Υλοποίηση Πιθανοτικών Δομών Δεδομένων στο Επίπεδο Δεδομένων για την Αποδοτική Αντιμετώπιση Επιθέσεων DDoS στο Σύστημα DNS

Abstract

Το Σύστημα Ονοματοδοσίας Τομέων (DNS) είναι αναπόσπαστο κομμάτι της ομαλής λειτουργίας του διαδικτύου, καθώς μέσω αυτού αντιστοιχίζονται ονόματα υπολογιστών με διευθύνσεις IP και το αντίστροφο. Για αυτό γίνεται στόχος Κατανεμημένων Επιθέσεων Άρνησης Υπηρεσίας (DDoS), οι οποίες αποσκοπούν στη διακοπή της υπηρεσίας που παρέχει. Μία από αυτές τις επιθέσεις είναι η DNS Water Torture επίθεση, κατά την οποία ο επιτιθέμενος πλημμυρίζει τον αρμόδιο (authoritative) για μια ζώνη DNS εξυπηρετητή με ερωτήματα για ονόματα που δεν υπάρχουν στη ζώνη. Σκοπός της επίθεσης είναι να εξαντληθεί η επεξεργαστική ισχύς τους εξυπηρετητή - θύμα, με αποτέλεσμα να μην μπορεί να απαντήσει σε ερωτήματα καλόβουλων χρηστών. Ο μηχανισμός που αναπτύχθηκε στα πλαίσια της παρούσας διπλωματικής εργασίας στοχεύει στην αντιμετώπιση μιας τέτοιας επίθεσης, με χρήση πιθανοτικών δομών δεδομένων, και προγραμματισμό στο επίπεδο δεδομένων. Συγκεκριμένα, γίνεται επεξεργασία των ερωτημάτων DNS στο επίπεδο XDP, το οποίο βρίσκεται στο χαμηλότερο επίπεδο της στοίβας δικτύου του Linux. Σε αυτό το επίπεδο δεν έχει γίνει κατανομή μνήμης από τον πυρήνα, και αυτό το καθιστά αποτελεσματικό στην απόρριψη μεγάλου όγκου πακέτων, όπως σε μία επίθεση Water Torture. Κατά την επεξεργασία των πακέτων ελέγχεται αν το όνομα προς επίλυση περιέχεται στα αρχεία ζώνης του εξυπηρετητή, αναζητώντας το όνομα στην εκάστοτε δομή δεδομένων που χρησιμοποιείται (Bloom Filter, Cuckoo Filter, Morton Filter), η οποία έχει δημιουργηθεί και φορτωθεί στο επίπεδο ελέγχου (control plane). Αν το όνομα βρεθεί, θεωρείται πως υπάρχει στα αρχεία ζώνης και συνεχίζει την πορεία του, αλλιώς απορρίπτεται. Ως αποτέλεσμα, ο μεγαλύτερος όγκος της κακόβουλης κίνησης απορρίπτεται, και οι καλόβουλοι χρήστες εξυπηρετούνται κανονικά. Σκοπός της εργασίας είναι η αξιολόγηση της απόδοσης αυτού του μηχανισμού.