1 / 41

Denial of Service or Denial of Security?

Denial of Service or Denial of Security?. Student : Mateescu George Tudor MSI2 Profesor : Lector, Dr . Cătălin Bîrjoveanu. Date despre lucrare :. Titlul lucrarii : Denial of Service or Denial of Security ? -How Attacks on Reliability can Compromise Anonymity.

stella
Télécharger la présentation

Denial of Service or Denial of Security?

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Denial of Service or Denial of Security? Student : Mateescu George Tudor MSI2 Profesor : Lector, Dr.CătălinBîrjoveanu

  2. Date desprelucrare: Titlullucrarii: Denial of Service or Denial of Security? -How Attacks on Reliability can Compromise Anonymity. Autori: Nikita Borisov, PrateekMittal, George Danezis, ParisaTabriz. Keywords : Anonymity, reliability, denial of service, attacks.

  3. I. Introducere: In general atacul de tip DoS ( Denial of Service) scadenivelul de anonimitatedeoarecemesajelenecesita a fi retransmise, astfeloferindoportunitateaunuiatac. In loculunuiatacDoSmascat , un atacatorpoateafectaselectivsigurantasistemului in starilecelemaidificil de compromis, astfelfortandsistemulsaintre in starimaiputinsecurizate. Un atacDoSselectiv, estemaieficacesimaisimplu de lansatdecat un atac al intreguluisistem. In locsablochezeuserii de a accesasistemul, asta le prezinta un sistem functional, darmaiputinfiabil.

  4. Avandde a face cu un sistem cu un nivelscazut de fiabilitate, in mod natural majoritateauserilor ( si a produselor software) vorincercasarestabileascacomunicarea cu acesta, astfeloferindmaimulteoportunitatipentru un atac.

  5. II. Denial of Service asuprasistemelor de anonimatconventionale [ Tor ] Reteaua Tor este un sistemintensfolositpentrucomunicarearapidape internet, ceprotejeazaanonimatulaceastabucurandu-se de o cresterefoarterapida de la lansareainitiala in 2003. Tor estecompusa din peste 1000 de routere active utilizate de sute de mii de useri. Comunicarea in reteaua Tor se realizeazaprintuneluricesunttrimiseprinmaimulteroutere Tor. Acestetunelesuntconstruiteintr-o manieratelescopicasisuntprotejate de criptareapestraturi (Layered – encryption)

  6. Un tunel din reteaua Tor cetreceprinlroutere ( luil ii esteatribuitain general valoarea 3) vaesuadacaunul din routereleprin care treceva fi compromis. Prinurmaredacafesteprobabilitateaca un router sa fie fiabil, atunci R= esteprobabilitateacaintregultunelsa fie fiabil.

  7. Un atacselectiv de tip DoSintr-o retea Tor presupunecarouterelemalitioasesaefectuezeatacuriDoSpeoricetunelce nu il pot compromite. Acestatacesteusor de gandit: dacaadversaruljoacarolulprimuluisauultimului router din tunel, acesta din urmaesteobservatpentru o scurtaperioada de timpsicomparat cu toatecelelaltetuneleunde un alt router malitiosesteultimulrespectivprimul . Dacaexistapotrivire, tunelulestecompromis, altfeladversaruldistrugetunelulfarasamaitransmitatraficpe el.

  8. Sub acestatac un tunelestefiabildoar in cazul in care estecompusdoar din nodurifiabileoneste. Fiabilitatea in aceastareteaeste data de formula Figura 1 prezintafiabilitatearetelei Tor supuseunuiatacselectiv de tip DoSca o functie t, unde f=0.99. Fiabilitateascadepemasuracenumarul de noduri compromise creste, panaajunge la un minim t=0.55, punct in care incepesacreasca din nou. Spreexemplu t=0.5, analizaconventionalasugereazaca 75% dintretoatedrumurileartrebuisa fie sigure, pecandsupuseunuiatacDoSselectivdoar 33% suntsigure

  9. Figura 1. Analizafiabilitatiisisecuritatiiretelei Tor supuseunuiatacDoSselectiv, cu f=0.99

  10. Guard Nodes Nodurile de pazaajuta la apararea contra atacurilor selective DoS, dar nu in totalitate. Useriicefolosescacest tip de nodurisufera din punct de vedere al fiabilitatii, daranonimitateaacestoraramane perfect intacta. Conchidmentionandfaptulcaintr-o retea Tor, fixareanodurilor de pazaatatca nod de inceputrespectivca nod definal reprezinta o aparareeficienta contra ataculuiDoSselectiv.

  11. III. Denial of Service asuprasistemelorceoferafiabilitate Cashmere este un sistem de rutareanonimpelayere care folosestegrupuri de releepentru a crestefiabilitateaconexiunii. Fiecare din acestegrupuriestecompusdintr-un set de nodurice impart o perechecomuna de cheipublica/privata. Acestlucrupermitefiecaruimembru al grupuluisadecripteze un layer al mesajuluisisa-l trimita la urmatorulgrupde relee. Fiecarui nod din Cashmere ii esteatribuit un ID unic, nodeID, iarfiecaruigrup , groupID, astfelfiecaremembruvaavea in fata id-uluisauunicidentificatorulgrupului din care acesta face parte.

  12. III.1. Cashmere Cashmere a fostimplementat cu ajutorulmecanismului Pastry, care ajuta la rutareaunuimesajspre un nod, dacaacesta are prefixul (groupID-ul) corect. Nodulceprimestemesajultransmis se numesteradacinagrupului de relee. Mecanismul Pastry, ceesteutilizatpentrupastrareafiabilitatii, se vaasiguraca un asemenea nod va fi gasit cat timpcelputin un membru al grupului de releeva fi fiabil. Radacinavadecriptamesajulsivatransmitecontinutultuturormembrilorgrupuluisausiapoivatransmitemesajul in continuare la urmatorulgrup.

  13. Destinatiamesajuluipoate fi in oricegrup, nu neaparat in ultimul. Un nod se recunoastepe sine cadestinatieatuncicandpoatedecriptacontinutulmesajului.

  14. Pentru a asigurafiabilitateamesajului, fiecaregrupce se aflainainteagrupuluidestinatiesiinclusivgrupuldestinatietrebuiesa fie fiabile. Probabilitateacaoricare din grupurisa fie celdestinatieeste de 1/l, prinurmaremesajulestelivratfiabil cu urmatoareaprobabilitate :

  15. Din punct de vedere al securitatiipentrucaanonimitateasa fie compromisa, fiecaregrupceduce la destinatietrebuiesa fie compromis. In final grupuldestinatie in sine trebuiesa fie malitiospentrucarutasa fie compromisa. Prinurmareprobabilitateacamesajulsa fie livratanonimeste:

  16. Rutarea in Cashmere esteafectata de atacurileDoScandoricaredintreradacinilegrupurilorestemalitioasa. In cazul in care userulmalitios nu a compromisdejatoatacalea de transmitere a mesajului, el vadistrugeoriceconexiunecetreceprinradacinape care acesta o controleaza, siastfelaceasta din urmavatrebuireconstruita.

  17. Figura 2 prezintarezultatelesimularii in Cashmere impotrivaunuiadversarpasivsi a unuiatacatorDoS. In aceastasimularenodurileoneste au avutf=.90 (probabilitateaca un nod onestsa fie fiabil) , lungimileconexiunii au fostl=5 sidimensiuneagrupuluiw=5, cum a fostrecomandat de autoriisistemului de rutare Cashmere. Este imposibilacrestereafiabilitatiiprinincrementareadimensiuniigrupuluideoarecestrategiaataculuiDoSpresupunecaatacatorulsacapturezedoarnodulradacinapentru a blocamesajul. Graficulprezintadoarconexiunileceramansecurizate.

  18. Figura 2. Securitatea in Cashmere sub diferitefractiuni ale noduriloroneste cu o fiabilitateasteptata de 100

  19. III.2. Hydra-Onions Sistemul Hydra-Onion a fostcreatpentru a rezistaadversariloractivi. Fiecare onion are urmatorul format:

  20. suntidentitatile mix-urilor la pasul I a()este o permutare de noduri cu pentrutotii este criptareahibridasimetrica/asimetricafolosindcheiapublica a luiJ estecriptareasimetrica cu cheiak

  21. Fiecare server mix decripteazapartea din onion criptata cu cheialuisiinvataidentitatile a douaservere in pasulurmatorsicheia de decriptaresimetricapentruurmatorulstrat al onion-ului. Acest model de comunicareesteprezentat in figura 3.

  22. Figura 3. Modelul de comunicare Hydra-Onion

  23. Cat timporicaredintre mix-urile de la pas-ulipoatedecripta Hydra-Onion-ul, Hydra-Onion estenesiguroricandexistacelputin un mix malitios la fiecare pas. Prinurmarepentru un mix de tipul Hydra-Onion cu parametrii (l,w,t,f) probabilitateaca un mesajsa fie sigureste: Fiabilitateasistemului Hydra-Onion estemaigreu de stabilitdatoritatransmiterii random a mix-urilor.

  24. Figura 4 prezintaanalizalui Hydra-Onion sub strategia de atac a unuiadversarsimplusi a unuiadversarDoS. Mentinamfaptulcaf=0.9, l=5, t-ulvariaza. S-a incrementatwpanacand am obtinut o rata a fiabilitatii de 95%. Figuraprezintaw-ulnecesarobtineriiacesteifiabilitati cat sisecuritateaaceluiw. Dupamodul in care a fostcreat Hydra-Onion esteeficace in fata atacurilor de tipulDoS. Acestlucruesteposibil in detrimentulsecuritatii. Incrementareafoarterapida a luiwscadesecuritatealui Hydra-Onion asa cum un singur mix compromis la fiecare pas estesuficientsacompromita tot onion-ul.

  25. Figura 4. Factorul de replicare w care obtine rata de fiabilitate de 95% pentru Hydra-Onions

  26. TotusiHydra-Onion nu este un instrument bun atuncicand un numar mare de mixurisunt compromise. O variantaasemanatoarelui Hydra-Onions, propusa de aceeasiautorieste DUO-Onions, aceasta din urma a fostcreatasa se ocupe de esecurile de tip fail-stop , aleganditerativurmatorul mix dintr-o lista de fiecare data cand prima variantanu esteaccesibila. De mentionatfaptulcaaceastafoloseste o dimensiune de bandamultmai mica in cazul in care nodurilesuntfiabile.

  27. IV. Denial of Service asuprasistemului SALSA Salsa este un sistem de comunicareanonimcreatsainvingaproblemele de scalabilitate din sistemeletraditionale. Asemeniretelei Tor, un tunelesteconstruitintreinitiatorulcomunicariisidestinatarprinroutere(noduri) pentru a face posibilacomunicareaanonima. Sistemul Salsa estebazatpe un tabel hash distribuit (DHT) cemapeazanodurile la un ID cecorespunde hash-uluiadreseilor IP. Existadouamecanisme de baza in arhitectura SALSA (1) un mecanism de cautare al nodurilorsi (2) un mecanism de construire a tunelelor. Primuldintreacesteareturneazaadresa IP sicheiapublica a nodului in tabelul DHT. Cel de al doileaestefolositpentrucrearea de tuneleca in reteaua Tor.

  28. Pentru a construi un tunel, initiatorulconversatieialeger ID-uri random sicautanodurilecorespunzatoare (numitesiprimul set de noduri). Cheilesuntstabilite cu fiecaredintreacestenoduri. Fiecare nod din primul set de noduri face apoi o cautarepentrurnoduriaditionale(set de nodurisecund). Un circuit esteconstruit la fiecare nod din grupulsecundtransmisprinunuldintrenodurile din primulgrup. Din nouinitiatorulinstruiestegrupulsecund de noduri (prinintermediulcircuitelor) safaca o cautarepentru un nod final. Unadintrecaile create intreprimulsi al doilea set de noduriesteselectatasiacel nod final esteadaugatla tunel.Mentionezcaparametrull ilfolosimpentru a referietapele din tunel.

  29. IV.1. AtaculDoSselectiv IdeeaataculuiDoSselectiveste de a refuzatraficulsprenodurile de incredere, astfelincatacesta se vaducesprenodurile compromise. Nodurile compromise vorincercasaanulezeprocesul de creare a tunelurilor, de fiecare data candtunelul nu poate fi compromis. Un nod malitiospoatelansa cu usurinta un atac de tip DoSreturnand un rezultatgresit la o cautare.

  30. Atacatoriiartrebuisaintreupaserviciile in douacazuri: Primul, dacaultimul nod esteonest, siexista un atacator in ultima stare secunda, acelatacatorvaefectua un atacDoS, in afara de cazul in care toate r-nodurile din acea stare suntmalitioase. In al doileacaz, dacanodurilemalitioasesuntselectatepentru a transmitetraficulpeste un tunel, acestea pot blocacomunicareadacatunelul nu a fostcompromis. Nodurilevorefectuaanalizatraficuluipe prima portiune a fluxuluitransmispeste un tunelsiilvorcorela cu toatecelelaltefluxuriobservate de altiatacatori. Dacafluxulpoate fi corelat cu un initiator sicu o destinatie, atacatoriivor continua satransmite traffic, altfelacestiavorabandonatuneluldeoarece nu poate fi compromis.

  31. IV.2. Analiza In prezentalucrare se evidentiaza 3 metodologii de atac al mecanismului de creare a tunelurilor. Prima dintreacesteaesteataculpasiv conventional, in care un tunelestecompromis, oricandexista un atacator in fiecareetapa. Ce-a de a douaimplicamodificareaactiva a cheilorpublice ale nodurilorcesuntcautate, oricandatacatorii au compromis o intreagaetapa. Ce-a de a 3-a metodologie de atacpresupunecanodurilesautilizezeatacuriDoS selective asupratunelurilorce nu arpareacaarputea fi compromise.

  32. Figura 5 prezintapondereatunelurior compromise supusecelor 3 tipuri de atacuri. Observamcaataculbazatpemodificareacheiipublice nu prezinta un avantajsemnificativ fata de atacul conventional. Aceastaanalizaaratacamodelul SALSA estefoartevulnerabil in fata atacurilorDoS selective, in special candexistamai multi atacatori, prinurmareacest tip de atacuri are un efect devastator asuprasecuritatii din SALSA.

  33. Figura 5. EfectulataculuiDoSselectivasuprasistemului SALSA

  34. Figura 6(a) prezintaefectulvariatieilui r (numarul de noduridintr-o etapa) asupraanonimitatiisistemului sub un atacDoSselectiv. Putemobservacavalorile r=2 si r=3 pastreazapropietatea de anonimitateintr-un interval decent, valorile >= 3 afecteaza major aceastapropietate.

  35. Figura 6(a). Efectulvariatieiluir

  36. Figura 6(b) prezintaefectulvariateinumarului de etapeasupraanonimitatiisitemului cu un r=3 fixat. Putemobservacaincrementandnumarul de etape nu vomobtinemaimultaanonimitate, de faptincrementand l-ulpeste 3 estecontra-productiv. Pe de o parte incrementand l-ulscadesansaca un atacatorsa fie prezent in fiecareetapa , totusiacestlucruoferasansaunuiatacatorsalanseze un atacDoSselectiv. Dupa cum afirmasiautoriivalorileoptimalepentruacest model sunt l=2 si l=3, pentru a exista un echilibruintreanonimitatesiperformanta.

  37. Figura 6(b). Efectulvariatieilui l

  38. In modelul SALSA curent, un nod malitioscereturneaza un rezultatincorectpoatecauzaintrerupereatunelului. O alternativaar fi sa se foloseascarezultatelereturnate de majoritateanodurilor in defavoarearezultatuluiintors de nodulneonest.

  39. V. Masuri de preveniresi Related Work Camasuri de prevenireputemmentiona, asa cum am facut-o si anterior, “repararea” primuluisiultimului nod dintr-un tunel, sau drum. O altaabordarear fi descoperireaunui nod ce nu este de increderesieliminarealui din constructiilerutelorviitoare. Dingledinepropunefolosireaunornodurimartor, pentru a verificadacacomunicarea a fosttransmisa in mod corectsi de creare a unuimecanismbazatpereputatiepentru a evitanodurilece nu sunt de incredere.

  40. VI. Concluzii Prezentalucrare a aratatca in sistemele de comunicareanonimaatacurile de tipul Denial of Service au un impact devastator asuprapropietatii de anonimitate. In concluziemecanismelebazatepeincredere cat siprevenireaatacurilor de tip DoS, trebuiescmodelatesi evaluate mai exact conform criteriilorce tin de Security Engineering decat conform criteriilor legate de Network Engineering.

  41. VII. Referinte • http://www0.cs.ucl.ac.uk/staff/G.Danezis/papers/ccs0255-borisov.pdf • http://research.microsoft.com/en-us/um/people/antr/MS/cashmere.pdf

More Related