Mitigating denial of service attacks in computer networks

 |  Login

Show simple item record

dc.contributor Aalto-yliopisto fi
dc.contributor Aalto University en
dc.contributor.author Mölsä, Jarmo
dc.date.accessioned 2012-02-17T07:44:27Z
dc.date.available 2012-02-17T07:44:27Z
dc.date.issued 2006-06-05
dc.identifier.isbn 951-22-8215-1
dc.identifier.issn 1795-4584
dc.identifier.uri https://aaltodoc.aalto.fi/handle/123456789/2708
dc.description.abstract This dissertation studies how to defend against denial of service (DoS) attacks in computer networks. As it is not possible to prevent these attacks, one must concentrate on mitigating them. A comprehensive approach for mitigating DoS attacks is presented here. This approach is based on understanding both attack and defense mechanisms, and selecting a cost-effective set of defenses using risk management. Defense mechanisms are, however, not available against all possible attack types. For example, organization-specific servers of the Domain Name System are typically not well-managed, and DoS attacks against these kinds of name servers can easily be successful. This dissertation describes and simulates a new defense mechanism for protecting these authoritative name servers. A new approach in implementing defenses is cross-layer security, in which information from different protocol layers is used in a coordinated fashion instead of separating layers strictly. Two cross-layer designs are presented here for mitigating range attacks in ad hoc networks. The range attack is a new DoS attack where an attacker modifies the transmission range of a wireless node periodically. This overloads an ad-hoc routing protocol. The simulation results indicate the usefulness of cross-layering in mitigating the range attack. Resilience of different ad-hoc routing protocols against the range attack is also analyzed here. According to the simulation results this resilience is situation dependent. Depending on the quality of service requirements of the primary application, different ad-hoc routing protocols are resistant against the range attack. Game theory is used here to study the selection of defense strategies. The analysis shows that it can be beneficial to use different defense strategies randomly, one at a time. The game theoretic approach points out a possibility for using meta-strategies where an attacker can force a victim to perceive the benefits and weaknesses of a defense mechanism in an unrealistic way. Evaluations of existing defense mechanisms are typically carried out under ideal conditions or relevant risks are completely ignored. This dissertation presents a taxonomy of criteria for evaluating defense mechanisms against DoS attacks. This taxonomy gives a list of issues to be considered during an evaluation process. The effectiveness of rate limiting is evaluated here with special attention paid to the damage on legitimate traffic. en
dc.description.abstract Tämä väitöskirja tutkii suojautumista tietokoneverkoissa tapahtuvilta palvelunestohyökkäyksiltä. Palvelunestohyökkäysten tavoitteena on joko estää palvelun käytettävyys siihen oikeutetuilta käyttäjiltä tai viivästää aikakriittisiä toimintoja. Palvelunestohyökkäykset tietokoneverkoissa perustuvat yleensä kohteen ylikuormittamiseen valtavalla määrällä tarpeetonta verkkoliikennettä. Toinen vaihtoehto palvelunestoon on väärinkäyttää ohjelmistoissa, protokollissa tai järjestelmissä olevia virheitä. Tässä työssä kuvataan ja analysoidaan uusia suojausmenetelmiä palvelunestohyökkäysten vaikutusten lieventämiseksi, tutkitaan vaihtoehtoisten suojausmenetelmien valintaan liittyviä tekijöitä ja esitetään uusi joukko kriteereitä suojausmenetelmien käyttökelpoisuuden arvioimiseksi. Palvelunestohyökkäyksiltä suojautumiselle esitetään tässä työssä kokonaisvaltainen lähestymistapa, joka korostaa sekä erilaisten hyökkäys- ja suojautumismenetelmien tuntemusta että kustannustehokkaan suojausmenetelmäjoukon valitsemista. Monia palvelunestohyökkäyksiä vastaan ei kuitenkaan ole saatavilla suojausmenetelmiä. Tässä työssä on kuvattu uusia menetelmiä suojata sekä Internetin nimipalvelua tulvintaan perustuvalta palvelunestohyökkäykseltä että langattomia ad hoc verkkoja uudelta signaalin kantaman vaihteluun perustuvalta hyökkäykseltä. Väitöskirja tuo esille eri suojausmenetelmien mahdollisen tilanneriippuvaisuuden. Yksittäisen suojausmenetelmän tehokkuus ja käyttökelpoisuus voi riippua verkossa käytettävien sovellusten vaatimuksista. Myös peliteoriaa sovelletaan vaihtoehtoisten suojautumisstrategioiden valintaan. Työssä esitetään joukko kriteereitä, jotka tulisi huomioida eri suojausmenetelmien käyttökelpoisuutta arvioitaessa. Arvioinnissa on huomioitava mm. väärien hälytysten aiheuttamia haittoja laillisille käyttäjille, suojausmenetelmistä aiheutuvia suorituskykyhaittoja ja mahdollisia väärinkäyttömahdollisuuksia. Lopuksi tässä työssä arvioidaan kaistanrajoituksen käyttökelpoisuutta tulvintaan perustuvien palvelunestohyökkäysten torjunnassa. fi
dc.format.extent 125, [81]
dc.format.mimetype application/pdf
dc.language.iso en en
dc.publisher Helsinki University of Technology en
dc.publisher Teknillinen korkeakoulu fi
dc.relation.ispartofseries TKK dissertations en
dc.relation.ispartofseries 32 en
dc.relation.haspart Jarmo Mölsä, Mitigating denial of service attacks: A tutorial, Journal of Computer Security, vol. 13, no. 6, pp. 807-837, 2005. [article1.pdf] © 2005 IOS Press. By permission.
dc.relation.haspart Jarmo Mölsä, Mitigating DoS attacks against the DNS with dynamic TTL values, in Proceedings of the Ninth Nordic Workshop on Secure IT Systems, Espoo, Finland, Nov. 2004, pp. 118-124. [article2.pdf] © 2004 by author.
dc.relation.haspart Jarmo Mölsä, Cross-layer designs for mitigating range attacks in ad hoc networks, in Proceedings of the IASTED International Conference on Parallel and Distributed Computing and Networks, Innsbruck, Austria, Feb. 2006, pp. 64-69. [article3.pdf] © 2006 International Association of Science and Technology for Development (IASTED). By permission.
dc.relation.haspart Jarmo Mölsä, Increasing the DoS attack resiliency in military ad hoc networks, in Proceedings of the 2005 IEEE Military Communications Conference (MILCOM 2005), Atlantic City, New Jersey, USA, Oct. 2005. [article4.pdf] © 2005 IEEE. By permission.
dc.relation.haspart Jarmo Mölsä, A taxonomy of criteria for evaluating defence mechanisms against flooding DoS attacks, in Proceedings of the First European Conference on Computer Network Defence, Pontypridd, Wales, UK, Dec. 2005, pp. 13-22. [article5.pdf] © 2005 Springer Science+Business Media. By permission.
dc.relation.haspart Jarmo Mölsä, Effectiveness of rate-limiting in mitigating flooding DoS attacks, in Proceedings of the Third IASTED International Conference on Communications, Internet, and Information Technology, St. Thomas, US Virgin Islands, USA, Nov. 2004, pp. 155-160. [article6.pdf] © 2004 International Association of Science and Technology for Development (IASTED). By permission.
dc.relation.haspart Jorma Jormakka and Jarmo Mölsä, Modelling information warfare as a game, Journal of Information Warfare, vol. 4, no. 2, pp. 12-25, Sept. 2005. [article7.pdf] © 2005 by authors.
dc.subject.other Electrical engineering en
dc.title Mitigating denial of service attacks in computer networks en
dc.title Suojautuminen palvelunestohyökkäyksiltä tietokoneverkoissa fi
dc.type G5 Artikkeliväitöskirja fi
dc.description.version reviewed en
dc.contributor.department Department of Electrical and Communications Engineering en
dc.contributor.department Sähkö- ja tietoliikennetekniikan osasto fi
dc.subject.keyword network security en
dc.subject.keyword denial of service attacks en
dc.subject.keyword attack mechanisms en
dc.subject.keyword defense mechanisms en
dc.subject.keyword tietoverkkoturvallisuus fi
dc.subject.keyword palvelunestohyökkäykset fi
dc.subject.keyword hyökkäysmekanismit fi
dc.subject.keyword suojausmekanismit fi
dc.identifier.urn urn:nbn:fi:tkk-006950
dc.type.dcmitype text en
dc.programme.major Network security en
dc.programme.major Tietoverkkoturvallisuus fi
dc.type.ontasot Väitöskirja (artikkeli) fi
dc.type.ontasot Doctoral dissertation (article-based) en
dc.contributor.lab Laboratory of Communications Engineering en
dc.contributor.lab Tietoliikennetekniikan laboratorio fi


Files in this item

This item appears in the following Collection(s)

Show simple item record

Search archive


Advanced Search

article-iconSubmit a publication

Browse

My Account