Nguyễn Thế Hùng

3.2.2. Bước 2: Bắt đầu

3.2.3. Bước 3: Kiểm tra giả mạo

+ Nếu không có phản hồi tức là Agent nhiều khả năng đã giả mạo a.b.c.d, chuyển sang thực hiện bước 6. Khoảng thời gian chờ phản hồi không thấy là t_no-response.

+ Nếu có phản hồi trong khoảng thời gian là t _response, a.b.c.d chính là Agent Gateway (A_GW). Tiếp theo Victim_GW sẽ cố gắng đẩy nhiệm vụ lọc ra phía A_GW. Nhưng trước hết, giao thức Lan tỏa ngược sẽ cố gắng tiến kiệm công sức bằng cách thực hiện bước 4.

3.2.4. Bước 4: Rút gọn

Cách thức tìm kiếm như sau: Victim_GW thực hiện lệnh dò đường bằng gói tin ICMP tới a.b.c.d có TTL tăng dần từ 0 (cách thức thực hiện gần giống như tracert, traceroute). Các router trên đường đi tới A_GW sẽ lần lượt gửi về gói tin ICMP time exceeded. Sau khi có đầy đủ các địa chỉ IP của các router trên đường đi tới Agent, Victim_GW sẽ lần lượt kết nối tin cậy từ A_GW ngược về gần mình, rồi gửi thông điệp xác nhận xem router đó có hỗ trợ giao thức không. Hai router trả lời “có” sớm nhất sẽ lần lượt là Y và X.

T
27
iếp theo, routerX và routerY sẽ kiểm tra ngược lại Victim_GW xem có đúng là Victim_GW kết nối trực tiếp Victim hay không. Nếu Victim có địa chỉ IP Internet trùng với Victim_GW (xảy ra khi Victim có IP tĩnh hoặc Victim_GW cấu hình virtual server trỏ đến IP Victim trong mạng local) thì sẽ bỏ qua bước này, vì qua giao thức kết nối tin cậy thì sẽ xác nhận chính xác Victim là người yêu cầu, chứ không phải 1 kẻ giả mạo nào khác. Với trường hợp Victim và Victim_GW có IP Internet khác nhau, thì routerX, routerY sẽ kiểm tra xem Victim_GW có đứng kề trước Victim trên đường đi hay không bằng cách: Hai router này sẽ thực hiện 2 lệnh ping tới Victim với tham số TTL lần lượt là h+1 và h, với h là số hops từ Victim_GW đến router tương ứng. Nếu router không nhận được trả lời hợp lệ là các gói tin ICMP time exceeded từ Victim và Victim_GW thì sẽ gửi thông báo từ chối và ngắt kết nối tới Victim_GW. Giao thức kết thúc. Nếu tất cả đều hợp lệ thì routerX, routerY và Victim_GW đã tin tưởng nhau hoàn toàn, kết nối tin cậy ở trên vẫn còn giữ để thực hiện tiếp bước 5: ngăn chặn.

Khoảng thời gian để các router kiểm tra Victim_GW là t_authen

3.2.5. Bước 5: Ngăn chặn

Victim_GW yêu cầu routerY đặt bộ lọc FilterY trong khoảng thời gian t_Y và gửi lưu lượng DDoS R1 từ a.b.c.d mình nhận được.

Victim_GW thiết lập kết nối tin cậy với RouterX. Yêu cầu đặt file shadowX để giám sát luồng DDoS từ a.b.c.d trong khoảng thời gian ∆t, sau đó ngắt kết nối với RouterX.

RouterY sau khi đặt FilterY với thời gian t_Y , vừa ngăn chặn lưu lượng DDoS, đồng thời sẽ theo dõi lưu lượng gói tin R2 request từ a.b.c.d đến victim qua mình:

+ Nếu R1 >> R2 tức là Agent đã mạo danh địa chỉ a.b.c.d. RouterY hủy FilterY, sau đó gửi R2 cho Victim_GW. Victim_GW nhận được, so sánh với R1 rồi ngắt kết nối với RouterY, sau đó thực hiện bước 6.

+ Nếu R1  R2 có nghĩa a.b.c.d đúng là địa chỉ của Agent đang tấn công, RouterY thông báo lại với Victim_GW, Victim_GW xác nhận lại rồi ngắt kết nối. RouterY thực hiện bước 6 nhưng đóng vai trò của Victim_GW (lan tỏa ngược bán phần)

T
28

hời gian kiểm tra R1, R2 này gọi là t_check,



_{(hình 15)}

RouterX theo dõi trong thời gian ∆t mà vẫn thấy có lưu lượng DDoS từ interface của nó kết nối với RouterY thì có nghĩa là routerY đã không thực hiện được nhiệm vụ ngăn chặn DDoS. RouterX sẽ lập FilterFinal lọc các gói tin đó với thời gian t_long. Giải thuật kết thúc.

Каталог: jspui -> bitstream -> 123456789
123456789 -> Nguyễn Ngọc Lý Giám đốc Trung tâm Nghiên cứu về Môi trường và Cộng đồng
123456789 -> Vò Quúnh Thu Cao häc K18
123456789 -> Khoa Báo chí Đhkhxh&NV
123456789 -> Acknowledgements
123456789 -> Danh mục chữ viết tắT
123456789 -> Chương TỔng quan vật liệu mao quản trung bình (mqtb) trật tự 1 Giới thiệu chung
123456789 -> Khoa hóa họC (141 142 báo cáo)

tải về 1.28 Mb.

Chia sẻ với bạn bè của bạn: