Trong bài báo này, chúng tôi đã đề xuất một cơ chế thuật toán mới để phát hiện và lọc bỏ những gói tin giả mạo sử dụng trong tấn công DDoS dạng SYN Flood mà không phải thực hiện các bước[r]
(1)Phát lọc bỏ nhanh gói tin giả mạo trong công mạng TCP SYN Flood
Trần Mạnh Thắng, Nguyễn Khanh Văn
Viện Công nghệ Thông tin Truyền thông, Trường Đại học Bách khoa Hà Nội E-mail: thang197@gmail.com, vannk@soict.hust.edu.vn
Tác giả liên hệ: Trần Mạnh Thắng
Ngày nhận: 29/05/2017, ngày sửa chữa: 05/07/2017, ngày duyệt đăng: 01/09/2017
Tóm tắt: Tấn cơng từ chối dịch vụ phân tán (DDoS) theo hình thức gửi tràn ngập gói khởi tạo kết nối (gói tin SYN) dạng công mạng nguy hiểm khó phịng-chống Bởi với dạng cơng này, tin tặc cố tình gửi gói tin khởi tạo kết nối giả mạo địa nguồn mà đảm bảo trường thơng tin gói tin khởi tạo bình thường Đã có nhiều kết nghiên cứu giải pháp đề xuất việc phát lọc bỏ gói tin giả mạo này, phần lớn xử lý yêu cầu nhiều tài nguyên hệ thống để xử lý, hiệu bị ảnh hưởng nhiều luồng công DDoS lớn Trong nghiên cứu này, đề xuất thuật tốn phát lọc bỏ nhanh gói tin giả mạo mà sử dụng tài nguyên hệ thống đạt tỷ lệ phát cao
Từ khóa:Tấn cơng từ chối dịch vụ phân tán, công SYN Flood.
Title: A Method for Fast Filtering SYN Flood Spoof Source in DDoS Attack
Abstract: A distributed denial-of-service attack characterized by flood SYN packets is one of network attacks to make the information system unavailable This attack becomes more dangerous and difficult to prevent and defend when attackers try to send flood SYN packets with spoof sources Especially, the packets have the information field as that of normal SYN packets Most of current methods require a training phase to build normal parameters, which will be used in the detection phase to detect spoof packets In this research, we propose a method that can detect and filter spoof packets quickly without using the training phase This method requires very few resources and the detection rate is very high Keywords: DDoS, TCP SYN Flood.
I GIỚI THIỆU
Tổng quan công TCP SYN Flood Tấn công từ chối dịch vụ (DoS: Denial-of-Service) dạng công mạng phổ biến nguy hiểm bậc Trong đó, kẻ cơng muốn làm cho hệ thống bị tải phục vụ yêu cầu hợp lệ cạn kiệt tài nguyên (năng lực tính tốn, nhớ, v.v.) Tấn cơng từ chối dịch phân tán (DDoS: Distributed DoS) dạng đặc biệt cơng DoS Khi sử dụng DDoS, tin tặc tìm cách xây dựng mạng botnet (một số lượng lớn máy tính mạng bị điều khiển máy chủ điều khiển C&C) để thực công DDoS thay thực cơng từ máy dạng công DoS thông thường Mạng botnet xây dựng nhiều hình thức khác Một hình thức phổ biến tin tặc tạo mã độc cho lây lan môi trường mạng Mỗi máy tính bị nhiễm mã độc trở thành thành viên mạng botnet (bot) chịu điều khiển máy chủ C&C để thực công DDoS
Có nhiều hình thức cơng DDoS khác nhau, sau
Ping Flood: Dạng công DDoS cách gửi tràn ngập gói tin ICMP UDP có kích thước lớn
Teardrop:Dạng cơng DDoS cách gửi tràn ngập gói tin phân mảnh có offset trùng ngắt quãng phía máy nhận gói tin khơng thể xử lý gây làm treo hệ thống
TCP Syn Flood:Đối với dạng công này, tin tặc gửi tràn ngập gói tin SYN giả mạo địa IP nguồn [1] thông qua mạng botnet (sau gọi gói tin giả mạo) hình thức cơng khó phịng, chống Do tin tặc cố tình tạo gói tin giả mạo có trường thơng tin gói tin bình thường nên máy chủ nạn nhân khơng thể phân biệt gói tin giả mạo nên nhanh chóng bị cạn kiệt tài nguyên
(2)Các cơng trình nghiên cứu phát triển Cơng nghệ Thông tin Truyền thông
Cụ thể, trình bắt tay bước (3-way handshake sub-protocol) gói tin SYN sử dụng để khởi tạo kết nối TCP Các gói tin gửi tràn ngập tới máy chủ với địa IP nguồn giả mạo Máy chủ phải dành tài nguyên để phục vụ kết nối gói tin giả mạo, dẫn tới cạn kiệt tài nguyên
Ý tưởng giải pháp Các gói tin giả mạo khơng khác bình thường xét riêng gói tin Tuy nhiên, chúng tơi cho rằng, có mối liên hệ riêng chúng mà coi dấu hiệu tìm vết, quan sát luồng gói tin giả mạo phát từ máy tính Dựa dấu hiệu này, ta xây dựng giải pháp để phát thực lọc bỏ (nhiều được) gói tin giả mạo sử dụng công TCP SYN Flood Trong nghiên cứu này, phát máy tính gửi gói tin mà khơng phân biệt địa IP đích hay dịch vụ sử dụng giá trị IPD (trường Identification IP Header [2]) tăng lên đơn vị Điều có nghĩa quan sát phía máy chủ ta nhận chuỗi gói tin có giá trị PID tăng liên tục, chúng gửi từ máy Chúng tơi mơ tả cụ thể tính chất mục III-1
Trong báo trước [3], đề xuất phương pháp dùng thuật tốn DBSCAN để nhóm gói tin SYN có địa IP khác có giá trị PID tăng dần vào cụm giá trị liên tục (Cluster) Với cụm1, chúng tôi
xác định giá trị trường PID gói tin cơng tiếp tục có (Expected PID - EPID) thuộc cụm Đối
với phương pháp này, phải thực trình máy học (training phase) để tìm cụm giá trị EPID
cho cụm
Trong báo này, đề xuất phương án cho phép tìm gói tin có giá trị PID tăng liên tục với chế thuật tốn hồn tồn khác (khơng dựa q trình máy học trước đây), trực tiếp phát gói tin cơng dựa vào quan sát PID nói (và số quan sát khác) cấu trúc liệu tổ chức đặc biệt để lưu trữ đối sánh thông tin Phương pháp cho phép tự loại bỏ gói tin phát gói chuỗi gói tin giả mạo gửi đến hệ thống, cho phép gói tin thực kết nối đến hệ thống trước xảy trình TCP retransmission - ưu điểm so với phương án trước
Bài báo có cấu trúc sau: Mục I giới thiệu tổng quan công TCP SYN Flood ý tưởng giải pháp đề xuất Mục II giới thiệu tổng quan lĩnh vực nghiên cứu có liên quan Mục III đưa sở lý thuyết 1Điều kiện để tạo thành cụm hệ thống nhận 03 gói
tin có PID tăng liên tục, có địa IP khác Các gói tin nằm cụm coi gói tin giả mạo gửi đến hệ thống từ máy cơng đó, gói tin có giá trị PID trùng với EPIDsẽ
được cho gói tin giả mạo gửi từ máy cơng
Hình Phân loại phương pháp phịng chống cơng DDoS
của phương pháp đề xuất Mục IV trình bày chế thuật tốn loại bỏ nhanh gói tin giả mạo Mục V đưa kết đánh giá thực nghiệm Mục VI đưa kết luật hướng phát triển
II TỔNG QUAN LĨNH VỰC
Theo nghiên cứu tổng quan công DDoS [4], giải pháp phịng-chống DDoS phân loại theo hai yếu tố: vị trí triển khai giải pháp thời điểm xử lý công DDoS Cách phân loại thể sơ đồ Hình 12.
Với yếu tố đầu, ta thấy có hai lớp giải pháp: (A1) lớp giải pháp phịng chống cho dạng cơng nhằm vào tầng giao vận thấp mô hình OSI [5]; (A2) lớp giải pháp phịng chống cho dạng công nhằm vào tầng ứng dụng Với yếu tố thứ hai, ta phân loại thành lớp giải pháp nhằm vào ba giai đoạn phân biệt: giai đoạn trước xảy công (phát nguy cơ), giai đoạn xảy công (phát kiện) giai đoạn sau bị công (khắc phục hậu truy cứu)
Nhóm giải pháp (A1) nói lại phân loại thành bốn nhóm: Nhóm giải pháp áp dụng gần nguồn cơng (source-based); Nhóm áp dụng phía đối tượng bảo vệ (destination-based); Nhóm áp dụng hạ tầng mạng trung gian (network-based) Nhóm giải pháp kết hợp (hybrid) Nhóm (A2) chia làm hai nhóm: nhóm giải pháp áp dụng phía đối tượng bảo vệ nhóm giải pháp kết hợp Trong báo này, tập trung nghiên cứu phương pháp phịng-chống cơng thường gọi SYN Flood đề cập, gói tin SYN mang địa IP 2Trong sơ đồ này, sử dụng thuật ngữ tiếng Anh để bạn đọc
(3)nguồn giả mạo Giải pháp thuộc dạng cho đối tượng bảo vệ (destination-based) lớp (A1) nói Sau đây, chúng tơi sâu phân tích số nghiên cứu liên quan sau
Cơ chế IP Traceback [6, 7]: Phương pháp đề xuất chế truy vết kẻ công dựa việc lưu lại thông tin đường từ nguồn đến đích (trong trường thơng tin Packet Identification gói tin) ứng với địa IP nguồn Dựa vào thông tin đường (con đường phổ biến kết nối từ IP nguồn đó) người ta phát gói tin giả mạo: gói tin giả mạo gói tin có thơng tin đường không khớp với xu hướng phổ biến phát trước (đối với địa IP nguồn) Tuy nhiên, phương pháp có hạn chế lớn yêu cầu trạm router trung gian phải hỗ trợ chế đánh dấu đường nên khó triển khai thực tế
Phương pháp Management Information Base (MIB) [8–10]: Phương pháp kết hợp thơng tin có gói tin thơng tin định tuyến để phát công DDoS Phương pháp đề xuất so sánh thơng tin gói ICMP, TCP, UDP (khi cơng xảy ra) với thông tin tương ứng phân tích lưu trữ chưa xảy cơng để tìm gói tin có thơng tin khác thường
Các chế Packet marking and filtering (Đánh dấu và lọc bỏ gói tin): Một nghiên cứu đề xuất chế History-based IP filtering[11], người ta lưu lại thông tin địa IP nguồn thường xuyên kết nối vào hệ thống công DDoS chưa xảy ra; công, địa IP lưu lại kết nối vào hệ thống, lại bị lọc bỏ Phương pháp Hop-count filtering[12] ý ghi nhận thơng tin hop-count tương ứng với IP nguồn (qua gói tin lưu lại công DDoS chưa xảy ra) Khi cơng DDoS xảy ra, gói tin có thông tin hop-count khác nhiều với thông tin lưu trước ứng với địa IP nguồn tương ứng coi giả mạo bị lọc bỏ Phương pháp Path Identifier [13] đề xuất lưu trữ giá trị coi đặc trưng đường (PI) gói tin từ nguồn đến đích ứng với địa nguồn Các gói tin đường đến đích có thơng tin PI thường giống nhau, qua sử dụng để lọc bỏ tất gói tin giả mạo có đường với gói tin giả mạo phát trước
Một tiếp cận lý thú khác dựa ý tưởng loại bỏ gói tin dựa mức độ tắc nghẽn, Packetscore [14], chế điển hình, đề xuất thiết lập mức độ ưu tiên cho gói tin dựa vào thuật tốn Detecting-Differentiating-Discarding routers(3D-R) sử dụng độ đo Bayes (Bayesian-theoretic metric) Từ đó, người ta thiết lập chế lọc bỏ gói tin có mức ưu tiên thấp công DDoS xảy (gây tắc nghẽn router kề cận)
Hình IP Header III CƠ SỞ LÝ THUYẾT
1 Packet Identification tính chất tăng dần
Trường thông tin Identification trường thông tin 16 bit IP Header Trường thông tin sử dụng để xác định thứ tự gói tin bị phân mảnh (fragment) gói tin truyền từ mơi trường mạng có MTU cao sang mơi trường mạng có MTU thấp
Tuy nhiên, qua quan sát thực tế hệ thống hoạt động trạng thái bình thường, máy tính gửi gói tin mà khơng phân biệt địa IP đích hay dịch vụ sử dụng giá trị IPD tăng lên1đơn vị
Nguyên lý áp dụng phương pháp Idle scan [15] để kiểm tra cổng mở máy chủ hay khơng máy tính kiểm tra khơng thể gửi trực tiếp gói tin đến máy chủ cần kiểm tra mà phải thơng qua máy tính khác trạng thái Idle
Để có thêm sở cho tính chất phát trên, kiểm thử lại tính chất tập liệu chuẩn DARPA Intrusion Detection Evaluation [16] viện MIT cung cấp Tập liệu sử dụng nhiều nghiên cứu [17–19] để đánh giá hiệu phương pháp phát xâm nhập công DDoS Kết phát hiện: công DDoS từ địa nguồn 202.77.162.213 đến địa 172.16.115.20 qua ứng dụng Telnet có giá trị PID tăng liên tục từ giá trị 11484
2 Thủ tục bắt tay TCP handshake công tràn ngập TCP SYN Flood
(4)Các cơng trình nghiên cứu phát triển Cơng nghệ Thơng tin Truyền thơng
Hình TCP handshakes
để yêu cầu khởi tạo kết nối với phía máy khách Bước cuối trình khởi tạo kết nối máy khách gửi lại gói tin ACK để phản hồi lại cho máy chủ trạng thái sẵn sàng phía
Theo chế TCP retransmission [20] nguyên lý hoạt động giao thức TCP, khoảng thời gian định (time out), sau máy khách gửi gói tin SYN để yêu cầu khởi tạo kết nối tới máy chủ, mà khơng nhận gói tin xác nhận ACK từ phía máy chủ, máy khách gửi lại gói tin SYN khác để tiếp tục yêu cầu kết nối
Từ nguyên lý khởi tạo kết nối giao thức TCP trên, thấy điểm yếu rõ ràng: nhận gói tin SYN, cịn đủ tài ngun máy chủ dành sẵn phần tài nguyên nhớ cần thiết để chuẩn bị phục vụ cho kết nối sau mà khơng kiểm tra tính trung thực gói tin SYN gửi đến Lợi dụng điểm yếu này, tin tặc công máy chủ cách gửi tràn ngập gói tin SYN giả mạo tới máy chủ để làm cạn kiệt tài nguyên máy chủ với mục đích làm máy chủ khơng cịn tài ngun để phục vụ yêu cầu hợp lệ gửi tới
Các gói tin giả mạo tạo với trường thơng tin giống gói tin thơng thường, với địa IP nguồn giả mạo (sinh ngẫu nhiên) Nếu khơng có chế theo dõi đặc biệt, máy chủ khơng thể phân biệt gói tin gói tin thực hay giả mạo
IV CƠ CHẾ THUẬT TỐN LỌC BỎ NHANH GĨI TIN GIẢ MẠO
Trong mục này, chúng tơi trình bày chi tiết đề xuất chúng tôi, chế lọc bỏ gói tin cơng dựa việc phát chuỗi gói tin PID tăng liên tục (nhưng lại có địa nguồn ngẫu nhiên, khơng trùng nhau) Đây gói tin coi giả mạo theo phân tích sở nêu trước (mục I-3)
Ở đây, sử dụng bảng liệu khác để lưu trữ số thông tin gói tin gửi đến, địa IP giá trị PID Các bảng tổ chức
sao cho việc tìm kiếm đối chiếu thực nhanh (thời gian tìm kiếm coi số) Từ quan hệ đặc biệt gói tin, chuỗi PID tăng dần, phát thơng qua tìm kiếm, đối chiếu
Trong mục này, tập trung mô tả logic hoạt động chế thuật tốn, khơng sâu mơ tả cách thức triển khai cài đặt cụ thể bảng liệu (sẽ đề cập mục sau)
Trước hết chúng tơi trình bày chế chung giải pháp đề xuất mục IV-1 Sau đó, mục IV-2 chúng tơi trình bày thuật tốn PID-Filter cho phép phát dãy PID tăng nhằm loại bỏ gói tin cơng Một số nhận xét phân tích sơ (về mặt lý thuyết) nêu mục IV-3
1 Cơ chế giải pháp chung
Chúng đề xuất giải pháp chống công SYN Flood để bảo vệ máy chủ bị công cách thực đồng thời hai việc:
◦ Phát địa IP nguồn tốt, thực có nhu cầu kết nối, hay khởi tạo kết nối;
◦ Phát gói tin giả mạo thơng qua lọc PID-Filter
Để thực ý đồ này, sử dụng hai bảng liệu lữu trữ địa IP nguồn (có thể kèm thơng tin bổ sung):
◦ Bảng I0 để lưu trữ địa IP nguồn tích
cực (đã kết nối, có nhu cầu khởi tạo kết nối thực sự), sử dụng phép nhanh máy client xác định hợp lệ kết nối đến hệ thống ◦ BảngI1 để lưu trữ thông tin địa IP nguồn, giá
trị PID thời gian đến gói tin mà chưa xác định gói tin bình thường (tốt) hay gói tin giả mạo (tấn cơng) Trong q trình kiểm tra sau đó, địa IP I1 xác định (âm
tính), chuyển sang I0
Sơ đồ hoạt động giải pháp Hình Có thể có IP giả mạo (tạo ngẫu nhiên) trùng khớp với địa IP trongI0, xác suất trùng khớp
này nhỏ Để giảm thiểu ảnh hưởng vấn đề trùng khớp này, IP bảngI0sẽ có ngưỡng thời gian sống
định, sau ngưỡng mà hệ thống khơng nhận kết nối thực từ IP IP bị xóa khỏi bảngI0
Một gói tin xác định hợp lệ trường hợp sau (và chuyển từ I1 sang I0):
(5)Tập V-2, Số 18 (38), 12/2017
- -
Trong phần này, sẽ trình bày chi tiết vềđề
xuất mới của chúng tơi, cơ chế lọc bỏ gói tin tấn cơng dựa việc phát hiện chuỗi gói tin PID tăng liên tục (nhưng lại có địa chỉ nguồn ngẫu nhiên, không trùng nhau) Đây những gói tin được coi giả mạo theo phân tích cơ sởđã nêutrước (mục 1-3)
Ở đây, sử dụng bảng dữ liệu khác nhau để lưu trữ một số thông tin cơ bản của gói tin gửi đến, như địa chỉ IP giá trị PID Các bảng
được tổ chức cho việc tìm kiếm hoặc đối chiếu có thể thực hiện rất nhanh(thời gian tìm kiếm có thể coi như hằng số).Từ đó quan hệ đặc biệt giữa gói tin, như chuỗi PID tăng dần, có thể phát hiện được thơng qua tìm kiếm, đối chiếu
Trong phần trình bày này, tập trung mô tả
về logic hoạt động của cơ chế thuật tốn, chứ khơng đi sâu mô tả cách thức triển khai cài đặt cụ thể bảng dữ liệu (sẽđược đề cập ở mục sau)
Trước hết chúng tơi trình bày cơ chế chung của giải pháp đề xuất tại IV.1; sau đó, IV.2 chúng tơi trình bày thuật tốn PID-Filter cho phép phát hiện dãy PID tăng nhằm loại bỏ gói tin tấn cơng.Một số
nhận xét phân tích sơ bộ (về mặt lý thuyết) được nêu tại mục IV.3
IV.1.Cơ chế giải pháp chung
Chúng đề xuất giải pháp chống tấn công SYN Flood để bảo vệ máy chủ bị tấn công bằng cách thực hiện đồng thời hai việc:
- Phát hiện địa chỉ IP nguồn tốt, đang thực sự
có nhu cầu kết nối, hay đã khởi tạo kết nối - Phát hiện gói tin giả mạo thông qua bộ lọc
PID-Filter
Để thực hiện ý đồ cơ bản này, sử dụng hai bảng dữ liệu lữu trữ địa chỉ IP nguồn (có thể kèm thơng tin bổ sung):
- Bảng I0 để lưu trữ địa chỉ IP nguồn sạch tích cực (đã kết nối, hoặc đang có nhu cầu khởi tạo kết nối thực sự), được sử dụng để cho phép
- Bảng I1 để lưu trữ thông tin địa chỉ IP nguồn, giá trị PID thời gian đến của những gói tin mà chưa xác định được gói tin bình thường (tốt) hay gói tin giả mạo (tấn cơng) Trong q trình kiểm tra sau đó, một địa chỉ
IP I1 được xác định sạch (âm tính), sẽđược chuyển sang I0
Sơđồ hoạt động cơ bản của giải pháp như Hình dưới đây:
Permit
I0 I1 PID-Filter
2 3 5 New Packet Found Not Found 1 Deny Not Found 4 Negative Positive
Hình Sơđồ phương pháp đề xuất
Có thể có những IP giả mạo (tạo ngẫu nhiên)trùng khớp với một địa chỉ IP sạch I0, nhưng xác suất trùng khớp nhỏ Để giảm thiểu ảnh hưởng của vấn đề trùng khớp này,mỗi IP bảngI0sẽ có ngưỡng thời gian sống nhất định, nếu sau ngưỡng đó mà hệ thống khơng nhận được kết nối thực từ IP đó IP sẽ bị xóa khỏi bảng I0
Một gói tin được xác định hợp lệ trường hợp sau (và đó sẽđược chuyển từ I1 sang I0): - Trường hợp có gói tin có địa chỉ IP nguồn đã
gửi đến hệ thống trước đó Trường hợp xảy khi một clientđã yêu cầu kết nối tới máy chủ
nhưng không được hồi đáp nên gửi lại yêu cầu kết nối, (cơ chế tcp retransmission[35]) Hệ thống có thể phát hiện sai gói tin giả mạo gói tin hợp lệ
trong trường hợp địa chỉ giả mạo của gói tin ngẫu nhiên trùng với một địa chỉ đó của gói tin đã gửi đến hệ thống trước đó Tuy nhiên xácxuất
Hình Sơ đồ phương pháp đề xuất
tin giả mạo gói tin hợp lệ trường hợp địa giả mạo gói tin ngẫu nhiên trùng với địa gói tin gửi đến hệ thống trước Tuy nhiên xác xuất trùng khớp 1/232 cho nguồn gửi gói tin giả mạo
◦ Trường hợp lệ sau khoảng thời gian δT (tham số
hệ thống chọn trước) cặp (IP, PID) I1
xác định âm tính qua xét nghiệm PID-Filter Mỗi gói tin gửi đến hệ thống xử lý theo bước sau
Bước 1: Kiểm tra địa IP nguồn gói tin có bảng I0 hay khơng? Nếu có cho gói tin vào hệ thống
(chuyển tiếp vào máy chủ); Nếu không sang bước
Bước 2: Kiểm tra IP nguồn có bảngI1 hay khơng?
Nếu có đưa thơng tin IP vào bảng I0 (cơ chế TCP
retransmission) cho phép gói tin vào hệ thống; Nếu không sang bước sau
Bước 3: Lưu thông tin (địa IP, giá trị PID, thời gian đến) gói tin thời vào bảngI1 Triệu gọi PID-Filter
với giá trị PID
Bước 4: Trong trình thực PID-Filter, có giá trị PID bị phát dương tính thơng tin gói tin tương ứng bị loại bỏ khỏi bảng I1(song song
với việc gói tin bị lọc bỏ, không vào tới máy chủ bên trong)
Bước 5: Nếu PID-Filter báo âm tính, thơng tin tương ứng với giá trị PID chuyển khỏi bảng I1 đưa vào
bảng I0
2 PID-Filter: Thuật toán phát dãy PID tăng liên tục
Mục đích thuật tốn phát dãy gói tin có PID tăng dần x0 =a, x1 = a+1, x2 =a+2, v.v., khoảng thời gian (rất ngắn) δT cho trước Thuật toán
sử dụng hai bảng liệu B0 B1 Bảng B0 để lưu PID
từ gói tin đến, coi có tiềm trở thành
điểm đầu x0 dãy tăng trên, cònB1 để lưu giá
trị thứ hai x1 (hoặc điểm cuối thời) dãy tăng
khi phát Các giá trị PID từ gói tin đến lọc qua PID-Filter Nếu giá trị đưa vào B0 suốt khoảng thời gian δT không bị phát
hiện thuộc vào dãy PID tăng PID-Filer trả kết “âm tính” (gói tin tương ứng chấp nhận), ngược lại bị báo “dương tính” Các gói tin tương ứng có giá trị PID dãy tăng bị loại bỏ
Các bước thực thuật toán sau:
1) Với gói tin SYN vừa đến, ta lấy giá trị x PID thực tìm kiếm x0 = x−1 bảng B0 Nếu thấy, xđược coi giá trị thứ hai
một dãy tăng lưu vào B1 để phát
gói tin có PID dãy tăng PID-Filter dừng (chưa báo kết dương tính với giá trị PID x0
và x mà chờ tiếp)
2) Tìm kiếmx1=x−1 bảngB1 Nếu thấy, xđược coi giá trị thứ (hoặc muộn nữa) dãy tăng Giá trị x1 đứng trước dãy tăng
Giá trị x cập nhật thay x1 B1 để
tiếp tục đợi gói tin có PID (thứ 4, 5, v.v.) dãy tăng PID-Filter dừng trả lại kết dương tính giá trị PID x x0
3) Tìm kiếm x0 = x−2 bảng B0 Nếu thấy, ta lưu xvào B1 xử lý tương tự bước Sở dĩ
làm ta coi gói tin có PID
x1=x−1đã bị thất lạc đến muộn sau PID-Filter dừng trả lại kết dương tính với giá trị PID x x0
4) Các bước tìm kiếm có kết khơng thấy: Ta coi x có tiềm điểm đầu x0
của dãy tăng cập nhật vào B0
Bên cạnh bước “xét nghiệm” trên, hoạt động then chốt khác thuật tốn tiếp tục kiểm tra bảng I1
(có thể chạy ngầm) để phát giá trị PID IP tương ứng đủ tuổi (δT) khỏi bảng mà không bị “liên đới”
với các phát dương tính có bước Điều có nghĩa giá trị x thực gói tin lành, khơng cịn bị nghi ngờ Các gói tin tương ứng báo âm tính
Để đảm bảo xác suất lỗi thấp (lọc bỏ nhầm) bảngB1cũng
cần làm tươi (refresh) liên tục Các giá trị PID cũ (có “tuổi” vượt ngưỡng δT) bị loại bỏ khỏi bảng
Thuật toán phương pháp mơ tả Thuật tốn
3 Mơ hình hệ thống
(6)Các cơng trình nghiên cứu phát triển Cơng nghệ Thơng tin Truyền thông
- -
Để đảm bảo xác suất lỗi thấp (lọc bỏ nhầm) bảng B1
cũng cần được làm tươi liên tục (refresh): giá trị
PID đã cũ (có “tuổi” vượt ngưỡng T) sẽ bị loại bỏ
ngay khỏi bảng
Thuật tốn của phương pháp được mơ tả như Hình dưới đây:
Hình Thuật tốn phương pháp đề xuất
IV.3.Mơ hình hệ thống
`
`
Attacker
Server Internet
Tab
Sniffer IF
Black list White list
User
DDosDefence Auth-IF
Hình 5.Mơ hình hệ thống triển khai xử lý tấn cơng DDoS
Phương pháp của không can thiệp, xử lý
trực tiếp kết nối mạng gửi đến máy chủ Phương pháp của cho phép xây dựng một danh sách
địa chỉ IP sạch (White-List) Khi tấn công DDoS xảy ra danh sách địa chỉ IP White-List sẽ được gửi
đến máy chủ hoặc thiết bị mạng để thực hiện sách khóa địa chỉ IP không nằm White-List này Danh sách địa chỉ IP White-List cũng liên tục cập nhật thông qua thuật tốn của chúng tơi Cụ
thể ở đây địa chỉ IP I0 sẽ được đưa vào
White-List Trong mơ hình trên, phương pháp của
chúng được cài đặt máy chủ DDoS Defence
Máy chủ có hai giao diện Một giao diện được sử
dụng để thu thập thông tin giao diện kết nối Internet của Router biên của hệ thống (Sniffer IF) sử
dụng thiết bị trích rút dữ liệu chuyên dụng (Network-Tap) nhằm không làm ảnh hưởng tới hoạt động của hệ
thống được bảo vệ Giao diện thứ hai được sử dụng để
gửi danh sách IP trongWhite-list đến máy chủ hoặc thiết bị mạng
IV.4.Phân tích thuật tốn
Sau đây, chúng tơi đưa một phân tích đánh giá về
giải phápnày góc độ lý thuyết
Ta phân tích về hoạt động của thuật tốn PID-Filter Giả sử một máy tính (máy bị điều khiển để tấn công DDoS – máy bot) tạo gửi một chuỗi gói tin SYN tấn công ký hiệu P0, P1, P2, P3, … với dãy giá
trị PID tăng dần Khoảng thời gian T được đặt đủ dài
hơn khoảng thời gian giữa hai gói tin P0 P3đến đích
(máy chủ bị tấn công) Nếu như đường truyền tốt khơng có đặc biệt xảy chuỗi gói tin sẽ đến
đúng theo thứ tự ban đầu, chúng sẽ lần lượt được cập nhật địa chỉ IP vào bảng I1, giá trị PID của P0 vào bảng
B0 (chỉ P0 tại bước 4), vào B1 (P1, P2, trở đi tại
bước 2) Tuy nhiên, nhận được P2, chuỗi gói tin
tấn cơng bị nhận diện nên địa chỉ IP tương ứng bị
loại bỏ khỏi bảng I1, đồng thời PID của P0 được loại
bỏ B0, PID của gói P1 tiếp theo cũng bị
loại bỏ B1, ngoại trừ của gói tin cuối (Pi) Hình Mơ hình hệ thống triển khai xử lý cơng DDoS
Thuật tốn 1:Thuật tốn phương pháp đề xuất
formỗi gói tin mớiP(i) If(SrcIP[P(i)] thuộc I0)
Cho phép P(i);
else if(SrcIP[P(i)] thuộc I1)
Thêm SrcIP[P(i)] vào I0
Loại SrcIP[P(i)] khỏi I1)
//Thực bước PID-Filter
else if(PID(x−1)[P(i)] thuộc B0)
Thêm PID(x)[P(i)] vào B1
//Thực bước PID-Filter
else if(PID(x−1)[P(i)] thuộc B1)
Cập nhậtB1[PID(x−1)[P(i)]] =B1[PID(x)[P(i)]]
Cảnh báo PID(x−1)[P(i)] PID(x−2)[P(i)] //Thực bước PID-Filter
else if(PID(x−2)[P(i)] thuộc B0)
Cập nhậtB1[PID(x−1)[P(i)]] =B1[PID(x)[P(i)]]
Cảnh báo PID(x−1)[P(i)] and PID(x−2)[P(i)] //Thực bước PID-Filter
else
Thêm PID(x)[P(i)] vào B0 end
end
Khi công DDoS xảy danh sách địa IP White-List gửi đến máy chủ thiết bị mạng để thực sách khóa địa IP không nằm White-List Danh sách địa IP White-List liên tục cập nhật thơng qua thuật tốn chúng tơi Cụ thể địa IP I0 đưa vào
White-List Trong mơ hình trên, phương pháp
cài đặt máy chủ DDoS Defence Máy chủ có hai giao diện Một giao diện sử dụng để thu thập thông tin giao diện kết nối Internet Router biên hệ thống (Sniffer IF) sử dụng thiết bị trích rút liệu chuyên dụng (Network-Tap) nhằm không làm ảnh hưởng tới hoạt động hệ thống bảo vệ Giao diện thứ hai sử dụng để gửi danh sách IP White-list đến máy chủ thiết bị mạng
4 Phân tích thuật tốn
Sau đây, chúng tơi đưa phân tích đánh giá giải pháp góc độ lý thuyết Ta phân tích hoạt động thuật tốn PID-Filter Giả sử máy tính (máy bị điều khiển để cơng DDoS - máy bot) tạo gửi chuỗi gói tin SYN công ký hiệu P0,P1,P2,P3, , với dãy giá trị PID tăng dần Khoảng thời gianδT đặt
đủ dài khoảng thời gian hai gói tinP0 vàP3 đến
đích (máy chủ bị công) Nếu đường truyền tốt đặc biệt xảy chuỗi gói tin đến theo thứ tự ban đầu, chúng cập nhật địa IP vào bảng I1, giá trị PID P0 vào bảngB0 (chỉ P0 bước 4), vào B1 (P1, P2, trở bước 2) Tuy
nhiên, nhận P2, chuỗi gói tin cơng bị nhận
diện nên địa IP tương ứng bị loại bỏ khỏi bảng I1,
đồng thời PID P0 loại bỏ B0, PID
các gói P1 bị loại bỏ B1, ngoại trừ
của gói tin cuối (Pi) lưu để tiếp tục phát
hiện gói tin cơng sau chuỗi (Pi+1, )
(7)trật tự gói tin đến thay đổi có gói tin thất lạc Nếu máy chủ nhận dãy gói tinP0,P1,P3, hayP0, P2,P3 (tức chỉ1gói bị thất lạc) chuỗi cơng
có thể bị phát hiện, nhiên có 2gói tin thất lạc trở lên số gói đầu khơng phát Đây coi điểm yếu cịn tồn thuật tốn, cần cải tiến nâng cao tương lai
Khi gói tin lẻ không phát thuộc dãy tăng (hoặc bị sót trường hợp cặp P0, P1, P2, P3 bị
thất lạc đến muộn) có thời gian tồn vượtδT
các thơng tin tương ứng bị loại khỏi B0,B1 vàI1nhưng
địa IP cập nhật vàoI0 - danh sách IP
coi tại3.
Sau chúng tơi phân tích lỗi nhầm lẫn xảy ngẫu nhiên Xác suất gói tin giả mạo may mắn chấp nhận (tức báo âm tính nhầm - False Negative) có địa IP tình cờ trùng khớp với địa I0 p0 =|I0| /232
Xác suất gói tin giả mạo có địa IP đưa vào I0 tình cờ trùng khớp địa I1 (tức
là coi tốt theo chế TCP retransmission - False Nagative) p1 =|I1| /232
Xác suất gói tin tốt có giá trị PID tình cờ lớn hơn1
so với giá trị B0 (tức báo dương tính nhầm
-False Positive) p2 =|B0| /216
Các xác suất nói ước lượng sau Giả sử thời điểm diễn cơng, có N máy công M máy khách hàng tốt tìm cách kết nối đến máy chủ Nếu giả định số lượng trục trặc truyền tin mạng (gói tin thất lạc vịng lâu nhiều) đủ nhỏ ta dễ thấy: |I0| ≈ M, |I1| ≤ M+3N,
|B0| ≈N và|B1| ≤2N Các ước lượng về|I1|,|B0| và|B1|
có theo phân tích q trình hoạt động PID-Filter dễ thấy thời điểm có từ2 đến3
gói tin chuỗi tăng (phát từ máy bot) ghi nhận I1
Bảng I minh họa cho phân tích ước lượng Con số máy tham gia công giả định từ cấp độ qui mô trung bình (từ 1.000 đến 2.000) đến cao (lớn 10.000), dựa báo cáo qui mô cơng SYN thường thấy Có thể thấy xác suất lỗi bỏ sót (âm tính sai) nhỏ, xác suất lỗi báo nhầm công (dương tính sai) lớn đáng kể qui mô số máy công lớn cỡ10.000 trở lên
V ĐÁNH GIÁ THỰC NGHIỆM BAN ĐẦU
Trong triển khai cài đặt, lựa chọn giá trị δT ≈1–2 ms, cho phép theo dõi chuỗi gói
3Chỉ phạm vi chế đề xuất Bên cạnh
đó, vành đai kiểm sốt khác Firewall kiểm sốt danh sách IP khác, hoạt động độc lập
Bảng I
QUI MÔ TẤN CÔNG GIẢ ĐỊNH VÀ XÁC SUẤT LỖI Giá trị giả định Xác suất nhận được
M N |I1| |B1| P0 P1 P2
1.000 1.000 4.000 2.000 2,3E-07 0,93E-06 1,5% 1.500 2.000 7.500 4.000 3,5E-07 1,74E-06 3% 2.000 4.000 14.000 8.000 4,7E-07 3,25E-06 6% 2.500 8.000 26.500 16.000 5,8E-07 6,17E-06 12% 3.000 16.000 51.000 32.000 7,0E-07 11,8E-06 24%
tin tăng PID phát từ máy bot có băng thơng cơng vào cỡ chỉ1Mb, tức coi vào loại nhỏ đáng kể (nếu băng thơng cơng nhỏ ta coi bé nên không cần quan tâm nữa) Các bảng lưu trữ cài đặt cấu trúc liệu mảng ghi đơn giản
Theo nghiên cứu mà chúng tơi đề cập mục II, nghiên cứu không sử dụng liệu mẫu chung để đánh giá thực nghiệm Tập liệu kiểm thử DARPA Viện MIT có liệu kiểm thử cho số dạng công Dos/DDoS, nhiên tập liệu lại khơng có liệu kiểm thử cho dạng công SYN Flood có đề cập tới [16]
Do đó, nghiên cứu này, sử dụng liệu thử nghiệm tự thu thập từ cơng SYN Flood mơi trường thực với336.671 gói tin ghi nhận (thời điểm lấy mẫu hệ thống tải dừng hoạt động số nói trên) Theo đánh giá chuyên gia, coi tồn gói tin mà chúng tơi thu thập gói tin giả mạo, số lượng gói tin thực có chiếm tỷ lệ nhỏ, khơng đáng kể Mỗi gói tin thu được, chúng tơi thu thập thơng tin: thời gian đến gói tin (timestamp), địa IP nguồn (Src IP), cờ trạng thái kết nối (flag) giá trị PID
Kết thực nghiệm đưa Bảng II, bao gồm giá trị sau: Số lượng gói tin mẫu thử nghiệm (#Packets), số lượng gói tin giả mạo phát (#Detected Packets), số lượng chuỗi có PID tăng dần tạo (#PID-Groups) tỷ lệ (Rate) gói tin giả mạo phát Các kết cho thấy tỉ lệ phát cao
VI KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN