Mitigação de ataques DDoS em redes baseadas em infraestruturas SDN/NFV

Ataques distribuídos de negação de serviço objetivam a disjunção de um serviço provido por um hospedeiro. Redes baseadas em infraestruturas SDN/NFV permitem o monitoramento e o gerenciamento da rede de uma forma logicamente centralizada, assim como a migração e a instanciação de funções sob demanda, o que possibilita maior flexibilidade e elasticidade no planejamento de novos mecanismos de defesa. Portanto, redes baseadas em infraestruturas SDN/NFV podem auxiliar na elaboração de estratégias de mitigação contra ataques DDoS. Neste trabalho, apresentamos uma revisão da literatura com o objetivo de enumerar as diferentes variações de ataques DDoS. Propomos uma taxonomia para mecanismos de mitigação contra ataques DDoS e apresentamos estratégias de mitigação baseadas em técnicas de Rate-Limiting, Filtering e Reconfiguração. Foram implementadas as estratégias de Throttling, que consiste na limitação de todo tráfego destinado a vítima, e Firewalls Cooperativos, que utiliza um sistema de detecção logicamente centralizado que auxilia na geração de assinaturas instaladas em filtros. Por meio dos experimentos realizados, verificamos que o protótipo apresentado é capaz de mitigar ataques DDoS de inundação ICMP com conjunto variável de agentes. Também concluímos que o tempo de resposta da estratégia de mitigação está diretamente associado à eficiência da estratégia de detecção utilizada. ...

Abstract

Distributed Denial of Service (DDoS) attacks aim the disjunction of a service provided by a host. Networks based on SDN/NFV infrastructures allow monitoring and management of the network in a logically centralized way, as well as the migration and instantiation of network functions on demand, which enables flexibility and elasticity in planning new defense mechanisms. Therefore, networks based on SDN and NFV can assist the development of mitigation strategies agaisnt DDoS attacks. In this document, we present a bibliographic review with the purpose of numbering different DDoS attacks variations. We present a taxonomy to mitigation mechanisms against DDoS attacks and we depict mitigation strategies based on Rate-Limiting, Filtering, and Reconfiguration techniques. Two strategies were implemented: Throttling strategy, which consists of limiting all traffic destined to the victim, and Cooperative Firewalls strategy, which uses a centralized detection system that generates signatures which will be installed in filters. Through the performed experiments, we observed that the prototype is capable of mitigating ICMP flooding DDoS attacks with variable set of agents. We also concluded that the response time of the mitigation strategy is directly associated to the efficiency of the detection strategy used. ...

Institución

Universidade Federal do Rio Grande do Sul. Instituto de Informática. Curso de Ciência da Computação: Ênfase em Ciência da Computação: Bacharelado.

Colecciones

Tesinas de Curso de Grado (37618)

Tesinas Ciencia de la Computación (1025)

Otras opciones

Mostrar todos los metadatos

Estatísticas

Este ítem está licenciado en la Creative Commons License