2. GIẢI PHÁP OVERHEARING PHỊNG CHỐNG TẤN CƠNG TỪ CHỐ
2.3. Giải pháp Overhearing phịng chống tấn cơng DoS
2.3.1. Cơ chế Overhearing nguyên bản
Overhearing là từ ghép của từ “Over” (vượt lên) và “hearing” (nghe ngĩng), tức là nghe ngĩng ở trên mức bình thường. Overhearing là một tập hợp các lý luận về ý tưởng xây dựng một phương thức giám sát, do thám giữa các thực thể ngang hàng nhau trong cùng một cơ quan đơn vị tổ chức, phương thức này được sử dụng rộng rãi trong thu thập tin tức tình báo, cơng tác phản gián trong các lực lượng quân đội trên thế giới. Mặc dù được áp dụng từ xa xưa, nhưng việc hệ thống hĩa lý luận về Overhearing và áp dụng trong cơng tác phản gián giữa các đơn vị quân đội cùng cấp mới được đề xuất trong thời gian gần đây, cụ thể cuộc chiến tranh Crimea trong giai đoạn 1853 – 1858 [48].
Khi các vấn đề về an ninh mạng được quan tâm, trước sự phát triển của mạng máy tính cũng như IoT, việc áp dụng tư tưởng về Overhearing từ cơng tác tình báo vào an tồn thơng tin trở thành một xu hướng khả thi, để nâng cao khả năng giám sát
các đối tượng trong hệ thống mạng máy tính, đặc biệt hữu ích trong lĩnh vực IoT với số lượng các nút mạng lớn, phân bố giàn trải và áp dụng mơ hình phân tán.
Ý tưởng đầu tiên về việc xây dựng hệ thống giám sát an ninh trong mạng Cảm biến khơng dây sử dụng các ý tưởng từ Overhearing được đề xuất vào năm 2007 bởi một nhà khoa học gốc Việt Nam cơng tác tại Đại học Bourgogne, Pháp là Lê Hùng Cường và các cộng sự tại Hội thảo Quốc tế về Ứng dụng và Cơng nghệ Cảm biến [49]. Giải pháp nguyên bản này là Giải pháp Overhearing trên tầng MAC hay viết tắt là OBMAC (Overhearing based in MAC Layer). Cơ chế này cho phép một nút mạng thu thập thơng tin từ các trường dữ liệu ở tầng MAC từ các gĩi tin của các nút trong phạm vi phủ sĩng của nút đĩ để đánh giá nguy cơ xem liệu nút đĩ cĩ phải là mối đe dọa tiềm tàng về an ninh và an tồn thơng tin khơng. Tuy nhiên, các mối đe dọa này mà OBMAC liên quan đến vấn đề nghe lén và giả mạo dữ liệu, OBMAC khơng cĩ khả năng dựa vào Overhearing để phát hiện các mối nguy về tấn cơng DDoS. Luận án đã đề xuất giải pháp cải tiến sử dụng Overhearing để phát hiện các cuộc tấn cơng DDoS bằng kiến trúc Botnet và cơ chế UDP Flood.
Ở các mạng cảm biến bình thường sử dụng giao thức định tuyến RPL, một nút Client chỉ cần quan tâm xem nút dưới nĩ và nút trên nĩ gửi những gì, cịn các nút hàng xĩm xung quanh thì nếu khơng cùng nhánh cây DAG thì nút đĩ khơng quan tâm. Với giải pháp Overhearing, các nút sẽ phải nghe xem tất cả các nút hàng xĩm gửi bao nhiêu gĩi tin, nhận bao nhiêu gĩi tin. Từ đĩ, nút đĩ cĩ thể phát hiện ra nút nào cĩ biểu hiện của tấn cơng DoS (trung bình gửi và nhận quá nhiều gĩi tin hay cĩ những liên lạc bất hợp pháp với Botmaster) và cĩ biện pháp ngăn chặn kịp thời (thường là từ chối giao dịch với nút Bot). Overhearing thực ra chỉ mang tính chất trừu tượng, nên cần thiết phải xây dựng thuật tốn phát hiện nút Bot, cấu hình thuật tốn và thiết lập ngăn chặn tấn cơng vào các File.c trước rồi mơ phỏng tương tự kịch bản đã thực hiện ở trên.
- Overhearing cĩ một số ưu điểm sau đây:
+ Giải pháp Overhearing mang tính chất phân quyền, khơng phụ thuộc vào bất kỳ
sự chỉ đạo nào. Các nút hoạt động độc lập, được cài đặt thuật tốn phát hiện nút Bot sẽ cĩ vai trị vai trị quyền hạn tương đương nhau. Các nút cĩ quyền từ chối giao dịch của bất kỳ nút Client nào nếu biết nút này là Bots. Điều này sẽ tạo ra phản ứng
nhanh nhạy, khá quan trọng với ứng phĩ các cuộc tấn cơng DoS.
+ Giải pháp Overhearing hướng vào các nút mạng chứ khơng phải hướng hệ thống và trao đổi dữ liệu. Các nút khơng cần phải nhận mệnh lệnh từ trung tâm như các giải pháp an ninh truyền thống. Do đĩ, ngay cả khi mạng hồn tồn bị tê liệt, giải pháp vẫn đảm bảo duy trì hoạt động.
Từ hai ưu điểm trên, ta cĩ thể thấy giải pháp Overhearing phù hợp với mạng quy mơ lớn, các nút mạng ở cách xa nhau và xa trung tâm điều khiển, địi hỏi tính độc lập rất cao. Giải pháp Overhearing cũng cĩ tính chịu lỗi cao, cĩ thể hoạt động trong điều kiện bị tấn cơng nặng nề.