BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI

ĐẶNG VĂN TUYÊN

NGHIÊN CỨU GIẢI PHÁP PHÁT HIỆN VÀ GIẢM THIỂU
TẤN CÔNG TỪ CHỐI DỊCH VỤ PHÂN TÁN
SỬ DỤNG CÔNG NGHỆ SDN

LUẬN ÁN TIẾN SĨ KỸ THUẬT VIỄN THÔNG

Hà Nội – 2019


BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI

ĐẶNG VĂN TUYÊN

NGHIÊN CỨU GIẢI PHÁP PHÁT HIỆN VÀ GIẢM THIỂU
TẤN CÔNG TỪ CHỐI DỊCH VỤ PHÂN TÁN
SỬ DỤNG CÔNG NGHỆ SDN
Ngành: Kỹ thuật Viễn thông
Mã số: 9520208

LUẬN ÁN TIẾN SĨ KỸ THUẬT VIỄN THÔNG

NGƯỜI HƯỚNG DẪN KHOA HỌC:
PGS.TS. TRƯƠNG THU HƯƠNG
PGS.TS. NGUYỄN TÀI HƯNG


Luận án.
Trong quá trình thực hiện đề tài nghiên cứu, tuy bản thân đã có nhiều cố gắng nhưng do
giới hạn về trình độ hiểu biết, kinh nghiệm thực tế, kinh nghiệm nghiên cứu khoa học nên
Luận án không tránh khỏi những thiếu sót. NCS kính mong nhận được sự đóng góp ý kiến
của các nhà khoa học, cán bộ nghiên cứu, của các thầy, cô giáo, bạn bè và đồng nghiệp để
NCS hoàn thiện hơn cả về lý luận khoa học lẫn thực tiễn.
Xin trân trọng cảm ơn.
Hà Nội ngày 15 tháng 05 năm 2019
NGHIÊN CỨU SINH

Đặng Văn Tuyên


iii

MỤC LỤC
LỜI CAM ĐOAN ........................................................................................................................ i
LỜI CẢM ƠN............................................................................................................................. ii
MỤC LỤC ................................................................................................................................. iii
DANH MỤC CÁC CHỮ VIẾT TẮT ....................................................................................... vii
DANH MỤC HÌNH VẼ ............................................................................................................. x
DANH MỤC CÁC BẢNG BIỂU............................................................................................ xiii
MỞ ĐẦU ................................................................................................................................. xiv
CHƯƠNG 1: TẤN CÔNG DDOS VÀ CÁC GIẢI PHÁP PHÒNG CHỐNG TRONG MẠNG
SDN/OPENFLOW ..................................................................................................................... 1
1.1. Giới thiệu chương ..................................................................................................................... 1
1.2. Tổng quan về tấn công DDoS ................................................................................................... 1
1.2.1. Khái niệm .......................................................................................................................... 1

1.2.2. Phân loại tấn công DDoS................................................................................................... 2

2.2. Giải pháp phát hiện và giảm thiểu tấn công DDoS dựa trên mô hình dự đoán làm trơn hàm
mũ tham số thống kê lưu lượng ...................................................................................................... 29
2.2.1. Đặt vấn đề ........................................................................................................................ 29
2.2.2. Kiến trúc hệ thống và các trạng thái hoạt động ............................................................... 30
2.2.3. Lựa chọn tham số và chỉ số thống kê lưu lượng .............................................................. 32

2.2.4. Lựa chọn và xây dựng mô hình dự đoán chỉ số thống kê lưu lượng ............................... 33

2.2.5. Phát hiện và giảm thiểu tấn công ..................................................................................... 35

2.2.6. Phân tích và đánh giá hiệu năng của giải pháp ................................................................ 37

2.3. Giải pháp giảm thiểu tấn công SYN Flood dựa trên cơ chế ủy nhiệm gói tin SYN tại bộ điều
khiển ............................................................................................................................................... 41
2.3.1. Đặt vấn đề ........................................................................................................................ 41
2.3.2. Kiến trúc hệ thống đề xuất ............................................................................................... 42
2.3.3. Lựa chọn mô hình ủy nhiệm gói tin SYN........................................................................ 43
2.3.4. Hoạt động của hệ thống SSP ........................................................................................... 44

2.3.5. Phân tích và đánh giá hiệu năng của giải pháp ................................................................ 51


v

2.4. Giải pháp đánh dấu gói tin PLA DFM phục vụ truy vết nguồn tấn công ............................... 58
2.4.1. Đặt vấn đề ........................................................................................................................ 58
2.4.2. Khái niệm về đánh dấu gói tin và các kỹ thuật cơ bản .................................................... 59

2.4.3. Đề xuất cấu trúc và hoạt động của PLA DFM trên kiến trúc mạng SDN/Openflow ...... 61


nhiệm gói tin SYN tại bộ phân tích và xử lý lưu lượng ................................................................. 91
3.5.1. Đặt vấn đề ........................................................................................................................ 91
3.5.2. Cấu trúc hệ thống ............................................................................................................. 92
3.5.3. Hoạt động của hệ thống ................................................................................................... 92

3.5.4. Phân tích và đánh giá hiệu năng ...................................................................................... 98

3.6. Kết luận chương .................................................................................................................... 104
KẾT LUẬN .................................................................................................................................. 106
DANH MỤC CÁC CÔNG TRÌNH ĐÃ CÔNG BỐ CỦA LUẬN ÁN ........................................ 108
TÀI LIỆU THAM KHẢO ............................................................................................................ 109


vii

DANH MỤC CÁC CHỮ VIẾT TẮT
Ký hiệu
ACK

Tiếng Anh
ACKnowledgment

Tiếng Việt
Gói tin xác nhận kết nối

ACK_Num

Acknowledgement Number

Số hiệu xác nhận


CliACK

Client ACK

Gói tin xác nhận kết nối từ client

CM

Connection Migration

Di trú kết nối

CUSUM

CUmulative SUM

Tổng tích lũy

DC

Data Center

Trung tâm dữ liệu

DDoS

Distributed Denial of Service

Tấn công từ chối dịch vụ phân tán


Dynamic Probabilistic Packet
Marking

Kỹ thuật đánh dấu gói tin theo xác suất
động

DR

Detection Rate

Độ nhạy

DSCP

Dynamic probabilistic packet
marking

Kỹ thuật đánh dấu gói tin theo xác suất
động

DSPA

Deviation SPA

SPA chuẩn hóa

FDDoM

Fuzzy Logic-based DDoS


Half Open Connection

Kết nối dang dở

3HS

Three ways Handshake

Bắt tay ba bước

HTTP

HyperText Transfer Protocol

Giao thức truyền tải siêu văn bản

IAT

Inter Arrival Time

Khoảng thời gian liên gói tin


viii
ICMP

Internet Control Message
Protocol


Nhà cung cấp dịch vụ Internet

IRC

Internet Relay Chat

Dịch vụ chat Internet

MA

Moving Average

Trung bình động

MPR

Marked Packet Rate

Tỷ lệ gói tin bị đánh dấu

MSR

Marked Size Rate

Tỷ lệ dung lượng gói tin bị đánh dấu

MT

Mark Threshold



Tổ chức chuẩn hóa mạng mở

PN

Packet Number

Số gói tin

PLA DFM

Packet Length Adaptive
Deterministic Flow Marking

Đánh dấu gói tin xác định theo luồng
có sự tương thích chiều dài gói

PpF

Packet number per Flow

Số gói tin trong một luồng

PPM

Probabilistic Packet Marking

Đánh dấu gói tin theo xác suất

pps


SCR

Successful Connection Rate

Tỷ lệ kết nối thành công

SD

Security Device

Thiết bị bảo mật

SDH

Synchronous Digital
Hierarchy

Hệ thống phân cấp đồng bộ

SDN

Software Defined
Networking

Kỹ thuật mạng cấu hình bởi phần mềm

SEQ_Num

Sequence Number


Synchronous Optical
NETwork

Mạng quang đồng bộ

SP

Security Proxy

Ủy nhiệm an ninh

SPA

Source-port number Per
Address

Số cổng nguồn trên một địa chỉ nguồn

SPM

SYN Proxy Module

Mô đun ủy nhiệm gói tin SYN

SPN

Source Port Number

Số cổng nguồn được mở


Secure Sockets Layer

Tiêu chuẩn bảo mật an toàn lớp ứng
dụng

SVM

Support Vector Machine

Máy vec-tơ hỗ trợ

SYN

SYNchronize

Gói tin yêu cầu kết nối

SYN-ACK

SYNchronize
ACKnowledgement

Gói tin trả lời yêu cầu kết nối

TCB

Transmission Control Block

Khối điều khiển truyền

Thăm dò ngưỡng

TRW-CB

TRW-Credit Based

Thăm dò ngưỡng theo độ tin cậy

UDP

User Datagram Protocol

Giao thức truyền gói dữ liệu người
dùng

VLAN

Virtual Local Area Network

Mạng LAN ảo

VPN

Virtual Private Network

Mạng riêng ảo

WMA

Weighted Moving Average

Hình 2.7. Nguyên lý hoạt động của hai loại SYN proxy .......................................................... 44
Hình 2.8. Quá trình xử lý yêu cầu kết nối của một gói tin SYN trong giải pháp SSP ............. 45
Hình 2.9. Lưu đồ quá trình capture và xử lý các gói tin bắt tay ba bước tại OFS .................... 46
Hình 2.10. Lưu đồ hoạt động của mô đun SPM tại bộ điều khiển ........................................... 48
Hình 2.11. Thống kê CDF khoảng thời gian giữa gói tin SYN và gói tin CliACK của lưu lượng
mạng thực tế ............................................................................................................................. 50
Hình 2.12. Hiệu chỉnh thời gian chờ của các luồng ................................................................. 50


xi
Hình 2.13. Sơ đồ chuyển tiếp chính sách xử lý gói tin SYN tại bộ chuyển mạch ................... 51
Hình 2.14. Mô hình testbed đánh giá hiệu năng giải pháp SSP ............................................... 52
Hình 2.15. Tỷ lệ kết nối thành công từ lưu lượng lành tính khi máy chủ chịu tấn công DDoS
với cường độ tấn công khác nhau ............................................................................................ 53
Hình 2.16. Thời gian kết nối trung bình của lưu lượng lành tính khi máy chủ chịu tấn công với
cường độ tấn công khác nhau ................................................................................................... 53
Hình 2.17. Số kết nối đang mở tại máy chủ với các cường độ tấn công khác nhau ................. 54
Hình 2.18. Giao diện màn hình đo sự chiếm dụng tài nguyên Bộ điều khiển ở tốc độ tấn công
700 pps...................................................................................................................................... 57
Hình 2.19. Tỷ lệ chiếm dụng CPU của bộ điều khiển tại các cường độ tấn công khác nhau... 57
Hình 2.20. Dung lượng bộ nhớ bị chiếm dụng của bộ điều khiển ở cường độ tấn công khác nhau
.................................................................................................................................................. 57
Hình 2.21. Phân bố số lượng gói tin trên 1 luồng từ bộ dữ liệu CAIDA ................................. 61
Hình 2.22. Cấu trúc hệ thống giải pháp đánh dấu gói tin PLA DFM dựa trên kiến trúc
SDN/Openflow ......................................................................................................................... 62
Hình 2.23. Phân bố chiều dài của gói tin thứ nhất từ bộ dữ liệu CAIDA ................................ 63
Hình 2.24. Đánh dấu gói tin PLA DFM ................................................................................... 63
Hình 2.25. Quá trình đánh dấu gói tin PLA DFM tại Bộ điều khiển mạng SDN/Openflow ... 66
Hình 2.26. So sánh tác động của PLA DFM tới tiêu đề gói tin đầu tiên của luồng ................. 67
Hình 2.27. SMR của PLA DFM và DFM khi MT=288 ........................................................... 68

Hình 3.20. Cấu trúc testbed thử nghiệm và đánh giá giải pháp SSG ....................................... 98
Hình 3.21. So sánh tỷ lệ kết nối thành công và thời gian kết nối trung bình giữa Openflow, cơ
chế CM và giải pháp SSG......................................................................................................... 99
Hình 3.22. Sự chiếm dụng tài nguyên bộ nhớ và tài nguyên CPU trên OFS và SD của các giải
pháp thử nghiệm ..................................................................................................................... 101
Hình 3.23. Sự tương tác giữa các thực thể của SSG trong quá trình xử lý gói tin bắt tay ba bước
của một kết nối lành tính ........................................................................................................ 102
Hình 3.24. Sự tương tác giữa các thực thể trong quá trình xử lý gói tin SYN giả mạo địa chỉ IP
của cơ chế CM và giải pháp SSG ........................................................................................... 103
Hình 3.25. Mức độ gia tăng lưu lượng trên giao diện bộ chuyển mạch của giải pháp SSG so với
cơ chế CM .............................................................................................................................. 103


xiii

DANH MỤC CÁC BẢNG BIỂU
Bảng 1.1. Quan hệ giữa kết quả phân loại của giải pháp và đặc tính thực của lưu lượng.......... 8
Bảng 1.2. So sánh các kỹ thuật phát hiện và giảm thiểu tấn công DDoS tới kiến trúc mạng
SDN/Openflow theo chính sách và quy tắc xử lý gói tin ......................................................... 25
Bảng 2.1. Các tham số thống kê sử dụng để phát hiện và phân loại lưu lượng tấn công
DDoS ........................................................................................................................................ 32
Bảng 2.2. Thuật toán phát hiện tấn công .................................................................................. 35
Bảng 2.3. Thuật toán phân loại lưu lượng tấn công ................................................................. 36
Bảng 2.4. Thuật toán Lọc bỏ lưu lượng tấn công ..................................................................... 37
Bảng 2.5. Độ nhạy và tỷ lệ báo động nhầm trong phân loại lưu lượng và giảm thiểu tấn
công .......................................................................................................................................... 40
Bảng 2.6. Ví dụ về cấu trúc và sắp xếp các mục luồng trong bảng luồng của SSP ................. 47
Bảng 2.7. Cấu trúc bảng giám sát luồng FMT.......................................................................... 48
Bảng 2.8. Tham số và kết quả phân tích lưu lượng lành tính từ bộ dữ liệu CAIDA 2013 ....... 56
Bảng 2.9. Các trường và số lượng gói tin yêu cầu trong mỗi luồng để đánh dấu trong DFM . 60

(sau đây gọi tắt là tấn công DDoS) [2]–[4]. Mặc dù không gây lỗi dữ liệu, tấn công DoS/DDoS
có ảnh hưởng nghiêm trọng đến tính tin cậy, sẵn sàng trong tổ chức và khai thác các dịch vụ
trên Internet. Với kỹ thuật tấn công đơn giản, công cụ dễ tìm, khả năng phát tán mã độc để huy
động nguồn lực tấn công dễ dàng, khó phát hiện và ngăn chặn, tấn công DDoS ngày càng trở
nên nguy hiểm, được lợi dụng và phát động tấn công với quy mô ngày càng cao. Các báo cáo
của các công ty an ninh mạng cho thấy, diễn biến và quy mô các đợt tấn công ngày càng phức
tạp [5]–[7]. Theo báo cáo của Abor [8], ngày 27/2/2018 trang web lưu trữ mã nguồn GitHub
ghi nhận một đợt tấn công DDoS với tốc độ lên tới 1,35 Tbps. Qua đó cho thấy, tấn công DDoS
vẫn sẽ là nguy cơ an ninh lớn đối với tổ chức và đảm bảo chất lượng dịch vụ Internet trong
tương lai.
- Sự dịch chuyển và gia tăng nhu cầu làm việc, kinh doanh độc lập và giải trí cá nhân, cùng
với sự hỗ trợ mạnh mẽ của các công nghệ truyền dẫn tiên tiến, sự phát triển các dịch vụ nhà
thông minh, IoTs,… mạng quy mô nhỏ (SOHO network) ngày càng phát triển và đang là xu
thế, chiếm tỷ lệ ngày càng tăng trong kết cấu internet [9]–[11]. An ninh mạng nói chung và tấn
công DDoS nói riêng là một trong những vấn đề lớn đối với các mạng quy mô nhỏ này do tính
đa dạng, thiếu kiểm soát của các thiết bị, dịch vụ mạng, và sự chú trọng, quan tâm, tính chuyên
nghiệp trong thiết kế, quản lý và vận hành mạng [12]–[14].
- Dựa trên công nghệ mạng truyền thống, nhiều giải pháp kỹ thuật nhằm phát hiện, phân
loại và ngăn chặn lưu lượng tấn công DDoS đã được đề xuất và triển khai [15]–[18]. Cơ chế
chung của các giải pháp này là sử dụng các bộ đo, điểm dò (probe), các bộ lấy mẫu và phân
tích lưu lượng trên hệ thống mạng để cung cấp thông tin thuộc tính của lưu lượng mạng trên
toàn hệ thống. Thông tin lưu lượng được chuyển đến và xử lý phân tích nhờ các thuật toán phát
hiện bất thường hoặc dựa trên dấu hiệu tấn công để xác định có tấn công xảy ra hay không. Khi
có tấn công hệ thống sử dụng các thiết bị an ninh chuyên dụng như tường lửa, IPS để ngăn
chặn, xóa bỏ lưu lượng tấn công. Một trong những vấn đề tồn tại lớn nhất của công nghệ mạng


xv
truyền thống đó là các thiết bị mạng vốn được phát triển các kỹ thuật xử lý gói tin theo chuẩn
riêng bởi các nhà sản xuất khác nhau nên việc cấu hình tự động, thiết lập các tham số để phòng

thống ở chỗ: (1) các thiết bị mạng quản lý và xử lý lưu lượng theo luồng (flow), (2) khả năng
cung cấp dữ liệu thống kê về lưu lượng nhờ các bộ đếm thống kê luồng có trong các bộ chuyển
mạch, và (3) khả năng điều khiển xử lý lưu lượng bằng phần mềm được lập trình, tùy biến bởi
bộ điều khiển điều hành mạng. Sự khác biệt này cho phép xây dựng các giải pháp quản trị, điều
hành mạng quy định và cấu hình chức năng của các thiết bị mạng vật lý, xử lý lưu lượng, v.v…
bằng phần mềm. Bên cạnh các giải pháp đề xuất về ứng dụng quản trị, tổ chức dịch vụ, nâng


xvi
cao hiệu năng hệ thống mạng, SDN/Openflow cũng được nghiên cứu và đề xuất ứng dụng trong
nhiều giải pháp an ninh mạng trong đó có các giải pháp phòng chống tấn công DDoS [21]–[26].
2. Những vấn đề còn tồn tại
1. Công nghệ SDN và kỹ thuật SDN/Openflow được đánh giá và kỳ vọng là công nghệ
mạng thay thế cho công nghệ, kỹ thuật mạng truyền thống. Khác với kỹ thuật mạng truyền
thống, kỹ thuật SDN/Openflow có khả năng cung cấp dữ liệu thống kê về lưu lượng và có thể
lập trình xử lý lưu lượng theo sự biến thiên của đặc tính ấy. Đặc điểm này phù hợp với quy
trình phát hiện và giảm thiểu tấn công DDoS. Đã có một số công trình nghiên cứu, đề xuất các
giải pháp phát hiện và giảm thiểu tấn công DDoS dựa trên dữ liệu thống kê và cơ chế xử lý gói
tin của kỹ thuật SDN/Openflow. Tuy nhiên, trong các giải pháp đề xuất:
+ Một số giải pháp mới chỉ đưa ra thuật toán phát hiện tấn công, chưa có cơ chế phân loại
và giảm thiểu lưu lượng tấn công [22].
+ Hầu hết mới dừng lại ở ý tưởng giải pháp, thử nghiệm với quy mô thử chức năng, chưa
triển khai trên hệ thống thử nghiệm hoặc đo phân tích với lưu lượng thật (như) [22], [27]–[29].
+ Một số giải pháp tích hợp các chức năng xử lý gói tin tại bộ chuyển mạch làm mất bản
chất SDN [28], [29], hoặc cơ chế xử lý gói tin trong SDN/Openflow chưa được ứng dụng [21],
[25], [26] làm chậm thời gian đáp ứng và hiệu năng hệ thống.
Vậy khi kỹ thuật SDN/Openflow được áp dụng rộng rãi trong hệ thống mạng, làm thế nào
để khắc phục các vấn đề trên, nâng cao hiệu năng của các giải pháp phòng chống tấn công
DDoS sử dụng trực tiếp dữ liệu thống kê về lưu lượng và cơ chế xử lý gói tin của kỹ thuật
SDN/Openflow để có thể áp dụng cho các mạng quy mô nhỏ như các mạng gia đình đang thiếu

Để giải quyết các vấn đề tồn tại, với mục tiêu nghiên cứu như trên, nội dung nghiên cứu
của Luận án bao gồm:
•

Nghiên cứu sự khác biệt đặc tính lưu lượng tấn công DDoS so với lưu lượng lành
tính để lựa chọn các tham số, đề xuất thuật toán phù hợp với bối cảnh
SDN/Openflow nhằm nâng cao hiệu năng phát hiện và phân loại tấn công DDoS.

•

Dựa trên cơ chế xử lý gói tin của kỹ thuật SDN/Openflow, đề xuất cơ chế trao đổi
dữ liệu, tương tác giữa các thực thể trong mạng SDN/Openflow để áp dụng mô
hình, thuật toán, phát triển thành giải pháp phòng chống tấn công DDoS trong hai
bối cảnh: (1) thuần túy sử dụng dữ liệu thống kê của SDN/Openflow và (2) sử dụng
dữ liệu thống kê SDN/Openfow kết hợp với bộ phân tích và xử lý lưu lượng.

•

Nghiên cứu những nguy cơ tấn công DDoS tới chính các thành phần của mạng
SDN/Openflow và đề xuất giải pháp phát hiện, giảm thiểu tấn công.

c). Đối tượng nghiên cứu:
•

Công nghệ SDN, kỹ thuật SDN/Openflow.

•

Các phương thức, kỹ thuật tấn công DDoS phổ biến trong kỹ thuật mạng truyền
thống và mạng SDN/Openflow.

công và các giải pháp phòng chống DDoS dựa trên công nghệ mạng truyền thống; các yêu cầu,
thách thức trong phòng chống tấn công và các tham số đánh giá hiệu năng của một giải pháp
phòng chống DDoS; vấn đề an ninh mạng, tấn công DDoS trong mạng SOHO. Nội dung của
chương cũng đề cập đến nguyên lý, đặc điểm kỹ thuật mạng cấu hình bởi phần mềm SDN, giao
thức Openflow; các giải pháp phòng chống DDoS dựa trên kiến trúc và kỹ thuật
SDN/Openflow; tấn công DDoS tới mạng SDN/Openflow và các giải pháp phòng chống đã
được đề xuất.
Chương 2. Đề xuất giải pháp phòng chống tấn công DDoS dựa trên dữ liệu thống kê
và cơ chế xử lý gói tin của kỹ thuật SDN/Openflow: Nội dung Chương 2 đề xuất các giải
pháp phòng chống tấn công DDoS trong mạng SDN với quy mô băng thông nhỏ sử dụng thuần
túy dữ liệu thống kê về đặc tính lưu lượng và cơ chế xử lý gói tin của kỹ thuật SDN/Openflow.
Có thể triển khai các giải pháp này chỉ cần tạo các ứng dụng quản trị mạng tại lớp ứng dụng
của SDN mà không cần bổ sung thêm thiết bị chuyên dụng. Các giải pháp cụ thể bao gồm:
- Kỹ thuật phát hiện và giảm thiểu tấn công DDoS dựa trên mô hình dự đoán làm trơn
hàm mũ các tham số thống kê về đặc tính lưu lượng,
- Kỹ thuật phát hiện và ngăn chặn tấn công SYN Flood tới các máy chủ trong hệ thống
mạng dựa trên cơ chế ủy nhiệm gói tin SYN tại bộ điều khiển,
- Kỹ thuật đánh dấu gói tin dựa trên kỹ thuật SDN/Openflow phục vụ truy vết nguồn phát
sinh lưu lượng tấn công.
Chương 3. Đề xuất giải pháp phòng chống tấn công DDoS dựa trên kỹ thuật
SDN/Openflow sử dụng thêm bộ phân tích và xử lý lưu lượng: Mặc dù SDN/Openflow có
nhiều lợi thế cho xây dựng và triển khai các giải pháp phòng chống DDoS, kiến trúc này cũng
chưa có khả năng cung cấp đầy đủ thông tin về đặc tính lưu lượng cho phát hiện, phân loại và
giảm thiểu tấn công. Bên cạnh đó, việc truy vấn dữ liệu thống kê qua giao diện Openflow làm
cho lưu lượng trên giao diện điều khiển này tăng lên, dễ trở nên tắc nghẽn và làm mất, suy giảm
chức năng điều khiển, nhất là khi tấn công xảy ra. Điều này giới hạn quy mô băng thông của hệ
thống mạng. Để khắc phục vấn đề này, nội dung Chương 3 đề xuất kiến trúc SDN mở rộng
trong đó bổ sung bộ phân tích và xử lý lưu lượng được điều khiển hoạt động và tương tác với
các thực thể khác theo cơ chế, kỹ thuật SDN/Openflow. Trên cơ sở ứng dụng kiến trúc SDN
mở rộng, đề xuất 02 giải pháp phòng chống DDoS bao gồm:

tấn công DDoS dựa trên kỹ thuật SDN/Openflow. Phần cuối của chương đề cập đến các nguy
cơ tấn công DDoS vào kiến trúc, kỹ thuật SDN/Openflow và nghiên cứu, khảo sát các giải pháp
phòng chống tương ứng.

1.2. Tổng quan về tấn công DDoS
1.2.1. Khái niệm
Tấn công DoS
Internet được thiết kế dựa trên nguyên tắc tối thiểu hóa các xử lý thông tin, đồng thời việc
thực hiện chuyển gói tin trên hệ thống mạng theo cơ chế nỗ lực tối đa, không quan tâm và không
có biện pháp kiểm soát nguồn gốc gói tin và tính nguy hại của nó. Chính triết lý này đã dẫn đến
một hệ quả là sự lợi dụng internet để phát ra những lưu lượng tấn công không vì mục đích lấy
cắp thông tin, truy nhập bất hợp pháp mà nhằm ngăn cản các người dùng lành tính khác tiếp
cận các dịch vụ trên mạng internet.
Tấn công từ chối dịch vụ (DoS) [31] là dạng tấn công nhằm ngăn chặn người dùng hợp
pháp truy nhập tới dịch vụ, tài nguyên mạng làm cho hệ thống mạng không thể sử dụng, bị gián
đoạn, hoặc chậm đi một cách đáng kể bằng cách làm quá tải tài nguyên của hệ thống.
Đối tượng tấn công của DoS [1], [32], [33] có thể là:
•

Một ứng dụng, một dịch vụ.

•

Một máy chủ, máy tính có địa chỉ cụ thể.

•

Toàn bộ hệ thống mạng trong một phạm vi cụ thể.

Mục tiêu cụ thể tấn công DoS bao gồm:

người dùng hợp pháp với máy chủ.

Tấn công DDoS
Tấn công từ chối dịch vụ phân tán (DDoS) [3], [15], [34] là dạng phát triển ở mức độ cao
của tấn công DoS sử dụng kỹ thuật lưu lượng trong đó lưu lượng tấn công được huy động cùng
một lúc từ rất nhiều máy tính khác nhau trên hệ thống mạng. Hình 1.1.

Hình 1.1. Lưu lượng tấn công DDoS được huy động từ nhiều nguồn trên Internet
1.2.2. Phân loại tấn công DDoS
Tấn công DDoS có thể được phân loại theo nhiều cách khác nhau [2], [3], [32], [33], [35],
[36]. Dưới đây là một số cách phân loại cơ bản.
Phân loại theo kỹ thuật tấn công:
Theo cách phân loại này [2], [3], [35], tấn công DDoS được phân thành 3 nhóm chính được
thể hiện như trong sơ đồ Hình 1.2.
• Tấn công dựa vào dung lượng lưu lượng: Nhóm này bao gồm 2 kỹ thuật chính:
- Làm lụt (flooding): Kẻ tấn công cố gắng ngăn chặn các kết nối từ người dùng hợp pháp
bằng cách tạo ra một lưu lượng khổng lồ tới mục tiêu tấn công làm cạn kiệt tài nguyên
băng thông. Kỹ thuật này thường dựa trên các giao thức mạng lớp 4 như UDP flood,


3
ICMP flood. Kẻ tấn công cũng có thể khai thác các điểm yếu của các phần mềm, dịch vụ
ứng dụng hoặc tạo nhiều kết nối giả mạo, không có mục đích nhằm ngăn chặn các kết nối
lành tính. Dạng phổ biến của tấn công loại này là HTTP Flood với hàng triệu kết nối
không mục đích được gửi đến máy chủ. Kẻ tấn công sử dụng kỹ thuật thăm dò năng lực
phục vụ của máy chủ và điều chỉnh tốc độ tấn công tạo nên hình thức tấn công dai dẳng
làm suy giảm năng lực máy chủ như tấn công Slowloris [37]. Theo báo cáo an ninh mạng
thường niên của Abor Networks năm 2018 [38], loại tấn công này chiếm tới 75,7% các
cuộc tấn công.


• Giả mạo địa chỉ nguồn: Lợi dụng đặc điểm tự trị của mạng Internet trong đó không có
cơ chế xác thực địa chỉ nguồn của gói tin IP, kẻ tấn công phát đi lưu lượng trong đó thay đổi
địa chỉ IP nguồn của gói tin bằng các địa chỉ IP giả mạo một cách ngẫu nhiên làm cho máy chủ
đích không thể biết nguồn phát sinh lưu lượng chính xác, khó phân biệt giữa lưu lượng lành
tính và lưu lượng tấn công.
• Sử dụng botnet: Botnet là một tập hợp gồm nhiều máy tính trên Internet bị lây nhiễm
bởi các phần mềm độc hại (malware) mà nhờ đó, kẻ tấn công có thể điều khiển các máy tính
này thực thi các kết nối tới các máy tính khác trên Internet theo mục đích riêng của chúng mà
chủ sở hữu các máy tính này không hay biết [4]. Các máy tính trong botnet được gọi là các xác
sống. Bằng các kỹ thuật phát tán virus, malware, kẻ tấn công tuyển mộ các xác sống trên Internet
và huy động chúng phát sinh lưu lượng trong các đợt tấn công. Số lượng các xác sống trong
một botnet có thể lên đến hàng triệu nên khi tổ chức tấn công, mặc dù lưu lượng tấn công của
mỗi xác sống là rất nhỏ, chúng tạo nên tổng lưu lượng tấn công khổng lồ đủ làm tê liệt hệ thống
mạng nạn nhân trong một khoảng thời gian ngắn cỡ vài phút.
• Kết hợp sử dụng botnet và giả mạo địa chỉ nguồn: Ở phương thức này, các xác sống
trong botnet phát đi lưu lượng tấn công với địa chỉ IP giả mạo nhằm vô hiệu hóa các phương
pháp giảm thiểu tấn công thông thường như lọc địa chỉ IP. Chính sự kết hợp phương thức huy
động nguồn tấn công này làm cho việc phát hiện và phân loại lưu lượng tấn công, giảm thiểu
tấn công DDoS trở nên khó khăn.