SDN/Openflow và các giải pháp phịng chống
1.6.1. Tấn cơng DDoS tới các thành phần trong kiến trúc mạng SDN/Openflow
Kiến trúc mạng SDN/Openflow tách hệ thống mạng thành hai mặt phẳng với 3 lớp: lớp hạ tầng, lớp điều khiển và lớp ứng dụng quản trị mạng. Bên cạnh những lợi điểm được ứng dụng trong phịng chống DDoS, mơ hình quản lý tập trung và sự phân tách các mặt phẳng, các lớp trong SDN đồng thời cũng mang lại những nguy cơ mất an ninh mạng nói chung và nguy cơ tấn cơng DDoS nói riêng [32], [92]–[95]. Với mỗi lớp, mỗi giao diện giữa các lớp chứa đựng những nguy cơ tấn cơng mới:
• Tấn công DDoS tới lớp ứng dụng: Khi các ứng dụng bị tấn công sẽ làm ảnh hưởng
đến điều hành, sự hoạt động của mạng trong đó có tấn cơng DDoS. Ví dụ, phần mềm bị nhiễm mã độc có thể cài đặt các chính sách sao chép, chuyển tiếp tất cả các gói tin đến tới tất cả các cổng và gây DDoS tới tồn bộ hệ thống.
• Tấn công DDoS tới lớp điều khiển: Tương tự như ở lớp ứng dụng, tấn cơng DDoS có
bằng cách cài đặt các mục luồng lỗi.
• Tấn cơng DDoS tới lớp hạ tầng mạng: Mục tiêu chính của tấn cơng ở lớp này chủ yếu
làm cạn kiệt tài nguyên các bộ chuyển mạch như làm ngập bảng mục luồng và/hoặc làm cạn kiệt băng thông kênh điều khiển Openflow. Mục tiêu cuối cùng là làm cho các bộ chuyển mạch khơng thể xử lý lưu lượng đến.
Hình 1.10. Các phương pháp tấn công tới lớp Hạ tầng mạng
Hình 1.11. Các phương pháp tấn cơng tới Lớp điều khiển
Hình 1.12. Các phương pháp tấn cơng tới Lớp Ứng dụng
Khảo sát an ninh mạng trong kiến trúc SDN, Kreutz và nhóm nghiên cứu [95] đã chỉ ra 7 vectơ tấn cơng trong đó có 4 vectơ tấn cơng DDoS, bao gồm:
• Các luồng lưu lượng giả mạo: là các luồng được hình thành từ các gói tin được tạo ra,
cơng là các bảng luồng và tài nguyên bộ điều khiển.
• Khai thác các lỗ hổng và chiếm quyền điều khiển trên các bộ chuyển mạch: Khi đó,
kẻ tấn cơng sẽ chiếm quyền điều khiển bộ chuyển mạch và có thể sử dụng chúng để xóa bỏ, nhân bản, làm trễ chuyển tiếp gói tin trên hệ thống mạng hoặc tạo hàng loạt sự kiện packet-in để tấn cơng bộ điều khiển.
• Khai thác các lỗ hổng và chiếm quyền điều khiển trên các bộ điều khiển.
• Khai thác các lỗ hổng và chiếm quyền điều khiển ứng dụng điều hành mạng trên lớp ứng dụng: Khi kiểm soát được bộ điều khiển và ứng dụng điều hành mạng, kẻ tấn cơng
có thể thực hiện điều khiển cách ly máy chủ, làm nghẽn mạng, thậm chí vơ hiệu hóa bộ điều khiển gây tấn cơng DDoS trên tồn bộ hệ thống mạng.
Trong các vectơ tấn công nêu trên, vectơ tấn công tạo các luồng giả mạo dễ thực hiện nhất và được xác định là hình thức tấn cơng phổ biến tới các thành phần của mạng SDN/Openflow [93], [94]. Sơ đồ Hình 1.10, Hình 1.11, Hình 1.12 biểu diễn các phương pháp tấn công tới lớp hạ tầng mạng, lớp điều khiển và lớp ứng dụng trong kiến trúc mạng SDN/Openflow [35].
1.6.2. Kỹ thuật phát hiện và giảm thiểu tấn cơng
Đã có nhiều giải pháp phát hiện và giảm thiểu tấn công DDoS tới các thành phần trong kiến trúc mạng SDN/Openflow [28], [35], [96]–[100]. Phần lớn các thuật toán phát hiện và giảm thiểu tấn công của các giải pháp đều dựa trên các thuật toán và cơ chế giống như đối với phát hiện và giảm thiểu tấn công DDoS dựa trên cơng nghệ mạng truyền thống đã trình bày ở mục 1.5. Ngoài ra, một số giải pháp đề xuất dựa trên thuật tốn phát hiện theo chính sách và quy tắc xử lý gói tin. Nếu các mục luồng phù hợp với các chính sách, quy tắc xử lý này, lưu lượng của chúng được coi là lành tính, ngược lại, lưu lượng được cho là xuất phát từ nguồn tấn cơng và áp dụng quy tắc xóa bỏ. Bảng 1.2 [35] thống kê và so sánh các giải pháp phát hiện và giảm thiểu tấn công DDoS đối với kiến trúc SDN theo kỹ thuật này.
Bảng 1.2. So sánh các kỹ thuật phát hiện và giảm thiểu tấn công DDoS tới kiến trúc mạng SDN/Openflow theo chính sách và quy tắc xử lý gói tin
Giải pháp Kỹ thuật phát hiện Kỹ thuật giảm thiểu tấn công
Ảnh hưởng đến lớp Hạ tầng mạng Điều khiển dụng Ứng AVANT-
GUARD [28] Sử dụng các luật định nghĩa trước để phát hiện tấn cơng TCP SYN Flood
Ủy nhiệm gói tin SYN trên OFS kết hợp với kỹ thuật SYN Cookie
Không Có Có DaMask [96] Dựa vào dấu hiệu tấn công trên
cơ sở phân mảnh mạng Thiết lập các action nghĩa từ trước định Có Có Có SDN-based
CDNi [98] Truy vết ngược sử dụng kỹ thuật đánh dấu Xóa bỏ luồng Có Có Có OPERETTA
[99] Thiết lập các chính sách xác thực Khơng cần Khơng Có Có FlowRanger
SDSNM
[100] Thiết lập các chính sách xác thực trong phạm vi an toàn Quyết định bởi module chính sách xử lý Có Có Có Trong số các giải pháp trên, cơ chế Di trú kết nối CM (Connection Migration) trong giải pháp Avant-Guard [28] giúp ngăn chặn hiệu quả tấn công TCP SYN Flood. Nguyên lý cơ bản của cơ chế này dựa trên sự giám sát quá trình bắt tay ba bước của các kết nối TCP từ các máy khách trên Internet tới máy chủ cần bảo vệ. Quá trình giám sát được thực hiện nhờ sự ủy nhiệm xử lý gói tin SYN trên bộ chuyển mạch OFS, chỉ những kết nối TCP nào hoàn thành quá trình bắt tay ba bước (3HS) mới được tạo sự kiện packet-in và gửi đến bộ điều khiển để yêu cầu cài đặt mục luồng chuyển tiếp gói tin tới máy chủ nội bộ của hệ thống mạng. Các bước thực hiện kết nối giữa máy khách và máy chủ nội bộ được trình bày trong Hình 1.13 [28]. Theo đó, q trình tạo một kết nối TCP gồm 4 pha:
• Pha Phân loại: Gói tin SYN đến từ máy khách (bước 1) không được gửi tới máy chủ
mà được xử lý bởi module ủy nhiệm gói tin SYN tại bộ chuyển mạch. Nó trả lời máy chủ bằng một gói tin SYN-ACK (bước 2) với giá trị số hiệu khởi tạo phiên (Initial Sequence Number) được tạo ra nhờ thuật toán SYN Cookie [51].
Máy khách trả xác thực kết nối bằng một gói tin CliACK (bước 3). Nếu là kết nối lành tính, gói tin CliACK có giá trị số hiệu xác thực ACK_Num phù hợp với số hiệu tuần tự khởi tạo phiên SEQ_Num. Module ủy nhiệm gói tin SYN sử dụng thuật tốn SYN Cookie để kiểm tra sự phù hợp này và xác định kết nối là lành tính, nếu bộ chuyển mạch khơng nhận được gói tin CliACK tương ứng hoặc gói tin CliACK khơng hợp lệ, gói tin SYN được cho là tấn công và không được xử lý ở bước tiếp theo.
Hình 1.13. Quá trình xử lý gói tin của một kết nối TCP trong cơ chế CM
• Pha báo cáo: Bộ chuyển mạch tạo sự kiện packet-in (bước 4) yêu cầu Bộ điều khiển
cài đặt mục luồng xử lý kết nối TCP theo chiều từ máy khách tới máy chủ (bước 5).
• Pha Di trú: Bộ chuyển mạch tạo một gói tin SYN và gửi tới máy chủ (bước 6). Sau khi
nhận được gói tin xác nhận từ máy chủ (bước 7), Bộ chuyển mạch tạo gói tin CliACK để xác thực kết nối (bước 8), đồng thời tạo một sự kiện packet-in tới Bộ điều khiển yêu cầu cài đặt mục luồng xử lý kết nối theo chiều từ máy chủ tới máy khách (bước 9,10).
• Pha Chuyển tiếp: Sau khi đã có mục luồng xử lý gói tin theo hai chiều, giữa máy chủ
và máy khách tiến hành trao đổi các gói tin dữ liệu (bước 11, 12).
Với cơ chế giám sát quá trình bắt tay ba bước trước khi cài đặt mục luồng trên bộ chuyển mạch, cơ chế CM của Avant-Guard giúp cho Bộ chuyển mạch loại bỏ được các mục luồng vô giá trị tạo bởi các gói tin SYN tấn cơng giả mạo địa chỉ IP trong tấn công TCP SYN Flood. Đồng thời, cơ chế này cũng ngăn khơng cho các gói tin tấn cơng SYN được chuyển tới các máy chủ nội bộ cần bảo vệ bên trong hệ thống mạng. Tuy nhiên, cơ chế CM có các nhược điểm sau:
• CM sử dụng kỹ thuật SYN Cookie, vốn là một giải pháp sử dụng cho trạm cuối (host based) [51] chống lại tấn công SYN flood, nên sẽ không phù hợp khi triển khai trên bộ chuyển mạch là thiết bị trung gian của kết nối(network based). Bởi khi đó, các kết nối lành tính sẽ bị chia cắt thành 2 kết nối TCP (giữa OFS và máy khách và giữa OFS và máy chủ). Để liên kết hai kết nối TCP này, OFS phải duy trì một vùng nhớ để lưu trữ trạng thái và độ sai khác các giá trị tham số kết nối (SEQ_Num/ACK_Num). Do cặp giá trị này thay đổi, OFS phải tiêu tốn tài ngun cho tìm kiếm, mã hóa, kiểm tra, tính tốn checksum các gói tin trao đổi giữa máy chủ và máy khách. Điều này ảnh hưởng đến hiệu năng xử lý của OFS.
• Sự chia cắt kết nối TCP giữa hai thực thể đầu cuối có thể làm vơ hiệu hóa các tham số tùy chọn khác trong kết nối TCP như MSS, Selective ACKs, TCP Window Scaling,…[39] trong quá trình thực hiện giám sát bắt tay ba bước.
• Q trình tạo các gói tin SYN-ACK, xác thực gói tin CliACK trong kỹ thuật SYN Cookie địi hỏi tài ngun tính tốn bao gồm tạo gói tin, mã hóa và giải mã cookies, tính tốn checksum,… Cơ chế CM thực hiện đối với tất cả các gói tin SYN đến ngay cả đối với các gói tin yêu cầu kết nối tới một cổng bị đóng trên máy chủ. Điều này gây lãng phí tài ngun tính tốn của OFS, làm cho OFS dễ trở thành mục tiêu tấn công SYN flood và tấn công quét cổng. Ngồi ra, việc tích hợp cơ chế CM vào bộ chuyển mạch làm mất đi bản chất SDN, vì triết lý của SDN là cố gắng chuyển các phép tốn xử lý gói tin ra khỏi bộ chuyển mạch.