MỞ ĐẦU 0. Mục đích nghiên cứu Hiện nay, công nghệ thông tin đang ngày càng phát triển và chiếm một vị trí vô cùng quan trọng trong sự phát triển của xã hội. Công nghệ thông tin được ứng dụng trong mọi mặt của đời sống như: giáo dục, y tế, giao thông, quản lý vận hành các nhà máy, vui chơi giải trí… Nó giúp cho các hoạt động của con người được thuận tiện và nhanh chóng hơn. Đặc biệt khi cuộc cách mạng công nghiệp lần thứ tư bùng nổ thì công nghệ thông tin lại càng trở nên quan trọng hơn.
Các ứng dụng sử dụng công nghệ thông tin ngày càng nhiều và yêu cầu cao về băng thông, chất lượng dịch vụ cũng như độ an toàn thông tin. Để đáp ứng nhu cầu đó, các tập đoàn công nghệ, viễn thông đã liên tục nghiên cứu, cập nhật, phát triển thiết bị, giải pháp mạng có hiệu năng lớn với khả năng đáp ứng cao và bảo mật thông tin. Một hướng đi đang được rất nhiều tổ chức như tập đoàn Cisco, HP, IBM, Microsoft,. quan tâm và phát triển là mạng điều khiển bằng phần mềm SDN [1].
SDN là một xu hướng công nghệ mạng mới khi mang đến những tính năng quản lý hết sức linh hoạt với hiệu năng cao. Khác với công nghệ mạng truyền thống, SDN cho phép tách các chức năng mặt phẳng điều khiển ra khỏi các chức năng mặt phẳng chuyển tiếp dữ liệu, đồng thời cung cấp khả năng quản lý giám sát tập trung và tạo ra các giao diện lập trình ứng dụng mở, cho phép các nhà nghiên cứu phát triển có thể can thiệp vào sự hoạt động của các thiết bị mạng cũng như mở rộng, bổ sung các chức năng mới qua phần mềm. Trong kiến trúc mạng truyền thống, chức năng điều khiển và chuyển tiếp gói tin được thực hiện ở trên cùng một thiết bị. Các thiết bị độc lập với nhau và tự quyết định hành động của mình.
SDN ngược lại, tách biệt hai chức năng này và cho phép người quản trị mạng làm chủ chức năng điều khiển. Theo kiến trúc này các thiết bị mạng sẽ nhận các chỉ thị xử lý gói từ bộ điều khiển thay vì sử dụng tài nguyên vốn khan hiếm của nó để xử lý các gói tin đến. Việc xử lý như thế nào hoàn toàn được định nghĩa ở lớp điều khiển và người quản trị có thể can thiệp dễ dàng. Lớp ứng dụng trong SDN sẽ có hình ảnh thống nhất về toàn bộ mạng thông qua lớp điều khiển như thể cả mạng chỉ là một thiết bị ảo khồng lồ.
Lớp điều khiển là nơi thực hiện định tuyến xác định đường đi, thực thi các thuật toán, chính sách để điều khiển hoạt động của mạng. Lớp hạ tầng mạng chứa các thiết bị chuyển mạch chỉ có nhiệm vụ chuyển tiếp các gói tin dựa vào các bảng luồng dữ liệu được thiết lập bởi bộ điều khiển. Trong kiến trúc SDN thì giao thức OpenFlow là giao thức thông dụng nhất cho phép bộ điều khiển giám sát và điều khiển hoạt động của các thiết bị mạng phần cứng. Đặc biệt trong lĩnh vực an ninh, an toàn mạng, SDN là một công nghệ rất hứa hẹn vì một số nguyên nhân sau: - Khả năng chia mạng: chia mạng là tạo các mạng con bên trong một mạng lớn hơn.
Việc phân chia mạng giúp ngăn cách và sắp xếp lưu lượng truy cập mạng của tổ chức. Chẳng hạn, nó có thể hạn chế máy của bộ phận bán hàng giao tiếp với máy của nhóm tài chính. Điều này cho phép sử dụng băng thông hiệu quả hơn bằng cách giảm kích thước của miền quảng bá và giảm lưu lượng không cần thiết trên 1 mạng. Trên góc độ bảo mật, nó giúp giảm bề mặt tấn công của tổ chức và do đó hạn chế phạm vi vi phạm bảo mật dữ liệu.
Khi một máy hoặc ứng dụng bị tấn công, tính năng phân chia mạng sẽ ngăn chặn nó ảnh hưởng đến các thiết bị khác. Kiến trúc mạng SDN cho phép việc phân chia mạng nhanh chóng và dễ dàng do toàn bộ chức năng điều khiển được tích hợp tại bộ điều khiển. - Khả năng quản lý tập trung từ xa: mạng SDN dễ dàng cho việc quản lý tập trung từ xa hơn từ một bảng điều khiển tập trung duy nhất. Điều này có nghĩa là quản trị viên có thể truy cập từ xa vào để xem và điều khiển tập trung các thiết bị mạng trên một bảng điều khiển duy nhất.
Vì vậy, nếu có vi phạm xảy ra, các bên liên quan có thể được thông báo ngay lập tức, các biện pháp can thiệp trên diện rộng cũng có thể được áp dụng sớm. - Khả năng lập trình và tự động hóa: mạng SDN cho phép người quản trị can thiệp thông qua việc lập trình là một lợi thế rất lớn cho việc triển khai các thuật toán phát hiện và giảm thiểu tấn công thông minh mới, theo ý của người quản trị. Đồng thời người quản trị cũng có thể triển khai tự động hóa mạng, là một xu hướng rất mới hiện nay. Nó cho phép đưa ra các kịch bản, giúp mạng tự động thích ứng khi có các tình huống xảy ra.
- Khả năng mở rộng: một lợi thế rất lớn của mạng ảo hóa và được xác định bằng phần mềm là khả năng mở rộng. Việc mở rộng tài nguyên và các thành phần mạng trở nên dễ dàng hơn rất nhiều vì chúng không yêu cầu mua phần cứng mới. Người quản trị không cần phải bổ sung thêm bộ nhớ hay sức mạnh xử lý tính toán cho thiết bị hiện tại hay mua máy mới. - Ít liên quan đến các thiết bị vật lý: mô-đun phần mềm, điểu khiển, bảo mật,… có thể được lưu trữ trên các máy ảo chạy trên máy chủ vật lý hoặc đám mây.
Nhiều máy ảo có thể được chạy từ một máy chủ duy nhất. Số lượng máy ảo, số lượng chức năng có thể tăng hoặc giảm tùy thuộc vào yêu cầu của tổ chức tại bất kỳ thời điểm nào. Điều này cho phép cắt giảm chi phí cơ sở hạ tầng và phí dịch vụ. Đi cùng với sự phát triển công nghệ mạng, đối tượng xấu cũng liên tục cải tiến và nâng cấp các công cụ tấn công nhằm đánh cắp thông tin, phá hoại dịch vụ mạng.
Các cuộc tấn công mạng này đều nhằm mục đích đánh cắp thông tin, đánh cắp tiền, làm mất khả năng cung cấp dịch vụ của ứng dụng… Đối với người dùng mạng, việc bị tấn công như thế này cực kỳ đáng lo ngại. Do đó an toàn thông tin là vấn đề quan trọng và cần phải quan tâm giải quyết. Trong các hình thức tấn công mạng, tấn công từ chối dịch vụ là hình thức dễ xảy ra và làm ảnh hưởng nghiêm trọng tới uy tín và chất lượng dịch vụ của các tổ chức. Số lượng các cuộc tấn công từ chối dịch vụ vẫn tăng hàng năm và ngày càng đa dạng, phức tạp hơn.
Theo báo cáo về tấn công từ chối dịch vụ quý 4 năm 2022 trên Cloudflare [2], số lượng các cuộc tấn công DDoS ngày càng tăng cả về kích thước và tần suất. Số lượng tấn công vào dịch vụ website HTTP DDoS tăng 79% mỗi năm, dữ liệu tấn công DDoS lên tới hàng trăm triệu gói trên giây, tấn công HTTP DDoS lên tới mười triệu yêu cầu trên một giây. Các cuộc tấn công theo dung lượng tăng lên, số vụ tấn công vượt quá tốc độ 100 gigabit mỗi giây (Gbps) tăng 67% so với quý 3 năm 2022 và số vụ tấn công kéo dài hơn ba giờ tăng 87% theo quý. Các cuộc tấn công DDoS đòi tiền chuộc tăng đều đặn trong năm 2022.
Trong quý 4, hơn 16% số người được khảo sát cho biết đã nhận được mối đe dọa hoặc yêu cầu tiền chuộc do bị tấn 2 công DDoS nhắm mục tiêu vào tài sản Internet của họ. Và nhiều những số liệu thống kê khác cho thấy nguy cơ tăng dần và ảnh hưởng xấu của tấn công DDoS tới hoạt động của các công ty, tổ chức và người dùng. Do đó, trong luận án này, nghiên cứu sinh tập trung vào việc nghiên cứu ảnh hưởng của tấn công DDoS và các giải pháp phát hiện, giảm thiểu chúng trong mạng SDN. Với những lý do trên, nghiên cứu sinh đã chọn đề tài “Các giải pháp phát hiện và giảm thiểu tấn công DDoS cho mạng điều khiển bằng phần mềm” để thực hiện nghiên cứu.
Tình hình nghiên cứu trong và ngoài nước Do xu hướng phát triển công nghệ mạng SDN và tính cấp thiết khi bảo vệ các thiết bị chống lại tấn công DDoS nên nhiều nhà khoa học trong nước và ngoài nước đã tập trung nghiên cứu, đề xuất nhiều giải pháp nhằm phát hiện và giảm thiểu sớm các cuộc tấn công DDoS, bảo vệ các thiết bị mạng. Để đạt được mục tiêu này, các nhà nghiên cứu đã đi từ việc phân tích, đánh giá chức năng, hiệu năng của các thành phần mạng SDN, đến các giải pháp phát hiện và giảm thiểu tấn công cũng như giải pháp tăng cường khả năng chống chọi của mạng để duy trì hoạt động trong khi chờ khắc phục sự cố. Các kết quả nghiên cứu có thể được chia thành 3 nhóm như sau: 1) Các kết quả về đánh giá hiệu năng và tác động của tấn công DDoS lên kiến trúc mạng SDN. 2) Các kết quả phát hiện dữ liệu bất thường, phát hiện tấn công DDoS trong mạng SDN.
3) Các kết quả giải pháp đối phó khi phát hiện có tấn công DDoS trong mạng SDN: giảm thiểu tấn công, mở rộng tài nguyên mạng. Các kết quả về đánh giá hiệu năng và tác động của tấn công DDoS lên mạng SDN Các nghiên cứu về đánh giá hiệu năng và tác động của tấn công DDoS lên mạng SDN hiện nay có thể chia thành hai nhóm: - Các vấn đề hiệu năng liên quan đến kiến trúc và thành phần của mạng SDN. - Tác động của tấn công DDoS lên kiến trúc SDN. Liên quan đến đánh giá hiệu năng của kiến trúc SDN, các nghiên cứu gần đây tập trung vào: (1) phân tích hiệu năng của bộ điều khiển SDN và (2) phân tích hiệu năng của các thiết bị chuyển mạch hỗ trợ SDN.
Với phân tích hiệu năng của bộ điều khiển SDN, Khattak và các tác giả trong [3] đã đánh giá độ trễ và thông lượng của hai bộ điều khiển SDN là ODL và Floodlight. Kết quả cho thấy ODL đạt được thời gian phản hồi thấp hơn đáng kể so với Floodlight. Tuy nhiên, nghiên cứu chỉ giải quyết các vấn đề về hiệu năng của bộ điều khiển trong trung tâm dữ liệu. Ngoài ra, nghiên cứu cũng không tập trung vào đánh giá các bộ điều khiển này khi lưu lượng tải cao.