SDN-SYN PoW: Intent-Aware Adaptive SDN Defense with PoW Against multi-domain SYN Floods

Il documento presenta SDN-SYN PoW, un'architettura di difesa adattiva basata su Software-Defined Networking e Proof-of-Work che rileva e mitiga dinamicamente gli attacchi SYN flood multi-dominio applicando costi computazionali solo alle fonti anomale, garantendo al contempo prestazioni ottimali per i client legittimi.

L'essenziale

Immagina che Internet sia una gigantesca fiera di paese dove migliaia di persone (i clienti) vogliono entrare per visitare un negozio molto popolare (il server).

Il problema è che i ladri (gli hacker) organizzano un "assedio": mandano migliaia di falsi visitatori che urlano "Voglio entrare!", bloccando l'ingresso. Questo è il SYN Flood, un attacco che intasa la strada e impedisce ai clienti veri di arrivare.

Ecco come funziona il nuovo sistema descritto nel paper, SDN-SYN PoW, spiegato con parole semplici:

1. Il Problema dei Vecchi Sistemi (Le "Cookie")

Fino a poco tempo fa, per difendersi, il negozio usava un sistema chiamato SYN Cookies.

• L'analogia: Immagina che il negoziante, invece di aprire la porta, lanci un foglietto con un codice a ogni persona che bussa, dicendo: "Se vuoi entrare, portami questo foglietto compilato".
• Il difetto: Se ci sono 10.000 ladri, il negoziante deve lanciare 10.000 foglietti. Questo intasa la strada di carta (la banda internet) e il negoziante si stanca a lanciarli. Invece di fermare i ladri, il sistema peggiora il traffico, soffocando anche i clienti veri.

2. La Nuova Soluzione: SDN-SYN PoW

Gli autori propongono un sistema intelligente che combina due cose: un guardia centrale (SDN Controller) e un piccolo indovinello matematico (Proof-of-Work).

Ecco come funziona, passo dopo passo:

A. Il "Cervello" Centrale (SDN Controller)

Immagina di avere un controllore del traffico aereo che vede tutto il cielo dall'alto, non solo una strada.

• Questo controllore monitora costantemente chi sta arrivando. Se vede che da una certa strada (un quartiere specifico) arrivano 10.000 richieste al secondo, capisce subito: "Qui c'è un attacco!".
• A differenza dei vecchi sistemi che reagivano tutti uguali, questo cervello può dire: "Blocca solo quel quartiere, gli altri possono passare".

B. L'Indovinello Matematico (Proof-of-Work)

Invece di lanciare foglietti, il sistema chiede ai visitatori di risolvere un piccolo indovinello matematico prima di arrivare al negozio.

• Per i clienti normali: L'indovinello è facilissimo. È come chiedere a un adulto di contare fino a 3. Ci mette un millisecondo. Non si accorgono nemmeno che lo hanno fatto.
• Per i ladri: L'indovinello diventa un incubo. Se il controllore vede un attacco, rende l'indovinello molto difficile (come chiedere di risolvere un'equazione complessa).
• Il trucco: Risolvere l'indovinello richiede potenza di calcolo. Un computer normale ci mette un secondo. Un'armata di robot (i bot degli hacker) che deve risolvere milioni di indovinelli contemporaneamente si blocca completamente perché i loro computer si surriscaldano e si fermano.

C. Il Filtro Intelligente (Edge Filtering)

Qui sta la genialità del sistema:

1. Il controllore vede l'attacco provenire dal "Quartiere C".
2. Invia un ordine ai cancelli d'ingresso di quel quartiere: "Da ora in poi, chi arriva da qui deve risolvere l'indovinello difficile".
3. I ladri provano a risolvere, falliscono o impiegano troppo tempo, e vengono scartati subito fuori dal cancello.
4. I clienti veri del "Quartiere A" e "B" non devono risolvere nulla (o solo un indovinello facilissimo) e passano tranquilli.

Perché è meglio di prima?

• Non intasa la strada: I ladri vengono fermati prima di arrivare al negozio, quindi non sprecano spazio sulla strada principale.
• Non disturba i clienti: Se non c'è attacco, l'indovinello è così facile che nessuno se ne accorge.
• È preciso: Se l'attacco viene da Milano, non blocchiamo Roma. Il sistema è chirurgico.

In sintesi

Il sistema SDN-SYN PoW è come un sistema di sicurezza intelligente che, invece di chiudere tutte le porte del centro città quando c'è un'orda di teppisti, manda una guardia a controllare solo la porta da cui arrivano i teppisti, chiedendo loro di fare una faticosa corsa prima di entrare. I teppisti si stancano e si fermano, mentre i cittadini normali continuano a passeggiare felici senza nemmeno notare la presenza della guardia.

È una difesa che usa la "fatica" dei ladri contro di loro, proteggendo il cuore della rete senza disturbare chi la usa onestamente.

Sommario tecnico

Ecco una sintesi tecnica dettagliata del paper "SDN-SYN PoW: Intent-Aware Adaptive SDN Defense with PoW Against multi-domain SYN Floods" di Wenyang Jia (Georgia Institute of Technology), presentata in italiano.

1. Il Problema: L'Inadeguatezza delle Difese Tradizionali

Il paper affronta la crescente minaccia degli attacchi SYN Flood volumetrici su larga scala (fino a Tbps), che mirano a saturare la larghezza di banda e esaurire le risorse dei server.

• Fallimento delle SYN Cookies: Le difese convenzionali, come le SYN Cookies, sono diventate inefficaci in questo contesto. Sebbene mitigino l'esaurimento dello stato del server codificando le informazioni nella sequenza SYN-ACK, non risolvono il problema della larghezza di banda. Poiché ogni SYN (anche falso) genera una risposta SYN-ACK, queste difese tendono ad amplificare il traffico verso la vittima, aggravando la congestione di rete e degradando il servizio per gli utenti legittimi.
• Necessità di un nuovo approccio: È richiesto un meccanismo proattivo che scarti il traffico malevolo prima che consumi risorse della vittima o della rete di trasporto, spostando il costo computazionale dall'attaccante alla vittima.

2. Metodologia: SDN-SYN PoW

L'autore propone SDN-SYN PoW, un'architettura di difesa innovativa che integra Proof-of-Work (PoW) non interattivo all'interno dei pacchetti TCP SYN, gestita dinamicamente da un controller Software-Defined Networking (SDN).

Componenti Chiave del Design:

1. Generazione PoW lato Client (Non Interattiva):

   • Il client deve risolvere un puzzle crittografico (trovare un nonce tale che l'hash di certi campi dell'header TCP abbia $d$ bit iniziali a zero) prima di inviare il pacchetto SYN.
   • Il nonce viene codificato nel campo Acknowledgment Number (inutilizzato nei SYN), garantendo compatibilità con lo stack TCP esistente.
   • Il costo è trascurabile per utenti legittimi ma proibitivo per attaccanti che inviano milioni di pacchetti al secondo.

2. Controllo Dinamico tramite SDN:

   • Il controller SDN funge da "sistema nervoso" globale, monitorando in tempo reale il traffico e rilevando anomalie (flood SYN) basandosi su statistiche per prefisso IP e ingress.
   • Adattività Intelligente: Invece di applicare un livello di difficoltà statico, il controller regola dinamicamente il parametro di difficoltà ($d$):
     • Stato di pace: Difficoltà minima ($d_{default}$, es. 0 o 1) per non impattare gli utenti legittimi.
     • Attacco rilevato: Se un prefisso sorgente supera una soglia, il controller installa regole di flusso specifiche sugli switch di ingresso (edge) per quel prefisso, aumentando drasticamente la difficoltà ($d_{attack}$, es. 16-24).
   • Filtraggio all'Edge: Gli switch di ingresso scartano silenziosamente i SYN che non soddisfano il requisito PoW, impedendo che il traffico malevolo raggiunga il server o saturi la rete core.

3. Implementazione Tecnica:

   • Utilizzo di funzioni hash veloci (es. SuperFastHash per il prototipo, SHA-256 troncato per la produzione).
   • Vincoli temporali e di riutilizzo per prevenire replay attack e pre-calcolo.

3. Contributi Principali

Il lavoro si distingue per tre contributi fondamentali:

• Controllo Adattivo e Mirato: Un sistema guidato dal controller SDN che rileva anomalie globali e applica politiche PoW localizzate solo alle sorgenti attaccate, minimizzando l'impatto sul resto della rete.
• Preservazione della Larghezza di Banda: A differenza delle SYN Cookies, questo approccio evita l'amplificazione del traffico (nessuna risposta SYN-ACK per i SYN invalidi), proteggendo la larghezza di banda della vittima.
• Compatibilità con Dispositivi a Bassa Potenza: È stato sviluppato un modello analitico e validato sperimentalmente per dimostrare che l'overhead è gestibile anche per dispositivi IoT e smartphone, grazie alla possibilità di limitare la difficoltà e riutilizzare le prove.

4. Risultati Sperimentali

Gli esperimenti sono stati condotti su un banco di prova fisico con topologia multi-dominio, confrontando SDN-SYN PoW con le SYN Cookies e senza difesa.

• Overhead in Tempo di Pace: Sia le SYN Cookies che SDN-SYN PoW hanno mostrato un impatto trascurabile sulle prestazioni dei clienti legittimi (degradazione < 2%).
• Efficacia contro Attacchi Volumetrici:
  • SYN Cookies: Hanno mostrato un'efficacia negativa o nulla. In scenari di alto volume, hanno peggiorato la congestione nelle reti LAN A e B a causa dell'amplificazione del traffico (SYN-ACK), portando a un crollo del throughput.
  • SDN-SYN PoW: Ha dimostrato un'efficacia superiore.
    • Per i clienti nella zona di attacco (LAN C), il filtraggio all'edge ha ripristinato il throughput da zero a livelli funzionali, scartando la maggior parte dei pacchetti malevoli prima che saturassero il collegamento locale.
    • Per i clienti nelle reti non colpite (LAN A e B), la protezione ha preservato la connettività bloccando l'attacco alla sorgente, evitando che il traffico malevolo raggiungesse il server centrale.
• Impatto sui Clienti Legittimi nella Zona di Attacco: Anche quando la difficoltà è elevata ($d=24$), i dispositivi moderni (smartphone, laptop) subiscono un ritardo di handshake aggiuntivo accettabile (es. ~0.34s per smartphone), mentre i dispositivi IoT molto lenti potrebbero subire ritardi maggiori, ma il trade-off è giustificato dal ripristino della connettività.

5. Significato e Conclusione

Il paper stabilisce che SDN-SYN PoW rappresenta un cambio di paradigma nella difesa DDoS:

• Sposta il costo economico e computazionale dall'attaccante alla vittima (in questo caso, l'attaccante paga il costo computazionale del PoW, non la vittima).
• Trasforma la difesa da un meccanismo statico a un sistema intelligente e adattivo, capace di "vedere globalmente e agire localmente".
• Offre una soluzione scalabile per le moderne architetture SD-WAN, garantendo la resilienza della rete di edge senza degradare l'esperienza utente legittima.

In sintesi, l'approccio dimostra che combinare la visibilità globale dell'SDN con i meccanismi di Proof-of-Work non interattivi è la strategia più efficace per mitigare gli attacchi SYN flood di nuova generazione, superando i limiti intrinseci delle difese tradizionali basate su cookie.