Chương 5: TRIỂN KHAI HỆ THỐNG PHÁT HIỆN NGĂN CHẶN TỰ ĐỘNG KẾT HỢP GIAO THỨC LAN TỎA NGƯỢC
5.3 Triển khai hệ thống
Do đây mới là mô hình thí nghiệm nên việc triển khai cũng ở quy mô đơn giản. Việc trình bày về kỹ thuật phát hiện khá chi tiết ở trên nên việc triển khai cũng không quá khó khăn.
Hình 10: Sơ đồ hệ thống
Server S1 là nạn nhân R2 là gateway của nạn nhân R3, R4 là router lõi
R5, R6, R7, R8 là các router gateway tương ứng của các router R3, R4 C9, C10, C11, C12, C13, C14, C15, C16 là các máy truy xuất đến nạn nhân Do việc xác định các IP thường xuyên truy cập cần thời gian khá dài nên ở mô hình này sẽ thiết lập thông số thời gian là 5 phút. Hệ thống sẽ bắt các gói tin trong thời gian trên. Như đã nói, sử dụng phần mềm IPTraf để bắt gói tin
Hình 11: Phần mềm bắt gói tin IPTraf
Từ các máy C9, C10, C11, C12 ping đến S1 trong khoảng thời gian trên. Sau 5 phút, hệ thống lưu lại các địa chỉ 172.16.6.2, 172.16.6.3, 172.16.7.2, 172.16.7.3 vào IAD
Hình 12: Xây dựng IAD
Giả sử khi ping từ máy C13 đến S1 là lúc lưu lượng mạng bình thường. Hệ thống tính toán và xác định được giá trị α (giá trị trung bình của {Xn} khi lưu lượng mạng bình thường). Do đó tại thời điểm này, toàn bộ các giá trị của Y đều bằng 0.
Hình 13: Giá trị của Y khi lưu lượng mạng bình thường
Từ các máy C14, C15, C16 ping đến S1. Lúc này các máy C9, C10, C11, C12 vẫn ping bình thường đến S1. Hệ thống ở S1 phát hiện bị tấn công, tất nhiên các giá trị của Y tăng lên rất nhanh và vượt qua giới hạn cho phép (N=0.05).
Hình 14: Giá trị của Y khi có cuộc tấn công
Sau đó hệ thống tiến hành chặn địa chỉ IP của C14, C15, C16 do đây là các IP mới bằng giao thức lan tỏa ngược. Các máy C9, C10, C11, C12 vẫn ping được bình thường do đây là các IP thường xuyên truy cập.
Hình 15: Chặn các IP mới bằng giao thức lan tỏa ngược
Việc phát hiện và ngăn chặn của hệ thống có hiệu quả khá cao.
5.4 Kết luận
Như vậy trong luận văn này tôi đã giới thiệu tổng quan và phận loại các cuộc tấn công Ddos hiện nay. Bên cạnh đó tôi cũng đã giới thiệu qua về các thuật toán phát hiện Ddos được sử dụng phổ biển trên thế giới. Những thuật toán này có thể giúp phát triển những hệ thống dựa trên những nền tảng đã có. Như trong luận văn này, tôi đã sử dụng thuật toán CUSUM để phát hiện dấu hiệu của cuộc tấn công Ddos. Việc phát hiện chính xác đồng thời kết hợp với giao thức lan tỏa ngược đã làm cho hệ thống trở nên hoàn thiện hơn rất nhiều. Do giao thức lan tỏa ngược phiên bản đầu tiên vẫn còn thiếu một số chức năng nên trong luận văn đã tiến hành bổ xung các chức năng còn thiếu trong giao thức “lan tỏa ngược”. Lan tỏa ngược là một giao thức khá mạnh, có thể ngăn chặn ngay cả khi Agent giả mạo đia chỉ IP. Việc đặt bộ lọc ở gần nguồn tấn công nhất của giao thức lan tỏa ngược là phương pháp tối ưu nhất trong các giao thức ngăn chặn Ddos hiện nay.
Tuy nhiên do thời gian có hạn nên hệ thống còn khá nhiều vấn đề chưa được giải quyết. Ví dụ như: có thể tính các địa chỉ IP mới một cách chi tiết hơn nữa để hạn chế tối đa việc chặn nhầm và việc tự động chạy giao thức lan tỏa ngược trên các router….
Hy vọng trong một tương lai không xa hệ thống sẽ được phát triển và hoàn thiện hơn để có thể ứng dụng trong thực tế.