CHƯƠNG 1 GIỚI THIỆU ĐỀ TÀI
2.3 Tổng quan về các phương pháp phịng, chống tấn cơng DDoS
Trong phần này luận văn trình bày tổng quan và phân loại các phương pháp phịng chống tấn cơng trên cơ sở tham khảo, bổ sung cập nhật các nghiên cứu liên quan đã được cơng bố trước đây [25][26] Theo nghiên cứ,u việc phân loại phương pháp phịng chống tấn cơng được mơ tả như hình dưới đây:
Hình 2.11 Tổng quan các phương pháp phịng, chống tấn cơng DDoS
Nhĩm các phương pháp phịng, chống tấn cơng dựa theo tiêu chí vị trí triển khai được tiếp tục phân chia làm 02 lớp phịng chống:
20
• Phương pháp phịng chống cho các dạng tấn cơng xảy ra từ tầng
Network/Transport của mơ hình OSI trở xuống. Các phương pháp phịng, chống tấn cơng lại tiếp tục được chia làm 04 nhĩm phương pháp về:
• Network-based: Mạng trung gian
• Source-based: Gần nguồn
• Destination-based: Gần đích
• Hybrid: Kết hợp
• Phương pháp phịng, chống tấn cơng vào lớp Application của mơ hình OSI.
Đối với lớp này, các phương pháp phịng chống tấn cơng lại tiếp tục được chia làm 02 nhĩm phương pháp:
▪ Gần đích
▪ Kết hợp
Với nhĩm các phương pháp phịng chống tấn cơng dựa thời điểm phịng chống được chia làm 03 giai đoạn:
• Phịng thủ
• Phát hiện tấn cơng
• Xử lý tấn cơng
2.3.1 Nhĩm phương pháp phịng chống tấn cơng lớp mạng
Tấn cơng DDoS xảy ra ở lớp mạng bao gồm các dạng tấn cơng được thực hiện thơng qua các giao thức ở lớp 4 Transport và lớp 3 Network theo mơ hình OSI. Phương pháp phịng chống tấn cơng ở lớp mạng bao gồm 04 nhĩm giải pháp như dưới đây:
2.3.1.1. Phương pháp pháp source-base (áp dụng ở gần nguồn tấn cơng)
Phương pháp này được triển khai ở phía gần nguồn gửi các gĩi tin tấn cơng, thường tại Router biên của một hệ thống mạng hoặc tại Router lớp truy cập của nhà cung cấp dịch vụ (Edge Router).
Ưu điểm của phương pháp này là cĩ thể xử lý sớm được nguồn tấn cơng giúp hạn chế các gĩi tấn cơng làm tiêu tốn tài nguyên xử lý của mạng trung gian.
Hạn chế của phương pháp này là khĩ triển khai trên diện rộng do tính phân tán của các Router biên . Hơn nữa, việc phát hiện tấn cơng ở phía source-based khĩ khăn hơn vì lưu lượng từ mỗi nguồn nhỏ, phân tán nên các thuật tốn phát hiện tấn cơng source-based cĩ hiệu quả thấp hơn.
Một số cách để ngăn chặn các cuộc tấn cơng gần nguồn phổ biến hiện nay là chặn lọc tại Router biên, D-WARD, MULTOPS, sử dụng Reverse Firewall.
21
2.3.1.2. Phương pháp destination-based (áp dụng ở phía đối tượng được bảo vệ)
Phương pháp destination-based này được triển khai trực tiếp tại các hệ thống đích phải bảo vệ. Lợi ích cĩ thể thấy là triển khai đơn giản hơn vì chỉ cần triển khai tại hệ thống cần bảo vệ mà khơng phải triển khai rộng khắp như source-based. Việc phát hiện tấn cơng của phương pháp này cũng hiệu quả hơn do lưu lượng tấn cơng được tập trung ở phía đích được bảo vệ.
Tuy nhiên nhược điểm của phương pháp này xuất hiện là khi lưu lượng tập trung tại nguồn thì cần nhiều tài nguyên hệ thống và hiệu năng xử lý. Hơn nữa, phương pháp này cũng khơng tác dụng với trường hợp tấn cơng Volumetric, vì khi khơng cịn băng thơng cho kết nối bình thường thì vẫn bị từ chối dịch vụ dù phương pháp này cĩ hiệu quả thế nào đi chăng nữa.
Hiện nay cĩ một số phương pháp phịng chống tấn cơng destination-based gồm:
• Truy vấn ngược IP nguồn
• Sử dụng thơng tin MIB
• Đánh dấu và lọc gĩi tin qua
▪ History-based IP filtering
▪ Hop-count filtering
▪ Path Identifier
▪ Packetscore
2.3.1.3. Phương pháp áp dụng network-based (hạ tầng mạng trung gian)
Phương pháp này triển khai ở các Router bên trong của các Autonomous System (AS), tập trung vào việc phát hiện và chặn lọc tấn cơng tại các hạ tầng mạng trung gian thuộc các AS.
Lợi ích của phương pháp này là giúp phịng chống tấn cơng Volumetric và cĩ thể triển khai ở các Router gần nguồn tấn cơng.
Nhược điểm của phương pháp này là yêu cầu tài nguyên xử lý của các Router lớn, hơn nữa Router cũng phải cĩ cơ chế tương tác với nhau để chia sẻ thơng tin. Khả năng phát hiện tấn cơng của phương pháp này cũng khĩ khăn hơn vì attack traffic thường phân tán.
Một số phương pháp phịng chống tấn cơng ở hạ tầng mạng trung gian bao gồm: Phương pháp lọc gĩi tin trên Router và phương pháp tìm loại bỏ các Router độc hại: Watchers, Packet sampling.
2.3.1.4. Phương pháp hybrid (kết hợp)
Nhĩm các phương pháp hybrid được tạo ra dựa trên việc kết hợp các phương pháp trên tại nhiều địa điểm khác nhau để ngăn chặn và kiểm sốt các cuộc tấn cơng. Ví dụ, để phát hiện một cuộc tấn cơng, kỹ thuật này được triển khai gần mục tiêu tấn cơng hơn, và quá trình xử lý và lọc tấn cơng được phân phối theo nhiều cách khác nhau.
Ưu điểm của phương pháp này là cĩ thể kết hợp nhiều phương pháp để phát hiện và ngăn chặn các cuộc tấn cơng hiệu quả hơn.
22
Hạn chế của phương pháp này là cần cĩ sự kết hợp của nhiều thành phần / giải pháp cùng tham gia phịng chống. Nếu các điểm triển khai bị phân tán, việc triển khai rất khĩ khăn và địi hỏi chi phí triển khai cao. Một yêu cầu khác đối với phương pháp này là các thành phần cần cĩ một kênh liên lạc đáng tin cậy để trao đổi và cập nhật thơng tin.
Dưới đây là một số cách để ngăn chặn các cuộc tấn cơng theo phương pháp kết hợp:
▪ Kiểm sốt lưu trượng ACC.
▪ Attack Diagnosis (AD) và parallel-AD.
▪ COSSACK.
2.3.2 Nhĩm phương pháp phịng chống tấn cơng lớp ứng dụng
Tấn cơng DDoS xảy ra ở lớp mạng bao gồm các dạng tấn cơng thực hiện thơng qua các giao thức ở lớp 5 - Session, lớp 6 - Presentation và lớp 7 - Application theo mơ hình OSI. Phương pháp phịng chống tấn cơng ở lớp ứng dụng bao gồm 02 nhĩm giải pháp như dưới đây:
2.3.2.1. Phương pháp destination-based (phía đối tượng được bảo vệ)
Phần lớn các application protocol hoạt động theo mơ hình Client –Server với server cung cấp một dịch vụ cụ thể (Ví dụ DNS, Web, FTP…) và client là máy gửi các yêu cầu tới máy chủ để khai thác các dịch vụ do máy chủ cung cấp. Như đã đề cập, phương pháp destination-based là các phương pháp triển khai ở phía gần đích bị tấn cơng. Đích tấn cơng là các máy chủ cung cấp dịch vụ hoặc các máy chủ Revese Proxy. Các phương pháp thuộc nhĩm này quan sát các đặc trưng trong việc trao đổi thơng tin, dữ liệu giữa client và server để phát hiện được các hành vi /yêu cầu dị thường (abnormal request/ anomaly behavior). Sau đĩ các adnormal request sẽ bị chặn hoặc giới hạn tốc độ truy cập từ nguoonf. Phương pháp này bao gồm phương pháp phịng chống dạng tấn cơng Reflection/Amplification. Các phương pháp này được triển khai ở phía máy chủ đích và tập trung vào việc phát hiện, xử lý các lưu lượng bất thường thường từ các giao thức DNS,…
2.3.2.2. Nhĩm phương pháp kết hợp
Phương pháp kết hợp về cơ chế hoạt động cũng giống như phương pháp kết hợp ở lớp mạng. Tuy nhiên, thay vì cần sự kết hợp giữa các Router thì đối với phương pháp kết hợp ở lớp ứng dụng yêu cầu cĩ sự kết hợp giữa các máy chủ và các máy tính người sử dụng. Nhĩm phương pháp này bao gồm một số phương pháp như sau:
• Speak-up.
• DOW (Defense and Offense Wall).
• Differentiate DDoS flooding bots from human.
23
2.3.3 Nhĩm các phương pháp xử lý theo giai đoạn phịng chống
2.3.3.1. Nhĩm giai đoạn phịng thủ
Giai đoạn phịng thủ là giai đoạn thực hiện các biện pháp chuẩn bị để ngăn ngừa hoặc giảm thiểu ảnh hưởng tấn cơng DDoS khi xảy ra tấn cơng. Các phương pháp trong giai đoạn này thường tập trung vào việc phát hiện và xử lý các điểm yếu an tồn thơng tin để kẻ tấn cơng khơng thể chiếm quyền điều khiển hệ thống và các máy tính làm tay sai để thực hiện tấn cơng.
Một số phương pháp phịng chống tấn cơng trong giai đoạn phịng thủ bao gồm:
• Tăng cường bảo mật cho hệ thống qua việc thực hiện ngăn chặn các truy
cập trái phép vào máy chủ, cài đặt các bản vá lỗi phần mềm, gỡ bỏ phần mềm khơng sử dụng
• Bổ sung khả năng dự phịng với việc tăng cường sao lưu dự phịng, triển
khai hệ thống dự phịng ở vị trí khác nhau
• Phân bổ tài nguyên hợp lý các tài nguyên hệ thống để tăng cường khả năng
phịng chống khi xảy ra tấn cơng
• Thiết lập hệ thống phịng thủ qua việc triển khai hệ thống tường lửa, phát
hiện xâm nhập IDS/IPS cho phép thiết lập chính sách quản lý truy cập và phát hiện, ngăn chặn xâm nhập
• Sử dụng cơ chế lọc gĩi tin. Thiết lập các chính sách chặn lọc gĩi tin theo
danh sách các IP thu thập được từ các phương pháp: Ingress/Egress, History-based IP filtering, hop-count filtering, Pi, route-based packet filtering, ACC, Pushback, AD and parallel-AD, TRACK
• Thiết lập cơ chế cân bằng tải. sử dụng nhiều máy chủ, chạy song song và
chia tải cho nhau để tăng cường khả năng phịng chống
2.3.3.2. Nhĩm giai đoạn phát hiện tấn cơng
Tiếp theo của phịng chống tấn cơng là phát hiện khi nào tấn cơng sẽ xảy ra. Giai đoạn phát hiện tấn cơng cĩ thể sử dụng các phương pháp được triển khai gần nguồn, mạng trung gian, gần đích hoặc kết hợp. Cĩ nhiều cơ chế khác nhau để phát hiện tấn cơng, một số phương pháp phát hiện phát hiện tấn cơng khi các liên kết mạng bị tắc nghẽn đến một ngưỡng nhất định như . Một số phương pháp phát hiện tấn cơng khác dựa trên phân tích dấu hiệu của lưu lượng mạng nhận được tại lớp mạng và lớp ứng dụng. Các phương pháp này giám sát lưu lượng mạng để thu thập trạng thái của kết nối mạng hoặc các đặc trưng khi hệ thống ở trạng thái hoạt động bình thường và thiết lập ngưỡng phát hiện tấn cơng dựa vào thơng tin phân tích được. Đây là những thơng tin được sử dụng để phát hiện tấn cơng khi phát hiện sự thay đổi các đặc trưng của lưu lượng khi tấn cơng xảy ra.
2.3.3.3. Nhĩm giai đoạn xử lý tấn cơng
Sau khi phát hiện tấn cơng, hệ thống phịng thủ sẽ xác định, ngăn chặn các nguồn gửi gĩi tin tấn cơng. Thực tế cho thấy hầu hết các phương pháp phịng chống tấn cơng khơng thể ngăn chặn hồn tồn các cuộc tấn cơng. Vì vậy mục đích chính la để giảm thiểu ảnh hưởng của tấn cơng là ủa các phương pháp phịng chống. Cĩ 02 chức năng chính để thực hiện giảm thiểu tấn cơng như sau:
24
a) Phát hiện nguồn gửi tấn cơng: Khi phát hiện tấn cơng xảy ra, việc tiếp theo
mà hệ thống phịng chống phải thực hiện là tìm ra các nguồn gửi tấn cơng để thiết lập các chính sách ngăn chặn. Việc pháp hiện ra các nguồn gửi tấn cơng cĩ thể được thực hiện bằng nhiều phương pháp khác nhau.
b) Xử lý giảm thiểu, ngăn chặn tấn cơng: Nối tiếp việc phát hiện nguồn gửi
yêu cầu tấn cơng sẽ là thực hiện các chính sách giảm thiểu, ngăn chặn. Hầu hết các phương pháp phịng chống áp dụng giới hạn tốc độ gửi gĩi tin hoặc lọc gĩi tin tấn cơng.
Trong chương này, luận văn đã đưa ra các nội dung tổng quan về tấn cơng và phịng chống tấn cơng DoS/DDOS. Nội dung nghiên cứu trong chương này là cơ sở cho nghiên cứu, đề xuất các phương pháp cụ thể để phịng chống tấn cơng DoS/DDOS được trình bày ở chương 2 và chương 3. Những nội dung chính mà luận văn đã trình bày trong chương trình này bao gồm:
• Tổng quan về tấn cơng từ chối dịch vụ phân tán DDoS;
• Các dạng tấn cơng DDoS phổ biến;
• Các cơng cụ tấn cơng DDoS phổ biến;
• Những thách thức trong việc phát hiện và phịng chống tấn cơng DDoS;
• Tổng quan về các phương pháp phịng chống tấn cơng DoS/DDOS