1. Trang chủ
  2. » Luận Văn - Báo Cáo

Triển khai mô phỏng tấn công DDoS vào mạng SDN bằng Mininet (Software Define Network)

33 53 1

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Nội dung

Triển khai mô phỏng tấn công DDoS vào mạng SDN bằng Mininet (Software Define Network) Triển Khai cài đặt mô phỏng tấn công DDOS Triển khai mô phỏng chống tấn công DDOS Tìm hiểu bảo mật cho mạng SDN Hướng dẫn triển khai cài đặt phần mềm mininet Cài đặt Opendaylight

ĐẠI HỌC BÁCH KHOA HÀ NỘI KHOA CÔNG NGHỆ THÔNG TIN  ĐỒ ÁN TỐT NGHIỆP Triển khai mô công DDoS vào mạng SDN (Software Define Network) Giáo viên hướng dẫn:……… Sinh viên thực hiện: Nguyễn Đức Long MSSV: 3574593 Hà Nội 2021 MỤC LỤC Danh mục kí hiệu từ viết tắt DANH MỤC CÁC HÌNH VẼ Lời nói đầu Chương Tổng Quan mạng sdn 1.1 Khái niệm mạng SDN 1.2 Kiến trúc SDN 1.3 Ưu điểm SDN 1.4 Các vấn đề bảo mật SDN Chương Tấn công ddos 10 2.1 Tổng quan công DDos 10 2.2 Phân loại công DDoS 15 2.3 Các kỹ thuật công DDos 19 Chương Mô công DDoS vào mạng SDN 25 3.1 Kịch công 25 3.2 Cài đặt cấu hình mơ mạng SDN 25 3.3 Thực công DDoS vào mạng SDN 27 Kết luận 30 Tài liệu tham khảo 31 DANH MỤC KÍ HIỆU VÀ TỪ VIẾT TẮT Các từ viết tắt phải liệt kê theo thứ tự bảng chữ Các từ viết tắt tiếng Việt liệt kê trước, từ viết tắt tiếng nước liệt kê sau Giải thích Viết tắt SDN Software Define Netwwork HTTP HyperText Transfer Protocol TCP Transmission Control Protocol SMTP Simple Mail Transfer Protocol DNS Domain Name System ICMP Internet Control Message Protocol DANH MỤC CÁC HÌNH VẼ Hình 1.1: Control plane tách khỏi mặt phẳng truyền thống Hình 1.2: Mặt phẳng điều khiển mặt phẳng chuyển tiếp thiết bị Hình 1.3: Kiến trúc tổng quát SDN Hình 2.1: Kiến trúc công DDoS trực tiếp 12 Hình 2.2: Kiến trúc cơng DDoS gián tiếp hay phản chiếu 13 Hình 2.3: Tấn công SYN Flood 20 Hình 3.1: Cấu hình mạng SDN 26 Hình 3.2: Giao diện Opendaylight 27 Hình 3.3: Mơ hình mạng SDN gồm Switch Host 27 Hình 3.4: Kiểm tra kết nối Host mạng SDN 28 Hình 3.5: Host Ping kết nối tới Host 28 Hình 3.6: Tấn công DDoS vào mạng SDN 29 LỜI NÓI ĐẦU Trong tương lai gần công nghệ Software Defined Networking (SDN) hướng phát triển công nghệ mạng Công nghệ mạng SDN dựa chế tách bạch việc kiểm sốt luồng thơng tin định tuyến với luồng thơng tin liệu kiểm soát số lượng thành phần mạng riêng cho phép luồng gói liệu qua mạng kiểm sốt theo cách thức có lập trình Mặc dù SDN cung cấp tính linh hoạt hiệu cho nhà khai thác, khả bảo mật mạnh công nghệ Mạng SDN bị cơng thành phần mạng tồn thách thức an ninh mà nhà mạng nên lưu ý triển khai công nghệ CHƯƠNG TỔNG QUAN VỀ MẠNG SDN 1.1 Khái niệm mạng SDN Software-Define Network (SDN) tiếp cận việc thiết kế, xây dựng quản lý hệ thống mạng Về SDN chia tách độc lập hai chế tồn thiết bị mạng: Control plane Data plane để tối ưu hóa hoạt động hai chế Công nghệ SDN tách định tuyển chuyển luồng liệu riêng rẽ chuyển kiểm soát luồng sang thành phần riêng có tên gọi thiết bị kiểm soát luồng (Flow Controller) Điều cho phép luồng gói liệu qua mạng kiểm sốt theo lập trình Hình 1.1: Control plane tách khỏi mặt phẳng truyền thống Trong SDN, controller tách từ thiết bị vật lý chuyển đến controller Controller nhìn thấy tồn mạng cho phép kỹ sư mạng làm cho sách chuyển tiếp tối ưu dựa tàn mạng Các controller tương ứng với thiết bị vật lý thông qua giao thức chuyển OpenFlow Với SDN, việc quản lý mạng thực thông qua giao diện nhất, trái ngược với việc cấu hình mạng riêng lẻ Hình 1.2: Mặt phẳng điều khiển mặt phẳng chuyển tiếp thiết bị Mặt phẳng điều khiển: chịu trách nhiệm xây dưng, trao đổi thông tin định tuyến định gói tin xử lý thể Một phần tử mặt phẳng điều khiển:  Giao thức định tuyến IP  Bảng định tuyến IP(RIB –Routing Information Based): sở liệu cho tất giao thức phân phối IP Mặt phẳn chuyển tiếp: chịu trách nhiệm chuyển tiếp gói tin.Nó dựa vào thơng tin từ control Plane cung câp Một số nhiệm vụ mặt phẳng chuyển tiếp:  Bảng chuyển tiếp IP (FIB - Forwarding Information Based) SDN hay mạng điều khiển phần mềm dựa chế tách biệt việc kiểm soát luồng mạng với luồng liệu SDN dựa giao thức luồng mở (OpenFlow) kết nghiên cứu Đại học Stanford California, Berkeley SDN tách định tuyến chuyển luồng liệu riêng rẽ chuyển kiểm soát luồng sang thành phần mạng riêng có tên gọi thiết bị kiểm sốt luồng (Flow Controller) Điều cho phép luồng gói liệu qua mạng kiểm soát dựa lập trình 1.2 Kiến trúc SDN Hình mơ tả kiến trúc SDN cách đơn giản đầy đủ: Kiến trúc SDN bao gồm: Lớp ứng dung (Application Layer), lớp điều khiển (Control Layer) lớp sở hạ tầng (Infrastructure Layer).Các phần liên kết với thông qua giao thức API Hình 1.3: Kiến trúc tổng quát SDN  Lớp ứng dụng (Applycation Layer) Lớp ứng dụng: ứng dụng triển khai mang, kết nối tới lớp điều khiển thông qua API, cung cấp khả cho phép ứng dụng lập trình lại (cấu hình lại) mạng (điều chỉnh tham số trễ, băng thông, định tuyến…) thơng qua lớp điều khiển lập trình giúp cho hệ thống mạng tối ưu hoạt động theo yêu cầu định  Lớp điều khiển (Control Layer) Lớp điều khiển: nơi tập trung controller thực việc điều khiển cấu hình mạng theo yêu cầu từ lớp ứng dụng khả mạng Các controller phần mềm lập trình Một Controller ứng dụng quản lý kiểm sốt luồng lưu lượng mơi trường mạng Để truyển thông điều khiển lớp sở hạ tầng, lớp điều khiển sử dụng chế Openflow, ONOS, ForCES, PCEP, NETCONF, SNMP thông qua chế riêng biệt Hầu hết SDN controller dựa giao thức Openflow SDN controller hoạt động loại hệ điều hành (OS) cho mạng Tất thông tin liên lạc ứng dụng thiết bị phải qua controller Controller sử dụng giao thức OpenFlow để cấu hình thiết bị mạng chọn đường tốt cho lưu lượng ứng dụng Cùng với chức chính, tiếp tục mở rộng để thực nhiệm vụ quan trọng định tuyền truy cập mạng Vai trò: + Cung cấp API để xây dựng ứng dụng cho hệ thống mạng + Thu nhận thông tin từ hệ thống mạng vật lý, điều khiển hệ thống mạng vật lý  Lớp vật lý (Infrastructure Layer) Lớp vật lý (lớp sở hạ tậng) hệ thống mạng, bao gồm thiết bị mạng thực tế (vật lý hay ảo hóa) thực việc chuyển tiếp gói tin theo điều khiển lớp điều khiển Một thiết bị mạng hoạt động theo điều khiển nhiều controller khác nhau, điều giúp ăng cường khả ảo hóa mạng  So sánh với kiến trúc mạng truyền thống Kiến trúc mạng truyền thống SDN Trong kiến trúc mạng truyền thống thiết bị mạng (Layer 2, Layer 3) phải mang nhiều chức để đảm bảo hoạt đơng Ví dụ: Các chức Layer Switch như: LAN, Spanningtree, Quality of Service, Security, đa số thiết bị mạng giao thức hoạt động độc lập với nhà sản xuất cung cấp giải pháp mạng khác Điều tạo phân mảnh hệ thống mạng, giảm hiệu hoạt động Với SDN việc điều khiển tập trung Controller Layer, thiết bị mạng chó có nhiệm vụ chuyển tiếp gói tin khác biệt nhà sản xuất khơng ảnh hưởng tới tồn hệ thống mạng Điếu giống phát triển máy tính nay, máy tính cung cấp sản xuất nhà sản xuất hệ điều hành khác (Dell, HP, IBM ) chạy hệ điều hành khác nhua (Windows, MacOS, Linux…) có khả truy cập sử dụn internet dựa giao thức mạng TCP/IP 1.3 Ưu điểm SDN  Controller lập trình trực tiếp  Mạng điều chỉnh, thay đổi cách nhanh chóng thơng qua việc thay đổi controller  Mạng quản lý taaoh trung phần điều khiển tập trung controller  Cấu hình lớp sở hạ tầng lập trình lớp ứng dụng truyền đạt xuống lớp  Giảm CapEx: SDN giúp giảm thiểu yêu cầu mua phần cứng theo mục đích xây dựng dịch vụ, phần cứng mạng sở ASIC hỗ trợ mơ hình pay-as-you-grow (trả bạn dùng) để tránh lãng phí cho việc dự phịng  Truyền tải nhanh chóng linh hoạt giúp tổ chức triển khai nhanh ứng dụng, dịch vụ sở hạ tầng để nhanh chóng đạt mục tiêu kinh doanh Cho phép thay đổi: cho phép tổ chức tạo kiểu ứng dung, dịch vụ mơ hình kinh doanh, để tao luồng doanh thu nhiều giá trị từ mạng 1.4 Các vấn đề bảo mật SDN SDN công nghệ tiếp cận với môi trường mạng việc chia mặt phẳng điều khiển (Control Plane) mặt phẳng chuyển tiếp (forwarding plane) để hỗ trợ cho việc ảo hóa SDN cơng nghệ dành cho việc ảo hóa Mặc dù cơng nghệ ln nâng cấp việc phát triển ngày mạnh SDN trở thành mục tiêu cơng hacker 1.4.1 Tấn công vào mặt phẳng liệu (dataplane) Những kẻ cơng cơng thành phần mạng từ máy tính chúng Một kẻ cơng mặt vật lý truy cập vật lý hay ảo trái phép vào mạng thỏa hiệp với máy chủ đưuọc kết nối với SDN sau cố gắng đê thực cơng mang Đây loại cơng từ chối dịch vụ (DOS) kiểu cơng fuzzing cố gắng để cơng phần từ mạng Có nhiều giao thức sử dụng để điều khiển controller giao tiếp với lớp liệu, ví dụ như: Openflow (OF), BGP-LS, CLI, OpenStack, Neutron, Open Management infrastructure (OMI) Mỗi giao thức sử dụng cho lớp điều khiển (control plane) có phương thức, ứng dụng để đảm bảo tính an tồn giao tiếp với phần tử mạng lớp liệu Mặc dù có nhiều giao thức cần có thời gian thử nghiêm để xem xét tính bảo mật giao thức Một kẻ cơng tận dụng sơ hở để đánh cắp thông tin thay vào thơng tin giả Những kể công muốn cố gắng để giả mạo thông tin không truyền mạng Nếu kẻ cơng tạo thơng tin giả mạo đánh lừa tường lủa chúng có số lợi định Nếu kẻ cơng điều khiển luồng thơng tin theo hướng chúng, chúng cố gắng tận dụng khả để giả mạo thực công nhằm đánh cắp liệu liệu người dùng Nhiều hệ thống SDN triển khai trung tâm liệu (Data Center) trung tâm liệu thường xuyên sử dụng giao thức kết nối ảo cách sử dụng giao thức như: Stateless Transport Tunneling, Virtual Extensible LAN(VXLAN), Cisco Overlay Transport Virtualization, …Những giao thức thiếu tính xác thực sử dụng mã hóa đủ mạnh để đảm bảo nội dung gói tin chuyển Các giao thức có lỗ hổng lỗi việc thiết kế giao thức hay cách triển khai nhà cung cấp dịch vụ khách hàng chưa Một kẻ cơng tìm sơ hở tạo thành công DDos gây nguy hiểm cho toàn hệ thống mạng 1.4.2 Tấn công vào lớp điều khiển (Controller Layer) Rõ ràng, điều khiển SDN mục tiêu để công hacker Một hacker cố gắng công vào trung tâm điều khiển để thực mục đích khác Kẻ cơng cố gắng giả mạo tin API, luồng thông tin hướng thiết bị mạng Nếu kể cơng giả mạo thành công thông tin từ điều khiển chúng có khả cho phép luồng thông tin qua SDN theo ý muốn chúng qua chế bảo mật khác pháp Dạng cơng khó phát yêu cầu công tương tự yêu cầu từ người dùng hợp pháp 2.2.4 Dựa phương thức giao tiếp Thông thường, để thực công DDoS, tin tặc phải tuyển chọn chiếm quyền điều khiển số lượng lớn máy tính có kết nối Internet, máy tính sau bị cài phần mềm agent trở thành bots - công cụ giúp tin tặc thực công DDoS Tin tặc thông qua máy điều khiển (master) giao tiếp với bots để gửi thông tin lệnh điều khiển công Theo phương thức giao tiếp master bots, chia cơng DDoS thành dạng [5]: 1) DDoS dựa agent-handler: Tấn công DDoS dựa dạng bao gồm thành phần: clients, handlers agents (bots/zombies) Tin tặc giao tiếp trực tiếp với clients Clients giao tiếp với agents thông qua handlers Nhận lệnh thông tin thực công, agents trực tiếp thực việc công 2) DDoS dựa IRC: Internet Relay Chat (IRC) hệ thống truyền thông điệp trực tuyến cho phép nhiều người dùng tạo kết nối trao đổi thông điệp theo thời gian thực Trong dạng công DDoS tin tặc sử dụng IRC làm kênh giao tiếp với agents, không sử dụng handlers 3) DDoS dựa web: Trong dạng công này, tin tặc sử dụng trang web làm phương tiện giao tiếp qua kênh HTTP thay cho kênh IRC Các trang web tin tặc sử dụng làm trung tâm điều khiển lây nhiễm phần mềm độc hại, công cụ khai thác lỗ hổng an ninh, cài đặt agents chiếm quyền điều khiển hệ thống máy tính biến chúng thành bots Các bots xác lập cấu hình hoạt động từ đầu, chúng gửi thông điệp đến trang web điều khiển thông qua giao thức web phổ biến HTTP HTTPS 4) DDoS dựa P2P: Ở dạng này, tin tặc sử dụng giao thức Peer to Peer – giao thức tầng ứng dụng làm kênh giao tiếp Bản chất mạng P2P phân tán nên khó để phát bots giao tiếp với thông qua kênh 17 2.2.5 Dựa cường độ công Dựa cường độ tần suất gửi yêu cầu cơng, phân loại cơng DDoS thành dạng [3]: 1) Tấn công cường độ cao: Là dạng công gây ngắt quãng dịch vụ cách gửi thời điểm lượng lớn yêu cầu từ máy agents/zombies nằm phân tán mạng 2) Tấn công cường độ thấp: Các agents/zombies phối hợp sử dụng để gửi lượng lớn yêu cầu giả mạo, với tần suất thấp, làm suy giảm hiệu mạng Dạng cơng khó bị phát lưu lương công tương tự lưu lượng đến từ người dùng hợp pháp 3) Tấn công cường độ hỗn hợp: Là dạng kết hợp công cường độ cao công cường độ thấp Đây dạng cơng phức hợp, tin tặc thường sử dụng cơng cụ để sinh gói tin cơng gửi với tần suất cao thấp 4) Tấn công cường độ liên tục: Là dạng công thực liên tục với cường độ tối đa suốt khoảng thời gian từ bắt đầu đến kết thúc 5) Tấn công cường độ thay đổi: Đây dạng cơng có cường độ thay đổi động nhằm tránh bị phát đáp trả 2.2.6 Dựa việc khai thác lỗ hổng an ninh Dựa việc khai thác điểm yếu lỗ hổng an ninh, cơng DDoS phân loại thành dạng [5]: 1) Tấn công gây cạn kiệt băng thông: Các công DDoS dạng thiết kế để gây ngập lụt hệ thống mạng nạn nhân yêu cầu truy nhập giả mạo, làm người dùng hợp pháp truy nhập dịch vụ Tấn công dạng thường gây tắc nghẽn đường truyền lượng yêu cầu giả mạo lớn gửi máy tính ma (zombie) botnets Dạng cơng cịn gọi cơng gây ngập lụt công khuếch đại 18 2) Tấn công gây cạn kiệt tài nguyên: Các công DDoS dạng thiết kế để tiêu dùng hết tài ngun hệ thống nạn nhân, làm cho khơng thể phục vụ yêu cầu người dùng hợp pháp Dạng cơng DDoS chia nhỏ thành dạng (i) cơng khai thác tính lỗi cài đặt giao thức (ii) cơng sử dụng gói tin tạo đặc biệt Trong dạng thứ nhất, tin tặc khai thác lỗi tính đặc biệt giao thức hệ thống nạn nhân để gây cạn kiệt tài nguyên Trong dạng thứ hai, kẻ công tạo gói tin đặc biệt, gói sai định dạng, gói có khiếm khuyết, gửi đến hệ thống nạn nhân Hệ thống nạn nhân bị trục trặc cố gắng xử lý gói tin dạng Ví dụ, cơng Ping of Death, tin tặc gửi gói tin ICMP có kích thước lớn 64KB gây lỗi máy chạy hệ điều hành Windows XP 2.3 Các kỹ thuật công DDos Các công DDoS thường tin tặc thực cách huy động số lượng lớn máy tính có kết nối Internet bị chiếm quyền điều khiển, tập hợp máy gọi mạng máy tính ma hay botnet Các máy botnet có khả gửi hàng ngàn yêu cầu giả mạo giây đến hệ thống nạn nhân, gây ảnh hưởng nghiêm trọng đến chất lượng dịch vụ cung cấp cho ngƣời dùng Do yêu cầu công DDoS gửi rải rác từ nhiều máy nhiều vị trí địa lý nên khó phân biệt với yêu cầu ngời dùng hợp pháp Một khâu cần thiết việc đề biện pháp phịng chống cơng DDoS hiệu phân loại dạng cơng DDoS từ có biện pháp phịng chống thích hợp 19 2.3.1 TCP SYN Flood Hình 2.3: Tấn cơng SYN Flood Kiểu cơng TCP SYN flood kiểu công trực tiếp vào máy chủ cách tạo số lượng lớn kết nối TCP khơng hồn thành kết nối Một người dùng bình thường kết nối tới máy chủ ban đầu thực Request TCP SYN lúc máy chủ khơng cịn khả đáp lại – kết nối không thực Đầu tiên khách hàng gửi gói tin yêu cầu SYN với số thứ tự x đến máy chủ Các máy chủ đáp ứng cách gửi thông báo nhận (ACK – SYN) Với cờ SYN = y cờ ACK = x + Khi khách hàng nhận được, khách hàng gửi thông báo nhận (ACK) với cờ y + SYN Flood loại công website DDOS Ở đây, kẻ công gửi yêu cầu SYN vĩnh viễn để ăn tài nguyên máy chủ nhiều Hacker khơng trả lời SYN-ACK chí trả lời sử dụng địa IP giả Vì vậy, máy chủ khơng nhận gói tin trả lời chí chờ đợi hết thời gian chờ 20 2.3.2 UDP Flood UDP (User Datagram Protocol) giao thức kết nối không tin cậy Một cơng gây ngập lụt UDP bắt đầu cách gửi số lượng lớn gói tin UDP tới cổng ngẫu nhiên máy chủ từ xa kết máy chủ xa sẽ: 1) Kiểm tra ứng dụng với cổng; 2) Thấy khơng có ứng dụng nghe cổng; 3) Trả lời với ICMP Destination Unreachable gói Như vậy, hệ thống nạn nhân bị buộc nhận nhiều gói tin ICMP, dẫn đến khả xử lý yêu cầu khách hàng thông thường Những kẻ cơng giả mạo địa IP gói tin UDP, đảm bảo ICMP gói trở lại q mức khơng tiếp cận họ, nặc danh hóa vị trí mạng họ Hầu hết hệ điều hành giảm nhẹ phần công cách hạn chế tốc độ phản ứng ICMP gửi 2.3.3 HTTP Flood Là hình thức mà yêu cầu HTTP GET POST gần hợp pháp bị khai thác hackers Tấn công kiểu HTTP Flood sử dụng hàng loạt botnet hàng ngàn máy tính, máy tính bị kiểm soát sử dụng phần mềm độc hại Hình thức sử dụng băng thơng loại công khác máy chủ buộc phải sử dụng tối đa nguồn tài nguyên 2.3.4 Ping of Death Đây kiểu công dễ hiểu Khi máy tính nhận gói ICMP có kích thước liệu q lớn, bị crash Kiểu công thường gặp hệ điều hành Windows NT trở xuống Đối với hệ điều hành đời việc cơng trở nên khó khăn Tuy nhiên đơi lỗi xuất gói phần mềm Điển Windows IIS Web Server – ‘Ping of Death’ exploit (CVE-2015-1635) máy chủ Windows 7, Windows Server 21 2008 R2, Windows 8, Windows Server 2012, Windows 8.1 Windows Server 2012 R2 sử dụng IIS Web Server Đây kiểu công nguy hiểm vào năm 1996 ngày không thực hiệu Hầu hết ISP chặn gói tin ICMP gói tin ping tường lửa Tuy nhiên, có nhiều hình thức khác cơng nhằm vào đích phần cứng ứng dụng Đôi lúc cịn gọi với tên khác như: “Teardrop”, “Bonk”, “Boink” 2.3.5 Smurf Attack Smurf kiểu công cách lợi dụng địa IP giao thức ICMP nhờ chương trình độc hại có tên Smurf Kẻ cơng giả vờ lấy địa IP nguồn mục tiêu công để ping nhiều ICMP đến địa Broadcast nhiều mạng, làm cho địa IP nhận loạt phản hồi gói ICMP lớn, khiến cho mạng bị chậm lại đáp ứng dịch vụ khác 2.3.6 Fraggle Attack Fraggle Attack công sử dụng nhiều lưu lượng UDP vào mạng phát sóng Router Cũng tương tự cách cơng Smurf khơng sử dụng nhiều ICMP 2.3.7 Slowloris Loại công từ chối dịch vụ phân tán náy khó để phát hạn chế Sự việc đáng ý vụ công bầu cử tổng thống Iran năm 2009 Loại cơng có kĩ thuật tương tự SYN flood (tạo nửa kết nối để làm cạn kiệt tài nguyên máy chủ) diễn lớp HTTP (lớp ứng dụng) Để công, tin tặc gửi yêu cầu HTTP đến máy chủ, khơng gửi tồn u cầu, mà gửi phần (và bổ sung nhỏ giọt, để khỏi bị ngắt kết nối) Với hàng trăm kết nối vậy, tin tặc tốn tài nguyên, đủ để làm treo máy chủ, tiếp nhận kết nối từ người dùng hợp lệ 22 2.3.8 NTP Amplification NTP Amplification kiểu cơng gói tin mà kẻ cơng khai thác máy chủ NTP (Network Time Protocol) hoạt động khiến cho hệ thống mạng máy chủ mục tiêu bị tải lượng lớn gói UDP khuếch đại 2.3.9 HTTP GET HTTP GET hình thức cơng vào lớp ứng dụng với quy mô nhỏ nhắm đến nhiều mục tiêu Mục tiêu hình thức cơng HTTP GET nhắm vào ứng dụng xảy nhiều điểm yếu, đặc biệt nhắm vào lớp thứ mơ hình OSI thay lớp thứ 3, lớp có lưu lượng mạng cao Kiểu công hay sử dụng URL tiêu chuẩn thay tệp hỏng tệp có khối lượng lớn nên việc chống lại điều tương đối khó 2.3.10 Advanced persistent Dos (APDos): Advanced Persistent Dos (ApDos) hình thức cơng vơ phức tạp nghiêm trọng sử dụng kết hợp tất hình thức cơng khác HTTP Flood hay SYN Flood, … Kẻ cơng sử dụng hình thức mong muốn gây thiệt hại nghiêm trọng Cuộc công lớn nguy hiểm kéo dài hàng tuần tháng, với điều kiện hacker phải có khả thay đổi chiến thuật liên tục tránh bảo vệ an ninh 2.3.11 Tấn công Ping (ICMP) flood Là cơng DDoS, kẻ cơng cố gắng áp đảo thiết bị mục tiêu u cầu packets ICMP, khiến mục tiêu khơng thể có lưu lượng truy cập bình thường Khi lưu lượng công đến từ nhiều thiết bị, công trở thành công DDoS công DDoS phân tán Một yêu cầu ICMP cần số tài nguyên server để xử lý yêu cầu gửi phản hồi Yêu cầu cần tổng lưu lượng tin nhắn đến (echo-request) phản hồi (echo-reply) Cuộc công Ping Flood nhằm áp đảo khả thiết bị mục tiêu để phản hồi với số lượng yêu cầu cao tải kết nối mạng với lưu lượng ảo Bằng cách có nhiều thiết bị mạng botnet nhắm vào sở hạ tầng 23 sở hạ tầng với ICMP requests, lưu lượng cơng tăng lên đáng kể, có khả dẫn đến gián đoạn hoạt động bình thường mạng 24 CHƯƠNG MÔ PHỎNG TẤN CÔNG DDOS VÀO MẠNG SDN 3.1 Kịch công Mô mạng SDN Mininet gồm switch host - Sử dụng công cụ công DDoS Hping3 với kỹ thuật công Ping (ICMP) flood để công DDoS vào tầng ứng dụng mạng SDN mô - Các phần mềm triển khai: + Mininet: Mininet công cụ giả lập mạng, bao gồm tập hợp hosts đầu cuối, switches, routers liên kết Linux kernel Mininet sử dụng cơng nghệ ảo hóa (ở mức đơn giản) để tạo nên hệ thống mạng hoàn chỉnh, Mininet cho phép tạo topo mạng nhanh chóng, tùy chỉnh topo mạng, chạy phần mềm thực web servers, TCP monitoring, Wireshark; tùy chỉnh việc chuyển tiếp gói tin + OpenDaylight: phần mềm mã nguồn mở dành cho Software Defined Networking (SDN) sử dụng giao thức mở cung cấp khả kiểm sốt tập trung, có khả lập trình theo dõi thiết bị mạng Giống nhiều SDN Controllers khác, OpenDaylight hỗ trợ OpenFlow, cung cấp giải pháp mạng khác sẵn sàng để cài đặt có yêu cầu + MobaXterm phần mềm giúp giao tiếp Windows với Linux, hỗ trợ truy cập từ xa quản trị thiết bị mạng Switch, Router… + Wireshark: để chặn bắt gói tin + Hping3: Cơng cụ có nhiều loại cấu hình để thực thăm dị mạng, theo dõi, gửi ping, công kiểu lũ cấp độ khác Tóm lại, cung cấp cho nhiều khả để tạo gói tin gửi chúng đến trang web khác 3.2 Cài đặt cấu hình mơ mạng SDN - Bước 1: Cài đặt phần mềm Mininet Vmware cấu hình mơ hình mạng SDN gồm switch host ngơn ngữ lập trình python: - Tạo file lập trình python: touch topo3s3h - Sử dụng ngơn ngữ python lập trình mơ hình mạng: from mininet.topo import Topo class MyTopo( Topo ): "Simple topology example." def init ( self ): 25 "Create custom topo." Topo. init ( self ) # add host h1 = self.addHost('h1') h2 = self.addHost('h2') h3 = self.addHost('h3') # add switch s1 = self.addSwitch('s1') s2 = self.addSwitch('s2') s3 = self.addSwitch('s3') # add connection self.addLink(s1, s2) self.addLink(s3, s2) self.addLink(s3, s1) self.addLink(s1, h1) self.addLink(s2, h2) self.addLink(s3, h3) topos = { 'tp': ( lambda: MyTopo() ) } Hình 3.1: Cấu hình mạng SDN - Bước 2: Cài đặt trình điều khiển Opendaylight máy ảo Ubuntu để điều khiển mạng SDN: + Thiết lập địa IP cho OpenDaylight:192.168.111.140 + Khởi động OpenDaylight dùng lệnh: cd distribution-karaf-0-6-4./bin/karaf 26 Hình 3.2: Giao diện Opendaylight - Bước 3: Đăng nhập vào địa IP trình điều khiển Opendaylight để xem mơ hình mạng mơ phỏng: + Mở trình duyệt Web đăng nhập vào địa chỉ: http://192.168.111.140:8181 Hình 3.3: Mơ hình mạng SDN gồm Switch Host 3.3 Thực công DDoS vào mạng SDN - Bước 4: Cài đặt phần mềm MobaXterm để truy cập vào Mininet thông qua SSH: + Thiết lập dùng MobaXterm để điều khiển mạng SDN sử dụng câu lệnh: Sudo mn controller=remote,ip=192.168.111.140,port=6653 –custom topo3s3h.py topo + Tiến hành ping thử Host mạng để kiểm tra kết nối Host dùng lệnh: Pingall 27 Hình 3.4: Kiểm tra kết nối Host mạng SDN - Bước 5: Kiểm tra kết nối Host Host 3: + Host ( IP:10.0.0.1 ) tiến hành Ping kết nối tới Host thông qua IP Host ( 10.0.0.3 ): ping 10.0.0.3 + Sử dụng phần mềm chặn bắt gói tin Wireshark ta thấy Host gửi kết nối thành cơng tới Host Hình 3.5: Host Ping kết nối tới Host 28 - Bước 6: cài đặt công cụ công DDoS hping3 OpenDayLight: sudo apt install hping3 - Bước 7: Sử dụng công cụ Hping3 để công DDoS vào mạng SDN: + Host ( IP : 10.0.0.2 ) sử dụng công cụ hping3 để công DDoS: hping3 –V -1 –d 1400 faster 10.0.0.3 -V : để hoạt động chế độ chi tiết để gỡ lỗi -1 : để tạo gói ICMP, theo mặc định ICMP - Echo request -d 1400 : Trong trường hợp này, 1400 byte chọn để khơng có phân mảnh lớp hai faster : để tạo 100 gói giây Gửi gói tin tới Host (IP: 10.0.0.3 ) với tốc độ 100 gói/giây làm tải kết nối mạng với lưu lượng ảo khiến cho Host nhận kết nối từ Host + Trên Wireshark ta thấy Host khơng cịn nhận tín hiệu Ping từ Host Hình 3.6: Tấn công DDoS vào mạng SDN 29 KẾT LUẬN Sau gần thời gian nghiên cứu, thử nghiệm, đề tài đạt tất mục tiêu đề Cụ thể: Trong chương 1, khái quát tổng quan hệ thống mạng SDN Trong chương 2, khái quát tốn công DDos Trong chương 3, sở kiến thức từ chương chương nhóm thực mô công DDos vào mạng SDN mininet 30 TÀI LIỆU THAM KHẢO [1] Early Detection of DDoS Attacks in Software Defined Networks Controller [2] https://securitybox.vn/1353/12-loai-tan-cong-ddos-tan-cong-tu-choi-dich-vuddos/ [3] Phân loại công DDos cách phịng chống – Hồng Xn Diệu, Học viện cơng nghệ bưu viễn thơng [4] https://tek4.vn/tong-quan-ve-mang-dinh-nghia-mem-sdn-software-definednetworks/ 31 ... lượng công tăng lên đáng kể, có khả dẫn đến gián đoạn hoạt động bình thường mạng 24 CHƯƠNG MƠ PHỎNG TẤN CÔNG DDOS VÀO MẠNG SDN 3.1 Kịch công Mô mạng SDN Mininet gồm switch host - Sử dụng công cụ công. .. quan công DDos 10 2.2 Phân loại công DDoS 15 2.3 Các kỹ thuật công DDos 19 Chương Mô công DDoS vào mạng SDN 25 3.1 Kịch công 25 3.2 Cài đặt cấu hình mô. .. Sử dụng công cụ công DDoS Hping3 với kỹ thuật công Ping (ICMP) flood để công DDoS vào tầng ứng dụng mạng SDN mô - Các phần mềm triển khai: + Mininet: Mininet công cụ giả lập mạng, bao gồm tập hợp

Ngày đăng: 29/07/2022, 18:21

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w