Kết quả của phương pháp RWDA được chỉ ra trực quan tại hình 4.5, 4.6 và 4.7 tương ứng với các tham số tấn công thay đổi.
Ở đây chúng ta có thể so sánh kết quả của phương pháp RWDA với phương pháp RED, WDA gốc, WDA Advance cũng như đối với RRED.
Có thể thấy phương pháp RED và WDA gốc cho kết quả tồi nhất, thông lượng mạng bị suy giảm rất mạnh, do hai phương pháp này đều không có cơ chế nào để chống lại tấn công từ chối dịch vụ tốc độ thấp.
WDA Advance cho kết quả khả quan hơn khi sử dụng cơ chế ưu tiên cho gói tin đầu tiên sau khi tắc nghẽn, giúp các luồng có thể hồi phục lại sau khi bị tấn công làm tắc nghẽn và phải truyền lại gói tin, trở về trạng thái khởi đầu chậm bắt đầu với 1 gói tin duy nhất.
Với phương pháp RRED, kết quả cho thấy đây là phương pháp rất tốt, với thông lượng suy giảm của mạng không vượt quá 3% so với khi không có tấn công. Điều này cho thấy cơ chế phát hiện và chống lại lưu lượng tấn công rất tốt của RRED khi sử
dụng khoảng thời gian nhỏ [𝑇max, 𝑇max + 𝑇*] để phân biệt gói tin tấn công so với gói tin hợp lệ của người dùng bình thường.
Với đề xuất sử dụng RWDA, có thể thấy thông lượng các truy cập hợp lệ giảm không quá 2% so với khi không bị tấn công. Hơn nữa RWDA luôn cho kết quả tốt hơn RRED trong mọi trường hợp. Điều này có thể được lí giải là do việc RWDA đã kế thừa rất tốt cơ chế phòng chống chủ động, ngăn chặn lưu lượng tấn công của RRED, cũng như cải tiến với việc thêm vào MIN_Q giúp giảm tỉ lệ phát hiện sai lưu lượng tấn công, và việc áp dụng cải tiến của WDA Advance giúp các luồng lưu lượng hợp lệ có thể phục hồi dễ dàng trước tấn công tốc độ thấp, tạo nên một kiến trúc mạnh mẽ, phục vụ tốt lượng lớn người dùng truy cập hợp lệ mà gần như không gây suy giảm lưu lượng mạng hợp lệ của người dùng.
Hình 4.6 RWDA - Mô phỏng tấn công tốc độ thấp với khoảng thời gian burst thay đổi11
KẾT LUẬN
Luận văn của tôi giới thiệu WDA - Web farm DDoS Attack attenuator, một kiến trúc có thể làm suy giảm lưu lượng của các cuộc tấn công từ chối dịch vụ phân tán trên web, đảm bảo phục vụ tốt người dùng trong trường hợp bị tấn công. Phương pháp tỏ ra rất hiệu quả, giúp hạn chế tác động của các cuộc tấn công từ chối dịch vụ. Các mô phỏng thực hiện cho thấy WDA có thể bảo vệ Web farm khỏi các cuộc tấn công từ chối dịch vụ bởi hàng trăm ngàn zombies, trong khi vẫn giữ tỉ lệ suy giảm dịch vụ với người dùng hợp pháp dưới 10%.
Luận văn cũng trình bày các nghiên cứu sâu hơn để cải tiến WDA nhằm chống lại một phương pháp tấn công từ chối dịch vụ đặc biệt- tấn công từ chối dịch vụ tốc độ thấp, giúp bảo vệ thông lượng mạng trong giai đoạn ON – giai đoạn tương tác lưu lượng giao thông giữa người dùng hợp lệ với website, với mục đích bảo vệ lưu lượng mạng hợp pháp khỏi tấn công, giúp thông lượng mạng suy giảm tối thiểu trong các cuộc tấn công tốc độ thấp. Với các cải tiến hợp lí, tỉ lệ suy giảm thông lượng mạng trong khi chịu tấn công từ chối dịch vụ tốc độ thấp không vượt quá 2%, giúp đảm bảo lưu lượng truy cập hợp lệ một cách tối đa.
Đối với WDA, điều tối quan trọng là giá trị của các tham số, trong khi hiện tại mạng internet ngày càng phát triển phức tạp dẫn đến các tham số khó có thể phù hợp cho một tập lớn hoặc toàn bộ các Web farm, do các người dùng có thể có những đặc tính duyệt web nhất định khác nhau tại các trang cụ thể. Từ đó dẫn đến ý tưởng nghiên cứu cho tương lai đó là xây dựng một phương pháp hợp lí để nhà quản trị mạng có thể xác định các tham số của WDA chính xác nhất so với đặc tính của Web farm cụ thể của nhà quản trị.
TÀI LIỆU THAM KHẢO
Tiếng Anh
[1] Arbor Networks: Worldwide ISP Security Report, September 2005, <http://www.arbor.net/downloads/Arbor_Worldwide_ISP_Security_Report.pdf>
[2] A. Kuzmanovic, E.W. Knightly, Low-rate TCP-targeted denial of service attacks: the shrew vs. the mice and elephants, in: SIGCOMM, 2003, pp. 75–86.
[3] A. Kuzmanovic, E.W. Knightly, Low-rate TCP-targeted denial of service attacks and counter strategies, IEEE/ACM Transactions on Networking (TON) Volume 14 Issue 4, August 2006, 683 – 696
[4] R. Mahajan, S.M. Bellovin, S. Floyd, J. Ioannidis, V. Paxson, S. Shenker, Controlling high bandwidth aggregates in the network, Computer Communication Review 32 (3) (2002) 62–73
[5] J. Ioannidis, S.M. Bellovin, Implementing pushback: router-based defense against DDOS attacks, in: NDSS, 2002
[6] J. Mirkovic, G. Prier, P.L. Reiher, Attacking DDOS at the Source, in: ICNP, 2002, pp. 312–321
[7] T.M. Gil, M. Poletter, MULTOPS: a data-structure for bandwidth attack detection, in: Proceedings of USENIX Security Symposium 2001, Washington, DC, August 2001
[8] H. Wang, K.G. Shin, Transport-aware IP routers: a built-in protection mechanism to counter DDOS attacks, IEEE Transactions on Parallel and Distributed Systems 14 (9) (2003) 873–884
[9] R. Thomas, B. Mark, T. Johnson, J. Croall, NetBouncer: client- legitimacy-based high-performance DDOS filtering, in: DISCEX, 2003, pp. 14–25t
[10] A. Mahimkar, J. Dange, V. Shmatikov, H. Vin, Y. Zhang, dFence: transparent network-based denial of service mitigation, in: Fourth USENIX NSDI, Cambridge, MA, April 2007
[11] A. Bremler-Barr, N. Halachmi, H. Levi, Aggressiveness Protective Fair Queueing for Bursty Applications, in: IWQoS, 2006
[12] X. Yang, D. Wetherall, T.E. Anderson, A DOS-limiting network architecture, in: SIGCOMM, 2005, pp. 241–252
[13] A. Yaar, A. Perrig, D.X. Song, SIFF: A stateless Internet flow filter to mitigate DDOS flooding attacks, in: IEEE Symposium on Security and Privacy, 2004, p. 130
[14] X. Wang, M.K. Reiter, Mitigating bandwidth-exhaustion attacks using congestion puzzles, in: ACM Conference on Computer and Communications Security, 2004, pp. 257–267
[15] S. Kandula, D. Katabi, M. Jacob, A. Berger, Botz-4-sale: surviving organized DDOS attacks that mimic flash crowds, in: NSDI, 2005
[16] Y. Kim, W.-C. Lau, M.C. Chuah, H.J. Chao, Packetscore: tatisticalbased overload control against distributed denial-of-service attacks, in: INFOCOM, 2004
[17] Q. Li, E.-C. Chang, M.C. Chan, On the effectiveness of DDOS attacks on statistical filtering, in: INFOCOM, 2005, pp. 1373–1383
[18] V. Sekar, N. Duffield, O. Spatscheck, J. van der Merwe, H. Zhang, LADS: Large-scale Automated DDoS Detection System
[19] R. Vasudevan, Z. Mao, O. Spatscheck, J. van der Merwe, Reval: a tool for real-time evaluation of DDoS mitigation strategies, in: USENIX Technical Conference, 2006
[20] A. Yaar, A. Perrig, D.X. Song, PI: a path identification mechanism to defend against DDOS attack, in: IEEE Symposium on Security and Privacy, 2003, p.93
[21] S.M. Bellovin, ICMP Traceback Messages, Work in Progress, Internet Draft draftbellovin-itrace-00.txt, March 2000
[22] A.D. Keromytis, V. Misra, D. Rubenstein, SOS: an architecture for mitigating DDOS attacks, IEEE Journal on Selected Areas in Communications 22 (1) (2004) 176–188
[23] A. Stavrou, D.L. Cook, W.G. Morein, A.D. Keromytis, V. Misra, D.Rubenstein, WebSOS: an overlay-based system for protecting Web servers from denial of service attacks, Computer Networks 48 (5) (2005) 781–807
[24] WDA: A Web farm Distributed Denial Of Service attack attenuator Computer Networks, Volume 55, Issue 5, Pages 1037-1051 Ehud Doron, Avishai Wool
[25] R. Fielding, J. Getty, J. Mogul, H. Frystyk, T. Berners-Lee, IETF RFC 2616: Hypertext Transfer Protocol – http/1.1., June 1999
[26] R. Braden, IETF RFC 1122: Requirements for Internet Hosts – Communication Layers, October 1989
[27] P. Barford, M. Crovella, Generating representative Web workloads for network and server performance evaluation, in: SIGMETRICS, 1998, pp. 151–160.
[28] H.-K. Choi, J.O. Limb, A behavioral model of Web traffic, in: ICNP, 1999, pp. 327–334
[29] websiteoptimization.com, Average Web Page Size Triples Since 2003, <http://www.websiteoptimization.com/speed/tweak/average-web-page/>
[30] A.K. Parekh, R.G. Gallager, A generalized processor sharing approach to flow control in integrated services networks: the single-node case, IEEE/ACM Transactions on Networking 1 (3) (1993) 344–357
[31] NS2, The Network Simulator,
<http://nsnam.isi.edu/nsnam/index.php/User_Information>
[32] F. Wu-Chang, D. D. Kandlur, D. Saha, and K. G. Shin, “Stochastic fair blue: a queue management algorithm for enforcing fairness,” in IEEE INFOCOM, 2001
[33] Arbor Networks: Worldwide Infrastructure Security Report 2012 Volume VIII http://pages.arbornetworks.com/rs/arbor/images/WISR2012_EN.pdf
[34] RFC 6298 - 2.The Basic Algorithm, (2.4) http://tools.ietf.org/html/rfc6298
[35] The Internet Traffic Report: Networks Overview, March 2008, <http://www.internettrafficreport.com/>
[36] “Wfq implementation code donated by Paolo Losi,”
http://www.isi.edu/nsnam/archive/ns-users/webarch/2000/msg04025.html
[37] C. Zhang, J. Yin, Z. Cai, and W. Chen, “RRED: Robust RED Algorithm to Counter Low-Rate Denial-of-Service Attacks”, in IEEE COMMUNICATIONS LETTERS, VOL. 14, NO. 5, MAY 2010