Upload
hoangkien
View
221
Download
0
Embed Size (px)
Citation preview
Detecção e Mitigação de Ataque de Negação de Serviço Distribuído em Redes Centradas no Conteúdo.
Mestrando: Nilton F. S. Seixas
Orientador Prof. Dr. Leobino N. Sampaio
NetCafé
<Janeiro de 2017>1
Contexto● A arquitetura atual da Internet
○ Projetada na década de 60○ Demanda por compartilhamento de recursos
● O perfil dos usuários da Internet mudou○ Comércio, redes sociais, mídia digital etc,
● Reparos foram feitos para abranger tal demanda○ Necessidade por uma nova arquitetura
3
Contexto● Redes Centradas na Informação - RCI
○ DONA, TRIAD, 4WARD, CDN, PERSUIT, CCN e etc
● Content-Centric-Network(CCN) é uma abordagem de RCI de destaque ○ Introduzida por JACOBSON et al.,2009○ Foca na entrega do conteúdo, não importando a sua
localização.○ Características de uma CCN
■ Três estruturas básicas: Content Store(CS), Pending Interest Table(PIT) e Forward Information Base(FIB)
■ Três entidades básicas: Produtor, Consumidor eroteador
4
Contexto● Pacotes de interesses
○ Manifestação por uma parte de conteúdo
● Pacotes de dados○ Contém a parte de conteúdo desejada.
● Estrutura de nomes hierárquica○ “prefixo” + “sufixo”
■ ex. youtube/dvd/metalica/parte1
● Consumidor produz a demanda da rede ○ Produtor fornece os dados e resolve a demanda○ Roteador resolve a demanda da rede
5
Contexto● CS - Content Store
○ Cache do nó○ Armazena pacotes de dados
● PIT - Pending Interest Table○ Armazena interesses a serem resolvidos
● FIB - Forward Information Base○ Armazena informações de encaminhamento por
prefixo
6
ContextoFuncionamento da CCN
7Funcionamento básico de uma rede CCN. O Consumidor envia um interesse a um produtor. O roteador adiciona na PIT o interesse e o encaminha ao produtor
ContextoFuncionamento da CCN
8Funcionamento básico de uma rede CCN. O produtor envia um pacote de dado. Através da informação na PIT, o roteador consegue enviar o pacote para o consumidor.
ContextoFuncionamento da CCN
9Funcionamento básico de uma rede CCN. Ao enviar o pacote de dado para o consumidor, o roteador remove da PIT a referência ao interesse satisfeito
Negação de serviço em CCN.
● Tipos de ataques identificados○ Poluição de Cache○ Inundação de Pacotes de Interesse
● Poluição de cache○ Explora a cache dos roteadores
● Inundação de pacotes de interesses○ Explora a PIT dos roteadores
10
Negação de serviço em CCN
● Poluição de cache○ Pacote Corrompido (GASTI et al., 2013)
■ Pacote com assinatura inválida ■ Pacotes gerados com chaves diferentes do que
foi publicado○ Estratégia do adversário
■ Fazer com que roteadores armazenem pacotes corrompidos
■ Satisfazer interesses com tais pacotes
11
Negação de serviço em CCN
● Inundação de Pacotes de Interesse(GASTI et al., 2013)○ Capacidade máxima da PIT é alcançada
■ Roteadores ficam inaptos a processar interesses■ Interesses não resolvidos permanecem na PIT■ A Inundação impede que interesses legítimos
sejam resolvidos
● Interest Flooding Attack — IFA(WANG et al., 2014)
12
IFA
15Outro efeito do ataque. Os produtores ficam impossibilitados de satisfazer interesses por atingir sua capacidade computacional
16
IFA
● Estratégia de IFA ○ Por conteúdo inexistente
■ “youtube/” + “fakesufix”
● Alvos○ Roteadores○ Consumidores
Ambiente de simulação
● Uma rede CCN com topologia Abilene.
○ 13 roteadores para o Backbone da rede○ 26 roteadores para usuários○ 130 consumidores○ 26 adversários○ Roteadores conectados com enlaces de 100gbps ○ Roteadores conectados a usuários e atacantes com
enlaces de 100mbps
17
Ambiente de simulação
18
Imagem adaptada de shttps://www.internet2.edu/media/medialibrary/2016/10/06/I2-Network-Infrastructure-Topology-All-201610_Yjej6o7.pdf. Topologia da rede Ip Abilene. As arestas representam os enlaces, e os vértices representam os roteadores, compondo o backbone da rede.
Ambiente de simulação
19Captura de tela do simulador OMNet++. Essa imagem representa uma rede CCN com rede Abilene implementada através do OMNet++.
Ambiente de simulação
20Captura de tela do simulador OMNet++. Nesta imagem é possível ver entidades da rede CCN: Produtor, consumidres e atacantes
Modelo Proposto
● Cooperação entre produtores e roteadores○ Roteadores desconhecem interesses falsos○ Produtores conhecem.
● Produtores armazenam uma lista de nomes resolvíveis○ Roteadores recebem essa lista.○ Limpam suas PITs e Filtram futuros Pacotes.
● Propagação da lista○ Roteadores propagam a lista até a borda○ Impede que pacotes falsos adentrem a rede
21
Modelo PropostoDetecção
● Detecção do ataque em todos os roteadores○ Limiar de detecção por prefixo armazenado na FIB○ Cada roteador determina seus limiares
● Exemplo: Chegada de 5 interesses do prefixo A e 2 do prefixo B.
22
Prefixo Qtd % Pico
A 5 0.5 0.5
B 2 0.2 0.2
Modelo PropostoDetecção
● Exemplo: Saída de 5 interesses do prefixo A e 1 do prefixo B.
23
Prefixo Qtd % Pico
A 0 0.0 0.5
B 1 0.1 0.2
Modelo PropostoMitigação
● Produtores respondem o alarme com a lista
● O roteador mais próximo desencadeia ou não a mitigação.○ Falso positivo - Não há interesses falsos○ Ataque - Pelo menos um interesse falso
● A mitigação propaga-se rapidamente.○ Não necessita do roteador ter detectado o ataque.
24
Modelo Proposto
251. Os atacanteslançam rajadas de interesses falsos. 2. Ao ultrapassar o limiar do prefixo, o
roteador dispara o alerta. 3. O Produtor responde o alerta. 4. Os roteadores limpam suas PITs e propagam a lista
Referências Bibliográficas
WANG, K. et al. Cooperative-filter: countering interest floodingattacks in named data networking. Soft Computing, Springer, v. 18,n. 9, p. 1803–1813, 2014.
JACOBSON, V. et al. Networking named content. In: ACM.Proceedings of the 5th in- ternational conference on Emergingnetworking experiments and technologies. [S.l.], 2009. p. 1–12.
GASTI, P. et al. Dos and ddos in named data networking. In: IEEE.Computer Commu- nications and Networks (ICCCN), 2013 22ndInternational Conference on. [S.l.], 2013. p. 1–7.
DAI, H. et al. Mitigate ddos attacks in ndn by interest traceback. In:IEEE. Computer Communications Workshops (INFOCOM WKSHPS),2013 IEEE Conference on. [S.l.], 2013. p. 381–386. 26