Phân tích đặc điểm của dữ liệu mạng từ bộ dữ liệu của CAIDA, ta thu đƣợc các kết quả sau:
1. Gần 90% các Flow có độ dài gói tin đầu tiên từ 20-200 byte, Đây là sở cứ để định nghĩa một ngƣỡng độ dài cho giải pháp PLA DFM, mà đảm bảo kích thƣớc gói tin khi có các thông tin đánh dấu không vƣợt quá MTU của mạng,
Bùi Trung Thành – CB120730 – KTTT22012B Trang 86
tránh đƣợc trƣờng hợp gây ra sai do phân mảnh gói tin tỉ lệ đánh dấu thành công sẽ đƣợc cải thiện.
2. Mô hình phân bố tỉ lệ số Flow theo số lƣợng gói tin của Flow, trong đó tỉ lệ số lƣợng Flow có 1 gói tin là rất lớn. Đây là sở cứ để chứng minh hiệu quả của giải pháp PLA DFM so với các giải pháp truy ngƣợc khác khi vẫn đảm bảo đánh dấu các Flow chỉ có một gói tin (do sử dụng trƣờng tùy chọn). PLA DFM sử dụng đặc tính của lƣu lƣợng thực tế rằng độ dài gói tin đầu tiên trong mỗi Flow thƣờng nhỏ hơn so với các gói khác; và các Flow có số gói tin cần để đánh dấu thành công nhỏ hơn DFM, điều này sẽ cho tỉ lệ thành công lớn hơn và cải thiện đƣợc hiệu suất. Sử dụng một cơ chế linh hoạt trong việc quyết định đánh dấu bằng độ dài của gói tin đầu tiên, tỉ lệ đánh dấu thành công của PLA DFM lớn hơn khá nhiều so với các sơ đồ truyền thống mà không phải quan tâm tới việc tăng kích thƣớc gói tin. Xa hơn số lƣợng và tổng kích thƣớc của các gói tin đánh dấu đƣợc giảm nhiều hơn so với DFM truyền thống. Điều này rất hữu ích khi thực hiện sử dụng một thiết bị độc lập đƣợc gắn bên ngoài của router biên.
Trong tƣơng lai, nghiên cứu này sẽ tập trung vào khả năng đánh dấu và truy ngƣợc trong điều kiện của tấn công từ chỗi dịch vụ, ứng dụng và thực hiện sơ đồ trong việc phát hiện và ngăn chặn tấn công. Việc đo một vài tham số hệ thống chẳng hạn nhƣ thời gian đáp ứng vƣợt quá, … cũng cần phải đƣợc thực hiện.
Bùi Trung Thành – CB120730 – KTTT22012B Trang 87
KẾT LUẬN
Với đề tài của luận văn tốt nghiệp ―Nghiên cứu các giải pháp phát hiện tấn công từ chối dịch vụ ở lớp mạng‖, tôi đã rút ra đƣợc những kết luận nhƣ sau:
Giải pháp truy ngƣợc địa chỉ IP sử dụng thuật toán PLA DFM là giải pháp đem lại tỉ lệ đánh dấu gói tin thành công cao hơn so với giải pháp DFM truyền thống.
Giải pháp PLA DFM cũng có tỉ lệ gói tin đánh dấu và tỉ lệ kích thƣớc đánh dấu thấp hơn đem lại tốc độ đánh dấu nhanh hơn so với giải pháp DFM truyền thống.
Gần 90% các Flow có độ dài gói tin đầu tiên từ 20-200 byte, Đây là sở cứ để định nghĩa một ngƣỡng độ dài cho giải pháp PLA DFM, mà đảm bảo kích thƣớc gói tin khi có các thông tin đánh dấu không vƣợt quá MTU của mạng, tránh đƣợc trƣờng hợp gây ra sai do phân mảnh gói tin
tỉ lệ đánh dấu thành công sẽ đƣợc cải thiện.
Mô hình phân bố tỉ lệ số Flow theo số lƣợng gói tin của Flow, trong đó tỉ lệ số lƣợng Flow có 1 gói tin là rất lớn. Đây là sở cứ để chứng minh hiệu quả của giải pháp PLA DFM so với các giải pháp truy ngƣợc khác khi vẫn đảm bảo đánh dấu các Flow chỉ có một gói tin (do sử dụng trƣờng tùy chọn).
Bùi Trung Thành – CB120730 – KTTT22012B Trang 88
TÀI LIỆU THAM KHẢO
[1] Dang Van Tuyen, Truong Thu Huong, Nguyen Huu Thanh, Nguyen Tai Hung, Bart Puype, Didier Colle, Kris Steenhaut, "An Enhanced Deterministic Flow Marking Technique to Efficiently Support Detection of Network Spoofing
Attacks", accepted to the IEEE ATC 2014.
[2] Mehmud Abliz, ―Internet Denial of Service Attacks and Defense Mechanisms‖, University of Pittsburgh Department of Computer Science Technical Report, TR-11-178, March 2011.
[3] Aghaei-Foroushani and Zincir-Heywood, ―IP traceback through (authenticated) deterministic flow marking: an empirical evaluation‖, EURASIP Journal on
Information Security 2013.
[4] Aghaei-Foroushani and Zincir-Heywood, ―Deterministic and Authenticated Flow Marking for IP Traceback‖, 2013 IEEE 27th International Conference on Advanced Information Networking and Applications.
[5] Aghaei-Foroushani and Zincir-Heywood, ―On Evaluating IP Traceback Schemes: A Practical Perspective‖, 2013 IEEE Security and Privacy Workshops. [6] A. Belenky et al., ―IP traceback with deterministic packet marking‖, IEEE Communications Letters, vol. 7, no. 4, pp. 162-164, April 2003.
[7] S. Savage, D. Wetherall, A. Karlin and T. Anderson, ―Network support for IP traceback‖, IEEE/ACM Transactions on Networking, vol. 9, no.3, pp. 226-237, June 2001.
[8] Nguyễn Phƣơng Chính, Luận văn thạc sĩ: ―Giải pháp phát hiện và ngăn chặn truy cập trái phép vào mạng‖, Trƣờng Đại học Công nghệ - Đại học quốc gia Hà Nội.
[9] Phạm Đức Thọ, Đồ án đại học: ―Xây dựng hệ thống phát hiện xâm nhập bằng phần mềm Snort‖, Trƣờng Đại học Công nghệ thông tin và Truyền thông – Đại học Thái Nguyên.
Bùi Trung Thành – CB120730 – KTTT22012B Trang 89
[10] The CAIDA UCSD Anonymized Internet Traces 2013,
http://www.caida.org/data/passive/passive_2013_dataset.xml .
[11] http://www.secdev.org/projects/scapy/ [12] http://www.sqlite.org/
[13] http://www.originlab.com/index.aspx?go=Products/OriginPro