Với môi trường phòng thí nghiệm, rất khó để có thể giả lập tấn công DDOS với dữ liệu giống với môi trường thật. Để hiểu sâu hơn về quá trình phát hiện và xử lý một cuộc tấn công DDOS theo cách truyền thống của người quản trị mạng, em xin đưa ra dữ liệu hình ảnh từ VDC Online.
Hình 2.6 dưới đây là mô hình mô phỏng tấn công. Hacker sẽ đứng từ ngoài Internet, tấn công vào một server chạy dịch vụ. Server này đang thuê Internet của VDC Online.
Mô hình bên trong của VDC Online ta sẽ quan tâm tới 2 lớp: Access và Distribute. Hệ thống giám sát băng thông sẽ giám sát toàn bộ cổng Uplink của hệ thống Switch Distribute (các cổng ae – aggregated ethernet) và cảnh báo khi có băng thông bất thường.
Hình 2.6 Sơ đồ tấn công DDOS
Trong quá trình làm việc tại VDC Online ở vị trí quản trị mạng, em đã có cơ hội gặp và xử lý rất nhiều vụ tấn công DDOS nhằm vào các khách hàng thuê đường truyền của công ty. Trung bình mỗi tuần sẽ có từ 2 tới 3 vụ tấn công như vậy.
Lấy ví dụ thực tế về một trường hợp khách hàng bị tấn công DDOS bằng băng thông, hệ thống giám sát sẽ đưa ra hình ảnh kèm cảnh báo tới người quản tri.
Hình 2.7 Biểu đồ băng thông có tấn công DDOS thực tế tại 1 ISP ở Việt Nam (Nguồn: VDC Online)
Đồ thị hình 2.7 cho biết:
- Ngày 27/8/2015, traffic đi vào cổng ae0 ở mức bình thường chỉ khoảng 1,78Gbps. Traffic đi ra khỏi cổng ae0 hoàn toàn bình thường, mức cao nhất khoảng 7,5Gbps, không có dấu hiệu của tấn công mạng.
- Vào thời điểm 8h00, traffic đi vào cổng ae0 tăng đột biến lên khoảng 4Gbps.Vào thời điểm 20h00, traffic đi vào cổng ae0 tăng đột biến từ 2Gbps lên 8Gbps. Đây là các dấu hiệu nhận biết 1 cuộc tấn công DDOS từ bên ngoài nhằm vào khách hàng của ISP. - Người quản trị sau khi phát hiện ra tấn công sẽ tiến hành debug trên switch để phát
hiện IP của server bị tấn công và IP của hacker.
- Việc debug thông thường sẽ sử dụng công cụ bắt gói tin Wireshark [16]. Wireshark là công cụ bắt gói tin phổ biến nhất hiện nay, có khả năng bắt và phân tích gói tin, cung cấp cho người quản trị các thông tin hữu ích như IP nguồn, đích, MAC, dung lượng gói tin, giao thức gói tin, số lượng gói tin trong 1 giây ... Tính năng Port Mirroring [17] trên switch cho phép copy dữ liệu từ port switch này sang port switch khác, từ đó bắt được gói tin mà không cần ngắt kết nối của server khách hàng, tránh làm gián đoạn dịch vụ.
Hình 2.8 Kết quả bắt gói tin khi xảy ra tấn công
Kết quả bắt gói tin thu được các thông tin cần thiết: - IP đích (nạn nhân): 123.30.241.175
- IP nguồn (hacker): có nhiều IP, toàn bộ IP là IP nước ngoài. Trong trường hợp này, có thể hacker đã giả mạo IP hoặc sử dụng cùng lúc nhiều nguồn để tấn công nạn nhân. - Giao thức tấn công: SSDP (Simple Service Discovery Protocol) [15]
Dựa vào các thông tin cần thiết này, người quản trị sẽ thông báo tới khách hàng, đồng thời tạo các rule firewall để chặn luồng tấn công từ các IP đích.
Có thể nhận thấy, quá trình từ việc phát hiện tấn công tới lúc xử lý xong mất khá nhiều thời gian. Việc này phụ thuộc nhiều yếu tố, do yếu tố chủ quan của con người, do yếu tố điều kiện hoàn cảnh, trình độ của người quản trị...
SDN sẽ giải quyết bài toán khó này. Em xin đề xuất mô hình triển khai SDN tích hợp vào hệ thống đang có của ISP.