Luís Oliveira, Rafael Aschoff , Bruno Lins, Eduardo Feitosa, Djamel Sadok
description
Transcript of Luís Oliveira, Rafael Aschoff , Bruno Lins, Eduardo Feitosa, Djamel Sadok
![Page 1: Luís Oliveira, Rafael Aschoff , Bruno Lins, Eduardo Feitosa, Djamel Sadok](https://reader036.fdocumentos.tips/reader036/viewer/2022062409/568151a6550346895dbfd572/html5/thumbnails/1.jpg)
VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil
Avaliação de Proteção contra Avaliação de Proteção contra Ataques de Negação de Serviço Ataques de Negação de Serviço
Distribuídos utilizando Lista de IPs Distribuídos utilizando Lista de IPs ConfiáveisConfiáveis
Luís Oliveira, Rafael Aschoff, Bruno Lins, Eduardo Feitosa, Djamel Sadok
{lemco,rra,bfol,elf,jamel}@cin.ufpe.br
Grupo de Pesquisa em Redes e Telecomunicações – GPRT
Centro de Informática – CIn
Universidade Federal de Pernambuco – UFPE
Recife – Pernambuco, Brasil
![Page 2: Luís Oliveira, Rafael Aschoff , Bruno Lins, Eduardo Feitosa, Djamel Sadok](https://reader036.fdocumentos.tips/reader036/viewer/2022062409/568151a6550346895dbfd572/html5/thumbnails/2.jpg)
2VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil
RoteiroRoteiro
Introdução
Solução Proposta
Avaliações e Resultados
Considerações Finais
Introdução
Solução Proposta
Avaliações e Resultados
Considerações Finais
![Page 3: Luís Oliveira, Rafael Aschoff , Bruno Lins, Eduardo Feitosa, Djamel Sadok](https://reader036.fdocumentos.tips/reader036/viewer/2022062409/568151a6550346895dbfd572/html5/thumbnails/3.jpg)
3VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil
IntroduçãoIntrodução
Aumento crescente de ataques DDoS
Sofisticação das técnicas de ataques
Severidade dos problemas causados
Aumento crescente de ataques DDoS
Sofisticação das técnicas de ataques
Severidade dos problemas causados
![Page 4: Luís Oliveira, Rafael Aschoff , Bruno Lins, Eduardo Feitosa, Djamel Sadok](https://reader036.fdocumentos.tips/reader036/viewer/2022062409/568151a6550346895dbfd572/html5/thumbnails/4.jpg)
4VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil
IntroduçãoIntrodução
Diversas abordagens de defesa contra ataques DDoS
Filtros, rastreamento de ataques, análises estatísticas
ClassificaçãoSource-endVictim-endIntermediate
Diversas abordagens de defesa contra ataques DDoS
Filtros, rastreamento de ataques, análises estatísticas
ClassificaçãoSource-endVictim-endIntermediate
![Page 5: Luís Oliveira, Rafael Aschoff , Bruno Lins, Eduardo Feitosa, Djamel Sadok](https://reader036.fdocumentos.tips/reader036/viewer/2022062409/568151a6550346895dbfd572/html5/thumbnails/5.jpg)
5VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil
IntroduçãoIntrodução
Flash crowds and denial of service attacks [Jaeyeon Jung]
A maioria dos endereços IP que aparecem em um evento flash crowd já apareceram anteriormenteEm contrapartida, apenas uma pequena parte de endereços IPs participantes em um ataque já efetuaram conexão com o servidor
Flash crowds and denial of service attacks [Jaeyeon Jung]
A maioria dos endereços IP que aparecem em um evento flash crowd já apareceram anteriormenteEm contrapartida, apenas uma pequena parte de endereços IPs participantes em um ataque já efetuaram conexão com o servidor
![Page 6: Luís Oliveira, Rafael Aschoff , Bruno Lins, Eduardo Feitosa, Djamel Sadok](https://reader036.fdocumentos.tips/reader036/viewer/2022062409/568151a6550346895dbfd572/html5/thumbnails/6.jpg)
6VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil
Solução Proposta – Trust IP List Solução Proposta – Trust IP List (TIL)(TIL)
Monitoração constante dos fluxos de entrada e saída
Modelo de fluxos de dados
Guardar histórico de IPs legítimos
Privilegiar tráfego previamente conhecido
Monitoração constante dos fluxos de entrada e saída
Modelo de fluxos de dados
Guardar histórico de IPs legítimos
Privilegiar tráfego previamente conhecido
![Page 7: Luís Oliveira, Rafael Aschoff , Bruno Lins, Eduardo Feitosa, Djamel Sadok](https://reader036.fdocumentos.tips/reader036/viewer/2022062409/568151a6550346895dbfd572/html5/thumbnails/7.jpg)
7VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil
Trust IP ListTrust IP List
![Page 8: Luís Oliveira, Rafael Aschoff , Bruno Lins, Eduardo Feitosa, Djamel Sadok](https://reader036.fdocumentos.tips/reader036/viewer/2022062409/568151a6550346895dbfd572/html5/thumbnails/8.jpg)
8VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil
ChkModelChkModel
Observação e ClassificaçãoValidar os IPs que chegam ao roteador Detectar ataques
Sockets e Conexões.
Observação e ClassificaçãoValidar os IPs que chegam ao roteador Detectar ataques
Sockets e Conexões.
![Page 9: Luís Oliveira, Rafael Aschoff , Bruno Lins, Eduardo Feitosa, Djamel Sadok](https://reader036.fdocumentos.tips/reader036/viewer/2022062409/568151a6550346895dbfd572/html5/thumbnails/9.jpg)
9VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil
ChkModel - MChkModel - Módulo de observação ódulo de observação
Monitora todo o tráfego de entrada e saída do roteador
Modelo de fluxo gerado a partir de estudo da rede
Estatísticas da comunicação cliente-servidor coletadas e armazenadas para fluxos e sockets
Duas tabelas hash(sockets e conexões)
Captura em tempo real e leitura de traces
Monitora todo o tráfego de entrada e saída do roteador
Modelo de fluxo gerado a partir de estudo da rede
Estatísticas da comunicação cliente-servidor coletadas e armazenadas para fluxos e sockets
Duas tabelas hash(sockets e conexões)
Captura em tempo real e leitura de traces
![Page 10: Luís Oliveira, Rafael Aschoff , Bruno Lins, Eduardo Feitosa, Djamel Sadok](https://reader036.fdocumentos.tips/reader036/viewer/2022062409/568151a6550346895dbfd572/html5/thumbnails/10.jpg)
10VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil
ChkModel - Módulo de ChkModel - Módulo de classificação classificação
Compara as informações armazenadas pelo módulo de observação com os modelos de conexão e sockets legítimos
Trabalha com três mensagens:Mensagem de AtaqueMensagem de Estado NormalLista de Clientes
Compara as informações armazenadas pelo módulo de observação com os modelos de conexão e sockets legítimos
Trabalha com três mensagens:Mensagem de AtaqueMensagem de Estado NormalLista de Clientes
![Page 11: Luís Oliveira, Rafael Aschoff , Bruno Lins, Eduardo Feitosa, Djamel Sadok](https://reader036.fdocumentos.tips/reader036/viewer/2022062409/568151a6550346895dbfd572/html5/thumbnails/11.jpg)
11VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil
TIT (Trusted IP Table)TIT (Trusted IP Table)
Módulo responsável pelo armazenamento e gerenciamento dos endereços IP confiáveis.
IP+Porta
Timestamp
Módulo responsável pelo armazenamento e gerenciamento dos endereços IP confiáveis.
IP+Porta
Timestamp
![Page 12: Luís Oliveira, Rafael Aschoff , Bruno Lins, Eduardo Feitosa, Djamel Sadok](https://reader036.fdocumentos.tips/reader036/viewer/2022062409/568151a6550346895dbfd572/html5/thumbnails/12.jpg)
12VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil
TIT (Trusted IP Table)TIT (Trusted IP Table)
1. Interface de escuta
8. Armazenar dados na tabela
10. Atualizar timestamp e arquivo de configuração
13. Comparar IPs 14. Liberar lista de IPs
18. Enviar portas associadas
12. Estado de ataque
16. Remover IPs da tabela hash
3. Checar estado da rede
15. Requisição de remoção de Ips da tabela
17. Requisição de portas
2. Chegada de novos IPs
4. Estado normal
9. Desatualizada
5. Checar atualizações da tabela hash
6. Arquivo de configuração
7. Atualizada
11. Armazenamento
![Page 13: Luís Oliveira, Rafael Aschoff , Bruno Lins, Eduardo Feitosa, Djamel Sadok](https://reader036.fdocumentos.tips/reader036/viewer/2022062409/568151a6550346895dbfd572/html5/thumbnails/13.jpg)
13VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil
Limitador de BandaLimitador de Banda
Enforcement
IPF (IP Filter)
Política de esvaziamento da fila
Enforcement
IPF (IP Filter)
Política de esvaziamento da fila
![Page 14: Luís Oliveira, Rafael Aschoff , Bruno Lins, Eduardo Feitosa, Djamel Sadok](https://reader036.fdocumentos.tips/reader036/viewer/2022062409/568151a6550346895dbfd572/html5/thumbnails/14.jpg)
14VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil
Avaliações e ResultadosAvaliações e Resultados
14 dias contínuos compreendendo a última semana do mês de abril e a primeira semana do mês de maio de 2007 (25/04 a 08/05).
52 PCs desktops, 2 switches com 24 portas 10/100/1000 Mbps e 2 servidores (processador Athlon XP 4200+ 64bits, com 2Gbytes de RAM e 160Gbytes de HDD)
14 dias contínuos compreendendo a última semana do mês de abril e a primeira semana do mês de maio de 2007 (25/04 a 08/05).
52 PCs desktops, 2 switches com 24 portas 10/100/1000 Mbps e 2 servidores (processador Athlon XP 4200+ 64bits, com 2Gbytes de RAM e 160Gbytes de HDD)
![Page 15: Luís Oliveira, Rafael Aschoff , Bruno Lins, Eduardo Feitosa, Djamel Sadok](https://reader036.fdocumentos.tips/reader036/viewer/2022062409/568151a6550346895dbfd572/html5/thumbnails/15.jpg)
15VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil
Avaliações e ResultadosAvaliações e Resultados
![Page 16: Luís Oliveira, Rafael Aschoff , Bruno Lins, Eduardo Feitosa, Djamel Sadok](https://reader036.fdocumentos.tips/reader036/viewer/2022062409/568151a6550346895dbfd572/html5/thumbnails/16.jpg)
16VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil
Avaliações e ResultadosAvaliações e Resultados
Tráfego de AtaqueScript que emprega a ferramenta PackitTrês ataques TCP flooding por horaPacotes de 1 KbyteTaxa entre 500 e 20.000 pacotes por segundo
Tráfego de AtaqueScript que emprega a ferramenta PackitTrês ataques TCP flooding por horaPacotes de 1 KbyteTaxa entre 500 e 20.000 pacotes por segundo
![Page 17: Luís Oliveira, Rafael Aschoff , Bruno Lins, Eduardo Feitosa, Djamel Sadok](https://reader036.fdocumentos.tips/reader036/viewer/2022062409/568151a6550346895dbfd572/html5/thumbnails/17.jpg)
17VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil
Avaliações e ResultadosAvaliações e Resultados
Métricas de AvaliaçãoConsumo de processamento e memóriaIPs reincidentesEficácia
Métricas de AvaliaçãoConsumo de processamento e memóriaIPs reincidentesEficácia
![Page 18: Luís Oliveira, Rafael Aschoff , Bruno Lins, Eduardo Feitosa, Djamel Sadok](https://reader036.fdocumentos.tips/reader036/viewer/2022062409/568151a6550346895dbfd572/html5/thumbnails/18.jpg)
18VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil
Resultados [Resultados [Consumo de Consumo de Processamento e Memória Processamento e Memória ]]
0.0
0.5
1.0
1.5
2.0
2.5
3.0
3.5
4.0
4.5
5.0
25/4 26/4 27/4 28/4 29/4 30/4 1/5 2/5 3/5 4/5 5/5 6/5 7/5 8/5
Tempo (em dias)
Co
ns
um
o (
%)
Processamento
Memória
![Page 19: Luís Oliveira, Rafael Aschoff , Bruno Lins, Eduardo Feitosa, Djamel Sadok](https://reader036.fdocumentos.tips/reader036/viewer/2022062409/568151a6550346895dbfd572/html5/thumbnails/19.jpg)
19VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil
Resultados [Resultados [IPs ReincidentesIPs Reincidentes]]
0
2000
4000
6000
8000
10000
12000
26/4 27/4 28/4 29/4 30/4 1/5 2/5 3/5 4/5 5/5 6/5 7/5 8/5Tempo (em dias)
Nú
mer
o d
e IP
s re
inci
den
tes
![Page 20: Luís Oliveira, Rafael Aschoff , Bruno Lins, Eduardo Feitosa, Djamel Sadok](https://reader036.fdocumentos.tips/reader036/viewer/2022062409/568151a6550346895dbfd572/html5/thumbnails/20.jpg)
20VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil
Resultados [Resultados [EficáciaEficácia]]
0
10
20
30
40
50
60
70
15:34
:55
15:35
:20
15:35
:45
15:36
:10
15:36
:35
15:37
:00
15:37
:25
15:37
:50
15:38
:15
15:38
:40
15:39
:05
15:39
:30
15:39
:55
15:40
:20
15:40
:45
15:41
:10
15:41
:35
15:42
:00
15:42
:25
Tempo (em segundos) - Dia 08/05
Pac
ote
s R
eceb
ido
s (x
1000
) Tráfego não Classificado
Tráfego Confiável
![Page 21: Luís Oliveira, Rafael Aschoff , Bruno Lins, Eduardo Feitosa, Djamel Sadok](https://reader036.fdocumentos.tips/reader036/viewer/2022062409/568151a6550346895dbfd572/html5/thumbnails/21.jpg)
21VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil
ConclusãoConclusão
Para os cenários avaliados, a eficácia foi de aproximadamente 76%
Baixo consumo dos recursos do sistema
Contudo, usuários “legítimos” podem ser penalizados
Para os cenários avaliados, a eficácia foi de aproximadamente 76%
Baixo consumo dos recursos do sistema
Contudo, usuários “legítimos” podem ser penalizados
![Page 22: Luís Oliveira, Rafael Aschoff , Bruno Lins, Eduardo Feitosa, Djamel Sadok](https://reader036.fdocumentos.tips/reader036/viewer/2022062409/568151a6550346895dbfd572/html5/thumbnails/22.jpg)
22VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil
Trabalhos FuturosTrabalhos Futuros
Estender a capacidade de análise e classificação do ChkModel para o protocolo UDP e ICMP
Novos cenários ainda necessitam ser avaliados para comprovar a eficiência da solução proposta
Comparar com as outras soluções existentes
Estender a capacidade de análise e classificação do ChkModel para o protocolo UDP e ICMP
Novos cenários ainda necessitam ser avaliados para comprovar a eficiência da solução proposta
Comparar com as outras soluções existentes
![Page 23: Luís Oliveira, Rafael Aschoff , Bruno Lins, Eduardo Feitosa, Djamel Sadok](https://reader036.fdocumentos.tips/reader036/viewer/2022062409/568151a6550346895dbfd572/html5/thumbnails/23.jpg)
VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil
Avaliação de Proteção contra Avaliação de Proteção contra Ataques de Negação de Serviço Ataques de Negação de Serviço
Distribuídos utilizando Lista de IPs Distribuídos utilizando Lista de IPs ConfiáveisConfiáveis
Luís Oliveira, Rafael Aschoff, Bruno Lins, Eduardo Feitosa, Djamel Sadok
{lemco,rra,bfol,elf,jamel}@cin.ufpe.br
Grupo de Pesquisa em Redes e Telecomunicações – GPRT
Centro de Informática – CIn
Universidade Federal de Pernambuco – UFPE
Recife – Pernambuco, Brasil