Kỹ thuật SDN/Openflow có khả năng cung cấp dữ liệu thống kê về đặc tính lưu lượng và có thể lập
trình xử lý lưu lượng theo sự biến thiên của đặc tính ấy. Đặc điểm này phù hợp với quy trình phát hiện
và giảm thiểu tấn công DDoS. Sử dụng khả năng đó, nội dung Chương 2 trình bày 3 giải pháp đề xuất
đối với 3 yêu cầu phòng chống tấn công DDoS khác nhau trong mạng quy mô lưu lượng nhỏ, đó là: (1)
giải pháp phát hiện và giảm thiểu tấn công DDoS bằng mô hình dự đoán làm trơn hàm mũ tham số thống
kê lưu lượng, (2) phát hiện và giảm thiểu tấn công SYN Flood dựa trên cơ chế ủy nhiệm gói tin SYN
tại bộ điều khiển và (3) đánh dấu gói tin PLA DFM phục vụ truy vết nguồn tấn công. Qua phân tích,
đánh giá, so sánh với các giải pháp đã công bố, cho thấy: (1) Các giải pháp đề xuất cho hiệu năng hoạt
động được cải thiện hoặc tương đương với các giải pháp đã được công bố; (2) tận dụng được thông tin
dữ liệu thống kê, cơ chế xử lý lưu lượng của kỹ thuật SDN/Openflow, có thể áp dụng trực tiếp trong
mạng SDN/Openflow chỉ bằng phần mềm ứng dụng trên mặt phẳng điều khiển mà không cần bổ sung
thiết bị, module chuyên dụng. (3) Tuy nhiên, do sử dụng giao diện Openflow để truy vấn thông tin lưu
lượng và cài đặt các mục luồng để giảm thiểu tấn công nên lưu lượng trên giao diện này bị tăng lên dễ
bị nghẽn mạng nhất là khi tấn công DDoS xảy ra. Vì vậy giải pháp phát hiện giảm thiểu tấn công bằng
mô hình dự đoán làm trơn hàm mũ và cơ chế ủy nhiệm gói tin SYN trên bộ điều khiển chỉ phù hợp với
mạng có quy mô lưu lượng nhỏ.
27 trang |
Chia sẻ: honganh20 | Ngày: 21/02/2022 | Lượt xem: 565 | Lượt tải: 0
Bạn đang xem trước 20 trang tài liệu Tóm tắt Luận án Nghiên cứu giải pháp phát hiện và giảm thiểu tấn công từ chối dịch vụ phân tán sử dụng công nghệ SDN, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
ng SDN/Openflow đã được nhiều giải pháp đề xuất ứng dụng trong phòng
chống tấn công DDoS. Cấu trúc và nguyên lý hoạt động chung thể hiện như trong Hình 1.9.
1.5.2. Các kỹ thuật phát hiện tấn công
a). Nguồn thông tin lưu lượng đầu vào: Là cơ sở quan trọng để xác định có tấn công xảy ra hay không
hoặc phân biệt giữa lưu lượng tấn công và lưu lượng lành tính. Có hai nhóm:
• Sử dụng thông tin thống kê của Openflow: Có ưu điểm đơn giản, tuy nhiên lưu lượng Openflow
tăng cao có thể dẫn đến nghẽn mạng nên chỉ phù hợp với hệ thống mạng quy mô nhỏ.
• Sử dụng thông tin thống kê của Openflow kết hợp với các bộ phân tích lưu lượng: Sử dụng thêm
các thiết bị IDS, các bộ phân tích lưu lượng truyền thống như sFlow, Snort Ưu điểm là tăng độ
chính xác nhưng làm cho hệ thống mạng phức tạp, phù hợp mạng quy mô lớn.
b). Thuật toán phát hiện và phân loại lưu lượng tấn công: Về cơ bản, các giải pháp phát hiện tấn công
DDoS dựa trên SDN/Openflow kế thừa các nguyên lý và thuật toán sử dụng trong kiến trúc và kỹ
thuật mạng truyền thống, bao gồm: (1) Dựa vào Entropy, (2) Áp dụng thuật toán máy học, (3) Phân
tích mẫu lưu lượng và (4) Dựa vào tỷ lệ kết nối.
1.5.3. Các kỹ thuật ngăn chặn, giảm thiểu tấn công
Dựa vào khả năng cấu hình, cài đặt, chỉnh sửa các mục luồng trên OFS để áp dụng các chính sách đối
với lưu lượng nghi ngờ tấn công như trình bày trong Hình 1.9. Các kỹ thuật bao gồm:
Hình 1.9. Cấu trúc hệ thống giải pháp phòng chống DDoS dựa trên kỹ thuật mạng SDN/Openflow
8
• Xóa bỏ gói tin: Chỉnh sửa mục luồng xóa bỏ gói tin nghi ngờ.
• Giới hạn lưu lượng: Sử dụng tính năng RATE LIMIT để thiết lập ngưỡng giới hạn lưu lượng
• Chặn cổng: Lọc bỏ các gói đến hoặc xuất phát từ một cổng cụ thể.
Ngoài ra, kỹ thuật mạng SDN/Openflow còn được ứng dụng để hỗ trợ trong phát hiện, ngăn chặn và
giảm thiểu tấn công DDoS, bao gồm:
• Chuyển hướng lưu lượng
• Phân tích nguy cơ an ninh từ các mục luồng
• Xác thực địa chỉ IP nguồn
• Phối hợp phòng chống tấn công giữa các hệ tự trị
1.6. Tấn công DDoS tới các thành phần trong kiến trúc mạng SDN/Openflow và các
giải pháp phòng chống
1.6.1. Tấn công DDoS tới các thành phần trong kiến trúc mạng SDN/Openflow
Bên cạnh những lợi điểm được ứng dụng trong phòng chống tấn công DDoS, kiến trúc, kỹ thuật
SDN/Openflow đồng thời cũng chứa đựng những nguy cơ tấn công DDoS mới ở cả ba lớp ứng dụng,
điều khiển và hạ tầng mạng. Khảo sát an ninh mạng trong kiến trúc SDN, Kreutz và nhóm nghiên cứu
đã chỉ ra 7 vectơ tấn công trong đó có 4 vectơ tấn công DDoS, bao gồm:
• Các luồng lưu lượng giả mạo
• Khai thác các lỗ hổng và chiếm quyền điều khiển trên các bộ chuyển mạch
• Khai thác các lỗ hổng và chiếm quyền điều khiển trên các bộ điều khiển
• Khai thác các lỗ hổng và chiếm quyền điều khiển ứng dụng điều hành mạng
Trong các vectơ tấn công nêu trên, vectơ tấn công tạo các luồng giả mạo dễ thực hiện nhất và được
xác định là hình thức tấn công phổ biến tới kiến trúc mạng SDN/Openflow.
1.6.2. Kỹ thuật phát hiện và giảm thiểu tấn công
- Đã có nhiều giải pháp phát hiện và giảm thiểu tấn công DDoS tới kiến trúc mạng SDN/Openflow.
Phần lớn các giải pháp đều dựa trên cơ chế giống như trong công nghệ mạng truyền thống. Ngoài ra,
một số giải pháp đề xuất dựa trên thuật toán phát hiện theo chính sách và quy tắc xử lý gói tin. Nếu các
mục luồng phù hợp với các chính sách, quy tắc xử lý này, lưu lượng của chúng được coi là lành tính,
ngược lại, lưu lượng được cho là xuất phát từ nguồn tấn công và áp dụng quy tắc xóa bỏ. Bảng 1.2 thống
kê và so sánh các giải pháp phòng chống theo kỹ thuật này.
Bảng 1.2. So sánh các kỹ thuật phát hiện và giảm thiểu tấn công DDoS tới kiến trúc mạng
SDN/Openflow theo chính sách và quy tắc xử lý gói tin
Giải pháp Kỹ thuật phát hiện
Kỹ thuật giảm thiểu
tấn công
Ảnh hưởng đến lớp
Hạ tầng
mạng
Điều
khiển
Ứng
dụng
AVANT-
GUARD
Sử dụng các luật định nghĩa trước
để phát hiện tấn công TCP SYN
Flood
Ủy nhiệm gói tin SYN
trên OFS kết hợp với kỹ
thuật SYN Cookie
Không Có Có
DaMask Dựa vào dấu hiệu tấn công trên cơ
sở phân mảnh mạng
Thiết lập các hành động
định nghĩa từ trước
Có Có Có
SDN-based
CDNi
Truy vết ngược sử dụng kỹ thuật
đánh dấu
Xóa bỏ luồng Có Có Có
OPERETTA Thiết lập các chính sách xác thực Không cần Không Có Có
FlowRanger Sử dụng các chính sách ưu tiên để
chỉ định giá trị tin cậy
Xóa bỏ luồng Không Có Không
SDSNM Thiết lập các chính sách xác thực
trong phạm vi an toàn
Quyết định bởi module
chính sách xử lý
Có Có Có
9
- Trong số các giải pháp trên, cơ chế Di
trú kết nối CM (Connection Migration) trong
giải pháp Avant-Guard giúp ngăn chặn hiệu
quả tấn công TCP SYN Flood. CM dựa trên
sự giám sát quá trình bắt tay ba bước (Three
ways Handshake – 3HS) của các kết nối TCP
từ các máy khách tới máy chủ cần bảo vệ.
Các bước thực hiện kết nối giữa máy khách
và máy chủ nội bộ được mô tả trong Hình
1.13. Theo đó, một kết nối TCP gồm 4 pha:
Pha Phân loại (bước 1-3), Pha Báo cáo:
(bước 4,5), Pha Di trú: (bước 6 -10), và Pha
Chuyển tiếp (bước 11, 12).
- Bằng cách giám sát 3HS trước khi cài đặt mục luồng, CM giúp OFS loại bỏ các mục luồng vô giá
trị tạo bởi tấn công SYN Flood. Đồng thời, CM cũng ngăn không cho các gói tin tấn công SYN được
chuyển tới các máy chủ nội bộ cần bảo vệ. Tuy nhiên, cơ chế CM có các nhược điểm sau:
• CM sử dụng kỹ thuật SYN Cookie là một giải pháp cho trạm cuối (host based) nên sẽ không phù
hợp khi triển khai trên bộ chuyển mạch là thiết bị trung gian (network based). Các kết nối lành
tính sẽ bị chia cắt thành 2 kết nối TCP. Để liên kết hai kết nối TCP này, OFS phải duy trì một
vùng nhớ để lưu trữ trạng thái, do đó tiêu tốn tài nguyên làm ảnh hưởng đến hiệu năng xử lý của
OFS.
• Sự chia cắt kết nối TCP có thể làm vô hiệu hóa các tham số tùy chọn khác trong kết nối TCP.
• Quá trình tạo các gói tin 3HS trong kỹ thuật SYN Cookie tiêu tốn tài nguyên tính toán áp dụng
đối với tất cả các gói tin SYN đến gây lãng phí tài nguyên của OFS, làm cho OFS dễ trở thành
mục tiêu tấn công SYN flood và tấn công quét cổng. Ngoài ra, tích hợp cơ chế CM vào OFS làm
mất đi bản chất SDN, giảm hiêu năng của OFS.
1.7. Kết luận chương
Nội dung Chương 1 trình bày lý thuyết tổng quan về tấn công DDoS, các phương thức và kỹ thuật
phòng chống DDoS trong kỹ thuật mạng truyền thống và trong kỹ thuật mạng SDN/Openflow. Qua đó
cho thấy: (1) Tấn công DDoS vẫn là một vấn nạn lớn của mạng Internet; Diễn biến tấn công DDoS ngày
càng phức tạp đặt ra các yêu cầu và thách thức lớn đối với các cơ chế, giải pháp phòng chống tấn công.
(2) Dựa trên SDN/Openflow, nhiều giải pháp phòng chống DDoS được đề xuất. Tuy nhiên, hầu hết các
giải pháp mới dừng lại ở nghiên cứu lý thuyết; do tính chất phức tạp của tấn công DDoS, không có giải
pháp nào mang lại hiệu quả triệt để. Mỗi kiến trúc mạng, loại hình dịch vụ, quy mô, kết cấu mạng cần
có giải pháp, tham số bảo vệ khác nhau. (3) Mặt khác, chính kiến trúc SDN/Openflow cũng đặt ra những
vấn đề an ninh, trong đó có thể trở thành mục tiêu tấn công DDoS. Nhiệm vụ đặt ra là cần phải khai thác
các lợi thế của SDN/Openflow trong phòng chống tấn công DDoS, đồng thời xây dựng giải pháp ngăn
chặn những hình thức, kỹ thuật tấn công DDoS vào kiến trúc, kỹ thuật mạng này.
Hình 1.13. Quá trình xử lý kết nối TCP trong cơ chế CM
10
CHƯƠNG 2
ĐỀ XUẤT GIẢI PHÁP PHÒNG CHỐNG TẤN CÔNG DDOS
DỰA TRÊN DỮ LIỆU THỐNG KÊ VÀ CƠ CHẾ XỬ LÝ GÓI TIN
CỦA KỸ THUẬT SDN/OPENFLOW
2.1. Giới thiệu chương
Chương 2 trình bày ba giải pháp đề xuất phòng chống tấn công DDoS thuần túy dựa trên dữ liệu
thống kê và cơ chế xử lý gói tin của kỹ thuật SDN/Openflow. Mục tiêu của các giải pháp này là có thể
áp dụng trực tiếp cho các hệ thống mạng SDN/Openflow quy mô lưu lượng nhỏ, sử dụng trực tiếp phần
mềm ứng dụng trên lớp ứng dụng mà không cần bổ sung thêm các thiết bị, module chuyên dụng.
2.2. Giải pháp phát hiện và giảm thiểu tấn công DDoS dựa trên mô hình dự đoán
làm trơn hàm mũ tham số thống kê lưu lượng
2.2.1. Đặt vấn đề
Mỗi dịch vụ, máy chủ có những đặc tính lưu lượng riêng, trong điều kiện hoạt động bình thường, đặc
tính thống kê của lưu lượng thường ổn định. Khi có tấn công xảy ra, đặc tính thống kê của lưu lượng có
sự khác biệt và sự khác biệt này có thể sử dụng làm dấu hiệu để phát hiện tấn công. Giải pháp này lựa
chọn tham số đặc trưng của lưu lượng được cung cấp bởi dữ liệu thống kê trong kỹ thuật SDN/Openflow,
áp dụng mô hình dự đoán làm trơn hàm mũ để phát hiện và phân loại lưu lượng tấn công; sử dụng khả
năng lập trình, xử lý lưu lượng để lọc bỏ lưu lượng tấn công. Giải pháp áp dụng cho mạng quy mô nhỏ,
kết nối Internet qua một gateway, ngăn chặn các cuộc tấn công DDoS từ bên ngoài.
2.2.2. Kiến trúc hệ thống và các trạng thái hoạt động
- Giải pháp hoạt động dựa trên nguyên lý chung trình bày trong Hình 1.9. Đối tượng bảo vệ là các
máy chủ hoặc dịch vụ chạy trên máy chủ bên trong mạng nội bộ của hệ thống.
- Các trạng thái của máy chủ/dịch vụ cần bảo vệ và sự chuyển tiếp các trạng thái được thể hiện trong
sơ đồ Hình 2.2.
2.2.3. Lựa chọn tham số và chỉ số thống kê lưu lượng
a). Các tham số thống kê lưu lượng: Dựa trên đặc điểm lưu lượng tấn công DDoS và khả năng thống kê
theo cơ chế SDN/Openflow, các tham số được lựa chọn bao gồm: (1) Số địa chỉ IP nguồn SAN, (2) Số
cổng nguồn SPN và (3) Số lượng gói tin PN.
b). Các chỉ số thống kê lưu lượng: Tỷ lệ số cổng trung bình được mở trên mỗi địa chỉ IP nguồn SPA và
tỷ lệ số gói tin trung bình của mỗi luồng PpF: SPA = SPNSAN PpF = ∑ PNSPNi=1SPN (2.1 – 2.2)
Hình 2.2. Sơ đồ chuyển tiếp trạng thái của hệ thống cho một máy chủ/dịch vụ
11
2.2.4. Lựa chọn và xây dựng mô hình dự đoán chỉ số thống kê lưu lượng
Giải pháp lựa chọn mô hình dự đoán làm trơn hàm mũ (Exponential smoothing):
𝑥𝑥�𝑡𝑡+1 = 𝛼𝛼. 𝑥𝑥𝑡𝑡 + (1 − 𝛼𝛼). 𝑥𝑥�𝑡𝑡 (2.5)
trong đó: 𝛼𝛼 là hệ số làm trơn và có giá trị nằm trong khoảng [0,1], 𝑥𝑥𝑡𝑡 là giá trị thực của mẫu ở thời
điểm t, 𝑥𝑥� là giá trị dự đoán của mẫu ở thời điểm t. Để đơn giản, chọn 𝛼𝛼 = 0.5. Khi đó: SPACUM t+1 = SPA + SPACUM t2 ; PpFCUM t+1 = PpF + PpFCUM t2 (2.6 – 2.7)
trong đó SPACUM và PpFCUM là các giá trị dự đoán hay còn gọi là các giá trị trung bình tích lũy, SPA
và PpF là giá trị thực tính được từ các tham số thống kê ở thời điểm t.
2.2.5. Phát hiện và giảm thiểu tấn công
Chỉ số thống kê lưu lượng được tính theo giá trị chuẩn hóa:
DSPA = �SPA − SPACUMSPACUM , SPA ≥ SPACUM0, SPA < SPACUM (2.8) DPpF = �PpF − PpFCUMPpFCUM , PpF ≥ PpFCUM0, PpF < PpFCUM (2.9)
- Để xác định có tấn công xảy ra hay
không, DSPA và DPpF được so sánh
với ngưỡng phát hiện 𝐾𝐾𝐷𝐷. Khi lọc bỏ,
các giá trị này được so sánh với
ngưỡng lọc bỏ KF. Hình 2.3.
- Hệ số KD, KF được lựa chọn tùy
theo đặc tính lưu lượng của máy chủ,
dịch vụ.
2.2.6. Phân tích và đánh giá hiệu
năng của giải pháp
Phương pháp phân tích và kịch bản tấn công
Hiệu năng của giải pháp được đánh giá thông qua phân tích mô phỏng trên bộ dữ liệu lành tính
CAIDA 2013 và bộ dữ liệu CAIDA DDoS 2007 trong thời gian 90 phút. Quá trình phân tích tính toán
cho 3 máy chủ (1 máy chủ chịu tấn công và 2 máy hoạt động bình thường) được chia ra làm 3 giai đoạn
với cường độ tấn công khác nhau.
Khả năng phát hiện tấn công
Kết quả tính toán chỉ số thống kê, chỉ số chuẩn hóa trong các cửa sổ thời gian như trong Hình 2.4 và
Hình 2.5. Qua đó, nếu lựa chọn với KD = 2, tấn công DDoS được phát hiện trong cả trường hợp cường
độ thấp và cao.
Khả năng phân loại lưu lượng tấn công
Bảng 2.5 thể hiện kết quả thống kê độ nhạy phân loại DRC và tỷ lệ báo động phân loại nhầm FPRC
với các giá trị hệ số lọc bỏ KF khác nhau theo tổng dung lượng (bytes). Kết quả cho thấy DRC đạt mức
cao giữ ổn định trên 98,5% với FPRC dưới 0,65%. Hệ số KF được lựa chọn để đảm bảo giữ tỷ lệ DR
cao trong khi FPR thấp, với kết quả như trong Bảng 2.1, nếu lựa chọn KF = 20-26, DRC đạt mức 98,7%
trong khi FPRC ≈ 0,44%. So sánh với giải pháp sử dụng SOM 6 tham số của Braga, DRC cao nhất đạt
98,61% với FPRC ở mức 0,59% cho thấy giải pháp sử dụng mô hình dự đoán làm trơn hàm mũ cho tỷ
lệ phân loại cao hơn với tỷ lệ nhầm thấp hơn.
Hình 2.3. Mô hình phát hiện và phân loại lưu lượng tấn công
12
Hình 2.4. Giá trị chỉ số SPA và DSPA
Hình 2.5. Giá trị chỉ số PpF và DPpF
• Đơn giản, sử dụng thuần túy các tham số thống kê cung cấp bởi bộ chuyển mạch biên và cơ chế
xử lý gói tin của SDN/Openflow. Số trường thông tin cần truy vấn thấp (3 tham số/mục luồng) so
với giải pháp sử dụng SOM 6 hoặc 4 tham số (ít nhất 4 tham số/mục luồng) và giải pháp sử dụng
mô hình biến thiên entropy (4 tham số/mục luồng).
2.2.6.4. Khả năng giảm thiểu tấn công
Kết quả lọc bỏ lưu lượng tấn công
theo KF trong Bảng 2.5 cho thấy DRF đạt
trên 95% với FPRF dưới 7%. Với KF =
20-26, DRF ≈ 95,1% với FPRF ≈ 3,3%.
Giá trị này cải thiện hơn rất nhiều so với
giải pháp sử dụng mô hình biến thiên
entropy do Giotis đề xuất với kết quả DRF
đạt 95% trong khi tỷ lệ lọc bỏ nhầm FPRF
ở mức 32%.
2.2.6.5. Nhận xét, đánh giá
So sánh với các giải pháp đã đề xuất có
phân tích lưu lượng tương đương, giải
pháp phát hiện và giảm thiểu tấn công
dựa trên mô hình dự đoán thống kê làm
trơn hàm mũ có ưu điểm:
Bảng 2.5. Độ nhạy (DR) và tỷ lệ báo động nhầm
(FPR)với KF khác nhau
𝐊𝐊𝐅𝐅
Phân loại lưu lượng Lọc bỏ lưu lượng
DRC FPRC DRF FPRF
6 99,19 0,62 98,72 6,82
8 99,16 0,58 98,37 4,80
10 99,11 0,56 97,17 3,99
12 99,09 0,54 96,64 3,80
14 99,08 0,52 96,57 3,61
16 99,01 0,51 96,05 3,52
18 98,97 0,49 96,04 3,39
20 98,92 0,47 95,26 3,33
22 98,76 0,44 95,08 3,33
24 98,73 0,44 95,07 3,24
26 98,71 0,42 95,07 3,14
13
𝑡𝑡 = � 𝑇𝑇1, 𝑛𝑛 ≤ 𝐹𝐹 𝑇𝑇2 + (𝑇𝑇1 − 𝑇𝑇2)𝑒𝑒−𝑘𝑘𝑛𝑛−𝑁𝑁𝑁𝑁 , 𝑛𝑛 > 𝐹𝐹
• Thuật toán đơn giản, mỗi tham số chỉ cần tính toán và lưu trữ 1 giá trị trong một chu kỳ giám sát,
trong khi các giải pháp khác cần tính toán, lưu trữ một mảng các giá trị để tính trung bình và
entropy.
Tuy nhiên, giải pháp vẫn tồn tại một số nhược điểm:
• Lượng truy vấn lấy tham số thống kê còn lớn, có thể gây nguy cơ nghẽn giao diện Openflow mỗi
khi kết thúc chu kỳ giám sát. Vì vậy, giải pháp chỉ phù hợp với hệ thống mạng quy mô nhỏ.
• Hiệu năng của giải pháp còn phụ thuộc vào hệ số α của mô hình dự đoán làm trơn hàm mũ, chu
kỳ giám sát T. Các tham số này phụ thuộc vào quy mô, đặc tính dữ liệu của từng hệ thống mạng
cụ thể.
2.3. Giải pháp giảm thiểu tấn công SYN Flood dựa trên cơ chế ủy nhiệm gói tin SYN
tại bộ điều khiển
2.3.1. Đặt vấn đề
SYN Flood là kỹ thuật tấn
công lâu đời nhưng vẫn là
phương thức tấn công phổ biến
và nguy hiểm. Luận án đề xuất
giải pháp SSP (SDN based SYN
Proxy) ứng dụng kỹ thuật
SDN/Openflow trong phát hiện
và giảm thiểu tấn công SYN
Flood bằng cơ chế SYN Proxy
tại Bộ điều khiển trong mạng
SDN/Openflow ngăn chặn các
nguy cơ tấn công từ bên ngoài.
2.3.2. Kiến trúc hệ thống đề
xuất
Dựa trên kiến trúc chung
trong Hình 1.9, SSP được áp
dụng cho hệ thống mạng quy mô
nhỏ kết nối với Internet qua bộ chuyển mạch biên Openflow như Hình 2.6.
2.3.3. Lựa chọn mô hình ủy nhiệm gói tin SYN
Có 2 loại SYN Proxy được sử dụng hiện nay: giả gói tin SYN-ACK và giả gói tin ACK. Do thực hiện
ủy nhiệm tại Bộ điều khiển, SSP lựa chọn mô hình loại giả gói tin ACK để giảm bớt xử lý tại Bộ điều
khiển, giảm lưu lượng trao đổi trên giao diện Openflow.
2.3.4. Hoạt động của hệ thống SSP
Quá trình xử lý gói tin SYN cho một kết nối TCP trong SSP được mô tả như Hình 2.8. Các mục luồng
và các actions tương ứng được sắp xếp, cấu hình đảm bảo thực hiện quy trình giám sát quá trình 3HS.
- OFS capture và xử lý các gói tin 3HS như lưu đồ Hình 2.9.
- Quản lý và giám sát quá trình 3HS tại Module SPM được thực hiện như lưu đồ Hình 2.10.
- Dựa trên đặc tính thống kê của lưu lượng thực tế, đề xuất thay đổi thời gian chờ gói CliACK của
các luồng theo công thức:
Hình 2.6. Kiến trúc hệ thống giải pháp Ủy nhiệm gói tin SYN trên
Bộ điều khiển SSP
(2.12)
n là số lượng kết nối TCP dang dở đang tồn tại,
N là số kết nối TCP đang mở trung bình trong điều
kiện bình thường;
14
𝑇𝑇1 là thời gian chờ lớn nhất, 𝑇𝑇2 là thời gian
chờ nhỏ nhất, k là hệ số hiệu chỉnh.
- Thiết lập ngưỡng thay đổi chính sách xử
lý gói tin SYN tại bộ chuyển mạch như Hình
2.13. M1 và M2 được xác định dựa trên các
điều kiện hoạt động bình thường của mỗi bộ
chuyển mạch. (M1 > M2)
2.3.5. Phân tích và đánh giá hiệu năng
của giải pháp
- Mô hình thử nghiệm testbed: Hiệu năng
của SSP được kiểm nghiệm và đánh giá qua
mô hình thử nghiệm trong Hình 2.14. Lưu
lượng tấn công được phát tăng dần tới khả
năng chịu đựng của hệ thống bằng công cụ
BoNeSi.
- Kết quả thử nghiệm trên testbed:
• Tỷ lệ kết nối thành công và thời gian
kết nối của lưu lượng lành tính: được
thể hiện trong Hình 2.15, Hình 2.16
cho thấy SSP cải thiện đáng kể so với
Openflow (duy trì mức 87% trong khi
của Openflow suy giảm còn 5% ở tốc
độ tấn công 600 pps).
• Số lượng kết nối dang dở trên máy chủ:
Kết quả đo thống kê cho thấy, SSP
giảm số HOCs trên máy chủ tới 86% ở
tốc độ tấn công 500pps.
• Thời gian tồn tại của các mục luồng
trên OFS: kết quả tính thống kê từ lưu
lượng thực tế cho thấy so với cơ chế
CM, SSP giảm được 94% thời gian tồn
tại trung bình của mục luồng tại OFS.
Điều này giúp cho tốc độ so khớp, xử
lý các actions trên OFS nhanh hơn,
tăng khả năng chịu tải ngay cả khi tấn
công DDoS xảy ra.
• Ảnh hưởng lên bộ điều khiển khi xảy
ra tấn công như thể hiện trong Hình
2.19, Hình 2.20 là không đáng kể.
- Nhận xét, đánh giá:
• Khai thác cơ chế xử lý gói tin trong
SDN/Openflow, SSP hoạt động như
một SYN Proxy trên Bộ điều khiển
giúp giảm đáng kể số lượng kết nối dang dở trên máy chủ, làm tăng khả năng chịu đựng tấn công
SYN Flood của máy chủ, tăng tỷ lệ kết nối thành công của lưu lượng lành tính.
• SSP làm giảm (tới 94%) thời gian tồn tại của mục luồng lưu lượng lành tính so với cơ chế CM
Hình 2.8. Quá trình xử lý yêu cầu kết nối của một gói
tin SYN trong giải pháp SSP
Hình 2.9. Capture và xử lý các gói tin bắt tay ba bước
tại OFS
15
của giải pháp Avant-Guard. Khi có tấn công SYN Flood xảy ra, SSP không làm ảnh hưởng nhiều
tới sự chiếm dụng tài nguyên CPU và bộ nhớ trên Bộ chuyển mạch, Bộ điều khiển.
Hình 2.13. Chuyển tiếp chính sách xử lý
gói tin SYN tại OFS
Hình 2.10. Lưu đồ hoạt động của mô đun SPM
tại bộ điều khiển
Hình 2.14. Mô hình testbed đánh giá hiệu
năng giải pháp SSP
Hình 2.15. Tỷ lệ kết nối thành công Hình 2.16. Thời gian kết nối trung bình
Hình 2.19. Chiếm dụng CPU của Bộ điều khiển Hình 2.20. Chiếm dụng bộ nhớ trên Bộ điều khiển
16
2.4. Giải pháp đánh dấu gói tin PLA DFM phục vụ truy vết nguồn tấn công
2.4.1. Đặt vấn đề
Kỹ thuật truy vết nguồn tấn công (traceback) cho phép từ phía trạm đích, có thể tái tạo lại đường đi
của gói tin hoặc biết địa chỉ vị trí gói tin được phát ra mà không dựa vào trường địa chỉ IP nguồn. Nội
dung phần này đề xuất giải pháp đánh dấu gói tin phục vụ truy vết PLA DFM (Packet Length Adaptive
Deterministic Flow Marking) dựa trên sự phân loại và nhận dạng lưu lượng theo luồng, của kỹ thuật
mạng SDN/Openflow trong đó có xét đến sự thích ứng với chiều dài gói tin đầu tiên của luồng nhằm
tăng hiệu quả đánh dấu. Sử dụng sự kiện table-miss và các bản tin packet-in để chuyển tới và thực hiện
đánh dấu tại Bộ điều khiển SDN/Openflow.
2.4.2. Khái niệm về đánh dấu gói tin và các kỹ thuật cơ bản
- Trong kỹ thuật traceback bằng đánh dấu gói tin, thông tin đánh dấu (gồm địa chỉ các bộ định tuyến
trên đường đi) được chèn vào gói tin gửi tới trạm đích. Có hai kỹ thuật cơ bản là đánh dấu theo xác suất
PPM và đánh dấu xác định DPM. PPM đánh dấu theo xác suất tất cả các gói tin. DPM đánh dấu một số
gói tin cụ thể trong các gói tin lưu lượng.
- Kỹ thuật đánh dấu gói tin theo luồng DFM là giải pháp nâng cấp của DPM thực hiện đánh dấu trên
K gói tin đầu tiên của mỗi luồng với thông tin đánh dấu gồm 60 bits: (i) 32 bits địa chỉ IP cổng vào của
bộ định tuyến biên In-portIP; (ii) 12 bit NIID và (iii) 16 bit NodeID. Số lượng gói tin cần để đánh dấu
thành công cho mỗi luồng phụ thuộc vào các trường tiêu đề dùng để chứa thông tin đánh dấu.
2.4.3. Đề xuất cấu trúc và hoạt động của PLA DFM trên kiến trúc mạng SDN/Openflow
- PLA DFM phát triển dựa trên DFM, lợi dụng cơ chế xử lý gói tin SDN/Openflow, K gói tin đầu tiên
của mỗi luồng TCP/UDP/ICMP được chuyển tới Bộ điều khiển thông qua sự kiện table-miss và các bản
tin packet-in, tại đó chúng được chèn thông tin đánh dấu trước khi lưu chuyển trên Internet.
- Để tăng tỷ lệ đánh dấu thành công, giảm xử lý ở Bộ điều khiển, PLA DFM đề xuất sử dụng trường
Options để chứa thông tin đánh dấu. Tuy nhiên khi sử dụng trường Options, kích thước gói tin sẽ bị tăng
lên 8 bytes, có thể bị vượt ngưỡng MTU của kênh truyền dẫn gây nên sự phân mảnh gói tin. Để giải
quyết vấn đề này, PLA DFM thiết lập một giá trị ngưỡng MT dựa trên MTU của kênh truyền và so sánh
chiều dài gói tin đầu tiên của luồng FL:
• Nếu FL ≤ MT: sử dụng 16 bit của trường ID và 48 bit trường Options của gói tin đầu tiên để chứa
thông tin đánh dấu.
• Nếu FL>MT: thực hiện đánh dấu trên K gói tin đầu tiên giống như kỹ thuật DFM.
Quá trình chèn thông tin đánh dấu vào các gói tin như mô tả ở Hình 2.24.
Hình 2.24. Đánh dấu gói tin PLA DFM
17
2.4.4. So sánh và đánh giá hiệu năng của giải pháp
- Khảo sát hiệu năng của PLA DFM dựa trên phân tích dữ liệu mô phỏng với bộ lưu lượng thực
CAIDA 2013. Các tham số so sánh gồm: tỷ lệ đánh dấu thành công theo luồng SMR, Tỷ lệ gói tin đánh
dấu MPR và tỷ lệ dung lượng gói tin đánh dấu MSR. Kết quả ở Hình 2.27, 2.28, 2.29 (với MT=288) và
Bảng 2.12, Bảng 2.13.
Bảng 2.12. So sánh hiệu năng với K, MT khác nhau
Bảng 2.13. Tỷ lệ gia tăng lưu lượng của PLA DFM
- Nhận xét, đánh giá:
+ Cơ chế xử lý gói tin và kỹ thuật quản lý lưu
lượng theo luồng trong SDN/Openflow có thể
được khai thác để thực hiện đánh dấu gói tin nhằm
cung cấp khả năng truy vết nguồn phát sinh lưu
lượng tấn công trên Internet.
+ PLA DFM đánh dấu các gói tin đầu tiên của luồng dựa trên sự thích ứng chiều dài gói và thực hiện
tại bộ điều khiển. Kết quả phân tích hiệu năng cho thấy PLA DFM cho tỷ lệ đánh dấu thành công cao
(trên 90%) so với DFM (thấp hơn 50%) với tỷ lệ gói tin bị đánh dấu thấp (5% so với 8% trở lên của
DFM) và mức độ gia tăng lưu lượng không đáng kể (khoảng 0,05%).
+ Nếu được chuẩn hóa trong kiến trúc mạng SDN/Openflow và sử dụng thống nhất trên các bộ chuyển
mạch biên của ISP hoặc các trung tâm dữ liệu, PLA DFM cho phép truy vết các nguồn tấn công giả mạo
MT K SMR MPR MSR
288
3 95.11 4.40 1.11
5 94.26 4.68 1.39
7 93.66 4.91 1.61
500
3 96.95 4.36 1.09
5 96.65 4.58 1.35
7 96.15 4.78 1.56
568
3 97.18 4.26 1.07
5 96.92 4.55 1.34
7 96.46 4.74 1.55
MT
Tổng kích
thước ban đầu
(byte)
Kích thước
tăng thêm
(byte)
Tỷ lệ
(%)
288 85,209,121,130 36,390,376 0.043
500 85,209,121,130 37,503,744 0.044
568 85,209,121,130 37,668,640 0.044
Hình 2.27. Tỷ lệ SMR Hình 2.28. Tỷ lệ MPR
Hình 2.29. Tỷ lệ MSR
18
địa chỉ IP, hỗ trợ ngăn chặn tấn công DDoS trên Internet.
2.5. Kết luận chương
Kỹ thuật SDN/Openflow có khả năng cung cấp dữ liệu thống kê về đặc tính lưu lượng và có thể lập
trình xử lý lưu lượng theo sự biến thiên của đặc tính ấy. Đặc điểm này phù hợp với quy trình phát hiện
và giảm thiểu tấn công DDoS. Sử dụng khả năng đó, nội dung Chương 2 trình bày 3 giải pháp đề xuất
đối với 3 yêu cầu phòng chống tấn công DDoS khác nhau trong mạng quy mô lưu lượng nhỏ, đó là: (1)
giải pháp phát hiện và giảm thiểu tấn công DDoS bằng mô hình dự đoán làm trơn hàm mũ tham số thống
kê lưu lượng, (2) phát hiện và giảm thiểu tấn công SYN Flood dựa trên cơ chế ủy nhiệm gói tin SYN
tại bộ điều khiển và (3) đánh dấu gói tin PLA DFM phục vụ truy vết nguồn tấn công. Qua phân tích,
đánh giá, so sánh với các giải pháp đã công bố, cho thấy: (1) Các giải pháp đề xuất cho hiệu năng hoạt
động được cải thiện hoặc tương đương với các giải pháp đã được công bố; (2) tận dụng được thông tin
dữ liệu thống kê, cơ chế xử lý lưu lượng của kỹ thuật SDN/Openflow, có thể áp dụng trực tiếp trong
mạng SDN/Openflow chỉ bằng phần mềm ứng dụng trên mặt phẳng điều khiển mà không cần bổ sung
thiết bị, module chuyên dụng. (3) Tuy nhiên, do sử dụng giao diện Openflow để truy vấn thông tin lưu
lượng và cài đặt các mục luồng để giảm thiểu tấn công nên lưu lượng trên giao diện này bị tăng lên dễ
bị nghẽn mạng nhất là khi tấn công DDoS xảy ra. Vì vậy giải pháp phát hiện giảm thiểu tấn công bằng
mô hình dự đoán làm trơn hàm mũ và cơ chế ủy nhiệm gói tin SYN trên bộ điều khiển chỉ phù hợp với
mạng có qu
Các file đính kèm theo tài liệu này:
- tom_tat_luan_an_nghien_cuu_giai_phap_phat_hien_va_giam_thieu.pdf