OLIVEIRA, Luis et al . Avaliação de Proteção contra Ataques de Negação de Serviços Distribuídos (DDoS) utilizando Lista de IPs Confiáveis. VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais-SBSEG, 2007, Rio de Janeiro - RJ, Anais, SBC, 2007.
CANSIAN, A. M., CORREA, J. L. Detecção de ataques de negativa de serviço por meio de fluxos de dados e sistemas inteligentes. VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais-SBSEG, 2007, Rio de Janeiro - RJ, Anais, SBC, 2007.
Resenhado por: Marcos Katsumi Kay. Pós-graduando em Criptografia e Segurança em Redes da Universidade Federal Fluminense.
Nos últimos anos, ataques DDoS têm obtido bastante importância, principalmente devido à sofisticação e coordenação na forma em que estes ataques são executados. A prevenção e o rastreamento dos ataques DDoS constituem operações de dificuldade elevada, devido ao grande número de máquinas atacantes envolvidas, ao uso de técnicas para forjar endereços IP, que escondem a origem verdadeira dos pacotes, e também à similaridade entre o tráfego legítimo e o tráfego de ataque. Essas dificuldades tornam a construção de ferramentas efetivas contra ataques DDoS uma tarefa desafiadora.
Em [Oliveira et al, 2007] é proposto um sistema de detecção e prevenção de ataques DDoS baseado numa arquitetura modularizada. A idéia principal da solução consiste em manter uma tabela com o histórico de boas conexões já estabelecidas na rede, para que em situações de ataque essas sejam favorecidas com a maior parte da largura de banda disponível em detrimento de conexões desconhecidas e/ou de atacantes que serão limitadas por filtros. Os resultados dos testes, segundo os autores, demonstraram que a solução apresenta bom desempenho contra ataques DDoS massivos, grande escalabilidade e baixo consumo de recursos do sistema enquanto não prejudica o trafego legítimo.
O trabalho em questão propõe um novo esquema de detecção e prevenção de ataques DDoS, denominado TIL (Trusted IP List). O TIL consiste no armazenamento dos endereços IP válidos que chegam no roteador de borda onde a solução é aplicada. Este trabalho assume como endereços IP válidos aqueles que no passado obedeceram a um modelo de fluxo predeterminado (por exemplo, endereços IP que obedecem ao handshake do TCP), garantindo assim que são legítimos e não são forjados. Em situações de ataque, o TIL faz uma comparação entre os endereços IP que estão chegando e os que foram armazenados até o instante anterior ao ataque, retornando uma lista com os IPs que nunca foram adicionados em sua tabela hash e que deverão ter o acesso limitado pelo firewall, de acordo com políticas pré-estabelecidas.
Uma política adotada durante os experimentos realizados foi a de limitar a largura de banda destinada ao IPs suspeitos (IPs fora da lista do TIL). Essa abordagem favorece os IPs que mantiveram boas conexões no passado em detrimento dos novos IPs que estão chegando, sejam estes atacantes ou não. Dessa forma, o TIL consegue minimizar os efeitos de um ataque DDoS rapidamente e evita a sobrecarga do servidor através do uso de políticas de favorecimento de fidelidade. Este trabalho também mostra que o mecanismo proposto apresenta alto desempenho contra ataques DDoS massivos, fornecendo independência em relação à infra-estrutura de rede adotada, já que é voltado para os roteadores de borda.
O segundo artigo, [Cansian e Corrêa, 2007], apresenta um novo modelo de detecção de anomalias e tentativas de intrusão baseado na utilização de fluxos de dados padrão Netflow e na capacidade classificatória das redes neurais. O modelo caracteriza-se pela detecção baseada no comportamento do ambiente de rede juntamente com a capacidade de absorção de conhecimento dos sistemas inteligentes. Um novo conceito de assinatura é utilizado, sendo testados diversos modelos ao longo da evolução do sistema. Ataques como DoS, DDoS e atividades de worms são rapidamente detectados, de forma automatizada e escalável para ambientes de médio e grande porte, caracterizando um efetivo modelo de monitor para redes conectadas à Internet.
Durante a análise deste artigo, desperta atenção o fato de a rede desenvolver capacidade de classificar padrões nunca antes vistos. Dessa forma, se um padrão X representa algum evento, a rede classificará este padrão como o evento Ataque A. Mesmo se a rede for submetida a um padrão de entrada nunca antes visto, ela será capaz de classificá-lo como sendo um evento Ataque A caso possua alguma semelhança com o evento X, conhecido do treinamento. Esta classificação é realizada com base em uma probabilidade. Desta forma, o modelo responderá qual o evento detectado e com qual probabilidade. Segundo os autores, isto deixa clara a eficiência da utilização de RNAs na detecção de anomalias em monitores de redes, tarefa na qual se conhece alguns padrões e necessita-se de um sistema inteligente que tome decisões com um certa precisão para novas ocasiões.
Uma possibilidade são eventos FlashCrowd que muito se assemelham aos ataques de DoS. A diferenciação ocorrerá se o treinamento apresentar padrões criteriosos que diferenciem tais eventos. De qualquer forma, uma anomalia será detectada, sendo o erro restrito ao tipo de evento acusado pelo sistema. Ainda segundo os autores, o caso de um falso negativo é menos provável, uma vez que os padrões anômalos são bastante diferentes dos padrões normais. Assim, as medidas quantitativas de falsos positivos e falsos negativos estão fortemente relacionadas às taxas de erros cometidas pela classificação neural.
Neste novo modelo de detecção, as assinaturas são representações de padrões de fluxos ocorridos no ambiente monitorado. Podem representar tanto eventos ilícitos quanto lícitos, de forma compatível com o modelo neural e, com a capacidade de detecção de eventos semelhantes a partir de uma mesma assinatura. Embora seja utilizado o conceito de assinatura, o modelo proposto pode ser classificado como um detector de eventos por anomalia, em contrapartida aos detectores por abuso que utilizam inerentemente assinaturas precisas dos eventos detectáveis.
A eficiência do sistema de detecção de anomalias está intimamente relacionada aos erros cometidos pela classificação neural. Se o processo de treinamento do sistema apresentar resultados que indicam uma convergência para a minimização dos erros de classificação, a eficiência na detecção das anomalias será obtida como conseqüência. Uma vez que o processo de treinamento se mostrou promissor, com baixas taxas erros, fica comprovada a eficiência do sistema.
O novo conceito de assinatura apresentado busca retratar uma detecção analisando o que o evento causa no ambiente, e não o que ele é; e.g. um código malicioso descrito em uma assinatura convencional. A análise deixa de ter caráter comparativo e passa a ter caráter comportamental. Os autores avalizam a utilização de mais de um modelo simultaneamente e ainda afirmam que é totalmente viável e pode contribuir para aumento da eficiência do sistema.
Descritos assim de forma geral o conteúdo dos dois artigos, pode-se observar que eles apresentam pontos de contato muito interessantes. Pode-se dizer que são quase que complementares.
Em primeiro lugar, nota-se o interesse exclusivo pelo primeiro artigo nos ataques do tipo DDoS, mas sem entrar no mérito da detecção de quando ocorre esses tipos de ataques. Assume-se, por exemplo, a possibilidade de se considerar um falso ataque e se prejudicar os usuários que ou nunca acessaram o sistema ou já foram excluídos da lista dos acessos confiáveis. Utilizando o sistema de detecção por redes neurais, seguindo a utilização por reconhecimento de padrões de ataques e não de normalidade, acredito que se possa melhorar o mecanismo proposto.
Outro ponto de contato interessante é descoberto quando a análise se parte a partir do segundo artigo. Ao contrário do anterior, o interesse aqui é sobre qualquer tipo de ataque detectável, ou melhor, dependendo do modelo considerado, qualquer anomalia ou fuga do padrão de normalidade (um possível ataque). A contribuição da solução adotada em [Oliveira et al, 2007] de se limitar a banda pode ser aplicada a outros tipos de ataques que não o DDoS, por exemplo, a de quando se pretende um ataque de dicionário (visa serviços com necessidade de autenticação, onde diversas tentativas de login são efetuadas com várias combinações de usuários e senhas).
Por último, até a possibilidade da mudança de abordagem de detecção de ataques, na origem (abordagem source-end), poderia ser utilizada a solução apresentada em [Cansian e Corrêa, 2007]. É uma idéia a ser implementada em empresas ou instituições que não gostariam de ver seus computadores utilizados para fins diversos de seus objetivos institucionais ou que não gostariam de ver prejudicadas a sua imagem. Trata-se, entretanto, de algo que, no limite, poderia apenas atenuar os ataques DDoS ou a contaminação por worms a outros sites. Devido à multiplicidade de órgãos estatais e não-estatais de diversos países regulando o uso da rede, não me permito achar que se trata de uma solução global muito viável.
