You are currently viewing « Utiliser les ressources réseaux pour atténuer les attaques DDoS volumétriques »

« Utiliser les ressources réseaux pour atténuer les attaques DDoS volumétriques »

L’Ecole doctorale EDITE – Ecole doctorale informatique, télécommunications et électronique et Télécom SudParis avec le Laboratoire de recherche SAMOVAR – Services répartis, Architectures, MOdélisation, Validation, Administration des Réseaux

présentent
l’AVIS DE SOUTENANCE de Monsieur Pierre-Edouard FABRE
Autorisé à présenter ses travaux en vue de l’obtention du Doctorat de Télécom SudParis avec l’Université Paris 6 en :
Informatique & Réseaux
« Utiliser les ressources réseaux pour atténuer les attaques DDoS volumétriques »

le 13 décembre 2018 à 11:00 – Salle A003

Adresse : Télécom SudParis – 9 Rue Charles Fourier, 91000 Évry

Membres du jury :

Directeur de thèse : Hervé DEBAR – Professeur

Rapporteurs :

Isabelle CHRISMENT – Professeure – Télécom Nancy – Université de Lorraine

Guillaume URVOY-KELLER – Professeur – Université de Nice Sophia-Antipolis


Examinateurs :

Bruno DEFUDE – Professeur – Télécom SudParis

Guillaume DOYEN – Maître de conférences – Université de Technologie de Troyes

Jouni VIINIKKA – Ingénieur – 6cure

Résumé :
Les attaques massives par déni de service représentent une menace pour les services Internet. Ils impactent aussi les fournisseurs de service réseau et menace même la stabilité de l’Internet. Il y a donc un besoin pressant de contrôler les dommages causés par ces attaques.
De nombreuses recherches ont été menées, mais aucune n’a été capable de combiner le besoin d’atténuation de l’attaque, avec l’obligation de continuité de service et les contraintes réseau. Les contre mesures proposées portent sur l’authentification des clients légitimes, le filtrage du trafic malicieux, une utilisation efficace des interconnections entre les équipements réseaux, ou l’absorption de l’attaque par les ressources disponibles.
Dans cette thèse, nous proposons un mécanisme de contrôle de dommages. Basé sur une nouvelle signature d’attaque et les fonctions réseaux du standard Multiprotocol Label Switching (MPLS), nous isolons le trafic malicieux du trafic légitime et appliquons des contraintes sur la transmission du trafic malicieux. Le but est de rejeter suffisamment de trafic d’attaque pour maintenir la stabilité du réseau tout en préservant le trafic légitime.
Considérant que les opérateurs réseaux n’ont pas une même visibilité sur leur réseau, nous étudions l’impact du niveau d’information de l’attaque ainsi que du le trafic réseau, sur l’efficacité d’une contre mesure régulièrement recommandée, le filtrage par liste noire. Nous formulons des scénarios auxquels chaque opérateur peut s’identifier. Nous démontrons que la l’algorithme de génération des listes noires doit être choisi avec précaution afin de maximiser l’efficacité du filtrage.

Abstract:
Massive Denial of Service attacks represent a genuine threat for Internet services, but also significantly impact network service providers and even threat the Internet stability. There is a pressing need to control damages caused by such attacks.
Numerous works have been carried out, but were unable to combine the need for mitigation, the obligation to provide continuity of service and network constraints. Proposed countermeasures focus on authenticating legitimate traffic, filtering malicious traffic, making better use of interconnection capacity network equipment or absorbing attack with the help of available resources.
In this thesis, we propose a damage control mechanism against volumetric Denial of Services. Based on a novel attack signature and with the help of Multiprotocol Label Switching (MPLS) network functions, we isolate malicious from legitimate traffic. We apply a constraint-based forwarding to malicious traffic. The goals is to discard enough attack traffic to sustain network stability while preserving legitimate traffic. It is not only aware of attack details but also network resource, especially available bandwidth.
Following that network operators do not have equal visibility on their network, we also study the impact of operational constraints on the efficiency of a commonly recommended countermeasure, namely blacklist filtering. The operational criteria are the level of information about the attack and about the traffic inside the network. We then formulate scenario which operators can identify with. We demonstrate that the blacklist generation algorithm should be carefully chosen to fit the operator context while maximizing the filtering efficiency.