BASE : An Incrementally Deployable Mechanism for Viable IP Spoofing Prevention

권민진 고려대학교 대학원 2008 국내석사

IP 스푸핑(IP spoofing)은 말 그대로 패킷을 전송할 때 소스 IP 주소를 속여서 다른 시스템을 공격하는 것으로 공격자가 자신의 정보를 숨기고 탐지를 피하기 위한 용도로서 역추적이 어렵게 만든다. 이러한 스푸핑 기법은 서비스 거부 공격, 세션 하이재킹 등의 다른 여러 가지 공격과 함께 사용되어 네트워크에 큰 위협이 될 수 있다. 프로토콜이 실생활에 실제 적용될 수 있는 실용적인 프로토콜의 모습을 지니기 위해서는 초기 사용자에게의 혜택(Initial benefit), 사용자가 늘어날수록 점차 커지는 혜택(Incremental benefit), 부분적인 배포에서의 효율성(partial deployment)의 세 가지 특성을 지녀야 한다. 하지만 기존의 스푸핑 탐지 기법들은 이러한 세 가지의 특성을 만족시키고 있지 못하기 때문에 실생활에서 널리 사용되지 못하고 있다. IP 주소가 조작된 패킷을 차단하는 방식으로는 Ingress filtering, RPF 등이 있으나 이들은 많은 라우터에 배포되 사용해야 효과가 있게 되는 제약이 있다. 최근 몇 년간 연구된 다른 기법들은 이를 고려하였으나 실제 적용되기에는 메커니즘의 복잡성 및 네트워크 성능 저하 등의 문제가 있어 실제 구현되고 적용되지 않고 있다. 따라서 기존 연구들의 이러한 취약한 점들을 고려하면서 스푸핑된 패킷을 성공적으로 탐지하기 위한 방법으로 라우터에서 지나가는 패킷들을 마킹하여 해당 IP 주소의 패킷이 거쳐야 하는 정상적인 경로를 지나왔는지 파악하여 목적지 네트워크에 스푸핑된 패킷이 도달하기 전에 네트워크의 중간 경로에서 패킷 필터링을 수행하는 새로운 탐지 기법인 BASE(BGP-based Anti-Spoofing Extension)를 제안한다. DoS attacks use IP spoofing to forge the source IP address of packets, and thereby hide the identity of the source. This makes it hard to defend against DoS attacks, so IP spoofing is still used as an aggressive attack mechanism, even under distributed attack environment. While many IP spoofing prevention techniques have been proposed, none have achieved widespread real-world use. One main reason is the lack of properties favoring incremental deployment, an essential component for new technology adoption. A viable solution needs to be not only technically sound but also economically acceptable. An incrementally deployable protocol should have three properties: initial benefits for early adopters, incremental benefits for subsequent adopters, and effectiveness under partial deployment. Since no previous anti-spoofing solution satisfies all three properties, we propose a new mechanism called "BGP-based Anti-Spoofing Extension" (BASE). BASE is an anti-spoofing protocol designed to fulfill the incremental deployment properties necessary for adoption in current Internet environments. Based on simulations that we ran using a model of Internet AS connectivity, BASE also shows desirable IP spoofing prevention capabilities under partial deployment. We find that just 30% deployment can drop about 97% of attack packets. Therefore, BASE not only satisfies adopters' benefit, but also outperforms previous anti-spoofing mechanisms.

Probabilistic filter propagation and scheduling against distributed denial-of-service attacks

서동원 Graduate School, Korea University 2014 국내박사

Distributed denial-of-service (DDoS) attacks are considered to be among the most crucial security challenges in current networks because they significantly disrupt the availability of a service by consuming extreme amount of resource and/or by creating link congestions. Source-end and victim-end approaches are conventional DDoS mitigation methods, but they have limitations in terms of deployment issues and small protection coverages. One alternative type of countermeasure against DDoS attacks is a filter-based approach where filter-based intermediate routers within the network coordinate with each other to filter undesired flows. The key to success for this approach is effective filter propagation and management techniques. However, existing filter-based approaches do not consider effective filter propagation and management. In this paper, we define three necessary properties for a viable DDoS solution: how to practically propagate filters, how to place filters to effective filter routers, and how to manage filters to maximize the efficacy of the defense. We propose a novel mechanism, called Adaptive Probabilistic Filter Scheduling (APFS), that effectively defends against DDoS attacks and also satisfies the three necessary properties. In APFS, a filter router adaptively calculates its own marking probability based on three factors: 1) hop count from a sender, 2) the filter router's resource availability, and 3) the filter router's link degree. That is, a filter router that is closer to attackers, has more available resources, or has more connections to neighbors inserts its marking with a higher probability. These three factors lead a victim to receive more markings from more effective filter routers, and thus, filters are quickly distributed to effective filter routers. Moreover, each filter router manages multiple filters using a filter scheduling policy that allows it to selectively keep the most effective filters depending on attack situations. Experimental results show that APFS has a faster filter propagation and a higher attack blocking ratio than existing approaches that use fixed marking probability. In addition, APFS has a 44% higher defense effectiveness than existing filter-based approaches that do not use a filter scheduling policy. 분산 서비스 거부 공격 (DDoS) 공격은 서버의 자원과 망의 대역폭을 고갈시켜 정상 서비스가 이루어지지 못하도록 한다는 점에서 네트워크 보안 분야의 가장 심각한 위협 중 하나로 인식되고 있다. DDoS 공격 대응 기법 중 하나인 필터 기반 대응 기법은 공격 대상자가 원치않는 트래픽을 중간 라우터들이 필터를 통해 차단하는 기법이다. 이 기법이 DDoS 공격 대응을 성공적으로 하기 위해서는 효과적인 필터 전파와 필터 관리 기술이 매우 중요하다. 그러나, 기존 필터 기반 대응 기법들은 효과적인 필터 전파 및 관리 기술을 제시하지 못하였다. 본 논문에서는 성공적인 필터 기반 기법이 되기 위한 세 가지 필수 요소를 제시한다. 즉, 현실적으로 어떻게 필터를 전파할 것인가, 어떻게 필터를 효과적으로 필터 라우터에 배치시킬 것인가, 그리고 어떻게 필터를 관리하여 공격 대응 효과를 극대화 시킬 것인가가 그 세 가지 요소이다. 본 논문은 이 세 가지 요소들을 만족시키는 필터 기반 DDoS 대응 기법인 Adaptive Probabilistic Filter Scheduling (APFS)를 제안한다. APFS에서는 각 필터 라우터가 세 가지 기준에 따라 상황에 적응적으로 패킷 마킹 확률을 결정한다. 세 가지 기준은 1) 패킷 전송자로부터의 홉 수, 2) 필터 라우터의 가용성, 3) 필터 라우터의 링크 정도 (degree)이다. 즉, 필터 라우터는 공격자에 가까울 수록, 가용성이 높을 수록, 혹은 많은 수의 인접 라우터들과 연결이 되어 있을 수록 그 패킷 마킹 확률이 증가하게 된다. 이 것은 공격 대상자가 효율적인 필터 라우터의 마킹들을 더 많이 수신할 수 있도록 하고, 그 결과 필터들은 더욱 빠르게 효과적인 필터 라우터들에게 전파될 수 있다. 또한, 각 필터 라우터는 필터 스케쥴링 정책을 활용하여 다수의 필터들을 효과적으로 관리한다. 필터 스케쥴링 정책은 공격 상황에 따라 가장 효과적인 필터들을 선별하는 알고리즘이다. 본 논문의 실험 결과에서는 APFS가 고정 패킷 마킹 확률을 사용하는 기존 필터 기반 대응 기법들에 비하여 더 빠른 필터 전파와 더 높은 공격 트래픽 방어율을 보인다는 것을 보여준다. 더욱이, APFS는 필터 스케쥴링 정책을 사용하지 않는 기존 필터 기반 대응 기법에 비하여 44% 더 높은 공격 방어 효과를 보여주었다.

PMS, 분산 서비스 거부 공격에 대한 방어 전략 : PMS, a NOBLE DEFENSIVE APPROACH AGAINST DDOS ATTACKS

Usman Tariq 아주대학교 정보통신전문대학원 2006 국내석사

Distributed Denial of Service attack is a challenging threat to current internet world. Due to thousands of vulnerable machines connected to internet, hackers need little preparation to launch a highly destructive attack. Attacks can be easily downloaded and launched through these fertilized zombie machines. While defense mechanisms and trace back is highly inefficient due to high number of attack machines. Researchers and commercial organizations are putting all there efforts to deal with the DDoS attack problem but the problem is still unsolved. In this thesis we discussed the DDoS problem in two directions: 1) Cause of problem. 2) Design (architecture and implementation) of defense of DDoS problem which we named PMS that highly prevents the spoofed IP packets to consume legitimate internet bandwidth. In PMS, the packet is marked by the routers which come along the path to the destination. The packets traveling along the same path will have the same marking which will be dynamically changed after certain span of time. PMS can not only defend against the DDoS attack but also it can deal with the TCP hijacking and multicast source spoofing attacks. PMS defense mechanism just needs to identify only one malicious packet to identify the attack. PMS also supports incremental deployment which enhances its effectiveness against the DDoS attack. PMS scheme effectively defend the network from DDoS attack.

PMS, 분산 서비스 거부 공격에 대한 방어 전략

타리끄 우스만 아주대학교 2006 국내석사

Distributed Denial of Service attack is a challenging threat to current internet world. Due to thousands of vulnerable machines connected to internet, hackers need little preparation to launch a highly destructive attack. Attacks can be easily downloaded and launched through these fertilized zombie machines. While defense mechanisms and trace back is highly inefficient due to high number of attack machines. Researchers and commercial organizations are putting all there efforts to deal with the DDoS attack problem but the problem is still unsolved. In this thesis we discussed the DDoS problem in two directions: 1) Cause of problem. 2) Design (architecture and implementation) of defense of DDoS problem which we named PMS that highly prevents the spoofed IP packets to consume legitimate internet bandwidth. In PMS, the packet is marked by the routers which come along the path to the destination. The packets traveling along the same path will have the same marking which will be dynamically changed after certain span of time. PMS can not only defend against the DDoS attack but also it can deal with the TCP hijacking and multicast source spoofing attacks. PMS defense mechanism just needs to identify only one malicious packet to identify the attack. PMS also supports incremental deployment which enhances its effectiveness against the DDoS attack. PMS scheme effectively defend the network from DDoS attack.

패킷 마킹에 기반한 효율적인 분산 웜 탐지 시스템 연구

이강산 아주대학교 2006 국내석사

최근 자동화된 공격기법에 의한 인프라 피해 사례가 급증하면서 효율적 대응 기법에 대한 연구가 활발히 진행되고 있다. 특히, 패킷을 통한 네트워크 서비스의 취약성을 공격하는 웜의 전파메커니즘은 빠른 전파 속도로 인해 네트워크 대역폭 및 노드 가용성에 심각한 피해를 일으키고 있다. 이전 웜 탐지 기법들은 주로 시그너쳐 기반의 미시적 접근방식이 주를 이루었으나 높은 오탐지율과 조기탐지의 한계로 인해 최근에는 웜 전파의 특징에 기인한 거시적 접근 방식이 각광을 받고 있다. 본 논문에서는 패킷 마킹을 통해 웜 행동 사이클과 감염 체인으로 대표되는 웜의 행위적 특성을 탐지하고 대응할 수 있는 분산 웜 탐지 모델을 제안한다. 제안하는 웜 탐지 모델은 기존 모델들이 지닌 확장성의 한계를 분산된 호스트들의 협업적 대응으로 해결할 수 있을 뿐만 아니라, 웜 탐지에 필수적인 감염 정보만을 처리함으로써 개별 호스트의 프로세싱 오버헤드를 감소시킬 수 있다. 그리고 본 논문에서 제안하는 탐지 모델 적용 시 조기 탐지 결과로 인해 웜의 감염 속도가 시간의 경과에 따라 감소되는 현상과 호스트 간의 협업적 대응에 의해전체 호스트의 면역성이 증가되는 현상을 시뮬레이션을 통해 증명하였다.

IP Marking Server-based IP trace-back Research for Financial Network

박근호 아주대학교 아주대학교 일반대학원 2018 국내석사

The purpose of this study is to investigate the application of various IP trace-back technology to trace the attacker in financial network and to propose a new IP trace-back technology considering characteristics of financial network. With the development of FinTech, many financial services have become available in the mobile Internet environment. In recent years, there has also appeared an Internet bank that provides all bank services online. As the proportion of financial services over the Internet increases, it provides convenience to users but at the same time, the threat to the financial network is increasing. Financial institutions are investing heavily in security systems in preparation for an attack. However, as the day progresses, attacks by hackers become more sophisticated and often difficult to respond. However, applying IP trace-back technology that can detect the actual location of an attacker to a financial network can preemptively arrest an attacker and prepare for an additional attack. Therefore, this paper examines the IP trace-back technology that can detect the actual location of the attacker, and presents various methods for applying the IP trace-back technology through the analysis of the financial network. We also propose a method to apply new IP traceback method to the financial network through infra-structure construction and demonstrate the efficiency through experiments using simulation.