Detection and mitigation of DHCP attacks in OpenFlow- based SDN networks

Detection and mitigation of DHCP attacks in OpenFlow- based SDN networks

Author

AL-Daoud, Manar Mohammed Mahmoud.

Publisher

Sultan Qaboos University

Gregorian

2019

Language

English

Subject

Network

Electrical and computer engineering

English abstract

Everyday more devices with network capabilities are being added to existing networks. This, in turn, makes networks larger and more susceptible to attacks, and at the same time, requiring a robust and dynamic configuration approach. One approach to alleviate the control and management issues in such large networks is to consolidate the control in a centralized device as done in Software-Defined Networking (SDN) technologies. However, centralizing management and decision-making mandates taking many aspects into consideration, prominently, security. One security aspect with particular interest to us is protecting SDN networks from DHCP attacks, whose impact does not stop at the DHCP service level, but also extends to the switching devices and the SDN controller. The main objective of this thesis is to develop and evaluate a comprehensive approach for detecting and mitigating of different DHCP attacks in SDN networks. This is achieved by conducting the first detailed study and classification of the different DHCP attacks that target the DHCP service in networks. Moreover, the thesis introduces a novel approach to detect and mitigate these attacks. The proposed multi-stage detection approach used several mechanisms for detecting DHCP attacks: against signatures, by behavior and by validation against historical data or configured parameters. The proposed approach was evaluated through emulation against thirteen DHCP attacks from nine different attack tools in an SDN network. The results showed that the proposed approach had high effectiveness in detecting and mitigating the DHCP attacks against three different DHCP service implementations. Moreover, the approach had the capability to detect and mitigate DHCP attacks from the first packet, and to stop the most malicious attack from the first half minute and took much less for the other attacks. In addition to dropping attack traffic, a multi-step mechanism was proposed to heal the controller and the DHCP service by: removing spoofed hosts from ONOS hosts database, releasing IP addresses leased by the attack and reassigning IP addresses released by the attack to their original clients.

Member of

Theses and Dissertations

Resource URL

https://hdl.handle.net/20.500.12408/3980

Arabic abstract

كل يوم ، تتم إضافة المزيد من الأجهزة المزودة بإمكانيات الشبكة ، مثل الهواتف النقالة و أجهزة الترفيه وكائنات إنترنت الأشياء ، إلى الشبكات الحالية. وهذا بدوره يجعل الشبكات أكبر وأكثر عرضة للهجمات ، وفي الوقت نفسه ، يتطلب اتباع نهج تكوين قوي و دینامیکي. تتمثل إحدى الطرق لتخفيف مشكلات التحكم والإدارة في مثل هذه الشبكات الكبيرة في دمج التحكم في جهاز مركزي كما هو الحال في تقنيات الشبكات المعرفة بالبرمجيات. ومع ذلك ، الإدارة المركزية وصنع القرار تتطلب الأخذ في عين الاعتبار العديد من الجوانب الأخرى، ومن أبرزها ، ميزات الأمان والحماية. حماية الشبكات المعرفة بالبرمجيات من الهجمات على بروتوكول التهيئة الآلية للمضيفين يمثل أحد جوانب الأمان التي تهمنا بشكل خاص حيث لا يتوقف تأثيرها على مستوى خدمة بروتوكول التهيئة الآلية للمضيفين ، ولكن يمتد أيضا إلى أجهزة التبديل ووحدة تحكم في الشبكات المعرفة بالبرمجيات. توفر هذه الرسالة أول دراسة شاملة وتصنيفية الأدوات الهجمات التي تستهدف خدمة بروتوكول التهيئة الألية للمضيفين في الشبكات. علاوة على ذلك ، نقترح طريقة جديدة للكشف عن هذه الهجمات وتخفيفها. حيث قمنا بتطبيق خوارزمية متعددة المراحل والآليات للكشف عن الهجمات التي تستهدف خدمة بروتوكول التهيئة الآلية للمضيفين وذلك بالتحقق من تواقيع خاصة بالهجمات مخزنة بالخوارزمية أو بالكشف عن سلوكية الهجمات أو بالتحقق من صحة بيانات تاريخية أو بالاستناد لبعض المعلومات المخزنة مسبقا. لقد تم تقييم النهج المقترح من خلال مضاهاة ثلاثة عشر هجوما تستهدف خدمة بروتوكول التهيئة الآلية للمضيفين من تسع أدوات هجوم مختلفة في الشبكة المعرفة بالبرمجيات. وكما تظهر النتائج أن النهج المقترح له فعالية عالية في اكتشاف وتخفيف هجمات على خدمة بروتوكول التهيئة الألية للمضيفين ضد ثلاثة تطبيقات مختلفة لهذه الخدمة علاوة على ذلك، فإن النهج لديه القدرة على اكتشاف وتخفيف هذه الهجمات من الحزمة الأولى. كما ولديه القدرة على إيقاف أكثر الهجمات الضارة من النصف الأول للدقيقة الأولى ويستغرق وقتا أقل بكثير لإيقاف الهجمات الأخرى. بالإضافة إلى إيقاف حركة مرور هجوم على خدمة بروتوكول التهيئة الآلية للمضيفين ، نقترح آلية متعددة الخطوات لمعالجة وحدة التحكم وخدمة بروتوكول التهيئة الأولية للمضيفين من أثار الهجوم وذلك بإزالة المضيفين المخادعين من قاعدة بيانات المضيفين في وحدة تحكم في الشبكات المعرفة بالبرمجيات ، ويتحریر عناوين بروتوكول الإنترنت المستأجرة من الهجوم وباعاده تعیین عناوين بروتوكول الإنترنت التي تم إصدارها من الهجوم إلى عملائها الأصليين.