Mô hình hóa và chống tấn công từ chối dịch vụ tốc Độ thấp vào giao thức tcp

MÔ HÌNH HÓA VÀ CHỐNG TẤN CÔNG TỪ CHỐI DỊCH VỤ TỐC ĐỘ THẤP VÀO GIAO THỨC TCP GIÚP ỔN ĐỊNH HỆ THỐNG TĂNG BẢO MẬT TRONG DỊCH VỤ

ĐẠI HỌC HÀ NỘI

TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

MÔ HÌNH HÓA VÀ CHỐNG TẤN CÔNG TỪ CHỐI DỊCH VỤTỐC ĐỘ THẤP VÀO GIAO THỨC TCP

LUẬN ÁN TIẾN SĨ

MẠNG MÁY TÍNH VÀ TRUYỀN THÔNG DỮ LIỆU

HÀ NỘI – 2024

ĐẠI HỌC HÀ NỘI

TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

MÔ HÌNH HÓA VÀ CHỐNG TẤN CÔNG TỪ CHỐI DỊCH VỤTỐC ĐỘ THẤP VÀO GIAO THỨC TCP

Ngành: Mạng máy tính và truyền thông dữ liệu

Chuyên ngành: Mạng máy tính và truyền thông dữ liệuMã số: 9480102.01

LUẬN ÁN TIẾN SĨ

MẠNG MÁY TÍNH VÀ TRUYỀN THÔNG DỮ LIỆU

TẬP THỂ HƯỚNG DẪN KHOA HỌC:1 GS TS NGUYỄN THANH THỦY2 TS NGUYỄN ĐẠI THỌ

HÀ NỘI – 2024

LỜI CAM ĐOAN

Tôi xin cam đoan luận án này là kết quả nghiên cứu của tôi, được thực hiện dưới sựhướng dẫn của GS TS Nguyễn Thanh Thủy và TS Nguyễn Đại Thọ Các kết quảvà số liệu trình bày trong luận án là hoàn toàn trung thực và chưa từng được công bốtrong bất kỳ công trình của ai khác Những tài liệu, nội dung nghiên cứu của các tácgiả khác mà luận án sử dụng đều được trích dẫn đầy đủ và ghi rõ nguồn gốc.

Nghiên cứu sinh

Gửi đến bố mẹ, em trai và những người bạn chân thành của tôi,

những người luôn động viên, tin tưởng và tạo điều kiện tốt nhất cho tôi trongcông việc nghiên cứu cũng như trong cuộc sống.

MỤC LỤC

Danh sách hình vẽ . viii

Danh sách bảng . xiii

Danh sách thuật ngữ và từ viết tắt . xiv

Danh sách biến và tham số . xviii

Lời cảm ơn . xxii

Mở đầu . 1

1Tổng quan về tấn công từ chối dịch vụ phân tán và tấn công từ chối dịchvụ phân tán tốc độ thấp . 6

1.1 Tấn công từ chối dịch vụ phân tán 6

1.1.1 Khái niệm tấn công từ chối dịch vụ và tấn công từ chối dịchvụ phân tán 6

1.1.2 Nguồn gốc của tấn công từ chối dịch vụ phân tán 7

1.1.3 Khó khăn và thách thức trong chống tấn công từ chối dịch vụphân tán 8

1.2 Tấn công từ chối dịch vụ phân tán tốc độ thấp 14

1.2.1 Khái niệm tấn công từ chối dịch vụ phân tán tốc độ thấp 14

1.2.2 Cơ chế điều khiển tắc nghẽn của giao thức TCP 15

1.2.3 Mô hình lưu lượng của tấn công từ chối dịch vụ phân tán tốcđộ thấp 24

1.2.4 Phát hiện và chống tấn công từ chối dịch vụ phân tán tốc độthấp 25

1.2.5 Mô hình phân tích của tấn công từ chối dịch vụ phân tán tốcđộ thấp 421.3 Kết luận 44

2Thông lượng TCP trong điều kiện có tấn công từ chối dịch vụ phân tántốc độ thấp . 45

2.1 Mô hình mạng và các giả thiết 472.2 Một dòng TCP sử dụng báo nhận tức thời 51

2.2.1 Kích thước cửa sổ tắc nghẽn không bị chia đôi trước khi TCPrơi vào trạng thái chờ phát lại gói tin 532.2.2 Kích thước cửa sổ tắc nghẽn bị chia đôi trước khi TCP rơi vào

trạng thái chờ phát lại gói tin 632.2.3 Các kết quả mô phỏng 692.3 Nhiều dòng TCP đồng nhất sử dụng báo nhận tức thời 72

2.3.1 Kích thước cửa sổ tắc nghẽn không bị chia đôi trước khi TCPrơi vào trạng thái chờ phát lại gói tin 732.3.2 Kích thước cửa sổ tắc nghẽn bị chia đôi trước khi TCP rơi vào

trạng thái chờ phát lại gói tin 782.3.3 Hiện tượng bất đối xứng của tiến trình kích thước cửa sổ tắc

nghẽn 832.3.4 Các kết quả mô phỏng 922.4 Một hoặc nhiều dòng TCP đồng nhất sử dụng báo nhận trễ 98

2.4.1 Kích thước cửa sổ tắc nghẽn không bị chia đôi trước khi TCPrơi vào trạng thái chờ phát lại gói tin 1022.4.2 Kích thước cửa sổ tắc nghẽn bị chia đôi trước khi TCP rơi vào

trạng thái chờ phát lại gói tin 1082.4.3 Các kết quả mô phỏng 1142.5 So sánh phương pháp ước lượng đề xuất với các phương pháp khác 120

2.6 Kết luận 125

3Chống tấn công từ chối dịch vụ phân tán tốc độ thấp . 126

3.1 Thuật toán quản lý hàng đợi tích cực Phát hiện sớm ngẫu nhiên 126

3.2 Tiếp cận dựa trên độ đo tỉ lệ tham gia tắc nghẽn mạng 129

3.2.1 Khảo sát giá trị độ đo tỉ lệ tham gia tắc nghẽn mạng của cácdòng gói tin 132

3.2.2 Hiệu năng của tiếp cận dựa trên độ đo tỉ lệ tham gia tắc nghẽnmạng 138

3.2.3 Ảnh hưởng của tiếp cận đối với sự công bằng của các kết nốiTCP 139

3.3 Phương pháp thích ứng ngưỡng 140

3.3.1 Sự hội tụ giá trị độ đo của các dòng tấn công 140

3.3.2 Tỉ lệ lấy mẫu tắc nghẽn của liên kết 142

4.2.3 So sánh hiệu năng của tiếp cận dựa trên độ đo mới với tiếp

cận ban đầu 161

4.3 Kết luận 168

Kết luận . 169

Danh sách các công trình khoa học của luận án . 171

Tài liệu tham khảo . 172

Phụ lục . 182

DANH SÁCH HÌNH VẼ

1.1 Một dòng tấn công LDDoS 242.1 Cấu trúc mạng trong nghiên cứu mô phỏng và ước lượng thông lượng

TCP trong điều kiện có tấn công LDDoS 482.2 Kích thước cửa sổ tắc nghẽn khiCT < ssthresh 532.3 Đường thời gian của một dòng TCP trong điều kiện có tấn công LDDoS

với giả thiếtCT < ssthresh 572.4 Kích thước cửa sổ tắc nghẽn khissthresh < CT < W 592.5 Đường thời gian của một dòng TCP trong điều kiện có tấn công LDDoS

với giả thiếtssthresh < CT < W 602.6 Kích thước cửa sổ tắc nghẽn khiW < CT 622.7 Kích thước cửa sổ tắc nghẽn bị chia đôi một lần trước khi timeout

vàCT < ssthresh 632.8 Kích thước cửa sổ tắc nghẽn bị chia đôi một lần trước khi timeout

vàssthresh < CT < Wmax

2 652.9 Kích thước cửa sổ tắc nghẽn bị chia đôi một lần trước khi timeout

và Wmax

2 < CT < W 672.10 Kích thước cửa sổ tắc nghẽn bị chia đôi một lần trước khi timeout

vàW < CT 682.11 Các kết quả so sánh với một dòng TCP sử dụng báo nhận tức thời 712.12 Kích thước cửa sổ tắc nghẽn khi CT

K < ssthresh 752.13 Kích thước cửa sổ tắc nghẽn khissthresh < CT

K < W 762.14 Kích thước cửa sổ tắc nghẽn khiW < CT

K 772.15 Kích thước cửa sổ tắc nghẽn bị chia đôi một lần trước khi timeout

và CT

K < ssthresh 78

2.16 Kích thước cửa sổ tắc nghẽn bị chia đôi một lần trước khi timeoutvàssthresh < CT

K <

2 802.17 Kích thước cửa sổ tắc nghẽn bị chia đôi một lần trước khi timeout

và Wmax

2 <CT

K < W 812.18 Kích thước cửa sổ tắc nghẽn bị chia đôi một lần trước khi timeout

vàW < CT

K 822.19 TCP rơi vào trạng thái timeout khi kích thước cửa sổ tắc nghẽn đạtWmax

và CT

K < ssthresh 842.20 TCP rơi vào trạng thái timeout khi kích thước cửa sổ tắc nghẽn đạtWmax

vàssthresh < CTK <

2 852.21 TCP rơi vào trạng thái timeout khi kích thước cửa sổ tắc nghẽn đạtWmax

và Wmax

2 <CT

K < W 862.22 TCP rơi vào trạng thái timeout khi kích thước cửa sổ tắc nghẽn đạtWmax

vàW < CT

K 872.23 TCP rơi vào trạng thái timeout ngay sau khi kích thước cửa sổ tắc nghẽn

bị giảm một nửa từWmax và CT

K < ssthresh2 882.24 TCP rơi vào trạng thái timeout ngay sau khi kích thước cửa sổ tắc nghẽn

bị giảm một nửa từWmax vàssthresh2 < CT

K < ssthresh1 892.25 TCP rơi vào trạng thái timeout ngay sau khi kích thước cửa sổ tắc nghẽn

bị giảm một nửa từWmax vàssthresh1 < CTK <

2 902.26 TCP rơi vào trạng thái timeout ngay sau khi kích thước cửa sổ tắc nghẽn

bị giảm một nửa từWmax và Wmax

2 <CT

K < W 912.27 TCP rơi vào trạng thái timeout ngay sau khi kích thước cửa sổ tắc nghẽn

bị giảm một nửa từWmax vàW < CT

K 922.28 Các kết quả so sánh của ba tập mô phỏng trong mạng với nt_bw = 100

(Mbps) vàbn_bw = 5(Mbps) 94

2.29 Ước lượng thông lượng TCP khi có tấn công LDDoS với cấu hình mạng

nt_bw = 100(Mbps) vàbn_bw = 5(Mbps) cho tập mô phỏng thứ nhấtvớint_dl = 22(mili giây) 942.30 Ước lượng thông lượng TCP khi có tấn công LDDoS với cấu hình mạng

nt_bw = 100(Mbps) và bn_bw = 5(Mbps) cho tập mô phỏng thứ haivớint_dl = 2(mili giây) 952.31 Ước lượng thông lượng TCP khi có tấn công LDDoS với cấu hình mạng

nt_bw = 100 (Mbps) vàbn_bw = 5 (Mbps) cho tập mô phỏng thứ bavớint_dl = 7(mili giây) 952.32 Các kết quả so sánh của ba tập mô phỏng trong mạng vớint_bw = 1000

(Mbps) vàbn_bw = 20(Mbps) 962.33 Ước lượng thông lượng TCP khi có tấn công LDDoS với cấu hình mạng

nt_bw = 1000 (Mbps) và bn_bw = 20(Mbps) cho tập mô phỏng thứnhất vớint_dl = 22(mili giây) 972.34 Ước lượng thông lượng TCP khi có tấn công LDDoS với cấu hình mạng

nt_bw = 1000 (Mbps) và bn_bw = 20(Mbps) cho tập mô phỏng thứhai vớint_dl = 2(mili giây) 972.35 Ước lượng thông lượng TCP khi có tấn công LDDoS với cấu hình mạng

nt_bw = 1000 (Mbps) và bn_bw = 20(Mbps) cho tập mô phỏng thứba vớint_dl = 7(mili giây) 982.36 Sự phát triển kích thước cửa sổ của một dòng TCP trong giai đoạn khởi

động chậm với cơ chế báo nhận trễ 1052.37 Ước lượng thông lượng TCP với báo nhận trễ khi có tấn công LDDoS với

cấu hình mạngnt_bw = 100 (Mbps) vàbn_bw = 5(Mbps) cho tập môphỏng thứ nhất vớint_dl = 22(mili giây) 1152.38 Ước lượng thông lượng TCP với báo nhận trễ khi có tấn công LDDoS với

cấu hình mạngnt_bw = 100 (Mbps) vàbn_bw = 5(Mbps) cho tập môphỏng thứ hai vớint_dl = 2(mili giây) 116

2.39 Ước lượng thông lượng TCP với báo nhận trễ khi có tấn công LDDoS vớicấu hình mạngnt_bw = 100 (Mbps) vàbn_bw = 5(Mbps) cho tập mô

phỏng thứ ba vớint_dl = 7(mili giây) 116

2.40 Các kết quả so sánh của ba tập mô phỏng trong mạng với nt_bw = 100(Mbps) vàbn_bw = 5(Mbps) Báo nhận trễ được sử dụng 117

3.1 Cấu trúc của một mạng mô phỏng 133

3.2 Kết quả của tập mô phỏng thứ nhất 135

3.3 Kết quả của tập mô phỏng thứ hai 135

3.4 Kết quả của tập mô phỏng thứ ba 136

3.5 Kết quả của tập mô phỏng thứ tư 136

3.6 Sự phân bố xác suất của giá trị CPR của các dòng TCP và các dòng tấncông LDDoS 137

3.7 Thông lượng TCP chuẩn hóa khi có tấn công DDoS tốc độ thấp xảy ra 138

3.8 Độ lệch chuẩn của thông lượng tốt của 10 dòng TCP mới 140

3.9 CPR của dòng tấn công DDoS tốc độ thấp đầu tiên 141

3.10 CSR của liên kết nghẽn cổ chai trong điều kiện bình thường 142

3.11 Sự thích ứng củaτ trên toàn thời gian mô phỏng 146

3.12 Sự thích ứng củaτ trong khoảng thời gian [119, 126] (giây) 146

3.13 Thông lượng TCP chuẩn hóa khi có tấn công DDoS tốc độ thấp xảy ra 150

4.1 Mô hình tính giá trị CPR cho mỗi dòng gói tin 154

4.2 Mô hình tính giá trị CIR cho mỗi dòng gói tin 154

4.3 Các giá trị CIR của 30 dòng TCP đi qua liên kết nghẽn cổ chai 157

4.4 Sự khác nhau về giá trị CIR giữa các dòng TCP thông thường và các dòngtấn công DDoS tốc độ thấp 160

4.5 Thông lượng TCP chuẩn hóa trong điều kiện có tấn công DDoS tốc độthấp khi sử dụng tiếp cận dựa trên CPR và tiếp cận dựa trên CIR 162

4.6 Kết quả so sánh hai tiếp cận vớiTa thay đổi 1634.7 Kết quả so sánh hai tiếp cận vớiTb thay đổi 1644.8 Kết quả so sánh hai tiếp cận vớiRb thay đổi 165A.1 Kích thước cửa sổ tắc nghẽn của mỗi dòng trong tập hợp 13 dòng TCP 199A.2 Kích thước cửa sổ tắc nghẽn của mỗi dòng trong tập hợp 7 dòng TCP 204A.3 Minh họa các gói tin TCP trong đường đi từ nguồn TCP danh nghĩa đến

nút nhận chung ở cuối vòng 9 211

DANH SÁCH BẢNG

1.1 Ưu, nhược điểm của một số mô hình phát hiện tấn công LDDoS 311.2 Ưu, nhược điểm của một số mô hình chống tấn công LDDoS 402.1 Các tham số được thay đổi trong các kịch bản tấn công với một dòng TCP

sử dụng báo nhận tức thời 692.2 Số lần phục hồi sớm sau timeout của các dòng TCP trong khoảng thời

gian [139, 159] (giây) do hiện tượng rò rỉ gói tin 1192.3 Số lượng chu kỳ trong đó hiện tượng phục hồi sớm xảy ra do rò rỉ gói tin

trong khoảng thời gian [139, 159] (giây) 1192.4 So sánh phương pháp ước lượng đề xuất với các phương pháp khác theo

tiêu chí sai số tương đối bằng các thí nghiệm trong mạng với nt_bw =1000(Mbps) vàbn_bw = 20(Mbps) và các dòng TCP sử dụng báo nhậntức thời 1222.5 So sánh phương pháp ước lượng đề xuất với các phương pháp khác theo

tiêu chí sai số tương đối bằng các thí nghiệm trong mạng với nt_bw =100(Mbps) vàbn_bw = 5(Mbps) và các dòng TCP sử dụng báo nhận trễ.1243.1 Các biến và tham số của thuật toán RED 1273.2 Các tham số của tấn công DDoS tốc độ thấp 149A.1 Song ngữ Anh – Việt 182A.2 Các giá trị thông lượng tốt và độ lệch chuẩn SD (đơn vị: Mbit) của 10

dòng TCP mới tương ứng với các giá trị khác nhau củaτ 185

DANH SÁCH THUẬT NGỮ VÀ TỪ VIẾT TẮT

Từ viết tắtTừ gốcGiải nghĩa

AFIAttack FrequencyIntensification

Tăng cường tần số tấn công

AIMDAdditive IncreaseMultiplicative Decrease

Chính sách tăng theo cấp số cộng và giảmtheo cấp số nhân

AKN-FGDAdaptive Kohonen Networkbased Fine-Grained Detection

Phát hiện tấn công chi tiết dựa trên mạngKohonen thích nghi

AQMActive Queue ManagementQuản lý hàng đợi tích cựcARIAttack Burst Rate

Tăng cường tốc độ các đợt bùng nổgói tin tấn công

ARPAAdvanced Research ProjectsAgency

Cơ quan dự án nghiên cứu nâng cao thuộcBộ quốc phòng Mỹ

ARPANETAdvanced Research ProjectsAgency Network

Một trong những mạng máy tính đầu tiênhình thành nên mạng Internet ngày nayAWIAttack Burst Width

CHOKeCHOose and Keep for

responsive flows; CHOoseand Kill for unresponsiveflows

Chọn và giữ các dòng gói tin có tráchnhiệm; Chọn và diệt các dòng gói tinkhông có trách nhiệm

CIRCongestion Interval RateTỉ lệ khoảng thời gian tắc nghẽnCLDAPConnection-less Lightweight

Directory Access Protocol

Giao thức truy cập thư mục nhẹ khôngkết nối

CPRCongestion Participation RateTỉ lệ tham gia tắc nghẽn mạngCPUCentral Processing UnitBộ xử lý trung tâm

CSRCongestion Sample RateTỉ lệ lấy mẫu tắc nghẽnDDoSDistributed

Từ chối dịch vụ phân tán

DFTDiscrete Fourier TransformBiến đổi Fourier rời rạcDNSDomain Name SystemHệ thống tên miền

DANH SÁCH THUẬT NGỮ VÀ TỪ VIẾT TẮT (tiếp theo)

Từ viết tắtTừ gốcGiải nghĩa

EWMAExponential WeightedMoving Average

Trung bình động trọng số lũy thừa

FCEFlow Connection EntropyEntropy kết nối dòngFPSEFourier Power Spectrum

Entropy phổ công suất Fourier

FREDFlow Random EarlyDetection

Phát hiện sớm ngẫu nhiên dòng

FR-REDFractal Residual basedRealtime Detection

Phát hiện tấn công thời gian thực dựa trênphần dư phân dạng

FTPFile Transfer ProtocolGiao thức truyền tải tệp tinHTTPHyperText Transfer ProtocolGiao thức truyền tải siêu văn bản

trên giâyICMPInternetControlMessage

Giao thức thông điệp điều khiển liên mạng

IETFInternet Engineering TaskForce

Nhóm chuyên trách kỹ thuật liên mạng

IoTInternet of ThingsInternet vạn vật

ISPInternet Service ProviderNhà cung cấp dịch vụ InternetKPCAKernel Principal Component

Phân tích thành phần chính trung tâm

LBNLLawrence Berkeley NationalLaboratory

Phòng thí nghiệm quốc gia LawrenceBerkeley, Mỹ

LDDoSLow-rate Distributed Denialof Service

Từ chối dịch vụ phân tán tốc độ thấp

MbpsMegabits Per SecondMột đơn vị đo tốc độ truyền dữ liệu;

1Mbps= 106bit/giây

NCASNormalized CumulativeAmplitude Spectrum

Phổ biên độ tích lũy chuẩn hóa

DANH SÁCH THUẬT NGỮ VÀ TỪ VIẾT TẮT (tiếp theo)

Từ viết tắtTừ gốcGiải nghĩa

NS-2Network Simulator version 2Phần mềm mô phỏng mạng phiên bản thứ2

QoSQuality-of-ServiceChất lượng dịch vụ

REDRandom Early DetectionThuật toán quản lý hàng đợi phát hiện sớmngẫu nhiên

RED-PDRandom Early Detection withPreferential Dropping

Thuật toán quản lý hàng đợi phát hiện sớmngẫu nhiên loại bỏ gói tin theo ưu tiênRFCRequest For CommentsTài liệu yêu cầu bình luận

RIVFResearch, Innovation andVision for the Future

Hội thảo quốc tế về nghiên cứu, đổi mới vàtầm nhìn cho tương lai

RoQReduction of QualityGiảm chất lượngRREDRobust Random Early

Thuật toán RED mạnh mẽ

SDNSoftware-defined NetworkMạng định nghĩa bởi phần mềmSFBStochastic Fair BlueThuật toán quản lý hàng đợi xanh

công bằng ngẫu nhiênSMTPSimple Mail Transfer

Giao thức truyền tải thư đơn giản

SoICTInternational Symposium onInformation and

Loại bỏ gói tin sớm ngẫu nhiên ổn định

SVRSupport Vector RegressionHồi quy véc tơ hỗ trợ

TbpsTerabits Per SecondMột đơn vị đo tốc độ truyền dữ liệu;

1Tbps= 1012bit/giâyTCPTransmission Control

Giao thức điều khiển truyền dữ liệu

TCP-pack-TCP packet sizeKích thước gói tin TCP

TelnetTerminal NetworkChương trình dòng lệnh kết nối vớicác thiết bị từ xa qua mạng

DANH SÁCH THUẬT NGỮ VÀ TỪ VIẾT TẮT (tiếp theo)

Từ viết tắtTừ gốcGiải nghĩa

UDPUser Datagram ProtocolGiao thức gói dữ liệu người dùngUTRThe ratio of UDP traffic to

TCP traffic

Tỉ lệ giữa lưu lượng UDP và lưu lượng TCP

VNUVietnam National UniversityTrường Đại học Quốc gia Việt Nam

Clustering Algorithm withWeighted Euclidean Distance

Thuật toán phân cụm dịch chuyển trungbình nâng cao với khoảng cách Euclide cótrọng số

WFEWavelet Feature ExtractionTrích xuất đặc trưng sóngWIDEWidely Integrated Distributed

Môi trường phân tán tích hợp rộng rãi

WPSEWavelet Power SpectrumEntropy

Entropy phổ công suất sóng

DANH SÁCH BIẾN VÀ THAM SỐ

Ký hiệuTên đầy đủGiải nghĩa

ack_dlTime period used by the delayedACK mechanism

Khoảng thời gian được sử dụng bởi cơ chếbáo nhận trễ (đơn vị: mili giây)

avgAverage queue size at thebottleneck link (packets)

Kích thước hàng đợi trung bình tại liên kếtnghẽn cổ chai (đơn vị: gói tin)

BQueue size at the bottleneck link(packets)

Kích thước hàng đợi tại liên kết nghẽn cổchai (đơn vị: gói tin)

bn_bwBandwidth of the bottlenecklink from router R0 to router R1in Figure2.1(Mbps)

Băng thông của liên kết nghẽn cổ chai giữarouter R0 và router R1 trong Hình2.1(đơnvị: Mbps)

bn_dlOne-way propagation delay ofthe bottleneck link from routerR0 to router R1 in Figure2.1

Thời gian trễ truyền dẫn một chiều của liênkết nghẽn cổ chai giữa router R0 và routerR1 trong Hình2.1(đơn vị: mili giây)

CBandwidth of the bottlenecklink in units of packets/second

Băng thông của liên kết nghẽn cổ chai (đơnvị: gói tin/giây)

congestedThe congestion status of thecurrent sampling period

Trạng thái tắc nghẽn của khoảng thời gianlấy mẫu hiện thời

countNumber of packets since lastmarked or dropped packet

Số lượng gói tin đến kể từ gói tin bị đánhdấu hoặc loại bỏ cuối cùng

CTBandwidth-delay product or thecapacity of the pipeline fromsource to destination

Tích băng thông và thời gian trễ truyền dẫnhai chiều hay là dung lượng của đường ốngtừ nguồn đến đích

cwndCongestion Window SizeKích thước cửa sổ tắc nghẽn

dLength of a sampling period inthe CPR-based approach

Độ dài của một khoảng thời gian lấy mẫutrong tiếp cận dựa trên CPR

fThe associated flow of a packetDòng tương ứng với một gói tin

FiA packet flow passing through arouter

Một dòng gói tin đi qua router

gNumber of attack groupsSố lượng nhóm tấn công

KNumber of TCP connectionsSố lượng kết nối TCP

LNumber of levels in the Bloomfilter

Số lượng mức của bộ lọc Bloom

mNumber of attack flows in eachattack group andn = g × m

Số lượng dòng tấn công trong mỗi nhómvàn = g × m

DANH SÁCH BIẾN VÀ THAM SỐ (tiếp theo)

Ký hiệuTên đầy đủGiải nghĩa

MACKACK packet size (bytes)Kích thước gói tin báo nhận (đơn vị: bytes)

maxpThe maximum value forpbGiá trị lớn nhất củapb

max_seen_ The maximum sequence numberof data packets TCP receiver hasreceived so far

Số tuần tự lớn nhất của các gói tin dữ liệumà bên nhận TCP đã nhận được

maxth The maximum threshold for theaverage queue size

Ngưỡng lớn nhất của kích thước hàng đợitrung bình

minRT OThe Minimum RetransmissionTime Out

Thời gian chờ phát lại gói tin nhỏ nhất

minth The minimum threshold for theaverage queue size

Ngưỡng nhỏ nhất của kích thước hàng đợitrung bình

MT CP TCP packet size (bytes)Kích thước gói tin TCP (đơn vị: bytes)

MU DP LDDoSattackpacketsize(bytes)

Kích thước gói tin tấn công LDDoS (đơnvị: bytes)

nNumber of attack flowsSố lượng dòng tấn công

NNumber of times the congestionwindow size has been halvedbefore timeout or the number ofbins in each level of the Bloomfilter depending on the context

Số lần kích thước cửa sổ tắc nghẽn bị giảmmột nửa trước khi timeout hoặc số lượng ônhớ trong mỗi mức của bộ lọc Bloom

Nc Number of TCP connectionsSố lượng kết nối TCP

next_The sequence number of a datapacket TCP receiver is expectingto receive

Số tuần tự của một gói tin dữ liệu mà bênnhận TCP đang chờ

nt_bwBandwidth of left- and most links in Figure2.1(Mbps)

right-Băng thông của các liên kết mạng bên tráirouter R0 và bên phải router R1 trong Hình

2.1(đơn vị: Mbps)

nt_dlOne-way propagation delay ofleft- and right-most links inFigure2.1(ms)

Thời gian trễ truyền dẫn một chiều củacác liên kết bên trái router R0 và bên phảirouter R1 trong Hình2.1(đơn vị: mili giây)

pa Current packet marking ordropping probability

Xác suất đánh dấu hoặc loại bỏ gói tinhiện thời

pbReal packet marking ordropping probability

Xác suất đánh dấu hoặc loại bỏ gói tinthực tế

pktAn incoming packet to a routerMột gói tin đến router

qCurrent queue sizeKích thước hàng đợi hiện thời

DANH SÁCH BIẾN VÀ THAM SỐ (tiếp theo)

Ký hiệuTên đầy đủGiải nghĩa

q_timeStart of the queue idle timeThời gian bắt đầu khi hàng đợi rỗng

RbBurst rate of an attack flow or awhole LDDoS attack dependingon the context

Tùy theo ngữ cảnh có thể là tốc độ mỗiđợt bùng nổ gói tin của một dòng tấn cônghoặc của cả cuộc tấn công LDDoS

R+b Burst rate of a whole LDDoSattack

Tốc độ mỗi đợt bùng nổ gói tin của cả cuộctấn công LDDoS

liệu mà nguồn TCP đã gửi đi cho đến thờiđiểm hiện tại

RT ORetransmission Time OutThời gian chờ phát lại gói tin của TCP

RT TRound Trip TimeThời gian đi về của gói tin

RT T VARRound Trip Time VariationBiến thiên thời gian đi về của gói tin

rwndReceiver’s Window SizeKích thước cửa sổ nhận

sStart time of a LDDoS attackflow

Thời điểm bắt đầu của một dòng tấn côngLDDoS

Si,tNumber of packets from flowFiarriving at a router in the timeperiod of[t, t + d]

Số lượng gói tin của dòngFiđến routertrong khoảng thời gian[t, t + d]

SRT TSmoothed Round Trip TimeThời gian đi về của gói tin đã làm trơn

ssthreshSlow Start ThresholdNgưỡng khởi động chậm

TTwo-way propagation delay ofTCP packets (second) or set ofsampling periods (depending onthe context)

Thời gian trễ truyền dẫn hai chiều của cácgói tin TCP (đơn vị: giây) hoặc tập cáckhoảng thời gian lấy mẫu (tùy theo ngữcảnh)

TaInter-burst period of an attackflow or a whole LDDoS attackdepending on the context

Tùy theo ngữ cảnh có thể là khoảng thờigian giữa hai đợt bùng nổ gói tin liên tiếpcủa một dòng tấn công hoặc của cả cuộctấn công LDDoS

Ta+ Inter-burst period of a wholeLDDoS attack

Khoảng thời gian giữa hai đợt bùng nổ góitin liên tiếp của cả cuộc tấn công LDDoS

Tb Burst length of an attack flow ora whole LDDoS attack depend-ing on the context

Tùy theo ngữ cảnh có thể là chiều dài mỗiđợt bùng nổ gói tin của một dòng tấn cônghoặc của cả cuộc tấn công LDDoS

Tb+ Burst length of a whole LDDoSattack

Chiều dài mỗi đợt bùng nổ gói tin của cảcuộc tấn công LDDoS

DANH SÁCH BIẾN VÀ THAM SỐ (tiếp theo)

Ký hiệuTên đầy đủGiải nghĩa

T1Round trip time of a TCP packetwhen the queue at the bottlenecklink is empty (second)

Thời gian đi về của một gói tin TCP khihàng đợi tại liên kết nghẽn cổ chai trốngrỗng (đơn vị: giây)

T∗ Set of sampling periods whena router’s outgoing link is con-gested

Tập các khoảng thời gian lấy mẫu khi liênkết đầu ra của một router bị tắc nghẽn

WCongestion window size of aTCP flow just before a timeoutevent due to LDDoS attacks

Kích thước cửa sổ tắc nghẽn của một dòngTCP ngay trước khi bị timeout do tấn côngLDDoS gây ra

WmaxThe maximum congestion dow size a TCP flow can achievebased on its particular path fromsource to destination

win-Kích thước cửa sổ tắc nghẽn lớn nhất mộtdòng TCP có thể đạt được dựa trên đườngđi cụ thể của nó từ nguồn đến đích

αSmoothing coefficient in theRTT calculation or decrementstep in our adaptation methodfor the CPR threshold dependingon the context

Tùy theo ngữ cảnh có thể là hệ số làm trơntrong tính toán thời gian đi về của gói tinhoặc giá trị bước giảm trong phương phápthích ứng ngưỡng CPR

βSmoothing coefficient in theRTTVAR calculation or

increase factor in our adaptationmethod for the CPR thresholddepending on the context

Tùy theo ngữ cảnh có thể là hệ số làm trơntrong tính toán biến thiên thời gian đi vềcủa gói tin hoặc giá trị bước tăng trongphương pháp thích ứng ngưỡng CPR

ζiCIR of flowFiGiá trị CIR của dòngFi

θiCPR of flowFiGiá trị CPR của dòngFi

σThe starting time differencebetween two consecutive attackgroups assuming that all attackflows in a group have the samestarting time

Hiệu thời gian bắt đầu của hai nhóm tấncông liên tiếp với giả sử rằng tất cả cácdòng tấn công trong một nhóm có cùngthời gian bắt đầu

τCPR or CIR threshold ing on the context

depend-Ngưỡng CPR hoặc CIR tùy theo ngữ cảnh

LỜI CẢM ƠN

Em xin gửi lời cảm ơn chân thành, sâu sắc đến hai thầy hướng dẫn, GS TS NguyễnThanh Thủy và TS Nguyễn Đại Thọ Dưới sự hướng dẫn của các thầy cùng với nhữngquy định luôn luôn tạo điều kiện của nhà trường trên cơ sở lấy người học là trung tâm,nghiên cứu sinh (NCS) cảm thấy được tự do và chủ động cao nhất để có thể theo đuổicác ý tưởng nghiên cứu mới mẻ nhưng cũng đầy thách thức mà tập thể hướng dẫn vàNCS đã đề ra.

NCS xin chân thành cảm ơn các thầy cô giáo trong khoa Công nghệ thông tin vàtất cả cán bộ, nhân viên của trường Đại học Công nghệ, Đại học Quốc gia Hà Nội.Nỗ lực của các thầy cô và cán bộ nhà trường đã tạo nên một môi trường học tập trungthực và lành mạnh để những NCS như em có được ngày hôm nay Trong quá trìnhhọc tập và rèn luyện, NCS rất may mắn được các thầy cô sau hướng dẫn và giúp đỡ:(1) Thầy PGS TS Hà Quang Thụy và PGS TS Trương Ninh Thuận môn Phươngpháp nghiên cứu và kỹ năng viết báo cáo khoa học (2) Thầy TS Trần Trúc Mai mônTruyền thông không dây nâng cao (3) Thầy TS Nguyễn Đại Thọ môn Đánh giá hiệunăng mạng (4) Thầy TS Trần Trúc Mai, TS Lê Đình Thanh và TS Nguyễn Đại Thọtham gia đánh giá hai chuyên đề NCS.

NCS xin gửi những tình cảm thân thiết đến các bạn cùng khóa K22, đặc biệt làchuyên ngành Mạng máy tính và truyền thông dữ liệu, cảm ơn tất cả bạn bè, đồngnghiệp và đặc biệt là những người thân trong gia đình đã luôn ủng hộ, động viên vàgiúp đỡ để NCS có thể hoàn thành luận án này.

Trải qua quá trình nghiên cứu nghiêm túc, thận trọng và tỉ mỉ, NCS hướng tới mộtluận án có chất lượng và hữu ích Dù đã cố gắng hết sức nhưng luận án vẫn khôngthể tránh khỏi thiếu sót, với tinh thần cầu thị và khiêm tốn, NCS xin đón nhận tất cảnhững ý kiến khen chê để bản thân có thể hiểu biết và hoàn thiện hơn nữa trên conđường nghiên cứu khoa học của mình.

Mở đầu

1Bối cảnh nghiên cứu và lý do chọn đề tài

Tấn công từ chối dịch vụ phân tán tốc độ thấp vào giao thức TCP – LDDoS

(TCP-targeted low-rate distributed denial-of-service) là một loại tấn công từ chối dịch vụ

phân tán DDoS (distributed denial-of-service), được giới thiệu lần đầu tiên bởi A.

Kuzmanovic và E Knightly vào năm 2003 [1] So với tấn công DDoS truyền thống,LDDoS khó bị phát hiện hơn do tốc độ gửi gói tin tấn công trung bình khá thấp xuất

phát từ hành vi gửi gói tin tấn công theo từng đợt bùng nổ (burst) cách đều nhau,

mỗi đợt với một tốc độ cao và diễn ra trong khoảng thời gian ngắn Mặc dù vậy, loạitấn công này làm cho các kết nối TCP liên tục rơi vào trạng thái chờ phát lại gói tin

(timeout) và thông lượng bị giảm mạnh.

Các cơ chế hiện có để phát hiện và chống tấn công DDoS [2] [3] thường dựa trênđo lường thống kê có thể không hiệu quả đối với các tấn công LDDoS, biến chúngtrở thành thách thức thực sự trong mạng Internet hiện nay Nó cho thấy sự cần thiếtcủa việc nghiên cứu các cơ chế và giải pháp để chống lại cách thức tấn công lén lút

này Các thiết bị định tuyến (router) thường chỉ thực hiện một nhiệm vụ duy nhất là

lưu trữ và trung chuyển gói tin từ nguồn đến đích Tuy nhiên, ngày càng có nhiều ýkiến cho rằng các thiết bị này cần phải tham gia nhiều hơn vào việc phát hiện và điềuchỉnh các nguồn dữ liệu chiếm nhiều băng thông hoặc các nguồn tấn công DDoS [3].

Vì vậy, cải tiến cơ chế quản lý hàng đợi tích cực AQM (Active Queue Management)

tại router nhằm mục đích chống tấn công LDDoS là một hướng nghiên cứu phù hợpvới xu hướng chung hiện nay.

2Các vấn đề còn tồn tại

Có rất nhiều cơ chế và giải pháp đã được đề xuất để phát hiện và chống tấn côngLDDoS và một số mô hình phân tích để ước lượng thông lượng TCP khi có tấn công

xảy ra Hiệu quả của một số cơ chế và giải pháp chống tấn công LDDoS chưa đượclàm rõ và tăng cường Bên cạnh đó, các mô hình phân tích với mục đích là đánh giáhiệu quả tấn công dưới dạng thông lượng TCP dựa trên các tham số đã biết của cuộctấn công và của môi trường mạng, tuy nhiên các mô hình này lại chưa đáp ứng đượcyêu cầu về tính chính xác hoặc nếu có thì lại gặp phải nhược điểm không xem xét tấtcả các trường hợp có thể xảy ra, chẳng hạn như mô hình của Luo [4] chưa xem xétcác trường hợp trong đó kích thước cửa sổ tắc nghẽn của các kết nối TCP bị giảm mộtnửa một hoặc nhiều lần trước khi timeout.

3Mục tiêu nghiên cứu

Xuất phát từ các vấn đề còn tồn tại nêu trên, luận án hướng đến hai mục tiêu chính:1 Đề xuất và xây dựng một phương pháp mới để ước lượng thông lượng TCP khi

có tấn công xảy ra Phương pháp mới phải đạt được độ chính xác cao và khắcphục được nhược điểm của các mô hình đã có.

2 Nghiên cứu nâng cao hiệu quả chống tấn công LDDoS của một cơ chế hỗ trợ

router, gọi là tiếp cận dựa trên độ đo tỉ lệ tham gia tắc nghẽn mạng CPR

(Con-gestion Participation Rate).

4Đối tượng, phạm vi và phương pháp nghiên cứu

4.1Đối tượng nghiên cứu

Đối tượng nghiên cứu của luận án là: (1) hành vi và thông lượng của các kết nối TCPtrong điều kiện có tấn công LDDoS xảy ra (2) các thuật toán quản lý hàng đợi tíchcực tại router, trong đó tập trung chủ yếu vào tiếp cận dựa trên độ đo CPR để chốngtấn công LDDoS.

4.3Phương pháp nghiên cứu

Luận án sử dụng 2 phương pháp nghiên cứu chính: (1) phân tích và tổng hợp lý thuyết(2) mô hình hóa và so sánh kết quả lý thuyết với kết quả mô phỏng Các phương pháptoán học được sử dụng để mô tả sự kiện tấn công và đề xuất giải pháp Kết quả củamô hình lý thuyết được so sánh với kết quả mô phỏng Hiệu năng của tiếp cận dựatrên độ đo CPR và các cải tiến cũng được đánh giá và so sánh thông qua mô phỏng.

nhất Trong trường hợp này và khi TCP sử dụng báo nhận tức thời (immediate

ACK), các nghiên cứu trước đây [7] [8] đã chỉ ra có sự đồng bộ chung (global

synchronization) giữa các dòng TCP và tiến trình kích thước cửa sổ tắc nghẽncủa chúng trùng khớp hoặc gần như trùng khớp với nhau Do đó, thông lượngcủa mỗi dòng TCP trong tập hợp là như nhau và có thể tính được Phương phápước lượng đề xuất kết hợp sử dụng phân tích rời rạc cho giai đoạn khởi độngchậm và xấp xỉ liên tục cho giai đoạn tránh tắc nghẽn đối với tiến trình kíchthước cửa sổ tắc nghẽn của mỗi dòng TCP Kết quả mô phỏng cho thấy phươngpháp mới đạt được độ chính xác cao hơn so với các phương pháp khác Trong

trường hợp TCP sử dụng báo nhận trễ (delayed ACK), các dòng TCP mặc dù có

thời gian trễ truyền dẫn giống nhau nhưng tiến trình kích thước cửa sổ tắc nghẽncủa chúng không trùng khớp với nhau và việc tính thông lượng của từng dòngTCP là không thể thực hiện được Trong trường hợp này, tác giả đề xuất một giátrị cận trên và một giá trị cận dưới cho thông lượng TCP Kết quả mô phỏng chothấy thông lượng TCP rơi vào hoặc rất gần với khoảng giá trị đề xuất trong cáctrường hợp được xem xét Trên cơ sở đó, tác giả đề xuất phương pháp lựa chọnmột trong hai giá trị trên là giá trị ước lượng chính thức và nó cũng đạt được độchính xác cao hơn so với các đề xuất khác.

Nội dung này đã được công bố trong kỷ yếu hội thảo RIVF năm 2020 [C3] vàđã được gửi đến tạp chí Journal of Information Security and Applications năm2024 và đang chờ kết quả phản biện.

2 Phân tích và nghiên cứu hiệu năng của một cơ chế hỗ trợ router chống tấn côngLDDoS, gọi là tiếp cận dựa trên độ đo CPR Qua đó, tác giả đề xuất hai ý tưởngđể cải tiến và tăng cường hiệu năng như sau:

• Thứ nhất là đề xuất phương pháp thay đổi ngưỡng CPR theo thời gian đểgiúp tiếp cận bảo tồn được thông lượng TCP cao trong điều kiện có tấncông LDDoS đồng thời có thể chia sẻ băng thông công bằng cho các kếtnối TCP trong điều kiện bình thường khi không có tấn công xảy ra.

Nội dung này đã được công bố trong kỷ yếu hội thảo SoICT năm 2017[C1]

và trong tạp chí VNU Journal of Computer Science and Communication

Engineering năm 2024[J1].

• Thứ hai là đề xuất một độ đo mới gọi là tỉ lệ khoảng thời gian tắc nghẽn

CIR (Congestion Interval Rate) để thay thế độ đo CPR giúp bảo vệ thông

lượng TCP tốt hơn khi có tấn công LDDoS hoặc DDoS xảy ra.

Nội dung này đã được công bố trong kỷ yếu hội thảo SoICT năm 2018[C2]

và đã được gửi đến tạp chí Computer Communications năm 2024 và đangchờ kết quả phản biện.

6Cấu trúc của luận án

Luận án bao gồm 4 chương:

• Chương1trình bày tổng quan về tấn công từ chối dịch vụ phân tán DDoS và tấncông từ chối dịch vụ phân tán tốc độ thấp LDDoS.

• Chương 2 trình bày phương pháp mới ước lượng thông lượng TCP trong điềukiện có tấn công LDDoS.

• Chương 3 phân tích tiếp cận dựa trên độ đo CPR để chống tấn công LDDoS,trên cơ sở đó đề xuất cơ chế thay đổi ngưỡng CPR theo thời gian.

• Chương 4 thảo luận và làm rõ các vấn đề hiện tại của tiếp cận dựa trên độ đoCPR và đề xuất độ đo CIR mới để bảo vệ thông lượng TCP tốt hơn khi có tấncông xảy ra.

1.1Tấn công từ chối dịch vụ phân tán

1.1.1Khái niệm tấn công từ chối dịch vụ và tấn công từ chối dịch vụ phân tán

Tấn công từ chối dịch vụ DoS (denial-of-service attack) là một hành động nhằm ngăn

chặn hoặc làm suy yếu việc sử dụng hợp pháp mạng cũng như các hệ thống máy tính,các ứng dụng bằng cách làm cạn kiệt các tài nguyên như bộ xử lý trung tâm CPU, băngthông, bộ nhớ trong, không gian đĩa cứng (theo [9]) Nếu có nhiều máy tính tham gia

vào tấn công thì nó được gọi là tấn công từ chối dịch vụ phân tán DDoS (distributed

denial-of-service attack).

Một số tấn công DDoS điển hình: (1) Tấn công DDoS truyền thống sử dụng mộtmạng lưới lên đến hàng trăm nghìn máy tính tham gia, mỗi máy tính phát gói tinnhanh nhất có thể đến một mục tiêu trên mạng nhằm làm cạn kiệt băng thông của

đường truyền kết nối đến hệ thống mục tiêu (2) Tấn công DDoS sử dụng gói tin yêucầu kết nối của giao thức TCP (gói tin SYN) [10] [11] Nó khai thác cơ chế bắt tay ba

bước (three-way handshake) của TCP trong việc khởi tạo một kết nối với mục đích

xấu là làm đầy nội dung bảng thông tin các kết nối trên máy chủ, làm cho các máy tínhthông thường không thể kết nối đến máy chủ nữa (3) Tấn công quảng bá có hướng

ICMP hay còn gọi là tấn công “smurf ” [1] [12] sử dụng gói tin quảng bá có hướng,với địa chỉ nguồn giả mạo là địa chỉ của nạn nhân, gửi đến một mạng ở xa, sau đómỗi máy tính trong mạng ở xa đó nhận được một bản sao chép của gói tin quảng bávà gửi gói tin trả lời về địa chỉ của máy nạn nhân dẫn đến nạn nhân bị choáng ngợp vàphải xử lý một số lượng gói tin lớn (4) Tấn công phản xạ dựa trên hệ thống tên miềnDNS [13] sử dụng các điểm yếu trong nguyên lý hoạt động của hệ thống tên miền đểtạo ra một số lượng lớn gói tin gửi đến nạn nhân.

Tấn công DDoS là một loại tấn công mạng với mục đích gây ra từ chối hoặc suygiảm dịch vụ đối với người dùng bình thường Các dịch vụ mà DDoS nhắm tới rất đadạng có thể kể đến như là dịch vụ truyền tệp tin FTP, dịch vụ web, dịch vụ tên miềnDNS, các ứng dụng như GitHub v.v Tấn công DDoS có thể lợi dụng các máy chủcung cấp dịch vụ như DNS, CLDAP, SMTP để trung chuyển và khuếch đại lưu lượngtấn công cũng như che dấu các máy tính tấn công Các cuộc tấn công DDoS với sốlượng, quy mô và cường độ ngày càng tăng cho thấy mức độ nguy hiểm leo thang củaloại hình tấn công này (xem phụ lụcA.3về các sự kiện tấn công DDoS gần đây).

1.1.2Nguồn gốc của tấn công từ chối dịch vụ phân tán

Mạng Internet đã được xây dựng cách đây vài thập kỷ và đã trở nên phổ biến trên toànthế giới Mặc dù hiệu năng của mạng Internet dưới dạng thời gian trễ mạng, thônglượng, hiện tượng tắc nghẽn mạng đã được cải thiện đáng kể từ khi thành lập, nguyênlý hoạt động của nó vẫn gần như không thay đổi, mạng Internet vẫn hoạt động dựa

trên 2 nền tảng: dịch vụ nỗ lực tối đa (best-effort service) và mô hình đầu cuối tớiđầu cuối (end-to-end paradigm) Ở trung tâm của mạng Internet, các router chịu trách

nhiệm trung chuyển gói tin từ nguồn tới đích Nguồn và đích là những máy tính cuối,là nơi gói tin được gửi và nhận Dịch vụ nỗ lực tối đa có nghĩa là các router trung gian

chỉ đơn giản thực hiện nhiệm vụ lưu trữ (storing) và đẩy (forwarding) gói tin đến đích.Tất cả các công việc khác, nổi bật trong đó là điều khiển tắc nghẽn mạng (network

congestion control), được dành cho các máy tính cuối Vì thế mô hình đầu cuối tớiđầu cuối, và đặc biệt là điều khiển tắc nghẽn đầu cuối, đóng vai trò quan trọng trongviệc tránh và làm dịu bớt tắc nghẽn mạng xảy ra trên Internet Ở thời điểm hiện tại,TCP vẫn là giao thức vận chuyển chủ yếu trong mạng Internet và do đó cơ chế điềukhiển tắc nghẽn của nó chiếm ưu thế trong điều khiển tắc nghẽn đầu cuối Nếu khôngcó cơ chế điều khiển tắc nghẽn của giao thức TCP, mạng Internet có thể trở nên tắcnghẽn nghiêm trọng và không thể sử dụng được như thời điểm tháng 10 năm 1986 khimà nó phải chịu một chuỗi sụp đổ do tắc nghẽn [14].

Tuy nhiên vấn đề vẫn chưa dừng lại ở đây Nếu một máy tính trở nên độc hại bằngcách gửi gói tin liên tục vào mạng với một tốc độ cao hoặc chỉ đơn giản là không sửdụng cơ chế điều khiển tắc nghẽn [15], nó sẽ làm tổn thương các máy tính khác đanggiao tiếp bởi vì một vài tài nguyên như là băng thông mạng, các chu kỳ của bộ xử lýhoặc dung lượng bộ nhớ trên router hay trên máy tính cuối bị cạn kiệt Trong khi đó,mạng trung gian vẫn truyền các gói tin tới đích một cách thụ động và không làm gìđể ngăn chặn lưu lượng mạng từ máy tính độc hại này Hiện tượng nổi tiếng này đượcgọi là tấn công từ chối dịch vụ Internet có thể đem đến cho chúng ta một cách thứctiện lợi để truy cập thông tin cũng như giao tiếp với nhau nhưng nó cũng mang theotrong kiến trúc chức năng của nó nguồn gốc sâu xa của nguy cơ tấn công DDoS.

1.1.3Khó khăn và thách thức trong chống tấn công từ chối dịch vụ phân tán

Tấn công từ chối dịch vụ phân tán DDoS là một thách thức lớn đối với sự ổn định vàtin cậy của mạng Internet Các nhà khoa học đã dành nhiều thời gian và công sức vào

nghiên cứu phát hiện tấn công (attack detection), truy vết ngược các nguồn tấn công(traceback of attacking sources) cũng như giảm thiểu tác hại và lọc các gói tin tấncông (attack mitigation and filtering) [16–26] Tuy nhiên, có hai yêu cầu khiến choviệc thiết kế các hệ thống chống tấn công DDoS trở nên khó khăn [27]:

1 Có khả năng phân loại gói tin Tấn công DDoS thường bao gồm một số lượng

lớn các gói tin thông thường Chúng trộn lẫn hoàn toàn với một số ít các gói tinđược gửi đi từ các máy tính thông thường và không có một sự khác biệt nào trêncơ sở từng gói tin Để thực hiện việc phân biệt lưu lượng, các hệ thống phòngchống DDoS phải nhóm tất cả các gói tin hướng đến nạn nhân vào các cấu trúcvới ngữ nghĩa cao hơn (chẳng hạn như “tất cả lưu lượng trao đổi giữa hai địachỉ IP”, “tất cả lưu lượng HTTP”, “tất cả lưu lượng xuất phát từ một địa chỉ IP”,v.v ), sau đó lưu trữ nhiều thông tin thống kê trên các cấu trúc này theo thời gianđể phát hiện các giao tiếp với dung lượng lớn hoặc bất thường Các gói tin thuộcvào các cấu trúc nghi ngờ sau đó sẽ được kiểm soát, trong khi các gói tin thuộcvào các cấu trúc thể hiện hành vi thông thường sẽ được cho đi qua.

2 Có thể kiểm soát được phần lớn lưu lượng tấn công Lưu lượng tấn công

DDoS được tạo ra từ vô số các máy tính tấn công gọi là zombies, trải rộng trên

khắp Internet và chỉ hội tụ ở lân cận với nạn nhân Hệ thống phòng chống DDoSphải kiểm soát được phần lớn lưu lượng tấn công để giảm nhẹ tác hại của tấncông tác động đến nạn nhân Điều này cho thấy nếu hệ thống là một điểm thìnó phải được đặt gần nạn nhân hoặc nếu hệ thống là phân tán thì các nút phòngchống tấn công của nó phải bao phủ phần lớn mạng Internet.

Các hệ thống chống tấn công DDoS trong thực tế có thể không đáp ứng được cả haiyêu cầu trên, đặc biệt đối với các hệ thống một điểm và có tính chất độc lập như cáccơ chế hỗ trợ router Để phân biệt lưu lượng một cách chính xác, các router cần mộtbộ nhớ lớn để phục vụ việc lưu trữ thông tin thống kê.1 Tuy nhiên dung lượng bộ nhớtrên các router rất hạn chế do nhiều nguyên nhân khác nhau [8] Vì vậy các cơ chế hỗtrợ router chống tấn công DDoS thường đối mặt với vấn đề không đủ bộ nhớ để lưu

trữ thông tin của tất cả các dòng gói tin đi qua, đặc biệt đối với các router lõi (core

router), nơi có đến hàng triệu dòng gói tin đi qua trong vòng một giờ (theo [2]) Mặtkhác, sự cần thiết của việc kiểm soát phần lớn lưu lượng tấn công lại yêu cầu việc đặtcác hệ thống này tại những điểm trung chuyển một lượng lớn gói tin Hai yêu cầu nàythường khó có thể được thỏa mãn nếu là hệ thống một điểm Phần lớn các hệ thống

1Việc lưu trữ thông tin thống kê của các dòng gói tin tại router đi ngược lại một trong những nguyên lý thiếtkế ban đầu của mạng Internet, nhưng đó là một việc làm cần thiết.

phòng chống DDoS một điểm sẽ hy sinh mục tiêu đầu tiên, đó là phân biệt lưu lượng,để đạt được mục tiêu thứ hai, kiểm soát một lượng lớn lưu lượng tấn công Theo cáchnày, các hệ thống chống tấn công DDoS một điểm sẽ được đặt tại hoặc gần với nạnnhân cho phép chúng có thể phát hiện và kiểm soát lưu lượng của các tấn công DDoS,tuy nhiên do thiếu dung lượng bộ nhớ, chúng thường phải sử dụng các kỹ thuật nhưbộ lọc Bloom [28] để lưu trữ thông tin của một số lượng rất lớn các dòng gói tin trongđiều kiện không gian bộ nhớ hạn chế tại router, nhưng điều này lại làm giảm tính chọnlọc của hệ thống bởi vì sẽ xảy ra trường hợp thông tin của hai dòng gói tin khác nhaubị trộn lẫn và trở nên nhập nhằng do được lưu trữ tại cùng một vị trí trong bộ nhớ.

Các hệ thống một điểm có thể được đặt tại ba vị trí khác nhau: gần với nạn nhân

(gọi là victim-end defense), tại mạng trung gian (gọi là intermediate-network defense),hoặc tại mạng nguồn nơi có máy tính tấn công (gọi là source-end defense).

• Hệ thống đặt gần nạn nhân Về mặt lịch sử, hầu hết các hệ thống phòng chống

tấn công DDoS được triển khai tại một vị trí gần với nạn nhân Điều này là dễhiểu vì nạn nhân là đối tượng chịu thiệt hại nặng nề nhất từ cuộc tấn công và dođó có động lực để đầu tư vào một hệ thống như vậy Các hệ thống đặt gần nạnnhân có thể dễ dàng phát hiện các cuộc tấn công DDoS vì chúng quan sát nạnnhân ở khoảng cách gần, có thể mô hình hành vi của nạn nhân và phát hiện bấtcứ bất thường nào Tuy nhiên, phạm vi phản ứng của các hệ thống này rất hạnchế Chúng nằm trên đường đi của các cuộc tấn công DDoS tổng lực và phảixử lý một số lượng lớn gói tin mà các cuộc tấn công tạo ra Mục tiêu tấn côngkhi đó chuyển từ nạn nhân sang hệ thống phòng thủ, dẫn đến khả năng xử lý vàdung lượng lưu trữ còn lại của hệ thống rất hạn chế hoặc bị cạn kiệt hoàn toàn.Do đó, chúng gặp khó khăn trong việc triển khai các thủ tục phân loại lưu lượngnâng cao vì việc này đòi hỏi phải có một bộ nhớ lớn và khả năng tính toán nhanhđể lưu trữ và kiểm tra thông tin thống kê của mỗi dòng gói tin đi qua.

• Hệ thống đặt tại mạng trung gian Các hệ thống chống tấn công DDoS một

điểm cũng có thể được triển khai tại mạng trung gian, khi đó chúng thường đượccài đặt tại một thiết bị router lõi và phát hiện tấn công thông qua các bất thườngquan sát được tại đây Vì các router lõi phải tiếp nhận và xử lý một lượng gói tin

khổng lồ đến và đi nên chúng thường bỏ qua tất cả các tấn công DDoS, ngoạitrừ những tấn công có quy mô lớn Tài nguyên của nạn nhân thường bị cạn kiệtnghiêm trọng bởi các cuộc tấn công trông giống như những trục trặc nhỏ trongbộ nhớ đệm bận rộn của một router lõi Các cuộc tấn công bị phát hiện có thểđược ngăn chặn một cách nhanh chóng nhờ vào tài nguyên mạng dồi dào Tuynhiên, phản ứng có thể gây ra những thiệt hại phụ thêm vì các router lõi chỉ cóthể thực hiện các tác vụ giới hạn tốc độ đơn giản và không thể dành nhiều bộnhớ và các chu kỳ của bộ xử lý cho việc phân loại lưu lượng.

• Hệ thống đặt tại mạng nguồn Một lựa chọn khác là triển khai các hệ thống

một điểm tại mạng nguồn nơi xuất phát của lưu lượng tấn công Trong trườnghợp này, khả năng phát hiện các tấn công DDoS có thể khó khăn hơn Các hệthống này không thể dễ dàng quan sát được những tác động mà lưu lượng mạnggây ra đối với nạn nhân Hơn nữa, bởi vì chúng chỉ có thể giám sát một phần nhỏlưu lượng của cuộc tấn công, nên rất khó phát hiện các bất thường Tuy nhiên,các hệ thống này cũng không phải là không có ưu điểm Do lưu lượng tấn côngnhỏ, không thể áp đảo hệ thống nên hệ thống có thể phản ứng hiệu quả hơn vớitấn công Nó cũng cho phép các hệ thống phòng thủ có thể triển khai các cơ chếphân loại lưu lượng phức tạp và kết quả là giúp giảm thiệt hại phụ thêm gây rađối với lưu lượng mạng thông thường.

Các hệ thống phân tán chống tấn công DDoS kết hợp cả ba hệ thống chống tấncông DDoS một điểm nói trên Hệ thống phòng vệ đặt tại hoặc gần nạn nhân phát hiệncuộc tấn công và gửi thông báo đến các hệ thống khác, các hệ thống này sau đó sẽphối hợp để ngăn chặn các dòng tấn công Mục tiêu là thiết lập các phản ứng gần vớinguồn tấn công nhất có thể, như vậy giảm thiểu được thiệt hại gây ra đối với lưu lượngmạng thông thường Nếu một phản ứng tại mạng nguồn gây ra thiệt hại phụ thêm, cónghĩa là nó không đủ chọn lọc, tác động sẽ chỉ được áp dụng đối với lưu lượng bìnhthường đi ra từ mạng nguồn đó Lưu lượng đi ra từ các mạng nguồn khác sẽ khôngphải chịu tác động của các phản ứng này Các hệ thống phân tán là một giải pháp phùhợp để xử lý nguy cơ của các cuộc tấn công DDoS Tuy nhiên, chúng là các giải phápở mức cơ sở hạ tầng, dàn trải trên nhiều dải mạng và miền quản trị Nó đại diện cho

những cam kết chính của các chủ thể tham gia Internet Các hệ thống như vậy rất khóđể có thể triển khai và duy trì Hơn nữa, sự hợp tác phòng chống DDoS rất khó để đạtđược vì mạng Internet được quản lý theo cách thức phân tán, không một tổ chức riênglẻ nào có thể quản lý và chịu trách nhiệm hoàn toàn cho sự hoạt động ổn định và trơntru của nó Các miền quản trị được điều hành độc lập một cách nghiêm ngặt Bảo mậtvà xác thực các kênh liên lạc cũng gây ra chi phí cao nếu có nhiều chủ thể tham gia.

Các tấn công DDoS có một số đặc điểm khiến chúng khó bị phát hiện và loại bỏ:

• Giả mạo địa chỉ nguồn Kẻ tấn công thường giả mạo địa chỉ nguồn trong một

cuộc tấn công, cụ thể là giả mạo thông tin trường địa chỉ IP nguồn trong phầntiêu đề của các gói tin tấn công Lợi ích mà kẻ tấn công nhận được từ việc giảmạo địa chỉ IP nguồn đó là làm cho việc truy vết các máy tính tham gia tấn côngtrở nên rất khó khăn Điều này dẫn đến một số hậu quả tai hại Các tập tin lưuthông tin truy cập trong các máy tính có địa chỉ IP giả mạo không có tác dụnggì trong việc xác định kẻ tấn công Điều này khuyến khích các tấn công DDoSxảy ra Hơn nữa, việc che dấu địa chỉ của các máy tính tấn công cho phép kẻtấn công có thể sử dụng lại chúng cho các lần tấn công tiếp theo Cuối cùng,các gói tin tấn công mang theo rất nhiều các địa chỉ như thể chúng đến từ nhiềunguồn khác nhau làm sụp đổ các kỹ thuật chia sẻ công bằng là một giải phápđơn giản cho vấn đề quá tải tài nguyên Lợi ích khác của việc giả mạo địa chỉIP nguồn đối với kẻ tấn công là khả năng cho phép các tấn công phản xạ [29].Kẻ tấn công, với địa chỉ của nạn nhân, yêu cầu một dịch vụ công mà việc nàysẽ tạo ra các trả lời với kích thước lớn cho những yêu cầu kích thước nhỏ cụthể (hiệu ứng khuếch đại) Kẻ tấn công tạo ra nhiều yêu cầu nhất có thể mà tàinguyên của anh ta cho phép, giả mạo địa chỉ nguồn của nạn nhân, và gửi chúngđến các máy chủ công cộng Các máy chủ này sẽ hướng một số lượng lớn cáctrả lời đến nạn nhân (do vậy phản xạ và nhân lên lực lượng tấn công) và làm quátải tài nguyên của nạn nhân Một trường hợp phổ biến của tấn công phản xạ đólà kẻ tấn công gửi một số lượng lớn các yêu cầu truy vấn tên miền là các gói tinUDP đến một máy chủ tên miền, sử dụng một địa chỉ IP giả mạo của một nạnnhân làm địa chỉ nguồn cho các gói tin tấn công Bởi vì các trả lời của các máy

chủ tên miền có kích thước lớn hơn rất nhiều các yêu cầu truy vấn, và như vậycó nguy cơ khuếch đại băng thông ở đây Ngay cả khi việc truy vết ngược đượcthực hiện, nó vẫn không thể giải quyết được các tấn công phản xạ Các máy chủcông cộng là những thành phần vô tình tham gia trong đó dịch vụ bình thườngcủa chúng bị lạm dụng trong cuộc tấn công Chúng không sở hữu bất cứ thôngtin nào về kẻ tấn công Mặt khác, các dịch vụ của chúng không thể bị vô hiệuhóa (để ngăn chặn cuộc tấn công) bởi vì như vậy sẽ ảnh hưởng đến rất nhiềucác máy trạm khác Chúng ta có thể ngăn chặn các tấn công phản xạ bằng cáchgiới hạn số lượng trả lời mà các máy chủ tên miền tạo ra cho một địa chỉ IP cụthể Tiếp cận này yêu cầu các máy chủ phải lưu trữ danh sách các địa chỉ IP, tuynhiên việc này lại dẫn đến nguy cơ tiêu thụ một lượng lớn tài nguyên bộ nhớ.Việc đọc và kiểm tra địa chỉ nguồn trong phần tiêu đề của mỗi gói tin là khôngđủ để xác định nguồn của nó bởi vì bộ giao thức TCP/IP không có khả năngđảm bảo địa chỉ nguồn trong một gói tin là địa chỉ của máy tính sinh ra nó Thayvào đó, chúng ta cần phải truy vết ngược dòng gói tin đi qua các router từ nguồntới đích Điều này yêu cầu sự phối hợp của các kỹ sư mạng quản lý các router vàlà một công việc khó hơn nhiều so với chỉ đơn giản đọc thông tin địa chỉ nguồntrong tiêu đề của mỗi gói tin Đây không phải là một công việc mà bên nhận góitin có thể yêu cầu tự động Ngược lại, nó yêu cầu các kỹ sư mạng truy vấn mộtcách cụ thể thông tin của dòng gói tin từ các router Đây là một quá trình thủcông và tốn nhiều thời gian và công sức để thực hiện.

Cuối cùng, để đảm bảo tính xác thực của địa chỉ nguồn của các gói tin, chúng ta

có thể triển khai các bộ lọc đầu vào ((ingress filtering)) trên router, được đề xuất

bởi Ferguson và Senie trong [19] Tuy nhiên, các bộ lọc này cần phải được triểnkhai gần với các hệ thống nguồn để đảm bảo thông tin địa chỉ nguồn được chínhxác nhất Nói chung các hệ thống này nên được triển khai tại router kết nối mạng

của người dùng với mạng Internet (border or edge router) Bất chấp khuyến cáo

an ninh lâu năm này (từ năm 2000), các nhà cung cấp dịch vụ Internet vẫn khôngtriển khai các bộ lọc này và kết quả là các tấn công sử dụng các gói tin với địachỉ nguồn giả mạo tiếp tục xuất hiện một cách thường xuyên.

• Số lượng máy tính tấn công lớn Ngay cả khi việc truy vết ngược được thực

hiện thành công trong các trường hợp giả mạo địa chỉ IP, vẫn rất khó khăn đểđưa ra các hành động đối với hàng trăm hoặc hàng nghìn máy tính tấn công.Một số lượng lớn như vậy ngăn cản bất cứ phản ứng tự động nào nhằm dừng cácdòng tấn công tại các vị trí gần với các nguồn tấn công.

• Sự giống nhau giữa lưu lượng tấn công và lưu lượng thông thường Bất kỳ

loại lưu lượng nào cũng có thể được sử dụng để thực hiện một cuộc tấn côngDDoS thành công Một vài loại lưu lượng yêu cầu một dung lượng tấn côngcao hơn để thành công so với các lưu lượng khác và các loại gói tin khác nhaunhắm đến các tài nguyên khác nhau Tuy nhiên, nếu mục đích chỉ đơn giản làlàm què quặt hoạt động của nạn nhân, kẻ tấn công chỉ cần gửi một dung lượngđủ lớn của bất cứ loại lưu lượng nào và làm tắc nghẽn mạng của nạn nhân Kẻtấn công có xu hướng tạo ra các gói tin giống với gói tin bình thường nhằm chegiấu dòng độc hại trong lưu lượng bình thường Bởi vì các gói tin độc hại khôngcó gì khác với các gói tin thông thường nên không thể lọc lưu lượng tấn công từlưu lượng thông thường mà chỉ dựa trên việc kiểm tra các gói tin cụ thể Một hệthống chống tấn công DDoS phải lưu trữ một số lượng dữ liệu thống kê nhằmtrích rút ngữ nghĩa giao dịch từ các dòng gói tin và do vậy phân biệt lưu lượngthông thường (thuộc vào các giao dịch dài và thể hiện hành vi tốt) với lưu lượngtấn công Với sự xuất hiện của các tấn công LDDoS, các dòng tấn công càng trởnên khó phân biệt với các dòng TCP thông thường, thậm chí còn tốt hơn đối vớimột số chỉ số như là tốc độ gửi gói tin, đặc điểm bùng nổ, nhất là trong các cuộctấn công quy mô lớn với hàng trăm nghìn máy tính tham gia.

1.2Tấn công từ chối dịch vụ phân tán tốc độ thấp

1.2.1Khái niệm tấn công từ chối dịch vụ phân tán tốc độ thấp

Tấn công từ chối dịch vụ phân tán tốc độ thấp LDDoS (TCP-targeted low-rate

dis-tributed denial-of-service attack) là tấn công từ chối dịch vụ phân tán DDoS với mục

đích làm giảm thông lượng của các kết nối TCP, khai thác cơ chế chờ phát lại gói tincủa giao thức TCP để giảm tốc độ tấn công trung bình và tránh phát hiện bởi các cơchế chống tấn công DDoS.

Lưu lượng tấn công LDDoS bao gồm các đợt bùng nổ gói tin tấn công hay còn gọilà xung được gửi đi một cách định kỳ, mỗi đợt với một tốc độ cao và diễn ra trongkhoảng thời gian ngắn Theo [30], các tấn công LDDoS có 2 đặc điểm chính: (1) xungtốc độ cao và (2) sự định kỳ.

Một biến thể của tấn công LDDoS là tấn công giảm chất lượng RoQ [31–35] Cáctấn công RoQ cũng có tốc độ thấp nhưng khác với LDDoS, chúng không khai thác cơchế chờ phát lại gói tin mà khai thác chính sách tăng theo cấp số cộng và giảm theocấp số nhân AIMD của TCP đối với kích thước cửa sổ tắc nghẽn Giống như LDDoS,các tấn công RoQ cũng bao gồm một dãy các đợt bùng nổ gói tin tấn công, tuy nhiêncác đợt bùng nổ gói tin tấn công này được gửi đi một cách ngẫu nhiên và không theomột quy luật nào Các tấn công RoQ làm giảm thông lượng của các kết nối TCP bằngcách gây ra hiện tượng mất gói tin cho các kết nối này Với một kết nối TCP, chỉ cầnmột gói tin bị mất thì kích thước cửa sổ tắc nghẽn của nó sẽ giảm xuống và thônglượng của kết nối cũng sẽ giảm theo Tấn công RoQ rất thu hút kẻ tấn công bởi vì cácđợt bùng nổ gói tin tấn công không cần được đồng bộ với khoảng thời gian chờ phátlại gói tin của các kết nối TCP mà có thể được gửi đi bất kỳ Bên cạnh đó, mục tiêucủa mỗi đợt bùng nổ gói tin tấn công cũng đơn giản hơn, không cần phải làm cho mộtcửa sổ gói tin TCP bị mất để gây ra hiện tượng timeout như trong trường hợp tấn côngLDDoS mà chỉ cần làm mất một gói tin TCP Tấn công RoQ có thể không làm chothông lượng TCP giảm về gần bằng không như LDDoS nhưng chúng vẫn làm giảmchất lượng dịch vụ một cách đáng kể Hơn nữa, những tấn công này lại khó bị pháthiện hơn bởi vì chúng không hoạt động hay thể hiện một mẫu tần số xác định nào.

1.2.2Cơ chế điều khiển tắc nghẽn của giao thức TCP

Một trong những mạng máy tính đầu tiên góp phần hình thành nên mạng Internet ngàynay là ARPANET, ra đời năm 1969 với 4 nút mạng, đó là mạng chuyển mạch gói vàtriển khai bộ giao thức TCP/IP ARPANET được tài trợ bởi Cơ quan dự án nghiên cứu

nâng cao ARPA thuộc Bộ quốc phòng Mỹ Phương thức chuyển mạch gói triển khaitrong mạng ARPANET dựa trên các khái niệm và thiết kế của Leonard Kleinrock,Paul Baran, Donald Davies và Lawrence Roberts Các giao thức giao tiếp TCP/IP củaARPANET được phát triển bởi Robert Kahn và Vint Cerf, tích hợp với các khái niệmtừ dự án CYCLADES của người Pháp dưới sự chỉ đạo của Louis Pouzin [36–45].

Số nút mạng cũng như số máy trạm tham gia vào ARPANET tăng lên nhanh chóngtheo thời gian cho đến khi một sự cố tắc nghẽn mạng lớn xảy ra vào tháng 10 năm1986 Theo một thống kê trong [46] tại thời điểm tháng 11 năm 1986, tức là sau thờiđiểm tắc nghẽn mạng một tháng, số máy trạm là 5089 nhưng hầu hết các đường truyềnxương sống vẫn duy trì băng thông từ 50 đến 56 (kbit/giây) như lúc ban đầu thành lậpmạng Van Jacobson trong [14] đã mô tả sự cố nghẽn mạng xảy ra trên một đườngtruyền với băng thông 32 (kbit/giây) nối từ một địa điểm trong khuôn viên trườngĐại học California Berkeley tới phòng thí nghiệm quốc gia Lawrence Berkeley cáchđó khoảng 400 m Trong khoảng thời gian tắc nghẽn, thông lượng của đường truyềngiảm khoảng 1000 lần còn 40 (bit/giây) Jacobson và đồng nghiệp đã bị cuốn hút bởihiện tượng băng thông giảm đột ngột hàng nghìn lần này và bắt tay vào một cuộcđiều tra lý do tại sao mọi thứ lại trở nên tồi tệ như vậy Jacobson nghi ngờ phiên bảnTCP 4.3BSD đã hoạt động sai và có thể được điều chỉnh để hoạt động tốt hơn trongđiều kiện mạng không lường trước được Ông đã đề xuất và triển khai thuật toán điềukhiển tắc nghẽn cho giao thức TCP, và giao thức TCP khi đó được gọi là TCP Tahoe,được công bố năm 1988 trong [14] Sau đó 2 năm Jacobson sửa đổi TCP Tahoe để tạothành TCP Reno [47].

Cơ chế điều khiển truyền dữ liệu của giao thức TCP dựa trên khái niệm cửa sổ Đểtruyền dữ liệu, chẳng hạn một tệp, từ một máy tính nguồn tới một máy tính đích bằnggiao thức TCP, một kết nối TCP sẽ được thiết lập giữa 2 máy tính, sau đó quá trìnhtruyền dữ liệu sẽ diễn ra trên kết nối này Nguồn gửi sẽ chia nhỏ tệp thành nhiều góitin và đánh số thứ tự cho các gói tin để gửi đến máy đích Bên cạnh đó, nó phải duytrì một biến gọi là kích thước cửa sổW xác định số lượng gói tin lớn nhất được phépgửi đi mà chưa có báo nhận Khi số lượng gói tin đã gửi đi và chưa có báo nhận bằng

W, nguồn TCP phải chờ một gói tin báo nhận trở về trước khi nó có thể gửi đi một gói

tin mới Gói tin báo nhận ACK được tạo ra bởi máy đích mỗi khi nó nhận được mộtgói tin với dữ liệu mới từ nguồn TCP gửi đến, sau đó gói tin báo nhận sẽ được gửi vềnguồn (gói tin này có thể bị làm trễ để giảm một nửa số lượng gói tin báo nhận hoặcđể chờ dữ liệu từ máy đích gửi đến nguồn nếu là giao tiếp hai chiều) Khoảng thờigian từ thời điểm nguồn TCP gửi một gói tin dữ liệu đến thời điểm gói tin báo nhậntương ứng trở về gọi là thời gian đi về của gói tin RTT Hai đặc điểm quan trọng đượcrút ra từ mô hình điều khiển truyền dựa trên cửa sổ, thứ nhất đó là đặc điểm tự định

thời (self-clocking), điều này có nghĩa là nguồn TCP sẽ tự động gửi gói tin chậm lại

nếu mạng trở nên tắc nghẽn và các gói tin báo nhận bị trễ Đặc điểm thứ hai là kíchthước cửa sổ quyết định tốc độ gửi gói tin vào mạng của nguồn TCP: có W gói tinđược gửi đi trong mỗi khoảng thời gian RTT Trước khi có đề xuất của Jacobson năm1988, kích thước cửa sổW là giá trị cố định cho mỗi kết nối TCP và đặc điểm tự địnhthời là cơ chế điều khiển tắc nghẽn duy nhất trên mạng Internet (theo [48–50]) và nóđã không đủ để giúp cho mạng Internet tránh khỏi một sự sụp đổ do tắc nghẽn như đãdiễn ra vào tháng 10 năm 1986 Ý tưởng của Jacobson là tự động thay đổi giá trị W

theo mức độ tắc nghẽn mạng.

Trong phiên bản TCP Tahoe mà Jacobson đề xuất năm 1988 đưa ra khái niệm cửasổ tắc nghẽn cwnd Mỗi kết nối TCP duy trì một cửa sổ tắc nghẽn Tại bất kỳ thờiđiểm nào số lượng gói tin đã gửi đi nhưng chưa có báo nhận không được vượt quá giátrị nhỏ nhất của cwnd và rwnd, trong đó rwnd là kích thước cửa sổ nhận, liên quanđến kích thước bộ nhớ đệm của kết nối ở máy đích.

Định nghĩa 1.1 Cửa sổ tắc nghẽn của một kết nối TCP là số lượng gói tin lớn nhất

mà kết nối đó có thể gửi đi mà chưa có báo nhận.

Khi một kết nối TCP khởi động, cwnd = 1 gói tin và chỉ có duy nhất một góitin được gửi đi Sau đó TCP sẽ tăng tốc độ gửi gói tin vào mạng bằng cách tăng gấpđôicwnd sau mỗi khoảng thời gian RTT Điều này tương ứng với việc tăngcwnd lên1 gói tin mỗi khi nguồn TCP nhận được một gói tin báo nhận Giai đoạn này đượcgọi là khởi động chậm Mặc dù tên gọi là khởi động chậm nhưng tốc độ gửi gói tincủa TCP trong giai đoạn này tăng nhanh theo cấp số mũ, sau khoảng thời gian RTTkể từ lúc gửi gói tin đầu tiên thì cwnd = 2(gói tin), sau2 ×RTT cwnd = 4(gói tin),