Explorando planos de dados programáveis para detecção e mitigação de ataques DDoS baseadas em pushback de tráfego

Infraestrutura de rede e servidores são alvos de diversos tipos de ataques diariamente. Um dos tipos mais comuns e devastadores são os ataques distribuídos de negação de serviço (DDoS - Distributed Denial of Service), que visam esgotar recursos e impactar diretamente na disponi bilidade dos serviços. Embora o problema tenha sido investigado há pelo menos duas décadas, as propostas falham em detectar e mitigar rapidamente os ataques DDoS em andamento, ao mesmo tempo em que são precisos e empurram os ataques o mais longe possível da vítima (economizando recursos de rede). O surgimento de planos de dados programáveis permite novas soluções de segurança com potencial para resolver essas deficiências. Como primeiro esforço de pesquisa, nesta dissertação, apresentamos o BUNGEE, um mecanismo de pushback colaborativo em rede para mitigação de ataques DDoS que é executado inteiramente no plano de dados. Esse mecanismo é capaz de, localmente em um determinado switch, identificar en dereços IP suspeitos (através do uso de análise contínua de entropia IP) e propagá-los para outros switches. Os diferentes switches que estão cientes dos suspeitos impõem uma estra tégia de pushback para repelir ataques potenciais. Como evolução do BUNGEE, propomos o BUNGEE-ML, uma abordagem inovadora e híbrida que combina o rápido processamento do plano de dados e a alta capacidade e inteligência do plano de controle para mitigação de DDoS. O BUNGEE-ML monitora continuamente o tráfego no plano de dados para detectar anomalias na rede e fornece modelos de aprendizado de máquina (executando no plano de controle) com entradas para realizar uma análise de tráfego aprofundada. Nós nos referimos a isso como coo peração vertical. Além disso, nossa abordagem empurra progressivamente o tráfego malicioso para mais longe da vítima por meio da coordenação de mitigação horizontal entre os disposi tivos de encaminhamento. Nossa avaliação de um protótipo construído em P4 demonstra que o BUNGEE-ML é altamente preciso na identificação e mitigação de fontes de ataque devido à cooperação vertical e tem um baixo consumo de recursos. Além disso, nossa estratégia de pushback economiza largura de banda da rede, mitigando o tráfego não legítimo mais próximo de suas fontes. Network infrastructure and servers are targets of different types of attacks daily. One of the most common and devastating types is Distributed Denial of Service (DDoS) attacks, which aim at exhausting resources and directly impacting the availability of services. Although the problem has been investigated for at least two decades, proposals fall short in quickly detecting and mitigating ongoing DDoS attacks while being accurate and pushing the attacks as far as possible from the victim (saving network resources). The emergence of programmable data planes enables novel security solutions with the potential to solve these shortcomings. As a first research effort, in this dissertation, we present BUNGEE, an in-network, collaborative pushback mechanism for DDoS attack mitigation that runs entirely in the data plane. This mechanism is able to, locally at a given switch, identify suspect IP addresses (through the use of continuous IP entropy analysis) and propagate them to other switches. The different switches that are made aware of the suspects enforce a pushback strategy for repelling potential attacks. As an evolu tion of BUNGEE, we propose BUNGEE-ML, an innovative, hybrid approach that combines the fast processing of the data plane and the high capacity and the intelligence of the control plane for DDoS mitigation. BUNGEE-ML continuously monitors traffic at the data plane to detect network anomalies and supplies machine learning models (running in the control plane) with inputs to perform in-depth traffic analysis. We refer to this as vertical cooperation. Addition ally, our approach progressively pushes malicious traffic farther away from the victim through horizontal mitigation coordination between forwarding devices. Our evaluation of a P4-built prototype demonstrates that BUNGEE-ML is highly accurate in identifying and mitigating at tack sources due to the vertical cooperation and has a low resource footprint. Furthermore, our pushback strategy saves network bandwidth by mitigating non-legitimate traffic closer to its sources.