Đang tải... (xem toàn văn)
Cùng với sự phát triển nhanh chóng của Internet, tấn công từ chối dịch vụ (Denial of Service -DoS) đã trở nên rất phổ biến. Mục đích của kiểu tấn công này là phá vỡ các dịch vụ mà nạn nhân đang cung cấp. Trong quá trình tấn công đang diễn ra, nạn nhân không thể cung cấp các dịch vụ của họ.
Tạp chí Khoa học & Công nghệ - Số 1(45) Tp 2/Năm 2008 K THUT PHT HIN NGUN GC TN CƠNG TỪ CHỐI DNCH VỤ Ngơ Hải Anh - Nguyễn Văn Tam (Viện Công nghệ thông tin – Viện KH&CN Việt Nam) Tổng quan công từ chối dịch vụ Cùng với phát triển nhanh chóng Internet, công từ chối dịch vụ (Denial of Service -DoS) trở nên phổ biến Mục đích kiểu công phá vỡ dịch vụ mà nạn nhân cung cấp Trong trình công diễn ra, nạn nhân cung cấp dịch vụ họ Có hình thức cơng từ chối dịch vụ chính: Tấn cơng DoS thơng thường – Normal DoS: thường sinh từ máy trạm số lượng nhỏ máy tính địa điểm Tấn công DoS phân tán – Distributed DoS: thường sinh từ số lượng lớn máy tính Các kiểu cơng Tấn công ứng dụng – Các công loại khai thác lỗ hổng biết ứng dụng, gửi yêu cầu bất thường đến để phá hoại ứng dụng Tấn công hệ điều hành – Tấn công kiểu thường khai thác kẽ hở cài đặt chồng IP, gửi gói tin IP bất thường để phá hoại hệ điều hành Tấn công lỗ hổng mạng - Khai thác lỗ hổng thiết kế mạng để công Tấn công thiết bị mạng –Thông thường công kiểu cố gắng làm kiệt sức nguồn lực phần cứng thiết bị mạng (router, firewall…), chẳng hạn làm tràn đệm nhớ CPU Tấn công làm tải (Flood hay Overload attacks) – công cách gửi số lượng lớn kiểu lưu lượng khác đến nạn nhân (có thể thơng qua lỗ hổng nói trên) làm cho họ tải khả xử lý Tìm nguồn gốc cơng Việc truy tìm thủ phạm gây cơng DoS thực khó khăn, lý công đến từ nhiều địa IP nguồn khác nhau, địa bị giả mạo Vì để tìm nơi thực xuất phát công, cần chế ngược lại từ vị trí nạn nhân đến nơi xuất phát cơng Có số phương pháp thực u cầu Ví dụ sử dụng cách tìm qua router bước truyền (hop) Ý tưởng thực phương pháp sau: tìm tới nơi mà “cơn lũ” liệu vào router để từ tìm bước truyền trước Cách thực gồm bước sau: • • • • 104 Xuất phát giao diện mà luồng liệu vào router Tìm router kết nối đầu bên liên kết Lặp lại thao tác router dọc đường Router cuối dây chuyền là luồng liệu cơng T¹p chÝ Khoa häc & C«ng nghƯ - Sè 1(45) Tập 2/Năm 2008 Rt nhiu router cung cp cỏc cụng c cho phép người quản trị mạng làm công việc Ví dụ router hãng Cisco hỗ trợ tính mang tên NetFlow [1], tính cho phép thu thập thông tin theo thời gian thực tất luồng qua router Tuy nhiên, phương pháp có số nhược điểm Bởi cơng ngang vài “hệ tự quản” (autonomous systems – AS), AS thuộc nhà cung cấp khác nhau, để hồn tất q trình dò vết, nạn nhân phải cần đến phối hợp số nhà cung cấp dịch vụ, trình phức tạp thời gian Một hạn chế khác việc dò vết luồng cơng phải hoạt động suốt q trình theo dõi ngược Nếu lý mà cơng “tạm dừng”, q trình theo dõi khơng thể tiếp tục Phần viết đề cập đến phương pháp tối ưu Phương pháp đánh dấu gói tin theo xác suất Để lần ngược lại nơi bắt đầu công, lấy thơng tin từ router đường luồng liệu cơng “đi qua”, cho phép đích đến (chính nạn nhân) có thêm thông tin để dựng lại đường luồng cơng, qua thực tìm nguồn gốc công Savage, Wetherall, Karlin Anderson phát minh phương pháp gọi “dò ngược” (traceback) [2] Phương pháp đòi hỏi router đường luồng liệu cho thêm thơng tin vào gói tin chúng đường chuyển tiếp hướng nạn nhân Một xác suất p định nghĩa tất router, gói tin đánh dấu với thơng tin thêm cách sử dụng giá trị p Đường công xây dựng lại cách theo dõi ngược gói tin IP đánh dấu Để tăng thêm hiệu quả, cách đánh dấu khơng cố định mà hiệu chỉnh theo xác suất (adjusted probabilistic) Như vấn đề đặt việc đánh dấu diễn nào, phần khuôn dạng gói tin IP “đánh dấu”? Header gói tin IPv4 có khn dạng sau: Trường IP identification có độ dài 16 bits Đối với mục đích dò ngược, cần sử dụng vừa vặn 16 bits cho giá trị “đánh dấu” giá trị “khoảng cách” Thực tế cho thấy hầu hết đường Internet không 30 bước truyền Do năm bits (tương ứng với khoảng cách 32 bước truyền) đủ để đáp ứng giá trị khoảng cách Còn lại 11 bits (có thể cung cấp 211 = 2048 giá trị có thể) sử dụng cho việc đánh dấu Một hàm băm h(.) sử dụng để ánh xạ 32-bit địa IP router với 11-bit giá trị đánh dấu Hàm hàm thống kê ngẫu nhiên đáng tin cậy, có nghĩa đầu vào địa IP, tất 211 = 2048 giá trị đánh dấu dùng làm đầu 105 Tạp chí Khoa học & Công nghệ - Số 1(45) Tp 2/Năm 2008 Cú mt nghiờn cu ó ngh xác suất đánh dấu pd = 1/d [3] với d khoảng cách (số bước truyền) router so với nguồn xuất phát gói tin Giả sử độ dài đường cơng có độ dài k Điều cho phép nói có k router tham gia vào lược đồ đánh dấu điểm xuất phát đích đến Giá trị xác suất đánh dấu là: (1) d −1 + c d – giá trị trường khoảng cách gói tin nhận từ router cách d bước truyền so với nguồn công, c ≥ 1, c ∈ R Chúng ta thấy router nhận gói tin với trường khoảng cách có giá trị khơng, cần đảm bảo giá trị xác suất ln nhỏ Do c ≥ pd = Gọi α d xác suất mà nạn nhân nhận gói tin đánh dấu router cách d bước truyền từ kẻ cơng Khi đó: α d = pd k ∏ (1 – pi) (2) i = d +1 Kết hợp với (1), ta tính đuợc: k −1+ c αd= (3) Do thấy xác suất việc nhận gói tin đánh dấu router dọc đường công phụ thuộc vào độ dài đường không phụ thuộc vào vị trí router 4.1 Thuật tốn đánh dấu gói tin Một router dọc theo đường gói tin đọc giá trị khoảng cách trường IP identification Sau router tìm đến bảng chứa giá trị khoảng cách xác suất đánh dấu tương ứng Quyết định thực sau: router sinh số ngẫu nhiên, số ngẫu nhiên nhỏ xác suất đánh dấu gói tin đánh dấu, khơng gói tin không đánh dấu Nếu router định đánh dấu gói tin, ghi giá trị h(địa IP) vào trường IP identification Giá trị khoảng cách trường IP identification tăng thêm gói tin định tuyến Kể trường hợp router định khơng đánh dấu gói tin, luôn tăng giá trị khoảng cách trường IP identification, gói tin định tuyến Thuật tốn đánh dấu gói tin sau: _ m = h(địa IP) for each gói tin read d = giá trị trường khoảng cách sinh số ngẫu nhiên x ∈ [0, 1) p = xác suất đánh dấu tương ứng với d, lấy từ bảng if x ≤ p (nếu xảy ra, gói tin đánh dấu) write m vào trường đánh dấu giá trị trường khoảng cách = d + 106 T¹p chÝ Khoa học & Công nghệ - Số 1(45) Tp 2/Năm 2008 Xây dựng lại đường công Để xây dựng lại đường gói tin xác định nguồn gốc công, nạn nhân cần đồ router Nạn nhân so khớp dấu gói tin với router đồ, qua xây dựng lại đường cơng Bản đồ xem đồ thị có hướng G Gốc G nạn nhân, tất đỉnh G router, router y G bao gồm tập hợp ρ y y ρ y đồ thị G Trong suốt trình diễn công DoS, nạn nhân nhận lượng lớn dấu từ router Trước xây dựng lại đường dựa dấu này, cần phân nhóm dấu dựa độ dài đường cơng Giả sử có n kẻ cơng (tấn công từ chối dịch vụ phân tán) khoảng cách khác so với nạn nhân Trong trường hợp này, nạn nhân có tập hợp khác dấu, tập chứa dấu từ kẻ cơng có khoảng cách đến nạn nhân Đặt giá trị khoảng cách khác gói tin tập dấu thuộc tập µ Có nghĩa nạn nhân có | µ | tập hợp khác dấu, tập tương ứng cho dấu gói tin gửi kẻ công mà khoảng cách so với nạn nhân Miền giá trị trường khoảng cách ≤ k ≤ 31 Gọi tập dấu nhận nạn nhân với giá trị khoảng cách k ∈ µ λk Ký hiệu số kẻ công khoảng cách k bước truyền nk Khi ta có: λk = nk k (4) Bây ta xem xét thuật toán xây dựng lại đường công Đồ thị G duyệt qua tập gói tin có giá trị trường khoảng cách (cho tập λk, ∀ k ∈ µ) Bắt đầu điểm gốc đường công nạn nhân Các dấu “láng giềng” với nạn nhân kiểm tra với dấu tập Các dấu router mà so khớp thêm vào đồ thị công Tiếp tục lặp lại vậy, “con” router kiểm tra với kiểu cách tương tự Quá trình lặp lại chiều sâu đồ thị với đường Đường công chứa Sd, với ≤ d ≤ k Thuật toán xây dựng lại đường thực sau: _ ∀k ∈ µ S0 = nạn nhân for d = to (k – 1) ∀ y in Sd ∀R ∈ ρ y if R ∈ λk then insert R Sd + output Sd output Sk 107 T¹p chÝ Khoa häc & Công nghệ - Số 1(45) Tp 2/Năm 2008 Kết luận Ở hồn cảnh việc xác định vị trí cơng từ chối dịch vụ khả thi mặt lý thuyết chưa cài đặt hệ thống thương mại Khó khăn việc cài đặt số lượng lớn nhà cung cấp phải hỗ trợ chức để triển khai dịch vụ Một vấn đề khác tồn q trình xử lý thêm nói khó khăn với router trung tâm Internet, chúng phải chuyển hàng ngàn gói tin giây Các khối lượng lưu lượng lớn cần gia tăng phụ phí CPU để cài đặt tính Tuy nhiên việc tìm hiểu phương thức xác định điểm xuất phát công cần thiết phải hoàn thiện dần theo thời gian, song song với phát triển loại hình cơng Tóm tắt Từ xuất đến nay, loại hình cơng từ chối dịch vụ (Denial of Service) vấn đề nan giải cộng đồng Internet, bây giờ, chưa có biện pháp kỹ thuật hồn tồn khắc chế kiểu cơng Với đặc tính sử dụng gói tin nặc danh từ nhiều nguồn khác để công tới nạn nhân nhất, khó để tìm nơi xuất phát công Bài báo đề cập đến kỹ thuật giúp "dò ngược" từ nơi bị cơng đến nơi xuất phát cơng, từ xây dựng lại "đường đi" phát nơi khởi nguồn công từ chối dịch vụ Summary Techniques for detecting source of Denial-of-Service attack Since the beginning of its formation, the Denial of Service attack has been a serious problem to the community of Internet users Until now, there have never been any solutions this preventing this type of attack Having the characteristic of using anonymous packets from different sources to attack the only target victim, it is very difficult to find out where exactly the attack comes from This article mentions a technique which helps to traceback from where it is attacked to where it starts to attack As a result, it is possible to rebuild attack path as well as discover the original start of an attack Tài liệu tham khảo [1] Cisco Systems, “White paper – NetFlow Services and Applications” [2] Stefan Savage, David Wetherall, Anna Karlin and Tom Anderson, “Practical Network Support for IP Traceback” [3] Tao Peng, Christopher Leckie, and Kotagiri Ramamohanarao, “Adjusted Probabilistic Packet Marking for IP Traceback” [4] David Moore, Geoffrey M Voelker and Stefan Savage, “Inferring Internet Dennial-of-Service Activity” [5] Kyoungwon Suh and Thu D Nguyen, “A Practical Defense Against SYN Denial-of-Service Attacks” [6] Gary Pack, Jaeyoung Yoon, Eli Collins, Cristian Estan, “On Filtering of DDoS Attacks Based on Source Address Prefixes” [7] Ramkumar Chinchani, Suranjan Pramanik, Ashish Garg, “Handling Failures and DoS Attack Using Network Device Groups” [8] Cisco Systems, “White paper – Distributed denial of service threats: risks, mitigation, and best practices” [9] David Moore, Geoffrey M Voelker and Stefan Savage, "Inferring Internet Denial-of-Service Activity" [10] Alex C.Snoeren, Craig Partridge, Luis A Sanchez, Christine E Jones, Fabrice Tchakountio, Beverly Schwartz, Stephen T Kent, and W Timothy Strayer, "Single-Packet IP Traceback" 108 ... Bài báo đề cập đến kỹ thuật giúp "dò ngược" từ nơi bị cơng đến nơi xuất phát cơng, từ xây dựng lại "đường đi" phát nơi khởi nguồn công từ chối dịch vụ Summary Techniques for detecting source of... thức xác định điểm xuất phát công cần thiết phải hoàn thiện dần theo thời gian, song song với phát triển loại hình cơng Tóm tắt Từ xuất đến nay, loại hình cơng từ chối dịch vụ (Denial of Service)... biện pháp kỹ thuật hồn tồn khắc chế kiểu cơng Với đặc tính sử dụng gói tin nặc danh từ nhiều nguồn khác để công tới nạn nhân nhất, khó để tìm nơi xuất phát công Bài báo đề cập đến kỹ thuật giúp