Offloading real-time DDoS attack detection to programmable data planes

Detalhes bibliográficos
Autor(a) principal: Lapolli, Ângelo Cardoso
Data de Publicação: 2019
Tipo de documento: Dissertação
Idioma: eng
Título da fonte: Biblioteca Digital de Teses e Dissertações da UFRGS
Texto Completo: http://hdl.handle.net/10183/204658
Resumo: Nos últimos anos, ataques distribuídos de negação de serviço vêm crescendo tanto em frequência quanto em volume de tráfego com surtos atingindo taxas da ordem de terabits por segundo e compremetendo a disponibilidade de infraestruturas supostamente resilientes (e.g., DNS e hospedagem Web na nuvem). Na prática, as soluções de detecção existentes valem-se de uma combinação de mecanismos, como amostragem de pacotes e transmissão dos dados coletados a um software externo, que dificulta a obtenção de uma boa relaçao entre acurácia (maior é melhor), consumo de recursos e latência (menor é melhor). Planos de dados programáveis emergem como uma abordagem promissora para ajudar a cumprir esses requisitos, visto que dispositivos comutadores de pacotes podem ser configurados para executar algoritmos e examinar o tráfego em velocidade de linha. Neste trabalho, exploramos primitivas em P4 a fim de projetar um mecanismo de inspeção de tráfego com baixa granularidade, baixo consumo de recursos e baixa latência para a detecção de ataques distribuídos de negação de serviço em tempo real. A nossa proposta – a primeira a ser completamente implementada em plano de dados – contribui para lançar luz sobre os desafios da implementação de lógica de segurança sofisticada nesse contexto, dado que, para operar a altas taxas de transferência, a inspeção (e o processamento em geral) de pacotes está sujeita a um orçamento de tempo reduzido (dezenas de nanossegundos) e um espaço de memória limitado (da ordem de dezenas de megabytes). Nós avaliamos o mecanismo proposto usando capturas de pacotes da CAIDA. Os resultados mostram a detecção de ataques exclusivamente a partir do plano de dados com alta acurácia (98,2%) e baixa latência ( 250 ms) mantendo o consumo de recursos reduzido (dezenas de kilobytes de SRAM por link de 1 Gbps e poucas centenas de entradas TCAM).
id URGS_21a2ebcd5ea887d65ba6ce7f1173aa3f
oai_identifier_str oai:www.lume.ufrgs.br:10183/204658
network_acronym_str URGS
network_name_str Biblioteca Digital de Teses e Dissertações da UFRGS
repository_id_str 1853
spelling Lapolli, Ângelo CardosoGaspary, Luciano Paschoal2020-01-21T04:15:08Z2019http://hdl.handle.net/10183/204658001110525Nos últimos anos, ataques distribuídos de negação de serviço vêm crescendo tanto em frequência quanto em volume de tráfego com surtos atingindo taxas da ordem de terabits por segundo e compremetendo a disponibilidade de infraestruturas supostamente resilientes (e.g., DNS e hospedagem Web na nuvem). Na prática, as soluções de detecção existentes valem-se de uma combinação de mecanismos, como amostragem de pacotes e transmissão dos dados coletados a um software externo, que dificulta a obtenção de uma boa relaçao entre acurácia (maior é melhor), consumo de recursos e latência (menor é melhor). Planos de dados programáveis emergem como uma abordagem promissora para ajudar a cumprir esses requisitos, visto que dispositivos comutadores de pacotes podem ser configurados para executar algoritmos e examinar o tráfego em velocidade de linha. Neste trabalho, exploramos primitivas em P4 a fim de projetar um mecanismo de inspeção de tráfego com baixa granularidade, baixo consumo de recursos e baixa latência para a detecção de ataques distribuídos de negação de serviço em tempo real. A nossa proposta – a primeira a ser completamente implementada em plano de dados – contribui para lançar luz sobre os desafios da implementação de lógica de segurança sofisticada nesse contexto, dado que, para operar a altas taxas de transferência, a inspeção (e o processamento em geral) de pacotes está sujeita a um orçamento de tempo reduzido (dezenas de nanossegundos) e um espaço de memória limitado (da ordem de dezenas de megabytes). Nós avaliamos o mecanismo proposto usando capturas de pacotes da CAIDA. Os resultados mostram a detecção de ataques exclusivamente a partir do plano de dados com alta acurácia (98,2%) e baixa latência ( 250 ms) mantendo o consumo de recursos reduzido (dezenas de kilobytes de SRAM por link de 1 Gbps e poucas centenas de entradas TCAM).In recent years, Distributed Denial-of-Service (DDoS) attacks have escalated both in frequency and traffic volume, with outbreaks reaching rates up to the order of terabits per second and compromising the availability of supposedly highly resilient infrastructure (e.g., DNS and cloud-based web hosting). The reality is that existing detection solutions resort to a combination of mechanisms, such as packet sampling and transmission of gathered data to external software, which makes it very difficult (if at all possible) to reach a good compromise for accuracy (higher is better), resource usage footprint, and latency (lower is better). Data plane programmability has emerged as a promising approach to help meeting these requirements as forwarding devices can be configured to execute algorithms and examine traffic at line rate. In this thesis, we explore P4 primitives to design a fine-grained, low-footprint, and low-latency traffic inspection mechanism for real-time DDoS attack detection. Our proposal – the first to be fully in-network – contributes to shed light on the challenges to implement sophisticated security logic on forwarding devices given that, to operate at high throughput, the inspection (and overall processing) of packets is subject to a small time budget (dozens of nanoseconds) and limited memory space (in the order of megabytes). We evaluate the proposed mechanism using packet traces from CAIDA. The results show that it can detect DDoS attacks entirely within the data plane with high accuracy (98.2%) and low latency ( 250 ms) while keeping device resource usage low (dozens of kilobytes in SRAM per 1 Gbps link and a few hundred TCAM entries).application/pdfengRedes : ComputadoresSeguranca : Redes : ComputadoresNetwork SecurityProgrammable Data PlanesDDoS AttacksOffloading real-time DDoS attack detection to programmable data planesDelegando a detecção de ataques distribuídos de negação de serviço a planos de dados programáveis info:eu-repo/semantics/publishedVersioninfo:eu-repo/semantics/masterThesisUniversidade Federal do Rio Grande do SulInstituto de InformáticaPrograma de Pós-Graduação em ComputaçãoPorto Alegre, BR-RS2019mestradoinfo:eu-repo/semantics/openAccessreponame:Biblioteca Digital de Teses e Dissertações da UFRGSinstname:Universidade Federal do Rio Grande do Sul (UFRGS)instacron:UFRGSTEXT001110525.pdf.txt001110525.pdf.txtExtracted Texttext/plain124201http://www.lume.ufrgs.br/bitstream/10183/204658/2/001110525.pdf.txt01973f9e42c830b75dbaee390d34cf50MD52ORIGINAL001110525.pdfTexto completo (inglês)application/pdf751131http://www.lume.ufrgs.br/bitstream/10183/204658/1/001110525.pdfb743b2d5439e77c9aed1f709071a7b12MD5110183/2046582021-05-26 04:33:30.438206oai:www.lume.ufrgs.br:10183/204658Biblioteca Digital de Teses e Dissertaçõeshttps://lume.ufrgs.br/handle/10183/2PUBhttps://lume.ufrgs.br/oai/requestlume@ufrgs.br||lume@ufrgs.bropendoar:18532021-05-26T07:33:30Biblioteca Digital de Teses e Dissertações da UFRGS - Universidade Federal do Rio Grande do Sul (UFRGS)false
dc.title.pt_BR.fl_str_mv Offloading real-time DDoS attack detection to programmable data planes
dc.title.alternative.en.fl_str_mv Delegando a detecção de ataques distribuídos de negação de serviço a planos de dados programáveis
title Offloading real-time DDoS attack detection to programmable data planes
spellingShingle Offloading real-time DDoS attack detection to programmable data planes
Lapolli, Ângelo Cardoso
Redes : Computadores
Seguranca : Redes : Computadores
Network Security
Programmable Data Planes
DDoS Attacks
title_short Offloading real-time DDoS attack detection to programmable data planes
title_full Offloading real-time DDoS attack detection to programmable data planes
title_fullStr Offloading real-time DDoS attack detection to programmable data planes
title_full_unstemmed Offloading real-time DDoS attack detection to programmable data planes
title_sort Offloading real-time DDoS attack detection to programmable data planes
author Lapolli, Ângelo Cardoso
author_facet Lapolli, Ângelo Cardoso
author_role author
dc.contributor.author.fl_str_mv Lapolli, Ângelo Cardoso
dc.contributor.advisor1.fl_str_mv Gaspary, Luciano Paschoal
contributor_str_mv Gaspary, Luciano Paschoal
dc.subject.por.fl_str_mv Redes : Computadores
Seguranca : Redes : Computadores
topic Redes : Computadores
Seguranca : Redes : Computadores
Network Security
Programmable Data Planes
DDoS Attacks
dc.subject.eng.fl_str_mv Network Security
Programmable Data Planes
DDoS Attacks
description Nos últimos anos, ataques distribuídos de negação de serviço vêm crescendo tanto em frequência quanto em volume de tráfego com surtos atingindo taxas da ordem de terabits por segundo e compremetendo a disponibilidade de infraestruturas supostamente resilientes (e.g., DNS e hospedagem Web na nuvem). Na prática, as soluções de detecção existentes valem-se de uma combinação de mecanismos, como amostragem de pacotes e transmissão dos dados coletados a um software externo, que dificulta a obtenção de uma boa relaçao entre acurácia (maior é melhor), consumo de recursos e latência (menor é melhor). Planos de dados programáveis emergem como uma abordagem promissora para ajudar a cumprir esses requisitos, visto que dispositivos comutadores de pacotes podem ser configurados para executar algoritmos e examinar o tráfego em velocidade de linha. Neste trabalho, exploramos primitivas em P4 a fim de projetar um mecanismo de inspeção de tráfego com baixa granularidade, baixo consumo de recursos e baixa latência para a detecção de ataques distribuídos de negação de serviço em tempo real. A nossa proposta – a primeira a ser completamente implementada em plano de dados – contribui para lançar luz sobre os desafios da implementação de lógica de segurança sofisticada nesse contexto, dado que, para operar a altas taxas de transferência, a inspeção (e o processamento em geral) de pacotes está sujeita a um orçamento de tempo reduzido (dezenas de nanossegundos) e um espaço de memória limitado (da ordem de dezenas de megabytes). Nós avaliamos o mecanismo proposto usando capturas de pacotes da CAIDA. Os resultados mostram a detecção de ataques exclusivamente a partir do plano de dados com alta acurácia (98,2%) e baixa latência ( 250 ms) mantendo o consumo de recursos reduzido (dezenas de kilobytes de SRAM por link de 1 Gbps e poucas centenas de entradas TCAM).
publishDate 2019
dc.date.issued.fl_str_mv 2019
dc.date.accessioned.fl_str_mv 2020-01-21T04:15:08Z
dc.type.status.fl_str_mv info:eu-repo/semantics/publishedVersion
dc.type.driver.fl_str_mv info:eu-repo/semantics/masterThesis
format masterThesis
status_str publishedVersion
dc.identifier.uri.fl_str_mv http://hdl.handle.net/10183/204658
dc.identifier.nrb.pt_BR.fl_str_mv 001110525
url http://hdl.handle.net/10183/204658
identifier_str_mv 001110525
dc.language.iso.fl_str_mv eng
language eng
dc.rights.driver.fl_str_mv info:eu-repo/semantics/openAccess
eu_rights_str_mv openAccess
dc.format.none.fl_str_mv application/pdf
dc.source.none.fl_str_mv reponame:Biblioteca Digital de Teses e Dissertações da UFRGS
instname:Universidade Federal do Rio Grande do Sul (UFRGS)
instacron:UFRGS
instname_str Universidade Federal do Rio Grande do Sul (UFRGS)
instacron_str UFRGS
institution UFRGS
reponame_str Biblioteca Digital de Teses e Dissertações da UFRGS
collection Biblioteca Digital de Teses e Dissertações da UFRGS
bitstream.url.fl_str_mv http://www.lume.ufrgs.br/bitstream/10183/204658/2/001110525.pdf.txt
http://www.lume.ufrgs.br/bitstream/10183/204658/1/001110525.pdf
bitstream.checksum.fl_str_mv 01973f9e42c830b75dbaee390d34cf50
b743b2d5439e77c9aed1f709071a7b12
bitstream.checksumAlgorithm.fl_str_mv MD5
MD5
repository.name.fl_str_mv Biblioteca Digital de Teses e Dissertações da UFRGS - Universidade Federal do Rio Grande do Sul (UFRGS)
repository.mail.fl_str_mv lume@ufrgs.br||lume@ufrgs.br
_version_ 1810085514695409664

Registros relacionados