Những thống kê được so sánh với mô hình hợp lệ một cách định kỳ để phân loại các luồng và kết nối.. Phân loại kết nối được sử dụng để phát hiện những kết nối hợp lệ và kết nối này vẫn ho
Trang 1BÁO CÁO AN NINH MẠNG
HỆ THỐNG PHÒNG THỦ D-WARD (DDoS Network Attack Recognition and Defense)
Học viên thực hiện: Đặng Văn Tuấn
Lớp: M12CQDT01-B Email: dangvantuan@vdc-net2e.vn
Trang 21 Tóm tắt nội dung
Ngày nay trong xu hướng hội nhập toàn cầu
và thương mại điện tử ngày càng phát triển
mạnh dẫn đến sự gia tăng về tội phạm công
nghệ cao Số lượng các cuộc tấn công DDoS
đang có chiều hướng gia tăng khiến cho các hệ
thống của các cơ quan hành chính, tổ chức kinh
tế cần phải hoạt động một cách thường xuyên và
chịu áp lực lớn từ việc truy cập của người dùng,
sẽ là mục tiêu của các cuộc tấn công DdoS
Do vậy việc đưa ra các hệ thống phòng
chống ngày càng trở nên quan trọng Trong bài
viết này ta đã sẽ nghiên cứu hệ thống
D-WARD, hệ thống phòng chống tại nguồn và khả
năng phát hiện và ngăn chặn các cuộc tấn công
đi ra từ mạng nguồn Việc triển khai D-WARD
giúp cho nhanh chóng phát hiện và ngăn chăn
một cuộc tấn công ngay khi cuộc tấn công được
kẻ tấn công nhen nhóm
2 Giới thiệu về hệ thống D-WARD
D-WARD là một hệ thống phòng chống
DDoS được triển khai tại nguồn Nó có 2 nhiệm
vụ chính đó là:
Phát hiện các cuộc tấn công DDoS và ngăn
chặn chúng bằng cách điều khiển traffic ra
ngoài
Cung cấp dịch vụ tốt đối với traffic hợp lệ
giữa mạng triển khai hệ thống và đích trong quá
trình xảy ra cuộc tấn công
D-WARD có thể đóng vai trò như một hệ
thống độc lập hoặc như là một thành phần trong
một hệ thống phòng chống phân tán Với vai trò
là hệ thống độc lập, D-WARD phát hiện các
cuộc tấn công và phản ứng lại cuộc tấn công mà
không hề có sự truyền thông hay liên lạc gì với
bất kỳ một đối tượng nào khác Nếu D-WARD
được triển khai trong một hệ thống phân tán,
D-WARD nâng cao khả năng phát hiện của nó
bằng cách nhận các tín hiệu tấn công từ các
thành phần khác
Một điểm yếu của hệ thống D-WARD đó là
nó chỉ giám sát với những traffic đi ra ngoài từ
mạng của nó Các traffic được sinh ra từ mạng
khác không phải mạng của nó relay qua nó thì cũng không bị giám sát Ngoài ra, đặc điểm này còn có thể khiến router cài đặt D-WARD là mục tiêu của các cuộc tấn công
3 Các thuật ngữ và giả thiết
Chúng ta biết rằng hệ thống D-WARD được cài đặt tại router nguồn – là router đóng vai trò như một gateway giữa mạng triển khai (mạng nguồn) và mạng Internet D-WARD được cấu hình cho một tập các địa chỉ nguồn nội bộ của một mạng và thực hiện giám sát đối với tập địa
chỉ này Tập địa chỉ đó gọi là tập địa chỉ giám
sát Tập này D-WARD có thể lấy được bằng
cách thông qua một số giao thức hoặc được cấu hình bằng tay Sau đó, D-WARD sẽ giám sát tất
cả các traffic của tập địa chỉ này thông qua nội
dung của các luồng và kết nối Một luồng là tất
cả những traffic được sinh ra từ các máy trong tập địa chỉ giám sát tới một đích ở mạng bên ngoài Traffic giữa một cặp địa chỉ IP và chỉ số cổng giữa một địa chỉ IP nằm trong tập địa chỉ giám sát và một địa chỉ ở mạng ngoài được định
nghĩa như một kết nối D-WARD sẽ giám sát
những luồng, kết nối từ tập các địa chỉ giám sát tới một địa chỉ đích bất kỳ bằng cách so sánh từng gói tin với mẫu được định nghĩa trước Sau
đó, tổng hợp kết quả, đưa ra kết luận về kết nối này và có những hành động tương ứng với kết luận về kết nối đó
4 Kiến trúc hệ thống D-WARD
Một hệ thống D-WARD gồm có 3 thành
phần đó là: thành phần giám sát, giới hạn băng thông và thành phần chính sách lưu lượng Và
thành phần chính sách lưu lượng nhất thiết phải cài đặt ở router nguồn Thành phần giám sát theo dõi tất cả các gói tin đi qua router nguồn và tổng hợp thống kê những truyền thông 2 chiều giữa tập địa chỉ giám sát và phần còn lại của
Internet
Trang 3Hình 1: Kiến trúc hệ thống D-WARD
Hình vẽ trên thể hiện các thành phần của
kiến trúc D-WARD Ta có thể thấy rằng, kiến
trúc này giám sát các traffic bằng cách kiểm tra
tất cả traffic tại các interfaces của router nguồn
Những thống kê được so sánh với mô hình hợp
lệ một cách định kỳ để phân loại các luồng và
kết nối Những kết quả phân loại được thành
phần giới hạn băng thông điều chỉnh để tương
ứng với các luật Danh sách các kết nối hợp lệ
và các luật giới hạn băng thông đều được
chuyển tới thành phần chính sách lưu lượng –
thành phần thực thi nhiệm vụ giới hạn băng
thông và đảm bảo các gói tin hợp lệ được
chuyển đi
4.1 Thành phần giám sát
Ở thành phần này, những thống kê luồng
được lưu tại bảng Flow Table, và những thống
kê kết nối được lưu tại bảng Connection Table
Những cuộc tấn công giả mạo có thể sinh ra một
số lượng lớn các bản ghi vào 2 bảng này Để
tránh làm tràn hai bảng này thành phần giám sát
thực hiện chính sách xóa định kỳ các bảng này
theo 2 phương pháp:
Xóa tất cả những bản ghi đã quá cũ
Khi các bảng tràn bộ nhớ, các bản ghi ít
được sử dụng nhất sẽ bị xóa bỏ
Việc phân loại luồng và kết nối được thực hiện một cách định kỳ Trong quá trình phân loại, D-WARD so sánh những thống kê luồng với mô hình luồng hợp lệ tương ứng với mỗi trường giao thức Phân loại luồng được sử dụng
để phát hiện ra các cuộc tấn công Phân loại kết nối được sử dụng để phát hiện những kết nối hợp lệ và kết nối này vẫn hoạt động bình thường trong khi kết nối khác có thể bị giới hạn băng thông
a Thống kê luồng và phân loại luồng
Mỗi gói tin đi ra khỏi mạng và đi vào mạng
đều ảnh hưởng tới một bản ghi trong Flow
Table Vì một luồng đi ra khỏi mạng có thể sử
dụng những giao thức giao vận khác nhau của các ứng dụng khác nhau, cho nên mỗi bản ghi
luồng trong bảng Flow Table cũng bao gồm
nhiều trường để có thể thống kê theo từng loại giao thức Có nhiều kiểu giao vận khác nhau nhưng D-WARD chỉ triển khai trên 3 loại đó là: TCP, UDP và ICMP Cho nên các luồng sẽ được thống kê dựa trên 3 kiểu giao vận đó Các luồng sẽ được phân loại sau mỗi chu kỳ giám sát luồng(FOI – Flow Observation Internal) Trong quá trình phân loại, D-WARD sẽ so sánh những thống kê luồng của mỗi giao thức tương ứng với các mô hình luồng hợp lệ Kết quả sẽ rơi vào một trong 3 kiểu sau đậy:
ATTACK: Xảy ra khi các thống kê hoặc một trường không phù hợp với mô hình tương ứng
SUSPICIOUS: Xảy ra khi những thống
kê hoặc tất cả các trường phù hợp với mô hình tương ứng nhưng luồng này trước đó vừa được phân loại là “ATTACK”
NORMAL: nếu thống kê hoặc tất cả mọi trường phù hợp với mô hình tương ứng và luồng trước đó thì chưa bị xác định là “ATTACK” Một cuộc tấn công đã dừng lại, các luồng sẽ được phân loại là “SUSPICIOUS” trong một
khoảng thời gian gọi là Compliance Period Tức
là sau cuộc tấn công, băng thông sẽ được tăng
Trang 4lên một cách từ từ Nếu cuộc tấn công quay trở
lại trước khi khoảng thời gian bên trên hết hạn,
luồng sẽ được phân loại là tấn công trở lại
Ngược lại, luồng đó sẽ được phân loại là
“NORMAL” Sự khác nhau giữa các luồng
“SUSPICIOUS” và luồng “NORMAL” là cố
gắng làm cho mức độ ảnh hưởng của cuộc tấn
công lặp lại là thấp nhất Quá trình phân loại có
thể được thực thi bằng việc sử dụng các mô hình
sau đây để so sánh:
Mô hình luồng TCP hợp lệ: TCP là một
giao thức phổ biến trên Internet (chiếm khoảng
90% traffic) Giao thức TCP sử dụng truyền
thông 2 chiều để đạt được độ tin cậy trong quá
trình truyền nhận Chúng ta có thể thấy rằng
trong suốt phiên TCP, luồng dữ liệu từ host
nguồn tới host đích được điều khiển và nếu băng
thông gửi giảm xuống tức là có thể đã xảy ra tắc
nghẽn Chúng ta có thể định nghĩa TCP rto là tỉ lệ
tối đa được phép của số gói tin gửi đi chia cho
số gói tin nhận về trong một luồng Luồng này
sẽ bị phân loại như một luồng “ATTACK” nếu
tỉ lệ tổng số gói tin gửi đi chiacho số gói tin
nhận về lớn hơn TCPrto
Mô hình luồng ICMP hợp lệ: Giao thức
ICMP xác định nhiều kiểu thông điệp khác nhau
như “timestamp”, “information request” và
“echo” và chúng có các kiểu gói tin reply tương
ứng Bằng việc sử dụng quan sát này, chúng ta
có thể định nghĩa ICMP rto là tỉ lệ tôi đa được
phép của số lượng các goi tin echo, timestamp,
request chia cho số lượng các gói tin reply
tương ứng trong luồng
Mô hình luồng UDP hợp lệ: Chúng ta biết
rằng giao thức UDP được sử dụng trong truyền
tin không tin cậy D-WARD định nghĩa 2
ngưỡng trong mô hình luồng UDP hợp lệ: nconn
là số lượng kết nối tối đa được phép tới một
đích pconn là số lượng tối thiểu của gói tin được
phép trên mỗi kết nối Những ngưỡng đó giúp
hệ thống phát hiện một cuộc tấn công UDP sử
dụng các kết nối giả mạo hoặc có nhiều kết nối
mà có ít gói tin trên một kết nối D-WARD sẽ phân loại một luồng là tấn công khi những ngưỡng đó bị vi phạm
b Thống kê kết nối và phân loại kết nối
Mỗi gói tin đi ra hoặc đi vào không chỉ sửa
một bản ghi trong bảng Flow Table mà còn sửa bản ghi trong Connection Table Một kết nối chỉ
có thể mang traffic của một giao thức và một ứng dụng D-WARD thực hiện phân loại kết nối sau một khoảng thời gian là COI (Connection Observation Internal) Trong quá trình phân loại, D-WARD so sánh những thống kê kết nối tương ứng với mô hình kết nối hợp lệ Quá trình phân loại sẽ đưa ra một trong 3 kết quả sau:
- GOOD: Xảy ra nếu thống kê phù hợp với mô hình tương ứng
- BAD: Xảy ra nếu thống kê không phù hợp với mô hình tương ứng
- TRANSIENT: Xảy ra nếu không có đủ
dữ liệu để thực hiện phân loại
Cũng tương tự như mô hình luồng hợp lệ, chúng ta cũng xây dựng những mô hình kết nối hợp lệ Có 3 mô hình chính D-WARD sử dụng
đó là:
Mô hình kết nối TCP hợp lệ: Mô hình kết
nối TCP hợp lệ của D-WARD tương tự với mô hình luồng hợp lệ của nó Nó cũng sử dụng giá trị TCPrto như là giá trị tỉ lệ tối đa được phép của
số gói tin gửi chia cho số gói tin nhận trong kết nối Kết nối được phân loại là “GOOD” nếu tỉ lệ
số gói tin gửi chia cho số gói tin nhận trong luồng nhỏ hơn TCPrto
Mô hình kết nối ICMP hợp lệ: Hệ thống
phòng chống D-WARD không triển khai các mô hình kết nối ICMP hợp lệ vì traffic ICMP hiếm khi có một kết nối theo đúng nghĩa của nó Mặt khác, việc hủy bỏ traffic ICMP hợp lệ trong quá trình tấn công không gây ra thiệt hại lớn cho các client hợp lệ
Mô hình kết nối UDP hợp lệ: D-WARD sử
dụng mỗi mô hình tương ứng với một ứng dụng UDP cụ thể Chúng ta có thể liệt kê một số loại
Trang 5ứng dụng chính sử dụng UDP như là DNS,
NTP, multimedia streaming, VoIP, Internet
multi-player game, NFS, ứng dụng chat…
c Phân loại gói tin đầu tiên
Trong khi một cuộc tấn công đang diễn ra,
D-WARD sẽ khó có thể phân loại kết nối một
cách chính xác dựa trên gói tin đầu tiên đi ra
khỏi mạng Vì, chúng ta không có đủ thông tin
để thực hiện việc phân loại cho gói tin này Cho
nên, kết nối này sẽ được phân loại là
“TRANSIENT” và traffic của nó được điều
khiển bởi chính sách giới hạn băng thông
Hình 2 : Ví dụ về vấn đề phân loại gói
tin đầu tiên
Trong mô hình này, mạng nguồn NetS được
D-WARD bảo vệ Chúng ta giả sử rằng đang có
một cuộc tấn công TCP SYN sử dụng địa chỉ
mạng giả mạo được gửi đi từ host A tới nạn
nhân V D-WARD phát hiện cuộc tấn công này
và sau đó đặt một giới hạn băng thông trong
luồng ra ngoài từ NetS tới nạn nhân V Các
client C1 và C2 là những client hợp lệ và đã
thiết lập kết nối từ trước tới nạn nhân V và
những kết nối đó được xác định là hợp lệ và
không phải chịu giới hạn băng thông Trong quá
trình diễn ra cuộc tấn công, client hợp lệ C3
muốn khởi tạo một kết nối tới nạn nhân V Bằng
việc giám sát, DWARD có thể thấy rằng có
nhiều gói tin tấn công TCP SYN và một gói tin
TCP_SYN hợp lệ Tuy nhiên để phân biệt giữa
gói tin TCP SYN hợp lệ và tấn công chỉ có thể
dựa vào hoạt động của chúng sau khi thực hiện
quá trình bắt tay 3 bước Nhưng D-WARD
không cho phép thực hiện việc bắt tay 3 bước khi một cuộc tấn công TCP SYN đang xảy ra Cho nên, cả kết nối hợp lệ và kết nối tấn công đều sẽ bị phân loại là “TRANSIENT” và bị giới hạn băng thông
Vì việc hủy bỏ các gói tin ảnh hưởng đến hiệu năng của kết nối, đặc biệt là các kết nối TCP Giao thức TCP cho rằng việc mất gói tin
là tín hiệu của sự tắc nghẽn trong mạng và giảm tốc độ gửi xuống Nếu gói tin mất liên tiếp dẫn tới cỡ của cửa sổ điều khiển (control window) trong gói tin giảm xuống theo cấp số mũ Do gói tin bị mất là gói tin bắt đầu của một kết nối cho nên cửa sổ điều khiển sẽ giảm xuống giá trị thấp nhất Khi truyền lại cửa sổ điều khiển sẽ tăng theo cấp số mũ cho đến ngưỡng Kỹ thuật này rất thành công trong việc giải quyết tắc nghẽn tạm thời Tuy nhiên, chúng làm traffic TCP không ưu thế hơn traffic tấn công để D-WARD
có thể phân biệt và cung cấp một dịch vụ tốt cho các kết nối này Sau đây, chúng ta sẽ xem xét một số giải pháp để cải thiện vấn đề này
Đầu tiên, chúng ta có thể giả thiết rằng các
cookie TCP SYN có thể được triển khai tại vị trí của nạn nhân Tấn công tràn TCP SYN có thể
được điều khiển bằng cách sử dụng TCP SYN cookie Như chúng ta đã biết, để khởi tạo một kết nối TCP, client gửi một gói tin TCP SYN tới server Để đáp ứng lại yêu cầu server gửi một gói tin SYN+ACK trở lại client Trong các gói
tin này có một trường giá trị là sequence number
được sử dụng để ghép các gói tin trong luồng dữ liệu khi sử dụng giao thức TCP Mà trường sequence number đầu tiên này được gửi đi là một giá trị ngẫu nhiên được chọn bởi client hoặc server SYN cookie sẽ khởi tạo sequence number được xây dựng dựa theo các yếu tố sau:
t là nhãn thời gian
m là dung lượng tối đa của một segment
là giá trị được server lưu ở hàng đợi SYN
Trang 6 s là kết quả của hàm bí mật được mã hóa
dựa vào địa chỉ IP và chỉ số cổng của server,
client và t Giá trị của s sẽ có độ dài là 24 bit
Việc khởi tạo TCP sequence number được
SYN cookie tính toán như sau:
5 bit đầu tiên là: t mod 32
3 bit tiếp theo là: mã hóa giá trị m
24 bit cuối cùng: là giá trị s
Khi client gửi trả lại gói tin TCP ACK trong
quá trình bắt tay 3 bước tới server để thông báo
lại với server rằng gói TCP SYN+ACK đã được
client nhận, thì client phải cộng thêm 1 vào
trường sequence number của gói tin SYN+ACK
để vào trường Acknowlegment number của gói
tin trả về server đó Server sẽ trừ đi 1 từ trường
Acknowlegment number của gói tin này để kiểm
tra SYN Cookie đã gửi tới client Quá trình
kiểm tra diễn ra như sau:
Kiểm tra giá trị t xem có giống với giá trị
t đã được gửi đi trong gói tin SYN+ACK hay
không Nếu khác tức là gói tin đã hết hạn
Tính toán lại giá trị s xem đây có quả
thật là một SYN Cookie chính xác hay không
Giải mã giá trị m từ 3 bit mã hóa trong
SYN cookie để so sánh với m trong hàng đợi
SYN
Nếu tất cả đều chính xác thì gói tin SYN đó
là một gói tin hợp lệ Ngược lại, nó có thể là
nguyên nhân của một cuộc tấn công
Hai là, chúng ta có thể sử dụng các kết nối
proxy TCP tức là D-WARD sẽ triển khai TCP
SYN cookie trên chính nó và thực hiện quá trình
bắt tay 3 bước thay vì client phải bắt tay 3 bước
với nạn nhân Một client hoàn thành việc bắt tay
3 bước, D-WARD sẽ gửi gói tin TCP SYN tới
server và thiết lập kết nối tới server Tuy nhiên,
chúng ta gặp phải vấn đề là sequence number
được chọn đầu tiên của hệ thống phòng chống
không giống như giá trị của trường này được
chọn bởi server thật Để giải quyết vấn đề này,
chúng ta có thể thực hiện theo 2 cách: (1) proxy
hoàn toàn kết nối, ghi lại sequence number phù
hợp, hoặc (2) hủy kết nối bằng cách gửi gói tin RST (reset) tới client, và vì gói tin TCP SYN là hợp lệ cho nên lần sau các gói tin TCP SYN gửi
đi sẽ được gửi trực tiếp tới server Thông thường người ta thường sử dụng phương pháp thứ nhất nhưng sử dụng phương pháp này cũng gặp phải hạn chế Đó là trong khi diễn ra một cuộc tấn công thì DWARD vẫn phải giữ quá nhiều thông tin về trạng thái kết nối và sửa mỗi gói tin trong
các kết nối hợp lệ đi qua nó
4.2 Thành phần giới hạn băng thông
Thành phần giới hạn băng thông sẽ điều chỉnh giá trị giới hạn băng thông sau một khoảng thời gian giám sát luồng (Flow Observation Interval) Để đưa ra một giá trị giới hạn băng thông cho một luồng đang hoạt động, thành phần này phải đọc các kết quả phân loại
từ thành phần giám sát và băng thông được đặt cho luồng này trước đây là bao nhiêu từ thành phần chính sách lưu lượng
Đầu tiên, chúng ta xem xét về băng thông được đặt cho luồng này từ trước được lấy từ thành phần chính sách lưu lượng Nó được mô
tả thông qua 2 chặng: đầu tiên, số byte của luồng được chuyển tới nạn nhân được gọi là Bsent và số byte của luồng bị hủy gọi là Bdropped Hai giá trị này sẽ được xác định trong khoảng thời gian giám sát luồng (Flow Observation Interval) Để xác định cụ thể, chúng ta định nghĩa một hệ số tuân thủ luồng fcf (Flow Compliance Factor) là thương của Bsent chia cho tổng Bsent và Bdropped và giá trị này nằm trong khoảng từ 0 đến 1 Giá trị FCB này càng cao thì
số gói tin bị hủy càng thấp
- Giảm theo hàm mũ:
Khi một luồng được xác định là luồng tấn công lần đầu tiên sau một khoảng thời gian dài được xác định là luồng bình thường, băng thông của nó bị giới hạn bởi công thức sau:
Trang 7
Trong đó là một tham số được cấu hình
Nếu luồng tiếp tục bị phân loại là tấn công
thì sẽ giới hạn băng thông giảm theo hàm mũ
theo công thức:
(
)
Trong đó:
: là băng thông giới hạn hiện tại
: là hệ số tuân thủ luồng
Luồng có nhiều gói tin bị hủy tức là fcf << 1
thì sẽ bị giới hạn băng thông về mức rất thấp
một cách nhanh chóng Ngược lại, luồng có số
gói tin bị hủy nhỏ thì fcf ~ 1 thì việc giới hạn
băng thông diễn ra một cách từ từ hơn Giới hạn
băng thông thấp nhất có thể giới hạn đó là giá trị
tham số cấu hình MinRate
- Tăng tuyến tính:
Khi không còn phát hiện ra tín hiệu của cuộc
tấn công nữa, luồng được xem như một luồng
khả nghi và băng thông gửi được phục hồi Pha
làm việc này gồm có 2 phần: phục hồi chậm và
phục hồi nhanh Trong quá trình phục hồi chậm
giới hạn băng thông sẽ được tăng tuyến tính
theo công thức:
Tốc độ khôi phục băng thông phụ thuộc vào
tham số rateinc và quá trình diễn ra pha phục hồi
chậm được diễn ra trong khoảng thời gian là giá
trị của hằng số Compliance Period
- Tăng theo cấp số mũ:
Khi một luồng được phân loại là
“NORMAL”, quá trình phục hồi nhanh sẽ được
thực hiện Trong pha phục hồi nhanh, băng
thông gửi tăng theo cấp số mũ theo công thức:
Tốc độ khôi phục phụ thuộc vào giá trị của
tham số f inc băng thông sẽ tăng cho tới khi nào
đạt giá trị MaxRate Ngay sau khi giới hạn băng
thông lớn hơn MaxRate, pha phục hồi sẽ kết
thúc và giới hạn băng thông sẽ bị xóa
4.3 Thành phần chính sách lưu lượng
Nhiệm vụ của thành phần chính sách lưu lượng là tiếp nhận một cách định kỳ về giới hạn băng thông từ thành phần giới hạn băng thông
và thông tin phân loại kết nối từ thành phần giám sát và sau đó đưa ra quyết định hoặc là
chuyển tiếp hoặc là hủy
5 Ưu nhược điểm của D-WARD
a Ưu điểm
- D-WARD là một hệ thống phòng thủ DdoS được triển khai ở mạng source-end
- D-WARD được cài đặt tại bộ định tuyến nguồn để phục vụ như một gateway giữa mạng được triển khai (mạng nguồn) và phần còn lại của Internet
- D-WARD là một hệ thống phản hồi ngược tự cấu hình, nên D-WARD có thể tự động cấu hình không cần việc cấu hình bằng tay của người quản trị
- D-WARD phát hiện và ngăn cản một cách rất hiệu quả các cuộc tấn công đi ra từ các mạng nguồn
- D-WARD cung cấp dịch vụ tốt tới các giao dịch hợp lệ giữa mạng nguồn và máy nạn nhân khi cuộc tấn công đang diễn ra
- D-WARD có thể hợp nhất nó với các cơ chế phòng thủ khác (như COSSACK hay
DefCOM) để cung cấp sự đáp ứng có lựa chọn
b Nhược điểm
- D-WARD chỉ phát hiện và ngăn chặn các cuộc tấn công bắt nguồn từ mạng nguồn, do vậy các mạng không được triển khai thì vẫn thực hiện thành công cuộc tấn công
- Các hệ thống được triển khai trong mạng không truyền thông với nhau để tạo nên sự hiệu quả trong việc phát hiện và ngăn cản các cuộc tấn công trong mạng
- D-WARD chỉ phát hiện và ngăn chặn được các cuộc tấn công phát sinh từ mạng nguồn mà nó được triển khai nên yêu cầu triển khai ở mức lớn (bao phủ phần lớn các mạng nguồn) thì mới đạt được hiệu quả mong muốn
Trang 86 Kết luận
D-WARD cung cấp sự phòng thủ hiệu quả
chống lại các cuộc tấn công từ chối dịch vụ
Bằng cách áp dụng phòng thủ tại các điểm mà
lưu lượng DDoS vào mạng, D-WARD có thể
triển khai rộng rãi trong mạng để loại bỏ các tải
vô ích của DDoS Các phiên bản đầu tiên của
D-WARD có thể phát hiện một cách hiệu quả các
luồng cá nhân đóng góp vào lưu lượng DDoS và
hạn chế tốc độ hợp lý Trong vài giây D-WARD
có thể phát hiện được nhiều kiểu tấn công DDoS
phổ biến và giảm tác hại của nó hầu như ngay
lập tức Các cuộc tấn công tinh vi hơn, mất
nhiều thời gian để phát hiện, nhưng D-WARD
điều chỉnh chúng gần như ngay khi chúng đủ để
gây tác hại đến nạn nhân đồng thời lưu lượng
hợp pháp từ mạng nguồn không bị ảnh hưởng
7 Tài liệu tham khảo
[1] D-WARD: DDoS Network Attack
Recognition and Defense - Jelena Mirković
(January 23, 2002) [2] http://www.lasr.cs.ucla.edu/ddos/
[3] http://www.docstoc.com/docs/123139335/D- WARD-DDoS-Network-Attack-Recognition-and-Defense
[4]http://dc401.4shared.com/doc/z5dMT_c3/pre view.html