Upload
gzifa
View
24
Download
0
Embed Size (px)
DESCRIPTION
Avaliação de Proteção contra Ataques de Negação de Serviço Distribuídos utilizando Lista de IPs Confiáveis. Luís Oliveira, Rafael Aschoff , Bruno Lins, Eduardo Feitosa, Djamel Sadok {lemco,rra,bfol,elf,jamel}@cin.ufpe.br. Grupo de Pesquisa em Redes e Telecomunicações – GPRT - PowerPoint PPT Presentation
Citation preview
VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil
Avaliação de Proteção contra Avaliação de Proteção contra Ataques de Negação de Serviço Ataques de Negação de Serviço
Distribuídos utilizando Lista de IPs Distribuídos utilizando Lista de IPs ConfiáveisConfiáveis
Luís Oliveira, Rafael Aschoff, Bruno Lins, Eduardo Feitosa, Djamel Sadok
{lemco,rra,bfol,elf,jamel}@cin.ufpe.br
Grupo de Pesquisa em Redes e Telecomunicações – GPRT
Centro de Informática – CIn
Universidade Federal de Pernambuco – UFPE
Recife – Pernambuco, Brasil
2VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil
RoteiroRoteiro
Introdução
Solução Proposta
Avaliações e Resultados
Considerações Finais
Introdução
Solução Proposta
Avaliações e Resultados
Considerações Finais
3VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil
IntroduçãoIntrodução
Aumento crescente de ataques DDoS
Sofisticação das técnicas de ataques
Severidade dos problemas causados
Aumento crescente de ataques DDoS
Sofisticação das técnicas de ataques
Severidade dos problemas causados
4VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil
IntroduçãoIntrodução
Diversas abordagens de defesa contra ataques DDoS
Filtros, rastreamento de ataques, análises estatísticas
ClassificaçãoSource-endVictim-endIntermediate
Diversas abordagens de defesa contra ataques DDoS
Filtros, rastreamento de ataques, análises estatísticas
ClassificaçãoSource-endVictim-endIntermediate
5VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil
IntroduçãoIntrodução
Flash crowds and denial of service attacks [Jaeyeon Jung]
A maioria dos endereços IP que aparecem em um evento flash crowd já apareceram anteriormenteEm contrapartida, apenas uma pequena parte de endereços IPs participantes em um ataque já efetuaram conexão com o servidor
Flash crowds and denial of service attacks [Jaeyeon Jung]
A maioria dos endereços IP que aparecem em um evento flash crowd já apareceram anteriormenteEm contrapartida, apenas uma pequena parte de endereços IPs participantes em um ataque já efetuaram conexão com o servidor
6VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil
Solução Proposta – Trust IP List Solução Proposta – Trust IP List (TIL)(TIL)
Monitoração constante dos fluxos de entrada e saída
Modelo de fluxos de dados
Guardar histórico de IPs legítimos
Privilegiar tráfego previamente conhecido
Monitoração constante dos fluxos de entrada e saída
Modelo de fluxos de dados
Guardar histórico de IPs legítimos
Privilegiar tráfego previamente conhecido
7VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil
Trust IP ListTrust IP List
8VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil
ChkModelChkModel
Observação e ClassificaçãoValidar os IPs que chegam ao roteador Detectar ataques
Sockets e Conexões.
Observação e ClassificaçãoValidar os IPs que chegam ao roteador Detectar ataques
Sockets e Conexões.
9VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil
ChkModel - MChkModel - Módulo de observação ódulo de observação
Monitora todo o tráfego de entrada e saída do roteador
Modelo de fluxo gerado a partir de estudo da rede
Estatísticas da comunicação cliente-servidor coletadas e armazenadas para fluxos e sockets
Duas tabelas hash(sockets e conexões)
Captura em tempo real e leitura de traces
Monitora todo o tráfego de entrada e saída do roteador
Modelo de fluxo gerado a partir de estudo da rede
Estatísticas da comunicação cliente-servidor coletadas e armazenadas para fluxos e sockets
Duas tabelas hash(sockets e conexões)
Captura em tempo real e leitura de traces
10VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil
ChkModel - Módulo de ChkModel - Módulo de classificação classificação
Compara as informações armazenadas pelo módulo de observação com os modelos de conexão e sockets legítimos
Trabalha com três mensagens:Mensagem de AtaqueMensagem de Estado NormalLista de Clientes
Compara as informações armazenadas pelo módulo de observação com os modelos de conexão e sockets legítimos
Trabalha com três mensagens:Mensagem de AtaqueMensagem de Estado NormalLista de Clientes
11VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil
TIT (Trusted IP Table)TIT (Trusted IP Table)
Módulo responsável pelo armazenamento e gerenciamento dos endereços IP confiáveis.
IP+Porta
Timestamp
Módulo responsável pelo armazenamento e gerenciamento dos endereços IP confiáveis.
IP+Porta
Timestamp
12VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil
TIT (Trusted IP Table)TIT (Trusted IP Table)
1. Interface de escuta
8. Armazenar dados na tabela
10. Atualizar timestamp e arquivo de configuração
13. Comparar IPs 14. Liberar lista de IPs
18. Enviar portas associadas
12. Estado de ataque
16. Remover IPs da tabela hash
3. Checar estado da rede
15. Requisição de remoção de Ips da tabela
17. Requisição de portas
2. Chegada de novos IPs
4. Estado normal
9. Desatualizada
5. Checar atualizações da tabela hash
6. Arquivo de configuração
7. Atualizada
11. Armazenamento
13VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil
Limitador de BandaLimitador de Banda
Enforcement
IPF (IP Filter)
Política de esvaziamento da fila
Enforcement
IPF (IP Filter)
Política de esvaziamento da fila
14VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil
Avaliações e ResultadosAvaliações e Resultados
14 dias contínuos compreendendo a última semana do mês de abril e a primeira semana do mês de maio de 2007 (25/04 a 08/05).
52 PCs desktops, 2 switches com 24 portas 10/100/1000 Mbps e 2 servidores (processador Athlon XP 4200+ 64bits, com 2Gbytes de RAM e 160Gbytes de HDD)
14 dias contínuos compreendendo a última semana do mês de abril e a primeira semana do mês de maio de 2007 (25/04 a 08/05).
52 PCs desktops, 2 switches com 24 portas 10/100/1000 Mbps e 2 servidores (processador Athlon XP 4200+ 64bits, com 2Gbytes de RAM e 160Gbytes de HDD)
15VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil
Avaliações e ResultadosAvaliações e Resultados
16VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil
Avaliações e ResultadosAvaliações e Resultados
Tráfego de AtaqueScript que emprega a ferramenta PackitTrês ataques TCP flooding por horaPacotes de 1 KbyteTaxa entre 500 e 20.000 pacotes por segundo
Tráfego de AtaqueScript que emprega a ferramenta PackitTrês ataques TCP flooding por horaPacotes de 1 KbyteTaxa entre 500 e 20.000 pacotes por segundo
17VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil
Avaliações e ResultadosAvaliações e Resultados
Métricas de AvaliaçãoConsumo de processamento e memóriaIPs reincidentesEficácia
Métricas de AvaliaçãoConsumo de processamento e memóriaIPs reincidentesEficácia
18VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil
Resultados [Resultados [Consumo de Consumo de Processamento e Memória Processamento e Memória ]]
0.0
0.5
1.0
1.5
2.0
2.5
3.0
3.5
4.0
4.5
5.0
25/4 26/4 27/4 28/4 29/4 30/4 1/5 2/5 3/5 4/5 5/5 6/5 7/5 8/5
Tempo (em dias)
Co
ns
um
o (
%)
Processamento
Memória
19VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil
Resultados [Resultados [IPs ReincidentesIPs Reincidentes]]
0
2000
4000
6000
8000
10000
12000
26/4 27/4 28/4 29/4 30/4 1/5 2/5 3/5 4/5 5/5 6/5 7/5 8/5Tempo (em dias)
Nú
mer
o d
e IP
s re
inci
den
tes
20VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil
Resultados [Resultados [EficáciaEficácia]]
0
10
20
30
40
50
60
70
15:34
:55
15:35
:20
15:35
:45
15:36
:10
15:36
:35
15:37
:00
15:37
:25
15:37
:50
15:38
:15
15:38
:40
15:39
:05
15:39
:30
15:39
:55
15:40
:20
15:40
:45
15:41
:10
15:41
:35
15:42
:00
15:42
:25
Tempo (em segundos) - Dia 08/05
Pac
ote
s R
eceb
ido
s (x
1000
) Tráfego não Classificado
Tráfego Confiável
21VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil
ConclusãoConclusão
Para os cenários avaliados, a eficácia foi de aproximadamente 76%
Baixo consumo dos recursos do sistema
Contudo, usuários “legítimos” podem ser penalizados
Para os cenários avaliados, a eficácia foi de aproximadamente 76%
Baixo consumo dos recursos do sistema
Contudo, usuários “legítimos” podem ser penalizados
22VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil
Trabalhos FuturosTrabalhos Futuros
Estender a capacidade de análise e classificação do ChkModel para o protocolo UDP e ICMP
Novos cenários ainda necessitam ser avaliados para comprovar a eficiência da solução proposta
Comparar com as outras soluções existentes
Estender a capacidade de análise e classificação do ChkModel para o protocolo UDP e ICMP
Novos cenários ainda necessitam ser avaliados para comprovar a eficiência da solução proposta
Comparar com as outras soluções existentes
VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil
Avaliação de Proteção contra Avaliação de Proteção contra Ataques de Negação de Serviço Ataques de Negação de Serviço
Distribuídos utilizando Lista de IPs Distribuídos utilizando Lista de IPs ConfiáveisConfiáveis
Luís Oliveira, Rafael Aschoff, Bruno Lins, Eduardo Feitosa, Djamel Sadok
{lemco,rra,bfol,elf,jamel}@cin.ufpe.br
Grupo de Pesquisa em Redes e Telecomunicações – GPRT
Centro de Informática – CIn
Universidade Federal de Pernambuco – UFPE
Recife – Pernambuco, Brasil