Thông thường vào thời điểm tấn công ngập lụt DDoS lớn được phát hiện, rất khó để loại bỏ, thông thường phải ngắt kết nối từ mạng nạn nhân và tự sửa chữa các vấn đề. Các cuộc tấn công DDoS lũ lãng phí rất nhiều tài nguyên (ví dụ, thời gian xử lý, không gian, vv) trên con đường dẫn đến các máy mục tiêu; do đó, mục tiêu cuối cùng của bất kỳ cơ chế phòng chống DDoS là để phát hiện chúng càng sớm càng tốt và ngăn chặn chúng càng gần càng tốt để các nguồn của họ. Hình dưới cho
39
thấy rằng phát hiện và phản ứng có thể được thực hiện ở những nơi khác nhau trên những đường đi giữa nạn nhân và các nguồn của các cuộc tấn công. Như sơ đồ, một cuộc tấn công DDoS lũ giống như một cái phễu, trong đó các luồng tấn công được tạo ra trong một khu vực phân tán (tức là, nguồn), tạo thành các đỉnh của phễu. Các nạn nhân, vào cuối hẹp của một kênh, tiếp nhận tất cả các cuộc tấn công dòng tạo ra. Do đó, không khó để thấy rằng việc phát hiện một cuộc tấn công ngập lụt DDoS là tương đối dễ dàng hơn ở các điểm đến (nạn nhân), vì tất cả các dòng có thể được quan sát thấy ở các điểm đến. Ngược lại, nó là khó khăn cho một mạng lưới nguồn cá nhân của các cuộc tấn công để phát hiện các cuộc tấn công trừ khi một số lượng lớn các luồng tấn công được khởi xướng từ nguồn đó. Rõ ràng, đó là mong muốn để đối phó với các cuộc tấn công theo dòng gần gũi hơn với các nguồn của các cuộc tấn công, nhưng luôn luôn có một sự đánh đổi giữa tính chính xác của các phát hiện và làm thế nào gần với nguồn tấn công các cơ chế phòng ngừa và ứng phó có thể dừng lại hoặc trả lời các cuộc tấn công.
Hơn nữa, số lượng các gói dữ liệu bình thường mà đạt được các nạn nhân ngay cả khi các nạn nhân đang bị tấn công DDoS (tức là, ở giữa một cuộc tấn công DDoS) tăng lên khi cơ chế phản ứng (ví dụ, lọc gói tin) thả các gói tin tấn công gần gũi hơn với các nguồn các cuộc tấn công.
40
Hiện nay, có khá nhiều cơ chế được đề xuất trong phòng chống tấn công DDoS. Trong phần này, tác giả xin đề xuất phân loại các cơ chế phòng vệ chống lại hai loại tấn công DDoS lũ lụt sẽ trình bày trong phần sau sử dụng hai tiêu chí.
Tiêu chí đầu tiên để phân loại được dựa vào các vị trí mà cơ chế bảo vệ được thực hiện (tức là vị trí triển khai). Đối với loại vị trí triển khai, gồm có 2 loại: (i) Phân loại các cơ chế phòng chống tấn công DDoS mức mạng/giao vận gồm bốn loại sau: dựa trên nguồn, dựa trên đích, dựa trên mạng, hỗn hợp. (ii) Phân loại cơ chế phòng chống tấn công DDoS mức ngập lụt ứng dụng gồm 2 loại: dựa vào đích và hỗn hợp.
Tiêu chí thứ hai là dựa vào thời điểm triển khai phòng chống: Đối với tiêu chí này gồm: Triển khai trước thời điểm tấn công, trong thời điểm tấn công và sau thời điểm tấn công.
Hình 2.4 Một phân loại của các cơ chế phòng chống tấn công ngập lụt DDoS mức mạng/giao vận thông dựa trên vị trí triển khai([6])
41
Hình 2.5 Cách phân loại theo cơ chế phòng vệ chống lại các cuộc tấn công DDoS([6])