Avaliação de Proteção contra Ataques de
Negação de Serviço Distribuídos utilizando
Lista de IPs Confiáveis
Luís Oliveira, Rafael Aschoff, Bruno Lins, Eduardo Feitosa,
Djamel Sadok
{lemco,rra,bfol,elf,jamel}@cin.ufpe.br
Grupo de Pesquisa em Redes e Telecomunicações – GPRT
Centro de Informática – CIn
Universidade Federal de Pernambuco – UFPE
Recife – Pernambuco, Brasil
VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais
RJ - Brasil
Roteiro
Introdução
Solução Proposta
Avaliações e Resultados
Considerações Finais
2
VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais
RJ - Brasil
Introdução
Aumento crescente de ataques DDoS
Sofisticação das técnicas de ataques
Severidade dos problemas causados
3
VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais
RJ - Brasil
Introdução
Diversas abordagens de defesa contra
ataques DDoS
Filtros, rastreamento de ataques, análises
estatísticas
Classificação
Source-end
Victim-end
Intermediate
4
VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais
RJ - Brasil
Introdução
Flash crowds and denial of service attacks
[Jaeyeon Jung]
A maioria dos endereços IP que aparecem em um
evento flash crowd já apareceram anteriormente
Em contrapartida, apenas uma pequena parte de
endereços IPs participantes em um ataque já
efetuaram conexão com o servidor
5
VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais
RJ - Brasil
Solução Proposta – Trust IP List (TIL)
Monitoração constante dos fluxos de entrada
e saída
Modelo de fluxos de dados
Guardar histórico de IPs legítimos
Privilegiar tráfego previamente conhecido
6
VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais
RJ - Brasil
Trust IP List
7
VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais
RJ - Brasil
ChkModel
Observação e Classificação
Validar os IPs que chegam ao roteador
Detectar ataques
Sockets e Conexões.
8
VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais
RJ - Brasil
ChkModel - Módulo de observação
Monitora todo o tráfego de entrada e saída do
roteador
Modelo de fluxo gerado a partir de estudo da
rede
Estatísticas da comunicação cliente-servidor
coletadas e armazenadas para fluxos e
sockets
Duas tabelas hash(sockets e conexões)
Captura em tempo real e leitura de traces
9
VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais
RJ - Brasil
ChkModel - Módulo de classificação
Compara as informações armazenadas pelo
módulo de observação com os modelos de
conexão e sockets legítimos
Trabalha com três mensagens:
Mensagem de Ataque
Mensagem de Estado Normal
Lista de Clientes
10
VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais
RJ - Brasil
TIT (Trusted IP Table)
Módulo responsável pelo armazenamento e
gerenciamento dos endereços IP confiáveis.
IP+Porta
Timestamp
11
VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais
RJ - Brasil
TIT (Trusted IP Table)
15. Requisição de remoção de Ips da tabela
1. Interface de escuta
16. Remover IPs
da tabela hash
17. Requisição de portas
2. Chegada de novos IPs
3. Checar estado
da rede
4. Estado normal
18. Enviar portas
associadas
5. Checar atualizações
da tabela hash
7. Atualizada
12. Estado de ataque
8. Armazenar dados na
tabela
6. Arquivo de
configuração
11. Armazenamento
13. Comparar IPs
14. Liberar lista de IPs
9. Desatualizada
10. Atualizar timestamp e
arquivo de configuração
12
VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais
RJ - Brasil
Limitador de Banda
Enforcement
IPF (IP Filter)
Política de esvaziamento da fila
13
VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais
RJ - Brasil
Avaliações e Resultados
14 dias contínuos compreendendo a última
semana do mês de abril e a primeira semana
do mês de maio de 2007 (25/04 a 08/05).
52 PCs desktops, 2 switches com 24 portas
10/100/1000 Mbps e 2 servidores
(processador Athlon XP 4200+ 64bits, com
2Gbytes de RAM e 160Gbytes de HDD)
14
VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais
RJ - Brasil
Avaliações e Resultados
15
VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais
RJ - Brasil
Avaliações e Resultados
Tráfego de Ataque
Script que emprega a ferramenta Packit
Três ataques TCP flooding por hora
Pacotes de 1 Kbyte
Taxa entre 500 e 20.000 pacotes por segundo
16
VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais
RJ - Brasil
Avaliações e Resultados
Métricas de Avaliação
Consumo de processamento e memória
IPs reincidentes
Eficácia
17
VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais
RJ - Brasil
Resultados [Consumo de Processamento e
Memória ]
5.0
4.5
Consumo (%)
4.0
Processamento
Memória
3.5
3.0
2.5
2.0
1.5
1.0
0.5
0.0
25/4 26/4 27/4
28/4 29/4 30/4 1/5
2/5
3/5
Tempo (em dias)
4/5
5/5
6/5
7/5
8/5
18
VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais
RJ - Brasil
Resultados [IPs Reincidentes]
Número de IPs reincidentes
12000
10000
8000
6000
4000
2000
0
26/4
27/4
28/4
29/4
30/4
1/5
2/5
3/5
Tempo (em dias)
4/5
5/5
6/5
7/5
8/5
19
VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais
RJ - Brasil
15
:3
4
15 :5 5
:3
5:
15 2 0
:3
5
15 :4 5
:3
6
15 :1 0
:3
6:
15 3 5
:3
7
15 :0 0
:3
7
15 :2 5
:3
7:
15 5 0
:3
8
15 :1 5
:3
8
15 :4 0
:3
9:
15 0 5
:3
9
15 :3 0
:3
9
15 :5 5
:4
0:
15 2 0
:4
0
15 :4 5
:4
1
15 :1 0
:4
1:
15 3 5
:4
2
15 :0 0
:4
2:
25
Pacotes Recebidos (x1000)
Resultados [Eficácia]
70
60
Tráfego não Classificado
50
Tráfego Confiável
40
30
20
10
0
Tempo (em segundos) - Dia 08/05
20
VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais
RJ - Brasil
Conclusão
Para os cenários avaliados, a eficácia foi
de aproximadamente 76%
Baixo consumo dos recursos do sistema
Contudo, usuários “legítimos” podem ser
penalizados
21
VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais
RJ - Brasil
Trabalhos Futuros
Estender a capacidade de análise e
classificação do ChkModel para o protocolo
UDP e ICMP
Novos cenários ainda necessitam ser
avaliados para comprovar a eficiência da
solução proposta
Comparar com as outras soluções existentes
22
VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais
RJ - Brasil
Avaliação de Proteção contra Ataques de
Negação de Serviço Distribuídos utilizando
Lista de IPs Confiáveis
Luís Oliveira, Rafael Aschoff, Bruno Lins, Eduardo Feitosa,
Djamel Sadok
{lemco,rra,bfol,elf,jamel}@cin.ufpe.br
Grupo de Pesquisa em Redes e Telecomunicações – GPRT
Centro de Informática – CIn
Universidade Federal de Pernambuco – UFPE
Recife – Pernambuco, Brasil
VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais
RJ - Brasil
Download
  1. No category

Internet - sbseg 2007

Baixe aqui o modelo de pôster

Baixe aqui o modelo de pôster

Barbara Virginia Possiede

Barbara Virginia Possiede

Apresentação Sobre Colaboração

Apresentação Sobre Colaboração

Apresentação

Apresentação

“O você gostaria de aprender na escola?”. - gpquae

“O você gostaria de aprender na escola?”. - gpquae

Apresentação do PowerPoint

Apresentação do PowerPoint

A Interação entre Informática e Neurociência

A Interação entre Informática e Neurociência

Apresentação

Apresentação