Transcript O (Overfort, AI-RON-E)

実世界に展開可能なDDoS攻撃
防御メカニズム
(Deployable DDoS Resiliency)
Ph.D. Candidate: Soon Hin Khor
Advisor: Assoc. Prof. Akihiro Nakao
発表アウトライン
•
•
•
•
•
•
•
•
DDoSの定義と種類
モチベーション
問題点
関連研究
アプローチ
意義
概要
おわりに
2
Distributed Denial-of-Service (DDoS)
インターネット
ネットワーク
ボトルネック
サーバ
ボトルネック
3
DDoS種類
• スプーフ/ネットワークレイヤDDoS
• フィルター不可のDDoS
• 経済的DDoS
4
スプーフ/ネットワークレイヤDDoSとは
スプーフ
ソース
内容
$8&@
ランダム
インターネット
5
フィルター不可のDDoSとは
DDoS防御
6
フィルター不可のDDoSとは
作戦変更：
通常パケット
を送っている
DDoS防御
ネットワーク
ボトルネック
サーバ
ボトルネック
7
インターネット + クラウド= 新DDoS
インターネット
クラウド
8
新しい問題: 経済的DDoS (eDDoS)
インターネット
クラウド
$$$
9
深刻な問題
• http://developer.amazonwebservices.com/co
nnect/message.jspa?messageID=120089
aiCache
10
eDDoS起こったら。。。
• 履歴データ
– BetCrisのDDoS, Nov 2003, 1.5 – 3Gbps
– DNSルートサーバのDDoS, Mar 2007, 1 Gbps
• 仮定：1GbpsのDDoS, データ転送コスト：$0.1/GB
– 24時間 => 24 * 3600 * $0.1/8 ~ $11,000
• インターネット予約制コスト
– T3 (45 Mbps) ~ $3,000 to $12,000/月
– OC3 (155 Mbps) ~ $15,000 to $100,000/月
– http://www.broadbandlocators.com/
11
研究のモチベーション
• エンドユーザ調査
– CSI Computer Crime 2008
– 21%回答者はDoSを受けた
• インターネットプロバイダー(ISPs)調査
– ArborNetworks Infrastructure Security Report 2008
– 21%回答者によるとDDoSが管理リソース一番かかった
• 測定研究の結果
– 「Inferring DDoS」の論文(Savage et al.)
– 2001-2004: 68,700DDoSは5,300ドメインを与えました
DDoSは深刻な問題
12
モチベーション
• 最近10年のDDoS研究:
– 2000: CenterTrack, Blackhole routing
– 2001: DPF, Traceback ICMP, Algebraic traceback, Various
traceback
実世界に展開可能
– 2002: D-WARD, SOS, Pushback
なDDoS防御
– 2003: HCF, Capabilities, Mayday
メカニズムはなし
– 2004: SIFF
– 2005: WebSOS, AITF, TVA, Route & Tunnel
– 2006: Speak-Up, Flow-Cookies (CAT)
– 2007: Portcullis
– 2008: Phalanx
– 2009: StopIt
13
課題
実世界に展開可能なDDoS防御メカニズム
• 実世界に展開可能なメカニズム
• すべてのDDoS種類を対策可能
14
実世界に展開可能: 定義
• ファイヤウォールのようなDDoS防御サービス
– コストベネフィットトレードオフ (cost-benefit trade-off)
– 手入れしやすい (manageability)
実世界に展開可能な問題は?
15
防御のロケーション: サーバ
アタッカー
アタッカー
サーバ
アタッカー
アタッカー
アタッカー
16
防御のロケーション: ネットワーク
アタッカー
アタッカー
サーバ
アタッカー
アタッカー
アタッカー
17
防御のロケーション: クライアント
アタッカー
アタッカー
サーバ
アタッカー
アタッカー
アタッカー
18
実世界に展開可能な問題の難しい理由
防御のロケーション 防御のロケーション 防御のロケーション
サーバ
ネットワーク
クライアント
効果
サーバでDDoSを防
御. アップリンクの
混雑を解けない
DDoSを防御して
アップリンクの混雑
を解ける
DDoSの源で防御し
てアップリンクの混
雑を解ける
リソース
実体身で多くリソー
スを持てる
実体身で多くリソー
スを持てる
実体それぞれで少
ないリソースを集合
して量が多くになる
トラフィック分析
すべてのトラフィック
一部のトラフィック
一部のトラフィック
コレタラル被害
あり
なし
なし
インセンティブ
高い
中
低い
変更の容易さ
高い
低い
中
19
実世界に展開可能な問題の難しい理由
ロケーションに
よって利害がある
防御のロケーション 防御のロケーション 防御のロケーション
サーバ
ネットワーク
クライアント
効果
サーバでDDoSを防
御. アップリンクの
混雑を解けない
DDoSを防御して
アップリンクの混雑
を解ける
DDoSの源で防御し
てアップリンクの混
雑を解ける
リソース
実体身で多くリソー
スを持てる
実体身で多くリソー
スを持てる
実体それぞれで少
ないリソースを集合
して量が多くになる
トラフィック分析
すべてのトラフィック
一部のトラフィック
一部のトラフィック
コレタラル被害
あり
なし
なし
インセンティブ
高い
中
低い
変更の容易さ
高い
低い
中
20
実世界に展開可能な問題の難しい理由
防御のロケーション 防御のロケーション 防御のロケーション
協調モデル効 サーバ
効果 果が一番高い
サーバでDDoSを防
ネットワーク
クライアント
DDoSの源で防御し
てアップリンクの混
雑を解ける
反応性
実体それぞれで少
ないリソースを集合
して量が多くになる
リソース
実体身で多くリソー
スを持てる
DDoSを防御して
アップリンクの混雑
を解ける
ミックス
実体身で多くリソー
メカニズム
スを持てる
トラフィック分析
検出性
すべてのトラフィック
一部のトラフィック
一部のトラフィック
コレタラル被害
あり
なし
なし 実世界に展開
御. アップリンクの
混雑を解けない
可能な要素
インセンティブ
高い
中
低い
変更の容易さ
高い
低い
中
21
現在研究実世界に展開可能性
• Deployable Resiliencyメトリック
– 変更の容易さ
– インセンティブ
– 効果
22
関連研究
変更の容易さレベル
サーバ反応
クライアント反応
防止
抑止
目標
丸のサイズ => 効果
インセンティブレベル
23
意義
変更の容易さレベル
サーバ反応
クライアント反応
防止
抑止
経済的
KUMO
目標
Overfort
sPoW
AI-RON-E
丸のサイズ => 効果
Burrows
インセンティブレベル
24
意義(cont.)
変更の容易さレベル
サーバ反応
クライアント反応
防止
抑止
経済的
目標
丸のサイズ => 効果
インセンティブレベル
25
問題点
実世界に展開可能なDDoS防御メカニズム
• 実世界に展開可能なメカニズム
• すべてのDDoS種類を対策可能
手法?
26
アップローチ
• 経済的フレームワーク
– Burrows
実世界に展開可能性を高める
• 実世界に展開可能な要素を振興する参考アーキテクチャ
実世界に展開可能性を高める
– KUMO
• リソースを出し合うインセンティブ
• フレームワークに基づいたメカニズム
– AI-RON-E
スプーフ/ネットワークレイヤDDoSバイパス
• 混雑に対するクライアント反応 (路線多様)
– Overfort
スプーフ/ネットワークレイヤDDoS防御
• サーバ反応(トレスバックとブラックリスト)と抑止(クリーンアップ)
– sPoW
フィルター不可/経済的DDoS防御
• クライアント反応(緊急シグナル)
• サーバ反応(接続優先)
スプーフ/ネットワークレイヤDDoS防御
27
研究の時系列
•
•
•
•
•
Burrows
Overfort
AI-RON-E
sPoW
KUMO
28
研究発表アウトライン
•
•
•
•
学会発表
意義
概要
結論
– Deployable Resiliency
29
Burrows: 学会発表
• Power to the People: Securing One-Edge at a Time
– ACM SIGCOMM Large-Scale Attack Defence (LSAD)
Workshop 2007
– 採択率:45%(オフィシャル)
– 修士卒論に基づく
30
Burrows: 意義
• カテゴリ: 経済的フレームワーク
• 実世界に展開可能要素を持ってるフレームワーク
• 実世界に展開可能DDoSメカニズムデザインガイド
31
実世界展開の問題
実世界展開の要素
インセンティブ
変更の容易さ
協調できない
インセンティブ調整
(協調プラットホーム)
セキュリティ無関心な人たちに依存
エクスタネリティの削減
(無関心な人たちを除く)
インフラ分解修理
現在のインフラを保護
(変更の容易さ)
32
Burrows:アーキテクチャ
インタメディアリ
クライアント
サーバ
エクスタネリティの削減
(無関心な人たちを除く)
アタッカー
インタメディアリ
33
Burrows:アーキテクチャ
変更の容易さ
インタメディアリ (エッジノード)
インタメディアリ
クライアント
サーバ
エクスタネリティの削減
(無関心人たちを除く)
インセンティブ調整
(協調プラットホーム)
アタッカー
インタメディアリ
クライアント
インタメディアリ
34
Burrows:結論
• インタメディアリに基づいたアーキテクチャ
• 実世界に展開可能のDDoSメカニズムデザイ
ンガイド
– 私の研究はBurrowsに基づいて作成すること
• Deployable Resiliency
– 経済的問題を解決できる
35
Overfort:学会発表
• Ovefort: Combating DDoS with Peer-to-Peer
DDoS Puzzle
– IEEE International Parallel and Distributed
Processing Symposium (IPDPS) Secure Systems
and Network (SSN) Workshop 2007
– 採択率: 不明
36
Overfort:意義
• カテゴリ:
– サーバ反応(トレスバックとブラックリスト)
– 抑止/防止(クリーンアップ)
• 抑止/防止
– DDoSエージェントがあるクラスターをブラックリスト化する
• サーバ反応
– 悪いクラスターを早めに探してサーバのロケーションリク
エストを断る
– 安いバーチャルリソースを使う
– アタッカーよりリソースが少なくても効果がある
37
Overfort:DDoSパズル
利用可能
帯域
守られている
サーバ
アタックターゲット？
アタックの帯域？
DDoSの際でも接続可能
アタッカー
帯域
38
Zombie PC: courtesy of crazy-vincent.com
Overfort Gateway (OFG)モジュール
権威のあるDNS
PC
PC
OFG
IP A
インターネット
スタブルータ
39
ローカルDNS
(LDNS)
スタブルータ
Overfort:DDoSパズル
守られている
サーバ
アタックターゲット？
アタックの帯域？
OFG
DDoS際でも接続可能
OFG
OFG
OFG
40
Zombie PC: courtesy of crazy-vincent.com
OFGの分散実現
ランドムIP
ランドム帯域
OFG
OFG
OFG
インターネット
OFG
OFG
OFG
OFG
41
Overfort:検出
OFG A: 権威のあるDNS OFG B: -
OFGモニター
LDNS B
OFG A
インターネット
42
LDNS A
OFG B
Overfort:検出
OFG A: - LDNS A
権威のあるDNS OFG B: -LDNS B
OFGモニター
LDNS B
OFG A
インターネット
クラスター
43
LDNS A
OFG B
考察
• インターネットに約800,000 LDNSがある
• 一対一にはLDNSとOFGマッピング不可
• フィジカルOFGの資格を和らげる
– バーチャルリンク
– LDNSとバーチャルリンクマッピングアルゴリズム
44
IP C
IP D
IP E
IP F
バーチャルリンク
OFGバーチャルリンク
インターネット
OFG
OFG
45
LDNS
実験目的
• Overfortの展開可能性
– 悪いLDNSを完全に区別したらいくつバーチャルリ
ンクが必要か?
• インターネット代表パラメタ
– NLDNS: LDNSの合計
– R: 良いLDNSと悪いLDNSの割合
46
完全に区別できる
ハーチャルリンクの数
バーチャルリンクの数のLDNSの合計:線形関数
LDNS = 800,000, R=0.9 =>
Nadd ~ 120,000 IDs
(二つクラスBのIP)
フィジカルOFG = 120,000/10
= 12,000 ユニット
良いと悪い
LDNSの割合
NLDNSとNaddは線形関数がある
47
LDNSの合計
Overfort:結論
• ブラックリストでセキュリティの責任をクラスタ
ーのそれぞれアドミンに移転する
• アタッカーよりリソースが少なくてもDDoS防御可能
• Deployable Resiliency
– 12,000フィジカルOFGでDDoS防御可能
– 一つのISP自身でも展開可能
– ブラックリストも支配可能
DDoSの種類
スプーフ/ネットワークレイヤDDoS
チェックリスト
0 (Overfort)
フィルター不可のDDoS
X
eDDoS
X
48
AI-RON-E:学会発表
• AI-RON-E: Prophecy of One-Hop Source Routers
– IEEE Globecom Next Generation Networks (NGN)
Symposium 2008
– 採択率:36.8%(内示)
• http://www.cs.ucsb.edu/~almeroth/conf/stats/#globec
om
49
AI-RON-E:意義
• カテゴリ:クライアント反応(路線多様)
• クライアントは混雑路線を防ぐ
– CPU、メモリ、ネットワークリソース使用は倹約
– 現在のインフラ変更は不必要
50
路線混雑
エンドホスト
E
ルータ
P
Q
C
D
51
ワンホップソースルーティング(OSR)
OSRはどれ?
One-hop Source
E
Routing (OSR)
エンドホスト
ルータ
P
Q
C
D
52
現在の研究の証拠…
• OSRでルンク故障を防ぐ
OSRの種類
リンク故障を防ぐ割合
Cha et al (Infocomm ‘06)
77% (intra-domain)
RON (SOSP ‘01)
60-100%
SOSR (OSDI ‘04 )
66%
Fei et al (Infocomm ‘06)
61.9%
RON-DG (ICC ‘07)
60%
39のエンドホストで四つでランドムで選ぶ
53
路線長さ/レイテンシ
エンドホスト
路線長さ – 7ホップ
E
ルータ
P
Q
C
D
路線長さ – 6ホップ
54
リンク故障を防ぐ率
エンドホスト
ルータ
OSRの讖:すべてインターネットルータをOSRさせる
E
成功率 = 7/12
P
成功率 = 1/3
Q
C
D
55
スマートOSRを選ぶアルゴリズム
• 相応しいOSRを選ぶアルゴリズム:
– ネットワークプロブを倹約して使うこと
– 完全のインターネットトポリジーを持っているはず
は無い
– 処理リソース使用が少ない
56
結果1:路線長さ
路線の数、％
インダイレクト/ダイレクト=1.6
インダイレクト/ダイレクト=2.3
30%改良
インダイレクト線路の長さ/ダイレクト線路の長さ
57
結果2:リンク故障を防ぐ率
ルンクの数、％
69%
60%
SOSR: 66%
七日, 3153デスティネーション
OSRを選ぶ数
58
実世界に展開する上でのはない
• 変更の容易さ(近い将来)
– AI-RON-Eコードは現在のルータのソースルーティングコ
ード似ている
• 変更無し
– ソーススプーフ技術で使用
59
AI-RON-E:結論
• クライアント自身で混雑を防ぐようになる
• OSRを選ぶアルゴリズムはライトウエート
• Deployable Resiliency
– 現在のルータはすべて変更無しでOSRさせる
DDoSの種類
スプーフ/ネットワークレイヤDDoS
チェックリスト サーバ反応対クライアント反応
O (Overfort, AI-RON-E)
フィルター不可のDDoS
X
eDDoS
X
60
KUMO:学会発表
• 2010年に発表予定
– 15ページのドラフト準備済み
61
KUMO:意義
• カテゴリ:経済的フレームワーク
• インタメディアリ/リソースの集合
– インタメディアリとして現在のインターネットシステ
ムのどれも使われる
– インタメディアリにとってKUMOのこと(変更無し)
• インタメディアリが多い
• インターネットで分散されている
• 将来のインタメディアリでも使える
– ユーティリティコンピューティングDDoS防御
• オーバープロビションリソースでDDoSを対策する
62
インタメディアリに基づいたアーキテクチャ
インターネット
インタメディアリ
を集合の方法
は？
I3,
Phalanx,
SOS
隠されている
サーバ
クライアント
トラフィック
コントロール機械
アタッカー
63
KUMO:フレームワーク
Write-onceコードエクステンション: データ送信/受信
容易さ
インターネット
KUMO
CDN
ぜロインストール
IRC
クライアントサイド
フォラム
クライアント
Web2.0
変更無し
インセンティブ
経理
KUMO
サーバサイド
サーバ
変更無し
将来 X
変更無し
ユーティリティ
コンピューティング
DDoS防御
64
転送かかる時間(s)
データ転送かかる時間
適度スピード
h-forum, h-flickr, h-S3
速いスピード
IRC, I3 < 10kB
速いスピード
I3 < 100kB
フィアルサイズ(log)
65
KUMO:結論
• DDoS防御リソース集合メカニズム
• Deployable Resiliency
– クライアント、サーバ、インターネットリソースは変更無し
– ユーティリティコンピューティングDDoS防御
DDoSの種類
スプーフ/ネットワークレイヤDDoS
チェックリスト
DDoS防御リソースを集合(KUMO)
O (Overfort, AI-RON-E)
フィルター不可のDDoS
X
eDDoS
X
66
sPoW:学会発表
• sPoW: On-Demand Cloud-Based eDDoS
Mitigation Mechanism
– IEEE/IFIP HotDep Workshop 2009
– 採択率:(オフィシャル:37%)
67
sPoW:意義
• カテゴリ:
– クライアント反応(緊急シグナル)
– サーバ反応(接続優先)
• クライアント/サーバ反応
– スプーフ/ネットワークレイヤDDoS
• インタメディアリとしてクラウドを使う
– フィルター不可DDoS
• クライアントは自身のリソース使ってもっと強いシグナルを送
信して優先サービスをもらえる
– eDDoS
• 自動妥当性PoW
– 変更無し
68
sPoW:クラウドを使っているKUMO
DDoS不可の
クラウド
Amazon EC2
Cloud
インタメディアリ
ツラフィック
コントロール
信頼インタメディアリ
ローコスト(ユーティリティコンピューティング)
スプーフ/ネットワークレイヤDDoS防御
クライアント
多いリソース
少数インタメディアリ =>
トンネルセットアップの容易さ =>
隠されているプライベート IP
Google
AppEngine
インタメディアリ
サーバ
ツラフィック
コントロール
DDoS不可の
クラウド
69
フィルター不可DDoS
DDoS不可の
クラウド
Amazon EC2
Cloud
インタメディアリ
フィルター不可DDoS
クライアント
アタッカー
サーバはどこ
Google
AppEngine
インタメディアリ
サーバ
DDoS不可の
クラウド
70
Proof-of-Work (PoW)
PoW
妥当性機
Amazon EC2
Cloud
インタメディアリ
4
5 リクエスト/s
クライアント
サーバ
3
3
アタッカー
3
3
3
パズル
ディストリビューター
3
1
2 4
桁はパズルのレベル
71
PoW (cont.)
PoW
妥当性機
Amazon EC2
Cloud
インタメディアリ
4
3
3
3
3
3
5 リクエスト/s
サーバ
クライアント
パズル
ディストリビューター
3
アタッカー
1
2 4
72
PoW (cont.)
PoW
正し解決したパズルの
妥当性機 パケットを中継ぎする
Amazon EC2
Cloud
インタメディアリ
3
5 リクエスト/s
4
3
3
クライアント
3
3
サーバ
パズル
ディストリビューター
3
アタッカー
1
2 4
73
Why Existing Mechanism Can’t Use Cloud: eDDoS
Amazon EC2
Cloud
インタメディアリ
PoW
妥当性機
$ $ $
5 リクエスト/s
4
アタッカーはパズルを解決せず
に悪いパケットを送信する
クライアント
?
?
アタッカー
?
サーバ
パズル
ディストリビューター
3
?
1
2 4
74
Why Existing Mechanism Can’t Use Cloud: eDDoS
PoW
妥当性機
Amazon EC2
Cloud
インタメディアリ
4
$ $ $
?
$$$$$
?
?
5 リクエスト/s
?
サーバ
クライアント
パズル
ディストリビューター
3
アタッカー
1
2 4
75
自動妥当性PoW (sPoW)
サーバチャネル(Amazon SQS)
アタッカー
$
a
$
b
$
c
儚いチャネル
3
チャネルC
1
$
クライアント
d
サーバ
1. 妥当性機無し
2. 妥当性が証明された
トラフィック
c
2
パズル
ディストリビューター
b
a
c d
76
sPoW:結論
• クライアントの自身リソースの使用量によってクラ
イアントのパケットを優先された
• インタメディアリ/サーバのリソース使用を減らす
• Deployable Resiliency
– インタメディアリとしてクラウドを変更無しで使える
– ユーティリティコンピューティングDDoS防御
DDoSの種類
チェックリスト
スプーフ/ネットワークレイヤDDoS
O (Overfort, AI-RON-E, KUMO, sPoW)
フィルター不可のDDoS
O (sPoW: PoW)
eDDoS
O (sPoW: Self-verifying)
77
実世界に展開可能マルチレイヤDDoS 防御
DDoS吹かな
クラウド
KUMOサーバサイド
(アップリケーション変更無し)
クラウド
インタメディアリ
AI-RON-Eオラクル
1. インターネットのコンポーネントは無し
2. コンポーネント ~ 少数/レプリケート可能
サーバ
3. コンポーネントインストールインセンティブあり
AI-RON-Eクライアント
インターネット
KUMO クライアントサ
イド(ゼロインストール)
OFGモニター
A
sPoWパズル
ディストリビューター
クライアント
B
アタッカー
C
アタッカー
権威のあるDNS
78
意義
変更の容易さレベル
サーバ反応
クライアント反応
防止
抑止
経済的
KUMO
Goal
Overfort
sPoW
AI-RON-E
丸のサイズ => 効果
Burrows
インセンティブレベル
79
将来の研究
• KUMO Rubyネットワークスタックの調整
– パフォーマンスを上げるために
• ネットワークスタックをCとJavaにポートする
– パフォーマンスとゼロインストールサクライアントポートのために
• Amazon Web ServicesでDDoS防御サービスを創設する
• 新しいインタメディアリを開発
– 大きいフィアルサイズ転送
– より速い転送レート
– クラウドインフラ変更無しのデザイン
• 国際学会で発表してeDDoSの業界の意識を上げる
– Usenix HotCloud, ACM SOCC
• ISP/クラウドプロバイダーとの実世界への展開協調
80
研究の特徴
• Overfort
– アタッカーよりリソースが少なくてもDDoS防御可能
– トレスバックと罰システム
• AI-RON-E
– 混雑を防ぐ為にすべてのインターネットルータを使用可能
• KUMO
– DDoS防御リソースを集合為にすべてのインターネットシス
テムを使用可能
• sPoW
– eDDoSの意識と防御
81
ご清聴ありがとうございます
82
参考論文
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Abadi, M., Burrows, M., Manasse, M. & Wobber, T. (2003). Moderately Hard, Memory-bound Functions. In Network and Distributed System Security
Symposium (NDSS).
Abley, J. & Lindqvist, K. (2006). RFC 4786: Operation of Anycast Services (http://www.ietf.org/rfc/rfc4786.txt).
Akamai Technologies (2008). State of the Internet Quarterly Reports (http://www.akamai.com/stateoftheinternet/).
Akamai Technologies (2009). Akamai Technologies (http://www.akamai.com/).
Amazon Cloud Computing Forum (2009). Unaddressed DDoS Concernsin Amazon’s Cloud
(http://developer.amazonwebservices.com/connect/search.jspa?q=DDoS).
Amazon Web Services (2009a). Amazon Simple Queue Services (SQS) (http://aws.amazon.com/sqs/).
Amazon Web Services (2009b). Amazon Simple Storage Services (S3) (http://aws.amazon.com/s3/).
Amazon Web Services (2009c). Amazon’s Web Services Case Studies (http://aws.amazon.com/solutions/case-studies/).
Amazon Web Services (2009d). Elastic Compute Cloud (EC2) (http://aws.amazon.com/ec2/).
American Registry for Internet Numbers (ARIN) (2009). ARIN IPv4 Depletion Notice
(https://www.arin.net/knowledge/about_resources/ceo_letter.pdf).
Andersen, D. (2003). Mayday: Distributed Filtering for Internet Services. In USENIX Symposia on Internet Technologies and Systems (USITS).
Andersen, D., Balakrishnan, H., Kaashoek, F. & Morris, R. (2001). Resilient Overlay Networks. In ACM Symposium on Operating Systems
Principle(SOSP).
Anderson, T., Roscoe, T. & Wetherall, D. (2002). Preventing Internet Denial-of-Service with Capabilities. In ACM Hot Topics in Networks (Hotnets).
Anjum, F.M. (2004). TCP Algorithms and Multiple Paths: Considerations for the Future of the Internet.
Arbor Networks (2005). Annual Infrastructure Security Report (http://www.arbornetworks.com/report).
Arbor Networks (2009). Arbor PeakFlow TMS (http://www.arbornetworks.com/peakflowsp).
Arends, R., Austein, R., Larson, M., Massey, D. & Rose, S. (2005). Resource Records for DNS Security Extensions (http://www.ietf.org/rfc/rfc4034.txt).
Argyraki, K. & Cheriton, D.R. (2005). Active Internet Traffic Filtering: Real-time Response to Denial-of-Service Attacks. In USENIX Annual Technical
Conference (ATC).
Aura, T., Nikander, P. & Leiwo, J. (2000). DOS-resistant Authentication with Client Puzzles.
Bellovin, S., Leech, M. & Taylor, T. (2003). ICMP Traceback Messages. Internet Drafts.
Biondi, P. & Ebalard, A. (2007). IPv6 Routing Header Security. In Canada Security West Conference (CANSECWEST).
Bram Cohen (2009). BitTorrent (http://www.bittorrent.com).
Butler, K., Farley, T., McDaniel, P. & Rexford, J. (2009). A Survey of BGP Security Issues and Solutions. In Proceedings of IEEE.
83
参考論文(cont.)
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Casado, M., Akella, A., Cao, P., Provos, N. & Shenker, S. (2006). Cookies Along Trust-Boundaries (CAT): Accurate and Deployable Flood Protection. In
USENIX Steps to Reducing Unwanted Traffic on the Internet (SRUTI).
ccNSO (2009). DNSSec Survey Report 2009. ICANN.
Cha, M., Moon, S., Park, C.D. & Shaikh, A. (2006). Placing Relay Nodesfor Intra-Domain Path Diversity. In IEEE INFOCOM.
Chen, X., Wang, H., Ren, S. & Zhang, X. (2006). DNScup: Strong Cache Consistency Protocol for DNS. In IEEE International Conference for Distributed
Computing Systems(ICDCS).
Cisco Networks (2009a). Cisco Anomaly Guard (http://www.cisco.com/en/US/products/ps6235/index.html).
Cisco Networks (2009b). Understanding Unicast Reverse Path Forwarding (http://www.cisco.com/web/about/security/intelligence/unicast-rpf.html).
Computer Emergency Response Team (CERT) (2009). Build Security In (https://buildsecurityin.us-cert.gov/daisy/bsi/home.html).
Computer Security Institute (2008). CSI Computer Crime and Security Report (http://www.gocsi.com/).
Cook, D.L., Morein, W.G., Keromytis, A.D., Misra, V. & Rubenstein, D. (2003). WebSOS: Protecting Web Servers From DDoS Attacks. In IEEE
International Conference on Network (ICON).
Dagon, D., Zou, C. & Lee, W. (2006). Modeling Botnet Propagation Using Time Zones. In Network and Distributed System Security Symposium (NDSS).
Dean, D. & Stubblefield, A. (2001). Using Client Puzzles to Protect TLS. In USENIX Security Symposium.
DETERlab (2000). DETERlab Testbed (http://www.isi.edu/deter/).
Dierks, T. & Rescorla, E. (2008). The Transport Layer Security (TLS) Protocol v1.2 (http://www.ietf.org/rfc/rfc5246.txt).
Dingledine, R. & Nick (2004). Tor: The Second-Generation Onion Router. In USENIX Security Symposium.
Dixon, C., Anderson, T. & Krishnamurthy, A. (2008). Phalanx: Withstanding Multimillion-Node Botnets. In USENIX Network Systems Design and
Implementation (NSDI).
Dwork, C. & Naor, M. (1993). Pricing via Processing or Combatting Junk Mail. In CRYPTO.
Dwork, C., Goldberg, A. & Naor, M. (2003). OnMemory-bound Functions for Fighting Spam. In CRYPTO.
Fei, T., Tao, S., Gao, L. & Guerin, R. (2006). How to Select a Good Alternate Path in Large Peer-to-Peer Systems. In IEEE INFOCOM.
Ferguson, D. & Senie, P. (2000). RFC 2827: Network Ingress Filtering (http://www.ietf.org/rfc/rfc2827.txt).
Ferguson, P. & Senie, D. (1998). RFC 2267: Network Ingress Filtering: Defeating Denial of Service Attacks which employs IP source address spoofing
(http://www.ietf.org/rfc/rfc2267.txt).
Franklin, J., Paxson, V., Perrig, A. & Savage, S. (2007). An Inquiry into the Nature and Causes of the Wealth of Internet Miscreants. In ACM Computer
and Communications Security (CCS).
Freedman, M., Freudenthal, E. & Mazieres, D. (2004). Democratizing Content Publication with Coral. In USENIX Network System Design and
Implementation(NSDI).
84
参考論文(cont.)
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Google (2009). Google App Engine (http://code.google.com/appengine/).
Greene, B.R., Morrow, C. & Gemberling, B. (2001). ISP Security – Real World Techniques II. North America Network Operators Group (NANOG).
Greenhalgh, A., Handley, M. & Huici, F. (2005). Using Routing and Tunneling to Combat DoS Attacks. In USENIX Steps to Reducing Unwanted Traffic on
the Internet (SRUTI).
Gummadi, K.P., Madhyastha, H.V., Gribble, S.D., Levy, H.M. & Wetherall, D. (2004). Improving the Reliability of Internet Paths with One-hop Source
Routing. In USENIX Operating Systems Design and Implementation (OSDI).
ha.ckers.org (2009). Slow Loris HTTP DoS (http://ha.ckers.org/slowloris/).
Haddad, I. (2001). Open-Source Web Servers: Performance on a Carrier-Class Linux Platform (http://www.linuxjournal.com/article/4752). 123
Hoff, C. (2008). Cloud Computing Security From DDoS (http://www.rationalsurvivability.com/blog/?p=66).
Hsieh, H.Y. & Sivakumar, R. (2002). A Transport Layer Approach for Achieving Aggregate Bandwidths On Multi-Homed Mobile Hosts. In ACM
Mobicom.
Huston, G. (1999). Interconnection, Peering, and Settlements. In Internet Society INET.
Intelliguard (2009). Intelliguard dps (http://www.intelliguardit.net/Docs/Whitepapers/IntelliGuardIT_Inline_Deployment_Whitepaper.pdf).
InternetWorld Stats (2009). Usage and Population Statistics (http://www.internetworldstats.com/stats.htm).
Jin, C., Wang, H. & Shin, K.G. (2003). Hop-Count Filtering: An Effective Defense Against Spoofed DDoS Traffic. In ACM Computer and Communications
Security (CCS).
Kent, S., Lynn, C. & Seo, K. (2000). Secure Border Gateway Protocol (SBGP). In IEEE Journal on Selected Areas of Communication.
Keromytis, A., Misra, V. & Rubenstein, D. (2002). SOS: Secure Overlay Services. In ACM Special Interest Group in Communications (SIGCOMM).
Khor, S.H. & Nakao, A. (2008a). AI-RON-E: The Prophecy of One-hopSource Routers. In IEEE Globecom Next Generation Networks Symposium.
Khor, S.H. & Nakao, A. (2008b). Overfort:Combating DDoS with Peer-to-Peer DDoS Puzzle. In IEEE Secure Systems and Nework Workshop.
Khor, S.H. & Nakao, A. (2009). sPoW: On-Demand Cloud-based eDDoS Mitigation Mechanism. In IEEE/IFIP Hot Topics in Dependency
WorkShop(HOTDEP).
Khor, S.H., Christin, N., Wong, T. & Nakao, A. (2007). Power to the People: Securing the Internet One Edge at a Time. In ACM Large Scale Attack and
Defense (LSAD).
Kuzmanovic, A. & Knightly, E.W. (2003). Low-Rate TCP-Targeted Denial of Service Attacks. In ACM Special Interest Group in
Communications(SIGCOMM).
Liu, X., Yang, X. & Lu, Y. (2008). To Filter or to Authorize: Networklayer DoS Defense Against Multimillion-Node Botnets. In ACM Special Interest Group
for Communications (SIGCOMM).
Looking Glass (2009). Looking glass (http://www.bgp4.net/wiki/doku.php?id=tools:ipv4_looking_glasses).
85
参考論文(cont.)
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Madhyastha, H., Isdal, T., Piatek, M., Dixon, C., Anderson, T., Krishnamurthy, A. & Venkataramani, A. (2006). iPlane: An Information
Plane for Distributed Services. In USENIX Operating System Design and Implementation (OSDI).
Mahajan, R., Bellovin, S.M., Floyd, S., Ioannidis, J., Paxson, V. & Shenker, S. (2002). Controlling High Bandwidth Aggregates in the Network. ACM
Computer Communication Review (CCR).
Mahimkar, A., Dange, J., Shmatikov, V., Vin, H. & Zhang, Y. (2007). dFence: Transparent Network-based Denial of Service Mitigation. In USENIX
Network Systems Design and Implementation (NSDI).
Markopoulou, A., Iannaccone, G., Bhattacharyya, S., nee Chuah, C. & Diot, C. (2004). Characterization of Failures in an IP Backbone. In IEEE INFOCOM.
Massachusetts Institute of Technology (2009). Spoofer Project: Current State of IP Spoofing (http://spoofer.csail.mit.edu/summary.php).
Mirkovic, J. & Reiher, P. (2004). A Taxonomy of DDoS Attack and DDoS Defense Mechanism. In ACM Computer Communications Review (CCR).
Mirkovic, J., Prier, G. & Reiher, P. (2002). Attacking DDoS at the Source.In IEEE International Conference on Network Protocols (ICNP).
Mirkovic, J., Robinson, M. & Reiher, P. (2003). Alliance formation for DDoS defense. In Applied Computer Security Associates (ACSA) New Security
Paradigms Workshop (NSPW).
Mirkovic, J., Fahmy, S., Reiher, P. & Thomas, R. (2009). How to Test DDoS Defenses. In Cybersecurity Applications & Technology Conference For
Homeland Security (CATCH).
Mockapetris, P. (1987). Domain Names: Implementation and Specification (http://www.ietf.org/rfc/rfc1035.txt).
Moore, D., Voelker, G.M. & Savage, S. (2001). Inferring Internet Denial-of-Service Activity. In USENIX Security Symposium.
Moore, D., Paxson, V., Savage, S., Shannon, C., Staniford, S. & Weaver, N. (2003). Inside the Slammer Worm. IEEE Security and Privacy Magazine.
National Institute of Science and Technology (NIST) (1993). Data Encryption Standard (http://csrc.nist.gov/publications/fips/fips46-3/fips46-3.pdf).
Oikarinen, J. & Reed, D. (1993). RFC 1459: Internet Relay Chat (http://www.ietf.org/rfc/rfc1459.txt).
OnlineMQ (2009). OnlineMQ (http://www.onlinemq.com).
Park, K. & Lee, H. (2001). On the Effectiveness of Route-based Packet Filtering for distributed DoS Attack Prevention in Power-Law Internets. In ACM
Special Interest Group for Communications (SIGCOMM).
Parno, B., Wendlandt, D., Shi, E., Perrig, A., Maggs, B. & Hu, Y.C. (2007). Portcullis: Protecting Connection Setup from Denial-of-Capability Attacks. In
ACM Special Interest Group for Communications (SIGCOMM).
Planet Lab (2002). Planet Lab Consortium (http://www.planet-lab.org/consortium).
Poole, L. & Pai, V.S. (2008). ConfiDNS: Leveraging Scale and History to Detect Compromise. In USENIX Annual Technical Conference (ATC).
Prolexic (2009). Network Protection Services (http://www.prolexic.com).
Qazi, S. & Moors, T. (2007). Scalable Resilient Overlay Networks Using Destination-Guided Detouring. In IEEE International Conference on
Communications (ICC).
86
参考論文(cont.)
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Rajab, M.A., Zarfoss, J., Monrose, F. & Terzis, A. (2007). My Botnet is Bigger than Yours. In USENIX Hot Topics in Botnets (HOTBOT).
Ramasubramanian, V. & Sirer, E.G. (2004). The Design and Implementation of a Next Generation Name Service for the Internet. In ACM Special
Interest Group for Communications (SIGCOMM).
Rekhter, Y. & Li, T. (1995). RFC 1771: Border Gateway Protocol (BGP) (http://www.ietf.org/rfc/rfc1771.txt).
Rhea, S., Godfrey, B., B.Karp, Kubiatowicz, J., Ratnasamy, S. & Shenker, S. (2005). OpenDHT: A Public DHT Service and its Uses. In ACM Special Interest
Group for Communications (SIGCOMM).
Rose, C. & Gordon, J. (2003). Internet Security and the Tragedy of the Commons. In Journal of Business and Economics Research.
RouteViews (2005). University of Oregon Route Views Project (http://www.routeviews.org/).
Rowland, C. (1996). Covert Channels in the TCP/IP Suite. In First Monday, Peer Reviewed Journal on the Internet.
sacrine (2009). Sil v1.0 - A tiny banner grabber (http://www.netric.org).
Saltzer, J. & Schroeder, M. (1975). The protection of information in computer systems.
Savage, S., Anderson, T., Aggarwal, A., Becker, D., Cardwell, N., Collins, A., Hoffman, E., Snell, J., Voelker, A.V.G. & Zahorjan, J. (1999). Detour: a Case
for Informed Internet Routing and Transport. In IEEE Micro.
Savage, S., Wetherall, D., Karlin, A. & Anderson, T. (2000). Practical Network Support for IP Traceback. In ACM Special Interest Group for
Communications (SIGCOMM).
Shapiro, C. & Varian, H. (1998). Networks and Positive Feedbacks
Shi, E., Stoica, I., Andersen, D. & Perrig, A. (2006). OverDoSe: A Generic DDos Protection Service Using an Overlay Network.
Snoeren, A.C., Partridge, C., Sanchez, L.A., Jones, C.E., Tchakountio, F., Schwartz, B., Kent, S.T. & Strayer, W.T. (2002). Single-packet IP traceback. In
IEEE/ACM Transactions on Networking (TON).
Spring, N., Mahajan, R., Wetherall, D. & Anderson, T. (2004). Measuring ISP Topologies with Rocketfuel. IEEE/ACM Transactions in Networking.
Stoica, I., Adkins, D., Zhuang, S., Shenker, S. & Surana, S. (2002). Internet Indirection Infrastructure. In ACM Special Interest Group for
Communications (SIGCOMM).
Stone, R. (2000). CenterTrack: an IP overlay network for tracking DoS floods. In USENIX Security Symposium.
Subramaniam, K. (2008). Cloud Computing Risks eDoS (http://www.cloudave.com/link/cloud-computing-risks-edos).
Sun, H., Lui, J.C.S. & Yau, D.K.Y. (2006). Distributed Mechanism in Detecting and Defending Against the Low-rate TCP Attack. Computer Networks
Journal .
Sun Microsystems (2009a). Java Applets (http://java.sun.com/applets).
Sun Microsystems (2009b). Java Web Start (http://java.sun.com/javase/technologies/desktop/javawebstart/index.jsp).
87
参考論文(cont.)
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Symantec (2008). Symantec report on the underground economy (http://eval.symantec.com/mktginfo/enterprise/white_papers/bwhitepaper_underground_economy_report_11-2008-14525717.en-us.pdf.).
T. Ylonen and C. Lonvick (2006). The Secure Shell (SSH) Authentication Protocol (http://www.ietf.org/rfc/rfc4252.txt).
Team CYMRU (2009). CYMRU IP to ASN Service (http://www.team-cymru.org/Services/ip-to-asn.html).
Teixeira, R., Marzullo, K., Savage, S. & Voelker, G.M. (2003). In search of path diversity in ISP networks. In ACM Internet Measurement
Conference(IMC).
Thomas, R. & Martin, J. (2006). Underground Economy: Priceless. In USENIX ;login:.
Traceroute (1987). Traceroute (http://www.openbsd.org/cgi-bin/man.cgi?query=traceroute).
Turner, J. (2004). Virtualizing the Net - a strategy for enabling network innovation [Keynote 2]. In IEEE Symposium on High Performance
Interconnects.
von Ahm, L., Blum, M., Hooper, N. & Langford, J. (2004). CAPTCHAS: Using Hard AI Problems for Security. In EuroCrypt .
Walfish, M., Vutukuru, M., Balakrishnan, H., Karger, D. & Shenker, S. (2006). Ddos defense by offense. In ACM Special Interest Group for
Communications (SIGCOMM).
Wang, J., Liu, X. & Chien, A.A. (2005). Empirical Study of Tolerating Denial-of-Service Attacks with a Proxy Network. In USENIX Security Symposium.
Wang, L., Park, K.S., Pang, R., Pai, V. & Peterson, L. (2004). Reliability and Security in the CoDeeN Content Distribution Network. In USENIX Annual
Technical Conference (ATC).
Wang, X. & Reiter, M.K. (2003). Defending Against Denial-of-Service Attacks with Puzzle Auctions. In IEEE Symposium on Security and Privacy.
White, B., Lepreau, J., Stoller, L., Ricci, R., Guruprasad, S., Newbold, M., Hibler, M., Barb, C. & Joglekar, A. (2002). An Integrated Experimental
Environment for Distributed Systems and Networks. In USENIX Operating Systems Design and Implementation (OSDI).
Yaar, A., Perrig, A. & Song, D. (2004). SIFF: A Stateless Internet Flow Filter to Mitigate DDoS Flooding Attacks. In IEEE Symposium on Security and
Privacy.
YAML (2009). Yet Another Mark-up Language (http://www.yaml.org/spec/1.2/spec.html).
Yang, X. & Wetherall, D. (2006). Source Selectable Path Diversity via Routing Deflections. In ACM Special Interest Group for Communications
(SIGCOMM).
Yang, X., Wetherall, D. & Anderson, T. (2005). A DoS-limiting Network Architecture. In ACM Special Interest Group for Communications (SIGCOMM).
Zhang, Z., Zhang, Y., Hu, Y.C. & Mao, Z.M. (2007). Practical Defenses Against BGP Prefix Hijacking. In ACM CoNEXT.
88
My Toil
• Simulation code for Overfort
– Simulation for trace-back and punish algorithm
• Input parameters: 2
• Operational parameters: 5 (Number of requesters, Good vs. bad ratio,
Request inter-arrival time)
• Output statistics: 2
• AI-RON-E
– Components
• Oracle code (Respond to traceroute)
• Client code (Traceroute to target, Consult oracle, Determine failure-mask
ability)
• Covert channel data transmission code (IP spoofing) Indirection Code
– Experiment deployment on Planet-Lab nodes
• 100 oracles, 15 clients, 25 targets ~ 375 paths
89
My Toil (cont.)
• KUMO
– KUMO network stack (Ruby and Java (unmaintained))
•
•
•
•
•
Transmission/Reception over multipath
Fragmentation/Reassembly
Lost packet request/retransmission
Unreliable channel tracking
Plug-in support
Multipath Capability
– Plug-ins
• IRC, forum, Flickr (Web 2.0), Amazon’s S3, I3, direct, hybrid)
– Experiment deployment on Planet-Lab nodes
• Bullet time concept to enable experiments with more nodes
• Transfer 5 file sizes over 9 intermediary types by 20 nodes = 900 runs
• Transfer 5 file sizes over 2 intermediary types by 10 nodes over 4 DoS
conditions = 400 runs
90
My Toil (cont.)
• sPoW
– Server-side
•
•
•
•
Intermediary listener
Connection manager
Puzzle generator
Puzzle distributor
– Client-side
• Puzzle requester/resolver
– Simulation/Experiment (In Progress)
• How connection establishment time under DoS is affected by:
–
–
–
–
–
Number of server connections
Puzzle level of attacker (fixed)
Puzzle level
Number of attackers [3 times (60), 10 times (200), and 20 times (400)]
Algorithm parameter, T (puzzle resolution/request calculation period)
• 3.5 papers
91