Trong nghiên cứu này, đề xuất một thuật toán phát hiện và lọc bỏ nhanh các gói tin giả mạo mà sử dụng rất ít tài nguyên hệ thống và đạt tỷ lệ phát hiện rất cao.
Các cơng trình nghiên cứu phát triển Cơng nghệ Thơng tin Truyền thông Phát lọc bỏ nhanh gói tin giả mạo cơng mạng TCP SYN Flood Trần Mạnh Thắng, Nguyễn Khanh Văn Viện Công nghệ Thông tin Truyền thông, Trường Đại học Bách khoa Hà Nội E-mail: thang197@gmail.com, vannk@soict.hust.edu.vn Tác giả liên hệ: Trần Mạnh Thắng Ngày nhận: 29/05/2017, ngày sửa chữa: 05/07/2017, ngày duyệt đăng: 01/09/2017 Tóm tắt: Tấn cơng từ chối dịch vụ phân tán (DDoS) theo hình thức gửi tràn ngập gói khởi tạo kết nối (gói tin SYN) dạng công mạng nguy hiểm khó phòng-chống Bởi với dạng cơng này, tin tặc cố tình gửi gói tin khởi tạo kết nối giả mạo địa nguồn mà đảm bảo trường thơng tin gói tin khởi tạo bình thường Đã có nhiều kết nghiên cứu giải pháp đề xuất việc phát lọc bỏ gói tin giả mạo này, phần lớn xử lý yêu cầu nhiều tài nguyên hệ thống để xử lý, hiệu bị ảnh hưởng nhiều luồng công DDoS lớn Trong nghiên cứu này, chúng tơi đề xuất thuật tốn phát lọc bỏ nhanh gói tin giả mạo mà sử dụng tài nguyên hệ thống đạt tỷ lệ phát cao Từ khóa: Tấn cơng từ chối dịch vụ phân tán, công SYN Flood Title: Abstract: Keywords: A Method for Fast Filtering SYN Flood Spoof Source in DDoS Attack A distributed denial-of-service attack characterized by flood SYN packets is one of network attacks to make the information system unavailable This attack becomes more dangerous and difficult to prevent and defend when attackers try to send flood SYN packets with spoof sources Especially, the packets have the information field as that of normal SYN packets Most of current methods require a training phase to build normal parameters, which will be used in the detection phase to detect spoof packets In this research, we propose a method that can detect and filter spoof packets quickly without using the training phase This method requires very few resources and the detection rate is very high DDoS, TCP SYN Flood I GIỚI THIỆU Có nhiều hình thức cơng DDoS khác nhau, sau Ping Flood: Dạng công DDoS cách gửi tràn ngập gói tin ICMP UDP có kích thước lớn Tổng quan cơng TCP SYN Flood Tấn công từ chối dịch vụ (DoS: Denial-of-Service) dạng công mạng phổ biến nguy hiểm bậc Trong đó, kẻ cơng muốn làm cho hệ thống bị tải phục vụ yêu cầu hợp lệ cạn kiệt tài nguyên (năng lực tính tốn, nhớ, v.v.) Tấn cơng từ chối dịch phân tán (DDoS: Distributed DoS) dạng đặc biệt công DoS Khi sử dụng DDoS, tin tặc tìm cách xây dựng mạng botnet (một số lượng lớn máy tính mạng bị điều khiển máy chủ điều khiển C&C) để thực cơng DDoS thay thực cơng từ máy dạng công DoS thông thường Mạng botnet xây dựng nhiều hình thức khác Một hình thức phổ biến tin tặc tạo mã độc cho lây lan môi trường mạng Mỗi máy tính bị nhiễm mã độc trở thành thành viên mạng botnet (bot) chịu điều khiển máy chủ C&C để thực công DDoS Teardrop: Dạng công DDoS cách gửi tràn ngập gói tin phân mảnh có offset trùng ngắt quãng phía máy nhận gói tin khơng thể xử lý gây làm treo hệ thống TCP Syn Flood: Đối với dạng công này, tin tặc gửi tràn ngập gói tin SYN giả mạo địa IP nguồn [1] thông qua mạng botnet (sau gọi gói tin giả mạo) hình thức cơng khó phòng, chống Do tin tặc cố tình tạo gói tin giả mạo có trường thơng tin gói tin bình thường nên máy chủ nạn nhân khơng thể phân biệt gói tin giả mạo nên nhanh chóng bị cạn kiệt tài nguyên Đối với dạng công TCP SYN Flood, tin tặc khai thác điểm yếu giao thức phổ biến TCP (giao thức giao vận kiến thúc TCP/IP Internet) để công DDoS 33 Các cơng trình nghiên cứu phát triển Cơng nghệ Thông tin Truyền thông Cụ thể, trình bắt tay bước (3-way handshake sub-protocol) gói tin SYN sử dụng để khởi tạo kết nối TCP Các gói tin gửi tràn ngập tới máy chủ với địa IP nguồn giả mạo Máy chủ phải dành tài nguyên để phục vụ kết nối gói tin giả mạo, dẫn tới cạn kiệt tài nguyên Ý tưởng giải pháp Các gói tin giả mạo khơng khác bình thường xét riêng gói tin Tuy nhiên, chúng tơi cho rằng, có mối liên hệ riêng chúng mà coi dấu hiệu tìm vết, quan sát luồng gói tin giả mạo phát từ máy tính Dựa dấu hiệu này, ta xây dựng giải pháp để phát thực lọc bỏ (nhiều được) gói tin giả mạo sử dụng công TCP SYN Flood Trong nghiên cứu này, phát máy tính gửi gói tin mà khơng phân biệt địa IP đích hay dịch vụ sử dụng giá trị IPD (trường Identification IP Header [2]) tăng lên đơn vị Điều có nghĩa quan sát phía máy chủ ta nhận chuỗi gói tin có giá trị PID tăng liên tục, chúng gửi từ máy Chúng tơi mơ tả cụ thể tính chất mục III-1 Hình Phân loại phương pháp phòng chống cơng DDoS phương pháp đề xuất Mục IV trình bày chế thuật tốn loại bỏ nhanh gói tin giả mạo Mục V đưa kết đánh giá thực nghiệm Mục VI đưa kết luật hướng phát triển Trong báo trước [3], đề xuất phương pháp dùng thuật tốn DBSCAN để nhóm gói tin SYN có địa IP khác có giá trị PID tăng dần vào cụm giá trị liên tục (Cluster) Với cụm1 , xác định giá trị trường PID gói tin cơng tiếp tục có (Expected PID - EPID ) thuộc cụm Đối với phương pháp này, chúng tơi phải thực q trình máy học (training phase) để tìm cụm giá trị EPID cho cụm II TỔNG QUAN LĨNH VỰC Theo nghiên cứu tổng quan công DDoS [4], giải pháp phòng-chống DDoS phân loại theo hai yếu tố: vị trí triển khai giải pháp thời điểm xử lý công DDoS Cách phân loại thể sơ đồ Hình 12 Với yếu tố đầu, ta thấy có hai lớp giải pháp: (A1) lớp giải pháp phòng chống cho dạng cơng nhằm vào tầng giao vận thấp mơ hình OSI [5]; (A2) lớp giải pháp phòng chống cho dạng công nhằm vào tầng ứng dụng Với yếu tố thứ hai, ta phân loại thành lớp giải pháp nhằm vào ba giai đoạn phân biệt: giai đoạn trước xảy công (phát nguy cơ), giai đoạn xảy công (phát kiện) giai đoạn sau bị công (khắc phục hậu truy cứu) Trong báo này, đề xuất phương án cho phép tìm gói tin có giá trị PID tăng liên tục với chế thuật tốn hồn tồn khác (khơng dựa q trình máy học trước đây), trực tiếp phát gói tin cơng dựa vào quan sát PID nói (và số quan sát khác) cấu trúc liệu tổ chức đặc biệt để lưu trữ đối sánh thông tin Phương pháp cho phép tự loại bỏ gói tin phát gói chuỗi gói tin giả mạo gửi đến hệ thống, cho phép gói tin thực kết nối đến hệ thống trước xảy trình TCP retransmission - ưu điểm so với phương án trước Nhóm giải pháp (A1) nói lại phân loại thành bốn nhóm: Nhóm giải pháp áp dụng gần nguồn cơng (source-based); Nhóm áp dụng phía đối tượng bảo vệ (destination-based); Nhóm áp dụng hạ tầng mạng trung gian (network-based) Nhóm giải pháp kết hợp (hybrid) Nhóm (A2) chia làm hai nhóm: nhóm giải pháp áp dụng phía đối tượng bảo vệ nhóm giải pháp kết hợp Bài báo có cấu trúc sau: Mục I giới thiệu tổng quan công TCP SYN Flood ý tưởng giải pháp đề xuất Mục II giới thiệu tổng quan lĩnh vực nghiên cứu có liên quan Mục III đưa sở lý thuyết Trong báo này, tập trung nghiên cứu phương pháp phòng-chống cơng thường gọi SYN Flood đề cập, gói tin SYN mang địa IP Điều kiện để tạo thành cụm hệ thống nhận 03 gói tin có PID tăng liên tục, có địa IP khác Các gói tin nằm cụm coi gói tin giả mạo gửi đến hệ thống từ máy cơng đó, gói tin có giá trị PID trùng với EPID cho gói tin giả mạo gửi từ máy công Trong sơ đồ này, sử dụng thuật ngữ tiếng Anh để bạn đọc tiện đối chiếu với tài liệu quốc tế 34 Tập V-2, Số 18 (38), 12/2017 nguồn giả mạo Giải pháp thuộc dạng cho đối tượng bảo vệ (destination-based) lớp (A1) nói Sau đây, chúng tơi sâu phân tích số nghiên cứu liên quan sau Cơ chế IP Traceback [6, 7]: Phương pháp đề xuất chế truy vết kẻ công dựa việc lưu lại thông tin đường từ nguồn đến đích (trong trường thơng tin Packet Identification gói tin) ứng với địa IP nguồn Dựa vào thông tin đường (con đường phổ biến kết nối từ IP nguồn đó) người ta phát gói tin giả mạo: gói tin giả mạo gói tin có thông tin đường không khớp với xu hướng phổ biến phát trước (đối với địa IP nguồn) Tuy nhiên, phương pháp có hạn chế lớn yêu cầu trạm router trung gian phải hỗ trợ chế đánh dấu đường nên khó triển khai thực tế Hình IP Header III CƠ SỞ LÝ THUYẾT Packet Identification tính chất tăng dần Trường thơng tin Identification trường thông tin 16 bit IP Header Trường thông tin sử dụng để xác định thứ tự gói tin bị phân mảnh (fragment) gói tin truyền từ mơi trường mạng có MTU cao sang mơi trường mạng có MTU thấp Phương pháp Management Information Base (MIB) [8–10]: Phương pháp kết hợp thơng tin có gói tin thông tin định tuyến để phát công DDoS Phương pháp đề xuất so sánh thông tin gói ICMP, TCP, UDP (khi cơng xảy ra) với thông tin tương ứng phân tích lưu trữ chưa xảy cơng để tìm gói tin có thông tin khác thường Tuy nhiên, qua quan sát thực tế hệ thống hoạt động trạng thái bình thường, máy tính gửi gói tin mà khơng phân biệt địa IP đích hay dịch vụ sử dụng giá trị IPD tăng lên đơn vị Nguyên lý áp dụng phương pháp Idle scan [15] để kiểm tra cổng mở máy chủ hay không máy tính kiểm tra khơng thể gửi trực tiếp gói tin đến máy chủ cần kiểm tra mà phải thông qua máy tính khác trạng thái Idle Các chế Packet marking and filtering (Đánh dấu lọc bỏ gói tin): Một nghiên cứu đề xuất chế Historybased IP filtering [11], người ta lưu lại thông tin địa IP nguồn thường xuyên kết nối vào hệ thống công DDoS chưa xảy ra; công, địa IP lưu lại kết nối vào hệ thống, lại bị lọc bỏ Phương pháp Hop-count filtering [12] ý ghi nhận thơng tin hop-count tương ứng với IP nguồn (qua gói tin lưu lại công DDoS chưa xảy ra) Khi cơng DDoS xảy ra, gói tin có thơng tin hop-count khác nhiều với thơng tin lưu trước ứng với địa IP nguồn tương ứng coi giả mạo bị lọc bỏ Phương pháp Path Identifier [13] đề xuất lưu trữ giá trị coi đặc trưng đường (PI) gói tin từ nguồn đến đích ứng với địa nguồn Các gói tin đường đến đích có thơng tin PI thường giống nhau, qua sử dụng để lọc bỏ tất gói tin giả mạo có đường với gói tin giả mạo phát trước Để có thêm sở cho tính chất phát trên, kiểm thử lại tính chất tập liệu chuẩn DARPA Intrusion Detection Evaluation [16] viện MIT cung cấp Tập liệu sử dụng nhiều nghiên cứu [17–19] để đánh giá hiệu phương pháp phát xâm nhập công DDoS Kết phát hiện: công DDoS từ địa nguồn 202.77.162.213 đến địa 172.16.115.20 qua ứng dụng Telnet có giá trị PID tăng liên tục từ giá trị 11484 Thủ tục bắt tay TCP handshake công tràn ngập TCP SYN Flood TCP (Transmission Control Protocol) [20] giao thức sử dụng phổ biến Internet để tạo kết nối truyền tin tin cậy máy tính Theo nguyên lý hoạt động giao thức này, để khởi tạo kết nối TCP phải thực trình TCP handshakes Trong trình này, đầu tiên, máy khách (client) gửi gói tin SYN để máy chủ (server) yêu cầu khởi tạo kết nối Sau nhận yêu cầu, máy chủ gửi lại gói tin phản hồi SYN-ACK, để thơng báo trạng thái sẵn sàng kết nối cho máy khách, đồng thời phản hồi đó, máy chủ gửi lại gói tin SYN Một tiếp cận lý thú khác dựa ý tưởng loại bỏ gói tin dựa mức độ tắc nghẽn, Packetscore [14], chế điển hình, đề xuất thiết lập mức độ ưu tiên cho gói tin dựa vào thuật tốn Detecting-DifferentiatingDiscarding routers (3D-R) sử dụng độ đo Bayes (Bayesiantheoretic metric) Từ đó, người ta thiết lập chế lọc bỏ gói tin có mức ưu tiên thấp công DDoS xảy (gây tắc nghẽn router kề cận) 35 Các cơng trình nghiên cứu phát triển Công nghệ Thông tin Truyền thông cho việc tìm kiếm đối chiếu thực nhanh (thời gian tìm kiếm coi số) Từ quan hệ đặc biệt gói tin, chuỗi PID tăng dần, phát thơng qua tìm kiếm, đối chiếu Trong mục này, tập trung mô tả logic hoạt động chế thuật tốn, khơng sâu mơ tả cách thức triển khai cài đặt cụ thể bảng liệu (sẽ đề cập mục sau) Trước hết chúng tơi trình bày chế chung giải pháp đề xuất mục IV-1 Sau đó, mục IV-2 chúng tơi trình bày thuật tốn PID-Filter cho phép phát dãy PID tăng nhằm loại bỏ gói tin cơng Một số nhận xét phân tích sơ (về mặt lý thuyết) nêu mục IV-3 Hình TCP handshakes để yêu cầu khởi tạo kết nối với phía máy khách Bước cuối trình khởi tạo kết nối máy khách gửi lại gói tin ACK để phản hồi lại cho máy chủ trạng thái sẵn sàng phía Cơ chế giải pháp chung Chúng đề xuất giải pháp chống công SYN Flood để bảo vệ máy chủ bị công cách thực đồng thời hai việc: Theo chế TCP retransmission [20] nguyên lý hoạt động giao thức TCP, khoảng thời gian định (time out), sau máy khách gửi gói tin SYN để yêu cầu khởi tạo kết nối tới máy chủ, mà khơng nhận gói tin xác nhận ACK từ phía máy chủ, máy khách gửi lại gói tin SYN khác để tiếp tục yêu cầu kết nối ◦ Phát địa IP nguồn tốt, thực có nhu cầu kết nối, hay khởi tạo kết nối; ◦ Phát gói tin giả mạo thơng qua lọc PIDFilter Từ nguyên lý khởi tạo kết nối giao thức TCP trên, thấy điểm yếu rõ ràng: nhận gói tin SYN, đủ tài ngun máy chủ dành sẵn phần tài nguyên nhớ cần thiết để chuẩn bị phục vụ cho kết nối sau mà khơng kiểm tra tính trung thực gói tin SYN gửi đến Lợi dụng điểm yếu này, tin tặc công máy chủ cách gửi tràn ngập gói tin SYN giả mạo tới máy chủ để làm cạn kiệt tài nguyên máy chủ với mục đích làm máy chủ khơng tài ngun để phục vụ yêu cầu hợp lệ gửi tới Để thực ý đồ này, sử dụng hai bảng liệu lữu trữ địa IP nguồn (có thể kèm thơng tin bổ sung): ◦ Bảng I0 để lưu trữ địa IP nguồn tích cực (đã kết nối, có nhu cầu khởi tạo kết nối thực sự), sử dụng phép nhanh máy client xác định hợp lệ kết nối đến hệ thống ◦ Bảng I1 để lưu trữ thông tin địa IP nguồn, giá trị PID thời gian đến gói tin mà chưa xác định gói tin bình thường (tốt) hay gói tin giả mạo (tấn cơng) Trong q trình kiểm tra sau đó, địa IP I1 xác định (âm tính), chuyển sang I0 Các gói tin giả mạo tạo với trường thông tin giống gói tin thơng thường, với địa IP nguồn giả mạo (sinh ngẫu nhiên) Nếu chế theo dõi đặc biệt, máy chủ khơng thể phân biệt gói tin gói tin thực hay giả mạo Sơ đồ hoạt động giải pháp Hình Có thể có IP giả mạo (tạo ngẫu nhiên) trùng khớp với địa IP I0 , xác suất trùng khớp nhỏ Để giảm thiểu ảnh hưởng vấn đề trùng khớp này, IP bảng I0 có ngưỡng thời gian sống định, sau ngưỡng mà hệ thống khơng nhận kết nối thực từ IP IP bị xóa khỏi bảng I0 IV CƠ CHẾ THUẬT TỐN LỌC BỎ NHANH GĨI TIN GIẢ MẠO Trong mục này, chúng tơi trình bày chi tiết đề xuất chúng tơi, chế lọc bỏ gói tin công dựa việc phát chuỗi gói tin PID tăng liên tục (nhưng lại có địa nguồn ngẫu nhiên, không trùng nhau) Đây gói tin coi giả mạo theo phân tích sở nêu trước (mục I-3) Một gói tin xác định hợp lệ trường hợp sau (và chuyển từ I1 sang I0 ): ◦ Trường hợp có gói tin có địa IP nguồn gửi đến hệ thống trước Trường hợp xảy client yêu cầu kết nối tới máy chủ không hồi đáp nên gửi lại yêu cầu kết nối, (cơ chế TCP retransmission [20]) Hệ thống phát sai gói Ở đây, chúng tơi sử dụng bảng liệu khác để lưu trữ số thông tin gói tin gửi đến, địa IP giá trị PID Các bảng tổ chức 36 mạo khác i tin u có coi tin, hơng Trong q trình kiểm tra sau đó, địa IP I1 xác định (âm tính), chuyển sang I0 Negative Found mô tả g bảng I0 Not Found I1 Not Found PID-Filter Positive Deny giải c 1) Với gói tin SYN vừa đến, ta lấy giá trị x PID thực tìm kiếm x0 = x − bảng B0 Nếu thấy, x coi giá trị thứ hai dãy tăng lưu vào B1 để phát gói tin có PID dãy tăng PID-Filter dừng (chưa báo kết dương tính với giá trị PID x0 x mà chờ tiếp) 2) Tìm kiếm x1 = x − bảng B1 Nếu thấy, x coi giá trị thứ (hoặc muộn nữa) dãy tăng Giá trị x1 đứng trước dãy tăng Giá trị x cập nhật thay x1 B1 để tiếp tục đợi gói tin có PID (thứ 4, 5, v.v.) dãy tăng PID-Filter dừng trả lại kết dương tính giá trị PID x x0 3) Tìm kiếm x0 = x − bảng B0 Nếu thấy, ta lưu x vào B1 xử lý tương tự bước Sở dĩ làm ta coi gói tin có PID x1 = x − bị thất lạc đến muộn sau PID-Filter dừng trả lại kết dương tính với giá trị PID x x0 4) Các bước tìm kiếm có kết khơng thấy: Ta coi x có tiềm điểm đầu x0 dãy tăng cập nhật vào B0 Hình đề xuất xuất Hình4.4.SơSơđồđồphương phương pháp pháp đề SYN thực điểm đầu x0 dãy tăng trên, B1 để lưu giá trị thứ hai x1 (hoặc điểm cuối thời) dãy tăng phát Các giá trị PID từ gói tin đến lọc qua PID-Filter Nếu giá trị đưa vào B0 suốt khoảng thời gian δT không bị phát thuộc vào dãy PID tăng PID-Filer trả kết “âm tính” (gói tin tương ứng chấp nhận), ngược lại bị báo “dương tính” Các gói tin tương ứng có giá trị PID dãy tăng bị loại bỏ Các bước thực thuật toán sau: Permit New Packet dãy t số nêu Tập V-2, Số 18 (38), 12/2017 Sơ đồ hoạt động giải pháp Hình đây: Có thể có IP giả mạo (tạo ngẫu nhiên)trùng khớp với mộtmạo địa làchỉ I0,trường nhưnghợp xácđịasuất tin giả góiIPtinsạch hợp lệ giả mạo tinĐể ngẫu nhiên trùngảnh vớihưởng địacủa trùng khớp nàycủa gói nhỏ giảm thiểu củakhớp gói tinnày,mỗi gửi đến thốngbảngI trước Tuy vấn đềnàotrùng IP hệtrong 0sẽ có nhiên xác xuất trùng khớp 1/232 cho ngưỡng thời gian sống định, sau ngưỡng nguồn gửi gói tin giả mạo mà hệ kết nối ◦ thống Trườngkhơng hợp lệ nhận sau khoảng thờithực giantừ δTIP(tham số IP hệ thống bị xóachọn khỏitrước) bảngmột I0 cặp (IP, PID) I1 âmxác tínhđịnh qua xéthợp nghiệm PID-Filter Một xác gói định tin lệ trường Mỗi (và gói tin mớisẽgửi đếnchuyển hệ thống xử Ilý theo hợp sau từ I1 sang 0): lọc hai kèm h khởi phép -5- bước sau Trường hợp có gói tin có địa IP nguồn Bước 1: Kiểm tra địa IP nguồn gói tin có gửi Iđến hệ thống trước Trường hợp xảy bảng hay khơng? Nếu có cho gói tin vào hệ thống yêu Nếu cầu không kết nối máy (chuyển tiếp clientđã vào máy chủ); sangtớibước chủ hồi đáp lại Iyêu kết Bước 2:khơng Kiểm tra IP nguồn có nên tronggửi bảng khơng? haycầu Nếu có đưa thơng tin IP vào bảng I (cơ chế TCP nối, (cơ chế tcp retransmission[35]) 0Hệ thống có retransmission) chogói phép vào hệ tin thống; thể phát hiệnvàsai tin gói giả tin mạo gói hợpNếu lệ khơng sang bước sau trường hợp địa giả mạo gói tin ngẫu Bước 3: Lưu thông tin (địa IP, giá trị PID, thời gian nhiên trùng với địa gói tin đến) gói tin thời vào bảng I1 Triệu gọi PID-Filter hệ thống trước Tuy nhiên xácxuất vớigửi giá đến trị PID Bên cạnh bước “xét nghiệm” trên, hoạt động then chốt khác thuật toán tiếp tục kiểm tra bảng I1 (có thể chạy ngầm) để phát giá trị PID IP tương ứng đủ tuổi (δT ) khỏi bảng mà không bị “liên đới” với các phát dương tính có bước Điều có nghĩa giá trị x thực gói tin lành, khơng bị nghi ngờ Các gói tin tương ứng báo âm tính Để đảm bảo xác suất lỗi thấp (lọc bỏ nhầm) bảng B1 cần làm tươi (refresh) liên tục Các giá trị PID cũ (có “tuổi” vượt ngưỡng δT ) bị loại bỏ khỏi bảng Thuật tốn phương pháp mơ tả Thuật tốn Bước 4: Trong q trình thực PID-Filter, có giá trị PID bị phát dương tính thơng tin gói tin tương ứng bị loại bỏ khỏi bảng I1 (song song với việc gói tin bị lọc bỏ, không vào tới máy chủ bên trong) Bước 5: Nếu PID-Filter báo âm tính, thơng tin tương ứng với giá trị PID chuyển khỏi bảng I1 đưa vào bảng I0 PID-Filter: Thuật tốn phát dãy PID tăng liên tục Mục đích thuật tốn phát dãy gói tin có PID tăng dần x0 = a, x1 = a + 1, x2 = a + 2, v.v., khoảng thời gian (rất ngắn) δT cho trước Thuật toán sử dụng hai bảng liệu B0 B1 Bảng B0 để lưu PID từ gói tin đến, coi có tiềm trở thành Mơ hình hệ thống Phương pháp chúng tơi khơng can thiệp, xử lý trực tiếp kết nối mạng gửi đến máy chủ Nó cho phép xây dựng danh sách địa IP (White-List) 37 trị P (má khôn nhật B0 ( bướ loại bỏ t loại Hình Thuật tốn phương pháp đề xuất Các cơng trình nghiên cứu phát triển Cơng nghệ Thơng tin Truyền thơng IV.3.Mơ hình hệ thống Black list White list ` Tab User Internet Server ` Auth-IF Attacker Sniffer IF DDosDefence Hình Mơ hình hệ thống triển khai xử lý cơng DDoS Hình 5.Mơ hình hệ thống triển khai xử lý công DDoS Thuật toán 1: Thuật toán phương pháp đề xuất cài đặt máy chủ DDoS Defence Máy chủ có hai giao diện Một giao diện sử dụng để thu thập thông tin giao diện kết nối Internet Router biên hệ thống (Sniffer IF) sử dụng thiết bị trích rút liệu chun dụng (Network-Tap) nhằm khơng làm ảnh hưởng tới hoạt động hệ thống bảo vệ Giao diện thứ hai sử dụng để gửi danh sách IP White-list đến máy chủ thiết bị mạng for gói tin P(i) If (SrcIP[P(i)] thuộc I0 ) Cho phép P(i); else if (SrcIP[P(i)] thuộc I1 ) Thêm SrcIP[P(i)] vào I0 Loại SrcIP[P(i)] khỏi I1 ) //Thực bước PID-Filter else if (PID(x − 1)[P(i)] thuộc B0 ) Thêm PID(x)[P(i)] vào B1 //Thực bước PID-Filter else if (PID(x − 1)[P(i)] thuộc B1 ) Cập nhật B1 [PID(x −1)[P(i)]] = B1 [PID(x)[P(i)]] Cảnh báo PID(x − 1)[P(i)] PID(x − 2)[P(i)] //Thực bước PID-Filter else if (PID(x − 2)[P(i)] thuộc B0 ) Cập nhật B1 [PID(x − 1)[P(i)]] = B1 [PID(x)[P(i)]] Cảnh báo PID(x − 1)[P(i)] and PID(x − 2)[P(i)] //Thực bước PID-Filter else Thêm PID(x)[P(i)] vào B0 end end -7- Phân tích thuật tốn Sau đây, chúng tơi đưa phân tích đánh giá giải pháp góc độ lý thuyết Ta phân tích hoạt động thuật tốn PID-Filter Giả sử máy tính (máy bị điều khiển để công DDoS - máy bot) tạo gửi chuỗi gói tin SYN cơng ký hiệu P0, P1, P2, P3, , với dãy giá trị PID tăng dần Khoảng thời gian δT đặt đủ dài khoảng thời gian hai gói tin P0 P3 đến đích (máy chủ bị cơng) Nếu đường truyền tốt khơng có đặc biệt xảy chuỗi gói tin đến theo thứ tự ban đầu, chúng cập nhật địa IP vào bảng I1 , giá trị PID P0 vào bảng B0 (chỉ P0 bước 4), vào B1 (P1 , P2 , trở bước 2) Tuy nhiên, nhận P2 , chuỗi gói tin cơng bị nhận diện nên địa IP tương ứng bị loại bỏ khỏi bảng I1 , đồng thời PID P0 loại bỏ B0 , PID gói P1 bị loại bỏ B1 , ngoại trừ gói tin cuối (Pi ) lưu để tiếp tục phát gói tin cơng sau chuỗi (Pi+1, ) Khi công DDoS xảy danh sách địa IP White-List gửi đến máy chủ thiết bị mạng để thực sách khóa địa IP không nằm White-List Danh sách địa IP White-List liên tục cập nhật thông qua thuật tốn chúng tơi Cụ thể địa IP I0 đưa vào WhiteList Trong mơ hình trên, phương pháp chúng tơi Chúng ta xét tiếp trường hợp có trục trặc (do kết nối mạng có tắc nghẽn cố đường truyền), 38 Tập V-2, Số 18 (38), 12/2017 trật tự gói tin đến thay đổi có gói tin thất lạc Nếu máy chủ nhận dãy gói tin P0 , P1 , P3 , hay P0 , P2 , P3 (tức gói bị thất lạc) chuỗi cơng bị phát hiện, nhiên có gói tin thất lạc trở lên số gói đầu khơng phát Đây coi điểm yếu tồn thuật toán, cần cải tiến nâng cao tương lai Khi gói tin lẻ khơng phát thuộc dãy tăng (hoặc bị sót trường hợp cặp P0 , P1 , P2 , P3 bị thất lạc đến muộn) có thời gian tồn vượt δT thơng tin tương ứng bị loại khỏi B0 , B1 I1 địa IP cập nhật vào I0 - danh sách IP coi tại3 Sau chúng tơi phân tích lỗi nhầm lẫn xảy ngẫu nhiên Xác suất gói tin giả mạo may mắn chấp nhận (tức báo âm tính nhầm - False Negative) có địa IP tình cờ trùng khớp với địa I0 p0 = |I0 | /232 Xác suất gói tin giả mạo có địa IP đưa vào I0 tình cờ trùng khớp địa I1 (tức coi tốt theo chế TCP retransmission - False Nagative) p1 = |I1 | /232 Xác suất gói tin tốt có giá trị PID tình cờ lớn so với giá trị B0 (tức báo dương tính nhầm False Positive) p2 = |B0 | /216 Các xác suất nói ước lượng sau Giả sử thời điểm diễn cơng, có N máy cơng M máy khách hàng tốt tìm cách kết nối đến máy chủ Nếu giả định số lượng trục trặc truyền tin mạng (gói tin thất lạc vòng lâu nhiều) đủ nhỏ ta dễ thấy: |I0 | ≈ M, |I1 | ≤ M + 3N, |B0 | ≈ N |B1 | ≤ 2N Các ước lượng |I1 |, |B0 | |B1 | có theo phân tích trình hoạt động PID-Filter dễ thấy thời điểm có từ đến gói tin chuỗi tăng (phát từ máy bot) ghi nhận I1 Bảng I minh họa cho phân tích ước lượng Con số máy tham gia công giả định từ cấp độ qui mơ trung bình (từ 1.000 đến 2.000) đến cao (lớn 10.000), dựa báo cáo qui mô công SYN thường thấy Có thể thấy xác suất lỗi bỏ sót (âm tính sai) nhỏ, xác suất lỗi báo nhầm cơng (dương tính sai) lớn đáng kể qui mô số máy công lớn cỡ 10.000 trở lên Bảng I QUI MÔ TẤN CÔNG GIẢ ĐỊNH VÀ XÁC SUẤT LỖI Giá trị giả định M N |I1 | Xác suất nhận |B1 | P0 P1 P2 1.000 1.000 4.000 2.000 2, 3E-07 0, 93E-06 1,5% 1.500 2.000 7.500 4.000 3, 5E-07 1, 74E-06 3% 2.000 4.000 14.000 8.000 4, 7E-07 3, 25E-06 6% 2.500 8.000 26.500 16.000 5, 8E-07 6, 17E-06 12% 3.000 16.000 51.000 32.000 7, 0E-07 11, 8E-06 24% tin tăng PID phát từ máy bot có băng thông công vào cỡ Mb, tức coi vào loại nhỏ đáng kể (nếu băng thơng cơng nhỏ ta coi bé nên không cần quan tâm nữa) Các bảng lưu trữ cài đặt cấu trúc liệu mảng ghi đơn giản Theo nghiên cứu mà chúng tơi đề cập mục II, nghiên cứu không sử dụng liệu mẫu chung để đánh giá thực nghiệm Tập liệu kiểm thử DARPA Viện MIT có liệu kiểm thử cho số dạng công Dos/DDoS, nhiên tập liệu lại khơng có liệu kiểm thử cho dạng công SYN Flood có đề cập tới [16] Do đó, nghiên cứu này, sử dụng liệu thử nghiệm tự thu thập từ cơng SYN Flood mơi trường thực với 336.671 gói tin ghi nhận (thời điểm lấy mẫu hệ thống tải dừng hoạt động số nói trên) Theo đánh giá chuyên gia, coi tồn gói tin mà chúng tơi thu thập gói tin giả mạo, số lượng gói tin thực có chiếm tỷ lệ nhỏ, khơng đáng kể Mỗi gói tin thu được, chúng tơi thu thập thơng tin: thời gian đến gói tin (timestamp), địa IP nguồn (Src IP), cờ trạng thái kết nối (flag) giá trị PID Kết thực nghiệm đưa Bảng II, bao gồm giá trị sau: Số lượng gói tin mẫu thử nghiệm (#Packets), số lượng gói tin giả mạo phát (#Detected Packets), số lượng chuỗi có PID tăng dần tạo (#PID-Groups) tỷ lệ (Rate) gói tin giả mạo phát Các kết cho thấy tỉ lệ phát cao VI KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN V ĐÁNH GIÁ THỰC NGHIỆM BAN ĐẦU Trong báo này, chúng tơi đề xuất chế thuật tốn để phát lọc bỏ gói tin giả mạo sử dụng công DDoS dạng SYN Flood mà thực bước chuẩn bị gián tiếp tốn trình học mẫu thường sử dụng phổ biến (chúng sử dụng trước [3]) Trong triển khai cài đặt, lựa chọn giá trị δT ≈ 1–2 ms, cho phép theo dõi chuỗi gói Chỉ phạm vi chế đề xuất chúng tơi Bên cạnh đó, vành đai kiểm sốt khác Firewall kiểm sốt danh sách IP khác, hoạt động độc lập 39 Các cơng trình nghiên cứu phát triển Cơng nghệ Thơng tin Truyền thông Bảng II KẾT QUẢ THỰC NGHIỆM #Packets #Detected Packets #PIDGroups Rate 100.000 92.954 17.043 92,95% 150.000 139.189 25.479 92,79% 200.000 185.634 33.980 92,81% 250.000 232.061 42.574 92,82% 300.000 278.444 50.959 92,81% 336.671 312.583 57.179 92,84% [3] T M Thang and V K Nguyen, “Synflood Spoof Source DDoS Attack Defence Based on Packet ID Anomaly Detection-PIDAD,” in Information Science and Applications (ICISA) Springer, 2016, pp 739–751 [4] S T Zargar, J Joshi, and D Tipper, “A survey of defense mechanisms against distributed denial of service (DDoS) flooding attacks,” IEEE Communications Surveys & Tutorials, vol 15, no 4, pp 2046–2069, 2013 [5] H Zimmermann, “OSI reference model–The ISO model of architecture for open systems interconnection,” IEEE Transactions on Communications, vol 28, no 4, pp 425– 432, 1980 [6] A John and T Sivakumar, “DDoS: Survey of traceback methods,” International Journal of Recent Trends in Engineering, vol 1, no 2, pp 241–245, 2009 [7] A C Snoeren, “Hash-based IP traceback,” in In Proceedings of the ACM SIGCOMM Citeseer, Aug 2001, pp 3–14 [8] J B Cabrera, L Lewis, X Qin, W Lee, R K Prasanth, B Ravichandran, and R K Mehra, “Proactive detection of distributed denial of service attacks using mib traffic variables-a feasibility study,” in Proceedings of the IEEE/IFIP International Symposium on Integrated Network Management IEEE, 2001, pp 609–622 [9] R Jalili, F Imani-Mehr, M Amini, and H Shahriari, “Detection of distributed denial of service attacks using statistical pre-processor and unsupervised neural networks,” Information Security Practice and Experience, pp 192–203, 2005 [10] M Li, J Liu, and D Long, “Probability Principle of a Reliable Approach to Detect Signs of DDOS Flood Attacks.” in Proceedings of the Parallel and Distributed Computing: Applications and Technologies Springer, 2004, pp 596– 599 [11] T Peng, C Leckie, and K Ramamohanarao, “Protection from distributed denial of service attacks using historybased IP filtering,” in Proceedings of the IEEE International Conference on Communications (ICC’03), vol IEEE, 2003, pp 482–486 [12] H Wang, C Jin, and K G Shin, “Defense against spoofed IP traffic using hop-count filtering,” IEEE/ACM Transactions on Networking (ToN), vol 15, no 1, pp 40–53, 2007 [13] A Yaar, A Perrig, and D Song, “Pi: A path identification mechanism to defend against DDoS attacks,” in Proceedings of the Symposium on Security and Privacy IEEE, 2003, pp 93–107 [14] Y Kim, W C Lau, M C Chuah, and H J Chao, “PacketScore: a statistics-based packet filtering scheme against distributed denial-of-service attacks,” IEEE Transactions on Dependable and Secure Computing, vol 3, no 2, pp 141– 155, 2006 [15] F Almeida, “idlescan (ip.id portscanner),” 1999 [16] R Lippmann, J W Haines, D J Fried, J Korba, and K Das, “The 1999 darpa off-line intrusion detection evaluation,” Computer Networks, vol 34, no 4, pp 579–595, 2000 [17] U Akyazi and A S Uyar, “Distributed detection of DDoS attacks during the intermediate phase through mobile agents,” Computing and Informatics, vol 31, no 4, pp 759– 778, 2012 [18] W.-H Chen, S.-H Hsu, and H.-P Shen, “Application of SVM and ANN for intrusion detection,” Computers & Operations Research, vol 32, no 10, pp 2617–2634, 2005 [19] M Panda and M R Patra, “Network intrusion detection using naive bayes,” International Journal of Computer Science and Network Security, vol 7, no 12, pp 258–263, 2007 [20] Internet Engineering Task Force, “Transmission control protocol,” Standard RFC 793, 1981 Các đánh giá phương diện phân tích lý thuyết thực nghiệm cho thấy giải pháp khả quan qui mô số máy công không lớn (nhỏ 10.000 máy) Phương pháp xử lý gói tin cho phép đạt tốc độ nhanh, đáp ứng đòi hỏi đặc biệt việc chống công DDoS Khi số máy công lớn, tỷ lệ báo dương tính nhầm tăng cao (trên 10% trở lên), làm ảnh hưởng đáng kể tới việc kết nối máy khách hàng tốt Cơ chế kiểm sốt chúng tơi dựa giả định tỷ suất truyền tin trục trặc hay thất lạc (phía bên ngồi máy chủ) đủ thấp Một tồn khác chưa đề xuất phương án đặc thù cho lưu trữ tìm kiếm nhanh thơng tin bảng I0 , I1 , B0 B1 Khi qui mô công lớn, không gian lưu trữ bảng thời gian tìm kiếm thơng tin bảng lớn, thời gian xử lý trở nên chậm đáng kể Trong nghiên cứu tiếp theo, chúng tơi tiếp tục đề xuất thuật tốn nâng cao để khắc phục lỗi bỏ sót phân tích (mục IV-3) xây dựng phương pháp đặc thù, hiệu cho lưu trữ xử lý thông tin bảng I0 , I1 , B0 B1 để tối ưu yếu tố hiệu (thu gọn không gian lưu trữ giảm tốc độ xử lý thông tin bảng) LỜI CẢM ƠN Chúng xin cảm ơn hỗ trợ Cục An tồn Thơng tin Bộ Thơng tin Truyền thông, thông qua Nhiệm vụ Khoa học Công nghệ cấp Quốc gia: “Nghiên cứu, xây dựng Khung tham chiếu an tồn thơng tin phục vụ phủ điện tử”, mã số KC.01.07/16-20 TÀI LIỆU THAM KHẢO [1] C C Center, “TCP SYN flooding and IP spoofing attacks,” CERT Advisory CA-96-21, Sep 1996 [2] Internet Engineering Task Force, “Internet protocol,” Standard RFC 791, 1981 40 Tập V-2, Số 18 (38), 12/2017 Trần Mạnh Thắng sinh năm 1982, làm việc Cục An tồn thơng tin - Bộ Thơng tin Truyền thông Hiện nay, ông nghiên cứu sinh năm thứ ba Bộ môn Công nghệ Phần mềm, Viện Công nghệ Thông tin Truyền thông, Trường Đại học Bách khoa Hà Nội Hướng nghiên cứu ông phòng, chống công từ chối dịch vụ Nguyễn Khanh Văn sinh năm 1970 Hà Nội Ông tốt nghiệp Trường Đại học Bách khoa Hà Nội năm 1992 Ông nhận Thạc sĩ, năm 2000, Trường Đại học Wollogong, Úc nhận Tiến sĩ, năm 2006, Trường Đại học California Davis, Hoa kỳ Hiện nay, ông công tác Viện Công nghệ Thông tin Truyền thông, Trường Đại học Bách khoa Hà Nội Hướng nghiên cứu ơng tính tốn phân tán, mơ hình mạng thuật tốn, mạng máy tính an tồn thơng tin 41 ... luồng gói tin giả mạo phát từ máy tính Dựa dấu hiệu này, ta xây dựng giải pháp để phát thực lọc bỏ (nhiều được) gói tin giả mạo sử dụng công TCP SYN Flood Trong nghiên cứu này, phát máy tính gửi gói. .. đường (PI) gói tin từ nguồn đến đích ứng với địa nguồn Các gói tin đường đến đích có thơng tin PI thường giống nhau, qua sử dụng để lọc bỏ tất gói tin giả mạo có đường với gói tin giả mạo phát trước... (trong trường thơng tin Packet Identification gói tin) ứng với địa IP nguồn Dựa vào thông tin đường (con đường phổ biến kết nối từ IP nguồn đó) người ta phát gói tin giả mạo: gói tin giả mạo gói