Đang tải... (xem toàn văn)
Mục đích của Luận văn này là nghiên cứu giải pháp BGP FLOWSPEC nhằm ngăn chặn các cuộc tấn công DdoS giúp cho hệ thống mạng của đơn vị hoạt động an toàn và ổn định. Mời các bạn cùng tham khảo chi tiết Luận văn!
HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG Lương Hịa Cương NGHIÊN CỨU GIẢI PHÁP BGP FLOWSPEC ĐỀ XUẤT ÁP DỤNG CHO HỆ THỐNG MẠNG CHUYÊN NGÀNH: HỆ THỐNG THÔNG TIN MÃ SỐ : 8.48.01.04 TÓM TẮT LUẬN VĂN THẠC SĨ (Theo định hướng ứng dụng) Hà Nội - 2019 Luận văn hồn thành tại: HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG Người hướng dẫn khoa học: PGS.TS TRẦN QUANG ANH (Ghi rõ học hàm, học vị) Phản biện 1: ………………………………………………………… Phản biện 2: ………………………………………………………… Luận văn bảo vệ trước Hội đồng chấm luận văn thạc sĩ Học viện Cơng nghệ Bưu Viễn thơng Vào lúc: ngày tháng năm Có thể tìm hiểu luận văn tại: - Thư viện Học viện Công nghệ Bưu Viễn thơng MỞ ĐẦU Lý chọn đề tài Trong năm gần đây, hình thức công DDoS thường hacker sử dụng để công, gây tê liệt, gián đoạn hệ thống mạng, dịch vụ Theo khảo sát năm 2016, có công dai dẳng kéo dài lên đến 48.5 đạt tới tần suất lớn 200 Gbit giây Tấn công từ chối dịch vụ kiểu công gây cạn kiệt tài nguyên hệ thống gây nghẽn đường truyền, làm ngắt quãng trình cung cấp dịch vụ, tệ làm tồn hệ thống ngừng hoạt động Hiện tại, hệ thống mạng đơn vị sử dụng giao thức BGP để định tuyến, kết nối Internet nước, quốc tế Do đó, việc nghiên cứu, áp dụng kỹ thuật BGP FlowSpec để đối phó, hạn chế nguy công DDos nhằm vào hệ thống mạng đắn, cần thiết Mục đích nghiên cứu Mục đích đề tài nghiên cứu giải pháp BGP FLOWSPEC nhằm ngăn chặn công DdoS giúp cho hệ thống mạng đơn vị hoạt động an toàn ổn định Đối tượng phạm vi nghiên cứu Đối tượng: Các đơn vị cung cấp dịch vụ Phạm vi: Áp dụng giải pháp BGP FLOWSPEC nhằm ngăn chặn công Ddos Phương pháp nghiên cứu Nghiên cứu lý thuyết, trạng đơn vị đề xuất áp dụng cho mơ hình mạng đơn vị CHƯƠNG 1: PHÂN TÍCH HIỆN TRẠNG NHU CẦU PHỊNG CHỐNG TẤN CƠNG TỪ CHỐI DỊCH VỤ MẠNG 1.1 Hiện trạng hệ thống mạng 1.1.1 Tổng quan mạng Kết nối kênh riêng site VNNIC Kết nối Internet nước Kết nối Internet nước, quốc tế ISP Site Tân Thuận ASN 24066 Site Yên Hòa - Hòa Lạc ASN 23902 RGW-Net124-TT-01 RGW-Net72-HL-01 117.122.124.0/22 203.119.72.0/22 ISP RGW-Net36-TT-01 RGW-Net8-HL-01 203.119.36.0/22 203.119.8.0/22 VNIX Hà Nội ASN 23899 VNIX TP.HCM ASN 23962 218.100.10.0/24 218.100.14.0/24 RGW-Net68-HCM-01 RGW-Net60-HN-01 Site VNPT-Net HN ASN 38736 Site VNTT HCM ASN 38737 RGW-Net64-AD-01 203.119.64.0/22 203.119.68.0/22 203.119.60.0/22 RGW-Net44-DN-01 HÀ NỘI HỒ CHÍ MINH Site VNPT-Net DN ASN 24089 Site An Đồn ASN 131415 203.119.44.0/22 An Đồn VNIX Đà Nẵng ASN 56156 218.100.60.0/24 ĐÀ NẴNG Hình 1.1: Sơ đồ thiết kế tổng quan hệ thống mạng VNNIC 1.1.2 Hiện trạng hệ thống an toàn an ninh mạng VNNIC Hiện tại, phân mạng VNNIC chủ yếu bảo vệ hệ thống kiểm sốt an tồn an ninh sau: Các hệ thống tường lửa: kiểm soát luồng lưu lượng vào/ra phân mạng Các hệ thống phát ngăn chặn bất hợp pháp: - Tính IDP firewall Juniper SRX: phát ngăn chặn bất hợp pháp - Hệ thống Firepower/FightSight firewall Cisco ASA 5525: phát ngăn chặn xâm nhập bất hợp pháp Tính Botnet Traffic Fitering: phát ngăn chặn malware (mã độc) Hệ thống FireEye: phát ngăn chặn mã độc cho mạng OFFICE Hệ thống TrendMicro: phát ngăn chặn Virus cho mạng OFFICE 1.1.3 Hiện trạng phòng chống công DDoS mạng VNNIC Kết luận: Hiện hệ thống mạng VNNIC trang bị nhiều hệ thống, công cụ an toàn an ninh tương đối toàn diện thiếu giải pháp phòng chống nguy cơng từ chối dịch vụ DDoS: Chưa có phương án rõ ràng nhằm phát sớm công DDoS Thiếu giải pháp nhằm phân tích, xác định đặc điểm luồng lưu lượng công DDoS Năng lực thiết bị lớp biên mạng, thiết bị mạng lõi nâng cấp chưa đồng đều, chủ yếu tập trung phân mạng dịch vụ 1.2 Nhu cầu triển khai phịng chống cơng DDoS cho mạng VNNIC 1.2.1 Tình hình cơng DDoS giới Hình 1.2: Phân bố diễn công DDoS theo qc gia Hình 1.5: Tỉ lệ máy bị nhiễm botnet theo hđh Window & Linux 1.2.2.Tình hình cơng DDoS Việt Nam Hình 1.8: Thống kê tỉ lệ công DDoS theo quốc gia năm 2016 1.2.3.Phân tích nhu cầu Hình 1.9: Tấn cơng SYN attack mạng VNNIC Kết luận: Qua phân tích nêu nguy xảy công DDoS nhằm vào hệ thống mạng VNNIC rõ ràng Do đó, nhu cầu nghiên cứu, triển khai giải pháp kỹ thuật nhằm phát hiện, phòng chống công DDoS phù hợp cho hệ thống mạng Trung Tâm cấp bách cần thiết Giải pháp phòng chống DDoS cho hệ thống mạng VNNIC cần đáp ứng tiêu chí sau đây: Triển khai đồng giải pháp phịng chống cơng DDoS tất site thuộc mạng VNNIC Thời gian xử lý (phát hiện, cảnh báo, ngăn chặn) nhanh Giải pháp phải đồng bộ, tổng thể, từ phát đến ngăn chặn, giảm nhẹ công xảy CHƯƠNG 2: NGHIÊN CỨU TỔNG QUAN HÌNH THỨC TẤN CƠNG TỪ CHỐI DỊCH VỤ VÀ KỸ THUẬT BGP FLOWSPEC 2.1 Tấn công từ chối dịch vụ 2.1.1 Khái niệm Tấn công từ chối dịch vụ (Denial of Service - DoS) hay công từ chối dịch vụ phân tán (Distributed Denial Of Service – DDoS): Tấn cơng từ chối dịch vụ hình thức cơng mà kẻ công (hacker) cố gắng nhằm ngăn cản người dùng sử dụng thông tin dịch vụ cách làm tải tài nguyên hệ thống (máy tính, máy chủ, hệ thống mạng, đường truyền, thiết bị mạng, DNS, Web, mail…) 2.1.2 Cơ chế hoạt động Các công DDoS thường diễn theo chế gồm giai đoạn sau: a) Giai đoạn 1: Chuẩn bị b) Giai đoạn 2: Xác định mục tiêu thời điểm c) Giai đoạn 3: Phát động công xóa dấu vết 2.1.3 Kiến trúc, mơ hình cơng DDoS Mặc dù có nhiều dạng cơng DDoS ghi nhận, chia kiến trúc cơng DdoS thành loại chính: Kiến trúc công DDoS trực tiếp Kiến trúc cơng DDoS gián tiếp hay phản chiếu Hình 2.1: Kiến trúc cơng DDoS trực tiếp Các vai trị kiến trúc công DDoS trực tiếp: Attacker Handler Zoombie Victim Hình 2.2: Kiến trúc cơng DDoS gián tiếp Các vai trị công DdoS gián tiếp: Attacker Master Slave Reflector Victim 2.1.4 Phân loại công DDoS STT Tiêu chí Phân loại theo phương pháp công Phân loại Tấn công gây ngập lụt: SYN flood… Tấn công Logic: TCP SYN… Phân loại theo mức độ tự động Tấn công thủ công Tấn công bán tự động Tấn công tự động Phân loại theo mơ hình OSI Tấn cơng tầng mạng: ICMP flood, ICMP Fragmentation flood, IP Null… Tấn công tầng vận chuyển: SYN-ACK flood, UDP Flood, UDP Fragmentation, TCP Null… Tấn công tầng ứng dụng: DNS Flood, DNS Amplified, HTTP Fragmentation… Phân loại theo phương thức giao tiếp DDoS dựa agent-handler Master Bot DDoS dựa IRC DDoS dựa Web DDoS dựa P2P Phân loại dựa cường độ công Tấn công cường độ cao Tấn công cường độ thấp Tấn công cường độ thay đổi Tấn công cường độ hỗn hợp Tấn công cường độ hỗn hợp Phân loại dựa việc khai thác Tấn công gây cạn kiệt băng thông: lỗ hổng an ninh volumetric attack Tấn công gây cạn kiệt tài nguyên: ping of death Bảng 2.1: Phân loại hình thức cơng DDoS 2.1.5 Các biện pháp phịng chống cơng DDoS a) Triển khai biện pháp phịng chống cơng DDoS theo vị trí b) Triển khai biện pháp phịng chống DDoS theo mơ hình OSI c)Triển khai biện pháp phòng chống DDoS theo thời điểm hành động Kết luận: Qua nghiên cứu giải pháp ngăn chặn, giảm nhẹ cơng DDoS nhóm đề tài nhận thấy để phịng chống DDoS hiệu cho hệ thống mạng VNNIC hệ thống KTDV liên quan cần: Triển khai kết hợp đồng thời nhiều biện pháp kỹ thuật khác Triển khai toàn diện theo chiến lược cụ thể Tự triển khai giải pháp ngăn chặn, giảm nhẹ Tự triển khai phân tán dịch vụ cho phép 2.2 Tấn công từ chối dịch vụ mạng 2.2.1 Quá trình diễn cơng DDoS mạng Hình 2.3: Q trình diễn cơng DDoS 2.2.2 Các phương pháp phịng chống DDoS mạng truyền thống a) Kỹ thuật ACL: Kỹ thuật ACL đơn giản sử dụng access list router biên ISP mạng doanh nghiệp để chặn lưu lượng DDoS theo nguồn đích Kỹ thuật có nhiều hạn chế sau: Thời gian đáp ứng thấp phải triển khai Router biên Không linh hoạt Router biên phải xử lý chặn lưu lượng DDoS ACL gây ảnh hưởng đến hiệu router biên b) Kỹ thuật D/RTBH (Destination Remotely Triggered Black Hole): Hình 2.4: Kỹ thuật D/RTBH Ưu điểm: Triển khai nhanh chóng, đồng thời, tự động đến router biên Thời gian đáp ứng nhanh (trong chu kỳ gửi tin BGP update) Nhược điểm: Mọi traffic hướng đến mục tiêu bị loại bỏ, bao gồm traffic hợp lệ c) Kỹ thuật S/RTBH (Source Remotely Triggered Black Hole): Hình 2.5: Kỹ thuật S/RTBH Kết luận: 10 Juniper DDoS Secure 5.14.2-0 Netflow BGP Flowspec Client (router Alcatel-Lucent SR OS 9.0R1 biên) Juniper JUNOS 7.3 Các dịng Cisco ASR CSR có OS hỗ trợ (5.2.0 trở lên) BGP Flowspec Controller Arbor Peakflow SP 3.5 ExaBGP sFlow-RT Cisco ASR 9000 Bảng 2.3:Các dịng sản phẩm hỗ trợ BGP Flowspec 2.3.2 Mơ hình, ngun lý hoạt động BGP Flowspec 2.3.2.1 Mơ hình Hình 2.6: Mơ hình hoạt động BGP Flowspec BGP Flowspec hoạt động theo mơ hình Server – Client hình vẽ bên Theo đó, thiết bị quản lý tập trung đóng vai trị làm BGP Flowspec Server Các router biên mạng doanh nghiệp, mạng ISP đóng vai trị làm BGP Flowspec Client BGP Flowspec Server BGP Flowspec Client cấu hình flowspec peering với xác định rõ vai trò Kỹ thuật BGP Flowspec hoạt động với mơ hình intra-domain interdomain: 2.3.2.2 Ngun lý hoạt động 11 Hình 2.9: Mơ hình ngun lý hoạt động BGP Flowspec 2.3.3 Q trình mã hóa Flowspec Rule tin BGP Update 2.3.3.1 Nhắc lại tin BGP Update Như biết, tin BGP Update BGP peer trao đổi với có thay đổi tuyến đường (route) bảng định tuyến Bản tin BGP Update chứa thông tin chủ yếu sau đây: Unfeasible Routes Lenth (2byte): độ dài trường Widrawn Routes phía sau Widrawn Routes (độ dài thay đổi): chứa thông tin route không đến mà BGP speaker muốn thông báo cho BGP neighbor Khi nhận được, BGP neighbor loại bỏ route khỏi bảng định tuyến Total Path Attribute Lenth (2 byte): độ dài trường Path Attributes phía sau Path Attributes (độ dài thay đổi): chứa thơng tin thuộc tính tuyến đường (path) Các thuộc tính sử dụng trình lựa chọn tuyến đường tốt từ BGP table cập nhật vào bảng định tuyến NLRI (Network Layer Reachability Information ): Danh sách IP prefix đến thơng qua tuyến đường Định dạng cụ thể tin BGP Update thông thường quy định RFC 4760 sau: Hình 2.10: Định dạng tin BGP Update 12 2.3.3.2 Mã hóa flow specification trường NLRI Theo RFC 4760, trường NLRI định dạng MP_REACH_NLRI MP_UNREACH_NLRI bao gồm trường NLRI length có độ dài 1-2 octet; theo sau trường NLRI value có độ dài thay đổi Hình 2.11: flowspec NLRI Nếu độ dài NLRI value < 240 bit trường NLRI length mã hóa octet tương ứng với chữ số hexa (0xnn) Nếu độ dài NLRI value >= 240 bit trường NLRI length mã hóa sử dụng chữ số hexa (0xfnnn) Mã hóa Flow specification NLRI type bao gồm thành phần sau đây, thành phần tương ứng với tiêu flow specification Một gói tin coi khớp với flow specification khớp với tất thành phần Có tất 12 loại thành phần liệt kê bảng sau đây: Các thành phần phải tuân thủ nghiêm ngặt thứ tự type Mã hóa xếp type theo thứ tự từ type type 12 2.3.3.3 Mã hóa Action thuộc tính Community Mặc định, hành động áp dụng với lưu lượng khớp với flow specification cho phép Các giá trị thuộc tính mở rộng Community sau sử dụng để hành động áp dụng với flow specifcation: 2.3.4 Kỹ thuật điều hướng lưu lượng BGP Flowspec Kỹ thuật Diversion hay Offramping: định tuyến lại lưu lượng, thay đến trực tiếp máy chủ dịch vụ bị cơng chuyển hướng đến Scrubbing Center Kỹ thuật Diverson thường thực cách quảng bá BGP prefix (chưa địa máy chủ bị cơng) cụ thể bảng định tuyến tồn cầu hay sử dụng Khi đó, lưu lượng (cả hợp lệ, khơng hợp lệ) có đích đến máy chủ, dịch vụ bị công bị điều hướng đến Scrubbing Center Kỹ thuật Reinjection hay Onramping: điều hướng lưu lượng từ Scrubbing Center quay trở lại đích đến ban đầu Kỹ thuật Reinjection thường sử dụng đường hầm VRF để chuyển hướng lưu lượng lại đích dự kiến mà khơng bị loop 13 Hình 2.12: Kỹ thuật điều hướng lưu lượng BGP Flowspec So sánh kỹ thuật BGP Flowspec kỹ thuật phòng chống DDoS mạng truyền thống Sau nghiên cứu, tìm hiểu chuyên sâu kỹ thuật BGP Flowspec; nhóm đề tài thực so sánh, đánh giá ưu điểm kỹ thuật so với kỹ thuật phịng chống cơng DDoS mạng truyền thống (ACL, S/RTBH, D/RTBH) STT Tiêu chí ACL RTBH Flowspec Hiệu Cao Thấp Cao Số bước thực Nhiều bước 3 Lưu lượng hợp lệ Cho phép Block Cho phép Lưu lượng công Block Block Block Thời gian xử lý Mất nhiều thời gian Không Không Độ chi tiết Cao Thơ Cao Hành động xử lý Ít Ít Nhiều Điều hướng lưu Khơng Khơng Có lượng Bảng 2.6: So sánh BGP flowspec với ACL, RTBH Như vậy, rõ ràng BGP Flowspec có ưu điểm vượt trội so với kỹ thuật phịng chống cơng DDoS truyền thống 2.4 Một số giải pháp áp dụng kỹ thuật BGP Flowspec phòng chống DDoS 2.4.1 Giải pháp áp dụng mã nguồn mở ExaBGP a) Giới thiệu b) Mô hình ngun lý Hình 2.13: ExaBGP hoạt động theo mơ hình inter-domain 14 Hình 2.14: ExaBGP hoạt động theo mơ hình intra-domain c) Cài đặt, cấu hình: Để triển khai công cụ ExaBGP làm Flowspec Controller; cài đặt cơng cụ sau: • wget https://github.com/Exa-Networks/exabgp/archive/3.4.5.tar.gz • tar zxvf 3.4.5.tar.gz • cd exabgp-3.4.5 • chmod +x setup.py • /setup.py install Tiếp theo cần chỉnh sửa file config File config bao gồm: - Thiết lập mối quan hệ BGP flowspec peering với router biên Từ đó, ExaBGP Server điều khiển router biên cd usr/local/data/exabgp/configs sudo nano flowspec-conf.txt neighbor 203.119.72.160 { router-id 203.119.72.159; ## Địa flowspec neighbor router ## Địa Exa BGP Server local-address 203.119.72.159; local-as 12346; peer-as 12346; - Cấu hình Flowspec rule dạng static dynamic Trong trường hợp cấu hinh tĩnh Flowspec rule file config, lần thay đổi rule thiết lập lại mối quan hệ Flowspec peering Ngược lại, trương hợp sử dụng script động dynamic.sh; thay đổi inject Flowspec rule mà không ảnh hưởng đến Flowspec peering (Tham khảo phần hướng dẫn cấu hình chi tiết phụ lục) 15 2.4.2 Giải pháp thương mại Arbor, Cisco kết hợp a) Lý lựa chọn giải pháp Hình 2.15: Đánh giá Gartner giải pháp phịng chống DDoS b) Ngun lý hoạt động Hình 2.16: Nguyên lý hoạt động giải pháp Arbor c) Các thành phần giải pháp Peakflow giải pháp tổng thể Arbor nhằm phân tích mạng, đồng thời phát giảm nhẹ công DDoS Do đó, giải pháp bao gồm nhiều chức nhiều thiết bị phần cứng để thực chức Hình 2.17: Các thành phần giải pháp Arbor Peakflow 16 Peakflow SP: Chức BGP Flowspec Controller Điều khiển toàn hệ thống quản lý giao tiếp chúng Hiển thị giao diện GUI Nhận thông tin Netflow định tuyến từ router Phân tích liệu để phát bất thường đưa cảnh báo Tạo tuyến Diversion Reinjection thông qua BGP/BGP Flowspec Xác định biện pháp đối phó thích hợp (Flowspec Rule) lập trình biện pháp vào card TMS Nhận thống kê, mẫu lưu lượng từ TMS hiển thị GUI Quản lý license hệ thống Hình 2.18: Giao diện GUI Peakflow Peakflow Threat Management System (TMS): Chức Scrubber Device Nhận biện pháp đối phó lập trình sẵn từ SP Triển khai biện pháp đối phó để loại bỏ traffic cơng Chuyển tiếp traffic hợp lệ đến đích thơng thường Gửi thống kê Peakflow SP Capture mẫu gói tin gửi Peakflow SP Peakflow TMS cài đặt card VMS Cisco ASR 9K, đồng thời kết hợp với thiết bị TMS phần cứng Arbor Vì đóng vai trị scrubber device, TMS phải có hiệu lớn tương ứng với dung lượng cơng DDoS (volume) Theo đó, hiệu phần cứng phải đáp ứng cơng lớn dự đoán Router Cisco ASR 9K: 17 2.4.3 So sánh lựa chọn giải pháp Sau nghiên cứu kỹ giải pháp nêu trên, nhóm đề tài thực so sánh giải pháp theo tiêu chí cụ thể: STT Tiêu chí Giải pháp ExaBGP Chi phí Mã nguồn mở, miễn phí Tn thủ RFC 5575 Có Tự động phát Không cảnh báo công DDoS Phân tích lưu lượng để Khơng tìm nguồn cơng Thiết lập hành động Có xử lý, ngăn chặn lưu lượng DDoS Thực điều hướng Thủ công lưu lượng Thực làm lưu Không lượng Giao diện Dịng lệnh Phù hợp với mạng Có (phần mềm ExaBGP VNNIC tương tác với router mạng VNNIC ASR 100; ASR 1001-X) Giải pháp Arbor Thương mại, phí Có Có (thiết lập ngưỡng baseline tự động gửi cảnh báo) Có (tích hợp sẵn Netflow) Có Tự động Có (phần mềm TMS card VMS) GUI Không (giải pháp Arbor Peakflow muốn triển khai đầy đủ phải nâng cấp lên router Cisco ASR 9000) Hình 2.19: So sánh giải pháp BGP Flowspec Kết luận: Qua nghiên cứu, so sánh giải pháp bên nhóm đề tài nhận thấy giải pháp hỗ trợ, hoạt động theo kỹ thuật BGP flowspec mơ tả RFC 5575 Trong đó, giải pháp Arbor tổng thể, tồn diện hơn; bao gồm q trình từ phát hiện, phân tích, xử lý đến làm lưu lượng công DDoS Tuy nhiên hạn chế giải pháp chưa phù hợp với hệ thống mạng VNNIC (sử dụng dòng Cisco ASR 1001; 1001-X làm router biên); muốn triển khai phải nâng cấp router biên lên dòng Cisco ASR 9000; chi phí đầu tư, cần tiếp tục thử nghiệm thực tế để đánh giá hiệu so với chi phí cần đầu tư Trong đó, cơng cụ ExaBGP đáp ứng q trình xử lý cơng DDoS kỹ thuật Flowspec sau phát công xảy Cơng cụ ExaBGP miễn phí tiến hành triển khai Do đó, nhóm đề tài đề xuất trước mắt triển khai giải pháp sử dụng công cụ ExaBGP nhằm ngăn chặn, xử lý công DDoS cho mạng VNNIC; giải pháp Arbor cần tiếp tục nghiên cứu thử nghiệm thêm 18 CHƯƠNG 3: TRIỂN KHAI THỬ NGHIỆM, ĐỀ XUẤT ÁP DỤNG KỸ THUẬT BGP FLOWSPEC CHO HỆ THỐNG MẠNG 3.1 Triển khai thử nghiệm 3.1.1 Mục tiêu thử nghiệm - Thử nghiệm áp dụng kỹ thuật BGP Flowspec nhằm ngăn chặn luồng lưu lượng công DDoS sau phát Hệ thống thử nghiệm mô theo mô hình hệ thống mạng VNNIC - Thử nghiệm hoạt động công cụ mã nguồn mở ExaBGP với vai trò làm BGP Flowspec Controller - Đánh giá kết thử nghiệm làm đề xuất giải pháp áp dụng cho mạng VNNIC 3.1.2 Mơ hình thử nghiệm ASN 12345: đại diện cho mạng phía ISP ASN 12346: đại diện cho mạng VNNIC PC (Botnet) RGW ISP 172.16.239.0/24 Gi0/1 RGW VNNIC (ASR 1001) Flowspec Client 172.16.241.0/24 eBGP 172.16.240.0/24 Gi0/0 Gi0/0 w Flo P BG t ec inj HL 72 le Ru ec e pe p ws t Ne &D ec sp Flo gR ạn g rin X Gi0/1 Gi0/2 203.119.72.159/26 M Lưu lượng công DDoS PC (Máy chủ mục tiêu) 203.119.72.160/26 ISP Network (AS 12345) Flowspec Controller (Exa BGP) VNNIC Network (AS 12346) Hình 3.1: Mơ hình thử nghiệm BGP Flowspec Hệ thống thử nghiệm bao gồm thành phần liệt kê chi tiết bảng bên Máy tính PC-02 phải kết nối Internet (Ở mô cách PC-02 phải ping PC-01) 19 Các client Internet sử dụng dịch vụ PC-02 cung cấp (Ở mô cách PC-01 ping PC-02) 3.1.3 Triển khai thử nghiệm: Bước 1: Cấu hình RGW VNNIC: (tham khảo chi tiết phụ lục 02) - Cấu hình interface - Cấu hình eBGP peering với RGW ISP & quảng bá prefix 172.16.241.0/24 - Cấu hình BGP flowspec peering với máy chủ ExaBGP: configure terminal router bgp 12346 neighbor 203.119.72.160 remote-as 12346 address-family ipv4 flowspec neighbor 203.119.72.160 activate exit Bước 2: Cấu hình RGW ISP: (tham khảo chi tiết phụ lục 02) - Cấu hình interface - Cấu hình eBGP peering với RGW VNNIC & quảng bá prefix 172.16.239.0/24 Bước 3: Cài đặt PC-01; PC-02: - Cài đặt hệ điều hành Window 10 - Cấu hình địa IP, Default Gateway tương ứng Bước 4: Cài đặt, cấu hình máy chủ ExaBGP: tham khảo phụ lục 01 - Cài đặt hệ điều hành Ubuntu - Cấu hình địa IP cho cổng kết nối - Cài đặt cơng cụ ExaBGP 3.4.5 - Cấu hình BGP flowspec peering với RGW VNNIC cách chỉnh sửa file config.txt cd usr/local/data/exabgp/configs sudo nano flowspec-conf.txt neighbor 203.119.72.160 { ## Địa flowspec neighbor router router-id 203.119.72.159; ## Địa Exa BGP Server local-address 203.119.72.159; local-as 12346; peer-as 12346; - Cấu hình sẵn script dynamic.sh cho phép cập nhật động flowspec rule #!/bin/sh # ignore Control C # if the user ^C exabgp we will get that signal too, ignore it and let exabgp send us a SIGTERM trap '' SIGINT 20 # command and watchdog name are case sensitive while `true`; echo "announce flow route {\\n match {\\n source 40.40.40.1/32;\\n destination 40.40.50.1/32;\\n }\\n then {\\n discard;\\n }\\n }\\n" sleep 10 echo "announce flow route {\\n match {\\n source 80.80.80.1/32;\\n destination 80.80.80.1/32;\\n }\\n then {\\n discard;\\n }\\n }\\n" Done Kết quả: - Các phiên BGP peering UP; RGW nhận prefix peer quảng bá - PC-01 & PC-02 ping 3.1.4 Kịch thử nghiệm Sau hệ thống thử nghiệm xây dựng xong; bình thường PC-01 kết nối tới PC-02: Tiến hành cấu hình exaBGP điều khiển RGW VNNIC Flowpsec rule: thực drop lưu lượng đến từ vùng địa PC-01 (tham khảo chi tiết phụ lục 01) echo "announce flow route {\\n match {\\n source 172.16.239.2/32;\\n destination 172.16.241.2/32;\\n }\\n then {\\n discard;\\n }\\n }\\n" Kiểm tra RGW-VNNIC thấy nhận flowspec rule thông qua tin BGP Update từ ExaBGP: RGW-VNNIC#show flowspec ipv4 AFI: IPv4 Flow :Dest:172.16.241.2/32,Source:172.16.239.2/32 Actions :Traffic-rate: bps (bgp.1) RGW-VNNIC#show bgp ipv4 flowspec sum | begin Neighbor Neighbor Spk AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down St/PfxRcd 172.16.240.1 200 161 49 0 00:20:52 21 Thử lại từ PC-01 không gửi lưu lượng đến PC-02 nữa; luồng lưu lượng công DDoS từ PC-01 bị chặn RGW VNNIC: 3.1.5 Kết thử nghiệm a) Kết quả: b) Đánh giá: c) Đề xuất: 3.2 Đề xuất áp dụng kỹ thuật BGP Flowspec cho hệ thống mạng VNNIC 3.2.1 Giải pháp đề xuất Để phịng chống cơng DDoS cách hiệu cho hệ thống mạng VNNIC sau trình nghiên cứu, thử nghiệm; nhóm thực đề tài đề xuất giải pháp tổng thể sau: a) Triển khai biện pháp phòng ngừa b) Triển khai hệ thống giám sát, phát công DDoS cho mạng VNNIC STT RGW Interface Lưu lượng max Ngưỡng cảnh báo RGW-Net8-HL-01 Gi0/1 28.53 Mbps 100 Mbps RGW-Net72-HL-01 Te0/0/0 94 Mbps 150 Mbps RGW-Net64-AD-01 Gi0/0/0 8.14 Mbps 50 Mbps RGW-Net36-TT-01 Gi0/0/0 39.55 Mbps 100 Mbps RGW-Net117-TT-01 Te0/0/0 14 Mbps 100 Mbps Bảng 3.2: Ngưỡng cảnh báo thiết lập cho phân mạng c) Triển khai hệ thống phân tích lưu lượng, truy tìm nguồn cơng 22 Hình 3.2: Áp dụng cơng cụ Splunk thực PTLL qua firewall d) Triển khai quy trình, hệ thống xử lý, ngăn chặn cơng xảy e) Triển khai xử lý sau công 3.2.2 Mơ hình đề xuất - Exa BGP Server: máy chủ cài đặt cơng cụ ExaBGP, đóng vai trị làm BGP Flowspec Controller - Các RGW phân mạng: sử dụng dịng thiết bị hỗ trợ, đóng vai trò làm BGP Flowspec Client - BGP Flowpsec peering can thiệp vào sách định tuyến nên cần triển khai ASN (nội vùng) - Nếu Exa BGP triển khai tập trung, trường hợp bị cơng DDoS bị kết nối, khơng thể tác động đến RGW từ xa Ghi VIETTEL AS No 7552 Kết nối quốc tế (eBGP) RGW VIETTEL Kết nối nước (eBGP) eBGP VNPT-Net AS No 45899 eBGP RGWv6-01 eB GP RGW VNPT-Net eBGP GB eB VNIX eBGP RGW-01/02 10.10.100.Y/24 Rule Phân mạng quản lý điều hành BG PF inje ct ct inje ing eer ec p wsp Rule Flo BGP VNNIC HCM AS 24066 10.10.100.Z/24 P eBG eer ing Phân mạng dịch vụ RS-VNIX-01/02 RGW-01/02 low sp e cp VNNIC DN AS 131415 Thông tin Flow Specification Hệ thống giám sát, phát công DDoS NOC/SOC Exa BGP Server 10.10.100.X/24 Hình 3.3: Mơ hình đề xuất triển khai giải pháp BGP Flowpsec cho mạng VNNIC - Không cần thiết phải kết nối Internet để đảm bảo an toàn an ninh Cho phép truy cập ssh từ phân mạng OFFICE, phân mạng quản trị 23 - Có thể triển khai BGP flowspec peering trực tiếp với RGW Máy chủ cài đặt BGP Exa BGP có yêu cầu tối thiểu sau: - Phần cứng: RAM: 4GB; CPU: GHz, HDD: 50 Gbps - Hệ điều hành: Linux (Ubuntu, Redhat….) Phần mềm: ExaBGP 3.4.5 3.2.3 Kế hoạch triển khai Để triển khai giải pháp nêu trên, nhóm thực đề tài đề xuất kế hoạch triển khai gồm công việc sau: Triển khai biện pháp nhằm phát sớm công DDoS NOC/SOC Triển khai hệ thống phân tích lưu lượng cho hệ thống mạng VNNIC Quy hoạch thiết bị router có lực lớn, hỗ trợ BGP Flowspec client làm RGW mạng VNNIC Làm việc với ISP nâng cấp tốc độ đường kết nối uplink mạng VNNIC Cài đặt, cấu hình máy chủ Exa BGP tích hợp với RGW theo mơ hình Xây dựng quy trình VHKT giải pháp BGP Flowspec phịng chống DDoS Hướng dẫn, phổ biến NOC/SOC/nhóm ATBM 24 KẾT LUẬN VÀ KIẾN NGHỊ Bám theo nội dung đăng ký đề cương đề tài, nhóm chủ trì đề tài thực nghiên cứu, xây dựng triển khai hoàn chỉnh đề tài theo nội dung: - Phân tích trạng nhu cầu phịng chống công từ chối dịch vụ mạng VNNIC Nghiên cứu tổng quan hình thức cơng từ chối dịch vụ Nghiên cứu kỹ thuật BGP Flowspec - Triển khai thử nghiệm, đề xuất áp dụng kỹ thuật BGP Flowspec cho hệ thống mạng VNNIC Nhóm thực đề tài mong muốn tiếp tục nghiên cứu, triển khai áp dụng kỹ thuật BGP Flowpsec giải pháp phát hiện, phịng chống cơng DDoS cho hệ thống mạng VNNIC; nhằm góp phần tăng cường an tồn ổn định kết nối cho hệ thống KTDV Trung Tâm Ngoài ra, hướng phát triển đề tài nghiên cứu áp dụng kỹ thuật BGP Flowspec cho hệ thống VNIX Về mặt kỹ thuật, điều hoàn toàn khả thi, giới có AMS-IX triển khai Trong nội dung nghiên cứu khơng tránh khỏi thiếu sót mong nhận góp ý hội đồng ... giá: c) Đề xuất: 3.2 Đề xuất áp dụng kỹ thuật BGP Flowspec cho hệ thống mạng VNNIC 3.2.1 Giải pháp đề xuất Để phịng chống cơng DDoS cách hiệu cho hệ thống mạng VNNIC sau trình nghiên cứu, thử... đó, việc nghiên cứu, áp dụng kỹ thuật BGP FlowSpec để đối phó, hạn chế nguy công DDos nhằm vào hệ thống mạng đắn, cần thiết Mục đích nghiên cứu Mục đích đề tài nghiên cứu giải pháp BGP FLOWSPEC. .. phương pháp kỹ thuật mới, nhằm ngăn chặn, giảm nhẹ hiệu công DDoS nhằm vào hệ thống mạng Trên sở đó, nhóm đề tài đề xuất giải pháp thích hợp áp dụng cho hệ thống mạng VNNIC Đây nội dung đề tài