MEASURING DISTRIBUTED REFLECTED DENIAL-OF-SERVICE AMPLIFIED VOLUMETRIC ATTACK CAPACITY: Doctoral Thesis

Abstract

Mūsdienu internetā izkliedētiem pakalpojumatteices (DDoS) uzbrukumiem ir arvien lielāka nozīme. Tikmēr nav uzticamu aprēķinu par globālo DDoS uzbrukumu kapacitāti. Lai risinātu šo problēmu, tiek piedāvāta, definēta un realizēta DDoS uzbrukumu kapacitātes mērīšanas metodoloģija, kas koncentrējas uz individuālajiem atstarotājiem un to īpašībām, galvenokārt pieprasījumu ierobežošanu, amplifikāciju un datplūsmu. Ir sniegta detalizēta mērīto protokolu analīze un attiecīgi aprēķinātas uzbrukuma kapacitātes: NTP – 43 Gbps, DNS – 27,5 Tbps, SSDP – 808 Gbps, SNMP – 2,47 Tbps, CLDAP – 870 Gbps. Aprēķināts, ka globālā DDoS uzbrukuma kapacitāte analizētajiem protokoliem ir 31,33 Tbps. Tika piedāvāta virkne jaunu datu skatu un vizualizāciju, kuru pamatā ir mērījumu dati, lai veicinātu diskusiju par situācijas uzlabošanu. Atslēgvārdi: DDoS uzbrukumu kapacitāte, interneta mērīšana, izkliedētie pakalpojumatteices uzbrukumi.

In today’s Internet distributed denial-of-service (DDoS) attacks play an ever-increasing role. Meanwhile, there are no trustworthy estimates of the global DDoS attack capacity. To address this issue a novel methodology is proposed which defines and implements the DDoS attack capacity measurement methodology which focuses on the individual reflectors and their properties, primarily, rate limiting, amplification, and bandwidth. This thesis presents a detailed analysis of the measured protocols and the respective calculated attack capacities: NTP – 43 Gbps, DNS – 27.5 Tbps, SSDP – 808 Gbps, SNMP – 2.47 Tbps, CLDAP – 870 Gbps. The global DDoS attack capacity for the analyzed protocols was calculated to be 31.33 Tbps. A range of new data views and visualizations based on the measurement data were developed to stimulate remediation discussion. Keywords: DDoS attack capacity, Internet measurement, Distributed denial-of-service attacks.