穿隧方法

3.4.1 方法 1：All-tunneling

為了讓 Filter 增加對攻擊封包的過濾效果，即時的在網路中快速過濾掉攻擊 封包，使攻擊封包在網路上的存活時間越短越好，又由於較昂貴的 Filter 數量不 多，我們使用大量的穿隧路由器幫助其拓展過濾觸角，這樣形成一個基本穿隧方 法：由於隨機分佈的穿隧路由器無法辨認是否為攻擊封包，穿隧路由器將經過自 己，目的地是受害端的封包全部都轉送至鄰近的 Filter，由 Filter 來過濾封包。因 網路中所有的穿隧路由器都做轉送封包的動作，稱方法 1 為「全部穿隧」

（All-tunneling），但網路上所有的穿隧路由器對全部封包都做轉送也許不會遺漏 掉攻擊封包，但由另一面來看，穿隧路由器同樣也轉送了正常封包，對正常封包 來說，卻是要走多餘的路途才能到達目的端（請見 3.2 評估說明），因我們無法 預測得知攻擊量的多寡，全部的穿隧路由器都轉送經過的封包到鄰近 Filter，不 確定對網路總成本的影響是增加或是減少，如若攻擊量只占總網路流量百分之二 十，則 All-tunneling 就對百分之八十的正常封包造成困擾及負擔了，All-tunneling 有著這樣的隱憂，因此我們提出方法 2 解決這樣的問題。

3.4.2 方法 2：50%-tunneling

在無法知曉攻擊量多寡的情況下，穿隧路由器將所有目的端是受害端的封包 都加以轉送，如果是在攻擊量占總網路流量較多時，攻擊封包都會被穿隧至 Filter 而過濾掉，對普通封包造成影響較小；然而攻擊量少時，就會對占了大部分的普 通封包做了多餘的封包轉送動作，使普通封包多被傳送的路（以 hops 計算），也 是造成網路的成本負擔。因此提出改善此一情況的穿隧方法 2：「50%機率穿隧」

（50%-tunneling），讓所有的穿隧路由器對經過的封包，做固定 50%機率的篩選 選擇是否做轉送到 Filter，尤其在無法預測攻擊量的情況下，就算是攻擊流量占

- 28 -

網路總流量中比例較低的情況（如：30%），因為有機率選擇是否做封包穿隧的 關係，相較於將所有封包都全部做轉送，會有 50%機率可以直接的避免掉因穿隧 過多的普通封包而對網路增加的成本負擔。但缺點即是對攻擊封包有所遺漏，無 法快速減少最多的攻擊封包數量。

3.4.3 方法 3：Dynamic tunneling

雖然穿隧路由器無法對封包做辨認，但是單純的只對經過的封包做有機率的 轉送是不足的，無法徹底解決在低攻擊量下正常封包被穿隧的問題，固定機率的 穿隧不僅無法反應出攻擊的狀況，而 DDoS 攻擊發生時在網路中的攻擊流量也並 不是每處都相同，因此大略的使用「50%機率穿隧」，只是減緩了在攻擊比例不 高的條件下，因轉送占多數的普通封包造成網路多餘負擔的狀況，若要再仔細的 探討，將會發現 50%的穿隧有其限制性，也就是只能減少一定程度的網路成本（攻 擊封包），想要使用更符合「節點現況」的穿隧機率，也就是依照各穿隧路由器 的攻擊比例狀況，則使用動態機率的穿隧（Dynamic tunneling）將是一個最為即 時的選擇。

在攻擊情況中的網路各節點的攻擊封包經過比例並不都相同，如果是在完全 無過濾的情況下，攻擊封包在靠近攻擊端的收集量可能是最少的，靠近受害端收 集到的攻擊封包數量將匯集的最多，在沒有任何參考資料的情況下，全部 Tracers 都使用相同的機率對封包做轉送，並不符合實際的狀況，也就是使用固定機率的 穿隧轉送封包是不夠的，使用固定的機率穿隧封包，無法反映出攻擊現況，可能 會增加過多的轉送封包路徑及網路成本，因此，各節點路由器需要使用不同的機 率對封包做轉送，動態的改變穿隧機率將會更為符合當前路由器現況。在方法 3：動態穿隧（Dynamic tunneling），對於穿隧路由器已轉送至 Filter 的封包，Filter 將會統計最近 10 次傳送來的封包中有幾次是攻擊封包，再回傳給穿隧路由器作 為其穿隧機率的依據。這樣動態的改變穿隧機率，將更為符合在攻擊路徑上的路

- 29 -

由器會有攻擊封包經過，穿隧路由器需使用較高機率做穿隧；而不在主要攻擊路 徑上的路由器不會有很高攻擊封包數量的經過，穿隧路由器依照 Filter 回報的攻 擊封包次數後，就減低進行穿隧轉送封包的機率。穿隧路由器可以依照回報狀況 調整轉送封包機率的高低，亦可減輕原本會因穿隧正常封包造成的多餘網路成本 增加，也減少路由器負擔，讓網路上的攻擊封包數量越低越好。

3.4.4 方法 4：Marking Assistance

動態穿隧可讓穿隧機率可以因實際攻擊情況有所調整，但若使用 Marking Assistance 標記功能的援助，加上標記路由器（Marking-enabled router），是否就 可以對標記方法辨識出的非攻擊區塊不繼續啟動轉送封包，也就不用網路上所有 的穿隧路由器都處於啟動轉送封包狀態了。這裡我們加入標記路由器，標記法可 以幫助我們分辨出攻擊路徑，知道較靠近攻擊端的標記路由器，以及來自哪個傳 送介面（interface），當有這個資訊之後，可以呼叫這個標記路由器對應傳送介面 上游的穿隧路由器們，繼續對經過的封包轉送至 Filter 過濾，若收到某路徑上的 已標記封包中沒有攻擊封包，則該標記路由器上游為非攻擊區域，上游的穿隧路 由器可以不用繼續做轉送封包的動作，也能降低路由器的負擔。

在相同網路結構下，需要繼續啟動穿隧路由器的數目多寡，取決於標記路由 器的數量多寡，也就是標記路由器越多，將可以劃分攻擊區域得越細，不需要啟 動的穿隧路由器數量可以再增加，而在這裡若使用不同比例的三種追蹤器，對網 路中免於繼續啟動做穿隧封包的比例也會有所不同。在網路中隨機佈建標記路由 器，經由封包標記可以知道哪個標記路由器是在攻擊路徑上最靠近攻擊端，由標 記路由器呼叫上游穿隧路由器繼續啟動做穿隧，非攻擊路徑上的穿隧路由器不用 繼 續 做 封 包 轉 送 ， 因此 將 可 以 降 低 穿 隧 路由 器 的 啟 動 率 （ Active Ratio of Tracers）；若在標記路由器上游無穿隧路由器的情況下，則標記路由器就做穿隧 轉送封包到 Filter。經由標記路由器的幫助，對攻擊所在區域位置以及過濾都將

- 30 -

更為精確，雖然對網路成本的減少與動態通隧相當，但降低啟動率等於節省網路 成本，也減少路由器負擔。