Công nghệ SDN/Openflow được xây dựng nhằm giải quyết yêu cầu thay
đổi nhanh và mềm dẻo dưới sựđiều khiển tập trung từ bộCotroller. Ngoài ra, cơ
chế giám sát và điều khiển tập trung đảm bảo sự thống nhất về chính sách xử lý
lưu lượng trong toàn bộ hệ thống mạng mà công nghệ mạng truyền thống không
có được. Sự thống nhất đó đem lại hiệu quả và được khai thác ứng dụng trong
ngăn chặn, giảm thiểu tấn công nói chung và tấn công DDoS nói riêng.
Khi phát hiện tấn công xảy ra, phần mềm ứng dụng phòng chống tấn công có thể yêu cầu các bộ điều khiển áp đặt các chính sách xóa bỏ các gói tin trên toàn bộ hệ thống mạng theo một điều kiện cụ thể nào đó bằng cách cài đặt các mục luồng trên các bộ chuyển mạch. Cũng giống như kỹ thuật phát hiện tấn
công, đã có nhiều giải pháp ngăn chặn, giảm thiểu tấn công dựa trên kỹ thuật
SDN/Openflow được đề xuất. Xét vềcơ chế thực hiện, các giải pháp đều dựa vào khả năng cấu hình, cài đặt, chỉnh sửa các mục luồng trên các bộ chuyển mạch
Openflow để áp dụng các chính sách đối với lưu lượng nghi ngờ tấn. Các kỹ
31
• Xóa bỏ gói tin: Khi phát hiện tấn công, ộđiều khiển chỉnh sửa mục luồng
xóa bỏ thiết lập action OUTPUT. Kỹ thuật này có nhược điểm là có thể
xóa bỏ nhầm các gói tin lành tính.
• Giới hạn lưu lượng: Căn cứ vào năng lực phục vụ của máy chủ, dùng tính
năng RATE LIMIT trong các bộ đo (meter) của Openflow để thiết lập
ngưỡng giới hạn lưu lượng. Giống như kỹ thuật xóa bỏ gói tin, kỹ thuật
này cũng có thể xóa bỏ nhầm các gói tin lành tính khi tấn công xảy ra.
• Chặn cổng: Sử dụng các thiết lập action của Openflow trên các mục luồng
tương ứng để xóa bỏ toàn bộlưu lượng đến một cổng dịch vụ cụ thể nào
đó trên máy chủ đang ở trạng thái đóng hoặc giới hạn phục vụ [26]. Kỹ
thuật này bảo vệ máy chủ từ các cuộc tấn công quét cổng, tấn công làm ngập băng thông mạng.
Ngoài ra, SDN/Openflow còn được ứng dụng để hỗ trợ trong phát hiện,
ngăn chặn và giảm thiểu tấn công DDoS, bao gồm:
• Chuyển hướng lưu lượng: Khi phát hiện và xác định dấu hiệu nghi ngờ tấn
công, lưu lượng được cấu hình để chuyển đến các máy khác để kiểm soát an ninh trước khi lưu chuyển về máy chủ đích. Ví dụ, sử dụng kỹ thuật CAPTCHA để xác thực người dung, áp dụng các kỹ thuật phân tích sâu gói tin để phát hiện botnet.
• Phân tích nguy cơ an ninh từ các mục luồng: Thông qua phân tích các
mục luồng trên các bộ chuyển mạch, các giải pháp như FlowChecker, FlowVisor, VeriFlow,... thực hiện phân tích, xây dựng topology mạng, bản đồ lưu chuyển các gói tin để xác định các nguy cơ mất an ninh mạng trong đó có nguy cơ tấn công DDoS, từ đó xóa bỏ hoặc không cho phép cài đặt các mục luồng tạo lỗ hổng tấn công.
• Xác thực địa chỉ IP nguồn: Một trong những vấn đề tồn tại cố hữu của kỹ
thuật mạng IP là chưa có cơ chế xác thực tính chính xác của địa chỉ IP nguồn. Điều này gây ra nhiều vấn đề về an ninh từ nạn lợi dụng tấn công giả mạo địa chỉ IP trong đó có tấn công DDoS như TCP SYN Flood, ICMP Flood, Smurf...
• Phối hợp phòng chống tấn công giữa các hệ tự trị: Cơ chế tự động hóa
32
tập trung trong SDN/Openflow được ứng dụng để trao đổi thông tin và phối hợp ngăn chặn tấn công DDoS. Việc phối hợp được thực hiện bằng giao thức trao đổi giữa các bộđiều khiển cho phép các hệ thống mạng liền kề phát triển trên nền SDN/Openflow có thể gửi các bản tin giúp xóa bỏ
lưu lượng tấn công tới nguồn phát sinh theo cơ chế đẩy ngược (push- back).
33
CHƯƠNG 3.XÂY DỰNG MÔ HÌNH HỆ THỐNG SDN VÀ KỊCH BẢN PHÒNG CHỐNG TẤN CÔNG DDOS
DDoS như đã trình bày trong chương trước là một hình thức tấn công đơn
giản nhưng hiệu quả. Cách thức mà tin tặc sử dụng là tìm cách gửi một sốlượng lớn gói tin để làm tràn tài nguyên của máy chủ nạn nhân từđó gây ra từ chối dịch vụ đến những người dùng bình thường thực sự muốn truy cập đến máy chủ đó. Như vậy vềcơ bản để xây dựng được một hệ thống thử nghiệm đủ khảnăng phát
hiện và xử lí được trong thực tế thì phải mô phỏng được cuộc tấn công DDoS thật sự.
Qua việc tìm hiểu và nghiên cứu lý thuyết cũng như các giải pháp có thể
triển khai phù hợp với điệu kiện cơ sở vật chất thực tế, phần này sẽ đi xây dựng một mô hình hệ thống mạng SND/OpenFlow[4], đồng thời giả lập hình thức tấn
công và đưa ra giải pháp giảm thiểu tấn công trên hệ thống giả lập này. Ý tưởng của việc giảm thiểu tấn công đó là việc kiểm soát lưu lượng tới, đặt một ngưỡng giới hạn để phát hiện tấn công. Lưu lượng tới sẽ bị hủy bỏ hoàn toàn nếu vượt
qua ngưỡng giới hạn này, việc hủy bỏ sẽđược điều khiển bởi SDN Controller.