230 likes | 348 Views
Avaliação de Proteção contra Ataques de Negação de Serviço Distribuídos utilizando Lista de IPs Confiáveis. Luís Oliveira, Rafael Aschoff , Bruno Lins, Eduardo Feitosa, Djamel Sadok {lemco,rra,bfol,elf,jamel}@cin.ufpe.br. Grupo de Pesquisa em Redes e Telecomunicações – GPRT
E N D
Avaliação de Proteção contra Ataques de Negação de Serviço Distribuídos utilizando Lista de IPs Confiáveis Luís Oliveira, Rafael Aschoff, Bruno Lins, Eduardo Feitosa, Djamel Sadok {lemco,rra,bfol,elf,jamel}@cin.ufpe.br Grupo de Pesquisa em Redes e Telecomunicações – GPRT Centro de Informática – CIn Universidade Federal de Pernambuco – UFPE Recife – Pernambuco, Brasil
Roteiro • Introdução • Solução Proposta • Avaliações e Resultados • Considerações Finais
Introdução • Aumento crescente de ataques DDoS • Sofisticação das técnicas de ataques • Severidade dos problemas causados
Introdução • Diversas abordagens de defesa contra ataques DDoS • Filtros, rastreamento de ataques, análises estatísticas • Classificação • Source-end • Victim-end • Intermediate
Introdução • Flash crowds and denial of service attacks [Jaeyeon Jung] • A maioria dos endereços IP que aparecem em um evento flash crowd já apareceram anteriormente • Em contrapartida, apenas uma pequena parte de endereços IPs participantes em um ataque já efetuaram conexão com o servidor
Solução Proposta – Trust IP List (TIL) • Monitoração constante dos fluxos de entrada e saída • Modelo de fluxos de dados • Guardar histórico de IPs legítimos • Privilegiar tráfego previamente conhecido
ChkModel • Observação e Classificação • Validar os IPs que chegam ao roteador • Detectar ataques • Sockets e Conexões.
ChkModel - Módulo de observação • Monitora todo o tráfego de entrada e saída do roteador • Modelo de fluxo gerado a partir de estudo da rede • Estatísticas da comunicação cliente-servidor coletadas e armazenadas para fluxos e sockets • Duas tabelas hash(sockets e conexões) • Captura em tempo real e leitura de traces
ChkModel - Módulo de classificação • Compara as informações armazenadas pelo módulo de observação com os modelos de conexão e sockets legítimos • Trabalha com três mensagens: • Mensagem de Ataque • Mensagem de Estado Normal • Lista de Clientes
TIT (Trusted IP Table) • Módulo responsável pelo armazenamento e gerenciamento dos endereços IP confiáveis. • IP+Porta • Timestamp
Limitador de Banda • Enforcement • IPF (IP Filter) • Política de esvaziamento da fila
Avaliações e Resultados • 14 dias contínuos compreendendo a última semana do mês de abril e a primeira semana do mês de maio de 2007 (25/04 a 08/05). • 52 PCs desktops, 2 switches com 24 portas 10/100/1000 Mbps e 2 servidores (processador Athlon XP 4200+ 64bits, com 2Gbytes de RAM e 160Gbytes de HDD)
Avaliações e Resultados • Tráfego de Ataque • Script que emprega a ferramenta Packit • Três ataques TCP flooding por hora • Pacotes de 1 Kbyte • Taxa entre 500 e 20.000 pacotes por segundo
Avaliações e Resultados • Métricas de Avaliação • Consumo de processamento e memória • IPs reincidentes • Eficácia
Conclusão • Para os cenários avaliados, a eficácia foi de aproximadamente 76% • Baixo consumo dos recursos do sistema • Contudo, usuários “legítimos” podem ser penalizados
Trabalhos Futuros • Estender a capacidade de análise e classificação do ChkModel para o protocolo UDP e ICMP • Novos cenários ainda necessitam ser avaliados para comprovar a eficiência da solução proposta • Comparar com as outras soluções existentes
Avaliação de Proteção contra Ataques de Negação de Serviço Distribuídos utilizando Lista de IPs Confiáveis Luís Oliveira, Rafael Aschoff, Bruno Lins, Eduardo Feitosa, Djamel Sadok {lemco,rra,bfol,elf,jamel}@cin.ufpe.br Grupo de Pesquisa em Redes e Telecomunicações – GPRT Centro de Informática – CIn Universidade Federal de Pernambuco – UFPE Recife – Pernambuco, Brasil