Tweet
3 Sau khi phát hiện tấn công (nguồn tấn công và phản ứng lại)
Sau một cuộc tấn công DDoS được phát hiện, bảo vệ hệ thống cần xác định nguồn gốc của các cuộc tấn công và ngăn chặn các lưu lượng tấn công. Ngày nay, hầu hết các công DDoS hưởng ứng cơ chế có thể không hoàn toàn ngăn chặn hoặc ngăn chặn các cuộc tấn công DDoS. Vì thế, giảm thiểu các tác động tấn công và tối đa hóa sự sẵn có dịch vụ là trọng tâm chính của tất cả sau khi các cơ chế tấn công. Hơn nữa, các cơ quan thực thi pháp luật phải cộng tác và hợp tác với nhau để thu thập và trình bằng chứng cho thấy có thể được sử dụng để truy tố những kẻ tấn công. Nó là cần thiết cho tất cả các nhà cung cấp Internet để hiểu rằng thậm chí nếu một nhà cung cấp cụ thể sẽ có thể đảm bảo riêng của mình tài sản, nó không đảm bảo chính nó chống lại các cuộc tấn công DDoS làm khác máy đã bị các nhà cung cấp khác vẫn có thể được sử dụng để khởi động các cuộc tấn công vào nó. Vì vậy, không có cộng tác với những người khác để đảm bảo tài sản của họ cũng được bảo đảm, bảo vệ chống tấn công DDoS là gần như không thể. Có hai loại chính cho hầu hết các sau cơ chế tấn công:
Xác định nguồn tấn công
Các loại đầu sau các cơ chế tấn công là trách nhiệm để xác định nguồn gốc cuộc tấn công. Ví dụ, một kẻ tấn công sử dụng máy chủ x để khởi động một cuộc tấn công của đại diện các địa chỉ nguồn giả mạo của chủ nhà y, cơ chế traceback IP phải tìm ra địa chỉ nguồn thực của kẻ tấn công là máy chủ x. Điều này có thể được thực hiện nếu có một cách để vượt qua tất cả các router từ x đến các nạn nhân theo thứ tự ngược lại hoặc đánh dấu các đường dẫn hoặc các gói tin hợp pháp để giả mạo hoặc những người bất hợp pháp được nhận biết. về phía này, cơ chế traceback đã được đề xuất trong văn học.
Phản ứng lại cuộc tấn công một cách thích hợp
Các thể loại thứ hai của sau khi cơ chế tấn công là trách nhiệm chủ động một phản ứng thích hợp để tấn công. Hầu hết các phòng thủ DDoS cơ chế áp dụng throttling (giới hạn tốc độ) hoặc lọc gói trên router thượng nguồn và host cho lưu lượng đến từ những dòng tấn công được xác định (IP giả mạo) sau xác định nguồn gốc của cuộc tấn công.
Ví dụ, lọc lịch sử dựa trên IP, hop-count, Pi , AD , TRACK , và StopIt , gói sử dụng lọc khi phát hiện các cuộc tấn công DDoS và ACC , Đẩy lùi, PAD , AITF, và DEFCOM Sử dụng throttling khi phát hiện các cuộc tấn công DDoS. các cơ chế khác đặc biệt trong trường hợp của DDoS ứng dụng mức độ tràn ngập các cuộc tấn công sử dụng một số mô hình khuyến khích, trong đó các máy chủ yêu cầu khách hàng hợp pháp để tăng giá phiên họp của họ để đám đông ra các khách hàng độc hại (ví dụ, Nói lên , và DOW ).
II. Phòng chống DDoS: Hiệu suất đo lường số liệu
Nhiều cơ chế giảm thiểu và phòng thủ để giải quyết các cuộc tấn công DDoS đã được đề xuất trong văn học. Tuy nhiên, không có bộ duy nhất của các số liệu phù hợp để đánh giá các cơ chế này. Rõ ràng, chi phí tiền tệ (CAPEX và OPEX) có thể được sử dụng để so sánh DDoS cơ chế bảo vệ, tuy nhiên, điều này không đánh giá hiệu quả của đề án. Trong phần này, chúng em xem xét và thảo luận về một số chỉ số và thuộc tính được tìm thấy trong các tài liệu có thể được sử dụng để đánh giá tương đối kỹ thuật giảm thiểu DDoS. Sau đó, trong Bảng III và Bảng IV, chúng em về chất so sánh các cơ chế bảo vệ chống lại các cuộc tấn công DDoS tràn ngập mạng / vận tải cấp và cơ chế bảo vệ chống lại DDoS ứng dụng mức độ tràn ngập các cuộc tấn công dựa trên vị trí triển khai của họ sử dụng một số những số liệu đo lường hiệu suất như: bảo vệ sức mạnh (chính xác), khả năng mở rộng, sự chậm trễ, hiệu năng hệ thống suy thoái, thực hiện phức tạp, và liệu các loại này của cơ chế phòng vệ được coi là toàn diện vệ cơ chế hay không.
Các số liệu đo lường hiệu suất như sau:
1 Sự bảo vệ chắc chắn:
Sức mạnh của một cơ chế bảo vệ có thể được đo bằng chỉ số khác nhau tùy thuộc vào như thế nào nó có thể ngăn ngừa, phát hiện và ngăn chặn các cuộc tấn công. những số liệu có thể được xác định dựa trên các quyết định hoặc dự đoán rằng mỗi cơ chế bảo vệ làm. cơ chế phòng vệ hoặc phát hiện và ứng phó với các cuộc tấn công hoặc bỏ lỡ chúng. Dựa trên phản ứng của họ, có bốn kết quả có thể như trong Bảng II.
Trong Bảng II, kết quả A được gọi là âm đúng (tức là, các kết quả mong muốn là tiêu cực và kết quả của hàng phòng ngự cơ chế đã được tiêu cực là tốt), B được gọi là âm tính giả (Tức là, các kết quả mong muốn là tích cực và kết quả của cơ chế bảo vệ là tiêu cực), C được gọi là dương tính giả (Tức là, các kết quả mong muốn là tiêu cực và kết quả của cơ chế bảo vệ đã tích cực), và D được gọi là sự thật tích cực (Tức là, các kết quả mong muốn là tích cực và kết quả của cơ chế bảo vệ cũng đã tích cực). Dựa trên những kết quả được trình bày trong Bảng II, sáu số liệu, đã được giới thiệu trước đó trong nhân tạo tình báo văn học, có thể được sử dụng để đánh giá cơ chế phòng thủ DDoS.
Những số liệu như sau:
Một kẻ tấn công có thể khai thác một bảo vệ cơ chế để phát động tấn công (ví dụ, DDoS) chống lại Toàn bộ hệ thống?
Sự chậm trễ trong việc phát hiện / trả lời
Sẽ mất bao lâu để phát hiện / phản ứng với các cuộc tấn công?
Hệ thống hiệu suất suy thoái
Liệu một bảo vệ Cơ chế gây ra bất kỳ vấn đề hiệu suất (ví dụ, bộ nhớ thiếu hụt, thiếu chu kỳ CPU) hoặc yêu cầu bất kỳ thêm yêu cầu để thực hiện một cách hoàn hảo?
Thụ động, phản ứng hay chủ động
Có một bảo vệ cơ chế bảo vệ các cuộc tấn công bằng cách chủ động ngăn ngừa họ xảy ra? Liệu nó chỉ phản ứng với các cuộc tấn công hiện tại? hoặc là nó có những hành động chỉ sau khi các cuộc tấn công DDoS được đưa ra?
Về toàn diện
Một cơ chế bảo vệ toàn diện bởi xem xét tất cả các nhiệm vụ cần thiết để ngăn chặn DDoS cuộc tấn công (tức là, cả hai phát hiện và phản ứng).
Thực hiện phức tạp
Một trong những quan trọng số liệu để so sánh cơ chế phòng vệ của họ là thực hiện phức tạp. Các cơ chế phòng vệ tốt nhất trong phân loại này là những người được dễ dàng và khả thi để triển khai thực hiện.
Khả năng sử dụng
Giao tiếp cơ chế bảo vệ cung cấp cho người sử dụng nên càng sử dụng càng tốt.
Vị trí triển khai
Như chúng ta đã đề cập trước đó, vị trí triển khai là một thước đo để so sánh khác nhau cơ chế phòng vệ. Mỗi địa điểm đều có lợi ích riêng của nó và nhược điểm mà làm cho một cơ chế tốt hơn so với các khác.
Khả năng mở rộng
Một cơ chế bảo vệ khả năng mở rộng có thể xử lý có hiệu quả phát hiện và đáp ứng các nhiệm vụ tấn công của nó thậm chí nếu cả hai số của những kẻ tấn công và số lượng các cuộc tấn công tăng lưu lượng.
Sau một cuộc tấn công DDoS được phát hiện, bảo vệ hệ thống cần xác định nguồn gốc của các cuộc tấn công và ngăn chặn các lưu lượng tấn công. Ngày nay, hầu hết các công DDoS hưởng ứng cơ chế có thể không hoàn toàn ngăn chặn hoặc ngăn chặn các cuộc tấn công DDoS. Vì thế, giảm thiểu các tác động tấn công và tối đa hóa sự sẵn có dịch vụ là trọng tâm chính của tất cả sau khi các cơ chế tấn công. Hơn nữa, các cơ quan thực thi pháp luật phải cộng tác và hợp tác với nhau để thu thập và trình bằng chứng cho thấy có thể được sử dụng để truy tố những kẻ tấn công. Nó là cần thiết cho tất cả các nhà cung cấp Internet để hiểu rằng thậm chí nếu một nhà cung cấp cụ thể sẽ có thể đảm bảo riêng của mình tài sản, nó không đảm bảo chính nó chống lại các cuộc tấn công DDoS làm khác máy đã bị các nhà cung cấp khác vẫn có thể được sử dụng để khởi động các cuộc tấn công vào nó. Vì vậy, không có cộng tác với những người khác để đảm bảo tài sản của họ cũng được bảo đảm, bảo vệ chống tấn công DDoS là gần như không thể. Có hai loại chính cho hầu hết các sau cơ chế tấn công:
Xác định nguồn tấn công
Các loại đầu sau các cơ chế tấn công là trách nhiệm để xác định nguồn gốc cuộc tấn công. Ví dụ, một kẻ tấn công sử dụng máy chủ x để khởi động một cuộc tấn công của đại diện các địa chỉ nguồn giả mạo của chủ nhà y, cơ chế traceback IP phải tìm ra địa chỉ nguồn thực của kẻ tấn công là máy chủ x. Điều này có thể được thực hiện nếu có một cách để vượt qua tất cả các router từ x đến các nạn nhân theo thứ tự ngược lại hoặc đánh dấu các đường dẫn hoặc các gói tin hợp pháp để giả mạo hoặc những người bất hợp pháp được nhận biết. về phía này, cơ chế traceback đã được đề xuất trong văn học.
Phản ứng lại cuộc tấn công một cách thích hợp
Các thể loại thứ hai của sau khi cơ chế tấn công là trách nhiệm chủ động một phản ứng thích hợp để tấn công. Hầu hết các phòng thủ DDoS cơ chế áp dụng throttling (giới hạn tốc độ) hoặc lọc gói trên router thượng nguồn và host cho lưu lượng đến từ những dòng tấn công được xác định (IP giả mạo) sau xác định nguồn gốc của cuộc tấn công.
Ví dụ, lọc lịch sử dựa trên IP, hop-count, Pi , AD , TRACK , và StopIt , gói sử dụng lọc khi phát hiện các cuộc tấn công DDoS và ACC , Đẩy lùi, PAD , AITF, và DEFCOM Sử dụng throttling khi phát hiện các cuộc tấn công DDoS. các cơ chế khác đặc biệt trong trường hợp của DDoS ứng dụng mức độ tràn ngập các cuộc tấn công sử dụng một số mô hình khuyến khích, trong đó các máy chủ yêu cầu khách hàng hợp pháp để tăng giá phiên họp của họ để đám đông ra các khách hàng độc hại (ví dụ, Nói lên , và DOW ).
II. Phòng chống DDoS: Hiệu suất đo lường số liệu
Nhiều cơ chế giảm thiểu và phòng thủ để giải quyết các cuộc tấn công DDoS đã được đề xuất trong văn học. Tuy nhiên, không có bộ duy nhất của các số liệu phù hợp để đánh giá các cơ chế này. Rõ ràng, chi phí tiền tệ (CAPEX và OPEX) có thể được sử dụng để so sánh DDoS cơ chế bảo vệ, tuy nhiên, điều này không đánh giá hiệu quả của đề án. Trong phần này, chúng em xem xét và thảo luận về một số chỉ số và thuộc tính được tìm thấy trong các tài liệu có thể được sử dụng để đánh giá tương đối kỹ thuật giảm thiểu DDoS. Sau đó, trong Bảng III và Bảng IV, chúng em về chất so sánh các cơ chế bảo vệ chống lại các cuộc tấn công DDoS tràn ngập mạng / vận tải cấp và cơ chế bảo vệ chống lại DDoS ứng dụng mức độ tràn ngập các cuộc tấn công dựa trên vị trí triển khai của họ sử dụng một số những số liệu đo lường hiệu suất như: bảo vệ sức mạnh (chính xác), khả năng mở rộng, sự chậm trễ, hiệu năng hệ thống suy thoái, thực hiện phức tạp, và liệu các loại này của cơ chế phòng vệ được coi là toàn diện vệ cơ chế hay không.
Các số liệu đo lường hiệu suất như sau:
1 Sự bảo vệ chắc chắn:
Sức mạnh của một cơ chế bảo vệ có thể được đo bằng chỉ số khác nhau tùy thuộc vào như thế nào nó có thể ngăn ngừa, phát hiện và ngăn chặn các cuộc tấn công. những số liệu có thể được xác định dựa trên các quyết định hoặc dự đoán rằng mỗi cơ chế bảo vệ làm. cơ chế phòng vệ hoặc phát hiện và ứng phó với các cuộc tấn công hoặc bỏ lỡ chúng. Dựa trên phản ứng của họ, có bốn kết quả có thể như trong Bảng II.
Trong Bảng II, kết quả A được gọi là âm đúng (tức là, các kết quả mong muốn là tiêu cực và kết quả của hàng phòng ngự cơ chế đã được tiêu cực là tốt), B được gọi là âm tính giả (Tức là, các kết quả mong muốn là tích cực và kết quả của cơ chế bảo vệ là tiêu cực), C được gọi là dương tính giả (Tức là, các kết quả mong muốn là tiêu cực và kết quả của cơ chế bảo vệ đã tích cực), và D được gọi là sự thật tích cực (Tức là, các kết quả mong muốn là tích cực và kết quả của cơ chế bảo vệ cũng đã tích cực). Dựa trên những kết quả được trình bày trong Bảng II, sáu số liệu, đã được giới thiệu trước đó trong nhân tạo tình báo văn học, có thể được sử dụng để đánh giá cơ chế phòng thủ DDoS.
Những số liệu như sau:
- Độ chính xác ((A + D) / (A + B + C + D)): Tỷ lệ chính xác kết quả của các cơ chế bảo vệ (tích cực và đúng sự thật âm) trên tổng kết quả của các cơ chế bảo vệ.
- Độ nhạy (D / (B + D)): Tỷ lệ dương tính thật trên tổng số mong muốn kết quả tích cực.
- Đặc hiệu (A / (A + C)): Tỷ lệ âm đúng trên tổng số mong muốn kết quả tiêu cực.
- Precision (D / (C + D)): Tỷ lệ dương tính thật trên sự tổng số kết quả tích cực của các cơ chế bảo vệ.
- Độ bền hoặc tỷ lệ dương tính giả (C / (C + D)): Tỉ lệ kết quả dương tính giả của các cơ chế bảo vệ trên tổng số kết quả tích cực của các cơ chế bảo vệ.
- Tỷ lệ âm tính giả (B / (A + B)): Tỷ lệ âm tính giả kết quả của các cơ chế bảo vệ trên tổng tiêu cực kết quả của các cơ chế bảo vệ.
Một kẻ tấn công có thể khai thác một bảo vệ cơ chế để phát động tấn công (ví dụ, DDoS) chống lại Toàn bộ hệ thống?
Sự chậm trễ trong việc phát hiện / trả lời
Sẽ mất bao lâu để phát hiện / phản ứng với các cuộc tấn công?
Hệ thống hiệu suất suy thoái
Liệu một bảo vệ Cơ chế gây ra bất kỳ vấn đề hiệu suất (ví dụ, bộ nhớ thiếu hụt, thiếu chu kỳ CPU) hoặc yêu cầu bất kỳ thêm yêu cầu để thực hiện một cách hoàn hảo?
Thụ động, phản ứng hay chủ động
Có một bảo vệ cơ chế bảo vệ các cuộc tấn công bằng cách chủ động ngăn ngừa họ xảy ra? Liệu nó chỉ phản ứng với các cuộc tấn công hiện tại? hoặc là nó có những hành động chỉ sau khi các cuộc tấn công DDoS được đưa ra?
Về toàn diện
Một cơ chế bảo vệ toàn diện bởi xem xét tất cả các nhiệm vụ cần thiết để ngăn chặn DDoS cuộc tấn công (tức là, cả hai phát hiện và phản ứng).
Thực hiện phức tạp
Một trong những quan trọng số liệu để so sánh cơ chế phòng vệ của họ là thực hiện phức tạp. Các cơ chế phòng vệ tốt nhất trong phân loại này là những người được dễ dàng và khả thi để triển khai thực hiện.
Khả năng sử dụng
Giao tiếp cơ chế bảo vệ cung cấp cho người sử dụng nên càng sử dụng càng tốt.
Vị trí triển khai
Như chúng ta đã đề cập trước đó, vị trí triển khai là một thước đo để so sánh khác nhau cơ chế phòng vệ. Mỗi địa điểm đều có lợi ích riêng của nó và nhược điểm mà làm cho một cơ chế tốt hơn so với các khác.
Khả năng mở rộng
Một cơ chế bảo vệ khả năng mở rộng có thể xử lý có hiệu quả phát hiện và đáp ứng các nhiệm vụ tấn công của nó thậm chí nếu cả hai số của những kẻ tấn công và số lượng các cuộc tấn công tăng lưu lượng.