Kỹ thuật phát hiện nguồn gốc tấn công từ chối dịch vụ

Cùng với sự phát triển nhanh chóng của Internet, tấn công từ chối dịch vụ (Denial of Service -DoS) đã trở nên rất phổ biến. Mục đích của kiểu tấn công này là phá vỡ các dịch vụ mà nạn nhân đang cung cấp. Trong quá trình tấn công đang diễn ra, nạn nhân không thể cung cấp các dịch vụ của họ.
Nội dung trích xuất từ tài liệu:
Kỹ thuật phát hiện nguồn gốc tấn công từ chối dịch vụ T¹p chÝ Khoa häc & C«ng nghÖ - Sè 1(45) Tập 2/N¨m 2008 KỸ THUẬT PHÁT HIỆN NGUỒN GỐC TẤN CÔNG TỪ CHỐI DNCH VỤ Ngô Hải Anh - Nguyễn Văn Tam (Viện Công nghệ thông tin – Viện KH&CN Việt Nam) 1. Tổng quan về tấn công từ chối dịch vụ Cùng với sự phát triển nhanh chóng của Internet, tấn công từ chối dịch vụ (Denial of Service -DoS) đã trở nên rất phổ biến. Mục đích của kiểu tấn công này là phá vỡ các dịch vụ mà nạn nhân đang cung cấp. Trong quá trình tấn công đang diễn ra, nạn nhân không thể cung cấp các dịch vụ của họ. Có 2 hình thức tấn công từ chối dịch vụ chính: Tấn công DoS thông thường – Normal DoS: thường được sinh ra từ một máy trạm hoặc một số lượng nhỏ các máy tính ở cùng địa điểm. Tấn công DoS phân tán – Distributed DoS: thường sinh ra từ một số lượng rất lớn các máy tính. 2. Các kiểu tấn công Tấn công ứng dụng – Các tấn công loại này sẽ khai thác những lỗ hổng đã biết trong các ứng dụng, gửi những yêu cầu bất thường đến để phá hoại ứng dụng. Tấn công hệ điều hành – Tấn công kiểu này thường khai thác các kẽ hở trong cài đặt chồng IP, gửi các gói tin IP bất thường để phá hoại hệ điều hành. Tấn công lỗ hổng mạng - Khai thác những lỗ hổng trong thiết kế mạng để tấn công. Tấn công thiết bị mạng –Thông thường tấn công kiểu này sẽ cố gắng làm kiệt sức nguồn lực phần cứng trên các thiết bị mạng (router, firewall…), chẳng hạn làm tràn bộ đệm của bộ nhớ hoặc CPU. Tấn công làm quá tải (Flood hay Overload attacks) – là các tấn công bằng cách gửi số lượng rất lớn các kiểu lưu lượng khác nhau đến nạn nhân (có thể thông qua các lỗ hổng đã nói ở trên) làm cho họ quá tải khả năng xử lý. 3. Tìm ra nguồn gốc của tấn công Việc truy tìm thủ phạm gây ra tấn công DoS thực sự khó khăn, lý do chính là các tấn công đến từ rất nhiều địa chỉ IP nguồn khác nhau, các địa chỉ đó đều đã bị giả mạo. Vì vậy để tìm ra nơi thực sự xuất phát tấn công, chúng ta cần một cơ chế có thể đi ngược lại từ vị trí nạn nhân đến nơi xuất phát tấn công. Có một số phương pháp thực hiện yêu cầu này. Ví dụ có thể sử dụng cách tìm qua các router hoặc các bước truyền (hop). Ý tưởng thực hiện phương pháp này như sau: tìm tới nơi mà “cơn lũ” dữ liệu đang đi vào router để từ đó tìm ra bước truyền ngay trước đó. Cách thực hiện gồm các bước sau: • • • • 104 Xuất phát tại giao diện mà ở đó luồng dữ liệu đi vào router Tìm ra router đã kết nối tại đầu bên kia của liên kết Lặp lại thao tác trên bất kỳ router nào dọc đường đi Router cuối cùng trong dây chuyền này là chính là luồng dữ liệu tấn công T¹p chÝ Khoa häc & C«ng nghÖ - Sè 1(45) Tập 2/N¨m 2008 Rất nhiều router cung cấp các công cụ cho phép người quản trị mạng làm công việc trên. Ví dụ các router của hãng Cisco hỗ trợ một tính năng mang tên NetFlow [1], đây là tính năng cho phép thu thập thông tin theo thời gian thực về tất cả các luồng đi qua router. Tuy nhiên, phương pháp trên có một số nhược điểm. Bởi vì cuộc tấn công nào cũng có thể sẽ đi ngang một vài “hệ tự quản” (autonomous systems – AS), mỗi AS đều thuộc một nhà cung cấp khác nhau, do đó để hoàn tất một quá trình dò vết, nạn nhân sẽ phải cần đến sự phối hợp của một số các nhà cung cấp dịch vụ, quá trình này có thể sẽ rất phức tạp và mất thời gian. Một hạn chế khác của việc dò vết là luồng tấn công phải hoạt động trong suốt quá trình theo dõi ngược. Nếu như vì lý do gì đó mà tấn công “tạm dừng”, quá trình theo dõi sẽ không thể tiếp tục được nữa. Phần tiếp theo của bài viết sẽ đề cập đến một phương pháp tối ưu hơn. 4. Phương pháp đánh dấu gói tin theo xác suất Để lần ngược lại nơi bắt đầu tấn công, có thể lấy thông tin từ các router trên đường luồng dữ liệu tấn công “đi qua”, khi đó sẽ cho phép tại đích đến (chính là nạn nhân) có thêm thông tin để dựng lại đường đi của luồng tấn công, qua đó có thể thực sự tìm ra nguồn gốc của cuộc tấn công. Savage, Wetherall, Karlin và Anderson đã phát minh ra một phương pháp gọi là “dò ngược” (traceback) [2]. Phương pháp này đòi hỏi các router trên đường đi của một luồng dữ liệu sẽ cho thêm thông tin vào các gói tin khi chúng đang trên đường chuyển tiếp hướng về nạn nhân. Một xác suất p được định nghĩa tại tất cả các router, mỗi gói tin sẽ được đánh dấu với thông tin thêm bằng cách sử dụng giá trị của p. Đường đi của tấn công sẽ được xây dựng lại bằng cách theo dõi ngược các gói tin IP đã được đánh dấu này. Để tăng thêm hiệu quả, cách đánh dấu có thể không cố định mà được hiệu chỉnh theo xác suất (adjusted probabilistic). Như vậy vấn đề đặt ra là việc đánh dấu sẽ diễn ra như thế nào, và phần nào trong khuôn dạng của một gói tin IP sẽ được “đánh dấu”? Header của một gói tin IPv4 có khuôn dạng như sau: Trường IP identification có độ dài 16 bits. Đối với mục đích dò ngược, chúng ta cần sử dụng vừa vặn 16 bits này cho các giá trị “đánh dấu” và giá trị “khoảng cách”. Thực tế cho thấy rằng hầu hết đường đi trên Internet đều không quá 30 bước truyền. Do đó năm bits (tương ứng với khoảng cách 32 bước truyền) sẽ đủ để đáp ứng giá trị khoảng cách. Còn lại 11 bits (có thể cung cấp 211 = 2048 giá trị có thể) sẽ được sử dụng cho việc đánh dấu. Một hàm băm h(.) được sử dụng để ánh xạ giữa 32-bit địa chỉ IP của router với 11-bit giá trị đánh dấu. Hàm này là một hàm thống kê ngẫu nhiên đáng tin cậy, có nghĩa là đối với bất kỳ đầu vào của một địa chỉ IP, tất cả 211 = 2048 giá trị đánh dấu đều có thể dùng làm đầu ra. 105 T¹p chÝ Khoa häc & C«ng nghÖ - Sè 1(45) Tập 2/N¨m 2008 Có một nghiên cứu đã đề nghị một xác suất đánh dấu pd = 1/d [3] với d là khoảng cách (số các bước truyền) của một router so với nguồn xuất phát của gói tin. Giả sử độ dài đường đi của một tấn công có độ dài là k. Điều đó có thể cho phép nói rằng có k router tham gia vào lược đồ đánh dấu giữa điểm xuất phát và đích đến. Giá trị xác suất đánh dấu sẽ là: 1 (1) d −1 + c ở đó d – 1 là giá trị trường khoảng cách của gói tin được nhận từ một router cách d bước truyền so với nguồn của tấn công, c ≥ 1, c ∈ R. Chúng ta sẽ thấy rằng đối với một router nhậ ...