Chống công từ chối dịch vụ phân tán tần suất thấp Phạm Văn Hợi Trường Đại học Công nghệ Luận văn ThS Truyền liệu Mạng máy tính; Mã số: 60 48 15 Người hướng dẫn: TS Nguyễn Đại Thọ Năm bảo vệ: 2013 Abstract Trình bày tổng quan TCP, kiểm soát tắc nghẽn TCP, trình bày quản lý hàng đợi tích cực (AQM) cuối trình bày thuật tốn RED Nêu khái niệm công từ chối dịch vụ, cách thức chung công từ chối dịch vụ Tiếp theo trình bày cách thức cơng từ chối dịch vụ tần suất thấp Các phương pháp chống công từ chối dịch vụ tần suất thấp cuối tập trung thuật tốn chống cơng từ chối dịch vụ tần suất thấp RRED Đề xuất ý tưởng cải tiến thuật tốn RRED, phân tích nhược điểm RRED, khai thác nhược điểm để từ đề xuất phương pháp cải tiến Trình bày mã giả thuật tốn cuối bình luận phương pháp cải tiến Trình bày kịch mơ phỏng, kết biến thiên theo chu kỳ công, theo độ rộng công tốc độ công, so sánh phương pháp cải tiến so với thuật toán RRED Keywords Dịch vụ phân tán; Truyền liệu; Mạng máy tính; Cơng nghệ thông tin; Dịch vụ tần suất thấp Content Tấn công từ chối dịch vụ ngày trở thành mối đe dọa nghiêm trọng tin cậy mạng Internet Là công sử dụng nhiều cách thức tổ chức thực khác nhau, từ việc dùng máy tới việc thu thập máy agent quyền với số lượng lên đến hàng chục ngàn máy phục vụ cơng, mục đích công làm tê liệt ứng dụng, máy chủ, toàn mạng lưới, làm gián đoạn kết nối người dùng hợp pháp Một kẻ cơng DoS gửi số lượng lớn gói tin đến nạn nhân sử dụng nhiều zombie Như kết công, nguồn tài nguyên xung quanh nạn nhân băng thông mạng sức mạnh tính tốn bị giảm sử dụng truy cập vào dịch vụ hợp pháp cung cấp nạn nhân Ngày nay, có biện pháp đối phó khác công DoS để loại lũ lụt thông thường đề xuất Đặc biệt, phân tích thống kê tỷ lệ truyền tải mạng hữu ích để phát gói lớn truyền tải lũ lụt Tấn cơng từ chối dịch vụ (DoS) nỗ lực để phá vỡ chức bình thường hệ thống mạng ngăn chặn truy cập hợp pháp cho dịch vụ đơn giản làm giảm chất lượng dịch vụ cung cấp Một nghiên cứu UCSD [23] từ đầu thập niên công từ chối dịch vụ diễn với tỷ lệ lên tới 4000 công tuần Trong năm 2002, công từ chối dịch vụ [22] làm sập tới số 13 máy chủ DNS root toàn giới Mức độ ảnh hưởng nghiêm trọng công từ chối dịch vụ, mà đặc biệt nhắc đến nhiều công từ chối dịch vụ phân tán DDoS, dẫn đến loạt nghiên cứu nhằm hiểu rõ chế công, để đưa tới cách thức giúp phòng chống ảnh hưởng tiêu cực Có nhiều phương pháp đề xuất nhằm chống lại công từ chối dịch vụ, từ việc lọc gói tin để tránh giả mạo địa nguồn, chuyển hướng công, đẩy ngược luồng giao thông công trở lại mạng, cách ly để phân biệt máy khách giao thông máy chủ Mỗi giải pháp tốt, cung cấp kĩ thuật giúp nhận vấn đề công từ chối dịch vụ Tuy nhiện, phương pháp bảo vệ lại khía cạnh công từ chối dịch vụ Tuy nhiên, năm gần đây, lớp công từ chối dịch vụ khó phát phương pháp thơng thường, loại cơng từ chối dịch vụ phân tán tần suất thấp (LDoS) [2] [3] Kẻ công DoS gửi bùng nổ ngắn lưu lượng luồng theo kỳ, thay lũ lụt gói liên tục công DoS/DDoS thông thường Vụ nổ điền vào đệm router trung gian gây tổn thất gói luồng TCP hợp pháp Những khó khăn việc phát công DoS kẻ công có tốc độ trung bình thấp so với công DoS truyền thống Hơn nữa, kẻ công kiểm sốt mức độ thiệt hại gây công, cách điều chỉnh bùng nổ khoảng cách lần bùng nổ Do đó, khó khăn cho nạn nhân tự tìm cơng Vì vậy, kẻ công mục tiêu trang web thương mại điện tử kết nối TCP trang web khách hàng mình, trang web bỏ lỡ lợi nhuận tiềm khách hàng Cho đến nay, công DoS mối đe dọa lớn an ninh mạng dễ thực với chi phí thấp Mặt khác, phát công DoS tần suất thấp khó khăn tốc độ trung bình thấp Các thuật tốn phát cho cơng DoS lũ lụt dường không áp dụng cho công DoS tần suất thấp Vì vậy, công DoS tần suất thấp cơng tương lai Để phát công giảm thiểu thiệt hại, biện pháp đối phó khác đề xuất Phương pháp thời điểm cố gắng phát lọc công vào định tuyến trung gian Tuy nhiên, tất phương pháp tiếp cận dựa định tuyến có vấn đề triển khai Luận văn tơi trình bày phương pháp chống công từ chối dịch vụ phân tán tần suất thấp Bằng cách phân tích luồng đến dựa thuật toán router Hệ thống nhận diện luồng công DoS luồng hợp pháp Với công DoS truyền thống, kẻ công sử dụng số lượng lớn máy bị xâm nhập đại lý gửi điện cao tỷ lệ gói liệu đến nút nạn nhân Có khả mạnh mẽ có khả có hại mà chất cao tỷ lệ công phát thiết bị giám sát mạng số liệu thống kê bất thường Vì vậy, kẻ cơng xác định ảnh hưởng công giảm thiểu Khi bị công công tràn ngập, giao thông mạng tiêu thụ cao máy chủ vào trạng thái bận Với công DoS tần suất thấp, nút mạng bị lừa dối với tín hiệu bận để điều chỉnh trạng thái hệ thống sau luồng trở nên tương đối rỗng Các máy chủ rỗi công, kết mạng bị cơng thời gian dài mà người dùng không nhận biết Tuy nhiên, công DoS tần suất thấp khai thác khoảng thời gian chậm đồng hồ truyền lại TCP để làm giảm thơng lượng TCP Mục đích để phá vỡ cân dịch vụ mạng để chiếm dịch vụ Với tốc độ trung bình gói thấp, khó cho mạng lưới giám sát để phát kiện đặc biệt lý cơng DoS tần suất thấp dễ dàng để thoát khỏi phát Gần phương pháp chống công từ chối dịch vụ phân tán tần suất thấp cho thấy hiệu việc lọc gói tin cơng cho qua gói tin hợp pháp Thuật toán RED đề xuất để phát lọc công LDoS Thuật tốn giúp việc tìm nguồn gốc công LDoS làm gián đoạn luồng công từ hệ thống Mục tiêu thuật toán đề xuất xác định loại bỏ luồng cơng trước vào thuật tốn truyền thống RED Công việc tương tự thực thuật toán RRED [1] Bằng tập hợp thí nghiệm khác nhau, thuật tốn RRED chứng minh mạnh mẽ chống lại công LDoS trì thơng lượng TCP ổn định Tuy nhiên, thuật toán xác định khoảng thời gian cố định tính từ thời điểm gói tin bị loại nghi ngờ gói tin cơng Thời gian cố định bị kẻ công xác định bỏ qua Do đó, luồng luồng cơng gói tin đến từ luồng gửi khoảng thời gian sau gói tin khác luồng bị loại bỏ Khi gói tin đến nghi ngờ gói tin cơng phụ thuộc vào khoảng thời gian xác định RRED T*=10ms Kẻ cơng dự đốn giá trị số khi đưa gói tin cơng có khả kẻ cơng điều chỉnh thời gian đến gói tin cơng cho RRED khơng dễ dàng phát nguy tiềm ẩn công LDoS cao Vì nhược điểm này, chúng tơi đề xuất cải tiến thay đổi giá trị biến thiên khoảng thời gian để xác định loại bỏ gói tin gói tin cơng cho qua hầu hết gói tin bình thường Bằng cách cải tiến giá trị số T* thuật toán RRED giá trị thời gian Tout động Khi phát gói tin luồng mà nghi ngờ gói tin cơng, người gửi chờ hết thời gian timeout để tiếp tục gửi lại, khoảng thời gian Tout tính từ thời điểm gói tin bị loại bỏ đến gói tin phát nghi ngờ gói tin cơng (được trình bày chi tiết chương 4) Qua mô NS2 phân tích cho thấy RRED sau cải tiến tương đối hiệu có khả cải thiện hiệu suất TCP đáng kể cơng DoS tần suất thấp so với thuật tốn RRED ban đầu Phần luận văn tổ chức sau: Chương 2: Background Trình bay tổng quan TCP, kiểm soát tắc nghẽn TCP, trình bày quản lý hàng đợi tích cực (AQM) cuối trình bày thuật tốn RED Chương 3: Tấn cơng từ chối dịch vụ Trong chương trình bày khái niệm công từ chối dịch vụ, cách thức chung công từ chối dịch vụ Tiếp theo trình bày cách thức cơng từ chối dịch vụ tần suất thấp Các phương pháp chống công từ chối dịch vụ tần suất thấp cuối tập trung thuật tốn chống cơng từ chối dịch vụ tần suất thấp RRED Chương 4: Phương pháp cải tiến đề xuất Trong chương trình bày ý tưởng cải tiến thuật toán RRED, phân tích nhược điểm RRED, khai thác nhược điểm để từ đề xuất phương pháp cải tiến Tiếp theo trình bày mã giả thuật tốn cuối bình luận phương pháp cải tiến Chương 5: Kết mơ Chương trình bày kịch mơ phỏng, kết biến thiên theo chu kỳ công, theo độ rộng công tốc độ công Trong chương này, so sánh phương pháp cải tiến chúng tơi so với thuật tốn RRED Phần cuối kết luận hướng nghiên cứu tương lai References TÀI LIỆU THAM KHẢO [1] Changwang Zhang, Jianping Yin, Zhiping Cai, and Weifeng Chen, “RRED: Robust RED Algorithm to Counter Low-rate Denial-of-Service Attacks”, IEEE Communications Letters, vol.14, pp.489-491, 2010 [2] Aleksandar Kuzmanovic and Edward W Knightly (2006) Low-Rate TCP-Targeted Denial of Service Attacksand Counter Strategies IEEE/ACM Transactions on Networking, Vol 14, No 4, pages 683-696 [3] Haibin Sun, John C S Lui, David K Y Yau (2006) Distributed Mechanism in Detecting and Defending Against the Low-Rate TCP Attack Computer Networks, Vol 50, No 3, pages 2312-2330 [4] Guang Yang, Mario Gerla, and M Y Sanadidi (2004) Defense against Low-Rate TCP-Targeted Denial-of-Service Attacks In Proceedings of the Ninth International Symposium on Computers and Communications, Vol 2, pages 345-350 [5] Jelena Mirkovic, Sven Dietrich, David Dittrich, Peter Reiher (2004); Internet Denial of Service: Attack and Defense Mechanisms.chm; Prentice Hall PTR [6] Michael Glenn (2003); A Summary of DoS/DDoS Prevention, Monitoring and Mitigation Techniques in a Service Provider Environment; SANS Institute [7] S Bellovin, M Leech, and T Taylor (October 2001), "ICMP Traceback Messages" Internet draft, work in progress [8] J Mirkovic (August 2003), D-WARD: Source-End Defense Against Distributed Denial-of-Service Attacks, PhD thesis, University of California Los Angeles, http://lasr.cs.ucla.edu/ddos/dward-thesis.pdf [9] E O'Brien "NetBouncer: A Practical Client-Legitimacy-Based DDoS Defense via Ingress Filtering" http://www.networkassociates.com/us/_tier0/nailabs/_media/documents/netbouncer.pdf [10] J Mirkovic, M Robinson, P Reiher, and G Kuenning (August 2003), "Forming Alliance for DDoS Defenses," Proceedings of the New Security Paradigms Workshop (NSPW 2003), ACM Press, pp 11–18 [11] A Shevtekar, K Anantharam and N Ansari: “Low Rate TCP Denial-of-Service Attack De-tection ad Edge Routers”, IEEE Communica-tions Letters, 9, 4, pp 363–365 (2005) [12] A Yaar, A Perrig, and D Song, (May 2003) "Pi: A Path Identification Mechanism to Defend Against DDoS Attacks", Proceedings of the IEEE Symposium on Security and Privacy, pp 93–107 [13] A Yaar, A Perrig, and D Song, (May 2004) "SIFF: a stateless Internet flow filter to mitigate DDoS flooding attacks", Proceedings of the IEEE Symposium on Security and Privacy, pp 130–143 [14] C Jin, H Wang, and K G Shin (October 2003), "Hop-Count Filtering: An Effective Defense Against Spoofed DDoS Traffic", Proceedings of the 10th ACM Conference on Computer and Communication Security, ACM Press, pp 30–41 [15] Shrews: Low-Rate TCP-Targeted Denial of Service Attacks http://www.cs.northwestern.edu/~akuzma/rice/doc/shrew.pdf [16] TCP congestion avoidance algorithm, Wikipedia online, http://en.wikipedia.org/wiki/TCP_congestion_avoidance_algorithm [17] Drop Tail, Wikipedia online http://en.wikipedia.org/wiki/Tail_drop [18] Bloom Filters, Wikipedia online: http://antognini.ch/papers/ BloomFilters20080620.pdf [19] S Floyd and V Jacobson, Random Early Detection Gateways for Congestion Avoidance, IEEE/ACM Transactions on Networking, pages 397-413, vol 1, issue 4, Aug 1993 [20] R Mahajan, S Floyd and D Wetherall, Controlling high-bandwidth flows at the congested router, In Proceedings of IEEE ICNP 2001, Riverside, CA, Nov 2001 [21] M Allman, S Floyd and C Partridge: “Increas-ing TCP’s Initial Window”, RFC3390 (2002) [22] M Allman, V Paxson and W Stevens: “TCP Congestion Control”, RFC2581 (1999) [23] G Yang, M Gerla and M Sanadid: “De-fence against Low-rate TCP-targeted Denial-of-Service Attacks”, Proc of ISCC2004 (2004) [24] Sally Floyd and Van Jacobson: “Random Early Detection Gateways for Congestion Avoidance”, August 1993 IEEE/ACM Transactions on Networking [25] V Jacobson Congestion avoidance and control ACM Computer Comm Review, 18(4):314–329, Aug 1988 [26] V Paxson and M Allman Computing TCP’s retransmission timer, November 2000 Internet RFC 2988 [27] The Network Simulator NS2: http://isi.edu/nsnam/ns/ [28] T J Ott, T V Lakshman, and L H Wong, “SRED: Stabilized RED”, Proc IEEE INFOCOM’99, NY, March 21-25, 1999, pp 1346-1355 [29] W Feng, D D Kandlur, D Saha, and D G Shin, “BLUE: A New Class of Active Queue Management Algorithms”, University of Michigan, April 1999  ... Chương 3: Tấn công từ chối dịch vụ Trong chương trình bày khái niệm cơng từ chối dịch vụ, cách thức chung công từ chối dịch vụ Tiếp theo trình bày cách thức công từ chối dịch vụ tần suất thấp Các... từ chối dịch vụ tần suất thấp Các phương pháp chống công từ chối dịch vụ tần suất thấp cuối tập trung thuật toán chống công từ chối dịch vụ tần suất thấp RRED Chương 4: Phương pháp cải tiến đề... đề công từ chối dịch vụ Tuy nhiện, phương pháp bảo vệ lại khía cạnh cơng từ chối dịch vụ Tuy nhiên, năm gần đây, lớp cơng từ chối dịch vụ khó phát phương pháp thơng thường, loại công từ chối dịch