Analisando as Preparações para Ataques DDoS: Técnicas de Reconhecimento
Estudo revela como os atacantes estimam as capacidades das funções de rede antes de lançar ataques DDoS.
― 6 min ler
Os Atacantes geralmente coletam informações sobre seus alvos antes de lançar ataques de Negação de Serviço Distribuída (DDos). Essa coleta de informações é conhecida como Reconhecimento. Uma parte importante desse processo é descobrir qual é a capacidade de funcionamento da rede do alvo (como firewalls e tradutores de endereço de rede). Sabendo a capacidade, os atacantes podem planejar seus ataques para causar o máximo de dano.
Pra prevenir esses ataques de reconhecimento, é crucial entender como eles funcionam e quão viáveis são. No entanto, os detalhes sobre como os atacantes podem descobrir as Capacidades das Funções de Rede sem serem detectados não são muito bem conhecidos. Este estudo investiga essas técnicas de reconhecimento, focando em como os atacantes podem estimar a capacidade de processamento das funções de rede sem serem percebidos.
O Problema
O primeiro passo deste estudo é definir o problema do reconhecimento da capacidade das funções de rede. Queremos descobrir se um atacante pode aprender a capacidade de processamento de uma função de rede remotamente e sem ser pego. Isso é feito sem enviar muitos dados, o que poderia alertar o alvo.
Os métodos atuais para determinar a capacidade da rede não são muito eficazes nesse contexto. As abordagens tradicionais geralmente envolvem o envio de grandes quantidades de dados pra ver quão rápido o alvo pode responder. No entanto, isso pode ser facilmente detectado e pode fazer com que o alvo aumente suas defesas.
Vários fatores tornam essa forma de reconhecimento difícil. O atacante deve considerar quantos pacotes (unidades de dados) eles enviam, já que enviar muitos aumenta a chance de detecção. Além disso, o modo como as funções de rede operam pode variar com base em suas configurações e carga, o que pode complicar o processo de estimativa.
Insights Principais
Pra atingir o objetivo de estimar a capacidade com precisão, desenvolvemos uma ferramenta chamada NFTY. Essa ferramenta foi projetada pra enviar um número limitado de pacotes de uma maneira que minimize o risco de detecção enquanto ainda coleta informações úteis.
Na nossa abordagem, o NFTY avalia duas estratégias diferentes para enviar pacotes e aprender sobre as funções de rede. Cada configuração tem suas próprias forças e fraquezas quando se trata de equilibrar furtividade e precisão. Usando essas configurações, os atacantes podem obter dados valiosos de seus alvos sem chamar muita atenção.
Como o NFTY Funciona
A ferramenta NFTY realiza o reconhecimento de capacidade enviando pacotes em rajadas. A ideia é enviar alguns pacotes rapidamente pra "estressar" a função de rede só o suficiente pra revelar sua capacidade. Medindo o tempo que leva pra os pacotes serem processados, o NFTY pode estimar quanta capacidade a função de rede tem.
Por exemplo, se um atacante envia pacotes pra um alvo e mede quanto tempo leva pra eles voltarem, ele pode inferir quantos pacotes a função de rede pode lidar a qualquer momento. Esse método depende de medir o espaçamento dos pacotes recebidos pra avaliar a velocidade de processamento, em vez de sobrecarregar a função de rede com tráfego.
Experimentos Controlados
Em ambientes controlados, o NFTY demonstrou um alto nível de precisão. Testando várias configurações em um ambiente de laboratório, mostramos que o NFTY poderia estimar com sucesso a capacidade de processamento das funções de rede com erro mínimo.
Comparando o NFTY a técnicas existentes de estimativa de largura de banda que não fornecem o mesmo nível de precisão, os resultados indicaram que com o NFTY, os atacantes poderiam obter insights sobre as capacidades das funções de rede enquanto permanecessem abaixo do limite de detecção.
Testes no Mundo Real
Além dos testes em laboratório, também avaliamos o NFTY em condições reais da Internet. Os ataques foram realizados em diferentes configurações, incluindo funções de rede comerciais implantadas em serviços de nuvem. Apesar do ruído e desafios adicionais presentes nesses ambientes, o NFTY consistentemente forneceu estimativas de capacidade precisas.
Um teste notável envolveu o acompanhamento do desempenho de funções de rede como firewalls. Os resultados mostraram que o NFTY poderia gerar estimativas de capacidade de processamento dentro de uma pequena margem de erro, mesmo no ambiente barulhento e imprevisível da Internet.
Contra-medidas
Embora entender essas técnicas de reconhecimento seja essencial pra melhorar as defesas, também é importante explorar contra-medidas pra desestimular os atacantes. Identificamos várias estratégias que poderiam ser empregadas pra reduzir a eficácia das tentativas de reconhecimento de capacidade.
Atrasos Aleatórios: Adicionar atrasos aleatórios aos pacotes enviados pode confundir os atacantes e distorcer as medições que eles usam pra inferir a capacidade de processamento.
Processamento em Lotes: Em vez de processar pacotes à medida que chegam, as funções de rede poderiam atrasar e liberar os pacotes em lotes. Essa mudança tornaria mais difícil pros atacantes determinarem a capacidade com precisão.
Reordenação de Pacotes: Utilizando várias filas pra processar pacotes, as funções de rede podem reordenar os pacotes antes de chegarem ao atacante. Essa estratégia interrompe a sequência dos pacotes e complica os cálculos do atacante.
Limitação de Taxa: Limitar a taxa com que pacotes da mesma origem são processados pode obscurecer a verdadeira capacidade da função de rede, desestimulando os atacantes de estimarem sua performance com precisão.
Desafios e Trabalho Futuro
Apesar da eficácia das contra-medidas propostas, os atacantes estão sempre desenvolvendo novos métodos pra contorná-las. Pesquisas futuras devem explorar como aumentar a segurança das funções de rede contra esses ataques de reconhecimento.
Além disso, à medida que as funções de rede se tornam mais complexas e dinâmicas, entender como as variações nas configurações de implantação afetam a determinação de capacidade será crucial pra desenvolver estratégias defensivas resilientes.
Conclusão
A capacidade dos atacantes de coletar informações sobre as capacidades das funções de rede representa uma ameaça significativa à segurança da rede. Ferramentas como o NFTY destacam os riscos potenciais e a necessidade de contra-medidas robustas. Compreendendo de forma abrangente tanto as técnicas de reconhecimento quanto as medidas defensivas, as organizações podem se proteger melhor das ameaças constantes de ataques DDoS e outros similares.
Em resumo, este estudo fornece não apenas uma definição e entendimento do reconhecimento da capacidade das funções de rede, mas também insights práticos sobre como contrabalançar tais táticas. Serve como um chamado à ação para que as organizações aprimorem sua postura de segurança e fiquem atentas às ameaças em evolução no cenário cibernético.
Título: Network Function Capacity Reconnaissance by Remote Adversaries
Resumo: There is anecdotal evidence that attackers use reconnaissance to learn the capacity of their victims before DDoS attacks to maximize their impact. The first step to mitigate capacity reconnaissance attacks is to understand their feasibility. However, the feasibility of capacity reconnaissance in network functions (NFs) (e.g., firewalls, NATs) is unknown. To this end, we formulate the problem of network function capacity reconnaissance (NFCR) and explore the feasibility of inferring the processing capacity of an NF while avoiding detection. We identify key factors that make NFCR challenging and analyze how these factors affect accuracy (measured as a divergence from ground truth) and stealthiness (measured in packets sent). We propose a flexible tool, NFTY, that performs NFCR and we evaluate two practical NFTY configurations to showcase the stealthiness vs. accuracy tradeoffs. We evaluate these strategies in controlled, Internet and/or cloud settings with commercial NFs. NFTY can accurately estimate the capacity of different NF deployments within 10% error in the controlled experiments and the Internet, and within 7% error for a commercial NF deployed in the cloud (AWS). Moreover, NFTY outperforms link-bandwidth estimation baselines by up to 30x.
Autores: Aqsa Kashaf, Aidan Walsh, Maria Apostolaki, Vyas Sekar, Yuvraj Agarwal
Última atualização: 2024-05-15 00:00:00
Idioma: English
Fonte URL: https://arxiv.org/abs/2405.09442
Fonte PDF: https://arxiv.org/pdf/2405.09442
Licença: https://creativecommons.org/licenses/by/4.0/
Alterações: Este resumo foi elaborado com a assistência da AI e pode conter imprecisões. Para obter informações exactas, consulte os documentos originais ligados aqui.
Obrigado ao arxiv pela utilização da sua interoperabilidade de acesso aberto.