Collaborative DDoS Defense: Threat Signaling Performance in Congested ISP Networks

Abstract

Distribuerte tjenestenekt angrep har vært et stort problem på Internett i over to tiår. Disse angrepene rammer Internett-leverandører daglig, og truer tilgjengeligheten til deres nettverk og tjenester levert til sluttkunder. Mange rammeverk og teknikker for samarbeidende forsvarssystemer mellom Internett-leverandører har blitt foreslått for å dempe trusselen. De fleste av dem er imidlertid avhengige av velfungerende nettverk for pålitelige og effektive signaleringsmekanismer.

Denne oppgaven tar for seg ytelsesproblemer til distribuerte forsvarssystemer når de mellomliggende nettverkene blir overbelastet under distribuerte tjenestenekt angrep. Klient-serverapplikasjoner ble konstruert ved å bruke TLS og DTLS transportprotokoller med to forskjellige meldingsstørrelser på 199 og 1579 byte. Signaleringsytelsen, kvantifisert som tur-retur-tid og feilfrekvens for meldinger mellom klient og server, ble målt i et emulert nettverk med forskjellige jitter- og pakketapsnivåer.

De eksperimentelle resultatene indikerer en betydelig forringelse av signaleringsytelsen når nettverket er overbelastet. Videre reagerte applikasjonene forskjellig på jitter- og pakketapsnivåer i samsvar med egenskapene til transportlagprotokoller, kombinert med meldingsstørrelser, nettverkets MTU og bufferstørrelser til flaskehalsruteren.

Distributed Denial-of-Service (DDoS) attacks have been a major problem on the Internet for over two decades. These attacks hit Internet Service Provider (ISP) networks daily, threatening the availability of their networks and services delivered to end customers. Many frameworks and techniques for collaborative defense systems between ISPs have been proposed to mitigate the threat. However, most of them depend on well-functioning networks for reliable and effective signaling mechanisms.

This thesis addresses performance issues of distributed defense systems when the intermediate networks become congested during DDoS attacks. Client-server applications were constructed using TLS and DTLS transport protocols with two different message sizes of 199 and 1579 bytes. The signaling performance, quantified as the round-trip time and failure rate of messages between client and server, was measured in an emulated network with different jitter and packet loss levels.

The experimental results indicate a significant degradation of signaling performance when the network is congested. Furthermore, the applications responded differently to jitter and packet loss levels in accordance with the properties of transport layer protocols, combined with message sizes, network MTU, and buffer sizes of the bottleneck router.