OSI modelining amaliy sathiga DDoS hujumlari ilovalar yoki veb-serverlardagi zaifliklardan foydalanishga qaratilgan. Bunday hujumlarni aniqlash signatura va anomal, shuningdek, ushbu usullardan birgalikda foydalanishga bo'linishi mumkin. Signatura usuli hujum signaturalarini boshqariladigan trafik bilan solishtirishga asoslangan [92]. Ushbu usul trafik holatidagi o'zgarishlarga juda sezgir, ammo agar tizimda hujum signaturasi tasvirlanmagan bo'lsa, unda bu turdagi hujumni aniqlash mumkin emas [93].
Anomal tarmoq hujumini aniqlash usuliga kelsak, xatti-harakatlarni taqqoslash asosida zararli oldingi "normal" holatga ega bo'lgan anomal trafik trafikni aniqlashga qodir. Ushbu usulning kamchiliklari noto'g'ri musbatlarning yuqori chastotasidir [94].
Kamchiliklarni o'zgartirish usullaridan biri neyron tarmog'ini qurish orqali ikkita usulni birlashtirishdir; [95] mualliflari trafik xususiyatlariga asoslangan usulni taklif qilishdi: kiruvchi yuk va paketlar ketma-ketligi. Ko'p o'tmay, bu usul qo'shimcha vaqt belgilari va xotira tasniflagichlaridan foydalangan holda o'zgartirildi, bu "sizga sirpanish oynasi bilan cheklanmagan holda tizim holatini boshqarish imkonini beradi. Qo'shimcha vaqt belgilari klassifikatorga o'xshash paketlarning kelish vaqtidagi naqshlarni aniqlashga imkon beradi" [96].
Zamonaviy HTTP flud hujumlari mantiqan to'g'ri so'rovlar va paket sarlavhalarini o'z ichiga oladi. Bundan tashqari, ular boshqa hujumlarga qaraganda kamroq tarmoqli kengligi talab qiladi. Bunday hujumning flud so'rovlari har bir maqsadli obyekt uchun alohida yaratiladi. Bu HTTP hujumini aniqlash va bloklashni ancha qiyinlashtiradi.
Ba'zi hujumlar so'rovlarni keshlash orqali qaytarilishi mumkin. Shunday qilib, agar ma'lum vaqt oralig'ida bir xil so'rovlar soni ruxsat etilgan raqamdan oshsa, so'rovchilarning IP manzillari to'xtash ro'yxatiga kiritilgan. Biroq, skript hujum qilish uchun ishlatilishi mumkin, bu har safar noyob so'rovlarni keltirib chiqaradi. Bunday holda, keshlash usuli foydasiz bo'ladi.
Ushbu turdagi hujumlarni singular spektral tahlil usuli yordamida aniqlash mumkin. Ushbu usul tizimning harakatini kuzatish, shuningdek miqdorlarning xarakterli qiymatlarini boshqarish imkonini beradi. Bir o'lchovli vaqt qatorini ko'p o'lchovliga aylantirish orqali asosiy komponentlar usuli yordamida olingan komponentlarni tekshirish mumkin. Ushbu usulning asosiy xususiyati shundaki, seriyaning tarkibiy qismlarining xususiyatlarini hech qanday tarzda ochib berish juda mumkin [97]. Aniqlash uchun kiruvchi va chiquvchi paketlar nisbati tahlili qo'llaniladi. Hisoblash formulasi quyidagicha:
𝑅𝑖𝑝= 𝑇𝑖𝑇0 (1.1)
bu yerda 𝑇𝑖 - kiruvchi trafik hajmi, 𝑇0 - chiquvchi trafik hajmi.
Kiruvchi trafik miqdorining oshishi chiquvchi trafikning ko'payishiga olib keladi, bu esa hujum ehtimolini oshiradi.
1.9-rasm. HTTP flud hujumi komponentlari
[98] da mualliflar DNS sel hujumlariga qarshi kurashish uchun yangi yondashuvni taklif qilishdi, bunda DNS ishlashini ta'minlash uchun yangi tarqalish mexanizmidan foydalangan holda yangi DNS arxitekturasini yaratishga hojat yo'q. U DNS infratuzilmasiga DDoS hujumlaridan himoya qilish uchun qo'shimcha va arzonroq yondashuvni tavsiflaydi. Bu arxitekturaning barcha elementlarining 100% mavjudligiga bo'lgan ehtiyojdan xalos bo'lishdan iborat. Mavjud DNS tuzilmasida mavjud bo'lgan nom serveriga bo'lgan ehtiyojni oddiygina DNS-rezolyutsiyalarining keshlash xatti-harakatlarini o'zgartirish qilish orqali kamaytirish mumkin. Bugungi kunda DNS rezolyutorlari qidirish unumdorligini yaxshilash va qo'shimcha xarajatlarni kamaytirish uchun nom serverlaridan olgan javoblarni keshlaydi. Yechimchi so'rovlarga javob muddati davomida (TTL) mustaqil ravishda javob berish uchun keshlangan javoblardan foydalanishi mumkin. Maqolada TTL qiymati muddati o'tgan keshlangan yozuvlarni o'chirmaslik uchun rezolyutorlar ishini o'zgartirishdan iborat bo'lgan usul taklif etiladi. Ushbu yozuvlarni keshdan olib tashlash va ularni alohida "eskirgan keshda" saqlash taklif etiladi. Hozirda keshlangan ma'lumotlarga asoslanib javob berib bo'lmaydigan so'rov butun DNS zonasi ierarxiyasini kesib o'tadi va har qadamda joriy zona uchun vakolatli nom serverlarini so'raydi. Shu bilan birga, bu jarayon, agar barcha nom serverlari ushbu o'tishning istalgan bosqichida mavjud bo'lmasa amalga oshirilmaydi. Bunday senariyda DNS serverlariga o'lik zona so'roviga javob berish uchun eskirgan keshda saqlangan ma'lumotlardan foydalanishga ruxsat beriladi va shu bilan qidirish jarayonini davom ettiriladi [64].
DHCP ochligidan eng yaxshi himoya kalitning to'g'ri konfiguratsiyasi hisoblanadi [99]. Eng oson yo'li - switch portidagi MAC manzillar sonini cheklash. Shunday qilib, buzg’unchi yo'riqnoma manzillarining to'liq hajmini to'xtata olmaydi, chunki hujum to'xtatiladi. [100] ish shuni ko'rsatadiki, mumkin bo'lgan yechimlardan biri IP manzilini muhokama qilishdan oldin MAC manzilini autentifikatsiya qilishdir. Bu mijoz autentifikatsiyasi [101] va kengaytirilgan kalit konfiguratsiyasi yordamida amalga oshirilishi mumkin.
FTP protokoliga hujumlar TCP qo'l siqish tizimidan foydalanadi va shu bilan ma'lumot yoki xato xabarini etkazib berishni kafolatlaydi. Natijada, FTP serveriga DDoS hujumlari TCP tarmoq sathi hujumiga kamayadi [102].
Mavjud ko'rib chiqishdan ko'rinib turibdiki, ma'lum bir tarmoq hujumiga qarshi turish mumkin, ammo barcha mumkin bo'lgan hujumlarga qarshi kurashda mashinani o’qitish algoritmlarini qo'llash kerak.
