Analyse spectrale d outils classiques de Déni de Service Distribués GALLON Laurent - AUSSIBAL Julien Université de Pau et des Pays de l Adour LIUPPA/CSYSEC http://csysec.univ-pau.fr Laurent.gallon@univ-pau.fr Aussibal.julien@etud.univ-pau.fr
Objectif de l étude Plan Rappels sur DoS / DDoS Analyse de l outil TFN2k Conclusions et perspectives 2
Introduction METROSEC (METROlogy for SECurity and quality of service) Financé par le Ministère de la recherche, la DGA, le CNRS et l INRIA Dans le cadre de l ACI Sécurité et Informatique Pourquoi? La qualité de service d Internet est dégradée : Des anomalies légitimes de trafic (P2P, flash crowd) Des anomalies illégitimes de trafic (Dénis de service) But : Utiliser les données métrologiques pour améliorer la sécurité et la robustesse d Internet Détecter les anomalies Mécanismes appropriés Plusieurs laboratoires collaborent aux campagnes d attaques Lip6, LIAFA, LAAS-CNRS, ENS Lyon, l ESSI, LIUPPA/CSySEC Attaques réalisées sur le réseau RENATER 3
But de l étude Etudier le comportement d outils classiques de DoS et DDoS Améliorer la protection contre ces attaques Première étude : Comportement de TFN2k 4
Définition des DoS et DDoS 5
Attaques classiques en DoS et DDoS Attaques sur la bande passante UDP flooding ICMP flooding TCP flooding Attaques sur les failles logicielles (protocoles de transport, pas applications et OS) TCP/SYN TCP/RST Paquets malformés Logiciels classiques d attaque Trinoo Stacheldraht Shaft MStream TFN / TFN2k 6
Présentation de TFN2k Possibilité de plusieurs attaques TCP/SYN Flooding UDP et ICMP Flooding MIX Flooding (UDP, TCP, ICMP) Broadcast Ping (SMURF) Flooding Hacker Master Master... Agent Victime 7
Analyse de l outil de DDoS : TFN2k Mesure de l impact de TFN2k sur le trafic réseau Plateforme fermée Différentes données métrologiques Nombre de paquets par seconde Nombre d octets par seconde Outils d analyse (traitement du signal) : PSD Ondelettes Différents Scénarios 1 zombie (DoS) 3 zombies (DDoS) 6 zombies (DDoS) 8
Plateforme et Outils de capture Plateforme Master Victime Outils de capture Carte Dag de chez Endace Machine de capture 9
Outils d analyse spectrale Densité spectrale de puissance (PSD) Permet d extraire les fréquences caractéristiques d un signal Transformée de Fourrier de la fonction d autocorrélation 10
Outils d analyse spectrale Transformée en ondelettes Permet une analyse temps-fréquence que ne peut pas la TF Découpe le signal en 2 composants (l approximation et le détail) 11
Observation de TFN2k (1 zombie) 12
Observation de TFN2k (1 zombie) La PSD fait apparaître 2 pics caractéristiques Le détail des ondelettes fait apparaître le comportement du zombie TFN2k 13
Observation de TFN2k (3 zombies) 14
Observation de TFN2k (3 zombies) Les 2 pics diminuent d intensité Le signal commence à se lisser (diminution de la variance dans les fréquences hautes) 15
Observation de TFN2k (6 zombies) Les 2 pics sont noyés dans les basses fréquences Le signal est lissé par la puissance des zombies 16
Analyse des observations L outil PSD Permet d observer une signature caractéristique à une attaque avec le logiciel TFN2k (pics de fréquences) L outil «ondelettes» Permet d observer des comportements caractéristiques pour les zombies TFN2k (hautes fréquences) Si le nombre de zombie augmente, la signature du zombie TFN2K disparaît On rejoint le travail de Alefiya Hussain (2003) Attaques en DoS => Fréquences hautes Attaques en DDoS => Fréquences basses 17
Conclusion Cette étude a permit de montrer : Le comportement du zombie TFN2k La signature spectrale d une attaque TFN2k si le nombre de zombie n est pas très élevé Utilisation potentielle sur réseau source d attaque DDoS Les perspectives sont : L étude d autres logiciels de DDoS tels que Trinoo ou Stacheldraht D utiliser d autres paramètres métrologiques passifs ou actifs (interarrivée des paquets, Round Time Trip, la bande passante, etc.) L utilisation d autres outils de traitements du signal (tel que la LRD ou la régression FARIMA) L exécution sur une plateforme à grande échelle permettrait de mieux observer les comportements des attaques (réseau RENATER) 18