Está en la página 1de 1

Un esquema de bloqueo DDoS orientado a SDN para Ataques basados en botnet

Los ataques DDoS abstractos montados por botnets hoy se dirigen a un servicio específico, movilizando solo una pequeña cantidad de tráfico de apariencia legítima para comprometer el servidor. Detectar o bloquear ataques tan inteligentes usando solo estadísticas anómalas de tráfico se ha vuelto difícil, y la creación de contramedidas se ha dejado principalmente al servidor de la víctima. En este documento, investigamos cómo se puede utilizar una red definida por software (SDN) para superar la dificultad y bloquear efectivamente los ataques DDoS de aspecto legítimo montados por un mayor número de bots. Específicamente, discutimos una aplicación de bloqueo DDoS que se ejecuta sobre el controlador SDN mientras se usa la interfaz estándar de OpenFlow.

Se espera que la seguridad sea un área de aplicación importante para la red definida por software (SDN) [1]. Esto es porque la seguridad de la red requiere una estrecha coordinación de muchos

componentes de red para defenderse contra un ataque. Convencional los enrutadores son tan difíciles de modificar su comportamiento. SDN la arquitectura basada en la especificación OpenFlow [2] lo hace

mucho más fácil modificar dinámicamente el comportamiento de la red interruptores1. Además, en la arquitectura tradicional de Internet, los enrutadores realizan el enrutamiento y el control de forma distribuida. Eso es difícil obtener un comportamiento orquestado en toda la red.

Sin embargo, en SDN, la existencia de un controlador central hace la tarea es mucho más fácil. En este documento, mostramos que SDN hace que sea muy fácil organizar los conmutadores de red para realizar una gestión de flujo defensivo. En particular, tomamos el ejemplo de ataque distribuido de denegación de servicio (DDoS) que depende de una botnet grande. Al usar solo el estándar OpenFlow interfaz, un sistema de bloqueo DDoS puede ser inmediatamente construido.

A medida que las técnicas de ataque DDoS evolucionan, la defensa efectiva se está convirtiendo en una tarea desafiante. Los ataques DDoS representativos de hoy en día normalmente se dirigen a servicios específicos, de modo que solo la aplicación específica está deshabilitada, mientras que otros componentes de la red (por ejemplo, enlaces, conmutadores, enrutadores) no se ven afectados demasiado. Tal ataque dirigido puede ocultarse fácilmente en el tráfico normal debido a la baja intensidad de ataque requerida. Por ejemplo, un ataque de inundación HTTP GET utiliza la vulnerabilidad de la implementación del servidor web HTTP (por ejemplo, el número máximo de conexiones concurrentes para HTTP) [3]. En particular, los ataques DDoS modernos explotan una cantidad potencialmente grande de robots o servidores comprometidos. Dado que estos hosts inocentes emiten solicitudes de servicio legítimas al servidor atacado, el tráfico de ataque se parece al tráfico normal en términos de pps (paquetes por segundo), tamaño del paquete y contenido del paquete, por lo que es más difícil que las soluciones DDoS existentes los bloqueen fuera de los paquetes normales. En la misma línea, las defensas basadas en firmas para el ataque DDoS no son suficientes para contrarrestar de manera efectiva. Además, como el volumen de tráfico de ataque es pequeño, tampoco funciona el método de bloque de paquetes basado en estadísticas de tráfico anómalas.