Một số nghiên cứu liên quan

Một phần của tài liệu Nghiên cứu một số vấn đề nâng cao chất lượng dịch vụ trong mạng thế hệ mới (Trang 108)

3 Đảm bảo an ninh và tính sẵn sàng của dịch vụ đáp ứng QoS

3.3 Một số nghiên cứu liên quan

Tại Việt Nam, các nghiên cứu về lý thuyết cũng như xây dựng phương án thực tế nhằm đảm bảo an toàn cho mạng NGN còn rất hạn chế. Trên thế giới, vấn đề an ninh NGN trở thành tâm điểm và thu hút rất nhiều sự quan tâm của cả các tổ chức chuẩn hoá cũng như các nhà sản xuất thiết bị viễn thông. Sau những nỗ lực chuẩn hoá về kiến trúc mạng cũng như những vấn đề xung quanh các tổ chức chuẩn hoá lớn như ITU, ETSI, 3GPP [49]. . . đã tập trung khá nhiều vào việc nghiên cứu an ninh cho mạng NGN, các chủ đề nghiên cứu trong an ninh cho NGN được thực hiện khá đa dạng, tuy nhiên hiện các chuẩn công nghệ hoàn chỉnh giải quyết đến những vấn đề cụ thể trong an ninh mạng NGN thì gần như chưa có. Giải pháp phòng chống tấn công DDoS hiện nay có thể chia thành 3 kiểu:

- Dựa trên mã (Signature-based): các công cụ và chương trình sử dụng cho tấn công DDoS điều có những đặc điểm nhất định trong các gói tin. Các đặc điểm đó có thể được ghi lại dưới dạng chuỗi bit để so khớp [14, 20].

- Phòng thủ ngưỡng (Threshold defense): là thiết lập một ngưỡng cho mỗi đơn vị thời gian có thể là 10 gói tin được ghi nhận trong 1000 mili giây thì kết nối đó sẽ bị từ chối vì xem như bị tấn công DDoS [11,63].

- Kiểu kết hợp: bao gồm các phương pháp phòng chống dựa trên chính sách TCP, IP, SYN Cookie và phương pháp điều khiển băng thông [1, 16,17]. Các dạng tấn công DDoS thực hiện tìm kiếm các lỗ hổng bảo mật trên các máy tính kết nối tới Internet và khai thác các lỗ hổng bảo mật để xây dựng mạng Botnet gồm nhiều máy tính kết nối tới Internet. Do đó, tấn công rất khó để ngăn chặn hoàn toàn. Ngay cả khi tất cả các biện pháp phòng chống này được sử dụng, chúng vẫn tồn tại các vấn đề sau:

- Các gói tin tấn công đến Firewall có thể chặn lại, nhưng hầu hết chúng đều đến từ những địa chỉ IP chưa có trong tập luật của Firewall nên chúng được coi là những gói tin hợp lệ.

- Khi địa chỉ nguồn của gói tin bị giả mạo và không nhận được sự phản hồi từ những địa chỉ nguồn thật thì biện pháp ngăn chặn thông thường là cấm giao tiếp với địa chỉ nguồn đó. Tuy nhiên mạng Botnet bao gồm từ hàng nghìn tới vài trăm nghìn địa chỉ IP trên Internet và điều đó là vô cùng khó khăn để ngăn chặn tấn công.

- Các cuộc tấn công làm cạn kiệt băng thông mạng được thực hiện trên các server trong mạng LAN. Khi máy chủ Web có hàng trăm Mbps kết nối Internet thì các biện pháp kiểm soát mức tiêu thụ băng thông mạng không còn hiệu quả trước các kiểu tấn công tràn UDP, ICMP vì lúc này lưu lượng được đẩy lên hàng Gbps. Biện pháp phòng chống tại mạng LAN không đủ để ngăn chặn các máy chủ đang ở tình trạng quá tải và tạo nên hiện tượng nghẽn mạng.

- Kiểu tấn công làm cạn kiệt tài nguyên và các biện pháp đối phó trên cũng có vấn đề khi các gói tin của người sử dụng thường xuyên trộn lẫn với các gói tin tấn công cũng có thể bị loại bỏ.

Gần đây, xu hướng sử dụng Proxy trung gian [1,72] và Moving Firewall [16,

17] để phòng thủ, bảo vệ trước các cuộc tấn công DoS mà không đòi hỏi thay đổi cơ sở hạ tầng nên rất thuận lợi cho việc sử dụng ở quy mô lớn trong thực tế. Phòng thủ DoS sử dụng mạng Proxy thực hiện được hai ý tưởng. Thứ nhất, Proxy cách ly giữa tấn công và ứng dụng, ngăn chặn trực tiếp những cuộc tấn công DoS mức cơ sở hạ tầng lên ứng dụng. Thứ hai, dùng số lượng lớn Proxy biên ngoài để phân tán lưu lượng, làm giảm ảnh hưởng của tấn công. Phòng thủ DoS dựa trên mạng Proxy cho thấy được khả năng, sự hứa hẹn bởi vì khi một ứng dụng đã được bảo vệ bởi một loạt các Proxy vô hướng, chỉ khi tất cả đều phải bị những kẻ tấn công làm tổn thương thì mới để lộ ra ứng dụng để bị tấn công trực tiếp (có thể điều chỉnh số lượng các Proxy vô hướng bằng cách cấu hình mạng Proxy để cung cấp một cấu trúc linh hoạt, chống lại sự thâm nhập của những kẻ tấn công và bảo vệ ứng dụng trước những cuộc tấn công trực tiếp). Dễ dàng phân tán rộng rãi các Proxy ở biên để khó bị những kẻ tấn công làm tràn gây gián đoạn dịch vụ. Điều này cho phép các mạng Proxy có thể chịu được những cuộc tấn công DoS bằng lưu lượng tấn công phân tán (dùng các truy cập ứng dụng trung gian để ngăn chặn những cuộc tấn công trực tiếp và cung cấp hệ thống phòng thủ mềm dẻo cho ứng dụng để làm loãng tác động của các cuộc tấn công). Đây là một mạng Proxy có tiềm năng để bảo vệ ứng dụng từ những cuộc tấn công DoS. Hệ thống phòng thủ DoS dựa trên mạng Proxy cũng có tiềm năng phát triển trên quy mô rộng lớn vì các mạng Proxy mức ứng dụng được xây dựng ở mức cao của Internet sẽ không đòi hỏi bất kỳ thay đổi nào đối với cơ sở hạ tầng Internet hiện có. Một số mạng Proxy quy mô lớn thành công (như Content Delivery Networks với mạng Proxy Akamai có tới hơn 15,000 Proxy phát triển trong hơn 1,200 mạng trên 65 quốc gia), chứng minh tính thực tế khả thi của việc phát triển những mạng Proxy quy mô lớn [72].

Một phần của tài liệu Nghiên cứu một số vấn đề nâng cao chất lượng dịch vụ trong mạng thế hệ mới (Trang 108)

Tải bản đầy đủ (PDF)

(124 trang)