Tóm tắt Luận án Nghiên cứu giải pháp phát hiện và giảm thiểu tấn công từ chối dịch vụ phân tán sử dụng công nghệ SDN

ng SDN/Openflow đã được nhiều giải pháp đề xuất ứng dụng trong phòng chống tấn công DDoS. Cấu trúc và nguyên lý hoạt động chung thể hiện như trong Hình 1.9. 1.5.2. Các kỹ thuật phát hiện tấn công a). Nguồn thông tin lưu lượng đầu vào: Là cơ sở quan trọng để xác định có tấn công xảy ra hay không hoặc phân biệt giữa lưu lượng tấn công và lưu lượng lành tính. Có hai nhóm: • Sử dụng thông tin thống kê của Openflow: Có ưu điểm đơn giản, tuy nhiên lưu lượng Openflow tăng cao có thể dẫn đến nghẽn mạng nên chỉ phù hợp với hệ thống mạng quy mô nhỏ. • Sử dụng thông tin thống kê của Openflow kết hợp với các bộ phân tích lưu lượng: Sử dụng thêm các thiết bị IDS, các bộ phân tích lưu lượng truyền thống như sFlow, Snort Ưu điểm là tăng độ chính xác nhưng làm cho hệ thống mạng phức tạp, phù hợp mạng quy mô lớn. b). Thuật toán phát hiện và phân loại lưu lượng tấn công: Về cơ bản, các giải pháp phát hiện tấn công DDoS dựa trên SDN/Openflow kế thừa các nguyên lý và thuật toán sử dụng trong kiến trúc và kỹ thuật mạng truyền thống, bao gồm: (1) Dựa vào Entropy, (2) Áp dụng thuật toán máy học, (3) Phân tích mẫu lưu lượng và (4) Dựa vào tỷ lệ kết nối. 1.5.3. Các kỹ thuật ngăn chặn, giảm thiểu tấn công Dựa vào khả năng cấu hình, cài đặt, chỉnh sửa các mục luồng trên OFS để áp dụng các chính sách đối với lưu lượng nghi ngờ tấn công như trình bày trong Hình 1.9. Các kỹ thuật bao gồm: Hình 1.9. Cấu trúc hệ thống giải pháp phòng chống DDoS dựa trên kỹ thuật mạng SDN/Openflow 8 • Xóa bỏ gói tin: Chỉnh sửa mục luồng xóa bỏ gói tin nghi ngờ. • Giới hạn lưu lượng: Sử dụng tính năng RATE LIMIT để thiết lập ngưỡng giới hạn lưu lượng • Chặn cổng: Lọc bỏ các gói đến hoặc xuất phát từ một cổng cụ thể. Ngoài ra, kỹ thuật mạng SDN/Openflow còn được ứng dụng để hỗ trợ trong phát hiện, ngăn chặn và giảm thiểu tấn công DDoS, bao gồm: • Chuyển hướng lưu lượng • Phân tích nguy cơ an ninh từ các mục luồng • Xác thực địa chỉ IP nguồn • Phối hợp phòng chống tấn công giữa các hệ tự trị 1.6. Tấn công DDoS tới các thành phần trong kiến trúc mạng SDN/Openflow và các giải pháp phòng chống 1.6.1. Tấn công DDoS tới các thành phần trong kiến trúc mạng SDN/Openflow Bên cạnh những lợi điểm được ứng dụng trong phòng chống tấn công DDoS, kiến trúc, kỹ thuật SDN/Openflow đồng thời cũng chứa đựng những nguy cơ tấn công DDoS mới ở cả ba lớp ứng dụng, điều khiển và hạ tầng mạng. Khảo sát an ninh mạng trong kiến trúc SDN, Kreutz và nhóm nghiên cứu đã chỉ ra 7 vectơ tấn công trong đó có 4 vectơ tấn công DDoS, bao gồm: • Các luồng lưu lượng giả mạo • Khai thác các lỗ hổng và chiếm quyền điều khiển trên các bộ chuyển mạch • Khai thác các lỗ hổng và chiếm quyền điều khiển trên các bộ điều khiển • Khai thác các lỗ hổng và chiếm quyền điều khiển ứng dụng điều hành mạng Trong các vectơ tấn công nêu trên, vectơ tấn công tạo các luồng giả mạo dễ thực hiện nhất và được xác định là hình thức tấn công phổ biến tới kiến trúc mạng SDN/Openflow. 1.6.2. Kỹ thuật phát hiện và giảm thiểu tấn công - Đã có nhiều giải pháp phát hiện và giảm thiểu tấn công DDoS tới kiến trúc mạng SDN/Openflow. Phần lớn các giải pháp đều dựa trên cơ chế giống như trong công nghệ mạng truyền thống. Ngoài ra, một số giải pháp đề xuất dựa trên thuật toán phát hiện theo chính sách và quy tắc xử lý gói tin. Nếu các mục luồng phù hợp với các chính sách, quy tắc xử lý này, lưu lượng của chúng được coi là lành tính, ngược lại, lưu lượng được cho là xuất phát từ nguồn tấn công và áp dụng quy tắc xóa bỏ. Bảng 1.2 thống kê và so sánh các giải pháp phòng chống theo kỹ thuật này. Bảng 1.2. So sánh các kỹ thuật phát hiện và giảm thiểu tấn công DDoS tới kiến trúc mạng SDN/Openflow theo chính sách và quy tắc xử lý gói tin Giải pháp Kỹ thuật phát hiện Kỹ thuật giảm thiểu tấn công Ảnh hưởng đến lớp Hạ tầng mạng Điều khiển Ứng dụng AVANT- GUARD Sử dụng các luật định nghĩa trước để phát hiện tấn công TCP SYN Flood Ủy nhiệm gói tin SYN trên OFS kết hợp với kỹ thuật SYN Cookie Không Có Có DaMask Dựa vào dấu hiệu tấn công trên cơ sở phân mảnh mạng Thiết lập các hành động định nghĩa từ trước Có Có Có SDN-based CDNi Truy vết ngược sử dụng kỹ thuật đánh dấu Xóa bỏ luồng Có Có Có OPERETTA Thiết lập các chính sách xác thực Không cần Không Có Có FlowRanger Sử dụng các chính sách ưu tiên để chỉ định giá trị tin cậy Xóa bỏ luồng Không Có Không SDSNM Thiết lập các chính sách xác thực trong phạm vi an toàn Quyết định bởi module chính sách xử lý Có Có Có 9 - Trong số các giải pháp trên, cơ chế Di trú kết nối CM (Connection Migration) trong giải pháp Avant-Guard giúp ngăn chặn hiệu quả tấn công TCP SYN Flood. CM dựa trên sự giám sát quá trình bắt tay ba bước (Three ways Handshake – 3HS) của các kết nối TCP từ các máy khách tới máy chủ cần bảo vệ. Các bước thực hiện kết nối giữa máy khách và máy chủ nội bộ được mô tả trong Hình 1.13. Theo đó, một kết nối TCP gồm 4 pha: Pha Phân loại (bước 1-3), Pha Báo cáo: (bước 4,5), Pha Di trú: (bước 6 -10), và Pha Chuyển tiếp (bước 11, 12). - Bằng cách giám sát 3HS trước khi cài đặt mục luồng, CM giúp OFS loại bỏ các mục luồng vô giá trị tạo bởi tấn công SYN Flood. Đồng thời, CM cũng ngăn không cho các gói tin tấn công SYN được chuyển tới các máy chủ nội bộ cần bảo vệ. Tuy nhiên, cơ chế CM có các nhược điểm sau: • CM sử dụng kỹ thuật SYN Cookie là một giải pháp cho trạm cuối (host based) nên sẽ không phù hợp khi triển khai trên bộ chuyển mạch là thiết bị trung gian (network based). Các kết nối lành tính sẽ bị chia cắt thành 2 kết nối TCP. Để liên kết hai kết nối TCP này, OFS phải duy trì một vùng nhớ để lưu trữ trạng thái, do đó tiêu tốn tài nguyên làm ảnh hưởng đến hiệu năng xử lý của OFS. • Sự chia cắt kết nối TCP có thể làm vô hiệu hóa các tham số tùy chọn khác trong kết nối TCP. • Quá trình tạo các gói tin 3HS trong kỹ thuật SYN Cookie tiêu tốn tài nguyên tính toán áp dụng đối với tất cả các gói tin SYN đến gây lãng phí tài nguyên của OFS, làm cho OFS dễ trở thành mục tiêu tấn công SYN flood và tấn công quét cổng. Ngoài ra, tích hợp cơ chế CM vào OFS làm mất đi bản chất SDN, giảm hiêu năng của OFS. 1.7. Kết luận chương Nội dung Chương 1 trình bày lý thuyết tổng quan về tấn công DDoS, các phương thức và kỹ thuật phòng chống DDoS trong kỹ thuật mạng truyền thống và trong kỹ thuật mạng SDN/Openflow. Qua đó cho thấy: (1) Tấn công DDoS vẫn là một vấn nạn lớn của mạng Internet; Diễn biến tấn công DDoS ngày càng phức tạp đặt ra các yêu cầu và thách thức lớn đối với các cơ chế, giải pháp phòng chống tấn công. (2) Dựa trên SDN/Openflow, nhiều giải pháp phòng chống DDoS được đề xuất. Tuy nhiên, hầu hết các giải pháp mới dừng lại ở nghiên cứu lý thuyết; do tính chất phức tạp của tấn công DDoS, không có giải pháp nào mang lại hiệu quả triệt để. Mỗi kiến trúc mạng, loại hình dịch vụ, quy mô, kết cấu mạng cần có giải pháp, tham số bảo vệ khác nhau. (3) Mặt khác, chính kiến trúc SDN/Openflow cũng đặt ra những vấn đề an ninh, trong đó có thể trở thành mục tiêu tấn công DDoS. Nhiệm vụ đặt ra là cần phải khai thác các lợi thế của SDN/Openflow trong phòng chống tấn công DDoS, đồng thời xây dựng giải pháp ngăn chặn những hình thức, kỹ thuật tấn công DDoS vào kiến trúc, kỹ thuật mạng này. Hình 1.13. Quá trình xử lý kết nối TCP trong cơ chế CM 10 CHƯƠNG 2 ĐỀ XUẤT GIẢI PHÁP PHÒNG CHỐNG TẤN CÔNG DDOS DỰA TRÊN DỮ LIỆU THỐNG KÊ VÀ CƠ CHẾ XỬ LÝ GÓI TIN CỦA KỸ THUẬT SDN/OPENFLOW 2.1. Giới thiệu chương Chương 2 trình bày ba giải pháp đề xuất phòng chống tấn công DDoS thuần túy dựa trên dữ liệu thống kê và cơ chế xử lý gói tin của kỹ thuật SDN/Openflow. Mục tiêu của các giải pháp này là có thể áp dụng trực tiếp cho các hệ thống mạng SDN/Openflow quy mô lưu lượng nhỏ, sử dụng trực tiếp phần mềm ứng dụng trên lớp ứng dụng mà không cần bổ sung thêm các thiết bị, module chuyên dụng. 2.2. Giải pháp phát hiện và giảm thiểu tấn công DDoS dựa trên mô hình dự đoán làm trơn hàm mũ tham số thống kê lưu lượng 2.2.1. Đặt vấn đề Mỗi dịch vụ, máy chủ có những đặc tính lưu lượng riêng, trong điều kiện hoạt động bình thường, đặc tính thống kê của lưu lượng thường ổn định. Khi có tấn công xảy ra, đặc tính thống kê của lưu lượng có sự khác biệt và sự khác biệt này có thể sử dụng làm dấu hiệu để phát hiện tấn công. Giải pháp này lựa chọn tham số đặc trưng của lưu lượng được cung cấp bởi dữ liệu thống kê trong kỹ thuật SDN/Openflow, áp dụng mô hình dự đoán làm trơn hàm mũ để phát hiện và phân loại lưu lượng tấn công; sử dụng khả năng lập trình, xử lý lưu lượng để lọc bỏ lưu lượng tấn công. Giải pháp áp dụng cho mạng quy mô nhỏ, kết nối Internet qua một gateway, ngăn chặn các cuộc tấn công DDoS từ bên ngoài. 2.2.2. Kiến trúc hệ thống và các trạng thái hoạt động - Giải pháp hoạt động dựa trên nguyên lý chung trình bày trong Hình 1.9. Đối tượng bảo vệ là các máy chủ hoặc dịch vụ chạy trên máy chủ bên trong mạng nội bộ của hệ thống. - Các trạng thái của máy chủ/dịch vụ cần bảo vệ và sự chuyển tiếp các trạng thái được thể hiện trong sơ đồ Hình 2.2. 2.2.3. Lựa chọn tham số và chỉ số thống kê lưu lượng a). Các tham số thống kê lưu lượng: Dựa trên đặc điểm lưu lượng tấn công DDoS và khả năng thống kê theo cơ chế SDN/Openflow, các tham số được lựa chọn bao gồm: (1) Số địa chỉ IP nguồn SAN, (2) Số cổng nguồn SPN và (3) Số lượng gói tin PN. b). Các chỉ số thống kê lưu lượng: Tỷ lệ số cổng trung bình được mở trên mỗi địa chỉ IP nguồn SPA và tỷ lệ số gói tin trung bình của mỗi luồng PpF: SPA = SPNSAN PpF = ∑ PNSPNi=1SPN (2.1 – 2.2) Hình 2.2. Sơ đồ chuyển tiếp trạng thái của hệ thống cho một máy chủ/dịch vụ 11 2.2.4. Lựa chọn và xây dựng mô hình dự đoán chỉ số thống kê lưu lượng Giải pháp lựa chọn mô hình dự đoán làm trơn hàm mũ (Exponential smoothing): 𝑥𝑥�𝑡𝑡+1 = 𝛼𝛼. 𝑥𝑥𝑡𝑡 + (1 − 𝛼𝛼). 𝑥𝑥�𝑡𝑡 (2.5) trong đó: 𝛼𝛼 là hệ số làm trơn và có giá trị nằm trong khoảng [0,1], 𝑥𝑥𝑡𝑡 là giá trị thực của mẫu ở thời điểm t, 𝑥𝑥� là giá trị dự đoán của mẫu ở thời điểm t. Để đơn giản, chọn 𝛼𝛼 = 0.5. Khi đó: SPACUM t+1 = SPA + SPACUM t2 ; PpFCUM t+1 = PpF + PpFCUM t2 (2.6 – 2.7) trong đó SPACUM và PpFCUM là các giá trị dự đoán hay còn gọi là các giá trị trung bình tích lũy, SPA và PpF là giá trị thực tính được từ các tham số thống kê ở thời điểm t. 2.2.5. Phát hiện và giảm thiểu tấn công Chỉ số thống kê lưu lượng được tính theo giá trị chuẩn hóa: DSPA = �SPA − SPACUMSPACUM , SPA ≥ SPACUM0, SPA < SPACUM (2.8) DPpF = �PpF − PpFCUMPpFCUM , PpF ≥ PpFCUM0, PpF < PpFCUM (2.9) - Để xác định có tấn công xảy ra hay không, DSPA và DPpF được so sánh với ngưỡng phát hiện 𝐾𝐾𝐷𝐷. Khi lọc bỏ, các giá trị này được so sánh với ngưỡng lọc bỏ KF. Hình 2.3. - Hệ số KD, KF được lựa chọn tùy theo đặc tính lưu lượng của máy chủ, dịch vụ. 2.2.6. Phân tích và đánh giá hiệu năng của giải pháp Phương pháp phân tích và kịch bản tấn công Hiệu năng của giải pháp được đánh giá thông qua phân tích mô phỏng trên bộ dữ liệu lành tính CAIDA 2013 và bộ dữ liệu CAIDA DDoS 2007 trong thời gian 90 phút. Quá trình phân tích tính toán cho 3 máy chủ (1 máy chủ chịu tấn công và 2 máy hoạt động bình thường) được chia ra làm 3 giai đoạn với cường độ tấn công khác nhau. Khả năng phát hiện tấn công Kết quả tính toán chỉ số thống kê, chỉ số chuẩn hóa trong các cửa sổ thời gian như trong Hình 2.4 và Hình 2.5. Qua đó, nếu lựa chọn với KD = 2, tấn công DDoS được phát hiện trong cả trường hợp cường độ thấp và cao. Khả năng phân loại lưu lượng tấn công Bảng 2.5 thể hiện kết quả thống kê độ nhạy phân loại DRC và tỷ lệ báo động phân loại nhầm FPRC với các giá trị hệ số lọc bỏ KF khác nhau theo tổng dung lượng (bytes). Kết quả cho thấy DRC đạt mức cao giữ ổn định trên 98,5% với FPRC dưới 0,65%. Hệ số KF được lựa chọn để đảm bảo giữ tỷ lệ DR cao trong khi FPR thấp, với kết quả như trong Bảng 2.1, nếu lựa chọn KF = 20-26, DRC đạt mức 98,7% trong khi FPRC ≈ 0,44%. So sánh với giải pháp sử dụng SOM 6 tham số của Braga, DRC cao nhất đạt 98,61% với FPRC ở mức 0,59% cho thấy giải pháp sử dụng mô hình dự đoán làm trơn hàm mũ cho tỷ lệ phân loại cao hơn với tỷ lệ nhầm thấp hơn. Hình 2.3. Mô hình phát hiện và phân loại lưu lượng tấn công 12 Hình 2.4. Giá trị chỉ số SPA và DSPA Hình 2.5. Giá trị chỉ số PpF và DPpF • Đơn giản, sử dụng thuần túy các tham số thống kê cung cấp bởi bộ chuyển mạch biên và cơ chế xử lý gói tin của SDN/Openflow. Số trường thông tin cần truy vấn thấp (3 tham số/mục luồng) so với giải pháp sử dụng SOM 6 hoặc 4 tham số (ít nhất 4 tham số/mục luồng) và giải pháp sử dụng mô hình biến thiên entropy (4 tham số/mục luồng). 2.2.6.4. Khả năng giảm thiểu tấn công Kết quả lọc bỏ lưu lượng tấn công theo KF trong Bảng 2.5 cho thấy DRF đạt trên 95% với FPRF dưới 7%. Với KF = 20-26, DRF ≈ 95,1% với FPRF ≈ 3,3%. Giá trị này cải thiện hơn rất nhiều so với giải pháp sử dụng mô hình biến thiên entropy do Giotis đề xuất với kết quả DRF đạt 95% trong khi tỷ lệ lọc bỏ nhầm FPRF ở mức 32%. 2.2.6.5. Nhận xét, đánh giá So sánh với các giải pháp đã đề xuất có phân tích lưu lượng tương đương, giải pháp phát hiện và giảm thiểu tấn công dựa trên mô hình dự đoán thống kê làm trơn hàm mũ có ưu điểm: Bảng 2.5. Độ nhạy (DR) và tỷ lệ báo động nhầm (FPR)với KF khác nhau 𝐊𝐊𝐅𝐅 Phân loại lưu lượng Lọc bỏ lưu lượng DRC FPRC DRF FPRF 6 99,19 0,62 98,72 6,82 8 99,16 0,58 98,37 4,80 10 99,11 0,56 97,17 3,99 12 99,09 0,54 96,64 3,80 14 99,08 0,52 96,57 3,61 16 99,01 0,51 96,05 3,52 18 98,97 0,49 96,04 3,39 20 98,92 0,47 95,26 3,33 22 98,76 0,44 95,08 3,33 24 98,73 0,44 95,07 3,24 26 98,71 0,42 95,07 3,14 13 𝑡𝑡 = � 𝑇𝑇1, 𝑛𝑛 ≤ 𝐹𝐹 𝑇𝑇2 + (𝑇𝑇1 − 𝑇𝑇2)𝑒𝑒−𝑘𝑘𝑛𝑛−𝑁𝑁𝑁𝑁 , 𝑛𝑛 > 𝐹𝐹 • Thuật toán đơn giản, mỗi tham số chỉ cần tính toán và lưu trữ 1 giá trị trong một chu kỳ giám sát, trong khi các giải pháp khác cần tính toán, lưu trữ một mảng các giá trị để tính trung bình và entropy. Tuy nhiên, giải pháp vẫn tồn tại một số nhược điểm: • Lượng truy vấn lấy tham số thống kê còn lớn, có thể gây nguy cơ nghẽn giao diện Openflow mỗi khi kết thúc chu kỳ giám sát. Vì vậy, giải pháp chỉ phù hợp với hệ thống mạng quy mô nhỏ. • Hiệu năng của giải pháp còn phụ thuộc vào hệ số α của mô hình dự đoán làm trơn hàm mũ, chu kỳ giám sát T. Các tham số này phụ thuộc vào quy mô, đặc tính dữ liệu của từng hệ thống mạng cụ thể. 2.3. Giải pháp giảm thiểu tấn công SYN Flood dựa trên cơ chế ủy nhiệm gói tin SYN tại bộ điều khiển 2.3.1. Đặt vấn đề SYN Flood là kỹ thuật tấn công lâu đời nhưng vẫn là phương thức tấn công phổ biến và nguy hiểm. Luận án đề xuất giải pháp SSP (SDN based SYN Proxy) ứng dụng kỹ thuật SDN/Openflow trong phát hiện và giảm thiểu tấn công SYN Flood bằng cơ chế SYN Proxy tại Bộ điều khiển trong mạng SDN/Openflow ngăn chặn các nguy cơ tấn công từ bên ngoài. 2.3.2. Kiến trúc hệ thống đề xuất Dựa trên kiến trúc chung trong Hình 1.9, SSP được áp dụng cho hệ thống mạng quy mô nhỏ kết nối với Internet qua bộ chuyển mạch biên Openflow như Hình 2.6. 2.3.3. Lựa chọn mô hình ủy nhiệm gói tin SYN Có 2 loại SYN Proxy được sử dụng hiện nay: giả gói tin SYN-ACK và giả gói tin ACK. Do thực hiện ủy nhiệm tại Bộ điều khiển, SSP lựa chọn mô hình loại giả gói tin ACK để giảm bớt xử lý tại Bộ điều khiển, giảm lưu lượng trao đổi trên giao diện Openflow. 2.3.4. Hoạt động của hệ thống SSP Quá trình xử lý gói tin SYN cho một kết nối TCP trong SSP được mô tả như Hình 2.8. Các mục luồng và các actions tương ứng được sắp xếp, cấu hình đảm bảo thực hiện quy trình giám sát quá trình 3HS. - OFS capture và xử lý các gói tin 3HS như lưu đồ Hình 2.9. - Quản lý và giám sát quá trình 3HS tại Module SPM được thực hiện như lưu đồ Hình 2.10. - Dựa trên đặc tính thống kê của lưu lượng thực tế, đề xuất thay đổi thời gian chờ gói CliACK của các luồng theo công thức: Hình 2.6. Kiến trúc hệ thống giải pháp Ủy nhiệm gói tin SYN trên Bộ điều khiển SSP (2.12) n là số lượng kết nối TCP dang dở đang tồn tại, N là số kết nối TCP đang mở trung bình trong điều kiện bình thường; 14 𝑇𝑇1 là thời gian chờ lớn nhất, 𝑇𝑇2 là thời gian chờ nhỏ nhất, k là hệ số hiệu chỉnh. - Thiết lập ngưỡng thay đổi chính sách xử lý gói tin SYN tại bộ chuyển mạch như Hình 2.13. M1 và M2 được xác định dựa trên các điều kiện hoạt động bình thường của mỗi bộ chuyển mạch. (M1 > M2) 2.3.5. Phân tích và đánh giá hiệu năng của giải pháp - Mô hình thử nghiệm testbed: Hiệu năng của SSP được kiểm nghiệm và đánh giá qua mô hình thử nghiệm trong Hình 2.14. Lưu lượng tấn công được phát tăng dần tới khả năng chịu đựng của hệ thống bằng công cụ BoNeSi. - Kết quả thử nghiệm trên testbed: • Tỷ lệ kết nối thành công và thời gian kết nối của lưu lượng lành tính: được thể hiện trong Hình 2.15, Hình 2.16 cho thấy SSP cải thiện đáng kể so với Openflow (duy trì mức 87% trong khi của Openflow suy giảm còn 5% ở tốc độ tấn công 600 pps). • Số lượng kết nối dang dở trên máy chủ: Kết quả đo thống kê cho thấy, SSP giảm số HOCs trên máy chủ tới 86% ở tốc độ tấn công 500pps. • Thời gian tồn tại của các mục luồng trên OFS: kết quả tính thống kê từ lưu lượng thực tế cho thấy so với cơ chế CM, SSP giảm được 94% thời gian tồn tại trung bình của mục luồng tại OFS. Điều này giúp cho tốc độ so khớp, xử lý các actions trên OFS nhanh hơn, tăng khả năng chịu tải ngay cả khi tấn công DDoS xảy ra. • Ảnh hưởng lên bộ điều khiển khi xảy ra tấn công như thể hiện trong Hình 2.19, Hình 2.20 là không đáng kể. - Nhận xét, đánh giá: • Khai thác cơ chế xử lý gói tin trong SDN/Openflow, SSP hoạt động như một SYN Proxy trên Bộ điều khiển giúp giảm đáng kể số lượng kết nối dang dở trên máy chủ, làm tăng khả năng chịu đựng tấn công SYN Flood của máy chủ, tăng tỷ lệ kết nối thành công của lưu lượng lành tính. • SSP làm giảm (tới 94%) thời gian tồn tại của mục luồng lưu lượng lành tính so với cơ chế CM Hình 2.8. Quá trình xử lý yêu cầu kết nối của một gói tin SYN trong giải pháp SSP Hình 2.9. Capture và xử lý các gói tin bắt tay ba bước tại OFS 15 của giải pháp Avant-Guard. Khi có tấn công SYN Flood xảy ra, SSP không làm ảnh hưởng nhiều tới sự chiếm dụng tài nguyên CPU và bộ nhớ trên Bộ chuyển mạch, Bộ điều khiển. Hình 2.13. Chuyển tiếp chính sách xử lý gói tin SYN tại OFS Hình 2.10. Lưu đồ hoạt động của mô đun SPM tại bộ điều khiển Hình 2.14. Mô hình testbed đánh giá hiệu năng giải pháp SSP Hình 2.15. Tỷ lệ kết nối thành công Hình 2.16. Thời gian kết nối trung bình Hình 2.19. Chiếm dụng CPU của Bộ điều khiển Hình 2.20. Chiếm dụng bộ nhớ trên Bộ điều khiển 16 2.4. Giải pháp đánh dấu gói tin PLA DFM phục vụ truy vết nguồn tấn công 2.4.1. Đặt vấn đề Kỹ thuật truy vết nguồn tấn công (traceback) cho phép từ phía trạm đích, có thể tái tạo lại đường đi của gói tin hoặc biết địa chỉ vị trí gói tin được phát ra mà không dựa vào trường địa chỉ IP nguồn. Nội dung phần này đề xuất giải pháp đánh dấu gói tin phục vụ truy vết PLA DFM (Packet Length Adaptive Deterministic Flow Marking) dựa trên sự phân loại và nhận dạng lưu lượng theo luồng, của kỹ thuật mạng SDN/Openflow trong đó có xét đến sự thích ứng với chiều dài gói tin đầu tiên của luồng nhằm tăng hiệu quả đánh dấu. Sử dụng sự kiện table-miss và các bản tin packet-in để chuyển tới và thực hiện đánh dấu tại Bộ điều khiển SDN/Openflow. 2.4.2. Khái niệm về đánh dấu gói tin và các kỹ thuật cơ bản - Trong kỹ thuật traceback bằng đánh dấu gói tin, thông tin đánh dấu (gồm địa chỉ các bộ định tuyến trên đường đi) được chèn vào gói tin gửi tới trạm đích. Có hai kỹ thuật cơ bản là đánh dấu theo xác suất PPM và đánh dấu xác định DPM. PPM đánh dấu theo xác suất tất cả các gói tin. DPM đánh dấu một số gói tin cụ thể trong các gói tin lưu lượng. - Kỹ thuật đánh dấu gói tin theo luồng DFM là giải pháp nâng cấp của DPM thực hiện đánh dấu trên K gói tin đầu tiên của mỗi luồng với thông tin đánh dấu gồm 60 bits: (i) 32 bits địa chỉ IP cổng vào của bộ định tuyến biên In-portIP; (ii) 12 bit NIID và (iii) 16 bit NodeID. Số lượng gói tin cần để đánh dấu thành công cho mỗi luồng phụ thuộc vào các trường tiêu đề dùng để chứa thông tin đánh dấu. 2.4.3. Đề xuất cấu trúc và hoạt động của PLA DFM trên kiến trúc mạng SDN/Openflow - PLA DFM phát triển dựa trên DFM, lợi dụng cơ chế xử lý gói tin SDN/Openflow, K gói tin đầu tiên của mỗi luồng TCP/UDP/ICMP được chuyển tới Bộ điều khiển thông qua sự kiện table-miss và các bản tin packet-in, tại đó chúng được chèn thông tin đánh dấu trước khi lưu chuyển trên Internet. - Để tăng tỷ lệ đánh dấu thành công, giảm xử lý ở Bộ điều khiển, PLA DFM đề xuất sử dụng trường Options để chứa thông tin đánh dấu. Tuy nhiên khi sử dụng trường Options, kích thước gói tin sẽ bị tăng lên 8 bytes, có thể bị vượt ngưỡng MTU của kênh truyền dẫn gây nên sự phân mảnh gói tin. Để giải quyết vấn đề này, PLA DFM thiết lập một giá trị ngưỡng MT dựa trên MTU của kênh truyền và so sánh chiều dài gói tin đầu tiên của luồng FL: • Nếu FL ≤ MT: sử dụng 16 bit của trường ID và 48 bit trường Options của gói tin đầu tiên để chứa thông tin đánh dấu. • Nếu FL>MT: thực hiện đánh dấu trên K gói tin đầu tiên giống như kỹ thuật DFM. Quá trình chèn thông tin đánh dấu vào các gói tin như mô tả ở Hình 2.24. Hình 2.24. Đánh dấu gói tin PLA DFM 17 2.4.4. So sánh và đánh giá hiệu năng của giải pháp - Khảo sát hiệu năng của PLA DFM dựa trên phân tích dữ liệu mô phỏng với bộ lưu lượng thực CAIDA 2013. Các tham số so sánh gồm: tỷ lệ đánh dấu thành công theo luồng SMR, Tỷ lệ gói tin đánh dấu MPR và tỷ lệ dung lượng gói tin đánh dấu MSR. Kết quả ở Hình 2.27, 2.28, 2.29 (với MT=288) và Bảng 2.12, Bảng 2.13. Bảng 2.12. So sánh hiệu năng với K, MT khác nhau Bảng 2.13. Tỷ lệ gia tăng lưu lượng của PLA DFM - Nhận xét, đánh giá: + Cơ chế xử lý gói tin và kỹ thuật quản lý lưu lượng theo luồng trong SDN/Openflow có thể được khai thác để thực hiện đánh dấu gói tin nhằm cung cấp khả năng truy vết nguồn phát sinh lưu lượng tấn công trên Internet. + PLA DFM đánh dấu các gói tin đầu tiên của luồng dựa trên sự thích ứng chiều dài gói và thực hiện tại bộ điều khiển. Kết quả phân tích hiệu năng cho thấy PLA DFM cho tỷ lệ đánh dấu thành công cao (trên 90%) so với DFM (thấp hơn 50%) với tỷ lệ gói tin bị đánh dấu thấp (5% so với 8% trở lên của DFM) và mức độ gia tăng lưu lượng không đáng kể (khoảng 0,05%). + Nếu được chuẩn hóa trong kiến trúc mạng SDN/Openflow và sử dụng thống nhất trên các bộ chuyển mạch biên của ISP hoặc các trung tâm dữ liệu, PLA DFM cho phép truy vết các nguồn tấn công giả mạo MT K SMR MPR MSR 288 3 95.11 4.40 1.11 5 94.26 4.68 1.39 7 93.66 4.91 1.61 500 3 96.95 4.36 1.09 5 96.65 4.58 1.35 7 96.15 4.78 1.56 568 3 97.18 4.26 1.07 5 96.92 4.55 1.34 7 96.46 4.74 1.55 MT Tổng kích thước ban đầu (byte) Kích thước tăng thêm (byte) Tỷ lệ (%) 288 85,209,121,130 36,390,376 0.043 500 85,209,121,130 37,503,744 0.044 568 85,209,121,130 37,668,640 0.044 Hình 2.27. Tỷ lệ SMR Hình 2.28. Tỷ lệ MPR Hình 2.29. Tỷ lệ MSR 18 địa chỉ IP, hỗ trợ ngăn chặn tấn công DDoS trên Internet. 2.5. Kết luận chương Kỹ thuật SDN/Openflow có khả năng cung cấp dữ liệu thống kê về đặc tính lưu lượng và có thể lập trình xử lý lưu lượng theo sự biến thiên của đặc tính ấy. Đặc điểm này phù hợp với quy trình phát hiện và giảm thiểu tấn công DDoS. Sử dụng khả năng đó, nội dung Chương 2 trình bày 3 giải pháp đề xuất đối với 3 yêu cầu phòng chống tấn công DDoS khác nhau trong mạng quy mô lưu lượng nhỏ, đó là: (1) giải pháp phát hiện và giảm thiểu tấn công DDoS bằng mô hình dự đoán làm trơn hàm mũ tham số thống kê lưu lượng, (2) phát hiện và giảm thiểu tấn công SYN Flood dựa trên cơ chế ủy nhiệm gói tin SYN tại bộ điều khiển và (3) đánh dấu gói tin PLA DFM phục vụ truy vết nguồn tấn công. Qua phân tích, đánh giá, so sánh với các giải pháp đã công bố, cho thấy: (1) Các giải pháp đề xuất cho hiệu năng hoạt động được cải thiện hoặc tương đương với các giải pháp đã được công bố; (2) tận dụng được thông tin dữ liệu thống kê, cơ chế xử lý lưu lượng của kỹ thuật SDN/Openflow, có thể áp dụng trực tiếp trong mạng SDN/Openflow chỉ bằng phần mềm ứng dụng trên mặt phẳng điều khiển mà không cần bổ sung thiết bị, module chuyên dụng. (3) Tuy nhiên, do sử dụng giao diện Openflow để truy vấn thông tin lưu lượng và cài đặt các mục luồng để giảm thiểu tấn công nên lưu lượng trên giao diện này bị tăng lên dễ bị nghẽn mạng nhất là khi tấn công DDoS xảy ra. Vì vậy giải pháp phát hiện giảm thiểu tấn công bằng mô hình dự đoán làm trơn hàm mũ và cơ chế ủy nhiệm gói tin SYN trên bộ điều khiển chỉ phù hợp với mạng có qu