a. Tính toán vƣợt quá
Tính toán CPU vƣợt quá của DPM nhỏ hơn so với PPM bởi vì không giống nhƣ PPM, trong DPM chỉ có router biên gần nhất với kẻ tấn công chịu trách nhiệm đánh dấu (không phải tất cả các router trên đƣờng). Ngoài ra, do DPM đánh dấu mọi gói tin, không cần một quá trình quyết định việc đánh dấu. Tuy nhiên, vẫn còn các tính toán vƣợt quá khác nhƣ chuẩn bị thông tin đánh dấu và cập nhật trƣờng đánh dấu. Nhƣ đã nói, trong DPM việc tái xây dựng địa chỉ IP giao diện xâm nhập của router biên đơn giản hơn quá trình tái xây dựng đƣờng tấn công của PPM. Do đó khi đối diện với tấn công DDoS, nạn nhân vẫn có thể truy ngƣợc tới router biên trong thời gian thực nếu DPM đƣợc sử dụng. Xa hơn nữa, giá trị băm của địa chỉ xâm nhập có thể đƣợc sử dụng nhƣ là hƣớng dẫn để ngăn chặn hiệu quả vấn đề bùng nổ tính toán nhƣ PPM
Bùi Trung Thành – CB120730 – KTTT22012B Trang 58
b. Bộ nhớ vƣợt quá
Giống nhƣ PPM, bộ nhớ vƣợt quá trên các router là không đáng kể. Tuy nhiên, không giống nhƣ PPM khi mà các nạn nhân yêu cầu một cấu trúc bộ nhớ lớn để lƣu trữ hàng triệu bản ghi, trong phƣơng pháp DPM nạn nhân chỉ giữ một bảng tái xây dựng nhỏ hơn. Trong PPM, nạn nhân cần 1000 gói tin để tái xây dựng một đƣờng tấn công, còn DPM, duy nhất 32/a gói tin đƣợc yêu cầu để tái xây dựng địa chỉ xâm nhập (ví dụ a = 4, DPM cần duy nhất 8 gói tin để truy ngƣợc tới địa chỉ giao diện xâm nhập của router biên gần kẻ tấn công nhất).
c. Lỗi dƣơng tính
Nhƣ đã nói ở trên, giải pháp DPM cơ bản có một giới hạn quan trọng khi đối phó với nhiều kẻ tấn công tại cùng thời điểm với cùng địa chỉ IP nguồn. Trong tình huống này, nạn nhân không thể nhận ra các đoạn đánh dấu cần đƣợc nối với nhau để tạo thành một đánh dấu hợp lệ. Điều này dẫn tới tỉ lệ lỗi dƣơng tính cao. Để phản ứng vấn đề này, các nhà nghiên cứu đề xuất các phƣơng thức khác nhau để sử dụng một hàm băm để tạo ra các giá trị băm của giao diện xâm nhập, gọi là kỹ thuật DPM single-digest, hoặc sử dụng một họ các hàm băm để tạo ra nhiều digest của một địa chỉ xâm nhập, gọi là kỹ thuật DPM multiple-digest. Trong các kỹ thuật này, giá trị băm đƣợc gửi với các bit đánh dấu để ngăn chặn hiệu quả vấn đề bùng nổ các tổ hợp. Thay đổi này của DPM để đảm bảo tỉ lệ lỗi dƣơng tính không vƣợt quá 1% nếu số kẻ tấn công đồng thời trong một tấn công DDoS không lớn hơn số giới hạn. Ví dụ sử dụng 55 khối dữ liệu để đánh dấu bởi giao diện cho phép DPM, số kẻ tấn công đồng thời tối đa mà có thể truy ngƣợc với tỉ lệ lỗi dƣơng tính không quá 1% trong kĩ thuật DPM single-digest là 45, và trong kĩ thuật DPM multiple-digest là 2296.
d. Đánh dấu giả mạo bởi kẻ tấn công
Trong giải pháp DPM, mỗi gói tin đƣợc đánh dấu khi tiến vào mạng. Trong trƣờng hợp này, thậm chí nếu một kẻ tấn công cố gắng giả mạo đánh dấu, việc đánh dấu giả mạo cũng sẽ bị ghi đè với một đánh dấu chính xác. Điều này đã tự động phòng ngừa vấn đề về giả mạo đánh dấu mà PPM đã gặp phải.
Bùi Trung Thành – CB120730 – KTTT22012B Trang 59
e. Đánh dấu giả mạo bởi các router bị phá hoại
DPM giả định rằng một đánh dấu đƣợc duy trì không đổi trong khi gói tin truyền trong mạng. Do DPM không có bất kỳ cơ chế nào để nhận thực gói tin đánh dấu, giả định này tự động tăng các vấn dề của giả mạo gói tin bởi các router bị phá hoại trên đƣờng tấn công. Do đó, trong một mạng không tin tƣởng nhƣ Internet và trong trƣờng hợp một router bị xâm nhập trên đƣờng tấn công, thông tin đánh dấu có thể bị thay đổi và nạn nhân không thể nhận dạng nguồn gốc của lƣu lƣợng.
f. Nhận thức trƣớc về độ dài đƣờng tấn công
Do quá trình tái xây dựng địa chỉ IP giao diện xâm nhập không cần biết độ dài đƣờng truyền, nhận thức về độ dài đƣờng tấn công là không cần thiết trong DPM.
g. Nhận thức trƣớc về sơ đồ mạng và định tuyến
Do mục tiêu của DPM không phải là tái xây dựng đƣờng tấn công, DPM chỉ tái xây dựng địa chỉ IP giao diện xâm nhập của router biên, vì vậy nhận thức về sơ đồ mạng và định tuyến là không cần thiết.
h. Số lƣợng gói tin yêu cầu để truy ngƣợc
Nhƣ đã đề cập trƣớc đây, 32/a gói tin đƣợc yêu cầu để tái xây dựng địa chỉ xâm nhập. Bằng việc đề xuất a =4, DPM yêu cầu 8 gói tin để truy ngƣợc địa chỉ giao diện xâm nhập của router biên gần kẻ tấn công, a tham khảo dựa trên số bit của một đoạn của trƣờng địa chỉ xâm nhập.
i. Phân mảnh
Giống nhƣ PPM, DPM sử dụng trƣờng ID trong Header gói tin IP cũng nhƣ 1 bit cờ dự phòng để nhúng thông tin đánh dấu. Nếu duy nhất một gói tin trong dữ liệu phân mảnh đƣợc đánh dấu, việc ghép khối dữ liệu sẽ xảy ra lỗi.
j. Sự tham gia của ISP
Trong DPM, sự tham gia của các ISP là rất giới hạn. Duy nhất các router biên cần phải cập nhật để hỗ trợ chức năng DPM. Không giống nhƣ PPM, các router khác trên đƣờng tấn công và mạng không cần phải chịu trách nhiệm cho bất kỳ chức năng nào của quá trình truy ngƣợc DPM.
Bùi Trung Thành – CB120730 – KTTT22012B Trang 60
3.2.3. Nhận xét
Tổng kết lại, DPM đã giảm nhẹ một vài vấn đề của PPM. Bao gồm: CPU và bộ nhớ ít gánh nặng; cải thiện tỉ lệ lỗi dƣơng tính; giới hạn các gói tin giả mạo đánh dấu bởi các kẻ tấn công; không yêu cầu nhận thức về độ dài đƣờng tấn công, sơ đồ mạng, định tuyến; giảm số gói tin yêu cầu cho việc truy ngƣợc từ 1000 xuống 8 gói tin; và sự tham gia của các ISP chỉ giới hạn duy nhất trên các router biên. Tuy nhiên DPM vẫn còn những vấn đề sau:
Để giữ tỉ lệ lỗi dƣơng tính không quá 1%, DPM không thể mở rộng cho những tấn công DDoS quá lớn.
DPM có thể truy ngƣợc tới giao diện xâm nhập của router biên gần kẻ tấn công nhất, nhƣng không phải là nút tấn công.
Mặc dù DPM có độ chính xác truy ngƣợc cao khi so sánh với PPM, nhƣng độ chính xác này đạt đƣợc bằng việc đánh dấu tất cả các gói tin trong mạng.
DPM giả định rằng thông tin đánh dấu đƣợc duy trì không đổi trong khi gói tin truyền trong mạng. Không may là giả định này không thực tế khi gặp phải vấn đề giả mạo đánh dấu của các router bị xâm nhập.
Bốn vấn đề trên đã dẫn tới sự ra đời của giải pháp mới – DFM.