Design and implementation of a DDoS defense mechanism based on network QoS models

Abstract

Distributed denial-of-service (DDoS) attacks have become increasingly prevalent and disruptive to online services, negatively impacting their availability. Many existing DDoS mitigation methods rely on endpoint defense, leaving network-level interventions at routers underexplored. This work proposes the DPTB DDoS Defense (DDD) mechanism, a novel network-level DDoS defense based on the Dynamic Priority Token Bucket (DPTB) Quality of Service model developed at the University of Stuttgart. DDD mitigates DDoS attacks inside the routers of a network by categorizing hosts into non-attackers, potential attackers, and definitive attackers, with responses that range from de-prioritization to blocking. The mechanism features a TCP SYN flooding protection along with two strategies, Bidirectional DDD and Downstream Reporting, to address downstream-intensive DDoS attacks such as HTTP flooding. To evaluate DDD, we implement it with the OMNeT++ network simulation framework and assess its performance against UDP flooding, TCP SYN flooding, and HTTP flooding attacks. Our findings indicate that DDD outperforms traditional Rate Limiting in all three attack types, effectively mitigating malicious traffic while allowing legitimate packets. The TCP SYN flooding protection proves to be highly effective, leading to nearly perfect discrimination between legitimate and malicious traffic. DDD achieves lower average response times than Rate Limiting for legitimate HTTP requests during an HTTP flooding attack. This work contributes a novel QoS-based DDoS defense mechanism, an implementation of this mechanism in OMNeT++, and a comprehensive analysis, positioning DDD as a viable improvement over existing QoS-based DDoS defenses for mitigating network and transport layer DDoS attacks. Distributed-Denial-of-Service-Angriffe (DDoS) treten immer häufiger auf und stören Online-Dienste, indem sie deren Verfügbarkeit beeinträchtigen. Viele bestehende DDoS-Abwehrmechanismen beschränken sich auf Abwehr am Server-Endpunkt und lassen Eingriffe auf Netzwerkebene an den Routern unerforscht. Diese Arbeit schlägt den DPTB-DDoS-Defense-Mechanismus (DDD) vor, eine neuartige DDoS-Abwehr auf Netzwerkebene, die auf dem Dynamic-Priority-Token-Bucket (DPTB) Dienstgütemodell basiert, das an der Universität Stuttgart entwickelt wurde. DDD bekämpft DDoS-Angriffe innerhalb der Router eines Netzwerks, indem Hosts in Nicht-Angreifer, potenzielle Angreifer und definitive Angreifer kategorisiert werden, wobei die Reaktionen von der Prioritätsreduktion bis zum Blockieren reichen. Der Mechanismus bietet einen Schutz vor TCP-SYN-Flooding-Angriffen sowie zwei Strategien, Bidirectional-DDD und Downstream-Reporting, um downstream-intensive DDoS-Angriffe wie HTTP-Flooding abzuwehren. Um DDD zu evaluieren, implementieren wir das Verfahren mit dem OMNeT++-Netzwerksimulationsframework und bewerten seine Performanz beim Abwehren von UDP-Flooding-, TCP-SYN-Flooding- und HTTP-Flooding-Angriffen. Unsere Ergebnisse zeigen, dass DDD bei allen drei Angriffsarten besser abschneidet als herkömmliches Rate-Limiting, da es den bösartigen Datenverkehr wirksam abschwächt und gleichzeitig legitime Pakete durchlässt. Der Schutz vor TCP-SYN-Flooding erweist sich als äußerst effektiv und führt zu einer nahezu perfekten Unterscheidung zwischen legitimem und bösartigem Netzwerkverkehr. DDD erreicht für legitime HTTP-Anfragen während eines HTTP-Flooding-Angriffs niedrigere durchschnittliche Antwortzeiten als Rate-Limiting. Diese Arbeit liefert einen neuartigen, dienstgütebasierten DDoS-Abwehrmechanismus, eine Implementierung dieses Mechanismus in OMNeT++ und eine umfassende Analyse, die zum Schluss kommt, dass DDD eine deutliche Verbesserung gegenüber bestehenden dienstgütebasierten DDoS-Abwehrmechanismen zur Eindämmung von DDoS-Angriffen auf Netzwerk- und Transportebene darstellt.