BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI
ĐẶNG VĂN TUYÊN
NGHIÊN CỨU GIẢI PHÁP PHÁT HIỆN VÀ GIẢM THIỂU
TẤN CÔNG TỪ CHỐI DỊCH VỤ PHÂN TÁN
SỬ DỤNG CÔNG NGHỆ SDN
Ngành: Kỹ thuật Viễn thông
Mã số: 9520208
TÓM TẮT LUẬN ÁN TIẾN SĨ KỸ THUẬT VIỄN THÔNG
Hà Nội – 2019
Công trình được hoàn thành tại:
Trường Đại học Bách khoa Hà Nội
Người hướng dẫn khoa học:
1. PGS. TS. TRƯƠNG THU HƯƠNG
2. PGS. TS. NGUYỄN TÀI HƯNG
Phản biện 1:………………………………………………..
Phản biện 2:………………………………………………..
Phản biện 3:………………………………………………..
Luận án được bảo vệ trước Hội đồng đánh giá luận án tiến sĩ
cấp Trường họp tại Trường Đại học Bách khoa Hà Nội
Vào hồi …….. giờ, ngày ….. tháng ….. năm ………
sách mạng một cách tập trung, mềm dẻo. Trong đó Openflow là một trong những giao thức công nghệ
SDN đầu tiên được tập trung nghiên cứu, phát triển, nhanh chóng thu hút các nghiên cứu ứng dụng trong
quản trị, tổ chức dịch vụ, nâng cao hiệu năng hệ thống mạng. Kỹ thuật SDN/Openflow cũng được nghiên
cứu và đề xuất ứng dụng trong nhiều giải pháp an ninh mạng trong đó có các giải pháp phòng chống tấn
công DDoS.
1.2. Những vấn đề còn tồn tại
- Công nghệ SDN, kỹ thuật SDN/Openflow được đánh giá và kỳ vọng là công nghệ mạng thay thế
cho công nghệ, kỹ thuật mạng truyền thống. SDN/Openflow có khả năng cung cấp dữ liệu thống kê về
đặc tính lưu lượng và có thể lập trình xử lý lưu lượng theo sự biến thiên của đặc tính ấy. Đặc điểm này
phù hợp với quy trình phát hiện và giảm thiểu tấn công DDoS. Đã có nhiều giải pháp phòng chống tấn
công DDoS dựa trên SDN/Openflow được đề xuất. Tuy nhiên, (1) Một số giải pháp mới chỉ phát hiện
tấn công, chưa có cơ chế phân loại, giảm thiểu tấn công; (2) Hầu hết mới dừng lại ở ý tưởng, thử nghiệm
với quy mô thử chức năng, chưa triển khai trên hệ thống thử nghiệm hoặc đo phân tích với lưu lượng
thật; (3) Một số giải pháp tích hợp các chức năng xử lý gói tin tại bộ chuyển mạch làm mất bản chất
SDN, cơ chế xử lý gói tin trong SDN chưa được ứng dụng làm chậm thời gian đáp ứng, giảm hiệu năng
hệ thống. Trong bối cảnh đó, vấn đề đặt ra là làm thế nào nâng cao hiệu năng của các giải pháp phòng
chống tấn công DDoS sử dụng trực tiếp dữ liệu thống kê lưu lượng và cơ chế xử lý gói tin của kỹ thuật
SDN/Openflow để có thể áp dụng cho các mạng quy mô nhỏ mà không cần bổ sung các thiết bị an ninh
chuyên dụng?
- Do phải truy vấn dữ liệu qua giao diện mã hóa Openflow, việc sử dụng thuần túy dữ liệu thống kê
trong kỹ thuật SDN/Openflow để phát hiện và giảm thiểu tấn công làm giới hạn quy mô lưu lượng của
1
hệ thống. Để khắc phục vấn đề này, một số giải pháp đã được đề xuất như sử dụng kết hợp bộ phân tích
lưu lượng truyền thống (sFlow, Snort,…) tuy nhiên hiệu quả chưa cao do xử lý lưu lượng tấn công vẫn
dựa vào giao thức Openflow. Vấn đề đặt ra là bằng cơ chế và kỹ thuật SDN/Openflow làm thế nào để
điều khiển hoạt động của các bộ phân tích lưu lượng, sử dụng thông tin cung cấp bởi các bộ phân tích
Openflow; các giải pháp phòng chống tấn công DDoS dựa trên kiến trúc và kỹ thuật SDN/Openflow;
tấn công DDoS tới kiến trúc và kỹ thuật mạng SDN/Openflow và các giải pháp phòng chống.
Chương 2. Đề xuất giải pháp phòng chống tấn công DDoS dựa trên dữ liệu thống kê và cơ chế
xử lý gói tin của kỹ thuật SDN/Openflow: Áp dụng cơ chế và kỹ thuật SDN/Openflow đề xuất 3 giải
pháp phòng chống tấn công DDoS trong mạng SDN với quy mô băng thông nhỏ sử dụng thuần túy dữ
liệu thống kê lưu lượng và cơ chế xử lý gói tin của kỹ thuật SDN/Openflow bao gồm: (1) Kỹ thuật phát
hiện và giảm thiểu tấn công DDoS dựa trên mô hình dự đoán làm trơn hàm mũ các tham số thống kê
lưu lượng; (2) Kỹ thuật phát hiện và ngăn chặn tấn công SYN Flood dựa trên cơ chế ủy nhiệm gói tin
SYN tại bộ điều khiển, và (3) Kỹ thuật đánh dấu gói tin phục vụ truy vết nguồn phát sinh lưu lượng tấn
công.
Chương 3. Đề xuất giải pháp phòng chống tấn công DDoS dựa trên kỹ thuật SDN/Openflow sử
dụng thêm bộ phân tích và xử lý lưu lượng: Nội dung chương 3 đề xuất kiến trúc SDN/Openflow mở
rộng trong đó bổ sung bộ phân tích và xử lý lưu lượng được điều khiển hoạt động và tương tác với các
thực thể khác theo cơ chế, kỹ thuật SDN/Openflow. Dựa trên kiến trúc mở rộng, đề xuất hai giải pháp
phòng chống DDoS bao gồm: (1) Kỹ thuật phân loại và giảm thiểu tấn công DDoS dựa trên thuật toán
logic mờ, và (2) Kỹ thuật giảm thiểu tấn công SYN Flood tới mạng SDN/Openflow (làm cạn kiệt tài
2
nguyên bộ chuyển mạch, suy giảm năng lực bộ điều khiển và làm nghẽn mạng giao diện Openflow) sử
dụng cơ chế ủy nhiệm gói tin SYN tại bộ phân tích lưu lượng.
1.5. Các đóng góp khoa học của luận án
Luận án đã thực hiện 02 đóng góp khoa học sau đây:
• Đề xuất kỹ thuật phát hiện và giảm thiểu tấn công DDoS bằng mô hình dự đoán làm trơn hàm mũ
với các tham số thống kê lưu lượng; kỹ thuật đánh dấu gói tin phục vụ truy vết nguồn phát sinh
lưu lượng tấn công; và kỹ thuật giảm thiểu tấn công SYN Flood bằng cơ chế ủy nhiệm gói tin
SYN sử dụng công nghệ SDN.
• Đề xuất kiến trúc SDN/Openflow mở rộng với bộ phân tích và xử lý lưu lượng để nâng cao hiệu
Theo cách phân loại này, tấn công DDoS được phân thành các nhóm như trong Hình 1.2.
Phân loại theo phương thức huy động nguồn tấn công
Nguồn tấn công là yếu tố quan trọng trong tổ chức tấn công DDoS. Các phương thức huy động nguồn
tấn công bao gồm (1) Giả mạo địa chỉ nguồn, (2) Sử dụng botnet và (3) Kết hợp giả mạo địa chỉ nguồn
và sử dụng botnet.
3
1.2.3. Các giải pháp phòng chống tấn công DDoS dựa trên công nghệ mạng truyền thống
Vị trí triển khai các giải pháp
Các vị trí đề xuất triển khai bao gồm:
• Triển khai tại mạng nguồn phát sinh lưu lượng
• Triển khai tại mạng trung gian: Do không có ràng buộc giữa các hệ thống tự trị trên Internet nên
việc phối hợp triển khai phòng chống DDoS tại mạng nguồn và mạng trung gian trên thực tế có
hiệu quả rất thấp.
• Triển khai tại mạng máy chủ đích: Đây là các giải pháp chủ yếu và được áp dụng hầu hết trên các
hệ thống mạng bao gồm trên máy chủ (host based) và trên hệ thống mạng (network based). Các
giải pháp triển khai phổ biến tại mạng đích bao gồm: (1) Phát hiện tấn công, (2) Phân loại và xác
định lưu lượng tấn công, (3) Lọc bỏ lưu lượng tấn công, và (4) Truy vết lưu lượng tấn công.
Hình 1.2. Phân loại DDoS theo kỹ thuật tấn công
Các kỹ thuật phát hiện tấn công
• Dựa vào dấu hiệu tấn công: Phân tích sâu nội dung hoặc tiêu đề của gói tin để phát hiện lỗi hoặc
sự bất thường. Kỹ thuật này có độ chính xác cao, tuy nhiên đòi hỏi tính toán lớn, lưu trữ các mẫu
tấn công đã biết. Ngoài ra kỹ thuật này không thể phát hiện các mẫu tấn công mới.
𝑇𝑇𝑇𝑇 + 𝐹𝐹𝐹𝐹
𝐹𝐹𝐹𝐹
𝑇𝑇𝑇𝑇 + 𝐹𝐹𝐹𝐹
Bảng 1.1. Quan hệ kết quả phân loại của giải pháp và
đặc tính thực của lưu lượng
Đặc tính thực
của lưu lượng
(1.1)
(1.2)
Phân loại của
giải pháp
Lành tính
Tấn công
Lành tính
TN
FN
Tấn công
FP
dịch vụ mạng ngày càng lớn dẫn đến sự lợi dụng gia tăng của các hình thức tấn công tốc độ thấp
và dai dẳng (Slowloris) và các phương thức tấn công này dễ dàng vượt qua các giải pháp phát
hiện và ngăn chặn hoặc gây tỷ lệ phát hiện nhầm cao.
• Quy mô hệ thống mạng Internet ngày càng lớn tạo điều kiện cho các botnet phát triển về số lượng
và năng lực của các xác sống. Điều này dẫn đến cường độ và quy mô tấn công ngày càng lớn.
Với những yêu cầu, thách thức như trên, tấn công DDoS vẫn là mối quan tâm giải quyết trong các kỹ
thuật và kiến trúc mạng thế hệ mới.
1.3. Công nghệ mạng cấu hình bởi phần mềm SDN
- Công nghệ mạng cấu hình bởi phần mềm SDN ra đời dưới sự chuẩn hóa của ONF cho phép các
phần mềm thứ 3 có thể truy nhập và thao tác trên mặt phẳng điều khiển (control plane), cấu hình và
quản trị các thiết bị mạng từ xa, trực tuyến bằng cách sử dụng các giao thức mở như Openflow.
- SDN phân tách hệ thống mạng thành hai mặt phẳng: mặt phẳng dữ liệu (data plane) và mặt phẳng
điều khiển (control plane) với kiến trúc ba lớp như ở Hình 1.4.
- Công nghệ SDN cho phép điều hành và quản lý tài nguyên mạng tập trung, giải quyết nhiều vấn đề
công nghệ mạng truyền thống gặp phải trong đó có an ninh mạng, phòng chống DDoS.
5
1.4. Giao thức OpenFlow
Giao thức luồng mở - Openflow, là chuẩn
giao tiếp SDN đầu tiên giữa mặt phẳng điều
khiển và mặt phẳng dữ liệu trong kiến trúc
SDN.
1.4.1. Cấu trúc và phạm vi chuẩn hóa
của Openflow
Cấu trúc, phạm vi và vị trí của giao thức
Openflow trong kiến trúc SDN được mô tả
- Các bản tin Openflow được truyền qua kênh truyền mã hóa bảo mật có xác thực SSL.
1.4.4. Quy trình xử lý gói tin trong Openflow
- Openflow quy định quá trình xử lý lưu lượng tại các bộ chuyển mạch theo cơ chế đường ống
(pipeline). Gói tin đến sẽ được so khớp từ bảng luồng đầu tiên đến các bảng luồng kế tiếp theo và tích
lũy các hành động (actions). Kết thúc quá trình so khớp, tập các hành động actions sẽ được áp dụng đối
với gói tin.
- Nếu gói tin không khớp với bất cứ mục luồng nào trong bảng luồng, sự kiện table-miss sẽ xảy ra và
OFS gửi tới bộ điều khiển một bản tin packet-in. Bộ điều khiển sẽ phân tích và đưa ra một chính sách
để xử lý bằng cách cài đặt trên OFS một mục luồng mới. Các gói tin tiếp theo của luồng sẽ được khớp
với mục luồng này và được OFS xử lý theo các actions thiết lập trong mục luồng.
1.4.5. Quản lý các mục luồng trong bộ chuyển mạch Openflow
Mục luồng là thông tin quan trọng quyết định cách thức xử lý gói tin trên hệ thống mạng. Mục luồng
6
có vai trò phân nhóm các gói tin thành các luồng tương ứng, đưa ra các chính sách bộ chuyển mạch sẽ áp
dụng đối với các gói tin. Openflow quy định phương thức quản lý các mục luồng bao gồm: (1) Cài đặt,
chỉnh sửa và xóa các mục luồng; (2) Thiết lập thời gian chờ cho các mục luồng, và (3) Thống kê các
mục luồng.
1.5. Các giải pháp phòng chống tấn công DDoS dựa trên kiến trúc và kỹ thuật
SDN/Openflow
1.5.1. Kiến trúc và nguyên lý hoạt động chung
Kiến trúc và kỹ thuật mạng SDN/Openflow đã được nhiều giải pháp đề xuất ứng dụng trong phòng
chống tấn công DDoS. Cấu trúc và nguyên lý hoạt động chung thể hiện như trong Hình 1.9.
•
Chuyển hướng lưu lượng
Phân tích nguy cơ an ninh từ các mục luồng
Xác thực địa chỉ IP nguồn
Phối hợp phòng chống tấn công giữa các hệ tự trị
1.6. Tấn công DDoS tới các thành phần trong kiến trúc mạng SDN/Openflow và các
giải pháp phòng chống
1.6.1. Tấn công DDoS tới các thành phần trong kiến trúc mạng SDN/Openflow
Bên cạnh những lợi điểm được ứng dụng trong phòng chống tấn công DDoS, kiến trúc, kỹ thuật
SDN/Openflow đồng thời cũng chứa đựng những nguy cơ tấn công DDoS mới ở cả ba lớp ứng dụng,
điều khiển và hạ tầng mạng. Khảo sát an ninh mạng trong kiến trúc SDN, Kreutz và nhóm nghiên cứu
đã chỉ ra 7 vectơ tấn công trong đó có 4 vectơ tấn công DDoS, bao gồm:
•
•
•
•
Các luồng lưu lượng giả mạo
Khai thác các lỗ hổng và chiếm quyền điều khiển trên các bộ chuyển mạch
Khai thác các lỗ hổng và chiếm quyền điều khiển trên các bộ điều khiển
Khai thác các lỗ hổng và chiếm quyền điều khiển ứng dụng điều hành mạng
Trong các vectơ tấn công nêu trên, vectơ tấn công tạo các luồng giả mạo dễ thực hiện nhất và được
xác định là hình thức tấn công phổ biến tới kiến trúc mạng SDN/Openflow.
1.6.2. Kỹ thuật phát hiện và giảm thiểu tấn công
- Đã có nhiều giải pháp phát hiện và giảm thiểu tấn công DDoS tới kiến trúc mạng SDN/Openflow.
Ủy nhiệm gói tin SYN
trên OFS kết hợp với kỹ
thuật SYN Cookie
Thiết lập các hành động
định nghĩa từ trước
Xóa bỏ luồng
Không cần
Xóa bỏ luồng
Quyết định bởi module
chính sách xử lý
8
Ảnh hưởng đến lớp
Hạ tầng
Điều
Ứng
mạng
khiển
dụng
Không
Có
Có
Có
Có
Có
và máy chủ nội bộ được mô tả trong Hình
1.13. Theo đó, một kết nối TCP gồm 4 pha:
Pha Phân loại (bước 1-3), Pha Báo cáo: Hình 1.13. Quá trình xử lý kết nối TCP trong cơ chế CM
(bước 4,5), Pha Di trú: (bước 6 -10), và Pha
Chuyển tiếp (bước 11, 12).
- Bằng cách giám sát 3HS trước khi cài đặt mục luồng, CM giúp OFS loại bỏ các mục luồng vô giá
trị tạo bởi tấn công SYN Flood. Đồng thời, CM cũng ngăn không cho các gói tin tấn công SYN được
chuyển tới các máy chủ nội bộ cần bảo vệ. Tuy nhiên, cơ chế CM có các nhược điểm sau:
• CM sử dụng kỹ thuật SYN Cookie là một giải pháp cho trạm cuối (host based) nên sẽ không phù
hợp khi triển khai trên bộ chuyển mạch là thiết bị trung gian (network based). Các kết nối lành
tính sẽ bị chia cắt thành 2 kết nối TCP. Để liên kết hai kết nối TCP này, OFS phải duy trì một
vùng nhớ để lưu trữ trạng thái, do đó tiêu tốn tài nguyên làm ảnh hưởng đến hiệu năng xử lý của
OFS.
• Sự chia cắt kết nối TCP có thể làm vô hiệu hóa các tham số tùy chọn khác trong kết nối TCP.
• Quá trình tạo các gói tin 3HS trong kỹ thuật SYN Cookie tiêu tốn tài nguyên tính toán áp dụng
đối với tất cả các gói tin SYN đến gây lãng phí tài nguyên của OFS, làm cho OFS dễ trở thành
mục tiêu tấn công SYN flood và tấn công quét cổng. Ngoài ra, tích hợp cơ chế CM vào OFS làm
mất đi bản chất SDN, giảm hiêu năng của OFS.
1.7. Kết luận chương
Nội dung Chương 1 trình bày lý thuyết tổng quan về tấn công DDoS, các phương thức và kỹ thuật
phòng chống DDoS trong kỹ thuật mạng truyền thống và trong kỹ thuật mạng SDN/Openflow. Qua đó
cho thấy: (1) Tấn công DDoS vẫn là một vấn nạn lớn của mạng Internet; Diễn biến tấn công DDoS ngày
càng phức tạp đặt ra các yêu cầu và thách thức lớn đối với các cơ chế, giải pháp phòng chống tấn công.
(2) Dựa trên SDN/Openflow, nhiều giải pháp phòng chống DDoS được đề xuất. Tuy nhiên, hầu hết các
giải pháp mới dừng lại ở nghiên cứu lý thuyết; do tính chất phức tạp của tấn công DDoS, không có giải
pháp nào mang lại hiệu quả triệt để. Mỗi kiến trúc mạng, loại hình dịch vụ, quy mô, kết cấu mạng cần
có giải pháp, tham số bảo vệ khác nhau. (3) Mặt khác, chính kiến trúc SDN/Openflow cũng đặt ra những
vấn đề an ninh, trong đó có thể trở thành mục tiêu tấn công DDoS. Nhiệm vụ đặt ra là cần phải khai thác
các lợi thế của SDN/Openflow trong phòng chống tấn công DDoS, đồng thời xây dựng giải pháp ngăn
- Các trạng thái của máy chủ/dịch vụ cần bảo vệ và sự chuyển tiếp các trạng thái được thể hiện trong
sơ đồ Hình 2.2.
2.2.3. Lựa chọn tham số và chỉ số thống kê lưu lượng
a). Các tham số thống kê lưu lượng: Dựa trên đặc điểm lưu lượng tấn công DDoS và khả năng thống kê
theo cơ chế SDN/Openflow, các tham số được lựa chọn bao gồm: (1) Số địa chỉ IP nguồn SAN, (2) Số
cổng nguồn SPN và (3) Số lượng gói tin PN.
b). Các chỉ số thống kê lưu lượng: Tỷ lệ số cổng trung bình được mở trên mỗi địa chỉ IP nguồn SPA và
tỷ lệ số gói tin trung bình của mỗi luồng PpF:
SPA =
SPN
SAN
PpF =
∑SPN
i=1 PN
SPN
Hình 2.2. Sơ đồ chuyển tiếp trạng thái của hệ thống cho một máy chủ/dịch vụ
10
(2.1 – 2.2)
2.2.4. Lựa chọn và xây dựng mô hình dự đoán chỉ số thống kê lưu lượng
0,
SPA ≥ SPACUM
(2.8)
PpF ≥ PpFCUM
(2.9)
SPA < SPACUM
PpF − PpFCUM
,
DPpF = � PpFCUM
0,
PpF < PpFCUM
- Để xác định có tấn công xảy ra hay
không, DSPA và DPpF được so sánh
với ngưỡng phát hiện 𝐾𝐾𝐷𝐷 . Khi lọc bỏ,
các giá trị này được so sánh với
ngưỡng lọc bỏ K F . Hình 2.3.
- Hệ số K D , K F được lựa chọn tùy
theo đặc tính lưu lượng của máy chủ,
dịch vụ.
2.2.6. Phân tích và đánh giá hiệu
năng của giải pháp
Kết quả lọc bỏ lưu lượng tấn công
theo KF trong Bảng 2.5 cho thấy DRF đạt
trên 95% với FPRF dưới 7%. Với KF =
20-26, DRF ≈ 95,1% với FPRF ≈ 3,3%.
Giá trị này cải thiện hơn rất nhiều so với
giải pháp sử dụng mô hình biến thiên
entropy do Giotis đề xuất với kết quả DRF
đạt 95% trong khi tỷ lệ lọc bỏ nhầm FPRF
ở mức 32%.
2.2.6.5. Nhận xét, đánh giá
So sánh với các giải pháp đã đề xuất có
phân tích lưu lượng tương đương, giải
pháp phát hiện và giảm thiểu tấn công
dựa trên mô hình dự đoán thống kê làm
trơn hàm mũ có ưu điểm:
Bảng 2.5. Độ nhạy (DR) và tỷ lệ báo động nhầm
(FPR)với KF khác nhau
𝐊𝐊 𝐅𝐅
Phân loại lưu lượng
Lọc bỏ lưu lượng
DRC
FPRC
97,17
3,99
12
99,09
0,54
96,64
3,80
14
99,08
0,52
96,57
3,61
16
99,01
0,51
95,08
3,33
24
98,73
0,44
95,07
3,24
26
98,71
0,42
95,07
3,14
• Đơn giản, sử dụng thuần túy các tham số thống kê cung cấp bởi bộ chuyển mạch biên và cơ chế
xử lý gói tin của SDN/Openflow. Số trường thông tin cần truy vấn thấp (3 tham số/mục luồng) so
với giải pháp sử dụng SOM 6 hoặc 4 tham số (ít nhất 4 tham số/mục luồng) và giải pháp sử dụng
mô hình biến thiên entropy (4 tham số/mục luồng).
12
Dựa trên kiến trúc chung
Hình 2.6. Kiến trúc hệ thống giải pháp Ủy nhiệm gói tin SYN trên
trong Hình 1.9, SSP được áp
Bộ điều khiển SSP
dụng cho hệ thống mạng quy mô
nhỏ kết nối với Internet qua bộ chuyển mạch biên Openflow như Hình 2.6.
2.3.3. Lựa chọn mô hình ủy nhiệm gói tin SYN
Có 2 loại SYN Proxy được sử dụng hiện nay: giả gói tin SYN-ACK và giả gói tin ACK. Do thực hiện
ủy nhiệm tại Bộ điều khiển, SSP lựa chọn mô hình loại giả gói tin ACK để giảm bớt xử lý tại Bộ điều
khiển, giảm lưu lượng trao đổi trên giao diện Openflow.
2.3.4. Hoạt động của hệ thống SSP
Quá trình xử lý gói tin SYN cho một kết nối TCP trong SSP được mô tả như Hình 2.8. Các mục luồng
và các actions tương ứng được sắp xếp, cấu hình đảm bảo thực hiện quy trình giám sát quá trình 3HS.
- OFS capture và xử lý các gói tin 3HS như lưu đồ Hình 2.9.
- Quản lý và giám sát quá trình 3HS tại Module SPM được thực hiện như lưu đồ Hình 2.10.
- Dựa trên đặc tính thống kê của lưu lượng thực tế, đề xuất thay đổi thời gian chờ gói CliACK của
các luồng theo công thức:
𝑡𝑡 = �
𝑇𝑇1 ,
𝑇𝑇2 + (𝑇𝑇1 −
𝑛𝑛−𝑁𝑁
𝑇𝑇2 )𝑒𝑒 −𝑘𝑘 𝑁𝑁 ,
𝑛𝑛 ≤ 𝑁𝑁
• Tỷ lệ kết nối thành công và thời gian
kết nối của lưu lượng lành tính: được
thể hiện trong Hình 2.15, Hình 2.16
cho thấy SSP cải thiện đáng kể so với
Openflow (duy trì mức 87% trong khi
của Openflow suy giảm còn 5% ở tốc
độ tấn công 600 pps).
• Số lượng kết nối dang dở trên máy chủ:
Kết quả đo thống kê cho thấy, SSP
giảm số HOCs trên máy chủ tới 86% ở
tốc độ tấn công 500pps.
• Thời gian tồn tại của các mục luồng
trên OFS: kết quả tính thống kê từ lưu
lượng thực tế cho thấy so với cơ chế
CM, SSP giảm được 94% thời gian tồn
tại trung bình của mục luồng tại OFS.
Điều này giúp cho tốc độ so khớp, xử
lý các actions trên OFS nhanh hơn,
tăng khả năng chịu tải ngay cả khi tấn
công DDoS xảy ra.
• Ảnh hưởng lên bộ điều khiển khi xảy
ra tấn công như thể hiện trong Hình
2.19, Hình 2.20 là không đáng kể.
- Nhận xét, đánh giá:
Hình 2.8. Quá trình xử lý yêu cầu kết nối của một gói
tin SYN trong giải pháp SSP
• Khai thác cơ chế xử lý gói tin trong Hình 2.9. Capture và xử lý các gói tin bắt tay ba bước
SDN/Openflow, SSP hoạt động như
2.4. Giải pháp đánh dấu gói tin PLA DFM phục vụ truy vết nguồn tấn công
2.4.1. Đặt vấn đề
Kỹ thuật truy vết nguồn tấn công (traceback) cho phép từ phía trạm đích, có thể tái tạo lại đường đi
của gói tin hoặc biết địa chỉ vị trí gói tin được phát ra mà không dựa vào trường địa chỉ IP nguồn. Nội
dung phần này đề xuất giải pháp đánh dấu gói tin phục vụ truy vết PLA DFM (Packet Length Adaptive
Deterministic Flow Marking) dựa trên sự phân loại và nhận dạng lưu lượng theo luồng, của kỹ thuật
mạng SDN/Openflow trong đó có xét đến sự thích ứng với chiều dài gói tin đầu tiên của luồng nhằm
tăng hiệu quả đánh dấu. Sử dụng sự kiện table-miss và các bản tin packet-in để chuyển tới và thực hiện
đánh dấu tại Bộ điều khiển SDN/Openflow.
2.4.2. Khái niệm về đánh dấu gói tin và các kỹ thuật cơ bản
- Trong kỹ thuật traceback bằng đánh dấu gói tin, thông tin đánh dấu (gồm địa chỉ các bộ định tuyến
trên đường đi) được chèn vào gói tin gửi tới trạm đích. Có hai kỹ thuật cơ bản là đánh dấu theo xác suất
PPM và đánh dấu xác định DPM. PPM đánh dấu theo xác suất tất cả các gói tin. DPM đánh dấu một số
gói tin cụ thể trong các gói tin lưu lượng.
- Kỹ thuật đánh dấu gói tin theo luồng DFM là giải pháp nâng cấp của DPM thực hiện đánh dấu trên
K gói tin đầu tiên của mỗi luồng với thông tin đánh dấu gồm 60 bits: (i) 32 bits địa chỉ IP cổng vào của
bộ định tuyến biên In-portIP; (ii) 12 bit NIID và (iii) 16 bit NodeID. Số lượng gói tin cần để đánh dấu
thành công cho mỗi luồng phụ thuộc vào các trường tiêu đề dùng để chứa thông tin đánh dấu.
2.4.3. Đề xuất cấu trúc và hoạt động của PLA DFM trên kiến trúc mạng SDN/Openflow
- PLA DFM phát triển dựa trên DFM, lợi dụng cơ chế xử lý gói tin SDN/Openflow, K gói tin đầu tiên
của mỗi luồng TCP/UDP/ICMP được chuyển tới Bộ điều khiển thông qua sự kiện table-miss và các bản
tin packet-in, tại đó chúng được chèn thông tin đánh dấu trước khi lưu chuyển trên Internet.
- Để tăng tỷ lệ đánh dấu thành công, giảm xử lý ở Bộ điều khiển, PLA DFM đề xuất sử dụng trường
Options để chứa thông tin đánh dấu. Tuy nhiên khi sử dụng trường Options, kích thước gói tin sẽ bị tăng
lên 8 bytes, có thể bị vượt ngưỡng MTU của kênh truyền dẫn gây nên sự phân mảnh gói tin. Để giải
Hình 2.29. Tỷ lệ MSR
K
SMR
MPR
MSR
3
95.11
4.40
1.11
5
94.26
4.68
1.39
7
93.66
97.18
4.26
1.07
5
96.92
4.55
1.34
7
96.46
4.74
1.55
Bảng 2.13. Tỷ lệ gia tăng lưu lượng của PLA DFM
- Nhận xét, đánh giá:
+ Cơ chế xử lý gói tin và kỹ thuật quản lý lưu
lượng theo luồng trong SDN/Openflow có thể
được khai thác để thực hiện đánh dấu gói tin nhằm
cung cấp khả năng truy vết nguồn phát sinh lưu
568
85,209,121,130
37,668,640
0.044
+ PLA DFM đánh dấu các gói tin đầu tiên của luồng dựa trên sự thích ứng chiều dài gói và thực hiện
tại bộ điều khiển. Kết quả phân tích hiệu năng cho thấy PLA DFM cho tỷ lệ đánh dấu thành công cao
(trên 90%) so với DFM (thấp hơn 50%) với tỷ lệ gói tin bị đánh dấu thấp (5% so với 8% trở lên của
DFM) và mức độ gia tăng lưu lượng không đáng kể (khoảng 0,05%).
+ Nếu được chuẩn hóa trong kiến trúc mạng SDN/Openflow và sử dụng thống nhất trên các bộ chuyển
mạch biên của ISP hoặc các trung tâm dữ liệu, PLA DFM cho phép truy vết các nguồn tấn công giả mạo
17
địa chỉ IP, hỗ trợ ngăn chặn tấn công DDoS trên Internet.
2.5. Kết luận chương
Kỹ thuật SDN/Openflow có khả năng cung cấp dữ liệu thống kê về đặc tính lưu lượng và có thể lập
trình xử lý lưu lượng theo sự biến thiên của đặc tính ấy. Đặc điểm này phù hợp với quy trình phát hiện
và giảm thiểu tấn công DDoS. Sử dụng khả năng đó, nội dung Chương 2 trình bày 3 giải pháp đề xuất
đối với 3 yêu cầu phòng chống tấn công DDoS khác nhau trong mạng quy mô lưu lượng nhỏ, đó là: (1)
giải pháp phát hiện và giảm thiểu tấn công DDoS bằng mô hình dự đoán làm trơn hàm mũ tham số thống
kê lưu lượng, (2) phát hiện và giảm thiểu tấn công SYN Flood dựa trên cơ chế ủy nhiệm gói tin SYN
tại bộ điều khiển và (3) đánh dấu gói tin PLA DFM phục vụ truy vết nguồn tấn công. Qua phân tích,
đánh giá, so sánh với các giải pháp đã công bố, cho thấy: (1) Các giải pháp đề xuất cho hiệu năng hoạt
Để khắc phục những hạn chế này, một số giải pháp đề xuất sử dụng thêm bộ phân tích lưu lượng
truyền thống như sFlow, Snort trong mạng SDN. Tuy nhiên, các giải pháp này không tận dụng được
cơ chế điều khiển và xử lý gói tin của SDN, đơn thuần cung cấp thuộc tính lưu lượng, chưa phối hợp
để xử lý lưu lượng tấn công.
18
3.3. Đề xuất kiến trúc mạng SDN/Openflow mở rộng trên cơ sở bổ sung thiết bị
phân tích và xử lý lưu lượng SD
3.3.1. Kiến trúc tổng quát
Kiến trúc mạng SDN/Openflow có
bổ sung thiết bị phân tích và xử lý lưu
lượng SD (kiến trúc mở rộng) phục vụ
phân tích, xử lý an ninh mạng được
mô tả trong Hình 3.1.
- SD là một module phần cứng
hoặc phần mềm thực hiện nhiệm vụ:
(1) Phân tích các gói tin từ OFS để
đưa ra đặc tính lưu lượng, và (2) Xử
lý các chính sách giảm thiểu tấn công.
- SD kết nối với OFS như một thực
thể node mạng nhưng đóng vai trò
như một thiết bị xử lý các gói tin, và
phân biệt với các node mạng khác dựa
vào số hiệu cổng (port) trên OFS.
- SD không tham gia vào quá trình
cấu hình các tham số hoạt động, điều
khiển, cài đặt và chỉnh sửa các mục
3.2 và Hình 3.3.
19
Hình 3.3. Phân bố PpF của lưu lượng
Hình 3.2. Phân bố IAT của lưu lượng
3.4.3. Cấu trúc hệ thống
- Dựa trên kiến trúc chung như Hình 3.1, trong cấu trúc giải pháp đề xuất: (1) Thiết bị Phân tích lưu
lượng SD lấy thống kê các gói tin từ OFS để tính tỷ lệ IAT; (2) Module Thống kê lưu lượng trong bộ
điều khiển thực hiện truy vấn các các mục luồng để lấy số lượng PpF trong mỗi chu kỳ giám sát T.
- Máy chủ ứng dụng bảo mật SS dựa trên dữ liệu thống kê từ hai module này xử lý phát hiện tấn công
sau mỗi chu kỳ T. Khi có sự thay đổi trạng thái của mỗi máy chủ, máy chủ bảo mật yêu cầu Bộ ủy nhiệm
an ninh trên bộ điều khiển cài đặt, thay đổi chính sách xử lý gói tin.
3.4.4. Xác định trạng thái của máy chủ
FDDoM hoạt động dựa trên trạng thái tấn công của các máy chủ gồm 3 trạng thái: (1) Không bị tấn
công, (2) Nghi ngờ bị tấn công, hoặc (3) Đang bị tấn công. Với mỗi máy chủ hệ thống duy trì các bộ
đếm để lưu trữ 3 tham số: số luồng đang kết nối tới máy chủ cf, số luồng chỉ có 1 gói tin opf, và số luồng
được tạo mới trong chu kỳ T hiện tại nf. Trạng thái máy chủ được xác định bởi nf.
3.4.5. Chuyển tiếp gói tin giữa các thực thể
trong hệ thống
Quá trình trao đổi, xử lý gói tin giữa các thực
thể trong hệ thống dựa trên nguyên tắc xử lý gói
tin của SDN/Openflow. Hình 3.5 là ví dụ trao
đổi khi máy chủ ở trạng thái “Không bị tấn
công”.
𝑤𝑤1 𝐹𝐹𝐹𝐹 + 𝑤𝑤2 𝐷𝐷𝐷𝐷 + 𝑤𝑤3 𝐷𝐷𝐷𝐷 + 𝑤𝑤4 𝐷𝐷𝐷𝐷
𝑤𝑤1 + 𝑤𝑤2 + 𝑤𝑤3 + 𝑤𝑤4
𝑤𝑤1 = 𝑚𝑚𝑚𝑚𝑚𝑚[F𝐿𝐿𝐿𝐿𝐿𝐿 (𝐼𝐼𝐼𝐼𝐼𝐼), F𝐿𝐿𝐿𝐿𝐿𝐿 (𝑃𝑃𝑃𝑃𝑃𝑃)]
(3.10)
𝑤𝑤2 = 𝑚𝑚𝑚𝑚𝑚𝑚�F𝐻𝐻𝐻𝐻𝐻𝐻ℎ (𝐼𝐼𝐼𝐼𝐼𝐼), F𝐻𝐻𝐻𝐻𝐻𝐻ℎ (𝑃𝑃𝑃𝑃𝑃𝑃)� (3.11)
𝑤𝑤3 = 𝑚𝑚𝑚𝑚𝑚𝑚�F𝐻𝐻𝐻𝐻𝐻𝐻ℎ (𝐼𝐼𝐼𝐼𝐼𝐼), F𝐿𝐿𝐿𝐿𝐿𝐿 (𝑃𝑃𝑃𝑃𝑃𝑃)� (3.12)
𝑤𝑤4 = 𝑚𝑚𝑚𝑚𝑚𝑚�F𝐿𝐿𝐿𝐿𝐿𝐿 (𝐼𝐼𝐼𝐼𝐼𝐼), F𝐻𝐻𝐻𝐻𝐻𝐻ℎ (𝑃𝑃𝑃𝑃𝑃𝑃)� (3.13)
(3.16)
3.4.7. Đánh giá hiệu năng của giải pháp
Khảo sát trên bộ lưu lượng tấn công thực
NetNam, kết quả ở Hình 3.11, Hình 3.12, Hình
3.13 và Bảng 3.4. Kết quả cho thấy:
- FDDoM cho độ nhạy lọc bỏ cao, tỷ lệ lọc
bỏ nhầm thấp, các chỉ số tốt hơn so với giải
pháp tương đương TRW-CB (sử dụng
Openflow kết hợp lấy mẫu lưu lượng sFlow
trong mạng truyền thống) và giải pháp sử dụng
mô hình dự đoán làm trơn hàm mũ.
Hình 3.11. Giá trị đầu ra của chỉ thị Z của thuật
toán FDDoM và độ nhạy lọc bỏ lưu lượng tấn công
- FDDoM xử lý xóa bỏ lưu lượng tấn công
lưu lượng DDoS hỗn hợp
TRW-CB trên Openflow kết hợp sFlow
lưu lượng tấn công quét cổng
FDDoM
DR
(%)
FPR
(%)
96
25
96
10
97,5
3,6
Hình 3.13. So sánh số luồng tồn tại trên OFS
21
3.5.2. Cấu trúc hệ thống
không có trong Trusted_IPs sẽ được xác thực địa chỉ IP nguồn trước khi lưu chuyển đến kết nối với máy
chủ.
3.5.4. Phân tích và đánh giá hiệu năng
Để so sánh, đánh giá hiệu năng của SSG so với
cơ chế CM, testbed như trong Hình 3.20 được
triển khai với lưu lượng tấn công sử dụng công cụ
BoNeSi phát với tốc độ SYN Flood khác nhau từ
100 pps đến 5.500 pps, lưu lượng lành tính từ một
ứng dụng kết nối với máy chủ FTP.
- Tỷ lệ kết nối thành công SCR, thời gian kết
nối trung bình ART: Kết quả đo được thể hiện
trong Hình 3.21. So sánh với Openflow và cơ chế
CM, SSG chịu đựng tấn công tốt hơn khi duy trì
tỷ lệ SCR ở 98% dưới tấn công ở tốc độ 5.500 pps Hình 3.20. Cấu trúc testbed đánh giá giải pháp SSG
trong khi CM ở mức dưới 20%, còn Openflow chỉ
đạt ở mức 3% dưới tấn công tốc độ 1.500 pps và không thể kết nối tới máy chủ khi tốc độ tấn công ở
mức 2.000pps. Khi tốc độ tấn công thấp (từ mức 100 pps đến 700 pps), thời gian ART của SSG có chút
cao hơn so với cơ chế CM. Nguyên nhân là do trong SSG, client phải gửi lại gói tin yêu cầu SYN lần
22
thứ hai khi địa chỉ IP của nó không nằm trong
danh sách địa chỉ IP tin cậy Trusted_IPs.
- Sự chiếm dụng tài nguyên trên OFS và bộ
phân tích lưu lượng SD: Kết quả Hình 3.22 cho
thấy SSG có mức chiếm dụng tài nguyên trên
OFS thấp hơn so với CM và thấp hơn nhiều so
với Openflow khi chịu tấn công SYN Flood.
công DDoS dựa trên dữ liệu thống kê và cơ chế
xử lý gói tin của SDN/Openflow có ưu điểm là
đơn giản, dễ triển khai nhưng còn tồn tại một
số nhược điểm cố hữu làm giảm độ chính xác
phát hiện và phân loại, giới hạn quy mô lưu
lượng hệ thống mạng có thể áp dụng, dễ bị lợi
dụng thành mục tiêu tấn công DDoS.
- Kiến trúc SDN/Openflow mở rộng trong đó
bổ sung bộ phân tích và xử lý lưu lượng SD có
thể khắc phục vấn đề trên. Sự kết hợp bộ SD
trong mạng SDN/Openflow có ưu điểm:
• Có thể chuyển các mẫu gói tin mong
muốn từ OFS tới bộ điều khiển không qua
Hình 3.22. Mức độ chiếm dụng tài nguyên bộ nhớ và
CPU trên OFS, SD dưới tấn công SYN Flood
23
Copyright: Tài liệu đại học ©