Investigating the effectiveness of IDS/IPS system in enhancing resilience of ONOS controller against TCP SYN flood DDoS attacks

Thumbnail
View/Open
Date
2023-05
Author
Αγαπίου, Στέλιος
Metadata
Show full item record
Abstract
Η δικτύωση που καθορίζεται από το λογισμικό (SDN) αποτελεί μια νέα προσέγγιση στην αρχιτεκτονική των δικτύων διαχωρίζοντας το επίπεδο ελέγχου από το επίπεδο δεδομένων. Ο διαχωρισμός αυτός επιτρέπει μέσω ενός ελεγκτή, που βασίζεται σε λογισμικό, τον πλήρη έλεγχο του δικτύου καθιστώντας ευκολότερη τη διαχείριση και την αυτοματοποίηση των λειτουργιών του. Ωστόσο, η οποιαδήποτε αποτυχία του ελεγκτή μπορεί να προκαλέσει την αστοχία ολόκληρου του δικτύου, καθιστώντας τον το θεμελιώδες σημείο αποτυχίας. Ο τομέας που προκαλεί την μεγαλύτερη ανησυχία όσον αφορά τη διασφάλιση της ανθεκτικότητας των δικτύων SDN είναι οι κατανεμημένες επιθέσεις άρνησης (DDoS). Οι επιθέσεις πλημμύρας TCP SYN είναι ένας τύπος επίθεσης DDoS που εκμεταλλεύεται το μηχανισμό three-way handshake που χρησιμοποιείται από το πρωτόκολλο TCP για τη δημιουργία συνδέσεων. Οι επιθέσεις αυτές έχουν ως στόχο να καταναλώσουν τους πόρους του δικτύου κατακλύζοντας το με μεγάλο όγκο κίνησης, καθιστώντας δύσκολο για τον ελεγκτή να ανταποκριθεί στις νόμιμες αιτήσεις του δικτύου. Σκοπός της παρούσας μεταπτυχιακή διατριβής είναι να εξετάσουμε κατά πόσο τα δίκτυα SDN μπορούν να προσφέρουν την απαιτούμενη ανθεκτικότητα σε επιθέσεις τύπου DDoS αλλά και να μετρήσουμε ποσοτικά τον αντίκτυπο που έχουν οι επιθέσεις αυτές. Για το σκοπό αυτό εκτελέσαμε επιθέσεις πλημμύρας (κεφάλαιο 4) στον ελεγκτή ONOS και καταγράψαμε το χρόνο απόκρισης του δικτύου, το φορτίου του ελεγκτή, το εύρος ζώνης του δικτύου και το εύρος ζώνης του διακομιστή ιστού. Η εκτέλεση περιλάμβανε 4 σενάρια: α) μετρήσεις χωρίς την προσομοίωση επίθεση DDoS, β) μετρήσεις κατά τη διάρκεια προσομοίωσης επίθεσης DDoS, γ) μετρήσεις κατά τη διάρκεια προσομοίωσης επίθεσης DDoS αλλά με ταυτόχρονη λειτουργία συστήματος IDS/IPS, και δ) μετρήσεις κατά τη διάρκεια προσομοίωσης επίθεσης DDoS διαφορετικής ισχύς με ταυτόχρονη λειτουργία συστήματος IDS/IPS. Παρουσιάζουμε αναλυτικά τα αποτελέσματα των ελέγχων στο κεφάλαιο 5 και προτείνουμε τον κατάλληλο σχεδιασμό (κεφάλαιο 6) έτσι ώστε τα δίκτυα SDN να καταστούν ανθεκτικά και αξιόπιστα σε επιθέσεις τύπου DDoS, υποστηρίζοντας τις ανάγκες των σύγχρονων δικτυακών περιβαλλόντων.
URI
http://hdl.handle.net/11128/5646
Collections