Luận Văn: Chống Tấn Công Từ Chối Dịch Vụ Tốc Độ Thấp Trên Web

Luận văn thạc sĩ: Nghiên cứu giải pháp chống tấn công từ chối dịch vụ tốc độ thấp (Slowloris, Slow HTTP POST) hiệu quả trên môi trường web. Phân tích, đánh giá và đề xuất.

Chuyên ngành

Công Nghệ Thông Tin

Người đăng

Ẩn danh

Thể loại

Luận Văn Thạc Sĩ

2014

62
1
0

Phí lưu trữ

30 Point

Mục lục chi tiết

LỜI CAM ĐOAN

DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT

DANH MỤC CÁC BẢNG

DANH MỤC CÁC HÌNH VẼ, ĐỒ THỊ

MỞ ĐẦU

1. CHƯƠNG 1: TẤN CÔNG TỪ CHỐI DỊCH VỤ VÀ CÁC PHƯƠNG PHÁP PHÒNG CHỐNG

1.1. Các phương pháp tấn công từ chối dịch vụ

1.1.1. Tấn công gửi tràn gói tin UDP

1.1.2. Tấn công gửi tràn gói tin TCP SYN

1.1.3. Tấn công từ chối dịch vụ phản xạ nhiều vùng - DRDOS

1.1.4. Tấn công qua mạng ngang hàng

1.1.5. Tấn công Slowloris

1.1.6. Tấn công suy giảm dịch vụ

1.1.7. Tấn công từ chối dịch vụ phân tán không chủ ý

1.1.8. Tấn công từ chối dịch vụ vào lớp ứng dụng

1.1.9. Phương pháp tấn công Multi-Vector

1.1.10. Phương pháp tấn công từ chối dịch vụ tốc độ thấp - LDOS

1.2. Các phương pháp phòng chống tấn công từ chối dịch vụ

1.2.1. Các biện pháp phân tích và làm giảm lưu lượng tấn công đến router

1.2.2. Các biện pháp dựa trên năng lực hệ thống

1.2.3. Các biện pháp sử dụng câu đố - puzzle để phân biệt lưu lượng tấn công

1.2.4. Các biện pháp sử dụng thống kê để phân biệt lưu lượng tấn công

1.2.5. Các biện pháp phát hiện tấn công giả mạo IP

1.2.6. Các biện pháp sử dụng lớp mạng bao phủ bảo vệ mục tiêu đích

1.2.7. Một số biện pháp chống tấn công từ chối dịch vụ tốc độ thấp - LDOS

2. CHƯƠNG 2: PHƯƠNG PHÁP WDA CHỐNG TẤN CÔNG TỪ CHỐI DỊCH VỤ TRÊN WEB

2.1. Mô hình hóa lưu lượng truy cập Web

2.1.1. Mô hình cơ bản

2.1.2. Mô hình định lượng

2.2. Thiết kế của WDA

2.3. Bộ lọc policer

2.4. Phân tích giai đoạn OFF

2.5. Phân tích giai đoạn ON

2.6. Các giới hạn băng thông động: tính hàm hành vi BF

2.7. Chống lại kẻ tấn công cơ chế ON-OFF với các session bẫy ngẫu nhiên

2.8. Trạng thái tối thiểu

2.9. Phân biệt giai đoạn ON và OFF

2.10. Chống giả mạo địa chỉ IP

2.11. Các tham số sử dụng cho WDA

2.12. Mô phỏng với lưu lượng hợp lệ

2.13. Định lượng các chiến lược tấn công

2.14. Mô phỏng với lưu lượng tấn công

2.15. Tham số policer và kết quả

2.16. Hiệu quả của WDA

2.17. Overhead bộ nhớ

2.18. Overhead của CPU

3. CHƯƠNG 3: ĐỀ XUẤT CẢI TIẾN

3.1. Đề xuất phương pháp 1: WDA Advance

3.2. Đề xuất phương pháp 2: RWDA

4. CHƯƠNG 4: KẾT QUẢ MÔ PHỎNG

4.1. Phương pháp 1: WDA Advance

4.2. Phương pháp 2: RWDA

TÀI LIỆU THAM KHẢO

Tóm tắt

I. Tổng Quan Về Tấn Công DDoS Tốc Độ Thấp Khái Niệm Mục Tiêu

Tấn công DDoS (Distributed Denial of Service) từ lâu đã là mối đe dọa lớn đối với người dùng Internet. Các cuộc tấn công DDoS truyền thống thường sử dụng mạng botnet để gửi lượng lớn lưu lượng đến máy chủ mục tiêu, gây nghẽn băng thông và làm tê liệt dịch vụ. Tuy nhiên, một biến thể nguy hiểm hơn là tấn công DDoS tốc độ thấp (Low-Rate DDoS - LDOS). LDOS không cố gắng áp đảo máy chủ bằng lưu lượng lớn, mà thay vào đó khai thác các giao thức như TCP để làm cạn kiệt tài nguyên máy chủ một cách chậm rãi, khó phát hiện. Mục tiêu của LDOS là làm suy giảm chất lượng dịch vụ, khiến trang web trở nên chậm chạp hoặc không thể truy cập được đối với người dùng hợp pháp. Các cuộc tấn công này thường tinh vi và khó phát hiện hơn so với các cuộc tấn công DDoS truyền thống, vì chúng có thể trông giống như lưu lượng truy cập hợp pháp. Theo luận văn của Phạm Xuân Bách, LDOS khai thác cơ chế điều khiển tắc nghẽn TCP để làm tràn hàng đợi. Điều này khác biệt so với các cuộc tấn công gửi tràn thông thường, khiến chúng khó bị phát hiện bởi các hệ thống phòng thủ thông thường. Tấn công DDoS tốc độ thấp đặt ra thách thức lớn đối với an ninh mạng, đòi hỏi các giải pháp phòng chống sáng tạo và hiệu quả. LDOS gây ra thiệt hại đáng kể cho các tổ chức và cá nhân, làm gián đoạn dịch vụ và gây tổn thất tài chính. Một trong những khó khăn chính trong việc chống lại LDOS là sự tương đồng của nó với lưu lượng truy cập hợp pháp. Các cuộc tấn công có thể được thiết kế để bắt chước hành vi của người dùng thực, gây khó khăn cho việc phân biệt giữa lưu lượng độc hại và lưu lượng tốt. Các giải pháp phòng thủ truyền thống, chẳng hạn như tường lửa và hệ thống phát hiện xâm nhập, có thể không hiệu quả trong việc phát hiện và ngăn chặn LDOS. Các giải pháp phòng chống DDoS tốc độ thấp hiệu quả cần có khả năng phân tích lưu lượng truy cập và xác định các mẫu hành vi bất thường. Chúng cũng cần có khả năng phản ứng nhanh chóng với các cuộc tấn công và giảm thiểu tác động của chúng đối với người dùng hợp pháp. Mạng botnet được sử dụng trong các cuộc tấn công DDoS tốc độ thấp, cần được phát hiện và vô hiệu hóa để ngăn chặn các cuộc tấn công trong tương lai.

1.1. So sánh Tấn Công DDoS Tốc Độ Cao và Tốc Độ Thấp

Tấn công DDoS tốc độ cao cố gắng làm quá tải máy chủ bằng cách gửi một lượng lớn lưu lượng truy cập. Điều này có thể gây nghẽn băng thông, làm cạn kiệt tài nguyên máy chủ và làm tê liệt dịch vụ. Tấn công DDoS tốc độ thấp, ngược lại, cố gắng làm cạn kiệt tài nguyên máy chủ một cách chậm rãi. Điều này có thể được thực hiện bằng cách khai thác các lỗ hổng trong giao thức TCP hoặc bằng cách gửi một số lượng nhỏ các yêu cầu chậm. Tấn công DDoS tốc độ thấp khó phát hiện hơn so với tấn công DDoS tốc độ cao vì chúng có thể trông giống như lưu lượng truy cập hợp pháp. Tuy nhiên, chúng có thể gây ra thiệt hại đáng kể cho các tổ chức và cá nhân. Tấn công DDoS tốc độ caoDDoS tốc độ thấp đều gây ra những thách thức đáng kể cho an ninh mạng. Để giảm thiểu rủi ro của các cuộc tấn công này, các tổ chức nên triển khai một chiến lược phòng thủ nhiều lớp bao gồm các công cụ và kỹ thuật phát hiện và ngăn chặn khác nhau.

1.2. Mục Tiêu Chính Của Tấn Công DDoS Tốc Độ Thấp Lên Web

Mục tiêu chính của tấn công DDoS tốc độ thấp là làm suy giảm chất lượng dịch vụ cho người dùng hợp pháp. Điều này có thể được thực hiện bằng cách làm cho trang web trở nên chậm chạp hoặc không thể truy cập được, hoặc bằng cách làm gián đoạn các dịch vụ khác. Các cuộc tấn công có thể gây thiệt hại đáng kể cho các tổ chức và cá nhân, làm gián đoạn dịch vụ và gây tổn thất tài chính. Kẻ tấn công LDOS thường sử dụng các chiến thuật tinh vi để tránh bị phát hiện và có thể thay đổi các chiến thuật này theo thời gian để vượt qua các biện pháp phòng thủ. Điều này có nghĩa là các tổ chức cần phải liên tục giám sát lưu lượng truy cập mạng của họ và cập nhật các biện pháp phòng thủ của họ để chống lại các cuộc tấn công mới. Để giảm thiểu rủi ro của các cuộc tấn công, các tổ chức nên triển khai một chiến lược phòng thủ nhiều lớp bao gồm các công cụ và kỹ thuật phát hiện và ngăn chặn khác nhau. Hệ thống phát hiện xâm nhập nên được sử dụng để giám sát lưu lượng truy cập mạng và xác định các mẫu hành vi bất thường. Tường lửa nên được sử dụng để chặn lưu lượng truy cập độc hại và Hệ thống quản lý băng thông nên được sử dụng để ưu tiên lưu lượng truy cập hợp pháp.

II. Thách Thức Trong Chống Tấn Công DDoS Tốc Độ Thấp trên Web

Chống lại các cuộc tấn công DDoS tốc độ thấp (LDOS) trên web là một thách thức lớn vì một số lý do. Đầu tiên, các cuộc tấn công thường khó phát hiện vì chúng có thể trông giống như lưu lượng truy cập hợp pháp. Thứ hai, các cuộc tấn công có thể được thiết kế để bỏ qua các biện pháp phòng thủ truyền thống, chẳng hạn như tường lửa và hệ thống phát hiện xâm nhập. Thứ ba, các cuộc tấn công có thể được thực hiện từ một số lượng lớn các nguồn, gây khó khăn cho việc xác định và chặn tất cả các kẻ tấn công. Một trong những thách thức chính trong việc chống lại LDOS là sự tương đồng của nó với lưu lượng truy cập hợp pháp. Các cuộc tấn công có thể được thiết kế để bắt chước hành vi của người dùng thực, gây khó khăn cho việc phân biệt giữa lưu lượng độc hại và lưu lượng tốt. Để chống lại các cuộc tấn công này, các tổ chức cần phải triển khai các công cụ và kỹ thuật phát hiện và ngăn chặn tiên tiến. Các giải pháp phòng thủ hiệu quả cần có khả năng phân tích lưu lượng truy cập mạng và xác định các mẫu hành vi bất thường. Chúng cũng cần có khả năng phản ứng nhanh chóng với các cuộc tấn công và giảm thiểu tác động của chúng đối với người dùng hợp pháp. Khả năng phân tích lưu lượng truy cập mạng và xác định các mẫu hành vi bất thường cũng rất quan trọng. Cuối cùng, để phòng thủ hiệu quả cần phải xem xét kiến trúc nhiều lớp. Tường lửaHệ thống phát hiện xâm nhập nên được sử dụng cùng với các công cụ và kỹ thuật tiên tiến hơn để bảo vệ mạng chống lại LDOS.

2.1. Vấn Đề Phát Hiện Do Lưu Lượng Giả Mạo và Tốc Độ Truyền Thấp

Một trong những vấn đề lớn nhất trong việc chống lại LDOS là phát hiện chúng. Bởi vì các cuộc tấn công thường có tốc độ truyền thấp và có thể trông giống như lưu lượng truy cập hợp pháp, nên chúng có thể khó phát hiện bằng các phương pháp truyền thống. Kẻ tấn công DDoS tốc độ thấp thường giả mạo địa chỉ IP nguồn, làm cho việc xác định và chặn các nguồn tấn công trở nên khó khăn hơn. Khó khăn này đòi hỏi các kỹ thuật phân tích lưu lượng tiên tiến, chẳng hạn như phân tích hành vi và học máy. Bằng cách phân tích hành vi của lưu lượng truy cập mạng, các tổ chức có thể xác định các mẫu hành vi bất thường có thể chỉ ra một cuộc tấn công. Bằng cách sử dụng học máy, các tổ chức có thể tự động xác định và chặn các cuộc tấn công mới khi chúng xuất hiện. Học máy có thể giúp xác định các mẫu lưu lượng bất thường liên quan đến các cuộc tấn công, trong khi phân tích hành vi tập trung vào việc hiểu hành vi của người dùng và ứng dụng để phát hiện các điểm bất thường. Tuy nhiên, việc triển khai các kỹ thuật này đòi hỏi chuyên môn và đầu tư đáng kể.

2.2. Bỏ Qua Biện Pháp Phòng Thủ Truyền Thống Tường Lửa IPS

Các cuộc tấn công DDoS tốc độ thấp có thể được thiết kế để bỏ qua các biện pháp phòng thủ truyền thống, chẳng hạn như tường lửa và hệ thống phát hiện xâm nhập (IPS). Điều này là do các cuộc tấn công có thể trông giống như lưu lượng truy cập hợp pháp và có thể không kích hoạt bất kỳ quy tắc nào được cấu hình trong các hệ thống này. Để chống lại điều này, các tổ chức cần triển khai các công cụ và kỹ thuật phát hiện và ngăn chặn tiên tiến hơn. Tường lửaIPS đóng vai trò quan trọng trong bảo mật mạng, nhưng chúng không đủ để chống lại các cuộc tấn công LDOS. Các tổ chức cần phải triển khai các giải pháp chuyên dụng có thể phân tích lưu lượng truy cập mạng và xác định các mẫu hành vi bất thường. Các hệ thống quản lý băng thôngcác biện pháp kiểm soát truy cập cũng có thể được sử dụng để giảm thiểu tác động của các cuộc tấn công.

III. Phương Pháp WDA Giảm Thiểu Tấn Công DDoS Trên Web

WDA (Web farm DDoS Attack Attenuator) là một kiến trúc được thiết kế để giảm thiểu tác động của các cuộc tấn công DDoS trên web. WDA hoạt động bằng cách phân tích lưu lượng truy cập đến và xác định các mẫu có thể chỉ ra một cuộc tấn công. Khi một cuộc tấn công được phát hiện, WDA sẽ thực hiện các biện pháp để giảm thiểu tác động của nó, chẳng hạn như định tuyến lại lưu lượng truy cập đến các máy chủ khác hoặc chặn lưu lượng truy cập từ các nguồn tấn công. WDA dựa trên đặc tính lưu lượng truy cập web hợp pháp để phân biệt với giao thông tấn công, do đó suy giảm băng thông DDoS. Để làm điều này, WDA cần một sự hiểu biết về các mô hình mẫu trong lưu lượng uplink Web, được tạo ra bởi một sự kết hợp của cấu trúc các trang web, thực hiện trình duyệt Web và hành động của người sử dụng. Các bộ policer giám sát tổng băng thông upload trong mỗi session Web, cũng như độ lớn của thời gian giai đoạn OFF với mỗi client, nhằm hỗ trợ quyết định của mình. Bằng cách này, WDA không cho phép một kiểu tấn công liên tục với chu kì ngắn, nên lưu lượng tấn công sẽ bị đẩy vào hàng đợi có độ ưu tiên thấp và không thể làm ảnh hưởng đến lưu lượng hợp lệ ở hàng đợi có độ ưu tiên cao. Kiến trúc WDA có thể bảo vệ một Web farm điển hình từ các cuộc tấn công DDOS gây ra bởi hàng trăm ngàn zombie, trong khi vẫn giữ được tỉ lệ dịch vụ client hợp pháp bị suy giảm.

3.1. Phân Tích Lưu Lượng Web Giai Đoạn ON và OFF Mô Hình Định Lượng

WDA dựa vào phân tích lưu lượng web để phân biệt giữa lưu lượng truy cập hợp pháp và lưu lượng truy cập độc hại. Quá trình này bao gồm xác định các giai đoạn ON và OFF trong lưu lượng truy cập web và sử dụng mô hình định lượng để phân tích các đặc điểm của lưu lượng truy cập. Giai đoạn HTTP OFF đại diện cho thời gian suy nghĩ hay thời gian xem trang web của con người tải các trang web. Giai đoạn HTTP ON đại diện cho tổng thời gian người dùng tương tác dữ liệu với tải trang web. Cả hai giai đoạn này cùng nhau tạo nên một Web Session. Để thiết kế và xây dựng WDA, và để có thể đánh giá hiệu suất thực tế, cần một mô hình thống kê định lượng của lưu lượng Web. Mô hình định lượng rất quan trọng để giúp phát hiện ra lưu lượng tấn công.

3.2. Cơ Chế Policer Giới Hạn Băng Thông Phân Loại Lưu Lượng

Cơ chế policer là một thành phần quan trọng của WDA. Cơ chế này được sử dụng để giới hạn băng thông upload của mỗi client trong một session Web. Các policer giám sát tổng băng thông upload trong mỗi session Web, cũng như độ lớn của thời gian giai đoạn OFF với mỗi client, nhằm hỗ trợ quyết định của mình. Cơ chế Policer có nhiệm vụ quan trọng là phát hiện các gói tin, kiểm tra và xác định có phải lưu lượng đáng ngờ hay không. Nếu vượt quá, lưu lượng sẽ bị cho vào hàng đợi có độ ưu tiên thấp hơn.

3.3. Các Chiến Lược Chống Tấn Công Tinh Vi ON OFF Session Bẫy

Một số chiến lược được WDA sử dụng để chống lại các cuộc tấn công tinh vi, bao gồm chống lại kẻ tấn công cơ chế ON-OFF với các session bẫy ngẫu nhiên. Các cơ chế WDAQ mô tả cho đến nay đủ để chống lại tấn công gửi tràn. Một bẫy hoạt động như sau: thỉnh thoảng các policer ngẫu nhiên chọn một session Web mà nó bỏ qua giá trị đo thực tế và sử dụng chúng trong việc tính toán hàm chức năng hành vi client BF. Session Bẫy là một tính năng trong kiến trúc WDA để phát hiện các lưu lượng đáng ngờ, đảm bảo an toàn cho web.

IV. Đề Xuất Cải Tiến WDA Chống Tấn Công DDoS Tốc Độ Thấp

Mặc dù WDA là một kiến trúc hiệu quả để giảm thiểu tác động của các cuộc tấn công DDoS, nhưng nó có một số hạn chế. Một trong những hạn chế lớn nhất là WDA dựa trên các đặc tính duyệt web của người dùng bình thường. Khi áp dụng với các trang web không sử dụng các đặc tính duyệt web bình thường, ví dụ như các trang sử dụng RSS, AJAX, hay SaaS, hay các trang web có lưu lượng upload, download hình ảnh, video lớn như youtube, flickr… sẽ có các đặc tính riêng biệt khác. Để chống lại các cuộc tấn công tốc độ thấp, có thể thêm một hàng đợi vào WDAQ: một hàng đợi super_queue với độ ưu tiên cao nhất. WDA Advance cung cấp một giải pháp mạnh mẽ để chống lại các cuộc tấn công DDoS tốc độ thấp. Bằng cách thêm hàng đợi super_queue vào WDAQ.

4.1. Phương Pháp WDA Advance Hàng Đợi Ưu Tiên Cao Nhất Super_Queue

Dựa trên nhận định của các tác giả WDA rằng nếu gói đầu tiên của người dùng sau khoảng RTO có thể né được đợt tấn công của kẻ tấn công, các gói tin sau đó sẽ nhận được một dịch vụ tốt và truyền đi bình thường. Vì vậy, để bảo vệ chống lại các cuộc tấn công tốc độ thấp, chúng ta có thể thêm một hàng đợi vào WDAQ: một hàng đợi super_queue với độ ưu tiên cao nhất. Hàng đợi có độ ưu tiên cao nhất này sẽ đặc biệt chỉ dành cho các gói tin đầu tiên của người dùng sau khoảng RTO có thể đi vào, nhờ vậy gói tin này sẽ được phục vụ tốt và gần như không thể bị hủy gói. Hàng đợi Super_Queue giúp cho các lưu lượng không bị gián đoạn và các gói tin đến được ưu tiên hàng đầu. Phương pháp này giúp các web dễ dàng vượt qua các cuộc tấn công gây ra tắc nghẽn và phục hồi nhanh chóng sau cuộc tấn công.

4.2. Phương Pháp RWDA Kết Hợp RRED Cải Thiện Khả Năng Phát Hiện

RWDA cải tiến WDA dựa trên ý tưởng của RRED. RRED cung cấp một cách thức rất hiệu quả để chống lại LDOS. Với RWDA, thêm vào trước WDA một khối phát hiện và lọc nhằm phát hiện các gói tin tấn công tốc độ thấp, với thuật toán từ RRED. Các gói tin nếu bị khối này phát hiện là gói tin nghi ngờ tấn công sẽ không bị drop mà đưa vào hàng đợi MIN_Q của WDA. Điều này giúp cho trường hợp khi khối phát hiện và lọc nếu lọc sai một gói tin hợp lệ thành gói tin tấn công, trong trường hợp mạng bình thường thì WDA vẫn có thể phục vụ gói tin này qua MIN_Q thay vì hủy bỏ gói tin, như vậy có thể làm giảm xác suất false-positive của khối phát hiện và lọc. RWDA cung cấp hiệu suất và độ chính xác cao hơn so với WDA truyền thống. Bằng cách cải thiện khả năng phát hiện của WDA, RWDA có thể giảm thiểu tác động của các cuộc tấn công LDOS một cách hiệu quả hơn.

V. Kết Quả Mô Phỏng và Đánh Giá Hiệu Quả Các Phương Pháp Cải Tiến

Để đánh giá hiệu quả của các phương pháp cải tiến đã đề xuất, các tác giả đã tiến hành các mô phỏng và phân tích kết quả đạt được. Kết quả mô phỏng được đánh giá dựa trên tiêu chí xác định cụ thể khi hệ thống rơi vào trạng thái từ chối dịch vụ, vì vậy định nghĩa rằng dịch vụ bị từ chối khi client hợp pháp có tỉ lệ thành công session Web dưới 50%. Với định nghĩa này khả năng làm suy yếu tấn công là tỉ lệ giữa kích thước bot-net cần thiết để từ chối dịch vụ với WDA, và kích thước bot-net cần thiết để từ chối dịch vụ bởi một kẻ tấn công gửi tràn đơn giản mà không có WDA. Qua việc thực hiện triển khai và mô phỏng tôi thấy kết quả đạt được rất khả quan. Với trường hợp xấu nhất, thông lượng mạng hợp lệ bị suy giảm tới 20%. Tuy vậy trong các trường hợp khác, thông lượng mạng hợp lệ không hề giảm quá 10%. Trường hợp xấu nhất chỉ chiếm tới 10% kết quả, còn lại 90% kết quả thông lượng mạng hợp lệ giảm không quá 10% so với thông lượng khi không có tấn công.

5.1. Đánh Giá WDA Advance Thông Lượng Mạng Độ Trễ và Ổn Định

Qua các mô phỏng và đánh giá, WDA Advance cho thấy hiệu quả trong việc bảo vệ chống lại các cuộc tấn công DDoS tốc độ thấp. Tuy vậy trong các trường hợp, thông lượng mạng có thể bị suy giảm tới 20%. Cần có thêm các nghiên cứu sâu hơn để có thể tối ưu WDA Advance cũng như đưa vào sử dụng trong thực tế.

5.2. Phân Tích RWDA Giảm Thiểu Suy Giảm Tối Ưu Phát Hiện LDOS

RWDA đã được chứng minh là một phương pháp hiệu quả để giảm thiểu tác động của các cuộc tấn công DDoS tốc độ thấp. RWDA dựa trên RRED và cung cấp hiệu suất và độ chính xác cao hơn so với WDA truyền thống. Tuy nhiên, để đánh giá một cách đầy đủ, cần có thêm các nghiên cứu sâu hơn để có thể tối ưu RWDA cũng như đưa vào sử dụng trong thực tế.

VI. Kết Luận và Hướng Phát Triển Chống Tấn Công DDoS Tốc Độ Thấp

Tấn công DDoS tốc độ thấp là một mối đe dọa nghiêm trọng đối với an ninh mạng. Các cuộc tấn công này khó phát hiện và có thể gây ra thiệt hại đáng kể cho các tổ chức và cá nhân. Để chống lại các cuộc tấn công, các tổ chức cần triển khai một chiến lược phòng thủ nhiều lớp bao gồm các công cụ và kỹ thuật phát hiện và ngăn chặn khác nhau. Các phương pháp như WDA Advance và RWDA cung cấp một hướng tiếp cận đầy hứa hẹn để giải quyết thách thức này. Tuy nhiên, nghiên cứu và phát triển liên tục là rất quan trọng để duy trì một bước đi trước những kẻ tấn công ngày càng tinh vi. Các tổ chức cần phải liên tục theo dõi lưu lượng truy cập mạng của họ và cập nhật các biện pháp phòng thủ của họ để chống lại các cuộc tấn công mới. Hướng phát triển sẽ được để lại cho tương lai khi có thể có một mô hình định lượng được nghiên cứu có tính tổng quát ra đời.

6.1. Tóm Tắt Các Giải Pháp Hiệu Quả Nhất và Khuyến Nghị Ứng Dụng

Để phòng thủ chống lại các cuộc tấn công DDoS tốc độ thấp một cách hiệu quả, các tổ chức nên kết hợp nhiều biện pháp phòng thủ khác nhau, bao gồm: Phân tích hành vi lưu lượng truy cập: Phân tích hành vi của lưu lượng truy cập mạng có thể giúp các tổ chức xác định các mẫu bất thường có thể chỉ ra một cuộc tấn công. Học máy: Học máy có thể được sử dụng để tự động xác định và chặn các cuộc tấn công mới khi chúng xuất hiện. Hệ thống quản lý băng thông: Hệ thống quản lý băng thông có thể được sử dụng để ưu tiên lưu lượng truy cập hợp pháp và giảm tác động của các cuộc tấn công. Các biện pháp kiểm soát truy cập: Các biện pháp kiểm soát truy cập có thể được sử dụng để hạn chế quyền truy cập vào các tài nguyên quan trọng và giảm nguy cơ bị tấn công. RWDA: Cải tiến hiệu quả hơn cho WDA giúp có thể chặn được các tấn công với độ chính xác cao hơn. Tuy vậy, cần có thêm các nghiên cứu sâu hơn để có thể tối ưu RWDA cũng như đưa vào sử dụng trong thực tế.

6.2. Các Nghiên Cứu Tiềm Năng Trong Tương Lai Về Phòng Chống LDOS

Các nghiên cứu tiềm năng trong tương lai về phòng chống LDOS có thể tập trung vào các lĩnh vực sau: Phát triển các kỹ thuật phân tích hành vi lưu lượng truy cập tiên tiến hơn. Nghiên cứu các ứng dụng mới của học máy để phát hiện và ngăn chặn LDOS. Thiết kế các hệ thống quản lý băng thông hiệu quả hơn. Nghiên cứu các biện pháp kiểm soát truy cập sáng tạo hơn. Cần có thêm các nghiên cứu sâu hơn để có thể tối ưu RWDA cũng như đưa vào sử dụng trong thực tế. Hướng phát triển sẽ được để lại cho tương lai khi có thể có một mô hình định lượng được nghiên cứu có tính tổng quát ra đời.

24/09/2025

Trích đoạn nội dung tài liệu

CHƯƠNG 1: TẤN CÔNG TỪ CHỐI DỊCH VỤ VÀ CÁC PHƯƠNG PHÁP PHÒNG CHỐNG 1.1 Các phương pháp tấn công từ chối dịch vụ. Có rất nhiều phương thức tấn công từ chối dịch vụ mà các kẻ tấn công có thể thực hiện nhằm mục đích làm gián đoạn, hoặc khiến cho hệ thống của nạn nhân chậm đi một cách đáng kể với người dùng bình thường, bằng cách làm quá tải tài nguyên của hệ thống.1 Tấn công gửi tràn gói tin UDP Một cuộc tấn công gửi tràn gói UDP là một tấn công từ chối dịch vụ (DoS) tấn công bằng cách sử dụng User Datagram Protocol (UDP), một giao thức mạng máy tính không trạng thái, không hướng nối. Sử dụng UDP để tấn công từ chối dịch vụ không đơn giản như tấn công qua TCP (Transmission Control Protocol). Tuy nhiên, một cuộc tấn công gửi tràn gói UDP có thể được bắt đầu bằng cách gửi một số lượng lớn các gói tin UDP đến cổng ngẫu nhiên trên một server từ xa.

Khi nhận được các gói tin này, các server ở xa sẽ buộc phải thực hiện các hành vi sau: + Kiểm tra các ứng dụng đang nghe tại cổng mà gói UDP gửi đến. + Nhận thấy rằng không có ứng dụng nào nghe tại cổng tương ứng. + Trả lời lại bằng với một gói ICMP. Vì vậy, đối với một số lượng lớn các gói tin UDP, hệ thống nạn nhân sẽ bị buộc phải gửi nhiều gói ICMP.

Điều này khiến cho tài nguyên server bị vắt kiệt do phải trả lời các yêu cầu UDP rác, dẫn tới server không thể truy cập bởi các client hợp lệ khác. Kẻ tấn công cũng có thể giả mạo địa chỉ IP của các gói tin UDP, đảm bảo rằng lượng lớn các gói ICMP gửi trở lại không đến được các máy tấn công, cũng như ẩn danh vị trí mạng tấn công. Do sự phổ biến của kiểu tấn công này trước đây, dẫn đến hiện nay hầu hết các hệ điều hành đều tìm cách giảm thiểu tác động của cách tấn công này bằng cách hạn chế tốc độ gói ICMP trả lời được gửi đi. Các phần mềm có thể được sử dụng để thực hiện các cuộc tấn công gửi tràn UDP có thể kể đến như “Low Orbit Ion Cannon” và “UDP Unicorn”.2 Tấn công gửi tràn gói tin TCP SYN Tấn công gửi tràn gói TCP SYN dựa trên cơ chế bắt tay ba bước của giao thức TCP.

Thông thường khi một client - client muốn bắt đầu một kết nối TCP đến một server, client và server trao đổi một loạt các thông báo theo cơ chế bắt tay ba bước như sau: TIEU LUAN MOI download : skknchat@gmail.com 4 + Client yêu cầu một kết nối bằng cách gửi một gói SYN tới server. + Server chấp nhận yêu cầu này bằng cách gửi một gói SYN-ACK lại cho client. + Client trả lời với một gói ACK, và kết nối được thiết lập. Lợi dụng cơ chế đó, tấn công gửi tràn gói TCP SYN có phương thức như sau: tấn công gửi tràn gói TCP SYN gửi các yêu cầu kết nối TCP nhanh hơn so với một server có thể xử lý: + Kẻ tấn công tạo ra một địa chỉ IP nguồn giả mạo ngẫu nhiên cho mỗi gói tin.

+ Cờ SYN thiết lập trong mỗi gói là một yêu cầu để mở một kết nối mới với server bị tấn công từ địa chỉ IP giả mạo. + Bảng kết nối của nạn nhân đầy lên khi chờ đợi gói ACK trả lời. + Sau khi bảng kết nối đã đầy, tất cả các kết nối mới kể cả từ người dùng hợp lệ sẽ bị bỏ qua dẫn tới người dùng hợp lệ bị từ chối kết nối, và không thể truy cập server. Tấn công TCP SYN khá nguy hiểm, tuy vậy nó thường không làm sập được server bị tấn công, và server có thể hồi phục lại bình thường khi cuộc tấn công dừng lại.

Với các hệ điều hành mới quản lý tài nguyên tốt hơn, nên bảng kết nối khó bị tràn hơn, nhưng vẫn còn dễ bị tổn thương. Tấn công TCP SYN có thể được sử dụng như một phần của các cuộc tấn công khác, chẳng hạn như vô hiệu hóa một phía của kết nối trong tấn công cướp session TCP, hoặc ngăn chặn chứng thực hoặc đăng nhập giữa các server.3 Tấn công từ chối dịch vụ phản xạ nhiều vùng - DRDOS Tấn công từ chối dịch vụ phản xạ nhiều vùng DRDOS (Distributed Reflection Denial of Service) là kiểu tấn công mới, cực mạnh trong các kiểu tấn công DOS. Đầu tiên quay lại kiểu tấn công gửi tràn gói TCP SYN dựa trên cơ chế bắt tay ba bước. Ở đây kẻ tấn công thực hiện giả mạo địa chỉ của server mục tiêu rồi gửi yêu cầu SYN đến các server lớn như Yahoo, Microsoft, Google.

để các server này gửi các gói tin SYN/ACK đến server nạn nhân. Quá trình cứ lặp lại liên tục với nhiều server lớn tham gia nên server nạn nhân nhanh chóng bị quá tải, băng thông (bandwidth) bị chiếm dụng bởi server lớn, dẫn đến server nạn nhân không thể hoạt động bình thường. TIEU LUAN MOI download : skknchat@gmail.com 5 Trong suốt quá trình server bị tấn công bằng DRDOS, không một client nào có thể kết nối được vào server đó. Tất cả các dịch vụ chạy trên nền TCP/IP như DNS, HTTP, FTP, POP3.

đều bị vô hiệu hóa. Về cơ bản, DRDOS là sự phối hợp giữa hai kiểu DOS và DDOS. Nó có kiểu tấn công SYN với một máy tính đơn, vừa có sự kết hợp giữa nhiều máy tính để chiếm dụng băng thông như kiểu DDOS. Như vậy tấn công từ chối dịch vụ phản xạ nhiều vùng DRDOS nếu thực hiện thành công sẽ khiến cuộc tấn công không còn là cuộc đối đầu giữa mạng “bot-net” của kẻ tấn công với hệ thống server của nạn nhân nữa, mà là cuộc đối đầu giữa nạn nhân với các server lớn của internet.

Nguồn tấn công lúc này sẽ được bắt đầu bằng những đường chính của Internet, bao gồm Yahoo.com… Nạn nhân có thể bị tấn công bởi hàng trăm server mạnh nhất của internet, dẫn tới việc ngưng trệ toàn bộ dịch vụ một cách nhanh chóng.4 Tấn công qua mạng ngang hàng Ở phương pháp tấn công từ chối dịch vụ qua mạng ngang hàng, những kẻ tấn công tìm ra cách để khai thác một số lỗi trong server chia sẻ file ngang hàng (peer-to- peer) để bắt đầu cuộc tấn công DDOS. Dạng tấn công nguy hiểm nhất của các cuộc tấn công từ chối dịch vụ qua mạng ngang hàng khai thác lỗi của phần mềm DC++, một phần mềm chia sẻ file ngang hàng nổi tiếng. Các cuộc tấn công từ chối dịch vụ qua mạng ngang hàng khá khác biệt so với các cuộc tấn công dựa trên mạng “bot-net” thông thường. Với tấn công từ chối dịch vụ qua mạng ngang hàng không có mạng “bot-net” và những kẻ tấn công không cần phải giao tiếp với mạng lưới các máy tính bị điều khiển.

Thay vào đó, những kẻ tấn công hướng dẫn các máy client của mạng ngang hàng chia sẻ file ngắt kết nối khỏi mạng ngang hàng đó để kết nối với trang web của nạn nhân. Kết quả là, hàng ngàn máy tính mạnh mẽ có thể cố gắng kết nối đến một trang web nạn nhân. Trong khi một server web điển hình có thể xử lý một vài trăm kết nối mỗi giây trước khi chất lượng bắt đầu suy giảm, hầu hết các server web sẽ thất bại ngay lập tức trong việc trả lời năm hoặc sáu ngàn kết nối mỗi mỗi giây. Với một cuộc tấn công qua mạng ngang hàng đủ lớn, một trang web có thể có khả năng bị ảnh hưởng lên đến cả triệu kết nối trong thời gian ngắn.

Các server web bị tấn công sẽ không thể phục vụ được số lượng kết nối lớn như vậy, dẫn đến kết nối chậm, thậm chí ngừng phục vụ, server treo hoặc khởi động lại. Trong khi các cuộc tấn công từ chối dịch vụ qua mạng ngang hàng có thể khá dễ dàng nhận diện dựa trên chữ ký, thì số lượng lớn các địa chỉ IP cần phải bị chặn, thường lên đến hàng trăm ngàn trong quá trình của một cuộc tấn công quy mô lớn, cho thấy là kiểu tấn công này có thể áp đảo phương pháp chống lại bằng các cách giảm thiểu tác động đơn giản. TIEU LUAN MOI download : skknchat@gmail.5 Tấn công Slowloris Một dạng tấn công tần suất thấp của tấn công dịch vụ chống lại các dịch vụ đặc biệt, thay vì tấn công sử dụng mạng gửi tràn gói tin, là dạng tấn công cho phép một máy tính duy nhất có thể làm sập một server web với băng thông lớn và gây ra tác dụng phụ tối thiểu với các dịch vụ và cổng khác. Mục tiêu lý tưởng của tấn công từ chối dịch vụ là khi mà tất cả các dịch vụ khác vẫn còn nguyên vẹn nhưng các server web thì lại hoàn toàn không thể truy nhập.

Slowloris được sinh ra từ khái niệm này, do đó có thể che giấu tương đối tốt với hầu hết các công cụ chống tấn công từ chối dịch vụ gửi tràn gói tin. Slowloris giữ kết nối mở bằng cách gửi một phần yêu cầu HTTP. Nó tiếp tục gửi tiêu đề tiếp theo đều đặn để giữ cho các socket không đóng lại. Bằng cách này server web sẽ phải giữ những kết nối mở quá lâu, dẫn tới quá tải các yêu cầu, làm cho các yêu cầu mới từ người dùng hợp lệ không được đáp ứng nữa.

Slowloris cũng có một vài tính năng ẩn mình trước phát hiện tấn công. Thứ nhất, nó có thể được thay đổi để gửi tiêu đề server khác nhau, nếu mục tiêu là một server ảo và file log được lưu trữ riêng biệt cho mỗi server ảo. Nhưng quan trọng nhất, trong khi các cuộc tấn công đang được tiến hành, các file log sẽ không được ghi cho đến khi yêu cầu được hoàn thành. Vì vậy, kẻ tấn công có thể làm sập một server tại một thời điểm mà không có một file log nào hiển thị để cảnh báo những người quản trị mạng đang theo dõi server đó.

Cho tới khi cuộc tấn công dừng lại hoặc session bị đóng thì mới xuất hiện vài trăm lỗi 400 Bad Request trong các file log của server.6 Tấn công suy giảm dịch vụ Mục đích của cuộc tấn công này là làm chậm thời gian đáp ứng của server. Một cuộc tấn công DDoS bình thường sẽ tìm cách để đánh sập một trang web hoặc server tức khiến trang web hoặc server đó chuyển sang trạng thái offline và không thể cung cấp được dịch vụ cho người dùng bình thường. Đối với tấn công suy giảm dịch vụ, mục tiêu lại là để làm chậm thời gian đáp ứng đến một mức độ nào đó nhằm làm cho các trang web bị chậm lại, hoặc thậm chí không sử dụng được cho hầu hết người dùng hợp lệ.

Nội dung được bảo vệ bản quyền — Tải xuống đầy đủ