CHƯƠNG 2 PHÁT HIỆN VÀ PHÒNG CHỐNG TẤN CÔNG TCP SYNFLOOD
2.3. Mơ hình triển khai phương pháp phát hiện và phịng chống tấn cơng TCP SynFlood
2.3.2. Nguyên lý hoạt động cơ bản
Khi hệ thống hoạt động ở trạng thái bình thường (khơng bị tấn công), hệ thống DDoS- Defence sẽ theo dõi thụ động kết nối mạng để xây dựng danh sách các địa chỉ IP nguồn thường xuyên kết nối vào hệ thống (IP white-list). Danh sách IP white-list được xây dựng dựa vào các tiêu chí khác nhau để đảm bảo không để tin tặc không thể đưa các địa chỉ IP độc
hại vào danh sách này (chi tiết được trình bày trong mục 3.5.5). Khi có tấn cơng xảy ra, danh sách IP white-list sẽ được gửi đến các thiết bị mạng để cho phép IP trong danh sách này được ưu tiên kết nối vào hệ thống cần bảo vệ. Các IP không nằm trong IP white-list sẽ phải xác minh tính hợp lệ, trước khi cho kết nối vào hệ thống thông qua cơ chế xác minh địa chỉ IP nguồn. Khi đó, hệ thống DDoS-Defence sẽ đại diện máy chủ đang bị tấn cơng, gửi gói tin SYN, ACK về IP nguồn để xác minh. Nếu hệ thống DDoS-Defence nhận được gói tin ACK từ IP nguồn đó thì IP đó sẽ được đưa vào danh sách IP white-list (chi tiết tại mục 2.5.4). Để thực hiện chức năng phát hiện tấn công, hệ thống DDoS-Defence cũng thu thập thơng tin về tần suất nhận được gói tin TCP có cờ trạng thái là Reset (đây là gói tin có đặc trưng riêng để phát hiện tấn cơng TCP Syn Flood). Một ngưỡng được thiết lập dựa vào tần suất gói tin Reset gửi đến hệ thống, ngưỡng này được sử dụng để phát hiện khi nào tấn công TCP Syn Flood xảy ra. Ngưỡng này cũng được cập nhật động theo trạng thái thực của hệ thống theo thời gian.
Khi phát hiện tấn cơng DDoS xảy ra (tần suất gửi các gói tin TCP Reset vượt quá ngưỡng) thì chức năng phát hiện và loại bỏ gói tin giả mạo sẽ được kích hoạt để chặn các gói tin tấn cơng gửi đến hệ thống cần bảo vệ. Các chức năng của hệ thống DDoS-Defence sẽ được trình bày cụ thể ở các phần dưới đây.