...

分散 SYN Flood 攻撃防御のための 構築可能なオーバーレイネットワーク

by user

on
Category: Documents
12

views

Report

Comments

Transcript

分散 SYN Flood 攻撃防御のための 構築可能なオーバーレイネットワーク
分散 SYN Flood 攻撃防御のための
構築可能なオーバーレイネットワーク
大阪大学 大学院情報科学研究科
情報ネットワーク学専攻 博士前期課程
大下 裕一
2004/12/16
IN研究会
1
目次
ƒ
ƒ
ƒ
ƒ
ƒ
DDoS 攻撃の現状と攻撃のしくみ
現状の防御手法の問題点
オーバーレイネットワークを用いた防御手法
提案手法の評価
まとめと今後の課題
2004/12/16
IN研究会
2
DDoS 攻撃とは
ƒ 攻撃者は複数の端末に攻撃プログラムを仕
掛ける
ƒ 大量のパケットを攻撃対象に送信する
攻撃に使われる
端末
被害者
攻撃者
2004/12/16
IN研究会
3
DDoS 攻撃の現状
ƒ ネットワークの普及にともない、攻撃も増加
ƒ 大手サイトも被害を受け、大きな損失を出している
ƒ
ƒ
DDoS 攻撃の大規模化
DDoS 攻撃のほとんどがSYN Flood 攻撃
ƒ SYN パケットのみを送信することにより攻撃が成立し、簡
単に攻撃を行うことができるため
ƒ DoS 攻撃の 9 割が SYN Flood 攻撃[1]
[1] D. Moore, G.M. Voelker, and S. Savage, “Inferring internet Denial-of-Service activity,”
Proceedings of the 2001 USENIX Security Symposium, pp.9–22, August 2001.
2004/12/16
IN研究会
4
SYN Flood 攻撃とは
ƒ 通常の 3-way handshake
クライアント
SYN
ACK
backlog-queue
SYN/ACK
3-way handshake が終了するまでは
backlog-queueと呼ばれる待ち行列で管理
上限数が設けられている
サーバ
2004/12/16
IN研究会
5
SYN Flood 攻撃とは
ƒ 攻撃の挙動
backlog-queue があふれるため
以降の接続要求を受けることができない
攻撃者
送信元アドレスを偽った大量のSYN
送信元アドレスを偽ったSYN
backlog-queue
ACK が返ってこないため
接続要求はタイムアウトまで
Backlog-queue に保持される
SYN/ACK
被害者
2004/12/16
IN研究会
6
SYN Flood 攻撃のサーバ側での対策
ƒ SYN Cache
ƒ Backlog queueを長く保持できるようにすることにより耐性を上
げる
ƒ 未開設のコネクションを保持するデータ構造を小さくする
ƒ 検索にハッシュを用いる
ƒ SYN Cookie
ƒ Backlog queue を内部に保持しないことにより耐性を上げる
ƒ コネクションに必要な情報をSYN/ACK のシーケンス番号につける
ƒ クライアントからの ACK パケットの ACK 番号により、3-way
handshake の最後のパケットかを判別
ƒ サーバの耐性は高くなるが、大規模な攻撃にまで耐える
ことはできない
2004/12/16
IN研究会
7
従来の Firewall
分散箇所で防御を行い、
スケーラビリティを確保
する必要がある
クライアント
攻撃者
クライアント
クライアント
対策箇所は一箇所
なのでスケーラビリ
ティに乏しい
攻撃パケットの識別
攻撃
被害者
攻撃者
クライアント
クライアント
2004/12/16
正常なパケットのみ
を被害者へ転送
攻撃者が攻撃ノード
を増やすと攻撃レー
攻撃者 トが高くなる
IN研究会
8
研究の目的
ƒ 大規模な攻撃にも耐えることができる
分散防御システムを構築
ƒ 攻撃パケットを分散箇所で遮断
ƒ 通常のパケットの保護
2004/12/16
IN研究会
9
提案手法の概要
分散箇所で防御するために
大規模な攻撃にも耐えることが
クライアント
出来る
クライアント
クライアント
オーバーレイネットワークを構築
攻撃者
クライアント
2004/12/16
クライアント
オーバーレイネットワークを通じて
被害者
防御ノード同士が連携
正常なパケットをオーバーレイ
ネットワークで伝送し、保護
攻撃パケットの
識別・遮断
攻撃者
IN研究会
10
対策の手順
ƒ 攻撃検出
ƒ 被害者の近くで、攻撃の発生を検出
ƒ 攻撃検出情報の伝播
ƒ 攻撃検出情報を伝播し、対策を開始する
ƒ 攻撃パケットの遮断・正常パケットを保護
ƒ パケットを識別し、正常パケットを保護する
ƒ 攻撃終了検出
ƒ 攻撃の終了を検出し、対策を終了する
2004/12/16
IN研究会
11
攻撃検出
ƒ 検出を行う箇所
ƒ 検出が容易な被害者側で行う
ƒ 攻撃者側−攻撃パケットが少なく、検出が難しい
ƒ 被害者側−攻撃パケットが多く比較的検出が簡単
ƒ 検出手法
ƒ SYN パケットの到着レートと正規分布を比較する方法[2]
ƒ 通常のSYNパケットの到着レートが正規分布でモデル化可能で
あることにもとづく
ƒ トラヒックの時間変化によらず検出可能
[2] Y. Ohsita, S. Ata, and M. Murata, “Detecting distributed Denial-of-Service attacks by
analyzing TCP SYN packets statistically,” Proceedings of IEEE Globecom 2004,
November2004.
2004/12/16
IN研究会
12
攻撃検出情報の伝播
クライアント
クライアント 攻撃検出情報
の伝播
クライアント分散箇所での
防御の開始
攻撃検出情報
攻撃を検出
被害者
攻撃者
攻撃
クライアント
2004/12/16
クライアント
攻撃者
IN研究会
13
攻撃パケットの識別・遮断
ƒ 攻撃パケットに対して SYN/ACK パケットを送った場合、
ACKパケットが返されないことを利用
3-way サーバに代わり、
handshake 中のコネクショ
SYN/ACKをクライアント
ンは防御ノードで保持
に返す
SYN
クライアント
ACK
SYN/ACK
防御ノード
このように攻撃でないと確認され
たコネクション以外は遮断可能3-way handshake の終了が
確認できたフローのみ、サー
バとのコネクションを貼る
2004/12/16
IN研究会
サーバ
14
未開設コネクションの管理
ƒ SYN Cache を用いる
ƒ 送信元アドレス, ポート番号, 宛先アドレス, ポート番号 を用いて
ハッシュ値を得る
ƒ 同一のハッシュ値となった接続要求はリストに保持
ƒ リストの最大長は制限され、あふれた場合は古いものから削除
ハッシュテーブル
リスト
送信元アドレス
宛先アドレス
送信側シーケンス番号
ハッシュ値
受信側シーケンス番号
宛先ポート
2004/12/16
IN研究会
送信元ポート
15
正常トラヒックの伝達
ƒ オーバーレイネットワークを用いて転送
正常なコネクションと確認
クライアント
オーバレーネットワーク
を用いて被害サーバとの
コネクションを確立する
被害者
TCP
コネクション
防御ノードでは二つのコ
ネクションの中継を行う
2004/12/16
IN研究会
16
攻撃終了検出
ƒ 攻撃終了の条件
ƒ 対策を終了することにより保護されていた正常な
パケットが攻撃パケットと混ざらない
ƒ より被害者側の防御ノードにおいて攻撃パケットが存
在しない
ƒ 自分自身において攻撃パケットが存在しない
ƒ 3-way handshake を完了できないコネクションの数が
少ない
2004/12/16
IN研究会
17
代理応答終了の手順
クライアント
クライアント
攻撃終了情報
を送る
攻撃終了を検出
攻撃が終了しているかを
調べる
代理応答の終了
攻撃終了情報
を送る
攻撃終了を
被害者
検出
代理応答を
終了
クライアント
攻撃が終了していれば
代理応答を終了
2004/12/16
クライアント
IN研究会
18
提案方式の評価
ƒ シミュレーションを用いて、既存のFirewall と
提案方式の比較を行う
ƒ すべての攻撃パケットは一般ユーザと同じ防御
ノード を経由しているものとする
クライアント
インターネット
被害者
攻撃者
2004/12/16
シミュレーションの
想定する環境
IN研究会
19
SYN パケット廃棄率
ƒ 攻撃レートに対して、正常なクライアントからの SYN パケット
が廃棄される確率を調べた
ƒ 攻撃者側で対策を行った場合は SYN パケットの廃棄率を
改善できる
パケットの廃棄率
SYN
ƒ RTTが小さく、正常なコネクションがbacklog queueにとどまる時間が
60万 SYNs/sec
短いため
1
0.8
対策なし
0.6
被害者側 Firewall
0.4
0.2
0
2004/12/16
提案手法
10
100
IN研究会
1000
10000
攻撃レート
100000 (SYNs/sec)
20
対策の時間経過
ƒ 正常トラヒックと攻撃トラヒックを混在させる
ƒ 攻撃検出・検出情報伝播・対策開始の一連の提案
メカニズムを動作させる
攻撃トラヒック
500,000
30
20
10
0
パケット到着レート (SYNs/sec)
SYN
パケット到着レート (SYNs/sec)
SYN
正常トラヒック(阪大のゲートウェイでキャプチャ)
50
2004/12/16
100 150
200
250
0
時間(sec)
IN研究会
50
100 150
200
250
時間(sec)
21
対策の時間経過
ƒ 提案手法は、迅速に連携をとり、防御を開始
ƒ 攻撃検出が伝達されるまでの時間があるために、攻撃開始
直後は廃棄率が高い
1
パケットの廃棄率
SYN
被害者側で対策
0.8
攻撃開始
攻撃終了
0.6
エッジのノードで代理応答開始
0.4
0.2
0
2004/12/16
IN研究会
提案手法
50
100 150
200
250
時間(sec)
22
まとめと今後の課題
ƒ まとめ
ƒ オーバーレイネットワークを用いたSYN Flood に
対する分散防御機構の提案を行った
ƒ シミュレーションにより、提案手法が効果的に攻
撃パケットを遮断することを確認した
ƒ 今後の課題
ƒ 経路が保証されてない箇所への対策機構の導入
2004/12/16
IN研究会
23
Fly UP