Phát hiện lọc bỏ nhanh các gói tin giả mạo trong tấn công mạng TCP SYN Flood - Trường Đại Học Quốc Tế Hồng Bàng

Trong bài báo này, chúng tôi đã đề xuất một cơ chế thuật toán mới để phát hiện và lọc bỏ những gói tin giả mạo sử dụng trong tấn công DDoS dạng SYN Flood mà không phải thực hiện các bước[r]

Phát lọc bỏ nhanh gói tin giả mạo

trong công mạng TCP SYN Flood

Trần Mạnh Thắng, Nguyễn Khanh Văn

Viện Công nghệ Thông tin Truyền thông, Trường Đại học Bách khoa Hà Nội E-mail: thang197@gmail.com, vannk@soict.hust.edu.vn

Tác giả liên hệ: Trần Mạnh Thắng

Ngày nhận: 29/05/2017, ngày sửa chữa: 05/07/2017, ngày duyệt đăng: 01/09/2017

Tóm tắt: Tấn cơng từ chối dịch vụ phân tán (DDoS) theo hình thức gửi tràn ngập gói khởi tạo kết nối (gói tin SYN) dạng công mạng nguy hiểm khó phịng-chống Bởi với dạng cơng này, tin tặc cố tình gửi gói tin khởi tạo kết nối giả mạo địa nguồn mà đảm bảo trường thơng tin gói tin khởi tạo bình thường Đã có nhiều kết nghiên cứu giải pháp đề xuất việc phát lọc bỏ gói tin giả mạo này, phần lớn xử lý yêu cầu nhiều tài nguyên hệ thống để xử lý, hiệu bị ảnh hưởng nhiều luồng công DDoS lớn Trong nghiên cứu này, đề xuất thuật tốn phát lọc bỏ nhanh gói tin giả mạo mà sử dụng tài nguyên hệ thống đạt tỷ lệ phát cao

Từ khóa:Tấn cơng từ chối dịch vụ phân tán, công SYN Flood.

Title: A Method for Fast Filtering SYN Flood Spoof Source in DDoS Attack

Abstract: A distributed denial-of-service attack characterized by flood SYN packets is one of network attacks to make the information system unavailable This attack becomes more dangerous and difficult to prevent and defend when attackers try to send flood SYN packets with spoof sources Especially, the packets have the information field as that of normal SYN packets Most of current methods require a training phase to build normal parameters, which will be used in the detection phase to detect spoof packets In this research, we propose a method that can detect and filter spoof packets quickly without using the training phase This method requires very few resources and the detection rate is very high Keywords: DDoS, TCP SYN Flood.

I GIỚI THIỆU

Tổng quan công TCP SYN Flood Tấn công từ chối dịch vụ (DoS: Denial-of-Service) dạng công mạng phổ biến nguy hiểm bậc Trong đó, kẻ cơng muốn làm cho hệ thống bị tải phục vụ yêu cầu hợp lệ cạn kiệt tài nguyên (năng lực tính tốn, nhớ, v.v.) Tấn cơng từ chối dịch phân tán (DDoS: Distributed DoS) dạng đặc biệt cơng DoS Khi sử dụng DDoS, tin tặc tìm cách xây dựng mạng botnet (một số lượng lớn máy tính mạng bị điều khiển máy chủ điều khiển C&C) để thực công DDoS thay thực cơng từ máy dạng công DoS thông thường Mạng botnet xây dựng nhiều hình thức khác Một hình thức phổ biến tin tặc tạo mã độc cho lây lan môi trường mạng Mỗi máy tính bị nhiễm mã độc trở thành thành viên mạng botnet (bot) chịu điều khiển máy chủ C&C để thực công DDoS

Có nhiều hình thức cơng DDoS khác nhau, sau

Ping Flood: Dạng công DDoS cách gửi tràn ngập gói tin ICMP UDP có kích thước lớn

Teardrop:Dạng cơng DDoS cách gửi tràn ngập gói tin phân mảnh có offset trùng ngắt quãng phía máy nhận gói tin khơng thể xử lý gây làm treo hệ thống

TCP Syn Flood:Đối với dạng công này, tin tặc gửi tràn ngập gói tin SYN giả mạo địa IP nguồn [1] thông qua mạng botnet (sau gọi gói tin giả mạo) hình thức cơng khó phịng, chống Do tin tặc cố tình tạo gói tin giả mạo có trường thơng tin gói tin bình thường nên máy chủ nạn nhân khơng thể phân biệt gói tin giả mạo nên nhanh chóng bị cạn kiệt tài nguyên

Các cơng trình nghiên cứu phát triển Cơng nghệ Thông tin Truyền thông

Cụ thể, trình bắt tay bước (3-way handshake sub-protocol) gói tin SYN sử dụng để khởi tạo kết nối TCP Các gói tin gửi tràn ngập tới máy chủ với địa IP nguồn giả mạo Máy chủ phải dành tài nguyên để phục vụ kết nối gói tin giả mạo, dẫn tới cạn kiệt tài nguyên

Ý tưởng giải pháp Các gói tin giả mạo khơng khác bình thường xét riêng gói tin Tuy nhiên, chúng tơi cho rằng, có mối liên hệ riêng chúng mà coi dấu hiệu tìm vết, quan sát luồng gói tin giả mạo phát từ máy tính Dựa dấu hiệu này, ta xây dựng giải pháp để phát thực lọc bỏ (nhiều được) gói tin giả mạo sử dụng công TCP SYN Flood Trong nghiên cứu này, phát máy tính gửi gói tin mà khơng phân biệt địa IP đích hay dịch vụ sử dụng giá trị IPD (trường Identification IP Header [2]) tăng lên đơn vị Điều có nghĩa quan sát phía máy chủ ta nhận chuỗi gói tin có giá trị PID tăng liên tục, chúng gửi từ máy Chúng tơi mơ tả cụ thể tính chất mục III-1

Trong báo trước [3], đề xuất phương pháp dùng thuật tốn DBSCAN để nhóm gói tin SYN có địa IP khác có giá trị PID tăng dần vào cụm giá trị liên tục (Cluster) Với cụm1, chúng tôi

xác định giá trị trường PID gói tin cơng tiếp tục có (Expected PID - EPID) thuộc cụm Đối

với phương pháp này, phải thực trình máy học (training phase) để tìm cụm giá trị EPID

cho cụm

Trong báo này, đề xuất phương án cho phép tìm gói tin có giá trị PID tăng liên tục với chế thuật tốn hồn tồn khác (khơng dựa q trình máy học trước đây), trực tiếp phát gói tin cơng dựa vào quan sát PID nói (và số quan sát khác) cấu trúc liệu tổ chức đặc biệt để lưu trữ đối sánh thông tin Phương pháp cho phép tự loại bỏ gói tin phát gói chuỗi gói tin giả mạo gửi đến hệ thống, cho phép gói tin thực kết nối đến hệ thống trước xảy trình TCP retransmission - ưu điểm so với phương án trước

Bài báo có cấu trúc sau: Mục I giới thiệu tổng quan công TCP SYN Flood ý tưởng giải pháp đề xuất Mục II giới thiệu tổng quan lĩnh vực nghiên cứu có liên quan Mục III đưa sở lý thuyết 1Điều kiện để tạo thành cụm hệ thống nhận 03 gói

tin có PID tăng liên tục, có địa IP khác Các gói tin nằm cụm coi gói tin giả mạo gửi đến hệ thống từ máy cơng đó, gói tin có giá trị PID trùng với EPIDsẽ

được cho gói tin giả mạo gửi từ máy cơng

Hình Phân loại phương pháp phịng chống cơng DDoS

của phương pháp đề xuất Mục IV trình bày chế thuật tốn loại bỏ nhanh gói tin giả mạo Mục V đưa kết đánh giá thực nghiệm Mục VI đưa kết luật hướng phát triển

II TỔNG QUAN LĨNH VỰC

Theo nghiên cứu tổng quan công DDoS [4], giải pháp phịng-chống DDoS phân loại theo hai yếu tố: vị trí triển khai giải pháp thời điểm xử lý công DDoS Cách phân loại thể sơ đồ Hình 12.

Với yếu tố đầu, ta thấy có hai lớp giải pháp: (A1) lớp giải pháp phịng chống cho dạng cơng nhằm vào tầng giao vận thấp mô hình OSI [5]; (A2) lớp giải pháp phịng chống cho dạng công nhằm vào tầng ứng dụng Với yếu tố thứ hai, ta phân loại thành lớp giải pháp nhằm vào ba giai đoạn phân biệt: giai đoạn trước xảy công (phát nguy cơ), giai đoạn xảy công (phát kiện) giai đoạn sau bị công (khắc phục hậu truy cứu)

Nhóm giải pháp (A1) nói lại phân loại thành bốn nhóm: Nhóm giải pháp áp dụng gần nguồn cơng (source-based); Nhóm áp dụng phía đối tượng bảo vệ (destination-based); Nhóm áp dụng hạ tầng mạng trung gian (network-based) Nhóm giải pháp kết hợp (hybrid) Nhóm (A2) chia làm hai nhóm: nhóm giải pháp áp dụng phía đối tượng bảo vệ nhóm giải pháp kết hợp Trong báo này, tập trung nghiên cứu phương pháp phịng-chống cơng thường gọi SYN Flood đề cập, gói tin SYN mang địa IP 2Trong sơ đồ này, sử dụng thuật ngữ tiếng Anh để bạn đọc

nguồn giả mạo Giải pháp thuộc dạng cho đối tượng bảo vệ (destination-based) lớp (A1) nói Sau đây, chúng tơi sâu phân tích số nghiên cứu liên quan sau

Cơ chế IP Traceback [6, 7]: Phương pháp đề xuất chế truy vết kẻ công dựa việc lưu lại thông tin đường từ nguồn đến đích (trong trường thơng tin Packet Identification gói tin) ứng với địa IP nguồn Dựa vào thông tin đường (con đường phổ biến kết nối từ IP nguồn đó) người ta phát gói tin giả mạo: gói tin giả mạo gói tin có thơng tin đường không khớp với xu hướng phổ biến phát trước (đối với địa IP nguồn) Tuy nhiên, phương pháp có hạn chế lớn yêu cầu trạm router trung gian phải hỗ trợ chế đánh dấu đường nên khó triển khai thực tế

Phương pháp Management Information Base (MIB) [8–10]: Phương pháp kết hợp thơng tin có gói tin thơng tin định tuyến để phát công DDoS Phương pháp đề xuất so sánh thơng tin gói ICMP, TCP, UDP (khi cơng xảy ra) với thông tin tương ứng phân tích lưu trữ chưa xảy cơng để tìm gói tin có thơng tin khác thường

Các chế Packet marking and filtering (Đánh dấu và lọc bỏ gói tin): Một nghiên cứu đề xuất chế History-based IP filtering[11], người ta lưu lại thông tin địa IP nguồn thường xuyên kết nối vào hệ thống công DDoS chưa xảy ra; công, địa IP lưu lại kết nối vào hệ thống, lại bị lọc bỏ Phương pháp Hop-count filtering[12] ý ghi nhận thơng tin hop-count tương ứng với IP nguồn (qua gói tin lưu lại công DDoS chưa xảy ra) Khi cơng DDoS xảy ra, gói tin có thông tin hop-count khác nhiều với thông tin lưu trước ứng với địa IP nguồn tương ứng coi giả mạo bị lọc bỏ Phương pháp Path Identifier [13] đề xuất lưu trữ giá trị coi đặc trưng đường (PI) gói tin từ nguồn đến đích ứng với địa nguồn Các gói tin đường đến đích có thơng tin PI thường giống nhau, qua sử dụng để lọc bỏ tất gói tin giả mạo có đường với gói tin giả mạo phát trước

Một tiếp cận lý thú khác dựa ý tưởng loại bỏ gói tin dựa mức độ tắc nghẽn, Packetscore [14], chế điển hình, đề xuất thiết lập mức độ ưu tiên cho gói tin dựa vào thuật tốn Detecting-Differentiating-Discarding routers(3D-R) sử dụng độ đo Bayes (Bayesian-theoretic metric) Từ đó, người ta thiết lập chế lọc bỏ gói tin có mức ưu tiên thấp công DDoS xảy (gây tắc nghẽn router kề cận)

Hình IP Header III CƠ SỞ LÝ THUYẾT

1 Packet Identification tính chất tăng dần

Trường thông tin Identification trường thông tin 16 bit IP Header Trường thông tin sử dụng để xác định thứ tự gói tin bị phân mảnh (fragment) gói tin truyền từ mơi trường mạng có MTU cao sang mơi trường mạng có MTU thấp

Tuy nhiên, qua quan sát thực tế hệ thống hoạt động trạng thái bình thường, máy tính gửi gói tin mà khơng phân biệt địa IP đích hay dịch vụ sử dụng giá trị IPD tăng lên1đơn vị

Nguyên lý áp dụng phương pháp Idle scan [15] để kiểm tra cổng mở máy chủ hay khơng máy tính kiểm tra khơng thể gửi trực tiếp gói tin đến máy chủ cần kiểm tra mà phải thơng qua máy tính khác trạng thái Idle

Để có thêm sở cho tính chất phát trên, kiểm thử lại tính chất tập liệu chuẩn DARPA Intrusion Detection Evaluation [16] viện MIT cung cấp Tập liệu sử dụng nhiều nghiên cứu [17–19] để đánh giá hiệu phương pháp phát xâm nhập công DDoS Kết phát hiện: công DDoS từ địa nguồn 202.77.162.213 đến địa 172.16.115.20 qua ứng dụng Telnet có giá trị PID tăng liên tục từ giá trị 11484

2 Thủ tục bắt tay TCP handshake công tràn ngập TCP SYN Flood

Các cơng trình nghiên cứu phát triển Cơng nghệ Thơng tin Truyền thơng

Hình TCP handshakes

để yêu cầu khởi tạo kết nối với phía máy khách Bước cuối trình khởi tạo kết nối máy khách gửi lại gói tin ACK để phản hồi lại cho máy chủ trạng thái sẵn sàng phía

Theo chế TCP retransmission [20] nguyên lý hoạt động giao thức TCP, khoảng thời gian định (time out), sau máy khách gửi gói tin SYN để yêu cầu khởi tạo kết nối tới máy chủ, mà khơng nhận gói tin xác nhận ACK từ phía máy chủ, máy khách gửi lại gói tin SYN khác để tiếp tục yêu cầu kết nối

Từ nguyên lý khởi tạo kết nối giao thức TCP trên, thấy điểm yếu rõ ràng: nhận gói tin SYN, cịn đủ tài ngun máy chủ dành sẵn phần tài nguyên nhớ cần thiết để chuẩn bị phục vụ cho kết nối sau mà khơng kiểm tra tính trung thực gói tin SYN gửi đến Lợi dụng điểm yếu này, tin tặc công máy chủ cách gửi tràn ngập gói tin SYN giả mạo tới máy chủ để làm cạn kiệt tài nguyên máy chủ với mục đích làm máy chủ khơng cịn tài ngun để phục vụ yêu cầu hợp lệ gửi tới

Các gói tin giả mạo tạo với trường thơng tin giống gói tin thơng thường, với địa IP nguồn giả mạo (sinh ngẫu nhiên) Nếu khơng có chế theo dõi đặc biệt, máy chủ khơng thể phân biệt gói tin gói tin thực hay giả mạo

IV CƠ CHẾ THUẬT TỐN LỌC BỎ NHANH GĨI TIN GIẢ MẠO

Trong mục này, chúng tơi trình bày chi tiết đề xuất chúng tôi, chế lọc bỏ gói tin cơng dựa việc phát chuỗi gói tin PID tăng liên tục (nhưng lại có địa nguồn ngẫu nhiên, khơng trùng nhau) Đây gói tin coi giả mạo theo phân tích sở nêu trước (mục I-3)

Ở đây, sử dụng bảng liệu khác để lưu trữ số thông tin gói tin gửi đến, địa IP giá trị PID Các bảng tổ chức

sao cho việc tìm kiếm đối chiếu thực nhanh (thời gian tìm kiếm coi số) Từ quan hệ đặc biệt gói tin, chuỗi PID tăng dần, phát thơng qua tìm kiếm, đối chiếu

Trong mục này, tập trung mô tả logic hoạt động chế thuật tốn, khơng sâu mơ tả cách thức triển khai cài đặt cụ thể bảng liệu (sẽ đề cập mục sau)

Trước hết chúng tơi trình bày chế chung giải pháp đề xuất mục IV-1 Sau đó, mục IV-2 chúng tơi trình bày thuật tốn PID-Filter cho phép phát dãy PID tăng nhằm loại bỏ gói tin cơng Một số nhận xét phân tích sơ (về mặt lý thuyết) nêu mục IV-3

1 Cơ chế giải pháp chung

Chúng đề xuất giải pháp chống công SYN Flood để bảo vệ máy chủ bị công cách thực đồng thời hai việc:

◦ Phát địa IP nguồn tốt, thực có nhu cầu kết nối, hay khởi tạo kết nối;

◦ Phát gói tin giả mạo thơng qua lọc PID-Filter

Để thực ý đồ này, sử dụng hai bảng liệu lữu trữ địa IP nguồn (có thể kèm thơng tin bổ sung):

◦ Bảng I0 để lưu trữ địa IP nguồn tích

cực (đã kết nối, có nhu cầu khởi tạo kết nối thực sự), sử dụng phép nhanh máy client xác định hợp lệ kết nối đến hệ thống ◦ BảngI1 để lưu trữ thông tin địa IP nguồn, giá

trị PID thời gian đến gói tin mà chưa xác định gói tin bình thường (tốt) hay gói tin giả mạo (tấn cơng) Trong q trình kiểm tra sau đó, địa IP I1 xác định (âm

tính), chuyển sang I0

Sơ đồ hoạt động giải pháp Hình Có thể có IP giả mạo (tạo ngẫu nhiên) trùng khớp với địa IP trongI0, xác suất trùng khớp

này nhỏ Để giảm thiểu ảnh hưởng vấn đề trùng khớp này, IP bảngI0sẽ có ngưỡng thời gian sống

định, sau ngưỡng mà hệ thống khơng nhận kết nối thực từ IP IP bị xóa khỏi bảngI0

Một gói tin xác định hợp lệ trường hợp sau (và chuyển từ I1 sang I0):

Tập V-2, Số 18 (38), 12/2017

- -

Trong ph

ầ

n này, s

ẽ

trình bày chi ti

ế

t v

ề

đề

xu

ấ

t m

ớ

i c

ủ

a chúng tơi, c

ơ

ch

ế

l

ọ

c b

ỏ

gói tin t

ấ

n cơng

d

ự

a vi

ệ

c phát hi

ệ

n chu

ỗ

i gói tin PID t

ă

ng liên

t

ụ

c (nh

ư

ng l

ạ

i có

đị

a ch

ỉ

ngu

ồ

n ng

ẫ

u nhiên, không

trùng nhau)

Đ

ây nh

ữ

ng gói tin

đượ

c coi gi

ả

m

ạ

o

theo phân tích c

ơ

s

ở

đ

ã nêutr

ướ

c (m

ụ

c 1-3)

Ở

đ

ây, s

ử

d

ụ

ng b

ả

ng d

ữ

li

ệ

u khác

nhau

để

l

ư

u tr

ữ

m

ộ

t s

ố

thông tin c

ơ

b

ả

n c

ủ

a gói tin

g

ử

i

đế

n, nh

ư

đị

a ch

ỉ

IP giá tr

ị

PID Các b

ả

ng

đượ

c t

ổ

ch

ứ

c cho vi

ệ

c tìm ki

ế

m ho

ặ

c

đố

i chi

ế

u có

th

ể

th

ự

c hi

ệ

n r

ấ

t nhanh(th

ờ

i gian tìm ki

ế

m có th

ể

coi

nh

ư

h

ằ

ng s

ố

).T

ừ

đ

ó quan h

ệ

đặ

c bi

ệ

t gi

ữ

a gói tin,

nh

ư

chu

ỗ

i PID t

ă

ng d

ầ

n, có th

ể

phát hi

ệ

n

đượ

c thơng

qua tìm ki

ế

m,

đố

i chi

ế

u

Trong ph

ầ

n trình bày này, t

ậ

p trung mô t

ả

v

ề

logic ho

ạ

t

độ

ng c

ủ

a c

ơ

ch

ế

thu

ậ

t tốn, ch

ứ

khơng

đ

i

sâu mô t

ả

cách th

ứ

c tri

ể

n khai cài

đặ

t c

ụ

th

ể

b

ả

ng

d

ữ

li

ệ

u (s

ẽ

đượ

c

đề

c

ậ

p

ở

m

ụ

c sau)

Tr

ướ

c h

ế

t chúng tơi trình bày c

ơ

ch

ế

chung c

ủ

a gi

ả

i

pháp

đề

xu

ấ

t t

ạ

i IV.1; sau

đ

ó, IV.2 chúng

tơi

trình

bày thu

ậ

t tốn PID-Filter cho phép phát hi

ệ

n dãy

PID t

ă

ng nh

ằ

m lo

ạ

i b

ỏ

gói tin t

ấ

n cơng.M

ộ

t s

ố

nh

ậ

n xét phân tích s

ơ

b

ộ

(v

ề

m

ặ

t lý thuy

ế

t)

đượ

c nêu

t

ạ

i m

ụ

c IV.3

IV.1.C

ơ

ch

ế

gi

ả

i pháp chung

Chúng

đề

xu

ấ

t gi

ả

i pháp ch

ố

ng t

ấ

n công SYN

Flood

để

b

ả

o v

ệ

máy ch

ủ

b

ị

t

ấ

n công b

ằ

ng cách th

ự

c

hi

ệ

n

đồ

ng th

ờ

i hai vi

ệ

c:

-

Phát hi

ệ

n

đị

a ch

ỉ

IP ngu

ồ

n t

ố

t,

đ

ang th

ự

c s

ự

có nhu c

ầ

u k

ế

t n

ố

i, hay

đ

ã kh

ở

i t

ạ

o k

ế

t n

ố

i

-

Phát hi

ệ

n gói tin gi

ả

m

ạ

o thông qua b

ộ

l

ọ

c

PID-Filter

Để

th

ự

c hi

ệ

n ý

đồ

c

ơ

b

ả

n này, s

ử

d

ụ

ng hai

b

ả

ng d

ữ

li

ệ

u l

ữ

u tr

ữ

đị

a ch

ỉ

IP ngu

ồ

n (có th

ể

kèm

thơng tin b

ổ

sung):

-

B

ả

ng I

để

l

ư

u tr

ữ

đị

a ch

ỉ

IP ngu

ồ

n s

ạ

ch

tích c

ự

c (

đ

ã k

ế

t n

ố

i, ho

ặ

c

đ

ang có nhu c

ầ

u kh

ở

i

t

ạ

o k

ế

t n

ố

i th

ự

c s

ự

),

đượ

c s

ử

d

ụ

ng

để

cho phép

-

B

ả

ng I

để

l

ư

u tr

ữ

thông tin

đị

a ch

ỉ

IP

ngu

ồ

n, giá tr

ị

PID th

ờ

i gian

đế

n c

ủ

a nh

ữ

ng

gói tin mà ch

ư

a xác

đị

nh

đượ

c gói tin bình

th

ườ

ng (t

ố

t) hay gói tin gi

ả

m

ạ

o (t

ấ

n cơng)

Trong q trình ki

ể

m tra sau

đ

ó, m

ộ

t

đị

a ch

ỉ

IP I

đượ

c xác

đị

nh s

ạ

ch (âm tính),

s

ẽ

đượ

c chuy

ể

n sang I

S

ơ

đồ

ho

ạ

t

độ

ng c

ơ

b

ả

n c

ủ

a gi

ả

i pháp nh

ư

Hình

d

ướ

i

đ

ây:

Permit

I

0

I

1

PID-Filter

2 3 5 New Packet Found Not Found 1 Deny Not Found 4 Negative Positive

Hình Sơđồ phương pháp đề xuất

Có th

ể

có nh

ữ

ng IP gi

ả

m

ạ

o (t

ạ

o ng

ẫ

u nhiên)trùng

kh

ớ

p v

ớ

i m

ộ

t

đị

a ch

ỉ

IP s

ạ

ch I

nh

ư

ng xác su

ấ

t

trùng kh

ớ

p nh

ỏ

Để

gi

ả

m thi

ể

u

ả

nh h

ưở

ng c

ủ

a

v

ấ

n

đề

trùng kh

ớ

p này,m

ỗ

i IP b

ả

ngI

s

ẽ

có

ng

ưỡ

ng th

ờ

i gian s

ố

ng nh

ấ

t

đị

nh, n

ế

u sau ng

ưỡ

ng

đ

ó

mà h

ệ

th

ố

ng khơng nh

ậ

n

đượ

c k

ế

t n

ố

i th

ự

c t

ừ

IP

đ

ó

IP s

ẽ

b

ị

xóa kh

ỏ

i b

ả

ng I

M

ộ

t gói tin

đượ

c xác

đị

nh h

ợ

p l

ệ

tr

ườ

ng

h

ợ

p sau (và

đ

ó s

ẽ

đượ

c chuy

ể

n t

ừ

I

sang I

):

-

Tr

ườ

ng h

ợ

p có gói tin có

đị

a ch

ỉ

IP ngu

ồ

n

đ

ã

g

ử

i

đế

n h

ệ

th

ố

ng tr

ướ

c

đ

ó Tr

ườ

ng h

ợ

p x

ả

y

khi m

ộ

t

client

đ

ã yêu c

ầ

u k

ế

t n

ố

i t

ớ

i máy ch

ủ

nh

ư

ng không

đượ

c h

ồ

i

đ

áp nên g

ử

i l

ạ

i yêu c

ầ

u k

ế

t

n

ố

i, (c

ơ

ch

ế

tcp retransmission[35]) H

ệ

th

ố

ng có

th

ể

phát hi

ệ

n sai gói tin gi

ả

m

ạ

o gói tin h

ợ

p l

ệ

trong tr

ườ

ng h

ợ

p

đị

a ch

ỉ

gi

ả

m

ạ

o c

ủ

a gói tin ng

ẫ

u

nhiên trùng v

ớ

i m

ộ

t

đị

a ch

ỉ

đ

ó c

ủ

a gói tin

đ

ã

g

ử

i

đế

n h

ệ

th

ố

ng tr

ướ

c

đ

ó Tuy nhiên xácxu

ấ

t

Hình Sơ đồ phương pháp đề xuất

tin giả mạo gói tin hợp lệ trường hợp địa giả mạo gói tin ngẫu nhiên trùng với địa gói tin gửi đến hệ thống trước Tuy nhiên xác xuất trùng khớp 1/232 cho nguồn gửi gói tin giả mạo

◦ Trường hợp lệ sau khoảng thời gian δT (tham số

hệ thống chọn trước) cặp (IP, PID) I1

xác định âm tính qua xét nghiệm PID-Filter Mỗi gói tin gửi đến hệ thống xử lý theo bước sau

Bước 1: Kiểm tra địa IP nguồn gói tin có bảng I0 hay khơng? Nếu có cho gói tin vào hệ thống

(chuyển tiếp vào máy chủ); Nếu không sang bước

Bước 2: Kiểm tra IP nguồn có bảngI1 hay khơng?

Nếu có đưa thơng tin IP vào bảng I0 (cơ chế TCP

retransmission) cho phép gói tin vào hệ thống; Nếu không sang bước sau

Bước 3: Lưu thông tin (địa IP, giá trị PID, thời gian đến) gói tin thời vào bảngI1 Triệu gọi PID-Filter

với giá trị PID

Bước 4: Trong trình thực PID-Filter, có giá trị PID bị phát dương tính thơng tin gói tin tương ứng bị loại bỏ khỏi bảng I1(song song

với việc gói tin bị lọc bỏ, không vào tới máy chủ bên trong)

Bước 5: Nếu PID-Filter báo âm tính, thơng tin tương ứng với giá trị PID chuyển khỏi bảng I1 đưa vào

bảng I0

2 PID-Filter: Thuật toán phát dãy PID tăng liên tục

Mục đích thuật tốn phát dãy gói tin có PID tăng dần x0 =a, x1 = a+1, x2 =a+2, v.v., khoảng thời gian (rất ngắn) δT cho trước Thuật toán

sử dụng hai bảng liệu B0 B1 Bảng B0 để lưu PID

từ gói tin đến, coi có tiềm trở thành

điểm đầu x0 dãy tăng trên, cònB1 để lưu giá

trị thứ hai x1 (hoặc điểm cuối thời) dãy tăng

khi phát Các giá trị PID từ gói tin đến lọc qua PID-Filter Nếu giá trị đưa vào B0 suốt khoảng thời gian δT không bị phát

hiện thuộc vào dãy PID tăng PID-Filer trả kết “âm tính” (gói tin tương ứng chấp nhận), ngược lại bị báo “dương tính” Các gói tin tương ứng có giá trị PID dãy tăng bị loại bỏ

Các bước thực thuật toán sau:

1) Với gói tin SYN vừa đến, ta lấy giá trị x PID thực tìm kiếm x0 = x−1 bảng B0 Nếu thấy, xđược coi giá trị thứ hai

một dãy tăng lưu vào B1 để phát

gói tin có PID dãy tăng PID-Filter dừng (chưa báo kết dương tính với giá trị PID x0

và x mà chờ tiếp)

2) Tìm kiếmx1=x−1 bảngB1 Nếu thấy, xđược coi giá trị thứ (hoặc muộn nữa) dãy tăng Giá trị x1 đứng trước dãy tăng

Giá trị x cập nhật thay x1 B1 để

tiếp tục đợi gói tin có PID (thứ 4, 5, v.v.) dãy tăng PID-Filter dừng trả lại kết dương tính giá trị PID x x0

3) Tìm kiếm x0 = x−2 bảng B0 Nếu thấy, ta lưu xvào B1 xử lý tương tự bước Sở dĩ

làm ta coi gói tin có PID

x1=x−1đã bị thất lạc đến muộn sau PID-Filter dừng trả lại kết dương tính với giá trị PID x x0

4) Các bước tìm kiếm có kết khơng thấy: Ta coi x có tiềm điểm đầu x0

của dãy tăng cập nhật vào B0

Bên cạnh bước “xét nghiệm” trên, hoạt động then chốt khác thuật tốn tiếp tục kiểm tra bảng I1

(có thể chạy ngầm) để phát giá trị PID IP tương ứng đủ tuổi (δT) khỏi bảng mà không bị “liên đới”

với các phát dương tính có bước Điều có nghĩa giá trị x thực gói tin lành, khơng cịn bị nghi ngờ Các gói tin tương ứng báo âm tính

Để đảm bảo xác suất lỗi thấp (lọc bỏ nhầm) bảngB1cũng

cần làm tươi (refresh) liên tục Các giá trị PID cũ (có “tuổi” vượt ngưỡng δT) bị loại bỏ khỏi bảng

Thuật toán phương pháp mơ tả Thuật tốn

3 Mơ hình hệ thống

Các cơng trình nghiên cứu phát triển Cơng nghệ Thơng tin Truyền thông

- -

Để

đả

m b

ả

o xác su

ấ

t l

ỗ

i th

ấ

p (l

ọ

c b

ỏ

nh

ầ

m) b

ả

ng B

1

c

ũ

ng c

ầ

n

đượ

c làm t

ươ

i liên t

ụ

c (refresh): giá tr

ị

PID

đ

ã c

ũ

(có “tu

ổ

i” v

ượ

t ng

ưỡ

ng



T

) s

ẽ

b

ị

lo

ạ

i b

ỏ

ngay kh

ỏ

i b

ả

ng

Thu

ậ

t tốn c

ủ

a ph

ươ

ng pháp

đượ

c mơ t

ả

nh

ư

Hình

d

ướ

i

đ

ây:

Hình Thu

ậ

t tốn ph

ươ

ng pháp

đề

xu

ấ

t

IV.3.Mơ hình h

ệ

th

ố

ng

`

`

Attacker

Server Internet

Tab

Sniffer IF

Black list White list

User

DDosDefence Auth-IF

Hình 5.Mơ hình h

ệ

th

ố

ng tri

ể

n khai x

ử

lý t

ấ

n cơng DDoS

Ph

ươ

ng pháp c

ủ

a không can thi

ệ

p, x

ử

lý

tr

ự

c ti

ế

p k

ế

t n

ố

i m

ạ

ng g

ử

i

đế

n máy ch

ủ

Ph

ươ

ng

pháp c

ủ

a cho phép xây d

ự

ng m

ộ

t danh sách

đị

a ch

ỉ

IP s

ạ

ch (White-List) Khi t

ấ

n công DDoS x

ả

y

ra danh sách

đị

a ch

ỉ

IP White-List s

ẽ

đượ

c g

ử

i

đế

n máy ch

ủ

ho

ặ

c thi

ế

t b

ị

m

ạ

ng

để

th

ự

c hi

ệ

n

sách khóa

đị

a ch

ỉ

IP không n

ằ

m White-List

này Danh sách

đị

a ch

ỉ

IP White-List c

ũ

ng liên

t

ụ

c c

ậ

p nh

ậ

t thông qua thu

ậ

t tốn c

ủ

a chúng tơi C

ụ

th

ể

ở

đ

ây

đị

a ch

ỉ

IP I

0

s

ẽ

đượ

c

đư

a vào

White-List Trong mơ hình trên, ph

ươ

ng pháp c

ủ

a

chúng

đượ

c cài

đặ

t máy ch

ủ

DDoS Defence

Máy ch

ủ

có hai giao di

ệ

n M

ộ

t giao di

ệ

n

đượ

c s

ử

d

ụ

ng

để

thu th

ậ

p thông tin giao di

ệ

n k

ế

t n

ố

i

Internet c

ủ

a Router biên c

ủ

a h

ệ

th

ố

ng (Sniffer IF) s

ử

d

ụ

ng thi

ế

t b

ị

trích rút d

ữ

li

ệ

u chuyên d

ụ

ng

(Network-Tap) nh

ằ

m không làm

ả

nh h

ưở

ng t

ớ

i ho

ạ

t

độ

ng c

ủ

a h

ệ

th

ố

ng

đượ

c b

ả

o v

ệ

Giao di

ệ

n th

ứ

hai

đượ

c s

ử

d

ụ

ng

để

g

ử

i danh sách IP trongWhite-list

đế

n máy ch

ủ

ho

ặ

c

thi

ế

t b

ị

m

ạ

ng

IV.4.Phân tích thu

ậ

t tốn

Sau

đ

ây, chúng tơi

đư

a m

ộ

t phân tích

đ

ánh giá v

ề

gi

ả

i phápnày góc

độ

lý thuy

ế

t

Ta phân tích v

ề

ho

ạ

t

độ

ng c

ủ

a thu

ậ

t tốn

PID-Filter Gi

ả

s

ử

m

ộ

t máy tính (máy b

ị

đ

i

ề

u khi

ể

n

để

t

ấ

n

công DDoS – máy bot) t

ạ

o g

ử

i m

ộ

t chu

ỗ

i gói tin

SYN t

ấ

n công ký hi

ệ

u P

0

, P

1

, P

2

, P

3

, … v

ớ

i dãy giá

tr

ị

PID t

ă

ng d

ầ

n Kho

ả

ng th

ờ

i gian



T

đượ

c

đặ

t

đủ

dài

h

ơ

n kho

ả

ng th

ờ

i gian gi

ữ

a hai gói tin P

0

P

3

đế

n

đ

ích

(máy ch

ủ

b

ị

t

ấ

n công) N

ế

u nh

ư

đườ

ng truy

ề

n t

ố

t

khơng có

đặ

c bi

ệ

t x

ả

y chu

ỗ

i gói tin s

ẽ

đế

n

đ

úng theo th

ứ

t

ự

ban

đầ

u, chúng s

ẽ

l

ầ

n l

ượ

t

đượ

c c

ậ

p

nh

ậ

t

đị

a ch

ỉ

IP vào b

ả

ng I

1

, giá tr

ị

PID c

ủ

a P

0

vào b

ả

ng

B

0

(ch

ỉ

P

0

t

ạ

i b

ướ

c 4), vào B

1

(P

1

, P

2

, tr

ở

đ

i t

ạ

i

b

ướ

c 2) Tuy nhiên, nh

ậ

n

đượ

c P

2

, chu

ỗ

i gói tin

t

ấ

n cơng b

ị

nh

ậ

n di

ệ

n nên

đị

a ch

ỉ

IP t

ươ

ng

ứ

ng b

ị

lo

ạ

i b

ỏ

kh

ỏ

i b

ả

ng I

1

,

đồ

ng th

ờ

i PID c

ủ

a P

0

đượ

c lo

ạ

i

b

ỏ

B

0

, PID c

ủ

a gói P

1

ti

ế

p theo c

ũ

ng b

ị

lo

ạ

i b

ỏ

B

1

, ngo

ạ

i tr

ừ

c

ủ

a gói tin cu

ố

i (P

i

)

Thuật tốn 1:Thuật tốn phương pháp đề xuất

formỗi gói tin mớiP(i) If(SrcIP[P(i)] thuộc I0)

Cho phép P(i);

else if(SrcIP[P(i)] thuộc I1)

Thêm SrcIP[P(i)] vào I0

Loại SrcIP[P(i)] khỏi I1)

//Thực bước PID-Filter

else if(PID(x−1)[P(i)] thuộc B0)

Thêm PID(x)[P(i)] vào B1

//Thực bước PID-Filter

else if(PID(x−1)[P(i)] thuộc B1)

Cập nhậtB1[PID(x−1)[P(i)]] =B1[PID(x)[P(i)]]

Cảnh báo PID(x−1)[P(i)] PID(x−2)[P(i)] //Thực bước PID-Filter

else if(PID(x−2)[P(i)] thuộc B0)

Cập nhậtB1[PID(x−1)[P(i)]] =B1[PID(x)[P(i)]]

Cảnh báo PID(x−1)[P(i)] and PID(x−2)[P(i)] //Thực bước PID-Filter

else

Thêm PID(x)[P(i)] vào B0 end

end

Khi công DDoS xảy danh sách địa IP White-List gửi đến máy chủ thiết bị mạng để thực sách khóa địa IP không nằm White-List Danh sách địa IP White-List liên tục cập nhật thơng qua thuật tốn chúng tơi Cụ thể địa IP I0 đưa vào

White-List Trong mơ hình trên, phương pháp

cài đặt máy chủ DDoS Defence Máy chủ có hai giao diện Một giao diện sử dụng để thu thập thông tin giao diện kết nối Internet Router biên hệ thống (Sniffer IF) sử dụng thiết bị trích rút liệu chuyên dụng (Network-Tap) nhằm không làm ảnh hưởng tới hoạt động hệ thống bảo vệ Giao diện thứ hai sử dụng để gửi danh sách IP White-list đến máy chủ thiết bị mạng

4 Phân tích thuật tốn

Sau đây, chúng tơi đưa phân tích đánh giá giải pháp góc độ lý thuyết Ta phân tích hoạt động thuật tốn PID-Filter Giả sử máy tính (máy bị điều khiển để cơng DDoS - máy bot) tạo gửi chuỗi gói tin SYN công ký hiệu P0,P1,P2,P3, , với dãy giá trị PID tăng dần Khoảng thời gianδT đặt

đủ dài khoảng thời gian hai gói tinP0 vàP3 đến

đích (máy chủ bị công) Nếu đường truyền tốt đặc biệt xảy chuỗi gói tin đến theo thứ tự ban đầu, chúng cập nhật địa IP vào bảng I1, giá trị PID P0 vào bảngB0 (chỉ P0 bước 4), vào B1 (P1, P2, trở bước 2) Tuy

nhiên, nhận P2, chuỗi gói tin cơng bị nhận

diện nên địa IP tương ứng bị loại bỏ khỏi bảng I1,

đồng thời PID P0 loại bỏ B0, PID

các gói P1 bị loại bỏ B1, ngoại trừ

của gói tin cuối (Pi) lưu để tiếp tục phát

hiện gói tin cơng sau chuỗi (Pi+1, )

trật tự gói tin đến thay đổi có gói tin thất lạc Nếu máy chủ nhận dãy gói tinP0,P1,P3, hayP0, P2,P3 (tức chỉ1gói bị thất lạc) chuỗi cơng

có thể bị phát hiện, nhiên có 2gói tin thất lạc trở lên số gói đầu khơng phát Đây coi điểm yếu cịn tồn thuật tốn, cần cải tiến nâng cao tương lai

Khi gói tin lẻ không phát thuộc dãy tăng (hoặc bị sót trường hợp cặp P0, P1, P2, P3 bị

thất lạc đến muộn) có thời gian tồn vượtδT

các thơng tin tương ứng bị loại khỏi B0,B1 vàI1nhưng

địa IP cập nhật vàoI0 - danh sách IP

coi tại3.

Sau chúng tơi phân tích lỗi nhầm lẫn xảy ngẫu nhiên Xác suất gói tin giả mạo may mắn chấp nhận (tức báo âm tính nhầm - False Negative) có địa IP tình cờ trùng khớp với địa I0 p0 =|I0| /232

Xác suất gói tin giả mạo có địa IP đưa vào I0 tình cờ trùng khớp địa I1 (tức

là coi tốt theo chế TCP retransmission - False Nagative) p1 =|I1| /232

Xác suất gói tin tốt có giá trị PID tình cờ lớn hơn1

so với giá trị B0 (tức báo dương tính nhầm

-False Positive) p2 =|B0| /216

Các xác suất nói ước lượng sau Giả sử thời điểm diễn cơng, có N máy công M máy khách hàng tốt tìm cách kết nối đến máy chủ Nếu giả định số lượng trục trặc truyền tin mạng (gói tin thất lạc vịng lâu nhiều) đủ nhỏ ta dễ thấy: |I0| ≈ M, |I1| ≤ M+3N,

|B0| ≈N và|B1| ≤2N Các ước lượng về|I1|,|B0| và|B1|

có theo phân tích q trình hoạt động PID-Filter dễ thấy thời điểm có từ2 đến3

gói tin chuỗi tăng (phát từ máy bot) ghi nhận I1

Bảng I minh họa cho phân tích ước lượng Con số máy tham gia công giả định từ cấp độ qui mô trung bình (từ 1.000 đến 2.000) đến cao (lớn 10.000), dựa báo cáo qui mô cơng SYN thường thấy Có thể thấy xác suất lỗi bỏ sót (âm tính sai) nhỏ, xác suất lỗi báo nhầm công (dương tính sai) lớn đáng kể qui mô số máy công lớn cỡ10.000 trở lên

V ĐÁNH GIÁ THỰC NGHIỆM BAN ĐẦU

Trong triển khai cài đặt, lựa chọn giá trị δT ≈1–2 ms, cho phép theo dõi chuỗi gói

3Chỉ phạm vi chế đề xuất Bên cạnh

đó, vành đai kiểm sốt khác Firewall kiểm sốt danh sách IP khác, hoạt động độc lập

Bảng I

QUI MÔ TẤN CÔNG GIẢ ĐỊNH VÀ XÁC SUẤT LỖI Giá trị giả định Xác suất nhận được

M N |I1| |B1| P0 P1 P2

1.000 1.000 4.000 2.000 2,3E-07 0,93E-06 1,5% 1.500 2.000 7.500 4.000 3,5E-07 1,74E-06 3% 2.000 4.000 14.000 8.000 4,7E-07 3,25E-06 6% 2.500 8.000 26.500 16.000 5,8E-07 6,17E-06 12% 3.000 16.000 51.000 32.000 7,0E-07 11,8E-06 24%

tin tăng PID phát từ máy bot có băng thơng cơng vào cỡ chỉ1Mb, tức coi vào loại nhỏ đáng kể (nếu băng thơng cơng nhỏ ta coi bé nên không cần quan tâm nữa) Các bảng lưu trữ cài đặt cấu trúc liệu mảng ghi đơn giản

Theo nghiên cứu mà chúng tơi đề cập mục II, nghiên cứu không sử dụng liệu mẫu chung để đánh giá thực nghiệm Tập liệu kiểm thử DARPA Viện MIT có liệu kiểm thử cho số dạng công Dos/DDoS, nhiên tập liệu lại khơng có liệu kiểm thử cho dạng công SYN Flood có đề cập tới [16]

Do đó, nghiên cứu này, sử dụng liệu thử nghiệm tự thu thập từ cơng SYN Flood mơi trường thực với336.671 gói tin ghi nhận (thời điểm lấy mẫu hệ thống tải dừng hoạt động số nói trên) Theo đánh giá chuyên gia, coi tồn gói tin mà chúng tơi thu thập gói tin giả mạo, số lượng gói tin thực có chiếm tỷ lệ nhỏ, khơng đáng kể Mỗi gói tin thu được, chúng tơi thu thập thơng tin: thời gian đến gói tin (timestamp), địa IP nguồn (Src IP), cờ trạng thái kết nối (flag) giá trị PID

Kết thực nghiệm đưa Bảng II, bao gồm giá trị sau: Số lượng gói tin mẫu thử nghiệm (#Packets), số lượng gói tin giả mạo phát (#Detected Packets), số lượng chuỗi có PID tăng dần tạo (#PID-Groups) tỷ lệ (Rate) gói tin giả mạo phát Các kết cho thấy tỉ lệ phát cao

VI KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN