Un esquema de bloqueo DDoS orientado a SDN para Ataques basados en botnet

Los ataques DDoS abstractos montados por botnets hoy se dirigen a un servicio específico, movilizando
solo una pequeña cantidad de tráfico de apariencia legítima para comprometer el servidor. Detectar o
bloquear ataques tan inteligentes usando solo estadísticas anómalas de tráfico se ha vuelto difícil, y la
creación de contramedidas se ha dejado principalmente al servidor de la víctima. En este documento,
investigamos cómo se puede utilizar una red definida por software (SDN) para superar la dificultad y
bloquear efectivamente los ataques DDoS de aspecto legítimo montados por un mayor número de bots.
Específicamente, discutimos una aplicación de bloqueo DDoS que se ejecuta sobre el controlador SDN
mientras se usa la interfaz estándar de OpenFlow.

Se espera que la seguridad sea un área de aplicación importante para la red definida por software (SDN)
[1]. Esto es porque la seguridad de la red requiere una estrecha coordinación de muchos

componentes de red para defenderse contra un ataque. Convencional los enrutadores son tan difíciles de
modificar su comportamiento. SDN la arquitectura basada en la especificación OpenFlow [2] lo hace

mucho más fácil modificar dinámicamente el comportamiento de la red interruptores1. Además, en la

arquitectura tradicional de Internet, los enrutadores realizan el enrutamiento y el control de forma
distribuida. Eso es difícil obtener un comportamiento orquestado en toda la red.

Sin embargo, en SDN, la existencia de un controlador central hace la tarea es mucho más fácil. En este
documento, mostramos que SDN hace que sea muy fácil organizar los conmutadores de red para realizar
una gestión de flujo defensivo. En particular, tomamos el ejemplo de ataque distribuido de denegación
de servicio (DDoS) que depende de una botnet grande. Al usar solo el estándar OpenFlow interfaz, un
sistema de bloqueo DDoS puede ser inmediatamente construido.

A medida que las técnicas de ataque DDoS evolucionan, la defensa efectiva se está convirtiendo en una
tarea desafiante. Los ataques DDoS representativos de hoy en día normalmente se dirigen a servicios
específicos, de modo que solo la aplicación específica está deshabilitada, mientras que otros
componentes de la red (por ejemplo, enlaces, conmutadores, enrutadores) no se ven afectados
demasiado. Tal ataque dirigido puede ocultarse fácilmente en el tráfico normal debido a la baja intensidad
de ataque requerida. Por ejemplo, un ataque de inundación HTTP GET utiliza la vulnerabilidad de la
implementación del servidor web HTTP (por ejemplo, el número máximo de conexiones concurrentes
para HTTP) [3]. En particular, los ataques DDoS modernos explotan una cantidad potencialmente grande
de robots o servidores comprometidos. Dado que estos hosts inocentes emiten solicitudes de servicio
legítimas al servidor atacado, el tráfico de ataque se parece al tráfico normal en términos de pps (paquetes
por segundo), tamaño del paquete y contenido del paquete, por lo que es más difícil que las soluciones
DDoS existentes los bloqueen fuera de los paquetes normales. En la misma línea, las defensas basadas en
firmas para el ataque DDoS no son suficientes para contrarrestar de manera efectiva. Además, como el
volumen de tráfico de ataque es pequeño, tampoco funciona el método de bloque de paquetes basado
en estadísticas de tráfico anómalas.