Knowledge Tree

thesis

Infrastructure réseau coopérative et flexible de défense contre les attaques de déni de service distribué

Defense date:

Jan. 1, 2006

Edit

Institution:

Toulouse 3

Disciplines:

Computer sciences

Authors:

Patrick Trabé

Directors:

Abdelmalek Benzekri

Abstract EN:

The goal of Distributed Denial of Service attacks (DDoS) is to prevent legitimate users from using a service. The availability of the service is attacked by sending altered packets to the victim. These packets either consume a large part of networks bandwidth, or create an artificial consumption of victim’s key resources such as memory or CPU. DDoS’ filtering is still an important problem for network operators since illegitimate traffics look like legitimate traffics. The discrimination of both classes of traffics is a hard task. Moreover DDoS victims are not limited to end users (e. G. Web server). The network is likely to be attacked itself. The approach presented in this thesis is pragmatic. Firstly it seeks to control dynamic and distributed aspects of DDoS. Secondly it looks for protecting legitimate traffics and the network against collateral damages. Thus we propose a distributed infrastructure of defense based on nodes dedicated to the analysis and the filtering of the illegitimate traffic. Each node is associated with one POP router or interconnection router in order to facilitate its integration into the network. These nodes introduce the required programmability through open interfaces. The programmability offers applicative level packets processing, and thus treatments without collateral damages. A prototype has been developed. It validates our concepts.

Abstract FR:

Les attaques par déni de service distribué (DDoS, Distributed Denial of Service) consistent à limiter ou à empêcher l'accès à un service informatique. La disponibilité du service proposé par la victime est altérée soit par la consommation de la bande passante disponible sur son lien, soit à l'aide d'un nombre très important de requêtes dont le traitement surconsomme les ressources dont elle dispose. Le filtrage des DDoS constitue aujourd'hui encore un problème majeur pour les opérateurs. Le trafic illégitime ne comporte en effet que peu ou pas de différences par rapport au trafic légitime. Ces attaques peuvent ensuite tirer parti et attaquer des services disposés dans le réseau. L'approche présentée dans cette thèse se veut pragmatique et cherche à aborder ce problème suivant deux angles ; à savoir contenir l'aspect dynamique et distribué de ces attaques d'une part, et être capable de préserver le trafic légitime et le réseau d'autre part. Nous proposons dans ce but une architecture distribuée de défense comportant des nœuds de traitement associés aux routeurs des points de présence et d'interconnexion du réseau de l'opérateur. Ces nœuds introduisent dans le réseau, par le biais d'interfaces ouvertes, la programmabilité qui apporte la flexibilité et la dynamicité requises pour la résolution du problème. Des traitements de niveau réseau à applicatif sur les datagrammes sont ainsi possibles, et les filtrages sont alors exempts de dommages collatéraux. Un prototype de cette architecture permet de vérifier les concepts que nous présentons.