ĐẠI HỌC QUỐC GIA HÀ NỘI TRƢỜNG ĐẠI HỌC CÔNG NGHỆ PHẠM VĂN HỢI CHỐNG TẤN CÔNG TỪ CHỐI DỊCH VỤ PHÂN TÁN TẦN SUẤT THẤP LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN HÀ NỘI - 2013 1 TIEU LUAN MOI download : skknchat@gmail.com ĐẠI HỌC QUỐC GIA HÀ NỘI TRƢỜNG ĐẠI HỌC CÔNG NGHỆ PHẠM VĂN HỢI CHỐNG TẤN CÔNG TỪ CHỐI DỊCH VỤ PHÂN TÁN TẦN SUẤT THẤP Ngành: Công nghệ thông tin Chuyên ngành: Truyền dữ liệu và Mạng máy tính Mã số: 60 48 15 LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN NGƢỜI HƢỚNG DẪN KHOA HỌC: TS. NGUYỄN ĐẠI THỌ HÀ NỘI - 2013 2 TIEU LUAN MOI download : skknchat@gmail.com TÓM TẮT Ngày nay, an ninh Internet là một mối quan tâm đặc biệt vì tất cả các hình thức của các doanh nghiệp và truyền thông được liên kết với Internet trong dạng này hay dạng khác, sự an toàn của các tài sản này (bao gồm cả cơ sở hạ tầng và nội dung thông tin) là quan trọng hàng đầu. Một số hậu quả nổi tiếng của một cuộc tấn công bao gồm tiếp cận với một mạng, trộm cắp sở hữu trí tuệ, và từ chối dịch vụ. Hầu hết các cuộc tấn công DoS quản lý tận dụng lợi thế của những điểm yếu trong giao thức TCP/IP.
Theo truyền thống, các cuộc tấn công gửi một số lượng lớn các gói tin giả mạo với mục tiêu tiêu hao băng thông mạng hoặc khả năng xử lý và nạn nhân không còn có thể cung cấp dịch vụ cho người dùng hợp pháp. Như vậy, gây ra bất thường về mặt thống kê của các thiết bị giám sát mạng, luồng tấn công có thể phát hiện khá dễ dàng và giảm thiểu thiệt hại của cuộc tấn công Một phân loại mới cuộc tấn từ chối dịch vụ, được gọi là từ chối dịch vụ tần suất thấp, sẽ là mấu chốt trong đề tài nghiên cứu này. Tần suất trung bình của cuộc tấn công này là quá thấp nên hầu hết các router hoặc nạn nhân không phát hiện ra các cuộc tấn công. Cuộc tấn công cố gắng để gây giảm chất lượng của dịch vụ TCP bằng cách định kỳ gửi các vụ nổ của các gói tin để tạo ra tắc nghẽn.
Giai đoạn của luồng DoS được chọn để phù hợp với RTO (thời gian hết hạn truyền lại) của luồng TCP để các tắc nghẽn sẽ trùng với truyền lại gói tin, dẫn đến việc mất gói dữ liệu và thời gian chờ kết nối liên tục. Vì vậy, tần suất tấn công tổng thể là đủ thấp để để tránh bị phát hiện. Mục đích của luận văn này chúng tôi nghiên cứu hiện trạng các biện pháp phòng chống tấn công từ chối dịch vụ phân tán tần suất thấp, từ đó đề xuất giải pháp mới hiệu quả hơn. Tính hiệu quả của giải pháp mới sẽ được so sánh và đối chiếu với các giải pháp cũ thông qua mô phỏng trên phần mềm chuyên dụng NS-2.
Từ khóa: Denial of Service, Low-Rate TCP-Targeted Denial of Service Attacks, Shrew Attacks, TCP Congestion Control, TCP Retransmission Timeout, Robust RED Algorithm. i TIEU LUAN MOI download : skknchat@gmail.com MỤC LỤC LỜI CẢM ƠN. Error! Bookmark not defined.ii DANH MỤC HÌNH VẼ. iv DANH SÁCH THUẬT NGỮ VÀ TỪ VIẾT TẮT.
1 Chƣơng 1 - BACKGROUND. Điều khiển tắc nghẽn TCP.1 Các giai đoạn TCP.2 Cơ chế Timeout TCP .1 Kiểm soát tắc nghẽn .2 Quản lý hàng đợi tích cực. 12 Chƣơng 2 TẤN CÔNG TỪ CHỐI DỊCH VỤ .1 Khái niệm tấn công từ chối dịch vụ .2 Cách thức chung tấn công từ chối dịch vụ .1 Khai thác các điểm yếu của mục tiêu .2 Tấn công vào giao thức.3 Tấn công vào Middleware .4 Tấn công vào ứng dụng .5 Tấn công vào tài nguyên .3 Cách thức tấn công LDoS .4 Các phƣơng pháp chống tấn công LDoS .1 Cơ chế router-assisted .2 Cơ chế End-point.5 Thuật toán Robust RED (RRED). 23 Chƣơng 3 - ĐỀ XUẤT GIẢI PHÁP VÀ KẾT QUẢ MÔ PHỎNG.
Nhƣợc điểm của thuật toán RRED. Phƣơng pháp .4 Kết quả mô phỏng. 30 ii TIEU LUAN MOI download : skknchat@gmail.1 Kịch bản mô phỏng .2 Kết quả biến thiên theo chu kỳ .3 Kết quả biến thiên theo độ rộng bùng nổ tấn công.4 Kết quả biến thiên theo tốc độ bùng nổ tấn công. 37 TÀI LIỆU THAM KHẢO.
44 iii TIEU LUAN MOI download : skknchat@gmail.com DANH MỤC HÌNH VẼ Hình 1. Hoạt động điều khiển tắc nghẽn TCP. Hoạt động của đồng hồ truyền lại TCP. Nguyên lý hoạt động của RED.
Sơ đồ loại bỏ gói tin của RED theo . Mô hình tấn công DoS tần suất thấp. Kiến trúc của RRED. Tấn công DoS theo chu kỳ với T*=1ms.
Tấn công DoS theo chu kỳ với T*=50ms. Mã giả của thuật toán RRED cải tiến. Giao thức mạng thử nghiệm. Kết quả thông lượng TCP dưới tấn công khi Ta = [0.
31 Với Ta = 1(s), Tb = [0,600](ms), Rb = 0. Kết quả thông lượng TCP dưới tấn công khi Ta = 1(s), Tb = [0,600](ms), Rb = 0. Kết quả thông lượng TCP dưới tấn công khi Ta = 1(s), Tb = 200(ms), Rb = [0. Cấu trúc của NS-2.
37 iv TIEU LUAN MOI download : skknchat@gmail.com DANH SÁCH THUẬT NGỮ VÀ TỪ VIẾT TẮT ACK Acknowledgement Biên nhận AIMD Additive-increase multiplicative- Tăng cấp số cộng giảm cấp decrease số nhân AQM Active Queue Management Quản lý hàng đợi tích cực DDoS Distributed Denial of Service Tấn công từ chối dịch vụ phân tán DoS Denial of Service Tấn công từ chối dịch vụ FTP File transfer protocol Giao thức truyền tệp ICMP Internet Control Message Protocol giao thức xử lý các thông báo trạng thái cho IP Kbps kilobit per second Kilôbit trên giây LDoS Low-rate DoS Attack Tấn công từ chối dịch vụ tần suất thấp Mbps Megabit per second Mêgabit trên giây ms Millisecond Mini giây RED Random Early Detection Phát hiện sớm ngẫu nhiên RRED Robust Random Early Detection Phát hiện sớm ngẫu nhiên mạnh mẽ RTO retransmission timeout Thời gian hết hạn truyền lại s second giây RTT Round-Trip Time Thời gian trễ khứ hồi TCP Transmission Control Protocol Giao thức kiểm soát truyền tải v TIEU LUAN MOI download : skknchat@gmail.com GIỚI THIỆU Tấn công từ chối dịch vụ đã ngày càng trở thành mối đe dọa nghiêm trọng đối với sự tin cậy của mạng Internet. Là các cuộc tấn công sử dụng nhiều cách thức tổ chức và thực hiện khác nhau, từ việc dùng chỉ một máy tới việc thu thập các máy agent dưới quyền với số lượng lên đến hàng chục ngàn máy phục vụ tấn công, mục đích của các cuộc tấn công là làm tê liệt các ứng dụng, máy chủ, toàn bộ mạng lưới, hoặc làm gián đoạn kết nối của người dùng hợp pháp. Một kẻ tấn công DoS gửi một số lượng lớn các gói tin đến một nạn nhân sử dụng nhiều zombie. Như một kết quả của các cuộc tấn công, các nguồn tài nguyên xung quanh nạn nhân như băng thông mạng và sức mạnh tính toán bị giảm và sử dụng không thể truy cập vào các dịch vụ hợp pháp được cung cấp bởi các nạn nhân.
Ngày nay, có các biện pháp đối phó khác nhau của cuộc tấn công DoS để loại lũ lụt thông thường đã được đề xuất. Đặc biệt, phân tích thống kê về tỷ lệ truyền tải mạng rất hữu ích để phát hiện các gói lớn truyền tải lũ lụt. Tấn công từ chối dịch vụ (DoS) là một nỗ lực để phá vỡ các chức năng bình thường của hệ thống mạng và ngăn chặn truy cập hợp pháp cho các dịch vụ hoặc đơn giản là làm giảm chất lượng của dịch vụ được cung cấp. Một nghiên cứu tại UCSD [23] đã chỉ ra rằng ngay từ đầu thập niên này các cuộc tấn công từ chối dịch vụ đã diễn ra với một tỷ lệ lên tới 4000 cuộc tấn công mỗi tuần.
Trong năm 2002, một cuộc tấn công từ chối dịch vụ [22] đã làm sập tới 9 trong số 13 máy chủ DNS root của toàn thế giới. Mức độ ảnh hưởng nghiêm trọng của các cuộc tấn công từ chối dịch vụ, mà đặc biệt được nhắc đến nhiều nhất là tấn công từ chối dịch vụ phân tán DDoS, đã dẫn đến một loạt các nghiên cứu nhằm hiểu rõ hơn về các cơ chế tấn công, để đưa tới các cách thức giúp có thể phòng chống ảnh hưởng tiêu cực của nó. Có nhiều phương pháp đã được đề xuất nhằm chống lại các cuộc tấn công từ chối dịch vụ, từ việc lọc các gói tin để tránh giả mạo địa chỉ nguồn, chuyển hướng tấn công, đẩy ngược luồng giao thông tấn công trở lại mạng, cách ly để phân biệt máy khách và giao thông máy chủ. Mỗi giải pháp đó đều rất tốt, và cung cấp kĩ thuật giúp chúng ta nhận ra các vấn đề của tấn công từ chối dịch vụ.
Tuy nhiện, các phương pháp chỉ có thể bảo vệ lại từng khía cạnh của các tấn công từ chối dịch vụ. Tuy nhiên, trong những năm gần đây, một lớp mới của tấn công từ chối dịch vụ khó phát hiện bằng các phương pháp thông thường, đó là loại tấn công từ chối dịch vụ phân tán tần suất thấp (LDoS) [2] [3]. Kẻ tấn công DoS gửi bùng 1 TIEU LUAN MOI download : skknchat@gmail.com nổ ngắn của lưu lượng của luồng theo kỳ, thay vì lũ lụt gói liên tục như các cuộc tấn công DoS/DDoS thông thường. Vụ nổ như vậy điền vào bộ đệm của router trung gian và gây ra tổn thất gói của các luồng TCP hợp pháp.
Những khó khăn trong việc phát hiện các cuộc tấn công DoS là kẻ tấn công có tốc độ trung bình thấp so với các cuộc tấn công DoS truyền thống. Hơn nữa, kẻ tấn công có thể kiểm soát mức độ thiệt hại gây ra bởi các cuộc tấn công, bằng cách điều chỉnh sự bùng nổ và khoảng cách giữa mỗi lần bùng nổ. Do đó, rất khó khăn cho các nạn nhân tự tìm các cuộc tấn công. Vì vậy, nếu kẻ tấn công mục tiêu một trang web thương mại điện tử và kết nối TCP giữa các trang web và khách hàng của mình, trang web có thể bỏ lỡ những lợi nhuận tiềm năng và khách hàng mới.
Cho đến nay, các cuộc tấn công DoS là một trong những mối đe dọa lớn nhất đối với an ninh mạng do là dễ thực hiện với chi phí thấp. Mặt khác, phát hiện tấn công DoS tần suất thấp là khó khăn hơn vì tốc độ trung bình thấp. Các thuật toán phát hiện cho tấn công DoS lũ lụt dường như không áp dụng cho các cuộc tấn công DoS tần suất thấp. Vì vậy, nó rất có thể là cuộc tấn công DoS tần suất thấp sẽ là cuộc tấn công chính trong tương lai.
Để phát hiện các cuộc tấn công và giảm thiểu thiệt hại, biện pháp đối phó khác nhau đã được đề xuất.