Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 84 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
84
Dung lượng
1,98 MB
Nội dung
ĐẠI HỌC QUỐC GIA HÀ NỘI TRƢỜNG ĐẠI HỌC CÔNG NGHỆ NGUYỄN VĂN LINH GIẢM THIỂU ẢNH HƢỞNG CỦA CÁC TẤN CÔNG TỪ CHỐI DỊCH VỤ PHÂN TÁN VÀO CÁC WEBSITE LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN Hà Nội – Năm 2015 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƢỜNG ĐẠI HỌC CÔNG NGHỆ NGUYỄN VĂN LINH GIẢM THIỂU ẢNH HƢỞNG CỦA CÁC TẤN CÔNG TỪ CHỐI DỊCH VỤ PHÂN TÁN VÀO CÁC WEBSITE Ngành: Công nghệ thông tin Chuyên ngành: Truyền liệu mạng máy tính Mã số: LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN NGƢỜI HƢỚNG DẪN KHOA HỌC: TIẾN SĨ NGUYỄN ĐẠI THỌ Hà Nội – Năm 2015 LỜI CAM ĐOAN Tôi xin cam đoan: Luận văn công trình nghiên cứu thực cá nhân tôi, đƣợc thực dƣới hƣớng dẫn khoa học Tiến sĩ Nguyễn Đại Thọ Các số liệu, kết luận nghiên cứu đƣợc trình bày luận văn trung thực thực không chép kết khác Tôi xin chịu trách nhiệm nghiên cứu Học viên Nguyễn Văn Linh LỜI CẢM ƠN Đầu tiên xin gửi lời cảm ơn chân thành đến thầy, cô trƣờng Đại học Công nghệ - Đại học Quốc gia Hà Nội nhiệt tình giảng dạy hƣớng dẫn thời gian học tập trƣờng Tiếp đó, xin bày tỏ lòng biết ơn sâu sắc tới thầy TS.Nguyễn Đại Thọ nhiệt tình hƣớng dẫn, tích cực phân tích, lắng nghe phản biện giúp hiểu hƣớng để hoàn thành khóa luận Tôi xin gửi lời cảm ơn đến GS.TS Đỗ Văn Tiến – Đại học BME – Hungary nhiệt tình cố vấn định hƣớng giúp trình nghiên cứu, đánh giá kết thu đƣợc đảm bảo tính khoa học tin cậy Mặc dù cố gắng để hoàn thiện khóa luận song thiếu sót, mong nhận đƣợc góp ý nhận xét từ thầy, cô bạn Một lần nữa, xin chân thành cảm ơn thầy cô Học viên thực Nguyễn Văn Linh TÓM TẮT Phân loại lƣu lƣợng truy vấn hợp lệ công dựa đặc điểm hành vi truy cập ngƣời dùng phƣơng pháp hiệu để phòng chống công DDoS với chi phí rẻ, dễ triển khai mà can thiệp vào cấu trúc mạng, giao thức Tuy đề xuất, kết nghiên cứu trƣớc tồn hạn chế, sử dụng kết thống kê hành vi truy cập lỗi thời Hiện xuất công nghệ WebCache, Ajax, RSS, nén giải nén làm thay đổi phƣơng thức tải liệu nhƣ hành vi tƣơng tác ngƣời dùng với web dẫn đến thuộc tính hành vi truy cập thay đổi Vì luận văn này, chứng minh sử dụng mô hình liệu phƣơng pháp cũ cho kết phát sai truy cập hợp pháp công tƣơng đối lớn Từ giới thiệu đề xuất dựa việc sử dụng bẫy thời gian, thống kê tần xuất yêu cầu tải trang nhƣ độ lớn đối tƣợng tải khoảng thời gian đƣợc phân chia hợp lý, phân biệt với thuộc tính có tính chất lặp lại liên tục, có hệ thống lƣu lƣợng công Thông qua trình mô kết thu đƣợc chứng minh tính hiệu phƣơng pháp nhƣ đảm bảo độ tin cậy, tỉ lệ phát sai chấp nhận đƣợc Từ khóa: Hành vi truy cập Web, DDoS, Network Security, Network Performance ABSTRACT Distinguish legitimate clients and malicious traffic on behavioral model of legitimate users is one of the effective methods to prevent DDoS attacks with low cost, easy to deploy without any intervention to network architecture, protocols However previous research results remains limited due to the out-of-dated behavioral model of web traffic At present, the web has advanced with the emergence of many new techniques WebCache, Ajax, RSS, compress model has changed the way of transferring data and interacting of user on website as well as the charisteristics of behavioral model of Web traffic This thesis will demonstrate that using old model makes steadily increasing of false positive rate of previous filter Therefore we propose a novel approach and architecture to attenuate attacker’s bandwidth tried to fake legal user’s traffic Goal is to use trap time and frequency of the request page as well as the magnitude of the object loaded in dynamic period to utilizes these properties of legitimate client traffic as well as penalize deterministic zombie traffic tends to be repeated and continuous Through extensive simulation results show that it can defeat attack traffic effectively as well as ensure the reliability with acceptable false negative or false positive rate Keywords: Behavioral model of Web Traffic, DDoS, Network Security, Network Performance MỤC LỤC LỜI CAM ĐOAN TÓM TẮT MỤC LỤC DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT 10 DANH MỤC CÁC HÌNH VẼ, ĐỒ THỊ 12 MỞ ĐẦU 14 CHƢƠNG I: TỔNG QUAN VỀ CƠ SỞ CỦA ĐỀ TÀI 16 1.1 Giới thiệu 16 1.1.1 Lý chọn chủ đề giảm thiểu thiệt hại từ công DDoS 16 1.1.2 Phạm vi nghiên cứu 16 1.2 Những kết nghiên cứu liên quan đánh giá 18 1.2.1 Phƣơng pháp công DDoS 18 1.2.2 Những nghiên cứu làm giảm thiểu thiệt hại công DDoS 21 1.3 Thách thức toán cần giải 22 1.4 Định hƣớng giải toán 23 CHƢƠNG II: MÔ HÌNH HÓA LƢU LƢỢNG WEB 25 2.1 Giới thiệu 25 2.2 Các nghiên cứu mô hình hóa lƣu lƣợng Web 26 2.2.1 Mô hình B.Mah 26 2.2.2 Mô hình Choi & Lim 27 2.2.3 Mô hình Lee & Gupta 29 2.2.4 Các mô hình khác 30 2.3 Vai trò ảnh hƣởng công nghệ mô hình lƣu lƣợng đại 32 2.3.1 WebCache 32 2.3.2 Ajax 34 2.4 Chọn lựa mô hình hóa phù hợp 37 CHƢƠNG III: ĐỀ XUẤT CẢI TIẾN VÀ GIẢI PHÁP 38 3.1 Phân tích 38 3.1.1 Bài toán cần chứng minh 38 3.1.2 Mệnh đề 39 3.1.3 Mệnh đề 43 3.2 Chiến thuật phân loại lƣu lƣợng hợp lệ lƣu lƣợng công 43 3.2.1 Bẫy thời gian 43 3.2.2 Bẫy tần suất 47 3.2.3 Trạng thái tối thiểu 51 3.2.4 Hàng đợi ƣu tiên 56 3.2.5 Mô lƣu lƣợng hợp lệ 56 3.3 Kiến trúc hệ thống 57 3.3.1 Kiến trúc 57 3.3.2 So sánh với kiến trúc khác 59 3.4 Thiết kế giải thuật 61 3.4.1 Giải thuật 61 3.4.2 Độ phức tạp thuật toán 64 3.4.3 Độ tin cậy phƣơng pháp 64 3.4.4 Sơ đồ hoạt động 64 CHƢƠNG IV: MÔ PHỎNG VÀ ĐÁNH GIÁ 67 4.1 Thực mô 67 4.1.1 Mô hình mô 67 4.1.2 Chƣơng trình mô phỏng, yêu cầu thiết bị cấu hình 67 4.1.3 Kịch mô 68 4.1.4 Tham số đo đạc 69 Tiến hành mô 70 4.2.1 Kịch 1: Áp dụng mô hình lƣu lƣợng 70 4.2.4 Kịch 2: Áp dụng lọc cho dạng công 74 4.2.5 Hiệu sử dụng tài nguyên 79 4.3 Đánh giá kết nghiên cứu 80 KẾT LUẬN VÀ HƢỚNG PHÁT TRIỂN 82 TÀI LIỆU THAM KHẢO 83 DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT AOP Average Off Period - thời gian trung bình giai đoạn OFF ACK Acknowledgement ASM Anti-Spoofing Mechanism – Cơ chế chống giả mạo Bot-net Mạng lƣới máy bị chiếm quyền điều khiển sử dụng làm công cụ công DDOS Client Máy khách ngƣời dùng DOS Denial-of-service, công từ chối dịch vụ DDoS Distributed Denial-of-service, công từ chối dịch vụ phân tán False-Positive Trƣờng hợp đánh giá cho kết đúng, thực tế kết sai Firewall Tƣờng lửa ISP Internet Service Provider, nhà cung cấp dịch vụ mạng internet ICMP Internet control message protocol HTML Hypertext Markup Language - Ngôn ngữ đánh dấu siêu văn HTTP Hypertext Transfer Protocol: giao thức truyền tải siêu văn LDOS Low-rate Denial-of-service, công từ chối dịch vụ tốc độ thấp NAT Network address translation – Kĩ thuật dịch địa IP riêng – private sang địa IP công khai – public nhằm sử dụng chung địa IP công khai cho mạng riêng RTT Round Trip Time, khoảng thời gian tín hiệu gói tin chạy từ Source đến Destination quay ngƣợc lại RTO Retransmission Timeout, khoảng thời gian truyền lại gói tin không nhận đƣợc phản hồi Request Yêu cầu Response Đáp ứng 10 Tỉ lệ phiên truy cập thành công ngƣời dùng hợp lệ trƣờng hợp kẻ công nào, có kẻ công với phƣơng pháp khác nhau, tốc độ khác Tỉ lệ phiên truy cập thành công đƣợc tính theo công thức: số lần phiên người dùng hợp pháp qua / số phiên thử nghiệm Tỉ lệ sử dụng nhớ, CPU lọc so với trung bình phƣơng pháp khác mức chấp nhận đƣợc máy chủ Tỉ lệ ảnh hƣởng đến băng thông mạng hay thông lƣợng trung bình Tiến hành mô 4.2.1 Kịch 1: Áp dụng mô hình lƣu lƣợng a) Sử dụng mô hình lƣu lƣợng với lọc cũ: Kịch phương pháp cũ sử dụng mô hình lưu lượng cũ: Trong tiếng, tác giả thiết kế client hợp lệ lần lƣợt kết nối tới server vào thời điểm khác Các kết nối hợp lệ tuân theo thống kê ngƣỡng mô hình Choi&Lim: thời gian nghỉ ngẫu nhiên phạm vi từ giây đến 30 giây lƣu lƣợng ngẫu nhiên khoảng từ 30KB đến 100KB Sau tác giả tiến hành đo mẫu tỉ lệ phiên client truy cập thành công trƣờng hợp: công xảy ra, có công dạng đơn giản (Simple Flooding), có công dạng phức tạp (Low-rate) Kết thu đƣợc tác giả so sánh tỉ lệ phiên truy cập thành công client hợp lệ có áp dụng lọc WDA [4] không áp dụng lọc WDA để tìm độ hiệu thuật toán Kịch phương pháp cũ sử dụng mô hình lưu lượng mới: Trong tiếng, sử dụng client hợp lệ lần lƣợt kết nối tới server vào thời điểm khác Các kết nối hợp lệ sử dụng ngƣỡng thống kê theo mô hình Lee & Gupta Chúng tiến hành xây dựng lại cách gửi tin tƣơng tác truy vấn hợp lệ tới server Sau tiến hành đo mẫu tỉ lệ phiên client truy cập thành công trƣờng hợp: công xảy ra, có công dạng đơn giản (Simple Flooding), có công dạng phức tạp (Low-rate) Kết thu đƣợc so sánh tỉ lệ phiên truy cập thành công client hợp lệ có áp dụng lọc WDA [4] để tính toán tỉ lệ phát sai sót truy cập hợp lệ công WDA có sử dụng mô hình lƣu lƣợng 70 Chúng tiến hành thử nghiệm theo nguyên tắc: Áp dụng lọc cũ với trƣờng hợp đặc tính lƣu lƣợng gửi lên ngƣời dùng hợp pháp đƣợc thay đổi theo mô hình Chúng tăng dần số lƣợng ngƣời dùng hợp pháp kẻ công Kết thu đƣợc minh họa qua đồ thị 33 34 + Với trƣờng hợp ngƣời dùng sử dụng băng thông 128kbps Hình 33 Hiệu thuật toán cũ mô hình trƣờng hợp + Với trƣờng hợp ngƣời dùng sử dụng băng thông 512kbps: Hình 34 Hiệu thuật toán cũ mô hình trƣờng hợp Nhận xét: 71 Trong trƣờng hợp sử dụng ngƣời dùng có băng thông 128Kbps tăng số lƣợng ngƣời dùng lên 100, tỉ lệ truy cập thành công ngƣời dùng bị suy giảm nghiêm trọng < 50% - hình 33 - tức tỉ lệ phát sai WDA tăng lên Để chắn hơn, sử dụng ngƣời dùng có băng thông 512kbps – hình 34 mức gần với lƣu lƣợng thực tế cần 20 ngƣời dùng đủ làm tỉ lệ truy cập thành công tụt giảm thảm hại tới 40% Điều lý giải rằng, với lƣu lƣợng gửi lên cao hợp pháp bị WDA phát nhầm lẫn dạng công cao b) Sử dụng mô hình lƣu lƣợng với lọc mới: Kịch phương pháp sử dụng mô hình lưu lượng mới: Trong tiếng, sử dụng client hợp lệ lần lƣợt kết nối tới server vào thời điểm khác Các kết nối hợp lệ sử dụng ngƣỡng thống kê theo mô hình Lee & Gupta Chúng tiến hành xây dựng lại cách gửi tin tƣơng tác truy vấn hợp lệ tới server Tiếp tục tiến hành đo mẫu tỉ lệ phiên client truy cập thành công trƣờng hợp: công xảy ra, có công dạng đơn giản (Simple Flooding), có công dạng phức tạp (Low-rate) Kết thu đƣợc so sánh tỉ lệ phiên truy cập thành công client hợp lệ có áp dụng lọc TLF01 Kết so sánh với kết phƣơng pháp WDA sử dụng mô hình lƣu lƣợng bên để định lƣợng khác biệt hiệu phƣơng pháp TLF01 so với WDA Chúng tiến hành thử nghiệm theo nguyên tắc: Áp dụng lọc xây dựng với trƣờng hợp liệu ngƣời dùng hợp pháp đƣợc thay đổi thuộc tính theo mô hình Chúng tăng dần số lƣợng ngƣời dùng hợp pháp kẻ công Kết thu đƣợc minh họa qua đồ thị 35 36: + Với trƣờng hợp ngƣời dùng sử dụng băng thông 128kbps 72 Hình 35 Hiệu thuật toán mô hình trƣờng hợp + Với trƣờng hợp ngƣời dùng sử dụng băng thông 512kbps: Hình 36 Hiệu thuật toán mô hình trƣờng hợp Nhận xét: 73 Rõ ràng thay đổi lọc WDA thành TLF01, tỉ lệ phát sai sót giảm nhanh chóng, số lƣợng phiên truy cập thành công không bị suy giảm nhiều – hình 35 có tăng số lƣợng ngƣời dùng truy cập đồng thời bị suy giảm đáng kể tăng băng thông gửi lên đến server cho khoảng 100 kết nối lúc – hình 36 Rõ ràng với trƣờng hợp số lƣợng kết nối ngƣời dùng hợp pháp đông đột biến có phƣơng pháp chống đƣợc kết nối toàn ngƣời dùng thật 4.2.4 Kịch 2: Áp dụng lọc cho dạng công TH 1: Áp dụng lọc TLF01 vào dạng công Simple Flood, so sánh với WDA Khi sử dụng mô hình liệu mới, WDA phát nhầm ngƣời dùng hợp lệ giống kẻ công Simple Flood – không thời gian OFF nên tỉ lệ truy cập thành công suy giảm nhanh Với khoảng 100 kẻ công mức đáp ứng máy chủ suy giảm nhanh tỉ lệ nhầm lẫn lớn kẻ công ngƣời dùng bình thƣờng – lƣợng liệu truyền tải phiên truy cập ngƣời dùng bình thƣờng kẻ công khác biệt nhiều Nhƣng với TLF01 đáp ứng tốt loại bỏ đƣợc chế công dạng toàn liệu thời gian ngắn Thống kê kết mô minh họa bên dƣới 74 Hình 37 Mô hiệu tỉ lệ phát băng thông TLF01 với dạng công Simple Flooding TH2: High-burst-slow Kết mô đƣợc minh họa đồ thị hình dƣới: tham số đo tỉ lệ truy cập thành công lƣu lƣợng giảm tải đƣợc áp dụng lọc 75 Hình 38 Mô hiệu tỉ lệ phát băng thông TLF01 với dạng công High-Burst-Slow Nhận xét: Với trƣờng hợp này, kẻ công gửi nhiều liệu nhƣng tuân theo quy luật thời gian đảm bảo phiên truy cập không ngắn nhƣng lƣợng liệu lại rải cố gắng tiệm cận mức đỉnh để không coi giả mạo Kiểu công thuật toán bẫy tần suất TLF01 đáp ứng đƣợc 58% tỉ lệ truy cập thành công, có suy giảm đáng kể số lƣợng kẻ công tăng lên Nguyên nhân số lƣợng kẻ công tăng lên với đặc tính xác suất phát sai để lọt lƣới công truy cập hợp pháp tăng lên Trong số kết nối bình thƣờng bị nhầm sang số dạng công TH3: Low-burst-fast Kết mô đƣợc minh họa đồ thị hình dƣới: tham số đo tỉ lệ truy cập thành công lƣu lƣợng giảm tải đƣợc áp dụng lọc 76 Hình 39 Mô hiệu tỉ lệ phát băng thông TLF01 với dạng công Low-burst-fast Nhận xét: Kết tỉ lệ phát cho qua với lƣu lƣợng hợp pháp phƣơng pháp TLF01 tốt không đáng kể (5%) so với sử dụng WDA Lý đƣợc đƣa kỹ thuật sử dụng tần suất gửi trạng thái tối thiểu mô hình liệu trƣờng hợp công lƣu lƣợng thấp có hiệu ứng tƣơng đƣơng mô hình liệu cũ TH4: Low-burst-slow hay Shrew Attack 77 Kết mô đƣợc minh họa đồ thị hình dƣới: tham số đo tỉ lệ truy cập thành công lƣu lƣợng giảm tải đƣợc áp dụng lọc Hình 40 Mô hiệu tỉ lệ phát băng thông TLF01 với dạng công Low-burst-slow Nhận xét: Khi số lƣợng kẻ công tăng lên khoảng 150 tỉ lệ truy cập thành công ngƣời dùng hợp lệ bị suy giảm nghiêm trọng tƣơng tự trƣờng hợp sử dụng số lƣợng ngƣời dùng hợp lệ tƣơng đƣơng 100 kết nối truy cập đồng thời Webserver Mặc dù lƣu lƣợng công trƣờng hợp nhỏ hẳn so với trƣờng hợp High-burst-slow Low-burst-fast nhƣng hiệu công lại tốt kẻ công giả danh tốt lƣu lƣợng truy cập thông thƣờng Chúng tiến hành cải tiến TLF01 theo hƣớng sử dụng mở rộng phƣơng pháp RED Thì đƣợc kết nhƣ sau: 78 Hình 41 Mô hiệu tỉ lệ phát băng thông TLF01 với dạng công Low-burst-slow có áp dụng thêm chế RED Rõ ràng áp dụng chế RED chuyên để xử lý trƣờng hợp công tốc độ thấp vào điều kiện kiểm tra lọc TLF01, kết phát xác hành vi công tốt đến 80% so với không dùng RED 4.2.5 Hiệu sử dụng tài nguyên Hình 42 Thống kê sử dụng tài nguyên áp dụng lọc TLF01 79 Hình 43 Thống kê thông lƣợng trung bình trƣờng hợp áp dụng TLF01 Dựa kết hình 42, 43 rút rằng: trƣờng hợp áp dụng TLF01, tài nguyên sử dụng tăng thêm không đáng kể nhƣ thông lƣợng công giảm TLF01 hiệu Các dạng công sử dụng băng thông trung bình kết nối có khả dễ bị nhầm lẫn kết nối từ nguồn hợp pháp 4.3 Đánh giá kết nghiên cứu Nhƣ thông qua trình thử nghiệm, chứng minh đƣợc với mô hình lƣu lƣợng mới, thuật toán cũ không hiệu chất hành vi thay đổi, phƣơng pháp tính toán trƣớc không xác Từ đề xuất cách tiếp cận xây dựng thuật toán giải Trong trình thử nghiệm, tìm cách đo thông số để kiểm nghiệm tính hiệu thuật toán bao gồm: Tỉ lệ phát sai truy cập hợp pháp thành công áp dụng mô hình liệu vào thuật toán cũ lên đến 40% Đây tỉ lệ áp dụng với tối đa 200.000 kẻ công đồng thời Tỉ lệ phát sai lớn số lƣợng kẻ công tăng lên Tỉ lệ phiên truy cập thành công trƣờng hợp: bình thƣờng, có công… áp dụng thuật toán có sử dụng thống kê kết mô hình 80 liệu đạt 78.56 % Kết lớn chút với kết mô hình cũ áp dụng phƣơng pháp cũ (37.15%) [4] trƣờng hợp công đạt cực đại 200.000 kết nối từ mạng botnet Tỉ lệ sử dụng tài nguyên ( RAM + CPU) chạy lọc tăng lên không đáng kể (4.5%) Kết chứng minh phƣơng pháp đề xuất hiệu quả, phát tốt 35-41% so với sử dụng lọc phƣơng pháp cũ Bảng sau mô tả tính hiệu phƣơng pháp liệu hành vi tƣơng ứng: Số ngƣời dùng hợp Tỉ lệ phát áp Tỉ lệ phát áp lệ/ Số kẻ công dụng lọc TLF01 dụng lọc WDA [4] Bộ liệu Lee&Gupta Bộ liệu Lee&Gupta 100% 99.85% 3000/ 10000 99.79% 95.21% 3000/ 20000 98.30% 92.73% 3000/ 30000 97.25% 87.02% 3000/ 40000 96.36% 82.47% 3000/ 50000 95.12% 79.07% 3000/ 60000 93.33% 76.82% 3000/ 70000 91.99% 71.54% 3000/ 80000 90.05% 66.19% 3000/ 90000 88.67% 61.91% 3000/ 100000 87.03% 57.85% 3000/ 1200000 85.72% 52.01% 3000/ 1300000 83.43% 47.17% 3000/ 1400000 81.02% 41.97% 3000/ 2000000 78.56% 37.15% 10000/ 10000 92.06% 83.72% 20000/10000 92.01% 74.05% 3000 /0 Bảng Kết so sánh tỉ lệ phát lƣu lƣợng công phƣơng pháp phƣơng pháp cũ áp dụng mô hình liệu Lee&Gupta 81 KẾT LUẬN VÀ HƢỚNG PHÁT TRIỂN Kết luận Chúng đạt đƣợc số kết tốt thể hiệu phƣơng pháp đề xuất so với số công trình đƣợc công bố với đánh giá rõ ràng Một số thành tựu bao gồm: + Chứng minh đƣợc áp dụng mô hình liệu phƣơng pháp phát công DDoS không hiệu + Nghiên cứu lựa chọn mô hình liệu thể tốt hành vi truy cập ngƣời dùng Web đại, từ trích chọn đặc tính sử dụng phù hợp + Phân tích điểm yếu phƣơng pháp tiếp cận cũ, từ xây dựng chế phát hiện, xử lý phù hợp với mô hình liệu Thông qua kết thử nghiệm cho thấy hệ thống hoạt động tốt, chống đƣợc hiệu dạng công từ chối dịch vụ phân tán mà không làm suy giảm khả phục vụ máy chủ dịch vụ Web Hƣớng phát triển Vấn đề tồn tại chƣa tiến hành thử nghiệm trực tiếp với môi trƣờng Webserver thực để đánh giá tính hiệu phƣơng pháp Công việc tiếp tục nghiên cứu Thêm nữa, điểm yếu phƣơng pháp phát lƣu lƣợng công dựa đặc tính lƣu lƣợng tin cậy vào số đặc tính cốt lõi mà xác hoàn toàn cho loại Website đặc thù nhƣ tin tức, blog cá nhân, mạng xã hội Do điều cần thiết cần phải xây dựng đƣợc bảng chọn lựa giá trị thuộc tính đặc thù cho đặc tính lƣu lƣợng tốt cho loại Website Giá trị trọng số cho hàng đợi việc cần quan tâm đến Trong chƣơng trình mô phỏng, trọng số cho hàng đợi Low queue, High queue lần lƣợt đƣợc gán giá trị 0.2, 0.8 Cách lựa chọn giá trị ảnh hƣởng đến thứ tự đƣợc xử lý gói tin nhƣ mức độ ảnh hƣởng gói tin với Cần phải tìm đƣợc giá trị thích hợp cho trọng số tùy thuộc vào Webserver triển khai 82 TÀI LIỆU THAM KHẢO Tiếng Anh Arbor Networks (2014), ATLAS DDoS Attack Data Wikepedia, Denial of Service Attack US-CERT (2014), a novel UDP Port Denial-of-Service Attack, New York Ehud Doron, Avishai Wool (2011), WDA: A Web farm Distributed Denial Of Serv-ice attack attenuator, Computer Networks, 1037–1051 A Kuzmanovic, E.W Knightly (2003), Low-rate TCP-targeted denial of service attacks: the shrew vs the mice and elephants, in: SIGCOMM, pp 75–86 R.K.C Chang (2005), On a new class of pulsing denial-of-service attacks and the defense, in: NDSS R.Sherwood, B Bhattacharjee, R Braud (2005), Misbehaving TCP receivers can cause Internet-wide congestion collapse, in: ACM Conference on Computer and Communications Security, pp 383–392 J Mirkovic, G Prier, P.L Reiher (2002), Attacking DDOS at the Source, ICNP Roshan Thomas, Brian Mark, Tommy Johnson, James Croall (2003), NetBouncer: Client-legitimacy-based High-performance DDoS Filtering, in: DISCEX 10 A Bremler-Barr, N Halachmi, H Levi (2006), Aggressiveness Protective Fair Queueing for Bursty Applications, IWQoS 11 Y Kim, W.-C Lau, M.C Chuah, H.J Chao (2004), Packetscore: statisticalbased overload control against distributed denial-of-service attacks, INFOCOM 12 Changwang Zhang, Zhiping Cai, Weifeng Chen, Xiapu Luo, Jianping Yin (2005), Flow level detection and filtering of low-rate DDoS, Computer Networks, Volume 56, pp 3417–3431 13 S.Ihm,V.Pai (2011), Towards understanding Modern Web Traffic,Proceedings, of the 2011 ACM SIGCOMM conference on Internet measurement conference, Pages 295-312 14 J.Lee & M.Gupta (2012), A new traffic model for current user web browsing behavior, Intel Press 15 K.Choi & J.Lim (1999),A Behavioral of Web Traffic, Journal of Computer Networks 16 B.Mah (1997), An empirical model of HTTP network traffic, Procedding of INFOCOM, Kobe, Japan 83 17 V Vasilakos, Long Jin (2013), Understanding User Behavior in Online Social Networks: A Survey, Communications Magazine 18 Paolo Losi, Wfq implementation, http://www.isi.edu/nsnam/archive/ns-users/webarch/2000/msg04025.html 19 The Network Simulator, NS2, http://nsnam.isi.edu/nsnam/index.php/User_Information 20 M.Cha (2007), I tube, you tube, everybody tubes: analyzing the world's largest user generated content video system, Proceeding IMC '07 Proceedings of the 7th ACM SIGCOMM conference on Internet measurement, Pages 1-14 21 Fabian Schneider, Sachin Agarwal, Tansu Alpcan, and Anja Feldmann (2008), The New Web: Characterizing AJAX Traffic, Proceeding PAM'08 Proceedings of the 9th international conference on Passive and active network measurement, Pages 31-40 84 [...]... có đến hơn 100 cuộc tấn công DDoS vào các Website công cộng phổ biến đạt băng thông trên 20Gbps Do mức độ ảnh hƣởng nghiêm trọng của các cuộc tấn công từ chối dịch vụ phân tán tới chất lƣợng dịch vụ và tính sẵn sàng của mạng internet đã dẫn đến các nghiên cứu sâu rộng nhằm hƣớng tới phòng chống dạng tấn công nguy hiểm này Một trong những giải pháp tối ƣu nhất là xây dựng cơ chế phân loại đặc tính lƣu... trình nghiên cứu để có đƣợc các giải pháp, kết quả cuối cùng 15 CHƢƠNG I: TỔNG QUAN VỀ CƠ SỞ CỦA ĐỀ TÀI 1.1 Giới thiệu 1.1.1 Lý do chọn chủ đề giảm thiểu thiệt hại từ tấn công DDoS Lịch sử của tấn công từ chối dịch vụ bắt đầu từ những năm 2000 khi lần đầu tiên một cậu thiếu niên 15 tuổi Micheal Calce với biệt hiệu aka_mafiaboy từ Quebec, Canada tấn công vào một loạt các Website thƣơng mại điện tử lớn... trạng tấn công DDoS hiện nay: Tấn công vào băng thông (Volumn based Attack): Với dạng tấn công này, mục tiêu của kẻ tấn công là làm cạn kiệt băng thông của mục tiêu thông qua lƣu lƣợng phát sinh cực lớn Thông thƣờng tính bằng Gbps Một số phƣơng pháp tấn công phổ biến là: UDP Flood, ICMP Flood Tấn công vào giao thức (Protocol Attack): Đây là dạng tấn công nhằm mục đích làm cạn kiệt tài nguyên của máy... tiết những ý tƣởng và cách xử lý của các tác giả hiện tại, điểm yếu của chúng Từ đó chúng tôi định hƣớng giải quyết từng vấn đề của bài toán đƣa ra Chƣơng 2: Ở chƣơng này, chúng tôi giới thiệu những điểm cốt lõi của các mô hình hành vi của lƣu lƣợng Web đã đƣợc công bố Những thay đổi, tiến hóa của mỗi mô hình tƣơng ứng, ảnh hƣởng của những công nghệ Web hiện đại tới các kết quả của các nghiên cứu trƣớc... đúng và băng thông của TLF01 với dạng tấn công Low-burst-slow có áp dụng thêm cơ chế RED 79 Hình 42 Thống kê sử dụng tài nguyên của áp dụng bộ lọc TLF01 79 Hình 43 Thống kê thông lƣợng trung bình trong các trƣờng hợp áp dụng TLF01 80 13 MỞ ĐẦU Tấn công từ chối dịch vụ phân tán (DDoS) đã có lịch sử hơn 15 năm, gây ra nhiều thiệt hại không nhỏ với các Website hoặc các dịch vụ liên quan đến WWW... mạng Botnet tấn công vào máy chủ của hãng tin CNN làm sập dịch vụ trực tuyến của hãng Hình thức tấn công này đã mở ra một kỷ nguyên mới cho các phƣơng pháp tấn công DDoS mới, nguy hiểm và tinh vi hơn Ngày nay DDoS đã sử dụng nhiều mánh khóe, kỹ thuật mới hơn nhƣ kỹ thuật khuếch đại tấn công, sử dụng máy chủ điều khiển lệnh từ xa… làm mức độ thiệt hại tăng lên đáng kể Điển hình là vụ tấn công Spamhus... lƣu lƣợng của các cuộc tấn công từ chối dịch vụ phân tán trên web Web farm Cụm các web server Web-request là một trang hoặc một tập trang dữ liệu trả về từ một yêu cầu của ngƣời dùng Server Máy chủ Web 11 DANH MỤC CÁC HÌNH VẼ, ĐỒ THỊ Hình 1 Mô hình tấn công DDoS sử dụng mạng máy tính ma botnet 18 Hình 2 Cách xác định mối liên hệ giữa hai kết nối HTTP [16] 27 Hình 3 Mô hình tổng quát của tƣơng... kiểu tấn công nào vào mục tiêu mà hắn muốn Mô hình tấn công vào ứng dụng Web sử dụng botnet và phƣơng pháp phòng chống là mục tiêu nghiên cứu chính của đề tài này do kiểu tấn công này gây thiệt hại lớn và khó chống hơn nhiều so với các phƣơng pháp tấn công khác 1.2 Những kết quả của các nghiên cứu liên quan và đánh giá Hiện đã có rất nhiều những nghiên cứu, thử nghiệm và đánh giá theo cách giảm thiểu. .. phối hợp, tấn công có chủ đích để một website, hay hệ thống mạng 18 không thể sử dụng, làm gián đoạn, hoặc làm cho hệ thống đó chậm đi một cách đáng kể với ngƣời dùng bình thƣờng, bằng cách làm quá tải tài nguyên của hệ thống Thủ phạm tấn công từ chối dịch vụ thƣờng nhắm vào các Website có tầm quan trọng cao hoặc tiêu biểu nhƣ ngân hàng, cổng thanh toán thẻ tín dụng và thậm chí là các máy chủ phân giải... Apache, IIS… Đơn vị đo của kiểu tấn công này là số yêu cầu trên giây Một số dạng tấn công phổ biến của nó là Shrew Attack, Slowloris, Low rate Attack Phƣơng pháp tấn công phức tạp nhất: Tấn công DDoS sử dụng mạng máy tính ma botnet đƣợc sử dụng rộng rãi và mang lại hiệu quả nhất Bƣớc đầu tiên là kẻ tấn công sẽ tìm cách lây nhiễm các Trojian Horse lên máy tính của ngƣời dùng rồi tìm cách chiếm quyền điều ...ĐẠI HỌC QUỐC GIA HÀ NỘI TRƢỜNG ĐẠI HỌC CÔNG NGHỆ NGUYỄN VĂN LINH GIẢM THIỂU ẢNH HƢỞNG CỦA CÁC TẤN CÔNG TỪ CHỐI DỊCH VỤ PHÂN TÁN VÀO CÁC WEBSITE Ngành: Công nghệ thông tin Chuyên ngành: Truyền... điều khiển sử dụng làm công cụ công DDOS Client Máy khách ngƣời dùng DOS Denial-of-service, công từ chối dịch vụ DDoS Distributed Denial-of-service, công từ chối dịch vụ phân tán False-Positive Trƣờng... thống kê tháng có đến 100 công DDoS vào Website công cộng phổ biến đạt băng thông 20Gbps Do mức độ ảnh hƣởng nghiêm trọng công từ chối dịch vụ phân tán tới chất lƣợng dịch vụ tính sẵn sàng mạng internet