Trong phần này, chúng tôi trình bày thuật toán RRED. Hình 6 mô tả kiến trúc cơ bản của thuật toán RRED. Một bộ phát hiện và lọc được thêm vào phía trước của một khối RED chuẩn trên một router. Ý tưởng cơ bản của RRED là để phát hiện và lọc ra các gói tin tấn công LDoS từ luồng đến trước khi vào các thuật toán RED. Làm thế nào để phân biệt một gói tin tấn công từ các gói tin TCP bình thường là rất quan trọng trong việc thiết kế RRED. Bên trong một luồng TCP bình thường, người gửi sẽ trì hoãn việc gửi các gói dữ liệu mới nếu được phát hiện mất gói tin (ví dụ, một gói tin bị loại bỏ). Do đó, một gói tin bị nghi ngờ là một gói tin tấn công nếu nó được gửi trong một khoảng thời gian ngắn sau khi một gói tin bị loại bỏ.
Các luồng gói tin đến bao gồm cả hợp pháp và các gói tin tấn công. Luồng này được đưa qua khối phát hiện và ngăn chặn kiểm tra trước khi cho luồng vào khối RED chuẩn. Quá trình phát hiện LDoS gói tin tấn công là một vấn đề thách thức.
Các gói tin TCP đến thông qua một bộ định tuyến là các luồng khác nhau. Có 5 thành phần được sử dụng để xác định một luồng, bao gồm: IP nguồn, cổng nguồn, IP đích, cổng đích, và giao thức.
Một f.I chỉ được sử dụng để đánh giá nếu luồng f là một luồng TCP bình thường hoặc một luồng cuộc tấn công DoS tần suất thấp. Như đã đề cập trong bài báo [1] trong giai đoạn phát hiện, một chỉ số luồng f.I được sử dụng để xác định xem luồng f bao gồm các gói tin tấn công LDoS hoặc các gói tin TCP hợp pháp.
RED Detection
and Filtering
Gói tin vào Gói tin ra
Các gói tin từ luồng tấn công
Các gói tin được loại bỏ bởi khối RED
Hình 6. Kiến trúc của RRED
Nếu một gói tin từ luồng f nghi ngờ là một gói tin tấn công chỉ số f.I được giảm đi một, và nếu một gói tin từ luồng f là gói tin hợp pháp thì chỉ số được tăng lên một. Cuối cùng, tất cả các gói tin từ một luồng với f.I âm sẽ bị loại bỏ, trong khi các gói dữ liệu từ một luồng với f.I dương hoặc bằng không được đưa vào khối RED.
Một khoảng thời gian ngắn được xác định trong đó nếu một gói tin đến đến sau khi một gói được loại bỏ bởi hoặc khối phát hiện hoặc khối RED, nó bị nghi ngờ là một gói tin tấn công. Đối với điều này, có các thông số sau đây: cho fT1 là thời gian đến gói tin cuối cùng của luồng f bị loại bỏ khối phát hiện, T2 là thời gian đến của gói tin cuối cùng của luồng bất kỳ bị loại bỏ bởi khối RED. Do đó khoảng thời gian ngắn có thể được định nghĩa là [Tmax, Tmax, T*], trong đó Tmax = MAX (fT1, T2) và T* giá trị được lựa chọn theo thực nghiệm như vậy mà nó lọc hầu hết các gói tin tấn công và cho phép các gói tin bình thường để đi qua. Chanwang Zhang và đồng nghiệp đề nghị rằng giá trị trung bình cho T* là 10ms.
Kỹ thuật Bloom-filters [18] được áp dụng trong thực hiện RRED, Bloom- filters được xây dựng với các mức L và mỗi mức bao gồm N thùng. Cho mỗi mức, có một hàm băm độc lập. Một luồng là ánh xạ tới tổng của L thùng, cho mỗi mức. Mỗi N thùng giữ một chỉ số riêng.
Nếu một gói tin từ một luồng là nghi ngờ như một gói tin tấn công, tất cả các thùng L tương ứng với f sẽ làm giảm chỉ số cục bộ của mình bằng cách 1. Tuy nhiên, tất cả các chỉ số cục bộ được tăng lên 1 nếu một gói là một gói tin bình thường. Vì vậy, các bộ lọc được cập nhật.
Một luồng DoS tần suất thấp có thể chia sẻ một thùng với một luồng bình thường. Do đó, có một số tình huống mà một luồng bình thường bị ô nhiễm bởi một luồng DoS tần suất thấp do các thùng được chia sẻ. Để tránh điều đó, chúng ta nên thiết lập một ranh giới trên 10 và dưới bị ràng buộc -1 cho chỉ số riêng của mỗi thùng. Sau đó, một luồng DoS tần suất thấp không thể làm hư hỏng một luồng bình thường bằng cách giảm chỉ số cục bộ của thùng chia sẻ tới một số âm. Kết quả là, các chỉ số f.I của luồng f sẽ bằng với giá trị tối đa của các chỉ số cục bộ L từ các thùng L tương ứng với f.
Một tập hợp các mô phỏng đánh giá hiệu quả của thuật toán RRED đề xuất trong sự xuất hiện của các cuộc tấn công LDOS. Một số thuật toán AQM khác bao gồm cả RED, RED-PD, SFB, AVQ, và DropTail cũng được tác giả sử dụng để so sánh. Với các cuộc tấn công LDOS khai thác cơ chế thời gian hết hạn truyền lại TCP do đó chúng tôi chỉ xem xét các dòng TCP trong thư này.
Qua các kết quả thử nghiệm tương ứng với ba bộ thông số, nó là khá rõ ràng rằng các thuật toán RRED là một thuật toán tốt. Những kết quả này cho thấy các thông lượng TCP được duy trì gần như hoàn toàn trong nhiều cuộc tấn công DoSs tần suất thấp.
Chƣơng 3 - ĐỀ XUẤT GIẢI PHÁP VÀ KẾT QUẢ MÔ PHỎNG
Trong chương 2 phân tích chi tiết tấn công từ chối dịch vụ và cũng thảo luận về các giải pháp hiện có sẵn để chống lại hoặc giảm thiểu cuộc tấn công. Như chúng ta đã biết cuộc tấn công DoS vẫn là mối đe dọa ngày càng tăng đến các cơ sở hạ tầng liên mạng toàn cầu. Cho đến nay, không thể ngăn chặn kiểu tấn công này hoàn toàn, nhưng có thể hạn chế rủi ro thiệt hại của họ. Hơn nữa, các cuộc tấn công LDoS được biết đến như là hình thức tấn công đó là khó khăn hơn để phát hiện và bảo vệ. Kẻ tấn công có thể khai thác sự yếu kém của giao thức TCP như cửa sổ tắc nghẽn hoặc thuật toán phát hiện sớm ngẫu nhiên (RED) để thực hiện các cuộc tấn công LDoS. Chương này đề xuất ý tưởng giải pháp dựa trên thuật toán RRED để cải thiện thông lượng TCP chống lại các cuộc tấn công LDoS nhằm phân loại các gói tin hợp pháp và các gói tin tấn công và tìm ra phương pháp phát hiện LDoS.