Thực thi quá trình rút gọn

Một phần của tài liệu LUẬN VĂN:XÁC THỰC CÁC THÀNH PHẦN TRONG HỆ THỐNG PAC ĐỂ CHỐNG LỪA DỐI VÀ LỢI DỤNG doc (Trang 41 - 45)

Phần rút gọn vẫn cần phải xác định địa chỉ IP đích của máy tính kẻ tấn công, việc làm này đã được thực hiện tốt trong phần code của tác giả. Trong trường hợp tối ưu thì mới xác định được địa chỉ router kẻ tấn công, khi đó phần code rutgon sẽ được gọi, bài toán được tối ưu. Ngược lại khi không xác định được IP của router liền kề kẻ tấn công, phần shellcode gốc của tác giả sẽđược sử dụng để lan tỏa lần lượt qua các router.

Code:

if (dia chi IP cua may dich la hop le) rutgon

else lan_toa_nguoc_binh_thuong

4.1.4. Nhận xét

Trong trường hợp lý tưởng, Victim xác định được chính xác router gần kẻ tấn công nhất và lan tỏa trực tiếp đến router đó đểđặt bộ lọc thì hiệu quả của giao thức

Lan_Tỏa_Ngược sẽ rất lớn. Giao thức thời gian thực thi giao thức nhanh và không tiêu tốn tài nguyên mạng, không mất thời gian để các router trung gian lan tỏa dần đến router gần kẻ tấn công nhất.

4.2: xác thc

Xem xét mô hình sau

(hình 17: mô hình xác thực)

V  Vgw  GW1 GW2 

ATK2 

ATK1 

Vấn đềđặt ra là nếu có kẻ lợi dụng ATK3 ra lệnh cho GW1 đặt filter thì GW1 sẽ phản ứng lại thế nào? Có thể GW1 sẽ đặt filter trong khi GW1 không phải là router liền kề kẻ tấn công. Vì vậy cần phải có một cơ chế xác thực vấn đề truyền thông giữa các thực thể mạng.

4.2.1. Ý tưởng

Có thể tạo một cơ sở dữ liệu chứa thông tin vềđịa chỉ IP của những thực thể mạng có thể truyền thông cho nhau.

Ví dụ: để Vgw có thể truyền thông tin cho GW1 hay ra lệnh cho GW1 đặt bộ lọc thì trong cơ sở dữ liệu phải có chứa địa chỉ IP của GW1 và Vgw như: 10.10.2.1

10.10.2.2

Với 10.10.2.1 là IP của Vgw, 10.10.2.2 là IP của GW1

Có nhiều cách để tạo cơ sở dữ liệu như vậy, có thể dùng các hệ quản trị cơ sở dữ liệu mạnh và thông dụng hiện nay như Oracle, mySql, Sqlserver…

Để mô tả đơn giản hoạt động của quá trình xác thực giữa các thực thể mạng, tôi dùng cách đơn giản nhất là tạo một file IpCertificate có chứa các địa chỉ IP tương của các thực thể có quyền trao đổi thông tin với nhau. Bằng cách phân tích dữ liệu trong file IpCertificate, có thể xác thực được tiến trình trao đổi giữa các thực thể là hợp lệ hay không.

4.2.2. Thực thi quá trình xác thực.

Mô phỏng đơn giản như hình 3, có file IpCertificate chứa các địa chỉ sau 10.10.1.1

10.10.1.2 10.10.2.1 10.10.2.2

10.10.3.1 10.10.4.1

Mỗi khi máy A cần truyền thông với máy B , A sẽ tiến hành phân tích từng dòng dữ liệu trong file IpCertificate. Nếu có địa chỉ IP của máy B trong file đó, nghĩa là máy B được tin cậy, A có thể tiến hành truyền thông với B. Ngược lại, chương trình sẽ thông báo lỗi.

4.2.3. Kết luận

Việc xác thực giữa 2 thực thể mạng được tiến hành trên ý tưởng đơn giản nhưng hiệu quả. Có thể ngăn chặn được các giả mạo thông thường. Có thể nâng cao ý tưởng trên bằng cách xác thực thêm địa chỉ Mac, nhưng do thời lượng và thời hạn của luận văn nên tôi chỉ đưa ra những ý tưởng cơ bản nhất. Để đảm bảo an toàn cho cơ sở dữ liệu chứa thông tin về các thành phần hợp lệ có thể trao đổi thông tin, nên mã hóa cơ sở dữ liệu bằng các phương pháp mã hóa tiên tiến và có tính bảo mật cao như mã hóa công khai, mã hóa đối xứng…

Kết Luận

Thông qua việc nghiên cứu, tìm hiểu và phát triển các chức năng cho giao thức Lan Tỏa Ngược, luận văn đưa ra một cái nhìn tổng thể về DDoS. Qua bài viết có thể nắm bắt được cốt lõi của việc tấn công và phòng thủ DDoS. Đồng thời khi phát triển chức năng rút gọn và xác thực cho giao thức, tôi đã đưa giao thức Lan Tỏa Ngược về gần với ứng dụng thực tiễn hơn. Mặc dù trên thế giới hiện nay chưa có một phương pháp hoàn hảo nào có khả năng chặn hiệu quả tấn công DDoS, nhưng qua những nghiên cứu chuyên sâu và tìm cách cải tiến các phương pháp chống DDoS đã có, một ngày nào đó cộng đồng Internet có thể yên tâm về sự an ninh của mạng với một phương pháp hoàn thiện, hiệu quả.

TÀI LIỆU THAM KHẢO 

[1] Hoang Van Quan, K49 dai hoc Cong Nghe. luan van lan toa nguoc. 2008.

[2] Jelena Mirkovic, Sven Dietrich, David Dittrich, Peter Reiher. Internet Denial of 

Service: Attack and Defense Mechanisms. Prentice Hall PTR. 2004.

[3] Massimiliano Romano, Simone Rosignoli, Ennio Giannini. Robot Wars – How 

Botnets Work. Oct 20, 2005 

[4] Katerina Argyraki, David R. Cheriton. Active Internet Traffic Filtering: Real‐Time 

Response to Denial‐of‐Service Attacks. Proceedings of the USENIX annual technical  conference. 2005. 

[5] Vicky Laurens, Abdulmotaleb El Saddik, Pulak Dhar and Vineet Srivastava. 

Detecting distributed denial of service attack traffic at the Agent machines. IEEE CCECE.  2006. 

[5] J. Mirkovic. D‐WARD: Source‐End Defense Against Distributed Denial‐of‐Service 

Attacks. Ph.D. dissertation, University of California, Los Angeles. 2003.  [7] J. Postel. RFC 791 ‐ Internet Protocol

               

Một phần của tài liệu LUẬN VĂN:XÁC THỰC CÁC THÀNH PHẦN TRONG HỆ THỐNG PAC ĐỂ CHỐNG LỪA DỐI VÀ LỢI DỤNG doc (Trang 41 - 45)

Tải bản đầy đủ (PDF)

(45 trang)