Giao thức lan tỏa ngược là hệ thống phòng thủ chống lại các cuộc tấn công DDos theo phương án phản ứng lại và kết hợp nhiều vị trí.
Giao thức ‘Lan tỏa ngược’ dựa trên 3 nguyên tắc để ngăn chặn các cuộc tấn công:
+ Sử dụng các bộ lọc trên các router để chặn các gói tin DDos.
+ Dùng cơ chế ‘lan tỏa ngược’ để đẩy nhiệm vụ lọc cho các router gần kẻ tấn công.
+ Sử dụng một số giải thuật để nâng cao hiệu suất và chống lừa dối
4.2 Cơ chế hoạt động của giao thức lan tỏa ngược
Khi nạn nhân có dấu hiệu của sự tấn công từ chối dịch vụ thì trên gateway của nạn nhân sẽ bât bộ lọc và lắng nghe các gói tin tấn công đến từ interface nào. Việc bật bộ lọc sẽ hủy bỏ tất cả các gói tin tấn công còn việc lắng nghe để gửi yêu cầu qua cạc mạng đó sang router hàng xóm để bật bộ lọc và lắng nghe các router liền kề sau. Công việc cứ tiếp tục như vậy cho đến gần nguồn tấn công nhất.
Theo cơ hoạt động như trên thì giao thức lan tỏa ngược luôn truyền ngược lại và do quá trình lắng nghe từ các cạc mạng nên cho dù nguồn tấn công giả mạo địa chỉ IP thì luôn đến đươc gần nguồn tấn công nhất.
Hình 6: Cơ chế hoạt động của lan tỏa ngược
4.2.1 Khởi động
Khi nạn nhân phát hiện tấn công từ chối dịch vụ tiến hành gửi yêu cầu khởi động lan tỏa ngược đến gateway (Victim_GW) với tham số là địa chỉ của mình và địa chỉ
của Agent (a.b.c.d).
4.2.2 Bắt đầu
Sau khi nhân được yêu cầu từ nạn nhân. Victim_GW tiến hành bật bộ lọc để
ngăn chặn các gói tin có địa chỉ nguồn là a.b.c.d trong khoảng thời gian tstart.
4.2.3 Kiểm tra giả mạo
Trong giai đoạn này Victim_GW sẽ tiến hành ping đến địa chỉ a.b.c.d để kiểm tra Agent có giả mạo hay không. Nếu không có thời gian phản hồi chứng tỏ Agent đã giả
mạo địa chỉ IP và chuyển sang “lan tỏa ngược”.
4.2.4 Rút gọn
Đầu tiên, Victim_GW tiến hành tìm kiếm và xác định 2 router gần Agent nhất có thiết lập cơ chế “lan tỏa ngược”. Cơ chế tìm kiếm tại victim như sau: Victim_GW tiến hành gửi các gói tin ICMP tới a.b.c.d. Các router trên đường đi tới A_GW sẽ lần lượt gửi về gói tin ICMP time exceeded. Sau khi nhận được các gói tin trả lời từ các router trên đường đi, Victim_GW tiến hành kết nối tin cậy với A_GW. Sau đó gửi gửi thông
điệp xác nhận xem router đó có hỗ trợ lan tỏa ngược không. Hai router trả lời sớm nhất giả sửở đây là X và Y.
Router X và Y sau khi nhận được yêu cầu xác nhận từ Victim_GW sẽ tiến hành xác nhận lại Victim_GW. Ởđây có hai trường hợp xảy ra:
Trường hợp thứ nhất nếu Victim có địa chỉ trùng với Victim_GW thì bỏ qua bước này vì đã xác nhận được chính xác Victim là người yêu cầu.
Trường hợp thứ hai nếu Victim và Victim_GW có địa chỉ khác nhau thì router X và router Y sẽ kiểm tra Victim_GW có đứng kề trước Victim trên đường đi hay không. Giải thuật cho cách kiểm tra này là: Router X và Router Y tiến hành ping đến Victim với tham số TTL là h+1 và h, với h là số hops từ Vimtim_GW đến router tương ứng
Nếu router không nhận được trả lời hợp lệ từ Victim và Victim_GW thì sẽ gửi thông báo từ chối và ngắt kết nối tới Victim _GW. Giải thuật kết thúc. Nếu tất cả đều hợp lệ thì routerX, routerY và Victim_GW đã tin tưởng lẫn nhau, kết nối tin cậy để
thực hiện tiếpngăn chặn.
4.2.5 Ngăn chặn
Sau khi đã kết nối tin cậy với router X và router Y, Victim _GW yêu cầu router Y đặt bộ lọc trong khoảng thời gian tY và gửi lưu lượng DDos R1 từ a.b.c.d nhận được. Victim _GW thiết lập kết nối tin cậy với Router X. Yêu cầu đặt file shadowX để
giám sát luồng Ddos từ a.b.c.d trong khoảng thời gian ∆t, sau đó ngắt kết nối với RouterX.
Nếu trong khoảng thời gian ∆t vẫn thấy có lưu lượng Ddos từ cạc mạng kết nối với router Y, chứng tỏ router không đặt bộ lọc. Tiến hành đặt bộ lọc với thời gian tlong.
RouterY sau khi đặt FilterY với thời gian tY, vừa ngăn chặn lưu lượng DDos, (adsbygoogle = window.adsbygoogle || []).push({});
đồng thời sẽ theo dõi lưu lượng gói tin R2 request từ a.b.c.d đến nạn nhân qua mình. Nếu R1 lớn hơn R2 rất nhiều tức là Agent đã mạo danh địa chỉ a.b.c.d. RouterY hủy bộ lọc, sau đó gửi R2 cho Victim _GW. Victim _GW nhận được, so sánh với R1 rồi ngắt kết nối với RouterY, thực hiện lan tỏa ngược.
Nếu R1 xấp xỉ bằng R2 có nghĩa a.b.c.d đúng là địa chỉ của Agent đang tấn công, RouterY thông báo lại với Victim _GW, Victim _GW xác nhận lại rồi ngắt kết nối.
Hình 7: Ngăn chặn Ddos 4.2.6 Lan tỏa ngược
Trong quá trình này Victim _GW đặt bộ lọc với thời gian tstart, sau đó gửi yêu cầu thiết lập bộ lọc qua các router hàng xóm với cạc mạng mà nó nhận được gói tin Ddos.
Router hàng xóm sau khi nhận được yêu cầu, lập bộ lọc với thời gian ttmp và tiến hành gửi yêu cầu thiết lập bộ lọc tới router kề sau.Trong trường hợp nếu router đang
đặt bộ lọc và vẫn nhận được yêu cầu đặt bộ lọc tương tự thì sẽ khởi động lại thời gian của bộ lọc đã đặt
Trong khoảng thời gian đặt bộ lọc ttmp, router sau khi đã gửi yêu cầu lập bộ lọc tới các router hàng xóm mà vẫn thấy còn lưu lượng DDos từ phía các router này, tiến hành gửi 3 lần yêu cầu lập bộ lọc cho router hàng xóm kết nối với cạc mạng đó. Nếu sau 3 lần gửi mà lưu lượng DDos vẫn không giảm thì có nghĩa là router hàng xóm không đặt bộ lọc, và router này sẽ tự động lập bộ lọc với thời gian tlong. Kết thúc giải thuật.
Sau khi hết thời gian đặt bộ lọc, các router tạo file shadow để giám sát các router hàng xóm sau nó.Trong khoảng thời gian này mà vẫn thấy có lưu lượng Ddos thì sẽ
bật lại bộ lọc với thời gian tlong.Giải thuật kết thúc.
Khi quá trình lan tỏa ngược đến router gần Agent nhất (A_GW), xảy ra khi IP của router hàng xóm trùng với IP Agent, router lập bộ lọc có thời gian tlong >> ttmp. Giải thuật kết thúc.