BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI Trần Mạnh Thắng PHÁT HIỆN VÀ PHÒNG CHỐNG MỘT SỐ DẠNG TẤN CÔNG TỪ CHỐI DỊCH VỤ PHÂN TÁN Ngành: Kỹ thuật phần mềm Mã số: 9480103 LUẬN ÁN TIẾN SĨ KỸ THUẬT PHẦN MỀM NGƯỜI HƯỚNG DẪN KHOA HỌC: PGS.TS Nguyễn Khanh Văn PGS.TS Nguyễn Linh Giang Hà Nội - 2019 LỜI CAM ĐOAN Tôi xin cam đoan tất nội dung luận án “Phát phòng chống số dạng công từ chối dịch vụ phân tán” công trình nghiên cứu riêng tơi hướng dẫn tập thể hướng dẫn Các số liệu, kết luận án trung thực chưa tác giả khác cơng bố cơng trình Việc tham khảo nguồn tài liệu thực trích dẫn ghi nguồn tài liệu tham khảo quy định Hà Nội, ngày 11 tháng năm 2019 Tập thể hướng dẫn PGS.TS Nguyễn Khanh Văn Nghiên cứu sinh PGS.TS Nguyễn Linh Giang i Trần Mạnh Thắng LỜI CẢM ƠN Trước hết, xin trân trọng cảm ơn Trường Đại học Bách Khoa Hà Nội, Phòng Đào tạo, Viện Công nghệ thông tin Truyền thông, thầy cô bạn tạo điều kiện thuận lợi đóng góp nhiều ý kiến quý báu giúp tơi hồn thành luận án Đặc biệt, tơi xin bày tỏ lòng biết ơn chân thành sâu sắc đến hai Thầy hướng dẫn khoa học, PGS.TS Nguyễn Khanh Văn PGS.TS Nguyễn Linh Giang hết lòng hướng dẫn, giúp đỡ tạo điều kiện thuận lợi cho tơi suốt q trình thực Luận án Tơi xin cảm ơn gia đình người thân bên tôi, ủng hộ động viên suốt q trình nghiên cứu Tơi xin chân thành cảm ơn! Hà Nội, ngày 11 tháng năm 2019 Nghiên cứu sinh Trần Mạnh Thắng ii MỤC LỤC LỜI CAM ĐOAN i MỤC LỤC ii MỞ ĐẦU 1 Tính cấp thiết đề tài Đối tượng nghiên cứu phương pháp nghiên cứu Nội dung nghiên cứu Ý nghĩa khoa học ý nghĩa thực tiễn luận án Điểm luận án Cấu trúc luận án CHƯƠNG TỔNG QUAN VỀ TẤN CƠNG VÀ PHỊNG CHỐNG TẤN CƠNG DDOS 1.1 Tổng quan công từ chối dịch vụ phân tán DDoS 1.2 Các dạng công DDoS phổ biến 11 1.2.1 Tấn công DDoS lớp mạng 11 1.2.2 Tấn công DDoS vào lớp ứng dụng 12 1.3 Các công cụ công DDoS phổ biến 13 1.3.1 IRC-based 14 1.3.2 Web-based 14 1.4 Những thách thức việc phát phòng chống công DDoS 15 1.5 Tổng quan phương pháp phòng chống cơng DDoS 16 1.5.1 Nhóm phương pháp phòng chống công lớp mạng 18 1.5.1.1 Nhóm phương pháp áp dụng gần nguồn công 18 1.5.1.2 Nhóm phương pháp áp dụng phía đối tượng bảo vệ 18 1.5.1.3 Nhóm phương pháp áp dụng hạ tầng mạng trung gian 19 1.5.1.4 Nhóm phương pháp kết hợp 19 1.5.2 Nhóm phương pháp phòng chống cơng lớp ứng dụng 19 1.5.2.1 Nhóm phương pháp áp dụng phía đối tượng bảo vệ 20 1.5.2.2 Nhóm phương pháp kết hợp 20 1.5.3 Nhóm phương pháp theo giai đoạn phòng chống 20 1.5.3.1 Giai đoạn phòng thủ 20 1.5.3.2 Giai đoạn phát công 21 1.5.3.3 Giai đoạn xử lý công 21 1.5.4 Phân tích lựa chọn phương pháp theo vị trí triển khai 22 1.5.5 Các nghiên cứu liên quan đến phòng chống công TCP Syn Flood 23 1.5.6 Các nghiên cứu liên quan đến phòng chống cơng Web App-DDoS 26 1.6 Nghiên cứu tiêu chí đánh giá hiệu phương pháp 27 1.7 Nghiên cứu, khảo sát đánh giá thực nghiệm 28 1.7.1 Khảo sát tập liệu đánh giá thực nghiệm 29 1.7.2 Đánh giá thực nghiệm với công TCP Syn Flood Web App-DDoS 31 1.8 Kết luận chương 33 CHƯƠNG PHÁT HIỆN VÀ PHỊNG CHỐNG TẤN CƠNG TCP SYN FLOOD 34 2.1 Giới thiệu toán 34 2.1.1 Tổng quan nội dung nghiên cứu chương 34 2.1.2 Về hạn chế phạm vi ứng dụng phương pháp giải 36 2.2 Tổng quan dạng công TCP Syn Flood 37 2.3 Mơ hình triển khai phương pháp phát phòng chống cơng TCP Syn Flood 38 2.3.1 Mơ hình tổng thể thành phần 39 2.3.2 Nguyên lý hoạt động 40 2.4 Phát công TCP Syn Flood 41 2.5 Phát loại bỏ gói tin giả mạo cơng DDoS TCP Syn Flood 43 2.5.1 Đặc trưng gói tin IP gửi từ máy nguồn 43 2.5.2 Kiểm chứng giả thuyết tính chất tăng dần giá trị PID 44 2.5.2.1 Kiểm chứng giả thuyết PID dựa quan sát ngẫu nhiên 45 2.5.2.2 Kiểm chứng giả thuyết PID toàn tập liệu thu 46 2.5.3 Giải pháp phát loại bỏ gói tin giả mạo PIDAD1 46 2.5.3.1 Thuật toán DBSCAN 47 2.5.3.2 Giải pháp PIDAD1 48 2.5.4 Giải pháp phát loại bỏ gói tin giả mạo PIDAD2 51 2.5.4.1 Cơ chế thuật toán lọc bỏ nhanh gói tin giả mạo 52 2.5.4.2 Phân tích đánh giá giải pháp PIDAD2 góc độ lý thuyết 55 2.5.4.3 Tăng tốc độ xử lý giải pháp PIDAD2 với thuật toán Bloom Filter 57 2.5.5 Phương pháp xác thực địa IP nguồn 58 2.6 Đánh giá thực nghiệm 60 2.6.1 Xây dựng mơ hình liệu đánh giá thực nghiệm 60 2.6.2 Đánh giá thực nghiệm cho giải pháp PIDAD1 PIDAD2 63 2.6.2.1 Giải pháp PIDAD1 63 2.6.2.2 Giải pháp PIDAD2 64 2.6.2.3 So sánh hiệu giải pháp PIDAD1 PIDAD2 64 2.6.3 So sánh hiệu giải pháp PIDAD2 với giải pháp khác 66 2.7 Kết luận chương 68 CHƯƠNG PHÁT HIỆN VÀ PHÒNG CHỐNG TẤN CÔNG WEB APP-DDOS 70 3.1 Giới thiệu toán 70 3.2 Tổng quan công Web App-DDoS 71 3.2.1 Ứng dụng Web 71 3.2.1.1 Máy chủ Web 71 3.2.1.2 Nguyên lý hoạt động 71 3.2.1.3 Giao thức HTTP 72 3.2.2 Đặc trưng thách thức phòng chống cơng Web App-DDoS 73 3.1.2.1 Một số đặc trưng công Web App-DDoS 73 3.2.2.2 Vấn đề khó khăn phòng, chống cơng Web App-DDoS 73 3.3 Mơ hình, phương pháp phòng chống công Web App-DDoS 74 3.3.1 Mơ hình tổng thể thành phần 74 3.3.2 Nguyên lý hoạt động 75 3.4 Phát công Web App-DDoS 77 3.4.1 Tiêu chí phát công dựa tần suất truy nhập 78 3.4.2 Tiêu chí phát công dựa vào thời gian truy cập ngẫu nhiên 78 3.5 Phòng chống cơng Web App-DDoS sử dụng phương pháp FDDA 79 3.5.1 Ý tưởng phương pháp FDDA 80 3.5.2 Các khái niệm sử dụng phương pháp FDDA 81 3.5.3 Thiết lập tham số đầu vào cho phương pháp FDDA 82 3.5.4 Tiêu chí tần suất truy cập 82 3.5.4.1 Thiết kế bảng liệu lưu vết truy cập TraTab 83 3.5.4.2 Thiết lập tham số đầu vào chế đồng 85 3.5.4.3 Thuật tốn chi tiết tính tần suất f thời gian thực 85 3.5.4.4 Cài đặt thuật toán 89 3.5.4.5 Tìm loại bỏ nhanh nguồn gửi yêu cầu công tần suất cao 89 3.5.5 Xây dựng tiêu chí tương quan phương pháp FDDA 91 3.5.5.1 Xây dựng tập liệu tương quan 91 3.5.5.2 Thiết kế cấu trúc liệu cho thuật toán 94 3.5.5.3 Phát nguồn gửi công sử dụng tập liệu tương quan 95 3.5.5 Thuật tốn xử lý cơng phương pháp FDDA 96 3.6 Đánh giá thực nghiệm 98 3.6.1 Tạo liệu thử nghiệm 98 3.6.4 Đánh giá thử nghiệm phương pháp FDDA 99 3.6.4.1 Kết xác định nguồn gửi u cầu cơng theo tiêu chí tần suất 99 3.6.4.2 Kết xây dựng tập yêu cầu tương quan 100 3.6.4.3 Kết đánh giá thử nghiệm phương pháp FDDA 100 3.6.5 So sánh hiệu phương pháp FDDA với phương pháp khác 101 3.7 Kết luận chương 102 KẾT LUẬN VÀ ĐỀ XUẤT 103 Kết luận 103 Kiến nghị, đề xuất 104 DANH MỤC CÁC CƠNG TRÌNH ĐÃ CƠNG BỐ CỦA LUẬN ÁN 105 TÀI LIỆU THAM KHẢO 106 TÀI LIỆU THAM KHẢO [1] E Y K Chan et al., Intrusion Detection Routers: Design, implementation and Evaluation Using an Experimental Testbed, IEEE Journal on Selected Areas in Communications, vol 24, no 10, pp 1889 1900, 2006 [2] B H Bloom, “Space/time trade-offs in hash coding with allowable errors,” Communications of the ACM, vol 13, no 7, pp 422–426, 1970 [3] BASKAR ZIMMERMANN (April 1980): "OSI Reference Model—The ISO Model of Architecture for Open Systems Interconnection" [4] J POSTEL: Transmission Control Protocol: DARPA internet program protocol specification, RFC 793, September 1981 [5] CERT TCP Syn Flooding and IP Spoofing Attacks Advisory CA-96.21, September 1996 [6] M Ester, H.P Kriegel, J Sander and X Xu, “A Density-Based Algorithm for Discovering Clusters in Large Spatial Databases with Noise,” in Proceedings of the 2nd International Conference on Knowledge Discovery and Data Mining, 1996 [7] M.I MIT, in Darpa Intrusion Detection Evaluation Retrieved from Lincoln Laboratory: https://www.ll.mit.edu/ideval/data/1998data.html [8] K A Bradley, S Cheung, N Puketza, B Mukherjee, and R A Olsson, Detecting Disruptive Routers: A Distributed Network Monitoring Approach, in Proc of the 1998 IEEE Symposium on Security and Privacy, May 1998 [9] J Lo et al., An IRC Tutorial, April, [online] http://www.irchelp.org/irchelp/irctutorial.ht ml#part1 2003, irchelp.com 1997, [10] B Hancock, Trinity v3, a DDoS tool, hits the streets, Computers & Security, Vol 19, no 7, pp 574-574, Nov., 2000 [11] P Ferguson, and D Senie, Network Ingress Filtering: Defeating Denial of Service Attacks that employ IP source address spoofing, Internet RFC 2827, 2000 [12] LIPPMANN: the 1999 DARPA Off-Line Intrusion Detection Evaluation Computer Networks 34(4), 579–595 (2000) [13] P J Criscuolo, Distributed Denial of Service, Tribe Flood Network 2000, and Stacheldraht CIAC-2319, Department of Energy Computer Incident Advisory Capability (CIAC), UCRL-ID-136939, Rev 1., Lawrence Livermore National Laboratory, February 14, 2000 [14] J Yan, S Early, and R Anderson, The XenoService - A Distributed Defeat for Distributed Denial of Service, in Proc of ISW 2000, October 2000 [15] Y Huang, and J M Pullen, Countering Denial of Service attacks using congestion triggered packet sampling and filtering, in Proc of the 10th International Conference on Computer Communiations and Networks, 2001 [16] T M Gil, and M Poleto, MULTOPS: a data-structure for bandwidth attack detection, in Proc of 10th Usenix Security Symposium, Washington, DC, pp 2338, August 1317, 2001 [17] K Park, and H Lee, On the effectiveness of probabilistic packet marking for IP traceback under denial of service attack, in Proc of IEEE INFOCOM 2001, pp 338347 [18] K Park, and H Lee, On the Effectiveness of Route-Based Packet Filtering for Distributed DoS Attack Prevention in Power-Law Internets, n Proc ACM SIGCOMM, August 2001 [19] Bysin, knight.c sourcecode, http://packetstormsecurit y.org/distributed/ knight.c 2001, [online] [20] F Kargl, J Maier, and M Weber, “Protecting web servers from distributed denial of service attacks,” in WWW ’01: Proceedings of the 10th international conference on World Wide Web.NewYork, NY, USA: ACM Press, 2001, pp 514–524 [21] B JOAO, D CABRERA: Proactive Detection of Distributed Denial of Service Attacks Using MIB Traffic Variables A Feasibility Study, Integrated Network Management Proceedings, pp 609 622, 2001 [22] J Mirkovic, G Prier, and P Reiher, Attacking DDoS at the Source, in Proc o f the 10th IEEE International Conference on Network Protocols (ICNP ’02), Washington DC, USA, 2002 [23] id=55&idmenu=55 http://rivf2019.udn vn/Datatinh.aspx? [24] R Mahajan, S M Bellovin, S Floyd, J Ioannidis, V Paxson, and S Shenker, Controlling high bandwidth aggregates in the network, presented at Computer Communication Review, pp.62-73, 2002 [25] D Yau, J C S Lui, and F Liang, Defending against distributed denial of service attacks using max-min fair máy chủ centric router throttles, IEEE nternational conference on Quality of Service 2002 [26] J Mirkovic, P Reiher, and M Robinson, Forming Alliance for DDoS Defense, in Proc of New Security Paradigms Workshop, Centro Stefano Francini, Ascona, Switzerland, 2003 [27] C Wilson , DDoS and Security Reports: The Arbor Networks Security Blog, Arbor Networks, 2011, [online] http://ddos.arbornetworks.com/2012/02/ddostools/ [28] L V Ahn, M Blum, N J Hopper, and J Langford, CAPTCHA: using hard AI problems for security, in Proc of the 22nd international conference on Theory and applications of cryptographic techniques (EUROCRYPT’03), Eli Biham (Ed.) SpringerVerlag, Berlin, Heidelberg, 294-311 2003 [29] C Papadopoulos, R Lindell, J Mehringer, A Hussain, and R Govindan, Cossack: Coordinated Suppression of Simultaneous Attacks, in Proc Of he DARPA Information Survivability Conference and Exposition, Vol 1, pp 13, Apr 2003 [30] S Abdelsayed, D Glimsholt, C Leckie, S Ryan, and S Shami, An efficient filter for denial-of-service bandwidth attacks, in Proc of the 46th IEEE Global Telecommunications Conference (GLOBECOM03), pp 13531357, 2003 [31] T PENG, C LECKIE, AND K RAMAMOHANARAO: Protection from distributed denial of service attacks using history-based IP filtering, ICC ’03 May, Vol.1, pp: 482- 486, 2003 [32] A YAAR, A PERRIG, AND D SONG: Pi: A Path Identification Mechanism to Defend against DDoS Attacks, in IEEE Symposium on Security and Privacy, pp 93, 2003 [33] J Mirkovic, G Prier, and P Reihe, Source-End DDoS Defense, in Proc of 2nd IEEE International Symposium on Network Computing and Applications, April 2003 [34] R Thomas, B Mark, T Johnson, and J Croall, “Netbouncer: client legitimacybased high-performance ddos filtering,” in DARPA Information Survivability Conference and Exposition, 2003 Proceedings, vol.1 IEEE Press, 2003, pp 14–25 [35] R Puri, Bots and Botnet – an overview, Aug 08, 2003, [online] http://www.giac.org/practical/GSEC/Ramneek Puri GSEC.pdf [36] C Douligeris and A Mitrokotsa, “Ddos attacks and defense mechanisms: a classification,” in Signal Processing and Information Technology, 2003 ISSPIT 2003 Proceedings of the 3rd IEEE International Symposium on IEEE Press, 2003, pp 190–193 [37] M LI, J LIU, AND D LONG: Probability Principle of Reliable Approach to detect signs of DDOS Flood Attacks, PDCAT, Springer-Verlag Berlin Heidelberg, pp.596-599, 2004 [38] R R Kompella, S Singh, and G Varghese, “On scalable attack detection in the network,” in IMC ’04: Proceedings of the 4th ACM SIGCOMM conference on Internet measurement New York, NY, USA: ACM Press, 2004, pp 187–200 [39] J Mirkovic and P Reiher, A taxonomy of DDoS attack and DDoS defense mechanisms, ACM SIGCOMM Computer Communications Review, vol.34, no 2, pp 3953, April 2004 [40] V A Siris, and F Papaglou, Application of anomaly detection algorithms for detecting syn flooding attacks, in Proc of the IEEE GLOBECOM, 2004 [41] M Kim, H Kang, S Hong, S Chung, and J W Hong, A flow-based method for abnormal network traffic detection, in Network Operations and Management Symposium, vol 1, pp 599-612, April 2004 [42] 2004 B Claise, Cisco Systems NetFlow Services Export Version 9, RFC 3954, [43] R Chen, and J M Park, Attack Diagnosis: Throttling distributed denial-of-service attacks close to the attack sources, IEEE Int’l Conference on Computer Communications and Networks (ICCCN’05), Oct 2005 [44] Lawrence Berkeley National Laboratory (LBNL), Enterprise Tracing Project, 2005 (http://www.icir.org/enterprisetracing/) ICSI, LBNL/ICSI [45] S Kandula, D Katabi, M Jacob, and A W BergerBotz-4-sale: Surviving organized ddos attacks that mimic flash crowds, in Proc Of Symposium on Networked Systems Design and Implementation (NSDI), Boston, May 2005 [46] id=1nXUAAvOdV8rUE4Q6ePhXW_FajaT4dDb7 https://drive.google.com/open? [47] R Chen, J M Park, and R Marchany, RIM: Router interface marking for IP traceback, in IEEE Global Telecommunications Conference (GLOBECOM’06), 2006 [48] S Ranjan, R Swaminathan, M Uysal, and E Knightly, DDoS-Resilient Scheduling to Counter Application Layer Attacks under Imperfect Detection, IEEE INFOCOM’06, 2006 [49] Y KIM, W C LAU, M C CHUAH, AND H J CHAO: PacketScore, A Statistics- Based Packet Filtering Scheme against Distributed Denial-of-Service Attacks, IEEE Trans On Dependable and Secure Computing, vol 3, no 2, pp 141-155, 2006 [50] M Walfish, M Vutukuru, H Balakrishnan, D Karger, and S Shenker, DDoS defense by offense, SIGCOMM Computer Communications Review, Vol 36, no 4, pp 303314, August 2006 [51] R Chen, J M Park, and R Marchany, TRACK: A novel approach for defending against distributed denial-of-service attacks, Technical Report TR-ECE-06-02, Dept of Electrical and Computer Engineering, Virginia Tech, Feb 2006 [52] A Dainotti, A Pescape, and G Ventre, Wavelet-based detection of dos attacks, in IEEE Global Telecommunications Conference, GLOBECOM, 2006 [53] D.M Powers, in Evaluation: from Precision, Recall and F-measure to ROC, Informedness, Markedness and Correlation, 23rd international conference on machine learning (Pitsburg,2006) [54] KDD Cup 1999 http://kdd.ics.uci.edu/databases/kddcup99/kddcup99.ht ml, Ocotber 2007 Online: [55] J Yu, Z Li, H Chen, and X Chen, A Detection and Offense Mechanism to Defend Against Application Layer DDoS Attacks, the third International Conference on Networking and Services (ICNS’07), pp 54, June 19-25, 2007 [56] H WANG, C JIN, AND K G SHIN: Defense Against Spoofed IP Traffic Using Hop-Count Filtering, IEEE/ACM Trans On Networking, vol 15, no 1, pp.40-53, February 2007 [57] T Peng, C Leckie, and K Ramamohanarao, Survey of network-based defense mechanisms countering the DoS and DDoS problems, ACM Comput Surv 39, 1, Article 3, April 2007 [58] J Nazario, BlackEnergy DDoS Bot Analysis, Arbor Networks, 2007, [online] http://atlas-public.ec2.arbor.net/docs/BlackE nergy+DDoS+Bot+ Analysis.pdf [59] A T Mizrak, S Savage, and K Marzullo, Detecting compromised routers via packet forwarding behavior, IEEE Network, pp.34-39, 2008 [60] team-cymru Inc., A Taste of HTTP Botnets, July, 2008, [online] http://www.teamcymru.com/ReadingRoom/Whitepapers/2008/http-botnets.pdf [61] G Kambourakis, T Moschos, D Geneiatakis, and S Gritzalis, Detecting DNS Amplification Attacks, in Critical Information Infrastructures Security Lecture Notes in Computer Science, Vol 5141, pp 185-196, 2008 [62] X Liu, X Yang, and Y Lu, To filter or to authorize: network-layer DoS defense against multimillion-node botnets, in Proc of the ACM SIGCOMM conference on Data communication (SIGCOMM ’08), NY, USA, pp 195-206, 2008 [63] G Oikonomou, and J Mirkovic, Modeling human behavior for defense against flash- crowd attacks, in Proc of the 2009 IEEE international conference on Communications (ICC’09), pp 625-630, 2009 [64] K Argyraki, and D R Cheriton, Scalable network-layer defense against internet bandwidth-flooding attacks, in IEEE/ACM Trans Netw., 17(4), pp 1284-1297, August 2009 [65] S Ranjan, R Swaminathan, M Uysal, A Nucci, and E Knightly, DDoS-shield: DDoS-resilient scheduling to counter application layer attacks, IEEE/ACM Trans Netw., Vol 17, no 1, pp 26-39, February 2009 [66] Y Xie, and S Z Yu, A large-scale hidden semi-Markov model for anomaly detection on user browsing behaviors, IEEE/ACM Transactions on Networking (TON), Vol 17, no 1, pp 54-65, February 2009 [67] Biswa Ranjan Swain, Bibhudatta Sahoo, “Mitigating DDoS attack and Saving Computational Time using a Probabilistic approach and HCF method”, IEEE International Conference on Advance Computing, NIT, Rourkela, India, pp 1170-1172, 6-7, March 2009 [68] Yang Li, Tian-Bo Lu, Li Guo, Li Guo, Li Guo, “Towards lightweight and efficient DDOS attacks detection for web server”, Proceedings of the 18th international conference on World wide web Pages 1139-1140, April, 2009 [69] A JOHN, AND T SIVAKUMAR: Survey of Traceback Methods, International Journal of Recent Trends in Engineering ACEEE (Association of Computer Electronics & ElectricalEngineers), vol 1, no 2, May 2009 [70] J Liu, Y Xiao, K Ghaboosi, H Deng, and J Zhang, Botnet: Classification, Attacks, Detection, Tracing, and Preventive Measures, EURASIP Journal on Wireless Communications and Networking, vol 2009, Article ID 692654, 11 pages, 2009 [71] Praetox Technologies Low [online] https://github.com/NewEraCracker/LOIC/ Orbit Ion Cannon, 2010, [72] K J Higgins, Researchers To Demonstrate New Attack That Exploits HTTP, Nov 01, 2010, [online] http://www.darkreading.com/vulnerabilit y-management/167901026 security/attacks-breaches/228000532/index.html [73] S T Zargar, and J B D Joshi, A Collaborative Approach to Facilitate Intrusion Detection and Response against DDoS Attacks, the 6th Intl Conference on Collaborative Computing: Networking, Applications and Worksharing (CollaborateCom 2010), Chicago, IL, October 9-12, 2010 [74] 09 Filipe Almeida (aka LiquidK), "idlescan (ip.id portscanner)", Retrieved 2010-11- [75] B Krishna Kumar, P.K Kumar, R Sukanesh, "Hop Count Based Packet Processing Approach to Counter DDoS Attacks," International Conference on Recent Trends in Information, Telecommunication and Computing, PET Engineering College, Thirunelvelli, India, pp 271-273, 12-13, March, 2010 [76] H I Liu, and K C Chang, Defending systems Against Tilt DDoS attacks, Telecommunication Systems, Services, and Applications (TSSA), pp 22-27, October 2021, 2011 [77] CAIDA, The Cooperative Analysis for Internet Data Analysis, 2011 (htt p://www.caida.org) [78] Tran Manh Thang, Juntae Kim, “The Anomaly Detection by Using DBSCAN Clustering with Multiple Parameters”, 2011 International Conference on Information Science and Applications, May, 2011 [79] DEFCON, (http://cctf.shmoo.com/) The SHMOO Group, 2011 [80] C Wilson, DDoS and Security Reports: The Arbor Networks Security Blog, Arbor Networks, 2011, [online] http://ddos.arbornetworks.com/2012/02/ddos-tools/ [81] Acunetix web application security, ; 2012 [82] Google’s official googlebot, ; 2012 [83] Strategies to Protect Against Distributed Denial of Service (DDoS) Attacks, Retrieved Oct 19, 2012, [online] http://www.cisco.com/en/US/t ech/t k59/techno logies/whitepaper09186a 0080174a5b.shtml [84] A Rahul, S K Prashanth, B S kumarand, and G Arun, Detection of Intruders and Flooding In Voip Using IDS, Jacobson Fast And Hellinger Distance Algorithms, IOSR Journal of Computer Engineering (IOSRJCE), Vol 2, no 2, pp 30-36, July-Aug 2012 [85] E Alomari, S Manickam, B B Gupta, S Karuppayah, and R Alfaris, Botnetbased Distributed Denial of Service (DDoS) Attacks on Web Servers: Classification and Art, International Journal of Computer Applications, Vol 49, no 7, pp 24-32, Jul., 2012 [86] RioRey, Inc 2009-2012, RioRey Taxonomy of DDoS Attacks, RioRey Taxonomy Rev 2.3 2012, 2012 [online] http://www.riorey.com/x-resources/2012/RioRey Taxonomy DDoS Attacks 2012.pdf [87] S Shekyan, Are you ready for slow reading? [online] https://community.qualys.com/blogs/securitylabs/2012/01/05/slowread [88] ha.ckers.org, Slowloris [online] http://ha.ckers.org/slowloris/ HTTP DoS, Retrieved Jan Oct 5, 2012, 19, 2012, [89] S Taghavi Zargar and D Tipper “A Survey of Defense Mechanisms Against Distributed Denial of Service (DDoS) Flooding Attacks”, 11 Feb 2013 [90] Ritu Maheshwari, Dr C Rama Krishna, "Mitigation Of DDos Attacks Using Probability Based Distributed Hop Count Filtering And Round Trip Time," International Journal of Engineering Research & Technology, Vol Issue 7, July - 2013 [91] Luis Campo Giralte, Cristina Conde, Isaac Martin de Diego, Enrique Cabello, “Detecting denial of service by modelling web-server behaviour”, Computers & Electrical Engineering, Volume 39, Issue 7, Pages 2252-2262, October, 2013 [92] Qin Liao, Hong Li, Songlin Kang, Chuchu Liu, “Feature extraction and construction of application layer DDoS attack based on user behavior”, Proceedings of the 33rd Chinese Control Conference, July, 2014 [93] Monowar H Bhuyan, Dhruba K Bhattacharyya, Jugal K Kalita, “owards Generating Real-life Datasets for Network Intrusion Detection”, International Journal of Network Security, Vol.17, No.6, PP.683-701, Nov 2015 [94] Ko Ko Oo, Kyaw Zaw Ye, Hein Tun, Kyaw Zin Lin and E.M Portnov, “Enhancement of Preventing Application Layer Based on DDOS Attacks by Using Hidden Semi-Markov Model”, Genetic and Evolutionary Computing pp 125-135, August 2015 [95] Opeyemi.A Osanaiye, Mqhele Dlodl, “TCP/IP Header Classification for Detecting Spoofed DDoS Attack in Cloud Environment”, IEEE EUROCON 2015 - International Conference on Computer as a Tool, 978-1-4799-8569-2, Sept, 2015 [96] Alptugay Degirmencioglu, Hasan Tugrul Erdogan, Mehrdad A Mizani, Oğuz Yılmaz, “A classification approach for adaptive mitigation of SYN flood attacks: Preventing performance loss due to SYN flood attacks”, NOMS 2016 - 2016 IEEE/IFIP Network Operations and Management Symposium, pp 1109-1112, April, 2016 [97] Monika Sachdeva, Krishan Kumar, Gurvinder Singh “A comprehensive approach to discriminate DDoS attacks from flash events”, Journal of information security and applications 26 (2016) 8–22 [98] S Behala, K Kumarb “Trends in Validation of DDoS Research”, Procedia Computer Science, Volume 85, 2016, Pages 7-15 [99] L Kavisankar, C Chellappan, S Venkatesan, P Sivasankar “Efficient SYN Spoofing Detection and Mitigation Scheme for DDoS Attack”, Second International Conference on Recent Trends and Challenges in Computational Models, Feb, 2017 [100] Akshat Gaurav, Awadhesh Kumar Singh, “Entropy-score: A method to detect DDoS attack and flash crowd”, 2017 2nd IEEE International Conference on Recent Trends in Electronics, Information & Communication Technology, May, 2017 [101] T Alharbi, A Aljuhani, H Liu, “SYN Flooding Detection and Mit igation using NFV”, International Journal of Computer Engineering and Information Technology, VOL 10, NO 1, January 2018 [102] Ryosuke Nagai, Wataru Kurihara, Shun Higuchi, Toshio Hirotsu, “Design and Implementation of an OpenFlow-Based TCP Syn Flood Mitigation”, 2018 6th IEEE International Conference on Mobile Cloud Computing, Services, and Engineering, March, 2018 [103] K Munivara Prasad, A Rama Mohan Reddy, K Venu Gopal Rao, “An Experiential Metrics-Based Machine Learning Approach for Anomaly Based Real Time Prevention (ARTP) of App-DDoS Attacks on Web”, Artificial Intelligence and Evolutionary Computations in Engineering Systems pp 99-112, March, 2018 [104] Internet Engineering Task Force (IETF), RFC 791 [105] Mananet, inc.com/pubs/Reverse FireWall.pdf Reverse Firewall, [online] [106] Arbor networks worldwide infraestructure 4., security http://www.cs3– report vol [107] http://acdt2018.org/ [108] X Liu, X Yang, and Y Lu, StopIt: Mitigating DoS Flooding Attacks from MultiMillion Botnets, Technical Report 08-05, htt p://www.cs.duke.edu/ xinl/stopit-tr.pdf [109] https://www.gns3.com/ [110] https://drive.google.com/open?id=1xJRGgcfkKkAfbuxXlYU3DHlKfr4BU51Z [111] https://drive.google.com/open?id=1DM0uy4zEf4tfvNyhc4XwQ2-49BDf0OmT [112] id=1B1_E5mQEPN5iC7vck7yFBpeLuac7Lwv4 https://drive.google.com/open? ... pháp phòng chống công DDoS 1.1 Tổng quan công từ chối dịch vụ phân tán DDoS Tấn công từ chối dịch vụ dạng cơng mạng với mục đích làm tính khả dụng hệ thống thơng tin Tấn công từ chối dịch vụ thực... quan công từ chối dịch vụ phân tán DDoS;  Các dạng công DDoS phổ biến;  Các công cụ công DDoS phổ biến;  Những thách thức việc phát phòng chống cơng DDoS;  Tổng quan phương pháp phòng chống. .. VỀ TẤN CƠNG VÀ PHỊNG CHỐNG TẤN CƠNG DDOS 1.1 Tổng quan công từ chối dịch vụ phân tán DDoS 1.2 Các dạng công DDoS phổ biến 11 1.2.1 Tấn công DDoS lớp mạng 11 1.2.2 Tấn