Dựa trên cơ chế hoạt động của hệ thống, ta có hoạt động theo cơ chế Bảo vệ hoặc cơ chế Phản ứng lại.
AL-1: Bảo vệ - Preventive
Theo mục tiêu bảo vệ hệ thống ta có
AL-1:PG
Những hệ thống hoạt động theo cơ chế bảo vệ là những hệ thống sẽ loại bỏ các hoạt động tấn công DDoS, giúp cho hệ thống duy trì khả năng cung cấp dịch vụ tới người sử dụng.
Phương thức này nhằm vào việc bảo mật hệ thống, sửa các lỗi để tránh bị lợi dụng làm máy công cụ DDoS hoặc bị DDoS. Như đã nói, một hệ thống đơn lẻ tập trung vào giữ an toàn cho bản thân thì cũng không thể cải thiện được nhiều hơn nếu các hệ thống xung quanh không an toàn. Tuy nhiên, làm tốt việc tự bảo vệ cũng đã góp phần đáng kể vào việc chống lại DDoS.
AL-1:PG-1:ST Bảo vệ mục tiêu
Trong bảo vệ mục tiêu, ta có bảo vệ hệ thống, bảo vệ giao thức.
AL-1:PG-1:ST-1: Bảo vệ hệ thống
Mỗi một hệ thống an toàn là góp phần tăng thêm độ an toàn cho Internet. Các vấn đề cần phải thực hiện là : chống lại các truy cập bất hợp pháp, sửa các lỗi ứng dụng đã được công bố, cập nhật các lỗi giao thức để tránh bị lợi dung. Bản thân việc bảo vệ hệ thống cũng đã giúp người dùng tránh khỏi bị nhiễm virus, mất dữ liệu, lộ thông tin. Hiện tại có rất nhiều hệ thống tập trung vào việc theo dõi truy cập vào máy tính, download bản sửa lỗi và cập nhật hệ thống, theo dõi xâm nhập trái phép, phát hiện và chống phát tán sâu.
AL-1:PG-1:ST-2 Bảo vệ giao thức
Có rất nhiều giao thức mắc lỗi khi thiết kế và thường bị lợi dụng để tấn công DDoS. Điển hình là giao thức TCP với dạng tấn công TCP SYN. Hoặc có thể kể đến tấn công vào các máy chủ chứng thực, tấn công bằng các gói phân mảnh, giả mạo địa chỉ IP. Một số nghiên cứu đã được thực hiện để tăng cường khả năng bảo vệ:
Chỉ cấp tài nguyên kết nối cho client khi đã tiến hành một số bước chứng thực.
Sử dụng cơ chế TCP SYN cookies.
Sử dụng những cơ chế chuẩn hóa giao thức để làm sạch các luồng gói tin.
AL-1:PG-2: Chống lại tấn công DoS
Mục tiêu của biện pháp này là chống lại những gói tin tấn công DoS nhưng vẫn duy trì được dịch vụ cung cấp cho khách hàng. Để làm được điều này, cần có những
biện pháp tránh thất thoát tài nguyên cho những kết nối DoS. Có hai phương thức: điều tiết cấp phát tài nguyên và dự phòng tài nguyên
Al-1:PG-2:PM-1: Điều tiết tài nguyên
Mỗi một kết nối đến dịch vụ sẽ được cấp phát tài nguyên dựa trên những tiêu chuẩn ưu tiên nhất định đối với người dùng và cách thức truy cập của người dùng. Đối tượng người dùng ở đây có thể hiểu là một tiến trình, một người sử dụng, địa chỉ IP hoặc nhóm địa chỉ IP có cùng những đặc điểm mô tả. Đã có những nghiên cứu nhằm vào việc định danh người dùng, quy định những hành vi của người dùng cần thực hiện để có thể truy cập dịch vụ.
AL-1:PG2:PM-2 Dự phòng tài nguyên
Một trong những phương án đơn giản nhất nhưng cũng là tốn kém nhất là dự phòng tài nguyên để sao cho hệ thống có thể chịu đựng được mọi cuộc tấn công DoS với thời gian càng lâu càng tốt. Tuy nhiên, việc xác định được bao nhiêu tài nguyên là đủ lại không phải là việc dễ dàng. Có rất nhiều yếu tố liên quan đến chất lượng dịch vụ: số lượng máy chủ, thiết kế kết nối, băng thông đường truyền, hiệu năng của ứng dụng, mức độ phổ biến của dịch vụ. Để xác định được mọi thông số liên quan cần rất nhiều thời gian. Do vậy, người ta thường sử dụng các biện pháp:
Sử dụng các máy chủ kết nối thành cụm và phân tải theo khu vực Sử dụng nhiều đường truyền để phân tải chịu lỗi
Thiết kế ứng dụng theo mô hình nhiều lớp và sử dụng các bộ đệm.
Phân loại theo cớ chể phản ứng lại – Reactive AL -2
Theo cơ chế bảo vệ này, các tác động của tấn công DoS sẽ bị làm giảm bớt tác động. Để làm được việc này, cần phải phát hiện tấn công và phân loại theo từng trường hợp để xử lý. Phát hiện tấn công càng sớm càng tốt. Phân loại tấn công càng nhanh càng tốt.
Cách phát hiện tấn công – Attack Detection Strategy AL-2:ADS
Theo cách phát hiện tấn công, ta có các cách: nhận dạng mẫu, nhận dạng các bất thường và phát hiện dựa vào bên ngoài
Nhận dạng mẫu – AL-2:ADS-1
Cơ chế nhận dạng mẫu hoạt động theo nguyên tắc phát hiện các chữ ký. Mỗi loại tấn công đều có các đặc điểm riêng về gói tin sử dụng, trật tự tiến hành, đối tượng, phương thức tiến hành. Cơ chế nhận dạng mẫu sẽ cố gắng dựa theo các mẫu đã biết và nhận dạng các luồng tin để phát hiện tấn công. Hạn chế của cơ chế này dễ thấy là phụ thuộc dữ liệu đã có. Khả năng nhận biết tấn công tỉ lệ với khối lượng dữ liệu mẫu có được. Cơ chế này hoạt động tương tự như cơ chế chống virus truyền thống. Khi có một dạng tấn công mới, chưa có chữ ký nhận dạng thì hệ thống không thể phát hiện ra. Một trong những hệ thống được sử dụng rộng rãi là Snort[20].
Nhận dạng các bất thường – Anomaly Detection AL-2:ADS-2
Trong cơ chế này, mô hình hoạt động của hệ thống sẽ được mô phỏng lại, biểu diễn bằng một mô hình toán học. Các mô hình thường được quan tâm:
Lưu lượng truyền thông qua hệ thống
Số lượng và dạng thức các kết nối truy cập dịch vụ Hiệu năng của hệ thống theo những điều kiện cụ thể.
Dựa trên mô hình cơ bản, hệ thống sẽ liên tục thu thập trạng thái và so sánh với những mô hình cơ bản. Nếu sự khác nhau vượt quá ngưỡng cho phép thì có thể kết luận là có xảy ra tấn công DoS.
Ưu điểm của cơ chế bất thường là có thể phát hiện được những tấn công chưa biết. Tuy nhiên, do nguyên tắc hoạt động là phỏng đoán nên sự cảnh báo sai là điều có thể xảy ra. Do việc thu thập mô hình chiếm rất nhiều tài nguyên và thời gian xử lý nên cần phải có sự cân bằng giữa tính chính xác và thời gian đưa ra phán đoán[46,47].
Trong việc mô hình hóa hoạt động của hệ thống, người ta chia làm 2 cơ chế: mô hình hóa theo tiêu chuẩn và mô hình hóa theo dạng huấn luyện.
Mô hình hóa theo các tiêu chuẩn – AL-2:ADS-2:NBS-1
Tiêu chuẩn quy định hoạt động thông thường của từng hệ thống thường được căn cứ trên những giao thức hoặc tập hợp các giao thức. Tùy theo từng giao thức, cơ chế sẽ kiểm soát liên tục các thủ tục trao đổi gói tin và ngăn chặn những dạng tấn công lợi dụng lỗ hổng giao thức. Ví dụ đối với tấn công TCP SYN, sau khi nhận được gói tin SYN, nếu không có gói tin FIN hoặc RST để kết thúc quá trình gửi nhận thì có thể giả thiết đó là tấn công DoS.
Mô hình hóa theo dạng huấn luyện : AL-2:ADS-2:NBS-2
Cơ chế huấn luyện sẽ theo dõi các hoạt động ở mức căn bản của hệ thống mạng, trong những điều kiện thông thường, không có ngoại lệ đặc biệt. Dựa vào các mức ngưỡng hoạt động đó, xác định ra các ngưỡng cảnh báo cho các biến số mô hình. Mọi hoạt động truyền tin trên hệ thống, nếu vượt quá các ngưỡng thì sẽ bị coi là các bất thường. Mô hình này cho phép phản ứng lại với mọi dạng thức tấn công đã biết và chưa biết. Nhưng có một số hạn chế nhất định. Thứ nhất, ngưỡng cảnh báo đặt ở mức độ nào là hợp lý. Ngưỡng cảnh báo đặt quá thấp sẽ gây ra hiện tượng “dương tính giả” – false possitive, ngưỡng cảnh báo đặt quá cao thì sẽ giảm mức độ “nhảy cảm” của hệ thống. Thứ hai là vấn đề cập nhật các thông số cho mô hình. Hệ thống mạng là một thực thể phát triển liên tục thay đổi theo thời gian. Hệ thống mô hình hóa cần phải được cập nhật các thông số liên tục để có thể phản ánh đúng thực trạng.
Phát hiện dựa vào bên ngoài: AL-2:ADS-3
Cơ chế này dựa vào những bộ cảm ứng, phát hiện tấn công được đặt độc lập với hệ thống. Khi phát hiện tấn công, bộ cảm ứng sẽ gửi tín hiệu đến hệ thống bảo vệ và kích hoạt quá trình phản ứng lại tấn công[24]
Phản ứng lại tấn công DoS: AL-2:ARS
Mục tiêu của cơ chế phản ứng lại tấn công là giảm thiểu tác động của DoS lên nạn nhân và vẫn duy trì được dịch vụ cung cấp cho khách hàng. Tùy theo phương thức hoạt động, người ta chia ra : nhận dạng đối tượng gây ra DoS, hạn chế tần xuất truy cập, lọc gói, cấu hình lại hệ thống.
Nhận dạng đối tượng: AL-2:ARS-1
Khi xảy ra tấn công DoS, hệ thống sẽ cố gắng nhận dạng đối tượng đang tham gia tấn công – các máy công cụ. Nhận dạng ở đây có thể hiểu: xác định địa chỉ IP, hệ điều hành đang sử dụng, tên miền, nhà cung cấp địa chỉ IP… Các thông tin này sẽ được xử lý (tự động/thủ công) để làm giảm, hạn chế tấn công từ các máy công cụ. Để nhận dạng được nguồn tấn công, người ta thường sử dụng các kỹ thuật traceback[54,56].
Hạn chế tần xuất truy cập: AL-2:ARS-2
Các gói tin bị nhận dạng là gói tin tấn công sẽ bị áp đặt cơ chế điều khiển tần xuất truy cập. Tương tự như việc hạn chế gửi spam mail, chỉ cho phép gửi liên tục, ví dụ 50 email, nếu lớn hơn thì thời gian gửi liên tiếp 2 email sẽ bị tăng lên và cộng dồn. Hạn chế của phương pháp này là các gói tin tấn công vẫn được cho qua dù với tần xuất thấp. Nếu kẻ tấn công gửi với số lượng đủ lớn thì vẫn có thể tạo nên DoS [9].
Lọc gói: AL-2:ARS-3
Sử dụng cơ chế nhận dạng gói tin và loại bỏ các gói tin này. Cơ chế này đòi hỏi việc nhận dạng phải thật chính xác và nhanh chóng.
Cấu hình lại hệ thống: AL-2:ARS-4
Hệ thống cung cấp dịch vụ được triển khai khác với những mô hình truyền thống. Các thiết kế hướng đến khả năng điều khiển tác vụ cung cấp tài nguyên, chịu lỗi và hiệu suất sử dụng cao[32].