Dağıtık Servis Dışı Bırakma Saldırılarına Karşı Filtreleme Tabanlı Savunma Mekanizmaları

Transkript

1 Dağıtık Servis Dışı Bırakma Saldırılarına Karşı Filtreleme Tabanlı Savunma Mekanizmaları Kübra Kalkan*, Gürkan Gür*, Şerafettin Şentürk^ *SATLAB, Bilgisayar Müh. Bölümü, Boğaziçi Üniversitesi, Bebek, 34342, Istanbul, TR ^Kuveyt Türk Ar-Ge Merkezi Özet: Bu çalışmada, Servis Dışı Bırakma Saldırıları na (Distributed Denial of Service - DDoS) karşı filtreleme tabanlı savunma mekanizmalarının bir analizi gerçekleştirilecektir. Öncelikle bu savunma mekanizmalarının literatürdeki örnekleri belirlenerek sınıflandırılacaktır. Sonrasında bu alanda ortaya çıkan araştırma konuları ve açık problemler tartışılacaktır. Bu sınıflandırma araştırmacıların daha önce önerilmiş filtreleme metodlarındaki eksiklikleri belirlemelerine ve dolayısıyla daha etkin çözümler geliştirmelerine yardımcı olacaktır. Anahtar Sözcükler: DDoS, saldırı filtreleme, ağ güvenliği, saldırı algılama ve engelleme sistemleri. Filtering Based Defense Mechanisms against Distributed Denial of Service Attacks Abstract: This paper presents an analysis of filtering based defense mechanisms against Distributed Denial of Service (DDoS) attacks. Several filtering techniques are identified and their advantages and disadvantages are presented. The relevant research efforts are identified and discussed for rendering the current state of the art in the literature. This classification will also help researchers to address weaknesses of these filtering methods and thus mitigate DDoS attacks using more effective defense mechanisms. Keywords: DDoS, attack filtering, network security, attack detection and prevention systems. 1. Giriş Artan ve yaygınlaşan DDoS saldırıları nedeniyle DDoD önemli bir araştırma konusudur. Güçlü ve etkin bir ağ güvenliği stratejisi DDoS saldırılarını kapsamak durumundadır. Bu tarz çalışmaların ilk zamanlarında DDoS saldırılarının tanımlanması ve özelliklerinin belirlenmesine odaklanılmıştır [1] [5]. Ayrıca saldırı araçlarının özellikleri, avantaj/dezavantajları ve sınıflandırması ile ilgili çalışmalar da bulunmaktadır [2], [5]. DDoS saldırıları kurban sistemlerin kaynaklarını tüketmek için çeşitli araçlar kullanırlar. Bu araçlara örnek olarak Trinoo [6], TFN [7], TFN2K [8], Stacheldraht [9], mstream [10], Shaft [11], Trinity [12], ve Knight [13] sayılabilir. Bu DDoS çalışmalarının ana amacı gerekli savunma yeteneklerini geliştirmek ve saldırılara dayanabilecek bir güvenlik altyapısının bileşenlerini oluşturmaktır. Bu açıdan, temel savunma yaklaşımı algılama (detection) ve engelleme (prevention)

2 kapasitesini içermektedir. DDoS saldırıları genel olarak meşru kullanıcıların paketlerine çok benzer paketler kullandığından bu aktvitelerin ayırdına varılması ve algılanması zordur. Aynı zamanda bu ayırt etme zorluğu yanlış pozitif denen yanlış alarmlara neden olur. Dolayısıyla, iyi bir algılama tekniği hzılı bir şekilde DDoS saldırılarını farketmeli ve düşük bir yanlış pozitif oranına sahip olmalıdır. DDoS saldırısı aynı zamanda bir sızma olduğundan DDoS algılama tekniklerinin ilk sınıflandırmaları Sızma Algılama Sistemleri (Intrusion Detection Systems - IDS) altına yerleştirilmiştir. IDS ler iki algılama yaklaşımına dayanırlar : anomali-tabanlı (anomaly-based) ve imzatabanlı (signature-based) [5]. Anomali-tabanlı algılamada normal bir davranış yeterince uzun bir eğitim periyodunda öğrenilir. Böylece işleyiş sırasında bu kalıptan anormal bir sapma algılanır. Öbür taraftan imzatabanlı algılamada daha önceden gerçekleşmiş saldırlar incelenerek imzalar/örüntüleri belirlenir. Böylece benzer bir örüntü algılandığında saldırı olarak işaretlenir. DDoS algılamasını elle tutulur bir fayda sağlayabilmesi açısından bir savunma mekanizmanın (karşı-önleminin) takip etmesi gerekir. Bu açıdan düşman paketlerin ve akımların filtrelenmesi ve eliminasyonu sisteme zarar gelmesini engelleyen çok etkili bir DDoS karşıönlemidir. Filtre temelde bir paketin sisteme girmesine izin veren veya bunu engelleyen tanımlı bir kuraldır [14]. Bir etki yöresine girmelerinden önce paketlere izin vererek veya onları engelleyerek çalıştıklarından genelde yönlendiricilere yerleştirilirler. Bu mekanizmalar bir saldırıyı çok sayıda makineye zarar vermeden durdukları için çok önemlidirler. 2. Filtreleme Tekniklerinin Sınıflandırılması Her modelin kendine özgü pozitif ve negatif yönleri olduğu için DDoS saldırılarına karşı bu modellerden herhangi birisi en iyi sonucu verir demek pek mümkün değildir. Bu sebeple, ağ yöneticileri kendi ihtiyaçlarını belirleyip, kendileri için uygun olan model ya da modelleri seçmelidirler. Bu modelleri daha iyi anlayıp, en uygun kararı verebilmeleri için Şekil 1 de bu metotların sınıflandırılması yapılmıştır. Bu matrise göre, dört temel filtreleme temelli savunma mekanizma tipi vardır: bireysel + proaktif filtreleme, kooperatif + proaktif filtreleme, bireysel + reaktif filtreleme ve kooperatif + reaktif filtreleme. Bireysel proakttif filtreleme kolay dağılım ve hızlı müdahale imkanı sağlar. Bu da mekanizmanın araya girerek DDoS saldırılarının ağ operasyonlarını harap etmeden engellenmesi anlamına gelir. Ancak, bu mekanizma sürekli aktif olduğu için, performans bakımından sisteme ekstra yük ekler. Eğer bu yararlı yönleri sitemimiz için daha önemliyse Giriş Çıkış Filtrelemesi (Ingress/Eggress Filtering) [15], Rota Tabanlı Paket Filtrelemesi (Route Based Packet Filtering) [16], Kaynak Adres Doğrulama Şekil 1. DDoS savunma mekanizmalarının sınıflandırması.

3 Zorunluluğu (Source Address Validity Enforcement) [17] ve Paket Skoru (PacketScore) [19] mekanizmaları sisteme adapte edilebilir. Öte yandan da kooperatif proaktif filtreleme işbirlikçi ve önleyici mekanizmalar sağlar. Bu mekanizma ağa dağıtıldığında, DDoS saldırısının yayılıp da tüm ağı etkilemeden, kaynağa çok yakın bir yerlerde bloke edilmesini sağlar. Ayrıca, bu mekanizmalar filtreye karar verirken ağ hakkında daha fazla bilgi ve genel bakış açısına sahip olduğu için, bireysel mekanizmalardan çok doğru sonuçlar verirler. Ancak bildiğimiz kadarıyla literatürde kooperatif ve proaktif olan yalnızca bir çalışma bulunmaktadır [20]. Bu senaryo biraz zor bir senaryodur, çünkü daha hiçbir saldırı gerçekleşmeden tüm katılımcıların işbirliğini kabul etmesi gerekmektedir. Bu sebeple bu konu, güvenlik araştırmacılarının daha fazla araştırma ve önemli katkılarını hak etmektedir. Bireysel reaktif filtreleme ise DDoS saldırısının tespit edilmesinden sonra devreye giren ve kolay dağılım sağlayan bir mekanizmadır. Eğer ekstra yükü kaldıramayacağından dolayı sadece kısa bir süre aktif olacak bir mekanizmaya ihtiyacımız varsa ve ağ içerisine dağıtmamız mümkün değilse bu tip filtreleme tercih edilebilir. Zıplama Sayan Filtreleme (Hop Count Filtering) [18] bu özellikleri sağlayan bir filtrelemedir. Öte yandan, kooperatif reaktif filtreleme DDoS saldırısı tespit edildikten sonra işbirliğiyle karar verilmesini sağlar. Geri İtme (Pushback) [21], Aktif Internet Trafiği Filtresi (Active Internet Traffic Filtering) [22], DurdurOnu (StopIt) [23], Olasılıksal Filtreleme Planlaması (Probabilistic Filter Scheduling) [14] ve Adaptif Olasılıksal Filtreleme Planlaması [24] modelleri DDoS saldırısı tespit edildikten sonra devreye girer ve filtreler, iletişim halinde bulunan makineler arasında yayılır. Bu konu pratik uygulamalar için literatürde ayrıntısıyla incelenmiştir. 3. Öne çıkan araştırma konuları Temel olarak kötücül yazılım yayılımının aşağıdaki parametreleri incelenerek model geliştirilmesi sağlanacaktır: Cihazlarda, yazılımlarda ve internetteki son gelişmeler DDoS savunması için daha karmaşık bir ortam oluşmasına sebep olmuştur. Bu bağlamda önde gelen olaylar şu şekilde listelenebilir[2]: Heterojen ortamlar ve kullanıcı ve sistemlerin hiper bağlantısı: Bilgisayar ağları farklı sistemlerin, cihazların, yazılımın entegrasyonu ve yayılmasıyla çok daha fazla heterojen olmaya başlamıştır. Diğer taraftan, internet ve akıllı mobil cihazların çoğalmasının her zaman, her yerden bağlanabilme olanağını artırmasından dolayı, bilgi güvenliğinin bilgisayar ağı tarafı benzeri görülmemiş bir seviyeye ulaştı. Güvenilmeyen ve bilinmeyen geliştirici yazılımlarının sirkülasyonu: İnternet ve mobil cihazların yayılımı ile bilinmeyen kaynaklardan gelen yazılımın sirkülasyonu dramatik olarak artmıştır. Bu tarz yazılımların kontrol edilmesi zor olan hesaplama ve iletişim ortamlarından geri alınması ve bu ortamlarda kurulması genelde anlıktır. Siber Fiziksel Sistemler (SFS): [25] e göre, SFS ler fiziksel süreçlerin ve hesaplamanın entegrasyonudur. Gömülü bilgisayarlar ve bilgisayar ağları fiziksel süreçleri genellikle fiziksel süreçlerin hesaplamalara etki ettiği geribildirim döngüleri ile izler ve kontrol eder. Ve tam tersi de bu şekildedir. Bu tip sistemlerin güvenliği bilgisayarları, yazılımı, donanımı, bilgisayar ağlarını ve fiziksel süreçleri bütünsel olarak görmeyi gerektirmektedir [26].

4 Şekil 2. IP ağlarında son gelişmeler ve bunların etkisiyle ortaya çıkan filtreleme tabanlı savunma mekanizmalarında yeni araştırma konuları. Bu koşullar nedeniyle, temel güvenlik hedeflerini desteklemek amacıyla yapılan DDoS savunmasının karmaşıklığı çok yüksek bir seviyeye ulaşmıştır. Bu bağlamda, gelişen teknolojiler ve sistemler için etki alanına özgü senaryolardaki filtreleme tabanlı ağ savunma uygulaması bazı temel zorluklara sahiptir. Bu faktörler konu ile ilgili geleceğin araştırma başlıkları için aşağıdaki etkilerle sonuçlanmıştır. Karmaşıklık: Filtreleme mekanizmaları artan sistem büyüklüğü ve çeşitliliğinden dolayı çok kompleks hale gelebilirler. Bu karmaşıklık aynı zamanda ağ fonksiyonları ve servislerinin çeşitliliği ile büyüyecektir. Geçerlilik: ICT sistemlerinin hızlanan gelişimi ile birlikte, yüksek etkili filtreleme planı hızlı bir şekilde kullanılmaz hale gelecektir. Tipik bir örnek, gelişmekte olan içerik merkezli operasyondur. Bu operasyon uygulama seviyesinde veya sosyal hususlarca kolaylaştırılan, adresleme şemalarını aktif eden ağ lokasyonlarının yerine içeriği tanımaktadır. Geleneksel IP nin hali hazırdaki tasarımı değiştirilmiş ve operasyon modu daha çok servis ve içeriğe dayalı bir yapıya kavuşturulmuştur[66]. Bu değişiklik filtreleme tabanlı savunma sistemlerinde temel bir adaptasyonu gerekli kılacaktır. Yaygınlık: Filtreleme metotları yaygın uygulanan bir yapı olmaktan ziyade daha özel çözümler olmaya ihtiyaç duymaktadır. Bu durum şemaların tekrar kullanılabilme özelliğini kısıtlamaktadır. Yaygınlık ve belirli durumlar için optimize edilebilme özelliği arasındaki dengeler daha fazla araştırmayı gerektirmektedir. Doğal olarak parçalanmış ve farklı CPS ler bu açıdan zorludur. Bu zorluklar aynı zamanda filtreleme tabanlı DDoS savunması için gelecekteki araştırma yönelimlerini artıracaktır. Yaygınlaşan hedefli ve koordine bir şekilde gerçekleştirilen ataklar geleneksel savunma metotlarının gücünü zayıflatmaktadır. Buna ek olarak bilgisayar ağlarının sınırlarını savunmak neredeyse yapılamaz hale gelmektedir. Çünkü sınırlar son derece belirsiz bir hal almıştır[2]. Bu yüzden DDOS

5 ataklarına karşı ağ korumasını güçlendirmek için yeni yaklaşımlar ve sistemler gerekmektedir. Bu başlıktaki temel konular Şekil 2 de gösterilmiştir [27]. 4. Sonuç ve tartışma Bu çalışmada, filtreleme tabanlı DDoS savunma mekanizmalarının kapsamlı bir değerlendirmesi sunulmuştur. İlk olarak, DDoS algılama yöntemlerinin bazı özellikleri açıklanmıştır. Sonrasında filtreleme teknikleri için sınıflandırma yaklaşımı önerilmiştir. Bu teknikler zamanlama ve ortaklaşa çalışma özelliklerine sınıflandırılabilirler. Ayrıca, filtreleme mekanizmaları ve DDoS savunması konularında ortaya çıkan bazı araştırma alanları belirlenmiştir. Teşekkür Bu çalışma TÜBİTAK TEYDEB STS Projesi (no ) kapsamında desteklenmiştir. 5. Kaynaklar [1] D. Karig and R. Lee, Remote denial of service attacks and countermeasures, Dept. of Electrical Eng., Princeton University, Tech. Rep., [2] S. M. Specht, Distributed denial of service: taxonomies of attacks, tools and countermeasures, in Proceedings of the International Workshop on Security in Parallel and Distributed Systems, 2004, 2004, pp [3] J. Mirkovic and P. Reiher, A taxonomy of DDoS attack and DDoS defense mechanisms, SIGCOMM Comput. Commun. Rev., vol. 34, no. 2, pp , Apr [4] R. B. Lee, Taxonomies of distributed denial of service networks, attacks, tools and countermeasures, rblee, [5] A. Mitrokotsa and C. Douligeris, DDoS attacks and defense mechanisms: Classification and state-of-the-art, Computer Networks, vol. 44, no. 5, pp , April [6] P. J. Criscuolo, Distributed denial of service - TrinOO, tribe flood network, tribe flood network 2000, and stacheldraht, Department of Energy Computer Incident Advisory (CIAC), CIAC- 2319, UCRL-ID , Rev. 1, [7] D. Dittrich, The tribe flood network distributed denial of service attack tool, University of Washington, [8] J. Barlow and W. Thrower, TFN2K- an analysis, Available from http: //security.royans.net/info/posts/bugtraqddos2. shtml, [9] D. Dittrich, The stacheldraht distributed denial of service attack tool, University of Washington, [10] S. D. D. Dittrich, G. Weaver and N. Long, The mstream distributed denial of service attack tool, University of Washington, [11] S. Dietrich, N. Long, and D. Dittrich, Analyzing distributed denial of service tools: The shaft case, in Proceedings of the 14th USENIX Conference on System Administration, ser. LISA 00, 2000, pp [12] B. Hancock, Trinity v3, a DDoS tool, hits the streets, Computers & Security, vol. 19, no. 7, p. 574, [13] CERT Coordination Center, CERT advisory CA continuing threats to

6 home users, Available from CA html, [14] D. Seo, H. Lee, and A. Perrig, PFS: Probabilistic filter scheduling against distributed denial-of-service attacks, in IEEE 36th Conference on Local Computer Networks (LCN), Oct 2011, pp [15] P. Ferguson and D. Senie, Network ingress filtering: Defeating denial of service attacks which employ IP source address spoofing, Internet Requests for Comments, RFC Editor, RFC 2827, [Online]. Available: [16] K. Park and H. Lee, On the effectiveness of route-based packet filtering for distributed DoS attack prevention in power-law Internets, SIGCOMM Comput. Commun. Rev., vol. 31, no. 4, pp , [17] J. Li, J. Mirkovic, M. Wang, P. Reiher, and L. Zhang, SAVE: Source address validity enforcement protocol, in IEEE INFOCOM 2002, 2001, pp [18] C. Jin, H. Wang, and K. G. Shin, Hopcount filtering: An effective defense against spoofed DDoS traffic, in Proceedings of the 10th ACM Conference on Computer and Communications Security, ser. CCS 03, 2003, pp [19] Y. Kim, W. C. Lau, M. C. Chuah, and H. J. Chao, PacketScore: Statistics-based overload control against distributed denial-ofservice attacks, in INFOCOM 2004, vol. 4, 2004, pp [20] A. D. Keromytis, V. Misra, and D. Rubenstein, Sos: An architecture for mitigating DDoS attacks, Selected Areas in Communications, IEEE Journal on, vol. 22, no. 1, pp , [21] R. Mahajan, S. M. Bellovin, S. Floyd, J. Ioannidis, V. Paxson, and S. Shenker, Controlling high bandwidth aggregates in the network, ACM SIGCOMM Computer Communication Review, vol. 32, no. 3, pp , [22] K. Argyraki and D. R. Cheriton, Active Internet traffic filtering: Realtime response to denial-of-service attacks, in Proceedings of the Annual Conference on USENIX Annual Technical Conference, ser. ATEC 05. Berkeley, CA, USA: USENIX Association, 2005, pp [23] X. Liu, X. Yang, and Y. Lu, To filter or to authorize: Network-layer DoS defense against multimillion-node botnets, in ACM SIGCOMM 2008, [24] D. Seo, H. Lee, and A. Perrig, APFS: Adaptive probabilistic filter scheduling against distributed denial-of-service attacks, Computers & Security, vol. 39, pp , [25] P. Derler, E. A. Lee, and A. S. Vincentelli, Modeling cyber physical systems, Proceedings of the IEEE, vol. 100, no. 1, pp , [26] R. Mitchell and I.-R. Chen, A survey of intrusion detection techniques for cyberphysical systems, ACM Comput. Surv., vol. 46, no. 4, pp. 55:1 55:29, Mar [27] K. Kalkan, G. Gür, and F. Alagöz "Filtering Based Defense Mechanisms Against DDoS Attacks: A Survey," IEEE Systems Journal., in progress.