Examinando las Preparaciones para Ataques DDoS: Técnicas de Reconocimiento
Un estudio revela cómo los atacantes estiman las capacidades de función de la red antes de lanzar ataques DDoS.
― 6 minilectura
Tabla de contenidos
Los Atacantes suelen recolectar información sobre sus objetivos antes de lanzar ataques de Denegación de Servicio Distribuido (DDos). Esta recolección de información se conoce como Reconocimiento. Una parte importante de este proceso es averiguar cuánta Capacidad tienen las Funciones de Red del objetivo (como firewalls y traductores de direcciones de red). Al conocer la capacidad, los atacantes pueden planear sus ataques para causar el mayor daño posible.
Para prevenir estos ataques de reconocimiento, es crucial entender cómo funcionan y cuán factibles son. Sin embargo, los detalles sobre cómo los atacantes pueden descubrir las capacidades de las funciones de red sin ser detectados no son muy conocidos. Este estudio investiga estas técnicas de reconocimiento, enfocándose en cómo los atacantes pueden estimar la capacidad de procesamiento de las funciones de red sin ser notados.
El Problema
El primer paso en este estudio es definir el problema del reconocimiento de capacidad de funciones de red. Queremos averiguar si un atacante puede aprender la capacidad de procesamiento de una función de red de forma remota y sin ser capturado. Esto se hace sin enviar demasiados datos, lo que podría alertar al objetivo.
Los métodos actuales para determinar la capacidad de la red no son muy efectivos en este contexto. Los enfoques tradicionales generalmente implican enviar grandes cantidades de datos para ver cuán rápido puede responder el objetivo. Sin embargo, esto puede ser fácilmente detectado y podría hacer que el objetivo aumente sus defensas.
Varios factores hacen que esta forma de reconocimiento sea difícil. El atacante debe considerar cuántos paquetes (unidades de datos) envía, ya que enviar demasiados aumenta la posibilidad de detección. Además, la manera en que operan las funciones de red puede variar según sus configuraciones y carga, lo que puede complicar el proceso de estimación.
Perspectivas Clave
Para lograr el objetivo de estimar con precisión la capacidad, desarrollamos una herramienta llamada NFTY. Esta herramienta está diseñada para enviar un número limitado de paquetes de manera que minimice el riesgo de detección mientras sigue obteniendo información útil.
En nuestro enfoque, NFTY evalúa dos estrategias diferentes para enviar paquetes y aprender sobre las funciones de red. Cada configuración tiene sus propias fortalezas y debilidades en cuanto a equilibrar sigilo y precisión. Al usar estas configuraciones, los atacantes pueden obtener datos valiosos de sus objetivos sin llamar mucho la atención.
Cómo Funciona NFTY
La herramienta NFTY realiza reconocimiento de capacidad enviando paquetes en ráfagas. La idea es enviar unos pocos paquetes rápidamente para "estresar" la función de red justo lo suficiente como para revelar su capacidad. Al medir el tiempo que tardan los paquetes en ser procesados, NFTY puede estimar cuánta capacidad tiene la función de red.
Por ejemplo, si un atacante envía paquetes a un objetivo y mide cuánto tiempo tardan en regresar, puede inferir cuántos paquetes puede manejar la función de red en un momento dado. Este método se basa en medir el espacio entre los paquetes recibidos para evaluar la velocidad de procesamiento, en lugar de abrumar a la función de red con tráfico.
Experimentos Controlados
En entornos controlados, NFTY demostró un alto nivel de precisión. Al probar varias configuraciones en un laboratorio, mostramos que NFTY podía estimar con éxito la capacidad de procesamiento de las funciones de red con un error mínimo.
Comparamos NFTY con técnicas existentes de estimación de ancho de banda que no ofrecen el mismo nivel de precisión. Los resultados indicaron que con NFTY, los atacantes podían obtener información sobre las capacidades de las funciones de red mientras permanecían por debajo del umbral de detección.
Pruebas en el Mundo Real
Además de pruebas en laboratorio, también evaluamos NFTY en condiciones reales de Internet. Los ataques se realizaron en diferentes entornos, incluyendo funciones de red comerciales desplegadas en servicios en la nube. A pesar del ruido adicional y los desafíos presentes en estos entornos, NFTY proporcionó consistentemente estimaciones precisas de capacidad.
Una prueba notable implicó rastrear el rendimiento de funciones de red como firewalls. Los resultados mostraron que NFTY podía ofrecer estimaciones de capacidad de procesamiento dentro de un pequeño margen de error, incluso en el entorno ruidoso e impredecible de Internet.
Contramedidas
Si bien entender estas técnicas de reconocimiento es esencial para mejorar las defensas, también es importante explorar contramedidas para disuadir a los atacantes. Identificamos varias estrategias que podrían emplearse para reducir la efectividad de los intentos de reconocimiento de capacidad.
Retrasos Aleatorios: Agregar retrasos aleatorios a los paquetes salientes puede confundir a los atacantes y distorsionar las mediciones en las que confían para inferir la capacidad de procesamiento.
Procesamiento por Lotes: En lugar de procesar paquetes a medida que llegan, las funciones de red podrían retrasar y liberar los paquetes en lotes. Este cambio dificultaría que los atacantes determinaran la capacidad con precisión.
Reordenamiento de Paquetes: Al utilizar múltiples colas para procesar paquetes, las funciones de red pueden reordenar los paquetes antes de que lleguen al atacante. Esta estrategia interrumpe la secuencia de paquetes y complica los cálculos del atacante.
Limitación de Tasa: Limitar la tasa a la que se procesan los paquetes de una misma fuente puede oscurecer la verdadera capacidad de la función de red, disuadiendo a los atacantes de estimar su rendimiento de manera precisa.
Desafíos y Trabajo Futuro
A pesar de la efectividad de las contramedidas propuestas, los atacantes siempre están desarrollando nuevos métodos para eludirlas. La investigación futura debe explorar cómo mejorar la seguridad de las funciones de red contra estos ataques de reconocimiento.
Además, a medida que las funciones de red se vuelven más complejas y dinámicas, será crucial entender cómo las variaciones en las configuraciones de despliegue afectan la determinación de la capacidad para desarrollar estrategias defensivas resilientes.
Conclusión
La capacidad de los atacantes para recolectar información sobre las capacidades de las funciones de red representa una amenaza significativa para la seguridad de la red. Herramientas como NFTY destacan los riesgos potenciales y la necesidad de contramedidas robustas. Al comprender de manera integral tanto las técnicas de reconocimiento como las medidas defensivas, las organizaciones pueden protegerse mejor de la amenaza continua de ataques DDoS y amenazas cibernéticas similares.
En resumen, este estudio proporciona no solo una definición y comprensión del reconocimiento de capacidad de funciones de red, sino también perspectivas prácticas sobre cómo contrarrestar tales tácticas. Sirve como un llamado a la acción para que las organizaciones mejoren su postura de seguridad y estén atentas a las amenazas en evolución en el ciberespacio.
Título: Network Function Capacity Reconnaissance by Remote Adversaries
Resumen: There is anecdotal evidence that attackers use reconnaissance to learn the capacity of their victims before DDoS attacks to maximize their impact. The first step to mitigate capacity reconnaissance attacks is to understand their feasibility. However, the feasibility of capacity reconnaissance in network functions (NFs) (e.g., firewalls, NATs) is unknown. To this end, we formulate the problem of network function capacity reconnaissance (NFCR) and explore the feasibility of inferring the processing capacity of an NF while avoiding detection. We identify key factors that make NFCR challenging and analyze how these factors affect accuracy (measured as a divergence from ground truth) and stealthiness (measured in packets sent). We propose a flexible tool, NFTY, that performs NFCR and we evaluate two practical NFTY configurations to showcase the stealthiness vs. accuracy tradeoffs. We evaluate these strategies in controlled, Internet and/or cloud settings with commercial NFs. NFTY can accurately estimate the capacity of different NF deployments within 10% error in the controlled experiments and the Internet, and within 7% error for a commercial NF deployed in the cloud (AWS). Moreover, NFTY outperforms link-bandwidth estimation baselines by up to 30x.
Autores: Aqsa Kashaf, Aidan Walsh, Maria Apostolaki, Vyas Sekar, Yuvraj Agarwal
Última actualización: 2024-05-15 00:00:00
Idioma: English
Fuente URL: https://arxiv.org/abs/2405.09442
Fuente PDF: https://arxiv.org/pdf/2405.09442
Licencia: https://creativecommons.org/licenses/by/4.0/
Cambios: Este resumen se ha elaborado con la ayuda de AI y puede contener imprecisiones. Para obtener información precisa, consulte los documentos originales enlazados aquí.
Gracias a arxiv por el uso de su interoperabilidad de acceso abierto.