Detekce útoků DoS a DDoS pomocí záznamů NetFlow

Loading...
Thumbnail Image
Date
ORCID
Mark
A
Journal Title
Journal ISSN
Volume Title
Publisher
Vysoké učení technické v Brně. Fakulta informačních technologií
Abstract
Tato bakalářská práce se zabývá využitím záznamů NetFlow pro detekci útoků DoS a DDoS. Na základě poznatků získaných analýzou útočného provozu je implementován plugin pro exportér sondy FlowMon, který sleduje různé heuristiky a podle nich stanoví míru podezření zdrojové IP adresy. Během testování je ověřeno, že plugin dokáže spolehlivě detekovat rozsáhlé útoky DoS a DDoS na živém provozu.
This thesis deals with using NetFlow data for DoS and DDoS attacks detection. Based on the findings of the analysis of attack traffic a plugin for exporter of the FlowMon probe is implemented. It monitors several heuristics and based on them determines a level of suspicion of the source IP address. During testing, it was verified that the plugin is able to reliably detect large-scale DoS and DDoS attacks on live traffic.
Description
Citation
HUŇKA, J. Detekce útoků DoS a DDoS pomocí záznamů NetFlow [online]. Brno: Vysoké učení technické v Brně. Fakulta informačních technologií. 2013.
Document type
Document version
Date of access to the full text
Language of document
cs
Study field
Informační technologie
Comittee
prof. Ing. Martin Drahanský, Ph.D. (předseda) doc. Ing. Zdeněk Kotásek, CSc. (místopředseda) Ing. Petr Matoušek, Ph.D., M.A. (člen) Ing. Petr Schwarz, Ph.D. (člen) doc. Ing. František Zbořil, Ph.D. (člen)
Date of acceptance
2013-06-11
Defence
Student nejprve prezentoval výsledky, kterých dosáhl v rámci své práce. Komise se pak seznámila s hodnocením vedoucího a posudkem oponenta práce. Student následně odpověděl na otázky oponenta a na další otázky přítomných. Komise se na základě posudku oponenta, hodnocení vedoucího, přednesené prezentace a odpovědí studenta na položené otázky rozhodla práci hodnotit stupněm " A ". Otázky u obhajoby: Prováděl jste, při nasazení v produkční síti, test, zda je plugin schopen detekovat DoS útok? Např. zasláním SYN flood ze sítě kolejí na vlastní server? Pokud se v testovacím okně při produkčním nasazení nedetekovala žádná podezřelá adresa, lze dokázat, že tam útočník opravdu nebyl? Nebo plugin útočníka pouze nedetekoval? Jak se plugin vyrovná s DDoS útokem, kdy lze předpokládat, že počet paketů od útočníka bude menší?
Result of defence
práce byla úspěšně obhájena
Document licence
Standardní licenční smlouva - přístup k plnému textu bez omezení
DOI
Collections
Citace PRO