DỰA TRÊN KỸ THUẬT SDN/OPENFLOW
SỬ DỤNG THÊM BỘ PHÂN TÍCH VÀ XỬ LÝ LƯU LƯỢNG 3.1. Giới thiệu chương
Mặc dù kỹ thuật SDN/Openflow cung cấp các điều kiện để có thể thực hiện các ứng dụng phát hiện, phân loại, giảm thiểu tấn công DDoS trên lớp ứng dụng. Tuy nhiên với dữ liệu thống kê về lưu lượng cung cấp bởi các bộ chuyển mạch, bộ điều khiển chưa có đầy đủ thơng tin theo u cầu như nội dung gói tin, đặc tính phân bố thời gian đến,… để bộ điều khiển cho ra được kết quả phát hiện, phân loại tấn cơng chính xác, chính sách xử lý gói tin tốt nhất. Ngồi ra, giao diện Openflow chủ yếu được sử dụng để trao đổi bản tin điều khiển, việc trao đổi các gói tin lưu lượng qua giao diện này là khơng phù hợp (do có mật mã hóa). Việc truy vấn dữ liệu thống kê về lưu lượng qua giao diện Openflow ở mức độ chi tiết sẽ làm cho lưu lượng trên giao diện này tăng cao, nhất là khi có tấn cơng xảy ra. Để cung cấp thêm thông tin về lưu lượng cho lớp điều khiển phục vụ phân tích an ninh mạng, Nội dung chương 3 đề xuất sử dụng thêm bộ phân tích và xử lý lưu lượng trong mạng SDN/Openflow và 2 giải pháp phòng chống DDoS dựa trên kiến trúc mở rộng này, bao gồm:
- Giải pháp phát hiện, phân loại và giảm thiểu tấn cơng DDoS bằng thuật tốn logic mờ dựa
vào tham số thống kê thời gian liên gói tin của lưu lượng.
- Giải pháp phát hiện và giảm thiểu tấn công SYN Flood giả mạo địa chỉ IP tới lớp hạ tầng
mạng và lớp điều khiển bằng cơ chế ủy nhiệm gói tin SYN trên bộ phân tích và xử lý lưu lượng.
3.2. Những hạn chế của kiến trúc và kỹ thuật SDN/Openflow trong phịng chống tấn cơng DDoS phịng chống tấn cơng DDoS
Mặc dù kiến trúc và kỹ thuật SDN/Openflow cho phép triển khai các giải pháp phịng chống DDoS như đã trình bày trong chương 2, kiến trúc này cũng bộc lộ những hạn chế làm cho hiệu quả phịng chống tấn cơng khơng cao hoặc thậm chí bị kẻ tấn cơng lợi dụng tạo ra hình thức tấn cơng DDoS mới. Các hạn chế này bao gồm:
(1) Không cung cấp đủ thơng tin về lưu lượng cho phân tích an ninh tới bộ điều khiển:
Khác với công nghệ mạng truyền thống, trong kỹ thuật SDN/Openflow, các chính sách điều khiển lưu lượng mạng nói chung và an ninh mạng nói riêng được thực hiện trên bộ điều khiển hoặc ở tầng ứng dụng. Tuy nhiên, các thông tin về đặc tính lưu lượng được cung cấp cho bộ điều khiển và lớp ứng dụng chủ yếu thơng qua:
• gói tin khơng khớp (unmatched) được đóng gói tin trong bản tin packet-in, và
Openflow, các thông tin về lưu lượng cung cấp cho lớp điều khiển là không đầy đủ cho phân tích an ninh mạng nói chung và phân tích, phát hiện tấn cơng DDoS nói riêng. Ví dụ, qua giao thức SDN/Openflow, bộ điều khiển và lớp ứng dụng khơng thể có được thơng tin thống kê về khoảng thời gian liên gói tin trong một luồng (IAT) hoặc giá trị trung bình TTL của các gói tin IP… Sự hạn chế về thông tin lưu lượng dẫn đến phát hiện, phân loại lưu lượng tấn công thiếu chính xác, hiệu quả phịng chống tấn cơng khơng cao.
(2) Cơ chế quản lý luồng theo trạng thái gây chiếm dụng tài nguyên trên lớp hạ tầng dễ bị kẻ tấn công lợi dụng và trở thành mục tiêu tấn công DDoS mới:
Theo nguyên tắc xử lý gói tin Openflow, nếu muốn có thơng tin hoặc áp dụng chính sách xử lý với một nhóm gói tin có đặc tính cụ thể nào đó, bộ điều khiển phải cài đặt trên bộ chuyển mạch một mục luồng với các trường so khớp tương ứng với đặc tính của nhóm gói tin đó. Các ứng dụng an ninh mạng muốn thống kê, xử lý lưu lượng càng chi tiết, chính xác sẽ phải cài đặt và duy trì trên bộ chuyển mạch số lượng các mục luồng càng lớn. Ta biết rằng, Openflow quản lý luồng theo trạng thái dựa vào cơ chế timeout, nên thời gian cần thiết để duy trì một mục luồng sẽ bằng thời gian tồn tại thực sự của luồng và thời gian timeout do hệ thống cài đặt:
tduy trì mục luồng = ttồn tại luồng + ttimeout (3.1) Thời gian ttimeout là thời gian duy trì lãng phí của mục luồng. Khi số lượng mục luồng
tăng lên, tổng lượng tài nguyên bị chiếm dụng lãng phí này sẽ tăng lên. Bên cạnh đó, tài ngun tính tốn cho tìm kiếm, so khớp các mục luồng cũng sẽ tăng cao. Kẻ tấn cơng có thể lợi dụng đặc điểm này để tấn công DDoS tới bộ chuyển mạch [85], [94], [129].
(3) Lưu lượng Openflow giữa các bộ chuyển mạch và bộ điều khiển tăng cao:
Thơng tin thống kê về đặc tính lưu lượng cung cấp từ lớp hạ tầng mạng đến lớp điều khiển và lớp ứng dụng được chuyển qua giao diện Openflow. Như chúng ta đã biết, để đảm bảo an ninh, dữ liệu trên giao diện này được mã hóa và truyền tin theo giao thức bảo mật SSL [20], do đó có sự dư mã làm cho lưu lượng trên giao diện Openflow tăng lên đáng kể. Nếu số lượng mục luồng trong bộ chuyển mạch lớn, khi các ứng dụng an ninh mạng truy vấn thống kê từ các mục luồng sẽ gây tăng đột biến lưu lượng trên giao diện Openflow. Kẻ tấn cơng có thể lợi dụng giao diện này, gửi các gói tin khơng khớp với các mục luồng có sẵn, tạo ra hàng loạt sự kiện
table-miss và các bản tin packet-in, làm tăng đột biến lưu lượng, làm nghẽn trên giao diện
Openflow [130].