Đang tải... (xem toàn văn)
Mạng khả trình (SDN) là công nghê mạng mới, cho phép điều hành hệ thống mạng bằng bộ điều khiển trung tâm có khả năng lập trình. Dịch vụ quản lý topology phát hiện và quản lý các liên kết, các switch, host trong SDN. Là 1 dịch vụ quan trọng liên quan chặt chẽ đến các thành phần điều khiển, ứng dụng trong SDN Kẻ tấn công có thể sử dụng host hoặc switch bị thỏa hiệp để tấn công giả mạo vào dịch vụ quản lý topology. Giải pháp thực hiện: Xây dựng hệ thống phát hiện và phòng chống tấn công gồm 2 mô đun: Mô đun phát hiện tấn công. Mô đun phòng chống tấn công
TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI VIỆN CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG ĐỒ ÁN TỐT NGHIỆP ĐỀ TÀI: XÂY DỰNG HỆ THỐNG PHÁT HIỆN VÀ PHÒNG CHỐNG TẤN CÔNG TRÊN NỀN TẢNG MẠNG KHẢ TRÌNH- PHÂN HỆ PHÁT HIỆN TẤN CÔNG GIẢ MẠO TOPOLOGY Sinh viên thực hiện: Nguyễn Hoàng Sơn 20112073 Lớp CNTT-TT 1.1 Giảng viên hướng dẫn: K56 ThS Bùi Trọng Tùng Nội dung trình bày Đặt vấn đề Giải pháp thực Mô đun phát công Xây dựng hệ thống thử nghiệm Kết quả, đánh giá kết luận Đặt vấn đề Mạng khả trình (SDN) công nghê mạng mới, cho phép điều hành hệ thống mạng điều khiển trung tâm có khả lập trình Dịch vụ quản lý topology phát quản lý liên kết, switch, host SDN Là dịch vụ quan trọng liên quan chặt chẽ đến thành phần điều khiển, ứng dụng SDN Kẻ công sử dụng host switch bị thỏa hiệp để công giả mạo vào dịch vụ quản lý topology Giải pháp thực Xây dựng hệ thống phát phòng chống công gồm mô đun: - Mô đun phát công - Mô đun phòng chống công Giải pháp thực Mạng khả trình (SDN) Software Defined Networking: Mạng định nghĩa phần mềm SDN tách riêng phần điều khiển phần chuyển tiếp, phần điều khiển cung cấp khả lập trình giao tiếp với phần chuyển tiếp qua giao thức truyền thông Giải pháp thực OpenFlow Giao thức cung cấp khả truyền thông Controll Layer Infrastructure Layer Tất thiết bị liên kết với tầng điều khiển qua giao thức OpenFlow Giải pháp thực Cơ chế chuyển tiếp gói tin OpenFlow OpenFlow Controller Packet In Packet Out OF Protocol Gói tin đến Flow Tables Execute Actions Gói tin OpenFlow Switch Giải pháp thực Dịch vụ quản lý topology Khám phá thiết bị, liên kết mạng Dịch vụ quản lý topology sử dụng gói tin LLDP (Link Layer Discovery Protocol) để khám phá liên kết trực tiếp OFSwitch mạng DI_dst DI_src Eth_type Chassis ID TLV Port ID TLV TTL TLV Optional TLVs End TLV 01:80:C2:00:00:0E Outgoing Port MAC 0x88CC DPID of Switch Port Number of Switch Time to Live E.g System Description End Sign of LLDP Giải pháp thực Quy trình khám phá liên kết trực tiếp Switch gồm bước Lỗ hổng quy trình khám phá liên kết trực tiếp Switch : Sự toàn vẹn/ nguồn gốc gói LLDP bị vi phạm Host bị thỏa hiệp tham gia vào quy trình Mô đun phát công Giải pháp phòng chống Thêm trường macTLV vào gói tin LLDP để xác minh tính toàn vẹn/nguồn gốc DI_dst DI_src Eth_typ e Chassis ID TLV Port ID TLV TTL TLV macTLV Optional TLVs End TLV 01:80:C2:00:00: 0E Outgoing Port MAC 0x88CC DPID of Switch Port Number of Switch Time to Live Type, Length, Value E.g System Description End Sign of LLDP macTLV: Type = 0x0d, Length = độ dài Value Value Controller lưu lại giá trị Value với DPID Port number thành để xác minh tính toàn vẹn/nguồn gốc gói tin 10 Mô đun phát công Sơ đồ thuật toán xác thực gói tin LLDP nhận 11 Mô đun phát công Thêm trường DeviceType vào cổng OFSwitch để xác minh tính chất cổng Giá trị mặc định: DeviceType = ANY Cổng kết nối với host: DeviceType=HOST ATTACK LLDP packet Host traffic HOST Port down ANY Gói LLDP nhận từ cổng có DeviceType = HOST => Cảnh báo công 12 Xây dựng hệ thống thử nghiệm Hệ thống thử nghiệm Controller sử dụng floodlight OFSwitch xây dựng mininet Host1 sử dụng công cụ Python tạo gửi gói LLDP giả mạo 13 Kết quả, đánh giá kết luận Kết Trường macTLV thêm thành công vào gói tin LLDP 14 Kết quả, đánh giá kết luận Attacker tạo gửi gói tin LLDP giả mạo từ host 15 Kết quả, đánh giá kết luận Cảnh báo công giả mạo 16 Kết quả, đánh giá kết luận Đánh giá Thời gian thêm trường Tổng thời gian macTLV(a) (b) Xây dựng gói tin LLDP lần Xây dựng gói tin LLDP lần Xác minh gói tin LLDP Tỷ lệ (%) a/b ≈ 3000 µs ≈ 3750 µs 80% ≈ µs ≈ 110 µs 5,45% ≈ 0,8 µs ≈ 128 µs 0,625% 17 Kết quả, đánh giá kết luận Kết luận Xây dựng thành công hệ thống mô công giả mạo topology sử dụng gói tin LLDP giả mạo Phát công giả mạo topology Liên kết thành công với mô đun phòng chống công, tạo thành hệ thống hoàn chỉnh 18 19