模擬 1：固定機率穿隧法

Figure 17 固定機率穿隧法-布署方法在路徑成本上比較圖

Figure 17 為 80%穿隧追蹤器及 20%過濾追蹤器的 50%固定機率之模擬數據；藍 線配菱形為核心布署法，紅線配方形為環繞布署法，綠色配三角形為隨機布署方法，

而紫線配叉形為未布署任何追蹤器的方法，即封包在一般的情況下的數據；在總路徑 成本上，希望正常封包可以行走較少的路徑抵達目的端，而惡意封包可以盡早的被過 濾掉來降低總封包行走的路徑長度，因此此圖得到的數據是越低越能夠表現出布署方 法的優越性。

從此圖中可以發現有布署追蹤器相較於未布署追蹤器的情況下，有穿隧追蹤器協 助封包穿隧至過濾追蹤器來過濾惡意封包可以降低整體封包總路徑的成本，即可降低 DDoS 的攻擊所帶來的影響。而本文提出的核心布署法及環繞布署法在節點 100 至 500 點的情況下略勝於隨機布署方法，而在節點 1000 至 5000 點的情況下有較明顯的降低 封包總路徑成本。

0 20000 40000 60000 80000 100000

100 200 300 400 500 1000 2000 3000 4000 5000

Total Number of Hops

Number of Nodes

Static Probability - Comparison of Deployment

Core Deployment Surround Deployment Random Deployment Original

45

Figure 18 固定機率穿隧法-核心布署法在總路徑上與未布署及最佳化的比較

Figure 18 為核心布署法，布署 80%穿隧追蹤器及 20%過濾追蹤器，並在 50%固 定的穿隧機率下的整體封包所行走的總路徑成本；紫線配叉形為未布署任何追蹤器，

藍線配菱形為核心布署法，黃線配圓形為核心布署法的最佳化數據，最佳化數據的定 義為：依照核心布署法的布署結果進行模擬，惡意封包經過穿隧追蹤器將不考慮機率 性質，直接轉送給過濾追蹤器進行過濾的工作，但會考慮穿隧的距離，若穿隧的距離 過於遙遠，則不進行穿隧的工作。

就 Figure 18 而言，在整體上可以觀察出核心布署法在小型網路拓撲結構上，甚 至是大型的網路拓撲結構，都可得到一個良好且穩定的結果，介於未布署及最佳化的 模擬數據，其中最大的原因為核心布署法是在保護區域的中心點設立過濾追蹤器，因 此對於每一個保護區域來說都是在 K 個路由器內都有 50%的機率使封包被穿隧到過 濾追蹤器進行檢查的工作。

0 10000 20000 30000 40000 50000 60000 70000 80000 90000 100000

100 200 300 400 500 10002000300040005000

Total Number of Hops

Number of Nodes

Static Probability - Core Deployment

Core Deployment

Optimal Core Deployment Original

46

Figure 19 固定機率穿隧法-環繞布署法在總路徑上與未布署及最佳化的比較

Figure 19 為環繞布署法，布署 80%穿隧追蹤器及 20%過濾追蹤器，並在 50%固 定的穿隧機率下的整體封包所行走的總路徑成本；紫線配叉形為未布署任何追蹤器，

紅線配方形為環繞布署法，黃線配圓形為環繞布署法的最佳化數據。

由 Figure 19 的數據可以明顯的看出環繞布署法在小型網路拓撲結構與大型網路 拓撲結構的差異。在小型網路拓撲結構中，環繞布署法較無法達到最佳的效果，但在 大型的網路拓撲結構中，環繞布署法則能越貼近最佳化的情況。因在小型的網路拓撲 結構中，將較有可能將過濾追蹤器布署於網路的正中央，所以惡意攻擊發送的封包就 算通過了邊緣的穿隧追蹤器，也必需要行走較長的距離抵達過濾追蹤器；若是正常使 用者發送的封包則必需繞更長的路徑返回目的端，如此一來在小型的網路拓撲結構較 容易造成整體封包總路徑長的成本提升。

0 10000 20000 30000 40000 50000 60000 70000 80000 90000 100000

100 200 300 400 500 1000 2000 3000 4000 5000

Total Number of Hops

Number of Nodes

Static Probability - Surround Deployment

Surround Deployment

Optimal Surround Deployment Original

47

Figure 20 固定機率穿隧法-布署方法在過濾比之比較圖

上圖為 80%穿隧追蹤器及 20%過濾追蹤器的 50%固定機率之模擬數據；藍線配 菱形為核心布署法，紅線配方形為環繞布署法，綠色配三角形為隨機布署方法；過濾 比越高即表示過濾掉越多的惡意封包。

由上圖可以發現核心布署法及隨機布署方法的在整體上的過濾比不相上下，但是 在 Figure 18 顯示出整體上核心布署法在封包總路徑成本上低於隨機布署方法，表示 本文提出的核心布署法能夠保證封包在經過一定數量內的路由器就會被穿隧至過濾 追蹤器做過濾的工作，而隨機布署較不一定能夠保證此限制。

除此之外，也可以發現在過濾比上，環繞布署法的成效更為突出，因為環繞布署 法將過濾追蹤器布署在保護區域的外圍與穿隧追蹤器並列，與核心布署法不同於將過 濾追蹤器布署在保護區域的中心點上，因此環繞布署法增加了封包由保護區域內送出 可直接經過布署於外圍的過濾追蹤器的機會，所以提升了整體上的過濾比。

60 65 70 75 80 85 90 95 100

100 200 300 400 500 1000 2000 3000 4000 5000

Filtering Ratio

Number of Nodes

Static Probability - Filtering Ratio

Core Deployment Surround Deployment Random Deployment

48

Figure 21 固定機率穿隧法-布署方法在穿隧比之比較圖

上圖為 80%穿隧追蹤器及 20%過濾追蹤器的 50%固定機率之模擬數據；藍線配 菱形為核心布署法，紅線配方形為環繞布署法，綠色配三角形為隨機布署方法；在穿 隧比的方面上，並無絕對的好壞之分，若是惡意封包的比例越多，穿隧比越高可能會 達到最好的效益；反之，若是正常封包的比例越多，則會造成需多的正常封包多行走 了不必要的路徑成本。

由上圖可以發現隨機布署方法的穿隧比最高，但是過濾比（Figure 20）及封包總 路徑成本（Figure 18）的表現卻不是非常的理想，即表示隨機布署方法使穿隧追蹤器 轉送了過多正常的封包，或是各穿隧追蹤器及各過濾追蹤器的距離過於遙遠，使得穿 隧所造成的封包路徑成本提升。同時也可以發現核心布署法及環繞布署法有明顯的間 距，因環繞布署法將過濾追蹤器與穿隧追蹤器並列於保護區域的外圍，所以分散了穿 隧的機率，並提升的過濾的機率，如此一來可以降低穿隧追蹤器轉送正常封包所帶來 的路徑成本。

40 45 50 55 60 65 70 75 80

100 200 300 400 500 1000 2000 3000 4000 5000

Tunneling Ratio

Number of Nodes

Static Probability - Tunneling Ratio

Core Deployment Surround Deployment Random Deployment

49