Trong phần này, chúng tơi trình bày thuật tốn RRED. Hình 6 mơ tả kiến
trúc cơ bản của thuật toán RRED. Một bộ phát hiện và lọc được thêm vào phía trước của một khối RED chuẩn trên một router. Ý tưởng cơ bản của RRED là để phát hiện và lọc ra các gói tin tấn cơng LDoS từ luồng đến trước khi vào các thuật toán RED. Làm thế nào để phân biệt một gói tin tấn cơng từ các gói tin TCP bình thường là rất quan trọng trong việc thiết kế RRED. Bên trong một luồng TCP bình thường, người gửi sẽ trì hỗn việc gửi các gói dữ liệu mới nếu được phát hiện mất gói tin (ví dụ, một gói tin bị loại bỏ). Do đó, một gói tin bị nghi ngờ là một gói tin tấn cơng nếu nó được gửi trong một khoảng thời gian ngắn sau khi một gói tin bị loại bỏ.
Các luồng gói tin đến bao gồm cả hợp pháp và các gói tin tấn cơng. Luồng này được đưa qua khối phát hiện và ngăn chặn kiểm tra trước khi cho luồng vào khối RED chuẩn. Quá trình phát hiện LDoS gói tin tấn cơng là một vấn đề thách thức.
Các gói tin TCP đến thơng qua một bộ định tuyến là các luồng khác nhau. Có 5 thành phần được sử dụng để xác định một luồng, bao gồm: IP nguồn, cổng nguồn, IP đích, cổng đích, và giao thức.
Một f.I chỉ được sử dụng để đánh giá nếu luồng f là một luồng TCP bình thường hoặc một luồng cuộc tấn công DoS tần suất thấp. Như đã đề cập trong bài báo [1] trong giai đoạn phát hiện, một chỉ số luồng f.I được sử dụng để xác định xem luồng f bao gồm các gói tin tấn cơng LDoS hoặc các gói tin TCP hợp
RED Detection
and Filtering
Gói tin vào Gói tin ra
Các gói tin từ luồng tấn cơng
Các gói tin được loại bỏ bởi khối RED
Hình 6. Kiến trúc của RRED
Nếu một gói tin từ luồng f nghi ngờ là một gói tin tấn cơng chỉ số f.I được giảm đi một, và nếu một gói tin từ luồng f là gói tin hợp pháp thì chỉ số được tăng lên một. Cuối cùng, tất cả các gói tin từ một luồng với f.I âm sẽ bị loại bỏ, trong khi các gói dữ liệu từ một luồng với f.I dương hoặc bằng không được đưa vào khối RED.
Một khoảng thời gian ngắn được xác định trong đó nếu một gói tin đến đến sau khi một gói được loại bỏ bởi hoặc khối phát hiện hoặc khối RED, nó bị nghi ngờ là một gói tin tấn cơng. Đối với điều này, có các thơng số sau đây: cho fT1 là thời gian đến gói tin cuối cùng của luồng f bị loại bỏ khối phát hiện, T2 là thời gian đến của gói tin cuối cùng của luồng bất kỳ bị loại bỏ bởi khối RED. Do đó khoảng thời gian ngắn có thể được định nghĩa là [Tmax, Tmax, T*], trong đó Tmax = MAX (fT1, T2) và T* giá trị được lựa chọn theo thực nghiệm như vậy mà nó lọc hầu hết các gói tin tấn cơng và cho phép các gói tin bình thường để đi qua. Chanwang Zhang và đồng nghiệp đề nghị rằng giá trị trung bình cho T* là 10ms.
Kỹ thuật Bloom-filters [18] được áp dụng trong thực hiện RRED, Bloom- filters được xây dựng với các mức L và mỗi mức bao gồm N thùng. Cho mỗi mức, có một hàm băm độc lập. Một luồng là ánh xạ tới tổng của L thùng, cho mỗi mức. Mỗi N thùng giữ một chỉ số riêng.
Nếu một gói tin từ một luồng là nghi ngờ như một gói tin tấn cơng, tất cả các thùng L tương ứng với f sẽ làm giảm chỉ số cục bộ của mình bằng cách 1. Tuy nhiên, tất cả các chỉ số cục bộ được tăng lên 1 nếu một gói là một gói tin bình thường. Vì vậy, các bộ lọc được cập nhật.
Một luồng DoS tần suất thấp có thể chia sẻ một thùng với một luồng bình thường. Do đó, có một số tình huống mà một luồng bình thường bị ơ nhiễm bởi một luồng DoS tần suất thấp do các thùng được chia sẻ. Để tránh điều đó, chúng ta nên thiết lập một ranh giới trên 10 và dưới bị ràng buộc -1 cho chỉ số riêng của mỗi thùng. Sau đó, một luồng DoS tần suất thấp khơng thể làm hư hỏng một luồng bình thường bằng cách giảm chỉ số cục bộ của thùng chia sẻ tới một số âm. Kết quả là, các chỉ số f.I của luồng f sẽ bằng với giá trị tối đa của các chỉ số cục bộ L từ các thùng L tương ứng với f.
Một tập hợp các mơ phỏng đánh giá hiệu quả của thuật tốn RRED đề xuất trong sự xuất hiện của các cuộc tấn cơng LDOS. Một số thuật tốn AQM khác bao gồm cả RED, RED-PD, SFB, AVQ, và DropTail cũng được tác giả sử dụng để so sánh. Với các cuộc tấn công LDOS khai thác cơ chế thời gian hết hạn truyền lại TCP do đó chúng tơi chỉ xem xét các dịng TCP trong thư này.
Qua các kết quả thử nghiệm tương ứng với ba bộ thơng số, nó là khá rõ ràng rằng các thuật toán RRED là một thuật toán tốt. Những kết quả này cho thấy các thông lượng TCP được duy trì gần như hồn tồn trong nhiều cuộc tấn công DoSs tần suất thấp.
Chƣơng 3 - ĐỀ XUẤT GIẢI PHÁP VÀ KẾT QUẢ MÔ PHỎNG
Trong chương 2 phân tích chi tiết tấn công từ chối dịch vụ và cũng thảo luận về các giải pháp hiện có sẵn để chống lại hoặc giảm thiểu cuộc tấn công. Như chúng ta đã biết cuộc tấn công DoS vẫn là mối đe dọa ngày càng tăng đến các cơ sở hạ tầng liên mạng tồn cầu. Cho đến nay, khơng thể ngăn chặn kiểu tấn cơng này hồn tồn, nhưng có thể hạn chế rủi ro thiệt hại của họ. Hơn nữa, các cuộc tấn cơng LDoS được biết đến như là hình thức tấn cơng đó là khó khăn hơn để phát hiện và bảo vệ. Kẻ tấn cơng có thể khai thác sự yếu kém của giao thức TCP như cửa sổ tắc nghẽn hoặc thuật toán phát hiện sớm ngẫu nhiên (RED) để thực hiện các cuộc tấn công LDoS. Chương này đề xuất ý tưởng giải pháp dựa trên thuật tốn RRED để cải thiện thơng lượng TCP chống lại các cuộc tấn công LDoS nhằm phân loại các gói tin hợp pháp và các gói tin tấn cơng và tìm ra phương pháp phát hiện LDoS.