Geri Dön

Programlanabilir veri katmanı yardımıyla ağ güvenlik fonksiyonlarının gerçekleştirilmesi

Realization of network security functions with the help of programmable data plane

  1. Tez No: 856247
  2. Yazar: MEHMET EMİN ŞAHİN
  3. Danışmanlar: DOÇ. DR. MEHMET DEMİRCİ
  4. Tez Türü: Doktora
  5. Konular: Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrol, Computer Engineering and Computer Science and Control
  6. Anahtar Kelimeler: Belirtilmemiş.
  7. Yıl: 2024
  8. Dil: Türkçe
  9. Üniversite: Gazi Üniversitesi
  10. Enstitü: Bilişim Enstitüsü
  11. Ana Bilim Dalı: Bilişim Sistemleri Ana Bilim Dalı
  12. Bilim Dalı: Belirtilmemiş.
  13. Sayfa Sayısı: 119

Özet

Adres çözümleme amacıyla kullanılan DNS servisi onlarca yıldır internet altyapısının en temel yapı taşını oluşturmaktadır. DNS hizmeti veren altyapıların siber saldırılara karşı korunması hizmet kesintilerinin önlenmesi için büyük önem taşımaktadır. Bunun yanı sıra, SYN saldırı yöntemi, TCP bağlantısı kurulması esnasında kullanılan üçlü el sıkışma mekanizmasının sömürülmesi ile gerçekleştirilen ve yıllardır süregelen bir saldırı türüdür. Programlanabilir ağların ortaya çıkmasıyla birlikte ağ güvenliğine yönelik birçok yenilikçi yaklaşım ortaya çıkmıştır. Gerçekleştirilen bu çalışma kapsamında programlanabilir veri katmanlarında kullanılmak üzere alan-etkin çalışan, sabit sorgulama süresi sağlayan, yüksek doğruluklu, güncellenebilir bloom filtresi veri yapısı geliştirilerek önerilmiştir. Önerilen veri yapısı geleneksel Bloom filtresinin aksine, güncelliğini yitirmiş verilerin silinebilmesini ve zamansal veri güncellik kontrolü yapılabilmesini destekler. Önerilen veri yapısı bu çalışma kapsamında geliştirilen yeni güvenlik fonksiyonlarında ağ paketlerinin durumsal olarak takip edilmesinde kullanılmıştır. SYN saldırılarına karşı geliştirilen yöntem ile TCP bağlantı kurulumu arka uç sunucudan P4 anahtara aktarılmış ve bu sayede önerilen savunma fonksiyonunun herhangi bir ilave paket gönderimine sebep olmadan ve istemciler tarafından tespit edilmeden gerçekleştirilmesi sağlanmıştır. DNS sunucularına karşı yapılan yoğun DNS sorguları ve yükseltme saldırılarına karşı adaptif istek limitleme ve DNS güvenlik duvarı fonksiyonları gerçekleştirilmiştir. Aynı zamanda parçalanmış DNS yanıtlarının da durumsal takibi sağlanmıştır.

Özet (Çeviri)

The DNS service, utilized for address resolution purposes, has served as a fundamental building block of internet infrastructure for decades. Safeguarding infrastructures that provide DNS services against cyber-attacks is crucial to prevent service interruptions. In addition, the SYN flood attack, a type of attack persisting for years, exploits the triple handshake mechanism during TCP connection establishment. With the advent of programmable networks, numerous innovative approaches to network security have emerged. In this study, a space-efficient, highly accurate, updatable bloom filter data structure has been developed and proposed for use in programmable data planes. Unlike traditional Bloom filters, the proposed data structure supports the deletion of outdated data and temporal data up-to-dateness control. Proposed data structure was employed to statefully track network packets for the new security functions developed within this study. As for the proposed SYN defense, TCP connection establishment is offloaded from the back-end server to the P4 switch, enabling the proposed defense function without causing additional packets or delay. This approach also makes proposed defense transparent to clients. Furthermore, adaptive DNS query limiting and DNS firewall functions are proposed against DNS query flood and DNS amplification attacks, where stateful tracking of fragmented DNS responses is also achieved.

Benzer Tezler

  1. Tez No

    467214

    Quality of service (QoS) aware flow analysis in software defined networks

    Yazılım tanımlı ağlarda servis kalitesinden haberdar akış analizi

    KÜBRA AYVAZ

    Yüksek Lisans

    İngilizce

    İngilizce

    2017

    Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrolİstanbul Teknik Üniversitesi

    Bilgisayar Mühendisliği Ana Bilim Dalı

    DOÇ. DR. BERK CANBERK

  2. Tez No

    610024

    Linux tabanlı SDN ve arayüz destekli mikro bilgisayar ile Switch cihazı tasarımı

    Linux based SDN and interface supported, microcomputer Switch design

    SİNAN KARAKAYA

    Yüksek Lisans

    Türkçe

    Türkçe

    2019

    Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve KontrolErciyes Üniversitesi

    Bilgisayar Mühendisliği Ana Bilim Dalı

    DOÇ. DR. BİLAL BABAYİĞİT

  3. Tez No

    467111

    Joint server and route selection in SDN networks

    SDN ağlarda ortak yol ve sunucu seçimi

    HASAN ANIL AKYILDIZ

    Yüksek Lisans

    İngilizce

    İngilizce

    2017

    Mühendislik Bilimleriİstanbul Teknik Üniversitesi

    Elektronik ve Haberleşme Mühendisliği Ana Bilim Dalı

    PROF. DR. HAKAN ALİ ÇIRPAN

  4. Tez No

    611442

    Kablosuz vücut alan ağları için yazılım tanımlı ağ destekli yeni bir protokol mimarisi

    A new protocol architecture for software-defined networking based wireless body area networks

    MURTAZA CİCİOĞLU

    Doktora

    Türkçe

    Türkçe

    2020

    Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve KontrolDüzce Üniversitesi

    Elektrik-Elektronik ve Bilgisayar Mühendisliği Ana Bilim Dalı

    DOÇ. DR. ALİ ÇALHAN

  5. Tez No

    809395

    Hardware acceleration of internet of things network stack with dtls support

    Dtls destekli nesnelerin interneti ağ yığınının donanımla hızlandırılması

    BURAK BATMAZ

    Doktora

    İngilizce

    İngilizce

    2023

    Elektrik ve Elektronik MühendisliğiEskişehir Teknik Üniversitesi

    Elektrik-Elektronik Mühendisliği Ana Bilim Dalı

    PROF. DR. ATAKAN DOĞAN

Geri Dön