Um arcabouço para resiliência de sistemas em rede por conformação de agrupamentos

Abstract

Resumo: Atualmente, o advento dos sistemas em rede de larga escala, tais como os Sistemas de Gerenciamento de Identidades (SGIs) e as redes definidas por software (do inglês, Software- Defined Networks - SDNs), tem contribuído para a evolução tecnológica ao simplificar o gerenciamento de usuários e dispositivos de rede, No entanto, estes sistemas são propensos a ataques de negação de serviço distribuídos, do inglês Distributed Denial-of-Service (DDoS), capazes de comprometer a disponibilidade destes sistemas e prejudicar usuários legítimos. As principais abordagens contra os ataques DDoS existentes na literatura se baseiam na utilizacao de recursos externos (replicação) ou na sua detecção. Enquanto a primeira abordagem incrementa o custo das soluções, a segunda e suscetível a altas taxas de detecções imprecisas. Neste trabalho, defende-se a tese de que os componentes dos sistemas em rede podem se organizar em grupos para tornar os serviços essenciais prestados por estes sistemas resilientes a ataques DDoS, A fim de averiguar a viabilidade da tese, um arcabouço de três módulos, sobrevivência, colaboração e avaliação, foi concebido como referencia para o projeto de sistemas que seguem as idéias defendidas neste trabalho, A partir deste arcabouço, o tempo de vida dos sistemas em rede aumenta sem a necessidade de empregar recursos externos, Alem disto, o processo de mitigação inicia quando a utilização dos principais recursos afetados pelo ataque ultrapassa um limite preestabelecido, dispensando a detecção do ataque através do trafego de rede. Empregando este arcabouço são apresentados um esquema para mitigação de ataques DDoS em SGIs e um protocolo para mitigação dos ataques DDoS em redes SDN, As avaliacoes de desempenho por experimentos e por simulações baseadas em traços mostram uma melhora da utilização do hardware dos sistemas em rede, incrementa a vazão e diminui a latência dos serviços essenciais destes sistemas.

Abstract: Recently, the advent of large scale networked systems, such as Identity management (IdM) systems and software defined networks (SDN), has contributed to the technological evolution by simplifying the management of users and network devices. However, these authorities become potential target of Distributed Denial-of-Serviees (DDoS) attacks able to compromise the availability of these systems and harm legitimate users. The main approaches against DDoS attacks in the literature are based on either the application of external resources (replication) or on the DDoS attacks detection. The first approach increases the solutions cost, and in general the second one is prone to high rates of inaccurate detections. In this work, it is advocated the thesis that the networked systems components can be self-organized into clusters in order to become the essential services provided through these systems resilient to DDoS attacks. In order to investigate the viability of the thesis, a framework comprising three modules, survival, collaboration, and analysis, was designed as a reference to project systems that follow the ideas defended in this work. Through this framework, the networked systems life time can be extend without employ external computer resources. Moreover, the mitigation process starts when the usage of the main affected system resources by the attacks overcome a pre-established limit, dispensing the attack detection through the network analysis. Employing this framework is presented a schema to mitigate DDoS attacks over IdM systems and a protocol to mitigate DDoS attacks against SDN, Performance evaluations by experiments and trace based simulations show the improvement of the networked systems hardware utilization, increasing the throughput and decreasing the latency of its essential services.