Tweet
3. Cơ chế dựa trên mạng
Những cơ chế này được triển khai bên trong mạng và chủ yếu là trên các router của ASs. Phát hiện lưu lượng tấn công và tạo ra một phản ứng thích hợp để ngăn chặn nó ở môi trường mạng là một mục tiêu lý tưởng của thể loại này của cơ chế phòng vệ. Một số cơ chế DDoS dựa trên mạng phòng vệ chính như sau:
Lọc gói dựa trên định tuyến
Route dựa trên lọc gói tin mở rộng lọc xâm nhập đến các router ở cốt lõi của Internet. Lưu lượng trên mỗi liên kết trong lõi của Internet thường bắt nguồn từ một tập hạn chế các địa chỉ nguồn. Do đó, nếu một địa chỉ nguồn bất ngờ xuất hiện trong một gói tin IP vào một liên kết, sau đó nó được giả định rằng các địa chỉ nguồn đã bị giả mạo, và do đó các gói dữ liệu có thể được lọc.
Tuy nhiên, cơ chế này không có hiệu quả chống lại các cuộc tấn công DDoS nếu kẻ tấn công hoặc sử dụng địa chỉ IP chính hãng thay vì những người giả mạo hoặc giả mạo địa chỉ IP nguồn được lựa chọn cẩn thận đó sẽ không được lọc.
Phát hiện và lọc router độc hại
Bộ định tuyến được không ngừng nhắm mục tiêu và bị xâm nhập. Chúng có thể được khai thác để trao quyền cho các cuộc tấn công DDoS. Một loạt các giao thức phát hiện bất thường chuyên ngành đã được đề xuất để phát hiện các router độc hại liên quan đến việc chuyển tiếp gói tin giữa các router.
Ví dụ, Watchers phát hiện router misbehaving đó khởi động các cuộc tấn công DDoS bằng cách hấp thụ, loại bỏ hoặc gói misrouting. Nó sử dụng các nguyên tắc bảo tồn của dòng dòng để kiểm tra các dòng giữa các nước láng giềng và các thiết bị đầu cuối. Một số các giả định ngầm của Watchers không giữ đã được sửa đổi vì vậy chi phí và độ phức tạp của thuật toán Watchers được tăng lên. Ngay cả với những sửa đổi, Watchers đòi hỏi thông tin rõ ràng giữa các bộ định tuyến. Hơn nữa, nó không thể phát hiện các gói tin giả mạo. Thậm chí tệ hơn, các gói tin như vậy có thể được sử dụng bởi những kẻ tấn công để ngộ nhận một mục tiêu như một router xấu. Watchers chỉ có thể phát hiện các router bị tổn hại và nó là dễ bị tổn thương đến các host bị lỗi. Nó cũng giả định đó tất cả các router biết topology của mạng, mà không phải là một giả định có tính khả thi cho các mạng lớn.
Có những cơ chế khác, trong đó phát hiện và lọc của router độc hại dựa trên sự tin cậy router. Ví dụ một mô hình suy luận Bayes đã được sử dụng để đánh giá độ tin cậy của một router truy cập liên quan đến các gói tin chuyển tiếp mà không sửa đổi các địa chỉ IP nguồn của họ. Trong phương pháp này, các giá trị niềm tin cho các bộ định tuyến truy cập được tính toán bởi một bộ định tuyến (thẩm phán) mà mẫu tất cả các lưu lượng được chuyển tiếp bởi các bộ định tuyến truy cập. Sử dụng tính toán sự tin tưởng, việc ra quyết định, và thương thuyết lòng tin giữa các router để có hiệu quả và hiệu quả phát hiện và lọc các router độc hại là mục tiêu cuối cùng của các cơ chế.
Cơ chế dựa trên mạng thường dẫn đến lưu trữ cao và chi phí xử lý tại các router. Những chi phí chung có được thậm chí tồi tệ hơn nếu mỗi router không phát hiện và phản ứng thông qua các đường dẫn đến đích, mà có thể trình bày một gánh nặng đáng kể dư thừa. các nhà nghiên cứu khác nhau đã đề xuất phương pháp tiếp cận khác nhau để làm giảm lượng lưu trữ và tiêu thụ các chu kỳ CPU để phát hiện và phản ứng tại các router như Bloom lọc, Packet lấy mẫu,…Tuy nhiên, các phương pháp này là không đủ khi router vẫn làm những công việc không cần thiết. Hơn nữa, việc giảm lượng phát hiện và phản ứng giữa các bộ định tuyến dự phòng đòi hỏi sự phối hợp giữa chúng. Giao thức truyền thông khác nhau đã được đề xuất phối hợp phát hiện tấn công và phản ứng giữa các bộ định tuyến. Tuy nhiên, cơ chế phòng vệ dựa trên mạng đã được đề xuất cho đến nay không có hiệu quả và hiệu quả vì chi phí lớn của họ về truyền thông mạng. Ví dụ, thiếu băng thông trong các cuộc tấn công DDoS có thể hạn chế các giao thức cho các cơ chế dựa trên mạng truyền thông và nguyên nhân thất bại.
4. Hoạt động lọc lưu lượng Internet (AITF), một cơ chế dựa trên bộ lọc (datagram)
Khả năng dựa trên cơ chế cho phép một người nhận từ chối mặc định tất cả lưu lượng và rõ ràng chỉ chấp nhận các lưu lượng thuộc về thành lập các lớp kết nối mạng. Việc thay thế có thể là datagram (lọc) cơ chế trong đó một chấp nhận mặc định tất cả các lưu lượng và dứt khoát bác bỏ lưu lượng đã được xác định là không mong muốn. Các gói cơ chế đòi hỏi một sự tin cậy, số lượng giới hạn của bộ lọc các nguồn lực từ các ISP tham gia, trong đó cung cấp các ưu tiên để ISP để triển khai nó. AITF là một cơ chế bảo vệ DDoS lai mà cho phép nhận một để liên hệ với nguồn hỏng và yêu cầu họ ngừng gửi lưu lượng cho nó. Mỗi room trong số các nguồn đã được yêu cầu ngừng, được khống chế bởi ISP riêng của mình, đảm bảo họ tuân thủ.
Mỗi ISP mà chủ nguồn hỏng phải hỗ trợ cơ chế AITF (tức là chấp nhận với policy của khách hàng mà nó hỏng), hoặc có nguy cơ mất tất cả các truy cập của nó đến, cung cấp này là một động lực mạnh mẽ cho tất cả các ISP hợp tác, đặc biệt là khi người nhận là một điểm truy cập phổ biến. AITF bảo toàn băng thông người nhận trong việc đối diện với DDoS tấn công tràn ngập tại một dịch vụ cho mỗi khách hàng, do đó, nó là giá cả phải chăng cho các ISP để sử dụng nó. Argyraki et al.. trong cho thấy rằng ngay cả hai mạng đầu tiên sẽ triển khai AITF có thể duy trì kết nối của họ với nhau khi đối mặt với cơn lũ DDoS. AITF xác minh tính hợp pháp của một yêu cầu bộ lọc bằng một cái bắt tay ba chiều. Tuy nhiên, nếu các liên kết bị tràn ngập là bên ngoài AS của nạn nhân, ba cách bắt tay có thể không hoàn thành bởi vì các gói bắt tay đi qua liên kết bị tràn ngập giống như lưu lượng tấn công khác, và bộ lọc có thể chưa được cài đặt. Hơn nữa, có một số vấn đề triển khai AITF vì nó dựa trên các bộ định tuyến, đó là ở giữa của mạng (trong triển khai ban đầu), để thực hiện việc lọc thực tế. Nó cũng phụ thuộc vào nhiều IP lộ hồ sơ để xác định nơi các gói tin đến từ.
5. StopIt
StopIt là một bộ lọc dựa trên cơ chế bảo vệ lai DDoS cho phép mỗi người nhận để cài đặt một mạng lọc để chặn các lưu lượng không mong muốn nó nhận được. StopIt sử dụng ID là hệ thống xác thực nguồn an toàn của nó để ngăn chặn địa chỉ giả mạo nguồn. Thiết kế của nó sử dụng một danh sách đóng kiểm soát và kiến trúc mở dịch vụ để lên kế hoạch chiến lược các cuộc tấn công nhằm mục đích để ngăn chặn các bộ lọc được cài đặt và để cung cấp các dịch vụ StopIt đến bất kỳ máy trên mạng Internet.
Hình trên cho thấy kiến trúc StopIt và làm thế nào một điểm (Hd) đến cài đặt một bộ lọc để chặn dòng dòng cuộc tấn công (Hs, Hd) từ một nguồn Hs.
Mỗi đám mây đại diện cho một AS ranh giới, mỗi AS có một máy chủ StopIt gửi và nhận các yêu cầu StoptIt, host chỉ có thể gửi yêu cầu StopIt để họ tiếp cận router (ví dụ, Rs, Rd). Dựa trên các nghiên cứu trong , StopIt nhanh hơn so với thiết kế dựa trên bộ lọc như AITF, và có hiệu quả trong việc cung cấp liên tục giao tiếp không bị gián đoạn dưới một loạt các cuộc tấn công DDoS. Tuy nhiên, StopIt không luôn luôn làm tốt hơn các cơ chế khả năng dựa trên. Ví dụ, nếu lưu lượng tấn công không đạt được một nạn nhân, nhưng một liên kết congests chia sẻ bởi các nạn nhân, một cơ chế khả năng dựa trên TVA… là hiệu quả hơn. Do đó, cả hai bộ lọc (còn gọi là datagram) và khả năng là DDoS hiệu quả cao bảo vệ cơ chế, nhưng không phải là hiệu quả hơn so với các cơ chế chống lại các cuộc tấn công tràn ngập DDoS khác. Cơ chế StopIt là dễ bị tấn công, trong đó kẻ tấn công tràn ngập các thiết bị định tuyến và máy chủ StopIt với bộ lọc yêu cầu và tràn ngập gói. Để ngăn chặn các cuộc tấn công, khuôn khổ StopIt phải đảm bảo rằng một router hoặc một StopIt máy chủ chỉ nhận được yêu cầu từ các nút StopIt địa phương trong cùng một AS, hoặc máy chủ StopIt khác.
Khi làm như vậy, mạng quản trị phải tự cấu hình các thiết bị định tuyến và StopIt yêu cầu với danh sách các máy chủ, thiết bị định tuyến, và StopIt khác các máy chủ. Cấu hình thủ công như vậy cho một AS với hàng trăm ngàn nút là một nhiệm vụ nặng nề. Hơn nữa, StopIt cần cơ chế xác minh/chứng thực phức tạp, và cơ chế phát hiện máy chủ StopIt được thực hiện trong cả hai máy chủ và thiết bị định tuyến mà làm cho nó hỏng, một cơ chế thách thức để triển khai và quản lý trong thực tế. Trong TVA như một cơ chế khả năng dựa trên được so sánh với StopIt như một cơ chế dựa trên bộ lọc dưới giả định tương tự và cơ chế khi thực hiện. Họ so sánh sáu hệ thống giảm thiểu tràn ngập DDoS khác nhau, bao gồm cả TVA và StopIt. Họ sử dụng các mô phỏng trên topology thực tế và bao gồm các chiến lược tấn công khác nhau trong nghiên cứu của họ. Các kết quả nghiên cứu của họ được tóm tắt trong Hình dưới.
Trong hình trên, “sức mạnh tấn công” là một thuật ngữ tổng quát được định nghĩa trong dựa trên: số kẻ tấn công (tức là số chương trình), và kích thước của cuộc tấn công (tức là kích thước gói tin).
Như số lượng các kẻ tấn công và kích thước gói tin của họ tăng, tấn công gia tăng sức mạnh. Hiệu quả cũng được đo dựa trên hiệu suất chuyển TCP host hợp pháp (tức là tỷ lệ hoàn thành chuyển TCP). Khi số lượng chuyển học điền đầy đủ làm tăng cơ chế đã được làm việc có hiệu quả hơn. Như Yang et al. cho thấy con số trong này, khi sức mạnh của những kẻ tấn công là thấp, cả hai bộ lọc và khả năng làm việc tốt, mặc dù các bộ lọc làm việc tốt hơn một chút. Khi kẻ tấn công gia tăng sức mạnh, bộ lọc trở nên không hiệu quả khi họ không thể được cài đặt đúng cách, và sau đó khả năng trở nên không hiệu quả khi những kẻ tấn công có thể có được khả năng từ colluders.
Khi sức mạnh của những kẻ tấn công là rất cao, cả hai bộ lọc và khả năng trở thành không hiệu quả, và có nên có một số cơ chế không an toàn (ví dụ hàng đợi công bằng) tại chỗ để giải quyết vấn đề.
Kể từ khi những kẻ tấn công phối hợp để thực hiện thành công các cuộc tấn công, ta cũng phải hình thành các liên minh và hợp tác với nhau để đánh bại các cuộc tấn công DDoS. Các cộng đồng bảo vệ DDoS hiện đang tham gia nhiều hơn trong việc đề xuất cơ chế phòng vệ lai mới DDoS và hầu hết thời gian gần đây các cơ chế đề xuất thuộc loại hybrid. Không riêng điểm triển khai (tập trung) thành công có thể bảo vệ chống lại DDoS bởi vì trong những thách thức cơ bản, chúng em liệt kê cho mỗi điểm triển khai. Một cơ chế lai (phân phối) bảo vệ là cách tốt nhất để chống lại cuộc tấn công DDoS. Chúng em đã liệt kê các cơ chế bảo vệ hybrid khác nhau trong phần này, họ là bao gồm nhiều nút phòng thủ triển khai tại các địa điểm khác nhau mà hợp tác với nhau thành hướng phòng chống tấn công, phát hiện và phản ứng. Phát hiện DDoS tấn công ngay khi có thể và trước khi nó đạt đến các nạn nhân, xác định các nguồn tấn công, và cuối cùng dừng tấn công càng gần càng tốt để các nguồn tấn công là ưu tiên nhất.
Mục tiêu của cơ chế phòng thủ DDoS, cho rằng điều này có thể đạt được thông qua lai DDoS (Distributed) cơ chế phòng vệ. Kết hợp xác thực địa chỉ nguồn (để ngăn chặn IP giả mạo), khả năng lọc sẽ là giải pháp hiệu quả nhất vì vững mạnh của khả năng đó và sự đơn giản tương đối của một khả năng dựa trên thiết kế. Tuy nhiên, sẽ có một economic-off giữa hiệu suất và độ chính xác trong bất kỳ giải pháp bảo vệ DDoS và mục đích là để giảm thiểu khoảng cách giữa hiệu suất và độ chính xác. Bảng dưới tóm tắt các tính năng trong bốn loại cơ chế phòng vệ chống lại mạng / DDoS vận chuyển cấp tấn công tràn ngập mà chúng ta phân loại trong phần này và liệt kê những lợi thế và nhược điểm của mỗi loại.
Link phần 3: https://www.forum.vnpro.org/forum/cc...ph%E1%BA%A7n-3
Những cơ chế này được triển khai bên trong mạng và chủ yếu là trên các router của ASs. Phát hiện lưu lượng tấn công và tạo ra một phản ứng thích hợp để ngăn chặn nó ở môi trường mạng là một mục tiêu lý tưởng của thể loại này của cơ chế phòng vệ. Một số cơ chế DDoS dựa trên mạng phòng vệ chính như sau:
Lọc gói dựa trên định tuyến
Route dựa trên lọc gói tin mở rộng lọc xâm nhập đến các router ở cốt lõi của Internet. Lưu lượng trên mỗi liên kết trong lõi của Internet thường bắt nguồn từ một tập hạn chế các địa chỉ nguồn. Do đó, nếu một địa chỉ nguồn bất ngờ xuất hiện trong một gói tin IP vào một liên kết, sau đó nó được giả định rằng các địa chỉ nguồn đã bị giả mạo, và do đó các gói dữ liệu có thể được lọc.
Tuy nhiên, cơ chế này không có hiệu quả chống lại các cuộc tấn công DDoS nếu kẻ tấn công hoặc sử dụng địa chỉ IP chính hãng thay vì những người giả mạo hoặc giả mạo địa chỉ IP nguồn được lựa chọn cẩn thận đó sẽ không được lọc.
Phát hiện và lọc router độc hại
Bộ định tuyến được không ngừng nhắm mục tiêu và bị xâm nhập. Chúng có thể được khai thác để trao quyền cho các cuộc tấn công DDoS. Một loạt các giao thức phát hiện bất thường chuyên ngành đã được đề xuất để phát hiện các router độc hại liên quan đến việc chuyển tiếp gói tin giữa các router.
Ví dụ, Watchers phát hiện router misbehaving đó khởi động các cuộc tấn công DDoS bằng cách hấp thụ, loại bỏ hoặc gói misrouting. Nó sử dụng các nguyên tắc bảo tồn của dòng dòng để kiểm tra các dòng giữa các nước láng giềng và các thiết bị đầu cuối. Một số các giả định ngầm của Watchers không giữ đã được sửa đổi vì vậy chi phí và độ phức tạp của thuật toán Watchers được tăng lên. Ngay cả với những sửa đổi, Watchers đòi hỏi thông tin rõ ràng giữa các bộ định tuyến. Hơn nữa, nó không thể phát hiện các gói tin giả mạo. Thậm chí tệ hơn, các gói tin như vậy có thể được sử dụng bởi những kẻ tấn công để ngộ nhận một mục tiêu như một router xấu. Watchers chỉ có thể phát hiện các router bị tổn hại và nó là dễ bị tổn thương đến các host bị lỗi. Nó cũng giả định đó tất cả các router biết topology của mạng, mà không phải là một giả định có tính khả thi cho các mạng lớn.
Có những cơ chế khác, trong đó phát hiện và lọc của router độc hại dựa trên sự tin cậy router. Ví dụ một mô hình suy luận Bayes đã được sử dụng để đánh giá độ tin cậy của một router truy cập liên quan đến các gói tin chuyển tiếp mà không sửa đổi các địa chỉ IP nguồn của họ. Trong phương pháp này, các giá trị niềm tin cho các bộ định tuyến truy cập được tính toán bởi một bộ định tuyến (thẩm phán) mà mẫu tất cả các lưu lượng được chuyển tiếp bởi các bộ định tuyến truy cập. Sử dụng tính toán sự tin tưởng, việc ra quyết định, và thương thuyết lòng tin giữa các router để có hiệu quả và hiệu quả phát hiện và lọc các router độc hại là mục tiêu cuối cùng của các cơ chế.
Cơ chế dựa trên mạng thường dẫn đến lưu trữ cao và chi phí xử lý tại các router. Những chi phí chung có được thậm chí tồi tệ hơn nếu mỗi router không phát hiện và phản ứng thông qua các đường dẫn đến đích, mà có thể trình bày một gánh nặng đáng kể dư thừa. các nhà nghiên cứu khác nhau đã đề xuất phương pháp tiếp cận khác nhau để làm giảm lượng lưu trữ và tiêu thụ các chu kỳ CPU để phát hiện và phản ứng tại các router như Bloom lọc, Packet lấy mẫu,…Tuy nhiên, các phương pháp này là không đủ khi router vẫn làm những công việc không cần thiết. Hơn nữa, việc giảm lượng phát hiện và phản ứng giữa các bộ định tuyến dự phòng đòi hỏi sự phối hợp giữa chúng. Giao thức truyền thông khác nhau đã được đề xuất phối hợp phát hiện tấn công và phản ứng giữa các bộ định tuyến. Tuy nhiên, cơ chế phòng vệ dựa trên mạng đã được đề xuất cho đến nay không có hiệu quả và hiệu quả vì chi phí lớn của họ về truyền thông mạng. Ví dụ, thiếu băng thông trong các cuộc tấn công DDoS có thể hạn chế các giao thức cho các cơ chế dựa trên mạng truyền thông và nguyên nhân thất bại.
4. Hoạt động lọc lưu lượng Internet (AITF), một cơ chế dựa trên bộ lọc (datagram)
Khả năng dựa trên cơ chế cho phép một người nhận từ chối mặc định tất cả lưu lượng và rõ ràng chỉ chấp nhận các lưu lượng thuộc về thành lập các lớp kết nối mạng. Việc thay thế có thể là datagram (lọc) cơ chế trong đó một chấp nhận mặc định tất cả các lưu lượng và dứt khoát bác bỏ lưu lượng đã được xác định là không mong muốn. Các gói cơ chế đòi hỏi một sự tin cậy, số lượng giới hạn của bộ lọc các nguồn lực từ các ISP tham gia, trong đó cung cấp các ưu tiên để ISP để triển khai nó. AITF là một cơ chế bảo vệ DDoS lai mà cho phép nhận một để liên hệ với nguồn hỏng và yêu cầu họ ngừng gửi lưu lượng cho nó. Mỗi room trong số các nguồn đã được yêu cầu ngừng, được khống chế bởi ISP riêng của mình, đảm bảo họ tuân thủ.
Mỗi ISP mà chủ nguồn hỏng phải hỗ trợ cơ chế AITF (tức là chấp nhận với policy của khách hàng mà nó hỏng), hoặc có nguy cơ mất tất cả các truy cập của nó đến, cung cấp này là một động lực mạnh mẽ cho tất cả các ISP hợp tác, đặc biệt là khi người nhận là một điểm truy cập phổ biến. AITF bảo toàn băng thông người nhận trong việc đối diện với DDoS tấn công tràn ngập tại một dịch vụ cho mỗi khách hàng, do đó, nó là giá cả phải chăng cho các ISP để sử dụng nó. Argyraki et al.. trong cho thấy rằng ngay cả hai mạng đầu tiên sẽ triển khai AITF có thể duy trì kết nối của họ với nhau khi đối mặt với cơn lũ DDoS. AITF xác minh tính hợp pháp của một yêu cầu bộ lọc bằng một cái bắt tay ba chiều. Tuy nhiên, nếu các liên kết bị tràn ngập là bên ngoài AS của nạn nhân, ba cách bắt tay có thể không hoàn thành bởi vì các gói bắt tay đi qua liên kết bị tràn ngập giống như lưu lượng tấn công khác, và bộ lọc có thể chưa được cài đặt. Hơn nữa, có một số vấn đề triển khai AITF vì nó dựa trên các bộ định tuyến, đó là ở giữa của mạng (trong triển khai ban đầu), để thực hiện việc lọc thực tế. Nó cũng phụ thuộc vào nhiều IP lộ hồ sơ để xác định nơi các gói tin đến từ.
5. StopIt
StopIt là một bộ lọc dựa trên cơ chế bảo vệ lai DDoS cho phép mỗi người nhận để cài đặt một mạng lọc để chặn các lưu lượng không mong muốn nó nhận được. StopIt sử dụng ID là hệ thống xác thực nguồn an toàn của nó để ngăn chặn địa chỉ giả mạo nguồn. Thiết kế của nó sử dụng một danh sách đóng kiểm soát và kiến trúc mở dịch vụ để lên kế hoạch chiến lược các cuộc tấn công nhằm mục đích để ngăn chặn các bộ lọc được cài đặt và để cung cấp các dịch vụ StopIt đến bất kỳ máy trên mạng Internet.
Hình trên cho thấy kiến trúc StopIt và làm thế nào một điểm (Hd) đến cài đặt một bộ lọc để chặn dòng dòng cuộc tấn công (Hs, Hd) từ một nguồn Hs.
Mỗi đám mây đại diện cho một AS ranh giới, mỗi AS có một máy chủ StopIt gửi và nhận các yêu cầu StoptIt, host chỉ có thể gửi yêu cầu StopIt để họ tiếp cận router (ví dụ, Rs, Rd). Dựa trên các nghiên cứu trong , StopIt nhanh hơn so với thiết kế dựa trên bộ lọc như AITF, và có hiệu quả trong việc cung cấp liên tục giao tiếp không bị gián đoạn dưới một loạt các cuộc tấn công DDoS. Tuy nhiên, StopIt không luôn luôn làm tốt hơn các cơ chế khả năng dựa trên. Ví dụ, nếu lưu lượng tấn công không đạt được một nạn nhân, nhưng một liên kết congests chia sẻ bởi các nạn nhân, một cơ chế khả năng dựa trên TVA… là hiệu quả hơn. Do đó, cả hai bộ lọc (còn gọi là datagram) và khả năng là DDoS hiệu quả cao bảo vệ cơ chế, nhưng không phải là hiệu quả hơn so với các cơ chế chống lại các cuộc tấn công tràn ngập DDoS khác. Cơ chế StopIt là dễ bị tấn công, trong đó kẻ tấn công tràn ngập các thiết bị định tuyến và máy chủ StopIt với bộ lọc yêu cầu và tràn ngập gói. Để ngăn chặn các cuộc tấn công, khuôn khổ StopIt phải đảm bảo rằng một router hoặc một StopIt máy chủ chỉ nhận được yêu cầu từ các nút StopIt địa phương trong cùng một AS, hoặc máy chủ StopIt khác.
Khi làm như vậy, mạng quản trị phải tự cấu hình các thiết bị định tuyến và StopIt yêu cầu với danh sách các máy chủ, thiết bị định tuyến, và StopIt khác các máy chủ. Cấu hình thủ công như vậy cho một AS với hàng trăm ngàn nút là một nhiệm vụ nặng nề. Hơn nữa, StopIt cần cơ chế xác minh/chứng thực phức tạp, và cơ chế phát hiện máy chủ StopIt được thực hiện trong cả hai máy chủ và thiết bị định tuyến mà làm cho nó hỏng, một cơ chế thách thức để triển khai và quản lý trong thực tế. Trong TVA như một cơ chế khả năng dựa trên được so sánh với StopIt như một cơ chế dựa trên bộ lọc dưới giả định tương tự và cơ chế khi thực hiện. Họ so sánh sáu hệ thống giảm thiểu tràn ngập DDoS khác nhau, bao gồm cả TVA và StopIt. Họ sử dụng các mô phỏng trên topology thực tế và bao gồm các chiến lược tấn công khác nhau trong nghiên cứu của họ. Các kết quả nghiên cứu của họ được tóm tắt trong Hình dưới.
Trong hình trên, “sức mạnh tấn công” là một thuật ngữ tổng quát được định nghĩa trong dựa trên: số kẻ tấn công (tức là số chương trình), và kích thước của cuộc tấn công (tức là kích thước gói tin).
Như số lượng các kẻ tấn công và kích thước gói tin của họ tăng, tấn công gia tăng sức mạnh. Hiệu quả cũng được đo dựa trên hiệu suất chuyển TCP host hợp pháp (tức là tỷ lệ hoàn thành chuyển TCP). Khi số lượng chuyển học điền đầy đủ làm tăng cơ chế đã được làm việc có hiệu quả hơn. Như Yang et al. cho thấy con số trong này, khi sức mạnh của những kẻ tấn công là thấp, cả hai bộ lọc và khả năng làm việc tốt, mặc dù các bộ lọc làm việc tốt hơn một chút. Khi kẻ tấn công gia tăng sức mạnh, bộ lọc trở nên không hiệu quả khi họ không thể được cài đặt đúng cách, và sau đó khả năng trở nên không hiệu quả khi những kẻ tấn công có thể có được khả năng từ colluders.
Khi sức mạnh của những kẻ tấn công là rất cao, cả hai bộ lọc và khả năng trở thành không hiệu quả, và có nên có một số cơ chế không an toàn (ví dụ hàng đợi công bằng) tại chỗ để giải quyết vấn đề.
Kể từ khi những kẻ tấn công phối hợp để thực hiện thành công các cuộc tấn công, ta cũng phải hình thành các liên minh và hợp tác với nhau để đánh bại các cuộc tấn công DDoS. Các cộng đồng bảo vệ DDoS hiện đang tham gia nhiều hơn trong việc đề xuất cơ chế phòng vệ lai mới DDoS và hầu hết thời gian gần đây các cơ chế đề xuất thuộc loại hybrid. Không riêng điểm triển khai (tập trung) thành công có thể bảo vệ chống lại DDoS bởi vì trong những thách thức cơ bản, chúng em liệt kê cho mỗi điểm triển khai. Một cơ chế lai (phân phối) bảo vệ là cách tốt nhất để chống lại cuộc tấn công DDoS. Chúng em đã liệt kê các cơ chế bảo vệ hybrid khác nhau trong phần này, họ là bao gồm nhiều nút phòng thủ triển khai tại các địa điểm khác nhau mà hợp tác với nhau thành hướng phòng chống tấn công, phát hiện và phản ứng. Phát hiện DDoS tấn công ngay khi có thể và trước khi nó đạt đến các nạn nhân, xác định các nguồn tấn công, và cuối cùng dừng tấn công càng gần càng tốt để các nguồn tấn công là ưu tiên nhất.
Mục tiêu của cơ chế phòng thủ DDoS, cho rằng điều này có thể đạt được thông qua lai DDoS (Distributed) cơ chế phòng vệ. Kết hợp xác thực địa chỉ nguồn (để ngăn chặn IP giả mạo), khả năng lọc sẽ là giải pháp hiệu quả nhất vì vững mạnh của khả năng đó và sự đơn giản tương đối của một khả năng dựa trên thiết kế. Tuy nhiên, sẽ có một economic-off giữa hiệu suất và độ chính xác trong bất kỳ giải pháp bảo vệ DDoS và mục đích là để giảm thiểu khoảng cách giữa hiệu suất và độ chính xác. Bảng dưới tóm tắt các tính năng trong bốn loại cơ chế phòng vệ chống lại mạng / DDoS vận chuyển cấp tấn công tràn ngập mà chúng ta phân loại trong phần này và liệt kê những lợi thế và nhược điểm của mỗi loại.
Bảng: Các tính năng, thuận lợi, khó khăn trong cơ chế bảo vệ chống tấn công DDoS tràn ngập tầng mạng/vận chuyển dựa vào vị trí triển khai
Link phần 3: https://www.forum.vnpro.org/forum/cc...ph%E1%BA%A7n-3