Nguyễn Thế Hùng
Chương 3: GIAO THỨC LAN TỎA NGƯỢC
tải về 1.28 Mb.
|
- Điều hướng trang này:
- 3.1.2. Các thuật ngữ
- 3.1.2.2. Router/Gateway
- 3.1.2.3. Cơ chế “Lan tỏa ngược”
Chương 3: GIAO THỨC LAN TỎA NGƯỢC3.1. Giới thiệu về giao thức Lan tỏa ngược3.1.1. Khái niệm chungĐây là một phương pháp mới để phòng chống lại các cuộc tấn công DDoS theo cơ chế phản ứng lại và kết hợp nhiều vị trí. Tác giả Hoàng Văn Quân phát minh ra khi cùng nhóm nghiên cứu khoa học ở trường Công nghệ nghiên cứu về DDoS ( nhóm gồm 4 sinh viên dưới sự hướng dẫn của thày Đoàn Minh Phương) Giao thức này đã được trình bày trong một hội thảo nghiên cứu cấp quốc gia của ở Thái Nguyên về các ứng dụng của Công nghệ (tháng 12 năm 2007). Bản luận văn này đã được tác giả hoàn thiện phần lý thuyết và thêm phần cài đặt, triển khai phần lõi của giao thức Giao thức ‘Lan tỏa ngược’ dựa trên 3 nguyên tắc để ngăn chặn các cuộc tấn công: + Sử dụng các bộ lọc (Filter) trên các router để chặn các gói tin DDoS. + Dùng cơ chế ‘lan tỏa ngược’ để đẩy nhiệm vụ lọc cho các router gần Attacker. +
3.1.2.1. Bộ lọc (Filter)Filter là 1 bộ các luật để xác định cách thức 1 router truyền hay ngăn chặn dữ liệu. Cụ thể trong trường hợp này thì Filter của router có chức năng chặn tất cả các gói tin DDoS có IP nguồn là IP của Agent, hoặc IP bị Agent giả mạo, và IP đích là IP của Victim. Trong giao thức, mỗi Filter không tồn tại mãi mãi trên router, chúng đều có 1 thời gian thi hành nhất định. Riêng Filter cuối cùng gần attacker nhất thì sẽ có thời gian tồn tại lâu hơn hẳn các Filter trên các router khác. 3.1.2.2. Router/GatewayTrong bài báo này, router ở phần lõi của Internet ngoài chức năng định tuyến còn có nhiệm vụ thực thi giao thức Lan tỏa ngược để phản ứng lại với DDoS. Trong giao thức lan tỏa ngược, có tất cả 2 loại gateway: của victim và của agent. Vì mạng có cơ chế NAT, nên khá khó có thể liên lạc trực tiếp với chính xác máy tính tấn công. Do đó trong bài báo này, chúng tôi coi thiết bị mà có IP Internet của gói tin tấn công đó là gateway của agent. Trong trường hợp thông thường thì gateway này nối giữa mạng Local của agent và Internet, sử dụng NAT để chia sẻ cho nhiều máy. Một số trường hợp đặc biệt khác là máy tính tấn công có địa chỉ IP tĩnh hoặc sử dụng 1 Internet proxy. Khi đó thì giao thức coi chính Agent và Proxy kia là gateway. Khái niệm tương tự với gateway của Victim, chỉ khác là không có trường hợp Victim sử dụng Internet proxy. 3.1.2.3. Cơ chế “Lan tỏa ngược”Là phương pháp cho phép xác định được chính xác nguồn tấn công từ chối dịch vụ bằng cách lan truyền bộ lọc trên các router qua cơ chế pushback. K
hi có 1 địa chỉ IP được xác định là nguồn tấn công. Trên gateway của Victim sẽ bật 1 bộ lọc, vừa để loại bỏ các gói tin DDoS, vừa lắng nghe xem các gói tin ấy đến từ interface nào. Sau khi xác định được thì sẽ gửi 1 yêu cầu qua interface ấy, đến router hàng xóm yêu cầu lập Filter tương tự. Router hàng xóm lập Filter, lắng nghe rồi xác định gói tin đến từ interface nào, và lại gửi yêu cầu lập Filter cho router kế tiếp. Cứ như vậy sẽ xác định được router gần nguồn tấn công nhất, cho dù là IP nguồn tấn công có bị giả mạo hay không. 
(hình 14: lan truyền bộ lọc) Каталог: jspui -> bitstream -> 123456789 123456789 -> Nguyễn Ngọc Lý Giám đốc Trung tâm Nghiên cứu về Môi trường và Cộng đồng 123456789 -> Vò Quúnh Thu Cao häc K18 123456789 -> Khoa Báo chí Đhkhxh&NV 123456789 -> Acknowledgements 123456789 -> Danh mục chữ viết tắT 123456789 -> Chương TỔng quan vật liệu mao quản trung bình (mqtb) trật tự 1 Giới thiệu chung 123456789 -> Khoa hóa họC (141 142 báo cáo) tải về 1.28 Mb. Chia sẻ với bạn bè của bạn:
|