Tóm tắt Luận án tiến sĩ Kỹ thuật: Nghiên cứu giải pháp phát hiện và giảm thiểu tấn công từ chối dịch vụ phân tán sử dụng công nghệ SDN

Chia sẻ: Trần Văn Nan | Ngày: | Loại File: PDF | Số trang:27

Thêm vào BST

Báo xấu

59
lượt xem 5
download

Download Vui lòng tải xuống để xem tài liệu đầy đủ

Mục tiêu nghiên cứu: Nghiên cứu đề xuất được các giải pháp phòng chống tấn công DDoS dựa trên kỹ thuật SDN/Openflow áp dụng cho mạng SDN quy mô nhỏ trong các bối cảnh khác nhau.

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Tóm tắt Luận án tiến sĩ Kỹ thuật: Nghiên cứu giải pháp phát hiện và giảm thiểu tấn công từ chối dịch vụ phân tán sử dụng công nghệ SDN

BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI ĐẶNG VĂN TUYÊN NGHIÊN CỨU GIẢI PHÁP PHÁT HIỆN VÀ GIẢM THIỂU TẤN CÔNG TỪ CHỐI DỊCH VỤ PHÂN TÁN SỬ DỤNG CÔNG NGHỆ SDN Ngành: Kỹ thuật Viễn thông Mã số: 9520208 TÓM TẮT LUẬN ÁN TIẾN SĨ KỸ THUẬT VIỄN THÔNG Hà Nội – 2019
Công trình được hoàn thành tại: Trường Đại học Bách khoa Hà Nội Người hướng dẫn khoa học: 1. PGS. TS. TRƯƠNG THU HƯƠNG 2. PGS. TS. NGUYỄN TÀI HƯNG Phản biện 1:……………………………………………….. Phản biện 2:……………………………………………….. Phản biện 3:……………………………………………….. Luận án được bảo vệ trước Hội đồng đánh giá luận án tiến sĩ cấp Trường họp tại Trường Đại học Bách khoa Hà Nội Vào hồi …….. giờ, ngày ….. tháng ….. năm ……… Có thể tìm hiểu luận án tại thư viện: 1. Thư viện Tạ Quang Bửu - Trường ĐHBK Hà Nội 2. Thư viện Quốc gia Việt Nam
MỞ ĐẦU 1.1. Tấn công từ chối dịch vụ phân tán và công nghệ SDN Trong những năm gần đây, sự phát triển mạnh mẽ các dịch vụ mạng phục vụ đời sống xã hội, làm cho số lượng và nhu cầu lưu lượng kết nối Internet tăng lên nhanh chóng. Vấn đề đảm bảo an toàn, tin cậy cho tổ chức và khai thác các dịch vụ được đặt lên hàng đầu. Với cơ chế hình thành dựa trên sự ghép nối của các hệ tự trị thiếu sự kiểm soát chung, Internet xuất hiện và ẩn chứa nhiều nguy cơ tấn công gây mất an ninh mạng trong đó có tấn công từ chối dịch vụ (DoS), tấn công từ chối dịch vụ phân tán (DDoS). Mặc dù không gây lỗi dữ liệu, tấn công DoS/DDoS có ảnh hưởng nghiêm trọng đến tính tin cậy, sẵn sàng trong tổ chức và khai thác các dịch vụ trên Internet. Đặc biệt đối với các mạng quy mô nhỏ (SOHO network) tham gia kết nối trực tiếp Internet với tỷ lệ ngày càng lớn, đa dạng nhưng thiếu sự chú trọng, tính chuyên nghiệp, đảm bảo an ninh trong thiết kế, quản lý, vận hành. Trong kỹ thuật mạng truyền thống, nhiều giải pháp kỹ thuật nhằm phát hiện, phân loại và ngăn chặn lưu lượng tấn công DDoS đã được đề xuất và triển khai. Một trong những vấn đề tồn tại lớn nhất của kỹ thuật mạng này đó là các thiết bị mạng vốn được phát triển các kỹ thuật xử lý gói tin theo chuẩn riêng bởi các nhà sản xuất khác nhau nên việc cấu hình tự động, thiết lập các tham số để phòng chống tấn công DDoS là rất khó khăn. Các thao tác xử lý khi tấn công xảy ra chủ yếu thực hiện bằng tay, hạn chế lưu lượng bằng các thiết lập ngưỡng giới hạn dẫn tới xóa bỏ nhầm lưu lượng lành tính, không có khả năng phân loại và xóa bỏ chính xác theo sự biến động của lưu lượng mạng. Bên cạnh đó, Tấn công DDoS là tấn công vào năng lực phục vụ của hệ thống mạng. Với mỗi cấu trúc, quy mô, đặc điểm dịch vụ mạng khác nhau thì khả năng chịu đựng tấn công của các hệ thống mạng là khác nhau. Do đó không có một giải pháp phòng chống tấn công, tham số hệ thống nào áp dụng chung cho tất cả các loại mạng. Với mỗi hệ thống cụ thể, người quản trị cần lựa chọn, tích hợp các giải pháp, thiết lập tham số phù hợp để có hiệu quả phòng chống tối ưu. Trước yêu cầu phát triển mạnh mẽ các công nghệ và dịch vụ mạng, công nghệ mạng điều khiển bởi phần mềm SDN (Software Defined Networking)ra đời cho phép quản trị, điều khiển, thiết lập các chính sách mạng một cách tập trung, mềm dẻo. Trong đó Openflow là một trong những giao thức công nghệ SDN đầu tiên được tập trung nghiên cứu, phát triển, nhanh chóng thu hút các nghiên cứu ứng dụng trong quản trị, tổ chức dịch vụ, nâng cao hiệu năng hệ thống mạng. Kỹ thuật SDN/Openflow cũng được nghiên cứu và đề xuất ứng dụng trong nhiều giải pháp an ninh mạng trong đó có các giải pháp phòng chống tấn công DDoS. 1.2. Những vấn đề còn tồn tại - Công nghệ SDN, kỹ thuật SDN/Openflow được đánh giá và kỳ vọng là công nghệ mạng thay thế cho công nghệ, kỹ thuật mạng truyền thống. SDN/Openflow có khả năng cung cấp dữ liệu thống kê về đặc tính lưu lượng và có thể lập trình xử lý lưu lượng theo sự biến thiên của đặc tính ấy. Đặc điểm này phù hợp với quy trình phát hiện và giảm thiểu tấn công DDoS. Đã có nhiều giải pháp phòng chống tấn công DDoS dựa trên SDN/Openflow được đề xuất. Tuy nhiên, (1) Một số giải pháp mới chỉ phát hiện tấn công, chưa có cơ chế phân loại, giảm thiểu tấn công; (2) Hầu hết mới dừng lại ở ý tưởng, thử nghiệm với quy mô thử chức năng, chưa triển khai trên hệ thống thử nghiệm hoặc đo phân tích với lưu lượng thật; (3) Một số giải pháp tích hợp các chức năng xử lý gói tin tại bộ chuyển mạch làm mất bản chất SDN, cơ chế xử lý gói tin trong SDN chưa được ứng dụng làm chậm thời gian đáp ứng, giảm hiệu năng hệ thống. Trong bối cảnh đó, vấn đề đặt ra là làm thế nào nâng cao hiệu năng của các giải pháp phòng chống tấn công DDoS sử dụng trực tiếp dữ liệu thống kê lưu lượng và cơ chế xử lý gói tin của kỹ thuật SDN/Openflow để có thể áp dụng cho các mạng quy mô nhỏ mà không cần bổ sung các thiết bị an ninh chuyên dụng? - Do phải truy vấn dữ liệu qua giao diện mã hóa Openflow, việc sử dụng thuần túy dữ liệu thống kê trong kỹ thuật SDN/Openflow để phát hiện và giảm thiểu tấn công làm giới hạn quy mô lưu lượng của 1
hệ thống. Để khắc phục vấn đề này, một số giải pháp đã được đề xuất như sử dụng kết hợp bộ phân tích lưu lượng truyền thống (sFlow, Snort,…) tuy nhiên hiệu quả chưa cao do xử lý lưu lượng tấn công vẫn dựa vào giao thức Openflow. Vấn đề đặt ra là bằng cơ chế và kỹ thuật SDN/Openflow làm thế nào để điều khiển hoạt động của các bộ phân tích lưu lượng, sử dụng thông tin cung cấp bởi các bộ phân tích lưu lượng để nâng cao hiệu năng phát hiện và giảm thiểu tấn công của các giải pháp? 1.3. Mục tiêu, đối tượng và phạm vi nghiên cứu a). Mục tiêu nghiên cứu: Nghiên cứu đề xuất được các giải pháp phòng chống tấn công DDoS dựa trên kỹ thuật SDN/Openflow áp dụng cho mạng SDN quy mô nhỏ trong các bối cảnh khác nhau. b). Đối tượng nghiên cứu: • Công nghệ SDN, kỹ thuật SDN/Openflow. • Các phương thức, kỹ thuật tấn công DDoS phổ biến trong kỹ thuật mạng truyền thống và mạng SDN/Openflow. • Các giải pháp phòng chống tấn công DDoS dựa trên kỹ thuật mạng truyền thống và kỹ thuật SDN/Openflow đã được đề xuất. • Các bộ dữ liệu lưu lượng lành tính và tấn công DDoS. c). Phương pháp và phạm vi nghiên cứu: • Phương pháp nghiên cứu của luận án bao gồm nghiên cứu lý thuyết; xây dựng mô hình, giải pháp; lựa chọn và phát triển thuật toán; phân tích dữ liệu mô phỏng hoặc xây dựng hệ thống thử nghiệm, đo lường, đánh giá và so sánh. • Phạm vi nghiên cứu tập trung vào: Đề xuất các giải pháp phòng chống tấn công DDoS bảo vệ các máy chủ trong hệ thống mạng quy mô nhỏ và vừa như văn phòng, cơ quan nhỏ (SOHO network), trong đó áp dụng thuần túy kỹ thuật mạng SDN/Openflow. 1.4. Cấu trúc nội dung của luận án Cấu trúc của luận án gồm có 03 chương với các nội dung được tóm tắt như sau: Chương 1. Tấn công DDoS và các giải pháp phòng chống trong mạng SDN/Openflow: trình bày tổng quan về tấn công DDoS, phân loại, các kỹ thuật tấn công và các giải pháp phòng chống tấn công DDoS trong mạng truyền thống; an ninh mạng, tấn công DDoS trong SOHO network. Nội dung của chương cũng đề cập đến nguyên lý, đặc điểm kỹ thuật mạng cấu hình bởi phần mềm SDN, giao thức Openflow; các giải pháp phòng chống tấn công DDoS dựa trên kiến trúc và kỹ thuật SDN/Openflow; tấn công DDoS tới kiến trúc và kỹ thuật mạng SDN/Openflow và các giải pháp phòng chống. Chương 2. Đề xuất giải pháp phòng chống tấn công DDoS dựa trên dữ liệu thống kê và cơ chế xử lý gói tin của kỹ thuật SDN/Openflow: Áp dụng cơ chế và kỹ thuật SDN/Openflow đề xuất 3 giải pháp phòng chống tấn công DDoS trong mạng SDN với quy mô băng thông nhỏ sử dụng thuần túy dữ liệu thống kê lưu lượng và cơ chế xử lý gói tin của kỹ thuật SDN/Openflow bao gồm: (1) Kỹ thuật phát hiện và giảm thiểu tấn công DDoS dựa trên mô hình dự đoán làm trơn hàm mũ các tham số thống kê lưu lượng; (2) Kỹ thuật phát hiện và ngăn chặn tấn công SYN Flood dựa trên cơ chế ủy nhiệm gói tin SYN tại bộ điều khiển, và (3) Kỹ thuật đánh dấu gói tin phục vụ truy vết nguồn phát sinh lưu lượng tấn công. Chương 3. Đề xuất giải pháp phòng chống tấn công DDoS dựa trên kỹ thuật SDN/Openflow sử dụng thêm bộ phân tích và xử lý lưu lượng: Nội dung chương 3 đề xuất kiến trúc SDN/Openflow mở rộng trong đó bổ sung bộ phân tích và xử lý lưu lượng được điều khiển hoạt động và tương tác với các thực thể khác theo cơ chế, kỹ thuật SDN/Openflow. Dựa trên kiến trúc mở rộng, đề xuất hai giải pháp phòng chống DDoS bao gồm: (1) Kỹ thuật phân loại và giảm thiểu tấn công DDoS dựa trên thuật toán logic mờ, và (2) Kỹ thuật giảm thiểu tấn công SYN Flood tới mạng SDN/Openflow (làm cạn kiệt tài 2
nguyên bộ chuyển mạch, suy giảm năng lực bộ điều khiển và làm nghẽn mạng giao diện Openflow) sử dụng cơ chế ủy nhiệm gói tin SYN tại bộ phân tích lưu lượng. 1.5. Các đóng góp khoa học của luận án Luận án đã thực hiện 02 đóng góp khoa học sau đây: • Đề xuất kỹ thuật phát hiện và giảm thiểu tấn công DDoS bằng mô hình dự đoán làm trơn hàm mũ với các tham số thống kê lưu lượng; kỹ thuật đánh dấu gói tin phục vụ truy vết nguồn phát sinh lưu lượng tấn công; và kỹ thuật giảm thiểu tấn công SYN Flood bằng cơ chế ủy nhiệm gói tin SYN sử dụng công nghệ SDN. • Đề xuất kiến trúc SDN/Openflow mở rộng với bộ phân tích và xử lý lưu lượng để nâng cao hiệu quả phát hiện và giảm thiểu tấn công DDoS. CHƯƠNG 1 TẤN CÔNG DDOS VÀ CÁC GIẢI PHÁP PHÒNG CHỐNG TRONG MẠNG SDN/OPENFLOW 1.1. Giới thiệu chương Chương 1 trình bày tổng quan về tấn công DDoS; kiến trúc, kỹ thuật mạng cấu hình bởi phần mềm SDN, giao thức Openflow. Phần tiếp theo trình bày các kỹ thuật phòng chống tấn công DDoS dựa trên kỹ thuật SDN/Openflow; tấn công DDoS vào các thành phần mạng SDN/Openflow và các giải pháp phòng chống. 1.2. Tổng quan về tấn công DDoS 1.2.1. Khái niệm Tấn công DoS - Tấn công từ chối dịch vụ DoS (Denial of Service) là dạng tấn công nhằm ngăn chặn người dùng hợp pháp truy nhập tới dịch vụ, tài nguyên mạng làm cho hệ thống mạng không thể sử dụng, bị gián đoạn, hoặc chậm đi một cách đáng kể bằng cách làm quá tải tài nguyên của hệ thống. - Đối tượng tấn công của DoS có thể là: (1) một ứng dụng, một dịch vụ, (2) một máy chủ, máy tính có địa chỉ cụ thể, hoặc (3) toàn bộ hệ thống mạng trong một phạm vi cụ thể. Mục tiêu của tấn công DoS bao gồm nhằm tiêu tốn tài nguyên đối tượng tấn công; cô lập, cách ly đối tượng tấn công với các người dùng bình thường. Các phương pháp tấn công DoS có thể là thao tác phần cứng, sử dụng kỹ thuật lưu lượng hoặc chiếm đoạt quyền điều khiển. Tấn công DDoS Tấn công từ chối dịch vụ phân tán DDoS (Distributed Denial of Service) là dạng phát triển ở mức độ cao của tấn công DoS sử dụng kỹ thuật lưu lượng trong đó lưu lượng tấn công được huy động cùng một lúc từ rất nhiều máy tính khác nhau trên hệ thống mạng. 1.2.2. Phân loại tấn công DDoS Phân loại theo kỹ thuật tấn công: Theo cách phân loại này, tấn công DDoS được phân thành các nhóm như trong Hình 1.2. Phân loại theo phương thức huy động nguồn tấn công Nguồn tấn công là yếu tố quan trọng trong tổ chức tấn công DDoS. Các phương thức huy động nguồn tấn công bao gồm (1) Giả mạo địa chỉ nguồn, (2) Sử dụng botnet và (3) Kết hợp giả mạo địa chỉ nguồn và sử dụng botnet. 3
1.2.3. Các giải pháp phòng chống tấn công DDoS dựa trên công nghệ mạng truyền thống Vị trí triển khai các giải pháp Các vị trí đề xuất triển khai bao gồm: • Triển khai tại mạng nguồn phát sinh lưu lượng • Triển khai tại mạng trung gian: Do không có ràng buộc giữa các hệ thống tự trị trên Internet nên việc phối hợp triển khai phòng chống DDoS tại mạng nguồn và mạng trung gian trên thực tế có hiệu quả rất thấp. • Triển khai tại mạng máy chủ đích: Đây là các giải pháp chủ yếu và được áp dụng hầu hết trên các hệ thống mạng bao gồm trên máy chủ (host based) và trên hệ thống mạng (network based). Các giải pháp triển khai phổ biến tại mạng đích bao gồm: (1) Phát hiện tấn công, (2) Phân loại và xác định lưu lượng tấn công, (3) Lọc bỏ lưu lượng tấn công, và (4) Truy vết lưu lượng tấn công. Hình 1.2. Phân loại DDoS theo kỹ thuật tấn công Các kỹ thuật phát hiện tấn công • Dựa vào dấu hiệu tấn công: Phân tích sâu nội dung hoặc tiêu đề của gói tin để phát hiện lỗi hoặc sự bất thường. Kỹ thuật này có độ chính xác cao, tuy nhiên đòi hỏi tính toán lớn, lưu trữ các mẫu tấn công đã biết. Ngoài ra kỹ thuật này không thể phát hiện các mẫu tấn công mới. • Dựa vào sự bất thường của lưu lượng: Được áp dụng phổ biến hơn trong đó một mô hình đặc tính lưu lượng bình thường được xây dựng và thống kê, cập nhật. Phát hiện tấn công dựa trên sự so sánh đặc tính lưu lượng tức thời với lưu lượng bình thường. Kỹ thuật này còn được áp dụng để phân loại lưu lượng tấn công. Các thuật toán phát hiện tấn công trong nhóm này bao gồm: (1) Mô hình thống kê (Statistical), (2) Học máy (Machine learning) và (3) Khai phá dữ liệu (Data mining). Các kỹ thuật phòng chống và giảm thiểu tấn công • Các giải pháp triển khai trên máy chủ (host based): như SYN Cookie, điều chỉnh thời gian chờ TIME_WAIT để ngăn chặn tấn công TCP SYN Flood; đặt ngưỡng số lượng kết nối để ngăn chặn các kết nối TCP, UDP, IMCP… • Các giải pháp triển khai trên hệ thống mạng (network based): Trong công nghệ mạng truyền thống, do đặc tính đóng kín của các thiết bị mạng, các giải pháp phòng chống DDoS chủ yếu tập trung vào kỹ thuật đặt giới hạn các kết nối và lưu lượng hoặc thao tác ngăn chặn thủ công. 1.2.4. Yêu cầu và thách thức đối với giải pháp phát hiện và ngăn chặn, giảm thiểu tấn công DDoS Một số tham số đánh giá hiệu quả giải pháp • Độ nhạy: (Sensitivity hoặc Detection Rate - DR) đánh giá khả năng nhận diện lưu lượng tấn công. • Tỷ lệ báo động nhầm: (False Positive Rate - FPR) đánh giá khả năng nhận diện nhầm lưu lượng. 4
Với lưu lượng nhận dạng như trong Bảng 1.1. Quan hệ kết quả phân loại của giải pháp và Bảng 1.1, DR và FPR được tính bởi: đặc tính thực của lưu lượng 𝑇𝑇𝑇𝑇 Đặc tính thực 𝐷𝐷𝐷𝐷 = (1.1) của lưu lượng 𝑇𝑇𝑇𝑇 + 𝐹𝐹𝐹𝐹 𝐹𝐹𝐹𝐹 Lành tính Tấn công 𝐹𝐹𝐹𝐹𝐹𝐹 = (1.2) 𝑇𝑇𝑇𝑇 + 𝐹𝐹𝐹𝐹 Phân loại của Lành tính TN FN giải pháp Tấn công FP TP • Thời gian đáp ứng: Đánh giá về mức độ phản hồi của một giải pháp phòng chống tấn công. • Khả năng lọc bỏ: Đánh giá khả năng giảm thiểu, loại bỏ lưu lượng tấn công. • Khả năng chịu đựng tấn công: Thể hiện năng lực xử lý của hệ thống và được cụ thể hóa bằng các tham số tỷ lệ kết nối thành công của lưu lượng lành tính, năng lực xử lý của hệ thống… Các yêu cầu và thách thức đối với một giải pháp phòng chống DDoS Một giải pháp phòng chống tấn công DDoS hiệu quả phải đảm bảo bởi các yêu cầu sau: • Không được làm ảnh hưởng đến sự hoạt động của các người dùng và lưu lượng hợp pháp. • Cần phải có giải pháp ngăn chặn hoặc giảm thiểu tấn công từ cả bên trong và cả bên ngoài. • Có khả năng hoạt động trên quy mô tương ứng của hệ thống mạng hoặc trung tâm dữ liệu. • Mềm dẻo, khả năng thích ứng cao. • Chi phí triển khai thấp, hạn chế sự gia tăng thiết bị, tăng tải tính toán và lưu trữ của hệ thống. Các thách thức đặt ra đối với phòng chống tấn công DDoS: • Sự phân biệt giữa lưu lượng lành tính và lưu lượng tấn công ngày càng khó khăn. • Dịch vụ mạng đang dần chuyển sang xu thế công nghệ đám mây, các máy ảo được triển khai linh động và khắp nơi làm cho nguy cơ tấn công DDoS có thể xuất hiện bên trong máy ảo. • Các dịch vụ lưu trữ và multimedia với dung lượng lớn ngày càng phát triển đòi hỏi hệ thống mạng có băng thông lớn, độ tin cậy cao, dẫn đến yêu cầu về hiệu năng và quy mô mạng lớn. Các giải pháp phòng chống DDoS cho mạng tốc độ lớn trở nên khó khăn. • Thực tế cho thấy tỷ lệ phát hiện thường tỷ lệ thuận với tỷ lệ phát hiện nhầm. Bên cạnh đó, tốc độ dịch vụ mạng ngày càng lớn dẫn đến sự lợi dụng gia tăng của các hình thức tấn công tốc độ thấp và dai dẳng (Slowloris) và các phương thức tấn công này dễ dàng vượt qua các giải pháp phát hiện và ngăn chặn hoặc gây tỷ lệ phát hiện nhầm cao. • Quy mô hệ thống mạng Internet ngày càng lớn tạo điều kiện cho các botnet phát triển về số lượng và năng lực của các xác sống. Điều này dẫn đến cường độ và quy mô tấn công ngày càng lớn. Với những yêu cầu, thách thức như trên, tấn công DDoS vẫn là mối quan tâm giải quyết trong các kỹ thuật và kiến trúc mạng thế hệ mới. 1.3. Công nghệ mạng cấu hình bởi phần mềm SDN - Công nghệ mạng cấu hình bởi phần mềm SDN ra đời dưới sự chuẩn hóa của ONF cho phép các phần mềm thứ 3 có thể truy nhập và thao tác trên mặt phẳng điều khiển (control plane), cấu hình và quản trị các thiết bị mạng từ xa, trực tuyến bằng cách sử dụng các giao thức mở như Openflow. - SDN phân tách hệ thống mạng thành hai mặt phẳng: mặt phẳng dữ liệu (data plane) và mặt phẳng điều khiển (control plane) với kiến trúc ba lớp như ở Hình 1.4. - Công nghệ SDN cho phép điều hành và quản lý tài nguyên mạng tập trung, giải quyết nhiều vấn đề công nghệ mạng truyền thống gặp phải trong đó có an ninh mạng, phòng chống DDoS. 5
1.4. Giao thức OpenFlow Giao thức luồng mở - Openflow, là chuẩn giao tiếp SDN đầu tiên giữa mặt phẳng điều khiển và mặt phẳng dữ liệu trong kiến trúc SDN. 1.4.1. Cấu trúc và phạm vi chuẩn hóa của Openflow Cấu trúc, phạm vi và vị trí của giao thức Openflow trong kiến trúc SDN được mô tả trong Hình 1.5. Openflow chuẩn hóa cấu trúc bộ chuyển mạch, giao thức trao đổi giữa Bộ điều khiển mạng (controller) và các bộ chuyển mạch Openflow (Openflow switch - Hình 1.4. Kiến trúc mạng cấu hình bởi phần mềm SDN OFS). 1.4.2. Nhận dạng và quản lý lưu lượng trên bộ chuyển mạch Openflow Đối tượng xử lý thông tin trên các bộ chuyển mạch OFS là các gói tin. Openflow nhận dạng, phân nhóm và quản lý lưu lượng trong Openflow theo luồng (flow). Những lưu lượng có cùng thuộc tính và xuất hiện trong một khoảng thời gian nhất định thuộc vào cùng một luồng. OFS quản lý nhận dạng và quản lý các luồng dựa vào mục luồng (flow entry). Các mục luồng được quản lý, sắp xếp thành các bảng luồng (flow table). 1.4.3. Các bản tin trao đổi giữa bộ điều khiển và bộ chuyển mạch Hình 1.5. Cấu trúc và phạm vi chuẩn hóa Openflow Openflow - Openflow quy định cấu trúc các bản tin trao đổi giữa bộ điều khiển và các bộ chuyển mạch để cấu hình, điều khiển, quản lý trạng thái, các sự kiện từ các bộ chuyển mạch. Bao gồm 3 nhóm bản tin: (1) Nhóm bản tin từ bộ điều khiển tới bộ chuyển mạch; (2) Nhóm bản tin bất đồng bộ từ bộ chuyển mạch; và (3) Nhóm bản tin hai chiều. - Các bản tin Openflow được truyền qua kênh truyền mã hóa bảo mật có xác thực SSL. 1.4.4. Quy trình xử lý gói tin trong Openflow - Openflow quy định quá trình xử lý lưu lượng tại các bộ chuyển mạch theo cơ chế đường ống (pipeline). Gói tin đến sẽ được so khớp từ bảng luồng đầu tiên đến các bảng luồng kế tiếp theo và tích lũy các hành động (actions). Kết thúc quá trình so khớp, tập các hành động actions sẽ được áp dụng đối với gói tin. - Nếu gói tin không khớp với bất cứ mục luồng nào trong bảng luồng, sự kiện table-miss sẽ xảy ra và OFS gửi tới bộ điều khiển một bản tin packet-in. Bộ điều khiển sẽ phân tích và đưa ra một chính sách để xử lý bằng cách cài đặt trên OFS một mục luồng mới. Các gói tin tiếp theo của luồng sẽ được khớp với mục luồng này và được OFS xử lý theo các actions thiết lập trong mục luồng. 1.4.5. Quản lý các mục luồng trong bộ chuyển mạch Openflow Mục luồng là thông tin quan trọng quyết định cách thức xử lý gói tin trên hệ thống mạng. Mục luồng 6
có vai trò phân nhóm các gói tin thành các luồng tương ứng, đưa ra các chính sách bộ chuyển mạch sẽ áp dụng đối với các gói tin. Openflow quy định phương thức quản lý các mục luồng bao gồm: (1) Cài đặt, chỉnh sửa và xóa các mục luồng; (2) Thiết lập thời gian chờ cho các mục luồng, và (3) Thống kê các mục luồng. 1.5. Các giải pháp phòng chống tấn công DDoS dựa trên kiến trúc và kỹ thuật SDN/Openflow 1.5.1. Kiến trúc và nguyên lý hoạt động chung Kiến trúc và kỹ thuật mạng SDN/Openflow đã được nhiều giải pháp đề xuất ứng dụng trong phòng chống tấn công DDoS. Cấu trúc và nguyên lý hoạt động chung thể hiện như trong Hình 1.9. Hình 1.9. Cấu trúc hệ thống giải pháp phòng chống DDoS dựa trên kỹ thuật mạng SDN/Openflow 1.5.2. Các kỹ thuật phát hiện tấn công a). Nguồn thông tin lưu lượng đầu vào: Là cơ sở quan trọng để xác định có tấn công xảy ra hay không hoặc phân biệt giữa lưu lượng tấn công và lưu lượng lành tính. Có hai nhóm: • Sử dụng thông tin thống kê của Openflow: Có ưu điểm đơn giản, tuy nhiên lưu lượng Openflow tăng cao có thể dẫn đến nghẽn mạng nên chỉ phù hợp với hệ thống mạng quy mô nhỏ. • Sử dụng thông tin thống kê của Openflow kết hợp với các bộ phân tích lưu lượng: Sử dụng thêm các thiết bị IDS, các bộ phân tích lưu lượng truyền thống như sFlow, Snort… Ưu điểm là tăng độ chính xác nhưng làm cho hệ thống mạng phức tạp, phù hợp mạng quy mô lớn. b). Thuật toán phát hiện và phân loại lưu lượng tấn công: Về cơ bản, các giải pháp phát hiện tấn công DDoS dựa trên SDN/Openflow kế thừa các nguyên lý và thuật toán sử dụng trong kiến trúc và kỹ thuật mạng truyền thống, bao gồm: (1) Dựa vào Entropy, (2) Áp dụng thuật toán máy học, (3) Phân tích mẫu lưu lượng và (4) Dựa vào tỷ lệ kết nối. 1.5.3. Các kỹ thuật ngăn chặn, giảm thiểu tấn công Dựa vào khả năng cấu hình, cài đặt, chỉnh sửa các mục luồng trên OFS để áp dụng các chính sách đối với lưu lượng nghi ngờ tấn công như trình bày trong Hình 1.9. Các kỹ thuật bao gồm: 7
• Xóa bỏ gói tin: Chỉnh sửa mục luồng xóa bỏ gói tin nghi ngờ. • Giới hạn lưu lượng: Sử dụng tính năng RATE LIMIT để thiết lập ngưỡng giới hạn lưu lượng • Chặn cổng: Lọc bỏ các gói đến hoặc xuất phát từ một cổng cụ thể. Ngoài ra, kỹ thuật mạng SDN/Openflow còn được ứng dụng để hỗ trợ trong phát hiện, ngăn chặn và giảm thiểu tấn công DDoS, bao gồm: • Chuyển hướng lưu lượng • Phân tích nguy cơ an ninh từ các mục luồng • Xác thực địa chỉ IP nguồn • Phối hợp phòng chống tấn công giữa các hệ tự trị 1.6. Tấn công DDoS tới các thành phần trong kiến trúc mạng SDN/Openflow và các giải pháp phòng chống 1.6.1. Tấn công DDoS tới các thành phần trong kiến trúc mạng SDN/Openflow Bên cạnh những lợi điểm được ứng dụng trong phòng chống tấn công DDoS, kiến trúc, kỹ thuật SDN/Openflow đồng thời cũng chứa đựng những nguy cơ tấn công DDoS mới ở cả ba lớp ứng dụng, điều khiển và hạ tầng mạng. Khảo sát an ninh mạng trong kiến trúc SDN, Kreutz và nhóm nghiên cứu đã chỉ ra 7 vectơ tấn công trong đó có 4 vectơ tấn công DDoS, bao gồm: • Các luồng lưu lượng giả mạo • Khai thác các lỗ hổng và chiếm quyền điều khiển trên các bộ chuyển mạch • Khai thác các lỗ hổng và chiếm quyền điều khiển trên các bộ điều khiển • Khai thác các lỗ hổng và chiếm quyền điều khiển ứng dụng điều hành mạng Trong các vectơ tấn công nêu trên, vectơ tấn công tạo các luồng giả mạo dễ thực hiện nhất và được xác định là hình thức tấn công phổ biến tới kiến trúc mạng SDN/Openflow. 1.6.2. Kỹ thuật phát hiện và giảm thiểu tấn công - Đã có nhiều giải pháp phát hiện và giảm thiểu tấn công DDoS tới kiến trúc mạng SDN/Openflow. Phần lớn các giải pháp đều dựa trên cơ chế giống như trong công nghệ mạng truyền thống. Ngoài ra, một số giải pháp đề xuất dựa trên thuật toán phát hiện theo chính sách và quy tắc xử lý gói tin. Nếu các mục luồng phù hợp với các chính sách, quy tắc xử lý này, lưu lượng của chúng được coi là lành tính, ngược lại, lưu lượng được cho là xuất phát từ nguồn tấn công và áp dụng quy tắc xóa bỏ. Bảng 1.2 thống kê và so sánh các giải pháp phòng chống theo kỹ thuật này. Bảng 1.2. So sánh các kỹ thuật phát hiện và giảm thiểu tấn công DDoS tới kiến trúc mạng SDN/Openflow theo chính sách và quy tắc xử lý gói tin Ảnh hưởng đến lớp Kỹ thuật giảm thiểu Giải pháp Kỹ thuật phát hiện Hạ tầng Điều Ứng tấn công mạng khiển dụng AVANT- Sử dụng các luật định nghĩa trước Ủy nhiệm gói tin SYN Không Có Có GUARD để phát hiện tấn công TCP SYN trên OFS kết hợp với kỹ Flood thuật SYN Cookie DaMask Dựa vào dấu hiệu tấn công trên cơ Thiết lập các hành động Có Có Có sở phân mảnh mạng định nghĩa từ trước SDN-based Truy vết ngược sử dụng kỹ thuật Xóa bỏ luồng Có Có Có CDNi đánh dấu OPERETTA Thiết lập các chính sách xác thực Không cần Không Có Có FlowRanger Sử dụng các chính sách ưu tiên để Xóa bỏ luồng Không Có Không chỉ định giá trị tin cậy SDSNM Thiết lập các chính sách xác thực Quyết định bởi module Có Có Có trong phạm vi an toàn chính sách xử lý 8
- Trong số các giải pháp trên, cơ chế Di trú kết nối CM (Connection Migration) trong giải pháp Avant-Guard giúp ngăn chặn hiệu quả tấn công TCP SYN Flood. CM dựa trên sự giám sát quá trình bắt tay ba bước (Three ways Handshake – 3HS) của các kết nối TCP từ các máy khách tới máy chủ cần bảo vệ. Các bước thực hiện kết nối giữa máy khách và máy chủ nội bộ được mô tả trong Hình 1.13. Theo đó, một kết nối TCP gồm 4 pha: Pha Phân loại (bước 1-3), Pha Báo cáo: Hình 1.13. Quá trình xử lý kết nối TCP trong cơ chế CM (bước 4,5), Pha Di trú: (bước 6 -10), và Pha Chuyển tiếp (bước 11, 12). - Bằng cách giám sát 3HS trước khi cài đặt mục luồng, CM giúp OFS loại bỏ các mục luồng vô giá trị tạo bởi tấn công SYN Flood. Đồng thời, CM cũng ngăn không cho các gói tin tấn công SYN được chuyển tới các máy chủ nội bộ cần bảo vệ. Tuy nhiên, cơ chế CM có các nhược điểm sau: • CM sử dụng kỹ thuật SYN Cookie là một giải pháp cho trạm cuối (host based) nên sẽ không phù hợp khi triển khai trên bộ chuyển mạch là thiết bị trung gian (network based). Các kết nối lành tính sẽ bị chia cắt thành 2 kết nối TCP. Để liên kết hai kết nối TCP này, OFS phải duy trì một vùng nhớ để lưu trữ trạng thái, do đó tiêu tốn tài nguyên làm ảnh hưởng đến hiệu năng xử lý của OFS. • Sự chia cắt kết nối TCP có thể làm vô hiệu hóa các tham số tùy chọn khác trong kết nối TCP. • Quá trình tạo các gói tin 3HS trong kỹ thuật SYN Cookie tiêu tốn tài nguyên tính toán áp dụng đối với tất cả các gói tin SYN đến gây lãng phí tài nguyên của OFS, làm cho OFS dễ trở thành mục tiêu tấn công SYN flood và tấn công quét cổng. Ngoài ra, tích hợp cơ chế CM vào OFS làm mất đi bản chất SDN, giảm hiêu năng của OFS. 1.7. Kết luận chương Nội dung Chương 1 trình bày lý thuyết tổng quan về tấn công DDoS, các phương thức và kỹ thuật phòng chống DDoS trong kỹ thuật mạng truyền thống và trong kỹ thuật mạng SDN/Openflow. Qua đó cho thấy: (1) Tấn công DDoS vẫn là một vấn nạn lớn của mạng Internet; Diễn biến tấn công DDoS ngày càng phức tạp đặt ra các yêu cầu và thách thức lớn đối với các cơ chế, giải pháp phòng chống tấn công. (2) Dựa trên SDN/Openflow, nhiều giải pháp phòng chống DDoS được đề xuất. Tuy nhiên, hầu hết các giải pháp mới dừng lại ở nghiên cứu lý thuyết; do tính chất phức tạp của tấn công DDoS, không có giải pháp nào mang lại hiệu quả triệt để. Mỗi kiến trúc mạng, loại hình dịch vụ, quy mô, kết cấu mạng cần có giải pháp, tham số bảo vệ khác nhau. (3) Mặt khác, chính kiến trúc SDN/Openflow cũng đặt ra những vấn đề an ninh, trong đó có thể trở thành mục tiêu tấn công DDoS. Nhiệm vụ đặt ra là cần phải khai thác các lợi thế của SDN/Openflow trong phòng chống tấn công DDoS, đồng thời xây dựng giải pháp ngăn chặn những hình thức, kỹ thuật tấn công DDoS vào kiến trúc, kỹ thuật mạng này. 9
CHƯƠNG 2 ĐỀ XUẤT GIẢI PHÁP PHÒNG CHỐNG TẤN CÔNG DDOS DỰA TRÊN DỮ LIỆU THỐNG KÊ VÀ CƠ CHẾ XỬ LÝ GÓI TIN CỦA KỸ THUẬT SDN/OPENFLOW 2.1. Giới thiệu chương Chương 2 trình bày ba giải pháp đề xuất phòng chống tấn công DDoS thuần túy dựa trên dữ liệu thống kê và cơ chế xử lý gói tin của kỹ thuật SDN/Openflow. Mục tiêu của các giải pháp này là có thể áp dụng trực tiếp cho các hệ thống mạng SDN/Openflow quy mô lưu lượng nhỏ, sử dụng trực tiếp phần mềm ứng dụng trên lớp ứng dụng mà không cần bổ sung thêm các thiết bị, module chuyên dụng. 2.2. Giải pháp phát hiện và giảm thiểu tấn công DDoS dựa trên mô hình dự đoán làm trơn hàm mũ tham số thống kê lưu lượng 2.2.1. Đặt vấn đề Mỗi dịch vụ, máy chủ có những đặc tính lưu lượng riêng, trong điều kiện hoạt động bình thường, đặc tính thống kê của lưu lượng thường ổn định. Khi có tấn công xảy ra, đặc tính thống kê của lưu lượng có sự khác biệt và sự khác biệt này có thể sử dụng làm dấu hiệu để phát hiện tấn công. Giải pháp này lựa chọn tham số đặc trưng của lưu lượng được cung cấp bởi dữ liệu thống kê trong kỹ thuật SDN/Openflow, áp dụng mô hình dự đoán làm trơn hàm mũ để phát hiện và phân loại lưu lượng tấn công; sử dụng khả năng lập trình, xử lý lưu lượng để lọc bỏ lưu lượng tấn công. Giải pháp áp dụng cho mạng quy mô nhỏ, kết nối Internet qua một gateway, ngăn chặn các cuộc tấn công DDoS từ bên ngoài. 2.2.2. Kiến trúc hệ thống và các trạng thái hoạt động - Giải pháp hoạt động dựa trên nguyên lý chung trình bày trong Hình 1.9. Đối tượng bảo vệ là các máy chủ hoặc dịch vụ chạy trên máy chủ bên trong mạng nội bộ của hệ thống. - Các trạng thái của máy chủ/dịch vụ cần bảo vệ và sự chuyển tiếp các trạng thái được thể hiện trong sơ đồ Hình 2.2. 2.2.3. Lựa chọn tham số và chỉ số thống kê lưu lượng a). Các tham số thống kê lưu lượng: Dựa trên đặc điểm lưu lượng tấn công DDoS và khả năng thống kê theo cơ chế SDN/Openflow, các tham số được lựa chọn bao gồm: (1) Số địa chỉ IP nguồn SAN, (2) Số cổng nguồn SPN và (3) Số lượng gói tin PN. b). Các chỉ số thống kê lưu lượng: Tỷ lệ số cổng trung bình được mở trên mỗi địa chỉ IP nguồn SPA và tỷ lệ số gói tin trung bình của mỗi luồng PpF: SPN ∑SPN i=1 PN SPA = PpF = (2.1 – 2.2) SAN SPN Hình 2.2. Sơ đồ chuyển tiếp trạng thái của hệ thống cho một máy chủ/dịch vụ 10
2.2.4. Lựa chọn và xây dựng mô hình dự đoán chỉ số thống kê lưu lượng Giải pháp lựa chọn mô hình dự đoán làm trơn hàm mũ (Exponential smoothing): 𝑥𝑥�𝑡𝑡+1 = 𝛼𝛼. 𝑥𝑥𝑡𝑡 + (1 − 𝛼𝛼). 𝑥𝑥�𝑡𝑡 (2.5) trong đó: 𝛼𝛼 là hệ số làm trơn và có giá trị nằm trong khoảng [0,1], 𝑥𝑥𝑡𝑡 là giá trị thực của mẫu ở thời điểm t, 𝑥𝑥� là giá trị dự đoán của mẫu ở thời điểm t. Để đơn giản, chọn 𝛼𝛼 = 0.5. Khi đó: SPA + SPACUM t PpF + PpFCUM t SPACUM t+1 = ; PpFCUM t+1 = (2.6 – 2.7) 2 2 trong đó SPA CUM và PpF CUM là các giá trị dự đoán hay còn gọi là các giá trị trung bình tích lũy, SPA và PpF là giá trị thực tính được từ các tham số thống kê ở thời điểm t. 2.2.5. Phát hiện và giảm thiểu tấn công Chỉ số thống kê lưu lượng được tính theo giá trị chuẩn hóa: SPA − SPACUM , SPA ≥ SPACUM DSPA = � SPACUM (2.8) 0, SPA < SPACUM PpF − PpFCUM , PpF ≥ PpFCUM DPpF = � PpFCUM (2.9) 0, PpF < PpFCUM - Để xác định có tấn công xảy ra hay không, DSPA và DPpF được so sánh với ngưỡng phát hiện 𝐾𝐾𝐷𝐷 . Khi lọc bỏ, các giá trị này được so sánh với ngưỡng lọc bỏ K F . Hình 2.3. - Hệ số K D , K F được lựa chọn tùy theo đặc tính lưu lượng của máy chủ, dịch vụ. 2.2.6. Phân tích và đánh giá hiệu Hình 2.3. Mô hình phát hiện và phân loại lưu lượng tấn công năng của giải pháp Phương pháp phân tích và kịch bản tấn công Hiệu năng của giải pháp được đánh giá thông qua phân tích mô phỏng trên bộ dữ liệu lành tính CAIDA 2013 và bộ dữ liệu CAIDA DDoS 2007 trong thời gian 90 phút. Quá trình phân tích tính toán cho 3 máy chủ (1 máy chủ chịu tấn công và 2 máy hoạt động bình thường) được chia ra làm 3 giai đoạn với cường độ tấn công khác nhau. Khả năng phát hiện tấn công Kết quả tính toán chỉ số thống kê, chỉ số chuẩn hóa trong các cửa sổ thời gian như trong Hình 2.4 và Hình 2.5. Qua đó, nếu lựa chọn với K D = 2, tấn công DDoS được phát hiện trong cả trường hợp cường độ thấp và cao. Khả năng phân loại lưu lượng tấn công Bảng 2.5 thể hiện kết quả thống kê độ nhạy phân loại DR C và tỷ lệ báo động phân loại nhầm FPR C với các giá trị hệ số lọc bỏ K F khác nhau theo tổng dung lượng (bytes). Kết quả cho thấy DR C đạt mức cao giữ ổn định trên 98,5% với FPR C dưới 0,65%. Hệ số K F được lựa chọn để đảm bảo giữ tỷ lệ DR cao trong khi FPR thấp, với kết quả như trong Bảng 2.1, nếu lựa chọn K F = 20-26, DR C đạt mức 98,7% trong khi FPR C ≈ 0,44%. So sánh với giải pháp sử dụng SOM 6 tham số của Braga, DR C cao nhất đạt 98,61% với FPR C ở mức 0,59% cho thấy giải pháp sử dụng mô hình dự đoán làm trơn hàm mũ cho tỷ lệ phân loại cao hơn với tỷ lệ nhầm thấp hơn. 11
Hình 2.4. Giá trị chỉ số SPA và DSPA Hình 2.5. Giá trị chỉ số PpF và DPpF 2.2.6.4. Khả năng giảm thiểu tấn công Bảng 2.5. Độ nhạy (DR) và tỷ lệ báo động nhầm (FPR)với KF khác nhau Kết quả lọc bỏ lưu lượng tấn công theo KF trong Bảng 2.5 cho thấy DRF đạt Phân loại lưu lượng Lọc bỏ lưu lượng 𝐊𝐊 𝐅𝐅 trên 95% với FPRF dưới 7%. Với KF = DRC FPRC DRF FPRF 20-26, DRF ≈ 95,1% với FPRF ≈ 3,3%. 6 99,19 0,62 98,72 6,82 Giá trị này cải thiện hơn rất nhiều so với 8 99,16 0,58 98,37 4,80 giải pháp sử dụng mô hình biến thiên 10 99,11 0,56 97,17 3,99 entropy do Giotis đề xuất với kết quả DRF 12 99,09 0,54 96,64 3,80 đạt 95% trong khi tỷ lệ lọc bỏ nhầm FPRF ở mức 32%. 14 99,08 0,52 96,57 3,61 16 99,01 0,51 96,05 3,52 2.2.6.5. Nhận xét, đánh giá 18 98,97 0,49 96,04 3,39 So sánh với các giải pháp đã đề xuất có 20 98,92 0,47 95,26 3,33 phân tích lưu lượng tương đương, giải 22 98,76 0,44 95,08 3,33 pháp phát hiện và giảm thiểu tấn công dựa trên mô hình dự đoán thống kê làm 24 98,73 0,44 95,07 3,24 trơn hàm mũ có ưu điểm: 26 98,71 0,42 95,07 3,14 • Đơn giản, sử dụng thuần túy các tham số thống kê cung cấp bởi bộ chuyển mạch biên và cơ chế xử lý gói tin của SDN/Openflow. Số trường thông tin cần truy vấn thấp (3 tham số/mục luồng) so với giải pháp sử dụng SOM 6 hoặc 4 tham số (ít nhất 4 tham số/mục luồng) và giải pháp sử dụng mô hình biến thiên entropy (4 tham số/mục luồng). 12
• Thuật toán đơn giản, mỗi tham số chỉ cần tính toán và lưu trữ 1 giá trị trong một chu kỳ giám sát, trong khi các giải pháp khác cần tính toán, lưu trữ một mảng các giá trị để tính trung bình và entropy. Tuy nhiên, giải pháp vẫn tồn tại một số nhược điểm: • Lượng truy vấn lấy tham số thống kê còn lớn, có thể gây nguy cơ nghẽn giao diện Openflow mỗi khi kết thúc chu kỳ giám sát. Vì vậy, giải pháp chỉ phù hợp với hệ thống mạng quy mô nhỏ. • Hiệu năng của giải pháp còn phụ thuộc vào hệ số α của mô hình dự đoán làm trơn hàm mũ, chu kỳ giám sát T. Các tham số này phụ thuộc vào quy mô, đặc tính dữ liệu của từng hệ thống mạng cụ thể. 2.3. Giải pháp giảm thiểu tấn công SYN Flood dựa trên cơ chế ủy nhiệm gói tin SYN tại bộ điều khiển 2.3.1. Đặt vấn đề SYN Flood là kỹ thuật tấn công lâu đời nhưng vẫn là phương thức tấn công phổ biến và nguy hiểm. Luận án đề xuất giải pháp SSP (SDN based SYN Proxy) ứng dụng kỹ thuật SDN/Openflow trong phát hiện và giảm thiểu tấn công SYN Flood bằng cơ chế SYN Proxy tại Bộ điều khiển trong mạng SDN/Openflow ngăn chặn các nguy cơ tấn công từ bên ngoài. 2.3.2. Kiến trúc hệ thống đề xuất Dựa trên kiến trúc chung trong Hình 1.9, SSP được áp Hình 2.6. Kiến trúc hệ thống giải pháp Ủy nhiệm gói tin SYN trên dụng cho hệ thống mạng quy mô Bộ điều khiển SSP nhỏ kết nối với Internet qua bộ chuyển mạch biên Openflow như Hình 2.6. 2.3.3. Lựa chọn mô hình ủy nhiệm gói tin SYN Có 2 loại SYN Proxy được sử dụng hiện nay: giả gói tin SYN-ACK và giả gói tin ACK. Do thực hiện ủy nhiệm tại Bộ điều khiển, SSP lựa chọn mô hình loại giả gói tin ACK để giảm bớt xử lý tại Bộ điều khiển, giảm lưu lượng trao đổi trên giao diện Openflow. 2.3.4. Hoạt động của hệ thống SSP Quá trình xử lý gói tin SYN cho một kết nối TCP trong SSP được mô tả như Hình 2.8. Các mục luồng và các actions tương ứng được sắp xếp, cấu hình đảm bảo thực hiện quy trình giám sát quá trình 3HS. - OFS capture và xử lý các gói tin 3HS như lưu đồ Hình 2.9. - Quản lý và giám sát quá trình 3HS tại Module SPM được thực hiện như lưu đồ Hình 2.10. - Dựa trên đặc tính thống kê của lưu lượng thực tế, đề xuất thay đổi thời gian chờ gói CliACK của các luồng theo công thức: 𝑇𝑇1 , 𝑛𝑛 ≤ 𝑁𝑁 n là số lượng kết nối TCP dang dở đang tồn tại, 𝑡𝑡 = � 𝑛𝑛−𝑁𝑁 (2.12) N là số kết nối TCP đang mở trung bình trong điều 𝑇𝑇2 + (𝑇𝑇1 − 𝑇𝑇2 )𝑒𝑒 −𝑘𝑘 𝑁𝑁 , 𝑛𝑛 > 𝑁𝑁 kiện bình thường; 13
𝑇𝑇1 là thời gian chờ lớn nhất, 𝑇𝑇2 là thời gian chờ nhỏ nhất, k là hệ số hiệu chỉnh. - Thiết lập ngưỡng thay đổi chính sách xử lý gói tin SYN tại bộ chuyển mạch như Hình 2.13. M 1 và M 2 được xác định dựa trên các điều kiện hoạt động bình thường của mỗi bộ chuyển mạch. (M 1 > M 2 ) 2.3.5. Phân tích và đánh giá hiệu năng của giải pháp - Mô hình thử nghiệm testbed: Hiệu năng của SSP được kiểm nghiệm và đánh giá qua mô hình thử nghiệm trong Hình 2.14. Lưu lượng tấn công được phát tăng dần tới khả năng chịu đựng của hệ thống bằng công cụ BoNeSi. - Kết quả thử nghiệm trên testbed: • Tỷ lệ kết nối thành công và thời gian Hình 2.8. Quá trình xử lý yêu cầu kết nối của một gói kết nối của lưu lượng lành tính: được tin SYN trong giải pháp SSP thể hiện trong Hình 2.15, Hình 2.16 cho thấy SSP cải thiện đáng kể so với Openflow (duy trì mức 87% trong khi của Openflow suy giảm còn 5% ở tốc độ tấn công 600 pps). • Số lượng kết nối dang dở trên máy chủ: Kết quả đo thống kê cho thấy, SSP giảm số HOCs trên máy chủ tới 86% ở tốc độ tấn công 500pps. • Thời gian tồn tại của các mục luồng trên OFS: kết quả tính thống kê từ lưu lượng thực tế cho thấy so với cơ chế CM, SSP giảm được 94% thời gian tồn tại trung bình của mục luồng tại OFS. Điều này giúp cho tốc độ so khớp, xử lý các actions trên OFS nhanh hơn, tăng khả năng chịu tải ngay cả khi tấn công DDoS xảy ra. • Ảnh hưởng lên bộ điều khiển khi xảy ra tấn công như thể hiện trong Hình 2.19, Hình 2.20 là không đáng kể. - Nhận xét, đánh giá: • Khai thác cơ chế xử lý gói tin trong Hình 2.9. Capture và xử lý các gói tin bắt tay ba bước SDN/Openflow, SSP hoạt động như tại OFS một SYN Proxy trên Bộ điều khiển giúp giảm đáng kể số lượng kết nối dang dở trên máy chủ, làm tăng khả năng chịu đựng tấn công SYN Flood của máy chủ, tăng tỷ lệ kết nối thành công của lưu lượng lành tính. • SSP làm giảm (tới 94%) thời gian tồn tại của mục luồng lưu lượng lành tính so với cơ chế CM 14
của giải pháp Avant-Guard. Khi có tấn công SYN Flood xảy ra, SSP không làm ảnh hưởng nhiều tới sự chiếm dụng tài nguyên CPU và bộ nhớ trên Bộ chuyển mạch, Bộ điều khiển. Hình 2.13. Chuyển tiếp chính sách xử lý gói tin SYN tại OFS Hình 2.14. Mô hình testbed đánh giá hiệu Hình 2.10. Lưu đồ hoạt động của mô đun SPM năng giải pháp SSP tại bộ điều khiển Hình 2.15. Tỷ lệ kết nối thành công Hình 2.16. Thời gian kết nối trung bình Hình 2.19. Chiếm dụng CPU của Bộ điều khiển Hình 2.20. Chiếm dụng bộ nhớ trên Bộ điều khiển 15
2.4. Giải pháp đánh dấu gói tin PLA DFM phục vụ truy vết nguồn tấn công 2.4.1. Đặt vấn đề Kỹ thuật truy vết nguồn tấn công (traceback) cho phép từ phía trạm đích, có thể tái tạo lại đường đi của gói tin hoặc biết địa chỉ vị trí gói tin được phát ra mà không dựa vào trường địa chỉ IP nguồn. Nội dung phần này đề xuất giải pháp đánh dấu gói tin phục vụ truy vết PLA DFM (Packet Length Adaptive Deterministic Flow Marking) dựa trên sự phân loại và nhận dạng lưu lượng theo luồng, của kỹ thuật mạng SDN/Openflow trong đó có xét đến sự thích ứng với chiều dài gói tin đầu tiên của luồng nhằm tăng hiệu quả đánh dấu. Sử dụng sự kiện table-miss và các bản tin packet-in để chuyển tới và thực hiện đánh dấu tại Bộ điều khiển SDN/Openflow. 2.4.2. Khái niệm về đánh dấu gói tin và các kỹ thuật cơ bản - Trong kỹ thuật traceback bằng đánh dấu gói tin, thông tin đánh dấu (gồm địa chỉ các bộ định tuyến trên đường đi) được chèn vào gói tin gửi tới trạm đích. Có hai kỹ thuật cơ bản là đánh dấu theo xác suất PPM và đánh dấu xác định DPM. PPM đánh dấu theo xác suất tất cả các gói tin. DPM đánh dấu một số gói tin cụ thể trong các gói tin lưu lượng. - Kỹ thuật đánh dấu gói tin theo luồng DFM là giải pháp nâng cấp của DPM thực hiện đánh dấu trên K gói tin đầu tiên của mỗi luồng với thông tin đánh dấu gồm 60 bits: (i) 32 bits địa chỉ IP cổng vào của bộ định tuyến biên In-portIP; (ii) 12 bit NIID và (iii) 16 bit NodeID. Số lượng gói tin cần để đánh dấu thành công cho mỗi luồng phụ thuộc vào các trường tiêu đề dùng để chứa thông tin đánh dấu. 2.4.3. Đề xuất cấu trúc và hoạt động của PLA DFM trên kiến trúc mạng SDN/Openflow - PLA DFM phát triển dựa trên DFM, lợi dụng cơ chế xử lý gói tin SDN/Openflow, K gói tin đầu tiên của mỗi luồng TCP/UDP/ICMP được chuyển tới Bộ điều khiển thông qua sự kiện table-miss và các bản tin packet-in, tại đó chúng được chèn thông tin đánh dấu trước khi lưu chuyển trên Internet. - Để tăng tỷ lệ đánh dấu thành công, giảm xử lý ở Bộ điều khiển, PLA DFM đề xuất sử dụng trường Options để chứa thông tin đánh dấu. Tuy nhiên khi sử dụng trường Options, kích thước gói tin sẽ bị tăng lên 8 bytes, có thể bị vượt ngưỡng MTU của kênh truyền dẫn gây nên sự phân mảnh gói tin. Để giải quyết vấn đề này, PLA DFM thiết lập một giá trị ngưỡng MT dựa trên MTU của kênh truyền và so sánh chiều dài gói tin đầu tiên của luồng FL: • Nếu FL ≤ MT: sử dụng 16 bit của trường ID và 48 bit trường Options của gói tin đầu tiên để chứa thông tin đánh dấu. • Nếu FL>MT: thực hiện đánh dấu trên K gói tin đầu tiên giống như kỹ thuật DFM. Quá trình chèn thông tin đánh dấu vào các gói tin như mô tả ở Hình 2.24. Hình 2.24. Đánh dấu gói tin PLA DFM 16
2.4.4. So sánh và đánh giá hiệu năng của giải pháp - Khảo sát hiệu năng của PLA DFM dựa trên phân tích dữ liệu mô phỏng với bộ lưu lượng thực CAIDA 2013. Các tham số so sánh gồm: tỷ lệ đánh dấu thành công theo luồng SMR, Tỷ lệ gói tin đánh dấu MPR và tỷ lệ dung lượng gói tin đánh dấu MSR. Kết quả ở Hình 2.27, 2.28, 2.29 (với MT=288) và Bảng 2.12, Bảng 2.13. Hình 2.27. Tỷ lệ SMR Hình 2.28. Tỷ lệ MPR Bảng 2.12. So sánh hiệu năng với K, MT khác nhau MT K SMR MPR MSR 3 95.11 4.40 1.11 5 94.26 4.68 1.39 288 7 93.66 4.91 1.61 3 96.95 4.36 1.09 5 96.65 4.58 1.35 500 7 96.15 4.78 1.56 3 97.18 4.26 1.07 5 96.92 4.55 1.34 568 7 96.46 4.74 1.55 Hình 2.29. Tỷ lệ MSR Bảng 2.13. Tỷ lệ gia tăng lưu lượng của PLA DFM Tổng kích Kích thước - Nhận xét, đánh giá: Tỷ lệ MT thước ban đầu tăng thêm (%) + Cơ chế xử lý gói tin và kỹ thuật quản lý lưu (byte) (byte) lượng theo luồng trong SDN/Openflow có thể 288 85,209,121,130 36,390,376 0.043 được khai thác để thực hiện đánh dấu gói tin nhằm 500 85,209,121,130 37,503,744 0.044 cung cấp khả năng truy vết nguồn phát sinh lưu 568 85,209,121,130 37,668,640 0.044 lượng tấn công trên Internet. + PLA DFM đánh dấu các gói tin đầu tiên của luồng dựa trên sự thích ứng chiều dài gói và thực hiện tại bộ điều khiển. Kết quả phân tích hiệu năng cho thấy PLA DFM cho tỷ lệ đánh dấu thành công cao (trên 90%) so với DFM (thấp hơn 50%) với tỷ lệ gói tin bị đánh dấu thấp (5% so với 8% trở lên của DFM) và mức độ gia tăng lưu lượng không đáng kể (khoảng 0,05%). + Nếu được chuẩn hóa trong kiến trúc mạng SDN/Openflow và sử dụng thống nhất trên các bộ chuyển mạch biên của ISP hoặc các trung tâm dữ liệu, PLA DFM cho phép truy vết các nguồn tấn công giả mạo 17
địa chỉ IP, hỗ trợ ngăn chặn tấn công DDoS trên Internet. 2.5. Kết luận chương Kỹ thuật SDN/Openflow có khả năng cung cấp dữ liệu thống kê về đặc tính lưu lượng và có thể lập trình xử lý lưu lượng theo sự biến thiên của đặc tính ấy. Đặc điểm này phù hợp với quy trình phát hiện và giảm thiểu tấn công DDoS. Sử dụng khả năng đó, nội dung Chương 2 trình bày 3 giải pháp đề xuất đối với 3 yêu cầu phòng chống tấn công DDoS khác nhau trong mạng quy mô lưu lượng nhỏ, đó là: (1) giải pháp phát hiện và giảm thiểu tấn công DDoS bằng mô hình dự đoán làm trơn hàm mũ tham số thống kê lưu lượng, (2) phát hiện và giảm thiểu tấn công SYN Flood dựa trên cơ chế ủy nhiệm gói tin SYN tại bộ điều khiển và (3) đánh dấu gói tin PLA DFM phục vụ truy vết nguồn tấn công. Qua phân tích, đánh giá, so sánh với các giải pháp đã công bố, cho thấy: (1) Các giải pháp đề xuất cho hiệu năng hoạt động được cải thiện hoặc tương đương với các giải pháp đã được công bố; (2) tận dụng được thông tin dữ liệu thống kê, cơ chế xử lý lưu lượng của kỹ thuật SDN/Openflow, có thể áp dụng trực tiếp trong mạng SDN/Openflow chỉ bằng phần mềm ứng dụng trên mặt phẳng điều khiển mà không cần bổ sung thiết bị, module chuyên dụng. (3) Tuy nhiên, do sử dụng giao diện Openflow để truy vấn thông tin lưu lượng và cài đặt các mục luồng để giảm thiểu tấn công nên lưu lượng trên giao diện này bị tăng lên dễ bị nghẽn mạng nhất là khi tấn công DDoS xảy ra. Vì vậy giải pháp phát hiện giảm thiểu tấn công bằng mô hình dự đoán làm trơn hàm mũ và cơ chế ủy nhiệm gói tin SYN trên bộ điều khiển chỉ phù hợp với mạng có quy mô lưu lượng nhỏ. CHƯƠNG 3 ĐỀ XUẤT GIẢI PHÁP PHÒNG CHỐNG TẤN CÔNG DDOS DỰA TRÊN KỸ THUẬT SDN/OPENFLOW SỬ DỤNG THÊM BỘ PHÂN TÍCH VÀ XỬ LÝ LƯU LƯỢNG 3.1. Giới thiệu chương Để cung cấp thêm thông tin về lưu lượng cho các ứng dụng phát hiện, phân loại tấn công, phối hợp với kỹ thuật SDN/Openflow giảm thiểu tấn công, giảm lưu lượng trao đổi trên giao diện Openflow, nội dung Chương 3 đề xuất kiến trúc SDN mở rộng trong đó sử dụng thêm bộ phân tích và xử lý lưu lượng hoạt động theo cơ chế SDN/Openflow, đề xuất 2 giải pháp phòng chống tấn công DDoS dựa trên kiến trúc mở rộng này, bao gồm: (1) Giải pháp phát hiện, phân loại và giảm thiểu tấn công DDoS bằng thuật toán logic mờ và (2) Giải pháp phát hiện và giảm thiểu tấn công SYN Flood vào kiến trúc SDN/Openflow sử dụng cơ chế ủy nhiệm gói tin SYN trên thiết bị phân tích và xử lý lưu lượng. 3.2. Những hạn chế của kiến trúc và kỹ thuật mạng SDN/Openflow trong phòng chống tấn công DDoS Mặc SDN/Openflow cho phép triển khai các giải pháp phòng chống tấn công DDoS, kiến trúc này cũng bộc lộ những hạn chế: • Không cung cấp đủ thông tin về lưu lượng cho phân tích an ninh tới bộ điều khiển, • Cơ chế quản lý luồng theo trạng thái gây chiếm dụng tài nguyên trên lớp hạ tầng dễ bị kẻ tấn công lợi dụng và trở thành mục tiêu tấn công DDoS mới, • Lưu lượng Openflow giữa các bộ chuyển mạch và bộ điều khiển tăng cao. Để khắc phục những hạn chế này, một số giải pháp đề xuất sử dụng thêm bộ phân tích lưu lượng truyền thống như sFlow, Snort trong mạng SDN. Tuy nhiên, các giải pháp này không tận dụng được cơ chế điều khiển và xử lý gói tin của SDN, đơn thuần cung cấp thuộc tính lưu lượng, chưa phối hợp để xử lý lưu lượng tấn công. 18