CHƯƠNG 1: NGHIÊN CỨU CÁC GIẢI PHÁP NGĂN CHẶN TẤN CÔNG TỪ CHỐI DỊCH VỤ TRÊN TẦNG ỨNG DỤNG CHO WEBSITES
2.1. Thiết kế tổng quan mô hình và chức năng của hệ thống
2.1.1. Ki ến trúc tổng quan và các thành phần của hệ thống.
Như đã trình bày ở phần trên với các chức năng mong muốn của hệ thống phòng chống phòng chống tấn công từ chối dịch vụ. Tác giả đề xuất hệ thống sẽ hoạt động như một hệ thống proxy đứng trước website. Để dùng được hệ thống thì người chủ website sẽ cấu hình địa chỉ dns của web trỏ vào hệ thống. Các request khi đến website sẽ được lọc thông qua hệ thống chống tấn công từ chối dịch vụ. Hệ thống chỉ cho các request bình thường đến hệ thống website đằng sau, còn các request đến từ botnet hoặc người tấn công sẽ bị chặn và không thể đến được web đằng sau. Cách làm như này sẽ khiến website khó có thể bị quá tải hơn, cách thứ triển khai dễ hơn rất nhiều.
Cũng theo như các yêu cầu từ phần trên hệ thống sẽ phải gồm các module chính: module sinh cookie xác thực, module xác thực qua javascript, module xác thực qua catpcha, module limit requests, module xác thực bot của các trang tìm kiếm. Trong đó yêu cầu với từng module như sau:
Module tạo cookie xác thực: các thứ tạo cookie xác thực phải có yêu cầu là chỉ phía trên server mới có thể tạo được cookie xác thực được. Quá trình tạo cookie phải tốn ít tài nguyên nhất có thể không dùng các thuật toán mã hoá quá phực tạp dẫn đến hệ thống phải chịu tải lớn khi bị tấn công từ chối dịch vụ. Cơ chế xác thực cookie xem có hợp lệ không phải đơn giản. Module này sẽ được dùng cho 2 module xác thực còn lại để xác thực người dùng hợp lệ.
Module xác thực qua javascript: Module dùng để người dùng có thể nhận được cookie xác thực tạo ra từ module trước. Mã dùng trong module này phải tương thích với tất cả các trình duyệt phổ biến. Mã cũng phải có kích thước nhỏ và đơn giản để tránh tốn quá nhiều băng thông của hệ thống.
19
Module xác thực qua catpcha: captcha xử dụng phải đủ tốt để không bị vượt qua bởi các công cụ nhận biết chữ viết phổ biến trên mạng. Việc tạo và xác thực captcha cũng phải tốn ít tài nguyên của hệ thống nhằm tránh chính hệ thống chống tấn công từ chối dịch vụ lại bị quá tải khi bị tấn công từ chối dịch vụ.
Module limit request: Module phải dễ cấu hình, hỗ trợ cấu hình limit đơn giản và theo nhiều yêu cầu khác nhau. Hỗ trợ việc xác thực phù hợp với những mức limit khác nhau. Module limit khi chạy phải dùng ít tài nguyên của hệ thống: không tốn quá nhiều tài nguyên xử lý của bộ vi xử lý và ram.
Module xác thực bot của các công tụ tìm kiếm: phải đảm bảo yêu cầu xác thực chính xác các bot tìm kiếm, không có hiện tượng xác thực nhầm nhằm tránh việc bot tìm kiếm không thể lấy được thông tin từ website sẽ ảnh hưởng rất nhiều hoạt động của website. Hệ thống cũng phải đạt yêu cầu là việc kiểm tra xác thực phải tốn rất ít tài nguyên của hệ thống và cũng phải rất đơn giản để mở rộng nếu có thể.
Hình 5. Cách thức triển khai hệ thống.
2.1.2. Mô hình hoạt động của hệ thống.
Như đã trình bày ở phần trên về cách triển khai và các module cần thiết của hệ thống tác giả xây dựng hệ thống với các hoạt động như sơ đồ logic sau đây:
20
Hình 6. Sơ đồ logic của hệ thống.
Quá trình xử lý một request từ người dùng gửi lên thông quan hệ thống chống tấn công từ chối dịch vụ như sau:
21
Khi một request gửi lên hệ thống sẽ kiểm tra request đó có phải đến từ bot của trình duyệt không bằng cách kiểm tra useragent trong headers của request xem có trình với các useragent mà bot của trình duyệt dùng không. Nếu request đó là đến từ bot tìm kiếm thì sẽ chuyển qua module xác thực bot tìm kiếm phù hợp. Nếu không thì sẽ chuyển qua module xác thực người dùng để xác thực tính hợp lệ của người dùng đó.
Xác thực bot từ các công cụ tìm kiếm: dùng phương pháp như đã nói ở phần 1.2.2.2 để xác thực xem bot có hợp lệ hay không. Ở phần này hệ thống sẽ dự vào giá trị useragent để xác thực bot theo module phù hợp nhất. Nếu bot được xác thị thì sẽ cho phép request đến website của người dùng. Còn nếu bot không được xác thực ( request giả đạng là bot của các công cụ tìm kiếm để qua mặt tường lửa) thì sẽ cấm không cho truy cập tiếp vào web.
Xác thực người dùng: bước đầu tiên để xác thực người dùng là hệ thống sẽ lấy thông tin về việc xác thực người dùng thông qua các đặc điểm riêng của từng người dùng một như địa chỉ ip và useragent …. Nếu đã có thông tin xác thực rằng người dùng cần được xác thực bằng phương thức nào cụ thể thì sẽ đưa thẳng người dùng đến phần xác thực đó. Nếu không có thông tin về việc cần xác thực thì sẽ đi đến phần tiếp. Module xác thực người dùng bao gồm hai module được xây dựng chính:
xác thực thông qua javascript và xác thực thông qua captcha. Mức xác thực thông quan captcha chỉ được áp dụng khi người dùng vượt quá giới hạn request ở mức cao hơn hoặc đã không vượt qua được mức xác thực bằng javascript rất nhiều lần. Để xác thực người dùng hệ thống dùng một cookie được sinh ra theo các thông tin riêng của từng người dùng một. Cách thức xác nhận request là khi mỗi request lên hệ thống sẽ sinh ra cookie tương ứng với mỗi người dùng request nếu request của người dùng chưa có cookie xác thực thì sẽ dùng hai module xác thực ở trên để tạo cookie cho người dùng. Nếu người dùng đã có cookie xác thực thì kiểm tra xem cookie đó có giống với cookie mà hệ thống đã tạo ra không, nếu không trùng thì dùng hai module xác thực để tạo cookie cho người dùng, nếu cookie này trùng khớp
22
thì cho phép request đi qua hệ thống chống tấn công từ chối dịch vụ để đi vào website.
Về phần xác thực người dùng được chia thành hai module như đã nêu trên và được thiết kế để nhằm mục đích xác thực request hợp lệ và bất hợp lệ một cách hiệu quả nhất.
Xác thực người dùng thông qua javascript: như đã nói ở phần 1.2.2.1 thì thường các công cụ tấn công cũng như kể cả botnet thì do cách thiết kế sao cho có thể tấn công vào website một cách nhanh chóng và hiện quả nhất thường chỉ dùng các là tạo ra request sao cho giống với trình duyệt nhất có thể. Phần lớn các công cụ hầu như không có cơ chế xử lý javascript như trình duyệt thật do việc này đòi hỏi tài nguyên rất lớn. Thêm vào đó với việc các thư viện mô phỏng trình duyệt cũng không hoạt động đúng một 100% và phải chỉnh sửa rất nhiều khi một số website dùng cách thức giảm thiểu tốc độc request bằng javascript như để hàm sleep trong mã javascript. Do đó việc dùng javascript để phân biệt người dùng hợp lệ với các request từ người tấn công là khá hiệu quả. Ngoài ra các trình duyệt hiện tại tất cả đều hỗ trợ javascript và ta có thể thiết kế được cách xác thực sao cho người dùng khi vào website không hề hay biết mình bị xác thực. Điều này đảm bảo cho tính trong suốt cũng như tính tương thích của hệ thống chống tấn công từ chối dịch vụ như ta đã nêu ở phần 1.2.1. Phần này đơn giản nhất là dùng mã javascript để tạo cookie xác thực cho người dùng sau đó reload lại trang web, quá trình này sẽ gần như không thể nhận ra được bởi người dùng và thời gian cho quá trình xác thực sẽ rất ngắn.
Xác thực thông qua captcha: như đã nói ở trên việc xác thực bằng javascript tuy rất hiệu quả nhưng một số trường hợp các công cụ tấn công đặc biệt được đầu tư thời gian phát triển có thể dùng nhiều biệt pháp khác nhau để vượt qua được cách xác thực này. Trong thời điểm những năm 2013 mã độc được thiết kế để tấn công một loạt website của Việt Nam đã dùng cách tài trang web thông qua trình duyệt mặc định của windows là internet explorer sau đó lấy cookie từ request này để dùng cho các request tấn công sau. Với cách thức này người tấn công đã qua mặt
23
được cơ chế bảo vệ bằng javascript của một số website đang dùng hồi đó kể cả vnexpress khi họ dùng một module là roboo để chặn tấn công ddos. Captcha đã được dùng trong rất nhiều năm qua, mục đích đầu tiên của captcha thường là dùng cho các trang có thông tin người dùng. Các website có thông tin người dùng cần loại bỏ những thông tin được tạo ra không phải con người như các thông tin đăng ký, bảo vệ các trang đăng nhập vào hệ thống. Captcha được thiết kế thông thường mà một nội dung nào đó được thể hiện dưới dạng hình ảnh hoặc âm thanh mà chỉ có con người có thể nhận biết được, máy rất khó hoặc không thể nhận biết được. Với cách này việc phân biệt người và máy rất đơn giản và đạt được hiệu quả rất cao, kể cả với các công nghệ mới nhất bây giờ như deep learning cũng khó có thể qua mặt được cách nhận dạng này. Với module xác thực người dùng thông qua captcha này để có được cookie xác thực người dùng phải gửi lại được captcha hợp lệ lên hệ thống. Nếu captcha không hợp lệ thì phải gửi lại đến khi đúng thì thôi. Tuy hiệu quả rất cao nhưng do khi xác thực người dùng bằng captcha thì phương thức xác thực này không thực sự trong suốt với người dùng, do đó phương thức này chỉ dùng khi người dùng có quá nhiều đặc điểm giống với request tấn công từ chối dịch vụ.