3 Đảm bảo an ninh và tính sẵn sàng của dịch vụ đáp ứng QoS
3.6 Quá trình điều khiển đường truyền
Hình 3.6: Quá trình điều khiển đường truyền
Việc điều khiển đường truyền trong mạng NGN sẽ thực hiện dựa trên thời gian trễ được đánh dấu trong các gói tin IP được chuyển tiếp lặp lại quay vòng tại đầu vào các nút Router. Khi nhận một gói tin IP, nhãn thời gian được đánh dấu sẽ được so sánh với thời gian hiện thời để đảm bảo rằng thời gian trễ yêu cầu đã được thêm vào. Ví dụ, tốc độ truyền thông trung bình trong mạng là 30Mbps, ta thiết lập chính sách an ninh riêng với ngưỡng phát hiện tấn công DoS có tỉ lệ gói tin UDP được phép lưu thông là 10% và băng thông tối đa dành cho gói tin UDP là 10 Mbps (>3Mbps). Giả sử cần kiểm soát các gói tin 1500 byte được gửi đến địa chỉ “X” qua cổng số "Y" với chính sách như trên thì hệ thống sẽ đếm số gói tin UDP trong một đơn vị thời gian, nếu tỉ lệ gói tin UDP chiếm trên 10% (chẳng hạn 4 Mbps) thì các gói tin đó được xem là bất thường. Nếu các gói tin có cùng địa chỉ “X”, số hiệu cổng “Y”, và kích thước trung bình là 1500 byte thì xem đó là các gói tin tấn công. Với băng thông cho phép tối đa đối với gói tin UDP là 10 Mbps, ta cần kiểm soát sao cho bằng thông giới hạn ở mức 7 Mbps thì thời gian trễ gói tin có thể tính được là 2 ms. Khi một gói tin IP đã đánh dấu trên đường truyền đến đầu vào của một router. Router đó sẽ quyết định chuyển gói tin đó hay không bằng cách lấy thời gian hiện tại trừ đi thời gian được đánh dấu trong gói tin và so sánh với thời gian trễ qui định (2 ms). Nếu lớn hơn thì gói tin đó được xem là an toàn và được truyền đến địa chỉ IP đích thông qua các router lõi trong
mạng NGN nhằm giảm tốc độ bit trên đường truyền xuống 7 Mbps. Ngược lại các gói tin có thời gian trễ nhỏ hơn sẽ được gửi lại đến router đó. Vì thế, phương pháp đề xuất sẽ làm giảm số lượng các gói tin trong một đơn vị thời gian bằng cách kiểm soát độ trễ của các gói tin. Đồng nghĩa với việc các cuộc tấn công DoS sẽ được kiểm soát nhờ việc tăng độ trễ của các gói tin tấn công. Tuy nhiên, các gói tin hợp lệ từ phía người dùng cũng bị ảnh hưởng bởi độ trễ nhưng là rất nhỏ.
3.5 Thực nghiệm và đánh giá
Kiến trúc mạng mô phỏng là sự kết hợp của mạng LAN, NGN và Internet được thể hiện trong Hình 3.7. Trong đó, luận án sử dụng 2 nguồn phát sinh gói tin UDP chính từ Internet. Một nguồn được sinh ra bởi 2 người dùng là A và B, nguồn còn lại là do kẻ tấn công DoS tạo ra. Giả sử rằng tất cả các gói tin UDP đều được truyền qua mạng NGN từ mạng Internet đến mạng LAN, băng thông truy cập được truyền giữa mạng NGN và LAN là 10 Mbps, băng thông giữa mạng Internet và NGN là lớn hơn 10 Mbps, băng thông giữa các Router điều khiển được với các Router lõi là 100 Mbps.