Защита от DDoS–атак основанная на истории IP фильтрования
Авторы: Tao Peng, Christopher Leckie, Kotagiri Ramamohanarao
Источник:http://ww2.cs.mu.oz.au/~tpeng/mudguard/research/icc2003.pdf
Перевод с английского: Жаданов Сергей
Аннотация
В данной статье мы представляем практические схемы для защиты от распределенных атак типа отказ в обслуживании (DDoS) атак, основанных на фильтрации IP–адресов источников. Граничный маршрутизатор хранит историю всех правомерных адресов IP, которые ранее появились в сети. Когда граничный маршрутизатор перегружен, эта история используется для решения, следует ли принять, входящий пакет с IP. В отличие от других предложений для защиты от DDoS–атак, наш схема работает хорошо при высокоуровневой распределенной DDoS–атаке, т.е. из большого количества источников. Приведем несколько эвристических методов, чтобы сделать базу данных IP–адресов точной и надежной, и мы приводим экспериментальные результаты, которые демонстрируют эффективность нашей схемы в защите от высокоуровневой распределенной DDoS–атаки.
Введение
DDoS–атаки становятся все более частым нарушением в глобальной сети Интернет. Ее очень трудно защитить от этого, потому что эти нападения потребляют ресурсы на сетевых и транспортных уровнях, где это трудно, подтвердить, подлинный ли доступ или злонамеренный. DDoS–атака может легко фальсифицировать свой адрес источника (известный как «spoofing»), который маскирует истинное происхождение нападения.
Есть две цели DDoS–атак. Во–первых, потреблять ресурсы принимающего и вторая, чтобы потреблять пропускную способность сети. Существующие системы для защиты ресурсов принимающей потери входящих пакетов в соответствии с полями, такие как тип протокола и номер порта. Однако недостатком при этом является то, что нет точных способ различать нормальный трафик от вредоносного. Нормальный трафик может пострадать от отбрасывания пакетов без разбора. Например, современные межсетевые экраны могут быть настроены отказ от всех UDP пакетов во время атаки UDP–Flood, но нормальный трафик протокола UDP также будет отброшен, что является частичной целью DDoS–атак.
Другой тип трафика называемый «эффект толпы» испытан на том, когда многие легальные пользователи начинают получать доступ к одному конкретному сайту в одно и то же время. Например, голосование за хозяина 2008 Олимпийских игр вызвало такое событие. В толпе, ссылка перегружена большим количеством запросов, чем она может справиться, и либо серверу не хватает ресурсов (например, TCP буфера), или даже не обладает достаточной пропускной способностью для TCP соединений, чтобы выйти из медленного старта и вернутся к равномерной работе[9].
Защита от нападений DDoS стала очень активной областью исследований [13] [17] [6] [19] [16] [12] [14] [3] [1]. К сожалению, почти все текущие методы становятся уязвимыми для чрезвычайно распределенных нападений отказ в обслуживании, для примера, отражения атак. Самая трудная часть для защиты от DDoS–атак является то, что очень трудно провести различие между нормальным трафиком и трафиком атаки. Это фундаментальная проблема Интернет. Например, ограничение скорости схемы [22] [12] блокируют хороший трафик так же как плохой.
Основная мысль, что мы можем использовать в нашей защите от DDoS–атак состоит в том, что трафик DDoS–атаки стремится использовать поддельные случайные адреса источников, чтобы замаскировать свой истинный адрес. Таким образом, проблема в том, как различить легальный IP–адрес от случайного IP–адреса.
Мы предлагаем механизм под названием History–based IP Filtering (HIF) для граничного маршрутизатора допустить поступающие пакеты согласно предварительно построенной базе данных IP–адресов. База данных IP–адресов основана на предыдущей истории связи маршрутизатора.
Наш схема состоит из трех частей. Во–первых, наша схема является очень надежной в защите от чрезвычайно распределенных атак типа отказ в обслуживании. Во–вторых, этот механизм не нуждается в глобальном сотрудничестве всего интернет–сообщества. В–третьих, наша схема применима к широкому разнообразию видов трафика, и не требует особой настройки вручную.
2 Мотивации для фильтрации на основе истории
На ранней стадии DDoS–атак, трафик атаки ограничивается определенным типом трафика для примера, Smurf–атаки используют ICMP пакеты. Таким образом, можно легко блокировать атаку трафика согласно числу протокола. К сожалению, последние исследования [8] показывают, что инструменты DDoS–атак достаточно сложные, для создания пакетов с поддельными случайными адресами источника, исходного порта. Это делает процесс фильтрации гораздо сложнее и требует методы сравнивания трафика. Мы предоставляем практическое решение этой очень тяжелой проблемы, отличая хорошие и плохие пакеты сравнивая их с предыдущей историей.
В отличие от предыдущего предложения по фильтрации IP–источника [5], которые пытаются охарактеризовать трафик атаки, мы пытаемся, охарактеризовать вместо этого нормальный трафик. Это относится к типу техники обнаружения аномалий.
Кроме того, с атакующий трафик содержит ложный адрес источника, который обычно генерируется случайным образом. Например, было отмечено, что только 0.6 – 14% от IP–адресов в Красном Кодексе атак появилось прежде [10]. В отличие от этого, обычно бывает, что источник IP–адреса нормального трафика к одной сети принимает относительно небольшой набор значений, представляющих обычных пользователей. Юнг и др.. [10] нашли , что около 82,9% всех IP–адресов в наблюдаемых всплесках отправляли запросы раньше. На основе статистического анализа интернет–трафика, собранные в сети среднего размера заглушки, мы обнаружили, что большая часть IP–адресов, входящие в интернет–трафик постоянно появляются на основе ежедневных наблюдений. Это подразумевает что надежная особенность идентификации нормального трафика то, что он регулярно появлялся на веб–сайте.
Фундаментальной проблемой безопасности для IP–сетей является то, что нет схемы аутентификации источника IP пакета. Если маршрутизатор или веб–сервер имел бы возможность определить, какие адреса являются законными, проблема аутентификации могла быть решена. Чтобы отличать хорошие пакеты от плохих пакетов, маршрутизатор или веб–сервер должен учиться у по истории предыдущих сетевых подключений. Наше предложение состоит в том, чтобы сделать запись всех IP–адресов предыдущих успешных сетевых соединений, чтобы собрать базу данных IP–адресов. Тогда, когда наша сеть или веб–сайт испытывают высокий уровень скопления, мы можем отказаться от пакетов чей адрес источника не появляется в нашей базе данных IP–адресов. В случае DDoS–атаки, это означает, что мы имеем высокую точность фильтрации пакетов атаки.
3 Методология
В основном есть две ключевых роли техники HIF. Первая заключается в разработке правил различения законных пакетов от вредоносных пакетов путем проверки IP–адреса входящего пакета в базе данных IP–адресов (IP Address Database (IAD)). Второе, как использовать хэш способы построения эффективных поиск IP таблице. Так как существует большое количество хэш методы, мы в первую очередь сосредоточиться на первой части и дать краткий обзор вторая часть. Вторая заключается в том, как использовать хэш–методы для создания эффективной справочной таблицы IP. Так как существует большое количество хэш–методов, мы в первую очередь сосредоточимся на первой части и дадим краткий обзор второй части.
Выводы
Мы представили новый подход для защиты от атак отказ в обслуживании. на основе истории построения IP–фильтрации. Мы показали, что мы можем построить практическую базу данных IP–адресов собранных из реальных сетей. Кроме того, мы показали эффективность использования этой базы данных для фильтрации пакетов атаки во время имитации нападений на тестовую сеть.
Наши эксперименты показывают, что мы можем защитить 90% легитимного трафика с 4 Мб памяти. Мы также обнаружили, что IP–фильтрация на основе истории может защитить 80% легитимного трафика для малого провайдера.
В отличие от предыдущей схемы, основаных на мониторинге потока, которые пытаются категоризировать нападение использовав исходные IP–адреса, которые ненадежны, наша техника показала незначительные ложные положительные ошибки, когда фильтрует атаки которые используют случайные исходные IP–адреса.
Список источников
- S. Bellovin. The icmp traceback message. Internet Draft,IETF, March 2000. draft-bellovin-itrace-05.txt (work in progress).
- Burton H. Bloom. Space/time tradeoffs in hash coding with allowable errors. Communications of the ACM, 13(7):422– 426, July 1970.
- Drew Dean, Matt Franklin, and Adam Stubble ?eld. An algebraic approach to ip traceback. In Network and Distributed System Security Symposium,NDSS ’01, Feburary 2001.
- Sven Dietrich, Neil Long, and David Dittrich. Analyzing distributed denial of service attack tools: The shaft case.In Proceedings of 14th Systems Administration Conference, LISA, 2000.
- P. Ferguson and D. Senie. Network ingress Filtering: Defeating denial of service attacks which employ IP source address spoofing.RFC2267,IETF, January 1998.
- Thomer M. Gil and Massimiliano Poletto. Multops: a data-structure for bandwidth attack detection. In Proceeding of USNIX 2001, 2001.
- Waikato Applied Network Dynamic Research Group. http://wand.cs.waikato.ac.nz/wand/wits/auck/4/.
- Kevin J. Houle, George M. Weaver, Neil Long, andRob Thomas. Trends in denial of service attack technology, October 2001. CERT and CERT Coordination Center.
- John Ioannidis and Steven M.Bellovin. Pushback: Router-based defense against ddos attacks. AT&T LabsResearch, February 2001.
- Jaeyeon Jung, Balachander Krishnamurthy, and Michael Rabinovich. Flash crowds and denial of service attacks: Characterization and implications for cdns and web sites. WWW10, WWW2002, May 7-11, Honolulu, Hawaii, USA 2002.
- C. Leckie andR. Kotagiri. A probabilistic approach to detecting network scans. In Proceedings of Eighth IEEENetwork Operations and Management Symposium (NOMS 2002), Florence,Italy, 15-19 April 2002.
- Ratul Mahajan, Steven M. Bellovin, Sally Floyd, John Ioannidis, Vern Paxson, and Scott Shenker. Controlling high bandwidth aggregates in the network. Technical report, AT&T Center for Internet Research at ICSI (ACIRI) and AT&T LabsResearch, February 2001.
- David Moore, Geoffrey M. Voeker, and Stefan Savage. Inferring internet Denial-of-Service acitivity. In Proceedings of USENIX Security Symposium’2001, pages 9–22, August 2001.
- Kihong Park and Heejo Lee. On the effectiveness of router-based packet ?ltering for distributed dos attack prevention in power-law internets. In Proceedings of the 2001 ACM SIGCOMM Conference, San Diego, California, U.S.A., August 2001.
- Vern Paxson. An analysis of using re?ectors for distributed denial-of-service attacks. ComputerCommunicationReview 31(3), July 2001.
- Tao Peng, Christopher Leckie, and Kotagiri Ramamohanarao. Adjusted probabilistic packet marking forip traceback. InProceedingsofNetworking 2002, Pisa,Italy, May 2002.
- Tao Peng,ChristopherLeckie, and KotagiriRamamohanarao. Defending against distributed denial of service attack using selective pushback. In Proceedings of the Ninth IEEE International Conference on Telecommunications (ICT 2002), Beijing,China, June 2002.
- Stefan Savage, David Wetherall, Anna Karlin, and Tom Anderson. Practical network support for ip traceback. In Proceedings of the 2000 ACM SIGCOMM Conference, August 2000.
- Alex C. Snoeren, Craig Partridge, Luis A. Sanchez, Christine E. Jones, Fabrice Tchakountio, Stephen T. Kent, and W. Timothy Strayer. Hashbased ip traceback. In Proceedings of the 2001 ACM SIGCOMM Conference, San Diego, California, U.S.A., August 2001.
- Dawn X. Song and Adrian Perrig. Advanced and authenticated marking schemes for ip traceback.In Proceedings of IEEE INFOCOM2001, 2001.
- S. Felix Wu, Lixia Zhang, Dan Massey, and Allison Mankin. IntensionDriven ICMPTrace-Back. InternerDraft,IETF, February 2001.
- David K. Y. Yau, JohnC. S. Lui, and Feng Liang. Defending against distributed denial-of-service attacks with max-min fair server-centric router throttles. In Proceedings of IEEE International Workshop on Quality of Service (IWQoS), MiamiBeach, FL, May 2002.