Luận văn nghiên cứu an ninh mạng sử dụng kỹ thuật điều khiển bằng phần mềm sdn

Luận văn nghiên cứu an ninh mạng: Ứng dụng kỹ thuật SDN (Software-Defined Networking) để nâng cao khả năng phòng thủ và phát hiện tấn công mạng. Đọc ngay!

Người đăng

Ẩn danh

Thể loại

Luận văn thạc sĩ

2015

75
8
1

Phí lưu trữ

30 Point

Mục lục chi tiết

LỜI CAM ĐOAN

MỤC LỤC

DANH SÁCH HÌNH VẼ

DANH SÁCH BẢNG BIẾU

DANH SÁCH THUẬT NGỮ VÀ CÁC TỪ VIẾT TẮT

1. CHƯƠNG 1: GIỚI THIỆU VỀ CÔNG NGHỆ MẠNG LẬP TRÌNH ĐƯỢC - SDN

1.1. Mạng lập trình được (SDN)

1.2. Kiến trúc SDN

1.3. Khả năng, lợi ích của SDN

1.4. Giao thức OpeniFlow

1.4.1. Kiến trúc Openflow

1.4.2. Các bản tin trao đổi giữa Controller POX và OpenSwitch

1.4.2.1. Bản tin SlalisticRequesL
1.4.2.2. Bản tin StatisticResponse
1.4.2.3. Bản tin FlowMod

2. CHƯƠNG 2: THỰC TRẠNG HỆ THỐNG MẠNG CỦA NHÀ CUNG CẤP DỊCH VỤ INTERNET (ISP) TẠI VIỆT NAM

2.1. Sơ đồ hệ thống mạng của VDC Online

2.2. Giám sát và quản trị mạng

2.3. Các hình thức tấn công mạng

2.4. Phân tích tình huống tấn công DDOS thực tế tại VDC Online

2.5. Đề xuất sơ đồ hệ thống cho ISP

3. CHƯƠNG 3: XÂY DỰNG HỆ THỐNG THÍ NGHIỆM

3.1. Sơ đồ hệ thống thí nghiệm

3.2. Bộ điều khiển POX

3.3. Mục đích và phương thức hoạt động

3.4. Khối chức năng GetStats

3.5. Khối chức năng Bandwidth Calculation

3.6. Khối chức năng Flow Modification

3.7. Cài đặt và sử dụng

3.7.1. Giới thiệu tổng quan

3.7.2. Cài đặt và sử dụng

3.8. Cấu hình hệ thống thử nghiệm

3.8.1. Cấu bình OpenvSwitch

3.8.2. Cấu hình POX Controller và thực hiện kết nối tới OpenvSwitch

4. CHƯƠNG 4: KỊCH BẢN THÍ NGHIỆM, ĐÁNH GIÁ KẾT QUẢ

4.1. Kịch bản thí nghiệm

4.1.1. Kịch bản thí nghiệm

4.1.2. Công cụ sử dụng

4.1.3. Mô phỏng tấn công

4.1.3.1. Giả lập hệ thông hoạt động tốt

4.2. Giả lập tấn công server

4.3. Xử lý tấn công

4.4. Đánh giá kết quả

4.4.1. Nhận xét, đánh giá:

4.4.2. Hướng phát triển hệ thông:

TÀI LIỆU THAM KHẢO

Tóm tắt

I. Tổng Quan Luận Văn Về An Ninh Mạng SDN Khái Niệm Lợi Ích

Luận văn nghiên cứu về an ninh mạng SDN tập trung vào việc khai thác tiềm năng của kiến trúc SDN trong an ninh để giải quyết các thách thức bảo mật hiện đại. SDN (Software-Defined Networking), hay còn gọi là mạng định nghĩa bằng phần mềm, là một kiến trúc mạng mới tách biệt mặt phẳng điều khiển khỏi mặt phẳng dữ liệu. Điều này cho phép quản lý và điều khiển mạng một cách tập trung, linh hoạt và hiệu quả hơn. Lợi ích của SDN trong bảo mật bao gồm khả năng triển khai nhanh chóng các chính sách bảo mật, tự động hóa các tác vụ bảo mật, và khả năng giám sát và phản ứng với các mối đe dọa một cách hiệu quả hơn. Theo tài liệu gốc, các tập đoàn lớn như Google và HP đã bắt đầu sử dụng kiến trúc SDN trong mạng lõi của họ. Điều này cho thấy tiềm năng và tính khả thi của việc áp dụng SDN trong thực tế. Luận văn này sẽ đi sâu vào các khía cạnh kỹ thuật và ứng dụng của SDN trong việc tăng cường bảo mật mạng SDN. Nó sẽ xem xét các vấn đề như kiểm soát lưu lượng SDN, phát hiện xâm nhập SDN, và phòng chống tấn công mạng SDN. Mục tiêu là đưa ra các giải pháp an ninh SDN hiệu quả và khả thi, giúp các tổ chức bảo vệ mạng của mình khỏi các mối đe dọa ngày càng tinh vi.

1.1. Giới Thiệu Chi Tiết về Kiến Trúc Mạng Lập Trình Được SDN

Kiến trúc SDN là một cuộc cách mạng trong lĩnh vực mạng, nó tách biệt mặt phẳng điều khiển (Control Plane) và mặt phẳng dữ liệu (Data Plane). Mặt phẳng điều khiển, trước đây tích hợp trên từng thiết bị mạng, nay được tập trung hóa trên một bộ điều khiển (Controller). Điều này cho phép quản lý mạng tập trung, linh hoạt và tự động hóa cao hơn. Giao thức OpenFlow đóng vai trò quan trọng trong việc giao tiếp giữa bộ điều khiển và các thiết bị chuyển mạch (switch). Theo luận văn, SDN sử dụng OpenFlow để giao tiếp giữa Control Plane và Data Plane, giúp việc trao đổi thông tin trở nên dễ dàng và chính xác hơn. Điều này tạo ra khả năng tùy biến và lập trình mạng mạnh mẽ, cho phép các nhà quản trị mạng dễ dàng triển khai các chính sách bảo mật và quản lý lưu lượng mạng theo thời gian thực.

1.2. Ưu Điểm Vượt Trội của SDN Trong Bối Cảnh An Ninh Mạng Hiện Đại

SDN mang lại nhiều ưu điểm vượt trội so với kiến trúc mạng truyền thống, đặc biệt trong bối cảnh an ninh mạng ngày càng phức tạp. Khả năng quản lý tập trung cho phép triển khai các chính sách bảo mật một cách nhất quán trên toàn mạng. Khả năng lập trình cho phép tự động hóa các tác vụ bảo mật, như phát hiện xâm nhậpphản ứng với tấn công. Theo kinh nghiệm của tác giả luận văn khi làm việc tại các ISP, việc phân tích và phát hiện sự cố tấn công là then chốt để đảm bảo an toàn hệ thống. Với SDN, việc này trở nên dễ dàng hơn nhờ khả năng giám sát và phân tích lưu lượng mạng chi tiết. Hơn nữa, SDN cho phép cô lập các phân đoạn mạng bị tấn công, ngăn chặn sự lây lan của mã độc và giảm thiểu thiệt hại.

II. Thách Thức An Ninh Mạng SDN Điểm Yếu Hướng Giải Quyết

Mặc dù SDN mang lại nhiều lợi ích cho an ninh mạng, nó cũng tạo ra những thách thức mới. Một trong những thách thức lớn nhất là bảo mật của chính bộ điều khiển SDN. Nếu bộ điều khiển bị xâm nhập, kẻ tấn công có thể kiểm soát toàn bộ mạng. Thêm vào đó, giao thức OpenFlow, mặc dù mạnh mẽ, cũng có thể trở thành mục tiêu tấn công nếu không được cấu hình và bảo vệ đúng cách. Một thách thức khác là khả năng mở rộng của SDN. Khi mạng trở nên lớn hơn và phức tạp hơn, việc quản lý và điều khiển mạng bằng SDN có thể trở nên khó khăn hơn. Cần có các giải pháp an ninh SDN để giải quyết các thách thức này. Các giải pháp này có thể bao gồm việc tăng cường bảo mật cho bộ điều khiển, sử dụng các kỹ thuật kiểm soát truy cậpphân tích lưu lượng để phát hiện và ngăn chặn các cuộc tấn công, và phát triển các thuật toán mở rộng để quản lý các mạng SDN lớn và phức tạp.

2.1. Các Lỗ Hổng Bảo Mật Tiềm Ẩn Trong Kiến Trúc Điều Khiển Bằng Phần Mềm SDN

Kiến trúc SDN với bộ điều khiển trung tâm tạo ra một điểm yếu tiềm ẩn. Nếu kẻ tấn công chiếm quyền điều khiển bộ điều khiển, họ có thể kiểm soát toàn bộ mạng SDN. Do đó, việc bảo vệ bộ điều khiển là vô cùng quan trọng. Các biện pháp bảo mật cần được áp dụng bao gồm xác thực mạnh mẽ, kiểm soát truy cập chặt chẽ, và giám sát liên tục để phát hiện các hoạt động đáng ngờ. Theo luận văn, việc phân tích và phát hiện sự cố tấn công là then chốt, và điều này càng đúng với bộ điều khiển SDN. Ngoài ra, các lỗ hổng phần mềm trong bộ điều khiển cũng có thể bị khai thác. Do đó, việc cập nhật phần mềm thường xuyên và sử dụng các công cụ quét lỗ hổng là rất cần thiết.

2.2. Rủi Ro Tấn Công Thông Qua Giao Thức OpenFlow và Cách Phòng Tránh

Giao thức OpenFlow, mặc dù là nền tảng của SDN, cũng có thể trở thành mục tiêu tấn công. Kẻ tấn công có thể lợi dụng các lỗ hổng trong OpenFlow để thay đổi các quy tắc chuyển mạch, chuyển hướng lưu lượng, hoặc thậm chí chặn lưu lượng. Để phòng tránh các cuộc tấn công này, cần phải cấu hình OpenFlow một cách an toàn, sử dụng các cơ chế xác thực và mã hóa mạnh mẽ, và giám sát liên tục các bản tin OpenFlow để phát hiện các hoạt động đáng ngờ. Ví dụ, theo tài liệu, các bản tin FlowMod được sử dụng để điều chỉnh các flow table, cần phải được kiểm soát chặt chẽ để tránh bị lợi dụng.

III. Phương Pháp Phát Hiện Xâm Nhập An Ninh Mạng Hiệu Quả Với SDN

SDN cung cấp các công cụ mạnh mẽ để phát hiện xâm nhập SDN. Khả năng giám sát tập trung và khả năng lập trình cho phép triển khai các hệ thống phát hiện xâm nhập (IDS) hiệu quả hơn so với các mạng truyền thống. Các IDS có thể được triển khai như các ứng dụng trên bộ điều khiển SDN, cho phép chúng giám sát lưu lượng mạng theo thời gian thực và phát hiện các mẫu tấn công. SDN cũng cho phép dễ dàng thu thập và phân tích dữ liệu lưu lượng mạng, giúp các nhà phân tích bảo mật hiểu rõ hơn về các mối đe dọa và phát triển các biện pháp phòng thủ hiệu quả hơn. Một phương pháp phát hiện xâm nhập hiệu quả là sử dụng các thuật toán học máy để phân tích lưu lượng mạng và phát hiện các hành vi bất thường. Các thuật toán này có thể được huấn luyện để nhận biết các loại tấn công khác nhau, và có thể tự động cập nhật để đối phó với các mối đe dọa mới.

3.1. Ứng Dụng Học Máy Trong Phát Hiện Hành Vi Bất Thường Mạng SDN

Học máy là một công cụ mạnh mẽ để phát hiện xâm nhập trong môi trường SDN. Các thuật toán học máy có thể được huấn luyện để phân tích lưu lượng mạng và nhận biết các hành vi bất thường, như lưu lượng tăng đột biến, các kết nối đến các địa chỉ IP đáng ngờ, hoặc các gói tin có cấu trúc bất thường. Các thuật toán này có thể được triển khai trên bộ điều khiển SDN, cho phép phát hiện xâm nhập theo thời gian thực. Việc sử dụng học máy giúp giảm thiểu sự phụ thuộc vào các quy tắc và chữ ký tấn công truyền thống, cho phép phát hiện các cuộc tấn công mới và tinh vi hơn.

3.2. Giám Sát Lưu Lượng Mạng SDN Theo Thời Gian Thực Để Phát Hiện Tấn Công

SDN cho phép giám sát lưu lượng mạng theo thời gian thực, cung cấp thông tin chi tiết về các kết nối, lưu lượng và các giao thức đang được sử dụng trên mạng. Thông tin này có thể được sử dụng để phát hiện xâm nhập. Ví dụ, nếu lưu lượng đến một máy chủ cụ thể tăng đột biến, điều này có thể chỉ ra một cuộc tấn công từ chối dịch vụ (DoS). Hoặc, nếu một máy chủ bắt đầu giao tiếp với một địa chỉ IP được biết đến là nguồn tấn công, điều này có thể chỉ ra rằng máy chủ đã bị xâm nhập. SDN cho phép tự động hóa quá trình giám sát lưu lượng và tạo ra các cảnh báo khi phát hiện các hành vi đáng ngờ.

IV. Giải Pháp Phòng Chống Tấn Công Mạng DDOS Sử Dụng Kỹ Thuật SDN

Tấn công từ chối dịch vụ phân tán (DDoS) là một trong những mối đe dọa lớn nhất đối với các mạng SDN. Các cuộc tấn công này có thể làm quá tải mạng và làm cho các dịch vụ trở nên không khả dụng. SDN cung cấp các công cụ mạnh mẽ để phòng chống tấn công DDoS. Khả năng kiểm soát lưu lượng SDN cho phép các nhà quản trị mạng chặn lưu lượng độc hại và chuyển hướng lưu lượng hợp pháp. Các giải pháp an ninh SDN có thể được triển khai để tự động phát hiện và phản ứng với các cuộc tấn công DDoS. Các giải pháp này có thể sử dụng các kỹ thuật như lọc lưu lượng, giới hạn tốc độ, và chuyển hướng lưu lượng để giảm thiểu tác động của các cuộc tấn công DDoS. Quan trọng là, theo kinh nghiệm của tác giả luận văn khi làm việc tại các ISP, việc tiếp xúc với hàng chục cuộc tấn công Telnet mỗi tháng cho thấy tầm quan trọng của việc có các giải pháp phòng thủ hiệu quả.

4.1. Kỹ Thuật Lọc Lưu Lượng Linh Hoạt Trong SDN Để Chặn Tấn Công DDOS

SDN cho phép triển khai các kỹ thuật lọc lưu lượng linh hoạt để chặn các cuộc tấn công DDoS. Các nhà quản trị mạng có thể tạo ra các quy tắc lọc để chặn lưu lượng từ các nguồn tấn công đã biết, hoặc chặn lưu lượng có các đặc điểm tấn công nhất định. Các quy tắc lọc này có thể được triển khai một cách nhanh chóng và dễ dàng, cho phép phản ứng nhanh chóng với các cuộc tấn công DDoS. Hơn nữa, SDN cho phép lọc lưu lượng dựa trên nhiều tiêu chí khác nhau, như địa chỉ IP nguồn, địa chỉ IP đích, cổng nguồn, cổng đích, và giao thức. Điều này cho phép tạo ra các quy tắc lọc chính xác và hiệu quả hơn.

4.2. Giới Hạn Tốc Độ Truy Cập Để Ngăn Chặn Tấn Công Băng Thông Trong SDN

SDN cho phép giới hạn tốc độ truy cập vào các tài nguyên mạng, giúp ngăn chặn các cuộc tấn công băng thông trong các cuộc tấn công DDoS. Bằng cách giới hạn tốc độ truy cập từ các nguồn tấn công, có thể ngăn chặn chúng làm quá tải mạng và làm cho các dịch vụ trở nên không khả dụng. Các giới hạn tốc độ có thể được đặt dựa trên nhiều tiêu chí khác nhau, như địa chỉ IP nguồn, địa chỉ IP đích, và giao thức. SDN cho phép tự động hóa quá trình giới hạn tốc độ và điều chỉnh các giới hạn tốc độ theo thời gian thực để đối phó với các cuộc tấn công DDoS khác nhau.

V. Ứng Dụng Thực Tế An Ninh Mạng SDN Nghiên Cứu Trường Hợp ISP Tại Việt Nam

Luận văn xem xét các ứng dụng SDN trong an ninh tại các nhà cung cấp dịch vụ Internet (ISP) ở Việt Nam. Việc phân tích tình hình thực tế tại các ISP cho thấy tầm quan trọng của việc bảo mật mạng SDN. Các ISP thường xuyên phải đối mặt với các cuộc tấn công mạng, bao gồm cả tấn công DDoS. SDN có thể giúp các ISP đối phó với các cuộc tấn công này một cách hiệu quả hơn. Nghiên cứu đề xuất mô hình triển khai OpenFlow Switch kết hợp với hệ thống hiện tại tại các ISP. Mô hình này cho phép các ISP tận dụng các lợi ích của SDN mà không cần phải thay đổi toàn bộ cơ sở hạ tầng mạng của họ. Quan trọng là, luận văn dựa trên kinh nghiệm thực tế của tác giả khi làm việc tại ba ISP lớn nhất Việt Nam, làm cho các đề xuất trở nên thực tế và khả thi.

5.1. Phân Tích Tình Hình Tấn Công DDOS Thực Tế Tại VDC Online và Bài Học Kinh Nghiệm

Luận văn phân tích các trường hợp tấn công DDoS thực tế đã xảy ra tại VDC Online, một trong những ISP lớn nhất tại Việt Nam. Phân tích này cho thấy các cuộc tấn công DDoS có thể gây ra tác động nghiêm trọng đến hiệu suất mạng và tính khả dụng của dịch vụ. Nghiên cứu cũng chỉ ra rằng các cuộc tấn công DDoS ngày càng trở nên tinh vi hơn và khó phát hiện hơn. Các bài học kinh nghiệm rút ra từ các cuộc tấn công này có thể giúp các ISP khác chuẩn bị tốt hơn để đối phó với các cuộc tấn công DDoS trong tương lai.

5.2. Đề Xuất Mô Hình Triển Khai OpenFlow Switch Kết Hợp Hệ Thống ISP Hiện Tại

Luận văn đề xuất một mô hình triển khai OpenFlow Switch kết hợp với hệ thống ISP hiện tại. Mô hình này cho phép các ISP tận dụng các lợi ích của SDN mà không cần phải thay đổi toàn bộ cơ sở hạ tầng mạng của họ. Mô hình bao gồm việc triển khai một số lượng nhỏ các OpenFlow Switch ở các vị trí chiến lược trong mạng, và sử dụng các OpenFlow Switch này để kiểm soát lưu lượngphòng chống tấn công DDoS. Mô hình này có thể được triển khai dần dần, cho phép các ISP đánh giá hiệu quả của SDN trước khi đầu tư vào việc triển khai quy mô lớn.

VI. Kết Luận Hướng Phát Triển Nghiên Cứu An Ninh Mạng SDN Trong Tương Lai

Luận văn kết luận rằng SDN là một công nghệ đầy hứa hẹn cho an ninh mạng. SDN cung cấp các công cụ mạnh mẽ để phát hiện xâm nhập, phòng chống tấn công DDoS, và kiểm soát lưu lượng. Tuy nhiên, SDN cũng tạo ra những thách thức mới, và cần có các giải pháp an ninh SDN để giải quyết các thách thức này. Các hướng phát triển nghiên cứu trong tương lai bao gồm việc phát triển các thuật toán học máy tiên tiến hơn để phát hiện xâm nhập, phát triển các giải pháp an ninh SDN tự động hơn, và nghiên cứu các phương pháp bảo mật bộ điều khiển SDN. Theo tài liệu, việc có những phương án phòng tránh hiệu quả nhất là then chốt, và điều này đúng với cả việc phát triển các giải pháp an ninh SDN.

6.1. Tổng Kết Các Kết Quả Nghiên Cứu Chính Về An Ninh Mạng Sử Dụng SDN

Luận văn đã trình bày các kết quả nghiên cứu chính về an ninh mạng sử dụng SDN. Các kết quả này cho thấy rằng SDN có thể cải thiện đáng kể khả năng phát hiện xâm nhậpphòng chống tấn công so với các mạng truyền thống. Tuy nhiên, các kết quả cũng chỉ ra rằng SDN không phải là một viên đạn bạc, và cần phải có các giải pháp an ninh SDN để giải quyết các thách thức cụ thể của SDN.

6.2. Đề Xuất Các Hướng Nghiên Cứu Mới Về Giải Pháp An Ninh Mạng SDN

Luận văn đề xuất một số hướng nghiên cứu mới về giải pháp an ninh SDN. Các hướng này bao gồm việc phát triển các thuật toán học máy tiên tiến hơn để phát hiện xâm nhập, phát triển các giải pháp an ninh SDN tự động hơn, và nghiên cứu các phương pháp bảo mật bộ điều khiển SDN. Ngoài ra, cần có thêm nghiên cứu về việc triển khai SDN trong các môi trường thực tế, và đánh giá hiệu quả của các giải pháp an ninh SDN trong các môi trường này.

11/09/2025

Trích đoạn nội dung tài liệu

Chương 1: Giới thiệu về công nghệ mạng lập trình duge — SDN Chương này sẽ cung cấp các kiến thức cơ bản về công nghệ mạng lập trình dược (SDN), giao thức Openflow và các bản tin trao đổi trong hệ thống mạng sứ dựng OperiFlow. > Chương 2: Thực trạng hệ thông mạng của nhả cung cấp dịch vụ Internet (ISP) tại Việt Nam Chương này dưa ra thực trạng vẻ hệ thông mạng chung của các nhà cung cấp dịch vụ Internet tại Việt Nam với đại điện là VDC Online [21], phân tích các trường hợp tân công DDOS về băng thông thực tế đã gặp phải. Chương cũng đưa ra mô hình để xuất triển khai OpenFlow Switeh kết hợp với hệ thông hiện tại tại VDƠ Ônhne > Chương 3: Xây dựng hệ thống thí nghiệm Cương này sẽ đưa ra sơ đỏ hệ thông mạng thử nghiệm đừng OperiFlow đã được xây dựng tại phòng thí nghiệm Future Internet tai Dai hoc Bach Khoa Ha Nội, các thành phản, các khối chức năng của hệ thông, Lain vin thac sf Nghién cim an ninh mang si dung kỹ thuật điển khiển bằng phan mém SIN ne dem Iai. Cac tap doan lớn như Œoogle, HP đã bắt dầu sử dụng kién tric SDN trong, mạng lõi của mình Với kinh nghiệm bản thân đã từng lảm việc tại 3 nhà cung cấp địch vụ viễn thông (Tnternet Service Provider — ISP) lớn nhất Việt Nam, người làm đỗ án đã tiếp xúc vai tảng chục cuộc tấn công từ Talemet mỗi tháng.

Việc phân tích và phát hì sự CỔ tân công là van để quan trọng cững như then chốt của mỗi ISP nhăm đâm bảo toản bộ tiệ thống được vận hãnh an toàn ôn định nhất cũng như giảm thiểu rủi ro cho khách hàng dễ từ đó có những phương án phòng tránh hiệu quả nhất. Chính vì vậy, em đã lựa chọn dễ tải luân văn thạc sỹ viết vẻ vẫn dể nóng bồng nhất hiện nay với cách xử lý hoàn toàn mới (t nhất là mới tại Việt Nam): “Nghiên cứu an ninh mạng sử dụng kỹ thuật điểu khiển hằng phần mềm SDN”. Trong quá trình thực hiện, do hạn chế về mặt thời gian cũng như kiển thức, nên đề tài không thế tránh khối những thiếu sói. Pm rất trong nhậu được sự đóng gớp của thây cô vá các bạn dễ dễ tài dược hoản thiện hơn Em xin trân trọng cảm ơn các thấy, cỏ trường Đại học Bách Khoa Hà Nội, Viện Điện Tử Viên Thông, Viện Đảơ Tạo Sau Đại Học đã giúp đỡ em rất nhiều trong suốt quá trinh học cao học.

Em xin chân thánh cảm ơn Tiền sỹ Trương Thu Hương đã trực tiếp hướng dẫn em thực hiện thành công để tải nghiên cửu này. Xin câm ơn các anh, em trong Futtre Network Lab 618 thư viện Tạ Quang Bứu đã hỗ trợ tôi rất nhiều trong việc xảy đựng hệ thống test cũng như các công cụ mồ phông, thí nghiệm. Xin căm gn Trung tâm dich vy Giả trị gia ting cdng ty Điện toán và truyền số liệu VDC va Céng ty Viettel IDC đã cmg cấp cho tôi một số đử liệu đề làm cơ sở thực tế áp dụng vao dé tai. Lain vin thac sf Nghién cim an ninh mang si dung kỹ thuật điển khiển bằng phan mém SIN ne dem Iai.

Cac tap doan lớn như Œoogle, HP đã bắt dầu sử dụng kién tric SDN trong, mạng lõi của mình Với kinh nghiệm bản thân đã từng lảm việc tại 3 nhà cung cấp địch vụ viễn thông (Tnternet Service Provider — ISP) lớn nhất Việt Nam, người làm đỗ án đã tiếp xúc vai tảng chục cuộc tấn công từ Talemet mỗi tháng. Việc phân tích và phát hì sự CỔ tân công là van để quan trọng cững như then chốt của mỗi ISP nhăm đâm bảo toản bộ tiệ thống được vận hãnh an toàn ôn định nhất cũng như giảm thiểu rủi ro cho khách hàng dễ từ đó có những phương án phòng tránh hiệu quả nhất. Chính vì vậy, em đã lựa chọn dễ tải luân văn thạc sỹ viết vẻ vẫn dể nóng bồng nhất hiện nay với cách xử lý hoàn toàn mới (t nhất là mới tại Việt Nam): “Nghiên cứu an ninh mạng sử dụng kỹ thuật điểu khiển hằng phần mềm SDN”. Trong quá trình thực hiện, do hạn chế về mặt thời gian cũng như kiển thức, nên đề tài không thế tránh khối những thiếu sói.

Pm rất trong nhậu được sự đóng gớp của thây cô vá các bạn dễ dễ tài dược hoản thiện hơn Em xin trân trọng cảm ơn các thấy, cỏ trường Đại học Bách Khoa Hà Nội, Viện Điện Tử Viên Thông, Viện Đảơ Tạo Sau Đại Học đã giúp đỡ em rất nhiều trong suốt quá trinh học cao học. Em xin chân thánh cảm ơn Tiền sỹ Trương Thu Hương đã trực tiếp hướng dẫn em thực hiện thành công để tải nghiên cửu này. Xin câm ơn các anh, em trong Futtre Network Lab 618 thư viện Tạ Quang Bứu đã hỗ trợ tôi rất nhiều trong việc xảy đựng hệ thống test cũng như các công cụ mồ phông, thí nghiệm. Xin căm gn Trung tâm dich vy Giả trị gia ting cdng ty Điện toán và truyền số liệu VDC va Céng ty Viettel IDC đã cmg cấp cho tôi một số đử liệu đề làm cơ sở thực tế áp dụng vao dé tai.

Lain vin thac sf Nghién cim an ninh mang si dung kỹ thuật điển khiển bằng phan mém SIN LOT NOT DAT Trong thời đại bằng nỗ về thông tín hiện nay, ta có thể bắt gặp tại bất cứ doanh nghiệp lớn nhỏ nào một hệ thông truyền tin với đây đủ các yêu tổ cơ bản cầu thành một hệ thắng mạng. Đặc biệt, tại các nhà cung cập, hệ thông mạng có thể lên tới hàng trăm, tảng nghìn thiết bị với gác mồ hình kết nổi từ đơn giên tới phúc tạp. Những cho đủ hệ thông có phúc tạp tới đâu, thì mục đích cuỗi cùng vẫn là đảm bảo chức năng truyền tin. Trhanh nhất và an toàn nhất Nói tới vấn để bảo mật cũng là nói tới vẫn đề cốt lõi, được quan tâm nhất trong lĩnh vực thông tín hiện nay.

Kiến trúc ruang truyền thông đang ngày cảng trở nên không phủ hợp với nhu cầu kinh doanh của các doanh nghiệp, nhả khai thác mạng cũng như người đừng cuêi. Các nhà nghiên cứu đã đưa ra một khái niệm hoàn toàn mới vẻ lĩnh. vực điều khiển mạng, đó là SN — Soflware Define Network — Mang lap tinh duce. Mang lập trình được hay SDN, là một kiến trúc mạng mới, mà ở đó, các thiết bi chuyển mạch (Switch, Router .) sé duge tach ra lam hai phần riêng biệt: Mặt phẳng điều khiển (Control Plane) và Mặt phẳng dữ su (Data Plane).

Control Plane duoc triển. khai trên các server bên ngơặi, chịu Irách nhiệm chiêu khiển việc chư tiếp gói lin cũng như các chức năng tích hợp khác. Data Plane thực hiện việc chuyển tiếp các gói tin đựa theo lệnh mà Control Plane đưa ra. SDN sử dựng giao thức Openflow để giao tiếp giữa Control Plane va Data Plane.

Openflow được bắt đâu phát triển từ năm 2008 tại Đại học Stanford, California, My. Với sự ra đời của Openllow, việc trao dỗi giữa Control Plane va Data Plane dã trổ lên để đảng, thuận tiện và chính xác hơn Nhờ đó, SDN đã bắt đản được áp dụng đề thay thể cho các kiến trúc mạng thông thường. Thực tê hiện nay SDN đã được triển khai tại rất nhiều phỏng Lab ở các trường dại học, các trung tâm nghiên cửu do các ưu thẻ mà Lain vin thac sf Nghién cim an ninh mang si dung kỹ thuật điển khiển bằng phan mém SIN 3.1 Mục đích và phương thức hoạt động 36 3.2 Khôi chức năng GetStats. S11 HH n1 xe 1 BB 3.3 Khối chức năng Bandwidth Calculation.4 Khói chức năng Flow Modilicstien 40 3.5 Cài đặt và sử dụng, 41 3.1 Giới thiệu tổng quan.

sexy S11 HH n1 xe wee AL 3.2 Cai đặt và sử đụng.41 3 4 Cầu hình hệ thống thử nghiệm 44 3.1 Cầu bình OpenvSwitch 44 3.2 Câu hình POX Controller và thực hiện kết nổi tới OpenvSwiteh. wT CHƯƠNG 4. KỊCH BAN THI NGHTEM, PANH GTA KAT QUÁ 48 4.1 Kịch bản thí nghiệm 48 2.1 Kịch bản thí nghiệm.2 Công cụ sử dụng.2 Mô phông tấn công.1 Giả lập hệ thông hoạt động tốt 51 4.2 Giả lập tân công server 52 4.3 Xử lý tân công. sexy S11 HH n1 xe .3 Đánh giá kết quả.

sexy S11 HH n1 xe 55 4.1 Nhận xét, đánh giá: 35 4.2 Hướng phát triển hệ thông: 35 4. "— "— §7 TAI LIRU THAM KHẢO 59 Lain vin thac sf Nghién cim an ninh mang si dung kỹ thuật điển khiển bằng phan mém SIN 3.1 Mục đích và phương thức hoạt động 36 3.2 Khôi chức năng GetStats. S11 HH n1 xe 1 BB 3.3 Khối chức năng Bandwidth Calculation.4 Khói chức năng Flow Modilicstien 40 3.5 Cài đặt và sử dụng, 41 3.1 Giới thiệu tổng quan. sexy S11 HH n1 xe wee AL 3.2 Cai đặt và sử đụng.41 3 4 Cầu hình hệ thống thử nghiệm 44 3.1 Cầu bình OpenvSwitch 44 3.2 Câu hình POX Controller và thực hiện kết nổi tới OpenvSwiteh.

wT CHƯƠNG 4. KỊCH BAN THI NGHTEM, PANH GTA KAT QUÁ 48 4.1 Kịch bản thí nghiệm 48 2.1 Kịch bản thí nghiệm.2 Công cụ sử dụng.2 Mô phông tấn công.1 Giả lập hệ thông hoạt động tốt 51 4.2 Giả lập tân công server 52 4.3 Xử lý tân công. sexy S11 HH n1 xe .3 Đánh giá kết quả. sexy S11 HH n1 xe 55 4.1 Nhận xét, đánh giá: 35 4.2 Hướng phát triển hệ thông: 35 4.

"— "— §7 TAI LIRU THAM KHẢO 59 Lain vin thac sf Nghién cim an ninh mang si dung kỹ thuật điển khiển bằng phan mém SIN DANH SÁCH HÌNH VẼ Llinh 1.1 Kiến trúc cúa SDN.2 Cầu trúc 8witeh truyền thống 14 Hình 1.3 Cầu trúc Openflow Switch 15 Hình 1.4 Kiến trúc QpenflOW. nhung me gui ree „16 Hình 1.5 Các bản tin sử dựng để thang ké va gửi lệnh từ POX xuống OpenvSiich.6 Luu 4 thuật toán tổng quan của trình ứng dụng trên Contrlle " Hình 1.7 Cầu tric ban tin StatisticR equest-Flow, Llinh 1.8 Céu tric ban tin Statistick esponse — low.9 Cấu trúc trudng match trong bin tin StalisticResponse Hình 1.10 Cầu tric ban tin FlowMod Hinh2.1 So dé téng quat bé théng mang ca VDC Online. băng thông hệ thông bằng Caeli (Nguồn: |18]) TĨỉnh 2. Giám sát trạng thái hệ thống bằng5 Napics (nghện: Viettel1n 26 voc Onlin) sen .30 ñ bắt gói tin khi xây ra lẫn công 31 8 thang 48 xuat cho ISP.

32 đôi hệ thống thứ nghiệm. Hee we BS Tình 3.3 1a đề thuật toán của khôi chite néng Get Stats.3 Luu dỏ thuật toàn của khỏi chức năng Bandwidth Calculation. we BD Hình 3.4 Taru để thuật Loán của khối chức năng Flow Modification 40 Ilinh 3.2 Flow-table trong Openv Switch.1 Mô hình thí nghiệm phân tích đỡ liệu chay qua hệ thông Hình 4. Sơ đỏ bỏ trí thí nghiệm ththực tế Hình 4.

Nội dung được bảo vệ bản quyền — Tải xuống đầy đủ