Extended topology analysis of a detection mechanism implementation against Botnet Based DDoS flooding attack in SDN

Abstract

When SDN comes up as a new technology, while it also brings many benefits such as high availability, scalability and performance, it also brings us new vulnerabilities that is targeted by attackers. Botnet Based DDoS Flooding Attacks have been one of the major problems for service provider networks who encountered these repeatedly since the first DDoS came into existence in the early 2000’s. In this thesis, we mainly concentrate on the source-based detection approach against Botnet Based DDoS Flooding Attack by combining the strength of SDN and s-Flow-RT technology. The main purpose of this research is to detect Botnet Based DDoS Flooding Attack that can also be performed in distributed SDN environments by using a similar approach with an available detection mechanism which is not implemented previously on an extended network with more network elements in order to observe whether the obtained successful results on the small network are compatible with a result obtained on this research. This study also includes a detection application using previously studied detection approach based on statistical inference model. The detection application is tested on virtual environments by organizing a Botnet Based DDoS Flooding Attacks on a predefined source node and then test results show that the mechanism could effectively detect the attack.

Yazılım Tanımlı Ağ yeni bir teknoloji olarak ortaya çıktığında, yüksek kullanılabilirlik, ölçeklenebilirlik ve performans gibi pek çok avantaj getirirken, aynı zamanda da saldırganların hedef aldığı yeni güvenlik açıklıklarını da beraberinde getiriyor. Botnet Temelli Dağıtık Hizmet Dışı Bırakma Saldırıları, 2000’li yılların başında ilk Dağıtık Hizmet Dışı Bırakma Saldırısının ortaya çıkmasından beri bunlarla tekrar tekrar karşılaşan servis sağlayıcı ağlar için önde gelen siber suçlardan biri olmuştur. Bu tezde ağırlıklı olarak Botnet Temelli Dağıtık Hizmet Dışı Bırakma Saldırılarına karşı Yazılım Tanımlı Ağ ve s-Flow-RT teknolojisinin güçlerini birleştirerek kaynak temelli tespit yaklaşımına odaklanırız. Bu araştırmanın temel amacı, daha küçük bir ağ üzerinde elde edilen başarılı sonuçların, bu çalışmada elde edilen sonuçlarla uyumlu olup olmadığını görmek amacıyla, Dağıtık Yazılım Tanımlı Ağ ortamlarında da uygulanabilen Botnet Temelli Dağıtık Hizmet Dışı Bırakma Saldırılarını, daha fazla ağ elemanı ile genişletilmiş bir ağ üzerinde daha önce uygulanmamış olan mevcut bir tespit mekanizması ile benzer bir yaklaşım kullanarak tespit etmektir. Bu çalışma aynı zamanda istatistiksel çıkarım modeline dayanan daha önce çalışılmış tespit yaklaşımını kullanan bir tespit uygulaması içermektedir. Tespit uygulaması sanal ortamlarda önceden tanımlanmış bir kaynak düğümünde Botnet Temelli Dağıtık Hizmet Dışı Bırakma Saldırısı düzenleyerek test edilir ve test sonuçları, mekanizmanın saldırıyı etkili bir şekilde algılayabildiğini gösterir.