DDoS là một kiểu tấn công rất đặc biệt, điểm cực kỳ hiểm ác của DDoS làm cho nó khó khắc phục là “DDoS đánh vào nhân tố yếu nhất của hệ thống thông tin – con ngƣời”. Từ đặc điểm này của DDoS làm phát sinh rất nhiều các vần đề mà mọi ngƣời trong cộng đồng Internet phải cùng chung sức mới có thể giải quyết.
Sau đây là các yếu điểm mà chúng ta cần phải hạn chế 2.11.2.1 Thiếu trách nhiệm với cộng đồng
Con ngƣời thông thƣờng chỉ quan tâm đầu tƣ tiền bạc và công sức cho hệ thống thông tin của “chính mình”. DDoS khai thác điểm này rất mạnh ở phƣơng thức giả mạo địa chỉ và Broadcast amplification.
- IP spoofing: một cách thức đơn giản nhƣng rất hiệu quả đƣợc tận dụng tối đa trong các cuộc tấn công DDoS. Thực ra chống giả mạo địa chỉ không có gì phức tạp, nhƣ đã đề cập ở phần trên, nếu tất cả các subnet trên Internet đều giám sát các packet ra khỏi mạng của mình về phƣơng diện địa chỉ nguồn hợp lệ thì không có một packet giả mạo địa chỉ nào có thể truyền trên Internet đƣợc.
Đề nghị “Tự giác thực hiện Egress Filtering ở mạng do mình quản lý”. Hi
vọng một ngày nào đó sẽ có quy định cụ thể về vấn đề này cho tất cả các ISP trên toàn cầu.
- Broadcast Amplification: tƣơng tự IP spoofing, nó lợi dụng toàn bộ một
subnet để flood nạn nhân. Vì vậy, việc giám sát và quản lý chặt chẽ khả năng broadcast của một subnet là rất cần thiết. Quản trị mạng phải cấu hình toàn bộ hệ thống không nhận và forward broadcast packet.
53
2.11.2.2 Sự im lặng
Hầu hết các tổ chức đều không có phản ứng hay im lặng khi hệ thống của mình bị lợi dụng tấn công hay bị tấn công. Điều này làm cho việc ngăn chặn và loại trừ các cuộc tấn công trở nên khó khăn. Mọi việc trở nên khó khăn khi mọi ngƣời không chia sẻ kinh nghiệm từ các cuộc tấn công, trong khi giới hacker thì chia sẻ mã nguồn mở của các công cụ, một cuộc chơi không cân sức .
Đề nghị
- Mỗi tổ chức có liên quan nên thiết lập quy trình xử lý xâm nhập vào tổ chức, nhóm chuyên trách với trách nhiệm và quy trình thật cụ thể. Các ISP nên thiết lập khả năng phản ứng nhanh và chuyên nghiệp để hỗ trợ các tổ chức trong việc thực hiện quy trình xử lý xâm nhập của mình.
- Khuyến khích các quản trị mạng gia nhập mạng lƣới thông tin toàn cầu của các tổ chức lớn về bảo mật nhằm thông tin kịp thời và chia sẻ kinh nghiệm với mọi ngƣời
- Tất cả các cuộc tấn công hay khuyết điểm của hệ thống đều phải đƣợc báo cáo đến bộ phận tƣơng ứng để xử lý.
2.11 Tầm nh n hạn hẹp
Nếu chỉ thực hiện các giải pháp trên thôi thì đƣa chúng ta ra khỏi tình trạng cực kỳ yếu kém về bảo mật. Các giải pháp này không thực sự làm giảm các rủi ro của hệ thống thông tin mà chỉ là các giải pháp tình thế. Có những vấn đề đòi hỏi một cái nhìn và thái độ đúng đắn của cộng đồng Internet. Cần phải có những nghiên cứu thêm về mặt quy định bắt buộc và pháp lý nhằm hỗ trợ chúng ta giải quyết các vấn đề mà kỹ thuật không thực hiện nổi. Một số vấn đề cần thực hiện thêm trong tƣơng lai:
- Giám sát chi tiết về luồng dữ liệu ở cấp ISP để cảnh cáo về cuộc tấn công. - Xúc tiến đƣa IPSec và Secure DNS vào sử dụng.
- Khẳng định tầm quan trọng của bảo mật trong quá trình nghiên cứu và phát triển của Internet II.
54
- Nghiên cứu phát triển công cụ tự động sinh ra ACL từ security policy, router và firewall.
- Ủng hộ việc phát triển các sản phẩm hƣớng bảo mật có các tính năng: bảo mật mặc định, tự động update.
- Tài trợ việc nghiên cứu các protocol và các hạ tầng mới hỗ trợ khả năng giám sát, phân tích và điều khiển dòng dữ liệu thời gian thực.
- Phát triển các router và switch có khả năng xử lý phức tạp hơn.
- Nghiên cứu phát triển các hệ thống tƣơng tự nhƣ Intrusion Dectection, hoạt động so sánh trạng thái hiện tại với định nghĩa bình thƣờng củ hệ thống từ đó đƣa ra các cảnh báo.
- Góp ý kiến để xây dựng nội quy chung cho tất cả các thành phần có liên quan đến Internet.
- Thiết lập mạng lƣới thông tin thời gian thực giữa những ngƣời chịu trách nhiệm về hoạt động của hệ thống thông tin nhằm cộng tác-hỗ trợ-rút kinh nghiệm khi có một cuộc tấn công quy mô xảy ra.
- Phát triển hệ điều hành bảo mật hơn.
- Nghiên cứu các hệ thống tự động hồi phục có khả năng chống chọi, ghi nhận và hồi phục sau tấn công cho các hệ thống xung yếu.
- Nghiên cứu các biện pháp truy tìm, công cụ pháp lý phù hợp nhằm trừng trị thích đáng các attacker mà vẫn không xâm phạm quyền tự do riêng tƣ cá nhân.
- Đào tạo lực lƣợng tinh nhuệ về bảo mật làm nòng cốt cho tính an toàn của Internet.
- Nhấn mạnh yếu tố bảo mật và an toàn hơn là chỉ tính đến chi phí khi bỏ ra xây dựng một hệ thống thông tin.
Hệ thống phát hiện và giảm thiểu DDos hiện nay
Nhƣ chúng ta đã thấy, khả năng phát hiện một cuộc tấn công ngay lập tức sẽ ảnh hƣởng rất lớn đến quá trình ngăn chặn và làm giảm đến mức thấp nhất tác hại mà một cuộc tấn công DDos gây ra.
Hiện nay các hệ thống phát hiện đang đƣợc phát triển và khá công phu. Hầu hết đã phát hiện đƣợc các loại tấn công Dos và DDos nhƣng khó có thể đạt đƣợc độ chính xác cao.
55
Những hệ thống phát hiện DDos này thƣờng sử dụng rất nhiều phƣơng thức để dò tìm và phát hiện. Thông thƣờng các công cụ này so sánh lƣu lƣợng hiện tại với lƣu lƣợng có thể chấp nhận đƣợc. Công nghệ này vẫn còn có một vài thiếu sót. Trƣớc tiên, ngƣỡng này thƣờng đặt tĩnh và yêu cầu ngƣời sử dụng phải cấu hình để phù hợp với mọi môi trƣờng, tuy nhiên sẽ khó có thể thay đổi thích ứng với môi trƣờng mới. Thứ hai, chỉ có một số ít các ngƣỡng đƣợc thiết lập vì sự thống kê chi tiết các giao thức không có giá trị cho ngƣời sử dụng. Thứ 3, ngƣỡng chỉ áp dụng ở mức độ tổng hợp cao. Sự thiếu sót này có thể dẫn tới sự đánh giá sai về tính rõ ràng và tính phủ định của hệ thống phát hiện. Thậm chí một phát hiện sự xâm hại có thể chặn nhầm một địa chỉ hợp lệ.
Do vậy, để hiệu quả một hệ thống phát hiện xâm nhập phải thêm nhiều tính năng để phát hiện và phân biệt một sự tấn công với các hoạt động bình thƣờng.
2.12 Các yêu cầu đối với môt hệ thống phát hiện DDos 2.12.1 Phát hiện nhiều cơ chế
Hiện nay các hình thức tấn công Ddos rất đa dạng và luôn đƣợc phát triển không ngừng. Càng ngày càng có nhiều kiểu tấn công mới. Do vậy, một hệ thống phát hiện Ddos thật sự hiệu quả khi phát hiện đƣợc hầu hết các kiểu tấn công. Luôn đánh giá đƣợc hệ thống mạng khi có những dấu hiệu bất thƣờng, phải cập nhật thƣờng xuyên những kiểu tấn công mới để có biện pháp phát hiện nhanh nhất .
2.12.1.2 Phản ứng
Khi một cuộc tấn công DDos xảy ra. Bƣớc đầu tiên và cũng là quan trọng nhất là phát hiện chính xác các gói tin tấn công. Hệ thống phòng thủ phải đáp ứng trong thời gian thực, đặc biệt là tốc độ phản ứng phải cao. Tránh trƣờng hợp chặn nhầm gói tin hợp lệ.
2.1 Phân tích phát hiện các cuộc tấn công DDos 2.1 Phát hiện ở gần nguồn tấn công
Giả sử tổng số lƣu lƣợng để tắt một mạng là V, và lƣu lƣợng một cuộc tấn công DDos là U. Chúng ta có thể dễ dàng phát hiện tấn công tại nạn nhân khi V lớn hơn đáng kể lƣu lƣợng bình thƣờng. Tuy nhiên, số lƣợng tấn công gần nguồn sẽ
56
không phân biệt đƣợc từ một lƣu lƣợng bình thƣờng, tỷ số V/U sẽ rất nhỏ nếu U đủ lớn. Thông thƣờng nhƣ các phƣơng án đã đặt ra đó là đánh dấu gói tin và truy tìm ngƣợc lại. Các phƣơng án này thƣờng không có hiệu quả cao khi mà cuộc tấn công diễn ra với quy mô rất lớn. Do vậy việc phát hiện tấn công gần nguồn sẽ tránh đƣợc tắc nghẽn và đạt hiệu quả cao nhất.
2.1 Phát hiện tấn công tại mạng của nạn nhân
Nhƣ đã nói ở phần trƣớc, việc phát hiện tấn công tại nạn nhân không khó vì lúc đó lƣu lƣợng mạng tại nạn nhân sẽ trở nên rất cao và tất nhiên sẽ dẫn đến tình trạng không thể cung cấp đƣợc các dịch vụ. Tuy nhiên, thông thƣờng việc phát hiện và phản ứng lại tại nạn nhân thƣờng muộn và vào lúc cuộc tấn công đang ở mức cao. Nạn nhân lựa chọn tắt server và sau đó liên hệ với các ISP. Các ISP sau khi đã nhận đƣợc lời đề nghị của nạn nhân sẽ tiến hành đẩy ngƣợc lại lƣu lƣợng tấn công tại các router. Công việc này thƣờng tốn rất nhiều thời gian. Ví dụ khi nạn nhân phát hiện ra cuộc tấn công, một thông điệp sẽ đƣợc gửi đến các upstream router của nạn nhân. Thông điệp bao gồm đích của lƣu lƣợng tấn công, và 1 yêu cầu để lọc lƣu lƣợng tấn công này. Tuy nhiên, việc gửi thông điệp này trong thời gian ngắn nhất có thể là vô cùng quan trọng để ngăn chặn tấn công DDos. Bởi vậy, cần có một cơ chế phát hiện thật nhanh để gửi thông điệp trong giai đoạn tấn công.
2.1 Một số thuật toán phát hiện DDos
Thực tế đã chứng minh, khi các cuộc tấn công DDos xảy ra. Lập tức phân tích sẽ thấy đƣợc lƣu lƣợng mạng rất khác thƣờng. Do đó hầu hết các thuật toán phân tích phát hiện tấn công DDos hiện nay đều dựa trên tính khác thƣờng của lƣu lƣợng mạng. Một số các công nghệ thống kê đƣợc áp dụng để tiến hành phân tích, thống kê những lƣu lƣợng tải làm việc để phát hiện. Từ những kỹ thuật phân tích này, sẽ có những thuật toán phát hiện để đƣa ra các tham số hoặc công nghệ thống kê, các mức độ nguy hiểm của cuộc tấn công.
Thông số kiểm tra: Thông số kiểm tra đƣợc dùng để phân loại các thuật toán
nhƣ số lƣợng lớn lƣu lƣợng, số địa chỉ IP mới hoặc tỷ lệ các gói tin đến và đi trong mạng.
57
Công nghệ thống kê: Sử dụng các thuật toán thống kê để phân tích mạng. Ví
dụ nhƣ ngƣỡng giới han phù hợp, phát hiện điểm thay đổi và phân tích wavelet.
Mức độ phân tích: Khi phân tích các chi tiết các thông số, các mức độ nguy
hiểm sẽ đƣợc gán.
Sau đây, tôi sẽ giới thiệu tổng quan về các thuật toán phát hiện DDos hiện nay . Nếu muốn tìm hiểu kỹ hơn về các thuật toán nêu ở dƣới thì có thể tham khảo trong [4] phần tài liệu tham khảo.
2.1 Số lƣợng lớn lƣu lƣợng
- Thuật toán Adaptive Threshold (ngưỡng giới hạn khả năng đáp ứng)
Thuật toán này nói chung khá đơn giản và dễ hiểu. Thuật toán phát hiện sự không bình thƣờng dựa trên sự vị phạm của một ngƣỡng khả năng đáp ứng của lƣu lƣợng mạng trong thời gian gần. Thuật toán đặc biệt có khả năng phát hiện cao nhất khi kẻ tấn công tiến hành một cuôc tấn công TCP SYN. Thuật toán tin tƣởng vào việc kiểm tra phép đo lƣu lƣợng có vƣợt qua một ngƣỡng giới hạn cụ thể hay không. Nếu vƣợt qua, chứng tỏ đã có một cuộc tấn công xảy ra.
- Thuật toán CUSUM (tổng tích lũy)
Thuật toán tổng tích lũy dựa trên giá trị trung bình của một quá trình xử lý thống kê. Sự phát hiện điểm thay đổi cần phải theo dõi trong các khoảng thời gian. Một công thức đƣợc xây dựng để theo dõi sự thay đổi này, khi vƣợt qua một ngƣỡng giới hạn chứng tỏ đã xảy ra một cuộc tấn công.
2.12.3.2 Source IP Address Monitoring (theo dõi địa chỉ IP nguồn)
Thuật toán Source IP Address Monitoring (SIM) dựa trên việc theo dõi và đánh giá các địa chỉ IP mới. Thuật toán đƣợc chia làm 2 phần. Đó là off-line training và detection and learning. Trong phần off-line training, thuật toán sẽ tiến hành theo dõi, đánh giá phân tích các địa chỉ IP trong khoảng thời gian và đƣa các địa chỉ IP vào trong IP address database (IAD). Những địa chỉ trong IAD đƣợc gọi là các địa chỉ thƣờng xuyên truy cập. IAD xóa những IP hết hạn để giảm thiểu bộ nhớ cho hệ thống và cập nhật những đia chỉ IP mới. IAD đƣợc xây dựng và cập nhật off-line để chắc chắn rằng trong IAD không bao gồm bất cứ địa chỉ tấn công nào.
58
Còn trong phần detection and learning, SIM tiến hành thống kê những lƣu lƣợng đến trong các khoảng thời gian. So khớp các địa chỉ IP đến trong IAD để tìm ra những IP mới. Phân tích những IP mới này, có một hàm để đánh giá các IP mới (sử dụng thuật toán CUSUM). Khi sự thay đổi vƣợt qua ngƣỡng giới hạn chứng tỏ đã có một cuộc tấn công xảy ra.
2.12.3 Ratio of Input/Output Traffic (tỷ lệ lƣu lƣợng đến và đi)
Thuật toán dựa trên giả định rằng trong quá trình hoạt động bình thƣờng trên internet, các gói tin theo hƣớng ra ngoài internet sẽ tỷ lệ thuận với các gói tin theo hƣớng ngƣợc lại. Nếu tỷ lệ này quá lớn chứng tỏ đã có sự tấn công từ bên ngoài.
Hệ thống phát hiện giảm thiểu DDoS tự động 2.13 Cơ chế kiểm tra địa chỉ nguồn
Cơ chế kiểm tra địa chỉ nguồn là việc lƣu các địa chỉ IP thƣờng xuyên truy cập vào server trong một cơ sở dữ liệu. Khi có một cuộc tấn công xảy ra ta sẽ tiến hành so sánh các địa chỉ IP trong thời gian tấn công với các IP trong cơ sở dữ liệu (IP Address Database) để phát hiện ra các IP mới.
Về cơ bản, cơ chế yêu cầu chúng ta xây dựng quy tắc để phân biệt các IP hợp lệ với các IP tấn công. Công việc này sẽ đƣợc tiến hành bằng cách kiểm tra các gói tin đến với các IP trong IAD.
2.13.1.1 IP Address Database (IAD)
Đầu tiên định nghĩa lƣu lƣợng của một đia chỉ IP là IP flow. Si={si1, si2,….., si
n} là tập hợp các địa chỉ IP hợp lệ truy cập trong ngày i. |Si|=ni.
Fk={f1, f2,…, fm} là tập hợp các địa chỉ IP truy cập từ ngày 1 đến ngày k. |Fk|=m.
A={a1,a2,a3,…,ax} là tập hợp các địa chỉ IP truy cập trong một cuộc tấn công DDoS.
59
Nhƣ vậy sẽ có một nhóm các địa chỉ IP thƣờng xuyên truy cập một các đều đặn. Khi một cuộc tấn công DDos sử dụng địa chỉ IP bất kì (random IP address), lƣu lƣợng theo dõi trong k ngày nhƣ sau:
|S1 S2 S3 … Sk| < k = i ni 1 <<|A| Hiển nhiên, Fk(S1 S2 S3 ….Sk).
Tiến hành thống kê và xây dựng một ngƣỡng giới hạn để quyết định mức độ thƣờng xuyên trong tập F.
Pnormal= |FSj| /|Sj|: tỷ lệ phần trăm của một IP flow bình thƣờng trong ngày j (j>k)
PDDos = |FA|/|A|: tỷ lệ phần trăm của một IP flow tấn công.
Định nghĩa IP address database (IAD) là tập hợp các địa chỉ IP đã xuất hiện thƣờng xuyên trong một khoảng thời gian (có thể là 1 tháng).
Trong IAD, xây dựng 2 quy tắc để quyết định mức độ truy cập thƣờng xuyên của một địa chỉ IP.
+ Thứ nhất: Số ngày nó đã truy cập
p1(d): tập hợp duy nhất các địa chỉ IP đã truy cập trong ít nhất d ngày. f1(d): tỷ lệ phần trăm lƣu lƣợng tốt khi sử dụng p1(d) trong IAD. + Thứ hai: số gói tin trên địa chỉ IP
p2(u): tập hợp duy nhất các địa chỉ IP có ít nhất u gói tin.