Phần rút gọn vẫn cần phải xác định địa chỉ IP đích của máy tính kẻ tấn công, việc làm này đã được thực hiện tốt trong phần code của tác giả. Trong trường hợp tối ưu thì mới xác định được địa chỉ router kẻ tấn công, khi đó phần code rutgon sẽ được gọi, bài toán được tối ưu. Ngược lại khi không xác định được IP của router liền kề kẻ tấn công, phần shellcode gốc của tác giả sẽđược sử dụng để lan tỏa lần lượt qua các router.
Code:
if (dia chi IP cua may dich la hop le) rutgon
else lan_toa_nguoc_binh_thuong
4.1.4. Nhận xét
Trong trường hợp lý tưởng, Victim xác định được chính xác router gần kẻ tấn công nhất và lan tỏa trực tiếp đến router đó đểđặt bộ lọc thì hiệu quả của giao thức
Lan_Tỏa_Ngược sẽ rất lớn. Giao thức thời gian thực thi giao thức nhanh và không tiêu tốn tài nguyên mạng, không mất thời gian để các router trung gian lan tỏa dần đến router gần kẻ tấn công nhất.
4.2: xác thực
Xem xét mô hình sau
(hình 17: mô hình xác thực)
V Vgw GW1 GW2
ATK2
ATK1
Vấn đềđặt ra là nếu có kẻ lợi dụng ATK3 ra lệnh cho GW1 đặt filter thì GW1 sẽ phản ứng lại thế nào? Có thể GW1 sẽ đặt filter trong khi GW1 không phải là router liền kề kẻ tấn công. Vì vậy cần phải có một cơ chế xác thực vấn đề truyền thông giữa các thực thể mạng.
4.2.1. Ý tưởng
Có thể tạo một cơ sở dữ liệu chứa thông tin vềđịa chỉ IP của những thực thể mạng có thể truyền thông cho nhau.
Ví dụ: để Vgw có thể truyền thông tin cho GW1 hay ra lệnh cho GW1 đặt bộ lọc thì trong cơ sở dữ liệu phải có chứa địa chỉ IP của GW1 và Vgw như: 10.10.2.1
10.10.2.2
Với 10.10.2.1 là IP của Vgw, 10.10.2.2 là IP của GW1
Có nhiều cách để tạo cơ sở dữ liệu như vậy, có thể dùng các hệ quản trị cơ sở dữ liệu mạnh và thông dụng hiện nay như Oracle, mySql, Sqlserver…
Để mô tả đơn giản hoạt động của quá trình xác thực giữa các thực thể mạng, tôi dùng cách đơn giản nhất là tạo một file IpCertificate có chứa các địa chỉ IP tương của các thực thể có quyền trao đổi thông tin với nhau. Bằng cách phân tích dữ liệu trong file IpCertificate, có thể xác thực được tiến trình trao đổi giữa các thực thể là hợp lệ hay không.
4.2.2. Thực thi quá trình xác thực.
Mô phỏng đơn giản như hình 3, có file IpCertificate chứa các địa chỉ sau 10.10.1.1
10.10.1.2 10.10.2.1 10.10.2.2
10.10.3.1 10.10.4.1
Mỗi khi máy A cần truyền thông với máy B , A sẽ tiến hành phân tích từng dòng dữ liệu trong file IpCertificate. Nếu có địa chỉ IP của máy B trong file đó, nghĩa là máy B được tin cậy, A có thể tiến hành truyền thông với B. Ngược lại, chương trình sẽ thông báo lỗi.
4.2.3. Kết luận
Việc xác thực giữa 2 thực thể mạng được tiến hành trên ý tưởng đơn giản nhưng hiệu quả. Có thể ngăn chặn được các giả mạo thông thường. Có thể nâng cao ý tưởng trên bằng cách xác thực thêm địa chỉ Mac, nhưng do thời lượng và thời hạn của luận văn nên tôi chỉ đưa ra những ý tưởng cơ bản nhất. Để đảm bảo an toàn cho cơ sở dữ liệu chứa thông tin về các thành phần hợp lệ có thể trao đổi thông tin, nên mã hóa cơ sở dữ liệu bằng các phương pháp mã hóa tiên tiến và có tính bảo mật cao như mã hóa công khai, mã hóa đối xứng…
Kết Luận
Thông qua việc nghiên cứu, tìm hiểu và phát triển các chức năng cho giao thức Lan Tỏa Ngược, luận văn đưa ra một cái nhìn tổng thể về DDoS. Qua bài viết có thể nắm bắt được cốt lõi của việc tấn công và phòng thủ DDoS. Đồng thời khi phát triển chức năng rút gọn và xác thực cho giao thức, tôi đã đưa giao thức Lan Tỏa Ngược về gần với ứng dụng thực tiễn hơn. Mặc dù trên thế giới hiện nay chưa có một phương pháp hoàn hảo nào có khả năng chặn hiệu quả tấn công DDoS, nhưng qua những nghiên cứu chuyên sâu và tìm cách cải tiến các phương pháp chống DDoS đã có, một ngày nào đó cộng đồng Internet có thể yên tâm về sự an ninh của mạng với một phương pháp hoàn thiện, hiệu quả.
TÀI LIỆU THAM KHẢO
[1] Hoang Van Quan, K49 dai hoc Cong Nghe. luan van lan toa nguoc. 2008.
[2] Jelena Mirkovic, Sven Dietrich, David Dittrich, Peter Reiher. Internet Denial of
Service: Attack and Defense Mechanisms. Prentice Hall PTR. 2004.
[3] Massimiliano Romano, Simone Rosignoli, Ennio Giannini. Robot Wars – How
Botnets Work. Oct 20, 2005
[4] Katerina Argyraki, David R. Cheriton. Active Internet Traffic Filtering: Real‐Time
Response to Denial‐of‐Service Attacks. Proceedings of the USENIX annual technical conference. 2005.
[5] Vicky Laurens, Abdulmotaleb El Saddik, Pulak Dhar and Vineet Srivastava.
Detecting distributed denial of service attack traffic at the Agent machines. IEEE CCECE. 2006.
[5] J. Mirkovic. D‐WARD: Source‐End Defense Against Distributed Denial‐of‐Service
Attacks. Ph.D. dissertation, University of California, Los Angeles. 2003. [7] J. Postel. RFC 791 ‐ Internet Protocol.