Erkennung und Unterbindung der DDoS-Teilnahme in Heimroutern: Analyse und Implementierung von Erkennungsmechanismen

Heinrich, Lukas

22 December 2023

DDoS-Angriffe und die für diese genutzten Botnetze werden u. a. durch die zunehmende Verbreitung von IoT-Geräten stetig größer. Aufgrund der Vorteile einer frühzeitigen Unterbindung solcher Angriffe ist eine effektive Erkennung der DDoS-Teilnahme in Heimroutern sinnvoll. Diese Arbeit analysiert aktuell verbreitete DDoS-Angriffstypen und entwickelt sowie sammelt verschiedene Erkennungsmechanismen aus der Literatur. Mithilfe ausführlicher Untersuchungen und Tests bezüglich Filterverhalten und Ressourcenbedarf der Erkennungsmechanismen konnten DDoS-Angriffstypen identifiziert werden, welche effektiv im Heimrouter erkannt und unterbunden werden können.:1 Einleitung 1.1 Problemstellung 1.2 Zielstellung 2 Verbreitetste DDoS-Angriffstypen 2.1 Source IP Spoofing 2.2 Reflection/Amplification 2.2.1 SSDP 2.2.2 WS Discovery 2.2.3 QUIC-Reflection 2.3 TCP-Floods 2.3.1 SYN-Flood 2.3.2 RST- und FIN-Flood 2.3.3 SYN-ACK-Flood 2.3.4 ACK-Flood 2.4 UDP-Flood 2.5 Direkte Application-Layer-Angriffe 2.6 Übersicht 3 Erkennung 3.1 Source IP Spoofing 3.2 SSDP & WS Discovery 3.3 TCP 3.3.1 SYN-Flood 3.3.2 RST- und FIN-Flood 3.3.3 SYN-ACK-Flood 3.3.4 ACK-Flood 3.4 UDP 3.5 Allgemeine Erkennung 3.5.1 MULTOPS 3.5.2 TOPS 3.5.3 D-WARD 4 Implementierung 4.1 Source IP Spoofing 4.2 SSDP & WS Discovery 4.3 TCP (ohne SYN) 4.4 SYN-Flood 4.4.1 SYN Paketratenlimitierung 4.4.2 SYN Proxy 5 Untersuchung 5.1 Tests 5.1.1 Implementierungskomplexität 5.1.2 Speicher- und Rechenkapazitätsbedarf 5.1.3 Filterverhalten 5.2 Andere Erkennungsmethoden 5.2.1 Implementierungskomplexität 5.2.2 Speicher- und Rechenkapazitätsbedarf 5.2.3 Filterverhalten 5.3 Diskussion 6 Fazit & Ausblick Literaturverzeichnis Abbildungsverzeichnis Tabellenverzeichnis / DDoS attacks and the botnets used for them are constantly growing due to the increasing spread of IoT devices, among other things. Due to the advantages of stopping such attacks at an early stage, effective detection of DDoS participation in home routers makes sense. This thesis analyses currently widespread DDoS attack types and develops and collects various detection mechanisms from the literature. With the help of detailed investigations and tests regarding filter behaviour and resource requirements of the detections mechanisms, DDoS attack types were identified that can be effectively detected and prevented in the home router.:1 Einleitung 1.1 Problemstellung 1.2 Zielstellung 2 Verbreitetste DDoS-Angriffstypen 2.1 Source IP Spoofing 2.2 Reflection/Amplification 2.2.1 SSDP 2.2.2 WS Discovery 2.2.3 QUIC-Reflection 2.3 TCP-Floods 2.3.1 SYN-Flood 2.3.2 RST- und FIN-Flood 2.3.3 SYN-ACK-Flood 2.3.4 ACK-Flood 2.4 UDP-Flood 2.5 Direkte Application-Layer-Angriffe 2.6 Übersicht 3 Erkennung 3.1 Source IP Spoofing 3.2 SSDP & WS Discovery 3.3 TCP 3.3.1 SYN-Flood 3.3.2 RST- und FIN-Flood 3.3.3 SYN-ACK-Flood 3.3.4 ACK-Flood 3.4 UDP 3.5 Allgemeine Erkennung 3.5.1 MULTOPS 3.5.2 TOPS 3.5.3 D-WARD 4 Implementierung 4.1 Source IP Spoofing 4.2 SSDP & WS Discovery 4.3 TCP (ohne SYN) 4.4 SYN-Flood 4.4.1 SYN Paketratenlimitierung 4.4.2 SYN Proxy 5 Untersuchung 5.1 Tests 5.1.1 Implementierungskomplexität 5.1.2 Speicher- und Rechenkapazitätsbedarf 5.1.3 Filterverhalten 5.2 Andere Erkennungsmethoden 5.2.1 Implementierungskomplexität 5.2.2 Speicher- und Rechenkapazitätsbedarf 5.2.3 Filterverhalten 5.3 Diskussion 6 Fazit & Ausblick Literaturverzeichnis Abbildungsverzeichnis Tabellenverzeichnis