Transcript 投影片

針對 DDoS 攻擊之骨幹網路全域聯防系統
方法提出：梁明章
報 告 人：林孟璋
2013.06.10
Agenda

骨幹防禦雲簡介
 架構
 設計重點
 分散式運算模組

DDoS攻擊回溯機制
 需解決之問題。
 協防機制之提出。
 工具探討
 NetFlow
 flow-tools
 成果與總結
骨幹防禦雲服務


緣起:利用國網中心掌握的學研網路骨幹，位居中央，能監控整個網路經
過的流量flow資訊，搭配骨幹流量分散運算平台，提供連線用戶快速即
時的全域入侵與攻擊偵測通報並進一步作 骨幹網路的協助防禦。
輸入



輸出






各合作單位之區域攻擊與入侵資訊，包括Botnet之C&C通報以及DOS/DDOS攻擊
通報。
學研骨幹設備之flow流量資料
通報受影響用戶與單位
受攻擊者
攻擊影響範圍
攻擊之路徑回溯
骨幹網路協助防堵
目標




當DOS或DDOS攻擊發動時，快速回溯攻擊來源入口，進行網際通報或堵截。
在得知C&C時，開始監督與其相關之通訊，定位受感染之下線，進行通報，當然
亦可另從歷史flow資料追查過往行為。
配合業界或學界之Botnet行為研究成果，亦可嘗試從C&C有關之通訊紀錄尋找其
上線C&C。
回饋搜尋結果給合作研究單位，驗證精確度，提升研究成效。
架構示意圖
區域攻擊與入侵資訊
骨幹與區域Netflow流量資料
Users’ IDS/IDP
Users’ HoneyPot
骨幹全域防禦雲服務
Users’ Log analyzer
Backbone’s
Netflow data
Users’
Netflow data
收集彙整
搜尋比對
服務使用者
感染定位
路徑回溯
通報處理
協防堵截
學研骨幹網路、互連網路、
使用者區域網路
設計重點

分散計算


高速比對


搭配國網中心三群間的高頻寬網路與異地的儲存設施，運算主機與流
量資料儲存不需置於同一機房，即使主要NOC因故失能，也能由備援
NOC繼續提供防禦雲服務
統一資訊入口


理論上只要增加骨幹流量分散運算群的機器數量，無論多大的即時資
訊量皆可追上。隨時可增加或減少運算機器數量以適合需要處理的
flow量
異地備援


應用樹狀搜尋法，使比對時間不受黑名單多寡的影響
可擴充性


利用分散計算，以追求接近「即時監控」的速度
應用負載分散技術，使用單位僅需將資訊送到虛擬之統一入口，不需
關心其後的計算問題
與現有業界設備及學界研究成果結合

現有業界設備及學界研究成果多聚焦於如何判定「誰是壞人」，本設
計直接以這些判斷結果作為輸入，將焦點放在如何達成即時於骨幹上
搜尋與定位，不會形成重複開發的資源浪費
分散運算平台設計圖
攻擊路徑回溯之難題
因為DoS攻擊類型通常不建立完整的TCP
連結，所以來源IP多半是捏造或隨機的，故
來源IP數量往往遠超過攻擊者實際數量，攔
截者需設定大量ACL且效果低微。
 藉由Flow資訊，回溯沿途骨幹路徑，在入
口端進行ACL攔截與通報對面網管繼續追
蹤BOT，是比較有效的方式。

攻擊路徑回溯之難題

Flow Header & Record 欄位未包含原發路
由器的資訊，僅能從UDP header 得知路由
器之IP。
 挪用未使用的欄位來記錄。

缺點：未符合標準Flow欄位，後續外部分析程式可
能因此出問題。
 轉發Flow時假造UDP
header，繼續保持原發
路由器之IP。

缺點：須由防禦系統程式親自製作UDP封包，效能
恐不如作業系統核心。
攻擊路徑回溯之難題
Flow欄位僅有發送者路由器的in/out網卡介
面的SNMP interface index，同一Flow
session在不同路由器發出的Flow之間沒有
任何關聯資訊，無法直接連結。
 必須事先建構好網路設備拓樸，建立路由器
之間的Port關聯，然後將各段Flow映射至拓
樸，才能建立回溯路徑。
 如何建構拓樸與Port關聯？

攻擊路徑回溯之難題

TWAREN多層混合骨幹的特點
Layer3
Layer2 乙太傳輸
Flow
Layer1 光傳輸
Router
Layer3
OXC
Layer2
Switch
Light-Path
Layer2
Layer2
Switch
Layer2
OXC
Flow
Layer3
Router
Layer3
協防追蹤機制
所有flow最多的地方路徑的最終出口端，
都會集中在最接近被攻擊者(Victim)的端點
上。
 以flow-tool 分析每台Router上的flows，
且指定為被攻擊端的IP(Destination IP)，
而不是分析Source IP。
 再分析這些flow是從各台Router上的從那
些介面進/出。

分析者之一：相關開發模組
Attacker
Victim
所有各Routers都拋出NetFlow資料
Data -> NetFlow
Data Collector->
flow-tools
Flow Analyzer->
flow-tools
分析者之一：簡介Flow
All the packets for a flow are
contiguous and
uninterrupted
Flows collected in
parallel
Active timeout, Cache
flush, Router exhausted
resources, cause split
network flows
來源出自:Using SiLK for Network Traffic Analysis, Analysts’ Handbook
分析者之一：簡介NetFlow

NetFlow

為Cisco 之專屬協定，提供路由器中第三層之資訊，並 透過路由
器稽核目前網路使用狀況的技術。

目前NetFlow 開始發展至今已經擁有許多的版本，而目前最主要
的版本有v5、v7、. V9三種，其中v5 為最常見且最為廣泛支援
的版本。

每一筆 flow 是依相同的 Source IP、Destination IP、Source
Port、Destination Port、Protocol type、type of service
及router input interface 封包資訊，只要符合以上七個欄位
的封包，其傳輸量和封包數都會累計記入該flow 中，並視為同
一連線。

路由器介面會在接受當網路封包時分析其封包的標頭部分來取得
流量資料，並將所接到的封包流量的資訊彙整成一筆一筆的Flow
，再以UDP封包送往預先設置好的流量接收主機(Flow collector)
配合相關收集軟體進行分析統計的工作。
分析者之一：Flow-tools





http://www.splintered.net/sw/flow-tools/
Flow-tools是一套可以針對Netflow進行收集，分析與彙整報表的函式庫與程
式的集合工具。
常用指令
flow-capture :接收Router送出之flows。
flow-cat :印出flow內容。
flow-nfilter :過濾特殊欄位條件。
flow-stat :以特殊欄位條件印出相關欄位之報表。
flow-tools可有效率處理TWAREN骨幹上之flows，以被攻擊IP做為過濾條件
，分析流過相關路由器上的flows，處理速度考量。
Flow資料為binary files ，且可透過壓縮，有助於儲存骨幹路由器上所擷取
下來的相關flows，空間考量。
實做分析者-流程

流程圖
NetFlow raw data
Flow-capture
資料表
Reference
FlowDevice
Flow analyzer模組
Reference
FlowInterfaceDescr
FlowDevInfacsMap
pingIP
Reference
完成判定攻擊，寫進
資料庫
Reference
拓樸圖
通報告警、針對情節
重大採取措施
DB
FlowAttackInfo
實做分析者



實做項目(資料庫/資料表)：
建立設備資料表。(FlowDeivce)
建立介面描述表，包含ifIndex, ifDescr，並與設備資料表做關連。
(FlowInterfaceDescr)
 建立Layer-3 Link Sub-Net List，與設備、介面描述表做關連
(FlowDevInfacsMappingIP)。
 建立攻擊資料，分析flow後的結果，包含在設備名稱，In/Out Interfaces
所產生的flow數, packet counts，攻擊發生時間等(FlowAttackInfo)。

實做項目(程式)
 讀進flow Raw data，過濾destination IP為被攻擊者的flow，產生report
file。
 讀進report data,包含進/出介面，相關flow count, packets count，寫進
DB。
 判定單位時間內flow、packets count是否異常。
成果與總結


某攻擊者使用DDoS攻擊軟體，運用了1000隻Bot針對
我們的www.twaren.net網站，發動攻擊。
我們接受到www.twaren.net網站服務異常的通報，並
且分析相關時間區段內的flow資料，我們同時分析
2013-05-07 23:30:00、2013-05-07 23:35:00、201305-07 23:40:00這三個時間點的NetFlow資料發現，於
TN-7010上所產出的Netflow報表。有著不尋常的封包
數增加，如下圖。 2000
1800
1600
1400
封包數
1200
1000
800
600
400
200
0
23:20:00 PM 23:25:00 PM 23:30:00 PM 23:35:00 PM 23:40:00 PM
成果與總結


且於攻擊資料表中紀錄了相關進入TN-7010上的input
Interface ，即可明顯知道攻擊來源來自於ifIndex=18這
個介面。
若攻擊持續進行，NOC適時通知二線，並配合TWAREN
整合式網路管理平台(INMS)，對攻擊所進入之介面，予以
封鎖。
成果與總結



DDoS來源IP多半假造，也有可能是隨機產生，針對來
源IP下ACL，將形成為數不少的ACL，並增加路由器負
擔。
我們透過分析flow，藉由路由器送出的flow資訊，並配
合查詢網路拓樸圖，得知入口端，以嚴重的入口端節點
，進行ACL阻攔，協助被攻擊者的衝擊壓力。
骨幹防禦雲機是一個flow即時比對過濾平台，分析者僅
是其實做項目之一，需配合路由器組態設定建構layer3的網路拓圖，並透過Neighbor Discovery相關SNMP
MIB來建構layer-2網路拓圖。來完成骨幹管理者的協防
任務。
謝謝聆聽
Q&A