Эффективный механизм выявления и противодействия ARP-спуфинг атакам в программно-определяемых сетях

Дарвиш Г., Воробьева А.А., Коржук В.М. Эффективный механизм выявления и противодействия ARP-спуфинг атакам в программно-определяемых сетях // Научно-технический вестник информационных технологий, механики и оптики. 2021. Т. 21, № 3. С. 401–409 (на англ. яз.). doi: 10.17586/2226-1494-2021-21-3-401-409

Предмет исследования. В работе рассмотрены вопросы обеспечения безопасности программно-определяемых сетей. Архитектура таких сетей имеет централизованный характер и обеспечение защиты циркулирующей в них информации затруднено. Многие классические атаки, например, атака с подменой ARP, остаются актуальными для программно-определяемых сетей несмотря на существование различных алгоритмов, методов и систем защиты. Метод. Предложен новый подход к защите SDN от атаки подмены (отравления) ARP. Решение заключается в расширении функционала контроллера за счет дополнительного модуля, который на основании нового алгоритма и анализа состояний хостов позволяет обнаружить атаки с подменой ARP и ослабить их влияние на сеть. Особенность предлагаемого механизма – совместное использование протокола DHCP, ручного назначения IP-адресов и классификации хостов сети на три класса в соответствии с их состоянием в сети. CHT помогает перевести хост в промежуточное между проверкой и блокировкой состояние и обнаружить атаку в соответствии со следующим шагом хоста. Основные результаты. Предложенный механизм успешно протестирован в смоделированной среде с использованием Mininet и контроллера POX. На основании выполненных экспериментов сделан вывод об эффективности предложенного решения для поставленной цели и соответствии условию ограниченности ресурсов сети. Практическая значимость. Достоинствами предложенного решения являются отсутствие дополнительной нагрузки сети и необходимость внесения изменений в инфраструктуру сети или установки дополнительного оборудования. Согласно результатам экспериментов показано, что среднее время обнаружения атаки ARP-спуфинга на основании предложенного механизма составляет около 11 мс и не повышает значительно нагрузку на центральный процессор контроллера.

1. Kreutz D., Ramos F.M.V., Verissimo P.E., Rothenberg C.E., Azodolmolky S., Uhlig S. Software-defined networking: A comprehensive survey // Proceedings of the IEEE. 2015. V. 103. N 1. P. 14–76. doi: 10.1109/JPROC.2014.2371999

2. Dhawan M., Poddar R., Mahajan K., Mann V.  SPHINX: Detecting security attacks in software-defined networks // Proc. 2015 Network and Distributed System Security Symposium. 2015. P. 8–11. doi: 10.14722/ndss.2015.23064

3. Hong S., Xu L., Wang H., Gu G. Poisoning network visibility in software-defined networks: New attacks and countermeasures // Proc. 2015 Network and Distributed System Security Symposium. 2015. doi: 10.14722/ndss.2015.23283

4. Feamster N., Rexford J., Zegura E. The Road to SDN: An intellectual history of programmable networks // Queue. 2013. V. 11. N 12. P. 2560327. doi: 10.1145/2559899.2560327

5. Nathan A.J. Scobell A. How China sees America: The Sum of Beijing's Fears // Foreign Affairs. 2012. V. 91. N 5. P. 32–47.

6. Droms R. RFC 2131 - Dynamic Host Configuration Protocol. 1997 [Электронный ресурс]. URL: https://tools.ietf.org/html/rfc2131 (дата обращения: 04.11.2020).

7. Plummer D. An Ethernet Address Resolution Protocol: Or Converting Network Protocol Addresses to 48.bit Ethernet Address for Transmission on Ethernet Hardware. doi: 10.17487/RFC0826

8. Nehra A., Tripathi M., Gaur M.S. FICUR: Employing SDN programmability to secure ARP // Proc. 7th IEEE Annual Computing and Communication Workshop and Conference (CCWC). 2017. P. 7868450. doi: 10.1109/CCWC.2017.7868450

9. Alharbi T., Durando D., Pakzad F., Portmann M. Securing ARP in Software Defined Networks // Proc. 41st IEEE Conference on Local Computer Networks (LCN). 2016. P. 523–526. doi: 10.1109/LCN.2016.83

10. Jehan N. Haneef A.M. Scalable Ethernet Architecture using SDN by Suppressing broadcast traffic // Proc. 5th International Conference on Advances in Computing and Communications (ICACC). 2015. P. 24–27. doi:  

11. De Oliveira R., Shinoda A., Schweitzer C., Iope R., Prete L. L3-ARPSec – A Secure Openflow Network Controller Module to control and protect the Address Resolution Protocol // Proc. XXXIII Simpósio Brasileiro de Telecomunicações. 2015. P. 1–4. doi: 10.14209/sbrt.2015.29

12. Jero S., Koch W., Skowyra R., Okhravi H., Nita-Rotaru C., Bigelow D. Identifier binding attacks and defenses in software-defined networks // Proc. 26th USENIX Security Symposium. 2017. P. 415–432.

13. Balagopal D., Rani X.A.K. NetWatch: Empowering software-defined network switches for packet filtering // Proc. 1st International Conference on Applied and Theoretical Computing and Communication Technology (iCATccT). 2015. P. 837–840. doi: 10.1109/ICATCCT.2015.7456999

14. Cox J.H., Clark R.J., Owen H.L. Leveraging SDN for ARP security // Proc. IEEE SoutheastCon 2016. 2016. P. 7506644. doi: 10.1109/SECON.2016.7506644

15. Shah Z., Cosgrove S. Mitigating ARP Cache Poisoning attack in Software-Defined Networking (SDN): A survey // Electronics. 2019. V. 8. N 10. P. 1095. doi: 10.3390/electronics8101095

16. Bruschi D., Ornaghi A., Rosti E. S-ARP: A secure address resolution protocol // Proc. 19th Annual Computer Security Applications Conference (ACSAC). 2003. P. 66–74. doi: 10.1109/CSAC.2003.1254311

17. Hou X., Jiang Z., Tian X. The detection and prevention for ARP Spoofing based on Snort // Proc. 2010 International Conference on Computer Application and System Modeling (ICCASM). 2010. P. V5137–V5139. doi: 10.1109/ICCASM.2010.5619113

18. Ortega A.P., Marcos X.E., Chiang L.D., Abad C.L. Preventing ARP cache poisoning attacks: A proof of concept using OpenWrt // Proc. 6th IEEE/IFIP Latin American Network Operations and Management Symposium (LANOMS). 2009. P. 5338799. doi: 10.1109/LANOMS.2009.5338799

This work is licensed under a Creative Commons Attribution-NonCommercial 4.0 International License