Název:
Heuristické metody pro potlačení DDoS útoků zneužívajících protokol TCP
Překlad názvu:
Heuristic Methods for the Mitigation of DDoS Attacks that Abuse TCP Protocol
Autoři:
Goldschmidt, Patrik ; Wrona, Jan (oponent) ; Kučera, Jan (vedoucí práce) Typ dokumentu: Bakalářské práce
Rok:
2019
Jazyk:
cze
Nakladatel: Vysoké učení technické v Brně. Fakulta informačních technologií
Abstrakt: [cze][eng]
TCP SYN Flood sa v súčasnosti radí medzi najpopulárnejšie útoky typu DoS. Táto práca popisuje sieťovú mitigačnú metódu TCP Reset Cookies ako jeden z možných spôsobov ochrany. Spomínaná metóda je založená na zahadzovaní všetkých prijatých pokusov o nadviazanie spojenia, až pokým s daným klientom nie je uzatvorená bezpečnostná asociácia na základe využitia mechanizmu TCP three-way-handshake. Tento prístup dokáže efektívne odraziť aj sofistikovanejšie útoky, avšak za cenu sekundového oneskorenia pri prvom nadväzovanom spojení daného klienta. Metóda však nie je vhodná vo všetkých prípadoch. Z tohto dôvodu táto práca ďalej navrhuje a implementuje spôsob dynamického prepínania rôznych mitigačných metód na základe aktuálne prebiehajúcej komunikácie. Tento projekt bol vykonaný ako súčasť bezpečnostného výskumu spoločnosti CESNET. Spomínaná implementácia metódy TCP Reset Cookies je už v čase písania tejto práce integrovaná do DDoS riešenia nasadeného na hlavnej sieti spoločnosti CESNET, ako aj v českom národnom peeringovom uzle NIX.CZ.
TCP SYN Flood is one of the most wide-spread DoS attack types used on computer networks nowadays. As a possible countermeasure, this thesis proposes a network-based mitigation method TCP Reset Cookies. The method utilizes the TCP three-way-handshake mechanism to establish a security association with a client before forwarding its SYN data. The algorithm can effectively mitigate even more sophisticated SYN flood attacks at the cost of 1-second delay for the first established connection. However, the method may not be suitable for all the scenarios, so decision-making algorithm to switch between different SYN Flood mitigation methods according to discovered traffic patterns was also developed. The project was conducted as a part of security research by CESNET. The discussed implementation of TCP Reset Cookies is already integrated into a DDoS protection solution deployed in CESNET's backbone network and Czech Internet exchange point at NIX.CZ.
Klíčová slova:
DDoS; DDoS mitigace; Heuristická mitigate DDoS; TCP Reset Cookies; TCP SYN Flood; TCP zneužití; DDoS; DDoS mitigation; Heuristic DDoS mitigation; TCP abuse; TCP Reset Cookies; TCP SYN Flood
Instituce: Vysoké učení technické v Brně
(web)
Informace o dostupnosti dokumentu:
Plný text je dostupný v Digitální knihovně VUT. Původní záznam: http://hdl.handle.net/11012/180181