TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI VIỆN CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG ──────── * ─────── ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC NGÀNH CÔNG NGHỆ THÔNG TIN RSED: MÔI TRƯỜNG GIẢ LẬP MẠNG GIỐNG THỰC TẾ PHỤC VỤ CHO NGHIÊN CỨU TẤN CÔNG TỪ CHỐI DỊCH VỤ Sinh viên thực hiện : Trương Thảo Nguyên Lớp CNPM – K51 Giáo viên hướng dẫn: TS Nguyễn Khanh Văn HÀ NỘI 5-2011 Sinh viên thực hiện: Trương Thảo Nguyên – 20062306. Khóa K51 Lớp công nghệ phần mềm 1 PHIẾU GIAO NHIỆM VỤ ĐỒ ÁN TỐT NGHIỆP 1. Thông tin về sinh viên Họ và tên sinh viên: Trương Thảo Nguyên Điện thoại liên lạc: 0984.196.715 Email: nguyen.88.tt@gmail.com Lớp: Công nghệ phần mềm K51 Hệ đào tạo: Đại học chính quy Đồ án tốt nghiệp được thực hiện tại: Bộ môn Công nghệ phần mềm Thời gian làm ĐATN: Từ ngày 21/02/2011 đến 27/05/2011 2. Mục đích nội dung của ĐATN Xây dựng một môi trường giả lập mạng Internet phục vụ cho việc nghiên cứu tấn công từ chối dịch vụ dựa trên nền của OMNET++ và INET Framework. Môi trường giả lập cần phải đảm bảo được tính chất giống với thực tế và có khả năng mở rộng. 3. Các nhiệm vụ cụ thể của ĐATN  Tìm hiểu về các phương pháp tấn công và phòng chống, giảm thiểu tác hại tấn công từ chối dịch vụ phân tán DDoS.  Tìm hiểu các thành phần của môi trường giả lập nói chung.  Tìm hiểu môi trường giả lập OMNET++ và INET Framework và các kĩ thuật xây dựng môi trường giả lập với C++ và NED language  Tìm hiểu các bộ lập phục vụ nghiên cứu DDoS đó cú trong thực tế  Tìm hiểu các giải thuật mô phỏng cấu hình mạng (network topology), hay giao thông mạng (network traffic) giống thực.  Đưa ra giải pháp tổng thể cho bài toán một môi trường giả lập giống thực, có khả năng mở rộng phục vụ nghiên cứu DDoS trên cơ sở OMNET++ và INET Framework.  Phát triển môi trường giả lập với hai thành phần: o Thành phần hỗ trợ sinh cấu hình mạng o Thành phần hỗ trợ giả lập mạng 4. Lời cam đoan của sinh viờn Tôi – Trương Thảo Nguyên - cam kết ĐATN là công trình nghiên cứu của bản thân tôi dưới sự hướng dẫn của TS.Nguyễn Khanh Văn. Các kết quả nêu trong ĐATN là trung thực, không phải là sao chép toàn văn của bất kỳ công trình nào khác. Hà Nội, ngày 27 tháng 05 năm 2011 Tác giả ĐATN Trương Thảo Nguyên Sinh viên thực hiện: Trương Thảo Nguyên – 20062306. Khóa K51 Lớp công nghệ phần mềm 2 5. Xác nhận của giáo viên hướng dẫn về mức độ hoàn thành của ĐATN và cho phép bảo vệ: ……………………………………………………………………………………….…….… ……………………………………………………………………………………….…….… ……………………………………………………………………………………….…….… ……………………………………………………………………………………….…….… ……………………………………………………………………………………….…….… Hà Nội, ngày 27 tháng 05 năm 2011 Giáo viên hướng dẫn TS Nguyễn Khanh Văn Sinh viên thực hiện: Trương Thảo Nguyên – 20062306. Khóa K51 Lớp công nghệ phần mềm 3 TÓM TẮT NỘI DUNG ĐỒ ÁN TỐT NGHIỆP Ngày nay, trong lĩnh vực nghiên cứu tấn công từ chối dịch vụ, hầu hết các nhà nghiên cứu đều sử dụng các môi trường mô phỏng để thực nghiệm những nghiên cứu của mình. Kết quả của quá trình giả lập được sử dụng làm cơ sở đánh giá ý nghĩa của vấn đề được đăt ra, tính hiệu quả của những đề xuất, giải pháp cụ thể trong quá trình nghiên cứu. Môi trường mô phỏng càng giống với thực tế càng đảm báo kết quả của quá trình nghiên cứu là chính xác và có tính thực tiễn. Do đó, vấn đề xây dựng một bộ giả lập mạng phù hợp với tính chất đặc thù của nghiên cứu tấn công từ chối dịch vụ và đảm bảo tính chất gần với thực tế là rất cần thiết. Đây cũng là nội dung trọng tâm của đồ án tốt nghiệp mà người viết thực hiện. Trong đồ án, người viết đã đề xuất và xây dựng RSED (Realistic network Simulation Environment for DDoS attacks), một môi trường giả lập được xây dựng trên nền bộ giả lập OMNET++ [1], các thư viện có sẵn của INET framework [2] và được tham khảo nhất định từ ReaSE framework [3]. RSED có khả năng giả lập các mạng có cấu trúc lên tới hàng trăm nút và hỗ trợ giả lập đường truyền mạng giống với thực tế. Ngoài ra, RSED cũng hỗ trợ giả lập các mạng bootnet, hay tiến hành các thực nghiệm các bộ phòng chống DDoS một cách nhanh chóng. Người thực hiện đã cài đặt thử nghiệm phương pháp phòng chống DDoS sử dụng BloomFilter như một chứng minh cho khả năng của môi trường giả lập đã được xây dựng. Các kết quả trong quá trình thực hiện đồ án tốt nghiệp đã được người viết gửi tới hội nghị sinh viên nghiên cứu khoa học Viện Công Nghệ Thông Tin và Truyền Thông năm 2011. Người viết đã được trao giải khuyến khích dành cho những kết quả đạt được này. Từ khóa— DDoS attack, Network simulation environment, Network topology generator, OMNET++ Sinh viên thực hiện: Trương Thảo Nguyên – 20062306. Khóa K51 Lớp công nghệ phần mềm 4 ABSTRACT OF THESIS Nowadays, in researching the properties of Denial of Service attacks and developing methods to prevent and mitigate the harmful effects of this network attack, most researchers use simulations environments for experiment their researches. The results of this simulation process are used as the basics for evaluating the significance of the issue, the effectiveness of the proposition, and results of the detail solution. The more realistic simulation, the more reliable, accurate, and practical result is. Therefore, developing a network simulation that matches the specific characteristics of DDoS attacks and give the results closed to the actual needs is necessary. This document presents RSED (Realistic network Simulation Environment for DDoS attack) which is a framework that was designed based on OMNET++ simulation [1] and the existing libraries of INET framework [2]. RSED is also built on the references given from ReaSE framework [3]. It provides users a simulation environment that is capable of generating hundred-node-network- topologies, and supports realistic traffic generator. In addition, it also supports to imitate BotNet and experiment in DDoS preventing and mitigating methods quickly. We installed DDoS mitigating methods based on BloomFilter using this simulation environment Keywords— DDoS attack, Network simulation environment, Network topology generator, OMNET++ Sinh viên thực hiện: Trương Thảo Nguyên – 20062306. Khóa K51 Lớp công nghệ phần mềm 5 Sinh viên thực hiện: Trương Thảo Nguyên – 20062306. Khóa K51 Lớp công nghệ phần mềm 6 LỜI CẢM ƠN Trước tiên người viết xin gửi lời cảm ơn chân thành sâu sắc đến các thầy cô giáo trong trường đại học Bách Khoa Hà nội nói chung và các thầy cô giáo trong viện công nghệ thông tin và truyền thông, bộ môn công nghệ phần mềm nói riêng đã tận tình giảng dạy, truyền đạt cho em những kiến thức, kinh nghiệm quý báu trong suốt thời gian qua. Đặc biệt người viết xin gửi lời cảm ơn đến thầy TS Nguyễn Khanh Văn, thầy đã tận tình giúp đỡ, trực tiếp chỉ bảo, hướng dẫn trong suốt gần 1 năm chuẩn bị và làm đồ án tốt nghiệp. Trong thời gian làm việc với thầy, người viết không những tiếp thu thêm nhiều kiến thức bổ ích mà còn học hỏi được nhiều kinh nghiệm thực tiễn trong nghiên cứu khoa học, đây là những điều rất cần thiết cho người viết trong quá trình học tập và công tác sau này. Người viết cũng xin gửi lời cảm ơn tới cô ThS Nguyễn Phi Lê và các bạn trong nhóm nghiên cứu về DDoS đã giúp đỡ rất nhiều trong suốt thời gian vừa qua. Và cuối cùng xin gửi lời cảm ơn tới gia đình, bạn bè đã động viên, giúp đỡ trong suốt năm năm học đại học. Hà Nội, ngày 27 tháng 05 năm 2011 Sinh viên : Trương Thảo Nguyên Lớp : Công nghệ phần mềm – K51 Khoa : Viện Công nghệ Thông tin và truyền thông Đại học Bách Khoa Hà Nội LỜI CẢM ƠN Trước tiên người viết xin gửi lời cảm ơn chân thành sâu sắc đến các thầy cô giáo trong trường đại học Bách Khoa Hà nội nói chung và các thầy cô giáo trong viện công nghệ thông tin và truyền thông, bộ môn công nghệ phần mềm nói riêng đã tận tình giảng dạy, truyền đạt cho em những kiến thức, kinh nghiệm quý báu trong suốt thời gian qua. Đặc biệt người viết xin gửi lời cảm ơn đến thầy TS Nguyễn Khanh Văn, thầy đã tận tình giúp đỡ, trực tiếp chỉ bảo, hướng dẫn trong suốt gần 1 năm chuẩn bị và làm đồ án tốt nghiệp. Trong thời gian làm việc với thầy, người viết không những tiếp thu thêm nhiều kiến thức bổ ích mà còn học hỏi được nhiều kinh nghiệm thực tiễn trong nghiên cứu khoa học, đây là những điều rất cần thiết cho người viết trong quá trình học tập và công tác sau này. Người viết cũng xin gửi lời cảm ơn tới cô ThS Nguyễn Phi Lê và các bạn trong nhóm nghiên cứu về DDoS đã giúp đỡ rất nhiều trong suốt thời gian vừa qua. Và cuối cùng xin gửi lời cảm ơn tới gia đình, bạn bè đã động viên, giúp đỡ trong suốt năm năm học đại học. Hà Nội, ngày 27 tháng 05 năm 2011 Sinh viên : Trương Thảo Nguyên Lớp : Công nghệ phần mềm – K51 Khoa : Viện Công nghệ Thông tin và truyền thông Đại học Bách Khoa Hà Nội MỤC LỤC PHIẾU GIAO NHIỆM VỤ ĐỒ ÁN TỐT NGHIỆP 2 TÓM TẮT NỘI DUNG ĐỒ ÁN TỐT NGHIỆP 4 ABSTRACT OF THESIS 5 MỤC LỤC 7 DANH MỤC CÁC BẢNG 8 DANH MỤC CÁC HèNH 9 DANH MỤC CÁC TỪ VIẾT TẮT 10 DANH MỤC CÁC THUẬT NGỮ 11 MỞ ĐẦU 12 PHẦN I: TỔNG QUAN VỀ ĐỀ TÀI 13 ĐẶT VẤN ĐỀ VÀ PHƯƠNG PHÁP THỰC HIỆN 13 CƠ SỞ LÝ THUYẾT VÀ CÔNG CỤ SỬ DỤNG 18 PHẦN II: CÁC KẾT QUẢ ĐẠT ĐƯỢC 27 PHÂN TÍCH THIẾT KẾ RSED 28 KẾT QUẢ CÀI ĐẶT VÀ THỬ NGHIỆM 48 KẾT LUẬN 61 TÀI LIỆU THAM KHẢO 63 Sinh viên thực hiện: Trương Thảo Nguyên – 20062306. Khóa K51 Lớp công nghệ phần mềm 7 DANH MỤC CÁC BẢNG Bảng 1: Đặt tả usecase Topology Generation 30 Bảng 2: Đặc tả usecase Topolgy Import 30 Bảng 3: Danh sách các module trong RSED Framework 31 Bảng 4: Bảng các yêu cầu của module BotMaster 31 Bảng 5: Bảng các yêu cầu của module CncServer 32 Bảng 6: Bảng các yêu cầu của module Zombie 32 Bảng 7: Bảng các yêu cầu của module Webserver 32 Bảng 8: Bảng các yêu cầu của module NetUser 33 Bảng 9: Bảng các yêu cầu của module BloomFilter 33 Bảng 10: Bảng các yêu cầu của module TraceRouter 33 Bảng 11: Bảng các yêu cầu phi chức năng của RSED 33 Bảng 12: Danh sách các thành phần con của module BotMaster 43 Bảng 13: Danh sách các thành phần con của module CncServer 44 Bảng 14: Danh sách các thành phần con của module Zombie 44 Bảng 15: Danh sách các thành phần con của module WebServer 45 Bảng 16: Danh sách các thành phần con của module NetUser 45 Bảng 17: Danh sách các thành phần con của module BloomFilter 47 Bảng 18: Danh sách các thành phần con của module TraceRouter 47 Bảng 19: Các tham số của mạng thử nghiệm có 11122 nút mạng 53 Bảng 20: Các tham số của mạng thử nghiệm có 84 và 9204 nút mạng 53 Bảng 21: Định dạng traffic description file 56 Bảng 22: í nghĩa các trường trong traffice description file 57 Bảng 23: Kết quả thử nghiệm BloomFilter theo số lượng gói SYN tấn công 58 Bảng 24: Kết quả thử nghiệm BloomFilter theo số lượng Zombie 59 Sinh viên thực hiện: Trương Thảo Nguyên – 20062306. Khóa K51 Lớp công nghệ phần mềm 8 DANH MỤC CÁC HèNH Hình 1: Các thành phần của bộ giả lập mạng 15 Hình 2: RSED trong kiến trúc tổng thể của OMNET++ 17 Hình 3: Phân loại tấn công từ chối dịch vụ theo kiểu tấn công 18 Hình 4: Phân loại tấn công từ chối dịch vụ theo mục đích tấn công 19 Hình 5: Mô tả quá trình tấn công TCP/SYN flood 20 Hình 6: Các thành phần cơ bản trong OMNET++ 23 Hình 7: Minh họa quá trình mô phỏng bằng OMNET++ 24 Hình 8: Thành phần của INET framework 24 Hình 9: Nhắc lại Hình 2: RSED trong kiến trúc tổng thể của OMNET++ 28 Hình 10: Usecase RSED wizards 29 Hình 11: Kiến trúc của RSED Wizards theo mô hình phân tầng 34 Hình 12: Mô hình các thành phần của RSED Wizards và cơ chế giao tiếp 35 Hình 13: Quy trình sinh cấu hình mạng bằng phương pháp đồ thị ngẫu nhiên 36 Hình 14: Quy trình sinh cấu hình mạng bằng phương pháp PFP 37 Hình 15: Giao diện chọn module cho từng loại nút mạng 38 Hình 16: Tổng quan cấu trúc các module trong RSED Framework 39 Hình 17: Bô sinh giao thông mạng 40 Hình 18: Cơ chế hoạt động của quá trình sinh giao thông mạng 40 Hình 19: Quy trình tấn công của mạng botnet 41 Hình 20: Sơ đồ các thành phần con của module BotMaster 42 Hình 21: Sơ đũ các thành phần con của module CncServer 43 Hình 22: Sơ đồ các thành phần con của module Zombie 44 Hình 23: Sơ đồ các thành phần con của module WebServer 45 Hình 24: Sơ đồ các thành phần con của module NetUser 46 Hình 25: Sơ đồ các thành phần con của module BloomFilter 46 Hình 26: Sơ đồ các thành phần con của module TraceRouter 47 Hình 27: Giao diện lựa chọn phương pháp sinh cấu hình mạng 48 Hình 28: Chức năng Topology Import 49 Hình 29: Chức năng Topology Generation 50 Hình 30: Cơ chế interactive growth của phương pháp PFP 52 Hình 31: Định dạng file txt 54 Hình 32: Mở rộng của chức năng topology import 54 Hình 33: Mô tả giải thuật self-similar traffic 56 Hình 34: Mạng giả lập minh họa 58 Hình 35: Minh họa giao diện của tài liệu đặc tả module 60 Sinh viên thực hiện: Trương Thảo Nguyên – 20062306. Khóa K51 Lớp công nghệ phần mềm 9 DANH MỤC CÁC TỪ VIẾT TẮT STT Từ viết tắt Giải nghĩa 1 BotMaster Máy tính do kẻ tấn công điều khiển. Lệnh tấn công được bắt đầu gửi đi từ đây. 2 CncServer Các server bị kẻ tấn công chiếm quyền điều khiển. Các server đóng vai trò trung gian truyền lệnh đến các máy tính tham gia trực tiếp vào tấn công 3 DDoS Distributed denial of Service Attack 4 DoS Denial of Service Attack 5 DRDoS Distributed refflected denial of Service Attack 6 NetUser Người dùng mạng thông thường 7 OMNET++ Objective Modular Network Testbed in C++ 8 SFD SYN Flood Detection 9 SFD-BF SYN Flood Detection – Bloom Filter 10 Trace-Router Router được cài đặt phương pháp dò vết IP. 11 Webserver Một webserver thông thường và có khả năng bị tấn công từ chối dịch vụ 12 Zombie Các máy tính bị kẻ tấn công chiếm quyền điều khiển. Tham gia trực tiếp gửi các gói tin tấn công đến mục tiêu Sinh viên thực hiện: Trương Thảo Nguyên – 20062306. Khóa K51 Lớp công nghệ phần mềm 10 [...]... bộ giả lập mạng càng giống với thực tế càng tốt để phục vụ cho việc nghiên cứu đã trở thành một vấn đề vô cùng bức thiết Với vai trò là một lĩnh vực hẹp trong nghiên cứu mạng internet, cỏc nghiờn về tấn công từ chối dịch vụ phân tán (DDoS) cũng đòi hỏi một môi trường giả lập đặc thù Hiện tại không có nhiều môi trường giả lập được xây dựng và phát triển phục vụ riêng cho lớp bài toán nghiên cứu về DDoS... đó Từ mô hình nêu trên, một môi trường giả lập phục vụ nghiên cứu tấn công từ chối dịch vụ DDoS giống với thực tế ít nhất phải đảm bảo được ba yếu tố là: - Giả lập được các thành phần trong mạng có sự tấn công DDoS (trong network generation) - Bộ sinh cấu hình mạng đảm bảo được các đặc trưng của cấu hình mạng thông thường (trong network generation) - Bộ sinh giao thông mạng giống với giao thông mạng. .. dụng BloomFilter[19] như là một mình chứng cho khả năng của môi trường giả lập 1.2 Phương pháp tiếp cận và hướng thực hiện đề tài Với nhiệm vụ phải xây dựng một môi trường giả lập mạng gần với thực tế phục vụ cho việc nghiên cứu tấn công từ chối dịch vụ DDoS, đồ án đã được sử dụng phương pháp tiếp cận từ trên xuống Trong phương pháp này, trước tiên người thực hiện phải phân tích đánh giá tổng thể vấn... phần chịu tấn công, vv Ngoài ra, bộ giả lập cũng phải có khả năng giả lập được cấu hình mạng đủ lớn, mang tính chất, đặc tính của cấu hình mạng trong thực tế, và giả lập giao thông mạng (network traffic) giống thực bao gồm cả giao thông mạng bình thường lẫn giao thông mạng của một cuộc tấn công Trong phạm vi tìm hiểu của người viết, hiện tại chỉ có một vài bộ giả lập mạng phục vụ cho việc nghiên cứu DDoS... VÀ CÔNG CỤ SỬ DỤNG Nội dung của chương này sẽ trình bày các vấn đề sau: o Các lý thuyết cơ bản về phương pháp tấn công và phương pháp phòng chống, giảm thiểu tác hại tấn công từ chối dịch vụ o Giới thiệu về bộ giả lập OMNET++ và INET Framework o Trình bày các vấn đề cơ bản của xây dựng một môi trường giả lập mạng giống với môi trường thực tế 1.3 Cơ sở lý thuyết 1.3.1 Tổng quan về tấn công từ chối dịch. .. cuộc tấn công DDoS Bộ giả lập này mới chỉ dừng lại ở mô hình tấn công trực tiếp (từ cỏc mỏy tấn công tới server bị tấn công) mà chưa có khả năng mô phỏng các cuộc tấn công phân tán có nhiều cấp độ của kẻ tấn công [3] Do đó, theo người viết, ReaSE chỉ mới áp dụng cho việc nghiên cứu DoS ở phạm vi mạng nhỏ, chưa thể áp dụng trong nghiên cứu các vấn đề khác nhau của tấn công DDoS như phòng chống tấn công. .. mạng internet hầu hết được thực hiện trong các phòng thí nghiệm Ở đó, người nghiên cứu sử dụng các môi trường mạng giả lập để tiến hành các thực nghiệm của mình Môi trường giả lập giống với thực tế sẽ là tiền đề để đánh giá các kết quả nghiên cứu một cách chính xác, là cơ sở để khẳng định những kết quả này là có khả năng ứng dụng và phát triển trong môi trường thực Vì vậy, yêu cầu xây dựng một bộ giả. .. 4: Phân loại tấn công từ chối dịch vụ theo mục đích tấn công Flood attack là loại tấn công theo kiểu thác lũ Trong đó, kẻ tấn công dựa trên các giao thức mạng để gửi một lượng lớn cỏc gúi tin không hợp lệ đến đối tượng bị tấn công Số lượng gói tin này nhiều đến mức khiến cho đối tượng tấn công không còn tài nguyên dư thừa để cung cấp dịch vụ cho người dùng hợp lệ Software attack lại tấn công và chính... 20062306 Khóa K51 Lớp công nghệ phần mềm 13 Trong quá trình thực nghiệm, kết quả thu được từ các môi trường giả lập sẽ được thu thập, thống kê để tiếp tục trở thành đầu vào cho việc đánh giá kết quả nghiên cứu, đánh giá những đề xuất, giải pháp mà người nghiên cứu thực hiện Môi trường giả lập giống với thực tế sẽ là tiền đề để đánh giá các kết quả nghiên cứu một cách chính xác, là cơ sở để khẳng định những... vụ cho việc nghiên cứu đã trở thành một vấn đề vô cùng bức thiết Với vai trò là một lĩnh vực hẹp trong nghiên cứu mạng internet, cỏc nghiờn về tấn công từ chối dịch vụ phân tán (DDoS) cũng đòi hỏi một môi trường giả lập đặc thù Một môi trường mô phỏng như vậy phải giả lập các thành phần riêng biệt của DDoS như các thành phần tham gia tấn công, các thiết bị định tuyến, các bộ phòng chống, giảm thiểu . dựng một môi trường giả lập mạng Internet phục vụ cho việc nghiên cứu tấn công từ chối dịch vụ dựa trên nền của OMNET++ và INET Framework. Môi trường giả lập cần phải đảm bảo được tính chất giống. thực hiện đề tài Với nhiệm vụ phải xây dựng một môi trường giả lập mạng gần với thực tế phục vụ cho việc nghiên cứu tấn công từ chối dịch vụ DDoS, đồ án đã được sử dụng phương pháp tiếp cận từ. kết quả giả lập dựa trên thông tin về các sự kiện xảy ra được lưu lại trước đó. Từ mô hình nêu trên, một môi trường giả lập phục vụ nghiên cứu tấn công từ chối dịch vụ DDoS giống với thực tế ít