Kịch bản thực nghiệm và kết quả

Một phần của tài liệu 1-LATS-HuynhNguyenChinh (Trang 117 - 120)

CHƢƠNG 1 TỔNG QUAN VỀ HOT-IP TRÊN MẠNG

3.3.3. Kịch bản thực nghiệm và kết quả

Trong phần thực nghiệm, luận án sử dụng 4 server gồm 1 server đĩng vai trị là bộ phát hiện Hot-IP trung tâm và 3 server cịn lại đĩng vai trị là các bộ phát hiện Hot-IP thành viên đặt ở các khu vực khác nhau, sử dụng lập trình mạng dạng client/server để tạo sự kết nối giữa các server này nhằm mục đích sẽ thơng báo cho nhau khi một server phát hiện cĩ Hot-IP trên mạng.

Dịng gĩi tin IP đƣợc thu thập vào các server, địa chỉ IP nguồn và IP đích đƣợc trích ra từ IP-header ở mỗi gĩi tin để xử lý. Ở mỗi vị trí triển khai sử dụng ma trận phù hợp với lƣợng IP quản lý cộng với một số lƣợng nhỏ IP đại diện cho các đối tƣợng khác nhƣ các ISP khác, các quốc gia hay khu vực.

Để đánh giá khả năng của thuật tốn cải tiến đề xuất, trong phần thực nghiệm luận án sử dụng các ma trận ở các vị trí triển khai hỗ trợ lƣợng IP khác nhau: 4096, 32768, 262144, 33554432. Ma trận phân cách đƣợc sinh ra bằng phƣơng pháp nối mã tƣơng ứng sử dụng từ các bộ mã Reed-Solomon [7,3]8 - RS (d=7, N=4.096,

t=240), [31,3]32 - RS (d=15, N=32.768, t=992), [63,3]64 - RS và [31,5]32 - RS (d=7,

N=33554432, t=992). Chu kỳ thực hiện thuật tốn10 giây,15 giây, 20 giây, 25 giây, 30 giây. Thuật tốn sinh ra các gĩi tin chứa địa chỉ IP của ngƣời những dùng bình thƣờng và các gĩi tin cĩ tần suất cao đƣợc phát sinh từ các phần mềm tấn cơng nhƣ Trinoo.

Ở mỗi khu vực, bộ phát hiện Hot-IP định thời kiểm tra trên dịng dữ liệu để phát hiện các Hot-IP. Khi phát hiện cĩ Hot-IP, bộ phát hiện sẽ phát cảnh báo đến các khu vực khác. Trong phần thực nghiệm này, liên kết đƣợc thiết lập giữa các bộ

phát hiện Hot-IP ở các khu vực để trao đổi kết quả phát hiện Hot-IP giúp các khu vực nhận đƣợc kết quả mà khơng cần phải thực hiện tính tốn.

Trong phần thực nghiệm này, sử dụng 10 máy chạy chƣơng trình quét cổng, sử dụng mạng IPv4 và khơng gian địa chỉ 232. Phƣơng pháp quét đƣợc sử dụng gồm cĩ quét TCP, quét UDP, kết quả trả về là thơng tin hệ thống chạy trên các máy nạn nhân phát hiện đƣợc.

Bộ phát Bộ phát

hiện Hot-IP

hiện Hot-IP

R1 Bộ phát R3 Trinoo

Web Server hiện Hot-IP Các máy tấn cơng

Nạn nhân 192.168.11.0/24 172.16.2.18/24 R4 Bộ phát hiện Hot-IP R2 Trinoo Các máy tấn cơng 192.168.22.0/24

Hình 3.7. Sơ đồ thực nghiệm kiến trúc phân tán phát hiện các Hot-IP

Các tham số sử dụng trong thực nghiệm với dữ liệu thực tế: chu kỳ thuật tốn

 30 giây, số lƣợng IP phân biệt trong hệ thống giám sát là N = 4096, ma trận phân cách M cĩ kích thƣớc 240x4096, số lƣợng Hot-IP cĩ hệ thống cĩ khả năng

phát hiện ƣớc lƣợng là 100, các cổng giao tiếp của các kết nối là 100Mbps. Dựa trên tốc độ của các kết nối, suy ra đƣợc m 50.000 301.500.000 và ngƣỡng tần

suất cao m

Hot-List  15.000.

Các trƣờng hợp thực nghiệm nhƣ sau:

Trường hợp 1: Chƣơng trình đƣợc cài đặt tại các vị trí R1, R2, R3, R4 cĩ khả năng phát hiện và phát cảnh báo cho nhau khi phát hiện cĩ Hot-IP. Thuật tốn cải tiến 2 “Online Hot-IP Preventing” đƣợc sử dụng để tại mỗi vị trí triển khai khi phát

hiện Hot-IP sẽ ngăn chặn các gĩi tin chứa IP này trong một chu kỳ thuật tốn. Đồng thời, địa chỉ Hot-IP sẽ đƣợc gửi tới bộ dị của khu vực chứa IP nạn nhân và thực hiện ngăn chặn các IP này trong một chu kỳ thuật tốn. Trong trƣờng hợp này, các bộ dị R2 và R3 phát hiện các Hot-IP và khĩa các IP này trong một chu kỳ thuật tốn. Lƣu lƣợng ở R1 và R4 bình thƣờng, các bộ phát hiện R4 và R1 khơng phát hiện đƣợc các Hot-IP.

Trường hợp 2: Các bộ phát hiện Hot-IP đƣợc triển khai thực nghiệm trên R1 và R4, đại diện cho khu vực mạng trung gian (R4) và khu vực chứa nạn nhân (R1). Tấn cơng xuất phát từ 2 khu vực R2 và R3, bộ phát hiện ở R4 phát hiện đƣợc nạn nhân là IP của Web server và cảnh báo cho R1 các Hot-IP phát hiện đƣợc, đồng thời ngăn chặn các Hot-Ip này trong một chu kỳ thuật tốn. Trong trƣờng hợp triển khai

ở R4, việc phát hiện và ngăn chặn cĩ thể làm tăng mức độ xử lý trên R4, nếu chỉ phát hiện và gửi thơng tin của Hot-IP đến bộ dị gắn với phía nạn nhân R1 ngăn chặn thì giảm đƣợc mức độ xử lý đối với các router trung gian

Trường hợp 3. Các bộ dị Hot-IP đƣợc triển khai ở các khu vực mà khơng

triển khai ở các router trung gian. Trong trƣờng hợp này, các bộ phát hiện đƣợc cài đặt trên R1, R2 và R3. Trƣờng hợp này phù hợp cho các hệ thống của cơng ty triển khai các dịch vụ cung cấp cho ngƣời dùng trên Internet, đặt các server ở nhiều khu vực để cung cấp dịch vụ cho ngƣời dùng. Khi bộ phát hiện Hot-IP phát hiện cĩ Hot- IP sẽ tiến hành ngăn chặn và phát cảnh báo cho các bộ phát hiện khác trong hệ thống để tiến hành ngăn chặn trong một chu kỳ thuật tốn.

Trong các trƣờng hợp trên, giải pháp phát hiện các Hot-IP cĩ thể kết hợp thêm một số chức năng khác để hệ thống linh hoạt hơn nhƣ chuyển luồng lƣu lƣợng sang các server cung cấp ở các khu vực khác hay chuyển các Hot-IP vào các Honeypot để phịng chống tấn cơng. Các thực nghiệm cài đặt thuật tốn cải tiến 2 “Online Hot-IP Preventing” cho thấy giải pháp cĩ khả năng ứng dụng nhằm ngăn ngừa sớm các nguy cơ cĩ thể xảy ra nhƣ các tấn cơng DoS/DDoS, giúp hệ thống hoạt động ổn định, thơng suốt.

Một phần của tài liệu 1-LATS-HuynhNguyenChinh (Trang 117 - 120)

Tải bản đầy đủ (DOC)

(167 trang)
w