Elárasztáson alapuló DDoS támadások felismerése és kivédése FPGA alapú eszközökkel

OData támogatás
Konzulens:
Dr. Varga Pál
Távközlési és Médiainformatikai Tanszék

A hálózatok biztonsági követelményeinek teljesítése egyre nehezebb napjainkban. A hackerek egyre masszívabb és okosabb módokat találnak a tartalomszolgáltatók támadá-sára, ezzel a jelenlegi védelmi megoldások határait feszegetik.

Adódik a kérdés, hogyan lehetne felkészíteni a biztonsági rendszereket a DDoS (Distri-buted Denial of Service) támadások új generációjának kivédésére. Milyen eszközökkel lehetne hatékonyabbá tenni a tartalomszolgáltatók biztonságát. Ahogy változik a kör-nyezet, úgy kell nekünk is adaptálódni. A dolgozatomban bemutatom a jelenleg zajló legfontosabb trendeket és arra egyfajta megoldást kínálok. A dolgozatom fő témája egy általam tervezett és megvalósított FPGA alapú DDoS detektor, ami ezekre a problémák-ra keres megoldást.

Az integrált biztonsági rendszerekbe speciális hardver-támogatás (például FPGA, Field-Programmable Gate Array) beiktatása olyan lehetőségeket ad, amire hagyományos szoftver-alapú rendszerekben nincs lehetőség. A FPGA olyan nagysebességű párhuza-mos adatfeldolgozást nyújt, ami gyorsabb, okosabb reagálást tesz lehetővé a rendszert ért támadásokkal szemben. A tisztán szoftver-alapú rendszerek reakcióidejének töredéke alatt képes észlelni a támadásokat.

A dolgozat célja annak bemutatása, hogy hogyan lehet egy nagy teljesítményű FPGA alapú platformra olyan hardware-t implementálni, ami lehetővé a leggyakoribb és legká-rosabb DDoS (Destributed Denial of Service) támadások észlelését és megakadályozá-sát. Ezen dolgozatnak nem célja, hogy az összes típusú támadásra mérnöki megoldást adjon. A dolgozat egy olyan, könnyen bővíthető, flexibilis rendszer tervezését és megva-lósítását mutatja be, ami a leggyakoribb Denial of Service (DoS) támadások hardver-támogatott észrevételére és továbbterjedésének megakadályozására szolgál. Emellett útmutatást ad arra is, hogy hogyan lehet másfajta támadásokhoz megfelelő modulokat tervezni. A koncepció működésének validálására egy kiterjedt magyarországi hálózat (NIIFI, Nemzeti Információs Infrastruktúra) által nyújtott adatközponti szolgáltatást ért támadások valós forgalmi mintáit használtuk fel. Mivel a forgalom-analízishez használt hardveres gyorsítással a hálózat állapotáról is finom felbontású információhoz jutunk, az architektúra az SDN (Software Defined Networking) vezérlők döntéshozásának támo-gatására is alkalmas.

Letölthető fájlok

A témához tartozó fájlokat csak bejelentkezett felhasználók tölthetik le.