Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 45 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
45
Dung lượng
1,19 MB
Nội dung
ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ Nguyễn Thế Hùng XÁC THỰC CÁC THÀNH PHẦN TRONG HỆ THỐNG PAC ĐỂ CHỐNG LỪA DỐI VÀ LỢI DỤNG KHỐ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY Ngành: Mạng truyền thông HA NOI-2010 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ Nguyễn Thế Hùng XÁC THỰC CÁC THÀNH PHẦN TRONG HỆ THỐNG PAC ĐỂ CHỐNG LỪA DỐI VÀ LỢI DỤNG KHOÁ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY Ngành: Mạng truyền thơng Cán hướng dẫn: ThS Đoàn Minh Phương HA NOI-2010 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Tóm tắt nội dung luận văn Giao thức lan tỏa ngược chế để phịng chống lại cơng DDoS theo phương pháp phản ứng lại kết hợp nhiều vị trí Giao thức lan tỏa ngược nhóm tác giả (ĐHCN) công bố lần đầu Hội nghị Khoa học Cơng nghệ Thái Ngun (2007) Sau tác giả Hồng Văn Qn (K49 ĐHCN) trình bày chi tiết mơ hình lý thuyết cài đặt thử nghiệm phần lõi giao thức khóa luận tốt nghiệp đại học (2008 - ĐHCN) Những phần cịn lại mơ hình lý thuyết chưa phát triển Vì vậy, định hướng giáo viên hướng dẫn trợ giúp tác giả, tơi thực khóa luận tốt nghiệp với mục đích hồn thiện đầy đủ thành phần nêu mơ hình lý thuyết giao thức LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com MỤC LỤC Mở đầu: Tính cấp thiết đề tài Chương 1: Tổng quan DDoS 1.1 Tổng quan công DDoS 1.1.1 Khái niệm DDoS 1.1.2 Tổ chức mạng lưới DDoS 1.1.2.1 Tuyển mộ mạng lưới Agent 1.1.2.2 Điều khiển mạng lưới Agents .5 1.1.3 Các loại công DDoS …………………………………………………… 1.1.3.1 SYN flood attack: 1.1.3.2 UDP Flood attack 1.1.3.3 Smurf attack .14 1.1.3.4 DNS Zone Transfer based Flooding 10 1.1.3.5 Ping based attacks .16 1.1.3.6 CGI attacks(Common Gateway Interface) 16 1.2 Tổng quan phòng thủ DDoS 17 1.2.1 Tại DDoS khó giải 17 1.2.2 Những thách thức xây dựng hệ thống phòng thủ DDoS 18 1.2.2.1 Về mặt kĩ thuật 18 1.2.2.2 Về mặt xã hội 19 1.2.3 Mục tiêu xây dựng hệ thống phòng thủ 20 1.2.4 Các hướng phòng thủ DDoS 21 1.2.4.1 Phòng ngừa Phản ứng lại 21 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 1.2.4.2 Vị trí hệ thống phòng thủ 17 Chương 2: Các nghiên cứu phòng chống DDoS 25 2.1 Giao thức AITF 25 2.1.1 Giới thiệu … … 25 2.1.2 Tổng quan giao thức AITF 25 2.1.3 Cơ chế hoạt động AITF 26 2.1.4 nhận xét 27 2.2 Hệ thống D-WARD 27 2.2.1 Mục tiêu 27 2.2.2 Triển khai D-WARD 28 3.2.3 Nhận xét 29 Chương 3: GIAO THỨC LAN TỎA NGƯỢC 29 3.1 Giới thiệu giao thức Lan tỏa ngược 29 3.1.1 Khái niệm chung 29 3.1.2 Các thuật ngữ 30 3.1.2.1 Bộ lọc (Filter) 30 3.1.2.2 Router/Gateway 30 3.1.2.3 Cơ chế “Lan tỏa ngược” 30 3.2 Cơ chế hoạt động 31 3.2.1 Bước 1: Khởi động 31 3.2.2 Bước 2: Bắt đầu 32 3.2.3 Bước 3: Kiểm tra giả mạo 32 3.2.4 Bước 4: Rút gọn 32 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 3.2.5 Bước 5: Ngăn chặn 33 3.2.6 Bước 6: Lan tỏa ngược 34 3.3 Chống lừa dối 35 3.3.1 Nguy 35 3.3.2 Giải pháp 35 3.4 Chống lợi dụng giao thức .36 3.4.1 Nguy 36 3.4.2 Giải pháp 36 3.5 Nhận xét 37 3.5.1 Ưu điểm 37 3.5.2 Nhược điểm 37 Chương 4: Phát triển chức rút gọn xác thực cho giao thức lan tỏa ngược 38 4.1 Rút gọn .38 4.1.1 Ý tưởng 38 4.1.2 Cách thức xác định địa IP Agw 38 4.1.3 Thực thi trình rút gọn 40 4.1.4 Nhận xét 40 4.2 xác thực .35 4.2.1 Ý tưởng 41 4.2.2 Thực thi trình xác thực 41 4.2.3 Kết luận 42 Kết Luận .43 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Mở đầu: Tính cấp thiết đề tài Sự bùng nổ công nghệ thông tin viễn thông kéo theo xuất nhiều vấn đề nan giải liên quan đến mạng Internet Tấn công DDoS vấn đề nóng hổi, ln thu hút quan tâm cộng đồng Internet Trong năm gần đây, ngày có nhiều cơng DDoS với qui mô lớn, gây ảnh hưởng nghiêm trọng đến tổ chức lớn như: Vào ngày 15 tháng năm 2003, Microsoft chịu đợt công DDoS làm gián đoạn websites vòng Vào lúc 15:09 GMT ngày 27 tháng năm 2003: toàn phiên tiếng anh website Al-Jazeera bị công làm gián đoạn nhiều Tháng năm 2004, công DDoS đánh sập Akamail name server, khiến khách hàng truy cập đến server dịch vụ, bao gồm cơng cụ tìm kiếm phổ biến Google Yahoo, tháng sau công khác làm tràn ngập Doubleclick name server khiến khách hàng dịch vụ tê liệt vòng Trên giới có nhiều nghiên cứu phòng chống DDoS, thực tất lý thuyết thử nghiệm, triển khai qui mơ nhỏ phịng thí nghiệm, chưa áp dụng rộng rãi Tôi viết luận văn nhằm mục đích đưa nhìn rõ ràng DDoS giới thiệu cách thức phòng chống DDoS-giao thức Lan tỏa ngược, với phần phát triển thêm vào LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Chương 1: Tổng quan DDoS 1.1 Tổng quan công DDoS 1.1.1 Khái niệm DDoS Tấn công DoS (Denial of Service) hành động cố ý kẻ có ý định xấu nhằm mục đích làm tải tài nguyên mạng, khiến mạng khả phục vụ người dùng hợp lệ Phương pháp công DDoS chủ yếu thường công tràn ngập mạng thông qua việc gửi số lượng lớn gói tin đến nạn nhân, việc làm tiêu tốn tài nguyên mạng băng thông, đệm router, khả xử lý cpu Một vài phương pháp cơng DDoS phổ biến nêu tên như: SYN flooding, UDP flooding, DNS base flooding, ICMP direct broadcast, Ping flood attack Dựa số lượng máy tính tham gia để tiến hành cơng, cơng DoS chia làm hai loại: kẻ công sử dụng tất băng thông sẵn có thơng qua việc tạo số lượng lớn gói tin từ máy tính, trường hợp cơng phân tán, nhiều máy tính kết hợp với gửi truy vấn đến nạn nhân thời điểm- hay gọi DDoS (distributed denial of sevice) Tấn công DDoS đa dạng, thường khó để tìm đâu kẻ cơng thực mà dị đến máy tính bị lợi dụng, điều khiển tham gia cơng, khó để ngăn ngừa công DDoS Những khái niệm sau thường với công DDoS: victim, agent, handle, attacker stepping stone Victim nạn nhân công, hay gọi máy mục tiêu Agent máy trực tiếp gửi gói tin cơng tới nạn nhân Attacker kẻ công thực sự, Attacker lệnh cho Handle, Handle chịu trách nhiệm điểu khiển lượng Agent trực tiếp công vào nạn nhân Khi truy tìm ngược lại vết cơng, thường tìm Agent – máy tính bị lợi dụng, khó tìm kẻ điều khiển thực Ngồi ra, số hệ thống DDoS, Attacker sử dụng thêm máy tính dùng để điều khiển hệ thống từ xa, gọi stepping stone, nhằm che giấu hành tung LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Xét mặt cấu trúc gói tin, thơng điệp gửi đến nạn nhân hợp lệ Mặt khác core router định tuyến quan tâm đến địa đích khơng quan tâm đến địa nguồn, nên attacker giả mạo IP Agent, phức tạp việc xác định Agent gói tin cơng trở nên khó khăn 1.1.2 Tổ chức mạng lưới DDoS Tùy theo kế hoạch cơng mà attacker huy động số lượng lớn máy tính gián tiếp hay trực tiếp tham gia Việc làm thủ cơng, bán thủ cơng hồn tồn tự động Các attacker thường hay sử dụng công cụ phổ biến Trinoo Shaft, công cụ điều khiển những tiến trình cài đặt tự động máy agents để công vào victim Ngày attacker thường sử dụng kịch tự động để cài đặt tiến trình ngầm vào agents, chí sử dụng cơng cụ tự động scan để dị tìm lỗ hổng lây nhiễm qua máy khác Điều ngày trở lên nguy hiểm, lẽ điều khiển tiến trình máy Victim, attacker cài đặt virut, phần mềm độc hại khác, ăn cắp liệu,thông tin cá nhân, tài khoản ngân hàng… không đơn nhằm công DDoS Có bước thực chung để tổ chức mạng lưới DDoS: tuyển mộ mạng lưới agent, điều khiển mạng botnet thực cơng 1.1.2.1 Tuyển mộ mạng lưới Agent Muốn thành lập mạng botnet, attacker phải tìm kiếm máy tính dễ bị lợi dụng (Vulnerable Machines) Quá trình gọi q trình thăm dị, attacker gửi vài gói tin để thử xem host lợi dụng Q trình thăm dị thực dễ dàng thơng qua số cơng cụ có sẵn, thực tự động với sâu hay virut máy tính Một bot (khái niệm xuất phát từ robot) chương trình máy khách chạy ẩn máy tính bị hại, gửi thơng báo cho attacker thơng tin trạng thái máy tính bị lợi dụng chờ đợi lệnh điều khiển từ attacker để phát hành cơng Các chương trình bot ngày chí cịn có khả tự động scan máy dải mạng để tìm LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com máy tính có khả bị lợi dụng thơng báo cho attacker để mở rộng mạng botnet Những chương trình tự động dị tìm, tự động lây nhiễm đến máy có khả bị lợi dụng gọi Internet Worm Do chế hoạt động độc lập xây dựng mạng botnet nên Worm attacker ưa thích Worm có chức là: dị qt để tìm kiếm máy tính có khả lợi dụng, khai thác lỗi nhằm lây nhiễm, nhân cho phép điều khiển từ xa, cuối tải kịch công DDoS chương trình thực thi, chí viruts Worm có khả sử dụng cách thức che giấu mình, biết lẩn tránh disable chương trình antivirut Trong lịch sử có Worm lây nhiễm cho hàng trăm nghìn máy tính, làm thiệt hại hàng triệu USD MyDoom, Bagle, Slammer … Ngày nay, với bùng nổ dịch vụ Web mạng chia sẻ ngang hàng, Attacker có thêm nhiều cách thức khác để thành lập mạng botnet lớn cách nhanh chóng Theo cách này, Attacker thường khai thác lỗi phần mềm, lợi dụng tin thói quen khơng an tồn người sử dụng máy tính để cài đặt tiến trình máy tính, từ từ xa tra lệnh cho máy tính cơng Victim Điển hình Việt Nam có thời kì bùng nổ Virut, Trojan lan truyền qua Yahoo Messenger Kẻ công lợi dụng lỗi bảo mật trình duyệt Web Internet Explorer để tạo trang web, cho người dùng vào trang web bị cài đặt chương trình chạy ngầm máy tính Từ chương trình tiếp tục quảng bá nó, dụ dỗ người khác vào website cách gửi tin nhắn chứa link đến tất bạn bè người bị hại qua phần mềm Yahoo Messenger, đặt status có chứa link đến trang web… Mỗi sử dụng YM máy bị nhiễm, hàng chục, hàng trăm bạn bè friend list ‘giới thiệu’ đến Website độc hại Và tin tưởng lẫn nhau, cần người bạn lỡ dùng IE mở website lên chương trình nhân bản, tiếp tục quảng bá đến hàng chục, hàng trăm người khác Chương trình lây lan nhanh đến mức quan quản lý dịch vụ Yahoo Messenger Việt Nam phải chặn tất tin nhắn offline có chứa link lạ LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 3.1.2 Các thuật ngữ 3.1.2.1 Bộ lọc (Filter) Filter luật để xác định cách thức router truyền hay ngăn chặn liệu Cụ thể trường hợp Filter router có chức chặn tất gói tin DDoS có IP nguồn IP Agent, IP bị Agent giả mạo, IP đích IP Victim Trong giao thức, Filter không tồn mãi router, chúng có thời gian thi hành định Riêng Filter cuối gần attacker có thời gian tồn lâu hẳn Filter router khác 3.1.2.2 Router/Gateway Trong báo này, router phần lõi Internet ngồi chức định tuyến cịn có nhiệm vụ thực thi giao thức Lan tỏa ngược để phản ứng lại với DDoS Trong giao thức lan tỏa ngược, có tất loại gateway: victim agent Vì mạng có chế NAT, nên khó liên lạc trực tiếp với xác máy tính cơng Do báo này, chúng tơi coi thiết bị mà có IP Internet gói tin cơng gateway agent Trong trường hợp thơng thường gateway nối mạng Local agent Internet, sử dụng NAT để chia sẻ cho nhiều máy Một số trường hợp đặc biệt khác máy tính cơng có địa IP tĩnh sử dụng Internet proxy Khi giao thức coi Agent Proxy gateway Khái niệm tương tự với gateway Victim, khác trường hợp Victim sử dụng Internet proxy 3.1.2.3 Cơ chế “Lan tỏa ngược” Là phương pháp cho phép xác định xác nguồn cơng từ chối dịch vụ cách lan truyền lọc router qua chế pushback Khi có địa IP xác định nguồn công Trên gateway Victim bật lọc, vừa để loại bỏ gói tin DDoS, vừa lắng nghe xem gói tin đến từ interface Sau xác định gửi yêu cầu qua interface ấy, đến router hàng 25 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com xóm yêu cầu lập Filter tương tự Router hàng xóm lập Filter, lắng nghe xác định gói tin đến từ interface nào, lại gửi yêu cầu lập Filter cho router Cứ xác định router gần nguồn công nhất, cho dù IP nguồn cơng có bị giả mạo hay khơng (hình 14: lan truyền lọc) 3.2 Cơ chế hoạt động 3.2.1 Bước 1: Khởi động Victim xác nhận có địa IP a.b.c.d công từ chối dịch vụ, gửi yêu cầu khởi động giao thức “lan tỏa ngược” tới gateway (Victim_GW) với tham số địa IP Agent Để đảm bảo thơng tin khởi động dịch vụ khơng bị giả mạo Victim Victim_GW có chế chứng thực ví dụ sử dụng cặp khóa mã hóa bất đối xứng… Nếu Victim sử dụng IP internet tĩnh, cài giao thức lên mình, kiêm ln vai trò Victim_GW 26 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 3.2.2 Bước 2: Bắt đầu Victim_GW thiết lập lọc ngăn chặn gói tin từ a.b.c.d khoảng thời gian tstart 3.2.3 Bước 3: Kiểm tra giả mạo Victim_GW thử xác định xem địa có thật giả mạo cách ping đến a.b.c.d + Nếu khơng có phản hồi tức Agent nhiều khả giả mạo a.b.c.d, chuyển sang thực bước Khoảng thời gian chờ phản hồi khơng thấy tno-response + Nếu có phản hồi khoảng thời gian t response, a.b.c.d Agent Gateway (A_GW) Tiếp theo Victim_GW cố gắng đẩy nhiệm vụ lọc phía A_GW Nhưng trước hết, giao thức Lan tỏa ngược cố gắng tiến kiệm công sức cách thực bước 3.2.4 Bước 4: Rút gọn Ban đầu, Victim_GW xác định router gần Agent có thiết lập chế “lan tỏa ngược” (có thể router A_GW, giao thức Lan tỏa ngược trường hợp tối ưu) Khoảng thời gian tìm kiếm Router tsearch Cách thức tìm kiếm sau: Victim_GW thực lệnh dị đường gói tin ICMP tới a.b.c.d có TTL tăng dần từ (cách thức thực gần giống tracert, traceroute) Các router đường tới A_GW gửi gói tin ICMP time exceeded Sau có đầy đủ địa IP router đường tới Agent, Victim_GW kết nối tin cậy từ A_GW ngược gần mình, gửi thơng điệp xác nhận xem router có hỗ trợ giao thức khơng Hai router trả lời “có” sớm Y X Tiếp theo, routerX routerY kiểm tra ngược lại Victim_GW xem có Victim_GW kết nối trực tiếp Victim hay không Nếu Victim có địa IP Internet trùng với Victim_GW (xảy Victim có IP tĩnh Victim_GW cấu hình virtual server trỏ 27 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com đến IP Victim mạng local) bỏ qua bước này, qua giao thức kết nối tin cậy xác nhận xác Victim người yêu cầu, kẻ giả mạo khác Với trường hợp Victim Victim_GW có IP Internet khác nhau, routerX, routerY kiểm tra xem Victim_GW có đứng kề trước Victim đường hay không cách: Hai router thực lệnh ping tới Victim với tham số TTL h+1 h, với h số hops từ Victim_GW đến router tương ứng Nếu router không nhận trả lời hợp lệ gói tin ICMP time exceeded từ Victim Victim_GW gửi thơng báo từ chối ngắt kết nối tới Victim_GW Giao thức kết thúc Nếu tất hợp lệ routerX, routerY Victim_GW tin tưởng hoàn toàn, kết nối tin cậy giữ để thực tiếp bước 5: ngăn chặn Khoảng thời gian để router kiểm tra Victim_GW tauthen 3.2.5 Bước 5: Ngăn chặn Victim_GW yêu cầu routerY đặt lọc FilterY khoảng thời gian tY gửi lưu lượng DDoS R1 từ a.b.c.d nhận Victim_GW thiết lập kết nối tin cậy với RouterX Yêu cầu đặt file shadowX để giám sát luồng DDoS từ a.b.c.d khoảng thời gian ∆t, sau ngắt kết nối với RouterX RouterY sau đặt FilterY với thời gian tY , vừa ngăn chặn lưu lượng DDoS, đồng thời theo dõi lưu lượng gói tin R2 request từ a.b.c.d đến victim qua mình: + Nếu R1 >> R2 tức Agent mạo danh địa a.b.c.d RouterY hủy FilterY, sau gửi R2 cho Victim_GW Victim_GW nhận được, so sánh với R1 ngắt kết nối với RouterY, sau thực bước + Nếu R1 ≈ R2 có nghĩa a.b.c.d địa Agent công, RouterY thông báo lại với Victim_GW, Victim_GW xác nhận lại ngắt kết nối RouterY thực bước đóng vai trị Victim_GW (lan tỏa ngược bán phần) Thời gian kiểm tra R1, R2 gọi tcheck, 28 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com (hình 15) RouterX theo dõi thời gian ∆t mà thấy có lưu lượng DDoS từ interface kết nối với RouterY có nghĩa routerY không thực nhiệm vụ ngăn chặn DDoS RouterX lập FilterFinal lọc gói tin với thời gian tlong Giải thuật kết thúc 3.2.6 Bước 6: Lan tỏa ngược Victim_GW tiến hành “lan tỏa ngược” Victim_GW đặt lọc với thời gian tstart, sau gửi yêu cầu thiết lập lọc qua router liền kề với interface mà nhận gói tin DDoS Router hàng xóm nhận yêu cầu lập filter tương tự, lại gửi yêu cầu qua interface có luồng cơng Trên Router lan tỏa đặt Filter có thời gian ttmp Một router đặt Filter rồi, mà lại nhận yêu cầu đặt Filter giống y reset lại thời gian Filter 29 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com + Trong thời gian ttmp này, router sau gửi yêu cầu lập Filter tới router tương ứng với interface, mà thấy cịn lưu lượng DDoS từ phía router này, gửi lại yêu cầu lập Filter cho router hàng xóm kết nối với interface Sau lần gửi mà lưu lượng DDoS không giảm có nghĩa router hàng xóm khơng hồn thành nhiệm vụ, router tự động lập Filter với thời gian tlong Kết thúc giải thuật + Các router khác đợi hết thời gian dừng lọc, tạo file shadow tương ứng để giám sát router kề sau thời gian tsupervise Trong khoảng thời gian mà nhận thấy có lưu lượng DDoS bật lại Filter với thời gian tlong Giải thuật kết thúc + Khi đến router gần Agent (A_GW), xảy router nhận thấy IP router hàng xóm trùng với IP Agent, router lập Filter có thời gian tlong >> ttmp Giải thuật kết thúc 3.3 Chống lừa dối 3.3.1 Nguy Attacker chiếm quyền router đường đi, khơng đặt Filter yêu cầu router hàng xóm lan tỏa ngược Attacker điều khiển A_GW, hàng xóm u cầu giả vờ đặt Filter tlong, đặt thời gian ttmp < tcheat G fake ip Sau gateway H cịn kiểm tra xem G có đứng kề trước K hay khơng cách thực lần ping nói Nếu xác nhận gateway H lập Filter Trường hợp G đóng vai trị router đường đi, yêu cầu hàng xóm lập filter để ngăn chặn truy xuất từ H đến K khó xảy Thứ router phần lõi Internet ISP quản lý kĩ, gần xâm nhập Thứ hai router phần lõi thiết bị đơn giản máy tính nhiều, ứng dụng lỗ hổng để hacker khai thác Thứ ba kiến trúc mạng Internet packet switching, đường từ mạng H đến mạng K không cố định, thay đổi động theo thời gian Việc nắm bắt đường để công vào router để lừa đảo 31 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com khó khăn khơng nhỏ Tổng kết lại, chi phí để thực phương pháp lợi dụng giao thức lớn nhiều lần so với mục đích cuối ngăn chặn H truy xuất tới K 3.5 Nhận xét 3.5.1 Ưu điểm – Thuật toán giúp giao thông Internet nhẹ nhiều so với AITF, “Lan tỏa ngược” kích hoạt Victim bị cơng Cịn AITF ln ln phải ghi thêm Route Record vào gói tin IP khiến cho tải tồn Internet tăng lên đáng kể – Do Victim_GW đẩy nhiệm vụ lọc gói tin cho Router gần Agent Vì sớm ngăn chặn gói tin DDoS đỡ tốn băng thơng mạng giảm tình trạng nút cổ chai gần Victim – Chống Fake IP, lừa dối lợi dụng giao thức – Chặn DDoS từ Attacker đến Victim có nhiều đường có thay đổi động router phần lõi Internet – Xây dựng tầng network, kể router mạng không cài đặt giải thuật mạng hoạt động bình thường – “Lan tỏa ngược” hoạt động tốt DDoS thiết kế có độ phân tán cao 3.5.2 Nhược điểm – Do phải huy động router lõi lập Filter phần lõi Internet phải chịu thêm tải Trong trường hợp router lõi khơng cài thuật tốn, bị Attacker chiếm quyền điều khiển có DDoS qua, router lõi liền kề phải lập Filter với thời gian tlong Nếu attacker có chế fake nhiều IP luân phiên, ứng với IP, A_GW phải tạo lọc khác 32 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Chương 4: Phát triển chức rút gọn xác thực cho giao thức lan tỏa ngược 4.1 Rút gọn 4.1.1 Ý tưởng Khi Victim chạy giao thức lan tỏa ngược, thông số cần thiết truyền lần lượt: VỈVgwỈGW1Ỉ GW1Ỉ GW1Ỉ………GWnỈAgwỈA Nếu có nhiều router Vgw Agw, trình thực thi giao thức để đặt lọc nhiều thời gian Trong trường hợp lý tưởng, V xác định địa xác Agw, lan truyền lọc trực tiếp đến Agw để chặn kẻ công A, giao thức tối ưu Nguyên lý trình rút gọn dựa vào ý tưởng 4.1.2 Cách thức xác định địa IP Agw Có nhiều cách để xác định địa IP router Agw kề sát kẻ công A, cách đơn giản dùng lệnh traceroute để xác định tuyến đường từ V tới A Giả sử có sơ đồ sau, với địa IP tương ứng (hình 16:mơ tả hệ thống) 33 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Khi thực lệnh traceroute từ V đến Agw: Traceroute 10.10.4.2 Ta nhận thông tin chứa tuyết đường từ V đến A sau: Lệnh traceroute mặc định response lại tuyến đường từ V đến A chậm, đưa thêm tham số -w time(wait) để cải thiện tốc độ traceroute Traceroute –w 0.1 10.10.4.2 Ta đưa thông số lấy vào file, dùng lệnh grept cut sẵn có linux lấy địa IP Agw Cụ thể lệnh sau: traceroute -w 0.1 $2 > file.log temp=`tail -n file.log | head -n | cut -f delimiter=' ' | cut -f delimiter='(' | cut -f delimiter=')'` IP_NEXT=`echo $temp` #cut -f delimiter='(' | cut -f delimiter=')' Sau phân tích có địa IP gateway liền sát kẻ công: Agw 34 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 4.1.3 Thực thi trình rút gọn Phần rút gọn cần phải xác định địa IP đích máy tính kẻ cơng, việc làm thực tốt phần code tác giả Trong trường hợp tối ưu xác định địa router kẻ cơng, phần code rutgon gọi, toán tối ưu Ngược lại không xác định IP router liền kề kẻ công, phần shellcode gốc tác giả sử dụng để lan tỏa qua router Code: if (dia chi IP cua may dich la hop le) rutgon else lan_toa_nguoc_binh_thuong 4.1.4 Nhận xét Trong trường hợp lý tưởng, Victim xác định xác router gần kẻ công lan tỏa trực tiếp đến router để đặt lọc hiệu giao thức Lan_Tỏa_Ngược lớn Giao thức thời gian thực thi giao thức nhanh không tiêu tốn tài nguyên mạng, không thời gian để router trung gian lan tỏa dần đến router gần kẻ công 4.2: xác thực Xem xét mơ hình sau V Vgw GW1 GW2 ATK3 ATK2 ATK1 (hình 17: mơ hình xác thực) 35 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Vấn đề đặt có kẻ lợi dụng ATK3 lệnh cho GW1 đặt filter GW1 phản ứng lại nào? Có thể GW1 đặt filter GW1 router liền kề kẻ cơng Vì cần phải có chế xác thực vấn đề truyền thơng thực thể mạng 4.2.1 Ý tưởng Có thể tạo sở liệu chứa thông tin địa IP thực thể mạng truyền thơng cho Ví dụ: để Vgw truyền thông tin cho GW1 hay lệnh cho GW1 đặt lọc sở liệu phải có chứa địa IP GW1 Vgw như: 10.10.2.1 10.10.2.2 Với 10.10.2.1 IP Vgw, 10.10.2.2 IP GW1 Có nhiều cách để tạo sở liệu vậy, dùng hệ quản trị sở liệu mạnh thông dụng Oracle, mySql, Sqlserver… Để mô tả đơn giản hoạt động trình xác thực thực thể mạng, dùng cách đơn giản tạo file IpCertificate có chứa địa IP tương thực thể có quyền trao đổi thơng tin với Bằng cách phân tích liệu file IpCertificate, xác thực tiến trình trao đổi thực thể hợp lệ hay không 4.2.2 Thực thi q trình xác thực Mơ đơn giản hình 3, có file IpCertificate chứa địa sau 10.10.1.1 10.10.1.2 10.10.2.1 10.10.2.2 36 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 10.10.3.1 10.10.4.1 Mỗi máy A cần truyền thông với máy B , A tiến hành phân tích dịng liệu file IpCertificate Nếu có địa IP máy B file đó, nghĩa máy B tin cậy, A tiến hành truyền thơng với B Ngược lại, chương trình thơng báo lỗi 4.2.3 Kết luận Việc xác thực thực thể mạng tiến hành ý tưởng đơn giản hiệu Có thể ngăn chặn giả mạo thơng thường Có thể nâng cao ý tưởng cách xác thực thêm địa Mac, thời lượng thời hạn luận văn nên đưa ý tưởng Để đảm bảo an toàn cho sở liệu chứa thông tin thành phần hợp lệ trao đổi thơng tin, nên mã hóa sở liệu phương pháp mã hóa tiên tiến có tính bảo mật cao mã hóa cơng khai, mã hóa đối xứng… 37 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Kết Luận Thơng qua việc nghiên cứu, tìm hiểu phát triển chức cho giao thức Lan Tỏa Ngược, luận văn đưa nhìn tổng thể DDoS Qua viết nắm bắt cốt lõi việc cơng phịng thủ DDoS Đồng thời phát triển chức rút gọn xác thực cho giao thức, đưa giao thức Lan Tỏa Ngược gần với ứng dụng thực tiễn Mặc dù giới chưa có phương pháp hồn hảo có khả chặn hiệu công DDoS, qua nghiên cứu chuyên sâu tìm cách cải tiến phương pháp chống DDoS có, ngày cộng đồng Internet yên tâm an ninh mạng với phương pháp hoàn thiện, hiệu 38 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com TÀI LIỆU THAM KHẢO [1] Hoang Van Quan, K49 dai hoc Cong Nghe. luan van lan toa nguoc 2008 [2] Jelena Mirkovic, Sven Dietrich, David Dittrich, Peter Reiher. Internet Denial of Service: Attack and Defense Mechanisms. Prentice Hall PTR. 2004 [3] Massimiliano Romano, Simone Rosignoli, Ennio Giannini. Robot Wars – How Botnets Work. Oct 20, 2005 [4] Katerina Argyraki, David R. Cheriton. Active Internet Traffic Filtering: Real‐Time Response to Denial‐of‐Service Attacks. Proceedings of the USENIX annual technical conference. 2005. [5] Vicky Laurens, Abdulmotaleb El Saddik, Pulak Dhar and Vineet Srivastava. Detecting distributed denial of service attack traffic at the Agent machines. IEEE CCECE. 2006. [5] J. Mirkovic. D‐WARD: Source‐End Defense Against Distributed Denial‐of‐Service Attacks. Ph.D. dissertation, University of California, Los Angeles. 2003. [7] J. Postel. RFC 791 ‐ Internet Protocol. LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com ... QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ Nguyễn Thế Hùng XÁC THỰC CÁC THÀNH PHẦN TRONG HỆ THỐNG PAC ĐỂ CHỐNG LỪA DỐI VÀ LỢI DỤNG KHỐ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY Ngành: Mạng truyền thơng... thêm nhiều cách thức khác để thành lập mạng botnet lớn cách nhanh chóng Theo cách này, Attacker thường khai thác lỗi phần mềm, lợi dụng tin thói quen khơng an tồn người sử dụng máy tính để cài đặt... Mục tiêu xây dựng hệ thống phòng thủ Cho dù triển khai hệ thống phòng thủ theo cách thức cuối phải hướng tới mục tiêu sau: - Tính hiệu quả: yêu cầu thành phần tham gia vào hệ thống phịng thủ: