Kỹ thuật phát hiện nguồn gốc tấn công từ chối dịch vụ

T¹p chÝ Khoa häc & C«ng nghÖ - Sè 1(45) Tập 2/N¨m 2008<br /> <br /> KỸ THUẬT PHÁT HIỆN NGUỒN GỐC TẤN CÔNG TỪ CHỐI DNCH VỤ<br /> Ngô Hải Anh - Nguyễn Văn Tam (Viện Công nghệ thông tin – Viện KH&CN Việt Nam)<br /> <br /> 1. Tổng quan về tấn công từ chối dịch vụ<br /> Cùng với sự phát triển nhanh chóng của Internet, tấn công từ chối dịch vụ (Denial of<br /> Service -DoS) đã trở nên rất phổ biến. Mục đích của kiểu tấn công này là phá vỡ các dịch vụ mà<br /> nạn nhân đang cung cấp. Trong quá trình tấn công đang diễn ra, nạn nhân không thể cung cấp<br /> các dịch vụ của họ. Có 2 hình thức tấn công từ chối dịch vụ chính:<br /> Tấn công DoS thông thường – Normal DoS: thường được sinh ra từ một máy trạm hoặc<br /> một số lượng nhỏ các máy tính ở cùng địa điểm.<br /> Tấn công DoS phân tán – Distributed DoS: thường sinh ra từ một số lượng rất lớn các<br /> máy tính.<br /> 2. Các kiểu tấn công<br /> Tấn công ứng dụng – Các tấn công loại này sẽ khai thác những lỗ hổng đã biết trong các<br /> ứng dụng, gửi những yêu cầu bất thường đến để phá hoại ứng dụng.<br /> Tấn công hệ điều hành – Tấn công kiểu này thường khai thác các kẽ hở trong cài đặt<br /> chồng IP, gửi các gói tin IP bất thường để phá hoại hệ điều hành.<br /> Tấn công lỗ hổng mạng - Khai thác những lỗ hổng trong thiết kế mạng để tấn công.<br /> Tấn công thiết bị mạng –Thông thường tấn công kiểu này sẽ cố gắng làm kiệt sức nguồn lực<br /> phần cứng trên các thiết bị mạng (router, firewall…), chẳng hạn làm tràn bộ đệm của bộ nhớ hoặc CPU.<br /> Tấn công làm quá tải (Flood hay Overload attacks) – là các tấn công bằng cách gửi số<br /> lượng rất lớn các kiểu lưu lượng khác nhau đến nạn nhân (có thể thông qua các lỗ hổng đã nói ở<br /> trên) làm cho họ quá tải khả năng xử lý.<br /> 3. Tìm ra nguồn gốc của tấn công<br /> Việc truy tìm thủ phạm gây ra tấn công DoS thực sự khó khăn, lý do chính là các tấn<br /> công đến từ rất nhiều địa chỉ IP nguồn khác nhau, các địa chỉ đó đều đã bị giả mạo. Vì vậy để<br /> tìm ra nơi thực sự xuất phát tấn công, chúng ta cần một cơ chế có thể đi ngược lại từ vị trí nạn<br /> nhân đến nơi xuất phát tấn công. Có một số phương pháp thực hiện yêu cầu này. Ví dụ có thể sử<br /> dụng cách tìm qua các router hoặc các bước truyền (hop).<br /> Ý tưởng thực hiện phương pháp này như sau: tìm tới nơi mà “cơn lũ” dữ liệu đang đi vào<br /> router để từ đó tìm ra bước truyền ngay trước đó.<br /> Cách thực hiện gồm các bước sau:<br /> •<br /> •<br /> •<br /> •<br /> 104<br /> <br /> Xuất phát tại giao diện mà ở đó luồng dữ liệu đi vào router<br /> Tìm ra router đã kết nối tại đầu bên kia của liên kết<br /> Lặp lại thao tác trên bất kỳ router nào dọc đường đi<br /> Router cuối cùng trong dây chuyền này là chính là luồng dữ liệu tấn công<br /> <br /> T¹p chÝ Khoa häc & C«ng nghÖ - Sè 1(45) Tập 2/N¨m 2008<br /> <br /> Rất nhiều router cung cấp các công cụ cho phép người quản trị mạng làm công việc trên.<br /> Ví dụ các router của hãng Cisco hỗ trợ một tính năng mang tên NetFlow [1], đây là tính năng<br /> cho phép thu thập thông tin theo thời gian thực về tất cả các luồng đi qua router.<br /> Tuy nhiên, phương pháp trên có một số nhược điểm. Bởi vì cuộc tấn công nào cũng có<br /> thể sẽ đi ngang một vài “hệ tự quản” (autonomous systems – AS), mỗi AS đều thuộc một nhà<br /> cung cấp khác nhau, do đó để hoàn tất một quá trình dò vết, nạn nhân sẽ phải cần đến sự phối<br /> hợp của một số các nhà cung cấp dịch vụ, quá trình này có thể sẽ rất phức tạp và mất thời gian.<br /> Một hạn chế khác của việc dò vết là luồng tấn công phải hoạt động trong suốt quá trình theo dõi<br /> ngược. Nếu như vì lý do gì đó mà tấn công “tạm dừng”, quá trình theo dõi sẽ không thể tiếp tục<br /> được nữa. Phần tiếp theo của bài viết sẽ đề cập đến một phương pháp tối ưu hơn.<br /> 4. Phương pháp đánh dấu gói tin theo xác suất<br /> Để lần ngược lại nơi bắt đầu tấn công, có thể lấy thông tin từ các router trên đường luồng<br /> dữ liệu tấn công “đi qua”, khi đó sẽ cho phép tại đích đến (chính là nạn nhân) có thêm thông tin<br /> để dựng lại đường đi của luồng tấn công, qua đó có thể thực sự tìm ra nguồn gốc của cuộc tấn<br /> công. Savage, Wetherall, Karlin và Anderson đã phát minh ra một phương pháp gọi là “dò<br /> ngược” (traceback) [2]. Phương pháp này đòi hỏi các router trên đường đi của một luồng dữ liệu<br /> sẽ cho thêm thông tin vào các gói tin khi chúng đang trên đường chuyển tiếp hướng về nạn<br /> nhân.<br /> Một xác suất p được định nghĩa tại tất cả các router, mỗi gói tin sẽ được đánh dấu với<br /> thông tin thêm bằng cách sử dụng giá trị của p. Đường đi của tấn công sẽ được xây dựng lại<br /> bằng cách theo dõi ngược các gói tin IP đã được đánh dấu này. Để tăng thêm hiệu quả, cách<br /> đánh dấu có thể không cố định mà được hiệu chỉnh theo xác suất (adjusted probabilistic). Như<br /> vậy vấn đề đặt ra là việc đánh dấu sẽ diễn ra như thế nào, và phần nào trong khuôn dạng của một<br /> gói tin IP sẽ được “đánh dấu”? Header của một gói tin IPv4 có khuôn dạng như sau:<br /> <br /> Trường IP identification có độ dài 16 bits. Đối với mục đích dò ngược, chúng ta cần sử<br /> dụng vừa vặn 16 bits này cho các giá trị “đánh dấu” và giá trị “khoảng cách”. Thực tế cho thấy<br /> rằng hầu hết đường đi trên Internet đều không quá 30 bước truyền. Do đó năm bits (tương ứng<br /> với khoảng cách 32 bước truyền) sẽ đủ để đáp ứng giá trị khoảng cách. Còn lại 11 bits (có thể<br /> cung cấp 211 = 2048 giá trị có thể) sẽ được sử dụng cho việc đánh dấu.<br /> Một hàm băm h(.) được sử dụng để ánh xạ giữa 32-bit địa chỉ IP của router với 11-bit giá<br /> trị đánh dấu. Hàm này là một hàm thống kê ngẫu nhiên đáng tin cậy, có nghĩa là đối với bất kỳ<br /> đầu vào của một địa chỉ IP, tất cả 211 = 2048 giá trị đánh dấu đều có thể dùng làm đầu ra.<br /> 105<br /> <br /> T¹p chÝ Khoa häc & C«ng nghÖ - Sè 1(45) Tập 2/N¨m 2008<br /> <br /> Có một nghiên cứu đã đề nghị một xác suất đánh dấu pd = 1/d [3] với d là khoảng cách<br /> (số các bước truyền) của một router so với nguồn xuất phát của gói tin. Giả sử độ dài đường đi<br /> của một tấn công có độ dài là k. Điều đó có thể cho phép nói rằng có k router tham gia vào lược<br /> đồ đánh dấu giữa điểm xuất phát và đích đến.<br /> Giá trị xác suất đánh dấu sẽ là:<br /> 1<br /> (1)<br /> d −1 + c<br /> ở đó d – 1 là giá trị trường khoảng cách của gói tin được nhận từ một router cách d bước truyền<br /> so với nguồn của tấn công, c ≥ 1, c ∈ R. Chúng ta sẽ thấy rằng đối với một router nhận một gói<br /> tin với trường khoảng cách có giá trị bằng không, chúng ta cần đảm bảo các giá trị xác suất luôn<br /> nhỏ hơn hoặc bằng 1. Do đó c ≥ 1.<br /> <br /> pd =<br /> <br /> Gọi α d là xác suất mà nạn nhân nhận được một gói tin đã đánh dấu bởi một router cách<br /> d bước truyền từ kẻ tấn công. Khi đó:<br /> <br /> α d = pd .<br /> <br /> k<br /> <br /> ∏<br /> <br /> (1 – pi)<br /> <br /> (2)<br /> <br /> i = d +1<br /> <br /> Kết hợp với (1), ta tính đuợc:<br /> <br /> 1<br /> <br /> <br /> <br />  k −1+ c <br /> <br /> αd= <br /> <br /> (3)<br /> <br /> Do đó chúng ta thấy rằng xác suất của việc nhận một gói tin đã được đánh dấu bởi bất kỳ<br /> router nào dọc đường đi của tấn công sẽ phụ thuộc vào độ dài của đường đi chứ không phụ<br /> thuộc vào vị trí của router.<br /> 4.1. Thuật toán đánh dấu gói tin<br /> Một router dọc theo đường đi của một gói tin sẽ đọc giá trị khoảng cách trong trường IP<br /> identification. Sau đó router sẽ tìm đến bảng chứa các giá trị khoảng cách và xác suất đánh dấu<br /> tương ứng. Quyết định sẽ được thực hiện như sau: router sinh ra một số ngẫu nhiên, nếu số ngẫu<br /> nhiên này nhỏ hơn hoặc bằng xác suất đánh dấu thì gói tin sẽ được đánh dấu, nếu không thì gói tin<br /> sẽ không được đánh dấu. Nếu router quyết định đánh dấu một gói tin, nó sẽ ghi giá trị h(địa chỉ IP)<br /> vào trường IP identification. Giá trị khoảng cách trong trường IP identification khi đó sẽ tăng thêm<br /> và gói tin được định tuyến. Kể cả trường hợp router quyết định không đánh dấu gói tin, nó vẫn<br /> luôn luôn tăng giá trị khoảng cách trong trường IP identification, và gói tin vẫn được định tuyến.<br /> Thuật toán đánh dấu gói tin như sau:<br /> _________________________________________________<br /> m = h(địa chỉ IP)<br /> for each gói tin<br /> read d = giá trị của trường khoảng cách<br /> sinh ra một số ngẫu nhiên x ∈ [0, 1)<br /> p = xác suất đánh dấu tương ứng với d, lấy từ bảng<br /> if x ≤ p (nếu xảy ra, gói tin được đánh dấu)<br /> write m vào trường đánh dấu<br /> giá trị trường khoảng cách = d + 1<br /> ____________________________________________________<br /> <br /> 106<br /> <br /> T¹p chÝ Khoa häc & C«ng nghÖ - Sè 1(45) Tập 2/N¨m 2008<br /> <br /> 5. Xây dựng lại đường đi của tấn công<br /> Để xây dựng lại đường đi của một gói tin và xác định nguồn gốc của tấn công, nạn nhân cần một<br /> bản đồ các router. Nạn nhân sẽ so khớp các dấu của gói tin với các router trên bản đồ, qua đó có thể xây<br /> dựng lại đường đi của tấn công. Bản đồ này có thể xem như một đồ thị có hướng G. Gốc của G là nạn<br /> nhân, tất cả các đỉnh trong G là các router, mỗi router y trong G bao gồm tập hợp ρ y các con của nó.<br /> <br /> y và ρ y trong đồ thị G<br /> Trong suốt quá trình diễn ra tấn công DoS, nạn nhân sẽ nhận một lượng lớn các dấu từ<br /> các router. Trước khi xây dựng lại đường đi dựa trên các dấu này, chúng ta cần phân nhóm các<br /> dấu dựa trên độ dài đường đi của tấn công.<br /> Giả sử có n kẻ tấn công (tấn công từ chối dịch vụ phân tán) ở những khoảng cách khác<br /> nhau so với nạn nhân. Trong trường hợp này, nạn nhân sẽ có các tập hợp khác nhau các dấu,<br /> mỗi tập chứa các dấu từ các kẻ tấn công có cùng khoảng cách đến nạn nhân. Đặt các giá trị<br /> khoảng cách khác nhau của các gói tin trong các tập các dấu thuộc tập µ. Có nghĩa là nạn nhân<br /> giờ đây có | µ | tập hợp khác nhau của các dấu, mỗi tập tương ứng cho các dấu của các gói tin<br /> gửi bởi các kẻ tấn công mà ở cùng khoảng cách so với nạn nhân. Miền giá trị của trường khoảng<br /> cách sẽ là 0 ≤ k ≤ 31. Gọi tập các dấu nhận bởi nạn nhân với giá trị khoảng cách k ∈ µ là λk. Ký<br /> hiệu số kẻ tấn công tại khoảng cách k bước truyền là nk. Khi đó ta sẽ có:<br /> λk = nk . k<br /> (4)<br /> Bây giờ ta sẽ xem xét thuật toán xây dựng lại đường đi của tấn công. Đồ thị G được<br /> duyệt qua bởi mỗi tập các gói tin có cùng giá trị trường khoảng cách (cho mỗi tập λk, ∀ k ∈ µ).<br /> Bắt đầu tại điểm gốc của đường tấn công là nạn nhân. Các dấu của “láng giềng” con với nạn<br /> nhân được kiểm tra với mỗi dấu trong tập. Các dấu của các router mà đã so khớp sẽ được thêm<br /> vào đồ thị tấn công. Tiếp tục lặp lại như vậy, “con” của các router sẽ được kiểm tra với kiểu<br /> cách tương tự. Quá trình này cứ lặp lại cho đến khi chiều sâu của đồ thị bằng với đường đi.<br /> Đường đi của tấn công sẽ được chứa trong Sd, với 0 ≤ d ≤ k.<br /> Thuật toán xây dựng lại đường đi được thực hiện như sau:<br /> ___________________________________________________<br /> ∀k ∈ µ<br /> S0 = nạn nhân<br /> for d = 0 to (k – 1)<br /> ∀ y in Sd<br /> ∀R ∈ ρ y<br /> if R ∈ λk then<br /> insert R  Sd + 1<br /> output Sd<br /> output Sk<br /> ____________________________________________________<br /> 107<br /> <br /> T¹p chÝ Khoa häc & C«ng nghÖ - Sè 1(45) Tập 2/N¨m 2008<br /> <br /> 6. Kết luận<br /> Ở hoàn cảnh hiện nay thì việc xác định vị trí của các tấn công từ chối dịch vụ mới chỉ khả<br /> thi về mặt lý thuyết chứ chưa được cài đặt trên các hệ thống thương mại. Khó khăn chính trong<br /> việc cài đặt là số lượng lớn các nhà cung cấp sẽ phải hỗ trợ các chức năng này để triển khai các<br /> dịch vụ. Một vấn đề khác nữa là toàn bộ quá trình xử lý thêm nói trên có thể sẽ là một khó khăn<br /> với các router trung tâm trên Internet, chúng phải chuyển đi hàng ngàn gói tin mỗi giây. Các khối<br /> lượng lưu lượng lớn đó sẽ cần một sự gia tăng phụ phí CPU để cài đặt được các tính năng trên.<br /> Tuy nhiên việc tìm hiểu các phương thức xác định điểm xuất phát tấn công vẫn luôn cần thiết và<br /> phải được hoàn thiện dần theo thời gian, song song với sự phát triển của các loại hình tấn công
<br /> Tóm tắt<br /> Từ khi xuất hiện đến nay, loại hình tấn công từ chối dịch vụ (Denial of Service) luôn là<br /> một vấn đề nan giải đối với cộng đồng Internet, và cho đến bây giờ, vẫn chưa có một biện pháp<br /> kỹ thuật nào hoàn toàn khắc chế được kiểu tấn công này. Với đặc tính là sử dụng các gói tin nặc<br /> danh từ nhiều nguồn khác nhau để tấn công tới một nạn nhân duy nhất, rất khó để tìm ra nơi<br /> xuất phát của tấn công. Bài báo này sẽ đề cập đến một kỹ thuật giúp "dò ngược" từ nơi bị tấn<br /> công đến nơi xuất phát tấn công, từ đó có thể xây dựng lại "đường đi" cũng như phát hiện ra nơi<br /> khởi nguồn của một cuộc tấn công từ chối dịch vụ.<br /> Summary<br /> Techniques for detecting source of Denial-of-Service attack<br /> Since the beginning of its formation, the Denial of Service attack has been a serious<br /> problem to the community of Internet users. Until now, there have never been any solutions this<br /> preventing this type of attack. Having the characteristic of using anonymous packets from<br /> different sources to attack the only target victim, it is very difficult to find out where exactly the<br /> attack comes from. This article mentions a technique which helps to traceback from where it is<br /> attacked to where it starts to attack. As a result, it is possible to rebuild attack path as well as<br /> discover the original start of an attack.<br /> Tài liệu tham khảo<br /> [1]. Cisco Systems, “White paper – NetFlow Services and Applications”.<br /> [2]. Stefan Savage, David Wetherall, Anna Karlin and Tom Anderson, “Practical Network Support for IP<br /> Traceback”.<br /> [3]. Tao Peng, Christopher Leckie, and Kotagiri Ramamohanarao, “Adjusted Probabilistic Packet<br /> Marking for IP Traceback”.<br /> [4]. David Moore, Geoffrey M. Voelker and Stefan Savage, “Inferring Internet Dennial-of-Service Activity”.<br /> [5]. Kyoungwon Suh and Thu D. Nguyen, “A Practical Defense Against SYN Denial-of-Service Attacks”.<br /> [6]. Gary Pack, Jaeyoung Yoon, Eli Collins, Cristian Estan, “On Filtering of DDoS Attacks Based on<br /> Source Address Prefixes”.<br /> [7]. Ramkumar Chinchani, Suranjan Pramanik, Ashish Garg, “Handling Failures and DoS Attack Using<br /> Network Device Groups”.<br /> [8]. Cisco Systems, “White paper – Distributed denial of service threats: risks, mitigation, and best practices”.<br /> [9]. David Moore, Geoffrey M. Voelker and Stefan Savage, "Inferring Internet Denial-of-Service Activity".<br /> [10]. Alex C.Snoeren, Craig Partridge, Luis A. Sanchez, Christine E. Jones, Fabrice Tchakountio,<br /> Beverly Schwartz, Stephen T. Kent, and W. Timothy Strayer, "Single-Packet IP Traceback".<br /> <br /> 108<br /> <br />