vii simpósio brasileiro em segurança da informação e de sistemas computacionais rj - brasil...

VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil

Avaliação de Proteção contra Avaliação de Proteção contra Ataques de Negação de Serviço Ataques de Negação de Serviço

Distribuídos utilizando Lista de IPs Distribuídos utilizando Lista de IPs ConfiáveisConfiáveis

Luís Oliveira, Rafael Aschoff, Bruno Lins, Eduardo Feitosa, Djamel Sadok

{lemco,rra,bfol,elf,jamel}@cin.ufpe.br

Grupo de Pesquisa em Redes e Telecomunicações – GPRTCentro de Informática – CInUniversidade Federal de Pernambuco – UFPERecife – Pernambuco, Brasil

2VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil

RoteiroRoteiroIntrodução Solução Proposta Avaliações e ResultadosConsiderações Finais


IntroduçãoIntroduçãoAumento crescente de ataques DDoSSofisticação das técnicas de ataquesSeveridade dos problemas causados


IntroduçãoIntroduçãoDiversas abordagens de defesa contra ataques DDoS

Filtros, rastreamento de ataques, análises estatísticas

ClassificaçãoSource-endVictim-endIntermediate


IntroduçãoIntroduçãoFlash crowds and denial of service attacks [Jaeyeon Jung]

A maioria dos endereços IP que aparecem em um evento flash crowd já apareceram anteriormenteEm contrapartida, apenas uma pequena parte de endereços IPs participantes em um ataque já efetuaram conexão com o servidor


Solução Proposta – Trust IP List Solução Proposta – Trust IP List (TIL)(TIL)

Monitoração constante dos fluxos de entrada e saídaModelo de fluxos de dadosGuardar histórico de IPs legítimosPrivilegiar tráfego previamente conhecido


Trust IP ListTrust IP List


ChkModelChkModelObservação e Classificação

Validar os IPs que chegam ao roteador Detectar ataques

Sockets e Conexões.


ChkModel - MChkModel - Módulo de observação ódulo de observação Monitora todo o tráfego de entrada e saída do roteadorModelo de fluxo gerado a partir de estudo da redeEstatísticas da comunicação cliente-servidor coletadas e armazenadas para fluxos e socketsDuas tabelas hash(sockets e conexões)Captura em tempo real e leitura de traces


ChkModel - Módulo de ChkModel - Módulo de classificação classificação

Compara as informações armazenadas pelo módulo de observação com os modelos de conexão e sockets legítimosTrabalha com três mensagens:

Mensagem de AtaqueMensagem de Estado NormalLista de Clientes


TIT (Trusted IP Table)TIT (Trusted IP Table)Módulo responsável pelo armazenamento e gerenciamento dos endereços IP confiáveis.IP+PortaTimestamp


TIT (Trusted IP Table)TIT (Trusted IP Table)

1. Interface de escuta

8. Armazenar dados na tabela

10. Atualizar timestamp e arquivo de configuração

13. Comparar IPs 14. Liberar lista de IPs

18. Enviar portas associadas

12. Estado de ataque

16. Remover IPs da tabela hash

3. Checar estado da rede

15. Requisição de remoção de Ips da tabela

17. Requisição de portas

2. Chegada de novos IPs

4. Estado normal

9. Desatualizada

5. Checar atualizações da tabela hash

6. Arquivo de configuração

7. Atualizada

11. Armazenamento


Limitador de BandaLimitador de BandaEnforcementIPF (IP Filter)Política de esvaziamento da fila


Avaliações e ResultadosAvaliações e Resultados14 dias contínuos compreendendo a última semana do mês de abril e a primeira semana do mês de maio de 2007 (25/04 a 08/05). 52 PCs desktops, 2 switches com 24 portas 10/100/1000 Mbps e 2 servidores (processador Athlon XP 4200+ 64bits, com 2Gbytes de RAM e 160Gbytes de HDD)


Avaliações e ResultadosAvaliações e Resultados


Avaliações e ResultadosAvaliações e ResultadosTráfego de Ataque

Script que emprega a ferramenta PackitTrês ataques TCP flooding por horaPacotes de 1 KbyteTaxa entre 500 e 20.000 pacotes por segundo


Avaliações e ResultadosAvaliações e ResultadosMétricas de Avaliação

Consumo de processamento e memóriaIPs reincidentesEficácia


Resultados [Resultados [Consumo de Consumo de Processamento e Memória Processamento e Memória ]]

0.0

0.5

1.0

1.5

2.0

2.5

3.0

3.5

4.0

4.5

5.0

25/4 26/4 27/4 28/4 29/4 30/4 1/5 2/5 3/5 4/5 5/5 6/5 7/5 8/5Tempo (em dias)

Con

sum

o (%

)

Processamento

Memória


Resultados [Resultados [IPs ReincidentesIPs Reincidentes]]

0

2000

4000

6000

8000

10000

12000

26/4 27/4 28/4 29/4 30/4 1/5 2/5 3/5 4/5 5/5 6/5 7/5 8/5Tempo (em dias)

Núm

ero

de IP

s re

inci

dent

es


Resultados [Resultados [EficáciaEficácia]]

0

10

20

30

40

50

60

70

15:34

:55

15:35

:20

15:35

:45

15:36

:10

15:36

:35

15:37

:00

15:37

:25

15:37

:50

15:38

:15

15:38

:40

15:39

:05

15:39

:30

15:39

:55

15:40

:20

15:40

:45

15:41

:10

15:41

:35

15:42

:00

15:42

:25

Tempo (em segundos) - Dia 08/05

Paco

tes

Rece

bido

s (x

1000

) Tráfego não Classificado

Tráfego Confiável


ConclusãoConclusão

Para os cenários avaliados, a eficácia foi de aproximadamente 76% Baixo consumo dos recursos do sistemaContudo, usuários “legítimos” podem ser penalizados


Trabalhos FuturosTrabalhos FuturosEstender a capacidade de análise e classificação do ChkModel para o protocolo UDP e ICMPNovos cenários ainda necessitam ser avaliados para comprovar a eficiência da solução propostaComparar com as outras soluções existentes

VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil

Avaliação de Proteção contra Avaliação de Proteção contra Ataques de Negação de Serviço Ataques de Negação de Serviço

Distribuídos utilizando Lista de IPs Distribuídos utilizando Lista de IPs ConfiáveisConfiáveis

Luís Oliveira, Rafael Aschoff, Bruno Lins, Eduardo Feitosa, Djamel Sadok

{lemco,rra,bfol,elf,jamel}@cin.ufpe.br

Grupo de Pesquisa em Redes e Telecomunicações – GPRTCentro de Informática – CInUniversidade Federal de Pernambuco – UFPERecife – Pernambuco, Brasil

vii simpósio brasileiro em segurança da informação e de sistemas computacionais rj - brasil...

Documents