ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ PHẠM XUÂN BÁCH CHỐNG TẤN CÔNG TỪ CHỐI DỊCH VỤ TỐC ĐỘ THẤP TRÊN WEB LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN HÀ NỘI - 2014 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ PHẠM XUÂN BÁCH CHỐNG TẤN CÔNG TỪ CHỐI DỊCH VỤ TỐC ĐỘ THẤP TRÊN WEB Ngành: Công nghệ thông tin Chuyên ngành: Truyền liệu mạng máy tính Mã số: LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN NGƯỜI HƯỚNG DẪN KHOA HỌC: TIẾN SĨ NGUYỄN ĐẠI THỌ HÀ NỘI - 2014 i LỜI CAM ĐOAN Tôi xin cam đoan cơng trình nghiên cứu thân Các số liệu, kết luận văn thực hiện, không chép kết khác Tác giả Phạm Xuân Bách ii MỤC LỤC TRANG PHỤ BÌA .2 LỜI CAM ĐOAN .i MỤC LỤC ii DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT iv DANH MỤC CÁC BẢNG .vi DANH MỤC CÁC HÌNH VẼ, ĐỒ THỊ vii MỞ ĐẦU CHƯƠNG 1: TẤN CÔNG TỪ CHỐI DỊCH VỤ VÀ CÁC PHƯƠNG PHÁP PHÒNG CHỐNG 1.1 Các phương pháp công từ chối dịch vụ 1.1.1 Tấn công gửi tràn gói tin UDP 1.1.2 Tấn cơng gửi tràn gói tin TCP SYN 1.1.3 Tấn công từ chối dịch vụ phản xạ nhiều vùng - DRDOS 1.1.4 Tấn công qua mạng ngang hàng 1.1.5 Tấn công Slowloris .6 1.1.6 Tấn công suy giảm dịch vụ 1.1.7 Tấn công từ chối dịch vụ phân tán không chủ ý 1.1.8 Tấn công từ chối dịch vụ vào lớp ứng dụng .7 1.1.9 Phương pháp công Multi-Vector 1.1.10 Phương pháp công từ chối dịch vụ tốc độ thấp - LDOS .8 1.2 Các phương pháp phịng chống cơng từ chối dịch vụ 10 1.2.1 Các biện pháp phân tích làm giảm lưu lượng cơng đến router 10 1.2.2 Các biện pháp dựa lực hệ thống 11 1.2.3 Các biện pháp sử dụng câu đố - puzzle để phân biệt lưu lượng công 12 1.2.4 Các biện pháp sử dụng thống kê để phân biệt lưu lượng công 13 1.2.5 Các biện pháp phát công giả mạo IP 13 1.2.6 Các biện pháp sử dụng lớp mạng bao phủ bảo vệ mục tiêu đích 14 1.2.7 Một số biện pháp chống công từ chối dịch vụ tốc độ thấp - LDOS 15 CHƯƠNG 2: TRÊN WEB 2.1 PHƯƠNG PHÁP WDA CHỐNG TẤN CÔNG TỪ CHỐI DỊCH VỤ 18 Mơ hình hóa lưu lượng truy cập Web 19 iii 2.1.1 Mơ hình 19 2.1.2 Mơ hình định lượng 20 2.2 Thiết kế WDA 22 2.2.1 Tổng quan 22 2.2.2 Bộ lọc policer 23 2.3 2.2.2.1 Phân tích giai đoạn OFF .23 2.2.2.2 Phân tích giai đoạn ON 24 2.2.2.3 Các giới hạn băng thơng động: tính hàm hành vi BF 25 2.2.2.4 nhiên Chống lại kẻ công chế ON-OFF với session bẫy ngẫu 26 2.2.2.5 Trạng thái tối thiểu .27 2.2.2.6 Phân biệt giai đoạn ON OFF 28 2.2.2.7 Chống giả mạo địa IP 29 Các tham số sử dụng cho WDA .30 2.3.1 Mô với lưu lượng hợp lệ 30 2.3.2 Định lượng chiến lược công 30 2.3.3 Mô với lưu lượng công 31 2.3.4 Tham số policer kết .32 2.4 Hiệu WDA 33 2.4.1 Overhead nhớ .33 2.4.2 Overhead CPU 33 CHƯƠNG 3: ĐỀ XUẤT CẢI TIẾN .35 3.1 Phân tích 35 3.2 Đề xuất phương pháp 1: WDA Advance 38 3.3 Đề xuất phương pháp 2: RWDA 40 CHƯƠNG 4: KẾT QUẢ MÔ PHỎNG 43 4.1 Kịch 43 4.2 Kết .45 4.2.1 Phương pháp 1: WDA Advance 45 4.2.2 Phương pháp 2: RWDA 47 KẾT LUẬN 50 TÀI LIỆU THAM KHẢO .51 iv DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT DOS: Denial-of-service, công từ chối dịch vụ DDOS: Distributed Denial-of-service, công từ chối dịch vụ phân tán LDOS: Low-rate Denial-of-service, công từ chối dịch vụ tốc độ thấp Bot-net: Mạng lưới máy bị chiếm quyền điều khiển sử dụng làm công cụ công DDOS Zombie: Thuật ngữ máy bị chiếm quyền điều khiển sử dụng làm công cụ công DDOS WDA: Web farm DDoS Attack attenuator, kiến trúc nhằm mục đích làm suy giảm lưu lượng công từ chối dịch vụ phân tán web Web farm: Cụm web server Client: Máy khách người dùng Server: Máy chủ phục vụ web ISP: Internet Service Provider , nhà cung cấp dịch vụ mạng internet Upload: Tải lên RTT: Round Trip Time, khoảng thời gian tín hiệu gói tin chạy từ Source đến Destination quay ngược lại RTO: Retransmission Timeout, khoảng thời gian truyền lại gói tin khơng nhận phản hồi TCP: Transmission Control Protocol - Giao thức điều khiển truyền tin UDP: User Datagram Protocol ICMP: Internet control message protocol TCP SYN: Gói TCP SYN (đồng hóa) ACK: Acknowledgement TTL: Time to live HTTP: Hypertext Transfer Protocol: giao thức truyền tải siêu văn HTML: Hypertext Markup Language - Ngôn ngữ đánh dấu siêu văn IP: Internet Protocol - giao thức Internet Request: Yêu cầu Response: Đáp ứng v AIMD: Additive-increase multiplicative- decrease: Tăng theo cấp số cộng, giảm theo cấp số nhân, chế truyền gói tin điều khiển chống tắc nghẽn TCP Session: Phiên làm việc False-Positive: Trường hợp đánh giá cho kết đúng, thực tế kết sai ASM: Anti-Spoofing Mechanism – Cơ chế chống giả mạo Overhead: Chi phí tài nguyên phát sinh thêm Firewall: Tường lửa QoS: Quality of service – Chất lượng dịch vụ AOP: Average Off Period - thời gian trung bình giai đoạn OFF STH: Session threshold - Ngưỡng phiên CPU: Central processing unit – Bộ xử lý trung tâm NAT: Network address translation – Kĩ thuật dịch địa IP riêng – private sang địa IP công khai – public nhằm sử dụng chung địa IP công khai cho mạng riêng vi DANH MỤC CÁC BẢNG Bảng 2.1 Thống kê lưu lượng truy cập web Choi-Limb 21 Bảng 2.2 Các tham số áp dụng cho WDA 32 vii DANH MỤC CÁC HÌNH VẼ, ĐỒ THỊ Hình 1.1 Kiến trúc RRED 16 Hình 2.1 Cấu trúc Web farm 19 Hình 2.2 Sơ đồ khối WDAQ 22 Hình 3.1 Kiến trúc WDA Advance .39 Hình 3.2 Kiến trúc RWDA 41 Hình 4.1 Topo mạng số tham số mô 44 Hình 4.2 WDA Advance - Mơ cơng tốc độ thấp với chu kì công thay đổi .46 Hình 4.3 WDA Advance - Mơ cơng tốc độ thấp với khoảng thời gian burst thay đổi 46 Hình 4.4 WDA Advance - Mô công tốc độ thấp với độ lớn burst thay đổi 47 Hình 4.5 RWDA - Mơ cơng tốc độ thấp với chu kì cơng thay đổi 48 Hình 4.6 RWDA - Mơ công tốc độ thấp với khoảng thời gian burst thay đổi .49 Hình 4.7 RWDA - Mô công tốc độ thấp với độ lớn burst thay đổi .49 MỞ ĐẦU Tấn công từ chối dịch vụ phân tán (DDos, Distributed Denial of Services) từ nhiều năm trở thành mối nguy hại lớn người dùng internet Cách thức công thông thường sử dụng mạng lưới “bot-net” gồm số lượng lớn máy tính bị chiếm quyền điều khiển nhằm tập trung công, gây tắc nghẽn băng thông máy chủ, qua việc đồng loạt gửi yêu cầu tới server nạn nhân Kết ứng dụng, server bị tê liệt, suy giảm khả phục vụ người dùng hợp lệ Theo báo cáo công ty mạng Arbor Networks [1], nửa cuối năm 2005 trung bình có tới 1400 công từ chối dịch vụ diễn ngày, tang 50% so với nửa đầu năm Mức độ ảnh hưởng nghiêm trọng công từ chối dịch vụ phân tán tới chất lượng độ tin cậy mạng internet dẫn đến nghiên cứu sâu rộng nhằm hướng tới phòng chống công từ chối dịch vụ phân tán web, giúp bảo vệ người dùng tổ chức, doanh nghiệp Có nhiều phương pháp đề xuất, từ việc lọc gói tin để phân loại, giới hạn lưu lượng gửi tới, tìm cách đẩy lùi lưu lượng cơng ngược trở lại địa nguồn, tìm cách phát ngăn chặn công từ mạng nguồn, sử dụng kiểm tra phân biệt người dùng thật máy công tự động, nhận diện thay đổi lưu lượng mạng lúc bình thường có cơng từ chối dịch vụ, lọc gói tin để chống giả mạo địa IP… Luận văn giới thiệu WDA Web farm DDoS Attack attenuator, kiến trúc với mục đích làm suy giảm lưu lượng công từ chối dịch vụ phân tán web, đảm bảo phục vụ tốt người dùng trường hợp bị công Và nghiên cứu sâu để cải tiến WDA nhằm chống lại phương pháp công từ chối dịch vụ đặc biệt- công từ chối dịch vụ tốc độ thấp [2,3] Phần luận văn tổ chức sau: Chương 1: Tấn công từ chối dịch vụ phương pháp phòng chống nêu lên cách tổng quan cách thức công từ chối dịch vụ sử dụng nay, phương pháp nghiên cứu nhằm giảm thiểu tác động công từ chối dịch vụ lên nạn nhân Có nhiều phương pháp số nghiên cứu với tiềm lớn cải tiến phù hợp tạo lớp bảo vệ vững cho server trước công ngày mạnh mẽ tinh vi từ cá nhân tổ chức thực công từ chối dịch vụ Chương giới thiệu cách thức công từ chối dịch vụ – công từ chối dịch vụ tốc độ thấp, số phương pháp đề xuất nhằm chống lại kiểu công này, có phương pháp RRED đánh giá có hiệu cao 39 mLastPacketDrop = false; end if; Qua việc thực triển khai mô thấy kết đạt khả quan Với trường hợp xấu nhất, thông lượng mạng hợp lệ bị suy giảm tới 20% Tuy trường hợp khác, thông lượng mạng hợp lệ không giảm 10% Trường hợp xấu chiếm tới 10% kết quả, cịn lại 90% kết thơng lượng mạng hợp lệ giảm không 10% so với thông lượng khơng có cơng Hình 3.1 Kiến trúc WDA Advance 40 3.3 Đề xuất phương pháp 2: RWDA Qua mô đánh giá phương pháp 1, nhận thấy hiệu phương pháp chưa tốt, với trường hợp xấu thông lượng mạng bị suy giảm tới 20% Với mục đích xây dựng cải tiến giúp WDA bảo vệ thông lượng mạng đạt mức suy giảm không tới 5% gặp công từ chối dịch vụ tốc độ thấp vào giai đoạn ON, qua nghiên cứu tìm hiểu đưa đề xuất cải tiến WDA dựa phương pháp chống công từ chối dịch vụ tốc độ thấp hiệu quả: RRED Phương pháp nhắc đến phần 1.2.7 RRED cung cấp cách thức hiệu để chống lại LDOS Do đặc tính LDOS, RRED có khả chặn đứng đợt công LDOS, giúp băng thông mạng bị suy giảm không 5% mơ cơng Tuy RRED có số điểm yếu T* cố định dẫn tới việc phân biệt lưu lượng cơng khơng linh động, hướng nâng cấp RRED thay đổi T* thời gian chạy kiến trúc Ngoài RRED phân biệt lưu lượng công thông qua thời gian gói tin đến nằm khoảng thời gian ngắn [𝑇max, 𝑇max + 𝑇*], xảy trường hợp gói tin hợp lệ gửi đến thời gian bị RRED phân loại thành gói tin cơng hủy bỏ gói tin hợp lệ Để nâng cấp RRED cần chế để xử lý trường hợp phân loại sai Qua việc nghiên cứu, đánh giá ưu nhược điểm RRED, đưa đề xuất cải tiến WDA dựa ý tưởng RRED nhằm kế thừa ưu điểm chống công từ chối dịch vụ tốc độ thấp RRED, cải thiện, khắc phục số nhược điểm RRED nhằm áp dụng vào chống công từ chối dịch vụ tốc độ thấp cho Web farm có triển khai WDA Kiến trúc đề xuất đặt tên RWDA, mơ tả hình 3.2 Đầu tiên tơi thêm hàng đợi có độ ưu tiên thấp vào WDA: MIN_Q Sau kế thừa RRED, thêm vào trước WDA khối phát lọc nhằm phát gói tin cơng tốc độ thấp, với thuật tốn từ RRED Các gói tin bị khối phát gói tin nghi ngờ cơng, tức gói tin đến khoảng thời gian ngắn [𝑇max, 𝑇max + 𝑇*] không bị drop mà đưa vào hàng đợi MIN_Q WDA Điều giúp cho trường hợp khối phát lọc lọc sai gói tin hợp lệ thành gói tin cơng, trường hợp mạng bình thường WDA phục vụ gói tin qua MIN_Q thay hủy bỏ gói tin, làm giảm xác suất falsepositive khối phát lọc Ngược lại gói tin khối phát lọc phân loại gói tin hợp lệ đưa vào WDA để xử lý bình thường Như đặc tính chức WDA giữ nguyên với hàng đợi LOW_Q, HIGH_Q Ở lại đưa vào hàng đợi MIN_Q mà không đưa vào hàng đợi LOW_Q có sẵn WDA Lý nhằm tránh trường hợp xung đột WDA với khối phát lọc Trong trường hợp có cơng từ chối dịch vụ tốc độ thấp, 41 gói công bị đưa thẳng vào hàng đợi, hàng đợi nhanh chóng bị tràn dẫn tới gói tin bị hủy bỏ Nếu đẩy lưu lượng nghi ngờ công tốc độ thấp vào hàng đợi LOW_Q, có trường hợp cơng tốc độ thấp, nói hàng đợi LOW_Q bị vơ hiệu hóa Lúc WDA đánh giá client hợp lệ kẻ công, lưu lượng client bị gửi đến LOW_Q, dẫn đến lưu lượng bị hủy bỏ hồn tồn Đây trường hợp xung đột khối phát lọc với khối WDA, dẫn đến khối WDA khơng có khả phục vụ client bị xác định nhầm kẻ công Khi người dùng hợp lệ bị xác định nhầm kẻ công WDA truy cập vào Web farm, làm giảm khả WDA gốc gói tin đưa vào LOW_Q phục vụ bình thường Ngồi tơi sửa đổi chế drop feed back RRED để áp dụng vào RWDA Cụ thể WDA hủy bỏ gói tin, thực thơng báo lại cho khối phát lọc trường hợp WDA hủy bỏ gói tin hàng đợi khác hàng đợi MIN_Q LOW_Q Điều tránh việc gói tin nghi ngờ công từ khối phát lọc đáng nhẽ cập nhật biến thời gian cục 𝑓 𝑇1 lại cập nhật biến thời gian toàn cục T2, dẫn đến trường hợp bị công từ chối dịch vụ tốc độ thấp cơng gửi tràn, T2 bị cập nhật liên tục từ việc hủy bỏ gói tin hàng đợi MIN_Q, LOW_Q tương ứng, dẫn tới gói tin gửi tới có xác suất cao liên tục nằm khoảng thời gian ngắn [𝑇max, 𝑇max + 𝑇*], liên tục bị nghi ngờ gói cơng tốc độ thấp Ngồi tơi áp dụng cải tiến phương pháp vào RWDA, với chế ưu tiên cho gói tin đến mà có gói tin trước lớn giây bị hủy bỏ để ưu tiên cho gói tin sau có tắc nghẽn, nhằm phục vụ tốt cho client chịu công gây tắc nghẽn Hình 3.2 Kiến trúc RWDA 42 Giả mã phương pháp RWDA trình bày đây: When drop packet p //Khi hủy bỏ gói tin isFirstRetransmitPacket = true; //Đặt biến nghi truyền lại sau tắc nghẽn mLastPacketDrop = true; If drop_by SUPER_Q or drop_by HIGH_Q then reportDrop() //Báo cáo hủy gói tin với khối phát lọc end if; When packet p //Khi có gói tin đến If checkArriveTime( p ) == true then //Kiểm tra khối phát lọc queue = MIN_Q //Gửi gói tin vào hàng đợi MIN _Q else If mLastPacketDrop == true and isFirstRetransmitPacket == true and timeBtwPackets >= then //Kiểm tra để gửi gói tin vào SUPER_Q queue = SUPER_Q; //Gửi gói tin vào hàng đợi SUPER_Q isFirstRetransmitPacket = false; mLastPacketDrop = false; else Xử lý bình thường WDA end if; Thơng qua mơ thực nghiệm, cải tiến cho thấy kết tốt: băng thông mạng bị suy giảm không 2% trường hợp bị công LDOS giai đoạn ON Từ kết luận cải tiến giúp tăng khả bảo vệ Web farm WDA lên mức mới, bảo vệ Web farm chống lại kiểu công tinh vi nguy hiểm: Tấn công từ chối dịch vụ tốc độ thấp 43 CHƯƠNG 4: KẾT QUẢ MƠ PHỎNG 4.1 Kịch Để đơn giản mơ so sánh kết quả, topo mạng tham số mơ xây dựng hình 4.1, nhằm xây dựng mơ hình mạng với cơng từ chối dịch vụ tốc độ thấp làm giảm thông lượng mạng Ở sử dụng mô mạng theo [37], nhằm đánh giá cài đặt cải tiến với cơng tốc độ thấp điển hình Các phương pháp cải tiến cho WDA cài đặt chạy mô để lấy kết nhằm phân tích, đánh giá hiệu phương pháp đề xuất cải tiến tôi, giúp dễ dàng so sánh với phương pháp RRED gốc sở cho cải tiến phương pháp đề xuất thứ hai – RWDA Đường mạng nút thắt cổ chai có băng thông 5Mbps, thời gian trễ 6ms Số lượng người dùng hợp lệ 30, số kẻ công 20 Mỗi gói tin người dùng hợp lệ có kích thước 1000B, kẻ công 50B Thời gian thực mô 2400 giây Sau chu kì cơng, máy cơng thực công khoảng thời gian công – độ rộng burst đủ lớn, với độ lớn burst công đủ để làm bùng nổ lưu lượng mạng, dẫn tới việc tắc nghẽn nghiêm trọng làm cho luồng lưu lượng hợp lệ đồng loạt rơi vào trạng thái hoạt động khoảng thời gian lớn RTO, phải dừng lại khoảng RTOi với luồng i Khi đợt cơng máy công tiếp tục kéo dài trạng thái tắc nghẽn luồng lưu lượng hợp lệ, dẫn tới việc mạng liên tục bị tắc nghẽn nút thắt cổ chai, làm giảm mạnh thông lượng mạng Mô thực nhiều trường hợp cài đặt giải thuật quản lý hàng đợi router điểm nút thắt cổ chai từ đơn giản RED, đến kiến trúc WDA, kiến trúc đề xuất cải tiến WDA Advance, RRED, kiến trúc cải tiến RWDA, để đo so sánh mức độ suy giảm thông lượng mạng với kiến trúc kẻ cơng có tham số công thay đổi Các tham số công thay đổi gồm tham số sau với ba trường hợp mơ phỏng, tham số cịn lại khơng đổi + Chu kì cơng biến thiên đoạn [0.2, 2] giây + Khoảng thời gian công - độ rộng burst công từ đến 600 mili giây + Độ lớn burst công từ 0.1 đến 0.5 Mbps Với phương pháp 1, trọng số hàng đợi sử dụng sau: + Hàng đợi SUPER_Q: 0,5 + Hàng đợi HIGH_Q: 0,4 44 + Hàng đợi LOW_Q: 0,1 Với phương pháp 2, trọng số hàng đợi sử dụng sau: + Hàng đợi SUPER_Q: 0,48 + Hàng đợi HIGH_Q: 0,4 + Hàng đợi LOW_Q: 0,1 + Hàng đợi MIN_Q: 0,02 Hình 4.1 Topo mạng số tham số mô 45 4.2 Kết 4.2.1 Phương pháp 1: WDA Advance Kết trực quan đồ thị hình 4.2, 4.3 4.4 tương ứng với tham số cơng thay đổi Có thể nhận thấy với kiến trúc WDA gốc, có khoảng 20% trường hợp trường hợp tốt nhất, thơng lượng truy cập hợp lệ giảm không 10% so với không bị cơng, cịn lại 80% trường hợp cho kết xấu, thơng lượng truy cập hợp lệ giảm từ 20% đến 80% so với không bị cơng Điều hợp lí chế WDA không hiệu so với cách công tinh vi công từ chối dịch vụ tốc độ thấp Với đề xuất sử dụng WDA Advance, trường hợp xấu (không đến 10% số trường hợp), thông lượng truy cập hợp lệ giảm không q 20% so với khơng bị cơng, cịn trường hợp bình thường (khoảng 90% số trường hợp), thông lượng truy cập hợp lệ giảm không 10% so với không bị công Từ cho thấy cải tiến cho kết tốt so với kiến trúc WDA gốc, hạn chế công cách đáng kể, phục vụ tốt lượng lớn người dùng truy cập thông lượng mạng bị suy giảm lớn Điều lí giải sau: WDA Advance có chế chống công từ chối dịch vụ tốc độ thấp tốt, giúp luồng lưu lượng phục hồi lại thông lượng gửi sau bị tắc nghẽn nhờ chế ưu tiên đặc biệt cho gói tin sau gặp tắc nghẽn, nhờ gói tin sau phục vụ tốt Tuy chế điểm chưa tốt, là chế bị động WDA Advance hỗ trợ luồng lưu lượng khôi phục sau bị công, không ngăn chặn triệt để lưu lượng công Cơ chế khiến kẻ công tiếp tục công mà không bị dừng lại, dẫn tới việc thông lượng mạng khơng thể phục hồi hồn tồn mà bị suy giảm nhiều, với trường hợp xấu bị suy giảm tới 20%, trường hợp khác bị suy giảm thông lượng lớn 46 Hình 4.2 WDA Advance - Mơ cơng tốc độ thấp với chu kì cơng thay đổi Hình 4.3 WDA Advance - Mơ cơng tốc độ thấp với khoảng thời gian burst thay đổi 47 Hình 4.4 WDA Advance - Mơ công tốc độ thấp với độ lớn burst thay đổi 4.2.2 Phương pháp 2: RWDA Kết phương pháp RWDA trực quan hình 4.5, 4.6 4.7 tương ứng với tham số cơng thay đổi Ở so sánh kết phương pháp RWDA với phương pháp RED, WDA gốc, WDA Advance RRED Có thể thấy phương pháp RED WDA gốc cho kết tồi nhất, thông lượng mạng bị suy giảm mạnh, hai phương pháp khơng có chế để chống lại công từ chối dịch vụ tốc độ thấp WDA Advance cho kết khả quan sử dụng chế ưu tiên cho gói tin sau tắc nghẽn, giúp luồng hồi phục lại sau bị cơng làm tắc nghẽn phải truyền lại gói tin, trở trạng thái khởi đầu chậm bắt đầu với gói tin Với phương pháp RRED, kết cho thấy phương pháp tốt, với thông lượng suy giảm mạng không vượt 3% so với khơng có cơng Điều cho thấy chế phát chống lại lưu lượng công tốt RRED sử 48 dụng khoảng thời gian nhỏ [𝑇max, 𝑇max + 𝑇*] để phân biệt gói tin cơng so với gói tin hợp lệ người dùng bình thường Với đề xuất sử dụng RWDA, thấy thơng lượng truy cập hợp lệ giảm không 2% so với không bị công Hơn RWDA cho kết tốt RRED trường hợp Điều lí giải việc RWDA kế thừa tốt chế phòng chống chủ động, ngăn chặn lưu lượng công RRED, cải tiến với việc thêm vào MIN_Q giúp giảm tỉ lệ phát sai lưu lượng công, việc áp dụng cải tiến WDA Advance giúp luồng lưu lượng hợp lệ phục hồi dễ dàng trước công tốc độ thấp, tạo nên kiến trúc mạnh mẽ, phục vụ tốt lượng lớn người dùng truy cập hợp lệ mà gần không gây suy giảm lưu lượng mạng hợp lệ người dùng Hình 4.5 RWDA - Mô công tốc độ thấp với chu kì cơng thay đổi 10 49 Hình 4.6 RWDA - Mô công tốc độ thấp với khoảng thời gian burst thay đổi Hình 4.7 RWDA - Mô công tốc độ thấp với độ lớn burst thay đổi 12 11 50 KẾT LUẬN Luận văn giới thiệu WDA - Web farm DDoS Attack attenuator, kiến trúc làm suy giảm lưu lượng công từ chối dịch vụ phân tán web, đảm bảo phục vụ tốt người dùng trường hợp bị công Phương pháp tỏ hiệu quả, giúp hạn chế tác động công từ chối dịch vụ Các mơ thực cho thấy WDA bảo vệ Web farm khỏi công từ chối dịch vụ hàng trăm ngàn zombies, giữ tỉ lệ suy giảm dịch vụ với người dùng hợp pháp 10% Luận văn trình bày nghiên cứu sâu để cải tiến WDA nhằm chống lại phương pháp công từ chối dịch vụ đặc biệt- công từ chối dịch vụ tốc độ thấp, giúp bảo vệ thông lượng mạng giai đoạn ON – giai đoạn tương tác lưu lượng giao thông người dùng hợp lệ với website, với mục đích bảo vệ lưu lượng mạng hợp pháp khỏi công, giúp thông lượng mạng suy giảm tối thiểu công tốc độ thấp Với cải tiến hợp lí, tỉ lệ suy giảm thơng lượng mạng chịu công từ chối dịch vụ tốc độ thấp không vượt 2%, giúp đảm bảo lưu lượng truy cập hợp lệ cách tối đa Đối với WDA, điều tối quan trọng giá trị tham số, mạng internet ngày phát triển phức tạp dẫn đến tham số khó phù hợp cho tập lớn tồn Web farm, người dùng có đặc tính duyệt web định khác trang cụ thể Từ dẫn đến ý tưởng nghiên cứu cho tương lai xây dựng phương pháp hợp lí để nhà quản trị mạng xác định tham số WDA xác so với đặc tính Web farm cụ thể nhà quản trị 51 TÀI LIỆU THAM KHẢO Tiếng Anh [1] Arbor Networks: Worldwide ISP Security Report, September 2005, [2] A Kuzmanovic, E.W Knightly, Low-rate TCP-targeted denial of service attacks: the shrew vs the mice and elephants, in: SIGCOMM, 2003, pp 75–86 [3] A Kuzmanovic, E.W Knightly, Low-rate TCP-targeted denial of service attacks and counter strategies, IEEE/ACM Transactions on Networking (TON) Volume 14 Issue 4, August 2006, 683 – 696 [4] R Mahajan, S.M Bellovin, S Floyd, J Ioannidis, V Paxson, S Shenker, Controlling high bandwidth aggregates in the network, Computer Communication Review 32 (3) (2002) 62–73 [5] J Ioannidis, S.M Bellovin, Implementing pushback: router-based defense against DDOS attacks, in: NDSS, 2002 [6] J Mirkovic, G Prier, P.L Reiher, Attacking DDOS at the Source, in: ICNP, 2002, pp 312–321 [7] T.M Gil, M Poletter, MULTOPS: a data-structure for bandwidth attack detection, in: Proceedings of USENIX Security Symposium 2001, Washington, DC, August 2001 [8] H Wang, K.G Shin, Transport-aware IP routers: a built-in protection mechanism to counter DDOS attacks, IEEE Transactions on Parallel and Distributed Systems 14 (9) (2003) 873–884 [9] R Thomas, B Mark, T Johnson, J Croall, NetBouncer: clientlegitimacy-based high-performance DDOS filtering, in: DISCEX, 2003, pp 14–25t [10] A Mahimkar, J Dange, V Shmatikov, H Vin, Y Zhang, dFence: transparent network-based denial of service mitigation, in: Fourth USENIX NSDI, Cambridge, MA, April 2007 [11] A Bremler-Barr, N Halachmi, H Levi, Aggressiveness Protective Fair Queueing for Bursty Applications, in: IWQoS, 2006 [12] X Yang, D Wetherall, T.E Anderson, A DOS-limiting network architecture, in: SIGCOMM, 2005, pp 241–252 [13] A Yaar, A Perrig, D.X Song, SIFF: A stateless Internet flow filter to mitigate DDOS flooding attacks, in: IEEE Symposium on Security and Privacy, 2004, p 130 52 [14] X Wang, M.K Reiter, Mitigating bandwidth-exhaustion attacks using congestion puzzles, in: ACM Conference on Computer and Communications Security, 2004, pp 257–267 [15] S Kandula, D Katabi, M Jacob, A Berger, Botz-4-sale: surviving organized DDOS attacks that mimic flash crowds, in: NSDI, 2005 [16] Y Kim, W.-C Lau, M.C Chuah, H.J Chao, Packetscore: tatisticalbased overload control against distributed denial-of-service attacks, in: INFOCOM, 2004 [17] Q Li, E.-C Chang, M.C Chan, On the effectiveness of DDOS attacks on statistical filtering, in: INFOCOM, 2005, pp 1373–1383 [18] V Sekar, N Duffield, O Spatscheck, J van der Merwe, H Zhang, LADS: Large-scale Automated DDoS Detection System [19] R Vasudevan, Z Mao, O Spatscheck, J van der Merwe, Reval: a tool for real-time evaluation of DDoS mitigation strategies, in: USENIX Technical Conference, 2006 [20] A Yaar, A Perrig, D.X Song, PI: a path identification mechanism to defend against DDOS attack, in: IEEE Symposium on Security and Privacy, 2003, p.93 [21] S.M Bellovin, ICMP Traceback Messages, Work in Progress, Internet Draft draftbellovin-itrace-00.txt, March 2000 [22] A.D Keromytis, V Misra, D Rubenstein, SOS: an architecture for mitigating DDOS attacks, IEEE Journal on Selected Areas in Communications 22 (1) (2004) 176–188 [23] A Stavrou, D.L Cook, W.G Morein, A.D Keromytis, V Misra, D.Rubenstein, WebSOS: an overlay-based system for protecting Web servers from denial of service attacks, Computer Networks 48 (5) (2005) 781–807 [24] WDA: A Web farm Distributed Denial Of Service attack attenuator Computer Networks, Volume 55, Issue 5, Pages 1037-1051 Ehud Doron, Avishai Wool [25] R Fielding, J Getty, J Mogul, H Frystyk, T Berners-Lee, IETF RFC 2616: Hypertext Transfer Protocol – http/1.1., June 1999 [26] R Braden, IETF RFC 1122: Requirements for Internet Hosts – Communication Layers, October 1989 [27] P Barford, M Crovella, Generating representative Web workloads for network and server performance evaluation, in: SIGMETRICS, 1998, pp 151–160 53 [28] H.-K Choi, J.O Limb, A behavioral model of Web traffic, in: ICNP, 1999, pp 327–334 [29] websiteoptimization.com, Average Web Page Size Triples Since 2003, [30] A.K Parekh, R.G Gallager, A generalized processor sharing approach to flow control in integrated services networks: the single-node case, IEEE/ACM Transactions on Networking (3) (1993) 344–357 [31] NS2, The Network Simulator, [32] F Wu-Chang, D D Kandlur, D Saha, and K G Shin, “Stochastic fair blue: a queue management algorithm for enforcing fairness,” in IEEE INFOCOM, 2001 [33] Arbor Networks: Worldwide Infrastructure Security Report 2012 Volume VIII http://pages.arbornetworks.com/rs/arbor/images/WISR2012_EN.pdf [34] RFC 6298 - The Basic Algorithm, (2.4) http://tools.ietf.org/html/rfc6298 [35] The Internet Traffic Report: Networks Overview, March 2008, [36] “Wfq implementation code donated by Paolo Losi,” http://www.isi.edu/nsnam/archive/ns-users/webarch/2000/msg04025.html [37] C Zhang, J Yin, Z Cai, and W Chen, “RRED: Robust RED Algorithm to Counter Low-Rate Denial-of-Service Attacks”, in IEEE COMMUNICATIONS LETTERS, VOL 14, NO 5, MAY 2010