TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI LUẬN VĂN THẠC SĨ Nghiên cứu giải pháp bảo mật mạng định nghĩa phần mềm SDN NGUYỄN TRÍ LUÂN luantringuyen@gmail.com Ngành Kỹ thuật viễn thông Giảng viên hướng dẫn: TS Nguyễn Trung Dũng Viện: Điện tử - Viễn thông HÀ NỘI, 9/2021 Chữ ký GVHD NGHIÊN CỨU GIẢI PHÁP BẢO MẬT TRONG MẠNG ĐỊNH NGHĨA BẰNG PHẦN MỀM SDN Giáo viên hướng dẫn Ký ghi rõ họ tên TS Nguyễn Trung Dũng LỜI CẢM ƠN Tôi xin gửi lời cảm ơn đến thầy cô giáo Viện Điện tử - Viễn thông giúp đỡ nhiều trình học tập làm luận văn Đặc biệt, xin gửi lời cảm ơn chân thành sâu sắc tới thầy giáo, TS Nguyễn Trung Dũng người trực tiếp hướng dẫn, giúp đỡ tơi hồn thành luận văn TÓM TẮT NỘI DUNG LUẬN VĂN Luận văn tập trung nghiên cứu lý thuyết tổng quan mạng SDN, giao thức OpenFlow vấn đề bảo mật mạng SDN với giải pháp phát hiện, ngăn chặn công tương ứng Nhằm chứng minh khả kỹ thuật cho phép can thiệp vào điều khiển SDN Controller việc phát hiện, ngăn chặn cơng, tác giả xây dựng mơ hình mạng SDN thử nghiệm phần mềm mô mạng Mininet có tích hợp sẵn SDN Controller (POX), lập trình module phần mềm tích hợp POX Controller thu thập luồng liệu qua hệ thống mô phỏng, sau phân tích để phát hiện, ngăn chặn cơng Tiếp đến sử dụng công cụ phần mềm để giả lập công hệ thống mô tích hợp module phần mềm phát ngăn chặn Kết phát ngăn chặn công thời gian ngắn, giúp hệ thống nhanh chóng phục hồi để phục vụ dịch vụ công xảy HỌC VIÊN Nguyễn Trí Luân MỤC LỤC CHƯƠNG TỔNG QUAN VỀ MẠNG ĐỊNH NGHĨA BẰNG PHẦN MỀM SDN 1.1 Giới thiệu SDN 1.2 Kiến trúc mạng SDN 1.2.1 Lớp mặt phẳng ứng dụng 1.2.2 Lớp mặt phẳng điều khiển 1.2.3 Lớp mặt phẳng liệu 1.3 So sánh với kiến trúc mạng IP truyền thống 1.4 Lợi ích SDN 1.5 Giao thức OpenFlow 1.5.1 Giới thiệu giao thức OpenFlow 1.5.2 OpenFlow Switch 10 1.5.3 Bản tin OpenFlow messages 13 CHƯƠNG VẤN ĐỀ BẢO MẬT TRONG MẠNG SDN 21 2.1 Một số vấn đề bảo mật lỗ hổng SDN 21 2.2 Các giải pháp bảo mật chung mạng SDN 24 2.3 Tấn công từ chối dịch vụ phân tán DDoS số giải pháp ngăn chặn SDN 26 2.3.1 Phân loại công DDoS 26 2.3.2 Các kỹ thuật phát công DDoS 29 2.3.3 Các kỹ thuật ngăn chặn, giảm thiểu công DDoS 30 CHƯƠNG XÂY DỰNG MƠ HÌNH HỆ THỐNG SDN VÀ KỊCH BẢN PHỊNG CHỐNG TẤN CƠNG DDOS 33 3.1 Xây dựng mơ hình hệ thống 33 3.2 Giải pháp phát hiện, phịng chống cơng DDoS 34 3.2 Xây dựng module phần mềm thu thập phát hiện/ngăn chặn công SDN Controller 35 3.3 Giới thiệu công cụ sử dụng mô 37 3.3.1 Môi trường giả lập mạng Mininet 37 3.3.2 Controller điều khiển POX 38 3.3.3 Các phần mềm bổ trợ 39 CHƯƠNG KẾT QUẢ MÔ PHỎNG CHỐNG TẤN CÔNG DDOS TRONG SDN 46 4.1 Triển khai mơ hình thử nghiệm 46 4.2 Mô cơng biện pháp phịng chống 48 4.2.1 Phát công theo phương pháp phân tích thủ cơng 49 4.2.2 Phát ngăn chặn công tự động POX Controller 53 TÀI LIỆU THAM KHẢO 57 DANH MỤC HÌNH VẼ Hình 1.1 Kiến trúc mạng SDN [1] Hình 1.2 So sánh kiến trúc mạng SDN kiến trúc mạng IP truyền thống Hình 1.3 Các thành phần OpenFlow switch [10] 10 Hình 1.4 Flow Entry bảng Flow Table 11 Hình 1.5 Cấu trúc bin PacketIn 14 Hình 1.6 Cấu trúc tin PacketOut 15 Hình 1.7 Cấu trúc tin FlowRemoved 16 Hình 1.8 Cấu trúc tin FlowMod 17 Hình 1.9 Cấu trúc tin StatsResquest 19 Hình 1.10 Cấu trúc tin StatsReply 19 Hình 2.1 Các kiểu công lỗ hổng bảo mật SDN [1] 21 Hình 2.2 Các giải pháp bảo mật chung 25 Hình 2.3 Phân loại kỹ thuật công DDoS 27 Hình 2.4 Bắt tay ba bước TCP (a) Tấn cơng TCP SYN Flood (b) 28 Hình 3.1 Mơ hình tổng quan hệ thống SDN giả lập 33 Hình 3.2 Giả lập lưu lượng công DDoS công cụ sẵn có 34 Hình 3.3 Mơ hình phát cơng phân tích liệu thủ cơng 35 Hình 3.4 Mơ hình phát hiện/ngăn chặn cơng tự động 35 Hình 3.5 Bộ điều khiển lấy thông tin phát cơng 36 Hình 3.6 Download mininet 2.2.2 từ trang chủ Mininet.org 38 Hình 3.7 Máy ảo Mininet triển khai VirtualBox 38 Hình 3.8 Giao diện phần mềm quản lý, cấu hình từ xa MobaXterm 40 Hình 3.9 Giao diện phần mềm Wireshark 41 Hình 3.10 Giao diện đo tốc độ cổng mạng phần mềm speedometer 42 Hình 3.11 Máy chủ HTTP Web sử dụng module phần mềm Python 43 Hình 3.12 Cơng cụ wget để kết nối, tải trang Web từ máy chủ 44 Hình 3.13 Sử dụng công cụ hping3 mô công TCP SYN flood 45 Hình 4.1 Mơ hình triển khai demo 46 Hình 4.2 Tạo mơ hình mạng Mininet 47 Hình 4.3 Khởi động remote POX controller kết nối đến Mininet 48 Hình 4.4 Kiểm tra thơng mạng Mininet kết nối đến POX controller 48 Hình 4.5 Kịch cơng HTTP Web 50 Hình 4.6 Phân tích tin cơng HTTP Web 50 Hình 4.7 Đo lưu lượng theo kịch công HTTP Web 51 Hình 4.8 Phân tích tin cơng TCP SYN - Sever bình thường 51 Hình 4.9 Phân tích tin cơng TCP SYN - Sever bị nghẽn 52 Hình 4.10 Đo lưu lượng theo kịch công TCP SYN 52 Hình 4.11 Kịch tự động ngăn chặn phát công HTTP Web 53 Hình 4.12 Phát ngăn chặn cơng HTTP Web POX controller 54 Hình 4.13 Quan sát lưu lượng ngăn chặn công HTTP Web POX 54 Hình 4.14 Phát ngăn chặn cơng TCP SYN POX controller 55 Hình 4.15 Quan sát lưu lượng ngăn chặn công TCP SYN POX 55 DANH MỤC BẢNG BIỂU Bảng 1.1 Ý nghĩa số trường thông tin flow entry 12 Bảng 1.2 Một số hành động Flow entry (Action) 12 Bảng 1.3 Thông số trường thống kê (Statistics) 13 Bảng 2.1 Phân loại vấn đề bảo mật theo lớp/giao diện ảnh hưởng 24 Bảng 3.1 So sánh số Controller SDN 39 DANH MỤC CHỮ VIẾT TẮT VIẾT TẮT DDoS DNS TCP UDP SDN IT IP CPU TTL TLS SSL TIẾNG ANH Distributed Denial of Service Domain Name System Transmission Control Protocol User Datagram Protocol Software Defined Networking Information Technology Internet Protocol Application Programming Interface Center Processing Unit Time To Live Transport Layer Security Secure Sockets Layer FPGA Field Progammable Gate Array MAC Media Access Control API TIẾNG VIỆT Từ chối dịch vụ phân tán Hệ thống phân giải tên miền Giao thức điều khiển truyền vận Giao thức gói tin người dùng Mạng định nghĩa phần mềm Công nghệ thơng tin Giao thức Internet Giao diện lập trình ứng dụng Bộ xử lý trung tâm Thời gian cập nhật Giao thức bảo mật Lớp cổng bảo mật Cấu trúc mảng phần tử logic lập trình Kiểm sốt truy cập CHƯƠNG TỔNG QUAN VỀ MẠNG ĐỊNH NGHĨA BẰNG PHẦN MỀM SDN 1.1 Giới thiệu SDN Công nghệ mạng truyền thống gặp nhiều vấn đề việc quản lý vận hành đặc biệt trung tâm liệu (data centers) mạng gia đình Đối với trung tâm liệu chứa nhiều thiết bị mạng tốc độ cao khác việc quản trị thiết bị riêng rẽ bất khả thi, muốn điều chỉnh sách truy cập mạng quản trị viên phải thay đổi cấu hình cho thiết bị cách thủ công Điều không khả thi số lượng thiết bị ngày gia tăng Đối với hệ thống mạng gia đình, người dùng cuối đa phần khơng có kiến thức quản trị mạng đủ để thay đổi cầu hình mặc định cho thiết bị Điều kẽ hở cho kẻ công lợi dụng nhằm khai thác công cách hiệu thơng qua lỗi cấu hình sai Điều dẫn đến nhu cầu có thay đổi cách mạng công nghệ mạng thông qua tập trung hóa việc quản trị : • Tách biệt phần điều khiển phần xử lý liệu • Biến phần điều khiển trở nên mềm dẻo cho phép lập trình để tự động hóa đơn giản hóa việc quản trị Từ cho đời khái niệm mạng định nghĩa phần mềm (Softwaredefined network) hay SDN 1.2 Kiến trúc mạng SDN [9] Kiến trúc mạng SDN chia làm ba lớp mặt phẳng (plane) chính: • Mặt phẳng ứng dụng: Application Plane • Mặt phẳng điều khiển: Control Plane • Mặt phẳng liệu: Infrastructure/Data Plane Hình 3.12 Cơng cụ wget để kết nối, tải trang Web từ máy chủ f) Hping3 Ping công cụ phổ biến tất máy tính kiểm tra liên thơng kết nối mạng sử dụng giao thức ICMP Tuy nhiên, công cụ đơn giản thực tế không cho phép sửa đổi gói tin, khơng sử dụng giao thức khác để gửi thông tin Hping3 ứng dụng nâng cao hơn, cho phép sửa đổi gói gửi qua giao thức TCP / IP, để kiểm sốt tốt gói điều chỉnh chúng theo nhu cầu Công cụ cài đặt lệnh đơn giản sau: sudo apt-get install hping3 Tác giả sử dụng công cụ hping3 để thực công DDoS theo kiểu TCP SYN Flood: hping3 10.0.0.4 -S flood -c Trong đó: - 10.0.0.4: Là địa IP máy chủ công - S : Tham số thể việc gửi tin TCP SYN flood: Cho phép gửi liên tiếp gói tin để thực việc làm tràn - c 1: Bộ đếm số gói tin tăng theo đơn vị 44 Hình 3.13 Sử dụng cơng cụ hping3 mô công TCP SYN flood 45 CHƯƠNG KẾT QUẢ MÔ PHỎNG CHỐNG TẤN CÔNG DDOS TRONG SDN 4.1 Triển khai mơ hình thử nghiệm Trên sở mơ hình giả lập cơng nghiên cứu phần lý thuyết trước, tác giả tiến hành xây dựng mơ hình mạng thử nghiệm thực tế sau: 127.0.0.1 Attack Clients Victim Server Hình 4.1 Mơ hình triển khai demo Mơ hình mạng gồm có: 01 OF vSwitch 03 host đóng vai trị máy khách cơng (Attack Client) 01 host đóng vai trị máy chủ bị cơng (Victim Server): - Bộ điều khiển mạng sử dụng POX Controller, theo mơ hình Remote với địa IP cổng 127.0.0.1:6633 (localhost) - OpenFlow Switch sử dụng loại OF vSwitch - Các host có địa sau: h1: 10.0.0.1/8 46 h2: 10.0.0.2/8 h3: 10.0.0.3/8 h4: 10.0.0.4/8 Mơ hình thực máy ảo Mininet theo bước sau: Bước 1: Tạo mơ hình mạng ứng dụng mininet sudo mn topo=single,4 switch=ovs controller=remote Hình 4.2 Tạo mơ hình mạng Mininet Tại ứng dụng mininet chạy, gõ lệnh pingall để phát/nhận gói tin từ tất host đến nhau, cho kết rớt gói (100% dropped) Lý ta chưa thực chạy POX controller nên gói tin vSwitch chưa điều khiển Bước 2: Khởi chạy POX controller với module tính điều khiển chuyển tiếp gói tin lớp 2: ~/pox/pox.py forwarding.l2_learning 47 Hình 4.3 Khởi động remote POX controller kết nối đến Mininet Trên POX controller lúc báo trạng thái kết nối thành công (connected) với vSwitch qua giao thức OpenFlow Bước 3: Kiểm tra hoạt động thành phần Trở lại cửa sổ Mininet, tiến hành gõ lại lệnh pingall Lúc cho kết 0% dropped, đồng nghĩa với mơ hình thử nghiệm bước đầu hoạt động: Hình 4.4 Kiểm tra thơng mạng Mininet kết nối đến POX controller 4.2 Mơ cơng biện pháp phịng chống 48 Sử dụng 03 host h1, h2, h3 đóng vai trị máy khách cơng: Gửi liên tiếp yêu cầu Request theo giao thức dịch vụ phía máy chủ, khiên cho máy chủ h4 khơng đáp ứng Response kịp thời cho Request từ máy công, dẫn đến tê liệt dịch vụ mà máy khác nhắm đến Cụ thể, tác giả sử dụng 02 loại hình cơng HTTP Web TCP SYN nhắm vào 02 lớp dịch vụ tương ứng lớp ứng dụng (Application) lớp truyền tải (TCP/UDP) mơ hình OSI lớp Việc dịch vụ TCP SYN lớp truyền tải thực công cụ hping3 nêu mục 3.3.3 b Việc công dịch vụ HTTP Web lớp ứng dụng thực công cụ wget nêu mục 3.3.3 e, đồng thời phía máy chủ sử dụng cơng cụ Simple http server (mục 3.3.3d): wget gửi HTTP request yêu cầu tải trang Web (index.html) từ Web server máy chủ Phía máy chủ đáp ứng cách truyền nội dung trang Web cho máy Client request Tuy nhiên để thực việc Flooding HTTP request cách liên tục, tác giả viết thêm Shell script Ubuntu để thực gửi liên tiếp HTTP request với chu kì 0.1 giây (100 ms) sau: i=0 while [ $i -le 100000 ] wget http://10.0.0.4:8000 sleep 0.1 let i++ done 4.2.1 Phát công theo phương pháp phân tích thủ cơng Trước tiên chạy POX controller mà chưa sử dụng module phần mềm phát hiện/ngăn chặn công nào: ~/pox/pox.py forwarding.l2_learning Trên máy công h1, h2, h3 thực cơng dịch vụ HTTP Web sau công TCP SYN Flood Lúc luồng lưu lượng từ máy phát tới OpenFlow vSwitch, trao đổi với controller Vì controller chưa bật chức phát giảm thiểu công toàn 49 lưu lượng vào chuyển tiếp hồn tồn sang phía Victim server, máy chủ nạn nhân hứng chịu cơng Hình 4.5 Kịch cơng HTTP Web Hình 4.6 Phân tích tin cơng HTTP Web 50 Hình 4.7 Đo lưu lượng theo kịch công HTTP Web Hình 4.8 Phân tích tin cơng TCP SYN - Sever bình thường 51 Hình 4.9 Phân tích tin cơng TCP SYN - Sever bị nghẽn Hình 4.10 Đo lưu lượng theo kịch công TCP SYN 52 Như vậy, dựa vào quan sát, phân tích thủ cơng cơng cụ Wireshark speedometer với bất thường phân tích tin tăng vọt lưu lượng tốc độ cổng mạng máy chủ, cho phép người quản trị phát công DDoS theo phương thức cụ thể Để từ có biện pháp giảm thiểu, ngăn chặn kịp thời 4.2.2 Phát ngăn chặn công tự động POX Controller Quy trình thực tương tự kịch phát công theo phương pháp thủ công mục trên, lúc SDN Controller ta bắt đầu chạy module phần mềm phát ngăn chặn cơng (privent_ddos): ~/pox/pox.py forwarding.l2_learning prevent_ddos Như trình bày chương trước, sau phát công DDoS, giải pháp đưa shutdown tạm thời cổng mạng vSwitch hướng đến phía máy khách cơng Hình 4.11 Kịch tự động ngăn chặn phát công HTTP Web Như quan sát hình 4.11, máy khách h1 (10.0.0.1) thực công máy chủ h4 (10.0.0.4) loại hình HTTP Web TCP SYN Flood Sau ta quan sát kết thu hình POX controller chạy module phần mềm prevent_ddos Các kết đạt cụ thể sau: 53 Hình 4.12 Phát ngăn chặn công HTTP Web POX controller Hình 4.13 Quan sát lưu lượng ngăn chặn cơng HTTP Web POX 54 Hình 4.14 Phát ngăn chặn công TCP SYN POX controller Hình 4.15 Quan sát lưu lượng ngăn chặn công TCP SYN POX 55 KẾT LUẬN Các kết đề tài luận văn: - Đưa nhìn tổng quan kiến trúc mạng SDN, giao thức OpenFlow tin trao đổi OpenFlow Switch Controller - Xây dựng kiến trúc mạng SDN/OpenFlow server testbed Đồng thời giả lập công hệ thống mô phỏng, kỹ thuật giám sát lưu lượng giảm thiểu công tích hợp - Hệ thống mơ phát ngăn chặn công thời gian ngắn, giúp server nhanh chóng phục hồi để phục vụ dịch vụ công xảy Hướng phát triển đề tài: Thử nghiệm mơ hình với liệu thu thập từ thực tế chứa nhiều hình thức cơng [11], để đánh giá hiệu hệ thống giả lập phát triển giải pháp phòng chống loại công khác SDN Controller Đồng thời, cải tiến, nâng cấp module phần mềm tích hợp Controller để tăng tốc độ xử lý gói tin cơng, giảm thời gian đáp ứng hệ thống, tối ưu hóa hiệu hệ thống, cung cấp hệ thống hoàn thiện 56 TÀI LIỆU THAM KHẢO [1] I Ahmad, S Namal, M Ylianttila, and A Gurtov, “Security in software defined networks: a survey” IEEE Communications Surveys & Tutorials, vol 17, no.4, pp 2317–2346, 2015 [2] S Q U o T Bhatia, "Detecting distributed Denial-of-Service attacks and Flash Events," 2013 [Online] Available: http://eprints.qut.edu.au/62031/ [Accessed 2016] [3] R Braga, U F d A A R O - 6.-0 - B Departamento de Ciờncia da Computaỗóo, E Mota and A Passito, "Lightweight DDoS flooding attack detection using NOX/OpenFlow," in Local Computer Networks (LCN), 2010 IEEE 35th Conference on, Denver, CO, 2010 [4] S T Zargar, U o P P P U Telecommun & Networking Program, J Joshi and D Tipper, "A Survey of Defense Mechanisms Against Distributed Denial of Service (DDoS) Flooding Attacks," in IEEE Communications Surveys & Tutorials, 2013 [5] Verisign, "Verisign Distributed Denial of Service Trends Report," 12 2015 [Online] Available: https://www.verisign.com/en_US/securityservices/DDoS-protection/DDoS-report/index.xhtml [Accessed 12 2015] [6] O N Lab, "POX Wiki," 2015 [Online] Available: https://openflow.stanford.edu/display/ONL/POX+Wiki [Accessed 2015] [7] H Kim, A U S S K Grad Sch of Software, J Kim and Y.-B Ko, "a Developing a Cost-Effective OpenFlow Testbed for Small-Scale Software Defined Networking," in 16th International Conference on Advanced Communication Technology, Pyeongchang, 2014 [8] N Hoque, T U T I Dept of Comput Sci & Eng., D K Bhattacharyya and J K Kalita, "Botnet in DDoS Attacks: Trends and Challenges," IEEE Communications Surveys & Tutorials, vol 17, no 4, pp 2242 - 2270, 2015 [9] O N FOUNDATION, "Software-Defined Networking (SDN) Definition," 2013 [Online] Available: https://www.opennetworking.org/sdnresources/sdn-definition [Accessed 2016] [10] O N FOUNDATION, "OpenFlow Switch Specication Version 1.0," 31 12 2009 [Online] Available: https://www.opennetworking.org/images/stories/downloads/sdnresources/onf-specifications/openflow/openflow-spec-v1.0.0.pdf [Accessed 2016] [11] CAIDA, "The CAIDA "DDoS Attack 2007" Dataset," 2007 [Online] 57 Available: https://www.caida.org/data/passive/DDoS-0070804_dataset.xml [Accessed 2016] [12] "Tcpreplay Overview," [Online] Available: http://tcpreplay.appneta.com/wiki/overview.html [Accessed 2016] [13] O N FOUNDATION, "OpenFlow Switch," [Online] Available: https://www.opennetworking.org/sdn-openflow-products?start=20 [Accessed 2016] 58 ... 2.2 Các giải pháp bảo mật chung mạng SDN Với phát triển ngày mạnh mẽ mở rộng SDN, vấn đề bảo mật mạng SDN ngày quan tâm nhiều câu hỏi đặt liệu giải pháp bảo mật có đủ bảo vệ hệ thống mạng SDN Dữ... VẤN ĐỀ BẢO MẬT TRONG MẠNG SDN 21 2.1 Một số vấn đề bảo mật lỗ hổng SDN 21 2.2 Các giải pháp bảo mật chung mạng SDN 24 2.3 Tấn công từ chối dịch vụ phân tán DDoS số giải pháp ngăn... flow-entries phần body 20 CHƯƠNG VẤN ĐỀ BẢO MẬT TRONG MẠNG SDN 2.1 Một số vấn đề bảo mật lỗ hổng SDN Để làm rõ cơng việc phân tích bảo mật, vấn đề bảo mật SDN phân loại theo loại lớp / giao diện SDN bị