KHAI THÁC GIAO THỨC INTERNET

IP (Internet Protocol) là giao thức chính của các tiêu chuẩn truyền thông Internet. Nó chuyển gói tin từ máy chủ nguồn đến thiết bị đích dựa trên thông tin được mang trong tiêu đề gói tin. Gói IP bao gồm phần tiêu đề mang địa chỉ IP nguồn, địa chỉ IP đích và các siêu dữ liệu khác cần thiết để định tuyến và phân phối gói. Ngay cả khi địa chỉ IP nguồn được lưu trữ trong phần tiêu đề, vẫn có thể giả mạo địa chỉ bằng cách khai thác lỗ hổng bảo mật.

Giao thức TCP/IP được thiết kế để gửi dữ liệu một cách đáng tin cậy nhưng không bảo mật quy trình. Trên thực tế, tính xác thực của địa chỉ nguồn được mang trong các gói IP không bao giờ được cơ sở hạ tầng định tuyến mạng kiểm tra. Do đó, kẻ tấn công có động cơ có thể kích hoạt một cuộc Tấn công từ chối dịch vụ (Denial of Service - DoS). Các loại tấn công này chủ yếu dựa vào địa chỉ IP giả mạo hoặc giả mạo địa chỉ nguồn.

Trong một cuộc tấn công giả mạo IP, kẻ xâm nhập sử dụng địa chỉ IP nguồn giả mạo và thiết lập kết nối một chiều để thực thi mã độc tại máy chủ từ xa. Kỹ thuật này thường được sử dụng cho các cuộc tấn công DoS, đặc biệt là các cuộc tấn công SYN flood là một hình thức tấn công DoS bằng cách gửi một loạt các yêu cầu SYN đến hệ thống của mục tiêu.

Mọi kết nối trong TCP/IP đều bằng quy trình bắt tay ba bước. Máy khách gửi tín hiệu đồng bộ SYN đến máy chủ, máy chủ này xác nhận bằng cách gửi lại SYN-ACK và đợi máy khách gửi tín hiệu ACK. Trong trường hợp bị tấn công, SYN-ACK sẽ được gửi đến một địa chỉ IP giả mạo, do đó, tin nhắn ACK sẽ không bao giờ đến được và tài nguyên máy chủ sẽ bị chặn, làm giảm chất lượng dịch vụ đối với người dùng hợp pháp.

KỸ THUẬT IP TRACEBACK

Giải pháp IP Traceback đang là ưu tiên hàng đầu trong việc phát hiện và ngăn chặn các mối đe dọa an ninh mạng, trong đó có tấn công DDoS. IP Traceback là một kỹ thuật hoặc tập hợp các phương pháp dùng để xác định nguồn gốc thực sự của các gói tin được gửi qua mạng Internet, đặc biệt trong các trường hợp tấn công DDoS hoặc các hoạt động độc hại khác. Điều này trở nên cần thiết bởi vì địa chỉ IP nguồn trong các gói tin thường có thể bị giả mạo (IP spoofing) nhằm che giấu danh tính thực sự của kẻ tấn công.

Một trong những cách để đạt được IP Traceback là thử nghiệm quá trình truyền dữ liệu từ một nút mạng đến nút kế tiếp dọc theo đường đi đến đích cuối cùng (liên kết hopby-hop). Khi một cuộc tấn công được phát động, quản trị viên mạng sẽ đăng nhập vào bộ định tuyến gần nhất với nạn nhân và phân tích luồng gói tin để xác định nguồn gốc của các gói tin độc hại. Điều này sẽ định vị bộ định tuyến thượng nguồn tiếp theo. Nhược điểm chính của phương pháp đơn giản này là đòi hỏi khả năng tương tác mạnh mẽ giữa các bộ định tuyến trong khi cuộc tấn công vẫn đang diễn ra cùng việc theo dõi gói tin độc hại.

Công cụ cô lập đường dẫn nguồn

Công cụ cô lập đường dẫn nguồn (Source Path Isolation Engine - SPIE) hay Hashed-based IP Traceback (có cấu trúc như Hình 1) được sử dụng để theo dõi nguồn gốc của một gói tin duy nhất. Đây là một kỹ thuật ghi nhật ký gói tin, có nghĩa là nó liên quan đến việc lưu trữ các gói tin tóm tắt tại một số bộ định tuyến quan trọng. Vấn đề chính là việc lưu trữ dữ liệu gói tin đã lưu đòi hỏi rất nhiều bộ nhớ. SPIE có hiệu suất lưu trữ cao và do đó làm giảm yêu cầu về bộ nhớ (0,5% dung lượng liên kết trên mỗi đơn vị thời gian lưu trữ). Trên thực tế, thay vì lưu trữ các gói tin, nó sử dụng các kỹ thuật kiểm toán. Nó tính toán và lưu trữ gói tin tóm tắt 32 bit. Hơn nữa, một cấu trúc dữ liệu hiệu quả để lưu trữ gói tin tóm tắt là bắt buộc. SPIE sử dụng cấu trúc bộ lọc Bloom.

Hình 1. Cấu trúc SPIE

Một vấn đề quan trọng khác của nhật ký gói tin là nguy cơ bị nghe lén. Việc chỉ lưu trữ các bản tóm tắt gói tin chứ không phải toàn bộ gói tin sẽ ngăn chặn SPIE bị kẻ tấn công sử dụng sai mục đích. Do đó, mạng được bảo vệ khỏi bị nghe lén, đây là một trong những tiêu chí của hệ thống theo dõi IP hiệu quả. Có hai tùy chọn để xác định tuyến đường của luồng gói tin. Tùy chọn đầu tiên là kiểm tra luồng khi luồng đi qua mạng và tùy chọn thứ hai là cố gắng suy đoán tuyến đường dựa trên tác động của luồng lên trạng thái của mạng. Độ khó khi sử dụng chúng tăng lên khi kích thước luồng gói tin giảm. Đặc biệt, tùy chọn thứ hai trở nên bất khả thi vì luồng nhỏ không có tác động có thể phát hiện được lên mạng. Do đó, tùy chọn kiểm tra được sử dụng trong SPIE. SPIE cũng được gọi là theo dõi IP dựa trên băm, vì băm của các trường bất biến trong tiêu đề IP được lưu trữ trong mỗi bộ định tuyến dưới dạng tóm tắt 32 bit. Nó chỉ được lưu trữ trong một khoảng thời gian giới hạn do hạn chế về không gian. Bản tóm tắt gói tin được tạo bởi Data Generation Agent (DGA) tại mỗi bộ định tuyến.

Trước khi bắt đầu theo dõi, một gói tin tấn công phải được phát hiện. Để xác định nó, một hệ thống phát hiện xâm nhập (IDS) được sử dụng. IDS cung cấp một gói tin, bộ định tuyến hop cuối cùng, thời điểm tấn công cho SPIE Traceback Manager (STM) sẽ xác minh tính xác thực và tính toàn vẹn của nó. Sau khi xác minh thành công, STM sẽ gửi thông tin chữ ký đến SPIE Collection and Reduction Agent (SCAR) chịu trách nhiệm cho khu vực mạng của nạn nhân. Nếu tìm thấy bất kỳ sự trùng khớp nào, SCAR sẽ trả về một biểu đồ tấn công một phần của các bộ định tuyến liên quan. Sau đó, STM sẽ gửi các truy vấn mới đến một vùng SCAR khác. Quá trình này tiếp tục cho đến khi đường dẫn tấn công được xây dựng. Cuối cùng, STM gửi kết quả trở lại cho IDS.

Kỹ thuật xác định nguồn gốc của các gói giao thức tin nhắn điều khiển Internet

Hình 2. Cấu trúc ICMP Traceback

Trong các chương trình chủ động ngoài băng tần, cơ chế theo dõi được thực hiện với sự trợ giúp của các gói tin riêng biệt được tạo ra tại các bộ định tuyến khi gói tin độc hại đi qua chúng. Kỹ thuật được sử dụng nhiều nhất là Kỹ thuật xác định nguồn gốc của các gói giao thức tin nhắn điều khiển Internet (ICMP Traceback - iTrace, có cấu trúc như Hình 2). Khi một gói tin đi qua mạng, một gói Giao thức tin nhắn điều khiển Internet (ICMP) được bộ định tuyến tạo ra sau mỗi 20.000 gói tin đi qua nó. Các tin nhắn ICMP được chứa trong các gói IP chuẩn, do đó cấu trúc tiêu đề giống với cấu trúc IP. Tải trọng iTrace chứa thông tin hữu ích về bộ định tuyến mà các gói tin IP đã truy cập như ID của bộ định tuyến, thông tin về các bộ định tuyến liền kề, dấu thời gian, cặp địa chỉ MAC của liên kết đi qua... Do đó, nạn nhân có thể suy ra nguồn thực sự của gói tin IP từ thông tin có sẵn. Vì hầu hết các cuộc tấn công DoS là các cuộc tấn công tràn bộ nhớ, nên có khả năng tạo ra một lượng lớn các gói tin theo dõi. Kỹ thuật này không yêu cầu bất kỳ sửa đổi nào đối với cơ sở hạ tầng hiện có. Mặc dù vậy, nó tiêu tốn đáng kể băng thông và yêu cầu một số lượng lớn các gói tin để theo dõi kẻ tấn công và cũng không mang lại hiệu quả cao đối với các cuộc tấn công DDoS. Tuy nhiên trong những năm gần đây đã có sự cải thiện trong việc giải quyết các vấn đề của lược đồ ban đầu.

Kỹ thuật phát hiện, cách ly và phản ứng với các cuộc tấn công mạng trong thời gian thực

Kỹ thuật phát hiện, cách ly và phản ứng với các cuộc tấn công mạng trong thời gian thực (Intrusion Detection and Isolation Protocol - IDIP, có cấu trúc như Hình 3) sẽ cảnh báo hệ thống trong trường hợp bị tấn công và hệ thống này sẽ phản hồi bằng cách theo dõi. Việc phòng thủ có thể được xử lý bởi mạng hoặc bởi máy chủ. Do đó, nó sử dụng ít tài nguyên hơn.

Hình 3. Kiến trúc IDIP

IDIP được sử dụng để theo dõi đường đi và nguồn xâm nhập theo thời gian thực. Có thể hình dung hệ thống IDIP được phân tách thành các cộng đồng. Mỗi cộng đồng có hệ thống phát hiện xâm nhập riêng (Intrusion Detection System - IDS) và phản hồi được quản lý bởi Hệ thống điều phối (Discovery Coordinator). Mỗi cộng đồng được chia thành các khu phố nhỏ hơn (Neighborhood), theo đó mỗi khu phố có chứa một thành phần của IDIP.

Kiến trúc này cho phép thu thập thông tin liên quan đến xâm nhập tại một địa điểm trung tâm và cho phép trao đổi các báo cáo xâm nhập để hiểu rõ hơn về tình hình. Trong mỗi khu phố, một IDS sẽ có nhiệm vụ theo dõi và gửi báo cáo của mình đến bộ điều khiển ranh giới (Boundary Controller).

Khi một cuộc tấn công xảy ra, nút phát hiện sẽ gửi báo cáo tấn công đến các nút lân cận, giúp theo dõi đường tấn công và đồng thời gửi báo cáo tấn công dọc theo đường tấn công. Nhưng trước khi gửi, chúng sẽ quyết định cách phản ứng với cuộc tấn công (vô hiệu hóa tài khoản người dùng, cài đặt quy tắc lọc...), tùy thuộc vào loại tấn công và phản ứng của các nút IDIP khác. Sau đó, tất cả các báo cáo tấn công được gửi lại cho Discovery Coordinator. Điều này cho phép người quản trị có cái nhìn tổng quan về tình hình và sửa đổi quyết định của nút cục bộ nếu cần. Kỹ thuật này ngăn chặn sự lan truyền của cuộc tấn công và đồng thời xây dựng lại đường tấn công.

Hiệu quả của IDIP liên quan đến hiệu quả của việc nhận dạng xâm nhập tại các bộ điều khiển ranh giới khác nhau. Mỗi bộ điều khiển cần có cùng khả năng phát hiện xâm nhập như IDS. Phản hồi tự động cho phép hệ thống phản ứng nhanh chóng.

Một trong những lợi thế chính của kỹ thuật này là sự phụ thuộc tối thiểu của nó vào cơ sở hạ tầng hệ thống. Phương pháp này có thể theo dõi kết nối đã giả mạo địa chỉ nguồn. Trên thực tế, giao thức IDIP dựa trên những gì các thành phần đã ghi lại chứ không phải bảng định tuyến mạng. Nhược điểm là nó đòi hỏi sự hợp tác cao của ISP, đặc biệt là với ranh giới bộ điều khiển và nó phụ thuộc vào độ tin cậy của bộ định tuyến. IDIP có thể theo dõi được nguồn trừ khi nó gặp phải các bước đệm như một chuỗi các máy chủ trung gian giúp kẻ tấn công vẫn có thể ẩn danh.

KẾT LUẬN

Mục tiêu của việc theo dõi IP là xác định nguồn gốc thực sự của các cuộc tấn công DoS/DDoS. Theo dõi IP kết hợp với việc phát hiện tấn công tạo thành một biện pháp phòng thủ hợp tác hiệu quả chống lại các cuộc tấn công DoS trên Internet. Tùy thuộc vào nguồn lực của công ty, có thể sử dụng nhiều kỹ thuật khác nhau, tất cả đều phát triển từ lược đồ cơ bản, chẳng hạn như: đánh dấu IP, ghi nhật ký IP, theo dõi dựa trên ICMP, khắc phục những thiếu sót mà các nhà nghiên cứu đã tập trung vào. Do đó, các quản trị viên mạng nên cân nhắc đến yêu cầu kinh doanh và mục tiêu của họ để triển khai phương pháp tiếp cận phù hợp nhất.