mscis thesis Πρόληψη denial of service Επιθέσεων σε publish/subscribe ...
DESCRIPTION
MScIS Thesis Πρόληψη Denial of Service Επιθέσεων σε Publish/Subscribe Δίκτυα Επιβλέποντες : Λεκτ. Ι. Μαριάς / Καθ. Γ. Πολύζος. Δημήτρης Β. Χρηστίδης. Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα. Πρόβλημα. Αυξανόμενη δραστηριότητα κακόβουλων χρηστών - PowerPoint PPT PresentationTRANSCRIPT
![Page 1: MScIS Thesis Πρόληψη Denial of Service Επιθέσεων σε Publish/Subscribe Δίκτυα Επιβλέποντες :](https://reader036.vdocuments.site/reader036/viewer/2022062314/56813b80550346895da4a36e/html5/thumbnails/1.jpg)
MScIS Thesis
Πρόληψη Denial of Service Επιθέσεων σε Publish/Subscribe Δίκτυα
Επιβλέποντες: Λεκτ. Ι. Μαριάς / Καθ. Γ. Πολύζος
Δημήτρης Β. Χρηστίδης
![Page 2: MScIS Thesis Πρόληψη Denial of Service Επιθέσεων σε Publish/Subscribe Δίκτυα Επιβλέποντες :](https://reader036.vdocuments.site/reader036/viewer/2022062314/56813b80550346895da4a36e/html5/thumbnails/2.jpg)
ΠρόβλημαΠρόβλημα• Αυξανόμενη δραστηριότητα κακόβουλων
χρηστών• Έλλειψη γενικευμένου τρόπου αντιμετώπισης• Τα ήδη χρησιμοποιούμενα και προτεινόμενα
μέτρα υπερφορτώνουν το δίκτυο και δημιουργούν ευκαιρίες για νέες επιθέσεις
• Οι reactive μηχανισμοί λειτουργούν αφού πρώτα επιτευχθεί η επίθεση
Δημήτρης Β. Χρηστίδης
Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα
![Page 3: MScIS Thesis Πρόληψη Denial of Service Επιθέσεων σε Publish/Subscribe Δίκτυα Επιβλέποντες :](https://reader036.vdocuments.site/reader036/viewer/2022062314/56813b80550346895da4a36e/html5/thumbnails/3.jpg)
ΣτόχοιΣτόχοι• Δημιουργία πλαισίου για την πρόληψη των DoS
επιθέσεων σε Publish/Subscribe δίκτυα• Αύξηση επιπέδου δυσκολίας για την ανάπτυξη
επιθέσεων• Διαχωρισμός των χρηστών ανάλογα με την
επικινδυνότητά τους• Υπολογιστικά φτηνή λύση για το δίκτυο
Δημήτρης Β. Χρηστίδης
Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα
![Page 4: MScIS Thesis Πρόληψη Denial of Service Επιθέσεων σε Publish/Subscribe Δίκτυα Επιβλέποντες :](https://reader036.vdocuments.site/reader036/viewer/2022062314/56813b80550346895da4a36e/html5/thumbnails/4.jpg)
MotivationMotivation
• Σχεδιασμός της Publish/Subscribe Internet Routing (PSIRP) αρχιτεκτονικής
• Σχεδίαση γενικευμένου πλαισίου ασφάλειας για Publish/Subscribe δίκτυα
Δημήτρης Β. Χρηστίδης
Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα
![Page 5: MScIS Thesis Πρόληψη Denial of Service Επιθέσεων σε Publish/Subscribe Δίκτυα Επιβλέποντες :](https://reader036.vdocuments.site/reader036/viewer/2022062314/56813b80550346895da4a36e/html5/thumbnails/5.jpg)
Επισκόπηση ΠαρουσίασηςΕπισκόπηση Παρουσίασης• Χαρακτηριστικά και λειτουργίες
Publish/Subscribe συστημάτων• Χαρακτηριστικά PSIRP• Επιθέσεις DoS/DDoS και προτεινόμενα μέτρα• Εισαγωγή στα Puzzles• Χρήση των Puzzles• Μοντέλο κατάταξης• Πρωτότυπο λειτουργίας• Λοιπά θέματα
Δημήτρης Β. Χρηστίδης
Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα
![Page 6: MScIS Thesis Πρόληψη Denial of Service Επιθέσεων σε Publish/Subscribe Δίκτυα Επιβλέποντες :](https://reader036.vdocuments.site/reader036/viewer/2022062314/56813b80550346895da4a36e/html5/thumbnails/6.jpg)
Publish/Subscribe Publish/Subscribe Συστήματα (1)Συστήματα (1)
• Ασύγχρονη επικοινωνία
• Αποκεντρωμένη διανομή πληροφοριών
• Υποστήριξη πληροφοριοκεντρικών εφαρμογών
• Σχετική ανωνυμία συμμετεχόντων
Δημήτρης Β. Χρηστίδης
Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα
![Page 7: MScIS Thesis Πρόληψη Denial of Service Επιθέσεων σε Publish/Subscribe Δίκτυα Επιβλέποντες :](https://reader036.vdocuments.site/reader036/viewer/2022062314/56813b80550346895da4a36e/html5/thumbnails/7.jpg)
Publish/Subscribe Publish/Subscribe Συστήματα (2)Συστήματα (2)
ΣυγχρονισμόςΧρηστών
ΣυντονισμόςΧρηστών
Δημήτρης Β. Χρηστίδης
Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα
![Page 8: MScIS Thesis Πρόληψη Denial of Service Επιθέσεων σε Publish/Subscribe Δίκτυα Επιβλέποντες :](https://reader036.vdocuments.site/reader036/viewer/2022062314/56813b80550346895da4a36e/html5/thumbnails/8.jpg)
Χαρακτηριστικά Χαρακτηριστικά PSIRPPSIRP• Rendezvous System – Rendezvous
Points/Identifiers
• Scopes – Scope Identifiers
• Algorithmic Identifiers
• Publication Identifiers
Δημήτρης Β. Χρηστίδης
Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα
![Page 9: MScIS Thesis Πρόληψη Denial of Service Επιθέσεων σε Publish/Subscribe Δίκτυα Επιβλέποντες :](https://reader036.vdocuments.site/reader036/viewer/2022062314/56813b80550346895da4a36e/html5/thumbnails/9.jpg)
Επιθέσεις Επιθέσεις DoSDoS• Χρησιμοποιούν υπηρεσίες του δικτύου• Καταναλώνουν ή αλλοιώνουν δικτυακούς
πόρους • Καθιστούν συγκεκριμένες υπηρεσίες μη-
διαθέσιμες • Αυξάνονται και εκσυγχρονίζονται
Smurf Attacks (ICMP Flooding) SYN Flooding Attacks DNS Cache Poisoning
Δημήτρης Β. Χρηστίδης
Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα
![Page 10: MScIS Thesis Πρόληψη Denial of Service Επιθέσεων σε Publish/Subscribe Δίκτυα Επιβλέποντες :](https://reader036.vdocuments.site/reader036/viewer/2022062314/56813b80550346895da4a36e/html5/thumbnails/10.jpg)
Επιθέσεις Επιθέσεις DDoSDDoS• Εξελιγμένες DoS επιθέσεις• Εκμεταλλεύονται μεγάλη υπολογιστική ισχύ• Χρησιμοποιούν BotNets για διαμοιρασμό του
κόστους• PSIRP
Attach-based flooding attack Handshaking-based flooding attack Spamming
Δημήτρης Β. Χρηστίδης
Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα
![Page 11: MScIS Thesis Πρόληψη Denial of Service Επιθέσεων σε Publish/Subscribe Δίκτυα Επιβλέποντες :](https://reader036.vdocuments.site/reader036/viewer/2022062314/56813b80550346895da4a36e/html5/thumbnails/11.jpg)
Υπάρχουσες Προτάσεις και ΤεχνικέςΥπάρχουσες Προτάσεις και Τεχνικές• Μοντελοποίηση επιθέσεων (Taxonomy [1], Attack
Trees)• Εφαρμογές
Ασφαλής Διανομή Ενημερώσεων [2] Encrypted Event Data
Ασφαλής Συσσωμάτωση Δεδομένων [3] Anonymity, Verification (MAC)
Πρόληψη Spam [4] Detection, Mitigation
Κρυπτογραφική Νοθεία [5] Puzzle Predecessor, Simple Encryption
Honeypots Captchas
Δημήτρης Β. Χρηστίδης
Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα
![Page 12: MScIS Thesis Πρόληψη Denial of Service Επιθέσεων σε Publish/Subscribe Δίκτυα Επιβλέποντες :](https://reader036.vdocuments.site/reader036/viewer/2022062314/56813b80550346895da4a36e/html5/thumbnails/12.jpg)
Εισαγωγή στα Εισαγωγή στα Puzzles (1)Puzzles (1)• Αρχές
Η δημιουργία ενός Puzzle και ο έλεγχος της λύσης του είναι μια διαδικασία υπολογιστικά φτηνή για τον εξυπηρετητή
Το υπολογιστικό κόστος λύσης ενός Puzzle είναι εύκολα προσαρμόσιμο
Τα Puzzles μπορούν να λυθούν στις περισσότερες συνθέσεις υλικού
Δημήτρης Β. Χρηστίδης
Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα
![Page 13: MScIS Thesis Πρόληψη Denial of Service Επιθέσεων σε Publish/Subscribe Δίκτυα Επιβλέποντες :](https://reader036.vdocuments.site/reader036/viewer/2022062314/56813b80550346895da4a36e/html5/thumbnails/13.jpg)
Εισαγωγή στα Εισαγωγή στα Puzzles (2)Puzzles (2)• Αρχές (συνέχεια)
Δεν είναι δυνατό να προϋπολογιστεί η λύση ενός Puzzle, ούτε και από αυτόν που το δημιουργεί
Όσο ο χρήστης λύνει το Puzzle ο εξυπηρετητής δεν είναι υποχρεωμένος να αποθηκεύει πληροφορίες σχετικές με τον χρήστη
Το ίδιο Puzzle μπορεί να δοθεί σε πολλούς ξεχωριστούς χρήστες, ενώ το να βρει κάποιος τη λύση ενός από αυτά δεν σημαίνει ότι μπορεί να βοηθήσει τους άλλους
Δημήτρης Β. Χρηστίδης
Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα
![Page 14: MScIS Thesis Πρόληψη Denial of Service Επιθέσεων σε Publish/Subscribe Δίκτυα Επιβλέποντες :](https://reader036.vdocuments.site/reader036/viewer/2022062314/56813b80550346895da4a36e/html5/thumbnails/14.jpg)
Εισαγωγή στα Εισαγωγή στα Puzzles (3)Puzzles (3)• Αρχές (συνέχεια)
Ένας χρήστης μπορεί να ξαναχρησιμοποιήσει το Puzzle δημιουργώντας πολλαπλά αντίγραφά του
Το Puzzle δεν θα πρέπει να λύνεται γρηγορότερα από ένα προκαθορισμένο χρονικό παράθυρο
Δημήτρης Β. Χρηστίδης
Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα
![Page 15: MScIS Thesis Πρόληψη Denial of Service Επιθέσεων σε Publish/Subscribe Δίκτυα Επιβλέποντες :](https://reader036.vdocuments.site/reader036/viewer/2022062314/56813b80550346895da4a36e/html5/thumbnails/15.jpg)
Λειτουργία των Λειτουργία των Puzzles (1)Puzzles (1)• Ο Server στέλνει Ns , k
• O Client δημιουργεί Nc και ψάχνει να βρει X ώστε h(Ns , Nc , C , X) = Y όπου το Υ πρέπει να έχει μηδενικά στα k πιο σημαντικά ψηφία του
• Το k προσδιορίζει τη δυσκολία του Puzzle
Δημήτρης Β. Χρηστίδης
Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα
![Page 16: MScIS Thesis Πρόληψη Denial of Service Επιθέσεων σε Publish/Subscribe Δίκτυα Επιβλέποντες :](https://reader036.vdocuments.site/reader036/viewer/2022062314/56813b80550346895da4a36e/html5/thumbnails/16.jpg)
Λειτουργία των Λειτουργία των Puzzles (2)Puzzles (2)
Πρότυπο επικοινωνίαςκαι χρήσης Puzzle
Δημήτρης Β. Χρηστίδης
Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα
![Page 17: MScIS Thesis Πρόληψη Denial of Service Επιθέσεων σε Publish/Subscribe Δίκτυα Επιβλέποντες :](https://reader036.vdocuments.site/reader036/viewer/2022062314/56813b80550346895da4a36e/html5/thumbnails/17.jpg)
Χρήση των Χρήση των Puzzles (1)Puzzles (1)• Συνεδρία Διασύνδεσης Δικτύου (Network
Attachment Session)
Δημήτρης Β. Χρηστίδης
Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα
![Page 18: MScIS Thesis Πρόληψη Denial of Service Επιθέσεων σε Publish/Subscribe Δίκτυα Επιβλέποντες :](https://reader036.vdocuments.site/reader036/viewer/2022062314/56813b80550346895da4a36e/html5/thumbnails/18.jpg)
Χρήση των Χρήση των Puzzles (2)Puzzles (2)
• Εκτός από την ΣΔΔ τα Puzzles χρησιμοποιούνται Κάθε φορά που ένας χρήστης ξεκινάει ένα
Publication/Subscription Κάθε φορά που ένας broker διεκπεραιώνει N
Publications/Subscriptions
• Επιπλέον για τους brokers Ψηφιακό πιστοποιητικό
Δημήτρης Β. Χρηστίδης
Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα
![Page 19: MScIS Thesis Πρόληψη Denial of Service Επιθέσεων σε Publish/Subscribe Δίκτυα Επιβλέποντες :](https://reader036.vdocuments.site/reader036/viewer/2022062314/56813b80550346895da4a36e/html5/thumbnails/19.jpg)
Πάροχος Πάροχος PuzzlePuzzle• Οντότητα Ελέγχου – ΕΤΟ • Αρμοδιότητες
Δημιουργία/Διανομή Puzzle Έλεγχος λύσης Διαφύλαξη απαραίτητων δεδομένων που αφορούν
στην ακεραιότητα και λειτουργικότητα των Puzzles Διαμοιρασμός cookies για έλεγχο σύνθεσης υλικού
• Στόχος Προστασία των brokers Puzzles καθολικής αποδοχής
Δημήτρης Β. Χρηστίδης
Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα
![Page 20: MScIS Thesis Πρόληψη Denial of Service Επιθέσεων σε Publish/Subscribe Δίκτυα Επιβλέποντες :](https://reader036.vdocuments.site/reader036/viewer/2022062314/56813b80550346895da4a36e/html5/thumbnails/20.jpg)
Διαχειριστής ΚατάταξηςΔιαχειριστής Κατάταξης• Οντότητα Ελέγχου – ΕΤΟ• Αρμοδιότητες
Διαφύλαξη και ανανέωση πληροφοριών που αφορούν στο ιστορικό κάθε χρήστη και που χρησιμοποιούνται για την κατάταξή του
Διεξαγωγή υπολογισμών και συσχετίσεων για να αποφασιστεί η κατάταξη ενός χρήστη
Ανανέωση της κατάταξης του χρήστη Ενημέρωση των ενδιαφερόμενων για την
κατάταξη συγκεκριμένων χρηστών του δικτύου
Δημήτρης Β. Χρηστίδης
Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα
![Page 21: MScIS Thesis Πρόληψη Denial of Service Επιθέσεων σε Publish/Subscribe Δίκτυα Επιβλέποντες :](https://reader036.vdocuments.site/reader036/viewer/2022062314/56813b80550346895da4a36e/html5/thumbnails/21.jpg)
Λοιπά Θέματα Κατάταξης (1)Λοιπά Θέματα Κατάταξης (1)• Επίπεδα
Έμπιστοι χρήστες Σχετικά Έμπιστοι χρήστες Σχετικά Μη-Έμπιστοι χρήστες Μη-Έμπιστοι χρήστες Άγνωστοι χρήστες Αποκλεισμένοι χρήστες
Δημήτρης Β. Χρηστίδης
Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα
![Page 22: MScIS Thesis Πρόληψη Denial of Service Επιθέσεων σε Publish/Subscribe Δίκτυα Επιβλέποντες :](https://reader036.vdocuments.site/reader036/viewer/2022062314/56813b80550346895da4a36e/html5/thumbnails/22.jpg)
Λοιπά Θέματα Κατάταξης (2)Λοιπά Θέματα Κατάταξης (2)• Κριτήρια
Χρόνος Επίλυσης Puzzle Puzzles που λύθηκαν Puzzles που δεν λύθηκαν Συχνότητα Συμμετοχής Ιστορικό Επιθέσεων
• Παράγοντας γήρανσης Recency Dependency
Δημήτρης Β. Χρηστίδης
Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα
![Page 23: MScIS Thesis Πρόληψη Denial of Service Επιθέσεων σε Publish/Subscribe Δίκτυα Επιβλέποντες :](https://reader036.vdocuments.site/reader036/viewer/2022062314/56813b80550346895da4a36e/html5/thumbnails/23.jpg)
Δυσκολία και ΚατάταξηΔυσκολία και Κατάταξη• Το k ορίζει τη δυσκολία του Puzzle• Επίπεδα
Εύκολα (k=1-33) για Έμπιστους χρήστες Σχετικά Εύκολα (k=33-65) για Σχετικά Έμπιστους
χρήστες Σχετικά δύσκολα (k=65-97) για Σχετικά Μη-
Έμπιστους χρήστες και Άγνωστους χρήστες Δύσκολα (k=97-128) για Μη-Έμπιστους χρήστες
Δημήτρης Β. Χρηστίδης
Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα
![Page 24: MScIS Thesis Πρόληψη Denial of Service Επιθέσεων σε Publish/Subscribe Δίκτυα Επιβλέποντες :](https://reader036.vdocuments.site/reader036/viewer/2022062314/56813b80550346895da4a36e/html5/thumbnails/24.jpg)
MobilityMobility• Διαμοιρασμός πιστοποιητικών από τον
Διαχειριστή Κατάταξης• Πιστοποίηση της κατάταξης των χρηστών με τον
έλεγχο του πιστοποιητικού• Τα πιστοποιητικά διανέμονται όποτε αλλάζει η
κατάταξη του χρήστη• Έλεγχος εγκυρότητας με χρήση Ψηφιακών
Υπογραφών
Δημήτρης Β. Χρηστίδης
Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα
![Page 25: MScIS Thesis Πρόληψη Denial of Service Επιθέσεων σε Publish/Subscribe Δίκτυα Επιβλέποντες :](https://reader036.vdocuments.site/reader036/viewer/2022062314/56813b80550346895da4a36e/html5/thumbnails/25.jpg)
Μοντέλο ΕπικοινωνίαςΜοντέλο Επικοινωνίας
Δημήτρης Β. Χρηστίδης
Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα
![Page 26: MScIS Thesis Πρόληψη Denial of Service Επιθέσεων σε Publish/Subscribe Δίκτυα Επιβλέποντες :](https://reader036.vdocuments.site/reader036/viewer/2022062314/56813b80550346895da4a36e/html5/thumbnails/26.jpg)
Θέματα ΔυσκολίαςΘέματα Δυσκολίας• Το 2001 εκτίμηση για μέγιστο k=64 [6]• Το 2004 πειράματα με αποτέλεσμα το παρακάτω• Χρόνος ελέγχου λύσης περίπου 0.02 ms [7]
Δημήτρης Β. Χρηστίδης
Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα
![Page 27: MScIS Thesis Πρόληψη Denial of Service Επιθέσεων σε Publish/Subscribe Δίκτυα Επιβλέποντες :](https://reader036.vdocuments.site/reader036/viewer/2022062314/56813b80550346895da4a36e/html5/thumbnails/27.jpg)
Ανοιχτά ΘέματαΑνοιχτά Θέματα• Διεξαγωγή νέων πειραμάτων για εύρεση
μέγιστου «εύχρηστου» k
• Εύρεση ακριβούς συνάρτησης κατάταξης Trust Management
• Εξάρτηση δυσκολίας από το μέγεθος των δεδομένων σε Publications/Subscriptions
• Green-IT Trend και Grid
Δημήτρης Β. Χρηστίδης
Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα
![Page 28: MScIS Thesis Πρόληψη Denial of Service Επιθέσεων σε Publish/Subscribe Δίκτυα Επιβλέποντες :](https://reader036.vdocuments.site/reader036/viewer/2022062314/56813b80550346895da4a36e/html5/thumbnails/28.jpg)
ΑναφορέςΑναφορές[1] - A. Wun, A. Cheung, H.-A. Jacobsen (2007). A Taxonomy for
Denial of Service Attacks in Content-based Publish/Subscribe Systems
[2] - M. Srivatsa, L. Liu (2007). Secure Event Dissemination in Publish-Subscribe Networks.
[3] - K. Minami, A. J. Lee, M. Winslett, N. Borisov (2008). Secure Aggregation in a Publish/Subscribe System.
[4] - S. Tarkoma (2006). Preventing Spam in Publish/Subscribe IEEE DEBS
[5] - D. Park, J. Kim, C. Boyd, E. Dawson (2001). Cryptographic Salt: A Countermeasure against Denial-of-Service Attacks.
[6] - T. Aura, P. Nikander, J. Leiwo (2000). DoS-resistant Authentication with Client Puzzles.
[7] - V. Bocan (2004). Threshold Puzzles: The Evolution of DoS-resistant Authentication.
Δημήτρης Β. Χρηστίδης
Πρόληψη DoS Επιθέσεων σε Publish/Subscribe Δίκτυα