1 / 28

Paper Study on A Taxonomy of DDoS Attack and DDoS Defense Mechanisms

Paper Study on A Taxonomy of DDoS Attack and DDoS Defense Mechanisms. Hsiang-Jen Chien Vision & Graphics Lab Department of CSIE, National University of Kaohsiung No.700,Kaohsiung University Rd., Nan Tzu Dist., 811 Kaohsiung, Taiwan, R.O.C. O UTLINE. Introduction to DDoS Attack Mechanisms

august
Download Presentation

Paper Study on A Taxonomy of DDoS Attack and DDoS Defense Mechanisms

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Paper Study onA Taxonomy of DDoS Attack and DDoS Defense Mechanisms Hsiang-Jen Chien Vision & Graphics Lab Department of CSIE, National University of Kaohsiung No.700,Kaohsiung University Rd., Nan Tzu Dist., 811 Kaohsiung, Taiwan, R.O.C. Paper Study on A Taxonomy of DDoS Attack and DDoS Defense Mechanisms

  2. OUTLINE • Introduction to DDoS • Attack Mechanisms • Defense Mechanisms • Classification by Active Level • Classification by Cooperative Degree • Classification by Deployment Location • Summary Paper Study on A Taxonomy of DDoS Attack and DDoS Defense Mechanisms

  3. INTRODUCTIONTO DDOS • Denial-of-Service (DoS) Attack • 旨在阻止伺服器之正常運作,進而干擾、斷絕提供的服務 • 例如癱瘓網頁伺服器,使得訪客無法正常瀏覽網站 • 通常並非是攻擊者的最終目的 • 真正的動機可能是商業利益、政治衝突、炫耀並提升個人在駭客社群的名譽或影發後續的攻擊 • DoS乃當今網路安全之重大議題 • 在2004年間全球因DoS造成的損失超過兩千萬美元 • 攻擊初學門檻低,下載軟體工具即可嘗試攻擊目標 Paper Study on A Taxonomy of DDoS Attack and DDoS Defense Mechanisms

  4. INTRODUCTIONTO DDOS • Famous DoS Attack in History • SYN Flooding – 基於TCP連線建立時三段交握程序 • Teardrop – 封包碎片重組漏洞 • Ping of Death – 巨大ICMP封包造成緩衝區溢位 • Smurf – 偽造來源的封包廣播風暴 Paper Study on A Taxonomy of DDoS Attack and DDoS Defense Mechanisms

  5. INTRODUCTIONTO DDOS • DDoS - the Distributive Version of DoS • 傳統的DoS有諸多限制與缺點 • 必須針對伺服器弱點攻擊 • 勤勞的網管人員每日檢查套件更新,使得伺服器免於已知漏洞的威脅 • 單一攻擊者容易被抵制,有反向追蹤之風險 • 將焦點轉移至被服務的節點 • 大眾使用者網安觀念薄弱,非伺服器等級的軟體系統疏於防範(e.g. 千瘡百孔的窗戶) • 集結眾人之力耗盡伺服器的服務資源,不易追蹤元兇 • 由熟知系統漏洞的攻擊者精心策劃 Paper Study on A Taxonomy of DDoS Attack and DDoS Defense Mechanisms

  6. INTRODUCTIONTO DDOS Paper Study on A Taxonomy of DDoS Attack and DDoS Defense Mechanisms

  7. INTRODUCTIONTO DDOS • Challenges of DDoS Attack and Defense • 挖掘漏洞 vs. 修補漏洞 • 如何散播後門程式 vs. 如何阻斷散波途徑 • 隱匿通訊管道 vs. 偵測並暴露其通訊 • 隱藏發動者位址 vs. 追溯攻擊根源 • 偽裝惡意的攻擊 vs. 區分惡意的服務請求 Paper Study on A Taxonomy of DDoS Attack and DDoS Defense Mechanisms

  8. ATTACK MECHANISMS • Two frequently exercised manner to perform a DDoS attack • 群體對伺服器提出大量連續的請求,耗盡服務資源 • 針對通訊協定或服務程式的弱點發送少量封包,造成伺服器當機或重開機 • Other possible ways • 攻擊網路設備(路由器、交換器)而非終端伺服器 • 過去的攻擊手法族繁不及備載,未來勢必有更多不可預測的攻擊 Paper Study on A Taxonomy of DDoS Attack and DDoS Defense Mechanisms

  9. ATTACK MECHANISMS • What Makes DDoS Attacks Possible? • 現今的網路核心架構乃針對封包傳遞之效率而設計 • 網路基礎設備的使命是盡力將封包送達端點 • 安全性的維護成為末端節點的責任 • 此架構產生諸多安全議題,如IP位址變造 • 主機與網路的資源是有限的 • 分散式的網路控制權 Paper Study on A Taxonomy of DDoS Attack and DDoS Defense Mechanisms

  10. INTRODUCTIONTO DDOS • Phases of DDoS Attack • 挖掘系統漏洞 • 利用發現的漏洞侵入一般用戶的系統 • 植入常駐程式(daemon)作為後門 • 重覆以上兩步驟「招募」更多傀儡(zombies) • 待時機成熟後瞬間對目標發動大量攻擊 Paper Study on A Taxonomy of DDoS Attack and DDoS Defense Mechanisms

  11. ATTACK MECHANISMS Paper Study on A Taxonomy of DDoS Attack and DDoS Defense Mechanisms

  12. DEFENSE MECHANISMS • Several serious factors that hinder advance of DDoS defense research • 單一節點不足以阻擋多數的DDoS攻擊 • 而聯合防禦系統的佈署範圍又受到網路主權分散的限制 • 經濟與社會因素 • 對於攻擊的資訊有限 • 攻擊者不會發表paper昭告天下其攻擊手法 • 被攻擊者礙於名譽也傾向於保持低調,紀錄資料不易取得 • 缺乏防禦績效測量方式 • 大範圍的測試不易 Paper Study on A Taxonomy of DDoS Attack and DDoS Defense Mechanisms

  13. DEFENSE MECHANISMS • Classification of DDoS Defense • 以主動性質分類(Active Level) • 預防式、回應式 • 以合作性質分類(Cooperative Degree) • 自主式、聯合式、相依式 • 以佈署位置分類(Deployment Location) • 受攻擊網路、中繼網路、攻擊源網路 Paper Study on A Taxonomy of DDoS Attack and DDoS Defense Mechanisms

  14. DEFENSE MECHANISMS Paper Study on A Taxonomy of DDoS Attack and DDoS Defense Mechanisms

  15. DEFENSE MECHANISMS (ACTIVE LEVEL) • Preventive Defense • 主動性的防禦 • 加強保全機制,進而預防攻擊或其後果實際發生 • 避免攻擊或服務阻斷 • Reactive Defense • 被動性的防禦 • 當攻擊發生時盡早採取行動 • 包含各種攻擊偵測手法與反制策略 Paper Study on A Taxonomy of DDoS Attack and DDoS Defense Mechanisms

  16. PREVENTIVE DEFENSE • Attack Prevention • 加強用戶系統的安全 • DDoS仰賴大眾使用者提供攻擊資源 • 切斷木馬感染途徑使得攻擊者無法招募軍隊 • 例如:加裝防火牆、佈署入侵偵測系統 • 改善通訊協定的安全 • 避免 “cheap for the client but expensive for the server” 的請求 • 以用戶認證機制防止服務要求氾濫 • 例如:TCP-SYN cookies Paper Study on A Taxonomy of DDoS Attack and DDoS Defense Mechanisms

  17. PREVENTIVE DEFENSE • DoS Prevention • 資源控管 • 識別使用者身分,提供較多的資源給可信賴的使用者 • 可能造成使用者的不便 • 須避免身分剽竊 • 資源複製 • 設置多套服務資源與負載平衡裝置 • 遭到攻擊時由負載平衡機制分散負擔 • 相較於其他方法,資源複製需要更高的建置成本 • 衍伸問題:負載平衡中樞可能成為攻擊標的 Paper Study on A Taxonomy of DDoS Attack and DDoS Defense Mechanisms

  18. REACTIVE DEFENSE • Detection • Pattern Detection • Anomaly Detection • Third-Party Detection • Response • Agent Identification • Rate-Limiting • Filtering • Reconfiguration Paper Study on A Taxonomy of DDoS Attack and DDoS Defense Mechanisms

  19. REACTIVE DEFENSE (DETECTION) • Pattern Detection • 將以知的攻擊特徵彙整儲存在資料庫上 • 監測通訊過程,比對特徵資料庫偵測攻擊行為 • 【優】對於已知的攻擊能有效反應,誤判機率低 • 【缺】偵測能力受限於已知的特徵,無法有效抵禦變種攻擊以及未知的攻擊手法 Known Attacks Signature DB Host Paper Study on A Taxonomy of DDoS Attack and DDoS Defense Mechanisms

  20. REACTIVE DEFENSE (DETECTION) • Anomaly Detection • 為正常的系統運作建模(modeling) • 例如平均頻寬使用、平均連線建立速率 • 建模方式有制定規則(rule-based)與訓練學習(training) • 定期比對目前的情形是否符合常規模式,若不相符則判定為異常情形 • 【優】可以偵測未知的攻擊 • 【缺】敏感的偵測系統可能將正常運作誤判為異常 Paper Study on A Taxonomy of DDoS Attack and DDoS Defense Mechanisms

  21. REACTIVE DEFENSE (DETECTION) • Third-Party Detection • 由第三者監控通訊並偵測攻擊 • 常見於回溯追蹤機制(traceback mechanisms) Paper Study on A Taxonomy of DDoS Attack and DDoS Defense Mechanisms

  22. REACTIVE DEFENSE (RESPONSE) • Agent Identification • 追蹤並蒐集攻擊者的資訊 • 提供識別資訊給被遭受攻擊的單位 • 此法是防禦程序的環節之一,可與其它反制策略合併使用 Paper Study on A Taxonomy of DDoS Attack and DDoS Defense Mechanisms

  23. REACTIVE DEFENSE (RESPONSE) • Rate-Limiting • 限制可疑攻擊者的封包流速 • 容忍攻擊者繼續通訊,是較為寬厚的反制策略 • 常用於容易誤判正常通訊的防禦系統中 • 大量的攻擊者終究能耗盡頻寬 Paper Study on A Taxonomy of DDoS Attack and DDoS Defense Mechanisms

  24. REACTIVE DEFENSE (RESPONSE) • Filtering • 直接拒絕與攻擊者往來 • 使用動態防火牆或其他黑名單(blacklisting)機制實作 • 有降低服務可用度(availability)之風險 • 須仰賴相當可靠的攻擊辨識功能 • 聰明的攻擊者可能利用過濾機制達成服務阻斷攻擊 • e.g. 使用正常用戶的IP位址發出偽攻擊 Paper Study on A Taxonomy of DDoS Attack and DDoS Defense Mechanisms

  25. REACTIVE DEFENSE (RESPONSE) • Reconfiguration • 改變部分網路拓樸以增加服務資源或孤立攻擊者 • 較有彈性的防禦策略 • 實作機制有網路層路由表改寫與應用層疊加網路 • 例如強韌疊加網路(Resilient Overlay Network, RON) Paper Study on A Taxonomy of DDoS Attack and DDoS Defense Mechanisms

  26. COOPERATION DEGREE • 自主式 • 防禦系統之間沒有互動 • 分散式防禦系統可能歸類為自主式機制 • 聯合式 • 系統能獨立運作,也可互相交換資訊強化防禦功能 • 相依式 • 無法獨立運行,須仰賴彼此提供的功能 Paper Study on A Taxonomy of DDoS Attack and DDoS Defense Mechanisms

  27. DEPLOYMENT LOCATION • 受攻擊網路 • 將防禦系統佈署於遭受攻擊的網路或終端主機上 • 大多數的防禦系統皆屬此類 • 中繼網路 • 在中繼網路的基礎設施上佈署防禦系統 • 攻擊源網路 • 針對大眾用戶提供防禦機制 • 預期成效最高,然而執行效力有限 Paper Study on A Taxonomy of DDoS Attack and DDoS Defense Mechanisms

  28. SUMMARY • DDoS乃今日網安重大議題之一 • 追溯至歷史上數次著名的攻擊事件 • 問題根源來自既有的網路核心架構 • 無止境的攻防戰 • 攻擊手法日新月異,尚無萬全的防禦之道 • 目前需要確立完整的分類法則並建立廣大測試平台 • 如同駭客社群,研究人員應協力合作 Paper Study on A Taxonomy of DDoS Attack and DDoS Defense Mechanisms

More Related