Rastreamento intra-domínio de tráfego utilizando OSPF

(1)

Rastreamento intra-dom´ınio de tr´afego utilizando OSPF

Andr´e O. Castelucio1_{, Ronaldo M. Salles}2_{, Antˆonio Tadeu A. Gomes}1_{, Artur Ziviani}1

1_{Laboratório Nacional de Computação Cient´ıfica - LNCC} Av. Getúlio Vargas, 333 – 25651-075 – Petrópolis – RJ

2_{Instituto Militar de Engenharia - IME}

Prac¸a General Tib´urcio, 80 – 22290-270 – Rio de Janeiro – RJ {castelucio, atagomes, ziviani}@lncc.br, [email protected] Abstract. Denial of service attacks have been a serious threat to the

appropri-ate operation of services within network domains. In this paper, we propose a system that creates an overlay network to provide intra-domain IP traceback to deal with this threat. The main contribution of our proposal with respect to previous work is the partial and progressive deployment of the traceback system throughout the monitored network domain. To create the overlay network, we use the OSPF routing protocol through the creation of an Opaque LSA (Link State Advertisement), specially devised for this purpose. We also investigate and evaluate the performance of the partial and progressive deployment of the proposed system, showing its suitability for large network domains.

Resumo. Atualmente, ataques de negação de serviço são uma grande ameaça à

operação adequada de serviços em dom´ınios de rede. Neste artigo, nós propo-mos um sistema que cria uma rede sobreposta de rastreamento intra-dom´ınio de tráfego IP para lidar com essa ameaça. A principal contribuição de nossa pro-posta em relação a trabalhos relacionados é a implantação parcial e gradual do sistema de rastreamento no dom´ınio de rede monitorado. Para a construção da rede sobreposta, utilizamos o protocolo de roteamento OSPF, por meio da criação de um Opaque LSA (Link State Advertisement) de uso exclusivo para esse fim. Nós também investigamos e avaliamos o desempenho da implantação parcial e gradual do sistema proposto, demonstrando sua viabilidade para dom´ınios de rede de grandes dimensões.

1. Introduc¸˜ao

Atualmente, ataques de negação de serviço em sua versão simples (DoS) e dis-tribu´ıda (DDoS) são muito comuns na Internet [Hussain et al. 2003, Moore et al. 2006]. Esses ataques têm como grande objetivo tornar uma rede ou um serviço oferecido por ela inacess´ıvel a usuários leg´ıtimos. Isto tipicamente ocorre quando um atacante envia uma quantidade de pacotes muito maior do que a v´ıtima é capaz de processar; e nos ataques atuais ocorrem com múltiplos atacantes distribu´ıdos enviando pacotes simultaneamente para a mesma v´ıtima.

A identificação da origem dos ataques – DoS ou DDoS – é uma tarefa desafi-adora. Alguns motivos para isto são: (i) o roteamento dos pacotes nas redes é feito baseado apenas no endereço de destino do pacote IP; (ii) os roteadores que participam do encaminhamento dos pacotes não armazenam nenhuma informação sobre esta tarefa

(2)

devido a restrições de escalabilidade; (iii) computadores chamados “zumbis” são usados para participar de ataques e, neste caso, os donos destes computadores não sabem que estão participando de um ataque; (iv) devido à falta de autenticação no momento de seu encaminhamento, pacotes com endereços IP forjados são utilizados em ataques (D)DoS; (v) quando a origem de um ataque é rastreada, não significa necessariamente que o ata-cante foi identificado, pois ele pode estar protegido por um firewall ou por endereços privados e assim o rastreamento só poderá ser realizado até a borda da rede de onde os pacotes são gerados.

Todos estes fatos permitem que o atacante tenha uma garantia virtual de anoni-mato. Nesse sentido, é clara a necessidade da criação de mecanismos para identificar, mesmo que parcialmente, a rota dos pacotes de ataque – os sistemas de rastreamento de tráfego IP têm esta finalidade – e o desenvolvimento de ferramentas para bloquear os ataques em alguns pontos nesta rota.

Neste momento, é importante pontuar que a defesa contra ataques (D)DoS tipica-mente possui 3 fases: (i) a detecção de que um ataque está em curso, tarefa esta que é feita por sistemas de detecção e prevenção de intrusão [NIST 2007]; (ii) a identificação da rota dos pacotes de ataque, isto é, o rastreamento dos atacantes; (iii) e o bloqueio dos pacotes de ataque [Ferguson e Senie 2002]. Ressaltamos que o sistema aqui descrito é focado na segunda fase, ou seja, na identificação da rota dos pacotes de ataque e, consequentemente, no rastreamento dos atacantes.

Em sua imensa maioria, os trabalhos na área de rastreamento de tráfego (discu-tidos na Seção 2) possuem como requisito t´ıpico a necessidade do sistema proposto por cada um deles ser implantado em todos os roteadores do dom´ınio de rede monitorado. Esse requisito claramente limita muito a possibilidade desses sistemas serem amplamente utilizados em um dom´ınio de maiores dimensões.

A nossa principal contribuição em relação aos trabalhos relacionados é a concepção de um sistema intra-dom´ınio para rastreamento de tráfego IP que pode ser implantado parcial e gradualmente nas redes que compõem um Sistema Autônomo.1

A grande motivação para o desenvolvimento desse sistema é que a decisão da sua implantação dentro de um Sistema Autônomo é baseada em questões de desempenho e no investimento que deve ser feito pela entidade administradora, em função da di-mensão do seu dom´ınio. Este dom´ınio pode ter centenas de roteadores onde apenas um número limitado de administradores com um objetivo comum é responsável pela decisão de implantação do sistema. A possibilidade de uma implantação do sistema de rastrea-mento através do dom´ınio de forma coerente e planejada – pois, ao contrário do caso de sistemas de rastreamento no n´ıvel de Sistemas Autônomos, não depende da cooperação de entidades administrativas distinas – permite o controle sobre o compromisso entre uma maior eficiência do sistema e o custo de implantação distribu´ıda do mesmo. Esse com-promisso é avaliado através de simulações, demonstrando a viabilidade do sistema de rastreamento proposto para dom´ınios de rede de grandes dimensões.

(3)

A implantação parcial e gradual do sistema de rastreamento intra-dom´ınio pro-posto se baseia na formação de uma rede sobreposta no n´ıvel de roteadores para marcação e rastreamento de pacotes. Para construir a rede sobreposta, é utilizado o protocolo de roteamento OSPF, por meio da criação de um Opaque LSA (Link State Advertise-ment) [Coltun 1998] – o IP Traceback Opaque LSA – de uso exclusivo para o sistema. A utilização dessa rede sobreposta permite descobrir qual o próximo salto no caminho reverso ao utilizado pelos pacotes de ataque para alcançarem a v´ıtima. Sendo assim, o sistema proposto está apto a operar em larga escala, eliminando a necessidade de ser im-plantado consecutivamente em todos os roteadores do dom´ınio de rede. Além disso, o procedimento de marcação de pacotes pelos roteadores participantes da rede sobreposta permite que um único pacote de ataque seja necessário para o rastreamento. Esta abor-dagem é baseada nos conhecimentos anteriores adquiridos na proposta análoga de um sistema inter-dom´ınio apresentada em [Castelucio et al. 2009].

O restante do artigo está organizado da seguinte forma. Na Seção 2, são discutidos os trabalhos relacionados. O sistema proposto é apresentado na Seção 3. Na Seção 4, o sistema é avaliado através de simulações. Finalmente, na Seção 5 são apresentadas as conclusões e os trabalhos futuros.

2. Trabalhos relacionados

Podemos dividir os sistemas de rastreamento de tráfego IP em duas classes de operação: os que trabalham no n´ıvel de Sistemas Autônomos (inter-dom´ınio) e os que operam no n´ıvel de roteadores (intra-dom´ınio). A diferença entre os dois tipos de sistemas está na sua localização. No primeiro tipo, o sistema de rastreamento é implantado nos roteadores de borda dos Sistemas Autônomos, possibilitando um rastreamento de tráfego inter-dom´ınio. Por outro lado, no segundo tipo, o rastreamento ocorre entre roteadores que compõem um mesmo Sistema Autônomo, viabilizando um rastreamento de tráfego intra-dom´ınio.

2.1. Sistemas de rastreamento intra-dom´ınio

Em [Savage et al. 2000], os autores propõem um sistema baseado em marcação probabil´ıstica de pacotes. Essa marcação contém informações da rota atravessada pelo pacote e é feita no campo de fragmentação do pacote IP. Depois de uma grande quantidade de pacotes recebida pela v´ıtima, esta é capaz de reconstruir o caminho de ataque.

O sistema SPIE (Source Path Isolation Engine) [Snoeren et al. 2002] tem como caracter´ıstica principal o armazenamento do resumo dos pacotes em Filtros de Bloom [Bloom 1970] à medida que estes são encaminhados pelos roteadores. Diferente-mente dos sistemas baseados em marcação probabil´ıstica de pacotes, através do uso de Filtros de Bloom este sistema pode rastrear um pacote IP individual. Um outro sistema baseado em Filtros de Bloom foi introduzido por [Laufer et al. 2005a]. Nesse sistema, quando um pacote atravessa um roteador, é inserida uma marca dentro de um Filtro de Bloom Generalizado (FBG) [Laufer et al. 2005b], presente no cabeçalho do pacote IP. Essa marca é o resultado de uma função de hash do endereço IP da interface de sa´ıda do roteador. Quando o pacote alcança o destino, ele carrega dentro do FBG a marca de todos os roteadores por onde passou. O rastreamento é iniciado a partir da v´ıtima, que checa o FBG à procura da marca de um de seus roteadores vizinhos, enviando um pacote de

(4)

reconstrução de rota para ele. Este procedimento é repetido por todos os roteadores no caminho reverso do ataque até que o último roteador com a marca no FBG seja desco-berto. De forma similar ao SPIE, este sistema pode rastrear um único pacote.

2.2. Sistemas de rastreamento inter-dom´ınio

Em [Durresi et al. 2004], os autores propõem um novo sistema de rastreamento usando a técnica de marcação probabil´ıstica de pacotes. A informação é inserida nos pacotes pelos roteadores de borda dos Sistemas Autônomos usando o seu número identi-ficador (ASN – Autonomous System Number) ao invés do endereço IP do roteador. Uma desvantagem dos sistemas baseados em marcação probabil´ıstica de pacotes é que eles po-dem ser enganados por atacantes que inserem marcações falsas nos pacotes, criando fal-sos positivos. Para tratar este problema, os autores propõem um esquema de autenticação utilizando criptografia de chave simétrica e deve ser usada por todos os roteadores parti-cipantes do sistema. Em [Korkmaz et al. 2007] é proposto o sistema AS-SPT (AS-level Single Packet Traceback), em um cenário de implantação parcial. Embora a arquitetura proposta permita implantação parcial, ela tem como necessidade o conhecimento prévio da topologia completa da rede para tal.

Em [Castelucio et al. 2009], propusemos um sistema de rastreamento de tráfego que utiliza caracter´ısticas do protocolo BGP (Border Gateway Proto-col) [Rekhter e Li 1995] para criar uma rede sobreposta no n´ıvel de Sistemas Autônomos para rastreamento de tráfego IP. Para essa proposta anterior, foi criado um novo Com-munity Attribute [Chandra et al. 1996] chamado IP Traceback ComCom-munity Attribute, que contém informações sobre a presença do sistema de rastreamento nos Sistemas Autônomos, indicando que estes estão aptos a formar a rede sobreposta e realizar o rastre-amento do tráfego. Baseado nos conhecimentos adquiridos nessa proposta anterior, houve a concepção do sistema de rastreamento IP intra-dom´ınio apresentado no presente artigo.

3. Rede sobreposta para rastreamento de tr´afego IP no n´ıvel de roteadores

Ao longo desta seção, apresentaremos a arquitetura do sistema proposto e os me-canismos através dos quais o sistema proposto: (i) utiliza o protocolo OSPF para suas finalidades; (ii) estabelece a rede sobreposta para rastreamento de tráfego IP no n´ıvel de roteadores; (iii) efetua a marcação dos pacotes; e (iv) realiza o rastreamento de tráfego.

3.1. Arquitetura do sistema

Todos os roteadores no Sistema Autônomo que sejam candidatos a participar do sistema de rastreamento proposto devem fazer parte de um mesmo dom´ınio OSPF. Um exemplo de dom´ınio é apresentado na Figura 1. Na figura, cada roteador com uma borda dupla é capaz de fazer a marcação de pacotes para o sistema de rastreamento proposto e, portanto, faz parte da rede sobreposta de rastreamento. Roteadores com essa capacidade possuem agentes de traceback (ATB) associados, sendo estes agentes responsáveis por si-nalizar a marcação de pacotes nesses roteadores (p.ex. usando procedimentos de gerência via SNMP ou automação de CLI) e reconstruir a rota desses pacotes. Um ATB também participa do roteamento OSPF, porém de forma passiva com relação à divulgação de rotas no dom´ınio. O objetivo é permitir ao ATB tomar conhecimento da topologia completa do dom´ınio, de modo a ser poss´ıvel a construção da rede sobreposta de rastreamento, conforme descrito na Seção 3.3.

(5)

Um ATB pode estar associado a mais de um roteador participante da rede so-breposta de rastreamento. Em um caso extremo, um único ATB pode estar presente no dom´ınio; nesse caso, porém, reca´ımos em uma abordagem centralizada, tornando o sistema mais vulnerável a falhas e ataques. Assim, defendemos uma abordagem de implantação distribu´ıda de ATBs; nesse caso, é necessário que os ATBs divulguem uns aos outros os seus roteadores associados, o que é conseguido por meio do próprio proto-colo OSPF, conforme descrito na Seção 3.2.

Figura 1. Exemplo de dom´ınio OSPF (adaptado de [Moy 1998]).

3.2. Uso do OSPF como ve´ıculo de comunicac¸˜ao do sistema proposto

Os roteadores OSPF trocam as informações entre si sobre a topologia do dom´ınio através do envio de anúncios periódicos denominados LSAs (Link State Advertisements). O sistema proposto utiliza um LSA especial, denominado Opaque LSA. Opaque LSAs têm por objetivo dar flexibilidade ao OSPF, tendo sido usados com diferentes propósitos na literatura [Moy et al. 2003, Katz et al. 2003, Lindem et al. 2007]. Opaque LSAs po-dem ser de três tipos: (i) tipo 9, que não é repassado para roteadores externos a uma rede local; (ii) tipo 10, que não é repassado par roteadores fora de uma área OSPF; (iii) tipo 11, que é repassado para todo o dom´ınio OSPF.

Para o sistema de rastreamento de tráfego IP proposto neste trabalho, é criado um novo Opaque LSA do tipo 11, chamado IP Traceback Opaque LSA, que é gerado somente por ATBs. Cada ATB divulga um IP Traceback Opaque LSA contendo informações sobre os roteadores aos quais está associado. Isso permite que, após a convergência do protocolo OSPF, cada ATB conheça todos os outros ATBs presentes no dom´ınio, bem como os seus roteadores associados, permitindo assim a construção da rede sobreposta de rastreamento, conforme descrito na Seção 3.3. ´E importante destacar que a distribuição dos IP Trace-back Opaque LSAs independe do conhecimento dos roteadores do dom´ınio acerca desses LSAs, pois os roteadores simplesmente difundem Opaque LSAs cujo propósito eles des-conhecem. Isso contribui também para que o sistema proposto possa ser implantado em dom´ınios OSPF de modo transparente para a infra-estrutura existente.

(6)

3.3. Criação da rede sobreposta para rastreamento de tráfego IP

O objetivo da rede sobreposta é permitir que o rastreamento de pacotes de ataque seja feito entre os roteadores dela participantes (que não necessariamente são cont´ıguos no n´ıvel de rotamento por onde o pacote passou), partindo do roteador mais próximo ao alvo do ataque. Sendo assim, a tarefa de rastreamento é feita salto a salto na rede sobreposta, eliminando a necessidade, comum em muitas propostas anteriores, do sistema de rastreamento ser implantado em todos os roteadores do dom´ınio.

Após a convergência do protocolo OSPF, cada roteador tem o conhecimento glo-bal sobre a topologia do dom´ınio, representada no processo OSPF desse roteador como um grafo. A partir deste momento o processo OSPF de cada roteador executa o algo-ritmo de Dijkstra [Dijkstra 1959] sobre seu grafo, que tem como resultado uma árvore, denominada árvore SPF (Shortest Path First), cuja raiz é o roteador em questão e cujas subárvores representam os melhores caminhos para cada poss´ıvel destino no dom´ınio. As Figuras 2(a) e 2(b) são exemplos (parciais), respectivamente, das árvores SPF para os ro-teadores RT1 e RT4 da Figura 1. Com base na sua árvore SPF, um roteador OSPF constrói a tabela de rotas a ser usada durante o encaminhamento de pacotes dentro do dom´ınio. Novamente os roteadores com uma borda dupla nas Figuras 2(a) e 2(b) indicam aqueles roteadores que participam da rede sobreposta de rastreamento.

(a) Roteador RT1. (b) Roteador RT4.

Figura 2. ´Arvores SPF.

Para a construção da rede sobreposta, cada ATB do dom´ınio executa o algoritmo de Dijkstra sobre seu grafo de modo a calcular, para cada um de seus roteadores associa-dos, uma árvore SPF distinta tendo como raiz o roteador em questão. A partir da árvore SPF de cada um de seus roteadores associados, um ATB extrai uma nova árvore, denomi-nada árvore de overlay, que representa os melhores caminhos entre o roteador em questão e os demais roteadores participantes na rede sobreposta de rastreamento. Continuando

(7)

com o exemplo da Figura 1, as Figuras 3(a) e 3(b) mostram as ´arvores de overlay para os roteadores RT1 e RT4, respectivamente.

(a) Roteador RT1. (b) Roteador RT4.

Figura 3. ´Arvores de overlay.

A partir da árvore de overlay de cada um de seus roteadores associados, um ATB constrói uma tabela de overlay indicando os roteadores vizinhos, na rede sobreposta, do roteador em questão. No exemplo das Figuras 3(a) e 3(b), a tabela de overlay para o roteador RT1 é composta pelos roteadores RT3 e RT4, e a tabela de overlay para o roteador RT4 é composta pelos roteadores RT1, RT3, RT7 e RT10. A Figura 4 ilustra a rede sobreposta resultante para o exemplo completo da Figura 1.

Figura 4. Rede sobreposta para a topologia da Figura 1.

3.4. Marcac¸˜ao de pacotes

O processo de marcação de pacotes utilizado no sistema de rastreamento descrito neste trabalho é similar ao utilizado em nosso trabalho anterior [Castelucio et al. 2009], em que um pacote é marcado no momento em que passa por um roteador de borda de um Sistema Autônomo – participante do sistema de rastreamento – através da inserção de informações relativas ao Sistema Autônomo no FBG presente no cabeçalho do pa-cote. Basicamente, essas informações são o resultado de uma função de hash sobre o número identificador do Sistema Autônomo (ASN - Autonomous System Number) com-binado com o TTL do pacote no momento em que o mesmo passa pelo roteador, de forma a identificar a sequência correta dos Sistemas Autônomos por onde o pacote passou até chegar ao destino. No caso do sistema aqui descrito, a informação do ASN é substitu´ıda pelo endereço IP da interface de sa´ıda do roteador que encaminhou o pacote. Nesse ponto é importante reiterar que somente os roteadores participantes da rede sobreposta efetuam a marcação dos pacotes. Utilizando a Figura 1 como exemplo, se um pacote é enviado a partir de uma estação origem que está na rede N1 e utiliza a rota RT1, RT4, RT5 e

(8)

RT7 para alcançar o seu destino na rede N6, os roteadores RT1, RT4 e RT7 são os que efetivamente fazem a marcação do pacote.

Considerando a possibilidade da implantação do sistema, é importante notar que o procedimento de marcação de pacotes não necessita de um grande esforço computacional, pois pode ser feito através de algumas operações lógicas básicas [Laufer et al. 2005a]. O tamanho do FBG a ser adotado depende do compromisso entre a probabilidade da ocorrência de falsos positivos e negativos, do número de funções de hash utilizadas e do número de elementos a serem armazenados no FBG (uma análise detalhada pode ser encontrada em [Laufer et al. 2005a]). Por exemplo, se forem consideradas 16 funções de hash (8 para preencher com 1 e 8 para preencher com 0 os bits do filtro), um FBG com 64 bits terá probabilidades de ocorrência de falsos positivos de 0.09%, 0,5% e 3%, após a inserção de 3, 5 e 8 elementos, respectivamente.

3.5. Processo de rastreamento de tr´afego

O processo de rastreamento de um ataque é disparado pelo administrador da rede onde o ataque foi detectado. O primeiro passo desse processo considera os roteadores participantes da rede sobreposta que estão mais próximos da rede atacada – a identificação desses roteadores pode ser feita facilmente a partir das árvores SPF mantidas pelos ATBs. O processo busca nos FBGs extra´ıdos dos pacotes atacantes a marcação de um desses roteadores. O roteador que tiver feito a marcação nesses pacotes é o primeiro na rota de rastreamento (a rota reversa do pacote, que vai em direção ao atacante). Os passos seguintes do processo são semelhantes, mas usando a estrutura da rede sobreposta mantida nos ATBs para identificar os roteadores seguintes na rota de rastreamento.

Utilizando as Figuras 1 e 4 como exemplo, consideremos um ataque direcionado a uma máquina na rede N7. Consideremos também, para simplificar a explicação, o tratamento de um único pacote de ataque, e que cada ATB no sistema esteja associado a um único roteador participante da rede sobreposta. Supondo que o pacote de ataque foi encaminhado pelos roteadores RT1, RT4 e RT7, o primeiro passo do processo de rastreamento identificaria RT7 como o primeiro na rota de rastreamento, uma vez que o FBG do pacote de ataque não está marcado pelo roteador RT10 (o outro roteador da rede sobreposta mais próximo da rede N7). No passo seguinte, o ATB do roteador RT7 deve buscar no FBG marcas que pertençam aos roteadores RT3, RT4 ou RT10. A marca correspondente será a do roteador RT4. Deste modo, o ATB do roteador RT7 envia um pacote de reconstrução de rota para o ATB do roteador RT4. Este pacote contém o FBG do pacote de ataque e uma lista dos roteadores já inclu´ıdos na rota de rastreamento (com o intuito de prevenir a ocorrência de loops). O ATB do roteador RT4, por sua vez, repete o processo feito pelo ATB do roteador RT7 buscando no FBG marcas que pertençam aos roteadores RT1, RT3 ou RT10. A marca encontrada é a do roteador RT1 e, portanto, o ATB do roteador RT4 envia o pacote de reconstrução de rota para o ATB do roteador RT1. O processo de rastreamento termina quando o ATB do roteador RT1 verifica que não há mais marcas no FBG que correspondam a vizinhos na rede sobreposta ainda não inclu´ıdos na rota de rastreamento. Este processo é similar ao realizado em [Castelucio et al. 2009] no sistema de rastreamento inter-dom´ınio.

(9)

4. Avaliac¸˜ao do sistema proposto

Nesta seção, é investigada a eficiência e o desempenho do sistema de rastreamento intra-dom´ınio proposto. Para esta verificação, foram utilizadas duas abordagens para a escolha dos roteadores participantes da rede sobreposta no dom´ınio: (i) posicionamento estratégico, onde os roteadores com maior número de conexões foram escolhidos para se tornarem roteadores participantes da rede sobreposta primeiro; (ii) posicionamento aleatório, onde a implantação do sistema de rastreamento foi feita aleatoriamente nos roteadores do dom´ınio.

Um dos objetivos desta simulação é comparar os métodos de posicio-namento do sistema de rastreamento inter-dom´ınio proposto em Castelucio et al. [Castelucio et al. 2009] e o sistema intra-dom´ınio aqui proposto. Em uma topologia no n´ıvel de Sistemas Autônomos, ou seja inter-dom´ınio, existe uma tendência de novos nós se conectarem a outros nós já existentes que tenham um alto grau de conectividade – um fenômeno conhecido como preferential attachment – conforme a rede aumenta de tama-nho [Faloutsos et al. 1999, Medina et al. 2000]. Essas topologias são conhecidas como livres de escala (scale-free). Por outro lado, em uma topologia intra-dom´ınio, a colocação e o posicionamento de novos nós independe do grau de conectividade e varia de acordo com a necessidade do dom´ınio.

Outro propósito das simulações é analisar o desempenho da implementação par-cial e gradual do sistema proposto. Em outras palavras, a intenção é avaliar a relação entre a quantidade de roteadores participantes da rede sobreposta no dom´ınio e a acurácia no rastreamento. Para isto, foram observadas caracter´ısticas no caminho reverso dos pa-cotes indicado pelo sistema proposto, variando-se a porcentagem de implementação do sistema no dom´ınio de rede. Os resultados das simulações representam valores médios, de±5.2% para o posicionamento estratégico e ±6.6% para o posicionamento aleatório, com um n´ıvel de confiança de 99%.

4.1. Configuração da simulação

Para gerar as topologias intra-dom´ınio, foi usado o gerador de topologia Nem [Magoni 2002]. Para executar as simulac¸˜oes usamos o simulador de rede NS-2 [Network Simulator NS-2 1995].

Apresentamos resultados para topologias intra-dom´ınio contendo 50, 150, 250 e 350 roteadores, dimensões que cobrem a grande maioria dos dom´ınios. Para cada amostra, foram simuladas três diferentes topologias de dom´ınio com 12 conjuntos aleatórios de atacantes. A quantidade de atacantes selecionada foi 10% do tamanho do dom´ınio, ou seja, para um dom´ınio com 50 roteadores, foram usados 5 atacantes; para um dom´ınio com 350 roteadores, foram usados 35 atacantes, e assim por diante, enviando tráfego para uma v´ıtima.

Para os gr´aficos que comparam o sistema de rastreamento inter-dom´ınio proposto em [Castelucio et al. 2009] e o sistema de rastreamento intra-dom´ınio aqui proposto, fo-ram utilizadas as m´edias dos resultados para 300, 600 e 900 roteadores no sistema de rastreamento inter-dom´ınio e para 50, 150, 250 e 350 roteadores no sistema aqui pro-posto.

(10)

4.2. Resultados

Na Figura 5 é apresentado o percentual da rota de ataque descoberta dependendo da fração de roteadores participantes da rede sobreposta presentes no dom´ınio. Os resul-tados mostram que usando o posicionamento estratégico, são descobertos quase 90% do caminho reverso dos ataques dentro do dom´ınio com aproximadamente 60% de roteado-res participantes da rede sobreposta. Por outro lado, para alcançar os mesmos roteado-resultados usando o posicionamento aleatório, praticamente 90% do roteadores do dom´ınio devem ser participantes da rede sobreposta. Relaxando-se a exigência de encontrar-se todo o ca-minho percorrido pelo ataque, o posicionamento estratégico permite encontrar, por exem-plo, 60%, 70% e 80% da rota percorrida pelo tráfego de ataque com aproximadamente 20%, 30% e 40% de roteadores participantes da rede sobreposta no dom´ınio. Ou seja, com uma porção relativamente pequena de roteadores do dom´ınio de rede possuindo o sistema proposto implantado – desde que utilizando este tipo de posicionamento estratégico – é poss´ıvel identificar uma grande porção da rota seguida pelos pacotes de ataque.

0 10 20 30 40 50 60 70 80 90 100 0 10 20 30 40 50 60 70 80 90 100 Rota descoberta (%)

Roteadores participantes da rede sobreposta (%) 50 roteadores (E) 150 roteadores (E) 250 roteadores (E) 350 roteadores (E) 50 roteadores (A) 150 roteadores (A) 250 roteadores (A) 350 roteadores (A)

Figura 5. Descoberta da rota de ataque.

Na Figura 6 é observado que usando o posicionamento estratégico, para que o sis-tema descubra quase 100% dos roteadores diretamente conectados aos atacantes, ou seja, o primeiro roteador por onde os pacotes de ataque são encaminhados, é necessário que aproximadamente 70% dos roteadores do dom´ınio sejam participantes da rede sobreposta. Porém, mesmo que apenas 20% dos roteadores do dom´ınio sejam participantes da rede sobreposta, o sistema ainda é capaz de identificar 80% dos roteadores de onde os paco-tes de ataque são originalmente encaminhados. Para alcançar espaco-tes resultados utilizando o posicionamento aleatório, aproximadamente 100% e 80% do roteadores do dom´ınio, respectivamente, devem ser participantes da rede sobreposta.

Na Figura 7 é feita a comparação do sistema inter-dom´ınio proposto em [Castelucio et al. 2009] e do sistema intra-dom´ınio aqui proposto. Podemos observar que no posicionamento estratégico, apesar das topologias inter-dom´ınio não possu´ırem as mesmas caracter´ısticas livres de escala das topologias intra-dom´ınio, o desempenho dos sistemas não é tão diferente, tendo seu ponto de maior impacto entre 20% e 30% de

(11)

0 10 20 30 40 50 60 70 80 90 100 0 10 20 30 40 50 60 70 80 90 100

Roteador origem dos pacotes de ataque (% descoberto)

Roteadores participantes da rede sobreposta (%) 50 roteadores (E) 150 roteadores (E) 250 roteadores (E) 350 roteadores (E) 50 roteadores (A) 150 roteadores (A) 250 roteadores (A) 350 roteadores (A)

Figura 6. Descoberta da rota de ataque – roteadores diretamente conectados aos atacantes.

teadores participantes da rede sobreposta no dom´ınio. No posicionamento aleatório esta diferença é ainda menor, onde o desempenho apresentado pelos sistemas é praticamente o mesmo. 0 10 20 30 40 50 60 70 80 90 100 0 10 20 30 40 50 60 70 80 90 100 Rota descoberta (%)

Roteadores participantes da rede sobreposta (%) Intra-dominio (E) Inter-dominio (E) Intra-dominio (A) Inter-dominio (A)

Figura 7. Sistema proposto em [Castelucio et al. 2009] X sistema proposto neste trabalho – descoberta da rota de ataque.

A Figura 8 mostra a comparação entre os sistemas no que diz respeito ao rastre-amento dos roteadores que estão diretamente conectados aos atacantes. Neste gráfico, tanto no posicionamento estratégico quanto no aleatório os resultados são praticamente os mesmos, não havendo diferenças no desempenho dos sistemas.

(12)

0 10 20 30 40 50 60 70 80 90 100 0 10 20 30 40 50 60 70 80 90 100

Roteadores conectados aos atacantes (% descoberta)

Roteadores participantes da rede sobreposta (%) Intra-dominio (E) Inter-dominio (E) Intra-dominio (A) Inter-dominio (A)

Figura 8. Sistema proposto em [Castelucio et al. 2009] X sistema proposto neste trabalho – roteadores diretamente conectados aos atacantes.

5. Conclus˜ao e trabalhos futuros

Neste artigo propusemos um sistema de rastreamento intra-dom´ınio de tráfego IP, que utiliza caracter´ısticas do protocolo de roteamento OSPF para permitir a criação de uma rede sobreposta responsável pela marcação e determinação de rotas dos pacotes de ataque. O sistema de rastreamento proposto pode ser implantado parcial e gradualmente dentro de um dom´ınio de rede, eliminando a necessidade de sua implantação em todos os roteadores desse dom´ınio. Com isso, o sistema permite um custo de implantação menor do que em outros sistemas de rastreamento no n´ıvel de roteadores.

São realizadas simulações com o intuito de comparar os métodos de posiciona-mento do sistema de rastreaposiciona-mento inter-dom´ınio proposto em [Castelucio et al. 2009] e o sistema aqui descrito, afim de verificar o comportamento e o desempenho dos sistemas em topologias apresentando diferentes caracter´ısticas. Também é avaliada a relação entre a acurácia no rastreamento e a implementação parcial e gradual do sistema de rastreamento dentro dos Sistemas Autônomos.

Nas simulações são usadas duas formas de posicionar o sistema de rastreamento proposto dentro do dom´ınio: estratégica, onde é considerado o grau de conectividade dos roteadores no momento da escolha de qual roteador terá o sistema de rastreamento insta-lado primeiro; e aleatório, onde os roteadores são sorteados para ter o sistema instainsta-lado.

Os resultados das simulações mostram que através do posicionamento estratégico do sistema proposto, pode-se ter informação suficiente para filtrar os pacotes de ataque de forma distribu´ıda bem perto de suas fontes, já que com 20% de roteadores partici-pantes da rede sobreposta no dom´ınio de rede é poss´ıvel rastrear aproximadamente 80% dos roteadores que fazem o primeiro encaminhamento dos pacotes de ataque, ou seja, os roteadores diretamente conectados aos atacantes. Com uma taxa similar a esta o sis-tema proposto é capaz de identificar aproximadamente 60% do caminho reverso total dos pacotes, permitindo uma filtragem mais distribu´ıda ao longo do caminho.

(13)

Por outro lado, posicionando o sistema de rastreamento aleatoriamente dentro de um dom´ınio de rede, os resultados obtidos não são tão relevantes. Porém, tendo em vista que apenas uma quantidade pequena de administradores – com interesses comuns – é responsável pela decisão da instalação do sistema de rastreamento, a escolha de quais roteadores serão escolhidos para ter o sistema instalado e consequentemente se tornarem roteadores participantes da rede sobreposta depende apenas da dimensão e da disposição dos roteadores no dom´ınio.

Como trabalhos futuros pretendemos refinar a proposta considerando o caso de dom´ınios OSPF divididos em áreas. Na realidade, o uso de Opaque LSAs do tipo 11 em nossa proposta permite a construção da rede sobreposta de rastreamento mesmo quando áreas OSPF são usadas em um dom´ınio de rede. As únicas exceções são as áreas stub, que não permitem a divulgação interna desse tipo de LSA. O tratamento desse caso espec´ıfico constitui um ponto de trabalho futuro. Pretendemos também viabilizar a integração do sis-tema de rastreamento intra-dom´ınio proposto neste trabalho ao sissis-tema de rastreamento inter-dom´ınio proposto em [Castelucio et al. 2009]. O objetivo dessa integração é permi-tir a realização de um rastreamento hierárquico, onde em um primeiro momento o Sistema Autônomo de onde são originados os pacotes de ataque possa ser descoberto, e em um segundo momento haja a descoberta do atacante dentro deste dom´ınio, aumentado assim as chances de se chegar mais perto do atacante e realizar a filtragem de modo ainda mais eficiente.

Agradecimentos

Este trabalho foi parcialmente financiado pelo MCT, CNPq e FAPERJ.

Referˆencias

Bloom, B. (1970). Space/time tradeoffs in hash coding with allowable errors. Communi-cations of the ACM, 13(7):422–426.

Castelucio, A. O., Salles, R. M., e Ziviani, A. (2009). An AS-level overlay network for IP traceback. IEEE Network, 23(1):36–41.

Chandra, R., Traina, P., e Li, T. (1996). BGP Communities Attribute. Internet Engineering Task Force. RFC 1997.

Coltun, R. (1998). The OSPF Opaque LSA Option. RFC 2370.

Dijkstra, E. W. (1959). A note on two problems in connexion with graphs. Numerische Mathematik, 1:269–271.

Durresi, A., Paruchuri, V., Barolli, L., Kannan, R., e Iyengar, S. S. (2004). Efficient and secure autonomous system based traceback. Journal of Interconnection Networks, 5(2):151–164.

Faloutsos, M., Faloutsos, P., e Faloutsos, C. (1999). On power-law relationships of the internet topology. In SIGCOMM ’99: Proceedings of the conference on Applications, technologies, architectures, and protocols for computer communication, p´ag. 251–262, New York, NY, USA. ACM Press.

Ferguson, P. e Senie, D. (2002). Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing. Internet Engineering Task Force. RFC 2827.

(14)

Hussain, A., Heidemann, J., e Papadopoulos, C. (2003). A framework for classifying denial of service attacks. In SIGCOMM ’03: Proceedings of the 2003 conference on Applications, technologies, architectures, and protocols for computer communications, p´ag. 99–110, New York, NY, USA. ACM Press.

Katz, D., Kompella, K., e Yeung, D. (2003). Traffic Engineering (TE) Extensions to OSPF Version 2. RFC 3630.

Korkmaz, T., Gong, C., Sarac, K., e Dykes, S. (2007). Single packet IP traceback in AS-level partial deployment scenario. International Journal of Security and Networks, 2(1/2):95–108.

Laufer, R. P., Velloso, P. B., de O. Cunha, D., Moraes, I. M., Bicudo, M. D. D., e Duarte, O. C. M. B. (2005a). A new IP traceback system against denial-of-service attacks. In 12th International Conference on Telecommunications - ICT’2005, Capetown, South Africa.

Laufer, R. P., Velloso, P. B., e Duarte, O. C. M. B. (2005b). Generalized bloom filters, gta-05-43. Technical report, COPPE/UFRJ.

Lindem, A., Shen, N., Vasseur, J., Aggarwal, R., e Shaffer, S. (2007). Extensions to OSPF for Advertising Optional Router Capabilities. RFC 4970.

Magoni, D. (2002). Network manipulator. https://dpt-info.u-strasbg.fr/ magoni/nem. Medina, A., Matta, I., e Byers, J. (2000). On the origin of power laws in internet

topolo-gies. SIGCOMM Comput. Commun. Rev., 30(2):18–28.

Moore, D., Shannon, C., Brown, D. J., Voelker, G. M., e Savage, S. (2006). Inferring internet denial-of-service activity. ACM Trans. Comput. Syst., 24(2):115–139.

Moy, J. (1998). OSPF version 2. Internet Engineering Task Force. RFC 2328. Moy, J., Pillay-Esnault, P., e Lindem, A. (2003). Graceful OSPF Restart. RFC 3623. Network Simulator 2 (1995). http://www.isi.edu/nsnam/ns.

NIST (2007). Guide to Intrusion Detection and Prevention Systems - (IDPS). Technical report, NIST- National Institute of Standards and Technology.

Rekhter, Y. e Li, T. (1995). A border gateway protocol 4 (BGP-4). RFC 1771.

Savage, S., Wetherall, D., Karlin, A., e Anderson, T. (2000). Practical network support for IP traceback. In Proceedings of the 2000 conference on Applications, technologies, architectures, and protocols for computer communications (SIGCOMM), p´ag. 295– 306, Stockholm, Sweden.

Snoeren, A. C., Partridge, C., Sanchez, L. A., Jones, C. E., Tchakountio, F., Schwartz, B., Kent, S. T., e Strayer, W. T. (2002). Single-packet IP traceback. IEEE/ACM Trans. Netw., 10(6):721–734.