Kỹ thuật phát hiện nguồn gốc tấn công từ chối dịch vụ

T¹p chÝ Khoa häc & C«ng nghÖ - Sè 1(45) Tập 2/N¨m 2008 
 104
KỸ THUẬT PHÁT HIỆN NGUỒN GỐC TẤN CÔNG TỪ CHỐI DNCH VỤ 
Ngô Hải Anh - Nguyễn Văn Tam (Viện Công nghệ thông tin – Viện KH&CN Việt Nam) 
1. Tổng quan về tấn công từ chối dịch vụ 
Cùng với sự phát triển nhanh chóng của Internet, tấn công từ chối dịch vụ (Denial of 
Service -DoS) đã trở nên rất phổ biến. Mục đích của kiểu tấn công này là phá vỡ các dịch vụ mà 
nạn nhân đang cung cấp. Trong quá trình tấn công đang diễn ra, nạn nhân không thể cung cấp 
các dịch vụ của họ. Có 2 hình thức tấn công từ chối dịch vụ chính: 
Tấn công DoS thông thường – Normal DoS: thường được sinh ra từ một máy trạm hoặc 
một số lượng nhỏ các máy tính ở cùng địa điểm. 
Tấn công DoS phân tán – Distributed DoS: thường sinh ra từ một số lượng rất lớn các 
máy tính. 
2. Các kiểu tấn công 
Tấn công ứng dụng – Các tấn công loại này sẽ khai thác những lỗ hổng đã biết trong các 
ứng dụng, gửi những yêu cầu bất thường đến để phá hoại ứng dụng. 
Tấn công hệ điều hành – Tấn công kiểu này thường khai thác các kẽ hở trong cài đặt 
chồng IP, gửi các gói tin IP bất thường để phá hoại hệ điều hành. 
Tấn công lỗ hổng mạng - Khai thác những lỗ hổng trong thiết kế mạng để tấn công. 
Tấn công thiết bị mạng –Thông thường tấn công kiểu này sẽ cố gắng làm kiệt sức nguồn lực 
phần cứng trên các thiết bị mạng (router, firewall), chẳng hạn làm tràn bộ đệm của bộ nhớ hoặc CPU. 
Tấn công làm quá tải (Flood hay Overload attacks) – là các tấn công bằng cách gửi số 
lượng rất lớn các kiểu lưu lượng khác nhau đến nạn nhân (có thể thông qua các lỗ hổng đã nói ở 
trên) làm cho họ quá tải khả năng xử lý. 
3. Tìm ra nguồn gốc của tấn công 
Việc truy tìm thủ phạm gây ra tấn công DoS thực sự khó khăn, lý do chính là các tấn 
công đến từ rất nhiều địa chỉ IP nguồn khác nhau, các địa chỉ đó đều đã bị giả mạo. Vì vậy để 
tìm ra nơi thực sự xuất phát tấn công, chúng ta cần một cơ chế có thể đi ngược lại từ vị trí nạn 
nhân đến nơi xuất phát tấn công. Có một số phương pháp thực hiện yêu cầu này. Ví dụ có thể sử 
dụng cách tìm qua các router hoặc các bước truyền (hop). 
Ý tưởng thực hiện phương pháp này như sau: tìm tới nơi mà “cơn lũ” dữ liệu đang đi vào 
router để từ đó tìm ra bước truyền ngay trước đó. 
Cách thực hiện gồm các bước sau: 
• Xuất phát tại giao diện mà ở đó luồng dữ liệu đi vào router 
• Tìm ra router đã kết nối tại đầu bên kia của liên kết 
• Lặp lại thao tác trên bất kỳ router nào dọc đường đi 
• Router cuối cùng trong dây chuyền này là chính là luồng dữ liệu tấn công 
T¹p chÝ Khoa häc & C«ng nghÖ - Sè 1(45) Tập 2/N¨m 2008 
 105
Rất nhiều router cung cấp các công cụ cho phép người quản trị mạng làm công việc trên. 
Ví dụ các router của hãng Cisco hỗ trợ một tính năng mang tên NetFlow [1], đây là tính năng 
cho phép thu thập thông tin theo thời gian thực về tất cả các luồng đi qua router. 
Tuy nhiên, phương pháp trên có một số nhược điểm. Bởi vì cuộc tấn công nào cũng có 
thể sẽ đi ngang một vài “hệ tự quản” (autonomous systems – AS), mỗi AS đều thuộc một nhà 
cung cấp khác nhau, do đó để hoàn tất một quá trình dò vết, nạn nhân sẽ phải cần đến sự phối 
hợp của một số các nhà cung cấp dịch vụ, quá trình này có thể sẽ rất phức tạp và mất thời gian. 
Một hạn chế khác của việc dò vết là luồng tấn công phải hoạt động trong suốt quá trình theo dõi 
ngược. Nếu như vì lý do gì đó mà tấn công “tạm dừng”, quá trình theo dõi sẽ không thể tiếp tục 
được nữa. Phần tiếp theo của bài viết sẽ đề cập đến một phương pháp tối ưu hơn. 
4. Phương pháp đánh dấu gói tin theo xác suất 
Để lần ngược lại nơi bắt đầu tấn công, có thể lấy thông tin từ các router trên đường luồng 
dữ liệu tấn công “đi qua”, khi đó sẽ cho phép tại đích đến (chính là nạn nhân) có thêm thông tin 
để dựng lại đường đi của luồng tấn công, qua đó có thể thực sự tìm ra nguồn gốc của cuộc tấn 
công. Savage, Wetherall, Karlin và Anderson đã phát minh ra một phương pháp gọi là “dò 
ngược” (traceback) [2]. Phương pháp này đòi hỏi các router trên đường đi của một luồng dữ liệu 
sẽ cho thêm thông tin vào các gói tin khi chúng đang trên đường chuyển tiếp hướng về nạn 
nhân. 
Một xác suất p được định nghĩa tại tất cả các router, mỗi gói tin sẽ được đánh dấu với 
thông tin thêm bằng cách sử dụng giá trị của p. Đường đi của tấn công sẽ được xây dựng lại 
bằng cách theo dõi ngược các gói tin IP đã được đánh dấu này. Để tăng thêm hiệu quả, cách 
đánh dấu có thể không cố định mà được hiệu chỉnh theo xác suất (adjusted probabilistic). Như 
vậy vấn đề đặt ra là việc đánh dấu sẽ diễn ra như thế nào, và phần nào trong khuôn dạng của một 
gói tin IP sẽ được “đánh dấu”? Header của một gói tin IPv4 có khuôn dạng như sau: 
Trường IP identification có độ dài 16 bits. Đối với mục đích dò ngược, chúng ta cần sử 
dụng vừa vặn 16 bits này cho các giá trị “đánh dấu” và giá trị “khoảng cách”. Thực tế cho thấy 
rằng hầu hết đường đi trên Internet đều không quá 30 bước truyền. Do đó năm bits (tương ứng 
với khoảng cách 32 bước truyền) sẽ đủ để đáp ứng giá trị khoảng cách. Còn lại 11 bits (có thể 
cung cấp 211 = 2048 giá trị có thể) sẽ được sử dụng cho việc đánh dấu. 
Một hàm băm h(.) được sử dụng để ánh xạ giữa 32-bit địa chỉ IP của router với 11-bit giá 
trị đánh dấu. Hàm này là một hàm thống kê ngẫu nhiên đáng tin cậy, có nghĩa là đối với bất kỳ 
đầu vào của một địa chỉ IP, tất cả 211 = 2048 giá trị đánh dấu đều có thể dùng làm đầu ra. 
T¹p chÝ Khoa häc & C«ng nghÖ - Sè 1(45) Tập 2/N¨m 2008 
 106
Có một nghiên cứu đã đề nghị một xác suất đánh dấu pd = 1/d [3] với d là khoảng cách 
(số các bước truyền) của một router so với nguồn xuất phát của gói tin. Giả sử độ dài đường đi 
của một tấn công có độ dài là k. Điều đó có thể cho phép nói rằng có k router tham gia vào lược 
đồ đánh dấu giữa điểm xuất phát và đích đến. 
Giá trị xác suất đánh dấu sẽ là: 
pd = 
cd +−1
1
 (1) 
ở đó d – 1 là giá trị trường khoảng cách của gói tin được nhận từ một router cách d bước truyền 
so với nguồn của tấn công, c ≥ 1, c ∈ R. Chúng ta sẽ thấy rằng đối với một router nhận một gói 
tin với trường khoảng cách có giá trị bằng không, chúng ta cần đảm bảo các giá trị xác suất luôn 
nhỏ hơn hoặc bằng 1. Do đó c ≥ 1. 
Gọi α d là xác suất mà nạn nhân nhận được một gói tin đã đánh dấu bởi một router cách 
d bước truyền từ kẻ tấn công. Khi đó: 
α d = pd . ∏
+=
k
di 1
(1 – pi) (2) 
Kết hợp với (1), ta tính đuợc: 
α d = 





+− ck 1
1
 (3) 
Do đó chúng ta thấy rằng xác suất của việc nhận một gói tin đã được đánh dấu bởi bất kỳ 
router nào dọc đường đi của tấn công sẽ phụ thuộc vào độ dài của đường đi chứ không phụ 
thuộc vào vị trí của router. 
4.1. Thuật toán đánh dấu gói tin 
Một router dọc theo đường đi của một gói tin sẽ đọc giá trị khoảng cách trong trường IP 
identification. Sau đó router sẽ tìm đến bảng chứa các giá trị khoảng cách và xác suất đánh dấu 
tương ứng. Quyết định sẽ được thực hiện như sau: router sinh ra một số ngẫu nhiên, nếu số ngẫu 
nhiên này nhỏ hơn hoặc bằng xác suất đánh dấu thì gói tin sẽ được đánh dấu, nếu không thì gói tin 
sẽ không được đánh dấu. Nếu router quyết định đánh dấu một gói tin, nó sẽ ghi giá trị h(địa chỉ IP) 
vào trường IP identification. Giá trị khoảng cách trong trường IP identification khi đó sẽ tăng thêm 
và gói tin được định tuyến. Kể cả trường hợp router quyết định không đánh dấu gói tin, nó vẫn 
luôn luôn tăng giá trị khoảng cách trong trường IP identification, và gói tin vẫn được định tuyến. 
Thuật toán đánh dấu gói tin như sau: 
_________________________________________________ 
m = h(địa chỉ IP) 
for each gói tin 
read d = giá trị của trường khoảng cách 
sinh ra một số ngẫu nhiên x ∈ [0, 1) 
p = xác suất đánh dấu tương ứng với d, lấy từ bảng 
if x ≤ p (nếu xảy ra, gói tin được đánh dấu) 
write m vào trường đánh dấu 
giá trị trường khoảng cách = d + 1 
____________________________________________________ 
T¹p chÝ Khoa häc & C«ng nghÖ - Sè 1(45) Tập 2/N¨m 2008 
 107
5. Xây dựng lại đường đi của tấn công 
Để xây dựng lại đường đi của một gói tin và xác định nguồn gốc của tấn công, nạn nhân cần một 
bản đồ các router. Nạn nhân sẽ so khớp các dấu của gói tin với các router trên bản đồ, qua đó có thể xây 
dựng lại đường đi của tấn công. Bản đồ này có thể xem như một đồ thị có hướng G. Gốc của G là nạn 
nhân, tất cả các đỉnh trong G là các router, mỗi router y trong G bao gồm tập hợp ρ y các con của nó. 
y và ρ y trong đồ thị G 
Trong suốt quá trình diễn ra tấn công DoS, nạn nhân sẽ nhận một lượng lớn các dấu từ 
các router. Trước khi xây dựng lại đường đi dựa trên các dấu này, chúng ta cần phân nhóm các 
dấu dựa trên độ dài đường đi của tấn công. 
Giả sử có n kẻ tấn công (tấn công từ chối dịch vụ phân tán) ở những khoảng cách khác 
nhau so với nạn nhân. Trong trường hợp này, nạn nhân sẽ có các tập hợp khác nhau các dấu, 
mỗi tập chứa các dấu từ các kẻ tấn công có cùng khoảng cách đến nạn nhân. Đặt các giá trị 
khoảng cách khác nhau của các gói tin trong các tập các dấu thuộc tập µ. Có nghĩa là nạn nhân 
giờ đây có | µ | tập hợp khác nhau của các dấu, mỗi tập tương ứng cho các dấu của các gói tin 
gửi bởi các kẻ tấn công mà ở cùng khoảng cách so với nạn nhân. Miền giá trị của trường khoảng 
cách sẽ là 0 ≤ k ≤ 31. Gọi tập các dấu nhận bởi nạn nhân với giá trị khoảng cách k ∈ µ là λk. Ký 
hiệu số kẻ tấn công tại khoảng cách k bước truyền là nk. Khi đó ta sẽ có: 
λk = nk . k (4) 
Bây giờ ta sẽ xem xét thuật toán xây dựng lại đường đi của tấn công. Đồ thị G được 
duyệt qua bởi mỗi tập các gói tin có cùng giá trị trường khoảng cách (cho mỗi tập λk, ∀ k ∈ µ). 
Bắt đầu tại điểm gốc của đường tấn công là nạn nhân. Các dấu của “láng giềng” con với nạn 
nhân được kiểm tra với mỗi dấu trong tập. Các dấu của các router mà đã so khớp sẽ được thêm 
vào đồ thị tấn công. Tiếp tục lặp lại như vậy, “con” của các router sẽ được kiểm tra với kiểu 
cách tương tự. Quá trình này cứ lặp lại cho đến khi chiều sâu của đồ thị bằng với đường đi. 
Đường đi của tấn công sẽ được chứa trong Sd, với 0 ≤ d ≤ k. 
Thuật toán xây dựng lại đường đi được thực hiện như sau: 
___________________________________________________ 
∀ k ∈ µ 
S0 = nạn nhân 
for d = 0 to (k – 1) 
∀ y in Sd 
∀ R ∈ ρ y 
if R ∈ λk then 
insert R  Sd + 1 
output Sd 
output Sk 
____________________________________________________ 
T¹p chÝ Khoa häc & C«ng nghÖ - Sè 1(45) Tập 2/N¨m 2008 
 108
6. Kết luận 
Ở hoàn cảnh hiện nay thì việc xác định vị trí của các tấn công từ chối dịch vụ mới chỉ khả 
thi về mặt lý thuyết chứ chưa được cài đặt trên các hệ thống thương mại. Khó khăn chính trong 
việc cài đặt là số lượng lớn các nhà cung cấp sẽ phải hỗ trợ các chức năng này để triển khai các 
dịch vụ. Một vấn đề khác nữa là toàn bộ quá trình xử lý thêm nói trên có thể sẽ là một khó khăn 
với các router trung tâm trên Internet, chúng phải chuyển đi hàng ngàn gói tin mỗi giây. Các khối 
lượng lưu lượng lớn đó sẽ cần một sự gia tăng phụ phí CPU để cài đặt được các tính năng trên. 
Tuy nhiên việc tìm hiểu các phương thức xác định điểm xuất phát tấn công vẫn luôn cần thiết và 
phải được hoàn thiện dần theo thời gian, song song với sự phát triển của các loại hình tấn công 
 
Tóm tắt 
Từ khi xuất hiện đến nay, loại hình tấn công từ chối dịch vụ (Denial of Service) luôn là 
một vấn đề nan giải đối với cộng đồng Internet, và cho đến bây giờ, vẫn chưa có một biện pháp 
kỹ thuật nào hoàn toàn khắc chế được kiểu tấn công này. Với đặc tính là sử dụng các gói tin nặc 
danh từ nhiều nguồn khác nhau để tấn công tới một nạn nhân duy nhất, rất khó để tìm ra nơi 
xuất phát của tấn công. Bài báo này sẽ đề cập đến một kỹ thuật giúp "dò ngược" từ nơi bị tấn 
công đến nơi xuất phát tấn công, từ đó có thể xây dựng lại "đường đi" cũng như phát hiện ra nơi 
khởi nguồn của một cuộc tấn công từ chối dịch vụ. 
Summary 
Techniques for detecting source of Denial-of-Service attack 
Since the beginning of its formation, the Denial of Service attack has been a serious 
problem to the community of Internet users. Until now, there have never been any solutions this 
preventing this type of attack. Having the characteristic of using anonymous packets from 
different sources to attack the only target victim, it is very difficult to find out where exactly the 
attack comes from. This article mentions a technique which helps to traceback from where it is 
attacked to where it starts to attack. As a result, it is possible to rebuild attack path as well as 
discover the original start of an attack. 
Tài liệu tham khảo 
[1]. Cisco Systems, “White paper – NetFlow Services and Applications”. 
[2]. Stefan Savage, David Wetherall, Anna Karlin and Tom Anderson, “Practical Network Support for IP 
Traceback”. 
[3]. Tao Peng, Christopher Leckie, and Kotagiri Ramamohanarao, “Adjusted Probabilistic Packet 
Marking for IP Traceback”. 
[4]. David Moore, Geoffrey M. Voelker and Stefan Savage, “Inferring Internet Dennial-of-Service Activity”. 
[5]. Kyoungwon Suh and Thu D. Nguyen, “A Practical Defense Against SYN Denial-of-Service Attacks”. 
[6]. Gary Pack, Jaeyoung Yoon, Eli Collins, Cristian Estan, “On Filtering of DDoS Attacks Based on 
Source Address Prefixes”. 
[7]. Ramkumar Chinchani, Suranjan Pramanik, Ashish Garg, “Handling Failures and DoS Attack Using 
Network Device Groups”. 
[8]. Cisco Systems, “White paper – Distributed denial of service threats: risks, mitigation, and best practices”. 
[9]. David Moore, Geoffrey M. Voelker and Stefan Savage, "Inferring Internet Denial-of-Service Activity". 
[10]. Alex C.Snoeren, Craig Partridge, Luis A. Sanchez, Christine E. Jones, Fabrice Tchakountio, 
Beverly Schwartz, Stephen T. Kent, and W. Timothy Strayer, "Single-Packet IP Traceback".