Dựa theo cơ chế hợp tác với các đối tượng khác, có thể phân chia theo các mục: tự động, cùng hoạt động, hoạt động liên tác.
Tự động – CD-1:
Các cơ chế tự động – Firewall, IPS, có khả năng tự xử lý các trường hợp rõ ràng, đã được xác định. Cơ chế này có thể được triển khai tập trung tại điểm kết nối ra bên ngoài hoặc được triển khai phân tán theo nhiều điểm trong hệ thống.
Cùng hoạt động – CD-2:
Cơ chế này bao gồm một phần tự động tương tự như CD-1 nhưng bên cạnh đó, khi cần, có thể phối hợp, trao đổi dữ liệu với những thực thể khác, cho phép tạo ra hiệu quả hoạt động tốt hơn. Hệ thống điều khiển tắc nghẽn sử dụng cơ chế thông báo ngược [10] để chống lại tắc nghẽn gây ra do DDoS. Router của nhà cung cấp dịch vụ sẽ kiểm soát các tắc nghẽn xảy ra và thông báo với Router của ISP để phối hợp thực hiện.
Cơ chế hoạt động liên tác: CD-3
Hoạt động liên tác nhằm phối hợp hoạt động của nhiều thiết bị được triển khai tại nhiều điểm phân tán. Trong các mô hình này [2] để thu thập được các thông tin dò tìm ngược, các phần tử kết nối ( router ) phải gửi những bản tin đặc biệt để thông báo cho nhau về đường đi có thể có.
Phân loại theo nơi triển khai – Deployment Location
Dựa theo nơi triển khai, có các loại cơ chế: Triển khai tại nơi bị tấn công, triển khai tại điểm trung gian, triển khai gần với nguồn tấn công.
Triển khai tại nơi bị tấn công: DL-1
Thiết bị, cơ chế bảo vệ chống DDoS được triển khai tại hệ thống chịu sự tấn công. Phần lớn các thiết bị hiện nay là được triển khai theo cơ chế này. Tại phía bị tấn công, tác động của DDoS là rõ ràng nhất, có thể thấy ngay được và một yếu tố khác là chi phí để triển khai là chấp nhận được đối với người dùng.
Triển khai tại vùng trung gian: DL-2
Mục tiêu là xây dựng một hạ tầng chống DDoS dùng chung. Để triển khai được, cần phải có sự hợp tác thông nhất từ rất nhiều nhà cung cấp. Các kỹ thuật traceback là ví dụ điển hình cho việc triển khai tại vùng trung gian.
Triển khai tại phía gần nguồn tấn công: DL-3
Mục tiêu là triển khai hệ thống nhằm ngăn chặn tại gốc các cuộc tấn công DOS. Tùy từng trường hợp, hệ thống mạng được coi là mạng nguồn DoS cũng có thể bị DoS. Tuy nhiên, khái niệm này còn chưa được rõ ràng nên hầu như không có hệ thống nào được xây dựng như vậy và khả thi.
2.3 Kết luận
Hệ thống phân lại trên đây đã đưa ra những loại hình phân loại khác nhau dựa theo những tiêu chí về: Mức độ tự động trong tấn công, lợi dụng lỗ hổng để tấn công, tính xác thực của địa chỉ nguồn, cường độ tấn công, khả năng xác định thông tin, độ ổn định của tập công cụ tấn công, dạng mục tiêu và những tác động có thể tới dịch vụ bị tấn công. Dựa theo các cách phân loại trên có thể thấy được sự phức tạp của các loại hình tấn công DDoS. Để có thể phát hiện, phòng chống được các cuộc tấn công DDoS, cần có những phương thức thích hợp cho hầu hết các tình huống phổ biến. Một trong những hướng được sử dụng gần đây là phát hiện tấn công qua các tri thức về thống kê hoạt động của hệ thống, phát hiện những bất thường của hệ thống. Do đặc tính thường gặp của tấn công từ chối dịch vụ là sử dụng địa chỉ IP giả mạo nên có thể dựa vào những thông tin về địa chỉ nguồn của các gói tin tấn công để phát hiện cũng như phòng chống.
Chương 3 Tri thức hỗ trợ phát hiện tấn công DoS nhờ mô hình thống kê
Phát hiện tấn công DDoS sử dụng phương thức thống kê là một trong những hướng nghiên cứu chính về phát hiê ̣n tấn công DDoS . Do tính chất của các gói tin tấn công DDoS là có tính ngẫu nhiên , số lượng lớn nên cách thống kê , phân tích các đă ̣c điểm chung của luồng tin sẽ cung cấp được những đă ̣c trưng của luồng tin. Dựa vào những đă ̣c điểm về cấu trúc gói tin , phân bố của đi ̣a c hỉ nguồn, đă ̣c điểm của kết nối, ta có thể tìm được những tính chất chung của mô ̣t da ̣ng tấn công DDoS hoă ̣c phát hiện sự bất thường khi xảy ra tấn công.