Tweet
Thông thường trong thời gian tấn công DDoS flooding được phát hiện, chúng ta không thể làm gì ngoại trừ việc ngắt kết nối máy nạn nhân từ mạng và tự sửa chữa các vấn đề. Tấn công DDoS flooding lãng phí rất nhiều tài nguyên (Ví dụ: thời gian xử lý, không gian,…) trên con đường dẫn đến các máy mục tiêu, do đó, mục tiêu cuối cùng của bất kỳ cơ chế DDoS phòng vệ là để phát hiện chúng càng sớm càng tốt và ngăn chặn chúng càng nhanh càng tốt.
Hơn nữa, số lượng các gói tin thông thường tiếp cận với các nạn nhân ngay cả khi các nạn nhân đang bị tấn công DDoS (tức là ở giữa một cuộc tấn công DDoS) tăng lên khi cơ chế phản ứng (ví dụ như lọc gói tin) thả các gói tin tấn công gần gũi hơn với các nguồn cuộc tấn công. Nếu không, như các dòng tấn công tiếp cận với gần hơn các nạn nhân, cơ chế lọc gói thả các gói tin hợp pháp hơn được mệnh danh cho các nạn nhân.
Một vài cơ chế để chống lại các cuộc tấn công DDoS flooding đã được đề xuất cho đến nay. Trong phần này, chúng em phân loại các cơ chế phòng vệ chống lại hai loại tấn công DDoS flooding mà chúng em trình bày trong Chương 3 sử dụng hai tiêu chí. Chúng em tin rằng các tiêu chí phân loại rất quan trọng trong việc đưa ra các giải pháp bảo vệ mạnh mẽ. Những tiêu chí hàng đầu để phân loại là địa điểm nơi mà các cơ chế bảo vệ được thực hiện (tức là triển khai vị trí). Chúng em phân loại các cơ chế phòng vệ chống lại DDoS mạng/vận tải các cấp độ tấn công tràn bộ nhớ vào bốn loại: Dựa trên địa chỉ nguồn, địa chỉ đích, mạng và hybrid (phân phối A.K.A) và các cơ chế bảo vệ chống lại DDoS cấp ứng dụng tràn ngập các cuộc tấn công vào hai loại: dựa trên điểm đến, và hybrid (phân phối aka) dựa trên vị trí triển khai của họ.
Hình trên cho thấy sự phân loại các cơ chế bảo vệ chống lại tấn công DDoS flooding mạng/vận tải cấp độ dựa trên vị trí triển khai của họ trong một mạng đơn giản của hệ thống tự quản lý (AS). Không có cơ chế phòng vệ nào dựa trên mạng chống lại tấn công DDoS flooding ở cấp ứng dụng kể từ DDoS flooding cấp ứng dụng lưu lượng tấn công là không thể tiếp cận ở lớp 2 (switch) và lớp 3 (router) thiết bị. Phân loại các cơ chế phòng thủ DDoS dựa trên vị trí triển khai của họ lần đầu tiên và nó được sử dụng y một số cuộc điều tra khác là một trong những tiêu chí phân loại của họ. Trong bài báo cáo này, chúng em mở rộng tiêu chí phân loại này bằng cách thêm một loại lai ghép và phân tích một số cơ chế phòng thủ DDoS gần đây trong mỗi loại.
Tiêu chí thứ hai để phân loại là thời điểm khi các cơ chế phòng thủ DDoS nên hành động để phản ứng lại một cuộc tấn công DDoS flooding. Dựa trên tiêu chí này, chúng em phân loại cả hai cơ chế phòng vệ chống lại ở cấp ứng dụng và DDoS flooding mạng/vận tải cấp độ tấn công vào ba nhóm (tức là ba điểm phòng thủ chống lại các tấn công tràn ngập): trước khi tấn công (chống tấn công), trong cuộc tấn công (phát hiện tấn công), và sau khi tấn công (nhận dạng và đáp ứng nguồn tấn công). Tuy nhiên, một cơ chế DDoS phòng thủ diện bao gồm cả ba cơ chế phòng vệ vì không có một mức nào đáp ứng được cho tất cả giải pháp cho vấn đề DDoS. Đóng góp của chúng em để các tiêu chí phân loại cuối cùng là phân loại và liệt kê hầu hết các cơ chế bảo vệ gần đây chống lại tấn công tràn ngập DDoS vào các loại nói trên. Hình dưới cho thấy sự phân loại nêu trên trong các cơ chế bảo vệ chống lại tấn công DDoS flooding.
1. Phân loại dựa trên vị trí triển khai
Cơ chết bảo vệ, chống lại tấn công DDoS tràn ngập tầng mạng/vận chuyển Sau đây, chúng em thảo luận về các cơ chế bảo vệ theo từng hạng mục trong các tiêu chí phân loại đầu tiên.
1.1 Cơ chế dựa trên nguồn
Cơ chế dựa trên nguồn được triển khai gần các nguồn trong các cuộc tấn công để ngăn khách hàng mạng khỏi sự tạo ra cuộc tấn công DDoS flooding.
Những cơ chế này có thể diễn ra cả ở bộ định tuyến biên trong mạng lưới địa phương của nguồn hoặc tại các bộ định tuyến truy cập của một hệ thống tự trị (AS) kết nối với bộ định tuyến biên của nguồn. [1] Cơ chế dựa trên nguồn khác nhau đã được thiết kế để bảo vệ chống lại tấn công DDoS flooding tại nguồn,gồm một số những cái chính như sau:
Ingress/Egress lọc tại bộ định tuyến biên của nguồn
Những giao thức IP hiện nay cho phép các host nguồn thay đổi địa chỉ nguồn trong gói tin IP. Các gói tin với địa chỉ IP nguồn gây ra một vấn đề lớn trong việc phát hiện tấn công DDOS flooding. Nạn nhân không thể phân biệt được gói tin tấn công từ những người hợp pháp dựa trên địa chỉ nguồn. Mặc dù giao thức IPSec có thể giải quyết vấn đề này bằng cách chứng thực địa chỉ nguồn trong gói tin IP, phương pháp này không được triển khai rộng rãi trong các nhà cung cấp dịch vụ vì chi phí tăng lên của nó. Ingress/cơ chế lọc Egress đã được đề xuất để phát hiện và các gói tin bộ lọc với các địa chỉ IP giả mạo tại bộ định tuyến biên của nguồn dựa trên phạm vi địa chỉ IP hợp lệ nội mạng. Tuy nhiên, các gói tin giả mạo sẽ không được phát hiện nếu địa chỉ của họ vẫn còn trong phạm vi địa chỉ IP nội bộ hợp lệ. Ví dụ, nếu một gói tin được gửi từ máy chủ i trong mạng M với địa chỉ nguồn của host J, mà cũng là hợp lệ trong mạng M, việc lọc sẽ không phát hiện nó như một địa chỉ giả mạo. Hơn nữa, sử dụng Ingress/bộ lọc Egress với người sử dụng IP di động, lưu lượng mạng từ một IP di động hợp pháp (tức là IPv4) địa chỉ có được tunnelled để tránh lọc. Hơn nữa, xem xét các xu hướng về sử dụng botnet để khởi động các cuộc tấn công khác nhau, kẻ tấn công có thể vẫn tấn công các mục tiêu của họ bằng cách sử dụng cái hồ zombie với địa chỉ IP chính hãng có sẵn thông qua các botnet.
D-WARD
Chương trình này nhằm mục đích phát hiện DDOS flooding tấn công lưu lượng bằng cách giám sát cả lưu lượng vào và ra của một mạng lưới nguồn và so sánh các thông tin lưu lượng mạng với các mô hình lưu thông bình thường được xác định trước.
D-WARD cố gắng để ngăn chặn nguồn gốc tấn công lưu lượng từ một mạng tại biên của mạng nguồn. Các dòng tấn công được xác định và lọc nếu nó không phù hợp với mô hình lưu thông bình thường. Ví dụ, trong giao thức TCP mỗi gói sẽ được công nhận bởi người nhận. Do đó, các mô hình lưu lượng bình thường cho TCP có thể được xác định bởi một tỷ lệ tối đa cho phép trong các số lượng gói tin được gửi và nhận trong dòng dòng TCP tổng hợp để các đồng đẳng. Một mô hình bình thường đối với tất cả các loại lưu lượng khác cũng có thể được định nghĩa theo cách tương tự. Việc hiệu chuẩn của mô hình bình thường đối với mỗi loại hình lưu lượng tăng cường tỷ lệ khẳng định sai. Mặc dù D-WARD có thể tạo ra các quy tắc lọc tại nguồn, nó chiếm không gian bộ nhớ hơn và chu kỳ CPU hơn so với một số các cơ chế phòng vệ dựa trên mạng.
Hơn nữa, không có biện pháp khuyến khích mạnh mẽ cho các nhà cung cấp để sử dụng D-WARD vì nó bảo vệ “mạng nhưng không phải là nhà cung cấp” những người khác mạng khỏi sự các cuộc tấn công DDoS flooding. Hơn nữa, D-WARD có thể dễ dàng bỏ qua bởi những kẻ tấn công có thể kiểm soát lưu lượng của họ là trong một phạm vi bình thường.
Cây đa tầng cho gói tin thống kê trực tuyến (MULTOPS) và lập bảng thống kê gói tin trực tuyến (TOPS)
MULTOPS là một heuristic và một cấu trúc dữ liệu mà thiết bị mạng (ví dụ các bộ định tuyến) tại subnet nguồn có thể sử dụng để phát hiện các cuộc tấn công DDoS flooding. Thông thường tỷ lệ lưu lượng theo một hướng là tỷ lệ thuận với đó theo hướng ngược lại trong các hoạt động bình thường trên Internet. Do đó, một sự khác biệt đáng kể giữa tỷ lệ lưu lượng đi và đến từ một máy chủ hoặc mạng con có thể chỉ ra rằng các tiền tố mạng có thể là từ nguồn hoặc đích của một tấn công. MULTOPS phát hiện và lọc DDoS flooding các cuộc tấn công dựa trên cơ chế này. Một nhược điểm lớn trong MULTOPS là nó sử dụng một cấu trúc cây năng động để theo dõi giá gói cho mỗi địa chỉ IP mà làm cho nó một mục tiêu dễ bị tổn thương trong một cuộc tấn công bộ nhớ kiệt sức. Một cách tiếp cận gọi là TOPS thay thế cung cấp một phương pháp hiệu quả để phát hiện sự mất cân bằng lưu lượng gói tin dựa trên một chương trình băm mà sử dụng một tập hợp nhỏ của các bảng tra cứu dài trường. TOPS có thể cải thiện độ chính xác và giảm tỷ lệ báo động sai của hệ thống bằng cách giám sát lưu lượng bằng giao thức, và duy trì một phân bố xác suất trong lưu lượng lưu lượng. Hơn nữa, hiệu quả và chính xác TOPS làm cho nó phù hợp để thực hiện trong các bộ định tuyến.
Cả hai MULTOPS và TOPS được dựa trên giả định rằng tỷ lệ lưu lượng vào và ra là tỷ lệ thuận, mà không phải là luôn luôn như vậy. Ví dụ, giá cho dòng đa phương tiện không phải là tỷ lệ và thường là giá lưu lượng từ các máy chủ cao hơn so với những người từ các khách hàng đáng kể. Do đó, MULTOPS và TOPS có thể có tỷ lệ phủ định sai cao. Hơn nữa, những kẻ tấn công có thể làm tăng tỷ lệ các mức lưu lượng đến và đi một cách hợp pháp (ví dụ tải các tập tin lớn từ các máy chủ FTP khác nhau thông qua một số nguồn chính hãng), do đó, trong cuộc tấn công, lưu lượng tấn công sẽ được không bị phát hiện vì sự giống nhau của các giá lưu lượng tấn công vào cước theo lưu lượng đã được tăng lên một cách hợp pháp.
Tường lửa ngược MANAnets
Trái ngược với một bức tường lửa truyền thống, trong đó bảo vệ một mạng lưới từ các gói tin gửi đến, các bức tường lửa ngược bảo vệ bên ngoài từ các cuộc tấn công tràn bộ đệm có nguồn gốc từ bên trong một mạng. Một bức tường lửa ngược lại giới hạn tốc độ mà tại đó nó sẽ chuyển tiếp các gói tin mà không phải là trả lời cho các gói khác mà gần đây đã được chuyển tiếp theo hướng khác. Tất nhiên, nó phải được thể gửi một số gói dữ liệu mà không phải là trả lời, ví dụ, để bắt đầu một cuộc hội thoại mới. Tuy nhiên, các gói tin này không được truyền với tốc độ cao. Một trong những nhược điểm chính của tường lửa ngược là nó có nhãn và đòi hỏi sự tham gia của người quản trị. Hơn nữa, cấu hình tường lửa ngược lại có thể không được tự động thay đổi khi chạy. Hơn nữa, không có lợi ích (ví dụ lợi ích tài chính) cho các mạng nguồn để triển khai tường lửa ngược lại tốn kém vì không có lợi ích cho các mạng nguồn.
Cơ chế phòng vệ dựa trên nguồn nhằm mục đích phát hiện và lọc lưu lượng tấn công vào các nguồn của các cuộc tấn công, Tuy nhiên, chúng không hoàn toàn hiệu quả chống lại các cuộc tấn công DDoS flooding. Có ba lý do chính mà làm cho các cơ chế một lựa chọn sai lầm chống lại các cuộc tấn công DDoS flooding.
Đầu tiên, nguồn gốc của các cuộc tấn công có thể được phân phối trong các lĩnh vực khác nhau gây khó khăn cho mỗi nguồn để phát hiện và tấn công bộ lọc các dòng chính xác. Thứ hai, rất khó để phân biệt giữa lưu lượng hợp pháp và tấn công gần các nguồn, kể từ khi khối lượng của lưu lượng có thể không đủ lớn như lưu lượng thường tập hợp tại các điểm gần gũi hơn với những điểm đến.
2. Cơ chế dựa trên đích
Trong cơ chế bảo vệ điểm dựa trên, phát hiện và đáp ứng được hầu hết là thực hiện tại điểm đến của các cuộc tấn công (tức là nạn nhân). Có tồn tại nhiều cơ chế điểm dựa trên có thể diễn ra vào lúc hoặc bộ định tuyến biên hoặc định tuyến truy cập của AS của điểm đến. Những cơ chế này có thể quan sát chặt chẽ các nạn nhân, mô hình hành vi của mình và phát hiện mọi bất thường. Một số cơ chế DDoS điểm dựa trên bảo vệ lớn như sau:
Cơ chế tìm lại IP
Quá trình truy tìm lại các gói tin IP giả mạo với các nguồn thật của chúng chứ không phải địa chỉ IP giả mạo đã được sử dụng trong vụ tấn công được gọi là traceback. Có cơ chế IP traceback khác nhau đã được đề xuất cập nhật. Những cơ chế này có thể được phân thành hai loại chính. Các loại đầu tiên là đánh dấu gói cơ chế. Thông thường router trong đường dẫn đến các gói hiệu nạn nhân (tức là thêm routersidentification vào mỗi gói) để các nạn nhân có thể xác định con đường lưu lượng tấn công và phân biệt nó với lưu lượng hợp pháp sau khi phát hiện. Tuy nhiên, lưu trữ toàn bộ đường dẫn trong lĩnh vực nhận dạng IP của mỗi gói cần chương trình mã hóa nhất định và các chương trình đôi khi không thể gán mỗi dấu cho một con đường độc đáo, do đó, tỷ lệ báo nhầm của các cơ chế này vẫn còn cao. Nói cách khác, các gói tin hợp pháp có thể được coi như là các gói tin tấn công. Loại thứ hai là các cơ chế kiểm tra liên kết, trong đó quá trình traceback thường bắt đầu từ router gần nhất với các nạn nhân và lặp đi lặp lại kiểm tra các liên kết thượng nguồn của nó cho đến khi nó có thể được xác định mà liên kết được sử dụng để truyền tải lưu lượng của kẻ tấn công (tức là quá trình traceback được đệ quy lặp đi lặp lại trên các bộ định tuyến thượng nguồn cho đến khi các nguồn đạt được).
Thông tin quản lý cơ sở (MIB)
Dữ liệu MIB bao gồm các thông số mà chỉ khác nhau thống kê gói và định tuyến. Tiếp tục phân tích MIB có thể giúp đỡ các nạn nhân để xác định khi một cuộc tấn công DDoS đang xảy ra. Trong một cuộc tấn công DDoS, có thể để bản đồ ICMP, UDP, và các gói tin TCP bất thường thống kê cho một cuộc tấn công DDoS cụ thể bằng cách xác định các mô hình thống kê liên quan đến các thông số khác nhau. Hơn nữa, cơ chế này cũng có thể cung cấp nhiều cách để điều chỉnh các thông số mạng để bù đắp cho sự lưu thông không mong muốn (ví dụ: thêm nhiều nguồn lực để mạng đích).
Mặc dù việc phân tích dữ liệu MIB nghe đầy hứa hẹn trong việc phát hiện các cuộc tấn công DDoS, hiệu quả của nó cần phải được đánh giá thêm trong một môi trường mạng thực sự.
Đánh dấu gói và cơ chế lọc
Những cơ chế này nhằm mục đích đánh dấu gói tin hợp pháp tại mỗi router dọc theo con đường của họ đến đích để định tuyến biên của nạn nhân có thể lọc lưu lượng tấn công.
Những cơ chế này cho phép các máy thu cài đặt bộ lọc mạng động để chặn lưu lượng không mong muốn. cơ chế lọc gói tin phụ thuộc một phần vào sức mạnh của những kẻ tấn công, và khi nó làm tăng, bộ lọc trở nên không hiệu quả và họ không thể được cài đặt. Một vài cơ chế lọc gói điểm dựa trên đã được đề xuất trong văn học cho đến nay. Dưới đây chúng em mô tả ngắn gọn một số trong những cơ chế đề xuất:
Tính năng này cho phép các nạn nhân để sử dụng các dấu Pi để lọc ra các gói tin phù hợp với định danh của kẻ tấn công trên một cơ sở cho mỗi gói tin được coi là một vai trò chủ động trong việc bảo vệ chống lại một cuộc tấn công DDoS. Pi là hiệu quả nếu khoảng một nửa trong số các router trên Internet tham gia vào gói đánh dấu.
Nhược điểm chính của Pi là các giới hạn về kích thước của trường xác định có thể dẫn đến các thông tin cùng một con đường đại diện cho con đường khác nhau. Điều này có thể làm giảm hoạt động của cơ chế Pi (tức là tăng tỷ lệ dương tính giả/âm tính giả).
Thả gói dựa vào mức độ tắc nghẽn
Những cơ chế phòng vệ DDoS điểm dựa trên thả gói khả nghi khi các liên kết mạng bị nghẽn đến một mức độ nhất định. Các Packetscore là một ví dụ về loại này.
Packetscore, bởi Kim et al.. là một đặc tính tấn công tự động, chọn lọc ném bỏ gói dữ liệu và cơ chế kiểm soát tình trạng quá tải. Ý tưởng chính là để ưu tiên các gói dựa trên mỗi gói số đó ước tính hợp pháp của một gói tin cho các thuộc tính giá trị nó mang. Sau đó, một khi số điểm của một gói được tính tại Phát hiện - Khác biệt - Loại bỏ các bộ định tuyến (3D-R) bằng cách sử dụng một số liệu Bayesian lý thuyết, một số dựa trên phương pháp gói tin chọn lọc tại đích loại bỏ được thực hiện. Ngưỡng này thả cho phương pháp loại bỏ gói tin được tự động điều chỉnh dựa trên sự phân bố điểm số của các gói đến gần đây và mức độ hiện tại của tình trạng quá tải của hệ thống.
Tuy nhiên, Kim et al.. không cung cấp bất kỳ kết quả để hiển thị như thế nào thời gian quy mô của bản cập nhật của scorebooks, điểm số chức năng phân phối tích lũy (CDF) và ngưỡng ném bỏ năng động có thể ảnh hưởng đến thời gian phản ứng và quyết định của chương trình loại bỏ gói tin chọn lọc đề xuất của họ khi phải chịu sự sắp đặt hơn đồng bộ các cuộc tấn công DDoS.
Hầu hết các cơ chế destination-based không thể phát hiện chính xác và đáp ứng với các cuộc tấn công trước khi nó đạt tới các nạn nhân và cướp đi nguồn lực vào các đường dẫn đến các nạn nhân, do đó, họ không có khả năng phát hiện và ứng phó với các cuộc tấn công DDoS lưu lượng thích hợp. Do đó, cơ chế phòng thủ DDoS dựa trên mạng đã được đề xuất để giải quyết vấn đề này và để giúp cả hai cơ chế nguồn và đích dựa để thực hiện nhiệm vụ của mình một cách chính xác hơn.
Link Phần 2: https://www.forum.vnpro.org/forum/cc...ph%E1%BA%A7n-2
Hình: Tấn công DDoS
Hình trên cho thấy rằng phát hiện và phản hồi có thể được thực hiện ở những nơi khác nhau trên đường dẫn giữa nạn nhân và các nguồn của các cuộc tấn công. Như mô tả trong sơ đồ, một tấn công DDoS flooding giống như một cái phễu, trong đó các luồng tấn công được tạo ra trong một khu vực phân tán (tức là nguồn), tạo thành các đỉnh của phễu. Những nạn nhân, ở đoạn cuối của phễu, sẽ nhận tất cả các cuộc tấn công được tạo ra. Vì vậy, nó không khó để thấy rằng việc phát hiện một cuộc tấn công DDoS flooding là tương đối dễ dàng hơn ở các điểm đến (nạn nhân), vì tất cả các dòng có thể được quan sát thấy ở các điểm đến. Ngược lại, đó là khó khăn cho một mạng lưới nguồn cá nhân trong các cuộc tấn công để phát hiện những cuộc tấn công trừ khi một số lượng lớn các dòng tấn công được khởi đầu từ nguồn đó. Rõ ràng, đó là mong muốn để đối phó với các dòng tấn công hoặc hơn nữa là các nguồn của các cuộc tấn công, nhưng luôn luôn có một sự đánh đổi giữa tính chính xác của việc phát hiện ra dòng và nguồn tấn công, và các cơ chế phòng ngừa và ứng phó có thể bị ngăn chặn hoặc là trả lời lại các cuộc tấn công đó.Hơn nữa, số lượng các gói tin thông thường tiếp cận với các nạn nhân ngay cả khi các nạn nhân đang bị tấn công DDoS (tức là ở giữa một cuộc tấn công DDoS) tăng lên khi cơ chế phản ứng (ví dụ như lọc gói tin) thả các gói tin tấn công gần gũi hơn với các nguồn cuộc tấn công. Nếu không, như các dòng tấn công tiếp cận với gần hơn các nạn nhân, cơ chế lọc gói thả các gói tin hợp pháp hơn được mệnh danh cho các nạn nhân.
Một vài cơ chế để chống lại các cuộc tấn công DDoS flooding đã được đề xuất cho đến nay. Trong phần này, chúng em phân loại các cơ chế phòng vệ chống lại hai loại tấn công DDoS flooding mà chúng em trình bày trong Chương 3 sử dụng hai tiêu chí. Chúng em tin rằng các tiêu chí phân loại rất quan trọng trong việc đưa ra các giải pháp bảo vệ mạnh mẽ. Những tiêu chí hàng đầu để phân loại là địa điểm nơi mà các cơ chế bảo vệ được thực hiện (tức là triển khai vị trí). Chúng em phân loại các cơ chế phòng vệ chống lại DDoS mạng/vận tải các cấp độ tấn công tràn bộ nhớ vào bốn loại: Dựa trên địa chỉ nguồn, địa chỉ đích, mạng và hybrid (phân phối A.K.A) và các cơ chế bảo vệ chống lại DDoS cấp ứng dụng tràn ngập các cuộc tấn công vào hai loại: dựa trên điểm đến, và hybrid (phân phối aka) dựa trên vị trí triển khai của họ.
Hình: Phân loại các cơ chế bảo vệ chống lại tấn công tràn ngập DDoS
Hình trên cho thấy sự phân loại các cơ chế bảo vệ chống lại tấn công DDoS flooding mạng/vận tải cấp độ dựa trên vị trí triển khai của họ trong một mạng đơn giản của hệ thống tự quản lý (AS). Không có cơ chế phòng vệ nào dựa trên mạng chống lại tấn công DDoS flooding ở cấp ứng dụng kể từ DDoS flooding cấp ứng dụng lưu lượng tấn công là không thể tiếp cận ở lớp 2 (switch) và lớp 3 (router) thiết bị. Phân loại các cơ chế phòng thủ DDoS dựa trên vị trí triển khai của họ lần đầu tiên và nó được sử dụng y một số cuộc điều tra khác là một trong những tiêu chí phân loại của họ. Trong bài báo cáo này, chúng em mở rộng tiêu chí phân loại này bằng cách thêm một loại lai ghép và phân tích một số cơ chế phòng thủ DDoS gần đây trong mỗi loại.
Tiêu chí thứ hai để phân loại là thời điểm khi các cơ chế phòng thủ DDoS nên hành động để phản ứng lại một cuộc tấn công DDoS flooding. Dựa trên tiêu chí này, chúng em phân loại cả hai cơ chế phòng vệ chống lại ở cấp ứng dụng và DDoS flooding mạng/vận tải cấp độ tấn công vào ba nhóm (tức là ba điểm phòng thủ chống lại các tấn công tràn ngập): trước khi tấn công (chống tấn công), trong cuộc tấn công (phát hiện tấn công), và sau khi tấn công (nhận dạng và đáp ứng nguồn tấn công). Tuy nhiên, một cơ chế DDoS phòng thủ diện bao gồm cả ba cơ chế phòng vệ vì không có một mức nào đáp ứng được cho tất cả giải pháp cho vấn đề DDoS. Đóng góp của chúng em để các tiêu chí phân loại cuối cùng là phân loại và liệt kê hầu hết các cơ chế bảo vệ gần đây chống lại tấn công tràn ngập DDoS vào các loại nói trên. Hình dưới cho thấy sự phân loại nêu trên trong các cơ chế bảo vệ chống lại tấn công DDoS flooding.
1. Phân loại dựa trên vị trí triển khai
Cơ chết bảo vệ, chống lại tấn công DDoS tràn ngập tầng mạng/vận chuyển Sau đây, chúng em thảo luận về các cơ chế bảo vệ theo từng hạng mục trong các tiêu chí phân loại đầu tiên.
1.1 Cơ chế dựa trên nguồn
Cơ chế dựa trên nguồn được triển khai gần các nguồn trong các cuộc tấn công để ngăn khách hàng mạng khỏi sự tạo ra cuộc tấn công DDoS flooding.
Những cơ chế này có thể diễn ra cả ở bộ định tuyến biên trong mạng lưới địa phương của nguồn hoặc tại các bộ định tuyến truy cập của một hệ thống tự trị (AS) kết nối với bộ định tuyến biên của nguồn. [1] Cơ chế dựa trên nguồn khác nhau đã được thiết kế để bảo vệ chống lại tấn công DDoS flooding tại nguồn,gồm một số những cái chính như sau:
Ingress/Egress lọc tại bộ định tuyến biên của nguồn
Những giao thức IP hiện nay cho phép các host nguồn thay đổi địa chỉ nguồn trong gói tin IP. Các gói tin với địa chỉ IP nguồn gây ra một vấn đề lớn trong việc phát hiện tấn công DDOS flooding. Nạn nhân không thể phân biệt được gói tin tấn công từ những người hợp pháp dựa trên địa chỉ nguồn. Mặc dù giao thức IPSec có thể giải quyết vấn đề này bằng cách chứng thực địa chỉ nguồn trong gói tin IP, phương pháp này không được triển khai rộng rãi trong các nhà cung cấp dịch vụ vì chi phí tăng lên của nó. Ingress/cơ chế lọc Egress đã được đề xuất để phát hiện và các gói tin bộ lọc với các địa chỉ IP giả mạo tại bộ định tuyến biên của nguồn dựa trên phạm vi địa chỉ IP hợp lệ nội mạng. Tuy nhiên, các gói tin giả mạo sẽ không được phát hiện nếu địa chỉ của họ vẫn còn trong phạm vi địa chỉ IP nội bộ hợp lệ. Ví dụ, nếu một gói tin được gửi từ máy chủ i trong mạng M với địa chỉ nguồn của host J, mà cũng là hợp lệ trong mạng M, việc lọc sẽ không phát hiện nó như một địa chỉ giả mạo. Hơn nữa, sử dụng Ingress/bộ lọc Egress với người sử dụng IP di động, lưu lượng mạng từ một IP di động hợp pháp (tức là IPv4) địa chỉ có được tunnelled để tránh lọc. Hơn nữa, xem xét các xu hướng về sử dụng botnet để khởi động các cuộc tấn công khác nhau, kẻ tấn công có thể vẫn tấn công các mục tiêu của họ bằng cách sử dụng cái hồ zombie với địa chỉ IP chính hãng có sẵn thông qua các botnet.
D-WARD
Chương trình này nhằm mục đích phát hiện DDOS flooding tấn công lưu lượng bằng cách giám sát cả lưu lượng vào và ra của một mạng lưới nguồn và so sánh các thông tin lưu lượng mạng với các mô hình lưu thông bình thường được xác định trước.
D-WARD cố gắng để ngăn chặn nguồn gốc tấn công lưu lượng từ một mạng tại biên của mạng nguồn. Các dòng tấn công được xác định và lọc nếu nó không phù hợp với mô hình lưu thông bình thường. Ví dụ, trong giao thức TCP mỗi gói sẽ được công nhận bởi người nhận. Do đó, các mô hình lưu lượng bình thường cho TCP có thể được xác định bởi một tỷ lệ tối đa cho phép trong các số lượng gói tin được gửi và nhận trong dòng dòng TCP tổng hợp để các đồng đẳng. Một mô hình bình thường đối với tất cả các loại lưu lượng khác cũng có thể được định nghĩa theo cách tương tự. Việc hiệu chuẩn của mô hình bình thường đối với mỗi loại hình lưu lượng tăng cường tỷ lệ khẳng định sai. Mặc dù D-WARD có thể tạo ra các quy tắc lọc tại nguồn, nó chiếm không gian bộ nhớ hơn và chu kỳ CPU hơn so với một số các cơ chế phòng vệ dựa trên mạng.
Hơn nữa, không có biện pháp khuyến khích mạnh mẽ cho các nhà cung cấp để sử dụng D-WARD vì nó bảo vệ “mạng nhưng không phải là nhà cung cấp” những người khác mạng khỏi sự các cuộc tấn công DDoS flooding. Hơn nữa, D-WARD có thể dễ dàng bỏ qua bởi những kẻ tấn công có thể kiểm soát lưu lượng của họ là trong một phạm vi bình thường.
Cây đa tầng cho gói tin thống kê trực tuyến (MULTOPS) và lập bảng thống kê gói tin trực tuyến (TOPS)
MULTOPS là một heuristic và một cấu trúc dữ liệu mà thiết bị mạng (ví dụ các bộ định tuyến) tại subnet nguồn có thể sử dụng để phát hiện các cuộc tấn công DDoS flooding. Thông thường tỷ lệ lưu lượng theo một hướng là tỷ lệ thuận với đó theo hướng ngược lại trong các hoạt động bình thường trên Internet. Do đó, một sự khác biệt đáng kể giữa tỷ lệ lưu lượng đi và đến từ một máy chủ hoặc mạng con có thể chỉ ra rằng các tiền tố mạng có thể là từ nguồn hoặc đích của một tấn công. MULTOPS phát hiện và lọc DDoS flooding các cuộc tấn công dựa trên cơ chế này. Một nhược điểm lớn trong MULTOPS là nó sử dụng một cấu trúc cây năng động để theo dõi giá gói cho mỗi địa chỉ IP mà làm cho nó một mục tiêu dễ bị tổn thương trong một cuộc tấn công bộ nhớ kiệt sức. Một cách tiếp cận gọi là TOPS thay thế cung cấp một phương pháp hiệu quả để phát hiện sự mất cân bằng lưu lượng gói tin dựa trên một chương trình băm mà sử dụng một tập hợp nhỏ của các bảng tra cứu dài trường. TOPS có thể cải thiện độ chính xác và giảm tỷ lệ báo động sai của hệ thống bằng cách giám sát lưu lượng bằng giao thức, và duy trì một phân bố xác suất trong lưu lượng lưu lượng. Hơn nữa, hiệu quả và chính xác TOPS làm cho nó phù hợp để thực hiện trong các bộ định tuyến.
Cả hai MULTOPS và TOPS được dựa trên giả định rằng tỷ lệ lưu lượng vào và ra là tỷ lệ thuận, mà không phải là luôn luôn như vậy. Ví dụ, giá cho dòng đa phương tiện không phải là tỷ lệ và thường là giá lưu lượng từ các máy chủ cao hơn so với những người từ các khách hàng đáng kể. Do đó, MULTOPS và TOPS có thể có tỷ lệ phủ định sai cao. Hơn nữa, những kẻ tấn công có thể làm tăng tỷ lệ các mức lưu lượng đến và đi một cách hợp pháp (ví dụ tải các tập tin lớn từ các máy chủ FTP khác nhau thông qua một số nguồn chính hãng), do đó, trong cuộc tấn công, lưu lượng tấn công sẽ được không bị phát hiện vì sự giống nhau của các giá lưu lượng tấn công vào cước theo lưu lượng đã được tăng lên một cách hợp pháp.
Tường lửa ngược MANAnets
Trái ngược với một bức tường lửa truyền thống, trong đó bảo vệ một mạng lưới từ các gói tin gửi đến, các bức tường lửa ngược bảo vệ bên ngoài từ các cuộc tấn công tràn bộ đệm có nguồn gốc từ bên trong một mạng. Một bức tường lửa ngược lại giới hạn tốc độ mà tại đó nó sẽ chuyển tiếp các gói tin mà không phải là trả lời cho các gói khác mà gần đây đã được chuyển tiếp theo hướng khác. Tất nhiên, nó phải được thể gửi một số gói dữ liệu mà không phải là trả lời, ví dụ, để bắt đầu một cuộc hội thoại mới. Tuy nhiên, các gói tin này không được truyền với tốc độ cao. Một trong những nhược điểm chính của tường lửa ngược là nó có nhãn và đòi hỏi sự tham gia của người quản trị. Hơn nữa, cấu hình tường lửa ngược lại có thể không được tự động thay đổi khi chạy. Hơn nữa, không có lợi ích (ví dụ lợi ích tài chính) cho các mạng nguồn để triển khai tường lửa ngược lại tốn kém vì không có lợi ích cho các mạng nguồn.
Cơ chế phòng vệ dựa trên nguồn nhằm mục đích phát hiện và lọc lưu lượng tấn công vào các nguồn của các cuộc tấn công, Tuy nhiên, chúng không hoàn toàn hiệu quả chống lại các cuộc tấn công DDoS flooding. Có ba lý do chính mà làm cho các cơ chế một lựa chọn sai lầm chống lại các cuộc tấn công DDoS flooding.
Đầu tiên, nguồn gốc của các cuộc tấn công có thể được phân phối trong các lĩnh vực khác nhau gây khó khăn cho mỗi nguồn để phát hiện và tấn công bộ lọc các dòng chính xác. Thứ hai, rất khó để phân biệt giữa lưu lượng hợp pháp và tấn công gần các nguồn, kể từ khi khối lượng của lưu lượng có thể không đủ lớn như lưu lượng thường tập hợp tại các điểm gần gũi hơn với những điểm đến.
2. Cơ chế dựa trên đích
Trong cơ chế bảo vệ điểm dựa trên, phát hiện và đáp ứng được hầu hết là thực hiện tại điểm đến của các cuộc tấn công (tức là nạn nhân). Có tồn tại nhiều cơ chế điểm dựa trên có thể diễn ra vào lúc hoặc bộ định tuyến biên hoặc định tuyến truy cập của AS của điểm đến. Những cơ chế này có thể quan sát chặt chẽ các nạn nhân, mô hình hành vi của mình và phát hiện mọi bất thường. Một số cơ chế DDoS điểm dựa trên bảo vệ lớn như sau:
Cơ chế tìm lại IP
Quá trình truy tìm lại các gói tin IP giả mạo với các nguồn thật của chúng chứ không phải địa chỉ IP giả mạo đã được sử dụng trong vụ tấn công được gọi là traceback. Có cơ chế IP traceback khác nhau đã được đề xuất cập nhật. Những cơ chế này có thể được phân thành hai loại chính. Các loại đầu tiên là đánh dấu gói cơ chế. Thông thường router trong đường dẫn đến các gói hiệu nạn nhân (tức là thêm routersidentification vào mỗi gói) để các nạn nhân có thể xác định con đường lưu lượng tấn công và phân biệt nó với lưu lượng hợp pháp sau khi phát hiện. Tuy nhiên, lưu trữ toàn bộ đường dẫn trong lĩnh vực nhận dạng IP của mỗi gói cần chương trình mã hóa nhất định và các chương trình đôi khi không thể gán mỗi dấu cho một con đường độc đáo, do đó, tỷ lệ báo nhầm của các cơ chế này vẫn còn cao. Nói cách khác, các gói tin hợp pháp có thể được coi như là các gói tin tấn công. Loại thứ hai là các cơ chế kiểm tra liên kết, trong đó quá trình traceback thường bắt đầu từ router gần nhất với các nạn nhân và lặp đi lặp lại kiểm tra các liên kết thượng nguồn của nó cho đến khi nó có thể được xác định mà liên kết được sử dụng để truyền tải lưu lượng của kẻ tấn công (tức là quá trình traceback được đệ quy lặp đi lặp lại trên các bộ định tuyến thượng nguồn cho đến khi các nguồn đạt được).
Thông tin quản lý cơ sở (MIB)
Dữ liệu MIB bao gồm các thông số mà chỉ khác nhau thống kê gói và định tuyến. Tiếp tục phân tích MIB có thể giúp đỡ các nạn nhân để xác định khi một cuộc tấn công DDoS đang xảy ra. Trong một cuộc tấn công DDoS, có thể để bản đồ ICMP, UDP, và các gói tin TCP bất thường thống kê cho một cuộc tấn công DDoS cụ thể bằng cách xác định các mô hình thống kê liên quan đến các thông số khác nhau. Hơn nữa, cơ chế này cũng có thể cung cấp nhiều cách để điều chỉnh các thông số mạng để bù đắp cho sự lưu thông không mong muốn (ví dụ: thêm nhiều nguồn lực để mạng đích).
Mặc dù việc phân tích dữ liệu MIB nghe đầy hứa hẹn trong việc phát hiện các cuộc tấn công DDoS, hiệu quả của nó cần phải được đánh giá thêm trong một môi trường mạng thực sự.
Đánh dấu gói và cơ chế lọc
Những cơ chế này nhằm mục đích đánh dấu gói tin hợp pháp tại mỗi router dọc theo con đường của họ đến đích để định tuyến biên của nạn nhân có thể lọc lưu lượng tấn công.
Những cơ chế này cho phép các máy thu cài đặt bộ lọc mạng động để chặn lưu lượng không mong muốn. cơ chế lọc gói tin phụ thuộc một phần vào sức mạnh của những kẻ tấn công, và khi nó làm tăng, bộ lọc trở nên không hiệu quả và họ không thể được cài đặt. Một vài cơ chế lọc gói điểm dựa trên đã được đề xuất trong văn học cho đến nay. Dưới đây chúng em mô tả ngắn gọn một số trong những cơ chế đề xuất:
- Lọc IP dựa vào lịch sử: Bằng cách sử dụng cơ chế này, nạn nhân có thể lọc lưu lượng tấn công băng thông theo lịch sử họ đã duy trì trong khi họ không bị tấn công. Đặc biệt, những điểm đến mục tiêu có thể sử dụng một cơ sở dữ liệu địa chỉ IP để giữ tất cả các địa chỉ IP mà thường xuyên xuất hiện tại các mục tiêu. Trong một cuộc tấn công băng thông, mục tiêu duy nhất thừa nhận các gói dữ liệu có nguồn địa chỉ IP thuộc về các cơ sở dữ liệu địa chỉ IP. Kỹ thuật này sẽ giúp các host đích trong quản lý tài nguyên khi liên kết của họ với mạng thượng nguồn trở thành một nút cổ chai trong một cuộc tấn công DDoS flooding. Tuy nhiên, bất kỳ quy mô lớn tấn công DDoS, mô phỏng hành vi lưu lượng bình thường sẽ đánh bại cơ chế như vậy.[*=1]Lọc hop-count: Trong cơ chế này, thông tin về một địa chỉ IP nguồn và bước truyền tương ứng của nó từ một điểm đến được ghi nhận trong bảng ở phía bên đích khi đích không bị tấn công. Một khi một báo động tấn công được nâng lên, các nạn nhân kiểm tra địa chỉ IP nguồn của gói dữ liệu vào và bước truyền tương ứng của họ để phân biệt các gói tin giả mạo. Nó không cần thiết cho các router để hợp tác lẫn nhau trong cơ chế này, Tuy nhiên, rất khó để đảm bảo tính toàn vẹn và tính chính xác của các địa chỉ IP nguồn và bước truyền tương ứng của họ từ các nạn nhân. Nói cách khác, những kẻ tấn công có thể giả mạo địa chỉ IP với cùng hop-count như máy của họ làm. Hơn nữa, các gói tin hợp pháp có thể được xác định là những người giả nếu chỉ IP của họ để hop-count ánh xạ là không chính xác hoặc nếu các bản cập nhật hop-count có một sự chậm trễ. Nhận dạng đường (Pi): Trong cơ chế này, một dấu vân tay path được nhúng trong mỗi gói cho phép một nạn nhân để xác định các gói tin đi qua các đường dẫn tương tự thông qua mạng Internet trên một cơ sở cho mỗi gói tin, mặc dù sự giả mạo địa chỉ IP nguồn. Pi là một cơ chế xác định mỗi gói có nghĩa là mỗi gói đó được di chuyển dọc theo cùng một con đường mang cùng một định danh.
Tính năng này cho phép các nạn nhân để sử dụng các dấu Pi để lọc ra các gói tin phù hợp với định danh của kẻ tấn công trên một cơ sở cho mỗi gói tin được coi là một vai trò chủ động trong việc bảo vệ chống lại một cuộc tấn công DDoS. Pi là hiệu quả nếu khoảng một nửa trong số các router trên Internet tham gia vào gói đánh dấu.
Nhược điểm chính của Pi là các giới hạn về kích thước của trường xác định có thể dẫn đến các thông tin cùng một con đường đại diện cho con đường khác nhau. Điều này có thể làm giảm hoạt động của cơ chế Pi (tức là tăng tỷ lệ dương tính giả/âm tính giả).
Thả gói dựa vào mức độ tắc nghẽn
Những cơ chế phòng vệ DDoS điểm dựa trên thả gói khả nghi khi các liên kết mạng bị nghẽn đến một mức độ nhất định. Các Packetscore là một ví dụ về loại này.
Packetscore, bởi Kim et al.. là một đặc tính tấn công tự động, chọn lọc ném bỏ gói dữ liệu và cơ chế kiểm soát tình trạng quá tải. Ý tưởng chính là để ưu tiên các gói dựa trên mỗi gói số đó ước tính hợp pháp của một gói tin cho các thuộc tính giá trị nó mang. Sau đó, một khi số điểm của một gói được tính tại Phát hiện - Khác biệt - Loại bỏ các bộ định tuyến (3D-R) bằng cách sử dụng một số liệu Bayesian lý thuyết, một số dựa trên phương pháp gói tin chọn lọc tại đích loại bỏ được thực hiện. Ngưỡng này thả cho phương pháp loại bỏ gói tin được tự động điều chỉnh dựa trên sự phân bố điểm số của các gói đến gần đây và mức độ hiện tại của tình trạng quá tải của hệ thống.
Tuy nhiên, Kim et al.. không cung cấp bất kỳ kết quả để hiển thị như thế nào thời gian quy mô của bản cập nhật của scorebooks, điểm số chức năng phân phối tích lũy (CDF) và ngưỡng ném bỏ năng động có thể ảnh hưởng đến thời gian phản ứng và quyết định của chương trình loại bỏ gói tin chọn lọc đề xuất của họ khi phải chịu sự sắp đặt hơn đồng bộ các cuộc tấn công DDoS.
Hầu hết các cơ chế destination-based không thể phát hiện chính xác và đáp ứng với các cuộc tấn công trước khi nó đạt tới các nạn nhân và cướp đi nguồn lực vào các đường dẫn đến các nạn nhân, do đó, họ không có khả năng phát hiện và ứng phó với các cuộc tấn công DDoS lưu lượng thích hợp. Do đó, cơ chế phòng thủ DDoS dựa trên mạng đã được đề xuất để giải quyết vấn đề này và để giúp cả hai cơ chế nguồn và đích dựa để thực hiện nhiệm vụ của mình một cách chính xác hơn.
Link Phần 2: https://www.forum.vnpro.org/forum/cc...ph%E1%BA%A7n-2