TRƯỜNG ………………… KHOA……………………… -[\ [\ - Báo cáo tốt nghiệp Đề tài: BIÊN DỊCH CÀI ĐẶT VÀ TRIỂN KHAI HỆ THỐNG D-WARD LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com LỜI CẢM ƠN Đầu tiên, em xin gửi lời cảm ơn chân thành tới thày Đoàn Minh Phương hướng dẫn tạo điều kiện cho em hồn thành khóa luận Em xin gửi lời cảm ơn tới thày Phùng Chí Dũng, Bùi Thị Lan Hương nhiệt tình giúp đỡ em để em hồn thành tốt khóa luận Em xin cảm ơn thày cô môn Mạng Truyền Thơng máy tính nói riêng thày trường Đại học Công Nghệ- Đại học Quốc Gia Hà Nội nói chung, người truyền đạt cho chúng em kiến thức quý báu suốt năm học vừa qua Mặc dù khóa luận hoàn thành với tất cố gắng thân, khơng tránh khỏi sai sót, hạn chế Vì vậy, em mong nhận nhận xét, góp ý thày giáo bạn để đề tài hồn thiện Hà Nội, tháng 05/2010 Sinh viên Trần Tuấn Linh LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Tóm tắt khóa luận Các hệ thống máy tính địi hỏi khả bảo mật khả chống đỡ lại công cao Tấn công từ chối dịch vụ ưu tiên hàng đầu quan doanh nghiệp hoạt động lĩnh vực thương mại điện tử Các công từ chối dịch vụ trở nên vô phức tạp khó đốn định từ việc nguồn cơng phân tán Đã có nhiều giải pháp triển khai để ngăn chặn vấn đề chưa đạt hiệu cao Khóa luận đưa ý tưởng giải pháp triển khai hiệu chi phí thấp so với giải pháp trước Đó D-WARD phát ngăn chặn luồng công cách điều khiển lưu lượng mạng ngồi từ mạng nguồn Đầu tiên, khóa luận biên dịch, cài đặt triển khai hệ thống D-WARD mơ hình thử nghiệm Sau đó, cải tiến khả phân tích luồng kết nối gói tin qua mạng việc cài đặt mở rộng thêm module cập nhật truy vấn server quản trị sở liệu LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com MỤC LỤC Chương 1.Mở đầu 1.1 Các công DOS DdoS 1.1.1 Cuộc cơng DoS gì? 1.1.2 Tấn cơng DDoS gì? 1.2 Quá trình diễn công thách thức phòng chống 1.2.1 Kịch công DDoS: 1.2.2 Những thách thức phòng chống công DDoS 1.3 Những vị trí triển khai hệ thống phịng chống 1.3.1 Hệ thống phòng chống độc lập: 1.3.2 Hệ thống phòng chống phân tán: 1.4 Tổng kết: Chương 2.D-WARD 10 2.1 Tổng quan D-WARD 10 2.2 Các thuật ngữ giả thiết 10 2.3 Kiến trúc hệ thống D-WARD 11 2.3.1 Thành phần giám sát 12 2.3.2 Thành phần giới hạn băng thông 20 2.3.3 Thành phần sách lưu lượng 22 2.4 Các phiên D-WARD 22 2.4.1 D-WARD 22 2.4.2 D-WARD 2.0 23 2.4.3 D-WARD 3.0 24 2.5 Tổng kết: 25 Chương 3.Cơ sở lý thuyết kiến trúc triển khai mở rộng DWARD 26 3.1 Triển khai thành phần giám sát 26 3.1.1 Bảng băm luồng 26 3.1.2 Bảng băm kết nối: 26 3.1.3 Lấy thơng tin gói tin 28 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 3.1.4 Phân loại luồng kết nối 28 3.2 Triển khai thành phần giới hạn băng thông 29 3.3 Triển khai thành phần sách lưu lượng 30 3.3.1 3.4 Tiến trình điều khiển sách lưu lượng 30 Mở rộng D-WARD 31 3.4.1 Mục đích việc mở rộng 31 3.4.2 Kết nối D-WARD với mơ hình client-server 31 3.5 Tổng kết 32 Chương 4.Cài đặt kết 32 4.1 Cài đặt hệ thống D-WARD 32 4.1.1 Mơ hình triển khai 32 4.1.2 Biên dịch chạy D-WARD 34 4.1.3 Kết đánh giá 36 4.2 Cài đặt hệ thống mở rộng 38 4.2.1 Mơ hình triển khai 38 4.2.2 Mở rộng hệ thống: 38 Chương 5.Tổng kết 41 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Danh sách hình ảnh Hình 1: Mơ hình cơng DDoS Hình 2: Các điểm phịng chống Hình 3: Hệ thống phịng chống mạng đích Hình 4: Hệ thống phòng chống mạng trung gian Hình : Phịng chống nguồn Hình 6: Kiến trúc hệ thống D-WARD 11 Hình 7: Máy hữu hạn trạng thái DNS 15 Hình : Máy hữu hạn trạng thái streaming liệu 17 Hình : Ví dụ vấn đề phân loại gói tin 18 Hình 10 : Bảng băm luồng 26 Hình 11: Bảng băm kết nối 27 Hình 12: : Topo hệ thống D-WARD 33 Hình 13: File debug/class.txt 36 Hình 14: File rlstats.txt 36 Hình 15: File conn.txt 37 Hình 16: Topo thử nghiệm 38 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Bảng từ viết tắt COI D-WARD DDOS Connection Observation Interval Ddos- network Attack and Recognition Defense Distributed Denial Of Service DOS Denial of Service FOI Flow Observation Interval ICMP IP Internet Control Message Protocol Internet Protocol RTP Real-time Transport Protocol RSTP Real-time Streaming Protocol TCP Transmission Control Protocol LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Chương Mở đầu Tấn công từ chối dịch vụ lĩnh vực thú vị để nghiên cứu Cho tới có nhiều người tham gia vào nghiên cứu lĩnh vực Tuy nhiên, đến chưa có cách thật hữu hiệu để phát ngăn chặn kẻ công Chương giới thiệu định nghĩa DoS DDoS, trình diễn công tổng quan số thách thức phịng chống cơng DDoS 1.1 Các công DOS DDoS 1.1.1 Cuộc công DoS gì? Tấn cơng từ chối dịch vụ (DoS): q trình yêu cầu gửi tràn ngập từ điểm công riêng lẻ tới hay nhiều server đích Và yêu cầu thường giả mạo địa IP nguồn Với nhiều yêu cầu gửi đến vậy, yêu cầu hợp lệ không đáp ứng dẫn tới tượng từ chối dịch vụ 1.1.2 Tấn cơng DDoS gì? Tấn cơng từ chối dịch vụ phân tán (DDoS): công từ chối dịch vụ thơng thường thực nhiều máy bị kẻ công chiếm quyền điều khiển (agents/zombie) agents khu vực địa lý khác Một kẻ cơng điều khiển agents, thống tất máy agents lúc sinh nhiều gói tin u cầu gửi tới đích Với số lượng lớn agents, tài nguyên hệ thống nạn nhân nhanh chóng bị cạn kiệt q tải Hình vẽ thể mơ hình cơng: Hình 1: Mơ hình cơng DDoS LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đầu tiên attacker sử dụng số máy bị chiếm quyền điều khiển làm “handler” dùng để truyền thông điệp cơng tới zombie (agents) Sau đó, đồng loạt zombie gửi truy vấn tới nạn nhân làm cho tài nguyên hệ thống bị cạn kiệt tải Trong công DDoS, agents thường sử dụng địa IP nguồn giả mạo Attacker giả mạo trường địa IP nguồn tiêu đề gói tin cơng Điều làm cho nạn nhân khó dị ngược máy agent Bên cạnh đó, việc làm giả địa máy agent cho phép attacker sử dụng lại chúng công tương lai Các gói tin cơng có nội dung khơng khác so với gói tin hợp lệ cần phải xây dựng sách lọc xác 1.2 Q trình diễn cơng thách thức phòng chống DDoS xuất vấn đề nghiêm trọng mạng Internet vào năm 1999 Nó trải qua phát triển mạnh mẽ kỹ thuật để chuẩn bị thực công mà không bị phát Công nghệ cơng phân tán khơng phải mới, quen thuộc đến mức attacker bình thường gây hậu nghiêm trọng 1.2.1 Kịch cơng DDoS: Có vài bước cần thực để chuẩn bị thực cơng DDoS Đó là:  Tuyển qn: Attacker chọn nhiều máy mạng Internet để thực công Các máy thường gọi agents Thông thường agents này: o Nằm ngồi mạng nạn nhân để khơng bị nạn nhân kiểm sốt o Nằm ngồi mạng attacker để tránh trách nhiệm pháp lý cơng bị dị ngược Các máy agents thường có lỗ hổng attacker lợi dụng để truy cập chúng Các attacker thích agents có nhiều tài nguyên để sinh luồng công với LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com số lượng lớn Lúc đầu, công việc lựa chọn agents thực cách thủ cơng nhanh chóng tự động hóa nhờ cơng cụ qt cung cấp danh sách host có lỗ hổng  Dàn trận: Các attacker cướp quyền truy cập (thường root) cách thâm nhập lỗ hồng bảo mật gieo rắc mã độc Chúng thực số bước để đảm bảo mã độc không bị phát (bằng cách thay đổi tên file, đặt ẩn đưa vào thư mục system) vô hiệu hóa (bằng cách thực lập lịch vào hệ thống ví dụ linux cron để restart lại đoạn mã cách định kỳ) Các công cụ quét khai thác lỗ hổng để cướp quyền truy cập triển khai mã cơng, sau chúng đưa danh sách host triển khai mã công Hiện tại, công việc thực tự động việc sử dụng cơng cụ tích hợp qt, khai thác, triển khai truyền pha làm cho việc triển khai nhanh đoạn mã độc  Liên lạc: Các agents báo cáo sẵn sàng cho handlers – máy dàn xếp để điều khiển cơng Những ngày đầu địa IP handlers mã hóa cứng mã công, handlers lưu trữ thông tin mã hóa agent sẵn sang file Cho nên việc phát máy đơn mạng DDoS tiết lộ tất thành phần khác Sau kênh truyền Internet Relay Chat (IRC) bắt đầu sử dụng Một attacker điều khiển agents sử dụng kênh truyền IRC Cho nên phát agent đưa kết luận mạng DDoS mà nhận kênh truyền thông qua IRC server sử dụng mạng mà Do vậy, phát mạng DDoS phụ thuộc vào khả giám sát agents kết nối tới IRC server Để tránh bị phát hiện, attacker sử dụng kỹ thuật nhảy kênh truyền khoảng thời gian ngắn làm cho IRC server không kịp nhận agents  Tấn công: Các attacker thường gia lệnh công thông qua handlers kênh truyền thông tới agents Đích, thời lượng, đặc điểm gói tin công kiểu, độ dài, TTL, port number … tùy chỉnh 1.2.2 Những thách thức phịng chống cơng DDoS LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Để tránh lãng phí tài nguyên trình tìm kiếm đối tượng bảng băm, số trial tối đa sau trial đối tượng khơng tìm thấy, trình tìm kiếm bị hủy bỏ Trước ghi thêm vào bảng băm, cỡ bảng băm cần phải kiểm tra xem có bị tràn hay không Nếu bảng băm gần đầy, chúng xóa ghi để có khơng gian cho ghi Sau số tiêu chuẩn sử dụng để xác định ghi bị xóa:  Đối với ghi luồng: Chúng ta xóa số gói tin gửi SP số byte gửi SB với SP SB tham số cấu hình tăng lên gấp đôi sau luồng qua  Đối với ghi kết nối: Chúng ta xóa ghi số gói tin gửi SP số byte gửi SB kết nối phân loại “TRANSIENT” SP SB tham số cấu hình tăng lên gấp đôi sau kết nối qua 3.1.3 Lấy thơng tin gói tin Tiến trình get_packet_info liên tục u cầu thơng tin gói tin từ module kernel gst Tuy nhiên, để tăng hiệu suất việc copy liệu kernel không gian người dùng bị hạn chế Cho nên, thơng tin gói tin copy đệm kernel chứa 1/3 sau số lần yêu cầu copy bị từ chối Khi tiến trình get_packet_info nhận liệu lấy thơng tin gói tin cập nhật vào entry tương ứng bảng băm luồng bảng băm kết nối 3.1.4 Phân loại luồng kết nối Các luồng kết nối phân loại định kỳ hàm process gọi hàm rate_limit để xác định giới hạn băng thông tương ứng Một luồng bị phân loại “ATTACK” gặp phải điều kiện sau:  Tỉ lệ gói tin TCP gửi nhận lớn TCPrto  Tỉ lệ gói tin ICMP gửi nhận lớn ICMPrto  Số kết nối UDP lớn nconn tỉ lệ số gói tin UDP gửi số kết nối UDP thấp pconn Nếu luồng không gặp phải điều kiện bên trên, luồng phân loại “SUSPICIOUS” thời gian thỏa mãn điều kiện khơng phạm phải 28 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com điều kiện nêu khoảng thời gian Compliance Period số lượng bytes bị hủy khác Ngược lại luồng phân loại “NORMAL” Về việc phân loại kết nối, kết nối bị phân loại “TRANSIENT” gặp phải điều kiện sau: (1) kết nối TCP có gói tin gửi đi, (2) kết nối ICMP có gói tin gửi đi, (3) kết nối UDP khơng có mơ hình mức ứng dụng Một kết nối phân loại “GOOD” có điều kiện sau đây:  Là kết nối TCP có tỉ lệ số gói tin gửi số gói tin nhận nhỏ TCPrto  Là kết nối ICMP tỉ lệ gói tin gửi nhận nhỏ ICMPrto  Là kết nối UDP có mơ hình mức ứng dụng kết nối trạng thái thỏa mãn mơ hình Trong trường hợp khác, kết nối xem phân loại “BAD” Cả kết nối TCP UDP phân loại hợp lệ đề thêm vào danh sách kết nối hợp lệ (Legitimate Connection List) sau gửi tới module kernel rl việc sử dụng lệnh ioctl Sau kết nối phân loại, thống kê số lượng gói tin byte kết nối bị xóa hết Kết nối tiếp tục kiểm tra trạng thái tạm ngừng hoạt động cách so sánh nhãn thời gian hoạt động cuối với khoảng tạm ngừng hoạt động tốt (Good Inactive Period) cho kết nối tốt, khoảng thời gian tạm ngừng hoạt động tạm thời ( Transient Inactive Period) cho kết nối tạm thời Các kết nối bị phân loại “BAD” không kiểm tra tạm ngừng hoạt động kết nối phân loại “GOOD” Với kết nối này, kết nối tạm ngừng hoạt động bị xóa 3.2 Triển khai thành phần giới hạn băng thông Sau phân loại luồng kết nối hồn thành, thành phần giới hạn băng thơng gọi từ hàm process Thành phần giới hạn băng thông nhận thông tin luồng bị hủy từ module rl sử dụng lệnh ioctl định nghĩa luồng phù hợp với giới hạn tốc độ Sau đó, luồng bị giới hạn băng thơng thêm vào bảng băng giới hạn băng thông sử dụng địa IP đích thơng tin giới hạn băng thông để đánh số Nội dung bảng sau đưa tới module rl việc sử dụng lệnh ioctl 29 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Những thống kê số gói tin byte bị xóa sau đặt giới hạn băng thông Thêm là, luồng kiểm tra việc so sánh nhãn thời gian cuối mà luồng hoạt động với khoảng thời gian luồng tạm ngừng hoạt động (Flow_Inactive_Period) cho luồng phân loại “NORMAL” Chúng ta không kiểm tra hoạt động luồng “ATTACK” “SUSPICIOUS” chúng phân loại “NORMAL” sau tạm dừng hoạt động Cuối cùng, luồng tạm dừng hoạt động bị xóa 3.3 Triển khai thành phần sách lưu lượng Tiến trình điều khiển sách lưu lượng triển khai module rl việc sử dụng netfilte hooks Thông tin luồng bị giới hạn băng thông bảng băm luồng bị giới hạn thông tin kết nối “GOOD” bảng băm kết nối tốt lưu module rl Các bảng tổ chức giống bảng băm luồng kết nối thành phần giám sát Một ghi bảng băm luồng bị giới hạn có trường:  Số byte gửi  Số byte gửi kết nối “GOOD”  Số byte gửi phù hợp với dải sequence number đặt trước  Số byte bị hủy  Giới hạn băng thông  Ước lượng tải “good” traffic 3.3.1 Tiến trình điều khiển sách lưu lượng D-WARD thực điều khiển sách lưu lượng với gói tin theo cách sau:  Nếu gói tin có địa IP nguồn khơng nằm tập địa IP giám sát gói tin bị hủy  Nếu luồng liên quan không nằm bảng băm luồng bị giới hạn, gói tin chuyển tiếp  Nếu kết nối liên quan nằm bảng băm kết nối “GOOD”, chuyển tiếp gói tin cập nhật số byte tốt gửi vào ghi luồng tương ứng với kết nối bảng băm luồng bị giới hạn 30 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com  Nếu gói tin TCP, phù hợp với dải sequence number đặt trước tổng byte đặt trước gửi độ dài gói tin khơng lớn tham số Early Packet Rate Limit, chuyển tiếp gói tin cập nhật số byte gửi phù hợp với sequence number đặt trước 3.4 Mở rộng D-WARD Do hệ thống D-WARD thường triển khai xây dựng hệ thống độc lập, hoạt động cách riêng lẻ Ý tưởng đưa xây dựng server sở liệu tập trung để lưu thông tin luồng kết nối Cho phép router cài đặt DWARD thêm lấy thơng tin cập nhật từ router khác thông qua server 3.4.1 Mục đích việc mở rộng Mở rộng hệ thống D-WARD theo hướng kết nối router cài đặt D-WARD với server sở liệu có lợi ích:  Tăng khả phân loại xác luồng kết nối  Hệ thống triển khai cách hiệu mơ hình mạng lớn 3.4.2 Kết nối D-WARD với mơ hình client-server  Mơ tả chung hệ thống: Triển khai hệ thống với server chạy MySQL router chạy D-WARD kết nối trực tiếp đến server Trong server MySQL tạo bảng lưu trữ liệu về: thời gian, địa IP D-WARD, địa IP đích, xác suất cơng luồng tới địa IP đích Sau chu kỳ giám sát luồng ( Flow Observation Interval) thông tin tổng hợp router gửi lên server MySQL Khi trình phân loại diễn router D-WARD gửi truy vấn tới server sở liệu hỏi xem router D-WARD khác xác suất công luồng miền quản lý router Sau đó, tính tốn lại xác xuất cơng luồng miền quản lý để đưa định xác  Cơ sở lý thuyết: Chúng ta dựa tỉ lệ số gói tin gửi số gói tin đáp ứng theo mơ hình loại gói tin cụ thể 31 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Các router lấy giá trị ratio router khác luồng cần giám sát, tính tốn lại cách lấy giá trị trung bình Sau đó, kết hợp giá trị với mơ hình gói tin hợp lệ để đưa phân loại cho luồng 3.5 Tổng kết Trong chương này, khóa luận kiến trúc triển khai hệ thống D-WARD version 3.1 Đồng thời, đưa hướng mở rộng cho D-WARD kết nối với mơ hình client-server; sử dụng server sở liệu để nâng cao hiệu hệ thống Chương Cài đặt thử nghiệm 4.1 Cài đặt hệ thống D-WARD 4.1.1 Mơ hình triển khai 32 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Hình 12: : Topo hệ thống D-WARD Chúng ta cài đặt hệ thống với địa IP, subnet mask, default gateway topo sau:  Subnet: 192.168.2.0/24, Default gateway: 192.168.2.1/24 o Các máy công: 192.168.2.2/24 (A1), 192.168.2.4(A2) o Các client hợp lệ: 192.168.2.3/24 (C1)  Subnet: 192.168.3.0/24, Default gateway: 192.168.3.1/24 o Các máy công: 192.168.3.2/24 (A3) o Các client hợp lệ: 192.168.3.3/24 (C2), 192.168.3.4/24(C3)  Subnet: 192.168.4.0/24, Default gateway: 192.168.4.1/24 o Các máy công: 192.168.4.2/24 (A4), 192.168.4.3/24 (A5) o Các máy hợp lệ: Khơng có  Subnet: 192.168.5.0/24, Default gateway: 192.168.5.1/24 o Máy công: 192.168.5.3 (A6) o Máy hợp lệ: 192.168.5.2 (C4) 33 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com  Các router R2-D, R3-D, R4-D R5-D router nguồn triển khai D-WARD Và có địa IP, subnet mask hình vẽ  Router R1 router gần đích khơng triển khai D-WARD  Host V nạn nhân công DDoS có địa IP 10.0.0.254, subnetmask: 255.255.255.0, default gateway: 10.0.0.1 4.1.2 Biên dịch chạy D-WARD Chúng ta biên dịch chạy D-WARD router R2-D, R3-D, R4-D R5D theo topo đưa phần Đầu tiên, download mã nguồn D-WARD địa chỉ: http://lasr.cs.ucla.edu/ddos/dward.tgz Sau đó, giải nén mã nguồn biên dịch Mã nguồn sử dụng sử dụng thư viện lập trình kernel 2.4 hệ điều hành sử dụng Red Hat Ngoài để biên dịch mã nguồn cần phải cài trình biên dịch GCC Mã nguồn D-WARD bao gồm module module ứng dụng module kernel Module ứng dụng thực phát công tính tốn giới hạn băng thơng module kernel thực điều khiển sách lưu lượng Sau biên dịch xong mã nguồn, thấy module “gst.o” “rl.o” Module “rl.o” đặt giới hạn băng thông cho traffic ngồi module “gst.o” kiểm tra gói tin đường truyền đưa thông tin tiêu đề đến module ứng dụng để tổng hợp thống kê  Quá trình biên dịch D-WARD: Chúng ta xem xét file “Makefile” “kernel/Makefile” giá trị tham số sử dụng để biên dịch cách kỹ lưỡng Sau đó, chỉnh sửa file cấu hình “prefix.config” “dward.config” để tùy chỉnh hệ thống phù hợp với mạng triển khai Sau chỉnh sửa tham số cần thiết, di chuyển vào thư mục dward gõ lệnh: make depend make make install 34 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Khởi tạo thiết bị thành phần cho D-WARD Chúng ta chạy câu lệnh sau: mkdir /dev/dward mkdir /dev/sniff mknod /dev/dward c 146 mknod /dev/sniff c 147 // Tạo thiết bị dward // Tạo thiết bị sniff Cài đặt module kernel gst.o rl.o Chạy câu lệnh: insmod kernel/gst.o plen=20 insmod kernel/rl.o drop=1 mark=255 LOCAL_ADDRESS=x.x.x.x LOCAL_MASK=y (trong x.x.x.x địa mạng mà hệ thống dward triển khai, y độ dài số bit phần host địa IP) Module “gst” có plen tham số tùy chọn xem có bytes gói tin đưa tới ứng dụng để thực việc thống kê tổng hợp Mặc định giá trị 40 Module “rl” có tham số tùy chọn drop, mark LOCAL_MASK Các giá trị mặc định 1, 255 LOCAL_ADDRESS phải định nghĩa không module không nạp vào nhân LOCAL_ADDRESS LOCAL_MASK định nghĩa không gian địa mạng nguồn Tham số drop quy định việc có hay khơng hủy gói tin Nếu tham số đặt (giá trị mặc định) gói tin bị nghi công bị hủy Nếu tham số đặt 0, gói tin khơng bị hủy Tham số mark có tác dụng bạn chạy thí nghiệm D-WARD muốn đo hiệu Khi phát sinh traffic cơng đặt số vào trường TOC gói tin cơng (với câu lệnh 255) D-WARD khơng sử dụng giá trị trường để đưa định tổng hợp xem có gói tin hợp lệ hay khơng hợp lệ Thống kê tìm thấy file “stats.txt” thư mục “stats” Chạy hệ thống D-WARD Sau hoàn thành q trình biên dịch, bạn chạy ứng dụng D-WARD Tài liệu hướng dẫn cụ thể bạn đọc “man dward” 35 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 4.1.3 Kết đánh giá Thí nghiệm thực với loại công ICMP TCP Và sau số kết thu Kết thí nghiệm với gói tin ICMP TCP  Một số hình ảnh file debug stats Hình 13: File debug/class.txt File class.txt lưu lại phân loại luồng kết nối hệ thống bao gồm: địa IP nguồn: cổng nguồn, IP đích: cổng đích, số gói tin gửi, số gói tin trả lời, phân loại luồng/kết nối Hình 14: File rlstats.txt 36 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com File rlstats.txt file lưu lại giá trị giới hạn băng thơng cho luồng Ở hình luồng tới host đích 10.0.0.254 Với gói tin TCP: Hình 15: File conn.txt File conn.txt ghi lại thơng tin kết nối đưa vào bảng băm kết nối Và chúng bị reset sau chúng phân loại Cũng tương tự ICMP file phân loại kết nối, thống kê giới hạn băng thông thư mục debug stats Chúng file: class.txt, rlstats.txt, stats.txt… Đánh giá thí nghiệm: Với kết thí nghiệm trên, đưa số nhận xét sau: o Hệ thống phòng chống D-WARD chạy với mơ hình lý thuyết Bên cạnh đó, phân loại luồng kết nối xác o Với địa IP khơng thuộc tập địa mạng giám sát, hệ thống hủy bỏ thành phần quản lý sách lưu lượng o Hệ thống D-WARD có thê chạy nhiều kiểu gói tin TCP, ICMP, UDP… 37 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com o Hệ thống D-WARD triển khai cách rộng rãi không dừng lại mạng riêng lẻ 4.2 Cài đặt hệ thống thử nghiệm 4.2.1 Mơ hình triển khai Gần giống với topo mạng triển khai bên router nguồn kết nối tới server sở liệu tập trung Hình 16: Topo thử nghiệm 4.2.2 Mở rộng hệ thống:  Ưu điểm: Hệ thống (Hình 16) khắc phục điểm yếu D-WARD triển khai cách riêng lẻ Đó kết hợp khả đánh giá phân loại từ router nguồn triển khai DWARD khác Cuối đưa phân loại xác cho luồng kết nối từ hệ thống Chi phí cho việc xác thực không cao việc triển khai trực tiếp kết nối router hệ thống phân tán Vì chế xác thực MySQL thiết kế cách ổn định 38 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Hiệu hệ thống tăng lên rõ rệt Trong mạng xảy lúc nhiều host truy cập vào dịch vụ mạng chưa luồng cơng Nếu khơng kết hợp để đánh giá thơng qua server sở liệu D-WARD giới hạn băng thơng ngăn cản truy cập tới dịch vụ Điều làm giảm hiệu hệ thống Nhưng triển khai mơ hình này, giải vấn đề nêu cách tốt  Hạn chế: Yêu cầu hợp tác nhiều nhà quản lý router nguồn Điều thường khó đạt nơi sử dụng sách bảo mật phịng chống cơng khác Cần có server sở liệu chung Chi phí cho server thường khó có tổ chức đứng chịu trách nhiệm kết việc phịng chống khơng có tác dụng cách trực tiếp đến quan doanh nghiệp 4.2.3 Cài đặt  Thủ tục: Nếu tỉ lệ số gói tin gửi chia cho số gói tin nhận vượt giới hạn cho phép kiểu gói tin (ICMP, TCP, UDP) bị phân loại SUSPICIOUS timestamp luồng lớn giây thực lệnh: o Gửi câu lệnh cập nhật tỉ lệ luồng lên server MySQL o Lấy thông tin luồng để thực việc tính tốn o Tính lại tỉ lệ so sánh với giá trị rto kiểu gói tin Nếu thỏa mãn rto cho phép phân loại NORMAL Nếu ngược lại bị phân loại ATTACK chuyển đến thành phần quản lý giới hạn băng thông thực giới hạn băng thông Giả mã: if(tỷ lệ số gói tin gửi/số gói tin nhận > types_rto SUSPICIOUS timestamp >= 5s) { if(mysql_query(conn,update_query)){ 39 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com fprintf(stderr,“%s\n”,mysql_error(conn)); return 0; }; // conn kết nối tới MySQL server, query truy // vấn cập nhật trường sở liệu // types_rto tỷ lệ phép tối đa kiểu gói tin mysql_query(conn, get_infor); // lấy thông tin luồng bị cho công //router cách gửi truy vấn lên CSDL ratio = trung bình cộng tỉ lệ mà MySQL server thống kê từ hệ thống D-WARD khác luồng xét; if(ratio > type_rto) return (fs-> classification = ATTACK); else return (fs-> classification = NORMAL); } 40 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Chương Tổng kết Trong khóa luận này, chúng tơi vấn đề liên quan việc triển khai hệ thống phòng chống DDoS mở rộng triển khai với mơ hình client-server Khóa luận cung cấp nhìn tổng quan phịng chống cơng từ chối dịch vụ Đó hiệu việc triển khai hệ thống phòng chống nguồn rẻ cao hẳn Nó đưa giải pháp triển khai hệ thống nguồn để giúp nguồn nhanh chóng phát dập tắt cơng bị kẻ cơng nhen nhóm Chúng đưa số kịch để kiểm tra hệ thống gần giống với thực tế thu số kết thống kê kịch Cuối cùng, chúng tơi thảo luận việc sử dụng mơ hình client – server để triển khai hệ thống D-WARD Bằng cách thông qua server sở liệu để thực việc tính tốn phân loại luồng cách xác để việc phân loại trở nên hiệu Trong trình nghiên cứu vấn đề này, chúng tơi gặp thấy nhiều thứ cần phải chỉnh sửa ví dụ khả phân loại chưa tốt, việc giới hạn băng thông không linh hoạt…Trong tương lại, chúng tơi cố gắng hồn thiện để triển khai hệ thống hồn thiện mắc lỗi 41 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Tài liệu tham khảo [1]CSI Computer Crime and Security Survey 2009 [2]Document in Linux Redhat 8.0 kernel 2.4.18 [3]DDoS Network Attack and Recognition Defense http://lasr.cs.ucla.edu/ddos [4]Denial of service attack http://en.wikipedia.org/wiki/Denial-of-service_attack [5] D-WARD, DDoS and Three Network Administrative Domains http://www.securitydocs.com/library/2652 [6] Doan Cao Thanh, Deploying System for DDoS Defense, Thesis, the summer in 2008 [7] Jelena Mirkovic, D-WARD: Source-End Defense Against Distributed Denial of Service Attacks, 2003 [8] Jelena Mirkovic, Sven Dietrich, David Dittrich, Peter Reiher Internet Denial of Service: Attack and Defense Mechanism Prentice Hall PTR, December 30, 2004 [9] Katerina Argyraki, David R.Cheriton Active Internet Traffic Filtering: RealTime Response to Denial of Service Attacks [10] K.Park and H.Lee On the Effectiveness of Route-Based Packet Filtering for Distributed DoS Attack Prevention in Power-Law Internets In Proceedings of ACM SIGCOMM 2001, August 2001 [11] SYN cookies http://en.wikipedia.org/wiki/SYN_cookies [12] Lawrence Chung, Slide Client-Server Architecture, The University of Texas, Dallas 42 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com ... 10.0.0.1 4.1.2 Biên d? ??ch chạy D- WARD Chúng ta biên d? ??ch chạy D- WARD router R2 -D, R3 -D, R4 -D R 5D theo topo đưa phần Đầu tiên, download mã nguồn D- WARD địa chỉ: http://lasr.cs.ucla.edu/ddos/dward.tgz ... trình bày vị trí triển khai hệ thống phòng chống LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Chương D- WARD 2.1 Tổng quan D- WARD D- WARD hệ thống phòng chống DDoS triển khai nguồn Nó... thử nghiệm 4.1 Cài đặt hệ thống D- WARD 4.1.1 Mơ hình triển khai 32 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Hình 12: : Topo hệ thống D- WARD Chúng ta cài đặt hệ thống với địa IP,