Comments
Transcript
実世界に展開可能なDDoS攻撃 防御メカニズム (Deployable DDoS
1/16/10 発表アウトライン • • • • • • • • 実世界に展開可能なDDoS攻撃 防御メカニズム (Deployable DDoS Resiliency) Ph.D. Candidate: Soon Hin Khor Advisor: Assoc. Prof. Akihiro Nakao DDoSの定義と種類 モチベーション 問題点 関連研究 アプローチ 意義 概要 おわりに 2 DDoS種類 Distributed Denial‐of‐Service (DDoS) • スプーフ/ネットワークレイヤDDoS • フィルター不可のDDoS • 経済的DDoS インターネット ネットワーク ボトルネック サーバ ボトルネック 3 スプーフ/ネットワークレイヤDDoSとは 4 フィルター不可のDDoSとは スプーフ ソース 内容 $8&@ ランダム DDoS防御 インターネット 5 6 1 1/16/10 フィルター不可のDDoSとは インターネット + クラウド= 新DDoS 作戦変更: 通常パケット を送っている DDoS防御 インターネット ネットワーク ボトルネック クラウド サーバ ボトルネック 7 新しい問題: 経済的DDoS (eDDoS) 8 深刻な問題 • http://developer.amazonwebservices.com/ connect/message.jspa?messageID=120089 aiCache インターネット $$$ クラウド 9 10 研究のモチベーション eDDoS起こったら。。。 • エンドユーザ調査 • 履歴データ – CSI Computer Crime 2008 – 21%回答者はDoSを受けた – BetCrisのDDoS, Nov 2003, 1.5 – 3Gbps – DNSルートサーバのDDoS, Mar 2007, 1 Gbps • 仮定:1GbpsのDDoS, データ転送コスト:$0.1/GB – 24時間 => 24 * 3600 * $0.1/8 ~ $11,000 • インターネットプロバイダー(ISPs)調査 – ArborNetworks Infrastructure Security Report 2008 – 21%回答者によるとDDoSが管理リソース一番かかった • 測定研究の結果 • インターネット予約制コスト – 「Inferring DDoS」の論文(Savage et al.) – 2001‐2004: 68,700DDoSは5,300ドメインを与えました – T3 (45 Mbps) ~ $3,000 to $12,000/月 – OC3 (155 Mbps) ~ $15,000 to $100,000/月 – http://www.broadbandlocators.com/ DDoSは深刻な問題 11 12 2 1/16/10 課題 モチベーション • 最近10年のDDoS研究: – 2000: CenterTrack, Blackhole routing – 2001: DPF, Traceback ICMP, Algebraic traceback, Various traceback 実世界に展開可能 – 2002: D‐WARD, SOS, Pushback なDDoS防御 – 2003: HCF, Capabilities, Mayday メカニズムはなし – 2004: SIFF – 2005: WebSOS, AITF, TVA, Route & Tunnel – 2006: Speak‐Up, Flow‐Cookies (CAT) – 2007: Portcullis – 2008: Phalanx – 2009: StopIt 実世界に展開可能なDDoS防御メカニズム • 実世界に展開可能なメカニズム • すべてのDDoS種類を対策可能 13 実世界に展開可能: 定義 14 防御のロケーション: サーバ • ファイヤウォールのようなDDoS防御サービス – コストベネフィットトレードオフ (cost‐benefit trade‐off) – 手入れしやすい (manageability) アタッカー アタッカー サーバ アタッカー 実世界に展開可能な問題は? アタッカー アタッカー 15 防御のロケーション: ネットワーク 16 防御のロケーション: クライアント アタッカー アタッカー アタッカー アタッカー サーバ サーバ アタッカー アタッカー アタッカー アタッカー アタッカー 17 アタッカー 18 3 1/16/10 実世界に展開可能な問題の難しい理由 防御のロケーション 防御のロケーション 防御のロケーション サーバ ネットワーク クライアント 効果 サーバでDDoSを防 御. アップリンクの 混雑を解けない リソース DDoSを防御して アップリンクの混雑 を解ける DDoSの源で防御し てアップリンクの混 雑を解ける 実世界に展開可能な問題の難しい理由 ロケーションによっ て利害がある 防御のロケーション 防御のロケーション 防御のロケーション サーバ ネットワーク クライアント DDoSを防御して アップリンクの混雑 を解ける DDoSの源で防御し てアップリンクの混 雑を解ける 効果 サーバでDDoSを防 御. アップリンクの 混雑を解けない 実体身で多くリソー 実体身で多くリソー 実体それぞれで少 スを持てる スを持てる ないリソースを集合 して量が多くになる リソース 実体身で多くリソー 実体身で多くリソー 実体それぞれで少 スを持てる スを持てる ないリソースを集合 して量が多くになる トラフィック分析 すべてのトラフィック 一部のトラフィック 一部のトラフィック トラフィック分析 すべてのトラフィック 一部のトラフィック 一部のトラフィック コレタラル被害 あり なし なし コレタラル被害 あり なし なし インセンティブ 高い 中 低い インセンティブ 高い 中 低い 変更の容易さ 高い 低い 中 変更の容易さ 高い 低い 中 19 実世界に展開可能な問題の難しい理由 防御のロケーション 防御のロケーション 防御のロケーション 協調モデル効 サーバ ネットワーク クライアント 効果 果が一番高い サーバでDDoSを防 御. アップリンクの 混雑を解けない DDoSを防御して アップリンクの混雑 を解ける ミックス 実体身で多くリソー 実体身で多くリソー メカニズム スを持てる スを持てる DDoSの源で防御し てアップリンクの混 雑を解ける 反応性 実体それぞれで少 ないリソースを集合 して量が多くになる トラフィック分析 検出性 すべてのトラフィック 一部のトラフィック 一部のトラフィック コレタラル被害 あり なし なし 実世界に展開 インセンティブ 高い 中 低い 変更の容易さ 高い 低い 中 リソース 20 現在研究実世界に展開可能性 • Deployable Resiliencyメトリック – 変更の容易さ – インセンティブ – 効果 可能な要素 21 22 関連研究 意義 サーバ反応 クライアント反応 防止 抑止 経済的 目標 変更の容易さレベル 変更の容易さレベル サーバ反応 クライアント反応 防止 抑止 丸のサイズ => 効果 インセンティブレベル 23 KUMO 目標 Overfort sPoW AI-RON-E 丸のサイズ => 効果 Burrows インセンティブレベル 24 4 1/16/10 意義(cont.) 問題点 サーバ反応 クライアント反応 防止 抑止 経済的 目標 変更の容易さレベル 実世界に展開可能なDDoS防御メカニズム • 実世界に展開可能なメカニズム • すべてのDDoS種類を対策可能 丸のサイズ => 効果 手法? インセンティブレベル 25 26 アップローチ 研究の時系列 • 経済的フレームワーク – Burrows 実世界に展開可能性を高める • 実世界に展開可能な要素を振興する参考アーキテクチャ 実世界に展開可能性を高める – KUMO • リソースを出し合うインセンティブ • フレームワークに基づいたメカニズム – AI‐RON‐E スプーフ/ネットワークレイヤDDoSバイパス • 混雑に対するクライアント反応 (路線多様) – Overfort • • • • • Burrows Overfort AI‐RON‐E sPoW KUMO スプーフ/ネットワークレイヤDDoS防御 • サーバ反応(トレスバックとブラックリスト)と抑止(クリーンアップ) – sPoW フィルター不可/経済的DDoS防御 • クライアント反応(緊急シグナル) • サーバ反応(接続優先) スプーフ/ネットワークレイヤDDoS防御 27 研究発表アウトライン • • • • 28 Burrows: 学会発表 • Power to the People: Securing One‐Edge at a Time – ACM SIGCOMM Large‐Scale Attack Defence (LSAD) Workshop 2007 – 採択率:45%(オフィシャル) – 修士卒論に基づく 学会発表 意義 概要 結論 – Deployable Resiliency 29 30 5 1/16/10 Burrows: 意義 実世界展開の問題 • カテゴリ: 経済的フレームワーク • 実世界に展開可能要素を持ってるフレームワーク • 実世界に展開可能DDoSメカニズムデザインガイド 実世界展開の要素 インセンティブ 変更の容易さ 協調できない インセンティブ調整 (協調プラットホーム) インフラ分解修理 現在のインフラを保護 (変更の容易さ) セキュリティ無関心な人たちに依存 エクスタネリティの削減 (無関心な人たちを除く) 31 Burrows:アーキテクチャ 32 Burrows:アーキテクチャ 変更の容易さ インタメディアリ (エッジノード) インタメディアリ クライアント インタメディアリ クライアント サーバ サーバ エクスタネリティの削減 (無関心な人たちを除く) エクスタネリティの削減 (無関心人たちを除く) インセンティブ調整 (協調プラットホーム) アタッカー アタッカー インタメディアリ インタメディアリ クライアント インタメディアリ 33 Burrows:結論 34 Overfort:学会発表 • Ovefort: Combating DDoS with Peer‐to‐Peer DDoS Puzzle • インタメディアリに基づいたアーキテクチャ • 実世界に展開可能のDDoSメカニズムデザ インガイド – IEEE International Parallel and Distributed Processing Symposium (IPDPS) Secure Systems and Network (SSN) Workshop 2007 – 採択率: 不明 – 私の研究はBurrowsに基づいて作成すること • Deployable Resiliency – 経済的問題を解決できる 35 36 6 1/16/10 Overfort:意義 Overfort:DDoSパズル • カテゴリ: 守られている サーバ 利用可能 帯域 – サーバ反応(トレスバックとブラックリスト) – 抑止/防止(クリーンアップ) アタックターゲット? アタックの帯域? • 抑止/防止 – DDoSエージェントがあるクラスターをブラックリスト化する DDoSの際でも接続可能 • サーバ反応 – 悪いクラスターを早めに探してサーバのロケーションリ クエストを断る – 安いバーチャルリソースを使う – アタッカーよりリソースが少なくても効果がある アタッカー 帯域 38 37 Overfort Gateway (OFG)モジュール Zombie PC: courtesy of crazy-vincent.com Overfort:DDoSパズル 守られている サーバ 権威のあるDNS PC アタックターゲット? アタックの帯域? PC OFG IP A OFG インターネット DDoS際でも接続可能 OFG OFG OFG スタブルータ 39 40 スタブルータ ローカルDNS (LDNS) Zombie PC: courtesy of crazy-vincent.com OFGの分散実現 Overfort:検出 OFG A: 権威のあるDNS OFG B: - ランドムIP ランドム帯域 OFGモニター LDNS B OFG OFG A OFG OFG インターネット インターネット OFG OFG OFG OFG 41 42 LDNS A OFG B 7 1/16/10 Overfort:検出 考察 OFG A: - LDNS A 権威のあるDNS OFG B: -LDNS B OFGモニター LDNS B OFG A • インターネットに約800,000 LDNSがある • 一対一にはLDNSとOFGマッピング不可 • フィジカルOFGの資格を和らげる – バーチャルリンク – LDNSとバーチャルリンクマッピングアルゴリズム インターネット クラスター 43 OFG B LDNS A 44 実験目的 IP C IP D IP E IP F バーチャルリンク OFGバーチャルリンク • Overfortの展開可能性 – 悪いLDNSを完全に区別したらいくつバーチャル リンクが必要か? • インターネット代表パラメタ – NLDNS: LDNSの合計 – R: 良いLDNSと悪LDNSの割合 インターネット OFG OFG 45 LDNS 46 Overfort:結論 完全に区別できる ハーチャルリンクの数 バーチャルリンクの数のLDNSの合計:線形関数 • ブラックリストでセキュリティの責任をクラ スターのそれぞれアドミンに移転する LDNS = 800,000, R=0.9 => Nadd ~ 120,000 IDs (二つクラスBのIP) • アタッカーよりリソースが少なくてもDDoS防御可能 フィジカルOFG = 120,000/10 = 12,000 ユニット • Deployable Resiliency – 12,000フィジカルOFGでDDoS防御可能 – 一つのISP自身でも展開可能 良いと悪LDNS の率 NLDNSとNaddは線形関数がある – ブラックリストも支配可能 DDoSの種類 スプーフ/ネットワークレイヤDDoS 47 LDNSの合計 チェックリスト 0 (Overfort) フィルター不可のDDoS X eDDoS X 48 8 1/16/10 AI‐RON‐E:学会発表 AI‐RON‐E:意義 • AI‐RON‐E: Prophecy of One‐Hop Source Routers • カテゴリ:クライアント反応(路線多様) • クライアントは混雑路線を防ぐ – IEEE Globecom Next Generation Networks (NGN) Symposium 2008 – 採択率:36.8%(内示) – CPU、メモリ、ネットワークリソース使用は倹約 – 現在のインフラ変更は不必要 • http://www.cs.ucsb.edu/~almeroth/conf/stats/ #globecom 49 50 ワンホップソースルーティング(OSR) 路線混雑 エンドホスト OSRはどれ? One‐hop Source E Routing (OSR) エンドホスト E ルータ P ルータ Q C P Q C D D 51 52 現在の研究の証拠… 路線長さ/レイテンシ • OSRでルンク故障を防ぐ OSRの種類 リンク故障を防ぐ割合 Cha et al (Infocomm ‘06) 77% (intra‐domain) RON (SOSP ‘01) 60‐100% SOSR (OSDI ‘04 ) 66% Fei et al (Infocomm ‘06) 61.9% RON‐DG (ICC ‘07) 60% エンドホスト 路線長さ – 7ホップ E ルータ 39のエンドホストで四つでランドムで選ぶ P Q C D 53 路線長さ – 6ホップ 54 9 1/16/10 スマートOSRを選ぶアルゴリズム リンク故障を防ぐ率 OSRの讖:すべてインターネットルータをOSRさせる エンドホスト E 成功率 = 7/12 ルータ • 相応しいOSRを選ぶアルゴリズム: – ネットワークプロブを倹約して使うこと – 完全のインターネットトポリジーを持っているは ずは無い – 処理リソース使用が少ない 成功率 = 1/3 P Q C D 55 56 結果2:リンク故障を防ぐ率 結果1:路線長さ インダイレクト/ダイレクト=1.6 インダイレクト/ダイレクト=2.3 69% ルンクの数、% 路線の数、% 30%改良 60% SOSR: 66% 七日, 3153デスティネーション インダイレクト線路の長さ/ダイレクト線路の長さ OSRを選ぶ数 57 実世界に展開する上でのはない 58 AI‐RON‐E:結論 • 変更の容易さ(近い将来) • クライアント自身で混雑を防ぐようになる • OSRを選ぶアルゴリズムはライトウエート • Deployable Resiliency – AI‐RON‐Eコードは現在のルータのソースルーティン グコード似ている • 変更無し – 現在のルータはすべて変更無しでOSRさせる – ソーススプーフ技術で使用 DDoSの種類 スプーフ/ネットワークレイヤDDoS 59 チェックリスト サーバ反応対クライアント反応 O (Overfort, AI‐RON‐E) フィルター不可のDDoS X eDDoS X 60 10 1/16/10 KUMO:学会発表 KUMO:意義 • 2010年に発表予定 • カテゴリ:経済的フレームワーク • インタメディアリ/リソースの集合 – 15ページのドラフト準備済み – インタメディアリとして現在のインターネットシス テムのどれも使われる – インタメディアリにとってKUMOのこと(変更無し) • インタメディアリが多い • インターネットで分散されている • 将来のインタメディアリでも使える – ユーティリティコンピューティングDDoS防御 • オーバープロビションリソースでDDoSを対策する 61 62 KUMO:フレームワーク インタメディアリに基づいたアーキテクチャ Write-onceコードエクステンション: データ送信/受信 容易さ インターネット KUMO CDN ぜロインストール IRC クライアントサイド インターネット インタメディアリを 集合の方法は? フォラム I3, Phalanx, SOS KUMO サーバサイド 隠されている サーバ クライアント Web2.0 クライアント サーバ 変更無し トラフィック コントロール機械 変更無し 将来 X ユーティリティ コンピューティング DDoS防御 アタッカー 63 変更無し 64 KUMO:結論 データ転送かかる時間 転送かかる時間(s) インセンティブ 経理 • DDoS防御リソース集合メカニズム • Deployable Resiliency – クライアント、サーバ、インターネットリソースは変更無し – ユーティリティコンピューティングDDoS防御 適度スピード h-forum, h-flickr, h-S3 DDoSの種類 スプーフ/ネットワークレイヤDDoS 速いスピード IRC, I3 < 10kB 速いスピード I3 < 100kB チェックリスト DDoS防御リソースを集合(KUMO) O (Overfort, AI‐RON‐E) フィルター不可のDDoS X eDDoS X フィアルサイズ(log) 65 66 11 1/16/10 sPoW:意義 sPoW:学会発表 • カテゴリ: – クライアント反応(緊急シグナル) – サーバ反応(接続優先) • sPoW: On‐Demand Cloud‐Based eDDoS Mitigation Mechanism – IEEE/IFIP HotDep Workshop 2009 – 採択率:(オフィシャル:37%) • クライアント/サーバ反応 – スプーフ/ネットワークレイヤDDoS • インタメディアリとしてクラウドを使う – フィルター不可DDoS • クライアントは自身のリソース使ってもっと強いシグナルを 送信して優先サービスをもらえる – eDDoS • 自動妥当性PoW – 変更無し 67 68 sPoW:クラウドを使っているKUMO DDoS不可の クラウド Amazon EC2 Cloud インタメディアリ フィルター不可DDoS DDoS不可の クラウド ツラフィック コントロール Amazon EC2 Cloud インタメディアリ 信頼インタメディアリ ローコスト(ユーティリティコンピューティング) スプーフ/ネットワークレイヤDDoS防御 多いリソース 少数インタメディアリ => トンネルセットアップの容易さ => 隠されているプライベート IP クライアント Google AppEngine インタメディアリ フィルター不可DDoS サーバ クライアント 69 Google AppEngine インタメディアリ アタッカー PoW (cont.) PoW 妥当性機 4 5 リクエスト/s クライアント サーバ 3 アタッカー 3 3 3 PoW 妥当性機 Amazon EC2 Cloud インタメディアリ 4 3 3 2 4 3 3 3 3 3 5 リクエスト/s サーバ クライアント パズル ディストリビューター 1 DDoS不可の クラウド 70 Proof‐of‐Work (PoW) Amazon EC2 Cloud インタメディアリ サーバ サーバはどこ ツラフィック コントロール DDoS不可の クラウド パズル ディストリビューター 3 桁はパズルのレベル 71 アタッカー 1 2 4 72 12 1/16/10 PoW (cont.) Why Existing Mechanism Can’t Use Cloud: eDDoS PoW 正し解決したパズルの 妥当性機 パケットを中継ぎする Amazon EC2 Cloud インタメディアリ PoW 妥当性機 Amazon EC2 Cloud インタメディアリ 3 $ $ $ 4 3 5 リクエスト/s 3 3 クライアント 3 サーバ 4 5 リクエスト/s ? パズル ディストリビューター 1 2 4 73 パズル ディストリビューター ? ? 3 アタッカー サーバ アタッカーはパズルを解決せず に悪パケットを送信する クライアント 3 ? アタッカー 1 2 4 74 自動妥当性PoW (sPoW) Why Existing Mechanism Can’t Use Cloud: eDDoS サーバチャネル(Amazon SQS) PoW 妥当性機 Amazon EC2 Cloud インタメディアリ $ $ $ $$$$$ 4 ? ? 3 アタッカー ? 5 リクエスト/s $ a $ b $ c $ d チャネルC 1 ? サーバ クライアント クライアント 2 4 – インタメディアリとしてクラウドを変更無しで使える – ユーティリティコンピューティングDDoS防御 O (Overfort, AI‐RON‐E, KUMO, sPoW) フィルター不可のDDoS O (sPoW: PoW) eDDoS O (sPoW: Self‐verifying) a c d 76 DDoS吹かな クラウド KUMOサーバサイド (アップリケーション変更無し) クラウド インタメディアリ AI‐RON‐Eオラクル 1. インターネットのコンポーネントは無し 2. コンポーネント ~ 少数/レプリケート可能 サーバ 3. コンポーネントインストールインセンティブあり • Deployable Resiliency スプーフ/ネットワークレイヤDDoS b 実世界に展開可能マルチレイヤDDoS 防御 • クライアントの自身リソースの使用量によってク ライアントのパケットを優先された • インタメディアリ/サーバのリソース使用を減らす チェックリスト パズル ディストリビューター 75 sPoW:結論 DDoSの種類 2 c 3 1 サーバ 1. 妥当性機無し 2. 妥当性が証明された トラフィック パズル ディストリビューター アタッカー 儚いチャネル AI‐RON‐Eクライアント インターネット KUMO クライアントサ イド(ゼロインストール) OFGモニター A sPoWパズル ディストリビューター クライアント B アタッカー 77 C アタッカー 権威のあるDNS 78 13 1/16/10 将来の研究 意義 変更の容易さレベル サーバ反応 クライアント反応 防止 抑止 経済的 • KUMO Rubyネットワークスタックの調整 KUMO Goal Overfort – パフォーマンスを上げるために sPoW AI-RON-E • ネットワークスタックをCとJavaにポートする – パフォーマンスとゼロインストールサクライアントポートのために • Amazon Web ServicesでDDoS防御サービスを創設する • 新しいインタメディアリを開発 丸のサイズ => 効果 – 大きいフィアルサイズ転送 – より速い転送レート – クラウドインフラ変更無しのデザイン Burrows • 国際学会で発表してeDDoSの業界の意識を上げる – Usenix HotCloud, ACM SOCC インセンティブレベル 79 • ISP/クラウドプロバイダーとの実世界への展開協調 80 参考論文 参考論文(cont.) Abadi, M., Burrows, M., Manasse, M. & Wobber, T. (2003). Moderately Hard, Memory‐bound Functions. In Network and Distributed System Security Symposium (NDSS). Abley, J. & Lindqvist, K. (2006). RFC 4786: Operation of Anycast Services (http://www.ietf.org/rfc/rfc4786.txt). Akamai Technologies (2008). State of the Internet Quarterly Reports (http://www.akamai.com/stateoftheinternet/). • Akamai Technologies (2009). Akamai Technologies (http://www.akamai.com/). Amazon Cloud Computing Forum (2009). Unaddressed DDoS Concernsin Amazon’s Cloud (http://developer.amazonwebservices.com/connect/ search.jspa?q=DDoS). Amazon Web Services (2009a). Amazon Simple Queue Services (SQS) (http://aws.amazon.com/sqs/). Amazon Web Services (2009b). Amazon Simple Storage Services (S3) (http://aws.amazon.com/s3/). Amazon Web Services (2009c). Amazon’s Web Services Case Studies (http://aws.amazon.com/solutions/case‐studies/). • • Amazon Web Services (2009d). Elastic Compute Cloud (EC2) (http://aws.amazon.com/ec2/). American Registry for Internet Numbers (ARIN) (2009). ARIN IPv4 Depletion Notice (https://www.arin.net/knowledge/about_resources/ ceo_letter.pdf). Andersen, D. (2003). Mayday: Distributed Filtering for Internet Services. In USENIX Symposia on Internet Technologies and Systems (USITS). Andersen, D., Balakrishnan, H., Kaashoek, F. & Morris, R. (2001). Resilient Overlay Networks. In ACM Symposium on Operating Systems Principle (SOSP). Anderson, T., Roscoe, T. & Wetherall, D. (2002). Preventing Internet Denial‐of‐Service with Capabilities. In ACM Hot Topics in Networks (Hotnets). • • Anjum, F.M. (2004). TCP Algorithms and Multiple Paths: Considerations for the Future of the Internet. Arbor Networks (2005). Annual Infrastructure Security Report (http://www.arbornetworks.com/report). • • • Arbor Networks (2009). Arbor PeakFlow TMS (http://www.arbornetworks.com/peakflowsp). Arends, R., Austein, R., Larson, M., Massey, D. & Rose, S. (2005). Resource Records for DNS Security Extensions (http://www.ietf.org/rfc/rfc4034.txt). Argyraki, K. & Cheriton, D.R. (2005). Active Internet Traffic Filtering: Real‐time Response to Denial‐of‐Service Attacks. In USENIX Annual Technical Conference (ATC). Aura, T., Nikander, P. & Leiwo, J. (2000). DOS‐resistant Authentication with Client Puzzles. Bellovin, S., Leech, M. & Taylor, T. (2003). ICMP Traceback Messages. Internet Drafts. Biondi, P. & Ebalard, A. (2007). IPv6 Routing Header Security. In Canada Security West Conference (CANSECWEST). Bram Cohen (2009). BitTorrent (http://www.bittorrent.com). Butler, K., Farley, T., McDaniel, P. & Rexford, J. (2009). A Survey of BGP Security Issues and Solutions. In Proceedings of IEEE. • • • • • • • • • • • • • • • • • • • Casado, M., Akella, A., Cao, P., Provos, N. & Shenker, S. (2006). Cookies Along Trust‐Boundaries (CAT): Accurate and Deployable Flood Protection. In USENIX Steps to Reducing Unwanted Traffic on the Internet (SRUTI). ccNSO (2009). DNSSec Survey Report 2009. ICANN. Cha, M., Moon, S., Park, C.D. & Shaikh, A. (2006). Placing Relay Nodesfor Intra‐Domain Path Diversity. In IEEE INFOCOM. • Chen, X., Wang, H., Ren, S. & Zhang, X. (2006). DNScup: Strong Cache Consistency Protocol for DNS. In IEEE International Conference for Distributed Computing Systems(ICDCS). Cisco Networks (2009a). Cisco Anomaly Guard (http://www.cisco.com/en/US/products/ps6235/index.html). • • • Cisco Networks (2009b). Understanding Unicast Reverse Path Forwarding (http://www.cisco.com/web/about/security/intelligence/unicast‐rpf.html). Computer Emergency Response Team (CERT) (2009). Build Security In (https://buildsecurityin.us‐cert.gov/daisy/bsi/home.html). Computer Security Institute (2008). CSI Computer Crime and Security Report (http://www.gocsi.com/). • • Cook, D.L., Morein, W.G., Keromytis, A.D., Misra, V. & Rubenstein, D. (2003). WebSOS: Protecting Web Servers From DDoS Attacks. In IEEE International Conference on Network (ICON). Dagon, D., Zou, C. & Lee, W. (2006). Modeling Botnet Propagation Using Time Zones. In Network and Distributed System Security Symposium (NDSS). • • • Dean, D. & Stubblefield, A. (2001). Using Client Puzzles to Protect TLS. In USENIX Security Symposium. DETERlab (2000). DETERlab Testbed (http://www.isi.edu/deter/). Dierks, T. & Rescorla, E. (2008). The Transport Layer Security (TLS) Protocol v1.2 (http://www.ietf.org/rfc/rfc5246.txt). • • Dingledine, R. & Nick (2004). Tor: The Second‐Generation Onion Router. In USENIX Security Symposium. Dixon, C., Anderson, T. & Krishnamurthy, A. (2008). Phalanx: Withstanding Multimillion‐Node Botnets. In USENIX Network Systems Design and Implementation (NSDI). Dwork, C. & Naor, M. (1993). Pricing via Processing or Combatting Junk Mail. In CRYPTO. Dwork, C., Goldberg, A. & Naor, M. (2003). OnMemory‐bound Functions for Fighting Spam. In CRYPTO. Fei, T., Tao, S., Gao, L. & Guerin, R. (2006). How to Select a Good Alternate Path in Large Peer‐to‐Peer Systems. In IEEE INFOCOM. • • • • • • • Ferguson, D. & Senie, P. (2000). RFC 2827: Network Ingress Filtering (http://www.ietf.org/rfc/rfc2827.txt). Ferguson, P. & Senie, D. (1998). RFC 2267: Network Ingress Filtering: Defeating Denial of Service Attacks which employs IP source address spoofing (http://www.ietf.org/rfc/rfc2267.txt). Franklin, J., Paxson, V., Perrig, A. & Savage, S. (2007). An Inquiry into the Nature and Causes of the Wealth of Internet Miscreants. In ACM Computer and Communications Security (CCS). Freedman, M., Freudenthal, E. & Mazieres, D. (2004). Democratizing Content Publication with Coral. In USENIX Network System Design and Implementation(NSDI). 81 82 参考論文(cont.) 参考論文(cont.) • • • • Google (2009). Google App Engine (http://code.google.com/appengine/). Greene, B.R., Morrow, C. & Gemberling, B. (2001). ISP Security – Real World Techniques II. North America Network Operators Group (NANOG). Greenhalgh, A., Handley, M. & Huici, F. (2005). Using Routing and Tunneling to Combat DoS Attacks. In USENIX Steps to Reducing Unwanted Traffic on the Internet (SRUTI). Gummadi, K.P., Madhyastha, H.V., Gribble, S.D., Levy, H.M. & Wetherall, D. (2004). Improving the Reliability of Internet Paths with One‐hop Source Routing. In USENIX Operating Systems Design and Implementation (OSDI). ha.ckers.org (2009). Slow Loris HTTP DoS (http://ha.ckers.org/slowloris/). • Madhyastha, H., Isdal, T., Piatek, M., Dixon, C., Anderson, T., Krishnamurthy, A. & Venkataramani, A. (2006). iPlane: An Information Plane for Distributed Services. In USENIX Operating System Design and Implementation (OSDI). Mahajan, R., Bellovin, S.M., Floyd, S., Ioannidis, J., Paxson, V. & Shenker, S. (2002). Controlling High Bandwidth Aggregates in the Network. ACM Computer Communication Review (CCR). Mahimkar, A., Dange, J., Shmatikov, V., Vin, H. & Zhang, Y. (2007). dFence: Transparent Network‐based Denial of Service Mitigation. In USENIX Network Systems Design and Implementation (NSDI). Markopoulou, A., Iannaccone, G., Bhattacharyya, S., nee Chuah, C. & Diot, C. (2004). Characterization of Failures in an IP Backbone. In IEEE INFOCOM. • • • Haddad, I. (2001). Open‐Source Web Servers: Performance on a Carrier‐Class Linux Platform (http://www.linuxjournal.com/article/4752). 123 Hoff, C. (2008). Cloud Computing Security From DDoS (http://www.rationalsurvivability.com/blog/?p=66). Hsieh, H.Y. & Sivakumar, R. (2002). A Transport Layer Approach for Achieving Aggregate Bandwidths On Multi‐Homed Mobile Hosts. In ACM Mobicom. • • • Massachusetts Institute of Technology (2009). Spoofer Project: Current State of IP Spoofing (http://spoofer.csail.mit.edu/summary.php). Mirkovic, J. & Reiher, P. (2004). A Taxonomy of DDoS Attack and DDoS Defense Mechanism. In ACM Computer Communications Review (CCR). Mirkovic, J., Prier, G. & Reiher, P. (2002). Attacking DDoS at the Source.In IEEE International Conference on Network Protocols (ICNP). • • Huston, G. (1999). Interconnection, Peering, and Settlements. In Internet Society INET. Intelliguard (2009). Intelliguard dps (http://www.intelliguardit.net/Docs/Whitepapers/IntelliGuardIT_Inline_Deployment_Whitepaper.pdf). • • • • • InternetWorld Stats (2009). Usage and Population Statistics (http://www.internetworldstats.com/stats.htm). Jin, C., Wang, H. & Shin, K.G. (2003). Hop‐Count Filtering: An Effective Defense Against Spoofed DDoS Traffic. In ACM Computer and Communications Security (CCS). Kent, S., Lynn, C. & Seo, K. (2000). Secure Border Gateway Protocol (SBGP). In IEEE Journal on Selected Areas of Communication. • • Keromytis, A., Misra, V. & Rubenstein, D. (2002). SOS: Secure Overlay Services. In ACM Special Interest Group in Communications (SIGCOMM). Khor, S.H. & Nakao, A. (2008a). AI‐RON‐E: The Prophecy of One‐hopSource Routers. In IEEE Globecom Next Generation Networks Symposium. • • • Mirkovic, J., Robinson, M. & Reiher, P. (2003). Alliance formation for DDoS defense. In Applied Computer Security Associates (ACSA) New Security Paradigms Workshop (NSPW). Mirkovic, J., Fahmy, S., Reiher, P. & Thomas, R. (2009). How to Test DDoS Defenses. In Cybersecurity Applications & Technology Conference For Homeland Security (CATCH). Mockapetris, P. (1987). Domain Names: Implementation and Specification (http://www.ietf.org/rfc/rfc1035.txt). Moore, D., Voelker, G.M. & Savage, S. (2001). Inferring Internet Denial‐of‐Service Activity. In USENIX Security Symposium. Moore, D., Paxson, V., Savage, S., Shannon, C., Staniford, S. & Weaver, N. (2003). Inside the Slammer Worm. IEEE Security and Privacy Magazine. • • Khor, S.H. & Nakao, A. (2008b). Overfort:Combating DDoS with Peer‐to‐Peer DDoS Puzzle. In IEEE Secure Systems and Nework Workshop. Khor, S.H. & Nakao, A. (2009). sPoW: On‐Demand Cloud‐based eDDoS Mitigation Mechanism. In IEEE/IFIP Hot Topics in Dependency WorkShop (HOTDEP). Khor, S.H., Christin, N., Wong, T. & Nakao, A. (2007). Power to the People: Securing the Internet One Edge at a Time. In ACM Large Scale Attack and Defense (LSAD). Kuzmanovic, A. & Knightly, E.W. (2003). Low‐Rate TCP‐Targeted Denial of Service Attacks. In ACM Special Interest Group in Communications (SIGCOMM). Liu, X., Yang, X. & Lu, Y. (2008). To Filter or to Authorize: Networklayer DoS Defense Against Multimillion‐Node Botnets. In ACM Special Interest Group for Communications (SIGCOMM). Looking Glass (2009). Looking glass (http://www.bgp4.net/wiki/doku.php?id=tools:ipv4_looking_glasses). • • National Institute of Science and Technology (NIST) (1993). Data Encryption Standard (http://csrc.nist.gov/publications/fips/fips46‐3/fips46‐3.pdf). Oikarinen, J. & Reed, D. (1993). RFC 1459: Internet Relay Chat (http://www.ietf.org/rfc/rfc1459.txt). • • OnlineMQ (2009). OnlineMQ (http://www.onlinemq.com). Park, K. & Lee, H. (2001). On the Effectiveness of Route‐based Packet Filtering for distributed DoS Attack Prevention in Power‐Law Internets. In ACM Special Interest Group for Communications (SIGCOMM). Parno, B., Wendlandt, D., Shi, E., Perrig, A., Maggs, B. & Hu, Y.C. (2007). Portcullis: Protecting Connection Setup from Denial‐of‐Capability Attacks. In ACM Special Interest Group for Communications (SIGCOMM). Planet Lab (2002). Planet Lab Consortium (http://www.planet‐lab.org/consortium). Poole, L. & Pai, V.S. (2008). ConfiDNS: Leveraging Scale and History to Detect Compromise. In USENIX Annual Technical Conference (ATC). • • • • • • • • 83 • • • • • • Prolexic (2009). Network Protection Services (http://www.prolexic.com). Qazi, S. & Moors, T. (2007). Scalable Resilient Overlay Networks Using Destination‐Guided Detouring. In IEEE International Conference on Communications (ICC). 84 14 1/16/10 参考論文(cont.) • • • • • • • • • • • • • • • 参考論文(cont.) Rajab, M.A., Zarfoss, J., Monrose, F. & Terzis, A. (2007). My Botnet is Bigger than Yours. In USENIX Hot Topics in Botnets (HOTBOT). Ramasubramanian, V. & Sirer, E.G. (2004). The Design and Implementation of a Next Generation Name Service for the Internet. In ACM Special Interest Group for Communications (SIGCOMM). Rekhter, Y. & Li, T. (1995). RFC 1771: Border Gateway Protocol (BGP) (http://www.ietf.org/rfc/rfc1771.txt). • Rhea, S., Godfrey, B., B.Karp, Kubiatowicz, J., Ratnasamy, S. & Shenker, S. (2005). OpenDHT: A Public DHT Service and its Uses. In ACM Special Interest Group for Communications (SIGCOMM). Rose, C. & Gordon, J. (2003). Internet Security and the Tragedy of the Commons. In Journal of Business and Economics Research. • RouteViews (2005). University of Oregon Route Views Project (http://www.routeviews.org/). Rowland, C. (1996). Covert Channels in the TCP/IP Suite. In First Monday, Peer Reviewed Journal on the Internet. sacrine (2009). Sil v1.0 ‐ A tiny banner grabber (http://www.netric.org). Saltzer, J. & Schroeder, M. (1975). The protection of information in computer systems. Savage, S., Anderson, T., Aggarwal, A., Becker, D., Cardwell, N., Collins, A., Hoffman, E., Snell, J., Voelker, A.V.G. & Zahorjan, J. (1999). Detour: a Case for Informed Internet Routing and Transport. In IEEE Micro. Savage, S., Wetherall, D., Karlin, A. & Anderson, T. (2000). Practical Network Support for IP Traceback. In ACM Special Interest Group for Communications (SIGCOMM). Shapiro, C. & Varian, H. (1998). Networks and Positive Feedbacks Shi, E., Stoica, I., Andersen, D. & Perrig, A. (2006). OverDoSe: A Generic DDos Protection Service Using an Overlay Network. • • • • • • Snoeren, A.C., Partridge, C., Sanchez, L.A., Jones, C.E., Tchakountio, F., Schwartz, B., Kent, S.T. & Strayer, W.T. (2002). Single‐packet IP traceback. In IEEE/ACM Transactions on Networking (TON). Spring, N., Mahajan, R., Wetherall, D. & Anderson, T. (2004). Measuring ISP Topologies with Rocketfuel. IEEE/ACM Transactions in Networking. • • Sun Microsystems (2009b). Java Web Start (http://java.sun.com/javase/technologies/desktop/javawebstart/index.jsp). • • • • • • • • Stoica, I., Adkins, D., Zhuang, S., Shenker, S. & Surana, S. (2002). Internet Indirection Infrastructure. In ACM Special Interest Group for Communications (SIGCOMM). Stone, R. (2000). CenterTrack: an IP overlay network for tracking DoS floods. In USENIX Security Symposium. Subramaniam, K. (2008). Cloud Computing Risks eDoS (http://www.cloudave.com/link/cloud‐computing‐risks‐edos). Sun, H., Lui, J.C.S. & Yau, D.K.Y. (2006). Distributed Mechanism in Detecting and Defending Against the Low‐rate TCP Attack. Computer Networks Journal . Sun Microsystems (2009a). Java Applets (http://java.sun.com/applets). • • • • • • Symantec (2008). Symantec report on the underground economy (http://eval.symantec.com/mktginfo/enterprise/white_papers/b‐ whitepaper_underground_economy_report_11‐2008‐14525717.en‐us.pdf.). T. Ylonen and C. Lonvick (2006). The Secure Shell (SSH) Authentication Protocol (http://www.ietf.org/rfc/rfc4252.txt). Team CYMRU (2009). CYMRU IP to ASN Service (http://www.team‐cymru.org/Services/ip‐to‐asn.html). Teixeira, R., Marzullo, K., Savage, S. & Voelker, G.M. (2003). In search of path diversity in ISP networks. In ACM Internet Measurement Conference (IMC). Thomas, R. & Martin, J. (2006). Underground Economy: Priceless. In USENIX ;login:. Traceroute (1987). Traceroute (http://www.openbsd.org/cgi‐bin/man.cgi?query=traceroute). Turner, J. (2004). Virtualizing the Net ‐ a strategy for enabling network innovation [Keynote 2]. In IEEE Symposium on High Performance Interconnects. von Ahm, L., Blum, M., Hooper, N. & Langford, J. (2004). CAPTCHAS: Using Hard AI Problems for Security. In EuroCrypt . Walfish, M., Vutukuru, M., Balakrishnan, H., Karger, D. & Shenker, S. (2006). Ddos defense by offense. In ACM Special Interest Group for Communications (SIGCOMM). Wang, J., Liu, X. & Chien, A.A. (2005). Empirical Study of Tolerating Denial‐of‐Service Attacks with a Proxy Network. In USENIX Security Symposium. Wang, L., Park, K.S., Pang, R., Pai, V. & Peterson, L. (2004). Reliability and Security in the CoDeeN Content Distribution Network. In USENIX Annual Technical Conference (ATC). Wang, X. & Reiter, M.K. (2003). Defending Against Denial‐of‐Service Attacks with Puzzle Auctions. In IEEE Symposium on Security and Privacy. White, B., Lepreau, J., Stoller, L., Ricci, R., Guruprasad, S., Newbold, M., Hibler, M., Barb, C. & Joglekar, A. (2002). An Integrated Experimental Environment for Distributed Systems and Networks. In USENIX Operating Systems Design and Implementation (OSDI). Yaar, A., Perrig, A. & Song, D. (2004). SIFF: A Stateless Internet Flow Filter to Mitigate DDoS Flooding Attacks. In IEEE Symposium on Security and Privacy. YAML (2009). Yet Another Mark‐up Language (http://www.yaml.org/spec/1.2/spec.html). Yang, X. & Wetherall, D. (2006). Source Selectable Path Diversity via Routing Deflections. In ACM Special Interest Group for Communications (SIGCOMM). Yang, X., Wetherall, D. & Anderson, T. (2005). A DoS‐limiting Network Architecture. In ACM Special Interest Group for Communications (SIGCOMM). Zhang, Z., Zhang, Y., Hu, Y.C. & Mao, Z.M. (2007). Practical Defenses Against BGP Prefix Hijacking. In ACM CoNEXT. 85 86 My Toil (cont.) My Toil • KUMO • Simulation code for Overfort – KUMO network stack (Ruby and Java (unmaintained)) – Simulation for trace‐back and punish algorithm • Input parameters: 2 • Operational parameters: 5 (Number of requesters, Good vs. bad ratio, Request inter‐arrival time) • Output statistics: 2 • AI‐RON‐E • • • • • Transmission/Reception over multipath Fragmentation/Reassembly Lost packet request/retransmission Unreliable channel tracking Plug‐in support Multipath Capability – Plug‐ins • IRC, forum, Flickr (Web 2.0), Amazon’s S3, I3, direct, hybrid) – Components – Experiment deployment on Planet‐Lab nodes • Oracle code (Respond to traceroute) • Client code (Traceroute to target, Consult oracle, Determine failure‐mask ability) • Covert channel data transmission code (IP spoofing) Indirection Code • Bullet time concept to enable experiments with more nodes • Transfer 5 file sizes over 9 intermediary types by 20 nodes = 900 runs • Transfer 5 file sizes over 2 intermediary types by 10 nodes over 4 DoS conditions = 400 runs – Experiment deployment on Planet‐Lab nodes • 100 oracles, 15 clients, 25 targets ~ 375 paths 87 88 My Toil (cont.) • sPoW – Server‐side • • • • Intermediary listener Connection manager Puzzle generator Puzzle distributor – Client‐side • Puzzle requester/resolver – Simulation/Experiment (In Progress) • How connection establishment time under DoS is affected by: – – – – – Number of server connections Puzzle level of attacker (fixed) Puzzle level Number of attackers [3 times (60), 10 times (200), and 20 times (400)] Algorithm parameter, T (puzzle resolution/request calculation period) • 3.5 papers 89 15