Trước tiên kẻ tấn công phải làm đó là xây dựng lên mạng botnet. Kẻ tấn công tiến hành thăm dò những máy tính nào dễ bị lợi dụng. Quá trình này được gọi là scaning. Scaning có thể được làm bằng tay do kẻ tấn công sử dụng các công cụ hỗ trợ scaning như nmap. Các công cụ này đang ngày càng được phát triển hoàn thiện hơn.
Một chương trình khác hỗ trợ scaning, nhưng được thực thi một cách hoàn toàn tự động để nhận dạng các máy dễ bị lợi dụng, chương trình này được gọi là internet worm. Các internet worm được thực thi hoàn toàn tự động và các thể dễ dàng lây nhiễm từ máy này sang máy khác. Một worm thường có 3 chức năng chính sau:
+ Scaning: Tìm kiếm các máy dễ bị lợi dụng
+ Khai thác: Tiến hành lây nhiễm và điều khiển từ xa
+ Tải kịch bản tấn công
Các worm chọn lựa những địa chỉ để scaning ở các dạng sau:
+ Lựa chọn bất kì trong 32 bit của địa chỉ IP (IPv4). Hiệu quả của phương pháp này không cao do phải sử dụng rất nhiều địa chỉ IP để scan.
+ Sử dụng một dải địa chỉ bất kì đã được lựa chọn như chọn 8 bit hoặc 16 bit của địa chỉ IP (IPv4). Quá trình này được dùng để scan những mạng đơn lẻ hoặc một nhóm mạng trong cùng một thời điểm
41 trang |
Chia sẻ: tuandn | Lượt xem: 1778 | Lượt tải: 1
Bạn đang xem trước 20 trang tài liệu Khóa luận Nâng cấp hệ thống PAC thêm chức năng tự động xác định đối tượng tấn công, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
Vũ Thanh Tuấn
NÂNG CẤP HỆ THỐNG PAC
THÊM CHỨC NĂNG TỰ ĐỘNG XÁC ĐỊNH ĐỐI TƯỢNG TẤN CÔNG
KHOÁ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY
Ngành: Mạng truyền thông
HÀ NỘI - 2010
ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
Vũ Thanh Tuấn
NÂNG CẤP HỆ THỐNG PAC
THÊM CHỨC NĂNG TỰ ĐỘNG XÁC ĐỊNH ĐỐI TƯỢNG TẤN CÔNG
KHOÁ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY
Ngành: Mạng truyền thông
Cán bộ hướng dẫn: Ths. Đoàn Minh Phương
HÀ NỘI - 2010
LỜI CẢM ƠN
Để hoàn thành bài luận tốt nghiệp, lời đầu tiên tôi xin bầy tỏ sự cám ơn tới ThS.Đoàn Minh Phương, người đã giúp tôi lựa chọn đề tài, đưa ra những nhận xét quý giá và trực tiếp hướng dẫn tôi trong suốt quá trình hoàn thành luận văn tốt nghiệp. Tôi xin chân thành cám ơn các thầy cô trong khoa CNTT- trường Đại học Công nghệ - ĐHQG Hà Nội đã truyền đạt kiến thức cho tôi trong suốt khoảng thời gian 4 năm học tập tại trường.
Trong quá trình hoàn thành luận văn tốt nghiệp, tôi đã nhận được rất nhiều sự giúp đỡ, động viên từ bạn bè. Đặc biệt là anh Hoàng Văn Quân (K49CB) người đã góp ý và cùng tôi giải quyết một số vấn đề trong luận văn. Tôi xin gửi lời cám ơn tới những người bạn luôn bên cạnh tôi để chia sẻ những kinh nghiệm trong học tập cũng như cuộc sống.
Vũ Thanh Tuấn
TÓM TẮT NỘI DUNG
Trong luận văn tốt nghiệp này tôi chủ yếu giới thiệu về kỹ thuật phát hiện Ddos hiện nay và kỹ thuật ngăn chặn Ddos với giao thức Lan tỏa ngược. Có thể chia thành 4 phần chính. Phần thứ nhất là tổng quan và phân loại tấn công Ddos. Phần thứ 2 là các kỹ thuật phát hiện Ddos hiện nay và đi chi tiết vào kỹ thuật phát hiện Ddos sử dụng “Source IP Address Monitoring”. Phần cuối sẽ giới thiệu giao thức lan tỏa ngược và kết hợp với hệ thống phát hiện ddos mà tôi xây dựng.
MỤC LỤC
LỜI MỞ ĐẦU
Tấn công từ chối dịch vụ phân tán (Distributed Denial of Service-DDos) là một trong những phương pháp tấn công nguy hiểm nhất hiện nay. Việc ngăn chặn hoàn toàn Ddos rất khó có thể thực hiên được do các tính chất của một cuộc tấn công là phân tán trên toàn internet. Do vậy việc phát hiện càng sớm dấu hiệu của cuộc tấn công giúp chúng ta có thể hạn chế tối đa thiệt hại mà một cuộc tấn công Ddos gây nên. Trong luận văn này tôi sẽ xây dựng hệ thống tự động phát hiện và ngăn chặn một cuộc tấn công Ddos kết hợp giao thức lan tỏa ngược để giải quyết vấn đề vừa nêu ở trên.
Chương 1: GIỚI THIỆU VỀ TẤN CÔNG DDOS
1.1. Khái niệm
Tấn công từ chối dịch vụ phân tán (DDos – Distributed Denial of Service) là hoạt động làm chấm dứt hoặc gián đoạn các dịch vụ tại máy nạn nhân. Tấn công Ddos huy động số lượng lớn các máy bị lợi dụng để tấn công nạn nhân vào một cùng thời điểm. Do DDos có tính chất phân tán nên việc ngăn chặn là rất khó khăn. Việc ngăn chặn DDos không thể từ một máy tính bị tấn công mà phải kết hợp giữa các router để tiến hành phân tích và chặn. Do có số lượng Agent lớn và bao phủ trên diện rộng nên việc phát hiện được các gói tin tấn công nhưng khó có khả năng giải quyết triệt để được DDos. Ở đây Agent là những máy trực tiếp gửi thông điệp tấn công
1.2. Cấu trúc mạng DDos
1.2.1 Tuyển mộ mạng Agent
Trước tiên kẻ tấn công phải làm đó là xây dựng lên mạng botnet. Kẻ tấn công tiến hành thăm dò những máy tính nào dễ bị lợi dụng. Quá trình này được gọi là scaning. Scaning có thể được làm bằng tay do kẻ tấn công sử dụng các công cụ hỗ trợ scaning như nmap.... Các công cụ này đang ngày càng được phát triển hoàn thiện hơn.
Một chương trình khác hỗ trợ scaning, nhưng được thực thi một cách hoàn toàn tự động để nhận dạng các máy dễ bị lợi dụng, chương trình này được gọi là internet worm. Các internet worm được thực thi hoàn toàn tự động và các thể dễ dàng lây nhiễm từ máy này sang máy khác. Một worm thường có 3 chức năng chính sau:
+ Scaning: Tìm kiếm các máy dễ bị lợi dụng
+ Khai thác: Tiến hành lây nhiễm và điều khiển từ xa
+ Tải kịch bản tấn công
Các worm chọn lựa những địa chỉ để scaning ở các dạng sau:
+ Lựa chọn bất kì trong 32 bit của địa chỉ IP (IPv4). Hiệu quả của phương pháp này không cao do phải sử dụng rất nhiều địa chỉ IP để scan.
+ Sử dụng một dải địa chỉ bất kì đã được lựa chọn như chọn 8 bit hoặc 16 bit của địa chỉ IP (IPv4). Quá trình này được dùng để scan những mạng đơn lẻ hoặc một nhóm mạng trong cùng một thời điểm
+ Tạo ra một danh sách các địa chỉ IP ưu tiên và tiến hành scan. Trong khi scan sẽ bỏ qua những dải IP không tồn tại hoặc có độ bảo mật cao.
+ Sử dụng các thông tin trên máy bị nhiễm. Worm tiến hành phân tích và khai thác các log file trên máy bị nhiễm và scan. Ví dụ như một log file của web browser sẽ lưu trữ những địa chỉ mới truy cập vào website.và một file dùng để lưu trữ những địa chỉ IP đích được giao tiếp thông qua giao thức SSH
Một chương trình máy khách được chạy nền trên máy tính bị hại được gọi là một bot, nó sẽ thông báo cho kẻ tấn công các thông tin trạng thái của các máy dễ bị lợi dụng và chờ đợi lệnh điều khiển từ kẻ tấn công để tấn công.
1.2.2 Điều khiển mạng Agent
Khi số lượng Agent lớn, có thể lên đến hàng nghìn host. Kẻ tấn công phải có những phương pháp điều khiển mạng lưới Agent.Việc tìm ra những phương pháp tốt sẽ giúp kẻ tấn công dễ dàng thu thập dược các thông tin và hành vi của các Agent
Ở đây có hai mô hình chính để kẻ tấn công điều khiển mạng lưới Agent
1.2.1.1 Agent-Handler
Hình 1: Mô hình Agent-Handler
Trong mô hình này, kẻ tấn công sẽ điều khiển mạng Handler. Các Hanlder sẽ trực tiếp điều khiển các Agent gửi các thông điệp tấn công nạn nhân. Trong mô hình này, kẻ tấn công có thể rất dễ bị phát hiện do các máy Handler phải lưu trữ các thông tin về Agent và các Agent phải lưu trữ thông tin về Handler. Do vậy việc truy tìm ngược lại kẻ tấn công hoàn toàn có thể thực hiện được.
1.2.1.2 Internet Relay Chat(IRC)-Based
Hình 2: Mô hình IRC-Based
Một mô hình khác được triển khai đó là sử dụng hệ thống Internet Relay Chat (IRC). Đầu tiên, Attacker (kẻ tấn công) và Agent sẽ truy cập vào IRC Server như một người dùng bình thường. Các Agent phải học các kênh truyền hiện tại, sau đó sẽ nhảy sang những kênh đó để nhận lệnh điều khiển từ kẻ tấn công thông. Trong mô hình này, kẻ tấn công truy cập vào IRC Server sẽ qua một máy khác, được gọi là Steeping stone để tránh bị phát hiện.
1.2.3 Cập nhật mailware
Cũng như các phần mềm khác, các chương trình được cài đặt trên Handler hay Agent phải được thường xuyên cập nhật. Hầu hết các công cụ Ddos hiện nay đều yêu cầu kẻ tấn công gửi những dòng lệnh cập nhật trên các Handler và Agent bằng việc download các phiên bản mới hơn qua giao thức http.
1.3 Phân loại tấn công Ddos
1.3.1 Tấn công vào băng thông mạng
Trong phương pháp này kẻ tấn công điều khiển mạng lưới Agent đồng loạt gửi các gói tin ICMP hay UDP đến nạn nhân làm cho băng thông mạng của nạn nhân bị quá tải và không thể phục vụ được. Ví dụ như trong trường hợp ICMP flood, nạn nhân sẽ phải gửi trả lại các gói tin ICMP_REPLY tương ứng. Do số lượng của Agent gửi đến nạn nhân rất lớn nên việc gửi lại các gói ICMP_REPLY dẫn đến nghẽn mạng. Trong trường hợp UDP flood cũng tương tự.
Phương pháp tấn công này đặc biệt nguy hiểm do không những băng thông mạng của nạn nhân bị quá tải mà còn ảnh hưởng đến các mạng lân cận. Hiện nay, với sự phát triển của các công cụ Ddos, hầu hết đều hỗ trợ giả mạo địa chỉ IP.
1.3.2 Tấn công vào giao thức
Điển hình của phương pháp tấn công này là TCP SYN flood. Kẻ tấn công lợi dụng quá trình bắt tay 3 bước trong giao thức TCP. Kẻ tấn công liên tục khởi tạo kết nối TCP. Nạn nhân sẽ tiến hành gửi lại trả lời với SYN và ACK để chờ ACK từ phía máy khách. Tuy nhiên, kẻ tấn công sẽ không gửi ACK đến nạn nhân hay nói cách khác là sẽ không làm gì cả như quá trình bắt tay 3 bước. Cứ như vậy, nạn nhân sẽ tốn nhiều tài nguyên và bộ nhớ để chờ các phiên TCP. Do vậy nạn nhân sẽ không thể phục vụ được do tốn bộ nhớ đề chờ các kết nối ảo do kẻ tấn công khởi tạo.
1.3.3 Tấn công bằng những gói tin khác thường
Trong phương pháp này, kẻ tấn công dựa vào các điểm yếu của giao thức mạng. Ví dụ khi tấn công Ping of Death. Kẻ tấn công sẽ gửi một số gói tin ICMP có kích thước lớn hơn kích thước giới hạn. Gói tin sẽ bị chia nhỏ, khi nạn nhân ghép lại nhận thấy rằng là gói tin quá lớn để xử lý. Kết quả là, hệ thống không thể xử lý được tình trạng bất thường này và sẽ bị treo. Một trường hợp khác như tấn công Lan Attack. Kẻ tấn công sẽ gửi các gói tin TCP SYN có địa chỉ nguồn, địa chỉ đích và số cổng giống nhau. Nạn nhân sẽ liên tục khởi tạo và kết nối với chính nó. Do vậy hệ thống sẽ bị treo hoặc bị chậm lại.
1.3.4 Tấn công qua phần mềm trung gian
Trong phương pháp tấn công này, kẻ tấn công sẽ sử dụng một phần mềm hợp lệ trên máy nạn nhân. Khai thác một số thuật toán và tiến hành đưa tham số trong trường hợp xấu nhất. Do vậy, máy nạn nhân sẽ phải xử lý quá trình này và có thể bị treo. Đây là phương pháp tấn công khá đơn giản nhưng lại có hiệu quả rất cao. Nhưng nguy hiểm hơn cả là kẻ tấn công đã đột nhập được vào máy nạn nhân để có thể ăn cắp các thông tin cá nhân của nạn nhân
.1.4 Các công cụ DDos
1.4.1 Trinoo
Trinoo cho phép kẻ tấn công kiểm soát một số máy để yêu cầu gửi đồng loạt các gói tin UDP làm tê liệt mục tiêu. Master Trinoo có thể điều khiển các deamon trinoo như:
- Đồng loạt gửi các gói tin UDP
- Dừng việc gửi gói tin
- Thay đổi cấu hình của các deamon trinoo
1.4.2 Tribe Flood Network (TFN)
TFN là công cụ tấn công vào băng thông. TFN hỗ trợ tấn công các kỹ thuật ICMP flood, UDP flood, TCP SYN flood. Hiên tại, TFN hỗ trợ việc giả mạo địa chỉ IP. Hoạt động hầu hết trên các hệ điều hành DDos.
1.4.3 Stacheldraht
Là một dạng khác của TFN nhưng có khả năng tự động update trên các Agent
1.4.4 Shaft
Shaft chính là biến thể của Trinoo. Hỗ trợ nhiều loại tấn công như ICMP, UDP, TCP flood. Shaft còn hỗ trợ tấn công nhiều kỹ thuật cùng lúc. Vì vậy việc ngăn chặn shaft cũng sẽ trở nên rất khó khăn. Và đặc biệt shaft còn cho biết các thông số như là mức độ thiệt hại của nạn nhân để điều khiển các Agent
1.4.5 Trinity
Có thể nói Trinity là công cụ nguy hiểm nhất. Nó có khả năng tấn công với hầu hết các kỹ thuật như UDP, SYN và một số dạng flood khác. Tuy nhiên nó còn có thể kết nối internet thông qua mạng Relay Chat (IRC) hoặc AOL's ICQ. Trinity thường sử dụng các cổng 6667 và cũng có thể là 1 chương trình backdoor lắng nghe ở cổng 33270 qua kết nối TCP
1.4.6 Knight
Knight là một cộng cụ hoạt động trên hệ điều hành windows. Knight cung cấp các kỹ thuật tấn công như UDP flood, SYN flood. Và nó có thể tự động update thông qua các giao thức http hoặc ftp. Knight được cài đặt sử dụng Trojan thông qua chương trình backdoor được gọi là Back Oifice. Knight được sử dụng trong mô hình IRC-Based
1.4.7 Kaiten
Kaiten chính là biến thể của Knight. Kaiten hỗ trợ các kỹ thuật tấn công như UDP flood, TCP flood, SYN. Có khả năng giả mạo địa chỉ IP. Kaiten cũng là công cụ được sử dụng trong mô hình IRC-Based
Chương 2 : CÁC CỞ SỞ PHÂN TÍCH PHÁT HIỆN DDOS
2.1 Hệ thống phát hiện DDos hiện nay
Như chúng ta đã thấy, khả năng phát hiện một cuộc tấn công ngay lập tức sẽ ảnh hưởng rất lớn đến quá trình ngăn chặn và làm giảm đến mức thấp nhất tác hại mà một cuộc tấn công DDos gây ra.
Hiện nay các hệ thống phát hiện đang được phát triển và khá công phu. Hầu hết đã phát hiện được các loại tấn công Dos và DDos nhưng khó có thể đạt được độ chính xác cao.
Những hệ thống phát hiện DDos này thường sử dụng rất nhiều phương thức để dò tìm và phát hiện. Thông thường các công cụ này so sánh lưu lượng hiện tại với lưu lượng có thể chấp nhận được. Công nghệ này vẫn còn có một vài thiếu sót. Trước tiên, ngưỡng này thường đặt tĩnh và yêu cầu người sử dụng phải cấu hình để phù hợp với mọi môi trường, tuy nhiên sẽ khó có thể thay đổi thích ứng với môi trường mới. Thứ hai, chỉ có một số ít các ngưỡng được thiết lập vì sự thống kê chi tiết các giao thức không có giá trị cho người sử dụng. Thứ 3, ngưỡng chỉ áp dụng ở mức độ tổng hợp cao. Sự thiếu sót này có thể dẫn tới sự đánh giá sai về tính rõ ràng và tính phủ định của hệ thống phát hiện. Thậm chí một phát hiện sự xâm hại có thể chặn nhầm một địa chỉ hợp lệ.
Do vậy, để hiệu quả một hệ thống phát hiện xâm nhập phải thêm nhiều tính năng để phát hiện và phân biệt một sự tấn công với các hoạt động bình thường.
2.2 Các yêu cầu đối với môt hệ thống phát hiện DDos
2.2.1 Phát hiện nhiều cơ chế
Hiện nay các hình thức tấn công Ddos rất đa dạng và luôn được phát triển không ngừng. Càng ngày càng có nhiều kiểu tấn công mới. Do vậy, một hệ thống phát hiện Ddos thật sự hiệu quả khi phát hiện được hầu hết các kiểu tấn công. Luôn đánh giá được hệ thống mạng khi có những dấu hiệu bất thường, phải cập nhật thường xuyên những kiểu tấn công mới để có biện pháp phát hiện nhanh nhất .
2.2.2 Phản ứng
Khi một cuộc tấn công DDos xảy ra. Bước đầu tiên và cũng là quan trọng nhất là phát hiện chính xác các gói tin tấn công. Hệ thống phòng thủ phải đáp ứng trong thời gian thực, đặc biệt là tốc độ phản ứng phải cao. Tránh trường hợp chặn nhầm gói tin hợp lệ.
2.3 Phân tích phát hiện các cuộc tấn công DDos
2.3.1 Tổng quan về phát hiện các cuộc tấn công DDos
- Phát hiện ở gần nguồn tấn công
Giả sử tổng số lưu lượng để tắt một mạng là V, và lưu lượng một cuộc tấn công DDos là U.Chúng ta có thể dễ dàng phát hiện tấn công tại nạn nhân khi V lớn hơn đáng kể lưu lượng bình thường. Tuy nhiên, số lượng tấn công gần nguồn sẽ không phân biệt được từ một lưu lượng bình thường, tỷ số V/U sẽ rất nhỏ nếu U đủ lớn. Thông thường như các phương án đã đặt ra đó là đánh dấu gói tin và truy tìm ngược lại. Các phương án này thường không có hiệu quả cao khi mà cuộc tấn công diễn ra với quy mô rất lớn. Do vậy việc phát hiện tấn công gần nguồn sẽ tránh được tắc nghẽn và đạt hiệu quả cao nhất.
- Phát hiện tấn công tại mạng của nạn nhân
Như đã nói ở phần trước, việc phát hiện tấn công tại nạn nhân không khó vì lúc đó lưu lượng mạng tại nạn nhân sẽ trở nên rất cao và tất nhiên sẽ dẫn đến tình trạng không thể cung cấp được các dịch vụ. Tuy nhiên, thông thường việc phát hiện và phản ứng lại tại nạn nhân thường muộn và vào lúc cuộc tấn công đang ở mức cao. Nạn nhân lựa chọn tắt server và sau đó liên hệ với các ISP. Các ISP sau khi đã nhận được lời đề nghị của nạn nhân sẽ tiến hành đẩy ngược lại lưu lượng tấn công tại các router. Công việc này thường tốn rất nhiều thời gian. Ví dụ khi nạn nhân phát hiện ra cuộc tấn công, một thông điệp sẽ được gửi đến các upstream router của nạn nhân. Thông điệp bao gồm đích của lưu lượng tấn công, và 1 yêu cầu để lọc lưu lượng tấn công này. Tuy nhiên, việc gửi thông điệp này trong thời gian ngắn nhất có thể là vô cùng quan trọng để ngăn chặn tấn công DDos. Bởi vậy, cần có một cơ chế phát hiện thật nhanh để gửi thông điệp trong giai đoạn tấn công.
2.3.2 Một số thuật toán phát hiện DDos
Thực tế đã chứng minh, khi các cuộc tấn công DDos xảy ra. Lập tức phân tích sẽ thấy được lưu lượng mạng rất khác thường. Do đó hầu hết các thuật toán phân tích phát hiện tấn công DDos hiện nay đều dựa trên tính khác thường của lưu lượng mạng. Một số các công nghệ thống kê được áp dụng để tiến hành phân tích, thống kê những lưu lượng tải làm việc để phát hiện. Từ những kỹ thuật phân tích này, sẽ có những thuật toán phát hiện để đưa ra các tham số hoặc công nghệ thống kê, các mức độ nguy hiểm của cuộc tấn công.
- Thông số kiểm tra: Thông số kiểm tra được dùng để phân loại các thuật toán như số lượng lớn lưu lượng, số địa chỉ IP mới hoặc tỷ lệ các gói tin đến và đi trong mạng.
- Công nghệ thống kê: Sử dụng các thuật toán thống kê để phân tích mạng. Ví dụ như ngưỡng giới han phù hợp, phát hiện điểm thay đổi và phân tích wavelet.
- Mức độ phân tích: Khi phân tích các chi tiết các thông số, các mức độ nguy hiểm sẽ được gán.
Sau đây, tôi sẽ giới thiệu tổng quan về các thuật toán phát hiện DDos hiện nay . Nếu muốn tìm hiểu kỹ hơn về các thuật toán nêu ở dưới thì có thể tham khảo trong [4] phần tài liệu tham khảo.
2.3.2.1 Số lượng lớn lưu lượng
- Thuật toán Adaptive Threshold (ngưỡng giới hạn khả năng đáp ứng)
Thuật toán này nói chung khá đơn giản và dễ hiểu. Thuật toán phát hiện sự không bình thường dựa trên sự vị phạm của một ngưỡng khả năng đáp ứng của lưu lượng mạng trong thời gian gần. Thuật toán đặc biệt có khả năng phát hiện cao nhất khi kẻ tấn công tiến hành một cuôc tấn công TCP SYN. Thuật toán tin tưởng vào việc kiểm tra phép đo lưu lượng có vượt qua một ngưỡng giới hạn cụ thể hay không. Nếu vượt qua, chứng tỏ đã có một cuộc tấn công xảy ra.
- Thuật toán CUSUM (tổng tích lũy)
Thuật toán tổng tích lũy dựa trên giá trị trung bình của một quá trình xử lý thống kê. Sự phát hiện điểm thay đổi cần phải theo dõi trong các khoảng thời gian. Một công thức được xây dựng để theo dõi sự thay đổi này, khi vượt qua một ngưỡng giới hạn chứng tỏ đã xảy ra một cuộc tấn công.
2.3.2.2 Source IP Address Monitoring (theo dõi địa chỉ IP nguồn)
Thuật toán Source IP Address Monitoring (SIM) dựa trên việc theo dõi và đánh giá các địa chỉ IP mới. Thuật toán được chia làm 2 phần. Đó là off-line training và detection and learning. Trong phần off-line training, thuật toán sẽ tiến hành theo dõi, đánh giá phân tích các địa chỉ IP trong khoảng thời gian và đưa các địa chỉ IP vào trong IP address database (IAD). Những địa chỉ trong IAD được gọi là các địa chỉ thường xuyên truy cập. IAD xóa những IP hết hạn để giảm thiểu bộ nhớ cho hệ thống và cập nhật những đia chỉ IP mới. IAD được xây dựng và cập nhật off-line để chắc chắn rằng trong IAD không bao gồm bất cứ địa chỉ tấn công nào. Còn trong phần detection and learning, SIM tiến hành thống kê những lưu lượng đến trong các khoảng thời gian. So khớp các địa chỉ IP đến trong IAD để tìm ra những IP mới. Phân tích những IP mới này, có một hàm để đánh giá các IP mới (sử dụng thuật toán CUSUM). Khi sự thay đổi vượt qua ngưỡng giới hạn chứng tỏ đã có một cuộc tấn công xảy ra.
2.3.2.3 Ratio of Input/Output Traffic (tỷ lệ lưu lượng đến và đi)
Thuật toán dựa trên giả định rằng trong quá trình hoạt động bình thường trên internet, các gói tin theo hướng ra ngoài internet sẽ tỷ lệ thuận với các gói tin theo hướng ngược lại. Nếu tỷ lệ này quá lớn chứng tỏ đã có sự tấn công từ bên ngoài.
Chương 3: XÂY DỰNG HỆ THỐNG PHÁT HIỆN NGĂN CHẶN DDOS TỰ ĐỘNG
Trong chương này tôi sẽ nêu chi tiết về cách xây dựng hệ thống phát hiện DDos. Thuật toán sử dụng trong hệ thống là thuật toán (SIM) được nói ở trên.
3.1 Cơ chế kiểm tra địa chỉ nguồn
Cơ chế kiểm tra địa chỉ nguồn là việc lưu các địa chỉ IP thường xuyên truy cập vào server trong một cơ sở dữ liệu. Khi có một cuộc tấn công xảy ra ta sẽ tiến hành so sánh các địa chỉ IP trong thời gian tấn công với các IP trong cơ sở dữ liệu (IP Address Database) để phát hiện ra các IP mới.
Về cơ bản, cơ chế yêu cầu chúng ta xây dựng quy tắc để phân biệt các IP hợp lệ với các IP tấn công. Công việc này sẽ được tiến hành bằng cách kiểm tra các gói tin đến với các IP trong IAD.
3.1.1 IP Address Database (IAD)
Đầu tiên định nghĩa lưu lượng của một đia chỉ IP là IP flow.
Si={si1, si2,….., sin} là tập hợp các địa chỉ IP hợp lệ truy cập trong ngày i. |Si|=ni.
Fk={f1, f2,…, fm} là tập hợp các địa chỉ IP truy cập từ ngày 1 đến ngày k. |Fk|=m.
A={a1,a2,a3,…,ax} là tập hợp các địa chỉ IP truy cập trong một cuộc tấn công DDos
Như vậy sẽ có một nhóm các địa chỉ IP thường xuyên truy cập một các đều đặn. Khi một cuộc tấn công DDos sử dụng địa chỉ IP bất kì (random IP address), lưu lượng theo dõi trong k ngày như sau:
|S1S2 S3 …Sk| < <<|A|
Hiên nhiên, Fk(S1 S2 S3 ….Sk).
Tiến hành thống kê và xây dựng một ngưỡng giới hạn để quyết định mức độ thường xuyên trong tập F.
Pnormal= |FSj| /|Sj|: tỷ lệ phần trăm của một IP flow bình thường trong ngày j (j>k)
PDDos = |FA|/|A|: tỷ lệ phần trăm của một IP flow tấn công.
Định nghĩa IP address database (IAD) là tập hợp các địa chỉ IP đã xuất hiện thường xuyên trong một khoảng thời gian (có thể là 1 tháng).
Trong IAD, xây dựng 2 quy tắc để quyết định mức độ truy cập thường xuyên của một địa chỉ IP.
+ Thứ nhất: Số ngày nó đã truy cập
p1(d): tập hợp duy nhất các địa chỉ IP đã truy cập tro