Trong những thập kỷ gần đây, thế giới và Việt Nam đã và đang chứng kiến sự phát triển bùng nổ của công nghệ thông tin, truyền thông. Đặc biệt sự phát triển của các trang mạng (websites) và các ứng dụng trên các trang mạng đã cung cấp nhiều tiện ích cho người sử dụng từ tìm kiếm, tra cứu thông tin đến thực hiện các giao dịch cá nhân, trao đổi kinh doanh, mua bán, thanh toán hàng hoá, dịch vụ, thực hiện các dịch vụ công... Tuy nhiên, trong sự phát triển mạnh mẽ của các trang mạng nói riêng và công nghệ thông tin nói chung, vấn đề đảm bảo an toàn, an ninh thông tin cũng trở thành một trong những thách thức lớn. Một trong những nguy cơ tác động đến việc đảm bảo an toàn thông tin trong nhiều năm qua chưa được giải quyết đó chính là các hoạt động tấn công từ chối dịch vụ, một thủ đoạn phổ biến của tội phạm nhằm cản trở hoặc gây rối loạn hoạt động của mạng máy tính, mạng viễn thông, mạng Internet, thiết bị số. Tấn công từ chối dịch vụ (Dos, Denial of Services) đã ngày càng trở thành một mối đe dọa lớn đối với sự tin cậy của mạng Internet. Là các cuộc tấn công sử dụng nhiều cách thức tổ chức và thực hiện khác nhau, từ việc dùng chỉ một máy tới việc thu thập các máy agent dưới quyền với số lượng lên đến hàng chục ngàn máy phục vụ tấn công, mục đích của các cuộc tấn công là làm tê liệt các ứng dụng, máy chủ, toàn bộ mạng lưới, hoặc làm gián đoạn kết nối của người dùng hợp pháp tới Website đích. Trong quá khứ đã từng xảy ra các vụ tấn công DoS đặc biệt nghiêm trọng với các website thương mại hàng đầu thế giới, có tính bảo mật rất cao như Amazon, Yahoo, eBay, Microsoft… gây thiệt hại hàng triệu USD. Tuy nhiên, việc phòng ngừa, ngăn chặn cũng như tiến hành điều tra, xử lý các đối tượng này lại chưa được thực sự quan tâm đúng mức. Do vậy, trong nhiều trường hợp, chúng ta bị đặt vào trạng thái bị động, không phản ứng kịp trước các cuộc tấn công. Vì vậy em chọn đề tài “ Tìm hiểu giải pháp phát hiện tấn công từ chối dịch vụ sử dụng phương pháp phân tích thống kê”. Nội dung đồ án được tổ chức như sau: Chương 1: Tổng quan về tấn công từ chối dịch vụ DoSDDoS. Nêu khái niệm, mục đích, mục tiêu của tấn công từ chối dịch vụ. Các cách thức một kẻ tấn công phải thực hiện nhằm tạo ra một cuộc tấn công từ chối dịch vụ. Chương 2: Tìm hiểu giải pháp phát hiện tấn công dịch vụ bằng phương pháp phân tích thông kê. Chương 3: Thực nghiệm kết quả
LỜI CẢM ƠN Với lòng kính trọng biết ơn sâu sắc, em xin chân thành cảm ơn thầy cô giáo trường dạy bảo thầy q trình em học trường Em xin đặc biệt cảm ơn Giảng viên , người hướng dẫn trực tiếp, bảo tận tình cho em Đồ án khó hồn thành thiếu giúp đỡ, khuyến khích ý kiến đóng góp q báu Cảm ơn bố mẹ, em gái, bạn bè bạn lớp bên cạnh cổ vũ, động viên tinh thần để em vượt qua khó khăn Đồ án thực thời gian ngắn, cố gắng tìm hiểu kiến thức có hạn nên chắn nhiều thiếu sót Rất mong thầy góp ý để đồ án hồn Cuối cùng, em xin kính chúc thầy, gia đình ln ln mạnh khỏe thành cơng nghiệp cao quý , ngày tháng năm Sinh viên LỜI MỞ ĐẦU Trong thập kỷ gần đây, giới Việt Nam chứng kiến phát triển bùng nổ công nghệ thông tin, truyền thông Đặc biệt phát triển trang mạng (websites) ứng dụng trang mạng cung cấp nhiều tiện ích cho người sử dụng từ tìm kiếm, tra cứu thơng tin đến thực giao dịch cá nhân, trao đổi kinh doanh, mua bán, toán hàng hoá, dịch vụ, thực dịch vụ công Tuy nhiên, phát triển mạnh mẽ trang mạng nói riêng cơng nghệ thơng tin nói chung, vấn đề đảm bảo an tồn, an ninh thơng tin trở thành thách thức lớn Một nguy tác động đến việc đảm bảo an tồn thơng tin nhiều năm qua chưa giải hoạt động công từ chối dịch vụ, thủ đoạn phổ biến tội phạm nhằm cản trở gây rối loạn hoạt động mạng máy tính, mạng viễn thông, mạng Internet, thiết bị số Tấn công từ chối dịch vụ (Dos, Denial of Services) ngày trở thành mối đe dọa lớn tin cậy mạng Internet Là công sử dụng nhiều cách thức tổ chức thực khác nhau, từ việc dùng máy tới việc thu thập máy agent quyền với số lượng lên đến hàng chục ngàn máy phục vụ cơng, mục đích cơng làm tê liệt ứng dụng, máy chủ, toàn mạng lưới, làm gián đoạn kết nối người dùng hợp pháp tới Website đích Trong khứ xảy vụ công DoS đặc biệt nghiêm trọng với website thương mại hàng đầu giới, có tính bảo mật cao Amazon, Yahoo, eBay, Microsoft… gây thiệt hại hàng triệu USD Tuy nhiên, việc phòng ngừa, ngăn chặn tiến hành điều tra, xử lý đối tượng lại chưa thực quan tâm mức Do vậy, nhiều trường hợp, bị đặt vào trạng thái bị động, khơng phản ứng kịp trước cơng Vì em chọn đề tài “ Tìm hiểu giải pháp phát công từ chối dịch vụ sử dụng phương pháp phân tích thống kê” Nội dung đồ án tổ chức sau: Chương 1: Tổng quan công từ chối dịch vụ DoS/DDoS Nêu khái niệm, mục đích, mục tiêu cơng từ chối dịch vụ Các cách thức kẻ công phải thực nhằm tạo công từ chối dịch vụ Chương 2: Tìm hiểu giải pháp phát cơng dịch vụ phương pháp phân tích thơng kê Chương 3: Thực nghiệm kết 1 TỔNG QUAN VỀ TẤN CÔNG TỪ CHỐI DỊCH VỤ DOS/DDOS Khái niệm Tấn công từ chối dịch vụ DoS (Denial of Service) mơ tả hành động ngăn cản người dùng hợp pháp khả truy cập sử dụng vào dịch vụ DoS đánh vào chất tự nhiên trình truyền thơng client server, có q nhiều clicent truy cập server bị tải, buộc lòng phải từ chối yêu cầu truy cập khác Tấn công từ chối dịch vụ thủ đoạn nhằm ngăn cản người dùng hợp pháp khả truy cập sử dụng vào dịch vụ DoS làm ngưng hoạt động máy tính, mạng nội chí hệ thống mạng lớn Về chất thực DoS, kẻ công chiếm dụng lượng lớn tài nguyên mạng băng thông, nhớ làm khả xử lý yêu cầu dịch vụ từ khách hàng khác Tấn cơng DoS nói chung khơng nguy hiểm kiểu cơng khác, kẻ cơng có khả thâm nhập hay chiếm thông tin liệu hệ thống Tuy nhiên, máy chủ tồn mà cung cấp thông tin, dịch vụ cho người sử dụng tồn khơng có ý nghĩa, đặc biệt hệ thống phục vụ giao dịch điện tử thiệt hại vô lớn Đối với hệ thống máy chủ bảo mật tốt, khó thâm nhập, việc cơng từ chối dịch vụ DoS hacker sử dụng “cú chót” để triệt hạ hệ thống Nó bao gồm: làm tràn ngập mạng, kết nối với dịch vụ… mà mục đích cuối máy chủ (Server) đáp ứng yêu cầu sử dụng dịch vụ từ máy trạm (Client) Tấn công từ chối dịch vụ phân tán (DDoS - Distributed Denial Of Service) kiểu công làm cho hệ thống máy tính hay hệ thống mạng q tải, khơng thể cung cấp dịch vụ phải dừng hoạt động, song từ nhiều nguồn công khác nhau, phân tán mạng Sự khác biệt công DoS DDoS DDoS sử dụng mạng lưới công rộng khắp, gồm nhiều máy công nằm rải rác mạng (còn gọi máy tính ma - Zoombi, hay mạng Botnet) Có nhiều loại cơng cụ công DoS khác loại sử dụng chế riêng để làm tràn ngập hệ thống kết cuối – làm cho hệ thống mục tiêu trở nên bận rộn hay bị tải mà đáp ứng yêu cầu người dùng, đáp ứng yêu cầu làm thiệt hại mặt kinh tế, uy tín cho đơn vị chủ quản trang web bị công (thường DoS hay nhắm vào trang web có chức kinh doanh trực tuyến, ứng dụng thương mại điện tử) Ví dụ vào kì đại hội thể thao diễn Euro, WorldCup nhà Bet365.Com, SportingBet … có nhiều khách hàng đăng kí tham gia dự đốn kết trận cầu nóng bỏng đen đến nguồn lợi khổng lồ Và hacker biết rõ điều này, họ thường hăm dọa nhà công DoS / DDoS làm tê liệt trang web ngăn khơng cho khách hàng truy cập, khơng muốn bị cơng phải đồng ý trả cho hacker khoản tiền lớn Hình thức tống tiền băng nhóm tội phạm mạng ưa chuộng đem đến hiệu cao - Dấu hiệu bị cơng DoS Thơng thường hiệu suất mạng chậm Không thể sử dụng website Không truy cập website Tăng lượng thư rác nhanh chóng Tấn cơng từ chối dịch dẫn tới vấn đề nhánh mạng máy bị công Ví dụ băng thơng router Internet Lan bị tiêu thụ cơng, làm tổn hại khơng máy tính ý định cơng mà tồn thể mạng Lịch sử công phát triển DoS - Các công DoS bắt đầu vào khoảng đầu năm 90 Đầu tiên, chúng hoàn toàn “nguyên thủy”, bao gồm kẻ công khai thác băng thông tối đa từ nạn nhân, ngăn người khác phục vụ Điều thực chủ yếu cách dùng phương pháp đơn giản ping floods, SYN floods UDP floods Sau đó, cơng trở nên phức tạp hơn, cách giả làm nạn nhân, gửi vài thông điệp để máy khác làm ngập máy nạn nhân với thông điệp trả lời (Smurf attack, IP spoofing…) - Các công phải đồng hố cách thủ cơng nhiều kẻ công để tạo phá huỷ có hiệu Sự dịch chuyển đến việc tự động hoá đồng bộ, kết hợp tạo công song song lớn trở nên phổ biến từ 1997, với đời công cụ công Dos công bố rộng rãi, Trinoo Nó dựa cơng UDP flood giao tiếp master-slave (khiến máy trung gian tham gia vào công cách đặt lên chúng chương trình điều khiển từ xa) Trong năm tiếp theo, vài công cụ phổ biến – TFN (tribe flood network), TFN2K, vaf Stacheldraht - Tuy nhiên, từ cuối năm 1999 có báo cáo công vậy, đề tài công chúng biết đến sau công lớn vào site công cộng tháng 2/2000 Trong thời gian ngày, site Yahoo.com, amazon.com, buy.com, cnn.com eBay.com đặt cơng (ví dụ Yahoo bị ping với tốc độ GB/s) Từ cơng Dos thường xun xảy ví dụ : Vào ngày 15 tháng năm 2003, Microsoft chịu đợt công DoS cực mạnh làm gián đoạn websites vòng giờ; Vào lúc 15:09 GMT ngày 27 tháng năm 2003: toàn phiên tiếng anh website Al-Jazeera bị công làm gián đoạn nhiều - Tháng 2/2007, 10.000 máy chủ game trực tuyến Return to Castle Wolfenstein, Halo, Counter-Strike …bị nhóm RUS công với hệ thống điều khiển chủ yếu đặt Nga, Uzbekistan Belarus - Trong suốt tuần đầu chiến Nam Ossetia 2008, trang web phủ Georgia ln tình trạng q tải, gồm trang web ngân hàng quốc gia tổng thống Georgia Mikhail Saakashvili Chính phủ Nga phủ nhận cáo buộc cho họ đứng đằng sau vụ công - Tháng 8/2009, vụ DDoS nhắm tới loạt trang mạng xã hội đình đám Facebook, Twitter, LiveJournal số website Google thực để - "khóa miệng" blogger có tên Cyxymu Georgia Ngày 28/11/2010, WikiLeaks bị tê liệt DDoS họ chuẩn bị tung tài liệu mật phủ Mỹ - Ngày 7/12/2010, nhóm hacker có tên Anonymous đánh sập website Visa.com sau tổ chức công tương tự vào Mastercard PayPal để trả đũa cho việc chủ WikiLeaks bị tạm giam Anh - Ngày 3/3/2011, dịch vụ blog tiếng giới WordPress bị công - Ngày 4/3/2011, 40 trang web quan phủ Hàn Quốc bị tê liệt DDoS Mục đích, mục tiêu cơng DoS Mục đích - Cố gắng chiếm băng thông mạng làm hệ thống mạng bị ngập(flood), hệ thống khơng có khả đáp ứng dịch vụ khác cho người dùng bình thường - Cố gắng làm ngắt kết nối máy, ngăn chặn trình truy nhập vào dịch vụ - Cố gắng ngăn chặn người dùng cụ thể vào dịch vụ -Cố gắng ngăn chặn dịch vụ không cho người khác có khả truy cập vào dịch vụ bị: + Tắt mạng + Tổ chức không hoạt động + Tài bị Mục tiêu Như biết công DoS xảy kẻ công sử dụng hết tài nguyên hệ thống khơng thể đáp ứng cho người dùng bình thường tài nguyên chúng thường sử dụng để công : - Tạo khan hiếm, giới hạn không đổi tài nguyên - Băng thông hệ thống mạng (Network Bandwidth), nhớ, ổ đĩa, CPU Time hay cấu trúc liệu mục tiêu công DoS - Tấn công vào hệ thống khác phục vụ cho mạng máy tính như: hệ thống điều hòa, hệ thống điện, hệ thống làm mát nhiều tài nguyên khác doanh nghiệp - Phá hoại thay đổi thông tin cấu hình - Phá hoại tầng vật lý thiết bị mạng nguồn điện, điều hòa… Phân loại Có nhiều loại cơng cụ cơng DoS khác loại sử dụng chế riêng để làm tràn ngập hệ thống kết cuối – làm cho hệ thống mục tiêu trở nên bận rộn hay bị tải mà đáp ứng yêu cầu người dùng, đáp ứng yêu cầu làm thiệt hại mặt kinh tế, uy tín cho đơn vị chủ quản trang web bị cơng (thường DoS hay nhắm vào trang web có chức kinh doanh trực tuyến, ứng dụng thương mại điện tử) Ví dụ vào kì đại hội thể thao diễn Euro, WorldCup nhà Bet365.Com, SportingBet … có nhiều khách hàng đăng kí tham gia dự đốn kết trận cầu nóng bỏng đen đến nguồn lợi khổng lồ Và hacker biết rõ điều này, họ thường hăm dọa nhà công DoS / DDoS làm tê liệt trang web ngăn không cho khách hàng truy cập, khơng muốn bị cơng phải đồng ý trả cho hacker khoản tiền lớn Hình thức tống tiền băng nhóm tội phạm mạng ưa chuộng đem đến hiệu cao Có loại: Loại 1: Dựa theo đặc điểm hệ thống bị công: gây tải khiến hệ thống khả phục vụ • Tin tặc gửi nhiều yêu cầu dịch vụ, bắt chước người dùng thực yêu cầu hệ thống • Để giải yêu cầu, hệ thống phải tốn tài nguyên (CPU, nhớ, đường truyền, …) Mà tài nguyên hữu hạn Do hệ thống khơng tài ngun để phục vụ u cầu sau • Hình thức chủ yếu kiểu công từ chối dịch vụ phân tán Loại : Làm cho hệ thống bị treo, tê liệt công vào đặc điểm hệ thống lỗi an tồn thơng tin • Tin tặc lợi dụng kẽ hở an tồn thơng tin hệ thống để gửi yêu cầu gói tin khơng hợp lệ (khơng theo tiêu chuẩn) cách cố ý, khiến cho hệ thống bị cơng nhận u cầu hay gói tin này, xử lý khơng khơng theo trình tự thiết kế, dẫn đến sụp đổ hệ thống • Điển hình kiểu cơng Ping of Death SYN Flood Các cách thức cơng Có số phương pháp gây từ chối dịch vụ Tất cách công nhằm mục đích làm giảm chức hệ thống mạng dẫn đến đánh sập hệ thống, làm hệ thống khơng có khả hoạt động Tạo hiệu ứng DoS tất cách để phá hỏng làm cho hệ thống ngừng hoạt động Có nhiều cách để làm hệ thống ngừng hoạt động, thường tồn nhiều lỗ hổng hệ thống để kẻ công cố gắng khai thác định vị để công vào chúng nhận kết mong muốn: mục tiêu bị phải chuyển sang trạng thái offline Tấn công thông qua kết nối (SYN Flood Attack) Được xem kiểu công DoS kinh điển Lợi dụng sơ hở thủ tục TCP “bắt tay ba chiều”, client (máy khách) muốn thực kết nối (connection) với server (máy chủ) thực việc bắt tay ba lần (three – ways handshake) thông qua gói tin (packet) • Bước 1: Client (máy khách) gửi gói tin (packet chứa SYN=1) đến máy chủ để yêu cầu kết nối • Bước 2: Khi nhận gói tin này, server gửi lại gói tin SYN/ACK để thơng báo cho client biết nhận yêu cầu kết nối chuẩn bị tài nguyên cho việc yêu cầu Server giành phần tài nguyên hệ thống nhớ đệm (cache) để nhận truyền liệu Ngoài ra, thông tin khác client địa IP cổng (port) ghi nhận • Bước 3: Cuối cùng, client hoàn tất việc bắt tay ba lần cách hồi âm lại gói tin chứa ACK cho server tiến hành kết nối rDoS Giao diện tool rDoS Phần mềm chạy TCP phương pháp công làm ngập lụt SYN Chỉ cần nhập IP Vitim Port muốn công chương trình tự động chạy Xu hướng DoS Có chạy đua liên tục kẻ cơng người phòng thủ Ngay sau có phương thức hiệu bảo vệ chống lại loại công, kẻ công thay đổi chiến thuật, tìm kiếm cách để vượt qua biện pháp bảo vệ An ninh mạng nâng cao, kẻ công cải thiện công cụ họ, thêm tùy chọn định cấp giả mạo mặt nạ mạng giả mạo Một số lượng lớn công giả mạo ngày sử dụng subnet, vượt qua hầu hết lọc giả mạo ip Các kỹ thuật chống phân tích khiến việc phát nhiệm vụ cơng cụ cơng khó khăn Việc che giấu mã thực thi mã hóa thực hệ điều hành Windows Unix Các mã che giấu burneye, Shiva, burneye2 giám sát nhà phân tích an ninh để giải mã chúng Xu hướng phát triển công cụ công DDoS theo chiến lược nâng cao phản ứng phòng thủ tiếp tục Điều dự báo phân tích trinoo gốc, xu hướng tiếp tục khơng suy giảm Có nhiều kịch tiềm DDoS khó khăn cho chế bảo vệ để xử lý Kết luận chương Tấn công từ chối dịch vụ DoS (Denial of Service) mơ tả hành động ngăn cản người dùng hợp pháp khả truy cập sử dụng vào dịch vụ Có nhiều loại công cụ công DoS khác loại sử dụng chế riêng để làm tràn ngập hệ thống kết cuối – làm cho hệ thống mục tiêu trở nên bận rộn hay bị tải mà đáp ứng yêu cầu người dùng Để có giải pháp tồn diện phòng chống cơng DoS hiệu quả, việc nghiên cứu cách phát dạng công DoS khâu cần thực đầu tiên.Vấn đề nghiên cứu chương TÌM HIỂU GIẢI PHÁP PHÁT HIỆN TẤN CƠNG DỊCH VỤ BẰNG PHƯƠNG PHÁP PHÂN TÍCH THỐNG KÊ Tấn công từ chối dịch vụ (DoS) phát triển đáng lo ngại năm gần mối đe dọa thường trực với hệ thống mạng quan phủ doanh nghiệp Tấn cơng DoS khó phòng chống hiệu quy mơ lớn chất phân tán Để có giải pháp tồn diện phòng chống cơng DoS hiệu quả, việc nghiên cứu cách phát dạng công DoS khâu cần thực Hiện hệ thống phát phát triển công phu Hầu hết phát loại công Dos DDos khó đạt độ xác cao Những hệ thống phát Dos thường sử dụng nhiều phương thức để dò tìm phát Thơng thường công cụ so sánh lưu lượng với lưu lượng chấp nhận Cơng nghệ có vài thiếu sót Trước tiên, ngưỡng thường đặt tĩnh yêu cầu người sử dụng phải cấu hình để phù hợp với mơi trường, nhiên khó thay đổi thích ứng với mơi trường Thứ hai, có số ngưỡng thiết lập thống kê chi tiết giao thức khơng có giá trị cho người sử dụng Thứ 3, ngưỡng áp dụng mức độ tổng hợp cao Sự thiếu sót dẫn tới đánh giá sai tính rõ ràng tính phủ định hệ thống phát Thậm chí phát xâm hại chặn nhầm địa hợp lệ Do vậy, để hiệu hệ thống phát xâm nhập phải thêm nhiều tính để phát phân biệt công với hoạt động bình thường Yêu cầu hệ thống phát DoS Hiện hình thức cơng Dos đa dạng phát triển không ngừng Càng ngày có nhiều kiểu cơng Do vậy, hệ thống phát Dos thật hiệu phát hầu hết kiểu cơng Ln đánh giá hệ thống mạng có dấu hiệu bất thường, phải cập nhật thường xuyên kiểu cơng để có biện pháp phát nhanh Khi công Dos xảy Bước quan trọng phát xác gói tin cơng Hệ thống phòng thủ phải đáp ứng thời gian thực, đặc biệt tốc độ phản ứng phải cao Tránh trường hợp chặn nhầm gói tin hợp lệ Thực tế chứng minh, công DoS/DDos xảy Lập tức phân tích thấy lưu lượng mạng khác thường Do hầu hết thuật tốn phân tích phát cơng DoS/DDos dựa tính khác thường lưu lượng mạng Một số công nghệ thống kê áp dụng để tiến hành phân tích, thống kê lưu lượng tải làm việc để phát Từ kỹ thuật phân tích này, có thuật tốn phát để đưa tham số công nghệ thống kê, mức độ nguy hiểm công Kỹ thuật phát dựa nhận biết, phân biệt nhờ tăng lên dòng liệu khơng hợp lệ trường hợp flask từ lưu lượng gói tin hợp lệ Tất kỹ thuật phát định nghĩa cơng khơng bình thường đáng ý độ lệch từ khoảng thời gian lưu lượng mạng trạng thái thống kê bình thường Tổng quan phát công DDos Phát nguồn công Giả sử tổng số lưu lượng để tắt mạng V, lưu lượng công DDos U.Chúng ta dễ dàng phát công nạn nhân V lớn đáng kể lưu lượng bình thường Tuy nhiên, số lượng công gần nguồn không phân biệt từ lưu lượng bình thường, tỷ số V/U nhỏ U đủ lớn Thông thường phương án đặt đánh dấu gói tin truy tìm ngược lại Các phương án thường khơng có hiệu cao mà cơng diễn với quy mô lớn Do việc phát công gần nguồn tránh tắc nghẽn đạt hiệu cao Phát công mạng nạn nhân Việc phát cơng nạn nhân khơng khó lúc lưu lượng mạng nạn nhân trở nên cao tất nhiên dẫn đến tình trạng khơng thể cung cấp dịch vụ Tuy nhiên, thông thường việc phát phản ứng lại nạn nhân thường muộn vào lúc công mức cao Nạn nhân lựa chọn tắt server sau liên hệ với ISP Các ISP sau nhận lời đề nghị nạn nhân tiến hành đẩy ngược lại lưu lượng công router Công việc thường tốn nhiều thời gian Ví dụ nạn nhân phát công, thông điệp gửi đến upstream router nạn nhân Thông điệp bao gồm đích lưu lượng cơng, u cầu để lọc lưu lượng công Tuy nhiên, việc gửi thơng điệp thời gian ngắn vô quan trọng để ngăn chặn cơng DDos Bởi vậy, cần có chế phát thật nhanh để gửi thông điệp giai đoạn công Kỹ thuật phát công DoS/DDoS theo thuật toán Adaptive Threshold (ngưỡng giới hạn khả đáp ứng) Thuật tốn nói chung đơn giản dễ hiểu Thuật tốn phát khơng bình thường dựa vị phạm ngưỡng khả đáp ứng lưu lượng mạng thời gian gần Thuật tốn đặc biệt có khả phát cao kẻ công tiến hành cuôc cơng TCP SYN Thuật tốn tin tưởng vào việc kiểm tra phép đo lưu lượng có vượt qua ngưỡng giới hạn cụ thể hay không Nếu vượt qua, chứng tỏ có cơng xảy Kỹ thuật phát công DoS/DDoS theo thuật toán Source IP Address Monitoring (SIM) Thuật toán Source IP Address Monitoring (SIM) dựa việc theo dõi đánh giá địa IP Thuật toán chia làm phần Đó off-line training detection and learning Trong phần off-line training, thuật toán tiến hành theo dõi, đánh giá phân tích địa IP khoảng thời gian đưa địa IP vào IP address database (IAD) Những địa IAD gọi địa thường xuyên truy cập IAD xóa IP hết hạn để giảm thiểu nhớ cho hệ thống cập nhật đia IP IAD xây dựng cập nhật off-line để chắn IAD không bao gồm địa cơng Còn phần detection and learning, SIM tiến hành thống kê lưu lượng đến khoảng thời gian So khớp địa IP đến IAD để tìm IP Phân tích IP này, có hàm để đánh giá IP (sử dụng thuật toán CUSUM) Khi thay đổi vượt qua ngưỡng giới hạn chứng tỏ có cơng xảy Kỹ thuật phát công DoS/DDoS theo Ratio of Input/Output Traffic (tỷ lệ lưu lượng đến đi) Thuật toán dựa giả định trình hoạt động bình thường internet, gói tin theo hướng internet tỷ lệ thuận với gói tin theo hướng ngược lại Nếu tỷ lệ q lớn chứng tỏ có cơng từ bên ngồi Kỹ thuật phát cơng DoS/DDoS theo Agress Filtering Kỹ thuật kiểm tra xem packet có đủ tiêu chuẩn khỏi subnet hay không dựa sở gateway subnet biết địa IP máy thuộc subnet Các packet từ bên subnet gửi với địa nguồn không hợp lệ bị giữ lại để điều tra nguyên nhân Nếu kỹ thuật áp dụng tất subnet internet khái nhiệm giả mạo địa IP khơng tồn Kỹ thuật phát cơng DoS/DDos theo thuật tốn CUSUM Thuật tốn tổng tích lũy dựa giá trị trung bình trình xử lý thống kê Sự phát điểm thay đổi cần phải theo dõi khoảng thời gian Một công thức xây dựng để theo dõi thay đổi này, vượt qua ngưỡng giới hạn chứng tỏ xảy công MIB statistics Trong Management Information Base (SNMP) route ln có thông tin thống kể biến thiên trạng thái mạng Nếu ta giám sát chặt chẽ thống kê protocol mạng Nếu ta giám sát chặt chẽ thống kê Protocol ICMP, UDP TCP ta có khả phát thời điểm bắt đầu công để tạo “quỹ thời gian vàng” cho việc xử lý tình Kỹ thuật phát cơng DoS/DDos theo thuật tốn CUSUM Tổng quan thuật toán CUSUM (Cumulative Sum of Recursive Residuals- tổng tích lũy) CUSUM dựa thực tế thay đổi xảy ra, phân bố xác suất chuỗi ngẫu nhiên thay đổi Khi công DDos xảy ra, phân tích thấy lưu lượng mạng khác thường Thuật tốn phát thay đổi điểm mơ tả lưu lượng thống kê nguyên nhân thay đổi công Họ bắt đầu lọc lưu lượng liệu tới đích địa chỉ, cổng giao thức lưu trữ kết thành chuỗi thời gian Để nhận diện định vị cơng DoS thuật tốn CUSUM xác định độ lệch mức trung bình thực tế cục so với dự kiến chuỗi thời gian giao thơng Bạn dùng nhận biết worm thơng thường hoạt động scanning Thuật tốn tổng tích lũy dựa giá trị trung bình trình xử lý thống kê Sự phát điểm thay đổi cần phải theo dõi khoảng thời gian Một công thức xây dựng để theo dõi thay đổi này, vượt qua ngưỡng giới hạn chứng tỏ xảy công Trong giai đoạn này, tiến hành phân tích thống kê lưu lượng đến hai khoảng thời gian ∆n Với kỹ thuật phát công này, bảng băm sử dụng để ghi lại địa IP xuất hai khoảng thời gian Trong bảng băm gồm trường: IP address timestamp So sánh trường với trường IAD để tính tốn có địa IP xuất khe thời gian Phân tích địa IP cho biết công DDos xảy Trước tiên lựa chọn địa IP khoảng thời gian Sau gán ∆ 1= ∆ 2=….= ∆ n ∆ n (n=1,2,3,4…) Gọi Tn tập địa IP vừa thiết lập D n địa IP IAD thời điểm ∆ ∩ Dn| tập địa IP khoảng thời gian n |Tn-Tn ∆ n ∩ Ta có Xn=|Tn-T Dn|/Tn: tỷ lệ phần trăm địa IP tổng số địa IP khoảng thời gian ∆ n β α Đặt Z={Zn,n=1,2,3…} cho Zn=Xn- Với a= - β a giá trị trung bình {Zn} trình lưu lượng mạng bình thường α giá trị trung bình {Xn} trình lưu lượng bình thường Do đó, lưu lượng mạng bình thường tất giá trị Z n âm Khi có công xảy ra, giá trị Z n tăng có giá trị dương Lúc h+a>0, h giá trị trung bình tăng nhỏ suốt cơng Thuật tốn CUSUM tiến hành tổng hợp Zn thiết lập công thức sau: yn=(yn-1 + Zn)+ y0=0 Với x+ = x x > x+ = x = k Trường hợp không bị công giá trị yn-1+Zn âm Hàm định có cơng hay khơng định nghĩa sau: dN(yn) = yn N Ở N ngưỡng giới hạn cho phát công d N(yn) hàm định phát thời gian ∆ n Ta có cơng thức: ρ N ρ N =( τ -> N γ - m)+/N (1) h− | a | = (2) Ở τ N thời gian phát hiện, ρ N điểm thay đổi Trong m thời điểm bắt đầu cơng Để thuật tốn CUSUM tối ưu nhất, chọn h=2|a| Theo nghiên cứu thuật tốn CUSUM chọn |a|=0.05 Trong cơng thức (1) chọn vị trí nhỏ công bắt đầu Do =m+1 N Vì từ (1) (2) hồn tồn tính giá trị ngưỡng N Dưới lược đồ minh họa thí nghiệm báo “Detecting Distrubuted Denial of Service Attacks Using Source Address Monitoring” Tỷ lệ phần trăm new IP với ∆ n =10s τ Thuật tốn CUSUM khí luu lượng mạng bình thường Tấn cơng với 200 địa IP Sơ đồ xử lý công Dos Sơ đồ xử lý công Dos Sơ đồ hoạt động theo bước sau : - Bước 1: Client gửi yêu cầu đến server Bước 2: Gói tin xử lý lọc gói tin firewall Có trường hợp xảy Trường hợp : phát Ip có dấu hiệu cơng Dos, firewall tiến hành khóa Ip lại khơng cho tiếp tục request tới server Trường hợp : Nếu Ip khơng có dấu hiệu cơng Dos, firewall cho phép gói tin qua +) Chặn IP có dấu hiệu cơng Dos : Với kỹ thuật phát công này, bảng băm sử dụng để ghi lại địa IP xuất hai khoảng thời gian Trong bảng băm gồm trường: IP address timestamp So sánh trường với trường IAD để tính tốn có địa IP xuất khe thời gian Phân tích địa IP cho biết công Dos xảy Sơ đồ xử lý gói tin có dấu hiệu cơng Dos +) Phát công Dos: Dựa vào thuật tốn Cusum tiến hành phân tích thời gian gói tin gửi yêu cầu trả lời lại server Nếu gửi yêu cầu sau vượt ngưỡng thời gian cho phép mà không tiến hành trả lời lại server tiến hành block ip Sau block ip công, ghi nhận vào log hệ thống ngăn chặn ip cơng vào lần Kết luận chương Như thấy, khả phát công ảnh hưởng lớn đến trình ngăn chặn làm giảm đến mức thấp tác hại mà công DoS/DDos gây Chương tìm hiểu, nghiên cứu thuật tốn để phát cơng từ chối dịch vụ phân tán; cụ thể thuật toán CUSUM KẾT LUẬN Bảo mật an ninh mạng đặt lên hàng đầu với công ty có hệ thống mạng dù lớn hay nhỏ Hậu mà DoS gây không tiêu tốn nhiều tiền bạc, cơng sức mà nhiều thời gian để khắc phục DoS DDoS vấn đề nan giải chưa có biện pháp chống hồn tồn cơng Nhiều kỹ thuật công cụ công DoS phức tạp phát triển, hỗ trợ đắc lực cho cơng DoS phát triển nhanh chóng kỹ thuật lây nhiễm phần mềm độc hại, xây dựng hệ thống mạng máy tính ma (zombie, botnets) Tin tặc chiếm quyền điều khiển máy tính có kết nối Internet, điểu khiển mạng botnet với hàng trăm ngàn máy tính để thực cơng DoS Để có giải pháp tồn diện phòng chống cơng DoS hiệu quả, việc nghiên cứu cách phát dạng công DoS khâu cần thực TÀI LIỆU THAM KHẢO [1] T Peng, C Leckie, and K Ramamohanarao, Detecting distributed denial of service attacks using source ip address monitoring, 2003