Ανίχνευση και πρόληψη επιθέσεων άρνησης εξυπηρέτησης στα πρωτόκολλα SIP και SDP

Abstract

VoIP services in general, and Session Initiation Protocol(SIP) ones in particular, continue to grow at a fast pace and have already become a key component of Next Generation Networks (NGN). Despite this proliferation, SIP-based services expose a large attack surface which make them prone to a plethora of attacks. Among them, Denial of Service (DoS) is perhaps the most powerful and devastating one, as it aims to drain the underlying resources of a service and make it inaccessible to its legitimate users. So far, various detection and/or prevention schemes have been proposed to detect, deter, and eliminate DoS occurrences in SIP ecosystems. It is true that while this topic has been addressed in the literature to a great extent, none of the so far proposed works seems to be complete in assessing in both realtime and offline modes if a system remains free of such types of attacks. Additionally, only a handful of works examine the potential of Machine Learning (ML) techniques to detect DoS in SIP-based networks, and even fewer do so in realtime. Additionally, the current attack detection and prevention schemes focus almost completely on the SIP headers neglecting the message body. An additional significant gap of the literature of this topic is the examination of the potential of communicating hidden information in SIP using the message body. The latter can be applied either with respect to covert channels, or malformed messages. That is, while a significant mass of works in the literature cope with covert communication channels, only a very limited number of them rely on SDP to realize its goals.The major contribution of this PhD thesis is focused on the design and implementation of an Intrusion Detection System (IDS) framework, with the aim to battle against DDoS attacks in SIP. This contribution is met with the design and development of a framework which analyzes audit trails. Such network trails are considered a rich source of information toward flushing out DoS incidents, and evaluating the security level of the system of interest. Specifically, we introduce an end-user privacy-friendly service to assess whether or not a SIP service provider suffers a DoS by examining either the recorded audit trails (in a forensic-like manner) or the realtime traffic. To do so, we employ 2 statistical methods namely Entropy and Hellinger distance. A second contribution of this thesis revolves around the assessment of the potential of 5 different ML-driven techniques in combating SIP-driven Distributed Denial of Service (DDoS) Attacks. In our analysis, we take into account both high and low-rate Distributed DDoS when assessing the efficacy of ML techniques in SIP intrusion detection. Additionally, we employ this type of solutions both in an offline and realtime fashion. In the context of this analysis, and for DDoS attacks, we compare our results with those produced by the two aforementioned statistical and anomaly-based detection methods, namely Entropy and Hellinger distance. The last contribution of this PhD thesis pertains to the exploitation of Session Description Protocol (SDP) as an attack vector. As already mentioned, while so far several works in the literature have been devoted to the detection of DoS attacks in SIP ecosystems, the focus is on those which exploit SIP headers neglecting the message body. In this respect, in the context of this PhD thesis we examine the following two categories of attacks (a) those that exploit SDP information residing in SIP requests, with the aim to hide data in plain sight, and (b) those which capitalize on SDP to mount malformed message attacks with the purpose of causing DoS either to the SIP proxy or the end-users. More precisely, with respect to the first type of attack, the PhD thesis at hand demonstrates and evaluates the feasibility of a simple but very effective in terms of stealthiness and simplicity SDP-based covert channel for botnet Command and Control (C&C). To this end, we do not only scrutinize this ilk of attacks and demonstrate their effect against the end-user, but also develop an open source extensible SDP parser module capable of detecting intentionally or unintentionally crafted SDP segments parasitizing in SIP requests. Following a firewall-based logic, currently, the parser incorporates 100 different rules organized in 4 categories (policies) based on RFC 4566.

Οι πολυμεσικές υπηρεσίες που παρέχονται μέσω του Διαδικτύου, και συγκεκριμένα αυτές που αξιοποιούν το πρωτόκολλο SIP για τη διαχείριση της σηματοδοσίας, συνεχίζουν να αναπτύσσονται ραγδαία. Επιπρόσθετα, οι εν λόγω υπηρεσίες αποτελούν ένα από τα βασικά δομικά στοιχεία των δικτύων ύστερων γενεών (5G). Ανεξαρτήτως του ρυθμού ανάπτυξης τους, οι πολυμεσικές υπηρεσίες που αξιοποιούν το SIP παρουσιάζουν μια ευρεία επιφάνεια ευπαθειών, καθιστώντας τις αντίστοιχες υπηρεσίες επιρρεπείς σε ένα μεγάλο σύνολο επιθέσεων. Μεταξύ αυτών, οι επιθέσεις άρνησης εξυπηρέτησης ανήκουν στην κατηγορία ισχυρότερων και καταστρεπτικότερων, καθώς στοχεύουν στην κατανάλωση των πόρων των εμπλεκομένων συστημάτων και δικτύων, με σκοπό να τα παραλύσουν και να προκαλέσουν δυσαρέσκεια στον τελικό χρήστη. Μέχρι στιγμής, η βιβλιογραφία στο συγκεκριμένο ερευνητικό πεδίο εμφανίζει ένα σημαντικό πλήθος εργασιών με σκοπό την ανίχνευση, την αποτροπή και την ελαχιστοποίηση των επιπτώσεων των επιθέσεων άρνησης εξυπηρέτησης. Συνολικά, αν και η συγκεκριμένη περιοχή έχει μελετηθεί εκτενώς στη βιβλιογραφία, φαίνεται να υπάρχει ένα σημαντικό κενό αναφορικά με την αποτίμηση των μεθόδων ή/και πλαισίων ασφαλείας, και την αξιολόγηση τους, όταν αυτά λειτουργούν τόσο σε πραγματικό, όσο και σε μη πραγματικό χρόνο. Επιπρόσθετα, μόνο ένα μικρό σύνολο των εν λόγω εργασιών ασχολείται με την εφαρμογή τεχνικών μηχανικής μάθησης για την ανίχνευση περιστατικών άρνησης εξυπηρέτησης σε περιβάλλοντα SIP. Τέλος, ενώ το μεγαλύτερο μέρος της σχετικής βιβλιογραφίας ασχολείται με τις επιθέσεις άρνησης εξυπηρέτησης που έχουν ώς φορέα τις κεφαλίδες των μηνυμάτων SIP, ελάχιστες εξετάζουν το κυρίως σώμα του μηνύματος. Επιπλέον, ενώ μέχρι τώρα ένας σημαντικός όγκος των σχετικών εργασιών στην παρούσα ερευνητική περιοχή ασχολούνται με επιθέσεις στο πρωτόκολλο SIP, ελάχιστες από αυτές ασχολούνται με τη δημιουργία συγκεκαλυμμένων καναλιών, και καμία με την αξιοποίηση του πρωτοκόλλου SDP ως φορέα αυτών. Η σημαντικότερη συνεισφορά της παρούσας διατριβής αφορά στην ανάπτυξη και το σχεδιασμό ενός συστήματος ανίχνευσης εισβολών, με σκοπό την καταπολέμηση κατανεμημένων επιθέσεων άρνησης εξυπηρέτησης στο SIP. Ο στόχος αυτός, εκπληρώνεται με το σχεδιασμό και την ανάπτυξη μηχανισμών ανίχνευσης εισβολών που βασίζονται στην ανάλυση αρχείων λογιστικών καταγραφών του δικτύου στο επίπεδο εφαρμογής. Τα αρχεία αυτά θεωρούνται μια πλούσια πηγή πληροφορίας αναφορικά με την ανίνευση περιστατικών άρνησης εξυπηρέτησης, καθώς και για την γενικότερη αξιολόγηση του επιπέδου ασφαλείας ενός συστήματος. Συγκεκριμένα, σχεδιάζουμε, υλοποιούμε και αξιολογούμε μια υπηρεσία ανίχνευσης εισβολών που επιπλέον διατηρεί την ιδιωτικότητα του τελικού χρήστη με γνώμονα την ιδιωτικότητα, για την αξιολόγηση επιθέσεων άρνησης εξυπηρέτησηςη ενός παρόχου υπηρεσιών VoIP, είτε εξετάζοντας αρχεία λογιστικών καταγραφών, ή εξετάζοντας τη δικτυακή κίνηση σε πραγματικό χρόνο. Για να επιτευχθεί αυτό, αξιοποιούμε δύο στατιστικές μεθόδους που βασιζονται στην εντροπία και την απόσταση Hellinger. Μια δεύτερη συνεισφορά της παρούσας διατριβής επικεντρώνεται στην αξιολόγηση της εφαρμογής πέντε διαφορετικών τεχνικών μηχανικής μάθησης, με σκοπό την καταπολέμηση των επιθέσεων κατανεμημένης άρνησης εξυπηρέτησης. Στην αξιολόγηση των μεθόδων μας λαμβάνουμε υπόψη επιθέσεις τόσο υψηλού όσο και χαμηλού όγκου δεδομένων και ρυθμών μετάδοσης μηνυμάτων. Επιπρόσθετα, στο πλαίσιο της ανάλυσης μας, και για την περίπτωση των κατανεμημένων επιθέσεων άρνησης εξυπηρέτησης, συγκρίνουμε τις επιδόσεις του συστήματος με αυτές που παρήχθησαν κατά την εφαρμογή των στατιστικών μεθόδων, δηλαδή της εντροπίας και της απόστασης Hellinger. Υπό αυτό το πρίσμα, εξετάζουμε τις ακόλουθες δύο βασικές κατηγορίες επιθέσεων (α) αυτές που χρησιμοποιούν το πρωτόκολλο SDP - το οποίο αξιοποιείται από το SIP - ως φορέα προκειμένου να μεταφέρουν κρυφή πληροφορία, και (β) αυτές που αξιοποιούν συγκεκριμένα τμήματα ενός μηνύματος SDP με σκοπό να προκαλέσουν άρνηση εξυπηρέτησης στα εμπλεκόμενα συστήματα ή/και στον χρήστη της υπηρεσίας. Ως παράδειγμα του πρώτου τύπου επιθέσεων παρουσιάζουμε και αξιολογούμε τη λειτουργία ενός απλού αλλά ιδιαίτερα αποτελεσματικού κρυφού καναλιού επικοινωνίας, το οποίο βασίζεται αποκλειστικά στο πρωτόκολλο SDP, για την επικοινωνία μολυσμένων συσκευών (ρομπότ) μεταξύ τους ή με τον διακομιστή εντολών (C&C). Σε αυτό το πλαίσιο, όχι μόνο εξερευνούμε αυτή την κατηγορία επιθέσεων, αλλά επίσης καταδεικνύουμε την επίδραση τους στον τελικό χρήστη. Επιπρόσθετα, υλοποιούμε ένα επεκτάσιμο άρθρωμα ανοιχτού λογισμικού, ικανό να ανιχνεύει εκούσια ή ακούσια αλλοιωμένα μηνύματα SDP, τα οποία παρασιτούν στα μηνύματα SIP. Ακολουθώντας μια λογική παρόμοια με αυτή ενός αναχώματος ασφαλείας, το εν λόγω άρθρωμα λογισμικού μέχρι στιγμής ενσωματώνει 100 διαφορετικούς κανόνες, οργανωμένους σε 4 κατηγορίες (πολιτικές) σύμφωνα με το RFC 4566.