Heuristické metody pro potlačení DDoS útoků zneužívajících protokol TCP

TCP SYN Flood sa v súčasnosti radí medzi najpopulárnejšie útoky typu DoS. Táto práca popisuje sieťovú mitigačnú metódu TCP Reset Cookies ako jeden z možných spôsobov ochrany. Spomínaná metóda je založená na zahadzovaní všetkých prijatých pokusov o nadviazanie spojenia, až pokým s daným klientom nie je uzatvorená bezpečnostná asociácia na základe využitia mechanizmu TCP three-way-handshake. Tento prístup dokáže efektívne odraziť aj sofistikovanejšie útoky, avšak za cenu sekundového oneskorenia pri prvom nadväzovanom spojení daného klienta. Metóda však nie je vhodná vo všetkých prípadoch. Z tohto dôvodu táto práca ďalej navrhuje a implementuje spôsob dynamického prepínania rôznych mitigačných metód na základe aktuálne prebiehajúcej komunikácie. Tento projekt bol vykonaný ako súčasť bezpečnostného výskumu spoločnosti CESNET. Spomínaná implementácia metódy TCP Reset Cookies je už v čase písania tejto práce integrovaná do DDoS riešenia nasadeného na hlavnej sieti spoločnosti CESNET, ako aj v českom národnom peeringovom uzle NIX.CZ.
TCP SYN Flood is one of the most wide-spread DoS attack types used on computer networks nowadays. As a possible countermeasure, this thesis proposes a network-based mitigation method TCP Reset Cookies. The method utilizes the TCP three-way-handshake mechanism to establish a security association with a client before forwarding its SYN data. The algorithm can effectively mitigate even more sophisticated SYN flood attacks at the cost of 1-second delay for the first established connection. However, the method may not be suitable for all the scenarios, so decision-making algorithm to switch between different SYN Flood mitigation methods according to discovered traffic patterns was also developed. The project was conducted as a part of security research by CESNET. The discussed implementation of TCP Reset Cookies is already integrated into a DDoS protection solution deployed in CESNET's backbone network and Czech Internet exchange point at NIX.CZ.

Keywords

DDoS, DDoS mitigace, Heuristická mitigate DDoS, TCP zneužití, TCP SYN Flood, TCP Reset Cookies, DDoS, DDoS mitigation, Heuristic DDoS mitigation, TCP abuse, TCP SYN Flood, TCP Reset Cookies

Citation

GOLDSCHMIDT, P. Heuristické metody pro potlačení DDoS útoků zneužívajících protokol TCP [online]. Brno: Vysoké učení technické v Brně. Fakulta informačních technologií. 2019.

Language of document

cs

Study field

Informační technologie

Comittee

doc. Ing. Ondřej Ryšavý, Ph.D. (předseda) doc. Ing. Zdeněk Vašíček, Ph.D. (místopředseda) RNDr. Petr Fuchs, Ph.D. (člen) Ing. Michal Hradiš, Ph.D. (člen) Ing. Bohuslav Křena, Ph.D. (člen)

Date of acceptance

2019-06-12

Defence

Student nejprve prezentoval výsledky, kterých dosáhl v rámci své práce. Komise se poté seznámila s hodnocením vedoucího a posudkem oponenta práce. Student následně odpověděl na otázky oponenta a na další otázky přítomných. Komise se na základě posudku oponenta, hodnocení vedoucího, přednesené prezentace a odpovědí studenta na položené otázky rozhodla práci hodnotit stupněm A. Otázky u obhajoby: Graf 3.14 ukazuje pouze marginální rozdíl v odezvě mezi HW a SW přeposíláním. Jak moc je zpoždění SW zpracování závislé na množství a typu zpracovávaného síťového provozu?

Result of defence

práce byla úspěšně obhájena

Document licence

Standardní licenční smlouva - přístup k plnému textu bez omezení