Chƣơng 2 : TẤN CÔNG TỪ CHỐI DỊCH VỤ TỐC ĐỘ THẤP
2.2 Các cơ chế phòng chống chung
Có 2 loại cơ chế nổi bật để giảm thiểu ảnh hƣởng của tấn cơng LDoS, đó là cơ chế hỗ trợ router và cơ chế hỗ trợ thiết bị đầu cuối.
2.2.1 Cơ chế hỗ trợ router
Rất nhiều các mơ hình hỗ trợ router đã đƣợc thiết kế để phát hiện và hạn chế thơng lƣợng của các dịng gói tin độc hại trong mạng, trong đó phải kể đến các cơ chế dựa trên việc ƣu tiên loại bỏ các gói tin từ các dịng độc hại, chẳng hạn nhƣ cơ chế loại bỏ gói tin của thuật tốn RED-PD [12].
Ý tƣởng chính của các cơ chế loại này là làm cho giao thức TCP mềm dẻo hơn đối với tấn công LDoS bằng cách áp dụng một thiết kế giao thức cẩn thận hơn (làm cho các dòng TCP phục hồi nhanh hơn sau khoảng thời gian tấn cơng), cụ thể là tăng kích thƣớc cửa sổ ban đầu từ 1 gói tin lên một giá trị lớn hơn 2 và nhỏ hơn 4 gói tin (khoảng 4KBytes). Nhƣng dễ thấy việc tăng kích thƣớc cửa sổ ban đầu này có thể dẫn đến hiện tƣợng tắc nghẽn mạng kéo dài dẫn đến việc sụp đổ mạng. Mặt khác, điểm yếu của giao thức TCP đối với tấn cơng LDoS vẫn tồn tại bởi vì một khi khoảng thời gian phát tràn gói tin của các nguồn tấn công Tb cỡ thời gian đi về RTT của các dịng TCP thì việc tăng số lƣợng gói tin của cửa sổ ban đầu cũng khơng giúp gì trong việc ngăn chặn tấn cơng.
Bởi vì tấn cơng LDoS khai thác tính đồng nhất của tham số minRTO (giá trị nhỏ nhất của RTO là minRTO = 1s và RTO chỉ có thể lấy các giá trị là bội của minRTO khi có hiện tƣợng timeout xảy ra) nên để chống tấn cơng LDoS thì các thiết bị đầu cuối có thể cho minRTO các giá trị ngẫu nhiên. Tuy nhiên điều này làm giảm hiệu năng của giao thức TCP do tính khơng đồng nhất của thời gian đi về RTT của các dịng gói tin TCP (theo [11]).