1.
Faculdade Estácio
Unidade João Pessoa
Identificação e Tratamento de Ataques de
Negação de Serviço Distribuído (DDoS)
Leandro Almeida
lcavalcanti.almeida@gmail.com
3.
Definições...
“...são ataques caracterizados pela tentativa explícita de negar um
serviço a um usuário legítimo...” [Beitollahi and Deconinck, 2012]
“...são ataques coordenados sobre a disponibilidade de um ou
vários sistemas alvo através de muitas vítimas secundárias...”
[ Kumar and Selvakumar, 2013]
4.
Em 2013, o termo DDoS obteve
número 100 no Google Trends
O país com maior interesse é a Rússia
5.
O termo “how to DDoS” também
obteve número 100.
O país com maior interesse é a Suécia
6.
O termo “DDoS HTTP” vem numa crescente deste 2008
8.
Flooding
Afetam a
infraestrutura de
hardware do alvo
ICMP flooding
UDP flooding
TCP flooding
9.
TCP SYN Flooding
SYN
SYN-ACK
O pacote ACK para completar o 3-way handshake
nunca chegará
10.
TCP SYN Flooding
SYN
SYN-ACK
...
SYN
SYN-ACK
SYN
SYN-ACK
SYN-ACK
SYN
11.
TCP SYN Flooding
SYN
SYN-ACK
...
SYN
SYN-ACK
SYN
SYN-ACK
SYN-ACK
SYN
12.
Os ataques de 1996 e 2000 utilizavam
técnicas de ICMP, UDP e TCP SYN Flooding
e tinham ferramentas como:
-TFN (Tribe Flood Network)
-TRIN00
- STACHELDRAHT
-TFN2K
13.
DRDoS – Distributed Reflected Denial of Service
ICMP Echo
Request
...
ICMP Echo
Request
ICMP Echo
Request
ICMP Echo
Request
Atacante falsifica seu IP, usando o IP do Alvo
ICMP Echo
Reply
ICMP Echo
Reply
ICMP Echo
Reply
ICMP Echo
Reply
33.
Em sistems baseados em Linux:
- Módulo limit do iptables
- Módulo SYN Cookies do kernel
- Módulo rp_filter do kernel
34.
Para detectar os ataques, trabalhos
científicos utilizam informações como:
-Tamanho do pacote
- Intervalo de tempo entre pacotes
- Comportamento do navegador Web
- Payload do pacote
- Flags TCP
- Erros SYN
- Números de sequência TCP
- Endereços IP
-...
- Lógica Fuzzy
-Algoritmos Genéticos
- Modelo de Markov
- Machine Learning
- Redes Neurais
35.
Modelo Proposto
Identificar e Tratar Ataques
DDoS GET HTTP
36.
Estudamos o ataque repetindo-o diversas vezes
até ser possível identificá-lo com o mínimo de
características possíveis
-Tamanho do pacote
-Tempo entre chegadas
- Campo Pragma do HTTP
- Endereço IP de origem
- Porta de destino