3 Đảm bảo an ninh và tính sẵn sàng của dịch vụ đáp ứng QoS
3.2.1 Mô hình tấn công
Tấn công DoS lên một ứng dụng Internet có thể thực hiện trực tiếp nguồn tài nguyên ở mức cơ sở hạ tầng hoặc qua giao diện ở mức ứng dụng. Tấn công ở mức cơ sở hạ tầng lấy tài nguyên hạ tầng dịch vụ trực tiếp (ứng dụng của các mạng lưới, máy chủ) làm mục tiêu, trong khi tấn công mức ứng dụng lại khai thác chủ yếu ở những điểm yếu của ứng dụng thông qua giao diện của ứng dụng. Có thể sử dụng số lượng máy chủ thay đổi (từ một máy lẻ đến nhiều máy phân tán trên khắp Internet) để tạo thành một cuộc tấn công DoS. Để tổng quát hóa, tấn công DoS sử dụng nhiều máy chủ được trình bày thông qua việc mô tả các cuộc tấn công DDoS sử dụng số lượng lớn các máy chủ. Có hai mô hình chính là Agent-Handler và IRC-Based.
Hình 3.2: Các mô hình tấn công dựa từ chối dịch vụ
Mô hình tấn công Agent-Handler gồm 3 thành phần: Agent, Client và Handler (xem Hình 3.2.a). Trong đó, kẻ tấn công sẽ điều khiển mạng Handler, tùy theo cách kẻ tấn công cấu hình mạng, các Agent sẽ chịu sự quản lý của một hay nhiều Handler. Thông thường kẻ tấn công sẽ đặt Handler trên một Router hay một server có lưu lượng lớn để các giao tiếp giữa Client, Handler và Agent khó bị phát hiện. Các giao tiếp này thông thường sử dụng các giao thức TCP, UDP hay ICMP. Các Handler sẽ trực tiếp điều khiển các Agent gửi các thông điệp tấn công nạn nhân. Chủ nhân thực sự của các Agent thông thường không hề hay biết họ bị lợi dụng vào cuộc tấn công kiểu DDoS, do họ không đủ kiến thức hoặc các chương trình Backdoor Agent chỉ sử dụng rất ít tài nguyên hệ thống làm cho hầu như không thể thấy ảnh hưởng gì đến hiệu năng của hệ thống. Tuy nhiên, kẻ tấn công có thể rất dễ bị phát hiện do các máy Handler phải lưu trữ các thông tin về Agent và các Agent phải lưu trữ thông tin về Handler. Do vậy việc truy tìm ngược lại kẻ tấn công hoàn toàn có thể thực hiện được.
Mô hình tấn công dựa trên IRC (Internet Relay Chat) sử dụng hệ thống chat online đa người dùng thời gian thực (xem Hình 3.2.b) gồm nhiều IRC server trên internet. Người dùng có 3 kênh giao tiếp là kênh công khai cho phép người dùng nhận được thông điệp của người dùng khác trên cùng kênh, kênh riêng tư không cho phép các người dùng thấy tên IRC và thông điệp trên kênh khác. Tuy nhiên, nếu người dùng bên ngoài dùng một số lệnh định vị lại kênh thì có thể biết được
sự tồn tại của kênh riêng tư này. Kênh bí mật tương tự kênh riêng nhưng không thể xác định bằng biện pháp định vị kênh. Mô hình IRC sử dụng các kênh IRC làm phương tiện giao tiếp giữa Client và Agent cho phép kẻ tấn công có thêm một số lợi thế khác như: các giao tiếp dưới dạng chat message làm cho việc phát hiện chúng là vô cùng khó khăn; lưu lượng IRC có thể di chuyển trên mạng với số lượng lớn mà không bị nghi ngờ; Không cần duy trì danh sách các Agent, kẻ tấn công chỉ cần login vào IRC server là có thể nhận được báo cáo về trạng thái các Agent do các kênh gửi về; IRC cũng là một môi trường chia sẻ file nên tạo điều kiện phát tán các mã Agent trên nhiều máy khác.
