1 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ Hồ Trọng Đạt ÁP DỤNG TRI THỨC VỀ PHÁT HIỆN, PHÂN LOẠI TẤN CÔNG TỪ CHỐI DỊCH VỤ ĐỂ THIẾT KẾ HỆ THỐNG BẢO VỆ Ngành: Công nghệ thông tin Chuyên ngành: Công nghệ thông tin LUẬN VĂN THẠC SỸ Người hướng dẫn khoa học PGS.TS Đỗ Trung Tuấn Hà nội - 2007 Mục lục Lời cảm ơn Mục lục Danh mục từ viết tắt Danh mục bảng .7 Danh mục hình vẽ Mở đầu Chương Tổng quan 10 1.1 Hệ thống mạng Internet 10 1.2 Giao thức TCP/IP .12 1.2.1 Khái niệm phân lớp 12 1.2.2 Các lớp TCP/IP 16 1.2.3 Địa Internet 17 1.2.4 Giao thức IP 19 1.3 Khái niệm công DoS 19 1.3.1 Nguyên nhân công từ chối dịch vụ 20 1.3.2 Cơ chế chung công từ chối dịch vụ 23 1.3.3 Lý tiến hành công từ chối dịch vụ 23 1.4 Các nghiên cứu có liên quan 24 1.5 Kết luận 25 Chương 2.1 Nghiên cứu công Từ chối dịch vụ 26 Phân loại hình thức cơng 26 2.1.1 Mức độ tự động 27 2.1.2 Lợi dụng lỗ hổng để công 32 2.1.3 Tính xác thực địa nguồn 33 2.1.4 Cường độ công 34 2.1.5 Khả xác định thông tin .35 2.1.6 Độ ổn định tập máy công cụ 37 2.1.7 Dạng mục tiêu .37 2.1.8 Tác động tới dịch vụ 39 2.2 Phân loại các chế bảo vệ DoS 40 2.2.1 Phân loại theo chế hoạt động 42 2.2.2 Phân loại theo mức độ hợp tác 48 2.3 Kết luận 50 Chương 3.1 Tri thức hỗ trợ phát cơng DoS nhờ mơ hình thống kê 51 Nghiên cứu phát hiện, chống DDOS theo thống kê .51 3.1.1 Điểm thay đổi 51 3.1.2 Hệ thống EMERALD 52 3.1.3 Cơ chế van điều tiết Williamson 53 3.1.4 Cơ chế lưu vết IP theo lịch sử kết nối 55 3.2 Sử dụng Entropy để xây dựng mơ hình theo dõi 57 3.2.1 Entropy nguồn tin 57 3.2.2 Xây dựng mô hình Entropy nguồn tin 59 3.2.3 Phát thay đổi theo ngưỡng 59 3.3 Phản ứng lại DDoS theo lịch sử IP Van điều tiết 60 3.3.1 Hạn chế theo địa IP biết 60 3.3.2 Điều tiết truy cập theo địa IP 61 Chương Thiết kế mơ hình hệ thống phát chống lại cơng DDoS 62 4.1 Mơ hình triển khai vật lý 62 4.2 Các thành phần hệ thống 63 4.2.1 Thiết kế phân lớp hệ thống 64 4.2.2 Thiết kế chi tiết thành phần hệ thống 66 4.2.3 Danh sách lưu trữ IP 69 4.3 Đề xuất khuyến nghị 70 Kết luận .71 Tài liệu tham khảo .72 Phụ lục .73 Danh mục từ viết tắt Ý nghĩa Từ viết tắt DDoS Distributed Denial Of Service IMP Interface Message Processor NFSNET National Science Foundation network CIX Commercial Internet Exchange Association HTML HyperText Markup Language ICMP Internet Control Message Protocol IGMP Internet Group Management Protocol TCP Transmission Control Protocol SMTP Simple Mail Transfer Protocol DNS Domain Name Server FTP File Transfer Protocol UDP User Data Protocol MULTOPS MUlti Level Tree for Online Packer Statistics CAIDA Cooperative Association for Internet Data Analysis EMERALD Event Monitoring Enabling Responses to Anomalous Live Disturbances HEDDAD History IP & Entropy-based Detection and Defense Against DDoS Danh mục bảng Bảng Các lớp giao thức TCP/IP 12 Bảng Các giải địa IP 18 Danh mục hình vẽ Hình Phiên truyền tin hai node mạng 14 Hình Kết nối hai hệ thống mạng sử dụng Router 15 Hình Mơ hình hoạt động TCP/IP 16 Hình Các lớp địa IP 18 Hình Cấu trúc gói tin TCP .19 Hình Tấn cơng DoS theo mơ hình phản xạ 22 Hình Phát nguồn công theo kỹ thuật backscatter .41 Hình Thuật tốn xử lý cờ SYN 52 Hình Kiến trúc hệ thống EMERALD 53 Hình 10 Xử lý kết nối đến máy trạm .54 Hình 11 Xử lý kết nối có hàng đợi 55 Hình 12 Mơ hình triển khai HEDDAD 62 Hình 13 Trình tự xử lý hệ thống HEDDAD .65 Hình 14 Sơ đồ thiết kế hệ thống nhận dạng phản ứng 66 Hình 15 Sơ đồ liệu lưu trữ IP 70 Mở đầu Tấn cơng DDoS khơng cịn khái niệm xa lạ Việt Nam Kể từ năm 1997, Internet lần đấu tiên thức hoạt động nước, hệ thống mạng dịch vụ Việt Nam có bước phát triển nhanh chóng Tới tháng năm 2006, có tỷ người sử dụng Internet [36], Việt Nam triệu người sử dụng[35] Các dịch vụ mạng, thương mại điện tử phát triển kèm với hoạt động phá hoại, công vào trang web dịch vụ gia tăng Các công chuyển dần từ công tập trung từ nguồn chuyển sang cơng phân tán từ nhiều nguồn Trước tình hình đó, cần có nghiên cứu chun sâu cơng từ chối dịch vụ, cách thức phòng chống, phát chống lại Trong khuôn khổ luân văn, khái niệm công từ chối dịch vụ phân tán – DDoS đồng nghĩa với từ chối dịch vụ - DoS Luận văn tập trung vào việc nghiên cứu tiêu chí phân loại cơng DoS Các nghiên cứu kỳ vọng tài liệu mang tính tổng kết loại hình cơng DoS biết phát Bên cạnh đó, luận văn đưa số kỹ thuật sử dụng để xây dựng thiết bị phòng chống công DoS Các kỹ thuật tập trung theo hướng phát bất thường hoạt động mạng Hệ thống mạng mơ hình hóa thông số entropy thông tin Những thay đổi bất thường entropy theo dõi ghi nhận Khi có thay đổi giá trị, bất thường phát dựa phương pháp thống kê so sánh mơ hình Sau phát có dấu hiệu cơng, chế bảo vệ kích hoạt, hạn chế kết nối theo địa IP để đảm bảo hoạt động phục vụ hệ thống bảo vệ 10 Chương Tổng quan Nghiên cứu DoS dựa những nghiên cứu chất giao thức TCP/IP Dựa họ giao thức TCP/IP, giao thức không xác thực người tham gia truyền tin, nói hệ thống Internet hệ thống mở, người hoạt động ngang hàng nhau, khơng bị kiểm sốt Lợi dụng vấn đề tính định danh lỏng lẻo hệ thống Internet, hình thức công từ chối dịch vụ - Denial of Service , sau gọi tắt DoS, sử dụng phổ biến để:  Tạo lập danh tiếng với kẻ thiếu hiểu biết  Công cụ cạnh tranh nhà cung cấp dịch vụ thương mại, truyền tin  Công cụ tống tiến tội phạm mạng 1.1 Hệ thống mạng Internet Bắt đầu từ hệ thống mạng ARPAnet Bộ Quốc phòng Hoa Kỳ, với mục đích xây dựng mạng lưới liên lạc tin cậy, hoạt động phần hệ thống bị phá hủy Vào cuối năm 1966, tảng hệ thống mạng xây dựng [36] Giao thức sử dụng để truyền tin hệ thống ARPAnet 1822[18], quy định phương thức truyên tin máy tính tới IMP IMP khái niệm máy tính có chức xử lý tin truyền hệ thống mạng Mỗi IMP site có chức lưu trữ chuyển tiếp ( store & forward) gói tin kết nối với thơng qua modem, đường truyền leased line, tốc độ khoảng 50kb/s Đến năm 1970, mạng ARPAnet kết nối điểm phát triển nhanh chóng năm Đến năm 1981, có 212 host kết nối với tốc độ ngày có host kết nối vào mạng Đến năm 1984, mạng máy tính Quốc phòng Mỹ tách khỏi mạng ARPAnet gọi mạng MILNET Sau thời gian hoạt động, số lý kỹ thuật trị, kế hoạch sử dụng mạng ARPANET không thu kết mong muốn Vì Hội đồng khoa học Quốc gia Mỹ định xây dựng mạng riêng NSFNET liên kết 11 trung tâm tính tốn lớn trường đại học vào năm 1986 sử dụng giao thức TCP/IP Mạng phát triển nhanh chóng, khơng ngừng nâng cấp mở rộng liên kết tới hàng loạt doanh nghiệp, sở nghiên cứu đào tạo nhiều nước khác Cũng từ thuật ngữ INTERNET đời Dần dần kỹ thuật xây dựng mạng ARPAnet thừa nhận tổ chức NSF, kỹ thuật sử dụng để dựng mạng lớn với mục đích liên kết trung tâm nghiên cứu lớn nước Mỹ Người ta nối siêu máy tính thuộc vùng khác đường điện thoại có tốc độ cao Tiếp theo mở rộng mạng đến trường đại học Ngày có nhiều người nhận lợi ích hệ thống mạng trên, người ta dùng để trao đổi thông tin vùng với khoảng cách ngày xa Vào đầu năm 1990 người ta bắt đầu mở rộng hệ thống mạng sang lĩnh vực thương mại tạo thành nhóm CIX Có thể nói Internet thật hình thành từ Nhưng đến Tim Berners-Lee phát triển HTML, HTTP CERN năm 1991, Internet thực phát triển “bùng nổ” Với công nghệ HTML, trang web tạo cách nhanh chóng tiện lợi cho người sử dụng truy cập, đọc thông tin Năm 1993, trung tâm NCSA đại học Illinois đưa trình duyệt web Mosaic 1.0, tảng cho trình duyệt web sau Và thời điểm đó, mạng Internet phát triển nhanh chóng, lan rộng khắp tồn cầu Tới tháng năm 2006, có tỷ người sử dụng Internet [33], Việt Nam triệu người sử dụng Ngày nay, với phát triển thương mại điện tử, khó tách rời tồn Internet với xã hội loài người Thống kê cho thấy, năm 2006, tổng giá trị bán hàng qua mạng đạt số 200 tỷ USD [34] Kinh doanh qua mạng Internet, quảng cáo qua Intenret, cung cấp thông tin qua Internet khái niệm kinh điển Trang web mặt công ty, nơi giao dịch mua bán, nơi tiếp đón người dùng, nơi giao lưu, kết bạn Những mơ hình kinh doanh thành cơng ebay, yahoo, google ngày liên tục phát triển 12 1.2 Giao thức TCP/IP Họ giao thức TCP/IP cho phép hệ thống máy tính giao tiếp với mà không quan tâm đến quy mô hệ thống, nhà sản xuất phần cứng, hệ điều hành cài đặt Theo định nghĩa giao thức, TCP/IP thực hệ thống mở [22] Nó cho phép triển khai thêm thành phần với chi phí thực giảm thiểu thời gian rút ngắn đáng kể Phần giới thiệu số thông tin họ giao thức TCP/IP, nhấn mạnh vào chế hoạt động để minh họa cho chương 1.2.1 Khái niệm phân lớp Các giao thức mạng phát triển theo lớp giao thức – layer Mỗi lớp có nhiệm vụ xử lý mức độ giao tiếp khác Họ giao thức TCP/IP phân chia theo lớp ( để phù hợp với tài liệu tiếng Anh, giữ nguyên tên gọi lớp) Mỗi lớp đảm nhận chức riêng rẽ TÊN LỚP ỨNG DỤNG Application Telnet, FTP, SMTP Transport TCP,UDP Network IP,ICMP, IGMP Link Các trình điều khiển thiết bị cổng kết nối Bảng Các lớp giao thức TCP/IP i Lớp Kết nối – Link: hay gọi data-link(liên kết liệu), bao gồm hệ thống trình điều khiển thiết bị cài đặt kèm với hệ điều hành cổng kết nối mạng có hệ thống Mọi chức xử lý phần cứng thiết lập lớp ii Lớp mạng – network: hay gọi lớp internet xử lý việc di chuyển gói tin tồn mạng Một số chức quan trọng thực lớp này: định tuyến (routing), thơng báo lỗi (ICMP) Lớp có giao thức IP, ICMP IGMP 60 Khi hệ thống chuyển sang trạng thái theo dõi phát hiện, trạng thái entropy hệ thống liên tục cập nhật theo khung thời gian khung gói tin Có thể chọn khoảng thời gian từ 60s đến 300s tùy theo yêu cầu phát nhanh hay chậm Sau khoảng thời gian, hệ thống tính toán lại giá trị entropy, so sánh với ngưỡng e Nếu giá trị ngưỡng thay đổi s lớn giá trị s cho trước, kết luận xảy công DDoS 3.3 Phản ứng lại DDoS theo lịch sử IP Van điều tiết 3.3.1 Hạn chế theo địa IP biết Để hạn chế kết nối theo địa IP, cần phải thực bước: Tập hợp danh sách địa IP theo khoảng thời gian định Xây dựng dách sách IP để tìm kiếm so sánh thời gian ngắn i i i Giả thiết có S i  s1i , s2 , s3 , , sni  tập hợp tất IP xuất lịch sử kết nối đến hệ thống vào ngày i S i  ni Đặt F k   f1 , f , f m  tập hợp IP “hợp lệ” xuất lịch sử kết nối đến hệ thống từ ngày đến ngày k Fk  m IP hợp lệ IP có kết nối kết thúc kết nối theo quy định TCP Trong cơng DDoS, có tập hợp địa IP A Ta có k S q  S  S   S k   ni  A Ta có F k  S q  S  S   S k  Tập địa S tập địa IP ràng buộc sử dụng cho việc hạn chế IP kết nối đến hệ thống Cần có tiêu chí để cập nhật bảng địa IP Về mặt thực tế, thấy dễ dàng hệ thống mang tính chất khác có tập hợp địa khách hàng khác Sự khác mang ý nghĩa vị trí địa lý, đối tượng người dùng v.v 61 3.3.2 Điều tiết truy cập theo địa IP Trong trường hợp chống lại công DDoS, giả thiết áp dụng van điều tiết : - Có tượng cơng, phát qua thay đổi Entropy Đề xuất cho mơ hình Williamson áp dụng thiết bị mạng sau: - Thiết lập tập danh sách làm việc 10 kết nối - Thời gian chờ tối thiểu 10s thời gian timeout tối đa 75s Thay xử lý cho kết nối đích xuất phát từ máy trạm mạng nội bộ, xử lý sau: - Với IP máy chủ dịch vụ, trì tập IP kết nối đến, ví dụ 100 - Với IP này, trì số kết nối có, giả sử n - Nếu kết nối đến từ IP X (gói tin SYN) tập danh sách theo dõi kiểm tra số lượng kết nối có Nếu số lượng < n cho phép kết nối Nếu kết nối thứ n + đưa vào danh sách “chờ” - Với kết nối thêm vào tăng thêm thời gian chờ lên khoảng β Với điều kiện n + β < 75s - Khi có gói tin RST từ danh sách IP nguồn, giảm số kết nối Đối với danh sách chờ: - Nếu kết nối có thời gian lưu hàng đợi nhỏ thời gian chờ tiếp tục chờ - Nếu kết nối hết thời gian chờ lấy để xử lý tăng số kết nối lên - Nếu thời gian chờ > 75s hủy kết nối Sau đợt công kết thúc, chế “Van điều tiết” tắt, hệ thống trở lại trạng thái bình thường 62 Chương Thiết kế mơ hình hệ thống phát chống lại cơng DDoS 4.1 Mơ hình triển khai vật lý Hệ thống phát phản ứng lại công DDoS dựa Entropy địa IP – HEDDAD (History IP & Entropy-based Detection and Defense Against DDoS) xây dựng kết hợp từ mơ hình  Theo dõi lịch sử IP kết nối  Theo dõi phát thay đổi entropy kết nối đến hệ thống Hệ thống triển khai router biên hệ thống firewall đứng vành mạng Tại đây,hệ thống đứng độc lập trước thiết bị router, firewall tích hợp kèm với thiết bị Sơ đồ triển khai sau: Hình 12 Mơ hình triển khai HEDDAD Với vị trí đứng trước tích hợp kèm với router biên, hệ thống HEDDAD có nhiệm vụ: 63 - Ghi nhận kết nối TCP/IP đến hệ thống mạng - Tạo lập liệu ghi vết địa IP - Xử lý gói tin để tính tốn trạng thái hệ thống dựa lý thuyết Entropy - Liên tục kiểm tra entropy để phát thay đổi trạng thái, đưa cảnh báo kích hoạt hệ thống phịng vệ - Kết hợp với dạng cơng biết để phát công DDoS Hệ thống đóng vai trị thiết bị theo dõi mạng thời gian không xảy công DDoS Như vậy, mặt hiệu năng, hệ thống không làm ảnh hưởng đến hiệu chung tồn mạng Các gói tin đến hệ thống tách làm thành phần để xử lý: - Đưa vào khối HEDDAD để xử lý theo dõi - Chuyển tiếp gói tin Khi có cơng DDoS xảy ra, hệ thống phát kích hoạt chức phịng vệ Chức xây dựng dựa sở lọc IP van điều tiết 4.2 Các thành phần hệ thống Hệ thống HEDDAD xây dựng từ thành phần: - Bộ phận theo dõi địa IP - Khối xử lý trạng thái - Khối nhận dạng theo chữ ký - Khối nhận dạng theo Entropy - Bộ lọc kết hợp van điều tiết - Khối chuyển tiếp gói tin 64 4.2.1 Thiết kế phân lớp hệ thống Hệ thống phát phản ứng lại công DDoS thiết kế theo mơ hình phân lớp xử lý dịch vụ Mơ hình phân lớp cho phép thành phần phát triển độc lập lớp Lớp cần thỏa mãn giao diện lập trình điểm kết nối lớp hoạt động với lớp Lớp hệ thống HEDDAD lớp xử lý gói tin Lớp trực tiếp đọc gói tin từ giao diện mạng qua thư viện libpcap Tại đây, gói tin xử lý sơ như: ghép lại thành kết nối, xử lý gói tin phân mảnh, nhận dạng dịch vụ kết nối… Lớp lớp điều khiển việc chuyển tiếp gói tin hay điều tiết gói tin Khái niệm chuyển tiếp sử dụng hệ thống hoạt động bình thường, khơng có cơng Tại thời điểm này, gói tin chuyển qua hệ thống chép để xử lý chuyển tiếp Trong điều kiện xảy cơng, gói tin đưa qua điều tiết để hạn chế kết nối đến hệ thống Mục tiêu đảm bảo cho khách hàng phục vụ với chất lượng dịch vụ tối thiểu cần có Lớp hệ thống lớp xử lý tính tốn đặc trưng để phục vụ cho công tác phát phản ứng bên Tại đây, thông tin đặc trưng trích, chọn để lưu trữ, tính tốn Các thông tin sử dụng: địa IP nguồn kết nối, tần xuất kết nối, entropy khung lấy mẫu Lớp đảm nhận công tác xử lý logic Dựa vào tính tốn entropy, địa IP từ lớp chuyển lên, hệ thống so sánh, đưa định việc có hay khơng cơng từ chối dịch vụ Trong trường hợp có cơng, danh sách địa IP lưu trữ sử dụng để phản ứng lại Bên cạnh đó, lớp làm công tác lưu trữ, nhận dạng chữ ký cơng để sử dụng lại sau 65 Hình 13 Trình tự xử lý hệ thống HEDDAD 66 4.2.2 Thiết kế chi tiết thành phần hệ thống Hình 14 Sơ đồ thiết kế hệ thống nhận dạng phản ứng Bộ tiền xử lý gói tin Có nhiệm vụ thu thập gói tin qua phát trở lại hệ thống mạng Các gói tin qua xử lý từ tầng IP tầng TCP/UDP Tại đây, gói tin phân loại sơ bộ, ghép lại thành khn dạng gói tin chuẩn chuyển lên tầng để xử lý Ghi nhận IP: 67 Chức làm nhiệm vụ ghi lại địa IP nguồn kết nối đến hệ thống Dựa liệu từ sở liệu để tính giá trị tần xuất truy cập hệ thống, thông tin liên quan tên miền, chủ đăng ký… Sau có thơng tin, cập nhật liệu vào sở liệu Trong sở liệu có sẵn bảng lưu trữ gọi bảng lịch sử địa IP Nhận dạng gói tin Chức có nhiệm vụ bóc tách gói tin IP TCP để kiểm tra dạng dịch vụ Những công DDoS sử dụng gói tin rác để làm tràn ngập băng thơng (dạng nhận biết 2.1.5 phận phát Sau có thơng tin nhận dạng, thông tin chuyển tiếp tới phận xử lý trung tâm so sánh phát Xử lý Entropy Như phân tích 3.2.2, dựa vào khung thời gian theo dõi, phận xử lý Entropy có chức tính tốn entropy thời điểm t kết nối đến hệ thống mạng Sau có kết quả, chuyển lên cho xử lý trung tâm so sánh ngưỡng Entropy phát cơng có Van điều tiết Hệ thống van điều tiết thiết kế dựa ý tưởng van điều tiết cho máy chủ Williamson [25] Cơ chế điều tiết có dựa vào lịch sử truy cập địa IP (3.3.2) Bộ chữ ký cơng Sau nhận dạng có kết trùng với liệu lưu trữ chữ ký, so sánh phát kết luận có cơng từ chối dịch vụ mà không cần so sánh địa IP Entropy Nếu có cơng DDoS xảy ra, hệ thống cập nhật đặc trưng cơng ( dạng gói tin, tần suất truy cập, entropy thời điểm truy cập ) để phục vụ cho phát sau Bộ chữ ký cập nhật thơng qua giao diện với người quản trị Cơ sở liệu Cơ sở liệu thực lưu trữ thông tin phục vụ cho việc phân tích phát cơng Các thơng tin lưu trữ gồm có: 68  Danh sách địa IP tần suất truy cập – tuần  Các giá trị Entropy theo thời gian tập địa truy cập  Các thơng tin có liên quan địa IP: tên miền, người sở hữu …  Các thông tin cảnh báo phát Khối quản lý kiện Các kiện xảy hệ thống gồm có hai dạng: kiện quản lý kiện hoạt động Khối kiện quản lý phục vụ cho việc quản lý hệ thống, cập nhật thông tin Khối kiện hoạt động liên quan đến việc cảnh báo hệ thống Tùy theo dạng kiện mà quản lý kiện có định việc khởi động phận Van điều tiết để bảo vệ hệ thống bỏ qua Bộ so sánh phát công Bộ so sánh nhận liệu từ lớp kết hợp với liệu có sở liệu IP, sở liệu chữ ký công để thực xác định xem hệ thống có chịu cơng hay khơng Nếu có nghi ngờ việc bị công, phát gửi thông báo tới khối quản lý kiện thông báo dạng công Báo cáo liệu Khối báo cáo có chức nhận yêu cầu báo cáo người quản trị hệ thống kết nối vào sở liệu để tạo báo cáo theo yêu cầu Các dạng báo cáo có :  Báo cáo kiện xảy  Báo cáo kiện tùy theo độ quan trọng  Báo cáo lịch sử địa IP truy cập  Báo cáo chữ ký có liệu hệ thống  Báo cáo lực xử lý hệ thống 69 4.2.3 Danh sách lưu trữ IP Danh sách lưu trữ địa nguồn thiết kế dựa tư tưởng danh sách liệu T M Gil [9] đề xuất Cấu trúc liệu Gil đưa phục vu cho thiết bị định tuyến lưu trữ thông tin băng thông địa nguồn truy cập tới dịch vụ Ở đây, đề xuất sử dung chế đánh mã tương tự danh sách Gil có sửa đổi tham số cần theo dõi Danh sách địa IP lập theo mơ hình có mức, mức có 256 node, đủ để đánh mã địa IP V4 Mỗi node bảng có 256 ghi Mỗi ghi bao gồm trường: - Tần xuất truy cập Được tính theo số lần truy cập khung thời gian định trước Khuyến nghị tuần - Thời gian tồn node Thời gian đếm ngược Khi giảm node bị tự động xóa bỏ - Một trỏ trỏ đến node mức Càng xuống sâu độ dài netmask lớn, địa cụ thể Sơ đồ mơ tả hình 15 Node gốc lưu địa có byte 0.*.*.*, 1.*.*.* , 2.*.*.* … Node thuộc ghi thứ x node gốc lưu trữ địa có dạng x.y.*.* Với địa IP kết nối đến hệ thống mạng, hệ thống cập nhật thơng số vào danh sách; kiểm tra địa thuộc block cấp cho khách hàng cuối Khi có cơng DDoS xảy ra, việc lọc địa IP truy cập dựa vào block hay subnetmask lớp địa Khi đó, cơng tác tìm kiếm bảng rút ngắn nhiều Hoặc nhà quản trị thiết lập khối địa IP ưu tiên để phục vụ hệ thống Việc phục vụ theo khối tương tự việc điều tiết khí đốt nước theo khối nhà, khu dân cư, khu vực quan nhạy cảm 70 Hình 15 Sơ đồ liệu lưu trữ IP 4.3 Đề xuất khuyến nghị Hệ thống HEDDAD – phát phản ứng lại công từ chối dịch vụ dựa entropy địa nguồn- hiên nghiên cứu bước đầu Trung tâm công nghệ thông tin – CDIT Các thành phần hệ thống đề xuất dựa nghiên cứu tổng hợp tác giả công từ chối dịch vụ Các thành phần này, thân tác giả chứng minh tính đắn, khả triển khai Vấn đề tích hợp hệ thống thống cần phải nghiên cứu hoàn thiện mặt thuật toán phát dựa Entropy Trong trường hợp kẻ cơng dị chế bảo vệ hệ thống, kẻ cơng phát tin giả mạo khối địa IP thực nhằm buộc hệ thống tự động khóa giải IP đó, vơ hình chung đạt mục đích cơng Cần có chế nhận biết mạnh để đảm bảo lọc địa IP thực khách hàng cần dùng hệ thống 71 Kết luận Đề tài nghiên cứu tập trung vào cơng tác tổng hợp tri thức có công DDoS thời gian qua Chương đề tài liệt kê dạng công phân loại sử dụng Hệ thống phân loại giúp đỡ nhiều cho người nghiên cứu cơng DDoS Ngồi ra, hệ thống phân loại giúp dự báo dạng công tương lai Trong chương 3, 4, đề tài tập trung vào việc vận dụng tri thức để kết hợp xây dựng nên hệ thống phát phản ứng lại công từ chối dịch vụ - gọi tắt HEDDAD Hệ thống kết hợp khả phát công qua biến đối Entropy địa IP nguồn kết nối với khả lọc công theo địa IP có tần xuất truy cập cao Các địa IP có tần xuất truy cập cao coi khách hàng tin cậy ưu tiên phục vụ Các IP lạ, xuất trường hợp Entropy biến đổi tăng vọt coi địa IP nguồn công bị chặn lại qua van điều tiết Hệ thống cần phải thử nghiệm ứng dụng để tạo sản phẩm có ích thực tế 72 Tài liệu tham khảo Tiếng Việt [1] Đặng Văn Chuyết, Nguyễn Tuấn Anh Cơ sơ lý thuyết truyền tin – tập 1, tr 75, NXB Giáo Dục, 1998 Tiếng Anh [2] Steven Bellovin ICMP traceback messages Work in Progress: draft-bellovin-itrace-00.txt [3] B.E Brodsky and B.S Darkhovsky, Nonparametric Methods in Change Changepoint Problems, Kluwer Academic Publishers, 1993 [4] R Caceres, P B Danzig, S Jamin and D J Mitzel, “Characteristics of wide-area TCP/IP conversations”, Proceedings of ACM SIGCOMM’91, September 1991 [5] Chen-Mou Cheng, H.T Kung, and Koan-Sin Tan Use of spectral analysis in defense against dos attacks Proceedings of the IEEE GLOBECOM, Taipei, Taiwan, 2002 [6] Laura Feinstein, Dan Schnackenberg, Statistical Approaches to DDoS attack detection and response, DARPA Information Survivability Conference and Expostion(DISCEX’03), April 2003 [7] A Feldmann, “Characteristics of TCP Connection Arrivals”, ATT Technical Report, December 1998 [8] Stave Gibson, Denial of Service attacks against GRC.COM, http://www.grc.com/dos/grcdos.htm, 2005 [9] T M Gil and M Poletto MULTOPS: a data-structure for bandwidth attack detection 10th Usenix Security Symposium, August 2001 [10] J Ioannidis and S M Bellovin Pushback: Router-Based Defense Against DDoS Attacks NDSS, February 2002 [11] Jaeyeon Jung, B Krishnamurthy,M.Rabinovich Flash crowds and denial of service attacks: Characterization and implications for cdns and web sites WWW10, WWW2002, May 711, Honolulu, Hawaii, USA 2002 [12] Jelena Mirkovic, Ataxonomy of DDoS Attack and ddos defense mechanisms, ACM SIGCOMM 2004 [13] D Moore The spread of the code red worm (crv2) http://www.caida.org/analysis/security/code-red/coderedv2 analysis.xml [14] R.Naraine, Massive DDoS Attack Hit DNS Root Servers, 10/2002, http://www.internetnews.com/dev-news/article.php/1486981 [15] V.Paxson An analysis of using reflectors for distributed denial-of-service atacks ACM Computer Communications Review, July 2001 [16] Tao Peng, C.Leckie, K.Ramamohanarao Protection from Distributed Denial of Service Attack Using History-based IP filtering, Proceedings of the IEEE International Conference on Communications, 5/2003, vol 1, pp 482–486 [17] P.A Porras, and P.G Neumann, “EMERALD: Event Monitoring Enabling Responses to Anomalous Live Disturbances,” National Information Systems Security Conference (NISSC), October 1997, pp 353-365 [18 ] RFC 802 The ARPANET 1822L Host Access Protocol [19] C.E Shannon, and W Weaver, The Mathematical Theory of Communication, University of Illinois, 1963 [20] Snort, http://www.snort.org [21] S Staniford, V Paxson, and N Weaver How to 0wn the internet in your spare time, 2002 The 11th USENIX Security Symposium [22 ] Richard Stevens, TCP/IP Illustrated, Vol 1, Addison Wesley, 1993 [23] Robert Stone Centertrack: An IP overlay network for tracking DoS floods USENIX Security Symposium, pages 199–212, Denver, CO, USA, July 2000 USENIX 73 [24] H Wang, D Zhang, and K G Shin, Detecting SYN flooding attacks, IEEE Infocom'2002, June 2002 [25] M Williamson Throttling viruses: Restricting propagation to defeat malicious mobile code 18th Annual Computer Security Applications Conference, December 2002 [26] V Yegneswaran, P.Barford , J.Ulrich, Internet intrusions: Global characteristics and prevalence, ACM SIGMETRICS 2003 Trang Web [27] CERT CC Denial of Service Attacks, http://www.cert.org/tech_tips/denial_of_service.html [28] CERT CC Smurf attack http://www.cert.org/advisories/CA-1998-01.html [29] CERT CC TCP SYN flooding and IP spoofing attacks http://www.cert.org/advisories/CA1996-21.htm [30] CERT CC Trends in Denial of Service Attack Technology, 10 /2001 http://www.cert.org/archive/pdf/DoS trends.pdf [31] IANA, IP Address Services, http://www.iana.org/ipaddress/ip-addresses.htm, 2005 [32] Information Sciences Institute Dynabone http://www.isi.edu/dynabone/ [33] Internet Static, http://www.clickz.com/stats/web_worldwide/ [34] Online Retail Revenues, http://www.clickz.com/stats/sectors/retailing/article.php/3611181 [35] VNNIC, Thống kê địa IP, http://www.vnnic.net.vn/thongke/thongke/jsp/tainguyen/ip_tab.jsp [36] wikipedia http://en.wikipedia.org/wiki/ARPANET#Origins_of_the_ARPANET Phụ lục Thank you for evaluating AnyBizSoft PDF Merger! To remove this page, please register your program! Go to Purchase Now>> AnyBizSoft PDF Merger  Merge multiple PDF files into one  Select page range of PDF to merge  Select specific page(s) to merge  Extract page(s) from different PDF files and merge into one ... TCP 1.3 Khái niệm công DoS Tấn công từ chối dịch vụ hành động cụ thể nhằm ngăn cản khả cung cấp dịch vụ [27] Tấn công phân tán từ chối dịch vụ sử dụng nhiều 20 thực thể công để thực Hiện nay,... hình cơng từ chối dịch vụ thực theo mơ hình phân tán Trong tài liệu này, tham chiếu đến công từ chối dịch vụ có nghĩa bao gồm công từ chối dịch vụ dạng phân tán Dạng thức thường gặp sử dụng số... nghiên cứu chuyên sâu công từ chối dịch vụ, cách thức phịng chống, phát chống lại Trong khn khổ luân văn, khái niệm công từ chối dịch vụ phân tán – DDoS đồng nghĩa với từ chối dịch vụ - DoS Luận văn