3 Đảm bảo an ninh và tính sẵn sàng của dịch vụ đáp ứng QoS
3.4 Các kỹ thuật phịng chống tấn cơng DDoS
Kỹ thuật phát hiện ở gần nguồn tấn cơng: chúng ta có thể dễ dàng phát hiện tấn cơng tại tại nạn nhân khi tổng số lưu lượng để tắt một mạngV lớn hơn đáng kể lưu lượng bình thường. Tuy nhiên, số lượng tấn công gần nguồn sẽ không phân biệt được từ một lưu lượng bình thường, tỷ số VU sẽ rất nhỏ nếu lưu lượng cuộc tấn công DDoS là U đủ lớn. Thơng thường như các phương án đã đặt ra đó là đánh dấu gói tin và truy tìm ngược lại. Các phương án này thường khơng có hiệu quả cao khi mà cuộc tấn công diễn ra với quy mô rất lớn. Do vậy việc phát hiện tấn công gần nguồn sẽ tránh được tắc nghẽn và đạt hiệu quả cao nhất.
Kỹ thuật phát hiện tấn công tại mạng của nạn nhân: Việc phát hiện tấn cơng tại nạn nhân khơng khó vì lúc đó lưu lượng mạng tại nạn nhân sẽ trở nên rất cao và tất nhiên sẽ dẫn đến tình trạng khơng thể cung cấp được các dịch vụ. Tuy nhiên, thông thường việc phát hiện và phản ứng lại tại nạn nhân thường muộn và vào lúc cuộc tấn công đang ở mức cao. Nạn nhân lựa chọn tắt server và sau đó liên hệ với các ISP. Các ISP sau khi đã nhận được lời đề nghị của nạn nhân sẽ tiến hành đẩy ngược lại lưu lượng tấn công tại các router. Cơng việc này thường tốn rất nhiều thời gian. Ví dụ khi nạn nhân phát hiện ra cuộc tấn công, một thông điệp sẽ được gửi đến các upstream router của nạn nhân. Thơng điệp bao gồm đích của lưu lượng tấn công, và yêu cầu để lọc lưu lượng tấn công này. Tuy nhiên, việc gửi thông điệp này trong thời gian ngắn nhất có thể là vơ cùng quan trọng để ngăn chặn tấn cơng DDoS. Bởi vậy, cần có một cơ chế phát hiện thật nhanh để gửi thông điệp trong giai đoạn tấn công.
Kỹ thuật phát hiện dựa trên thống kê: Thực tế đã chứng minh, khi các cuộc tấn công DDoS xảy ra. Lập tức phân tích sẽ thấy được lưu lượng mạng rất khác
thường. Do đó hầu hết các thuật tốn phân tích phát hiện tấn cơng DDoS hiện nay đều dựa trên tính khác thường của lưu lượng mạng. Một số các công nghệ thống kê được áp dụng để tiến hành phân tích, thống kê những lưu lượng tải làm việc để phát hiện. Từ những kỹ thuật phân tích này, sẽ có những thuật tốn phát hiện để đưa ra các tham số hoặc công nghệ thống kê, các mức độ nguy hiểm của cuộc tấn công. Thông số kiểm tra được dùng để phân loại các thuật toán như số lượng lớn lưu lượng, số địa chỉ IP mới hoặc tỷ lệ các gói tin đến và đi trong mạng. Kỹ thuật thống kê sử dụng các thuật tốn thống kê để phân tích mạng (như ngưỡng giới hạn phù hợp, phát hiện điểm thay đổi và phân tích wavelet). Mức độ phân tích chi tiết các thơng số, các mức độ nguy hiểm sẽ được gán [14, 20, 63]. Các thuật
tốn phân tích, phát hiện tấn cơng DDoS phổ biến hiện nay gồm:
- Thuật toán ngưỡng giới hạn khả năng đáp ứng (Adaptive Threshold) [63] phát hiện sự khơng bình thường dựa trên sự vị phạm của một ngưỡng khả năng đáp ứng của lưu lượng mạng trong thời gian gần. Thuật tốn đặc biệt có khả năng phát hiện cao nhất khi kẻ tấn công tiến hành một cc tấn cơng TCP SYN. Thuật tốn tin tưởng vào việc kiểm tra phép đo lưu lượng có vượt qua một ngưỡng giới hạn cụ thể hay không. Nếu vượt qua, chứng tỏ đã có một cuộc tấn cơng xảy ra.
- Thuật tốn tổng tích lũy (Cumulative sum-CUSUM) [20] dựa trên giá trị trung bình của một quá trình xử lý thống kê. Sự phát hiện điểm thay đổi cần phải theo dõi trong các khoảng thời gian. Một công thức được xây dựng để theo dõi sự thay đổi này, khi vượt qua một ngưỡng giới hạn chứng tỏ đã xảy ra một cuộc tấn cơng.
- Thuật tốn theo dõi địa chỉ IP nguồn (Source IP Address Monitoring- SIM) [14] dựa trên việc theo dõi và đánh giá các địa chỉ IP mới. Thuật toán được chia làm 2 phần là off-line training và detection and learning. Trong phần off-line training, thuật toán sẽ tiến hành theo dõi, đánh giá phân tích các địa chỉ IP trong khoảng thời gian và đưa các địa chỉ IP vào trong IAD (IP address database). Những địa chỉ trong IAD được gọi là các địa chỉ thường xuyên truy cập. IAD xóa những IP hết hạn để giảm thiểu bộ nhớ cho hệ thống và cập nhật những đia chỉ IP mới. IAD được xây dựng và cập nhật off-line để chắc chắn rằng trong IAD không bao gồm bất cứ địa chỉ tấn cơng nào. Cịn trong phần detection and learning, SIM tiến hành thống kê những lưu lượng đến trong các khoảng thời gian. So khớp các địa chỉ IP đến trong IAD để tìm ra những IP mới. Phân tích những IP mới này, có một hàm để đánh giá các IP mới (sử dụng thuật toán CUSUM). Khi sự thay đổi vượt qua ngưỡng giới hạn chứng tỏ đã có một cuộc tấn cơng xảy ra.
- Thuật toán kiểm tra tỷ lệ lưu lượng đến và đi (Ratio of Input/Output Traf- fic) [63] dựa trên giả định rằng trong quá trình hoạt động bình thường trên internet, các gói tin theo hướng ra ngồi internet sẽ tỷ lệ thuận với các gói tin theo hướng ngược lại. Nếu tỷ lệ này q lớn chứng tỏ đã có sự tấn cơng từ bên ngoài.
3.3 Một số nghiên cứu liên quan
Tại Việt Nam, các nghiên cứu về lý thuyết cũng như xây dựng phương án thực tế nhằm đảm bảo an tồn cho mạng NGN cịn rất hạn chế. Trên thế giới, vấn đề an ninh NGN trở thành tâm điểm và thu hút rất nhiều sự quan tâm của cả các tổ chức chuẩn hoá cũng như các nhà sản xuất thiết bị viễn thơng. Sau những nỗ lực chuẩn hố về kiến trúc mạng cũng như những vấn đề xung quanh các tổ chức chuẩn hoá lớn như ITU, ETSI, 3GPP [49]. . . đã tập trung khá nhiều vào việc nghiên cứu an ninh cho mạng NGN, các chủ đề nghiên cứu trong an ninh cho NGN được thực hiện khá đa dạng, tuy nhiên hiện các chuẩn cơng nghệ hồn chỉnh giải quyết đến những vấn đề cụ thể trong an ninh mạng NGN thì gần như chưa có. Giải pháp phịng chống tấn cơng DDoS hiện nay có thể chia thành 3 kiểu:
- Dựa trên mã (Signature-based): các cơng cụ và chương trình sử dụng cho tấn cơng DDoS điều có những đặc điểm nhất định trong các gói tin. Các đặc điểm đó có thể được ghi lại dưới dạng chuỗi bit để so khớp [14, 20].
- Phòng thủ ngưỡng (Threshold defense): là thiết lập một ngưỡng cho mỗi đơn vị thời gian có thể là 10 gói tin được ghi nhận trong 1000 mili giây thì kết nối đó sẽ bị từ chối vì xem như bị tấn công DDoS [11,63].
- Kiểu kết hợp: bao gồm các phương pháp phịng chống dựa trên chính sách TCP, IP, SYN Cookie và phương pháp điều khiển băng thông [1, 16,17].
Các dạng tấn cơng DDoS thực hiện tìm kiếm các lỗ hổng bảo mật trên các máy tính kết nối tới Internet và khai thác các lỗ hổng bảo mật để xây dựng mạng Botnet gồm nhiều máy tính kết nối tới Internet. Do đó, tấn cơng rất khó để ngăn chặn hồn tồn. Ngay cả khi tất cả các biện pháp phòng chống này được sử dụng, chúng vẫn tồn tại các vấn đề sau:
- Các gói tin tấn cơng đến Firewall có thể chặn lại, nhưng hầu hết chúng đều đến từ những địa chỉ IP chưa có trong tập luật của Firewall nên chúng được coi là những gói tin hợp lệ.
- Khi địa chỉ nguồn của gói tin bị giả mạo và khơng nhận được sự phản hồi từ những địa chỉ nguồn thật thì biện pháp ngăn chặn thơng thường là cấm giao tiếp với địa chỉ nguồn đó. Tuy nhiên mạng Botnet bao gồm từ hàng nghìn tới vài trăm nghìn địa chỉ IP trên Internet và điều đó là vơ cùng khó khăn để ngăn chặn tấn công.
- Các cuộc tấn công làm cạn kiệt băng thông mạng được thực hiện trên các server trong mạng LAN. Khi máy chủ Web có hàng trăm Mbps kết nối Internet thì các biện pháp kiểm sốt mức tiêu thụ băng thơng mạng khơng còn hiệu quả trước các kiểu tấn cơng tràn UDP, ICMP vì lúc này lưu lượng được đẩy lên hàng Gbps. Biện pháp phịng chống tại mạng LAN khơng đủ để ngăn chặn các máy chủ đang ở tình trạng quá tải và tạo nên hiện tượng nghẽn mạng.
- Kiểu tấn công làm cạn kiệt tài nguyên và các biện pháp đối phó trên cũng có vấn đề khi các gói tin của người sử dụng thường xuyên trộn lẫn với các gói tin tấn cơng cũng có thể bị loại bỏ.
Gần đây, xu hướng sử dụng Proxy trung gian [1,72] và Moving Firewall [16, 17] để phòng thủ, bảo vệ trước các cuộc tấn cơng DoS mà khơng địi hỏi thay đổi
cơ sở hạ tầng nên rất thuận lợi cho việc sử dụng ở quy mơ lớn trong thực tế. Phịng thủ DoS sử dụng mạng Proxy thực hiện được hai ý tưởng. Thứ nhất, Proxy cách ly giữa tấn công và ứng dụng, ngăn chặn trực tiếp những cuộc tấn công DoS mức cơ sở hạ tầng lên ứng dụng. Thứ hai, dùng số lượng lớn Proxy biên ngoài để phân tán lưu lượng, làm giảm ảnh hưởng của tấn cơng. Phịng thủ DoS dựa trên mạng Proxy cho thấy được khả năng, sự hứa hẹn bởi vì khi một ứng dụng đã được bảo vệ bởi một loạt các Proxy vô hướng, chỉ khi tất cả đều phải bị những kẻ tấn cơng làm tổn thương thì mới để lộ ra ứng dụng để bị tấn công trực tiếp (có thể điều chỉnh số lượng các Proxy vơ hướng bằng cách cấu hình mạng Proxy để cung cấp một cấu trúc linh hoạt, chống lại sự thâm nhập của những kẻ tấn công và bảo vệ ứng dụng trước những cuộc tấn công trực tiếp). Dễ dàng phân tán rộng rãi các Proxy ở biên để khó bị những kẻ tấn cơng làm tràn gây gián đoạn dịch vụ. Điều này cho phép các mạng Proxy có thể chịu được những cuộc tấn công DoS bằng lưu lượng tấn công phân tán (dùng các truy cập ứng dụng trung gian để ngăn chặn những cuộc tấn công trực tiếp và cung cấp hệ thống phịng thủ mềm dẻo cho ứng dụng để làm lỗng tác động của các cuộc tấn công). Đây là một mạng Proxy có tiềm năng để bảo vệ ứng dụng từ những cuộc tấn cơng DoS. Hệ thống phịng thủ DoS dựa trên mạng Proxy cũng có tiềm năng phát triển trên quy mơ rộng lớn vì các mạng Proxy mức ứng dụng được xây dựng ở mức cao của Internet sẽ khơng địi hỏi bất kỳ thay đổi nào đối với cơ sở hạ tầng Internet hiện có. Một số mạng Proxy quy mơ lớn thành cơng (như Content Delivery Networks với mạng Proxy Akamai có tới hơn 15,000 Proxy phát triển trong hơn 1,200 mạng trên 65 quốc gia), chứng minh tính thực tế khả thi của việc phát triển những mạng Proxy quy mô lớn [72].
3.4 Giải pháp phịng chống tấn cơng dựa trên chính sách
Bảo vệ ứng dụng dịch vụ Internet trước các cuộc tấn cơng đang là một câu hỏi cịn để mở cho các đề tài nghiên cứu. Các cơ chế phòng thủ hiện tại đang cố gắng chặn tấn công DoS bằng cách lọc lưu lượng tấn công (đưa lọc bổ sung trong bộ định tuyến, kiểm tra tất cả các gói dữ liệu đến trên cơ sở đặc tính hóa lưu lượng, loại bỏ những gói tin bị nghi ngờ) tại mức định tuyến của Cisco 1. Tuy nhiên, khó xác định, phân biệt chính xác một cuộc tấn cơng nào đó với những gói tin bình thường khi tấn cơng ngày càng tinh vi. Điều đó địi hỏi hệ thống phòng thủ dựa trên các bộ lọc phải được điển hình hóa chi tiết theo mỗi cuộc tấn công.
Giả thiết kiến trúc mạng NGN được xây dựng từ các ISP cho phép cung cấp các dịch vụ cá nhân mở rộng, các nút Router trong mạng có thể điều khiển được và ISP có thể phát hiện được các địa chỉ IP bất thường. Như đã phân tích ở trên, mục tiêu của các biện pháp phịng chống tấn cơng DDoS hướng đến là giảm thiểu thiệt hại tài nguyên của máy chủ. Nhưng tấn công DoS sử dụng UDP lại làm tăng băng thơng các gói tin trên mạng được gửi đến máy chủ từ mạng LAN nên rất khó để chống lại. Các biện pháp phòng chống DoS sử dụng UDP hiệu nay vẫn chưa thực sự hiệu quả. Vì vậy mục tiêu phương pháp được đề xuất trong bài báo này hướng đến kiểm sốt và ngăn chặn tấn cơng DoS dùng UDP. Đa số giao thức truyền thông trên mạng là TCP được sử dụng trong Web Servers và Mail Servers. Còn giao thức UDP được sử dụng bởi DNS và NTP truyền thông với lượng băng thông nhỏ. Giao thức báo hiệu điều khiển lớp ứng dụng SIP sử dụng băng thông rộng để thiết lập, duy trì, kết thúc các phiên truyền thơng đa phương tiện sử dụng UDP và RTP. Tuy nhiên, đối với các dịch vụ UDP chúng ta rất khó đánh giá sự bình thường băng thơng của mạng từ phía ISP.
Hướng tiếp cận của luận án là dùng chính sách an ninh riêng để phát hiện tấn cơng DoS bằng cách kiểm sốt số lượng gói tin UDP phát sinh trong mạng NGN có vượt quá một giới hạn nhất định trong một đơn vị thời gian với băng thơng sẵn có hay khơng? Giới hạn này được xác định dựa trên chính sách an ninh riêng trên mạng LAN và được thiết lập trước khi tấn cơng DoS xảy ra.
1) Thiết lập chính sách an ninh riêng: Băng thơng của Server dành cho các gói tin UDP trong một đơn vị thời gian được thiết lập thành tham số để điều khiển tấn công DoS. Giá trị này bằng số lượng các gói tin UDP trong 1 giây mà băng thơng cho phép, nội dung chính sách an ninh được thể hiện trong Hình 3.5.
Trong đó, địa chỉ IP của Server sẽ mơ tả địa chỉ máy chủ cần kiểm sốt, ngưỡng phát hiện tấn cơng và lượng băng thơng dành cho UDP sẽ kiểm sốt sự bất thường của các gói tin.