Nguyễn Thế Hùng

2.1.1. Giới thiệu

2.1.2. Tổng quan về giao thức AITF

( Hình 11: mô tả AITF)

20
V_gw thiết lập một kết nối đặc biệt tới A_gw kèm theo một yêu cầu: ” không gửi các gói tin mà tôi không cần nữa” . Khi kết nối đặc biệt trên hoàn thành, V_gw có thể gỡ bỏ bộ lọc tạm thời trên. Nếu A­_gw không hợp tác, V_gw có thể lan tỏa yêu cầu đặt bộ lọc tới router gần sát với A_gw. Sự lan tỏa như trên được đệ qui theo dọc tuyết đường từ kẻ tấn công tới nạn nhân cho tới khi kết nối đặc biệt nêu trên được thiết lập. Trong trường hợp xấu nhất, khi không có router nào đáp trả yêu cầu kết nối, bộ lọc sẽ được đặt tại gateway của victim V_gw. Tuy nhiên AITF có những cơ chế đặc biệt để hỗ trợ và khuyến khích các router gần tới nguồn tấn công chặn các luồng tấn công DDoS.

2.1.3. Cơ chế hoạt động AITF

(Hình 12: hoạt động giao thức AITF)

21
Như hình 12, AITF có sự tham gia của 4 thực thể
- Victim V gửi yêu cầu lọc đến V_gw, chỉ rõ luồng dữ liệu không mong muốn F
- Victim gateway V_gw
b1: Cài đặt bộ lọc tạm thời để chặn luồng tấn công F trong thời gian T_tmp giây
b2: Khởi tạo quá trình bắt tay 3 bước với A_gw
b3: Gỡ bỏ bộ lọc nếu hoàn thành quá trình bắt tay 3 bước
- Attack gateway A_gw
b1: Đáp lại quá trình bắt tay 3 bước
b2: Cài đặt bộ lọc tạm thời để chặn luồng tấn công F trong thời gian T_tmp nếu quá trình kết nối bắt tay 3 bước thành công
b3: Gửi yêu cầu lọc đến nguồn tấn công A, yêu cầu dừng luồng F trong khoảng thời gian T_long>>T_tmp
b4: Gỡ bỏ bộ lọc tạm thời nếu A tuân theo trong khoảng thời gian T_tmp, ngược lại ngắt kết nối tới A
- Kẻ tấn công A
b1: Nguồn tấn công A dừng luồng F trong khoảng thời gian T_long nếu không thì sẽ bị ngắt kết nối tới A_gw

2.1.4. nhận xét

Do Victim_GW đẩy nhiệm vụ lọc gói tin cho Router gần Agent. Vì vậy sẽ sớm ngăn chặn được các gói tin DDoS và đỡ tốn băng thông mạng và giảm tình trạng nút cổ chai ở gần Victim.

Chặn được DDoS ngay cả khi từ Attacker đến Victim có nhiều đường đi và có sự thay đổi động trên các router ở phần lõi Internet.

2.2. Hệ thống D-WARD

2.2.1. Mục tiêu


22
Phát hiện luồng tấn công và ngăn chặn chúng bằng cách điều khiển luồng.
Cung cấp một dịch vụ tốt để hợp pháp hóa giao dịch giữa Victim và mạng khi xảy ra tấn công
D-WARD có thể hoạt động như là một hệ thống cô lập hay tham gia vào một hệ thống phòng thủ phân tán. Khi xem xét D-WARD dưới khía cạnh hoạt động độc lập, D-WARD phát hiện nguồn tấn công và có cơ chế phản ứng lại mà không kết hợp với các thực thể khác. Khi hoạt động trong hệ thống kết hợp phòng thủ phân tán, D-WARD nâng cao khả năng phát hiện tấn công thông qua việc nhận các báo động tấn công từ các thực thể tham gia khác.

D-WARD chỉ kiểm soát những luồn dữ liệu đi ra từ mạng của mình, các luồng dữ liệu có nguồn gốc từ các nguồn khác không được kiểm soát.

2.2.2. Triển khai D-WARD

Hệ thống D-WARD được cài đặt ở router nguồn được hoạt động như một gateway giữa hệ thống mạng được triển khai và toàn mạng Internet

(hình 13: Hệ thống D-WARD)

3.2.3. Nhận xét

Triển khai hệ thống xử lý phân tán D-WARD , sẽ khá phức tạp và tốn kém. Một phần vì cách định nghĩa của hệ thống: xử lý tập trung tại các máy quản lý policies, quản lý tất cả các luồng dữ liệu ra vào mạng nên sẽ khá tốn tài nguyên phần cứng và băng thông mạng. Hệ thống D-WARD kiểm soát tất cả các luồng dữ liệu, kể cả người dùng hợp lệ, và sự kiểm soát chặt chẽ như vậy đôi khi là dư thừa và không cần thiết.