2.3. Giải pháp giảm thiểu tấn công SYN Flood dựa trên cơ chế ủy nhiệm gói tin SYN tại bộ điều
2.3.2. Kiến trúc hệ thống đề xuất
Dựa trên kiến trúc chung trong Hình 1.9 kiến trúc hệ thống SSP được mơ tả như trong Hình 2.6. Giải pháp được áp dụng cho hệ thống mạng quy mô nhỏ SOHO kết nối với Internet qua một gateway qua bộ chuyển mạch biên Openflow. Trên OFS, số hiệu cổng kết nối với Internet được xác định rõ để phân biệt với các cổng kết nối tới các máy chủ dịch vụ bên trong mạng nội bộ.
Lợi dụng khả năng so khớp với các trường Flags quy định trong Openflow 1.5 [20], bộ chuyển mạch OFS tổ chức các mục luồng để Giám sát quá trình bắt tay ba bước (3HS) của các yêu cầu kết nối SYN từ máy khách trên Internet. Khi quá trình bắt tay ba bước thực hiện thành công, Kết hợp luồng TCP cho kết nối thực hiện trực tiếp giữa máy khách và máy chủ nội bộ.
Các quá trình trên được điều khiển bởi module SPM chạy trên Bộ điều khiển. Với mỗi gói tin yêu cầu kết nối SYN đến từ Internet, SPM cài đặt các mục luồng trên OFS để giám sát quá trình bắt tay ba bước, đồng thời Giám sát luồng bằng cách đưa thông tin vào bảng FMT. Dựa trên kết quả giám sát quá trình bắt tay ba bước, SPM thực hiện Chính sách xử lý tương ứng. Nếu q trình 3HS thành cơng, SPM cấu hình OFS để thực hiện Kết hợp mục luồng TCP.
Ngược lại, SPM thực hiện hủy các mục luồng và kết nối TCP dang dở trên máy chủ. Chi tiết hoạt động của giải pháp được trình bày trong các phần tiếp theo.
Hình 2.6. Kiến trúc hệ thống giải pháp Ủy nhiệm gói tin SYN trên Bộ điều khiển SSP