2.3. Giải pháp giảm thiểu tấn công SYN Flood dựa trên cơ chế ủy nhiệm gói tin SYN tại bộ điều
2.3.3. Lựa chọn mơ hình ủy nhiệm gói tin SYN
Ủy nhiệm gói tin SYN (SYN proxy) là giải pháp phòng chống tấn công TCP SYN DoS/DDoS [18] trong đó một thiết bị trung gian được đặt ở giữa hai thực thể đầu cuối kết nối TCP làm nhiệm vụ giám sát q trình 3HS. Nếu q trình này thành cơng, kết nối này sẽ được duy trì giữa hai thực thể để trao đổi dữ liệu. Ngược lại, SYN proxy sẽ ngăn cản việc thiết lập kết nối hoặc hủy kết nối dang dở đã mở tạo ra trên máy chủ đích để giải phóng tài nguyên. Có 2 loại SYN proxy: giả gói tin SYN-ACK và giả gói tin ACK. Hình 2.7 mơ tả chi tiết quá trình xử lý kết nối TCP giữa hai thực thể máy chủ (Server) và máy khách (Client) của hai loại SYN proxy trong cả hai trường hợp các gói tin yêu cầu kết nối SYN đến là lành tính và tấn cơng.
- Proxy giả gói tin SYN-ACK: Proxy đóng giả vai trị của trạm đích (Server) để đảm bảo
chắc chắn kết nối từ một trạm có thật, khơng giả mạo địa chỉ IP rồi mới tạo kết nối thực sự với trạm đích. Khi trao đổi dữ liệu, proxy đứng giữa thực hiện chuyển đổi gói tin giữa trạm nguồn (Client) và trạm đích, cụ thể là chuyển đổi cặp giá trị SEQ_Num và ACK_Num trong các gói tin theo hai chiều. Ưu điểm của proxy loại này là gói tin tấn cơng giả mạo địa chỉ IP khơng bị gửi tới Server do đó Server được bảo vệ hồn tồn. Tuy nhiên, nó có nhược điểm là proxy phải xử lý nhiều và kết nối TCP bị chia cắt do đó một số chức năng trong giao thức TCP có thể bị vơ hiệu hóa trong q trình khởi tạo phiên kết nối.
- Proxy giả gói tin ACK: Khác với loại trên, proxy loại này chuyển gói tin SYN đến trạm
đích như bình thường và giám sát q trình bắt tay ba bước của nó. Nếu trong một khoảng thời gian chờ xác định trước, nếu proxy khơng nhận được gói tin CliACK tương ứng được xác nhận, nó cho rằng đó là gói tin SYN tấn cơng và đóng giả trạm nguồn, tạo một gói tin CliACK giả tương ứng gửi tới trạm đích để xác nhận kết nối và đồng thời ngay sau đó, tạo một gói tin RST giả mạo để reset kết nối, giải phóng tài nguyên cho trạm đích. Ưu điểm của loại proxy này là
khơng can thiệp vào q trình trao đổi gói tin giữa trạm nguồn và trạm đích. Tuy nhiên, nhược điểm là gói tin tấn cơng vẫn tiếp cận tới trạm đích, proxy chỉ đóng vai trị giảm thiểu sự ảnh hưởng đó mà thơi.
Hình 2.7. Nguyên lý hoạt động của hai loại SYN proxy
Do thực hiện ủy nhiệm tại Bộ điều khiển, giải pháp SSP lựa chọn mơ hình ủy nhiệm gói tin SYN loại proxy giả gói tin ACK để giảm bớt xử lý tại Bộ điều khiển, đồng thời giảm lưu lượng trao đổi gói tin trên giao diện Openflow.