Tóm tắt Những mối đe dọa gần công từ chối dịch vụ phân tán (Distributed Denial of Service – DDoS) nhắm tới mục tiêu hệ thống mạng gia đình hệ thống mạng vừa nhỏ – thiếu chuyên gia khả tài để tự bảo vệ Trong bối cảnh hòa nhập với kinh tế giới (Việt Nam vừa gia nhập WTO), số lượng công ty, doanh nghiệp vừa nhỏ (Small & Medium Business – SMB) đã, tăng lên nhanh chóng Vì vậy, việc tìm giải pháp nhằm chống lại công từ chối dịch vụ phân tán cho SMB cần thiết cấp bách Hệ thống phòng chống DDoS tự động đề xuất luận văn kết hợp cải tiến kỹ thuật có nhằm cung cấp giải pháp rẻ tiền có khả quản lý cho hệ thống mạng vừa nhỏ, hệ thống mạng gia đình, văn phịng (Small Office and Home Office – SOHO) Kết thực nghiệm hệ thống đề xuất đảm bảo chất lượng dịch vụ (Quality of Service – QoS) suốt thời gian bị công DDoS đồng thời cung cấp tính phát đáp ứng tốt kiểu công khác bao gồm công DDoS dựa UDP, ICMP TCP Abstract Recent threats of Distributed Denial of Service attacks (DDoS) are mainly directed at home and small to medium sized networks that lack the incentive, expertise, and financial means to defend themselves In the present time (Vietnam has just joined WTO), the number of Small and Medium Business (SMB) companies will increase rapidly Therefore, finding a solution that can be used to fight against Distributed Denial of Service attacks is necessary and urgent Autonomous anti-DDoS system which is proposed in this thesis provides an affordable and manageable solution to small and medium networks, and enables small office and home office (SOHO) networks to take control of their own defense within their own network boundary Test-bed results show that the defense system is highly effective in ensuring Quality of Service (QoS) during bandwidth consumption DDoS attacks The test-bed has demonstrated significant intrusion tolerance against attacks of various types, including UDP, ICMP and TCP based DDoS attacks Phát phòng chống DoS & DDoS Mục lục Chương Giới thiệu 1.1 Lịch sử công DoS DDoS 1.2 Định nghĩa DoS 15 1.3 Các dạng công DoS 16 1.4 Định nghĩa DDoS 16 1.5 Phân loại công DDoS 18 1.6 Các công cụ công DDoS 18 1.7 Các hệ thống phòng chống DoS DDoS 19 Chương Nghiên cứu DDoS 21 2.1 Ngăn chặn xâm nhập – Intrusion prevention 21 2.1.1 Chính sách bảo mật 21 2.1.2 Ingress Egress filtering 22 2.2 Phát xâm nhập – Intrusion detection 23 2.2.1 Phát khơng bình thường – Anomaly detection 23 2.2.2 Phát lạm dụng – Misuse detection 25 2.3 Đáp ứng xâm nhập – Intrusion response 26 2.4 Chịu đựng xâm nhập – Intrusion tolerance 27 2.4.1 Chịu đựng lỗi – Fault tolerance 27 2.4.2 Chất lượng dịch vụ (QoS) 27 HVTH: Hoàng Tùng Linh CBHD: TS Nguyễn Minh Hồng Phát phịng chống DoS & DDoS 2.4.2.1 Các kỹ thuật QoS tolerance 28 2.4.2.2 Các hệ thống QoS tolerance 29 Chương Mơ hình phịng chống DDoS tự động đề xuất 31 3.1 Phát xâm nhập 32 3.1.1 Tổng quan Snort 32 3.1.2 Detection engine Snort 34 3.1.3 Bộ tiền xử lý - Preprocessor 36 3.1.4 Bộ tiền xử lý flood – Flood Preprocessor 37 3.1.4.1 Ngưỡng flood - Flood Threshold 37 3.1.4.2 Khởi động tiền xử lý flood 38 3.1.4.3 Cấu trúc liệu tiền xử lý flood - Flood Preprocessor Data Structure 39 3.1.4.4 Phát Subnet Flood 41 3.1.4.5 Lưu đồ giải thuật tiền xử lý flood 43 3.1.5 Module Add-on – Bộ tiền xử lý Flood IgnoreHosts 46 3.2 Đáp ứng xâm nhập – Chất lượng dịch vụ (QoS) 47 3.2.1 Chính sách bảo mật - Security Policy 47 3.2.2 Class-based Queuing (CBQ) 49 3.2.3 Multi-Level Rate-Limiting 53 3.3 Hệ thống tự động - Autonomy System 55 3.3.1 Cấu hình hết hạn rate-limit 55 3.3.2 Tinh chỉnh Snort – Bộ tiền xử lý FloodRateLimiter 57 HVTH: Hoàng Tùng Linh CBHD: TS Nguyễn Minh Hồng Phát phịng chống DoS & DDoS 3.3.3 Interface báo động (alert) 59 Chương Hiện thực mơ hình phòng chống DDoS tự động 61 4.1 Mạng công 61 4.1.1 Thông số cụ thể mạng công 63 4.1.2 Công cụ công – StacheldrahtV4 63 4.2 Mạng phòng chống tự động 65 4.2.1 Thông số cụ thể hệ thống mạng phòng chống 66 4.2.2 Cài đặt sách bảo mật CBQ 66 4.2.3 Cài đặt IDS rate-limit 68 4.3 Mạng client 72 4.3.1 Thông số RealPlayer Client 72 4.3.2 Các công cụ đo lường băng thông client 72 Chương Kết thực nghiệm phân tích 75 5.1 Các mơ hình thực nghiệm 75 5.2 Thu thập liệu kiểm tra 76 5.3 Kết thực nghiệm 77 5.4 Phân tích kết 80 5.5 Kết luận 88 Chương Những hạn chế luận văn hướng phát triển 90 6.1 Sự ổn định mơ hình thực nghiệm 90 6.2 Tốc độ xử lý firewall 90 HVTH: Hoàng Tùng Linh CBHD: TS Nguyễn Minh Hồng Phát phịng chống DoS & DDoS 6.3 Các kỹ thuật định tuyến khác 91 6.4 Các công DDoS 91 6.5 Khả mở rộng 92 6.6 Khả chịu đựng lỗi (Fault Tolerance) 92 Tài liệu tham khảo 93 Phụ lục: Flood Preprocessor Logic Flowchart 96 HVTH: Hoàng Tùng Linh CBHD: TS Nguyễn Minh Hoàng Phát phòng chống DoS & DDoS Danh mục bảng biểu Bảng 3.1: Multi-Level Rate-Limiting 55 Bảng 4.1: Các file Stacheldrahtv4 64 Bảng 4.2: Firewall Multi-Level Rate-Limiting 69 Bảng 5.1: Kết mơ hình thực nghiệm 78 Bảng 5.2: Trạng thái iptables 88 HVTH: Hoàng Tùng Linh CBHD: TS Nguyễn Minh Hồng Phát phịng chống DoS & DDoS Danh mục hình vẽ Hình 1.1: Tấn cơng DDoS 17 Hình 1.2: Các kiểu cơng DDoS dạng tiêu thụ băng thơng tài ngun 18 Hình 2.1: Cơ chế Ingress Egress filtering 22 Hình 2.2: Tấn cơng DDoS kết hợp với giả mạo IP 23 Hình 3.1: Cấu trúc liệu tiền xử lý flood – Đặc điểm 39 Hình 3.2: DDoS IP Spoofing 42 Hình 3.3: Cấu trúc liệu FloodIgnoreHosts Preprocessor 47 Hình 3.4: Vùng DMZ 48 Hình 3.5: Ví dụ CBQ 49 Hình 3.6: Thực thi QoS sử dụng CBQ 51 Hình 3.7: Cấu trúc liệu tiền xử lý FloodRateLimiter 60 Hình 4.1: Mơ hình thực nghiệm hệ thống phịng chống DDoS tự động 62 Hình 5.1: QoS thu client điều kiện mạng bình thường 80 Hình 5.2: QoS thu client suốt thời gian bị công UDP không ngừng 81 Hình 5.3: QoS nhận Client suốt thời gian bị công UDP không ngừng (có cài đặt sách bảo mật) 82 Hình 5.4: QoS nhận Client suốt thời gian bị công ICMP khơng ngừng (có cài đặt sách bảo mật) 83 Hình 5.5: QoS nhận Client suốt thời gian bị cơng ICMP khơng ngừng (có cài đặt sách bảo mật CBQ) 84 Hình 5.6: QoS nhận Client suốt thời gian bị cơng TCPSYN khơng ngừng (có cài đặt sách bảo mật CBQ) 85 HVTH: Hoàng Tùng Linh CBHD: TS Nguyễn Minh Hồng Phát phịng chống DoS & DDoS Hình 5.7: QoS nhận Client suốt thời gian bị cơng TCPSYN khơng ngừng (có cài đặt sách bảo mật CBQ, Snort IDS, báo động tự động IDS firewall tính multi level rate limit) 86 HVTH: Hoàng Tùng Linh CBHD: TS Nguyễn Minh Hồng Phát phịng chống DoS & DDoS Các từ viết tắt DoS Denial of Service DDoS Distributed Denial of Service HTTP Hyper Text Transfer Protocol UDP User Datagram Protocol TCP Transmission Control Protocol ICMP Internet Control Message Protocol QoS Quality of Service IDS Intrusion Detection System IPS Intrusion Prevention System NIDS Network Intrusion Detection System IP Internet Protocol RSVP Resource Reservation Protocol CBQ Class-based Queuing IDIP Intruder Detection and Isolation Protocol ASCII American Standard Code for Information Interchange URL Uniform Resource Locator DMZ Demilitarized Zone NNTP Network News Transfer Protocol FIFO First-in-first-out SMB Small & Medium Business SOHO Small Office and Home Office HVTH: Hoàng Tùng Linh CBHD: TS Nguyễn Minh Hoàng Phát phịng chốngDoS & DDoS Hình 5.3: QoS nhận Client suốt thời gian bị cơng UDP khơng ngừng (có cài đặt sách bảo mật) Mặc dù sách bảo mật hiệu quả, nhà quản trị khơng lường trước tất kiểu cơng xảy cài đặt sách tương ứng Trong trường hợp sách bảo mật khơng hồn chỉnh lưu lượng công nhắm vào port cho phép firewall chuyển lưu lượng cơng vào hệ thống mạng bên Mơ hình thực nghiệm thứ tư sử dụng giao thức ICMP để công DDoS Bởi hệ thống khơng có sách cụ thể để kiểm sốt gói ICMP, nên chất lượng dịch vụ bị ảnh hưởng đáng kể hình 5.4 Hiệu cơng ICMP tương tự hiệu công UDP mơ hình thực nghiệm thứ Trong suốt thời gian bị công ICMP (30 phút), tổng số gói nhận RealPlayer 1430 có gói khơi phục tổng số 105 yêu cầu truyền lại HVTH: Hoàng Tùng Linh 82 CBHD: TS Nguyễn Minh Hồng Phát phịng chốngDoS & DDoS Hình 5.4: QoS nhận Client suốt thời gian bị cơng ICMP khơng ngừng (có cài đặt sách bảo mật) Bằng cách cho phép tính CBQ, chất lượng dịch vụ nhận RealPlayer client trả trạng thái gần bình thường (hình 5.5) Các RealPlayer có khả nhận đầy đủ 19036 gói mà khơng có yêu cầu truyền lại Tuy nhiên, thời gian đệm cho tồn đoạn video clip có lâu hơn, khoảng 2:05 phút HVTH: Hoàng Tùng Linh 83 CBHD: TS Nguyễn Minh Hồng Phát phịng chốngDoS & DDoS Hình 5.5: QoS nhận Client suốt thời gian bị cơng ICMP khơng ngừng (có cài đặt sách bảo mật CBQ) Để đảm bảo mơ hình phịng chống DDoS đề xuất chống cự với nhiều kiểu công DDoS khác nhau, công TCP-SYN sử dụng để flood hệ thống mạng – có cài đặt sách bảo mật CBQ Hình 5.6 khơng có ảnh hưởng đáng kể đến QoS có dao động nhẹ việc nhận gói Đoạn video clip phát thơng suốt với đôi lần bị treo RealPlayer statistics thời gian đệm cho toàn đoạn video clip khoảng 2:30 phút Một số yêu cầu truyền lại gửi (49) dẫn đến số gói khơi phục 40 với gói bị HVTH: Hoàng Tùng Linh 84 CBHD: TS Nguyễn Minh Hoàng Phát phịng chốngDoS & DDoS Hình 5.6: QoS nhận Client suốt thời gian bị cơng TCP-SYN khơng ngừng (có cài đặt sách bảo mật CBQ) Để kiểm tra khả intrusion tolerance hệ thống phịng chống DDoS đề xuất, mơ hình thực nghiệm cuối cài đặt đầy đủ tính năng: sách bảo mật, CBQ, Snort IDS, báo động tự động IDS firewall tính multi level rate limit Hình 5.7 số cải thiện đáng kể chất lượng dịch vụ thu Các client nhận tổng cộng 19036 gói tương tự điều kiện bình thường Thời gian đệm cho toàn đoạn video clip khoảng 1:37 phút khơng có u cầu truyền lại HVTH: Hoàng Tùng Linh 85 CBHD: TS Nguyễn Minh Hồng Phát phịng chốngDoS & DDoS Hình 5.7: QoS nhận Client suốt thời gian bị cơng TCP-SYN khơng ngừng (có cài đặt sách bảo mật CBQ, Snort IDS, báo động tự động IDS firewall tính multi level rate limit) Một kết thu nhận số yêu cầu truyền lại số gói bị clilent (trong hệ thống phịng chống đầy đủ tính năng) phụ thuộc vào khoảng thời gian lúc công bắt đầu rule rate-limit áp dụng Trong đa số lần thực nghiệm rule rate-limit áp dụng Snort gửi báo động Trong số trường hợp, Snort IDS gặp đề kết nối với firewall số thông báo “Failed to Connect to Rate-Limiter” ghi nhận Như đề cập phần 5.3, firewall bị treo bị công TCPSYN việc thiếu tài nguyên hệ thống Tuy vậy, firewall nhận đầy đủ các báo động từ IDS áp dụng rule rate-limit tương ứng Trong lần thực HVTH: Hoàng Tùng Linh 86 CBHD: TS Nguyễn Minh Hồng Phát phịng chốngDoS & DDoS nghiệm, sau công dừng hẳn, trạng thái iptables kiểm tra sử dụng câu lệnh “iptables –v –L” (minh họa bảng 5.2) Như bảng 5.2, số lượng lớn gói bị rate-limit loại bỏ tương ứng với mức L3, L2 L1 IDS xác định subnet flood 128.198.61.0/24 Bộ rate-limit xác định gói đến từ subnet áp dụng mức rate-limit tương ứng Khi hồn thành thực nghiệm, xấp xỉ 18M gói tương đương với 703M byte đến từ 128.198.61.0/24 gửi đến mức L1 từ INPUT, FORWARD OUTPUT chains bị loại bỏ Trước mức L1 áp dụng, khoảng 5116 gói gửi tới mức L3 với 109 gói chấp nhận 5007 gói bị loại bỏ Xấp xỉ 6606 gói đánh dấu mức L2 với 6542 gói bị loại bỏ 64 gói chấp nhận Một chứng khác để chứng minh hiệu kỹ thuật multi-level rate-limiting kết thu từ HelixServer bảng 5.1 Trong điều kiện bình thường, tốc độ đến trung bình (average incoming rate) gói 5,0 gói giây Trong suốt thời gian bị công DDoS, tốc độ đến trung bình gói dao động từ 204,8 đến 6566,6 gói giây tùy theo kiểu cơng phương pháp phòng chống sử dụng Hệ thống phòng chống tự động đầy đủ ghi nhận tốc độ đến trung bình gói 5,2 – tương đương với điều kiện bình thường Con số đáng ý so với số 732 gói giây thu HelixServer bị công TCP-SYN với CBQ sách bảo mật áp dụng HVTH: Hoàng Tùng Linh 87 CBHD: TS Nguyễn Minh Hồng Phát phịng chốngDoS & DDoS Bảng 5.2: Trạng thái iptables 5.5 Kết luận Trong năm gần đây, nhiều kỹ thuật nghiên cứu nhằm chống lại công DDoS Tuy nhiên, số lượng nạn nhân DDoS tiếp tục tăng theo năm phát tán chia cách dễ dàng công cụ công hacker Bởi khó để ngăn chặn loại bỏ hồn tồn cơng DDoS nên nhà nghiên cứu tập trung vào kỹ thuật intrusion tolerance nhằm tối ưu hóa chất lượng dịch vụ suốt q trình bị cơng Hầu hết nhà nghiên cứu sử dụng phương pháp tiếp cận vĩ mơ địi hỏi phối hợp ISP nhà thiết kế giao thức nhằm triển khai hệ thống phịng chống tự động tồn cầu Trong nhà nghiên cứu tìm kiếm giải pháp tồn diện số lượng người dùng Internet đơn lẻ trở thành nạn nhân DDoS Những người dùng thường hệ thống mạng kích thước vừa nhỏ, HVTH: Hồng Tùng Linh 88 CBHD: TS Nguyễn Minh Hoàng Phát phòng chốngDoS & DDoS thiếu chuyên gia kiến thức để cài đặt kiến trúc phòng chống phức tạp không sẵn sàng chi hàng ngàn USD cho sản phẩm thương mại thiết kế để giải kiểu xâm nhập cụ thể Thiết kế hệ thống phòng chống đề xuất luận văn cung cấp cách tiếp cận vi mô cho người dùng Internet để tối thiểu hóa ảnh hưởng DDoS Hệ thống cho phép người dùng SOHO tận dụng kỹ thuật có sẵn miễn phí để kiểm sốt tồn hệ thống mạng cách linh động Mơ hình đề xuất kết hợp hiệu sách bảo mật, CBQ, multi-level rate-limiting chế phát DDoS dạng flood kiến trúc tự động Kết thực nghiệm rõ thiết kế đề xuất chống đỡ với nhiều kiểu công khác bao gồm công DDoS dựa UDP, ICMP TCP Khi kỹ thuật phịng chống, ví dụ sách bảo mật, thất bại việc xử lý công, kỹ thuật khác CBQ rate-limit tự động cung cấp thêm bảo vệ bổ sung Bất chấp kiểu công DDoS khác sử dụng, client mơ hình thực nghiệm nhận chất lượng dịch vụ xấp xỉ điều kiện bình thường Tóm lại, thiết kế hệ thống phòng chống DDoS đề xuất đáp ứng tất yêu cầu đặt ban đầu luận văn HVTH: Hoàng Tùng Linh 89 CBHD: TS Nguyễn Minh Hồng Phát phịng chốngDoS & DDoS Chương Những hạn chế luận văn hướng phát triển 6.1 Sự ổn định mơ hình thực nghiệm Như đề cập chương 4, mơ hình thực nghiệm luận văn xây dựng dựa phần mềm VMware phiên 5.5 Do kết thu từ thực nghiệm có độ ổn định khơng cao Đây hạn chế chương trình ảo hóa phần cứng VMware Trong tương lai, đề nghị nên thiết lập mơ hình mạng với thiết bị phần cứng thực tế để thu kết xác 6.2 Tốc độ xử lý firewall Một hạn chế hệ thống phòng chống DDoS đề xuất tốc độ xử lý firewall Hạn chế đưa dựa vấn đề quan trọng giải thích phần 5.4 thời gian trễ lúc báo động flood đưa rule rate-limit áp dụng Nếu rule rate-limit áp dụng sớm gói cơng bị ngăn chặn nhanh firewall chất lượng dịch vụ mà client thu được cải thiện Thêm vào đó, mơ hình thực nghiệm khơng đo lường thời gian trễ cách định lượng mà dựa vào phương pháp định tính quan sat hình máy tính Khi IDS gửi báo động đến cho firewall thơng điệp báo động in hình Tương tự rule rate-limit áp dụng chúng in hình Để có kết xác hơn, tương lai nên sử dụng HVTH: Hoàng Tùng Linh 90 CBHD: TS Nguyễn Minh Hồng Phát phịng chốngDoS & DDoS phương pháp toán học để đo lường tính tốn thời gian đáp ứng thực tế ratelimit 6.3 Các kỹ thuật định tuyến khác Bởi tốc độ áp dụng rule rate-limit có ảnh hưởng trực tiếp tới chất lượng dịch vụ client, nên có ích tìm kỹ thuật hỗ trợ cho việc liên lạc IDS firewall Trong tiến hành thực nghiệm, có vài trường hợp IDS báo cáo “Failed to Connect to Rate-Limiter” Điều xảy phần tốc độ xử lý firewall, phần kết nối IDS firewall bị nghẽn lưu lượng cơng Vì vậy, việc thiết kế kỹ thuật định tuyến định trước kết nối (“reserved link”) cho kênh thông tin IDS firewall cần thiết Khái niệm “reserved link” mở rộng cho kênh thơng tin hệ thống mạng bên (internal) client cơng cộng bên ngồi suốt thời gian bị cơng Những kỹ thuật địi hỏi khả đa đường (multi-path), gói đến hệ thống mạng bên thơng qua gateway gói đáp ứng lại định tuyến theo đường khác 6.4 Các công DDoS Như minh họa phần 5.4, công DDoS sử dụng giao thức UDP ICMP dễ dàng kiểm sốt sách bảo mật CBQ Trong để ngăn chặn hồn tồn cơng TCP-SYN phải sử dụng thêm tính multi-level rate limit tự động Điều chất cơng TCP-SYN ngồi việc tiêu thụ băng thơng đường truyền (như cơng ICMP UDP) cịn làm tiêu hao tài nguyên xử lý nhân server Do đó, khả chịu đựng xâm nhập (intrusion tolerance) hệ thống đề xuất nên kiểm chứng tương lai với kiểu công DDoS khác chất sử dụng mơ hình thực tế HVTH: Hồng Tùng Linh 91 CBHD: TS Nguyễn Minh Hoàng Phát phòng chốngDoS & DDoS 6.5 Khả mở rộng Các nghiên cứu luận văn tập trung vào chất lượng dịch vụ cung cấp thông qua dịch vụ streaming video HelixServer Tuy nhiên cấu hình hệ thống phịng chống đề xuất đảm bảo chất lượng dịch vụ cho dịch vụ khác telnet, ssh, www smtp Các thực nghiệm khác thực để tinh chỉnh khả intrusion tolerance hệ thống cho phù hợp với dịch vụ khác Ngoài ra, luận văn sử dụng RealPlayer client Số lượng client tăng lên nghiên cứu tương lai cho phù hợp với thực tế 6.6 Khả chịu đựng lỗi (Fault Tolerance) Thiết kế hệ thống phòng chống đề xuất tập trung vào khía cạnh QoS intrusion tolerance Phần 2.4.1 giới thiệu mảng khác intrusion tolerance chịu đựng lỗi (fault tolerance) sử dụng nguyên lý nhân (replication) dự phòng (duplication) Thiết kế hệ thống phòng chống DDoS khơng có tính chịu đựng lỗi nên kẻ cơng có đánh sập tồn hệ thống đánh sập firewall Trong tương lai, thiết kế hệ thống phịng chống DDoS cải thiện cách tích hợp thêm tính chịu đựng lỗi HVTH: Hoàng Tùng Linh 92 CBHD: TS Nguyễn Minh Hoàng Phát phòng chốngDoS & DDoS Tài liệu tham khảo [1] David Moore, Geoffrey M Voelker and Stefan Savage, Inferring Internet Denial-of-Service Activity, 2001 http://www.cs.ucsd.edu/~savage/papers/UsenixSec01.pdf [2] Computer Security Institute, “Cyber Crime Bleeds U.S Corporations, Survey Shows; Financial Losses from Attacks Climb for Third Year in a Row” http://www.gocsi.com/press/20020407.html [3] David Dittrich, The "stacheldraht" distributed denial of service attack tool, The DoS Project's "trinoo" distributed denial of service attack tool, The "Tribe Flood Network" distributed denial of service attack tool, The "mstream" distributed denial of service attack tool http://www.washington.edu/People/dad/ [4] Jeff Forristal, Fireproofing Against DoS Attacks, Network Computing, December 10, 2001 http://www.networkcomputing.com/1225/1225f3.html [5] Paul Desmond, Cisco, Enterasys Deliver New IDS Products, May 16, 2002 http://boston.internet.com/news/article.php/2371_1135921 [6] CERT Coordination Center, “Determine contractor ability to comply with your organization's security policy” http://www.cert.org/security-improvement/practices/p019.html [7] P Fergusion and D Senie, Network Ingress Filtering: Defeating Denial of Service Attacks Which Employ IP Source Address Spoofing, RFC 2827, May 2000 [8] Dan Sterne, Kelly Djahandari, Brett Wilson, Bill Babson, Dan Schnackenberg, Harley Holliday, and Travis Reid, “Autonomic Response to Distributed Denial of Service Attacks”, 4th International Symposium, RAID 2001 Davis, CA, USA, October 10-12, 2001 http://www.cse.ogi.edu/~wuchang/cse581_winter2002/papers/22120134.pdf [9] Jianxin Yan, Stephen Early, Ross Anderson, “The XenoService – A Distributed Defeat for Distributed Denial of Service, Proceedings of ISW 2000 http://citeseer.nj.nec.com/376606.html HVTH: Hoàng Tùng Linh 93 CBHD: TS Nguyễn Minh Hồng Phát phịng chốngDoS & DDoS [10] John Ioannidis and Steve M, Bellovin Implementing Pushback: RouterBased Defense Against DDoS Attacks, AT & T Research Lab, 2002 http://citeseer.nj.nec.com/ioannidis02implementing.html [11] Jeroen Wortelboer and Jan Van Oorschot, Linux Firewall – the Traffic Shaper, January 15, 2001 http://online.securityfocus.com/infocus/1285 [12] Arul Anand & Vanitha, QoS Implementation in Linux - A White paper ViSolve.com, Febuary 04, 2002 http://squid.visolve.com/white_papers/qos.htm [13] Bert Hubert, Gregory Maxwell, Remco van Mook, Martijn van Oosterhout, Paul B Schroeder, and Jasper Spaans, Linux Advanced Routing & Traffic Control HOWTO, DocBook Edition http://www.kiarchive.ru/pub/linux/docs/HOWTO/Adv-Routing-HOWTO [14] IETF – Internet Engineering Task Force, ICMP Traceback (itrace) Charter, Last modified: March 28, 2002 http://www.ietf.org/html.charters/itrace-charter.html [15] Steve Bellovin, Marcus Leech, and Tom Taylor, ICMP Traceback Messages Internet Draft: draft-ieft-itrace-01.txt, Expires April 2002 [16] Dan Massey, Allison Mankin, C L Wu, X L Zhao, Felix Wu, W Huang, and Lixia Zhang, Intention-Driven ICMP Trace-Back, Internet Draft: draftietf-itrace-intention-00.txt, Expires May 2002 [17] H.Y Chang, R Narayan, S.F Wu, B.M Vetter, X Wang, M Brown, J.J Yuill, C Sargor, F Jou, and F Gong, Deciduous: Decentralized Source Identification for Network-Based Intrusion, IEEE Communications Society Press, May 1999 http://www.silicondefense.com/research/itrex/archive/tracingpapers/chang99deciduos.pdf [18] OpenBSD, Using IPsec (IP Security Protocol) http://www.openbsd.org/faq/faq13.html#What [19] National Institute of Standards and Technology, A Conceptual Framework for System Fault Tolerance, 1995 http://hissa.nist.gov/chissa/SEI_Framework/framework_1.html [20] Cisco Systems, Unicast Documentation, May 1999 [21] Weibin Zhao, David Olshefski and Henning Schulzrinne, Internet Quality of Service: an Overview, Columbia University 2000 HVTH: Hoàng Tùng Linh Reverse 94 Path Forwarding, Cisco IOS CBHD: TS Nguyễn Minh Hồng Phát phịng chốngDoS & DDoS http://citeseer.nj.nec.com/zhao00internet.html [22] Frank Kargl, Joern Maier, and Michael Weber, “Protecting Web Servers from Distributed Denial of Service Attacks”, University of Ulm Germany, May 2001 http://citeseer.nj.nec.com/444367.html [23] Angela Cearns, “Design of an Autonomous Anti-DDoS network (A2D2)”, University of Colorado at Colorado Springs, Department of Computer Science, 2002 [24] Internet & Google http://www.google.com.vn [25] Whatis.com http://whatis.techtarget.com/definition/ [26] Astalavista Network Library Archive http://www.astalavista.com/archive/index.asp?dir=ddos [27] Andrew Barkley, Steve Liu, Quoc Thong Le Gia, Matt Dingfield and Yashodhan Gokhale, A Testbed for Study of Distributed Denial of Service Attacks (WA 2.4), Proceedings of the 2000 IEEE Workshop on Information Assurance and Security, United States Military Academy, West Point, NY, June 6-7, 2000 [28] CERT Coordination Center Denial of Service Attacks http://www.cert.org/tech_tips/denial_of_service.html [29] Cisco Systems, Policing and Shaping Overview, Cisco IOS Release 12.0 Quality of Service Solutions Configuration Guide http://www.cisco.com/univercd/cc/td/doc/product/software/ios120/12cgcr/qo s_c/ [30] Cisco Systems, White Paper, Building a Perimeter Security Solution with the Cisco Secure Integrated Software, September 6, 2002 http://www.cisco.com/warp/public/cc/pd/iosw/ioft/iofwft/tech/firew_wp.htm [31] Douglas Comer, Internetworking with TCP/IP Vol.1: Principles, Protocols, and Architecture (4th Edition), Prentice Hall, January 18, 2000 [32] Computer Networking Glossary http://compnetworking.about.com/library/glossary/bldefqos.htm?terms=QoS [33] Snort The Open Source Network Intrusion System http://www.snort.org [34] Gnuplot Central http://www.gnuplot.info/ [35] Linuxsecurity.com, “Network Intrusion Detection Using Snort” http://www.linuxsecurity.com/feature_storeis/feature_story-49.html HVTH: Hoàng Tùng Linh 95 CBHD: TS Nguyễn Minh Hoàng Phát phòng chốngDoS & DDoS Phụ lục: Flood Preprocessor Logic Flowchart packet void FloodPreprocFunction Packet checking & Preparations Exit Not TCP SYN, SYN-ACK, UDP, ICMP IsFloodIgnoreServer Yes Update No RateLimiter List Data void ExpireFloodConnections Remove FloodList Data Structure Update Add Update Add int NewFlood Update Data Structure Return: Max Connection Rate Limiter Rate-Limiting Thresholds Check Flood Check Individual Flood Attacker Ỉ victim Yes log, alert N int CheckSubnetIndFlood Subnet Attacker Ỉ vic Yes N int CheckSubnetFlood Subnet Attacker Ỉ Subnet victim Yes N Check “End of Flood” Clear floodDetected Flag HVTH: Hoàng Tùng Linh 96 CBHD: TS Nguyễn Minh Hoàng ... 1.7 Các hệ thống phòng chống DoS DDoS Ngày nay, có vơ số thiết bị thương mại giới thiệu có khả phịng chống DoS DDoS Network Computing thực nghiên cứu vài hệ thống phòng chống DoS DDoS tiềm phịng... Hình 1.1 minh họa cơng DDoS điển hình: HVTH: Hồng Tùng Linh 16 CBHD: TS Nguyễn Minh Hồng Phát phịng chống DoS & DDoS Hình 1.1: Tấn cơng DDoS Các đặc tính cơng DDoS • DDoS phát động từ hệ thống... tăng ảnh hưởng công DoS theo cấp số nhân tạo biến thể gọi DDoS Những phần mô tả kiểu công khác DoS DDoS sản phẩm phòng chống DoS DDoS có thị trường 1.1 Lịch sử công DoS DDoS Từ cuối năm 90 kỷ