Bảng 2.7. Cấu trúc bảng giám sát luồng FMT
FlowID srcIP srcPort dstIP dstPort SEQ_Num
1 IPs1 Ps1 IPd1 Pd1 Seq1
2 IPs2 Ps2 IPd2 Pd2 Seq2
3 IPs3 Ps3 IPd3 Pd3 Seq3
… … … … … …
• Nếu gói tin đến là gói tin ACK, SPM sẽ tìm mục thơng tin tương ứng trong bảng FMT và so sánh giá trị số hiệu ACK_Num với giá trị lưu trữ SEQ_Num trong mục thông tin. Nếu cặp giá trị này khớp nhau, quá trình bắt tay ba bước được xác thực thành cơng và gói tin được chuyển tiếp tới máy chủ đích. Nếu khơng tìm thấy mục thơng tin tương ứng hoặc cặp giá trị
ACK_Num và SEQ_Num không khớp nhau, SPM xác định gói tin SYN đến từ một nguồn khơng tin cậy, khi đó gói tin các mục thơng tin tương ứng sẽ bị hủy.
• Khi hết thời gian chờ timeout, nếu khơng nhận được gói tin CliACK tương ứng, SPM sẽ tạo ra gói tin ACK giả phía client để gửi tới máy chủ để kết thúc quá trình bắt tay ba bước và ngay sau đó, gửi gói tin RST để đóng kết nối mở HOC tương ứng trên máy chủ.
Tính tốn thời gian chờ gói CliACK của các luồng
Theo giao thức TCP, sau khi nhận được gói tin SYN, máy chủ sẽ tạo ra một vùng nhớ TCB để chứa thông tin kết nối trước khi gửi gói tin SYN-ACK tới máy khách. Vùng nhớ được tồn tại trong suốt thời gian chờ TIMEWAIT đợi gói tin xác nhận CliACK từ phía máy khách. Thời gian chờ này được kẻ tấn công lợi dụng để duy trì sự chiếm đoạt tài nguyên bộ nhớ TCB bởi các kết nối dang dở HOC trên máy chủ. Tùy theo hệ điều hành, thời gian này thường được đặt cố định và có giá trị từ 75s đến 189s [113]. Để khảo sát khoảng thời gian nhận được gói tin SYN và gói tin CliACK trong lưu lượng mạng thực tế, bộ lưu lượng lành tính CAIDA 2013 [107] được phân tích và cho kết quả thống kê CDF như trong Hình 2.11. Kết quả thống kê cho thấy, gần 99% kết nối TCP trong lưu lượng mạng thực tế có gói tin CliACK đến sau gói tin SYN trong vịng 2s. Do đó thiết lập thời gian chờ q lớn là khơng cần thiết.
Giá trị thời gian chờ cao sẽ đảm bảo cho kết nối được thành cơng khi độ trễ gói tin đường truyền lớn, tuy nhiên điều này tạo cơ hội cho sự chiếm dụng tài ngun vơ ích trên máy chủ, nhất là khi tấn công SYN Flood xảy ra. Để cân bằng giữa hai yếu tố này, giải pháp SSP đưa ra cơ chế điều chỉnh thời gian chờ theo số lượng kết nối đến máy chủ theo công thức:
𝑡𝑡= � 𝑇𝑇1, 𝑛𝑛 ≤ 𝐹𝐹
𝑇𝑇2+ (𝑇𝑇1− 𝑇𝑇2)𝑒𝑒−𝑘𝑘𝑛𝑛−𝑁𝑁𝑁𝑁 , 𝑛𝑛 > 𝐹𝐹 (2.12) trong đó:
• n là số lượng kết nối TCP dang dở đang tồn tại tới máy chủ đích,
• N là số kết nối TCP đang mở trung bình mà một máy chủ phải xử lý trong điều kiện
bình thường. Trên thực tế giá trị N phụ thuộc vào đặc điểm, tính chất dịch vụ trong mỗi máy chủ,
• 𝑇𝑇1 là thời gian chờ lớn nhất,
• 𝑇𝑇2 là thời gian chờ nhỏ nhất,
• k là hệ số hiệu chỉnh.
Biểu đồ trong Hình 2.12 mơ tả sự thay đổi thời gian chờ t theo số lượng yêu cầu kết nối tới máy chủ n. Nếu số lượng yêu cầu kết nối n nhỏ hơn ngưỡng N, giá trị t được chọn bằng 𝑇𝑇1 –
thường được chọn bằng giá trị TIME_WAIT được sử dụng bởi máy chủ. Nếu n vượt quá N,
SPM điều chỉnh giảm giá trị t tương ứng với phần vượt quá giữa n so với N. Khi đạt đến giá trị thời gian chờ t, mặc dù chưa hết thời gian TIME_WAIT, SPM chủ động gửi gói tin CliACK giả để hồn tất q trình bắt tay ba bước trên máy chủ và sau đó gửi gói tin RST để kết thúc kết nối. Nhờ đó, số lượng kết nối dang dở HOC trên máy chủ được giảm xuống, tài nguyên bộ nhớ được giải phóng, phục vụ cho các yêu cầu kết nối tiếp theo.
Hình 2.11. Thống kê CDF khoảng thời gian giữa gói tin SYN và gói tin CliACK của lưu lượng mạng thực tế