ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ NGUYỄN VĂN LINH GIẢM THIỂU ẢNH HƯỞNG CỦA CÁC TẤN CÔNG TỪ CHỐI DỊCH VỤ PHÂN TÁN VÀO CÁC WEBSITE LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN Hà Nội – Năm 2015 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ NGUYỄN VĂN LINH GIẢM THIỂU ẢNH HƯỞNG CỦA CÁC TẤN CÔNG TỪ CHỐI DỊCH VỤ PHÂN TÁN VÀO CÁC WEBSITE Ngành: Công nghệ thông tin Chuyên ngành: Truyền liệu mạng máy tính Mã số: LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN NGƯỜI HƯỚNG DẪN KHOA HỌC: TIẾN SĨ NGUYỄN ĐẠI THỌ Hà Nội – Năm 2015 LỜI CAM ĐOAN Tôi xin cam đoan: Luận văn cơng trình nghiên cứu thực cá nhân tôi, thực hướng dẫn khoa học Tiến sĩ Nguyễn Đại Thọ Các số liệu, kết luận nghiên cứu trình bày luận văn trung thực thực không chép kết khác Tôi xin chịu trách nhiệm nghiên cứu Học viên Nguyễn Văn Linh LỜI CẢM ƠN Đầu tiên xin gửi lời cảm ơn chân thành đến thầy, cô trường Đại học Công nghệ - Đại học Quốc gia Hà Nội nhiệt tình giảng dạy hướng dẫn tơi thời gian học tập trường Tiếp đó, tơi xin bày tỏ lòng biết ơn sâu sắc tới thầy TS.Nguyễn Đại Thọ nhiệt tình hướng dẫn, tích cực phân tích, lắng nghe phản biện giúp hiểu hướng để hồn thành khóa luận Tôi xin gửi lời cảm ơn đến GS.TS Đỗ Văn Tiến – Đại học BME – Hungary nhiệt tình cố vấn định hướng giúp tơi q trình nghiên cứu, đánh giá kết thu đảm bảo tính khoa học tin cậy Mặc dù cố gắng để hồn thiện khóa luận song khơng thể khơng có thiếu sót, mong nhận góp ý nhận xét từ thầy, cô bạn Một lần nữa, xin chân thành cảm ơn thầy cô Học viên thực Nguyễn Văn Linh TÓM TẮT Phân loại lưu lượng truy vấn hợp lệ công dựa đặc điểm hành vi truy cập người dùng phương pháp hiệu để phòng chống cơng DDoS với chi phí rẻ, dễ triển khai mà can thiệp vào cấu trúc mạng, giao thức Tuy đề xuất, kết nghiên cứu trước tồn hạn chế, sử dụng kết thống kê hành vi truy cập lỗi thời Hiện xuất công nghệ WebCache, Ajax, RSS, nén giải nén làm thay đổi phương thức tải liệu hành vi tương tác người dùng với web dẫn đến thuộc tính hành vi truy cập thay đổi Vì luận văn này, chứng minh sử dụng mô hình liệu phương pháp cũ cho kết phát sai truy cập hợp pháp cơng tương đối lớn Từ chúng tơi giới thiệu đề xuất dựa việc sử dụng bẫy thời gian, thống kê tần xuất yêu cầu tải trang độ lớn đối tượng tải khoảng thời gian phân chia hợp lý, phân biệt với thuộc tính có tính chất lặp lại liên tục, có hệ thống lưu lượng cơng Thơng qua q trình mơ kết thu chứng minh tính hiệu phương pháp đảm bảo độ tin cậy, tỉ lệ phát sai chấp nhận Từ khóa: Hành vi truy cập Web, DDoS, Network Security, Network Performance ABSTRACT Distinguish legitimate clients and malicious traffic on behavioral model of legitimate users is one of the effective methods to prevent DDoS attacks with low cost, easy to deploy without any intervention to network architecture, protocols However previous research results remains limited due to the out-of-dated behavioral model of web traffic At present, the web has advanced with the emergence of many new techniques WebCache, Ajax, RSS, compress model has changed the way of transferring data and interacting of user on website as well as the charisteristics of behavioral model of Web traffic This thesis will demonstrate that using old model makes steadily increasing of false positive rate of previous filter Therefore we propose a novel approach and architecture to attenuate attacker’s bandwidth tried to fake legal user’s traffic Goal is to use trap time and frequency of the request page as well as the magnitude of the object loaded in dynamic period to utilizes these properties of legitimate client traffic as well as penalize deterministic zombie traffic tends to be repeated and continuous Through extensive simulation results show that it can defeat attack traffic effectively as well as ensure the reliability with acceptable false negative or false positive rate Keywords: Behavioral model of Web Traffic, DDoS, Network Security, Network Performance MỤC LỤC LỜI CAM ĐOAN TÓM TẮT MỤC LỤC DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT 10 DANH MỤC CÁC HÌNH VẼ, ĐỒ THỊ 12 MỞ ĐẦU 14 CHƯƠNG I: TỔNG QUAN VỀ CƠ SỞ CỦA ĐỀ TÀI 16 1.1 Giới thiệu 16 1.1.1 Lý chọn chủ đề giảm thiểu thiệt hại từ công DDoS 16 1.1.2 Phạm vi nghiên cứu 16 1.2 Những kết nghiên cứu liên quan đánh giá 18 1.2.1 Phương pháp công DDoS 18 1.2.2 Những nghiên cứu làm giảm thiểu thiệt hại công DDoS 21 1.3 Thách thức toán cần giải 22 1.4 Định hướng giải toán 23 CHƯƠNG II: MƠ HÌNH HĨA LƯU LƯỢNG WEB 24 2.1 Giới thiệu 24 2.2 Các nghiên cứu mơ hình hóa lưu lượng Web 25 2.2.1 Mơ hình B.Mah 25 2.2.2 Mơ hình Choi & Lim 26 2.2.3 Mơ hình Lee & Gupta 28 2.2.4 Các mơ hình khác 29 2.3 Vài trò ảnh hưởng cơng nghệ mơ hình lưu lượng đại 31 2.3.1 WebCache 31 2.3.2 Ajax 33 2.4 Chọn lựa mơ hình hóa phù hợp 36 CHƯƠNG III: ĐỀ XUẤT CẢI TIẾN VÀ GIẢI PHÁP 37 3.1 Phân tích 37 3.1.1 Bài toán cần chứng minh 37 3.1.2 Mệnh đề 38 3.1.3 Mệnh đề 42 3.2 Kiến trúc hệ thống 42 3.2.1 Kiến trúc hệ thống 42 3.2.2 So sánh với kiến trúc khác 43 3.3 Các thành phần xử lý 45 3.3.1 Bẫy thời gian 45 3.3.2 Bẫy tần suất 47 3.3.3 Trạng thái tối thiểu 49 3.3.4 Hàng đợi ưu tiên 50 3.4 Thiết kế giải thuật 51 3.4.1 Giải thuật 51 3.4.2 Lưu đồ thuật toán 52 3.4.3 Mô lưu lượng hợp lệ 52 3.4.4 Minh họa giải thuật 53 3.5 Đánh giá 61 3.5.1 Độ phức tạp thuật toán 61 3.5.2 Độ tin cậy phương pháp 61 CHƯƠNG IV: MÔ PHỎNG VÀ ĐÁNH GIÁ 62 4.1 Thực mô 62 4.1.1 Mơ hình mơ 62 4.1.2 Chương trình mơ phỏng, u cầu thiết bị cấu hình 62 4.1.3 Kịch mơ 63 4.1.4 Tham số đo đạc 64 Tiến hành mô 65 4.2.1 Kịch 1: Áp dụng mơ hình lưu lượng 65 4.2.4 Kịch 2: Áp dụng lọc cho dạng công 68 4.2.5 Hiệu sử dụng tài nguyên 73 4.3 Đánh giá kết nghiên cứu 74 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 76 TÀI LIỆU THAM KHẢO 77 DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT AOP Average Off Period - thời gian trung bình giai đoạn OFF ACK Acknowledgement ASM Anti-Spoofing Mechanism – Cơ chế chống giả mạo Bot-net Mạng lưới máy bị chiếm quyền điều khiển sử dụng làm công cụ công DDOS Client Máy khách người dùng DOS Denial-of-service, công từ chối dịch vụ DDoS Distributed Denial-of-service, công từ chối dịch vụ phân tán False-Positive Trường hợp đánh giá cho kết đúng, thực tế kết sai Firewall Tường lửa ISP Internet Service Provider, nhà cung cấp dịch vụ mạng internet ICMP Internet control message protocol HTML Hypertext Markup Language - Ngôn ngữ đánh dấu siêu văn HTTP Hypertext Transfer Protocol: giao thức truyền tải siêu văn LDOS Low-rate Denial-of-service, công từ chối dịch vụ tốc độ thấp NAT Network address translation – Kĩ thuật dịch địa IP riêng – private sang địa IP công khai – public nhằm sử dụng chung địa IP công khai cho mạng riêng RTT Round Trip Time, khoảng thời gian tín hiệu gói tin chạy từ Source đến Destination quay ngược lại RTO Retransmission Timeout, khoảng thời gian truyền lại gói tin không nhận phản hồi Request Yêu cầu Response Đáp ứng 10 làm tải băng thông Webserver trường hợp cơng Simple Flooding – khơng có biện pháp phòng chống Số người dùng hợp lệ tăng từ đến 100 [tương đương 1000 đến 100.000 người dùng thực tế], số lượng kẻ cơng thay đổi từ để thử nghiệm tính hiệu thuật toán trường hợp lưu lượng công lưu lượng hợp lệ xen kẽ Trong trường hợp có kẻ cơng, chúng tơi sử dụng người dùng hợp lệ có băng thơng kết nối 128kbps [tương đương 3000 máy ngồi thực tế] Chúng tơi giả sử trường hợp bình thường máy chủ phục vụ 200 kết nối người dùng hợp pháp có băng thơng 128kbps thời điểm Kích thước gói tin 200 bytes Hàng đợi đặt có trọng số High Queue: 0.8, Low Queue: 0.2 Giá trị chọn phản ánh mức độ ưu tiên xử lý gói tin Trọng số chọn tương tự với cách chọn Paolo Losi [14] với hai luồng xử lý Với kết nối chuyển vào hàng đợi ưu tiên cao cần có nhiều khơng gian để lưu trữ chuyển tiếp trường hợp server phải yêu cầu phục vụ lượng lớn truy vấn Những kết nối bị nghi ngờ chuyển vào hàng đợi ưu tiên thấp bị loại bỏ lượng liệu vào lớn Do nên dành khoảng nhỏ chứa liệu chưa thực cần thiết Điểm quan trọng giả sử nhớ hàng đợi tăng theo lượng gói tin gửi phụ thuộc nhớ RAM thực lưu trữ máy tính Do trường hợp bình thường, ta giả thiết hàng đợi phục vụ tất kết nối mà không bị đầy liệu 4.1.4 Tham số đo đạc Với kịch tiến hành đo tham số thể đặc tính chất kết hướng đến Với kịch xác định tính hiệu phương pháp cũ với mơ hình liệu mới, cần xác định được: Tỉ lệ phát sai truy cập hợp pháp công trường hợp truy cập thông thường = tỉ lệ truy cập thành cơng người dùng bình thường khơng có công Phát sai nghĩa sinh liệu người dùng bình thường tiến hành thử kết nối đến máy chủ Web phiên truy cập không thành công – bị lọc ngăn lại Với kịch xác định tính hiệu phương pháp với mơ hình liệu tiến hành đo đạc: 64  Tỉ lệ phiên truy cập thành công người dùng hợp lệ trường hợp khơng có kẻ cơng nào, có kẻ cơng với phương pháp khác nhau, tốc độ khác Tỉ lệ phiên truy cập thành cơng tính theo cơng thức: số lần phiên người dùng hợp pháp qua / số phiên thử nghiệm  Tỉ lệ sử dụng nhớ, CPU lọc so với trung bình phương pháp khác mức chấp nhận máy chủ  Tỉ lệ ảnh hưởng đến băng thông mạng hay thông lượng trung bình Tiến hành mơ 4.2.1 Kịch 1: Áp dụng mơ hình lưu lượng a) Sử dụng mơ hình lưu lượng với lọc cũ: Chúng tiến hành thử nghiệm theo nguyên tắc: Áp dụng lọc cũ với trường hợp đặc tính lưu lượng gửi lên người dùng hợp pháp thay đổi theo mơ hình Chúng tơi tăng dần số lượng người dùng hợp pháp khơng có kẻ công Kết thu minh họa qua đồ thị 33 34 + Với trường hợp người dùng sử dụng băng thơng 128kbps Hình 33 Hiệu thuật tốn cũ mơ hình trường hợp + Với trường hợp người dùng sử dụng băng thơng 512kbps: 65 Hình 34 Hiệu thuật tốn cũ mơ hình trường hợp Nhận xét: Trong trường hợp sử dụng người dùng có băng thơng 128Kbps chúng tơi tăng số lượng người dùng lên 100, tỉ lệ truy cập thành công người dùng bị suy giảm nghiêm trọng < 50% - hình 33 - tức tỉ lệ phát sai WDA tăng lên đáng kể Để chắn hơn, sử dụng người dùng có băng thơng 512kbps – hình 34 mức gần với lưu lượng thực tế cần 20 người dùng đủ làm tỉ lệ truy cập thành công tụt giảm thảm hại Điều lý giải rằng, với lưu lượng gửi lên cao hợp pháp bị WDA phát nhầm lẫn dạng cơng cao b) Sử dụng mơ hình lưu lượng với lọc mới: Chúng tiến hành thử nghiệm theo nguyên tắc: Áp dụng lọc xây dựng với trường hợp liệu người dùng hợp pháp thay đổi thuộc tính theo mơ hình Chúng tăng dần số lượng người dùng hợp pháp khơng có kẻ cơng Kết thu minh họa qua đồ thị 35 36: + Với trường hợp người dùng sử dụng băng thông 128kbps 66 Hình 35 Hiệu thuật tốn mơ hình trường hợp + Với trường hợp người dùng sử dụng băng thơng 512kbps: Hình 36 Hiệu thuật tốn mơ hình trường hợp Nhận xét: 67 Rõ ràng thay đổi lọc WDA thành TLF01, tỉ lệ phát sai sót giảm nhanh chóng, số lượng phiên truy cập thành cơng khơng bị suy giảm nhiều – hình 35 có tăng số lượng người dùng truy cập đồng thời bị suy giảm đáng kể tăng băng thông gửi lên đến server cho khoảng 100 kết nối lúc – hình 36 Rõ ràng với trường hợp số lượng kết nối người dùng hợp pháp đơng đột biến khơng thể có phương pháp chống kết toàn người dùng thật 4.2.4 Kịch 2: Áp dụng lọc cho dạng công TH 1: Áp dụng lọc TLF01 vào dạng công Simple Flood, so sánh với WDA Khi sử dụng mơ hình liệu mới, WDA phát nhầm người dùng hợp lệ giống kẻ công Simple Flood – khơng thời gian OFF nên tỉ lệ truy cập thành công suy giảm nhanh Với khoảng 100 kẻ công mức đáp ứng máy chủ suy giảm nhanh tỉ lệ nhầm lẫn lớn kẻ cơng người dùng bình thường – lượng liệu truyền tải phiên truy cập người dùng bình thường kẻ cơng khơng có khác biệt nhiều Nhưng với TLF01 đáp ứng tốt loại bỏ chế cơng dạng tồn liệu thời gian ngắn Thống kê kết mô minh họa bên 68 Hình 37 Mơ hiệu tỉ lệ phát băng thông TLF01 với dạng công Simple Flooding TH2: High-burst-slow Kết mô minh họa đồ thị hình dưới: tham số đo tỉ lệ truy cập thành công lưu lượng giảm tải áp dụng lọc 69 Hình 38 Mơ hiệu tỉ lệ phát băng thông TLF01 với dạng công High-Burst-Slow Nhận xét: Với trường hợp này, kẻ công gửi nhiều liệu tuân theo quy luật thời gian đảm bảo phiên truy cập không ngắn lượng liệu lại rải cố gắng tiệm cận mức đỉnh để không coi giả mạo Kiểu cơng thuật tốn bẫy tần suất TLF01 đáp ứng tương đối tốt, có suy giảm đáng kể số lượng kẻ công tăng lên Nguyên nhân số lượng kẻ công tăng lên với đặc tính xác suất phát sai để lọt lưới công truy cập hợp pháp tăng lên trong số kết nối bình thường bị nhầm sang phiên dạng công kiểu TH3: Low-burst-fast Kết mô minh họa đồ thị hình dưới: tham số đo tỉ lệ truy cập thành công lưu lượng giảm tải áp dụng lọc 70 Hình 39 Mơ hiệu tỉ lệ phát băng thông TLF01 với dạng công Low-burst-fast Nhận xét: Kết tỉ lệ phát cho qua với lưu lượng hợp pháp phương pháp TLF01 tốt không đáng kể so với sử dụng WDA Lý đưa kỹ thuật sử dụng tần suất gửi trạng thái tối thiểu mơ hình liệu trường hợp công lưu lượng thấp có hiệu ứng tương đương mơ hình liệu cũ TH4: Low-burst-slow hay Shrew Attack 71 Kết mô minh họa đồ thị hình dưới: tham số đo tỉ lệ truy cập thành công lưu lượng giảm tải áp dụng lọc Hình 40 Mơ hiệu tỉ lệ phát băng thông TLF01 với dạng công Low-burst-slow Nhận xét: Khi số lượng kẻ cơng tăng lên khoảng 150 tỉ lệ truy cập thành công người dùng hợp lệ bị suy giảm nghiêm trọng tương tự trường hợp sử dụng số lượng người dùng hợp lệ tương đương 100 kết nối truy cập đồng thời Webserver Mặc dù lưu lượng công trường hợp nhỏ hẳn so với trường hợp High-burst-slow Low-burst-fast hiệu công lại tốt hẳn Chúng tiến hành cải tiến TLF01 theo hướng sử dụng mở rộng phương pháp RED Thì kết sau: 72 Hình 41 Mơ hiệu tỉ lệ phát băng thông TLF01 với dạng cơng Low-burst-slow có áp dụng thêm chế RED Rõ ràng áp dụng chế RED chuyên để xử lý trường hợp công tốc độ thấp vào điều kiện kiểm tra lọc TLF01, kết phát xác hành vi cơng tăng lên đáng kể 4.2.5 Hiệu sử dụng tài nguyên Hình 42 Thống kê sử dụng tài nguyên áp dụng lọc TLF01 73 Hình 43 Thống kê thơng lượng trung bình trường hợp áp dụng TLF01 Dựa kết hình 42, 43 rút rằng: trường hợp áp dụng TLF01, tài nguyên sử dụng tăng thêm không đáng kể thơng lượng cơng giảm TLF01 hiệu Các dạng cơng sử dụng băng thơng trung bình kết nối có khả dễ bị nhầm lẫn kết nối từ nguồn hợp pháp 4.3 Đánh giá kết nghiên cứu Như thơng qua q trình thử nghiệm, chúng tơi chứng minh với mơ hình lưu lượng mới, thuật tốn cũ khơng hiệu chất hành vi thay đổi, phương pháp tính tốn trước khơng xác Từ chúng tơi đề xuất cách tiếp cận xây dựng thuật tốn giải Trong q trình thử nghiệm, chúng tơi tìm cách đo thơng số để kiểm nghiệm tính hiệu thuật toán bao gồm:  Tỉ lệ phát sai truy cập hợp pháp thành công áp dụng mô hình liệu vào thuật tốn cũ  Tỉ lệ phiên truy cập thành công trường hợp bình thường, có cơng áp dụng thuật tốn có sử dụng thống kê kết mơ hình liệu  Tỉ lệ sử dụng tài nguyên ( RAM + CPU) chạy lọc 74 Kết chứng minh phương pháp đề xuất hiệu quả, phát tốt nhiều so với sử dụng lọc phương pháp cũ 75 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN Kết luận Chúng đạt số kết tốt thể hiệu phương pháp đề xuất so với số cơng trình cơng bố với đánh giá rõ ràng Một số thành tựu bao gồm: + Chứng minh áp dụng mô hình liệu phương pháp phát cơng DDoS khơng hiệu + Nghiên cứu lựa chọn mơ hình liệu thể tốt hành vi truy cập điện đại từ trích chọn đặc tính sử dụng phù hợp + Phân tích điểm yếu phương pháp tiếp cận cũ, từ xây dựng chế phát hiện, xử lý phù hợp với mơ hình liệu Thông qua kết thử nghiệm cho thấy hệ thống hoạt động tốt, chống hiệu dạng công từ chối dịch vụ phân tán mà không làm suy giảm khả phục vụ máy chủ dịch vụ Web Hướng phát triển Vấn đề tồn tại chưa tiến hành thử nghiệm trực tiếp với môi trường Webserver thực để đánh giá tính hiệu phương pháp Công việc tiếp tục nghiên cứu Thêm nữa, điểm yếu phương pháp phát lưu lượng công dựa đặc tính lưu lượng tin cậy vào số đặc tính cốt lõi mà khơng phải xác hồn tồn cho loại Website đặc thù tin tức, blog cá nhân, mạng xã hội Do điều cần thiết cần phải xây dựng bảng chọn lựa giá trị thuộc tính đặc thù cho đặc tính lưu lượng tốt cho loại Website Giá trị trọng số cho hàng đợi việc cần quan tâm đến Trong chương trình mơ phỏng, trọng số cho hàng đợi Low queue, High queue gán giá trị 0.2, 0.8 Cách lựa chọn giá trị ảnh hưởng đến thứ tự xử lý gói tin mức độ ảnh hưởng gói tin với Cần phải tìm giá trị thích hợp cho trọng số tùy thuộc vào Webserver triển khai 76 TÀI LIỆU THAM KHẢO Tiếng Anh J.Lee & M.Gupta (2012), A new traffic model for current user web browsing behavior, Intel Press Wikepedia, Denial of Service Attack S.Ihm,V.Pai (2011), Towards understanding Modern Web Traffic,Proceedings, of the 2011 ACM SIGCOMM conference on Internet measurement conference, Pages 295-312 US-CERT (2014), a novel UDP Port Denial-of-Service Attack, New York Arbor Networks (2014), ATLAS DDoS Attack Data K.Choi & J.Lim (1999),A Behavioral of Web Traffic, Journal of Computer Networks B.Mah (1997), An empirical model of HTTP network traffic, Procedding of INFOCOM, Kobe, Japan A Kuzmanovic, E.W Knightly (2003), Low-rate TCP-targeted denial of service attacks: the shrew vs the mice and elephants, in: SIGCOMM, pp 75–86 R.K.C Chang (2005), On a new class of pulsing denial-of-service attacks and the defense, in: NDSS 10 R.Sherwood, B Bhattacharjee, R Braud (2005), Misbehaving TCP receivers can cause Internet-wide congestion collapse, in: ACM Conference on Computer and Communications Security, pp 383–392 11 Roshan Thomas, Brian Mark, Tommy Johnson, James Croall (2003), NetBouncer: Client-legitimacy-based High-performance DDoS Filtering, in: DISCEX 12 Ehud Doron, Avishai Wool (2011), WDA: A Web farm Distributed Denial Of Serv-ice attack attenuator, Computer Networks, 1037–1051 13 Changwang Zhang, Zhiping Cai, Weifeng Chen, Xiapu Luo, Jianping Yin (2005), Flow level detection and filtering of low-rate DDoS, Computer Networks, Volume 56, pp 3417–3431 14 Paolo Losi, Wfq implementation, http://www.isi.edu/nsnam/archive/ns-users/webarch/2000/msg04025.html 15 The Network Simulator, NS2, http://nsnam.isi.edu/nsnam/index.php/User_Information 77 16 M.Cha (2007), I tube, you tube, everybody tubes: analyzing the world's largest user generated content video system, Proceeding IMC '07 Proceedings of the 7th ACM SIGCOMM conference on Internet measurement, Pages 1-14 17 V Vasilakos, Long Jin (2013), Understanding User Behavior in Online Social Networks: A Survey, Communications Magazine 18 Fabian Schneider, Sachin Agarwal, Tansu Alpcan, and Anja Feldmann (2008), The New Web: Characterizing AJAX Traffic, Proceeding PAM'08 Proceedings of the 9th international conference on Passive and active network measurement, Pages 31-40 19 J Mirkovic, G Prier, P.L Reiher (2002), Attacking DDOS at the Source, ICNP 20 A Bremler-Barr, N Halachmi, H Levi (2006), Aggressiveness Protective Fair Queueing for Bursty Applications, IWQoS 21 Y Kim, W.-C Lau, M.C Chuah, H.J Chao (2004), Packetscore: statisticalbased overload control against distributed denial-of-service attacks, INFOCOM 78