Sovelluskerroksella tapahtuvat DDoS-hyökkäykset

Abstract

Tutkielmassa esitellään sovelluskerroksella tapahtuvia hajautettuja palvelunestohyökkäyksiä eli DDoS-hyökkäyksiä, niiden havaitsemista ja niiltä suojautumista. Lisäksi perehdytään yksityiskohtaisemmin salatuissa yhteyksissä tapahtuvaan hyökkäysten havaitsemiseen. Tarkoituksena on tarjota kattava tietopaketti sovelluskerroksesta ja sen taustana olevista protokollista, palvelunestohyökkäyksistä, DDoS-hyökkäysten havaitsemiseen liittyvästä viimeaikaisesta tutkimuksesta sekä hyökkäyksiltä suojautumisesta.

Käytännönosiona simuloidaan erilaisia hitaita hyökkäyksiä (SlowLoris, RUDY, SlowRead), RangeAttack-hyökkäys, porttiskannauksia sekä laskennallinen SSL-hyökkäys salatuissa yhteyksissä ja yritetään havaita ne pelkistä otsakkeista saatavien tietojen perusteella. Havaitsemismenetelmä perustuu liikenteen vuon klusterointiin sekä neuroverkkoihin ja sillä pystyttiin testauksessa tunnistamaan kaikki tehdyt hyökkäystyypit.

Thesis is about application layer distributed denial of service attacks (DDoS-attacks), how to detect them and how to defend against them. The goal is also to get more detailed insight about detection of DDoS-attacks in encrypted traffic. Thesis offers a lot of basic knowledge about application layer and it’s protocols, recent studies about application layer DDoS-detection and information about DDoS-protection mechanisms.

Practical part concerns simulation of DDoS-attack in SSL-encrypted traffic using attacks like SlowLoris, RUDY, SlowRead, RangeAttack, port scanning and SSL computational DoS. The idea is to detect attacks using only information extracted from the packet headers. Method is based on clustering of the traffic flow and use of neural networks. Used method successfully detected all different kinds of attack.