Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 78 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
78
Dung lượng
2,33 MB
Nội dung
LỜI CẢM ƠN Tôi xin gửi lời cảm ơn trân trọng tới PGS.TS Phạm Ngọc Nam, người cho định hướng ý kiến q báu để tơi hồn thành khóa luận tốt nghiệp Tơi xin tỏ lịng biết ơn sâu sắc tới thầy cơ, bạn bè dìu dắt, giúp đỡ tơi tiến suốt q trình làm khóa luận tốt nghiệp Xin cảm ơn gia đình bè bạn, người ln khuyến khích giúp đỡ tơi hồn cảnh khó khăn Tơi xin cảm ơn Viện Điện tử viễn thông, Viện Đào tạo Sau đại học, Trường Đại học Bách khoa Hà Nội tạo điều kiện cho tơi q trình học, làm hồn thành khóa luận Hà Nội, ngày … tháng …năm 2018 Người thực Hồ Anh Phúc LỜI CAM ĐOAN Tơi xin cam đoan, mà viết luận văn tìm hiểu, nghiên cứu thân hướng dẫn PGS.TS Phạm Ngọc Nam Mọi kết nghiên cứu ý tưởng tác giả khác có trích dẫn nguồn gốc cụ thể Tơi xin hồn tồn chịu trách nhiệm mà cam đoan Hà Nội, ngày … tháng …năm 2018 Người thực Hồ Anh Phúc MỤC LỤC DANH MỤC HÌNH VẼ LỜI NÓI ĐẦU CHƯƠNG I TỔNG QUAN VỀ DDOS 11 1.1 Tấn công từ chối dịch vụ phân tán (DDoS) .11 1.1.1 Tấn công lớp 3/4 12 1.1.2 Tấn công lớp 19 1.1.3 Các nguồn công DDoS 21 1.1.4 Các hình thức cơng 21 1.1.5 Xu hướng DDoS 22 1.2 Giới thiệu chung phòng chống DDoS 23 1.2.1 Các hệ thống phòng chống DDoS phổ biến 23 1.2.2 Các giải pháp độc quyền, phía máy chủ 24 1.2.3 Phòng chống DDoS cho nhà cung cấp dịch vụ 24 1.2.4 Bảo vệ mạng phân phối nội dung .25 CHƯƠNG II GIẢI PHÁP CHỐNG TẤN CÔNG DDOS .27 SỬ DỤNG CÔNG NGHỆ FPGA .27 2.1 Kiến trúc hệ thống phòng vệ dựa FPGA 27 2.1.1 Cấu trúc hệ thống 27 2.1.2 Khối C-GEP 28 2.1.3 Phần mềm IDS 39 2.1.5 Thiết bị chuyển mạch 43 2.1.6 Bộ điều khiển SDN 45 2.2 Tính kịp thời hệ thống .45 CHƯƠNG III ĐỀ XUẤT GIẢI PHÁP 47 3.1 Thiết kế phát DDoS dựa FPGA 47 3.1.1 Khái niệm giải mã nhiều bước .48 3.1.2 Thời gian phản hồi phát công 49 3.1.3 Thiết kế giải mã .50 3.1.4 Đo tải thiết bị đầu cuối 51 3.1.5 Mô-đun phát công DDoS .51 3.1.6 Cây định kiểu công UDP .52 3.1.7 Cơ sở liệu dựa danh tiếng .55 3.2 Triển khai phát công DDoS dựa FPGA 55 3.2.1 Các ràng buộc thiết kế tốc độ cao .56 3.2.2 Bộ giải mã 56 3.2.3 Module tương thích 1Gbps, 10Gbps 57 3.2.4 Tổng hợp phân loại bảng băm 57 CHƯƠNG IV ĐÁNH GIÁ GIẢI PHÁP 63 4.1 Mô phát công .63 4.1.1 Mẫu lưu lượng tin sử dụng cho thử nghiệm 63 4.1.2 Thu thập lưu lượng tin mẫu .63 4.1.3 Quy trình kiểm tra .63 4.2 Kiểm tra phát công 64 4.2.1 Biên dịch phép đo .64 4.2.2 Quá trình đo lường 65 4.2.3 Kết đo 65 4.3 Báo cáo thí nghiệm kiểm tra cơng 66 4.3.1 Tấn công NTP 66 4.3.2 UDP flood 68 4.3.3 DNS flood 69 4.3.4 Tấn công phân mảnh UDP 70 4.3.5 RIPv1 71 4.3.6 SYN flood 73 KẾT LUẬN .74 TÀI LIỆU THAM KHẢO 76 DANH MỤC TỪ VIẾT TẮT ACK Acknowledgement DNS Domain Name System DOS Denial of Service DDOS Distributed Denial of Service FPGA Field-programmable gate array FTP HTTP HyperText Transfer Protocol ICMP Internet Control Message Protocol IDS 10 IP Internet Protocol 11 IPS Intrusion Prevention System 12 NAT Network Address Translation 13 NTP Network Time Protocol 14 UDP User Datagram Protocol 15 RPC Remote Procedure Call 16 TCP Transmission Control Protocol File Transfer Protocol Intrusion Detection System DANH MỤC HÌNH VẼ Hình 1.1 Phân phối công DDoS lớp 11 Hình 1.2 Tần suất biến thể DDoS 2016 12 Hình 1.3 Tấn công SYN flood 13 Hình 1.4 Tấn cơng UDP flood 15 Hình 1.5 Tấn cơng NTP 17 Hình 1.6 Tấn cơng DNS 18 Hình 1.7 Phân bố công lớp quý năm 2016 [3] .20 Hình 1.8 Hệ thống phòng thủ Incapsula .25 Hình 2.1 Sơ đồ khối hệ thống bảo vệ 28 Hình 2.2 Sơ đồ khối C-GEP .29 Hình 2.3 Cấu trúc logic hệ thống giám sát C-GEP 30 Hình 2.4 Sơ đồ phân tích cú pháp gói .33 Hình 2.5 Phân loại gói dựa đường ống 37 Hình 2.6 Phân loại gói dựa Block RAM 38 Hình 2.7 Ví dụ quy trình RADAR .40 Hình 2.8 Tạo lưu lượng tin cho IDS 43 Hình 2.9 Điều khiển thiết bị chuyển mạch với nguyên lý RADAR 44 Hình 3.1 Hoạt động phát DDoS 47 Hình 3.2 Phác thảo thời gian phản hồi phát DDoS .49 Hình 3.3 Cây định kiểu công dựa UDP 54 Hình 3.4 Cấu trúc phát cơng 56 Hình 3.5 Bảng thời gian lấy mẫu 59 Hình 3.6 Các bước trình phân loại .60 Hình 3.7 Logic việc tái cấu hình 60 Hình 3.8 Nguyên tắc hoạt động việc quản lý trình phân loại 61 Hình 4.1 Sơ đồ khối kiểm nghiệm vật lý 64 Hình 4.2 Bộ tạo lưu lượng tin 65 Hình 4.3 Mẫu từ cơng NTP 66 Hình 4.4 Một gói tin từ công 67 Hình 4.5 Mơ cơng NTP 67 Hình 4.6 Một số gói tin cơng .68 Hình 4.7 Một gói tin công UDP flood 68 Hình 4.8 Dấu hiệu ẩn 68 Hình 4.9 Một số gói tin cơng DNS 69 Hình 4.10 Một gói tin cơng DNS 69 Hình 4.11 Một số gói tin cơng phân mảnh UDP 70 Hình 4.12 Một gói tin công phân mảnh UDP 70 Hình 4.13 Một số gói tin công RiP 71 Hình 4.14 Một gói tin cơng RiP 72 Hình 4.15 Một số gói tin cơng SYN flood 73 Hình 4.16 Một gói tin công SYN flood .73 LỜI NÓI ĐẦU Bảo vệ mạng máy tính khỏi tác nhân độc hại ngày trở nên khó khăn năm Tin tặc ngày tìm nhiều cách tinh vi phức tạp để công nhà cung cấp nội dung số Các chuyên gia bảo mật phải liên tục nâng cấp phát triển giải pháp họ để chiến đấu chống lại mối đe dọa Câu hỏi đặt làm nhà cung cấp dịch vụ bảo vệ hệ thống chống lại hệ công phân tán từ chối dịch vụ DDoS (Distributed Denial of Service), loại thiết bị đem lại hiệu việc bảo vệ này? Thực ra, phải tự điều chỉnh kỹ thuật cơng cụ để chiến đấu với mối đe dọa thay đổi Luận văn xu hướng lĩnh vực cố gắng đề xuất giải pháp vấn đề đặt Mục đích luận văn trình bày hệ thống phát xâm nhập (IDS) dựa phần cứng Việc giới thiệu sử dụng phần cứng FPGA (Field Programmable Gate Array) vào phần lớn trình hướng phần mềm mở nhiều hội Phần cứng FPGA cung cấp khả xử lý song song tốc độ cao làm tăng khả tính tốn phức tạp tốc độ trình phát Hệ thống dựa FPGA phát cơng DDoS định tốn phần thời gian so với thời gian cần thiết cho hệ thống hoàn toàn dựa phần mềm Một mục đích luận văn để mơ tả làm người ta phát triển firmware trở thành hệ thống xử lý gói tin dựa FPGA tốc độ cao nhằm mục đích phát cơng phổ biến nguy hiểm Như nghiên cứu điển hình, luận văn chứng minh khả hệ thống việc phát dập tắt công (D)DoS thuộc nhiều chủng loại độ phức tạp khác Mặc dù luận văn không cung cấp giải pháp kỹ thuật cho tất kiểu cơng DDoS, giải phần lớn công kiểu Luận văn mô tả hệ thống linh hoạt, mở rộng giải pháp cho kiểu công DDoS phổ biến hướng dẫn thiết kế mô-đun cho kiểu cơng DDoS khác Q trình đánh giá giải pháp bao gồm sử dụng mẫu lưu lượng tin ghi lại nhiều công việc sử dụng số công cụ công phổ biến thiết kế để làm chết máy chủ Khả xử lý liệu phần cứng cung cấp cho nhìn rõ nét hệ thống chuyển mạch, sử dụng để hỗ trợ việc định cho đĩa điều khiển SDN (Software Defined Networking) Trong năm gần đây, phương thức công từ chối dịch vụ DDoS thay đổi đáng kể, phần nguyên nhân bắt nguồn từ phát triển nở rộ thiết bị IoT Băng thông sẵn sàng cho cơng DDoS ngày tăng lên nhanh chóng Cuộc siêu công Dyn năm 2016 với 1Tbps băng thơng ví dụ đáng để suy nghĩ [1] Điều đặt mối đe dọa nghiêm trọng nhà cung cấp nội dung số Trường hợp tiếng ghi lại với krebsonsecurity.com (một blog bảo mật mạng Brian Krebs) – công khiến trang web truy cập nhiều ngày Akamai (một mạng phân phối nội dung lớn host trang web này) phải xem xét hậu tài cơng đem lại với Krebs [8] Sự phát triển nhanh chóng thiết bị IoT việc sử dụng chúng vào mục đích độc hại cơng đáng kể, tạo lỗ hổng an ninh mạng nghiêm trọng Luận văn cố gắng nghiên cứu tài liệu giới thiệu giải pháp hiệu cho vấn đề Cùng với phát triển mạng Internet tốc độ nhanh đổi công nghệ, phát triển công nghệ giám sát phòng thủ mạng phát triển không ngừng Nếu không phát triển phải trả giá nghiêm trọng tương lai Luận văn đóng góp khía cạnh quan trọng việc giới thiệu hệ thống hữu ích để phịng chống DDoS Mục đích luận văn trình bày thiết kế triển khai thực hệ thống xử lý gói tin dựa FPGA Hệ thống dựa C-GEP sản xuất AITIA ZRt C-GEP xử lý gói tin với tảng Xilinx Virtex FPGAs Bộ phát hệ thống cho phép xử lý gói tin với dung lượng 100Gbps Hệ thống IDS (hệ thống phát xâm nhập) đề xuất kiểm nghiệm công thực 10 thập kiểu thử nghiệm Trong suốt q trình thử nghiệm, khơng tìm thấy kết tích cực sai có tương đối thử nghiệm thực hiện, nên kết thu thuyết phục so với thử nghiệm công - Đối với kiểm tra hỗn hợp, mẫu lưu lượng tin công trộn lẫn với mẫu lưu lượng tin tham chiếu trước hệ thống đem chạy thửnghiệm Những thử nghiệm thành công không bỏ qua mẫu công trộn vào 4.2 Kiểm tra phát công Bước cuối việc kiểm tra phát công thử nghiệm vật lý Chương cách phát công kiểm thử 4.2.1 Biên dịch phép đo Hình 4.1 Sơ đồ khối kiểm nghiệm vật lý Đối với kiểm nghiệm vật lý, hệ thống sử dụng biên dịch Hình 4.1 Đây biên dịch bao gồm PC phát cơng có đường truyền 1Gbps Cụ thể thí nghiệm luận văn này, PC với card mạng tích hợp 1Gbps sử dụng Việc tạo lưu lượng truy cập thực mô-đun giúp mô lại lưu lượng tin dựa winpcap Kết kiểm tra tạo cổng Tx cổng mạng 1Gbps phát công phân tích với Wireshark 64 Bộ phát gửi hai loại gói tin thơng điệp: gói tin thơng điệp chẩn đốn lặp giây mơ tả trạng thái phát cơng gói thơng điệp phát công mà công phát đầu vào cổng 4.2.2 Quá trình đo lường Để chuẩn bị cho việc đo lường, giao thức card mạng bị vơ hiệu hóa qua lưu lượng tin yêu cầu phát công để thử nghiệm Sau đó, Wireshark khởi động để bắt đầu tạo lưu lượng tin bắt gói tin, điều minh họa Hình 4.2 Hình 4.2 Bộ tạo lưu lượng tin Để thử nghiệm, sử dụng mẫu lưu lượng tin mà sử dụng q trình mơ phỏng, lưu lượng tin không đọc từ pcap mà gửi lại sendcap minh họa Hình 4.2 4.2.3 Kết đo Ban đầu việc đo lường khơng thành cơng, việc thực kiểm nghiệm thật mơ có khác biệt đáng kể Các gói tin thơng điệp chẩn đốn sử dụng để tìm lỗi phát cơng Sau hồn tất thành cơng q trình gỡ lỗi, thực nghiệm đo thành cơng kết thu cách mơ 65 4.3 Báo cáo thí nghiệm kiểm tra cơng Phần trình bày công sử dụng kiểm tra kết thu từ thí nghiệm cơng 4.3.1 Tấn cơng NTP Hình 4.3 Mẫu từ cơng NTP 66 Hình 4.4 Một gói tin từ công Kiểu công thử nghiệm hệ thống kiểu NTP flood Cuộc cơng có chứa hàng trăm nghìn truy vấn MON_GETLIST NTP phản hồi từ nhiều địa IP nguồn khác Kết mơ Trong q trình mơ phỏng, phát cho thấy hoạt động tốt phát công NTP flood diễn Cuộc công bị phát đượccảnh báo hệ thống suốt 140 giây Trong trường hợp này, khẳng định hệ thống hoạt động theo thơng số kỹ thuật Hình 4.5 cho thấy mô thành công, mã cơng NTP 40h Hình 4.5 Mơ cơng NTP Thí nghiệm thành cơng: phát cơng xác cơng NTP tiến hành chống lại nạn nhân Kết có khoảng thời gian xác định, giá trị xác thời gian khó để nói xác có chức gắn nhãn cung cấp bo mạch chủ sử dụng đây, gây khơng chắn đáng kể việc tính thời gian 67 4.3.2 UDP flood Hình 4.6 Một số gói tin cơng Hình 4.7 Một gói tin cơng UDP flood Hình 4.8 Dấu hiệu ẩn Các thí nghiệm với kiểu cơng UDP flood (Hình 4.6, Hình 4.7, Hình 4.8) thực sử dụng công cụ Anonymus DDoS [19] Dấu hiệu ẩn hiển thị từ phần thân (payload) gói tin Kết mơ 68 Trong q trình mô phỏng, phát công cho thấy hoạt động xác cảnh báo có công UDP flood diễn kết hợp với việc khơng có IP nguồn cơng Cuộc công phát cảnh báo hệ thống suốt 200 giây Có thể nói rằng, trường hợp này, hệ thống hoạt động theo thông số kỹ thuật Thử nghiệm thành công Sau nhận 13000 gói tin cơng, gói tin chứa thông điệp kẻ công phát phát công 4.3.3 DNS flood Hình 4.9 Một số gói tin cơng DNS Hình 4.10 Một gói tin cơng DNS Mẫu công sử dụng để thử nghiệm (Hình 4.9, Hình 4.10) chứa hàng trăm nghìn truy vấn phản hồi DNS, liên kết với số gói tin thông điệp ICMP Kết mô 69 Trong q trình mơ phỏng, phát cơng cho thấy hoạt động xác cảnh báo có cơng DNS flood diễn ra, khơng có cơng kiểu phân mảnh UDP Cuộc công phát báo hiệu hệ thống suốt 140 giây Có thể nói rằng, trường hợp này, hệ thống hoạt động theo thông số kỹ thuật Thử nghiệm thành công, phát công công DNS 4.3.4 Tấn công phân mảnh UDP Hình 4.11 Một số gói tin cơng phân mảnh UDP Hình 4.12 Một gói tin công phân mảnh UDP 70 Mẫu công chọn (Hình 4.11, Hình 4.12) chứa hàng trăm nghìn mảnh gói tin IPv4 / UDP Kết mơ Trong q trình mơ phỏng, phát cơng cho thấy hoạt động xác cảnh báo có cơng phân mảnh UDP diễn ra, thông báo gói khơng thể phục hồi Cuộc cơng phát báo hiệu hệ thống suốt 320 giây Có thể nói rằng, trường hợp này, hệ thống hoạt động theo thông số kỹ thuật Thử nghiệm thành công, phát công cơng phân mảnh UDP 4.3.5 RIPv1 Hình 4.13 Một số gói tin cơng RiP 71 Hình 4.14 Một gói tin cơng RiP Trong thử nghiệm công RiPv1 thực Hình 1.13 4.14 Hơn trăm thiết bị RiPv1 khác sử dụng cơng Khơng may khơng thể biết có tài nguyên ban đầu sử dụng cho công Kết mô Mô đem lại kết tốt: phát cảnh báo cơng RiP vịng 160 giây, thử nghiệm thành công Thử nghiệm thành công, phát công công RiP 72 4.3.6 SYN flood Hình 4.15 Một số gói tin cơng SYN flood Hình 4.16 Một gói tin công SYN flood Trong thử nghiệm công SYN flood thực Hình 4.15 4.16 Đây không công SYN flood thông thường mà công trực tiếp giả mạo với hàng triệu thiết bị đầu cuối giả mạo Kết mô Máy phát công công SYN flood diễn dựa thống kê thu giao thức Ngoài ra, phát có khả cao cơng giả mạo số lượng địa IP nguồn khác 73 lớn Điều đáng ý với phương pháp tự động tại, khơng thể xác định xem cơng có bị giả mạo hay không Thử nghiệm thực thành cơng, sau phát khoảng 15000 gói tin cơng, phát nhận định xác công SYN flood diễn ra, có khả kẻ cơng sử dụng gói tin giả mạo KẾT LUẬN Bộ phát DDoS đề xuất luận văn phát triển thành công Những nhiệm vụ mà đặt cho luận văn hoàn thành tạo hệ thống chạy tốt hữu ích Trong luận văn này, tác giả trình bày hình thức cơng DDoS phổ biến giải pháp phòng ngự sử dụng để chống lại chúng 74 ưu điểm, nhược điểm xu hướng đặc trưng lĩnh vực Tác giả nghiên cứu, tìm hiểu giới thiệu phát công DDoS dựa phần cứng xử lý 95% cơng Trong suốt q trình thử nghiệm phát công này, phát hoạt động khơng chức mà cịn hữu ích Mục tiêu luận văn tạo hệ thống dễ dàng thêm vào mạng hoạt động tốt Luận văn tập trung vào nhiệm vụ phát xâm nhập để đưa giải pháp phổ quát Việc triển khai phát công thành cơng phát có khả thực chức thiết kế Trong trình thử nghiệm, thử nghiệm cố gắng tạo mơi trường thực tế việc chơi lại ghi gắn nhãn thời gian công thực thực cách xác q trình mô kiểm tra phần cứng Bộ thử nghiệm mô thành công phát với Isim sử dụng lượng lớn mẫu lưu lượng tin khác để kiểm chứng tính xác khái niệm Các thử nghiệm tiếp tục thử nghiệm phần cứng thử nghiệm thành công Bộ phát công tiếp tục phát triển thêm tương lai để chuẩn bị cho xu hướng 75 TÀI LIỆU THAM KHẢO [1] Paul Sawers, Venturebeat, DYN attack, utolsó hozzáférés 2016.10.21.: http://venturebeat.com/2016/10/21/dyn-dyn-dyn-internet-ddos-attack-back-up/ [2] Akamai, State of the internet, 2016 negyedév: https://www.akamai.com/us/en/multimedia/documents/state-of-the-internet/akamaiq4-2016-state-of-the-internet-security-report.pdf [3] Akamai, State of the internet, 2016 negyedév: https://www.akamai.com/us/en/multimedia/documents/state-of-the-internet/akamaiq2-2016-state-ofthe-internet-security-report.pdf [4] Incapsula, attack glossary, UDP flood, ut hf 2016.10.16.: hf 2016.10.16.: https://www.incapsula.com/ddos/attack-glossary/udp-flood.html [5] Incapsula, attack glossary, SYN flood, ut https://www.incapsula.com/ddos/attack-glossary/syn-flood.html [6] Incapsula, attack glossary, IP fragmentation, ut hf 2016.10.16.: https://www.incapsula.com/ddos/attack-glossary/ip-fragmentation-attackteardrop.html [7] USA federal goverment, A legjellemzőbb reflektált, erősített támadás típusok: https://www.us-cert.gov/ncas/alerts/TA14-017A [8] Brian Krebs, Krebs on security, Krebs elleni támadás https://krebsonsecurity.com/2016/09/krebsonsecurity-hit-with-record-ddos/ [9] Akamai, State of the internet, 2015 negyedév: https://www.akamai.com/us/en/multimedia/documents/report/q4-2015-state-of-theinternet-securityreport.pdf 76 [10] Akamai, State of the internet 2015 negyedév: https://www.akamai.com/us/en/multimedia/documents/state-of-the-internet/2015q3-cloud-securityreport.pdf [11] Tamás Tóthfalusi, László Kovács, Péter Orosz and Pál Varga, "", IEEE HPSR, Budapest, 2015., 2016.10.18.: https://www.researchgate.net/publication/281374945_100_Gbits_network_monitori ng_with_on-the-fly_reconfigurable_rules_for_multi-encapsulated_packets [12] Akamai, Client Reputation, ut hf 2016.10.18.: https://www.akamai.com/us/en/solutions/products/cloud-security/clientreputation.jsp [13] Stefanie Hoffman, Fortinet, DDoS, 2013.03.25.: A brief History: https://blog.fortinet.com/2013/03/25/ddos-a-brief-history [14] Internet engineering taskforce, IETF.org, RFC864.: https://tools.ietf.org/html/rfc864 [15] Anna Sempai, Hackforums.net, Mirai botnet.: https://hackforums.net/showthread.php?tid=5420472 [16] Nicole Tripp, toptenreviews.com, DDoS Protection Services Reviews, 2016: http://www.toptenreviews.com/business/internet/best-ddos-protection-services/ [17] Imperva, incapsula.com, Incapsula DDoS protection.: https://www.incapsula.com/web-application-ddos-protection-services.html [18] James Foster, Techtarget, IDS Signature versus anomaly detection, 2016.:http://searchsecurity.techtarget.com/tip/IDS-Signature-versus-anomalydetection [19] Wikipédia, Low orbit https://en.wikipedia.org/wiki/Low_Orbit_Ion_Cannon 77 ion cannon.: [20] Xilinx, ISE design suite,.: http://www.xilinx.com/products/design-tools/ise- design-suite.html [21] Brian Krebs, krebsonsecurity.com, Sony IoT exploit.: https://krebsonsecurity.com/2016/12/researchers-find-fresh-fodder-for-iot-attackcannons/ [22] FPGA Networking, C-GEP ismertetése ut hf 2016.10.27.: http://www.fpganetworking.com/160616/c_gep/index.html [23] Abraham Wald, Google books, Sequential analysis.: https://books.google.hu/books/about/Sequential_Analysis.html?id=oVYDHHzZtdI C&redir_esc= y [24] Wikipédia, Jenkins https://en.wikipedia.org/wiki/Jenkins_hash_function 78 hash.: ... VỀ DDOS 11 1.1 Tấn công từ chối dịch vụ phân tán (DDoS) .11 1.1.1 Tấn công lớp 3/4 12 1.1.2 Tấn công lớp 19 1.1.3 Các nguồn công DDoS 21 1.1.4 Các. .. xuất kiểm nghiệm công thực 10 CHƯƠNG I TỔNG QUAN VỀ DDOS 1.1 Tấn công từ chối dịch vụ phân tán (DDoS) Tấn cơng DDoS tồn từ buổi bình minh Internet; hình thức đại đầu kỷ 21 Cuộc công DDoS lớn xảy... 24 1.2.3 Phòng chống DDoS cho nhà cung cấp dịch vụ 24 1.2.4 Bảo vệ mạng phân phối nội dung .25 CHƯƠNG II GIẢI PHÁP CHỐNG TẤN CÔNG DDOS .27 SỬ DỤNG CÔNG NGHỆ FPGA .27