usando pontos de veriﬁcac¸ ao para˜ rastrear ataques de...

Usando Pontos de Verificacao paraRastrear Ataques deNegacao de Servico Macicamente Distribuıdos∗

Marcelo D. D. Moreira e Otto Carlos M. B. Duarte†

1Grupo de Teleinformatica e Automacao, PEE/COPPE-DEL/POLI,Universidade Federal do Rio de Janeiro

Resumo. Os ataques originados por botnets com milhoes de maquinas sao hojeuma realidade, formando o que se chama de ataque de negacao de servicomacicamente distribuıdo. Este trabalho mostra que os sistemas de rastrea-mento existentes nao sao escalaveis, pois a taxa de erro destes sistemas cresceexponencialmente com o numero de atacantes. O sistema propostoe o unicoque escala para milhoes de atacantes e tambem satisfaz requisitos praticos,como nenhum estado armazenado nos roteadores da rede e uma sobrecarga decabecalho (25 bits) que pode ser alocada no cabecalho IPv4. O sistema exploraa hierarquia cliente-provedor da Internet no nıvel de sistemas autonomos (Auto-nomous Systems - ASes) e introduz a ideia de pontos de verificacao, que sao osdois nos mais importantes em um caminho de ASes. Os resultados mostram quea proposta de reconstrucao de rota baseada em pontos de verificacao e cerca de1000 vezes mais acurada do que um procedimentootimo que utiliza a classicaabordagem de reconstrucao salto-a-salto. O sistema proposto restringe o resul-tado da descoberta da origem de um pacote de ataque a menos de dois ASescandidatos na media, sendo que um delese certamente o verdadeiro AS no qualo pacote foi originado.

1. Introducao

Os ataques de negacao de servico distribuıdos (Distributed Denial-of-Service-DDoS - attacks) sao um dos principais desafios de seguranca da Internet atualmente[Laufer et al. 2005]. Os atacantes utilizam redes de ataque, chamadas debotnets, com-postas por maquinas previamente comprometidas denominadasbots ou zumbis. Tipi-camente, cada estacao de ataque gera certa quantidade de trafego em direcao a vıtimae o trafego agregadoe entao responsavel por exaurir os recursos da vıtima, de formaa tornar indisponıvel o servico oferecido. Os ataques de DDoS somente ocorrem por-que os atacantes sao capazes de avariar a vıtima e ainda assim permanecer anonimos e,consequentemente, impunes [Ehrenkranz e Li 2009]. O IP (Internet Protocol) nao proveautenticacao de fonte, e assim pacotes com endereco de origem forjado podem ser injeta-dos na rede. Tal vulnerabilidadee explorada pelos atacantes para garantir seu anonimatoatraves da tecnica de falsificacao do endereco de origem (source address spoofing). Umestudo recente [Ehrenkranz e Li 2009] mostra que aproximadamente 20% das redes daInternet permite a falsificacao do endereco de origem. Dentro de tais redes, uma estacaopode forjar ate 100% de todos os enderecos da Internet. Portanto, nao e possıvel pro-var a participacao de uma estacao em um ataque, ainda que as estacoes de ataque usem

∗Versaocompletadisponıvel em http://www.gta.ufrj.br/ftp/gta/TechReports/marcelo09b.pdf†Este trabalho foi realizado com recursos do CNPq, CAPES, FAPERJ, FINEP e FUNTTEL.

499

enderecos de origem legıtimos. Logo,um mecanismo de identificacao de fontee ne-cessario para associar um pacote de ataque ao seu verdadeiro emissor.

Uma solucao promissora para o problema de identificacao de fontee tornar a redecapaz de rastrear o caminho seguido pelos pacotes ate a sua verdadeira origem, o queeconhecido como o problema do rastreamento IP [Savage et al. 2001]. A ideia basica dorastreamento IPe reconstruir a rota percorrida pelos pacotes de ataque usando marcacoesinseridas no pacote pelos roteadores. No entanto, os sistemas de rastreamento existentessao ineficazes contra ataques compostos por milhoes de estacoes [Spiess 2007], deno-minados ataques de negacao de servico macicamente distribuıdos (Massively DistributedDenial-of-Service- MDDoS - attacks). Tais ataques introduzem dois novos desafios: es-calabilidade em relacao ao numero de atacantes e robustez a ataques de umunico pacote.

Escalabilidade em relacao ao numero de atacantes:Os sistemas baseados namarcacao de pacotes codificam a informacao de rota nos pacotes encaminhados a fim depermitir que a vıtima identifique a origem dos pacotes. Os sistemas tiram proveito defluxos grandes para distribuir a informacao de rota entre os diversos pacotes do fluxo,reduzindo assim a sobrecarga por pacote. Entretanto, os sistemas de rastreamento exis-tentes nao sao escalaveis, porque os erros de reconstrucao de rota crescem exponencial-mente com o numero de atacantes. Mostra-se que a distribuicao da informacao de rotaentre multiplos pacotes de ataque implica um rapido crescimento da taxa de erro de ras-treamento conforme o numero de atacantes cresce. O problema principale a escassezde espaco no cabecalho IPv4, que leva os roteadores a inserirem somente partes da rotaem cada pacote. Durante o procedimento de reconstrucao de rota, a vıtima acredita quepacotes de origens distintas pertencema mesma rota de ataque, causando imprecisoesgraves.

Robustez a ataques de umunico pacote: A maioria dos sistemas de rastrea-mento requer um numero mınimo de pacotes para ser capaz de rastrear o atacante, oque os torna vulneraveis a ataques nos quais o atacante envia uma pequena quantidadede pacotes para evitar ser rastreado. Os ataques de negacao de servico macicamente dis-tribuıdos (MDDoS) agravam ainda mais este problema, pois tais ataques provocam efeitosdevastadores ainda que cada maquina gere apenas uma pequena quantidade de trafego deataque. Por exemplo, em um ataque de 1 milhao de maquinas, cada qual enviando ape-nas umunico pacote de 1500 octetos, o trafego agregado medio recebido pela vıtima ede 12 Gb/s, considerando que a vıtima recebe todos os pacotes de ataque dentro de umperıodo de 1 segundo. Consequentemente, somente um sistema de rastreamento capaz derastrear a origem do ataque a partir de umunico pacotee robusto a ataques de MDDoS.

Neste trabalho, propoe-se um sistema de rastreamento que atende aos dois requi-sitos mencionados acima. Para permitir o rastreamento a partir de umunico pacote como pequeno espaco disponıvel no cabecalho IP, considera-se o problema do rastreamentono nıvel de sistemas autonomos (Autonomous Systems- ASes). A estrutura hierarquicada Internet no nıvel de ASese explorada para localizar o atacante usando a informacaoinserida pelos ASes atravessados pelo pacote. A novidade da propostae escolher estrate-gicamente os ASes que marcam o pacote. Devidoa restricao de espaco de cabecalho, arota de ataque completa naoe transferidaa vıtima, mas somente a informacao de rota quee essencial para localizar o atacantee armazenada no pacote. Dada uma rota em nıvel deASes, foram identificados dois ASes, chamados de pontos de verificacao (checkpoints),

500 Concurso de Tese e Dissertações (CTD)

que sao os mais importantes para reconstruir a rota de forma acurada. Propoe-se umes-quema de marcacao que privilegia estes dois nos crıticos, permitindo rastrear o AS deorigem com alta acuracia, a despeito da limitacao de espaco para marcacao. O sistemapropostoe comparado com outros esquemas de marcacao de pacotes [Durresi et al. 2009,Song e Perrig 2001, Belenky e Ansari 2007] atraves de um simulador desenvolvido paraeste trabalho. Os sistemas sao comparados usando uma topologia real da Internet emnıvel de ASes construıda a partir de dados de julho de 2009 da infraestrutura de medicaoArchipelago (Ark) [Hyun et al. 2009]. O resultado principale que a acuracia do sistemade rastreamento propostoe independente do numero de atacantes, o que confirma a es-calabilidade da abordagem de rastreamento por umunico pacote. Ja os outros sistemascomparados, que dependem de multiplos pacotes para reconstruir a rota de ataque, tem odesempenho bastante degradado com o aumento do numero de atacantes, devido a errosde reconstrucao que crescem exponencialmente com o numero de atacantes. Devido aouso de pontos de verificacao, alem de constante, a acuracia do sistema propostoe exce-lente, pois na media tem-se apenas 0,8 falsos positivos para cada atacante rastreado.

2. Contribuicoes e Producao Cientıfica AssociadaO sistema proposto difere dos demais encontrados na literatura por ser ounico

sistema baseado na abordagem de rastreamento por umunico pacote que nao armazenaestado algum na infraestrutura de rede e requer uma sobrecarga de cabecalho (25 bits)que pode ser alocada no cabecalho IPv4. A proposta tem como contribuicao principala ideia de pontos de verificacao, que sao os nos mais importantes de um caminho deASes. Esta ideia permite rastrear o AS de origem com alta acuracia, mesmo usandoum espaco de marcacao insuficiente para armazenar a rota de ataque completa. Usandouma modelagem a partir da teoria da distorcao de taxa (rate distortion theory), mostra-se que sao necessarios 35 bits para reconstruir sem erros um caminho em nıvel de ASes.Al em disso, a teoria mostra que a abordagem classica de reconstrucao de rota salto-a-saltonecessita de uma sobrecarga de cabecalho de 25 bits. Esta sobrecarga causa uma taxa deerro 15% a cada salto, o que corresponde a cerca de 800 falsos positivos por atacante,no cenario de simulacao utilizado. Em comparacao, a estrategia de reconstrucao de rotabaseada em pontos de verificacao apresenta uma acuracia cerca de 1000 vezes melhor,principalmente devidoa proposta de selecao do ASes mais importantes para marcar opacote.

O presente trabalhoe fruto de mais de 5 anos de dedicacao do alunoa pesquisano tema de rastreamento de pacotes, como aluno de mestrado e de iniciacao cientıfica. Oaluno recebeu em duas ocasioes o premio de autor de um dos 10 melhores trabalhos doCentro de Tecnologia da Jornada de Iniciacao Cientıfica da UFRJ. O aluno foi autor deum trabalho publicado em workshop de congresso nacional [Moreira et al. 2006], de doistrabalhos publicados em congresso nacional [Moreira et al. 2007, Moreira et al. 2010a]e (co-autor) de um trabalho publicado em congresso internacional [Laufer et al. 2007],todos no tema de rastreamento. O trabalho publicado no SBSeg’07 rendeu-lhe o premiode um dos cinco melhores artigos da conferencia. Alem disso, ha ainda um trabalho notema da dissertacao em processo de submissao [Moreira et al. 2010b].

3. O Sistema PropostoO rastreamento inter-domınio possui algumas vantagens sobre o tradicional ras-

treamento em nıvel de roteadores. Os caminhos em nıvel de ASes sao cerca de 5 vezes

X Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais 501

menores que do em nıvel de roteadores e o numero de ASes (aproximadamente 45 mil)esta bem longe do numero de roteadores (da ordem de dezenas de milhoes). Apesar des-sas vantagens, o rastreamento inter-domınio apresenta um novo desafio: lidar com a umaestrutura altamente hierarquica. Isto leva a pontos de divergencia do procedimento dereconstrucao de rota, que podem comprometer a acuracia do sistema de rastreamento. Aseguir,e detalhado o problema da reconstrucao de rota em nıvel de ASes e introduzida aideia-chave dos pontos de verificacao.

A Fig. 1(a) ilustra as particularidades do problema da reconstrucao de rota emnıvel de ASes. Nota-se que, dependendo da distanciaa vıtima, o numero de ASes quedevem ser testados durante o procedimento de reconstrucao de rota varia significativa-mente. A razao para tal comportamentoe que a distribuicao do numero de vizinhos dosASes segue uma lei de potencia [Mahadevan et al. 2006]. Assim, a maioria dos ASespossui poucos vizinhos e esta localizada na borda da rede, enquanto que alguns poucosASes possuem um elevado numero de vizinhos e estao localizados no nucleo da rede.Logo, quando o procedimento de reconstrucao de rotae iniciado pela vıtima, ha poucosvizinhos a serem testados, visto que se esta ainda na borda da rede. Quando se aumenta adistanciaa vıtima, avancando em direcao ao nucleo da rede, o numero de vizinhos testa-dos aumenta. Da mesma forma, caso se continue a aumentar a distanciaa vıtima, a bordada redee atingida novamente e, consequentemente, o numero de ASes testados diminui.Esse comportamentoe um reflexo da hierarquia cliente-provedor que existe na topolo-gia da Internet em nıvel de ASes. Tal hierarquiae claramente vista nas caracterısticasdos caminhos em nıvel de ASes: 62% dos caminhos possuem comprimento de 3 sal-tos [Mahadevan et al. 2006]. No padrao de caminho mais comum, mostrado na Fig. 1(b),o pacotee originado em um AS-cliente, na borda da rede, sobe para o provedor do ASde origem, entrando no nucleo da rede, depois vai para outro AS-provedor e finalmentechega ao seu destino, geralmente um AS-cliente localizado na borda da rede.

0

200

400

600

800

1000

1200

1400

1600

1 2 3 4 5

Núm

ero

de A

Ses testa

dos

Distância à vítima (número de saltos)

médiapior caso

(a) Numeros de testes na reconstrucao. (b) A hierarquia cliente-provedor.

Figura 1. A hierarquia cliente-provedor e a reconstruc ao de rota em nıvel deASes.

O esquema de marcacao proposto explora a hierarquia cliente-provedor a fim defornecera vıtima as informacoes de rota mais importantes. De acordo com as Figs. 1(b)e 1(a), os passos crıticos durante a reconstrucao de rota ocorrem no segundo e terceirosaltos, nos quais devem ser testados ate 898 e 1490 ASes, respectivamente. Ha muitosASes a serem testados devidoa concentracao de caminhos que passam pelos grandesprovedores, chamados de ASes de nucleo. Metade dos caminhos da Internet passam pelos


10 ASes com mais de 500 vizinhos [Mahadevan et al. 2006]. Assim, partindoda vıtimaem direcao ao atacante, o procedimento de reconstrucao consegue identificar o provedorda vıtima, entrando no nucleo da rede sem muitas dificuldades. Porem, para identificar oprimeiro sistema autonomo (AS) de nucleo atravessado pelo pacote de ataque,e precisotestar quase mil ASes, o que pode resultar em uma elevada taxa de falsos positivos. Poressa razao, o primeiro passo crıtico e a identificacao do primeiro AS de nucleo da rota deataque. O segundo passo crıtico ocorre quando o procedimento de reconstrucao alcancao provedor do AS-atacante e esta tentando localizar o AS-atacante. Estee tambem umpasso crıtico, porque o atacante deve ser identificado dentre aproximadamente mil ASes.

Observando a existencia de dois passos crıticos durante a reconstrucao de rota,propoe-se um novo esquema de marcacao de pacotes determinıstico no qual somente doisASes marcam o pacote. Essas duas marcacoes sao usadas como pontos de verificacao(checkpoints) para guiar o procedimento de reconstrucao de rota. Os pontos de verificacaosao estrategicamente posicionados no AS-atacante e no primeiro AS de nucleo da rota deataque. Assim, em vez de representar a rota de ataque completa, propoe-se marcar apenasalguns Ases e, alem disto, alocam-se mais bits do cabecalho IP para os passos crıticos,garantindo que os pontos de verificacao sejam alcancados com uma baixa taxa de falsospositivos.

4. Resultados

Foram implementados no simulador os seguintes sistemas: o sistema inter-domınioFAST [Durresi et al. 2009] e um sistema probabilıstico [Song e Perrig 2001]. Ao contrariodo sistema proposto, esses sistemas nao seguem a abordagem de rastreamento por umunico pacote. Dessa forma, os ataques simulados foram compostos por um numero sufi-ciente de pacotes para cada sistema funcionar adequadamente, istoe, 10 pacotes para oFAST e 1.000 para o esquema probabilıstico. Com isso, a vıtima recebe todas as possıveismarcacoes de cada roteador das rotas de ataque. Isso representa o melhor cenario possıvelpara os dois sistemas comparados. O sistema FAST foi escolhido para comparacao por-que ele tem algumas caracterısticas semelhantes ao sistema proposto. Assim, o objetivofoi avaliar o impacto das caracterısticas que saounicas do sistema proposto. Em primeirolugar, o FASTe tambem um sistema determinıstico que usa funcoeshashpara marcaros pacotes. A diferencae que o FAST usa 5 marcacoes, ao inves de duas, o que implicaem um menor comprimento da saıda das funcoeshash(4 bits contra 11 e 12 bits do sis-tema proposto). Alem disso, o FASTe tambem um sistema inter-domınio, mas que naoexplora a hierarquia cliente-provedor. Dessa forma, os resultados mostram os benefıciosdessa caracterıstica do sistema proposto. Uma diferenca importantee que o FAST usa4 funcoeshashdiferentes para cada marcacao, necessitando de multiplos pacotes parapoder receber todas as marcacoes de cada AS. Na implementacao da reconstrucao de rotado FAST no simulador, um AS testadoe integrado ao grafo de reconstrucao somente setodos os resultados da aplicacao das 4 funcoeshashao ASN do AS testado conferiremcom a informacao de rastreamento recebida pela vıtima. Isso representa o melhor casopara o sistema FAST em termos de numero de falsos positivos obtidos. O sistema de Songe Perrig foi implementado no simulador a fim de avaliar o desempenho de um esquemaprobabilıstico. O sistema de Song e Perrig usa funcoeshashcom saıdas de 8 bits para co-dificar a informacao de enlace. Por ser baseado na abordagem de marcacao probabilıstica,esse sistema requer muito mais pacotes recebidos do que os outros sistemas comparados.


Assim, para uma comparacao justa,foi considerado um limiar de 5 de 8hashesiguaisa marcacao recebida pelo vıtima para integrar um AS testado ao grafo de reconstrucao.Esse limiar corresponde aos 1.000 pacotes recebidos. Um aumento do limiar reduziriao numero de falsos positivos desse sistema, mas implicaria tambem um numero aindamaior de pacotes recebidos. A fim de comparar tambem com um sistema determinıstico,e apresentada no grafico a expressao analıtica do numero esperado de falsos positivos dosistema de Belenky e Ansari [Belenky e Ansari 2007]. Considerou-se que o endereco doprimeiro roteador foi dividido em 4 segmentos de 8 bits e que foram usadas 4 funcoeshashde 5 bits cada.

A diferenca fundamental entre o sistema proposto e os sistemas relacionadosacimae que esses outros sistemas dependem do recebimento de multiplos pacotes parareconstruir a rota de ataque e, portanto, nao sao escalaveis para ataques de MDDoS. Afim de provar essa afirmacao e mostrar que o sistema propostoe escalavel para ataques deMDDoS, foi simulado um cenario com 1.000 estacoes de ataque por AS e foi medida aacuracia em funcao do numero de atacantes. A acuraciae medida em termos do numerode falsos positivos. Um sistema de rastreamento ideal encontra o atacante sem nenhumfalso positivo durante a reconstrucao de rota. Assim, quanto menor o numero de falsospositivos, melhor a acuracia com que o verdadeiro atacantee identificado. Os resultadosde simulacao da acuracia em funcao do numero de atacantes sao mostrados na Fig. 2.

Figura 2. Acur acia dos sistemas avaliados, medida em numero de falsos positi-vos por atacante, em func ao do numero de atacantes.

Os resultados confirmam que a acuracia do sistema propostoe constante em relacaoao numero de atacantes. Alem disso, observa-se que o numero de falsos positivose defato bem pequeno. A figura mostra que o sistema propostoe capaz de rastrear 10 milhoesde atacantes com apenas 0,8 falsos positivos por atacante. Em comparacao, o numerode falsos positivos dos sistemas FAST, determinıstico e probabilıstico cresce exponen-cialmente com o numero de atacantes. Isso se deve principalmente devido a erros dereconstrucao de rota causados pela combinacao incorreta da informacao de rastreamentoproveniente de rotas de ataque distintas. Finalmente, um sistema salto-a-saltootimo para


rastreamento por umunico pacotetambem foi simulado para observar as diferencas entreo procedimento de reconstrucao de rota salto-a-salto e o procedimento proposto, base-ado em pontos de verificacao, considerado o mesmo cenario e a mesma sobrecarga decabecalho (25 bits). A Fig. 2 mostra que a acuracia do sistemaotimoe tambem constante,o que confirma que este esquemae tambem escalavel em relacao ao numero de atacan-tes. No entanto, a acuracia do sistema salto-a-saltootimo e cerca de 1.000 vezes piordo que a acuracia do sistema proposto. A razao fundamentale que o sistemaotimo, quesegue a abordagem classica de reconstrucao salto-a-salto, tenta representar a rota com-pleta de ataque usando um espaco insuficiente (25 bits), resultando em uma alta taxa defalsos positivos durante a reconstrucao de rota. O esquema propostoe mais eficiente porrepresentar somente a informacao que realmente importa para localizar o atacante, poisos pontos de verificacao foram estrategicamente posicionados nos pontos crıticos do pro-cedimento de reconstrucao de rota. Portanto, pode-se concluir que o uso de pontos deverificacao reduz a informacao de rastreamento que precisa ser armazenada no cabecalhoIP e, ao mesmo tempo, mantem uma elevada acuracia.

5. Conclusoes

Mostra-se nesse trabalho que os sistemas de rastreamento existentes na literaturasao ineficazes contra ataques compostos por milhoes de estacoes. Argumenta-se que amelhor opcao para rastrear ataques de negacao de servico macicamente distribuıdos (MD-DoS)e a abordagem de rastreamento por umunico pacote. De fato, os resultados obtidosmostram que as propostas que dependem do recebimento de multiplos pacotes para poderreconstruir a rota de ataque possuem uma taxa de falsos positivos que cresce rapidamentecom o aumento do numero de atacantes, comprometendo a escalabilidade do sistema.Por outro lado, a abordagem de rastreamento por umunico pacote tambem possui suasdesvantagens. O desafioe satisfazer os requisitos praticos de nao armazenar estado nainfraestrutura de rede e de usar uma sobrecarga de cabecalho pequena o suficiente parapoder ser alocada no cabecalho IPv4. Esses requisitos implicam que toda a informacaonecessaria para o rastreamento do atacante deve estar contida em um espaco de cabecalhoinsuficiente para armazenar a informacao completa da rota de ataque. Para contornaresse problema, propoe-se explorar a estrutura hierarquica da Internet no nıvel de siste-mas autonomos (ASes).E analisado o problema da reconstrucao de rotas na Internet nonıvel de ASes e sao obtidas duas descobertas principais: (i)e mostrado que a hierarquiacliente-provedor implica a existencia de dois passos crıticos durante o procedimento dereconstrucao de rota; e (ii) nota-se que o AS de origem pode ser sempre encontrado,mesmo que alguns ASes nao participem da marcacao de pacotes. Baseando-se nessasduas observacoes, propoe-se um novo esquema de rastreamento que privilegia os passoscrıticos da reconstrucao de rota e dispensa os ASes-clientes da tarefa de marcar pacotes.O resultadoe que, com somente duas marcacoes, o AS de origeme encontrado com altaacuracia, a despeito da limitacao de espaco disponıvel para marcacao no cabecalho IPv4.O desempenho do sistema propostoe avaliado numa topologia real e os resultados desimulacao confirmam a alta escalabilidade e excelente acuracia do sistema proposto. Osistemae capaz de rastrear um numero ilimitado de atacantes com menos de 1 falso po-sitivo por atacante, exigindo apenas a participacao dos ASes nao-clientes, istoe, apenas18,5% de razao de implantacao.


Referencias

Belenky, A. e Ansari, N. (2007). On Deterministic Packet Marking.Computer Networks,51(10):2677–2700.

Durresi, A., Paruchuri, V. e Barolli, L. (2009). Fast Autonomous System Traceback.Journal of Network and Computer Applications, 32(2):448 – 454.

Ehrenkranz, T. e Li, J. (2009). On the State of IP Spoofing Defense.ACM Transactionson Internet Technology, 9(2):1–29.

Hyun, Y., Huffaker, B., Andersen, D., Aben, E., Luckie, M., Claffy,K. e Shannon, C. (2009). The IPv4 Routed /24 AS Links Dataset.http://www.caida.org/data/active/ipv4routedtopologyaslinksdataset.xml.

Laufer, R. P., Moraes, I. M., Velloso, P. B., Bicudo, M. D. D., Campista, M. E. M.,de O. Cunha, D., Costa, L. H. M. K. e Duarte, O. C. M. B. (2005). Negacao de Servico:Ataques e Contramedidas. EmMinicursos do V Simposio Brasileiro de Seguranca daInformacao e de Sistemas Computacionais - SBSeg’2005, capıtulo 1, paginas 1–63.

Laufer, R. P., Velloso, P. B., de O. Cunha, D., Moraes, I. M., Bicudo, M. D. D., Moreira,M. D. D. e Duarte, O. C. M. B. (2007). Towards Stateless Single-Packet IP Traceback.Em IEEE Conference on Local Computer Networks, paginas 548–555.

Mahadevan, P., Krioukov, D., Fomenkov, M., Dimitropoulos, X., Claffy, K. C. e Vahdat,A. (2006). The Internet AS-level Topology: Three Data Sources and One DefinitiveMetric. ACM SIGCOMM Computer Communication Review, 36(1):17–26.

Moreira, M. D. D., Coutinho, G. L., Moraes, I. M., Laufer, R. P. e Duarte, O. C. M. B.(2006). RAT: Implementacao de um Servico de Rastreamento de Pacotes. EmXIWorkshop de Gerencia e Operacao de Redes e Servicos - WGRS’2006, Curitiba, PR,Brasil.

Moreira, M. D. D., Laufer, R. P., Fernandes, N. C. e Duarte, O. C. M. B. (2010a). UmaTecnica de Rastreamento sem Estado para Identificar a Origem de Ataques a Partir deumUnico Pacote. EmSimposio Brasileiro de Seguranca da Informacao e de SistemasComputacionais - SBSeg’2010, Fortaleza, CE, Brasil.

Moreira, M. D. D., Laufer, R. P., Velloso, P. B. e Duarte, O. C. M. B. (2007). UmaProposta de Marcacao de Pacotes para Ratreamento Robusto a Ataques. EmSimposioBrasileiro de Seguranca da Informacao e de Sistemas Computacionais - SBSeg’2007,Rio de Janeiro, RJ, Brasil.

Moreira, M. D. D., Laufer, R. P., Velloso, P. B. e Duarte, O. C. M. B. (2010b). A BloomFilter Robust to Attacks in Distributed Applications. A ser submetido paraIEEE Tran-sactions on Parallel and Distributed Systems.

Savage, S., Wetherall, D., Karlin, A. e Anderson, T. (2001). Network Support for IPTraceback.IEEE/ACM Transactions on Networking, 9(3):226–237.

Song, D. X. e Perrig, A. (2001). Advanced and Authenticated Marking Schemes for IPTraceback.IEEE International Conference on Computer Communications, 2:878–886.

Spiess, K. (2007). Worm ’Storm’ Gathers Strength. Neoseeker.http://www.neoseeker.com/news/7103-worm-storm-gathers-strength.


usando pontos de veriﬁcac¸ ao para˜ rastrear ataques de...

Documents