Active packet filtering against DDoS attack
- Global styles
- Apa
- Bibtex
- Chicago Fullnote
- Help
Abstract
Dağıtık servis engelleme (DDoS) saldırıları Internet güvenliğini tehdit eden ve ençok karşılaşılan saldırılardan biridir. Bu saldırılarda amaç, kaynak ve bant genişliğini, yüksek sayıda normal paket göndererek tüketmektir. Saldırılarda, kötücül olan veya olmayan ulaşımın ayırt edilmesi güçolan, taşıma ve ağkatmanları hedef alınır. Bunların yanında DDoS saldırılarını ciddileştiren başka mekanizmalar da mevcuttur. Bir DDoS saldırganı, saldırının kaynağını maskelemek için sahte bir adresi kaynak adresi olarak gösterebilir. Bu sebeple, DDoS paketlerini en az sezim hatası ile verimli bir şekilde tespit edip engelleyecek filtrelerin geliştirilmesi çok önemlidir. Bu tezde, hedef yönlendiricilere gelen büyük miktardaki veriyi azaltarak, saldırı paketlerini tespit edip düşüren, uçyönlendiriciler için bir filtreleme yöntemi önerilmiştir. Öncelikle, yararlı yük karakteristiği ve ağtrafik özniteliklerinin istatistiksel davranışlarına dayanan yeni bir anormallik tespiti önerilmiştir. İkinci bir adım olarak, uç-tabanlı filtreleme strajesi ile geliştirilmişbir bloom filtresi, hedef tarafında kullanılmıştır. Bu filtre, sahte IP paketlerinin tespiti iç in IP geçmişi ve hoplama sayısı değ erlerini kullanmaktadır. Bu filtrenin yanısıra, hedefin Internet kullanılabilirliği ve güvenliği, eniyileme sistemi yardımıyla uçyönlendiricilerinin bir veya birkaçı kapatılarak sağlanır. Bu eniyileme, hedefe istenilen paketlerin ulaşması iç in kapatılacak uçyönlendiricileri, iki eniyileme algoritması ile seçer, (i) Genetik evrimsel algoritması ve (ii) doğrusal programlama algoritmas. Distributed Denial of Service (DDoS) attacks are one of the dominant and persistent threats to the security of the Internet nowadays.The aim of these attacks are mainly resource or the bandwidth consumption with enormous number of normal packets. Their target are at layer three or four of the network which are network and transport layers, where distinguishing a normal packet from a malicious one is an arduous task. However, these are not the only precarious aspects of DDoS attacks. A DDoS attacker may easily spoof its source IP address, to hide the origins of the attack. Therefore, developing a distributed defense filtering strategy which can efficiently detect and drop attack packets with the least possible false negative probability is crucial. In this thesis, we propose an incorporated filtering scheme in victim host and edge routers, which detects and drops the illegitimate packets while mitigating the huge amount of data coming toward the victim in edge routers. First, a novel anomaly detection based on feature statistical behavior and payload characteristics of normal and attack traffic is proposed. In the second step, a host-based filtering strategy that detects spoofed packets with a combination of IP history based and hops counting filters, is applied in victim side by means of an advanced matrix bloom filter. Along with this filter, the defense and availability of the service on the target is guaranteed by turning off several edge routers by optimization system. This optimization, selects edge routers to be turned off for the good throughput to reach to the victim via two optimization algorithms, (i) Genetic evolutionary algorithm and (ii) linear programming algorithm.
Collections