Khóa luận Phòng chống tấn công từ chối dịch vụ phân tán vào các website

ng một thời gian hạn chế. Điều này cho phép truy tìm các cuộc tấn công một gói như "Ping of Death", nhưng chỉ khi truy vấn nhanh. Các bộ máy cô lập nguồn (SPIE, Source Path Isolation Engine) nhớ các gói thông qua việc tính toán hàm băm với các phần bất biến của một tiêu đề IP (ví dụ, TTL và checksum). Để tăng thêm không gian bổ sung, hàm băm yếu, thay vì băm mã hóa mạnh, được triển khai dưới hình thức các bộ lọc Bloom Filter. Những bản ghi thụ động không cần phải tồn tại bên trong các router ngay cả khi các thiết kế phần cứng để đưa chúng vào các router đã được thảo luận. Các nhà thiết kế SPIE nghĩ ra một cách để đặt một bản ghi bị động trên mỗi giao diện của router. Một số người khi đó đã chỉ trích và cho rằng nó sẽ là quá đắt để thêm một thiết bị cho mỗi giao diện, do đó, thiết bị SPIE đã được mở rộng để có một SPIEDER với nhiều kết nối cho mỗi giao diện trên router. Mặc dù hàm băm yếu cho phép có lỗi, chúng sẽ nhanh chóng được định hướng qua nhiều hàm băm được áp dụng tại các bộ định tuyến khác nhau khi khoảng cách tăng dần từ nạn nhân. Nạn nhân khởi tạo một yêu cầu traceback thông qua một mạng lưới thay thế (thật hay ảo) kết nối các nhà quản lý traceback, các agent sinh dữ liệu, và các bộ định tuyến. Do khối lượng giao thông lớn trên các mạng xương sống, thời gian giữa việc nhận một gói tin vi phạm và yêu cầu cho traceback sẽ mất khoảng một vài phút, tùy thuộc vào năng lực và mạng lưới giao thông. Một kĩ thuật thứ tư sử dụng traceback, do D.Dean và các đồng nghiệp của ông đề xuất vào tháng 2 năm 2001, là một cách tiếp cận đại số đối với vấn đề traceback. Tương tự một phương pháp của Savage và đồng nhiệp tại ACM SIGCOMM tháng 8-2000, kỹ thuật này một nhúng phần thông tin lần vết vào các gói tin IP ở cấp bộ định tuyến. Đề án này mới sử dụng các kỹ thuật đại số để mã hóa thông tin đường dẫn thành các gói và để tái tạo lại chúng vào trang web của nạn nhân. Các tác giả hy vọng sẽ đạt được sự linh hoạt hơn trong việc thiết kế và cải tiến trong loại bỏ thông tin thừa kẻ tấn công tạo ra và cung cấp khả năng traceback đa tuyến. PPM và đề xuất traceback với cách tiếp cận đại số cùng theo một số giả định như sau: - Kẻ tấn công có thể gửi bất kỳ gói tin. - Nhiều kẻ tấn công có thể hành động với nhau. - Kẻ tấn công nhận thức được sự hoạt động của các chương trình traceback. - Kẻ tấn công phải gửi ít nhất là hàng ngàn gói. - Tuyến đường giữa các máy nói chung là ổn định, nhưng các gói tin có thể bị sắp xếp lại hoặc bị mất. - Router không thể thực hiện nhiều tính toán cho mỗi gói tin. - Router giả định là không thể bị chiếm dụng, nhưng không phải tất cả router đều phải tham gia traceback. Những giả định phân biệt rõ ràng những kỹ thuật này với một kỹ thuật đơn gói như traceback dựa trên kĩ thuật băm. D.Dean và đồng nghiệp thảo luận về hiệu quả so với Savage, khi những yêu cầu không gian khác nhau giữa 18 và 21 bit. Trong một số trường hợp, họ đạt được kết quả tốt hơn một chút cho việc tái tạo lại đường đi, nhưng số trường hợp tính toán sai vẫn còn cao. Ngoài việc đánh dấu gói tin, một đề án out-of-packet đã được đề xuất, tương tự như Bellovin vào tháng 8-2001. Các tác giả nhận ra rằng việc cải tiến thuật toán là cần thiết, và việc tìm ra các tối ưu khác cần được khám phá. Khái niệm này cần cải tiến hơn nữa, nhưng có thể phát triển thành một khái niệm đầy hứa hẹn trong thời gian dài. 2.3 Biện pháp D-WARD D -WARD, đề xuất của Mirkovic và các đồng nghiệp [15] vào tháng 8-2003, được phát triển tại UCLA dưới tài trợ của chương trình DARPA Fault Tolerant Network (FTN). Hệ thống này dựa trên mạng nguồn nhằm mục đích phát hiện các cuộc tấn công trước hoặc khi chúng rời khỏi mạng lưới DDoS của các agent. Nó là một hệ thống nội tuyến, trong suốt với người sử dụng trên mạng, thông qua việc tập hợp số liệu thống kê giao thông hai chiều từ các router biên tại các mạng nguồn và so sánh chúng với các mô hình giao thông mạng xây dựng dựa trên giao thức ứng dụng và giao vận, phản ánh sự bình thường (hợp pháp), nghi ngờ, hoặc hành vi tấn công Dựa trên mô hình ba tầng này (tấn công, nghi ngờ, bình thường), D-WARD áp dụng tỷ lệ giới hạn tại router ở tất cả các giao thông đi ra của một đích cho trước, ưu tiên giao thông kết nối hợp pháp, hơi làm chậm lại lưu lượng truy cập đáng ngờ, và làm chậm lại các kết nối tấn công mà nó cảm nhận. Tỷ lệ giới hạn năng động và thay đổi theo thời gian, dựa trên quan sát của tín hiệu tấn công và các chính sách hạn chế về giao thông tiêu cực. Ít giao thông tiêu cực sẽ làm giảm nhẹ các chính sách hạn chế. Giống như hầu hết các hệ thống nghiên cứu, D-WARD đã được thử nghiệm với một homegrown thiết lập các tiêu chí chuẩn DDoS, và giống như hầu hết các hệ thống nghiên cứu, nó hoạt động tốt theo các tiêu chí chuẩn. Tuy nhiên, hệ thống D-WARD cũng trải qua nhiều thử nghiệm độc lập vào cuối chu kỳ chương trình DARPA FTN. Những thí nghiệm chỉ ra rằng D-WARD có khả năng để nhanh chóng phát hiện những vụ tấn công tạo ra dị thường ở giao thông hai chiều, chẳng hạn như tấn công gửi tràn nặng nề. D-WARD kiểm soát hiệu quả tất cả các giao thông, trong đó có giao thông tấn công, và có thiệt hại và một mức độ sai lầm chủ động thấp. Nó kịp thời khôi phục hoạt động bình thường khi kết thúc cuộc tấn công. Bằng cách giới hạn tỷ lệ lưu lượng tấn công hơn là ngăn chặn nó, hệ thống này một cách nhanh chóng phục hồi từ các sai lầm chủ động . Theo thiết kế, nó ngừng các cuộc tấn công tại nguồn mạng, do đó, nó yêu cầu việc triển khai trên rộng (bao gồm một phần lớn các nguồn thực tế) để đạt được hiệu quả mong muốn. Trừ khi có một hình phạt cho các các hosting của DDoS agent đặt ra đối với các mạng nguồn, đây không phải là một hệ thống mà nhà khai thác mạng sẽ hăm hở triển khai, bởi D-WARD không cung cấp một lợi ích đáng kể cho các nhà triển khai này. Tuy nhiên, nó có thể được thể tích hợp nó với cơ chế bảo vệ khác (như Cossack tại mục 2.7) mà có yêu cầu hành động từ mạng nguồn, để cung cấp các response chọn lọc cho request. Tóm lại, lợi thế của D-WARD nằm trong việc phát hiện và kiểm soát các cuộc tấn công, giả định rằng giao thông tấn công thay đổi đầy đủ so với các mô hình giao thông bình thường. Theo thực tế rằng D-WARD chọn lọc giới hạn tỷ lệ lưu lượng truy cập, nó có thiệt hại thấp, và đáp ứng tấn công tương đối nhanh. Mặt khác, những kẻ tấn công vẫn có thể thực hiện các cuộc tấn công thành công từ các mạng không được trang bị với hệ thống này. 2.4 Biện pháp NetBouncer NetBouncer, đề xuất của O'Brien [11], cũng nổi lên từ chương trình DARPA FTN. Đây là một cơ chế xác thực người dùng khi đứng ở trên mạng của Server mục tiêu. Lý tưởng nhất, nó được định vị tại điểm nút của mạng lưới và nhằm mục đích chỉ cho phép các gói tin đến từ khách hàng hoặc người sử dụng "hợp pháp". Một số thử nghiệm cho tính chính đáng được thực hiện trên máy khách, ví dụ, một gói ping (ICMP Echo) thử nghiệm được gửi để xem liệu có một khách hàng thực sự đằng sau những gói đã được nhận được bởi Server đích, và cũng là một Reverse Turing Test, kiểm tra phân biệt giữa người và máy. Người đọc có thể đã xem như một bài kiểm tra khi đăng ký một tài khoản e-mail trên các dịch vụ e-mail Yahoo: khách hàng được yêu cầu nhập một cụm từ hay chữ bị biến dạng, hiển thị trong một hình ảnh nền làm cho nó trở nên khó đọc, một bài kiểm tra mà thường chỉ một con người có thể làm , không phải là một máy hay chương trình tự động. Và nếu bài kiểm tra được vượt qua, chứng tỏ người dùng là “hợp pháp”, thì yêu cầu đến Server đích được tiếp tục. Nếu không, NetBouncer chấm dứt kết nối. Một ví dụ tương tác của một Reverse Turing Test có thể được tìm thấy trên trang CAPTCHA tại Một khi các khách hàng đã chứng tỏ rằng người đó thực sự là hợp pháp, họ được thêm vào danh sách của khách hàng hợp pháp và được cho ưu đãi đối với khách hàng chưa được hợp pháp. Danh sách này được quản lý bằng kỹ thuật quản lý dịch vụ chất lượng và đảm bảo chia sẻ công bằng các tài nguyên giữa tất cả các khách hàng hợp pháp. Để ngăn chặn một cuộc tấn công từ việc kế thừa các thông tin của một khách hàng hợp pháp, tính hợp pháp hết hạn sau một thời gian nhất định và cần phải được đánh giá lại bằng cách sử dụng cùng một hoặc một vài bài kiểm tra khác nhau. Như vậy cách tiếp cận có thể làm việc? Nó có thể đánh bại nhiều cuộc tấn công giả mạo, bởi những bài kiểm tra challenge phải tiếp cận nguồn gốc thực sự của các gói tin để giao dịch hoàn thành. Các tài nguyên mạng sẵn có được chia sẻ một cách công bằng giữa các khách hàng đã được chứng minh tính hợp pháp của họ. Tuy nhiên, NetBouncer giả định những thuộc tính nhất định của khách hàng, chẳng hạn như khả năng để trả lời cho ping (ví dụ, để kiểm tra sự hiện diện của một khách hàng), mà không phải tất cả khách hàng đều hỗ trợ, đặc biệt là những người có cài tường lửa hay bộ định tuyến DSL có bật tính năng an ninh bổ sung. Mặc dù khách hàng là hợp pháp, hệ thống không được bảo vệ chống lại các cuộc tấn công mạo danh, nghĩa là, một kẻ tấn công có thể lợi dụng thực tế là một khách hàng hợp pháp đã thực hiện tất cả các công việc cần thiết để chứng minh tính hợp pháp của mình với NetBouncer và sau đó tấn công mạng nhờ việc giả mạo địa chỉ IP hợp pháp của khách hàng. Ngoài ra, hệ thống không phải là miễn dịch với nguồn tài nguyên cạn kiệt do một số lượng lớn các khách hàng hợp pháp. Hơn nữa, giống như tất cả phòng thủ phía mục tiêu, nó có thể bị tràn ngập bởi khối lượng của các gói trên đường truyền đến. Giống như tất cả các phương án phòng thủ tốt chống lại DDoS, NetBouncer có lợi thế và hạn chế của nó. Về mặt tích cực, nó xuất hiện để cung cấp dịch vụ tốt cho khách hàng hợp pháp trong phần lớn các trường hợp. Vì nó nằm nội tuyến trên mạng, có nghĩa là nó không có một sự hiện diện có thể nhìn thấy trên mạng giống như một cầu nối mạng, nó không yêu cầu sửa đổi cho các máy chủ và khách hàng trên mạng được bảo vệ hoặc các máy chủ kết nối với nhau. Các địa điểm triển khai gần nạn nhân và nó không yêu cầu hợp tác với NetBouncers khác. Về mặt tiêu cực, những kẻ tấn công có thể thực hiện các cuộc tấn công thành công vào nạn nhân / mục tiêu bằng cách mạo nhận hợp pháp hoặc tuyển dụng một số lượng lớn các agent, cả hai đều là dễ dàng đạt được thông qua giả mạo và tuyển dụng đủ, tương ứng. Ngoài ra, NetBouncer đặt ra các giả định nhất định về các khách hàng hợp pháp mà không phải luôn luôn được chia sẻ bởi tất cả các khách hàng và như vậy sẽ làm cho họ bị loại trừ khỏi truy cập vào tài nguyên được bảo vệ. Các bài kiểm tra tính hợp pháp đặt một gánh nặng đáng kể đến chính NetBouncer và có thể gây cạn kiệt nguồn lực của các cơ chế bảo vệ. 2.5 Biện pháp “Proof of Work” Một cách khác để tiếp cận vấn đề DDoS là để xem xét các bài toán con của cuộc tấn công suy giảm kết nối. Nhiều kết nối được khởi tạo bởi kẻ tấn công để triệt tiêu số lượng kết nối mở mà một máy chủ có thể duy trì. Một mục tiêu trong phòng chống là để bảo tồn các nguồn lực này trong các cuộc tấn công như vậy. Là người bảo vệ, máy chủ bắt đầu giao ra những bài kiểm tra challenge, không khác so với NetBouncer, cho khách hàng yêu cầu kết nối. Điều này xảy ra tại mức giao thức TCP / IP, bởi hệ thống cần tập trung vào việc bảo vệ các nguồn tài nguyên liên quan đến kết nối mạng. Các máy chủ phân phối một câu đố mã hóa nhỏ cho các khách hàng yêu cầu kết nối, và chờ đợi một giải pháp. Nếu khách hàng giải quyết các câu đố trong một cửa sổ thời gian nhất định, các tài nguyên thích hợp sau đó được phân bổ trong cùng bộ nhớ đệm của mạng(phần của hệ điều hành xử lý các giao tiếp mạng). Khách hàng mà không giải quyết được câu đố các kết nối của họ sẽ bị bỏ qua. Cách tiếp cận này buộc kẻ tấn công để dành nhiều thời gian và nguồn lực trước khi đạt được một kết nối thành công đến một máy chủ hoặc mục tiêu, và làm chậm tốc độ mà anh ta có thể làm cạn kiệt các nguồn tài nguyên của máy chủ từ bất kỳ máy nào. Trong khi điều này có overhead thấp (máy chủ vẫn phải tạo ra và xác minh các câu đố), thực tế giao thức TCP / IP thực hiện trên cả hai đầu (client và máy chủ) phải được sửa đổi cho phương pháp này để làm việc. Cách phòng chống này này không xử lý được vấn đề như các cuộc tấn công phân tán trong đó kẻ tấn công tạo ra các yêu cầu đủ để vắt kiệt các tài nguyên máy chủ hoặc tấn công vắt kiệt tài nguyên cho việc tạo puzzle hay tiêu thụ băng thông của đường mạng dẫn đến máy chủ. 2.6 Biện pháp DefCOM DefCOM, đề xuất của Mirkovic [16]. Nó là một hệ thống phân tán kết hợp bảo vệ nguồn cấp, nạn nhân, và lõi mạng. Nó phát hiện một cuộc tấn công đến và đáp ứng bằng việc hạn chế tỷ lệ giao thông, trong khi vẫn cho phép lưu thông hợp pháp đi qua hệ thống. Nó bao gồm ba loại nút (router hoặc host): node phát cảnh báo phát hiện một cuộc tấn công, node hạn chế tỷ lệ thi hành giới hạn tốc độ trên tất cả lưu lượng đi đến mục tiêu của cuộc tấn công, và node phân loại giới hạn tỷ lệ giao thông, phân chia các gói tin hợp pháp với các gói tin đáng ngờ đồng thời đánh dấu mỗi gói với phân loại của nó. Node phát cảnh báo và các node phân loại được thiết kế cho mạng lưới cạnh việc triển khai, trong khi node hạn chế tỷ lệ được thiết kế cho phần lõi triển khai của hệ thống. Trong trường hợp bị tấn công, điểm phát hiện có khả năng sẽ ở các node phát cảnh báo trong mạng nạn nhân, và node phân loại có khả năng gần với mạng lưới nguồn. DefCOM lần dấu vết các cuộc tấn công từ nạn nhân đến tất cả các nguồn lưu lượng truy cập hoạt động (lưu lượng tấn công hoặc hợp pháp) sử dụng một mạng lưới che phủ và thống kê trao đổi giữa các nút bảo vệ. Giới hạn tỷ lệ được triển khai bắt đầu từ nạn nhân, và lan truyền đến các lá trên cây giao thông (phân loại gần các nguồn). Gói tin được đánh dấu, phân loại, chuyển tải thông tin về tính hợp pháp của mỗi gói đi đến các node hạn chế tỷ lệ. Các node hạn chế tỷ lệ cấp phát băng thông giới hạn ưu tiên cho các gói tin được đánh dấu hợp pháp, sau đó đến những gói tin đánh dấu đáng ngờ, và cuối cùng để các gói tin không được đánh dấu. Điều này tạo ra ba cấp độ của dịch vụ, tạo ra dịch vụ tốt nhất với các gói tin hợp pháp. Bất kỳ tường lửa có thể thực hiện chức năng của node phát cảnh báo. Router lõi sẽ phải được tăng cường với một khả năng quan sát đánh dấu để thực hiện chức năng của node hạn chế tỷ lệ. D-WARD được mô tả như là một ứng cử viên có khả năng cho chức năng của node phân loại . Tuy nhiên, việc phân chia giao thông hợp pháp với giao thông tấn công không cần phải được tốt như D-WARD. Một node phân loại có thể đơn giản đánh dấu giao thông nó xét thấy quan trọng đối với khách hàng của mạng là nguồn hợp pháp. Miễn là tuân theo phân loại tỷ lệ hạn yêu cầu, giao thông này sẽ không làm tổn thương các nạn nhân. Tóm lại, thiết kế của DefCOM là giúp phát hiện giao thông bất hợp pháp tại mục tiêu, giới hạn tỷ lệ ở lõi, và ngăn chặn lưu lượng truy cập đáng ngờ/ lưu lượng tấn công tại mạng lưới nguồn. Sử dụng D-WARD như hệ thống phân loại ban đầu của nó, DefCOM cũng vươn ra xa hơn vào cốt lõi để xử lý các cuộc tấn công từ các mạng không được trang bị node phân loại giao thông không hợp pháp. DefCOM xử lý lũ lụt, trong khi gây ra ít sự cản trở, hoặc là vô hại cho giao thông hợp pháp. Do tính chất che phủ của hệ thống, DefCOM tự nó tạo nên một giải pháp mở rộng và không cần tiếp cận với triển khai thêm nhờ vào việc sử dụng kiến trúc peer-to-peer, nhưng nó yêu cầu triển khai rộng hơn phòng thủ của nạn nhân. Theo một nhược điểm, xử lý bị hư hỏng hoặc phá vỡ các nút trong mạng che phủ có thể khá khó khăn, và DefCOM có khả năng hoạt động tồi tệ nếu không được xử lý. 2.7 Biện pháp COSSACK Cozak, đề xuất của Papadopoulos [8] và phát triển bởi Đại học Nam California / ISI, nhằm mục đích ngăn chặn các cuộc tấn công từ lúc rời khỏi nguồn mạng, nghĩa là, các mạng lưới chứa chấp các DDoS agent. Còn gọi là watchdogs - các cơ quan giám sát, một plug-in cho hệ thống phát hiện xâm nhập Snort, phát hiện một cuộc tấn công bằng cách phân tích và tương ứng lưu lượng truy cập qua mạng nguồn. Căn cứ vào mối tương quan (thời gian, loại hình giao thông), việc tương ứng thực thể có thể ngăn chặn lưu lượng truy cập tương tự và đồng thời như là một hành động nhóm, chính là các giao thông tấn công gửi đến. Kỹ thuật này thực thi tại mạng nguồn, kích hoạt bởi một thông báo từ các mục tiêu của một cuộc tấn công DDoS, bằng cách lọc ra các vi phạm giao thông rõ ràng. Tuy nhiên, nếu lưu lượng truy cập hợp pháp được xuất hiện bởi các động cơ tương quan, dẫn đến một sai lầm chủ quan, thì sau đó lưu lượng truy cập hợp pháp sẽ bị loại bỏ bởi Cozak. Một giả định chính của kỹ thuật này là việc triển khai các cơ quan giám sát tại nguồn mạng. Nguồn mạng đang được ngăn cản khỏi nguồn tấn công, nhưng một mạng lưới mà không có cơ quan giám sát vẫn có thể tham gia vào một cuộc tấn công DDoS. Hạn chế này là phổ biến cho các hệ thống đòi hỏi phải có nguồn cấp triển khai. Không yêu cầu sửa đổi ở mức giao thức hoặc áp dụng cho các nguồn mạng. Các thông tin liên lạc giữa các nhà kiểm soát không có khả năng mở rộng, vì họ sử dụng truyền thông multicast. 2.8 Biện pháp Pi Pi, đề xuất của Yaar [2], là một hệ thống bảo vệ mục tiêu nạn nhân, xây dựng trên kỹ thuật đánh dấu gói tin đã đề cập ở biện pháp traceback, chèn vào định danh đường dẫn vào mục chưa sử dụng trong phần header của gói tin IP. Ý tưởng chính là những định danh đường dẫn hoặc dấu vân tay xác thực được chèn vào bởi các router dọc theo đường mạng. Các mục tiêu hoặc nạn nhân sau đó sẽ từ chối các gói tin với định danh đường dẫn phù hợp với các gói tin đã được xác định rõ ràng như một phần của cuộc tấn công. Trong đề án đánh dấu Pi cơ bản, từng router tham gia đánh dấu bit nhất định trong trường nhận dạng IP của gói tin IP. Các vị trí của kí hiệu trong trường này được xác định bởi giá trị của trường TTL (time to live) của gói tin. Kí hiệu là một phần của bảng băm của địa chỉ IP của router. Vì giá trị TTL được giảm đi tại mỗi router, một con đường tiếp giáp của gói tin được xây dựng khi nó đến gần hơn với nạn nhân. Người ta có thể quyết định ngừng đánh dấu trong một khoảng cách chặng nhất định của mạng nạn nhân để tăng khả năng tới đích của gói tin trong đề án này. Bộ lọc Pi có thể xảy ra một khi chương trình đánh dấu đã được cài đặt trong cơ sở hạ tầng. Đề án này giả định rằng nạn nhân biết làm thế nào để xác định số lượng lớn của lưu lượng truy cập tấn công, ví dụ, bằng cách chọn một phần lớn của lưu lượng truy cập đến mang nhãn hiệu tương tự. Các bộ lọc sau đó ném bỏ tất cả lưu lượng với nhãn hiệu nhất định. Vô tình, một số lưu lượng truy cập hợp pháp chia sẻ nhãn hiệu với các cuộc tấn công (vì nó cũng chia sẻ đường dẫn đến các nạn nhân do sự dao động và tính chất thích nghi của mạng) cũng sẽ bị giảm xuống, mất mát. 2.9 Biện pháp SIFF Yaar [3] đề xuất để giảm thiểu ngập lụt tấn công DDoS bằng cách sử dụng một cơ chế trong khả năng của host cuối có thể phân chia lưu lượng truy cập Internet tách thành hai lớp: đặc quyền và không đặc quyền. Host cuối có thể trao đổi capabilities sẽ được sử dụng trong giao thông đặc quyền. Router sau đó sẽ xác minh những capabilities này một cách không trạng thái. Những capabilities này được giao trong một động cơ chế, vì vậy máy cư xử sai trái (máy tấn công) có thể có khả năng bị thu hồi capabilities. Trái ngược với cách tiếp cận khác, kế hoạch này không đòi hỏi một cơ chế che phủ, nhưng nó có yêu cầu sửa đổi của máy khách và máy chủ, cũng như cả ở router nữa. Các máy khách sẽ sử dụng một giao thức bắt tay vào khả năng trao đổi, và sau đó là lưu lượng truy cập đặc quyền sẽ được giải quyết nhanh của mạng, trái ngược với giao thông không có đặc quyền mà sẽ không nhận được ưu tiên. Có quy định tại chỗ để ngăn chặn tấn công gửi tràn với lưu lượng truy cập đặc quyền của một người trái phép, ví dụ, bởi một người cố gắng tạo ra capabilities (thực hiện bằng cách đánh dấu trong mỗi gói). Nếu một máy khách với capabilities bắt đầu ngập lụt, sau đó các thông tin cho lưu lượng truy cập đặc quyền có thể bị thu hồi với máy khách đó. Các tác giả của cơ chế này đề xuất hai con đường: một là cơ chế Internet thế hệ tiếp theo kết hợp những kỹ thuật này và một là cơ chế cho các giao thức mạng hiện nay ở IPv4. Đó là còn chưa rõ ràng rằng những con đường sẽ chứng minh hiệu quả hay không. Tóm lại, kỹ thuật này cũng chấp nhận nhiều giả thiết, trong đó có giả định là máy khách và máy chủ cập nhật các phần mềm theo giao thức TCP / IP để kết hợp sửa đổi cần thiết cho các capabilities mới. Ưu điểm là không cần thiết phải có-liên-ISP hay hợp tác giữa các ISP. Tuy nhiên, nó cũng giả định rằng giả mạo là hạn chế, và việc xử lý và duy trì trạng thái được yêu cầu tại từng router. Các giao thức mạng mới yêu cầu đánh dấu không gian trong tiêu đề gói IP, hợp tác của khách hàng và máy chủ, mỗi router phải đánh dấu các gói tin, và tuyến đường giữa các máy trên mạng vẫn ổn định. Các giả định này là khá hạn chế, so với những gì có thể xảy ra trong một mạng thực sự. 2.10 Biện pháp lọc đếm chặng HCF Lọc đếm chặng, Hop-Count Filtering, được đề xuất bởi Jin [7], là một dự án nghiên cứu tại Đại học Michigan, nhằm bảo vệ chống lại DDoS bằng cách quan sát các giá trị TTL (thời gian để sinh sống, số lượng các chặng hoặc router mà một gói tin sẽ đi qua trước khi đến đích, hoặc bị bỏ đi để tránh chặng đường quá dài hoặc lặp lại, giá trị được giảm đi ở mỗi router các gói tin đi qua) trong các gói tin inbound. Triển khai tại các mạng mục tiêu, nó quan sát giá trị TTL cho bất kỳ địa chỉ nguồn trên mạng mà đi qua mạng mục tiêu, cố gắng để suy luận một số hop đếm số chặng (có nghĩa là, khoảng cách của người gửi đến máy phòng thủ) và xây dựng bảng mà ràng buộc một IP cho trước với số chặng. Hệ thống này tạo nên dự đoán của chặng đếm bắt đầu với giá trị TTL quan sát và đoán giá trị TTL ban đầu đã được đặt trong gói tin ở người gửi. Chỉ có một vài giá trị như hệ điều hành sử dụng và họ là khá khác nhau, tạo điều kiện đoán chính xác. Số chặng sau đó được tính bằng sự chênh lệch giữa TTL ban đầu và các giá trị quan sát được. Số chặng Hop-count phân phối theo phân phối chuẩn (chuông đường cong), vì có sự biến đổi đủ trong giá trị TTL. Nếu kẻ tấn công muốn đạt được điều này, hắn sẽ phải đoán đúng giá trị TTL để chèn vào một gói tin giả mạo, để số chặng suy luận phù hợp với giá trị mong đợi. Giả mạo trở nên khó khăn, vì kẻ tấn công giờ phải giả mạo giá trị TTL chính xác để liên kết với một địa chỉ nguồn được giả mạo và, tăng cường số chặng khác biệt thích hợp giữa kẻ tấn công và địa chỉ giả mạo, giao thông độc hại trở nên một mô hình dễ dàng hơn. Trong các hoạt động chung, các bộ lọc đếm chặng là thụ động trong khi nó đang phân tích lưu lượng và nối nó với các bảng tính đến thành lập các giả định hop. Nếu số lượng bất xứng hợp vượt qua một ngưỡng thành lập, chương trình bắt đầu lọc. Các bàn đến đều được cập nhật liên tục bằng cách kiểm tra một ngẫu nhiên kết nối TCP đến một trang web trong mạng được bảo vệ. Lưu ý rằng chương trình này cố gắng để ngăn chặn lưu lượng truy cập giả mạo. Không có gì ngăn cản kẻ tấn công khỏi việc phát động một cuộc tấn công bằng các nguồn thực và mang giá trị TTL chính xác, và do đó các cuộc tấn công bằng cách sử dụng các mạng bot lớn hoặc sâu với DDoS, mà không cần phải mạo địa chỉ nguồn để thành công, vẫn sẽ là một vấn đề. Vì các loại tấn công trở nên dễ dàng ngày hôm nay, những kẻ tấn công chỉ cần áp dụng phương pháp này trên giả mạo địa chỉ nguồn để có thể vượt qua phòng thủ như vậy. Giống như những cuộc phòng thủ phía nạn nhân, phương pháp này không thể giúp bảo vệ chống lại các cuộc tấn công quy mô lớn dựa trên việc gửi tràn tới liên kết tới vào máy thực hiện việc kiểm tra các giá trị TTL. Chương 3: SOS VÀ WEBSOS 3.1 Giao thức Chord Cả hai kiến trúc SOS và WebSOS đều sử dụng một kĩ thuật đó là định tuyến theo cấu trúc, hay bảng băm phân tán DHT – Distributed Hash Tables, qua việc xây dựng một mạng bao phủ có ứng dụng giao thức Chord, vì vậy trước tiên chúng ta sẽ tìm hiểu về giao thức Chord này. Giao thức Chord là một giao thức tìm kiếm phân tán được đề xuất bởi Stoica và các đồng nghiệp [14] tại hội nghị ACM Sigcomm diễn ra vào 8/2001 qua bài báo “Chord: A Scalable Peer-to-peer Lookup Service for Internet Applications”. Chord cung cấp hỗ trợ cho một hoạt động duy nhất: cho một giá trị key, nó sẽ ánh xạ giá trị key đó tới một node trong mạng. Ở đây việc ánh xạ giá trị key đến node trong mạng được thực hiện bởi một hàm băm nhất quán, băm giá trị key để cho ra một giá trị băm, chính giá trị băm này sẽ tương ứng với node tương ứng trong mạng. Từ đó việc lưu trữ và tìm kiếm dữ liệu trong mạng sẽ dễ dàng được thực hiện thông qua việc liên kết mỗi key với các đơn vị dữ liệu để lưu trữ cặp key/ dữ liệu đó tại node mà key ánh xạ đến. Trong mạng Chord, mỗi node được cấp phát một định danh ID thông qua một hàm băm nhất quán trong khoảng [0, 2m] với một giá trị m định trước. Các node trong mạng bao phủ được sắp xếp thứ tự theo định danh của chúng, và được tổ chức theo vòng, thuận chiều kim đồng hồ. Hình 1: Định tuyến theo Chord [14]. Mỗi node sẽ duy trì một bảng gọi là finger table, chứa đựng định danh của m node trong mạng bao phủ. Giá trị ở hàng thứ i trong bảng finger table của node có định danh x, là node có định danh nhỏ nhất mà lớn hơn hoặc bằng x + 2i-1. ( (mod 2m)), như