Nghiên cứu kỹ thuật nhằm hạn chế sự tiêu tốn băng thông mạng do bị tấn công DDOS

pdf 10 trang Gia Huy 20/05/2022 3640
Bạn đang xem tài liệu "Nghiên cứu kỹ thuật nhằm hạn chế sự tiêu tốn băng thông mạng do bị tấn công DDOS", để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên

Tài liệu đính kèm:

  • pdfnghien_cuu_ky_thuat_nham_han_che_su_tieu_ton_bang_thong_mang.pdf

Nội dung text: Nghiên cứu kỹ thuật nhằm hạn chế sự tiêu tốn băng thông mạng do bị tấn công DDOS

  1. TẠP CHÍ KHOA HỌC YERSIN – CHUYÊN ĐỀ KHOA HỌC & CÔNG NGHỆ NGHIÊN CỨU KỸ THUẬT NHẰM HẠN CHẾ SỰ TIÊU TỐN BĂNG THÔNG MẠNG DO BỊ TẤN CÔNG DDOS Trần Thị Yến1, Lê Hoàng Hiệp1, Nguyễn Văn Trung1, Nguyễn Văn Vũ1, Vũ Thị Nguyệt1, Đinh Khánh Linh1 Title: Study technique to limit TÓM TẮT bandwidth spending from Với đặc điểm của kiểu tấn công DDos là làm ngập băng thông DDoS attacks khiến cho người dùng không thể truy cập dịch vụ hoặc làm cho dịch Từ khóa: Tấn công băng vụ hoàn toàn tê liệt vì hết tài nguyên khiến cho người dùng không thông, Giảm tải băng thông, thể truy cập dịch vụ. Hơn nữa, các kỹ thuật tấn công DDoS khác nhau Tấn công từ chối dịch vụ, có thể làm quá tải tới băng thông hoặc bão hòa hệ thống bị tấn công DDos và băng thông, Từ chối theo những cách khác nhau. Có 3 loại tấn công thường gặp: tấn công dịch vụ phân tán băng thông (Volumetric attacks), tấn công giao thức (protocol attacks) và tấn công ứng dụng (application attacks). Trong bài báo Keywords: Bandwidth này, tác giả tập trung nghiên cứu sự ảnh hưởng của DDoS tới băng Attack, Reducing bandwidth, thông mạng và đề xuất cải tiến giải thuật liên quan nhằm hạn chế Denial of service attack, DDos sự ảnh hưởng của DDoS tới băng thông mạng. and bandwidth , Flood the Bandwidth, Distriuted Denial ABSTRACT of Service. The feature of DDoS attack is flooding the bandwidth and Lịch sử bài báo: preventing users from accessing the service or completely paralyzes Ngày nhận bài: 12/6/2019; the service as running out of resources so that users are not able to Ngày nhận kết quả bình access the service. Furthermore, different DDoS attack techniques duyệt: 29/7/2019; can overload the bandwidth or saturate the system being attacked Ngày chấp nhận đăng bài: in different ways. There are three common types of attacks: 12/8/2019. Volumetric attacks, Protocol attacks, and Application attacks. In this paper, we focus on studying the influence of DDos on network Tác giả: bandwidth and propose improving related algorithms to limit the 1Trường ĐH CNTT&TT Thái influence of DDos on network bandwidth. Nguyên Email: lhhiep@ictu.edu.vn 1. Giới thiệu phân tán cao, chia làm nhiều bước, với sự Hiện nay tấn công từ chối dịch vụ DDoS tham gia của rất nhiều nhóm sử dụng các (Distributed Denial of Service) đã biến đổi hình thức trao đổi được mã hoá. Các lượt rất nhiều, từ những kịch bản đơn giản, một tấn công phối hợp được thực hiện đều đặn đợt tấn công một chiều từ một điểm điều bởi rất nhiều nhóm hoạt động cùng nhau từ khiển đơn, đến các hình thức tấn công có độ rất nhiều địa điểm được thực hiện một cách có chủ đích hoặc từ đặc tính của Hijacking Tập 7 (8/2020) 52
  2. TẠP CHÍ KHOA HỌC YERSIN – CHUYÊN ĐỀ KHOA HỌC & CÔNG NGHỆ và mạng botnet. Tuy nhiên vẫn chưa có một thời và người tiếp nhận sẽ phải chạy đua để kỹ thuật cụ thể nào có thể chống lại được trả lời những cuộc gọi đó. Đồng thời, có một hoàn toàn các kiểu tấn công DDoS. Trong đó vụ cháy thực sự diễn ra ở địa điểm B khác, tấn công băng thông mạng (Volumetric tuy nhiên những người dân ở đó lại không Attacks) là kỹ thuật thường gặp nhất và thể liên lạc được với bộ phận 911 bởi vì họ cũng là dễ thực hiện nhất. Thường thì đang quá bận rộn với những cuộc gọi đến từ những kẻ tấn công sẽ vận dụng các kỹ thuật tòa nhà A. Tình huống này cũng tương tự khuếch đại để sinh ra các yêu cầu (request) như kịch bản tấn công DDoS, khi mà những mà không cần dùng đến một lượng lớn tài request hợp lệ bị khóa trong lúc hệ thống nguyên. Các vụ tấn công khuếch đại tận đang cố gắng giải quyết một lượng lớn dụng lượng lớn phản hồi đến những request những request có vẻ hợp lệ nhưng thực tế nhỏ, từ đó khuếch đại lượng request để làm lại là giả mạo. Với ví dụ này, nếu số lượng quá tải hệ thống mục tiêu. Quá trình này người trong tòa nhà A đủ để bão hòa đường thường được thực hiện bằng cách giả mạo dây điện thoại khiến những người thực sự nguồn của các gói, hay còn gọi là phản xạ hay muốn gọi điện không thể gọi hoặc chỉ gọi tấn công phản xạ. Ví dụ, với việc giả mạo được với chất lượng kém thì đây có thể gọi nguồn IP của một request DNS, kẻ tấn công có là một vụ tấn công băng thông. Với việc thể lừa máy chủ DNS gửi phản hồi đến mục quan sát được các thiết bị định tuyến trên tiêu thay vì nguồn truyền dữ liệu. Vì request Internet hiện nay đủ tài nguyên lọc luồng gửi đến máy chủ DNS rất nhỏ nhưng phản hồi thông tin cần thiết để ngăn chặn các tấn gửi đến hệ thống nạn nhân lại lớn nên kẻ tấn công DDoS, với điều kiện các luồng thông tin công sẽ sử dụng phản xạ để khuếch đại lượng tấn công bị chặn ngay gần nguồn phát sinh. request gửi đến hệ thống này. Từ đó giao thức Active Internet Traffic Filtering (AITF) đã được đề xuất (Katerina Argyraki & David R. Cheriton, 2005). Giao thức AITF được phát triển bởi nhóm nghiên cứu hệ thống phân tán trường đại học Stanford nhằm ngăn chặn và phản ứng tức thời với những cuộc tấn công DDoS. Nhóm tác giả đã nghiên cứu và thử nghiệm giao thức AITF với kết quả khá khả quan: AITF có thể ngăn chặn tức thời hàng triệu luồng tấn công trong khi chỉ yêu cầu một sự tham gia của một lượng nhỏ các router. Với AITF giúp nạn nhân chặn các luồng tấn công Hình 1. Kiểu tấn công DoS và DDoS không mong muốn chỉ trong vài mili giây. Lấy ví dụ, hãy tưởng tượng bạn đang ở Việc ngăn chặn này tuy có hiệu quả cao một tòa nhà A đông đúc. Một người nào đó nhưng lại làm băng thông của mạng sẽ bị bấm chuông báo cháy và chạy vòng quanh cản trở, giảm xuống do dung lượng của các rồi hét lên: Cháy cháy. Ngay lập tức, hàng gói tin sẽ bị tăng lên khi đi qua các bộ định trăm người sẽ gọi trung tâm cứu trợ 911 tuyến Router do việc viết lên các gói tin về cùng lúc đó. Các đường dây đều rung đồng đường dẫn “đi qua” các Router này. Để giải Tập 7 (8/2020) 53
  3. TẠP CHÍ KHOA HỌC YERSIN – CHUYÊN ĐỀ KHOA HỌC & CÔNG NGHỆ quyết vấn đề này cần cải tiến giải thuật bằng nhân muốn xác định một lưu lượng không cách dùng một xác suất ánh xạ giữa địa chỉ mong muốn, nạn nhân sẽ gửi một yêu cầu IP của Router với trường IP Identification lọc đến gateway của nó (Vgw trong Hình 2.). với mục đích loại bỏ việc ghi thông tin về Gateway của nạn nhân sẽ tạm thời chặn lại đường dẫn lên gói dữ liệu. Do tính chất của các dòng lưu lượng không mong muốn này một cuộc tấn công DoS hay DDoS sẽ là tạo ra và xác định các router gần với nguồn tấn các gói tin giả mạo thật nhiều và gửi tới nạn công nhất – gọi là gateway tấn công ( Agw nhân, nên việc đánh dấu gói tin với một xác trong Hình 2.). Sau đó gateway của nạn suất và chỉ ghi một thông tin ánh xạ với địa nhân sẽ thiết lập một kết nối cài đặt với chỉ IP của Router sẽ giúp nạn nhân giảm gateway tấn công, nghĩa là sẽ có một thỏa được băng thông gây nghẽn mạng và vẫn sẽ thuận về truyền các gói tin. Ngay sau khi có thể tìm được đường đi của cuộc tấn công. việc thiết lập kết nối được hoàn thành thì 2. Mô tả về trường hợp của giao gateway của nạn nhân sẽ có thể bỏ bộ lọc thức AITF tạm thời của nó đi. Còn nếu không hoàn thành được việc thiết lập kết nối thì Với ANET là một mạng của người tấn gateway của nạn nhân sẽ yêu cầu một công là A và là nơi xuất phát luồng thông tin gateway khác gần nhất theo phương pháp không mong muốn tới nạn nhân. Trong “leo thang” để làm gateway tấn công mạng này sẽ có một gateway là Agw đây là (gateway X trong Hình 2.). Việc leo thang có router tấn công cũng chính là router gần với thể đệ quy dọc theo con đường bị tấn công A nhất (Katerina Argyraki & David R. cho đến khi một router được hoàn thành Cheriton, 2005). việc kết nối. Nếu không có router phản ứng nào thì lưu lượng giao thông của cuộc tấn công sẽ bị chặn tại gateway của nạn nhân. Tuy nhiên trong giao thức AITF có cả hỗ trợ và thúc đẩy việc các router gần nguồn tấn công giúp chặn các luồng thông tin không mong muốn này. Hoạt động của AITF trong mạng Internet: Hình 2. Mô tả các thực thể của kẻ tấn ❖ Thuật ngữ: công và nạn nhân Đường dẫn P của một luồng thông tin Trong mạng VNET là mạng của nạn nhân không mong muốn có hình thức như sau: {A là V và là nơi bị luồng thông tin không mong Agw X Y Vgw V} muốn xâm nhập tới thông qua gateway Vgv. Trong đó: Trong hai mạng của nhà cung cấp dịch + A là “nguồn tấn công” nghĩa là nút được vụ là AISP và VISP còn có các gateway phía cho là tạo ra các dòng lưu lượng không mong trên khi chuyển qua mạng internet là muốn tới nạn nhân. Nếu A = * có nghĩa là mọi gateway X và gateway Y. lưu lượng qua Agw là không mong muốn. Giả sử khi có một luồng lưu lượng không muốn khi tới nạn nhân và khi đó nạn Tập 7 (8/2020) 54
  4. TẠP CHÍ KHOA HỌC YERSIN – CHUYÊN ĐỀ KHOA HỌC & CÔNG NGHỆ + Agw là “gateway tấn công” là chỉ router + Cài đặt bộ lọc tạm thời chặn luồng định tuyến gần nhất với nguồn tấn công tức thông tin F trong khoảng thời gian Ttmp giây là gấn nhất với A. sau khi đã hoàn thành việc bắt tay. + Vgw là “gateway của nạn nhân” tức là + Gửi một yêu cầu lọc tới nguồn tấn công router định tuyến gần nhất với nạn nhân. A dừng luồng thông tin F trong khoảng thời + V là nạn nhân. gian Tlong lớn hơn rất nhiều so với Ttmp phút. Ở đây chỉ giả định rằng chỉ nút V là chịu + Bỏ bộ lọc tạm thời đi nếu A đáp ứng ảnh hưởng của vụ tấn công, tức là nếu đây là yêu cầu, còn nếu A không đáp ứng thì ngắt một cuộc tấn công làm ngập tràn thì chỉ có kết nối với A. phần mạng từ Vgw tới V là tắc nghẽn. - Nguồn tấn công A sẽ phải dừng trong ❖ Chặn nguồn tấn công: khoảng thời gian Tlong hoặc là bị ngắt kết nối. ❖ Bảo mật giao tiếp: Khi V gửi một yêu cầu chặn luồng thông tin không mong muốn F tới gateway của nó là Vgw thì gateway Vgw sẽ gửi yêu cầu chặn F tới gateway Agw, sau đó gateway Agw sẽ gửi trả lại thông điệp cho gateway Vgw gồm F và một giá trị nonce1 (như Hình 3.) , và sau đó Vgw sẽ gửi lại cho Agw để hoàn thành giao tiếp. nonce1 = hash key F Hình 3. Các thực thể trao đổi thông điệp Với khóa key ở đây là khóa cục bộ của Như thể hiện ở Hình 3. thì AITF liên hàm băm. quan tới 4 thực thể: ❖ Chống việc giả mạo: - Nạn nhân V khi nhận được một luồng thông tin không mong muốn thì nạn nhân V sẽ gửi yêu cầu lọc tới gateway Vgw để chặn luồng thông tin là F. - Gateway của nạn nhân Vgw: + Tiến hành cài đặt bộ lọc tạm thời để chặn luồng thông tin F trong khoảng thời Hình 4. Điểm M giả mạo ở Stanford và gian Ttmp giây. gửi lưu lượng không mong muốn đến ebay. + Thiết lập việc bắt tay 3 bước với Trong Hình 4. trên làm một ví dụ về gateway Agw. điểm M là một điểm nguy hiểm trong mạng. + Bỏ bộ lọc tạm thời sau khi đã bắt tay Khi gateway của nạn nhân Vgw gửi yêu cầu thành công với gateway tấn công. chặn luồng lưu lượng không mong muốn tới gateway tấn công Agw, mặc dù Agw đã chấp - Gateway tấn công Agw: nhận nhưng luồng thông tin tới gateway của + Đáp ứng việc bắt tay 3 bước của nạn nhân Vgw vẫn ở mức cao và đến từ gateway nạn nhân. Stanford và nó sẽ kết luận sai rằng gateway tấn công là Agw là không hợp tác, lúc này Tập 7 (8/2020) 55
  5. TẠP CHÍ KHOA HỌC YERSIN – CHUYÊN ĐỀ KHOA HỌC & CÔNG NGHỆ gateway Agw có thể bị ngắt kết nối tới Vgw khi gói tin đó sẽ phải qua nhiều router và hoặc là gateway của nạn nhân sẽ liên lạc với việc ghi vào đường dẫn đó sẽ trở nên rất dài gateway tấn công mức trên để chặn luồng và dung lượng của gói tin sẽ tăng và càng thông tin không mong muốn đến từ gateway tăng nguy cơ cạn kiệt băng thông của mạng. Agw ở Stanford. Nên việc cải tiến của giao thức AITF sẽ đi sâu Có một biện pháp có thể khắc phục vào việc làm giảm tải đường dẫn lưu thông được trường hợp này đó là khi gói tin đi qua tin của các nơi router mà gói tin đi qua và router thì các router sẽ viết thêm vào các gói việc tăng kích thước của gói tin sẽ không còn tin chỗ đường dẫn. là đáng kể nữa (Moti Geva, Amir Herzberg & Yehos Gev, 2014) (Saman Taghavi Zargar, VD: Ghi dạng định tuyến : { * AGW VGW James Joshi, Member & David Tippe, 2013) Ebay} nhưng khi thêm giá trị sẽ là { * AGW: (D. G. Andersen. 2003) (T. Anderson, T. R1 VGW: R2 Ebay}. Roscoe, and D. Wetherall. 2003) (P. Giá trị R1 và R2 được tính toán như sau: Ferguson and D. Senie. 2000) (A. Garg and R = hashkey D A. L. N. Reddy. 2002). + Khóa là khóa cục bộ Bằng việc cài đặt một xác suất trên + D gói tin đích. router mà gói tin sẽ đi qua có được đánh dấu Và quá trình điền thêm giá trị sau hay không, với việc đặt một xác suất này thì đường dẫn khi đi qua router nếu đúng thì sẽ gói tin sẽ chỉ phải lưu đúng một nơi bất kỳ thực hiện việc bắt tay 3 bước như Hình 3. ở trên đường mà gói tin đi qua, vì bản chất của trên. Còn nếu việc điền thêm giá trị đó là việc tấn công DDoS là sẽ phải gửi nhiều các một giá trị sai thì sẽ thực hiện được việc bắt gói tin giả mạo thì sẽ thành công. Để lần tay với 2 bước như hình Hình 5 dưới: ngược lại nơi bắt đầu tấn công, có thể lấy thông tin từ các router trên đường luồng dữ liệu tấn công “đi qua”, khi đó sẽ cho phép tại đích đến (chính là nạn nhân) có thêm thông tin để dựng lại đường đi của luồng tấn công, qua đó có thể thực sự tìm ra nguồn gốc tấn công (D. Dean, M. Franklin, and A. Stubblefield. 2001). 3.2. Phương pháp và công việc cải tiến - Phương pháp đánh dấu gói tin theo Hình 5. Việc xác thực với giá trị đường xác suất: dẫn là sai Một xác suất p được định nghĩa tại tất cả 3. Nghiên cứu đề xuất cải tiến giải các router, mỗi gói tin sẽ được đánh dấu với thuật giao thức AITF thông tin thêm bằng cách sử dụng giá trị của 3.1. Mô tả cải tiến chương trình p. Đường đi của tấn công sẽ được xây dựng Với giao thức AITF thì việc lưu trữ lại bằng cách theo dõi ngược các gói tin IP đã đường đi của gói tin sẽ là dễ dàng nếu việc được đánh dấu này. Để tăng thêm hiệu quả chuyển các gói tin đi trên các gateway là bằng cách đánh không cố định mà được hiệu ngắn, nhưng nếu việc đó trở nên khó khăn chỉnh theo xắc suất. Như vậy vấn đề đặt ra ở Tập 7 (8/2020) 56
  6. TẠP CHÍ KHOA HỌC YERSIN – CHUYÊN ĐỀ KHOA HỌC & CÔNG NGHỆ đây là việc đánh dấu sẽ diễn ra như thế nào, đường đi của một cuộc tấn công là k. Điều đó và phần nào trong khuôn dạng của một gói có thể cho phép nói rằng có k router tham gia tin IP sẽ được “đánh dấu”? Header của một vào lược đồ giữa điểm xuất phát và đích đến. gói tin IPv4 có khuôn dạng như sau: Giá trị xác suất đánh dấu sẽ là: 1 푃 = (1) −1+ trong đó d – 1 là giá trị trường khoảng cách của gói tin được nhận từ một router cách d bước truyền so với nguồn của tấn công, chúng ta cần đảm bảo các giá trị xác xuất luôn nhỏ hơn hoặc bằng 1. Do đó c là giá trị trường khoảng cách của gói tin được nhận từ một router cách d bước truyền so với nguồn của tấn công, chúng ta cần đảm Hình 6. IP Header bảo các giá trị xác xuất luôn nhỏ hơn hoặc Trường IP Identification là trường để bằng 1. Do đó c ≥ 1, c R. xác định và chủ yếu là để xác định các phần Gọi α là xác suất mà nạn nhân nhận của các phân đoạn của một IP datagram gốc. d được một gói tin đã đánh dấu bởi một Trường IP Identification có độ dài 16 bits. router cách d bước truyền từ kẻ tấn công. Đối với mục đích dò ngược, chúng ta cần sử Khi đó: dụng vừa vặn 16 bits này cho giá trị “đánh dấu” và giá trị “khoảng cách”. Thực tế cho 훼 = 푃 . П푖= +1(1 − 푖) (2) thấy hầu hết đường đi trên Internet của các gói tin đều không quá 30 bước truyền. Do đó Kết hợp công thức trên ta sẽ có: việc sử dụng 5 bit (tương ứng 32 bước 1 훼 = (3) truyền) để lưu thông tin khoảng cách của −1+ gói tin đến nơi xuất phát của gói tin. Còn 11 Do đó ta thấy rằng xác suất của việc bits còn lại (có thể cung cấp 211 = 2048 giá nhận một gói tin đã được đánh dấu bơi bất trị có thể) sẽ được sử dụng cho việc đánh kỳ router nào dọc đường đi của tấn công sẽ dấu gói tin qua router. Trong nghiên cứu phụ thuộc vào độ dài của đường đi chứ này thì không ghi vào trường IP không phụ thuộc vị trí của router. Identification mà ghi vào trường Options - Thuật toán đánh dấu gói tin: (Jelena Mirkovic, Janice Martin & Peter Một router dọc theo đường đi của một Reiher, 2004). gói tin sẽ đọc giá trị khoảng cách trong Một hàm băm sẽ được sử dụng là hàm trường IP Identification. Sau đó router sẽ băm h(.), với hàm băm này chúng ta sẽ ánh tìm đến bảng chứa các giá trị khoảng cách xạ một địa chỉ IP của router sẽ được đánh và xác suất đánh dấu tương ứng. Quyết định dấu trên gói tin với 11 bits giá trị đánh dấu. sẽ được thực hiện như sau: Router sẽ sinh Hàm thống kê này là một hàm thống kê ngẫu ra một số ngẫu nhiên, nếu số ngẫu nhiên này nhiên đáng tin cậy, có nghĩa là đối với một địa nhỏ hơn hoặc bằng xác suất thì gói tin sẽ chỉ IP bất kỳ nào thì tất cả 211 = 2048 giá trị được đánh dấu, và sẽ ghi giá trị của hàm có thể đánh dấu làm đầu ra. Giả sử độ dài băm h (địa chỉ IP) vào trường IP Tập 7 (8/2020) 57
  7. TẠP CHÍ KHOA HỌC YERSIN – CHUYÊN ĐỀ KHOA HỌC & CÔNG NGHỆ Identification. Giá trị khoảng cách trong Trong suốt quá trình diễn ra tấn công trường IP Identification khi đó sẽ tăng thêm DDoS, nạn nhân sẽ nhận một lượng lớn các và gói tin sẽ được định tuyến. Kể cả trường dấu từ các router. Trước khi xây dựng lại hợp quyết định không đánh dấu gói tin đường đi dựa trên các dấu này, chúng ta nhưng nó vẫn luôn tăng giá trị khoảng cách cần phân nhóm các dấu dựa trên độ dài trong trường IP Identification, và gói tin vẫn đường đi của tấn công. Giả sử có n kẻ tấn được định tuyến. công (tấn công từ chối dịch vụ phân tán) ở Thuật toán đánh dấu gói tin như sau: những khoảng cách khác nhau so với nạn nhân. Trong trường hợp này, nạn nhân sẽ m = h (địa chỉ IP) có các tập hợp khác nhau các dấu, mỗi tập for each gói tin hợp sẽ chứa các dấu từ các kẻ tấn công có read d= giá trị của trường khoảng cách cùng khoảng cách đến nạn nhân. Đặt các sinh ra một số ngẫu nhiên x [0, 1] giá trị giờ đây là |µ| tập hợp khác nhau của các dấu, mỗi tập tương ứng cho các giá trị p = xác suất đánh dấu tương ứng với d của trường khoảng cách sẽ là 0 ≤ k ≤ 31. if x ≤ p (nếu xảy ra, gói tin được đánh dấu ) Gọi tập các dấu nhận bởi nạn nhân với giá write m vào trường đánh dấu trị khoảng cách k µ là k. Ký hiệu số kẻ tấn công tại khoảng cách k bước truyền là n . giá trị trường khoảng cách = d + 1 k Khi đó ta sẽ có: - Xây dựng lại đường đi của tấn công:  = 푛 . (4) Để xây dựng lại đường đi của một gói tin và xác định nguồn gốc của tấn công, nạn nhân Bây giờ ta sẽ xem xét thuật toán xây cần một bản đồ các router. Nạn nhân sẽ so dựng lại đường đi của tấn công. Đồ thị G khớp với các dấu của gói tin với các router được duyệt qua bởi mỗi tập các gói tin có trên bản đồ, đi qua đó có thể xây dựng lại cùng giá trị trường khoảng cách cho mỗi được đường đi của gói tin của kẻ tấn công. tập k, k µ). Bắt đầu tại điểm gốc của Bản đồ này được xem như một đồ thị có đường tấn công là nạn nhân. Các dấu của hướng G. Gốc của G là nạn nhân, tất cả các “láng giềng” con với nạn nhân được kiểm đỉnh trong G sẽ là các router, mỗi router y tra với mỗi dấu trong tập. Các dấu của các trong G sẽ bao gồm tập hợp y các con của nó. router mà đã so khớp sẽ được thêm vào đồ thị tấn công. Tiếp tục lặp lại như vậy , “con” của router sẽ được kiểm tra với kiểu cách tương tự. Quá trình này xảy ra cự ly lặp lại cho đến khi chiều sâu của đồ thị bằng với đường đi. Đường đi của tấn công sẽ được đưa trong Sd, với 0 ≤ d ≤ k. Thuật toán xây dựng lại đường đi được thực hiện như sau: Hình 7. y và trong đồ thị G Tập 7 (8/2020) 58
  8. TẠP CHÍ KHOA HỌC YERSIN – CHUYÊN ĐỀ KHOA HỌC & CÔNG NGHỆ ∀k 휖 µ Với phiên bản của gcc 4.1.1.20070105 S0 = nạn nhân Biên dịch với lệnh for d = 0 to ( k -1) gcc MarkPacket.c –o MarkPacket ∀y in S d 4.2 Chạy chương trình ∀R 휖 휌y Chương trình được chạy trên một máy if R 휖 휆k then ảo Red Hat 4.1.1-52 Linux version 2.6.18- insert R → S d + 1 8.el5, trong khi có một terminal khác để output S d chạy một chương trình Client/Server để output S k nhằm mục đích tạo ra một gói tin (packet) được chuyển qua card mạng, còn lại một 3.3 Giải thuật của thuật toán cải tiến terminal chính ta sẽ chạy chương trình đánh Với giải thuật xây dựng lại đường đi, khi dấu gói tin (Đào Đình Thái, 2010). một gói tin chưa được đánh dấu tại router Trong trường hợp cụ thể sau đây thì nào khi nó đi qua một router thì nó sẽ có chương trình Client/Server đã kết nối với một xác suất đánh dấu gói tin mà xác suất nhau và truyền một thông tin với nội dung này thỏa mãn việc đánh dấu gói tin sẽ được là “test” tới một địa chỉ đích là “192.168.1.2”. đánh dấu và sẽ lưu lại khoảng cách của router đến với từ nguồn xuất phát gói tin Bây giờ thử chạy chương trình đánh (người tấn công) vào 5 bits đầu của trường dấu gói tin: Identification trong header gói tin IP, 11 ./Markpacket eth1 eth0 192.168.1.2 bits còn lại của trường này sẽ được làm + Với eth1 là tham số muốn bắt các gói đánh dấu với việc ánh xạ từ địa chỉ IP của tin trên card mạng eth1 route. Với một cuộc tấn công DoS hay DDoS + Với eth0 là tham số chúng ta muốn mà xảy ra thì lượng gói tin sẽ đến nạn nhân chuyển các gói tin trên card mạng eth0 sẽ rất nhiều nên việc tất cả router trên + Với tham số thứ 3 là 192.168.1.2 là đường đi của gói tin sẽ có khả năng được đích cần chuyển gói tin đến. đánh dấu hết. Nên việc dựng lại đồ thị và dò ra được đường đi của gói tin xuất phát từ Với các thông tin của gói tin nhận được là: nơi tấn công là có thể. Khi chúng ta đã biết được đường đi của gói tin rồi thì phần việc còn lại sẽ là phần việc chính của AITF đó là gateway tấn công sẽ phải được yêu cầu chặn luồng thông tin không mong muốn này từ nơi xuất phát và có thể ngắt kết nối với nơi tấn công. 4. Kết quả thử nghiệm 4.1 Cài đặt Chương trình giải thuật cải tiến phần đánh dấu lại gói tin được viết với một file MarkPacket.c Việc biên dịch được thực hiện trên máy Red Hat 4.1.1-52 Linux version 2.6.18-8.el5 Hình 8. Thông tin gói tin đến Tập 7 (8/2020) 59
  9. TẠP CHÍ KHOA HỌC YERSIN – CHUYÊN ĐỀ KHOA HỌC & CÔNG NGHỆ Với thông tin ở trên ta có địa chỉ đích đến 5. Kết luận là 172.16.0.1 và nguồn là 172.16.0.1 với Với giải pháp lọc luồng thông tin trên khoảng cách của gói tin cách nơi xuất phát của mạng sử dụng giao thức AITF đã góp phần gói tin được ghi trên gói tin là 8. Và mã của ngăn chặn/chống tấn công từ chối dịch vụ hàm băm IP của địa chỉ đích là 769 theo cơ số DDoS. Giao thức AITF làm cho nạn nhân có 10. Sau khi chúng ta phân tích và sửa lại gói tin thể tự nhận ra cuộc tấn công và ngăn chặn trước khi chuyển đến một địa chỉ khác thì gói một luồng thông tin không mong muốn xâm tin được đánh dấu với thông tin như sau: nhập tới chính nó. Trong khi AITF vẫn còn nhược điểm là chiếm dụng băng thông do việc lưu dữ liệu đường dẫn vào gói tin nên làm tăng kích thước gói tin, thì đã có một cải tiến với việc lưu đường dẫn trên gói tin. Sự thay đổi cách lưu này làm kích thước gói tin không tăng lên là bao nhiêu so với gói tin ban đầu, nên việc tăng tải băng thông của mạng không còn là vấn đề. Với việc cải tiến giải thuật giao thức mạng AITF này đã làm mở rộng một bước phát triển trong việc ngăn chặn các cuộc tấn công từ chối dịch vụ và tấn công từ chối dịch vụ phân tán. Trong nghiên cứu này tuy đã có những thành công bước đầu về giải pháp chống tấn công từ Hình 9. Thông tin gói tin đi chối dịch vụ, nhưng nó vẫn còn gặp một số Với thông tin trên là gói tin đã được yếu điểm là phải cần một số lượng gói tin chỉnh sửa thì gói tin đã được thay đổi lớn để cho việc tìm ra nguồn tấn công. Trong trường IP Identification với khoảng cách là tương lai nghiên cứu sẽ cố gắng phát triển 9, tăng một bước truyền so với gói tin đến để việc tìm ra đường đi và nguồn gốc của và địa chỉ đến đã được đổi thành cuộc tấn công ở mức độ sớm và hướng tới 192.168.1.2 và nó được chuyển đi thành mục đích ngăn chặn triệt để các cuộc tấn công. Vì vậy, với việc thực hiện trên việc cải công từ chối dịch vụ để DDoS không còn tiến giải thuật giao thức AITF để tránh hiện đáng lo ngại nữa trong cộng đồng internet tượng tăng tải của mạng lên là một việc có như hiện nay. thể thực hiện được. Tập 7 (8/2020) 60
  10. TẠP CHÍ KHOA HỌC YERSIN – CHUYÊN ĐỀ KHOA HỌC & CÔNG NGHỆ TÀI LIỆU THAM KHẢO Katerina Argyraki and David R. Cheriton. Distributed Denial of Service (DDoS) (2005). Active Internet Traffic Flooding Attacks. IEEE Filtering Communications Surveys & Tutorials, 15(4), 2046 – 2069. Real-Time Response to Denial-of-Service D. G. Andersen. (2003). Mayday: Attacks. 05 Proceedings of the annual Distributed filtering for internet conference on USENIX Annual services. In In Proceedings of 4th Usenix Technical Conference. Stanford Symposium on Internet Technologies University. and Systems. Moti Geva, Amir Herzberg and Yehos Gev. T. Anderson, T. Roscoe, and D. Wetherall. (2014). Bandwidth Distributed Denial (2003). Preventing internet denial-of- of Service: Attacks and Defenses. IEEE service with capabilities. In In Security & Privacy, 12 (1), 54-61. Proceedings of HotNets II. Jelena Mirkovic, Janice Martin and Peter D. Dean, M. Franklin, and A. Stubblefield. Reiher. (2004). A Taxonomy of DDoS (2001). An algebraic approach to IP Attacks and DDoS Defense Traceback. In Proceedings of the 2001 Mechanisms. ACM SIGCOMM Computer Network and Distributed System Communication Review, 34(2). Security Symposium. Đào Đình Thái. (2010). Cải tiến giao thức P. Ferguson and D. Senie. (2000). Network AITF để giảm tải mạng. Khóa luận tốt Ingress Filtering: Defeating Denial of nghiệp ĐH, Công nghệ thông tin. Service Attacks which Employ IP Source Trường ĐH Công nghệ, ĐH Quốc gia Hà Address Spoofing. RFC 2827. Nội. A. Garg and A. L. N. Reddy. (2002). Saman Taghavi Zargar, James Joshi, Mitigation of DoS attacks through QoS Member and David Tippe. (2013). A Regulation. In Proceedings of IWQOS Survey of Defense Mechanisms Against workshop. Tập 7 (8/2020) 61