Nguyên lý hoạt động chung của hệ thống:
Hệ thống sử dụng một danh sách trắng (White list) để lưu các mạng IP sạch. Khi xảy ra tấn công chỉ có các mạng nằm trong danh sách này mới được kết nối vào hệ thống. Đối với giải pháp một hệ thống thì hệ thống sử dụng tường lửa lớp 2 (Transparent Firewall) để ngăn chặn các kết nối không nằm trong White list khi có tấn công xảy ra.
Để cho phép các kết nối mới (không nằm trong White list) kết nối vào hệ thống khi có tấn công xảy ra, hệ thống sử dụng chức năng xác thực IP nguồn kết nối dựa trên nguyên lý bắt tay ba bước của giao thức TCP như sau:
− Khi hệ thống nhận được một yêu cầu kết nối mới (SYN packet), hệ thống sẽ giả mạo gói tin xác nhận kết nối (SYN, ACK) gửi lại máy nguồn.
− Đối với các IP giả mạo thì hệ thống sẽ không nhận được gói tin thiết lập kết nối (SYN, ACK), do đó hệ thống sẽ bỏ qua yêu cầu kết nối mới của các IP nguồn này.
− Đối với các IP nguồn có gửi lại gói tin xác nhận kết nối thì hệ thống sẽ đưa mạng của IP nguồn đó vào Whitelist và cho phép kết nối vào hệ thống.
Sơ đồ và nguyên lý của hệ thống khi xử lý một kết nối mới
Hình 2.10. Sơ đồ và nguyên lý của hệ thống khi xử lý một kết nối mới Khi có một kết nối mới gửi đến hệ thống được bảo vệ, chức năng xử lý kết nối mới sẽ kiểm tra điều kiện xem kết nối này có phải là kết nối bình thường không. Trường hợp là kết nối bình thường, môđun này sẽ tìm địa chỉ mạng của IP nguồn để đưa vào WhiteList. Để đảm bảo thông tin về WhiteList luôn được cập nhật, mỗi mạng trong WhiteList sẽ có thời gian sống. Nếu hết thời gian sống mà không có kết nối sạch mới có IP nguồn thuộc về mạng đó, thì mạng đó sẽ bị xóa khỏi WhiteList.
Hình 2.11. Sơ đồ và nguyên lý của hệ thống khi phòng chống tấn công Khi có kết nối mới đến hệ thống, môđun này sẽ kiểm tra ngưỡng phát hiện tấn công. Nếu khớp với điều kiện phát hiện tấn công, thì chức năng sẽ gọi chức năng sẽ gọi môđun áp chính sách WhiteList và môđun xác thực IP nguồn. Môđun này cũng đưa địa chỉ IP đích đang bị tấn công vào một danh sách IP bị tấn công, danh sách này được môđun xác thực IP nguồn sử dụng, môđun này chỉ xác thực những kết nối tới máy chủ có IP trong danh sách này. Môđun này cũng cập nhật trạng thái tấn công DDoS dưới dạng một giá trị số. Giá trị này tăng liên tục khi tấn công DDoS xả ra. Giá trị này được sử dụng để môđun dừng chức năng chống tấn công DDoS và khôi phục lại cấu hình hệ thống khi tấn công DDoS không xảy ra nữa. Môđun sẽ kiểm tra giá trị này sau một khoảng thời gian được đưa vào từ thông tin cấu hình, nếu sau một khoảng thời gian mà giá trị này không tăng thì hệ thống sẽ dừng chức năng chống tấn công DDoS.
Hình 2.12. Sơ đồ và nguyên lý của hệ thống khi xác thực địa chỉ nguồn Khi có kết nối mới tới hệ thống, môđun sẽ kiểm tra điều kiện lọc. Điều kiện lọc này là điều kiện được sử dụng để xác định các kết nối sẽ được xác thực chứ môđun không xác thực tất cả các kết nối gửi đến. Thêm nữa môđun cũng kiểm tra địa chỉ IP đích trong kết nối có nằm trong danh sách IP đang bị tấn công không. Nếu hai điều kiện khớp, kết nối sẽ được xác thực bằng một trong hai phương phát được thiết lập.