1

ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ Phạm Xuân Bách PHÒNG CHỐNG TẤN CÔNG TỪ CHỐI DỊCH VỤ
PHÂN TÁN VÀO CÁC WEBSITE

xá ngoại ngữ đã đoàn kết, giúp đỡ cùng tôi theo học các bộ môn bổ ích và thú vị trong
chương trình học đại học tại trường.
Cuối cùng, con xin gửi tới bố, chị gái, mẹ nuôi cùng gia đình lòng biết
ơn và tình
cảm yêu thương.

Hà Nội, ngày 19/05/2010
Phạm Xuân Bách
ii

TÓM TẮT
Phòng chống tấn công từ chối dịch vụ, đặc biệt là các cuộc tấn công từ chối dịch
vụ phân tán vào các Website vẫn đang là đề tài nhận được rất nhiều quan tâm của các
nhà nghiên cứu. Bên cạnh những khó khăn do cơ sở hạ tầng mạng còn yếu kém, sự
phát triển không ngừng của các công cụ và phương pháp tấn công khiến cho việc
phòng và chống tấn công từ chối dịch vụ trở thành m
ột vấn đề rất nan giải. Khóa luận
này sẽ trình bày về một phương pháp phòng chống tấn công từ chối dịch vụ hiệu quả


MỤC LỤC
LỜI CẢM ƠN i
TÓM TẮT ii
MỤC LỤC iii
MỞ ĐẦU 1
Chương 1: CÁC CÁCH THỨC TẤN CÔNG TỪ CHỐI DỊCH VỤ 3
1.1 Thiết lập nên mạng Agent 3
1.1.1 Tìm kiếm các máy dễ bị tổn thương 3
1.1.2 Đột nhập vào máy dễ bị tổn thương 3
1.1.3 Phương pháp lây truyền 4
1.2 Điều khiển mạng lướ
i máy Agent 5
1.2.1 Gửi lệnh trực tiếp 5
1.2.2 Gửi lệnh gián tiếp 5
1.2.3 Unwitting Agent 6
1.2.4 Thực hiện tấn công 7
1.3 Các cách thức tấn công từ chối dịch vụ 8
1.3.1 Khai thác các điểm yếu của mục tiêu 8
1.3.2 Tấn công vào giao thức 8
1.3.3 Tấn công vào Middleware 10
1.3.4 Tấn công vào ứng dụng 10
1.3.5 Tấn công vào tài nguyên 11
1.3.6 Pure Flooding 11
1.4 IP Spoofing 12
iv

1.5 Xu hướng của DoS 13
Chương 2: CÁC BIỆN PHÁP PHÒNG CHỐNG TRUYỀN THỐNG 14
2.1 Biện pháp pushback 14

4.4.3 Thực thi đề xuất 42
4.4.3.1 Kịch bản thử nghiệm 42
4.3.3.2 Kết quả thử nghiệm 43
4.3.3.2.1 Với chương trình gốc 43
4.3.3.2.2 Với chương trình cải tiến 44
4.4.4 Đánh giá hiệu năng của chương trình cải tiến 46
Chương 5: KẾT LUẬN 50
5.1 Các kết quả đã đạt được 50
5.2 Các kết quả hướng tới 50
TÀI LIỆU THAM KHẢO 52
1

MỞ ĐẦU
Tấn công từ chối dịch vụ (Dos, Denial of Services) đã ngày càng trở thành một
mối đe dọa lớn đối với sự tin cậy của mạng internet. Là các cuộc tấn công sử dụng
nhiều cách thức tổ chức và thực hiện khác nhau, từ việc dùng chỉ một máy tới việc thu
thập các máy agent dưới quyền với số lượng lên đến hàng chục ngàn máy phục vụ tấn
công, mục đích của các cu

giúp cho WebSOS có thể tránh được cả các trường hợp các node trong mạng bao phủ
bị chiếm dụng trở thành nguồn tấn công, chúng tôi đưa ra các đề xuất cải tiến nhằm tự
động phát hiện, và thay đổi truy vấn để tránh được cuộc tấn công như vậy.
2

Phần tiếp theo của khóa luận được tổ chức như sau:
Chương 1: Các phương thức tấn công từ chối dịch vụ nêu lên một cách tổng quan
về các cách thức một kẻ tấn công phải thực hiện nhằm tạo ra một cuộc tấn công từ chối
dịch vụ.
Chương 2: Các phương pháp phòng chống tấn công từ chối dịch vụ đã được đề
xuất trướ
c đây. Nhiều phương pháp hiện nay vẫn là những nghiên cứu đáng quan tâm
trong lĩnh vực phòng chống tấn công từ chối dịch vụ. Các phương pháp lọc, với sự
phát triển của cơ sở hạ tấng mạng, nếu được thực hiện đồng bộ có thể giảm thiểu nguy
cơ tấn công từ chối dịch vụ cho các Website.
Chương 3: SOS và WebSOS, giới thiệu về cơ chế c
ủa hai kiến trúc bảo vệ
Website khỏi tấn công từ chối dịch vụ thông qua việc sử dụng mạng bao phủ và node
bí mật. Từ đó nêu lên các đặc điểm cốt lỗi được tôi sử dụng để tham gia vào kiến trúc
được cải tiến nhằm phòng chống tấn công từ chối dịch vụ.
Chương 4: Thực nghiệm, cải tiến và kết quả nêu lên những kết quả của tôi trong
việc thực hiện triển khai mô hình kiến trúc WebSOS và các phân tích nhằm đưa ra cải
tiến giúp hệ thống trở lên mạnh mẽ hơn chống lại các cuộc tấn công ngay từ trong các
node thuộc mạng bao phủ khi một số node bị chiếm dụng trở thành nguồn tấn công.
Chương 4 cũng đưa ra các kết quả đánh giá hiệu năng của kiến trúc nguồn WebSOS và
kiến trúc cải tiến thông qua kịch bản tấn công
được xây dựng và qua việc đo một số
thông số về độ trễ truy vấn thực hiện qua mô hình các kiến trúc này.
Chương 5: Kết luận tổng kết lại các kết quả đã đạt được, cùng với các kết quả mà
nghiên cứu khóa luận hướng tới nhằm hoàn thiện mô hình để hướng tới mục tiêu có

Quá trình tìm kiếm dễ bị tổn thương được gọi là quét - scanning. Kẻ tấn công sẽ gửi
một gói vài mục tiêu lựa chọn để xem liệu nó có còn sống và dễ bị tổn thương. Nếu
nhận thấy máy phù hợp, những kẻ tấn công sẽ cố gắng đột nhập vào máy.
1.1.2 Đột nhập vào máy dễ bị tổn thương
Kẻ tấn công cần phải khai thác một lỗ hổng trong máy mà hắn đang có ý định
tuyển dụng để được truy cập vào và “sở hữu” chúng. Phần lớn các lỗ hổng bảo mật
cung cấp cho một kẻ tấn công quyền truy cập vào hệ thống với quyền cao nhất -
administrator, và hắn có thể thêm/ xóa/ thay đổi các tập tin hoặc hệ thống cài đặt theo
ý thích. Và để tạo thuận lợi cho việc truy nhập vào máy tính bị sở hữu trong tương lai,
kẻ tấn công thường cho chạy một chương trình c
ố gắng lắng nghe kết nối đến từ một
cổng nhất định. Chương trình này được gọi là backdoor. Kết nối thông qua backdoor
4

một số được bảo vệ bởi mật khẩu mạnh, một số lại mở và chấp nhận mọi kết nối bên
ngoài.
Thường các lỗ hổng bảo mật sao khi được phát hiện sẽ được giảm nhẹ bởi các
bản vá – patch. Tuy vậy các kẻ tấn công luôn cố gắng khai thác, tìm kiếm các lỗ hổng
khác mà máy có thể có. Và có một lỗ hổng không thể giảm nhẹ, hoặc được s
ửa bởi bản
vá, đó là một mật mã truy nhập máy tính yếu. Một số chương trình khai thác có chứa
các từ điển mật khẩu chung thường được sử dụng. Chúng thử các mật khẩu trong danh
sách đó để đột nhập vào máy tính. Có thể mất nhiều thời gian, song trong nhiều trường
hợp chúng cũng khai thác được các mật khẩu yếu của người dùng và đạt được quyền
truy nhập hợp lệ đến máy người đó. Người dùng thường nghĩ rằng không đặt mật khẩu
cho tài khoản Administrator là hợp lý, hoặc cho rằng, "password" hoặc một số từ đơn
giản khác là đủ để bảo vệ tài khoản. Và đó là những nhầm lẫn nghiêm trọng có thể
khiến họ phải trả giá đắt.
1.1.3 Phương pháp lây truyền
Kẻ tấn công cần phải quyết định một mô hình phát tán cho việc cài đặt phần mềm

mã hóa, hoặc các chuỗi byte nhị phân. Phân tích lệnh và điều khiển giao thông giữa
các handler và các agent có thể cho cái nhìn sâu sắc khả năng của những công cụ mà
không cần phải truy cập vào các phần mềm độc hại hay mã nguồn của nó.
Để các handler và agent, theo các công cụ như trinoo, Stacheldraht, và Shaft có
thể hoạt động, các handler phải biết địa chỉ của các agent và nhớ được chúng sau khi
hệ thống hoặc chương trình khởi động lại. Các công cụ DDoS trước đây thường mã
hóa chúng lại, rồi gửi thông báo với handler trong khi chiếm dụng máy agent. Các
handler sẽ lưu giữ chúng trong một file để duy trì thông tin về mạng lưới DDoS. Trong
vài trường hợp các handler còn không chứa cơ chế xác thực, nghĩa là bất kì máy nào
cũng có thể
gửi lệnh đến cho handler. Các nghiên cứu trước đây về một số công cụ
như trinoo, TFN, Stacheldraht, Shaft, và mstream đều cho thấy các handler và agent
đều có thể bị phát hiện và điều khiển lại. Điều này khiến một số kẻ tấn công có thể sử
dụng mạng lưới DDoS của kẻ khác, cũng như giúp một số người phòng thủ có thể điều
khiển ngược lại các handler để ngừ
ng cuộc tấn công. Một số các công cụ DDoS dùng
kiến trúc handler/ agent bảo vệ truy cập đến các handler bằng mật khẩu, hoặc mật khẩu
mã hóa, hoặc mã hóa danh sách các agent để tránh việc phát hiện ra địa chỉ, và điều
khiển các agent khi handler bị phát hiện.
1.2.2 Gửi lệnh gián tiếp
[17] Truyền thông trực tiếp gây ra một vài nhược điểm cho những kẻ tấn công.
Vì handler cần thiết để lưu định danh của các agent, và thường xuyên, một máy tính
handler sẽ lưu định danh của các agent này, một khi chúng ta phát hiện và nắm giữ
6

một máy, mạng máy DDoS toàn có thể được xác định. Hơn nữa, mô hình truyền thông
trực tiếp đã tạo ra sự kiện bất thường có thể dễ dàng phát hiện khi kiểm soát mạng. Do
cơ chế của tryền thông trực tiếp là handler và agent phải sẵn sàng chấp nhận lắng nghe
trên một cổng nhất định, vì vậy khi kiểm tra bỗng nhiên thấy máy khởi tạo kết nối đến
một máy khác trên một cổng lạ là có thể phát hiện việc máy bị chiếm dụng. Kiểm tra

gia là các máy tính có lỗ hổng bảo mật mà việc khai thác không nhất thiết đòi hỏi phải
7

cài đặt bất kỳ phần mềm độc hại trên máy tính này, nhưng, thay vào đó cho phép kẻ
tấn công kiểm soát các máy chủ để làm cho chúng tạo ra các giao thông tấn công. Kẻ
tấn công tập hợp một danh sách các hệ thống dễ bị tổn thương và, tại thời điểm vụ tấn
công, có các agent thông qua danh sách này gửi các lệnh để bắt đầu khai thác các
luồng giao thông. Các lưu lượng truy cập tạo ra là hợp pháp. Ví dụ, kẻ tấn công có thể

lợi dụng một lỗ hổng hiện nay tại một máy chủ Web để làm nó để chạy chương trình
PING.EXE. Một số nhà nghiên cứu đã gọi là các unwitting agent.
Sử dụng các unwitting agent, thay vì phải cài đặt mã độc trên máy nạn nhân, kẻ
tấn công sử dụng các lỗ hổng bảo mật để thâm nhập vào máy và chạy các phần mềm
hợp pháp sẵn có trên hệ thống, vì vậy việc chống trả lại hành động tấ
n công này trở
nên rất khó và phức tạp. Do trên máy nạn nhân không chứa mã độc hại, nên các
chương trình quét cổng truy cập, quét file hệ thống, hoặc quét virus không thể phát
hiện.Thường chỉ có thể phát hiện thông qua việc giám sát lưu lượng mạng, các chương
trình quét lỗ hổng bảo mật như Nessus. Và chỉ có cách vá các lỗi bảo mật mới giúp
việc bị lạm dụng máy và các phần mềm hợp pháp trong máy được hạn chế, giảm thiểu
nguy c
ơ bị chiếm dụng máy làm agent cho cuộc tấn công.
1.2.4 Thực hiện tấn công
Một số cuộc tấn công được lên lịch trước và mã hóa trong mã độc truyền đến các
agent, và định sẵn một thời điểm thì sẽ hoạt động, đồng loạt tấn công vào một mục tiêu
nào đó. Tuy nhiên, hầu hết các cuộc tấn công xảy ra khi kẻ tấn công phát đi một lệnh
từ các handler đến các agent. Trong vụ tấn công, giao thông điều khiển hầu hết đều
giảm. Tùy thuộc vào loại công cụ tấn công được sử dụng, những kẻ tấn công có thể
hoặc không có khả năng phát lệnh dừng cuộc tấn công. Thời hạn của cuộc tấn công
thường được quy định tại lệnh của kẻ tấn công hay kiểm soát bởi các thiết lập mặc

tự lặp cho nạn nhân. Có một số biến thể của việc khai thác này – gửi các mảnh có số
thứ tự chồng nhau, một gói tin có offset chồng lên gói thứ hai trước khi bắt đầu tiêu đề
trong gói đầu tiên, và như vậy. Chúng được biết đến như là các khai thác bonk, boink,
teardrop, và newtear.
Các cuộc tấn công đặc biệt dễ gây tổn thương xấu bởi vì chúng có thể làm sụp đổ hay
treo máy bằng việc chỉ cần gửi lặp lại một hoặc hai gói tin được chọn lựa cẩn thận.
Tuy nhiên, một khi lỗ hổng được vá, các cuộc tấn công ban đầu trở nên hoàn toàn
không hiệu quả.
1.3.2 Tấn công vào giao thức
[17][18]Một ví dụ lý tưởng của các cuộc tấn công giao thức đó là tấn công tràn
ngập gói TCP SYN. Một phiên kết nối TCP bắt đầu với việc bắt tay ba bước giữa một
máy khách và máy chủ. Khách hàng gửi một gói tin TCP SYN đến máy chủ, yêu cầu
một số dịch vụ. Trong phần đầu gói SYN, khách hàng cung cấp số thứ tự - sequence
9

number của mình, một uniqueper- số kết nối sẽ được sử dụng để đếm dữ liệu được gửi
đến máy chủ (vì vậy các máy chủ có thể nhận ra và xử lý mất tích, thứ tiệu dữ liệu
không đúng, hoặc dữ liệu lặp đi lặp lại). Khi nhận được gói SYN, máy chủ cấp phát
một khối điều khiển truyền dẫn (TCB), lưu trữ thông tin về khách hàng. Sau đó nó trả
lời bằng một SYN-ACK, thông báo cho khách hàng có yêu cầu rằng dịch vụ của nó sẽ
được cấp, ghi nhận số thứ tự của khách hàng và gửi thông tin về số thứ tự ban đầu của
máy chủ. Các khách hàng, khi nhận được gói SYN-ACK, cũng cấp phát một khối điều
khiển truyền dẫn, sau đó trả lời với một gói ACK đến máy chủ, để hoàn thành việc mở
kết nối.
Tiềm năng lạm dụng nằm trong việc cấp phát nguồn tài nguyên của máy chủ
ngay từ khi nhận được gói SYN. Khi máy chủ giao TCB của mình và trả lời bằng một
SYN-ACK, kết nối được cho là nửa mở. Nghĩa là tài nguyên máy chủ cấp phát sẽ được
giữ để dành cho kết nối với khách hàng, cho đến khi khách hàng gửi một gói tin ACK,
đóng kết nối (bằng cách gửi gói tin RST) hoặc cho đến khi hết hạn chờ và server ngắt
kết nối, giải phóng không gian đệm. Và cho dù khách hàng có gửi lại gói tin khác, hay

cho mỗi mục tiếp theo. Bằng cách chèn các giá trị mà tạo ra các trường hợp xấu nhất,
kẻ tấn công có thể khiến các ứng dụng thực hiện chức năng của mình trong thời gian
tiếp theo hàm mũ đối với mỗi tham số nhập vào.
Khi kẻ tấn công có thể tự do gửi dữ liệu được xử lý bằng cách sử dụng hàm băm dễ bị
tổn thương, hắn có thể gây ra vi
ệc CPU của máy chủ bị sử dụng quá năng lực khiến
cho những hoạt động bình thường chỉ tốn vài phần của giây để xử lý, giờ phải mất vài
phút để hoàn thành. Và nó cũng không cần đến một số lượng lớn request để thực hiện
cũng có thể làm quá tải các ứng dụng, khiến nó không còn năng lực để phục vụ được
người dùng hợp pháp.
1.3.4 Tấn công vào ứng dụng
Những kẻ tấn công có thể nhắm mục tiêu một ứng dụng cụ thể và gửi gói tin để
đạt tới giới hạn của yêu cầu dịch vụ ứng dụng này có thể xử lý. Ví dụ, các máy chủ
web phải mất một thời gian nhất định để phục vụ yêu cầu trang Web bình thường, và
do đó sẽ tồn tại một số hữu hạn các yêu cầu tối đa cho m
ỗi giây mà họ có thể duy trì.
Nếu chúng ta giả định rằng các máy chủ Web có thể xử lý 1.000 yêu cầu mỗi giây để
tải các file tạo nên trang chủ của một công ty, do đó nhiều nhất là 1.000 yêu cầu của
khách hàng có thể được xử lý đồng thời. Chúng ta giả định là máy chủ Web này bình
thường xử lý hàng ngày là 100 yêu cầu / giây (một phần mười công suất).
Nhưng nếu kẻ tấn công điều khiển 10.000 máy agent, và có khả năng mỗi m
ột
máy trong số đó có thực hiện một yêu cầu mỗi 10 giây đến máy chủ Web? Đó là tần
suất 1.000 yêu cầu / giây, cộng thêm vào giả định giao thông bình thường nữa trở
11

thành 110% công suất của máy chủ. Bây giờ một phần lớn các yêu cầu hợp pháp sẽ
không thể thông qua bởi vì máy chủ bị bão hòa.
Cũng như các cuộc tấn công vào middle ware, một cuộc tấn công ứng dụng có
thể không làm tê liệt toàn bộ máy chủ lưu trữ hoặc xuất hiện như một số lượng lớn các


truyền upstream lọc các giao thông đến mạng của họ. Trong vài trường hợp, các gói tin
tấn công là đơn giản để lọc như các gói tin UDP đến các cổng không được sử dụng,
các gói tin với giá trị IP 255. Ở trường hợp khác, các gói tin rất khó để lọc, như gói
DNS query, http request… thì việc lọc sẽ loại cả các gói tin hợp lệ, do đó sau khi lọc
thì giao thông gửi tới khách hàng của nạn nhân sẽ trở về không, kẻ tấn công đạt được
kết quả của tấn công DoS.
1.4 IP Spoofing
Một chiến thuật được sử dụng trong các cuộc tấn công nguy hiểm, đặc biệt ở
DDoS đó là IP Spoofing, hay IP giả mạo. Trong các gói tin mạng bình thường, trường
tiêu đề sẽ là nơi chứa địa chỉ IP của máy nguồn, địa chỉ máy đích. Giả mạo IP diễn ra
khi một phần mềm độc hại tạo ra các gói tin riêng và thay thế địa chỉ IP nguồn bằng
một địa chỉ IP nào khác, thông qua việc tạo và thi
ết lập các raw socket, socket do
người dùng định nghĩa.
Có một vài mức giả mạo ip khác nhau:
- Giả mạo IP một cách ngẫu nhiên: phần mềm sẽ tạo ra một địa chỉ IPv4
ngẫu nhiên trong khoảng từ 0.0.0.0 đến 255.255.255.255. Trong một số trường
hợp, nó sẽ tạo ra các địa chỉ IPv4 sai, như địa chỉ thuộc miền 192.168.0.0 là
miền dùng cho mạng cá nhân, hoặc địa chỉ multicast, broastcast, địa chỉ không
tồn tại (nh
ư 0.1.2.3). Tuy vậy trong hầu hết trường hợp thì nó đều tạo được địa
chỉ IP hợp lệ và có thể định tuyến được.
- Giả mạo mặt nạ mạng: Nếu một máy thuộc mạng 192.168.1.0/24 thì nó
dễ dàng giả mạo một máy nào khác ở trong cùng một mạng, ví dụ như máy
192.168.1.34 có thể giả mạo dễ dàng máy 192.168.1.35 hoặc 192.168.1.99.
- Giả mạo chính địa chỉ của nạn nhân:
Đây là một kiểu giả mạo rất nguy
hiểm nếu như máy chủ nạn nhân không có được những thiết lập phòng chống.
Kẻ tấn công chỉ cần đơn giản giả mạo địa chỉ của máy nạn nhân, gửi một gói tin

tấn công khó khăn hơn. Việc che giấu mã thực thi bằng mã hóa thực hiện trong cả hệ
điều hành Windows và Unix. Các mã che giấu như burneye, Shiva, và burneye2 đang
được giám sát bởi các nhà phân tích an ninh để giải mã được chúng.
Xu hướng phát triển các công cụ tấn công DDoS theo các chiến lược nâng cao
phản ứng phòng thủ sẽ vẫn tiếp tục. Điều này được dự báo trong phân tích trinoo gốc,
và xu hướng sẽ tiếp tục không suy giảm. Có rất nhiều kịch bản tiềm năng của DDoS
rất khó khăn cho cơ chế bảo vệ để xử lý.

14

Chương 2: CÁC BIỆN PHÁP PHÒNG CHỐNG
TRUYỀN THỐNG
Ngay sau khi các cuộc tấn công quy mô lớn đầu tiên, nhiều nghiên cứu đã được
dành riêng cho các vấn đề mới về ngăn chặn, loại bỏ, và bằng cách nào đó lọc ra các
cuộc tấn công DoS nhằm vào các hệ thống đầu cuối host. Trong khi DDoS là một vấn
đề tương đối mới, các nghiên cứu liên quan đã tồn tại trong lĩnh vực kiểm soát tắc
nghẽn, giảm nhẹ các cuộc tấn công DoS đơn giản, dung thứ lỗi, và duy trì hoạt động
của node trong mạng.
Nhiều nghiên cứu đã cố gắng tiếp cận để giải quyết bài toán con nhỏ hơn của vấn
đề phức tạp này. Do tính chất nhạy cảm của dữ liệu trong mạng và sự phức tạp của
hiện tượng này, thật khó để hiểu một cách đầy đủ ảnh hưởng của DDoS. Nhiều nguyên
mẫu được kiểm tra trong các môi trường phòng thí nghiệm mà không có nền hay giao
thông ho
ạt động. Một số ý tưởng cho rằng giao thông tấn công chủ yếu là giả mạo, và
điều này rõ ràng là sai lầm, và những người khác cho rằng kiến thức nhất định về
topology của mạng, hoặc truy cập vào cơ sở dữ liệu có thể nhận biết được lưu lượng
truy cập là DDoS hay không. Những người khác yêu cầu sửa đổi đáng kể về cơ sở hạ

cũng bị giới hạn, mất mát, còn việc đặt ra giới hạn quá thấp có thể khiến kẻ tấn công
vượt qua được sự bảo vệ.Nói chung, pushback dường như đòi hỏi các mô hình triển
khai tiếp cận tới router. Phương pháp tiếp cận hiện tại không thể đẩy tỷ lệ giới hạn qua
một router mà không hiểu phương pháp pushback. Pushback cũng yêu cầu các router
duy trì các trạng thái về luồng giao thông, đó là một gánh nặng thêm về cơ sở hạ tầng
mạng của phương pháp.
2.2 Biện pháp Traceback
Các đề xuất đầu tiên cho việc bảo vệ chống lại DDoS bao gồm phương pháp
traceback, thực hiện lần dấu ngược lại đến địa chỉ các agent trong mạng lưới DDoS để
tìm ra vị trí của kẻ tấn công. Giả định này dựa trên một số công cụ DDoS giả mạo các
nguồn tương đối ít về số lượng các agent (100-2,500). Đến nay, khi số lượng các agent
tham gia tấn công có thể thường xuyên lên tới con số hàng vạn, thì phương pháp
traceback vẫn có thể giúp chúng ta có thể truy ngược lại subnet của kẻ tấn công, từ đó
nhờ vào việc block traceback từ kẻ tấn công, tác hại của cuộc tấn công sẽ bị hạn chế
đáng kể.
Một đề xuất sớm đó là Traceback qua gói ICMP bởi S.Bellovin [20] vào tháng
11-2001, thông qua việc gửi gói tin ICMP, xác suất mỗi n gói (trong đề xuất ban đầu
n=20.000), chứa một phần của gói tin bị bắt, từ các router quan sát đến đích. Điểm bất
lợi là khi bị tấn công nặng nề với số lượng gói tin gửi đến quá lớn, một mục tiêu có thể
bị mất những gói do tắc nghẽn của các thiết bị mạng, và một số mạng không cho phép
16

gói ICMP được đi qua biên giới router của họ. Thậm chí các gói ICMP cũng sẽ tạo ra
lưu lượng truy cập bổ sung hướng đến nạn nhân, góp phần thêm vào tắc nghẽn này.
Đề nghị sau đó được sử dụng một kỹ thuật được gọi là đánh dấu gói dựa theo xác
suất (PPM, Probabilistic Packet Marking). Một lần nữa, mỗi 20.000 gói gửi đến đích,
một router sẽ đánh dấu một gói tin với một tham chiếu đến chính nó.Một tần số lấy
mẫu thấp đã được lựa chọn để tránh một gánh nặng về cơ sở hạ tầng định tuyến do
đánh dấu một khối lượng lớn truy cập trong một cuộc tấn công gửi tràn gói tin. Bằng
cách phân tích một số gói dữ liệu được đánh dấu từ một nguồn nhất định, các nạn nhân

tuyến. Đề án này mới sử dụng các kỹ thuật đại số để mã hóa thông tin đường dẫn
thành các gói và để tái tạo lại chúng vào trang web của nạn nhân. Các tác giả hy vọng
sẽ đạt được sự linh hoạt hơn trong việc thiết kế và cải tiến trong loại bỏ thông tin thừa
kẻ tấn công tạo ra và cung cấp khả năng traceback đa tuyến.
PPM và đề xuất traceback với cách tiếp cận đại số cùng theo một số giả định như
sau:
- Kẻ tấn công có thể gửi bất kỳ gói tin.
- Nhi
ều kẻ tấn công có thể hành động với nhau.
- Kẻ tấn công nhận thức được sự hoạt động của các chương trình traceback.
- Kẻ tấn công phải gửi ít nhất là hàng ngàn gói.
- Tuyến đường giữa các máy nói chung là ổn định, nhưng các gói tin có thể bị
sắp xếp lại hoặc bị mất.
- Router không thể thực hiện nhiều tính toán cho mỗi gói tin.
- Router giả định là không thể bị chiếm dụng, nhưng không phả
i tất cả router đều
phải tham gia traceback.
Những giả định phân biệt rõ ràng những kỹ thuật này với một kỹ thuật đơn gói
như traceback dựa trên kĩ thuật băm. D.Dean và đồng nghiệp thảo luận về hiệu quả so
với Savage, khi những yêu cầu không gian khác nhau giữa 18 và 21 bit. Trong một số
trường hợp, họ đạt được kết quả tốt hơn một chút cho việc tái tạo lại đường đi, nhưng
số trường hợp tính toán sai vẫn còn cao. Ngoài việc đánh dấu gói tin, một đề án out-of-
packet đã được đề xuất, tương tự như Bellovin vào tháng 8-2001. Các tác giả nhận ra
rằng việc cải tiến thuật toán là cần thiết, và việc tìm ra các tối ưu khác cần được khám
phá. Khái niệm này cần cải tiến hơn nữa, nhưng có thể phát triển thành một khái niệm
đầy hứa hẹn trong thời gian dài. 18


agent đặt ra đối với các mạng nguồn, đây không phải là một hệ thống mà nhà khai thác
mạng sẽ hăm hở triển khai, bởi D-WARD không cung cấp một lợi ích đáng kể cho các
nhà triển khai này. Tuy nhiên, nó có thể được thể tích hợp nó với cơ chế bảo vệ khác