Trong trường hợp chống lại tấn công DDoS, giả thiết là chỉ áp dụng van điều tiết khi :
- Có hiện tượng tấn công, phát hiện qua sự thay đổi Entropy.
Đề xuất cho mô hình Williamson áp dụng trên thiết bị mạng như sau: - Thiết lập tập danh sách làm việc là 10 kết nối.
- Thời gian chờ tối thiểu là 10s và thời gian timeout tối đa là 75s.
Thay vì xử lý cho các kết nối đích xuất phát từ máy trạm trong mạng nội bộ, sẽ xử lý như sau:
- Với mỗi IP máy chủ dịch vụ, duy trì một tập các IP hiện được kết nối đến, ví dụ là 100.
- Với mỗi IP này, duy trì một chỉ số các kết nối hiện có, giả sử là n. - Nếu kết nối tiếp theo đến từ IP X (gói tin SYN) trong tập danh sách
theo dõi thì sẽ kiểm tra số lượng kết nối hiện có. Nếu là số lượng < n thì cho phép kết nối. Nếu là kết nối thứ n + 1 thì đưa vào danh sách “chờ”.
- Với mỗi kết nối được thêm vào thì tăng thêm thời gian chờ lên một khoảng là β. Với điều kiện là n + β < 75s.
- Khi có một gói tin RST từ danh sách IP nguồn, giảm số kết nối đi 1. Đối với danh sách chờ:
- Nếu kết nối có thời gian lưu trong hàng đợi nhỏ hơn thời gian chờ thì tiếp tục chờ.
- Nếu kết nối đã hết thời gian chờ thì được lấy ra để xử lý và tăng chỉ số kết nối lên 1.
- Nếu thời gian chờ > 75s thì hủy kết nối.
Sau khi đợt tấn công kết thúc, cơ chế “Van điều tiết” sẽ được tắt, hệ thống trở lại trạng thái bình thường.
Chương 4 Thiết kế mô hình hệ thống phát hiện và chống lại tấn công DDoS