توضیحات
ABSTRACT
This paper proposes a novel feedback-based control technique that tackles distributed denial of service (DDoS) attacks in four consecutive phases. While protection routers close to the server control inbound traffic rate and keeps the server live (phase 1), the server negotiate with upstream routers close to traffic sources to install leaky-buckets for its IP address. The negotiation continues until a defense router on each traffic link accepts the request (phase 2). Next, the server through a feedback-control process adjusts size of leaky-buckets until inbound traffic locates in a desired range (phase 3). Then through a fingerprint test, the server detects which port interfaces of defense routers purely carry good traffic and subsequently asks corresponding defense routers to remove the leaky-bucket limitations for those port interfaces. Additionally, the server amends size of leaky-buckets for the defense routers proportional to amount of good traffic that each one carries (phase 4). Simulation-based results shows that our technique effectively, defenses a victim server against various DDoS attacks such that in most cases more than 90% of good inbound traffic reaches the server while the DDoS attack has been controlled as well.
INTRODUCTION
DDoS attack is a distributed challenge such that bogus packets arrive to the victim from several (e.g., thousands or hundreds of thousands) distributed points in the Internet (i.e., attack: many to one). Consequently, DDoS attack needs a distributed solution which several nodes should cooperate to tackle a DDoS attack (i.e., defense: many to many). Distinguishing DDoS packets from legitimate packets is more accurate when done near the victim server or at the victim server. In most DDoS attacks, the victim server can easily detects DDoS packets as these packets have invalid and bogus payload. On the other hand, the best place to parry the attack is the nodes close to traffic sources because (1) by installing a simple leaky- bucket and adjusting the size of leaky-buckets the large volume of traffic is controlled (2) as at nodes close to traffic sources legitimate traffic is more probable to not be mixed with the attack traffic on the same port interfaces of the routers, less number of nodes need filteringaction which it is a high-cost action (3) as any defense node experiences a small part of traffic, the overhead on nodes (from both computation resources and memory point of views) is low.
چکیده
این مقاله یک روش کنترل مبتنی بر بازخورد جدید ارائه می دهد که با حملات انکار سرویس توزیع شده (DDoS) در چهار مرحله متوالی مواجه می شود. در حالی که روترهای حفاظتی نزدیک کنترل ترافیک ورودی ترافیک و نگه داشتن سرور زنده (فاز 1)، سرور با روترهای جریان نزدیک نزدیک منابع ترافیک برای نصب سطل های نشت برای آدرس IP خود مذاکره می کند. مذاکره ادامه می یابد تا یک روتر دفاعی در هر لینک ترافیک درخواست را دریافت کند (فاز 2). بعد، سرور از طریق یک فرایند کنترل بازخورد، اندازه سطل های نشتی را تنظیم می کند تا زمانی که ترافیک ورودی در محدوده دلخواه قرار می گیرد (فاز 3). سپس با استفاده از یک تست اثر انگشت، سرور شناسایی می کند که کدام پورت های رابط روترهای دفاعی صرفا ترافیک خوب را حمل می کنند و بعد از آن روترهای دفاع متفاوتی را برای حذف محدودیت های نشتی برای این اینترفیس های پورت می فرستد. علاوه بر این، سرور مقادیر سطوح نشتی را برای روترهای دفاعی را متناسب با میزان ترافیک خوب که هر یک از آن حمل می کند، فزونی می دهد. نتایج مبتنی بر شبیه سازی نشان می دهد که تکنیک ما به طور موثر دفاع از سرور قربانی در برابر حملات مختلف DDoS است، به طوری که در اغلب موارد بیش از 90٪ از ترافیک ورودی خوب به سرور در حالی که حمله DDoS نیز کنترل شده است.
مقدمه
حمله DDoS یک چالش توزیع شده است، به طوری که بسته های جعلی از چندین (به عنوان مثال هزاران یا صدها هزار) نقاط توزیع شده در اینترنت (به عنوان مثال، حمله: بسیاری به یک) به قربانی می رسند. در نتیجه، حمله DDoS نیاز به یک راه حل توزیع شده دارد که چندین گره باید برای مقابله با یک حمله DDoS (به عنوان مثال، دفاع: بسیاری از بسیاری) همکاری کنند. جدا کردن بسته های DDoS از بسته های قانونی هنگام انجام دقیق در نزدیکی سرور قربانی یا سرور قربانی دقیق تر است. در بیشتر حملات DDoS، سرور قربانی می تواند به راحتی بسته های DDoS را شناسایی کند زیرا این بسته های بارگیری معتبر و نامعتبر هستند. از سوی دیگر، بهترین مکان برای حمله پریشانه، گره های نزدیک به منابع ترافیکی است زیرا (1) با نصب یک سطل نشتی ساده و تنظیم اندازه سطل های نشتی، حجم زیادی از ترافیک کنترل می شود (2) همانطور که در گره های نزدیک به منابع ترافیکی مشکالت ترافیکی بیشتر احتمال دارد که با ترافیک حمله در همان واسط های پورت روترها مخلوط نشوند، تعداد کمتر گره ها نیاز به فیلتر شدن دارند که یک عمل هزینه با هزینه بالا است (3) به عنوان هر گره دفاعی تجربی بخش کوچکی از ترافیک، سربار در گره (از هر دو محاسبات منابع و نقطه حافظه دیدگاه) کم است.
Year: 2012
Publisher : ELSEVIER
By : Hakem Beitollahi and Geert Deconinck
File Information: English Language/ 10 Page / size: 206 KB
Only site members can download free of charge after registering and adding to the cart
سال : 1391
ناشر : ELSEVIER
کاری از : حکیم بیت اللهی و جیر دکونینک
اطلاعات فایل : زبان انگلیسی / 10 صفحه / حجم : KB 206
نقد و بررسیها
هنوز بررسیای ثبت نشده است.