Another SYN in the wall Mitigating TCP Side-Channel Attacks via Randomized SYN Queue Eviction

This thesis addresses a security issue in network protocols that can compromise the effectiveness of firewalls in keeping internal resources hidden. Specifically, the research focuses on mitigating side-channel attacks. These attacks exploit the predictable way operating systems manage waiting connection queues, allowing a remote attacker to detect the presence of machines that should be isolated and hidden. The analysis shows that the current architecture uses static and predictable thresholds to handle congestion. Unintentionally, this provides measurable feedback to the outside world. This regularity allows an attacker to precisely guess the target server's configuration parameters, which is a necessary first step to map the protected network. The main objective of this work is to redesign how these queues are managed by introducing a random model. The proposed solution replaces fixed intervention triggers with dynamic and randomly variable threshold windows. Introducing this randomness changes the system's predictability, making external measurements unreliable and effectively preventing the detection of hidden machines. The results demonstrate that this approach guarantees a significant increase in infrastructure privacy, while preserving the efficiency and performance of the network service.

Il presente lavoro di tesi affronta una criticità di sicurezza insita nella gestione dei protocolli di rete, la quale rischia di compromettere l'efficacia dei firewall nel garantire la non visibilità delle risorse interne. Nello specifico, la ricerca si concentra sulla mitigazione di attacchi di tipo side-channel che, sfruttando il determinismo algoritmico con cui i sistemi operativi gestiscono le code di connessione in attesa, permettono a un attore remoto di inferire la presenza di nodi teoricamente isolati e nascosti. L'analisi evidenzia come l'attuale architettura, basata su soglie di intervento statiche e prevedibili per la gestione della saturazione, fornisca involontariamente un feedback misurabile all'esterno. Tale regolarità consente a un attaccante di dedurre con precisione i parametri di configurazione del server target, passo preliminare indispensabile per mappare la topologia di rete protetta. L'obiettivo primario dell'elaborato è la riprogettazione delle logiche di gestione di tali code mediante l'introduzione di un modello stocastico. La soluzione proposta sostituisce i trigger di intervento fissi con finestre di soglia dinamiche e variabili casualmente. L'introduzione altera la prevedibilità del sistema, rendendo inaffidabili le misurazioni esterne e, di fatto, riducendo la capacità di rilevazione delle macchine nascoste. I risultati conseguiti dimostrano come l'approccio garantisca un incremento sostanziale della riservatezza infrastrutturale, preservando al contempo l'efficienza e le prestazioni operative del servizio di rete.