Modelo para generación de alertas de prevención de ataques TCP/SYN Flooding
Fecha
2010Registro en:
instname:Universidad Autónoma de Bucaramanga - UNAB
reponame:Repositorio Institucional UNAB
Autor
Amaya Tarazona, Carlos Alberto
Resumen
Un ataque a la seguridad en la red ampliamente estudiado es el orientado a inundar con solicitudes ficticias a un recurso determinado con el fin de obligarlo a rechazar solicitudes verdaderas de prestación de un servicio. Este ataque denominado DoS (Denial of Service) tiene una modalidad basada en inundación de paquetes TCP conocida como TCP/SYN.
En este trabajo se plantea un modelo de detección de ataques DoS y generación de alarmas mediante el análisis y filtrado de tráfico capturado en logs. La idea es realizar una detección tempanara con un sistema de alertas para minimizar el riesgo cuando se falsea la dirección de origen (faked/spoofed IP) y de esta manera poder identificar también el origen real del ataque. A diferencia de esquemas típicos como los que implementan los IDS, el modelo propuesto realiza un filtrado al tráfico en la red teniendo en cuenta las cabeceras TCP que tengan el bit SYN activo. De ésta manera, los sistemas de detección tradicionales reciben ese tráfico filtrado y pueden optimizar tiempos de respuesta y reducir la probabilidad de falsos positivos en la generación de alarmas.
La esencia y efectividad de este modelo, está en su etapa final cuando se analizan los datos recopilados, los diálogos TCP interceptados mediante la aplicación de filtros a archivos pcap usando algún lenguaje específico que permita este tratamiento. El uso de interfaces GUI y aplicaciones Front-End para el análisis de registros, pueden dar efectividad cuando se trata de detectar ataques complejos y de difícil detección. El formato pcap que permite conversión de datos capturados en binario o en formato texto, es amplio para estas lecturas de cabeceras de datos mediante filtros, modificadores de tipo, de dirección, funciones de coordenadas en envíos y respuestas, sintaxis de primitivas y modificadores propias de cualquier lenguaje que permiten analizar cualquier dato capturado en la red. La pila TCP es afectada de forma diferente de acuerdo al ataque que se perpetre.
El hecho de implementar soluciones en seguridad, implica sobrecarga pasiva y activa de servidores, host y sistemas de comunicación, sumándole a ello consumo de recursos en hardware y el uso de diversidad de herramientas, sobre todo los frameworks y los front-end que complementan la gestión de la mayoría de sistemas de NIDS. Producto de esta investigación fue la evidencia y presencia de “Falsos positivos” (ip's que no hacían flood) y la sobrecarga que genera a un sistema los registros de logs. Poder identificarlos de manera oportuna y acertada y establecer un mecanismo de diagnóstico y defensa que no sobrecargue al sistema, son procesos que llevarían análisis de tráfico con procesos de filtrado específico. Algoritmos basados en funciones de probabilidad y ocurrencia comparados con muestras basadas o referenciadas en el historial de comportamientos de un sistema que puede ser afectado por este tipo de ataques.