A multifold approach to address the security issues of stateful forwarding mechanisms in Information-Centric Networks / Une approche multidimensionnelle pour aborder les problèmes de sécurité des mécanismes d'acheminement à états dans les réseaux orientés contenus

Signorello, Salvatore

21 June 2018

Ce travail illustre comment les tendances actuelles d'utilisation dominantes sur Internet motivent la recherche sur des architectures futures de réseau plus orientées vers le contenu. Parmi les architectures émergentes pour l'Internet du futur, le paradigme du Information-Centric Networking (ICN) est présenté. ICN vise à redéfinir les protocoles de base d'Internet afin d'y introduire un changement sémantique des hôtes vers les contenus. Parmi les architectures ICN, le Named-Data Networking (NDN) prévoit que les demandes nommées de contenus des utilisateurs soient transmises par leur nom dans les routeurs le long du chemin d'un consommateur à une ou plusieurs sources de contenus. Ces demandes de contenus laissent des traces dans les routeurs traversés qui sont ensuite suivis par les paquets de contenus demandés. La table d'intérêt en attente (PIT) est le composant du plan de données de l'NDN qui enregistre temporairement les demandes de contenus acheminés dans les routeurs. D'une part, ce travail explique que le mécanisme d'acheminement à états de la PIT permet des propriétés comme l'agrégation de requêtes, le multicast de réponses et le contrôle natif de flux hop-by-hop. D'autre part, ce travail illustre comment l'acheminement à états de la PIT peut facilement être mal utilisé par des attaquants pour monter des attaques de déni de service distribué (DDoS) disruptives, appelées Interest Flooding Attacks (IFAs). Dans les IFAs, des botnets vaguement coordonnés peuvent inonder le réseau d'une grande quantité de demandes difficiles à satisfaire dans le but de surcharger soit l'infrastructure du réseau soit les producteurs de contenus. Ce travail de thèse prouve que bien que des contre-mesures contre les IFAs aient été proposées, il manque une compréhension complète de leur efficacité réelle puisque celles-ci ont été testées sous des hypothèses simplistes sur les scénarios d'évaluation. Dans l'ensemble, le travail présenté dans ce manuscrit permet de mieux comprendre les implications des IFAs et les opportunités d'améliorer les mécanismes de défense existants contre ces attaques. Les principales contributions de ce travail de thèse tournent autour d'une analyse de sécurité du plan d'acheminement dans l'architecture NDN. En particulier, ce travail définit un modèle d'attaquant plus robuste pour les IFAs à travers l'identification des failles dans les contre-mesures IFA existantes. Ce travail introduit un nouvel ensemble d'IFAs basé sur le modèle d'attaquant proposé. Les nouveaux IFAs sont utilisés pour réévaluer les plus efficaces contre-mesures IFA existantes. Les résultats de cette évaluation réfutent l'efficacité universelle des mécanismes de défense existants contre l'IFA et, par conséquent, appellent à différentes contre-mesures pour protéger le NDN contre cette menace de sécurité. Pour surmonter le problème révélé, ce travail définit également des contre-mesures proactives contre l'IFA, qui sont de nouveaux mécanismes de défense contre les IFA inspirés par les problèmes rencontrés dans l'état de l'art. Ce travail présente Charon, une nouvelle contre-mesure proactive contre l'IFA, et la teste contre les nouvelles IFAs. Ce travail montre que Charon est plus efficace que les contre-mesures IFA réactives existantes. Enfin, ce travail illustre la conception NDN.p4, c'est-à-dire la première implémentation d'un protocole ICN écrit dans le langage de haut niveau pour les processeurs de paquets P4. Le travail NDN.p4 est la première tentative dans la littérature visant à tirer parti des nouveaux techniques de réseaux programmables pour tester et évaluer différentes conceptions de plan de données NDN. Cette dernière contribution classe également les mécanismes alternatifs d'acheminement par rapport à un ensemble de propriétés cardinales de la PIT. Le travail souligne qu'il vaut la peine d'explorer d'autres mécanismes d'acheminement visant à concevoir un plan de données NDN moins vulnérable à la menace IFA / This work illustrates how today's Internet dominant usage trends motivate research on more content-oriented future network architectures. Among the emerging future Internet proposals, the promising Information-Centric Networking (ICN) research paradigm is presented. ICN aims to redesign Internet's core protocols to promote a shift in focus from hosts to contents. Among the ICN architectures, the Named-Data Networking (NDN) envisions users' named content requests to be forwarded by their names in routers along the path from one consumer to 1-or-many sources. NDN's requests leave trails in traversed routers which are then followed backwards by the requested contents. The Pending Interest Table (PIT) is the NDN's data-plane component which temporarily records forwarded content requests in routers. On one hand, this work explains that the PIT stateful mechanism enables properties like requests aggregation, multicast responses delivery and native hop-by-hop control flow. On the other hand, this work illustrates how the PIT stateful forwarding behavior can be easily abused by malicious users to mount disruptive distributed denial of service attacks (DDoS), named Interest Flooding Attacks (IFAs). In IFAs, loosely coordinated botnets can flood the network with a large amount of hard to satisfy requests with the aim to overload both the network infrastructure and the content producers. This work proves that although countermeasures against IFAs have been proposed, a fair understanding of their real efficacy is missing since those have been tested under simplistic assumptions about the evaluation scenarios. Overall, the work presented in this manuscript shapes a better understanding of both the implications of IFAs and the possibilities of improving the state-of-the-art defense mechanisms against these attacks. The main contributions of this work revolves around a security analysis of the NDN's forwarding plane. In particular, this work defines a more robust attacker model for IFAs by identifying flaws in the state-of-the-art IFA countermeasures. This work introduces a new set of IFAs built upon the proposed attacker model. The novel IFAs are used to re-assess the most effective existing IFA countermeasures. Results of this evaluation disproves the universal efficacy of the state-of-the-art IFA defense mechanisms and so, call for different countermeasures to protect the NDN against this threat. To overcome the revealed issue, this work also defines proactive IFA countermeasures, which are novel defense mechanisms against IFAs inspired by the issues with the state-of-the-art ones. This work introduces Charon, a novel proactive IFA countermeasure, and tests it against the novel IFA attacks. This work shows Charon counteracts latest stealthy IFAs better than the state-of-the-art reactive countermeasures. Finally, this work illustrates the NDN.p4 design, that is, the first implementation of an ICN protocol written in the high-level language for packet processors P4. The NDN.p4 work is the first attempt in the related literature to leverage novel programmable-networks technologies to test and evaluate different NDN forwarding plane designs. This last contribution also classifies existing alternative forwarding mechanisms with respect to a set of PIT cardinal properties. The work outlines that it is worth to explore alternative forwarding mechanisms aiming to design an NDN forwarding plane less vulnerable to the IFA threat

Information-Centric Networking

Named-Data Networking

Securité

Déni de service

Attaque par saturation de réseau

Information-Centric Networking

Named-Data Networking

Security

Denial of Service

Interest Flooding Attack

005.8

How do networks evolve over time?

Redwood, Michael

January 2013

Hides and skins have been a resource that has created a wide range of activities such as clothing and footwear of all types, saddlery and riding equipment, travel goods and upholstery were amongst many industries using leather. This dissertation uses historical documentation to investigate the interactions of a small UK company working mostly in the USA that had a pivotal role in the transformation of the network surrounding the production, distribution and use of leather in the late 19th century. As an extended historical analysis it offers a particularly wide perspective on the complex and continuing network outcomes of that networking and the innovations to which it leads. This historical research location also provides an opportunity to examine innovation within the context of network evolution over many decades.

658.5

Exploring Host-based Software Defined Networking and its Applications

MacFarland, Douglas C.

30 April 2015

Network operators need detailed understanding of their networks in order to ensure functionality and to mitigate security risks. Unfortunately, legacy networks are poorly suited to providing this understanding. While the software-defined networking paradigm has the potential to, existing switch-based implementations are unable to scale sufficiently to provide information in a fine-grained. Furthermore, as switches are inherently blind to the inner workings of hosts, significantly hindering an operator's ability to understand the true context behind network traffic. In this work, we explore a host-based software-defined networking implementation. We evaluation our implementation, showing that it is able to scale beyond the capabilities of a switch-based implementation. Furthermore, we discuss various detailed network policies that network operators can write and enforce which are impossible in a switch-based implementation. We also implement and discuss an anti-reconnaissance system that can be deployed without any additional components.

host agents

anti-reconnaissance

software defined networking

Improving network extensibility and scalability through SDN

Rotsos, Charalampos

January 2015

No description available.

004

Design of a Low-Power Automatic Wireless Multi-logger Networking Device

Lewis, Kelly S.

01 May 2007

Virtually every industry and discipline (e.g., mining, pharmaceutical, construction, agriculture, reclamation, etc.) is finding applications for wireless data acquisition for monitoring and managing processes and resources. Two sectors, namely agriculture and environmental research, are seeking ways to obtain distributed soil and plant measurements over larger areas like a watershed or large fields rather than a single site of intensive instrumentation (i.e., a weather station). Wireless sensor networks and remote sensing have been explored as a means to satisfy this need. Commercial products are readily available that have remote wireless options to support distributed senor networking. However, these systems have been designed with a field engineer or technician as the target end-user. Equipment and operating costs, device specific programming languages, and complex wireless configuration schemes have impeded the adoption of large-scale, multi-node wireless systems in these fields. This report details the development of an easy-to-use, ultra-low power wireless datalogger incorporating a scalable, intelligent data collection and transmission topology. The final product can interface to various sensor types including SDI-12 and uses an LCD display to help simplify device setup.

Wireless

Networking

Low-power

Electrical and Computer Engineering

Evolving concepts of leadership and influence in 21st century networking organisations

McAdam, Neil James, mikewood@deakin.edu.au

January 2002

[No Abstract]

leadership

executives

attitudes

executive ability

networking

organisations

Optimisation de la signalisation dans la gestion de la mobilité IPv6

Mutaf, Pars

15 January 2004

Cette thèse est consacrée à l'optimisation de la signalisation dans un internet IPv6 sans fil. Nous montrons que le surcout de diffusion pour la résolution d'adresse et la pagination IP augmentent rapidement avec la taille d'un réseau ou zone de pagination IPv6. Afin de réduire ce surcout, nous proposons une nouvelle technique de diffusion plus rapide, basée sur des filtres de Bloom. Nous proposons également un protocole de pagination de bout-en- bout, afin d'augmenter la robustesse des sessions entrantes dans Mobile IPv6 . Finalement, nous proposons une nouvelle technique transparante qui est basée sur le protocole TCP dans le but de sécuriser les sessions entrantes dans Mobile IPv6 et donc protéger les réseaux sans fil et les mobiles contre les noeuds malveillants de l'internet.

Non disponibles

De la mobilité à la sécurité des réseaux

Castelluccia, Claude

10 September 2008

Non disponible

Non disponibles

Amélioration des expérimentations sur réseaux sans fil

Dujovne, Diego Roberto

07 May 2009

Depuis la création de la norme 802.11, en 1999, les réseaux locaux sans fil, qui était exceptionnelle à l'époque, sont devenus un phénomène incontournable après la l'évolution des appareils mobiles. Au même rythme, la recherche sur les réseaux sans-fil a rapidement évolué suivant des modèles adaptés du paradigme des réseaux filaires, qui a conduit un écart significatif entre la simulation et les résultats expérimentaux. En conséquence, afin de valider les protocoles sans fil ou des algorithmes, l'expérimentation sans fil devient un ressource importante. Cette thèse étudie les améliorations sur l'expérimentation sur les réseaux locaux sans fil, d'un point de vue méthodologique.<br />Dans cette thèse, nous avons d'abord créé un nouveau modèle d'abstraction de données pour représenter les événements de réseau et de l'agrégation de données statistiques, en deuxième lieu, nous élaborons une méthodologie pour la gestion des données en vue de supporter un modèle de base de données et enfin on remplace le traitement avec scripts sur mesure avec des modules de filtrage et traitement. Ces trois principaux éléments convergent dans une méthodologie d'expérimentation qui pointe sur les conditions d'expérience et d'amélioration de la reproductibilité. Après, nous présentons Wextool, la mise en oeuvre d'un outil d'expérimentation sans fil qui applique la méthodologie et enfin, nous montrons les améliorations à travers une étude du multicast dans un scenario sans fil comme un cas d'utilisation, et nous évaluons la performance du processus.

Non disponible

Optimisation de la réexpédition de paquets dans les routeurs best-effort

Ruiz Sánchez, Miguel Ángel

05 September 2003

La tâche principale d'un routeur est d'acheminer des paquets jusqu'à leur destination finale en passant par les différents réseaux. Comme chaque paquet est traité individuellement, la performance d'un routeur dépend du temps nécessaire pour traiter chaque paquet. Due à la croissance et à la diversité du trafic dans l'Internet, le traitement nécessaire pour acheminer des paquets doit être optimisé. Cette thèse propose des algorithmes pour optimiser la performance du traitement de paquets lors de leur acheminement dans les routeurs best-effort. Pour acheminer (réexpédier) des paquets, un routeur doit tout d'abord rechercher l'information de routage correspondant à chaque paquet. La recherche d'information de routage est basée sur l'adresse destination du paquet et elle s'appelle consultation d'adresse. Nous proposons dans cette thèse deux mécanismes pour la mise à jour incrémentale des tables de routage basées sur des tries multibit. Tout d'abord, nous déterminons les conditions nécessaires pour supporter des mises à jour incrémentales dans les tries multibit. À partir de ces conditions, nous proposons des algorithmes et des structures de données pour effectuer ces mises à jour incrémentales. En particulier, nous proposons une structure de données que nous appelons le vecteur de bits PN (pour prefix nesting en anglais). Le vecteur de bits PN code un ensemble de préfixes et leurs relations d'inclusion, car cette information est nécessaire pour supporter des mises à jour incrémentales. Nous évaluons la performance de nos mécanismes implémentés en langage C. Nous présentons les performances de nos mécanismes pour les opérations de recherche, insertion et suppression. Nous présentons également les besoins en termes de mémoire. Une deuxième contribution de cette thèse est l'introduction d'une taxonomie et un cadre de référence pour les algorithmes de consultation rapide d'adresse IP. Notre taxonomie est basée sur l'observation que la difficulté de trouver le plus long préfixe commun avec l'adresse destination est sa double dimension: valeur et longueur. Lorsque nous présentons et classifions les différents mécanismes, l'accent est mis sur le type de transformation que l'on effectue sur l'ensemble de préfixes pour chaque mécanisme. Cette approche unificatrice que nous proposons nous permet de comprendre et de comparer les compromis des différents mécanismes. Nous comparons les mécanismes en termes de leur complexité en temps et en espace. Nous comparons aussi leur performance en mesurant le temps de l'opération de recherche. Ces mesures sont réalisées sur une même plateforme et en utilisant une vrai table de routage. Une troisième contribution de cette thèse est un mécanisme qui optimise l'usage des buffers dans les routeurs pour offrir un haut degrée d'isolation entre flux. Tout d'abord, nous étudions la fonctionnalité des buffers dans les routeurs et nous déterminons les caractéristiques souhaitables des buffers dans les routeurs. Ensuite nous proposons MuxQ un mécanisme qui fournit un haut degré d'isolation entre flux. MuxQ est basé sur l'idée de protéger la fonction de multiplexage de la fonction d'absorption de rafales d'un buffer. Nous évaluons MuxQ en utilisant le simulateur ns-2. En particulier, nous étudions la capacité de MuxQ pour isoler différent types de flux. Nous comparons les performances de notre mécanisme avec celles des mécanismes Drop-Tail, CSFQ, FRED et DRR. Nous présentons les résultats de simulations avec des conditions de trafic différentes. MuxQ est un mécanisme simple, déployable et qui fournit un haut degré d'isolation de flux, tout en gardant une quantité limitée d'état.

Non disponible