| Περίληψη |
Ένας από τους μεγαλύτερους κινδύνους ασφάλειας στις μέρες μας για το Διαδίκτυο, είναι οι κατανεμημένες επιθέσεις άρνησης υπηρεσίας (DDoS), εξαιτίας των μεγάλων προβλημάτων που μπορούν να προκαλέσουν στις προσφερόμενες υπηρεσίες και της δυσκολίας στη αντιμετώπισή τους. Στόχος των DDoS επιθέσεων είναι η διάσπαση της υπηρεσίας με τον περιορισμό της πρόσβασης σε αυτήν. Η δυσκολία στην αντιμετώπιση τους οφείλεται στην σχεδίαση του Διαδικτύου, που δημιούργησε ένα μοντέλο ανοιχτής πρόσβασης στους πόρους, εστιασμένο στην λειτουργικότητα και στην απλότητα αλλά όχι στην ασφάλεια. Σε αυτή την εργασία παρουσιάζουμε δύο νέα μοντέλα επικεντρωμένα στην οργάνωση του Διαδικτύου σε αυτόνομα συστήματα, τα οποία χρησιμοποιούν ντετερμινιστικό μαρκάρισμα πακέτων για τον χαρακτηρισμό των επιθετικών ροών. Αυτός ο χαρακτηρισμός μπορεί να χρησιμοποιηθεί από τον τελευταίο παροχέα για να κάνει το φιλτράρισμα των επιθετικών ροών πιο αποτελεσματικό. Σε αυτή την κατεύθυνση προτείνουμε ένα μοντέλο φιλτραρίσματος που προστατεύει τα υποδίκτυα προορισμού των πακέτων, περιορίζοντας την κίνηση κατά την διάρκεια της επίθεσης, ενώ ταυτόχρονα προστατεύει μεγάλο τμήμα της νόμιμης κίνησης. Τα προτεινόμενα μοντέλα επιτρέπουν στους τελευταίους παροχείς να προσφέρουν στους πελάτες τους αυξημένα επίπεδα προστασίας έναντι των DDoS επιθέσεων, ως μια νέα υπηρεσία προστιθέμενης αξίας. Έτσι προσφέρουμε θετικά κίνητρα για την ανάπτυξη των μοντέλων. Επιπλέον προτείνουμε μηχανισμούς που χρησιμοποιούν τα προτεινόμενα μοντέλα για να αντιμετωπίσουν την spoofed κίνηση με χρήση πίνακα αντιστοίχησης και μηχανισμούς για τον εντοπισμό και την αντιμετώπιση των επιθέσεων false-marking. Τέλος προτείνουμε ιδέες για την χρήση των προτεινόμενων μοντέλων για τον εντοπισμό DDoS επιθέσεων. Αξιολογήσαμε ποσοτικά τα προτεινόμενα μοντέλα με χρήση ενός στιγμιότυπου της τοπολογίας του Διαδικτύου, ως προς το κατά πόσο επιτυγχάνουν την διαφοροποίηση της νόμιμης από την παράνομη κίνηση σε συνθήκες πλήρους και μερικής ανάπτυξης, με διαφορετικά μεγέθη παροχέων και με χρήση IPv4 και IPv6. Επιπλέον αξιολογήσαμε ποιοτικά τα προτεινόμενα μοντέλα ως προς τις επιθυμητές ιδιότητες που θα πρέπει να έχουν. Τέλος προτείνουμε ένα μετρικό για την αξιολόγηση μοντέλων άμυνας που μπορεί να ενσωματώσει παράγοντες όπως η χρησιμότητα των προστατευόμενων υπηρεσιών και οι προτεραιότητες του παροχέα που τα χρησιμοποιεί.
|
Προστασία έναντι των κατανεμημένων επιθέσεων άρνησης υπηρεσίας με χρήση ντετερμινιστικού μαρκαρίσματος πακέτων, προσαρμοσμένη στην οργάνωση του Διαδικτύου σε αυτόνομα συστήματα
