Sau khi phát hiện tấn công, người quản trị thao tác trên bộ điều khiển POX, ra lệnh đẩy bản tin Flow Modification xuống Switch, yêu cầu hủy gói tin có nguồn là IP tấn công. Trên giao diện giám sát sẽ hiển thị thông báo hệ thống bình thường, cùng với đồ thị traffic đã giảm về mức trước khi có tấn công giống như trong hình 4.9 bên dưới:
Hình 4.9 Giao diện quản trị hệ thống sau khi đã xử lý tấn công
Kết quả cho thấy tính chính xác của hệ thống trong việc phát hiện và xử lý tấn công mạng.
4.3 Đánh giá kết quả
4.3.1 Nhận xét, đánh giá:
Khi giả lập với băng thông nhỏ, khoảng 10Mbps thì kết nối tới server hoàn toàn bình thường, không vượt ngưỡng 150Mbps.
Khi băng thông tấn công lên tới 200Mbps. băng thông đường truyền vượt mức 150Mbps thì máy mô phỏng server bị tấn công bị mất kết nối do nghẽn đường truyền. Mọi truy cập tới server đều không thành công. Điều này hoàn toàn phù hợp với lý thuyết và kết quả của kiểu tấn công này.
Đồ thị băng thông khi xảy ra tấn công có sự trồi sụt mạnh, có thời điểm vọt lên 300Mbps nhưng cũng có lúc giảm xuống khoảng 50Mbps. Lý do một phần phụ thuộc đường truyền, khi băng thông cao đường truyền sẽ không ổn định. Bên cạnh đó còn phụ thuộc công cụ giả lập Iperf, với 1 nguồn phát khó có thể phát ổn định trong thời gian dài. Tuy nhiên băng thông trung bình vẫn ở mức 200Mbps, đảm bảo tính chính xác của kết quả thu được.
Sau khi kết thúc tấn công, đồ thị giám sát cho thấy băng thông đã giảm về mức ổn định 10Mbps. Kết nối tới server đã thông trở lại.
Kết quả thí nghiệm đã phản ánh chính xác luồng hoạt động và xử lý của hệ thống khi xảy ra tấn công mạng.
4.3.2 Hướng phát triển hệ thống:
Do thời gian xử lý của toàn bộ hệ thống phụ thuộc rất nhiều vào thời gian xử lý trên POX, vì vậy, muốn nâng cao chất lượng, giảm thời gian xử lý của hệ thống ta cần tối ưu hóa các module cũng như nâng cao cấu hình của Controller như là CPU, RAM.
Trong đồ án này, Controller (POX) được xây dựng trên một máy tính chạy hệ điều hành Ubuntu và có rất nhiều dịch vụ, chương trình chạy song song với POX. Do vậy, để nâng cao khả năng làm việc của Pox, ta có thể triển khai Controller Pox trên một máy chủ độc lập có cấu hình cao.
Mặt khác trong phạm vi thí nghiệm mới thực hiện được khâu phân tích dữ liệu, và cảnh báo cho người quản trị nhưng chưa thực hiện được tác vụ tự động ngăn chặn khi có dấu hiệu tấn công, do vậy trong mục tiêu sắp tới sẽ thực hiện khâu này và có thể áp dụng vào thực tế cho các ISP.
4.4 Kết luận
Kết quả đo và thực hiện thử nghiệm hệ thống phụ thuộc nhiều vào cấu hình của các thiết bị giả lập. Chính vì vậy, cần phải tối ưu hóa các khối chức năng trong trình ứng dụng để có thể nâng cao hiệu suất của toàn hệ thống.
KẾT LUẬN
Trong thời đại bùng nổ về công nghệ thông tin hiện nay, mạng Internet là một phần không thể thiếu của cuộc sống, từ trường học tới bệnh viện, từ hộ gia đình tới nhà máy xí nghiệp. Internet phát triển kéo theo sự tiện nghi trong truyền thông giao tiếp, đem lại lợi ích khó có thể đong đếm cho sự phát triển của toàn xã hội. Sự phụ thuộc vào Internet cũng đem tới không ít nguy cơ cho người sử dụng, trong đó nguy hiểm nhất là việc bị tấn công.
Song song với sự phát triển của công nghệ Internet, tấn công mạng cũng ngày càng tinh vi, hậu quả gây ra ngày càng nghiêm trọng. Từ những ông lớn công nghệ của thế giới như Apple, Facebook... tới những doanh nghiệp có truyền thống ở Việt Nam như VCcorp, BKAV... đều đã từng là nạn nhân của những cuộc tấn công mạng gây thiệt hại hàng triệu đô la. Bởi vậy, không hề quá khi nói vấn đề an ninh mạng luôn luôn là vấn đề bức thiết nhất, quan trọng nhất và tốn kém nhất đối với các nhà cung cấp dịch vụ.
Trên những nhu cầu ấy, những phát minh, công nghệ Internet mới nếu muốn đánh bại được công nghệ cũ thì cách thuyết phục nhất chính là chiến thắng trong vấn đề bảo mật. SDN là một công nghệ như vậy. Với các phẩm chất của mình, SDN có đủ tiềm năng để phát triển rộng rãi, dần thay thế cho hệ thống mạng cũ. Sự linh hoạt, mềm dẻo trong quản lý, phát triển tính năng không giới hạn nhờ lập trình cộng thêm tính tương thích hoàn hảo chính là các ưu điểm vượt trội của SDN. Với cơ sở dữ liệu đầu vào, các thiết bị SDN có khả năng tự phân tích, đánh giá để sớm phát hiện các nguy cơ tấn công mạng, từ đó tự động đưa ra các phương án ngăn chặn và phòng chống tấn công.
Ý thức được tầm quan trọng của an ninh mạng cũng như các ưu điểm vượt trội mà SDN mang lại, em đã nghiên cứu và lựa chọn đề tài “Bảo mật trong ISP sử dụng kỹ thuật điều khiển bằng phần mềm OpenFlow/SDN“ nhằm đưa ra một số phương án áp dụng SDN vào các mô hình mạng truyền thống tại các ISP. Mặc dù đã cố gắng thực hiện đề tài trong các môi trường và điều kiện khác nhau nhằm tìm tính đúng đắn nhất
và khả năng của hệ thống để từ đó đưa ra các kết quả sơ bộ và kết luận thực nghiệm, tuy nhiên trong quá trình làm không tránh khỏi thiếu sót và hạn chế. Tuy vậy, đây chính là tiền đề để em tiếp tục nghiên cứu và phát triển đề tài thêm trong tương lai, hoàn thiện mô hình để có thể áp dụng thực tế tại các ISP.
Em xin đưa ra một số định hướng nghiên cứu và phát triển đề tài trong tương lai như sau:
- Thiết lập hệ thống tự động xử lý khi phát hiện dấu hiệu tấn công mạng. - Đưa thêm các dữ liệu đầu vào về các loại tấn công mạng khác.
- Đo đạc và nâng cao hiệu năng xử lý của bộ điều khiển: đo thời gian xử lý, trễ xử lý, khối lượng dữ liệu đầu vào có thể tiếp nhận...
- Nâng cao khả năng chuyển mạch của Switch, đo tốc độ chuyển mạch tối đa, tốc độ định tuyến gói tin...
- Đưa vào mô hình thực tế chạy song song với hệ thống cũ, kiểm tra và đánh giá tính tương thích, so sánh hiệu năng, khả năng bảo mật... từ đó đưa ra kết luận có nên sử dụng thiết bị SDN hay không.
- Phát triển thêm hệ thống hiển thị màn hình giám sát (hiện nay đang để trên POX) tách biệt với bộ điều khiển để đảm bảo an toàn hệ thống.
TÀI LIỆU THAM KHẢO
[1]ONF White Paper (2012, April 13), Software-Defined Networking: The New Norm for Networks [Online]. Available: https://www.opennetworking.org.
[2]http://archive.openflow.org/, truy cập cuối cùng ngày 27/05/2015.
[3]James Hamilton (2011, May 20), Software Load Balancing using Software Defined Networking [Online]. Available: http://perspectives.mvdirona.com.
[4]http://info.ssl.com/, truy cập cuối cùng ngày 27/05/2015.
[5]POX, Github; URL: https://github.com/noxrepo/pox, truy nhập cuối ngày 27/05/2015.
[6]http://openvswitch.org/, truy nhập cuối ngày 27/05/2015.
[7]http://netfpga.org/site/#/systems/4netfpga-1g/details/, truy nhập cuối ngày 27/05/2015.
[8]http://flowgrammable.org/sdn/openflow/message-layer/, truy nhập cuối ngày 27/05/2015.
[9]Python, Python tutorial, URL: http://docs.python.org/2/tutorial/, truy nhập lần cuối ngày 27/05/2015.
[10] MRTG. MRTG Doc, URL https://oss.oetiker.ch/mrtg/doc/index.en.html, truy nhập lần cuối ngày 01/06/2015.
[11] Cacti, Cacti download, URL: http://www.cacti.net/download_cacti.php truy nhập lần cuối ngày 04/06/2015.
[12] Nagios, Nagios Documentation, URL: http://www.cacti.net/download_cacti.php truy nhập lần cuối ngày 15/05/2015
[13] Opsview, Opsview Documentation, URL: https://docs.opsview.com/doku.php truy nhập lần cuối ngày 20/4/2015.
[14] Zabbix, Zabbix Documentation, URL: http://www.zabbix.com/documentation/ truy nhập lần cuối ngày 10/08/2015.
[15] SSDP, https://wiki.wireshark.org/SSDP truy nhập lần cuối ngày 01/08/2015 [16] Wireshark https://www.wireshark.org/download.html truy nhập lần cuối ngày
1/4/2015
[17] Catalyst Switched Port Analyzer
http://www.cisco.com/c/en/us/support/docs/switches/catalyst-6500-series- switches/10570-41.html truy nhập lần cuối ngày 10/8/2015
[18] https://en.wikipedia.org/wiki/Cacti_%28software%29, truy nhập lần cuối ngày 15/08/2015
[19] Iperf URL: https://iperf.fr/ truy nhập lần cuối ngày 10/7/2015
[20] Iperf Documentation, URL https://iperf.fr/iperf-doc.php truy nhập lần cuối ngày 10/7/2015