tấn công tìm cách chiếm quyền điều khiển máy chủ, thiết bị mạng sau đó tắt máy chủ, dịch vụ hoặc cấu hình giới hạn khả năng phục

vụ của dịch vụ, thay đổi bảng định tuyến trên thiết bị mạng để cách ly lưu lượng người dùng hợp pháp với máy chủ

Tấn công DDoS

Tấn công từ chối dịch vụ phân tán (DDoS) [3], [15], [34] là dạng phát triển ở mức độ cao của tấn công DoS sử dụng kỹ thuật lưu lượng trong đó lưu lượng tấn công được huy động cùng một lúc từ rất nhiều máy tính khác nhau trên hệ thống mạng Hình 1.1

Hình 1.1 Lưu lượng tấn công DDoS được huy động từ nhiều nguồn trên Internet

1.2.2 Phân loại tấn công DDoS

Tấn công DDoS có thể được phân loại theo nhiều cách khác nhau [2], [3], [32], [33], [35], [36] Dưới đây là một số cách phân loại cơ bản

Phân loại theo kỹ thuật tấn công:

Theo cách phân loại này [2], [3], [35], tấn công DDoS được phân thành 3 nhóm chính được thể hiện như trong sơ đồ Hình 1.2

• Tấn công dựa vào dung lượng lưu lượng: Nhóm này bao gồm 2 kỹ thuật chính:

- Làm lụt (flooding): Kẻ tấn công cố gắng ngăn chặn các kết nối từ người dùng hợp pháp bằng cách tạo ra một lưu lượng khổng lồ tới mục tiêu tấn công làm cạn kiệt tài nguyên băng thông Kỹ thuật này thường dựa trên các giao thức mạng lớp 4 như UDP flood,

ICMP flood Kẻ tấn công cũng có thể khai thác các điểm yếu của các phần mềm, dịch vụ ứng dụng hoặc tạo nhiều kết nối giả mạo, không có mục đích nhằm ngăn chặn các kết nối lành tính Dạng phổ biến của tấn công loại này là HTTP Flood với hàng triệu kết nối không mục đích được gửi đến máy chủ Kẻ tấn công sử dụng kỹ thuật thăm dò năng lực phục vụ của máy chủ và điều chỉnh tốc độ tấn công tạo nên hình thức tấn công dai dẳng làm suy giảm năng lực máy chủ như tấn công Slowloris [37] Theo báo cáo an ninh mạng thường niên của Abor Networks năm 2018 [38], loại tấn công này chiếm tới 75,7% các cuộc tấn công

Hình 1.2 Phân loại các kỹ thuật tấn công DDoS

- Khuếch đại: Kỹ thuật tấn công này lợi dụng giao thức trao đổi gói tin yêu cầu/trả lời (request/response) và khả năng giả mạo địa chỉ nguồn trong mạng IP Hàng loạt yêu cầu giả mạo địa chỉ nguồn bằng địa chỉ của nạn nhân được gửi tới các máy chủ đồng thời Giao thức trao đổi yêu cầu/trả lời có đặc tính lưu lượng yêu cầu nhỏ nhưng bản tin trả lời lớn sẽ gửi ồ ạt các bản tin trả lời tới máy nạn nhân cùng lúc làm cho lưu lượng tới máy nạn nhân tăng đột biến, gây quá tải Các dịch vụ thường được lợi dụng cho tấn công dạng này bao gồm máy chủ DNS, NTP, IRC,… Ngoài ra, cơ chế trao đổi gói tin quảng bá, phản xạ trong hệ thống mạng cũng được lợi dụng như Smurf, Fraggle [33]

• Tấn công dựa vào lỗ hổng giao thức truyền thông mạng: Các lỗ hổng an ninh cố hữu

của các giao thức mạng được lợi dụng để phát động tấn công theo dạng này như cơ chế bắt tay

ba bước (gọi tắt là 3HS) trong giao thức TCP [39], giao thức ICMP,… Ví dụ đối với tấn công TCP SYN Flood [18], [40], theo giao thức TCP, khi nhận được một gói tin SYN, máy chủ (server) sẽ gửi gói tin trả lời SYN-ACK và dành ra một vùng nhớ TCB 128 KB để lưu trữ thông tin kết nối và chờ gói tin xác nhận CliACK từ máy khách (client) trong một khoảng thời gian (lên đến 75s) trước khi gửi gói tin trả lời SYN-ACK (Hình 1.3 a) Lợi dụng nguyên tắc này, kẻ tấn công huy động gửi ồ ạt các gói tin SYN tới máy chủ mà không gửi gói tin xác nhận CliACK dẫn đến máy chủ nhanh chóng bị cạn kiệt tài nguyên do dành hết bộ nhớ cho các TCB tương ứng với các kết nối dang dở (gọi tắt là HOC) và không thể phục vụ các kết nối lành tính khác (Hình 1.3 b)

Hình 1.3 Quá trình bắt tay ba bước trong kết nối TCP (a) và cơ chế tấn công TCP SYN Flood (b)

Phân loại theo phương thức huy động nguồn tấn công

Nguồn tấn công là yếu tố quan trọng trong tổ chức tấn công DDoS Trong một đợt tấn công DDoS, kẻ tấn công thường huy động nguồn lực tấn công từ nhiều nguồn nhằm tạo ra lưu lượng tấn công lớn vượt quá khả năng phục vụ của hệ thống đồng thời che dấu được nơi phát lưu lượng tấn công Các phương thức huy động nguồn tấn công bao gồm:

• Giả mạo địa chỉ nguồn: Lợi dụng đặc điểm tự trị của mạng Internet trong đó không có

cơ chế xác thực địa chỉ nguồn của gói tin IP, kẻ tấn công phát đi lưu lượng trong đó thay đổi địa chỉ IP nguồn của gói tin bằng các địa chỉ IP giả mạo một cách ngẫu nhiên làm cho máy chủ đích không thể biết nguồn phát sinh lưu lượng chính xác, khó phân biệt giữa lưu lượng lành tính và lưu lượng tấn công

• Sử dụng botnet: Botnet là một tập hợp gồm nhiều máy tính trên Internet bị lây nhiễm

bởi các phần mềm độc hại (malware) mà nhờ đó, kẻ tấn công có thể điều khiển các máy tính này thực thi các kết nối tới các máy tính khác trên Internet theo mục đích riêng của chúng mà chủ sở hữu các máy tính này không hay biết [4] Các máy tính trong botnet được gọi là các xác sống Bằng các kỹ thuật phát tán virus, malware, kẻ tấn công tuyển mộ các xác sống trên Internet

và huy động chúng phát sinh lưu lượng trong các đợt tấn công Số lượng các xác sống trong một botnet có thể lên đến hàng triệu nên khi tổ chức tấn công, mặc dù lưu lượng tấn công của mỗi xác sống là rất nhỏ, chúng tạo nên tổng lưu lượng tấn công khổng lồ đủ làm tê liệt hệ thống mạng nạn nhân trong một khoảng thời gian ngắn cỡ vài phút

• Kết hợp sử dụng botnet và giả mạo địa chỉ nguồn: Ở phương thức này, các xác sống

trong botnet phát đi lưu lượng tấn công với địa chỉ IP giả mạo nhằm vô hiệu hóa các phương pháp giảm thiểu tấn công thông thường như lọc địa chỉ IP Chính sự kết hợp phương thức huy động nguồn tấn công này làm cho việc phát hiện và phân loại lưu lượng tấn công, giảm thiểu tấn công DDoS trở nên khó khăn

1.2.3 Các giải pháp phòng chống DDoS dựa trên công nghệ mạng truyền thống

Vị trí triển khai các giải pháp

Do được huy động từ nhiều nguồn khác nhau nên lưu lượng tấn công DDoS có đặc điểm là nhỏ ở phía nguồn phát sinh và rất lớn ở phía mạng nạn nhân Đặc điểm này dẫn đến một thực

tế là tại nguồn phát sinh lưu lượng tấn công, việc áp dụng giải pháp ngăn chặn tấn công thì dễ nhưng lại khó phát hiện tấn công Ngược lại tại mạng nạn nhân, việc phát hiện tấn công dễ hơn trong khi ngăn chặn và giảm thiểu tấn công rất khó thực hiện Do tính nguy hại của tấn công DDoS, trên thực tế, các giải pháp phòng chống DDoS dựa trên công nghệ mạng truyền thống được triển khai trên cả mạng nguồn phát sinh, mạng trung gian và hệ thống mạng đích

a) Triển khai tại mạng nguồn phát sinh lưu lượng

Các kỹ thuật phát hiện và ngăn chặn trên mạng phát sinh lưu lượng chủ yếu thực hiện tại các bộ định tuyến, các gateway kiểm soát lưu lượng đi ra khỏi hệ thống mạng, trong đó áp dụng các bộ lọc gói tin [41], [42] nhằm ngăn chặn sự giả mạo địa chỉ IP không đúng với địa chỉ của các trạm bên trong hệ thống Một số giải pháp khác thực hiện phân tích và kiểm soát lưu lượng kết nối của các trạm bên trong hệ thống mạng nguồn với Internet nhằm phát hiện các bất thường

và loại bỏ lưu lượng tấn công DDoS [43]–[45] Tuy nhiên do không có sự ràng buộc giữa các

hệ thống tự trị trên Internet nên việc phối hợp triển khai phòng chống DDoS tại mạng nguồn phát sinh trên thực tế có hiệu quả rất thấp

b) Triển khai tại mạng trung gian

Chủ yếu thực hiện tại các bộ định tuyến với các bộ lọc nhằm phát hiện bất thường trong lưu lượng chuyển qua hệ thống mạng [16], [46] Một số giải pháp đề xuất bổ sung chức năng đánh dấu gói tin chuyển qua các bộ định tuyến nhằm hỗ trợ truy vết nguồn phát sinh lưu lượng tấn công không dựa vào trường thông tin địa chỉ IP nguồn của gói tin tấn công [47]–[50] Cũng giống như tại mạng nguồn phát sinh lưu lượng tấn công, các giải pháp áp dụng trên mạng trung gian trên thực tế cũng không mang lại hiệu quả cao

c) Triển khai tại mạng máy chủ đích

Đây là các giải pháp chủ yếu và được áp dụng hầu hết trên các hệ thống mạng tham gia Internet bao gồm triển khai trên máy chủ (host based) và trên các thiết bị mạng (network based) Các giải pháp triển khai trên máy chủ thường áp dụng đối với một số loại tấn công cụ thể như SYN Cookie [51] ngăn chặn tấn công TCP SYN Flood Nhằm tăng độ chính xác trong phát hiện và giảm thiểu tấn công trong hệ thống mạng rộng lớn của một trung tâm dữ liệu hoặc một ISP, các giải pháp phòng chống DDoS được triển khai tại nhiều điểm trong hệ thống để đo lưu lượng (probe) và phát hiện, giảm thiểu tấn công nhờ các thiết bị IDS, IPS, tường lửa (firewall) Các giải pháp triển khai phổ biến tại mạng đích bao gồm:

• Phát hiện tấn công: Áp dụng các thuật toán đối với tham số lưu lượng để xác định có

tấn công xảy ra hay không

• Phân loại và xác định lưu lượng tấn công: Dựa vào đặc tính của từng nhóm lưu lượng

để phân biệt lưu lượng tấn công và lưu lượng lành tính

• Lọc bỏ lưu lượng tấn công: Sử dụng các kỹ thuật lưu lượng để xóa bỏ hoặc cô lập lưu

lượng tấn công, giảm thiểu ảnh hưởng của lưu lượng tấn công tới các máy chủ và hệ thống mạng

• Truy vết lưu lượng tấn công: Khi tấn công đã hoặc đang diễn ra, sử dụng các kỹ thuật

khác nhau để xác định nguồn tấn công hoặc đường đi của lưu lượng tấn công

Các kỹ thuật phát hiện tấn công

Tấn công DDoS được phát hiện theo hai nhóm kỹ thuật: dựa vào dấu hiệu tấn công và dựa vào sự bất thường của lưu lượng:

a) Dựa vào dấu hiệu tấn công

Được áp dụng đối với các phương thức, kỹ thuật tấn công khai thác lỗ hổng của giao thức mạng hoặc lỗ hổng của ứng dụng, dịch vụ mạng Các kỹ thuật phát hiện này phải phân tích sâu nội dung hoặc tiêu đề của gói tin để phát hiện lỗi hoặc sự bất thường Kỹ thuật này đem lại độ chính xác cao, tuy nhiên đòi hỏi tính toán lớn do phải phân tích sâu từng gói tin hoặc so sánh đặc tính lưu lượng với số lượng lớn các mẫu tấn công Ngoài ra kỹ thuật này không thể phát hiện các mẫu tấn công mới

b) Dựa vào sự bất thường của lưu lượng

Các kỹ thuật này được áp dụng phổ biến hơn trong phát hiện tấn công DDoS trong đó một

mô hình đặc tính lưu lượng bình thường được xây dựng và thống kê, cập nhật Đặc tính lưu lượng tức thời chuyển qua hệ thống được so sánh với đặc tính lưu lượng bình thường Tấn công được cho là xảy ra nếu có sự khác biệt lớn giữa đặc tính lưu lượng tức thời với đặc tính lưu lượng bình thường [15] Kỹ thuật này còn được áp dụng để phân loại lưu lượng tấn công với lưu lượng lành tính khi có tấn công xảy ra Sự khác biệt giữa các kỹ thuật phát hiện và phân loại tấn công ở chỗ lựa chọn tham số và mô hình đặc tính lưu lượng Một bộ tham số và mô hình đặc tính lưu lượng phải đảm bảo hai yếu tố [52]:

• Hầu hết các mẫu lưu lượng lành tính phải tuân thủ đặc tính lưu lượng bình thường

• Mẫu lưu lượng tấn công phải có sự khác biệt lớn so với đặc tính lưu lượng bình thường Tuy nhiên, trên thực tế, để xây dựng được bộ tham số và mô hình đặc tính lưu lượng thỏa mãn hai điều kiện trên là rất khó Vì vậy việc phát hiện và phân loại lưu lượng tấn công thường

có một phần lưu lượng tấn công không phát hiện được hoặc phát hiện nhầm lưu lượng lành tính thành lưu lượng tấn công

Các kỹ thuật phát hiện tấn công DDoS bao gồm:

• Sử dụng mô hình thống kê (Statistical): Kỹ thuật này xây dựng mô hình thống kê cho

các tham số lưu lượng của một dịch vụ, máy chủ, hệ thống mạng cụ thể đối với lưu lượng lành tính Một mẫu lưu lượng được trích xuất các tham số và so sánh với mô hình thống kê dựa trên các ngưỡng tham chiếu để xác định là lưu lượng lành tính hay lưu lượng tấn công [53], [54]

• Học máy (Machine learning): Kỹ thuật học máy được áp dụng rộng rãi trong phát hiện

xâm nhập (IDS), tấn công DDoS trong đó phân biệt đặc tính bình thường và đặc tính bất thường của lưu lượng nhờ quá trình học [17], [55] Các phương pháp học máy khác nhau được áp dụng như mạng nơ-ron [56], mạng Bayesian [57], bản đồ tự tổ chức SOM [58],…

• Khai phá dữ liệu (Data mining): Áp dụng tổng hợp các mô hình thống kê, các phương

pháp học máy với bộ lưu lượng ở các quy mô lớn để xây dựng, hệ thống hóa để tạo ra những đặc điểm riêng, những mô hình cho từng dịch vụ, máy chủ từ đó áp dụng để phân biệt lưu lượng tấn công với lưu lượng lành tính với độ chính xác cao Kỹ thuật này đòi hỏi tài nguyên tính toán

và lưu trữ lớn, do đó hiện tại chưa có nhiều mô hình theo kỹ thuật này được đề xuất phát hiện

và phân loại lưu lượng tấn công DDoS trên thực tế

Các kỹ thuật phòng chống và giảm thiểu tấn công

Kỹ thuật phòng chống và giảm thiểu tấn công DDoS dựa trên công nghệ mạng truyền thống được chia làm hai nhóm: triển khai trên các máy chủ (host based) và triển khai trên hệ thống mạng (network based)

• Các giải pháp triển khai trên máy chủ: chủ yếu phòng chống tấn công dựa vào giao

thức và giới hạn kết nối Để ngăn chặn tấn công TCP SYN Flood, một số hệ điều hành như Linux áp dụng kỹ thuật SYN Cookie [51], hệ điều hành Windows cho phép điều chỉnh thời gian chờ TIME_WAIT [18] để hạn chế thời gian tồn tại của các TCB trên máy chủ Để ngăn chặn các kết nối TCP, UDP, IMCP tấn công ồ ạt, một số hệ điều hành cho phép đặt ngưỡng số lượng kết nối [31]

• Các giải pháp triển khai trên hệ thống mạng: Trong công nghệ mạng truyền thống, do

đặc tính đóng kín của các thiết bị mạng, các giải pháp phòng chống DDoS chủ yếu tập trung vào kỹ thuật đặt giới hạn các kết nối và lưu lượng [59] hoặc thao tác bằng tay:

- Căn cứ vào đặc tính lưu lượng và năng lực phục vụ của mỗi máy chủ, các ngưỡng giới hạn lưu lượng hoặc số lượng kết nối đồng thời Khi tấn công xảy ra, lưu lượng thực tế vượt quá ngưỡng giới hạn này, các lưu lượng hoặc kết nối mới sẽ bị xóa bỏ Điều này dẫn tới giảm tỷ lệ thành công của các kết nối lành tính

- Khi có dấu hiệu cảnh báo tấn công xảy ra, các thiết bị mạng đơn thuần như bộ chuyển mạch, bộ định tuyến được cấu hình một cách thủ công để ngăn chặn và giảm thiểu tấn công Đây là nhược điểm cố hữu của công nghệ mạng truyền thống trong phối hợp phát hiện, ngăn chặn và giảm thiểu tấn công Nguyên nhân cơ bản là do các thiết bị mạng được điều khiển, cấu hình độc lập và đóng kín

1.2.4 Yêu cầu và thách thức đối với giải pháp phát hiện và ngăn chặn, giảm

thiểu tấn công DDoS

Một số tham số đánh giá hiệu quả giải pháp

a) Độ nhạy

Trong tấn công DDoS, lưu lượng tấn công đến cùng lúc với lưu lượng lành tính Để có giải pháp chống lại tấn công, hệ thống phải có cơ chế phát hiện Mức độ phát hiện có thể là:

• Phát hiện có tấn công xảy ra hay không đối với một hệ thống/máy chủ hoặc dịch vụ

• Phân loại lưu lượng tấn công ra khỏi lưu lượng lành tính

• Lọc bỏ lưu lượng tấn công để chúng không tới được máy chủ hoặc gây tác hại

Trong quá trình phát hiện, giảm thiểu tấn công tùy theo mức độ chính xác nhận diện lưu lượng của giải pháp, các lưu lượng đến có thể được xác định như trong Bảng 1.1 [3]

Bảng 1.1 Quan hệ giữa kết quả phân loại của giải pháp và đặc tính thực của lưu lượng

Đặc tính thực của lưu lượng Lành tính Tấn công Phân loại của

giải pháp Lành tính Tấn công TN FP FN TP

Theo quan hệ ở Bảng 1.1, độ nhạy (Sensitivity) ký hiệu là DR của giải pháp đánh giá khả năng nhận diện lưu lượng tấn công:

Khi xét khả năng phân loại lưu lượng của một giải pháp, độ nhạy được cụ thể thành độ

nhạy phân loại DRC Khi xét khả năng lọc bỏ lưu lượng tấn công, độ nhạy được cụ thể thành

Khi xét kết quả phân loại lưu lượng của một giải pháp, tỷ lệ báo động nhầm được gọi là tỷ

lệ phân loại báo động nhầm FPRC Khi xét kết quả lọc bỏ lưu lượng tấn công, tỷ lệ này được

gọi là tỷ lệ lọc bỏ nhầm FPRF

c) Thời gian đáp ứng

Tham số thời gian đáp ứng đánh giá về mức độ phản hồi của một giải pháp phòng chống DDoS được tính bằng khoảng thời gian từ lúc lưu lượng tấn công bắt đầu chuyển tới hệ thống mạng/máy chủ đích cho tới khi bắt đầu có kết quả phân loại trạng thái tấn công đầu ra hoặc bắt đầu áp dụng các chính sách ngăn chặn, giảm thiểu tấn công Tùy theo chức năng của giải pháp (phát hiện, phân loại hay ngăn chặn, giảm thiểu tấn công) mà tham số này được tính cụ thể cho từng trường hợp khác nhau

d) Khả năng lọc bỏ

Khả năng lọc bỏ đánh giá mức độ giảm thiểu, loại bỏ tác hại tấn công mà giải pháp phòng chống tấn công đạt được Cần chú ý rằng khả năng lọc bỏ khác với khả năng phát hiện Có nhiều giải pháp phát hiện, phân loại được lưu lượng tấn công nhưng không loại bỏ được ảnh

hưởng của lưu lượng tấn công đã phát hiện Khả năng lọc bỏ cũng có thể được đo bằng tỷ lệ lưu lượng được lọc bỏ trên tổng số lưu lượng tấn công

e) Khả năng chịu đựng tấn công

Năng lực xử lý của mỗi hệ thống/máy chủ là khác nhau tùy theo cấu hình hệ thống, lưu lượng kết nối và chính đặc điểm các dịch vụ trên máy chủ Để tăng cường năng lực cho máy chủ và các dịch vụ chạy trên nó, ngoài việc nâng cao cấu hình, các nhà khai thác dịch vụ cũng

áp dụng các giải pháp phòng chống DDoS Hiệu quả của các giải pháp tổng hợp này thể hiện ở mức chịu đựng tấn công với các tốc độ khác nhau và được thể hiện bằng các tham số cụ thể như số lượng phiên kết nối tối đa trên máy chủ, băng thông tối đa của các kết nối, hoặc thời gian tối đa chịu đựng của máy chủ với một tốc độ lưu lượng tấn công đến cụ thể… Về mặt lý thuyết, các tham số trên có giá trị càng lớn thì sẽ càng tốt vì sẽ giúp cho các giải pháp phòng chống tấn công có nhiều thời gian hơn để phân tích cũng như là đưa ra các chính sách cho hệ thống mạng bị tấn công

Các yêu cầu và thách thức đối với một giải pháp phòng chống DDoS

Theo Bawany [60], một giải pháp phòng chống DDoS hiệu quả phải đảm bảo bởi các yêu cầu cụ thể sau:

• Cơ chế phòng chống DDoS không được làm ảnh hưởng đến sự hoạt động của các người dùng hợp pháp và lưu lượng lành tính của họ

• Cơ chế phát hiện tấn công cần phải có giải pháp ngăn chặn hoặc giảm thiểu tấn công

đi kèm với nó để ngăn chặn tấn công từ cả bên trong và cả bên ngoài

• Cơ chế phòng chống tấn công phải hoạt động trên quy mô tương ứng của hệ thống mạng hoặc trung tâm dữ liệu

• Giải pháp cần phải mềm dẻo, khả năng thích ứng cao với sự thay đổi về quy mô dịch

vụ, quy mô lưu lượng, làm tăng khả năng chịu đựng tấn công của hệ thống mạng

• Giải pháp phải có chi phí triển khai thấp, hạn chế thấp nhất sự gia tăng thiết bị phần cứng, đồng thời sự thay đổi về quy mô không làm tăng tải tính toán và lưu trữ của toàn

• Dịch vụ mạng đang dần chuyển sang xu thế công nghệ đám mây, điều này dẫn đến các máy ảo được triển khai linh động và khắp nơi, điều này đồng nghĩa với nguy cơ tấn công DDoS đối với một hệ thống mạng không chỉ từ bên ngoài mà có thể xuất phát chính từ các máy ảo bên trong

• Các dịch vụ lưu trữ và multimedia với dung lượng lớn ngày càng phát triển đòi hỏi hệ

thống mạng có băng thông lớn, độ tin cậy cao, dẫn đến yêu cầu về hiệu năng và quy

mô mạng lớn Do đó giải pháp phòng chống DDoS cho hệ thống mạng tốc độ lớn trở nên khó khăn

• Để đảm bảo duy trì tỷ lệ báo động nhầm FPR thấp thường kéo theo độ nhạy DR cũng

sẽ thấp Bên cạnh đó, tốc độ dịch vụ mạng ngày càng lớn dẫn đến sự gia tăng của các hình thức tấn công tốc độ thấp và dai dẳng (slowloris) và các phương thức tấn công này dễ dàng vượt qua các giải pháp phát hiện và ngăn chặn

• Quy mô hệ thống mạng Internet ngày càng lớn tạo điều kiện cho các botnet phát triển

cả về số lượng và năng lực của các xác sống Điều này dẫn đến cường độ và quy mô tấn công DDoS ngày càng lớn

Với những yêu cầu, thách thức như trên, tấn công DDoS vẫn là mối quan tâm giải quyết trong các kỹ thuật và kiến trúc mạng thế hệ mới

Mạng quy mô nhỏ và những vấn đề an ninh đối với mạng quy mô nhỏ

Trước đây, các dịch vụ mạng Internet chủ yếu được cung cấp tập trung thông qua các hệ thống máy chủ tại các trung tâm dữ liệu Trong những năm gần đây, với sự phát triển mạnh mẽ của công nghệ truyền dẫn đặc biệt sự phổ biến của công nghệ truyền dẫn quang, cho phép lưu lượng kết nối Internet hai chiều giữa người sử dụng tăng lên đáng kể Bên cạnh đó, sự gia tăng các dịch vụ multimedia, dịch vụ truyền số liệu giữa các thiết bị, hệ thống IoTs trên Internet làm cho mạng quy mô nhỏ (SOHO network) [61] như mạng gia đình, văn phòng cơ quan nhỏ không chỉ đơn thuần là sử dụng dịch vụ Internet mà chuyển sang cung cấp dịch vụ ở quy mô, phạm vi nhỏ Ví dụ: dịch vụ truyền hình ảnh của hệ thống camera giám sát, dịch vụ truyền dữ liệu từ các thiết bị lưu trữ dữ liệu, dịch vụ điều khiển nhà thông minh,… Ngoài ra, xu thế làm việc độc lập (self-employed) ngày càng trở nên phổ biến làm xuất hiện và gia tăng nhu cầu kết nối Internet và cung cấp dịch vụ qua mạng văn phòng nhỏ

Theo Bradley Mitchell [61], mạng quy mô nhỏ được sở hữu và phục vụ nhu cầu làm việc của một nhóm nhỏ người dùng và hình thành bởi mạng LAN kết nối Internet qua một đường truyền với lưu lượng thấp SOHO network thường có kết cấu đa dạng giữa mạng có dây và không dây với các thiết bị, dịch vụ hỗn tạp Khác với sự tổ chức dịch vụ tại các hệ thống máy chủ ở các trung tâm dữ liệu lớn, các dịch vụ từ các mạng SOHO thường ít được chú trọng yếu

tố đảm bảo an ninh, phòng chống tấn công Nguyên nhân cơ bản là do thiếu sự quan tâm đúng mức của người dùng đối với việc tổ chức dịch vụ dữ liệu Các vấn đề về chi phí cũng là yếu tố cản trở khi số lượng dịch vụ và quy mô lưu lượng tại các mạng SOHO thường rất nhỏ, không tương xứng với chi phí cho triển khai các giải pháp đảm bảo an ninh mạng [62]–[64] Điều này dẫn đến các mạng SOHO vừa là mục tiêu của các đợt tấn công mạng nói chung và tấn công DDoS nói riêng, vừa là nơi kẻ tấn công lợi dụng để phát tán mã độc, huy động xác sống để tham gia các hoạt động xâm phạm an ninh mạng, tổ chức tấn công DDoS

1.3 Kỹ thuật mạng cấu hình bởi phần mềm SDN

Trong vài thập niên trở lại đây, sự phát triển bùng nổ của mạng Internet đã làm cho hệ

thống mạng không ngừng lớn mạnh về cả số lượng lẫn quy mô, kiến trúc, cơ sở hạ tầng Đối với các nhà quản lý và khai thác mạng, việc điều hành hệ thống trở nên khó khăn, hiệu năng hoạt động của hệ thống thấp Một trong những nguyên nhân cơ bản là do các bộ định tuyến, chuyển mạch của hệ thống mạng được thiết lập cứng, vốn bị khóa và kiểm soát độc quyền bởi các công ty sản xuất ra chúng Trước thực trạng đó, mặc dù ý tưởng đầu tiên đã xuất hiện từ

năm 1996, khái niệm Kỹ thuật mạng cấu hình bởi phần mềm bắt đầu được quan tâm trở lại từ

cuối năm 2010 và trở thành hướng đi nóng hổi và cấp thiết với mục đích cho phép các đối tác phần mềm thứ 3 có thể truy nhập và thao tác trên mặt phẳng điều khiển của các thiết bị mạng

từ xa, trực tuyến bằng cách sử dụng các giao thức mở, ví dụ Openflow [20] Tổ chức ONF được thành lập đã xây dựng và phát triển chuẩn công nghệ mạng mới gọi là Software Defined Networking (SDN) [19]

Hình 1.4 Kiến trúc mạng cấu hình bởi phần mềm SDN

Đặc trưng cơ bản của SDN là trừu tượng hóa hệ thống mạng thành hai mặt phẳng: mặt phẳng dữ liệu và mặt phẳng điều khiển nhằm tối ưu nhiệm vụ và chức năng của hai thành phần này như mô hình kiến trúc trong Hình 1.4 Theo đó, kiến trúc SDN gồm 3 lớp:

- Lớp hạ tầng mạng (Infrastructure layer): đồng thời là mặt phẳng dữ liệu bao gồm các

thiết bị phần cứng của hệ thống mạng được gọi chung là các bộ chuyển mạch Những bộ chuyển mạch này khác với các bộ chuyển mạch theo công nghệ mạng truyền thống ở chỗ chúng không

có các chức năng điều khiển và chỉ đơn thuần thực hiện chức năng chuyển tiếp hoặc xóa bỏ gói tin đến dựa trên thông tin cấu hình bởi mặt phẳng điều khiển ở phía trên Tùy theo thuật toán điều khiển được xác lập trên mặt phẳng điều khiển mà các bộ chuyển mạch có thể thực hiện các chức năng của các thiết bị khác nhau của công nghệ mạng truyền thống như bộ chuyển mạch lớp 2, bộ chuyển mạch lớp 3, bộ định tuyến, bộ cân bằng tải, v.v…

- Lớp điều khiển (Control layer): nằm phía trên lớp hạ tầng mạng có chức năng trừu tượng

hóa và cung cấp tài nguyên hệ thống mạng từ lớp hạ tầng cho lớp ứng dụng ở phía trên, đồng thời thực thi các chính sách xử lý gói tin từ các phần mềm từ lớp ứng dụng xuống lớp hạ tầng mạng Thành phần chính, quan trọng của lớp điều khiển là bộ điều khiển SDN (SDN

Controller), đóng vai trò như một bộ não, một hệ điều hành hệ thống mạng, duy trì một viewpoint toàn cục, tập trung, quản lý và cung cấp tài nguyên lớp hạ tầng mạng cho phép các ứng dụng ở lớp trên cấu hình và quản lý hệ thống mạng thông qua các giao diện mở Trên thực

tế đã có nhiều sản phẩm bộ điều khiển thương mại [65] hoặc mã nguồn mở [66] Bộ điều khiển tương tác với các bộ chuyển mạch trong lớp hạ tầng mạng thông qua một chuẩn giao thức riêng

- Lớp ứng dụng (Application layer): bao gồm các ứng dụng quản trị, tối ưu hóa và bảo mật

các chính sách xử lý lưu lượng trên hệ thống mạng Các ứng dụng có thể chạy trên máy chủ độc lập kết nối với bộ điều khiển thông qua giao diện API hoặc có thể chạy trực tiếp trên bộ điều khiển tùy theo quy mô của hệ thống mạng và quy mô dữ liệu của ứng dụng Với triết lý quản lý và giám sát tài nguyên mạng tập trung, SDN có thể cung cấp cho các phần mềm ứng dụng toàn bộ thông tin về lớp hạ tầng mạng, trên cơ sở đó, các phầm mềm có thể đưa ra các chính sách áp dụng đồng bộ, thống nhất, tối ưu trên toàn bộ hệ thống mạng

Công nghệ SDN cho phép thực nghiệm nhanh chóng, mềm dẻo và tối ưu hóa các chính sách định tuyến, chuyển mạch; cho phép truy nhập từ bên ngoài vào bên trong các bộ chuyển mạch, định tuyến Trên cơ sở đó, SDN giải quyết nhiều vấn đề công nghệ mạng truyền thống gặp phải như:

- Công nghệ SDN cho phép các nhà mạng xác định dịch vụ mạng mà không cần kết hợp các tham số kỹ thuật của các dịch vụ đó với giao diện mạng Nói cách khác SDN tách riêng việc điều khiển luồng dữ liệu trên hệ thống mạng (thông qua nhận biết, học, tính toán và ra quyết định chuyển gói tin) ra khỏi kiến trúc topology mạng (bao gồm các kết nối phần cứng, các giao diện giữa các thực thể trong mạng) Điều này có ý nghĩa quan trọng, phù hợp với đặc điểm của mạng thế hệ mới với kiến trúc đám mây mềm dẻo, định vị động các tài nguyên mạng, như hệ thống máy tính di động, hệ thống điện toán đám mây,

- Bằng cơ chế kiểm soát, định tuyến mềm dẻo các gói tin, SDN cho phép thực hiện một cách dễ dàng nhiều chức năng khó thực hiện bằng công nghệ mạng truyền thống như logical grouping, điều khiển quyền truy cập, đảm bảo các tham số QoS theo dịch vụ, v.v; đơn giản hóa việc xây dựng, cấu hình và đảm bảo chất lượng VLAN, VPN…

Mặc dù kiến trúc mạng SDN vẫn đang được tiếp tục chuẩn hóa, phát triển, cho đến nay, đã

có nhiều sản phẩm, hệ thống SDN triển khai trong thực tế như hệ thống mạng B4 của Google [67], hệ thống mạng truyền tải của Huawei [68],…

1.4 Giao thức OpenFlow

Một trong các giao thức SDN phổ biến đang được phát triển và đã được tích hợp trong một

số sản phẩm phần cứng đó là Giao thức luồng mở - Openflow [20] Openflow là kết quả nghiên

cứu của Đại học Stanford và California, Berkeley và là chuẩn giao tiếp đầu tiên, cung cấp khả năng giao tiếp giữa mặt phẳng điều khiển và mặt phẳng dữ liệu trong kiến trúc SDN Openflow cho phép các bộ điều khiển mạng truy xuất vào các thiết bị mạng (bao gồm cả thiết bị phần cứng và thiết bị ảo), thực thi các chính sách đối với hệ thống mạng một cách tự động, mềm dẻo

Thông qua Openflow, bộ điều khiển có thể gửi một tập hướng dẫn chung tới bất kỳ một switch hoặc router của bất cứ hãng sản xuất nào hỗ trợ cơ chế Openflow Có thể nói SDN và Openflow

là giải pháp tiềm năng để tự động hóa cấu hình, nâng cấp khả năng đáp ứng của hệ thống mạng, giảm thiểu chi phí quản trị, mở ra nhiều triển vọng cho nghiên cứu phát triển các giải pháp tối

ưu của kỹ thuật mạng, nâng cao chất lượng của các dịch vụ, giải quyết vấn đề hạ tầng mạng truyền thông đang gặp phải Cộng đồng phát triển có thể xây dựng các ứng dụng phần mềm chạy trên bộ điều khiển, giải quyết các bài toán nâng cao hiệu năng, giám sát mạng như kỹ thuật bảo mật, kỹ thuật cân bằng tải, tiết kiệm năng lượng,… tại các trung tâm dữ liệu

1.4.1 Cấu trúc và phạm vi chuẩn hóa của Openflow

Cấu trúc, phạm vi và vị trí của giao thức Openflow trong kiến trúc SDN được mô tả trong Hình 1.5 Theo đó:

- Phạm vi chuẩn hóa của Openflow bao gồm cấu trúc bộ chuyển mạch, giao thức trao đổi các bản tin điều khiển giữa bộ điều khiển mạng (controller) và các bộ chuyển mạch Openflow (OFS)

- Cấu trúc bộ chuyển mạch Openflow bao gồm phần cứng (hw) và phần mềm (sw) Phần cứng gồm các module quản lý và xử lý quá trình chuyển tiếp các gói tin trên hệ thống mạng thông qua các bảng cấu hình gọi là bảng luồng Phần mềm là module thực hiện chức năng trung gian giao tiếp giữa phần cứng và bộ điều khiển, cung cấp thông tin về phần cứng cho bộ điều khiển, đồng thời thực thi các thao tác từ bộ điều khiển tới phần cứng

- Để đảm bảo an toàn, chống xâm nhập chiếm quyền điều khiển trái phép, giao tiếp giữa bộ điều khiển và các bộ chuyển mạch được mã hóa bảo mật có xác thực theo kỹ thuật SSL

Hình 1.5 Cấu trúc và phạm vi chuẩn hóa của giao thức Openflow

Giao thức Openflow được phát triển và ra đời phiên bản hoàn chỉnh đầu tiên 1.1 vào tháng

2 năm 2011 và liên tục được phát triển nhiều bản cập nhật Cho tới nay phiên bản 1.5.1 đã bổ sung nhiều chức năng giải quyết nhiều bài toán khác nhau và đã được chuyển hóa vào nhiều sản phẩm thương mại cũng như sản phẩm mã nguồn mở có thể kể đến, bao gồm:

• Các bộ chuyển mạch thương mại như HP ProCurve 3500, 3800, 5400, 2920, 8200; IBM G8264, 8316, 8052; Cisco Catalyst 3850,…; Bộ chuyển mạch mềm như

OpenVswitch [69].

• Bộ điều khiển mã nguồn mở POX [70], Ryu [71] phát triển trên nền Python; ONOS [72], OpenDaylight [73], Foodlight [74]… trên Java; hoặc NOX [75] trên cả Python

và C++,…

• Các môi trường, công cụ nghiên cứu, thử nghiệm như mininet [76]

1.4.2 Nhận dạng và quản lý lưu lượng trên bộ chuyển mạch Openflow

Đối tượng xử lý thông tin trên các bộ chuyển mạch Openflow là các gói tin Nhằm đưa ra các chính sách xử lý gói tin đa dạng, mềm dẻo, Openflow có thể nhận dạng và phân nhóm thông tin ở nhiều mức như dataframe (lớp 2), packet (lớp 3) hay datagram (lớp 4) theo luồng Sau đây

là những khái niệm cơ bản trong nhận dạng, phân nhóm và quản lý lưu lượng trong Openflow

• Luồng (flow): là một khái niệm dùng để chỉ sự nhận dạng lưu lượng trên cơ sở định

nghĩa trước các thuộc tính Những lưu lượng có cùng thuộc tính và xuất hiện trong một phạm

vi một khoảng thời gian nhất định trên bộ chuyển mạch thuộc vào cùng một luồng Ví dụ: luồng các gói tin lớp 3 xuất phát từ cùng một địa chỉ IP nguồn, luồng các gói tin xuất phát từ cổng có

số hiệu port = 4 trên một bộ chuyển mạch cụ thể,…

• Mục luồng (flow entry): Để nhận dạng và quản lý các luồng, bộ chuyển mạch sử dụng

các thông tin để so khớp với lưu lượng đến nhờ một cấu trúc thông tin gọi là mục luồng Cấu trúc một mục luồng được mô tả như trong Hình 1.6

- Các trường so khớp (Match fields): bao gồm các quy tắc để nhận dạng lưu lượng Các gói tin khớp với tất cả các thông tin quy định trong các trường này sẽ thuộc phạm vi xử lý của mục luồng

- Tập lệnh xử lý (Instruction sets): bao gồm các lệnh, quy tắc xử lý gói tin được áp dụng tại bộ chuyển mạch đối với lưu lượng của mục luồng Thành phần quan trọng nhất trong mỗi lệnh xử lý là các actions được áp dụng đối với các gói tin khớp với mục luồng

- Các bộ đếm (counters): Chứa thông tin thống kê về lưu lượng khớp với mục luồng

- Mức ưu tiên (priority): chỉ cấp độ ưu tiên khi so khớp gói tin với các mục luồng

- Thời gian chờ (timeout): quy định thời gian tồn tại của mục luồng theo sự xuất hiện của lưu lượng

Để tối ưu hóa các quá trình nhận dạng, xử lý lưu lượng của một luồng theo các chính sách mong muốn, các ứng dụng quản trị mạng thiết lập trường so khớp, mức ưu tiên và thời gian chờ cho từng mục luồng tương ứng

• Bảng luồng (flow table): Openflow sắp xếp và quản lý các mục luồng trong các bảng

luồng Một bảng luồng là một tập hợp gồm nhiều mục luồng Quản lý theo bảng luồng giúp bộ chuyển mạch phân cụm được các quy tắc quản lý lưu lượng làm cho quá trình so khớp, nhận dạng lưu lượng được tối ưu

1.4.3 Các bản tin trao đổi giữa bộ điều khiển và bộ chuyển mạch Openflow

Để cấu hình, quản lý trạng thái các bộ chuyển mạch, quản lý các sự kiện từ các bộ chuyển mạch

cũng như áp dụng các chính sách xử lý gói tin, Openflow quy định cấu trúc các bản tin trao đổi giữa bộ điều khiển và các bộ chuyển mạch thuộc 3 nhóm như sau:

Hình 1.6 Cấu trúc của một mục luồng

Nhóm bản tin từ bộ điều khiển tới bộ chuyển mạch

Các bản tin này được chủ động tạo bởi bộ điều khiển gửi tới các bộ chuyển mạch (Controller

to Switch) và sử dụng để quản lý và kiểm tra trạng thái của các bộ chuyển mạch, có thể không đòi hỏi sự phản hồi Nhóm bản tin này bao gồm:

• Features Request: Sử dụng khi thiết lập kênh truyền Nhận được bản tin này, bộ chuyển

mạch trả lời thông tin về phiên bản, cấu hình mà nó có thể hỗ trợ

• Configuration: Thiếp lập và chỉnh sửa cấu hình các tham số cho bộ chuyển mạch

• Modify-State: Chỉnh sửa thông tin các bảng luồng, thêm hoặc xóa các luồng trong một

bảng luồng cụ thể

• Read-State: Truy vấn thống kê từ các bảng luồng, các cổng hoặc các luồng cụ thể

• Send Packet Message: Chuyển tiếp một gói tới một cổng xác định của bộ chuyển mạch Nhóm bản tin bất đồng bộ từ bộ chuyển mạch

Nhóm bản tin này do các sự kiện từ bộ chuyển mạch gửi tới bộ điều khiển (Asynchronous Messages), giúp bộ điều khiển cập nhật các sự kiện trong hệ thống mạng và trạng thái của các bộ chuyển mạch Các bản tin bao gồm:

• Packet-in: Khi gói tin đến không khớp với bất cứ mục luồng nào trên bộ chuyển mạch

Bộ chuyển mạch sẽ gửi bản tin này tới bộ điều khiển để yêu cầu một chính sách xử lý tương ứng

• Flow - Removed: Xuất hiện khi một mục luồng bị xóa khỏi bộ chuyển mạch

• Port - Status: Khi có sự thay đổi trạng thái của một cổng trên bộ chuyển mạch

• Error Message: Khi có lỗi xảy ra tại bộ chuyển mạch

Nhóm bản tin hai chiều

Nhóm bản tin này được gửi đi hoặc do bộ chuyển mạch, hoặc do bộ điều khiển (Symmetric Messages) mà không bắt buộc có yêu cầu trả lời:

• Hello: dùng để thiết lập kết nối giữa bộ điều khiển và bộ chuyển mạch

• Echo Request/Reply: sử dụng để kiểm tra độ trễ, băng thông,… hoặc khả năng của

kênh truyền giữa bộ điều khiển và bộ chuyển mạch

• Vendor: kiểm tra khả năng hỗ trợ các chức năng bổ sung, không bắt buộc của

Openflow

Các bản tin Openflow trao đổi giữa bộ điều khiển và bộ chuyển mạch được truyền qua kênh truyền mã hóa bảo mật có xác thực SSL

1.4.4 Quy trình xử lý gói tin trong Openflow

Openflow quy định quá trình xử lý lưu lượng tại các bộ chuyển mạch dựa trên sự nhận dạng luồng bởi các mục luồng như đã trình bày ở mục 1.4.2 Các mục luồng được cài đặt và chỉnh sửa bởi bộ điều khiển thông qua các bản tin trao đổi nêu trong mục 1.4.3 Quy trình xử lý các gói tin đến tại bộ chuyển mạch được thực hiện như sau:

- Các mục luồng được sắp xếp thành các bảng luồng Quá trình xử lý gói tin được thực hiện qua các bảng luồng kế tiếp nhau theo cơ chế đường ống (pipeline) [20] Trong mỗi bảng luồng, các mục luồng được sắp xếp theo thứ tự ưu tiên từ cao đến thấp Khi nhận được một gói tin tới, bộ chuyển mạch thực hiện so khớp (matching) các trường tiêu đề của gói tin với các mục luồng trong bảng luồng đầu tiên Gói tin khớp với mục luồng nào trước, nó sẽ thuộc về luồng tương ứng Khi được khớp với một mục luồng, các tập lệnh xử lý tương ứng trong mục luồng sẽ được thực thi Tùy theo lệnh tương ứng trong mục luồng được khớp, quá trình so khớp

có thể kết thúc hoặc tiếp tục xử lý so khớp với các bảng luồng tiếp theo Qua mỗi bảng luồng, nếu lệnh xử lý thao tác trên gói tin, action xử lý gói tin cụ thể sẽ được tích lũy trong một tập actions Các lệnh xử lý so khớp chính trong mục luồng bao gồm:

Hình 1.7 Quá trình xử lý gói tin tại bộ chuyển mạch theo cơ chế đường ống

• Write-Actions (actions): Thêm các actions xử lý gói tin vào tập actions

• Apply-Actions (actions): Thực thi ngay các action trong tập actions đối với gói tin

• Clear actions: Xóa toàn bộ các action có trong tập actions áp dụng cho gói tin

• Goto-Table (N): Chuyển tới so khớp với bảng luồng thứ N

Quá trình so khớp thực hiện từ bảng luồng đầu tiên đến các bảng luồng kế tiếp theo sự thực thi các lệnh có trong mục luồng được khớp Thông thường các bảng luồng được sắp xếp thành các nhóm bảng luồng xử lý đầu vào (ingress) và nhóm bảng luồng xử lý đầu ra (egress) như trong Hình 1.7 Kết thúc mỗi nhóm bảng luồng, tập các actions sẽ được thực hiện và áp dụng trực tiếp trên gói tin

Hình 1.8 Yêu cầu xử lý gói tin khi không khớp với một mục luồng có sẵn trên bộ chuyển mạch

- Nếu trong quá trình so khớp trong một bảng luồng, gói tin không khớp với bất cứ mục

luồng nào, sự kiện table-miss sẽ xảy ra và bộ chuyển mạch gửi tới bộ điều khiển một bản tin

packet-in Các phần mềm ứng dụng trên bộ điều khiển sẽ phân tích và đưa ra một chính sách

để xử lý các nhóm gói tin tương ứng với nó bằng cách cài đặt trên bộ chuyển mạch một mục luồng mới Trong quá trình chờ đợi mục luồng mới được cài đặt, gói tin được lưu tại vùng đệm của bộ chuyển mạch Các gói tin tiếp theo của luồng sẽ được khớp với mục luồng này và được

bộ chuyển mạch xử lý theo các actions thiết lập trong mục luồng (Hình 1.8)

- Trong các trường hợp cụ thể, bộ chuyển mạch có thể cài đặt các mục luồng để bắt giữ những gói tin có các trường thông tin thỏa mãn một điều kiện cụ thể và chuyển tới bộ điều khiển bằng action OUTPUT với số hiệu cổng là OFPP_CONTROLLER

1.4.5 Quản lý các mục luồng trong bộ chuyển mạch Openflow

Trong Openflow, mục luồng là thông tin quan trọng quyết định cách thức xử lý gói tin trên

hệ thống mạng Mục luồng có vai trò phân nhóm các gói tin thành các luồng tương ứng, đưa ra các chính sách bộ chuyển mạch sẽ áp dụng đối với các gói tin Do sự thay đổi thường xuyên của lưu lượng mạng nên mỗi mục luồng có giá trị trong một khoảng thời gian nhất định Để quản lý hiệu quả các mục luồng giảm thiểu sự chiếm dụng tài nguyên trên bộ chuyển mạch trong điều kiện thay đổi liên tục như vậy, Openflow quy định các phương thức tạo và quản lý luồng

Cài đặt, chỉnh sửa và xóa các mục luồng

Trong Openflow, các mục luồng có thể được cài đặt theo hai cách:

- Chủ động (proactive): Bộ điều khiển chủ động cài đặt mục luồng tới bộ chuyển mạch

Thông thường phương pháp này được áp dụng cho các mục luồng tồn tại vĩnh viễn nhằm tạo những luật xử lý gói tin ổn định trong suốt quá trình hoạt động của bộ chuyển mạch

- Đáp ứng theo gói tin (reactive): Khi có sự kiện table-miss xảy ra, bộ chuyển mạch tạo bản tin packet-in và gửi tới bộ điều khiển Bộ điều khiển căn cứ vào thông tin thuộc tính của

gói tin để cài đặt một mục luồng tương ứng Hình 1.8 Trong quá trình hoạt động, các phần mềm ứng dụng có thể chỉnh sửa các mục luồng đã có

Thiết lập thời gian chờ cho các mục luồng

Để giới hạn thời gian tồn tại của các mục luồng trên bộ chuyển mạch khi mục luồng không còn giá trị do các gói tin thuộc luồng không còn xuất hiện, Openflow cho phép thiết lập thời gian chờ cho mỗi mục luồng với hai tham số:

(1) Thời gian chờ liên gói tin (idle timeout hay inactive timeout): là khoảng thời gian tối đa chờ gói tin tiếp theo thuộc cùng một luồng tính từ khi bộ chuyển mạch nhận được gói tin sau cùng Vượt quá thời gian này, luồng sẽ kết thúc và mục luồng sẽ bị xóa khỏi bộ chuyển mạch

(2) Thời gian chờ cứng (hard timeout hay active timeout): là khoảng thời gian tồn tại tối đa của một luồng Nếu tham số này được thiết lập, khi mục luồng đạt đến khoảng thời gian

chờ hard timeout tính từ khi nó được tạo ra, mục luồng sẽ bị xóa khỏi bộ chuyển mạch

bất kể các gói tin của luồng tương ứng có tiếp tục xuất hiện nữa hay không Mục đích

của thời gian chờ hard timeout là để bảo vệ bộ chuyển mạch khỏi sự chiếm dụng tài

nguyên bộ nhớ bởi các luồng tấn công có chủ đích

Tùy theo phạm vi, mục đích nhận dạng và xử lý luồng, các mục luồng có thể thiết lập hoặc

không thiết lập tham số thời gian chờ idle timeout và hard timeout Nếu không thiết lập hai

tham số này, mục luồng sẽ tồn tại vĩnh viễn trong bộ chuyển mạch Việc thiết lập thời gian chờ cho các mục luồng được thực hiện khi cài đặt hoặc chỉnh sửa các mục luồng

Thống kê các mục luồng

Như đã trình bày ở trên, trong mỗi mục luồng có chứa các bộ đếm thống kê tổng số gói tin, tổng dung lượng lưu lượng khớp với mỗi mục luồng, thời gian tồn tại của mỗi mục luồng Trong quá trình hoạt động, bộ điều khiển có thể yêu cầu truy vấn giá trị các bộ đếm này từ bộ chuyển mạch hoặc thống kê số mục luồng đang tồn tại theo một điều kiện nào đó Các số liệu thống kê

từ các mục luồng có ý nghĩa quan trọng không chỉ trong quản lý các mục luồng mà còn cho các ứng dụng quản trị và điều hành mạng

1.5 Các giải pháp phòng chống DDoS dựa trên kiến trúc và kỹ thuật SDN/Openflow

1.5.1 Kiến trúc và nguyên lý hoạt động chung

Với khả năng giám sát, điều khiển hệ thống mạng một cách tập trung; khả năng lập trình, cấu hình tự động bằng phần mềm; thay đổi chính sách xử lý gói tin linh động, tự động… kiến

trúc mạng và kỹ thuật SDN/Openflow đã được nhiều giải pháp đề xuất ứng dụng trong phòng chống DDoS [21]–[26], [77]–[83] Các giải pháp đề xuất có thể thực hiện các chức năng phòng chống tấn công khác nhau, ở các quy mô hệ thống mạng và vị trí triển khai khác nhau nhưng cùng dựa trên một cấu trúc và nguyên lý hoạt động chung thể hiện như trong Hình 1.9

Hình 1.9 Cấu trúc chung hệ thống giải pháp phòng chống tấn công DDoS

dựa trên kỹ thuật SDN/Openflow

Trong kiến trúc SDN/Openflow, mỗi giải pháp đề xuất được phát triển gồm một ứng dụng

an ninh chạy trên máy chủ ứng dụng và một module điều khiển chạy trên Bộ điều khiển Giao tiếp giữa phần mềm ứng dụng và module điều khiển theo chuẩn REST API Trong trường hợp quy mô xử lý dữ liệu nhỏ, phần mềm ứng dụng có thể được tích hợp trong module điều khiển:

• Module điều khiển: Dựa trên nguyên tắc điều khiển hệ thống mạng và xử lý gói tin,

module điều khiển thực hiện 2 chức năng chính: (1) thống kê các đặc tính của lưu lượng, lấy mẫu các gói tin để phân tích và phát hiện tấn công, và (2) cài đặt, chỉnh sửa các mục luồng nhằm thực thi các chính sách phòng chống tấn công

• Phần mềm ứng dụng: Dựa vào dữ liệu thống kê, mẫu lưu lượng được module điều

khiển chuyển tới, phân tích và phát hiện tấn công, xác định dấu hiệu lưu lượng tấn công và đưa ra các chính sách xử lý đối với lưu lượng tấn công