Gọi là thời gian một chu kỳ thuật tốn, N ( NN ) là số lƣợng địa chỉ IP phân biệt trong khoảng thời gian , m là số lƣợng gĩi tin IP hệ thống cĩ thể nhận đƣợc trong khoảng thời gian. Gọi Hot-List là danh sách lƣu các địa chỉ IP nghi
ngờ trong quá trình thực thi thuật tốn, kích thƣớc của Hot-List đƣợc lựa chọn là số lƣợng mục tiêu trong tấn cơng DoS/DDoS hoặc số lƣợng nguồn phát tấn cơng DoS/DDoS giải pháp cĩ thể phát hiện đƣợc. Ngƣỡng tần suất caom. | Hot-
List |
Xây dựng ma trận d-phân-cách kích thƣớctN, trong đĩ các cột của ma trận tƣơng ứng với các địa chỉ IP phân biệt, các dịng của ma trận tƣơng ứng là các nhĩm thử. Các gĩi tin IP trong dịng IP đƣợc phân tích để trích địa chỉ IP đích và ánh xạ thành các chỉ số trong [N]. Áp dụng thuật tốn cải tiến 1 “Online Hot-IP Detecting” để phát hiện các đối tƣợng cĩ khả năng là các mục tiêu hoặc các nguồn phát tấn cơng trong tấn cơng DoS/DDoS, giải pháp này chỉ mang tính chất phát cảnh báo cho ngƣời quản trị khi phát hiện đƣợc các Hot-IP. Thuật tốn cải tiến 2 “Online Hot-IP Preventing” đƣợc ứng dụng để giữ ổn định cho hoạt động của hệ thống máy chủ bằng cách ngắt kết nối đối với các Hot-IP phát hiện đƣợc trong một hoặc một vài chu kỳ thực hiện thuật tốn với mơ hình giải pháp đƣợc cài đặt Inline, nghĩa là cài đặt trên thiết bị nằm trên đƣờng truyền dữ liệu.
Các tham số của thuật tốn như sau:
- Tham số đầu vào: các IP đƣợc trích ra trong IP-header của các gĩi tin IP trong một chu kỳ thuật tốn. Chu kỳ thuật tốn do ngƣời quản trị cấu hình.
- Tham số đầu ra: các IP là Hot-IP
4.2.4. Kịch bản thực nghiệm và kết quả
Trong phần thực nghiệm phát hiện các Hot-IP cĩ khả năng là nguy cơ gây ra tấn cơng từ chối dịch vụ phân tán, chúng tơi sử dụng hệ thống mạng tại trƣờng Đại học Sƣ phạm Kỹ thuật Tp.Hồ Chí Minh.
Mơ hình thực nghiệm 1: Phát hiện các Hot-IP cĩ khả năng là nguồn phát tấn cơng DoS/DDoS
Server cài đặt giải pháp đƣợc đặt theo dạng “promiscuous”, tức là ở dạng thu thập dữ liệu từ các dịng dữ liệu qua router gateway. Router gateway đƣợc cấu
hình để nhân bản các dữ liệu qua nĩ và gửi cho Server nhằm tránh ảnh hƣởng đến dịng dữ liệu đang hoạt động. Mơ hình thực nghiệm đƣợc thể hiện trong hình 4.2.
Luận án sử dụng cơng cụ tấn cơng DoSHTTP ở các máy tấn cơng để gửi số lƣợng gĩi tin lớn đến các server nạn nhân. Giải pháp đƣợc viết bằng C/C++ cài đặt trên HĐH CentOS (IBM X3650, Processors Intel Xeon ® CPU 2,5 GHz, RAM 4GB, Hệ điều hành CentOS 64-bit). Ma trận d-phân-cách đƣợc sử dụng cĩ khả năng hỗ trợ đến 262.144 địa chỉ IP phân biệt đƣợc xây dựng từ phép nối mã.
Attacker
Khu vực Server Attacker
Gateway
Nạn nhân Server giải pháp
Khoa/ Khoa/ phịng/ban phịng/ban