triển khai các hệ thống d-wardtheo mô hình mạng các node hàng xóm

Hệ thống D-WARD được biết đến một hệ thống phòng thủ DdoS source-end rất hiệu quả, nhưng hệ thống D-WARD có nhược điểm là chỉ phát hiện và ngăn chặn được các cuộc tấn công đi ra từ mạng

ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

Phạm Đức Duy

TRIỂN KHAI CÁC HỆ THỐNG D-WARD

THEO MÔ HÌNH MẠNG CÁC NODE HÀNG XÓM

KHOÁ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY

Ngành: Mạng và truyền thông máy tính

LỜI CẢM ƠN

Để hoàn thành khóa luận này, trước hết em xin bày tỏ lòng biết ơn sâu sắc tới

thầy Đoàn Minh Phương Thầy đã tận tình hướng dẫn, giúp đỡ, và tạo điều kiện rất

tốt cho em trong suốt quá trình làm khóa luận Đồng thời em xin cảm ơn các thầy giáo,

cô giáo trong Trường Đại Học Công Nghệ - Đại Học Quốc Gia Hà Nội đã truyền đạt cho em nhiều kiến thức bổ ích trong suốt thời gian học tập tại trường

Cuối cùng, em xin cảm ơn tất cả bạn bè, gia đình và người thân đã giúp đỡ, động viên em rất nhiều để em có thể hoàn thành tốt khóa luận

Sinh viên

Phạm Đức Duy

TÓM TẮT NỘI DUNG

Các cuộc tấn công tấn công từ chối dịch vụ (DDoS) gây ra một đe dọa rất lớn tới mạng Internet Chúng lấy sức mạnh của một lượng lớn các máy được kết nối vào mạng Internet để tiêu thụ một vài tài nguyên tại máy nạn nhân và từ chối dịch vụ tới các máy khách hợp lệ, vì chúng thường gây ra sự tắc nghẽn mạng trên đường từ nguồn đến đích, do vậy làm giảm sự hoạt động của mạng Internet Chính vì vậy nảy sinh việc xây dựng các hệ thống phòng thủ DdoS để phát hiện và ngăn chặn các cuộc tấn công DDoS Hệ thống D-WARD được biết đến một hệ thống phòng thủ DdoS source-end rất hiệu quả, nhưng hệ thống D-WARD có nhược điểm là chỉ phát hiện và ngăn chặn được các cuộc tấn công đi ra từ mạng nguồn mà D-WARD được triển khai Bởi vậy, việc triển khai các hệ thống D-WARD theo mô hình mạng các node hàng xóm với mục đích để cho các hệ thống D-WARD trong mạng trao đổi thông tin với nhau, nhằm tăng hiệu quả của việc phát hiện và ngăn chặn các cuộc tấn công DdoS

Luận văn đã cài đặt và kiểm chứng hiệu quả của việc triển khai các hệ thống WARD theo mô hình mạng các node hàng xóm đồng thời đưa ra một cải tiến đối với việc triển khai để nâng cao hiệu quả của việc ngăn chặn các cuộc tấn công DDoS

D-MỤC LỤC

LỜI MỞ ĐẦU 1

Chương 1 Giới thiệu 2

1.1 Giới thiệu 2

1.2 Sơ lược về từ chối dịch vụ và từ chối dịch vụ phân tán 2

1.2.1 Sơ lược về từ chối dịch vụ (DoS) 2

1.2.2 Sơ lược về từ chối dịch vụ phân tán (DDoS) 3

1.3 Sơ lược về sự phòng thủ DDoS 4

1.3.1 Các thách thức phòng thủ DDoS 4

1.3.1.1 Các thách thức kỹ thuật 4

1.3.1.2 Các thách thức xã hội 4

1.3.2 Mục đích của phòng thủ DDoS 4

1.3.3 Các giải pháp phòng thủ 5

1.3.4 Các điểm phòng thủ 5

1.3.4.1 Phòng thủ tự trị 5

1.3.4.2 Phòng thủ phân tán 9

1.4 D-WARD được đặt ở đâu? 9

Tổng kết 10

Chương 2 D-WARD 11

2.1 Sơ lược về D-WARD 11

2.2 Các thuật ngữ 11

2.3 Dấu hiệu tấn công 12

2.4 Kiến trúc 13

2.5 Thành phần theo dõi 14

2.5.1 Các đặc điểm và sự phân loại luồng 15

2.5.2 Các đặc điểm kết nối và sự phân loại kết nối 17

2.5.3 Phân loại gói tin đầu tiên 22

2.6 Thành phần giới hạn 25

2.6.1 Giảm theo luật số mũ 26

2.6.2 Tăng tuyến tính 26

2.6.3 Tăng theo hàm số mũ 27

2.7 Thành phần quản lý truyền thông 28

Ưu điểm của D-WARD 28

Nhược điểm của D-WARD 28

Tổng kết 29

Chương 3 Cơ sở lý thuyết của kiến trúc triển khai và mở rộng D-WARD 30

D-WARD 1.0 30

D-WARD 2.0 30

D-WARD 3.0 32

D-WARD 3.1 32

3.1 Kiến trúc thực thi của D-WARD 3.1 33

3.2 Thành phần theo dõi 33

3.2.1 Bảng băm luồng 33

3.2.2 Bảng băm kết nối 35

3.2.3 Thu thập thông tin gói tin 36

3.2.4 Phân loại luồng và kết nối 36

3.3 Thành phần giới hạn 38

3.4 Thành phần quản lý truyền thông 38

3.4.1 Tiến trình quản lý truyền thông 39

3.4.2 Các mẫu máy 39

3.5 Bắt truyền thông(traffic-sniffing) 40

3.6 Triển khai các hệ thống D-WARD trên mạng các node hàng xóm 40

Tổng kết 42

Chương 4 Cài đặt và kết quả thu được 43

4.1 Cài đặt thực nghiệm 43

4.1.1 Mô hình thực thi 43

4.1.2 Biên dịch và chạy D-WARD 43

4.2 Kết quả 45

4.3 Đánh giá về việc triển khai mở rộng 46

Tổng kết 47

Chương 5 Kết luận 48

TÀI LIỆU THAM KHẢO 49 

(giao thức truyền siêu văn bản)

(Giao thức thông điệp điều khiển Internet)

(giao thức mạng)

(Giao thức thời gian mạng)

(Giao thức điều khiển truyền vận)

(truyền giọng nói qua giao thức mạng)

DANH MỤC HÌNH ẢNH

Hình 1 Trường hợp tấn công từ chối dịch vụ - DoS 2

Hình 2 Trường hợp tấn công từ chối dịch vụ phân tán – DdoS 3

Hình 3 Các điểm phòng thủ 6

Hình 4 phòng thủ Victim-End 7

Hình 5 Phòng thủ mạng trung gian 8

Hình 6 Phòng thủ source-end 9

Hình 7: Luồng và kết nối 12

Hình 8 Kiến trúc D-WARD 14

Hình 9: Máy trạng thái hữu hạn DNS 19

Hình 10: Máy trạng thái hữu hạn NTP 20

Hình 11: Máy trạng thái hữu hạn luồng dữ liệu 22

Hình 12: Một kết nối TCP mới được khởi tạo trong cuộc tấn công 23

Hình 13: Các giá trị giới hạn và sự phân loại cho một luồng mẫu 27

Hình 14 Kiến trúc thực thi của D-WARD 3.1 33

Hình 15 Bảng bản ghi luồng 34

Hình 16 Bản ghi bảng băm luồng giới hạn 38

Hình 17 Mô hình mạng và bảng địa chỉ hàng xóm 42

Hình 18 Mô hình thực thi 43

Hình 19: File debug/class.txt 45

Hình 20: File rlstats.txt 45

Hình 21:File conn.txt 46

LỜI MỞ ĐẦU

Các cuộc tấn công từ chối dịch vụ phân tán (DDoS) là một vấn đề nghiêm trọng

và thách thức tới mạng Internet Việc này yêu cầu ít nỗ lực ở phía kẻ tấn công, vì một lượng lớn các máy móc tham gia vào cuộc tấn công, và các công cụ cũng như các mã kịch bản tự động cho việc khai thác và tấn công có thể dễ dàng được tải về từ mạng và triển khai Nói cách khác, việc ngăn chặn tấn công là vô cùng khó khăn do một lượng lớn máy móc tham gia tấn công, việc sử dụng lừa đảo địa chỉ nguồn và sự giống nhau giữa truyền thông hợp lệ và tấn công

Nhiều hệ thống phòng thủ được thiết kế trong các viện nghiên cứu và các hiệp hội thương mại để chống lại các cuộc tấn công DDoS, nhưng vấn đề vẫn hầu như chưa được giải quyết Luận văn này sẽ giới thiệu hệ thống phòng thủ DDoS source-end được gọi là D-WARD và sự triển khai các hệ thống D-WARD theo mô hình mạng các node hàng xóm D-WARD ngăn chặn các cuộc tấn công đi ra từ các mạng được triển khai Sự phòng thủ source-end không là giải pháp hoàn toàn với các cuộc tấn công DDoS, vì các mạng không được triển khai vẫn thực hiện các cuộc tấn công thành công, nhưng D-WARD có thể tìm ra và ngăn chặn đáng kể các cuộc tấn công DdoS khi nó được cài đặt Nhược điểm của hệ thống D-WARD là các hệ thống D-WARD không liên lạc được với nhau Và trong luận văn này sẽ thảo luận về việc triển khai các hệ thống D-WARD theo mô hình mạng các node hàng xóm

Khóa luận gồm có 4 chương

Chương 1: Giới thiệu sơ lược về tấn công từ chối dịch vụ(DoS) và tấn công từ chối dịch vụ phân tán(DDoS), đồng thời cũng giới thiệu về phòng thủ DDoS: các thách thức phòng thủ, mục đích phòng thủ, giải pháp, điểm phòng thủ và phòng thủ phân tán Chương 2: Khóa luận giới thiệu về D-WARD: kiến trúc, các thành phần của D-WARD và sự triển khai các thành phần đó

Chương 3: Khóa luận đề cập đến việc mở rộng D-WARD: giới thiệu các phiên bản của D-WARD, sự triển khai trên mạng các node hàng xóm

Chương 4: Cài đặt và kết quả đạt được khi triển khai trên mạng các node hàng xóm

Chương 5: Phần kết luận

Chương 1 Giới thiệu

1.1 Giới thiệu

Hệ thống phòng thủ DDoS là một lĩnh vực nghiên cứu rất được quan tâm nhưng cũng rất phức tạp Sự thực thi một hệ thống phòng thủ liên quan đến nhiều vấn đề khác nhau Chương này của khóa luận sẽ chỉ ra kiến thức cơ bản mà liên quan đến phòng thủ DDoS Đầu tiên, khóa luận sẽ thảo luận về từ chối dịch vụ và rồi luận văn đề cập tới từ chối dịch vụ phân tán Cuối cùng, luận văn sẽ nói về sự phòng thủ DDoS

1.2 Sơ lược về từ chối dịch vụ và từ chối dịch vụ phân tán

1.2.1 Sơ lược về từ chối dịch vụ (DoS)

Các cuộc tấn công từ chối dịch vụ (DoS) dùng một lượng lớn các gói tin để làm gián đoạn việc phục vụ của máy nạn nhân với các máy khách hợp lệ Máy nạn nhân thường là một máy chủ phục vụ, sẽ phải dùng nhiều thời gian và hầu hết các tài nguyên để xử lý các yêu cầu DoS,được chỉ rõ trong hình 1 Như một kết quả, các máy khách thực sự của máy nạn nhân sẽ khó khăn trong việc truy cập hay không thể truy cập tới các dịch vụ của máy nạn nhân Ngoài ra, ngay cả khi máy nạn nhân thực thi thành công sau cuộc tấn công, các người dùng thường chọn các nhà cung cấp dịch vụ khác vì sự quấy rối trước đó Hiệu ứng này có thể thấy được trong vài trang mà hỗ trợ các giao dịch thời gian thực như mua vé tàu, chuyển khoản hay mua cố phiếu Vì những nguyên nhân này, các máy nạn nhân sẽ mất sự tin tưởng của khách hàng và giảm lợi nhuận sau các cuộc tấn công DoS

Hình 1 Trường hợp tấn công từ chối dịch vụ - DoS

1.2.2 Sơ lược về từ chối dịch vụ phân tán (DDoS)

Các cuộc tấn công từ chối dịch vụ phân tán đơn giản là các cuộc tấn công từ chối dịch vụ nhưng được thực hiện từ nhiều máy móc bị phá hoại (agent) Mỗi khi kẻ tấn công có thể điều khiển các agent, tất cả các máy mọc được tiến hành đồng thời và bắt đầu phát sinh lượng lớn gói tin có thể tới máy nạn nhân, được chỉ rõ trong hình 2 Lượng agent càng lớn,các tài nguyên của máy nạn nhân càng nhanh cạn kiệt và quá tải Bởi vậy, để thiết kế một hệ thống phòng thủ tốt, chúng ta phải hoàn toàn hiểu về các đặc điểm của cuộc tấn công DDoS

Đầu tiên, các agent luôn sử dụng việc lừa đảo địa chỉ IP nguồn trong các cuộc tấn công DDoS Kẻ tấn công giả mạo thông tin trong trường địa chỉ IP nguồn trong các tiêu đề gói tin tấn công Do vậy, thật khó cho các máy nạn nhân nếu chúng muốn lần vết các máy agent Bên cạnh đó, việc ẩn địa chỉ của các máy agent cho phép kẻ tấn công sử dụng lại chúng cho các cuộc tấn công trong tương lai Vì vậy, bất kỳ loại truyền thông nào cũng có thể được sử dụng để thực hiện một cuộc tấn công từ chối dịch vụ thành công Kẻ tấn công nhắm tới phát sinh các gói tin giống như hợp lệ để thực hiện cuộc tấn công, nên việc phân loại giữa truyền thông hợp lệ và truyền thông tấn công yêu cầu xây dựng các bảng dữ liệu thống kê để rút ra ngữ nghĩa phiên giao dịch

Hình 2 Trường hợp tấn công từ chối dịch vụ phân tán – DdoS

1.3 Sơ lược về sự phòng thủ DDoS

1.3.1 Các thách thức phòng thủ DDoS

Các thách thức cho việc thiết kế các hệ phòng thủ DDoS chia thành hai loại: các thách thức kỹ thuật và các thách thức xã hội Các thách thức kỹ thuật bao quanh các vấn đề liên quan tới các giao thức Internet hiện tại và các đặc điểm của DDoS Các thách thức xã hội, nói theo cách khác, hầu như liên quan tới cách mà một giải pháp kỹ thuật thành công sẽ được giới thiệu tới người dùng Internet, và được chấp nhận và được triển khai diện rộng bởi những người dùng này

1.3.1.1 Các thách thức kỹ thuật

Bản chất phân tán của các cuộc tấn công DDoS và dung các mẫu truyền thông hợp lệ và sự lừa đảo IP tương ứng với các thách thức kỹ thuật chính để thiết kế các hệ thống phòng thủ DDoS hiệu quả Danh sách dưới đây tổng hợp các thách thức kỹ thuật cho phòng thủ DDoS:

• Cần thiết cho một sự đáp trả phân tán tại nhiều điểm trong mạng Internet

• Sự thiếu thông tin tấn công chi tiết

• Sự thiếu các tiêu chuẩn cho hệ thống phòng thủ

• Sự khó khăn trong kiểm thử ở mức lớn

1.3.1.2 Các thách thức xã hội

Nhiều hệ thống phòng thủ DdoS yêu cầu các kiểu triển khai nào đó để thu được hiệu quả Các kiểu này chia thành các loại sau:

• Triển khai hoàn toàn

• Triển khai kề nhau

• Triển khai mức lớn, diện rộng

• Triển khai hoàn toàn tại các vị trí xác định trong mạng Internet

• Sự điều chỉnh của các giao thức Internet được triển khai diện rộng, như TCP, UDP hay HTTP

• Tất cả các máy khách (hợp lệ) của phòng thủ triển khai mục tiêu được bảo vệ

1.3.2 Mục đích của phòng thủ DDoS

Mục đích chính của phòng thủ DDoS là cung cấp dịch vụ tốt tới các máy khách hợp lệ của máy nạn nhân trong cuộc tấn công, vì vậy hủy bỏ hiệu ứng từ chối dịch vụ Múc đích thứ hai là làm giảm bớt hiệu ứng của cuộc tấn công tới máy nạn nhân vì thế các tài nguyên của nó có thể dành cho các máy khách hợp lệ hay được giữ gìn Cuối cùng, thuộc tính tấn công sẽ như một cản trở lớn tới các sự cố DDoS, vì vậy các kẻ tấn công có thể đối mặt với rủi ro phát hiện và trừng phạt

1.3.3 Các giải pháp phòng thủ

Các giải pháp phòng thủ DDoS có thể được chia thành ba loại: các giải pháp ngăn ngừa, giải pháp chọn lọc tự nhiên và giải pháp đáp lại

Các giải pháp ngăn ngừa: Giới thiệu sự thay đổi trong các giao thức

Internet,các chương trình và các host, để vá các tổn thương đang tồn tại và giảm sự xâm nhập và lợi dụng Mục đích của chúng ngăn chặn các cuộc tấn công vào tổn thương, và cản trở các cố gắng của kẻ tấn công để đạt được một lực lượng agent lớn

Các giải pháp chọn lọc tự nhiên: Mở rộng các tài nguyên của máy nạn nhân,

cho phép nó phục vụ cả các yêu cầu hợp lệ và có ác ý trong cuộc tấn công, vì vậy hủy

bỏ hiệu ứng từ chối dịch vụ Sự mở rộng này đạt được một cách tĩnh – bằng việc mua thêm các tài nguyên, hay tự động – bằng cách kiếm được các tài nguyên từ việc nhường cho một bộ máy chủ công cộng phân tán và tái tạo lại dịch vụ mục tiêu Hiệu quả của các giải pháp chọn lọc tự nhiên giới hạn trong các trường hợp các tài nguyên được mở rộng lớn hơn lượng tấn công, nhưng kẻ tấn công có thể dễ dàng thu thập hàng trăm, hàng ngàn máy agent, do vậy các giải pháp chọn lọc tự nhiên hầu như không cung cấp một giải pháp hoàn toàn cho vấn đề DDoS

Các giải pháp đáp lại: Phát hiện sự xảy ra tấn công và đáp lại nó(“chiến đấu

lại”) bằng điều khiển các luồng tấn công, hay có gắng định vị các máy agent và gọi ra các hành động cần thiết

1.3.4 Các điểm phòng thủ

Một hệ thống phòng thủ DDoS có thể được triển khai như một hệ thống tự trị(đơn điểm) hay như một hệ thống phân tán Các hệt thống tự trị bao gồm một node phòng thủ đơn lẻ để theo dõi cuộc tấn công và đưa ra các đáp lại Các hệ thống phân tán bao gồm nhiều node phòng thủ(thường cùng chức năng) được triển khai tại nhiều

vị trí và được tổ chức trong một mạng

1.3.4.1 Phòng thủ tự trị

Các luồng tấn công DDoS phát sinh từ các máy tấn công phân tán, được chuyển bởi các bộ định tuyến hạt nhân và đồng quy tại mạng máy nạn nhân Chúng ta theo dõi

tiến trình này như một sự tác động của ba loại mạng: mạng nguồn chứa các máy tấn công, mạng trung gian chuyển tiếp truyền thông tấn công tới máy nạn nhân, và mạng

nạn nhân chứa mục tiêu, được thể hiện rõ trong hình 3 Mỗi mạng có thể chứa các hệ

Hình 4 phòng thủ Victim-End

1.3.4.1.2 Phòng thủ mạng trung gian

Chúng ta biết rằng sự nguy hiểm của một cuộc tấn công DDoS với các tài nguyên mạng là rất lớn Vì vậy, chúng ta muốn di chuyển sự phòng thủ xa hơn máy nạn nhân, vào mạng trung gian, hình 5 thể hiện sự triển khai phòng thủ ở mạng trung gian Một

hệ thống phòng thủ mạng trung gian, thường cài đặt tại một bộ định tuyến hạt nhân, phát hiện cuộc tấn công thông qua theo dõi các bất thường tại bộ định tuyến này Vì các bộ định tuyến hạt nhân xử lý lượng lớn, chúng hầu như giám sát tất cả Các bộ định tuyến hạt nhân không thể có khả năng giữ các đặc điểm của các gói tin đi qua trên nền tảng mỗi đích Giải pháp này không phổ biến vì chúng ta cần một lượng lớn chi phí và bảo đảm chắc chắn về các kết quả hiệu quả khi chúng ta tăng sự phức tạp của

bộ định tuyến hạt nhân

Hình 5 Phòng thủ mạng trung gian

1.3.4.1.3 Phòng thủ source-end

Phòng thủ DDoS được đặt xa hơn máy nạn nhân tới nguồn, rút ngắn khả năng phát hiện,hình 6 thể hiện phòng thủ source-end Một hệ thống phòng thủ source-end không thể dễ dàng theo dõi hiệu ứng của truyền thông đi tới máy nạn nhân Hơn nữa,

vì nó có thể giám sát chỉ một phần nhỏ của cuộc tấn công, hệ thống phòng thủ có những khó khăn trong việc phát hiện các bất thường Nói cách khác, tính hiệu quả của

sự đáp lại tăng với trạng thái gần nguồn Vì phương pháp này có lượng thấp hơn, nó có thể cho phép nhiều xử lý hơn để phát hiện và phân loại Ngoài ra, với sự thiếu của sự tập hợp có thể giúp cho việc phân chia giữa truyền thông hợp lệ và truyền thông tấn công trong cuộc tấn công Giải pháp này có thể phát hiện và ngăn chăn tốt hơn và nhanh hơn, nên giảm tối thiểu nguy hiểm gây ra Tuy nhiên, khó khăn để triển khai ở mức lớn, và khó khăn khác chính là xác định giữa truyền thông hợp lệ và truyền thông tấn công để mà loại bỏ các gói tin truyền thông tấn công

Hình 6 Phòng thủ source-end

1.3.4.2 Phòng thủ phân tán

Các hệ thống phân tán của phòng thủ DDoS bao gồm các hành động của các hệ thống phòng thủ victim-end, source-end và đôi khi của phòng thủ mạng trung gian Phòng thủ victim-end phát hiện tấn công và phân phối cảnh báo tới thành viên khác

mà hợp tác để chặn các luồng tấn công Mục đích là cài đặt các tài nguyên gần các nguồn có thể, vì vậy giảm tối thiểu nguy hiểm

Các hệ thống phân tán gần như là giải pháp thích hợp cho việc xử lý DDoS Tuy nhiên, chúng là giải pháp cơ sở - chúng trải qua nhiều mạng và quản lý nhiều miền và thực hiện cam kết của nhiều người tham gia Internet Do vậy các hệ thống khó khăn trong triển khai và duy trì Hơn nữa, sự yêu cầu kết hợp của phòng thủ là khó mà đạt được do việc quản lý phân tán mạng Internet và sự hoạt động tự trị của các miền Việc

an toàn và xác thực các kênh truyền thông cũng chịu một giá cao nếu lượng tham gia

là lớn

1.4 D-WARD được đặt ở đâu?

D-WARD là một hệ thống phòng thủ DdoS source-end Nó được thiết kế để thực hiện cả hai như một hệ thống tự trị và như một phần của phòng thủ phân tán Như một

hệ thống tự trị, nó phát hiện một khoảng rộng các cuộc tấn công và điều khiển chúng, điều khiển là được lựa chọn, vì vậy cho phép các máy khách hợp lệ nhận được các dịch vụ tốt từ máy nạn nhân trong cuộc tấn công Như một phần của phòng thủ phân tán, D-WARD có thể nhận một cảnh báo tấn công và hướng dẫn giới hạn, và đưa ra một đáp lại tự động,hiệu quả và có lựa chon Nhưng D-WARD không phải là một giải pháp hoàn toàn với các cuộc tấn công DdoS, nó đẩy mạnh an ninh mạng Internet

Tổng kết

Chương 1 của khóa luận đã chỉ cho các bạn thấy rằng từ chối dịch vụ phân tán (DDoS) là các cuộc tấn công đơn giản Chúng thu thập các tài nguyên của một lượng agent để làm tràn máy nạn nhân Khó khăn trong việc xử lý các cuộc tấn công DdoS một cách chính xác Vì chúng lạm dụng các giao thức hợp lệ để thực hiện từ chối dịch

vụ, nó vô cùng khó khăn để phân chia truyền thông tấn công với truyền thông hợp lệ; việc này cản trở cả việc phát hiện và đáp lại

Thêm đó, cũng chỉ cho các bạn thấy được các thách thức trong việc thiết kế một

sự phòng thủ hiệu quả Các giải pháp phòng thủ nhắm đến việc ngăn chặn các cuộc tấn công từ chối dịch vụ (các giải pháp ngăn chặn), để cho phép máy nạn nhân tồn tại trong cuộc tấn công ma không từ chối dịch vụ tới các máy khách hợp lệ(các giải pháp chọn lọc tự nhiên) Và các giải pháp ngăn chặn, giải pháp chọn lọc tự nhiên không thể hoàn toàn xử lý các cuộc tấn công DdoS Các giải pháp đáp lại chỉ ra các hứa hẹn cho việc hoàn thành các hoạt động của các giải pháp ngăn chặn và chọn lọc tự nhiên Ngoài ra, cũng đưa ra cái nhìn tổng thể về việc lựa chọn cài đặt hệ thống phòng thủ DDoS tại đâu để thu được hiệu quả nhất: source-end, mạng trung gian hay victim-end

Chương 2 D-WARD

2.1 Sơ lược về D-WARD

D-WARD ( DDoS Network Attack Recognition and Defense) là một hệ thống phòng thủ DDoS mà được triển khai ở source-end Nó có hai mục đích chính:

• Phát hiện các cuộc tấn công DDoS đi ra và dừng chúng bằng điều khiển truyền thông đi ra tới máy nạn nhân

• Cung cấp dịch vụ tốt tới các giao dịch hợp lệ giữa mạng triển khai và máy nạn nhân trong khi cuộc tấn công đang diễn ra

D-WARD có thể hoạt động hoặc như một hệ thống tự trị, hoặc là một người tham gia trong một hệ thống bảo vệ phân tán Trong sự hoạt động tự trị, D-WARD tìm ra các cuộc tấn công và đáp lại tới chúng không truyền thông với bất kỳ thực thể khác Trong sự hoạt động hợp tác phân tán, D-WARD làm tăng sự dò tìm của nó bằng nhận các cảnh bảo tấn công từ các người tham gia khác D-WARD cũng có thể chấp nhận

và công nhận một vài sự đáp lại được yêu cầu từ máy khác

D-WARD là hệ thống phòng thủ source-end, nên nó được cài đặt tại bộ định tuyến nguồn và sự hoạt động của nó dường là một gateway giữa mạng được triển khai

và phần còn lại của mạng Internet Do vậy D-WARD chỉ kiểm soát truyền thông đi ra

từ mạng của nó Bất kỳ truyền thông hình thành trong các miền khác được đưa đến cho D-WARD thì không được kiểm soát

2.2 Các thuật ngữ

Khi chúng ta nghiên cứu về D-WARD, chúng ta phải hiểu các thuật ngữ liên

quan tới D-WARD như luồng, kết nối, “bộ địa chỉ kiểm soát”,…

Đầu tiên, D-WARD được cấu hình với một bộ các địa chỉ cục bộ mà truyền thông đi ra được nó kiểm soát – bộ địa chỉ kiểm soát của nó Bộ này nhận diện, ví dụ, tất cả các máy trong mạng stub hay tất cả khách hàng của một ISP Chúng ta giả thiết D-WARD có thể nhận diện bộ địa chỉ kiểm soát, hoặc thông qua vài giao thức hay thông qua cấu hình bằng tay

D-WARD theo dõi tất cả truyền thông giữa bộ địa chỉ kiểm soát của nó và phần

còn lại của Internet, dựa vào luồng và kết nối Luồng được xác định như toàn bộ

truyền thông giữa bộ địa chỉ kiểm soát và một host bên ngoài (i.e ,một địa chỉ IP bên ngoài) Một kết nối được định nghĩa như toàn truyền thông giữa một cặp địa chỉ IP và

số cổng, nơi một địa chỉ thuộc vào bộ địa chỉ kiểm soát và địa chỉ kia là một địa chỉ bên ngoài

Hình 7 sẽ minh họa khái niệm của một lưu lượng và một kết nối

Hình 7: Luồng và kết nối D-WARD áp dụng bộ lọc lối vào với truyền thông đi ra, để chống lại sự lừa đảo ngẫu nhiên D-WARD có khả năng điều khiển các cuộc tấn công mà dùng lừa đảo subnet

2.3 Dấu hiệu tấn công

D-WARD theo dõi trạng thái lưu lượng và kết nối và phân loại lưu lượng hay kết nối hoàn chỉnh như hợp lệ hay tấn công D-WARD tìm các tấn công DDoS đi ra bởi giám sát truyền thông hai chiều giữa mạng nguồn và phần còn lại của mạng Internet

Hệ thống tìm kiếm các dị thường dưới đây trong truyền thông tự động có thể là dấu hiệu của một cuộc tấn công DDoS:

Host bên ngoài không đáp lại: Tỷ lệ gửi tín hiệu mang tính tấn công đi đôi với tỷ lệ đáp lại thấp Sự dị thường này có quan hệ tới các truyền thông hai chiều mà

cho phép một mẫu yêu cầu/đáp lại như TCP, một vài loại truyền thông ICMP, truyền thông DNS, truyền thông NTP, Trong các truyền thông này, một bên gửi một hay vài gói tin tới bên khác, và chờ một trả lời (hoặc xác nhận của sự nhận được hay một sự đáp lại) trước khi gửi một vài gói tin Bằng việc tìm ra các host bên ngoài không đáp lại, D-WARD thực sự tập trung vào tìm ra sự nảy sinh của hiệu ứng từ chối dịch vụ Việc này là một dấu hiệu tấn công rất tin cậy, như một người tấn công phải tạo ra hiệu ứng từ chối dịch vụ để gây ra nguy hiểm tới máy nạn nhân Nói cách khác, cặp phát

hiện ra từ chối dịch vụ có thể đưa đến sự tìm ra “sau sự thật”(after-the-fact), một khi nguy hiểm đã xảy ra Sẽ tốt hơn nếu việc tìm ra có thể được biểu diễn ở các bước ban

đầu của cuộc tấn công, vì thế giữ gìn được nhiều tài nguyên của máy nạn nhân

Dạng của lừa đảo IP: D-WARD triển khai bộ lọc lối vào và xóa bỏ, ở mọi thời

điểm, các gói tin đi ra mà không mang các địa chỉ cục bộ Thêm vào đó, D-WARD giám sát số lượng các kết nối đồng thời giữa mạng nguồn và từng host bên ngoài Các host bên ngoài này mà tiến hành một số lượng lớn kết nối khả nghi với máy nạn nhân dường như là một phần của một cuộc tấn công lừa đảo subnet ( nơi mà máy do thám lừa đảo các địa chỉ cục bộ tới mạng con của nó) Hình thức này của việc tìm ra lừa đảo

IP không hoàn toàn chính xác, vì có thể xảy ra khi một máy đích trở nên quá phổ biến

để nhiều host cục bộ bắt đầu các kết nối hợp lệ với nó (do vậy hình thành một hiệu ứng

“giả đám đông” (“flash crowd”))

Một khi cuộc tấn công được tìm ra, D-WARD đáp lại bằng tỷ lệ giới hạn tổng luồng đi ra từ mạng nguồn tới máy nạn nhân, và vì thế giảm bớt lượng truyền thông lớn của máy nạn nhân Như một sự đáp lại đầy đủ, tỷ lệ giới hạn được chọn thay cho

bộ lọc D-WARD có thể tự điều chỉnh với các gói tin thuộc các luồng và kết nối nhận được Sự khác nhau của các kết nối hợp lệ với tấn công là một vấn đề rất khó trong phòng thủ DdoS, D-WARD biểu diễn sự khác nhau trong hai cách:

Nó giám sát các kết nối ở mọi lúc, và dùng các mẫu kết nối hợp lệ để tìm ra các

kết nối hợp lệ Mỗi khi tìm ra, các kết nối này được ghi vào trong Danh sách kết nối

hợp lệ (Legitimate Connection List) Khi cuộc tấn công được tìm ra, các gói tin thuộc

các kết nối trong Danh sách kết nối hợp lệ dường như hợp lệ, và không phải chịu tỷ lệ

giới hạn Vì tình trạng kết nối được đánh giá lại theo định kỳ, các kết nối có ác ý mà

được ghi vào Danh sách kết nối hợp lệ Chúng sẽ nhanh chóng tìm ra và được xóa

khỏi danh sách

Trong cuộc tấn công, D-WARD dùng một bộ các mẫu để đánh giá tính hợp lệ của các gói tin đang bắt đầu các kết nối mới Những gói này này mà trải qua cuộc kiểm tra tùy theo tỷ lệ giới hạn Kỹ thuật này tăng cơ hội của việc tạo ra các kết nối thành công trong cuộc tấn công, trong khi giới hạn lượng nguy hiểm mà một kẻ tấn công lén lút có thể làm (một kẻ tấn công mà có thể phát sinh các gói tin mà vượt qua

cuộc kiểm tra hợp lệ)

2.4 Kiến trúc

D-WARD là một hệ thống phản hồi ngược tự điều chỉnh Nó bao gồm các thành phần theo dõi, giới hạn và kiểm soát truyền thông Thành phần kiểm soát truyền thông phải là một phần của router nguồn, trong khi thành phần theo dõi và giới hạn có thể là một phần của một bộ độc lập mà tác động qua lại với router nguồn để các thống kê truyền thông và cài đặt các quy tắc giới hạn Hình 8 miêu tả kiến trúc D-WARD

Hình 8 Kiến trúc D-WARD Thành phần theo dõi giám sát tất cả mọi gói tin đi qua bộ định truyến nguồn và thu thập thống kê về truyền thông hai chiều giữa bộ địa chỉ kiểm soát và phần còn lại của Internet, ghi lại luồng và kết nối Việc giám sát này có thể được thực hiện, ví dụ như, bằng cách bắt truyền thông ở các giao diện của bộ định tuyến nguồn Một cách định kỳ, các thống kê được so sánh với các mẫu của truyền thông hợp lệ, và các luồng

và kết nối được phân chia Kết quả phân chia được đưa tới thành phần giới hạn, để

điều chỉnh các quy tắc giới hạn Cả Danh sách kết nối hợp lệ và các quy tắc giới hạn

truyền tới thành phần kiểm soát truyền thông, để làm cho các giới hạn có hiệu lực và bảo đảm việc chuyển tiếp của các gói tin hợp lệ Các mức giới hạn phải chịu điểu chỉnh các luồng truyền thông liên kết và tác động tới sự theo dõi trong tương lai, kết thúc các vòng lặp hồi quy

2.5 Thành phần theo dõi

Thành phần theo dõi thu thập các thống kê và giám sát chúng ở mức luồng và kết

nối Các thống kê luồng được lưu trong Bảng luồng (Flow Table) trong khi các thống

kê kết nối được lưu trong Bảng kết nối (Connection Table) Vì các cuộc tấn công vùng

chứa tạm thời (spooles) có thể phát sinh một lượng lớn bản ghi trong bảng này, kích cỡ bảng là giới hạn để tránh sự dư thừa trong sử dụng bộ nhớ Để cung cấp tất cả các thông tin thích hợp trong các bảng có kích cỡ giới hạn,thành phần theo dõi xóa các bảng: (1) xóa bỏ một cách định kỳ các bản ghi đã cũ, và (2) nếu tràn, xóa bỏ các bản ghi mà xem như ít được dùng hơn các bản ghi khác

Thành phần theo dõi phân chia một cách định kỳ các luồng và kết nối Phân chia luồng được dùng để tìm ra sự xảy ra của một cuộc tấn công DDoS, trong khi phân chia kết nối được dùng để nhận ra các kết nối hợp lệ để mà nhận được dịch vụ tốt trong trường hợp luồng kết hợp trở nên bị giới hạn Sơ lược kết nối tiếp tục được thực hiện (ngược lại với sơ lược trức tiếp mỗi khi cuộc tấn công được tìm ra) Lợi thế của

phương pháp này là Bảng kết nối hợp lệ đã sẵn sàng tồn tại khi cuộc tấn công xảy ra

D-WARD dùng kiến thức này để duy trì cung cấp dịch vụ tốt tới các kết nối trong bảng, do vậy chúng không chịu nguy hiểm bởi cuộc tấn công Nếu D-WARD dùng sơ lược trực tiếp, một thời gian trễ sẽ tồn tại giữa tín hiệu phát hiện tấn công và sự cư trú của bảng kết nối hợp lệ Trong thời gian này, truyền thông kết nối hợp lệ sẽ nguy hiểm bởi các cuộc tấn công

2.5.1 Các đặc điểm và sự phân loại luồng

Mỗi gói tin đi ra và đi vào đều đổi sang một bản ghi trong Bảng luồng Vì

vậy,một luồng đi ra có thể bao gồm hỗn hợp của nhiều giao thức giao vận và các chương trình, các bản ghi luồng bao gồm vài trường dành cho việc xác định các đặc điểm giao thức D-WARD hiện tại phân chia các đặc điểm thành 3 loại giao vận với luồng: TCP, UDP, và ICMP Các đặc điểm nào sẽ được gán cho giao thức giao vận phụ thuộc vào các mẫu luồng hợp lệ Sự phân chia luồng được thực hiện trong mỗi

Khoảng theo dõi luồng (giây) Trong sự phân chia, D-WARD so sánh các đặc điểm

luồng cho mỗi trường giao thức với các mẫu luồng hợp lệ tương ứng Mỗi luồng sẽ được phân chia:

Tấn công nếu ít nhất một trường của các đặc điểm không khớp với mẫu tương

ứng

Khả nghi nếu các đặc điểm hay tất cả các trường khớp với các mẫu tương ứng,

nhưng luồng được phân loại là tấn công gần đây

Bình thường nếu các đặc điểm hay tất cả các trường khớp với các mẫu tương

ứng và luồng không bị phân loại là tấn công gần đây

Mỗi khi cuộc tấn công lắng xuống, luồng đầu tiên sẽ được phân chia là khả nghi

trong thời gian tuân theo (Compliance Period) giây Sự phân loại khả nghi kéo theo việc tăng chậm, cẩn thận của mức giới hạn Nếu cuộc tấn công lặp lại trước thời gian

tuân theo hết hạn, luồng sẽ lại bị phân loại là tấn công Nếu không, luồng sẽ được phân

loại là bình thường Sự khác biệt giữa luồng khả nghi và bình thường là giảm tối thiểu nguy hiểm từ các cuộc tấn công lặp lại Các cuộc tấn công lặp lại với một khoảng ngắn

hơn thời gian tuân theo sẽ chỉ đạt được lực lượng đầy đủ của chúng trong lần vi phạm

đầu tiên

Các mẫu dưới đây được dùng trong việc phân loại luồng

Mẫu luồng TCP hợp lệ: Một phần lớn của giao vận trong Internet (khoảng

90%) là giao vận TCP Giao vận TCP dùng một cơ chế truyền thông 2 chiều để thu được sự phân phối tin cậy Trong một phiên TCP, luồng dữ liệu từ host nguồn tới host đích được điều khiển bởi luồng xác nhận (acknowledgment) theo chiều ngược lại Nếu luồng xác nhận giảm, đây là được cân nhắc như dấu hiệu của tắc nghẽn và tỷ lệ gửi nhanh chóng giảm Vì thế, truyền thông TCP bình thường có thể được mô hình hóa bởi

tỷ lệ số gói tin gửi tới và nhận từ một đích đến chỉ định Theo ý tưởng, tỷ lệ này sẽ là

1, nhưng sự tắc nghẽn mạng và sự thi hành TCP khác dùng khoảng trễ và các xác nhận

có lựa chọn đẩy tới nó dẫn tới giá trị hơi cao hơn Mẫu TCP hợp lệ của D-WARD định nghĩa TCP rto là tỷ lệ lớn nhất cho phép của số lượng gói tin gửi và nhận trong luồng Luồng được phân loại như là một luồng tấn công nếu tỷ lệ gói tin của nó là trên ngưỡng cho phép Tỷ lệ gói tin được theo dõi là được dàn xếp trước sự phân loại để tránh nhiễu trong các phép đo Truyền thông kết nối hợp lệ không phải chịu mức giới

hạn và vì vậy không ảnh hưởng bởi giá trị thời gian tuân theo D-WARD dùng 3 cho

giá trị TCP rto

Mẫu luồng ICMP hợp lệ: Các tin nhắn ICMP được dùng như các tin nhắn điều

khiển ngoài luồng để báo cáo vài lỗi mạng hay để giúp đỡ việc sửa chữa mạng Không may,chúng được dùng thành công cho các cuộc tấn công khác nhau Giao thức ICMP chỉ định nhiều loại tin nhắn khác nhau Trong lúc hoạt động bình thường, các tin nhắn

“timestamp”, “information request”, và “echo” phải đi kèm với đáp lại tương ứng Dùng sự theo dõi này, mẫu luồng ICMP bình thường định nghĩa ICMPrto như là tỷ lệ cho phép lớn nhất của số lượng echo, timestamp, và information request và đáp lại các gói tin được gửi và nhận trong luồng Tần số của các tin nhắn ICMP khác, như không

tìm thấy host đích(destination unreachable), source quench, redirect,… được kỳ vọng

là rất nhỏ để một mức giới hạn được điều khiển có thể dùng để điều khiển một phần giao vận

Mẫu luồng UDP hợp lệ: Giao thức UDP được dùng để phân phối thông điệp

không tin cậy và trong đời thường không yêu cầu các gói tin ngược cho hoạt động đúng của nó Nhiều ứng dụng dùng UDP phát sinh một mức tương đối không đổi gói tin, nhưng mức lớn nhất phụ thuộc lớn vào ứng dụng tầng dưới Thêm vào đó, các người dùng có thể viết ứng dụng dùng giao vận UDP, mà xa hơn là cản trở định nghĩa của các mẫu giao vận UDP D-WARD định nghĩa một mẫu luồng UDP hợp lệ rất rộng lớn, có gắng để phát hiện chỉ các cuộc tấn công UDP mà dùng nhiều subnet spoofing hay gửi ở một tỷ lệ rất cao Một giải pháp thay thế là xây dựng một mẫu luồng hợp lệ cho mỗi chương trình mà dùng UDP, và phát hiện các cuộc tấn công khi giao vận UDP

lạ được theo dõi Giải pháp này được dùng một phần cho các mẫu kết nối UDP hợp lệ

Nó sẽ gần như phát hiện nhiều cuộc tấn công dựa vào UDP, nhưng nó đắt tiền đến mức không thể mua được như nhiều đặc điểm hơn được lưu trữ Thêm vào đó, vì nhiều người có thể định nghĩa các ứng dụng UDP mới, các mẫu sẽ phải cập nhật định

kỳ Các máy khách nhận luồng dữ liệu có thể cài đặt các quy tắc tường lửa để chỉ cho phép giao vận UDP đi về trong các kết nối được kiến tạo bởi client Mẫu luồng UDP hợp lệ được xác định theo 2 ngưỡng: nconn – giới hạn trên của lượng kết nối được phép trên mỗi máy đích, và pconn – giới hạn dưới của số lượng gói tin được phép trên mỗi kết nối Các ngưỡng giúp nhận ra một cuộc tấn công UDP thông qua các kết nối lừa đảo, phát hiện sự cố của nhiều kết nối với rất ít gói tin trên mỗi kết nối Mẫu phân loại một luồng như một cuộc tấn công khi cả 2 ngưỡng nay bị vi phạm

2.5.2 Các đặc điểm kết nối và sự phân loại kết nối

Mỗi gói tin đi ra và đi vào đều đổi sang một bản ghi trong Bảng kết nối Mỗi kết

nối có thể chỉ mang giao vận từ một giao thức và một ứng dụng Các mẫu kết nối hợp

lệ xác định các nội dung đặc điểm Sự phân loại kết nối được thực hiện mỗi khoảng

theo dõi kết nối (giây) Trong phân loại, D-WARD so sánh các đặc điểm kết nối với

các mẫu kết nối hợp lệ tương ứng Một kết nối sẽ được phân loại:

Tốt nếu các đặc điểm của nó khớp với mẫu tương ứng

Xấu nếu các đặc điểm của nó không khớp với mẫu tương ứng

Nhất thời nếu không đủ dữ liệu để thực hiện phân loại

Các kết nối tốt nhận dịch vụ tốt được bảo đảm trong thời kỳ mức giới hạn, trong khi các kết nối xấu và nhất thời phải cạnh tranh với mức giới hạn băng thông Sự khác nhau trong việc xử lý các kết nối xấu và nhất thời chỉ có trong việc xử lý bản ghi bảng kết nối Các bản ghi kết nối xấu không bao giờ hết hạn,trong khi các bản ghi kết nối nhất thời hết hạn sau một khoảng ngắn thời gian

Giống các mẫu luồng hợp lệ, chúng ta cũng xây dựng các mẫu kết nối hợp lệ Có

ba mẫu chính mà D-WARD dùng:

Mẫu kết nối TCP hợp lệ: Các mẫu kết nối TCP hợp lệ của D-WARD giống với

mô hình luồng TCP hợp lệ của nó Nó sử dụng cùng giá trị TCPrto – tỷ lệ cho phép lớn nhất của số lượng gói tin gửi và nhận trong kết nối Kết nối được phân loại là tốt nếu

tỷ lệ gói tin của nó dưới ngưỡng Tỷ lệ gói tin được theo dõi được dàn xếp trước khi phân loại để tránh nhiễu trong các phép đo

Mẫu kết nối ICMP hợp lệ: D-WARD không triển khai các mẫu kết nối ICMP

hợp lệ giao vận ICMP ít có ý nghĩa kết nối – nó ít khi được phát ra để chuẩn đoán các vấn đề mạng, bao hàm rất ít các nhóm gói tin, và bao gồm 1 phần rất nhỏ của tổng giao vận Internet Các mẫu kết nối ICMP hợp lệ được dùng ít với giao vận ICMP hợp lệ,ngắn gọn, chúng sẽ nhanh chóng hoàn thành sau khi làm cho có giá trị Nói cách khác, có thể loại bỏ giao vận ICMP hợp lệ trong lúc một cuộc tấn công sẽ không gây nguy hiểm lớn tới các máy khách hợp lệ

Mẫu kết nối UDP hợp lệ: D-WARD xây dựng các mẫu với mỗi ứng dụng cho

giao vận UDP Chúng ta xác định các mục chính của ứng dụng mà dùng UDP là:

1 Dịch vụ tên miền (Domain Name Service-DNS)

2 Giao thức thời gian mạng (Network Time Protocol – NTP)

3 Luồng đa phương tiện (multimedia streaming)

4 Nói chuyện qua mạng(VoIP)

5 Các trò chơi nhiều người chơi Internet

6 Hệ thống file mạng (Network File System – NFS)

7 Các ứng dụng chat

Chúng ta so sánh các mục được chọn với các đặc điểm từ trang web của Hội hợp tác phân tích dữ liệu Internet (CAIDA) chỉ ra 25 ứng dụng hàng đầu (không quan tâm tới giao thức giao vận tầng dưới) Chỉ có ít ứng dụng UDP trong top 25 này vì UDP

chiếm một phần nhỏ của tất cả giao vận mạng (khoảng 3%) Tất cả đều trong danh sách các ứng dụng UDP được chọn của chúng ta

Với mỗi ứng dụng dựa vào UDP, D-WARD thiết kế các mẫu thích hợp dưới đây nhưng trong phạm vi của khóa luận, chúng ta chỉ miêu tả ba mẫu cần thiết:

Dịch vụ tên miền (DNS): DNS có thể được thực thi trên TCP hoặc UDP, nhưng UDP là phổ biến hơn Dưới sự hoạt động bình thường, giao vận kết nối DNS sẽ đưa ra

tỷ lệ 1:1 của các gói tin gửi đi tới các gói tin nhận được Nếu gói tin đáp ứng mất, máy khách DNS lặp lại yêu cầu của nó tới máy chủ khác trước khi cố thử cùng máy chủ Khoảng truyền lại là giữa 2 đến 5 giây, và kích cỡ thông điệp là 46 tới 512 byte ( không bao gồm tiêu đề của UDP và IP) Các gói tin DNS được nhận ra dựa vào trường ứng dụng trong tiêu đề IP mà mang giá trị 17, và dựa vào một cổng số 53 trong tiêu đề UDP Các gói tin yêu cầu và đáp ứng được nhận ra dựa vào bit đầu tiên của byte thứ 3 trong tiêu đề DNS, là 0 cho gói tin yêu cầu, 1 cho gói tin đáp ứng Một mẫu kết nối DNS hợp lệ được xác định bởi máy trạng thái hữu hạn trong hình 9 Kết nối bắt đầu từ NO_STATE Khi một yêu cầu DNS được gửi tới host bên ngoài, kết nối đi tới trạng tái DNS_REQ và khi một trả lời được nhận, kết nối đi tới trạng thái DNS_REP Kết nối

có thể chứa nhiều yêu cầu lặp chỉ nếu tần số của chúng thấp hơn DNS_EXPIRY,mà được thiết lập 1 giây Bất kỳ vi phạm mẫu mang kết nối tới trạng thái ERROR, mà dẫn tới sự phân loại xấu

Hình 9: Máy trạng thái hữu hạn DNS Giao thức thời gian mạng (NTP) Trong NTP, có ba phương thức hay mẫu liên kết chính trong một hệ thống có thể đồng bộ với các host khác: chế độ máy khách, chế

khách, một host thăm dò một hay nhiều host để nhận được thời gian hiện tại, và xử lý các đáp lại là nhận được Trong chế độ đa phát và phát tỏa,một host không thăm dò Thay vào đó, nó nghe các gói tin NTP mà phát tỏa hay đa phát qua mạng cục bộ Trong chế độ hoạt động đối xứng, một host thăm dò các host khác và đáp ứng lại các thăm dò từ các host này Thêm vào đó, các host giữ thông tin liên quan tới thời gian về các host mà chúng truyền thông với Do đó, có ba mẫu kết nối UDP có thể cho NTP Dưới sự hoạt động bình thường, giao vận kết nối NTP sẽ đưa ra tỷ lệ 1:1 của các gói tin gửi đi với gói tin nhận được Nếu các gói tin đáp ứng bị mất, máy khách NTP lặp lại các yêu cầu của nó tới máy chủ khác trước khi cố thử cùng máy chủ Khoảng thăm

dò trong dải từ 64 tới 1024 giây Kích cỡ thông điệp từ 44 tới 56 byte D-WARD chỉ thiết kế và thực thi các mẫu kết nối máy khách NTP Một mẫu kết nối NTP hợp lệ được định nghĩa bởi một máy trạng thái hữa hạn thể hiện trong hình 10 Kết nối bắt đầu từ NO_STATE Khi một yêu cầu NTP được gửi tới một host bên ngoài, kết nối sẽ chuyển sang trạng thái NTP_SENT, và khi một đáp ứng nhận được, kết nối đi tới trạng thái NTP_REC Kết nối có thể chứa nhiều yêu cầu lặp lại chỉ nếu tần số của chúng thấp hơn NTP_EXPIRY, được thiết lập cho 60 giây Bất kỳ vi phạm mẫu đưa kết nối tới trạng thái ERROR, mà dẫn tới phân loại xấu

Hình 10: Máy trạng thái hữu hạn NTP Luồng đa phương tiện: Các chương trình ứng dụng phổ biến nhất dùng luồng audio và video là RealPlayer, Windows Media Player, Quick-time và luồng mp3 shoutcast Quicktime và RealPlayer dùng giao thức giao vận thời gian thực (Real-time Transport Protocol – RTP) trên UDP cho việc phân phối dữ liệu và giao thức luồng thời gian thực (Realtime Streaming Protocol – RTSP) trên TCP cho việc điều khiển