1 / 23

Luís Oliveira, Rafael Aschoff , Bruno Lins, Eduardo Feitosa, Djamel Sadok

Avaliação de Proteção contra Ataques de Negação de Serviço Distribuídos utilizando Lista de IPs Confiáveis. Luís Oliveira, Rafael Aschoff , Bruno Lins, Eduardo Feitosa, Djamel Sadok {lemco,rra,bfol,elf,jamel}@cin.ufpe.br. Grupo de Pesquisa em Redes e Telecomunicações – GPRT

gzifa
Download Presentation

Luís Oliveira, Rafael Aschoff , Bruno Lins, Eduardo Feitosa, Djamel Sadok

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Avaliação de Proteção contra Ataques de Negação de Serviço Distribuídos utilizando Lista de IPs Confiáveis Luís Oliveira, Rafael Aschoff, Bruno Lins, Eduardo Feitosa, Djamel Sadok {lemco,rra,bfol,elf,jamel}@cin.ufpe.br Grupo de Pesquisa em Redes e Telecomunicações – GPRT Centro de Informática – CIn Universidade Federal de Pernambuco – UFPE Recife – Pernambuco, Brasil

  2. Roteiro • Introdução • Solução Proposta • Avaliações e Resultados • Considerações Finais

  3. Introdução • Aumento crescente de ataques DDoS • Sofisticação das técnicas de ataques • Severidade dos problemas causados

  4. Introdução • Diversas abordagens de defesa contra ataques DDoS • Filtros, rastreamento de ataques, análises estatísticas • Classificação • Source-end • Victim-end • Intermediate

  5. Introdução • Flash crowds and denial of service attacks [Jaeyeon Jung] • A maioria dos endereços IP que aparecem em um evento flash crowd já apareceram anteriormente • Em contrapartida, apenas uma pequena parte de endereços IPs participantes em um ataque já efetuaram conexão com o servidor

  6. Solução Proposta – Trust IP List (TIL) • Monitoração constante dos fluxos de entrada e saída • Modelo de fluxos de dados • Guardar histórico de IPs legítimos • Privilegiar tráfego previamente conhecido

  7. Trust IP List

  8. ChkModel • Observação e Classificação • Validar os IPs que chegam ao roteador • Detectar ataques • Sockets e Conexões.

  9. ChkModel - Módulo de observação • Monitora todo o tráfego de entrada e saída do roteador • Modelo de fluxo gerado a partir de estudo da rede • Estatísticas da comunicação cliente-servidor coletadas e armazenadas para fluxos e sockets • Duas tabelas hash(sockets e conexões) • Captura em tempo real e leitura de traces

  10. ChkModel - Módulo de classificação • Compara as informações armazenadas pelo módulo de observação com os modelos de conexão e sockets legítimos • Trabalha com três mensagens: • Mensagem de Ataque • Mensagem de Estado Normal • Lista de Clientes

  11. TIT (Trusted IP Table) • Módulo responsável pelo armazenamento e gerenciamento dos endereços IP confiáveis. • IP+Porta • Timestamp

  12. TIT (Trusted IP Table)

  13. Limitador de Banda • Enforcement • IPF (IP Filter) • Política de esvaziamento da fila

  14. Avaliações e Resultados • 14 dias contínuos compreendendo a última semana do mês de abril e a primeira semana do mês de maio de 2007 (25/04 a 08/05). • 52 PCs desktops, 2 switches com 24 portas 10/100/1000 Mbps e 2 servidores (processador Athlon XP 4200+ 64bits, com 2Gbytes de RAM e 160Gbytes de HDD)

  15. Avaliações e Resultados

  16. Avaliações e Resultados • Tráfego de Ataque • Script que emprega a ferramenta Packit • Três ataques TCP flooding por hora • Pacotes de 1 Kbyte • Taxa entre 500 e 20.000 pacotes por segundo

  17. Avaliações e Resultados • Métricas de Avaliação • Consumo de processamento e memória • IPs reincidentes • Eficácia

  18. Resultados [Consumo de Processamento e Memória ]

  19. Resultados [IPs Reincidentes]

  20. Resultados [Eficácia]

  21. Conclusão • Para os cenários avaliados, a eficácia foi de aproximadamente 76% • Baixo consumo dos recursos do sistema • Contudo, usuários “legítimos” podem ser penalizados

  22. Trabalhos Futuros • Estender a capacidade de análise e classificação do ChkModel para o protocolo UDP e ICMP • Novos cenários ainda necessitam ser avaliados para comprovar a eficiência da solução proposta • Comparar com as outras soluções existentes

  23. Avaliação de Proteção contra Ataques de Negação de Serviço Distribuídos utilizando Lista de IPs Confiáveis Luís Oliveira, Rafael Aschoff, Bruno Lins, Eduardo Feitosa, Djamel Sadok {lemco,rra,bfol,elf,jamel}@cin.ufpe.br Grupo de Pesquisa em Redes e Telecomunicações – GPRT Centro de Informática – CIn Universidade Federal de Pernambuco – UFPE Recife – Pernambuco, Brasil

More Related