Bảng 3.7. Cấu trúc một mục tin trong danh sách HOCs
Địa chỉ IP nguồn Địa chỉ IP đích Số hiệu cổng TCP nguồn Số hiệu cổng TCP đích Số hiệu SEQ_Num của gói tin SYN-ACK
timeout
Nếu gói tin SYN được xuất phát từ một nguồn lành tính, theo nguyên tắc nêu trên, khi nhận được gói tin SYN-ACK, client sẽ gửi lại bằng một gói tin RST với giá trị số hiệu ACK_Num bằng giá trị kế tiếp của cookie. Lúc này, SD kiểm tra tính hợp lệ của gói tin RST bằng cách mã hóa lại giá trị cookie từ các tham số kết nối TCP và tham số bí mật. Nếu giá trị cookie tính được khớp với giá trị ACM_Num trong gói tin RST, SD hiểu rằng nguồn xuất phát của gói tin SYN ban đầu là nguồn lành tính. Với cách kiểm tra như vậy, SD không phải lưu trữ thông tin trạng thái của kết nối TCP và do đó khơng bị ảnh hưởng bởi sự chiếm dụng tài nguyên bộ nhớ bởi các gói tin SYN giả mạo địa chỉ IP trong tấn cơng SYN Flood. Đồng thời, kết nối TCP chính thức không bị chia cắt như sử dụng SYN Cookie trong cơ chế CM.
Hình 3.19. Sơ đồ tuần tự q trình xác thực địa chỉ IP nguồn của gói tin SYN bằng RST cookie
3.5.4. Phân tích và đánh giá hiệu năng
Để so sánh, đánh giá hiệu năng của SSG so với cơ chế CM của giải pháp Avant-Guard, nội dung phần này trình bày phân tích so sánh về mặt giao thức, cơ chế làm việc để thấy rõ những cải tiến của SSG dưới tác động của tấn công SYN Flood, đồng thời xây dựng mơ hình testbed và tạo ra các kịch bản tấn cơng với cường độ khác nhau và phân tích so sánh kết quả đo đạc được từ testbed. Cấu trúc của testbed được mơ tả như trong Hình 3.20. Trong đó:
- Bộ chuyển mạch OFS được xây dựng từ máy tính chạy phần mềm OpenVswitch [69] phiên bản 2.7.90 với 5 card ethernet 1Gbps. Cấu hình máy tính chạy OpenVswitch: CPU Intel TM Core i3-2330M @ 2.2 GHz, 500GB HDD, 2GB RAM.
- SD là một máy tính độc lập có cấu hình CPU Intel TM Core i3-2330M @ 2.2 GHz, 500GB
HDD, 2GB RAM. Các gói tin đến SD từ OFS được capture và xử lý bằng phần mềm DPDK [137].