Um Novo Sistema de Rastreamento de Pacotes IP contra Ataques de Negação de Serviço

Transcrição

1 U Novo Sistea de Rastreaento de Pacotes IP contra Ataques de Negação de Serviço Rafael P. Laufer, Pedro B. Velloso 2 e Otto Carlos M. B. Duarte Grupo de Teleinforática e Autoação Universidade Federal do Rio de Janeiro - COPPE/POLI Rio de Janeiro, Brasil 2 Laboratoire d Inforatique de Paris 6 (LIP6 Université Pierre et Marie Curie - Paris VI Paris, França rlaufer@gta.ufrj.br, pedro.velloso@lip6.fr, otto@gta.ufrj.br Abstract. On ost denial-of-service attacks, packets with spoofed source addresses are eployed in order to disguise the attack s true origin. A defense strategy is to trace back the source of every attack packet for the sake of penalizing the attacker or isolating hi fro the network. To date, the proposed traceback systes require either large aounts of storage space on routers or a sufficient nuber of received attack packets. In this paper, a new IP traceback syste is proposed to deterine the source of every packet received by the victi without storing state in the network infrastructure. For practical purposes, a generalization of the Bloo-filter theory is deployed and a corresponding atheatical evaluation is perfored. Analytical results are presented to show efficacy of the proposed syste. Resuo. E grande parte dos ataques de negação de serviço, pacotes IP co endereços de orige forjados são usados para ocultar a verdadeira orige do atacante. Ua possível estratégia de defesa é rastrear a orige de cada pacote de ataque, de fora a penalizar o atacante ou isolá-lo da rede. Até o oento, os sisteas propostos para o rastreaento requere o arazenaento de u grande volue de inforação nos roteadores ou u núero ínio de pacotes de ataque recebidos. Neste artigo, é proposto u novo sistea de rastreaento de pacotes IP para deterinar a orige de cada pacote recebido pela vítia se arazenar estado na infra-estrutura de rede. Para seu funcionaento, é desenvolvida ua generalização da teoria de filtro de Bloo e realizada sua respectiva análise ateática. Resultados analíticos são apresentados de fora a ostrar a eficácia do sistea proposto.. Introdução A atual infra-estrutura de roteaento ainda é extreaente vulnerável a ataques de negação de serviço (Denial of Service - DoS anônios [CERT, 23]. Tais ataques são caracterizados pelo copleto desconheciento da sua verdadeira orige e visa tornar inacessíveis os serviços providos pela vítia. Este objetivo geralente é alcançado através do envio de pacotes a ua taxa aior do que pode ser servidos, fazendo co que legítias requisições ao serviço não seja atendidas. E sua versão distribuída (Distributed DoS, os pacotes são enviados de diferentes origens e o tráfego agregado Este trabalho foi realizado co recursos do CNPq, CAPES, FAPERJ, FINEP, RNP e FUNTTEL.

2 gerado é responsável pela total inutilização dos serviços da vítia. Ultiaente, o núero de ataques distribuídos a grandes sítios é cada vez ais alarante, sendo inclusive desenvolvidas pragas digitais específicas para tal finalidade [CERT, 2]. Ebora enos cou, tabé existe ataques de negação de serviço constituídos pelo envio de u único pacote [CERT, 996]. E abos os casos, os resultados são financeiraente desastrosos [Garber, 2] e a necessidade de ua solução que identifique a verdadeira orige dos pacotes se torna evidente. Devido à técnica datagraa usada no protocolo IP, o anoniato do atacante é facilente antido, pois é possível injetar pacotes na rede co endereço de orige forjado. E outras palavras, não existe ua entidade ou u ecaniso responsável pela verificação da autenticidade da fonte. Coo toda infra-estrutura de roteaento é baseada exclusivaente no endereço de destino, pacotes co endereço de orige forjado geralente alcança a vítia se dificuldades. Outra característica que perite a execução de ataques anônios é a ausência de estado nos roteadores. Nenhua inforação relativa aos pacotes roteados é arazenada para consultas futuras. E conseqüência, o encainhaento de pacotes não deixa rastros, tornando ipossível deduzir a rota percorrida por u pacote. A identificação da fonte tabé é dificultada caso ataques indiretos seja epregados. Tais ataques são caracterizados pelo uso de estações interediárias entre o atacante e a vítia, de fora a ocultar a sua verdadeira orige. Ua solução copleta para qualquer tipo de ataque de negação de serviço é uito coplexa. Assi, este artigo aborda o problea do rastreaento de pacotes IP [Savage et al., 2] que objetiva identificar as estações que gera diretaente o tráfego de ataque e a sua respectiva rota. Meso se ua identificação copleta da fonte, inforações parciais sobre a rota que perita identificar u roteador ais próxio da orige do ataque são úteis para controlar o tráfego desnecessário na rede. Neste artigo, é introduzida ua nova abordage para o rastreaento de pacotes IP através de ua generalização aqui proposta para a teoria de filtro de Bloo [Bloo, 97] e da sua respectiva análise ateática. Tal generalização surge coo ua solução natural contra a facilidade de evasão do sistea de rastreaento caso u filtro de Bloo convencional fosse usado. A proposta consiste e usar u filtro de Bloo generalizado ebutido no pacote de fora a arazenar de aneira copacta todos os roteadores atravessados. Desta fora, probabilisticaente, é possível rastrear a rota copleta percorrida por cada pacote individualente. Alé disso, todo o processo de rastreaento pode ser efetuado após a finalização do ataque e se nenhua ajuda de operadores de rede. Até o oento, as propostas existentes que possue objetivos e resultados equivalentes requere ua enore capacidade de arazenaento e dispositivos acoplados aos roteadores [Snoeren et al., 22], [Li et al., 24]. O artigo está organizado da seguinte fora. Na Seção 2, são apresentados os trabalhos relacionados ao rastreaento de pacotes IP. Na Seção 3, a nova proposta para o rastreaento é explicada, incluindo a generalização do filtro de Bloo e os algoritos epregados. Resultados analíticos são apresentados na Seção 4 ostrando a eficácia do étodo proposto. Por fi, na Seção 5 são relatadas as conclusões retiradas deste trabalho. 2. Trabalhos Relacionados U étodo siples para rastrear a verdadeira orige de u pacote é incluir o endereço IP de cada roteador no próprio pacote à edida que ele atravessa a rede. A idéia é bastante seelhante co a opção IP Record Route [Postel, 98]. Desta fora, cada pacote recebido apresenta toda a rota de ataque ebutida e si. Este algorito consegue rastrear a orige do ataque a partir de u único pacote, apresentando altíssia escalabilidade e atendendo ao caso de ataques distribuídos. Entretanto, alguas desvantagens

3 o desqualifica coo u algorito de rastreaento ideal [Savage et al., 2]. E prieiro lugar, o ato de adicionar dados ao pacote durante o processo de roteaento iplica processaento adicional. Alé disso, o taanho do pacote varia ao longo da rota, ua vez que cada roteador acrescenta seu endereço IP ao reencainhá-lo. Entretanto, não há coo garantir espaço suficiente no pacote para todos os endereços da rota de ataque. Conseqüenteente, pacotes sendo rastreados pode sofrer fragentações desnecessárias e causar u aior processaento aos roteadores. Ua estratégia intuitiva para rastrear a fonte de u tráfego suspeito é chaada depuração de entrada (input debugging [Stone, 2]. A partir de ua assinatura de ataque, é possível deterinar a interface de entrada utilizada pelos pacotes de ataque no roteador ais próxio da vítia e, portanto, o roteador adjacente que os enviou. Esta consulta, feita recursivaente e cada roteador, revela a rota do ataque até o próprio autor ou até a borda de outro provedor de serviços. Neste caso, este segundo provedor necessita ser contatado para dar continuidade ao processo. Ebora siples, essa aplicação depende da counicação entre provedores de serviço para alcançar u sucesso no rastreaento. Alé disso, o ataque precisa ser suficienteente longo para peritir o rastreaento copleto, não sendo possível realizá-lo após o seu térino. Sob ua outra abordage, ua técnica de rastreaento baseada e testes de enlaces foi desenvolvida [Burch e Cheswick, 2]. Seu funcionaento é baseado na observação do fluxo de ataque recebido pela vítia à edida que cada enlace é inundado por grandes rajadas de tráfego. Apesar de não necessitar de nenhua intervenção por parte dos operadores da rede, esta técnica exige u apa topológico apurado assi coo possíveis nós dispostos a sofrere curtas inundações. Coo na técnica anterior, é possível que as verdadeiras fontes de u ataque ne chegue a ser reveladas se o ataque for subitaente interropido no eio do processo de rastreaento. Alé disso, a variação observada na vítia para o caso de ataques distribuídos ou ainda para pequenos fluxos pode ser iperceptível. E [Savage et al., 2], é introduzido u sistea baseado e auditoria, onde a inforação necessária para o rastreaento é encontrada na vítia. Os roteadores a infora sobre sua presença na rota, usando para isso capos pouco usados do cabeçalho IP. Basicaente, os capos usados para fragentação são sobrecarregados co a inforação sobre a rota. Visando reduzir o processaento no roteador e o espaço necessário e cada pacote, técnicas de codificação e aostrage são epregadas. Posteriorente, a vítia consegue reconstruir a rota toada por u fluxo de ataque depois de recebido u núero suficiente de pacotes deste fluxo. Ebora inovadora, a proposta necessita de u alto poder coputacional durante a reconstrução da rota de ataque pela vítia e gera diversos falsos positivos eso e ataques distribuídos de pequeno porte [Song e Perrig, 2]. Análises realizadas por [Park e Lee, 2] ostra ainda a vulnerabilidade do sistea para o caso do atacante forjar as arcações do cabeçalho IP do pacote. Outro étodo baseado e auditoria foi proposto por [Bellovin et al., 23]. Ao rotear u pacote, cada roteador probabilisticaente envia para a vítia u pacote ICMP co inforações sobre si eso e sobre seus roteadores adjacentes. Para u fluxo suficienteente longo, a vítia usa estes dados recebidos para reconstruir a rota de ataque. Entretanto, coo as inforações de auditoria são enviadas e pacotes separados, a autenticação das ensagens é necessária de fora a evitar ensagens forjadas pelo atacante. Logo, a adoção de ua infra-estrutura de chave pública se torna inevitável. E ua extensão desse trabalho [Mankin et al., 2], novos conceitos coo utilidade e valor das ensagens de rastreaento são introduzidos, assi coo ua proposta para elhorá-los.

4 Sob a perspectiva de arazenaento na própria infra-estrutura de rede, a aneira ais siples de recolher rastros de auditoria é cada roteador registrar todos os pacotes que o atravessa [Stone, 2]. Poré, recursos excessivos são requisitados tanto para arazenage quanto para a ineração dos dados. Alé disso, a invasão de u roteador acarretaria ainda e probleas de privacidade, ua vez que ele conté inforações sobre todos os pacotes roteados. Ua alternativa para reduzir a arazenage de u grande volue de inforações é utilizar u filtro de Bloo [Bloo, 97] (Apêndice A. Ultiaente, estes filtros tê sido aplaente usados e redes de coputadores [Broder e Mitzenacher, 22]. E [Snoeren et al., 22], os autores propõe u ecaniso que possui a vantage de rastrear u único pacote IP que tenha passado na rede se a necessidade de se arazenar todo o tráfego roteado. Para isso, são usados filtros de Bloo e dispositivos acoplados aos roteadores que arazena os pacotes roteados de fora copacta. Periodicaente, os filtros saturados são arazenados para futuras requisições e trocados por novos filtros vazios. Para ais tarde deterinar se u pacote passou pelo roteador, o seu filtro siplesente é verificado. U processo repetitivo pode ser feito por cada roteador para reconstruir o cainho do pacote até a sua verdadeira orige. Poré, eso co o uso de filtros de Bloo, tal sistea exige ua alta capacidade de arazenaento. Melhorias propostas e [Li et al., 24] diinue drasticaente o espaço necessário para o arazenaento ebora a capacidade de se rastrear u único pacote seja coproetida. 3. Sistea Proposto para o Rastreaento de Pacotes IP Esta seção apresenta ua nova técnica para rastreaento de pacotes IP que objetiva rastrear a orige de cada pacote individualente. Ela se baseia na abordage de inserção de inforações nos pacotes para evitar o arazenaento de estados nos roteadores. Ao invés de usar ua arcação tal qual a proposta por [Savage et al., 2], cada roteador insere no pacote ua assinatura que indica sua presença na rota. A técnica de filtro de Bloo (Apêndice A é usada para que a quantidade de inforação inserida seja reduzida e peraneça constante a fi de evitar a fragentação dos pacotes. Alé disso, propõe-se o uso de ua generalização do filtro de Bloo (Seção 3. para evitar que o atacante possa forjar as assinaturas e prejudicar o rastreaento. De fora a diinuir tanto o espaço necessário e cada pacote coo o custo de processaento, a rota de ataque é arazenada e u filtro de Bloo ebutido e cada pacote. Para isso, u capo fixo é reservado no cabeçalho do pacote para o filtro. O algorito de arcação para este caso é be siples. Pouco antes de reencainhar u pacote, todo roteador insere no filtro daquele pacote o endereço IP da sua interface de saída. Desta fora, ao receber u pacote de ataque, a vítia dispõe de u filtro cujos eleentos são todos os roteadores coponentes da rota de ataque. Para reconstruir esta rota, o seguinte algorito é utilizado. Inicialente, a vítia verifica a presença de todos os seus roteadores vizinhos no filtro do pacote recebido. Aquele que for reconhecido coo eleento do filtro é identificado coo o roteador pelo qual o pacote chegou e é, portanto, integrado à rota de ataque. E seguida, este roteador verifica qual dos seus roteadores vizinhos tabé é reconhecido coo eleento do filtro, identificando assi o próxio coponente da rota de ataque. U processo recursivo é então realizado sucessivaente por cada roteador visando reconstruir o cainho do pacote até a sua verdadeira orige. Alguas vantagens surge coo resultado da adoção dessa abordage. Prieiraente, a rota copleta de cada pacote pode ser deterinada individualente. Tal coportaento é idealizado por todo sistea de rastreaento de pacotes ua vez que possibilita a identificação de qualquer fonte e u ataque distribuído. Logo, ua de suas ca-

5 racterísticas é a alta escalabilidade. Alé disso, nenhu estado necessita ser arazenado na infra-estrutura de rede. Todos os dados relativos ao rastreaento estão localizados na própria vítia, que opta por guardá-los ou não de acordo co a política de segurança local. Outra vantage é a capacidade de se realizar o rastreaento após o térino do ataque e se ajuda de operadores de rede. Mais especificaente, o tepo restante para se rastrear as fontes depois de u ataque depende exclusivaente dos recursos alocados para o rastreaento na vítia. Por outro lado, a adoção do filtro de Bloo para representar a rota de ataque introduz ua probabilidade de falso positivo. Durante o algorito de reconstrução, u falso positivo iplicaria a incorreta integração de u roteador à rota de ataque. Poré, se esta probabilidade for pequena, a ocorrência de falsos positivos não te nenhu ipacto significativo na reconstrução. Alguas rotas para u eso pacote existiria e paralelo, as ainda assi o escopo de possíveis atacantes seria restringido. No entanto, coo o atacante te controle sobre o conteúdo inicial do pacote, ele pode preencher todos os bits do filtro co. Ao saturar o filtro, todo roteador é integrado à rota de ataque durante a reconstrução, tornando ipraticável a descoberta da verdadeira rota. Para iniizar a possibilidade do atacante burlar o sistea e torná-lo enos dependente da condição inicial do vetor, ua generalização do filtro de Bloo é aqui proposta. A idéia básica do filtro generalizado é utilizar tanto funções hash que preenche coo funções que zera bits. Desta fora, é ostrado que a probabilidade de falso positivo diinui e que ela depende pouco da condição inicial. Por outro lado, falsos negativos que era inexistentes no filtro de Bloo convencional são introduzidos nesta proposta de filtro de Bloo generalizado. A seguir, a idéia da generalização do filtro é foralizada e ua análise das probabilidades de falso negativo e falso positivo é desenvolvida a fi de ostrar a eficácia desta nova abordage. 3.. O Filtro de Bloo Generalizado Assi coo o filtro convencional, o filtro de Bloo generalizado é ua estrutura de dados usada para representar de fora copacta u conjunto S = {s, s 2,..., s n } de n eleentos. Ele é constituído por u vetor de bits e por k +k funções hash independentes g, g 2,..., g k, h, h 2,..., h k cujas saídas varia uniforeente no espaço discreto {,,..., }. O vetor de bits é calculado de aneira seelhante ao do caso convencional. Entretanto, não há ais a restrição de que seus bits são inicialente zerados. No filtro generalizado, os bits do vetor pode assuir qualquer valor inicial. Para cada eleento s i S, os bits do vetor correspondentes às posições g (s i, g 2 (s i,..., g k (s i são zerados e os bits correspondentes às posições h (s i, h 2 (s i,..., h k (s i são preenchidos co. No caso de ua colisão entre ua função g i co ua função h j e u eso eleento, arbitra-se que o bit é zerado i, j. O eso bit pode ser zerado ou preenchido diversas vezes se restrições. A Figura ilustra de aneira sucinta a inserção de u eleento no filtro generalizado. Posteriorente, testes de pertinência pode ser realizados visando deterinar a afiliação de u eleento ao conjunto. Para verificar se u eleento x pertence a S, é preciso checar se os bits g (x, g 2 (x,..., g k (x estão zerados e se os bits h (x, h 2 (x,..., h k (x estão preenchidos co. Se pelo enos u bit está invertido, então x S co alta probabilidade. Diferenteente do filtro convencional, agora há ua possibilidade de u eleento x S não ser reconhecido pelo filtro, criando u falso negativo. Tal anoalia ocorre quando pelo enos u dos bits g (x, g 2 (x,..., g k (x é preenchido ou quando pelo enos u dos bits h (x, h 2 (x,..., h k (x é zerado por algu outro eleento inserido posteriorente. Por outro lado, se nenhu bit está invertido, então x S tabé co alta probabilidade. A incerteza se deve à possibilidade do filtro reconhecer coo afiliado u eleento externo x S, criando u falso positivo. U falso positivo ocorre quando os bits g (x, g 2 (x,..., g k (x estão zerados e os

6 bits h (x, h 2 (x,..., h k (x estão preenchidos co e virtude de u subconjunto dos eleentos de S ou da própria condição inicial do vetor. s i 3 g (s i. g k (s i h (s i. bits 7 h k (s i 7 Figura : Inserção de u eleento e u filtro de Bloo generalizado. A probabilidade de falso positivo do filtro de Bloo generalizado é calculada de aneira siilar à do caso convencional. Dado que no caso de ua colisão as funções g i sepre tê prioridade sobre as funções h j, a probabilidade q de u deterinado bit ser zerado por u eleento qualquer é expressa pela probabilidade de pelo enos ua das k funções zerar o bit; ou seja, q = [ ( k ] ( e k. ( Por outro lado, a probabilidade q de u deterinado bit ser preenchido por u eleento é a probabilidade de pelo enos ua das k funções preencher o bit e nenhua das k funções o zerar; ou seja, q = [ ( k ] ( k ( e k e k. (2 Por fi, a probabilidade de u bit específico peranecer intocado, isto é, não ser ne preenchido e ne zerado por u eleento, é siplesente ( q q = ( k +k e k +k. (3 Coo o eso cálculo se aplica para todos os bits do vetor, na édia, ua fração q de bits é zerada, ua fração q de bits é preenchida e ua fração ( q q de bits peranece intocada a cada inserção de eleento. Seguindo o eso raciocínio, te-se na édia b =.q bits zerados, b =.q bits preenchidos e ( b b bits intocados a cada inserção. A partir destes valores, é possível deterinar a fração de bits zerados e preenchidos do vetor. A probabilidade p (n de u bit estar e após n inserções é calculada através das probabilidades de n + eventos utuaente exclusivos. O prieiro evento é aquele onde o bit está inicialente e e peranece intocado pelos n eleentos. Notando que p ( representa a probabilidade do bit estar inicialente e, a probabilidade de tal evento é p ( ( q q n. Os outros n eventos são aqueles onde o bit é zerado pelo (n i-ésio eleento e não é ais tocado pelos i eleentos seguintes, para

7 i n. A probabilidade de ocorrência de cada u destes eventos é expressa por q ( q q i. Desta fora, p (n = p ( ( q q n + = p (e (k +k n + = p (e (k +k n + n i= n i= q ( q q i ( e k e (k +k i ( e k (k+kn e e k +k. (4 Analogaente, a probabilidade p (n de u bit estar e depois das n inserções é p (n = p (e (k +k n + ( e k e k (k+kn e e k +k (5 e obviaente p (n+p (n =. Dado que o eso cálculo pode ser aplicado para todos os bits do vetor, na édia, ua fração p (n dos bits fica e e ua fração p (n dos bits fica e depois de n inserções. A partir das proporções de bits no vetor, a probabilidade de falso positivo é calculada de aneira trivial. Dado que na édia b bits são zerados e b bits são preenchidos por eleento, a probabilidade de falso positivo do filtro de Bloo generalizado é calculada da seguinte fora f p = p (n b p (n b = p (n b [ p (n] b = [ p (n] b p (n b. (6 Coo esperado, a Equação 6 se reduz à probabilidade do filtro convencional quando seus parâetros são usados, isto é, k =, p ( = e p ( =. Neste caso, te-se p (n = e kn/, p (n = e kn/, b = e b = ( e k/. Expandindo a expressão de b e série e notando que k, pode-se chegar à siplificação realizada para o caso convencional [ ( b = ( e k/ = k ] + k2 2 k 2. (7 Logo, a probabilidade de falso positivo f p se reduz ao eso resultado da Equação 8, ou seja, ( f p = e k n k. (8 A probabilidade de falso negativo pode ser calculada se antes for deterinada a probabilidade de u bit do (n i-ésio eleento inserido não ser invertido pelos i eleentos seguintes, para i n. Coo nos falsos positivos, a probabilidade p (i de u bit zerado pelo (n i-ésio eleento peranecer zerado ao fi das i inserções é calculada a partir das probabilidades de i + eventos utuaente exclusivos. Desta aneira, ou o bit peranece intocado pelos i eleentos seguintes ou é zerado por algu deles e não é ais tocado. Equivalenteente, p (i = e (k +k i + = e (k +k i + i j= ( e k e (k +k j ( e k (k+ki e e k +k. (9

8 Analogaente, a probabilidade p (i de u bit preenchido pelo (n i-ésio eleento peranecer preenchido após as i inserções seguintes é p (i = e (k +k i + ( e k e k (k+ki e e k +k. ( A partir das Equações 9 e, a probabilidade de falso negativo de qualquer eleento inserido no filtro pode ser deterinada. A probabilidade de falso negativo f n (i do (n i-ésio eleento não ser reconhecido pelo filtro é calculada toando-se o copleento da probabilidade de nenhu de seus bits sere invertidos. Logo, f n (i = p (i b p (i b. ( Coo esperado, a Equação se reduz a zero para o caso do filtro de Bloo convencional. Neste caso, b = e p = e, independente de outros parâetros, a probabilidade de falso negativo é zero. Para o últio eleento inserido, ou seja, para o n-ésio eleento, esta probabilidade tabé é zero dado que nenhu outro eleento pode inverter os seus bits. Neste caso, i = e p = p = ; logo, a probabilidade de falso negativo tabé se reduz a zero. No sistea de rastreaento proposto, os parâetros do filtro de Bloo generalizado são definidos da seguinte fora: os n eleentos do filtro de Bloo generalizado são os roteadores por onde o pacote passa; é o taanho (e bits do vetor alocado no cabeçalho do pacote; k e k são o núero de funções hash que zera e preenche os bits, respectivaente. Estas funções são as esas e todos os roteadores; p ( e p ( são a fração inicial de bits e e a fração de bits e, respectivaente. Este parâetro é deterinado pelo atacante. 4. Resultados Nesta seção, são coparados analiticaente os dois sisteas de rastreaento propostos neste artigo: a versão siplificada que eprega o filtro de Bloo convencional e a versão estendida que utiliza o novo conceito de filtro de Bloo generalizado. O objetivo é deonstrar a necessidade e as vantagens da utilização do filtro generalizado no lugar do filtro convencional. Para isso, três análises distintas são realizadas. Prieiraente, os falsos positivos de cada sistea são detalhados. E seguida, os falsos negativos são abordados. Por fi, a interferência do atacante e cada sistea é explicada. 4.. Falsos Positivos Durante o algorito de reconstrução de rota, u falso positivo iplica na incorreta integração de u roteador à rota do ataque. À edida que a probabilidade de falso positivo auenta, ais possíveis rotas para u eso pacote existe, dificultando a identificação do atacante. Logo, busca-se diinuir a probabilidade de falso positivo. A Figura 2 ostra coo varia a probabilidade de falso positivo de u filtro de Bloo generalizado f p e função de p (n, de acordo co a Equação 6. A probabilidade p (n tabé pode ser encarada coo a fração de bits do vetor e depois de inseridos os n eleentos. Na Figura 2(a, a curva onde k = representa o filtro de Bloo convencional. Para este caso, pode-se constatar que a probabilidade de falso positivo auenta à edida que p (n auenta. Este resultado está de acordo co a Equação 8. Os outros valores de k representa o filtro de Bloo generalizado. Pode-se observar que

9 tanto para p (n = quanto para p (n =, a probabilidade de falso positivo vale zero. Isso ocorre porque, quando pelo enos ua função de cada tipo é usada, é necessário que exista bits e e bits e para que u falso positivo ocorra. Na Figura 2(b, u coportaento siilar é observado. A curva para k = representa o dual do filtro de Bloo convencional, co soente funções que zera bits. Para este filtro, quanto aior a fração de bits e, aior é a probabilidade de falso positivo. As outras curvas representa o filtro de Bloo generalizado. Probabilidade de Falso Positivo (f p k = k = k = 2 k = Fração Final de Bits e (p (n Probabilidade de Falso Positivo (f p k = k = k = 2 k = Fração Final de Bits e (p (n (a f p e função de p (n, para k =. (b f p e função de p (n, para k =. Figura 2: Probabilidade de falso positivo de u filtro de Bloo generalizado e função da fração final de bits e. O ponto áxio das Figuras 2(a e 2(b pode ser calculado toando-se a derivada de f p e relação a p (n e igualando-a a zero. Assuindo k e k, os núeros de bits zerados e preenchidos por eleento pode ser expressos por b k e b k, respectivaente. Assi, a Equação 6 pode ser siplificada por f p = [ p (n] k p (n k. (2 Pode ser ostrado que o ponto áxio da Equação 2 ocorre para assuindo p (n e p (n. p (n = k k + k, (3 Ao substituir a Equação 3 na Equação 2, a probabilidade áxia de falso positivo do filtro de Bloo generalizado fp ax pode ser encontrada e seu valor é f ax p = ( k k + k k ( k k + k k. (4 Ao contrário do filtro de Bloo convencional, a probabilidade de falso positivo do filtro generalizado é sepre liitada por fp ax. Esta probabilidade áxia é exclusivaente deterinada pelos parâetros k e k escolhidos para o sistea. E virtude desta liitação, a interferência da ação do atacante no processo de rastreaento tabé é restringida, coo tratado na Seção Falsos Negativos Co a adoção do filtro de Bloo generalizado, falsos negativos pode ocorrer durante o processo de reconstrução da rota de ataque. U falso negativo significa não

10 detectar u roteador pelo qual o pacote rastreado realente passou. Soente u falso negativo já é suficiente para interroper precoceente a reconstrução da verdadeira rota de ataque. Logo, a probabilidade de falsos negativos deve necessariaente ser antida baixa. Vale ressaltar que o atacante não interfere na probabilidade de falso negativo, de acordo co as Equações 9, e. A Figura 3 ostra a probabilidade de falso negativo para cada eleento (n i, i n, de acordo co a Equação. No sistea de rastreaento, o n-ésio eleento (i = corresponde ao roteador ais próxio da vítia e o prieiro eleento (i = n corresponde ao roteador ais perto do atacante. Na Figura 3(a, a curva onde k = representa o filtro de Bloo convencional. Confore esperado, os falsos negativos para este caso são sepre zero independenteente do roteador. As outras curvas destas figuras representa u filtro de Bloo generalizado e verifica-se que à edida que o roteador está ais afastado da vítia, aior é a probabilidade daquele roteador ser u falso negativo. Isso acontece porque quanto ais roteadores são inseridos depois de u deterinado roteador (n i, aior é a probabilidade de algu dos i roteadores seguintes inverter algu bit do roteador (n i. Probabilidade de Falso Negativo (f n k = k = k = 2 k = Núero de Eleentos Seguintes (i Probabilidade de Falso Negativo (f n = = 2 = 5 = Núero de Eleentos Seguintes (i (a n =, =, k =. (b n =, k = k =. Figura 3: Probabilidade de falso negativo do (n-i-ésio eleento do filtro de Bloo generalizado. Ao se increetar k, a probabilidade de falso negativo auenta rápido coo ostra a Figura 3(a. U coportaento seelhante é observado ao fixar k = e alterar k (não ostrado. Por outro lado, u auento e diinui a probabilidade de falso negativo dos roteadores. Intuitivaente, variações e k e k tê efeito oposto a variações e. À edida que ais funções são usadas, aior é a chance dos bits de cada eleento sere invertidos pelos eleentos seguintes. Entretanto, quanto aior é, aior é o espaço de saída das funções e, portanto, a probabilidade de u bit ser invertido diinui. Os falsos negativos são ua desvantage para o uso de u filtro generalizado. Para o caso onde k =, k =, n = e =, a probabilidade de falso negativo do prieiro eleento (i = 9 chega a 5,8% Interferência do Atacante Tanto no sistea que utiliza o filtro de Bloo convencional quanto no que usa o filtro generalizado, o atacante pode interferir no processo de rastreaento, pois o filtro está ebutido no pacote. Assi, o atacante pode deterinar a proporção inicial de bits e e bits e do filtro de fora a interferir na probabilidade de falso positivo. Prieiraente, o sistea que eprega u filtro convencional é abordado. A Figura 4 ostra a dependência da probabilidade de falso positivo de u filtro convencional

11 e relação à sua condição inicial. Coo visto na Figura 4(a, para qualquer núero k de funções hash escolhido, a probabilidade de falso positivo f p sepre tende a à edida que ais bits são inicialente preenchidos. Devido ao coproisso entre f p e k já citado anteriorente, pode-se perceber que a probabilidade de falso positivo é enor para alguns valores de k e aior para outros, as e todos os casos o coportaento é o eso. A Figura 4(b ostra u coportaento seelhante, poré variando-se a relação n/. Enfi, a probabilidade de falso positivo pode atingir % quando o atacante siplesente preenche todos os bits do filtro co. Probabilidade de Falso Positivo (f p k =.2 k = 2 k = 5 k = Fração Inicial de Bits e (p ( Probabilidade de Falso Positivo (f p n/ =..2 n/ =.25 n/ =.5 n/ = Fração Inicial de Bits e (p ( (a n/ =. (b k = 5 Figura 4: Probabilidade de falso positivo de u filtro de Bloo convencional e função da fração inicial de bits e. Sendo utilizado u filtro de Bloo generalizado no pacote ao invés de u filtro convencional, a interferência do atacante diinui consideravelente. A Figura 5 ostra a probabilidade de falso positivo do filtro de Bloo generalizado e função da fração inicial de bits e, para variações dos seus parâetros. Pode ser ostrado que o valor de p ( que axiiza f p é k /(k +k, ou seja, o eso valor apresentado na Equação 3. As Figuras 5(a e 5(b coprova este resultado. A Figura 5(c ostra que à edida que ais eleentos são inseridos no filtro, a probabilidade de falso positivo depende enos da condição inicial. Este resultado pode ser obtido ao perceber que as parcelas dependentes da condição inicial das Equações 4 e 5 tende a zero à edida que ais eleentos são inseridos. Alé disso, a probabilidade de falso positivo tende ao valor áxio devido à proporção de bits e e bits e tendere a k /(k +k e k /(k +k, respectivaente, à edida que n auenta, coo ostra as Equações 5 e 6: li p (n = n li p (n = n e k e k +k ( e k e k +k e k k k + k, (5 k k + k. (6 A Figura 5(d coprova o resultado da Equação 4. Dado que k e k, auentos no taanho do vetor não influencia na probabilidade áxia de falso positivo. Soente para resultados onde não é uito aior que k e k é que a probabilidade de falso positivo auenta ligeiraente. Entretanto, os falsos negativos diinue consideravelente co auentos e, confore ostrado na Figura 3(b. Assi, co a adoção de u filtro de Bloo generalizado ao invés de u filtro de Bloo convencional, a probabilidade áxia de falso positivo cai no ínio 75%, caso onde k = k =.

12 Probabilidade de falso positivo (f p k = k = 2 k = 3 k = Probabilidade de falso positivo (f p k = k = 2 k = 3 k = Fração Inicial de Bits e (p ( Fração Inicial de Bits e (p ( (a n =, =, k =. (b n =, =, k =. Probabilidade de falso positivo (f p n = n = 25 n = 5 n = Probabilidade de falso positivo (f p = = 25 = = Fração Inicial de Bits e (p ( Fração Inicial de Bits e (p ( (c k = k =, =. (d k = k =, n = 25. Figura 5: Probabilidade de falso positivo de u filtro de Bloo generalizado e função da fração inicial de bits e. 5. Conclusões Neste artigo, é introduzida ua nova abordage para o rastreaento de pacotes IP que insere dados no cabeçalho dos próprios pacotes. Probabilisticaente, o sistea proposto é capaz de descobrir a orige de u ataque através do rastreaento de u único pacote. Ao atravessar a rede, o pacote é arcado por cada roteador pertecente a sua rota co ua assinatura. Dessa fora, a vítia consegue identificar todos os roteadores coponentes da rota de ataque. O sistea proposto usa u filtro de Bloo no cabeçalho de cada pacote para que a inforação inserida seja copacta e apresente u taanho fixo, evitando assi possíveis fragentações do pacote. Entretanto, o filtro de Bloo é altaente dependente da sua condição inicial. É ostrado que, ao se usar u filtro de Bloo no pacote para arazenar toda a rota de ataque, o atacante facilente consegue dificultar o processo de rastreaento. Por isso, ua generalização do filtro de Bloo foi proposta e epregada no sistea. O sistea possui a característica única de ser resistente a burla do atacante. Os dois sisteas de rastreaento propostos fora coparados analiticaente a fi de coprovar a eficácia do filtro de Bloo generalizado. U iportante resultado ostra que a capacidade do atacante de dificultar o processo de rastreaento é drasticaente diinuída. Enquanto para o filtro de Bloo convencional o atacante consegue atingir ua probabilidade áxia de falso positivo de %, para o filtro de Bloo generalizado, a probabilidade áxia de falso positivo depende exclusivaente de parâetros escolhidos no projeto do sistea e é no áxio 25%. Ou seja, a probabilidade de

13 falso positivo áxia é diinuída de pelo enos 75%. E contrapartida, a possibilidade da ocorrência de falsos negativos é introduzida no sistea. Contudo, novos algoritos pode ser introduzidos no processo de reconstrução de rotas de aneira a iniizar a probabilidade de falso negativo. Referências Bellovin, S. M., Leech, M. D. e Taylor, T. (23. ICMP Traceback Messages. Internet Draft: draft-ietf-itrace-4.txt. Bloo, B. H. (97. Space-tie trade-offs in hash coding with allowable errors. Counications of the ACM, 7(3: Broder, A. e Mitzenacher, M. (22. Network Applications of Bloo Filters: A Survey. Relatório técnico, Harvard University, Div. of Engineering and Applied Sciences. Burch, H. e Cheswick, B. (2. Tracing Anonyous Packets to their Approxiate Source. E USENIX LISA, páginas , New Orleans, Lousiana, EUA. CERT (996. CERT Advisory CA Denial-of-Service Attack via ping. CERT (2. CERT Advisory CA-2- Denial-of-Service Developents. CERT (23. CERT Advisory CA-23-2 W32/Blaster wor. Fan, L., Cao, P., Aleida, J. e Broder, A. Z. (2. Suary Cache: A Scalable Wide- Area Web Cache Sharing Protocol. IEEE/ACM Transactions on Networking, 8(3: Garber, L. (2. Denial-of-Service Attacks Rip the Internet. IEEE Coputer, 4(33:2 7. Li, J., Sung, M., Xu, J. e Li, L. (24. Large-Scale IP Traceback in High-Speed Internet: Practical Techniques and Theoretical Foundation. E Proceedings of the 25th IEEE Syposiu on Security and Privacy, Oakland, Califórnia, EUA. Mankin, A., Massey, D., Wu, C.-L., Wu, S. F. e Zhang, L. (2. On Design and Evaluation of Intention-Driven ICMP Traceback. E Proceedings of the IEEE ICCCN 2 Conference, Scottsdale, Arizona, EUA. Mitzenacher, M. (22. Copressed Bloo Filters. IEEE/ACM Transactions on Networking, (5: Park, K. e Lee, H. (2. On the Effectiveness of Probabilistic Packet Marking for IP Traceback under Denial of Service Attack. E Proceedings of the IEEE INFOCOM 2 Conference, Anchorage, Alaska, EUA. Postel, J. (98. Internet Protocol. RFC 79. Savage, S., Wetherall, D., Karlin, A. e Anderson, T. (2. Network Support for IP Traceback. IEEE/ACM Transactions on Networking, 9(3: Snoeren, A. C., Partridge, C., Sanchez, L. A., Jones, C. E., Tchakountio, F., Schwartz, B., Kent, S. T. e Strayer, W. T. (22. Single-Packet IP Traceback. IEEE/ACM Transactions on Networking, (6: Song, D. X. e Perrig, A. (2. Advanced and Authenticated Marking Schees for IP Traceback. E Proceedings of the IEEE INFOCOM 2 Conference, Anchorage, Alaska, EUA. Stone, R. (2. CenterTrack: An IP Overlay Network for Tracking DoS Floods. E 9th USENIX Security Syposiu, páginas 99 22, Denver, Colorado, EUA.

14 A. O Filtro de Bloo Neste apêndice, o filtro de Bloo é explicado seguindo a análise ateática realizada por [Fan et al., 2] e [Mitzenacher, 22]. Sua explicação é fundaental para o copleto entendiento do algorito de rastreaento proposto na Seção 3. O filtro de Bloo [Bloo, 97] é ua estrutura de dados usada para representar de fora copacta u conjunto S = {s, s 2,..., s n } de n eleentos. Ele é constituído por u vetor de bits e por k funções hash independentes h, h 2,..., h k cujas saídas varia uniforeente no espaço discreto {,,..., }. O vetor de bits é obtido da seguinte fora. Inicialente, todos os seus bits encontra-se zerados. Para cada eleento s i S, os bits do vetor correspondentes às posições h (s i, h 2 (s i,..., h k (s i são preenchidos co. O eso bit pode ser preenchido co diversas vezes se restrições. A Figura 6 ilustra de aneira sucinta a inserção de u eleento no filtro. Ua vez que o filtro de Bloo é ua fora copacta de representar u conjunto de eleentos, testes de pertinência pode ser realizados visando deterinar se u eleento x pertence ou não ao conjunto S. Para isso, verifica-se se os bits do vetor correspondentes às posições h (x, h 2 (x,..., h k (x estão preenchidos co. Se pelo enos u bit estiver zerado, então co certeza x S. Por outro lado, se todos os bits estão preenchidos, então x S co alta probabilidade. A incerteza se deve à possibilidade do filtro reconhecer coo afiliado u eleento externo x S, criando u falso positivo. Tal anoalia ocorre quando todos os bits h (x, h 2 (x,..., h k (x são preenchidos por u subconjunto dos eleentos de S. h (s i h 2 (s i s i. h k (s i 3 bits Figura 6: Inserção de u eleento e u filtro de Bloo. A probabilidade de se encontrar u falso positivo para u eleento fora do conjunto é calculada de aneira trivial. Dado que as funções hash usadas são unifores e independentes, a probabilidade de u deterinado bit peranecer e zero eso depois de inseridos os n eleentos é ( kn e kn. (7 Coo o eso cálculo se aplica para todos os bits do vetor, na édia, ua fração e kn/ dos bits peranece zerada após as inserções [Mitzenacher, 22]. A probabilidade de falso positivo f p é então a probabilidade de se encontrar u bit e para cada ua das k posições indicadas, ou seja f p = ( e kn k. (8 É iportante encionar que na Equação 8 é assuido que o núero édio de colisões por eleento é próxio de zero, coportaento válido quando k. Caso esta condição não seja satisfeita, tabé é preciso levar e consideração as probabilidades de falso positivo para os casos de, 2,..., k colisões.