Đánh giá hiệu năng khi kích thƣớc bộ nhớ lớn hơn ( N= 31)

Một phần của tài liệu (LUẬN văn THẠC sĩ) cải thiện hiệu năng giải thuật RRED chống tấn công từ chối dịch vụ tốc độ thấp luận văn ths công nghệ thông tin 60 48 15 (Trang 71 - 83)

Chƣơng 4 : ĐỀ XUẤT CẢI TIẾN

4.2 Cải tiến thứ hai

4.2.3 Đánh giá hiệu năng khi kích thƣớc bộ nhớ lớn hơn ( N= 31)

a) Biến thiên Ta

Kết quả nhƣ sau(giá trị hash_bins_ trong tệp leodos.tcl giữ nguyên là 31 khi so sánh các thuật toán LF-RED, LF-RED cải tiến, Quý’s algorithm, Hợi’s algorithm):

Khi thay đổi Ta trong khoảng từ 0.2 đến 2 (s) trong khi Tb và Rb đƣợc giữ nguyên:

Ta = [0.2, …, 2] (s); Tb = 200 (ms); Rb = 0.25 (Mbps).

Hình 4.5: Kết quả khi Ta = [0.2, …, 2] (s); Tb = 200 (ms); Rb = 0.25 (Mbps) (phóng to)

Kết quả tại Ta = 0.5 (s): Bảng 4.9: Kết quả tại Ta = 0.5 (s); Tb = 200 (ms); Rb = 0.25 (Mbps) Kết quả LF-RED (T*=10ms) Quý’s algorithm Hợi’s algorithm LF-RED (T* updated) rate_f1_normal 600.400000 600.950000 600.490000 600.930000 rate_f1_attack 598.220000 549.700000 599.270000 599.770000 nth_f1 0.996369 0.914718 0.997968 0.998070 rate_f2_attack 23.600000 853.480000 15.790000 16.470000 Kết quả tại Ta = 1.0 (s): Bảng 4.10: Kết quả tại Ta = 1.0 (s); Tb = 200 (ms); Rb = 0.25 (Mbps) Kết quả LF-RED (T*=10ms) Quý’s algorithm Hợi’s algorithm LF-RED (T* updated) rate_f1_normal 600.400000 600.950000 600.490000 600.930000 rate_f1_attack 598.980000 574.690000 598.720000 599.980000 nth_f1 0.997635 0.956303 0.997052 0.998419 rate_f2_attack 15.540000 412.200000 15.630000 9.370000

b) Biến thiên Tb

Khi thay đổi Tb trong khoảng từ 0 đến 600 (ms) trong khi Ta và Rb đƣợc giữ nguyên:

Ta = 1 (s); Tb = [0, 40, …, 600] (ms); Rb = 0.25 (Mbps).

Hình 4.7: Kết quả khi Ta = 1 (s); Tb = [0, 40, …, 600] (ms); Rb = 0.25 (Mbps) (phóng to)

Kết quả tại Tb = 160 (ms): Bảng 4.11: Kết quả tại Ta = 1 (s); Tb = 160 (ms); Rb = 0.25 (Mbps) Kết quả LF-RED (T*=10ms) Quý’s algorithm Hợi’s algorithm LF-RED (T* updated) rate_f1_normal 600.400000 600.950000 600.490000 600.930000 rate_f1_attack 599.390000 576.590000 598.940000 599.840000 nth_f1 0.998318 0.959464 0.997419 0.998186 rate_f2_attack 15.100000 365.530000 11.190000 8.600000 Kết quả tại Tb = 360 (ms): Bảng 4.12: Kết quả tại Ta = 1 (s); Tb = 360 (ms); Rb = 0.25 (Mbps) Kết quả LF-RED (T*=10ms) Quý’s algorithm Hợi’s algorithm LF-RED (T* updated) rate_f1_normal 600.400000 600.950000 600.490000 600.930000 rate_f1_attack 599.120000 558.890000 599.390000 600.090000 nth_f1 0.997868 0.930011 0.998168 0.998602 rate_f2_attack 13.970000 711.910000 10.330000 9.910000

c) Biến thiên Rb

Khi thay đổi Rb trong khoảng từ 0.1 đến 0.5 (Mbps) trong khi Ta và Tb đƣợc giữ nguyên:

Ta = 1 (s); Tb = 200 (ms); Rb = [0.1, 0.125, 0.15, …, 0.5] (Mbps).

Hình 4.9: Kết quả khi Ta = 1 (s); Tb = 200 (ms); Rb = [0.1, 0.125, …, 0.5] (Mbps) (phóng to)

Kết quả tại Rb = 0.35 (Mbps): Bảng 4.13: Kết quả tại Ta = 1 (s); Tb = 200 (ms); Rb = 0.35 (Mbps) Kết quả LF-RED (T*=10ms) Quý’s algorithm Hợi’s algorithm LF-RED (T* updated) rate_f1_normal 600.400000 600.950000 600.490000 600.930000 rate_f1_attack 599.590000 566.370000 599.150000 600.040000 nth_f1 0.998651 0.942458 0.997768 0.998519 rate_f2_attack 12.230000 515.930000 9.310000 8.140000 Kết quả tại Rb = 0.475 (Mbps): Bảng 4.14: Kết quả tại Ta = 1 (s); Tb = 200 (ms); Rb = 0.475 (Mbps) Kết quả LF-RED (T*=10ms) Quý’s algorithm Hợi’s algorithm LF-RED (T* updated) rate_f1_normal 600.400000 600.950000 600.490000 600.930000 rate_f1_attack 599.330000 554.100000 599.260000 600.370000 nth_f1 0.998218 0.922040 0.997952 0.999068 rate_f2_attack 12.200000 642.940000 9.150000 8.600000

Theo các kết quả ở trên có thể thấy rằng thuật tốn LF-RED (T* updated) có hiệu năng tốt hơn so với các thuật tốn LF-RED (T*=10ms), Quý’s algorithm, Hợi’s algorithm; hiệu năng của thuật tốn Hợi’s algorithm khơng tốt hơn so với thuật toán LF-RED (T*=10ms); thuật toán Quý’s algorithm kém nhất trong 4 thuật tốn trong việc bảo vệ thơng lƣợng TCP tổng cộng. Dựa vào số liệu các bảng từ 4.9 đến 4.14 có thể thấy chỉ số rate_f2_attack (là số gói tin tấn cơng đi qua router R0 trong 1 (s) (tính trung bình)) của thuật tốn LF-RED (T*=10ms) ln lớn hơn của thuật tốn LF-RED (T* updated), điều này có thể giải thích một phần là do thuật toán LF-RED (T* updated) đã “cứu” đƣợc một số các dòng TCP bị timeout ngay trong khoảng thời gian phát tràn gói tin của các dịng tấn cơng làm cho số gói tin đến router R0 nhiều hơn, độ lớn trung bình hàng đợi avg lớn hơn, dẫn đến khả năng loại bỏ các gói tin tấn cơng cao hơn, số lƣợng gói tin tấn cơng bị loại bỏ nhiều hơn.

KẾT LUẬN VÀ HƢỚNG NGHIÊN CỨU TIẾP THEO

Trong luận văn này tơi đã trình bày giải thuật RRED (hay LF-RED) để chống tấn công DoS tốc độ thấp. Các kết quả mô phỏng đã cho thấy rằng thuật toán RRED khá hiệu quả và đảm bảo thông lƣợng tổng cộng của các dịng TCP trong điều kiện có tấn cơng DoS tốc độ thấp xảy ra ngang bằng với mức khi khơng có tấn công, trong khi các thuật tốn khác nhƣ DropTail, RED, RED-PD khơng làm đƣợc.

Tôi đã đề xuất 2 giải pháp nhằm cải thiện hiệu năng của RRED. Giải pháp thứ nhất đó là thay đổi giá trị T* theo thời gian, T* biến thiên trong khoảng [6ms; 10ms] tuỳ theo thơng lƣợng các gói tin đến router (trong thuật toán RRED T* là 1 hằng số, T* = 10ms). Giải pháp thứ hai đó là phân biệt gói tin đến router là gói tin tấn cơng hay gói tin thông thƣờng dựa trên cơ chế lùi thời gian phát lại gói tin theo hàm số mũ của giao thức TCP (cơ chế timeout), giải pháp này làm cho khối DF của RRED loại bỏ gói tin tấn cơng chính xác hơn, tránh việc loại bỏ nhầm các gói tin TCP hợp lệ, nhờ vậy giúp cải thiện thông lƣợng tổng cộng của các kết nối TCP đi qua router. Các kết quả mô phỏng cũng đã cho thấy rằng thuật toán RRED sau khi áp dụng 2 giải pháp này có hiệu năng cao hơn thuật tốn RRED gốc.

Mặt khác thuật tốn RRED và thuật tốn RRED cải tiến vẫn cịn một số vấn đề nhƣ là coi một dịng gói tin là dịng tấn cơng nếu các gói tin thuộc dịng đó đến router trong khoảng thời gian ngắn sau khi một gói tin cũng thuộc dịng đó bị loại bỏ tại router. Với thuật toán RRED và RRED cải tiến thì tấn cơng DoS tốc độ thấp chỉ bị hạn chế chứ khơng bị loại bỏ hồn tồn. Cho đến nay hai thuật toán này chỉ tập trung bảo vệ các dịng TCP trong điều kiện có tấn cơng DoS tốc độ thấp xảy ra, chƣa đề cập đến việc bảo vệ các dịng UDP. Có thể tin rằng hai thuật tốn này sẽ coi một dòng UDP là dịng tấn cơng nếu dịng UDP đó có tốc độ truyền gói tin đủ lớn. Đây là vấn đề chính cần nghiên cứu trong tƣơng lai.

TÀI LIỆU THAM KHẢO Tiếng Việt

1. Phạm Văn Hợi (2013), Chống tấn công từ chối dịch vụ phân tán tần suất thấp, Luận văn Thạc sĩ Công nghệ thông tin, Trƣờng Đại học Công nghệ, Đại học Quốc gia Hà Nội.

Tiếng Anh

2. Antognini C. (2008), “Bloom Filters”.

http://antognini.ch/papers/BloomFilters20080620.pdf

3. Changwang Zhang, Jianping Yin, Zhiping Cai, Weifeng Chen (2010), “RRED: Robust RED Algorithm to Counter Low-Rate Denial-of-Service Attacks”, IEEE Communications Letters, 14 (5).

https://sites.google.com/site/cwzhangres/home/files/RREDRobustREDAlgorithmtoCo unterLow-rateDenial-of-ServiceAttacks.pdf?attredirects=0

4. Changwang Zhang (2010), AQM&DoS Simulation Platform.

https://sites.google.com/site/cwzhangres/home/posts/aqmdossimulationplatform 5. Drop Tail, Wikipedia online:

http://en.wikipedia.org/wiki/Tail_drop

6. Floyd S., Jacobson V. (1993), “Random Early Detection Gateways for Congestion Avoidance”, IEEE/ACM Transactions on Networking, 1 (4), pp. 397-413.

7. Houle K.J., Weaver G.M. (2001), “Trends in Denial of Service Attack Technology”,

Distributed Systems Intruder Tools (DSIT) Workshop.

http://www.cert.org/archive/pdf/DoS_trends.pdf 8. Internet Relay Chat:

http://en.wikipedia.org/wiki/Internet_Relay_Chat

9. Jacobson V., Karels M.J. (1988), “Congestion Avoidance and Control”, ACM Computer Comm. Review, 18 (4), pp. 314-329.

10. Kuzmanovic A. and Knightly E.W. (2003), “Low-Rate TCP-Targeted Denial of Service Attacks (The Shrew vs. the Mice and Elephants)”, Proceedings of ACM SIGCOMM.

http://www.cs.northwestern.edu/~akuzma/rice/doc/shrew.pdf

11. Kuzmanovic A. and Knightly E.W. (2006), “Low-Rate TCP-Targeted Denial of Service Attacks and Counter Strategies”, IEEE/ACM Transactions on Networking, 14 (4), pp. 683-696.

www-ece.rice.edu/networks/papers/lrdos.pdf

12. Mahajan R., Floyd S., Wetherall D. (2001), “Controlling High-Bandwidth Flows at the Congested Router”, Proceedings of IEEE ICNP.

13. Mirkovic J., Dietrich S., Dittrich D., Reiher P. (2004), Internet Denial of Service:

Attack and Defense Mechanisms, Prentice Hall, Massachusetts.

14. Moore D., Voelker M., Savage S. (2001), “Inferring Internet Denial-of-Service Activity”, Proceedings of the 10th USENIX Security Symposium, pp. 9-22.

15. Nguyen Quang Quy (2012), The low-rate denial of services attack and defence,

Internship Report, University of Engineering and Technology, Vietnam National University of Hanoi, Ha Noi.

16. Nguyen Quang Quy (2013), More robust random early detection for countering low-rate denial-of-service attacks, Bachelor’s Thesis, University of Engineering and

Technology, Vietnam National University, Ha Noi.

17. Paxson V., Allman M., Chu J., Sargent M. (2011), “Computing TCP’s Retransmission Timer”, Request for Comments: 6298 Internet Engineering Task Force

(IETF).

http://tools.ietf.org/html/rfc6298

18. Paxson V., Allman M. (1999), “On estimating End-to-End Network Path Properties”, Proceedings of ACM SIGCOMM.

19. Stevens W.R. (1993), TCP/IP Illustrated, Volume 1: The Protocols, Addison

Wesley, Massachusetts.

20. TCPcongestion avoidance algorithm, Wiki pedia online:

http://en.wikipedia.org/wiki/TCP_congestion_avoidance_algorithm 21. The Network Simulator NS-2:

http://isi.edu/nsnam/ns/

22. Welzl M. (2005), Network Congestion Control managing internet traffic, John

Wiley & Sons Ltd, West Sussex.

23. Wright G.R., Stevens W.R. (1995), TCP/IP Illustrated, Volume 2: The Implementation, Addison Wesley, Massachusetts.

PHỤ LỤC

Một phần của tài liệu (LUẬN văn THẠC sĩ) cải thiện hiệu năng giải thuật RRED chống tấn công từ chối dịch vụ tốc độ thấp luận văn ths công nghệ thông tin 60 48 15 (Trang 71 - 83)

Tải bản đầy đủ (PDF)

(100 trang)