SDN-SYN PoW: Intent-Aware Adaptive SDN Defense with PoW Against multi-domain SYN Floods

Este artigo apresenta o SDN-SYN PoW, uma arquitetura de defesa adaptativa baseada em Software-Defined Networking (SDN) que utiliza Prova de Trabalho (PoW) para mitigar ataques de inundação SYN em múltiplos domínios, ajustando dinamicamente a dificuldade computacional para proteger a rede sem prejudicar o desempenho de clientes legítimos.

O essencial

Imagine que a internet é como uma grande cidade cheia de lojas (servidores) que querem atender clientes. O problema é que, infelizmente, existem gangues de bandidos (hackers) que tentam derrubar essas lojas não roubando o dinheiro, mas simplesmente enchendo a porta de milhares de pessoas falsas gritando "Eu quero entrar!" ao mesmo tempo.

Isso é o que chamamos de ataque SYN Flood. Eles não querem comprar nada; eles só querem ocupar todo o espaço na porta para que os clientes reais não consigam entrar.

O Problema das Soluções Antigas (SYN Cookies)

Antes, as lojas usavam um método chamado "SYN Cookies". A ideia era: "Ok, você quer entrar? Me dê um código secreto primeiro".

• O que dava errado: Para cada pessoa na multidão falsa que gritava "Quero entrar!", a loja tinha que gritar de volta um código. Isso criava um ruído ainda maior. A loja ficava tão ocupada respondendo aos falsos que nem conseguia atender os clientes reais. Era como se a loja tentasse gritar um código para cada um dos 10.000 bandidos, e o barulho impedisse que a loja ouvisse o cliente real.

A Nova Solução: SDN-SYN PoW (O Guardião Inteligente)

Os autores deste artigo criaram um sistema novo e inteligente chamado SDN-SYN PoW. Vamos usar uma analogia para entender como funciona:

1. O "Cérebro" Central (O Controlador SDN)

Imagine que a cidade tem um Cérebro Central (o Controlador SDN) que vê tudo o que acontece em todas as ruas ao mesmo tempo. Ele não está apenas na porta da loja; ele vê o trânsito em tempo real.

2. O "Teste de Esforço" (Proof-of-Work)

Em vez de apenas pedir um código, o sistema pede um pequeno trabalho matemático (um quebra-cabeça) para quem quer entrar.

• Para uma pessoa normal (cliente legítimo), resolver esse quebra-cabeça leva menos de um segundo. É como fazer uma conta de somar simples.
• Para um bandido que tenta entrar com 10.000 pessoas ao mesmo tempo, ter que resolver 10.000 quebra-cabeças drena toda a energia dele. Ele fica exausto e desiste.

3. A Mágica da Adaptação (O Diferencial)

Aqui está a genialidade do sistema:

• No dia a dia (Paz): O Cérebro Central diz: "Tudo tranquilo". O teste é super fácil (quase nenhum esforço). Ninguém sente diferença.
• No momento do ataque (Guerra): O Cérebro Central vê que uma rua específica (por exemplo, a Rua C) está cheia de bandidos. Ele imediatamente manda um aviso para os guardas naquela rua específica: "Ei, na Rua C, o teste agora é muito difícil! Quem não conseguir resolver rápido, não passa".
• Resultado: Os guardas na Rua C param os bandidos antes deles chegarem à loja. A loja e as outras ruas (Rua A e B) continuam tranquilas, recebendo apenas clientes reais.

Por que isso é melhor?

1. Não gasta energia da loja: A loja não precisa gritar de volta para os bandidos. Os guardas na rua (na borda da rede) já param os bandidos antes que eles cheguem perto da loja.
2. Protege os inocentes: Se você é um cliente normal na Rua A, você nem percebe que está acontecendo um ataque na Rua C. Seu teste continua fácil.
3. Funciona até em celulares fracos: O teste é feito de forma que até um celular antigo consegue resolver, mas para um computador de ataque tentando fazer milhões de conexões, é impossível.

Resumo da Ópera

O SDN-SYN PoW é como ter um sistema de segurança inteligente que:

• Vê o ataque de longe (graças ao Cérebro Central).
• Aplica um "filtro de esforço" apenas onde o ataque está acontecendo.
• Impede que os bandidos cheguem à porta da loja, mantendo a cidade segura e as lojas abertas para quem realmente quer comprar.

É uma mudança de paradigma: em vez de tentar defender a loja contra o mar de gente, você cria um muro inteligente na origem do problema, deixando a cidade fluir normalmente.

Resumo técnico

Resumo Técnico: SDN-SYN PoW

1. O Problema

A estabilidade dos serviços da Internet é continuamente ameaçada por ataques de inundação TCP SYN volumétricos (SYN Floods) em escala crescente.

• Limitações das Defesas Atuais: Mecanismos tradicionais, como SYN Cookies, falham sob ataques modernos de alta intensidade (na escala de Tbps). Embora os SYN Cookies mitiguem o esgotamento de estado no servidor, eles não previnem o esgotamento de largura de banda. Como cada SYN ainda dispara uma resposta SYN-ACK do servidor, esses mecanismos acabam amplificando o congestionamento e consumindo recursos da rede de saída (egress), degradando o serviço para usuários legítimos.
• Necessidade: Há uma lacuna crítica para um mecanismo de defesa proativo que descarte o tráfego malicioso antes que ele consuma recursos vitais do servidor ou da rede principal, transferindo o custo computacional para o atacante.

2. Metodologia e Arquitetura (SDN-SYN PoW)

O artigo propõe o SDN-SYN PoW, uma arquitetura de defesa que integra desafios de Proof-of-Work (PoW) não interativos com o plano de controle de uma Rede Definida por Software (SDN).

• Mecanismo Central:

  • PoW Não Interativo: Em vez de um desafio-resposta (que gera tráfego de ida e volta), o cliente deve resolver um quebra-cabeça computacional e incluir a prova diretamente no pacote SYN inicial.
  • Codificação: O nonce (número aleatório) é codificado no campo de Número de Reconhecimento (Acknowledgment Number) do cabeçalho TCP, que é zero em SYNs, garantindo compatibilidade com o padrão TCP.
  • Verificação: O hash deve ter um número específico de bits zero à esquerda ($d$). O número esperado de iterações para encontrar a prova é $k = 2^d$.

• Papel do Controlador SDN (O "Sistema Nervoso"):

  • Visão Global e Detecção em Tempo Real: O controlador SDN monitora estatísticas de fluxo em toda a rede para detectar anomalias de SYN (floods) em tempo real.
  • Controle Adaptativo de Dificuldade:
    • Estado de Paz: Aplica uma dificuldade global baixa ($d_{default}$, ex: $d=0$ ou $1$), quase imperceptível para clientes legítimos.
    • Estado de Ataque: Ao detectar um flood vindo de um prefixo de origem específico ($S$), o controlador instala regras dinâmicas nos switches de borda (ingress) para aumentar a dificuldade do PoW ($d_{attack}$, ex: $d=16$ a $26$) apenas para esse prefixo.
  • Filtragem na Borda: Os switches descartam silenciosamente os pacotes SYN que não possuem a prova de trabalho válida antes que eles atravessem a rede principal ou atinjam o servidor.

3. Contribuições Principais

1. Controle de Dificuldade Adaptativo e Escopado por Prefixo: Um sistema guiado por controlador SDN que detecta anomalias globais e aplica políticas de PoW localizadas na borda de entrada, evitando penalizar toda a rede.
2. Verificação que Preserva Largura de Banda: Ao descartar SYNs inválidos na borda (antes do alvo), o sistema evita a amplificação de tráfego (SYN-ACK) inerente às defesas baseadas em cookies, protegendo os recursos do servidor e da rede de saída.
3. Amigável a Dispositivos de Baixa Potência: O sistema foi projetado com um modelo analítico de latência/CPU e limites de política, garantindo que o custo para clientes legítimos (mesmo em dispositivos IoT ou móveis) permaneça baixo, desde que a dificuldade seja ajustada corretamente.

4. Resultados Experimentais

Os autores validaram o sistema em um testbed físico com topologia multi-domínio, comparando o SDN-SYN PoW com SYN Cookies e sem defesa.

• Desempenho em Tempo de Paz (Overhead):
  • Tanto o SYN Cookies quanto o SDN-SYN PoW (com dificuldade baixa) impuseram um overhead negligenciável (< 2% de degradação) no tráfego legítimo.
• Eficácia sob Ataque:
  • SYN Cookies: Mostraram eficácia negativa em alguns cenários. Ao responder a cada SYN com um SYN-ACK, eles saturaram o link de saída do servidor, piorando a conectividade para clientes em redes distantes (LAN A e B) durante ataques volumétricos.
  • SDN-SYN PoW: Demonstrou eficácia superior. Ao aumentar a dificuldade apenas para a rede de origem do ataque (LAN C):
    • Para a LAN C (Origem do Ataque): A largura de banda local foi liberada, permitindo que clientes legítimos dentro da mesma rede restabelecessem a conectividade (taxa de transações recuperada de 0 para níveis funcionais).
    • Para LAN A e B (Redes Distantes): O ataque foi neutralizado na borda, protegendo o núcleo da rede e o servidor. O desempenho dos clientes retornou quase aos níveis de baseline.
• Impacto em Dispositivos Legítimos:
  • Mesmo com dificuldade elevada ($d=24$), smartphones e laptops conseguem completar o handshake com um atraso adicional aceitável (ex: ~0,34s para smartphones).
  • Dispositivos IoT muito limitados (MCUs) podem sofrer com atrasos maiores ($>1s$) sob alta dificuldade, mas o sistema permite ajustar limites ($T_{budget}$) para mitigar isso.

5. Significado e Conclusão

O SDN-SYN PoW representa uma mudança de paradigma na defesa contra DDoS:

• Mudança de Custo: Transfere o ônus econômico e computacional da vítima para o atacante.
• Inteligência Contextual: Utiliza a visibilidade global da SDN para aplicar medidas rigorosas apenas onde e quando são necessárias (defesa cirúrgica), em vez de usar bloqueios estáticos ou respostas reativas cegas.
• Resiliência: Prova ser uma solução viável para ambientes SD-WAN modernos, oferecendo proteção robusta contra ataques volumétricos sem comprometer a experiência do usuário legítimo ou a infraestrutura de rede central.

O trabalho conclui que, embora desafios de implantação em larga escala persistam, o SDN-SYN PoW estabelece um novo padrão para defesas de rede resilientes e adaptativas.