Nghiên cứu các giải pháp chống tấn công DNS trong hệ thống mạng điều khiển bằng phần mềm Nghiên cứu các giải pháp chống tấn công DNS trong hệ thống mạng điều khiển bằng phần mềm Nghiên cứu các giải pháp chống tấn công DNS trong hệ thống mạng điều khiển bằng phần mềm luận văn tốt nghiệp,luận văn thạc sĩ, luận văn cao học, luận văn đại học, luận án tiến sĩ, đồ án tốt nghiệp luận văn tốt nghiệp,luận văn thạc sĩ, luận văn cao học, luận văn đại học, luận án tiến sĩ, đồ án tốt nghiệp
BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI VŨ THÀNH TỰU NGHIÊN CỨU CÁC GIẢI PHÁP CHỐNG TẤN CÔNG DNS TRONG HỆ THỐNG MẠNG ĐIỀU KHIỂN BẰNG PHẦN MỀM Chuyên ngành: Kỹ thuật viễn thông LUẬN VĂN THẠC SĨ KỸ THUẬT KỸ THUẬT VIỄN THÔNG NGƯỜI HƯỚNG DẪN KHOA HỌC: PGS.TS TRƯƠNG THU HƯƠNG HÀ NỘI – 2018 Luận văn cao học năm 2018 LỜI MỞ ĐẦU Với phát triển không ngừng Internet ngày nay, nhu cầu mở rộng mạng ngày tăng, đòi hỏi số lượng thiết bị mạng ngày lớn, từ kiến trúc mạng truyền thống bộc lộ nhiều khuyết điểm Sự phức tạp hệ thống, khả mở rộng mạng kém, sách khơng qn, chi phí triển khai tốn kém, nhiều điểm yếu bảo mật Nhu cầu đặt cần có kiến trúc mạng đảm bảo tích hợp linh hoạt, kết hợp với giải pháp bảo mật an tồn cho hệ thống Chính vậy, cơng nghệ mạng điều khiển phần mềm (SDN – Software Defined Networking) đời giải pháp cho hệ thống mạng tương lai Bên cạnh đó, SDN cịn lựa chọn cho việc triển khai giải pháp đảm bảo an ninh mạng, trước phức tạp công không ngừng thay đổi cách thức độ nguy hại, cản trở nhiều hoạt động giao dịch, dịch vụ mạng Hiện nay, dịch vụ máy chủ DNS phần quan trọng nhà cung cấp dịch vụ doanh nghiệp, việc đảm bảo an toàn cho hệ thống DNS vô cấp thiết Tuy nhiên, với hạn chế bảo mật kiến trúc mạng truyền thống để lộ lỗ hổng cho kẻ cơng, tổ chức tội phạm thực hành vi phá hoại tới hệ thống DNS, gây hậu cho doanh nghiệp, quan, tổ chức, nhà cung cấp dịch vụ Tấn công khuếch đại DNS nhiều kiểu công nguy hiểm mối đe dọa cho an toàn cho hệ thống máy chủ DNS Với mục đích nghiên cứu tìm hiểu ngun lý, chế công vào hệ thống DNS việc áp dụng cơng nghệ mạng SDN việc phịng chống, định chọn nghiên cứu đề tài “ Nghiên cứu giải pháp chống công DNS hệ thống mạng điều khiển phần mềm” hướng dẫn PGS.TS Trương Thu Hương Tôi xin cảm ơn PGS.TS Trương Thu Hương thành viên nhóm Security phòng nghiên cứu Future Internet Labotary tận tình hướng dẫn giúp đỡ để tơi hoàn thành tốt đề tài Do kinh nghiệm kiến thức chưa sâu sắc nên luận văn cịn nhiều thiếu sót, mong q thầy đánh giá Vũ Thành Tựu – Khóa 2016B – Khoa ĐTVT Trang Luận văn cao học năm 2018 góp ý để tơi hồn thiện tốt luận văn đề tài nghiên cứu sau ! Xin chân thành cảm ơn Vũ Thành Tựu – Khóa 2016B – Khoa ĐTVT Trang Luận văn cao học năm 2018 LỜI CAM KẾT Tôi xin cam đoan nội dung luận văn tơi tìm hiểu nghiên cứu thân Các kết nghiên cứu ý tưởng tác giả khác trích dẫn cụ thể Đề tài luận văn chưa bảo vệ hội đồng bảo vệ luận văn thạc sĩ nước nước Tác giả Vũ Thành Tựu Vũ Thành Tựu – Khóa 2016B – Khoa ĐTVT Trang Luận văn cao học năm 2018 TÓM TẮT LUẬN VĂN Trong luận văn này, nghiên cứu kiến trúc mạng định nghĩa phần mềm – SDN dựa giao thức OpenFlow Bên cạnh số hình thức cơng vào hệ thống máy chủ tên miền DNS Xây dựng mô kiến trúc mạng SDN/OpenFlow giả lập phịng chống cơng khuếch đại DNS Hệ thống thử nghiệm tảng sử dụng phòng nghiên cứu, phục vụ nghiên cứu khoa học, từ phát triển thêm nhiều giải pháp phịng chống cơng khác, tối ưu mơ hình dần đưa vào thực tiễn Nhiệm vụ Luận văn bao gồm nội dung: • Tổng quan kiến trúc SDN giao thức OpenFlow • Tổng quan hệ thống máy chủ tên miền DNS • Một số hình thức cơng DNS cách phịng chống • Xây dựng hệ thống mơ kiến trúc mạng SDN/OpenFlow, giả lập cơng phịng chống cơng khuếch đại DNS • Một số kết đạt từ hệ thống thử nghiệm Sau thời gian nghiên cứu thực hiện, xây dựng thành công hệ thống thử nghiệm mô kiến trúc mạng SDN/OpenFlow Thu thập phân tích lưu lượng giả lập từ đưa giải pháp phịng chống công khuếch đại DNS cách đặt ngưỡng giới hạn số tin kích thước tin đến với hệ thống thời điểm, thực chặn Port 53, không tiếp nhận lưu lượng tới vượt ngưỡng, ngăn chặn công khuếch đại DNS Vũ Thành Tựu – Khóa 2016B – Khoa ĐTVT Trang Luận văn cao học năm 2018 MỤC LỤC LỜI MỞ ĐẦU LỜI CAM KẾT TÓM TẮT LUẬN VĂN MỤC LỤC DANH MỤC HÌNH VẼ DANH MỤC CÁC TỪ VIẾT TẤT CHƯƠNG TỔNG QUAN VỀ SDN VÀ OPENFLOW 10 1.1 Tổng quan công nghệ SDN 10 1.1.1 Định nghĩa 10 1.1.2 Kiến trúc SDN 11 1.1.3 So sánh kiến trúc mạng truyền thống kiến trúc SDN 12 1.1.4 Lợi ích SDN cung cấp 14 1.1.5 Ứng dụng SDN 15 1.2 Giao thức OpenFlow 16 1.2.1 Định nghĩa 16 1.2.2 Kiến trúc OpenFlow Switch 17 1.2.3 Hoạt động OpenFlow Switch 19 1.3 Các tin trao đổi OpenFlow Switch Controller [6] 24 1.3.1 Bản tin PacketIn 24 1.3.2 Bản tin PacketOut 25 1.3.3 Bản tin FlowRemoved 27 1.3.4 Bản tin FlowMod 29 1.3.5 Bản tin StatsRequest 32 1.3.6 Bản tin StatsResponse 32 1.4 Kết luận 33 CHƯƠNG TỔNG QUAN VỀ DNS, CÁC HÌNH THỨC TẤN CƠNG DNS VÀ CÁCH PHÒNG CHỐNG 34 2.1 Giới thiệu DNS 34 2.1.1 DNS gì? 34 2.1.2 Tên miền 35 2.1.3 DNS Server 37 2.2 Cách thức hoạt động hệ thống DNS 39 2.3 Phân loại Domain Name Server 42 2.4 Các hình thức công DNS 43 2.4.1 DNS Cache Poisoning Attack.[13] 43 Vũ Thành Tựu – Khóa 2016B – Khoa ĐTVT Trang Luận văn cao học năm 2018 2.4.2 DNS Spoofing Attack 45 2.4.3 DNS Amplification Attack.[8] 48 2.5 Phòng chống công DNS 51 2.5.1 Phòng chống công DNS Cache Poisoning 51 2.5.2 Phịng chống cơng DNS Spoofing 51 2.5.3 Phịng chống cơng DNS Ampification[8] 52 2.6 Kết luận 52 CHƯƠNG MÔ PHỎNG KIẾN TRÚC MẠNG SDN/OPENFLOW SỬ DỤNG TRONG PHỊNG CHỐNG TẤN CƠNG KHUẾCH ĐẠI DNS 53 3.1 Giả lập kiến trúc mạng SDN/OpenFlow 53 3.2 Cách thức hoạt động hệ thống 57 3.2.1 Cách thức hoạt động Controller 57 3.2.2 Cách hoạt động chuyển mạch OpenFlow Switch.[4] 58 3.2.3 Cách thức hoạt động kiểm soát lưu lượng sFlow- Network Monitoring 58 3.3 Xây dựng vận hành hệ thống thử nghiệm 59 3.3.1 Xây dựng hệ thống 59 3.3.2 Công cụ hỗ trợ 61 3.3.3 Kịch phát công giải pháp giảm thiểu công khuếch đại DNS 71 3.4 Kết xây dựng hệ thống 73 3.4.1 Tổng quan hệ thống 73 3.4.2 Triển khai hệ thống 75 3.5 Kết mô công giảm thiểu công 77 3.5.1 Phát lưu lượng bình thường khơng có giải pháp giảm thiểu 77 3.5.2 Hệ thống sử dụng giải pháp 78 3.6 Kết Luận 79 CHƯƠNG KẾT LUẬN 80 BẢNG ĐỐI CHIẾU THUẬT NGỮ ANH - VIỆT 82 Vũ Thành Tựu – Khóa 2016B – Khoa ĐTVT Trang Luận văn cao học năm 2018 DANH MỤC HÌNH VẼ Hình 1.1 Sự phân tách kiến trúc mạng SDN 10 Hình 1.2 Kiến trúc mạng SDN 11 Hình 1.3 So sánh mạng SDN với mạng truyền thống .12 Hình 1.4 Kiến trúc OpenFlow Switch .17 Hình 1.5 Ví dụ Flow table OpenFlow Switch .19 Hình 1.6 Ví dụ hoạt động OpenFlow Switch 20 Hình 1.7 Quá trình xử lý Pipeline Flow Table 21 Hình 1.8 Bản tin PacketIn 24 Hình 1.9 Cấu trúc tin PacketIn 24 Hình 1.10 Bản tin PacketOut 25 Hình 1.11 Cấu trúc tin PacketOut .26 Hình 1.12: Hoạt động tin FlowRemoved 27 Hình 1.13: Cấu trúc tin FlowRemoved 28 Hình 1.14: Hoạt động FlowMod 29 Hình 1.15: Cấu trúc tin FlowMod .30 Hình 1.16: Hoạt động tin StatsRequest .32 Hình 1.17: Cấu trúc tin StatsRequest 32 Hình 1.18: Hoạt động tin StatsResponse 33 Hình 1.19: Phần body tin StatsResponse 33 Hình 2.1 Ví dụ DNS 35 Hình 2.2 Cây phân cấp tên miền .36 Hình 2.3 Mơ tả DNS Server 38 Hình 2.4 Cách thức hoạt động hệ thống DNS 39 Hình 3.1 Kiến trúc mạng SDN/OpenFlow giả lập 54 Hình 3.2 Board mạch NetFPGA .55 Hình 3.3 Kiến trúc tổng thể hệ thống giả lập 57 Hình 3.4: Cấu trúc tin FlowMod .57 Hình 3.5 Cấu trúc Agent- Collector sFlow 59 Hình 3.6 Các tùy chọn sử dụng để phát công .62 Hình 3.7 Giao diện phần mềm Wireshark 64 Vũ Thành Tựu – Khóa 2016B – Khoa ĐTVT Trang Luận văn cao học năm 2018 Hình 3.8 Cửa sổ sử dụng TCPReplay để phát lại gói tin 65 Hình 3.9 Cửa sổ sử dụng TCPReplay để phát lại gói tin 66 Hình 3.10 Màn hình khởi động MobaXterm .67 Hình 3.11 Màn hình trợ giúp công cụ editcap 68 Hình 3.12: Giao diện Speedometer 69 Hình 3.13 Giao diện trợ giúp Speedometer 70 Hình 3.14 Giao diện hoạt động Tcpdump 71 Hình 3.15 Mơ hình logic lý thuyết .73 Hình 3.16 Hệ thống giả lập công mạng SDN- Security Rack 77 Hình 3.17 Giao diện phần mềm Moba Xterm 78 Hình 3.18 Kết sau nạp code .79 Hình 3.19 Các gói tin thu Wireshark 80 Hình 3.20 Lưu lượng cơng chưa chạy giải pháp giảm thiểu 82 Hình 3.21 Lưu lượng công chạy qua giải pháp giảm thiểu 83 Vũ Thành Tựu – Khóa 2016B – Khoa ĐTVT Trang Luận văn cao học năm 2018 DANH MỤC CÁC TỪ VIẾT TẤT Từ viết tắt CapEx CPU DNS DNSSEC DoS FPGA Tiếng anh Capital Expenditures Center Processing Unit Domain Name System The Domain Name System Security Extensions Distributed Denial of Service Field Progammable Gate Array ID Identification IDS Intrution Detection System IP MAC OpEx Internet Protocol Media Access Control Operating Expenditures SDN Software Defined Networking SSL Secure Sockets Layer TCP Transmission Control Protocol TLS TTL UDP Transport Layer Security Time To Live User Datagram Protocol Vũ Thành Tựu – Khóa 2016B – Khoa ĐTVT Nghĩa Tiếng Việt Chi phí triển khai Bộ xử lý trung tâm Hệ thống phân giải tên miền Hệ Thống tên miền bảo mật mở rộng Từ chối dịch vụ Cấu trúc mảng phần tử logic lập trình Địa mạng Hệ thống phát xâm nhập Giao thức Internet Kiểm sốt truy cập Chi phí hoạt động Mạng định nghĩa phần mềm Lớp cổng bảo mật Giao thức điều khiển truyền vận Giao thức bảo mật Thời gian cập nhật Giao thức gói tin người dùng Trang Luận văn cao học năm 2018 chứa OpenFlow Switch) Chính khơng cần quan tâm q nhiều đến thơng số khác ngồi lưu lượng qua cổng Speedometer cơng cụ hồn hảo Hình 3.12: Giao diện Speedometer Trên Hình 3.12 giao diện Speedometer Không giống Wireshark chạy tảng hệ điều hành có giao diện, Speedometer chạy tảng có hình commandline (cụ thể Ubuntu Server, SSH qua MobaXterm) Tương tự công cụ khác chạy Ubuntu, Speedometer cho phép người dùng truy vấn trợ giúp thông qua câu lệnh: sudo speedometer -help, kết thu Hình 3.13: Vũ Thành Tựu – Khóa 2016B – Khoa ĐTVT Trang 69 Luận văn cao học năm 2018 Hình 3.13 Giao diện trợ giúp Speedometer Trong đó, thông thường quan tâm đến: -t: đo lưu lượng khỏi cổng -r: đo lưu lượng vào cổng Ví dụ: Speedometer -t eth3 -r eth5 Câu lệnh có nghĩa muốn lưu lượng giao diện cổng eth3 lưu lượng vào giao diện cổng eth5 3.3.2.7 Tcpdump Tcpdump công cụ đo lưu lượng thông số gói tin qua hay nhiều cổng máy Chúng ta coi Tcpdump kết hợp Vũ Thành Tựu – Khóa 2016B – Khoa ĐTVT Trang 70 Luận văn cao học năm 2018 Wireshark Speedometer Tcpdump khơng cần chạy hệ điều hành có giao diện giống Speedometer mang nhiều thông số gói tin giống Wireshark Chính vậy, trường hợp cụ thể, người dùng linh hoạt ba phần mềm để thu hiệu đo đạc cao Câu lệnh hoạt động Tcpdump đơn giản, ví dụ sau: Tcpdump -i eth3 | grep dns Tức muốn thống kê gói tin qua giao diện cổng eth3 gói tin chứa thơng tin “dns” Hình 3.14 Giao diện hoạt động Tcpdump Trên Hình 3.14 giao diện gói tin bắt tcpdump Có nhiều thơng tin khác mà người dùng lựa chọn để thu thập, tuỳ vào mục đích sử dụng 3.3.3 Kịch phát cơng giải pháp giảm thiểu công khuếch đại DNS Sử dụng công cụ Bonesi để phát công trực tiếp vào FPT Server đóng vai trị máy nạn nhân, đồng thời dùng Wireshark để thu thập liệu lưu lại dạng file pcap Chúng tơi có liệu cơng giống đặc tính mạng Botnet Sử dụng TCPReplay để phát lại lưu lượng từ máy traffic generator Vũ Thành Tựu – Khóa 2016B – Khoa ĐTVT Trang 71 Luận văn cao học năm 2018 vào hệ thống giả lập xây dựng, tiến hành công máy FPT Server Lưu lượng phải chuyển tiếp qua OpenFlow Switch kiểm soát controller Tiến hành phát ghi lại kết hai trường hợp: không chạy giải pháp giảm thiểu cơng trường hợp có chạy giải pháp giảm thiểu công Floodlight Controller Sử dụng công cụ Speedometer để đo thông lượng lưu lượng đầu vào đầu khối chuyển mạch công nghệ sFlow để giám sát lưu lượng Từ thấy rõ hình thức cơng hiệu giải pháp sử dụng Giải pháp đưa dùng ngưỡng xác định, khối Floodlight Controller có phát triển module phát công DNS với chế dùng ngưỡng xác định Port 53 ( DNS sử dụng giao thức TCP UDP với Port giao tiếp Port 53 ) đóng để chặn tin DNS Response khoảng time idle time out mội flow entry ( thường 5s ) Trong vòng 5s từ lúc đóng port, có tin DNS Response tới chu kỳ 5s lại lặp lại từ đầu, có cơng xảy đảm bảo tất tin DNS Response bị chặn lại drop hết port 53, lưu lượng đảm bảo Vũ Thành Tựu – Khóa 2016B – Khoa ĐTVT Trang 72 Luận văn cao học năm 2018 3.4 Kết xây dựng hệ thống 3.4.1 Tổng quan hệ thống Với giúp đỡ thành viên Phịng nghiên cứu Future Internet Labotary tơi xây dựng mơ hình giả lập cơng nghiên cứu phần lý thuyết Hình cho thấy khối chức hệ thống giả lập Trên Hình 3.15 mơ hình logic lý thuyết Hình 3.15 Mơ hình logic lý thuyết Vũ Thành Tựu – Khóa 2016B – Khoa ĐTVT Trang 73 Luận văn cao học năm 2018 Hình 3.16 Hệ thống giả lập công mạng SDN- Security Rack Như ta thấy thích cụ thể hình khối thiết bị chức hệ thống bao gồm : - Floodlight Controller - OpenFlow Switch - Traffic Generator - Victim Server Các khối nằm tập trung Security Rack , để việc truy cập điều khiển vào khối chức hệ thống dễ dàng, sử dụng phần mềm Moba Xterm hoạt động dựa giao thức SSH dải mạng LAN, trực tiếp SSH vào khối, điều khiển tập trung tất khối máy tính laptop PC rời khối, có kết nối mạng với hệ thống Dễ dàng điều khiển giám sát hệ thống, giảm thiểu đc thiết bị phần cứng không gian Vũ Thành Tựu – Khóa 2016B – Khoa ĐTVT Trang 74 Luận văn cao học năm 2018 Hình 3.17 Giao diện phần mềm Moba Xterm Các khối mô hình có địa IP riêng, nhờ vào sử dụng giao thức SSH ta truy cập điều khiển cách tổng quát tất khối hệ thống Địa IP ứng với khối: - Controller Floodlight (controller): 192.168.101.243 - OpenFlow Switch (super-switch): 192.168.101.222 - Traffic Generator ( Traffic): 192.168.101.171 - Victim (Serverfarm): 192.168.101.70 3.4.2 Triển khai hệ thống Traffic Generator: Chúng ta tiến hành bật traffic generator lên để chuẩn bị cho việc phát lưu lượng mẫu Kiểm tra lại kết nối mạng từ traffic generator mạng internet để bắt đầu dùng MobaXterm để SSH vào điều khiển máy OpenFlow Switch (super-switch): Sau tiến hành bật máy lên, phải tiến hành nạp code cho NetFPGA, bước đầu để máy tính nhận cổng NetFPGA cổng máy $: sudo -i $: /nic1.sh Vũ Thành Tựu – Khóa 2016B – Khoa ĐTVT Trang 75 Luận văn cao học năm 2018 $: reboot Sau tiền hành nạp file code đầu tiên, phải khởi động lại máy để máy hoàn thành tác vụ chuyển cổng FPGA thành cổng máy Sau máy bật lên trở lại, tiến hành nạp file code thứ hai $: sudo -i $: /nic2.sh Sau chạy xong file nạp code trên, cấu hình để máy tính hoạt động OpenFlow Switch Chúng ta kiểm tra lại hệ thống lệnh: $: sudo ovs-vsctl show Hình 3.18 Kết sau nạp code Nếu kết chạy cổng mơ hình định sẵn (như Hình 5.4) nạp code thành cơng Giờ dùng MobaXterm để truy cập điều khiển máy ServerFarm: Sau máy ServerFarm bật, tiến hành bật Wireshark lên chuẩn bị tiến hành đo lưu qua cổng enp10s0f0 Vũ Thành Tựu – Khóa 2016B – Khoa ĐTVT Trang 76 Luận văn cao học năm 2018 3.5 Kết mô công giảm thiểu công Trước tiên sử dụng Bonesi để phát lưu lượng giả lập, chứa nguồn địa IP khác từ file 50k-bots với tối độ 1500 gói/s tới địa Victim 192.168.20.30 Câu lệnh phát : $:sudo bonesi –i 1k-bots –d eth3 –r 1500 –p udp 192.168.20.30:80 Đồng thời dùng phần mềm wireshark thu lại lịch sử kết nối phát cơng thành file dns.pcap Hình 3.19 Các gói tin thu Wireshark Sau thu file dns.pcap đóng vai trị file chứa lưu lượng cơng cho mơ hình giả lập Tiếp theo tơi sử dụng công cụ TCPReplay để phát lại file dns.pcap vào mơ hình 3.5.1 Phát lưu lượng bình thường khơng có giải pháp giảm thiểu Trước tiến hành phát lưu lượng, tiến hành bật controller tiến hành gửi lưu lượng từ OpenFlow Switch lên controller Trước tiên, controller, ta chạy controller cách: $: cd /Downloads/idea-IC-173.4548.28/bin Vũ Thành Tựu – Khóa 2016B – Khoa ĐTVT Trang 77 Luận văn cao học năm 2018 $: /idea.sh Sau đó, tiến hành chạy controller mà khơng có giải pháp giảm thiểu Thực phát lưu lượng vào hệ thống giả lập từ máy traffic gerenator, lưu lượng khoảng 600Mb/s, đồng thời chưa chạy chương trình giảm thiểu cơng controller Lúc luồng lưu lượng từ máy phát tới OpenFlow Switch, trao đổi với controller Vì controller chưa bật chức phát giảm thiểu cơng tồn lưu lượng vào chuyển tiếp hồn tồn sang phía Victim, máy nạn nhân hứng chịu cơng Hình 3.20 Lưu lượng cơng chưa chạy giải pháp giảm thiểu Trên hình với số thơng số đo đạc : 3.5.2 Hệ thống sử dụng giải pháp Quy trình tương tự phát lưu lượng bình thường, lần khoảng 35Mb/s, lúc SDN Controller ta bắt đầu chạy giải pháp phát giảm thiểu cơng Như trình bày chương trước, giải pháp đưa Vũ Thành Tựu – Khóa 2016B – Khoa ĐTVT Trang 78 Luận văn cao học năm 2018 có cơng đóng port 53 luồng lưu lượng tới vượt ngưỡng cho phép, 5s lấy mẫy theo dõi lần Hình 3.21 Lưu lượng cơng chạy qua giải pháp giảm thiểu 3.6 Kết Luận Qua chương 3, kiến thức kiến trúc mạng SDN/OpenFlow đưa vào thực tế, xây dựng hệ thống kiến trúc mạng SDN/OpenFlow Đồng thời giả lập công khuếch đại DNS hệ thống mô phỏng, kỹ thuật giám sát lưu lượng, biện pháp giảm thiểu công tích hợp Chương đưa kết thu từ việc thực mơ phỏng, từ đề xuất hướng phát triển tương lai Vũ Thành Tựu – Khóa 2016B – Khoa ĐTVT Trang 79 Luận văn cao học năm 2018 CHƯƠNG KẾT LUẬN Hệ thống giả lập xây dựng hiệu việc phát phòng chống công DNS Dựa kiến trúc mạng SDN/OpenFlow với công nghệ sFlow, hệ thống phát truy vấn giả mạo để thực ngăn chặn cơng thời gian ngắn, nhanh chóng giảm thiểu flow entry vào chuyển mạch OpenFlow Switch, giúp Server nhanh phục hồi để phục vụ dịch vụ thông thường công xảy Trong thời gian tới thử nghiệm mơ hình với liệu thu thập từ thực tế chứa nhiều hình thức cơng hơn, để đánh giá hiệu hệ thống giả lập phát triển giải pháp phịng chống loại cơng khác SDN Controller Đồng thời, nâng cấp cấu hình Controller để tăng tốc độ xử lý gói tin công, giảm thời gian đáp ứng hệ thống, tối ưu hóa hiệu hệ thống, cung cấp hệ thống hoàn thiện Vũ Thành Tựu – Khóa 2016B – Khoa ĐTVT Trang 80 Luận văn cao học năm 2018 DANH MỤC TÀI LIỆU THAM KHẢO [1] Thuyết minh dự thảo tiêu chuẩn quốc gia – Các yêu cầu hướng dẫn bảo mật DNS ( DNSSEC)-2016 [2] White Paper (2012, April 13), Software-Defined Networking: The New Norm for Networks [Online] Available: https://www.opennetworking.org [3] http://archive.openflow.org/, truy cập cuối ngày 27/08/2018 [4] http://openvswitch.org/, truy nhập cuối ngày 15/09/2018 [5] http://netfpga.org/site/#/systems/4netfpga-1g/details/, truy nhập cuối ngày 17/09/2018 [6] http://flowgrammable.org/sdn/openflow/message-layer/, truy nhập cuối ngày 15/08/2018 [7] OpenFlow Specification v1.3.0, June 25, 2012 [8] Marios Anagnostopoulos, , Georgios Kambourakis, Panagiotis Kopanos, Georgios Louloudakis, Stefanos Gritzalis, DNS Amplification Attack Revisited, An article in Computer&Security, December 2013 [9] Traffic Monitoring using sFlow, http://www.sflow.org Truy cập lần cuối 19/09/2018 [10] TCPReplay, http://tcpreplay.appneta.com/wiki/overview.html Truy cập lần cuối ngày 20/9/2018 [11] Wireshark, https://www.wireshark.org/ Truy cập lần cuối ngày 20/09/2018 [12] https://github.com/Markus-Go/bonesi Truy cập lần cuối 20/09/2018 [13] https://www.howtogeek.com/161808/htg-explains-what-is-dns-cachepoisoning/ Truy cập ngày 28/8/2018 [14] https://voer.edu.vn/m/dich-vu-phan-giai-ten-mien-dns-server/52c04351.Truy cập ngày 20/8/2018 Vũ Thành Tựu – Khóa 2016B – Khoa ĐTVT Trang 81 Luận văn cao học năm 2018 BẢNG ĐỐI CHIẾU THUẬT NGỮ ANH - VIỆT Tiếng Anh Tiếng Việt Attack Tấn công Attacker Kẻ công Control plane Mặt phẳng điều khiển Data plane Mặt phẳng liệu Forwarding plane Mặt phẳng chuyển tiếp Switch Bộ chuyển mạch Router Bộ định tuyến Header Phần mào đầu gói tin Victim Nạn nhân Controller Bộ điều khiển Flow Entry Dữ liệu vào Flow Table Bảng liệu Packet Gói tin DNS Amplification attack Tấn cơng khuếch đại DNS DNS Cache poisoning attack Tấn công đầu độc nhớ Cache Buffer overflow Tràn nhớ đệm Secure Channel Kênh bảo mật Protocol Giao thức Intruction Chỉ dẫn PacketIn Bản tin tới PacketOut Bản tin Server Máy chủ Vũ Thành Tựu – Khóa 2016B – Khoa ĐTVT Trang 82 Luận văn cao học năm 2018 Match So khớp Network Monitor Giám sát mạng Request Yêu cầu Response Phản hồi Vũ Thành Tựu – Khóa 2016B – Khoa ĐTVT Trang 83 ... cho hệ thống máy chủ DNS Với mục đích nghiên cứu tìm hiểu nguyên lý, chế công vào hệ thống DNS việc áp dụng cơng nghệ mạng SDN việc phịng chống, tơi định chọn nghiên cứu đề tài “ Nghiên cứu giải. .. trúc mạng đảm bảo tích hợp linh hoạt, kết hợp với giải pháp bảo mật an toàn cho hệ thống Chính vậy, cơng nghệ mạng điều khiển phần mềm (SDN – Software Defined Networking) đời giải pháp cho hệ thống. .. 2018 Lớp điều khiển: Là nơi tập trung điều khiển thực việc điều khiển cấu hình mạng theo yêu cầu từ lớp ứng dụng khả mạng Các điều khiển phần mềm lập trình Lớp sở hạ tầng: Là thiết bị mạng thực