Chống lại kẻ tấn công cơ chế ON-OFF với các session bẫy ngẫu

Một phần của tài liệu Chống tấn công từ chối dịch vụ tốc độ thấp trên Web (Trang 35)

Các cơ chế WDAQ mô tả cho đến nay đủ để chống lại tấn công gửi tràn (liên tục gửi tràn các gói tin): Sau khi vượt qua ngưỡng băng thông ban đầu, tất cả các gói tấn công trong tương lai được gửi đến hàng đợi độ ưu tiên thấp, lưu lượng giao thông hợp pháp lúc này có thể truyền tự do. Vì vậy, một kẻ tấn công thông minh sẽ không muốn vượt qua ngưỡng cản ban đầu của mình (Session_Max_TH). Giai đoạn OFF cũng là một trở ngại cho kẻ tấn công này, bởi vì hắn phải dừng truyền lưu lượng từ zombie của mình đối với các nạn nhân, làm giảm cường độ tấn công.

Tuy nhiên, kẻ tấn công thông minh điều khiển zombie của mình để cố tồn tại trên ranh giới rất khó để đánh bại sử dụng phương pháp mô tả cho đến nay. Chúng ta gọi là kẻ thù này các kẻ tấn công “high-burst slow”. Các zombies như vậy thực hiện tấn công bắt chước chu kì ON-OFF: chúng định kỳ truyền Session_Max_TH bytes, và nghỉ ngơi AOP_Low_TH giây. Mô hình này sẽ được xem như là hành vi hợp pháp theo các cơ chế chúng ta đã thấy cho đến nay.

Điểm mấu chốt cho phép WDA chiến đấu tấn công này là phương pháp xác định tấn công. Do đó, các tác giả sử dụng tính ngẫu nhiên, với ý tưởng session bẫy ngẫu nhiên. Một bẫy hoạt động như sau: thỉnh thoảng các policer ngẫu nhiên chọn một session Web mà nó bỏ qua giá trị đo thực tế (băng thông hoặc thời gian giai đoạn OFF) từ client. Thay vào đó, policer chọn giá trị ngẫu nhiên và tương đối “đáng ngờ”, rồi sử dụng chúng trong việc tính toán hàm chức năng hành vi client BF. Những giá trị được đo lường nhân tạo này sẽ khiến WDAQ phải giảm ngưỡng của client xuống thấp hơn AOP_Low_TH hoặc Session_Max_TH. Khi session bẫy bẫy được zombie “high- burst slow”, ngưỡng của zombie sẽ nhanh chóng xấu đi với ngưỡng tối thiểu và không phục hồi, vì vậy trong tương lai giao thông sẽ được gửi đến hàng đợi thấp. Tuy vậy, một client hợp lệ bị vô tình bị mắc kẹt sẽ dễ dàng lấy lại ngưỡng session của mình do lưu lượng của nó phù hợp với hàm hành vi để có thể phục hồi lại.

Cụ thể, WDA quyết định một session là một session bẫy ngẫu nhiên với xác suất Trap_Session_TH. Một session bẫy có thể là một session bẫy băng thông hoặc một bẫy thời gian OFF, với xác suất 1/2. Trong session bẫy băng thông WDA đặt BF[i] một giá trị ngẫu nhiên phân bố đều trong phạm vi BW_Trap_Session_Min đến

BW_Trap_Session_Max. Trong bẫy giá trị thời gian OFF-giá trị OP[i] được chọn thống nhất ngẫu nhiên từ Think_Time_Trap_Min đến Think_Time_Trap_Max. Các ngưỡng là tham số đó phải được chọn sao cho bẫy session gây ra một sự suy giảm nhỏ nhất đến hiệu suất client hợp pháp.

Một phần của tài liệu Chống tấn công từ chối dịch vụ tốc độ thấp trên Web (Trang 35)

Tải bản đầy đủ (PDF)

(62 trang)