Phát hiện lọc bỏ nhanh các gói tin giả mạo trong tấn công mạng TCP SYN Flood

Trần Mạnh Thắng, Nguyễn Khanh Văn

Abstract


Tấn công từ chối dịch vụ phân tán (DDoS) theo hình thức gửi tràn ngập gói khởi tạo kết nối (gói tin SYN) là một trong những dạng tấn công mạng rất nguy hiểm và khó phòng-chống. Bởi vì với dạng tấn công này, tin tặc cố tình gửi gói tin khởi tạo kết nối giả mạo địa chỉ nguồn mà đảm bảo các trường thông tin như của gói tin khởi tạo bình thường. Đã có nhiều kết quả nghiên cứu và giải pháp đề xuất về việc phát hiện và lọc bỏ những gói tin giả mạo này, nhưng phần lớn các xử lý yêu cầu nhiều tài nguyên hệ thống để xử lý, do đó hiệu quả sẽ bị ảnh hưởng nhiều khi luồng tấn công DDoS lớn. Trong nghiên cứu này, chúng tôi đề xuất một thuật toán phát hiện và lọc bỏ nhanh các gói tin giả mạo mà sử dụng rất ít tài nguyên hệ thống và đạt tỷ lệ phát hiện rất cao.

DOI: 10.32913/rd-ict.vol2.no38.476


Keywords


Tấn công từ chối dịch vụ phân tán, tấn công SYN Flood

References


C. C. Center, “TCP SYN flooding and IP spoofing attacks,” CERT Advisory CA-96-21, Sep. 1996.

Internet Engineering Task Force, “Internet protocol,” Standard RFC 791, 1981.

T. M. Thang and V. K. Nguyen, “Synflood Spoof Source DDoS Attack Defence Based on Packet ID Anomaly Detection-PIDAD,” in Information Science and Applications (ICISA). Springer, 2016, pp. 739–751.

S. T. Zargar, J. Joshi, and D. Tipper, “A survey of defense mechanisms against distributed denial of service (DDoS) flooding attacks,” IEEE Communications Surveys & Tutorials, vol. 15, no. 4, pp. 2046–2069, 2013.

H. Zimmermann, “OSI reference model–The ISO model of architecture for open systems interconnection,” IEEE Transactions on Communications, vol. 28, no. 4, pp. 425–432, 1980.

A. John and T. Sivakumar, “DDoS: Survey of traceback methods,” International Journal of Recent Trends in Engineering, vol. 1, no. 2, pp. 241–245, 2009.

A. C. Snoeren, “Hash-based IP traceback,” in In Proceedings of the ACM SIGCOMM. Citeseer, Aug. 2001, pp. 3–14.

J. B. Cabrera, L. Lewis, X. Qin, W. Lee, R. K. Prasanth, B. Ravichandran, and R. K. Mehra, “Proactive detection of distributed denial of service attacks using mib traffic variables-a feasibility study,” in Proceedings of the IEEE/IFIP International Symposium on Integrated Network Management. IEEE, 2001, pp. 609–622.

R. Jalili, F. Imani-Mehr, M. Amini, and H. Shahriari, “Detection of distributed denial of service attacks using statistical pre-processor and unsupervised neural networks,” Information Security Practice and Experience, pp. 192–203, 2005.

M. Li, J. Liu, and D. Long, “Probability Principle of a Reliable Approach to Detect Signs of DDOS Flood Attacks.” in Proceedings of the Parallel and Distributed Computing: Applications and Technologies. Springer, 2004, pp. 596–599.

T. Peng, C. Leckie, and K. Ramamohanarao, “Protection from distributed denial of service attacks using historybased IP filtering,” in Proceedings of the IEEE International Conference on Communications (ICC’03), vol. 1. IEEE, 2003, pp. 482–486.

H. Wang, C. Jin, and K. G. Shin, “Defense against spoofed IP traffic using hop-count filtering,” IEEE/ACM Transactions on Networking (ToN), vol. 15, no. 1, pp. 40–53, 2007.

A. Yaar, A. Perrig, and D. Song, “Pi: A path identification mechanism to defend against DDoS attacks,” in Proceedings of the Symposium on Security and Privacy. IEEE, 2003, pp. 93–107.

Y. Kim, W. C. Lau, M. C. Chuah, and H. J. Chao, “PacketScore: a statistics-based packet filtering scheme against distributed denial-of-service attacks,” IEEE Transactions on Dependable and Secure Computing, vol. 3, no. 2, pp. 141–155, 2006.

F. Almeida, “idlescan (ip.id portscanner),” 1999.

R. Lippmann, J. W. Haines, D. J. Fried, J. Korba, and K. Das, “The 1999 darpa off-line intrusion detection evaluation,” Computer Networks, vol. 34, no. 4, pp. 579–595, 2000.

U. Akyazi and A. S. Uyar, “Distributed detection of DDoS attacks during the intermediate phase through mobile agents,” Computing and Informatics, vol. 31, no. 4, pp. 759–778, 2012.

W.-H. Chen, S.-H. Hsu, and H.-P. Shen, “Application of SVM and ANN for intrusion detection,” Computers & Operations Research, vol. 32, no. 10, pp. 2617–2634, 2005.

M. Panda and M. R. Patra, “Network intrusion detection using naive bayes,” International Journal of Computer Science and Network Security, vol. 7, no. 12, pp. 258–263, 2007.

Internet Engineering Task Force, “Transmission control protocol,” Standard RFC 793, 1981.


Full Text: PDF

CƠ QUAN CHỦ QUẢN: BỘ THÔNG TIN VÀ TRUYỀN THÔNG (MIC)
Giấp phép số 69/GP-TTĐT cấp ngày 26/12/2014.
Tổng biên tập: Vũ Chí Kiên
Tòa soạn: 110-112, Bà Triệu, Hà Nội; Điện thoại: 04. 37737136; Fax: 04. 37737130; Email: chuyensanbcvt@mic.gov.vn
Ghi rõ nguồn “Tạp chí Công nghệ thông tin và truyền thông” khi phát hành lại thông tin từ website này