1 / 33

IP Traceback

IP Traceback. 2002 년 5 월 22 일 정지웅. Overview. Introduction Hash-based IP Traceback Route-Based Distributed Packet Filtering Summary. Introduction. Denial-of-Service (DoS) attack 이용 가능한 모든 세션을 점령하여 네트워킹 기능 마비 과부하를 일으켜 시스템 다운시킴 존재하지 않는 IP 주소로 접속하여 세션들을 마비시킴

deborah-velazquez
Download Presentation

IP Traceback

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. IP Traceback 2002년 5월 22일 정지웅

  2. Overview • Introduction • Hash-based IP Traceback • Route-Based Distributed Packet Filtering • Summary

  3. Introduction • Denial-of-Service (DoS) attack • 이용 가능한 모든 세션을 점령하여 네트워킹 기능 마비 • 과부하를 일으켜 시스템 다운시킴 • 존재하지 않는 IP 주소로 접속하여 세션들을 마비시킴 • 기형적이고 이상한 패킷 구조를 보내어 정확한 프로세싱을 방해하는 행위 • Distributed DoS (DDoS) attack • 여러 대의 호스트에서 동시 공격 • 실례 • 2000년 2월, Yahoo, eBay, Amazon 수시간 동안 시스템 마비

  4. IP Traceback • IP traceback • 공격 경로와 패킷의 송신자 추적하여 attack graph를 재구성 • 송신자 추적의 어려움 • Stateless한 인터넷의 특성 때문에, 위조된 주소를 사용하여 공격 가능 • NAT, Mobile IP, IP tunneling… • Attack은 short-lived하기 때문

  5. Related Works • Ingress filtering • Boarder gateway에서 패킷의 address가 spoof되었는가를 감시 • 라우터가 허가되지 않은 소스 어드레스로 부터 오는 패킷을 막는 것이다. 이것은 라우터가 합법적인 소스어드레스와 불법적인 소스어드레스를 구분할수 있는 충분한 파워를 가져야 가능하다 • Ingress filtering은 이를 지원하는 라우터가 널리 깔려 있어야만 효과적임 • Packet marking • IP header에서 잘 사용하지 않는 field에 정보를 encoding • Logging • Router에서 forword된 packet을 기록 • 패킷을 주요 라우터에 로그해 놓아서 패킷이 경유하는 경로를 결정하는 것으로 공격이 끝난 후에도 추적이 가능

  6. Related Works • ICMP traceback message • 라우터에서 패킷을 샘플하여 이를 포워딩하고 카피하여 인접라우터 정보와 함께 ICMP 메시지로 audit information을 전송 • 공격중에 이 정보를 이용하여 추적 • 공격이 종료된 후에도 추적 가능 • 문제점: • ICMP message를 지원하지 않는 라우터 • attacker가 거짓 ICMP message를 보낼때

  7. Overview • Introduction • Hash-based IP Traceback • Route-Based Distributed Packet Filtering • Summary

  8. Drawback of Logging • Packet이 네트워크를 경유해서 오면서 변형될 수 있기 때문에 attack path를 재구성하는데 어려움이 있다. • 완전한 packet을 저장하는데 문제가 있다. • Packet의 log가 많아지면서 attacker에게 노출될 위험이 있다.

  9. Hash-based IP Traceback • SPIE (Source Path Isolation Engine) System • 라우터에서 자신이 전달한 패킷 기록 • 패킷 요약 정보(invariant IP header + 8 bytes payload)에 Bloom Filter (n 개의 hash functions)를 적용한 결과를 저장 • 일정 시간마다 페이지를 넘김(각 페이지에는 시간, hash functions, filtering result 기록) • 단 하나의 패킷에 의한 공격이라도 traceback 가능 • 그러나, 메모리의 제한으로 traceback 가능한 시간이 제한됨

  10. Hash Input Ver HLen TOS Total Length Identification D F M F Fragment Offset TTL Protocol Checksum 28 bytes Source Address Destination Address Options First 8 bytes of Payload Remainder of Payload

  11. Bloom Filter

  12. Transform Lookup Table • 충분한 packet data가 SPIE에 의해서 transformation time에 기록되어야 하고, 그 결과 original packet이 재구성 될 수 있음 • NAT, IP-in-IP tunneling, fragmentation

  13. Graph construction R R A R R R R7 R R4 R5 R6 R R3 R1 R2 V

  14. System Components • DGA (Data Generation Agent) • 각 라우터에 위치 • 해당 라우터를 거쳐간 패킷에 대한 digest table 유지 • SCAR (SPIE Collection and Reduction Agent) • Traceback 요청 시 DGA로 부터 digest table 수신하여, local traceback 수행 • STM (SPIE Traceback Manager) • 전 SPIE system 관장 • 타 system과 정보 교환

  15. Architecture

  16. Overview • Introduction • Hash-based IP Traceback • Route-Based Distributed Packet Filtering • Summary

  17. Probabilistic Packet Marking • PPM • marking하기 위해서 패킷 헤더를 사용함 • 각 라우터에서 local path information을 확률적으로 기록 • 많이 수신된 주소일수록 가까운 라우터로 간주 • 멀리 떨어져 있는 라우터의 경우 수신된 패킷의 개수 비교가 부정확 • 높은 확률을 가지고 attack path를 재구성 • 장점 • Efficient and implementable • 단점 • 공격자들이 많을 경우에 구분이 어려움(DDoS 추적 불가능) • Marking field가 spoofing될 수 있음

  18. Route-Based Distributed Packet Filtering • Routing 정보를 사용해서 Packet Filtering을 함 • Distributed fitering • Implement ingress filtering on AS

  19. Key objectives of DPF • Maximize proactive filtering of spoofed packets. • For bogus packets that get through, minimize number of sites that could have sent those packets. ( for IP traceback) • Achieve the two objectives while minimizing the number of sites carrying out route-based filtering. • Find the optimal sites where filtering are to be carried out.

  20. Modeling for DPF • AS Connectivity Graph G(V,E) • V: AS node의 집합 ( |V|=n ) • E: G에 있는 link들의 집합 • Node Type ( V = T ∪ U ) • T: filtering node의 집합 • incoming traffic 뿐만 아니라 internal traffic도 filtering • U: filtering이 없는 node의 집합 • Routing (R) • R(u,v) ⊆£(u,v) • £(u,v) : set of all loop-free paths from u to v

  21. Modeling for DPF • Routing Policies • Tight: single shortest-path routing, |R(u,v)|=1 • Multipath: multiple routing paths, 1 < |R(u,v)| < |£(u,v)| • Loose: any loop-free path routing, R(u,v) =£(u,v) • Route-based filter • Maximal filter • routing path들의 모든 pair( source, destination )를 사용 • Semi-maximal filter • filtering을 수행하기 위해 패킷의 source address만을 사용

  22. Filtering Effect • Spoofing range Sa,t (attaker의 관점) • node a에 있는 attacker가 node t 에 도달하기 위해서 spoofed source IP addreses로 사용될 수 있는 node의 집합 • Candidate range Cs,t (victim의 관점) • Filtering 되지 않고 spoofed IP packet M(s,t)을 보낼 수 있는 노드의 집합

  23. Filtering Effect • No filtering : S1,9 = {0,1,2,3,4,5,6,7,8} • Filtering at AS 8 : S1,9 = {0,1,2,3,4,5} • Filtering at AS 8 and 3: S1,9 = {1,2}

  24. Metric for proactive • Perfect proactivity • Φ1(1):어떤 곳으로부터 spoofed packet이 도달 될 수 없는 AS 의 fraction • Ddos prevention • Φ2(1) : spoofed packet이 다른 AS의 target 에 보낼 수 없는 attack site의 fraction

  25. Metric for reactive • IP Traceback Capability • localization : meaningful for parameter τ≥1 localization • Ψ1(5) : 5site 안에 attack location을 결정할 수 있는 AS의 fraction

  26. Vertex Cover(VC) • VC of G(V,E) • ∀(u,v) ∈ E, u ∈ VC or v ∈ VC • T=VC • filtering 이 없는 U의 node 는 neighbor로 오직 T node만 갖는다.

  27. Impractical perfect proactivity • G: 1997년 Internet connectivity(n=3015,|E|=5230) • T: VC->n • R: Tight • F: Semi-maximal • Φ1(1)=1 is hard to achieve

  28. DDoS Attack Prevention • G: 1997~1999 Internet conn. • T: VC • R: Tight • F: semi-maximal • DPF는 DDoS attack의 수행 능력을 효과적으로 감소 시켰음(Φ2(1)는 약 88%)

  29. IP Traceback Effect(reactive) • Traceback capability • 1997~1999 AS conn • localization to within 5 sites

  30. Maximal vs semi-maxiamal filter • Maximal filter는 quadratic space를 요구하지만 τ=5일 때 성능상 차이점이 없다.

  31. Multi-path Routing • traceback capability의 점진적인 감소 • routing path의 수가 2~3일 때 τ=5~10 에 대해서 Ψ1(τ)≒1 • DPF는 multi-path routing에도 효과적임

  32. Summary • Hash-Based IP Traceback • memory 를 적게 사용 • single packet 의 traceback이 가능 • high-speed router 지원 • Route-Based Distributed Packet Filtering • routing 정보를 사용하여 packet filtering을 함. • BGP에서 구현 될 수 있음 • DoS 과 DDoS attack 을 prevention, protection • Traceback capability

  33. References • Alex C. Snoeren, Craig Patridge, Luis A. Sanchez, Christine E. Jones, “Hash-Based IP Traceback,” SIGCOMM’2001 • Kihong Park, Heejo Lee,“On the Effectiveness of Route-Based Packet Filtering for Distributed DoS Attack Prevention in Power-Law Internets” , SIGCOMM’2001 • Stefan Savage, David Wetherall, Anna Karlin, Tom Anderson, “Practical Network Support for IP Traceback,” SIGCOMM'2000

More Related