Detecção de ataques DDoS baseados em amplificação NTP inteiramente no plano de dados

Abstract

Os ataques de negação de serviço distribuídos representam uma grande parcela dentre o total de ataques cibernéticos reportados nos últimos anos. Um tipo de ataque em especial tem chamado a atenção dos administradores de rede por ser substancialmente danoso: os ataques DDoS baseados em amplificação. Ao lançar um ataque desse tipo, atacantes conseguem atingir taxas de dados muito altas, tirando proveito de protocolos como NTP, DNS e SSDP. Atualmente, provedores de serviço utilizam técnicas baseadas em Net- Flow e sFlow para detectar tais ameaças. Contudo, tais táticas possuem duas limitações principais: alto custo computacional para processamento em software dos pacotes que transitam pelos dispositivos de encaminhamento; e elevado tempo de reação a um ataque, devido ao distanciamento entre os sensores e os coletores de dados. Buscando eliminar as barreiras impostas pelo processamento feito fora dos dispositivos, uma nova geração de equipamentos de encaminhamento tem sido desenvolvida. Esses equipamentos conseguem trabalhar com altas taxas de dados e podem ser programados através de uma linguagem, denominada P4, que permite especificar como pacotes devem ser analisados e processados. Neste trabalho, propõe-se dois mecanismos, implementados em P4, para detecção de ataques de negação de serviço baseados em amplificação que tiram proveito do protocolo NTP. O primeiro desses mecanismos atua nas proximidades do servidor usado como amplificador, enquanto o segundo encontra-se localizado nas imediações da vítima do ataque. A acurácia e a eficiência desses mecanismos foram avaliadas através de três métricas: falsos negativos, falsos positivos e tempo de detecção. De maneira geral, ambos mecanismos atingem melhores resultados quando o ataque possui uma “assinatura” muito agressiva e, através de experimentos realizados, foi identificado que quanto mais intenso o ataque, menor o número de falsos positivos observados. Por fim, foi apresentada uma comparação demonstrando que o tempo de detecção em P4 é menor do que o tempo necessário para uma possível implementação desse mecanismo em OpenFlow convencional.

Distributed denial of service attacks account for a large share of the total number of cyber attacks reported in recent years. One particular type of attack has caught the attention of network administrators because of its devastating effect: DDoS attacks based on amplification. By launching such an attack, attackers can achieve very high data rates, taking advantage of protocols such as NTP, DNS and SSDP. Nowadays, service providers make use of NetFlow and sFlow-based techniques to detect such threats. However, these techniques present two main limitations: high computational cost for packets processing; and high response time due to the distance between data sensors and data collectors. Seeking to eliminate those barriers, a new generation of routing equipments has been developed. These devices are able to operate at high data rates and can be programmed through P4, a programming language that allows specifying how packets may be analyzed and processed. In this work, it is proposed two mechanisms, implemented in P4, to detect DDoS amplification attacks that take advantage of the NTP protocol. The first of these mechanisms acts near the server used as amplifier, while the second one is located nearby the victim of the attack. The accuracy and efficiency of these mechanisms were evaluated through three metrics: false negatives, false positives and detection time. In general, they all achieve better results when the attack has a very aggressive "signature". Through experiments, it was identified that the more intense the attack, the lower is the number of false positives observed. Finally, a comparison was made showing that the detection time in P4 is inferior to the time required for a possible implementation of this mechanism in conventional OpenFlow.