Các tham số sử dụng:
Ma trận d-phân-cách đƣợc sinh ra từ phép nối mã với mã ngồi [63,3]64 - RS và mã trong I64, cĩ kích thƣớc 4.032 dịng và 262.144 cột. Nhƣ vậy, lƣợng IP phân biệt cĩ thể hỗ trợ tối đa là 262.144 trong dịng gĩi tin IP cần xử lý. Giá trị d đƣợc chọn là 20, nghĩa là cĩ thể phát hiện tối đa 20 nguồn phát tấn cơng DoS. Thử nghiệm trong chu kỳ (từ 5 giây đến 30 giây), với 10 nguồn phát tấn cơng DoS vào máy chủ mục tiêu.
Về chu kỳ thuật tốn đƣợc chọn trong thực nghiệm dựa trên cơ sở nhƣ sau: Theo nghiên cứu của nhĩm Visoottiviseth [76] về số lƣợng gĩi tin cĩ thể xử lý trên các hệ điều hành thì mỗi nhân (core) của hệ điều hành Linux cĩ thể xử lý tối đa khoảng 50.000 gĩi tin/giây. Nhƣ vậy, với server Linux thử nghiệm cĩ cấu hình IBM Quad Core Xeon E5420 2.5 Ghz cĩ khả năng xử lý khoảng 4x50.000 =200.000 gĩi tin/giây. Do đĩ, trong thời gian 30 giây chu kỳ thuật tốn, server cĩ thể xử lý 30 x 200.000 = 6.000.000 gĩi tin. Do các điều kiện về tắt nghẽn, giả sử cĩ thể lấy giá trị bằng 2/3 so với khả năng xử lý, tức là khoảng 4.000.000 gĩi tin trong 30 giây.
Giả sử thời gian xử lý một gĩi tin “ping” bình thƣờng giữa 2 máy tính là 10ms. Trong thời gian 30 giây, mỗi máy tính cĩ thể gửi khoảng 3000 gĩi ping. Với khoảng 25 máy tính thử nghiệm đại diện cho các IP bình thƣờng thì trong 30 giây cĩ thể gửi khoảng 25x3.000 = 75.000 gĩi tin. Giả sử số lƣợng gĩi tin tấn cơng xuất phát từ một máy tấn cơng trung bình khoảng 10.000 gĩi/giây (qua các cơng cụ nhƣ đã trình bày bên trên), với 10 máy phát tấn cơng trong 30 giây cĩ khoảng 3.000.000 gĩi tin. Do đĩ, tổng gĩi cĩ khả năng gửi vào server khoảng 3.075.000 gĩi tin trong 30 giây.
Nhƣ vậy, khoảng thời gian chu kỳ thuật tốn trong thực nghiệm đƣợc chọn lớn nhất là 30 giây để server thử nghiệm cĩ khả năng xử lý đƣợc (khả năng xử lý của server trong 30 giây là 4.000.000 gĩi tin và số lƣợng gĩi tin trong thử nghiệm của các máy gửi đến server là khoảng 3.075.000). Do đĩ, các khoảng chu kỳ thuật tốn đƣợc chọn trong các thử nghiệm là 5 giây, 10 giây, 15 giây, 20 giây, 25 giây, 30 giây.
Giá trị ngƣỡng đƣợc xác định theo phƣơng pháp của Cormode [27]. Tham số đầu vào của thuật tốn là các IP đƣợc trích ra trong IP-header của các gĩi tin trong một chu kỳ thuật tốn. Thuật tốn thơng báo kết quả các Hot-IP tìm đƣợc sau mỗi chu kỳ thuật hiện. Kết quả thực nghiệm đƣợc thể hiện ở bảng 4.1
Bảng 4.1. Kết quả thực nghiệm thuật tốn cải tiến 1
N Tỉ lệ phát D Hot-IP
(giây) hiện Hot-IP
100.000 5 100% 20 10 100.000 10 100% 20 10 100.000 15 100% 20 10 100.000 20 100% 20 10 100.000 25 100% 20 10 100.000 30 100% 20 10
Qua kết quả thực nghiệm cho thấy rằng giải pháp thử nhĩm bất ứng biến cải tiến “Online Hot-IP Detecting” thực hiện tốt với số lƣợng đối tƣợng lớn trên mạng, thời gian giải mã để phát hiện các Hot-IP nhanh, cĩ thể triển khai áp dụng vào thực tế.
Mơ hình thực nghiệm 2: Phịng chống tấn cơng DDoS
Giải pháp phịng chống tấn cơng từ chối dịch vụ đƣợc cài đặt trên thiết bị đặt trƣớc hệ thống máy chủ nạn nhân theo dạng Inline, sử dụng cơng cụ tấn cơng DoS đánh vào tầng ứng dụng của các máy chủ trong hệ thống làm cạn kiệt tài nguyên và mất khả năng phục vụ của máy chủ Web. Mục tiêu của thực nghiệm này là phát hiện và tạm thời ngắt kết nối đối với các Hot-IP phát hiện đƣợc (các máy phát tấn cơng DoS) trong một chu kỳ thực hiện thuật tốn nhằm đảm bảo hệ thống hoạt động ổn định, thơng suốt. Sơ đồ thực nghiệm thể hiện trên hình 4.3.
Trong phần thực nghiệm, 10 máy tính đƣợc sử dụng cài đặt phần mềm HTTP-DoS để tấn cơng vào Web server. Máy chủ cài đặt giải pháp thực hiện với chu kỳ thuật tốn từ 5 – 30 giây để xử lý dịng dữ liệu qua nĩ, thuật tốn đƣợc sử dụng trong trƣờng hợp này là thuật tốn cải tiến 2 “Online Hot-IP Preventing”. Kết quả thực nghiệm đƣợc thống kê trong bảng 4.2.
Attacker Khu vực Server …….. Attacker …….. Gateway Server giải pháp Nạn nhân Khoa/ Khoa/ phịng/ban phịng/ban