CHƯƠNG 1 : GIỚI THIỆU ĐỀ TÀI
4.2. Kiểm chứng cơ chế bảo mật
4.2.1. Từ chối dịch vụ (Denial of Service)
Từ chối dịch vụ đề cập đến việc những kẻ tấn công cố gắng làm cho các máy mục tiêu ngừng cung cấp dịch vụ. Thơng thường, có hai cách tấn cơng. Một là trong số chúng thúc đẩy bộ đệm đầy và sau đó bộ đệm khơng thể nhận được bất kỳ u cầu mới nào. Bởi vì có một số bộ đệm đóng các vai trị khác nhau trong các chuyển mạch và bộ điều khiển trong kiến trúc SDN.
Ngày nay, một số biện pháp đã được thực hiện để ngăn chặn cuộc tấn cơng này. Ví dụ, nếu tốc độ gửi tin nhắn PacketIn cùng với các gói đạt 50Mbps, bộ điều khiển sẽ nhận ra ngoại lệ này [15].
Để áp dụng phương pháp này cho hệ thống, cần sửa đổi các mơ hình ban đầu. Ở đây, lấy InputBuffer làm ví dụ. Thơng điệp khơng chỉ chứa src và dst nữa. Bây giờ, mark được thêm vào và nó được sử dụng để hiển thị danh tính của chuyển mạch mà gói tin được gửi từ đó. Mục tiêu của hoạt động là nhận ra bộ chuyển mạch có tốc độ gửi gói vượt q giới hạn. Mơ hình của các bộ đệm và bộ xử lý khác cũng giống như mơ hình của InputBuffer. Do đó sẽ khơng liệt kê các tiến trình cịn lại trong phần sau.
𝐼𝑛𝑝𝑢𝑡𝐵𝑢𝑓𝑓𝑒𝑟𝑖(𝐼𝑛𝑝𝑢𝑡𝑀𝑠𝑔𝑖) =𝑑𝑓 ( 𝐶𝑜𝑛𝑛𝑒𝑐𝑡𝑆𝑤𝑖𝑡𝑐ℎ𝑖? 𝑚𝑎𝑟𝑘. 𝑠𝑟𝑐. 𝑑𝑠𝑡 → 𝐼𝑛𝑝𝑢𝑡𝐵𝑢𝑓𝑓𝑒𝑟𝑖(𝐼𝑛𝑝𝑢𝑡𝑀𝑠𝑔𝑖 ̂〈𝑚𝑎𝑟𝑘. 𝑠𝑟𝑐. 𝑠𝑑𝑡〉)) (4.10) ( 𝑃𝑎𝑐𝑘𝑒𝑡𝑡𝑜𝑃𝑟𝑜𝑐𝑒𝑠𝑠𝑖! 𝑚𝑎𝑟𝑘. 𝑠𝑟𝑐. 𝑑𝑠𝑡 → 𝐼𝑛𝑝𝑢𝑡𝐵𝑢𝑓𝑓𝑒𝑟𝑖(𝐼𝑛𝑝𝑢𝑡𝑀𝑠𝑔𝑖−〈𝑚𝑎𝑟𝑘. 𝑠𝑟𝑐. 𝑠𝑑𝑡〉)) (4.11) ( 𝑅𝑒𝐼𝑛𝑝𝑢𝑡𝑖? 𝑚𝑎𝑟𝑘. 𝑠𝑟𝑐. 𝑑𝑠𝑡 → 𝐼𝑛𝑝𝑢𝑡𝐵𝑢𝑓𝑓𝑒𝑟𝑖(𝐼𝑛𝑝𝑢𝑡𝑀𝑠𝑔𝑖 ̂〈𝑚𝑎𝑟𝑘. 𝑠𝑟𝑐. 𝑠𝑑𝑡〉)). (4.12)
Ở đây, giả định rằng nếu một bộ chuyển mạch truyền nhiều hơn bốn gói trong một đơn vị thời gian, bộ chuyển mạch được coi là một thực thể bất thường. Sau đó, biến
sum được sử dụng để đếm số lượng gói được chuyển tiếp bởi một chuyển mạch tại thời
điểm hiện tại. Khi chưa tiêu thụ hết một đơn vị và số lượng đã đạt đến 5, kẻ xâm nhập có thể thực hiện cuộc tấn công thành công.
#𝑑𝑒𝑓𝑖𝑛𝑒 𝑖𝑠𝐷𝑜𝑠 𝑠𝑢𝑚 == 5&&𝑐𝑢𝑟_𝑡𝑖𝑚𝑒 == 0; (4.13) #𝑎𝑠𝑠𝑒𝑟𝑡 𝐷𝑂𝑆 𝑟𝑒𝑎𝑐ℎ𝑒𝑠 𝑖𝑠𝐷𝑜𝑠; . (4.14)
Những gì có thể học được từ kết quả là ngoại lệ sẽ được phát hiện. Và ngoại lệ là tốc độ truyền lớn hơn một giá trị giới hạn.
Hình 4.7. Kết quả kiểm chứng Từ chối dịch vụ