Một vấn đề khó khăn mà D-WARD đối mặt trong việc phân loại kết nối là vấn đề
phân loại kết nối dựa vào gói tin đi ra đầu tiên. Vấn đề xảy ra khi một kết nối cố gắng bắt đầu trong cuộc tấn công. Gói tin đi ra đầu tiên được thấy bởi D-WARD không thể được công nhận là hợp lệ, do các mẫu kết nối hợp lệ yêu cầu nhiều dữ liệu hơn để thực hiện phân loại. Vì thế kết nối này sẽđược xem như là nhất thời và truyền thông của nó sẽ chịu mức giới hạn. Trong mức giới hạn, các gói tin đầu tiên sẽ thua trong việc cạnh tranh chống lại truyền thông tấn công, và sẽ bị loại bỏ. Việc loại bỏ các gói tin đầu tiên trong một kết nối có thể có thể gây ra chán trong việc thiết lập kết nối (nhất là trường hợp kết nối TCP) và kết quả là dịch vụ tồi tới các kết nối mới trong cuộc tấn công. Hậu quả như thế là không có truyền thông kết nối mới được phép truyền qua trong cuộc tấn công.
Ví dụ dưới đây, miêu tả trong hình 12, minh họa sự khốc liệt của việc phân loại gói tin đầu tiên: Một thiết lập kết nối TCP trong khi một cuộc tấn công phát tràn SYN TCP.
23
Hình 12: Một kết nối TCP mới được khởi tạo trong cuộc tấn công Mạng nguồn NetS được bảo vệ bởi D-WARD. Một phát tràn SYN TCP dùng lừa
đảo subnet được phát sinh từ host phá rối A tới máy nạn nhân V. D-WARD phát hiện ra cuộc tấn công này và đặt một mức giới hạn trong luồng đi ra từ NetS tới V. Các máy khách hợp lệ C1 và C2 trước đã kiến tạo kết nối tới V, và những kết nối này được nhận biết như hợp lệ và được bảo vệ từ mức giới hạn. Trong cuộc tấn công,máy khách hợp lệ C3 cố gắng kết nối tới máy nạn nhân V. D-WARD theo dõi vô số gói tin của cuộc tấn công SYN TCP và một gói tin SYN TCP hợp lệ. Không có thông tin trong gói tin mà kẻ tấn công ko thể lừa đảo. Chỉ có sự khác nhau giữa hai gói tin loại này là cách
đối xử trong tương lai: máy khách hợp lệ sẽ hoàn thành quá trình bắt tay ba bước và tiếp tục phát sinh truyền thông trong kết nối, trong khi kẻ tấn công không thể. Bởi vậy, hai loại gói tin này không thể phân biệt được bởi D-WARD. Cả một kết nối hợp lệ lẫn cả tất cả các kết nối tấn công sẽ được phân loại như là nhất thời và sẽ phải chịu mức giới hạn. Trong mức giới hạn, truyền thông tấn công hầu như chiến thắng, kết quả gói tin TCP SYN hợp lệ bị loại bỏ. Vấn đề này thực sự dữ dội hơn thế, vì không chỉ các gói tin đầu tiên mà tất cả các gói tin trong các kết nối mới sẽ hầu như bị loại bỏ cho tới khi Khoảng theo dõi kết nối hết hạn và kết nối được làm cho có hiệu lực.
Có vài chiến lược để cải thiện tình huống này:
Áp dụng triển khai cookie SYN TCP bởi máy nạn nhân: Tấn công phát tràn SYN TCP có thểđược xử lý thành công ở tỷ lệ rất cao bằng việc dùng các cookie SYN TCP. Giải pháp này xử lý vấn đề kết nối half-open bằng thay thế tình trạng máy chủ
24
bởi máy chủ. Trong sự đáp ứng lại một gói tin SYN TCP, máy chủ chọn dãy số khởi tạo của nó như là một hàm của: thời gian khi yêu cầu nhận được,kích cỡ segment lớn nhất của máy chủ(MSS), một hàm bí mật được lựa chọn bởi máy chủ của địa chỉ IP máy khách và số cổng, địa chỉ IP máy chủ và số cổng, và thời gian. Lựa chọn này của dãy số tuân theo với các yêu cầu cơ bản của TCP mà các dãy số tăng chậm; dãy số
khởi tạo của máy chủ tăng hơi nhanh hơn dãy số khởi tạo của máy khách. Một máy chủ gửi một SYN ACK với một dãy số khởi tạo được chọn, nhưng không lưu thành một bản ghi trong hàng đợi kết nối của nó. Khi máy chủ nhận một ACK hoàn thành quá trình bắt tay ba bước, nó kiểm tra hàm bí mật làm việc trong thời gian gần đây, và rồi xây dựng lại mục hàng đợi kết nối từ MSS được mã hóa. D-WARD có thể giả định việc dùng cookie của SYN TCP bởi máy nạn nhân và luôn chuyển các gói SYN TCP. Không may, nhiều host không triển khai cookie SYN TCP, vì vậy D-WARD sẽ bị
hỏng để bảo vệ các host từ cuộc tấn công phát tràn SYN TCP. Do đó, giải pháp này không giải quyết vấn đề các gói tin đi ra sau trong kết nối này có thểđến trước khi kết nối hợp lệ. Các gói tin này sẽ phải chịu mức giới hạn và có thể bị loại bỏ.
Các kết nối Proxy TCP: D-WARD có thể lựa chọn để xử lý các cuộc tấn công SYN TCP bằng cách chính nó triển khai cookie SYN TCP và thực hiện quá trình bắt tay ba bước thay cho máy nạn nhân. Giải pháp này được đưa ra bởi nhiều hệ thống phòng thủ. Một hệ thống phòng thủ phân ra các gói tin SYN TCP và các trả lời, thay cho máy chủ, dùng cookie SYN TCP. Mỗi khi máy khách hoàn thành quá trình bắt tay ba bước,hệ thống phòng thủ kết nối TCP SYN tới máy chủ và biểu diễn như máy khách để hoàn thành thiết lập kết nối. Vấn đề nảy sinh vì mỗi bên phải chọn một dãy số khởi tạo trong gói tin của mình. Do vậy,dãy số khởi tạo của máy chủđược chọn đầu tiên bởi hệ thống phòng thủ (trong tên máy chủ) sẽ không khớp với dãy số khởi tạo
được chọn bởi máy chủ. Hệ thống phòng thủ không thể thay đổi thông tin dãy số của mỗi bên. Với 2 lựa chọn: (1) proxy hoàn thành kết nối, viết lại các dãy số thích hợp, hay (2) loại bỏ kết nối bằng việc gửi một gói tin RST tới máy khách, nhớ rằng nó hợp lệ để thử lại các gói tin SYN TCP của nó được cho phép đến máy chủ trực tiếp. Vì cố
thử một kết nối phải được khởi tạo bằng chương trình, một kết nối loại bỏ là một lựa chọn xấu. Do đó, phần lớn các hệ thống phòng thủ chọn để proxy hoàn thành kết nối TCP. Lựa chọn này sẽ đặt gánh nặng lớn cho D-WARD từ đó nó sẽ phải giữ nhiều trạng thái kết nối hơn và điều chỉnh mỗi gói tin của các kết nối hợp lệ trong cuộc tấn công.
25
Đưa vào các điều chỉnh tới TCP để chỉ rõ ISN mong muốn. Một giải pháp có thểđể proxy chỉ thực hiện quá trình bắt tay ba bước và không hoàn thành kết nối sẽ bổ
sung một lựa chọn mới tới giao thức TCP – ISN mong muốn. Lựa chọn này sẽ được dùng bởi hệ thống phòng thủ trong gói tin SYN TCP nối lại, yêu cầu máy chủ lựa chọn một giá trị cụ thể dãy số khởi tạo của nó. Sựđiều chỉnh này sẽ yêu cầu giai thức TCP thay đổi ở tất cả máy chủ trong mạng nguồn và sẽ mởđầu nhiều vấn đề an ninh.
Lặp lại các kết nối half-open. D-WARD có thể khởi tạo chuyển tất cả các gói SYN TCP, nhưng giữ vết của các kết nối half-open. Nếu chúng không hoàn thành trong một khoảng thời gian cố định, D-WARD có thể phát ra một gói RST tới máy chủ,giải phóng tài nguyên của nó. Giải pháp này cũng được đưa ra bởi nhiều hệ thống phòng thủ. Hạn chế của nó là D-WARD sẽ phải giữ trạng thái của các kết nối half- open, do đó chính nó trở thành một nạn nhân tiềm tàng của các cuộc tấn công từ chối dịch vụ.
Gạt bỏ ngẫu nhiên các gói tin lừa đảo. Kỹ thuật dự đoán giá trị cho rằng hệ
thống phòng thủ có thể biết hay dự đoán đúng một khoảng giá trị hợp lệ cho các trường tiêu đề của TCP hay IP trong các gói tin kết nối đầu tiên (Khoảng giá trị tiên
đoán). Chức năng dựđoán phải đủ chính xác để mà các gói tin hợp lệ sẽ luôn được tìm ra và làm cho có hiệu lực. Khoảng giá trị dựđoán phải tương đối nhỏđể các gói tin mà các giá trị tiêu đề lừa đảo ngẫu nhiên có một khả năng thấp để làm cho có hiệu lực như
hợp lệ. D-WARD dùng kỹ thuật dựđoán giá trịđể chấp nhận các gói tin hợp lệở khởi
đầu kết nối TCP. Một kẻ tấn công lén lút vẫn có thể học được khoảng giá trị dựđoán và lừa đảo thích hợp các gói tin của họđể bảo đảm rằng họ sẽđược nhận ra như là hợp lệ. Để chống lại việc này, D-WARD đưa ra mức giới hạn gói tin sớm không đổi riêng biệt mà ghép vào các gói tin mà khớp với khoảng giá trị dự báo. Kết quả toàn bộ là truyền thông của các máy khách hợp lệ sẽ nhận dịch vụ tốt trong một cuộc tấn công phát tràn SYN TCP lén lút. Vì truyền thông tấn công lén lút vẫn phải chịu mức giới hạn với mức giới hạn gói tin sớm, kẻ tấn công không thể lạm dụng kỹ thuật dựđoán giá trị để thực hiện các cuộc tấn công thành công. Vì vậy, kỹ thuật dựđoán giá trị cải thiện đáng kể trạng thái trong trường hợp tấn công spoofed ngẫu nhiên, và không làm nó tồi hơn trong trường hợp tấn công lén lút.