.7 RWD A Mô phỏng tấn công tốc độ thấp với độ lớn burst thay đổi

Một phần của tài liệu (LUẬN văn THẠC sĩ) chống tấn công từ chối dịch vụ tốc độ thấp trên web (Trang 58 - 62)

KẾT LUẬN

Luận văn của tôi giới thiệu WDA - Web farm DDoS Attack attenuator, một kiến trúc có thể làm suy giảm lưu lượng của các cuộc tấn công từ chối dịch vụ phân tán trên web, đảm bảo phục vụ tốt người dùng trong trường hợp bị tấn công. Phương pháp tỏ ra rất hiệu quả, giúp hạn chế tác động của các cuộc tấn công từ chối dịch vụ. Các mô phỏng thực hiện cho thấy WDA có thể bảo vệ Web farm khỏi các cuộc tấn công từ chối dịch vụ bởi hàng trăm ngàn zombies, trong khi vẫn giữ tỉ lệ suy giảm dịch vụ với người dùng hợp pháp dưới 10%.

Luận văn cũng trình bày các nghiên cứu sâu hơn để cải tiến WDA nhằm chống lại một phương pháp tấn công từ chối dịch vụ đặc biệt- tấn công từ chối dịch vụ tốc độ thấp, giúp bảo vệ thông lượng mạng trong giai đoạn ON – giai đoạn tương tác lưu lượng giao thông giữa người dùng hợp lệ với website, với mục đích bảo vệ lưu lượng mạng hợp pháp khỏi tấn công, giúp thông lượng mạng suy giảm tối thiểu trong các cuộc tấn công tốc độ thấp. Với các cải tiến hợp lí, tỉ lệ suy giảm thông lượng mạng trong khi chịu tấn công từ chối dịch vụ tốc độ thấp không vượt quá 2%, giúp đảm bảo lưu lượng truy cập hợp lệ một cách tối đa.

Đối với WDA, điều tối quan trọng là giá trị của các tham số, trong khi hiện tại mạng internet ngày càng phát triển phức tạp dẫn đến các tham số khó có thể phù hợp cho một tập lớn hoặc toàn bộ các Web farm, do các người dùng có thể có những đặc tính duyệt web nhất định khác nhau tại các trang cụ thể. Từ đó dẫn đến ý tưởng nghiên cứu cho tương lai đó là xây dựng một phương pháp hợp lí để nhà quản trị mạng có thể xác định các tham số của WDA chính xác nhất so với đặc tính của Web farm cụ thể của nhà quản trị.

TÀI LIỆU THAM KHẢO

Tiếng Anh

[1] Arbor Networks: Worldwide ISP Security Report, September 2005, <http://www.arbor.net/downloads/Arbor_Worldwide_ISP_Security_Report.pdf>

[2] A. Kuzmanovic, E.W. Knightly, Low-rate TCP-targeted denial of service attacks: the shrew vs. the mice and elephants, in: SIGCOMM, 2003, pp. 75–86.

[3] A. Kuzmanovic, E.W. Knightly, Low-rate TCP-targeted denial of service attacks and counter strategies, IEEE/ACM Transactions on Networking (TON) Volume 14 Issue 4, August 2006, 683 – 696

[4] R. Mahajan, S.M. Bellovin, S. Floyd, J. Ioannidis, V. Paxson, S. Shenker, Controlling high bandwidth aggregates in the network, Computer Communication Review 32 (3) (2002) 62–73

[5] J. Ioannidis, S.M. Bellovin, Implementing pushback: router-based defense against DDOS attacks, in: NDSS, 2002

[6] J. Mirkovic, G. Prier, P.L. Reiher, Attacking DDOS at the Source, in: ICNP, 2002, pp. 312–321

[7] T.M. Gil, M. Poletter, MULTOPS: a data-structure for bandwidth attack detection, in: Proceedings of USENIX Security Symposium 2001, Washington, DC, August 2001

[8] H. Wang, K.G. Shin, Transport-aware IP routers: a built-in protection mechanism to counter DDOS attacks, IEEE Transactions on Parallel and Distributed Systems 14 (9) (2003) 873–884

[9] R. Thomas, B. Mark, T. Johnson, J. Croall, NetBouncer: client- legitimacy-based high-performance DDOS filtering, in: DISCEX, 2003, pp. 14–25t

[10] A. Mahimkar, J. Dange, V. Shmatikov, H. Vin, Y. Zhang, dFence: transparent network-based denial of service mitigation, in: Fourth USENIX NSDI, Cambridge, MA, April 2007

[11] A. Bremler-Barr, N. Halachmi, H. Levi, Aggressiveness Protective Fair Queueing for Bursty Applications, in: IWQoS, 2006

[12] X. Yang, D. Wetherall, T.E. Anderson, A DOS-limiting network architecture, in: SIGCOMM, 2005, pp. 241–252

[13] A. Yaar, A. Perrig, D.X. Song, SIFF: A stateless Internet flow filter to mitigate DDOS flooding attacks, in: IEEE Symposium on Security and Privacy, 2004, p. 130

[14] X. Wang, M.K. Reiter, Mitigating bandwidth-exhaustion attacks using congestion puzzles, in: ACM Conference on Computer and Communications Security, 2004, pp. 257–267

[15] S. Kandula, D. Katabi, M. Jacob, A. Berger, Botz-4-sale: surviving organized DDOS attacks that mimic flash crowds, in: NSDI, 2005

[16] Y. Kim, W.-C. Lau, M.C. Chuah, H.J. Chao, Packetscore: tatisticalbased overload control against distributed denial-of-service attacks, in: INFOCOM, 2004

[17] Q. Li, E.-C. Chang, M.C. Chan, On the effectiveness of DDOS attacks on statistical filtering, in: INFOCOM, 2005, pp. 1373–1383

[18] V. Sekar, N. Duffield, O. Spatscheck, J. van der Merwe, H. Zhang, LADS: Large-scale Automated DDoS Detection System

[19] R. Vasudevan, Z. Mao, O. Spatscheck, J. van der Merwe, Reval: a tool for real-time evaluation of DDoS mitigation strategies, in: USENIX Technical Conference, 2006

[20] A. Yaar, A. Perrig, D.X. Song, PI: a path identification mechanism to defend against DDOS attack, in: IEEE Symposium on Security and Privacy, 2003, p.93

[21] S.M. Bellovin, ICMP Traceback Messages, Work in Progress, Internet Draft draftbellovin-itrace-00.txt, March 2000

[22] A.D. Keromytis, V. Misra, D. Rubenstein, SOS: an architecture for mitigating DDOS attacks, IEEE Journal on Selected Areas in Communications 22 (1) (2004) 176–188

[23] A. Stavrou, D.L. Cook, W.G. Morein, A.D. Keromytis, V. Misra, D.Rubenstein, WebSOS: an overlay-based system for protecting Web servers from denial of service attacks, Computer Networks 48 (5) (2005) 781–807

[24] WDA: A Web farm Distributed Denial Of Service attack attenuator Computer Networks, Volume 55, Issue 5, Pages 1037-1051 Ehud Doron, Avishai Wool

[25] R. Fielding, J. Getty, J. Mogul, H. Frystyk, T. Berners-Lee, IETF RFC 2616: Hypertext Transfer Protocol – http/1.1., June 1999

[26] R. Braden, IETF RFC 1122: Requirements for Internet Hosts – Communication Layers, October 1989

[27] P. Barford, M. Crovella, Generating representative Web workloads for network and server performance evaluation, in: SIGMETRICS, 1998, pp. 151–160.

[28] H.-K. Choi, J.O. Limb, A behavioral model of Web traffic, in: ICNP, 1999, pp. 327–334

[29] websiteoptimization.com, Average Web Page Size Triples Since 2003, <http://www.websiteoptimization.com/speed/tweak/average-web-page/>

[30] A.K. Parekh, R.G. Gallager, A generalized processor sharing approach to flow control in integrated services networks: the single-node case, IEEE/ACM Transactions on Networking 1 (3) (1993) 344–357

[31] NS2, The Network Simulator,

<http://nsnam.isi.edu/nsnam/index.php/User_Information>

[32] F. Wu-Chang, D. D. Kandlur, D. Saha, and K. G. Shin, “Stochastic fair blue: a queue management algorithm for enforcing fairness,” in IEEE INFOCOM, 2001

[33] Arbor Networks: Worldwide Infrastructure Security Report 2012 Volume VIII http://pages.arbornetworks.com/rs/arbor/images/WISR2012_EN.pdf

[34] RFC 6298 - 2.The Basic Algorithm, (2.4) http://tools.ietf.org/html/rfc6298

[35] The Internet Traffic Report: Networks Overview, March 2008, <http://www.internettrafficreport.com/>

[36] “Wfq implementation code donated by Paolo Losi,”

http://www.isi.edu/nsnam/archive/ns-users/webarch/2000/msg04025.html

[37] C. Zhang, J. Yin, Z. Cai, and W. Chen, “RRED: Robust RED Algorithm to Counter Low-Rate Denial-of-Service Attacks”, in IEEE COMMUNICATIONS LETTERS, VOL. 14, NO. 5, MAY 2010

Một phần của tài liệu (LUẬN văn THẠC sĩ) chống tấn công từ chối dịch vụ tốc độ thấp trên web (Trang 58 - 62)

Tải bản đầy đủ (PDF)

(62 trang)