Luís Oliveira, Rafael Aschoff , Bruno Lins, Eduardo Feitosa, Djamel Sadok

1. Avaliação de Proteção contra Ataques de Negação de Serviço Distribuídos utilizando Lista de IPs Confiáveis Luís Oliveira, Rafael Aschoff, Bruno Lins, Eduardo Feitosa, Djamel Sadok {lemco,rra,bfol,elf,jamel}@cin.ufpe.br Grupo de Pesquisa em Redes e Telecomunicações – GPRT Centro de Informática – CIn Universidade Federal de Pernambuco – UFPE Recife – Pernambuco, Brasil

2. Roteiro • Introdução • Solução Proposta • Avaliações e Resultados • Considerações Finais

3. Introdução • Aumento crescente de ataques DDoS • Sofisticação das técnicas de ataques • Severidade dos problemas causados

4. Introdução • Diversas abordagens de defesa contra ataques DDoS • Filtros, rastreamento de ataques, análises estatísticas • Classificação • Source-end • Victim-end • Intermediate

5. Introdução • Flash crowds and denial of service attacks [Jaeyeon Jung] • A maioria dos endereços IP que aparecem em um evento flash crowd já apareceram anteriormente • Em contrapartida, apenas uma pequena parte de endereços IPs participantes em um ataque já efetuaram conexão com o servidor

6. Solução Proposta – Trust IP List (TIL) • Monitoração constante dos fluxos de entrada e saída • Modelo de fluxos de dados • Guardar histórico de IPs legítimos • Privilegiar tráfego previamente conhecido

7. Trust IP List

8. ChkModel • Observação e Classificação • Validar os IPs que chegam ao roteador • Detectar ataques • Sockets e Conexões.

9. ChkModel - Módulo de observação • Monitora todo o tráfego de entrada e saída do roteador • Modelo de fluxo gerado a partir de estudo da rede • Estatísticas da comunicação cliente-servidor coletadas e armazenadas para fluxos e sockets • Duas tabelas hash(sockets e conexões) • Captura em tempo real e leitura de traces

10. ChkModel - Módulo de classificação • Compara as informações armazenadas pelo módulo de observação com os modelos de conexão e sockets legítimos • Trabalha com três mensagens: • Mensagem de Ataque • Mensagem de Estado Normal • Lista de Clientes

11. TIT (Trusted IP Table) • Módulo responsável pelo armazenamento e gerenciamento dos endereços IP confiáveis. • IP+Porta • Timestamp

12. TIT (Trusted IP Table)

13. Limitador de Banda • Enforcement • IPF (IP Filter) • Política de esvaziamento da fila

14. Avaliações e Resultados • 14 dias contínuos compreendendo a última semana do mês de abril e a primeira semana do mês de maio de 2007 (25/04 a 08/05). • 52 PCs desktops, 2 switches com 24 portas 10/100/1000 Mbps e 2 servidores (processador Athlon XP 4200+ 64bits, com 2Gbytes de RAM e 160Gbytes de HDD)

15. Avaliações e Resultados

16. Avaliações e Resultados • Tráfego de Ataque • Script que emprega a ferramenta Packit • Três ataques TCP flooding por hora • Pacotes de 1 Kbyte • Taxa entre 500 e 20.000 pacotes por segundo

17. Avaliações e Resultados • Métricas de Avaliação • Consumo de processamento e memória • IPs reincidentes • Eficácia

18. Resultados [Consumo de Processamento e Memória ]

19. Resultados [IPs Reincidentes]

20. Resultados [Eficácia]

21. Conclusão • Para os cenários avaliados, a eficácia foi de aproximadamente 76% • Baixo consumo dos recursos do sistema • Contudo, usuários “legítimos” podem ser penalizados

22. Trabalhos Futuros • Estender a capacidade de análise e classificação do ChkModel para o protocolo UDP e ICMP • Novos cenários ainda necessitam ser avaliados para comprovar a eficiência da solução proposta • Comparar com as outras soluções existentes

23. Avaliação de Proteção contra Ataques de Negação de Serviço Distribuídos utilizando Lista de IPs Confiáveis Luís Oliveira, Rafael Aschoff, Bruno Lins, Eduardo Feitosa, Djamel Sadok {lemco,rra,bfol,elf,jamel}@cin.ufpe.br Grupo de Pesquisa em Redes e Telecomunicações – GPRT Centro de Informática – CIn Universidade Federal de Pernambuco – UFPE Recife – Pernambuco, Brasil