1.2. Tổng quan về tấn công DDoS
1.2.3. Các giải pháp phòng chống DDoS dựa trên công nghệ mạng truyền thống
Vị trí triển khai các giải pháp
Do được huy động từ nhiều nguồn khác nhau nên lưu lượng tấn cơng DDoS có đặc điểm là nhỏ ở phía nguồn phát sinh và rất lớn ở phía mạng nạn nhân. Đặc điểm này dẫn đến một thực tế là tại nguồn phát sinh lưu lượng tấn công, việc áp dụng giải pháp ngăn chặn tấn cơng thì dễ nhưng lại khó phát hiện tấn cơng. Ngược lại tại mạng nạn nhân, việc phát hiện tấn công dễ hơn trong khi ngăn chặn và giảm thiểu tấn cơng rất khó thực hiện. Do tính nguy hại của tấn cơng DDoS, trên thực tế, các giải pháp phòng chống DDoS dựa trên công nghệ mạng truyền thống được triển khai trên cả mạng nguồn phát sinh, mạng trung gian và hệ thống mạng đích.
a). Triển khai tại mạng nguồn phát sinh lưu lượng
Các kỹ thuật phát hiện và ngăn chặn trên mạng phát sinh lưu lượng chủ yếu thực hiện tại các bộ định tuyến, các gateway kiểm soát lưu lượng đi ra khỏi hệ thống mạng, trong đó áp dụng các bộ lọc gói tin [41], [42] nhằm ngăn chặn sự giả mạo địa chỉ IP không đúng với địa chỉ của các trạm bên trong hệ thống. Một số giải pháp khác thực hiện phân tích và kiểm sốt lưu lượng kết nối của các trạm bên trong hệ thống mạng nguồn với Internet nhằm phát hiện các bất thường và loại bỏ lưu lượng tấn cơng DDoS [43]–[45]. Tuy nhiên do khơng có sự ràng buộc giữa các hệ thống tự trị trên Internet nên việc phối hợp triển khai phòng chống DDoS tại mạng nguồn phát sinh trên thực tế có hiệu quả rất thấp.
b). Triển khai tại mạng trung gian
Chủ yếu thực hiện tại các bộ định tuyến với các bộ lọc nhằm phát hiện bất thường trong lưu lượng chuyển qua hệ thống mạng [16], [46]. Một số giải pháp đề xuất bổ sung chức năng đánh dấu gói tin chuyển qua các bộ định tuyến nhằm hỗ trợ truy vết nguồn phát sinh lưu lượng tấn công không dựa vào trường thơng tin địa chỉ IP nguồn của gói tin tấn cơng [47]–[50]. Cũng giống như tại mạng nguồn phát sinh lưu lượng tấn công, các giải pháp áp dụng trên mạng trung gian trên thực tế cũng không mang lại hiệu quả cao.
c). Triển khai tại mạng máy chủ đích
Đây là các giải pháp chủ yếu và được áp dụng hầu hết trên các hệ thống mạng tham gia
Internet bao gồm triển khai trên máy chủ (host based) và trên các thiết bị mạng (network based). Các giải pháp triển khai trên máy chủ thường áp dụng đối với một số loại tấn công cụ thể như SYN Cookie [51] ngăn chặn tấn cơng TCP SYN Flood. Nhằm tăng độ chính xác trong phát hiện và giảm thiểu tấn công trong hệ thống mạng rộng lớn của một trung tâm dữ liệu hoặc một ISP, các giải pháp phòng chống DDoS được triển khai tại nhiều điểm trong hệ thống để đo lưu lượng (probe) và phát hiện, giảm thiểu tấn công nhờ các thiết bị IDS, IPS, tường lửa (firewall). Các giải pháp triển khai phổ biến tại mạng đích bao gồm:
• Phát hiện tấn cơng: Áp dụng các thuật tốn đối với tham số lưu lượng để xác định có
tấn cơng xảy ra hay không.
để phân biệt lưu lượng tấn cơng và lưu lượng lành tính.
• Lọc bỏ lưu lượng tấn công: Sử dụng các kỹ thuật lưu lượng để xóa bỏ hoặc cơ lập lưu
lượng tấn công, giảm thiểu ảnh hưởng của lưu lượng tấn cơng tới các máy chủ và hệ thống mạng.
• Truy vết lưu lượng tấn công: Khi tấn công đã hoặc đang diễn ra, sử dụng các kỹ thuật
khác nhau để xác định nguồn tấn công hoặc đường đi của lưu lượng tấn công. Các kỹ thuật phát hiện tấn công
Tấn công DDoS được phát hiện theo hai nhóm kỹ thuật: dựa vào dấu hiệu tấn cơng và dựa vào sự bất thường của lưu lượng:
a). Dựa vào dấu hiệu tấn công
Được áp dụng đối với các phương thức, kỹ thuật tấn công khai thác lỗ hổng của giao thức mạng hoặc lỗ hổng của ứng dụng, dịch vụ mạng. Các kỹ thuật phát hiện này phải phân tích sâu nội dung hoặc tiêu đề của gói tin để phát hiện lỗi hoặc sự bất thường. Kỹ thuật này đem lại độ chính xác cao, tuy nhiên địi hỏi tính tốn lớn do phải phân tích sâu từng gói tin hoặc so sánh đặc tính lưu lượng với số lượng lớn các mẫu tấn công. Ngồi ra kỹ thuật này khơng thể phát hiện các mẫu tấn công mới.
b). Dựa vào sự bất thường của lưu lượng
Các kỹ thuật này được áp dụng phổ biến hơn trong phát hiện tấn cơng DDoS trong đó một mơ hình đặc tính lưu lượng bình thường được xây dựng và thống kê, cập nhật. Đặc tính lưu lượng tức thời chuyển qua hệ thống được so sánh với đặc tính lưu lượng bình thường. Tấn cơng được cho là xảy ra nếu có sự khác biệt lớn giữa đặc tính lưu lượng tức thời với đặc tính lưu lượng bình thường [15]. Kỹ thuật này cịn được áp dụng để phân loại lưu lượng tấn công với lưu lượng lành tính khi có tấn cơng xảy ra. Sự khác biệt giữa các kỹ thuật phát hiện và phân loại tấn công ở chỗ lựa chọn tham số và mơ hình đặc tính lưu lượng. Một bộ tham số và mơ hình đặc tính lưu lượng phải đảm bảo hai yếu tố [52]:
• Hầu hết các mẫu lưu lượng lành tính phải tuân thủ đặc tính lưu lượng bình thường.
• Mẫu lưu lượng tấn cơng phải có sự khác biệt lớn so với đặc tính lưu lượng bình thường. Tuy nhiên, trên thực tế, để xây dựng được bộ tham số và mơ hình đặc tính lưu lượng thỏa mãn hai điều kiện trên là rất khó. Vì vậy việc phát hiện và phân loại lưu lượng tấn cơng thường có một phần lưu lượng tấn công không phát hiện được hoặc phát hiện nhầm lưu lượng lành tính thành lưu lượng tấn cơng.
Các kỹ thuật phát hiện tấn cơng DDoS bao gồm:
• Sử dụng mơ hình thống kê (Statistical): Kỹ thuật này xây dựng mơ hình thống kê cho
các tham số lưu lượng của một dịch vụ, máy chủ, hệ thống mạng cụ thể đối với lưu lượng lành tính. Một mẫu lưu lượng được trích xuất các tham số và so sánh với mơ hình thống kê dựa trên các ngưỡng tham chiếu để xác định là lưu lượng lành tính hay lưu lượng tấn cơng [53], [54].
• Học máy (Machine learning): Kỹ thuật học máy được áp dụng rộng rãi trong phát hiện
xâm nhập (IDS), tấn cơng DDoS trong đó phân biệt đặc tính bình thường và đặc tính bất thường của lưu lượng nhờ q trình học [17], [55]. Các phương pháp học máy khác nhau được áp dụng như mạng nơ-ron [56], mạng Bayesian [57], bản đồ tự tổ chức SOM [58],…
• Khai phá dữ liệu (Data mining): Áp dụng tổng hợp các mơ hình thống kê, các phương
pháp học máy với bộ lưu lượng ở các quy mô lớn để xây dựng, hệ thống hóa để tạo ra những đặc điểm riêng, những mơ hình cho từng dịch vụ, máy chủ từ đó áp dụng để phân biệt lưu lượng tấn cơng với lưu lượng lành tính với độ chính xác cao. Kỹ thuật này địi hỏi tài ngun tính tốn và lưu trữ lớn, do đó hiện tại chưa có nhiều mơ hình theo kỹ thuật này được đề xuất phát hiện và phân loại lưu lượng tấn công DDoS trên thực tế.
Các kỹ thuật phòng chống và giảm thiểu tấn công
Kỹ thuật phịng chống và giảm thiểu tấn cơng DDoS dựa trên công nghệ mạng truyền thống được chia làm hai nhóm: triển khai trên các máy chủ (host based) và triển khai trên hệ thống mạng (network based).
• Các giải pháp triển khai trên máy chủ: chủ yếu phịng chống tấn cơng dựa vào giao
thức và giới hạn kết nối. Để ngăn chặn tấn công TCP SYN Flood, một số hệ điều hành như Linux áp dụng kỹ thuật SYN Cookie [51], hệ điều hành Windows cho phép điều chỉnh thời gian chờ TIME_WAIT [18] để hạn chế thời gian tồn tại của các TCB trên máy chủ. Để ngăn chặn các kết nối TCP, UDP, IMCP tấn công ồ ạt, một số hệ điều hành cho phép đặt ngưỡng số lượng kết nối [31].
• Các giải pháp triển khai trên hệ thống mạng: Trong công nghệ mạng truyền thống, do
đặc tính đóng kín của các thiết bị mạng, các giải pháp phòng chống DDoS chủ yếu tập trung vào kỹ thuật đặt giới hạn các kết nối và lưu lượng [59] hoặc thao tác bằng tay:
- Căn cứ vào đặc tính lưu lượng và năng lực phục vụ của mỗi máy chủ, các ngưỡng giới hạn lưu lượng hoặc số lượng kết nối đồng thời. Khi tấn công xảy ra, lưu lượng thực tế vượt quá ngưỡng giới hạn này, các lưu lượng hoặc kết nối mới sẽ bị xóa bỏ. Điều này dẫn tới giảm tỷ lệ thành cơng của các kết nối lành tính.
- Khi có dấu hiệu cảnh báo tấn cơng xảy ra, các thiết bị mạng đơn thuần như bộ chuyển
mạch, bộ định tuyến được cấu hình một cách thủ cơng để ngăn chặn và giảm thiểu tấn công. Đây là nhược điểm cố hữu của công nghệ mạng truyền thống trong phối hợp phát hiện,
ngăn chặn và giảm thiểu tấn công. Nguyên nhân cơ bản là do các thiết bị mạng được điều
khiển, cấu hình độc lập và đóng kín.