Analyse spectrale d’outils classiquesde Déni de Service Distribués

GALLON Laurent - AUSSIBAL JulienUniversité de Pau et des Pays de l’Adour

LIUPPA/CSYSEChttp://csysec.univ-pau.fr

Laurent.gallon@univ-pau.frAussibal.julien@etud.univ-pau.fr

CRISIS 2005 - ENSI Bourges 13 - 14 octobre 2005

2

Plan

• Objectif de l’étude

• Rappels sur DoS / DDoS

• Analyse de l’outil TFN2k

• Conclusions et perspectives

CRISIS 2005 - ENSI Bourges 13 - 14 octobre 2005

3

Introduction

• METROSEC (METROlogy for SECurity and quality of ser vice)• Financé par le Ministère de la recherche, la DGA, l e CNRS et l’INRIA• Dans le cadre de l’ACI Sécurité et Informatique

• Pourquoi ? La qualité de service d’Internet est dég radée :• Des anomalies légitimes de trafic (P2P, flash crowd )• Des anomalies illégitimes de trafic (Dénis de servi ce)

• But : Utiliser les données métrologiques pour améli orer la sécurité et la robustesse d’Internet

• Détecter les anomalies• Mécanismes appropriés

• Plusieurs laboratoires collaborent aux campagnes d’ attaques• Lip6, LIAFA, LAAS-CNRS, ENS Lyon, l’ESSI, LIUPPA/CS ySEC• Attaques réalisées sur le réseau RENATER

CRISIS 2005 - ENSI Bourges 13 - 14 octobre 2005

4

But de l’étude

• Etudier le comportement d’outils classiques de DoS et DDoS⇒ Améliorer la protection contre ces

attaques

• Première étude :– Comportement de TFN2k

CRISIS 2005 - ENSI Bourges 13 - 14 octobre 2005

5

Définition des DoS et DDoS

CRISIS 2005 - ENSI Bourges 13 - 14 octobre 2005

6

Attaques classiques en DoS et DDoS• Attaques sur la bande passante

• UDP flooding• ICMP flooding• TCP flooding

• Attaques sur les failles logicielles (protocoles de transport, pas applications et OS)

• TCP/SYN• TCP/RST• Paquets malformés

• Logiciels classiques d’attaque• Trinoo• Stacheldraht• Shaft• MStream• TFN / TFN2k

CRISIS 2005 - ENSI Bourges 13 - 14 octobre 2005

7

Présentation de TFN2k

• Possibilité de plusieurs attaques

• TCP/SYN Flooding• UDP et ICMP Flooding• MIX Flooding (UDP, TCP, ICMP)• Broadcast Ping (SMURF)

Flooding

Victime

…...

…

Master

Agent

Master

Hacker

CRISIS 2005 - ENSI Bourges 13 - 14 octobre 2005

8

Analyse de l’outil de DDoS : TFN2k

• Mesure de l’impact de TFN2k sur le trafic réseau

• Plateforme fermée• Différentes données métrologiques

– Nombre de paquets par seconde– Nombre d’octets par seconde

• Outils d’analyse (traitement du signal) : – PSD – Ondelettes

• Différents Scénarios– 1 zombie (DoS)– 3 zombies (DDoS)– 6 zombies (DDoS)

CRISIS 2005 - ENSI Bourges 13 - 14 octobre 2005

9

Plateforme et Outils de capture

• Plateforme

• Outils de capture• Carte Dag de chez Endace

Master

Victime

Machine de capture

CRISIS 2005 - ENSI Bourges 13 - 14 octobre 2005

10

Outils d’analyse spectrale

• Densité spectrale de puissance (PSD)• Permet d’extraire les fréquences caractéristiques d ’un signal• Transformée de Fourrier de la fonction d’autocorrél ation

CRISIS 2005 - ENSI Bourges 13 - 14 octobre 2005

11

Outils d’analyse spectrale

• Transformée en ondelettes• Permet une analyse temps-fréquence que ne peut pas l a TF• Découpe le signal en 2 composants (l’approximation et le détail)

CRISIS 2005 - ENSI Bourges 13 - 14 octobre 2005

12

Observation de TFN2k (1 zombie)

CRISIS 2005 - ENSI Bourges 13 - 14 octobre 2005

13

Observation de TFN2k (1 zombie)

• La PSD fait apparaître 2 pics caractéristiques• Le détail des ondelettes fait apparaître le comport ement du

zombie TFN2k

CRISIS 2005 - ENSI Bourges 13 - 14 octobre 2005

14

Observation de TFN2k (3 zombies)

CRISIS 2005 - ENSI Bourges 13 - 14 octobre 2005

15

Observation de TFN2k (3 zombies)

• Les 2 pics diminuent d’intensité• Le signal commence à se lisser (diminution de la v ariance

dans les fréquences hautes)

CRISIS 2005 - ENSI Bourges 13 - 14 octobre 2005

16

Observation de TFN2k (6 zombies)

• Les 2 pics sont noyés dans les basses fréquences

• Le signal est lissé par la puissance des zombies

CRISIS 2005 - ENSI Bourges 13 - 14 octobre 2005

17

Analyse des observations

• L’outil PSD• Permet d’observer une signature caractéristique à u ne attaque avec le

logiciel TFN2k (pics de fréquences)

• L’outil « ondelettes »• Permet d’observer des comportements caractéristique s pour les

zombies TFN2k (hautes fréquences)

• Si le nombre de zombie augmente, la signature du zo mbie TFN2K disparaît

• On rejoint le travail de Alefiya Hussain (2003)• Attaques en DoS => Fréquences hautes• Attaques en DDoS => Fréquences basses

CRISIS 2005 - ENSI Bourges 13 - 14 octobre 2005

18

Conclusion

• Cette étude a permit de montrer :• Le comportement du zombie TFN2k • La signature spectrale d’une attaque TFN2k si le no mbre de zombie

n’est pas très élevé

• Utilisation potentielle sur réseau source d’attaque DDoS

• Les perspectives sont :• L’étude d’autres logiciels de DDoS tels que Trinoo ou Stacheldraht• D’utiliser d’autres paramètres métrologiques passif s ou actifs (inter-

arrivée des paquets, Round Time Trip, la bande passan te, etc.)• L’utilisation d’autres outils de traitements du sig nal (tel que la LRD

ou la régression FARIMA)• L’exécution sur une plateforme à grande échelle perm ettrait de

mieux observer les comportements des attaques (rése au RENATER)