Trang 1 VŨ THÀNH TỰUNGHIÊN CỨU CÁC GIẢI PHÁP CHỐNG TẤN CÔNG DNS TRONG HỆ THỐNG MẠNG ĐIỀU KHIỂN BẰNG PHẦN MỀMChuyên ngành: Kỹ thuật viễn thông LUẬN VĂN THẠC SĨ KỸ THUẬTKỸ THUẬT VIỄN THÔNG
BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI VŨ THÀNH TỰU NGHIÊN CỨU CÁC GIẢI PHÁP CHỐNG TẤN CÔNG DNS TRONG HỆ THỐNG MẠNG ĐIỀU KHIỂN BẰNG PHẦN MỀM Chuyên ngành: Kỹ thuật viễn thông LUẬN VĂN THẠC SĨ KỸ THUẬT KỸ THUẬT VIỄN THÔNG NGƯỜI HƯỚNG DẪN KHOA HỌC: PGS.TS TRƯƠNG THU HƯƠNG HÀ NỘI – 2018 Tai ngay!!! Ban co the xoa dong chu nay!!! 17057205065471000000 Luận văn cao học năm 2018 LỜI MỞ ĐẦU Với phát triển không ngừng Internet ngày nay, nhu cầu mở rộng mạng ngày tăng, đòi hỏi số lượng thiết bị mạng ngày lớn, từ kiến trúc mạng truyền thống bộc lộ nhiều khuyết điểm Sự phức tạp hệ thống, khả mở rộng mạng kém, sách khơng qn, chi phí triển khai tốn kém, nhiều điểm yếu bảo mật Nhu cầu đặt cần có kiến trúc mạng đảm bảo tích hợp linh hoạt, kết hợp với giải pháp bảo mật an tồn cho hệ thống Chính vậy, cơng nghệ mạng điều khiển phần mềm (SDN – Software Defined Networking) đời giải pháp cho hệ thống mạng tương lai Bên cạnh đó, SDN cịn lựa chọn cho việc triển khai giải pháp đảm bảo an ninh mạng, trước phức tạp công không ngừng thay đổi cách thức độ nguy hại, cản trở nhiều hoạt động giao dịch, dịch vụ mạng Hiện nay, dịch vụ máy chủ DNS phần quan trọng nhà cung cấp dịch vụ doanh nghiệp, việc đảm bảo an toàn cho hệ thống DNS vô cấp thiết Tuy nhiên, với hạn chế bảo mật kiến trúc mạng truyền thống để lộ lỗ hổng cho kẻ cơng, tổ chức tội phạm thực hành vi phá hoại tới hệ thống DNS, gây hậu cho doanh nghiệp, quan, tổ chức, nhà cung cấp dịch vụ Tấn công khuếch đại DNS nhiều kiểu công nguy hiểm mối đe dọa cho an toàn cho hệ thống máy chủ DNS Với mục đích nghiên cứu tìm hiểu ngun lý, chế công vào hệ thống DNS việc áp dụng cơng nghệ mạng SDN việc phịng chống, định chọn nghiên cứu đề tài “ Nghiên cứu giải pháp chống công DNS hệ thống mạng điều khiển phần mềm” hướng dẫn PGS.TS Trương Thu Hương Tôi xin cảm ơn PGS.TS Trương Thu Hương thành viên nhóm Security phòng nghiên cứu Future Internet Labotary tận tình hướng dẫn giúp đỡ để tơi hoàn thành tốt đề tài Do kinh nghiệm kiến thức chưa sâu sắc nên luận văn cịn nhiều thiếu sót, mong q thầy đánh giá Vũ Thành Tựu – Khóa 2016B – Khoa ĐTVT Trang Luận văn cao học năm 2018 góp ý để tơi hồn thiện tốt luận văn đề tài nghiên cứu sau ! Xin chân thành cảm ơn Vũ Thành Tựu – Khóa 2016B – Khoa ĐTVT Trang Luận văn cao học năm 2018 LỜI CAM KẾT Tôi xin cam đoan nội dung luận văn tơi tìm hiểu nghiên cứu thân Các kết nghiên cứu ý tưởng tác giả khác trích dẫn cụ thể Đề tài luận văn chưa bảo vệ hội đồng bảo vệ luận văn thạc sĩ nước nước Tác giả Vũ Thành Tựu Vũ Thành Tựu – Khóa 2016B – Khoa ĐTVT Trang Luận văn cao học năm 2018 TÓM TẮT LUẬN VĂN Trong luận văn này, nghiên cứu kiến trúc mạng định nghĩa phần mềm – SDN dựa giao thức OpenFlow Bên cạnh số hình thức cơng vào hệ thống máy chủ tên miền DNS Xây dựng mô kiến trúc mạng SDN/OpenFlow giả lập phịng chống cơng khuếch đại DNS Hệ thống thử nghiệm tảng sử dụng phòng nghiên cứu, phục vụ nghiên cứu khoa học, từ phát triển thêm nhiều giải pháp phịng chống cơng khác, tối ưu mơ hình dần đưa vào thực tiễn Nhiệm vụ Luận văn bao gồm nội dung: • Tổng quan kiến trúc SDN giao thức OpenFlow • Tổng quan hệ thống máy chủ tên miền DNS • Một số hình thức cơng DNS cách phịng chống • Xây dựng hệ thống mơ kiến trúc mạng SDN/OpenFlow, giả lập cơng phịng chống cơng khuếch đại DNS • Một số kết đạt từ hệ thống thử nghiệm Sau thời gian nghiên cứu thực hiện, xây dựng thành công hệ thống thử nghiệm mô kiến trúc mạng SDN/OpenFlow Thu thập phân tích lưu lượng giả lập từ đưa giải pháp phịng chống công khuếch đại DNS cách đặt ngưỡng giới hạn số tin kích thước tin đến với hệ thống thời điểm, thực chặn Port 53, không tiếp nhận lưu lượng tới vượt ngưỡng, ngăn chặn công khuếch đại DNS Vũ Thành Tựu – Khóa 2016B – Khoa ĐTVT Trang Luận văn cao học năm 2018 MỤC LỤC LỜI MỞ ĐẦU LỜI CAM KẾT TÓM TẮT LUẬN VĂN MỤC LỤC DANH MỤC HÌNH VẼ DANH MỤC CÁC TỪ VIẾT TẤT CHƯƠNG TỔNG QUAN VỀ SDN VÀ OPENFLOW 10 1.1 Tổng quan công nghệ SDN 10 1.1.1 Định nghĩa 10 1.1.2 Kiến trúc SDN 11 1.1.3 So sánh kiến trúc mạng truyền thống kiến trúc SDN 12 1.1.4 Lợi ích SDN cung cấp 14 1.1.5 Ứng dụng SDN 15 1.2 Giao thức OpenFlow 16 1.2.1 Định nghĩa 16 1.2.2 Kiến trúc OpenFlow Switch 17 1.2.3 Hoạt động OpenFlow Switch 19 1.3 Các tin trao đổi OpenFlow Switch Controller [6] 24 1.3.1 Bản tin PacketIn 24 1.3.2 Bản tin PacketOut 25 1.3.3 Bản tin FlowRemoved 27 1.3.4 Bản tin FlowMod 29 1.3.5 Bản tin StatsRequest 32 1.3.6 Bản tin StatsResponse 32 1.4 Kết luận 33 CHƯƠNG TỔNG QUAN VỀ DNS, CÁC HÌNH THỨC TẤN CƠNG DNS VÀ CÁCH PHÒNG CHỐNG 34 2.1 Giới thiệu DNS 34 2.1.1 DNS gì? 34 2.1.2 Tên miền 35 2.1.3 DNS Server 37 2.2 Cách thức hoạt động hệ thống DNS 39 2.3 Phân loại Domain Name Server 42 2.4 Các hình thức công DNS 43 2.4.1 DNS Cache Poisoning Attack.[13] 43 Vũ Thành Tựu – Khóa 2016B – Khoa ĐTVT Trang Luận văn cao học năm 2018 2.4.2 DNS Spoofing Attack 45 2.4.3 DNS Amplification Attack.[8] 48 2.5 Phòng chống công DNS 51 2.5.1 Phòng chống công DNS Cache Poisoning 51 2.5.2 Phịng chống cơng DNS Spoofing 51 2.5.3 Phịng chống cơng DNS Ampification[8] 52 2.6 Kết luận 52 CHƯƠNG MÔ PHỎNG KIẾN TRÚC MẠNG SDN/OPENFLOW SỬ DỤNG TRONG PHỊNG CHỐNG TẤN CƠNG KHUẾCH ĐẠI DNS 53 3.1 Giả lập kiến trúc mạng SDN/OpenFlow 53 3.2 Cách thức hoạt động hệ thống 57 3.2.1 Cách thức hoạt động Controller 57 3.2.2 Cách hoạt động chuyển mạch OpenFlow Switch.[4] 58 3.2.3 Cách thức hoạt động kiểm soát lưu lượng sFlow- Network Monitoring 58 3.3 Xây dựng vận hành hệ thống thử nghiệm 59 3.3.1 Xây dựng hệ thống 59 3.3.2 Công cụ hỗ trợ 61 3.3.3 Kịch phát công giải pháp giảm thiểu công khuếch đại DNS 71 3.4 Kết xây dựng hệ thống 73 3.4.1 Tổng quan hệ thống 73 3.4.2 Triển khai hệ thống 75 3.5 Kết mô công giảm thiểu công 77 3.5.1 Phát lưu lượng bình thường khơng có giải pháp giảm thiểu 77 3.5.2 Hệ thống sử dụng giải pháp 78 3.6 Kết Luận 79 CHƯƠNG KẾT LUẬN 80 BẢNG ĐỐI CHIẾU THUẬT NGỮ ANH - VIỆT 82 Vũ Thành Tựu – Khóa 2016B – Khoa ĐTVT Trang Luận văn cao học năm 2018 DANH MỤC HÌNH VẼ Hình 1.1 Sự phân tách kiến trúc mạng SDN 10 Hình 1.2 Kiến trúc mạng SDN 11 Hình 1.3 So sánh mạng SDN với mạng truyền thống .12 Hình 1.4 Kiến trúc OpenFlow Switch .17 Hình 1.5 Ví dụ Flow table OpenFlow Switch .19 Hình 1.6 Ví dụ hoạt động OpenFlow Switch 20 Hình 1.7 Quá trình xử lý Pipeline Flow Table 21 Hình 1.8 Bản tin PacketIn 24 Hình 1.9 Cấu trúc tin PacketIn 24 Hình 1.10 Bản tin PacketOut 25 Hình 1.11 Cấu trúc tin PacketOut .26 Hình 1.12: Hoạt động tin FlowRemoved 27 Hình 1.13: Cấu trúc tin FlowRemoved 28 Hình 1.14: Hoạt động FlowMod 29 Hình 1.15: Cấu trúc tin FlowMod .30 Hình 1.16: Hoạt động tin StatsRequest .32 Hình 1.17: Cấu trúc tin StatsRequest 32 Hình 1.18: Hoạt động tin StatsResponse 33 Hình 1.19: Phần body tin StatsResponse 33 Hình 2.1 Ví dụ DNS 35 Hình 2.2 Cây phân cấp tên miền .36 Hình 2.3 Mơ tả DNS Server 38 Hình 2.4 Cách thức hoạt động hệ thống DNS 39 Hình 3.1 Kiến trúc mạng SDN/OpenFlow giả lập 54 Hình 3.2 Board mạch NetFPGA .55 Hình 3.3 Kiến trúc tổng thể hệ thống giả lập 57 Hình 3.4: Cấu trúc tin FlowMod .57 Hình 3.5 Cấu trúc Agent- Collector sFlow 59 Hình 3.6 Các tùy chọn sử dụng để phát công .62 Hình 3.7 Giao diện phần mềm Wireshark 64 Vũ Thành Tựu – Khóa 2016B – Khoa ĐTVT Trang Luận văn cao học năm 2018 Hình 3.8 Cửa sổ sử dụng TCPReplay để phát lại gói tin 65 Hình 3.9 Cửa sổ sử dụng TCPReplay để phát lại gói tin 66 Hình 3.10 Màn hình khởi động MobaXterm .67 Hình 3.11 Màn hình trợ giúp công cụ editcap 68 Hình 3.12: Giao diện Speedometer 69 Hình 3.13 Giao diện trợ giúp Speedometer 70 Hình 3.14 Giao diện hoạt động Tcpdump 71 Hình 3.15 Mơ hình logic lý thuyết .73 Hình 3.16 Hệ thống giả lập công mạng SDN- Security Rack 77 Hình 3.17 Giao diện phần mềm Moba Xterm 78 Hình 3.18 Kết sau nạp code .79 Hình 3.19 Các gói tin thu Wireshark 80 Hình 3.20 Lưu lượng cơng chưa chạy giải pháp giảm thiểu 82 Hình 3.21 Lưu lượng công chạy qua giải pháp giảm thiểu 83 Vũ Thành Tựu – Khóa 2016B – Khoa ĐTVT Trang Luận văn cao học năm 2018 DANH MỤC CÁC TỪ VIẾT TẤT Từ viết tắt CapEx CPU DNS DNSSEC DoS FPGA ID IDS Tiếng anh Capital Expenditures Center Processing Unit Domain Name System The Domain Name System Security Extensions Distributed Denial of Service Field Progammable Gate Array Identification Intrution Detection System IP MAC OpEx Internet Protocol Media Access Control Operating Expenditures SDN Software Defined Networking SSL Secure Sockets Layer TCP Transmission Control Protocol TLS TTL UDP Transport Layer Security Time To Live User Datagram Protocol Vũ Thành Tựu – Khóa 2016B – Khoa ĐTVT Nghĩa Tiếng Việt Chi phí triển khai Bộ xử lý trung tâm Hệ thống phân giải tên miền Hệ Thống tên miền bảo mật mở rộng Từ chối dịch vụ Cấu trúc mảng phần tử logic lập trình Địa mạng Hệ thống phát xâm nhập Giao thức Internet Kiểm sốt truy cập Chi phí hoạt động Mạng định nghĩa phần mềm Lớp cổng bảo mật Giao thức điều khiển truyền vận Giao thức bảo mật Thời gian cập nhật Giao thức gói tin người dùng Trang