1. Trang Chủ
  2. Luận Văn Tốt Nghiệp
  3. Công Nghệ Thông Tin

Khóa luận Xác thực các thành phần trong hệ thống PAC để chống lừa dối và lợi dụng

Download
ĐẠI HC QUC GIA HÀ NI  
TRƯỜNG ĐẠI HC CÔNG NGHỆ  
Nguyn Thế Hùng  
XÁC THC CÁC THÀNH PHN TRONG HỆ  
THNG PAC ĐỂ CHNG LA DI VÀ LI DNG  
KHOÁ LUN TT NGHIP ĐẠI HC HCHÍNH QUY  
Ngành: Mng truyn thông  
HA NOI-2010  
ĐẠI HC QUC GIA HÀ NI  
TRƯỜNG ĐẠI HC CÔNG NGHỆ  
Nguyn Thế Hùng  
XÁC THC CÁC THÀNH PHN TRONG HỆ  
THNG PAC ĐỂ CHNG LA DI VÀ LI DNG  
KHOÁ LUN TT NGHIP ĐẠI HC HCHÍNH QUY  
Ngành: Mng truyn thông  
Cán bhướng dn: ThS. Đoàn Minh Phương  
HA NOI-2010  
Tóm tt ni dung lun văn  
Giao thc lan ta ngược là mt cơ chế để phòng chng li các cuc tn công DDoS  
theo phương pháp phn ng li và kết hp nhiu vtrí. Giao thc lan ta ngược được  
nhóm tác gi(ĐHCN) công bln đầu ti Hi nghKhoa hc Công nghThái Nguyên  
(2007). Sau đó tác giHoàng Văn Quân (K49 ĐHCN) đã trình bày chi tiết mô hình lý  
thuyết và cài đặt thnghim phn lõi ca giao thc trong khóa lun tt nghip đại hc  
(2008 - ĐHCN). Nhng phn còn li trong mô hình lý thuyết vn chưa được phát trin. Vì  
vy, dưới sự định hướng ca giáo viên hướng dn và strgiúp ca tác gi, tôi thc hin  
khóa lun tt nghip này vi mc đích hoàn thin đầy đủ các thành phn đã nêu trong mô  
hình lý thuyết ca giao thc.  
MC LC  
Mở đầu: Tính cp thiết ca đề i........................................................................................1  
Chương 1: Tng quan vDDoS...........................................................................................2  
1.1. Tng quan vtn công DDoS...................................................................................2  
1.1.1.  
Khái nim vDDoS ......................................................................................2  
1.1.2. Tchc mng lưới DDoS.................................................................................3  
1.1.2.1. Tuyn mmng lưới Agent ..........................................................................3  
1.1.2.2. Điu khin mng lưới Agents .......................................................................5  
1.1.3. Các loi tn công DDoS ……………………………………………………..7  
1.1.3.1. SYN flood attack: ........................................................................................8  
1.1.3.2. UDP Flood attack..........................................................................................9  
1.1.3.3. Smurf attack .............................................................................................14  
1.1.3.4. DNS Zone Transfer based Flooding..........................................................10  
1.1.3.5. Ping based attacks .....................................................................................16  
1.1.3.6. CGI attacks(Common Gateway Interface)................................................16  
1.2. Tng quan vphòng thDDoS..............................................................................17  
1.2.1. Ti sao DDoS khó gii quyết...........................................................................17  
1.2.2. Nhng thách thc khi xây dng hthng phòng thDDoS ............................18  
1.2.2.1. Vmt kĩ thut ............................................................................................18  
1.2.2.2. Vmt xã hi ..............................................................................................19  
1.2.3. Mc tiêu khi xây dng hthng phòng th......................................................20  
1.2.4. Các hướng phòng thDDoS.............................................................................21  
1.2.4.1. Phòng nga và Phn ng li........................................................................21  
1.2.4.2. Vtrí ca hthng phòng th......................................................................17  
Chương 2: Các nghiên cu vphòng chng DDoS ...........................................................25  
2.1.  
Giao thc AITF...................................................................................................25  
Gii thiu …..…........................................................................................25  
2.1.1.  
2.1.2. Tng quan vgiao thc AITF .......................................................................25  
2.1.3.  
2.1.4.  
Cơ chế hot động AITF ...........................................................................26  
nhn xét .......................................................................................................27  
2.2. Hthng D-WARD..............................................................................................27  
2.2.1.  
2.2.2.  
3.2.3.  
Mc tiêu.......................................................................................................27  
Trin khai D-WARD...................................................................................28  
Nhn xét ......................................................................................................29  
Chương 3: GIAO THC LAN TA NGƯỢC..................................................................29  
3.1. Gii thiu vgiao thc Lan ta ngược.....................................................................29  
3.1.1. Khái nim chung...............................................................................................29  
3.1.2. Các thut ng....................................................................................................30  
3.1.2.1. Blc (Filter)..............................................................................................30  
3.1.2.2. Router/Gateway...........................................................................................30  
3.1.2.3. Cơ chế “Lan ta ngược”..............................................................................30  
3.2. Cơ chế hot động......................................................................................................31  
3.2.1. Bước 1: Khi động ...........................................................................................31  
3.2.2. Bước 2: Bt đầu ................................................................................................32  
3.2.3. Bước 3: Kim tra gimo.................................................................................32  
3.2.4. Bước 4: Rút gn................................................................................................32  
3.2.5. Bước 5: Ngăn chn ...........................................................................................33  
3.2.6. Bước 6: Lan ta ngược .....................................................................................34  
3.3. Chng la di...........................................................................................................35  
3.3.1. Nguy cơ.............................................................................................................35  
3.3.2. Gii pháp...........................................................................................................35  
3.4. Chng li dng giao thc.........................................................................................36  
3.4.1. Nguy cơ.............................................................................................................36  
3.4.2. Gii pháp...........................................................................................................36  
3.5. Nhn xét ...................................................................................................................37  
3.5.1. Ưu đim ............................................................................................................37  
3.5.2. Nhược đim ......................................................................................................37  
Chương 4: Phát trin chc năng rút gn và xác thc cho giao thc lan ta ngược ...........38  
4.1. Rút gn.....................................................................................................................38  
4.1.1. Ý tưởng.............................................................................................................38  
4.1.2. Cách thc xác định địa chIP ca Agw...........................................................38  
4.1.3. Thc thi quá trình rút gn.................................................................................40  
4.1.4.  
Nhn xét ......................................................................................................40  
4.2. xác thc...............................................................................................................................35  
4.2.1. Ý tưởng............................................................................................................41  
4.2.2. Thc thi quá trình xác thc.............................................................................41  
4.2.3. Kết lun...........................................................................................................42  
Kết Lun .............................................................................................................................43  
Mở đầu: Tính cp thiết ca đề tài  
Sbùng nvcông nghthông tin và vin thông kéo theo sxut hin ca nhiu  
vn đề nan gii liên quan đến mng Internet. Tn công DDoS là mt trong nhng vn đề  
nóng hi, luôn thu hút được squan tâm ca cng đồng Internet. Trong nhng năm gn  
đây, ngày càng có nhiu các cuc tn công DDoS vi qui mô ln, gây nh hưởng nghiêm  
trng đến các tchc ln như:  
Vào ngày 15 tháng 8 năm 2003, Microsoft đã chu đợt tn công DDoS làm gián  
đon websites trong vòng 2 gi.  
Vào lúc 15:09 giGMT ngày 27 tháng 3 năm 2003: toàn bphiên bn tiếng anh ca  
website Al-Jazeera btn công làm gián đon trong nhiu gi.  
Tháng 6 năm 2004, mt cuc tn công DDoS đánh sp Akamail name server, khiến  
khách hàng không thtruy cp đến server dch v, bao gm ccông ctìm kiếm phbiến  
Google và Yahoo, mt tháng sau đó mt cuc tn công khác làm tràn ngp Doubleclick  
name server khiến các khách hàng ca dch vnày tê lit trong vòng 3 gi.  
Trên thế gii đã có nhiu nghiên cu vphòng chng DDoS, nhưng thc stt cả  
chlà nhng lý thuyết thnghim, mi được trin khai qui mô nhtrong phòng thí  
nghim, chưa được áp dng rng rãi. Tôi viết lun văn này nhm mc đích đưa ra mt cái  
nhìn rõ ràng hơn vDDoS và gii thiu mt cách thc phòng chng DDoS-giao thc Lan  
ta ngược, vi nhng phn phát trin thêm vào.  
1
Chương 1: Tng quan vDDoS  
1.1. Tng quan vtn công DDoS  
1.1.1. Khái nim vDDoS  
Tn công DoS (Denial of Service) là mt hành động cý ca nhng kcó ý định  
xu nhm mc đích làm quá ti tài nguyên mng, khiến mng mt khnăng phc vụ  
nhng người dùng hp l. Phương pháp tn công DDoS chyếu thường là tn công tràn  
ngp mng thông qua vic gi slượng ln các gói tin đến nn nhân, vic làm này tiêu  
tn tài nguyên mng như băng thông, bộ đệm router, khnăng xlý ca cpu. Mt vài  
phương pháp tn công DDoS phbiến có thnêu tên như: SYN flooding, UDP flooding,  
DNS base flooding, ICMP direct broadcast, Ping flood attack. Da trên slượng các máy  
tính tham gia để tiến hành mt cuc tn công, tn công DoS có thể được chia làm hai loi:  
ktn công sdng tt cbăng thông sn có thông qua vic to ra mt slượng ln các  
gói tin tmt máy tính, hay là trường hp tn công phân tán, khi rt nhiu máy tính kết  
hp vi nhau cùng gi các truy vn đến nn nhân cùng mt thi đim- hay còn gi là  
DDoS (distributed denial of sevice). Tn công DDoS rt đa dng, thường thì rt khó để  
tìm ra đâu là ktn công thc smà chdò ra được đến các máy tính bli dng, điu  
khin tham gia cuc tn công, do vy rt khó để ngăn nga tn công DDoS.  
Nhng khái nim sau đây thường đi vi tn công DDoS: victim, agent, handle,  
attacker stepping stone. Victim là nn nhân ca cuc tn công, hay còn gi là máy  
mc tiêu. Agent là nhng máy trc tiếp gi gói tin tn công ti nn nhân. Attacker là kẻ  
tn công thc s, Attacker ra lnh cho các Handle, mi Handle này schu trách nhim  
điu khin mt lượng Agent trc tiếp tn công vào nn nhân. Khi truy tìm ngược li các  
vết tn công, thường chcó thtìm ra các Agent – máy tính bli dng, chkhó có thể  
tìm ra kẻ điu khin thc s. Ngoài ra, trong 1 shthng DDoS, Attacker có thsử  
dng thêm mt máy tính na dùng để điu khin hthng txa, được gi là stepping  
stone, nhm che giu hành tung ca mình.  
2
Xét vmt cu trúc gói tin, tng thông đip gi đến nn nhân là hp l. Mt khác  
các core router khi định tuyến chquan tâm đến địa chỉ đích chkhông quan tâm đến địa  
chngun, nên nếu attacker gimo IP ca Agent, sphc tp ca vic xác định các  
Agent cũng như các gói tin tn công trnên rt khó khăn.  
1.1.2. Tchc mng lưới DDoS  
Tùy theo kế hoch tn công mà attacker có thhuy động 1 slượng ln các máy  
tính gián tiếp hay trc tiếp tham gia. Vic này có thlàm thcông, bán thcông hoc  
hoàn toàn tự động. Các attacker thường hay sdng công cphbiến Trinoo và Shaft,  
công ctrên sẽ điu khin nhng nhng tiến trình được cài đặt tự động ti các máy agents  
để tn công vào victim. Ngày nay attacker thường sdng nhng kch bn tự động để cài  
đặt nhng tiến trình ngm vào các agents, hoc thm chí sdng nhng công ctự động  
scan để dò tìm nhng lhng ri lây nhim qua máy khác . Điu này đang ngày càng trở  
lên nguy him, bi lmt khi đã có thể điu khin 1 tiến trình trong máy Victim, thì  
attacker có thcài đặt virut, các phn mm độc hi khác, ăn cp dliu,thông tin cá nhân,  
tài khon ngân hàng… chkhông chỉ đơn thun nhm tn công DDoS na.  
Có 3 bước thc hin chung để tchc 1 mng lưới DDoS: tuyn mmng lưới  
agent, điu khin mng botnet đó và thc hin tn công.  
1.1.2.1. Tuyn mmng lưới Agent  
Mun thành lp mng botnet, attacker phi tìm kiếm được nhng máy tính dbị  
li dng (Vulnerable Machines). Quá trình này được gi là quá trình thăm dò, attacker gi  
1 vài gói tin để thxem nhng host nào có thli dng. Quá trình thăm dò có ththc  
hin ddàng thông qua mt scông ccó sn, hoc thc hin tự động vi sâu hay virut  
máy tính .  
Mt bot (khái nim này xut phát trobot) là 1 chương trình máy khách được chy  
n trên máy tính bhi, gi thông báo cho attacker các thông tin trng thái ca máy tính bị  
li dng và chờ đợi lnh điu khin tattacker để phát hành tn công. Các chương trình  
bot ngày nay thm chí còn có khnăng tự động scan các máy trong cùng di mng để tìm  
3
nhng máy tính có khnăng bli dng như mình ri thông báo cho attacker để mrng  
mng botnet.  
Nhng chương trình có thtự động dò tìm, tự động lây nhim đến các máy có khả  
năng bli dng được gi là Internet Worm. Do cơ chế có thhot động độc lp xây dng  
mng botnet nên Worm rt được các attacker ưa thích. Worm có 3 chc năng chính là: dò  
quét để tìm kiếm các máy tính có khnăng li dng, khai thác li nhm lây nhim, nhân  
bn và cho phép điu khin txa, cui cùng là ti vkch bn tn công DDoS hoc 1  
chương trình thc thi, thm chí cviruts. Worm có khnăng sdng nhng cách thc  
che giu mình, biết ln tránh và disable chương trình antivirut . Trong lch sử đã có  
nhng con Worm lây nhim cho hàng trăm nghìn máy tính, làm thit hi hàng triu USD  
như MyDoom, Bagle, Slammer …  
Ngày nay, vi sbùng nca các dch vWeb và các mng chia sngang hàng,  
Attacker đã có thêm nhiu cách thc khác nhau để thành lp được mt mng botnet ln  
mt cách nhanh chóng. Theo cách này, Attacker thường khai thác nhng li ca phn  
mm, li dng sctin và nhng thói quen không an toàn ca người sdng máy tính để  
cài đặt 1 tiến trình trên máy tính, từ đó có thtxa tra lnh cho máy tính tn công Victim.  
Đin hình Vit Nam đã có thi kì bùng nVirut, Trojan lan truyn qua Yahoo  
Messenger. Ktn công đã li dng 1 li bo mt trên trình duyt Web Internet Explorer  
để to 1 trang web, sao cho mi khi người dùng vào trang web đó là bcài đặt 1 chương  
trình chy ngm trên máy tính. Từ đó chương trình này tiếp tc qung bá nó, ddngười  
khác vào website kia bng cách gi tin nhn cha link đến tt cbn bè ca người bhi  
qua phn mm Yahoo Messenger, đặt status có cha link đến trang web… Mi khi sử  
dng YM trên máy bnhim, thì hàng chc, hàng trăm bn bè trong friend list đều được  
‘gii thiu’ đến Website độc hi đó. Và vì tin tưởng ln nhau, chcn 1 người bn ldùng  
IE mwebsite y lên là chương trình được nhân bn, và nó tiếp tc qung bá đến hàng  
chc, hàng trăm người khác. Chương trình y lây lan nhanh đến mc cơ quan qun lý  
dch vYahoo Messenger Vit Nam đã phi chn tt ccác tin nhn offline có cha link  
ltrong đó.  
4
1.1.2.2. Điu khin mng lưới Agents  
Khi mng lưới các Agents đã trlên rng ln, có thlên ti hàng chc, hàng trăm  
nghìn nên rt khó để Attacker liên lc vi tng agent, để điu khin Agents, Attacker  
thường sdng các công ckết ni “nhiu – nhiu”. Có 2 mc đích ca vic làm này:  
1 – Attacker ra lnh rõ ràng, mch lc hơn  
2 – Attacker ddàng thu thp được thông tin, hành vi ca các Agents  
Nhng công cto mng lưới Agents trước đây như Trinoo, Tribe Flood Network  
(TFN), và Shaft chcó thto mng botnet vi vài trăm hoc vài nghìn Agents. Nhưng  
ngày nay slượng 1 mng botnet đã tăng lên rt ln, đin hình là mng Phatbot đã có đến  
400.000 host.  
Có mt scách thông dng để Attacker có thể điu khin mng botnet ca mình:  
Ra lnh trc tiếp  
Mt scông cnhư Trinoo xây dng 1 mng gm 2 thành phn là handler và  
agents. Attacker sẽ điu khin mng qua handler, còn handler sgi lnh đó đến nhiu  
agents (đôi khi sdng 1 blnh khác vi attacker đã dùng) để chúng trc tiếp tn công  
Victim.  
(hình 1: ra lnh tn công)  
5
Trong thi kì đầu, nhng chương trình điu khin theo cách này thì không mã hóa  
khi truyn thông tin điu khin hay có bt cauthentication nào gia Attacker – Handlers  
và gia Handler – Agents c. Vì thế các Handler dbphát hin, thm chí có thb1  
attacker khác li dng. Nhng công cngày nay đã cho phép mã hóa trên kênh truyn  
lnh gia Attacker và Handler, hoc yêu cu password để điu khin các Agents (ví dụ  
như Stacheldraht)  
Ra lnh gián tiếp  
Phương pháp ra lnh trc tiếp có 1 snhược đim đối vi Attacker. Handlers cn  
phi lưu trnhng định nghĩa vcác Agents, và đôi khi, chính nhng Agents cũng lưu  
nhng giá trị để xác định Handler. Vì thế phương pháp ra lnh trc tiếp thường to ra  
nhiu hin tượng bt thường trên mng (ví dmáy tính đột nhiên mnhiu cng lchờ  
kết ni, Web server li tkhi to liên lc vi nhiu IP ngoài…), khiến cho người qun trị  
nhanh chóng phát hin ra du vết. Trong phương pháp ra lnh trc tiếp thì Handler và  
Agent luôn luôn phi trng thái sn sàng đợi lnh. Dù không có thông đip nào truyn  
ti gia Attacker vi Handler, gia Handler vi Agent thì người qun trvn có thphát  
hin ra có nhng tiến trình ngm hot động trong máy tính, mnhng cng lạ để chờ đợi  
lnh điu khin. Vì thế, Attacker cn phi viết trước nhng đon code để lp kch bn  
trước, tránh để cho các qun trviên phát hin ra.  
Đin hình ca phương pháp ra lnh gián tiếp này là vic sdng hthng Internet  
Relay Chat (IRC) để điu khin 1 slượng ln Agents. Hai chương trình ni tiếng đã  
được sdng là Kaiten bot trên Unix và Power bot trên Windows. Đầu tiên, cAttacker  
và Agent (bot) đều kết ni ti 1 IRC Server như là 1 IRC Client bình thường. Ti khi hu  
hết các sites đều chp nhn các kênh IRC cho người dùng, thì nhng giao tiếp DDoS đều  
chưa to bt c1 hin tượng bt thường nào. Vai trò ca Attacker chỉ được thhin như  
là 1 kênh truyn bình thường ti IRC Server, và được bo vbi password. Có nhng  
đon code chun định nghĩa vkênh truyn mc định trong các bot, đầu tiên nó shc  
6
kênh điu khin hin ti ở đâu, bot snhy sang kênh đó, và có thnhn các lnh điu  
khin tAttacker thông qua IRC Server.  
(hình 2: mô hình IRC)  
Trong trường hp này, không có Handler chn gia Attacker và Agents, vì thế  
Attacker thường sdng 1 máy khác, được gi là Stepping Stone để che giu tung tích  
ca mình vi IRC Server, và để đề phòng khi các cơ quan an ninh điu tra.  
1.1.3. Các loi tn công DDoS  
Mt cuc tn công DDoS có thtiêu tn hoàn toàn băng thông mng, bộ đệm gói tin  
trên router, làm tê lit khnăng xlý cpu, ram ca nn nhân. Tôi stp trung chyếu vào  
cách tn công làm tràn ngp băng thông mng và tho lun vcách hot động ca mt  
packet flood (gói tin gi bi ktn công).  
7
1.1.3.1. SYN flood attack:  
Loi tn công này sdng cơ chế ca giao thc TCP, là loi tn công chyếu để  
làm tràn ngp băng thông ca nn nhân. Mt kết ni TCP được hình thành sdng cơ chế  
bt tay 3 bước. đầu tiên mt gói tin SYN vi địa chngun giyêu cu được gi thost  
ca ktn công đến nn nhân. Nn nhân tiếp nhn yêu cu là mt SYN-ACK, truy cp  
cu trúc dliu cho kết ni, và lưu trthông tin cn thiết cho kết ni vào hàng đợi, chkẻ  
tn công gi gói tin yêu cu SYN-ACK trên. Khi thc hin xong điu này, hàng đợi xóa  
thông tin kết ni, kết ni được thành lp. Nhưng nếu địa chngun là địa chgimo,  
bước th3 ca quá trình bt tay 3 bước trên không bao giờ được hoàn thành. Do vy,  
thông tin cn thiết cho vic kết ni được lưu trtrong hàng đợi cho đến hết mt khong  
thi gian mc định được thiết lp ri mi bloi b. Mi server chcó mt slượng hn  
chế bnh, do vy shn chế slượng các kết ni chcho ti khi kết ni được thiết lp ,  
mt ktn công gi tói tin SYN-REQUEST sdng địa chngun o vi mt tc độ cao  
có thkhiến hàng đợi kết ni quá ti, do vy ngăn cn nhng người dùng hp lyêu cu  
dch vca server.  
(hình 3: SYN food attack)  
8
1.1.3.2. UDP Flood attack  
Khác vi giao thc hướng kết ni TCP, UDP là giao thc không hướng kết ni. yếu  
tnày có thể được ktn công li dng để gi mt slượng ln lung dliu vi địa chỉ  
gimo ti mt cng sever nn nhân. Server nn nhân xlý các gói tin này và sm nhn  
ra rng đó không phi là yêu cu cho mt dch vcth. Vì vy cpu ca server nn nhân  
tn hiu năng vô ích vào vic xlý nhng yêu cu này. Vi vic gi mt slượng ln các  
lung dliu gimo như vy, ktn công có thkhiến cpu ca server nn nhân quá ti ,  
hơn na UDP không có cơ chế điu khin tc nghn, nó scó xu hướng ct bt băng  
thông khi tc độ gi các gói tin tăng nhanh và có thép nhng người dùng hp lsdng  
giao thc TCP(có cơ chế điu khin tc nghn) phi hthp tc độ gi gói tin, gây ra sự  
mt cân bng trong phân phi dch v.  
1.1.3.3. Smurf attack  
Ktn công gi gói tin ping ICMP đến địa chbroadcast ca mng, điu này khiến  
tt cnhng host trong mng phi gi gói tin ICMP đáp li, vic này thường to ra mt  
lượng ln các lung dliu và có xu hướng tiêu tn nhiu băng thông mng.  
.
(Hì nh 4: smurf attack)  
9
1.1.3.4. DNS Zone Transfer based Flooding  
Mt Zone Transfer(vùng chuyn đổi ) yêu cu thông tin vtên server (Name  
Server) ca tt ccác vùng còn li. Cách này thường được sdng khi mt server khác tự  
cp nht thông tin bng cách gi yêu cu đến server chính. Khi ktn công gi nhng yêu  
cp lp đi lp li đến name server có thgây ra stiêu tn băng thông mng rt ln vì  
lung dliu cho mi yêu cu là khá ln.  
(hình 5: DNS zone transfer)  
10  
1.1.3.5. Ping based attacks  
Hay còn gi là Ping of death hay “Long ICMP” khi mà host tn công gi mt lượng  
ln các gói tin ICMP đến server nn nhân. Nhng ktn công thường sdng các gói tin  
độ dài ln hơn 65536 bytes, độ dài ln nht ca gói tin được qun lý bi giao thc  
TCP. Cách tn công này nh hưởng đến ckhnăng xlý ca cpu và băng thông mng.  
(hình 6: Ping base attack)  
1.1.3.6. CGI attacks(Common Gateway Interface)  
Cpu luôn tn rt nhiu thi gian để xlý các kch bn CGI, vì vy khi ktn công  
gi mt slượng ln các kch bn CGI đến server nn nhân có thlàm chm khnăng xử  
lý ca server.  
11  
Tt cnhng cách tn công trên đều nhm mc đích làm gim chc năng ca hệ  
thng mng và có thdn đến đánh sp hthng, làm hthng không có khnăng hot  
động. Nhng cuc tn công DDoS có thphân tán, ri rác, khin cho vic xác định ktn  
công là rt khó khăn, cn phi hiu vhành vi, hot động ca các lung dliu trong hệ  
thng mng để từ đó phát hin sm và có nhng bin pháp hiu quả để ngăn chn tn  
công DDoS.  
1.2. Tng quan vphòng thDDoS  
1.2.1. Ti sao DDoS khó gii quyết  
Có 2 hướng để thc hin tn công DDoS: đó là nhm vào đim yếu (vulnerability  
attack) và làm ngp mng (flooding attack). Do có 1 số đặc tính vkĩ thut như sau làm  
khó gii quyết được trit để các cuc tn công DDoS:  
- Sự đơn gin: Mt người sdng máy tính bình thường không rành vmng cũng  
có ththc hin 1 cuc tn công DDoS. Bi vì đã có sn rt nhiu công cDDoS trên  
mng và chướng dn sdng rt chi tiết để thc hin.  
- Sự đa dng ca các gói tin tn công: Sging nhau gia các traffic tn công và  
các traffic hp llàm qun trviên khó có thphân bit được. Khác vi các nguy cơ bo  
mt như virut, worm, adware… cn phi có nhng gói tin mánh khóe, mo mc li dng  
vào lhng, nhưng flood attack chcn lưu lượng ln traffic và header cũng như ni dung  
packet đều có thtùy ý theo Attacker  
- Sgimo IP làm cho các lung dliu tn công tagents đến như là tnhng  
người dùng hp l. Vì thế qun trviên rt khó phân bit để có thphát hin các cuc tn  
công.  
- Lượng traffic ln, gi vi tn sut cao: Lượng traffic khng lmà DDoS to ra  
không chlàm ngp tài nguyên ca Victim, mà còn làm qun trviên rt khó mô t, phân  
tích và tách bit được packet hp lvà packet tn công chúng.  
12  
- Slượng ln các Agents: Mt trong nhng đim mnh ca tn công DDoS là có  
thhuy động được 1 slượng ln Agent phân tán trên toàn Internet. Khi đó, lung tn  
công slan ta trên nhiu nhánh ti Victim, đim ttn công sgn sát nn nhân, và hệ  
thng phòng thsrt khó có thchng tphía xa. Ngoài ra, hthng Agent phân tán  
cũng đồng nghĩa vi sphc tp, phong phú, khác bit vmô hình qun lý mng gia các  
ISP khác nhau, vì thế các cơ cơ chế phòng thyêu cu sphi hp tnhiu nơi strin  
khai khó khăn hơn rt nhiu.  
- Nhng đim yếu trên mô hình mng Internet: Có nhng cơ chế, giao thc mng  
mà khi thiết kế chưa lường trước được nhng đim yếu có thbli dng (ví dTCP  
SYN, ping of Death, LAND Attack…). Đôi khi là li ca nhà qun trkhi cu hình các  
policy mng chưa hp lý.  
1.2.2. Nhng thách thc khi xây dng hthng phòng thDDoS  
Do nhng tính cht phc tp ca DDoS như đã trình bày trên, nên xây dng 1 hệ  
thng phòng thDDoS là không đơn gin. Để làm được điu đó cn xđược ctrên 2  
lĩnh vc: kĩ thut và xã hi.  
1.2.2.1. Vmt kĩ thut  
- Xlý phân tán tnhiu đim trên Internet: Vì các lung tn công xy ra từ  
nhiu ngun khác nhau, đi qua toàn mng Internet trong khi thường chcó mt mình  
Victim vi ít thiết b, quyn hn, khnăng xlý hn chế nên không thể đạt được hiu quả  
cao. Stn công phân tán thì cn sphòng thphân tán thì mi gii quyết trit để được.  
- Thiếu thông tin chi tiết vcác cuc tn công thc tế: Có không nhiu thông tin  
vtác hi ca DDoS gây lên cho các doanh nghip, nó thường chcó khi tác hi ca nó là  
rõ ràng và doanh nghip không thtxđược mà phi báo lên chính quyn. Vì thế li  
càng ít các thông tin chi tiết, như là bn log các traffic, sơ đồ mng chi tiết ca doanh  
nghip.  
13  
- Khó thnghim trên thc tế: Nhng hthng thnghim DDoS phòng thí  
nghim không thphn ánh đúng thc tế rng ln, phong phú trên mng Internet được.  
Trong khi đó nếu mun trin khai để thnghim tht qua Internet thì các điu lut không  
cho phép, vì tn công DDoS không chỉ ảnh hưởng đến Victim, mà còn liên quan đến rt  
nhiu các thành phn khác như router, switch… ca ISP qun lý phn lõi Mng. Còn  
nếu thnghim luôn trên 1 hthng tht đang btn công thì li thiếu thông tin cn đo  
đạc Agent, Handler, Attacker…  
- Chưa có chun đánh giá các hthng phòng th: Có nhiu vendor đã công bố  
rng gii pháp ca hcó thgii quết được DDoS. Nhưng hin ti chưa có 1 ltrình  
chun nào để kim thcác hthng phòng thDDoS. Từ đó dn đến 2 vn đề: thnht là  
nhng người phát trin hthng phòng thttest chính h, do đó nhng thiết kế sluôn  
phù hp nht để hthng đó hot động thun li. Thhai là nhng nghiên cu vDDoS  
không thso sánh hiu sut thc tế ca các hthng phòng thkhác nhau, thay vào đó,  
hchcó thnhn xét vtng gii pháp trên môi trường thnghim mà thôi.  
1.2.2.2. Vmt xã hi  
Mt ththách ln khi mun gii quyết trit để vn nn tn công DDoS là vyếu tố  
Xã hi. Có rt nhiu điu lut van ninh, bo mt ca nhiu đất nước, nhiu ISP khác  
nhau mà người trin khai khó có ththa mãn tt cả để thc hin hthng phòng thca  
mình. Ví dISP không cho bn sơ đồ chi tiết cu hình Mng, không cho phép bn tdo  
cài đặt chương trình trên các router ca hĐối vi các nn nhân ca DDoS, thông  
thường là các doanh nghip, thì vic đầu tiên là hscgng tmình gii quyết, nếu  
thành công thì sgiu kín, không công bcho bên ngoài là mình đang btn công vì lo  
ngi nh hưởng đến danh tiếng ca công ty. Chkhi nào dch vca hbchết hn, không  
thtcu thì mi liên hvi các ISP và chính quyn.  
Mt vn đề khác là đôi khi cn phi sa đổi mt số đim yếu ca các kiến trúc  
mng để gim tác hi ca DDoS, ví dnhư giao thc TCP, IP, HTTP… Nhưng không dễ  
14  
làm được điu đó, vì hin ti đã có rt nhiu hthng xây dng trên nn tng cũ, và  
không thngày thay đổi trong ngày mt ngày hai được.  
Có mt đặc đim ca DDoS là khi Victim btn công, thì nếu mun trit để không  
còn traffic DDoS na, thì phi làm sao yêu hàng nghìn Agent ngng tn công. Chcó 1  
cách làm được điu này là ti các Agent phi cài đặt 1 phn mm, hay hthng để ngăn  
chn gói tin DDoS ngay khi va sinh ra. Nhưng không dthuyết phc được các End User  
làm điu đó, vì nó không mang li li ích trc tiếp gì cho bn thân h, đôi khi còn làm  
nh hưởng đến hiu năng mng ca End User.  
Yếu tcui cùng là thiếu sthng nht vcác điu lut, chế tài xpht các  
Attacker, Handler, Agents gia các blut vCông nghthông tin ca các nước và gia  
các quy định vbo mt, an toàn ca các Internet Service Provider.  
1.2.3. Mc tiêu khi xây dng hthng phòng thủ  
Cho dù trin khai hthng phòng ththeo cách thc nào thì cui cùng cũng phi  
hướng ti 4 mc tiêu chính như sau:  
- Tính hiu qu: yêu cu các thành phn tham gia vào hthng phòng th: victim,  
router… đều không phi chu thêm ti quá nng. Ví dkhi bình thường CPU Usage ca  
Server chchy 10% để phc vcho các Client, nhưng sau khi cài đặt hthng phòng thủ  
vào, cho dù chưa xy ra DDoS thì CPU Usage do phi tính toán thêm nhiu nên đã lên  
đến 20% là không chp nhn được.  
- Tính trn vn: Mt hthng phòng thtt cn phi bo vVictim được khi tt  
ccác kiu tn công DDoS. Bi vì đối vi Attacker, mt khi đã điu khin được mng  
botnet thì hn hoàn toàn có thsdng nhiu kch bn tn công khác nhau, li dng  
nhiu đim yếu ca giao thc, ca mng hoc thay đổi thông sbên trong packet. Vì thế  
nếu hthng chcó thphòng thủ được 1 scách tn công nht định, thì khi attacker thay  
đổi, hthng đó ssp đổ hoàn toàn.  
15  
- Cung cp dch vcho tt ccác traffic hp l: đây là yêu cu quan trng nht  
khi trin khai mt hthng phòng thDDoS.  
- Chi phí phát trin và điu hành thp  
1.2.4. Các hướng phòng thDDoS  
Có thphân loi các phương pháp gii quyết DDoS theo hai tiêu chí là thi gian và  
vtrí. Xét theo thi gian, có hai xu hướng: trước (phòng nga) sau (phn ng li khi  
cuc tn công xy ra). Xét theo vtrí đặt trung tâm điu khin vic xlý phòng chng  
DDoS, thì có các vtrí: gn Victim, gn Attacker, trong phn lõi ca Internet hoc kết  
hp nhiu vtrí..  
1.2.4.1. Phòng nga và Phn ng li  
Phương pháp phòng nga áp dng các chính sách để ktn công không thhoc  
khó tn công hthng. Phương pháp này có thể được thc hin bng cách tăng cường sc  
mnh ca hthng: năng lc xlý các yêu cu dch v, băng thông… để gim thiu ti  
đa tác hi ca cuc tn công DDoS. Nhưng do mng lưới tn công có đặc đim phân tán,  
là tp trung ca nhiu máy tính cu hình trung bình nên dtp hp được slượng ln để  
hi tthành mt lượng băng thông gp nhiu ln so vi hthng ca victim. Vì vy vic  
tăng cường sc mnh không thc scó hiu qu.  
Phương pháp phn ng li chp nhn cho cuc tn công xy ra, sau đó truy tìm và  
tiêu dit các hướng tn công, làm gim thiu ri ro hoc chm dt cuc tn công. Bng  
cách phát hin chính xác ktn công, nn nhân scó chính sách cm nhng truy nhp, từ  
đó gim thiu được tác hi ca cuc tn công. Phương pháp này hin là hướng nghiên cu  
chính trong vic gii quyết DDoS.  
Nhược đim chung ca phương pháp phn ng li là vic gii quyết không trit để  
và không chủ động. Nn nhân btn công đã phi hng chu các hu qu. Bin pháp này  
chgiúp chm dt hu qusm và gim thiu thit hi.  
16  
1.2.4.2. Vtrí ca hthng phòng thủ  
Phương pháp đặt gn victim là phương pháp đơn gin nht do ít phthuc vào các  
tác nhân khác, nn nhân tgii quyết vn đề. Phương pháp này thường dùng để phn ng  
li sau khi nn nhân phát hin btn công. Tuy nhiên cách tiếp cn này không thgii  
quyết tn gc, qun trviên chcó thgim thiu thit hi chkhông thchm dt cuc  
tn công.  
(hình 7:Mô hình đặt gn nn nhân)  
Phương pháp đặt gn attacker là phương pháp ngăn chn các gói tin DDoS ngay khi  
va được sinh ra ti ngun. Nó có ưu đim là gim được ti đa tác hi ca gói tin DDoS,  
chng được gimo IP. Tuy nhiên li rt khó thc hin do phi thay đổi hthng mng  
trên quy mô ln. Hin mi chcó khong ba hướng nghiên cu theo cách tiếp cn này.  
Trong đó, D-WARD là có kết qutt nht vi khnăng hot động độc lp.  
17  
(hình 8: Mô hình đặt gn ktn công)  
Mt vtrí khác là đặt ti phn lõi ca Internet. Cách tiếp cn này ít được quan tâm  
rng rãi do để tiếp cn được phn lõi ca Internet cn có mt khon chi phí không nh,  
cũng như sự đảm bo chc chn vtính hiu quả đem li khi tăng sphc tp ca phn  
lõi.  
(hình 9: mô hình đặt ti phn lõi ca Internet)  
18  
Phương pháp cui cùng và hay được nghiên cu hin nay là phương pháp kết hp  
nhiu vtrí: nn nhân phát hin và bt đầu xlý, sau đó cgng đẩy vtrí phòng chng ra  
hthng mng gn ktn công nht có th, từ đó giúp gim ti cho toàn mng Internet  
chkhông chcho Victim na.  
(hình 10: Kết hp nhiu vtrí)  
19  
Chương 2: Các nghiên cu vphòng chng DDoS  
2.1.  
Giao thc AITF  
2.1.1. Gii thiu  
Giao thc AITF được phát trin bi nhóm nghiên cu hthng phân tán trường đại  
hc Stanford nhm ngăn chn và phn ng tc thi vi nhng cuc tn công DDoS.  
Nhóm tác giả đã nghiên cu và thnghim giao thc AITF vi kết qukhá khquan:  
AITF có thngăn chn tc thi hàng triu lung tn công trong khi chyêu cu mt sự  
tham gia ca mt lượng nhcác router.  
2.1.2. Tng quan vgiao thc AITF  
( Hình 11: mô tAITF)  
Vgw thiết lp mt kết ni đặc bit ti Agw kèm theo mt yêu cu: ” không gi các  
gói tin mà tôi không cn na” . Khi kết ni đặc bit trên hoàn thành, Vgw có thgbbộ  
lc tm thi trên. Nếu Agw không hp tác, Vgw có thlan ta yêu cu đặt blc ti router  
gn sát vi Agw. Slan ta như trên được đệ qui theo dc tuyết đường tktn công ti  
nn nhân cho ti khi kết ni đặc bit nêu trên được thiết lp. Trong trường hp xu nht,  
20  
khi không có router nào đáp tryêu cu kết ni, blc sẽ được đặt ti gateway ca victim  
Vgw. Tuy nhiên AITF có nhng cơ chế đặc bit để htrvà khuyến khích các router gn  
ti ngun tn công chn các lung tn công DDoS.  
2.1.3.  
Cơ chế hot động AITF  
(Hình 12: hot động giao thc AITF)  
Như hình 12, AITF có stham gia ca 4 thc thể  
- Victim V gi yêu cu lc đến Vgw, chrõ lung dliu không mong mun F  
- Victim gateway Vgw  
b1: Cài đặt blc tm thi để chn lung tn công F trong thi gian Ttmp giây  
b2: Khi to quá trình bt tay 3 bước vi Agw  
b3: Gbblc nếu hoàn thành quá trình bt tay 3 bước  
- Attack gateway Agw  
b1: Đáp li quá trình bt tay 3 bước  
b2: Cài đặt blc tm thi để chn lung tn công F trong thi gian Ttmp nếu quá  
trình kết ni bt tay 3 bước thành công  
21  
b3: Gi yêu cu lc đến ngun tn công A, yêu cu dng lung F trong khong thi  
gian Tlong>>Ttmp  
b4: Gbblc tm thi nếu A tuân theo trong khong thi gian Ttmp, ngược li ngt  
kết ni ti A  
- Ktn công A  
b1: Ngun tn công A dng lung F trong khong thi gian Tlong nếu không thì sbị  
ngt kết ni ti Agw  
2.1.4. nhn xét  
AITF luôn luôn phi ghi thêm Route Record vào gói tin IP khiến cho ti ca toàn  
bInternet tăng lên đáng k.  
Do Victim_GW đẩy nhim vlc gói tin cho Router gn Agent. Vì vy ssm ngăn  
chn được các gói tin DDoS và đỡ tn băng thông mng và gim tình trng nút cchai ở  
gn Victim.  
Chn được DDoS ngay ckhi tAttacker đến Victim có nhiu đường đi và có sự  
thay đổi động trên các router phn lõi Internet.  
2.2. Hthng D-WARD  
2.2.1. Mc tiêu  
Phát hin lung tn công và ngăn chn chúng bng cách điu khin lung.  
Cung cp mt dch vtt để hp pháp hóa giao dch gia Victim và mng khi xy ra tn  
công  
D-WARD có thhot động như là mt hthng cô lp hay tham gia vào mt hệ  
thng phòng thphân tán. Khi xem xét D-WARD dưới khía cnh hot động độc lp, D-  
WARD phát hin ngun tn công và có cơ chế phn ng li mà không kết hp vi các  
thc thkhác. Khi hot động trong hthng kết hp phòng thphân tán, D-WARD nâng  
22  
cao khnăng phát hin tn công thông qua vic nhn các báo động tn công tcác thc  
ththam gia khác.  
D-WARD chkim soát nhng lun dliu đi ra tmng ca mình, các lung dữ  
liu có ngun gc tcác ngun khác không được kim soát.  
2.2.2. Trin khai D-WARD  
Hthng D-WARD được cài đặt router ngun được hot động như mt gateway  
gia hthng mng được trin khai và toàn mng Internet  
(hình 13: Hthng D-WARD)  
Router ngun được tha nhn là đim kết ni duy nht gia mng ngun và  
phn còn li ca mng Internet. D-WARD có thgiám sát tt ccác gói tin trao đổi gia  
mng ngun và toàn bInternet. Nếu có nhiu gateway trong vùng ca mng ngun, mi  
gateway là mt li vào cho mt tp các địa chtcác mng ngoài, hthng D-WARD có  
thể được cài đặt ti mi gateway và giám sát mi gói tin gia mng ngun và tp các địa  
chtmng ngoài.  
23  
3.2.3. Nhn xét  
Trin khai hthng xlý phân tán D-WARD , skhá phc tp và tn kém. Mt  
phn vì cách định nghĩa ca hthng: xlý tp trung ti các máy qun lý policies, qun  
lý tt ccác lung dliu ra vào mng nên skhá tn tài nguyên phn cng và băng  
thông mng. Hthng D-WARD kim soát tt ccác lung dliu, kcngười dùng hp  
l, và skim soát cht chnhư vy đôi khi là dư tha và không cn thiết.  
Chương 3: GIAO THC LAN TA NGƯỢC  
3.1. Gii thiu vgiao thc Lan ta ngược  
3.1.1. Khái nim chung  
Đây là mt phương pháp mi để phòng chng li các cuc tn công DDoS theo cơ  
chế phn ng li và kết hp nhiu vtrí. Tác giHoàng Văn Quân phát minh ra khi cùng  
nhóm nghiên cu khoa hc trường Công nghnghiên cu vDDoS ( nhóm gm 4 sinh  
viên dưới shướng dn ca thày Đoàn Minh Phương) Giao thc này đã được trình bày  
trong mt hi tho nghiên cu cp quc gia ca Thái Nguyên vcác ng dng ca  
Công ngh(tháng 12 năm 2007). Bn lun văn này đã được tác gihoàn thin phn lý  
thuyết và thêm phn cài đặt, trin khai phn lõi ca giao thc  
Giao thc ‘Lan ta ngược’ da trên 3 nguyên tc để ngăn chn các cuc tn công:  
+ Sdng các blc (Filter) trên các router để chn các gói tin DDoS.  
+ Dùng cơ chế ‘lan ta ngược’ để đẩy nhim vlc cho các router gn Attacker.  
+ Sdng mt sgii thut để nâng cao hiu sut và chng la di, li dng giao  
thc.  
24  

Tải về để xem bản đầy đủ

pdf 45 trang yennguyen 28/06/2025 110
Download
Bạn đang xem 30 trang mẫu của tài liệu "Khóa luận Xác thực các thành phần trong hệ thống PAC để chống lừa dối và lợi dụng", để tải tài liệu gốc về máy hãy click vào nút Download ở trên.

File đính kèm:

  • pdfkhoa_luan_xac_thuc_cac_thanh_phan_trong_he_thong_pac_de_chon.pdf
Luận Văn Liên Quan