1 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ Phạm Đức Duy TRIỂN KHAI CÁC HỆ THỐNG D-WARD THEO MÔ HÌNH MẠNG CÁC NODE HÀNG XÓM KHOÁ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY Ngành: Mạng và truyền thông máy tính i LỜI CẢM ƠN Để hoàn thành khóa luận này, trước hết em xin bày tỏ lòng biết ơn sâu sắc tới thầy Đoàn Minh Phương. Thầy đã tận tình hướng dẫn, giúp đỡ, và tạo điều kiện rất tốt cho em trong suốt quá trình làm khóa luận. Đồng thời em xin cảm ơn các thầy giáo, cô giáo trong Trường Đại Học Công Nghệ - Đại Học Quốc Gia Hà Nội đã truyền đạt cho em nhiều kiế n thức bổ ích trong suốt thời gian học tập tại trường. Cuối cùng, em xin cảm ơn tất cả bạn bè, gia đình và người thân đã giúp đỡ, động viên em rất nhiều để em có thể hoàn thành tốt khóa luận. Hà Nội, ngày 21 tháng 5 năm 2010 Sinh viên Phạm Đức Duy ii TÓM TẮT NỘI DUNG Các cuộc tấn công tấn công từ chối dịch vụ (DDoS) gây ra một đe dọa rất lớn tới mạng Internet. Chúng lấy sức mạnh của một lượng lớn các máy được kết nối vào mạng Internet để tiêu thụ một vài tài nguyên tại máy nạn nhân và từ chối dịch vụ tới các máy khách hợp lệ, vì chúng thường gây ra sự tắc nghẽn mạng trên đường từ nguồn đến đích, do vậy làm giảm sự hoạt động của mạng Internet. Chính vì vậy nảy sinh việc xây dựng các hệ thống phòng thủ DdoS để phát hiện và ngăn chặn các cuộc tấn công DDoS. Hệ thống D-WARD được biết đến một hệ thống phòng thủ DdoS source-end rất hiệu quả, nhưng hệ thống D-WARD có nhược điểm là chỉ phát hiện và ngăn chặn được các cuộc tấn công đi ra từ m ạng nguồn mà D-WARD được triển khai. Bởi vậy, việc triển khai các hệ thống D-WARD theo mô hình mạng các node hàng xóm với mục đích để cho các hệ thống D-WARD trong mạng trao đổi thông tin với nhau, nhằm tăng hiệu quả của việc phát hiện và ngăn chặn các cuộc tấn công DdoS. Luận văn đã cài đặt và kiểm chứng hiệu quả của việc triển khai các hệ thống D- WARD theo mô hình mạng các node hàng xóm đồng thời đưa ra m ột cải tiến đối với việc triển khai để nâng cao hiệu quả của việc ngăn chặn các cuộc tấn công DDoS. iii MỤC LỤC LỜI MỞ ĐẦU 1 Chương 1. Giới thiệu 2 1.1. Giới thiệu 2 1.2. Sơ lược về từ chối dịch vụ và từ chối dịch vụ phân tán 2 1.2.1. Sơ lược về từ chối dịch vụ (DoS) 2 1.2.2. Sơ lược về từ chối dịch vụ phân tán (DDoS) 3 1.3. Sơ lược về sự phòng thủ DDoS 4 1.3.1. Các thách thức phòng thủ DDoS 4 1.3.1.1. Các thách thức kỹ thuật 4 1.3.1.2. Các thách thức xã hội 4 1.3.2. Mục đích của phòng thủ DDoS 4 1.3.3. Các giải pháp phòng thủ 5 1.3.4. Các điểm phòng thủ 5 1.3.4.1. Phòng thủ tự trị 5 1.3.4.2. Phòng thủ phân tán 9 1.4. D-WARD được đặt ở đâu? 9 Tổng kết 10 Chươ ng 2. D-WARD 11 2.1. Sơ lược về D-WARD 11 2.2. Các thuật ngữ 11 2.3. Dấu hiệu tấn công 12 2.4. Kiến trúc 13 2.5. Thành phần theo dõi 14 2.5.1. Các đặc điểm và sự phân loại luồng 15 2.5.2 Các đặc điểm kết nối và sự phân loại kết nối 17 2.5.3. Phân loại gói tin đầu tiên 22 2.6. Thành phần giới hạn 25 2.6.1. Giảm theo luật số mũ 26 2.6.2 Tăng tuyến tính 26 iv 2.6.3 Tăng theo hàm số mũ 27 2.7. Thành phần quản lý truyền thông 28 Ưu điểm của D-WARD 28 Nhược điểm của D-WARD 28 Tổng kết 29 Chương 3. Cơ sở lý thuyết của kiến trúc triển khai và mở rộng D-WARD 30 D-WARD 1.0 30 D-WARD 2.0 30 D-WARD 3.0 32 D-WARD 3.1 32 3.1. Kiến trúc thực thi của D-WARD 3.1 33 3.2. Thành phần theo dõi 33 3.2.1. Bảng băm luồng 33 3.2.2 Bảng băm kết nối 35 3.2.3 Thu thập thông tin gói tin 36 3.2.4 Phân loại luồng và kết nối 36 3.3 Thành phần giới hạn 38 3.4 Thành phần quản lý truyền thông 38 3.4.1 Tiến trình quản lý truyền thông 39 3.4.2 Các mẫu máy 39 3.5 Bắt truyền thông(traffic-sniffing) 40 3.6 Triển khai các hệ thống D-WARD trên mạng các node hàng xóm 40 Tổng kết 42 Chương 4. Cài đặt và kết quả thu được 43 4.1. Cài đặt thực nghiệm 43 4.1.1. Mô hình thực thi 43 4.1.2. Biên dịch và chạy D-WARD 43 4.2 Kết quả 45 v 4.3 Đánh giá về việc triển khai mở rộng 46 Tổng kết 47 Chương 5 Kết luận 48 TÀI LIỆU THAM KHẢO 49  vi BẢNG TỪ VIẾT TẮT STT Từ viết tắt Từ hoặc cụm từ 1 DoS Denial-of-Service (từ chối dịch vụ phân tán) 2 DDoS Distributed Denial-of-Service (từ chối dịch vụ phân tán) 3 DNS Domain Name Service (Dịch vụ tên miền) 4 D-WARD DDoS Network Attack Recognition and Defense (Phòng thủ và nhận diện tấn công mạng DDoS) 6 HTTP Hypetext Transfer Protocol (giao thức truyền siêu văn bản) 9 ICMP Internet Control Message Protocol (Giao thức thông điệp điều khiển Internet) 10 IP Internet Protol (giao thức mạng) 11 NTP Network Time Protocol (Giao thức thời gian mạng) 12 TCP Transmission Control Protocol (Giao thức điều khiển truyền vận) 13 UDP User Datagram Protocol 14 VoIP Voice over Internet Protocol (truyền giọng nói qua giao thức mạng) vii DANH MỤC HÌNH ẢNH Hình 1. Trường hợp tấn công từ chối dịch vụ - DoS 2 Hình 2. Trường hợp tấn công từ chối dịch vụ phân tán – DdoS 3 Hình 3. Các điểm phòng thủ 6 Hình 4. phòng thủ Victim-End 7 Hình 5. Phòng thủ mạng trung gian 8 Hình 6. Phòng thủ source-end 9 Hình 7: Luồng và kết nối 12 Hình 8. Kiến trúc D-WARD 14 Hình 9: Máy trạng thái hữu hạn DNS 19 Hình 10: Máy trạng thái h ữu hạn NTP 20 Hình 11: Máy trạng thái hữu hạn luồng dữ liệu 22 Hình 12: Một kết nối TCP mới được khởi tạo trong cuộc tấn công 23 Hình 13: Các giá trị giới hạn và sự phân loại cho một luồng mẫu 27 Hình 14. Kiến trúc thực thi của D-WARD 3.1 33 Hình 15. Bảng bản ghi luồng 34 Hình 16. Bản ghi bảng băm luồng giới hạn 38 Hình 17. Mô hình mạng và bảng địa chỉ hàng xóm 42 Hình 18. Mô hình thực thi 43 Hình 19: File debug/class.txt 45 Hình 20: File rlstats.txt 45 Hình 21:File conn.txt 46 1 LỜI MỞ ĐẦU Các cuộc tấn công từ chối dịch vụ phân tán (DDoS) là một vấn đề nghiêm trọng và thách thức tới mạng Internet. Việc này yêu cầu ít nỗ lực ở phía kẻ tấn công, vì một lượng lớn các máy móc tham gia vào cuộc tấn công, và các công cụ cũng như các mã kịch bản tự động cho việc khai thác và tấn công có thể dễ dàng được tải về từ mạng và triển khai. Nói cách khác, việc ngă n chặn tấn công là vô cùng khó khăn do một lượng lớn máy móc tham gia tấn công, việc sử dụng lừa đảo địa chỉ nguồn và sự giống nhau giữa truyền thông hợp lệ và tấn công. Nhiều hệ thống phòng thủ được thiết kế trong các viện nghiên cứu và các hiệp hội thương mại để chống lại các cuộc tấn công DDoS, nhưng vấn đề vẫn hầu như chưa được gi ải quyết. Luận văn này sẽ giới thiệu hệ thống phòng thủ DDoS source-end được gọi là D-WARD và sự triển khai các hệ thống D-WARD theo mô hình mạng các node hàng xóm. D-WARD ngăn chặn các cuộc tấn công đi ra từ các mạng được triển khai. Sự phòng thủ source-end không là giải pháp hoàn toàn với các cuộc tấn công DDoS, vì các mạng không được triển khai vẫn thực hiện các cuộc tấn công thành công, nhưng D-WARD có thể tìm ra và ngăn chặn đáng kể các cuộc tấn công DdoS khi nó đượ c cài đặt. Nhược điểm của hệ thống D-WARD là các hệ thống D-WARD không liên lạc được với nhau. Và trong luận văn này sẽ thảo luận về việc triển khai các hệ thống D-WARD theo mô hình mạng các node hàng xóm. Khóa luận gồm có 4 chương. Chương 1: Giới thiệu sơ lược về tấn công từ chối dịch vụ(DoS) và tấn công từ chối dịch vụ phân tán(DDoS), đồng thời cũng giới thiệu về phòng thủ DDoS: các thách thức phòng thủ, mục đích phòng thủ, giải pháp, điểm phòng thủ và phòng thủ phân tán. Chương 2: Khóa luận giới thiệu về D-WARD: kiến trúc, các thành phần của D- WARD và sự triển khai các thành phần đó. Chương 3: Khóa luận đề cập đến việc mở rộng D-WARD: giới thiệu các phiên bản của D-WARD, sự triển khai trên mạng các node hàng xóm. Chương 4: Cài đặt và kết quả đạt được khi triển khai trên mạng các node hàng xóm. Ch ương 5: Phần kết luận. 2 Chương 1. Giới thiệu 1.1. Giới thiệu Hệ thống phòng thủ DDoS là một lĩnh vực nghiên cứu rất được quan tâm nhưng cũng rất phức tạp. Sự thực thi một hệ thống phòng thủ liên quan đến nhiều vấn đề khác nhau. Chương này của khóa luận sẽ chỉ ra kiến thức cơ bản mà liên quan đến phòng thủ DDoS. Đầu tiên, khóa luận sẽ thảo luận về từ chối dịch vụ và rồi luận văn đề cập tới từ chối dịch vụ phân tán. Cuối cùng, luận văn sẽ nói về sự phòng thủ DDoS. 1.2. Sơ lược về từ chối dịch vụ và từ chối dịch vụ phân tán 1.2.1. Sơ lược về từ chối dịch vụ (DoS) Các cuộc tấn công từ chối dịch vụ (DoS) dùng một lượng lớn các gói tin để làm gián đoạn việc phục vụ của máy nạn nhân với các máy khách hợp lệ. Máy nạn nhân thường là một máy chủ phục vụ, sẽ phải dùng nhiều thời gian và hầu hết các tài nguyên để xử lý các yêu cầu DoS,được chỉ rõ trong hình 1. Như một kết quả, các máy khách thực sự của máy nạn nhân sẽ khó khăn trong việc truy cập hay không thể truy cập tới các dịch vụ của máy nạn nhân. Ngoài ra, ngay cả khi máy nạn nhân th ực thi thành công sau cuộc tấn công, các người dùng thường chọn các nhà cung cấp dịch vụ khác vì sự quấy rối trước đó. Hiệu ứng này có thể thấy được trong vài trang mà hỗ trợ các giao dịch thời gian thực như mua vé tàu, chuyển khoản hay mua cố phiếu. Vì những nguyên nhân này, các máy nạn nhân sẽ mất sự tin tưởng của khách hàng và giảm lợi nhuận sau các cuộc tấn công DoS. Hình 1. Trường hợp tấn công từ chối dịch vụ - DoS [...]... trong mạng Internet • Sự thiếu thông tin tấn công chi tiết • Sự thiếu các tiêu chuẩn cho hệ thống phòng thủ • Sự khó khăn trong kiểm thử ở mức lớn 1.3.1.2 Các thách thức xã hội Nhiều hệ thống phòng thủ DdoS yêu cầu các kiểu triển khai nào đó để thu được hiệu quả Các kiểu này chia thành các loại sau: • Triển khai hoàn toàn • Triển khai kề nhau • Triển khai mức lớn, diện rộng • Triển khai hoàn toàn tại các. .. mạng: mạng nguồn chứa các máy tấn công, mạng trung gian chuyển tiếp truyền thông tấn công tới máy nạn nhân, và mạng nạn nhân chứa mục tiêu, được thể hiện rõ trong hình 3 Mỗi mạng có thể chứa các hệ thống phòng thủ DDoS Hình 3 Các điểm phòng thủ 1.3.4.1.1 Phòng thủ Victim-End Đa số các hệ thống phòng thủ DDoS được thiết kế cho sự triển khai victim-end, hình 4 thể hiện sự triển khai phòng thủ victim-end... toàn cho vấn đề DDoS Các giải pháp đáp lại: Phát hiện sự xảy ra tấn công và đáp lại nó(“chiến đấu lại”) bằng điều khiển các luồng tấn công, hay có gắng định vị các máy agent và gọi ra các hành động cần thiết 1.3.4 Các điểm phòng thủ Một hệ thống phòng thủ DDoS có thể được triển khai như một hệ thống tự trị(đơn điểm) hay như một hệ thống phân tán Các hệt thống tự trị bao gồm một node phòng thủ đơn lẻ... được triển khai ở mạng sourceend • D-WARD được cài đặt tại bộ định tuyến nguồn để phụ vụ như một gateway giữa mạng được triển khai( mạng nguồn) và phần còn lại của Internet • D-WARD là một hệ thống phản hồi ngược tự cấu hình, nên D-WARD có thể tự động cấu hình không cần việc cấu hình bằng tay của người quản trị • D-WARD phát hiện và ngăn cản một cách rất hiệu quả các cuộc tấn công đi ra từ các mạng. .. đưa ra các đáp lại Các hệ thống phân tán bao gồm nhiều node phòng thủ(thường cùng chức năng) được triển khai tại nhiều vị trí và được tổ chức trong một mạng 1.3.4.1 Phòng thủ tự trị 5 Các luồng tấn công DDoS phát sinh từ các máy tấn công phân tán, được chuyển bởi các bộ định tuyến hạt nhân và đồng quy tại mạng máy nạn nhân Chúng ta theo dõi tiến trình này như một sự tác động của ba loại mạng: mạng nguồn... lớn các mẫu và sức mạnh tính toán để kiểm tra và lưu trữ các đặc điểm của từng luồng 6 Hình 4 phòng thủ Victim-End 1.3.4.1.2 Phòng thủ mạng trung gian Chúng ta biết rằng sự nguy hiểm của một cuộc tấn công DDoS với các tài nguyên mạng là rất lớn Vì vậy, chúng ta muốn di chuyển sự phòng thủ xa hơn máy nạn nhân, vào mạng trung gian, hình 5 thể hiện sự triển khai phòng thủ ở mạng trung gian Một hệ thống. .. lược về sự phòng thủ DDoS 1.3.1 Các thách thức phòng thủ DDoS Các thách thức cho việc thiết kế các hệ phòng thủ DDoS chia thành hai loại: các thách thức kỹ thuật và các thách thức xã hội Các thách thức kỹ thuật bao quanh các vấn đề liên quan tới các giao thức Internet hiện tại và các đặc điểm của DDoS Các thách thức xã hội, nói theo cách khác, hầu như liên quan tới cách mà một giải pháp kỹ thuật thành... mạng được triển khai • D-WARD cung cấp dịch vụ tốt tới các giao dịch hợp lệ giữa mạng được triển khai và máy nạn nhân trong khi cuộc tấn công đang diễn ra • D-WARD có thể hợp nhất nó với các cơ chế phòng thủ khác ( như COSSACK hay DefCOM) để cung cấp sự đáp ứng có lựa chọn Nhược điểm của D-WARD • D-WARD chỉ phát hiện và ngăn chặn các cuộc tấn công bắt nguồn từ mạng được triển khai, do vậy các mạng không... ra Tuy nhiên, khó khăn để triển khai ở mức lớn, và khó khăn khác chính là xác định giữa truyền thông hợp lệ và truyền thông tấn công để mà loại bỏ các gói tin truyền thông tấn công 8 Hình 6 Phòng thủ source-end 1.3.4.2 Phòng thủ phân tán Các hệ thống phân tán của phòng thủ DDoS bao gồm các hành động của các hệ thống phòng thủ victim-end, source-end và đôi khi của phòng thủ mạng trung gian Phòng thủ... mà hợp tác để chặn các luồng tấn công Mục đích là cài đặt các tài nguyên gần các nguồn có thể, vì vậy giảm tối thiểu nguy hiểm Các hệ thống phân tán gần như là giải pháp thích hợp cho việc xử lý DDoS Tuy nhiên, chúng là giải pháp cơ sở - chúng trải qua nhiều mạng và quản lý nhiều miền và thực hiện cam kết của nhiều người tham gia Internet Do vậy các hệ thống khó khăn trong triển khai và duy trì Hơn . được triển khai. Bởi vậy, việc triển khai các hệ thống D-WARD theo mô hình mạng các node hàng xóm với mục đích để cho các hệ thống D-WARD trong mạng. thiệu hệ thống phòng thủ DDoS source-end được gọi là D-WARD và sự triển khai các hệ thống D-WARD theo mô hình mạng các node hàng xóm. D-WARD ngăn chặn các