Transcript ppsx
前置き
• 短い時間なので
– 詳しいことを説明できません
• 250以上のスライドを準備したので聞いてください
– すべての実験の結果は発表できません
• Burrows:0, KUMO:3, sPoW:3, Overfort:3, AI-RON-E:4
• 実現がある研究
– KUMO, sPoW
• 18,526行 + 6061行(実験)
– AI-RON-E
• 1,221行(Cライブラリー) + 6,363行(アルゴリズム+実験)
• シミュレーションコード
– Overfort
• 1500行
1
実世界に展開可能なDDoS攻撃
防御メカニズム
(Deployable DDoS Resiliency)
Ph.D. Candidate: Soon Hin Khor
Advisor: Assoc. Prof. Akihiro Nakao
目次
•
•
•
•
•
•
•
DDoSの定義と種類
モチベーション
目標
関連研究
アプローチ
各研究
まとめ
3
Distributed Denial-of-Service (DDoS)
インターネット
混雑
ネットワーク
ボトルネック
サーバ
ボトルネック
4
DDoS種類
• スプーフ/ネットワークレイヤDDoS(フィルタ可能)
• フィルター不可のDDoS
• 経済的DDoS (economic DDoS: eDDoS)
5
スプーフ/ネットワーク層DDoSとは
スプーフDDoSの目的はトレースバックを不可能にすること
スプーフ
ソース
内容
$8&@
ランダム
ネットワーク層DDoS
の目的は輻輳
混雑
ネットワーク
ボトルネック
サーバ
ボトルネック
6
フィルター不可のDDoSとは
DDoS防御
輻輳(混雑)なし
DDoS防御によりアタック
トラフィックをフィルターする
7
フィルター不可のDDoSとは(cont.)
区別不可トラフィック
通常パケット
を多量に送る
ことで攻撃する
例えばページ
ダウンロード
DDoS防御
フィルター不可DDoS
輻輳(混雑)
ネットワーク
ボトルネック
フィルター不可DDoSは
一般のDDoS防御をすりぬける
サーバ
ボトルネック
8
クラウドは新しい種類のDDoS攻撃
を可能にする=>eDDoS攻撃
インターネット
クラウドに実装されたネットワークサービス
9
新しい問題: 経済的DDoS (eDDoS)
クラウドではユーザがアクセスした
トラフィック量に応じた課金が発生
DDoS 攻撃は
大量課金を意味する
インターネット
DDoS攻撃の
トラフィックにより
帯域の従量課金が発生
混雑な
し
$$$$
eDDoS
クラウド
オフライン
帯域とサーバ処理リソースを
オンデマンドに確保可能
(Elastic Computing)
10
eDDoS:未解決の問題
• http://developer.amazonwebservices.com/co
nnect/message.jspa?messageID=120089
aiCache
今までのツールはeDDoSへの
対策ができない(11 Mar 2009)
11
eDDoSが起こったら。。。
• 歴史的データ
– BetCrisのDDoS, Nov 2003, 1.5 – 3Gbps
– DNSルートサーバのDDoS, Mar 2007, 1 Gbps
• 仮定:1GbpsのDDoS, データ転送コスト:$0.1/GB
– 24時間 => 24 * 3600 * $0.1/8 ~ $11,000
• インターネット予約制コスト
– T3 (45 Mbps) ~ $3,000 to $12,000/月
– OC3 (155 Mbps) ~ $15,000 to $100,000/月
– http://www.broadbandlocators.com/
12
研究のモチベーション
• エンドユーザ調査
– CSI Computer Crime 2008
– 21%回答者はDoSを受けた
• インターネットプロバイダー(ISPs)調査
– ArborNetworks Infrastructure Security Report 2008
– 21%回答者によるとDDoSに管理リソースの消費が一番多い
• 測定研究の結果
– 「Inferring DDoS」の論文(Savage et al.)
– 2001-2004: 68,700DDoSは5,300ドメインにわたる
誰にとってもDDoSは深刻な問題
13
研究のモチベーション
• 最近10年のDDoSの研究:
– 2000: CenterTrack, Blackhole routing
– 2001: DPF, Traceback ICMP, Algebraic traceback, Various
traceback
実世界に展開可能
– 2002: D-WARD, SOS, Pushback
なDDoS防御
– 2003: HCF, Capabilities, Mayday
メカニズムは無い
– 2004: SIFF
– 2005: WebSOS, AITF, TVA, Route & Tunnel
– 2006: Speak-Up, Flow-Cookies (CAT)
– 2007: Portcullis
eDDoSに対策
– 2008: Phalanx
メカニズムは無い
– 2009: StopIt
14
目標
実世界に展開可能なDDoS防御メカニズム
1. 展開の敷居が低い
• ルータを変更する必要がない
• 自ら実現可能
– 消費リソース(時間とお金)が少ない
実世界に展開可能
なDDoS防御
メカニズムはなし
解決
eDDoSに対策
メカニズムは無し
2. 3種類のDDoSに対策可能
解決
15
実世界に展開可能なDDoS防御
メカニズムを設計するに対する問題とは何?
16
最先端DDoS防御の一つ
接続リクエス
ト
正
正
R3
インターネット
DDoS防御技術応用
ISP A
ISP B
ISP C
正
R4
正
R1
正
R2
賛成証拠を支配
接続リクエス
ト
R1,R2,R3,R4
賛成証拠を作った
正
17
最先端DDoS防御の一つ(cont.)
認証なし
DDoSパケット
盗んだ証拠
DDoSパケット
正
正
R1
正
正
R3
インターネット
正
R4
正
R2
各パケット
正
=パケットがこの
経路を通ることを
サーバが認証した
ルータを変更する
必要がある
正
認証経路ではない
混雑な
し
DDoS防御技術応用
ISP A
ISP B
ISP C
サーバトラフィック
コントロール
18
最先端≠展開可能
時間とお金がか
かりすぎる
– 自らで実現できる
• リソースの獲得が難しい
– 自らのリソースで構築
3事業体
10ロケーション
• インターネットルータの変更が困難
– エッジノードを使う
変更の容易さ
• 多くの無関心他者に依存する
インセンティブ
実世界に展開不可
19
展開可能性を測る指標
• Deployable Resiliencyという指標を定義
– インフラ(インターネットルータ)の変更の度合い
– インセンティブ(展開するための動機付け)
– 様々なDDoSに対する対策効果
1. スプーフ/ネットワークレイヤDDoS
2. フィルター不可DDoS
3. eDDoS
20
関連研究
変更の容易さレベル
サーバ反応
クライアント反応
防止
抑止
目標
丸のサイズ => 効果
インセンティブレベル
21
意義
変更の容易さレベル
サーバ反応
クライアント反応
防止
抑止
経済的
KUMO
目標
Overfort
sPoW
AI-RON-E
丸のサイズ => 効果
Burrows
インセンティブレベル
22
eDDoS防御
質問:sPoWの研究は関連研究と比べればどこまで特殊ですか
答え#1:“mitigation eDoS”のキーワードをGoogleで検索すれば
Top20結果の中でsPoWが出る
判例#1:eDoSのキーワードはsPoWの論文で全然使わなかった
判例#2:“eDoS”と“eDDoS”は違う言葉です
答え#2:“mitigation eDDoS”のキーワードをGoogleで検索すれば
sPoWはNo.1の結果です
1.
2.
eDDoSはかなり新しい問題です
sPoWの研究は関連研究をちょっと調整して本研究になるものではない
23
目標
実世界に展開可能なDDoS防御メカニズム
1. 展開の敷居が低い
• ルータを変更する必要がない
• 自ら実現可能る
– 消費リソース(時間とお金)が少ない
実世界に展開可能
なDDoS防御
メカニズムはなし
対策
どのような手法で実現可能?
2. 3種類のDDoSに対策可能
eDDoSに対策
メカニズムは無し
対策
24
アプローチ
目標
研究
Burrows
KUMO
依存関係
(〜に基づく)
sPoW
Overfort
AI-RON-E
時間とお金の問題
無関心な他者の依存無し
O
O
O
O
O
リソースの獲得が容易
o
???
O
O
O
O
ルータの変更必要無し
O
O
O
O
O
O
O
O
O
O
DDoSに対策有効
自らのリソースのみで実現可能
ネットワークレイヤ
フィルター不可
eDDoS
O
O
自ら実現可能な
多様なDDoSの対策
O
特徴機能
トレスバック
クライアントの自らの能力
自らのリソースのみで実現可能
インターネットの堅牢性を向上
補足DDoS防御メカニズム
クライアントが自ら
対策可能
O
O
25
学会発表情報
• Power to the People: Securing One-Edge at a Time
– ACM SIGCOMM Large-Scale Attack Defence (LSAD) Workshop 2007
– 採択率:(オフィシャル:45%)
• Ovefort: Combating DDoS with Peer-to-Peer DDoS Puzzle
– IEEE International Parallel and Distributed Processing Symposium
(IPDPS) Secure Systems and Network (SSN) Workshop 2007
– 採択率:不明
• AI-RON-E: Prophecy of One-Hop Source Routers
– IEEE Globecom Next Generation Networks (NGN) Symposium 2008
– 採択率:(内示:36.8%)
• sPoW: On-Demand Cloud-Based eDDoS Mitigation Mechanism
– IEEE/IFIP HotDep Workshop 2009
– 採択率:(オフィシャル:37%)
発表順番
•
•
•
•
•
Burrows
KUMO
sPoW
Overfort
AI-RON-E
27
各研究の目次
• 意義
• 概要
• 結論
– Deployable Resiliencyが高い理由
28
Burrows: 意義
最先端
最先端≠展開可能
展開の問題
解決
多くの無関心な他者に依存する
自らのリソースだけでは困難
Burrowsでこの三つの問題を解決!
インターネットルータの変更が困難
29
最先端DDoS防御の一つ
サーバの認証なし
DDoSパケット
DDoSパケット
インターネット
サーバの認証なし
DDoS防御技術応用
ISP A
ISP B
ISP C
30
防御が多くの無関心な他者に依存する問題
サーバの認証は無し
DDoSパケット
DDoSパケット
インターネット
サーバの賛成は無し
DDoS事件
DDoS防御技術応用
無関心なISPは ISP A
防御を実装する ISP B
ISP C
動機がない
現在のインターネット
セキュリティは様々な
ISPに依存する
31
Burrowsのアーキテクチャ
ルータで行っていた
防御をエッジに移動
インターネット
サーバには直接接続できない
DDoS防御技術応用
ISPは応用しないISP A
ISP B
ISP C
サーバAオー
ナー
エッジノード
による中継を
強制する
ルータの変更は必要ない
=>実装展開しやすい
32
Burrows:アーキテクチャ
中継ノードの目的:トラフィックコントロル
例:悪いパケットを区別できればネットワークレイヤDDoSへの対策できる
セキュリティを実現するために
中継ノードにしか依存しない
インターネット
DDoS防御技術応用
ISP A
無関心な人に依存しない
ISP B
ISP C
サーバAオー
ナー
中継ノードを
介してサーバに接続
エッジノード
による中継
ルータの変更は必要ない
=>実装展開しやすい
33
Burrows:アーキテクチャ
中継ノード経由経路が多くあればそれだけDDoS防御力が強くなる
セキュリティを実現するために
中継ノードにしか依存しない
協調プラットホーム
インターネット
エッジノード
による中継
エッジノード
による中継
DDoS防御技術応用
サーバAオー
ナー
サーバBオー
ナー
ルータの変更は必要ない
=>実装展開しやすい
経路数は二倍になる
34
Burrows: 結論
Burrowsフレームワークを採用すれば
Deployable Resiliencyが向上する
最先端
最先端≠展開可能
展開の問題
解決
多くの無関心な他者に依存する
中継ノードのみに依存する
Burrowsでこの三つの問題を解決!
協調プラットホーム
自らのリソースだけでは困難
インターネットルータの変更が困難
エッジノードの利用
35
目標
研究
アプローチ
基づく
Burrows
KUMO
sPoW
Overfort
AI-RON-E
時間とお金の問題
無関心な他者の依存無し
O
O
O
O
O
o
???
O
O
O
O
O
O
O
O
O
O
O
フィルター不可
O
O
eDDoS
O
リソースの獲得が容易
セキュリティに協調でO
ルータの変更必要無し
DDoS防御リソースを
DDoSに対策有効 集合する
ネットワークレイヤ
O
展開可能性の向上
O
特徴機能
トレスバック
クライアントの自らの能力
O
O
36
KUMOアーキテクチャの意義
リソースの獲得が簡単
Burrows
リソース協調プラットフォーム
KUMO
自分自身のリソースのみで実現
あらゆるインターネットシステム Pay-as-you-use DDoS防御
を中継ノードとして利用可能
(ユーティリティコンピューティング)
37
KUMO:フレームワーク
Write-onceコードエクステンション: データ送信/受信
KUMO
ぜロインストール
クライアントサイド
CDN
インターネット
IRC
フォーラム
(掲示板)
クライアント
経済的なインセンティブ
Web2.0
変更無し
$
$
$
$
KUMO
サーバサイド
サーバ
変更無し
あらゆる中継ノード
ネットワークスタック機能
送信/受信
再送信リクエスト/再送信
分割/再構築
等。。。
変更無し
38
KUMOクライアントとサーバサイド
リスニング
チャネル
KUMOクライアントサイド
クライアント
インターネットシステム
KUMOサーバサイド
プラッグインリスト
1. IRC
2. Forum
3. I3
4. Flickr
5. S3
6. Direct
& Hybrids
サーバ
KUMO DNS
ダイナミック
DNS
中継ノードリスト
KUMOサンプルサーバコード
コメント
1 # NOTE: Lines beginning with # are comments
2 @kumo_controller = KUMOCompositeChannelController.new
3 @ksside = KSside . new( @kumo_controller )
4 @ksside.start
5 # Parameter descriptions :
6 # domain : The domain name the listening socket is for
7 # send_domain : The name of destination where reply should
8 # be sent . Usually this is just the listening ”domain”
9 # with some appended with random number to create a
10 # unique destination.
11 # output : The contents of the connection request
12 # sockid : The socket ID used to send reply
13 @ksside.register_ic_handler ( domain ) { | domain , send domain , output ,
14 sockid |
15 . . .
16 # insert code to perform task when a connection request is received
17 . . .
18 }
ベースコード
アプリケーション
コード
コネクション
リクエスト
受信の際の
コード
40
KUMOサーバサイド
インターネットシステム
KUMOクライアントサイド
クライアント
KUMOサーバサイド
プラッグインリスト
1. IRC
2. Forum
3. I3
4. Flickr
5. S3
6. Direct
& Hybrids
コネクションリクエスト
受信の際のコード
サーバのベースコード
サーバ
リスニングソチャネルを作成
KUMO DNS
ダイナミック
DNS
DNSリクェスト
ハンドラー
Intermediary list
KUMOサンプルクライアントコード
コメント
ベースコード
1 # NOTE: Lines beginning with # are comments
2 # Parameter descriptions :
アプリケーション
3 # send_domain : the destination domain name of the data to be sent
コード
4 @kumo_controller.start_all_channel_sets_for_domains ( [ send domain ] )
5 # The values of the parameters are :
6 # send_msg : The data to be sent
7 # reply : The reply from the server
8 # reply_sockid : The socket ID through which we can respond
9 # to the reply we receive
10 # processed : True if we decide to handle reply . Advance use only .
11 @kumo_controller . send ( send_domain , send_msg ) { | reply , reply_sockid , コネクション
12 processed |
リクエストの
13 . . .
返信をもらう
14 # insert code to perform task when reply to data sent is received
際コード
15 . . .
16 }
42
KUMOクライアントサイド
インターネットシステム
コネクションリクエスト
の返信をもらう際コー
ド
KUMOクライアントサイド
KUMOサーバサイド
プラッグインリスト
1. IRC
2. Forum
3. I3
4. Flickr
5. S3
6. Direct
& Hybrids
クライアントベースコード
サーバの接続方法
クライアント
サーバ
KUMO DNS
ダイナミック
DNS
DNSリクェスト
ハンドラー
Intermediary list
実験:目的
データ転送スピードは?
44
実験
i3
7k
5 x 8 x 20 =1600組み合わせ
7k
5回x1600=8000回
Flickr
22k
22k
Amazon S3
51k
51k
フォーラム
101k
PLノード
PLノード 101k
IRC
449k
HTTP転送
449k
45
転送かかる時間(s)
データ転送に要する時間
Criticalアプリケーションの
availabilityを提供する
適度スピード
h-forum, h-flickr, h-S3
速いスピード
IRC, I3 < 10kB
Interactive
速いスピード
アプリケーションを提
I3 < 100kB
供できる
フィアルサイズ(log)
46
KUMO:結論
KUMOフレームワークを採用すれば
Deployable Resiliencyが向上する
展開の問題
多くの無関心な他者に依存する
自らのリソースだけでは困難
インターネットルータの変更が困難
解決
自分のリソースのみで構築
あらゆるインターネットシステムを利用可能
変更無し
47
目標
研究
アプローチ
基づく
Burrows
KUMO
sPoW
Overfort
AI-RON-E
時間とお金の問題
無関心な他者の依存無し
O
O
O
O
O
O
O
O
O
O
O
O
O
O
O
フィルター不可
O
O
eDDoS
O
リソースの獲得が容易
ルータの変更必要無し
DDoSに対策有効
ネットワークレイヤ
特徴機能
トレスバック
クライアントの自らの能力
O
o
???
O
展開可能性の向上
O
O
自ら実現可能な
多様なDDoSの対策 O
O
48
sPoW:意義
• KUMOに基づいてDeployable Resiliencyを向上する
– インフラ(ルータ)の変更無し
– Pay-as-you-useシステム
• 3種類のDDoS攻撃に対策可能
DDoSの種類
解決
スプーフ/ネットワークレイヤDDoS
中継ノードとしてクラウドを使う
フィルター不可DDoS
eDDoS
PoWのコンセプトを採用する
自動検証PoW
49
sPoW:クラウドを利用したKUMO
トラフィック
コントロール
DDoS不可の
クラウド
少数の中継ノード
信頼できる中継ノード
ローコスト(ユーティリティコンピューティング)
DDoS不可の
リンク
スプーフ/ネットワークレイヤDDoS防御
Amazon EC2
Cloud
インタメディアリ
サーバ
クライアント
DDoS不可の
リンク
DDoS不可の
クラウド
Google
AppEngine
中継ノード
トラフィック
コントロール
50
フィルター不可なDDoS
DDoSかどうか分からない!
インターネット
インターネット
コネクション
abc.com
abc.com
abc.com
abc.com
ネットワークキュー
容量オーバーに対する対策?
51
フィルター不可なDDoS
本当はDDoSだった
フィルター不可なDDoS
インターネット
悪いと良いトラフィック
は特徴がない
インターネット
コネクション
無理
どちらが悪い?
abc.com
abc.com
abc.com
abc.com
ネットワークキュー
PoW
キューが零れる。
どちらが優先的
どうする???
に一番低い?
52
PoWの目的
• 目的 #1
問題を置き換える
各クライアント
のCPUの問題
サーバのネットワック
リソースの問題
• 目的#2
クライアント
サーバ
取り組みにくい問題
どのパケットが悪い?
問題を置き換える
どのパケットの優先度が低い?
• 目的#3
– 使用リソースはパズル解決レベルで分かる
クライアント
解決可能な問題
パズル解決レベルで
パケットの優先順位を
決める
13
2
パズル解決レベルが高いと
パズルを解くための必要リソースも多
53
PoWのメカニズム 1/3
クライアント
各パケットの送出に
リソースが必要
アタッカー
リソース使用
パケットを減らす
abc.com
abc.com
abc.com
1
1
パズルを解決
1
パズル
ディストリビューター
パズルの解決レベル
で優先的に並べる
3
PoW
検証メカニズム
1
2 4
数字はパズルのレベルを表す
ネットワークキュー
54
PoWのメカニズム 2/3
クライアント
より多くのリソース使用
2
2
パズルを解決
アタッカー
各パケットの送出に
リソースが必要
リソース使用
パケットを減らす
abc.com
レベル2>レベル1
リソース使用が多ければ優先度も高くなる
パズルの解決レベル
DDoSの際でもクライアント で優先的に並べる
がサーバを繋げる
1
1
abc.com
abc.com
パズル
ディストリビューター
PoW
検証メカニズム
3
1
2 4
数字はパズルの
レベルの代表
ネットワークキュー
55
PoWのメカニズム 3/3
クライアント より多くのリソース使用
アタッカー
リソース使用
各パケットの送出に
リソースが必要
パケットを減らす
クライアントのリソースの問題に
置き換えることが可能
パズル
ディストリビューター
サーバのリソース
の限度の問題
2
abc.com
PoW
検証メカニズム
1
abc.com
3
1
2 4
数字はパズルの
レベルを表す
ネットワークキュー
56
PoWの検証メカニズム
• すべてのパケットを,
– 受信し,
– 比較し,
– 一番難しいパズルの解答付きパケットをサーバに渡す
処理のためのリソースが集中するので実現が困難
57
PoWとeDDoS
クライアント
?
abc.com
インターネット
abc.com
abc.com
?
?
パズルを解決しない
パズル
ディストリビューター
課金メカニズム
正しくないパズルも受信して
確認する必要があ
る:eDDoS
リソース不使用
アタッカー
$ $ $
$$$$$
アタックのターゲット
はここじゃない
PoW
検証メカニズム
クラウド
3
1
2 4
数字はパズルの
レベルの代表
ネットワークキュー
58
サマリー
問題
解決
フィルター不可DDoS
PoWのコンセプト
PoWの集約なリソースの要求
クラウド
コンピューティング
eDDoS
sPoW
59
sPoW: eDDoSの防御
sPoW無し
sPoWあり
クラウド
PoW検証メカニズム
eDDoS
$
eDDo
S$$$$
課金
メカニズム
$
$ $ $
サーバオーナー
が自ら変更可能
課金
メカニズム
クラウド
を減ら
す
サーバ
サーバ
60
自動検証PoW (sPoW)
eDDoS
被害がある部分
被害が無い部分
アタッカー eDDoS
パズルを解いて
送信チャネルの
名前を受けた:C
サーバチャネル(Amazon SQS)
$
a
$
b
$
c
寿命の短いチャネル
4 リクエスト/s
3
1
$
d
サーバ
クライアント
1. 検証されないトラフィック
2. 検証されたトラフィック
c
2
パズル
ディストリビューター
b
a
チャネルの名前か
らパズルを作る
c d
61
実験:目的
DDoS攻撃をシミュレーションし以下を計測
1. クライアントがサーバに接続可能か?
2. クライアントがサーバに接続するまでの時間
62
5バーチャルクライアントと
15バーチャルアタッカー
バーチャルアタッカー
実験
バーチャルクライアント
実験パラメター
power=アタッカーパワー
20バーチャルクライアントvs.60バーチャルアタッカー
PLノード
20バーチャルクライアントvs.400バーチャルアタッカー
(実際のDDoSで見られる値)
C=サーバリソース(
コネクションの数)
PLノード
中継ノード
インターネット
サーバ
(PLノード)
PLノード
シミュレションだけではない
KUMO DNS
(PLノード)
PLノード
k=パズルレベル
63
sPoW:DDoS攻撃中でもサーバに接続可能
サーバに繋げたクライアント
アタッカーのパズルレベル
kが上がっても繋げる時間
が上がると思った
アタッカーリソースに
限度があるため
DDoSの影響も限度がある
遅い程度:
「k=2」<「k=4」<「k=3」
「k=3」の状態はクライアント
の接続時間が一番遅い。
普通より遅い程度
sPoW: サーバに接続できるまでの時間
サーバに繋げたクライアント
アタッカーのリソースがクライアントより20倍多いが
接続時間は~33倍ぐらいしか伸びない
普通より遅い程度
sPoW:結論
DDoSの種類
チェックリスト
スプーフ/ネットワークレイヤDDoS
O (sPoW: クラウド)
フィルター不可のDDoS
O (sPoW: PoWメカニズム)
eDDoS
O (sPoW: 自動検証)
• Deployable Resiliencyがアップ
展開の問題
多くの無関心な他者に依存する
自らのリソースだけでは困難
インターネットルータの変更が困難
解決
クラウド変更無しで使用
多少なクラウドインタメディアリを使用
クラウドを使用
66
sPoWの意義
sPoW無し
eDDoSによって収入がある
eDDoSの防御は必要ない!
課金
メカニズム
$ $ $
Help!eD
DoS
3
クラウド
eDDo
S$$$$
PoW妥当性機
サーバ
sPoWあり
を減ら
す
サーバオーナー
の部分のリソースは
使用されるが収入はない
eDDoSに対策しなくてならない
><
eDDoSで
も平気
$
$
eDDoS
サーバオーナー
が自ら変更可能
課金
メカニズム
クラウド
プロバイダー
クラウド
サーバ
クラウド
プロバイダー
サーバオーナー
67
目標
研究
アプローチ
基づく
Burrows
KUMO
sPoW
Overfort
AI-RON-E
時間とお金の問題
無関心な他者の依存無し
リソースの獲得が容易
ルータの変更必要無し
DDoSに対策有効
ネットワーク層
フィルター不可
eDDoS
O
o
???
O
O
O
O
O
O
O
O
O
O
O
O
O
O
O
O
O
O
展開の可能性が向上
O
O
自ら実現可能な
多様なDDoSの対策
O
特徴機能
トレースバック
クライアントの自らの能力
自らのリソースのみで実現可能
インターネットの堅牢性を向上
O
O
68
Overfort:意義
• 自ら展開可能なトレースバックシステム
– 従来のトレースバックの二つの問題を解決する
• 認証機構が弱い(送信元情報はスプーフ可能)
• ペナルティを課すメカニズムはない
69
トレースバックの定義
送信元 宛先
内容
送信元情報で
捕まれた
$8&@
アタッカー
ユーザ
送信元 宛先 内容
$8&@
70
トレースバック:問題1
スプーフ
送信元 宛先
送信元情報は
認証情報として弱い
内容
$8&@
ユーザ
アタッカー
送信元 宛先 内容
$8&@
71
トレースバック:問題2
攻撃者が増加すると防御できない
(スケーラビリティの問題)
ペナルティを
課す方法がない
トレースバックは
自動的に行うこ
とが可能である
アタッカーを捕まえて
欲しい...
72
解決
• 強い認証機構(アカウンタビリティ)
• アタッカーが存在するネットワーククラスタに
対しペナルティを課すメカニズム
73
Overfort:攻撃者が存在するネットワーククラスタに
ペナルティを課すメカニズム 1/3
アクセスルータ
OFG
隠されたサーバZ
直接繋げない
Overfortゲートウェイ
秘密サーバID
秘密サーバIDの公開
マッピング
サーバZ
ID A
ID B
ID C
ID D
OFG
OFG
ルータID: D
ルータID: A
OFG
ルータID: B
OFG
ルータID: C
DNS
サーバZ? ID B
サーバZ?
ID C
ユーザ X
ユーザ Y
サーバZ?
ID D
74
ユーザ Z
Zombie PC: courtesy of crazy-vincent.com
Overfort:攻撃者が存在するネットワーククラスタに
ペナルティを課すメカニズム スプーフ
2/3
アクセスルータ
送信元 送信先
OFG
Overfortゲートウェイ
ID
$8&@
D
秘密サーバID
トラッキング
マッピング
サーバZ
ID A
ID B
ID C
ID D
OFG
OFG
ユーザ X
ユーザ Y
ユーザ Z
ルータID: D
ルータID: A
OFG
ルータID: B
スプーフ
できない
OFG
ルータID: C
DNS
サーバZ? ID B
サーバZ?
ID C
ユーザ X
ユーザ Y
サーバZ?
ID D
75
ユーザ Z
Zombie PC: courtesy of crazy-vincent.com
Overfort:攻撃者が存在するネットワーククラスタに
ペナルティを課すメカニズム 3/3
アクセスルータ
OFG
Overfortゲートウェイ
秘密サーバID
未使用
マッピング
サーバZ
ID A
ID B
ID C
ID D
ユーザ X
ユーザ Y
ユーザ Z
ルータID: D
ルータID: A
OFG
ルータID: B
ユーザZ
は悪い
DNS
OFG
OFG
OFG
ルータID: C
ペナルティ:要求を受け付けない
ID B
サーバZ?
ID C
ユーザ X
ユーザ Y
ID D
76
ユーザ Z
Zombie PC: courtesy of crazy-vincent.com
シミュレーション:目的
アタッカーが存在するネットワークを
トレースバックするために
何台のOFG(ゲートウェイ)が必要か?
77
シミュレション:インプットパラメタ
ー
Input Parameters
Description
Significance
Y
Deviation from average markings
High deviation means
longer segregation time
but less false positives
Nuse
Number of virtual links active at any
one time
More means less nodes
mapped onto a virtual link
which may make faster to
identify attacking nodes.
However, this requires
more virtual links.
78
シミュレーション:環境パラメター
Input Parameters
Description
Significance
NLDNS
Total number LDNS in the Internet
Approximately 800,000 but
for simulation we vary
from 200 to 5,000
R
Ratio of good versus bad LDNS
0.9 is the estimate from
existing research
arrgood
Arrival rate of DNS request from
good LDNS
Arrival rate of DNS request
is Poisson as shown in
existing research
arrbad
Arrival rate of DNS request from bad Varied to simulate different
LDNS
attack types
td
Attack detection time
This is dependent on the
technology deployed by
the protected server. The
faster the less nodes
mapped onto the virtual
link.
79
シミュレション:アウトプット
Input Parameters
Description
Significance
acc,%
Accuracy of segregation
100% means no false
positives in segregation
Nadd
Number of additional virtual links
required for complete segregation
The less the better
80
完全に区別できる
ハーチャルリンクの数
バーチャルリンクの数のLDNSの合計:線形関数
LDNS = 800,000, R=0.9 =>
Nadd ~ 120,000 IDs
(二つクラスBのIP)
物理的に必要なOFG = 120,000/10 =
12,000台
(インターネットに展開するために
は十分少ないリソースと言える)
良いと悪い
LDNSの割合
NLDNSとNaddは線形関数がある
81
LDNSの合計
Overfort:結論
• 良いポイント
– ブラックリストを作成し,ペナルティを課すことが可能
• Deployable Resiliency
展開の問題
多くの無関心な他者に依存する
自らのリソースだけでは困難
インターネットルータの変更が困難
解決
自ら展開可能
12,000OFGでDDoS防御可能
アクセスルータしか使わない
82
目標
研究
アプローチ
基づく
Burrows
KUMO
sPoW
Overfort
AI-RON-E
時間とお金の問題
無関心な他者の依存無し
リソースの獲得が容易
ルータの変更必要無し
DDoSに対策有効
ネットワーク層
フィルター不可
eDDoS
O
o
???
O
O
O
O
O
O
O
O
O
O
O
O
O
O
O
O
O
O
展開の可能性が向上
O
O
自ら実現可能な
多様なDDoSの対策
O
特徴機能
トレースバック
クライアントの自らの能力
自らのリソースのみで実現可能
インターネットの堅牢性を向上
O
O
クライアントが自ら
DDoSを対策
83
AI-RON-E:目的
• クライアントは自らDDoSによる輻輳(混雑)を回避
する
– CPU、メモリ、ネットワークリソース使用量を
最小限にする
– 現在のインフラ変更は不必要
アナロジー:混雑した地下鉄路線を,他の路線を乗り継
ぐことで,回避する
(既存の地下鉄路線を利用,自らの行動により回避)
84
経路における輻輳(混雑)
エンドホスト
E
ルータ
P
Q
DDoSによる輻輳(混雑)
C
D
85
ワンホップソースルーティング(OSR)
エンドホスト
ルータ
クライアントは自ら
障害を回避可能
E
P
One-hop Source
Routing (OSR)
Q
DDoSによる輻輳(混雑)
C
D
86
リンク障害の回避率
OSRはどれ?
エンドホスト
ルータ
E
成功率 = 9/12
P
Q
DDoSによる輻輳(混雑)
C
D
87
スマートOSRを選ぶアルゴリズム
• 相応しいOSRを選ぶアルゴリズム:
– ネットワークプロブを倹約して使うこと
– 完全のインターネットトポリジーを持っているはず
は無い
– 処理リソース使用が少ない
88
実験
総数回: 15
アジア
3
輻輳
(混雑)
100 PLノード
OSRの選択
アルゴリズム
送信先(PLノード)
25デスティネーション
アメリカ 3
カナダ
2
東ヨーロッパ
3
西ヨーロッパ
3
南アメリカ 1
N 回数
N = 4,12
375経路 ~ 4500リンク
1. 混雑ロケーション
2. 回避成功
3. 回数#
89
結果:リンク障害の回避率
ルンクの数、%
69%
60%
SOSR: 66%
7日間, 3153の送信先アドレス
に対し障害回避率を測定
OSRを選ぶ数
90
実世界に展開可能性
• ルータの変更を考えた場合
– AI-RON-Eの実装は“ソースルーティング”に似ているた
め,開発の敷居が低い
• ルータの変更を考えない場合
– Source IP Address Spoofing技術で適用可能
91
AI-RON-E:結論
• Deployable Resiliency
展開の問題
多くの無関心な他者に依存する
自らのリソースだけでは困難
インターネットルータの変更が困難
解決
ルータの変更無し
すべてのルータを使用可能
ルータの変更無し
92
実世界に展開可能なマルチレイヤDDoS 防御
DDoS防御のための
クラウドシステム
KUMOサーバサイド
(アップリケーション変更無し)
クラウド
中継ノード
AI-RON-Eオラクル
1. インターネット内部(ルータ)には変更を加えない
2. 必要なリソースが少なく,多くの場所に複製可能
3. システムを展開するためのインセンティブがある
AI-RON-Eクライアント
サーバ
インターネット
KUMO クライアントサ
イド(ゼロインストール)
OFGモニター
A
sPoWパズル
ディストリビューター
クライアント
B
アタッカー
C
アタッカー
権威のあるDNS
93
本研究の意義
変更の容易さレベル
サーバ反応
クライアント反応
防止
抑止
経済的
KUMO
目標
Overfort
sPoW
AI-RON-E
丸のサイズ => 効果
Burrows
インセンティブレベル
94
Current sPoW Deployment
ビルトイン
課金メカニズム
Amazon S3 (5G)
Amazon SQS (8K)
クラウド
インタメディアリ
Rubyクライアントアップリ
Rubyサーバアップリ
適度な
パフォーマンス
インターネット
IRC
ダイナミッククライアント
のサポートのためには
Javaライブラリーが必要
I3
経理システム
は無し
95
今後の課題
ビルトイン課金
メカニズム
Amazon S3 (5G)
Amazon SQS (8K)
クラウド
中継ノード
Rubyサーバアップリ
適度な
パフォーマンス
Cライブラリにポート
ネットワークスタックとして実装
新しい中継ノード
新しい中継ノードを
構成する
Rubyクライアントアップリ
インターネット
IRC
ダイナミッククライアント
Javaライブラリに
のサポートのためには
ポートする
Javaライブラリーが必要
課金システム
は無し
I3
KUMOに課金システムを実装
96
研究の特徴
• Overfort
– アタッカーよりリソースが少なくてもDDoS防御可能
– DNSを用いたトレースバックシステム
– 攻撃者にペナルティを与えるシステム
• AI-RON-E
– 混雑(攻撃を含む)を回避
– すべてのインターネットルータを変更なしに使用可能
• KUMO
– DDoS防御のためのリソースとしてすべてのインターネット
システムを使用可能
• sPoW
– 従来の解決法がほとんどないeDDoS攻撃を防御可能
97
ご清聴ありがとうございました
98
参考論文
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Abadi, M., Burrows, M., Manasse, M. & Wobber, T. (2003). Moderately Hard, Memory-bound Functions. In Network and Distributed System Security
Symposium (NDSS).
Abley, J. & Lindqvist, K. (2006). RFC 4786: Operation of Anycast Services (http://www.ietf.org/rfc/rfc4786.txt).
Akamai Technologies (2008). State of the Internet Quarterly Reports (http://www.akamai.com/stateoftheinternet/).
Akamai Technologies (2009). Akamai Technologies (http://www.akamai.com/).
Amazon Cloud Computing Forum (2009). Unaddressed DDoS Concernsin Amazon’s Cloud
(http://developer.amazonwebservices.com/connect/search.jspa?q=DDoS).
Amazon Web Services (2009a). Amazon Simple Queue Services (SQS) (http://aws.amazon.com/sqs/).
Amazon Web Services (2009b). Amazon Simple Storage Services (S3) (http://aws.amazon.com/s3/).
Amazon Web Services (2009c). Amazon’s Web Services Case Studies (http://aws.amazon.com/solutions/case-studies/).
Amazon Web Services (2009d). Elastic Compute Cloud (EC2) (http://aws.amazon.com/ec2/).
American Registry for Internet Numbers (ARIN) (2009). ARIN IPv4 Depletion Notice
(https://www.arin.net/knowledge/about_resources/ceo_letter.pdf).
Andersen, D. (2003). Mayday: Distributed Filtering for Internet Services. In USENIX Symposia on Internet Technologies and Systems (USITS).
Andersen, D., Balakrishnan, H., Kaashoek, F. & Morris, R. (2001). Resilient Overlay Networks. In ACM Symposium on Operating Systems
Principle(SOSP).
Anderson, T., Roscoe, T. & Wetherall, D. (2002). Preventing Internet Denial-of-Service with Capabilities. In ACM Hot Topics in Networks (Hotnets).
Anjum, F.M. (2004). TCP Algorithms and Multiple Paths: Considerations for the Future of the Internet.
Arbor Networks (2005). Annual Infrastructure Security Report (http://www.arbornetworks.com/report).
Arbor Networks (2009). Arbor PeakFlow TMS (http://www.arbornetworks.com/peakflowsp).
Arends, R., Austein, R., Larson, M., Massey, D. & Rose, S. (2005). Resource Records for DNS Security Extensions (http://www.ietf.org/rfc/rfc4034.txt).
Argyraki, K. & Cheriton, D.R. (2005). Active Internet Traffic Filtering: Real-time Response to Denial-of-Service Attacks. In USENIX Annual Technical
Conference (ATC).
Aura, T., Nikander, P. & Leiwo, J. (2000). DOS-resistant Authentication with Client Puzzles.
Bellovin, S., Leech, M. & Taylor, T. (2003). ICMP Traceback Messages. Internet Drafts.
Biondi, P. & Ebalard, A. (2007). IPv6 Routing Header Security. In Canada Security West Conference (CANSECWEST).
Bram Cohen (2009). BitTorrent (http://www.bittorrent.com).
Butler, K., Farley, T., McDaniel, P. & Rexford, J. (2009). A Survey of BGP Security Issues and Solutions. In Proceedings of IEEE.
99
参考論文(cont.)
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Casado, M., Akella, A., Cao, P., Provos, N. & Shenker, S. (2006). Cookies Along Trust-Boundaries (CAT): Accurate and Deployable Flood Protection. In
USENIX Steps to Reducing Unwanted Traffic on the Internet (SRUTI).
ccNSO (2009). DNSSec Survey Report 2009. ICANN.
Cha, M., Moon, S., Park, C.D. & Shaikh, A. (2006). Placing Relay Nodesfor Intra-Domain Path Diversity. In IEEE INFOCOM.
Chen, X., Wang, H., Ren, S. & Zhang, X. (2006). DNScup: Strong Cache Consistency Protocol for DNS. In IEEE International Conference for Distributed
Computing Systems(ICDCS).
Cisco Networks (2009a). Cisco Anomaly Guard (http://www.cisco.com/en/US/products/ps6235/index.html).
Cisco Networks (2009b). Understanding Unicast Reverse Path Forwarding (http://www.cisco.com/web/about/security/intelligence/unicast-rpf.html).
Computer Emergency Response Team (CERT) (2009). Build Security In (https://buildsecurityin.us-cert.gov/daisy/bsi/home.html).
Computer Security Institute (2008). CSI Computer Crime and Security Report (http://www.gocsi.com/).
Cook, D.L., Morein, W.G., Keromytis, A.D., Misra, V. & Rubenstein, D. (2003). WebSOS: Protecting Web Servers From DDoS Attacks. In IEEE
International Conference on Network (ICON).
Dagon, D., Zou, C. & Lee, W. (2006). Modeling Botnet Propagation Using Time Zones. In Network and Distributed System Security Symposium (NDSS).
Dean, D. & Stubblefield, A. (2001). Using Client Puzzles to Protect TLS. In USENIX Security Symposium.
DETERlab (2000). DETERlab Testbed (http://www.isi.edu/deter/).
Dierks, T. & Rescorla, E. (2008). The Transport Layer Security (TLS) Protocol v1.2 (http://www.ietf.org/rfc/rfc5246.txt).
Dingledine, R. & Nick (2004). Tor: The Second-Generation Onion Router. In USENIX Security Symposium.
Dixon, C., Anderson, T. & Krishnamurthy, A. (2008). Phalanx: Withstanding Multimillion-Node Botnets. In USENIX Network Systems Design and
Implementation (NSDI).
Dwork, C. & Naor, M. (1993). Pricing via Processing or Combatting Junk Mail. In CRYPTO.
Dwork, C., Goldberg, A. & Naor, M. (2003). OnMemory-bound Functions for Fighting Spam. In CRYPTO.
Fei, T., Tao, S., Gao, L. & Guerin, R. (2006). How to Select a Good Alternate Path in Large Peer-to-Peer Systems. In IEEE INFOCOM.
Ferguson, D. & Senie, P. (2000). RFC 2827: Network Ingress Filtering (http://www.ietf.org/rfc/rfc2827.txt).
Ferguson, P. & Senie, D. (1998). RFC 2267: Network Ingress Filtering: Defeating Denial of Service Attacks which employs IP source address spoofing
(http://www.ietf.org/rfc/rfc2267.txt).
Franklin, J., Paxson, V., Perrig, A. & Savage, S. (2007). An Inquiry into the Nature and Causes of the Wealth of Internet Miscreants. In ACM Computer
and Communications Security (CCS).
Freedman, M., Freudenthal, E. & Mazieres, D. (2004). Democratizing Content Publication with Coral. In USENIX Network System Design and
Implementation(NSDI).
100
参考論文(cont.)
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Google (2009). Google App Engine (http://code.google.com/appengine/).
Greene, B.R., Morrow, C. & Gemberling, B. (2001). ISP Security – Real World Techniques II. North America Network Operators Group (NANOG).
Greenhalgh, A., Handley, M. & Huici, F. (2005). Using Routing and Tunneling to Combat DoS Attacks. In USENIX Steps to Reducing Unwanted Traffic on
the Internet (SRUTI).
Gummadi, K.P., Madhyastha, H.V., Gribble, S.D., Levy, H.M. & Wetherall, D. (2004). Improving the Reliability of Internet Paths with One-hop Source
Routing. In USENIX Operating Systems Design and Implementation (OSDI).
ha.ckers.org (2009). Slow Loris HTTP DoS (http://ha.ckers.org/slowloris/).
Haddad, I. (2001). Open-Source Web Servers: Performance on a Carrier-Class Linux Platform (http://www.linuxjournal.com/article/4752). 123
Hoff, C. (2008). Cloud Computing Security From DDoS (http://www.rationalsurvivability.com/blog/?p=66).
Hsieh, H.Y. & Sivakumar, R. (2002). A Transport Layer Approach for Achieving Aggregate Bandwidths On Multi-Homed Mobile Hosts. In ACM
Mobicom.
Huston, G. (1999). Interconnection, Peering, and Settlements. In Internet Society INET.
Intelliguard (2009). Intelliguard dps (http://www.intelliguardit.net/Docs/Whitepapers/IntelliGuardIT_Inline_Deployment_Whitepaper.pdf).
InternetWorld Stats (2009). Usage and Population Statistics (http://www.internetworldstats.com/stats.htm).
Jin, C., Wang, H. & Shin, K.G. (2003). Hop-Count Filtering: An Effective Defense Against Spoofed DDoS Traffic. In ACM Computer and Communications
Security (CCS).
Kent, S., Lynn, C. & Seo, K. (2000). Secure Border Gateway Protocol (SBGP). In IEEE Journal on Selected Areas of Communication.
Keromytis, A., Misra, V. & Rubenstein, D. (2002). SOS: Secure Overlay Services. In ACM Special Interest Group in Communications (SIGCOMM).
Khor, S.H. & Nakao, A. (2008a). AI-RON-E: The Prophecy of One-hopSource Routers. In IEEE Globecom Next Generation Networks Symposium.
Khor, S.H. & Nakao, A. (2008b). Overfort:Combating DDoS with Peer-to-Peer DDoS Puzzle. In IEEE Secure Systems and Nework Workshop.
Khor, S.H. & Nakao, A. (2009). sPoW: On-Demand Cloud-based eDDoS Mitigation Mechanism. In IEEE/IFIP Hot Topics in Dependency
WorkShop(HOTDEP).
Khor, S.H., Christin, N., Wong, T. & Nakao, A. (2007). Power to the People: Securing the Internet One Edge at a Time. In ACM Large Scale Attack and
Defense (LSAD).
Kuzmanovic, A. & Knightly, E.W. (2003). Low-Rate TCP-Targeted Denial of Service Attacks. In ACM Special Interest Group in
Communications(SIGCOMM).
Liu, X., Yang, X. & Lu, Y. (2008). To Filter or to Authorize: Networklayer DoS Defense Against Multimillion-Node Botnets. In ACM Special Interest Group
for Communications (SIGCOMM).
Looking Glass (2009). Looking glass (http://www.bgp4.net/wiki/doku.php?id=tools:ipv4_looking_glasses).
101
参考論文(cont.)
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Madhyastha, H., Isdal, T., Piatek, M., Dixon, C., Anderson, T., Krishnamurthy, A. & Venkataramani, A. (2006). iPlane: An Information
Plane for Distributed Services. In USENIX Operating System Design and Implementation (OSDI).
Mahajan, R., Bellovin, S.M., Floyd, S., Ioannidis, J., Paxson, V. & Shenker, S. (2002). Controlling High Bandwidth Aggregates in the Network. ACM
Computer Communication Review (CCR).
Mahimkar, A., Dange, J., Shmatikov, V., Vin, H. & Zhang, Y. (2007). dFence: Transparent Network-based Denial of Service Mitigation. In USENIX
Network Systems Design and Implementation (NSDI).
Markopoulou, A., Iannaccone, G., Bhattacharyya, S., nee Chuah, C. & Diot, C. (2004). Characterization of Failures in an IP Backbone. In IEEE INFOCOM.
Massachusetts Institute of Technology (2009). Spoofer Project: Current State of IP Spoofing (http://spoofer.csail.mit.edu/summary.php).
Mirkovic, J. & Reiher, P. (2004). A Taxonomy of DDoS Attack and DDoS Defense Mechanism. In ACM Computer Communications Review (CCR).
Mirkovic, J., Prier, G. & Reiher, P. (2002). Attacking DDoS at the Source.In IEEE International Conference on Network Protocols (ICNP).
Mirkovic, J., Robinson, M. & Reiher, P. (2003). Alliance formation for DDoS defense. In Applied Computer Security Associates (ACSA) New Security
Paradigms Workshop (NSPW).
Mirkovic, J., Fahmy, S., Reiher, P. & Thomas, R. (2009). How to Test DDoS Defenses. In Cybersecurity Applications & Technology Conference For
Homeland Security (CATCH).
Mockapetris, P. (1987). Domain Names: Implementation and Specification (http://www.ietf.org/rfc/rfc1035.txt).
Moore, D., Voelker, G.M. & Savage, S. (2001). Inferring Internet Denial-of-Service Activity. In USENIX Security Symposium.
Moore, D., Paxson, V., Savage, S., Shannon, C., Staniford, S. & Weaver, N. (2003). Inside the Slammer Worm. IEEE Security and Privacy Magazine.
National Institute of Science and Technology (NIST) (1993). Data Encryption Standard (http://csrc.nist.gov/publications/fips/fips46-3/fips46-3.pdf).
Oikarinen, J. & Reed, D. (1993). RFC 1459: Internet Relay Chat (http://www.ietf.org/rfc/rfc1459.txt).
OnlineMQ (2009). OnlineMQ (http://www.onlinemq.com).
Park, K. & Lee, H. (2001). On the Effectiveness of Route-based Packet Filtering for distributed DoS Attack Prevention in Power-Law Internets. In ACM
Special Interest Group for Communications (SIGCOMM).
Parno, B., Wendlandt, D., Shi, E., Perrig, A., Maggs, B. & Hu, Y.C. (2007). Portcullis: Protecting Connection Setup from Denial-of-Capability Attacks. In
ACM Special Interest Group for Communications (SIGCOMM).
Planet Lab (2002). Planet Lab Consortium (http://www.planet-lab.org/consortium).
Poole, L. & Pai, V.S. (2008). ConfiDNS: Leveraging Scale and History to Detect Compromise. In USENIX Annual Technical Conference (ATC).
Prolexic (2009). Network Protection Services (http://www.prolexic.com).
Qazi, S. & Moors, T. (2007). Scalable Resilient Overlay Networks Using Destination-Guided Detouring. In IEEE International Conference on
Communications (ICC).
102
参考論文(cont.)
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Rajab, M.A., Zarfoss, J., Monrose, F. & Terzis, A. (2007). My Botnet is Bigger than Yours. In USENIX Hot Topics in Botnets (HOTBOT).
Ramasubramanian, V. & Sirer, E.G. (2004). The Design and Implementation of a Next Generation Name Service for the Internet. In ACM Special
Interest Group for Communications (SIGCOMM).
Rekhter, Y. & Li, T. (1995). RFC 1771: Border Gateway Protocol (BGP) (http://www.ietf.org/rfc/rfc1771.txt).
Rhea, S., Godfrey, B., B.Karp, Kubiatowicz, J., Ratnasamy, S. & Shenker, S. (2005). OpenDHT: A Public DHT Service and its Uses. In ACM Special Interest
Group for Communications (SIGCOMM).
Rose, C. & Gordon, J. (2003). Internet Security and the Tragedy of the Commons. In Journal of Business and Economics Research.
RouteViews (2005). University of Oregon Route Views Project (http://www.routeviews.org/).
Rowland, C. (1996). Covert Channels in the TCP/IP Suite. In First Monday, Peer Reviewed Journal on the Internet.
sacrine (2009). Sil v1.0 - A tiny banner grabber (http://www.netric.org).
Saltzer, J. & Schroeder, M. (1975). The protection of information in computer systems.
Savage, S., Anderson, T., Aggarwal, A., Becker, D., Cardwell, N., Collins, A., Hoffman, E., Snell, J., Voelker, A.V.G. & Zahorjan, J. (1999). Detour: a Case
for Informed Internet Routing and Transport. In IEEE Micro.
Savage, S., Wetherall, D., Karlin, A. & Anderson, T. (2000). Practical Network Support for IP Traceback. In ACM Special Interest Group for
Communications (SIGCOMM).
Shapiro, C. & Varian, H. (1998). Networks and Positive Feedbacks
Shi, E., Stoica, I., Andersen, D. & Perrig, A. (2006). OverDoSe: A Generic DDos Protection Service Using an Overlay Network.
Snoeren, A.C., Partridge, C., Sanchez, L.A., Jones, C.E., Tchakountio, F., Schwartz, B., Kent, S.T. & Strayer, W.T. (2002). Single-packet IP traceback. In
IEEE/ACM Transactions on Networking (TON).
Spring, N., Mahajan, R., Wetherall, D. & Anderson, T. (2004). Measuring ISP Topologies with Rocketfuel. IEEE/ACM Transactions in Networking.
Stoica, I., Adkins, D., Zhuang, S., Shenker, S. & Surana, S. (2002). Internet Indirection Infrastructure. In ACM Special Interest Group for
Communications (SIGCOMM).
Stone, R. (2000). CenterTrack: an IP overlay network for tracking DoS floods. In USENIX Security Symposium.
Subramaniam, K. (2008). Cloud Computing Risks eDoS (http://www.cloudave.com/link/cloud-computing-risks-edos).
Sun, H., Lui, J.C.S. & Yau, D.K.Y. (2006). Distributed Mechanism in Detecting and Defending Against the Low-rate TCP Attack. Computer Networks
Journal .
Sun Microsystems (2009a). Java Applets (http://java.sun.com/applets).
Sun Microsystems (2009b). Java Web Start (http://java.sun.com/javase/technologies/desktop/javawebstart/index.jsp).
103
参考論文(cont.)
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Symantec (2008). Symantec report on the underground economy (http://eval.symantec.com/mktginfo/enterprise/white_papers/bwhitepaper_underground_economy_report_11-2008-14525717.en-us.pdf.).
T. Ylonen and C. Lonvick (2006). The Secure Shell (SSH) Authentication Protocol (http://www.ietf.org/rfc/rfc4252.txt).
Team CYMRU (2009). CYMRU IP to ASN Service (http://www.team-cymru.org/Services/ip-to-asn.html).
Teixeira, R., Marzullo, K., Savage, S. & Voelker, G.M. (2003). In search of path diversity in ISP networks. In ACM Internet Measurement
Conference(IMC).
Thomas, R. & Martin, J. (2006). Underground Economy: Priceless. In USENIX ;login:.
Traceroute (1987). Traceroute (http://www.openbsd.org/cgi-bin/man.cgi?query=traceroute).
Turner, J. (2004). Virtualizing the Net - a strategy for enabling network innovation [Keynote 2]. In IEEE Symposium on High Performance
Interconnects.
von Ahm, L., Blum, M., Hooper, N. & Langford, J. (2004). CAPTCHAS: Using Hard AI Problems for Security. In EuroCrypt .
Walfish, M., Vutukuru, M., Balakrishnan, H., Karger, D. & Shenker, S. (2006). Ddos defense by offense. In ACM Special Interest Group for
Communications (SIGCOMM).
Wang, J., Liu, X. & Chien, A.A. (2005). Empirical Study of Tolerating Denial-of-Service Attacks with a Proxy Network. In USENIX Security Symposium.
Wang, L., Park, K.S., Pang, R., Pai, V. & Peterson, L. (2004). Reliability and Security in the CoDeeN Content Distribution Network. In USENIX Annual
Technical Conference (ATC).
Wang, X. & Reiter, M.K. (2003). Defending Against Denial-of-Service Attacks with Puzzle Auctions. In IEEE Symposium on Security and Privacy.
White, B., Lepreau, J., Stoller, L., Ricci, R., Guruprasad, S., Newbold, M., Hibler, M., Barb, C. & Joglekar, A. (2002). An Integrated Experimental
Environment for Distributed Systems and Networks. In USENIX Operating Systems Design and Implementation (OSDI).
Yaar, A., Perrig, A. & Song, D. (2004). SIFF: A Stateless Internet Flow Filter to Mitigate DDoS Flooding Attacks. In IEEE Symposium on Security and
Privacy.
YAML (2009). Yet Another Mark-up Language (http://www.yaml.org/spec/1.2/spec.html).
Yang, X. & Wetherall, D. (2006). Source Selectable Path Diversity via Routing Deflections. In ACM Special Interest Group for Communications
(SIGCOMM).
Yang, X., Wetherall, D. & Anderson, T. (2005). A DoS-limiting Network Architecture. In ACM Special Interest Group for Communications (SIGCOMM).
Zhang, Z., Zhang, Y., Hu, Y.C. & Mao, Z.M. (2007). Practical Defenses Against BGP Prefix Hijacking. In ACM CoNEXT.
104