ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC MỤC LỤC LỜI MỞ ĐẦU i LỜI CẢM N ii MỤC LỤC i DANH MỤC THUẬT NGỮ VIẾT TẮT iii MỤC LỤC H NH ẢNH iv CHƯ NG I: TẤN CÔNG DDOS VÀ THÁCH THỨC BẢO MẬT TRÊN MẠNG LƯỚI 1.1 Giới thiệu chung 1.2 Tổng quan công DDoS 1.3 Kiến trúc, phân loại phư ng pháp chống công DDOS 1.3.1 Kiến trúc công DDoS 1.3.2 Phân loại công DDoS 1.3.4 Các biện pháp phòng chống cơng DDoS 1.3.3 Nguy c cơng cách đối phó với cơng DDoS Việt Nam 1.4 Sự phát triển công DDoS mạng ISP 10 1.5 Những thách thức việc phòng chống DDoS mạng ISP 11 1.5.1 Cấu trúc mạng ISP 12 1.5.2 Chống công DDoS sử dụng kĩ thuật RTBH 13 1.5.3 Nhược điểm giải pháp RTBH 15 1.6 Tổng kết chư ng I 16 CHƯ NG II: T M HIỂU VỀ BGP FLOW-SPEC 17 2.1 Tổng quan BGP Flow-Spec 17 2.1.1 Vận chuyển quảng bá BGP Flow-spec 18 2.1.2 Lưu trữ Flow-spec tin cập nhật BGP 18 2.1.3 Biểu diễn thơng tin BGP Flow-spec gói tin cập nhật BGP20 2.1.4 Các loại thông tin BGP Flow-spec 22 2.1.5 Thứ tự xếp cập nhật BGP Flow-spec 28 2.1.6 Xử lý BGP Flow-Spec 30 2.2 C chế hoạt động BGP Flow-Spec 32 2.3 Mở rộng c chế chuyển mạch định tuyến với BGP Flow-Spec 34 ĐỖ MINH HIỆP – D13VT6 Page i ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC 2.4 Ưu điểm sử dụng BGP Flow-Spec mạng lưới 39 2.4.1 Chống công DDoS sử dụng BGP Flow-Spec 39 2.4.2 Tránh việc cấu h nh nhiều định tuyến ảo phức tạp 40 2.4.2 Tránh lặp định tuyến lọc lưu lượng độc hại 42 2.4.3 Đư ng đầu với công băng thông lớn 44 2.4.4 Định tuyến QoS 44 2.5 Tổng kết chư ng II 46 CHƯ NG 3: GIẢI PHÁP CHỐNG TẤN CÔNG DDOS THẾ HỆ MỚI SỬ DỤNG BGP FLOW-SPEC 47 3.1 Yêu cầu hệ thống chống công DdoS hệ mạng ISP 47 3.2 Triển khai hệ thống chống công DdoS hệ mạng ISP 47 3.2.1Các thành phần hệ thống phòng thủ DDoS sử dụng BGP Flow-Spec 47 3.2.2 Quá tr nh phát ngăn chặn công mạng ISP sử dụng BGP Flow-Spec 52 3.3 Mô ph ng hệ thống chống công DDoS hệ sử dụng BGP Flow-Spec 53 3.3.1Công cụ thực 54 3.3.2 Mô h nh triển khai 54 3.3.3 Các bước thực 54 3.3.4 Kịch công kết 57 3.4 Tổng kết chư ng III 62 KẾT LUẬN ĐỒ ÁN VÀ HƯỚNG NGHIÊN CỨU TIẾP THEO 63 TÀI LIỆU THAM KHẢO 64 ĐỖ MINH HIỆP – D13VT6 Page ii ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC DANH MỤC THUẬT NGỮ VIẾT TẮT Thuật Ngữ Tiếng Anh Tiếng Việt ACK Acknowledge Xác nhận ISP Internet Service Provider Nhà cung cấp dịch vụ internet BGP Border Gateway Protocol Giao thức định tuyến liên miền DoS Denial of Server Tấn công từ chối dịch vụ DDoS Distributed Denial of Service Tấn công từ chối dịch vụ phân tán NLRI Network Layer Reachability Information Thông tin truy cập lớp mạng FS Flow Specification Lưu lượng đặc tả HTTP HyperText Transfer Protocol Giao thức truyền tải siêu văn ICMP Internet Control Message Protocol Giao thức điều khiển truyền tin IP Internet Protocol Giao thức Internet RTBH Remote Triger Black Hole Lỗ đen kích hoạt từ xa LAN Local Area Network Mạng khu vực nội NIC Network Interface Card Cổng giao diện mạng PBR Policy Base Routing Định tuyến dựa sách SAFI Subsequent Address Family Identifier Định danh họ địa SYN Synchronize Đồng TCP Transmission Control Protocol Giao thức điều khiển truyền vận VLAN Virtual Local Area Network Mạng LAN ảo ĐỖ MINH HIỆP – D13VT6 Page iii ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC MỤC LỤC HÌNH ẢNH H nh 1.1.Kiến trúc công DDoS trực tiếp H nh 1.2.Kiến trúc công DDoS phản chiếu H nh 2.3.Tấn công ngập lụt băng thông qua môi trường mạng ISP 10 H nh 2.4.Tiêu đề gói tin IP 11 H nh 2.5.Khuôn dạng tin cập nhật BGP 20 H nh 2.6.Các thành phần NLRI thông thường 20 H nh 2.7.Một gói tin cập nhật BGP chứa Flow-spec NLRI 21 H nh 2.8.Ví dụ mơ tả tiền tố địa IP đích Flow-spec NRLI 22 H nh 2.9.Ví dụ mơ tả tiền tố địa IP nguồn Flow-spec NRLI 23 H nh 2.10.Ví dụ mơ tả tiền tố địa cổng đích Flow-spec NRLI 24 H nh 2.11.Ví dụ mơ tả tiền tố mã tin ICMP Flow-spec NRLI 25 H nh 2.12.Ví dụ mơ tả tiền tố cờ TCP Flow-spec NRLI 26 H nh 2.13 Ví dụ mơ tả tiền tố độ dài tin Flow-spec NRLI 27 H nh 2.14.Ví dụ mô tả tiền tố DSCP Flow-spec NRLI 27 H nh 2.15.Ví dụ mô tả tiền tố phân mảnh Flow-spec NRLI 28 H nh 2.16 Thứ tự áp dụng hành động cho BGP Flow-spec 33 H nh 2.17 Chuyển mạch sử dụng mặt phẳng điều khiển mặt phẳng liệu 35 H nh 2.18 Mô h nh hoạt động chủ-tớ BGP Flow-spec 36 H nh 2.19 Mô h nh hoạt động thiết bị đính tuyến hỗ trợ BGP Flow-spec 38 H nh 2.20 S đồ cấu h nh BGP Flow-spec 39 H nh 2.21 Mô h nh mạng sử dụng BGP Flow-spec để chuyển hướng chấm dứt lưu lượng độc hại 40 H nh 2.22 S đồ công DDoS c mạng 41 H nh 2.23 Điều hướng công DDoS nhờ sử dụng định tuyến ảo 41 H nh 2.24 Ưu sử dụng Flow-spec so với sử dụng định tuyến ảo 42 H nh 2.25 Lặp định tuyến trao đổi lưu lượng với lọc 43 H nh 2.26 BGP Flow-Spec giải lặp định tuyến 43 H nh 2.27 Tấn công DDoS lưu lượng lớn 44 H nh 2.28 Sử dung BGP Flow-spec hỗ trợ định tuyến QoS 45 H nh 3.1 Các thành phần hệ thống phòng thủ DDoS sử dụng BGP Flow-spec 48 H nh 3.2 S đồ định tuyến biên mạng metro 49 H nh 3.3 Đặc điểm định tuyến phản chiếu 50 H nh 3.4 Sử dụng RR phân cụm quản lý 51 H nh 3.5 Mô h nh mô ph ng 55 H nh 3.6 Cấu h nh định tuyến BGP Client Server 55 ĐỖ MINH HIỆP – D13VT6 Page iv ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC H nh 3.7 Giao diện phần mềm Moba Exterm 56 H nh 3.8 Mô ph ng máy chủ web sử dụng Moba Exterm 56 H nh 3.9 Giao diện máy chủ web truy cập 57 H nh 3.10 Sử dụng Ostinato giả lập lưu lượng công 57 H nh 3.11.Thiết lập thông số đặc điểm lưu lư ng công 58 H nh 3.12 Sử dụng Wireshark bắt lưu lư ng công 59 H nh 3.13 Hướng lưu lượng công lưu lượng người dùng tới máy chủ 60 H nh 3.14 Cấu h nh kích hoạt Flow-spec để ngăn chặn công 60 H nh 3.15 Các định tuyến khách học thiết lập Flow-Spec thành công 61 H nh 3.16 Hướng lưu lượng công bị chặn định tuyến Flow-Spec khách 62 ĐỖ MINH HIỆP – D13VT6 Page v ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC DANH MỤC ẢNG IỂU Bảng 2.1 Các hành động hỗ trợ 32 Bảng 2.2 Thứ tự ưu tiên xử lý FBR theo tiền tố Flow-spec 34 ĐỖ MINH HIỆP – D13VT6 Page vi ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC CHƢƠNG I: TẤN CÔNG DDOS VÀ THÁCH THỨC BẢO MẬT TRÊN MẠNG LƢỚI 1.1 Giới thiệu chung Ngày nay, nhà cung cấp dịch vụ mạng th việc quản lý bảo vệ tốt hệ thống mạng lưới m nh liệu khách hàng, đối tác trước cơng mạng tốn ưu tiên hàng đầu không ngừng gây khó khăn cho họ Để ngăn chặn đó, ban đầu nhà cung cấp phải đầu tư, tính tốn nhiều loại chi phí chi phí cho phần cứng, phần mềm, mạng, chi phí cho quản trị viên, chi phí bảo tr , sửa chữa, … Ngồi họ phải tính tốn khả mở rộng, nâng cấp thiết bị, phải kiểm soát việc điều hướng lưu lượng chống lặp định tuyến mạng Từ toán điển h nh vậy, thấy có biện pháp tin cậy giúp nhà cung cấp dịch vụ quản lý tập chung hệ thống định tuyến ngăn chặn cơng DdoS doanh nghiệp khơng quan tâm đến cấu h nh phức tạp mà cần tập chung theo dõi, xử lý điều khiển lưu lượng mạng thơng qua tính th mang lại cho họ hiệu lợi nhuận ngày cao h n Thuật ngữ “BGP Flow-specification bắt nguồn từ ý tưởng mở rộng c chế định tuyến điều khiển định tuyến giao thức BGP thông qua quản lý tập chung Chúng ta thấy định tuyến không lại việc điều hướng lưu lượng dựa địa IP mà dựa nhiều tiêu chí khác: địa nguồn, số hiệu cổng lớp truyền tải, QoS hay chí độ dài gói tin IP C chế cho phép thiết bị định tuyến can thiệp sâu vào tr nh xử lý lưu lượng đồng thời cho phép quản lý việc phân phối, sửa đổi thu hồi thông tin lưu lượng mạng cách tập chung hoàn toàn Xu hướng giúp nhiều nhà cung cấp dịch vụ điều khiển tối ưu lưu lượng mạng ngăn chặn lưu lư ng công DDoS trước xâm nhập mạng Vậy “BGP Flow-spec g ? Có nhiều định nghĩa từ qui ước khác đó, theo RFC 5575 th định nghĩa lưu lượng đặc tả ( Flow specification - FS) luồng lưu lượng mô tả tập tiêu chí áp dụng cho lưu lượng IP Flow-spec truyển tải trao đổi dựa giao thức định tuyến liên miền BGP, vốn giao thức sử dụng sẵn mạng Các thơng tin FS mã hóa đặt gói tin cập nhật giao thức này, từ cho phép kích hoạt tức th có kiện tạo mới, thay đổi thu hồi FS Điều khiến Flow-spec tận dụng hàng loạt ưu điểm giao thức định tuyến BGP Bên cạnh đó, nhờ vào c chế thiết lập láng giềng trao đổi tuyến đặc biệt BGP mà khiến việc quản lý FS trở nên tập chung linh hoạt thông qua việc sử dụng định tuyến phản chiếu Việc cho phép người quản trị mạng quản lý điều hiếu toàn lưu lượng mạng qua việc cấu h nh định tuyến nhất, việc ngăn Đỗ Minh Hiệp – D13VT6 Page ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC chặn công DDoS trở nên dễ dàng linh hoạt h n 1.2 Tổng quan công DDoS Tấn công từ chối dịch vụ (Denial of Service - DoS) dạng công nhằm ngăn chặn người dùng hợp pháp truy nhập tài nguyên mạng Tấn công từ chối dịch vụ phân tán (Distributed Denial of Service - DDoS) dạng phát triển mức độ cao công DoS Khác biệt c công DoS DDoS phạm vi công Trong lưu lượng công DoS thường phát sinh từ trạm nguồn, lưu lượng cơng DDoS thường phát sinh từ nhiều máy trạm nằm rải rác mạng Internet Hiện nay, có hai phư ng pháp công DDoS chủ yếu Trong phư ng pháp thứ nhất, kẻ cơng gửi gói tin tạo theo dạng đặc biệt gây lỗi giao thức truyền lỗi ứng dụng chạy máy nạn nhân Một dạng công DDoS điển h nh theo phư ng pháp công khai thác lỗ hổng an ninh giao thức dịch vụ máy nạn nhân Phư ng pháp công DDoS thứ hai phổ biến h n phư ng pháp thứ nhất, gồm hai dạng : dạng công DDoS gây ngắt quãng kết nối người dùng đến máy chủ dịch vụ cách làm ngập lụt đường truyền mạng, cạn kiệt băng thông tài nguyên mạng, dạng công DDoS gây ngắt quãng dịch vụ cung cấp cho người dùng cách làm cạn kiệt tài nguyên máy chủ dịch vụ, thời gian xử lý CPU, nhớ, băng thông đĩa, c sở liệu Dạng công bao gồm loại cơng gây ngập lụt mức ứng dụng Để phòng chống công DDoS cách hiệu nhằm hạn chế giảm thiểu thiệt hại công DDoS gây ra, việc nghiên cứu dạng công biện pháp phòng chống cần thiết Nhiều công tr nh nghiên cứu phân loại dạng cơng DDoS biện pháp phòng chống công bố Một cách tổng quát, công DDoS phân loại thành dạng: dạng công gây cạn kiệt băng thông đường truyền mạng dạng công gây cạn kiệt tài nguyên máy chủ dịch vụ Dạng công cạn kiệt băng thông lại chia thành công gây ngập lụt công khuếch đại, dạng cơng gây cạn kiệt tài nguyên máy chủ chia tiếp thành công khai thác lỗi giao thức công sử dụng gói tin đặc biệt Phân loại cơng DDoS thành dạng dựa lớp mạng, gồm công gây ngập lụt lớp mạng/giao vận công gây ngập lụt lớp ứng dụng Theo hướng khác, công từ chối dịch vụ phân loại dựa tiêu chí: mức độ tự động, khai thác lỗ hổng an ninh, cường độ công mức độ ảnh hưởng Tuy có khác biệt phư ng pháp tiêu chí phân loại, cơng tr nh nghiên cứu có chung đánh giá mức độ nguy hiểm tăng trưởng đáng lo ngại công DDoS phạm vi, mức độ tinh vi khả phá hoại 1.3 Kiến trúc, phân loại phƣơng pháp chống công DDOS 1.3.1 Kiến trúc công DDoS Mặc dù có nhiều dạng cơng DDoS ghi nhận, chia kiến trúc cơng DDoS thành loại chính: kiến trúc cơng DDoS trực tiếp Đỗ Minh Hiệp – D13VT6 Page ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC kiến trúc công DDoS gián tiếp hay phản chiếu H nh 1.1 minh họa kiến trúc cơng DDoS trực tiếp, theo tin tặc (Attacker) trước hết thực chiếm quyền điều khiển hàng ngàn máy tính có kết nối Internet, biến máy tính thành Zombie – máy tính bị kiểm soát điều khiển từ xa tin tặc Tin tặc thường điều khiển Zombie thông qua máy trung gian (Handler) Hệ thống Zombie chịu điều khiển tin tặc gọi mạng máy tính ma hay botnet Theo lệnh gửi từ tin tặc, Zombie đồng loạt tạo gửi yêu cầu truy nhập giả mạo đến hệ thống nạn nhân (Victim), gây ngập lụt đường truyền mạng làm cạn kiệt tài nguyên máy chủ, dẫn đến ngắt quãng ngừng dịch vụ cung cấp cho người dùng H n 1.1.K ến trúc công DDoS trực t ếp Tư ng tự kiến trúc công DDoS trực tiếp, tin tặc (Attacker) trước hết thực chiếm quyền điều khiển lượng lớn máy tính có kết nối Internet, biến máy tính thành Zombie, hay gọi Slave Hình 1.2 minh họa kiến trúc cơng DDoS gián tiếp hay gọi kiến trúc công DDoS phản chiếu Hn Đỗ Minh Hiệp – D13VT6 1.2.K ến trúc công DDoS p n c ếu Page ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Tin tặc điều khiển Slave thông qua máy trung gian (Master) Theo lệnh gửi từ tin tặc, Slave đồng loạt tạo gửi yêu cầu truy nhập giả mạo với địa nguồn gói tin địa máy nạn nhân (Victim) đến đến số lớn máy khác (Reflectors) mạng Internet Các Reflectors gửi phản hồi (Reply) đến máy nạn nhân địa máy nạn nhân đặt vào yêu cầu giả mạo Khi Reflectors có số lượng lớn, số phản hồi lớn gây ngập lụt đường truyền mạng làm cạn kiệt tài nguyên máy nạn nhân, dẫn đến ngắt quãng ngừng dịch vụ cung cấp cho người dùng Các Reflectors bị lợi dụng để tham gia công thường hệ thống máy chủ có cơng suất lớn 1.3.2 Phân loại công DDoS Các công DDoS thường tin tặc thực cách huy động số lượng lớn máy tính có kết nối Internet bị chiếm quyền điều khiển – tập hợp máy gọi mạng máy tính ma hay mạng bot, botnet Các máy botnet có khả gửi hàng ngàn yêu cầu giả mạo giây đến hệ thống nạn nhân, gây ảnh hưởng nghiêm trọng đến chất lượng dịch vụ cung cấp cho người dùng Do yêu cầu công DDoS gửi rải rác từ nhiều máy nhiều vị trí địa lý nên khó phân biệt với yêu cầu người dùng hợp pháp Một khâu cần thiết việc đề biện pháp phòng chống cơng DDoS hiệu phân loại dạng cơng DDoS từ có biện pháp phòng chống thích hợp Nhiều phư ng pháp phân loại công DDoS đề xuất công tr nh Một cách khái quát, cơng DDoS phân loại dựa tiêu chí chính: dựa phư ng pháp công, dựa mức độ tự động, dựa giao thức mạng, dựa phư ng thức giao tiếp, dựa cường độ công dựa việc khai thác lỗ hổng an ninh Phần mục tr nh bày chi tiết loại - Dựa phƣơng pháp công: Phân loại DDoS dựa phư ng pháp công phư ng pháp phân loại c Theo tiêu chí này, DDoS chia thành hai dạng: Tấn công gây ngập lụt (Flooding attacks) công Logic Trong công gây ngập lụt, tin tặc tạo lượng lớn gói tin cơng giống gói tin hợp lệ gửi đến hệ thống nạn nhân làm cho hệ thống phục vụ người dùng hợp pháp Đối tượng công dạng băng thông mạng, không gian đĩa, thời gian CPU,… Trong công logic (Logical attacks): Tấn công logic thường khai thác tính lỗi cài đặt giao thức dịch vụ chạy hệ thống nạn nhân, nhằm làm cạn kiệt tài nguyên hệ thống Ví dụ cơng TCP SYN khai thác tr nh bắt tay ba bước khởi tạo kết nối TCP, yêu cầu kết nối cấp phần không gian bảng lưu yêu cầu kết nối chờ xác nhận kết nối Tin tặc gửi lượng lớn yêu cầu kết nối giả mạo kết Đỗ Minh Hiệp – D13VT6 Page ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC ộ điều khiển BGP Flow-Spec Bộ điều khiển đóng vai trò điều phối NLRI có quyền thay đổi định tuyến hàng loạt định tuyến láng giềng khác Thiết bị mạng thường định tuyến phản chiếu (Route Reflector - RR) Đây định tuyến cấu h nh để chuyển cập nhật định tuyến đến láng giềng đến định tuyến chạy BGP bên AS Các định tuyến chạy BGP nội miền cần phải thiết lập RR-Client cấu h nh Mô tả hoạt động RR thể h nh 3.3 Khi RR-client gửi tin cập nhật đến RR RR chuyển cập nhật đến client khác H n 3.3.Đặc đ ểm địn tuyến p n c ếu Đặc biệt, route-reflector định nghĩa luật split horizon Luật nói iBGP router khơng truyền tuyến học từ láng giềng AS Route Reflector RR client đòi h i quan hệ láng giềng đầy đủ v route reflector gửi cập nhật từ client khác v việc thiết lập láng giềng client không cần thiết Đỗ Minh Hiệp – D13VT6 Page 50 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC H n 3.4.Sử dụng RR p n cụm qu n lý FS Khi kích hoạt cấu h nh điều khiển BGP Flow-spec, đẩy tuyến đường mà học từ iBGP đến các clients tới láng giềng iBGP/eBGP Điều tạo nên thiết kế hub-and-spoke triển khai AS iBGP peers, giảm thiểu số phiên thiết lập định tuyến Cả điều khiển BGP FlowSPec client h nh thành nên đ n vị để chia thông tin, đ n vị gọi cụm Một Autonomous System chia thành cụm, cụm có điều khiển FS với nhóm láng giềng client Nếu đính tuyến nhận lại tin cập nhật có chứa định danh cụm m nh tin th b qua gói tin Việc điều khiển phân cụm mô tả h nh 3.4 Điều nhằm ngăn ngừa khả lặp định tuyến đồng thời dễ dàng điểu chỉnh việc phân phối thông tin định tuyến cụm Chính nhờ c chế phản chiếu phân cụm mà điều khiển FLowSpec có tính phân phối flow-spec số lượng lớn, linh hoạt cụm định tuyến Trung tâm giám sát mạng NetFLow : Trung tâm giám sát mạng cho phép thống kê lưu lượng gói qua định tuyến Netflow thực giám sát, phân tích, tính tốn lưu lượng gói Sử dụng phổ biến yêu cầu sau: - Giám sát mạng: Cho phép giám sát trạng mạng gần thời gian thực Giám sát mạng kỹ thuật dựa vào luồng (tập gói có thơng tin: IP nguồn, IP đích, Port nguồn, Port đích, ToS, loại giao thức lớp 3, cổng vào) nhằm thực Đỗ Minh Hiệp – D13VT6 Page 51 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC thu thập thông tin theo lưu lượng gói, theo luồng liên quan đến thiết bị định tuyến, chuyển mạch kết hợp nhiều lưu lượng từ nhiều thiết bị giúp chủ động nhận diện vấn đề, hiệu tr nh xử lý cố đưa giải pháp giải vấn đề cách nhanh chóng - Giám sát ứng dụng: Cho phép người quản trị nh n thấy cách chi tiết hoạt động ứng dụng mạng theo thời gian Thông tin dùng để hiểu dịch vụ nhằm phân phối tài nguyên mạng (băng thông, chất lượng dịch vụ…) tài nguyên cho ứng dụng kế hoạch mở rộng - Giám sát người dùng: Cho phép người vận hành mạng hiểu rõ tài nguyên mạng tài nguyên ứng dụng mà người dùng sử dụng từ có kế hoạch phân phối tài nguyên cách hợp lý cho người dùng, nhận diện vấn đề liên quan đến an ninh mạng vi phạm sách - Xây dựng kế hoạch phát triển mạng: Do có khả giám sát phân tích lưu lượng liệu khoảng thời gian dài, điều cho phép người quản trị có c hội theo dõi, dự đốn phát triển mạng để có kế hoạch nâng cấp tăng số lượng router, cổng với băng thông lớn… - Phân tích an ninh mạng: Netflow định danh phân loại loại công Dos, DDos, virus, worm theo thời gian thực dựa vào hành vi thay đổi bất thường mạng - Tính tốn lưu lượng: Netfow cho phép người quản trị có thơng tin chi tiết lưu lượng liệu địa IP, ứng dụng, ToS, số lượng gói, số lượng byte, thời gian hoạt động giúp cho việc tính tốn tài nguyên mạng sử dụng theo người dùng, ứng dụng… khoảng thời gian cụ thể Lưu lượng qua router switch thu thập phân tích đặt cache (Netflow cache), truy xuất thơng qua CLI ứng dụng bên ngồi 3.2.2 Q trình phát ngăn chặn công mạng ISP sử dụng GP Flow-Spec Quá tr nh phát ngăn chặn công mạng ISP thường tiến hành theo bước cụ thể sau: theo dõi lưu lượng, phát công đưa cảnh báo, điều hướng lưu lượng, lọc lưu lượng, liên tục cập nhật hành vi công - ƣớc 1: Theo dõi lƣu lƣợng Tất lưu lượng tới địa IP cụm máy chủ cụ thể khách hàng theo dõi nghiêm ngặt phư ng thức lấy mẫu Tức phần toàn lưu lượng tới chép gửi trung tâm giám sát theo dõi tập chung Việc lấy mẫu phân tích lưu lượng sử dụng netflow Đỗ Minh Hiệp – D13VT6 Page 52 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC - ƣớc 2: Phát công đƣa cảnh báo Tại máy chủ theo dõi cài đặt hệ thống phần mềm cảnh báo Chúng sử dụng mẫu lưu lượng để tiến hành so sánh với ngưỡng định người quản trị thiết lập Ví dụ ngưỡng lượng gói tin TCP SYN nh h n 100Mpps, HTTP SYN 10Mpps… Ngay phát luồng lưu lượng đến vượt ngưỡng th cảnh báo kích hoạt cho người quản trị viên - ƣớc 3: Điều hƣớng lƣu lƣợng Việc cơng từ chối dịch vụ phát chuyển tồn luồng lưu lượng độc hại (có thể bao gồm lưu lượng có hại vơ hại) đến lọc lưu lượng Việc điều hướng lưu lượng hồn tồn sử dụng FS làm phư ng thức điều hướng Tuỳ thuộc độ tính tốn xác bước đầu quản trị viên mà lưu lượng cơng đưa tồn tới lọc hủy b bước - ƣớc 4: Lọc lƣu lƣợng Sau điều hướng th tiếp tục theo dõi phân tích để phát hồn tồn luồng cơng Các FS áp dụng nhằm đưa toàn lưu lượng hại đến lọc đồng thợi chặn tồn lưu lượng cơng xác định rõ định tuyến biên Việc nhằm giảm thiểu ảnh hưởng công, bảo vệ lọc đồng thời không làm gián đoạn dịch vụ khách hàng - ƣớc 5: Liên tục cập nhật hành vi công Các thông tin công cập nhật không ngừng trung tâm xử lý Các luồng lưu lượng sau xác định rõ độc hại bị hủy b định tuyến biên gần với n i bắt nguồn chúng Quy tr nh bước 2,3 liên tục cập nhật thay đổi tồn lưu lượng cơng bị chặn hồn tồn định tuyến biên Khi lưu lượng xử lý mạng lưới 3.3 Mô hệ thống chống công DDoS hệ sử dụng GP Flow-Spec Ngày công độc hại ngày tăng tần số độ phức tạp nên mục tiêu bảo mật hệ thống đặt lên hàng đầu Các tin tặc thường t m cách để đột nhập vào hệ thống máy tính, thời gian nguồn lực Một kiểu cơng thường gặp công từ chối dịch vụ DDoS nhằm mục đích làm tr trệ chí tê liệt dịch vụ hệ thống mạng, làm cho máy chủ đáp ứng yêu cầu khác từ khách hàng người dùng hợp pháp Hệ thống nhanh chóng bị ngừng hoạt động, treo khởi động lại Phần thực mô ph ng kịch công từ chối dịch vụ DDoS từ bên ngồi cơng vào môi trường mạng ISP Kịch mô ph ng mô h nh mạng Đỗ Minh Hiệp – D13VT6 Page 53 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC ISP với hệ thống phòng thủ DDoS sử dụng BGP Flow-spec thu gọn Mục đích mơ ph ng đưa mô h nh mạng triển khai giống thực tế nhằm phân tích đánh giá hoạt động mạng điện toán đám mây c chế bảo mật sử dụng BGP Flow-spec 3.3.1 Công cụ thực Công cụ mô ph ng Lab gồm có: - Otinato phần mềm cài đặt tạo tin theo yêu cầu Phần mềm phổ biến miễn phí để tạo luồng lưu lượng mạng - NetFlow Trafic Analysis Center máy chủ thu thập phân tích lưu lượng mạng Máy chủ cung cấp giao diện web để hiển thị thông tin lưu lượng mạng cảnh báo - WireShark phần mềm với chức chính, cung cấp cho người dùng thông tin chi tiết giao thức mạng, thu tập gói tin, khả đọc ghi nhiều dạng liệu khác Phần mềm dùng để xử lý cố mạng, hỗ trợ nhiều hệ điều hành khác Windows, MacOS, Linux, Ubuntu,… Từ ta phân tích gói liệu hệ thống mạng cách dễ dàng - ộ định tuyến Juniper JUNOS 12.5: thiết bị định tuyến hang Juniper hỗ trợ tính BGP Flow-spec - Thiết bị chuyển mạch Cisco 2960: thiết bị chuyển mạch lớp hai phổ biến hang Cisco - Phần mềm Moba Xterm: máy tính windown cài đặt MobaXterm để giả lập máy chủ web 3.3.2 Mơ hình triển khai Mơ ph ng cơng: Giả sử mạng có thành phần c h nh vẽ Một máy chủ web địa IP 192.168.0.1 bị công với công TCP SYN khiến Web-site bị ngưng dịch vụ Yêu cầu mô ph ng: định tuyến trao đổi thông tin định tuyến sử dụng BGP, lưu lượng mạng hợp lệ từ khách hàng dải địa 192.168.1.0/24 truy cập web b nh thường, ngăn chặn công DDoS sử dụng BGP Flow-Spec 3.3.3 Các bƣớc thực Thực đấu nối thiết bị h nh dưới: Đỗ Minh Hiệp – D13VT6 Page 54 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC H n 3.5.Mô n mô p ỏng Thiết lập cấu h nh địa IP định tuyến BGP định tuyến Juniper Sau bước đảm bảo định tuyến thiết lập xong quan hệ láng giềng trao đổi tuyến đường thành công H n 3.6.Cấu n địn tuyến BGP g ữa Cl ent v Server Thiết lập đấu nối máy Attacker, máy chủ Web cấu h nh netflow định tuyến để gửi lưu lượng lấy mẫu cho máy chủ theo dõi lưu lượng cài đặt bật máy chủ web sử phần mềm MobaExterm Đỗ Minh Hiệp – D13VT6 Page 55 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC H n 3.7.G ao d ện p ần mềm Moba Exterm Mở danh mục server để để cài đặt, chọn máy chủ HTTP kích hoạt H n 3.8.Mơ p ỏng máy c ủ web sử dụng Moba Exterm Đảm bảo tính định tuyến máy chủ web cài đặt thành công việc truy cập website địa 192.168.0.1 Trang web mặc định chứa thông tin c định sẵn phần mềm Đỗ Minh Hiệp – D13VT6 Page 56 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC H n 3.9.G ao d ện máy c ủ web k truy cập 3.3.4 Kịch công kết - Cài đặt lưu lượng công phần mềm Ostinatio + Mở phần mềm, tr tới card mạng thật máy Attacker, card số 12 H n 3.10.Sử dụng Ost nato g lập lưu lượng công Tiến hành tạo stream card Click File, chọn new stream sau thiết lập thông số cho stream với thông tin cụ thể sau: sử dụng định dạng truyền ethernet, địa MAC, lớp ba sử đụng địa IP để định tuyến, lớp bốn sử dụng giao thức TCP Lưu ý bước chép stream để tạo nhiều luồng lưu lượng với hàng loạt địa IP khác nhằm mô ph ng t nh giả mạo Đỗ Minh Hiệp – D13VT6 Page 57 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC địa IP nguồn Cài đặt tốc độ tạo lưu lượng tối đa xấp xỉ 1Gbps, mức lưu lượng tối đa phần mềm Các thông số cài đặt ostinatio mô tả h nh 3.11 H n 3.11.T ết lập t ông số v đặc đ ểm lưu lư ng công - Tiến hành bắt đầu tạo gửi lưu lượng giả lập công tới máy chủ web Ngay máy chủ theo dõi lưu lượng phát lưu lượng bất thường FSĐỗ Minh Hiệp – D13VT6 Page 58 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC client1 lượng gói tin TCP-SYN vượt qua ngưỡng Thông báo gửi máy điện thoại cảnh báo giao diện web - Trong trường hợp mạng hoạt động b nh thường khơng có tượng bị cơng tuyến đường 192.168.0.0/24 quảng bá thông qua giao thức BGP, địa bước nhảy định tuyến FS-Client2 192.168.1.33 Khi đó, lưu lượng cơng tới máy chủ web gửi tức th làm tê liệt máy chủ ( gói tin cơng hiển thị hình 3.12) H n 3.12.Sử dụng W res ark bắt lưu lư ng công Với kiểu công liên tục khiến cho máy chủ phải xử lý lúc nhiều gói tin Nếu số lượng gói tin lớn vượt ngưỡng xử lý server gây tràn khiến máy chủ bị q tải khơng thể tiếp nhận gói tin yêu cầu từ dịch vụ hay người dùng khác Khi truy cập website 192.168.0.1 thời gian phản hồi Đỗ Minh Hiệp – D13VT6 Page 59 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC H n 3.13.Hướng đ lưu lượng công v lưu lượng ngườ dùng tớ máy c ủ Giải pháp đưa cấu h nh Flow-spec giới hạn số gói tin cho phép tối đa từ nguồn khác thơng qua để tới Server phòng tránh công từ chối dịch vụ DDoS Khi cống với nhiều địa IP nguồn giả mạo th việc ngăn chặn dựa địa IP hay chí địa cổng TCP gói tin Bởi v thực chặn qua thông số th người dùng hợp lệ từ FSclient1 truy cập máy chủ web Hướng lưu lượng hợp lệ lưu lượng công mạng mô tả h nh 3.13 Hn 14.Cấu n kíc oạt Flow-spec để ngăn c ặn công Tuy nhiên với việc FS-client1 định tuyến biên, giao diện thực tế kết nối trực tiếp xuống mạng truy nhập sử dụng địa IP cơng cộng Chính v lí mà địa IP nguồn gói tin tới giao diện downlink tới Đỗ Minh Hiệp – D13VT6 Page 60 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC FS-client1 khơng thể có địa IP nguồn khác dải 192.168.1.0/24 Do giải pháp tối ưu thiết lập hai FS NRLI với nội dung cụ thể sau: NLRI thứ cho phép truy cập TCP cổng 80 cho máy khách có địa IP nằm dải 192.168.1.0/24 tới địa máy chủ web 192.168.0.1, NLRI thứ hai giới hạn băng thông mức không (loại b lưu lượng) cho gói tin tư ng tự NRLI thứ với IP nguồn lại Cấu hình điều khiển FS dược mơ tả hình 3.14 Theo tính xếp ưu tiên th NRLI thứ hoàn toàn chiếm ưu tiên xử lý so với NRLI thức hai, việc đảm bảo loại b lưu lượng công đảm bảo thông suốt cho lưu lượng hợp lệ Hn 15.Các địn tuyến k ác ọc v t ết lập Flow-Spec thành công Đỗ Minh Hiệp – D13VT6 Page 61 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Kết quả: Sau quảng bá NRLI điều khiển FS, định tuyến FS-Client1 FS-Client2 tiến hành cập nhật luật tiến hành hủy b lưu lượng công từ attacker Tuy nhiên lưu lượng hợp lệ phép thông qua truy cập máy chủ web H n 3.16 Hướng đ lưu lượng công bị c ặn tạ địn tuyến FlowSpec khách 3.4 Tổng kết chƣơng III Bảo mật mạng ISP trước cơng DDoS tốn phức tạp khó có mơ h nh bảo mật chung cho tất t nh Giải pháp chống công DDoS sử dụng BGP Flow-spec giải pháp có khả ngăn chặn lưu lượng độc hại xậm nhập mạng ISP, đồng thời mở rộng khái niệm định tuyến thơng thường BGP FlowSpec hồn toàn phư ng pháp hứa hẹn chấm dứt điểm yếu hạn chế giải pháp cũ khiến mạng lưới trở nên linh hoạt , dễ dàng phòng thủ trước cơng DDoS Chư ng ba tr nh bày thành phần tr nh xử lý công DDoS mô h nh bảo mật mạng sử dụng BGP Flow-spec, đồng thời đưa dẫn chứng bảo vệ mạng trước công DDoS mô h nh công c Đỗ Minh Hiệp – D13VT6 Page 62 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC KẾT LUẬN ĐỒ ÁN VÀ HƢỚNG NGHIÊN CỨU TIẾP THEO Bảo mật mạng, bảo vệ ứng dụng mạng, phòng chống thay đổi, phá hoại, xâm nhập trái phép vào hệ thống mạng liệu khách hàng hay đối tác coi ưu tiên hàng đầu nhà cung cấp dịch vụ, công DDoS ngày trở nên phức tạp, đa dạng khó nhận biết Do đó, tầm quan trọng việc xây dựng hệ thống phòng thủ công DDoS mạng lưới ISP ngày nâng cao Tuy nhiên, mô h nh chống công DDoS truyền thống không đủ khả ứng phó với cơng DDoS nên mạng ISP phải lựa chọn mơ h nh có khả đư ng đầu với công phức tạp ngày trở nên tinh vi mạng Giải pháp chống công DDoS sử dụng BGP Flow-spec giải pháp có chức ngăn chặn lưu lượng độc hại xậm nhập mạng cách linh hoạt triệt để BGP Flow-spec có ưu điểm vượt trội so với kĩ thuật chống công DDoS truyền thống BGP Flow-spec mạng lại cho mạng ISP linh hoạt mềm dẻo việc điều hướng loại b lưu lượng công DDoS Sau trình t m hiểu nghiên cứu, đồ án tr nh bày t m hiểu tổng quan công DDoS, khái niệm chung, phư ng thức hoạt động BGP Flow-spec ưu điểm bật mà BGP FlowSpec mang lại ứng dụng mạng ISP Bên cạnh đó, mơ hình triển khai hệ thống phòng thủ DDoS sử dụng BGP Flow-spec mạng ISP kết thử nghiệm giải pháp mô h nh công c tr nh bày Định hướng nghiên cứu tiếp theo, thực ứng dụng BGP Flow-spec tr nh định tuyến QoS Một lần nữa, cho phép em gửi lời cảm n cân thành đến Cô Ths Dƣơng Thị Thanh Tú, người giúp đỡ em nhiều để em hoàn thành đồ án Đỗ Minh Hiệp – D13VT6 Page 63 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC TÀI LIỆU THAM KHẢO Cisco, “Implementing BGP Flowspec Cisco ASR 9000 Series Aggregation Services Router Routing Command Reference, 2016 RFC5575, “Dissemination of Flow Specification Rules , August 2009 RFC4271, “A Border gateway protocol (BGP 4) , 2006 RFC4270, “Multiprotocol Extensions for BGP-4 , 2007 RFC7074, “Clarification of the Flowspec Redirect Extended Community , 2015 Cisco Systems, Abor Network, BGP Flowspec on XR router , 2014 Đỗ Minh Hiệp – D13VT6 Page 64 ... 47 3.1 Yêu cầu hệ thống chống công DdoS hệ mạng ISP 47 3.2 Triển khai hệ thống chống công DdoS hệ mạng ISP 47 3.2.1Các thành phần hệ thống phòng thủ DDoS sử dụng BGP Flow-Spec 47 3.2.2... 47 3.2.2 Quá tr nh phát ngăn chặn công mạng ISP sử dụng BGP Flow-Spec 52 3.3 Mô ph ng hệ thống chống công DDoS hệ sử dụng BGP Flow-Spec 53 3.3. 1Công cụ thực 54 3.3.2... phòng chống công từ chối dịch vụ mạng ISP 1.6 Tổng kết chƣơng I An ninh mạng giải pháp bảo vệ hệ thống mạng, bảo vệ ứng dụng mạng, phòng chống thay đổi, phá hoại, xâm nhập trái phép vào hệ thống mạng