Transcript 投影片
針對 DDoS 攻擊之骨幹網路全域聯防系統
方法提出:梁明章
報 告 人:林孟璋
2013.06.10
Agenda
骨幹防禦雲簡介
架構
設計重點
分散式運算模組
DDoS攻擊回溯機制
需解決之問題。
協防機制之提出。
工具探討
NetFlow
flow-tools
成果與總結
骨幹防禦雲服務
緣起:利用國網中心掌握的學研網路骨幹,位居中央,能監控整個網路經
過的流量flow資訊,搭配骨幹流量分散運算平台,提供連線用戶快速即
時的全域入侵與攻擊偵測通報並進一步作 骨幹網路的協助防禦。
輸入
輸出
各合作單位之區域攻擊與入侵資訊,包括Botnet之C&C通報以及DOS/DDOS攻擊
通報。
學研骨幹設備之flow流量資料
通報受影響用戶與單位
受攻擊者
攻擊影響範圍
攻擊之路徑回溯
骨幹網路協助防堵
目標
當DOS或DDOS攻擊發動時,快速回溯攻擊來源入口,進行網際通報或堵截。
在得知C&C時,開始監督與其相關之通訊,定位受感染之下線,進行通報,當然
亦可另從歷史flow資料追查過往行為。
配合業界或學界之Botnet行為研究成果,亦可嘗試從C&C有關之通訊紀錄尋找其
上線C&C。
回饋搜尋結果給合作研究單位,驗證精確度,提升研究成效。
架構示意圖
區域攻擊與入侵資訊
骨幹與區域Netflow流量資料
Users’ IDS/IDP
Users’ HoneyPot
骨幹全域防禦雲服務
Users’ Log analyzer
Backbone’s
Netflow data
Users’
Netflow data
收集彙整
搜尋比對
服務使用者
感染定位
路徑回溯
通報處理
協防堵截
學研骨幹網路、互連網路、
使用者區域網路
設計重點
分散計算
高速比對
搭配國網中心三群間的高頻寬網路與異地的儲存設施,運算主機與流
量資料儲存不需置於同一機房,即使主要NOC因故失能,也能由備援
NOC繼續提供防禦雲服務
統一資訊入口
理論上只要增加骨幹流量分散運算群的機器數量,無論多大的即時資
訊量皆可追上。隨時可增加或減少運算機器數量以適合需要處理的
flow量
異地備援
應用樹狀搜尋法,使比對時間不受黑名單多寡的影響
可擴充性
利用分散計算,以追求接近「即時監控」的速度
應用負載分散技術,使用單位僅需將資訊送到虛擬之統一入口,不需
關心其後的計算問題
與現有業界設備及學界研究成果結合
現有業界設備及學界研究成果多聚焦於如何判定「誰是壞人」,本設
計直接以這些判斷結果作為輸入,將焦點放在如何達成即時於骨幹上
搜尋與定位,不會形成重複開發的資源浪費
分散運算平台設計圖
攻擊路徑回溯之難題
因為DoS攻擊類型通常不建立完整的TCP
連結,所以來源IP多半是捏造或隨機的,故
來源IP數量往往遠超過攻擊者實際數量,攔
截者需設定大量ACL且效果低微。
藉由Flow資訊,回溯沿途骨幹路徑,在入
口端進行ACL攔截與通報對面網管繼續追
蹤BOT,是比較有效的方式。
攻擊路徑回溯之難題
Flow Header & Record 欄位未包含原發路
由器的資訊,僅能從UDP header 得知路由
器之IP。
挪用未使用的欄位來記錄。
缺點:未符合標準Flow欄位,後續外部分析程式可
能因此出問題。
轉發Flow時假造UDP
header,繼續保持原發
路由器之IP。
缺點:須由防禦系統程式親自製作UDP封包,效能
恐不如作業系統核心。
攻擊路徑回溯之難題
Flow欄位僅有發送者路由器的in/out網卡介
面的SNMP interface index,同一Flow
session在不同路由器發出的Flow之間沒有
任何關聯資訊,無法直接連結。
必須事先建構好網路設備拓樸,建立路由器
之間的Port關聯,然後將各段Flow映射至拓
樸,才能建立回溯路徑。
如何建構拓樸與Port關聯?
攻擊路徑回溯之難題
TWAREN多層混合骨幹的特點
Layer3
Layer2 乙太傳輸
Flow
Layer1 光傳輸
Router
Layer3
OXC
Layer2
Switch
Light-Path
Layer2
Layer2
Switch
Layer2
OXC
Flow
Layer3
Router
Layer3
協防追蹤機制
所有flow最多的地方路徑的最終出口端,
都會集中在最接近被攻擊者(Victim)的端點
上。
以flow-tool 分析每台Router上的flows,
且指定為被攻擊端的IP(Destination IP),
而不是分析Source IP。
再分析這些flow是從各台Router上的從那
些介面進/出。
分析者之一:相關開發模組
Attacker
Victim
所有各Routers都拋出NetFlow資料
Data -> NetFlow
Data Collector->
flow-tools
Flow Analyzer->
flow-tools
分析者之一:簡介Flow
All the packets for a flow are
contiguous and
uninterrupted
Flows collected in
parallel
Active timeout, Cache
flush, Router exhausted
resources, cause split
network flows
來源出自:Using SiLK for Network Traffic Analysis, Analysts’ Handbook
分析者之一:簡介NetFlow
NetFlow
為Cisco 之專屬協定,提供路由器中第三層之資訊,並 透過路由
器稽核目前網路使用狀況的技術。
目前NetFlow 開始發展至今已經擁有許多的版本,而目前最主要
的版本有v5、v7、. V9三種,其中v5 為最常見且最為廣泛支援
的版本。
每一筆 flow 是依相同的 Source IP、Destination IP、Source
Port、Destination Port、Protocol type、type of service
及router input interface 封包資訊,只要符合以上七個欄位
的封包,其傳輸量和封包數都會累計記入該flow 中,並視為同
一連線。
路由器介面會在接受當網路封包時分析其封包的標頭部分來取得
流量資料,並將所接到的封包流量的資訊彙整成一筆一筆的Flow
,再以UDP封包送往預先設置好的流量接收主機(Flow collector)
配合相關收集軟體進行分析統計的工作。
分析者之一:Flow-tools
http://www.splintered.net/sw/flow-tools/
Flow-tools是一套可以針對Netflow進行收集,分析與彙整報表的函式庫與程
式的集合工具。
常用指令
flow-capture :接收Router送出之flows。
flow-cat :印出flow內容。
flow-nfilter :過濾特殊欄位條件。
flow-stat :以特殊欄位條件印出相關欄位之報表。
flow-tools可有效率處理TWAREN骨幹上之flows,以被攻擊IP做為過濾條件
,分析流過相關路由器上的flows,處理速度考量。
Flow資料為binary files ,且可透過壓縮,有助於儲存骨幹路由器上所擷取
下來的相關flows,空間考量。
實做分析者-流程
流程圖
NetFlow raw data
Flow-capture
資料表
Reference
FlowDevice
Flow analyzer模組
Reference
FlowInterfaceDescr
FlowDevInfacsMap
pingIP
Reference
完成判定攻擊,寫進
資料庫
Reference
拓樸圖
通報告警、針對情節
重大採取措施
DB
FlowAttackInfo
實做分析者
實做項目(資料庫/資料表):
建立設備資料表。(FlowDeivce)
建立介面描述表,包含ifIndex, ifDescr,並與設備資料表做關連。
(FlowInterfaceDescr)
建立Layer-3 Link Sub-Net List,與設備、介面描述表做關連
(FlowDevInfacsMappingIP)。
建立攻擊資料,分析flow後的結果,包含在設備名稱,In/Out Interfaces
所產生的flow數, packet counts,攻擊發生時間等(FlowAttackInfo)。
實做項目(程式)
讀進flow Raw data,過濾destination IP為被攻擊者的flow,產生report
file。
讀進report data,包含進/出介面,相關flow count, packets count,寫進
DB。
判定單位時間內flow、packets count是否異常。
成果與總結
某攻擊者使用DDoS攻擊軟體,運用了1000隻Bot針對
我們的www.twaren.net網站,發動攻擊。
我們接受到www.twaren.net網站服務異常的通報,並
且分析相關時間區段內的flow資料,我們同時分析
2013-05-07 23:30:00、2013-05-07 23:35:00、201305-07 23:40:00這三個時間點的NetFlow資料發現,於
TN-7010上所產出的Netflow報表。有著不尋常的封包
數增加,如下圖。 2000
1800
1600
1400
封包數
1200
1000
800
600
400
200
0
23:20:00 PM 23:25:00 PM 23:30:00 PM 23:35:00 PM 23:40:00 PM
成果與總結
且於攻擊資料表中紀錄了相關進入TN-7010上的input
Interface ,即可明顯知道攻擊來源來自於ifIndex=18這
個介面。
若攻擊持續進行,NOC適時通知二線,並配合TWAREN
整合式網路管理平台(INMS),對攻擊所進入之介面,予以
封鎖。
成果與總結
DDoS來源IP多半假造,也有可能是隨機產生,針對來
源IP下ACL,將形成為數不少的ACL,並增加路由器負
擔。
我們透過分析flow,藉由路由器送出的flow資訊,並配
合查詢網路拓樸圖,得知入口端,以嚴重的入口端節點
,進行ACL阻攔,協助被攻擊者的衝擊壓力。
骨幹防禦雲機是一個flow即時比對過濾平台,分析者僅
是其實做項目之一,需配合路由器組態設定建構layer3的網路拓圖,並透過Neighbor Discovery相關SNMP
MIB來建構layer-2網路拓圖。來完成骨幹管理者的協防
任務。
謝謝聆聽
Q&A