4.1.1 Kịch bản thí nghiệm
Hình 4.1 Mô hình thí nghiệm phân tích dữ liệu chạy qua hệ thống
Hình 4.1 mô tả 2 luồng dữ liệu chạy qua hệ thống. Một là luồng dữ liệu truy cập bình thường từ người dùng tới các địa chỉ website qua Internet. Một là luồng tấn công từ ngoài Internet tới khách hàng. Tất cả sẽ đi qua hệ thống của nhà cung cấp dịch vụ và cụ thể sẽ đi qua khối phân tích dữ liệu đề xuất (OpenFlow Switch). Tại đây hệ thống sẽ phân tích dữ liệu và đưa ra cảnh báo và các thông tin cần thiết cho người quản trị
Mô hình thử nghiệm thực tế được mô tả như hình 4.2 bên dưới. Để có thể thực hiện được thí nghiệm, em sử dụng mô hình kinh điển 4 khối bao gồm:
- Openvswitch: là một máy tính gắn card NetFPGA, chạy hệ điều hành Centos. Trên máy tính cài đặt module OpenFlow Switch. IP Openvswitch là 10.0.10.2/24
- POX: là một máy tính chạy hệ điều hành Ubuntu có cài module Controller để điều khiển hoạt động của Openvswitch và hiển thị các kết quả ra màn hình. IP Pox là 10.0.10.1/24
- Client: là một máy tính chạy hệ điều hành Windows 7 có cài công cụ giả lập tấn công Iperf. IP Client là 10.0.1.10/24
- Server: là một máy tính chạy hệ điều hành Windows Server 2008 có cài FTP server và Webserver. IP Server là 10.0.2.100/24
Hình 4.2 Sơ đồ bố trí thí nghiệm thực tế
Với mô hình này, ta sẽ thực hiện việc trao đổi gói tin giữa Client và Server thông qua Openvswitch. Bộ điều khiển POX sẽ đọc các gói tin trao đổi này và phân tích, so sánh với các thông số tiêu chuẩn để quyết định trạng thái trao đổi là bình thường hay
có tấn công DDOS. Trong phạm vi luận văn, em tập trung vào loại hình tấn công hay gặp nhất ở môi trường làm việc thực tế - tấn công từ chối dịch vụ bằng băng thông.
Kịch bản thí nghiệm là mô phỏng hệ thống khi có lưu lượng gói tin bình thường đi qua và khi có lưu lượng tăng đột biến về băng thông. Mục đích của kiểu tấn công này là phun traffic làm tăng băng thông, nghẽn đường truyền của nạn nhân, khiến dịch vụ của nạn nhân bị gián đoạn, thậm chí mất quyền quản trị.
Trong thí nghiệm, ta giả lập các thông số ngưỡng như sau:
- Traffic của Server ở mức bình thường: 10Mbps
- Traffic của Server ở mức cảnh báo: 150Mbps