Detekce DDoS útoku pomocí analýzy NetFlow cache

Abstract

Tato bakalářská práce se zabývá detekcí a mitigací DDoS útoků pomocí analýzy NetFlow cache dat. Nejprve je podrobně popsána technologie NetFlow a její klíčové komponenty a specifika různých verzí protokolu NetFlow. Práce dále poskytuje rozsáhlý přehled o typech, metodách a klasifikacích DDoS útoků a současně rozebírá existující obranné mechanismy. Hlavním přínosem práce je vývoj nástroje v jazyce Python, který analyzuje data zachycená v NetFlow cache během probíhajícího DDoS útoku v síti Vysokého učení technického v Brně. Díky přímému přístupu k datům z aktivního provozu, bez zpoždění způsobeného časovými limity pro export, dochází k rychlejší a potenciálně přesnější identifikaci útoků. Výstupem nástroje je filtrační pravidlo, které lze okamžitě použít pro mitigaci útoku. Nástroj byl integrován do systému DDoS-Guard a testován na reálných scénářích s pozitivními výsledky.This Bachelor's thesis explores the detection and mitigation of Distributed Denial of Service (DDoS) attacks by analyzing NetFlow cache data. The work begins with a thorough investigation of the NetFlow protocol and its components, as well as different protocol version specifics. The thesis extensively overviews DDoS attack types, methods, classifications, and defense strategies. The main contribution is a Python-based tool that analyzes NetFlow cache data during ongoing DDoS attacks in the Brno University of Technology network. By bypassing export timeouts and analyzing the flow cache directly, the tool can achieve faster and potentially more accurate identification of attack patterns. It generates filtering rules that can be immediately deployed for mitigation. The implementation was integrated into the DDoS-Guard system, and its effectiveness was tested in real scenarios, demonstrating promising results in live deployments.