Luận Văn Phòng chống tấn công từ chối dịch vụ phân tán vào các website

TÓM TẮT
Phòng chống tấn công từ chối dịch vụ, đặc biệt là các cuộc tấn công từ chối dịch vụ phân tán vào các Website vẫn đang là đề tài nhận được rất nhiều quan tâm của các nhà nghiên cứu. Bên cạnh những khó khăn do cơ sở hạ tầng mạng còn yếu kém, sự phát triển không ngừng của các công cụ và phương pháp tấn công khiến cho việc phòng và chống tấn công từ chối dịch vụ trở thành một vấn đề rất nan giải. Khóa luận này sẽ trình bày về một phương pháp phòng chống tấn công từ chối dịch vụ hiệu quả bằng cách sử dụng một kiến trúc mạng bao phủ để bảo vệ Website. Trong kiến trúc này, một nhóm các SOAP, secure overlay Access Point, sẽ thực hiện chức năng kiểm tra và phân biệt người truy cập với các chương trình độc hại của những kẻ tấn công, để đưa yêu cầu của người dùng hợp lệ đến các node bí mật trong mạng bao phủ bằng kết nối SSL thông qua mạng đó. Sau đó các node bí mật sẽ chuyển tiếp yêu cầu người dùng, qua một vùng lọc, đến với Server đích. Việc dùng các bộ lọc mạnh để lọc các yêu cầu độc hại gửi trực tiếp đến Server đích, chỉ cho phép các node bí mật được truy cập, cùng với việc sử dụng mạng bao phủ để che giấu các node bí mật, và nhóm các SOAP trong mạng bao phủ có thể bị tấn công để sẵn sàng được thay thế bằng các SOAP khác, giúp cho Website được bảo vệ và hạn chế tối đa tác động của các cuộc tấn công. Tuy vậy kiến trúc tỏ ra bất lực khi một hoặc một số các node trong mạng bao phủ bị chiếm dụng trở thành node gây hại và tấn công mạng. Khóa luận đã thực hiện các cải tiến, để có thể phát hiện tình huống node gây hại tấn công, và tự động chuyển hướng truy vấn để tránh khỏi sự tấn công gây hại. Sau khi xây dựng một kịch bản tấn công, kiến trúc cải tiến đã được kiểm tra cho thấy kết quả rất khả quan.
Từ khóa: Denial of Service, overlay node, Graphic Turing Test











MỤC LỤC
LỜI CẢM ƠN i
TÓM TẮT ii
MỤC LỤC iii
MỞ ĐẦU 1
Chương 1: CÁC CÁCH THỨC TẤN CÔNG TỪ CHỐI DỊCH VỤ 3
1.1 Thiết lập nên mạng Agent . 3
1.1.1 Tìm kiếm các máy dễ bị tổn thương . 3
1.1.2 Đột nhập vào máy dễ bị tổn thương . 3
1.1.3 Phương pháp lây truyền 4
1.2 Điều khiển mạng lưới máy Agent . 5
1.2.1 Gửi lệnh trực tiếp 5
1.2.2 Gửi lệnh gián tiếp 5
1.2.3 Unwitting Agent 6
1.2.4 Thực hiện tấn công 7
1.3 Các cách thức tấn công từ chối dịch vụ 8
1.3.1 Khai thác các điểm yếu của mục tiêu . 8
1.3.2 Tấn công vào giao thức 8
1.3.3 Tấn công vào Middleware . 10
1.3.4 Tấn công vào ứng dụng 10
1.3.5 Tấn công vào tài nguyên 11
1.3.6 Pure Flooding . 11
1.4 IP Spoofing 12
1.5 Xu hướng của DoS 13
Chương 2: CÁC BIỆN PHÁP PHÒNG CHỐNG TRUYỀN THỐNG 14
2.1 Biện pháp pushback . 14
2.2 Biện pháp Traceback . 15
2.3 Biện pháp D-WARD 18
2.4 Biện pháp NetBouncer 19
2.5 Biện pháp “Proof of Work” 20
2.6 Biện pháp DefCOM 21
2.7 Biện pháp COSSACK . 22
2.8 Biện pháp Pi 23
2.9 Biện pháp SIFF 24
2.10 Biện pháp lọc đếm chặng HCF . 25
Chương 3: SOS VÀ WEBSOS . 27
3.1 Giao thức Chord . 27
3.2 Kiến trúc SOS 29
3.3 Kiến trúc WebSOS . 31
3.3.1 Giải pháp đề xuất 31
3.3.2 Kiến trúc của WebSOS . 31
3.3.3 Cơ chế của WebSOS . 32
3.3.3.1 Cơ chế chung 32
3.3.3.2 Cơ chế định tuyến 34
3.3.4 Cơ chế bảo vệ 34
3.3.5 Đánh giá ưu, nhược điểm của kiến trúc WebSOS 36
Chương 4: THỰC NGHIỆM, CẢI TIẾN VÀ KẾT QUẢ . 37
4.1 Môi trường thực nghiệm 37
4.2 Cài đặt kiến trúc WebSOS . 37
4.3 Kiểm tra độ trễ của các kết nối . 38
4.4 Đề xuất cải tiến . 39
4.4.1 Vấn đề về mạng bao phủ của WebSOS . 39
4.4.2 Đề xuất cải tiến 40
4.4.3 Thực thi đề xuất . 42
4.4.3.1 Kịch bản thử nghiệm . 42
4.3.3.2 Kết quả thử nghiệm 43
4.3.3.2.1 Với chương trình gốc 43
4.3.3.2.2 Với chương trình cải tiến . 44
4.4.4 Đánh giá hiệu năng của chương trình cải tiến . 46
Chương 5: KẾT LUẬN . 50
5.1 Các kết quả đã đạt được 50
5.2 Các kết quả hướng tới 50
TÀI LIỆU THAM KHẢO . 52​
TÀI LIỆU THAM KHẢO
[1] A. C. Snoeren, C. Partridge, L. A. Sanchez, C. E. Jones, F. Tchakountio, S. T. Kent, and W. T. Strayer, "Hash-Based IP Traceback," Proceedings of ACM SIGCOMM 2001, August 2001, pp. 3–14
[2] A. Yaar, A. Perrig, and D. Song, "Pi: A Path Identification Mechanism to Defend Against DDoS Attacks," Proceedings of the IEEE Symposium on Security and Privacy, May 2003, pp. 93–107.
[3] A. Yaar, A. Perrig, and D. Song, "SIFF: a stateless Internet flow filter to mitigate DDoS flooding attacks," Proceedings of the IEEE Symposium on Security and Privacy, May 2004, pp. 130–143.
[4] Angelos D. Keromytis, Vishal Misra, Dan Rubenstein, SOS: Secure Overlay Services, ACM SIGCOMM 2002.
[5] Angelos D. Keromytis, Vishal Misra, Dan Rubenstein, SOS: An Architecture For Mitigating DDoS Attacks, IEEE Journal on Selected Areas of Communications (JSAC), 2003, pages 176-188.
[6] Angelos Stavrou, Debra L. Cook, William G. Morein, Angelos D. Keromytis, Vishal Misra, Dan Rubenstein; WebSOS: An Overlay-based System For Protecting Web Servers From Denial of Service Attacks; Computer Networks, Volume 48, Issue 5 (August 2005), pages 781 – 807.
[7] C. Jin, H. Wang, and K. G. Shin, "Hop-Count Filtering: An Effective Defense Against Spoofed DDoS Traffic," Proceedings of the 10th ACM Conference on Computer and Communication Security, ACM Press, October 2003, pp 30–41.
[8] C. Papadopoulos, R. Lindell, J. Mehringer, A. Hussain, and R. Govindan, "Cossack: Coordinated Suppression of Simultaneous Attacks," Proceedings of 3rd DARPA Information Survivability Conference and Exposition (DISCEX 2003), vol. 2, April 2003, pp. 94–96.
[9] D. Farinacci, T. Li, S. Hanks, D. Meyer, P. Traina, Generic Routing Encapsulation (GRE), RFC 2784, IETF (March 2000). URL http://www.rfc-editor.org/rfc/rfc2784.txt
[10] Debra L. Cook, William G. Morein, Angelos D. Keromytis, Vishal Misra, Daniel Rubenstein; WebSOS: Protecting Web Servers From DDoS; Proceedings of the 11th IEEE International Conference on Networks (ICON) (2003); pages 455–460.
[11] E. O'Brien. "NetBouncer: A Practical Client-Legitimacy-Based DDoS Defense via Ingress Filtering," http://www.networkassociates.com/us/_tier0/nailabs/_media/documents/netbouncer.pdf.
[12] Elaine Shi, Ion Stoica, David Andersen, Adrian Perrig, “OverDoSe: A Generic DDoS Protection Service Using an Overlay Network”, CMU Technical Report CMU-CS-06-114, 2006
[13] G. Dommety, Key and Sequence Number Extensions to GRE, RFC 2890, IETF (September 2000). URL http://www.rfc-editor.org/rfc/rfc2890.txt
[14] Ion Stoica, Robert Morris, David Karger, M. Frans Kaashoek, Hari Balakrishnan, Chord: A Scalable Peer-to-peer Lookup Service for Internet Applications, ACM Sigcomm 2001.
[15] J. Mirkovic, D-WARD: Source-End Defense Against Distributed Denial-of-Service Attacks, PhD thesis, University of California Los Angeles, August 2003, http://lasr.cs.ucla.edu/ddos/dward-thesis.pdf.
[16] J. Mirkovic, M. Robinson, P. Reiher, and G. Kuenning, "Forming Alliance for DDoS Defenses," Proceedings of the New Security Paradigms Workshop (NSPW 2003), ACM Press, August 2003, pp. 11–18.
[17] Jelena Mirkovic, Sven Dietrich, David Dittrich, Peter Reiher; Internet Denial of Service: Attack and Defense Mechanisms.chm ; Prentice Hall PTR; 2004.
[18] Michael Glenn; A Summary of DoS/DDoS Prevention, Monitoring and Mitigation Techniques in a Service Provider Environment; SANS Institute; 2003.
[19] R. Mahajan, S. M. Bellovin, S. Floyd, J. Ioannidis, V. Paxson, and S.Shenker, "Controlling High Bandwidth Aggregates in the Network," ACM SIGCOMM Computer Communications Review, vol. 32, no. 3, July 2002, pp. 62–73.
[20] S. Bellovin, M. Leech, and T. Taylor, "ICMP Traceback Messages," Internet draft, work in progress, October 2001.
[21] S. Savage, D. Wetherall, A. Karlin, and T. Anderson, "Practical Network Support for IP Traceback," Proceedings of ACM SIGCOMM 2000, August 2000, pp. 295–306
[22] http://c.root-servers.org/october21.txt
[23] http://edition.cnn.com/2001/TECH/internet/05/24/dos.study.idg/