Mô Hình Hóa và Chống Tấn Công Từ Chối Dịch Vụ Tốc Độ Thấp Vào Giao Thức TCP

Tìm hiểu về mô hình hóa và các phương pháp chống tấn công từ chối dịch vụ tốc độ thấp (LDDoS) vào giao thức TCP. Luận án chuyên sâu về an ninh mạng.

Người đăng

Ẩn danh

Thể loại

Luận Án Tiến Sĩ

2024

235
3
0

Phí lưu trữ

55 Point

Mục lục chi tiết

LỜI CAM ĐOAN

LỜI CẢM ƠN

MỞ ĐẦU

1. CHƯƠNG 1: TỔNG QUAN VỀ TẤN CÔNG TỪ CHỐI DỊCH VỤ PHÂN TÁN VÀ TẤN CÔNG TỪ CHỐI DỊCH VỤ PHÂN TÁN TỐC ĐỘ THẤP

1.1. Tấn công từ chối dịch vụ phân tán

1.1.1. Khái niệm tấn công từ chối dịch vụ và tấn công từ chối dịch vụ phân tán

1.1.2. Nguồn gốc của tấn công từ chối dịch vụ phân tán

1.1.3. Khó khăn và thách thức trong chống tấn công từ chối dịch vụ phân tán

1.2. Tấn công từ chối dịch vụ phân tán tốc độ thấp

1.2.1. Khái niệm tấn công từ chối dịch vụ phân tán tốc độ thấp

1.2.2. Cơ chế điều khiển tắc nghẽn của giao thức TCP

1.2.3. Mô hình lưu lượng của tấn công từ chối dịch vụ phân tán tốc độ thấp

1.2.4. Phát hiện và chống tấn công từ chối dịch vụ phân tán tốc độ thấp

1.2.5. Mô hình phân tích của tấn công từ chối dịch vụ phân tán tốc độ thấp

2. CHƯƠNG 2: THÔNG LƯỢNG TCP TRONG ĐIỀU KIỆN CÓ TẤN CÔNG TỪ CHỐI DỊCH VỤ PHÂN TÁN TỐC ĐỘ THẤP

2.1. Mô hình mạng và các giả thiết

2.2. Một dòng TCP sử dụng báo nhận tức thời

2.2.1. Kích thước cửa sổ tắc nghẽn không bị chia đôi trước khi TCP rơi vào trạng thái chờ phát lại gói tin

2.2.2. Kích thước cửa sổ tắc nghẽn bị chia đôi trước khi TCP rơi vào trạng thái chờ phát lại gói tin

2.2.3. Các kết quả mô phỏng

2.3. Nhiều dòng TCP đồng nhất sử dụng báo nhận tức thời

2.3.1. Kích thước cửa sổ tắc nghẽn không bị chia đôi trước khi TCP rơi vào trạng thái chờ phát lại gói tin

2.3.2. Kích thước cửa sổ tắc nghẽn bị chia đôi trước khi TCP rơi vào trạng thái chờ phát lại gói tin

2.3.3. Hiện tượng bất đối xứng của tiến trình kích thước cửa sổ tắc nghẽn

2.3.4. Các kết quả mô phỏng

2.4. Một hoặc nhiều dòng TCP đồng nhất sử dụng báo nhận trễ

2.4.1. Kích thước cửa sổ tắc nghẽn không bị chia đôi trước khi TCP rơi vào trạng thái chờ phát lại gói tin

2.4.2. Kích thước cửa sổ tắc nghẽn bị chia đôi trước khi TCP rơi vào trạng thái chờ phát lại gói tin

2.4.3. Các kết quả mô phỏng

2.5. So sánh phương pháp ước lượng đề xuất với các phương pháp khác

3. CHƯƠNG 3: CHỐNG TẤN CÔNG TỪ CHỐI DỊCH VỤ PHÂN TÁN TỐC ĐỘ THẤP

3.1. Thuật toán quản lý hàng đợi tích cực Phát hiện sớm ngẫu nhiên

3.2. Tiếp cận dựa trên độ đo tỉ lệ tham gia tắc nghẽn mạng

3.2.1. Khảo sát giá trị độ đo tỉ lệ tham gia tắc nghẽn mạng của các dòng gói tin

3.2.2. Hiệu năng của tiếp cận dựa trên độ đo tỉ lệ tham gia tắc nghẽn mạng

3.2.3. Ảnh hưởng của tiếp cận đối với sự công bằng của các kết nối TCP

3.3. Phương pháp thích ứng ngưỡng

3.3.1. Sự hội tụ giá trị độ đo của các dòng tấn công

3.3.2. Tỉ lệ lấy mẫu tắc nghẽn của liên kết

3.3.3. Phương pháp thích ứng ngưỡng

3.3.4. Đánh giá mô phỏng

3.3.4.1. Sự thích ứng ngưỡng
3.3.4.2. Hiệu năng của tiếp cận với ngưỡng thích nghi

4. CHƯƠNG 4: TĂNG CƯỜNG HIỆU NĂNG CỦA TIẾP CẬN DỰA TRÊN ĐỘ ĐO TỈ LỆ THAM GIA TẮC NGHẼN MẠNG

4.1. Vấn đề của độ đo cũ và đề xuất độ đo mới

4.2. Các kết quả mô phỏng

4.2.1. Khảo sát giá trị độ đo mới của các dòng TCP trong điều kiện bình thường

4.2.2. Phân biệt các dòng TCP với các dòng tấn công dựa trên độ đo mới

4.2.3. So sánh hiệu năng của tiếp cận dựa trên độ đo mới với tiếp cận ban đầu

DANH SÁCH CÁC CÔNG TRÌNH KHOA HỌC CỦA LUẬN ÁN

TÀI LIỆU THAM KHẢO

Tóm tắt

I. LDDoS và TCP Tổng Quan Về Tấn Công Phòng Thủ Mạng

Tấn công từ chối dịch vụ tốc độ thấp (LDDoS) đang trở thành một mối đe dọa lớn đối với an ninh mạng. Khác với tấn công DDoS truyền thống, LDDoS sử dụng lưu lượng thấp, gây khó khăn cho việc phát hiện và giảm thiểu. Giao thức TCP, nền tảng của nhiều ứng dụng trực tuyến, đặc biệt dễ bị tổn thương bởi Low-rate Denial-of-Service attacks. Luận án tiến sĩ này tập trung vào việc mô hình hóa các cuộc tấn công LDDoS và phát triển các defense mechanisms hiệu quả để bảo vệ giao thức TCP. Các kết quả nghiên cứu sẽ góp phần nâng cao network security và giảm thiểu thiệt hại do cybersecurity threats gây ra. Nghiên cứu này cũng sẽ xem xét các TCP protocol vulnerabilities và đề xuất các giải pháp mitigation strategies.

1.1. Khái niệm và Đặc điểm của Tấn công LDDoS

Tấn công LDDoS là một dạng DoS attack đặc biệt, sử dụng lưu lượng mạng thấp để làm cạn kiệt tài nguyên của máy chủ. Thay vì tạo ra một lượng lớn yêu cầu như DDoS, LDDoS khai thác các điểm yếu trong giao thức TCP, làm chậm quá trình xử lý và gây ra resource exhaustion. Một trong những đặc điểm nổi bật của LDDoS là tính khó phát hiện do lưu lượng thấp, lẫn vào lưu lượng hợp pháp. Do đó, các phương pháp anomaly detection truyền thống thường không hiệu quả.

1.2. Giao thức TCP và Tính dễ bị Tấn công LDDoS

Giao thức TCP, với cơ chế bắt tay ba bước (three-way handshake) và điều khiển tắc nghẽn (congestion control), có những điểm yếu có thể bị khai thác bởi LDDoS attack mitigation. Tấn công có thể làm chậm quá trình thiết lập kết nối, gây ra trễ hoặc thậm chí làm gián đoạn dịch vụ. Cơ chế điều khiển tắc nghẽn cũng có thể bị lợi dụng để giảm băng thông của các kết nối hợp pháp. Nghiên cứu này sẽ đi sâu vào các TCP congestion control algorithms và đánh giá mức độ dễ bị tổn thương của chúng.

II. Phân Tích Nguy Cơ TCP Dễ Bị Tấn Công LDDoS Ra Sao

Giao thức TCP, mặc dù mạnh mẽ và đáng tin cậy, vẫn tồn tại nhiều lỗ hổng có thể bị khai thác bởi các cuộc tấn công LDDoS. Các cuộc tấn công này nhắm vào các giai đoạn khác nhau của kết nối TCP, từ khởi tạo đến truyền dữ liệu, gây ra network performance degradation và làm gián đoạn dịch vụ. Hiểu rõ các nguy cơ tiềm ẩn là bước quan trọng để phát triển các biện pháp phòng thủ hiệu quả. Luận án sẽ tập trung vào việc phân tích chi tiết các TCP protocol vulnerabilities và các attack vector được sử dụng trong tấn công LDDoS.

2.1. Tấn công TCP SYN Flood và Các Biến Thể LDDoS

TCP SYN flood là một trong những hình thức tấn công phổ biến nhất, khai thác quá trình bắt tay ba bước của TCP. Kẻ tấn công gửi một loạt các gói SYN đến máy chủ, nhưng không hoàn thành quá trình bắt tay, làm cạn kiệt tài nguyên của máy chủ và ngăn chặn các kết nối hợp pháp. LDDoS có thể thực hiện các biến thể của SYN flood với tốc độ thấp hơn, gây khó khăn cho việc phát hiện và giảm thiểu.

2.2. Tấn công HTTP Flood và Application Layer Attacks

Ngoài tấn công SYN flood, LDDoS còn có thể nhắm vào lớp ứng dụng, chẳng hạn như HTTP flood. Kẻ tấn công gửi một lượng lớn các yêu cầu HTTP đến máy chủ, làm quá tải hệ thống và gây ra resource exhaustion. Các application layer attacks này thường khó phát hiện hơn so với các tấn công ở lớp mạng, đòi hỏi các phương pháp phân tích lưu lượng sâu sắc hơn.

2.3. Khó khăn và Thách thức trong Chống Tấn công LDDoS

Việc chống lại LDDoS attack mitigation đặt ra nhiều thách thức lớn. Lưu lượng tấn công thường lẫn vào lưu lượng hợp pháp, gây khó khăn cho việc phân biệt. Các phương pháp phát hiện truyền thống có thể không hiệu quả do tốc độ tấn công thấp. Hơn nữa, việc giảm thiểu tấn công có thể ảnh hưởng đến hiệu suất của các kết nối hợp pháp. Luận án sẽ đề xuất các giải pháp mới để giải quyết những thách thức này.

III. Phương Pháp Mô Hình Hóa Tấn Công LDDoS Để Phân Tích Hiệu Quả

Để hiểu rõ hơn về tác động của LDDoS và đánh giá hiệu quả của các biện pháp phòng thủ, việc mô hình hóa các cuộc tấn công là rất quan trọng. Network simulation cho phép các nhà nghiên cứu tạo ra các môi trường mạng ảo, mô phỏng các cuộc tấn công và thử nghiệm các giải pháp phòng thủ. Mô hình hóa cũng giúp xác định các tham số quan trọng ảnh hưởng đến hiệu quả của tấn công và phòng thủ. Luận án sẽ trình bày một phương pháp mô hình hóa chi tiết các cuộc tấn công LDDoS vào giao thức TCP.

3.1. Xây dựng Mô hình Lưu lượng Tấn công LDDoS Thực Tế

Một mô hình lưu lượng tấn công chính xác là rất quan trọng để mô hình hóa hiệu quả LDDoS. Mô hình cần phản ánh các đặc điểm của tấn công, chẳng hạn như tốc độ, thời gian tấn công và số lượng kẻ tấn công. Luận án sẽ đề xuất một mô hình lưu lượng tấn công dựa trên các nghiên cứu thực nghiệm và phân tích thống kê.

3.2. Sử dụng Công cụ Mô Phỏng Mạng Để Nghiên Cứu LDDoS

Các công cụ network simulation, chẳng hạn như NS-2 hoặc NS-3, cung cấp một nền tảng mạnh mẽ để mô phỏng các cuộc tấn công LDDoS và đánh giá hiệu quả của các giải pháp phòng thủ. Các công cụ này cho phép các nhà nghiên cứu tạo ra các mô hình mạng phức tạp, mô phỏng lưu lượng mạng và thu thập dữ liệu về hiệu suất mạng. Luận án sẽ sử dụng một công cụ network simulation để thực hiện các thí nghiệm và đánh giá các giải pháp phòng thủ.

3.3. Đánh Giá Thông Lượng TCP Trong Điều Kiện Tấn Công LDDoS

Một trong những mục tiêu quan trọng của nghiên cứu là đánh giá tác động của LDDoS đến Network performance của giao thức TCP. Thông lượng TCP (TCP throughput) là một chỉ số quan trọng để đánh giá hiệu quả của mạng. Luận án sẽ trình bày các kết quả mô phỏng về thông lượng TCP trong điều kiện có tấn công LDDoS, sử dụng các mô hình khác nhau về lưu lượng tấn công và cấu hình mạng.

IV. Giải Pháp Chống LDDoS Tiếp Cận Mới Dựa Trên Anomaly Detection

Việc chống lại tấn công LDDoS đòi hỏi các giải pháp defense mechanisms thông minh, có khả năng phát hiện và giảm thiểu tấn công một cách hiệu quả. Luận án này tập trung vào việc phát triển các giải pháp dựa trên anomaly detection, tức là phát hiện các hành vi bất thường trong lưu lượng mạng. Các giải pháp này sử dụng các kỹ thuật như machine learning for DDoS detection để phân tích lưu lượng mạng và xác định các dấu hiệu của tấn công LDDoS attack mitigation.

4.1. Ứng Dụng Machine Learning để Phát Hiện Tấn Công LDDoS

Machine learning for DDoS detection cung cấp một công cụ mạnh mẽ để phát hiện các cuộc tấn công LDDoS. Các thuật toán machine learning có thể được huấn luyện để nhận biết các mẫu lưu lượng bất thường, giúp phát hiện các cuộc tấn công ngay cả khi chúng được thực hiện với tốc độ thấp. Luận án sẽ trình bày các kết quả nghiên cứu về việc sử dụng các thuật toán machine learning khác nhau để phát hiện tấn công LDDoS.

4.2. Phân Tích Hành Vi Mạng Behavioral Analysis để Xác Định Tấn Công

Behavioral analysis là một kỹ thuật quan trọng để phát hiện các cuộc tấn công LDDoS. Bằng cách phân tích hành vi của các kết nối mạng, có thể xác định các kết nối có dấu hiệu tấn công. Ví dụ, một kết nối gửi một lượng lớn các yêu cầu đến một máy chủ trong một khoảng thời gian ngắn có thể là một dấu hiệu của tấn công. Luận án sẽ đề xuất các phương pháp behavioral analysis để phát hiện tấn công LDDoS.

4.3. Đánh Giá Độ Chính Xác và Tỉ Lệ False Positive Của Giải Pháp

Một yếu tố quan trọng khi đánh giá các giải pháp chống LDDoSDetection accuracyFalse positive rate. Một giải pháp hiệu quả cần có độ chính xác cao, tức là phát hiện được hầu hết các cuộc tấn công, đồng thời có tỉ lệ false positive thấp, tức là không nhầm lẫn các kết nối hợp pháp là tấn công. Luận án sẽ trình bày các kết quả đánh giá về độ chính xác và tỉ lệ false positive của các giải pháp đề xuất.

V. Ứng Dụng Thực Tế và Kết Quả Nghiên Cứu Chống Tấn Công LDDoS

Nghiên cứu này không chỉ tập trung vào lý thuyết mà còn hướng đến việc ứng dụng các kết quả vào thực tế. Các giải pháp phòng thủ LDDoS attack prevention được đề xuất trong luận án có thể được triển khai trong các hệ thống mạng thực tế để bảo vệ các máy chủ và dịch vụ khỏi các cuộc tấn công. Luận án cũng trình bày các kết quả thử nghiệm thực tế về hiệu quả của các giải pháp này. Các ứng dụng của defense architecture cũng được chú trọng triển khai.

5.1. Triển Khai Giải Pháp Chống LDDoS Trong Môi Trường Mạng Thực Tế

Để chứng minh tính khả thi của các giải pháp đề xuất, luận án sẽ trình bày các kết quả về việc triển khai các giải pháp này trong một môi trường mạng thực tế. Các thử nghiệm sẽ được thực hiện để đánh giá hiệu quả của các giải pháp trong việc bảo vệ các máy chủ và dịch vụ khỏi các cuộc tấn công LDDoS. Việc DDoS attack response cũng cần phải được thực hiện nhanh chóng và hiệu quả.

5.2. Đánh Giá Hiệu Quả Của Giải Pháp Trong Môi Trường Đám Mây

Môi trường đám mây đang ngày càng trở nên phổ biến, và việc bảo vệ các dịch vụ đám mây khỏi các cuộc tấn công LDDoS là rất quan trọng. Luận án sẽ đánh giá hiệu quả của các giải pháp đề xuất trong một môi trường đám mây, sử dụng các công cụ và kỹ thuật khác nhau để mô phỏng và đánh giá các cuộc tấn công. DDoS attack classification cũng là một công việc quan trọng để có những giải pháp phòng thủ đúng đắn.

VI. Kết Luận Hướng Nghiên Cứu Tương Lai Về Phòng Thủ LDDoS

Luận án tiến sĩ này đã trình bày một nghiên cứu toàn diện về mô hình hóa và chống tấn công LDDoS vào giao thức TCP. Nghiên cứu đã xác định các nguy cơ tiềm ẩn, đề xuất các giải pháp phòng thủ hiệu quả và đánh giá hiệu quả của các giải pháp này trong môi trường mô phỏng và thực tế. Các kết quả nghiên cứu này sẽ góp phần vào sự phát triển của các hệ thống mạng an toàn và đáng tin cậy hơn. Việc DDoS attack characterization vẫn cần được nghiên cứu chuyên sâu để có thể đưa ra được những biện pháp phòng thủ tốt nhất.

6.1. Tổng Kết Các Đóng Góp Chính Của Luận Án

Luận án đã đóng góp vào lĩnh vực nghiên cứu an ninh mạng bằng cách đề xuất các mô hình mới để mô hình hóa các cuộc tấn công LDDoS, phát triển các giải pháp dựa trên anomaly detection để phát hiện và giảm thiểu tấn công, và đánh giá hiệu quả của các giải pháp này trong môi trường mô phỏng và thực tế. Các đóng góp này có thể được sử dụng để xây dựng các hệ thống mạng an toàn và đáng tin cậy hơn.

6.2. Các Hướng Nghiên Cứu Tương Lai Về Phòng Chống Tấn Công LDDoS

Mặc dù đã có những tiến bộ đáng kể trong việc chống lại LDDoS, vẫn còn nhiều vấn đề cần được giải quyết. Các hướng nghiên cứu tương lai có thể tập trung vào việc phát triển các giải pháp real-time detection hiệu quả hơn, giảm false positive rate, và bảo vệ các dịch vụ đám mây khỏi các cuộc tấn công. Các thesis topic suggestions cũng bao gồm việc nghiên cứu các kỹ thuật deep learning for DDoS detection.

15/05/2025

Trích đoạn nội dung tài liệu

Chương 1 trình bày tổng quan về tấn công từ chối dịch vụ phân tán DDoS và tấn công từ chối dịch vụ phân tán tốc độ thấp LDDoS. • Chương 2 trình bày phương pháp mới ước lượng thông lượng TCP trong điều kiện có tấn công LDDoS. • Chương 3 phân tích tiếp cận dựa trên độ đo CPR để chống tấn công LDDoS, trên cơ sở đó đề xuất cơ chế thay đổi ngưỡng CPR theo thời gian. • Chương 4 thảo luận và làm rõ các vấn đề hiện tại của tiếp cận dựa trên độ đo CPR và đề xuất độ đo CIR mới để bảo vệ thông lượng TCP tốt hơn khi có tấn công xảy ra.

5 Chương 1 Tổng quan về tấn công từ chối dịch vụ phân tán và tấn công từ chối dịch vụ phân tán tốc độ thấp Chương này trình bày những kiến thức chung và tổng quát về hai nội dung đó là tấn công từ chối dịch vụ phân tán (DDoS) và tấn công từ chối dịch vụ phân tán tốc độ thấp (LDDoS). Về nội dung thứ nhất, luận án trình bày lại các khái niệm tấn công từ chối dịch vụ (DoS) và tấn công từ chối dịch vụ phân tán (DDoS), tiếp theo luận án trình bày về nguồn gốc của DDoS và sau đó thảo luận về những khó khăn và thách thức chính trong chống tấn công DDoS. Với nội dung thứ hai, luận án đưa ra khái niệm tấn công LDDoS, sau đó trình bày mô hình điều khiển tắc nghẽn của giao thức TCP, rộng hơn và bao gồm cả cơ chế chờ phát lại gói tin vốn là mục tiêu của các tấn công LDDoS. Nội dung tiếp theo trình bày mô hình lưu lượng và các cơ chế phát hiện và chống tấn công LDDoS, phần cuối cùng giới thiệu một số mô hình phân tích đã có của các tấn công LDDoS.1 Tấn công từ chối dịch vụ phân tán 1.1 Khái niệm tấn công từ chối dịch vụ và tấn công từ chối dịch vụ phân tán Tấn công từ chối dịch vụ DoS (denial-of-service attack) là một hành động nhằm ngăn chặn hoặc làm suy yếu việc sử dụng hợp pháp mạng cũng như các hệ thống máy tính, các ứng dụng bằng cách làm cạn kiệt các tài nguyên như bộ xử lý trung tâm CPU, băng thông, bộ nhớ trong, không gian đĩa cứng (theo [9]).

Nếu có nhiều máy tính tham gia vào tấn công thì nó được gọi là tấn công từ chối dịch vụ phân tán DDoS (distributed denial-of-service attack). Một số tấn công DDoS điển hình: (1) Tấn công DDoS truyền thống sử dụng một mạng lưới lên đến hàng trăm nghìn máy tính tham gia, mỗi máy tính phát gói tin nhanh nhất có thể đến một mục tiêu trên mạng nhằm làm cạn kiệt băng thông của 6 đường truyền kết nối đến hệ thống mục tiêu. Nó khai thác cơ chế bắt tay ba bước (three-way handshake) của TCP trong việc khởi tạo một kết nối với mục đích xấu là làm đầy nội dung bảng thông tin các kết nối trên máy chủ, làm cho các máy tính thông thường không thể kết nối đến máy chủ nữa. (3) Tấn công quảng bá có hướng ICMP hay còn gọi là tấn công “smurf ” [1] [12] sử dụng gói tin quảng bá có hướng, với địa chỉ nguồn giả mạo là địa chỉ của nạn nhân, gửi đến một mạng ở xa, sau đó mỗi máy tính trong mạng ở xa đó nhận được một bản sao chép của gói tin quảng bá và gửi gói tin trả lời về địa chỉ của máy nạn nhân dẫn đến nạn nhân bị choáng ngợp và phải xử lý một số lượng gói tin lớn.

(4) Tấn công phản xạ dựa trên hệ thống tên miền DNS [13] sử dụng các điểm yếu trong nguyên lý hoạt động của hệ thống tên miền để tạo ra một số lượng lớn gói tin gửi đến nạn nhân. Tấn công DDoS là một loại tấn công mạng với mục đích gây ra từ chối hoặc suy giảm dịch vụ đối với người dùng bình thường. Các dịch vụ mà DDoS nhắm tới rất đa dạng có thể kể đến như là dịch vụ truyền tệp tin FTP, dịch vụ web, dịch vụ tên miền DNS, các ứng dụng như GitHub v. Tấn công DDoS có thể lợi dụng các máy chủ cung cấp dịch vụ như DNS, CLDAP, SMTP để trung chuyển và khuếch đại lưu lượng tấn công cũng như che dấu các máy tính tấn công.

Các cuộc tấn công DDoS với số lượng, quy mô và cường độ ngày càng tăng cho thấy mức độ nguy hiểm leo thang của loại hình tấn công này (xem phụ lục A.3 về các sự kiện tấn công DDoS gần đây).2 Nguồn gốc của tấn công từ chối dịch vụ phân tán Mạng Internet đã được xây dựng cách đây vài thập kỷ và đã trở nên phổ biến trên toàn thế giới. Mặc dù hiệu năng của mạng Internet dưới dạng thời gian trễ mạng, thông lượng, hiện tượng tắc nghẽn mạng đã được cải thiện đáng kể từ khi thành lập, nguyên lý hoạt động của nó vẫn gần như không thay đổi, mạng Internet vẫn hoạt động dựa trên 2 nền tảng: dịch vụ nỗ lực tối đa (best-effort service) và mô hình đầu cuối tới đầu cuối (end-to-end paradigm). Ở trung tâm của mạng Internet, các router chịu trách nhiệm trung chuyển gói tin từ nguồn tới đích. Nguồn và đích là những máy tính cuối, là nơi gói tin được gửi và nhận.

Dịch vụ nỗ lực tối đa có nghĩa là các router trung gian 7 chỉ đơn giản thực hiện nhiệm vụ lưu trữ (storing) và đẩy (forwarding) gói tin đến đích. Tất cả các công việc khác, nổi bật trong đó là điều khiển tắc nghẽn mạng (network congestion control), được dành cho các máy tính cuối. Vì thế mô hình đầu cuối tới đầu cuối, và đặc biệt là điều khiển tắc nghẽn đầu cuối, đóng vai trò quan trọng trong việc tránh và làm dịu bớt tắc nghẽn mạng xảy ra trên Internet. Ở thời điểm hiện tại, TCP vẫn là giao thức vận chuyển chủ yếu trong mạng Internet và do đó cơ chế điều khiển tắc nghẽn của nó chiếm ưu thế trong điều khiển tắc nghẽn đầu cuối.

Nếu không có cơ chế điều khiển tắc nghẽn của giao thức TCP, mạng Internet có thể trở nên tắc nghẽn nghiêm trọng và không thể sử dụng được như thời điểm tháng 10 năm 1986 khi mà nó phải chịu một chuỗi sụp đổ do tắc nghẽn [14]. Tuy nhiên vấn đề vẫn chưa dừng lại ở đây. Nếu một máy tính trở nên độc hại bằng cách gửi gói tin liên tục vào mạng với một tốc độ cao hoặc chỉ đơn giản là không sử dụng cơ chế điều khiển tắc nghẽn [15], nó sẽ làm tổn thương các máy tính khác đang giao tiếp bởi vì một vài tài nguyên như là băng thông mạng, các chu kỳ của bộ xử lý hoặc dung lượng bộ nhớ trên router hay trên máy tính cuối bị cạn kiệt. Trong khi đó, mạng trung gian vẫn truyền các gói tin tới đích một cách thụ động và không làm gì để ngăn chặn lưu lượng mạng từ máy tính độc hại này.

Hiện tượng nổi tiếng này được gọi là tấn công từ chối dịch vụ. Internet có thể đem đến cho chúng ta một cách thức tiện lợi để truy cập thông tin cũng như giao tiếp với nhau nhưng nó cũng mang theo trong kiến trúc chức năng của nó nguồn gốc sâu xa của nguy cơ tấn công DDoS.3 Khó khăn và thách thức trong chống tấn công từ chối dịch vụ phân tán Tấn công từ chối dịch vụ phân tán DDoS là một thách thức lớn đối với sự ổn định và tin cậy của mạng Internet. Các nhà khoa học đã dành nhiều thời gian và công sức vào nghiên cứu phát hiện tấn công (attack detection), truy vết ngược các nguồn tấn công (traceback of attacking sources) cũng như giảm thiểu tác hại và lọc các gói tin tấn công (attack mitigation and filtering) [16–26]. Tuy nhiên, có hai yêu cầu khiến cho việc thiết kế các hệ thống chống tấn công DDoS trở nên khó khăn [27]: 1.

Có khả năng phân loại gói tin. Tấn công DDoS thường bao gồm một số lượng 8 lớn các gói tin thông thường. Chúng trộn lẫn hoàn toàn với một số ít các gói tin được gửi đi từ các máy tính thông thường và không có một sự khác biệt nào trên cơ sở từng gói tin. Để thực hiện việc phân biệt lưu lượng, các hệ thống phòng chống DDoS phải nhóm tất cả các gói tin hướng đến nạn nhân vào các cấu trúc với ngữ nghĩa cao hơn (chẳng hạn như “tất cả lưu lượng trao đổi giữa hai địa chỉ IP”, “tất cả lưu lượng HTTP”, “tất cả lưu lượng xuất phát từ một địa chỉ IP”, v.), sau đó lưu trữ nhiều thông tin thống kê trên các cấu trúc này theo thời gian để phát hiện các giao tiếp với dung lượng lớn hoặc bất thường.

Các gói tin thuộc vào các cấu trúc nghi ngờ sau đó sẽ được kiểm soát, trong khi các gói tin thuộc vào các cấu trúc thể hiện hành vi thông thường sẽ được cho đi qua. Có thể kiểm soát được phần lớn lưu lượng tấn công. Lưu lượng tấn công DDoS được tạo ra từ vô số các máy tính tấn công gọi là zombies, trải rộng trên khắp Internet và chỉ hội tụ ở lân cận với nạn nhân. Hệ thống phòng chống DDoS phải kiểm soát được phần lớn lưu lượng tấn công để giảm nhẹ tác hại của tấn công tác động đến nạn nhân.

Điều này cho thấy nếu hệ thống là một điểm thì nó phải được đặt gần nạn nhân hoặc nếu hệ thống là phân tán thì các nút phòng chống tấn công của nó phải bao phủ phần lớn mạng Internet. Các hệ thống chống tấn công DDoS trong thực tế có thể không đáp ứng được cả hai yêu cầu trên, đặc biệt đối với các hệ thống một điểm và có tính chất độc lập như các cơ chế hỗ trợ router. Để phân biệt lưu lượng một cách chính xác, các router cần một bộ nhớ lớn để phục vụ việc lưu trữ thông tin thống kê.1 Tuy nhiên dung lượng bộ nhớ trên các router rất hạn chế do nhiều nguyên nhân khác nhau [8]. Vì vậy các cơ chế hỗ trợ router chống tấn công DDoS thường đối mặt với vấn đề không đủ bộ nhớ để lưu trữ thông tin của tất cả các dòng gói tin đi qua, đặc biệt đối với các router lõi (core router), nơi có đến hàng triệu dòng gói tin đi qua trong vòng một giờ (theo [2]).

Mặt khác, sự cần thiết của việc kiểm soát phần lớn lưu lượng tấn công lại yêu cầu việc đặt các hệ thống này tại những điểm trung chuyển một lượng lớn gói tin. Hai yêu cầu này thường khó có thể được thỏa mãn nếu là hệ thống một điểm.

Nội dung được bảo vệ bản quyền — Tải xuống đầy đủ

Luận án tiến sĩ "Mô Hình Hóa và Chống Tấn Công Từ Chối Dịch Vụ Tốc Độ Thấp (LDDoS) vào Giao Thức TCP" tập trung vào việc nghiên cứu và xây dựng mô hình tấn công LDDoS, một mối đe dọa ngày càng gia tăng đối với các hệ thống mạng. Điểm mấu chốt của luận án là đề xuất các phương pháp hiệu quả để phát hiện và giảm thiểu tác động của các cuộc tấn công này, vốn rất khó nhận diện do tốc độ truyền tải dữ liệu chậm và ẩn mình. Luận án cung cấp cái nhìn sâu sắc về đặc điểm của tấn công LDDoS, từ đó giúp người đọc hiểu rõ hơn về cách thức hoạt động và cách phòng tránh.

Nếu bạn muốn tìm hiểu thêm về các phương pháp tấn công khác, đặc biệt là tấn công XSS (Cross-Site Scripting), bạn có thể tham khảo Khóa luận tốt nghiệp kỹ thuật phần mềm phương pháp nhận diện ý định tấn công xss dựa vào phân tích cú pháp và phân tích động. Khóa luận này sẽ giúp bạn mở rộng kiến thức về các lỗ hổng bảo mật khác và cách chúng được khai thác.