UFPR – Departamento de Informática
Network Domain Entrypoint/path
Determination for DDoS ataques
Determinação do ponto de
entrada/caminho de ataques DDoS em
domínios de redes
Gabriel Gugik - [email protected]
Maria Lucia Ceschin – [email protected]
Roteiro
●
●
●
●
●
●
●
Objetivo
Motivações
Fatos importantes sobre o roteamento
na Internet
Funcionamento
Propostas de abordagens : NSB e SPB
Limitações
Conclusões
Objetivo
Determinar pontos de entrada e
caminhos de um ataque de negação de
serviço distribuído (DDoS) dentro de um
domínio de rede.
Motivações
DoS e DDoS são uma das categorias de
ataques mais utilizadas em redes
Através de um DDoS, é possível causar
danos muitos sérios em servidores como
websites e redes inteiras.
Dependendo do estrago ocasionado por
um DDoS, pode haver um grande prejuízo
financeiro.
Fatos Importantes sobre o
roteamento na Internet
●
●
●
●
Em geral, caminhos são fortemente
dominados por rotas únicas.
2/3 dos caminhos tem rotas que persistem
por dias ou semanas.
Destinos não populares são responsáveis
pela grande maioria das instabilidades de
roteamento.
Portanto, sob condições normais, rotas
são geralmente estáveis. Rotas instáveis
usualmente caracterizam anomalias.
Funcionamento
●
●
Endereços de origem válidos são
determinados durante um período de
tráfego normal na rede.
Em condições de ataque, anomalias
são detectadas determinando-se quais
roteadores foram utilizados para uma
origem desconhecida a fim de construir
os caminhos de ataque.
Propostas de abordagens
●
●
●
●
Network Segmentation Based (NSB):
monitora toda a rede
Strategic Points Based (SPB): monitora
pontos estratégicos da rede,
diminuindo a carga de processamento
e tráfego.
Uso de White Lists: listas de caminhos
válidos
Mecanismo de Traceback: através das
White Lists, gera o grafo de ataque
Anomalia de rota
●
●
Nó A falsifica o endereço do nó B e
manda mensagem para C;
Caminho incorreto de A a C é detectado,
pois o tráfego deveria passar por R3 e
R4, ao invés de R1 e R2;
Preenchimento das White
Lists
●
●
●
●
Roteadores enviam informações de
amostragem do fluxo de tráfego para o
dispostivo cache WL.
Esta informação consiste de: endereço e porta
de origem e destino, pacotes de dados
originais e endereço do próximo hop.
A cache WL atualiza as White Lists dos
roteadores durante a inexistência de ataques
DDoS.
Quando um ataque é detectado, a geração e
atualização das White Lists são suspensas.
Network Segmentation
Based (NSB)
●
●
●
A rede é dividida em segmentos, sendo
que cada um deles é associado a um
dispositivo chamado WL cache.
Durante um ataque, o Traceback Manager
(TBM) requisita informações das WL caches
sobre um determinado par de endereços
origem/destino.
As WL caches devolvem a informação e o
TBM identifica se o tráfego era o esperado
ou anômalo.
Representação de um NSB
Strategic Points Based
(SPB)
●
●
●
●
Somente pontos estratégicos são
monitorados, pelos quais passam o maior
tráfico da rede.
Máquinas que efetuam ataques podem ser
tanto internas quanto externas da rede, por
isso, tanto o tráfego de entrada quanto o de
saída são monitorados.
A carga e o overhead do tráfego é reduzido.
WL Cache e TraceBack Manager
correspondem a um único dispositivo que
gera um ponto central de processamento e
armazenamento de informações.
Questões de segurança
●
●
●
●
Falsificação de endereços durante o
preenchimento das White Lists;
Modificação de conteúdo de pacotes;
Escutas de espionagem;
DDoS nos componentes do Trackback.
Limitações
●
●
●
Velocidade do mecanismo de detecção
Velocidade do TraceBack
Decisões sobre os resultados do
TraceBack
Conclusões
●
●
●
O sistema constrói caches de endereços de
origem válidos para roteadores e armazena
na WL cache, constrói também o grafo de
ataque e permite a identificação do ponto
mais do próximo do nó que está atacando.
NSB divide a rede em diferentes segmentos e
o SPB foca em pontos estratégicos.
Qual é a melhor das duas abordagens?
Conclusões
Depende da sua rede e dos ataques que você
quer prevenir.
●
●
●
Fatores que devem ser considerados:
Quantidade de ataques diferentes;
Topologia da rede;
Viabilidade financeira.