ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ Phạm Xn Bách PHỊNG CHỐNG TẤN CƠNG TỪ CHỐI DỊCH VỤ PHÂN TÁN VÀO CÁC WEBSITE KHOÁ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY Ngành: Cơng nghệ thơng tin HÀ NỘI - 2010 1    LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CƠNG NGHỆ Phạm Xn Bách PHỊNG CHỐNG TẤN CÔNG TỪ CHỐI DỊCH VỤ PHÂN TÁN VÀO CÁC WEBSITE KHỐ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY Ngành: Công nghệ thông tin Cán hướng dẫn: TS Nguyễn Đại Thọ HÀ NỘI - 2010 2    LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com LỜI CẢM ƠN Lời em xin bày tỏ lòng biết ơn sâu sắc đến thầy giáo TS Nguyễn Đại Thọ hướng dẫn bảo em tận tình suốt năm học vừa qua Em xin bày tỏ lòng biết ơn đến thầy cô giáo khoa Công nghệ thông tin, trường Đại học Công nghệ, Đại học Quốc gia Hà Nội Các thầy cô dạy bảo, dẫn em suốt bốn năm học trường Đại học Công nghệ, tạo điều kiện tốt giúp em hồn thành khóa luận tốt nghiệp Tơi xin cảm ơn bạn sinh viên K51 trường Đại học Công nghệ, đặc biệt bạn sinh viên lớp K51CA K51MMT thành viên phịng 202B kí túc xá ngoại ngữ đoàn kết, giúp đỡ tơi theo học mơn bổ ích thú vị chương trình học đại học trường Cuối cùng, xin gửi tới bố, chị gái, mẹ nuôi gia đình lịng biết ơn tình cảm u thương Hà Nội, ngày 19/05/2010 Phạm Xuân Bách i    LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com TÓM TẮT Phịng chống cơng từ chối dịch vụ, đặc biệt công từ chối dịch vụ phân tán vào Website đề tài nhận nhiều quan tâm nhà nghiên cứu Bên cạnh khó khăn sở hạ tầng mạng cịn yếu kém, phát triển khơng ngừng công cụ phương pháp công khiến cho việc phịng chống cơng từ chối dịch vụ trở thành vấn đề nan giải Khóa luận trình bày phương pháp phịng chống công từ chối dịch vụ hiệu cách sử dụng kiến trúc mạng bao phủ để bảo vệ Website Trong kiến trúc này, nhóm SOAP, secure overlay Access Point, thực chức kiểm tra phân biệt người truy cập với chương trình độc hại kẻ cơng, để đưa yêu cầu người dùng hợp lệ đến node bí mật mạng bao phủ kết nối SSL thơng qua mạng Sau node bí mật chuyển tiếp yêu cầu người dùng, qua vùng lọc, đến với Server đích Việc dùng lọc mạnh để lọc yêu cầu độc hại gửi trực tiếp đến Server đích, cho phép node bí mật truy cập, với việc sử dụng mạng bao phủ để che giấu node bí mật, nhóm SOAP mạng bao phủ bị công để sẵn sàng thay SOAP khác, giúp cho Website bảo vệ hạn chế tối đa tác động công Tuy kiến trúc tỏ bất lực node mạng bao phủ bị chiếm dụng trở thành node gây hại công mạng Khóa luận thực cải tiến, để phát tình node gây hại công, tự động chuyển hướng truy vấn để tránh khỏi công gây hại Sau xây dựng kịch công, kiến trúc cải tiến kiểm tra cho thấy kết khả quan Từ khóa: Denial of Service, overlay node, Graphic Turing Test ii    LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com MỤC LỤC LỜI CẢM ƠN i TÓM TẮT ii MỤC LỤC iii MỞ ĐẦU Chương 1: CÁC CÁCH THỨC TẤN CÔNG TỪ CHỐI DỊCH VỤ 1.1 Thiết lập nên mạng Agent 1.1.1 Tìm kiếm máy dễ bị tổn thương 1.1.2 Đột nhập vào máy dễ bị tổn thương 1.1.3 Phương pháp lây truyền 1.2 Điều khiển mạng lưới máy Agent 1.2.1 Gửi lệnh trực tiếp 1.2.2 Gửi lệnh gián tiếp 1.2.3 Unwitting Agent 1.2.4 Thực công 1.3 Các cách thức công từ chối dịch vụ 1.3.1 Khai thác điểm yếu mục tiêu 1.3.2 Tấn công vào giao thức 1.3.3 Tấn công vào Middleware 10 1.3.4 Tấn công vào ứng dụng 10 1.3.5 Tấn công vào tài nguyên 11 1.3.6 Pure Flooding 11 1.4 IP Spoofing 12 iii    LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 1.5 Xu hướng DoS 13 Chương 2: CÁC BIỆN PHÁP PHÒNG CHỐNG TRUYỀN THỐNG 14 2.1 Biện pháp pushback 14 2.2 Biện pháp Traceback 15 2.3 Biện pháp D-WARD 18 2.4 Biện pháp NetBouncer 19 2.5 Biện pháp “Proof of Work” 20 2.6 Biện pháp DefCOM 21 2.7 Biện pháp COSSACK 22 2.8 Biện pháp Pi 23 2.9 Biện pháp SIFF 24 2.10 Biện pháp lọc đếm chặng HCF 25 Chương 3: SOS VÀ WEBSOS 27 3.1 Giao thức Chord 27 3.2 Kiến trúc SOS 29 3.3 Kiến trúc WebSOS 31 3.3.1 Giải pháp đề xuất 31 3.3.2 Kiến trúc WebSOS 31 3.3.3 Cơ chế WebSOS 32 3.3.3.1 Cơ chế chung 32 3.3.3.2 Cơ chế định tuyến 34 3.3.4 Cơ chế bảo vệ 34 3.3.5 Đánh giá ưu, nhược điểm kiến trúc WebSOS 36 Chương 4: THỰC NGHIỆM, CẢI TIẾN VÀ KẾT QUẢ 37 4.1 Môi trường thực nghiệm 37 4.2 Cài đặt kiến trúc WebSOS 37 iv    LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 4.3 Kiểm tra độ trễ kết nối 38 4.4 Đề xuất cải tiến 39 4.4.1 Vấn đề mạng bao phủ WebSOS 39 4.4.2 Đề xuất cải tiến 40 4.4.3 Thực thi đề xuất 42 4.4.3.1 Kịch thử nghiệm 42 4.3.3.2 Kết thử nghiệm 43 4.3.3.2.1 Với chương trình gốc 43 4.3.3.2.2 Với chương trình cải tiến 44 4.4.4 Đánh giá hiệu chương trình cải tiến  46 Chương 5: KẾT LUẬN 50 5.1 Các kết đạt 50 5.2 Các kết hướng tới 50 TÀI LIỆU THAM KHẢO 52 v    LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com MỞ ĐẦU Tấn công từ chối dịch vụ (Dos, Denial of Services) ngày trở thành mối đe dọa lớn tin cậy mạng internet Là công sử dụng nhiều cách thức tổ chức thực khác nhau, từ việc dùng máy tới việc thu thập máy agent quyền với số lượng lên đến hàng chục ngàn máy phục vụ cơng, mục đích công làm tê liệt ứng dụng, máy chủ, toàn mạng lưới, làm gián đoạn kết nối người dùng hợp pháp tới Website đích Một nghiên cứu UCSD [23] từ đầu thập niên công từ chối dịch vụ diễn với tỷ lệ lên tới 4000 công tuần Trong năm 2002, công từ chối dịch vụ [22] làm sập tới số 13 máy chủ DNS root toàn giới Mức độ ảnh hưởng nghiêm trọng công từ chối dịch vụ, mà đặc biệt nhắc đến nhiều công từ chối dịch vụ phân tán DDoS, dẫn đến loạt nghiên cứu nhằm hiểu rõ chế công, để đưa tới cách thức giúp phịng chống ảnh hưởng tiêu cực Có nhiều phương pháp đề xuất nhằm chống lại công từ chối dịch vụ, từ việc lọc gói tin để tránh giả mạo địa nguồn, chuyển hướng công, đẩy ngược luồng giao thông công trở lại mạng, cách ly để phân biệt máy khách giao thông máy chủ, … Mỗi giải pháp tốt, cung cấp kĩ thuật giúp định vị vấn đề công từ chối dịch vụ Song phương pháp bảo vệ lại khía cạnh cơng từ chối dịch vụ Khóa luận tơi trình bày phương pháp phịng chống công từ chối dịch vụ phân tán hiệu tồn diện Đó việc áp dụng kiến trúc mạng bao phủ, để bảo vệ mục tiêu khỏi tiếp cận kẻ công Dựa kiến trúc mạng bao phủ, có số đề xuất đưa kiến trúc SOS WebSOS Kiến trúc SOS sử dụng mạng bao phủ truy vấn hợp pháp qua xác thực phép đến server đích Dựa vào việc sử dụng node bí mật, có giao thơng từ node đến server đích, kiến trúc tỏ hiệu việc bảo vệ Website Kế thừa kiến trúc SOS, WebSOS triển khai mạng bao phủ với số chế cải tiến xác thực người dùng thông qua kiểm tra CAPTCHA, kết nối thông qua proxylet với việc xác thiết lập kết nối SSL xác thực X.509, nhằm tăng mức độ bảo mật cho hệ thống Để giúp cho WebSOS tránh trường hợp node mạng bao phủ bị chiếm dụng trở thành nguồn công, đưa đề xuất cải tiến nhằm tự động phát hiện, thay đổi truy vấn để tránh công 1    LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Phần khóa luận tổ chức sau: Chương 1: Các phương thức công từ chối dịch vụ nêu lên cách tổng quan cách thức kẻ công phải thực nhằm tạo công từ chối dịch vụ Chương 2: Các phương pháp phòng chống công từ chối dịch vụ đề xuất trước Nhiều phương pháp nghiên cứu đáng quan tâm lĩnh vực phòng chống công từ chối dịch vụ Các phương pháp lọc, với phát triển sở hạ tấng mạng, thực đồng giảm thiểu nguy công từ chối dịch vụ cho Website Chương 3: SOS WebSOS, giới thiệu chế hai kiến trúc bảo vệ Website khỏi công từ chối dịch vụ thông qua việc sử dụng mạng bao phủ node bí mật Từ nêu lên đặc điểm cốt lỗi sử dụng để tham gia vào kiến trúc cải tiến nhằm phịng chống cơng từ chối dịch vụ Chương 4: Thực nghiệm, cải tiến kết nêu lên kết việc thực triển khai mơ hình kiến trúc WebSOS phân tích nhằm đưa cải tiến giúp hệ thống trở lên mạnh mẽ chống lại công từ node thuộc mạng bao phủ số node bị chiếm dụng trở thành nguồn công Chương đưa kết đánh giá hiệu kiến trúc nguồn WebSOS kiến trúc cải tiến thông qua kịch công xây dựng qua việc đo số thông số độ trễ truy vấn thực qua mơ hình kiến trúc Chương 5: Kết luận tổng kết lại kết đạt được, với kết mà nghiên cứu khóa luận hướng tới nhằm hồn thiện mơ hình để hướng tới mục tiêu triển khai thực 2    LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Chương 1: CÁC CÁCH THỨC TẤN CÔNG TỪ CHỐI DỊCH VỤ Một công DDoS cần phải chuẩn bị kỹ lưỡng kẻ công Trước tiên bước chiếm dụng máy khác làm lực lượng cho thân Việc thực cách tìm máy dễ bị tổn thương, sau đột nhập vào chúng, cài đặt mã công Tiếp theo đó, kẻ cơng thiết lập kênh giao tiếp máy, để chúng kiểm sốt tham gia cơng cách có phối hợp Việc thực cách sử dụng kiến trúc handler/agent điều khiển kênh điều khiển thông qua mạng IRC Một mạng DDoS xây dựng, sử dụng để công nhiều lần, chống lại mục tiêu khác 1.1 Thiết lập nên mạng Agent Tùy vào kiểu công từ chối dịch vụ, kẻ cơng cần tìm kiếm thiết lập cho mạng lưới lớn máy tính để dùng cho việc cơng Việc thực thủ cơng, bán tự động tự động hồn tồn Trong trường hợp hai DDoS cơng cụ tiếng trước đây, trinoo Shaft, trình cài đặt tự động, phát chiếm dụng máy dễ bị tổn thương thực cách thủ công Hiện nay, kẻ cơng thường sử dụng script để tự động hóa tồn trình 1.1.1 Tìm kiếm máy dễ bị tổn thương  Quá trình tìm kiếm dễ bị tổn thương gọi quét - scanning Kẻ công gửi gói vài mục tiêu lựa chọn để xem liệu có cịn sống dễ bị tổn thương Nếu nhận thấy máy phù hợp, kẻ công cố gắng đột nhập vào máy 1.1.2 Đột nhập vào máy dễ bị tổn thương Kẻ công cần phải khai thác lỗ hổng máy mà có ý định tuyển dụng để truy cập vào “sở hữu” chúng Phần lớn lỗ hổng bảo mật cung cấp cho kẻ công quyền truy cập vào hệ thống với quyền cao administrator, thêm/ xóa/ thay đổi tập tin hệ thống cài đặt theo ý thích Và để tạo thuận lợi cho việc truy nhập vào máy tính bị sở hữu tương lai, kẻ cơng thường cho chạy chương trình cố gắng lắng nghe kết nối đến từ cổng định Chương trình gọi backdoor Kết nối thông qua backdoor 3    LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com - Tấn cơng hủy gói tin: cơng hủy gói thiết lập kết nối khiến người dùng khơng thể kết nối đến server qua node Phân tích sâu trường hợp này, ta thấy kênh truyền thiết lập, kẻ cơng hủy bỏ gói tin truyền người dùng hợp lệ server Tương tự kiểu cơng tồn vẹn liệu, phát kiểu cơng thông qua giải pháp cải tiến, ứng dụng người dùng nhận thấy qua việc kết nối bị ngừng, qua thông lượng thấp ứng dụng - Tấn cơng gửi tràn gói tin: Một node bị chiếm dụng tham gia cơng gửi tràn đến server đích thơng qua việc gửi tràn gói tin đến Servlet 4.4.2 Đề xuất cải tiến Chúng ta tập trung vào kiểu công thứ thứ hai: cơng hủy gói tin, đưa giải pháp cách thiết lập chế nhận diện kiểu cơng này, sau thiết lập cho proxylet người dùng thực thay đổi SOAP để kết nối đến server qua đường định tuyến khác không thông qua node bị chiếm dụng Cơ chế thực theo ý tưởng báo [12] cách gửi gói tin thăm dị định kì đến server đích Áp dụng vào kiến trúc WebSOS, cho proxylet bên người dùng thực gửi gói tin thăm dị định kì đến server Nếu server trả lời gói tin thăm dị sai quy định xác định trước, kết luận đường định tuyến có node bị chiếm dụng thực cơng hủy gói tin, từ ta cho người dùng tự động thay đổi SOAP để qua đường định tuyến khác Cơ chế suốt với người dùng người dùng thực xác thực hợp lệ qua SOAP Kẻ cơng chặn yêu cầu hợp lệ, gói tin thăm dị gói tin trả lời thăm dò truyền qua node bị chiếm dụng Để khắc phục trường hợp này, chế cho phép người dùng số yêu cầu định khơng có trả lời từ phía server, proxylet tự động kết nối đến proxy khác, cho phép người dùng thiết lập kết nối bình thường, khơng qua node bị chiếm dụng Đề xuất cải tiến thể dạng giả mã sau: - Đề xuất cải tiến thực proxy applet Thiết lập biến số lượng thăm dị khơng trả lời probe=0; Thiết lập biến số lượng kết nối hỏng numD= 0; 40    LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Thiết lập số lượng kết nối thành công numS= 0; Thiết lập biến kiểm tra kết nối hỏng drop=false; (*) Nếu probe>3, thực thay đổi SOAP cho client thiết lập lại giá trị biến mặc định Nếu numD>= , thực thay đổi SOAP cho client thiết lập lại biến mặc định Gửi liệu request Gửi liệu probeRequest sau khoảng thời gian random tăng probe lên Kiểm tra drop==true, tăng numD lên Đặt giá trị drop=true Nếu số lượng kết nối thành công numS>7, gán numS= numD= Nếu nhận liệu response, tăng numS lên 1, đặt lại drop=false Nếu liệu response probeResponse, gán probe= numD=0; Quay lại (*) - Đề xuất cải tiến thực Server đích Nếu nhận request probeRequest, xử lý gửi lại probeResponse Như theo giả mã, proxylet chạy client kiểm tra 10 lần gửi request mà có tới lần khơng nhận liệu response proxylet xem có hành động cơng hủy gói tin tự động thay đổi SOAP để kết nối đến Server Ngoài ra, sau khoảng thời gian random, gói tin probeRequest proxylet client gửi lên Server đích Nếu client khơng nhận gói probeResponse phù hợp, tăng giá trị numD Khi numD >=3, proxylet thực thay đổi SOAP cho client, gán lại numD=0, tiếp tục q trình Cịn nhận gói tin probeResponse phù hợp, proxylet ghi nhận khơng có cơng hủy gói tin, biến reset, trình thực lại từ đầu 41    LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 4.4.3 Thực thi đề xuất Để thực thi đề xuất, thay đổi chế hoạt động proxylet, gửi định kì gói tin thăm dị đến server, sau chờ gói tin trả lời thăm dị Nếu gói tin trả lời khơng đúng, khơng có gói tin trả lời thăm dị biến thiết lập sẵn tăng dần, đến giá trị xác định trước, proxylet tự động kết nối đến SOAP khác để đảm bảo truy cập người dùng Ngoài ra, yêu cầu người dùng không nhận trả lời từ server, biến thiết lập tăng dần đến giá trị định trước Khi proxylet kết nối đến SOAP khác, biến khởi tạo lại giá trị Sau thực nghiệm với hệ thống, thấy hiệu chế rõ rệt, trường hợp khơng có gói tin trả lời thăm dị, gói tin trả lời từ server bị hủy bỏ, chí việc giữ đường truyền cho gói thăm dị/ trả lời thăm dị hủy gói tin khác, chế phát xử lý hiệu qua việc thay đổi SOAP Danh sách SOAP để thay đổi lưu SOAP, proxylet đọc lưu mảng dùng để thay đổi SOAP khác phát có cơng hủy gói tin 4.4.3.1 Kịch thử nghiệm Để thực thi đề xuất kiểm định kết chế đề ra, trước hết xây dựng nên hai kịch thử nghiệm sau: - Kịch 1: Giả sử client kết nối đến SOAP Sau hoàn tất xác thực người dùng qua kiểm tra CAPTCHA, người dùng download máy chạy proxy applet nhằm kết nối đến SOAP SOAP tạo chuyển tiếp yêu cầu người dùng qua mạng WebSOS overlay node đến với Servlet, đến Server đích Trong tuyến đường từ SOAP đến Servlet, node node bị chiếm dụng, node thực cơng hủy bỏ gói tin Bằng việc thực khiến node gửi yêu cầu người dùng đến Server đích lắng nghe thông điệp trả lời từ Server đích, lại ngừng ghi vào luồng thơng tin gửi client, node hủy bỏ gói tin từ Server gửi đến người dùng Ở phía người dùng hợp lệ, chậm trễ việc nhận gói tin dẫn đến tình trạng trang web load lâu, việc kết nối thông lượng ứng dụng thấp Dựa biểu này, ta phát tượng gói tin bị hủy nhờ vào việc gửi nhận gói tin probeRequest, probeResponse, thực biện pháp đối phó Đó việc cấu hình khiến proxy applet chạy máy người dùng tự động thay đổi SOAP khác Ta thực thi kịch xây dựng với chương trình gốc chương trình cải tiến, nhằm xem xét tác động hình thức cơng với chương trình gốc, kiểm tra khả chế cải tiến, xem phát 42    LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com xử lý tốt hình thức cơng hủy bỏ gói tin node bị chiếm dụng hay không - Kịch 2: Tương tự kịch 1, node công không hủy bỏ tồn gói tin Ta giả sử kẻ công tinh vi tới mức phát gói tin probeRequest, probeResponse cho dù ta có che giấu chúng gói tin gửi tốt nữa, kẻ địch hủy bỏ số lượng lớn gói tin gói tin nhận từ server, cho số gói tin qua để đánh lừa người dùng có kết nối chậm, với server cách ngẫu nhiên gói tin chứa probeRequest probeResponse khơng bị hủy, khơng bị hủy tới gói probeResponse liên tiếp Như theo kịch 2, chế đề xuất gửi probeRequest probeResponse bị vơ hiệu hóa, ta phải sử dụng cách khác để phát gói tin bị hủy bỏ với số lượng lớn, để biết có cơng node độc hại thực thay SOAP cho client 4.3.3.2 Kết thử nghiệm 4.3.3.2.1 Với chương trình gốc Khi thực thi kịch thử nghiệm với chương trình WebSOS gốc, tượng trực quan phía client người dùng, gói tin request gửi bình thường, Browser chờ gói response khơng có gói response tới Browser Trang web thông báo “Waiting for http:// ”, song load trang kết Sau 20 giây (theo thiết lập tùy biến setSoTimeout code chương trình) không nhận response, Browser thông báo “Internet Explorer cannot display the webpage” 43    LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com   Hình 5: Kịch thử nghiệm thực thi với chương trình gốc Các client khơng thể nhận response đường định tuyến đến server có node bị chiếm dụng thực cơng hủy gói tin Kết tất yếu xảy thực thi kịch với chương trình WebSOS gốc, Browser client nhận response từ Server đích, tương đương với việc người dùng hợp lệ khơng thể kết nối đến Server đích đường định tuyến từ client đến Server đích có node bị chiếm dụng, thực hình thức cơng hủy gói tin Với kịch thứ 2, hầu hết gói tin bị hủy, nên người dùng gần kết nối đến server 4.3.3.2.2 Với chương trình cải tiến - Kịch 1: Khi thực kịch thử nghiệm với chương trình cải tiến, tượng diễn ban đầu không khác so với chương trình gốc, Browser khơng thể nhận response từ Server, trang web thông báo “Waiting for http:// ” mà khơng có tượng xảy Tuy nhiên, sau thời gian, khoảng 14 giây trang web load bình thường người dùng truy nhập thành công Các lần truy vấn trở nên bình thường, khơng cịn có load lâu lần truy cập trước 44    LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Hình 6: Kịch thử nghiệm thực thi với chương trình cải tiến Sau 14 giây loading với trường hợp xấu (12 giây thực chế), Browser load trang web Các request sau, Browser gửi nhận truy vấn bình thường Với kịch thử nghiệm 2, trường hợp xấu sau lần truy vấn không thành công, lần thứ trở Browser gửi nhận truy vấn bình thường Nguyên chế đề xuất, gửi truy vấn đến server đồng thời sau giây probeRequest lại gửi lên server (thời gian lần gửi probeRequest điều chỉnh), sau lần liên tiếp gửi probeRequest không thành công proxy applet tự động thay đổi SOAP dẫn đến thay đổi đường dẫn định tuyến từ client đến server đích Do đường dẫn khơng cịn qua node bị chiếm dụng nữa, nên ảnh hưởng hành vi cơng khơng cịn Đồng thời proxy applet tự động gửi lại yêu cầu qua SOAP nhận response, khiến trang web load thành công sau khoảng thời gian chờ probeResponse mà trả lời Và chuyển SOAP với đường dẫn định tuyến mới, truy vấn sau thực bình thường, khơng cịn tượng khơng có response đến Browser Cần nhấn mạnh trường hợp trường hợp xấu người dùng truy cập gặp phải node độc hại đường dẫn định tuyến Ở trường hợp tốt hơn, người dùng truy cập chẳng hạn, node đường dẫn định tuyến bị chiếm dụng công Lúc probeRequest probeResponse 45    LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com gửi, bị hủy để không nhận được, sau khoảng thời gian khoảng 12 giây (lần thứ gửi probeRequest), proxy applet nhận node độc hại thay đổi SOAP Trong khoảng thời gian người dùng chưa chuyển trang khác Website, ví dụ người dùng đọc báo chẳng hạn, nên người dùng không cảm nhận SOAP bị thay đổi, vào trang web khác người dùng không nhận thấy chậm trễ - Kịch 2: Khi thực kịch thứ hai với chương trình cải tiến, tượng xảy lúc người dùng load trang web kết nối đến trang web, trang web bị nhiều phần bị hủy số lượng lớn gói tin Do giả định chế probeRequest probeResponse bị vô hiệu hóa node cơng vơ tình khơng hủy bỏ gói tin probe liên tiếp nào, kẻ cơng tinh vi tới mức cho phép gói probe qua mặc cho nỗ lực giấu gói probe chúng ta, cần đưa giải pháp cho kịch Giải pháp đưa giải pháp đếm số lượng gói tin request mà khơng có response Chúng ta đưa tỉ lệ 10 gói tin request mà có tới gói tin khơng nhận response (tỉ lệ thay đổi cho phù hợp với mạng) proxy applet coi có cơng hủy gói tin, thực thay đổi SOAP cho client Vì trường hợp người dùng cảm thấy khó khăn hơn, chế đếm số request không trả lời, nên người dùng phải qua ba lần request server mà không nhận load trang web Đến lần thứ tư trở sau, người dùng truy vấn bình thường proxy applet chuyển đổi SOAP giúp người dùng khơng cịn bị cơng hủy gói tin từ node độc hại Ở trường hợp tốt hơn, người dùng gửi yêu cầu trang web, giả sử response cho u cầu khơng bị hủy, trang web thường có nhiều thành phần, nên số lượng lớn request Browser tự động gửi lên server để download thành phần Browser Vì cơng khiến người dùng cảm thấy trang web thiếu nhiều thành phần, đến trang web sau proxy applet nhận có node độc hại, chuyển SOAP, người dùng lại cảm thấy thoải mái truy cập Website bình thường 4.4.4 Đánh giá hiệu chương trình cải tiến Để đánh giá hiệu chương trình cải tiến so với chương trình gốc, ta thực so sánh thời gian truy cập hai chương trình vào số địa khác Cụ 46    LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com thể, qua việc đo thời gian truy cập trung bình vào số trang web, ta kết bảng dưới: Truy cập trực tiếp Phiên gốc Phiên cải tiến http://nhom3.k51mmt.net.vn/main/news4st.htm 0.48 1.34 1.27 http://nhom3.k51mmt.net.vn/main/test.htm 0.84 2.97 3.12 http://www.google.com 1.42 2.31 2.25 Địa 3.5 2.5 Trực tiếp Phiên gốc Phiên cải tiến 1.5 0.5 news4st_test test_local google.com Hình 7: Thời gian truy vấn trung bình chương trình vào số trang web Các chương trình chạy với kiến trúc mạng bao phủ gồm có node Thực đánh giá hiệu chương trình cải tiến so với chương trình gốc thơng qua việc so sánh thời gian truy cập trường hợp bị công theo kịch 2, ta kết sau: 47    LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Địa Trực tiếp Phiên gốc (cả hai kịch bản) Phiên cải tiến (kịch 1) lần truy cập Phiên cải tiến (kịch 2) từ lần thứ news4st.htm_local 0.48 Không kết nối 14.53 2.46 test.htm_local 0.84 Không kết nối 15.19 3.57 www.google.com 1.42 Không kết nối 16.34 3.22 18 16 14 12 Trực tiếp 10 Cải tiến_kịch Cải tiến_kịch news4st_test test_local google.com Hình 8: Thời gian truy vấn trung bình chương trình vào số trang web thực chạy với kịch Với phiên gốc, kết kết nối Kiến trúc mạng bao phủ gồm node Với kịch chế phát để thay đổi 12 giây Với kịch từ lần thứ truy vấn thành công 48    LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Các đo đạc cho thấy rõ bất lực kiến trúc gốc 100% thử nghiệm kết nối với trường hợp node mạng bao phủ bị chiếm dụng công hệ thống Cơ chế cải tiến cho thấy kết chấp nhận khả quan cho triển khai 49    LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Chương 5: KẾT LUẬN Qua thời gian nghiên cứu phịng chống cơng từ chối dịch vụ, đặc biệt qua trình thực đề tài khóa luận tốt nghiệp: “Phịng chống cơng từ chối dịch vụ phân tán vào Website”, nắm kĩ thuật phịng chống cơng từ chối dịch vụ kiến thức mạng bao phủ, từ xây dựng triển khai kiến trúc WebSOS nhằm hạn chế công từ chối dịch vụ vào mục tiêu Website Những kết mà tơi đạt kết hướng tới, tổng kết lại đây: 5.1 Các kết đạt - Xây dựng kiến trúc WebSOS với khả chống lại mạnh mẽ công từ chối dịch vụ Hệ thống cho phép người dùng truy cập trực tiếp vào Website, kích hoạt Website bị công từ chối dịch vụ Với vùng lọc IP mạnh mẽ, chế xác thực người dùng hồn hảo việc che giấu Servlet bí mật, Server đích cách ly bảo vệ tốt khỏi công - Thực thực nghiệm cho thấy độ trễ hệ thống phòng chống công từ chối dịch vụ chấp nhận được, với khả triển khai mở rộng cao cho Web server công cộng phục vụ người dùng - Thực cải tiến hệ thống cách đặt giả định một vài node mạng bao phủ bị chiếm dụng, cơng hệ thống hình thức cơng hủy gói tin hay cơng tồn vẹn gói tin, khiến người dùng hợp lệ truy cập hệ thống Cách thức cải tiến cho thấy hiệu rõ rệt, suốt với người dùng tạo cảm giác thoải mái cho người dùng cho dù hoàn cảnh hệ thống bị công 5.2 Các kết hướng tới - Hướng tới việc xử lý độ trễ kiến trúc mạng bao phủ, cách phương pháp xây dựng đường không đối xứng, gửi response trực tiếp từ Server đích đến client - Nằm đề xuất cải tiến, giả định đặt node mạng bao phủ bị chiếm dụng trở thành nguồn cơng Khi chế xử lý đề hiệu node thực hành vi cơng hủy gói tin Song giả định node mạng bao phủ bị chiếm dụng, node cịn tham gia hành vi cơng 50    LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com nguy hiểm hành vi cơng gửi tràn gói tin Việc xây dựng chế hiệu phát hiện, loại bỏ node bị chiếm dụng mạng bao phủ mục tiêu cần hướng đến 51    LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com TÀI LIỆU THAM KHẢO [1] A C Snoeren, C Partridge, L A Sanchez, C E Jones, F Tchakountio, S T Kent, and W T Strayer, "Hash-Based IP Traceback," Proceedings of ACM SIGCOMM 2001, August 2001, pp 3–14 [2] A Yaar, A Perrig, and D Song, "Pi: A Path Identification Mechanism to Defend Against DDoS Attacks," Proceedings of the IEEE Symposium on Security and Privacy, May 2003, pp 93–107 [3] A Yaar, A Perrig, and D Song, "SIFF: a stateless Internet flow filter to mitigate DDoS flooding attacks," Proceedings of the IEEE Symposium on Security and Privacy, May 2004, pp 130–143 [4] Angelos D Keromytis, Vishal Misra, Dan Rubenstein, SOS: Secure Overlay Services, ACM SIGCOMM 2002 [5] Angelos D Keromytis, Vishal Misra, Dan Rubenstein, SOS: An Architecture For Mitigating DDoS Attacks, IEEE Journal on Selected Areas of Communications (JSAC), 2003, pages 176-188 [6] Angelos Stavrou, Debra L Cook, William G Morein, Angelos D Keromytis, Vishal Misra, Dan Rubenstein; WebSOS: An Overlay-based System For Protecting Web Servers From Denial of Service Attacks; Computer Networks, Volume 48, Issue (August 2005), pages 781 – 807 [7] C Jin, H Wang, and K G Shin, "Hop-Count Filtering: An Effective Defense Against Spoofed DDoS Traffic," Proceedings of the 10th ACM Conference on Computer and Communication Security, ACM Press, October 2003, pp 30–41 [8] C Papadopoulos, R Lindell, J Mehringer, A Hussain, and R Govindan, "Cossack: Coordinated Suppression of Simultaneous Attacks," Proceedings of 3rd DARPA Information Survivability Conference and Exposition (DISCEX 2003), vol 2, April 2003, pp 94–96 [9] D Farinacci, T Li, S Hanks, D Meyer, P Traina, Generic Routing Encapsulation (GRE), RFC 2784, IETF (March 2000) URL http://www.rfceditor.org/rfc/rfc2784.txt 52    LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com [10] Debra L Cook, William G Morein, Angelos D Keromytis, Vishal Misra, Daniel Rubenstein; WebSOS: Protecting Web Servers From DDoS; Proceedings of the 11th IEEE International Conference on Networks (ICON) (2003); pages 455–460 [11] E O'Brien "NetBouncer: A Practical Client-Legitimacy-Based DDoS Defense via Ingress Filtering," http://www.networkassociates.com/us/_tier0/nailabs/_media/documents/netbouncer.pd f [12] Elaine Shi, Ion Stoica, David Andersen, Adrian Perrig, “OverDoSe: A Generic DDoS Protection Service Using an Overlay Network”, CMU Technical Report CMU-CS-06-114, 2006 [13] G Dommety, Key and Sequence Number Extensions to GRE, RFC 2890, IETF (September 2000) URL http://www.rfc-editor.org/rfc/rfc2890.txt [14] Ion Stoica, Robert Morris, David Karger, M Frans Kaashoek, Hari Balakrishnan, Chord: A Scalable Peer-to-peer Lookup Service for Internet Applications, ACM Sigcomm 2001 [15] J Mirkovic, D-WARD: Source-End Defense Against Distributed Denial- of-Service Attacks, PhD thesis, University of California Los Angeles, August 2003, http://lasr.cs.ucla.edu/ddos/dward-thesis.pdf [16] J Mirkovic, M Robinson, P Reiher, and G Kuenning, "Forming Alliance for DDoS Defenses," Proceedings of the New Security Paradigms Workshop (NSPW 2003), ACM Press, August 2003, pp 11–18 [17] Jelena Mirkovic, Sven Dietrich, David Dittrich, Peter Reiher; Internet Denial of Service: Attack and Defense Mechanisms.chm ; Prentice Hall PTR; 2004 [18] Michael Glenn; A Summary of DoS/DDoS Prevention, Monitoring and Mitigation Techniques in a Service Provider Environment; SANS Institute; 2003 [19] R Mahajan, S M Bellovin, S Floyd, J Ioannidis, V Paxson, and S.Shenker, "Controlling High Bandwidth Aggregates in the Network," ACM SIGCOMM Computer Communications Review, vol 32, no 3, July 2002, pp 62–73 [20] S Bellovin, M Leech, and T Taylor, "ICMP Traceback Messages," Internet draft, work in progress, October 2001 53    LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com [21] S Savage, D Wetherall, A Karlin, and T Anderson, "Practical Network Support for IP Traceback," Proceedings of ACM SIGCOMM 2000, August 2000, pp 295–306 [22] http://c.root-servers.org/october21.txt [23] http://edition.cnn.com/2001/TECH/internet/05/24/dos.study.idg/ 54    LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com ... Các phương thức công từ chối dịch vụ nêu lên cách tổng quan cách thức kẻ công phải thực nhằm tạo công từ chối dịch vụ Chương 2: Các phương pháp phịng chống cơng từ chối dịch vụ đề xuất trước... Thực công 1.3 Các cách thức công từ chối dịch vụ 1.3.1 Khai thác điểm yếu mục tiêu 1.3.2 Tấn công vào giao thức 1.3.3 Tấn công vào Middleware 10 1.3.4 Tấn công vào. .. giúp định vị vấn đề công từ chối dịch vụ Song phương pháp bảo vệ lại khía cạnh cơng từ chối dịch vụ Khóa luận tơi trình bày phương pháp phịng chống cơng từ chối dịch vụ phân tán hiệu toàn diện