Detecção e Mitigação de Ataque de Negação de Serviço Distribuído em Redes Centradas no Conteúdo.

Mestrando: Nilton F. S. Seixas

Orientador Prof. Dr. Leobino N. Sampaio

NetCafé

<Janeiro de 2017>1

Sumário

● Contexto● Negação de serviço em CCN● Ambiente de simulação● Modelo proposto

2

Contexto● A arquitetura atual da Internet

○ Projetada na década de 60○ Demanda por compartilhamento de recursos

● O perfil dos usuários da Internet mudou○ Comércio, redes sociais, mídia digital etc,

● Reparos foram feitos para abranger tal demanda○ Necessidade por uma nova arquitetura

3

Contexto● Redes Centradas na Informação - RCI

○ DONA, TRIAD, 4WARD, CDN, PERSUIT, CCN e etc

● Content-Centric-Network(CCN) é uma abordagem de RCI de destaque ○ Introduzida por JACOBSON et al.,2009○ Foca na entrega do conteúdo, não importando a sua

localização.○ Características de uma CCN

■ Três estruturas básicas: Content Store(CS), Pending Interest Table(PIT) e Forward Information Base(FIB)

■ Três entidades básicas: Produtor, Consumidor eroteador

4

Contexto● Pacotes de interesses

○ Manifestação por uma parte de conteúdo

● Pacotes de dados○ Contém a parte de conteúdo desejada.

● Estrutura de nomes hierárquica○ “prefixo” + “sufixo”

■ ex. youtube/dvd/metalica/parte1

● Consumidor produz a demanda da rede ○ Produtor fornece os dados e resolve a demanda○ Roteador resolve a demanda da rede

5

Contexto● CS - Content Store

○ Cache do nó○ Armazena pacotes de dados

● PIT - Pending Interest Table○ Armazena interesses a serem resolvidos

● FIB - Forward Information Base○ Armazena informações de encaminhamento por

prefixo

6

ContextoFuncionamento da CCN

7Funcionamento básico de uma rede CCN. O Consumidor envia um interesse a um produtor. O roteador adiciona na PIT o interesse e o encaminha ao produtor

ContextoFuncionamento da CCN

8Funcionamento básico de uma rede CCN. O produtor envia um pacote de dado. Através da informação na PIT, o roteador consegue enviar o pacote para o consumidor.

ContextoFuncionamento da CCN

9Funcionamento básico de uma rede CCN. Ao enviar o pacote de dado para o consumidor, o roteador remove da PIT a referência ao interesse satisfeito

Negação de serviço em CCN.

● Tipos de ataques identificados○ Poluição de Cache○ Inundação de Pacotes de Interesse

● Poluição de cache○ Explora a cache dos roteadores

● Inundação de pacotes de interesses○ Explora a PIT dos roteadores

10

Negação de serviço em CCN

● Poluição de cache○ Pacote Corrompido (GASTI et al., 2013)

■ Pacote com assinatura inválida ■ Pacotes gerados com chaves diferentes do que

foi publicado○ Estratégia do adversário

■ Fazer com que roteadores armazenem pacotes corrompidos

■ Satisfazer interesses com tais pacotes

11

Negação de serviço em CCN

● Inundação de Pacotes de Interesse(GASTI et al., 2013)○ Capacidade máxima da PIT é alcançada

■ Roteadores ficam inaptos a processar interesses■ Interesses não resolvidos permanecem na PIT■ A Inundação impede que interesses legítimos

sejam resolvidos

● Interest Flooding Attack — IFA(WANG et al., 2014)

12

IFA

13A PIT dos roteadores localizados entre o Produtor e atacante ficam inundadas de interesses

IFA

14Ao atingir a capacidade da PIT, os roteadores ficam inaptos a processar outros interesses

IFA

15Outro efeito do ataque. Os produtores ficam impossibilitados de satisfazer interesses por atingir sua capacidade computacional

16

IFA

● Estratégia de IFA ○ Por conteúdo inexistente

■ “youtube/” + “fakesufix”

● Alvos○ Roteadores○ Consumidores

Ambiente de simulação

● Uma rede CCN com topologia Abilene.

○ 13 roteadores para o Backbone da rede○ 26 roteadores para usuários○ 130 consumidores○ 26 adversários○ Roteadores conectados com enlaces de 100gbps ○ Roteadores conectados a usuários e atacantes com

enlaces de 100mbps

17

Ambiente de simulação

18

Imagem adaptada de shttps://www.internet2.edu/media/medialibrary/2016/10/06/I2-Network-Infrastructure-Topology-All-201610_Yjej6o7.pdf. Topologia da rede Ip Abilene. As arestas representam os enlaces, e os vértices representam os roteadores, compondo o backbone da rede.

Ambiente de simulação

19Captura de tela do simulador OMNet++. Essa imagem representa uma rede CCN com rede Abilene implementada através do OMNet++.

Ambiente de simulação

20Captura de tela do simulador OMNet++. Nesta imagem é possível ver entidades da rede CCN: Produtor, consumidres e atacantes

Modelo Proposto

● Cooperação entre produtores e roteadores○ Roteadores desconhecem interesses falsos○ Produtores conhecem.

● Produtores armazenam uma lista de nomes resolvíveis○ Roteadores recebem essa lista.○ Limpam suas PITs e Filtram futuros Pacotes.

● Propagação da lista○ Roteadores propagam a lista até a borda○ Impede que pacotes falsos adentrem a rede

21

Modelo PropostoDetecção

● Detecção do ataque em todos os roteadores○ Limiar de detecção por prefixo armazenado na FIB○ Cada roteador determina seus limiares

● Exemplo: Chegada de 5 interesses do prefixo A e 2 do prefixo B.

22

Prefixo Qtd % Pico

A 5 0.5 0.5

B 2 0.2 0.2

Modelo PropostoDetecção

● Exemplo: Saída de 5 interesses do prefixo A e 1 do prefixo B.

23

Prefixo Qtd % Pico

A 0 0.0 0.5

B 1 0.1 0.2

Modelo PropostoMitigação

● Produtores respondem o alarme com a lista

● O roteador mais próximo desencadeia ou não a mitigação.○ Falso positivo - Não há interesses falsos○ Ataque - Pelo menos um interesse falso

● A mitigação propaga-se rapidamente.○ Não necessita do roteador ter detectado o ataque.

24

Modelo Proposto

251. Os atacanteslançam rajadas de interesses falsos. 2. Ao ultrapassar o limiar do prefixo, o

roteador dispara o alerta. 3. O Produtor responde o alerta. 4. Os roteadores limpam suas PITs e propagam a lista

Referências Bibliográficas

WANG, K. et al. Cooperative-filter: countering interest floodingattacks in named data networking. Soft Computing, Springer, v. 18,n. 9, p. 1803–1813, 2014.

JACOBSON, V. et al. Networking named content. In: ACM.Proceedings of the 5th in- ternational conference on Emergingnetworking experiments and technologies. [S.l.], 2009. p. 1–12.

GASTI, P. et al. Dos and ddos in named data networking. In: IEEE.Computer Commu- nications and Networks (ICCCN), 2013 22ndInternational Conference on. [S.l.], 2013. p. 1–7.

DAI, H. et al. Mitigate ddos attacks in ndn by interest traceback. In:IEEE. Computer Communications Workshops (INFOCOM WKSHPS),2013 IEEE Conference on. [S.l.], 2013. p. 381–386. 26

Referências Bibliográficas

COMPAGNO, A. et al. Poseidon: Mitigating interest flooding ddosattacks in named data networking. In: IEEE. Local ComputerNetworks (LCN), 2013 IEEE 38th Conference on. [S.l.], 2013. p.630–638.

27