Mặc dù PPM có rất nhiều ƣu điểm tốt nhƣ băng thông vƣợt quá bằng 0 (tất các thông tin đánh dấu lƣu trữ hết trong Header gói tin IP), PPM có một vài yếu điểm sau khi đối mặt với các tấn công DDoS.
a. Tính toán vƣợt quá
Đối với mỗi gói tin, phải tính toán để quyết định gói tin phải đánh dấu hoặc không. Ngoài ra, nếu gói tin đƣợc đánh dấu, có rất nhiều tính toán vƣợt quá phải thực hiện nhƣ chuẩn bị thông tin đánh dấu và cập nhật trƣờng addr và dist. Tuy nhiên, khi so sánh tính toán vƣợt quá tại phía nạn nhân cho việc tái xây dựng đƣờng, thì tính toán vƣợt quá tại các router trên đƣờng tấn công là không đáng kể. Những nghiên cứu đã chỉ ra rằng khi có 25 tấn công đồng thời tới nạn nhân, việc tái xây dựng đƣờng có thể mất vài ngày với hàng nghìn kết quả lỗi dƣơng tính, trong khi kẻ tấn công DDoS hiện tại có thể dàn xếp hàng nghìn zombie tấn công trong cùng thời gian. Trong trƣờng hợp này, nạn nhân không bao giờ có thể tái xây dựng đƣợc đƣờng.
b. Bộ nhớ vƣợt quá
Bộ nhớ vƣợt quá trên các router là điều không mong muốn bởi vì sẽ làm giảm hiệu suất của mạng và yêu cầu phải nâng cấp phần cứng. Trừ khi quá trình đánh dấu trên các router không lƣu trữ bất kỳ thông tin gì, bộ nhớ router bị vƣợt quá trong thuật toán PPM mới là không đáng kể. Nhƣng ở phía nạn nhân, một cấu trúc
Bùi Trung Thành – CB120730 – KTTT22012B Trang 53
bộ nhớ lớn đƣợc dành cho quá trình tái xây dựng đƣờng tấn công. Nạn nhân có thể lƣu trữ hàng triệu bản ghi trong cấu trúc dữ liệu, và sau đó tìm kiếm chúng để tái xây dựng đƣờng tấn công. Tuy nhiên, bộ nhớ vƣợt quá trên nạn nhân có thể chịu đựng đƣợc hơn so với trên các router.
c. Lỗi dƣơng tính
PPM có tỷ lệ lỗi dƣơng tính cao trong khi phải đối mặt tấn công DDoS. Vấn đề có nguồn gốc từ bản chất của thuật toán tái xây dựng. Trong trƣờng hợp này, nạn nhân sẽ thực hiện hai quá trình; một là nó sẽ tăng địa chỉ IP của tất cả các router trên đƣờng tấn công, và hai là sử dụng các địa chỉ IP của các router để tái xây dựng đƣờng tấn công. Trong PPM, 8 gói tin đƣợc đánh dấu bởi cùng router cần đƣợc nhận dạng và kết hợp để hồi phục địa chỉ IP của router này. Vì không có nhiều dấu hiện hơn trong trƣờng dist, trong trƣờng hợp này khi có nhiều đƣờng tấn công, rất khó để nạn nhân nhận dạng đƣợc các gói tin đƣợc đánh dấu thuộc về router nào bởi vì có rất nhiều router có cùng khoảng cách tới nạn nhân. Vấn đề này có thể cản trở quá trình tái xây dựng đƣờng tấn công.
d. Đánh dấu giả mạo bởi kẻ tấn công
Nếu kẻ tấn công nhận thức đƣợc về quá trình đánh dấu PPM đang tồn tại trong mạng, kẻ tấn công có thể gửi các gói tin đánh dấu giả tới nạn nhân. Trong tình huống này, nạn nhân không thể tái xây dựng đƣờng tấn công chính xác bởi vì nạn nhân không thể phân biệt giữa các gói tin đánh dấu đúng và giả mạo.
e. Đánh dấu giả mạo bởi các router bị phá hoại
Có hai kiểu router bị trục trặc có thể làm gián đoạn hoạt động truy ngƣợc bởi nạn nhân. Một là các router cấu hình không đúng tham gia vào trong việc đánh dấu các gói tin PPM có thể làm xáo trộn quá trình tái xây dựng. Hai là, các router bị xâm nhập có thể chuẩn bị và gửi các gói tin giả mạo. Điều này có thể ngăn cản nạn nhân thực hiện truy ngƣợc tới nguồn tấn công.
f. Nhận thức trƣớc về độ dài đƣờng tấn công
Nhƣ đã miêu tả ở trên, giá trị tối ƣu của xác suất đánh dấu p là 1/d. Tuy nhiên, mỗi router quyết định đánh dấu một gói tin, nó không có bất cứ thông tin gì
Bùi Trung Thành – CB120730 – KTTT22012B Trang 54
về độ dài d, vì vậy nó không thể thiết lập giá trị tối ƣu. Nhiều khuyến nghị đề xuất giá trị không đổi là 0.04 cho p. Tuy nhiên nếu nạn nhân chịu nhiều tấn công với độ dài đƣờng tấn công khác nhau, việc sử dụng giá trị định trƣớc của p có thể làm giảm mạnh hiệu suất của quá trình tái xây dựng đƣờng tấn công.
g. Nhận thức trƣớc về sơ đồ mạng và định tuyến
Thuật toán PPM hoạt động trên cơ sở một giả định rằng, nạn nhân đã nhận thức trƣớc về sơ đồ mạng và định tuyến, để có thể tái xây dựng đƣờng tấn công sử dụng các địa chỉ IP của các router trên đƣờng từ các thông tin lấy từ các gói tin đƣợc đánh dấu nhận đƣợc. Vì thế mối lo ngại trong trƣờng hợp này là làm thế nào để giữ nạn nhân cập nhật các sơ đồ mạng và định tuyến, mặt khác khi một router mới đƣợc thêm vào mạng, quá trình tái xây dựng đƣờng không còn hoạt động chính xác nữa.
h. Số lƣợng gói tin yêu cầu để truy ngƣợc
Trong lần thực hiện đầu tiên của thuật toán PPM, nạn nhân yêu cầu hàng ngàn gói tin để xây dựng một đƣờng tấn công. Sau đó, số gói tin đƣợc cải thiện ít hơn 1000. Tuy nhiên, số lƣợng này vẫn cao và do đó là nhƣợc điểm nghiêm trọng của thuật toán PPM.
i. Phân mảnh
PPM sử dụng trƣờng ID trong Header gói tin IP để nhúng các thông tin đánh dấu, mà trƣờng này thƣờng đƣợc sử dụng cho phân mảnh gói tin. Nếu chỉ duy nhất một gói tin đơn của dữ liệu phân mảnh đƣợc đánh dấu, việc khôi phục khối dữ liệu cũng sẽ bị lỗi.
j. Sự tham gia của ISP
Quá trình tái xây dựng đƣờng cần nhận các gói tin đánh dấu từ tất cả các router trên đƣờng. Để thực hiện việc này, quá trình đánh dấu phải đƣợc kích hoạt trên tất cả các router trong mạng. Tuy nhiên, những gì ISP cần làm bị giới hạn bởi việc cập nhật IOS cho các router và cho phép PPM trên các router. Ngoài ra các ISP cũng cần thực hiện trên tất cả các router, bao gồm biên và backbone. Việc tham gia của tất các router là một vấn đề lớn vì ranh giới giữa các ISP và các nƣớc.
Bùi Trung Thành – CB120730 – KTTT22012B Trang 55