Do DDos là một cuộc tấn công rất nguy hiểm và có tính chất phân tán. Trong thực tế một cuộc tấn công DDos có thể lên tới hàng nghìn host bị động tấn công nạn nhân. Bởi vậy việc ngăn chặn hoàn toàn một cuộc tấn công DDos là vô cùng khó.
Hệ thống phát hiện và tựđộng ngăn chặn được thiết kếđặt ở nạn nhân. Do cơ chế
của giao thức lan tỏa ngược là đẩy lùi đến gần nguồn tấn công nhất. Việc kết hợp hai phương pháp này sẽ có hiệu quả tương đối cao.
Những ưu điểm của hệ thống:
- Tự động cảnh báo khi phát hiện có cuộc tấn công
DDos
- Chặn tự động những địa chỉ IP mới khi có cuộc tấn
công
- Chặn được khi có giả mạo địa chỉ IP
- Hệ thống vẫn hoạt động khi router hàng xóm không hỗ trợ lan tỏa ngược
Tuy nhiên bên cạnh đó hệ thống còn rất nhiều nhược điểm. Thứ nhất giao thức lan tỏa ngược khá phức tạp và phải cài đặt trên các router. Thứ hai hệ thống ngăn chặn tựđộng sẽ chặn những địa chỉ IP mới. Chính vì thế có thể chặn nhầm những địa chỉ IP không thường xuyên lui tới nhưng tỷ lệ này sẽ rất thấp do kỹ thuật xây dựng IAD đã trình bày.
Một vấn đề nữa, do đây là hệ thống tự động ngăn chặn nên tôi sẽ để giao thức trong lan tỏa ngược với tham số là “all”. Còn về thời gian sẽ thiết lập một tham số cố định
5.2 Cơ chế hoạt động
Hệ thống sẽ liên tục theo dõi các gói tin đến trên các cạc mạng. Với thời gian theo dõi khoảng 2 tuần. Hệ thống sẽ tiến hành phân tích và lưu nhưng địa chỉ IP thường xuyên truy cập với điều kiện đã nói khi xây dựng IAD. Sau đó tiến hành cập nhật những gói tin đến vào IAD và xóa những gói tin đã hết hạn.
Khi IAD đã được thiết lập, hệ thống liên tục theo dõi và phân tích những địa chỉ
IP mới. Trong hệ thống này tôi sử dụng phần mềm IPTraf để tiến hành bắt gói tin. IPTraf là công cụ dùng để giám sát mạng, nó chặn các gói tin trên mạng và báo cáo về
tình hình sử dụng mạng. Cụ thể trong hệ thống này. Trong quá trình xây dựng IAD, việc phân tích file log hoàn toàn offline để không bị ảnh hưởng bởi các gói tin khi bị
tấn công. Theo dõi mạng liên tục mọi ngày để thống kê được các thông số khi lưu lượng mạng bình thường. Khi đã có các thông số khi lưu lượng mạng bình thường tiến hành bắt gói tin liên tục trong một phút để theo dõi và ghi những gói tin đã bắt được này vào trong file log. Phân tích các gói tin đã ghi được trong thời gian 1 phút. Theo cơ chế phát hiện ở trên, sử dụng Δn=1s. Tính toán các IP mới để biết được hệ thống có bị tấn công hay không.
Khi phát hiện bị tấn công sẽ tiến hành chặn những địa chỉ IP mới (theo giao thức lan tỏa ngược). Bởi vậy trong quá trình tấn công, những gói tin thường xuyên truy cập sẽ hoạt động bình thường và những gói tin tấn công sẽ bị chặn.
5.3 Triển khai hệ thống
Do đây mới là mô hình thí nghiệm nên việc triển khai cũng ở quy mô đơn giản. Việc trình bày về kỹ thuật phát hiện khá chi tiết ở trên nên việc triển khai cũng không quá khó khăn.
Hình 10: Sơđồ hệ thống
Server S1 là nạn nhân R2 là gateway của nạn nhân R3, R4 là router lõi
R5, R6, R7, R8 là các router gateway tương ứng của các router R3, R4 C9, C10, C11, C12, C13, C14, C15, C16 là các máy truy xuất đến nạn nhân Do việc xác định các IP thường xuyên truy cập cần thời gian khá dài nên ở mô hình này sẽ thiết lập thông số thời gian là 5 phút. Hệ thống sẽ bắt các gói tin trong thời gian trên. Nhưđã nói, sử dụng phần mềm IPTraf để bắt gói tin
Hình 11: Phần mềm bắt gói tin IPTraf
Từ các máy C9, C10, C11, C12 ping đến S1 trong khoảng thời gian trên. Sau 5 phút, hệ thống lưu lại các địa chỉ 172.16.6.2, 172.16.6.3, 172.16.7.2, 172.16.7.3 vào IAD
Hình 12: Xây dựng IAD
Giả sử khi ping từ máy C13 đến S1 là lúc lưu lượng mạng bình thường. Hệ thống tính toán và xác định được giá trị α (giá trị trung bình của {Xn} khi lưu lượng mạng bình thường). Do đó tại thời điểm này, toàn bộ các giá trị của Y đều bằng 0.
Hình 13: Giá trị của Y khi lưu lượng mạng bình thường
Từ các máy C14, C15, C16 ping đến S1. Lúc này các máy C9, C10, C11, C12 vẫn ping bình thường đến S1. Hệ thống ở S1 phát hiện bị tấn công, tất nhiên các giá trị
Hình 14: Giá trị của Y khi có cuộc tấn công (adsbygoogle = window.adsbygoogle || []).push({});
Sau đó hệ thống tiến hành chặn địa chỉ IP của C14, C15, C16 do đây là các IP mới bằng giao thức lan tỏa ngược. Các máy C9, C10, C11, C12 vẫn ping được bình thường do đây là các IP thường xuyên truy cập.
Hình 15: Chặn các IP mới bằng giao thức lan tỏa ngược
Việc phát hiện và ngăn chặn của hệ thống có hiệu quả khá cao.
5.4 Kết luận
Như vậy trong luận văn này tôi đã giới thiệu tổng quan và phận loại các cuộc tấn công Ddos hiện nay. Bên cạnh đó tôi cũng đã giới thiệu qua về các thuật toán phát hiện Ddos được sử dụng phổ biển trên thế giới. Những thuật toán này có thể giúp phát triển những hệ thống dựa trên những nền tảng đã có. Như trong luận văn này, tôi đã sử dụng thuật toán CUSUM để phát hiện dấu hiệu của cuộc tấn công Ddos. Việc phát hiện chính xác đồng thời kết hợp với giao thức lan tỏa ngược đã làm cho hệ thống trở nên hoàn thiện hơn rất nhiều. Do giao thức lan tỏa ngược phiên bản đầu tiên vẫn còn thiếu một số chức năng nên trong luận văn đã tiến hành bổ xung các chức năng còn thiếu trong giao thức “lan tỏa ngược”. Lan tỏa ngược là một giao thức khá mạnh, có thể
ngăn chặn ngay cả khi Agent giả mạo đia chỉ IP. Việc đặt bộ lọc ở gần nguồn tấn công nhất của giao thức lan tỏa ngược là phương pháp tối ưu nhất trong các giao thức ngăn chặn Ddos hiện nay.
Tuy nhiên do thời gian có hạn nên hệ thống còn khá nhiều vấn đề chưa được giải quyết. Ví dụ như: có thể tính các địa chỉ IP mới một cách chi tiết hơn nữa để hạn chế
Hy vọng trong một tương lai không xa hệ thống sẽ được phát triển và hoàn thiện hơn để có thểứng dụng trong thực tế.
Tài liệu tham khảo
[1] T. Peng, C. Leckie, and K. Ramamohanarao. (2003) Detecting distributed denial of service attacks using source ip address monitoring
[2] Tao Peng Christopher Leckie Kotagiri Ramamohanarao: Protection from Distributed Denial of Service Attack Using History-based IP Filtering
[3] B. E. Brodsky and B. S. Darkhovsky. Nonparametric Methods in Change-point Problems. Kluwer Academic Publishers, 1993.
[4] Mbabazi Ruth Reg. No. 2005/HD18/4029U B.Sc Elec (Mak): Victim-based defense against IP packet flooding denial of service attacks