3 Đảm bảo an ninh và tính sẵn sàng của dịch vụ đáp ứng QoS
3.4Các kỹ thuật phòng chống tấn công DDoS
Kỹ thuật phát hiện ở gần nguồn tấn công: chúng ta có thể dễ dàng phát hiện tấn công tại tại nạn nhân khi tổng số lưu lượng để tắt một mạngV lớn hơn đáng kể lưu lượng bình thường. Tuy nhiên, số lượng tấn công gần nguồn sẽ không phân biệt được từ một lưu lượng bình thường, tỷ số VU sẽ rất nhỏ nếu lưu lượng cuộc tấn công DDoS là U đủ lớn. Thông thường như các phương án đã đặt ra đó là đánh dấu gói tin và truy tìm ngược lại. Các phương án này thường không có hiệu quả cao khi mà cuộc tấn công diễn ra với quy mô rất lớn. Do vậy việc phát hiện tấn công gần nguồn sẽ tránh được tắc nghẽn và đạt hiệu quả cao nhất.
Kỹ thuật phát hiện tấn công tại mạng của nạn nhân: Việc phát hiện tấn công tại nạn nhân không khó vì lúc đó lưu lượng mạng tại nạn nhân sẽ trở nên rất cao và tất nhiên sẽ dẫn đến tình trạng không thể cung cấp được các dịch vụ. Tuy nhiên, thông thường việc phát hiện và phản ứng lại tại nạn nhân thường muộn và vào lúc cuộc tấn công đang ở mức cao. Nạn nhân lựa chọn tắt server và sau đó liên hệ với các ISP. Các ISP sau khi đã nhận được lời đề nghị của nạn nhân sẽ tiến hành đẩy ngược lại lưu lượng tấn công tại các router. Công việc này thường tốn rất nhiều thời gian. Ví dụ khi nạn nhân phát hiện ra cuộc tấn công, một thông điệp sẽ được gửi đến các upstream router của nạn nhân. Thông điệp bao gồm đích của lưu lượng tấn công, và yêu cầu để lọc lưu lượng tấn công này. Tuy nhiên, việc gửi thông điệp này trong thời gian ngắn nhất có thể là vô cùng quan trọng để ngăn chặn tấn công DDoS. Bởi vậy, cần có một cơ chế phát hiện thật nhanh để gửi thông điệp trong giai đoạn tấn công.
Kỹ thuật phát hiện dựa trên thống kê: Thực tế đã chứng minh, khi các cuộc tấn công DDoS xảy ra. Lập tức phân tích sẽ thấy được lưu lượng mạng rất khác
thường. Do đó hầu hết các thuật toán phân tích phát hiện tấn công DDoS hiện nay đều dựa trên tính khác thường của lưu lượng mạng. Một số các công nghệ thống kê được áp dụng để tiến hành phân tích, thống kê những lưu lượng tải làm việc để phát hiện. Từ những kỹ thuật phân tích này, sẽ có những thuật toán phát hiện để đưa ra các tham số hoặc công nghệ thống kê, các mức độ nguy hiểm của cuộc tấn công. Thông số kiểm tra được dùng để phân loại các thuật toán như số lượng lớn lưu lượng, số địa chỉ IP mới hoặc tỷ lệ các gói tin đến và đi trong mạng. Kỹ thuật thống kê sử dụng các thuật toán thống kê để phân tích mạng (như ngưỡng giới hạn phù hợp, phát hiện điểm thay đổi và phân tích wavelet). Mức độ phân tích chi tiết các thông số, các mức độ nguy hiểm sẽ được gán [14, 20, 63]. Các thuật toán phân tích, phát hiện tấn công DDoS phổ biến hiện nay gồm:
- Thuật toán ngưỡng giới hạn khả năng đáp ứng (Adaptive Threshold) [63] phát hiện sự không bình thường dựa trên sự vị phạm của một ngưỡng khả năng đáp ứng của lưu lượng mạng trong thời gian gần. Thuật toán đặc biệt có khả năng phát hiện cao nhất khi kẻ tấn công tiến hành một cuôc tấn công TCP SYN. Thuật toán tin tưởng vào việc kiểm tra phép đo lưu lượng có vượt qua một ngưỡng giới hạn cụ thể hay không. Nếu vượt qua, chứng tỏ đã có một cuộc tấn công xảy ra.
- Thuật toán tổng tích lũy (Cumulative sum-CUSUM) [20] dựa trên giá trị trung bình của một quá trình xử lý thống kê. Sự phát hiện điểm thay đổi cần phải theo dõi trong các khoảng thời gian. Một công thức được xây dựng để theo dõi sự thay đổi này, khi vượt qua một ngưỡng giới hạn chứng tỏ đã xảy ra một cuộc tấn công.
- Thuật toán theo dõi địa chỉ IP nguồn (Source IP Address Monitoring- SIM) [14] dựa trên việc theo dõi và đánh giá các địa chỉ IP mới. Thuật toán được chia làm 2 phần là off-line training và detection and learning. Trong phần off-line training, thuật toán sẽ tiến hành theo dõi, đánh giá phân tích các địa chỉ IP trong khoảng thời gian và đưa các địa chỉ IP vào trong IAD (IP address database). Những địa chỉ trong IAD được gọi là các địa chỉ thường xuyên truy cập. IAD xóa những IP hết hạn để giảm thiểu bộ nhớ cho hệ thống và cập nhật những đia chỉ IP mới. IAD được xây dựng và cập nhật off-line để chắc chắn rằng trong IAD không bao gồm bất cứ địa chỉ tấn công nào. Còn trong phần detection and learning, SIM tiến hành thống kê những lưu lượng đến trong các khoảng thời gian. So khớp các địa chỉ IP đến trong IAD để tìm ra những IP mới. Phân tích những IP mới này, có một hàm để đánh giá các IP mới (sử dụng thuật toán CUSUM). Khi sự thay đổi vượt qua ngưỡng giới hạn chứng tỏ đã có một cuộc tấn công xảy ra.
- Thuật toán kiểm tra tỷ lệ lưu lượng đến và đi (Ratio of Input/Output Traf- fic) [63] dựa trên giả định rằng trong quá trình hoạt động bình thường trên internet, các gói tin theo hướng ra ngoài internet sẽ tỷ lệ thuận với các gói tin theo hướng ngược lại. Nếu tỷ lệ này quá lớn chứng tỏ đã có sự tấn công từ bên ngoài.
3.3 Một số nghiên cứu liên quan
Tại Việt Nam, các nghiên cứu về lý thuyết cũng như xây dựng phương án thực tế nhằm đảm bảo an toàn cho mạng NGN còn rất hạn chế. Trên thế giới, vấn đề an ninh NGN trở thành tâm điểm và thu hút rất nhiều sự quan tâm của cả các tổ chức chuẩn hoá cũng như các nhà sản xuất thiết bị viễn thông. Sau những nỗ lực chuẩn hoá về kiến trúc mạng cũng như những vấn đề xung quanh các tổ chức chuẩn hoá lớn như ITU, ETSI, 3GPP [49]. . . đã tập trung khá nhiều vào việc nghiên cứu an ninh cho mạng NGN, các chủ đề nghiên cứu trong an ninh cho NGN được thực hiện khá đa dạng, tuy nhiên hiện các chuẩn công nghệ hoàn chỉnh giải quyết đến những vấn đề cụ thể trong an ninh mạng NGN thì gần như chưa có. Giải pháp phòng chống tấn công DDoS hiện nay có thể chia thành 3 kiểu:
- Dựa trên mã (Signature-based): các công cụ và chương trình sử dụng cho tấn công DDoS điều có những đặc điểm nhất định trong các gói tin. Các đặc điểm đó có thể được ghi lại dưới dạng chuỗi bit để so khớp [14, 20].
- Phòng thủ ngưỡng (Threshold defense): là thiết lập một ngưỡng cho mỗi đơn vị thời gian có thể là 10 gói tin được ghi nhận trong 1000 mili giây thì kết nối đó sẽ bị từ chối vì xem như bị tấn công DDoS [11,63].
- Kiểu kết hợp: bao gồm các phương pháp phòng chống dựa trên chính sách TCP, IP, SYN Cookie và phương pháp điều khiển băng thông [1, 16,17]. Các dạng tấn công DDoS thực hiện tìm kiếm các lỗ hổng bảo mật trên các máy tính kết nối tới Internet và khai thác các lỗ hổng bảo mật để xây dựng mạng Botnet gồm nhiều máy tính kết nối tới Internet. Do đó, tấn công rất khó để ngăn chặn hoàn toàn. Ngay cả khi tất cả các biện pháp phòng chống này được sử dụng, chúng vẫn tồn tại các vấn đề sau:
- Các gói tin tấn công đến Firewall có thể chặn lại, nhưng hầu hết chúng đều đến từ những địa chỉ IP chưa có trong tập luật của Firewall nên chúng được coi là những gói tin hợp lệ.
- Khi địa chỉ nguồn của gói tin bị giả mạo và không nhận được sự phản hồi từ những địa chỉ nguồn thật thì biện pháp ngăn chặn thông thường là cấm giao tiếp với địa chỉ nguồn đó. Tuy nhiên mạng Botnet bao gồm từ hàng nghìn tới vài trăm nghìn địa chỉ IP trên Internet và điều đó là vô cùng khó khăn để ngăn chặn tấn công.
- Các cuộc tấn công làm cạn kiệt băng thông mạng được thực hiện trên các server trong mạng LAN. Khi máy chủ Web có hàng trăm Mbps kết nối Internet thì các biện pháp kiểm soát mức tiêu thụ băng thông mạng không còn hiệu quả trước các kiểu tấn công tràn UDP, ICMP vì lúc này lưu lượng được đẩy lên hàng Gbps. Biện pháp phòng chống tại mạng LAN không đủ để ngăn chặn các máy chủ đang ở tình trạng quá tải và tạo nên hiện tượng nghẽn mạng.
- Kiểu tấn công làm cạn kiệt tài nguyên và các biện pháp đối phó trên cũng có vấn đề khi các gói tin của người sử dụng thường xuyên trộn lẫn với các gói tin tấn công cũng có thể bị loại bỏ.
Gần đây, xu hướng sử dụng Proxy trung gian [1,72] và Moving Firewall [16,
17] để phòng thủ, bảo vệ trước các cuộc tấn công DoS mà không đòi hỏi thay đổi cơ sở hạ tầng nên rất thuận lợi cho việc sử dụng ở quy mô lớn trong thực tế. Phòng thủ DoS sử dụng mạng Proxy thực hiện được hai ý tưởng. Thứ nhất, Proxy cách ly giữa tấn công và ứng dụng, ngăn chặn trực tiếp những cuộc tấn công DoS mức cơ sở hạ tầng lên ứng dụng. Thứ hai, dùng số lượng lớn Proxy biên ngoài để phân tán lưu lượng, làm giảm ảnh hưởng của tấn công. Phòng thủ DoS dựa trên mạng Proxy cho thấy được khả năng, sự hứa hẹn bởi vì khi một ứng dụng đã được bảo vệ bởi một loạt các Proxy vô hướng, chỉ khi tất cả đều phải bị những kẻ tấn công làm tổn thương thì mới để lộ ra ứng dụng để bị tấn công trực tiếp (có thể điều chỉnh số lượng các Proxy vô hướng bằng cách cấu hình mạng Proxy để cung cấp một cấu trúc linh hoạt, chống lại sự thâm nhập của những kẻ tấn công và bảo vệ ứng dụng trước những cuộc tấn công trực tiếp). Dễ dàng phân tán rộng rãi các Proxy ở biên để khó bị những kẻ tấn công làm tràn gây gián đoạn dịch vụ. Điều này cho phép các mạng Proxy có thể chịu được những cuộc tấn công DoS bằng lưu lượng tấn công phân tán (dùng các truy cập ứng dụng trung gian để ngăn chặn những cuộc tấn công trực tiếp và cung cấp hệ thống phòng thủ mềm dẻo cho ứng dụng để làm loãng tác động của các cuộc tấn công). Đây là một mạng Proxy có tiềm năng để bảo vệ ứng dụng từ những cuộc tấn công DoS. Hệ thống phòng thủ DoS dựa trên mạng Proxy cũng có tiềm năng phát triển trên quy mô rộng lớn vì các mạng Proxy mức ứng dụng được xây dựng ở mức cao của Internet sẽ không đòi hỏi bất kỳ thay đổi nào đối với cơ sở hạ tầng Internet hiện có. Một số mạng Proxy quy mô lớn thành công (như Content Delivery Networks với mạng Proxy Akamai có tới hơn 15,000 Proxy phát triển trong hơn 1,200 mạng trên 65 quốc gia), chứng minh tính thực tế khả thi của việc phát triển những mạng Proxy quy mô lớn [72].
3.4 Giải pháp phòng chống tấn công dựa trên chính sách
Bảo vệ ứng dụng dịch vụ Internet trước các cuộc tấn công đang là một câu hỏi còn để mở cho các đề tài nghiên cứu. Các cơ chế phòng thủ hiện tại đang cố gắng chặn tấn công DoS bằng cách lọc lưu lượng tấn công (đưa lọc bổ sung trong bộ định tuyến, kiểm tra tất cả các gói dữ liệu đến trên cơ sở đặc tính hóa lưu lượng, loại bỏ những gói tin bị nghi ngờ) tại mức định tuyến của Cisco 1. Tuy nhiên, khó xác định, phân biệt chính xác một cuộc tấn công nào đó với những gói tin bình thường khi tấn công ngày càng tinh vi. Điều đó đòi hỏi hệ thống phòng thủ dựa trên các bộ lọc phải được điển hình hóa chi tiết theo mỗi cuộc tấn công.
Giả thiết kiến trúc mạng NGN được xây dựng từ các ISP cho phép cung cấp các dịch vụ cá nhân mở rộng, các nút Router trong mạng có thể điều khiển được và ISP có thể phát hiện được các địa chỉ IP bất thường. Như đã phân tích ở trên, mục tiêu của các biện pháp phòng chống tấn công DDoS hướng đến là giảm thiểu thiệt hại tài nguyên của máy chủ. Nhưng tấn công DoS sử dụng UDP lại làm tăng băng thông các gói tin trên mạng được gửi đến máy chủ từ mạng LAN nên rất khó để chống lại. Các biện pháp phòng chống DoS sử dụng UDP hiệu nay vẫn chưa thực sự hiệu quả. Vì vậy mục tiêu phương pháp được đề xuất trong bài báo này hướng đến kiểm soát và ngăn chặn tấn công DoS dùng UDP. Đa số giao thức truyền thông trên mạng là TCP được sử dụng trong Web Servers và Mail Servers. Còn giao thức UDP được sử dụng bởi DNS và NTP truyền thông với lượng băng thông nhỏ. Giao thức báo hiệu điều khiển lớp ứng dụng SIP sử dụng băng thông rộng để thiết lập, duy trì, kết thúc các phiên truyền thông đa phương tiện sử dụng UDP và RTP. Tuy nhiên, đối với các dịch vụ UDP chúng ta rất khó đánh giá sự bình thường băng thông của mạng từ phía ISP.
Hướng tiếp cận của luận án là dùng chính sách an ninh riêng để phát hiện tấn công DoS bằng cách kiểm soát số lượng gói tin UDP phát sinh trong mạng NGN có vượt quá một giới hạn nhất định trong một đơn vị thời gian với băng thông sẵn có hay không? Giới hạn này được xác định dựa trên chính sách an ninh riêng trên mạng LAN và được thiết lập trước khi tấn công DoS xảy ra.
1) Thiết lập chính sách an ninh riêng: Băng thông của Server dành cho các gói tin UDP trong một đơn vị thời gian được thiết lập thành tham số để điều khiển tấn công DoS. Giá trị này bằng số lượng các gói tin UDP trong 1 giây mà băng thông cho phép, nội dung chính sách an ninh được thể hiện trong Hình 3.5. Trong đó, địa chỉ IP của Server sẽ mô tả địa chỉ máy chủ cần kiểm soát, ngưỡng phát hiện tấn công và lượng băng thông dành cho UDP sẽ kiểm soát sự bất thường của các gói tin.