- Đào Việt Hùng TÊN ĐỀ TÀI LUẬN VĂN Nghiên cứu an ninh mạng sử dụng kỹ thuật điều khiển bằng phần mềm SDN Chuyên ngành: Kỹ thuật truyền thông LUẬN VĂN THẠC SĨ KỸ THUẬT KỸ THUẬT TRUYỀN THÔNG NGƯỜI HƯỚNG DẪN KHOA HỌC TS. - Trương Thu Hương Hà Nội – Năm 2015 Luận văn thạc sĩ Nghiên cứu an ninh mạng sử dụng kỹ thuật điều khiển bằng phần mềm SDN 1 LỜI CAM ĐOAN Tôi xin cam đoan luận văn này là công trình nghiên cứu thực sự của cá nhân tôi, được thực hiện dưới sự hướng dẫn khoa học của TS. - Các số liệu, kết quả nghiên cứu trong luận văn này là trung thực. - Tôi xin chịu trách nhiệm về nghiên cứu của mình Học viên Đào Việt Hùng Luận văn thạc sĩ Nghiên cứu an ninh mạng sử dụng kỹ thuật điều khiển bằng phần mềm SDN 2 MỤC LỤC LỜI CAM ĐOAN. - GIỚI THIỆU VỀ CÔNG NGHỆ MẠNG LẬP TRÌNH ĐƯỢC - SDN. - 11 1.1 Mạng lập trình được (SDN. - 11 1.1.2 Kiến trúc SDN. - THỰC TRẠNG HỆ THỐNG MẠNG CỦA NHÀ CUNG CẤP DỊCH VỤ INTERNET (ISP) TẠI VIỆT NAM. - 23 2.1 Sơ đồ hệ thống mạng của VDC Online. - 28 2.5 Đề xuất sơ đồ hệ thống cho ISP. - XÂY DỰNG HỆ THỐNG THÍ NGHIỆM. - 35 3.1 Sơ đồ hệ thống thí nghiệm. - 35 3.2 Bộ điều khiển POX. - 36 Luận văn thạc sĩ Nghiên cứu an ninh mạng sử dụng kỹ thuật điều khiển bằng phần mềm SDN 3 3.2.1 Mục đích và phương thức hoạt động. - 40 3.2.5 Cài đặt và sử dụng. - 41 3.3.2 Cài đặt và sử dụng. - 41 3.4 Cấu hình hệ thống thử nghiệm. - 48 4.1.2 Công cụ sử dụng. - 51 4.2.1 Giả lập hệ thống hoạt động tốt. - 55 4.3.2 Hướng phát triển hệ thống. - 59 Luận văn thạc sĩ Nghiên cứu an ninh mạng sử dụng kỹ thuật điều khiển bằng phần mềm SDN 4 DANH SÁCH HÌNH VẼ Hình 1.1 Kiến trúc của SDN. - 12 Hình 1.2 Cấu trúc Switch truyền thống. - 14 Hình 1.3 Cấu trúc Openflow Switch. - 15 Hình 1.4 Kiến trúc Openflow. - 16 Hình 1.5 Các bản tin sử dụng để thống kê và gửi lệnh từ POX xuống OpenvSwitch. - 16 Hình 1.6 Lưu đồ thuật toán tổng quan của trình ứng dụng trên Controller. - 18 Hình 1.7 Cấu trúc bàn tin StatisticRequest-Flow. - 19 Hình 1.8 Cấu trúc bản tin StatisticResponse – Flow. - 20 Hình 1.9 Cấu trúc trường match trong bản tin StatisticResponse. - 21 Hình 1.10 Cấu trúc bản tin FlowMod. - 21 Hình 2.1 Sơ đồ tổng quát hệ thống mạng của VDC Online. - 23 Hình 2.2 Giám sát băng thông hệ thống bằng Cacti (Nguồn: [18. - 25 Hình 2.3 Giám sát trạng thái hệ thống bằng Nagios (nguồn: Viettel IDC. - 26 Hình 2.4 Tấn công vào băng thông (nguồn: VDC Online. - 27 Hình 2.5 Tấn công vào khả năng xử lý của thiết bị (Nguồn: VDC Online. - 27 Hình 2.6 Sơ đồ tấn công DDOS. - 29 Hình 2.7 Biểu đồ băng thông có tấn công DDOS thực tế tại 1 ISP ở Việt Nam (Nguồn: VDC Online. - 30 Hình 2.8 Kết quả bắt gói tin khi xảy ra tấn công. - 31 Hình 2.9 Sơ đồ hệ thống đề xuất cho ISP. - 32 Hình 3.1 Sơ đồ khối hệ thống thử nghiệm. - 35 Hình 3.2 Lưu đồ thuật toán của khôi chức năng GetStats. - 38 Hình 3.3 Lưu đồ thuật toán của khối chức năng Bandwidth Calculation. - 39 Hình 3.4 Lưu đồ thuật toán của khối chức năng Flow Modification. - 40 Hình 3.2 Flow-table trong OpenvSwitch. - 47 Hình 4.1 Mô hình thí nghiệm phân tích dữ liệu chạy qua hệ thống. - 48 Hình 4.2 Sơ đồ bố trí thí nghiệm thực tế. - 49 Hình 4.3 Giao diện Iperf. - 50 Hình 4.4 Download từ server với tốc độ 10Mbps. - 51 Hình 4.5 Giao diện quản trị khi chưa có tấn công. - 52 Hình 4.6 Bắn luồng dữ liệu băng thông 200Mbps vào server. - 53 Hình 4.7 Giao diện quản trị khi bắt đầu có tấn công. - 53 Hình 4.9 Giao diện quản trị hệ thống sau khi đã xử lý tấn công. - 54 DANH SÁCH BẢNG BIỂU Bảng 1.1 Các loại thông tin điều khiển của bản tin FlowMod. - 22 Luận văn thạc sĩ Nghiên cứu an ninh mạng sử dụng kỹ thuật điều khiển bằng phần mềm SDN 5 DANH SÁCH THUẬT NGỮ VÀ CÁC TỪ VIẾT TẮT Từ viết tắt Thuật ngữ tiếng anh Ý nghĩa SDN Software Defined Network Mạng lập trình được Open Flow Luồng mở FPGA Field-Programmable Gate Arrays Mảng cổng lập trình được dạng trường IP Internet Protocol Giao thức liên mạng MAC Media Access Control Điều khiển đa truy nhập SSL Secure Sockets Layer Giao thức bảo mật cá mã hóa thông tin GUI Graphical User Interface Giao diện người dùng AP Access Point Điểm truy cập không dây PC Personal Computer Máy tính cá nhân VIP Very Important Person Người quan trọng Controller Bộ điều khiển Server, Client Máy chủ, máy trạm Control Path Mặt điều khiển Data Path Mặt dữ liệu StatsRequest Bản tin yêu cầu thông số StatsResponse Bản tin trả lời thông số FlowMod Bản tin chỉnh sửa ISP Internet Service Provider Nhà mạng viễn thông Switch Thiết bị chuyển mạch Router Thiết bị định tuyến Control Plane Mặt phẳng điều khiển Data Plane Mặt phẳng dữ liệu Virtulization Ảo hóa BGP Border Gateway Protocol Giao thức định tuyến liên vùng MRTG Multi Router Traffic Grapher Công cụ giám sát mạng bằng biểu đồ DOS Denial of Service Từ chối dịch vụ DDOS Distributed Denial of Service Từ chối dịch vụ phân tán Ae aggregated ethernet Cổng mạng tổng hợp Luận văn thạc sĩ Nghiên cứu an ninh mạng sử dụng kỹ thuật điều khiển bằng phần mềm SDN 6 Traffic Thông lượng SSDP Simple Service Discovery Protocol Giao thức phát hiện dịch vụ đơn giản Core Lõi Distribute Phân tán Access Truy nhập ARP Address Resolution Protocol Giao thức phân giải địa chỉ CAM Content Addressable Memory Bộ nhớ địa chỉ nội dung ACL Access Control List Danh sách điều khiển truy cập VLAN Virtual Local Area Network Mạng riêng ảo TCP Transmission Control Protocol Giao thức điều khiển vận chuyển UDP User Datagram Protocol Giao thức dữ liệu ngắn người dùng. - RAM Random Acccess Memory Bộ nhớ truy cập ngẫu nhiên Luận văn thạc sĩ Nghiên cứu an ninh mạng sử dụng kỹ thuật điều khiển bằng phần mềm SDN 7 LỜI NÓI ĐẦU Trong thời đại bùng nổ về thông tin hiện nay, ta có thể bắt gặp tại bất cứ doanh nghiệp lớn nhỏ nào một hệ thống truyền tin với đầy đủ các yếu tố cơ bản cấu thành một hệ thống mạng. - Đặc biệt, tại các nhà cung cấp, hệ thống mạng có thể lên tới hàng trăm, hàng nghìn thiết bị với các mô hình kết nối từ đơn giản tới phức tạp. - Nhưng cho dù hệ thống có phức tạp tới đâu, thì mục đích cuối cùng vẫn là đảm bảo chức năng truyền tin nhanh nhất và an toàn nhất. - Các nhà nghiên cứu đã đưa ra một khái niệm hoàn toàn mới về lĩnh vực điều khiển mạng, đó là SDN – Software Define Network – Mạng lập trình được. - Mạng lập trình được hay SDN, là một kiến trúc mạng mới, mà ở đó, các thiết bị chuyển mạch (Switch, Router. - sẽ được tách ra làm hai phần riêng biệt: Mặt phẳng điều khiển (Control Plane) và Mặt phẳng dữ liệu (Data Plane). - Control Plane được triển khai trên các server bên ngoài, chịu trách nhiệm điều khiển việc chuyển tiếp gói tin cũng như các chức năng tích hợp khác. - SDN sử dụng giao thức Openflow để giao tiếp giữa Control Plane và Data Plane. - Thực tế hiện nay SDN đã được triển khai tại rất nhiều phòng Lab ở các trường đại học, các trung tâm nghiên cứu do các ưu thế mà Luận văn thạc sĩ Nghiên cứu an ninh mạng sử dụng kỹ thuật điều khiển bằng phần mềm SDN 8 nó đem lại. - Các tập đoàn lớn như Google, HP đã bắt đầu sử dụng kiến trúc SDN trong mạng lõi của mình. - Việc phân tích và phát hiện các sự cố tấn công là vấn đề quan trọng cũng như then chốt của mỗi ISP nhằm đảm bảo toàn bộ hệ thống được vận hảnh an toàn và ổn định nhất cũng như giảm thiểu rủi ro cho khách hàng để từ đó có những phương án phòng tránh hiệu quả nhất. - Chính vì vậy, em đã lựa chọn đề tài luận văn thạc sỹ viết về vấn đề nóng bỏng nhất hiện nay với cách xử lý hoàn toàn mới (ít nhất là mới tại Việt Nam): “Nghiên cứu an ninh mạng sử dụng kỹ thuật điều khiển bằng phần mềm SDN”. - Em xin chân thành cảm ơn Tiến sỹ Trương Thu Hương đã trực tiếp hướng dẫn em thực hiện thành công đề tài nghiên cứu này. - Xin cảm ơn các anh, em trong Future Network Lab 618 thư viện Tạ Quang Bửu đã hỗ trợ tôi rất nhiều trong việc xây dựng hệ thống test cũng như các công cụ mô phỏng thí nghiệm. - Luận văn thạc sĩ Nghiên cứu an ninh mạng sử dụng kỹ thuật điều khiển bằng phần mềm SDN 9 Cuối cùng, xin gửi lời cảm ơn sâu sắc nhất tới toàn thể gia đình đã là nền tảng, là những người luôn theo sát, chăm sóc động viên cho tôi suốt quá trình học tập cũng như thực hiện đề tài này. - Sau đây là mục tiêu và bố cục của luận văn: Mục tiêu. - Nghiên cứu về công nghệ SDN sử dụng OpenFlow, các vấn đề về kỹ thuật và ứng dụng trong hệ thống mạng Ứng dụng kỹ thuật SDN sử dụng OpenFlow vào việc bảo mật trong mô hình mạng của ISP, cụ thể là phân tích dữ liệu tấn công và đưa ra cảnh báo phát hiện cho người quản trị. - Bố cục luận văn: Luận văn được chia thành 4 chương. - Chương 1: Giới thiệu về công nghệ mạng lập trình được – SDN Chương này sẽ cung cấp các kiến thức cơ bản về công nghệ mạng lập trình được (SDN), giao thức Openflow và các bản tin trao đổi trong hệ thống mạng sử dụng OpenFlow. - Chương 2: Thực trạng hệ thống mạng của nhà cung cấp dịch vụ Internet (ISP) tại Việt Nam Chương này đưa ra thực trạng về hệ thống mạng chung của các nhà cung cấp dịch vụ Internet tại Việt Nam với đại diện là VDC Online [21], phân tích các trường hợp tấn công DDOS về băng thông thực tế đã gặp phải. - Chương cũng đưa ra mô hình đề xuất triển khai OpenFlow Switch kết hợp với hệ thống hiện tại tại VDC Online. - Chương 3: Xây dựng hệ thống thí nghiệm Chương này sẽ đưa ra sơ đồ hệ thống mạng thử nghiệm dùng OpenFlow đã được xây dựng tại phòng thí nghiệm Future Internet tại Đại học Bách Khoa Hà Nội, các thành phần, các khối chức năng của hệ thống. - Luận văn thạc sĩ Nghiên cứu an ninh mạng sử dụng kỹ thuật điều khiển bằng phần mềm SDN 10 Chương 4: Kịch bản thí nghiệm, đánh giá kết quả Trong chương này, ta sẽ xây dựng các kịch bản thí nghiệm mô phỏng quá trình tân công DDOS một server, các thông tin được hệ thống xuất ra màn hình quản trị trước, trong và sau tấn công. - Hà Nội, tháng 9 năm 2015 Học viên Đào Việt Hùng Luận văn thạc sĩ Nghiên cứu an ninh mạng sử dụng kỹ thuật điều khiển bằng phần mềm SDN 11 CHƯƠNG 1. - GIỚI THIỆU VỀ CÔNG NGHỆ MẠNG LẬP TRÌNH ĐƯỢC - SDN Chương này sẽ cung cấp các kiến thức cơ bản về công nghệ mạng lập trình được (SDN), giao thức Openflow và các bản tin trao đổi trong hệ thống mạng sử dụng OpenFlow. - Các kiến trúc mạng hiện nay không cho phép can thiệp vào hoạt động của các thiết bị mạng, hoạt động của các thiết bị này bị phụ thuộc hoàn toàn vào nhà sản xuất quy định. - Chính vì thế, rất khó cho việc thay thế một giao thức cũ bằng các giao thức mới và thử nghiệm chúng trên các thiết bị thật. - SDN thì ngược lại, nó cho phép người lập trình có thể can thiệp vào hoạt động của thiết bị và qua đó điều khiển thiết bị hoạt động theo ý muốn. - Việc này dễ dàng cho việc nghiên cứu cũng như triển khai các công nghệ mới vào trong mạng mà không cần thay đổi về phần cứng. - Luận văn thạc sĩ Nghiên cứu an ninh mạng sử dụng kỹ thuật điều khiển bằng phần mềm SDN 12 Lớp ứng dụng (Application layer): là các ứng dụng được triển khai trên mạng, được kết nối tới lớp điều khiển thông qua các API, cung cấp khả năng cho phép lớp ứng dụng lập trình lại (cấu hình lại) mạng (điều chỉnh các tham số trễ, băng thông, định tuyến. - thông qua lớp điều khiển. - Hình 1.1 Kiến trúc của SDN Lớp điều khiển (Control layer): thực hiện việc điều khiển cấu hình mạng theo các yêu cầu từ lớp ứng dụng và khả năng của mạng. - Các bộ điều khiển này có thể là các phần mềm được lập trình. - Để điều khiển lớp cơ sở hạ tầng, lớp điều khiển sử dụng các cơ chế như OpenFlow, ONOS, 176ForCES, PCEP, NETCONF, SNMP hoặc thông qua các cơ chế riêng biệt. - Lớp cơ sở hạ tầng (Infrastructure layer): là các thiết bị mạng thực tế (vật lý hay ảo hóa) thực hiện việc chuyển tiếp gói tin theo sự điều khiển của lớp điểu khiển. - Một Luận văn thạc sĩ Nghiên cứu an ninh mạng sử dụng kỹ thuật điều khiển bằng phần mềm SDN 13 thiết bị mạng có thể hoạt động theo sự điều khiển của nhiều bộ điều khiển khác nhau, điều này giúp tăng cường khả năng ảo hóa của mạng. - 1.1.3 Khả năng, lợi ích của SDN Khả năng Lớp điều khiển có thể được lập trình trực tiếp. - Mạng được điều chỉnh, thay đổi một cách nhanh chóng thông qua việc thay đổi trên lớp điều khiển. - Mạng được quản lý tập trung do phần điều khiển được tập trung trên lớp điều khiển. - Mở ra cơ hội cho các nhà cung cấp thiết bị trung gian khi phần điều khiển được tách rời khỏi phần cứng. - Luận văn thạc sĩ Nghiên cứu an ninh mạng sử dụng kỹ thuật điều khiển bằng phần mềm SDN 14 1.2 Giao thức OpenFlow 1.2.1 Tổng quan Openflow [2] dựa trên nguyên tắc Ethernet Switch, với một Flow-table bên trong, và giao diện chuẩn hóa để thêm, xóa các flow-entries trong Flow-table. - Openflow đang được sử dụng rộng rãi bởi nhiều nhà nghiên cứu, các viện nghiên cứu trên thế giới do nó có tính thực tế dựa trên các ưu điểm: cho phép các nhà nghiên cứu chạy các thử nghiệm trên các switch khác nhau theo cùng một cách như nhau, không cần cấu hình triển khai theo cấu hình từng loại switch, hoạt động ở line-rate cùng với mật độ port lớn, hơn nữa các nhà sản xuất vẫn có thể giữ bí mật về thiết kế các switch của họ. - Ngoài việc cho phép các nhà nghiên cứu đánh giá các ý tưởng của họ trong môi trường lưu lượng thế giới thực, Openflow còn là một công cụ hữu hiệu cho triển khai các testbed quy mô rộng như GENI (Global Environment for Network Innovation, network/testbed gồm các tài nguyên chung cho các nhà nghiên cứu, chia sẻ tài nguyên bằng phương pháp ảo hóa- virtulization). - Sự khác nhau trong cấu trúc của Switch truyền thống và Switch hỗ trợ công nghệ Openflow: Hình 1.2 Cấu trúc Switch truyền thống Luận văn thạc sĩ Nghiên cứu an ninh mạng sử dụng kỹ thuật điều khiển bằng phần mềm SDN 15 Hình 1.3 Cấu trúc Openflow Switch Trong SDN, Openflow được dùng để tách biệt hẳn phần điều khiển ra khỏi phần chuyển tiếp và cung cấp khả năng lập trình cho lớp điều khiển, OpenFlow là tiêu chuẩn đầu tiên, cung cấp khả năng truyền thông giữa các giao diện của lớp điều khiển và lớp chuyển tiếp trong kiến trúc SDN. - OpenFlow cho phép truy cập trực tiếp và điều khiển mặt phẳng chuyển tiếp của các thiết bị mạng như switch và router, cả thiết bị vật lý và thiết bị ảo, do đó giúp di chuyển phần điều khiển mạng ra khỏi các thiết bị chuyển mạch thực tế tới phần mềm điều khiển trung tâm. - 1.2.2 Kiến trúc Openflow Một thiết bị OpenFlow bao gồm ít nhất 3 thành phần được mô tả như trong hình 1.4: Flow Table: một liên kết hành động với mỗi luồng, giúp thiết bị xử lý các luồng thế nào, Secure Channel: kênh kết nối thiết bị tới bộ điều khiển (controller), cho phép các lệnh và các gói tin được gửi giữa bộ điều khiển và thiết bị, OpenFlow Protocol: giao thức cung cấp phương thức tiêu chuẩn và mở cho một bộ điều khiển truyền thông với thiết bị.
Xem thử không khả dụng, vui lòng xem tại trang nguồn hoặc xem
Tóm tắt