Ta có thể nhận thấy rằng phương pháp tấn công che khuất mạng xếp chồng đều tập trung vào kiểm soát tập hàng xóm của các node. Do đó, để có thể phòng chống tấn công hiệu quả cần tập chung quản lý tập hàng xóm, cần sinh ra một cơ chế để đảm bảo cho tập hàng xóm luôn an toàn trước các node gây hại để chống lại các cuộc tấn công. Đã có các biện pháp bảo vệ phi tập trung chống lại các cuộc tấn công che khuất được đưa ra, các biện pháp này đòi hỏi phải bổ xung thêm các quy tắc lựa chọn tập hàng xóm. Các phương pháp này đều hướng tới hai loại: ràng buộc cấu trúc và ràng buộc lân cận.
Ràng buộc cấu trúc chặt chẽ hơn – Stronger structural constraints
Các mạng chồng như CAN, Chord nguyên bản và Pastry với bảng định tuyến có ràng buộc nhất định (Constraints routing table – CRT)[5] cải thiện mạnh mẽ ràng buộc cấu trúc trong tập hàng xóm. Mỗi thành viên trong tập hàng xóm được xác định là một node trong mạng xếp chồng có định danh gần nhất với một điểm riêng biệt trong không gian định danh. Ràng buộc này đánh bại các cuộc tấn công che khuất với hai điều kiện như sau:
Đầu tiên, mỗi điểm nút có một định danh duy nhất và không thể giả mạo được. Việc này có thể được thực hiện được nhờ dựa vào một cơ quan ngoại tuyến đáng tin cậy đưa ra bản mã hóa của định danh đã được ký, bằng cách này có thể chống được tấn công mạo nhận.
Thứ hai, mạng xếp chồng cần có cơ chế tìm ra node đang sống trong mạng có định danh gần nhất với một vị trí bất kỳ được yêu cầu trong không gian định danh. Cơ chế này đảm bảo rằng một truy vấn đến một node có định danh được chọn ngẫu nhiên có khả năng là node gây hại cũng bằng xác suất chọn ngẫu nhiên một node là node gây hại. Phương pháp định tuyến cổ điển có thể đạt được điều này bằng cách kết hợp với việc xác thực định danh tin cậy, kiểm tra mật độ định danh, nhận biết định tuyến dư thừa bằng cách sử dụng bảng định tuyến. Điều trở ngại lớn nhất trong việc sử dụng ràng buộc cấu
Khóa luận tốt nghiệp 24 Mai Hữu Tiến
trúc mạnh đó là nó sẽ làm mất tính linh hoạt trong việc lựa chọn hàng xóm, cản trở việc tối ưu hóa mạng xếp chồng bằng cách sử dụng cơ chế lựa chọn hàng xóm gần (Proximity neighbor selection – PNS)[6]. Hơn nữa, để đảm bảo an toàn cho định tuyến cổ điển sẽ tốn chi phí rất cao.
Proximity constraint – Ràng buộc gần
Hildrum và Kubiatowicz [3] đưa ra một phương pháp bảo vệ chống lại tấn công che khuất hoàn toàn khác biệt với phương pháp được đưa ra ở trên, phương pháp này dựa trên việc lựa chọn các hàng xóm gần. Mỗi node lựa chọn các node làm tập hàng xóm cho mình sao cho liên kết tới các node đó có độ chễ nhỏ nhất và chúng thỏa mãn yêu cầu ràng buộc cấu trúc của một tập hàng xóm. Chỉ có một lượng nhỏ các node gây hại có thể đáp ứng được độ trễ mạng thấp, do đó các node gây hại khó có thể tăng cường tấn công che khuất hệ thống.
Phương pháp bảo vệ này cần đảm bảo rằng việc đo độ trễ không bị thao túng bởi các phần tử tấn công. Nếu độ chính xác của phép đo là 1ms và có một lượng lớn các node xếp chồng có giá trị đo nằm trong khoảng này thì việc phòng chống không có hiệu quả. Trên thực tế, có rất nhiều node khác nhau cùng xuất hiện trong dải độ trễ hẹp. Hơn nữa kết quả thực nghiệm đã chỉ ra rằng với các giá trị độ trễ thực tế được đo tính trên mạng Internet, hiệu quả của biện pháp phòng thủ dựa trên PNS sẽ giảm dần khi kích thước mạng chồng tăng lên.
Nhận xét
Có thể nhận thấy rằng việc duy trì những ràng buộc cấu trúc có thể tạo ra một phòng tuyến bảo vệ hiệu quả chống lại các cuộc tấn công che khuất, nhưng nó cũng tạo ra những khoản chi phí phụ trội và cản trở việc tối ưu hóa những ứng dụng quan trọng như PNS. Mặt khác, phương pháp phòng thủ dựa trên ràng buộc gần chỉ có hiệu quả với mạng có kích thước nhỏ.
Khóa luận tốt nghiệp 25 Mai Hữu Tiến