Do thực hiện ủy nhiệm tại Bộ điều khiển, giải pháp SSP lựa chọn mơ hình ủy nhiệm gói tin SYN loại proxy giả gói tin ACK để giảm bớt xử lý tại Bộ điều khiển, đồng thời giảm lưu lượng trao đổi gói tin trên giao diện Openflow.
2.3.4. Hoạt động của hệ thống SSP
Cơ sở khoa học của giải pháp SSP là dựa trên cơ chế xử lý gói tin của Openflow và khả năng so khớp với các trường Flags của gói tin TCP, hệ thống thực hiện giám sát quá trình bắt tay ba bước trên Bộ điều khiển. Khi một kết nối TCP hồn thành q trình bắt tay ba bước, kết nối được gộp chung luồng; ngược lại khi quá một thời gian giám sát cho trước, kết nối dang dở trên máy chủ sẽ được chủ động xóa bỏ, giảm ảnh hưởng của tấn công SYN flood trên máy chủ. Do thời gian thực hiện quá trình bắt tay ba bước rất nhỏ so với thời gian tồn tại của mục luồng, đồng thời SSP thực hiện điều chỉnh thời gian chờ theo số kết nối dang dở trên máy chủ nên giảm thiểu sự chiếm dụng tài nguyên trên bộ chuyển mạch. Q trình xử lý gói tin SYN cho một kết nối TCP trong hệ thống SSP được mô tả trong Hình 2.8.
• Khi nhận được một gói tin SYN đến, OFS capture gói tin SYN (Bước 1) và chuyển tới Máy chủ đích (Bước 2). Khi tấn cơng ở cường độ cao, số lượng gói tin SYN đến vượt quá khả năng xử lý của hệ thống, gói tin SYN có thể bị xóa bỏ.
• Bộ chuyển mạch capture gói tin SYN-ACK trả lời từ phía máy chủ (Bước 3), gửi gói tin này tới máy khách (Bước 4), đồng thời tới SPM trên Bộ điều khiển (Bước 4’).
• SPM cài đặt một mục luồng để capture gói tin CliACK tương ứng (Bước 5).
• Khi máy khách gửi gói tin xác nhận CliACK (Bước 6), nó sẽ được capture bởi OFS và gửi tới SPM (Bước 7).