muHỌC VIỆN CƠNG NGHỆ BƢU CHÍNH VIỄN THƠNG ******* TRẦN QUỐC TRUNG GIẢI PHÁP CHỐNG TẤN CÔNG TRONG MẠNG ĐỊNH NGHĨA BẰNG PHẦN MỀM LUẬN VĂN THẠC SỸ Hà Nội-2019 HỌC VIỆN CƠNG NGHỆ BƢU CHÍNH VIỄN THƠNG ******* TRẦN QUỐC TRUNG GIẢI PHÁP CHỐNG TẤN CÔNG TRONG MẠNG ĐỊNH NGHĨA BẰNG PHẦN MỀM LUẬN VĂN THẠC SỸ Chuyên ngành : Kỹ thuật viễn thông Mã số Ngƣời hƣớng dẫn khoa học: TS Ngô Đức Thiện Hà Nội- 2019 : 8.52.0 i LỜI CAM ĐOAN Tôi xin cam đoan nội dung luận văn tơi tìm hiểu nghiên cứu thân Các kết nghiên cứu nhƣ ý tƣởng tác giả khác đƣợc trích dẫn cụ thể Đề tài luận văn chƣa đƣợc bảo vệ hội đồng bảo vệ luận văn thạc sĩ nƣớc nƣớc Đồng thời chƣa đƣợc công bố phƣơng tiện thông tin truyền thông Tác giả luận văn TRẦN QUỐC TRUNG ii LỜI CẢM ƠN Tôi xin cảm ơn TS Ngô Đức Thiện thầy cô Khoa Đào Tạo Sau Đại Học tận tình hƣớng dẫn giúp đỡ để tơi hồn thành tốt đề tài Do kinh nghiệm kiến thức chƣa đƣợc sâu sắc nên luận văn cịn nhiều thiếu sót, mong q thầy đánh giá góp ý để tơi hoàn thiện tốt luận văn nhƣ đề tài nghiên cứu sau này! Xin chân thành cảm ơn! Hà nội, ngày 16 tháng 01 năm 2020 Tác giả luận văn TRẦN QUỐC TRUNG iii MỤC LỤC LỜI CAM ĐOAN i LỜI CẢM ƠN ii MỤC LỤC .iii DANH MỤC CÁC CHỮ VIẾT TẮT v DANH MỤC HÌNH VẼ vi MỞ ĐẦU CHƯƠNG TỔNG QUAN VỀ SDN 1.1 Tổng quan SDN 1.1.1 Định nghĩa 1.1.2 Kiến trúc SDN [2] 1.1.3 So sánh kiến trúc mạng truyền thống kiến trúc SDN 1.1.4 Lợi ích SDN 1.1.5 Ứng dụng SDN 1.2 Giao thức OpenFlow 1.2.1 Định nghĩa 1.2.2 Kiến trúc OpenFlow Switch 10 1.2.3 Hoạt động OpenFlow Switch 13 1.3 Các tin trao đổi OpenFlow [6] 17 1.3.1 Bản tin PacketIn 17 1.3.2 Bản tin PacketOut 18 1.3.3 Bản tin FlowRemoved 1.3.4 Bản tin FlowMod 20 22 iv 1.3.5 Bản tin StatsRequest 25 1.3.6 Bản tin StatsResponse 25 CHƯƠNG XÂY DỰNG KIẾN TRÚC MẠNG SDN/OPENFLOW SỬ DỤNG TRONG PHỊNG CHỐNG TẤN CƠNG 27 2.1 Giả lập kiến trúc mạng SDN/OpenFlow 27 2.2 Nguyên lý hoạt động hệ thống [5] 31 2.2.1 Cách thức hoạt động Controller 31 2.2.2 Cách hoạt động chuyển mạch OpenFlow Switch 31 2.2.3 Cách thức hoạt động kiểm soát lƣu lƣợng sFlow – Network Monitoring 32 2.3 Kịch công giải pháp giảm thiểu công khuyếch đại DNS 33 2.3.1 Xây dựng hệ thống 33 2.3.2 Công cụ hỗ trợ 35 2.3.3 Kịch phát công 44 CHƯƠNG KẾT QUẢ MÔ PHỎNG CHỐNG TẤN CƠNG TRONG SDN .45 3.1 Mơ hình xây dựng hệ thống 45 3.1.1 Tổng quan hệ thống 45 3.1.2 Triển khai hệ thống 47 3.2 Mô công biện pháp giảm thiếu công .48 3.2.1 Phát lƣu lƣợng bình thƣờng khơng có giải pháp giảm thiểu .49 3.2.2 Hệ thống sử dụng giải pháp giảm thiểu 50 3.3 Nhận xét kiến nghị 51 KẾT LUẬN 52 v 53 DANH MỤC TÀI LIỆU THAM KHẢO DANH MỤC CÁC CHỮ VIẾT TẮT Chữ viết tắt Tiếng anh Tiếng Việt DoS Distributed Denial of Service Từ chối dịch vụ DNS Domain Name System Hệ thống phân giải tên miền TCP Transmission Control Protocol Giao thức điều khiển truyền vận UDP User Datagram Protocol Giao thức gói tin ngƣời dùng SDN Software Defined Networking Mạng định nghĩa phần mềm ID Identification Địa mạng IP Internet Protocol Giao thức Internet API Application Programming Giao diện lập trình ứng dụng Interface CPU Center Processing Unit Bộ xử lý trung tâm TTL Time To Live Thời gian cập nhật TLS Transport Layer Security Giao thức bảo mật SSL Secure Sockets Layer Lớp cổng bảo mật FPGA Field Progammable Gate Array Cấu trúc mảng phần tử logic lập trình đƣợc MAC Media Access Control Kiểm sốt truy cập CapEx Capital Expenditures Chi phí triển khai OpEx Operating Expenditures Chi phí hoạt động vi DANH MỤC HÌNH VẼ Hình 1.1 Sự phân tách kiến trúc mạng SDN Hình 1.2 Kiến trúc mạng SDN Hình 1.3 So sánh mạng SDN với mạng truyền thống Hình 1.4 Kiến trúc OpenFlow Switch 11 Hình 1.5 Ví dụ Flow table OpenFlow Switch 12 Hình 1.6 Ví dụ hoạt động OpenFlow Switch 13 Hình 1.7 Quá trình xử lý Pipeline Flow Table 14 Hình 1.8 Bản tin PacketIn 17 Hình 1.9 Cấu trúc tin PacketIn 17 Hình 1.10 Bản tin PacketOut 18 Hình 1.11 Cấu trúc tin PacketOut 19 Hình 1.12 Hoạt động tin FlowRemoved 20 Hình 1.13 Cấu trúc tin FlowRemoved 21 Hình 1.14 Hoạt động FlowMod 22 Hình 1.15 Cấu trúc tin FlowMod 23 Hình 1.16 Hoạt động tin StatsRequest 25 Hình 1.17 Cấu trúc tin StatsRequest 25 Hình 1.18 Hoạt động tin StatsResponse 26 Hình 1.19 Phần body tin StatsResponse 26 Hình 2.1 Kiến trúc mạng SDN/OpenFlow giả lập 28 Hình 2.2 Board mạch NetFPGA 29 Hình 2.3 Kiến trúc tổng thể hệ thống giả lập 30 Hình 2.4 Cấu trúc tin FlowMod 31 Hình 2.5 Cấu trúc Agent- Collector sFlow 33 Hình 2.6 Các tùy chọn sử dụng để phát công 36 Hình 2.7 Giao diện phần mềm Wireshark 37 vii Hình 2.8 Cửa sổ sử dụng TCPReplay để phát lại gói tin 38 Hình 2.9 Cửa sổ sử dụng TCPReplay để phát lại gói tin 39 Hình 2.10 Màn hình khởi động MobaXterm 40 Hình 2.11 Màn hình trợ giúp cơng cụ editcap 41 Hình 2.12 Giao diện trợ giúp Speedometer 42 Hình 2.13 Giao diện hoạt động Tcpdump 43 Hình 3.1 Mơ hình lý thuyết 45 Hình 3.2 Giao diện phần mềm Moba Xterm 46 Hình 3.3 Kết sau nhập code 47 Hình 3.4 Các gói tin thu đƣợc Wireshark 48 Hình 3.5 Lƣu lƣợng công chƣa chạy giải pháp giảm thiểu .49 Hình 3.6 Lƣu lƣợng cơng chạy qua giải pháp giảm thiểu 50 MỞ ĐẦU Lý chọn đề tài Với phát triển không ngừng Internet ngày nay, nhu cầu mở rộng mạng ngày tăng, đòi hỏi số lƣợng thiết bị mạng ngày lớn, từ kiến trúc mạng truyền thống bộc lộ nhiều khuyết điểm Sự phức tạp hệ thống, khả mở rộng mạng kém, sách khơng quán, chi phí triển khai tốn kém, nhiều điểm yếu bảo mật Nhu cầu đặt cần có kiến trúc mạng đảm bảo đƣợc tích hợp linh hoạt, kết hợp với giải pháp bảo mật an tồn cho hệ thống Chính vậy, cơng nghệ mạng định nghĩa phần mềm (SDN) đời nhƣ giải pháp cho hệ thống mạng tƣơng lai Bên cạnh đó, SDN cịn lựa chọn cho việc triển khai giải pháp đảm bảo an ninh mạng, trƣớc phức tạp công không ngừng thay đổi cách thức nhƣ độ nguy hại, cản trở nhiều hoạt động giao dịch, dịch vụ mạng Những hạn chế bảo mật kiến trúc mạng truyền thống để lộ lỗ hổng cho kẻ cơng, tổ chức tội phạm thực hành vi phá hoại tới hệ thống, gây hậu cho doanh nghiệp, quan, tổ chức, nhà cung cấp dịch vụ Vì lý em xin chọn đề tài "Giải pháp chống công mạng định nghĩa phần mềm" làm đề tài luận văn tốt nghiệp Tổng quan vấn đề nghiên cứu SDN đời vào năm 2008 Đại học Stanford tạo cách mạng giới công nghệ Ƣu điểm SDN việc tách phần logic điều khiển mạng khỏi chuyển mạch, thúc đẩy điều khiển tập trung cung cấp khả lập trình cho mạng Hiện tại, Google Facebook đầu tƣ mạnh cho SDN dự đốn năm tới thay tồn mạng truyền thống Vấn đề nghiên cứu mạng SDN đƣợc nghiên cứu rộng rãi giới năm gần Từ nhiều năm trở lại đây, có báo giới đƣa nhiều giải pháp nhằm nâng cao hiệu cho trình sử dụng mạng Internet