模擬結果

4.3.1 模擬方法 1：All Tunneling

為了使 Filter 能過濾所有的攻擊封包，讓網路中所有的穿隧路由器都把經過 的封包轉送到鄰近 Filter 過濾，稱之為「全部穿隧（All- tunneling）」，也是最簡 單的穿隧策略，網路上的 Tracers 只有兩種：Filter 與穿隧路由器（Tunneling-enabled router），比較各種攻擊量下，對網路總成本的影響。章節 3.2 評估可知，在攻擊 比例不高的情況，像是在 30%到 40%的攻擊比例之下，穿隧後總網路成本可能 會接近原成本，甚至超過原成本，而攻擊比例增加到更多時，總成本才會大幅減 少，這是由於「全部穿隧」中的穿隧路由器將所有的封包（含正常的封包）都加 以轉送到 Filter，致使攻擊封包得以過濾掉而節省下的成本，卻因為正常封包也 被轉送，多增加了要走的路（hop 數），也增加總成本的關係。

圖 4- 1 80T20F，實行全部穿隧的各種攻擊流量比例的成本比較

- 35 -

見上頁的圖 4-1，可以發現在所有的穿隧路由器都做轉送封包的情況下，攻 擊事件比例從 30%到 90%的量，只要攻擊的比例占的越多，全部穿隧的效用也 就越大，因為穿隧路由器能及早的將經過的攻擊封包轉送到最近的 Filter，因此 攻擊量比例在 40%以後，穿隧可對網路的成本降低的越來越多。然而在攻擊發生 時，無法預測真正的攻擊量會是多少，穿隧路由器也無法得知轉送的封包是否為 攻擊的封包，若想要使穿隧的效果達到最好，我們必頇設想並解決在攻擊量不多 的情況下（如 30%），因轉送過多的普通封包（如 70%），造成的網路成本上升 甚至多過原成本的問題。在章節 3.2 的評估中可知，因未知攻擊量的多寡，所以 能夠對總成本有影響的參數剩下轉送封包的機率。

如若是過多比例的穿隧路由器在網路中，致使轉送了過多的普通封包，而造 成網路成本的上揚，為了判定原因，我們詴著改變穿隧路由器的數量比例，在固 定 30%攻擊量時改變穿隧路由器的比例，於全部穿隧的網路成本上升過多是否會 得到改善。如圖 4-2 是在 30%的攻擊比例，改變穿隧路由器的比例後的網路成本 變化，在這樣的情況下，無論是多少比例的穿隧路由器，最後網路成本都是在原 網路總成本附近跳動，還是會可能出現多於原成本的情況，可見若想要改善在低 攻擊比例下的穿隧成本過高，需要從穿隧封包的機制下手。

圖 4- 2 攻擊比例 30%，實行全部穿隧的各種 Tracers 比例成本比較

- 36 -

4.3.2 模擬方法 2：50% tunneling

無法預知攻擊比例多寡的情況下，全部穿隧在攻擊量比例低時，對普通封包 造成的多餘繞送路徑成本，將會多過轉送到 Filter 過濾了攻擊封包而節省下的網 路成本；那麼如果選擇的是 50%的機率，穿隧路由器對封包做機率轉送動作

（50%-tunneling），而非全部都做轉送，是否能在攻擊比例不多的時候有效的下 降總成本，不致使攻擊比例在較低，如 30%到 40%時，反而使網路成本多過原 本成本，在攻擊比例低或高時都能夠保持過濾掉攻擊封包的功能。

下圖 4-3 是比較總事件數 10000 件裡，攻擊比例占 30%時與網路成本的關係 圖，攻擊比例使用了最壞情況的 30%，因為攻擊事件比例占越多的情況下，「全 部穿隧」與「50%穿隧」都會因轉送普通封包過多使成本增加。然而在假設的最 差情況：低攻擊比例環境之下，「50%穿隧」優於「全部穿隧」，相當比例的較原 總成本為少。而再度比較不同比例的穿隧路由器的成本，都在少於原成本 1 到 2 hops 的區間內，由於點數或是拓樸結構不同，總成本比較互有高低，但相對「全 部穿隧」來說有明顯的改善，不因轉送過多正常封包而增加太多網路總成本。

圖 4- 3 攻擊比例 30%，實行 50％機率穿隧各種 Tracers 比例成本比較

- 37 -

4.3.3 模擬方法 3：Dynamic tunneling

50%機率穿隧與全部穿隧的成本比較之下，50%機率穿隧使得不管多少比例 的攻擊情況，都不會出現穿隧路由器轉送後，總網路成本會多於原成本的問題，

但若是能夠依照當前情況，或是以往的紀錄做動態調整的穿隧，是否能夠更符合 實際各個路由器上不同的情形。因此推出了動態穿隧的構想，因為在攻擊發生 時，並非所有的路由器上都會有相同比例的攻擊封包經過，因此 50%機率穿隧封 包雖是能改善低比例攻擊之下的網路成本，但卻非一個完善的穿隧機制。

動態穿隧是在當前的路由器上，可能會有多少比例的攻擊封包經過，就使用 多少比例的機會做穿隧。模擬中使用 Filters 回傳最近 10 次，接收鄰近穿隧路由 器的封包中，含有多少比例是攻擊封包，就回傳使用多少機率作為「動態穿隧封 包的機率」，以期能夠更接近實際上當前路由器的攻擊封包通過率，也減少網路 成本。在同一條攻擊的路徑上，若所有的穿隧路由器都使用相同的機率對攻擊封 包做穿隧，將可能會有較多的失誤率，也就是有較多的攻擊封包沒有被穿隧至 Filters 過濾掉。

下頁圖 4-4 同樣的是在攻擊比例為 30%的情況，與全部穿隧、50%穿隧以及 不同比例的穿隧路由器做動態穿隧的比較。青綠色配圓圈為原本總成本，桃紅色 虛線配圓圈是 50%穿隧的狀況，可以看出動態穿隧將比 50%穿隧節省更多的網 路成本，並且更為接近理想狀況（淺藍色方塊虛線）。在這也可以看出變動穿隧 路由器的數量比例，並不能選出較好的佈置狀況，而其成本的變化多因拓樸結構 或是點數的改變而有不同。

- 38 -

圖 4- 4 攻擊比例 30%，實行動態穿隧的各種路由器比例比較

4.3.4 模擬方法 4：Marking Assistance

以上的方法 1、2、3 都是一旦有攻擊發生時，全部的 Tracers 都會啟動，穿 隧路由器會依照設定的方式做穿隧是過濾的動作，啟動率（Active Ratio of Tracers）都是百分之百，但並不是網路中每節點都會有攻擊封包的經過，如：非 攻擊路徑上的點，就不會有攻擊封包經過。我們在方法 4 中，加入在以往的 IP 追蹤攻擊的方法中的封包標記法支援，封包標記（Packet Marking）為使用標記 路由器對經過封包做標記，受害端收集封包資訊追蹤攻擊端時，經由辨認封包中 的標記，而能夠分別出攻擊路徑，也能找到最靠近攻擊端的路由器。全部的 Tracers 進行動態的轉送經過封包，雖然對網路成本改善已經有很大的進步，且依照 Filter 回傳改變穿隧機率，使用動態機率轉送封包，可符合網路上各節點的不同攻擊經 過量，在這邊若加入了標記路由器，經過封包標記的資訊，可以知道哪個是最接 近攻擊端的標記路由器，可呼叫該標記路由器上游的穿隧路由器啟動轉送，也能 對在非攻擊路徑上的 Tracers 通知，不用做穿隧的功能，也就是不需要全部的

- 39 -

Tracers 都啟動，將可對攻擊路徑上的攻擊封包做更為有效的做過濾，降低啟動 率也等於是減少網路成本，降低路由器負擔。

我 們 在 Tracers 中 替 代 了 部 份 比 例 的 穿 隧 路 由 器 為 標 記 路 由 器

（Marking-enabled router）作為標記封包之用，標記路由器可以經由對封包做標 記，在受害端重建時找出可能的攻擊路徑，我們可以利用這項資訊，使不需要所 有的穿隧路由器都啟動做封包穿隧。

下圖 4-5 為同樣是攻擊比例 30%時的網路成本，在加入了標記路由器後，

Tracers 比例為 60T20F20M，與上述各種方法做比較，「動態穿隧」與「加上標記 路由器後動態穿隧」的網路成本非常相近，但加入了標記路由器後的成本會再減 少一點。

圖 4- 5 攻擊比例 30%，60T20F20M 的各種穿隧方法成本比較

下頁圖 4-6 到圖 4-9 是各種比例的穿隧路由器、Filter 和標記路由器在網路中 占有總數為 50%或是 70%，配對上在攻擊比例 30%時，網路拓樸結構是 degree 4 與 6 的比較。degree 6 網路節點平均邊數較多，平均路徑長較短，因此原總網路

- 40 -

成本會比 degree 4 少一點。經由比較可以看出相同 degree 4，在圖 4-7 中，於總 點數中占有 70%的功能節點，除了全部穿隧的成本都會比圖 4-6 總點數中占有 50%的功能節點較低一點，這也顯示在較多點數的佈置之下都會有稍微好的效 果，由 50%分佈改為 70%分佈，功能節點的數量已經比較多，但是改善的空間 卻是不多，對此應是 50%的佈點已是不錯的表現，加上再多的佈置百分比也僅是 稍微的改善而已；而在 degree 4 與 6 的成本差別下，圖 4-8 degree 6 的網路拓樸 結構因平均路徑較短，因封包轉送會增加的成本會降低一點，於是轉送封包後的 總成本會較低，配合各種穿隧方法後的效果也會較佳。在不同比例的四種佈置 中，變動的成本顯示網路中 Tracers 隨機的分配，以及拓樸結構的不同，對封包 的穿隧方法有些微的影響，而導致總成本的波動，拓樸結構的變化對我們提出方 法成本的影響不是很大。

圖 4- 6 60T20F20M，攻擊比例 30%，degree 4 分佈比例 50%

- 41 -

圖 4- 7 60T20F20M，攻擊比例 30%，degree 4 分佈比例 70%

圖 4- 8 60T20F20M，攻擊比例 30%，degree 6 分佈比例 50%

圖 4- 9 60T20F20M，攻擊比例 30%，degree 6 分佈比例 70%

- 42 -

上頁圖 4-6 到圖 4-9 的比較是在攻擊比例 30%之下，因為想要知道在無法判 斷攻擊比例之下拓樸結構的影響做的模擬，下圖 4-10，是在節點數 5000 點佈點 50%，攻擊比例從 30%到 90%，60%穿隧路由器、20%Filter 與 20%標記路由器 時，四種方法與原總網路成本的比較，全部穿隧會在攻擊量 30%時穿隧後成本多 於原成本，改為 50%穿隧情況會有大幅的改善，動態穿隧以及加入標記路由器 後，會更為近於減少攻擊影響至最低的理想狀況，也就是過濾掉了越多的攻擊封 包。

圖 4- 10 60T20F20M，各種穿隧方法在各種攻擊比例的總成本比較

總的來說，加入了標記路由器之後，所有的穿隧路由器做轉送封包時，可以 從標記路由器的幫助下分辨出可能的攻擊路徑，進而決定是否轉為「Turn on」

或「Turn off」狀態，因此除了實際的降低穿隧使用的成本，讓總成本下降，也 可以不用所有的穿隧路由器都做轉送封包的動作，降低啟動率（Active ratio of