Phòng chống tấn công ddos trong môi trường điện toán đám mây

Thông qua hệ thống mạng, công nghệ này giúp giảm chi phí công nghệ thông tin và cung cấp những dịch vụ đáp ứng nhu cầu của người dùng cá nhân, cũng như các tổ chức.. Tấn công từ chối dịc

NGUYỄN MINH PHƯƠNG

PHÒNG CHỐNG TẤN CÔNG DDOS TRONG MÔI TRƯỜNG

ĐIỆN TOÁN ĐÁM MÂY

Chuyên ngành: Kỹ thuật Viễn thông

Mã số : 60520208

LUẬN VĂN THẠC SĨ

TRƯỜNG ĐẠI HỌC BÁCH KHOA – ĐHQG – HCM

Cán bộ hướng dẫn khoa học : TS Lưu Thanh Trà

Cán bộ chấm nhận xét 1: TS Võ Quế Sơn

Cán bộ chấm nhận xét 2: TS Nguyễn Minh Sơn

Luận văn thạc sĩ được bảo vệ tại Trường Đại học Bách Khoa, ĐHQG

4 TS Nguyễn Minh Sơn

5 TS Huỳnh Hữu Thuận

Xác nhận của Chủ tịch Hội đồng đánh giá LV và Trưởng Khoa quản lý chuyên ngành sau khi luận văn đã được sửa chữa (nếu có)

NHIỆM VỤ LUẬN VĂN THẠC SĨ

Họ tên học viên: Nguyễn Minh Phương MSHV: 7140448

Ngày, tháng, năm sinh: 12-06-1986 Nơi sinh: Bình Định

Chuyên ngành: Kỹ Thuật Viễn Thông Mã số : 60520208

I TÊN ĐỀ TÀI:

Phòng Chống Tấn Công DDoS Trong Môi Trường Điện Toán Đám Mây

II NHIỆM VỤ VÀ NỘI DUNG:

Tìm hiểu cách thức hoạt động, phân chia khả năng xử lý và sự liên lạc giữa các thực thể trong đám mây

Tìm phương pháp phát hiện thời điểm bắt đầu và kết thúc một cuộc tấn công DDoS theo kiểu lũ TCP-SYN vào máy chủ đám mây

Trong khoảng thời gian bị tấn công lũ TCP-SYN, hệ thống bảo vệ máy chủ phải nhận biết

và lọc chính xác tối thiểu 90% số gói tin tấn công

III NGÀY GIAO NHIỆM VỤ : tháng 1 năm 2016

IV NGÀY HOÀN THÀNH NHIỆM VỤ: tháng 6 năm 2017

V CÁN BỘ HƯỚNG DẪN: TS Lưu Thanh Trà

Đầu tiên, tôi xin gửi lời cảm ơn chân thành đến thầy hướng dẫn luận văn thạc sĩ cho tôi là TS Lưu Thanh Trà Trước khi thực hiện luận văn, thầy đã giúp tôi định hướng, xác định cụ thể những vấn đề sẽ phải làm trong đề tài Trong thời gian thực hiện đề tài, sự hướng dẫn, nhận xét, góp ý tận tình cùng những lời động viên của thầy đã giúp tôi rất nhiều trong việc giải quyết những khó khăn gặp phải để có thể hoàn thành luận văn Qua quá trình được học và làm luận văn cùng thầy, đã cho tôi có những kiến thức nền tảng về hệ thống mạng và niềm yêu thích trong việc tìm hiểu về an ninh mạng

Tiếp theo, tôi trân trọng cảm ơn các thầy cô đang giảng dạy trong bộ môn Viễn Thông, trường Đại học Bách Khoa thành phố Hồ Chí Minh Các thầy cô đã hết lòng truyền thụ cho tôi những kiến thức bổ ích trong thời gian tôi học thạc sĩ tại đây Những kiến thức ấy đã giúp tôi rất nhiều trong việc thực hiện nghiên cứu đề tài nói riêng và cuộc sống, công việc nói chung

Cuối cùng, con xin dành lời cám ơn đến ba mẹ Ba mẹ đã luôn yêu thương, bao dung

và ủng hộ con trên mọi bước đường con đi

Tp Hồ Chí Minh, ngày 20 tháng 06 năm 2017

Nguyễn Minh Phương

Điện toán đám mây là một trong những công nghệ được nhiều sự quan tâm đầu tư Thông qua hệ thống mạng, công nghệ này giúp giảm chi phí công nghệ thông tin và cung cấp những dịch vụ đáp ứng nhu cầu của người dùng cá nhân, cũng như các tổ chức Các dịch vụ điện toán đám mây dựa trên sự ảo hoá được chia thành ba loại: cơ

sở hạ tầng, nền tảng và ứng dụng [6] Trong đó dịch vụ cơ sở hạ tầng rất quan trọng,

vì nó cung cấp tất cả phần mềm, phần cứng, lưu trữ, băng thông mạng cho người dùng thông qua mạng Internet Những mối đe dọa ảnh hưởng đến môi trường điện toán đám mây có thể kể đến như: mất tính bảo mật, mất tính toàn vẹn và mất tính sẵn sàng Trong đó, mất tính sẵn sàng được xem như mối đe dọa nguy hiểm nhất [10] Tấn công từ chối dịch vụ (DDoS) làm ảnh hưởng đến tính sẵn sàng của điện toán đám mây Khiến cho những khách hàng có nhu cầu thực sự không thể truy cập và sử dụng các dịch vụ trong môi trường đám mây Do đó, ta phải tìm biện pháp để hạn chế các cuộc tấn công DDoS đến mức thấp nhất

Tấn công từ chối dịch vụ được chia theo hai kiểu chính là tấn công vào băng thông

và tấn công vào tài nguyên Trong luận văn, ta xét đến hình thức tấn công vào tài nguyên của máy chủ Cụ thể ở đây là tấn công lũ TCP-SYN vì tính phổ biến và dễ lẫn trốn của nó

Luận văn sẽ trình bày và mô phỏng cách thức hoạt động của điện toán đám mây thông qua CloudSim Cách phát hiện thời điểm bắt đầu và kết thúc của một cuộc tấn công

lũ vào máy chủ Khi bị tấn công, xây dựng phương pháp loại bỏ nguồn tấn công bao gồm nguồn botnet và nguồn ảo giả mạo địa chỉ IP, để giảm thiểu thiệt hại cho máy chủ

Phương pháp thực hiện trong luận văn có những thay đổi cải tiến so với các nghiên cứu trước đó Làm tăng tỉ lệ lọc chính xác các gói tin giả mạo IP, mà không bị ảnh hưởng nhiều bởi số lượng IP thu thập để xây dựng bảng đối chiếu IP với số bước nhảy Đồng thời cải tiến cũng giảm thiểu khả năng báo động nhầm thời điểm bắt đầu hay kết thúc bị tấn công lũ SYN, nhất là khi luồng gói tin TCP đến có biên độ thay

Cloud computing, a service of interest, is currently attracting more investment This technology reduces IT costs and provides services that meet the needs of individual users as well as organizations over the Internet Cloud computing services are divided into three categories: Infrastructure as a Service (IaaS), Platform as a Service (PaaS) and Software as a Service (SaaS) [6]

The three main threats that affect the cloud computing environment are the lack of condentiality, integrity, and availability [10] In particular, the lack of availability is considered as the most dangerous threat Distributed Denial of Service (DDoS) attacks affect the availability of cloud computing, which makes the customers with real neads enable to access and use services in the cloud environment Therefore, it

is essential to find out the measures to minimize DDoS attacks

Distributed Denial of Service attacks are divided into two main types: attacks on bandwidth and on resources In this thesis, I consider the attacks on the server's resources especially the TCP-SYN flood attacks because of its popularity and evasion

This thesis will present and simulate the operation of cloud computing through CloudSim and how to detect the start and end time of a flood attack on the server Besides, a method to remove the source of the attack including botnets and virtual sources forged IP address is also built to minimize the damage to the server Finally, the comparison of the simulated data and the previous results can draw the conclusions about the accuracy of the simulation and the effectiveness of the method The current method is more advanced than the ones in previous researches These improvements can increase the accurate filtering rate for IP spoofing packets without being much affected by the amount of IP collected to build IP to hops count table Simultaneously, they also minimize the false alarms of the starting or ending time of SYN flood attacks, especially when the incoming TCP packets reach a fairly large

Tôi tên Nguyễn Minh Phương, là học viên cao học Bách Khoa thành phố Hồ Chí Minh khoá 2014, xin cam đoan những nội dung sau đều đúng sự thật:

 Luận văn này là công trình nghiên cứu hoàn toàn do chính tôi thực hiện

 Tài liệu tham khảo trong luận văn đa số là các bài báo đã được đăng trên tạp chí uy tín IEEE (Institute of Electrical and Electronics Engineers)

 Mọi số liệu và kết quả mô phỏng đều được thực hiện một cách độc lập và hoàn toàn trung thực

Tp Hồ Chí Minh, ngày 20 tháng 06 năm 2017

Nguyễn Minh Phương

Mục lục i

1.1 Lý Do Chọn Đề Tài 1

1.2 Mục Tiêu Và Nhiệm Vụ 1

1.3 Đối Tượng Và Phạm Vi Tìm Hiểu 2

1.4 Phương Pháp Nghiên Cứu 3

1.5 Ý Nghĩa Của Đề Tài 3

1.6 Nội Dung Luận Văn 4

2 GIỚI THIỆU TỔNG QUAN VÀ TÌNH HÌNH NGHIÊN CỨU 5 2.1 Giới Thiệu DDoS 5

2.1.1 Khái Niệm DDoS 5

2.1.2 Lịch Sử 6

2.1.3 Phân Loại Các Kiểu Tấn Công DDoS 8

2.1.4 Ví Dụ Về Tấn Công DoS 12

2.2 Giới Thiệu Về Điện Toán Đám Mây 14

2.2.1 Khái Niệm 14

2.2.2 Mô Hình Dịch Vụ Đám Mây 14

2.2.3 Thuộc Tính Của Điện Toán Đám Mây 16

2.2.4 Các Mô Hình Triển Khai Điện Toán Đám Mây 17

2.2.5 Lợi Ích Của Điện Toán Đám Mây 18

2.3.2 Phương Pháp Lọc SOA 21

2.3.3 Phương Pháp Dùng Thuật Toán PSO 23

2.3.4 Phương Pháp Lọc Dựa Trên Nền Tảng Thống Kê 24

3 CƠ SỞ LÝ THUYẾT 26 3.1 CloudSim 26

3.1.1 Sự Thành Lập Liên Bang Đám Mây 26

3.1.1 Kiến Trúc CloudSim 28

3.1.2 Các Thành Phần Trong CloudSim 30

3.1.3 Thư Viện Dùng Cho Mô Phỏng Trong Nhân CloudSim 34

3.1.4 Cách Thực Thi Và Mô Hình Của CloudSim 37

3.2 Xác Định Giả Mạo IP Nguồn 42

3.2.1 Kiểm Tra Số Bước Nhảy 43

3.2.2 Xây Dựng Bảng IP To Hop Count (IP2HC) 44

3.2.3 Tính Tiện Lợi Của Phương Pháp 48

3.3 Xác Định Thời Điểm Bị Tấn Công 49

3.3.1 Giới Thiệu Phương Pháp 49

3.3.2 Khái Niệm Các Thành Phần Được Sử Dụng 51

3.3.3 Cách Thực Hiện 53

4 MÔ PHỎNG VÀ KẾT QUẢ 55 4.1 CloudSim 55

4.1.1 Cài Đặt Chương Trình 55

4.1.2 Môi Trường Mô Phỏng 56

4.1.3 Các Bước Làm Việc Của CloudSim 59

4.1.4 Mô Phỏng Cloud 60

4.2 Phát Hiện IP Giả Mạo 68

4.2.1 Mô Hình Và Mục Đích Mô Phỏng 68

4.2.2 Cách Thực Hiện 68

4.3.1 Mô Hình Và Mục Đích Mô Phỏng 72 4.3.2 Giải Thuật Xử Lý 75 4.3.3 Phân Tích Kết Quả 79

5.1 Kết Luận 83 5.2 Hướng Phát Triển 84

Hình 2 1: Tấn công DDoS 5

Hình 2 2: Phân Loại Các Kiểu Tấn Công DDoS 8

Hình 2 3: Flood attack 8

Hình 2 4: Amplification attack 10

Hình 2 5: Smurf attack 10

Hình 2 6: TCP-SYN attack 12

Hình 2 7: Một trang web truy cập bình thường 13

Hình 2 8: Một phần mềm tấn công SYN Flood 13

Hình 2 9: Wireshark bắt các gói tin TCP-SYN gửi đến server 13

Hình 2 10: Trang web không thể truy cập 13

Hình 2 11: Mô hình dịch vụ đám mây 14

Hình 2 12: Private cloud 17

Hình 2 13: Public cloud 17

Hình 2 14: Community cloud 18

Hình 2 15: Hybrid cloud 18

Hình 2 16: Gói tin qua SBTA trước khi vào Web Server 22

Hình 2 17: Vị trí đặt SBTA và Cloud filter trong mạng đám mây 22

Hình 2 18: Thuật toán PSO 23

Hình 2 19: Mô hình C2DF 24

Hình 3 1: Mạng lưới liên kết các đám mây qua trung gian CEx 27

Hình 3 2: Kiến trúc theo tầng của CloudSim 29

Hình 3 3: Thiết kế các lớp của CloudSim 31

Hình 3 4: Thư viện CloudSim: (a) các lớp chính và (b) các thuộc tính 34

Hình 3 5: Sự mô phỏng dòng dữ liệu liên lạc 37

Hình 3 6: Cách các thực thể CloudSim làm việc 38

Hình 3 7: Khác biệt giữa các chính sách trong việc thực thi công việc 41

Hình 3 8: Đồ thị so sánh hiệu quả của 3 loại bộ lọc 46

Hình 3 9: Cấu trúc Sketch 51

Hình 3 10: Cửa sổ trượt 53

Hình 4 1: CloudSim Project 56

Hình 4 2: Các bước mô phỏng cloud 59

Hình 4 3: Một Datacenter phục vụ nhiều User 61

Hình 4 4: Mỗi Datacenter phục vụ một user 62

Hình 4 5: Broker yêu cầu tạo máy ảo đến Datacenter 63

Hình 4 6: VMs không được tạo 64

Hình 4 7: Datacenter trả về danh sách máy ảo đã tạo cho Broker 65

Hình 4 8: Broker lần lượt gửi các cloudlet đến cho máy ảo xử lý 65

Hình 4 9: Datacenter xử lý xong, trả kết quả về cho Broker 66

Hình 4 13: Sơ đồ khối cách tạo một bảng (HCF) để kiểm tra IP giả mạo 69

Hình 4 14: Cách kiểm tra gói tin là hợp lệ hay giả mạo IP 70

Hình 4 15: Sơ đồ khối phát hiện tấn công lũ theo nghiên cứu trước đây 75

Hình 4 16: Giải thuật xử lý phát hiện thời điểm bị tấn công 77

Hình 4 17: Giải thuật xử lý khi bị tấn công 78

Hình 4 18: Dòng các gói tin TCP-SYN trước và sau khi bị tấn công 79

Hình 4 19: JSD và ngưỡng động trước khi bị tấn công 79

Hình 4 20: JSD và ngưỡng động khi có tấn công 80

Hình 4 21: Số gói tin tấn công khi không có bộ lọc 80

Hình 4 22: Số gói tin tấn công khi có bộ lọc 81

Hình 4 23: Danh sách blacklist cặp IP nguồn và đích 81

Hình 4 24: Tỉ lệ % giữa số gói tin lọc được với tổng số gói tin tấn công 82

Bảng 2 1: Tổng hợp tấn công DDoS theo từng năm 7

Bảng 3 1: Ví dụ một bảng IP2HC 44

Bảng 4 1: Các cloudlet đã thực thi trong mỗi máy ảo 67

Bảng 4 2: Tỉ lệ phát hiện với 30 ngàn spoof IP (60 ngàn IP tạo bảng) 70

Bảng 4 3: Tỉ lệ phát hiện với 70 ngàn spoof IP (60 ngàn IP tạo bảng) 70

Bảng 4 4: Tỉ lệ phát hiện với 100 ngàn spoof IP (60 ngàn IP tạo bảng) 70

Bảng 4 5: Tỉ lệ phát hiện với 200 ngàn spoof IP (60 ngàn IP tạo bảng) 71

Bảng 4 6: Tỉ lệ phát hiện với 30 ngàn spoof IP (40 ngàn IP tạo bảng) 71

Bảng 4 7: Tỉ lệ phát hiện với 70 ngàn spoof IP (40 ngàn IP tạo bảng) 71

Bảng 4 8: Tỉ lệ phát hiện với 100 ngàn spoof IP (40 ngàn IP tạo bảng) 71

Bảng 4 9: Tỉ lệ phát hiện với 200 ngàn spoof IP (40 ngàn IP tạo bảng) 72

Bảng 4 10: Địa chỉ 9 mạng botnet và số bước nhảy tương ứng 73

CBF : Confidence Based Filtering

C2DF : Cloud Confidence DDoS Filtering

CEx : Cloud Exchange

CIS : Cloud Information Service

CPU : Central Processing Unit

CTMT : Cloud Trackback Mark Tag

DoS : Denial of Service

DDoS : Distributed Denial of Service

DNS : Domain Name System

EWMA : Exponentially Weighted Moving Average

FCFS : First Come First Serve

FTP : File Transfer Protocol

HCF : Hop Count Filtering

IaaS : Infrastructure as a Service

ICMP : Internet Control Message Protocol

IDE : Integrated Development Environment

IP : Internet Protocol

IP2HC : IP To Hop Count

IoT : Internet of Things

MIB : Management Information Base

MIPS : Millions of Instructions per Second

MMSE : Minimum Mean Square Error

NIST : The National Institute of Standards and Technology NTP : Network Time Protocol

PaaS : Platform as a Service

SaaS : Software as a Service

SBTA : SOA Based Traceback Approach SLA : Service Level Agreement

SNMP : Simple Network Management Protocol SOA : Software Oriented Architecture

SOAP : Simple Object Access Protocol

CHƯƠNG 1 MỞ ĐẦU

1.1 Lý Do Chọn Đề Tài

Điện toán đám mây (Cloud Computing) là một trong những công nghệ được nhiều

sự quan tâm đầu tư Thông qua mạng internet, công nghệ này giúp giảm chi phí công nghệ thông tin và cung cấp những dịch vụ đáp ứng nhu cầu của người dùng cá nhân, cũng như các tổ chức Các dịch vụ điện toán đám mây được chia thành ba loại: cơ sở

hạ tầng (Infrastructure as a Service-IaaS), nền tảng (Platform as a Service-PaaS) và ứng dụng (Software as a Service-SaaS) [6] Trong đó dịch vụ cơ sở hạ tầng rất quan trọng, vì nó cung cấp tất cả phần mềm, phần cứng, lưu trữ, băng thông mạng cho người dùng thông qua mạng Internet Điện toán đám mây cung cấp dịch vụ dựa trên công nghệ ảo hóa Những mối đe dọa chính ảnh hưởng đến môi trường điện toán đám mây là: mất tính bảo mật, mất tính toàn vẹn và mất tính sẵn sàng [10] Trong đó, mất tính sẵn sàng được xem như mối đe dọa nguy hiểm nhất Tấn công từ chối dịch vụ (DDoS) làm ảnh hưởng đến tính sẵn sàng của điện toán đám mây Khiến cho những khách hàng có nhu cầu thực sự, không thể truy cập và sử dụng các dịch vụ trong môi trường đám mây Do đó, ta phải tìm biện pháp để hạn chế các cuộc tấn công DDoS đến mức thấp nhất

1.2 Mục Tiêu Và Nhiệm Vụ

Hiện trên thế giới chưa có một phương pháp nào có thể hoàn toàn ngăn chặn triệt để các loại tấn công DDoS Trong đó tấn công lũ SYN là một hình thức DDoS khá phổ biến làm mất khả năng xử lý của máy chủ Vì vậy, mục tiêu của người viết là nghiên cứu phương pháp phát hiện và xử lý khi bị tấn công lũ SYN, tìm cách giảm thiểu báo động nhầm và nâng cao hiệu quả lọc các gói tin TCP-SYN tấn công

Trong luận văn, tác giả mô phỏng cách thức hoạt động, phân bổ tài nguyên của điện toán đám mây, tiếp đó là tiến hành mô phỏng tấn công và phòng thủ DDoS kiểu TCP-

trên thế giới đã đưa ra Từ đó rút ra nhận xét và tìm cách cải thiện sự hiệu quả của phương pháp đã làm

1.3 Đối Tượng Và Phạm Vi Tìm Hiểu

Trong luận văn này tác giả sẽ tìm hiểu các vấn đề sau:

 Phân loại các kiểu tấn công DDoS và tình hình nghiên cứu trên thế giới

 Mô hình dịch vụ, thuộc tính của điện toán đám mây

 Thư viện trong CloudSim dùng để mô phỏng đám mây

 Cách ứng dụng phân kỳ Jensen-Shannon trong tính toán so sánh sự phân bố xác suất các gói TCP-SYN trong luồng giao thông mạng, tại thời gian hiện tại với thời gian trước đó Từ đó, phát hiện thời điểm bắt đầu và kết thúc của một cuộc tấn công lũ SYN

 Tìm hiểu phương pháp “Hop Count Filtering” để lọc các gói tin có nguồn IP giả mạo

 Tìm hiểu mô hình “Cloud Confidence DDOS Filtering” dùng chặn các gói tin tấn công

Hai công cụ được sử dụng để mô phỏng trong luận văn là:

 CloudSim: là một bộ công cụ mô phỏng đám mây được phát triển bởi phòng Lab của trường đại học Melbourne [13] Về cơ bản CloudSim là một thư viện viết trên nền Java, dùng cho việc mô phỏng các kịch bản điện toán đám mây

Nó có một số tính năng như hỗ trợ mô hình hoá và mô phỏng cơ sở hạ tầng điện toán đám mây quy mô lớn với nhiều trung tâm dữ liệu CloudSim cung cấp các lớp cơ bản cho việc mô tả các trung tâm dữ liệu, máy ảo, ứng dụng, người dùng, tài nguyên tính toán và các chính sách

 Matlab [wikipedia]: là phần mềm cung cấp môi trường tính toán số và lập trình, do công ty MathWorks thiết kế Matlab cho phép tính toán số với ma trận, vẽ đồ thị hàm số hay biểu đồ thông tin, thực hiện thuật toán, tạo các giao diện người dùng và liên kết với những chương trình máy tính viết trên

nhiều ngôn ngữ lập trình khác Với thư viện Toolbox, Matlab cho phép mô phỏng tính toán, thực nghiệm nhiều mô hình trong thực tế và kỹ thuật

1.4 Phương Pháp Nghiên Cứu

chính sách phân chia tài nguyên xử lý trong máy chủ khi xử lý các tác vụ

 Dùng Matlab để mô phỏng kịch bản tấn công và phòng thủ Qua kết quả thu

được, sẽ rút ra nhận xét về sự hiệu quả của phương pháp đề xuất

1.5 Ý Nghĩa Của Đề Tài

Điện toán đám mây đang mang lại nhiều lợi ích cho người sử dụng trong công việc, giải trí và tiết kiệm chi phí hơn so với trước kia Tấn công DDoS lại là kẻ thù số một cho chất lượng những dịch vụ mà điện toán đám mây mang lại Nó gây thiệt hại kinh

tế nghiêm trọng cho cả nhà cung cấp dịch vụ và các khách hàng của họ Chưa kể đến việc những kẻ tấn công dùng DDoS để đánh lạc hướng, hòng thực hiện những ý đồ xấu xa khác như đánh cắp thông tin bí mật của người dùng Do đó việc hạn chế bị tấn công DDoS đến mức thấp nhất là nhu cầu cấp thiết của các nhà cung cấp dịch vụ đám mây nói riêng và các tổ chức, doanh nghiệp nói chung

Kết quả mô phỏng cho thấy hệ thống được đề xuất có thể phát hiện chính xác cuộc tấn công lũ lẩn trốn trong một luồng dữ liệu lớn, và lọc thành công các gói tấn công với độ chính xác hơn 97% Do đó, đề tài có thể áp dụng vào hoạt động thực tiễn để

1.6 Nội Dung Luận Văn

Luận văn gồm có 5 chương, trong đó:

Chương 2: giúp ta có cái nhìn khái quát về tấn công DDoS, cũng như một vài nghiên

cứu liên quan đến đề tài Mặt khác, trong chương này cũng giới thiệu về các đặc điểm cũng như lợi ích mà điện toán đám mây đã mang lại

Chương 3: trình bày về các lý thuyết về thư viện của CloudSim, cách nhận biết một

cuộc tấn công lũ SYN, cũng như hướng lọc các gói tấn công mà tác giả đã tìm hiểu

và dựa vào đó để tiến hành mô phỏng

Chương 4: là những kết quả thu được trong mô phỏng thông qua hai phần mềm

Matlab và Netbeans

Chương 5: đưa ra kết luận qua các kết quả thu được, kèm theo đó là nhìn nhận mặt

còn thiếu xót trong luận văn và hướng để phát triển đề tài

CHƯƠNG 2 GIỚI THIỆU TỔNG QUAN VÀ TÌNH HÌNH

NGHIÊN CỨU

2.1 Giới Thiệu DDoS

2.1.1 Khái Niệm DDoS

Tấn công Distributed Denial of Service (DDoS) hay còn gọi là tấn công từ chối dịch

vụ phân tán là một dạng tấn công cùng lúc từ nhiều máy tính tới một đích Khiến cho đường truyền internet đến máy nạn nhân tắc nghẽn, hoặc làm khả năng xử lý của máy nạn nhân bị quá tải

Tấn công từ chối dịch vụ (DoS) và tấn công từ chối dịch vụ phân tán (DDoS) chỉ khác nhau ở phạm vi tấn công Trong khi lưu lượng tấn công DoS thường phát sinh

từ một hoặc một số ít nguồn, thì lưu lượng tấn công DDoS thường phát sinh từ rất nhiều nguồn nằm rải rác trên mạng Internet

Đầu tiên, kẻ tấn công tìm cách cài mã độc trên một số lượng lớn máy tính, nhằm chiếm quyền điều khiển từ xa Ta gọi các máy này là zombies Tập hợp các zombies lại ta có mạng Botnet Kẻ tấn công sẽ dùng các mạng botnet cùng lúc tấn công mục tiêu chính

Hình 2 1: Tấn công DDoS

2.1.2 Lịch Sử

Tấn công DDoS đầu tiên trong lịch sử là vào một máy tính của trường đại học Minnesota Cuộc tấn công DDoS quy mô lớn đầu tiên được ghi nhận là vào cuối tháng sáu và đầu tháng bảy năm 1999 Những servers chịu tấn công DDoS trong suốt những năm 2000 gồm : Yahoo, Amazon, Buy.com, CNN, Ebay, and Nato sites [2] Vào năm 2013, có tấn công DDoS vào China’s websites, Bitcoin, NASDAQ trading market

24/11/2014, hệ thống máy tính của nhân viên của Sony Pictures trên toàn cầu đã trở thành nạn nhân của một đợt tấn công mạng Trước màn hình máy tính của nhân viên

Sony xuất hiện dòng chữ "Hacked By #GOP" vốn được cho là thông điệp của tổ chức

Guardians of Peace (theo thông tin từ tờ Los Angeles Times)

22/12/2014 : Hệ thống mạng của Triều Tiên bị đánh sập hoàn toàn

7/1/2015 các trang web của chính phủ nước Đức, trong đó có trang cá nhân của Thủ tướng Angela Merkel, đã bị tấn công, dẫn đến tình trạng truy cập bị gián đoạn từ lúc

10 giờ sáng

31/12/2015, vào lúc 7 giờ sáng (GMT) toàn bộ các trang web BBC đều hiển thị lỗi

505 vì bị tấn công DDoS

Tháng 10/2016, một mạng botnet cỡ lớn đã tấn công DDoS vào Dyn, nhà cung cấp

hệ thống tên miền lớn của thế giới, khiến gần như một nửa nước Mỹ bị mất kết nối Internet Đợt tấn công DDoS nhắm vào Dyn đã khiến hàng loạt trang web lớn như Twitter, GitHub và Netflix bị đánh sập trong một ngày

Bảng 2 1: Tổng hợp tấn công DDoS theo từng năm [1]

Tribe Flood Network ICMP flood, SYN flood,UDP flood, and Smurf attack 1999

Stacheldraht ICMP flood, SYN flood,UDP flood, and Smurf attack 1999

Trinity UDP, fragment, SYN, RST, ACK and other flood

Trinity Flood

Ramen Uses back chaining model for automatic propagation 2001

Code Red & Code

Nimda Attacks through email attachments , SMB networking

2.1.3 Phân Loại Các Kiểu Tấn Công DDoS

Hình 2 2: Phân Loại Các Kiểu Tấn Công DDoS [1]

2.1.3.1 Tấn Công Vào Băng Thông:

Tấn công vào băng thông được thiết kế nhằm làm tràn ngập mạng mục tiêu với những gói tin trao đổi qua lại không cần thiết Mục đích là làm giảm tối thiểu khả năng của

các gói tin hợp lệ đến được hệ thống cung cấp dịch vụ của mục tiêu

Có hai loại tấn công vào băng thông [3]:

 Flood attack:

Kẻ tấn công điều khiển các máy zombies gửi một lượng lớn các gói tin đến hệ thống dịch vụ của mục tiêu, làm dịch vụ này hết khả năng về băng thông Băng thông của nạn nhân bị ngập lụt bởi các gói tin UDP và ICMP

Hình 2 3: Flood attack

Có 2 kiểu tấn công Flood attack :

 UDP flood :

Với sự giúp đỡ của zombies, kẻ tấn công gửi một số lượng lớn các gói tin UDP với địa chỉ IP nguồn giả mạo đến các cổng quy định trước hoặc cổng ngẫu nhiên của máy tính nạn nhân Khi nhận được các gói tin, máy nạn nhân sẽ nhìn vào ‘dest port’ để xác định xem ứng dụng thực thi nào sẽ tương ứng với cổng đó Nếu không thấy ứng dụng phù hợp, máy nạn nhân sẽ tạo ra gói tin ICMP với thông điệp là ‘destination unreachable’ Các gói tin ICMP trả lời từ máy nạn nhân sẽ được gửi đến các địa chỉ

IP giả mạo; không phải là các địa chỉ IP thật của các zombies

Kết quả là băng thông của nạn nhân tràn ngập các gói tin UDP request và ICMP reply trao đổi qua lại liên tục, dần dần dẫn đến cạn kiệt nên không thể phục vụ người sử dụng thực sự

 ICMP Flood:

Thông qua các zombies, kẻ tấn công gửi một số lượng rất lớn các gói ‘ICMP ECHO Request’ đến cho máy nạn nhân Các gói này còn có thể mang IP nguồn giả mạo Mỗi gói tin gửi đến đều yêu cầu nạn nhân phải tạo ra các gói tin trả lời (response message) Nên máy nạn nhân phải gửi lại rất nhiều gói response Lúc này, mạng sẽ tràn ngập các gói tin request reponse trao đổi qua lại liên tục Dẫn đến băng thông mạng của nạn nhân bị bão hòa và suy yếu nhanh chóng, không thể đáp ứng được các yêu cầu hợp lệ

 Amplification attack:

Kẻ tấn công điều khiển các zombies gửi message đến một địa chỉ IP broadcast, với địa chỉ nguồn là của nạn nhân Khi đó tất cả các máy trong subnet này sẽ gửi message trả lời đến hệ thống dịch vụ của nạn nhân Phương pháp này làm gia tăng traffic không cần thiết, làm suy giảm băng thông của mục tiêu

cả các máy tính trong mạng khuếch đại sẽ nhận được các packet này Các máy này tưởng rằng máy tính nạn nhân đã gởi gói ICMP echo request đến (do hacker đã làm giả địa chỉ IP nguồn), lập tức chúng sẽ đồng loạt gởi trả lại hệ thống nạn nhân các gói ICMP echo reply

Hệ thống máy nạn nhân sẽ không chịu nổi một khối lượng khổng lồ packet và nhanh chóng bị ngừng hoạt động, crash hoặc reboot Như vậy, ta có thể thấy rằng hacker chỉ cần gởi một lượng nhỏ các ICMP echo request packets đi, và hệ thống mạng khuếch đại sẽ khuếch đại lượng ICMP echo request packet này lên gấp bội

Nhiệm vụ của các hacker là cố chiếm được càng nhiều hệ thống mạng hoặc routers cho phép chuyển trực tiếp các packets đến địa chỉ broadcast và không lọc địa chỉ nguồn của các gói tin ra Có được các hệ thống này, hacker sẽ dễ dàng tiến hành Smurf Attack trên các hệ thống cần tấn công

Hình 2 5: Smurf attack [5]

 Fraggle Attacks [1]:

Các cuộc tấn công Fraggle là biến thể của các cuộc tấn công Smurf

Attacker phát động cuộc tấn công bằng cách gửi các gói UDP Echo Request Với địa chỉ bên gửi là địa chỉ của nạn nhân và địa chỉ bên nhận là một địa chỉ broadcast Toàn bộ hệ thống thuộc địa chỉ bên nhận lập tức gửi REPLY đến Port Echo của nạn nhân Sau đó, từ nạn nhân một Echo Replay lại gửi trở về địa chỉ broadcast, quá trình

cứ thế tiếp diễn tạo thành một vòng lặp vô tận Đây chính là nguyên nhân Flaggle Attack nguy hiểm hơn Smuft Attack rất nhiều

Fraggle Attacks cũng có biến thể là kiểu tấn công phản xạ Hacker sẽ gửi những request (FTP, SNMP, NTP, DNS .) đến UDP server của các máy chủ lớn như Facebook, Google, Yahoo, Microsoft với địa chỉ nguồn là địa chỉ nạn nhân Khi

đó các máy chủ với băng thông và tốc độ cực cao sẽ gửi response đến cho nạn nhân Những packet này ồ ạt chiếm hết đường truyền của nạn nhân và làm máy nạn nhân không thể nhận thêm một gói tin nào khác

2.1.3.2 Tấn Công Vào Tài Nguyên

Tấn công vào tài nguyên máy chủ là kiểu tấn công trong đó kẻ tấn công gửi những gói tin dùng các giao thức sai chức năng thiết kế, hay gửi những gói tin với dụng ý làm tắt nghẽn tài nguyên mạng làm cho các tài nguyên này không phục vụ người dùng thông thường khác được

Tấn công vào tài nguyên cũng được chia thành hai loại chính [1]:

 Protocol Exploit Attack: là cách tấn công khai thác lỗ hổng trên giao thức TCP

Kẻ tấn công gửi các yêu cầu (request ảo) TCP-SYN với địa chỉ nguồn không có thật, tới máy chủ nạn nhân

Máy chủ sẽ gửi gói SYN-ACK trả lời với mỗi gói tin SYN nhận được Đồng thời trong một khoảng thời gian định trước, sẽ dành ra một phần tài nguyên để đợi gói ACK trả lời và xử lý yêu cầu

Khi có rất nhiều gói SYN ảo tới máy chủ và chiếm hết khả năng xử lý của máy chủ.Một người dùng bình thường thực hiện Request TCP-SYN và lúc này máy chủ không còn khả năng đáp lại, do đó kết nối không được thực hiện được

Hình 2 6: TCP-SYN attack

 Malformed Packet Attack:

Là cách tấn công mà hacker sẽ gửi các gói tin có cấu trúc không đúng chuẩn nhằm làm cho hệ thống của nạn nhân tốn nhiều tài nguyên xử lý và dẫn đến bị treo

Có 2 loại Malformed Packet Attack:

 IP address attack: Gói tin có địa chỉ nguồn và đích giống nhau

 IP options attack: ngẫu nhiên hóa vùng Option trong IP packet và thiết lập tất

cả các bit QoS lên 1, điều này làm cho hệ thống nạn nhân tốn thời gian phân tích, nếu sử dụng lượng lớn zombies cùng tấn công có thể làm hệ thống nạn nhân bị treo

2.1.4 Ví Dụ Về Tấn Công DoS

Dùng Vmware tạo 2 máy ảo : 1 máy server và 1 máy client

Tạo trang web: “ www.sachonline.com” Máy server cung cấp trang web này cho client truy cập Máy client tiến hành truy cập trang web bình thường

Hình 2 7: Một trang web truy cập bình thường

Giả sử 1 máy bị biến thành zombie và chạy tool SYN Flood DOS, Tấn công mục tiêu là trang web : www.sachonline.com

Hình 2 8: Một phần mềm tấn công SYN Flood

Dùng phần mềm wireshark bắt gói tin Ta thấy server có địa chỉ 192.168.1.20 bị rất nhiều gói tin TCP-SYN gửi đến từ nhiều địa chỉ ảo khác nhau

Hình 2 9: Wireshark bắt các gói tin TCP-SYN gửi đến server

Lúc này, server bị quá tải khiến người dùng bình thường không thể truy cập được trang web : www.sachonline.com

Hình 2 10: Trang web không thể truy cập

2.2 Giới Thiệu Về Điện Toán Đám Mây

2.2.1 Khái Niệm

Điện toán đám mây (Cloud Computing) là một thuật ngữ ra đời vào năm 2007 Điện toán đám mây là việc các nhà cung cấp kết hợp phần cứng và phần mềm của họ để cung cấp nhiều loại dịch vụ khác nhau cho khách hàng thông qua mạng Internet Nó như một tập hợp các máy ảo mô phỏng máy tính vật lý và cung cấp dịch vụ, chẳng hạn như hệ điều hành và các ứng dụng Có thể hiểu đơn giản là các nguồn điện toán khổng lồ như phần mềm, dữ liệu…sẽ nằm tại các máy chủ ảo (đám mây) trên Internet thay vì trong máy tính gia đình và văn phòng (trên mặt đất) để mọi người kết nối và

sử dụng khi họ cần Với các dịch vụ đám mây mang lại, các tổ chức sẽ không phải mua và duy trì phần cứng mạng (router, switch, máy chủ …) cũng như lo lắng đến việc nâng cấp, sự tương thích của các phần mềm ứng dụng Vì tất cả những điều đó

đã có nhà cung cấp dịch vụ làm thay họ Khách hàng tải dữ liệu của họ lưu trữ vào đám mây, nên không còn phải lo về việc dữ liệu bị mất khi thiết bị lưu trữ gặp sự cố Cùng với đó, người sử dụng dịch vụ đám mây có thể truy cập dữ liệu tại bất cứ nơi đâu, bất kỳ thời điểm nào thông qua các thiết bị khác nhau có kết nối Internet [Wikipedia, [6] ]

2.2.2 Mô Hình Dịch Vụ Đám Mây

Mô hình kiến trúc chung thường được các công ty dịch vụ đám mây cung cấp cho khách hàng sử dụng là mô hình SPI SPI nhằm phân phối các dịch vụ: phần mềm, nền tảng và cơ sở hạ tầng vào trong đám mây [4]

Hình 2 11: Mô hình dịch vụ đám mây [5]

 Dịch Vụ Phần Mềm

Dịch vụ phần mềm (Software as a Service - SaaS) : Khách hàng sẽ mua những ứng dụng mình cần trên đám mây từ nhà cung cấp dịch vụ Nhà cung cấp quản lý và điều khiển cơ sở hạ tầng của đám mây bên dưới ứng dụng đó, bao gồm: hệ điều hành, máy chủ, lưu trữ, và mạng Các khách hàng sử dụng chỉ việc quản lý danh tính đăng nhập

và cấu hình ứng dụng theo mục đích riêng của mình Dịch vụ ứng dụng được tích hợp hầu hết các dịch vụ bảo mật, đảm bảo tính riêng tư của người dùng

 Dịch Vụ Nền Tảng

Dịch vụ nền tảng (Platform as a Service – PaaS) : Nhà cung cấp dịch vụ hỗ trợ một môi trường đám mây cơ sở (cung cấp các ngôn ngữ lập trình và các công cụ hỗ trợ) Người sử dụng từ đó sẽ xây dựng và triển khai những ứng dụng của họ dựa trên đám mây nền tảng mà họ đã thuê Nhà cung cấp chỉ điều khiển đám mây cơ sở hạ tầng phía dưới đám mây nền tảng Vì PaaS nằm lớp dưới trong mô hình SPI nên nó có tính

mở rộng hơn SaaS Vì vậy, mặc dù có biện pháp bảo mật bổ trợ từ nhà cung cấp nhưng các tính năng an toàn cho người sử dụng sẽ ít được đảm bảo và phức tạp hơn SaaS

 Dịch Vụ Cơ Sở Hạ Tầng

Dịch vụ cơ sở hạ tầng (Infrastructure as a Service – IaaS): Với mô hình dịch vụ này, khách hàng sẽ thuê những tài nguyên máy tính cơ bản như: sức mạnh xử lý, không gian lưu trữ, và phân đoạn mạng… nhằm xây dựng một hệ thống mạng ảo hoàn chỉnh trong các đám mây Từ đó, họ có thể kiểm soát các hệ điều hành và ứng dụng mà họ triển khai trên những nguồn tài nguyên điện toán mà họ đã thuê IaaS có khả năng

mở rộng lớn nhất trong mô hình SPI Nên nhà cung cấp dịch vụ chỉ có thể hỗ trợ những mức an ninh cơ bản Còn việc bảo đảm an toàn cho hệ điều hành, ứng dụng và nội dung là hoàn toàn do người sử dụng

2.2.3 Thuộc Tính Của Điện Toán Đám Mây

Trong môi trường điện toán đám mây, tất cả những thứ được chia sẻ như: tài nguyên, thông tin và chương trình ứng dụng được phân bố rộng khắp trên các máy tính cá nhân và hệ thống có nhu cầu Theo Viện Tiêu chuẩn Quốc gia và Công nghệ (The National Institute of Standards and Technology-NIST) định nghĩa về điện toán đám mây, thì nó có năm thuộc tính chính: tự phục vụ theo nhu cầu, truy suất diện rộng, dùng chung tài nguyên, khả năng co giãn nhanh, điều tiết dịch vụ [4]

 Tự Phục Vụ Theo Nhu Cầu ( On-demand self-service )

Khách hàng có thể tự cung cấp khả năng điện toán như là: tăng giảm thời gian sử dụng server và dung lượng lưu trữ … mà không cần phải trực tiếp yêu cầu nhà cung cấp dịch vụ, tức là mọi nhu cầu khách hàng đều được xử lý trên Internet

 Truy Suất Diện Rộng ( Broad network access )

Cloud Computing Service là tập hợp các dịch vụ công nghệ thông tin (CNTT) được cung cấp thông qua môi trường internet Khách hàng luôn có thể lựa chọn dịch vụ tốt nhất theo nhu cầu của mình, dùng bao nhiêu trả phí bấy nhiêu Chỉ cần có máy vi tính hay thiết bị nhỏ gọn cấu hình thấp hơn như máy tính bảng, điện thoại, là người sử dụng có thể truy suất sử dụng dịch vụ dễ dàng thông qua mạng Internet

 Dùng Chung Tài Nguyên ( Resource pooling )

Nhà cung cấp dịch vụ cho phép khách hàng dùng chung tài nguyên do họ cung cấp dựa trên mô hình đa thuê bao (multi-tenant), tài nguyên được tự động chỉ định và bố trí theo nhu cầu của người dùng

 Khả Năng Co Giãn Nhanh ( Rapid elasticity )

Là khả năng tự động mở rộng hoặc thu nhỏ hệ thống theo nhu cầu người dùng (hệ thống sẽ tự mở rộng hoặc thu hẹp bằng cách thêm hoặc giảm bớt tài nguyên) Khả năng co giãn nhanh và linh hoạt giúp cho nhà cung cấp dịch vụ đám mây tận dụng tài nguyên rảnh rỗi của khách hàng này phục vụ cho khách hàng khác đang có nhu cầu Người dùng thì được giảm chi phí vì họ chỉ phải trả tiền cho những tài nguyên thực

sử dụng

 Điều Tiết Dịch Vụ ( Measured Service )

Hệ thống điện toán đám mây tận dụng khả năng đo đạc của nó để tự động kiểm soát

và tối ưu hóa việc sử dụng tài nguyên Việc đó thích hợp cho các loại hình dịch vụ như lưu trữ, băng thông, và nhận biết tài khoản đang hoạt động Sử dụng tài nguyên

có thể được theo dõi, kiểm soát, và được báo cáo, cung cấp minh bạch cho cả nhà cung cấp và khách hàng sử dụng dịch vụ đó

2.2.4 Các Mô Hình Triển Khai Điện Toán Đám Mây

 Đám Mây Riêng (Private cloud)

Đám mây riêng là các dịch vụ đám mây được cung cấp cho doanh nghiệp Những đám mây này tồn tại bên trong tường lửa công ty và chúng được doanh nghiệp quản

lý Cung cấp dịch vụ cho các user nội bộ trong công ty

Hình 2 12: Private cloud

 Đám Mây Công Cộng (Public cloud)

Được sở hữu bởi một tổ chức và hỗ trợ dịch vụ chung cho mọi người

Hình 2 13: Public cloud

 Đám Mây Chung (Community cloud)

Đám mây chung là đám mây được chia sẻ bởi một cộng đồng cụ thể và hỗ trợ cho một cộng đồng cụ thể khác, có mối quan tâm chung

Hình 2 14: Community cloud

 Đám Mây Lai (Hybrid cloud)

Được sở hữu chung bởi doanh nghiệp (hoặc một tổ chức cụ thể) với nhà cung cấp dịch vụ đám mây Đám mây lai cung cấp các dịch vụ sử dụng công cộng và dịch vụ riêng

Hình 2 15: Hybrid cloud

2.2.5 Lợi Ích Của Điện Toán Đám Mây

Có nhiều lý do cho các tổ chức, doanh nghiệp quy mô dù nhỏ hay lớn vẫn có thể áp dụng điện toán đám mây [6]

 Giảm Chi Phí

Khách hàng có thể tránh việc phải bỏ ra một chi phí rất lớn cho việc xây dựng và duy trì vận hành một hệ thống mạng, cơ sở dữ liệu… bằng cách chuyển lên dịch vụ đám mây Người sử dụng chỉ phải trả phí cho dịch vụ họ sử dụng và thời gian sử dụng

chúng Việc bảo trì, nâng cấp phần cứng và phần mềm đã có bên cung cấp dịch vụ

lo

 Linh Động Về Quy Mô

Công ty có thể bắt đầu với mô hình nhỏ Nếu phát triển, họ có thể thuê thêm dịch vụ

để có quy mô công ty lớn hơn Và cũng có thể nhanh chóng thu nhỏ quy mô hoạt động của công ty khi yêu cầu Tính linh động của đám mây cho phép công ty có thể tăng thêm tài nguyên để phục vụ cho yêu cầu của khách hàng lúc cao điểm

Chỉ cần có kết nối Internet, người sử dụng có thể dễ dàng truy cập vào ứng dụng và

dữ liệu từ bất cứ nơi đâu Do đó, người sử dụng có thể tăng năng suất và hiệu quả làm việc của mình bằng cách sử dụng đám mây

2.2.6 Thách Thức Mà Điện Toán Đám Mây Phải Đối Mặt

Bên cạnh rất nhiều thuận lợi mà điện toán đám mây mang lại, thì nó cũng phải đối mặt với các thách thức cần cải thiện và khắc phục [6]

 An Ninh Và Riêng Tư

Mối quan tâm lớn nhất của điện toán đám mây là vấn đề an ninh Người sử dụng thường cảm thấy không yên tâm và thoải mái khi giao dữ liệu cho bên thứ ba lưu trữ trên máy chủ của họ Các công ty cung cấp dịch vụ đám mây luôn quảng cáo máy chủ của họ miễn nhiễm với các loại virus và malware Nhưng nó vẫn là một mối bận tâm, vì ta biết rằng máy chủ có thể được truy cập bởi nhiều người khác nhau trên thế giới

Ngoài ra, điện toán đám mây muốn phát triển thành công được thì phải đảm bảo tính riêng tư cho người dùng Không chỉ những thông tin bí mật, nhạy cảm, mà bất kỳ thông tin nào khác của người dùng sẽ không được phép truy cập khai thác bởi ai khác ngoài chính họ

 Thiếu Tiêu Chuẩn

Hiện người dùng chưa thể chia sẻ dữ liệu, sử dụng ứng dụng từ dịch vụ đám mây của nhà cung cấp này với đám mây của nhà cung cấp khác Và nếu nhà cung cấp dịch vụ đám mây không hoạt động nữa thì toàn bộ dữ liệu của họ trên đám mây có được hỗ trợ tải về hay không

 Tính Sẵn Sàng

Liệu các dịch vụ đám mây có bị treo bất ngờ, khiến người dùng không thể truy cập các dịch vụ và dữ liệu của mình trong những khoản thời gian nào đó, gây ảnh hưởng đến công việc của họ

2.3 Tình Hình Nghiên Cứu Trên Thế Giới

2.3.1 Phương Pháp Lọc CBF

Nhóm Chen Qi [7] vào năm 2011 đã trình bày phương pháp lọc CBF (Confidence Based Filtering) Trong phương pháp này, các gói tin khi vào đám mây sẽ được chia thành gói tin tấn công hay gói tin an toàn Sử dụng sự tương quan để lọc ra các gói tin tấn công từ những gói tin đến Trong một dòng các gói tin, tại một thời điểm nhất định thì các gói tin hợp pháp, an toàn sẽ có điểm tương quan giống nhau Còn các gói tấn công sẽ có những đặc điểm khác biệt

Phương pháp này tập trung vào tầng transport và network Xét hai tầng này, thì các thuộc tính tương quan giữa các gói tin sẽ nằm ở IP header và TCP header Các cặp thuộc tính sẽ được phân biệt với nhau ở các đặc điểm như: hệ điều hành, cấu trúc mạng, sở thích của người sử dụng…

Có hai thuật ngữ được sử dụng là: sự tin cậy và điểm số CBF Sự tin cậy là tần số sự xuất hiện của các thuộc tính trong dòng chảy gói tin Điểm số CBF được tính bằng giá trị trung bình sự tin tưởng của các cặp thuộc tính Qua đó, thiết lập một giá trị

ngưỡng để lọc gói tin Các gói tin hợp pháp sẽ có giá trị điểm số CBF trên ngưỡng Sau khi lọc thì các gói tin độc hại sẽ bị loại bỏ

 Tính độ tin cậy :

Độ tin cậy cho các thuộc tính đơn:

Conf (Ai = ai,j ) = N(Ai = ai,j )

với i= 1,2,3,…,n và j= 1,2,3,….,mi

Độ tin cậy cho các cặp thuộc tính:

Conf (Ai1 = ai1,j1 , Ai2 = ai2,j2) = N(Ai1 = ai1,j1 , Ai2 = ai2,j2)

dụng để lọc ra các gói tin tấn công Nếu gói tin được xác định là an toàn thì nó sẽ được xử lý theo yêu cầu khách hàng

Hình 2 16: Gói tin qua SBTA trước khi vào Web Server [8]

Hình 2 17: Vị trí đặt SBTA và Cloud filter trong mạng đám mây [8]

Ở trạng thái không bị tấn công, Server sẽ lưu trữ thông tin <CTMT,source IP address> vào cơ sở dữ liệu của nó Trong đó, source IP là những IP đã cập nhật là hợp lệ Khi

có dấu hiệu bị tấn công, thì hệ thống sử dụng dữ liệu đã lưu về <CTMT, IP> để so sánh và lọc ra các gói tin giả mạo Các gói tin bị coi là giả mạo đó sẽ bị hệ thống drop

bỏ, không đưa vào xử lý yêu cầu

Khi Server còn trong ngưỡng hoạt động bình thường thì nó sẽ chấp nhận cập nhật và lưu cả những <CTMT, IP> bị nghi ngờ

Kết quả mô phỏng cho thấy bộ lọc của đám mây có tỉ lệ chính xác cao (87%) khi xác định gói tin tấn công, đồng thời tỉ lệ báo động nhầm thấp Do đó, sự kết hợp giữa hệ

thống SBTA và hệ thống lọc có thể là phương pháp hiệu quả để phát hiện và xác định các gói tấn công

Hạn chế của phương pháp này là khi số lượng các gói tấn công tăng lên quá lớn thì khả năng xử lý của hệ thống phòng thủ có thể không theo kịp và hiệu quả của hệ thống bị giảm đi

2.3.3 Phương Pháp Dùng Thuật Toán PSO

Năm 2014, nhóm của Mercyshalinie [10] đã đề xuất thuật toán PSO (Particle Swarm Optimization) dùng để xác định tối ưu vị trí bắt đầu của cuộc tấn công SYN flood trong dòng giao thông Hệ thống sử dụng thuật toán này sẽ ngăn chặn việc tài nguyên

bị chiếm dụng không bình thường trong thời gian dài Bảo đảm hiệu suất của máy chủ trước các cuộc tấn công lũ SYN

Hình 2 18: Thuật toán PSO [10]

Thuật toán này sử dụng kỹ thuật hàng đợi Các yêu cầu kết nối đến sẽ được xếp vào

bộ đệm của hệ thống để chờ tới lượt xử lý Các kết nối chiếm tài nguyên của bộ đệm nhiều hơn và thời gian xử lý lâu hơn được gọi là “half open connections”

Trong bộ đệm, thời gian dành cho mỗi “half open connections” tối đa là ‘h’ giây Số yêu cầu “half open connections” nhiều nhất có thể chấp nhận xử lý là ‘m’ yêu cầu Khi ‘h’ và ‘m’ lớn thì không gian của bộ đệm cho những yêu cầu hợp lệ sẽ ít dần đi

và dẫn tới quá tải Ngược lại, nếu h và m nhỏ thì hệ thống có nhiều không gian cho

bộ đệm và tốc độ xử lý các yêu cầu sẽ nhanh hơn Nhưng hệ thống sẽ phải chấp nhận mất những gói “half open connections” hợp lệ

Trong kỹ thuật được đề xuất thì ‘h’ và ‘m’ là các thông số điều khiển việc tiếp nhận các gói tin Thuật toán PSO được áp dụng để các thông số này có thể tự động điều chỉnh cho phù hợp với lượng traffic ra vào bộ đệm, mà không gây ảnh hưởng đến chất lượng xử lý của hệ thống máy chủ Khi bộ đệm bị đầy, thì những gói “half open connections” sẽ lần lượt bị drop bỏ theo thứ tự tài nguyên đã chiếm giữ từ nhiều nhất đến ít dần

2.3.4 Phương Pháp Lọc Dựa Trên Nền Tảng Thống Kê

Năm 2014, nhóm Pourya Shamsolmoali [11] giới thiệu kỹ thuật thống kê để tìm và lọc các tấn công DDoS Mô hình được đề xuất là C2DF (Cloud Confidence DDoS Filtering), nó được đặt ở trước các máy chủ

Hình 2 19: Mô hình C2DF [11]

Mỗi gói tin đi vào, hệ thống sẽ dựa vào giá trị TTL để tính toán số hops mà gói tin đã

đi qua Bằng cách so sánh giá trị TTL với IP to hop count (IP2HC), nếu không giống nhau thì gói tin là giả mạo IP Khi đó hệ thống sẽ hủy không xử lý gói tin Những kẻ tấn công có thể mạo danh trường Header của gói tin nhưng không thể thay đổi giá trị

‘hop count’

Nếu IP không phải giả mạo, sẽ được cho qua và lọc ở tầng tiếp theo Trong bước này, hầu hết thông tin header của gói sẽ được so sánh với các thông tin đã được lưu trong data bases của hệ thống Hệ thống sẽ thống kê các thuộc tính của gói tin và traffic của

chúng trong từng thời điểm khác nhau, sau đó sẽ cập nhật vào cở sở dữ liệu của mình

Từ đó hệ thống có thể đưa ra so sánh với độ sai lệch thấp nhất

Để tính thông tin xác suất, hệ thống đã sử dụng định nghĩa của Jensen-Shannon Theo nhóm tác giả, mô hình này chỉ cần một dung lượng lưu trữ nhỏ để hoạt động

Mô hình đem lại khả năng xác định tấn công nhanh chóng Kết quả mô phỏng thu được chỉ ra rằng mô hình của họ có khả năng giảm thiểu hầu hết các tấn công TCP flood Độ chính xác của kết quả mô phỏng đạt 97%