3 Đảm bảo an ninh và tính sẵn sàng của dịch vụ đáp ứng QoS
3.2.2 Phương pháp tấn công và kỹ thuật phòng chống
Hiện nay các loại hình tấn công DDoS rất đa dạng với nhiều công cụ được sử dụng được phân loại dựa vào các tiêu chí cụ thể như Hình 3.3.
Hình 3.3: Các phương pháp và hình thức tấn công DDoS
Dựa trên mức độ tự động thu thập máy công cụ, khai thác lỗ hổng và cài đặt mã tấn công ta có thể chia tấn công thủ công, bán tự động hay tự động. Dựa vào cách thức quét thăm dò máy công cụ, ta có thể chia thành phương thức quét thăm dò ngẫu nhiên, quét thăm dò theo danh sách đã định, quét theo topo mạng, quét theo hoàn vị và quét theo lớp mạng. Dựa theo phương thức quét lỗ hổng thì ta có quét dọc (quét lỗ hổng trên một máy), quét ngang (quét dịch vụ trên một lớp mạng), quét kết hợp, quét ẩn (tần suất quét rất thấp để tránh bị phát hiện). Phương thức lan truyền của tấn công tự động và bán tự động là thực hiện lây nhiễm mã tấn công trên các địa chỉ máy đã tìm được có thể phân loại thành: một nguồn phán tán, phán tán theo mô hình xâu chuỗi, phát tán tự động [20]. Dựa trên lợi dụng lỗ hổng để tấn công có 2 dạng là Protocol và Brute-Force. Protocol khai thác các lỗ hổng ứng dụng cài trên máy nạn nhân từ đó chiếm toàn bộ tài nguyên phục vụ dịch vụ của hệ thống như tấn công TCP SYN [14]. Khi đó, lợi
dụng mô hình cung cấp tài nguyên kết nối của TCP và giao thức bắt tay ba bước kẻ tấn công sẽ tạo ra một số lượng rất lớn các truy vấn TCP SYN nhưng không gửi cờ FIN để chiếm dụng tài nguyên dịch vụ của hệ thống. Lúc này, hàng đợi kết nối sẽ bị tràn và không thể tiếp nhận được các kết nối mới. Dạng Brute-Force dựa trên khả năng truyền tải của lớp mạng trung gian thường lớn hơn nhiều lần khả năng của lớp mạng đích. Do đó, khi kẻ tấn công gửi một số lượng rất lớn các truy vấn giả tới máy chủ, kết nối lên nhà cung cấp Internet của máy chủ sẽ lập tức bị nghẽn và bản thân máy chủ cũng không thể xử lý hết các kết nối này dẫn đến treo máy hoặc khởi động lại. Dựa trên giả mạo địa chỉ nguồn ta có thể phân loại thành địa chỉ giả mạo và địa chỉ thực. Phân lớn kẻ tấn công đều thực hiện giả mạo địa chỉ khi có thể như giả mạo các địa chỉ có thể định tuyến được dùng để tấn công Reflector, giả mạo các địa chỉ không thể định tuyến được là sử dụng dạng địa chỉ riêng, chỉ sử dụng các mạng nội bộ không được bất kỳ router nào định tuyến, không sử dụng mạng Internet. Các kỹ thuật giả mạo địa chỉ gồm giả mạo ngẫu nhiên là kẻ tấn công sử dụng một địa chỉ được tạo ngẫu nhiên làm địa chỉ nguồn, để phòng chống ta có thể sử dụng các phương pháp lọc gói tin để ngăn chặn. Giả mạo theo lớp mạng cục bộ là kẻ tấn công sử dụng một địa chỉ ngẫu nhiên nằm trong lớp mạng của máy công cụ. Việc phát hiện ra kiểu giả mạo này là rất khó đặc biệt là khi gói tin di chuyển tới router kết nối ngoài mạng LAN. Giả mạo dựa theo các địa chỉ có thể có trên đường đi tới đích của gói tin để giả mạo địa chỉ nguồn. Điều này mới chỉ được đề cập trên lý thuyết, thực tế chưa có cuộc tấn công nào được ghi nhận [27].
Dựa trên cường độ tấn công khi gửi các gói tin ta có thể chia thành 2 loại là cường độ không đổi và cường độ thay đổi [20]. Phần lớn các cuộc tấn công đã được ghi nhận đều có cường độ không đổi và thường sử dụng toàn bộ tài nguyên có thể của máy công cụ để thực hiện tấn công. Sau khi kẻ tấn công phát lệnh tấn công, mỗi máy công cụ sẽ sử dụng toàn bộ tài nguyên về bộ nhớ, băng thông để tạo ra càng nhiều truy vấn, gói tin càng tốt. Nạn nhân sẽ đón nhận gần như đồng thời các luồng thông tin đổ tới máy chủ và tùy theo cấu hình sẽ bị đánh sập hoàn toàn hoặc bị tê liệt. Với cường độ tấn công lớn và không đổi thì việc phát hiện tấn công DDoS sẽ dễ thực hiện hơn khi sử dụng các mô hình xác suất để theo dõi đường truyền của hệ thống mạng. Dựa vào tiêu đề gói tin và các trường thông tin đi kèm theo ta có thể xác định kiểu tấn công. Việc nhận dạng càng chính xác thì khả năng phản ứng lại tấn công càng cao. Tấn công nhận dạng được là tấn công trong điều kiện thông tin đến máy nạn nhân gồm những gói tin mạng ý nghĩa rõ ràng, các trường tham số đúng đắn thì ta có thể nhận dạng được loại bản tin như là TCP SYN, ICMP ECHO/REQUEST, truy vấn DNS. Nếu dựa theo tiêu chí sự ảnh hưởng của tấn công được đến dịch vụ ta có thể chia thành 2 loại là có thể và không thể lọc gói tin [27]. Tấn công có thể lọc gói tin là các loại hình tấn công sử dụng định dạng bản tin sai lệch có thể được lọc bởi firewall như tấn công sử dụng định dạng UDP hoặc ICMP ECHO/REQUEST tới máy chủ web. Nếu kẻ tấn công sử dụng những gói tin đúng khuôn dạng, hoạt động đúng giao thức và giả mạo
địa chỉ theo các địa chỉ tuân thủ quy định định tuyến thì không thể lọc được gói tin. Nếu cố gắng lọc gói tin thì vô hình chung những gói tin xuất phát từ khách hàng có nhu cầu thực sự và từ kẻ tấn công sẽ đồng thời bị loại bỏ, dịch vụ sẽ coi như bị đóng lại đúng theo mục tiêu của kẻ tấn công. Dựa trên sự ổn định của tập máy công cụ, sự thay đổi số lượng các máy công cụ bị phát hiện bởi nhà quản trị hay khả năng sửa lỗi của hệ thống đã tốt hơn để tránh bị phát hiện. Tập máy công cụ ổn định là khi phát lệnh tấn thì công toàn bộ máy công cụ trong mạng đồng thời nhận được lệnh và gửi gói tin tấn công. Có nhiều virus được thiết kế định sẵn ngày tấn công trong mã của chương trình. Tập máy công cụ thay đổi là kẻ tấn công sẽ phân chia tập hợp máy công cụ thành nhiều nhóm nhỏ khác nhau và chỉ sử dụng một vài nhóm tại một thời điểm, mỗi máy tính có thể thuộc nhiều nhóm khác nhau.
Dựa theo mục tiêu tấn công ta chia thành tấn công ứng dụng, máy chủ, tài nguyên, hệ thống mạng và hạ tầng. Tấn công ứng dụng làm tê liệt hoặc chiếm đoạt toàn bộ tài nguyên cung cấp dịch vụ của ứng dụng. Khi đó chỉ những tài nguyên cung cấp cho dịch vụ đó mới bị ảnh hưởng, các tài nguyên cho các dịch vụ khác hầu như không bị ảnh hưởng. Phát hiện các gói tin tấn công vào ứng dụng là điều không dễ dàng vì trong thời gian bị tấn công, các ứng dụng khác trên máy chủ vẫn hoạt động bình thường và việc phân biệt các gói nào thuộc ứng dụng nào yêu cầu cần phải có thời gian và chi phí. Tấn công vào máy chủ là làm tê liệt hoàn toàn hoạt động của máy chủ hoặc làn nghẽn kênh giao tiếp của máy chủ với bên ngoài. Dạng tấn công này được thực hiện thông qua việc gửi các gói tin làm quá tải hoặc phá vỡ những qui định hoạt động dẫn đến treo hệ thống như tấn công TCP SYN. Để đối phó, máy chủ phải thường xuyên cập nhật và cần sự hỗ trợ từ các thiết bị mạng, thiết bị bảo vệ. Để tấn công vào một dịch vụ của hệ thống, kẻ tấn công có thể nhằm vào các tài nguyên khác nằm trong hệ thống nhưng được kết nối ra bên ngoài như máy chủ DNS, các thiết bị mạng [20]. Tấn công vào băng thông là điển hình của mục tiêu tấn công mạng. Ngoài ra kẻ tấn công có thể nghiên cứu cơ chế hoạt động của các hệ thống tự bảo vệ và giả mạo các địa chỉ để tấn công vào mạng, làm cho các địa chỉ đó tự động bị khóa và thông thể truy cập được dịch vụ. Hiện nay chiều hướng tấn công vào hạ tầng mạng đang tăng nhanh. Dựa theo mức độ tác động tới dịch vụ ta có thể chia thành 2 dạng tấn công là làm mất kết nối và mất ổn định. Tấn công mất kết nối là làm cho hệ thống bị ngắt kết nối hoàn toàn với Internet-đây là mục tiêu của yếu của các cuộc tấn công DDoS hiện nay. Tấn công làm mất ổn định là cho phép hệ thống có thể tự phục hồi hay không thể phục hồi được. Các công cụ tấn công DDoS phổ biến như: Stacheldraht, Shaft, Trinoo, TFN2k, Mstream, Knight, Kaiten, Owasp, Davoset và Ufonet [20].
Các cơ chế phòng thủ hiện tại đang cố gắng chặn tấn công DDoS bằng cách lọc lưu lượng tấn công (đưa lọc bổ sung trong bộ định tuyến; kiểm tra tất cả các gói dữ liệu đến trên cơ sở đặc tính hóa lưu lượng, loại bỏ những gói tin bị nghi ngờ) tại mức định tuyến [20, 63]. Tuy nhiên, khó xác định, phân biệt chính xác
một cuộc tấn công nào đó với những gói tin bình thường khi tấn công ngày càng tinh vi. Điều đó đòi hỏi hệ thống phòng thủ dựa trên các bộ lọc phải được điển hình hóa chi tiết theo mỗi cuộc tấn công DDoS. Các kỹ thuật phòng chống tấn công DDoS được cho trong Hình3.4.
Hình 3.4: Các kỹ thuật phòng chống tấn công DDoS
Kỹ thuật phát hiện ở gần nguồn tấn công: chúng ta có thể dễ dàng phát hiện tấn công tại tại nạn nhân khi tổng số lưu lượng để tắt một mạngV lớn hơn đáng kể lưu lượng bình thường. Tuy nhiên, số lượng tấn công gần nguồn sẽ không phân biệt được từ một lưu lượng bình thường, tỷ số VU sẽ rất nhỏ nếu lưu lượng cuộc tấn công DDoS là U đủ lớn. Thông thường như các phương án đã đặt ra đó là đánh dấu gói tin và truy tìm ngược lại. Các phương án này thường không có hiệu quả cao khi mà cuộc tấn công diễn ra với quy mô rất lớn. Do vậy việc phát hiện tấn công gần nguồn sẽ tránh được tắc nghẽn và đạt hiệu quả cao nhất.
Kỹ thuật phát hiện tấn công tại mạng của nạn nhân: Việc phát hiện tấn công tại nạn nhân không khó vì lúc đó lưu lượng mạng tại nạn nhân sẽ trở nên rất cao và tất nhiên sẽ dẫn đến tình trạng không thể cung cấp được các dịch vụ. Tuy nhiên, thông thường việc phát hiện và phản ứng lại tại nạn nhân thường muộn và vào lúc cuộc tấn công đang ở mức cao. Nạn nhân lựa chọn tắt server và sau đó liên hệ với các ISP. Các ISP sau khi đã nhận được lời đề nghị của nạn nhân sẽ tiến hành đẩy ngược lại lưu lượng tấn công tại các router. Công việc này thường tốn rất nhiều thời gian. Ví dụ khi nạn nhân phát hiện ra cuộc tấn công, một thông điệp sẽ được gửi đến các upstream router của nạn nhân. Thông điệp bao gồm đích của lưu lượng tấn công, và yêu cầu để lọc lưu lượng tấn công này. Tuy nhiên, việc gửi thông điệp này trong thời gian ngắn nhất có thể là vô cùng quan trọng để ngăn chặn tấn công DDoS. Bởi vậy, cần có một cơ chế phát hiện thật nhanh để gửi thông điệp trong giai đoạn tấn công.
Kỹ thuật phát hiện dựa trên thống kê: Thực tế đã chứng minh, khi các cuộc tấn công DDoS xảy ra. Lập tức phân tích sẽ thấy được lưu lượng mạng rất khác
thường. Do đó hầu hết các thuật toán phân tích phát hiện tấn công DDoS hiện nay đều dựa trên tính khác thường của lưu lượng mạng. Một số các công nghệ thống kê được áp dụng để tiến hành phân tích, thống kê những lưu lượng tải làm việc để phát hiện. Từ những kỹ thuật phân tích này, sẽ có những thuật toán phát hiện để đưa ra các tham số hoặc công nghệ thống kê, các mức độ nguy hiểm của cuộc tấn công. Thông số kiểm tra được dùng để phân loại các thuật toán như số lượng lớn lưu lượng, số địa chỉ IP mới hoặc tỷ lệ các gói tin đến và đi trong mạng. Kỹ thuật thống kê sử dụng các thuật toán thống kê để phân tích mạng (như ngưỡng giới hạn phù hợp, phát hiện điểm thay đổi và phân tích wavelet). Mức độ phân tích chi tiết các thông số, các mức độ nguy hiểm sẽ được gán [14, 20, 63]. Các thuật toán phân tích, phát hiện tấn công DDoS phổ biến hiện nay gồm:
- Thuật toán ngưỡng giới hạn khả năng đáp ứng (Adaptive Threshold) [63] phát hiện sự không bình thường dựa trên sự vị phạm của một ngưỡng khả năng đáp ứng của lưu lượng mạng trong thời gian gần. Thuật toán đặc biệt có khả năng phát hiện cao nhất khi kẻ tấn công tiến hành một cuôc tấn công TCP SYN. Thuật toán tin tưởng vào việc kiểm tra phép đo lưu lượng có vượt qua một ngưỡng giới hạn cụ thể hay không. Nếu vượt qua, chứng tỏ đã có một cuộc tấn công xảy ra.
- Thuật toán tổng tích lũy (Cumulative sum-CUSUM) [20] dựa trên giá trị trung bình của một quá trình xử lý thống kê. Sự phát hiện điểm thay đổi cần phải theo dõi trong các khoảng thời gian. Một công thức được xây dựng để theo dõi sự thay đổi này, khi vượt qua một ngưỡng giới hạn chứng tỏ đã xảy ra một cuộc tấn công.
- Thuật toán theo dõi địa chỉ IP nguồn (Source IP Address Monitoring- SIM) [14] dựa trên việc theo dõi và đánh giá các địa chỉ IP mới. Thuật toán được chia làm 2 phần là off-line training và detection and learning. Trong phần off-line training, thuật toán sẽ tiến hành theo dõi, đánh giá phân tích các địa chỉ IP trong khoảng thời gian và đưa các địa chỉ IP vào trong IAD (IP address database). Những địa chỉ trong IAD được gọi là các địa chỉ thường xuyên truy cập. IAD xóa những IP hết hạn để giảm thiểu bộ nhớ cho hệ thống và cập nhật những đia chỉ IP mới. IAD được xây dựng và cập nhật off-line để chắc chắn rằng trong IAD không bao gồm bất cứ địa chỉ tấn công nào. Còn trong phần detection and learning, SIM tiến hành thống kê những lưu lượng đến trong các khoảng thời gian. So khớp các địa chỉ IP đến trong IAD để tìm ra những IP mới. Phân tích những IP mới này, có một hàm để đánh giá các IP mới (sử dụng thuật toán CUSUM). Khi sự thay đổi vượt qua ngưỡng giới hạn chứng tỏ đã có một cuộc tấn công xảy ra.
- Thuật toán kiểm tra tỷ lệ lưu lượng đến và đi (Ratio of Input/Output Traf- fic) [63] dựa trên giả định rằng trong quá trình hoạt động bình thường trên internet, các gói tin theo hướng ra ngoài internet sẽ tỷ lệ thuận với các gói tin theo hướng ngược lại. Nếu tỷ lệ này quá lớn chứng tỏ đã có sự tấn công từ bên ngoài.