Giải pháp chống tấn công trong mạng định nghĩa bằng phần mềm (Luận văn thạc sĩ)Giải pháp chống tấn công trong mạng định nghĩa bằng phần mềm (Luận văn thạc sĩ)Giải pháp chống tấn công trong mạng định nghĩa bằng phần mềm (Luận văn thạc sĩ)Giải pháp chống tấn công trong mạng định nghĩa bằng phần mềm (Luận văn thạc sĩ)Giải pháp chống tấn công trong mạng định nghĩa bằng phần mềm (Luận văn thạc sĩ)Giải pháp chống tấn công trong mạng định nghĩa bằng phần mềm (Luận văn thạc sĩ)Giải pháp chống tấn công trong mạng định nghĩa bằng phần mềm (Luận văn thạc sĩ)Giải pháp chống tấn công trong mạng định nghĩa bằng phần mềm (Luận văn thạc sĩ)Giải pháp chống tấn công trong mạng định nghĩa bằng phần mềm (Luận văn thạc sĩ)Giải pháp chống tấn công trong mạng định nghĩa bằng phần mềm (Luận văn thạc sĩ)Giải pháp chống tấn công trong mạng định nghĩa bằng phần mềm (Luận văn thạc sĩ)Giải pháp chống tấn công trong mạng định nghĩa bằng phần mềm (Luận văn thạc sĩ)Giải pháp chống tấn công trong mạng định nghĩa bằng phần mềm (Luận văn thạc sĩ)
muHỌC VIỆN CƠNG NGHỆ BƢU CHÍNH VIỄN THƠNG ******* TRẦN QUỐC TRUNG GIẢI PHÁP CHỐNG TẤN CÔNG TRONG MẠNG ĐỊNH NGHĨA BẰNG PHẦN MỀM LUẬN VĂN THẠC SỸ Hà Nội-2019 HỌC VIỆN CƠNG NGHỆ BƢU CHÍNH VIỄN THƠNG ******* TRẦN QUỐC TRUNG GIẢI PHÁP CHỐNG TẤN CÔNG TRONG MẠNG ĐỊNH NGHĨA BẰNG PHẦN MỀM LUẬN VĂN THẠC SỸ Chuyên ngành : Kỹ thuật viễn thông Mã số : 8.52.02.08 Ngƣời hƣớng dẫn khoa học: TS Ngô Đức Thiện Hà Nội- 2019 i LỜI CAM ĐOAN Tôi xin cam đoan nội dung luận văn tơi tìm hiểu nghiên cứu thân Các kết nghiên cứu nhƣ ý tƣởng tác giả khác đƣợc trích dẫn cụ thể Đề tài luận văn chƣa đƣợc bảo vệ hội đồng bảo vệ luận văn thạc sĩ nƣớc nƣớc Đồng thời chƣa đƣợc công bố phƣơng tiện thông tin truyền thông Tác giả luận văn TRẦN QUỐC TRUNG ii LỜI CẢM ƠN Tôi xin cảm ơn TS Ngô Đức Thiện thầy cô Khoa Đào Tạo Sau Đại Học tận tình hƣớng dẫn giúp đỡ để tơi hồn thành tốt đề tài Do kinh nghiệm kiến thức chƣa đƣợc sâu sắc nên luận văn cịn nhiều thiếu sót, mong q thầy đánh giá góp ý để tơi hoàn thiện tốt luận văn nhƣ đề tài nghiên cứu sau này! Xin chân thành cảm ơn! Hà nội, ngày 16 tháng 01 năm 2020 Tác giả luận văn TRẦN QUỐC TRUNG iii MỤC LỤC LỜI CAM ĐOAN i LỜI CẢM ƠN ii MỤC LỤC iii DANH MỤC CÁC CHỮ VIẾT TẮT v DANH MỤC HÌNH VẼ vi MỞ ĐẦU .1 CHƯƠNG TỔNG QUAN VỀ SDN 1.1 Tổng quan SDN 1.1.1 Định nghĩa 1.1.2 Kiến trúc SDN [2] .4 1.1.3 So sánh kiến trúc mạng truyền thống kiến trúc SDN 1.1.4 Lợi ích SDN 1.1.5 Ứng dụng SDN 1.2 Giao thức OpenFlow .9 1.2.1 Định nghĩa 1.2.2 Kiến trúc OpenFlow Switch .10 1.2.3 Hoạt động OpenFlow Switch 13 1.3 Các tin trao đổi OpenFlow [6] 17 1.3.1 Bản tin PacketIn 17 1.3.2 Bản tin PacketOut 18 1.3.3 Bản tin FlowRemoved .20 1.3.4 Bản tin FlowMod 22 iv 1.3.5 Bản tin StatsRequest 25 1.3.6 Bản tin StatsResponse .25 CHƯƠNG XÂY DỰNG KIẾN TRÚC MẠNG SDN/OPENFLOW SỬ DỤNG TRONG PHỊNG CHỐNG TẤN CƠNG 27 2.1 Giả lập kiến trúc mạng SDN/OpenFlow .27 2.2 Nguyên lý hoạt động hệ thống [5] 31 2.2.1 Cách thức hoạt động Controller 31 2.2.2 Cách hoạt động chuyển mạch OpenFlow Switch .31 2.2.3 Cách thức hoạt động kiểm soát lƣu lƣợng sFlow – Network Monitoring 32 2.3 Kịch công giải pháp giảm thiểu công khuyếch đại DNS .33 2.3.1 Xây dựng hệ thống 33 2.3.2 Công cụ hỗ trợ 35 2.3.3 Kịch phát công 44 CHƯƠNG KẾT QUẢ MÔ PHỎNG CHỐNG TẤN CÔNG TRONG SDN .45 3.1 Mơ hình xây dựng hệ thống 45 3.1.1 Tổng quan hệ thống 45 3.1.2 Triển khai hệ thống 47 3.2 Mô công biện pháp giảm thiếu công 48 3.2.1 Phát lƣu lƣợng bình thƣờng khơng có giải pháp giảm thiểu 49 3.2.2 Hệ thống sử dụng giải pháp giảm thiểu 50 3.3 Nhận xét kiến nghị 51 KẾT LUẬN .52 v DANH MỤC TÀI LIỆU THAM KHẢO 53 DANH MỤC CÁC CHỮ VIẾT TẮT Chữ viết tắt Tiếng anh Tiếng Việt DoS Distributed Denial of Service Từ chối dịch vụ DNS Domain Name System Hệ thống phân giải tên miền TCP Transmission Control Protocol Giao thức điều khiển truyền vận UDP User Datagram Protocol Giao thức gói tin ngƣời dùng SDN Software Defined Networking Mạng định nghĩa phần mềm ID Identification Địa mạng IP Internet Protocol Giao thức Internet API Application Programming Giao diện lập trình ứng dụng Interface CPU Center Processing Unit Bộ xử lý trung tâm TTL Time To Live Thời gian cập nhật TLS Transport Layer Security Giao thức bảo mật SSL Secure Sockets Layer Lớp cổng bảo mật FPGA Field Progammable Gate Array Cấu trúc mảng phần tử logic lập trình đƣợc MAC Media Access Control Kiểm soát truy cập CapEx Capital Expenditures Chi phí triển khai OpEx Operating Expenditures Chi phí hoạt động vi DANH MỤC HÌNH VẼ Hình 1.1 Sự phân tách kiến trúc mạng SDN Hình 1.2 Kiến trúc mạng SDN Hình 1.3 So sánh mạng SDN với mạng truyền thống Hình 1.4 Kiến trúc OpenFlow Switch 11 Hình 1.5 Ví dụ Flow table OpenFlow Switch 12 Hình 1.6 Ví dụ hoạt động OpenFlow Switch .13 Hình 1.7 Quá trình xử lý Pipeline Flow Table .14 Hình 1.8 Bản tin PacketIn 17 Hình 1.9 Cấu trúc tin PacketIn 17 Hình 1.10 Bản tin PacketOut 18 Hình 1.11 Cấu trúc tin PacketOut .19 Hình 1.12 Hoạt động tin FlowRemoved .20 Hình 1.13 Cấu trúc tin FlowRemoved 21 Hình 1.14 Hoạt động FlowMod 22 Hình 1.15 Cấu trúc tin FlowMod 23 Hình 1.16 Hoạt động tin StatsRequest 25 Hình 1.17 Cấu trúc tin StatsRequest 25 Hình 1.18 Hoạt động tin StatsResponse .26 Hình 1.19 Phần body tin StatsResponse .26 Hình 2.1 Kiến trúc mạng SDN/OpenFlow giả lập 28 Hình 2.2 Board mạch NetFPGA 29 Hình 2.3 Kiến trúc tổng thể hệ thống giả lập 30 Hình 2.4 Cấu trúc tin FlowMod 31 Hình 2.5 Cấu trúc Agent- Collector sFlow 33 Hình 2.6 Các tùy chọn sử dụng để phát cơng 36 Hình 2.7 Giao diện phần mềm Wireshark 37 vii Hình 2.8 Cửa sổ sử dụng TCPReplay để phát lại gói tin 38 Hình 2.9 Cửa sổ sử dụng TCPReplay để phát lại gói tin 39 Hình 2.10 Màn hình khởi động MobaXterm 40 Hình 2.11 Màn hình trợ giúp công cụ editcap 41 Hình 2.12 Giao diện trợ giúp Speedometer .42 Hình 2.13 Giao diện hoạt động Tcpdump 43 Hình 3.1 Mơ hình lý thuyết 45 Hình 3.2 Giao diện phần mềm Moba Xterm 46 Hình 3.3 Kết sau nhập code 47 Hình 3.4 Các gói tin thu đƣợc Wireshark 48 Hình 3.5 Lƣu lƣợng cơng chƣa chạy giải pháp giảm thiểu 49 Hình 3.6 Lƣu lƣợng công chạy qua giải pháp giảm thiểu 50 MỞ ĐẦU Lý chọn đề tài Với phát triển không ngừng Internet ngày nay, nhu cầu mở rộng mạng ngày tăng, đòi hỏi số lƣợng thiết bị mạng ngày lớn, từ kiến trúc mạng truyền thống bộc lộ nhiều khuyết điểm Sự phức tạp hệ thống, khả mở rộng mạng kém, sách khơng qn, chi phí triển khai tốn kém, nhiều điểm yếu bảo mật Nhu cầu đặt cần có kiến trúc mạng đảm bảo đƣợc tích hợp linh hoạt, kết hợp với giải pháp bảo mật an tồn cho hệ thống Chính vậy, cơng nghệ mạng định nghĩa phần mềm (SDN) đời nhƣ giải pháp cho hệ thống mạng tƣơng lai Bên cạnh đó, SDN cịn lựa chọn cho việc triển khai giải pháp đảm bảo an ninh mạng, trƣớc phức tạp công không ngừng thay đổi cách thức nhƣ độ nguy hại, cản trở nhiều hoạt động giao dịch, dịch vụ mạng Những hạn chế bảo mật kiến trúc mạng truyền thống để lộ lỗ hổng cho kẻ công, tổ chức tội phạm thực hành vi phá hoại tới hệ thống, gây hậu cho doanh nghiệp, quan, tổ chức, nhà cung cấp dịch vụ Vì lý em xin chọn đề tài "Giải pháp chống công mạng định nghĩa phần mềm" làm đề tài luận văn tốt nghiệp Tổng quan vấn đề nghiên cứu SDN đời vào năm 2008 Đại học Stanford tạo cách mạng giới công nghệ Ƣu điểm SDN việc tách phần logic điều khiển mạng khỏi chuyển mạch, thúc đẩy điều khiển tập trung cung cấp khả lập trình cho mạng Hiện tại, Google Facebook đầu tƣ mạnh cho SDN dự đoán năm tới thay toàn mạng truyền thống Vấn đề nghiên cứu mạng SDN đƣợc nghiên cứu rộng rãi giới năm gần Từ nhiều năm trở lại đây, có báo giới đƣa nhiều giải pháp nhằm nâng cao hiệu cho trình sử dụng mạng Internet 39 0ms, có nghĩa file pcap đƣợc phát lặp lại sau vừa kết thúc Ngồi việc có nhiều lựa chọn cho việc phát lại liệu công, TCPReplay cịn có hỗ trợ thêm số tính vơ tiện ích nhƣ sau: - TCPReplay : phát lại gói tin vào hệ thống mạng - TCPbridge : tạo cầu kết nối hai đoạn mạng với - TCPcapinfo: phân tích bug tcprewrite hay nhƣ gói tin pcap bị lỗi - TCPrewrite: chỉnh sửa thơng tin header gói tin - TCPprep: xử lý tập tin định dạng pcap, cho phép bóc tách gói tin - TCPplieplay: cho phép phát gói tin truyền theo giao thức truyền thông TCP vào mạng internet, thiết lập q trình bắt tay ba bƣớc Để biết thơng tin chi tiết tham số nhƣ cách sử dụng, ngƣời dùng dễ dàng tra cứu trợ giúp ngƣời phát triển, cách dùng câu lệnh: Tcpreplay -help Sau sử dụng câu lệnh trên, hình trợ giúp tcpreplay nhƣ hình 2.9: Hình 2.9 Cửa sổ sử dụng TCPReplay để phát lại gói tin 40 TCPRplay đƣợc tích hợp cài phát lƣu lƣợng Traffic-generator đóng vai trị kẻ cơng Với nhiều lựa chọn câu lệnh phát lƣu lƣợng, ta tùy chỉnh thông số để tạo kịch phát lƣu lƣợng với tốc độ, dung lƣợng khác d) Moba Xterm Hệ thống đƣợc xây dựng dựa tài nguyên Server Để thuận tiện cho việc điều khiển Server từ xa tất Server đƣợc kết nối với mạng LAN qua hệ thống Router, Switch Modem Tất Server hệ thống nằm chung giải mạng đƣợc điều khiển từ xa qua máy tính dải mạng thông qua phần mềm MobaXterm Việc truy cập thống máy tính giúp cho việc điều khiển hệ thống dễ dàng cho ta nhìn tổng qt mơ hình thử nghiệm Trên Hình 2.10 hình khởi động phần mềm MobaXterm, nơi ta thơng qua SSH để truy cập vào Server Hình 2.10 Màn hình khởi động MobaXterm 41 e) Editcap Editcap công cụ kèm với Wireshark nhƣng cơng dụng lớn Với tác dụng chỉnh sửa file pcap theo nhu cầu ngƣời dùng nhƣ: chia nhỏ file pcap, ghép file pcap,… Hình 2.11 Màn hình trợ giúp cơng cụ editcap Ví dụ, để tách file dns.pcap thành file nhỏ, file dài 20s Ta sử dụng câu lệnh nhƣ sau: Sudo editcap -i 20 dns.pcap dsn_output.pcap Một số thông số quan trọng editcap là: -i: chia file pcap sau giây -c: chia file pcap thành file nhỏ, file nhỏ chứa packet, … f) Speedometer Speedometer công cụ nhỏ phiên khác hệ điều hành Ubuntu Do kích thƣớc nhỏ gọn nên việc cài đặt vơ dễ dàng nhanh chóng, phù hợp với điều kiện đo đạc khác Công dụng cơng cụ đo đạc lƣu lƣợng qua cổng máy tính đƣợc cài đặt 42 Speedometer Để thuận tiện cho ngƣời dùng, Speedometer cho phép ngƣời dùng đo lƣu lƣợng vào cổng chí cổng ảo (tạo mơ hình chứa OpenFlow Switch) Chính khơng cần quan tâm q nhiều đến thơng số khác ngồi lƣu lƣợng qua cổng Speedometer cơng cụ hồn hảo Khơng giống nhƣ Wireshark chạy tảng hệ điều hành có giao diện, Speedometer chạy đƣợc tảng có hình commandline (cụ thể Ubuntu Server, SSH qua MobaXterm) Tƣơng tự nhƣ công cụ khác chạy Ubuntu, Speedometer cho phép ngƣời dùng truy vấn trợ giúp thông qua câu lệnh: sudo speedometer -help, kết thu đƣợc nhƣ Hình 2.12 Hình 2.12 Giao diện trợ giúp Speedometer Trong đó, thông thƣờng quan tâm đến: -t: đo lƣu lƣợng khỏi cổng 43 -r: đo lƣu lƣợng vào cổng Ví dụ: Speedometer -t eth3 -r eth5 Câu lệnh có nghĩa muốn lƣu lƣợng giao diện cổng eth3 lƣu lƣợng vào giao diện cổng eth5 g) Tcpdump Tcpdump công cụ đo lƣu lƣợng thơng số gói tin qua hay nhiều cổng máy Chúng ta coi Tcpdump kết hợp Wireshark Speedometer Tcpdump khơng cần chạy hệ điều hành có giao diện giống nhƣ Speedometer nhƣng mang nhiều thơng số gói tin giống nhƣ Wireshark Chính vậy, trƣờng hợp cụ thể, ngƣời dùng linh hoạt ba phần mềm để thu đƣợc hiệu đo đạc cao Câu lệnh hoạt động Tcpdump đơn giản, ví dụ nhƣ sau: Tcpdump -i eth3 | grep dns Tức muốn thống kê gói tin qua giao diện cổng eth3 gói tin chứa thơng tin “dns” Hình 2.13 Giao diện hoạt động Tcpdump 44 Trên Hình 2.13 giao diện gói tin đƣợc bắt tcpdump Có nhiều thơng tin khác mà ngƣời dùng lựa chọn để thu thập, tuỳ vào mục đích sử dụng 2.3.3 Kịch phát công Sử dụng công cụ Bonesi để phát cơng trực tiếp vào FPT Server đóng vai trò máy nạn nhân, đồng thời dùng Wireshark để thu thập liệu lƣu lại dƣới dạng file pcap Tác giả có đƣợc liệu cơng giống đặc tính mạng Botnet Sử dụng TCPReplay để phát lại lƣu lƣợng từ máy phát lƣu lƣợng vào hệ thống giả lập xây dựng, tiến hành công máy FPT Server Lƣu lƣợng phải đƣợc chuyển tiếp qua OpenFlow Switch đƣợc kiểm soát controller Tiến hành phát ghi lại kết hai trƣờng hợp : không chạy giải pháp giảm thiểu cơng trƣờng hợp có chạy giải pháp giảm thiểu công Floodlight Controller Sử dụng công cụ Speedometer để đo thông lƣợng lƣu lƣợng đầu vào nhƣ đầu khối chuyển mạch công nghệ sFlow để giám sát lƣu lƣợng Từ thấy đƣợc rõ hình thức cơng hiệu giải pháp đƣợc sử dụng Giải pháp đƣợc đƣa dùng ngƣỡng xác định, phát công, Controller gửi tin Flowmod để drop tất tin DNS Response Trên khối Floodlight Controller có phát triển module phát công DNS với chế dùng ngƣỡng xác định Port 53 (DNS sử dụng giao thức TCP UDP với Port giao tiếp Port 53) đƣợc đóng để chặn tin DNS Response khoảng time idle time out mội flow entry (thƣờng 5s) Trong vịng 5s từ lúc đóng port, có tin DNS Response tới chu kỳ 5s lại đƣợc lặp lại từ đầu, có cơng xảy đảm bảo tất tin DNS Response bị chặn lại drop hết port 53, lƣu lƣợng đƣợc đảm bảo 45 CHƯƠNG KẾT QUẢ MÔ PHỎNG CHỐNG TẤN CƠNG TRONG SDN Trong chƣơng này, tác giả trình bày kết đạt đƣợc việc thực mô chƣơng việc xây dựng kiến trúc mạng SDN/OpenFlow thực phịng chống cơng DNS giải pháp đƣợc thực Đồng thời đề xuất hƣớng phát triển sau 3.1 Mơ hình xây dựng hệ thống 3.1.1 Tổng quan hệ thống Tác giả xây dựng đƣợc mơ hình giả lập cơng nhƣ nghiên cứu phần lý thuyết Hình 3.1 cho thấy đƣợc khối chức hệ thống giả lập Hình 3.1 Mơ hình lý thuyết Nhƣ ta thấy thích cụ thể hình khối thiết bị chức hệ thống bao gồm : - Floodlight Controller - OpenFlow Switch - Traffic Generator 46 - Victim Server Các khối nằm tập trung Security Rack, để việc truy cập điều khiển vào khối chức hệ thống đƣợc dễ dàng, tác giả sử dụng phần mềm Moba Xterm hoạt động dựa giao thức SSH dải mạng LAN, trực tiếp SSH vào khối, điều khiển tập trung tất khối máy tính laptop PC rời khối, có kết nối mạng với hệ thống Dễ dàng điều khiển giám sát hệ thống, giảm thiểu đc thiết bị phần cứng khơng gian Hình 3.2 Giao diện phần mềm Moba Xterm Các khối mơ hình có địa IP riêng, nhờ vào sử dụng giao thức SSH ta truy cập điều khiển cách tổng quát tất khối hệ thống Địa IP ứng với khối: - Controller Floodlight (controller): 192.168.101.243 - OpenFlow Switch (super-switch): 192.168.101.222 - Traffic Generator (Traffic): 192.168.101.171 - Victim (Serverfarm): 192.168.101.70 47 3.1.2 Triển khai hệ thống Traffic Generator: Chúng ta tiến hành bật traffic generator lên để chuẩn bị cho việc phát lƣu lƣợng mẫu Kiểm tra lại kết nối mạng từ traffic generator mạng internet để bắt đầu dùng MobaXterm để SSH vào điều khiển máy OpenFlow Switch (super-switch): Sau tiến hành bật máy lên, phải tiến hành nạp code cho NetFPGA, bƣớc đầu để máy tính nhận cổng NetFPGA cổng máy $: sudo -i $:./nic1.sh $: reboot Sau tiền hành nạp file code đầu tiên, phải khởi động lại máy để máy hoàn thành tác vụ chuyển cổng FPGA thành cổng máy Sau máy bật lên trở lại, tiến hành nạp file code thứ hai $: sudo -i $:./nic2.sh Sau chạy xong file nạp code trên, cấu hình để máy tính hoạt động nhƣ OpenFlow Switch Chúng ta kiểm tra lại hệ thống lệnh: $: sudo ovs-vsctl show Hình 3.3 Kết sau nhập code 48 Nếu kết chạy cổng nhƣ mơ hình định sẵn (nhƣ Hình 3.3) nạp code thành cơng Giờ dùng MobaXterm để truy cập điều khiển máy ServerFarm: Sau máy ServerFarm đƣợc bật, tiến hành bật Wireshark lên chuẩn bị tiến hành đo lƣu qua cổng enp10s0f0 3.2 Mô công biện pháp giảm thiếu công Trƣớc tiên sử dụng Bonesi để phát lƣu lƣợng giả lập, chứa nguồn địa IP khác từ file 50k-bots với tối độ 1500 gói/s tới địa Victim 192.168.20.30 Câu lệnh phát : $:sudo bonesi –i 1k-bots –d eth3 –r 1500 –p udp 192.168.20.30:80 Đồng thời dùng phần mềm wireshark thu lại lịch sử kết nối phát cơng thành file dns.pcap Hình 3.4 Các gói tin thu đƣợc Wireshark Sau thu đƣợc file dns.pcap đóng vai trị nhƣ file chứa lƣu lƣợng cơng cho mơ hình giả lập Tiếp theo tác giả sử dụng công cụ TCPReplay để phát lại file dns.pcap vào mơ hình 49 3.2.1 Phát lưu lượng bình thường khơng có giải pháp giảm thiểu Trƣớc tiến hành phát lƣu lƣợng, tiến hành bật controller tiến hành gửi lƣu lƣợng từ OpenFlow Switch lên controller Trƣớc tiên, controller, ta chạy controller cách: $: cd /Downloads/idea-IC-173.4548.28/bin $:./idea.sh Sau đó, tiến hành chạy controller mà khơng có giải pháp giảm thiểu Thực phát lƣu lƣợng vào hệ thống giả lập từ máy traffic gerenator, đồng thời chƣa chạy chƣơng trình giảm thiểu công controller Lúc luồng lƣu lƣợng từ máy phát tới OpenFlow Switch, trao đổi với controller Vì controller chƣa bật chức phát giảm thiểu cơng tồn lƣu lƣợng vào đƣợc chuyển tiếp hoàn toàn sang phía Victim, máy nạn nhân hứng chịu cơng Hình 3.5 Lƣu lƣợng cơng chƣa chạy giải pháp giảm thiểu 50 3.2.2 Hệ thống sử dụng giải pháp giảm thiểu Quy trình tƣơng tự nhƣ phát lƣu lƣợng bình thƣờng, nhƣng lúc SDN Controller ta bắt đầu chạy giải pháp phát giảm thiểu cơng Nhƣ trình bày chƣơng trƣớc, giải pháp đƣợc đƣa có cơng đóng port 53 luồng lƣu lƣợng tới vƣợt ngƣỡng cho phép, 5s lấy mẫu theo dõi lần Từ hình 3.5 3.6 cho ta thấy khác biệt trƣờng hợp sử dụng giải pháp phát giảm thiểu công trƣờng hợp không sử dụng Ta thấy rằng, file 50k-bots với tối độ 1500 gói/s không sử dụng giải pháp giảm thiểu công, số lƣợng flow-entry switch lớn lớn khoảng 700Mb/s thời gian tồn flow entry Switch kéo dài Điều gây tốn tài nguyên Switch công với cƣờng độ lƣu lƣợng lớn dẫn tới Switch khơng cịn khả xử lý Trong sử dụng giải pháp giảm thiểu công với file 50k-bots với tối độ 1500 gói/s số lƣợng flow-entry Switch cơng xảy đạt giá trị lớn khoảng 5Mb/s Ngoài trạng thái flow tồn Swich ngắn so với trƣờng hợp khơng sử dụng giải pháp giảm thiểu Hình 3.6 Lƣu lƣợng công chạy qua giải pháp giảm thiểu 51 3.3 Nhận xét kiến nghị Hệ thống giả lập đƣợc xây dựng hiệu việc phát phịng chống cơng Dựa kiến trúc mạng SDN/OpenFlow với công nghệ sFlow, hệ thống phát đƣợc truy vấn giả mạo để thực ngăn chặn công thời gian ngắn, nhanh chóng giảm thiểu đƣợc flow entry vào chuyển mạch OpenFlow Switch, giúp Server nhanh phục hồi để phục vụ dịch vụ thông thƣờng công xảy Qua đề tài luận văn này, ta nhận thấy hiệu việc phát phịng chống cơng hệ thống giả lập Tác giả xin đƣợc kiến nghị đƣợc thử nghiệm mơ hình hệ thống vào hệ thống SDN hoạt động đơn vị thời gian tới 52 KẾT LUẬN Các kết đề tài luận văn: - Đƣa nhìn tổng quan kiến trúc mạng SDN, giao thức OpenFlow tin trao đổi OpenFlow Switch Controller - Xây dựng kiến trúc mạng SDN/OpenFlow server testbed Đồng thời giả lập công hệ thống mô phỏng, kỹ thuật giám sát lƣu lƣợng giảm thiểu cơng đƣợc tích hợp - Hệ thống mô phát ngăn chặn công thời gian ngắn, giúp server nhanh chóng phục hồi để phục vụ dịch vụ công xảy Hƣớng phát triển đề tài: Thử nghiệm mơ hình với liệu đƣợc thu thập từ thực tế chứa nhiều hình thức cơng hơn, để đánh giá hiệu hệ thống giả lập nhƣ phát triển giải pháp phòng chống loại công khác SDN Controller Đồng thời, nâng cấp cấu hình Controller để tăng tốc độ xử lý gói tin cơng, giảm thời gian đáp ứng hệ thống, tối ƣu hóa hiệu hệ thống, cung cấp hệ thống hoàn thiện 53 DANH MỤC TÀI LIỆU THAM KHẢO [1] Thuyết minh dự thảo tiêu chuẩn quốc gia – Các yêu cầu hƣớng dẫn bảo mật DNS (DNSSEC)-2016 [2] Open Networking Foundation, Software-Defined Networking: The New Norm for Networks, April 13, 2012 [3] OpenFlow Specification v1.3.0, June 25, 2012 [4] Marios Anagnostopoulos, Georgios Kambourakis, Panagiotis Kopanos, Georgios Louloudakis, Stefanos Gritzalis, DNS Amplification Attack Revisited, An article in Computer&Security, December 2013 [5] FERGUSON, P., AND SENIE, D.BCP 38 - Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing RFC 2827, May 2000 [6] Muhammad Afaq, Shafqat Rehman, Wang-Cheol Song, Large Flows Detection, Marking, and Mitigation based on sFlow Standard in SDN, Journal of Korea Multimedia Society Vol 18, No 2, February 2015 (pp 189-198) ... VIỆN CƠNG NGHỆ BƢU CHÍNH VIỄN THƠNG ******* TRẦN QUỐC TRUNG GIẢI PHÁP CHỐNG TẤN CÔNG TRONG MẠNG ĐỊNH NGHĨA BẰNG PHẦN MỀM LUẬN VĂN THẠC SỸ Chuyên ngành : Kỹ thuật viễn thông Mã số : 8.52.02.08... kiến trúc mạng đảm bảo đƣợc tích hợp linh hoạt, kết hợp với giải pháp bảo mật an tồn cho hệ thống Chính vậy, cơng nghệ mạng định nghĩa phần mềm (SDN) đời nhƣ giải pháp cho hệ thống mạng tƣơng... kẻ công, tổ chức tội phạm thực hành vi phá hoại tới hệ thống, gây hậu cho doanh nghiệp, quan, tổ chức, nhà cung cấp dịch vụ Vì lý em xin chọn đề tài "Giải pháp chống công mạng định nghĩa phần mềm"