DDoS támadások észlelése FPGA-alapú eszközökkel, ezredmásodperces reakcióidővel

Szerző: 
Nagy Balázs
Konzulens (TMIT): 
Év: 
2017
Szekció: 
Hálózattervezés és szimuláció
Helyezés: 
1. helyezés
Különdíj: 
Trón Tibor Emlékdíj

Az szolgáltatás-megtagadáson alapuló elosztott támadások (Distributed Denial of Service, DDoS) nem számítanak újdonságnak napjainkban, de elhárításuk sajnos még nem megoldott feladat. Erre az elmúlt években több példát láthatunk, mint például a Dyn társaság DNS szerverei elleni támadás. A dolgozatom célja egy gyors reakció-idejű detekciós rendszer bemutatása, amit FPGA-alapú, nagysebességű hálózati platformra terveztem és implementáltam, majd verifikáltam.

Felmerül a kérdés, hogyan lehetne az ipar jelenlegi kihívásaira választ adni. Milyen eszközökkel lehetne hatékonyabbá tenni a tartalomszolgáltatók biztonságát? Ahogy változik a környezet, úgy kell a biztonsági szolgáltatásoknak is adaptálódni. A dolgozatomban bemutatom a jelenleg zajló legfontosabb trendeket, és azt, hogy a jövőben milyen változások várhatóak. A dolgozatom fő témája egy általam tervezett és megvalósított FPGA alapú DDoS detektor, ami ezekre a problémákra keres megoldást.

A dolgozatban bemutatott rendszer olyan hiányosságokra próbál megoldást adni, amire a jelenleg elterjedt rendszerek nem sok sikerrel vállalkoznak. A FPGA különlegessége, hogy egyszerre képes nagy volumenű forgalom valós idejű feldolgozására akárcsak az ASIC, de a tartalma gyorsan változtatható, ha igény van rá. A rendszerem ezredmásodperces reakcióidejével lehetővé teszi, hogy olyan támadásokat detektáljunk és állítsunk meg, amik hagyományos rendszerekkel nem is lettek volna észlelhetőek. A rendszer emellett másodpercenként akár több mint százmillió csomagot képes átvizsgálni, kontextusba helyezni a tartalmukat és döntést hozni ezen információk alapján. Bemutatom, hogy ha egy új támadás megjelenik, milyen kevés időbe kerül az FPGA detektor felkészítése ennek kezelésére – hála a flexibilis és moduláris architektúrának.

Mivel biztonsági tématerületről van szó, ezért kiemelt hangsúlyt fektettem a rendszer tesztelésére. A koncepció működésének validálására egy kiterjedt magyarországi hálózat (NIIFI, Nemzeti Információs Infrastruktúra) által nyújtott adatközponti szolgáltatást ért támadások valós forgalmi mintáit használtuk fel. Mivel a forgalom-analízishez használt hardveres gyorsítással a hálózat állapotáról is finom felbontású információhoz jutunk, az architektúra az SDN (Software Defined Networking) vezérlők döntéshozásának támogatására is alkalmas.