« Home « Kết quả tìm kiếm

CẢI TIẾN GIAO THỨC AITF ĐỂ GIẢM TẢI MẠNG

Tóm tắt Xem thử

- Chặn nguồn tấn công..
- Phương pháp đánh dấu gói tin theo xác suất..
- Thuật toán đánh dấu gói tin..
- Xây dựng lại đường đi của tấn công..
- Từ khi xuất hiện đến nay, loại hình tấn công từ chối dịch vụ phân tán (Distributed Denial of Service) luôn là một vấn đề nan giải đối với cộng đồng Internet, và cho đến bây giờ, vẫn chưa có một biện pháp kỹ thuật nào hoàn toàn khắc chế được kiểu tấn công này.
- Với việc quan sát được các thiết bị định tuyến trên internet hiện nay đủ tài nguyên lọc luồng thông tin cần thiết để ngăn chặn các tấn công DDoS, với điều kiện các luông thông tin tấn công bị chặn ngay gần nguồn phát sinh.
- Từ đó AITF đã được đề xuất.Với AITF giúp nạn nhân chặn các luồng tấn công không mong muốn chỉ trong vài mili giây.
- Do tính chất của một cuộc tấn công DoS hay DDoS sẽ là tạo ra các gói tin giả mạo thật nhiều và gửi tới nạn nhân, nên việc đánh dấu gói tin với một xác suất và chỉ nghi một thông tin ánh xạ với địa chỉ IP của router sẽ giúp nạn nhân giảm được băng thông gây nghẽn mạng và vẫn sẽ có thể tìm được đường đi của cuộc tấn công.
- Phần này sẽ là nói cách thức thực hiện cũng như cơ chế để cải tiến cách thức ghi thông tin lên gói tin, và xây dựng lên đường đi của cuộc tấn công..
- Một cuộc tấn công từ chối dịch vụ ( DoS attack ) hoặc cuộc tấn công từ chối dịch vụ phân tán ( DDoS attack) là cố gắng để làm cho nguồn tài nguyên máy tính không còn sẵn cho người sử dụng dự định của nó.
- Mặc dù các phương tiện để thể hiện, động cơ, và mục tiêu của cuộc tấn công DoS có thể khác nhau nó thường bao gồm các nỗ lực của một người hoặc một nhóm người để chặn một trang web internet hay một dịch vụ sẽ bị giảm hiệu quả làm việc hoặc tạm thời bị ngưng trệ.Thủ phạm của cuộc tấn công DoS thông thường nhắm các mục tiêu các trang web hoặc dịch vụ lưu trữ hồ sơ cao cấp trên các máy chủ web như ngân hàng , cổng thanh toán thẻ tiến dụng, và thậm chí root nameserver..
- Nói chung là việc các cuộc tấn công DoS được thực hiện bằng việc ràng buộc các máy tính thiết lập lại, hoặc nó tiêu thụ nguồn tài nguyên để nó không còn khả năng cung cấp dịch vụ của mình nữa, cản trở việc truyền thông liên lạc giữa người dùng và nạn nhân không còn được đầy đủ.
- Một cuộc tấn công từ chối dịch vụ đặc trưng là một nỗ lực rõ ràng của những kẻ tấn công là ngăn chặn người sử dụng hợp pháp bằng cách sử dụng nó..
- Một cuộc tấn công DoS có thể thực hiện bằng một số cách khác nhau như.
- Một cuộc tấn công DoS nhằm mục đích.
- Vậy cuộc tấn công DoS là gì?.
- Tấn công từ chối dịch vụ (DoS): là một quá trình gửi yêu cầu tràn ngập từ một người tấn công tới một hay nhiều server đích.
- Một cuộc tấn công từ chối dịch vụ phân tán ( DDoS) xẩy ra khi nhiều hệ thống bị lụt về băng thông hoặc tài nguyên của hệ thống, thường là một máy chủ web..
- Một hệ thống cũng có thể được thảo hiệp với một trojan, cho phép kẻ tấn công tải về một zombie agents.
- Kẻ tấn công cũng có thể đột nhập vào hệ thống sử dụng công cụ tự động khai thác lỗ hổng trong chương trình lắng nghe các kết nối từ các máy chủ từ xa.
- Đối với cộng đồng Internet thì việc tấn công từ chối dịch vụ phân tán (Distributed Denial of Service) luôn là một vấn đề nan giải, nhưng tấn công từ chối dịch vụ phân tán là gì? Tấn công từ chối dịch vụ phân tán(DDoS) là một kiểu tấn vô cùng nguy hiểm đối với một hệ thống mạng..
- DDoS là kiểu tấn công từ một mạng máy tính cụ thể được thiết kế để tấn công một đích cụ thể nào đó, hay là kẻ tấn công có thể điều khiển các agents (máy bị chiếm quyền điều khiển), và thống nhất tất cả các máy agents đó đông thời sinh ra các gói tin yêu cầu gửi tới đích, với một lượng lớn các gói tin như vậy tấn công hệ thống mạng nhằm ngăn cản những truy xuất tới một dịch vụ, Tấn công DDoS phá huỷ dịch vụ mạng bằng cách làm tràn ngập số lượng kết nối, quá tải server hoặc chương trình chạy trên server, tiêu tốn tài nguyên của server, hoặc ngăn chặn người dùng hợp lệ truy nhập tới các dịch vụ mạng.
- Sơ đồ tấn công DDoS..
- Chương 1: ĐẶT VẤN ĐỀ Hiện nay cộng đồng internet đang phải chứng kiến một tần số đáng kể cũng như sự tàn bạo của việc tấn công đang gia tăng một cách đáng kể.
- Tấn công từ chối dịch vụ phân tán DDOS sẽ luôn là mối đe dọa hàng đầu đến các hệ thống công nghệ thông tin trên thế giới.
- Về mặt kỹ thuật, hầu như chỉ có thể hy vọng tin tặc sử dụng những công cụ đã biết và có hiểu biết kém cỏi về các giao thức để có thể nhận biết và loại trừ các traffic gây nên cuộc tấn công.
- Với cơ chế ngăn chặn các tấn công từ chối dịch vụ có tính phân tán cao do K.Argyraki và D.
- Họ chứng minh các thiết bị định tuyến trên Internet hiện nay có đủ các tài nguyên lọc luồng thông tin cần thiết để ngăn chặn các tấn công DDoS, với điều kiện các luồng thông tin tấn công bị chặn ngay gần nguồn phát sinh.
- Như vậy AITF (Active Internet Traffic Filtering - Lọc luồng thông tin Internet hoạt động) sẽ giúp về vấn đề ngăn chặn việc tấn công DDoS.
- Việc nghiên cứu này đã chứng tỏ rằng khả thi trong thực tại mạng hiện nay cũng như là vấn đề cấp bánh tấn công DDoS.
- AITF có ưu điểm là làm cho việc ngăn chặn cuộc tấn DDoS với hàng triệu luồng tấn công chỉ trong vài mili giây, với lượng tài nguyên được cài đặt trên mỗi router là khoảng vài chục bộ lọc..
- Nhưng việc cài đặt AITF có thể tìm ra được nguồn gốc tấn công DoS và tấn công DDoS nhưng việc này lại làm băng thông của mạng càng ngày càng cạn kiệt tài nguyên và sẽ khiến băng thông mạng sẽ bị trì trệ hơn nếu lượng gói tin đến nhiều, do việc viết thêm đường dẫn khi qua các router vào trong gói tin.
- Với việc làm thế này thì chúng ta sẽ giảm được lượng thông tin cần ghi lên gói tin sẽ được giảm đi rất nhiều nên việc băng thông của mạng sẽ không còn đang lo ngại nữa..
- Trong tình hình hiện nay và nguy cơ rình rập của tấn công DDoS nên việc ngăn chặn nó đang là vấn đề cần được quan tâm và triển khải nên đề tài “ Cải tiến giao thức AITF để giảm tải mạng” được nghiên cứu trong khóa luận này..
- Mô tả về trường hợp của giao thức AITF: Với ANET là một mạng của người tấn công là A và là nơi xuất phát luồng thông tin không mong muốn tới nạn nhân.
- Trong mạng này sẽ có một gateway là Agw đây là router tấn công cũng chính là router gần với A nhất.
- Gateway của nạn nhân sẽ tạm thời chặn lại các dòng lưu lượng không mong muốn này và xác định các router gần với nguồn tấn công nhất – gọi là gateway tấn công ( A​​​​​​gw trong hình 2).
- Sau đó gateway của nạn nhân sẽ thiết lập một kết nối cài đặt với gateway tấn công, nghĩa là sẽ có một thỏa thuật về truyền các gói tin.
- Còn nếu không hoàn thành được việc thiết lập kết nối thì gateway của nạn nhân sẽ yêu cầu một gateway khác gần nhất theo phương pháp “leo thang” để làm gateway tấn công ( gateway X trong hình 2).
- Việc leo thang có thể đệ quy dọc theo con đường bị tấn công cho đến khi một router được hoàn thành việc kết nối.
- Nếu không có router phản ứng nào thì lưu lượng giao thông của cuộc tấn công sẽ bị chặn tại gateway của nạn nhận.
- Tuy nhiên AITF cả hỗ trợ và thúc đẩy việc các router gần nguồn tấn công giúp chặn các luồng thông tin không mong muốn này..
- A là “nguồn tấn công” nghĩa là nút được cho là tạo ra các dòng lưu lượng không mong muốn tới nạn nhân.
- Agw là “gateway tấn công” là chỉ router định tuyến gần nhất với nguồn tấn công tức là gấn nhất với A.
- Ở đây chỉ giả định rằng chỉ nút V là chịu ảnh hưởng của vụ tấn công, tức là nếu đây là một cuộc tấn công làm ngập tràn thì chỉ có phần mạng từ Vgw tới V là tắc nghẽn.
- 2.2 Chặn nguồn tấn công..
- Bỏ bộ lọc tạm thời sau khi đã bắt tay thành công với gateway tấn công.
- Gateway tấn công Agw:.
- Gửi một yêu cầu lọc tới nguồn tấn công A dừng luồng thông tin F trong khoảng thời gian Tlong lớn hơn rất nhiều so với Ttmp phút.
- Nguồn tấn công A sẽ phải dừng trong khoảng thời gian Tlong hoặc là bị ngắt kết nối.
- Khi gateway của nạn nhân Vgw gửi yêu cầu chặn luồng lưu lượng không mong muốn tới gateway tấn công Agw , mặc dù Agw đã chấp nhận nhưng luồng thông tin tới gateway của nạn nhân Vgw vẫn ở mức cao và đến từ Stanford và nó sẽ kết luận sai rằng gateway tấn công là A​gw là không hợp tác, lúc này gateway Agw có thể bị ngắt kết nối tới Vgw hoặc là gateway của nạn nhân sẽ liên lạc với gateway tấn công mức trên để chặn luồng thông tin không mong muốn đến từ gateway Agw ở Stanford..
- R = hash key D · Khóa là khóa cục bộ · D gói tin đích..
- Với một nghiên cứu về cách đánh dấu gói tin được đề cập của Ngô Hải Anh – Nguyễn Văn Tam ( Viện công nghệ thông tin – Viện KH & CN Việt Nam) .Bằng việc cài đặt một xắc suất trên router mà gói tin sẽ đi qua có được đánh dấu hay không, với việc đặt một xắc suất này thì gói tin sẽ chỉ phải lưu đúng một nơi bất kỳ trên đường mà gói tin đi qua, vì bản chất của việc tấn công DDoS là sẽ phải gửi nhiều các gói tin giả mạo thật nhiều thì sẽ thành công.
- Để lần ngược lại nơi bắt đầu tấn công, có thể lấy thông tin từ các router trên đường luồng dữ liệu tấn công “đi qua”, khi đó sẽ cho phép tại đích đến ( chính là nạn nhân) có thêm thông tin để dựng lại đường đi của luồng tấn công, qua đó có thể thực sự tìm ra nguồn gốc tấn công..
- 2.5 Phương pháp đánh dấu gói tin theo xác suất..
- Một xác suất p được định nghĩa tại tất cả các router, mỗi gói tin sẽ được đánh dấu với thông tin thêm bằng cách sử dụng giá trị của p.
- Đường đi của tấn công sẽ được xây dựng lại bằng cách theo dõi ngược các gói tin IP đã được đánh dấu này.
- Thực tế cho thấy hầu hết đường đi trên Internet của các gói tin đều không quá 30 bước truyền.
- Do đó việc sử dụng 5 bít ( tương ứng 32 bước truyền) để lưu thông tin khoảng cách của gói tin đến nơi xuất phát của gói tin.
- Còn 11 bits còn lại ( có thể cung cấp giá trị có thể ) sẽ được sử dụng cho việc đánh dấu gói tin qua router.
- với hàm băm này chúng ta sẽ ánh xạ một địa chỉ IP của router sẽ được đánh dấu trên gói tin với 11 bits giá trị đánh dấu.
- Giả sử độ dài đường đi của một cuộc tấn công là k.
- Gọi αd là xác suất mà nạn nhân nhận được một gói tin đã đánh dấu bởi một router cách d bước truyền từ kẻ tấn công.
- Do đó ta thấy rằng xác suất của việc nhận một gói tin đã được đánh dấu bơi bất kỳ router nào dọc đường đi của tấn công sẽ phụ thuộc vào độ dài của đường đi chứ không phụ vị trí của router.
- 2.6 Thuật toán đánh dấu gói tin.
- Một router dọc theo đường đi của một gói tin sẽ đọc giá trị khoảng cách trong trường IP Identification.
- Giá trị khoảng cách trong trường IP Identification khi đó sẽ tăng thêm và gói tin sẽ được định tuyến.
- Kể cả trường hợp quyết định không đánh dấu gói tin nhưng nó vẫn luôn tăng giá trị khoảng cách trong trường IP Identification, và gói tin vẫn được định tuyến..
- Thuật toán đánh dấu gói tin như sau: 2.7 Xây dựng lại đường đi của tấn công.
- Để xây dựng lại đường đi của một gói tin và xác định nguồn gốc của tấn công, nạn nhân cần một bản đồ các router.
- Nạn nhân sẽ so khớp với các dấu của gói tin với các router trên bản đồ, đi qua đó có thể xây dựng lại được đường đi của gói tin của kẻ tấn công.
- Trong suốt quá trìn diễn ra tấn công DoS, nạn nhân sẽ nhận một lượng lớn các dấu từ các router.
- Trước khi xây dựng lại đường đi dựa trên các dấu này, chúng ta cần phân nhóm các dấu dựa trên độ dài đường đi của tấn công.
- Giả sử có n kẻ tấn công ( tấn công từ chối dịch vụ phân tán) ở những khoảng cách khác nhau so với nạn nhân.
- Trong trường hợp này, nạn nhân sẽ có các tập hợp khác nhau các dấu, mỗi tập hợp sẽ chứa các dấu từ các kẻ tấn công có cùng khoảng cách đến nạn nhân.
- Ký hiệu số kẻ tấn công tai khoảng cách k bước truyền là nk.
- k Bây giờ ta sẽ xem xét thuật toán xây dựng lại đường đi của tấn công.
- Đồ thị G được duyệt qua bởi mỗi tập các gói tin có cùng giá trị trường khoảng cách ( cho mỗi tập k, k µ).
- Bắt đầu tại điểm gốc của đường tấn công là nạn nhân.
- Các dấu của các router mà đã so khớp sẽ được thêm vào đồ thị tấn công.
- Đường đi của tấn công sẽ được chưa trong Sd, với 0 ≤ d ≤ k..
- Với một cuộc tấn công DoS hay DDoS mà xảy ra thì lượng gói tin sẽ đến nạn nhân sẽ rất nhiều nên việc tất cả router trên đường đi của gói tin sẽ có khả năng được đánh dấu hết.
- Nên việc dựng lại đồ thị và dò ra được đường đi của gói tin xuất phát từ nơi tấn công là có thể.
- Khi chúng ta đã biết được đường đi của gói tin rồi thì phần việc còn lại sẽ là phần việc chính của AITF đó là gateway tấn công sẽ phải được yêu cầu chặn luồng thông tin không mong muốn này từ nơi xuất phát và có thể ngắt kết nối với nơi tấn công.
- Với eth1 là tham số chúng ta muốn bắt các gói tin trên card mạng eth1.
- Với các thông tin của gói tin nhận đươc là:.
- Thông tin gói tin đến.
- Với thông tin ở trên ta có địa chỉ đích đến là và nguồn là với khoảng cách của gói tin cách nơi xuất phát của gói tin được ghi trên gói tin là 8.
- Sau khi chúng ta phân tích và sửa lại gói tin trước khi chuyển đến một địa chỉ khác thì gói tin được đánh dấu với thông tin như sau:.
- Thông tin gói tin đi..
- Với thông tin trên là gói tin đã được chỉnh sửa thì gói tin đã được thay đổi trường IP Identification với khoảng cách là 9 tăng một bước truyền so với gói tin đến.
- Với khóa luận này cũng đã đề cập đến một vấn đề là tấn công từ chối dịch vụ ( DoS) và tấn công từ chối dịch vụ phân tán ( DDoS), giúp việc tìm hiểu cũng như là cách phòng chống các cuộc tấn công.
- Với giải pháp lọc luồng thông tin trên mạng, AITF thì đã góp phần chống tấn công từ chối dịch vụ.
- AITF làm cho nạn nhân có thể tự nhận ra cuộc tấn công và ngăn chặn một luồng thông tin không mong muốn xâm nhập tới chính nó.
- Với việc cải tiến giao thức mạng AITF này đã làm mở rộng một bước phát triển trong việc ngăn chặn các cuộc tấn công từ chối dịch vụ và tấn công từ chối dịch vụ phân tán.
- Khóa luận này tuy đã có những thành công bước đầu về chống tấn công từ chối dịch vụ.
- Nhưng nó vẫn còn gặp một số yếu điểm là phải cần một số lượng gói tin lớn để cho việc tìm ra nguồn tấn công.
- Với những bước đầu với khóa luận thì trong tương lai tôi sẽ cố gắng phát triển cho việc tìm ra đường đi và nguồn gốc của cuộc tấn công là sớm và với một mục đích các cuộc tấn công từ chối dịch vụ không còn đáng lo ngại gì nữa trong cộng đồng internet.
- Kỹ thuật phát hiện nguồn gốc tấn công từ chối dịch vụ - Ngô Hải Anh – Nguyên Văn Tam..
- m = h( địa chỉ IP) for each gói tin read d= giá trị của trường khoảng cách sinh ra một số ngẫu nhiên x � QUOTE