1. Trang Chủ
  2. Luận Văn Tốt Nghiệp
  3. Công Nghệ Thông Tin

Khóa luận Phòng chống tấn công từ chối dịch vụ phân tán vào các website

Download
ĐẠI HC QUC GIA HÀ NI  
TRƯỜNG ĐẠI HC CÔNG NGHỆ  
Phm Xuân Bách  
PHÒNG CHNG TN CÔNG TCHI DCH VỤ  
PHÂN TÁN VÀO CÁC WEBSITE  
KHOÁ LUN TT NGHIP ĐẠI HC HCHÍNH QUY  
Ngành: Công nghthông tin  
HÀ NI - 2010  
ĐẠI HC QUC GIA HÀ NI  
TRƯỜNG ĐẠI HC CÔNG NGHỆ  
Phm Xuân Bách  
PHÒNG CHNG TN CÔNG TCHI DCH VỤ  
PHÂN TÁN VÀO CÁC WEBSITE  
KHOÁ LUN TT NGHIP ĐẠI HC HCHÍNH QUY  
Ngành: Công nghthông tin  
Cán bhướng dn: TS. Nguyn Đại Thọ  
HÀ NI - 2010  
LI CM ƠN  
Li đầu tiên em xin bày tlòng biết ơn sâu sc đến thy giáo TS. Nguyn Đại  
Thọ đã hướng dn chbo em rt tn tình trong sut năm hc va qua.  
Em xin bày tlòng biết ơn đến các thy cô giáo trong khoa Công nghthông tin,  
trường Đại hc Công ngh, Đại hc Quc gia Hà Ni. Các thy cô đã dy bo, chdn  
em trong sut bn năm hc ti trường Đại hc Công ngh, to điu kin tt nht giúp  
em hoàn thành khóa lun tt nghip.  
Tôi xin cm ơn các bn sinh viên K51 trường Đại hc Công ngh, đặc bit là các  
bn sinh viên lp K51CA và K51MMT cùng các thành viên cùng phòng 202B kí túc  
xá ngoi ngữ đã đoàn kết, giúp đỡ cùng tôi theo hc các bmôn bích và thú vtrong  
chương trình hc đại hc ti trường.  
Cui cùng, con xin gi ti b, chgái, mnuôi cùng gia đình lòng biết ơn và tình  
cm yêu thương.  
Hà Ni, ngày 19/05/2010  
Phm Xuân Bách  
i
TÓM TT  
Phòng chng tn công tchi dch v, đặc bit là các cuc tn công tchi dch  
vphân tán vào các Website vn đang là đề tài nhn được rt nhiu quan tâm ca các  
nhà nghiên cu. Bên cnh nhng khó khăn do cơ shtng mng còn yếu kém, sự  
phát trin không ngng ca các công cvà phương pháp tn công khiến cho vic  
phòng và chng tn công tchi dch vtrthành mt vn đề rt nan gii. Khóa lun  
này strình bày vmt phương pháp phòng chng tn công tchi dch vhiu quả  
bng cách sdng mt kiến trúc mng bao phủ để bo vWebsite. Trong kiến trúc  
này, mt nhóm các SOAP, secure overlay Access Point, sthc hin chc năng kim  
tra và phân bit người truy cp vi các chương trình độc hi ca nhng ktn công, để  
đưa yêu cu ca người dùng hp lệ đến các node bí mt trong mng bao phbng kết  
ni SSL thông qua mng đó. Sau đó các node bí mt schuyn tiếp yêu cu người  
dùng, qua mt vùng lc, đến vi Server đích. Vic dùng các blc mnh để lc các  
yêu cu độc hi gi trc tiếp đến Server đích, chcho phép các node bí mt được truy  
cp, cùng vi vic sdng mng bao phủ để che giu các node bí mt, và nhóm các  
SOAP trong mng bao phcó thbtn công để sn sàng được thay thế bng các  
SOAP khác, giúp cho Website được bo vvà hn chế ti đa tác động ca các cuc tn  
công. Tuy vy kiến trúc tra bt lc khi mt hoc mt scác node trong mng bao  
phbchiếm dng trthành node gây hi và tn công mng. Khóa lun đã thc hin  
các ci tiến, để có thphát hin tình hung node gây hi tn công, và tự động chuyn  
hướng truy vn để tránh khi stn công gây hi. Sau khi xây dng mt kch bn tn  
công, kiến trúc ci tiến đã được kim tra cho thy kết qurt khquan.  
Tkhóa: Denial of Service, overlay node, Graphic Turing Test  
ii  
MC LC  
LI CM ƠN............................................................................................ i  
TÓM TT.................................................................................................. ii  
MC LC ................................................................................................. iii  
MỞ ĐẦU ................................................................................................... 1  
Chương 1: CÁC CÁCH THC TN CÔNG TCHI DCH V........ 3  
1.1 Thiết lp nên mng Agent .............................................................. 3  
1.1.1 Tìm kiếm các máy dbtn thương ...................................... 3  
1.1.2 Đột nhp vào máy dbtn thương....................................... 3  
1.1.3 Phương pháp lây truyn ........................................................ 4  
1.2 Điu khin mng lưới máy Agent .................................................. 5  
1.2.1 Gi lnh trc tiếp ................................................................... 5  
1.2.2 Gi lnh gián tiếp................................................................... 5  
1.2.3 Unwitting Agent..................................................................... 6  
1.2.4 Thc hin tn công................................................................. 7  
1.3 Các cách thc tn công tchi dch v.......................................... 8  
1.3.1 Khai thác các đim yếu ca mc tiêu..................................... 8  
1.3.2 Tn công vào giao thc.......................................................... 8  
1.3.3 Tn công vào Middleware...................................................... 10  
1.3.4 Tn công vào ng dng.......................................................... 10  
1.3.5 Tn công vào tài nguyên ........................................................ 11  
1.3.6 Pure Flooding......................................................................... 11  
1.4 IP Spoofing..................................................................................... 12  
iii  
1.5 Xu hướng ca DoS ......................................................................... 13  
Chương 2: CÁC BIN PHÁP PHÒNG CHNG TRUYN THNG.... 14  
2.1 Bin pháp pushback........................................................................ 14  
2.2 Bin pháp Traceback ...................................................................... 15  
2.3 Bin pháp D-WARD ...................................................................... 18  
2.4 Bin pháp NetBouncer.................................................................... 19  
2.5 Bin pháp “Proof of Work............................................................ 20  
2.6 Bin pháp DefCOM........................................................................ 21  
2.7 Bin pháp COSSACK .................................................................... 22  
2.8 Bin pháp Pi.................................................................................... 23  
2.9 Bin pháp SIFF............................................................................... 24  
2.10 Bin pháp lc đếm chng HCF..................................................... 25  
Chương 3: SOS VÀ WEBSOS.................................................................. 27  
3.1 Giao thc Chord ............................................................................. 27  
3.2 Kiến trúc SOS................................................................................. 29  
3.3 Kiến trúc WebSOS ......................................................................... 31  
3.3.1 Gii pháp đề xut ................................................................... 31  
3.3.2 Kiến trúc ca WebSOS .......................................................... 31  
3.3.3 Cơ chế ca WebSOS.............................................................. 32  
3.3.3.1 Cơ chế chung................................................................... 32  
3.3.3.2 Cơ chế định tuyến ........................................................... 34  
3.3.4 Cơ chế bo v......................................................................... 34  
3.3.5 Đánh giá ưu, nhược đim ca kiến trúc WebSOS ................ 36  
Chương 4: THC NGHIM, CI TIN VÀ KT QU......................... 37  
4.1 Môi trường thc nghim................................................................. 37  
4.2 Cài đặt kiến trúc WebSOS.............................................................. 37  
iv  
4.3 Kim tra độ trca các kết ni....................................................... 38  
4.4 Đề xut ci tiến............................................................................... 39  
4.4.1 Vn đề vmng bao phca WebSOS ................................ 39  
4.4.2 Đề xut ci tiến ...................................................................... 40  
4.4.3 Thc thi đề xut ..................................................................... 42  
4.4.3.1 Kch bn thnghim....................................................... 42  
4.3.3.2 Kết quthnghim......................................................... 43  
4.3.3.2.1 Vi chương trình gc ............................................... 43  
4.3.3.2.2 Vi chương trình ci tiến ......................................... 44  
4.4.4 Đánh giá hiu năng ca chương trình ci tiến....................... 46  
Chương 5: KT LUN ............................................................................. 50  
5.1 Các kết quả đã đạt được.................................................................. 50  
5.2 Các kết quhướng ti..................................................................... 50  
TÀI LIU THAM KHO ......................................................................... 52  
v
MỞ ĐẦU  
Tn công tchi dch v(Dos, Denial of Services) đã ngày càng trthành mt  
mi đe da ln đối vi stin cy ca mng internet. Là các cuc tn công sdng  
nhiu cách thc tchc và thc hin khác nhau, tvic dùng chmt máy ti vic thu  
thp các máy agent dưới quyn vi slượng lên đến hàng chc ngàn máy phc vtn  
công, mc đích ca các cuc tn công là làm tê lit các ng dng, máy ch, toàn bộ  
mng lưới, hoc làm gián đon kết ni ca người dùng hp pháp ti Website đích. Mt  
nghiên cu ti UCSD [23] đã chra rng ngay từ đầu thp niên này các cuc tn công  
tchi dch vụ đã din ra vi mt tllên ti 4000 cuc tn công mi tun. Trong  
năm 2002, mt cuc tn công tchi dch v[22] đã làm sp ti 9 trong s13 máy  
chDNS root ca toàn thế gii. Mc độ ảnh hưởng nghiêm trng ca các cuc tn  
công tchi dch v, mà đặc bit được nhc đến nhiu nht là tn công tchi dch vụ  
phân tán DDoS, đã dn đến mt lot các nghiên cu nhm hiu rõ hơn vcác cơ chế  
tn công, để đưa ti các cách thc giúp có thphòng chng nh hưởng tiêu cc ca nó.  
Có nhiu phương pháp đã được đề xut nhm chng li các cuc tn công tchi dch  
v, tvic lc các gói tin để tránh gimo địa chngun, chuyn hướng tn công, đẩy  
ngược lung giao thông tn công trli mng, cách ly để phân bit máy khách và giao  
thông máy ch, … Mi gii pháp đó đều rt tt, và cung cp kĩ thut giúp chúng ta  
định vvn đề tn công tchi dch v. Song các phương pháp chcó thbo vli  
tng khía cnh ca tn công tchi dch v. Khóa lun ca tôi trình bày mt phương  
pháp phòng chng tn công tchi dch vphân tán rt hiu quvà toàn din hơn thế.  
Đó là vic áp dng kiến trúc mng bao ph, để bo vmc tiêu khi stiếp cn ca kẻ  
tn công. Da trên kiến trúc mng bao ph, có mt số đề xut được đưa ra đó là kiến  
trúc SOS và WebSOS. Kiến trúc SOS sdng mt mng bao phủ để chcho các truy  
vn hp pháp đã qua xác thc được phép đến server đích. Da vào vic sdng các  
node bí mt, và chcó giao thông tcác node này mi có thể đến được server đích,  
kiến trúc tra khá hiu qutrong vic bo vWebsite. Kế tha kiến trúc SOS,  
WebSOS trin khai mng bao phvi mt scơ chế ci tiến như xác thc người dùng  
thông qua bài kim tra CAPTCHA, kết ni thông qua proxylet cùng vi vic xác thiết  
lp kết ni SSL và xác thc X.509, nhm tăng mc độ bo mt hơn cho hthng. Để  
giúp cho WebSOS có thtránh được ccác trường hp các node trong mng bao phủ  
bchiếm dng trthành ngun tn công, chúng tôi đưa ra các đề xut ci tiến nhm tự  
động phát hin, và thay đổi truy vn để tránh được cuc tn công như vy.  
1
Phn tiếp theo ca khóa lun được tchc như sau:  
Chương 1: Các phương thc tn công tchi dch vnêu lên mt cách tng quan  
vcác cách thc mt ktn công phi thc hin nhm to ra mt cuc tn công tchi  
dch v.  
Chương 2: Các phương pháp phòng chng tn công tchi dch vụ đã được đề  
xut trước đây. Nhiu phương pháp hin nay vn là nhng nghiên cu đáng quan tâm  
trong lĩnh vc phòng chng tn công tchi dch v. Các phương pháp lc, vi sự  
phát trin ca cơ shtng mng, nếu được thc hin đồng bcó thgim thiu nguy  
cơ tn công tchi dch vcho các Website.  
Chương 3: SOS và WebSOS, gii thiu vcơ chế ca hai kiến trúc bo vệ  
Website khi tn công tchi dch vthông qua vic sdng mng bao phvà node  
bí mt. Từ đó nêu lên các đặc đim ct li được tôi sdng để tham gia vào kiến trúc  
được ci tiến nhm phòng chng tn công tchi dch v.  
Chương 4: Thc nghim, ci tiến và kết qunêu lên nhng kết quca tôi trong  
vic thc hin trin khai mô hình kiến trúc WebSOS và các phân tích nhm đưa ra ci  
tiến giúp hthng trlên mnh mhơn chng li các cuc tn công ngay ttrong các  
node thuc mng bao phkhi mt snode bchiếm dng trthành ngun tn công.  
Chương 4 cũng đưa ra các kết quả đánh giá hiu năng ca kiến trúc ngun WebSOS và  
kiến trúc ci tiến thông qua kch bn tn công được xây dng và qua vic đo mt số  
thông svề độ trtruy vn thc hin qua mô hình các kiến trúc này.  
Chương 5: Kết lun tng kết li các kết quả đã đạt được, cùng vi các kết qumà  
nghiên cu khóa lun hướng ti nhm hoàn thin mô hình để hướng ti mc tiêu có  
thtrin khai thc hin.  
2
Chương 1: CÁC CÁCH THC TN CÔNG TỪ  
CHI DCH VỤ  
Mt cuc tn công DDoS cn phi được chun bklưỡng bi ktn công.  
Trước tiên là bước chiếm dng các máy khác làm lc lượng cho bn thân. Vic này  
được thc hin bng cách tìm máy dbtn thương, sau đó đột nhp vào chúng, và cài  
đặt mã tn công. Tiếp theo đó, ktn công thiết lp các kênh giao tiếp gia các máy,  
để chúng có thể được kim soát và tham gia cuc tn công mt cách có phi hp. Vic  
này được thc hin bng cách sdng mt kiến trúc handler/agent hoc mt điu  
khin và kênh điu khin thông qua mng IRC. Mt khi các mng DDoS được xây  
dng, nó có thể được sdng để tn công nhiu ln, chng li các mc tiêu khác nhau.  
1.1 Thiết lp nên mng Agent.  
Tùy vào mi kiu tn công tchi dch v, ktn công cn tìm kiếm và thiết lp  
cho mình mt mng lưới ln các máy tính để dùng cho vic tn công. Vic này có thể  
thc hin thcông, bán tự động hoc là tự động hoàn toàn. Trong các trường hp ca  
hai DDoS công cni tiếng trước đây, trinoo và Shaft, chquá trình cài đặt được tự  
động, trong khi phát hin và chiếm dng các máy dbtn thương được thc hin mt  
cách thcông. Hin nay, nhng ktn công thường sdng script để tự động hóa toàn  
bquá trình.  
1.1.1 Tìm kiếm các máy dbtn thương  
Quá trình tìm kiếm dbtn thương được gi là quét - scanning. Ktn công sgi  
mt gói vài mc tiêu la chn để xem liu nó có còn sng và dbtn thương. Nếu  
nhn thy máy phù hp, nhng ktn công scgng đột nhp vào máy.  
1.1.2 Đột nhp vào máy dbtn thương  
Ktn công cn phi khai thác mt lhng trong máy mà hn đang có ý định  
tuyn dng để được truy cp vào và “shu” chúng. Phn ln các lhng bo mt  
cung cp cho mt ktn công quyn truy cp vào hthng vi quyn cao nht -  
administrator, và hn có ththêm/ xóa/ thay đổi các tp tin hoc hthng cài đặt theo  
ý thích. Và để to thun li cho vic truy nhp vào máy tính bshu trong tương lai,  
ktn công thường cho chy mt chương trình cgng lng nghe kết ni đến tmt  
cng nht định. Chương trình này được gi là backdoor. Kết ni thông qua backdoor  
3
mt số được bo vbi mt khu mnh, mt sli mvà chp nhn mi kết ni bên  
ngoài.  
Thường các lhng bo mt sao khi được phát hin sẽ được gim nhbi các  
bn vá – patch. Tuy vy các ktn công luôn cgng khai thác, tìm kiếm các lhng  
khác mà máy có thcó. Và có mt lhng không thgim nh, hoc được sa bi bn  
vá, đó là mt mt mã truy nhp máy tính yếu. Mt schương trình khai thác có cha  
các từ đin mt khu chung thường được sdng. Chúng thcác mt khu trong danh  
sách đó để đột nhp vào máy tính. Có thmt nhiu thi gian, song trong nhiu trường  
hp chúng cũng khai thác được các mt khu yếu ca người dùng và đạt được quyn  
truy nhp hp lệ đến máy người đó. Người dùng thường nghĩ rng không đặt mt khu  
cho tài khon Administrator là hp lý, hoc cho rng, "password" hoc mt stừ đơn  
gin khác là đủ để bo vtài khon. Và đó là nhng nhm ln nghiêm trng có thể  
khiến hphi trgiá đắt.  
1.1.3 Phương pháp lây truyn  
Ktn công cn phi quyết định mt mô hình phát tán cho vic cài đặt phn mm  
độc hi ca mình. Mt mô hình đơn gin là kho lưu trtrung ương, hoc bnhcache,  
vi cách tiếp cn: Ktn công lưu các phn mm độc hi trong mt kho lưu trtp tin  
(ví d, mt máy chFTP) hoc trang web ca mt Web, và các máy truy cp sbị  
nhim mã tkho này. Ktn công cài đặt trinoo và Shaft sdng phương pháp tiếp  
cn tp trung như vy trong nhng ngày đầu. Năm 2001, sâu W32/Leaves sdng mt  
biến thca các trang web bcu hình li làm bnhcache ca nó, cũng như các sâu  
W32/ SoBig gi thư hàng lot trong năm 2003. Vi người phòng chng, phương pháp  
này có thun li đó là ddàng trong vic nhn din để loi bngun tp trung mã độc  
ca ktn công.  
Mt mô hình khác là back-chaining, hay là kéo-pull, trong đó nhng ktn công  
mang công cca mình tmt máy chlưu trban đầu btn hi đến máy chủ để  
chiếm dng máy mi, cnhư vy thành mt chui ni tiếp.  
Cui cùng, phương pháp chủ động, push, hay lan truyn thng kết hp gia vic  
khai thác và lây truyn trong cùng mt tiến trình. Đim khác bit so vi back-chaining  
đó là trong ngay chính tiến trình khai thác đã cha các mã độc để lan truyn đến máy  
btn hi, chkhông phi là copy mã độc đó sau khi đã chiếm dng các máy tn hi.  
4
1.2 Điu khin mng lưới máy Agent  
Khi mng lưới các agent ln dn, ktn công cn giao tiếp vi các máy này để  
điu khin chúng cho hot động tn công. Mc đích ca vic giao tiếp này nhm giúp  
ktn công có thế đưa ra lnh bt đầu/ kết thúc các cuc tn công cthcũng như  
giúp hn có thly nhng sliu cthvhành vi ca các máy agent.  
1.2.1 Gi lnh trc tiếp  
[17] Mt scác công cDDoS như trinoo xây dng mt mng lưới  
handler/agent. Đây là kiến trúc các lp bao phgiúp ktn công có thche giu định  
danh ca bn thân. Hn ssdng mt, hoc mt vài máy để chuyn các lnh điu  
khin mng DDoS đến các máy nn nhân – agents. Các máy này được gi là các  
handler, hay master. Các câu lnh có thlà các văn bn không được mã hóa, hay được  
mã hóa, hoc các chui byte nhphân. Phân tích lnh và điu khin giao thông gia  
các handler và các agent có thcho cái nhìn sâu sc khnăng ca nhng công cmà  
không cn phi truy cp vào các phn mm độc hi hay mã ngun ca nó.  
Để các handler và agent, theo các công cnhư trinoo, Stacheldraht, và Shaft có  
thhot động, các handler phi biết địa chca các agent và nhớ được chúng sau khi  
hthng hoc chương trình khi động li. Các công cDDoS trước đây thường mã  
hóa chúng li, ri gi thông báo vi handler trong khi chiếm dng máy agent. Các  
handler slưu gichúng trong mt file để duy trì thông tin vmng lưới DDoS. Trong  
vài trường hp các handler còn không cha cơ chế xác thc, nghĩa là bt kì máy nào  
cũng có thgi lnh đến cho handler. Các nghiên cu trước đây vmt scông cụ  
như trinoo, TFN, Stacheldraht, Shaft, và mstream đều cho thy các handler và agent  
đều có thbphát hin và điu khin li. Điu này khiến mt sktn công có thsử  
dng mng lưới DDoS ca kkhác, cũng như giúp mt sngười phòng thcó thể điu  
khin ngược li các handler để ngng cuc tn công. Mt scác công cDDoS dùng  
kiến trúc handler/ agent bo vtruy cp đến các handler bng mt khu, hoc mt khu  
mã hóa, hoc mã hóa danh sách các agent để tránh vic phát hin ra địa ch, và điu  
khin các agent khi handler bphát hin.  
1.2.2 Gi lnh gián tiếp  
[17] Truyn thông trc tiếp gây ra mt vài nhược đim cho nhng ktn công.  
Vì handler cn thiết để lưu định danh ca các agent, và thường xuyên, mt máy tính  
handler slưu định danh ca các agent này, mt khi chúng ta phát hin và nm giữ  
5
mt máy, mng máy DDoS toàn có thể được xác định. Hơn na, mô hình truyn thông  
trc tiếp đã to ra skin bt thường có thddàng phát hin khi kim soát mng. Do  
cơ chế ca tryn thông trc tiếp là handler và agent phi sn sàng chp nhn lng nghe  
trên mt cng nht định, vì vy khi kim tra bng nhiên thy máy khi to kết ni đến  
mt máy khác trên mt cng llà có thphát hin vic máy bchiếm dng. Kim tra  
các gói tin gi và nhn qua kết ni này, người qun trmng có thxác định địa chỉ  
ca máy mình kết ni. Ngay ckhi không có kết ni, da vào vic giám sát các cng  
mtrên máy cũng có thphát hin được các tiến trình ca handler hoc agent. Cui  
cùng, ktến công cũng phi viết các mã riêng ca mình cho vic truyn các lnh và  
điu khin.  
Đó là lý do các ktn công chuyn sang vic truyn thông qua các IRC. Lúc này  
cktn công và các agent skết ni đến mt IRC server nào đó, vì vy nó là hp lệ  
và không to ra mt skin bt thường nào c. Vai trò ca hanlder giờ được thc hin  
bi mt kênh đơn ltrên IRC server, và thường được bo vbi password. Thông  
thường có mt kênh mã hóa cng vào trong các con bot trong máy nn nhân, nơi mà  
nó kết ni vào ban đầu để tìm hiu xem kênh điu khin thc snm ở đâu. Và sau đó  
nó skết ni vào trong kênh điu khin đó. Vic nhy kênh thm chí cũng có ththc  
hin trong mng IRC thông qua cách này. Từ đó, con bot có thnhn lnh ca ktn  
công đến qua kênh điu khin mà nó tìm được và kết ni đến, để thc hin lnh, như  
quét tìm máy agent khác, tn công DDoS, update, …  
Vic gi lnh gián tiếp có rt nhiu ưu đim. Server thì vn tn ti mà được duy  
trì bi người khác, còn ktn công chcn mt kênh thông tin ca server trong hàng  
ngàn kênh chat khác, nên srt khó để phát hin, dù cho là nó có thtrthành mt  
kênh khác lkhi có ti hàng ngàn, chc ngàn người đột nhiên tham gia chtrong vài  
phút. Thm chí khi bphát hin thì cũng cn phi tiếp xúc được vi người qun lý  
server mi có thdng kênh truyn, trong khi server IRC rt có thli là mt server  
nước ngoài nào đó. Hơn na, theo cơ chế phân tán ca IRC, không cn tt ccác client  
phi truy cp vào cùng mt server IRC mi có ththam gia vào kênh handler, mà chỉ  
cn truy cp vào mt server trong cùng mng. Hu hết các công cxut hin sau  
Trinity đều li dng cơ chế truyn thông này.  
1.2.3 Unwitting Agent  
[17] Ngoài ra còn có mt lp ca các cuc tn công DDoS vi lc lượng tham  
gia là các máy tính có lhng bo mt mà vic khai thác không nht thiết đòi hi phi  
6
cài đặt bt kphn mm độc hi trên máy tính này, nhưng, thay vào đó cho phép kẻ  
tn công kim soát các máy chủ để làm cho chúng to ra các giao thông tn công. Kẻ  
tn công tp hp mt danh sách các hthng dbtn thương và, ti thi đim vtn  
công, có các agent thông qua danh sách này gi các lnh để bt đầu khai thác các  
lung giao thông. Các lưu lượng truy cp to ra là hp pháp. Ví d, ktn công có thể  
li dng mt lhng hin nay ti mt máy chWeb để làm nó để chy chương trình  
PING.EXE. Mt snhà nghiên cu đã gi là các unwitting agent.  
Sdng các unwitting agent, thay vì phi cài đặt mã độc trên máy nn nhân, kẻ  
tn công sdng các lhng bo mt để thâm nhp vào máy và chy các phn mm  
hp pháp sn có trên hthng, vì vy vic chng trli hành động tn công này trở  
nên rt khó và phc tp. Do trên máy nn nhân không cha mã độc hi, nên các  
chương trình quét cng truy cp, quét file hthng, hoc quét virus không thphát  
hin.Thường chcó thphát hin thông qua vic giám sát lưu lượng mng, các chương  
trình quét lhng bo mt như Nessus. Và chcó cách vá các li bo mt mi giúp  
vic blm dng máy và các phn mm hp pháp trong máy được hn chế, gim thiu  
nguy cơ bchiếm dng máy làm agent cho cuc tn công.  
1.2.4 Thc hin tn công  
Mt scuc tn công được lên lch trước và mã hóa trong mã độc truyn đến các  
agent, và định sn mt thi đim thì shot động, đồng lot tn công vào mt mc tiêu  
nào đó. Tuy nhiên, hu hết các cuc tn công xy ra khi ktn công phát đi mt lnh  
tcác handler đến các agent. Trong vtn công, giao thông điu khin hu hết đều  
gim. Tùy thuc vào loi công ctn công được sdng, nhng ktn công có thể  
hoc không có khnăng phát lnh dng cuc tn công. Thi hn ca cuc tn công  
thường được quy định ti lnh ca ktn công hay kim soát bi các thiết lp mc  
định biến. Mt đim khá tt cho vic phòng thnếu ktn công ri khi mng tn  
công vào thi đim tn công tràn ngp đã bt đầu. Tuy nhiên, có khnăng là ktn  
công là quan sát các cuc tn công liên tc, tìm kiếm nh hưởng ca nó vào các mc  
tiêu thnghim. Mt scông c, như Shaft, có khnăng cung cp phn hi vthng  
kê tn công tràn ngp. Nhng ktn công đang thnghim mt sloi tn công,  
chng hn như tn công tràn gói tin ICMP, TCP SYN, và UDP, trước khi chính thc  
tn công thc snhm vào nhiu mc tiêu .  
7
1.3 Các cách thc tn công tchi dch vụ  
Có mt sphương pháp gây ra tchi dch v. To ra mt hiu ng DoS là tt cả  
các cách có thể để phá hng hoc làm cho hthng ngng hot động. Có nhiu cách  
để làm mt hthng ngng hot động, và thường stn ti nhiu lhng trong hệ  
thng để nhng ktn công scgng khai thác hoc định vị để tn công vào trong  
chúng cho đến khi hn nhn được kết qumong mun: mc tiêu bphi chuyn sang  
trng thái offline.  
1.3.1 Khai thác các đim yếu ca mc tiêu  
Vic tn công bng cách khai thác các đim yếu ca mc tiêu bao gm vic gi  
các gói tin khai thác các lhng tn ti trong máy mc tiêu đó. Ví d, có mt li trong  
Windows 95 và NT, và mt sht nhân Linux, trong vic xlý không đúng các gói  
phân mnh. Thông thường, khi mt gói tin quá ln cho mt mng nào đó, nó được chia  
thành hai (hoc hơn) các gói nhhơn, và mi phn trong shọ được đánh sthtự  
phân mnh. Vic đánh du chra thtca byte đầu tiên và byte cui cùng trong gói  
tin, đối vi bn gc. Ti máy nhn các gói tin, chúng được hp li thành các gói dữ  
liu gc thông qua vic ni các gói tin theo sthtự đã đánh. Tuy vy các lhng  
trong ht nhân trên đã khiến cho máy trnên không n định khi nhn các gói tin  
không đúng sthtphân mnh, khiến nó có thtreo, sp đổ, hoc khi động li.  
Đim dbtn thương này có thể được khai thác bng cách gi gói tin UDP vi sthứ  
tlp cho nn nhân. Có mt sbiến thca vic khai thác này – gi các mnh có số  
thtchng nhau, mt gói tin có offset chng lên gói thhai trước khi bt đầu tiêu đề  
trong gói đầu tiên, và như vy. Chúng được biết đến như là các khai thác bonk, boink,  
teardrop, và newtear.  
Các cuc tn công đặc bit dgây tn thương xu bi vì chúng có thlàm sp đổ hay  
treo máy bng vic chcn gi lp li mt hoc hai gói tin được chn la cn thn.  
Tuy nhiên, mt khi lhng được vá, các cuc tn công ban đầu trnên hoàn toàn  
không hiu qu.  
1.3.2 Tn công vào giao thc  
[17][18]Mt ví dlý tưởng ca các cuc tn công giao thc đó là tn công tràn  
ngp gói TCP SYN. Mt phiên kết ni TCP bt đầu vi vic bt tay ba bước gia mt  
máy khách và máy ch. Khách hàng gi mt gói tin TCP SYN đến máy ch, yêu cu  
mt sdch v. Trong phn đầu gói SYN, khách hàng cung cp stht- sequence  
8
number ca mình, mt uniqueper- skết ni sẽ được sdng để đếm dliu được gi  
đến máy ch(vì vy các máy chcó thnhn ra và xlý mt tích, thtiu dliu  
không đúng, hoc dliu lp đi lp li). Khi nhn được gói SYN, máy chcp phát  
mt khi điu khin truyn dn (TCB), lưu trthông tin vkhách hàng. Sau đó nó trả  
li bng mt SYN-ACK, thông báo cho khách hàng có yêu cu rng dch vca nó sẽ  
được cp, ghi nhn sthtca khách hàng và gi thông tin vsthtban đầu ca  
máy ch. Các khách hàng, khi nhn được gói SYN-ACK, cũng cp phát mt khi điu  
khin truyn dn, sau đó trli vi mt gói ACK đến máy ch, để hoàn thành vic mở  
kết ni.  
Tim năng lm dng nm trong vic cp phát ngun tài nguyên ca máy chủ  
ngay tkhi nhn được gói SYN. Khi máy chgiao TCB ca mình và trli bng mt  
SYN-ACK, kết ni được cho là na m. Nghĩa là tài nguyên máy chcp phát sẽ được  
giữ để dành cho kết ni vi khách hàng, cho đến khi khách hàng gi mt gói tin ACK,  
đóng kết ni (bng cách gi gói tin RST) hoc cho đến khi hết hn chvà server ngt  
kết ni, gii phóng không gian đệm. Và cho dù khách hàng có gi li gói tin khác, hay  
không, thì tài nguyên đó sẽ được cp phát gitrong mt khong thi gian nht định.  
Trong mt cuc tn công tràn gói tin TCP SYN, ktn công to ra vô scác kết ni  
na mbng cách sdng gimo IP ngun. Nhng yêu cu nhanh chóng vt kit bộ  
nhTCB ca máy ch, và khi đó máy chskhông còn có thchp nhn yêu cu kết  
ni đến na. Để có thgicho tình trng này được kéo dài như mong mun, ktn  
công cn phi to ra mt dòng đều đặn các gói SYN đối vi nn nhân (để giành ly  
nhng tài nguyên đã được gii phóng bi thi gian tm ngưng hoc hoàn thành các  
phiên TCP).  
Đây là mt cuc tn công đặc bit nguy him, khi mà máy chnhn được mt số  
lượng ln các gói SYN hp pháp và không thddàng phân bit các gói tkhách  
hàng hp pháp vi các gói tgiao thông tn công.  
Để thc hin thành công mt cuc tn công tràn ngp gói SYN, ktn công cn  
xác định vtrí cng mtrên máy ca nn nhân. Sau đó, chcn gi mt lưu lượng gói  
tin nh, tm 10 gói SYN/ phút là có thdn dn vt kit tài nguyên ca nn nhân. Mt  
kiu tn công SYN ít phbiến hơn đó là tn công tràn gói SYN vi cng ngu nhiên.  
Trong đó, ktn công to ra mt khi lượng ln các gói tin TCP SYN nhm mc tiêu  
cng ngu nhiên ca nn nhân, vi mc tiêu áp đảo tài nguyên mng ca nn nhân,  
hơn là làm đầy bnhớ đệm ca nn nhân.  
9
Tn công vào giao thc rt khó để có thchng li bng phương pháp sa cha,  
to bn vá. Bi to bn vá yêu cu phi thay đổi giao thc, trong khi thc tế cho thy  
vic thay đổi giao thc internet gn như là bt khthi. Trong mt strường hp, vic  
sdng giao thc hin ti mt cách thông mình có thgii quyết vn đề. Như vic sử  
dng TCP SYN cookies có thgii quyết được tn công tràn gói SYN mà chcn thay  
đổi cách server xlý kết ni đến.  
1.3.3 Tn công vào Middleware  
Các cuc tn công có thể được thc hin trên các thut toán, chng hn như hàm  
băm mà thông thường sthc hin các hot động ca mình trong thi gian tuyến tính  
cho mi mc tiếp theo. Bng cách chèn các giá trmà to ra các trường hp xu nht,  
ktn công có thkhiến các ng dng thc hin chc năng ca mình trong thi gian  
tiếp theo hàm mũ đối vi mi tham snhp vào.  
Khi ktn công có thtdo gi dliu được xlý bng cách sdng hàm băm dbị  
tn thương, hn có thgây ra vic CPU ca máy chbsdng quá năng lc khiến  
cho nhng hot động bình thường chtn vài phn ca giây để xlý, giphi mt vài  
phút để hoàn thành. Và nó cũng không cn đến mt slượng ln request để thc hin  
cũng có thlàm quá ti các ng dng, khiến nó không còn năng lc để phc vụ được  
người dùng hp pháp.  
1.3.4 Tn công vào ng dng  
Nhng ktn công có thnhm mc tiêu mt ng dng cthvà gi gói tin để  
đạt ti gii hn ca yêu cu dch vụ ứng dng này có thxlý. Ví d, các máy chủ  
web phi mt mt thi gian nht định để phc vyêu cu trang Web bình thường, và  
do đó stn ti mt shu hn các yêu cu ti đa cho mi giây mà hcó thduy trì.  
Nếu chúng ta giả định rng các máy chWeb có thxlý 1.000 yêu cu mi giây để  
ti các file to nên trang chca mt công ty, do đó nhiu nht là 1.000 yêu cu ca  
khách hàng có thể được xđồng thi. Chúng ta giả định là máy chWeb này bình  
thường xlý hàng ngày là 100 yêu cu / giây (mt phn mười công sut).  
Nhưng nếu ktn công điu khin 10.000 máy agent, và có khnăng mi mt  
máy trong số đó có thc hin mt yêu cu mi 10 giây đến máy chWeb? Đó là tn  
sut 1.000 yêu cu / giây, cng thêm vào giả định giao thông bình thường na trở  
10  
thành 110% công sut ca máy ch. Bây gimt phn ln các yêu cu hp pháp sẽ  
không ththông qua bi vì máy chbbão hòa.  
Cũng như các cuc tn công vào middle ware, mt cuc tn công ng dng có  
thkhông làm tê lit toàn bmáy chlưu trhoc xut hin như mt slượng ln các  
gói tin gi ti server. Vì vy, mt ln na, nhiu cách phòng thkhông thgiúp bo vệ  
chng li loi hình tn công này.  
1.3.5 Tn công vào tài nguyên  
Nhng ktn công có thnhm mc tiêu mt tài nguyên cthnhư chu kCPU  
hoc khnăng chuyn đổi router. Trong tháng 1 năm 2001, Microsoft phi chu mt  
li mt đin được báo cáo gây ra bi mt li cu hình mng. Điu này đã phá vmt  
slượng ln tài sn ca Microsoft. Khi tin tc vcuc tn công được công b, người  
ta đã phát hin ra rng tt ccác máy chDNS ca Microsoft trên cùng mt network  
segment, phc vbi cùng mt router. Sau đó ktn công nhm vào cơ shtng  
định tuyến phía trước ca các máy chđánh sp tt ccác dch vtrc tuyến ca  
Microsoft.  
Microsoft nhanh chóng di chuyn để gii tán các máy chtên min ca họ đi nơi  
khác và cung cp định tuyến đường dn dphòng đến các máy chủ để gây khó khăn  
cho ktn công trong vic phá hoi hot động dch vca h. Loi btc nghn và  
nâng cao năng lc có thgii quyết các cuc tn công tài nguyên, tuy nhiên ktn  
công có thể đáp li bng các cuc tn công mnh mhơn na. Và đối vi các công ty  
có ngun tài nguyên ít hơn so vi Microsoft, vượt quá khnăng cung cp và dch vụ  
phân tán vmt địa lý có thkhông phi là mt la chn khthi vtài chính.  
1.3.6 Pure Flooding  
Vi mt slượng đủ ln các agent, ktn công chcn gi bt kì loi gói tin nào  
đến mc tiêu, càng nhanh càng tt tmi máy là đủ tiêu thhết băng thông mng ca  
mc tiêu. Đây được gi là cuc tn công tiêu thbăng thông. Nn nhân không thmt  
mình chng đỡ li được cuc tn công này, vì các gói tin hp pháp được gi vào liên  
kết gia nhà cung cp dch vvà mng ca nn nhân. Vì vy, nn nhân thường phi  
yêu cu sgiúp đỡ ca các ISP để lc ra các gói tin tn công gi ti.  
Trong các trường hp đó, thường các ISP cũng bị ảnh hưởng bi cuc tn công,  
ít nht là trên router kết ni gia mng ca ISP và ca nn nhân. Thường chính họ  
cũng cn phi lc li trên router và thm chí còn phi yêu cu nhà cung cp đường  
11  
truyn upstream lc các giao thông đến mng ca h. Trong vài trường hp, các gói tin  
tn công là đơn gin để lc như các gói tin UDP đến các cng không được sdng,  
các gói tin vi giá trIP 255. trường hp khác, các gói tin rt khó để lc, như gói  
DNS query, http request… thì vic lc sloi ccác gói tin hp l, do đó sau khi lc  
thì giao thông gi ti khách hàng ca nn nhân strvkhông, ktn công đạt được  
kết quca tn công DoS.  
1.4 IP Spoofing  
Mt chiến thut được sdng trong các cuc tn công nguy him, đặc bit ở  
DDoS đó là IP Spoofing, hay IP gimo. Trong các gói tin mng bình thường, trường  
tiêu đề slà nơi cha địa chIP ca máy ngun, địa chmáy đích. Gimo IP din ra  
khi mt phn mm độc hi to ra các gói tin riêng và thay thế địa chIP ngun bng  
mt địa chIP nào khác, thông qua vic to và thiết lp các raw socket, socket do  
người dùng định nghĩa.  
Có mt vài mc gimo ip khác nhau:  
- Gimo IP mt cách ngu nhiên: phn mm sto ra mt địa chIPv4  
ngu nhiên trong khong t0.0.0.0 đến 255.255.255.255. Trong mt strường  
hp, nó sto ra các địa chIPv4 sai, như địa chthuc min 192.168.0.0 là  
min dùng cho mng cá nhân, hoc địa chmulticast, broastcast, địa chkhông  
tn ti (như 0.1.2.3). Tuy vy trong hu hết trường hp thì nó đều to được địa  
chIP hp lvà có thể định tuyến được.  
- Gimo mt nmng: Nếu mt máy thuc mng 192.168.1.0/24 thì nó  
ddàng gimo mt máy nào khác trong cùng mt mng, ví dnhư máy  
192.168.1.34 có thgimo ddàng máy 192.168.1.35 hoc 192.168.1.99.  
- Gimo chính địa chca nn nhân: Đây là mt kiu gimo rt nguy  
him nếu như máy chnn nhân không có được nhng thiết lp phòng chng.  
Ktn công chcn đơn gin gimo địa chca máy nn nhân, gi mt gói tin  
request, ví dnhư gói tin TCP SYN, và nếu máy nn nhân không có mt cơ chế  
lc tt, nó snhn gói tin, cp phát tài nguyên cho request và gi trli li cho  
chính nó. Điu này dn ti mt vòng lp vô tn trong chính máy nn nhân, gia  
mt bên cn nhn thông tin phn hi còn mt bên thì không bao gigi thông  
tin phn hi đó c.  
12  
Trong thc tế, gimo địa chIP không phi là cn thiết cho mt cuc tn công  
DDoS thành công, bi vì ktn công có thvt kit tài nguyên và khnăng xca  
nn nhân vi mt lượng ln các gói tin mà không cn liên quan gì đến địa chngun  
c. Tuy vy mt sktn công sdng IP Spoofing cho mt vài lý do, như để che  
giu địa chca các agent, từ đó che giu được địa chca handler và ca ktn công  
tt hơn, hoc sdng cho tn công phn xnhiu vùng DRDoS là hình thc tn công  
mnh nht hin nay gimo địa chIP ca nn nhân để yêu cu mt sserver ln gi  
các truy vn hp pháp đến server nn nhân, kết qulà nn nhân btn công các server  
ln trên thế gii, và không thnào chng đỡ ni. IP Spoofing cũng giúp ktn công  
vượt qua cơ chế bo vca mt smáy chkhi hlưu địa chcác khách hàng thường  
xuyên và dùng nó làm danh sách địa chtin cy ưu tiên truy cp trong trường hp bị  
tn công.  
1.5 Xu hướng ca DoS  
Có mt cuc chy đua liên tc gia nhng ktn công và người phòng th. Ngay  
sau khi có mt phương thc hiu qubo vchng li mt loi tn công, nhng ktn  
công thay đổi chiến thut, tìm kiếm mt cách để vượt qua nhng bin pháp bo vnày.  
An ninh mng được nâng cao, ktn công càng ci thin công cca h, thêm các tùy  
chn chỉ định cp gimo hoc mt nmng gimo. Mt slượng ln các cuc tn  
công gimo ngày nay sdng subnet, vượt qua được hu hết các blc gimo ip.  
Các kthut mi trong chng phân tích khiến vic phát hin ra nhim vca công cụ  
tn công khó khăn hơn. Vic che giu mã thc thi bng mã hóa thc hin trong chệ  
điu hành Windows và Unix. Các mã che giu như burneye, Shiva, và burneye2 đang  
được giám sát bi các nhà phân tích an ninh để gii mã được chúng.  
Xu hướng phát trin các công ctn công DDoS theo các chiến lược nâng cao  
phn ng phòng thsvn tiếp tc. Điu này được dbáo trong phân tích trinoo gc,  
và xu hướng stiếp tc không suy gim. Có rt nhiu kch bn tim năng ca DDoS  
rt khó khăn cho cơ chế bo vệ để xlý.  
13  
Chương 2: CÁC BIN PHÁP PHÒNG CHNG  
TRUYN THNG  
Ngay sau khi các cuc tn công quy mô ln đầu tiên, nhiu nghiên cu đã được  
dành riêng cho các vn đề mi vngăn chn, loi b, và bng cách nào đó lc ra các  
cuc tn công DoS nhm vào các hthng đầu cui host. Trong khi DDoS là mt vn  
đề tương đối mi, các nghiên cu liên quan đã tn ti trong lĩnh vc kim soát tc  
nghn, gim nhcác cuc tn công DoS đơn gin, dung thli, và duy trì hot động  
ca node trong mng.  
Nhiu nghiên cu đã cgng tiếp cn để gii quyết bài toán con nhhơn ca vn  
đề phc tp này. Do tính cht nhy cm ca dliu trong mng và sphc tp ca  
hin tượng này, tht khó để hiu mt cách đầy đủ ảnh hưởng ca DDoS. Nhiu nguyên  
mu được kim tra trong các môi trường phòng thí nghim mà không có nn hay giao  
thông hot động. Mt sý tưởng cho rng giao thông tn công chyếu là gimo, và  
điu này rõ ràng là sai lm, và nhng người khác cho rng kiến thc nht định về  
topology ca mng, hoc truy cp vào cơ sdliu có thnhn biết được lưu lượng  
truy cp là DDoS hay không. Nhng người khác yêu cu sa đổi đáng kvcơ shạ  
tng Internet, điu có thlàm cho nó trthành không tương thích vi các giao thc  
hin ti và các ng dng ca khách hàng, hoc là không thc tế vkthut, chính  
sách, hoc lý do chính tr.  
Chương 2 này stho lun vmt sphương pháp tiếp cn nghiên nghiên cu đã  
được thc hin và trin khai.  
2.1 Bin pháp pushback  
Pushback, đề xut ca Mahajan [19] vào tháng 7 năm 2002 , ni lên tcác cuc  
tho lun trong nhóm nghiên cu DDoS ti hi tho DSIT, Trung tâm Điu phi  
CERT. Ý tưởng, ly tthc tế, là nhà qun trmng cgng để đẩy lùi các giao thông  
tn công trli ngun ca nó, hoc bng cách rút mt cáp mng trong các bộ định  
tuyến và xem liu lưu lượng truy cp có dng li không, hay bng cách quan sát lưu  
lượng mng trên các thiết bgiám sát. Gii hn tlgi gói tin ra ngoài tnn nhân  
(pushback), sau đó gim bt áp lc vào nn nhân, cho phép nó trao đổi lưu lượng truy  
cp và tn ti hiu qutrong mt thi đim khi các ngun tn công ngng hoc gb.  
Trường hp này vi giả định rng các vi phm giao thông phân bkhông đều trên tt  
14  
ccác đim có ththâm nhp.  
Có hai kthut sdng ở đây: Điu khin tc nghn tng hp (ACC) cp địa phương  
và pushback. Điu khin tc nghn tng hp cp đại phương phát hin ra tc nghn ở  
cp router và đặt mt tín hiu tn công (hoc nhiu hơn trong tng bi cnh thích hp),  
mt tín hiu tc nghn, mà có thể được dch ra trong mt blc router. Các tín hiu  
định nghĩa ra mt tp hp băng thông cao, mt tp hp con ca lưu lượng mng, và  
điu khin tc nghn tng hp địa phương xác định tlgii hn thích hp cho tp  
hp này. Pushback sau đó gi tlgii hn này ngay lp tc đến nhng giao thông  
upstream lân cn, nơi đóng góp slượng ln ca giao thông tng hp. Cơ chế này hot  
động tt nht chng li kiu tn công gi tràn DDoS và flash, vì chúng chia snhng  
đặc đim chung, và cgng để xlý nhng hin tượng tgóc độ ca công vic kim  
soát tc nghn. Vic đặt ra gii hn tlquá cao có thkhiến các giao thông hp lệ  
cũng bgii hn, mt mát, còn vic đặt ra gii hn quá thp có thkhiến ktn công  
vượt qua được sbo v.Nói chung, pushback dường như đòi hi các mô hình trin  
khai tiếp cn ti router. Phương pháp tiếp cn hin ti không thể đẩy tlgii hn qua  
mt router mà không hiu phương pháp pushback. Pushback cũng yêu cu các router  
duy trì các trng thái vlung giao thông, đó là mt gánh nng thêm vcơ shtng  
mng ca phương pháp.  
2.2 Bin pháp Traceback  
Các đề xut đầu tiên cho vic bo vchng li DDoS bao gm phương pháp  
traceback, thc hin ln du ngược li đến địa chcác agent trong mng lưới DDoS để  
tìm ra vtrí ca ktn công. Giả định này da trên mt scông cDDoS gimo các  
ngun tương đối ít vslượng các agent (100-2,500). Đến nay, khi slượng các agent  
tham gia tn công có ththường xuyên lên ti con shàng vn, thì phương pháp  
traceback vn có thgiúp chúng ta có thtruy ngược li subnet ca ktn công, từ đó  
nhvào vic block traceback tktn công, tác hi ca cuc tn công sbhn chế  
đáng k.  
Mt đề xut sm đó là Traceback qua gói ICMP bi S.Bellovin [20] vào tháng  
11-2001, thông qua vic gi gói tin ICMP, xác sut mi n gói (trong đề xut ban đầu  
n=20.000), cha mt phn ca gói tin bbt, tcác router quan sát đến đích. Đim bt  
li là khi btn công nng nvi slượng gói tin gi đến quá ln, mt mc tiêu có thể  
bmt nhng gói do tc nghn ca các thiết bmng, và mt smng không cho phép  
15  
gói ICMP được đi qua biên gii router ca h. Thm chí các gói ICMP cũng sto ra  
lưu lượng truy cp bsung hướng đến nn nhân, góp phn thêm vào tc nghn này.  
Đề nghsau đó được sdng mt kthut được gi là đánh du gói da theo xác  
sut (PPM, Probabilistic Packet Marking). Mt ln na, mi 20.000 gói gi đến đích,  
mt router sẽ đánh du mt gói tin vi mt tham chiếu đến chính nó.Mt tn sly  
mu thp đã được la chn để tránh mt gánh nng vcơ shtng định tuyến do  
đánh du mt khi lượng ln truy cp trong mt cuc tn công gi tràn gói tin. Bng  
cách phân tích mt sgói dliu được đánh du tmt ngun nht định, các nn nhân  
ca cuc tn công scgng xây dng mt con đường quay trli ktn công, hoc ít  
nht là ti mép gn nht vi người tn công vào cơ shtng đánh du. Đề nghban  
đầu ca Savage, 8-2000, đã không có bt kquy định để xác thc đối vi nhng du  
hiu, nhưng sau đó đã có thêm kĩ thut sdng mt đề nghxác thc và toàn vn kim  
tra do D.X.Song nêu lên vào tháng 3-2001 ti IEEE INFOCOM 2001.  
Traceback da trên kĩ thut băm, đề xut bi A.C.Snoeren vào tháng 8-2001 yêu  
cu router tham gia để ghi nhmi gói đi qua nó, nhưng trong mt thi gian hn chế.  
Điu này cho phép truy tìm các cuc tn công mt gói như "Ping of Death", nhưng chỉ  
khi truy vn nhanh. Các bmáy cô lp ngun (SPIE, Source Path Isolation Engine)  
nhcác gói thông qua vic tính toán hàm băm vi các phn bt biến ca mt tiêu đề IP  
(ví d, TTL và checksum). Để tăng thêm không gian bsung, hàm băm yếu, thay vì  
băm mã hóa mnh, được trin khai dưới hình thc các blc Bloom Filter. Nhng bn  
ghi thụ động không cn phi tn ti bên trong các router ngay ckhi các thiết kế phn  
cng để đưa chúng vào các router đã được tho lun. Các nhà thiết kế SPIE nghĩ ra  
mt cách để đặt mt bn ghi bị động trên mi giao din ca router. Mt sngười khi  
đó đã chtrích và cho rng nó slà quá đắt để thêm mt thiết bcho mi giao din, do  
đó, thiết bSPIE đã được mrng để có mt SPIEDER vi nhiu kết ni cho mi giao  
din trên router. Mc dù hàm băm yếu cho phép có li, chúng snhanh chóng được  
định hướng qua nhiu hàm băm được áp dng ti các bộ định tuyến khác nhau khi  
khong cách tăng dn tnn nhân. Nn nhân khi to mt yêu cu traceback thông  
qua mt mng lưới thay thế (tht hay o) kết ni các nhà qun lý traceback, các agent  
sinh dliu, và các bộ định tuyến. Do khi lượng giao thông ln trên các mng xương  
sng, thi gian gia vic nhn mt gói tin vi phm và yêu cu cho traceback smt  
khong mt vài phút, tùy thuc vào năng lc và mng lưới giao thông.  
16  
Mt kĩ thut thtư sdng traceback, do D.Dean và các đồng nghip ca ông  
đề xut vào tháng 2 năm 2001, là mt cách tiếp cn đại số đối vi vn đề traceback.  
Tương tmt phương pháp ca Savage và đồng nhip ti ACM SIGCOMM tháng 8-  
2000, kthut này mt nhúng phn thông tin ln vết vào các gói tin IP cp bộ định  
tuyến. Đề án này mi sdng các kthut đại số để mã hóa thông tin đường dn  
thành các gói và để tái to li chúng vào trang web ca nn nhân. Các tác gihy vng  
sẽ đạt được slinh hot hơn trong vic thiết kế và ci tiến trong loi bthông tin tha  
ktn công to ra và cung cp khnăng traceback đa tuyến.  
PPM và đề xut traceback vi cách tiếp cn đại scùng theo mt sgiả định như  
sau:  
- Ktn công có thgi bt kgói tin.  
- Nhiu ktn công có thhành động vi nhau.  
- Ktn công nhn thc được shot động ca các chương trình traceback.  
- Ktn công phi gi ít nht là hàng ngàn gói.  
- Tuyến đường gia các máy nói chung là n định, nhưng các gói tin có thbị  
sp xếp li hoc bmt.  
- Router không ththc hin nhiu tính toán cho mi gói tin.  
- Router giả định là không thbchiếm dng, nhưng không phi tt crouter đều  
phi tham gia traceback.  
Nhng giả định phân bit rõ ràng nhng kthut này vi mt kthut đơn gói  
như traceback da trên kĩ thut băm. D.Dean và đồng nghip tho lun vhiu quso  
vi Savage, khi nhng yêu cu không gian khác nhau gia 18 và 21 bit. Trong mt số  
trường hp, họ đạt được kết qutt hơn mt chút cho vic tái to li đường đi, nhưng  
strường hp tính toán sai vn còn cao. Ngoài vic đánh du gói tin, mt đề án out-of-  
packet đã được đề xut, tương tnhư Bellovin vào tháng 8-2001. Các tác ginhn ra  
rng vic ci tiến thut toán là cn thiết, và vic tìm ra các ti ưu khác cn được khám  
phá. Khái nim này cn ci tiến hơn na, nhưng có thphát trin thành mt khái nim  
đầy ha hn trong thi gian dài.  
17  
2.3 Bin pháp D-WARD  
D -WARD, đề xut ca Mirkovic và các đồng nghip [15] vào tháng 8-2003,  
được phát trin ti UCLA dưới tài trca chương trình DARPA Fault Tolerant  
Network (FTN). Hthng này da trên mng ngun nhm mc đích phát hin các  
cuc tn công trước hoc khi chúng ri khi mng lưới DDoS ca các agent. Nó là  
mt hthng ni tuyến, trong sut vi người sdng trên mng, thông qua vic tp  
hp sliu thng kê giao thông hai chiu tcác router biên ti các mng ngun và so  
sánh chúng vi các mô hình giao thông mng xây dng da trên giao thc ng dng  
và giao vn, phn ánh sbình thường (hp pháp), nghi ng, hoc hành vi tn công  
Da trên mô hình ba tng này (tn công, nghi ng, bình thường), D-WARD áp dng tỷ  
lgii hn ti router tt ccác giao thông đi ra ca mt đích cho trước, ưu tiên giao  
thông kết ni hp pháp, hơi làm chm li lưu lượng truy cp đáng ng, và làm chm  
li các kết ni tn công mà nó cm nhn. Tlgii hn năng động và thay đổi theo  
thi gian, da trên quan sát ca tín hiu tn công và các chính sách hn chế vgiao  
thông tiêu cc. Ít giao thông tiêu cc slàm gim nhcác chính sách hn chế.  
Ging như hu hết các hthng nghiên cu, D-WARD đã được thnghim vi mt  
homegrown thiết lp các tiêu chí chun DDoS, và ging như hu hết các hthng  
nghiên cu, nó hot động tt theo các tiêu chí chun. Tuy nhiên, hthng D-WARD  
cũng tri qua nhiu thnghim độc lp vào cui chu kchương trình DARPA FTN.  
Nhng thí nghim chra rng D-WARD có khnăng để nhanh chóng phát hin nhng  
vtn công to ra dthường giao thông hai chiu, chng hn như tn công gi tràn  
nng n. D-WARD kim soát hiu qutt ccác giao thông, trong đó có giao thông  
tn công, và có thit hi và mt mc độ sai lm chủ động thp. Nó kp thi khôi phc  
hot động bình thường khi kết thúc cuc tn công. Bng cách gii hn tllưu lượng  
tn công hơn là ngăn chn nó, hthng này mt cách nhanh chóng phc hi tcác sai  
lm chủ động . Theo thiết kế, nó ngng các cuc tn công ti ngun mng, do đó, nó  
yêu cu vic trin khai trên rng (bao gm mt phn ln các ngun thc tế) để đạt  
được hiu qumong mun. Trkhi có mt hình pht cho các các hosting ca DDoS  
agent đặt ra đối vi các mng ngun, đây không phi là mt hthng mà nhà khai thác  
mng shăm htrin khai, bi D-WARD không cung cp mt li ích đáng kcho các  
nhà trin khai này. Tuy nhiên, nó có thể được thtích hp nó vi cơ chế bo vkhác  
18  
(như Cossack ti mc 2.7) mà có yêu cu hành động tmng ngun, để cung cp các  
response chn lc cho request.  
Tóm li, li thế ca D-WARD nm trong vic phát hin và kim soát các cuc  
tn công, giả định rng giao thông tn công thay đổi đầy đủ so vi các mô hình giao  
thông bình thường. Theo thc tế rng D-WARD chn lc gii hn tllưu lượng truy  
cp, nó có thit hi thp, và đáp ng tn công tương đối nhanh. Mt khác, nhng kẻ  
tn công vn có ththc hin các cuc tn công thành công tcác mng không được  
trang bvi hthng này.  
2.4 Bin pháp NetBouncer  
NetBouncer, đề xut ca O'Brien [11], cũng ni lên tchương trình DARPA  
FTN. Đây là mt cơ chế xác thc người dùng khi đứng trên mng ca Server mc  
tiêu. Lý tưởng nht, nó được định vti đim nút ca mng lưới và nhm mc đích chỉ  
cho phép các gói tin đến tkhách hàng hoc người sdng "hp pháp". Mt sthử  
nghim cho tính chính đáng được thc hin trên máy khách, ví d, mt gói ping  
(ICMP Echo) thnghim được gi để xem liu có mt khách hàng thc sự đằng sau  
nhng gói đã được nhn được bi Server đích, và cũng là mt Reverse Turing Test,  
kim tra phân bit gia người và máy. Người đọc có thể đã xem như mt bài kim tra  
khi đăng ký mt tài khon e-mail trên các dch ve-mail Yahoo: khách hàng được yêu  
cu nhp mt cm thay chbbiến dng, hin thtrong mt hình nh nn làm cho nó  
trnên khó đọc, mt bài kim tra mà thường chmt con người có thlàm , không  
phi là mt máy hay chương trình tự động. Và nếu bài kim tra được vượt qua, chng  
tngười dùng là “hp pháp”, thì yêu cu đến Server đích được tiếp tc. Nếu không,  
NetBouncer chm dt kết ni.  
Mt ví dtương tác ca mt Reverse Turing Test có thể được tìm thy trên trang  
CAPTCHA ti http://www.captcha.net/.  
Mt khi các khách hàng đã chng trng người đó thc slà hp pháp, họ được  
thêm vào danh sách ca khách hàng hp pháp và được cho ưu đãi đối vi khách hàng  
chưa được hp pháp. Danh sách này được qun lý bng kthut qun lý dch vcht  
lượng và đảm bo chia scông bng các tài nguyên gia tt ccác khách hàng hp  
pháp. Để ngăn chn mt cuc tn công tvic kế tha các thông tin ca mt khách  
hàng hp pháp, tính hp pháp hết hn sau mt thi gian nht định và cn phi được  
đánh giá li bng cách sdng cùng mt hoc mt vài bài kim tra khác nhau.  
19  
Như vy cách tiếp cn có thlàm vic? Nó có thể đánh bi nhiu cuc tn công  
gimo, bi nhng bài kim tra challenge phi tiếp cn ngun gc thc sca các gói  
tin để giao dch hoàn thành. Các tài nguyên mng sn có được chia smt cách công  
bng gia các khách hàng đã được chng minh tính hp pháp ca h.  
Tuy nhiên, NetBouncer giả định nhng thuc tính nht định ca khách hàng,  
chng hn như khnăng để trli cho ping (ví d, để kim tra shin din ca mt  
khách hàng), mà không phi tt ckhách hàng đều htr, đặc bit là nhng người có  
cài tường la hay bộ định tuyến DSL có bt tính năng an ninh bsung. Mc dù khách  
hàng là hp pháp, hthng không được bo vchng li các cuc tn công mo danh,  
nghĩa là, mt ktn công có thli dng thc tế là mt khách hàng hp pháp đã thc  
hin tt ccác công vic cn thiết để chng minh tính hp pháp ca mình vi  
NetBouncer và sau đó tn công mng nhvic gimo địa chIP hp pháp ca khách  
hàng. Ngoài ra, hthng không phi là min dch vi ngun tài nguyên cn kit do  
mt slượng ln các khách hàng hp pháp. Hơn na, ging như tt cphòng thphía  
mc tiêu, nó có thbtràn ngp bi khi lượng ca các gói trên đường truyn đến.  
Ging như tt ccác phương án phòng thtt chng li DDoS, NetBouncer có  
li thế và hn chế ca nó. Vmt tích cc, nó xut hin để cung cp dch vtt cho  
khách hàng hp pháp trong phn ln các trường hp. Vì nó nm ni tuyến trên mng,  
có nghĩa là nó không có mt shin din có thnhìn thy trên mng ging như mt  
cu ni mng, nó không yêu cu sa đổi cho các máy chvà khách hàng trên mng  
được bo vhoc các máy chkết ni vi nhau. Các địa đim trin khai gn nn nhân  
và nó không yêu cu hp tác vi NetBouncers khác. Vmt tiêu cc, nhng ktn  
công có ththc hin các cuc tn công thành công vào nn nhân / mc tiêu bng cách  
mo nhn hp pháp hoc tuyn dng mt slượng ln các agent, chai đều là ddàng  
đạt được thông qua gimo và tuyn dng đủ, tương ng. Ngoài ra, NetBouncer đặt ra  
các giả định nht định vcác khách hàng hp pháp mà không phi luôn luôn được  
chia sbi tt ccác khách hàng và như vy slàm cho hbloi trkhi truy cp  
vào tài nguyên được bo v. Các bài kim tra tính hp pháp đặt mt gánh nng đáng  
kể đến chính NetBouncer và có thgây cn kit ngun lc ca các cơ chế bo v.  
2.5 Bin pháp “Proof of Work”  
Mt cách khác để tiếp cn vn đề DDoS là để xem xét các bài toán con ca cuc  
tn công suy gim kết ni. Nhiu kết ni được khi to bi ktn công để trit tiêu số  
20  
lượng kết ni mmà mt máy chcó thduy trì. Mt mc tiêu trong phòng chng là  
để bo tn các ngun lc này trong các cuc tn công như vy. Là người bo v, máy  
chbt đầu giao ra nhng bài kim tra challenge, không khác so vi NetBouncer, cho  
khách hàng yêu cu kết ni. Điu này xy ra ti mc giao thc TCP / IP, bi hthng  
cn tp trung vào vic bo vcác ngun tài nguyên liên quan đến kết ni mng. Các  
máy chphân phi mt câu đố mã hóa nhcho các khách hàng yêu cu kết ni, và chờ  
đợi mt gii pháp. Nếu khách hàng gii quyết các câu đố trong mt ca sthi gian  
nht định, các tài nguyên thích hp sau đó được phân btrong cùng bnhớ đệm ca  
mng(phn ca hệ điu hành xlý các giao tiếp mng). Khách hàng mà không gii  
quyết được câu đố các kết ni ca hsbbqua.  
Cách tiếp cn này buc ktn công để dành nhiu thi gian và ngun lc trước  
khi đạt được mt kết ni thành công đến mt máy chhoc mc tiêu, và làm chm tc  
độ mà anh ta có thlàm cn kit các ngun tài nguyên ca máy chtbt kmáy  
nào. Trong khi điu này có overhead thp (máy chvn phi to ra và xác minh các  
câu đố), thc tế giao thc TCP / IP thc hin trên chai đầu (client và máy ch) phi  
được sa đổi cho phương pháp này để làm vic. Cách phòng chng này này không xử  
được vn đề như các cuc tn công phân tán trong đó ktn công to ra các yêu cu  
đủ để vt kit các tài nguyên máy chhoc tn công vt kit tài nguyên cho vic to  
puzzle hay tiêu thbăng thông ca đường mng dn đến máy ch.  
2.6 Bin pháp DefCOM  
DefCOM, đề xut ca Mirkovic [16]. Nó là mt hthng phân tán kết hp bo  
vngun cp, nn nhân, và lõi mng. Nó phát hin mt cuc tn công đến và đáp ng  
bng vic hn chế tlgiao thông, trong khi vn cho phép lưu thông hp pháp đi qua  
hthng. Nó bao gm ba loi nút (router hoc host): node phát cnh báo phát hin mt  
cuc tn công, node hn chế tlthi hành gii hn tc độ trên tt clưu lượng đi  
đến mc tiêu ca cuc tn công, và node phân loi gii hn tlgiao thông, phân  
chia các gói tin hp pháp vi các gói tin đáng ngờ đồng thi đánh du mi gói vi  
phân loi ca nó. Node phát cnh báo và các node phân loi được thiết kế cho mng  
lưới cnh vic trin khai, trong khi node hn chế tlệ được thiết kế cho phn lõi trin  
khai ca hthng.  
Trong trường hp btn công, đim phát hin có khnăng sẽ ở các node phát  
cnh báo trong mng nn nhân, và node phân loi có khnăng gn vi mng lưới  
21  
ngun. DefCOM ln du vết các cuc tn công tnn nhân đến tt ccác ngun lưu  
lượng truy cp hot động (lưu lượng tn công hoc hp pháp) sdng mt mng lưới  
che phvà thng kê trao đổi gia các nút bo v. Gii hn tlệ được trin khai bt đầu  
tnn nhân, và lan truyn đến các lá trên cây giao thông (phân loi gn các ngun).  
Gói tin được đánh du, phân loi, chuyn ti thông tin vtính hp pháp ca mi gói đi  
đến các node hn chế tl. Các node hn chế tlcp phát băng thông gii hn ưu  
tiên cho các gói tin được đánh du hp pháp, sau đó đến nhng gói tin đánh du đáng  
ng, và cui cùng để các gói tin không được đánh du. Điu này to ra ba cp độ ca  
dch v, to ra dch vtt nht vi các gói tin hp pháp.  
Bt ktường la có ththc hin chc năng ca node phát cnh báo. Router lõi  
sphi được tăng cường vi mt khnăng quan sát đánh du để thc hin chc năng  
ca node hn chế tl. D-WARD được mô tnhư là mt ng cviên có khnăng cho  
chc năng ca node phân loi . Tuy nhiên, vic phân chia giao thông hp pháp vi  
giao thông tn công không cn phi được tt như D-WARD. Mt node phân loi có  
thể đơn gin đánh du giao thông nó xét thy quan trng đối vi khách hàng ca mng  
là ngun hp pháp. Min là tuân theo phân loi tlhn yêu cu, giao thông này sẽ  
không làm tn thương các nn nhân.  
Tóm li, thiết kế ca DefCOM là giúp phát hin giao thông bt hp pháp ti mc  
tiêu, gii hn tlệ ở lõi, và ngăn chn lưu lượng truy cp đáng ng/ lưu lượng tn công  
ti mng lưới ngun. Sdng D-WARD như hthng phân loi ban đầu ca nó,  
DefCOM cũng vươn ra xa hơn vào ct lõi để xlý các cuc tn công tcác mng  
không được trang bnode phân loi giao thông không hp pháp. DefCOM xlý lũ lt,  
trong khi gây ra ít scn tr, hoc là vô hi cho giao thông hp pháp. Do tính cht  
che phca hthng, DefCOM tnó to nên mt gii pháp mrng và không cn  
tiếp cn vi trin khai thêm nhvào vic sdng kiến trúc peer-to-peer, nhưng nó yêu  
cu trin khai rng hơn phòng thca nn nhân. Theo mt nhược đim, xlý bhư  
hng hoc phá vcác nút trong mng che phcó thkhá khó khăn, và DefCOM có  
khnăng hot động ti tnếu không được xlý.  
2.7 Bin pháp COSSACK  
Cozak, đề xut ca Papadopoulos [8] và phát trin bi Đại hc Nam California /  
ISI, nhm mc đích ngăn chn các cuc tn công tlúc ri khi ngun mng, nghĩa là,  
các mng lưới cha chp các DDoS agent. Còn gi là watchdogs - các cơ quan giám  
22  
sát, mt plug-in cho hthng phát hin xâm nhp Snort, phát hin mt cuc tn công  
bng cách phân tích và tương ng lưu lượng truy cp qua mng ngun. Căn cvào  
mi tương quan (thi gian, loi hình giao thông), vic tương ng thc thcó thngăn  
chn lưu lượng truy cp tương tđồng thi như là mt hành động nhóm, chính là  
các giao thông tn công gi đến.  
Kthut này thc thi ti mng ngun, kích hot bi mt thông báo tcác mc  
tiêu ca mt cuc tn công DDoS, bng cách lc ra các vi phm giao thông rõ ràng.  
Tuy nhiên, nếu lưu lượng truy cp hp pháp được xut hin bi các động cơ tương  
quan, dn đến mt sai lm chquan, thì sau đó lưu lượng truy cp hp pháp sbloi  
bbi Cozak.  
Mt giả định chính ca kthut này là vic trin khai các cơ quan giám sát ti  
ngun mng. Ngun mng đang được ngăn cn khi ngun tn công, nhưng mt mng  
lưới mà không có cơ quan giám sát vn có ththam gia vào mt cuc tn công DDoS.  
Hn chế này là phbiến cho các hthng đòi hi phi có ngun cp trin khai. Không  
yêu cu sa đổi mc giao thc hoc áp dng cho các ngun mng. Các thông tin  
liên lc gia các nhà kim soát không có khnăng mrng, vì hsdng truyn  
thông multicast.  
2.8 Bin pháp Pi  
Pi, đề xut ca Yaar [2], là mt hthng bo vmc tiêu nn nhân, xây dng  
trên kthut đánh du gói tin đã đề cp bin pháp traceback, chèn vào định danh  
đường dn vào mc chưa sdng trong phn header ca gói tin IP. Ý tưởng chính là  
nhng định danh đường dn hoc du vân tay xác thc được chèn vào bi các router  
dc theo đường mng. Các mc tiêu hoc nn nhân sau đó stchi các gói tin vi  
định danh đường dn phù hp vi các gói tin đã được xác định rõ ràng như mt phn  
ca cuc tn công.  
Trong đề án đánh du Pi cơ bn, tng router tham gia đánh du bit nht định  
trong trường nhn dng IP ca gói tin IP. Các vtrí ca kí hiu trong trường này được  
xác định bi giá trca trường TTL (time to live) ca gói tin. Kí hiu là mt phn ca  
bng băm ca địa chIP ca router. Vì giá trTTL được gim đi ti mi router, mt  
con đường tiếp giáp ca gói tin được xây dng khi nó đến gn hơn vi nn nhân.  
Người ta có thquyết định ngng đánh du trong mt khong cách chng nht định  
ca mng nn nhân để tăng khnăng ti đích ca gói tin trong đề án này.  
23  

Tải về để xem bản đầy đủ

pdf 61 trang yennguyen 16/06/2025 480
Download
Bạn đang xem 30 trang mẫu của tài liệu "Khóa luận Phòng chống tấn công từ chối dịch vụ phân tán vào các website", để tải tài liệu gốc về máy hãy click vào nút Download ở trên.

File đính kèm:

  • pdfkhoa_luan_phong_chong_tan_cong_tu_choi_dich_vu_phan_tan_vao.pdf
Luận Văn Liên Quan