چکیده
این مقاله تکنیک کنترل مبتنی بر بازخورد را مطرح می کند که به مقابله با حملات عدم پذیرش سرویس (DDoS) در چهار مرحله متوالی می پردازد. درحالیکه روترهای محافظ نزدیک به سرور، به کنترل نرخ ترافیک نقل و انتقالات می پردازند و سرور را فعال نگه می دارند (فاز 1) ، سرور به نقل و انتقال با روترهای بالادست نزدیک به مبدا ترافیک پرداخته تا به نصب الگوریتم سطل سوراخ دار (leaky-buckets) برای آدرس های پروتکل اینترنتی (IP) بپردازد. این نقل و انتقالات تا زمانی ادامه می یابد که روتر دفاعی در هر پیوند ترافیک، درخواست را بپذیرد (فاز 2). سپس سرور از طریق فرایند کنترل بازخورد به تنظیم اندازه الگوریتم سطل سوراخ دار (leaky-buckets) می پردازد تا زمانی که ترافیک نقل و انتقال در حیطه مطلوب می پردازد (فاز 3). سپس از طریق آزمایش ردپا، سرور آشکار می کند که کدام رابط های پورت روترهای دفاعی کاملا ترافیک خوبی را انتقال داده و متعاقبا از روتر دفاعی مشابه می خواهد تا محدودیت های الگوریتم سطل سوراخ دار (leaky-buckets) برای این رابط های پورت حذف کند. علاوه بر این، سرور به اصلاح اندازه الگوریتم سطل سوراخ دار (leaky-buckets) برای روترهای دفاعی به نسبت میزان ترافیک مناسبی که هر یک از آن ها انتقال می دهد، می پردازد (فاز 4). نتایج مبتنی بر شبیه سازی نشان می دهد که تکنیک ما به طور موثری از سرورهای قربانی در برابر حملات مختلف عدم پذیرش سرویس (DDoS) دفاع کرده که در اکثر موارد 90% از ترافیک های نقل و انتقال مناسب به سرور رسیده درحالیکه حملات عدم پذیرش سرویس (DDoS) به خوبی کنترل می گردند.
کلیدواژه: حملات عدم پذیرش سرویس (DDoS) ، امنیت شبکه، محدود کردن سرعت
مقدمه
حملات DDoS به عنوان چالش توزیع شده ای می باشد که بسته های جعلی به سمت قربانی از چندین نقطه توزیع (برای نمونه هزاران یا صدها هزار) ارسال می گردد. (یعنی حمله چندنفری به یک نفر). در نتبجه، حملات DDoS نیازمند راه حل توزیع شده ای می باشد که چندین گره می بایست همکاری داشته تا حملات DDoS را ردگیری کنند (یعنی دفاع چندنفره در برابر چند نفره). تشخیص بسته های DDoS از بسته های مجاز زمانی دقیق تر می باشد که نزدیک به سرور قربانی یا در سرور قربانی باشد. در اکثر حملات DDoS، سرور قربانی می تواند به آسانی بسته های DDoS را شناسایی کرده زیرا این بسته ها دارای حداکثر بار جعلی و نامعتبر می باشند. از طرف دیگر، بهترین مکان برای سد کردن حملات، گره های نزدیک به مبدا ترافیک می باشد، زیرا 1) با نصب الگوریتم سطل سوراخ دار و انطباق اندازه الگوریتم سطل سوراخ دار، حجم زیادی از ترافیک کنترل می گردد. 2) چون در گره های نزدیک به مبدا ترافیک، این احتمال وجود دارد که این ترافیک با ترافیک حملات در رابط های پورت مشابه ترکیب نشود، تعداد کمتری از گره ها نیازمند عمل فیلترینگ می باشند که این خود فعالیت پرهزینه ایست. 3) از انجایی که گره دفاعی بخش کوچکی از ترافیک را تجربه می کند، سربار گره ها (از مبدا محاسبه و نقطه نظر حافظه) کمتر می باشند. در واقع، هر چه به سرور قربانی نزدیک تر باشد، شناسایی حملات DDoS سخت تر می شود.