Offloading real-time DDoS attack detection to programmable data planes
Nos últimos anos, ataques distribuídos de negação de serviço vêm crescendo tanto em frequência quanto em volume de tráfego com surtos atingindo taxas da ordem de terabits por segundo e compremetendo a disponibilidade de infraestruturas supostamente resilientes (e.g., DNS e hospedagem Web na nuvem)....
| Autor: | |
|---|---|
| Tipo de recurso: | tesis de maestría |
| Estado: | Versión publicada |
| Fecha de publicación: | 2019 |
| País: | Brasil |
| Institución: | Universidade Federal do Rio Grande do Sul (UFRGS) |
| Repositorio: | Biblioteca Digital de Teses e Dissertações da UFRGS |
| Idioma: | inglés |
| OAI Identifier: | oai:www.lume.ufrgs.br:10183/204658 |
| Acceso en línea: | http://hdl.handle.net/10183/204658 |
| Access Level: | acceso abierto |
| Palabra clave: | Redes : Computadores Seguranca : Redes : Computadores Network Security Programmable Data Planes DDoS Attacks |
| Sumario: | Nos últimos anos, ataques distribuídos de negação de serviço vêm crescendo tanto em frequência quanto em volume de tráfego com surtos atingindo taxas da ordem de terabits por segundo e compremetendo a disponibilidade de infraestruturas supostamente resilientes (e.g., DNS e hospedagem Web na nuvem). Na prática, as soluções de detecção existentes valem-se de uma combinação de mecanismos, como amostragem de pacotes e transmissão dos dados coletados a um software externo, que dificulta a obtenção de uma boa relaçao entre acurácia (maior é melhor), consumo de recursos e latência (menor é melhor). Planos de dados programáveis emergem como uma abordagem promissora para ajudar a cumprir esses requisitos, visto que dispositivos comutadores de pacotes podem ser configurados para executar algoritmos e examinar o tráfego em velocidade de linha. Neste trabalho, exploramos primitivas em P4 a fim de projetar um mecanismo de inspeção de tráfego com baixa granularidade, baixo consumo de recursos e baixa latência para a detecção de ataques distribuídos de negação de serviço em tempo real. A nossa proposta – a primeira a ser completamente implementada em plano de dados – contribui para lançar luz sobre os desafios da implementação de lógica de segurança sofisticada nesse contexto, dado que, para operar a altas taxas de transferência, a inspeção (e o processamento em geral) de pacotes está sujeita a um orçamento de tempo reduzido (dezenas de nanossegundos) e um espaço de memória limitado (da ordem de dezenas de megabytes). Nós avaliamos o mecanismo proposto usando capturas de pacotes da CAIDA. Os resultados mostram a detecção de ataques exclusivamente a partir do plano de dados com alta acurácia (98,2%) e baixa latência ( 250 ms) mantendo o consumo de recursos reduzido (dezenas de kilobytes de SRAM por link de 1 Gbps e poucas centenas de entradas TCAM). |
|---|