Detecção de ataques DDoS baseados em amplificação NTP inteiramente no plano de dados
| Autor(a) principal: | |
|---|---|
| Data de Publicação: | 2018 |
| Tipo de documento: | Trabalho de conclusão de curso |
| Idioma: | por |
| Título da fonte: | Repositório Institucional da UFRGS |
| Texto Completo: | http://hdl.handle.net/10183/175035 |
Resumo: | Os ataques de negação de serviço distribuídos representam uma grande parcela dentre o total de ataques cibernéticos reportados nos últimos anos. Um tipo de ataque em especial tem chamado a atenção dos administradores de rede por ser substancialmente danoso: os ataques DDoS baseados em amplificação. Ao lançar um ataque desse tipo, atacantes conseguem atingir taxas de dados muito altas, tirando proveito de protocolos como NTP, DNS e SSDP. Atualmente, provedores de serviço utilizam técnicas baseadas em Net- Flow e sFlow para detectar tais ameaças. Contudo, tais táticas possuem duas limitações principais: alto custo computacional para processamento em software dos pacotes que transitam pelos dispositivos de encaminhamento; e elevado tempo de reação a um ataque, devido ao distanciamento entre os sensores e os coletores de dados. Buscando eliminar as barreiras impostas pelo processamento feito fora dos dispositivos, uma nova geração de equipamentos de encaminhamento tem sido desenvolvida. Esses equipamentos conseguem trabalhar com altas taxas de dados e podem ser programados através de uma linguagem, denominada P4, que permite especificar como pacotes devem ser analisados e processados. Neste trabalho, propõe-se dois mecanismos, implementados em P4, para detecção de ataques de negação de serviço baseados em amplificação que tiram proveito do protocolo NTP. O primeiro desses mecanismos atua nas proximidades do servidor usado como amplificador, enquanto o segundo encontra-se localizado nas imediações da vítima do ataque. A acurácia e a eficiência desses mecanismos foram avaliadas através de três métricas: falsos negativos, falsos positivos e tempo de detecção. De maneira geral, ambos mecanismos atingem melhores resultados quando o ataque possui uma “assinatura” muito agressiva e, através de experimentos realizados, foi identificado que quanto mais intenso o ataque, menor o número de falsos positivos observados. Por fim, foi apresentada uma comparação demonstrando que o tempo de detecção em P4 é menor do que o tempo necessário para uma possível implementação desse mecanismo em OpenFlow convencional. |
| id |
UFRGS-2_cc719b2cc2c280e9bc8fb001ad64fca4 |
|---|---|
| oai_identifier_str |
oai:www.lume.ufrgs.br:10183/175035 |
| network_acronym_str |
UFRGS-2 |
| network_name_str |
Repositório Institucional da UFRGS |
| repository_id_str |
|
| spelling |
Cordoni, Roberto OppermannGaspary, Luciano Paschoal2018-04-26T02:32:54Z2018http://hdl.handle.net/10183/175035001065350Os ataques de negação de serviço distribuídos representam uma grande parcela dentre o total de ataques cibernéticos reportados nos últimos anos. Um tipo de ataque em especial tem chamado a atenção dos administradores de rede por ser substancialmente danoso: os ataques DDoS baseados em amplificação. Ao lançar um ataque desse tipo, atacantes conseguem atingir taxas de dados muito altas, tirando proveito de protocolos como NTP, DNS e SSDP. Atualmente, provedores de serviço utilizam técnicas baseadas em Net- Flow e sFlow para detectar tais ameaças. Contudo, tais táticas possuem duas limitações principais: alto custo computacional para processamento em software dos pacotes que transitam pelos dispositivos de encaminhamento; e elevado tempo de reação a um ataque, devido ao distanciamento entre os sensores e os coletores de dados. Buscando eliminar as barreiras impostas pelo processamento feito fora dos dispositivos, uma nova geração de equipamentos de encaminhamento tem sido desenvolvida. Esses equipamentos conseguem trabalhar com altas taxas de dados e podem ser programados através de uma linguagem, denominada P4, que permite especificar como pacotes devem ser analisados e processados. Neste trabalho, propõe-se dois mecanismos, implementados em P4, para detecção de ataques de negação de serviço baseados em amplificação que tiram proveito do protocolo NTP. O primeiro desses mecanismos atua nas proximidades do servidor usado como amplificador, enquanto o segundo encontra-se localizado nas imediações da vítima do ataque. A acurácia e a eficiência desses mecanismos foram avaliadas através de três métricas: falsos negativos, falsos positivos e tempo de detecção. De maneira geral, ambos mecanismos atingem melhores resultados quando o ataque possui uma “assinatura” muito agressiva e, através de experimentos realizados, foi identificado que quanto mais intenso o ataque, menor o número de falsos positivos observados. Por fim, foi apresentada uma comparação demonstrando que o tempo de detecção em P4 é menor do que o tempo necessário para uma possível implementação desse mecanismo em OpenFlow convencional.Distributed denial of service attacks account for a large share of the total number of cyber attacks reported in recent years. One particular type of attack has caught the attention of network administrators because of its devastating effect: DDoS attacks based on amplification. By launching such an attack, attackers can achieve very high data rates, taking advantage of protocols such as NTP, DNS and SSDP. Nowadays, service providers make use of NetFlow and sFlow-based techniques to detect such threats. However, these techniques present two main limitations: high computational cost for packets processing; and high response time due to the distance between data sensors and data collectors. Seeking to eliminate those barriers, a new generation of routing equipments has been developed. These devices are able to operate at high data rates and can be programmed through P4, a programming language that allows specifying how packets may be analyzed and processed. In this work, it is proposed two mechanisms, implemented in P4, to detect DDoS amplification attacks that take advantage of the NTP protocol. The first of these mechanisms acts near the server used as amplifier, while the second one is located nearby the victim of the attack. The accuracy and efficiency of these mechanisms were evaluated through three metrics: false negatives, false positives and detection time. In general, they all achieve better results when the attack has a very aggressive "signature". Through experiments, it was identified that the more intense the attack, the lower is the number of false positives observed. Finally, a comparison was made showing that the detection time in P4 is inferior to the time required for a possible implementation of this mechanism in conventional OpenFlow.application/pdfporRedes : ComputadoresComputer networksSoftware-defined networkingP4DDoSDetecção de ataques DDoS baseados em amplificação NTP inteiramente no plano de dadosinfo:eu-repo/semantics/publishedVersioninfo:eu-repo/semantics/bachelorThesisUniversidade Federal do Rio Grande do SulInstituto de InformáticaPorto Alegre, BR-RS2018Ciência da Computação: Ênfase em Engenharia da Computação: Bachareladograduaçãoinfo:eu-repo/semantics/openAccessreponame:Repositório Institucional da UFRGSinstname:Universidade Federal do Rio Grande do Sul (UFRGS)instacron:UFRGSORIGINAL001065350.pdf001065350.pdfTexto completoapplication/pdf3635349http://www.lume.ufrgs.br/bitstream/10183/175035/1/001065350.pdf8ba710f84d5d0c17de493c2b5465e72cMD51TEXT001065350.pdf.txt001065350.pdf.txtExtracted Texttext/plain151962http://www.lume.ufrgs.br/bitstream/10183/175035/2/001065350.pdf.txt3cfd82b9e14a880f3b3adda885feb409MD52THUMBNAIL001065350.pdf.jpg001065350.pdf.jpgGenerated Thumbnailimage/jpeg1067http://www.lume.ufrgs.br/bitstream/10183/175035/3/001065350.pdf.jpgc3356d2d77c32c29eccc27e7522e14ccMD5310183/1750352018-10-24 08:54:41.217oai:www.lume.ufrgs.br:10183/175035Repositório de PublicaçõesPUBhttps://lume.ufrgs.br/oai/requestopendoar:2018-10-24T11:54:41Repositório Institucional da UFRGS - Universidade Federal do Rio Grande do Sul (UFRGS)false |
| dc.title.pt_BR.fl_str_mv |
Detecção de ataques DDoS baseados em amplificação NTP inteiramente no plano de dados |
| title |
Detecção de ataques DDoS baseados em amplificação NTP inteiramente no plano de dados |
| spellingShingle |
Detecção de ataques DDoS baseados em amplificação NTP inteiramente no plano de dados Cordoni, Roberto Oppermann Redes : Computadores Computer networks Software-defined networking P4 DDoS |
| title_short |
Detecção de ataques DDoS baseados em amplificação NTP inteiramente no plano de dados |
| title_full |
Detecção de ataques DDoS baseados em amplificação NTP inteiramente no plano de dados |
| title_fullStr |
Detecção de ataques DDoS baseados em amplificação NTP inteiramente no plano de dados |
| title_full_unstemmed |
Detecção de ataques DDoS baseados em amplificação NTP inteiramente no plano de dados |
| title_sort |
Detecção de ataques DDoS baseados em amplificação NTP inteiramente no plano de dados |
| author |
Cordoni, Roberto Oppermann |
| author_facet |
Cordoni, Roberto Oppermann |
| author_role |
author |
| dc.contributor.author.fl_str_mv |
Cordoni, Roberto Oppermann |
| dc.contributor.advisor1.fl_str_mv |
Gaspary, Luciano Paschoal |
| contributor_str_mv |
Gaspary, Luciano Paschoal |
| dc.subject.por.fl_str_mv |
Redes : Computadores |
| topic |
Redes : Computadores Computer networks Software-defined networking P4 DDoS |
| dc.subject.eng.fl_str_mv |
Computer networks Software-defined networking P4 DDoS |
| description |
Os ataques de negação de serviço distribuídos representam uma grande parcela dentre o total de ataques cibernéticos reportados nos últimos anos. Um tipo de ataque em especial tem chamado a atenção dos administradores de rede por ser substancialmente danoso: os ataques DDoS baseados em amplificação. Ao lançar um ataque desse tipo, atacantes conseguem atingir taxas de dados muito altas, tirando proveito de protocolos como NTP, DNS e SSDP. Atualmente, provedores de serviço utilizam técnicas baseadas em Net- Flow e sFlow para detectar tais ameaças. Contudo, tais táticas possuem duas limitações principais: alto custo computacional para processamento em software dos pacotes que transitam pelos dispositivos de encaminhamento; e elevado tempo de reação a um ataque, devido ao distanciamento entre os sensores e os coletores de dados. Buscando eliminar as barreiras impostas pelo processamento feito fora dos dispositivos, uma nova geração de equipamentos de encaminhamento tem sido desenvolvida. Esses equipamentos conseguem trabalhar com altas taxas de dados e podem ser programados através de uma linguagem, denominada P4, que permite especificar como pacotes devem ser analisados e processados. Neste trabalho, propõe-se dois mecanismos, implementados em P4, para detecção de ataques de negação de serviço baseados em amplificação que tiram proveito do protocolo NTP. O primeiro desses mecanismos atua nas proximidades do servidor usado como amplificador, enquanto o segundo encontra-se localizado nas imediações da vítima do ataque. A acurácia e a eficiência desses mecanismos foram avaliadas através de três métricas: falsos negativos, falsos positivos e tempo de detecção. De maneira geral, ambos mecanismos atingem melhores resultados quando o ataque possui uma “assinatura” muito agressiva e, através de experimentos realizados, foi identificado que quanto mais intenso o ataque, menor o número de falsos positivos observados. Por fim, foi apresentada uma comparação demonstrando que o tempo de detecção em P4 é menor do que o tempo necessário para uma possível implementação desse mecanismo em OpenFlow convencional. |
| publishDate |
2018 |
| dc.date.accessioned.fl_str_mv |
2018-04-26T02:32:54Z |
| dc.date.issued.fl_str_mv |
2018 |
| dc.type.status.fl_str_mv |
info:eu-repo/semantics/publishedVersion |
| dc.type.driver.fl_str_mv |
info:eu-repo/semantics/bachelorThesis |
| format |
bachelorThesis |
| status_str |
publishedVersion |
| dc.identifier.uri.fl_str_mv |
http://hdl.handle.net/10183/175035 |
| dc.identifier.nrb.pt_BR.fl_str_mv |
001065350 |
| url |
http://hdl.handle.net/10183/175035 |
| identifier_str_mv |
001065350 |
| dc.language.iso.fl_str_mv |
por |
| language |
por |
| dc.rights.driver.fl_str_mv |
info:eu-repo/semantics/openAccess |
| eu_rights_str_mv |
openAccess |
| dc.format.none.fl_str_mv |
application/pdf |
| dc.source.none.fl_str_mv |
reponame:Repositório Institucional da UFRGS instname:Universidade Federal do Rio Grande do Sul (UFRGS) instacron:UFRGS |
| instname_str |
Universidade Federal do Rio Grande do Sul (UFRGS) |
| instacron_str |
UFRGS |
| institution |
UFRGS |
| reponame_str |
Repositório Institucional da UFRGS |
| collection |
Repositório Institucional da UFRGS |
| bitstream.url.fl_str_mv |
http://www.lume.ufrgs.br/bitstream/10183/175035/1/001065350.pdf http://www.lume.ufrgs.br/bitstream/10183/175035/2/001065350.pdf.txt http://www.lume.ufrgs.br/bitstream/10183/175035/3/001065350.pdf.jpg |
| bitstream.checksum.fl_str_mv |
8ba710f84d5d0c17de493c2b5465e72c 3cfd82b9e14a880f3b3adda885feb409 c3356d2d77c32c29eccc27e7522e14cc |
| bitstream.checksumAlgorithm.fl_str_mv |
MD5 MD5 MD5 |
| repository.name.fl_str_mv |
Repositório Institucional da UFRGS - Universidade Federal do Rio Grande do Sul (UFRGS) |
| repository.mail.fl_str_mv |
|
| _version_ |
1801224548160372736 |