a. Tính toán vƣợt quá
Tính toán CPU vƣợt quá của DFM lớn hơn so với DPM bởi vì tuy giống nhƣ DPM là chỉ có router biên gần nhất với kẻ tấn công chịu trách nhiệm đánh dấu (không phải tất cả các router trên đƣờng), nhƣng DFM không đánh dấu mọi gói tin mà chỉ thực hiện đánh dấu các gói tin đầu tiên trong luồng, do đó cần một quá trình quyết định việc đánh dấu.
Bùi Trung Thành – CB120730 – KTTT22012B Trang 67
Giống nhƣ DPM, bộ nhớ vƣợt quá trên các router là không đáng kể. Chỉ duy nhất K gói tin đƣợc yêu cầu để tái xây dựng địa chỉ xâm nhập.
c. Lỗi dƣơng tính
Giải pháp DFM thực hiện đánh dấu theo các luồng nên an toàn hơn khi đối diện với vấn đề nhiều kẻ tấn công có cùng địa chỉ IP trong cùng thời gian. Do đó DFM không cần sử dụng hàm băm để đảm bảo tỉ lệ lỗi dƣơng tính nhƣ giải pháp DPM.
d. Đánh dấu giả mạo bởi kẻ tấn công
Cũng nhƣ giải pháp DPM, trong giải pháp DFM mỗi gói tin đƣợc đánh dấu khi tiến vào mạng. Trong trƣờng hợp này, thậm chí nếu một kẻ tấn công cố gắng giả mạo đánh dấu, việc đánh dấu giả mạo cũng sẽ bị ghi đè với một đánh dấu chính xác.
e. Đánh dấu giả mạo bởi các router bị phá hoại
Cũng nhƣ giải pháp DPM, giải pháp DFM không có bất kỳ cơ chế nào để nhận thực gói tin đánh dấu, giả định này tự động tăng các vấn dề của giả mạo gói tin bởi các router bị phá hoại trên đƣờng tấn công. Do đó, trong một mạng không tin tƣởng nhƣ Internet và trong trƣờng hợp một router bị xâm nhập trên đƣờng tấn công, thông tin đánh dấu có thể bị thay đổi và nạn nhân không thể nhận dạng nguồn gốc của lƣu lƣợng.
f. Nhận thức trƣớc về độ dài đƣờng tấn công
Giống nhƣ DPM, trong DFM quá trình tái xây dựng địa chỉ IP giao diện xâm nhập không cần biết độ dài đƣờng truyền, nhận thức về độ dài đƣờng tấn công là không cần thiết trong DFM.
g. Nhận thức trƣớc về sơ đồ mạng và định tuyến
Cũng nhƣ giải pháp DPM, mục tiêu của DFM không phải là tái xây dựng đƣờng tấn công, DFM chỉ tái xây dựng địa chỉ IP giao diện xâm nhập của router biên, vì vậy nhận thức về sơ đồ mạng và định tuyến là không cần thiết.
h. Số lƣợng gói tin yêu cầu để truy ngƣợc
Chỉ có K gói tin đầu tiên của mỗi luồng đƣợc yêu cầu để truyền tải thông tin đánh dấu. Giá trị của K phụ thuộc vào các trƣờng hữu dụng đƣợc dùng để truyền
Bùi Trung Thành – CB120730 – KTTT22012B Trang 68
các nhận dạng cho luồng. Điều này làm giảm 90% gói tin đƣợc đánh dấu so với giải pháp DPM.
i. Phân mảnh
Giống nhƣ PPM và DPM, DFM sử dụng trƣờng ID trong Header gói tin IP cũng nhƣ 1 bit cờ dự phòng để nhúng thông tin đánh dấu. Nếu duy nhất một gói tin trong dữ liệu phân mảnh đƣợc đánh dấu, việc ghép khối dữ liệu sẽ xảy ra lỗi.
j. Sự tham gia của ISP
Cũng nhƣ DPM, trong DFM sự tham gia của các ISP là rất giới hạn. Duy nhất các router biên cần phải cập nhật để hỗ trợ chức năng DFM.
3.3.3. Nhận xét
DFM không cần sử dụng hàm băm bởi vì đầu tiên DFM phải phát hiện luồng để xây dựng một nhãn hợp lệ. Do đó, DFM an toàn hơn khi đối diện với vấn đề nhiều kẻ tấn công có cùng địa chỉ IP trong cùng thời gian. Xa hơn, chúng ta giả định rằng kẻ tấn công có thể thay đổi địa chỉ MAC của mình và xem xét các kịch bản thay đổi có thể xảy ra:
1. Kẻ tấn công giả mạo địa chỉ MAC với địa chỉ MAC ngẫu nhiên: trong trƣờng hợp này, giả định rằng bộ lọc MAC đƣợc cho phép trên router biên, do đó kẻ tấn công không thể truy nhập vào mạng.
2. Kẻ tấn công truy nhập vào danh sách các MAC hợp lệ và giả mạo địa chỉ MAC thành một MAC đang hoạt động: các switch và router hiện tại từ chối các truy nhập đồng thời từ nhiều nút với cùng địa chỉ MAC, do đó kẻ tấn công không thể truy nhập vào mạng.
3. Kẻ tấn công truy nhập vào danh sách các MAC hợp lệ và giả mạo địa chỉ MAC thành một MAC không hoạt động: trong tình huống này, sau khi cuộc tấn công đƣợc phát hiện bởi nạn nhân, nó có thể khóa nút tấn công, sử dụng DFM để phân biệt lƣu lƣợng tấn công từ phần lƣu lƣợng còn lại, trong khi các nút khác vẫn có thể truy nhập bình thƣờng.
4. Kẻ tấn công giả mạo địa chỉ MAC với rất nhiều địa chỉ MAC đã tồn tại trong danh sách hợp lệ: sau khi phát hiện tấn công sử dụng DFM, nạn nhân giả
Bùi Trung Thành – CB120730 – KTTT22012B Trang 69
định rằng các nút nguồn từ cùng mạng đằng sau một giao diện của một router biên sẽ gửi lƣu lƣợng độc hại. Tại đây, nạn nhân truy ngƣợc tới mức 2 (giao diện router biên) và chỉ cắt truy cập của tất cả các nút thuộc giao diện này, không phải là tất cả các nút thuộc router biên này. Điều cần chú ý ở đây là các phƣơng thức truy ngƣợc khác khi đối diện với tình huống này chỉ có thể truy đến router biên và do đó sẽ cắt toàn bộ truy cập từ tất cả các nút chuyển tiếp qua router biên.
Ta có thể thấy trong 3 kịch bản thay đổi địa chỉ MAC đầu tiên, DFM có thể truy ngƣợc tới mức 3 tức là nút tấn công. Chỉ duy nhất kịch bản 4 là DFM truy ngƣợc tới mức 2 là giao diện mạng nguồn của router biên. Điều này là tốt hơn rất nhiều so với các phƣơng thức truy ngƣợc trƣớc đây, khi chúng ta chỉ có thể phát hiện ra router biên nguồn.
Điều cần chú ý ở đây là DFM có thể truy ngƣợc tới nguồn của lƣu lƣợng một bƣớc sau giao diện xâm nhập của router biên. Mọi router với một địa chỉ IP hợp lệ trên giao diện ra có khả năng hoạt động nhƣ một router biên. Vì vậy nếu địa chỉ IP hợp lệ đƣợc ấn định cho giao diện ra của router gần mạng cục bộ nhất, DFM sẽ có thể truy ngƣợc tới tận nút nguồn. Tuy nhiên, nếu nhà quản trị mạng định nghĩa router kết nối xa nhất là router biên thì khi đó có một số mạng đằng sau router biên. Trong trƣờng hợp này, DFM có thể truy ngƣợc tới mạng con và do đó yêu cầu ít router hơn để tham gia vào kịch bản đánh dấu DFM. Đây là sự đánh đổi giữa độ chính xác và số router biên tham gia trong kịch bàn DFM.