VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil

Avaliação de Proteção contra Avaliação de Proteção contra Ataques de Negação de Serviço Ataques de Negação de Serviço

Distribuídos utilizando Lista de IPs Distribuídos utilizando Lista de IPs ConfiáveisConfiáveis

Luís Oliveira, Rafael Aschoff, Bruno Lins, Eduardo Feitosa, Djamel Sadok

{lemco,rra,bfol,elf,jamel}@cin.ufpe.br

Grupo de Pesquisa em Redes e Telecomunicações – GPRT

Centro de Informática – CIn

Universidade Federal de Pernambuco – UFPE

Recife – Pernambuco, Brasil

2VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil

RoteiroRoteiro

Introdução

Solução Proposta

Avaliações e Resultados

Considerações Finais

Introdução

Solução Proposta

Avaliações e Resultados

Considerações Finais

3VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil

IntroduçãoIntrodução

Aumento crescente de ataques DDoS

Sofisticação das técnicas de ataques

Severidade dos problemas causados

Aumento crescente de ataques DDoS

Sofisticação das técnicas de ataques

Severidade dos problemas causados

4VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil

IntroduçãoIntrodução

Diversas abordagens de defesa contra ataques DDoS

Filtros, rastreamento de ataques, análises estatísticas

ClassificaçãoSource-endVictim-endIntermediate

Diversas abordagens de defesa contra ataques DDoS

Filtros, rastreamento de ataques, análises estatísticas

ClassificaçãoSource-endVictim-endIntermediate

5VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil

IntroduçãoIntrodução

Flash crowds and denial of service attacks [Jaeyeon Jung]

A maioria dos endereços IP que aparecem em um evento flash crowd já apareceram anteriormenteEm contrapartida, apenas uma pequena parte de endereços IPs participantes em um ataque já efetuaram conexão com o servidor

Flash crowds and denial of service attacks [Jaeyeon Jung]

A maioria dos endereços IP que aparecem em um evento flash crowd já apareceram anteriormenteEm contrapartida, apenas uma pequena parte de endereços IPs participantes em um ataque já efetuaram conexão com o servidor

6VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil

Solução Proposta – Trust IP List Solução Proposta – Trust IP List (TIL)(TIL)

Monitoração constante dos fluxos de entrada e saída

Modelo de fluxos de dados

Guardar histórico de IPs legítimos

Privilegiar tráfego previamente conhecido

Monitoração constante dos fluxos de entrada e saída

Modelo de fluxos de dados

Guardar histórico de IPs legítimos

Privilegiar tráfego previamente conhecido

7VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil

Trust IP ListTrust IP List

8VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil

ChkModelChkModel

Observação e ClassificaçãoValidar os IPs que chegam ao roteador Detectar ataques

Sockets e Conexões.

Observação e ClassificaçãoValidar os IPs que chegam ao roteador Detectar ataques

Sockets e Conexões.

9VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil

ChkModel - MChkModel - Módulo de observação ódulo de observação

Monitora todo o tráfego de entrada e saída do roteador

Modelo de fluxo gerado a partir de estudo da rede

Estatísticas da comunicação cliente-servidor coletadas e armazenadas para fluxos e sockets

Duas tabelas hash(sockets e conexões)

Captura em tempo real e leitura de traces

Monitora todo o tráfego de entrada e saída do roteador

Modelo de fluxo gerado a partir de estudo da rede

Estatísticas da comunicação cliente-servidor coletadas e armazenadas para fluxos e sockets

Duas tabelas hash(sockets e conexões)

Captura em tempo real e leitura de traces

10VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil

ChkModel - Módulo de ChkModel - Módulo de classificação classificação

Compara as informações armazenadas pelo módulo de observação com os modelos de conexão e sockets legítimos

Trabalha com três mensagens:Mensagem de AtaqueMensagem de Estado NormalLista de Clientes

Compara as informações armazenadas pelo módulo de observação com os modelos de conexão e sockets legítimos

Trabalha com três mensagens:Mensagem de AtaqueMensagem de Estado NormalLista de Clientes

11VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil

TIT (Trusted IP Table)TIT (Trusted IP Table)

Módulo responsável pelo armazenamento e gerenciamento dos endereços IP confiáveis.

IP+Porta

Timestamp

Módulo responsável pelo armazenamento e gerenciamento dos endereços IP confiáveis.

IP+Porta

Timestamp

12VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil

TIT (Trusted IP Table)TIT (Trusted IP Table)

1. Interface de escuta

8. Armazenar dados na tabela

10. Atualizar timestamp e arquivo de configuração

13. Comparar IPs 14. Liberar lista de IPs

18. Enviar portas associadas

12. Estado de ataque

16. Remover IPs da tabela hash

3. Checar estado da rede

15. Requisição de remoção de Ips da tabela

17. Requisição de portas

2. Chegada de novos IPs

4. Estado normal

9. Desatualizada

5. Checar atualizações da tabela hash

6. Arquivo de configuração

7. Atualizada

11. Armazenamento

13VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil

Limitador de BandaLimitador de Banda

Enforcement

IPF (IP Filter)

Política de esvaziamento da fila

Enforcement

IPF (IP Filter)

Política de esvaziamento da fila

14VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil

Avaliações e ResultadosAvaliações e Resultados

14 dias contínuos compreendendo a última semana do mês de abril e a primeira semana do mês de maio de 2007 (25/04 a 08/05).

52 PCs desktops, 2 switches com 24 portas 10/100/1000 Mbps e 2 servidores (processador Athlon XP 4200+ 64bits, com 2Gbytes de RAM e 160Gbytes de HDD)

14 dias contínuos compreendendo a última semana do mês de abril e a primeira semana do mês de maio de 2007 (25/04 a 08/05).

52 PCs desktops, 2 switches com 24 portas 10/100/1000 Mbps e 2 servidores (processador Athlon XP 4200+ 64bits, com 2Gbytes de RAM e 160Gbytes de HDD)

15VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil

Avaliações e ResultadosAvaliações e Resultados

16VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil

Avaliações e ResultadosAvaliações e Resultados

Tráfego de AtaqueScript que emprega a ferramenta PackitTrês ataques TCP flooding por horaPacotes de 1 KbyteTaxa entre 500 e 20.000 pacotes por segundo

Tráfego de AtaqueScript que emprega a ferramenta PackitTrês ataques TCP flooding por horaPacotes de 1 KbyteTaxa entre 500 e 20.000 pacotes por segundo

17VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil

Avaliações e ResultadosAvaliações e Resultados

Métricas de AvaliaçãoConsumo de processamento e memóriaIPs reincidentesEficácia

Métricas de AvaliaçãoConsumo de processamento e memóriaIPs reincidentesEficácia

18VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil

Resultados [Resultados [Consumo de Consumo de Processamento e Memória Processamento e Memória ]]

0.0

0.5

1.0

1.5

2.0

2.5

3.0

3.5

4.0

4.5

5.0

25/4 26/4 27/4 28/4 29/4 30/4 1/5 2/5 3/5 4/5 5/5 6/5 7/5 8/5

Tempo (em dias)

Co

ns

um

o (

%)

Processamento

Memória

19VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil

Resultados [Resultados [IPs ReincidentesIPs Reincidentes]]

0

2000

4000

6000

8000

10000

12000

26/4 27/4 28/4 29/4 30/4 1/5 2/5 3/5 4/5 5/5 6/5 7/5 8/5Tempo (em dias)

Nú

mer

o d

e IP

s re

inci

den

tes

20VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil

Resultados [Resultados [EficáciaEficácia]]

0

10

20

30

40

50

60

70

15:34

:55

15:35

:20

15:35

:45

15:36

:10

15:36

:35

15:37

:00

15:37

:25

15:37

:50

15:38

:15

15:38

:40

15:39

:05

15:39

:30

15:39

:55

15:40

:20

15:40

:45

15:41

:10

15:41

:35

15:42

:00

15:42

:25

Tempo (em segundos) - Dia 08/05

Pac

ote

s R

eceb

ido

s (x

1000

) Tráfego não Classificado

Tráfego Confiável

21VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil

ConclusãoConclusão

Para os cenários avaliados, a eficácia foi de aproximadamente 76%

Baixo consumo dos recursos do sistema

Contudo, usuários “legítimos” podem ser penalizados

Para os cenários avaliados, a eficácia foi de aproximadamente 76%

Baixo consumo dos recursos do sistema

Contudo, usuários “legítimos” podem ser penalizados

22VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil

Trabalhos FuturosTrabalhos Futuros

Estender a capacidade de análise e classificação do ChkModel para o protocolo UDP e ICMP

Novos cenários ainda necessitam ser avaliados para comprovar a eficiência da solução proposta

Comparar com as outras soluções existentes

Estender a capacidade de análise e classificação do ChkModel para o protocolo UDP e ICMP

Novos cenários ainda necessitam ser avaliados para comprovar a eficiência da solução proposta

Comparar com as outras soluções existentes

VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil

Avaliação de Proteção contra Avaliação de Proteção contra Ataques de Negação de Serviço Ataques de Negação de Serviço

Distribuídos utilizando Lista de IPs Distribuídos utilizando Lista de IPs ConfiáveisConfiáveis

Luís Oliveira, Rafael Aschoff, Bruno Lins, Eduardo Feitosa, Djamel Sadok

{lemco,rra,bfol,elf,jamel}@cin.ufpe.br

Grupo de Pesquisa em Redes e Telecomunicações – GPRT

Centro de Informática – CIn

Universidade Federal de Pernambuco – UFPE

Recife – Pernambuco, Brasil