3.1 Nghiên cứu về phát hiện, chống DDOS theo thống kê
3.1.4 Cơ chế lưu vết IP theo lịch sử kết nối
Kỹ thuật chống DDoS sử dụng các IP được lưu theo lịch sử kết nối được Tao Peng[16] đưa ra dựa trên giả thiết là các địa chỉ IP tấn công là địa chỉ giả mạo, được tạo ra mang tính ngẫu nghiên. Để chống lại tấn công DDoS, họ xây dựng một bộ lọc dựa trên các IP đã có trong quá khứ hoạt động của hệ thống. Các địa chỉ IP này sẽ được thu thập từ log trạng thái kết nối của các router biên. Sử dụng phương pháp này mang lại nhiều thuận lợi:
Lọc gói dựa trên IP có tốc độ xử lý nhanh, đảm bảo khả năng chống lại các cuộc tấn công phân tán
Phương pháp này không đòi hỏi thay đổi mang tính toàn cầu trên Internet. Các hệ thống mạng có thể tự trang bị tại các router biên để bảo vệ mình.
Dựa trên địa chỉ IP, hệ thống không phải phân tích về dạng gói tin nên không phụ thuộc vào dạng thức gói tin tấn công.
Cơ sở của phương pháp do Tao Peng đề xuất là nghiên cứu của Jung [11] về các hiện tượng tức thời (flash events) và tấn công DoS. Về mặt bản chất kết nối, các sự kiện mang tính tức thời cũng tương tự như một cuộc tấn công DDoS. Tỉ lệ giữa số lượng các địa chỉ IP trong quá khứ có kết nối đến hệ thống và số lượng IP của sự kiện tức thời là tương đối lớn. Trong khi đó, đối với một cuộc tấn công DDoS, tỉ lệ này là rất nhỏ. Trong nghiên cứu của Jung về tấn công do sâu Code Red gây ra, chỉ có từ 0,6 – 14% các IP nguồn là đã có mặt trước đó. Khoảng 82,9% địa chỉ IP có mặt trong sự kiện tức thời đã từng gửi kết nối đến hệ thống trước đó. Dựa trên những số liệu thu thập được về thông tin truyền qua trong nhiều ngày, có thể kết luận được tính thường xuyên của các địa chỉ kết nối.
Bản chất không xác thực định danh của giao thức IP không cho phép hệ thống mạng thực hiện việc chứng thực gói tin IP. Với cơ chế như vậy, để phân biệt gói tin tốt ( kết nối thông thường ) và gói tin xấu ( tấn công DDoS), các router hoặc máy chủ web phải dựa trên quá khứ kết nối của địa chỉ IP nguồn. Để làm được, các router, máy chủ sẽ phải ghi log các địa chỉ IP và tạo thành tập tham chiếu riêng, phân biệt các kết nối. Khi xảy ra các sự cố nghẽn mạng ( sự kiện tức thời, tấn công DDoS), tập danh sách này sẽ được sử dụng làm bộ lọc để phục vụ kết nối. Những IP nào đã xuất hiện trong danh sách sẽ được ưu tiên phục vụ.
Phương thức của Tao Peng mới chỉ dừng ở mức ứng phó lại các cuộc tấn công DDoS mà chứa có cơ chể để phát hiện ra tấn công. Việc xác định khi nào là cuộc tấn công và khi nào kích hoạt cơ chế lọc chống tấn công là một vấn đề không hoàn toàn đơn giản.