Transport layer DDoS attack types and mitigation methods in networks

Abstract

Hajautetut palvelunestohyökkäykset ovat olleet kasvava uhka yrityksille jotka käyttävät tietoverkkoihin perustuvia elementtejä tietojärjestelmissään. Viime aikoina eivät pelkästään liikeyritykset, vaan myös poliittiset organisaatiot ovat olleet hajautettujen palvelunestohyökkäysten kohteina. Tämän takia on erittäin tärkeää hahmoittaa nykyinen tilanne tässä tietoturvan jatkuvasti muuttuvalla alalla. Hyökkäysmenetelmien ja vastatoimenpiteiden uusiutuessa jatkuvasti, tarve ajankohtaiselle tutkimukselle on selkeä. Viiden erilaisen hyökkäystyypin on havaittu koostavan suuremman osan hajautetuista palvelunestohyökkäyksistä vuonna 2014. Nämä olivat SYN, DNS vahvistus, NTP vahvistus, DNS hyökkäykset, sekä UDP. SYN-hyökkäysten on havaittu koostavan leijonaosan kaikista hyökkäksistä, kuin taas vahvistuksen ja multi-vektoroinnin on havaittu olevan trendeinä hyökkäysteknologioissa. Kirjallisuuskatsauksen perusteella SYN Väliintulon on havaittu olevan tehokkain vastatoimenpide TCP SYN hyökkäyksiä vastaan. Vastausvauhdin rajoittaminen (RRL) oli paras vaihtoehto tyypillisiä DNS vahvistushyökkäyksiä vastaan, mutta sen suorituskyky hyökkäyksiä vastaan jotka käyttävät vaihtelevia hakutapoja jätti toivoimisen varaa. MONLIST ja VERSION ominaisuuksien poistamisen NTP palvelimista on havaittu olevan tehokas tapa NTP vahvistus hyökkäyksien vähentämisessä, ja se onkin ehdotettu pääasialliseksi strategiaksi kyseisen tyyppisen hajautetun palvelunestohyökkäyksen kanssa kamppailemiseksi. DNS hyökkäyksiä vastaan yhdistelemällä TTL Päivitystä, TTL Uudistusta ja Pitkää TTL:ää on todettu saavuttavan parhaat lieventämistulokset. DNS vahvitushökkäysten sekä TCP SYN tulvien suorituskyky verkkopalvelinta vastaan on mitattu ja analysoitu tutkielman empiirisessä osuudessa. SYN Cookies metodin on todettu olevan tehokas keino suojautua TCP SYN palvelunestohyökkäystä vastaan, kuin taas DNS vahvistushyökkäyksen torjumiseksi ei havaittu keinoa yksinkertaisille verkkopalvelimille.

Distributed Denial of Service attacks have been a growing threat to businesses and organizations utilizing information systems with network elements in their activity. With not only financial, but political entities being targeted by the DDoS attacks it is increasingly important to grasp the current situation in this vibrant field of information security. With new attack methods and countermeasures being constantly developed and implemented, the need for the contemporary research is clear. Five different attack types were found out to be the most popular DDoS attacks in the past year. These attack types were SYN, DNS Amplification, NTP Amplification, DNS and UDP flood attacks. SYN attacks were discovered to make up more than a half of all DDoS attack occurrences, while amplification and multi-vectoring could be seen as a rising trend in attack technologies. According to the result of literature overview SYN Intercept was found out to be the most efficient mitigation method against TCP SYN, Response Rate Limiting was the most effective against typical DNS Amplification attacks, however leaving to be desired in the mitigation of attacks using varying queries. Modifying NTP servers themselves by removing MONLIST and VERSION functionality was proven to be successful in mitigation of NTP Amplification attacks. As for the DNS attacks go, a combination of three technologies TTL Refresh, TTL Renewal and Long-TTL was deemed superior in mitigating the attacks on DNS servers themselves. DNS amplification and TCP SYN DoS impact on the web server was measured and analysed in the empirical part of the thesis. Activating SYN Cookies on the web server was deemed to be effective mitigation method against TCP SYN Flood. However, a mitigation technique against DNS or NTP amplification attack to be implemented on a simple small-scale web server without the involvement of ISP or CDN was not discovered.