Một số công cụ quét tệp có thể thực hiện việc tìm kiếm các công cụ thực hiện tấn công DDOS đã đƣợc biết trong hệ thống của chúng ta. Một số các công cụ kiểm tra host của các vendor có những cập nhật cho các công cụ của họ bao gồm các dấu hiệu. Giống nhƣ các phần mềm diệt virut, các công cụ này cũng cần luôn đƣợc thay đổi và cập nhật.
Bùi Trung Thành – CB120730 – KTTT22012B Trang 47
CHƢƠNG 3 - GIẢI PHÁP TRUY NGƢỢC ĐỊA CHỈ IP
Trong những năm gần đây, vấn đề an ninh cho cơ sở hạ tầng Internet đang trở nên phổ biến trên toàn cầu và đã thu hút đƣợc nhiều chú ý. Rất nhiều phƣơng án an ninh đã đƣợc đề xuất để đảm bảo an ninh cho cơ sở hạ tầng này. Vấn đề an ninh cụ thể, và cũng là nội dung chính, là các tấn công ẩn danh. Do tính chất đáng tin cậy của giao thức IP, mà ban đầu các vấn đề an ninh không đƣợc bao gồm trong thiết kế, địa chỉ IP nguồn của một gói tin không đƣợc xác thực dẫn đến những kẻ tấn công thƣờng che dấu nhận diện và làm giả địa chỉ IP nguồn. Tấn công từ chối dịch vụ DoS hay DDoS là một ví dụ của tấn công ẩn danh, tấn công mà hiện tại không có phƣơng thức rõ ràng để ngăn chặn và lấy dấu. Trong đó việc ngăn chặn tất cả các tấn công trên Internet thực tế cần ít nhất một cơ chế để nhận dạng địa chỉ nguồn tấn công để dùng trong trƣờng hợp việc ngăn chặn bị lỗi. Đây là lý do phải thiết kế các kỹ thuật truy ngƣợc IP. Truy ngƣợc là bất kỳ phƣơng thức nào xác định tin cậy nguồn gốc của lƣu lƣợng trong mạng.
Theo nhƣ những gì chúng ta đã biết thì phƣơng thức truy ngƣợc thông thƣờng chỉ phát hiện đến router biên của mạng kẻ tấn công, bởi vì các proxy và NAT sẽ gây khó khăn cho việc phân biệt các máy chủ. Trong trƣờng hợp này, để phòng thủ các tấn công, các bộ lọc của nạn nhân loại bỏ hoàn toàn lƣu lƣợng từ mạng của kẻ tấn công sau khi nhận dạng nguồn gốc tấn công.
Xem xét kịch bản một máy tính ở trong một mạng lớn, ví dụ nhƣ một trƣờng đại học, bắt đầu tấn công DoS hoặc DDoS bằng cách giả mạo địa chỉ IP đối với một server công cộng (nạn nhân). Nếu một kỹ thuật truy ngƣợc IP đƣợc thực hiện trên cả mạng trƣờng đại học và phía nạn nhân, nạn nhân sẽ có thể nhận dạng rằng mạng của kẻ tấn công là mạng trƣờng đại học. Khi nạn nhân bắt đầu loại bỏ bất kỳ lƣu lƣợng nào từ mạng này, nhiều máy tính trong trƣờng đại học không tham gia tấn công cũng sẽ bị loại bỏ.
Bùi Trung Thành – CB120730 – KTTT22012B Trang 48
Với mục đích xử lý vấn đề này và nhận dạng kẻ tấn công chính xác nhất có thể, có rất nhiều giải pháp truy ngƣợc đƣợc đƣa ra, đƣợc chia thành các nhóm: kiểm tra liên kết, bản tin, ghi log, đánh dấu gói tin [1].
Trong giải pháp kiểm tra liên kết, nguồn tấn công đƣợc truy ngƣợc thủ công từ nạn nhân thông qua liên kết mang lƣu lƣợng tấn công.
Giải pháp sử dụng bản tin sẽ sử dụng các bản tin ICMP để tái xây dựng lại đƣờng đi của gói tin tấn công.
Giải pháp sử dụng log sẽ kiểm tra các dữ liệu log đƣợc duy trì tại mỗi router trên đƣờng tấn công, và áp dụng một vài thuật toán ―data mining‖ để xác định nguồn gốc của gói tin.
Giải pháp đánh dấu gói tin thực hiện việc đƣa vào trong Header gói tin IP các thông tin router mà có thể sử dụng để nhận dạng địa chỉ gốc của gói tin. Trong luận văn này chúng ta sẽ nói về các giải pháp đánh dấu gói tin, những giải pháp đem lại hiệu quả truy ngƣợc tốt nhất so với các giải pháp còn lại. Cụ thể chƣơng này xem xét các giải pháp đánh dấu gói tin hiện có là: giải pháp dựa trên thuật toán đánh dấu xắc suất gói tin (PPM – Probability Packet Marking), giải pháp dựa trên thuật toán đánh dấu xác định gói tin (DPM – Deterministic Packet Marking) và giải pháp dựa trên thuật toán đánh dấu xác định luồng (DFM – Deterministic Flow Marking). Đồng thời cũng xem xét một giải pháp mới là giải pháp dựa trên thuật toán đánh dấu xác định luồng đáp ứng theo kích thƣớc gói tin (PLA DFM – Packet Length Adaptive Deterministic Flow Marking).
Trƣớc khi đi vào các giải pháp cụ thể, chúng ta sẽ xem xét định nghĩa thế nào là luồng thông tin. Luồng là một tập hợp một chiều của các gói tin giữa hai mạng với thời gian trễ gói tin không nhiều hơn 600 ms. Một luồng TCP/IP có thể nhận dạng duy nhất bởi địa chỉ IP nguồn và đích, cổng nguồn và đích, và giao thức lớp 4 (TCP/UDP). Một luồng ICMP có thể đƣợc nhận diện bởi địa chỉ IP nguồn và đích, giao thức lớp 4 (ICMP), kiểu ICMP, mã ICMP và ICMP ID.
Bùi Trung Thành – CB120730 – KTTT22012B Trang 49