1 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ Hồ Trọng Đạt ÁP DỤNG TRI THỨC VỀ PHÁT HIỆN, PHÂN LOẠI TẤN CÔNG TỪ CHỐI DỊCH VỤ ĐỂ THIẾT KẾ HỆ THỐNG BẢO VỆ Ngành: Công nghệ thông tin Chuyên ngành: Công nghệ thông tin LUẬN VĂN THẠC SỸ Người hướng dẫn khoa học PGS.TS Đỗ Trung Tuấn Hà nội - 2007 Lời cảm ơn Em xin chân thành cảm ơn P.GS Tiến sĩ Đỗ Trung Tuấn, trực tiếp hướng dẫn giúp đỡ em nhiều q trình thực hồn thiện đề tài Em xin chân thành cảm ơn thày, cô giáo khoa Công nghệ thông tin – Trường Đại học công nghệ - Đại học Quốc Gia Hà Nội dạy cung cấp kiến thức suốt khóa học Các kiến thức tảng giúp em nhiều việc nghiên cứu khái niệm lý thuyết thiết kế mô hình hệ Em xin chân thành cảm ơn anh lãnh đạo Trung tâm Công nghệ Thông tin CDiT, học viện Cơng nghệ Bưu Viễn thơng nơi em cơng tác, tạo điều kiện công việc em có thêm nhiều thời gian thực nghiên cứu Tôi xin chân thành cảm ơn anh chị em đồng nghiệp Trung tâm Công nghệ Thông tin CDiT động viên giúp đỡ nhiều mặt kỹ thuật trình thực đề tài nghiên cứu Xin chân thành cảm ơn người thân gia đình động viên, giúp đỡ tơi suốt trình học tập nghiên cứu để thực thành công luận văn tốt nghiệp Hà Nội – tháng 11 năm 2006 Hồ Trọng Đạt Mục lục Lời cảm ơn Mục lục Danh mục từ viết tắt Danh mục bảng .7 Danh mục hình vẽ Mở đầu Chương Tổng quan 10 1.1 Hệ thống mạng Internet 10 1.2 Giao thức TCP/IP .12 1.2.1 Khái niệm phân lớp 12 1.2.2 Các lớp TCP/IP Error! Bookmark not defined 1.2.3 Địa Internet Error! Bookmark not defined 1.2.4 Giao thức IP Error! Bookmark not defined 1.3 Khái niệm công DoS Error! Bookmark not defined 1.3.1 Nguyên nhân công từ chối dịch vụ Error! Bookmark not defined 1.3.2 Cơ chế chung công từ chối dịch vụError! Bookmark not defined 1.3.3 Lý tiến hành công từ chối dịch vụError! Bookmark not defined 1.4 Các nghiên cứu có liên quan Error! Bookmark not defined 1.5 Kết luận Error! Bookmark not defined Chương Nghiên cứu công Từ chối dịch vụError! Bookmark not defined 2.1 Phân loại hình thức cơng Error! Bookmark not defined 2.1.1 Mức độ tự động Error! Bookmark not defined 2.1.2 Lợi dụng lỗ hổng để công Error! Bookmark not defined 4 2.1.3 Tính xác thực địa nguồn Error! Bookmark not defined 2.1.4 Cường độ công Error! Bookmark not defined 2.1.5 Khả xác định thông tin Error! Bookmark not defined 2.1.6 Độ ổn định tập máy công cụ Error! Bookmark not defined 2.1.7 Dạng mục tiêu Error! Bookmark not defined 2.1.8 Tác động tới dịch vụ Error! Bookmark not defined 2.2 Phân loại các chế bảo vệ DoS Error! Bookmark not defined 2.2.1 Phân loại theo chế hoạt động Error! Bookmark not defined 2.2.2 Phân loại theo mức độ hợp tác Error! Bookmark not defined 2.3 Kết luận Error! Bookmark not defined Chương Tri thức hỗ trợ phát cơng DoS nhờ mơ hình thống kê Error! Bookmark not defined 3.1 Nghiên cứu phát hiện, chống DDOS theo thống kêError! Bookmark not defined 3.1.1 Điểm thay đổi Error! Bookmark not defined 3.1.2 Hệ thống EMERALD Error! Bookmark not defined 3.1.3 Cơ chế van điều tiết Williamson Error! Bookmark not defined 3.1.4 Cơ chế lưu vết IP theo lịch sử kết nối Error! Bookmark not defined 3.2 Sử dụng Entropy để xây dựng mơ hình theo dõiError! Bookmark not defined 3.2.1 Entropy nguồn tin Error! Bookmark not defined 3.2.2 Xây dựng mô hình Entropy nguồn tinError! Bookmark not defined 3.2.3 3.3 Phát thay đổi theo ngưỡng Error! Bookmark not defined Phản ứng lại DDoS theo lịch sử IP Van điều tiếtError! Bookmark not defined 3.3.1 Hạn chế theo địa IP biết Error! Bookmark not defined 3.3.2 Điều tiết truy cập theo địa IP Error! Bookmark not defined 5 Chương Thiết kế mơ hình hệ thống phát chống lại cơng DDoS Error! Bookmark not defined 4.1 Mơ hình triển khai vật lý Error! Bookmark not defined 4.2 Các thành phần hệ thống Error! Bookmark not defined 4.2.1 Thiết kế phân lớp hệ thống Error! Bookmark not defined 4.2.2 Thiết kế chi tiết thành phần hệ thốngError! Bookmark not defined 4.2.3 4.3 Danh sách lưu trữ IP Error! Bookmark not defined Đề xuất khuyến nghị Error! Bookmark not defined Kết luận Error! Bookmark not defined Tài liệu tham khảo .13 Phụ lục .14 Danh mục từ viết tắt Ý nghĩa Từ viết tắt DDoS Distributed Denial Of Service IMP Interface Message Processor NFSNET National Science Foundation network CIX Commercial Internet Exchange Association HTML HyperText Markup Language ICMP Internet Control Message Protocol IGMP Internet Group Management Protocol TCP Transmission Control Protocol SMTP Simple Mail Transfer Protocol DNS Domain Name Server FTP File Transfer Protocol UDP User Data Protocol MULTOPS MUlti Level Tree for Online Packer Statistics CAIDA Cooperative Association for Internet Data Analysis EMERALD Event Monitoring Enabling Responses to Anomalous Live Disturbances HEDDAD History IP & Entropy-based Detection and Defense Against DDoS Danh mục bảng Bảng Các lớp giao thức TCP/IP 12 Bảng Các giải địa IP Error! Bookmark not defined 8 Danh mục hình vẽ Hình Phiên truyền tin hai node mạng Error! Bookmark not defined Hình Kết nối hai hệ thống mạng sử dụng RouterError! Bookmark not defined Hình Mơ hình hoạt động TCP/IP Error! Bookmark not defined Hình Các lớp địa IP Error! Bookmark not defined Hình Cấu trúc gói tin TCP Error! Bookmark not defined Hình Tấn cơng DoS theo mơ hình phản xạ Error! Bookmark not defined Hình Phát nguồn cơng theo kỹ thuật backscatterError! Bookmark not defined Hình Thuật toán xử lý cờ SYN Error! Bookmark not defined Hình Kiến trúc hệ thống EMERALD Error! Bookmark not defined Hình 10 Xử lý kết nối đến máy trạm Error! Bookmark not defined Hình 11 Xử lý kết nối có hàng đợi Error! Bookmark not defined Hình 12 Mơ hình triển khai HEDDAD Error! Bookmark not defined Hình 13 Trình tự xử lý hệ thống HEDDAD Error! Bookmark not defined Hình 14 Sơ đồ thiết kế hệ thống nhận dạng phản ứngError! Bookmark not defined Hình 15 Sơ đồ liệu lưu trữ IP Error! Bookmark not defined 9 Mở đầu Tấn cơng DDoS khơng cịn khái niệm xa lạ Việt Nam Kể từ năm 1997, Internet lần đấu tiên thức hoạt động nước, hệ thống mạng dịch vụ Việt Nam có bước phát triển nhanh chóng Tới tháng năm 2006, có tỷ người sử dụng Internet [36], Việt Nam triệu người sử dụng[35] Các dịch vụ mạng, thương mại điện tử phát triển kèm với hoạt động phá hoại, cơng vào trang web dịch vụ gia tăng Các công chuyển dần từ công tập trung từ nguồn chuyển sang công phân tán từ nhiều nguồn Trước tình hình đó, cần có nghiên cứu chuyên sâu công từ chối dịch vụ, cách thức phòng chống, phát chống lại Trong khuôn khổ luân văn, khái niệm công từ chối dịch vụ phân tán – DDoS đồng nghĩa với từ chối dịch vụ - DoS Luận văn tập trung vào việc nghiên cứu tiêu chí phân loại công DoS Các nghiên cứu kỳ vọng tài liệu mang tính tổng kết loại hình cơng DoS biết phát Bên cạnh đó, luận văn đưa số kỹ thuật sử dụng để xây dựng thiết bị phịng chống cơng DoS Các kỹ thuật tập trung theo hướng phát bất thường hoạt động mạng Hệ thống mạng mơ hình hóa thơng số entropy thông tin Những thay đổi bất thường entropy theo dõi ghi nhận Khi có thay đổi giá trị, bất thường phát dựa phương pháp thống kê so sánh mơ hình Sau phát có dấu hiệu cơng, chế bảo vệ kích hoạt, hạn chế kết nối theo địa IP để đảm bảo hoạt động phục vụ hệ thống bảo vệ 10 Chương Tổng quan Nghiên cứu DoS dựa những nghiên cứu chất giao thức TCP/IP Dựa họ giao thức TCP/IP, giao thức không xác thực người tham gia truyền tin, nói hệ thống Internet hệ thống mở, người hoạt động ngang hàng nhau, khơng bị kiểm sốt Lợi dụng vấn đề tính định danh lỏng lẻo hệ thống Internet, hình thức cơng từ chối dịch vụ - Denial of Service , sau gọi tắt DoS, sử dụng phổ biến để:  Tạo lập danh tiếng với kẻ thiếu hiểu biết  Công cụ cạnh tranh nhà cung cấp dịch vụ thương mại, truyền tin  Công cụ tống tiến tội phạm mạng 1.1 Hệ thống mạng Internet Bắt đầu từ hệ thống mạng ARPAnet Bộ Quốc phịng Hoa Kỳ, với mục đích xây dựng mạng lưới liên lạc tin cậy, hoạt động phần hệ thống bị phá hủy Vào cuối năm 1966, tảng hệ thống mạng xây dựng [36] Giao thức sử dụng để truyền tin hệ thống ARPAnet 1822[18], quy định phương thức truyên tin máy tính tới IMP IMP khái niệm máy tính có chức xử lý tin truyền hệ thống mạng Mỗi IMP site có chức lưu trữ chuyển tiếp ( store & forward) gói tin kết nối với thông qua modem, đường truyền leased line, tốc độ khoảng 50kb/s Đến năm 1970, mạng ARPAnet kết nối điểm phát triển nhanh chóng năm Đến năm 1981, có 212 host kết nối với tốc độ ngày có host kết nối vào mạng Đến năm 1984, mạng máy tính Quốc phịng Mỹ tách khỏi mạng ARPAnet gọi mạng MILNET Sau thời gian hoạt động, số lý kỹ thuật trị, kế hoạch sử dụng mạng ARPANET khơng thu kết mong muốn Vì Hội đồng khoa học Quốc gia Mỹ định xây dựng mạng riêng NSFNET liên kết 11 trung tâm tính tốn lớn trường đại học vào năm 1986 sử dụng giao thức TCP/IP Mạng phát triển nhanh chóng, khơng ngừng nâng cấp mở rộng liên kết tới hàng loạt doanh nghiệp, sở nghiên cứu đào tạo nhiều nước khác Cũng từ thuật ngữ INTERNET đời Dần dần kỹ thuật xây dựng mạng ARPAnet thừa nhận tổ chức NSF, kỹ thuật sử dụng để dựng mạng lớn với mục đích liên kết trung tâm nghiên cứu lớn nước Mỹ Người ta nối siêu máy tính thuộc vùng khác đường điện thoại có tốc độ cao Tiếp theo mở rộng mạng đến trường đại học Ngày có nhiều người nhận lợi ích hệ thống mạng trên, người ta dùng để trao đổi thông tin vùng với khoảng cách ngày xa Vào đầu năm 1990 người ta bắt đầu mở rộng hệ thống mạng sang lĩnh vực thương mại tạo thành nhóm CIX Có thể nói Internet thật hình thành từ Nhưng đến Tim Berners-Lee phát triển HTML, HTTP CERN năm 1991, Internet thực phát triển “bùng nổ” Với công nghệ HTML, trang web tạo cách nhanh chóng tiện lợi cho người sử dụng truy cập, đọc thông tin Năm 1993, trung tâm NCSA đại học Illinois đưa trình duyệt web Mosaic 1.0, tảng cho trình duyệt web sau Và thời điểm đó, mạng Internet phát triển nhanh chóng, lan rộng khắp toàn cầu Tới tháng năm 2006, có tỷ người sử dụng Internet [33], Việt Nam triệu người sử dụng Ngày nay, với phát triển thương mại điện tử, khó tách rời tồn Internet với xã hội loài người Thống kê cho thấy, năm 2006, tổng giá trị bán hàng qua mạng đạt số 200 tỷ USD [34] Kinh doanh qua mạng Internet, quảng cáo qua Intenret, cung cấp thông tin qua Internet khái niệm kinh điển Trang web mặt cơng ty, nơi giao dịch mua bán, nơi tiếp đón người dùng, nơi giao lưu, kết bạn Những mơ hình kinh doanh thành công ebay, yahoo, google ngày liên tục phát triển 12 1.2 Giao thức TCP/IP Họ giao thức TCP/IP cho phép hệ thống máy tính giao tiếp với mà khơng quan tâm đến quy mô hệ thống, nhà sản xuất phần cứng, hệ điều hành cài đặt Theo định nghĩa giao thức, TCP/IP thực hệ thống mở [22] Nó cho phép triển khai thêm thành phần với chi phí thực giảm thiểu thời gian rút ngắn đáng kể Phần giới thiệu số thông tin họ giao thức TCP/IP, nhấn mạnh vào chế hoạt động để minh họa cho chương 1.2.1 Khái niệm phân lớp Các giao thức mạng phát triển theo lớp giao thức – layer Mỗi lớp có nhiệm vụ xử lý mức độ giao tiếp khác Họ giao thức TCP/IP phân chia theo lớp ( để phù hợp với tài liệu tiếng Anh, giữ nguyên tên gọi lớp) Mỗi lớp đảm nhận chức riêng rẽ TÊN LỚP ỨNG DỤNG Application Telnet, FTP, SMTP Transport TCP,UDP Network IP,ICMP, IGMP Link Các trình điều khiển thiết bị cổng kết nối Bảng Các lớp giao thức TCP/IP i Lớp Kết nối – Link: hay gọi data-link(liên kết liệu), bao gồm hệ thống trình điều khiển thiết bị cài đặt kèm với hệ điều hành cổng kết nối mạng có hệ thống Mọi chức xử lý phần cứng thiết lập lớp ii Lớp mạng – network: hay gọi lớp internet xử lý việc di chuyển gói tin tồn mạng Một số chức quan trọng thực lớp này: định tuyến (routing), thông báo lỗi (ICMP) Lớp có giao thức IP, ICMP IGMP 13 Tài liệu tham khảo Tiếng Việt [1] Đặng Văn Chuyết, Nguyễn Tuấn Anh Cơ sơ lý thuyết truyền tin – tập 1, tr 75, NXB Giáo Dục, 1998 Tiếng Anh [2] Steven Bellovin ICMP traceback messages Work in Progress: draft-bellovin-itrace-00.txt [3] B.E Brodsky and B.S Darkhovsky, Nonparametric Methods in Change Changepoint Problems, Kluwer Academic Publishers, 1993 [4] R Caceres, P B Danzig, S Jamin and D J Mitzel, “Characteristics of wide-area TCP/IP conversations”, Proceedings of ACM SIGCOMM’91, September 1991 [5] Chen-Mou Cheng, H.T Kung, and Koan-Sin Tan Use of spectral analysis in defense against dos attacks Proceedings of the IEEE GLOBECOM, Taipei, Taiwan, 2002 [6] Laura Feinstein, Dan Schnackenberg, Statistical Approaches to DDoS attack detection and response, DARPA Information Survivability Conference and Expostion(DISCEX’03), April 2003 [7] A Feldmann, “Characteristics of TCP Connection Arrivals”, ATT Technical Report, December 1998 [8] Stave Gibson, Denial of Service attacks against GRC.COM, http://www.grc.com/dos/grcdos.htm, 2005 [9] T M Gil and M Poletto MULTOPS: a data-structure for bandwidth attack detection 10th Usenix Security Symposium, August 2001 [10] J Ioannidis and S M Bellovin Pushback: Router-Based Defense Against DDoS Attacks NDSS, February 2002 [11] Jaeyeon Jung, B Krishnamurthy,M.Rabinovich Flash crowds and denial of service attacks: Characterization and implications for cdns and web sites WWW10, WWW2002, May 711, Honolulu, Hawaii, USA 2002 [12] Jelena Mirkovic, Ataxonomy of DDoS Attack and ddos defense mechanisms, ACM SIGCOMM 2004 [13] D Moore The spread of the code red worm (crv2) http://www.caida.org/analysis/security/code-red/coderedv2 analysis.xml [14] R.Naraine, Massive DDoS Attack Hit DNS Root Servers, 10/2002, http://www.internetnews.com/dev-news/article.php/1486981 [15] V.Paxson An analysis of using reflectors for distributed denial-of-service atacks ACM Computer Communications Review, July 2001 [16] Tao Peng, C.Leckie, K.Ramamohanarao Protection from Distributed Denial of Service Attack Using History-based IP filtering, Proceedings of the IEEE International Conference on Communications, 5/2003, vol 1, pp 482–486 [17] P.A Porras, and P.G Neumann, “EMERALD: Event Monitoring Enabling Responses to Anomalous Live Disturbances,” National Information Systems Security Conference (NISSC), October 1997, pp 353-365 [18 ] RFC 802 The ARPANET 1822L Host Access Protocol [19] C.E Shannon, and W Weaver, The Mathematical Theory of Communication, University of Illinois, 1963 [20] Snort, http://www.snort.org [21] S Staniford, V Paxson, and N Weaver How to 0wn the internet in your spare time, 2002 The 11th USENIX Security Symposium [22 ] Richard Stevens, TCP/IP Illustrated, Vol 1, Addison Wesley, 1993 [23] Robert Stone Centertrack: An IP overlay network for tracking DoS floods USENIX Security Symposium, pages 199–212, Denver, CO, USA, July 2000 USENIX [24] H Wang, D Zhang, and K G Shin, Detecting SYN flooding attacks, IEEE Infocom'2002, June 2002 14 [25] M Williamson Throttling viruses: Restricting propagation to defeat malicious mobile code 18th Annual Computer Security Applications Conference, December 2002 [26] V Yegneswaran, P.Barford , J.Ulrich, Internet intrusions: Global characteristics and prevalence, ACM SIGMETRICS 2003 Trang Web [27] CERT CC Denial of Service Attacks, http://www.cert.org/tech_tips/denial_of_service.html [28] CERT CC Smurf attack http://www.cert.org/advisories/CA-1998-01.html [29] CERT CC TCP SYN flooding and IP spoofing attacks http://www.cert.org/advisories/CA1996-21.htm [30] CERT CC Trends in Denial of Service Attack Technology, 10 /2001 http://www.cert.org/archive/pdf/DoS trends.pdf [31] IANA, IP Address Services, http://www.iana.org/ipaddress/ip-addresses.htm, 2005 [32] Information Sciences Institute Dynabone http://www.isi.edu/dynabone/ [33] Internet Static, http://www.clickz.com/stats/web_worldwide/ [34] Online Retail Revenues, http://www.clickz.com/stats/sectors/retailing/article.php/3611181 [35] VNNIC, Thống kê địa IP, http://www.vnnic.net.vn/thongke/thongke/jsp/tainguyen/ip_tab.jsp [36] wikipedia http://en.wikipedia.org/wiki/ARPANET#Origins_of_the_ARPANET Phụ lục ... trị, bất thường phát dựa phương pháp thống kê so sánh mơ hình Sau phát có dấu hiệu cơng, chế bảo vệ kích hoạt, hạn chế kết nối theo địa IP để đảm bảo hoạt động phục vụ hệ thống bảo vệ 10 Chương... niệm công từ chối dịch vụ phân tán – DDoS đồng nghĩa với từ chối dịch vụ - DoS Luận văn tập trung vào việc nghiên cứu tiêu chí phân loại cơng DoS Các nghiên cứu kỳ vọng tài liệu mang tính tổng kết... sử dụng Internet [36], Việt Nam tri? ??u người sử dụng[ 35] Các dịch vụ mạng, thương mại điện tử phát tri? ??n kèm với hoạt động phá hoại, công vào trang web dịch vụ gia tăng Các công chuyển dần từ công