DDOSMINER: Mitigación de DDOS Mediante una Técnica de Minería de Datos Usando Ambientes Virtuales en LINUX-Edición Única
Export citation
Abstract
El uso creciente del Internet y las redes computacionales que se ha venido experimentando en años recientes, ha permitido aumentos notables de productividad debido a la conectividad, pero a su vez introduce nuevos tipos de amenazas, tales como acceso ilícito, robo de información o ataques a servidores y redes. Son cada vez más las empresas con presencia en la red de redes aprovechando tecnologías como el comercio electrónico y los servicios Web para incrementar sus ingresos. Todas estas empresas invierten año tras año grandes sumas de dinero en herramientas para proteger sus activos expuestos en el Internet en contra de ataques cibernéticos. Uno de estos tipos de ataques es el ataque de Negación de Servicios (DoS o Denial of Services, por sus siglas en inglés) que aprovecha dos características fundamentales del Internet: • El Internet está conformado por recursos limitados y consumibles • La seguridad en el Internet es altamente interdependiente La intención de este tipo de ataque es impedir el uso legítimo de los recursos de una computadora o de una red. Los blancos más comunes de los ataques DoS son el ancho de banda, poder de procesamiento y capacidad de almacenamiento. Atacando alguno, o una combinación de estos recursos, un atacante puede interrumpir los servicios provistos por el equipo víctima. Para entender que esta amenaza es real basta con mirar las estadísticas. Según señala el FBI (Federal Bureau of Investigation) en su reporte anual The Computer Crime and Security Survey del año 2006, los ataques DoS se ubican en el quinto lugar de pérdidas por tipo de ataque en dólares, y lo que es peor, muchos de estos ataques no son reportados por las empresas atacadas por el temor a manchar su reputación, o ni siquiera son detectados. La tecnología que hace posible los ataques DoS continúa evolucionando y continúa siendo usada para atacar e impactar infraestructura de Internet. Muchas propuestas han surgido para combatir este problema, el cuál es tan amplio que las herramientas existentes se concentran tan solo en uno o algunos pocos tipos de ataque DoS. Desafortunadamente, al igual que surgen este tipo de herramientas los ataques evolucionan a la par, haciéndose cada vez más sofisticados y, por tanto, más difíciles de mitigar. Este trabajo propone una metodología basada en la tecnología de minería de datos para realizar el filtrado de paquetes identificados como parte de un ataque DoS. Los tipos de ataque DoS en los cuales se concentra este proyecto de investigación, son el de inundación de paquetes de sincronización (TCP SYN flooding), el cual consiste en el envío masivo de paquetes SYN los cuales nunca son confirmados por la fuente, y ataques DoS a servidores DNS. Las ventajas del método propuesto, en comparación con herramientas existentes, radican en que el tráfico legal no se ve afectado por el filtrado de tráfico de ataque, no requiere de días o semanas de análisis del tráfico de entrada, y la técnica de minería de datos empleada usa estructuras de datos simples, lo que permite ahorrar memoria y uso de procesador, lo cual se traduce en velocidad de respuesta.