1.2. Tổng quan về tấn công DDoS
1.2.4. Yêu cầu và thách thức đối với giải pháp phát hiện và ngăn chặn, giảm thiểu tấn công DDoS
thiểu tấn công DDoS
Một số tham số đánh giá hiệu quả giải pháp
a). Độ nhạy
Trong tấn công DDoS, lưu lượng tấn cơng đến cùng lúc với lưu lượng lành tính. Để có giải pháp chống lại tấn cơng, hệ thống phải có cơ chế phát hiện. Mức độ phát hiện có thể là:
• Phát hiện có tấn cơng xảy ra hay khơng đối với một hệ thống/máy chủ hoặc dịch vụ.
• Phân loại lưu lượng tấn cơng ra khỏi lưu lượng lành tính.
• Lọc bỏ lưu lượng tấn công để chúng không tới được máy chủ hoặc gây tác hại. Trong quá trình phát hiện, giảm thiểu tấn công tùy theo mức độ chính xác nhận diện lưu lượng của giải pháp, các lưu lượng đến có thể được xác định như trong Bảng 1.1 [3].
Bảng 1.1. Quan hệ giữa kết quả phân loại của giải pháp và đặc tính thực của lưu lượng
Đặc tính thực của lưu lượng Lành tính Tấn công Phân loại của
giải pháp Lành tính Tấn cơng TN FP FN TP
Theo quan hệ ở Bảng 1.1, độ nhạy (Sensitivity) ký hiệu là DR của giải pháp đánh giá khả năng nhận diện lưu lượng tấn công:
𝐷𝐷𝐷𝐷=𝑇𝑇𝑇𝑇𝑇𝑇𝑇𝑇+𝐹𝐹𝐹𝐹 (1.1)
Khi xét khả năng phân loại lưu lượng của một giải pháp, độ nhạy được cụ thể thành độ
nhạy phân loại DRC. Khi xét khả năng lọc bỏ lưu lượng tấn công, độ nhạy được cụ thể thành độ nhạy lọc bỏ DRF.
b). Tỷ lệ báo động nhầm
Tỷ lệ báo động nhầm (FPR) đánh giá khả năng nhận diện nhầm lưu lượng lành tính thành lưu lượng tấn cơng:
𝐹𝐹𝑇𝑇𝐷𝐷= 𝑇𝑇𝐹𝐹𝐹𝐹𝑇𝑇+𝐹𝐹𝑇𝑇 (1.2)
Khi xét kết quả phân loại lưu lượng của một giải pháp, tỷ lệ báo động nhầm được gọi là tỷ
lệ phân loại báo động nhầm FPRC. Khi xét kết quả lọc bỏ lưu lượng tấn công, tỷ lệ này được
gọi là tỷ lệ lọc bỏ nhầm FPRF.
c). Thời gian đáp ứng
Tham số thời gian đáp ứng đánh giá về mức độ phản hồi của một giải pháp phịng chống DDoS được tính bằng khoảng thời gian từ lúc lưu lượng tấn công bắt đầu chuyển tới hệ thống mạng/máy chủ đích cho tới khi bắt đầu có kết quả phân loại trạng thái tấn công đầu ra hoặc bắt đầu áp dụng các chính sách ngăn chặn, giảm thiểu tấn cơng. Tùy theo chức năng của giải pháp (phát hiện, phân loại hay ngăn chặn, giảm thiểu tấn công) mà tham số này được tính cụ thể cho từng trường hợp khác nhau.
d). Khả năng lọc bỏ
Khả năng lọc bỏ đánh giá mức độ giảm thiểu, loại bỏ tác hại tấn cơng mà giải pháp phịng
hưởng của lưu lượng tấn cơng đã phát hiện. Khả năng lọc bỏ cũng có thể được đo bằng tỷ lệ lưu lượng được lọc bỏ trên tổng số lưu lượng tấn công.
e). Khả năng chịu đựng tấn công
Năng lực xử lý của mỗi hệ thống/máy chủ là khác nhau tùy theo cấu hình hệ thống, lưu lượng kết nối và chính đặc điểm các dịch vụ trên máy chủ. Để tăng cường năng lực cho máy chủ và các dịch vụ chạy trên nó, ngồi việc nâng cao cấu hình, các nhà khai thác dịch vụ cũng áp dụng các giải pháp phòng chống DDoS. Hiệu quả của các giải pháp tổng hợp này thể hiện ở mức chịu đựng tấn công với các tốc độ khác nhau và được thể hiện bằng các tham số cụ thể như số lượng phiên kết nối tối đa trên máy chủ, băng thông tối đa của các kết nối, hoặc thời gian tối đa chịu đựng của máy chủ với một tốc độ lưu lượng tấn công đến cụ thể… Về mặt lý thuyết, các tham số trên có giá trị càng lớn thì sẽ càng tốt vì sẽ giúp cho các giải pháp phịng chống tấn cơng có nhiều thời gian hơn để phân tích cũng như là đưa ra các chính sách cho hệ thống mạng bị tấn công.
Các yêu cầu và thách thức đối với một giải pháp phòng chống DDoS
Theo Bawany [60], một giải pháp phòng chống DDoS hiệu quả phải đảm bảo bởi các yêu cầu cụ thể sau:
• Cơ chế phịng chống DDoS khơng được làm ảnh hưởng đến sự hoạt động của các người dùng hợp pháp và lưu lượng lành tính của họ.
• Cơ chế phát hiện tấn cơng cần phải có giải pháp ngăn chặn hoặc giảm thiểu tấn cơng đi kèm với nó để ngăn chặn tấn cơng từ cả bên trong và cả bên ngồi.
• Cơ chế phịng chống tấn cơng phải hoạt động trên quy mơ tương ứng của hệ thống mạng hoặc trung tâm dữ liệu.
• Giải pháp cần phải mềm dẻo, khả năng thích ứng cao với sự thay đổi về quy mơ dịch vụ, quy mô lưu lượng, làm tăng khả năng chịu đựng tấn cơng của hệ thống mạng.
• Giải pháp phải có chi phí triển khai thấp, hạn chế thấp nhất sự gia tăng thiết bị phần cứng, đồng thời sự thay đổi về quy mô không làm tăng tải tính tốn và lưu trữ của tồn hệ thống.
Trong bối cảnh phát triển mạnh mẽ của hệ thống mạng Internet và sự gia tăng tấn công mạng. Theo Bawany [60], các thách thức đặt ra đối với phịng chống DDoS có thể kể đến:
• Sự phân biệt giữa lưu lượng lành tính và lưu lượng tấn cơng ngày càng khó do kẻ tấn cơng áp dụng các kỹ thuật khác nhau để lưu lượng tấn công bắt chước giống với lưu lượng lành tính ở trạng thái đơng đúc đột ngột (flash crowd).
• Dịch vụ mạng đang dần chuyển sang xu thế công nghệ đám mây, điều này dẫn đến các máy ảo được triển khai linh động và khắp nơi, điều này đồng nghĩa với nguy cơ tấn công DDoS đối với một hệ thống mạng khơng chỉ từ bên ngồi mà có thể xuất phát chính từ các máy ảo bên trong.
thống mạng có băng thơng lớn, độ tin cậy cao, dẫn đến yêu cầu về hiệu năng và quy mô mạng lớn. Do đó giải pháp phịng chống DDoS cho hệ thống mạng tốc độ lớn trở nên khó khăn.
• Để đảm bảo duy trì tỷ lệ báo động nhầm FPR thấp thường kéo theo độ nhạy DR cũng sẽ thấp. Bên cạnh đó, tốc độ dịch vụ mạng ngày càng lớn dẫn đến sự gia tăng của các hình thức tấn cơng tốc độ thấp và dai dẳng (slowloris) và các phương thức tấn công này dễ dàng vượt qua các giải pháp phát hiện và ngăn chặn.
• Quy mô hệ thống mạng Internet ngày càng lớn tạo điều kiện cho các botnet phát triển cả về số lượng và năng lực của các xác sống. Điều này dẫn đến cường độ và quy mô tấn công DDoS ngày càng lớn.
Với những yêu cầu, thách thức như trên, tấn công DDoS vẫn là mối quan tâm giải quyết trong các kỹ thuật và kiến trúc mạng thế hệ mới.
Mạng quy mô nhỏ và những vấn đề an ninh đối với mạng quy mô nhỏ
Trước đây, các dịch vụ mạng Internet chủ yếu được cung cấp tập trung thông qua các hệ thống máy chủ tại các trung tâm dữ liệu. Trong những năm gần đây, với sự phát triển mạnh mẽ của công nghệ truyền dẫn đặc biệt sự phổ biến của công nghệ truyền dẫn quang, cho phép lưu lượng kết nối Internet hai chiều giữa người sử dụng tăng lên đáng kể. Bên cạnh đó, sự gia tăng các dịch vụ multimedia, dịch vụ truyền số liệu giữa các thiết bị, hệ thống IoTs trên Internet làm cho mạng quy mô nhỏ (SOHO network) [61] như mạng gia đình, văn phịng cơ quan nhỏ không chỉ đơn thuần là sử dụng dịch vụ Internet mà chuyển sang cung cấp dịch vụ ở quy mơ, phạm vi nhỏ. Ví dụ: dịch vụ truyền hình ảnh của hệ thống camera giám sát, dịch vụ truyền dữ liệu từ các thiết bị lưu trữ dữ liệu, dịch vụ điều khiển nhà thơng minh,… Ngồi ra, xu thế làm việc độc lập (self-employed) ngày càng trở nên phổ biến làm xuất hiện và gia tăng nhu cầu kết nối Internet và cung cấp dịch vụ qua mạng văn phịng nhỏ.
Theo Bradley Mitchell [61], mạng quy mơ nhỏ được sở hữu và phục vụ nhu cầu làm việc của một nhóm nhỏ người dùng và hình thành bởi mạng LAN kết nối Internet qua một đường truyền với lưu lượng thấp. SOHO network thường có kết cấu đa dạng giữa mạng có dây và khơng dây với các thiết bị, dịch vụ hỗn tạp. Khác với sự tổ chức dịch vụ tại các hệ thống máy chủ ở các trung tâm dữ liệu lớn, các dịch vụ từ các mạng SOHO thường ít được chú trọng yếu tố đảm bảo an ninh, phịng chống tấn cơng. Nguyên nhân cơ bản là do thiếu sự quan tâm đúng mức của người dùng đối với việc tổ chức dịch vụ dữ liệu. Các vấn đề về chi phí cũng là yếu tố cản trở khi số lượng dịch vụ và quy mô lưu lượng tại các mạng SOHO thường rất nhỏ, khơng tương xứng với chi phí cho triển khai các giải pháp đảm bảo an ninh mạng [62]–[64]. Điều này dẫn đến các mạng SOHO vừa là mục tiêu của các đợt tấn cơng mạng nói chung và tấn cơng DDoS nói riêng, vừa là nơi kẻ tấn công lợi dụng để phát tán mã độc, huy động xác sống để tham gia các hoạt động xâm phạm an ninh mạng, tổ chức tấn công DDoS.