Tất cả các gói tin TCP đến một router thuộc về các luồng khác nhau. RRED sử dụng chỉ số 𝑓. 𝐼 để đánh giá liệu luồng 𝑓 là luồng thuộc một cuộc tấn công LDOS hoặc luồng TCP bình thường. Cụ thể, 𝑓. 𝐼 được tính như sau. Nếu một gói tin từ luồng 𝑓
được coi là một gói tấn công (mô tả dưới đây), 𝑓𝐼 sẽ bị giảm một đơn vị; nếu nó được coi là một gói tin bình thường, 𝑓. 𝐼 được tăng một đơn vị. Sau đó, nếu một gói tin đến từ một luồng với 𝑓. 𝐼 có giá trị âm sẽ bị lọc để hủy bỏ. Gói dữ liệu từ một luồng với 𝑓.𝐼
lớn hơn hoặc bằng 0 sẽ tiếp tục được chuyển đến khối RED.
Một đến gói từ luồng 𝑓 bị nghi ngờ là một gói tin tấn công nếu nó đến trong một khoảng thời gian ngắn sau khi một gói tin từ 𝑓 bị hủy bỏ bởi khối phát hiện và lọc hoặc sau khi một gói tin từ bất kì luồng nào bị hủy bỏ bởi khối RED. Các quá trình sau đây được sử dụng để xác định khoảng thời gian ngắn này. Đối với mỗi luồng 𝑓 (hoặc một luồng TCP bình thường hoặc một luồng LDOS), gọi 𝑓. 𝑇1 là thời gian đến của gói tin cuối cùng từ 𝑓 bị hủy bỏ bởi khối phát hiện và lọc. Gọi 𝑇2là thời gian đến của các gói tin cuối cùng từ bất kỳ luồng nào bị hủy bỏ bởi khối RED. Khoảng thời gian ngắn của RRED định nghĩa là [𝑇max, 𝑇max + 𝑇*], với 𝑇max = MAX(𝑓.𝑇1, 𝑇2). Nếu thời gian xuất hiện của một gói tin từ một luồng 𝑓 rơi vào khoảng này, gói tin sẽ bị nghi ngờ là một gói tin tấn công. Lưu ý rằng 𝑇1 gắn với từng luồng trong khi 𝑇2 là toàn cục, đại diện cho những đặc tính cơ bản của một luồng tấn công LDOS và tác động toàn cục của cuộc tấn công trên toàn bộ mạng, tương ứng.
Một giá trị thích hợp cần được lựa chọn cho 𝑇* nhằm mục đích: + (i) Lọc hầu hết các gói tin tấn công.
+ (ii) Cho qua tối đa các gói tin hợp lệ.
Với RRED, giá trị T* được chọn thông qua thực nghiệm với giá trị là 10ms, cho hoạt động khá tốt cho các cuộc tấn công LDOS đa dạng. Với trường hợp lí tưởng, các tác giả của RRED tin rằng một cơ chế tốt nhất sẽ có thể thay đổi T* một cách động trong thời gian chạy.
Một router có thể nhận được gói dữ liệu từ nhiều luồng khác nhau trong khi cần phải lưu 𝑇1 và 𝐼 cho mỗi luồng. Để giải quyết vấn đề này, RRED sử dụng kỹ thuật dùng các Bloom-filters tương tự như SFB [32]. Các Bloom-filters trong việc thực hiện RRED được xây dựng với 𝐿 cấp với mỗi cấp có chứa 𝑁 bin. Mỗi cấp có một hàm băm độc lập. Một luồng được ánh xạ tới 𝐿 bin, mỗi bin trên một cấp. Cụ thể, một bộ 𝐿 (𝑏1 ,
𝑏2 , ..., 𝑏L ), với 𝑏j∈ [1, ..., 𝑁] duy nhất xác định một luồng. Mỗi bin duy trì một chỉ số cục bộ. Bộ lọc được cập nhật theo các bước sau: Nếu một gói từ một luồng 𝑓 bị nghi ngờ là một gói tin tấn công, tất cả 𝐿 bin tương ứng với 𝑓 giảm chỉ số cục bộ của họ đi 1. Tương tự, nếu một gói là một gói tin hợp lệ, tất cả các chỉ số cục bộ được tăng lên 1. Lưu ý rằng một luồng LDOS có thể chia sẻ một bin với một luồng hợp lệ trên một cấp cụ thể. Để tránh trường hợp mà một luồng hợp lệ bị ảnh hưởng bởi một luồng LDoSflow do các bin chia sẻ, RRED thiết lập một ràng buộc trên và dưới trong đoạn [10, -1] cho chỉ số cục bộ của mỗi bin. Thực nghiệm mô phỏng cho thấy ràng buộc này cho kết quả rất tốt. Cụ thể hơn, một luồng LDOS không thể gây ảnh hưởng tới một luồng hợp lệ bằng cách giảm chỉ số cục bộ chia sẻ của bin đến một giá trị âm thấp hơn -1. Cuối cùng, chỉ số 𝑓.𝐼 của luồng 𝑓 bằng vớigiá trị tối đa của 𝐿 chỉ số cục bộ từ 𝐿 bin tương ứng với 𝑓 .
CHƯƠNG 2: PHƯƠNG PHÁP WDA CHỐNG TẤN CÔNG TỪ CHỐI DỊCH VỤ TRÊN WEB
Phương pháp WDA - Web farm DDoS Attack attenuator, được giới thiệu bởi Ehud Doron, Avishai Wool [24], là một kiến trúc nhằm làm suy giảm lưu lượng của các cuộc tấn công từ chối dịch vụ phân tán trên web, đảm bảo phục vụ tốt người dùng trong trường hợp bị tấn công, thông qua việc phân loại lưu lượng mạng dựa trên hành vi người dùng hợp lệ nhằm phân biệt với hành vi tấn công tự động.
Một cấu trúc điển hình của Web farm được mô tả như hình 2.1. Các Web farm được kết nối với Internet thông qua một liên kết truyền tải kết nối giữa Web farm với một nhà cung cấp dịch vụ internet - ISP. Liên kết truyền tải thường là một kênh thuê riêng dựa trên tốc độ bit/s, với tốc độ dữ liệu khác nhau, từ hàng trăm Mbit/s đến vài Gbit/s. Từ nhà cung cấp dịch vụ internet, giao thông mạng đi qua router, tường lửa và bộ cân bằng tải cho đến khi nó đến được các máy chủ thực sự. Có thể giả định một cách hợp lí rằng các bộ định tuyến, chuyển mạch nội bộ và tường lửa tất cả đều được cung cấp để có đủ thông lượng để chống lại tình huống flash crowds – tăng lưu lượng giao thông đột biến, và do đó, ít có khả năng là nút cổ chai tại thời điểm xảy ra một cuộc tấn công DDoS. Có thể đánh giá rằng các điểm nút cổ chai khả năng sẽ nằm ở một trong hai vị trí sau: (a) liên kết truyền tải từ các nhà cung cấp dịch vụ internet, hoặc (b) bộ cân bằng tải. Không giống như cáp mạng và trang thiết bị nội bộ, kênh thuê riêng tới nhà cung cấp dịch vụ internet là một phần tương đối tốn kém của Web farm và khó có thể qua được nâng cấp dễ dàng vì nó liên quan đến việc tăng chi phí đáng kể cho Web farm. Còn đối với bộ cân bằng tải, nhiều sản phẩm thương mại điển hình được thiết kế triển khai, vì vậy thông lượng upload hỗ trợ gửi tới các Web farm thấp hơn gấp đôi so với thông lượng được hỗ trợ ở chiều lưu lượng ngược lại. Do đó, có thể thấy rằng bộ cân bằng tải hoặc liên kết truyền tải từ các nhà cung cấp dịch vụ internet sẽ có xu hướng chịu tấn công từ chối dịch vụ gửi tràn trước tất cả các thành phần khác của kiến trúc mạng.
Vì vậy, nhằm đạt hiệu quả bảo vệ tốt nhất cho Web farm, các tác giả đề xuất đặt WDA như một phần hàng đợi của router ISP nhằm mục tiêu bảo vệ uplink – lưu lượng mạng gửi tới Web farm.