OLIVEIRA, Luis et al
. Avaliação de Proteção contra Ataques de Negação de Serviços
Distribuídos (DDoS) utilizando Lista de IPs Confiáveis. VII Simpósio
Brasileiro em Segurança da Informação e de Sistemas Computacionais-SBSEG,
2007, Rio de Janeiro - RJ, Anais, SBC, 2007.
CANSIAN, A. M., CORREA,
J. L. Detecção de ataques de negativa de serviço por meio de fluxos
de dados e sistemas inteligentes. VII Simpósio Brasileiro em Segurança
da Informação e de Sistemas Computacionais-SBSEG, 2007, Rio de Janeiro
- RJ, Anais, SBC, 2007.
Resenhado
por: Marcos Katsumi Kay. Pós-graduando em Criptografia e Segurança
em Redes da Universidade Federal Fluminense.
Nos últimos anos, ataques
DDoS têm obtido bastante importância, principalmente devido à sofisticação
e coordenação na forma em que estes ataques são executados. A prevenção
e o rastreamento dos ataques DDoS constituem operações de dificuldade
elevada, devido ao grande número de máquinas atacantes envolvidas,
ao uso de técnicas para forjar endereços IP, que escondem a origem
verdadeira dos pacotes, e também à similaridade entre o tráfego legítimo
e o tráfego de ataque. Essas dificuldades tornam a construção de
ferramentas efetivas contra ataques DDoS uma tarefa desafiadora.
Em [Oliveira et al,
2007] é proposto um sistema de detecção e prevenção de ataques
DDoS baseado numa arquitetura modularizada. A idéia principal da solução
consiste em manter uma tabela com o histórico de boas conexões já
estabelecidas na rede, para que em situações de ataque essas sejam
favorecidas com a maior parte da largura de banda disponível em detrimento
de conexões desconhecidas e/ou de atacantes que serão limitadas por
filtros. Os resultados dos testes, segundo os autores, demonstraram
que a solução apresenta bom desempenho contra ataques DDoS massivos,
grande escalabilidade e baixo consumo de recursos do sistema enquanto
não prejudica o trafego legítimo.
O trabalho em questão
propõe um novo esquema de detecção e prevenção de ataques DDoS,
denominado TIL (Trusted IP List). O TIL consiste no armazenamento dos
endereços IP válidos que chegam no roteador de borda onde a solução
é aplicada. Este trabalho assume como endereços IP válidos aqueles
que no passado obedeceram a um modelo de fluxo predeterminado (por exemplo,
endereços IP que obedecem ao handshake do TCP), garantindo assim que
são legítimos e não são forjados. Em situações de ataque, o TIL
faz uma comparação entre os endereços IP que estão chegando e os
que foram armazenados até o instante anterior ao ataque, retornando
uma lista com os IPs que nunca foram adicionados em sua tabela hash
e que deverão ter o acesso limitado pelo firewall, de acordo com políticas
pré-estabelecidas.
Uma política adotada
durante os experimentos realizados foi a de limitar a largura de banda
destinada ao IPs suspeitos (IPs fora da lista do TIL). Essa abordagem
favorece os IPs que mantiveram boas conexões no passado em detrimento
dos novos IPs que estão chegando, sejam estes atacantes ou não. Dessa
forma, o TIL consegue minimizar os efeitos de um ataque DDoS rapidamente
e evita a sobrecarga do servidor através do uso de políticas de favorecimento
de fidelidade. Este trabalho também mostra que o mecanismo proposto
apresenta alto desempenho contra ataques DDoS massivos, fornecendo independência
em relação à infra-estrutura de rede adotada, já que é voltado
para os roteadores de borda.
O
segundo artigo, [Cansian e Corrêa, 2007], apresenta um novo modelo
de detecção de anomalias e tentativas de intrusão baseado na utilização
de fluxos de dados padrão Netflow e na capacidade classificatória
das redes neurais. O modelo caracteriza-se pela detecção baseada no
comportamento do ambiente de rede juntamente com a capacidade de absorção
de conhecimento dos sistemas inteligentes. Um novo conceito de assinatura
é utilizado, sendo testados diversos modelos ao longo da evolução
do sistema. Ataques como DoS, DDoS e atividades de worms são rapidamente
detectados, de forma automatizada e escalável para ambientes de médio
e grande porte, caracterizando um efetivo modelo de monitor para redes
conectadas à Internet.
Durante a análise
deste artigo, desperta atenção o fato de a rede desenvolver capacidade
de classificar padrões nunca antes vistos. Dessa forma, se um padrão
X representa algum evento, a rede classificará este padrão como o
evento Ataque A. Mesmo se a rede for submetida a um padrão de entrada
nunca antes visto, ela será capaz de classificá-lo como sendo um evento
Ataque A caso possua alguma semelhança com o evento X, conhecido do
treinamento. Esta classificação é realizada com base em uma probabilidade.
Desta forma, o modelo responderá qual o evento detectado e com qual
probabilidade. Segundo os autores, isto deixa clara a eficiência da
utilização de RNAs na detecção de anomalias em monitores de redes,
tarefa na qual se conhece alguns padrões e necessita-se de um sistema
inteligente que tome decisões com um certa precisão para novas ocasiões.
Uma possibilidade são
eventos FlashCrowd que muito se assemelham aos ataques de DoS. A diferenciação
ocorrerá se o treinamento apresentar padrões criteriosos que diferenciem
tais eventos. De qualquer forma, uma anomalia será detectada, sendo
o erro restrito ao tipo de evento acusado pelo sistema. Ainda segundo
os autores, o caso de um falso negativo é menos provável, uma vez
que os padrões anômalos são bastante diferentes dos padrões normais.
Assim, as medidas quantitativas de falsos positivos e falsos negativos
estão fortemente relacionadas às taxas de erros cometidas pela classificação
neural.
Neste novo modelo de
detecção, as assinaturas são representações de padrões de fluxos
ocorridos no ambiente monitorado. Podem representar tanto eventos ilícitos
quanto lícitos, de forma compatível com o modelo neural e, com a capacidade
de detecção de eventos semelhantes a partir de uma mesma assinatura.
Embora seja utilizado o conceito de assinatura, o modelo proposto pode
ser classificado como um detector de eventos por anomalia, em contrapartida
aos detectores por abuso que utilizam inerentemente assinaturas precisas
dos eventos detectáveis.
A eficiência do sistema
de detecção de anomalias está intimamente relacionada aos erros cometidos
pela classificação neural. Se o processo de treinamento do sistema
apresentar resultados que indicam uma convergência para a minimização
dos erros de classificação, a eficiência na detecção das anomalias
será obtida como conseqüência. Uma vez que o processo de treinamento
se mostrou promissor, com baixas taxas erros, fica comprovada a eficiência
do sistema.
O novo conceito de assinatura
apresentado busca retratar uma detecção analisando o que o evento
causa no ambiente, e não o que ele é; e.g. um código malicioso descrito
em uma assinatura convencional. A análise deixa de ter caráter comparativo
e passa a ter caráter comportamental. Os autores avalizam a utilização
de mais de um modelo simultaneamente e ainda afirmam que é totalmente
viável e pode contribuir para aumento da eficiência do sistema.
Descritos assim de forma
geral o conteúdo dos dois artigos, pode-se observar que eles apresentam
pontos de contato muito interessantes. Pode-se dizer que são quase
que complementares.
Em primeiro lugar, nota-se
o interesse exclusivo pelo primeiro artigo nos ataques do tipo DDoS,
mas sem entrar no mérito da detecção de quando ocorre esses tipos
de ataques. Assume-se, por exemplo, a possibilidade de se considerar
um falso ataque e se prejudicar os usuários que ou nunca acessaram
o sistema ou já foram excluídos da lista dos acessos confiáveis.
Utilizando o sistema de detecção por redes neurais, seguindo a utilização
por reconhecimento de padrões de ataques e não de normalidade, acredito
que se possa melhorar o mecanismo proposto.
Outro ponto de contato
interessante é descoberto quando a análise se parte a partir do segundo
artigo. Ao contrário do anterior, o interesse aqui é sobre qualquer
tipo de ataque detectável, ou melhor, dependendo do modelo considerado,
qualquer anomalia ou fuga do padrão de normalidade (um possível ataque).
A contribuição da solução adotada em [Oliveira et al, 2007] de se
limitar a banda pode ser aplicada a outros tipos de ataques que não
o DDoS, por exemplo, a de quando se pretende um ataque de dicionário
(visa serviços com necessidade de autenticação, onde diversas tentativas
de login são efetuadas com várias combinações de usuários e senhas).
Por último, até a
possibilidade da mudança de abordagem de detecção de ataques, na
origem (abordagem source-end), poderia ser utilizada a solução
apresentada em [Cansian e Corrêa, 2007]. É uma idéia a ser implementada
em empresas ou instituições que não gostariam de ver seus computadores
utilizados para fins diversos de seus objetivos institucionais ou que
não gostariam de ver prejudicadas a sua imagem. Trata-se, entretanto,
de algo que, no limite, poderia apenas atenuar os ataques DDoS ou a
contaminação por worms a outros sites. Devido à multiplicidade de
órgãos estatais e não-estatais de diversos países regulando o uso
da rede, não me permito achar que se trata de uma solução global
muito viável.
