El documento seleccionado fue:
Collaborative Change Detection of DDoS
Attacks on Community and ISP Networks*
Yu Chen and Kai Hwang
University of Southern California, Los Angeles, CA 90089, USA
{cheny, kaihwang}@usc.edu
...
Resumen
El documento introduce el problema sobre el problema de los ataques DDoS. Por lo general las redes comunitarias funcionan bajo el mismo ISP (Internet Service Provider) o se administran bajo un método de organización virtual que se extiende a través de múltiples dominios de red bajo una relación de confianza.
Los ataques DDoS se pueden contrarrestar si los routers dentro de esa red trabajan de forma cooperativa para enviar alertas tempranas para evitar los daños a la red. Entonces el objetivo del trabajo es "proponer una arquitectura de colaboración para detectar inundaciones por ataques DDoS".
Ésto es posible mediante el monitoreo de la distribución del tráfico sospechoso en cierta cantidad de routers por donde transita el ataque y los cambios que sufre, para ello se desarrolló un nuevo mecanismo CAT (Change-Aggregation Tree) que permite la detección tempran de los ataques.
Para ello se utilizaron simulaciones con NS-2 en una red ISP de dominio simple.
El sistema ofrece un nivel de detección de un 95% con menos de un 1% de alarmas falsas-positivas.
Arquitectura de un ataque DDoS
Introducción
Una red comunitaria pueden ser pequeñas o grandes, desde una LAN hasta WAN, y por lo general forman parte de la infraestructura de clusters, redes colaborativas, redes P2P, servidores se servicios web, etcétera. Por lo general estas conformadas por un gran número de administradores IT.
Los requisito básico en una red es proveer un acceso seguro y confiable a los recursos, ya sean locales o remotos. Los ataques DDoS cancelan este requisito, volviéndose la más peligrosa amenaza para los sistemas distribuidos.
Actualmente existen técnicas bastante simples para detectar un ataque DDoS, por ejemplo, cuando el tráfico de entrada y salida no esta muy balanceado, desafortunadamente cuando se detectan estas condiciones ya es demasiado tarde.
Si se trata el tráfico de internet como un proceso estocástico, una técnica de detección de cambios secuenciales de puntos fue desarrollada para detectar el inicio de los ataques DDoS. La típica metodología de detección de cambios esta obstaculizada por la falta de precisión en el modelo estadístico utilizado para describir los pre-cambios y post-cambios en la distribución del tráfico de la red. Se utiliza el algoritmo CUSUM debido a su simplicidad y baja complexidad computacional, sin embargo, a pesar de ser un buen método de detección de inundaciones TCP SYN a nivel gateway, no sirve para redes distribuidas donde existe mas de un gateway.
ISP de red central
En esencia, las redes comunitarias son organizaciones virtuales (VO) encima del internet físico. Los miembros de la VO pueden compartir recursos con base en requisitos específicos de la aplicación. Los usuarios no tienen ningún control sobre las redes físicas aplicadas. en este caso, las redes utilizadas son administradas por diferentes ISPs. Esto se suma a la complejidad en la realización de trabajo colaborativo.
La investigación sugiere que una solución total para los ataques DDoS es una defensa a escala mundial
sistema a través de la totalidad de Internet.
Dentro de una red de núcleo único ISP, es factible exigir los routers a cooperar entre sí en la lucha contra los ataques DDoS, para ello se propone un cambio en el esquema de detección mediante un cambio al CAT.
El CAT se basa en el reconocimiento rápido de un patrón de flujo de tráfico dirigido hacia la víctima
máquina.
La raíz es el último router al borde de la red donde el equipo de la víctima es alcanzado. Cada árbol
nodo corresponde a un enrutador de ataque-tránsito (ATR). Cada arista del árbol corresponde a un enlace entre los ATR. El administrador del sistema asegura que todos los routers puedan trabajar cooperativamente. El CAT servidor conoce la topología de la red.
Los patrones legítimos de tráfico no se presentan con la direccionalidad y características de convergencia.
Por lo tanto, una vez que un patrón de CAT se reconoce más allá de cierto umbral, se ha detectado la estadio muy temprano de un ataque DDoS. El esquema de detección esta diseñado para distribuir la información del ataque. Los ATR recolectan la información y la envían regularmente al servidor CAT que la procesa. En caso de que el trafico sobrepase cierto umbral, entonces una advertencia es enviada al servidor CAT.
Patrones de inundación durante los ataques DDoS
Como sabemos, los ataques DDoS atacan un equipo para denegar el acceso a un servicio. Dichos ataques saturan a la victima y a la red entera con una gran cantidad de paquetes los cuales son imposibles de manejar.
Un atacante simplemente explota la red y la gran magnitud de paquetes provocan el agotamiento del ancho de banda por lo que pueden hacer caer a la victima de su conexión a internet. Para lograrlo los atacantes utilizan direcciones IP falsas o duplicadas.
Simulación con NS-2
Para evaluar el rendimiento del cambio propuesto al CAT, se permitieron variaciones en 3 dimensiones: topología de prueba, tráfico legítimo de fondo y las características del ataque.
Se utilizó un modelo real de una topología de un ISP descargada del la página web del proyecto Rocketfuel de la Universidad de Washington.
Los retrasos en la comunicación fueron uniformemente distribuidos en el rango de 40 a 200ms con un ancho de banda de 100MB.
El tráfico de fondo es generado de mediante métodos estadísticos mediante el análisis real de la trama OC48 del proyecto CAIDA.
Para las características del ataque, se estudio una herramienta real de ataques DDoS llamada Stacheldraht V4. Es una de las herramientas mas representativas de este tipo de ataques.
El rendimiento de la simulación se midió con tres parámetros diferentes: detección de retrasos, precisión en la detección y la proporción de falsos positivos.
Los tres parámetros se midieron en 3 tipos de ataques diferentes: inundación TCP, inundación UDP e inundación ICMP. El promedio del tiempo de detección mide el intervalo de tiempo entre el inicio del ataque DDoS y el tiempo en el cual el servido CAT lanza una alarma de ataque.
La precisión de la detección es evaluada usando tres mediciones: proporción de detección, proporción de falsas alarmas y las características del recibidor.
El esquema CAT detecta el inicio de la inundación DDoS monitoreando la variación en el volumen de tráfico, recolectando los patrones sospechosos y construyendo el árbol CAT periódicamente Después se necesita decidir si el árbol resultante es debido a un ataque o a las fluctuaciones en el tráfico de la red. La diferencia entre ambos es que el tráfico por fluctuaciones en la red no se propaga muy lejos y no muestran la direccionalidad del flujo y un blanco de convergencia en el proceso.
Un umbral se puede establecer para detectar exitosamente un verdadero ataque de inundación, simplemente se obtiene la suma del conteo de las hojas en el árbol y se divide entre la altura del árbol para evaluar el tamaño del árbol. Este tamaño establece el umbral de detección para los ataques DDoS.
Utilizando un umbral menor a 5, la proporción de detección es casi 100%, y cuando ésta proporción se mantiene por encima del 95% y el umbral en 5, la proporción de falsos-positivos cae de 70% a 0%.
También se estudió la relación entre el umbral de detección y la proporción de tráfico experimentado en los ATR's. En un ataque de inundación altamente distribuido, donde el tráfico experimentado por routers individuales es muy bajo, la situación de inundación no es detectada hasta que el stream de información causan cambios notorios.
Eventualmente el valor de umbral se saturará, entre mas zombies estén involucrados, mayor sera el umbral seleccionado. Con un tráfico mayor a 1MB/s ambas curvas de umbrales se saturarán. Esto significa que se tendrá un umbral de detección más estable cuando la inundación DDoS alcanza un nivel lo suficientemente alto.
Otro problema crítico encontrado es cuan rápido se puede detectar el lanzamiento de ataques DDoS desde un gran número de zombies. Desde que el árbol CAT se puede actualizar con todos los ATR periódicamente el tiempo de retraso puede incurrir en la actualización del servidor CAT con cambios locales frecuentes detectados por cada ATR's. El servidor CAT necesita tiempo para procesar toda la información si un gran número de servidores esta involucrado. Un retraso mayor a 0.5s no es tolerable.
Conclusiones
La complejidad de los patrones en los ataques DDoS crece rápidamente también si una nueva vulnerabilidad en las redes es encontrada y herramientas más sofisticadas de ataque están disponibles, por lo que una solución puede servir en algunas redes y fallar en otras.
Las contribuciones de la investigación realizada son la detección temprana de la ola de ataques DDoS basados en los patrones y las anomalías detectadas en la red ISP, los cambios propuestos en el árbol de agregación pueden detectar las inundaciones DDoS de forma temprana.
El método propuesto de puede desplegar en redes ISP centrales, y el esquema de detección se puede implementar en los routers utilizados en la red ISP bajo la misma autoridad.
Existen ventajas y desventajas entre la proporción de detección y la tolerancia a falsas alarmas, los resultados se verificaron satisfactoriamente y los resultados indican que el sistema es capaz de detectar inundaciones DDoS rápidamente con una alta proporción de detecciones y una baja proporción de falsas alarmas, sin embargo, la precisión esta por ser probada con un prototipo desarrollado y experimentos de referencia en el futuro.
** Las imágenes fueron tomadas del paper.
Referencias:
Bien; 4 pts extra.
ResponderEliminar