WDA đã xây dựng lên một kiến trúc vững chắc, giúp giám sát và bảo vệ lưu lượng uplink tới Web farm, nơi thường xuyên là nút cổ chai điển hình trong các cuộc tấn công DDOS. WDA dựa trên thực tế là giao thông tải lên hợp pháp đối với các trang Web được tạo ra bởi con người sử dụng phần mềm truy cập Web. WDA sử dụng các đặc tính được cho là từ người dùng bình thường như vậy (băng thông thấp và giai đoạn OFF dài) để phân biệt so với giao thông tấn công từ zombie, với xu hướng gửi gói tin liên tục với băng thông lớn nhằm áp đảo đường truyền mạng. Các cơ chế của WDA cũng đủ mạnh mẽ nhằm phát hiện các kẻ tấn công phức tạp biết cách giả mạo cách thức và đặc tính người dùng hợp lệ để tấn công Web farm thông qua các session bẫy ngẫu nhiên và cơ chế trạng thái tối thiểu. Với WDA được sử dụng, kẻ tấn công DDOS phải tăng kích cỡ mạng lưới tấn công bot-net của mình theo cấp số nhân mới có thể tăng hiệu quả của cuộc tấn công DDOS. Dựa trên các mô phỏng được thực hiện để đánh giá hiệu quả của mình, WDA cho thấy rằng kiến trúc này có thể bảo vệ một Web farm điển hình từ các cuộc tấn công DDOS gây ra bởi hàng trăm ngàn zombie, trong khi vẫn giữ được tỉ lệ dịch vụ client hợp pháp bị suy giảm dưới 10%, giúp người dùng hợp lệ có thể truy cập web một cách bình thường.
Tuy vậy WDA cũng tồn tại một số điểm yếu nhất định. Vì WDA dựa vào các đặc tính duyệt web của người dùng bình thường, nên khi áp dụng với các trang web không sử dụng các đặc tính duyệt web bình thường, ví dụ như các trang sử dụng RSS, AJAX, hay SaaS; hay các trang web có lưu lượng upload, download hình ảnh, video lớn như youtube, flickr… sẽ có các đặc tính riêng biệt khác với các trang web khác chỉ có đặc tính đơn giản duyệt web như các trang báo mạng, các trang thông tin… vì vậy cần phải có một nghiên cứu sâu hơn về đặc tính riêng của người dùng duyệt các trang web này nhằm đưa ra các thông số tham số mới cho WDA.
Ngoài ra, do việc khan hiếm địa chỉ IP, một số tổ chức, doanh nghiệp… sử dụng cơ chế dịch địa chỉ IP riêng sang địa chỉ IP công khai - NAT để tận dụng tài nguyên địa chỉ IP. Tuy vậy việc này cũng khiến cho lưu lượng mạng từ địa chỉ IP dùng chung trở thành tổng hợp từ lưu lượng mạng từ toàn bộ người dùng trong mạng riêng, khiến lưu lượng mạng mất đi đặc tính duyệt web của người bình thường. Vì vậy để WDA phân biệt được lưu lượng mạng cho trường hợp này cũng cần có các nghiên cứu riêng với từng kích cỡ mạng riêng, cũng như với các trang Web cụ thể, để xác định được đặc tính chung cho người dùng duyệt Web qua NAT, giúp xác định lại các tham số cho WDA với trường hợp đó.
Các tham số của WDA dựa trên mô hình định lượng về lưu lượng mạng, tuy vậy mô hình do Choi-Limb cũng đã được xây dựng trên 10 năm trong khi mạng internet đã có những bước thay đổi rất lớn, vì vậy việc tìm một mô hình mới chính xác hơn để xây dựng lại các tham số cho kiến trúc WDA là cần thiết để nâng cao khả năng và hiệu quả của kiến trúc này.
Một số nghiên cứu hiện nay cũng đã phát hiện và mô tả một số cách thức tấn công DDOS mới. Tại [2,3] đã giới thiệu phương pháp tấn công từ chối dịch vụ đặc biệt- tấn công từ chối dịch vụ tốc độ thấp - LDOS, gửi các đợt tấn công với lưu lượng lớn trong khoảng thời gian ngắn theo chu kì trong giai đoạn ON của người dùng hợp lệ với mục tiêu gây tắc nghẽn, khiến cho các gói tin hợp lệ không thể đến được web farm, kết quả là người dùng hợp lệ bị rơi vào trạng thái time-out khi truy nhập web. Tác hại của các cuộc tấn công từ chối dịch vụ tốc độ thấp là rất lớn. Trong một cuộc tấn công thực nghiệm vào mạng WAN ở [3], một cuộc tấn công với tốc độ trung bình 909 Kbps với chu kì 100 ms có khả năng làm giảm thông lượng mạng của nạn nhân từ 9,8 Mbps xuống còn 1,2 Mbps, tức giảm tới 87,8% thông lượng mạng. Dễ dàng nhận thấy với phương pháp tấn công từ chối dịch vụ tốc độ thấp bình thường vào Web farm có triển khai WDA, kẻ tấn công sẽ bị ngăn chặn một cách dễ dàng bởi WDA. Do cơ chế của WDA không cho phép một kiểu tấn công liên tục với chu kì ngắn như tấn công tốc độ thấp, nên lưu lượng tấn công sẽ bị đẩy vào hàng đợi có độ ưu tiên thấp, và không thể làm ảnh hưởng đến lưu lượng hợp lệ ở hàng đợi có độ ưu tiên cao. Tuy vậy khi xem xét đến một kiểu tấn công từ chối tốc độ thấp một cách tinh vi hơn, với giả định kẻ tấn công có khả năng hiểu được kiến trúc và cơ chế của WDA, vì vậy có được cơ chế tấn công nhằm qua mặt WDA. Một ví dụ về kiểu tấn công ở đây là kiểu tấn công băng thông cải tiến theo phương pháp tấn công tốc độ thấp. Kẻ tấn công sử dụng nhiều cụm máy tấn công được lập lịch theo thuật toán dạng round robin, tuy vậy có thời gian nghỉ giữa mỗi lần tấn công chính bằng chu kì tấn công tốc độ thấp. Như vậy vẫn đảm bảo đặc tính của tấn công tốc độ thấp là tấn công với burst lớn và chu kì nhất định, cũng như nhờ việc xoay vòng các cụm máy tấn công nên mỗi cụm máy có thời gian nghỉ - hay giai đoạn OFF phù hợp để trở nên trong suốt với cơ chế phát hiện của WDA. Do vậy WDA rất khó có thể phát hiện ra kiểu tấn công tinh vi này, và Web farm sẽ chịu ảnh hưởng của tấn công tốc độ thấp dẫn đến thông lượng mạng suy giảm, kéo theo việc người dùng hợp lệ gặp phải tình trạng tải trang Web chậm đi rõ rệt, hoặc thậm chí bị time-out, không thể truy cập trang Web một cách như bình thường được nữa.
Sau khi nghiên cứu và nhận thấy các ưu, nhược điểm của WDA như vậy, tôi xác định một số hướng cải tiến WDA có thể được phát triển.
Thứ nhất, việc xác định các tham số của WDA dựa trên mô hình định lượng mạng, trong khi mô hình do Choi-Limb xây dựng đã khá cũ, vì vậy một phương hướng phát triển đó là tìm ra một mô hình định lượng mới hơn. Tuy vậy khi triển khai các
nghiên cứu sâu hơn, tôi gặp một số khó khăn do theo thời gian, internet đặc biệt là các kĩ thuật phát triển web thay đổi và tiến hóa rất nhanh dẫn tới các nhà phân tích gặp nhiều khó khăn trong việc xây dựng một mô hình định lượng tổng quát cho lưu lượng mạng hiện đại, bằng chứng là đã nhiều năm vẫn chưa có một mô hình nào mới ra đời. Vì vậy hướng phát triển này được để lại cho tương lai khi có thể có một mô hình định lượng được nghiên cứu có tính tổng quát ra đời.
Một hướng nghiên cứu khác có thể thực hiện đó là việc tìm ra các thuật toán để xác định các tham số của WDA đối với các Web farm cụ thể, có thể dựa vào đặc điểm của Web farm đó như số lượng các trang, kích cỡ trung bình các trang,…, hoặc cũng có thể dựa trên các thống kê trên Web farm đó như thống kê lưu lượng truy nhập, thói quen người dùng hợp lệ,… Tuy vậy hướng nghiên cứu này tôi gặp khá nhiều khó khăn khi thực hiện, do việc xác định các tham số khá phức tạp, thậm chí đối với các tác giả WDA gốc cũng xác định dựa trên việc mô phỏng với mô hình định lượng từ trước, và thử nhiều trường hợp nhằm xác định tham số dựa trên cân bằng về lưu lượng hợp lệ được phục vụ cũng như lưu lượng tấn công phát hiện được cho nhiều trường hợp tấn công, chứ không có cơ sở toán học nào có thể tham khảo, dẫn tới việc xây dựng hoặc phát triển thuật toán xác định tham số trở nên khó thực hiện.
Do đó, hướng nghiên cứu và phát triển được tôi chú ý, và thực tế đã triển khai đề xuất phát triển đó là cải tiến WDA nhằm chống lại cách thức tấn công mới và tinh vi, tấn công từ chối dịch vụ tốc độ thấp. Kiểu tấn công này làm giảm thông lượng mạng một cách rõ rệt, vì vậy việc nghiên cứu đưa ra các đề xuất cải tiến giúp cho WDA nâng cao khả năng của mình nhằm bảo vệ Web farm một cách tốt nhất.