1. Faculdade Estácio
Unidade João Pessoa
Identificação e Tratamento de Ataques de
Negação de Serviço Distribuído (DDoS)
Leandro Almeida
lcavalcanti.almeida@gmail.com
3. Definições...
“...são ataques caracterizados pela tentativa explícita de negar um
serviço a um usuário legítimo...” [Beitollahi and Deconinck, 2012]
“...são ataques coordenados sobre a disponibilidade de um ou
vários sistemas alvo através de muitas vítimas secundárias...”
[ Kumar and Selvakumar, 2013]
4. Em 2013, o termo DDoS obteve
número 100 no Google Trends
O país com maior interesse é a Rússia
5. O termo “how to DDoS” também
obteve número 100.
O país com maior interesse é a Suécia
12. Os ataques de 1996 e 2000 utilizavam
técnicas de ICMP, UDP e TCP SYN Flooding
e tinham ferramentas como:
-TFN (Tribe Flood Network)
-TRIN00
- STACHELDRAHT
-TFN2K
13. DRDoS – Distributed Reflected Denial of Service
ICMP Echo
Request
...
ICMP Echo
Request
ICMP Echo
Request
ICMP Echo
Request
Atacante falsifica seu IP, usando o IP do Alvo
ICMP Echo
Reply
ICMP Echo
Reply
ICMP Echo
Reply
ICMP Echo
Reply
33. Em sistems baseados em Linux:
- Módulo limit do iptables
- Módulo SYN Cookies do kernel
- Módulo rp_filter do kernel
34. Para detectar os ataques, trabalhos
científicos utilizam informações como:
-Tamanho do pacote
- Intervalo de tempo entre pacotes
- Comportamento do navegador Web
- Payload do pacote
- Flags TCP
- Erros SYN
- Números de sequência TCP
- Endereços IP
-...
- Lógica Fuzzy
-Algoritmos Genéticos
- Modelo de Markov
- Machine Learning
- Redes Neurais
36. Estudamos o ataque repetindo-o diversas vezes
até ser possível identificá-lo com o mínimo de
características possíveis
-Tamanho do pacote
-Tempo entre chegadas
- Campo Pragma do HTTP
- Endereço IP de origem
- Porta de destino