Abstract
We introduce a cloud-enabled defense mechanism for Internet services against network and computational Distributed Denial-of-Service (DDoS) attacks. Our approach performs selective server replication and intelligent client re-assignment, turning victim servers into moving targets for attack isolation. We introduce a novel system architecture that leverages a "shuffling" mechanism to compute the optimal re-assignment strategy for clients on attacked servers, effectively separating benign clients from even sophisticated adversaries that persistently follow the moving targets. We introduce a family of algorithms to optimize the runtime client-to-server re-assignment plans and minimize the number of shuffles to achieve attack mitigation. The proposed shuffling-based moving target mechanism enables effective attack containment using fewer resources than attack dilution strategies using pure server expansion. Our simulations and proof-of-concept prototype using Amazon EC2 [1] demonstrate that we can successfully mitigate large-scale DDoS attacks in a small number of shuffles, each of which incurs a few seconds of user-perceived latency
چکیده
ما یک مکانیزم دفاعی ابر-فعال (Cloud-enabled) برای سرویس های اینترنت در مقابل حملات رد سرویس توزیع شده محاسباتی و شبکه ای معرفی کرده ایم. روش ما کپی سازی سرور انتخابی و تخصیص مجدد مشتری به سرور به صورت هوشمند را انجام داده، سرورهای هدف حمله را به اهداف در حال حرکت تبدیل می کند تا حملات را ایزوله کند. ما یک معماری سیستم جدید معرفی می کنیم که از یک مکانیزم در هم آمیختن برای محاسبه استراتژی بهینه تخصیص مجدد مشتریان موجود روی سرورهای مورد حمله استفاده می کند و به صورت موثری مشتریان بی خطر را از دشمنان باتجربه ای که به صورت مصرانه اهداف متحرک را دنبال می کنند جدا می کند. ما یک خانواده از الگوریتم ها را برای بهینه سازی زمان اجرای طرح های تخصیص مجدد مشتری-به-سرور و حداقل کردن تعداد اجراهای روش درهم آمیختگی معرفی می کنیم تا به هدف که کاهش حملات است دست پیدا کنیم. مکانیزم هدف متحرک مبتنی بر در هم آمیختن باعث محدود شدن حملات می شود و این روش منابع کمتری در مقایسه با استراتژی ها کاهش (رقیق سازی) حملات که با توسعه کامل سرور انجام می شود، مصرف می کند. شبیه سازی و نمونه اولیه ما با استفاده از نرم افزار Amazon EC2 [1] انجام و نشان می دهد که ما با تعداد اجرای کمی از روش در هم آمیختن که هر کدام تاخیر ملموس بسیار کمی برای کاربر داشت، در کاهش حملات DDoS در مقیاس بزرگ موفق بوده ایم.
1-مقدمه
حملات انکار سرویس (رد سرویس) توزیع شده یا به اصطلاح DDoS به عنوان یکی از شدیدترین تهدیدات امنیتی برای سرویس های اینترنتی امروزی مطرح شده است. بررسی جهانی [2] که اخیراً انجام شده است گزارش کرده که شدت و مهارت حملات DDoS در طول چند سال گذشته رشد داشته است. سرویس های وب باز مانند تجارت الکترونیک که محبوبیت دارند و سرویس های وب حساس به امنیت مانند وبسایت های بانکی و مالی شدیدترین حملات DDoS متوجه آنها بوده است...