NGUYỄN NGỌC THANH BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƢỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI - NGUYỄN NGỌC THANH KỸ THUẬT VIỄN THÔNG CÁC GIẢI PHÁP KỸ THUẬT MẠNG ĐIỀU KHIỂN BẰNG PHẦN MỀM CHỐNG TẤN CÔNG TỪ CHỐI DỊCH VỤ PHÂN TÁN LUẬN VĂN THẠC SĨ KỸ THUẬT CHUYÊN NGÀNH KỸ THUẬT VIỄN THÔNG 2017B Hà Nội - Năm 2019 BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƢỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI NGUYỄN NGỌC THANH CÁC GIẢI PHÁP KỸ THUẬT MẠNG ĐIỀU KHIỂN BẰNG PHẦN MỀM CHỐNG TẤN CÔNG TỪ CHỐI DỊCH VỤ PHÂN TÁN Chuyên ngành: Kỹ thuật viễn thông LUẬN VĂN THẠC SĨ KỸ THUẬT CHUYÊN NGÀNH KỸ THUẬT VIỄN THÔNG NGƢỜI HƢỚNG DẪN: PGS.TS TRƢƠNG THU HƢƠNG Hà Nội - Năm 2019 LỜI CAM ĐOAN Trong trình học tập nghiên cứu Trƣờng Đại học Bách khoa Hà Nội, thực luận văn thạc sĩ kỹ thuật chuyên ngành Kỹ thuật viễn thông theo đề tài: “Các giải pháp kỹ thuật mạng điều khiển phần mềm chống công từ chối dịch vụ phân tán” dƣới hƣớng dẫn PGS.TS Trƣơng Thu Hƣơng Tôi xin cam đoan nội dung luận văn thạc sĩ cơng trình nghiên cứu khoa học tập thể nghiên cứu, không chép ngun từ cơng trình nghiên cứu hay luận văn ngƣời khác Tất tham khảo kế thừa đƣợc trích dẫn tham chiếu đầy đủ Hà Nội, ngày 24 tháng năm 2019 Học viên thực Nguyễn Ngọc Thanh LỜI CẢM ƠN Sau thời gian học tập nghiên cứu Trƣờng Đại học Bách khoa Hà Nội, xin trân trọng cảm ơn Trƣờng Đại học Bách khoa Hà Nội, Viện Đào tạo Sau đại học Viện Điện tử - Viễn thơng hỗ trợ, giúp đỡ nhiệt tình cho tơi suốt q trình học tập thực luận văn Bằng biết ơn kính trọng, em xin gửi lời cảm ơn chân thành đến PGS.TS Trƣơng Thu Hƣơng, ngƣời trực tiếp hƣớng dẫn suốt q trình thực luận văn Cơ khơng tận tình giúp đỡ, bảo chúng em nghiên cứu, học tập mà giúp đỡ, chia sẻ với chúng em mặt sống Cô gƣơng sáng cho em noi theo bƣớc đƣờng tới Tôi xin cảm ơn anh, em Future Internet Lab - Phòng 618, thƣ viện Tạ Quang Bửu suốt thời gian qua nghiên cứu, chia sẻ Xin gửi lời cảm ơn chân thành tới thành viên nhóm Security nhiệt tình, tận tụy với cơng việc, giúp tơi hồn thành xuất sắc công việc đƣợc giao Cuối xin gửi lời cảm ơn tới gia đình, đồng chí lãnh đạo quan công tác bạn bè ln động viên, khuyến khích, tạo điều kiện giúp đỡ suốt thời gian học tập, nghiên cứu thực luận văn Tôi xin chân thành cảm ơn! MỤC LỤC LỜI CAM ĐOAN LỜI CẢM ƠN MỤC LỤC DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT DANH MỤC CÁC HÌNH VẼ, ĐỒ THỊ MỞ ĐẦU Lý chọn đề tài Lịch sử nghiên cứu 10 Mục đích nghiên cứu luận văn, đối tƣợng, phạm vi nghiên cứu 11 Tóm tắt đọng luận điểm bản, đóng góp luận văn 11 Phƣơng pháp nghiên cứu 11 Kết cấu luận văn 12 CHƢƠNG - CƠ SỞ LÝ THUYẾT VỀ AN NINH MẠNG VÀ TẤN CÔNG DOS/DDOS 13 1.1 Cơ sở lý thuyết an ninh mạng 13 1.2 Cơ sở lý thuyết công DDoS 15 1.2.1 Tổng quan 15 1.2.2 Phân loại 16 1.2.3 Giải pháp 19 1.3 Kết luận chƣơng I 20 CHƢƠNG - SỬ DỤNG KIẾN TRÚC MẠNG OPENFLOW/SDN TRONG PHÁT HIỆN VÀ GIẢM THIỂU TẤN CÔNG DDOS DẠNG TCP SYN FLOOD 22 2.1 Cơ sở lý thuyết kiến trúc mạng OpenFlow/SDN 22 2.1.1 Giao thức OpenFlow 24 2.1.2 OpenFlow Switch 25 2.1.3 Một số đặc tính kỹ thuật OpenFlow Switch 26 2.2 Lý thuận lợi sử dụng kiến trúc mạng OpenFlow/SDN 27 2.2.1 Lý sử dụng kiến trúc mạng OpenFlow/SDN 27 2.2.2 Thuận lợi sử dụng kiến trúc mạng OpenFlow/SDN 30 2.2.3 Nguyên lý hoạt động OFS 31 2.3 Đề xuất giải pháp kiến trúc mạng OpenFlow/SDN phát giảm thiểu công DDoS 34 2.3.1 Module thu thập liệu 40 2.3.2 Module phát công 41 2.3.3 Module hành động 45 2.4 Cơ chế hoạt động giải pháp kiến trúc mạng OpenFlow/SDN phát giảm thiểu công DDoS 47 2.5 Kết luận chƣơng II 51 CHƢƠNG - HỆ THỐNG THỬ NGHIỆM, KẾT QUẢ ĐẠT ĐƢỢC VÀ ĐỊNH HƢỚNG PHÁT TRIỂN 52 3.1 Hệ thống thử nghiệm 52 3.1.1 Bộ điều khiển Floodlight 54 3.1.2 Công cụ công Bonesi 55 3.1.3 Phần mềm Wireshark 57 3.1.4 TCPreplay - Transmission Control Protocol Replay 58 3.2 Kết đạt đƣợc đánh giá kết 60 3.2.1 Hệ thống thử nghiệm 60 3.3.2 Đánh giá kết 61 3.3 Kết luận chƣơng định hƣớng phát triển 68 KẾT LUẬN VÀ KIẾN NGHỊ 69 TÀI LIỆU THAM KHẢO 70 DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT Từ viết tắt Thuật ngữ tiếng anh Ý nghĩa DDoS Distributed Denial Of Service Tấn công phân tán từ chối dịch vụ DoS Denial of Service Tấn công từ chối dịch vụ HOC Half-Open Connection Kết nối dở dang ICMP Internet Control Message Protocol Giao thức tin điều khiển IP Internet Protocol Giao thức liên mạng MAC Media Access Control Địa vật lý OFS OpenFlow Switch Chuyển mạch theo luồng với giao thức OpenFlow QoS Quality of Service Đảm bảo chất lƣợng dịch vụ SDN Software Defined Networking Mạng lập trình đƣợc TCP Transmission Control Protocol Client Giao thức điều khiển truyền vận Máy khách Floodlight/Controller Bộ điều khiển Flow Entry Luồng bảng luồng Flow Table Bảng luồng Server Máy chủ Testbed Hệ thống mô DANH MỤC CÁC HÌNH VẼ, ĐỒ THỊ Hình 1 Bảng xếp hạng quốc gia có lƣợng cơng DDoS lớn giới quý năm 2018 Kaspersky Lab thống kê 14 Hình Phân loại công DDoS 16 Hình Quá trình bắt tay ba bƣớc 17 Hình Cơ chế công TCP SYN Flood 18 Hình Kiến trúc mạng điều khiển phần mềm SDN 23 Hình 2 Các thành phần OpenFlow Switch 26 Hình Các thành phần Flow Entry Flow Table 27 Hình Các ứng dụng ngƣời dùng phổ biến 28 Hình Điều khiển tắc nghẽn mạng SDN 30 Hình Q trình máy khách gửi gói tin SYN tới máy chủ 32 Hình Q trình máy chủ gửi gói tin SYN-ACK tới máy khách 33 Hình Q trình máy khách gửi gói tin ACK tới máy chủ 33 Hình Q trình gói tin từ máy khách tới máy chủ qua nhiều OFS 34 Hình 10 Số lƣợng gói tin luồng tới Server phút liệu bình thƣờng 36 Hình 11 Số lƣợng gói tin luồng tới Server 6,28 giây liệu công 37 Hình 12 Khoảng thời gian đến luồng thời gian 1s liệu bình thƣờng 37 Hình 13 Khoảng thời gian đến luồng thời gian 1s liệu công 38 Hình 14 Kiến trúc tổng quan hệ thống 39 Hình 15 Xây dựng thuộc tính 42 Hình 16 Xây dựng thuộc tính 43 Hình 17 Cơ chế hoạt động hệ thống 47 Hình 18 Hàm CDF thời gian đến luồng liệu công 49 Hình 19 Hàm CDF thời gian đến luồng liệu bình thƣờng 50 Hình 20 Số luồng cửa sổ liệu bình thƣờng 50 Hình 21 Số luồng cửa sổ liệu công 51 Hình Mơ hình hệ thống thử nghiệm 52 Hình Kiến trúc điều khiển Floodlight 55 Hình 3 Giao diện sử dụng Bonesi 56 Hình Giao diện sử dụng Wireshark 58 Hình Giao diện sử dụng TCPreplay 59 Hình Mơ hình hệ thống kiểm thử thực tế 60 Hình Quá trình xử lý tin SYN Server 61 Hình Số lƣợng HOC Server tốc độ 100 tin/giây 62 Hình Số lƣợng HOC Server tốc độ 150 tin/giây 63 Hình 10 Số lƣợng HOC Server tốc độ 200 tin/giây 63 Hình 11 Số lƣợng FlowEntry OFS tốc độ 150 tin/giây 64 Hình 12 Quá trình xử lý tin SYN Server sử dụng giải pháp 65 Hình 13 Số HOC Server với tốc độ 100 tin/giây sử dụng giải pháp 66 Hình 14 Số HOC Server với tốc độ 150 tin/giây sử dụng giải pháp 66 Hình 15 Số HOC Server với tốc độ 200 tin/giây sử dụng giải pháp 67 Hình 16 Số FlowEntry OFS với tốc độ 150 tin/giây sử dụng giải pháp 67 MỞ ĐẦU Lý chọn đề tài Các công từ chối dịch vụ (Denial of Service - DoS) từ chối dịch vụ phân tán (Distributed Denial of Service - DDoS) [17] ngày phức tạp dự đốn trƣớc, khiến chúng trở nên khó khăn công tác phát giảm thiểu nhà quản lý mạng Gần đây, TCP SYN Flood [3] dạng công từ chối dịch vụ phân tán phổ biến gây tác hại nghiêm trọng nhất, khiến nhà cung cấp dịch vụ phải ngắt máy chủ Theo Verisign [26] công Flood cƣờng độ cao đƣợc quan sát thấy quý năm 2016 công TCP SYN Flood đạt tốc độ cao khoảng 60 Gbps 150 Gbps Cuộc công Flood công có số lƣợng gói tin gửi giây cao mà Verisign thấy TCP SYN Flood kiểu công DDoS lạm dụng việc bắt tay ba bƣớc (three-way handshake) [22] quy trình thiết lập kết nối TCP để tiêu thụ tài nguyên máy chủ đƣợc nhắm mục tiêu khiến khơng thể phản hồi yêu cầu kết nối hợp lệ Thông thƣờng, máy khách (máy Client) gửi gói tin SYN đến máy chủ (máy Server) với mục đích yêu cầu thực kết nối TCP Sau đó, máy chủ chấp nhận yêu cầu kết nối xác nhận cách gửi gói SYN-ACK trở lại máy khách, lƣu trữ thông tin kết nối Khối điều khiển truyền (Transmission Control Block - TCB) trì trạng thái gọi Kết nối dở dang (Half-Open Connection - HOC) Sau máy khách nhận đƣợc phản hồi SYN-ACK máy khách cần gửi tới máy chủ gói tin thơng báo ACK để xác nhận hoàn thành thiết lập kết nối Quá trình đƣợc gọi bắt tay ba bƣớc Trong công TCP SYN Flood, máy chủ bị bắn phá với lƣợng lớn gói tin SYN gói tin thƣờng sử dụng địa IP nguồn giả mạo đƣợc gửi từ máy khách nằm phân tán nhiều nơi chịu điều khiển kẻ công (Attacker) Máy chủ, công, tạo nhiều HOC tài nguyên nhanh chóng cạn kiệt bị chiếm dụng HOC trƣớc HOC hết thời gian chờ bị hủy bỏ Việc cạn kiệt tài nguyên không ngăn máy chủ phục vụ kết nối hợp pháp từ máy khách ngƣời dùng dịch vụ mà cịn Hình Giao diện sử dụng Wireshark Chúng sử dụng phần mềm Wireshark với mục đích bắt gói tin giả lập môi trƣờng botnet công cụ cơng Bonesi, sau lƣu lại dƣới định dạng tập tin pcap Ngồi ra, chúng tơi cịn sử dụng phần mềm để thực việc kiểm tra, giám sát giao tiếp kết nối mạng 3.1.4 TCPreplay - Transmission Control Protocol Replay TCPreplay [25] cơng cụ mã nguồn mở, miễn phí đƣợc thực theo ngôn ngữ C đƣợc thiết kế để hoạt động theo dịng lệnh Máy tính đƣợc sử dụng làm Attacker đƣợc cài đặt công cụ TCPreplay để giả lập công theo kịch đƣa TCPreplay công cụ cho phép ngƣời dùng chỉnh sửa phát lại lƣu lƣợng mạng định dạng file pcap Ngồi ra, cho phép ngƣời dùng phân loại lƣu lƣợng nhƣ khách hàng máy chủ, tạo lại gói tin lớp 2, và cuối phát lại loại lƣu lƣợng vào mạng thông qua thiết bị khác nhƣ switch, router, firewalls, NIDS IPS TCPreplay bao gồm kịch sau [25]: - Tcpprep: Xử lý tập tin dƣới định dạng pcap, từ cho phép bóc tách gói tin đƣợc gửi từ máy khách hay máy chủ hệ thống Kết tạo cache files để tcprewrite tcpreplay sử dụng 58 - Tcprewrite: Chỉnh sửa thơng tin header gói tin; - Tcpreplay: Phát lại gói tin file pcap vào hệ thống mạng; - Tcpliveplay: Cho phép phát gói tin truyền theo giao thức truyền thông TCP vào mạng Internet, thiết lập trình bắt tay ba bƣớc; - Tcpreplay-edit: Thực chức tƣơng tự nhƣ tcpreplay tcprewire nhiên không đƣợc khuyến cáo sử dụng nhiều; - Tcpbridge: Thực chức kết nối hai đoạn mạng với nhau; - Tcpcapinfo: Đƣợc sử dụng để phân tích bug tcprewrite hay gói tin pcap bị lỗi Nói chung, hầu hết ngƣời sử dụng để chạy Tcprep dựa file pcap để tạo lƣu lƣợng mạng máy khách máy chủ Dƣới minh họa cửa sổ teminal máy tính Attacker tiến hành phát lại gói cơng DDoS cơng cụ TCPreplay Hình Giao diện sử dụng TCPreplay Trong hệ thống thử nghiệm, nhóm nghiên cứu cài TCPreplay chạy hệ điều hành Ubuntu 14.04 với vai trị máy tính Attacker Máy tính phát lại lƣu lƣợng công DDoS thực tế xảy 59 Từ nội dung trên, biết hệ thống thử nghiệm sử dụng kiến trúc SDN để phát giảm thiểu công DDoS Chúng ta biết đƣợc chi tiết module hệ thống, chức cách thức hoạt động module Trong phần trình bày đƣợc chế hoạt động, bƣớc hoạt động hệ thống trình bày công cụ, kịch để thử nghiệm giải pháp đề xuất 3.2 Kết đạt đƣợc đánh giá kết 3.2.1 Hệ thống thử nghiệm Dƣới mơ hình thử nghiệm mà nhóm nghiên cứu xây dựng để đánh giá hiệu giải pháp đề xuất: attacker OpenFlow Switch Client Server Controller Hình Mơ hình hệ thống kiểm thử thực tế Mơ hình hệ thống thử nghiệm nhóm nghiên cứu xây dựng bao gồm thành phần sau: - Một máy Laptop làm điều khiển chạy Controller Floodlight; 60 - Một máy PC làm OpenFlow Switch phiên OpenvSwitch 2.10.0 Card NetFPFA với Port 1Gbps; - Một máy Laptop làm máy khách (Client); - Một máy Laptop làm máy công (Attacker); - Một máy PC làm Server (sử dụng FTP Server ) 3.3.2 Đánh giá kết Trong phần đánh giá hiệu kết đạt đƣợc hệ thống nhóm nghiên cứu tiến hành thử nghiệm theo hai trƣờng hợp: (1) Hệ thống bị công không sử dụng giải pháp phát hiện, giảm thiểu công; (2) hệ thống bị công sử dụng giải pháp mà đề xuất 1) Trƣờng hợp 1: Hệ thống bị công không sử dụng giải pháp Khi không sử dụng giải pháp phát phịng chống cơng máy Server xử lý tin SYN kết nối TCP nhƣ sau: Hình Quá trình xử lý tin SYN Server Bằng công cụ Wireshark bắt lọc đƣợc tiến trình xử lý tin SYN với địa IP giả mạo Nhìn hình 3.7 ta thấy: Khi IP giả mạo máy Client gửi tin TCP có cờ SYN tới Server, Server 61 gửi tin TCP có cờ SYN ACK để chấp nhận kết nối chờ máy Client gửi lại tin có cờ ACK Nhƣng địa IP máy Client giả mạo nên khơng có tin ACK gửi lại để hồn thành q trình bắt tay ba bƣớc Server chờ kết nối, sau giây không nhận đƣợc tin có cờ ACK máy Server lại tiếp tục gửi lại tin TCP có cờ SYN cờ ACK tiếp tục chờ kết nối Sau giây mà khơng nhận đƣợc tin có cờ ACK Server lại tiếp tục gửi tin TCP có cờ SYN cờ ACK tiếp tục chờ Sau 12 giây Server không nhận đƣợc tin TCP có cờ ACK để thiết lập thành cơng kết nối Server gửi tin có cờ RST để ngắt kết nối không chờ tin có cờ ACK Nhƣ vậy, tổng thời gian Server bắt đầu nhận đƣợc tin có cờ SYN Server gửi tin có cờ RST 21 giây Qua thấy thời gian Server xử lý tin có cờ SYN lớn nên có lƣợng lớn gói tin có cờ SYN tới Server lúc đệm Server phải lớn khơng cịn tài nguyên để xử lý kết nối Trong trình thử nghiệm nhóm nghiên cứu sử dụng lƣu lƣợng công với tốc độ lần lƣợt 100 tin/giây, 150 tin/giây 200 tin/giây cơng thời gian 20 giây Khi Server có số lƣợng kết nối dở dang thể nhƣ sau: Hình Số lƣợng HOC Server tốc độ 100 tin/giây 62 Hình Số lƣợng HOC Server tốc độ 150 tin/giây Hình 10 Số lƣợng HOC Server tốc độ 200 tin/giây Từ ba hình 3.8, 3.9 3.10 thấy: Khi cơng TCP SYN Flood xảy số lƣợng HOC tăng lên nhanh Với tốc độ 100 tin/giây Server phải lƣu số lƣợng HOC lớn 1.750 HOC, với tốc độ 150 tin/giây Server phải lƣu số lƣợng HOC lớn 2.625 HOC cịn với tốc độ 200 tin/giây Server phải lƣu số lƣợng HOC lớn 3.500 HOC Qua chúng 63 ta thấy có cơng TCP SYN Flood xảy số lƣợng HOC tăng lên nhanh Server phải lƣu số lƣợng HOC lớn Hình 3.11 bên dƣới thể số lƣợng Flow Entry tồn OFS Khi cơng TCP SYN Flood xảy số lƣợng Flow Entry tăng lên nhanh Với tốc độ 150 tin/giây OFS phải lƣu số lƣợng Flow Entry lớn 3.000 Flow Entry Qua thấy có cơng TCP SYN Flood xảy số lƣợng Flow Entry tăng lên nhanh OFS phải lƣu số lƣợng Flow Entry lớn Hình 11 Số lƣợng FlowEntry OFS tốc độ 150 tin/giây 2) Trƣờng hợp 2: Hệ thống bị công sử dụng giải pháp Khi sử dụng giải pháp phát giảm thiểu cơng nhóm nghiên cứu đề xuất máy Server xử lý tin SYN kết nối TCP nhƣ sau: Trên Hình 3.12 ta thấy đƣợc cách thức xử lý tin TCP có cờ SYN Khi IP giả mạo gửi tới Server tin gói tin TCP có cờ SYN Server gửi lại tin TCP có cờ SYN cờ ACK Hệ thống tiến hành thu thập liệu vòng giây nên Server chờ sau giây khơng nhận đƣợc tin ACK Server tiếp tục gửi lại tin TCP có cờ SYN cờ ACK Sau giây hồn thành chu kỳ thu thập tiến hành phân tích, tính tốn biết 64 đƣợc có cơng DDoS dạng TCP SYN xảy kết nối chờ kết nối giả mạo Khi điều khiển tự tạo tin TCP có cờ ACK luồng để tạo kết nối giả với Server Sau điều khiển tạo tiếp tin TCP với cờ RST gửi tới Server để ngắt kết nối luồng Qua cho thấy vịng giây luồng giả mạo bị phát xố khỏi Server Server không cần phải chờ tới 21 giây xố luồng giả mạo Nhƣ vậy, máy Server giảm số lƣợng HOC nên giảm thiểu đƣợc cơng DDoS Hình 12 Q trình xử lý tin SYN Server sử dụng giải pháp Khi sử dụng giải pháp chúng tơi đề xuất kết đạt đƣợc số lƣợng HOC Server phải chờ giảm nhiều Qua ba Hình 3.13, 3.14 3.15 ta thấy đƣợc kết đem lại hệ thống sử dụng giải pháp phát giảm thiểu công DDoS mà chúng tơi đề xuất Trên hình 5.13 ta thấy sử dụng giải pháp công với tốc độ 100 tin/giây số lƣợng HOC mà Server cần lƣu trữ lớn 600 HOC Số HOC cần lƣu trữ nhỏ nhiều so với 1.750 HOC không sử dụng giải pháp Trên hình 5.14 ta thấy sử dụng giải pháp công với tốc độ 150 tin/ giây số lƣợng HOC mà Server cần lƣu trữ lớn 900 HOC Cịn khơng sử dụng giải pháp với tốc độ cơng số lƣợng HOC Server cần phải 65 lƣu trữ 2.625 HOC Trên hình 5.15 cho thấy sử dụng giải pháp công với tốc độ 200 tin/giây số lƣợng HOC Server cần lƣu trữ lớn 1.200 HOC số lƣợng HOC Server cần lƣu trữ lớn 3.500 không sử dụng giải pháp Hình 13 Số HOC Server với tốc độ 100 tin/giây sử dụng giải pháp Hình 14 Số HOC Server với tốc độ 150 tin/giây sử dụng giải pháp 66 Hình 15 Số HOC Server với tốc độ 200 tin/giây sử dụng giải pháp Hình 3.16 bên dƣới thể số lƣợng Flow Entry tồn OFS Khi công TCP SYN Flood xảy số lƣợng Flow Entry OFS tăng lên nhanh Trên Hình ta thấy sử dụng giải pháp công với tốc độ 150 tin/giây số lƣợng Flow Entry mà OFS cần lƣu trữ lớn 1.300 Flow Entry Cịn khơng sử dụng giải pháp với tốc độ cơng số lƣợng Flow Entry OFS cần phải lƣu trữ 3.000 Flow Entry Hình 16 Số FlowEntry OFS với tốc độ 150 tin/giây sử dụng giải pháp 67 Từ kết trên, thấy đƣợc tác dụng hiệu giải pháp mà nhóm nghiên cứu đề xuất Với việc giảm số lƣợng HOC mà Server phải lƣu trữ cộng với việc giảm số lƣợng Flow Entry mà OFS phải lƣu trữ sử dụng giải pháp giúp Server OFS không bị tải hay tràn đệm từ giảm thiểu đƣợc tác hại cơng DDoS xảy 3.3 Kết luận chƣơng định hƣớng phát triển Hệ thống đƣợc xây dựng tƣơng đối đơn giản nhƣng hiệu phát chống công DDoS tƣơng đối cao đạt đƣợc số kết nhƣ sau: Hệ thống phát nhanh chóng công DDoS loại TCP SYN Flood xảy ra, từ ta đƣa hành động giúp giảm thiểu công Số HOC Server xảy công TCP giảm cách nhanh chóng giúp cho Server có khả phục vụ kết nối bình thƣờng công xảy Với kết đạt đƣợc nhƣ giải pháp áp dụng cho server vừa nhỏ công ty, tổ chức, doanh nghiệp Ngoài ra, để hệ thống phát hiện, giảm thiểu công tới mức thấp chạy ổn định mơi trƣờng mạng có số lƣợng truy cập đến máy chủ lớn, đƣa hƣớng phát triển đề tài nhƣ sau: - Xây dựng thêm giải pháp Controller để phát phịng chống nhiều loại cơng khác - Ngồi server thời gian chờ kết nối đƣợc thiết lập cố định Thay nhƣ hệ thống thiết lập động thời gian chờ kết nối Controller Thời gian tới nghiên cứu phát triển thêm module giới hạn số lƣợng luồng đến Server Controller Điều giúp cho công xảy số lƣợng gói tin gửi tới Server không vƣợt ngƣỡng phục vụ Server nhƣ Server đảm bảo hoạt động liên tục Qua chƣơng III, thấy đƣợc kết mà nhóm nghiên cứu đạt đƣợc Biết đƣợc mơ hình thử nghiệm mà nhóm nghiên cứu xây dựng Chúng ta đánh giá đƣợc hiệu giải pháp đem lại lớn Từ đƣa đƣợc phƣơng hƣớng phát triển đề tài cho linh hoạt hiệu tốt 68 KẾT LUẬN VÀ KIẾN NGHỊ Tấn công từ chối dịch vụ DDoS hình thức cơng có từ lâu, nhiên mối đe dọa lớn cho Internet Hiện có nhiều biện pháp phịng chống cơng đƣợc đƣa nhiên chƣa có giải pháp tổng quát, cụ thể phòng chống triệt để cơng DDoS tính phức tạp tinh vi Việc phát phịng chống cơng DDoS thách thức lớn với nhà quản trị mạng nhà nghiên cứu khoa học Kỹ thuật mạng truyền thống bộc lộ điểm yếu, hệ thống mạng tồn chồng chéo nhiều giao thức công cụ sử dụng đồng thời dẫn tới phức tạp chế hoạt động mạng Điều dẫn đến hiệu hoạt động mạng không cao, không đáp ứng đƣợc thay đổi, cấu hình mềm dẻo cho dịch vụ mạng đại, tính di động ngƣời dùng Kỹ thuật mạng SDN giao thức OpenFlow đời sở tách riêng mặt phẳng điều khiển khỏi mặt phẳng liệu tạo nên chế điều khiển linh hoạt, mềm dẻo, thực tác vụ quản lý cách tự động hoá, thống toàn hệ thống SDN OpenFlow giúp tạo ứng dụng tăng hiệu quản trị, điều hành mạng nói chung đảm bảo an ninh mạng có cơng từ chối dịch vụ phân tán Trên sở thu thập, phân tích lƣu lƣợng để chọn tham số đặc trƣng, áp dụng thuật toán Fuzzy Logic, ứng dụng phần mềm điều khiển phát cơng từ chối dịch vụ phân tán dạng TCP SYN Flood Bằng việc sử dụng chế đa Controller, giải pháp đƣa cho thấy tỉ lệ kết nối dở dang luồng công máy chủ đƣợc giảm 76% tỉ lệ Flow Entry luồng công OFS đƣợc giảm 57% Điều giúp máy chủ OFS đảm bảo tài nguyên để phục vụ kết nối lành tính xảy công Với kết đạt đƣợc, giải pháp ứng dụng để phát giảm thiểu công TCP SYN Flood cho nhà cung cấp dịch vụ mạng quy mô nhỏ vừa 69 TÀI LIỆU THAM KHẢO Ambrosin, M., Conti, M., De Gaspari, F., and Poovendran, R (2015) Lineswitch: Efficiently managing switch flow in software-defined networking while effectively tackling dos attacks Proceedings of the 10th ACM Symposium on Information, Computer and Communications Security-ASIA CCS’15, Singapore, Republic of Singapore, pp 639-644; Báo cáo an ninh website CyStack quý năm 2018 từ https://vn.cystack net/wp-content/uploads/sites/4/CyStack_Security_Report_Q3_ 2018- 1.pdf, Last accessed on 15/11/2018; Bernstein, D (1996), SYN cookies Retrieved from http://cr.yp.to/syncookies html, Last accessed on 20/10/2018; BONESI - A network stress testing application Retrieved from https://github com/Markus-Go/bonesi, Last accessed on 15/12/2018; Criscuolo, P J (2000), Distributed Denial of Service, Tribe Flood Network 2000 and Stacheldraht CIAC-2319, Department of Energy Computer Incident Advisory Capability (CIAC), UCRL-ID-136939, Rev 1, Lawrence Livermore National Laboratory; Các kĩ thuật công DDOS DRDOS BOTNET từ https://www mystown.com/2015/12/cac-ki-thuat-tan-cong-ddos-drdos-va.html, Last accessed on 18/12/2018; Deal, R (2004) Cisco Router Firewall Security Cisco Press ISBN:978-1-58705175-3; Floodlight Project http://www.projectfloodlight.org/getting-started/ Last accessed on 2/12/2018; Juniper Network (2015), Junos OS - Attack Detection and Prevention Feature Guide for Security Devices, White paper Retrieved from http://www juniper.net/techpubs/enUS/junos/information-products/pathway-pages/security/ securityattack-denial-of-service.pdf, Last accessed on 15/10/2017; 70 10 Kumar, S , Member, S and Reddy Gade, R (2015), Evaluation of Microsoft Windows Servers 2008 & 2003 against Cyber Attacks Journal of Information Security, 6, 155-160 doi: 10.4236/jis.2015.62016; 11 Lemon, J (2002), Resisting SYN Flood DoS Attacks with a SYN Cache Proceedings of the BSD Conference 2002 on BSD Conference - BSDC’02, San Francisco, CA, USA, pp 10-10; 12 McKeown, N., Anderson, T., Balakrishnan, H., Parulkar, G., Peterson, L., Rexford, J., Shenker, S., and Turner, J (2008), Openflow: Enabling innovation in campus networks ACM SIGCOMM Computer Communication Review, 38, 6974; 13 Mohamed, A B and Kandil, A (2009), Strengthening and securing the TCP/IP stack against SYN attacks Proceedings of the ITI 2009 31st International Conference on Information Technology Interfaces, Piscataway, USA, June, 2009, pp 627-632; 14 Open Network Foundation Software Defined Networking Definition Retrieved from https://opennetworking.org/sdn-resources/sdndefinition, Last accessed on 15/10/2017; 15 Open Networking Foundation, Software-Defined Networking: The New Norm for Networks, April 13, 2012; 16 Open Networking Foundation, OpenFlow Switch Specification Version 1.5.1, March 26, 2015; 17 Peng, T., Leckie, C., and Ramamohanarao, K (2007), ACM Computing Surveys, Survey of Network-based Defense Mechanisms Countering the DoS and DDoS Problems, pp 39; 18 Phan Van Trung, Truong Thu Huong, Dang Van Tuyen, Duong Minh Duc, Nguyen Huu Thanh, (2015), A multi-criteria-based DDoS-attack prevention solution using software defined networking, International Conference on Advanced Technologies for Communications, pp.308 - 313; 71 19 Shin, S., Yegneswaran, V., Porras, P., and Gu, G (2013) AVANT-GUARD: Scalable and Vigilant Switch Flow Management in Software-defined Networks Proceedings of the 2013 ACM SIGSAC Conference on Computer and Communications Security - CCS ’13, Berlin, Germany, pp 413-424; 20 Saman Taghavi Zargar, James Joshi, Member and David Tippe, ( 2013), A Survey of Defense Mechanisms Against Distributed Denial of Service (DDoS) Flooding Attacks, IEEE Communications Surveys & Tutorials; 21 Schuba, C., Krsul, I., Kuhn, M., Spafford, E., Sundaram, A., and D Zamboni (1997) Analysis of a Denial of Service attack on TCP Proceedings of the 1997 IEEE Symposium on Security and Privacy, Oakland, CA, USA, pp 208-223; 22 The Internet Society Transmission Control Protocol, RFC 793 Retrieved from https://tools.ietf.org/html/rfc793, Last accessed on 15/10/2017; 23 Tình hình cơng DDoS Q II/2018 từ https://securelist.com/ddos-report-inq2-2018/86537/, Last accessed on 10/12/2018; 24 Twycross, J., Williamson, and Matthew, M (2003), Implementing and testing a virus throttle Proceedings of the 12th Conference on USENIX Security Symposium, SSYM’03 - Volume 12, Washington, DC, USA, pp 20-20; 25 TCPReplay - Pcap editing and replay tool for *NIX Retrieved from http://tcpreplay.synfin.net, Last accessed on 15/10/2017; 26 Verisign, (2016), Verisign Distributed Denial of Service trends report, Volumn 3, Issue Retrieved from https://www.verisign.com/assets/ reportddos-trendsQ32016.pdf, Last accessed on 15/10/2017; 27 Wesley M Eddy (2006), Defenses against TCP SYN flooding attacks The Internet Protocol Journal, 9, 2-16; 28 Wireshark - Used network protocol analyzer https://www.wireshark.org, Last accessed on 15/12/2018 72 Retrieved from ... NGỌC THANH CÁC GIẢI PHÁP KỸ THUẬT MẠNG ĐIỀU KHIỂN BẰNG PHẦN MỀM CHỐNG TẤN CÔNG TỪ CHỐI DỊCH VỤ PHÂN TÁN Chuyên ngành: Kỹ thuật viễn thông LUẬN VĂN THẠC SĨ KỸ THUẬT CHUYÊN NGÀNH KỸ THUẬT VIỄN... Nội, thực luận văn thạc sĩ kỹ thuật chuyên ngành Kỹ thuật viễn thông theo đề tài: ? ?Các giải pháp kỹ thuật mạng điều khiển phần mềm chống công từ chối dịch vụ phân tán? ?? dƣới hƣớng dẫn PGS.TS Trƣơng... MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT Từ viết tắt Thuật ngữ tiếng anh Ý nghĩa DDoS Distributed Denial Of Service Tấn công phân tán từ chối dịch vụ DoS Denial of Service Tấn công từ chối dịch vụ HOC