3 Đảm bảo an ninh và tính sẵn sàng của dịch vụ đáp ứng QoS
3.4 Giải pháp phòng chống tấn công dựa trên chính sách
Bảo vệ ứng dụng dịch vụ Internet trước các cuộc tấn công đang là một câu hỏi còn để mở cho các đề tài nghiên cứu. Các cơ chế phòng thủ hiện tại đang cố gắng chặn tấn công DoS bằng cách lọc lưu lượng tấn công (đưa lọc bổ sung trong bộ định tuyến, kiểm tra tất cả các gói dữ liệu đến trên cơ sở đặc tính hóa lưu lượng, loại bỏ những gói tin bị nghi ngờ) tại mức định tuyến của Cisco 1. Tuy nhiên, khó xác định, phân biệt chính xác một cuộc tấn công nào đó với những gói tin bình thường khi tấn công ngày càng tinh vi. Điều đó đòi hỏi hệ thống phòng thủ dựa trên các bộ lọc phải được điển hình hóa chi tiết theo mỗi cuộc tấn công.
Giả thiết kiến trúc mạng NGN được xây dựng từ các ISP cho phép cung cấp các dịch vụ cá nhân mở rộng, các nút Router trong mạng có thể điều khiển được và ISP có thể phát hiện được các địa chỉ IP bất thường. Như đã phân tích ở trên, mục tiêu của các biện pháp phòng chống tấn công DDoS hướng đến là giảm thiểu thiệt hại tài nguyên của máy chủ. Nhưng tấn công DoS sử dụng UDP lại làm tăng băng thông các gói tin trên mạng được gửi đến máy chủ từ mạng LAN nên rất khó để chống lại. Các biện pháp phòng chống DoS sử dụng UDP hiệu nay vẫn chưa thực sự hiệu quả. Vì vậy mục tiêu phương pháp được đề xuất trong bài báo này hướng đến kiểm soát và ngăn chặn tấn công DoS dùng UDP. Đa số giao thức truyền thông trên mạng là TCP được sử dụng trong Web Servers và Mail Servers. Còn giao thức UDP được sử dụng bởi DNS và NTP truyền thông với lượng băng thông nhỏ. Giao thức báo hiệu điều khiển lớp ứng dụng SIP sử dụng băng thông rộng để thiết lập, duy trì, kết thúc các phiên truyền thông đa phương tiện sử dụng UDP và RTP. Tuy nhiên, đối với các dịch vụ UDP chúng ta rất khó đánh giá sự bình thường băng thông của mạng từ phía ISP.
Hướng tiếp cận của luận án là dùng chính sách an ninh riêng để phát hiện tấn công DoS bằng cách kiểm soát số lượng gói tin UDP phát sinh trong mạng NGN có vượt quá một giới hạn nhất định trong một đơn vị thời gian với băng thông sẵn có hay không? Giới hạn này được xác định dựa trên chính sách an ninh riêng trên mạng LAN và được thiết lập trước khi tấn công DoS xảy ra.
1) Thiết lập chính sách an ninh riêng: Băng thông của Server dành cho các gói tin UDP trong một đơn vị thời gian được thiết lập thành tham số để điều khiển tấn công DoS. Giá trị này bằng số lượng các gói tin UDP trong 1 giây mà băng thông cho phép, nội dung chính sách an ninh được thể hiện trong Hình 3.5. Trong đó, địa chỉ IP của Server sẽ mô tả địa chỉ máy chủ cần kiểm soát, ngưỡng phát hiện tấn công và lượng băng thông dành cho UDP sẽ kiểm soát sự bất thường của các gói tin.
Hình 3.5: Chính sách bảo mật riêng
2) Phát hiện gói tin IP bất thường: Số lượng gói tin UDP đến Server có thể kiểm soát nhờ các Router trong mạng NGN. Tấn công DoS được phát hiện khi khi số lượng các gói tin UDP trong một giây vượt quá số lượng gói tin đã được thiết lập trong chính sách bảo mật riêng. Việc kiểm tra được thực hiện trên kiểu gói tin UDP, địa chỉ IP và số hiệu cổng đích.
3) Truyền thông báo cho các thiết bị: Sau khi phát hiện bị tấn công DoS, Router đó sẽ gửi cảnh báo đến tất cả các Router khác thông qua giao thức SIP. Giao thức SIP này được xem là phần mở rộng của chính sách an ninh riêng. Các
thông của truyền đi bao gồm kiểu gói tin tấn công, địa chỉ IP, số hiệu cổng của máy bị tấn công và độ trễ yêu cầu. Các thông tin này được sử dụng để đánh dấu các gói tin. Thời gian trễ này được sử dụng để điều khiển đường truyền.
4) Đánh dấu các gói tin: các nút Router trong mạng NGN sẽ kiểm tra tất cả thông tin của các gói tin dựa vào thông báo được gửi đến qua giao thức SIP. Các gói tin trước khi thông qua sẽ được ghi lại nhãn thời gian trong tiêu đề mở rộng của gói tin IP (Hiện nay giao thức SIP chưa có chức năng này và đang được đề xuất xây dựng). Trong trường hợp các gói tin IP có kích thước lớn thì ta tiến hành phân mảnh trước khi ghi nhãn thời gian lên các phân mảnh đó.
Quá trình kiểm soát được thực hiện bằng lượng băng thông tối thiểu cho phép chuyển tiếp các gói tin UDP từ mạng NGN đến mạng LAN, dựa vào đó ta sẽ ngăn chặn được các tấn công DoS bằng cách hạn chế số lượng gói tin UDP như Hình3.6.
Hình 3.6: Quá trình điều khiển đường truyền
Việc điều khiển đường truyền trong mạng NGN sẽ thực hiện dựa trên thời gian trễ được đánh dấu trong các gói tin IP được chuyển tiếp lặp lại quay vòng tại đầu vào các nút Router. Khi nhận một gói tin IP, nhãn thời gian được đánh dấu sẽ được so sánh với thời gian hiện thời để đảm bảo rằng thời gian trễ yêu cầu đã được thêm vào. Ví dụ, tốc độ truyền thông trung bình trong mạng là 30Mbps, ta thiết lập chính sách an ninh riêng với ngưỡng phát hiện tấn công DoS có tỉ lệ gói tin UDP được phép lưu thông là 10% và băng thông tối đa dành cho gói tin UDP là 10 Mbps (>3Mbps). Giả sử cần kiểm soát các gói tin 1500 byte được gửi đến địa chỉ “X” qua cổng số "Y" với chính sách như trên thì hệ thống sẽ đếm số gói tin UDP trong một đơn vị thời gian, nếu tỉ lệ gói tin UDP chiếm trên 10% (chẳng hạn 4 Mbps) thì các gói tin đó được xem là bất thường. Nếu các gói tin có cùng địa chỉ “X”, số hiệu cổng “Y”, và kích thước trung bình là 1500 byte thì xem đó là các gói tin tấn công. Với băng thông cho phép tối đa đối với gói tin UDP là 10 Mbps, ta cần kiểm soát sao cho bằng thông giới hạn ở mức 7 Mbps thì thời gian trễ gói tin có thể tính được là 2 ms. Khi một gói tin IP đã đánh dấu trên đường truyền đến đầu vào của một router. Router đó sẽ quyết định chuyển gói tin đó hay không bằng cách lấy thời gian hiện tại trừ đi thời gian được đánh dấu trong gói tin và so sánh với thời gian trễ qui định (2 ms). Nếu lớn hơn thì gói tin đó được xem là an toàn và được truyền đến địa chỉ IP đích thông qua các router lõi trong
mạng NGN nhằm giảm tốc độ bit trên đường truyền xuống 7 Mbps. Ngược lại các gói tin có thời gian trễ nhỏ hơn sẽ được gửi lại đến router đó. Vì thế, phương pháp đề xuất sẽ làm giảm số lượng các gói tin trong một đơn vị thời gian bằng cách kiểm soát độ trễ của các gói tin. Đồng nghĩa với việc các cuộc tấn công DoS sẽ được kiểm soát nhờ việc tăng độ trễ của các gói tin tấn công. Tuy nhiên, các gói tin hợp lệ từ phía người dùng cũng bị ảnh hưởng bởi độ trễ nhưng là rất nhỏ.