Nâng cấp hệ thống phát hiện và ngăn chặn DDos tự động xác định đối tượng tấn công

MỤC LỤC

Tấn công qua phần mềm trung gian

Nhưng nguy hiểm hơn cả là kẻ tấn công đã đột nhập được vào máy nạn nhân để có thể ăn cắp các thông tin cá nhân của nạn nhân. Trinoo cho phép kẻ tấn công kiểm soát một số máy để yêu cầu gửi đồng loạt các gói tin UDP làm tê liệt mục tiêu.

Stacheldraht

Trong phương pháp tấn công này, kẻ tấn công sẽ sử dụng một phần mềm hợp lệ trên máy nạn nhân. Khai thác một số thuật toán và tiến hành đưa tham số trong trường hợp xấu nhất.

Trinity

Nó có khả năng tấn công với hầu hết các kỹ thuật như UDP, SYN và một số dạng flood khác. Trinity thường sử dụng các cổng 6667 và cũng có thể là 1 chương trình backdoor lắng nghe ở cổng 33270 qua kết nối TCP.

Knight

Tuy nhiên nó còn có thể kết nối internet thông qua mạng Relay Chat (IRC) hoặc AOL's ICQ.

CÁC CỞ SỞ PHÂN TÍCH PHÁT HIỆN DDOS

Hệ thống phát hiện DDos hiện nay

Như chúng ta đã thấy, khả năng phát hiện một cuộc tấn công ngay lập tức sẽ ảnh hưởng rất lớn đến quá trình ngăn chặn và làm giảm đến mức thấp nhất tác hại mà một cuộc tấn công DDos gây ra. Hầu hết đã phát hiện được các loại tấn công Dos và DDos nhưng khó có thể đạt được độ chính xác cao. Những hệ thống phát hiện DDos này thường sử dụng rất nhiều phương thức để dò tìm và phát hiện.

Trước tiên, ngưỡng này thường đặt tĩnh và yêu cầu người sử dụng phải cấu hình để phù hợp với mọi môi trường, tuy nhiên sẽ khó có thể thay đổi thích ứng với môi trường mới. Thứ hai, chỉ có một số ít các ngưỡng được thiết lập vì sự thống kê chi tiết các giao thức không có giá trị cho người sử dụng. Sự thiếu sút này cú thể dẫn tới sự đỏnh giỏ sai về tớnh rừ ràng và tớnh phủ định của hệ thống phát hiện.

Do vậy, để hiệu quả một hệ thống phát hiện xâm nhập phải thêm nhiều tính năng để phát hiện và phân biệt một sự tấn công với các hoạt động bình thường.

Các yêu cầu đối với môt hệ thống phát hiện DDos .1 Phát hiện nhiều cơ chế

Hiện nay các hệ thống phát hiện đang được phát triển và khá công phu. Thông thường các công cụ này so sánh lưu lượng hiện tại với lưu lượng có thể chấp nhận được. Thậm chí một phát hiện sự xâm hại có thể chặn nhầm một địa chỉ hợp lệ.

Bước đầu tiên và cũng là quan trọng nhất là phát hiện chính xác các gói tin tấn công. Hệ thống phòng thủ phải đáp ứng trong thời gian thực, đặc biệt là tốc độ phản ứng phải cao.

Phân tích phát hiện các cuộc tấn công DDos .1 Tổng quan về phát hiện các cuộc tấn công DDos

Một số thuật toán phát hiện DDos

Do đó hầu hết các thuật toán phân tích phát hiện tấn công DDos hiện nay đều dựa trên tính khác thường của lưu lượng mạng. Từ những kỹ thuật phân tích này, sẽ có những thuật toán phát hiện để đưa ra các tham số hoặc công nghệ thống kê, các mức độ nguy hiểm của cuộc tấn công. - Thông số kiểm tra: Thông số kiểm tra được dùng để phân loại các thuật toán như số lượng lớn lưu lượng, số địa chỉ IP mới hoặc tỷ lệ các gói tin đến và đi trong mạng.

Thuật toán phát hiện sự không bình thường dựa trên sự vị phạm của một ngưỡng khả năng đáp ứng của lưu lượng mạng trong thời gian gần. Một cụng thức được xõy dựng để theo dừi sự thay đổi này, khi vượt qua một ngưỡng giới hạn chứng tỏ đã xảy ra một cuộc tấn công. Trong phần off-line training, thuật toỏn sẽ tiến hành theo dừi, đỏnh giỏ phân tích các địa chỉ IP trong khoảng thời gian và đưa các địa chỉ IP vào trong IP address database (IAD).

Thuật toán dựa trên giả định rằng trong quá trình hoạt động bình thường trên internet, các gói tin theo hướng ra ngoài internet sẽ tỷ lệ thuận với các gói tin theo hướng ngược lại.

XÂY DỰNG HỆ THỐNG PHÁT HIỆN NGĂN CHẶN DDOS TỰ ĐỘNG

Cơ chế kiểm tra địa chỉ nguồn

Trong IAD, xây dựng 2 quy tắc để quyết định mức độ truy cập thường xuyên của một địa chỉ IP. Hai tham số trên có thể được tùy chỉnh trong các điều kiện mạng khác nhau. Việc kết hợp hai quy tắc trên sẽ làm cho IAD hiệu quả hơn rất nhiều.

Như vậy các địa chỉ IP thuộc tập Fc sẽ được lưu vào IAD 3.1.2 Duy trì và hoạt động của IAD. Khi lưu lượng mạng ở mức bình thường, tính toán các địa chỉ IP trong các gói tin đến và cập nhật vào IAD. Tiến hành xóa các địa chỉ IP hết hạn trong IAD với mục đích không làm IAD quá lớn.

Khi thêm một địa chỉ IP vào trong IAD bắt đầu tính thời gian trong trường timestamp.

Kỹ thuật phát hiện tấn công DDos theo thuật toán CUSUM

Trong giai đoạn này, tiến hành phân tích thống kê các lưu lượng đến giữa hai khoảng thời gian là ∆n. Với kỹ thuật phát hiện tấn công này, một bảng băm sẽ được sử dụng để ghi lại các địa chỉ IP xuất hiện giữa hai khoảng thời gian. So sánh các trường này với các trường trong IAD để có thể tính toán có bao nhiêu địa chỉ IP mới đã xuất hiện trong các khe thời gian.

Gọi Tn là tập các địa chỉ IP vừa thiết lập và Dn là các địa chỉ IP trong IAD tại thời điểm ∆n. Ta có Xn=|Tn-T∩Dn|/Tn: tỷ lệ phần trăm địa chỉ IP mới trên tổng số các địa chỉ IP trong khoảng thời gian ∆n. Giao thức lan tỏa ngược được nghiên cứu bởi nhóm của anh Hoàng Văn Quân (K49CB) với sự hướng dẫn của thầy Đoàn Minh Phương.

Tuy nhiên do thời gian có hạn, nên việc nghiên cứu giao thức lan tỏa ngược vẫn chưa được hoàn thiện hoàn toàn.

Hình 3: Tỷ lệ phần trăm new IP với ∆ n =10s

Khái niệm

Khi nạn nhân phát hiện tấn công từ chối dịch vụ tiến hành gửi yêu cầu khởi động lan tỏa ngược đến gateway (Victim_GW) với tham số là địa chỉ của mình và địa chỉ của Agent (a.b.c.d). Giải thuật cho cách kiểm tra này là: Router X và Router Y tiến hành ping đến Victim với tham số TTL là h+1 và h, với h là số hops từ Vimtim_GW đến router tương ứng. Trong quá trình này Victim _GW đặt bộ lọc với thời gian tstart, sau đó gửi yêu cầu thiết lập bộ lọc qua các router hàng xóm với cạc mạng mà nó nhận được gói tin Ddos.

Router hàng xóm sau khi nhận được yêu cầu, lập bộ lọc với thời gian ttmp và tiến hành gửi yêu cầu thiết lập bộ lọc tới router kề sau.Trong trường hợp nếu router đang đặt bộ lọc và vẫn nhận được yêu cầu đặt bộ lọc tương tự thì sẽ khởi động lại thời gian của bộ lọc đã đặt. Trong khoảng thời gian đặt bộ lọc ttmp, router sau khi đã gửi yêu cầu lập bộ lọc tới các router hàng xóm mà vẫn thấy còn lưu lượng DDos từ phía các router này, tiến hành gửi 3 lần yêu cầu lập bộ lọc cho router hàng xóm kết nối với cạc mạng đó. Sau khi hết thời gian đặt bộ lọc, các router tạo file shadow để giám sát các router hàng xóm sau nó.Trong khoảng thời gian này mà vẫn thấy có lưu lượng Ddos thì sẽ bật lại bộ lọc với thời gian tlong.Giải thuật kết thúc.

Khi quá trình lan tỏa ngược đến router gần Agent nhất (A_GW), xảy ra khi IP của router hàng xóm trùng với IP Agent, router lập bộ lọc có thời gian tlong >> ttmp.

Hình 6: Cơ chế hoạt động của lan tỏa ngược

Hạn chế của giao thức lan tỏa ngược

Nếu sau 3 lần gửi mà lưu lượng DDos vẫn không giảm thì có nghĩa là router hàng xóm không đặt bộ lọc, và router này sẽ tự động lập bộ lọc với thời gian tlong.

Phát triển giao thức lan tỏa ngược

Nếu thấy số sequence number này khác với số sequence number cuối cùng khi bộ lọc đã được đặt tại router gần Agent thì chứng tỏ đã có gói tin từ Agent truyền qua. Router hàng xóm đã bị kẻ tấn công chiếm quyền và đặt bộ lọc với thời gian ngắn hơn hoặc có thể giả vờ đặt bộ lọc. Do việc cài đặt và triển khai giao thức lan tỏa ngược đã thành công.

Theo giao thức lan tỏa ngược ta tiến hành đặt bộ lọc ở R5 (gần nguồn tấn công nhất). Giả sử, cấu hình lại việc đặt bộ lọc tại R5 với thời gian tcheat, tcheat<tlong (tcheat=20s, tlong=40s). Lúc này theo cơ chế chống lừa dối, tại R3 sau khi truyền lan tỏa ngược đến R5 sẽ bật chế độ kiểm tra thời gian đặt bộ lọc tại R5.

Lúc này tại R3 bắt đầu thấy gói tin từ C9 và C10 truyền qua, và thời gian yêu cầu đặt bộ lọc vẫn còn.

Hình 8: Mô hình triển khai chống lừa dối

Triển khai hệ thống

Do việc xác định các IP thường xuyên truy cập cần thời gian khá dài nên ở mô hình này sẽ thiết lập thông số thời gian là 5 phút. Hệ thống tính toán và xác định được giá trị α (giá trị trung bình của {Xn} khi lưu lượng mạng bình thường). Hệ thống ở S1 phát hiện bị tấn công, tất nhiên các giá trị của Y tăng lên rất nhanh và vượt qua giới hạn cho phép (N=0.05).