Luận văn: Áp dụng tri thức về phát hiện, phân loại tấn công từ chối dịch vụ để thiết kế hệ thống bảo vệ : Luận văn ThS. Công nghệ thông tin 1.01.10
Nhà xuất bản: ĐHCN
Ngày: 2007
Chủ đề: An toàn dữ liệu
Công nghệ thông tin
Thiết bị phòng chống tấn công DoS
Miêu tả: 72 tr. + CD-ROM
Tổng quan về hệ thống mạng Internet, giao thức TCP/IP, khái niệm về tấn công DoS...Nghiên cứu về tấn công Từ chối dịch vụ qua việc phân loại các hình thức tấn công, phân loại các cơ chế bảo vệ DoS. Tìm hiểu tri thức hỗ trợ phát hiện tấn công DoS nhờ mô hình thống kê. Nghiên cứu về phát hiện, chống DDOS theo thống kê, sử dụng entropy để xây dựng mô hình theo dõi và phản ứng lại DDoS theo lịch sử IP và Van điều tiết. Thiết kế mô hình hệ thống phát hiện và chống lại tấn công DDoS
Luận văn ThS. Công nghệ thông tin -- Trường Đại học Công nghệ. Đại học Quốc gia Hà Nội, 2007
Mục lục
Lời Thank ..................................................................................................................2
Mục lục........................................................................................................................3
Danh mục các từ viết tắt..............................................................................................6
Danh mục các bảng .....................................................................................................7
Danh mục các hình vẽ .................................................................................................8
Mở đầu ........................................................................................................................9
Chương 1 Tổng quan ...........................................................................................10
1.1 Hệ thống mạng Internet..............................................................................10
1.2 Giao thức TCP/IP .......................................................................................12
1.2.1 Khái niệm về phân lớp ........................................................................12
1.2.2 Các lớp trong TCP/IP..........................................................................16
1.2.3 Địa chỉ Internet ...................................................................................17
1.2.4 Giao thức IP ........................................................................................19
1.3 Khái niệm về tấn công DoS........................................................................19
1.3.1 Nguyên nhân của các cuộc tấn công từ chối dịch vụ..........................20
1.3.2 Cơ chế chung của tấn công từ chối dịch vụ ........................................23
1.3.3 Lý do tiến hành tấn công từ chối dịch vụ............................................23
1.4 Các nghiên cứu có liên quan ......................................................................24
1.5 Kết luận ......................................................................................................25
Chương 2 Nghiên cứu về tấn công Từ chối dịch vụ............................................26
2.1 Phân loại các hình thức tấn công................................................................26
2.1.1 Mức độ tự động...................................................................................27
2.1.2 Lợi dụng lỗ hổng để tấn công. ............................................................32
2.1.3 Tính xác thực của địa chỉ nguồn .........................................................33
2.1.4 Cường độ tấn công..............................................................................34
2.1.5 Khả năng xác định thông tin ...............................................................35
2.1.6 Độ ổn định của tập máy công cụ.........................................................37
Ket-noi.com kho tai lieu mien phi Ket-noi.com kho tai lieu mien phi4
2.1.7 Dạng mục tiêu .....................................................................................37
2.1.8 Tác động tới dịch vụ ...........................................................................39
2.2 Phân loại các các cơ chế bảo vệ DoS .........................................................40
2.2.1 Phân loại theo cơ chế hoạt động .........................................................42
2.2.2 Phân loại theo mức độ hợp tác............................................................48
2.3 Kết luận ......................................................................................................50
Chương 3 Tri thức hỗ trợ phát hiện tấn công DoS nhờ mô hình thống kê ..........51
3.1 Nghiên cứu về phát hiện, chống DDOS theo thống kê .............................51
3.1.1 Điểm thay đổi......................................................................................51
3.1.2 Hệ thống EMERALD .........................................................................52
3.1.3 Cơ chế van điều tiết của Williamson ..................................................53
3.1.4 Cơ chế lưu vết IP theo lịch sử kết nối.................................................55
3.2 Sử dụng Entropy để xây dựng mô hình theo dõi........................................57
3.2.1 Entropy của nguồn tin.........................................................................57
3.2.2 Xây dựng mô hình Entropy của nguồn tin..........................................59
3.2.3 Phát hiện thay đổi theo ngưỡng ..........................................................59
3.3 Phản ứng lại DDoS theo lịch sử IP và Van điều tiết ..................................60
3.3.1 Hạn chế theo địa chỉ IP đã biết ...........................................................60
3.3.2 Điều tiết truy cập theo địa chỉ IP. .......................................................61
Chương 4 Thiết kế mô hình hệ thống phát hiện và chống lại tấn công DDoS ....62
4.1 Mô hình triển khai vật lý ............................................................................62
4.2 Các thành phần của hệ thống......................................................................63
4.2.1 Thiết kế phân lớp của hệ thống...........................................................64
4.2.2 Thiết kế chi tiết các thành phần hệ thống ...........................................66
4.2.3 Danh sách lưu trữ IP ...........................................................................69
4.3 Đề xuất và khuyến nghị..............................................................................70
Kết luận .....................................................................................................................71
Tài liệu tham khảo.....................................................................................................72
Phụ lục.......................................................................................................................736
Danh mục các từ viết tắt
Từ viết tắt Ý nghĩa
DDoS Distributed Denial Of Service
IMP Interface Message Processor
NFSNET National Science Foundation network
CIX Commercial Internet Exchange
Association
HTML HyperText Markup Language
ICMP Internet Control Message Protocol
IGMP Internet Group Management Protocol
TCP Transmission Control Protocol
SMTP Simple Mail Transfer Protocol
DNS Domain Name Server
FTP File Transfer Protocol
UDP User Data Protocol
MULTOPS MUlti Level Tree for Online Packer
Statistics
CAIDA Cooperative Association for Internet
Data Analysis
EMERALD Event Monitoring Enabling Responses
to Anomalous Live Disturbances
HEDDAD History IP & Entropy-based Detection
and Defense Against DDoS
Ket-noi.com kho tai lieu mien phi Ket-noi.com kho tai lieu mien phi7
Danh mục các bảng
Bảng 1 Các lớp trong giao thức TCP/IP ...................................................................12
Bảng 2 Các giải địa chỉ IP.........................................................................................188
Danh mục các hình vẽ
Hình 1 Phiên truyền tin giữa hai node mạng.............................................................14
Hình 2 Kết nối giữa hai hệ thống mạng sử dụng Router ..........................................15
Hình 3 Mô hình hoạt động TCP/IP ...........................................................................16
Hình 4 Các lớp địa chỉ IP..........................................................................................18
Hình 5 Cấu trúc gói tin TCP .....................................................................................19
Hình 6 Tấn công DoS theo mô hình phản xạ............................................................22
Hình 7 Phát hiện nguồn tấn công theo kỹ thuật backscatter .....................................41
Hình 8 Thuật toán xử lý cờ SYN ..............................................................................52
Hình 9 Kiến trúc hệ thống EMERALD ....................................................................53
Hình 10 Xử lý kết nối đến máy trạm.........................................................................54
Hình 11 Xử lý kết nối có trong hàng đợi ..................................................................55
Hình 12 Mô hình triển khai của HEDDAD ..............................................................62
Hình 13 Trình tự xử lý của hệ thống HEDDAD.......................................................65
Hình 14 Sơ đồ thiết kế hệ thống nhận dạng và phản ứng ........................................66
Hình 15 Sơ đồ dữ liệu lưu trữ cây IP ........................................................................70
Ket-noi.com kho tai lieu mien phi Ket-noi.com kho tai lieu mien phi9
Mở đầu
Tấn công DDoS không còn là khái niệm xa lạ tại Việt Nam. Kể từ năm 1997, khi
Internet lần đấu tiên được chính thức hoạt động trong nước, hệ thống mạng dịch vụ
tại Việt Nam đã có những bước phát triển nhanh chóng. Tới tháng 1 năm 2006, đã
có hơn một tỷ người sử dụng Internet [36], và tại Việt Nam là hơn 5 triệu người sử
dụng[35]. Các dịch vụ mạng, thương mại điện tử càng phát triển thì đi kèm với đó
là những hoạt động phá hoại, tấn công vào các trang web dịch vụ càng gia tăng. Các
cuộc tấn công chuyển dần từ tấn công tập trung từ một nguồn chuyển sang tấn công
phân tán từ nhiều nguồn. Trước tình hình đó, cần có những nghiên cứu chuyên sâu
về tấn công từ chối dịch vụ, cách thức phòng chống, phát hiện và chống lại.. Trong
khuôn khổ luân văn, khái niệm tấn công từ chối dịch vụ phân tán – DDoS cũng
đồng nghĩa với từ chối dịch vụ - DoS. Luận văn tập trung vào việc nghiên cứu
những tiêu chí phân loại tấn công DoS. Các nghiên cứu này được kỳ vọng sẽ là
những tài liệu mang tính tổng kết về những loại hình tấn công DoS đã biết và sẽ
được phát hiện.
Bên cạnh đó, luận văn cũng đưa ra một số kỹ thuật có thể được sử dụng để xây
dựng những thiết bị phòng chống tấn công DoS. Các kỹ thuật này tập trung theo
hướng phát hiện sự bất thường trong hoạt động của mạng. Hệ thống mạng sẽ được
mô hình hóa bằng những thông số về entropy của thông tin. Những sự thay đổi bất
thường về entropy sẽ được theo dõi và ghi nhận. Khi có sự thay đổi giá trị, các sự
bất thường này sẽ được phát hiện dựa trên những phương pháp thống kê và so sánh
mô hình. Sau khi phát hiện có những dấu hiệu tấn công, cơ chế bảo vệ sẽ được kích
hoạt, hạn chế kết nối theo địa chỉ IP để đảm bảo hoạt động phục vụ của hệ thống
được bảo vệ.10
Chương 1 Tổng quan
Nghiên cứu về DoS dựa trên những những nghiên cứu về bản chất của giao thức
TCP/IP. Dựa trên họ giao thức TCP/IP, giao thức không xác thực người tham gia
truyền tin, có thể nói hệ thống Internet là một hệ thống mở, trong đó mọi người hoạt
động đều ngang hàng nhau, không bị kiểm soát. Lợi dụng vấn đề về tính định danh
lỏng lẻo của hệ thống Internet, hình thức tấn công từ chối dịch vụ - Denial of
Service , sau đây gọi tắt là DoS, đã được sử dụng phổ biến để:
Tạo lập danh tiếng với những kẻ thiếu hiểu biết
Công cụ cạnh tranh giữa các nhà cung cấp dịch vụ thương mại, truyền tin ..
Công cụ tống tiến của những tội phạm mạng
1.1 Hệ thống mạng Internet
Bắt đầu từ hệ thống mạng ARPAnet của Bộ Quốc phòng Hoa Kỳ, với mục đích xây
dựng một mạng lưới liên lạc tin cậy, hoạt động được ngay cả khi một phần hệ thống
đã bị phá hủy. Vào cuối năm 1966, những nền tảng đầu tiên của hệ thống mạng đã
được xây dựng [36]. Giao thức đầu tiên được sử dụng để truyền tin trong hệ thống
ARPAnet là 1822[18], quy định cách truyên tin giữa một máy tính tới một
IMP. IMP là khái niệm về một máy tính có chức năng xử lý các bản tin truyền trong
hệ thống mạng. Mỗi IMP tại một site có chức năng lưu trữ và chuyển tiếp ( store &
forward) gói tin và được kết nối với nhau thông qua các modem, đường truyền
leased line, tốc độ khoảng 50kb/s.
Đến năm 1970, mạng ARPAnet đã kết nối được 9 điểm và phát triển nhanh chóng
những năm tiếp theo. Đến năm 1981, đã có 212 host kết nối với tốc độ 2 ngày có
một host mới kết nối vào mạng. Đến năm 1984, mạng máy tính của bộ Quốc phòng
Mỹ tách khỏi mạng ARPAnet và gọi là mạng MILNET.
Sau một thời gian hoạt động, do một số lý do kỹ thuật và chính trị, kế hoạch sử
dụng mạng ARPANET không thu được kết quả như mong muốn. Vì vậy Hội đồng
khoa học Quốc gia Mỹ đã quyết định xây dựng một mạng riêng NSFNET liên kết
Ket-noi.com kho tai lieu mien phi Ket-noi.com kho tai lieu mien phi11
các trung tâm tính toán lớn và các trường đại học vào năm 1986 sử dụng giao thức
TCP/IP. Mạng này phát triển hết sức nhanh chóng, không ngừng được nâng cấp và
mở rộng liên kết tới hàng loạt các doanh nghiệp, các cơ sở nghiên cứu và đào tạo
của nhiều nước khác nhau. Cũng từ đó thuật ngữ INTERNET ra đời. Dần dần kỹ
thuật xây dựng mạng ARPAnet đã được thừa nhận bởi tổ chức NSF, kỹ thuật này
được sử dụng để dựng mạng lớn hơn với mục đích liên kết các trung tâm nghiên
cứu lớn của nước Mỹ. Người ta đã nối các siêu máy tính thuộc các vùng khác nhau
bằng đường điện thoại có tốc độ cao. Tiếp theo là sự mở rộng mạng này đến các
trường đại học. Ngày càng có nhiều người nhận ra lợi ích của hệ thống mạng trên,
người ta dùng để trao đổi thông tin giữa các vùng với khoảng cách ngày càng xa.
Vào đầu những năm 1990 người ta bắt đầu mở rộng hệ thống mạng sang lĩnh vực
thương mại tạo thành nhóm CIX. Có thể nói Internet thật sự hình thành từ đây.
Nhưng chỉ đến khi Tim Berners-Lee phát triển HTML, HTTP tại CERN năm 1991,
thì Internet mới thực sự phát triển “bùng nổ”. Với công nghệ HTML, các trang web
được tạo ra một cách nhanh chóng và tiện lợi cho người sử dụng truy cập, đọc thông
tin. Năm 1993, trung tâm NCSA tại đại học Illinois đưa ra trình duyệt web Mosaic
1.0, nền tảng cho các trình duyệt web về sau. Và bắt đầu từ thời điểm đó, mạng
Internet đã phát triển nhanh chóng, lan rộng khắp toàn cầu. Tới tháng 1 năm 2006,
đã có hơn một tỷ người sử dụng Internet [33], và tại Việt Nam là hơn 5 triệu người
sử dụng.
Ngày nay, với sự phát triển của thương mại điện tử, khó có thể tách rời sự tồn tại
của Internet với xã hội loài người. Thống kê cho thấy, trong năm 2006, tổng giá trị
bán hàng qua mạng sẽ đạt con số 200 tỷ USD [34]. Kinh doanh qua mạng Internet,
quảng cáo qua Intenret, cung cấp thông tin qua Internet đã là những khái niệm kinh
điển. Trang web chính là bộ mặt của công ty, là nơi giao dịch mua bán, là nơi tiếp
đón người dùng, nơi giao lưu, kết bạn. Những mô hình kinh doanh thành công như
ebay, yahoo, google ngày nay đã và đang liên tục phát triển.12
1.2 Giao thức TCP/IP
Họ giao thức TCP/IP cho phép mọi hệ thống máy tính giao tiếp với nhau mà không
quan tâm đến quy mô hệ thống, nhà sản xuất phần cứng, hệ điều hành được cài đặt.
Theo định nghĩa của giao thức, TCP/IP thực sự là một hệ thống mở [22]. Nó cho
phép triển khai thêm các thành phần với một chi phí thực sự được giảm thiểu và
thời gian rút ngắn đáng kể.
Phần này giới thiệu một số thông tin cơ bản về họ giao thức TCP/IP, nhấn mạnh vào
những cơ chế hoạt động để minh họa cho chương tiếp theo.
1.2.1 Khái niệm về phân lớp
Các giao thức trên mạng được phát triển theo những lớp giao thức – layer. Mỗi lớp
sẽ có nhiệm vụ xử lý một mức độ giao tiếp khác nhau. Họ giao thức TCP/IP được
phân chia theo 4 lớp ( để phù hợp với các tài liệu tiếng Anh, giữ nguyên tên gọi của
các lớp). Mỗi lớp sẽ đảm nhận một chức năng riêng rẽ.
TÊN LỚP ỨNG DỤNG
Application Telnet, FTP, SMTP ..
Transport TCP,UDP
Network IP,ICMP, IGMP
Link Các trình điều khiển thiết bị và
cổng kết nối
Bảng 1 Các lớp trong giao thức TCP/IP
i. Lớp Kết nối – Link: hay còn gọi data-link(liên kết dữ liệu), bao gồm hệ thống các
trình điều khiển thiết bị được cài đặt kèm với hệ điều hành và các cổng kết nối
mạng có trên hệ thống. Mọi chức năng xử lý phần cứng được thiết lập tại lớp này.
ii. Lớp mạng – network: hay còn gọi là lớp internet xử lý việc di chuyển của các gói
tin trong toàn mạng. Một số chức năng quan trọng được thực hiện tại lớp này: định
tuyến (routing), thông báo lỗi (ICMP). Lớp này có 3 giao thức cơ bản là IP, ICMP
và IGMP.
Ket-noi.com kho tai lieu mien phi Ket-noi.com kho tai lieu mien phi13
iii. Lớp giao vận – transport: điều khiển luồng dữ liệu giữa 2 host (máy tính). Có 2
giao thức xử lý tương đối khác nhau là TCP và UDP (User Datagram Protocol).
Với giao thức TCP các luồng dữ liệu được phân chia hay gộp vào tạo thành các
“bó” có kích thước phù hợp với lớp mạng ở dưới. Ngoài ra, TCP có nhiệu vụ thông
báo xác nhận cho các gói tin đã đến, thiết lập thời gian chờ (timeout) cho các gói tin
gửi đi .v.v Với các phiên truyền tin sử dụng TCP đô tin cậy của phiên truyền tin đã
được đảm bảo nên tầng Ứng dụng – Application có thể không cần quan tâm đến
việc này.
Trái lại, với giao thức UDP, phiên truyền tin được thực hiện đơn giản hơn. Phía gửi
chi gửi một loạt các gói dữ liệu – datagrams mà không “quan tâm” đến việc liệu gói
tin có thể đến được phía nhận hay không. Tầng Application sẽ phải xử lý tính tin
cậy của phiên truyền tin.
iv. Lớp ứng dụng – Application : Xử lý chi tiết các phiên làm việc theo từng ứng
dụng. Có rất nhiều ứng dụng khác nhau được xây dựng dựa trên những giao thức
tầng Ứng dụng như:
* Telnet
* FTP
*WEB – HTTP
* SMTP – email
*DNS – Tên miền
Hình dưới đây mô tả phiên truyền tin FTP giữa hai host trong cùng một mạng
LAN– Ethernet :
4.2.1 Thiết kế phân lớp của hệ thống
Hệ thống phát hiện và phản ứng lại tấn công DDoS được thiết kế theo mô hình phân
lớp xử lý dịch vụ. Mô hình phân lớp này cho phép các thành phần được phát triển
độc lập tại từng lớp. Lớp mới chỉ cần thỏa mãn các giao diện lập trình tại các điểm
kết nối của lớp là có thể hoạt động với lớp trên và dưới.
Lớp dưới cùng của hệ thống HEDDAD là lớp xử lý gói tin. Lớp này trực tiếp đọc
các gói tin từ giao diện mạng qua thư viện libpcap. Tại đây, các gói tin được xử lý
sơ bộ như: ghép lại thành các kết nối, xử lý những gói tin phân mảnh, nhận dạng
các dịch vụ trong kết nối… Lớp này cũng là lớp điều khiển việc chuyển tiếp gói tin
hay điều tiết gói tin. Khái niệm chuyển tiếp được sử dụng khi hệ thống hoạt động
bình thường, không có cuộc tấn công nào. Tại thời điểm này, các gói tin chuyển qua
hệ thống sẽ được sao chép để xử lý và chuyển tiếp ngay lập tức. Trong điều kiện
xảy ra tấn công, các gói tin sẽ được đưa qua một bộ điều tiết để hạn chế các kết nối
đến hệ thống. Mục tiêu là đảm bảo cho các khách hàng được phục vụ với chất lượng
dịch vụ tối thiểu cần có.
Lớp tiếp theo của hệ thống là lớp xử lý tính toán các đặc trưng để phục vụ cho công
tác phát hiện hay phản ứng bên trên. Tại đây, các thông tin đặc trưng sẽ được trích,
chọn để lưu trữ, tính toán. Các thông tin được sử dụng: địa chỉ IP nguồn của kết nối,
tần xuất của kết nối, entropy của khung lấy mẫu.
Lớp trên cùng đảm nhận các công tác xử lý logic. Dựa vào những tính toán về
entropy, về địa chỉ IP từ các lớp dưới chuyển lên, hệ thống so sánh, đưa ra những
quyết định về việc có hay không cuộc tấn công từ chối dịch vụ. Trong trường hợp
có tấn công, các danh sách địa chỉ IP đã được lưu trữ sẽ được sử dụng để phản ứng
lại. Bên cạnh đó, lớp này cũng làm các công tác lưu trữ, nhận dạng chữ ký tấn công
để có thể sử dụng lại về sau.
Do Drive thay đổi chính sách, nên một số link cũ yêu cầu duyệt download. các bạn chỉ cần làm theo hướng dẫn.
Password giải nén nếu cần: ket-noi.com | Bấm trực tiếp vào Link để tải:
Nhà xuất bản: ĐHCN
Ngày: 2007
Chủ đề: An toàn dữ liệu
Công nghệ thông tin
Thiết bị phòng chống tấn công DoS
Miêu tả: 72 tr. + CD-ROM
Tổng quan về hệ thống mạng Internet, giao thức TCP/IP, khái niệm về tấn công DoS...Nghiên cứu về tấn công Từ chối dịch vụ qua việc phân loại các hình thức tấn công, phân loại các cơ chế bảo vệ DoS. Tìm hiểu tri thức hỗ trợ phát hiện tấn công DoS nhờ mô hình thống kê. Nghiên cứu về phát hiện, chống DDOS theo thống kê, sử dụng entropy để xây dựng mô hình theo dõi và phản ứng lại DDoS theo lịch sử IP và Van điều tiết. Thiết kế mô hình hệ thống phát hiện và chống lại tấn công DDoS
Luận văn ThS. Công nghệ thông tin -- Trường Đại học Công nghệ. Đại học Quốc gia Hà Nội, 2007
Mục lục
Lời Thank ..................................................................................................................2
Mục lục........................................................................................................................3
Danh mục các từ viết tắt..............................................................................................6
Danh mục các bảng .....................................................................................................7
Danh mục các hình vẽ .................................................................................................8
Mở đầu ........................................................................................................................9
Chương 1 Tổng quan ...........................................................................................10
1.1 Hệ thống mạng Internet..............................................................................10
1.2 Giao thức TCP/IP .......................................................................................12
1.2.1 Khái niệm về phân lớp ........................................................................12
1.2.2 Các lớp trong TCP/IP..........................................................................16
1.2.3 Địa chỉ Internet ...................................................................................17
1.2.4 Giao thức IP ........................................................................................19
1.3 Khái niệm về tấn công DoS........................................................................19
1.3.1 Nguyên nhân của các cuộc tấn công từ chối dịch vụ..........................20
1.3.2 Cơ chế chung của tấn công từ chối dịch vụ ........................................23
1.3.3 Lý do tiến hành tấn công từ chối dịch vụ............................................23
1.4 Các nghiên cứu có liên quan ......................................................................24
1.5 Kết luận ......................................................................................................25
Chương 2 Nghiên cứu về tấn công Từ chối dịch vụ............................................26
2.1 Phân loại các hình thức tấn công................................................................26
2.1.1 Mức độ tự động...................................................................................27
2.1.2 Lợi dụng lỗ hổng để tấn công. ............................................................32
2.1.3 Tính xác thực của địa chỉ nguồn .........................................................33
2.1.4 Cường độ tấn công..............................................................................34
2.1.5 Khả năng xác định thông tin ...............................................................35
2.1.6 Độ ổn định của tập máy công cụ.........................................................37
Ket-noi.com kho tai lieu mien phi Ket-noi.com kho tai lieu mien phi4
2.1.7 Dạng mục tiêu .....................................................................................37
2.1.8 Tác động tới dịch vụ ...........................................................................39
2.2 Phân loại các các cơ chế bảo vệ DoS .........................................................40
2.2.1 Phân loại theo cơ chế hoạt động .........................................................42
2.2.2 Phân loại theo mức độ hợp tác............................................................48
2.3 Kết luận ......................................................................................................50
Chương 3 Tri thức hỗ trợ phát hiện tấn công DoS nhờ mô hình thống kê ..........51
3.1 Nghiên cứu về phát hiện, chống DDOS theo thống kê .............................51
3.1.1 Điểm thay đổi......................................................................................51
3.1.2 Hệ thống EMERALD .........................................................................52
3.1.3 Cơ chế van điều tiết của Williamson ..................................................53
3.1.4 Cơ chế lưu vết IP theo lịch sử kết nối.................................................55
3.2 Sử dụng Entropy để xây dựng mô hình theo dõi........................................57
3.2.1 Entropy của nguồn tin.........................................................................57
3.2.2 Xây dựng mô hình Entropy của nguồn tin..........................................59
3.2.3 Phát hiện thay đổi theo ngưỡng ..........................................................59
3.3 Phản ứng lại DDoS theo lịch sử IP và Van điều tiết ..................................60
3.3.1 Hạn chế theo địa chỉ IP đã biết ...........................................................60
3.3.2 Điều tiết truy cập theo địa chỉ IP. .......................................................61
Chương 4 Thiết kế mô hình hệ thống phát hiện và chống lại tấn công DDoS ....62
4.1 Mô hình triển khai vật lý ............................................................................62
4.2 Các thành phần của hệ thống......................................................................63
4.2.1 Thiết kế phân lớp của hệ thống...........................................................64
4.2.2 Thiết kế chi tiết các thành phần hệ thống ...........................................66
4.2.3 Danh sách lưu trữ IP ...........................................................................69
4.3 Đề xuất và khuyến nghị..............................................................................70
Kết luận .....................................................................................................................71
Tài liệu tham khảo.....................................................................................................72
Phụ lục.......................................................................................................................736
Danh mục các từ viết tắt
Từ viết tắt Ý nghĩa
DDoS Distributed Denial Of Service
IMP Interface Message Processor
NFSNET National Science Foundation network
CIX Commercial Internet Exchange
Association
HTML HyperText Markup Language
ICMP Internet Control Message Protocol
IGMP Internet Group Management Protocol
TCP Transmission Control Protocol
SMTP Simple Mail Transfer Protocol
DNS Domain Name Server
FTP File Transfer Protocol
UDP User Data Protocol
MULTOPS MUlti Level Tree for Online Packer
Statistics
CAIDA Cooperative Association for Internet
Data Analysis
EMERALD Event Monitoring Enabling Responses
to Anomalous Live Disturbances
HEDDAD History IP & Entropy-based Detection
and Defense Against DDoS
Ket-noi.com kho tai lieu mien phi Ket-noi.com kho tai lieu mien phi7
Danh mục các bảng
Bảng 1 Các lớp trong giao thức TCP/IP ...................................................................12
Bảng 2 Các giải địa chỉ IP.........................................................................................188
Danh mục các hình vẽ
Hình 1 Phiên truyền tin giữa hai node mạng.............................................................14
Hình 2 Kết nối giữa hai hệ thống mạng sử dụng Router ..........................................15
Hình 3 Mô hình hoạt động TCP/IP ...........................................................................16
Hình 4 Các lớp địa chỉ IP..........................................................................................18
Hình 5 Cấu trúc gói tin TCP .....................................................................................19
Hình 6 Tấn công DoS theo mô hình phản xạ............................................................22
Hình 7 Phát hiện nguồn tấn công theo kỹ thuật backscatter .....................................41
Hình 8 Thuật toán xử lý cờ SYN ..............................................................................52
Hình 9 Kiến trúc hệ thống EMERALD ....................................................................53
Hình 10 Xử lý kết nối đến máy trạm.........................................................................54
Hình 11 Xử lý kết nối có trong hàng đợi ..................................................................55
Hình 12 Mô hình triển khai của HEDDAD ..............................................................62
Hình 13 Trình tự xử lý của hệ thống HEDDAD.......................................................65
Hình 14 Sơ đồ thiết kế hệ thống nhận dạng và phản ứng ........................................66
Hình 15 Sơ đồ dữ liệu lưu trữ cây IP ........................................................................70
Ket-noi.com kho tai lieu mien phi Ket-noi.com kho tai lieu mien phi9
Mở đầu
Tấn công DDoS không còn là khái niệm xa lạ tại Việt Nam. Kể từ năm 1997, khi
Internet lần đấu tiên được chính thức hoạt động trong nước, hệ thống mạng dịch vụ
tại Việt Nam đã có những bước phát triển nhanh chóng. Tới tháng 1 năm 2006, đã
có hơn một tỷ người sử dụng Internet [36], và tại Việt Nam là hơn 5 triệu người sử
dụng[35]. Các dịch vụ mạng, thương mại điện tử càng phát triển thì đi kèm với đó
là những hoạt động phá hoại, tấn công vào các trang web dịch vụ càng gia tăng. Các
cuộc tấn công chuyển dần từ tấn công tập trung từ một nguồn chuyển sang tấn công
phân tán từ nhiều nguồn. Trước tình hình đó, cần có những nghiên cứu chuyên sâu
về tấn công từ chối dịch vụ, cách thức phòng chống, phát hiện và chống lại.. Trong
khuôn khổ luân văn, khái niệm tấn công từ chối dịch vụ phân tán – DDoS cũng
đồng nghĩa với từ chối dịch vụ - DoS. Luận văn tập trung vào việc nghiên cứu
những tiêu chí phân loại tấn công DoS. Các nghiên cứu này được kỳ vọng sẽ là
những tài liệu mang tính tổng kết về những loại hình tấn công DoS đã biết và sẽ
được phát hiện.
Bên cạnh đó, luận văn cũng đưa ra một số kỹ thuật có thể được sử dụng để xây
dựng những thiết bị phòng chống tấn công DoS. Các kỹ thuật này tập trung theo
hướng phát hiện sự bất thường trong hoạt động của mạng. Hệ thống mạng sẽ được
mô hình hóa bằng những thông số về entropy của thông tin. Những sự thay đổi bất
thường về entropy sẽ được theo dõi và ghi nhận. Khi có sự thay đổi giá trị, các sự
bất thường này sẽ được phát hiện dựa trên những phương pháp thống kê và so sánh
mô hình. Sau khi phát hiện có những dấu hiệu tấn công, cơ chế bảo vệ sẽ được kích
hoạt, hạn chế kết nối theo địa chỉ IP để đảm bảo hoạt động phục vụ của hệ thống
được bảo vệ.10
Chương 1 Tổng quan
Nghiên cứu về DoS dựa trên những những nghiên cứu về bản chất của giao thức
TCP/IP. Dựa trên họ giao thức TCP/IP, giao thức không xác thực người tham gia
truyền tin, có thể nói hệ thống Internet là một hệ thống mở, trong đó mọi người hoạt
động đều ngang hàng nhau, không bị kiểm soát. Lợi dụng vấn đề về tính định danh
lỏng lẻo của hệ thống Internet, hình thức tấn công từ chối dịch vụ - Denial of
Service , sau đây gọi tắt là DoS, đã được sử dụng phổ biến để:
Tạo lập danh tiếng với những kẻ thiếu hiểu biết
Công cụ cạnh tranh giữa các nhà cung cấp dịch vụ thương mại, truyền tin ..
Công cụ tống tiến của những tội phạm mạng
1.1 Hệ thống mạng Internet
Bắt đầu từ hệ thống mạng ARPAnet của Bộ Quốc phòng Hoa Kỳ, với mục đích xây
dựng một mạng lưới liên lạc tin cậy, hoạt động được ngay cả khi một phần hệ thống
đã bị phá hủy. Vào cuối năm 1966, những nền tảng đầu tiên của hệ thống mạng đã
được xây dựng [36]. Giao thức đầu tiên được sử dụng để truyền tin trong hệ thống
ARPAnet là 1822[18], quy định cách truyên tin giữa một máy tính tới một
IMP. IMP là khái niệm về một máy tính có chức năng xử lý các bản tin truyền trong
hệ thống mạng. Mỗi IMP tại một site có chức năng lưu trữ và chuyển tiếp ( store &
forward) gói tin và được kết nối với nhau thông qua các modem, đường truyền
leased line, tốc độ khoảng 50kb/s.
Đến năm 1970, mạng ARPAnet đã kết nối được 9 điểm và phát triển nhanh chóng
những năm tiếp theo. Đến năm 1981, đã có 212 host kết nối với tốc độ 2 ngày có
một host mới kết nối vào mạng. Đến năm 1984, mạng máy tính của bộ Quốc phòng
Mỹ tách khỏi mạng ARPAnet và gọi là mạng MILNET.
Sau một thời gian hoạt động, do một số lý do kỹ thuật và chính trị, kế hoạch sử
dụng mạng ARPANET không thu được kết quả như mong muốn. Vì vậy Hội đồng
khoa học Quốc gia Mỹ đã quyết định xây dựng một mạng riêng NSFNET liên kết
Ket-noi.com kho tai lieu mien phi Ket-noi.com kho tai lieu mien phi11
các trung tâm tính toán lớn và các trường đại học vào năm 1986 sử dụng giao thức
TCP/IP. Mạng này phát triển hết sức nhanh chóng, không ngừng được nâng cấp và
mở rộng liên kết tới hàng loạt các doanh nghiệp, các cơ sở nghiên cứu và đào tạo
của nhiều nước khác nhau. Cũng từ đó thuật ngữ INTERNET ra đời. Dần dần kỹ
thuật xây dựng mạng ARPAnet đã được thừa nhận bởi tổ chức NSF, kỹ thuật này
được sử dụng để dựng mạng lớn hơn với mục đích liên kết các trung tâm nghiên
cứu lớn của nước Mỹ. Người ta đã nối các siêu máy tính thuộc các vùng khác nhau
bằng đường điện thoại có tốc độ cao. Tiếp theo là sự mở rộng mạng này đến các
trường đại học. Ngày càng có nhiều người nhận ra lợi ích của hệ thống mạng trên,
người ta dùng để trao đổi thông tin giữa các vùng với khoảng cách ngày càng xa.
Vào đầu những năm 1990 người ta bắt đầu mở rộng hệ thống mạng sang lĩnh vực
thương mại tạo thành nhóm CIX. Có thể nói Internet thật sự hình thành từ đây.
Nhưng chỉ đến khi Tim Berners-Lee phát triển HTML, HTTP tại CERN năm 1991,
thì Internet mới thực sự phát triển “bùng nổ”. Với công nghệ HTML, các trang web
được tạo ra một cách nhanh chóng và tiện lợi cho người sử dụng truy cập, đọc thông
tin. Năm 1993, trung tâm NCSA tại đại học Illinois đưa ra trình duyệt web Mosaic
1.0, nền tảng cho các trình duyệt web về sau. Và bắt đầu từ thời điểm đó, mạng
Internet đã phát triển nhanh chóng, lan rộng khắp toàn cầu. Tới tháng 1 năm 2006,
đã có hơn một tỷ người sử dụng Internet [33], và tại Việt Nam là hơn 5 triệu người
sử dụng.
Ngày nay, với sự phát triển của thương mại điện tử, khó có thể tách rời sự tồn tại
của Internet với xã hội loài người. Thống kê cho thấy, trong năm 2006, tổng giá trị
bán hàng qua mạng sẽ đạt con số 200 tỷ USD [34]. Kinh doanh qua mạng Internet,
quảng cáo qua Intenret, cung cấp thông tin qua Internet đã là những khái niệm kinh
điển. Trang web chính là bộ mặt của công ty, là nơi giao dịch mua bán, là nơi tiếp
đón người dùng, nơi giao lưu, kết bạn. Những mô hình kinh doanh thành công như
ebay, yahoo, google ngày nay đã và đang liên tục phát triển.12
1.2 Giao thức TCP/IP
Họ giao thức TCP/IP cho phép mọi hệ thống máy tính giao tiếp với nhau mà không
quan tâm đến quy mô hệ thống, nhà sản xuất phần cứng, hệ điều hành được cài đặt.
Theo định nghĩa của giao thức, TCP/IP thực sự là một hệ thống mở [22]. Nó cho
phép triển khai thêm các thành phần với một chi phí thực sự được giảm thiểu và
thời gian rút ngắn đáng kể.
Phần này giới thiệu một số thông tin cơ bản về họ giao thức TCP/IP, nhấn mạnh vào
những cơ chế hoạt động để minh họa cho chương tiếp theo.
1.2.1 Khái niệm về phân lớp
Các giao thức trên mạng được phát triển theo những lớp giao thức – layer. Mỗi lớp
sẽ có nhiệm vụ xử lý một mức độ giao tiếp khác nhau. Họ giao thức TCP/IP được
phân chia theo 4 lớp ( để phù hợp với các tài liệu tiếng Anh, giữ nguyên tên gọi của
các lớp). Mỗi lớp sẽ đảm nhận một chức năng riêng rẽ.
TÊN LỚP ỨNG DỤNG
Application Telnet, FTP, SMTP ..
Transport TCP,UDP
Network IP,ICMP, IGMP
Link Các trình điều khiển thiết bị và
cổng kết nối
Bảng 1 Các lớp trong giao thức TCP/IP
i. Lớp Kết nối – Link: hay còn gọi data-link(liên kết dữ liệu), bao gồm hệ thống các
trình điều khiển thiết bị được cài đặt kèm với hệ điều hành và các cổng kết nối
mạng có trên hệ thống. Mọi chức năng xử lý phần cứng được thiết lập tại lớp này.
ii. Lớp mạng – network: hay còn gọi là lớp internet xử lý việc di chuyển của các gói
tin trong toàn mạng. Một số chức năng quan trọng được thực hiện tại lớp này: định
tuyến (routing), thông báo lỗi (ICMP). Lớp này có 3 giao thức cơ bản là IP, ICMP
và IGMP.
Ket-noi.com kho tai lieu mien phi Ket-noi.com kho tai lieu mien phi13
iii. Lớp giao vận – transport: điều khiển luồng dữ liệu giữa 2 host (máy tính). Có 2
giao thức xử lý tương đối khác nhau là TCP và UDP (User Datagram Protocol).
Với giao thức TCP các luồng dữ liệu được phân chia hay gộp vào tạo thành các
“bó” có kích thước phù hợp với lớp mạng ở dưới. Ngoài ra, TCP có nhiệu vụ thông
báo xác nhận cho các gói tin đã đến, thiết lập thời gian chờ (timeout) cho các gói tin
gửi đi .v.v Với các phiên truyền tin sử dụng TCP đô tin cậy của phiên truyền tin đã
được đảm bảo nên tầng Ứng dụng – Application có thể không cần quan tâm đến
việc này.
Trái lại, với giao thức UDP, phiên truyền tin được thực hiện đơn giản hơn. Phía gửi
chi gửi một loạt các gói dữ liệu – datagrams mà không “quan tâm” đến việc liệu gói
tin có thể đến được phía nhận hay không. Tầng Application sẽ phải xử lý tính tin
cậy của phiên truyền tin.
iv. Lớp ứng dụng – Application : Xử lý chi tiết các phiên làm việc theo từng ứng
dụng. Có rất nhiều ứng dụng khác nhau được xây dựng dựa trên những giao thức
tầng Ứng dụng như:
* Telnet
* FTP
*WEB – HTTP
* SMTP – email
*DNS – Tên miền
Hình dưới đây mô tả phiên truyền tin FTP giữa hai host trong cùng một mạng
LAN– Ethernet :
4.2.1 Thiết kế phân lớp của hệ thống
Hệ thống phát hiện và phản ứng lại tấn công DDoS được thiết kế theo mô hình phân
lớp xử lý dịch vụ. Mô hình phân lớp này cho phép các thành phần được phát triển
độc lập tại từng lớp. Lớp mới chỉ cần thỏa mãn các giao diện lập trình tại các điểm
kết nối của lớp là có thể hoạt động với lớp trên và dưới.
Lớp dưới cùng của hệ thống HEDDAD là lớp xử lý gói tin. Lớp này trực tiếp đọc
các gói tin từ giao diện mạng qua thư viện libpcap. Tại đây, các gói tin được xử lý
sơ bộ như: ghép lại thành các kết nối, xử lý những gói tin phân mảnh, nhận dạng
các dịch vụ trong kết nối… Lớp này cũng là lớp điều khiển việc chuyển tiếp gói tin
hay điều tiết gói tin. Khái niệm chuyển tiếp được sử dụng khi hệ thống hoạt động
bình thường, không có cuộc tấn công nào. Tại thời điểm này, các gói tin chuyển qua
hệ thống sẽ được sao chép để xử lý và chuyển tiếp ngay lập tức. Trong điều kiện
xảy ra tấn công, các gói tin sẽ được đưa qua một bộ điều tiết để hạn chế các kết nối
đến hệ thống. Mục tiêu là đảm bảo cho các khách hàng được phục vụ với chất lượng
dịch vụ tối thiểu cần có.
Lớp tiếp theo của hệ thống là lớp xử lý tính toán các đặc trưng để phục vụ cho công
tác phát hiện hay phản ứng bên trên. Tại đây, các thông tin đặc trưng sẽ được trích,
chọn để lưu trữ, tính toán. Các thông tin được sử dụng: địa chỉ IP nguồn của kết nối,
tần xuất của kết nối, entropy của khung lấy mẫu.
Lớp trên cùng đảm nhận các công tác xử lý logic. Dựa vào những tính toán về
entropy, về địa chỉ IP từ các lớp dưới chuyển lên, hệ thống so sánh, đưa ra những
quyết định về việc có hay không cuộc tấn công từ chối dịch vụ. Trong trường hợp
có tấn công, các danh sách địa chỉ IP đã được lưu trữ sẽ được sử dụng để phản ứng
lại. Bên cạnh đó, lớp này cũng làm các công tác lưu trữ, nhận dạng chữ ký tấn công
để có thể sử dụng lại về sau.
Do Drive thay đổi chính sách, nên một số link cũ yêu cầu duyệt download. các bạn chỉ cần làm theo hướng dẫn.
Password giải nén nếu cần: ket-noi.com | Bấm trực tiếp vào Link để tải:
You must be registered for see links
Last edited by a moderator:
