Моделирование и анализ механизмов противодействия DDoS атакам TCP SYN flooding

1. Моделирование и анализ механизмов противодействия DDoS атакам TCP SYN flooding Владимир Шахов

2. Содержание Мотивация Понятие: DDoS атака, TCP SYN Flooding Механизмы противодействия Математические модели средств защиты Анализ механизмов противодействия Развитие математических моделей Заключение

3. Около 90 % DDoS используют уязвимость TCP/IPпротокола. Пример: TCP SYN Flooding тройное рукопожатие ограничение очереди полуоткрытых соединений Жертвы атаки: Yahoo!, eBay, CNN, Amazon Мотивация

4. Простая DoS атака Attacker Victim Victim Victim

5. Скоординированная DoS атака Attacker Attacker Attacker Victim Victim Victim

6. DDoS Attacker Handler Handler Agent Agent Agent Agent Agent Victim

7. TCP SYN Flooding SYN Flooding нормальное соединение

8. Поведение очереди

9. Механизмы защиты • Укрепление стека • Фильтрация • SYN cash • SYN cookies

10. Причины потери пакета • Блокировка • Короткий timeout • Ошибка фильтра (ошибка 1-го рода)

11. Показатели качества защиты • Ошибка 1-го рода • Ошибка 2-го рода • Замедление

12. Предположения • Предложная нагрузка : Пуассоновский процесс • Timeout : Экспоненциальное распределение Шаг • От M/M/1/K (M/D/)к M/G/m/m • Модификация для фильтра

13. R. Chang : Defending against flooding-based distributed denial-of-service attacks: a tutorial, IEEE Communications Magazine 40 (10) (2002) 42–51. S. Khan and I. Traore : Queue-based analysis of DoS attacks, in: Proceeding of the 2005 IEEE Workshop on Information Assurance and Security, United States Mulitary Academy, West Point, NY, pp. 266–273. M/M/1/K Yang Wang, Chuang Lin, Quan-Lin Li, and Yuguang Fang: A queueing analysis for the denial of service (DoS) attacks in computer networks. Computer Networks, 51 (2007), pp. 3564–3573 2-мерная цепь Маркова, M/M/m/m, M/D/m/m Предшествующие публикации

14. Укрепление стека       0 1 2 K K+1 BLK … …  2 3 K (K+1) (K+2) N

15. Эффект уменьшения timeout

16. Обращение функции Эрланга Agner Krarup Erlang

17. ε > 0, если Теорема то

18. Фильтрация замедление Активация фильтра блокировка

19. Фильтрация Уравнения для вероятности состояний: Условие нормализации:

20. Фильтрация Вероятность блокировки : Живучесть:

21. SYN cache Вероятность отбраковки старейшего пакта:pF.

22. SYN cookies Интенсивность генерации cookies

23. Stateful DoS

24. Сравнение SYN cache и фильтрации

25. Теорема

26. Развитие модели M/M/m/m ---> M/GSYN/m/m

27. Вероятность блокировки ВБ ПН

28. Развитие модели

29. Анализ средств противодействия DDoS атакам типа TCP SYN flooding. Вестник НГУ, 2008. On Modeling Counteraction against TCP SYN Flooding. Springer Lecture Notes in Computer Science, ICOIN 2007 - LNCS Volume, 2008. On Modeling Counteraction against TCP SYN Flooding, In Proceedings of the International Conference on Information Networking (ICOIN 2007) Performance Evaluation of Defence Mechanism based on cookies, Proceedings of the First International Conference on Ubiquitous Information Management and Communication, 2007 Analysis of SYN Flooding defense mechanisms. Proceedings of the IX International Conference "Problems of Operation of Information Networks" (ICPOIN 2006), Novosibirsk, Russia, 2006. Публикации

30. Спасибо за внимание!