Post on 07-Apr-2016
VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil
Avaliação de Proteção contra Avaliação de Proteção contra Ataques de Negação de Serviço Ataques de Negação de Serviço
Distribuídos utilizando Lista de IPs Distribuídos utilizando Lista de IPs ConfiáveisConfiáveis
Luís Oliveira, Rafael Aschoff, Bruno Lins, Eduardo Feitosa, Djamel Sadok
{lemco,rra,bfol,elf,jamel}@cin.ufpe.br
Grupo de Pesquisa em Redes e Telecomunicações – GPRTCentro de Informática – CInUniversidade Federal de Pernambuco – UFPERecife – Pernambuco, Brasil
2VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil
RoteiroRoteiroIntrodução Solução Proposta Avaliações e ResultadosConsiderações Finais
3VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil
IntroduçãoIntroduçãoAumento crescente de ataques DDoSSofisticação das técnicas de ataquesSeveridade dos problemas causados
4VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil
IntroduçãoIntroduçãoDiversas abordagens de defesa contra ataques DDoS
Filtros, rastreamento de ataques, análises estatísticas
ClassificaçãoSource-endVictim-endIntermediate
5VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil
IntroduçãoIntroduçãoFlash crowds and denial of service attacks [Jaeyeon Jung]
A maioria dos endereços IP que aparecem em um evento flash crowd já apareceram anteriormenteEm contrapartida, apenas uma pequena parte de endereços IPs participantes em um ataque já efetuaram conexão com o servidor
6VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil
Solução Proposta – Trust IP List Solução Proposta – Trust IP List (TIL)(TIL)
Monitoração constante dos fluxos de entrada e saídaModelo de fluxos de dadosGuardar histórico de IPs legítimosPrivilegiar tráfego previamente conhecido
7VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil
Trust IP ListTrust IP List
8VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil
ChkModelChkModelObservação e Classificação
Validar os IPs que chegam ao roteador Detectar ataques
Sockets e Conexões.
9VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil
ChkModel - MChkModel - Módulo de observação ódulo de observação Monitora todo o tráfego de entrada e saída do roteadorModelo de fluxo gerado a partir de estudo da redeEstatísticas da comunicação cliente-servidor coletadas e armazenadas para fluxos e socketsDuas tabelas hash(sockets e conexões)Captura em tempo real e leitura de traces
10VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil
ChkModel - Módulo de ChkModel - Módulo de classificação classificação
Compara as informações armazenadas pelo módulo de observação com os modelos de conexão e sockets legítimosTrabalha com três mensagens:
Mensagem de AtaqueMensagem de Estado NormalLista de Clientes
11VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil
TIT (Trusted IP Table)TIT (Trusted IP Table)Módulo responsável pelo armazenamento e gerenciamento dos endereços IP confiáveis.IP+PortaTimestamp
12VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil
TIT (Trusted IP Table)TIT (Trusted IP Table)
1. Interface de escuta
8. Armazenar dados na tabela
10. Atualizar timestamp e arquivo de configuração
13. Comparar IPs 14. Liberar lista de IPs
18. Enviar portas associadas
12. Estado de ataque
16. Remover IPs da tabela hash
3. Checar estado da rede
15. Requisição de remoção de Ips da tabela
17. Requisição de portas
2. Chegada de novos IPs
4. Estado normal
9. Desatualizada
5. Checar atualizações da tabela hash
6. Arquivo de configuração
7. Atualizada
11. Armazenamento
13VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil
Limitador de BandaLimitador de BandaEnforcementIPF (IP Filter)Política de esvaziamento da fila
14VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil
Avaliações e ResultadosAvaliações e Resultados14 dias contínuos compreendendo a última semana do mês de abril e a primeira semana do mês de maio de 2007 (25/04 a 08/05). 52 PCs desktops, 2 switches com 24 portas 10/100/1000 Mbps e 2 servidores (processador Athlon XP 4200+ 64bits, com 2Gbytes de RAM e 160Gbytes de HDD)
15VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil
Avaliações e ResultadosAvaliações e Resultados
16VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil
Avaliações e ResultadosAvaliações e ResultadosTráfego de Ataque
Script que emprega a ferramenta PackitTrês ataques TCP flooding por horaPacotes de 1 KbyteTaxa entre 500 e 20.000 pacotes por segundo
17VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil
Avaliações e ResultadosAvaliações e ResultadosMétricas de Avaliação
Consumo de processamento e memóriaIPs reincidentesEficácia
18VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil
Resultados [Resultados [Consumo de Consumo de Processamento e Memória Processamento e Memória ]]
0.0
0.5
1.0
1.5
2.0
2.5
3.0
3.5
4.0
4.5
5.0
25/4 26/4 27/4 28/4 29/4 30/4 1/5 2/5 3/5 4/5 5/5 6/5 7/5 8/5Tempo (em dias)
Con
sum
o (%
)
Processamento
Memória
19VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil
Resultados [Resultados [IPs ReincidentesIPs Reincidentes]]
0
2000
4000
6000
8000
10000
12000
26/4 27/4 28/4 29/4 30/4 1/5 2/5 3/5 4/5 5/5 6/5 7/5 8/5Tempo (em dias)
Núm
ero
de IP
s re
inci
dent
es
20VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil
Resultados [Resultados [EficáciaEficácia]]
0
10
20
30
40
50
60
70
15:34
:55
15:35
:20
15:35
:45
15:36
:10
15:36
:35
15:37
:00
15:37
:25
15:37
:50
15:38
:15
15:38
:40
15:39
:05
15:39
:30
15:39
:55
15:40
:20
15:40
:45
15:41
:10
15:41
:35
15:42
:00
15:42
:25
Tempo (em segundos) - Dia 08/05
Paco
tes
Rece
bido
s (x
1000
) Tráfego não Classificado
Tráfego Confiável
21VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil
ConclusãoConclusão
Para os cenários avaliados, a eficácia foi de aproximadamente 76% Baixo consumo dos recursos do sistemaContudo, usuários “legítimos” podem ser penalizados
22VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil
Trabalhos FuturosTrabalhos FuturosEstender a capacidade de análise e classificação do ChkModel para o protocolo UDP e ICMPNovos cenários ainda necessitam ser avaliados para comprovar a eficiência da solução propostaComparar com as outras soluções existentes
VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil
Avaliação de Proteção contra Avaliação de Proteção contra Ataques de Negação de Serviço Ataques de Negação de Serviço
Distribuídos utilizando Lista de IPs Distribuídos utilizando Lista de IPs ConfiáveisConfiáveis
Luís Oliveira, Rafael Aschoff, Bruno Lins, Eduardo Feitosa, Djamel Sadok
{lemco,rra,bfol,elf,jamel}@cin.ufpe.br
Grupo de Pesquisa em Redes e Telecomunicações – GPRTCentro de Informática – CInUniversidade Federal de Pernambuco – UFPERecife – Pernambuco, Brasil